BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN

DEPUTI AKUNTAN NEGARA

PERATURAN
DEPUTI KEPALA BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN
BIDANG AKUNTAN NEGARA
NOMOR 14 TAHUN 2019
TENTANG
PEDOMAN PENERAPAN MANAJEMEN RISIKO
DI LINGKUNGAN BADAN USAHA MILIK NEGARA

DENGAN RAHMAT TUHAN YANG MAHA ESA

DEPUTI KEPALA BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN

BIDANG AKUNTAN NEGARA,

Menimbang : a. bahwa Badan Pengawasan Keuangan dan Pembangunan

membantu melaksanakan penerapan tata kelola
perusahaan yang baik pada Badan Usaha Milik Negara;
b. bahwa berdasarkan ketentuan Pasal 24 huruf b
Peraturan Presiden Nomor 192 Tahun 2014 tentang
Badan Pengawasan Keuangan dan Pembangunan, Deputi
Kepala Badan Pengawasan Keuangan dan Pembangunan
Bidang Akuntan Negara menyelenggarakan fungsi
penyusunan pedoman;
c. bahwa berdasarkan pertimbangan sebagaimana
dimaksud dalam huruf a dan huruf b, perlu menetapkan
Peraturan Deputi Badan Pengawasan Keuangan dan
Pembangunan Bidang Akuntan Negara tentang
Penerapan Manajemen Risiko di lingkungan Badan
Usaha Milik Negara;

Mengingat : 1. Undang-Undang Nomor 19 Tahun 2003 tentang Badan

Usaha Milik Negara (Lembaran Negara Republik
 -2-

Indonesia Tahun 2003 Nomor 70, Tambahan Lembaran

Negara Nomor 4297);
2. Peraturan Pemerintah Nomor 60 Tahun 2008 tentang
Sistem Pengendalian Intern Pemerintah (Lembaran
Negara Republik Indonesia Tahun 2008 Nomor 127,
Tambahan Lembaran Negara Republik Indonesia Nomor
4890);
3. Peraturan Presiden Nomor 192 Tahun 2014 tentang
Badan Pengawasan Keuangan dan Pembangunan
(Lembaran Negara Republik Indonesia Tahun 2014 Nomor
400);
4. Peraturan Menteri Negara BUMN Nomor Per-01/MBU/
2011 tentang Penerapan Tata Kelola Perusahaan yang
Baik (Good Corporate Governance) pada Badan Usaha
Milik Negara, sebagaimana telah diubah dengan
Peraturan Menteri Negara Badan Usaha Milik Negara
Nomor PER-09/MBU/2012 tentang Penerapan Tata
Kelola Perusahaan Yang Baik (Good Corporate
Governance) pada Badan Usaha Milik Negara;
6. Peraturan Badan Pengawasan Keuangan dan
Pembangunan Nomor 5 Tahun 2019 tentang Organisasi
dan Tata Kerja Badan Pengawasan Keuangan dan
Pembangunan (Berita Negara Republik Indonesia Tahun
2019 Nomor 352);

MEMUTUSKAN:
Menetapkan : PERATURAN DEPUTI KEPALA BADAN PENGAWASAN
KEUANGAN DAN PEMBANGUNAN BIDANG AKUNTAN
NEGARA TENTANG PEDOMAN PENERAPAN MANAJEMEN
RISIKO DI LINGKUNGAN BADAN USAHA MILIK NEGARA.

Pasal 1
Dalam Peraturan Deputi ini yang dimaksud dengan:
1. Badan Usaha Milik Negara yang selanjutnya disebut
BUMN, adalah badan usaha yang seluruh atau sebagian
besar modalnya dimiliki oleh negara melalui penyertaan
secara langsung yang berasal dari kekayaan negara yang
dipisahkan.
 -3-

2. BUMN meliputi BUMN dan anak perusahaan.

3. Badan Usaha Milik Daerah yang selanjutnya disingkat
BUMD adalah badan usaha yang seluruh atau sebagian
besar modalnya dimiliki oleh Daerah.
4. Badan Pengawasan Keuangan dan Pembangunan yang
selanjutnya disingkat BPKP, merupakan aparat
pengawasan intern pemerintah.

Pasal 2
Pedoman Penerapan Manajemen Risiko di lingkungan BUMN
yang terdiri dari:
a. Pedoman Umum Manajemen Risiko;
b. Pedoman Penilaian Risiko (Risk Assessment); dan
c. Pedoman Penilaian Tingkat Maturitas Penerapan
Manajemen Risiko.

Pasal 3
(1) Pedoman Penerapan Manajemen Risiko di lingkungan
BUMN ini dimaksudkan memberikan panduan bagi
auditor BPKP sebagai tim untuk memperoleh pemahaman
lebih baik mengenai konsep risiko dan manajemen risiko.
(2) Pedoman Penerapan Manajemen Risiko ini bertujuan:
a. memberikan kesamaan pemahaman dan arah yang
jelas serta praktik-praktik terbaik dalam perancangan
dan penerapan struktur dan proses manajemen risiko;
b. membantu manajemen BUMN, BUMD dan badan
usaha lainnya dalam mengembangkan dan
mengimplementasikan budaya, struktur dan proses
manajemen risiko;
c. memfasilitasi tim penilai risiko untuk melakukan
penilaian risiko dengan pendekatan terstruktur guna
memfasilitasi BUMN/BUMD dalam mengidentifikasi,
mengukur, dan memprioritaskan risiko serta
menyusun rencana mitigasi risiko yang berhubungan
dengan setiap aktivitas, fungsi atau proses dengan cara
yang memungkinkan perusahaan untuk
meminimalkan kerugian dan memaksimalkan peluang.
 -4-

Pasal 4
(1) Pedoman Umum Manajemen Risiko berisi tentang latar
belakang, tujuan dan manfaat, ruang lingkup dan struktur
pembahasan mengenai konsep risiko dan manajemen
risiko.
(2) Pedoman Penilian Risiko (Risk Assessment) berisi tentang
latar belakang, tujuan dan manfaat, ruang lingkup dan
struktur pembahasan pedoman pelaksanaan risk
assessment.
(3) Pedoman Penilaian Tingkat Maturitas Penerapan
Manajemen Risiko berisi tentang pengukuran hasil yang
digunakan oleh BPKP sebagai asesor independen yang
diminta oleh manajemen atau Pemegang Saham
Perusahaan untuk melakukan penilaian atas penerapan
manajemen risiko perusahaan.

Pasal 5
(1) Pedoman Umum Manajemen Risiko sebagaimana
dimaksud dalam Pasal 4 ayat (1) tercantum dalam
Lampiran I yang merupakan bagian tidak terpisahkan dari
Peraturan Deputi ini.
(2) Pedoman Penilian Risiko (Risk Assessment) sebagaimana
dimaksud dalam Pasal 4 ayat (2) tercantum dalam
Lampiran II yang merupakan bagian tidak terpisahkan dari
Peraturan Deputi ini.
(3) Pedoman Penilaian Tingkat Maturitas Penerapan
Manajemen Risiko sebagaimana dimaksud dalam Pasal 4
ayat (3) tercantum dalam Lampiran I yang merupakan
bagian tidak terpisahkan dari Peraturan Deputi ini.
 -5-

Pasal 6
Peraturan Deputi ini mulai berlaku pada tanggal ditetapkan.

Ditetapkan di Jakarta
pada tanggal 18 November 2019

DEPUTI BADAN PENGAWASAN

KEUANGAN DAN PEMBANGUNAN
BIDANG AKUNTAN NEGARA,

BONNY ANANG DWIJANTO

 -6-

LAMPIRAN I
PERATURAN DEPUTI
BADAN PENGAWASAN KEUANGAN
DAN PEMBANGUNAN
BIDANG AKUNTAN NEGARA
TENTANG
PEDOMAN PENERAPAN MANAJEMEN
RISIKO DI LINGKUNGAN BADAN
USAHA MILIK NEGARA

PEDOMAN UMUM MANAJEMEN RISIKO

BAB I
PENDAHULUAN

A. Latar Belakang
Setiap organisasi didirikan dengan maksud untuk mencapai tujuan yang
telah ditetapkan. Organisasi yang berorientasi laba (profit oriented) didirikan
dengan tujuan memberikan nilai tambah bagi para stakeholder, salah
satunya dengan maksimalisasi laba. Pencapaian tujuan organisasi tersebut
senantiasa akan dipengaruhi oleh perubahan-perubahan yang tidak dapat
diperkirakan, baik perubahan pada lingkungan ekstern maupun intern.
Dengan kata lain, manajemen bekerja dalam ketidakpastian lingkungan.
Ketidakpastian lingkungan yang berdampak pada tujuan organisasi secara
umum disebut sebagai risiko.
Risiko dalam hal ini dapat diartikan sebagai ancaman ataupun peluang.
Manajemen risiko berarti segala tindakan manajemen yang ditujukan untuk
meminimalkan ancaman dan memaksimalkan peluang untuk memperbesar
kemungkinan pencapaian tujuan organisasi.
Istilah risiko dan manajemen risiko telah lama dikenal dalam industri
asuransi. Risiko dipandang sebagai kerugian yang diperkirakan (expected
loss) dan diukur dengan menggunakan metodologi estimasi probabilitas
yang langsung dikalikan dengan nilai aktiva yang terekspose risiko, sebagai
dasar penetapan besarnya premi asuransi yang harus dibayar oleh
tertanggung. Dalam perkembangannya, manajemen risiko mengalami
perluasan skala aktivitas, tidak hanya terkait dengan asuransi, akan tetapi
diperlukan sebagai bagian integral dari manajemen bisnis. Seluruh anggota
organisasi harus memiliki kesadaran dan kepedulian atas risiko serta
 -7-

mengelola risiko yang dihadapi organisasi sesuai batas kewenangan masing-

masing. Dengan demikian, risiko dan manajemen risiko harus ditempatkan
dalam perspektif seluruh-organisasi (organization-wide).
Aktivitas organisasi senantiasa dihadapkan pada risiko-risiko yang
berkaitan erat dengan fungsinya untuk menciptakan nilai bagi para
stakeholders. Pesatnya perkembangan lingkungan ekstern dan intern
organisasi menyebabkan semakin kompleksnya risiko bisnis. Oleh karena
itu, agar mampu beradaptasi dengan lingkungan bisnis, penerapan
manajemen risiko secara formal, terstruktur dan terintegrasi merupakan
keharusan bagi suatu organisasi. Jika dilaksanakan dengan baik,
manajemen risiko merupakan kekuatan vital bagi corporate governance.
Dengan kata lain, terciptanya good corporate governance tidak terlepas dari
penerapan manajemen risiko. Begitu pentingnya manajemen risiko sehingga
menjadi kebutuhan mendesak yang harus diterapkan pada korporat.
Untuk kalangan Badan Usaha Milik Negara (BUMN), pentingnya penerapan
manajemen risiko dipertegas dengan Peraturan Menteri Badan Usaha Milik
Negara Nomor PER-01/MBU/2011 tentang Penerapan Tata Kelola
Perusahaan yang Baik (Good Corporate Governance) pada Badan Usaha
Milik Negara. Pada pasal 25 ayat (1), direksi, dalam setiap pengambilan
keputusan/tindakan, harus mempertimbangkan risiko usaha. Pada ayat (2)
direksi wajib membangun dan melaksanakan program manajemen risiko
korporasi secara terpadu yang merupakan bagian dari pelaksanaan
program GCG. Pada ayat (3), pelaksanaan program manajemen risiko dapat
dilakukan, dengan (a) membentuk unit kerja tersendiri yang ada di bawah
Direksi; atau (b) memberi penugasan kepada unit kerja yang ada dan
relevan untuk menjalankan fungsi manajemen risiko. Pada ayat (4), direksi
wajib menyampaikan laporan profil manajemen risiko dan penanganannya
bersamaan dengan laporan berkala perusahaan.
Beberapa pemutakhiran telah dilakukan, baik terhadap konsep manajemen
risiko yang dikeluarkan oleh Committee of Sponsoring Organization/COSO
(tahun 2004 dan 2017) maupun The International Organization for
Standardization/ISO (ISO 31000 Risk Management – Principles and
Guidelines tahun 2009 dan 2018).
Manajemen risiko berbasis ISO 31000 merupakan sebuah standar
internasional yang disusun dengan tujuan memberikan prinsip dan
panduan generik untuk penerapan manajemen risiko. Standar ini dapat
digunakan oleh segala jenis organisasi dalam menghadapi berbagai risiko
yang melekat pada aktivitas mereka. Namun standar ini tidak ditujukan
 -8-

untuk menyeragamkan manajemen risiko lintas organisasi, akan tetapi

ditujukan untuk memberikan standar pendukung penerapan manajemen
risiko dalam usaha memberikan jaminan terhadap pencapaian sasaran
organisasi. ISO 31000 menyediakan prinsip, kerangka kerja, dan proses
manajemen risiko yang dapat digunakan sebagai arsitektur manajemen
risiko dalam usaha menjamin penerapan manajemen risiko yang efektif.
Dengan memperhatikan latar belakang tersebut di atas dan sebagai upaya
untuk memberikan panduan yang lebih baik, maka dirasa perlu untuk
merevisi pedoman umum manajemen risiko.
B. Tujuan dan Manfaat
Pedoman Umum Manajemen Risiko ini diharapkan dapat memberikan
panduan bagi pegawai BPKP dalam membantu manajemen BUMN, BUMD
dan badan usaha lainnya dalam mengembangkan dan
mengimplementasikan budaya, struktur dan proses manajemen risiko
melalui pemahaman tentang konsep risiko dan manajemen risiko serta
praktik-praktik terbaik dalam perancangan dan penerapan struktur dan
proses manajemen risiko.
Secara khusus, pedoman ini membahas tentang konsep risiko dan
manajemen risiko agar pembaca memperoleh pemahaman yang lebih baik
mengenai berbagai persepsi dan definisi risiko yang dikemukakan oleh para
ahli. Dengan memahami konsep manajemen risiko, diharapkan pembaca
akan memperoleh pemahaman menyeluruh tentang definisi, kerangka dan
proses manajemen risiko dan memberi landasan berfikir sebelum pembaca
beranjak ke Pedoman Manajemen Risiko lainnya.
C. Ruang Lingkup Pembahasan
Pedoman Umum Manajemen Risiko ini merupakan revisi atas pedoman
dengan judul yang sama yang diterbitkan tahun 2005. Pedoman Umum ini
menguraikan kerangka manajemen risiko yang disusun oleh Komite
bersama Australia dan Selandia Baru, yaitu Risk Management Standars
AS/NZS 4360:1999, Enterprise Risk Management yang disusun oleh
Committee of Sponsoring Organizations (COSO), sedangkan Risk Manajemen
berbasis ISO 31000, diuraikan secara utuh yang terdiri atas Prinsip,
Kerangka Kerja dan Proses Manajemen risiko.
Pedoman ini diperuntukan bagi BUMN, BUMD dan Badan
Usaha/Organisasi lainnya non perbankan.
 -9-

D. Struktur Pembahasan
Konsep risiko dan manajemen risiko dalam Pedoman Umum ini dibahas
dalam struktur bab. Masing-masing bab terdiri dari beberapa seksi dengan
urutan pembahasan sebagai berikut:
Bab 1 : Pendahuluan
Membahas tentang latar belakang, tujuan dan manfaat, ruang
lingkup dan struktur pembahasan mengenai konsep risiko dan
manajemen risiko.
Bab 2 : Konsep Manajemen Risiko
Membahas tentang berbagai persepsi risiko, definisi risiko, dan
pentingnya kesamaan bahasa risiko, perkembangan manajemen
risiko, manajemen risiko dalam struktur korporat, manajemen risiko
dalam perencanaan stratejik, manajemen risiko dalam pengambilan
keputusan.
Bab 3 : Kerangka dan Proses Manajemen Risiko
Membahas kerangka manajemen risiko, tinjauan umum dan tahap-
tahap dalam proses menajemen risiko yang dikemukakan oleh
beberapa badan penyusun standar, seperti Standards AS/NZS 4360
dan Enterprise Risk Management COSO serta Manajemen Risiko
berbasis ISO 31000.
Bab 4 : Penugasan Pengawasan Manajemen Risiko
Membahas penugasan pengawasan BPKP terkait penerapan
Manajemen Risiko di BUMN dan BUMD.
Bab 5 : Penutup
Membahas kesimpulan terutama faktor-faktor kunci keberhasilan
manajemen risiko.
 - 10 -

BAB II
KONSEP MANAJEMEN RISIKO

Manajemen risiko menyajikan suatu kerangka bagi manajemen untuk

menghadapi ketidakpastian dalam mencapai sasaran yang telah ditetapkan.
Organisasi beroperasi dalam lingkungan globalisasi, teknologi, peraturan,
pasar, dan persaingan yang dapat menciptakan ketidakpastian. Ketidakpastian
bisa berasal dari ketidakmampuan kita menentukan secara tepat tingkat
kemungkinan terjadinya peristiwa-peristiwa potensial dan outcome yang
terkait.
Ketidakpastian dapat juga berasal dari pilihan strategi organisasi, sebagai
contoh, suatu organisasi memiliki strategi pertumbuhan yang didasarkan pada
perluasan kegiatan operasi ke negara lain. Pemilihan strategi ini akan
menghadirkan risiko sekaligus peluang terkait stabilitas lingkungan politik,
sumber daya, pasar, saluran distribusi, kapasitas tenaga kerja, dan biaya di
negara tersebut.
Tidak ada organisasi yang beroperasi pada suatu lingkungan bebas risiko.
Manajemen risiko akan memungkinkan manajemen bekerja secara lebih efektif
dalam lingkungan yang penuh dengan risiko.
A. Definisi Risiko
Istilah risiko telah menjadi kata umum yang dapat kita jumpai dalam
kehidupan sehari-hari. Salah satu kendala awal berfikir tentang risiko
adalah banyaknya pengertian dan penafsiran berbeda atas istilah risiko.
Beberapa penafsiran istilah risiko yaitu:
1. Risiko dalam bidang manajemen strategi digambarkan sebagai
continuum (ancaman dan peluang) dengan hasil (negatif atau positif)
dan probabilitas (tingkat kemungkinan dan konsekuensi). Selain itu,
risiko disamakan dengan diskontinuitas – yakni sesuatu hal yang tidak
diharapkan.
2. Risiko dalam bidang manajemen keuangan digambarkan sebagai unsur
yang dapat dikuantifikasi (biaya) menguasai atau memiliki harta.
3. Risiko dalam industri keselamatan lingkungan dan kesehatan kerja
fokus pada kecelakaan kerja dan probabilitasnya.
4. Risiko dalam profesi audit cenderung bersifat protektif dan negatif,
fokus pada pengaruh kerugian harta yang material.
5. Risiko dalam industri asuransi dan manajemen risiko fokus pada
distribusi probabilitas peristiwa-peristiwa kerugian yang material.
 - 11 -

Terdapat pengertian/definisi risiko antara lain:

1. Kamus Besar Bahasa Indonesia.
Kamus Besar Bahasa Indonesia yang disusun oleh Departemen
Pendidikan dan Kebudayaan Republik Indonesia tahun 1988
mengartikan risiko secara harfiah sebagai “akibat yang kurang
menyenangkan (merugikan, membahayakan) dari suatu perbuatan atau
tindakan”. Dalam kamus Bahasa Inggris, risiko diartikan sebagai
“kemungkinan menemui bahaya, menderita kerugian dan sebagainya”.
2. Australia Standards/New Zealand Standards (AS/NZS)
Risk Management Australia Standards/New Zealand Standards
(AS/NZS) 4360:1999 mendefinisikan risiko sebagai “Peluang terjadinya
sesuatu yang akan berdampak pada pencapaian tujuan. Risiko diukur
dalam besaran konsekuensi dan kemungkinan terjadinya.”
3. Committee of Sponsoring Organization (COSO)
Enterprise Risk Management (ERM) COSO mendefinisikan risiko sebagai
“Kemungkinan terjadinya sebuah event yang dapat mempengaruhi
pencapaian sasaran entitas.”
4. The International Organization for Standardization (ISO) 31000
The International Organization for Standardization (ISO) menerbitkan ISO
31000: 2009 Risk Management–Principles and Guidelines
mendefinisikan risiko sebagai “Efek dari ketidakpastian terhadap
pencapaian sasaran organisasi.”
B. Manajemen Risiko
1. Definisi Manajemen Risiko
a. Kamus Besar Bahasa Indonesia
Manajemen Risiko menurut Kamus Besar Bahasa Indonesia adalah
upaya untuk mengurangi dampak dari unsur ketidakpastian.
b. AS/NZS
Manajemen risiko menurut AS/NZS adalah budaya, proses, dan
struktur yang diarahkan menuju pengelolaan potensi peluang dan
akibat secara efektif.
c. ERM COSO
Manajemen risiko menurut ERM COSO Tahun 2004 adalah proses
yang dipengaruhi oleh Board of Directors, manajemen dan personil
lain dalam entitas, diaplikasikan pada pembentukan strategi dan
pada seluruh bagian perusahaan, dirancang untuk mengidentifikasi
kejadian potensial yang dapat mempengaruhi entitas, dan mengelola
 - 12 -

risiko selaras dengan risk appetite entitas, untuk menyediakan

jaminan yang wajar terhadap pencapaian sasaran dari entitas.
d. Menurut ISO 31000
Manajemen risiko menurut ISO 31000 adalah aktivitas terkoordinasi
yang dilakukan dalam rangka mengelola dan mengontrol sebuah
organisasi terkait dengan risiko yang dihadapinya.
2. Manfaat Manajemen Risiko
Manajemen risiko yang dilaksanakan secara efektif dan wajar dapat
memberikan manfaat bagi perusahaan, yakni:
a. Membantu pencapaian tujuan perusahaan.
b. Mencapai kesinambungan pemberian pelayanan kepada
stakeholder, sehingga meningkatkan kualitas dan nilai perusahaan.
c. Mencapai hasil yang lebih baik berupa efisiensi dan efektivitas
pelayanan, seperti meningkatkan pelayanan kepada publik dan atau
meningkatkan penggunaan sumber daya yang lebih baik
(masyarakat, informasi, dana, dan peralatan).
d. Memberikan dasar penyusunan rencana strategi sebagai hasil dari
pertimbangan yang terstruktur terhadap unsur kunci risiko.
e. Menghindari biaya-biaya yang mengejutkan, karena perusahaan
mengidentifikasi dan mengelola risiko yang tidak diperlukan,
termasuk menghindari biaya dan waktu yang dihabiskan dalam
suatu perkara.
f. Menghindari pemborosan dan membuka peluang bagi perusahaan
untuk memberikan pelayanan terbaik.
g. Mencapai pengambilan keputusan yang terbuka dan berjalannya
proses manajemen.
h. Meningkatkan akuntabilitas dan corporate governance.
i. Mengubah pandangan terhadap risiko menjadi lebih terbuka, ada
toleransi terhadap kesalahan tapi tidak terhadap kekeliruan yang
disembunyikan. Perubahan pandangan ini memungkinkan
perusahaan belajar dari kesalahan masa lalunya untuk terus
memperbaiki kinerjanya.
j. Memfokuskan pelaksanaan kebijakan-kebijakan perusahaan
sehingga dapat meminimalkan ‘gangguan-gangguan’ yang tidak
dikehendaki.
 - 13 -

3. Perkembangan Manajemen Risiko

Nilai yang dikontribusikan artinya kontribusi manajemen

risiko kepada pembentukan keunggulan persaingan yang
gi
dicapai, memperbaiki kinerja bisnis dan mengoptimalkan ate
biaya. Str

Manajemen Risiko
NILAI YANG DIKONTRIBUSIKAN

Seluruh-Perusahaan
n
je me
na
Ma

Manajemen
l Risiko Bisnis
na
sio
era q Fokus: risiko bisnis
Op q Hubungan dengan peluang:
sangat jelas
Manajemen q Lingkup: menyelaraskan
strategi, proses, SDM,
Risiko
s ial teknologi dan pengetahuan
an q Fokus: risiko bisnis pada basis seluruh-perusahaan
Fin q Fokus: risiko keuangan q Hubungan dengan peluang:
dan kerusakan dan jelas
pengendalian intern q Lingkup: para manajer bisnis
q Hubungan dengan yang akuntabel (risiko per
peluang: dipahami risiko)
q Lingkup: perbendaharaan,
asuransi dan operasi yang
terlibat.

PERSPEKTIF MANAJEMEN RISIKO

Gambar 2.1 Evolusi Manajemen Risiko Ke Arah Proses Stratejik

Evolusi Manajemen Risiko seperti digambarkan di atas dapat diuraikan

sebagai berikut:
a. Manajemen Risiko
Pada perspektif ini, organisasi memandang manajemen risiko dari
model tradisional. Risiko dikelola melalui produk-produk, seperti
asuransi, instrumen derivatif dan semacamnya yang umumnya
bersifat keuangan, serta elemen-elemen manajemen risiko
operasional, misalnya kesehatan dan keselamatan.
Tiga kelemahan manajemen risiko adalah sebagai berikut:
1) Tanggung jawab terhadap manajemen risiko masih terpisah-
pisah
Fokus yang sempit hanya pada risiko finansial dan bahaya
tertentu seringkali mengarah pada pandangan bahwa
manajemen risiko adalah sebuah “pusat biaya“ yang dikelola
oleh sekelompok kecil orang, dan bukan suatu aktivitas seluruh
perusahaan, yang melibatkan setiap orang.
2) Fokusnya adalah pada risiko tunggal, bukan pada portofolio
bisnis
Penerapan model manajemen risiko terkadang didasarkan pada
pandangan terhadap risiko secara terisolasi, baik menurut tipe
risiko ataupun menurut unit atau aktivitas yang secara
potensial rentan terhadap risiko-risiko. Pendekatan ini
mengabaikan manfaat penentuan jejaring kerentanan yang
dapat ter-offset pada basis seluruh perusahaan.
 - 14 -

3) Manajemen Risiko bukanlah sebuah produk atau transaksi

Kita tidak dapat “membeli“ manajemen risiko, kita juga tidak
bisa mendelegasikan manajemen risiko kepada “pihak/unit
tertentu” karena manajemen risiko harus menjadi bagian dari
budaya organisasi sehingga manajemen risiko merupakan
bagian integral dari strategi organisasi.
b. Manajemen Risiko Bisnis
Pada perspektif ini manajemen risiko tidak lagi memandang risiko
sebagai sesuatu yang harus didelegasikan kepada fungsi-fungsi
terpisah, tetapi memahami dan mengelola risiko menjadi “bagian
dari pekerjaan setiap orang“.
c. Manajemen Risiko Terintegrasi (MRT)
Pada perspektif ini manajemen risiko diposisikan sebagai suatu
proses yang rasional untuk mengejar peluang yang tergantung pada
sifat model bisnis perusahaan.
Pendekatan MRT
1) Mengimplementasikan kesamaan bahasa yang memudahkan
komunikasi intern dan ekstern;
2) Menyajikan sebuah kerangka pelaporan yang konsisten untuk
menggabungkan pengukuran dan informasi risiko;
3) Membantu meningkatkan keyakinan manajemen melalui suatu
pendekatan yang sistematis untuk mengidentifikasi semua risiko
perusahaan;
4) Mendukung alokasi sumberdaya melalui prioritisasi risiko yang
cermat;
5) Mengurangi biaya pemindahan karena adanya pengoffsetan dan
pengelompokkan risiko-risiko; dan
6) Menciptakan proses terdisiplin dan terstruktur bagi
pengambilan keputusan yang sangat penting, misalnya
menerima/menolak risiko, mengelompokkan risiko-risiko untuk
tujuan pengukuran, memilih strategi risiko dan memutuskan
perbaikan manajemen risiko.
C. Manajemen Risiko dan Struktur Organisasi
Struktur manajemen risiko yang terintegrasi akan menciptakan
infrastruktur pengendalian yang jelas, menetapkan kebijakan, prosedur,
dan batas-batas kewenangan untuk setiap area dalam organisasi.
Sebagian organisasi menggunakan komite pengawasan risiko (risk oversight
committee) sebagai cara untuk memperkuat ketaatan dan pengendalian
 - 15 -

intern. Komite pengawasan risiko akan membantu ketaatan dengan

meminta laporan reguler tentang aktivitas manajemen risiko.
Bank-bank dan lembaga-lembaga jasa keuangan lainnya cenderung
memiliki struktur yang lebih formal untuk memantau risiko. Sejumlah
perusahaan pusat keuangan besar dunia, seperti Bankers Trust, Morgan
Stanley, Goldman Sachs, Merrill Linch, JP Morgan, Salomon Brothers dan
lain-lain telah membangun unit manajemen risiko sentral. Biasanya unit
manajemen risiko sentral ini bertanggung jawab untuk:
1. Menetapkan kebijakan dan prosedur manajemen risiko;
2. Mengukur risiko global dan memantau pasar uang;
3. Menelaah dan memberi persetujuan metodologi dan model manajemen
risiko, terutama model penentuan harga dan penilaian;
4. Mengaudit aktivitas-aktivitas pengambilan risiko; dan
5. Mengkomunikasikan hasil-hasil manajemen risiko.
Tidak ada pendekatan yang sempurna untuk manajemen risiko, apakah
sebuah perusahaan memiliki komite risiko atau tidak, yang diperlukan
adalah mengintegrasikan tindakan-tindakan risiko dari semua area
perusahaan.
 - 16 -

BAB III
KERANGKA DAN PROSES MANAJEMEN RISIKO

Integrasi merupakan karakter manajemen risiko modern. Manajemen risiko

yang terintegrasi memerlukan sebuah kerangka yang memungkinkan
organisasi untuk mengidentifikasi, mengantisipasi, dan secara efektif merespon
beragam peristiwa yang dapat mempengaruhi kemampuannya memenuhi
strategi dan mencapai tujuan. Tidak ada model manajemen risiko yang berlaku
untuk semua organisasi. Setiap organisasi harus merancang sebuah kerangka
yang dibangun sesuai bisnis, sektor industri, struktur organisasi, tujuan dan
toleransi risikonya.
Salah satu pertanda suatu organisasi telah mengintegrasikan prinsip-prinsip
manajamen risiko ke dalam manajemen bisnis adalah adanya kesamaan
bahasa dan kesamaan kerangka manajemen risiko. Tujuan utama dari
penggunaan kerangka manajemen risiko yang sama di seluruh bagian
organisasi adalah agar semua komponen organisasi memiliki kesamaan
persepsi tentang risiko serta memahami risiko dan implikasinya dari sudut
pandang yang sama.
Organisasi yang hendak menerapkan manajemen risiko terlebih dahulu harus
menentukan kerangka manajemen risiko yang akan digunakan. Kerangka
tersebut juga menjadi kriteria evaluasi apakah proses manajemen risiko telah
dilaksanakan dengan baik dan benar. Kerangka manajemen risiko yang
digunakan suatu organisasi bersifat spesifik sesuai jenis industrinya.
Sebagai gambaran umum tentang kerangka manajemen risiko, berikut akan
disajikan tiga kerangka manajemen risiko yang sudah ada, yakni:
A. Risk Management Standards Australia/New Zealand (AS/NZS 4360).
B. Enterprise Risk Management COSO.
C. Manajemen Risiko Berbasis ISO 31000.
 - 17 -

A. Risk Management Standards Australia/New Zealand (AS/NZS)

Risk Management Standards
Australia dan Selandia Baru
Tetapkan Konteks
AS/NZS 4360 mendefinisikan

Komunikasikan dan Konsultasikan

manajemen risiko sebagai budaya, Identifikasi Risiko

proses, dan struktur yang

Pantau dan Telaah

diarahkan kepada manajemen yang Analisis Risiko

efektif atas peluang-peluang yang

potensial dan pengaruh–pengaruh Evaluasi Risiko

yang merugikan. Proses manajemen

Tangani Risiko
risiko didefinisikan sebagai aplikasi
yang sistematis atas kebijakan
Gambar 3.1 Kerangka Manajemen Risiko AS/NZS 4360
manajemen, prosedur dan praktik-
praktik untuk tugas-tugas penetapan konteks, identifikasi, analisis,
evaluasi, penanganan, pemantauan dan pengkomunikasian risiko.
Uraian singkat mengenai tahap-tahap manajemen risiko menurut Standar
AS/NZS 4360:1999 adalah sebagai berikut:
1. Penetapan Konteks
Menetapkan konteks, baik konteks stratejik, organisasi dan manajemen
risiko di mana keseluruhan proses akan berjalan. Kriteria sebagai
bahan evaluasi risiko harus ditetapkan dan struktur analisis harus
didefinisikan. Kriteria meliputi tingkat keterjadian (likelihood) dan
tingkat dampak, sedangkan struktur analisa terkait dengan
ukuran/tingkat/klasifikasi risiko yang sesuai dengan selera (appetite)
dan toleransi (tolerance) manajemen/pimpinan.
2. Identifikasi Risiko
Mengidentifikasi apa, mengapa dan bagaimana sesuatu peristiwa
(risiko) dapat terjadi (kemungkinan terjadi) sebagai dasar untuk
melakukan analisis lebih lanjut.
3. Analisis Risiko
Menentukan pengendalian yang ada dan menganalisis risiko dalam
batasan konsekuensi dan tingkat kemungkinan, dalam konteks
pengendalian tersebut. Analisis harus mempertimbangkan luasnya
konsekuensi yang potensial dan seberapa mungkin konsekuensi
tersebut terjadi. Konsekuensi dan tingkat kemungkinan dapat
dikombinasikan untuk mendapatkan suatu tingkat risiko yang
diestimasi.
 - 18 -

4. Evaluasi Risiko
Membandingkan tingkat risiko yang diestimasi dengan kriteria yang
ditetapkan sebelumnya. Evaluasi risiko memungkinkan risiko
dirangking sedemikian rupa untuk mengidentifikasi prioritas
manajemen.
5. Penanganan Risiko
Risiko yang rendah atau dapat diterima harus dipantau dan ditelaah
secara periodik untuk menjamin bahwa risiko tersebut tetap dapat
diterima. Jika risiko tidak masuk dalam kategori rendah atau risiko
yang dapat diterima, risiko tersebut harus direspon dengan
menggunakan satu opsi atau lebih.
6. Pemantauan dan Penelaahan
Memantau dan menelaah kinerja sistem manajemen risiko dan
perubahan-perubahan yang mungkin mempengaruhinya.
7. Komunikasi dan Konsultansi
Mengkomunikasikan dan mengkonsultansikan kepada pihak-pihak
yang berkepentingan, baik intern maupun ekstern jika mungkin, pada
setiap tahapan proses manajemen risiko dan fokus pada proses secara
keseluruhan.

B. Enterprise Risk Management (ERM)- COSO

1. ERM COSO 2004.
L

A N
NA

N RA

N
K

TA
JI

Pada tahun 2001, Committee of

UA PO
TE

SI

A
KE LA
RA

TA
RA

PE

KE
PE
ST

Sponsoring Organization (COSO) of the LINGKUNGAN

LINGKUNGAN
INTERNAL
PENGENDALIAN
ANAK PERUSAHAAN

PENENTUAN TUJUAN

Treadway Commission meluncurkan

UNIT USAHA

IDENTIFIKASI RISIKO

sebuah kajian penting yang dirancang

TINGKAT ENTITAS
DIVISI

PENAKSIRAN RISIKO

untuk menyajikan panduan guna RESPON RISIKO

membantu organisasi dalam

AKTIVITAS-AKTIVITAS PENGENDALIAN

INFORMASI DAN KOMUNIKASI

mengelola risiko. Kajian tersebut PEMANTAUAN

adalah kerangka manajemen risiko Gambar 3.2 Enterprise Risk Management COSO

badan usaha (Enterprise Risk Management). Kerangka tersebut terdiri

dari dua bagian, yaitu kerangka itu sendiri dan panduan aplikasinya.
Kerangka manajemen risiko badan usaha mendefinisikan risiko dan
manajemen risiko badan usaha, dan menyajikan definisi
fundamental, konseptualisasi, kategori tujuan, komponen, prinsip-
prinsip, dan unsur-unsur lain dari kerangka manajemen risiko badan
usaha yang komprehensif.
 - 19 -

Panduan aplikasi berhubungan langsung dengan kerangka

manajemen risiko badan usaha, menyajikan informasi praktis
tentang ”bagaimana,” sehingga dapat diterapkan oleh badan usaha
dan organisasi-organisasi lain pada berbagai tingkatan seluruh
organisasi, lini bisnis, dan fungsi atau proses individual.
Menurut COSO: “Enterprise risk management is a process, effected by
an entity’s board of directors, management and other personnel,
applied in strategy setting and across the enterprise, designed to
identify potential events that may affect the entity, and manage risks to
be within its risk appetite, to provide reasonable assurance regarding
the achievement of entity objectives.”
Komponen/kerangka manajemen risiko menurut ERM COSO sebagai
berikut:
a. Lingkungan Intern
Manajemen menentukan pengertian risiko dan menetapkan suatu
selera (appetite) risiko. Lingkungan intern menentukan fondasi
tentang bagaimana risiko dan pengendalian dipandang oleh
orang-orang dalam suatu entitas. Inti dari bisnis apapun adalah
orang-orang – atribut individual mereka, termasuk integritas, nilai
etika dan kompetensi – dan lingkungan di mana mereka
beroperasi. Mereka adalah mesin yang mendorong entitas dan
fondasi dari setiap komponen lainnya.
b. Penentuan Tujuan
Tujuan harus ada sebelum manajemen dapat mengidentifikasi
peristiwa-peristiwa yang secara potensial dapat mempengaruhi
pencapaiannya. Manajemen risiko perusahaan menjamin bahwa
manajemen memiliki suatu proses yang berfungsi untuk
menentukan tujuan-tujuan dan bahwa tujuan yang dipilih
tersebut mendukung dan selaras dengan misi atau visi entitas
dan konsisten dengan selera risiko entitas.
c. Identifikasi Risiko
Peristiwa potensial yang dapat berdampak pada entitas harus
diidentifikasi. Identifikasi kondisi termasuk mengidentifikasi
faktor-faktor intern dan ekstern – bagaimana peristiwa-peristiwa
potensial dapat mempengaruhi implementasi strategi dan
pencapaian tujuan. Identifikasi kondisi termasuk membedakan
antara peristiwa potensial yang menunjukkan risiko, yang
menunjukkan peluang, dan yang menunjukkan keduanya.
 - 20 -

Manajemen mengidentifikasi adanya saling keterkaitan antara

peristiwa potensial agar dapat menggolongkan peristiwa tersebut
guna menciptakan dan menegakkan kesamaan bahasa risiko di
segenap entitas dan membentuk suatu basis guna
mempertimbangkan peristiwa tersebut dari sudut pandang
portofolio.
d. Penaksiran Risiko
Risiko yang teridentifikasi dianalisis untuk membentuk suatu
basis guna menentukan bagaimana risiko-risiko tersebut harus
dikelola. Risiko terkait tujuan bisa saja terpengaruh. Risiko-risiko
ditaksir pada basis intern dan ekstern, dan penaksirannya
mempertimbangkan baik likelihood maupun dampak risiko.
Berbagai akibat yang mungkin ditimbulkan dikaitkan dengan
suatu peristiwa potensial, dan manajemen harus
mempertimbangkan hal-hal itu secara bersama-sama.
e. Respon Risiko
Manajemen memilih suatu pendekatan atau sehimpunan
tindakan untuk menyelaraskan risiko tertaksir dengan selera
risiko entitas, dalam konteks strategi dan tujuan. Pegawai
mengidentifikasi dan mengevaluasi respon risiko yang mungkin,
termasuk menghindari, menerima, mengurangi dan membagi
risiko.
f. Aktivitas Pengendalian
Kebijakan dan prosedur ditetapkan dan dilaksanakan untuk
membantu meyakinkan bahwa respon-respon risiko yang dipilih
manajemen dilaksanakan secara efektif.
g. Informasi dan Komunikasi
Informasi yang relevan diidentifikasi, diperoleh dan
dikomunikasikan dalam suatu bentuk dan tenggat waktu yang
memungkinkan orang-orang untuk melaksanakan tanggung
jawab mereka. Informasi dibutuhkan oleh semua tingkatan dalam
entitas untuk mengidentifikasi, menaksir dan merespon risiko.
Komunikasi yang efektif juga harus terjadi dalam suatu
pengertian yang lebih umum, mengalir ke bawah, ke segenap
entitas. Pegawai harus menerima informasi yang
dikomunikasikan secara jelas sehubungan peran dan tanggung
jawab mereka.
 - 21 -

h. Pemantauan
Keseluruhan proses manajemen risiko perusahaan harus
dipantau, dan jika perlu dilakukan modifikasi. Dengan cara
demikian, sistem dapat bereaksi secara dinamis, berubah sesuai
kondisi yang ada. Pemantauan diselenggarakan melalui aktivitas
manajemen yang sedang berjalan, evaluasi terpisah dari proses
manajemen risiko perusahaan adalah kombinasi keduanya.
2. ERM COSO 2017
a. Alasan Pemutakhiran
Pada tahun 2017, COSO melakukan pemutakhiran Kerangka
Kerja Enterprise Risk management (ERM) tahun 2004. Alasan
dilakukan pemutakhiran, antara lain adanya perubahan
kompleksitas bisnis, cepatnya bermunculan risiko-risiko baru
yang tidak terprediksi sebelumnya, pergeseran perilaku pelanggan
dan evolusi teknologi.
Beberapa perubahan yang dilakukan pada kerangka COSO 2017,
yaitu:
1) Memperkenalkan struktur baru
ERM COSO 2017 memperkenalkan kerangka baru, yaitu 5
(lima) komponen dan 20 (dua puluh) prinsip.
Prinsip-prinsip mencakup proses dari tata kelola ke aktivitas
sehari-hari, yang dikelola dalam jumlah dan berlaku untuk
semua organisasi sesuai dengan ukuran, jenis, atau sektor.
2) Menggali berbagai manfaat
Kerangka kerja menyajikan kasus yang jelas dalam
mengintegrasikan praktik manajemen risiko dengan
pengaturan strategi dan praktik manajemen kinerja untuk
membantu mewujudkan manfaat yang terkait dengan nilai.
3) Fokus untuk mengintegrasikan manajemen risiko
COSO 2017 memberikan panduan tentang cara
mengintegrasikan manajemen risiko perusahaan dengan lebih
baik, menghubungkan risiko dengan pengaturan strategi dan
kegiatan sehari-hari, menanamkannya di seluruh budaya,
kemampuan, dan praktik organisasi, dan memberi arahan
untuk pengambilan keputusan.
4) Penulisan dalam perspektif bisnis
Bahasa Kerangka membuat pembahasan tentang risiko yang
relevan dan universal dengan menetapkan definisi inti,
 - 22 -

komponen dan prinsip untuk semua tingkat manajemen yang

terlibat dalam merancang, menerapkan dan melakukan
praktik ERM.
5) Fitur suite grafis baru
Kerangka ini memanfaatkan grafis konseptual baru. Grafik
inti menggambarkan hubungan antara manajemen risiko dan
model bisnis. Grafik lain, seperti kurva risiko, menyoroti
hubungan antara risiko, strategi, dan kinerja yang lebih lanjut
menanamkan manajemen risiko ke dalam percakapan sehari-
hari.
6) Menggali manajemen risiko di semua tingkatan organisasi
Kerangka ini mengeksplorasi bagaimana identifikasi,
penilaian, dan manajemen risiko berubah dari transaksional
ke strategis dari tingkat entitas hingga risiko tingkat proses.
7) Menyelami diskusi yang lebih dalam tentang topik yang
menantang
Kerangka ini membahas topik-topik seperti risk appetite dan
pandangan portofolio risiko, dan membahas beberapa
kesalahpahaman yang ada saat ini, serta memberikan
wawasan yang lebih mendalam.
8) Penekanan yang lebih besar pada budaya
Kerangka ini mengeksplorasi bagaimana praktik manajemen
risiko perusahaan dapat menanamkan lebih banyak
transparansi dan kesadaran risiko ke dalam budaya
organisasi, membantu orang membuat keputusan sekaligus
memahami pentingnya budaya dalam membentuk keputusan
tersebut.
9) Peran yang berkembang dari teknologi informasi
Kerangka kerja menyoroti bagaimana tren bisnis, seperti
proliferasi data, kecerdasan buatan dan otomatisasi;
mempengaruhi strategi organisasi, konteks bisnis, dan
manajemen risiko.
 - 23 -

b. Komponen dan Prinsip

ERM COSO 2017 memperkenalkan 5 komponen dengan 20
prinsip.

Gambar: Komponen dan Prinsip Manajemen Risiko

Komponen Prinsip
1) Tata Kelola dan a) Pengawasan risiko oleh Dewan
Budaya Komisaris / Dewan Pengawas
b) Pembentukan struktur organisasi
c) Pendefinisian budaya yang diinginkan
d) Implementasi komitmen terhadap nilai-
nilai inti
e) Kemampuaan menarik,
mengembangkan, dan
mempertahankan individu yang handal
2) Penyusunan f) Analisis konteks bisnis
Strategi dan g) Penentuan risk appetite
Tujuan h) Evaluasi strategi alternatif
i) Perumusan tujuan bisnis

3) Kinerja j) Identifikasi risiko

k) Penilaian tingkat/rangking risiko
l) Penetapan prioritas risiko
m) Penerapan tanggapan risiko
n) Pengembangan tampilan portofolio
4) Reviu dan Revisi o) Penilaian perubahan substansial
p) Reviu risiko dan kinerja
q) Peningkatan manajemen risiko
organisasi
5) Informasi, r) Pemanfaatan sistem informasi dan
Komunikasi dan teknologi
 - 24 -

Komponen Prinsip
Pelaporan s) Pengkomunikasian informasi risiko
t) Pelaporan Risiko, Budaya, dan Kinerja

1) Tata kelola dan budaya organisasi

Tata kelola dan budaya perusahaan merupakan fondasi bagi
komponen lainnya dari manajemen risiko perusahaan. Tata
kelola mengatur ritme organisasi, memperkuat pentingnya
manajemen risiko perusahaan dan tanggung jawab
pengawasan. Budaya berkaitan dengan nilai-nilai etika,
perilaku yang pantas untuk dapat menopang implementasi
strategi organisasi serta upaya pencapaian kinerja.
Agar implementasi strategi dengan ERM berlangsung dengan
efektif, komponen tata kelola dan budaya organisasi perlu
dilengkapi dengan lima prinsip yaitu:
a) Pengawasan risiko oleh Dewan Komisaris/Dewan
Pengawas
Dewan Komisaris/Dewan Pengawas melakukan
pengawasan yang efektif dan memberikan dukungan
terhadap implementasi dan pencapaian strategi organisasi.
b) Pembentukan struktur organisasi
Menetapkan struktur organisasi beserta uraian kerja yang
memadai, tanggung jawab yang jelas dan dapat menjamin
pencapaian tujuan target strategis perusahaan.
c) Pendefinisian budaya organisasi yang diinginkan
Budaya organisasi didefinisikan, dibangun, dan diterapkan
sesuai dengan strategi dan tujuan atau sasaran organisasi
yang diinginkan.
d) Penerapan komitmen terhadap nilai-nilai inti
Nilai-nilai inti tercermin dalam tindakan dan keputusan
yang diterapkan di seluruh organisasi. Nilai inti
dikomunikasikan secara konsisten kepada seluruh insan
organisasi. Penerapan budaya sadar risiko dalam setiap
aktivitas organisasi sampai pada pengambilan keputusan
oleh manajemen.
 - 25 -

e) Kemampuan menarik, mengembangkan, dan

mempertahankan individu yang handal
Organisasi mampu menarik, mengembangkan, dan
mempertahankan individu atau personel yang memiliki
kemampuan, pengetahuan, ketrampilan, dan kontribusi
unggul kepada organisasi.
2) Penyusunan Strategi dan Tujuan
Perumusan dan penetapan strategi serta tujuan organisasi
harus dialiansikan dengan ERM. Komponen kedua ini menjadi
dinding-dinding yang akan menopang COSO ERM dengan
empat prinsip yaitu:
a) Analisis konteks bisnis
Organisasi mempertimbangkan efek potensial dari konteks
bisnis pada profile risiko. Analisis atas konteks bisnis atau
lingkungan usaha dan mengidentifikasi dampak potensial
terhadap profil risiko yang telah disusun.
b) Penentuan risk appetite
Organisasi mendefinisikan risk appetite dalam konteks
menciptakan, melestarikan, dan mewujudkan nilai.
Risk appetite disusun baik pada tingkat entitas maupun
tingkat kegiatan/operasional.
c) Evaluasi strategi alternatif
Organisasi mengevaluasi strategi alternatif dan potensi
dampak pada profil risiko.
d) Perumusan tujuan bisnis
Organisasi mempertimbangkan risiko saat menetapkan
tujuan bisnis yang selaras dan mendukung strategi.
3) Kinerja
Organisasi melakukan identifikasi dan analisis risiko yang
dapat mempengaruhi pencapaian strategi dan tujuan
organisasi. Risiko dirangking sesuai dengan risk appetite yang
telah ditetapkan. Organisasi kemudian memilih respon risiko
dan mengambil pandangan portofolio tentang jumlah risiko
yang diasumsikan. Hasil dari proses ini dilaporkan kepada
pemangku kepentingan risiko kunci.
Risiko harus dipertimbangkan sebelum eksekusi strategi
bisnis. Dengan demikian kajian risiko (identifikasi, penilaian,
dan pengelolaan risiko) perlu dilakukan agar tujuan bisnis
 - 26 -

dan kinerja dapat lebih diyakini hasilnya. Pengelolaan risiko

terkait strategi dan kinerja harus bersifat menyeluruh
(organization wide) dengan portofolio risiko serta risk appetite
yang tepat.
Komponen ke-3 didukung dengan 5 prinsip, yaitu:
a) Identifikasi risiko
Organisasi mengidentifikasi risiko yang memengaruhi
kinerja strategi dan tujuan bisnis.
b) Penilaian tingkat keparahan risiko
Organisasi menilai tingkat keparahan risiko.
c) Prioritas risiko
Organisasi memprioritaskan risiko sebagai dasar untuk
memilih respons terhadap risiko.
d) Penerapan tanggapan risiko
Organisasi mengidentifikasi dan memilih respon risiko.
e) Pengembangkan tampilan portofolio
Organisasi mengembangkan dan mengevaluasi pandangan
portofolio risiko.
4) Reviu dan Revisi
Reviu terhadap kinerja entitas, organisasi dapat meyakinkan
seberapa baik komponen manajemen risiko perusahaan
berfungsi dari waktu ke waktu dan mengingat perubahan
substansial, dan revisi apa yang diperlukan.
Reviu dan revisi terhadap ERM dilakukan untuk meyakinkan
apakah ERM telah teraliansi dan mampu memberikan nilai
dalam siklus perencanaan sampai dengan pencapaian strategi
dan tujuan organisasi. Komponen ini menjadi control loop dan
penjaminan mutu atas sistem ERM yang dirancang dan
diimplementasikan:
a) Penilaian perubahan substansial
Organisasi mengidentifikasi dan menilai perubahan yang
substansial yang dapat mempengaruhi strategi dan tujuan
bisnis.
b) Reviu risiko dan kinerja
Organisasi meninjau kinerja entitas dan
mempertimbangkan risiko.
 - 27 -

c) Peningkatan manajemen risiko perusahaan

Organisasi mengejar peningkatan manajemen risiko
perusahaan.
5) Informasi, komunikasi dan pelaporan
Penyebaran informasi yang efektif ke semua lapisan dan
jajaran organisasi sesuai dengan tingkatan informasi yang
dibutuhkan masing-masing secara cepat, lengkap, dan tepat.
Komponen ke 5 didukung oleh 3 prinsip, yaitu:
a) Pemanfaatan sistem informasi dan teknologi
Organisasi memanfaatkan informasi dan sistem teknologi
entitas untuk mendukung manajemen risiko perusahaan.
b) Pengkomunikasian informasi risiko
Organisasi menggunakan saluran komunikasi untuk
mendukung manajemen risiko perusahaan.
c) Laporan Risiko, Budaya, dan Kinerja
Organisasi melaporkan risiko, budaya, dan kinerja di
berbagai tingkat dan di seluruh entitas.
3. Manajemen Risiko Berbasis ISO 31000
ISO (The International Organization for Standardization) merupakan
organisasi internasional khusus dalam hal standardisasi yang
menetapkan standar internasional di bidang industrial dan komersial
dunia dimana tujuan pembentukannya untuk meningkatkan
perdagangan antar negara-negara di dunia.
ISO 31000 merupakan standar, instruksi, dan tuntutan bagi sebuah
organisasi untuk membangun sebuah pondasi dan kerangka kerja
bagi suatu program manajemen risiko. Pondasi tersebut meliputi
aturan, tujuan, dan komitmen untuk membangun suatu program
manajemen risiko yang komprehensif. Kerangka kerja meliputi
perencanaan, akuntabilitas dari para karyawan, proses dan aktivitas
yang digunakan untuk mengelola risiko dalam kinerja perusahaan.
Tujuan dari standarisasi ini adalah untuk menyediakan prinsip-
prinsip dan acuan dari program manajemen risiko kepada organisasi.
Standar ISO 31000 menyediakan prinsip dan panduan generik untuk
penerapan manajemen risiko. Standar ini dapat digunakan untuk
organisasi, perusahaan publik, perusahaan swasta, organisasi
nirlaba, kelompok, ataupun perseorangan. Oleh karena itu, standar
ini bersifat generik dan tidak spesifik bagi industri atau sektor
tertentu.
 - 28 -

a. ISO 31000:2009
Setelah disepakati oleh anggota ISO, ISO Technical Management
Board Working Group untuk manajemen risiko menerbitkan ISO
31000:2009, Risk Management – Principles and Guidelines pada
bulan November 2009.
Standar ini dapat digunakan untuk berbagai kegiatan, proses,
fungsi, proyek, produk, jasa,aset, operasi, dan pengambilan
keputusan.

1. Nilai tambah
2. Bagian terpadu dari Mandat dan
Komitmen Menentukan
proses organisasi
3. Bagian dari konteks
pengambilan
keputusan
4. Secara khusus RISK
ASSESSMENT

Komunikasi dan informasi

menangani

Monitoring dan Rreview

ketidakpastian Desain
kerangka kerja Identifikasi
5. Sistematis, terstruktur
untuk risiko
dan tepat waktu
6. Berdasarkan informasi mengelola risiko
terbaik yang ada Analisa
7. Tailored risiko
8. Mempertimbangkan Perbaikan
faktor manusia dan kerangka Penerapan
budaya kerja manajemen Evaluasi
9. Transparan dan inklusif berkesinam risiko risiko
10.Dinamis, berulang dan bungan
responsif terhadap
perubahan
11.Memfasilitasi Pemantauan
perbaikan sinambung Perlakuan
dan reviu
dan peningkatan Risiko
kerangka kerja
organisasi

PRINSIP KERANGKA KERJA PROSES

UNTUK MENGELOLA RISIKO UNTUK MENGELOLA RISIKO UNTUK MENGELOLA RISIKO

Gambar 3.3. Manajemen Risiko berbasis ISO 31000

Dalam ISO 31000:2009, terdapat tiga komponen yang saling
terkait, yaitu: prinsip manajemen risiko, kerangka kerja
manajemen risiko, dan proses manajemen risiko.
Uraian singkat masing-masing komponen manajemen risiko
adalah sebagai berikut:
1) Prinsip Untuk Mengelola Risiko
a) Prinsip 1: Manajemen risiko haruslah memberikan nilai
tambah
b) Prinsip 2: Manajemen risiko adalah bagian proses
organisasi
Dalam setiap proses bisnis terdapat hal-hal yang dapat
menyebabkan sasaran proses tersebut tidak tercapai,
sehingga penanggung jawab proses harus mempersiapkan
dirinya dan dapat mengelolanya bila hal tersebut terjadi.
c) Prinsip 3: Manajemen risiko adalah bagian proses
pengambilan keputusan
 - 29 -

Jika suatu hal yang dikhawatirkan memang terjadi, maka

harus dipilih keputusan yang akan dilaksanakan
berdasarkan alternatif yang tersedia. Selain itu, harus
diputuskan tindakan yang harus dilaksanakan agar kasus
yang serupa tidak terjadi lagi dimasa yang akan datang.
d) Prinsip 4: Manajemen risiko secara khusus menangani
aspek ketidakpastian
Penanggung jawab proses harus memperkirakan
kemungkinan terjadinya risiko dan besarnya dampak yang
ditimbulkan oleh setiap butir risiko. Dengan dilakukannya
proses ini, maka dapat dilakukan antisipasi terhadap hal-
hal yang dapat menghambat tercapainya sasaran secara
memadai. Ini berarti, aspek ketidakpastian yang tadinya
sama sekali diperhatikan sudah mulai direduksi.
e) Prinsip 5: Manajemen risko bersifat sistematik,
terstruktur, dan tepat waktu
Unit kerja manajemen risiko memastikan, apakah proses
manajemen risiko terlaksana secara sistematis,
terstruktur, dan tepat waktu.
f) Prinsip 6: Manajemen risiko berdasarkan informasi terbaik
yang tersedia
Kegiatan penyusunan data base risiko, termasuk di
dalamnya proses dokumentasi dan pemutakhiran
informasi pada daftar risiko (risk register) merupakan
tanggung jawab pemangku risiko. Peran unit manajemen
risiko adalah menjadi fasilitator yang mendukung dan
membantu proses pengumpulan informasi termasuk
menyusun model risiko yang sesuai dengan proses bisnis
terkait.
g) Prinsip 7: Manajemen risiko adalah khas untuk
penggunanya (tailored)
Setiap orang dalam suatu organisasi mempunyai tugas
dan tanggung jawab dan ukuran keberhasilan yang
berbeda-beda, sehingga setiap orang harus berupaya
memahami apa yang menjadi hambatan/menghalanginya
mencapai mencapai sasaran tugas dan tanggung
jawabnya. Kemudian mengidentifikasi berbagai risiko yang
 - 30 -

dapat mempengaruhi tercapainya sasaran tersebut dan

cara menanganinya.
h) Prinsip 8: Manajemen risiko mempertimbangkan faktor
manusia dan budaya
Manajemen risiko diterapkan oleh anggota organisasi yang
mempunyai kapabilitas, kepentingan, dan persepsi yang
berbeda-beda. Perbedaan ini perlu ditangani terlebih
dahulu melalui proses manajemen perubahan
(management of change), sehingga diperoleh kesamaan
persepsi dan kapabilitas yang memadai yang diselaraskan
dengan kepentingan organisasi yang didalamnya terdapat
kepentingan setiap unit manajemen dalam organisasi.
Dalam pelaksanaan manajemen perubahan, unit
manajemen risiko bersama unit manajemen SDM
mempunyai peran yang sangat besar. Keberhasilan
manajemen risiko sangat tergantung pada keberhasilan
proses perubahan ini.
i) Prinsip 9: Manajemen risiko haruslah transparan dan
inklusif
Biasanya suatu risiko mempunyai keterkaitan dengan
risiko lainnya atau bisa berdampak pada bagian lainnya.
Untuk mengetahui risiko yang sesungguhnya dapat
menggunakan root cause analysis secara sederhana.
Proses ini hanya dapat dilakukan bila terdapat
transparansi pembahasan masalah dan melibatkan semua
pihak dalam organisasi.
j) Prinsip 10: Manajemen risiko bersifat dinamis,
berulang, dan tanggap terhadap perubahan
Unit manajemen risiko berperan sebagai fasilitator dalam
proses perubahan yang terjadi dalam suatu organisasi,
baik dari konteks internal maupun eksternal organisasi.
Proses monitoring dan tinjauan yang baik akan sangat
membantu mendeteksi terjadinya perubahan dan proses
penyesuaian terhadap perubahan yang terjadi.
k) Prinsip 11: Manajemen risiko harus memfasilitasi
terjadinya perbaikan dan peningkatan organisasi secara
berlanjut
 - 31 -

Unit manajemen risiko harus membantu setiap perbaikan

dan peningkatan yang terjadi dalam organisasi secara
berkelanjutan, membantu penerapannya dan
menjadikannya sebagai salah satu aktivitas pengendalian
risiko.
2) Kerangka Kerja Manajemen Risiko berbasis ISO 31000:2009
Kerangka kerja manajemen risiko ditujukan untuk membantu
organisasi mengintegrasikan manajemen risiko ke dalam
keseluruhan sistem manajemen organisasi. Hal ini untuk
memastikan bahwa informasi yang lengkap dan memadai
yang diperoleh dari proses manajemen risiko dilaporkan serta
digunakan sebagai landasan untuk pengambilan keputusan.
Komponen kerangka kerja manajemen risiko dan
hubungannya satu sama lain digambarkan sebagai berkut:

Mandat &
Komitmen

Desain Kerangka Kerja

Perbaikan
Penerapan
Kerangka Kerja
Kerangka Kerja
Berkesinambungan

Pemantauan & Reviu

Kerangka Kerja

Gambar 3.4 Kerangka Manajemen Risiko ISO 31000:2009

a) Mandat dan Komitmen

Penerapan manajemen risiko yang efektif mensyaratkan
adanya komitmen yang kuat dan berkelanjutan. Untuk itu,
diperlukan perencanaan yang matang dan strategi yang
tepat dalam pelaksanaannya. Guna melaksanakan hal ini
maka manajemen harus:
(1) Mengartikulasikan dengan jelas pentingnya
manajemen risiko bagi organisasi dan menetapkan
kebijakan manajemen risiko.
(2) Menetapkan indikator kinerja manajemen risiko yang
selaras dengan indikator kinerja perusahaan.
 - 32 -

(3) Memastikan bahwa sasaran manajemen risiko selaras

dengan strategi dan sasaran organisasi.
(4) Memastikan kepatuhaan terhadap peraturan
perundang-undangan.
(5) Menugaskan secara jelas dan dengan akuntabilitas
serta tanggung jawab unit mana.
(6) Memastikan bahwa sumber daya manusia telah
teralokasikan dengan baik dalam mengelola risiko.
(7) Memastikan bahwa kerangka kerja manajemen risiko
dijamin keberlangsungannya.
b) Perencanaan Kerangka Kerja Manajemen Risiko
(1) Memahami organisasi dan konteksnya
Sebelum mulai merencanakan dan menerapkan
kerangka kerja manajemen risiko, sangat penting
untuk memahami kondisi dari sifat organisasi serta
konteks internal dan eksternal. Hal ini sangat penting
karena akan menentukan bentuk rencana dari
kerangka kerja tersebut.
Konteks internal organisasi antara lain, adalah:
(a) Kapabilitas organisasi dalam pengertian sumber
daya dan pengetahuan, contohnya: dana, orang,
waktu, proses, sistem, dan teknologi.
(b) Sistem informasi, arus informasi, dan proses
pengambilan keputusan baik formal maupun
informal.
(c) Para pemangku kepentingan internal.
(d) Kebijakan, sasaran, dan strategi yang digunakan
untuk mencapai sasaran tersebut.
(e) Persepsi, nilai-nilai, dan budaya oraganisasi.
(f) Standar dan model acuan yang digunakan oleh
organisasi.
(g) Struktur (misalnya governance, peran dan
akuntabilitas).
Konteks eksternal organisasi antara lain, adalah:
(a) Lingkungan budaya, politik, hukum, ekonomi,
teknologi, geografis, kondisi alam, baik secara
domestik, regional maupun international.
 - 33 -

(b) Faktor kunci dan kecenderungan (trend) yang

mempunyai dampak terhadap sasaran organisasi.
(c) Persepsi dan nilai-nilai yang dianut para pemangku
kepentingan eksternal organisasi.
(2) Kebijakan manajemen risiko
Kebijakan manajemen risiko harus secara jelas
menyatakan tujuan dan komitmen organisasi terhadap
manajemen risiko dan secara tipikal menunjukkan:
(a) Alasan organisasi mengelola.
(b) Kaitan antara tujuan dan kebijakan organisasi
dengan kebijakan manajemen risiko.
(c) Akuntabilitas dan tanggung jawab untuk mengelola
risiko.
(d) Langkah-langkah yang diperlukan di dalam
menangani adanya konflik kepentingan.
(e) Cara bagaimana organisasi mengukur kinerja
pengelolaan risiko dan bagaimana melaporkannya.
(f) Komitmen untuk secara periodik melakukan dan
perbaikan terhadap kebijakan dan kerangka kerja
manajemen risiko dan tingkat ketanggapan atas
suatu peristiwa atau perubahan-perubahan
lingkungan.
(g) Kebijakan manajemen risiko harus
dikomunikasikan secara memadai.
(3) Integrasi dalam proses organisasi
Proses manajemen risiko harus menjadi bagian dari
proses pengembangan/kebijakan bisnis, perencanaan,
strategi, penyusunan rencana bisnis, dan proses
manajemen perubahan. Harus ada perencanaan
manajemen risiko untuk memastikan bahwa kebijakan
manajemen risiko telah diimplementasikan dan
manajemen risiko telah menyatu dengan praktik-
praktik dan proses-proses yang ada dalam organisasi.
Rencana pengelolaan risiko dapat diintegrasikan
dengan perencanaan organisasi lainnya seperti
perencanaan stratejik (strategic plan).
 - 34 -

(4) Akuntabilitas
Organisasi harus memastikan bahwa organisasi telah
menetapkan akuntabilitas, kewenangan dan tingkat
kompetensi yang memadai dalam mengelola risiko,
termasuk mengimplementasikan dan memelihara
proses manajemen risiko dan memastikan kecukupan,
efektivitas, dan efisiensi berbagai pengendalian.
Hal ini dapat difasilitasi dengan:
(a) Mengidentifikasi pemilik risiko (risk owner) yang
memiliki akuntabilitas dan kewenangan dalam
mengelola risiko.
(b) Mengidentifikasi siapa yang bertanggung jawab
membangun, mengimplementasikan, dan
memelihara proses-proses pengelolaan risiko.
(c) Menetapkan pengukuran kinerja dan pelaporan
kepada pihak eksternal dan internal.
(d) Memastikan tingkat pengakuan (level of recognition)
yang tepat.
(5) Sumber Daya
Organisasi harus mengalokasikan sumber daya yang
memadai untuk pelaksanaan manajemen risiko.
Perhatian harus ditambahkan terhadap beberapa hal
yaitu:
(a) Individu, keahlian (skill), pengalaman dan
kompetensi.
(b) Sumber daya yang diperlukan untuk setiap
langkah dalam proses mengelola risiko.
(c) Proses-proses, metode dan sarana yang digunakan
dalam mengelola risiko.
(d) Proses-proses yang didokumentasikan dengan
berbagai prosedur.
(e) Sistem informasi dengan knowledge management
system.
(6) Pembuatan mekanisme pelaporan dan komunikasi
internal
Organisasi haruslah membangun mekanisme sistem
pelaporan dan komunikasi internal. Mekanisme yang
dibangun harus mencakup proses untuk
 - 35 -

mengkonsolidasikan informasi risiko dan bila

diperlukan dari berbagai sumber dalam organisasi,
dengan memperhatikan tingkat kepekaan informasi
tersebut.
Mekanisme harus memastikan bahwa:
(a) Komponen-komponen utama dari kerangka
pengelolaan risiko berikut modifikasi yang telah
dilakukan pasca penetapan komponen utama, telah
dikomunikasikan secara memadai.
(b) Terdapat pelaporan internal yang telah tertata
dengan baik, termasuk efektivitas dan outcome-nya.
(c) Informasi yang relevan yang dijabarkan dari
aplikasi pengelolaan risiko, telah tersedia pada
setiap level yang tepat dengan tepat waktu.
(d) Adanya proses-proses untuk berkonsultasi dengan
pihak-pihak internal.
(7) Pembuatan mekanisme pelaporan dan komunikasi
eksternal
Organisasi hendaknya mengembangkan dan
menerapkan sebuah rencana tentang cara
berkomunikasi dengan para pemangku kepentingan
(stakeholders).
Hal tersebut meliputi:
(a) Keterlibatan stakeholder eksternal yang tepat dan
memastikan adanya pertukaran informasi yang
efektif.
(b) ketaatan penyampaian pelaporan kepada pihak
eksternal sesuai peraturan perundang-undangan
yang berlaku dan ketentuan terkait dengan
regulator dan tata kelola (governance).
(c) memberikan umpan balik dan melaporkannya pada
saat komunikasi dan konsultasi.
(d) berkomunikasi dengan stakeholder pada saat
terjadinya peristiwa krisis dan kontinjensi.
c) Penerapan Kerangka Kerja Manajemen Risiko
Manajemen risiko dapat dikatakan telah terlaksana
dengan baik bila proses manajemen risiko telah terlaksana
dengan baik di setiap tingkatan dan fungsi organisasi.
 - 36 -

Proses penerapan manajemen risiko ini merupakan bagian

dari praktik-praktik terbaik organisasi dan proses bisnis
organisasi.
Dalam mengimplementasikan kerangka kerja organisasi di
dalam mengelola risiko, organisasi harus:
(1) Menetapkan waktu yang tepat serta strategi yang
cermat dalam mengimplementasikan kerangka kerja
manajemen risiko.
(2) Menerapkan kebijakan manajemen risiko serta proses-
prosesnya ke dalam proses-proses organisasi.
(3) Patuh terhadap peraturan perundang-undangan dan
regulator.
(4) Memastikan bahwa pengambilan keputusan yang
meliputi pembangunan dan penetapan tujuan telah
diselaraskan dengan outcomes dari proses-proses
manajemen risiko yang ada.
(5) Berkomunikasi dan berkonsultasi dengan stakeholder
untuk memastikan bahwa kerangka kerja manajemen
risiko telah tepat atau sesuai.
Selanjutnya bahwa manajemen risiko harus
diimplementasikan dengan jalan memastikan bahwa
proses-proses manajemen risiko telah diselenggarakan
melalui perencanaan manajemen risiko pada setiap level
dan berfungsi sebagai bagian dari proses-proses dan
praktik yang ada. Komunikasi dan konsultasi dengan
stakeholder harus dilaksanakan dalam setiap tahap
pengelolaan risiko.
d) Pemantauan dan Reviu Kerangka Kerja
Untuk memastikan bahwa manajemen risiko efektif dan
menunjang kinerja organisasi maka manajemen
organisasi, hendaknya:
(1) Menetapkan ukuran kinerja. Mengukur kinerja
manajemen risiko dibandingkan dengan indikator yang
ada dan secara periodik melakukan reviu dalam
rangka menjamin ketepatannya.
(2) Mengukur kemajuan penerapan manajemen risiko
secara berkala dibandingkan dengan rencana awal.
 - 37 -

(3) Meninjau secara berkala apakah kerangka kerja

manajemen risiko, kebijakan risiko, dan rencana
penerapan masih tetap sesuai dengan konteks internal
dan eksternal organisasi.
(4) Memastikan apakah kebijakan risiko dipatuhi,
memantau bagaimanakah penerapan rencana
manajemen risiko dan kepatuhan dalam
menyampaikan laporan risiko secara berkala.
Melaporkan risiko serta mengukur kemajuan
dibandingkan dengan perencanaan manajemen risiko
dan sejauhmana kebijakan manajemen risiko telah
ditaati oleh organisasi.
(5) Memantau efektivitas kerangka kerja manajemen
risiko.
e) Perbaikan kerangka kerja secara berkesinambungan
Berdasarkan hasil monitoring dan reviu harus diambil
tindak lanjut untuk meningkatkan kerangka kerja
manajemen risiko, kebijakan risiko, dan rencana
manajemen risiko. Tindak lanjut ini diharapkan akan
meningkatkan dan memperbaiki manajemen risiko
organisasi serta budaya risiko organisasi. Dalam
memonitor dan mereviu kerangka kerja manajemen risiko,
keputusan harus diambil terkait dengan bagaimana
kerangka kerja, kebijakan dan rencana manajemen risiko
harus disempurnakan. Keputusan yang diambil harus
mendorong adanya perbaikan terhadap pengelolaan risiko
dan budaya organisasi dalam mengelola risiko.
 - 38 -

3) Proses Manajemen Risiko

Secara ringkas, proses manajemen risiko telah dibahas pada
sub bab tentang Kerangka Manajemen Risiko. Setiap tahapan
tersebut secara rinci
ditunjukkan pada Menentukan Kontek
2
Gambar 3.1, 3.2, 3.3
RISK
dan 3.4. Organisasi ASSESSMENT 3
1

Komunikasi dan Informasi

harus dapat mengenali,

Monitoring dan Review

Identifikasi Risiko
mengevaluasi,
mengambil tindakan, Analisa Risiko

serta memantau risiko- Evaluasi Risiko

risikonya. Seperti
5
terlihat pada gambar 4 Perlakuan Risiko
3.5, proses manajemen
Gambar 3.5 Proses Manajemen Risiko ISO 31000
risiko merupakan
kegiatan yang berlangsung terus-menerus. Sebagai suatu
siklus yang berkesinambungan, proses manajemen risiko
menjamin bahwa seluruh risiko yang teridentifikasi telah
dikelola dengan semestinya. Jika diterapkan secara efektif,
manajemen risiko dapat membantu organisasi untuk
mengevaluasi kekuatan dan kelemahannya. Manajemen risiko
yang baik dapat membantu organisasi meminimalisasi
dampak yang mungkin timbul apabila risiko benar-benar
terjadi.
Tahapan Proses Manajemen Risiko ISO 31000:2009
Proses manajemen risiko harus menjadi bagian dari budaya
organisasi, praktik terbaik organisasi, dan proses bisnis
organisasi.
Proses manajemen risiko, diuraikan sebagai berikut:
a) Komunikasi dan konsultasi
Komunikasi dan konsultasi dengan stakeholders sangat
penting, sehingga harus dilaksanakan se-ekstensif dan se-
efektif mungkin sesuai dengan kebutuhan dan pada setiap
tahapan proses manajemen risiko. Komunikasi dan
konsultasi meliputi dialog dua arah di antara stakeholders
dengan upaya yang terfokus pada konsultasi.
Komunikasi dan konsultasi dengan stakeholder harus
dilaksanakan dalam setiap tahap pengelolaan risiko.
 - 39 -

Rencana komunikasi dan konsultasi harus dibangun

mulai pada tahap awal kegiatan. Yang perlu diperhatikan
adalah terkait dengan risiko itu sendiri, konsekuensinya,
dan pengukuran yang dilakukan dalam rangka
komunikasi dan konsultasi yang efektif dengan pihak
eksternal dan internal.
Komunikasi dan konsultasi harus dilakukan dalam rangka
memastikan bahwa pihak yang bertanggung jawab dalam
menyelenggarakan proses-proses pengelolaan risiko
memahami dasar suatu keputusan diambil beserta alasan
mengapa langkah-langkah mendasar sangat diperlukan.
Komunikasi dan konsultasi ditujukan untuk:
(1) Menentukan konteks yang lebih tepat;
(2) Memastikan bahwa kepentingan stakeholders telah
dipertimbangkan;
(3) Memastikan bahwa seluruh risiko penting telah
diidentifikasi dengan baik;
(4) Memastikan bahwa berbagai pandangan telah
dipertimbangkan dalam melakukan evaluasi risiko;
(5) Memperoleh persetujuan dan dukungan dalam
penetapan perlakuan risiko.
Persepsi pribadi stakeholders dalam komunikasi dan
konsultasi sangat penting dipahami ketika mereka
membuat judgement tentang risiko. Persepsinya dapat
sangat beragam tergantung pada value, kebutuhan,
asumsi, konsep, dan perhatian dari para stakeholder.
Pandangan stakeholders dapat berdampak secara
signifikan terhadap keputusan yang diambil, sehingga
persepsi para stakeholder perlu diidentifikasi, dicatat, dan
diperhitungkan di dalam proses-proses pengambilan
keputusan.
Komunikasi dan konsultasi harus memfasilitasi adanya
pertukaran informasi yang jujur, relevan, akurat, dan
mudah dipahami dengan mempertimbangkan aspek
kerahasiaan dan integritas personal.
Agar dapat mencapai hasil yang optimal, diperlukan
perencanaan komunikasi dan konsultasi, termasuk dalam
 - 40 -

identifikasi stakeholder, waktu, dan materi yang

diperlukan.
b) Menetapkan konteks
Konteks yang ditetapkan haruslah meliputi semua
parameter internal dan eksternal yang relevan dan penting
organisasi. Dalam menetapkan konteks akan banyak
ditemui kesamaan parameter dengan proses sebelumnya,
yaitu ketika merencanakan kerangka kerja manajemen
risiko.
Penetapan konteks akan berfungsi sebagai filter untuk
memperoleh risiko yang relevan dengan organisasi, dengan
cara penetapan batasan/parameter internal dan eksternal
yang akan dijadikan pertimbangan dalam penentuan
ruang lingkup, kriteria risiko, dan pengelolaan risiko.
Organisasi harus menentukan konteks eksternal dan
internal, menetapkan konteks manajemem risiko dan
mengembangkan kriteria risiko.
Konteks ekternal adalah lingkungan ekternal organisasi
yang dapat mempengaruhi aktivitas, penetapan dan
pencapaian sasaran organisasi, serta berpengaruh dalam
penentuan kriteria risiko.
Faktor eksternal yang diperhatikan dalam penentuan
konteks meliputi:
(1) Lingkungan politik, sosial, ekonomi, budaya,
keuangan, hukum, teknologi, dan keadaan alam;
(2) Stakeholders eksternal, termasuk persepsi dan nilai-
nilai pemangku kepentingan.
Proses manajemen risiko akan melibatkan organisasi
dengan aktivitas, strukur, dan sumber daya yang dimiliki
dalam pencapaian sasarannya.
Konteks internal yang perlu diperhatikan dalam proses
manajemen risiko diantaranya:
(1) Kapabilitas organisasi, yang mencakup modal, sumber
daya manusia, sistem informasi, dan teknologi;
(2) Stakeholders internal;
(3) Rencana strategis, sasaran, dan kebijakan organisasi;
(4) Persepsi, nilai-nilai dan budaya organisasi;
(5) Standar dan model yang digunakan oleh organisasi;
 - 41 -

(6) Struktur organisasi, berikut wewenang dan

akuntabilitasnya.
Mengingat aktivitas organisasi yang begitu banyak,
penerapan manajemen risiko dalam suatu organisasi
sering dilakukan secara bertahap dengan memilih
kegiatan, sasaran, atau unit tertentu.
Untuk itu, perlu dirumuskan konteks proses manajemen
risiko yang akan diterapkan, dengan memperhatikan:
(1) Penetapan tanggung jawab untuk proses manajemen
risiko;
(2) Penetapan lingkup kegiatan manajemen risiko;
(3) Penentuan tujuan, sasaran, lokasi, kegiatan, proses,
fungsi, proyek, lini produksi;
(4) Penentuan metode untuk melakukan asesmen risiko.
Dengan penentuan konteks proses manajemen risiko,
akan memudahkan dalam perencanaan penerapan
manajemen risiko di organisasi, termasuk penyediaan
sumber daya yang dibutuhkan.
Istilah “konteks” di sini berarti lingkungan atau segala hal
terkait upaya manajemen dalam rangka mengelola
risikonya.
(1) Penetapan Konteks Stratejik
Konteks stratejik merumuskan hubungan antara
organisasi dengan lingkungannya, serta
mengidentifikasi kekuatan, kelemahan, peluang, dan
ancamannya. Konteks stratejik mencakup aspek
keuangan, operasional, persaingan, politis
(persepsi/pandangan publik), sosial, budaya, dan
aspek hukum dari fungsi-fungsi organisasi.
Dalam pengertian konteks stratejik termasuk pula
identifikasi stakeholders intern dan ekstern, dan
mempertimbangkan tujuan-tujuan mereka,
memperhatikan persepsi mereka, dan membentuk
kebijakan komunikasi dengan pihak-pihak tersebut.
Langkah ini difokuskan pada lingkungan di mana
organisasi beroperasi. Organisasi harus berusaha
menentukan unsur-unsur yang penting yang dapat
 - 42 -

mendukung atau merongrong kemampuannya

mengelola risiko-risiko yang dihadapi.
(2) Penetapan Konteks Organisasi
Sebelum kajian manajemen risiko dimulai, diperlukan
pemahaman terhadap organisasi dan kemampuannya,
di samping sasaran dan tujuannya serta strategi yang
dijalankan untuk mencapainya.
Langkah ini penting karena alasan-alasan berikut:
(a) Manajemen risiko berlangsung dalam konteks
sasaran, tujuan dan strategi organisasi yang lebih
luas,
(b) Kegagalan untuk mencapai tujuan organisasi,
aktivitas spesifik, atau proyek, juga merupakan
risiko yang harus dikelola,
(c) Kebijakan dan sasaran organisasi membantu
mendefinisikan kriteria untuk memutuskan apakah
risiko dapat diterima atau tidak, dan
(d) Meletakkan dasar bagi opsi penanganan risiko.
(3) Penetapan Konteks Manajemen Risiko
Sasaran, tujuan, strategi, lingkup dan parameter
aktivitas, atau bagian organisasi di mana proses
manajemen risiko diterapkan, sumber daya yang
diperlukan dan catatan yang harus dibuat, harus
ditetapkan. Proses tersebut harus dilaksanakan
dengan pertimbangan penuh terhadap perlunya
keseimbangan biaya, manfaat dan peluang.
Penentuan lingkup dan batas-batas penerapan proses
manajemen risiko meliputi:
(a) Mendefinisikan aktivitas dan menetapkan tujuan
dan sasaran.
(b) Mendefinisikan luas cakupan kegiatan dan waktu
pelaksanaan.
(c) Mengidentifikasi semua lingkup kajian yang
dibutuhkan, tujuan dan sumber daya yang
diperlukan.
(d) Mendefinisikan luas dan kelengkapan aktivitas
manajemen risiko yang harus dilaksanakan.
 - 43 -

Isu-isu spesifik yang juga dapat didiskusikan termasuk

hal-hal berikut:
(a) Peran dan tanggung jawab dari berbagai bagian
organisasi yang berpartisipasi dalam pengelolaan
risiko.
(b) Hubungan antara aktivitas suatu bagian dengan
bagian organisasi lainnya.
(4) Mengembangkan Kriteria
(a) Kriteria Analisis Risiko
Idealnya, sebelum proses penilaian risiko dimulai,
organisasi sudah harus menetapkan kriteria risiko
yang akan digunakan dalam proses asesmen risiko.
Kriteria risiko mencakup kriteria terkait
kemungkinan terjadinya, dampak yang
ditimbulkan, dan tingkat risiko. Dengan adanya
penetapan kriteria tersebut, diharapkan penilaian
risiko dapat dilakukan dengan konsisten dan lebih
dapat diperbandingkan.
Kriteria kemungkinan terjadinya atau sering
diistilahkan dengan frekuensi, mencerminkan
probabilitas kejadian risiko yang diidentifikasi.
Tidak ada pedoman baku, skala yang biasa
digunakan, 3, 5 atau 7 tingkatan kemungkinan.
Setelah penetapan skala, perlu didefinisikan
kriteria untuk tiap tingkatan tersebut.
Kriteria dampak atau konsekuensi,
menggambarkan tingkatan akibat yang harus
dihadapi organisasi apabila risiko itu terjadi.
Mengingat jenis risiko yang banyak dan dampaknya
tidak selalu dapat diukur dengan mudah
menggunakan satu ukuran, maka perlu ditetapkan
beberapa aspek sebagai sarana pengukuran.
Beberapa contoh aspek yang ditetapkan sebagai
kriteria dampak adalah:
No. Aspek Penjelasan
1. Keuangan Digunakan untuk kriteria
dan Aset dampak atas risiko secara
langsung berkaitan dengan
 - 44 -

No. Aspek Penjelasan

nilai uang.
2. Penghentian Digunakan untuk
Operasional menggambarkan tingkat
atau dampak suatu risiko
Pelayanan terhadap penghentian
kegiatan/ pelayanan atau
berupa keterlambatan.
3. Keselamatan Dikaitkan dengan risiko yang
berdampak pada manusia.
4. Reputasi Digunakan untuk mengukur
risiko reputasi, yang dapat
merujuk pada tingkatan
pemberitaan atau
penyebaran pemberitaan.
5. Capaian Digunakan untuk mengukur
sasaran risiko yang menyebabkan
tidak tercapainya suatu
sasaran yang telah
ditetapkan.
Terhadap masing-masing aspek tersebut ditetapkan
tingkatan dampak serta penjelasannya atau kriteria
pada tiap-tiap tingkatan dampak tersebut.
Dari perpaduan pengukuran risiko kriteria
terhadap kemungkinan dan dampak, apabila
dipandang perlu, organisasi dapat menetapkan
tingkatan risiko. Kriteria tingkatan risiko tersebut
akan merujuk pada tingkat kemungkinan dan
dampaknya. Dalam hal organisasi menghendaki,
dimungkinkan kriteria tingkat risiko disusun untuk
tiap kelompok risiko sesuai dengan yang
diharapkan oleh organisasi.
(b) Kriteria Evaluasi Risiko
Kriteria perlu ditentukan dalam rangka melakukan
evaluasi risiko. Keputusan berkenaan dengan
akseptabilitas dan penanganan risiko dapat
didasarkan pada kriteria operasional, teknikal,
finansial, legal, sosial, kemanusiaan dan lain-lain.
 - 45 -

Pada umumnya kriteria ini tergantung pada

kebijakan intern organisasi, tujuan, sasaran dan
kepentingan stakeholder. Kriteria juga dapat
dipengaruhi oleh persepsi intern dan ekstern serta
dipengaruhi oleh hukum yang berlaku.
Meskipun kriteria risiko awalnya dikembangkan
sebagai bagian dari pembentukan konteks
manajemen risiko, tetapi selanjutnya dapat
dikembangkan dan disaring, ketika risiko-risiko
tertentu teridentifikasi dan teknik analisis risiko
tertentu dipilih. Artinya kriteria risiko harus
berhubungan dengan jenis risiko dan cara
menyatakan tingkat risiko tersebut.
(5) Mendefinisikan Struktur
Langkah ini menyangkut pemisahan aktivitas ke dalam
beberapa unsur. Unsur-unsur tersebut menyediakan
kerangka yang logis bagi identifikasi dan analisis yang
membantu menjamin bahwa risiko-risiko yang
signifikan tidak terabaikan. Struktur yang dipilih
tergantung pada sifat risiko dan lingkup aktivitas.
c) Asesmen Risiko
(1) Identifikasi Risiko
Organisasi harus melakukan identifikasi sumber
risiko, area dampak risiko, peristiwa dan penyebabnya,
serta potensi akibatnya.
Sasaran dari tahapan ini adalah membuat daftar risiko
secara komprehensif dan luas yang dapat
mempengaruhi pencapaian sasaran, baik
meningkatkan, menghalangi, memperlambat, atau
bahkan menggagalkan pencapaian sasaran organisasi.
Proses identifikasi risiko ini penting untuk dilakukan
secara meluas dan mendalam serta komprehensif,
karena risiko yang tidak teridentifikasi pada tahapan
ini tidak akan diikutsertakan pada proses-proses
berikutnya. Identifikasi risiko juga dilakukan terhadap
sumber-sumber risiko, baik yang di dalam kendali
maupun di luar kendali organisasi.
 - 46 -

Beberapa metode yang dapat diterapkan dalam

identifikasi risiko diantaranya melalui reviu dokumen,
stakeholder analysis, risk breakdown structure,
bussiness process mapping, dan controlled risk self-
assessment. Beberapa informasi yang perlu digali
dalam tahap ini meliputi:
(a) Sumber risiko yang dapat memicu terjadinya risiko;
(b) Peristiwa yang dapat terjadi dan berdampak pada
pencapaian sasaran organisasi;
(c) Dampak yang timbul kepada organisasi apabila
peristiwa risiko terjadi;
(d) Pengendalian yang ada dalam mengantisipasi
peristiwa risiko tersebut.
Pada intinya, langkah identifikasi risiko dilakukan
untuk menggali dan menemukan jawaban terhadap 2
(dua) pertanyaan berikut: “apa yang dapat terjadi?”
dan “mengapa dan bagaimana hal itu terjadi?”.
Apa yang Dapat Terjadi?
Penggalian atas pertanyaan ini akan menghasilkan
suatu daftar komprehensif mengenai peristiwa yang
dapat mempengaruhi setiap unsur. Daftar ini
kemudian dipertimbangkan secara lebih rinci dalam
identifikasi apa yang dapat terjadi.
Bagaimana dan Mengapa Terjadi?
Setelah mengidentifikasi daftar peristiwa, selanjutnya
perlu untuk mempertimbangkan sebab-sebab dan
skenario yang mungkin. Ada banyak cara suatu
peristiwa dapat terjadi. Yang penting adalah tidak ada
sebab signifikan yang terlewatkan.
Pendekatan-pendekatan yang digunakan untuk
mengidentifikasi risiko, meliputi daftar simak
(checklist), pertimbangan berdasarkan pengalaman dan
catatan, bagan arus, brainstorming, analisis sistem,
analisis skenario dan teknik rekayasa sistem.
Output yang diharapkan dari tahapan identifikasi
risiko adalah daftar risiko (risk register).
Sebelum melangkah ke tahap analisis risiko atau
melakukan pengukuran terhadap kemungkinan dan
 - 47 -

dampak suatu risiko, perlu diyakini ketepatan

perumusan akar permasalahan dan dampak yang
ditimbulkan. Metode yang dapat diterapkan untuk
menggali akar permasalahan dan dampak yang
ditimbulkan adalah analisis sebab – akibat, yang dapat
digambarkan dalam bentuk fishbone diagram.
(2) Analisis risiko
Tujuan analisis risiko adalah untuk memisahkan
risiko-risiko kecil yang dapat diterima dari risiko-risiko
besar, dan menyediakan data untuk membantu dalam
evaluasi dan penanganan risiko. Analisis risiko
meliputi kegiatan yang menganalisis sumber risiko dan
pemicu terjadinya risiko, dampak positif dan
negatifnya, serta kemungkinan terjadinya. Analisis
juga dilakukan terhadap faktor-faktor yang dapat
mempengaruhi kemungkinan terjadinya risiko dan
dampak.
Analisis risiko merupakan tahap pengukuran risiko
dengan merujuk pada kriteria yang telah ditetapkan,
yaitu dua unsur risiko, kemungkinan dan dampak.
Secara matematis risiko merupakan fungsi dari
kemungkinan dan dampak, yang disajikan sebagai
berikut:
Risiko = fungsi (tingkat kemungkinan dan dampak)
Tingkat kemungkinan suatu risiko dapat digambarkan
dalam dua perspektif, yaitu frekuensi kejadian dan
probabilitas. Frekuensi kejadian menitikberatkan pada
banyaknya kejadian yang mungkin terjadi atas suatu
risiko dalam rentang waktu tertentu, sedangkan
probabilitas memfokuskan pada tingkat peluang suatu
peristiwa risiko terjadi.
Langkah yang dilakukan dalam melakukan analisis
risiko, meliputi:
(a) Menentukan Pengendalian yang Ada
Menentukan pengendalian yang ada meliputi
aktivitas identifikasi pengelolaan, sistem teknik dan
prosedur yang ada untuk mengendalikan risiko dan
menaksir kekuatan dan kelemahannya. Perangkat
 - 48 -

yang digunakan dalam menentukan ada tidaknya

pengendalian yang layak digunakan, antara lain
inspeksi dan teknik control self-assessment (CSA).
(b) Konsekuensi dan tingkat kemungkinan
Besaran konsekuensi suatu peristiwa, jika harus
terjadi, dan tingkat kemungkinan peristiwa beserta
konsekuensi terkait, ditaksir di dalam konteks
pengendalian yang ada. Konsekuensi dan tingkat
kemungkinan dikombinasikan untuk menghasilkan
tingkat risiko. Konsekuensi dan tingkat
kemungkinan dapat ditentukan dengan
menggunakan analisis statistik dan kalkulasi.
Sebagai alternatif, jika tidak tersedia catatan masa
lalu, estimasi subyektif dapat dilakukan untuk
mencerminkan tingkat keyakinan dari individu
atau kelompok, bahwa peristiwa atau outcome
tertentu akan terjadi.
Dengan memperhatikan skala pengukuran yang
digunakan, secara kuantitatif fungsi tersebut dapat
disajikan dengan persamaan sebagai berikut:
Risiko = Probabilitas x Dampak
Secara umum, penetapan peringkat risiko
menggunakan kombinasi antara probabilitas dan
dampak. Penentuan peringkat ini, harus konsisten
dengan kriteria risiko yang telah ditetapkan. Peringkat
risiko diperlukan sebagai salah satu dasar dalam
evaluasi risiko untuk menentukan pengelolaan atas
risiko yang akan dilakukan. Penentuan peringkat
risiko tidak terlepas dari kriteria yang telah
dikembangkan. Untuk mempermudah dalam
melakukan analisis, dapat disajikan dalam risk map
atau risk matrix dengan berbagai variasi bentuknya.
Besaran tingkat kemungkinan dan dampak suatu
risiko diukur dalam konteks pengendalian yang ada.
Untuk meminimalisasi bias subyektivitas dalam
pengukuran, perlu digunakan teknik pengukuran yang
sesuai dengan data yang tersedia. Sumber informasi
dalam pengukuran, dapat merujuk dari:
 - 49 -

(a) Catatan masa lalu;

(b) Pengalaman yang relevan;
(c) Praktik dan pengalaman dari industri yang sejenis;
(d) Literatur;
(e) Pendapat spesialis dan pakar;
(f) Hasil riset;
(g) Model ekonomi atau model teknis yang relevan.
Berbagai teknis analisis dapat diterapkan dalam tahap
pengukuran, diantaranya adalah:
(a) Wawancara terstruktur, yaitu wawancara
dilakukan dengan daftar pertanyaan yang telah
disiapkan terlebih dahulu. Wawancara dilakukan
dengan para ahli dalam area yang menjadi
perhatian;
(b) Penggunaan kelompok pakar multi-disiplin;
(c) Evaluasi individu dengan menggunakan kuesioner;
(d) Penyusunan model berbasis komputer;
(e) Penggunaan fault tree analysis dan event tree
analysis.
Jenis-jenis Analisis
Analisis risiko dapat berupa analisis kualitatif, semi
kuantitatif, kuantitatif atau kombinasi di antaranya,
tergantung pada informasi risiko dan data yang
tersedia. Tingkat kerumitan dan biaya dari analisis-
analisis tersebut dalam urutan menaik, adalah
kualitatif, semi-kuantitatif dan kuantitatif. Praktiknya,
analisis kualitatif sering digunakan pertama kali untuk
mendapatkan indikasi umum mengenai tingkat risiko.
Selanjutnya mungkin perlu dilakukan analisis
kuantitatif yang lebih spesifik. Detailnya, jenis-jenis
analisis tersebut adalah sebagai berikut:
(a) Analisis Kualitatif
Analisis kualitatif menggunakan istilah atau skala
deskriptif untuk menggambarkan besaran
konsekuensi yang potensial dan tingkat
kemungkinan bahwa konsekuensi akan terjadi.
Skala tersebut dapat diadaptasikan atau
disesuaikan dengan keadaan, dan uraian yang
 - 50 -

berbeda dapat digunakan untuk risiko yang

berbeda.
Analisis kualitatif digunakan:
 Sebagai suatu aktivitas penyaringan awal untuk
mengidentifikasi risiko-risiko yang memerlukan
analisis lebih rinci;
 Ketika tingkat risiko tidak memungkinkan
dilakukan analisis yang lebih penuh karena
faktor waktu dan sumberdaya; atau
 Ketika data numerik tidak memadai bagi suatu
analisis kuantitatif.
(b) Analisis Semi-kuantitatif
Dalam analisis semi kuantitatif, angka yang
dialokasikan kepada masing-masing uraian tidak
harus mengandung hubungan yang akurat dengan
besaran sebenarnya dari konsekuensi dan tingkat
kemungkinan. Angka-angka dapat dikombinasikan
dengan salah satu dari sekian formula yang
disajikan oleh sistem yang digunakan untuk
keperluan prioritisasi, dicocokkan dengan sistem
yang dipilih untuk menunjuk angka-angka dan
mengkombinasikannya. Tujuannya untuk
memperoleh prioritisasi yang lebih rinci dari pada
yang biasanya diperoleh dalam analisis kualitatif,
serta tidak untuk memberikan nilai realistis suatu
risiko seperti dihasilkan dalam analisis kuantitatif.
Analisis semi kuantitatif harus digunakan secara
cermat, karena angka-angka yang dipilih dapat
merefleksikan hubungan yang tidak wajar, yang
dapat menghasilkan outcome yang tidak konsisten.
Analisis semi kuantitatif mungkin tidak mampu
membedakan secara tepat risiko-risiko, terutama
yang memiliki konsekuensi atau tingkat
kemungkinan yang ekstrim.
Terkadang layak untuk mempertimbangkan bahwa
tingkat kemungkinan terdiri dari dua unsur,
biasanya merujuk kepada tingkat kemungkinan
sebagai frekuensi eksposure dan probabilitas.
 - 51 -

Frekuensi eksposure adalah luasnya area di mana

sumber risiko berada, sementara probabilitas
berarti kesempatan bahwa jika terdapat sumber
risiko, maka akan diikuti oleh konsekuensi.
Perhatian harus dipusatkan ketika terjadi situasi di
mana hubungan antara kedua unsur tidak
sepenuhnya independen, misalnya terdapat
hubungan yang kuat antara frekuensi eksposure
dengan probabilitas.
Pendekatan ini dapat diaplikasikan dalam analisis
semi kuantitatif dan kuantitatif.
(c) Analisis Kuantitatif
Analisis kuantitatif menggunakan nilai angka
(bukan menggunakan skala deskriptif seperti
digunakan dalam analisis kualitatif dan semi
kuantitatif) baik untuk konsekuensi maupun
tingkat kemungkinan, dengan menggunakan data
dari berbagai sumber. Kualitas analisis tergantung
pada akurasi dan kelengkapan nilai numerik yang
digunakan.
Konsekuensi dapat diestimasi dengan pembuatan
model outcome dari suatu atau beberapa peristiwa,
atau dengan ekstrapolasi hasil kajian eksperimen
atau data masa lalu. Konsekuensi dapat
dinyatakan dalam satuan moneter (mata uang),
kriteria teknik (satuan pengukuran) atau masalah
manusiawi (kematian/cedera) atau kriteria lainnya.
Dalam beberapa kasus, diperlukan lebih dari satu
nilai numerik untuk menentukan konsekuensi
pada waktu, tempat, kelompok atau situasi yang
berbeda.
Tingkat kemungkinan biasanya dinyatakan sebagai
probabilitas, frekuensi atau kombinasi antara
eksposure dan probabilitas.
Cara menyatakan tingkat kemungkinan dan
konsekuensi serta cara mengkombinasikan
keduanya untuk menyajikan suatu tingkat risiko,
 - 52 -

akan berbeda sesuai jenis risiko dan konteks di

mana tingkat risiko tersebut digunakan.
Apabila beberapa estimasi yang dibuat dalam
analisis kuantitatif tidak tepat, maka analisis
sensitivitas harus dilakukan untuk menguji
pengaruh perubahan dalam asumsi dan data.
(3) Evaluasi Risiko
Evaluasi risiko merupakan pembandingan antara
tingkat risiko yang ditemukan selama proses analisis
dengan kriteria risiko yang ditetapkan sebelumnya.
Evaluasi risiko bertujuan untuk membantu proses
pengambilan keputusan berdasarkan hasil analisis
risiko. Proses evaluasi risiko akan menentukan risiko-
risiko mana yang memerlukan perlakuan dan
bagaimana prioritas implementasi perlakuan risiko-
risiko tersebut. Keluaran dari proses evaluasi risiko
akan menjadi masukan untuk diolah lebih lanjut pada
tahap berikutnya.
Keputusan dalam evaluasi risiko selain didasarkan
pada peringkat risiko yang telah dihasilkan pada tahap
analisis risiko, juga dapat didasarkan atas nilai
ambang yang ditetapkan sesuai dengan:
(a) Tingkat dampak yang telah ditentukan;
(b) Kemungkinan timbulnya suatu kejadian tertentu;
(c) Efek kumulatif dari beberapa kejadian.
(d) Tingkat toleransi risiko dalam pencapaian sasaran
organisasi.
Beberapa metode evaluasi risiko yang dapat diterapkan
dalam menentukan peringkat risiko diantaranya:
(a) Risk Matrix
(b) Urgency Assessment
(c) Decision Tree Analysis
(d) Expected Monetary Value
Hasil dari evaluasi risiko adalah suatu daftar prioritas
risiko untuk dilakukan penanganan lebih lanjut
berupa perlakuan risiko.
 - 53 -

(4) Perlakuan risiko

Penanganan risiko meliputi pengidentifikasian opsi
dalam menangani risiko, menaksir opsi tersebut,
menyiapkan rencana penanganan risiko dan
mengimplementasikan rencana dimaksud.
(a) Identifikasi Opsi Penanganan Risiko
Opsi-opsi penanganan risiko tersebut tidak bersifat
mutually-exclusive (satu risiko satu opsi) atau satu
opsi cocok untuk semua kondisi risiko.
Opsi-opsi risiko meliputi:
i) Menghindari risiko
Menghindari risiko dapat dilakukan dengan
memutuskan untuk tidak melanjutkan aktivitas
yang akan mendatangkan risiko. Penghindaran
risiko seringkali dipengaruhi oleh sistem intern
organisasi. Ketidakwajaran penghindaran risiko
dapat meningkatkan signifikansi risiko lainnya.
Menghindari risiko dapat mengakibatkan:
 Keputusan diambil tanpa memperhatikan
informasi yang tersedia dan biaya yang
dikeluarkan untuk menangani risiko
tersebut;
 Kegagalan menangani risiko;
 Meninggalkan pilihan kritikal dan/atau
keputusan yang tergantung pada pihak lain;
 Penangguhan keputusan yang tidak dapat
dihindari oleh organisasi; dan
 Pemilihan opsi berdasarkan pada risiko
dengan potensial rendah, tanpa
memperhatikan manfaatnya.
ii) Mengurangi tingkat kemungkinan
Opsi mengurangi tingkat kemungkinan dapat
dilakukan melalui:
 Audit dan program peningkatan ketaatan;
 Persyaratan kontrak yang komprehensif;
 Penelaahan formal terhadap persyaratan,
spesifikasi, rancangan, rekayasa dan
operasi;
 - 54 -

 Inspeksi dan pengendalian proses;

 Manajemen investasi dan portofolio;
 Manajemen proyek;
 Perawatan yang bersifat preventif;
 Jaminan kualitas, manajemen dan standar;
 Penelitian dan pengembangan,
pengembangan teknologi;
 Pelatihan terstruktur dan program-program
lainnya;
 Supervisi;
 Pengujian;
 Penyelarasan organisasi; dan
 Pengendalian secara teknik.
iii) Mengurangi konsekuensi
Opsi mengurangi tingkat konsekuensi dapat
dilakukan dengan:
 Perencanaan kontinjensi;
 Penyelarasan kontrak;
 Persyaratan kontrak yang komprehensif;
 Bentuk rancangan (design features);
 Rencana pemulihan akibat bencana;
 Rintangan rekayasa dan struktural
(engineering and structural barriers);
 Perencanaan pengendalian kecurangan;
 Meminimalkan eksposure terhadap sumber
risiko;
 Perencanaan portofolio;
 Kebijakan dan pengendalian penentuan
harga;
 Pemisahan atau relokasi suatu aktivitas
atau sumberdaya;
 Hubungan masyarakat; dan
 Pembayaran eks-grasia.
Pengurangan tingkat konsekuensi dan tingkat
kemungkinan mempertimbangkan
pengendalian risiko. Pengendalian risiko
mencakup penentuan manfaat dari
pengendalian yang baru atas efektivitas
 - 55 -

pengendalian yang ada, meliputi efektivitas

kebijakan, prosedur atau perubahan-perubahan
fisik.
iv) Memindahkan risiko
Penanganan ini melibatkan pihak lain untuk
menanggung atau membagi beberapa bagian
risiko. Mekanismenya meliputi penggunaan
kontrak, penutupan asuransi dan struktur
organisasi seperti kemitraan dan usaha
patungan.
Memindahkan risiko kepada pihak lain atau
memindahkan risiko fisik ke tempat lain akan
mengurangi risiko bagi organisasi asal, tetapi
mungkin tidak menurunkan keseluruhan
tingkat risiko bagi masyarakat.
Ketika risiko dipindahkan seluruhnya atau
sebagian, organisasi yang memindahkan risiko
akan mendapatkan risiko baru, jika organisasi
tersebut tidak mengelola risiko secara efektif.
v) Risiko residual
Setelah risiko dikurangi atau dipindahkan,
mungkin masih terdapat risiko residual.
Rencana harus disusun untuk mengelola
konsekuensi dari risiko semacam ini jika
terjadi, termasuk pengidentifikasian cara
membiayai risiko. Risiko dapat juga tersisa
karena kelalaian, misalnya terjadi kegagalan
dalam mengidentifikasi dan/atau memindahkan
secara layak atau penanganan risiko lainnya.
(b) Menilai Opsi Penanganan Risiko
Opsi harus dinilai berdasarkan luasnya
pengurangan risiko, dan besarnya manfaat
tambahan atau peluang-peluang yang tercipta,
dengan memperhatikan kriteria yang
dikembangkan. Sejumlah opsi dapat
dipertimbangkan dan diaplikasikan baik secara
individual atau dalam kombinasi. Secara umum,
 - 56 -

dalam menentukan biaya penanganan risiko perlu

mempertimbangkan manfaat yang diperoleh.
Opsi jika risiko dapat dikurangi secara signifikan
dengan pengeluaran (biaya) yang relatif kecil dapat
diimplementasikan, opsi lanjutan untuk
penyempurnaan mungkin tidak ekonomis dan
memerlukan pengujian pertimbangan apakah opsi
tersebut dapat dibenarkan. Keputusan harus
memperhatikan perlunya pertimbangan yang hati-
hati terhadap risiko yang jarang terjadi tetapi
berdampak besar, yang mungkin memerlukan
tindakan pengurangan risiko yang tidak dapat
dibenarkan berdasarkan landasan ekonomi yang
ketat.
Secara umum, dampak merugikan suatu risiko
harus dibuat serendah mungkin dan dapat
dipraktikkan secara memadai, tanpa
memperhatikan kriteria absolut.
Jika tingkat risiko tinggi, tetapi peluang-peluang
yang dapat dipertimbangkan dapat diperoleh
dengan mengambil risiko, seperti penggunaan
teknologi baru, penerimaan terhadap risiko
tersebut harus didasarkan pada suatu penaksiran
terhadap biaya penanganan risiko, dan biaya untuk
mengoreksi konsekuensi potensial dibandingkan
peluang yang dihasilkan dengan mengambil risiko.
Dalam banyak kasus, kecil kemungkinan satu opsi
penanganan risiko akan menjadi solusi lengkap
bagi masalah tertentu. Sering organisasi
memperoleh manfaat substansial dengan
mengkombinasikan beberapa opsi, misalnya
mengurangi tingkat kemungkinan risiko,
mengurangi konsekuensinya, dan memindahkan
atau menahan risiko residual. Contohnya adalah
penggunaan kontrak yang efektif dan pembiayaan
risiko yang didukung dengan program pengurangan
risiko.
 - 57 -

Jika biaya kumulatif pengimplementasian seluruh

penanganan risiko melebihi anggaran yang
tersedia, rencana harus secara jelas
mengidentifikasi urutan prioritas penanganan
masing-masing risiko residual yang harus
diimplementasikan. Pengurutan prioritas dapat
ditentukan menggunakan beberapa teknik,
termasuk rangking risiko dan analisis biaya-
manfaat. Penanganan risiko yang tidak dapat
diimplementasikan dalam batas anggaran yang
tersedia harus menunggu sampai tersedianya
sumberdaya keuangan lebih lanjut, atau jika
karena alasan beberapa atau keseluruhan
penanganan yang tersisa dirasa penting, suatu
alasan harus dibuat untuk mengamankan
pembiayaan tambahan.
Opsi penanganan risiko harus mempertimbangkan
bagaimana risiko dirasakan oleh pihak-pihak yang
terpengaruh, dan cara yang paling layak dilakukan
adalah berkomunikasi dengan pihak-pihak
tersebut.
(c) Menyiapkan Rencana Penanganan Risiko
Rencana yang dibuat harus mencakup
dokumentasi tentang bagaimana opsi yang terpilih
akan diimplementasikan.
Rencana penanganan harus meliputi identifikasi
penanggungjawab, jadwal, outcome yang
diharapkan dari penanganan, anggaran, ukuran
kinerja dan proses penelaahan yang harus
dijalankan.
Rencana juga harus mencakup suatu mekanisme
untuk menaksir implementasi penanganan
terhadap kriteria kinerja, pihak yang
bertanggungjawab dan tujuan-tujuan lain, dan
untuk memantau tahap-tahap pengimplementasian
yang kritikal.
Idealnya, dalam pengimplementasian rencana
penanganan, penanggung jawab terhadap
 - 58 -

penanganan harus dipikul oleh pihak yang paling

dapat mengendalikan risiko. Penanggung jawab
harus disepakati di antara para-pihak pada
kesempatan pertama.
Keberhasilan pengimplementasian rencana
penanganan risiko memerlukan suatu sistem
manajemen yang efektif yang merinci metode-
metode yang dipilih, menentukan penanggung
jawab dan penanggung gugat terhadap tindakan,
dan memantau sesuai kriteria yang ada.
Jika masih terdapat risiko residual, suatu
keputusan harus diambil untuk menentukan
apakah akan menahan risiko tersebut, atau
mengulangi proses penanganan.
(5) Monitoring dan reviu
Monitoring dan reviu merupakan bagian dalam proses
manajemen risiko yang bertujuan untuk memastikan
bahwa seluruh tahapan proses dan fungsi manajemen
risiko berjalan dengan baik. Proses monitoring dan
reviu harus mencakup semua aspek dari proses
manajemen risiko. Monitoring merupakan kegiatan
pemantauan terhadap kegiatan berjalan, sedangkan
reviu merupakan kegiatan peninjauan berkala dengan
fokus terhadap kegiatan tertentu.
Monitoring dan reviu berkelanjutan sangat penting
untuk meyakinkan bahwa rencana manajemen tetap
relevan. Faktor-faktor yang dapat mempengaruhi
tingkat kemungkinan dan konsekuensi suatu outcome
mungkin berubah, sama seperti faktor-faktor yang
mempengaruhi kesesuaian dan biaya berbagai opsi
penanganan. Oleh karena itu perlu secara reguler
dilakukan pengulangan siklus manajemen risiko.
Monitoring adalah proses penilaian kemajuan suatu
kegiatan dalam mencapai tujuan yang telah
ditetapkan.
Reviu adalah penelaahan ulang bukti-bukti suatu
kegiatan untuk memberikan keyakinan bahwa
kegiatan tersebut telah dilaksanakan sesuai dengan
 - 59 -

ketentuan, standar, rencana, atau norma yang telah

ditetapkan.
Bentuk Pelaksanaan monitoring dan reviu:
(a) Monitoring berkelanjutan (on-going monitoring)
Aktifitas monitoring on-going tercermin pada
aktivitas supervisi, rekonsiliasi, dan aktivitas rutin
lainnya.
Monitoring dan reviu berkelanjutan biasanya
dilakukan oleh pihak internal atau pihak yang
menerapkan/melaksanakan kegiatan, monitoring
dilakukan untuk mengetahui progres pencapaian
pelaksanaan kegiatan yang telah dilakukan
sedangkan reviu dilakukan untuk memastikan
bahwa setiap kegiatan yang telah dilaksanakan
didukung oleh bukti yang terdokumentasi dengan
memadai.
(b) Monitoring terpisah (separate monitoring)
Monitoring terpisah biasanya dilakukan untuk
penugasan tertentu (kasuistis). Pada monitoring ini
ditentukan ruang lingkup tugas, frekuensi, proses
evaluasi metodologi, dokumentasi, dan action plan.
Monitoring terpisah dilakukan oleh pihak eksternal
atau pihak yang tidak terlibat dalam proses
pelaksanaan kegiatan. Dilakukan oleh bagian atau
divisi tertentu dalam suatu perusahaan atau pihak
eksternal perusahaan yang diminta bantuannya
untuk melakukan monitoring atas pelaksanaan
kegiatan tertentu.
Dokumentasi proses manajemen risiko
Semua kegiatan manajemen risiko harus dapat dilacak dan
ditelesuri. Dalam proses manajemen, laporan dan dokumentasi
merupakan landasan untuk melakukan perbaikan metode,
teknik, alat, sekaligus keseluruhan proses.
Laporan pelaksanaan kegiatan manajemen risiko dibuat secara
berkala. Pelaporan dilakukan baik oleh unit pelaksana kegiatan
maupun oleh unit yang dibentuk untuk mengelola dan
memastikan agar kegiatan manajemen risiko dijalankan sesuai
dengan pedoman yang telah ditetapkan.
 - 60 -

b. ISO 31000:2018
Pada tahun 2018, organisasi standar internasional ISO
menerbitkan ISO 31000:2018 Risk Management – Guidelines.
Standar ini menggantikan ISO 31000:2009 Risk management –
Principles and guidelines yang diterbitkan pada November 2009.
1) Ruang Lingkup
Dokumen ini memberikan pedoman dan panduan untuk
mengelola risiko yang dihadapi organisasi. Penerapan
pedoman ini dapat disesuaikan sesuai organisasi dan
konteksnya.
Dokumen ini memberikan pendekatan umum untuk
mengelola semua jenis risiko dan tidak terkait dengan
industri atau sektor tertentu.
Dokumen ini dapat digunakan di selama berlangsungnya
organisasi dan dapat diterapkan untuk kegiatan apa pun,
termasuk pengambilan keputusan pada setiap tingkatan.
2) Prinsip
Tujuan manajemen risiko adalah penciptaan dan
perlindungan terhadap nilai. Manajemen Risiko
meningkatkan kinerja, mendorong inovasi dan mendukung
pencapaian tujuan.
Prinsip-prinsip sebagaimana diuraikan pada Gambar 2
memberikan panduan tentang karakteristik manajemen
risiko yang efektif dan
efisien,
mengkomunikasikan
manfaatnya serta d
menjelaskan maksud dan
tujuannya. Prinsip-prinsip
tersebut adalah fondasi
untuk mengelola risiko
dan harus
dipertimbangkan organisasi dalam menetapkan kerangka
kerja dan proses manajemen risiko. Prinsip-prinsip ini harus
memungkinkan organisasi untuk mengelola efek
ketidakpastian pada tujuannya
 - 61 -

Manajemen risiko yang efektif membutuhkan unsur-unsur

sebagaimana Gambar 2 dan dapat dijelaskan lebih lanjut
sebagai berikut.
No Prinsip Uraian
1 Terintegrasi Manajemen risiko merupakan
bagian integral dari semua kegiatan
organisasi.
2 Terstruktur & Pendekatan yang terstruktur dan
Komprehensif komprehensif terhadap manajemen
risiko berkontribusi terhadap hasil
yang konsisten dan dapat
diperbandingkan.
3 Dapat Kerangka kerja dan proses
Disesuaikan manajemen risiko dapat disesuaikan
sesuai dengan porsi dan konteks
eksternal dan internal organisasi
terkait dengan tujuannya.
4 Inklusif Keterlibatan stakeholder yang tepat
memungkinkan pengetahuan,
pandangan, dan persepsi mereka
dipertimbangkan. Hal ini
menghasilkan peningkatan
kesadaran dan pemahaman atas
manajemen risiko.
5 Dinamis Risiko dapat muncul, berubah, atau
hilang ketika konteks eksternal dan
internal organisasi berubah.
Manajemen risiko mengantisipasi,
menyadari, mendeteksi, dan
merenspon perubahan dan kejadian
tersebut dengan tepat waktu dengan
cara yang tepat.
6 Penyediaan Masukan untuk manajemen risiko
informasi didasarkan pada informasi historis
terbaik dan terkini, serta ekspektasi masa
depan. Manajemen risiko secara
eksplisit mempertimbangkan segala
keterbatasan dan ketidakpastian
 - 62 -

No Prinsip Uraian
terkait dengan informasi dan
ekspektasi tersebut dengan tepat
waktu, jelas, dan tersedia untuk
stakeholder yang relevan.
7 Faktor Perilaku dan budaya manusia
manusia dan secara signifikan mempengaruhi
Budaya semua aspek manajemen risiko di
setiap tingkat dan tahap.
8 Pengembangan Manajemen risiko terus
Berkelanjutan ditingkatkan melalui pembelajaran
dan pengalaman

3) Kerangka Kerja
Tujuan kerangka manajemen risiko adalah untuk membantu
organisasi mengintegrasikan manajemen risiko ke dalam
aktivitas dan fungsi yang signifikan. Efektivitas manajemen
risiko akan tergantung pada
integrasinya ke dalam tata kelola
organisasi, termasuk pengambilan
keputusan. Hal ini membutuhkan
dukungan dari para stakeholder,
terutama manajemen puncak
Pengembangan kerangka kerja
mencakup Integrasi, Design,
Implementasi, Evaluasi dan
Peningkatan proses manajemen risiko
di seluruh organisasi. Gambar 3
mengilustrasikan komponen kerangka kerja manajemen
risiko.
Organisasi harus mengevaluasi praktik dan proses
manajemen risiko yang ada, evaluasi setiap kesenjangan dan
menyelesaikan kesenjangan berdasarkan kerangka tersebut.
Komponen-komponen kerangka kerja dan bagaimana
komponen tersebut saling terkait bersama harus disesuaikan
dengan kebutuhan organisasi.
 - 63 -

a) Kepemimpinan dan Komitmen

Manajemen puncak dan Dewan Komisaris/Dewan
Pengawas, sedapat mungkin harus memastikan bahwa
manajemen risiko telah terintegrasi ke dalam semua
kegiatan organisasi dan harus menunjukkan
kepemimpinan dan komitmen untuk:
(1) Menyesuaikan dan mengimplementasikan semua
komponen kerangka kerja;
(2) Memberikan pernyataan atau kebijakan yang
menegaskan pendekatan, rencana dan kegiatan
manajemen risiko;
(3) Memastikan bahwa sumber daya yang diperlukan
dialokasikan untuk mengelola risiko;
(4) Memberikan kewenangan, tanggung jawab, dan
akuntabilitas yang sesuai pada setiap tingkatan dalam
organisasi.
Hal Ini akan membantu organisasi dalam:
(1) menyelaraskan manajemen risiko dengan tujuan, strategi
dan budaya;
(2) Mengenal dan menyelesaikan semua kewajiban, serta
komitmen;
(3) menetapkan jumlah dan jenis risiko yang dapat atau
tidak dapat diambil sebagai petunjuk dalam
pengembangan kriteria risiko dan memastikan bahwa hal
tersebut telah dikomunikasikan dalam organisasi dan
stakeholder;
(4) mengkomunikasikan pentingnya manajemen risiko
kepada seluruh elemen organisasi dan stakeholder;
(5) mempromosikan proses sistematis dalam monitoring
risiko;
(6) memastikan bahwa kerangka manajemen risiko tetap
sesuai dengan konteks organisasi.
Manajemen puncak bertanggung jawab dalam pelaksanaan
manajemen risiko sementara lembaga pengawas
bertanggung jawab untuk mengawasi pelaksanaan
manajemen risiko. Lembaga pengawas diharapkan
berperan untuk:
(1) memastikan bahwa risiko dipertimbangkan secara
 - 64 -

memadai dalam penetapan tujuan organisasi;

(2) memahami risiko yang dihadapi organisasi dalam
mencapai tujuannya;
(3) memastikan bahwa sistem untuk mengelola risiko
tersebut diimplementasikan dan beroperasi secara
efektif;
(4) memastikan bahwa risiko tersebut sesuai dalam
konteks tujuan organisasi;
(5) memastikan bahwa informasi tentang risiko dan
pengelolaannya dikomunikasikan dengan benar.
b) Integrasi
Mengintegrasikan manajemen risiko bergantung pada
pemahaman atas struktur dan konteks organisasi.
Struktur berbeda tergantung pada maksud, tujuan, dan
kompleksitas organisasi. Risiko dikelola di setiap bagian
struktur organisasi. Setiap orang dalam organisasi
berperan dan memiliki tanggung jawab untuk mengelola
risiko.
Tata kelola memberi petunjuk atas jalannya organisasi,
hubungan eksternal dan internal, serta regulasi, proses,
dan praktik yang diperlukan dalam pencapaian tujuan.
Secara struktural manajemen menterjemahkan tata kelola
ke dalam strategi dan tujuan terkait untuk mencapai
tingkat kinerja yang diperlukan secara berkelanjutan
untuk kelangsungan organisasi jangka panjang.
Penentuan akuntabilitas manajemen risiko dan peran
lembaga pengawas dalam organisasi merupakan bagian
integral dari tata kelola organisasi.
Mengintegrasikan manajemen risiko dalam organisasi
adalah proses yang dinamis dan berkelanjutan, yang
harus disesuaikan dengan kebutuhan dan budaya
organisasi. Manajemen risiko harus menjadi bagian yang
tidak terpisah dari tujuan organisasi, tata kelola,
komitmen dan kepemimpinan, strategi, tujuan dan
operasional.
 - 65 -

c) Desain
(1) Pemahaman terhadap organisasi dan konteks
Dalam merancang kerangka kerja untuk mengelola
risiko, organisasi harus mengevaluasi dan memahami
konteks eksternal dan internal.
Evaluasi konteks eksternal organisasi termasuk
namun tidak terbatas pada:
(a) faktor sosial, budaya, politik, hukum & peraturan
perundangan, keuangan, teknologi, ekonomi dan
lingkungan, baik internasional, nasional, regional
atau lokal;
(b) Pendorong utama dan tren yang mempengaruhi
tujuan organisasi;
(c) hubungan, persepsi, tata nilai, kebutuhan, dan
ekspektasi stakeholder eksternal;
(d) hubungan dan komitmen kontraktual;
(e) kompleksitas hubungan dan saling ketergantungan
yang ada.
Evaluasi konteks internal organisasi mencakup,
namun tidak terbatas pada:
(a) visi, misi, dan nilai-nilai organisasi; tata kelola,
struktur organisasi, tugas, fungsi dan
akuntabilitas;
(b) strategi, tujuan, dan kebijakan;
(c) budaya organisasi;
(d) standar, pedoman, dan model yang diadopsi;
(e) kemampuan, dalam hal ini terkait dengan sumber
daya dan pengetahuan (misalnya modal, waktu,
orang, kekayaan intelektual, proses, sistem, dan
teknologi)
(f) data, sistem informasi dan arus informasi;
(g) hubungan dengan pemangku kepentingan internal,
dengan mempertimbangkan persepsi dan nilai-nilai
yang diyakini;
(h) komitmen dan hubungan kontraktual;
(i) saling ketergantungan dan keterkaitan antar
elemen.
 - 66 -

(2) Artikulasi Komitmen terhadap Manajemen Risiko

Manajemen puncak dan lembaga pengawas, jika
memungkinkan, harus menunjukkan dan
mengartikulasikan komitmen berkelanjutan terhadap
manajemen risiko dalam kebijakan, pernyataan atau
bentuk lain yang secara jelas menyatakan tujuan dan
komitmen organisasi terhadap manajemen risiko.
Komitmen tersebut mencakup namun tidak terbatas
pada:
(a) tujuan organisasi untuk mengelola risiko dan
hubungannya dengan tujuan dan kebijakan
lainnya;
(b) mendorong integrasi manajemen risiko dalam
budaya organisasi secara keseluruhan;
(c) memimpin integrasi manajemen risiko ke dalam
kegiatan bisnis inti dan pengambilan keputusan;
(d) otorisasi, akuntabilitas dan pertanggungjawaban;
(e) penyediaan sumber daya yang diperlukan;
(f) bagaimana menangani pertentangan antar tujuan;
(g) pengukuran dan pelaporan sebagai bagian dari
indikator kinerja;
(h) reviu dan pengembangan.
Komitmen terhadap manajemen risiko
dikomunikasikan secara internal dalam organisasi dan
eksternal kepada para stakeholder, sebagaimana
mestinya.
(3) Penetapan fungsi, kewenangan, tanggung jawab dan
akuntabilitas
Manajemen puncak dan lembaga pengawas, sedapat
mungkin harus memastikan bahwa kewenangan,
tanggung jawab dan akuntabilitas untuk peran yang
relevan dengan manajemen risiko telah ditugaskan dan
dikomunikasikan kepada semua tingkatan organisasi,
serta harus:
(a) menekankan bahwa manajemen risiko adalah
tanggung jawab utama;
(b) mengidentifikasi pihak yang memiliki kewenangan
dan tanggungjawab untuk mengelola risiko (pemilik
 - 67 -

risiko).
(4) Alokasi Sumber Daya
Manajemen puncak dan Dewan Komisaris/Dewan
Pengawas, sedapat mungkin harus memastikan
adanya alokasi sumber daya yang memadai, yang
dapat mencakup namun tidak terbatas pada:
(a) personil, keterampilan, pengalaman, dan
kompetensi;
(b) proses, metode, dan alat yang akan digunakan
dalam pengelolaan risiko;
(c) proses dan prosedur yang terdokumentasi;
(d) sistem informasi dan pengelolaan pengetahuan
(knowledge management);
(e) Pengembangan profesi dan pelatihan.
Organisasi harus mempertimbangkan kemampuan,
dan keterbatasan pada sumber daya yang tersedia saat
ini.
(5) Menciptakan Komuninasi dan Konsultasi
Organisasi harus menyusun dan menetapkan
pendekatan komunikasi dan konsultasi dalam rangka
mendukung kerangka kerja serta memfasilitasi
penerapan manajemen risiko yang efektif. Komunikasi
mencakup berbagi/sharing informasi dengan para
pihak terkait. Konsultasi juga memungkinkan
partisipan untuk memberikan umpan balik dengan
harapan bahwa hal tersebut akan berkontribusi dan
mempengaruhi keputusan atau kegiatan lain. Metode
komunikasi, konsultasi dan materinya harus
mencerminkan ekspektasi para stakeholder, jika
relevan.
Komunikasi dan konsultasi harus dilakukan tepat
waktu dan memastikan bahwa informasi yang relevan
telah dikumpulkan, dikelompokkan, disintesiskan dan
dibagikan sebagaimana mestinya, dan umpan balik
serta perbaikan dilakukan telah dilaksanakan.
d) Implementasi
Organisasi harus menerapkan kerangka kerja manajemen
risiko dengan:
 - 68 -

(1) mengembangkan rencana yang tepat termasuk alokasi

waktu dan sumber daya;
(2) mengidentifikasi kapan, di mana dan bagaimana
berbagai jenis keputusan dibuat oleh para pihak
dalam organisasi;
(3) modifikasi proses pengambilan keputusan bila
diperlukan;
(4) memastikan bahwa pengaturan organisasi dalam
pengelolaan risiko telah dipahami dengan jelas dan
diimplementasikan.
Keberhasilan implementasi kerangka kerja membutuhkan
keterlibatan dan kesadaran para stakeholder. Hal ini
memungkinkan organisasi mengakui adanya
ketidakpastian dalam pengambilan keputusan, serta
memastikan bahwa setiap ketidakpastian yang ada akan
segera diperhitungkan.
Rancangan yang tepat dan implementasi kerangka
manajemen risiko akan memastikan bahwa proses
manajemen risiko menjadi bagian integral pada semua
aktifitas organisasi, termasuk dalam pengambilan
keputusan, serta meyakinkan bahwa perubahan dalam
konteks eksternal dan internal telah diperhitungkan
dengan memadai.
e) Evaluasi
Untuk mengevaluasi efektivitas kerangka manajemen
risiko, organisasi harus:
(1) secara berkala mengukur kinerja kerangka
manajemen risiko berdasarkan ekpektasi terhadap
tujuan, implementasi, indikator dan budaya yang
akan tercipta.
(2) Menentukan apakah kerangka tersebut masih sesuai
dalam mendukung pencapaian tujuan organisasi.
f) Pengembangan
(1) Adaptif
Organisasi harus terus memantau dan menyesuaikan
kerangka kerja manajemen risiko untuk merespon
perubahan eksternal dan internal. Dengan demikian,
organisasi dapat terus meningkatkan nilainya.
 - 69 -

(2) Terus Berkembang

Organisasi secara kontinyu meningkatkan kesesuaian,
kecukupan dan efektivitas kerangka manajemen risiko
dan bagaimana proses manajemen risiko
diintegrasikan.
Begitu teridentifikasi adanya gap atau peluang untuk
peningkatan, organisasi harus segera mengembangkan
rencana dan kegiatan serta menugaskannya kepada
pihak yang bertanggung jawab atas implementasinya.
Setelah diimplementasikan, peningkatan ini
berkontribusi pada peningkatan manajemen risiko.
4) Proses
Proses manajemen risiko
melibatkan penerapan yang
sistematis atas kebijakan,
prosedur, dan praktik dalam
aktifitas komunikasi dan
konsultasi, penetapan
konteks serta aktifitas
penilaian, penyelesaian,
pemantauan, reviu, pencatatan, dan pelaporan risiko. Seluruh
proses ini diilustrasikan pada Gambar 4.
Proses manajemen risiko harus menjadi bagian integral dari
manajemen dan pengambilan keputusan serta diintegrasikan
ke dalam struktur, operasional dan proses organisasi. Hal ini
dapat diterapkan pada tingkat strategis, operasional, program
atau proyek.
Terdapat banyak penerapan proses manajemen risiko dalam
suatu organisasi, yang telah disesuaikan untuk mencapai
tujuan dan selaras dengan konteks eksternal dan internal di
mana hal tersebut diterapkan.
Sifat dinamis dari perilaku dan budaya manusia harus
dipertimbangkan dalam semua proses manajemen risiko.
Meskipun proses manajemen risiko sering digambarkan sebgai
suatu proses yang berurut, namun dalam praktiknya adalah
dinamis dan berulang.
 - 70 -

Proses Manajemen Risiko, terdiri dari:

a) Komunikasi dan Konsultasi
b) Ruang Lingkup, Konteks dan Kriteria
c) Penilaian Risiko
d) Perlakuan Risiko
e) Monitoring dan Reviu
f) Pendokumentasian dan Pelaporan
Uraian secara rinci terhadap proses manajemen risiko,
sebagai berikut:
a) Komunikasi dan Konsultasi
Tujuan komunikasi dan konsultasi adalah untuk
membantu para stakeholder yang relevan dalam
memahami risiko, dasar pengambilan keputusan dan
alasan mengapa tindakan tertentu diperlukan.
Komunikasi berusaha untuk meningkatkan kesadaran
dan pemahaman tentang risiko, sedangkan konsultasi
menghasilkan perolehan umpan balik dan informasi untuk
mendukung pengambilan keputusan. Koordinasi yang erat
antara keduanya memfasilitasi pertukaran informasi yang
faktual, tepat waktu, relevan, akurat dan dapat dipahami,
dengan tetap mempertimbangkan kerahasiaan dan
integritas informasi serta hak privasi individu.
Komunikasi dan konsultasi dengan stakeholder eksternal
dan internal yang tepat, harus dilakukan selama proses
dan pada setiap langkah manajemen risiko.
Komunikasi dan konsultasi bertujuan untuk:
(1) membawa bidang keahlian yang berbeda untuk terlibat
bersama dalam setiap langkah dari proses manajemen
risiko;
(2) memastikan bahwa semua pandangan yang berbeda
telah dipertimbangkan secara memadai ketika
mendefinisikan kriteria risiko dan pada saat evaluasi
risiko;
(3) memberikan informasi yang memadai untuk
memfasilitasi pengawasan risiko dan pengambilan
keputusan;
(4) membangun rasa memiliki dan keterlibatan bersama di
antara para pihak yang terdampak risiko.
 - 71 -

b) Ruang Lingkup, Konteks dan Kriteria

Tujuan dari penetapan ruang lingkup, konteks dan kriteria
adalah untuk menyesuaikan proses manajemen risiko,
memungkinkan penilaian risiko yang efektif dan perlakuan
yang sesuai terhadap risiko. Ruang lingkup, konteks, dan
kriteria mencakup pendefinisian ruang lingkup proses,
dan pemahaman konteks eksternal dan internal.
(1) Pendefinisian Ruang Lingkup
Organisasi harus mendefinisikan ruang lingkup dari
aktifitas manajemen risiko. Karena proses manajemen
risiko dapat diterapkan pada tiap tingkat yang berbeda
(misalnya strategis, operasional, program, proyek, atau
kegiatan lain), penting untuk menjelaskan tentang
ruang lingkup yang dipertimbangkan, tujuan yang
relevan untuk dipertimbangkan dan penyelarasannya
dengan tujuan organisasi.
Pertimbangan dalam merencanakan suatu pendekatan,
meliputi:
(a) tujuan dan keputusan yang perlu dibuat;
(b) hasil yang diharapkan dari langkah-langkah yang
harus diambil selama proses;
(c) waktu, lokasi, pertimbangan dan pengecualian
yang spesifik;
(d) alat dan teknik penilaian risiko yang tepat;
(e) sumber daya yang dibutuhkan, tanggung jawab
dan catatan yang harus disimpan;
(f) hubungan dengan proyek, proses dan kegiatan lain.
(2) Eksternal and internal konteks
Konteks eksternal dan internal adalah lingkungan di
mana organisasi berusaha mendefinisikan dan
mencapai tujuannya.
Konteks proses manajemen risiko harus ditetapkan
dari pemahaman atas lingkungan eksternal dan
internal di mana organisasi beroperasi dan harus
mencerminkan lingkungan spesifik dari kegiatan di
mana proses manajemen risiko tersebut akan
diterapkan.
 - 72 -

Pemahaman terhadap konteks penting karena:

(a) manajemen risiko terjadi dalam konteks tujuan dan
kegiatan organisasi;
(b) faktor organisasi dapat menjadi sumber risiko;
(c) tujuan dan ruang lingkup proses manajemen risiko
dapat terkait dengan tujuan organisasi secara
keseluruhan.
Organisasi harus menetapkan konteks eksternal dan
internal dari proses manajemen risiko dengan
mempertimbangkan faktor-faktor yang disebutkan
dalam angka (2).
(3) Pendefinisian Kriteria Risiko
Organisasi harus menentukan jumlah dan jenis risiko
yang dipertimbangkan atau tidak, relatif terhadap
tujuan. Termasuk mendefinisikan kriteria untuk
mengevaluasi signifikansi dari risiko serta mendukung
proses pengambilan keputusan.
Kriteria risiko harus selaras dengan kerangka
manajemen risiko dan disesuaikan dengan tujuan dan
ruang lingkup spesifik dari kegiatan yang sedang
dipertimbangkan.
Kriteria risiko harus mencerminkan nilai, tujuan, dan
sumber daya organisasi dan konsisten dengan
kebijakan manajemen risiko. Kriteria didefinisikan
dengan mempertimbangkan kewajiban organisasi dan
pandangan dari para stakeholder.
Walaupun kriteria risiko ditetapkan pada awal proses
penilaian risiko, hal tersebut bersifat dinamis dan
harus terus ditinjau dan dirubah atau disesuaikan,
jika diperlukan.
Untuk menetapkan kriteria risiko, hal-hal berikut
harus dipertimbangkan:
(a) sifat dan jenis ketidakpastian yang dapat
mempengaruhi hasil dan tujuan (baik nyata
maupun tidak nyata);
(b) bagaimana konsekuensi (baik positif maupun
negatif) dan kemungkinan akan dirumuskan dan
diukur;
 - 73 -

(c) faktor-faktor yang berhubungan dengan waktu;

(d) konsistensi dalam penggunaan pengukuran;
(e) bagaimana tingkat risiko ditentukan;
(f) bagaimana kombinasi dan urutan dari rangkaian
risiko akan diperhitungkan;
(g) kapasitas/kemampuan organisasi.
c) Penilaian Risiko
Penilaian risiko adalah keseluruhan proses identifikasi
risiko, analisis risiko dan evaluasi risiko.
Penilaian risiko harus dilakukan secara sistematis,
berulang dan kolaboratif, dengan memanfaatkan
pengetahuan dan pandangan para stakeholder.
Memanfaatkan informasi terbaik yang tersedia, dilengkapi
dengan penelusuran lebih lanjut jika diperlukan.
(1) Identifikasi Risiko
Tujuan dari identifikasi risiko adalah untuk
menemukan, mengenali, dan menjelaskan risiko yang
dapat membantu atau menghalangi organisasi dalam
mencapai tujuannya. Informasi yang relevan, sesuai,
dan update penting dalam mengidentifikasi risiko.
Organisasi dapat menggunakan berbagai teknik
untuk mengidentifikasi ketidakpastian yang dapat
mempengaruhi satu atau lebih tujuan. Faktor-faktor
berikut, dan hubungan antara faktor-faktor berikut,
harus dipertimbangkan:
(a) sumber-sumber risiko yang nyata dan tidak
berwujud;
(b) Penyebab dan kejadian;
(c) Ancaman dan peluang;
(d) kerentanan dan kemampuan;
(e) perubahan dalam konteks eksternal dan internal;
(f) indikator risiko yang berkembang;
(g) sifat, nilai aset dan sumber daya;
(h) konsekuensi dan dampaknya pada tujuan;
(i) keterbatasan pengetahuan dan keandalan
informasi;
(j) faktor yang berhubungan dengan waktu;
(k) bias, asumsi, dan keyakinan dari para pihak yang
 - 74 -

terlibat.
Organisasi harus mengidentifikasi, apakah sumber
risiko berada di bawah kendali atau tidak. Harus
dipertimbangan adanya kemungkinan lebih dari satu
dampak, yang dapat mengakibatkan beragam
konsekuensi fisik atau yang tidak berwujud.
(2) Analisis Risiko
Tujuan dari analisis risiko adalah untuk memahami
sifat risiko dan karakteristiknya termasuk jika
memungkinkan tingkatan risikonya. Analisis risiko
melibatkan pertimbangan rinci terhadap
ketidakpastian, sumber risiko, konsekuensi,
kemungkinan, peristiwa, skenario, kontrol dan
keefektifannya. Suatu peristiwa dapat memiliki
banyak penyebab dan konsekuensi dan dapat
mempengaruhi beberapa tujuan.
Analisis risiko dapat dilakukan dalam berbagai
tingkatan detil dan kompleksitas, tergantung pada
tujuan analisis, ketersediaan dan keandalan
informasi, dan sumber daya. Teknik analisis dapat
dilakukan secara kualitatif, kuantitatif atau
kombinasi keduanya, tergantung pada kondisi dan
tujuan penggunaan.
Analisa risiko harus mempertimbangkan faktor
sebagai berikut:
(a) kemungkinan kejadian dan konsekuensinya;
(b) sifat dan besarnya konsekuensi;
(c) kompleksitas dan konektivitas;
(d) faktor terkait waktu dan volatilitas;
(e) efektivitas pengendalian yang ada;
(f) tingkat sensitivitas dan kepercayaan diri.
Analisis risiko dapat dipengaruhi oleh perbedaan
pendapat, bias, persepsi risiko dan penilaian. Hal lain
yang berpengaruh adalah kualitas informasi yang
digunakan, asumsi dan pengecualian yang dibuat,
keterbatasan teknik yang digunakan serta bagaimana
hal tersebut dijalankan. Semua pengaruh ini harus
 - 75 -

dipertimbangkan, didokumentasikan dan

dikomunikasikan kepada pengambil keputusan.
Peristiwa dengan ketidakpastian yang tinggi sulit
untuk dikuantifikasi. Hal ini dapat menjadi masalah
ketika menganalisis peristiwa dengan konsekuensi
yang berat. Dalam kasus seperti itu, penggunaan
kombinasi dari beberapa teknik atau pendekatan
umumnya memberikan pemahaman yang lebih luas.
Analisis risiko memberikan masukan untuk evaluasi
atas risiko, keputusan apakah risiko perlu untuk
dikelola, serta strategi dan metode perlakuan yang
paling tepat terhadap risiko tersebut. Hasilnya
memberikan pemahaman mendalam untuk
pengambilan keputusan di mana pilihan harus
dibuat, serta opsi-opsi berikut jenis dan tingkat risiko
masing-masing.
(3) Evaluasi Risiko
Tujuan evaluasi risiko adalah untuk mendukung
keputusan yang dibuat. Evaluasi risiko mencakup
pembandingan hasil analisis risiko dengan kriteria
risiko yang ditetapkan untuk menentukan apakah
diperlukan upaya tambahan. Hal ini mengarah pada
keputusan untuk:
(a) tidak melakukan apa-apa;
(b) mempertimbangkan opsi-opsi perlakuan atas
risiko;
(c) melakukan analisis lebih lanjut untuk lebih
memahami risiko;
(d) menjaga kontrol yang ada;
(e) mempertimbangkan kembali tujuan yang telah
ditetapkan.
Keputusan harus dipertimbangkan dalam konteks
yang lebih luas dan konsekuensi yang dirasakan
secara nyata atau dalam perspepsi stakeholder
eksternal maupun internal.
Hasil evaluasi risiko harus dicatat, dikomunikasikan,
kemudian divalidasi pada tingkatan yang sesuai
dalam organisasi.
 - 76 -

d) Perlakuan Risiko
Tujuan dari perlakuan terhadap risiko adalah untuk
memilih dan menerapkan opsi-opsi untuk mengatasi risiko
tersebut. Perlakuan atas risiko melibatkan proses
interaktif yang mencakup:
(1) merumuskan dan memilih opsi perlakuan terhadap
risiko;
(2) perencanaan dan pelaksanaan perlakuan terhadap
risiko;
(3) menilai efektivitas tindakan tersebut;
(4) memutuskan apakah risiko yang tersisa masih dapat
diterima;
(5) jika tidak dapat diterima, mengambil langkah
perlakuan lebih lanjut.
Secara rinci dapat dijelaskan sebagai berikut:
(1) Menyeleksi opsi perlakuan risiko
Memilih opsi perlakuan atas risiko yang paling sesuai
mencakup menyeimbangkan antara potensi manfaat
yang akan diperoleh terkait pencapaian tujuan
dibandingkan dengan biaya, upaya atau kerugian
sebagai dampak implementasinya.
Opsi perlakuan risiko tidak selalu mengabaikan
lainnya atau dapat diterapkan untuk semua kondisi.
Opsi untuk mengatasi risiko dapat melibatkan satu
atau lebih dari hal berikut:
(a) menghindari risiko dengan memutuskan untuk
tidak memulai atau melanjutkan aktivitas yang
memicu risiko tersebut;
(b) menerima atau menambah risiko dalam rangka
meraih peluang;
(c) menghilangkan sumber risiko;
(d) mengubah kemungkinan;
(e) mengubah konsekuensinya;
(f) berbagi risiko (misalnya melalui kontrak, asuransi);
(g) mempertahankan risiko dengan keputusan yang
telah informasikan.
Justifikasi untuk perlakuan risiko merupakan hal
yang lebih luas daripada hanya pertimbangan
 - 77 -

ekonomi dan harus mempertimbangkan semua

kewajiban organisasi, komitmen dan pandangan para
stakeholder. Pemilihan opsi perlakuan risiko harus
dilakukan sesuai dengan tujuan organisasi, kriteria
risiko, dan sumber daya yang tersedia.
Ketika memilih opsi perlakuan terhadap risiko,
organisasi harus mempertimbangkan nilai, persepsi
dan potensi keterlibatan stakeholder dan bagaimana
cara yang paling tepat untuk mengkomunikasikan
dan mengkonsultasikannya. Walaupun sama-sama
efektif, beberapa tindakan perlakuan terhadap risiko
dapat lebih diterima oleh stakeholder daripada yang
lainnya.
Walaupun telah dirancang dan dilaksanakan dengan
hati-hati, mungkin saja terjadi bahwa perlakuan
risiko tidak memberikan hasil sebagaimana yang
diharapkan bahkan menimbulkan konsekuensi yang
justru tidak diinginkan. Untuk itu monitoring dan
reviu perlu menjadi bagian integral dari implementasi
perlakuan terhadap risiko untuk memberi jaminan
bahwa berbagai bentuk perlakuan tetap efektif.
Perlakuan terhadap risiko dapat pula
mengidentifikasikan adanya risiko baru yang perlu
dikelola.
Jika tidak ada opsi tindakan yang tersedia atau jika
pilihan tindakan tidak cukup memodifikasi risiko,
risiko tersebut harus dicatat dan selalu dipantau atau
direviu.
Pengambil keputusan dan stakeholder lainnya harus
menyadari sifat dan tingkat risiko yang masih tersisa
setelah tindakan perlakuan atas risiko dilaksanakan.
Risiko yang tersisa tersisa tersebut harus
didokumentasikan dan menjadi sasaran monitoring,
reviu dan, bila perlu, tindakan perlakuan lebih lanjut.
(2) Penyiapan dan Impelementasi rencana perlakuan
risiko
Perencanaan perlakuan risiko bertujuan untuk
menentukan bagaimana pilihan perlakuan risiko akan
 - 78 -

dimplementasikan, sehingga pengorganisasiannya

dipahami oleh para pihak yang terlibat, serta
kemajuan pelaksanaannya dapat dipantau. Rencana
perlakuan harus secara jelas urutan di mana
perlakuan risiko harus dilaksanakan.
Rencana perlakuan risiko harus diintegrasikan ke
dalam rencana manajemen dan proses organisasi,
dengan berkonsultasi dengan stakeholder yang tepat.
Informasi yang tersedia dalam rencana perlakuan
risiko harus mencakup:
(a) alasan pemilihan opsi, termasuk manfaat yang
diharapkan akan diperoleh;
(b) pihak yang berwenang dan bertanggung jawab
untuk menyetujui dan mengimplementasikan
rencana tersebut;
(c) tindakan yang diusulkan;
(d) sumber daya yang dibutuhkan, termasuk rencana
kontinjensi;
(e) ukuran kinerja;
(f) kendala dan hambatan;
(g) monitoring dan pelaporan yang dibutuhkan;
(h) target waktu pelaksanaan dan penyelesaian.
e) Monitoring dan reviu
Monitoring dan reviu bertujuan untuk memastikan dan
meningkatkan kualitas serta efektivitas desain,
implementasi, dan hasilnya. Monitoring berkelanjutan dan
reviu berkala terhadap proses manajemen risiko dan
hasilnya harus menjadi bagian yang terencana dalam
proses manajemen risiko, dengan tanggung jawab yang
didefinisikan secara jelas.
Monitoring dan reviu harus dilakukan di semua tahapan
proses. Monitoring dan reviu mencakup perencanaan,
pengumpulan dan analisis informasi, pencatatan hasil dan
penyediaan umpan balik.
Hasil monitoring dan reviu harus termasuk dalam seluruh
aktivitas manajemen pengukuran dan pelaporan kinerja
organisasi.
 - 79 -

f) Pendokumentasian dan Pelaporan

Proses manajemen risiko beserta hasilnya harus
didokumentasikan dan dilaporkan melalui mekanisme
yang sesuai. Pendokumentasian dan pelaporan bertujuan
untuk:
(1) mengkomunikasikan kegiatan manajemen risiko
beserta hasilnya kepada seluruh organisasi;
(2) memberikan informasi untuk pengambilan keputusan;
(3) meningkatkan kegiatan manajemen risiko;
(4) membantu interaksi dengan stakeholders, termasuk
mereka yang memiliki tanggung jawab dan
akuntabilitas dalam kegiatan manajemen risiko.
Keputusan mengenai penciptaan, retensi dan penanganan
informasi yang terdokumentasi harus dipertimbangkan,
tetapi tidak terbatas pada penggunaannya, sensitivitas
informasi serta konteks eksternal dan internal.
Pelaporan merupakan bagian integral dari tata kelola
organisasi dan harus meningkatkan kualitas komunikasi
dengan stakeholders serta mendukung manajemen puncak
dan lembaga pengawas dalam memenuhi tanggung
jawabnya. Faktor-faktor yang perlu dipertimbangkan
dalam pelaporan termasuk, namun tidak terbatas pada:
(1) kebutuhan informasi yang berbeda dari para
stakeholder;
(2) biaya, frekuensi, dan ketepatan waktu pelaporan;
(3) metode pelaporan;
(4) relevansi informasi dengan tujuan organisasi dan
pengambilan keputusan.
 - 80 -

BAB IV
PENUGASAN PENGAWASAN MANAJEMEN RISIKO

Visi BPKP dalam rencana strategis 2015-2019 adalah sebagai “Auditor Internal
Pemerintah RI berkelas Dunia untuk meningkatkan Akuntabilitas Pengelolaan
Keuangan dan Pembangunan Nasional”. Visi ini merupakan kondisi impian
yang diharapkan dapat mendorong seluruh pimpinan dan pegawai untuk
melaksanakan setiap kegiatan dengan kualitas dunia. Terdapat tiga aspek yang
menunjukkan kualitas BPKP sebagai auditor berkelas dunia, yaitu aspek SDM,
aspek organisasi dan aspek produk. Dari sudut perannya, hasil pengawasan
internal BPKP dapat berupa informasi assurance dan/atau consultancy.
Informasi assurance memberikan jaminan kepada Presiden dan pembantunya
bahwa tata kelola pemerintahan atas seluruh program prioritas pembangunan
telah dijalankan sesuai dengan standar, aturan, kebijakan atau instrument
operasional manajemen risiko dan governance lainnya. Informasi consultancy
berwujud rekomendasi tentang perbaikan manajemen risiko, aktivitas
pengendalian dan proses governance dalam penyelenggaraan pemerintah dan
program pembangunan. Kualitas informasi assurance dan rekomendasi
strategis tersebut harus sedemikian rupa sehingga mempunyai daya ungkit
(leverage) yang cukup signifikan dalam meningkatkan kinerja pemerintah dan
program pembangunan.
Sesuai Peraturan Presiden Nomor 192 Tahun 2014, BPKP mempunyai tugas
menyelenggarakan urusan pemerintahan di bidang pengawasan keuangan
negara/daerah dan pembangunan nasional. Dalam melaksanakan tugas
tersebut, BPKP menyelenggarakan dua fungsi utama, yaitu fungsi pengarahan
dan pengkoordinasian pengawasan intern dan fungsi pengawasan intern.
Fungsi kedua berupa pengawasan intern, antara lain berfungsi memberikan
konsultansi terkait manajemen risiko, pengendalian intern, dan tata kelola
terhadap instansi/badan usaha/badan lainnya serta program/kebijakan
pemerintah yang strategis.
Pentingnya penerapan manajemen risiko di Badan Usaha Milik Negara
dipertegas dengan Peraturan Menteri Negara Badan Usaha Milik Negara Nomor
Per–01/MBU/2011 tentang Penerapan Tata Kelola Perusahaan yang Baik
(Good Corporate Governance) pada Badan Usaha Milik Negara diatur secara
khusus dalam Bagian Keenam Pasal 25 tentang Manajemen Risiko. Selain itu,
dalam Pasal 26 ayat 2.b menyebutkan bahwa Direksi harus menetapkan
sistem pengendalian intern yang antara lain mencakup pengkajian terhadap
 - 81 -

pengelolaan risiko usaha (risk assessment), yaitu suatu proses untuk

mengidentifikasi, menganalisis, menilai pengelolaan risiko yang relevan.
A. Manfaat Penerapan Produk Manajemen Risiko
Produk manajemen risiko yang diberikan BPKP dapat mendukung
terlaksananya manajemen risiko secara efektif sehingga dapat memberikan
manfaat bagi perusahaan berupa:
1. Membantu pencapaian tujuan perusahaan.
2. Mencapai kesinambungan pemberian pelayanan kepada stakeholder,
sehingga meningkatkan kualitas dan nilai perusahaan.
3. Mencapai hasil yang lebih baik berupa efisiensi dan efektivitas
pelayanan.
4. Menghindari biaya dan waktu yang tidak perlu, karena perusahaan
mampu mengidentifikasi dan mengelola risiko yang tidak diperlukan.
5. Mencapai pengambilan keputusan secara transparan dan berjalannya
prose manajemen.
6. Meningkatkan akuntabilitas dan corporate governance.
7. Mengubah pandangan terhadap risiko menjadi lebih terbuka.
B. Keunggulan Produk Manajemen Risiko
Produk manajemen risiko yang diberikan BPKP memiliki beberapa
keunggulan, yaitu:
1. Applicable – mencakup teknik manajemen risiko yang dapat diterapkan
bagi perusahaan, tidak terbatas pada konsep dan teori manajemen
risiko.
2. Customized – mengakomodasi kebutuhan penerapan manajemen risiko
yang diinginkan oleh berbagai jenis perusahaan.
3. Valuable – memberi nilai tambah dan manfaat bagi perusahaan.
C. Produk Manajemen Risiko dan Mekanisme Kerja Produk Manajemen Risiko
yang Diberikan
1. Sosialisasi/Workshop/Training Manajemen Risiko
Sosialisasi/workshop/training manajemen risiko merupakan kegiatan
untuk memberikan pemahaman dan kemampuan bagi manajemen
perusahaan untuk melaksanakan risk assessment, menyusun pedoman
kebijakan manajemen risiko, mengimplementasikan manajemen risiko,
dan mengevaluasi tingkat kematangan implementasi manajemen risiko.
Kegiatan sosialisasi/workshop/training manajemen risiko dilakukan
selama 4-5 hari dengan materi berupa konsep risiko, manajemen risiko,
risk assessment, simulasi risk assessment, dan kebijakan manajemen
risiko, serta evaluasi manajemen risiko.
 - 82 -

Tahap-tahap kegiatan yang dilakukan pada saat

sosialisasi/workshop/training manajemen risiko meliputi:
a. Penyajian teori dan konsep risiko, manajemen risiko, risk
assessment, kebijakan manajemen risiko, dan evaluasi manajemen
risiko.
b. Diskusi interaktif antara instruktur dan peserta.
2. Sharing Experience Penerapan Manajemen Risiko Di Perusahaan
Simulasi dan latihan penyusunan profil risiko perusahaan dan metode
penanganannya.
a. Asistensi Risk Assessment
Asistensi Risk Assessment merupakan jasa konsultasi manajemen
risiko untuk membantu menyusun peta atau profil risiko
perusahaan dan memberikan rekomendasi cara penanganan risiko
perusahaan. Kegiatan ini dilakukan dengan cara memahami bisnis
perusahaan, mengidentifikasi risiko, menganalisis/mengukur risiko
yang teridentifikasi, dan menentukan prioritas risiko, serta
menentukan cara penanganan risiko lebih lanjut. Hasil risk
assessment adalah Profil Risiko yaitu gambaran risiko yang
dihadapi oleh perusahaan dan urutan prioritasnya sesuai dengan
level risiko. Level risiko diperoleh dari perkalian antara likelihood
dan konsekuensi masing-masing risiko. Hasil risk assessment ini
selain bermanfaat untuk menentukan risiko yang menjadi prioritas
untuk ditangani, juga sebagai dasar dalam pemberian saran cara
penanganan risiko perusahaan.
Tahap-tahap kegiatan yang dilakukan pada saat asistensi risk
assessment meliputi:
(1) Membentuk Focus Group Discussion.
(2) Melakukan workshop risk assessment.
(3) Menyusun rencana kerja risk assessment.
(4) Pemahaman bisnis perusahaan.
(5) Mengidentifikasi risiko, menganalisis/mengukur risiko,
mengevaluasi/menentukan prioritas risiko, dan menangani
risiko.
(6) Menyusun Laporan Risk Assessment.
b. Asistensi Penyusunan Pedoman Kebijakan Manajemen Risiko
Asistensi penyusunan pedoman kebijakan manajemen risiko
merupakan jasa konsultasi manajemen risiko untuk membantu
perusahaan menyusun pedoman kebijakan manajemen risiko.
 - 83 -

Pedoman kebijakan manajemen risiko dipakai sebagai kebijakan,

panduan umum, prosedur, dan instruksi kerja dalam menerapkan
manajemen risiko. Hasil asistensi penyusunan pedoman kebijakan
manajemen risiko ini adalah berupa pedoman kebijakan manajemen
risiko yang terdiri dari pernyataan komitmen manajemen risiko
perusahaan, pedoman umum manajemen risiko, prosedur
manajemen risiko, instruksi kerja manajemen risiko, dan formulir
manajemen risiko.
Tahap-tahap kegiatan yang dilakukan pada saat asistensi
penyusunan Pedoman Kebijakan Manajemen Risiko meliputi:
(1) Pemaparan ruang lingkup penyusunan kebijakan manajemen
risiko untuk mendapatkan persamaan persepsi tentang ruang
lingkup kebijakan manajemen risiko.
(2) Perumusan prinsip, kebijakan, tujuan dan sasaran, dan strategi
manajemen risiko bersama dengan Focus Group Discussion
Perusahaan.
(3) Perumusan pedoman umum, prosedur, instruksi kerja, dan
formulir manajemen risiko bersama Focus Group Discussion
Perusahaan.
(4) Penyusunan pernyataan komitmen manajemen risiko
perusahaan, pedoman umum manajemen risiko, prosedur
manajemen risiko, instruksi kerja manajemen risiko, dan
formulir manajemen risiko perusahaan.
c. Evaluasi Efektivitas Manajemen Risiko
Evaluasi efektivitas manajemen risiko merupakan jasa konsultasi
manajemen risiko untuk membantu perusahaan menilai atau
mengevaluasi efektivitas penerapan manajemen risiko perusahaan.
Hasil evaluasi atas efektivitas manajemen risiko adalah berupa
rekomendasi perbaikan penerapan manajemen risiko perusahaan.
Tahap-tahap kegiatan yang dilakukan pada saat asistensi evaluasi
efektivitas manajemen risiko meliputi:
(1) Melakukan workshop evaluasi efektivitas manajemen risiko.
(2) Mengumpulkan informasi tentang penerapan manajemen risiko
di perusahaan dengan cara reviu dokumen, wawancara,
observasi, dan penyampaian daftar pertanyaan.
(3) Membandingkan antara informasi yang diperoleh dengan
kriteria.
 - 84 -

(4) Menilai skor tingkat kematangan penerapan manajemen risiko di

perusahaan.
(5) Mengambil simpulan tingkat kematangan penerapan manajemen
risiko di perusahaan dan memberikan saran perbaikan (area of
improvement) penerapan manajemen risiko perusahaan.

DEPUTI BADAN PENGAWASAN

KEUANGAN DAN PEMBANGUNAN
BIDANG AKUNTAN NEGARA,

BONNY ANANG DWIJANTO

 - 85 -

LAMPIRAN II
PERATURAN DEPUTI
BADAN PENGAWASAN KEUANGAN
DAN PEMBANGUNAN
BIDANG AKUNTAN NEGARA
TENTANG
PEDOMAN PENERAPAN MANAJEMEN
RISIKO DI LINGKUNGAN BADAN
USAHA MILIK NEGARA

PEDOMAN PENILAIAN RISIKO (RISK ASSESSMENT)

BAB I
PENDAHULUAN

A. LATAR BELAKANG
Tujuan perusahaan secara umum adalah untuk memberikan nilai seoptimal
mungkin bagi para pemiliknya dan pihak-pihak lain yang berkepentingan.
Namun upaya pencapaian tujuan tersebut bukanlah hal yang mudah.
Dalam kenyataannya banyak ketidakpastian yang menyelimuti praktik
dunia bisnis, baik ketidakpastian yang berasal dari lingkungan di luar
perusahaan maupun di dalam perusahaan. Ketidakpastian ini dapat
memberi pengaruh positif maupun negatif. Pengaruh positif dari
ketidakpastian biasanya disebut peluang dan pengaruh negatif disebut
risiko.
Risiko, meskipun berkonotasi negatif, bukan merupakan sesuatu yang
harus dihindari tetapi harus dikelola melalui suatu mekanisme yang
dinamakan “manajemen risiko”. Manajemen risiko yang baik akan menjadi
kekuatan vital bagi corporate governance. Perusahaan yang mampu
mengelola risiko dengan baik biasanya memiliki kemampuan sensitif untuk
mendeteksi risiko, memiliki fleksibilitas untuk merespon risiko dan
menjamin kapabilitas sumberdaya untuk melakukan tindakan guna
mengurangi tingkat risiko.
Proses manajemen risiko merupakan aplikasi yang sistematis atas
kebijakan manajemen, prosedur dan praktik-praktik dalam menetapkan
konteks, mengidentifikasi, menganalisis, mengevaluasi, memperlakukan,
memantau dan mengkomunikasikan peristiwa risiko.
 - 86 -

Kegiatan mengidentifikasi, menganalisis, mengevaluasi, dan menetapkan

perlakuan atas risiko lazim disebut sebagai kegiatan risk assessment.
BUMN perlu secara berkala melakukan risk assessment untuk memetakan
risiko yang dapat menghambat pencapaian tujuan perusahaan, dan
merencanakan tindakan mitigasi untuk menjaga agar risiko tersebut tetap
berada pada level yang dapat diterima perusahaan.
Untuk dapat memfasilitasi BUMN/BUMD dalam melakukan risk assessment
(RA) diperlukan suatu pedoman yang dapat mengarahkan pelaksanaan
fasilitasi risk assessment secara efektif dan efisien. Perangkat dan metode
yang digunakan harus menjamin bahwa semua risiko perusahaan dan
pengendalian yang ada dapat diidentifikasi dan dinilai. Keduanya
merupakan informasi penting yang diperlukan oleh tim risk assessment
dalam membantu mengarahkan manajemen untuk menggali langkah-
langkah yang harus dilakukan dalam menangani risiko tersebut.
Buku ini disusun untuk mengakomodasi kebutuhan tersebut. Setiap tahap
risk assessment akan dijabarkan secara rinci dalam langkah-langkah dan
prosedur yang sistematis, dan didokumentasikan dalam formulir-formulir
yang dirancang khusus.
B. TUJUAN DAN MANFAAT
Tujuan dan manfaat Pedoman ini adalah untuk memberikan panduan bagi
tim BPKP dalam memfasilitasi manajemen BUMN/BUMD dalam melakukan
risk assessment, yaitu mengidentifikasi risiko yang dihadapi oleh
perusahaan yang bersangkutan, analisis untuk menentukan peringkat
risiko yang teridentifikasi, evaluasi serta pemberian saran berbagai opsi
penanganan risiko yang dapat diterapkan untuk mengurangi risiko sampai
pada tingkat yang diterima.
Secara khusus, buku Pedoman Risk Assessment diharapkan dapat
memberikan pemahaman kepada tim BPKP mengenai langkah-langkah
yang harus dilakukan dalam memfasilitasi risk assessment, sehingga dapat
memberikan hasil yang optimal.
C. RUANG LINGKUP
Penyusunan buku seri Manajemen Risiko oleh Satuan Tugas Manajemen
Risiko Deputi Bidang Akuntan Negara BPKP dilakukan secara bertahap, dan
pada tahap pertama disusun dua buku pedoman. Buku pertama yaitu
Pedoman Umum membahas konsep risiko dan konsep manajemen risiko.
Buku kedua yaitu Pedoman Risk Assessment membahas tentang pedoman
pelaksanaan kegiatan fasilitasi risk assessment, ditujukan untuk menjawab
pertanyaan “bagaimana” melakukan risk assessment. Urutan pembahasan
 - 87 -

mengenai manajemen risiko dalam buku pedoman risk assessment edisi

pertama mengikuti proses manajemen risiko dari Standar Australia/New
Zealand (AS/NZS 4360-2004).
BPKP dalam melakukan fasilitasi risk assessment menyesuaikan dengan
pendekatan MR pada BUMN/BUMD yang difasilitasi.
Ruang lingkup buku ini mencakup langkah-langkah yang harus ditempuh
dalam memfasilitasi pelaksanaan fasilitasi risk assessment pada
BUMN/BUMD, yang terdiri dari:
1. Pemahaman bisnis BUMN/BUMD yang meliputi pemahaman stratejik,
organisasi dan kriteria evaluasi risiko;
2. Mengidentifikasi risiko baik yang berasal dari lingkungan internal
maupun lingkungan eksternal BUMN/BUMD:
3. Menganalisis risiko berdasarkan ukuran likelihood dan dampaknya;
4. Mengevaluasi risiko dengan mempertimbangkan kriteria risiko untuk
menentukan apakah suatu risiko berada pada tingkat yang diterima
BUMN/BUMD atau memerlukan penanganan lebih lanjut, serta
5. Penanganan risiko yang merupakan pemilihan opsi strategi manajemen
untuk mengurangi risiko sampai pada tingkat yang dapat diterima.
 - 88 -

Alur pikir Buku Pedoman Risk Assessment dapat dilihat pada Gambar
berikut ini:

GAMBAR
ALUR PIKIR (LOGICAL FRAMEWORK)
PEDOMAN RISK ASSESSMENT

PERENCANAAN PELAKSANAAN PELAPORAN

Mulai
Pemahaman Menyiapkan Konsep
Bisnis Laporan Risk
Assessment

Membentuk Fokus
Group

Mengidentifikasi Mereviu Laporan

Risiko Risk Assessment
Workshop Risk
Assessment

Menandatangani
Menganalisis
Menyusun Laporan Risk
Risiko
Rencana Risk Assessment
Assessment

Mengevaluasi Mendistribusikan
Risiko Laporan Risk
Assessment

Menangani Risiko Selesai

D. SISTEMATIKA PEMBAHASAN
Sistematika pembahasan dalam buku ini di uraikan dalam struktur bab
dengan urutan pembahasan sebagai berikut:
Bab 1 : Pendahuluan
Membahas tentang latar belakang, tujuan dan manfaat, ruang
lingkup dan struktur pembahasan pedoman pelaksanaan risk
assessment.
Bab 2 : Perencanaan
Membahas tentang tujuan dan ruang lingkup, prosedur, dan
dokumentasi tahap perencanaan risk assessment yang meliputi
 - 89 -

kegiatan membentuk Focus Group, melaksanakan workshop risk

assessment, dan menyusun rencana rinci risk assessment.
Bab 3 : Pemahaman Bisnis
Membahas tentang tahap pertama pelaksanaan risk assessment
yaitu pemahaman bisnis mencakup tujuan, ruang lingkup, teknik
dan prosedur, serta dokumentasi yang digunakan dalam
melaksanakan pemahaman bisnis perusahaan.
Bab 4 : Identifikasi Risiko
Membahas tentang tujuan melakukan identifikasi risiko, teknik dan
prosedur, serta dokumentasi yang diperlukan untuk menuangkan
setiap langkah-langkah kerja identifikasi risiko.
Bab 5 : Analisis dan Evaluasi Risiko
Membahas tentang tujuan melakukan analisis dan evaluasi risiko,
teknik dan prosedur, serta dokumentasi yang diperlukan dalam
tahap analisis serta evaluasi risiko.
Bab 6 : Penanganan Risiko
Membahas tentang tujuan melakukan penanganan risiko, teknik
dan prosedur, serta dokumentasi yang diperlukan untuk
menuangkan langkah-langkah yang telah dilakukan dalam
penanganan risiko.
Bab 7 : Pelaporan
Membahas tentang tujuan, prosedur, dan dokumentasi kegiatan
pelaporan hasil kegiatan fasilitasi risk assessment.
Bab 8 : Penutup
Menyajikan faktor-faktor keberhasilan pelaksanaan fasilitasi risk
assessment yang langkah-langkahnya telah diuraikan dalam bab-
bab sebelumnya.
 - 90 -

BAB II
PERENCANAAN

GAMBAR
ALUR PIKIR (LOGICAL FRAMEWORK)
PEDOMAN RISK ASSESSMENT

PERENCANAAN PELAKSANAAN PELAPORAN

Mulai
Pemahaman Menyiapkan Konsep
Bisnis Laporan Risk
Assessment

Membentuk Fokus
Group

Mengidentifikasi Mereviu Laporan

Risiko Risk Assessment
Workshop Risk
Assessment

Menandatangani
Menganalisis
Menyusun Laporan Risk
Risiko
Rencana Risk Assessment
Assessment

Mengevaluasi Mendistribusikan
Risiko Laporan Risk
Assessment

Menangani Risiko Selesai

A. TUJUAN DAN RUANG LINGKUP

Tujuan kegiatan perencanaan adalah sebagai berikut :
1. Mempersiapkan segala hal yang terkait dengan pelaksanaan fasilitasi
risk assessment;
2. Tercapainya hasil fasilitasi risk assessment secara optimal
3. Meminimalisir kesalahan dan ketidakefisienan pelaksanaan risk
assessment.
Ruang lingkup perencanaan meliputi:
1. Penentuan Focus Group
 - 91 -

2. Penentuan ruang lingkup fasilitasi Risk Assessment (Korporat,

Direktorat, Unit, Proyek)
3. Penentuan waktu pelaksanaan fasilitasi risk assessment
4. Aktivitas yang akan dilaksanakan
B. PROSEDUR
Prosedur yang harus dilaksanakan pada tahapan perencanaan fasilitasi
risk assessment adalah sebagai berikut :
1. Membentuk Focus Group
Focus Group merupakan personil yang dipilih/ditunjuk (dengan Surat
Keputusan) dari Direksi sebagai orang yang bertanggungjawab dalam
pelaksanaan risk assessment di perusahaan, yang ditugaskan sebagai
mitra kerja Tim Risk Assessment BPKP.
Personil, tugas dan tanggung jawab Focus Group perlu disusun terlebih
dahulu oleh perusahaan.
a. Personil Focus Group
Penunjukan personil ditetapkan dalam suatu surat keputusan pejabat
yang berwenang. Anggota Focus Group mencakup wakil dari masing-
masing fungsi organisasi setingkat Manajer Kunci. Fungsi-fungsi
organisasi tersebut, misalnya mencakup fungsi pemasaran, produksi,
sumber daya manusia dan umum, keuangan, teknik dan
pengembangan, sekretaris perusahaan, satuan pengawasan internal,
dan teknologi informasi.
Perusahaan harus memperhatikan hal-hal berikut dalam
pembentukan Focus Group:
 Anggota Focus Group yang dipilih memiliki kompetensi dan
komitmen yang tinggi.
 Anggota Focus Group mencakup para pakar teknis dari internal
perusahaan dan staf operasi perusahaan yang familiar dengan
rancangan, operasi, dan pemantauan terhadap proyek atau aktivitas
perusahaan.
 Dalam kasus tertentu dimungkinkan melibatkan personil baru yang
memiliki kompetensi yang dibutuhkan.
b. Tugas dan Tanggung Jawab
Tugas dan tanggung jawab anggota Focus Group adalah sebagai
berikut:
 Memahami ruang lingkup proses risk assessment dan memahami
peranannya.
 Memahami tujuan dan output proses risk assessment.
 - 92 -

 Mendapatkan informasi perusahaan yang relevan.

 Menerima dan memahami formulir-formulir risk assessment yang
akan digunakan dalam mendokumentasikan seluruh informasi
dalam setiap tahapan proses risk assessment.
 Memberikan/menyampaikan informasi yang relevan, lengkap, dan
akurat dalam setiap tahapan proses risk assessment sesuai dengan
pengetahuan dan pengalaman terbaik yang dimilikinya.
2. Penentuan Ruang Lingkup
Pada tahapan ini, setelah Tim Focus Group dibentuk, maka selanjutnya
Tim BPKP dan Tim Focus Group mengadakan kesepakatan bersama
untuk menentukan ruang lingkup pelaksanaan Risk Assessment
(Korporat, Direktorat, Divisi, Bagian, Cabang atau anak perusahaan atau
dapat juga suatu proyek tertentu), Pertemuan ini harus dibuatkan
notulen sebagai dokumen resmi yang tidak terpisahkan dengan dokumen
kerja sama.
3. Penentuan Waktu Pelaksanaan fasilitasi Risk Assessment
Setelah ruang lingkup disepakati bersama, maka tahap selanjutnya
adalah menentukan waktu pelaksanaan fasilitasi Risk Assessment. Yang
perlu diperhatikan disini adalah pengaturan mengenai lamanya waktu
pelaksanaan fasilitasi Risk Assessment dan jadwal rinci dari hal-hal
sebagai berikut:
a. Penyelenggaraan workshop, penyamaan persepsi
b. Penyelenggaraan pertemuan rutin secara periodik antara Tim BPKP
dengan Tim Focus Group
c. Penyelenggaraan pertemuan Tim BPKP dengan wakil/utusan dari unit
yang akan difalisitasi pelaksanaan Risk Assessment nya;
d. Kunjungan ke lokasi-lokasi unit yang akan dipilih sesuai ruang
lingkup
e. Penyelenggaraan pertemuan Pembahasan Hasil Identifikasi awal
f. Penyelenggaraan pertemuan pengukuran risiko
g. Penyelenggaraan pertemuan pemilihan alternatif penanganan risiko
h. Penyelenggaraan pertemuan exit meeting
4. Melaksanakan Workshop Risk Assessment
Workshop risk assessment adalah kegiatan penyampaian pengetahuan
tentang risk assessment dari Tim BPKP kepada Focus Group. Workshop
risk assessment dilakukan untuk memberikan bekal pengetahuan
kepada Focus Group dan menyamakan bahasa/persepsi dalam
pelaksanaan risk assessment.
 - 93 -

Lamanya waktu pelaksanaan workshop tergantung pada kesiapan dan

pemahaman peserta focus group mengenai manajemen risiko
perusahaan. Workshop risk assessment dilakukan selama minimal 1
(satu) hari kegiatan dengan materi yang disampaikan adalah sebagai
berikut:
a. Overview manajemen risiko
Penyampaian materi overview manajemen risiko bertujuan untuk
memberikan pemahaman konsep dasar secara umum kepada anggota
Focus Group mengenai risiko, manajemen risiko, dan proses
manajemen risiko.
b. Tujuan, ruang lingkup, teknik dan prosedur fasilitasi risk assessment
Tujuan, ruang lingkup, teknik dan prosedur fasilitasi risk assessment
harus disampaikan kepada Focus Group agar setiap anggota Focus
Group dapat memahami tugas, peranan, dan tanggung jawabnya
selama melakukan kegiatan fasilitasi risk assessment.
c. Rancangan awal rencana kegiatan fasilitasi risk assessment
Tim BPKP menyusun dan menyampaikan kepada Focus Group
rancangan awal rencana kegiatan fasilitasi risk assessment mulai dari
tahapan perencanaan, pelaksanaan, dan pelaporan. Diharapkan Focus
Group dapat memberikan masukan/saran perbaikan atas rencana
kegiatan fasilitasi risk assessment kepada Tim BPKP.
d. Simulasi pelaksanaan risk assessment
Untuk mendapatkan informasi awal tentang risiko yang ada pada
perusahaan, maka pada pelaksanaan workshop risk assessment perlu
dilakukan kegiatan simulasi risk assessment. Kegiatan simulasi risk
assessment ini dilakukan oleh anggota Focus Group dan dibimbing
oleh Tim BPKP. Hasil simulasi risk assessment akan digunakan dan
dikembangkan pada tahapan pelaksanaan fasilitasi risk assessment.
5. Menyusun Rencana Kegiatan fasilitasi Risk Assessment
Setelah rancangan awal rencana kegiatan fasilitasi risk assessment
disampaikan pada kegiatan workshop dan mendapatkan masukan/saran
perbaikan dari Focus Group, maka perlu disusun kembali rencana
kegiatan fasilitasi risk assessment. Tujuannya adalah untuk memperoleh
rencana pelaksanaan kegiatan fasilitasi risk assessment yang lebih
akurat dan dapat diterima oleh Focus Group. Rencana kegiatan fasilitasi
risk assessment mencakup rencana langkah-langkah dan jangka waktu
kegiatan risk assessment mulai dari tahap perencanaan, pelaksanaan,
maupun pelaporan.
 - 94 -

C. PENUGASAN
Dalam melaksanakan tugas fasilitasi risk assessment, Tim BPKP
sepenuhnya mengacu kepada prosedur penugasan sebagaimana diatur
pada ketentuan mengenai penugasan di BPKP.
Surat Penugasan diterbitkan oleh pejabat BPKP setingkat eselon II pada
unit kerja yang melaksanakan kegiatan fasilitasi risk assessment.
D. PENGORGANISASIAN
Pengorganisasian dalam penugasan Fasilitasi Risk Management bertujuan
untuk mengatur hirarki pertanggungjawaban tugas, yang dirinci sebagai
berikut:
1. Koordinasi Pusat dan Perwakilan
Pengkoordinasian antara BPKP Pusat dan Perwakilan dilakukan melalui
Satuan Tugas Risk Management (Satgas MR-BPKP), atau melalui Rendal
sesuai nomenklatur BUMN yang bersangkutan.
2. Kualifikasi Personil Tim
Dalam proses penunjukan/penetapan personil yang akan ditugaskan
hendaknya diperhatikan persyaratan kualifikasi personil yang akan
ditugaskan.
Dikaitkan dengan sifat, pendekatan dan metodologi yang dilakukan, risk
assessment hendaknya dilakukan oleh Tim Fasilitator, yang secara
umum memiliki kualifikasi secara tim atau kombinasi kualifikasi
masing-masing personil tim sebagai berikut:
 Memahami konsep dan prinsip-prinsip Risk Management, misalnya
telah mengikuti pelatihan di bidang Risk Management.
 Memiliki pemahaman mengenai proses bisnis secara umum.
 Berminat dalam kegiatan Risk Management.
 Memiliki wawasan yang memadai mengenai kondisi-kondisi makro
yang berkaitan dengan praktik-praktik profil bisnis entitas usaha.
 Mampu berkomunikasi dengan baik, secara lisan dan tertulis.
 Dapat bekerjasama dengan tim.
 Mempunyai integritas dan kepribadian yang baik.
 Memiliki kemampuan analis yang baik.
 Memahami metodologi penelitian (dianjurkan).
3. Susunan Tim
Hal lain yang perlu diperhatikan dalam prosedur penugasan adalah
susunan tim yang akan ditugaskan serta uraian tugas dan tanggung
jawab masing-masing personil tim. Uraian tugas berikut tanggung jawab
masing-masing personil tim hendaknya dijabarkan dengan jelas dan
 - 95 -

dilaksanakan secara konsisten selama berlangsungnya penugasan untuk

menghindari terjadinya pelaksanaan kegiatan berikut langkah-langkah
kerja yang tumpang tindih dan tidak efisien, ataupun yang luput
dilaksanakan.
Susunan tim fasilitasi risk assessment terdiri atas:
 Penanggung jawab
 Pembantu Penanggung jawab/Pengendali mutu
 Pengendali Teknis
 Ketua Tim
 Anggota Tim
4. Uraian Tugas
NO JABATAN DAN URAIAN TUGAS

1 Penanggung Jawab
a. Memimpin dan bertanggungjawab atas seluruh
pelaksanaan fasilitasi risk assessment.
b. b. Melakukan pembicaraan pendahuluan mengenai arah,
tujuan, sasaran, ruang lingkup, dan jadwal pelaksanaan
penugasan dengan pihak perusahaan.
c. Menandatangani Laporan Kegiatan Hasil fasilitasi Risk
Assessment.
2 Pembantu Penanggung Jawab/Pengendali Mutu
a. Mewakili Penanggungjawab laporan dalam melakukan
pengarahan dan pengawasan atas seluruh pelaksanaan
kegiatan fasilitasi risk assessment sehari-hari
b. Membantu penanggungjawab dalam melakukan
pembicaraan pendahuluan dengan pihak perusahaan
c. Berkoordinasi, jika diperlukan, dengan Satgas MR – BPKP
Pusat/Rendal koordinator dalam rangka pengembangan
metodologi dan pengendalian mutu hasil fasilitasi risk
assessment
d. Mengawasi pelaksanaan langkah kerja fasilitasi risk
assessment
e. Mereviu simpulan sementara hasil penerapan setiap
langkah kerja atau prosedur fasilitasi risk assessment
f. Memberikan arahan pelaksanaan prosedur dan langkah
kerja
g. Memberi arahan kepada/melakukan koordinasi dengan
 - 96 -

NO JABATAN DAN URAIAN TUGAS

pengendali Teknis
h. Mereviu konsep Laporan Kegiatan Hasil fasilitasi risk
assessment
3. Pengendali Teknis
Melaksanakan dan memimpin tim dalam kegiatan yang
tercakup dalam memfasilitasi pelaksanaan risk assessment :
a. Melakukan komunikasi dengan pihak perusahaan
b. Merencanakan pelaksanaan tugas fasilitasi risk assessment
di lapangan
c. Mereviu rencana langkah-langkah dan prosedur kegiatan
lapangan (pengumpulan data, analisa data, benchmarking,
dan pemaparan) yang disusun oleh Ketua Tim
d. Mengawasi pelaksanaan langkah kerja dan prosedur
fasilitasi risk assessment
e. Membahas pelaksanaan langkah kerja dengan Pengendali
mutu, Ketua Tim dan Anggota Tim
f. Menyusun simpulan setiap tahap pekerjaan dan
merencanakan pelaksanaan tahap berikutnya
g. Mendampingi Tim Counterpart memaparkan hasil fasilitasi
risk assessment
h. Mereviu konsep laporan hasil fasilitasi risk assessment.
4. Ketua Tim
a. Menyusun langkah-langkah dan prosedur kegiatan oleh
Focus Group (mempelajari lingkungan internal dan eksternal
melalui Kuesioner, wawancara, analisa dan pengumpulan
data, dan pemaparan)
b. Mengkoordinasikan anggota tim dalam pelaksanaan
prosedur dan langkah kerja fasilitasi risk assessment pada :
- pembicaraan awal dengan pihak perusahaan
- pengumpulan dan penelaahan dokumen
- Wawancara dengan pihak-pihak terkait
- Penyusunan dan distribusi kuesioner
- Pengolahan data
- Penyusunan dan dokumentasi kertas kerja
c. Mereviu pelaksanaan langkah kerja dan proses fasilitasi risk
assessment, kertas kerja serta simpulan yang dihasilkan
anggota tim
 - 97 -

NO JABATAN DAN URAIAN TUGAS

d. Menyiapkan bahan pemaparan hasil fasilitasi risk

assessment
e. Menyusun konsep dan finalisasi laporan kegiatan fasilitasi
risk assessment.
5. Anggota Tim
a. Bersama-sama Ketua Tim melaksanakan fasilitasi
persiapan dan pengumpulan data/bahan risk assessment
oleh Focus Group;
b. Turut melakukan pembicaraan awal dengan pihak
perusahaan dan membuat notulennya
c. Bersama Ketua Tim mengarahkan Focus Group dalam hal:
1) mempelajari data umum perusahaan dalam kaitannya
dengan pelaksanaan risk assessment
2) Mengarahkan Focus Group dalam penyusunan dan
distribusi kuisioner
3) Mengarahkan Focus Group dalam melakukan wawancara
dengan pejabat terkait satu tingkat di bawah Pimpinan
Entitas dan pembuatan notulennya
4) Mengarahkan Focus Group untuk mengumpulkan dan
melaksanakan analisis dokumen/data yang terkait
5) Mengarahkan Focus Group melakukan pengolahan data
hasil survey
6) Mengarahkan Focus Group dalam Menyusun Kertas Kerja
risk assessment
7) Mengarahkan Focus Group dalam penyusunan
laporan/hasil risk assessment
8) Mengarahkan Focus Group untuk menyiapkan bahan
pemaparan hasil risk assessment, bila diperlukan.
 - 98 -

5. Pengendalian Mutu Fasilitasi Risk Assessment

Prosedur pengendalian mutu tugas fasilitasi risk assessment
dimaksudkan untuk menjaga agar kegiatan fasilitasi risk assessment
terarah dan kualitas hasil yang diinginkan dapat tercapai.
Prosedur pengendalian mutu fasilitasi risk assessment hendaknya
diarahkan sedemikian rupa sehingga Focus Group tetap diberikan
kesempatan/keleluasaan yang cukup untuk melakukan risk assessment
dengan upaya terbaik yang mungkin dilakukan. Disisi lain prosedur
pengendalian mutu atas pelaksanaan kegiatan fasilitasi risk assessment
hendaknya dapat mengarahkan tim fasilitator/Focus group tetap berada
dijalur kegiatan yang telah diatur mematuhi jadwal yang telah ditetapkan.
Untuk memudahkan pelaksanaan pengendalian mutu kegiatan fasilitasi
risk assessment diperlukan media sebagai alat bantu berupa Formulir
Kendali Mutu (FKM). FKM merupakan berbagai jenis formulir yang
diciptakan yang berfungsi sebagai alat kendali atas pelaksanaan fasilitasi
risk assessment baik pada tahap perencanaan maupun pada tahap
pelaksanaan dan pelaporan.
Jenis dan format Formulir kendali mutu yang digunakan dalam kegiatan
fasilitasi risk assessment mengikuti jenis dan format formulir yang lazim
digunakan dalam kegiatan/penugasan bimbingan teknis/asistensi.
E. DOKUMENTASI
Dokumentasi hasil kegiatan perencanaan risk assessment adalah berupa:
1. Surat Keputusan Pembentukan Focus Group Risk Assessment.
Surat keputusan ini dikeluarkan oleh pejabat yang berwenang di
perusahaan yang memuat tentang penanggung jawab, nama-nama
anggota Focus Group, tugas, tanggung jawab, dan jangka waktu
penugasan. Contoh Surat Keputusan Pembentukan Focus Group terdapat
pada Lampiran 1.
2. Dokumen Workshop Risk Assessment.
Dokumen workshop risk assessment disusun oleh tim BPKP yang
memuat tentang jadwal/agenda kegiatan workshop, materi workshop
yang akan disampaikan kepada Focus Group, dan hasil kegiatan
workshop, seperti hasil simulasi kegiatan risk assessment. Contoh
Jadwal Workshop Risk Assessment terdapat pada Lampiran 2.
 - 99 -

3. Rencana Kegiatan fasilitasi Risk Assessment

Rencana kegiatan fasilitasi risk assessment disusun oleh tim BPKP, dan
diketahui bersama oleh Focus Group, yang memuat uraian langkah-
langkah kegiatan yang harus dilakukan pada setiap tahapan proses risk
assessment dan batasan waktu penyelesaian kegiatan. Contoh Rencana
Kegiatan fasilitasi Risk Assessment terdapat pada Lampiran 3.
 - 100 -

BAB III
PEMAHAMAN BISNIS

Tahap risk assessment (RA) dimulai dengan tahap pemahaman bisnis. Pada
tahap ini Tim Fasilitasi Risk Assessment berupaya untuk memperoleh
pemahaman mengenai proses bisnis perusahaan, dan mengenai faktor internal
dan eksternal yang mempengaruhi bisnis perusahaan. Tahap ini juga untuk
menyamakan pemahaman mengenai komitmen dan kemampuan perusahaan
yang diwujudkan dalam bentuk kriteria risiko untuk menentukan
kemungkinan/likelihood dan dampak/konsekuensi suatu risiko. Dalam tahap
ini juga ditetapkan risk appetite untuk menentukan apakah suatu risiko dapat
 - 101 -

diterima atau tidak, serta sebagai dasar pertimbangan dalam menetapkan

alternatif penanganan risiko.
Waktu yang diperlukan untuk memahami bisnis akan bervariasi, dan sebagian
besar tergantung pada ruang lingkup risk assessment, sifat dan tingkat
kerumitan operasi, budaya perusahaan, kondisi keuangan dan lainnya.
A. TUJUAN DAN RUANG LINGKUP
1. Tujuan Pemahaman Bisnis
Tujuan dilakukannya pemahaman bisnis adalah sebagai berikut:
a. Dipahaminya kondisi internal dan eksternal perusahaan
b. Diketahuinya tujuan perusahaan/organisasi/fungsi sebelum
mengidentifikasi risiko yang akan menghambat pencapaian tujuan.
c. Dipahaminya kriteria risiko sebagai dasar untuk menentukan
peringkat risiko pada saat mengevaluasi risiko.
2. Ruang Lingkup Pemahaman Bisnis
Ruang lingkup pemahaman bisnis mencakup hal-hal sebagai berikut:
a. Pemahaman konteks stratejik perusahaan;
b. Pemahaman proses bisnis perusahan;
c. Pemahaman organisasi perusahaan;
d. Pemahaman kriteria evaluasi risiko.
 - 102 -

B. TEKNIK DAN PROSEDUR

1. Teknik Pemahaman Bisnis
Teknik yang digunakan untuk memperoleh pemahaman bisnis adalah:
a. Mengumpulkan dan mereviu dokumen perusahaan, baik dokumen
strategis maupun operasional, seperti laporan tahunan, target dan
tujuan tiap bagian/unit kerja, sasaran kinerja, realisasi operasi
perusahaan, bagan organisasi dan job description;
b. Interviu / wawancara dengan pihak yang kompeten dan relevan;
c. Diskusi dengan Kelompok Terpilih (Focus Group Discussion);
d. Curah pendapat (Brainstorming);
e. Benchmarking perusahaan dari industri yang sejenis.
2. Prosedur Pemahaman Bisnis
Prosedur yang harus dilakukan pada kegiatan pemahaman bisnis adalah
sebagai berikut:
a. Pemahaman Konteks Stratejik Perusahaan
Meliputi aktivitas perumusan hubungan antara perusahaan dengan
lingkungannya, baik lingkungan internal maupun eksternal. Dalam
pengertian stratejik termasuk pula identifikasi stakeholders,
mempertimbangkan tujuan, ekspektasi/harapan dan persepsi mereka
serta membentuk komunikasi dengan pihak-pihak tersebut.
Prosedur pemahaman stratejik perusahaan mencakup aktivitas dan
langkah-langkah sebagai berikut:
1) Faktor-faktor internal maupun eksternal perusahaan.
Aktivitas ini mencakup pengumpulan informasi dan pemahaman
atas faktor internal maupun eksternal yang meliputi:
 faktor geografis, misalnya letak perusahaan di daerah yang
rawan gempa maka perusahaan harus sudah mempunyai
alternatif pengendalian apabila terjadi gempa;
 ekonomi misalnya kenaikan suku bunga yang akan
mempengaruhi kenaikan harga bahan baku maupun harga
produk jadi;
 politik misalnya adanya peraturan-peraturan yang dikeluarkan
oleh Pemerintah Pusat dan Daerah yang berakibat negatif bagi
bisnis perusahaan;
 sosial lingkungan misalnya interaksi Perusahaan dengan
masyarakat sekitar kurang harmonis;
 teknologi yang mempunyai pengaruh terhadap aktivitas
perusahaan, misalnya tidak digunakan teknologi yang
 - 103 -

berdampak pada efisiensi proses yang dijalankan perusahaan

dalam menghasilkan produk.
2) Pembuatan analisis hubungan antara aktivitas perusahaan dengan
lingkungan.
Pembuatan analisis hubungan ini didasarkan pertimbangan atas:
 aspek keuangan misalnya kecukupan modal kerja untuk
membiayai kegiatan perusahaan, termasuk kemungkinan
untuk memperoleh sumber pendanaan dari luar;
 aspek operasional misalnya lemahnya koordinasi antar unit
dalam kegiatan bisnis perusahaan;
 aspek persaingan misalnya kualitas produk dan harga yang
dihasilkan oleh pesaing lebih baik dari pada yang dihasilkan
Perusahaan;
 aspek politis misalnya kondisi yang tidak aman karena adanya
peristiwa politik, persepsi masyarakat, sosial, pelanggan
misalnya perusahaan tidak mampu memenuhi harapan
pembeli.
3) Identifikasi stakeholder.
Stakeholders dapat didefinisikan sebagai individu, kelompok, atau
perusahaan yang dapat mempengaruhi, dipengaruhi, atau
menempatkan dirinya sebagai yang terpengaruh oleh keputusan
atau aktivitas perusahaan.
Stakeholders terdiri dari:
 Pemegang saham dan pegawai;
 Pelanggan atas produk atau jasa yang disediakan oleh
perusahaan;
 Pemasok utama, kontraktor dan subkontraktor;
 Penegak hukum dan penguasa;
 Masyarakat yang mungkin terpengaruh oleh aktivitas
perusahaan, seperti misalnya yang bertempat tinggal di
lingkungan fasilitas perusahaan;
 Pemerintah dan pemuka masyarakat yang dapat dipengaruhi
oleh kegiatan;
 Suatu kelompok yang memiliki kepentingan tertentu misal LSM.
Proses identifikasi stakeholders harus dapat menjawab
pertanyaan-pertanyaan mengenai:
 Siapa atau pihak mana saja yang merupakan stakeholders;
 - 104 -

 Permasalahan apa yang menjadi minat, ekspektasi/harapan

atau kepentingan dari stakeholders tersebut;
 Seberapa jauh stakeholders memiliki pengaruh terhadap
aktivitas perusahaan.
Lebih lengkap mengenai proses identifikasi stakeholders dapat
dilihat pada suplemen 1.
4) Identifikasi kekuatan (strengths), kelemahan (weaknesses),
kesempatan (opportunities), dan ancaman (threats) yang dihadapi
perusahaan dengan mengembangkan analisis SWOT.
Analisis SWOT dilakukan dengan mendapatkan pemahaman yang
memadai mengenai perubahan–perubahan yang terjadi dalam
lingkungan industri yang diperlukan untuk mengidentifikasi
kesempatan dan ancaman terhadap lingkungan perusahaan, dan
analisis terhadap proses atau operasi perusahaan untuk
mengidentifikasi kekuatan maupun kelemahan perusahaan.
Keempat elemen dalam analisis SWOT dapat diuraikan sebagai
berikut:
 Kekuatan (Strenghts)
Kekuatan merupakan sumber, keahlian atau keunggulan yang
dimiliki oleh perusahaan dibandingkan dengan pesaingnya
dalam memberikan pelayanan kepada pengguna jasa/pasar.
Kekuatan merupakan suatu kompetensi tersendiri yang
memberikan perusahaan keunggulan komparatif di pasaran.
Kekuatan dapat timbul sehubungan dengan sumber-sumber
finansial, citra perusahaan di mata masyarakat, kepemimpinan,
hubungan dengan pemakai jasa serta faktor-faktor yang lain.
 Kelemahan (Weaknesses)
Kelemahan dapat berupa keterbatasan atau ketidakefisienan
sumberdaya, keahlian atau kemampuan yang secara serius
mengganggu kinerja perusahaan. Fasilitas, sumber-sumber
dana, kemampuan manajemen, ketrampilan dalam bidang
pemasaran dan image atas merk dapat merupakan sumber
kelemahan perusahaan.
 Kesempatan (Opportunities)
Kesempatan merupakan situasi yang menguntungkan di dalam
lingkungan perusahaan. Bagi perusahaan, perubahan selera
konsumen, perubahan kondisi persaingan, peraturan,
perubahan teknologi, perkembangan hubungan dengan pembeli
 - 105 -

dan penjual dapat menggambarkan suatu kesempatan bagi

suatu perusahaan.
 Ancaman (Threats)
Ancaman merupakan situasi atau kondisi yang tidak
menguntungkan dalam lingkungan perusahaan. Ancaman
merupakan hambatan utama dalam posisi perusahaan untuk
saat sekarang maupun yang akan datang. Masuknya pesaing
baru, lambannya tingkat pertumbuhan pasar, meningkatnya
daya tawar pembeli atau penjual, perubahan teknologi, adanya
peraturan dapat menggambarkan adanya ancaman terhadap
keberhasilan perusahaan.
b. Pemahaman Organisasi Perusahaan
Pemahaman organisasi perusahaan mencakup penilaian terhadap
aktivitas dan kemampuan perusahaan untuk mencapai sasaran,
tujuan dan strategi perusahaan yang telah ditetapkan.
Prosedur yang dilakukan adalah sebagai berikut:
1) Memahami tujuan dan sasaran perusahaan.
Sasaran stratejik merupakan sasaran tertinggi, yang diselaraskan
dan mendukung visi, misi dan tujuan perusahaan. Sasaran
stratejik mencerminkan pilihan manajemen tentang bagaimana
perusahaan berusaha menciptakan nilai bagi para stakeholders-
nya.
Pemahaman sasaran stratejik perusahaan difokuskan sebelum
sasaran pada tingkat operasional. Sasaran harus dapat dipahami
dan diukur dengan mudah.
2) Mendapatkan pemahaman mengenai strategi perusahaan
Kerangka pemahaman strategi perusahaan, difokuskan pada
bagaimana budaya, nilai, tujuan dan praktik perusahaan yang
dilakukan akan mempengaruhi perusahaan dalam
mempertimbangkan risiko. Kerangka tersebut mencakup konsep
mengenai budaya risiko, selera atau hasrat risiko (risk appetite)
dan tingkat toleransi risiko (risk tolerance).
 - 106 -

 Budaya Risiko
Budaya risiko adalah sehimpunan sikap, nilai-nilai dan praktik-
praktik bersama yang mencirikan bagaimana suatu perusahaan
mempertimbangkan risiko dalam aktivitas sehari-hari.
Perusahaan yang tidak mendefinisikan budaya risiko secara
eksplisit, akan memiliki cara pandang yang berbeda terhadap
risiko di dalam perusahaan, unit bisnis, fungsi atau bagian
tertentu.
 Selera Risiko (risk appetite)
Selera risiko (risk appetite) adalah tingkat risiko yang dapat
diterima oleh suatu perusahaan dalam mencapai tujuan dan
sasaran yang ditetapkan. Perusahaan seringkali
mempertimbangkan selera risiko secara kualitatif dengan
kategori-kategori sebagai tinggi, menengah atau rendah.
Perusahaan juga dapat mengambil pendekatan kuantitatif atau
angka-angka nominal yang mencerminkan dan
menyeimbangkan tujuan perusahaan.
Selera risiko berhubungan langsung dengan strategi
perusahaan. Selera risiko dipertimbangkan dalam penentuan
strategi, dimana hasil yang diinginkan dari suatu strategi harus
diselaraskan dengan selera risiko perusahaan. Strategi yang
berbeda akan menghadapkan perusahaan pada risiko yang
berbeda pula.
Contoh:
- Seorang Pimpinan perusahaan yang mempunyai selera risiko
tinggi akan menetapkan target/sasaran perusahaan yang
lebih tinggi, dan sebaliknya dengan pimpinan yang
mempunyai selera risiko rendah akan menetapkan sasaran
yang rendah juga.
- Perusahaan ABC menetapkan target laba Rp400 Milyar
dengan Total Asset 5 trilyun. Menurut Direktur A kerugian
diatas 20% dari aset dianggap sudah sangat tinggi, sedang
menurut Direktur B kerugian diatas 20% dari aset masih
dianggap sedang. Hal ini menunjukkan Risk Appetite
Direktur A lebih rendah dibanding dengan Risk Appetite
Direktur B.
 - 107 -

 Toleransi risiko
Toleransi risiko adalah tingkatan variasi/penyimpangan relatif
yang dapat diterima terhadap pencapaian sasaran. Toleransi
risiko dapat diukur, dan sebaiknya diukur dengan satuan yang
sama seperti satuan ukuran dari sasaran terkait. Dalam
menentukan toleransi risiko, manajemen mempertimbangkan
kepentingan yang berhubungan dengan sasaran terkait dan
menyelaraskan toleransi risiko dengan selera atau hasrat risiko.
Beroperasi dalam toleransi risiko memberi keyakinan yang lebih
besar kepada manajemen bahwa perusahaan masih berada
dalam hasrat risikonya dan sekaligus memberi tingkat
kenyamanan yang lebih tinggi bahwa perusahaan akan
mencapai sasarannya.
Contoh:
Toleransi risiko di PT A ditetapkan sebesar 5% dari target laba,
artinya perusahaan masih dapat menerima penyimpangan
pencapaian sasaran/target laba kurang dari 5% (laba hanya
Rp380 M dari target Rp400 M)
5) Mendapatkan pemahaman aktivitas perusahaan.
Kegiatan ini meliputi penelaahan informasi atas aktivitas yang
dilaksanakan oleh perusahaan dan bagaimana aktivitas tersebut
berinteraksi dengan lingkungan yang lebih luas (sosial, politik,
infrastruktur). Kegiatan ini untuk mengidentifikasi peristiwa risiko
dan dampaknya.
Identifikasi juga faktor kunci keberhasilan perusahaan, unit
bisnis, fungsi atau bagian.
Contoh:
 Pendistribusian produk tepat waktu;
 Inovasi produk sesuai keinginan dan kebutuhan pelanggan;
 Penerimaan pegawai dengan kompetensi dan jumlah yang tepat.
6) Identifikasi kriteria pengukuran kinerja, dengan fokus pada faktor
keberhasilan kritikal.
Contoh:
 Fungsi Pemasaran: adanya penentuan zero defect dalam
distribusi;
 Fungsi produksi: adanya penentuan zero accident;
 Fungsi SDM: dengan penentuan kesejahteraan naik 10 % tiap
tahun.
 - 108 -

7) Identifikasi apakah perusahaan, unit bisnis, fungsi atau bagian

yang ada didalammya memiliki peran yang signifikan dalam
memberikan kontribusi terhadap pencapaian sasaran, nilai,
kebijakan dan strategi pemerintah atau perusahaan yang lebih
luas.
c. Pemahaman Kriteria Pengukuran & Evaluasi Risiko
Kriteria Pengukuran adalah ukuran kriteria yang digunakan untuk
menentukan besaran ukuran dari suatu risiko (baik likelihood
maupun konsekuensi) dalam skala Likert 1 s.d 5. Skala Likert adalah
suatu skala psikometrik yang umum digunakan dalam angket dan
merupakan skala yang paling banyak digunakan dalam riset berupa
survei. Sewaktu menanggapi pertanyaan dalam skala Likert,
responden menentukan tingkat persetujuan mereka terhadap suatu
pernyataan dengan memilih salah satu dari pilihan yang tersedia.
Kriteria pengukuran dapat bersifat kualitatif, kuantitatif atau semi
kuantitatif. Perusahaan pada umumnya membutuhkan data historis
yang cukup untuk dapat menerapkan kriteria kuantitatif secara tepat.
Untuk simplifikasi, Tim BPKP sebaiknya menggunakan kriteria semi
kuantitatif.
Contoh ukuran semi kuantitatif untuk likelihood/kemungkinan
keterjadian:
Skala Uraian Penjelasan
1 Jarang Risiko mungkin terjadi hanya pada
kondisi tidak normal. Probabilitas
terjadinya di bawah 20%.
2 Kemungkinan Risiko mungkin terjadi pada beberapa
kecil waktu. Probabilitas terjadinya diatas
20% sampai dengan 40%.
3 Kemungkinan Risiko dapat terjadi pada beberapa
sedang waktu. Probabilitas terjadinya di atas
40% sampai dengan 60%.
4 Kemungkinan Risiko akan mungkin terjadi pada
besar banyak keadaan. Probabilitas terjadinya
di atas 60% sampai dengan 80%.
5 Hampir pasti Risiko dapat terjadi pada banyak
keadaan. Probabilitas terjadinya di atas
80% sampai 100%.
 - 109 -

Contoh ukuran semi kuantitatif untuk dampak/konsekuensi:

Skala Kategori Penjelasan
1 Tidak - Kerugian finansial perusahaan
signifikan sampai dengan Rp. 500 juta dalam
12 bulan periode
- Terjadinya penyakit dan kecelakaan
kerja yang dapat diatasi dengan
tindakan P3K
- Terjadinya pelanggaran
prosedur/peraturan lingkungan
hidup, menimbulkan akibat yang
tidak berarti dan tidak menimbulkan
protes
- Kehilangan reputasi atau timbulnya
publisitas jelek di lingkungan
internal perusahaan
- Terjadinya keluhan pelanggan dan
disampaikan secara lisan
2 Rendah - Kerugian finansial perusahaan
sebesar Rp 500 juta sampai dengan
Rp. 1 milyar dalam periode 12 bulan
- Terjadinya penyakit dan kecelakaan
kerja yang dapat diatasi dengan
bantuan medis berobat jalan
- Terjadinya pelanggaran prosedur/
peraturan lingkungan hidup,
menimbulkan akibat yang berarti
dan menimbulkan protes (bukan
tuntutan/tindakan hukum)
- Kehilangan reputasi atau timbulnya
publisitas jelek di media lokal dalam
satu kabupaten / kota
- Terjadinya keluhan pelanggan dan
disampaikan secara tertulis sebanyak
1 kasus sampai dengan 4 kasus.
3 Menengah - Kerugian finansial perusahaan di
atas Rp 1 milyar sampai dengan Rp.
 - 110 -

Skala Kategori Penjelasan

2 milyar dalam 12 bulan periode

- Terjadinya penyakit dan kecelakaan

kerja dan dibutuhkan bantuan medis
rawat inap di rumah sakit
- Terjadinya pelanggaran prosedur/
peraturan lingkungan hidup,
menimbulkan akibat yang berarti
dan menimbulkan
tuntutan/tindakan hukum
- Kehilangan reputasi atau timbulnya
publisitas jelek di media lokal dalam
satu propinsi
- Terjadinya keluhan pelanggan dan
disampaikan secara tertulis sebanyak
di atas 4 kasus sampai dengan 7
kasus
4 Besar - Kerugian finansial perusahaan di
atas Rp 2 milyar sampai dengan Rp.
4 milyar dalam periode 12 bulan
- Terjadinya penyakit dan kecelakaan
kerja dan menimbulkan kematian
- Terjadinya pelanggaran prosedur/
peraturan lingkungan
hidup,menimbulkan akibat yang
cukup berarti dan menimbulkan
tuntutan/tindakan hukum
- Kehilangan reputasi atau timbulnya
publisitas jelek di media nasional
- Terjadinya keluhan pelanggan dan
disampaikan secara tertulis sebanyak
di atas 7 kasus sampai dengan 10
kasus
5 Dahsyat - Kerugian finansial perusahaan di
atas Rp 4 milyar dalam
periode 12 bulan
 - 111 -

Skala Kategori Penjelasan

- Terjadinya penyakit dan kecelakaan
kerja dan menimbulkan kematian
serta mengancam penutupan operasi
perusahaan
- Terjadinya pelanggaran prosedur /
peraturan lingkungan
hidup,menimbulkan akibat yang
sangat berarti, menimbulkan
tuntutan/tindakan hukum, dan
mengancam penutupan operasi
perusahaan.
- Kehilangan reputasi atau timbulnya
publisitas jelek di media
internasional
- Terjadinya keluhan pelanggan dan
disampaikan secara tertulis sebanyak
lebih dari 10 kasus

Kriteria Evaluasi Risiko:

Yaitu kriteria yang digunakan untuk menentukan peringkat risiko
(risiko rendah, sedang, tinggi, ekstrim) dan apakah diterima
(acceptable) atau perlu dilakukan penanganan risiko.
Skor yang menentukan peringkat risiko diperoleh dari perkalian
antara skor tingkat keterjadian dengan skor dampak.
Contoh:
SKOR LEVEL URAIAN
<5 Rendah Dapat diterima, tidak diperlukan tindakan
penanganan
5 - 10 Sedang Tidak diterima, diperlukan tindakan
tindakan pengelolaan jika ada termasuk
tersedianya sumber daya
11 - 15 Tinggi Tidak Diterima, Diperlukan tindakan
16 - 25 Ekstrim Tidak Diterima, diperlukan tindakan
segera
Pemahaman kedua kriteria diatas meliputi pemahaman pertimbangan
atas tingkat risiko yang dapat diterima oleh perusahaan dalam
hubungannya dengan berbagai aspek lingkungan. Kriteria ini akan
 - 112 -

digunakan dalam tahap analisis dan evaluasi risiko untuk

memperingkat risiko dan menentukan apakah risiko tersebut dapat
diterima atau memerlukan perlakuan lebih lanjut.
Kriteria perlu ditentukan dalam rangka melakukan evaluasi risiko.
Keputusan berkenaan dengan akseptabilitas dan perlakuan risiko
dapat didasarkan pada kriteria: operasional, teknikal, finansial, legal,
sosial, kemanusiaan dan lain-lain.
Pada umumnya kriteria ini tergantung pada kebijakan intern
perusahaan, tujuan, sasaran dan kepentingan stakeholder. Kriteria
juga dapat dipengaruhi oleh persepsi internal dan eksternal serta
dipengaruhi oleh hukum yang berlaku. Penentuan kriteria perlu
didasarkan pada pertimbangan budaya risiko, selera atau hasrat
risiko dan tingkat toleransi terhadap risiko. Kriteria risiko dapat
dikembangkan dan disaring ketika risiko tertentu teridentifikasi dan
teknik analisis risiko tertentu dipilih sehingga kriteria risiko harus
berhubungan dengan jenis risiko dan cara menyatakan peringkat
risiko tersebut.
Agar bisa efektif, kriteria harus:
 Jelas, memberikan sejumlah ukuran tertentu, yang
memungkinkan seluruh dampak signifikan ditaksir (diases);
 Mencakup seluruh aspek keberhasilan, sehingga tidak ada aspek
yang signifikan tidak terukur;
 Merumuskan bagaimana pengukuran dibuat, apakah dalam
bentuk kualitatif atau kuantitatif;
 Memisahkan dampak risiko dari likelihood keterjadiannya.
C. DOKUMENTASI
Informasi yang dikumpulkan dalam tahapan pemahaman bisnis
didokumentasikan dalam Formulir Pemahaman Bisnis dan Formulir Kriteria
Risiko.
Formulir Pemahaman Bisnis memuat informasi:
1. Faktor internal dan eksternal perusahaan;
2. Analisis hubungan antara aktivitas perusahaan dengan lingkungan;
3. Ekspektasi dari Stakeholders perusahaan;
4. Analisis Strength, Weakness, Opportunity, dan Threat perusahaan;
5. Pemahaman sasaran dan strategi perusahaan;
6. Pemahaman aktivitas perusahaan, faktor kunci keberhasilan, dan
kriteria pengukuran kinerja (Indikator Kinerja Kunci) yang digunakan
perusahaan.
 - 113 -

Contoh Formulir Pemahaman Bisnis terdapat pada Lampiran 4.

Formulir Kriteria Risiko memuat informasi kriteria pengukuran risiko yang
ditetapkan oleh perusahaan mencakup ukuran likelihood, dampak, dan
ukuran gabungan likelihood dan dampak. Contoh Formulir Kriteria Risiko
terdapat pada Lampiran 5.
 - 114 -

BAB IV
IDENTIFIKASI RISIKO

Setelah dilakukan langkah pemahaman bisnis, langkah risk assessment

selanjutnya adalah identifikasi risiko. Identifikasi risiko merupakan suatu
kegiatan untuk melakukan inventarisasi risiko pada setiap fungsi dan aktivitas
yang ada di perusahaan, kemudian dikompilasi ke dalam suatu daftar risiko
yang meliputi indikasi risiko, nama/jenis risiko, penyebab risiko, sumber risiko
(internal atau ekternal), dampak risiko, dan bagaimana cara
pengendalian/penanganan risiko.
Langkah identifikasi risiko yang sistematis sangat penting dilakukan untuk
menjaring setiap risiko yang ada yang dapat menghambat pencapaian tujuan
 - 115 -

perusahaan, sehingga diharapkan tidak ada risiko yang tidak teridentifikasi

oleh perusahaan.
A. TUJUAN
Tujuan Identifikasi Risiko
Pada intinya, tujuan identifikasi risiko adalah untuk memperoleh Daftar
risiko yang dihadapi oleh perusahaan.
Daftar risiko adalah kumpulan peristiwa risiko yang mempengaruhi
pencapaian tujuan atau sasaran perusahaan.
B. TEKNIK DAN PROSEDUR
1. Teknik Identifikasi Risiko
Tim Fasilitasi Risk Assessment dapat menggunakan atau
menggabungkan beberapa teknik pengidentifikasian risiko. Model Risiko
pada Lampiran 6 merupakan model generik risiko pada perusahaan,
yang dapat digunakan sebagai referensi dalam kegiatan identifikasi
risiko.
Beberapa teknik yang digunakan dalam kegiatan identifikasi risiko
adalah sebagai berikut:
a. Pengumpulan dan Reviu Dokumen
Dokumen yang direviu terutama dokumen pada saat penyusunan
rencana bisnis perusahaan dengan fokus terhadap risiko yang dapat
menghalangi pencapaian sasaran jangka pendek serta jangka panjang
organisasi.
b. Curah Pendapat (Brainstorming)
c. Teknik kreativitas yang mengupayakan pencarian penyelesaian dari
suatu masalah tertentu dengan mengumpulkan gagasan secara
spontan dari anggota kelompok.
d. Workshop yang Difasilitasi
Suatu acara di mana beberapa orang berkumpul yang dipandu oleh
fasilitator untuk memecahkan masalah tertentu dan mencari
solusinya.
e. Diskusi dengan Kelompok Terpilih (Focus Group Discussion)
FGD adalah diskusi terfokus dari suatu group untuk membahas
suatu masalah tertentu, dalam suasana informal dan santai dengan
panduan seorang moderator.
f. Wawancara
Percakapan antara dua orang atau lebih dan berlangsung antara
narasumber dan pewawancara untuk mendapatkan informasi yang
tepat dari narasumber yang terpercaya yang dilakukan dengan cara
 - 116 -

penyampaian sejumlah pertanyaan dari pewawancara kepada

narasumber.
g. Survei/observasi
Metode pengumpulan data primer dengan memberikan pertanyaan-
pertanyaan kepada responden individu untuk mengumpulkan
informasi dari kelompok yang mewakili sebuah populasi;
h. Analisis Alur Proses Bisnis
Metode identifikasi risiko berdasarkan alur proses bisnis yang ada di
perusahaan.
i. Analisis Pohon Risiko
Alat pendukung keputusan yang menggunakan grafik seperti pohon
atau model keputusan, konsekuensinya, umpan balik, dan sumber
dayanya.
j. Penggolongan Risiko
Metode identifikasi risiko dengan mengelompokkan risiko-risiko yang
ada di perusahaan.
k. Analisis pemangku kepentingan (stakeholders analysis)
Bertujuan untuk mengidentifikasi dan memahami potensi risiko atau
potensi dukungan dari pemangku kepentingan;
l. Risk Breakdown Structure (RBS);
Menyusun risiko-risiko yang teridentifikasi dalam kelompok/kategori
yang sesuai dengan susunan hierarkhi organisasi, proyek ataupun
proses. Melalui kategorisasi dan pengelompokan ini, kejelasan atau
siapa pemangku dalam hierarkhi organisasi ataupun proyek tersebut.
Metode ini juga dapat dieksplorasi lebih lanjut menggunakan teknik
CRSA (Controlled Risk Self Assessment). CRSA sering juga disingkat
sebagai CSA.
m. Metode Pemetaan Proses Bisnis (Business Process Mapping). Metode
ini dapat digali lebih lanjut dengan FMEA (Failure Mode and Effect
Analysis).
Disamping metode dan teknik yang telah diuraikan di atas, masih
terdapat teknik serta metode lain yang dapat digunakan, misalnya
Fishbone Analysis, Delphi Scenario, Fault Tree Analysis, Diagram sebab
akibat dan lain-lain.
Penjelasan mengenai fishbone analysis diuraikan pada Suplemen 2.
 - 117 -

2. Prosedur Identifikasi Risiko

Prosedur identifikasi risiko dapat dilakukan dengan langkah-langkah
sebagai berikut:
a. Menentukan Indikasi Risiko
b. Menentukan Peristiwa Risiko
c. Menentukan Penyebab Risiko
d. Menentukan dampak
e. Menentukan Pengendalian yang ada
Penjelasan masing-masing langkah sebagai berikut:
a. Menentukan indikasi risiko.
Untuk memudahkan mengidentifikasi risiko, perlu terlebih dahulu
mengenali adanya gejala risiko, yang biasanya disebut dengan
indikasi risiko. Terdapat empat kelompok indikasi risiko penting,
terdiri dari: masalah, perubahan, tingkat kerumitan, dan pendapat
pakar, dengan penjelasan yang terdapat dalam Tabel Indikasi Risiko:

TABEL INDIKASI RISIKO

 - 118 -

INDIKATOR Contoh Pertanyaan Keterangan

yang Disarankan
Masalah Apakah terdapat Pertimbangkan masalah-
masalah di masa lalu masalah signifikan yang
atau selama periode terjadi di masa lalu atau
berjalan yang selama periode berjalan,
mengindikasikan termasuk:
keberadaan suatu  Risiko yang telah
risiko pada periode teridentifikasi atau yang ada
berjalan? di masa lalu
 Kelemahan pengendalian
risiko
 Tindakan pelanggaran
hokum
Perubahan Apakah terdapat Pertimbangkan perubahan-
perubahan selama perubahan yang terjadi pada:
periode berjalan yang  Kondisi, transaksi, dan
mengindikasikan proses dalam kegiatan
keberadaan suatu operasi
risiko pada periode  Efektivitas kegiatan proses
berjalan? pengolahan informasi atau
pengendalian risiko
 Transaksi signifikan yang
tidak biasa/hanya terjadi
satu kali
 Standar atau peraturan
yang berlaku
Tingkat Apakah terdapat suatu Pertimbangkan proses yang
Kerumitan proses yang memiliki memiliki tingkat pelaksanaan
tingkat pelaksanaan yang rumit yang memerlukan
yang rumit, sehingga pengandalan pada
sangat memerlukan pengendalian
pengandalan pada
pengendalian?
Pendapat Apakah ada hal-hal Pertimbangkan risiko yang
Pakar yang diidentifikasi oleh diidentifikasi oleh para pakar
para pakar dan dan praktisi yang
 - 119 -

praktisi yang menyangkut:

mengindikasikan  Masalah (misalnya: risiko
keberadaan suatu melekat tertentu yang ada
risiko pada periode pada suatu industri)
berjalan ?  Perubahan standar atau
peraturan yang berlaku
(misalnya: perubahan
standar prosedur operasi)
 Tingkat kerumitan

Informasi mengenai seringnya suatu peristiwa dan dampak risiko dalam

beberapa tahun terakhir perlu dimasukkan dalam Daftar Risiko.
b. Menentukan Peristiwa Risiko
Peristiwa risiko adalah peristiwa yang memiliki dampak negatif
terhadap sasaran perusahaan. Daftar peristiwa risiko
mencantumkan nama/jenis risiko dan uraian singkat mengenai risiko
yang diidentifikasi.
Hal yang mungkin terjadi yang dapat:
- Meningkatkan atau mengurangi efektivitas pencapaian
sasaran/target;
- Membuat pencapaian sasaran (finansial, manusia, waktu, dll)
lebih/tidak efisien;
- Menyebabkan stakeholders bertindak yang meningkatkan atau
mengurangi pencapaian sasaran/target;
- Menimbulkan manfaat tambahan.
c. Menentukan Penyebab Risiko
Peristiwa risiko dapat disebabkan oleh faktor yang bersumber dari
eksternal maupun internal perusahaan. Risiko yang bersumber dari
eksternal perusahaan adalah risiko yang cenderung uncontrollable
sedangkan risiko yang bersumber dari internal perusahaan adalah
risiko yang controllable. Risiko yang bersumber dari eksternal
perusahaan berasal dari lingkungan, alam, perekonomian, sosial,
politik dan sebagainya, sedangkan risiko yang bersumber dari
internal perusahaan berasal dari sumber daya manusia, proses,
infrastruktur dan sebagainya.
d. Menentukan dampak risiko.
Dampak dari terjadinya suatu risiko dapat berupa peningkatan biaya
dan timbulnya kerugian, deviasi atau tidak tercapainya target
 - 120 -

penjualan/produksi, timbulnya penyakit dan kecelakaan kerja,

pencemaran/kerusakan lingkungan hidup, dan penurunan citra /
reputasi perusahaan.
e. Menentukan Pengendalian yang ada
Pada tahap ini dilakukan pemahaman terhadap pengendalian risiko
yang telah teridentifikasi dan penilaian mengenai tingkat
keandalannya.

C. DOKUMENTASI
Semua risiko yang teridentifikasi didaftar dan didokumentasikan dalam
formulir Register Risiko (Lampiran 7). Formulir Register Risiko dapat berisi
informasi mengenai:
 Indikasi risiko
 Nama Peristiwa risiko
 Penyebab terjadinya peristiwa risiko
 Dampak dari peristiwa yang terjadi
 Pengendalian risiko yang ada
 - 121 -

BAB V
ANALISIS DAN EVALUASI RISIKO

Tahapan selanjutnya dari proses manajemen risiko setelah pemahaman bisnis

dan identifikasi risiko adalah tahap analisis dan evaluasi risiko. Analisis dan
evaluasi risiko ini dapat dilakukan baik untuk tingkatan risiko yang ada di
Unit Kerja terkait, Direktorat maupun Korporat.
A. TUJUAN DAN RUANG LINGKUP
Analisis risiko merupakan suatu proses pengukuran yang sistematis untuk
menentukan seberapa sering suatu peristiwa risiko mungkin terjadi dan
seberapa besar dampak yang ditimbulkan dari peristiwa tersebut. Tujuan
analisis risiko adalah untuk memahami risiko yang penting untuk dikelola
secara aktif dan menyediakan data untuk membantu menentukan prioritas
penanganan risiko.
Evaluasi risiko merupakan langkah lanjutan dari analisis risiko dan
merupakan proses pembandingan antara tingkatan risiko yang diperoleh
selama proses analisis dengan kriteria risiko yang ditetapkan sebelumnya.
Evaluasi terhadap risiko dilakukan dengan tujuan untuk menentukan
prioritas risiko sehingga dapat diketahui risiko mana saja yang perlu
mendapat perhatian segera dan penanganan risiko lebih lanjut. Penentuan
prioritas risiko dilakukan dengan membandingkan risiko terestimasi
dengan kriteria risiko yang telah diperoleh pada tahapan pemahaman
bisnis. Hasil dari evaluasi risiko adalah daftar prioritas risiko yang
memerlukan tindakan lebih lanjut.
B. TEKNIK DAN PROSEDUR
Dalam rangka mengestimasi seberapa sering suatu peristiwa mungkin
terjadi dan seberapa besar dampak yang ditimbulkan dari peristiwa risiko,
ada 3 (tiga) metode analisis yang dapat digunakan yaitu analisis kualitatif,
semi kuantitatif dan kuantitatif. Pemilihan metode yang digunakan
tergantung pada keadaan, ketersediaan data dan kebutuhan perusahaan.
Tehnik Pengukuran Risiko:
1. Tehnik Kualitatif, yaitu risiko diukur secara kualitatif tanpa mengacu ke
angka nominal tertentu, misalnya sangat jarang, sangat sering, tidak
pernah.
2. Tehnik Kuantitatif, yaitu risiko diukur dengan menggunakan angka
nominal sebagai acuan.
3. Teknik semi kuantitatif, yaitu menggunakan pengukuran kualitatif yang
dikuantifikasi.
 - 122 -

Masing-masing pendekatan mempunyai kelebihan dan kekurangan. Pada

umumnya pendekatan kuantitatif merupakan pendekatan yang lebih
advance dalam pengukuran risiko. Penerapannya memerlukan database
history profil dan kejadian risiko untuk beberapa waktu, sehingga
pengukuran dapat dilakukan dengan cukup baik. Pendekatan kualitatif
merupakan pendekatan yang lebih sederhana, namun dalam penerapannya
seringkali kurang jelas bagi pemilik risiko.
Pendekatan semi kuantitatif menjadi alternatif yang banyak diterapkan oleh
perusahaan, dan juga digunakan oleh Tim BPKP dalam memberikan
pendampingan atau menjadi fasilitator dalam pelaksanaan risk assessment.
Teknik yang digunakan dalam melakukan analisis dan evaluasi risiko
dengan metode semi kuantitatif adalah dengan cara voting, yaitu masing-
masing personil yang ada dalam perusahaan yang ditunjuk, memberikan
penilaian score likelihood dan dampak dalam rentang nilai 1 sampai dengan
5. Hasil penilaian masing-masing personil dikompilasi dan dinilai rata-rata
likelihood dan dampaknya. Hasil nilai rata-rata likelihood dan dampak
menunjukkan ukuran tingkat risiko yang diperoleh.
Prosedur untuk melakukan analisis dan evaluasi risiko adalah sebagai
berikut:
1. Memahami Kriteria Ukuran Risiko
Setelah risiko diidentifikasi, kegiatan selanjutnya adalah menetapkan
tingkat risiko. Untuk memutuskan ke dalam kelompok tingkat mana
suatu risiko harus digolongkan, maka harus dipahami terlebih dahulu
kriteria ukuran likelihood maupun dampak terjadinya risiko. Kriteria
untuk rating/skala likelihood risiko dan dampak terjadinya risiko
diusulkan oleh pihak perusahaan yang berwenang.
2. Mengestimasi Likelihood Terjadinya Risiko.
Estimasi likelihood risiko dilakukan dengan menggunakan tabel kriteria
pengukuran risiko yang sudah diperoleh pada tahap pemahaman bisnis.
Kemungkinan sering dinyatakan dengan probabilitas, yaitu suatu angka
diantara 0 dan 1. Angka 0 menyatakan bahwa kejadian yang dimaksud
tidak mungkin terjadi. Sebaliknya, angka 1 menyatakan bahwa hal
tersebut pasti terjadi. Akan tetapi, tidak ada angka yang absolut
sehinggga ketdakpastian tersebut dinyatakan dengan angka diantara 0
dan 1.
Panduan umum untuk menentukan besar angka kemungkinan adalah:
a. Bila tidak ada atau sedikit sekali data yang tersedia maka dapat
digunakan apa yang disebut sebagai:
 - 123 -

1) Subjective probability, yaitu angka kemungkinan yang diberikan

oleh seseorang yang ahli/berpengalaman pada kasus terkait dan
berdasarkan berbagai informasi serta pengalaman yang ia miliki
tentang kondisi tersebut. Pengertian ’ahli’ disini dapat juga si
pemangku risiko itu sendiri. Cara memerolehnya dapat juga
dilakukan melalui teknik expert interview dan hasilnya sering
disebut expert judgement.
2) Uniform distribution probability, yaitu menganggap semua
kemungkinan mempunyai kesempatan yang sama untuk terjadi.
Contoh sederhana bentuk uniform distribution probability ini adalah
sebuah dadu. Dadu mempunyai muka dengan nomor 1, 2, 3, 4, 5
dan 6. Kemungkinan muncul dari tiap nomor dalam setiap
lemparan adalah sama, yaitu satu dibagi enam sama dengan
0,167. Ini berarti kemungkinan nomor 4 muncul dalam setiap
lemparan adalah 0,167 atau 16,7%. Begitu juga nomor-nomor
lainnya.
3) Probability Matrix adalah sebuah tabel yang memberikan uraian
tentang kemungkinan dalam bentuk kualitatif atau kuantitatif,
lengkap dengan sebutannya. Bila tersedia, juga data perkiraan
kelompok jumlah frekuensi kejadian dalam jangka waktu tertentu,
misalnya satu kali dalam 5 tahun.
Contoh tabel matriks probabilitas dapat dilihat pada Lampiran 5.
b. Bila terdapat data yang cukup banyak di masa lalu mengenai risiko-
risiko yang telah terjadi bisa dibuat model matematika dan pola
distribusinya. Contoh beberapa jenis distribusi antara lain: distribusi
normal, distribusi Poisson, distribusi Chi-square, dan lain-lain.
Probabilitas dari suatu peristiwa akan ditentukan oleh jenis distribusi
tersebut.
3. Mengestimasi Konsekuensi Risiko
Estimasi Konsekuensi risiko dilakukan dengan menggunakan tabel
kriteria pengukuran risiko yang sudah diperoleh pada tahap pemahaman
bisnis.
Besarnya dampak risiko yang dapat ditolerir oleh suatu organisasi harus
dirumuskan secara jelas. Ini dikenal dengan istilah selera risiko atau
toleransi risiko (risk appetite). Besaran-besaran ini sepenuhnya menjadi
kewenangan manajemen puncak organisasi dan bagi unit kerja adalah
pimpinan unit kerjanya. Tentu saja kebijakan pimpinan unit kerja tidak
boleh melebihi keputusan pimpinan unit organisasi. Panduan besarnya
 - 124 -

dampak yang akan digunakan dalam analisis risiko ini biasanya

ditetapkan dalam bentuk tabel.
Contoh tabel dampak disajikan pada Lampiran 5.
Dalam satu tabel dapat pula ditampilkan peringkat dampak yang sama,
tetapi kriteria dampak yang berbeda. Dalam kondisi semacam ini, perlu
dikemukakan pertimbangan rasional penyamaan sebutan peringkat
tersebut, yang dapat diperoleh melalui konsensus dan kebijakan
manajemen.
Pengukuran dan Skala
Sangat penting untuk memahami penggunaan jenis skala dan cara
pengukuran dampak serta kemungkinan untuk berbagai jenis analisis
yang digunakan. Pemilihan jenis skala yang digunakan sangat
bergantung pada sifat dan besaran dampak yang diukur. Selain itu,
tingkat pemahaman dan variasi terhadap kemungkinan yang dapat
terjadi juga berpengaruh. Oleh karena itu, penting untuk memilih cara
pengukuran dan skala yang sesuai.
Ada empat macam skala pengukuran, yaitu nominal, ordinal, interval
dan rasio. Secara ringkas, pengertian keempat skala pengukuran
tersebut adalah sebagai berikut:
 Pengukuran nominal
Cara pengukuran dengan mengelompokkan kejadian menjadi
kelompok-kelompok tertentu, misalnya kelompok ekonomi, teknologi,
lingkungan dan lain-lain. Pengukuran ini tidak membuat
pemeringkatan sama sekali. Artinya, tidak ada pernyataan bahwa yang
satu lebih dari yang lain. Apabila digunakan angka, maka angka itu
tidak berarti peringkat, melainkan hanya untuk identifikasi, mirip
angka yang ditempatkan pada punggung pemain sepak bola.
 Pengukuran ordinal
Dalam pengukuran jenis ini, kejadian diurutkan menurut tingkat
‘pentingnya’, misalkan dengan menggunakan istilah tinggi, menengah
dan rendah, atau misalnya dengan menggunakan angka atau huruf
(peringkat 1, 2, 3 dan 4 atau peringkat A, B, dan C). Setiap peringkat
diberikan uraian untuk memperjelas mengapa suatu kelompok lebih
tinggi peringkatnya dari kelompok yang lain. Hal ini ditunjukkan pada
tabel kemungkinan dan dampak pada suplemen 4 dan 5.
 - 125 -

 Pengukuran interval
Pengukuran ini sudah menggunakan skala angka dengan rentang
perbedaan antara tiap angka yang berurutan adalah tetap. Di dalam
pengukuran ini, indikator interval yang digunakan tidak berarti
menunjukkan suatu interval yang serupa untuk nilai absolut yang
diukur. Contohnya perhatikan tabel 9, indikator 0,1 untuk
pengukuran dampak biaya tidak sama dengan indikator 0,1 untuk
pengukuran dampak keterlambatan. Akan tetapi manajemen
organisasi menganggap dampak tersebut mempunyai ‘kesamaan’.
Sejalan dengan contoh diatas maka kejadian yang ditunjukkan oleh
indikator 4 tidak selalu berarti mempunyai nilai absolut dua kali lipat
dari kejadian yang ditunjukkan dengan indikator dengan nilai 2.
 Pengukuran rasio
Skala pengukuran rasio memungkinkan orang menyimpulkan bahwa
dampak absolut kejadian dengan indikator 4 adalah dua kali lipat dari
dampak kejadian dengan indikator 2. Ini dimungkinkan karena pada
skala pengukuran rasio konsep nilai 0 didefinisikan dengan jelas,
sedangkan untuk pengukuran interval, konsep ini tidak didefinisikan.
Artinya pada pengukuran interval nilai 0 tidak mempunyai uraian
yang persis dan nyata.
Penggunaan skala nominal dan ordinal untuk mengukur dampak dan
kemungkinan seringkali disebut sebagai teknik/metode ‘kualitatif’,
sedangkan pengukuran dengan skala interval dan rasio sering disebut
sebagai ‘kuantitatif’.
4. Menilai Efektivitas Pengendalian Risiko yang Ada
Dalam memperkirakan besarnya dampak negatif yang dapat ditimbulkan
(bila risiko terjadi) dan perkiraan tentang besarnya likelihood terjadinya
risiko harus dipertimbangkan terlebih dahulu efektivitas pengendalian
risiko yang ada pada perusahaan. Dengan demikian, risiko yang diukur
likelihood dan dampaknya adalah risiko setelah mempertimbangkan
efektivitas pengendalian risiko yang ada.
5. Mengukur Risiko dengan Menggunakan Model Risiko Standar
Besarnya risiko secara prinsip dapat diukur dengan melihat seberapa
besar likelihood risiko tersebut terjadi dan seberapa besar dampaknya
terhadap pencapaian target kinerja perusahaan yang telah ditetapkan,
dapat dirumuskan sebagai berikut:
Risiko = Likelihood x Konsekuensi
 - 126 -

Dengan cara melakukan analisis likelihood dan dampak dari risiko

tersebut akan dapat diketahui besarnya risiko yang akan menjadi
hambatan dalam pencapaian target perusahaan secara keseluruhan.
Tingkat/besarnya risiko diperoleh dari hasil perkalian likelihood dan
dampak, tingkat risiko yang tertinggi adalah bernilai = 25 (5X5), sedang
tingkat risiko yang terendah adalah bernilai = 1 (1X1).
6. Evaluasi Risiko
Setelah berhasil mengkuantifikasi jumlah likelihood dan konsekuensi
dari setiap peristiwa risiko, kemudian dilakukan evaluasi risiko
berdasarkan peringkat risiko dari yang mempunyai nilai terbesar sampai
dengan terkecil.
Contoh peringkat Risiko dikelompokkan menjadi 4 (empat), yaitu :
a. Risiko Ekstrim : nilai > 15 s.d 25
b. Risiko Tinggi : nilai > 10 s.d 15
c. Risiko Sedang : nilai > 5 s.d 10
d. Risiko Rendah : nilai 1 s.d 5
7. Membuat Peta Risiko.
Risiko yang telah disortir ditampilkan dalam bentuk peta risiko. Peta
risiko dibuat secara terpisah berdasarkan masing-masing unit
kerja/direktorat/ korporat. Peta risiko digambarkan melalui kombinasi
sumbu horisontal yang menunjukkan besaran likelihood dan sumbu
vertikal yang menunjukkan besaran dampak.
8. Membuat Daftar Prioritas Risiko
Dengan menggunakan daftar risiko dan peta risiko yang telah disusun,
dibuat suatu keputusan atau konsensus final tentang risiko mana yang
dapat diterima atau tidak dapat diterima. Risiko yang tidak dapat
diterima akan menjadi prioritas perhatian manajemen.
Risiko dikatakan dapat diterima bila:
a. Peringkat risiko rendah sehingga tidak perlu penanganan khusus;
b. Tidak tersedia penanganan untuk risiko;
c. Biaya penanganan untuk pengendalian lebih rendah daripada
manfaat yang diperoleh bila risiko tersebut terjadi;
d. Peluang dari suatu risiko tersebut lebih besar dibandingkan dengan
ancaman dari risiko tersebut. (Risiko Regulasi yang menguntungkan);
e. Risiko yang terjadi tidak mempengaruhi pencapaian tujuan
perusahaan.
Jika hasil evaluasi risiko masuk dalam kategori rendah atau risiko yang
dapat diterima, maka risiko tersebut diterima dengan sedikit
 - 127 -

penanganan risiko lanjutan. Risiko yang rendah atau dapat diterima

harus dipantau dan ditelaah secara periodik untuk menjamin bahwa
risiko tersebut tetap dapat diterima. Apabila hasil evaluasi risiko
menunjukkan bahwa risiko tidak masuk dalam kategori rendah dan
tidak dapat diterima, maka risiko tersebut harus ditangani secara aktif
dengan satu atau lebih opsi penanganan risiko.
C. DOKUMENTASI
Dokumentasi kegiatan analisis dan evaluasi risiko adalah:
1. Formulir pengukuran risiko individual setelah pengendalian yang diisi
oleh masing-masing personil dalam satu unit
kerja/direktorat/korporat. Contoh formulir terdapat pada Lampiran 8.
2. Formulir kompilasi pengukuran risiko dalam satu unit
kerja/direktorat/ korporat. Contoh formulir terdapat pada Lampiran
9.
3. Formulir daftar prioritas risiko masing-masing unit kerja/direktorat/
korporat. Contoh formulir terdapat pada Lampiran 10.
4. Formulir peta risiko masing-masing unit kerja/direktorat/korporat.
Contoh formulir terdapat pada Lampiran 11.
 - 128 -

BAB VI
PENANGANAN RISIKO

Penanganan risiko merupakan tindak lanjut dari hasil evaluasi risiko yaitu
untuk menangani risiko yang masuk dalam kategori risiko yang tidak dapat
diterima. Risiko yang tidak dapat diterima ini harus ditangani dengan
menggunakan satu opsi atau lebih agar tingkat likelihood dan dampak risiko
dapat berkurang menjadi tingkat likelihood dan dampak yang dapat diterima.
A. TUJUAN DAN RUANG LINGKUP
1. Tujuan Penanganan Risiko
Tujuan yang ingin dicapai pada tahap penanganan risiko adalah untuk
menentukan opsi penanganan risiko dengan tepat yaitu yang paling
 - 129 -

efektif dan efisien dan dapat diimplementasikan untuk mengurangi

likelihood dan atau dampak atas risiko yang belum dapat diterima pada
tahap evaluasi risiko, dengan mempertimbangkan adanya kendala-
kendala dalam memperlakukan risiko terutama dari aspek ketersediaan
dana/anggaran.
2. Ruang Lingkup Penanganan Risiko
Ruang lingkup penanganan risiko mencakup :
a. Pengidentifikasian opsi penanganan risiko
b. Pengevaluasian opsi penanganan risiko
c. Pemilihan opsi penanganan risiko
d. Penyiapan rencana penanganan risiko
e. Pengimplementasian rencana penanganan risiko
B. PROSEDUR PENANGANAN RISIKO
1. Identifikasi Opsi Penanganan Risiko
Opsi risiko meliputi:
a. Menghindari Risiko
Menghindari risiko dapat dilakukan dengan memutuskan untuk
tidak melanjutkan aktivitas yang akan mendatangkan risiko, dengan
memilih alternatif aktivitas lain yang dapat diterima, yang dapat
memenuhi sasaran organisasi, atau memilih alternatif lain yang
proses dan metodologinya mempunyai risiko yang lebih rendah.
Penghindaran risiko yang tidak wajar berupa keengganan untuk
melakukan suatu kegiatan dapat menimbulkan dan meningkatkan
risiko lainnya.
Keengganan berisiko dapat mengakibatkan:
 Keputusan untuk menghindari atau mengabaikan risiko tanpa
memperhatikan informasi yang tersedia dan biaya yang akan
dikeluarkan untuk menangani risiko tersebut bila terjadi
 Kegagalan untuk menangani risiko;
 Penyerahan pilihan kritis dan atau keputusan kepada pihak lain;
 Penangguhan keputusan yang tidak dapat dihindari oleh
perusahaan;
 Memilih suatu pilihan karena secara potensial merupakan risiko
terendah tanpa menghiraukan manfaatnya.
b. Mengurangi Tingkat Likelihood Terjadinya Risiko
Opsi mengurangi tingkat likelihood dapat dilakukan antara lain
dengan:
 Melakukan audit dan program peningkatan pengendalian internal;
 - 130 -

 Membuat persyaratan kontrak yang komprehensif;

 Melakukan inspeksi dan pengendalian proses;
 Manajemen investasi dan portofolio;
 Manajemen proyek;
 Melakukan perawatan yang bersifat preventif;
 Melaksanakan jaminan kualitas, manajemen dan standar;
 Pelatihan terstruktur;
 Supervisi;
 Pengujian;
 Penataan organisasi.
c. Mengurangi Dampak Risiko
Opsi mengurangi dampak risiko dapat dilakukan antara lain dengan:
 Membuat rencana kontinjensi;
 Menyelaraskan kontrak;
 Membuat persyaratan kontrak yang komprehensif;
 Membuat rancangan (design features);
 Menyusun rencana pemulihan akibat bencana;
 Menyusun rencana pengendalian kecurangan;
 Meminimalkan eksposure terhadap sumber risiko;
 Menyusun rencana portofolio;
 Memisahkan atau merelokasi suatu aktivitas atau sumberdaya
secara terpisah;
 Melakukan hedging piutang/hutang
d. Memindahkan Risiko
Opsi memindahkan risiko dapat dilakukan dengan melibatkan pihak
lain untuk menanggung atau membagi beberapa bagian risiko.
Mekanismenya meliputi penggunaan kontrak, penutupan asuransi
dan struktur organisasi seperti kemitraan dan usaha patungan.
e. Menerima Risiko
Setelah risiko dikurangi atau dipindahkan, mungkin masih terdapat
risiko tersisa (residual risk). Risiko ini diterima tanpa penanganan
lebih lanjut.
2. Analisis Opsi Penanganan Risiko
Opsi penanganan risiko tidak bersifat mutually-exclusive (satu risiko
satu opsi) atau satu opsi cocok untuk semua kondisi risiko. Artinya
satu risiko bisa saja ditangani dengan melakukan beberapa opsi
 - 131 -

perlakuan risiko. Dilain pihak, menutup asuransi tidak dapat

digunakan untuk menghilangkan segala macam risiko.
Opsi harus dinilai berdasarkan besarnya risiko yang dapat
diminimalisasi, dan besarnya manfaat tambahan atau peluang yang
tercipta. Penyeleksian opsi yang paling tepat mencakup keseimbangan
biaya penerapan setiap opsi terhadap manfaat yang dihasilkannya.
Secara umum, biaya penanganan risiko harus sepadan dengan manfaat
yang diperoleh.
Dalam banyak kasus, kecil kemungkinan satu opsi penanganan risiko
akan menjadi solusi lengkap bagi masalah tertentu. Sering organisasi
memperoleh manfaat substansial dengan mengkombinasikan beberapa
opsi, misalnya mengurangi tingkat likelihood risiko, mengurangi
dampaknya, dan memindahkan atau menahan risiko residual.
3. Pemilihan Penanganan Risiko
Pemilihan opsi yang paling layak meliputi mempertimbangkan
keseimbangan biaya implementasi masing-masing opsi dengan manfaat
yang diperoleh darinya. Secara umum, dalam menentukan biaya
penanganan risiko perlu mempertimbangkan manfaat yang diperoleh.
Jika risiko dapat dikurangi secara signifikan dengan pengeluaran
(biaya) yang relatif kecil, maka opsi semacam itu harus
diimplementasikan. Opsi lanjutan untuk penyempurnaan mungkin
tidak ekonomis dan memerlukan pengujian pertimbangan apakah opsi
tersebut dapat dibenarkan.
Secara umum, dampak merugikan suatu risiko harus dibuat serendah
mungkin.
Jika biaya kumulatif pengimplementasian seluruh penanganan risiko
melebihi anggaran yang tersedia, perencanaan harus secara jelas
mengidentifikasi urutan prioritas penanganan masing-masing risiko
residual yang harus diimplementasikan. Pengurutan prioritas dapat
ditentukan dengan menggunakan beberapa teknik, termasuk rangking
risiko dan analisis biaya-manfaat.
Opsi penanganan risiko harus mempertimbangkan bagaimana risiko
dirasakan oleh pihak-pihak yang terpengaruh, dan cara yang paling
layak dilakukan adalah berkomunikasi dengan pihak-pihak tersebut.
4. Menyiapkan rencana penanganan
Rencana yang dibuat mencakup dokumentasi tentang bagaimana opsi
yang terpilih akan diimplementasikan.
 - 132 -

Rencana penanganan meliputi identifikasi penanggung jawab, jadwal,

outcome yang diharapkan dari penanganan, anggaran biaya, ukuran
kinerja dan proses penelaahan yang dijalankan.
Rencana juga mencakup suatu mekanisme untuk menaksir
implementasi penanganan terhadap kriteria kinerja, pihak yang
bertanggung jawab dan tujuan-tujuan lain, dan untuk memantau
tahap-tahap pengimplementasian yang kritikal.
5. Implementasi Penanganan risiko
Keberhasilan pengimplementasian rencana penanganan risiko
memerlukan suatu sistem manajemen yang efektif yang merinci
metode-metode yang dipilih, menentukan penanggung jawab, dan
memantau sesuai kriteria yang ada.
Jika masih terdapat risiko residual, suatu keputusan diambil untuk
menentukan apakah akan menahan risiko tersebut, atau mengulangi
proses penanganan.
Implementasi penanganan risiko harus selalu dipantau untuk
memastikan bahwa opsi penanganan risiko yang dipilih sudah tepat
dan benar-benar dapat menekan risiko sampai ke tingkat yang
diinginkan.
C. DOKUMENTASI
Kegiatan penanganan risiko didokumentasikan dalam Formulir Rencana
dan Jadwal Penanganan Risiko. Formulir Rencana dan Jadwal Penanganan
Risiko memuat informasi sebagai berikut:
1. Risiko yang menjadi prioritas untuk ditangani.
2. Opsi penanganan risiko yang memungkinkan.
3. Opsi yang dipilih.
4. Peringkat risiko yang diharapkan setelah penanganan risiko
dilaksanakan.
5.Hasil analisis biaya yang dikeluarkan bila dilakukan kegiatan
penanganan risiko dengan manfaat yang dapat diterima apakah dapat
diterima atau tidak.
6. Orang yang bertanggungjawab melaksanakan opsi penanganan risiko
7. Jangka waktu pelaksanaan.
8. Cara bagaimana risiko dan opsi penanganan risiko dimonitor.

Contoh Formulir Rencana dan Jadwal Penanganan Risiko terdapat pada

Lampiran 12.
 - 133 -

BAB VII
PELAPORAN
 - 134 -

Pelaporan kegiatan fasilitasi risk assessment merupakan kegiatan terakhir dari

fasilitasi risk assessment setelah kegiatan fasilitasi risk assessmet di lapangan
dilakukan. Pelaporan kegiatan merupakan pertanggungjawaban hasil kegiatan
fasilitasi risk assessment yang dilakukan oleh Tim BPKP kepada manajemen
perusahaan yang diwujudkan dalam bentuk Laporan Kegiatan Fasilitasi Risk
Assessment.
Kegiatan pelaporan dilakukan mulai dari penyiapan laporan oleh ketua tim,
reviu laporan oleh pengendali teknis, pengendali mutu/pembantu penanggung
jawab dan penandatanganan laporan oleh penanggung jawab fasilitasi risk
assessment sampai dengan pendistribusian laporan hasil fasilitasi risk
assessment kepada perusahaan.
Contoh format laporan kegiatan fasilitasi Risk Assessment dapat dilihat pada
Lampiran 13.
 - 135 -

BAB VIII
PENUTUP

Pelaksanaan penugasan fasilitasi risk assessment dapat terlaksana dengan

baik bila didukung oleh faktor-faktor sebagai berikut:
1. Dukungan dan komitmen penuh dari manajemen dan staf.
Dukungan dan komitmen ini tidak saja berasal dari tim fasilitasi risk
assessment tetapi juga dari manajemen dan staf perusahaan (perusahaan
yang diases).
2. Transparansi informasi
Manajemen dan staf perusahaan harus menjamin bahwa semua informasi
dan kebijakan telah disampaikan secara benar dan lengkap.
3. Komunikasi yang baik antara tim fasilitasi risk assessment dan pemilik
kegiatan/pemilik risiko
Tim fasilitasi risk assessment selalu menciptakan komunikasi dua arah
sehingga dapat memperoleh informasi yang lengkap dan mutakhir.
4. Teknik-teknik fasilitasi risk assessment
Tersedianya panduan dan teknik-teknik fasilitasi risk assessment guna
memudahkan tim fasilitasi risk assessment dalam melaksanakan tahapan-
tahapan fasilitasi risk assessment, sehingga menjamin kualitas hasil
fasilitasi risk assessment.
5. Sumber daya manusia yang memadai untuk pelaksanaan fasilitasi risk
assessment.
Personil yang terlibat dalam penugasan fasilitasi risk assessment tidak saja
harus kompeten dan memiliki integritas yang tinggi tetapi juga memiliki
kreativitas. Disamping itu untuk meningkatkan kemampuan assessment
perlu didukung dengan program pelatihan baik berupa pengetahuan teknis
maupun pemahaman bisnis perusahaan.
6. Sarana untuk mengukur hasil yang dicapai
Perlu dibuat suatu standar kinerja untuk mengukur dan mengendalikan
kualitas (quality assurance) atas pelaksanaan fasilitasi risk assessment.
 - 136 -

Lampiran Pedoman II Nomor 1

Dari : Direksi PT .....

No. Surat : ……. / ……../ 200..
Tanggal : …. - ….. – 200..
Kepada : Tim Manajemen Risiko
Lampiran : 1 (satu) lembar
Hal : Penugasan Tim Manajemen Risiko

Dengan hormat,

Sehubungan dengan dilaksanakannya Risk Assessment di lingkungan

PT ………… sejak tanggal ……………… sampai dengan selesai, Direksi
PT …………. merasa perlu membentuk Tim Manajemen Risiko yang akan
menjadi mitra (counterpart) Tim Risk Assessment BPKP, dengan tugas sebagai
berikut:
1. Mencari dan menyediakan data/informasi yang terkait dengan
penyelesaian tugas Tim Manajemen Risiko BPKP dalam melakukan
assessment risiko yang dihadapi Perusahaan.
2. Membantu menyusun laporan hasil risk assessment bersama Tim Risk
Assessment BPKP

Tim Manajemen Risiko bertanggung jawab kepada Direksi PT ………………….

Adapun susunan personalia Tim Manajemen Risiko seperti tercantum pada

Lampiran surat keputusan ini.

Demikian untuk dapat dilaksanakan dengan sebaik-baiknya.

Direksi

…… ( n a m a ) ………
Ketua
 - 137 -

Lampiran Susunan Tim Manajemen Risiko

PT. ................................

No Nama Unit Kerja Jabatan

Tim Manajemen Risiko

1. ......................... ..................... Ketua Tim
2. ......................... ..................... Wakil Ketua
3. ......................... ..................... Sekretaris

Focus Group I Direktorat Produksi

1. ............................ ..................... Ketua Focus Group I
2. ............................ ..................... Anggota
3. ............................ ..................... Anggota

Focus Group II Direktorat Pemasaran

1. ............................ ..................... Ketua Focus Group II
2. ............................ ..................... Anggota
3. ............................ ..................... Anggota

Focus Group III Direktorat Keuangan

1. ............................ ..................... Ketua Focus Group III
2. ............................ ..................... Anggota
3. ............................ ..................... Anggota

Focus Group IV Direktorat SDM dan

Umum
1. ............................ ..................... Ketua Focus Group IV
2. ............................ ..................... Anggota
3. ............................ ..................... Anggota

Focus Group V Sekretaris Perusahaan

1. ............................ ..................... Ketua Focus Group V
2. ............................ ..................... Anggota
3. ............................ ..................... Anggota

Focus Group VI Teknologi Informasi

1. ............................ ..................... Ketua Focus Group VI
2. ............................ ..................... Anggota
3. ............................ ..................... Anggota
 - 138 -

Lampiran Pedoman II Nomor 2

JADWAL WORKSHOP RISK ASSESSMENT

NAMA PERUSAHAAN :
HARI /TANGGAL :

No Waktu Durasi Acara Penanggung Jawab

Pelaksanaan (Menit)
1 08.30 – 09.00 30 Pembukaan workshop Penanggung jawab
risk assessment perusahaan dan
penanggung jawab Tim
BPKP
2 09.00 – 10.00 60 Overviu Manajemen Tim BPKP
Risiko
3 10.00 – 10.15 15 Coffee Break
4 10.15 – 11.15 60 Overviu Manajemen Tim BPKP
Risiko
5 11.15 – 12.00 45 Overviu Manajemen Tim BPKP
Risiko
6 12.00 – 13.00 60 Istirahat
7 13.00 – 13.30 30 Rencana Kegiatan Tim BPKP
Risk Assessment
8 13.30 – 15.00 90 Simulasi Risk Tim BPKP dan Focus
Assessment Group
9 15.00 – 15.15 15 Coffe Break
10 15.15 – 16.15 60 Lanjutan Simulasi Tim BPKP dan Focus
Risk Assessment Group
11 16.15 – 16.30 15 Penutupan Penanggung jawab
perusahaan.
 Lampiran Pedoman II Nomor 3

RENCANA KEGIATAN RISK ASSESSMENT

No Kegiatan Bulan Pertama Bulan Kedua Bulan Ketiga Bulan Keempat Bulan Kelima
I II III IV I II III IV I II III IV I II III IV I II III IV
A Tahap Perencanaan
1 Pembicaraan pendahuluan
2 Pembentukan Fokus Grup
3 Work shop risk assessment
4 Penyusunan rencana kegiatan risk
assessment

B Tahap Pelaksanaan
1 Pemahaman organisasi dan
konteksnya
2 Pengidentifikasian risiko direktorat
3 Identifikasi dan evaluasi pengendalian
risiko direktorat
4 Pengukuran risiko setelah
pengendalian direktorat
5 Penyusunan peta risiko direktorat
6 Penyusunan daftar prioritas risiko
direktorat
7 Identifikasi rencana penanganan
risiko direktorat
8 Penyusunan daftar risiko direktorat
9 Pengidentifikasian risiko korporat
 - 140 -

No Kegiatan Bulan Pertama Bulan Kedua Bulan Ketiga Bulan Keempat Bulan Kelima
I II III IV I II III IV I II III IV I II III IV I II III IV
10 Identifikasi dan evaluasi pengendalian
risiko korporat
11 Pengukuran risiko setelah
pengendalian korporat
14 Identifikasi rencana penanganan
risiko korporat
15 Penyusunan daftar risiko korporat

C Tahap Pelaporan
1 Penyiapan konsep laporan hasil risk
assessment
2 Reviu konsep laporan hasil risk
assessment
3 Penandatanganan laporan hasil risk
assessment
4 Pendistribusian/penyerahan laporan
hasil risk assessment
 Lampiran Pedoman II Nomor 4

PEMAHAMAN BISNIS

1. Nama Perusahaan :
2. Dilaksanakan Oleh/ :
Tanggal
3. Direviu Oleh/Tanggal :

1. Pemahaman Sasaran Organisasi

2. Pemahaman Bisnis
a Konteks Eksternal
1) Analisis Pemangku Kepentingan (stakeholders analysis)
a) Petakan hubungan dengan pemangku kepentingan
- Pemegang saham

- Pelanggan

- Karyawan

- Supplier/Kreditor

- Regulator

- Pesaing

- Masyarakat

- dst

b) Kaji kemungkinan koalisi antar pemangku kepentingan

- Pemegang saham
 - 142 -

- Pelanggan

- Karyawan

- Supplier/Kreditor

- Regulator

- Pesaing

- Masyarakat

- dst

c) Periksa dan kaji kepentingan masing-masing pemangku

kepentingan terhadap organisasi serta kebalikannya
- Pemegang saham

- Pelanggan

- Karyawan

- Supplier/Kreditor

- Regulator

- Pesaing

- Masyarakat
 - 143 -

- dst

d) Periksa dan kaji kekuatan masing-masing pemangku

kepentingan terhadap organisasi
- Pemegang saham

- Pelanggan

- Karyawan

- Supplier/Kreditor

- Regulator

- Pesaing

- Masyarakat

- dst

e) Tinjau dan kaji kewajiban organisasi terhadap masing-

masing pemangku kepentingan
- Pemegang saham

- Pelanggan

- Karyawan

- Supplier/Kreditor
 - 144 -

- Regulator

- Pesaing

- Masyarakat

- dst

f) Kembangkan strategi dan taktik untuk masing-masing

pemangku kepentingan sesuai dengan pengelompokan
berdasarkan potensi dan ancaman
- Pemegang saham

- Pelanggan

- Karyawan

- Supplier/Kreditor

- Regulator

- Pesaing

- Masyarakat

- dst

g) Monitor pergeseran yang mungkin terjadi dan membentuk

koalisi yang baru
 - 145 -

- Pemegang saham

- Pelanggan

- Karyawan

- Supplier/Kreditor

- Regulator

- Pesaing

- Masyarakat

- dst

2) Taksonomi Pengaruh Lingkungan Eksternal

- Ekonomi

- Politik

- Sosial

- Hukum

- Lingkungan hidup
 - 146 -

b Konteks Internal
1) Taksonomi pengaruh lingkungan internal
- Keuangan

- Operasional

- Teknologi

c Konteks Proses Manajemen Risiko

1) Pemilahan aktivitas proses bisnis
-
-
-

d Penyusunan Kriteria Risiko

e Selera Risiko

3. Ekspektasi dari Stakeholder Perusahaan

a. Konsumen/Pelanggan
1)
2)
3)
b. Supplier/Pemasok Bahan Baku
1)
2)
3)
c. Pemerintah sebagai Regulator
1)
2)
3)
d. Karyawan/Manajemen
1)
2)
3)
e. Pemegang Saham sebagai Pemilik
1)
2)
3)
f. Masyarakat Sekitar
1)
2)
3)
 - 147 -

g. Distributor/Pengecer
1)
2)
3)
4. Analisa Strenght, Weakness, Opportunity and Threats (SWOT)
a Kekuatan (Strenght)
1)
2)
3)
b Kelemahan (Weakness)
1)
2)
3)
c Peluang (Opportunity)
1)
2)
3)
d Ancaman (Threats)
1)
2)
3)
5. Pemahaman Tujuan, Sasaran dan Strategi Perusahaan

a Visi:

b Misi:

c Nilai-nilai Perusahaan:

d Sasaran:

e Strategi:

f Kebijakan:

g Tujuan / Sasaran Direktorat:

6. Pemahaman Aktivitas Perusahaan, Faktor Kunci Keberhasilan, dan

Kriteria Pengukuran Kinerja

a Aktivitas perusahaan:

b Faktor kunci keberhasilan:

c Kriteria pengukuran kinerja:

 - 148 -

Lampiran Pedoman II Nomor 5

CONTOH KRITERIA RISIKO

A. Ukuran Likelihood

Skala Uraian Penjelasan

1 Jarang Risiko mungkin terjadi hanya pada kondisi
tidak normal. Probabilitas terjadinya di
bawah 20%.
2 Kemungkinan Risiko mungkin terjadi pada beberapa
kecil waktu. Probabilitas terjadinya diatas 20%
sampai dengan 40%.
3 Kemungkinan Risiko dapat terjadi pada beberapa waktu.
sedang Probabilitas terjadinya di atas 40% sampai
dengan 60%.
4 Kemungkinan Risiko akan mungkin terjadi pada banyak
besar keadaan. Probabilitas terjadinya di atas
60% sampai dengan 80%.
5 Hampir pasti Risiko dapat terjadi pada banyak keadaan.
Probabilitas terjadinya di atas 80% sampai
100%.

No Kriteria Probabilitas Uraian Frekuensi/tahun

1 Sangat 0,10 Hampir tidak 1-5 kejadian
kecil mungkin terjadi
2 Kecil 0,30 Kemungkinan kecil 6-10 kejadian
terjadi
3 Sedang 0,50 Dapat terjadi, dapat 11-20 kejadian
juga tidak.
Kemungkinan fifty-
fifty
4 Besar 0,70 Besar 21-50 kejadian
kemungkinannya
terjadi
5 Sangat 0,90 Hampir pasti terjadi Lebih dari 50x
besar terjadi

No Tingkat Sebutan Uraian Frekuensi

1 A Hampir pasti Terjadi setiap tahun 1x per tahun
atau lebih
2 B Mungkin sekali Menurut pengalaman 1 x dalam 3
kejadian ini muncul tahun
beberapa kali
3 C Mungkin Menurut pengalaman 1 x dalam 10
baru terjadi satu kali tahun
4 D Kecil Kejadian ini sangat 1 x dalam 30
kemungkinan jarang muncul tahun
5 E Jarang Pernah mendengar ada 1 x dalam 100
kejadian semacam itu tahun
6 F Sangat jarang Belum pernah 1 x dalam
mendengar kejadian 1.000 tahun
ini
 - 149 -

B. Ukuran Dampak

Level Uraian Penjelasan

1 Tidak - Kerugian finansial perusahaan sampai dengan
signifikan Rp. 500 juta dalam 12 bulan periode
- Terjadinya penyakit dan kecelakaan kerja yang
dapat diatasi dengan tindakan P3K
- Terjadinya pelanggaran prosedur/peraturan
lingkungan hidup, menimbulkan akibat yang
tidak berarti dan tidak menimbulkan protes
- Kehilangan reputasi atau timbulnya publisitas
jelek di lingkungan internal perusahaan
- Terjadinya keluhan pelanggan dan disampaikan
secara lisan

2 Rendah - Kerugian finansial perusahaan sebesar Rp 500

juta sampai dengan Rp. 1 milyar dalam 12 bulan
periode
- Terjadinya penyakit dan kecelakaan kerja yang
dapat diatasi dengan bantuan medis berobat
jalan
- Terjadinya pelanggaran prosedur/peraturan
lingkungan hidup, menimbulkan akibat yang
berarti dan menimbulkan protes (bukan
tuntutan/tindakan hukum)
- Kehilangan reputasi atau timbulnya publisitas
jelek di media lokal dalam satu kabupaten / kota

- Terjadinya keluhan pelanggan dan disampaikan

secara tertulis sebanyak 1 kasus sampai dengan
4 kasus.

3 Menengah - Kerugian finansial perusahaan di atas Rp 1

milyar sampai dengan Rp. 2 milyar dalam 12
bulan periode
- Terjadinya penyakit dan kecelakaan kerja dan
dibutuhkan bantuan medis rawat inap di rumah
sakit
- Terjadinya pelanggaran prosedur/peraturan
lingkungan hidup, menimbulkan akibat yang
berarti dan menimbulkan tuntutan/tindakan
hukum
- Kehilangan reputasi atau timbulnya publisitas
jelek di media lokal dalam satu propinsi
- Terjadinya keluhan pelanggan dan disampaikan
secara tertulis sebanyak di atas 4 kasus sampai
dengan 7 kasus

4 Besar - Kerugian finansial perusahaan di atas Rp 2

milyar sampai dengan Rp. 4 milyar dalam 12
bulan periode
- Terjadinya penyakit dan kecelakaan kerja dan
menimbulkan kematian
- Terjadinya pelanggaran prosedur/peraturan
lingkungan hidup,menimbulkan akibat yang
 - 150 -

Level Uraian Penjelasan

cukup berarti dan menimbulkan
tuntutan/tindakan hukum
- Kehilangan reputasi atau timbulnya publisitas
jelek di media nasional
- Terjadinya keluhan pelanggan dan disampaikan
secara tertulis sebanyak di atas 7 kasus sampai
dengan 10 kasus

5 Dahsyat - Kerugian finansial perusahaan di atas Rp. 4

milyar dalam 12 bulan periode
- Terjadinya penyakit dan kecelakaan kerja dan
menimbulkan kematian serta mengancam
penutupan operasi perusahaan
- Terjadinya pelanggaran prosedur/peraturan
lingkungan hidup,menimbulkan akibat yang
sangat berarti, menimbulkan tuntutan/tindakan
hukum, dan mengancam penutupan operasi
perusahaan.
- Kehilangan reputasi atau timbulnya publisitas
jelek di media internasional
- Terjadinya keluhan pelanggan dan disampaikan
secara tertulis sebanyak lebih dari 10 kasus

Skala Dampak Sederhana

No Sebutan Uraian Peringkat
1 Bencana Semua sasaran tidak dapat tercapai I
2 Besar Sasaran-sasaran penting tidak dapat II
tercapai
3 Sedang Memengaruhi pencapaian beberapa sasaran III
4 Kecil Kerusakan kecil yang mudah diperbaiki IV
kembali
5 Sangat kecil Dampak kecil terhadap sasaran yang dapat V
diabaikan

Dua Dampak dengan Sebutan yang Sama

No Peringkat Risiko Uraian Dampak
Sebutan Nilai Biaya/Kerugian Biaya/Keterlambatan
1 Sangat 0,05 Rp1 juta s/d 6 milyar Kurang dari 1 bulan
ringan
2 Ringan 0,1 Rp6,1 s/d 10 milyar Antara 1 sampai 2
bulan
3 Sedang 0,2 Rp10,1 s/d 14 milyar Antara 2 sampai 3
bulan
4 Berat 0,4 Rp14,1 s/d 20 milyar Antara 3 sampai 6
bulan
5 Ekstrem 0,8 Labih dari Rp20 Lebih dari 6 bulan
milyar
 - 151 -

C. Ukuran Gabungan Likelihood dan Dampak

Ukuran gabungan likelihood dan dampak atau Level Risiko diperoleh

berdasarkan perkalian level likelihood dengan dampak. Level risiko tertinggi
bernilai 25 (5 x 5) sedangkan level risiko terendah bernilai 1 (1 x 1).
Level Risiko dikelompokkan menjadi 4 (empat), yaitu :
1. Risiko Ekstrim : nilai > 15 s.d 25
2. Risiko Tinggi : nilai > 10 s.d 15
3. Risiko Sedang : nilai > 5 s.d 10
4. Risiko Rendah : nilai 1 s.d 5
Risiko dikatakan memiliki tingkat yang dapat diterima bila:
1. Level risiko rendah sehingga tidak perlu penanganan khusus
2. Tidak tersedia penanganan untuk risiko
3. Biaya penanganan termasuk biaya asuransi lebih tinggi dari manfaat yang
diperoleh bila risiko tersebut diterima
4. Peluang dari adanya risiko tersebut lebih besar dari ancamannya
5. Risiko yang terjadi tidak mempengaruhi dari pencapaian tujuan
perusahaan.
 - 152 -

Lampiran Pedoman II Nomor 6

CONTOH MODEL RISIKO

A. Model Risiko Berdasarkan Kategori Fungsi, Kegiatan, dan Individu

NO FUNGSI KEGIATAN INDIVIDU

.
1. PRODUKSI 1.1. RISIKO PROSES 1.1.1. TERBAKAR
1.1.2. BOCOR
1.1.3. MELEDAK
1.2. RISIKO ALAT/ 1.2.1. RUSAK
EQUIPMENT 1.2.2. KINERJA ALAT MENURUN
1.2.3. KELANGKAAN SUKU CADANG
1.3. RISIKO BAHAN 1.3.1. TIDAK TERSEDIA/ KELEBIHAN
1.3.2. TIDAK SESUAI SPESIFIKASI
1.3.3. MUTU TIDAK BAGUS
1.4. RISIKO 1.4.1. TIDAK TERSEDIA
PRASARANA 1.4.2. TIDAK MEMADAI
1.4.3. TIDAK MENCUKUPI
1.4.4. TIDAK SESUAI
1.5. RISIKO 1.5.1. PENCEMARAN LINGKUNGAN
LINGKUNGAN (BISING, BAU, RACUN, DEBU)
1.5.2. KONSENTRASI DIATAS NILAI
AMBANG BATAS (NAB)
1.6. RISIKO 1.6.1. TIDAK AKURAT
LABORATORIUM 1.6.2. PROSES LAMA

2. PEMASARAN 2.1. RISIKO PRODUK 2.1.1. TIDAK TERSEDIA

2.1.2. JUMLAH TIDAK MENCUKUPI
2.1.3. MUTU TIDAK SESUAI
2.2. RISIKO HARGA 2.2.1. PESAING DENGAN BIAYA YANG
RENDAH
2.2.2. SALAH ESTIMASI
2.3. RISIKO PASAR/ 2.3.1. DIKUASAI PRODUK PESAING
PERSAINGAN 2.3.2. SEGMENTASI PASAR TIDAK TEPAT
2.3.3. PRODUK KURANG DIKENAL
2.4. RISIKO PELANGGAN 2.4.1. PELANGGAN TIDAK LOYAL
2.4.2. KETERBATASAN DAYA BELI
2.5. RISIKO PROMOSI 2.5.1. TIDAK TEPAT SASARAN
2.5.2. BIAYA TINGGI
2.6. RISIKO PENGIRIMAN 2.6.1. TERLAMBAT/ TIDAK LANCAR
2.6.2. TERTUNDA
2.6.3. BARANG HILANG/ RUSAK
DIJALAN
2.6.4. KENAIKAN TARIF ANGKUTAN
2.6.5. ALAT ANGKUT TIDAK ADA
2.6.6. ALAT ANGKUT RUSAK
2.7. RISIKO 2.7.1. BARANG HILANG
PENYIMPANAN/ 2.7.2. BARANG RUSAK
GUDANG 2.7.3. KELEBIHAN/KEKURANGAN
STOCK
2.8. RISIKO BONGKAR 2.8.1. BIAYA BONGKAR MUAT TINGGI
MUAT 2.8.2. TINGKAT PENGOSONGAN RENDAH
2.8.3. SUSUT/RUSAK
2.9. RISIKO PENELITIAN 2.9.1. TIDAK AKURAT
PASAR 2.92. WILAYAH PENELITIAN TIDAK
TERWAKILI
2.10. RISIKO ALAM 2.10.1. PERUBAHAN MUSIM
 - 153 -
NO FUNGSI KEGIATAN
.
2.11. RISIKO REGULASI
2.12. RISIKO PELAYANAN
3. KEUANGAN 3.1. RISIKO UTANG/
KREDIT
3.2. RISIKO PIUTANG
3.3. RISIKO ASURANSI
3.4. RISIKO PAJAK
3.5. RISIKO KURS
3.6. RISIKO BUDGETING
3.7. RISIKO PENCATATAN
4. SUMBER 4.1. RISIKO ORGANISASI
DAYA
MANUSIA
4.2. RISIKO REKRUITMEN
4.3. RISIKO MUTASI/
ROTASI/ PROMOSI
4.4. RISIKO PEMBINAAN
& PENGEMBANGAN
4.5. RISIKO
KESEJAHTERAAN
4.6. RISIKO SISTEM &
PROSEDUR
4.7. RISIKO KECELAKAAN
KERJA
5. PENGADAAN 5.1. RISIKO
PROSES/PEMBELIAN
5.2. RISIKO KUALITAS
INDIVIDU
2.10.2. BENCANA ALAM
2.11.1. SUBSIDI DIHAPUS
2.11.2. BATASAN WILAYAH PEMASARAN
2.12.1. KETIDAKPUASAN
2.12.2. REPUTASI PERUSAHAAN BURUK
3.1.1. KENAIKAN TINGKAT SUKU BUNGA
3.1.2. KESULITAN MENCARI SUMBER
DANA
3.2.1. MACET/ TIDAK TERTAGIH
3.2.2. TERLAMBAT BAYAR
3.3.1. MANFAAT TIDAK OPTIMAL
3.3.2. KLAIM LAMA/ SULIT
3.3.3. BIAYA/ PREMI MAHAL
3.4.1. DENDA KETERLAMBATAN
3.4.2. RESTITUSI SULIT/ LAMA
3.5.2. KENAIKAN NILAI KURS
3.6.1. SALAH ESTIMASI
3.6.2. TIDAK TERKENDALI
3.6.3. KETERBATASAN DANA/
ANGGARAN
3.7.1. SALAH CATAT/ POSTING
3.7.2. SALAH PERHITUNGAN
4.1.1. TIDAK IDEAL
4.1.2. BEBAN KERJA TIDAK SEIMBANG
4.2.1. TIDAK AKURAT
4.2.2. PROSES TIDAK OBYEKTIF
4.3.1. TIDAK SESUAI KEAHLIAN
4.3.2. TERDAPAT KESENJANGAN
KOMPETENSI
4.3.3. KECEMBURUAN SOSIAL
4.4.1. PRODUKTIVITAS RENDAH
4.4.2. KOMPETENSI RENDAH
4.4.3. PERILAKU BURUK (LOYALITAS,
KEDISIPLINAN)
4.5.1. KETIDAKPUASAN/ KERESAHAN
4.5.2. PROTES, MOGOK, SABOTASE
4.6.1. KETINGGALAN JAMAN
4.6.2. KESULITAN IMPLEMENTASI
4.6.3. KELEMAHAN PROSEDUR
4.6.4. TIDAK ADA PROSEDUR
4.7.1. JATUH, TERPELESET
4.7.2. KEJATUHAN ALAT
4.7.3. TERJEPIT, TERGILAS, TERGORES,
TERPOTONG
4.7.4. TERKENA BAHAN BERBAHAYA
5.1.1. BARANG YANG DIBUTUHKAN
TIDAK TERSEDIA
5.1.2. KELANGSUNGAN PASOKAN TIDAK
TERJAMIN
5.1.3. PEMBELIAN TERTUNDA
5.1.4. PROSES LAMA
5.2.1. KUALITAS BURUK
 - 154 -

NO FUNGSI KEGIATAN INDIVIDU

.
5.2.2. TIDAK SESUAI SPESIFIKASI
5.2.3. SPESIFIKASI TIDAK STANDAR
5.3. RISIKO HARGA 5.3.1. KENAIKAN HARGA
5.3.2. HARGA MONOPOLI
5.4. RISIKO 5.4.1. TERLAMBAT
PENGIRIMAN/ 5.4.2. TIDAK SESUAI JADWAL
KEDATANGAN 5.4.3. BARANG HILANG/ RUSAK
5.5. RISIKO 5.5.1. TARIF ANGKUTAN NAIK
TRANSPORTASI 5.5.2. SULIT MENCARI ALAT ANGKUT
5.5.3. ANGKUTAN KURANG MEMADAI
5.6. RISIKO PENERIMAAN 5.6.1. VERIFIKASI LAMA/ LAMBAT
5.6.2. VERIFIKASI TIDAK AKURAT
5.7. RISIKO 5.7.1. BARANG HILANG
PENYIMPANAN 5.7.2. BARANG RUSAK
5.7.3. TIDAK TERTATA
5.7.4. KELEBIHAN/KEKURANGAN
PERSEDIAAN

6. HUKUM 6.1. RISIKO PERIJINAN 6.1.1. PENCABUTAN IJIN USAHA

6.1.2. KESULITAN PERIJINAN
6.1.3. TERJADINYA SENGKETA
6.1.4. PENYEROBOTAN ASET
6.2. RISIKO BERPERKARA 6.2.1. PIDANA
6.2.2. KEHILANGAN ASET
6.2.3. DENDA ADMINISTRASI
6.2.4. BIAYA PERKARA TINGGI
6.3. RISIKO 6.3.1. TUNTUTAN/ KLAIM
BERTRANSAKSI 6.3.2. TRANSAKSI BATAL
6.3.3. PERSELISIHAN
6.3.4. REKANAN INGKAR JANJI
6.4. RISIKO 6.4.1. PEMALSUAN PRODUK
PENYIMPANGAN/ 6.4.2. PEMALSUAN IDENTITAS
PENYELEWENGAN 6.4.3. PENYALAHGUNAAN WEWENANG
6.4.4. PENYIMPANGAN PROSEDUR
6.5. RISIKO KEAMANAN 6.5.1. KRIMINALITAS
6.5.2. SABOTASE
6.5.3. PROVOKASI & DEMONTRASI
6.5.4. PENYUSUPAN
6.5.5. TEROR
6.6. RISIKO KOMUNIKASI 6.6.1. KESALAHPAHAMAN
6.6.2. MISI TIDAK SAMPAI

7. SISTEM 7.1. RISIKO HARDWARE 7.1.1. USANG

INFORMASI 7.1.2. RUSAK
7.1.3. TIDAK MEMADAI
7.1.4. HILANG
7.2. RISIKO SOFTWARE 7.2.1. TIDAK SESUAI KEBUTUHAN
7.2.2. KESULITAN PENYESUAIAN
7.3. RISIKO BRAINWARE 7.3.1. JUMLAH TIDAK MEMADAI
7.3.2. KOMPETENSI RENDAH
7.4. RISIKO DATA 7.4.1. TIDAK TERINTEGRASI
7.4.2. TIDAK AKURAT
7.5. RISIKO 7.5.1. GAGAL
IMPLEMENTASI 7.5.2. TIDAK OPTIMAL
7.6. RISIKO 7.6.1. GANGGUAN LISTRIK/DAYA
PENGOLAHAN/ PROSES 7.6.2. GANGGUAN SERVER DARI PIHAK
LUAR
7.7. RISIKO PENYAJIAN/ 7.7.1. TIDAK AKURAT
 - 155 -

NO FUNGSI KEGIATAN INDIVIDU

.
PELAPORAN 7.7.2. TERLAMBAT
7.8. RISIKO KEAMANAN 7.8.1. HILANG DATA
7.8.2. DATA BERUBAH
7.8.3. DATA SULIT DICARI
7.9. RISIKO JARINGAN 7.9.1. TIDAK HANDAL
7.9.2. GANGGUAN ALAT/ SISTEM
KOMUNIKASI

8. PENGEMBA 8.1. RISIKO 8.1.1. SALAH DESAIN

NGAN PERENCANAAN 8.1.2. SALAH ESTIMASI
8.1.3. SALAH PEMILIHAN TEKNOLOGI
8.2. RISIKO 8.2.1. MUNDUR
PELAKSANAAN 8.2.2. TERLAMBAT
8.2.3. GAGAL
8.3. RISIKO 8.3.1. TIDAK EFEKTIF/ LEMAH
PENGAWASAN 8.3.2. TIDAK PROFESIONAL
8.3.3. TIDAK BERMANFAAT

9. PENGAWASA 9.1. RISIKO 9.1.1. TIDAK AKURAT

N PERENCANAAN 9.1.2. TIDAK TEPAT
9.2. RISIKO 9.2.1. TERLALU LAMA
PELAKSANAAN 9.2.2. TIDAK ADA HASIL
9.3. RISIKO EVALUASI 9.3.1. PENGEMBANGAN TEMUAN LEMAH
9.4. PELAPORAN 9.4.1. TIDAK TEPAT WAKTU
9.4.2. TIDAK ADA NILAI TAMBAH
9.5. PEMANTAUAN 9.5.1. TIDAK EFEKTIF
TINDAK LANJUT 9.5.2. TIDAK DILAKSANAKAN
9.6. RISIKO 9.6.1. JADWAL MUNDUR
COUNTERPART 9.6.2. TEMUAN BANYAK
 - 156 -

B. Model Risiko Berdasarkan Kategori Lingkungan, Proses, dan Informasi

untuk Pengambilan Keputusan

Risiko Lingkungan
Pesaing Keinginan pelanggan Inovasi teknologi Sensitivitas Hubungan dengan pemilik
Ketersediaan modal Politik Hukum Peraturan Industri Pasar uang Bencana

Risiko Proses
Operasi Pemberdayaan Keuangan
Kepuasan pelanggan Kepemimpinan Harga Suku bunga
Sumberdaya manusia Kewenangan/batasan Mata uang
Bekal pengetahuan Pelaksanaan oleh pihak lain Ekuitas
Pengembangan produk Insentif kerja Komoditas
Efisiensi Kesiapan untuk berubah Instrumen keuangan
Kapasitas komunikasi
Kesenjangan kinerja Likuiditas Arus kas
Siklus Proses pengolahan/teknologi Biaya oportunitas
Penentuan sumber informasi Konsentrasi
Efektivitas saluran distribusi Relevansi
Kemitraan Integritas Kredit Pelanggaran
Ketaatan Akses Konsentrasi
Gangguan operasi Ketersediaan Pelunasan
Kegagalan produk/jasa Prasarana Jaminan
Aspek lingkungan
Kesehatan dan keselamatan Integritas
Erosi merek
Kecurangan manajemen
Kecurangan pegawai/pihak ketiga
Tindakan melanggar hukum
Penyalahgunaan
Reputasi

Risiko Informasi untuk Pengambilan Keputusan

Proses/operasional Pelaporan Lingkungan/strategis

Penentuan harga produk/jasa Anggaran dan rencana Pemantauan lingkungan
Komitmen perikatan Informasi akuntansi Model operasi
Pengukuran (operasi) Evaluasi pelaporan keuangan Portofolio operasi
Penyesuaian Perpajakan Penilaian
Dana pensiun Struktur organisasi
Evaluasi investasi Pengukuran (strategi)
Pelaporan untuk memenuhi Alokasi sumberdaya
peraturan/undang-undang Perencanaan
Siklus hidup
 Lampiran Pedoman II Nomor 7

CONTOH REGISTER RISIKO

Nama Perusahaan :
Direktorat/Biro/Unit :
Sasaran/Tujuan :
Nama Risiko Nomor
Pengendalian
Indikasi dan Tingkat Tingkat Urutan
No No Sebab Risiko UC/C Dampak Risiko yang Level Risiko
Risiko Pernyataan Likelihood Dampak Prioritas
Ada
Risiko Risiko
(1) (2) (3) (4) (5) (6) (7) (8) (9) (10) (11) = (9)x(10) (12)

1.Kompleksitas Eksternal: Lingkungan UC

alam,perekonomian,
2. Perubahan politik, sosial,teknologi

3. Masalah Internal: SDM, alur C

proses,infrastruktur,
4. Pendapat teknologi
pakar

Disusun oleh : Tanggal :

Direviu oleh : Tanggal :
Keterangan :
UC (Uncontrollable) = Sebab risiko bersumber dari eksternal perusahaan
C (Controllable) = Sebab risiko bersumber dari internal perusahaan
 - 158 -

Nama Sub Judul / Cara Pengisian

Kolom
Nama Perusahaan Diisi dengan nama perusahaan yang akan melakukan identifikasi risiko
Direktorat / Biro / Diisi dengan nama unit kerja yang akan melakukan identifikasi risiko. Unit kerja dimungkinkan pada tingkat direktorat,
Unit Kerja biro, bagian, seksi tergantung pada scope pekerjaan identifikasi risiko di perusahaan
Sasaran / Tujuan Diisi dengan sasaran atau tujuan dari unit kerja yang melakukan identifikasi risiko, yaitu Key Performance Indicator (KPI)
tahun berjalan.
Indikasi risiko Diisi dengan uraian gejala/kondisi/masalah yang dapat menunjukkan adanya suatu peristiwa risiko yang dapat diamati
melalui 4 (empat) hal yaitu;
1. Masalah di masa lalu/ periode berjalan yang mengindikasikan keberadaan suatu risiko pada periode berjalan
2. Perubahan selama periode berjalan yang mengindikasikan keberadaan suatu risiko pada periode berjalan
3.Tingkat kerumitan atas suatu proses operasi yang kompleks
4.Hal-hal yang diidentifikasi oleh para pakar yang mengindikasikan keberadaan suatu risiko pada periode berjalan.
Nama risiko dan Diisi dengan nama risiko dan penjelasan singkat dari nama risiko atau suatu keadaan yang akan timbul dan menghambat
pernyataan risiko pencapaian sasaran/tujuan unit kerja.
Sebab risiko Diisi dengan penyebab yang menimbulkan peristiwa risiko yang bersumber dari eksternal maupun internal perusahaan.
Penyebab dimungkinkan diisi lebih dari satu faktor.
Uncontrollable/ Diisi dengan UC (uncontrollable) bila penyebab timbulnya peristiwa risiko bersumber dari eksternal perusahaan/unit
Controllable kerja. Diisi dengan C (controllable) bila penyebab timbulnya peristiwa risiko bersumber dari internal perusahaan/unit
kerja.
Dampak Diisi dengan akibat yang ditimbulkan karena adanya peristiwa risiko yang harus ditanggung oleh manajemen unit kerja
/perusahaan, seperti; kecelakaan kerja, kerusakan lingkungan, kehilangan reputasi/pelanggan, dan kerugian finansial.
Dampak dimungkinkan diisi lebih dari satu faktor.
Pengendalian Risiko Pengendalian risiko meliputi serangkaian aktivitas – yang berbeda seperti persetujuan, otorisasi, verifikasi, rekonsiliasi,
yang Ada penelaahan kinerja operasi, keamanan aktiva dan pemisahan tugas-tugas. Pengendalian risiko terhadap Sistem Informasi
mencakupi pengendalian umum dan pengendalaian aplikasi. Kolom ini diisi dengan uraian pengendalian risiko yang ada
tersebut.
Tingkat Likelihood Diisi dengan tingkat likelihood terjadinya peristiwa risiko. Pemberian nilai diberikan dengan bobot yang diklasifikasikan
menjadi 5 (lima) kategori, yaitu:
- Nilai 1 bila peristiwa risiko jarang terjadi
 - 159 -

Nama Sub Judul / Cara Pengisian

Kolom
- Nilai 2 bila peristiwa risiko kemungkinan kecil terjadi
- Nilai 3 bila peristiwa risiko kemungkinan sedang terjadi
- Nilai 4 bila peristiwa risiko kemungkinan besar terjadi
- Nilai 5 bila peristiwa risiko hampir pasti terjadi.
Tingkat Dampak Diisi dengan tingkat dampak yang ditimbulkan dari peristiwa risiko. Pemberian nilai diberikan dengan bobot yang
diklasifikasikan menjadi 5 (lima) kategori, yaitu:
- Nilai 1 bila peristiwa risiko berdampak tidak signifikan terhadap sasaran/tujuan perusahaan.
- Nilai 2 bila peristiwa risiko berdampak rendah/sebagian kecil terhadap sasaran/tujuan perusahaan.
- Nilai 3 bila peristiwa risiko berdampak menengah/cukup luas terhadap sasaran/tujuan perusahaan.
- Nilai 4 bila peristiwa risiko berdampak besar/luas terhadap sasaran/tujuan perusahaan.
- Nilai 5 bila peristiwa risiko berdampak dahsyat/sangat luas terhadap sasaran/tujuan perusahaan.
Level Risiko Diisi dengan nilai perkalian bobot likelihood dengan bobot dampak.
Nomor Urutan Diisi dengan nomor urutan level risiko dari terbesar sampai dengan terkecil, merupakan urutan prioritas risiko untuk
Prioritas Risiko ditangani.
 Lampiran Pedoman II Nomor 8

Pengukuran Risiko

Nama Perusahaan :
Direktorat / Biro / Unit :
Tanggal Pengukuran :

Level Risiko
No Nama Risiko
Likelihood Dampak

(1) (2) (3) (4)

Disusun oleh :

Jabatan :

Keterangan :

Level risiko likelihood dan dampak diisi dengan skala 1 s.d 5 sesuai dengan ukuran kriteria
risiko yang disepakati.
 Lampiran Pedoman II Nomor 9

Kompilasi Pengukuran Risiko Setelah Pengendalian

Nama Perusahaan :
Direktorat / Biro / Unit :
Tanggal Kompilasi :

PERHITUNGAN PENGUKURAN RISIKO

No Scoring Peringkat
NAMA RISIKO Nama Nama Nama Nama Nama
Risiko Risiko
Personil Personil Personil Personil Personil Total Rata-Rata
Like Dam Like Dam Like Dam Like Dam Like Dam Like Dam Like Dam
(1) (2) (3) (4) (5) (6) (7) (8) (9) (10) (11) (12) (13) (14) (15) (16) (17) (18)

Keterangan :

Like = Likelihood
Dam = Dampak

Level risiko likelihood dan dampak diisi dengan skala 1 s.d 5 sesuai dengan ukuran kriteria risiko yang disepakati
 - 162 -

Kompilasi Pengukuran Risiko Setelah Pengendalian

Cara Pengisian

Nama Sub Judul / Cara Pengisian

Kolom
Nama Perusahaan Diisi dengan nama perusahaan yang akan melakukan pengukuran risiko

Direktorat / Biro / Unit Diisi dengan nama unit kerja yang akan melakukan pengukuran risiko. Unit kerja dimungkinkan pada tingkat
Kerja direktorat, biro, bagian, seksi tergantung pada scope pekerjaan pengukuran risiko di perusahaan

Tanggal Pengukuran Risiko Diisi dengan tanggal pengukuran risiko dilakukan

Nama Risiko Diisi dengan nama-nama risiko yang telah diidentifikasi

Nama Personil dan Diisi nama-nama personil dalam suatu Unit Kerja atau Fokus Group yang melakukan pengukuran risiko atau
Likelihood/Dampak memberikan bobot nilai likelihood dan dampak risiko. Setiap personil memberikan bobot nilai likelihood dan dampak
berkisar 1 sampai dengan 5.

Total Nilai Likelihood dan Diisi dengan total nilai dari penjumlahan bobot nilai likelihood dan dampak risiko dari seluruh personil yang
Dampak melakukan pengukuran risiko dalam satu unit kerja atau fokus group.

Rata-rata Nilai Likelihood Diisi dengan rata-rata nilai likelihood dan dampak risiko, yang diperoleh dari pembagian total nilai likelihood dan
dan Dampak dampak dengan jumlah personil yang melakukan pengukuran risiko dalam satu nit kerja atau fokus group.

Scoring Diisi dengan perkalian antara rata-rata nilai likelihood dengan rata-rata nilai dampak setiap risiko.

Peringkat Risiko Diisi dengan nomor urut peringkat risiko berdasarkan urutan nilai scoring risiko.
 - 163 -

Lampiran Pedoman II Nomor 10

Daftar Prioritas Risiko

Nama Perusahaan :
Direktorat / Biro / Unit :
Tanggal Prioritasi Risiko :

Level Risiko Score Risiko

No Nama Risiko
Likelihood Dampak

(1) (2) (3) (4) (5)

Disusun oleh :

Jabatan :

Keterangan :
Nama risiko diisi secara berurutan sesuai dengan mulai dari risiko yang mempunyai level tertinggi sampai dengan terendah.
 - 164 -

Daftar Prioritas Risiko

Cara Pengisian

Nama Sub Judul / Cara Pengisian

Kolom
Nama Perusahaan Diisi dengan nama perusahaan yang akan melakukan prioritisasi risiko.

Direktorat / Biro / Unit Diisi dengan nama unit kerja yang akan melakukan prioritisasi risiko. Unit kerja dimungkinkan pada tingkat direktorat,
Kerja biro, bagian, seksi tergantung pada scope pekerjaan prioritisasi risiko di perusahaan.

Tanggal Pengukuran Diisi dengan tanggal pengukuran risiko dilakukan

Risiko

Nomor Diisi dengan nomor urutan risiko berdasarkan prioritas risiko.

Nama Risiko Diisi dengan nama-nama risiko yang telah diidentifikasi disusun berdasarkan prioritas risiko.

Level Risiko Likelihood Diisi dengan rata-rata bobot nilai likelihood dan rata-rata bobot nilai dampak yang diperoleh dari Formulir Pengukuran
dan Dampak Risiko.

Score Risiko Diisi dengan perkalian rata-rata bobot nilai likelihood dan rata-rata bobot nilai dampak. Hasil perkalian nilai likelihood
dengan dampak berada antara 1 sampai dengan 25.
 - 165 -

Lampiran Pedoman II Nomor 11

PETA RISIKO
Nama Perusahaan: ………………………………………………….

Hampir pasti (5)

Kemungkinan besar (4)

Kemungkinan sedang
(3)

Kemungkinan kecil (2)

Jarang (1)

Tidak Rendah Menengah Besar Dahsyat

Signifikan
(1) (2) (3) (4) (5)

DAMPAK
 - 166 -

Contoh Level Risiko Setelah Pengendalian

No Nama Risiko Tingkat Likelihood Tingkat Dampak Level Risiko Keterangan

1 Risiko ijin ekspor terganggu 4 4 16 Ekstrim

2 Risiko terganggunya arus kas 4 3 12 Tinggi
3 Risiko mesin produksi rusak 4 3 12 Tinggi
4 Risiko pasokan gas terganggu 3 3 9 Sedang
5 Risiko kelebihan produk 3 3 9 Sedang

Keterangan warna
1. Warna merah untuk Risiko Ekstrim
2. Warna orange untuk Risiko Tinggi
3. Warna kuning untuk Risiko Sedang
4. Warna hijau untuk Risiko Rendah
 - 167 -

Lampiran Pedoman II Nomor 12

Rencana dan Jadwal Penanganan Risiko

Nama Perusahaan :
Direktorat/Biro/Unit :

Person yang
Risiko Peringkat Risiko Hasil Analisis Bagaimana Risiko
Bertanggungjawab Jangka
Menurut Opsi Penanganan Risiko yang Opsi yang Setelah Biaya/Manfaat dan Opsi
Melaksanakan Waktu
Urutan Memungkinkan Dipilih Penanganan A : Diterima Penanganan Risiko
Opsi Penanganan Pelaksanaan
Prioritas Risiko B : Ditolak Dimonitor
Risiko
(1) (2) (3) (4) (5) (6) (7) (8)

Disusun oleh : Tanggal :

Direviu oleh : Tanggal :


Nama Sub Judul / Kolom
Nama Perusahaan
Direktorat / Biro / Unit Kerja
Risiko Menurut Urutan Prioritas
Opsi Penanganan Risiko yang
Memungkinkan
Opsi yang Dipilih
Peringkat Risiko Setelah Penanganan
Risiko
Hasil Analisis Biaya dan Manfaat
Personil yang Bertanggungjawab
Melaksanakan Opsi Penanganan Risiko
Jangka Waktu Pelaksanaan
Bagaimana Risiko dan Opsi Penanganan
Risiko Dimonitor
- 168 -
Cara Pengisian
Diisi dengan nama perusahaan yang akan melakukan penentuan respon risiko
Diisi dengan nama unit kerja yang akan melakukan penentuan respon. Unit kerja dimungkinkan pada tingkat
direktorat, biro, bagian, seksi tergantung pada scope pekerjaan penentuan respon risiko di perusahaan
Diisi dengan nomor urutan prioritas risiko yang terdapat pada kolom 1 Formulir Prioritas Risiko
Diisi dengan uraian jenis opsi penanganan risiko yang memungkinkan. Uraian jenis opsi dimungkinkan bisa
lebih dari satu. Opsi penanganan risiko yang memungkinkan dapat dikelompokkan menjadi 4 (empat), yaitu:
1. Menghindari – Tindakan diambil untuk keluar dari aktivitas yang menimbulkan risiko. Menghindari risiko
dapat meliputi keluar dari suatu lini produk, mengurangi ekspansi ke suatu pasar geografis baru, atau menjual
suatu divisi.
2. Mengurangi – Tindakan diambil untuk mengurangi likelihood atau dampak risiko, atau kedua-duanya.
Penanganan risiko ini meliputi keputusan apapun dari berbagai keputusan bisnis harian.
3. Membagi – Tindakan diambil untuk mengurangi likelihood atau dampak risiko dengan memindahkan atau
membagi sebagian risiko. Teknik pembagian risiko yang umum termasuk pembelian produk asuransi,
penyatuan risiko, terlibat dalam transaksi lindung nilai, atau menyerahkan suatu aktivitas kepada pihak ketiga.
4. Menerima – Tidak ada tindakan yang diambil untuk mempengaruhi likelihood atau dampak.
Diisi dengan uraian jenis opsi penanganan risiko yang dipilih.
Diisi dengan peringkat risiko yang diharapkan berkurang setelah penanganan risiko dilakukan, yaitu tinggi,
sedang, dan rendah.
Diisi dengan hasil analisis biaya yang dikeluarkan dari opsi penanganan risiko yang dipilih dengan manfaat yang
akan diperoleh, yaitu nilai kerugian yang dapat dihindari/dikurangi dari risiko yang dapat terjadi.
Diisi dengan nama/Jabatan orang yang bertanggung jawab melaksanakan opsi penanganan risiko.
Diisi dengan batasan / jangka waktu yang diperlukan untuk melaksanakan opsi penanganan risiko.
Diisi dengan cara pemantauan/monitoring atas pelaksanaan opsi penanganan risiko yang dipilih, untuk
mengetahui efektivitas penanganan risiko.
 Lampiran Pedoman II Nomor 13

FORMAT LAPORAN
RISK ASSESSMENT
BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN

LAPORAN HASIL RISK ASSESSMENT

PADA

(NAMA PERUSAHAAN)

Nomor : Lap. xxxx/xxx/ 200x

Tanggal : xx – xx – 200x
 KOP SURAT PERWAKILAN BPKP/DIREKTORAT

Nomor : LAP-……………………….. ………20xx

Lampiran :
Perihal : Laporan Hasil Fasilitasi Risk Assessment
pada PT……………………

Yth. Direktur Utama PT ……………………

di …………………..

Bersama ini kami sampaikan Laporan Hasil Pelaksanaan Fasilitasi Risk

Assessment pada PT …………. periode tahun ……….., dengan uraian sebagai
berikut:

1. Dasar Kegiatan
Kegiatan fasilitasi risk assessment dilaksanakan berdasarkan
a. Surat Direktur ….. PT ……. Nomor………… tanggal ……….. perihal
……………………………
b. Surat Deputi Kepala BPKP Nomor …………….tanggal ………………… hal
……………………..
c. Surat Tugas Direktur/Kepala Perwakilan BPKP Nomor …………… tanggal
…….

2. Tujuan Kegiatan

Menguraikan tujuan kegiatan sebagaimana disepakati kedua belah pihak

yang dituangkan dalam Kerangka Acuan Kerja, misalnya:

Penugasan fasilitasi risk assessment pada PT …… bertujuan untuk:

a. Memberikan pemahaman kepada Tim Counterpart mengenai pengertian
risk assessment, manfaat dan tujuan serta tahapan pelaksanaan risk
assessment.
b. Memberikan workshop untuk simulasi pelaksaaan risk assessment
c. Mendampingi/memfailitasi pelaksanaan risk assessment
d. Mendampingi/memfasilitasi dalam penyusunan laporan risk assessment.

3. Ruang Lingkup Penugasan

PT …………. terdiri atas …. Direktorat dan … Divisi, dengan rincian sebagai
berikut:
a. Direktorat Utama …. Divisi/Departemen
b. Direktorat Umum …..Divisi/Departemen
c. Direktorat Keuangan …..Divisi/Departemen
 Kegiatan fasilitasi dilaksanakan pada …. Divisi/Departemen pada Direktorat
……………..

4. Realisasi Pelaksanaan Kegiatan

Rincian kegiatan yang dilakukan dalam rangka fasilitasi risk assessment
pada PT …………………. sebagai berikut:

a. Workshop risk assessment

Kegiatan ini dilaksanakan untuk memberikan pemahaman mengenai
kegiatan risk assessment. Workshop dilakukan pada tanggal ………. dan
diikuti oleh ………… orang, terdiri atas:
 Kepala Divisi … orang
 Kepala Bagian … orang
 Dst … orang


b. Simulasi pelaksanaan risk assessment

Kegiatan simulasi dilakukan pada tanggal ……………… dan diikuti oleh
…… orang yang nantinya akan bertindak sebagai counterpart / pelaksana
risk assessment di unit kerja

c. Melakukan identifikasi risiko unit kerja

Identifikasi risiko dilakukan pada … unit kerja yang telah ditetapkan
dengan jadual sebagai berikut:

No Tanggal Divisi

d. Mengukur risiko dan menetapkan prioritas risiko

Mengukur risiko dilakukan dengan mengukur likelihood (kemungkinan)
terjadinya risiko dan dampak risiko yang telah diidentifikasi terhadap
pencapaian tujuan perusahaan. Kriteria likelihood dan dampak risiko
harus terlebih dahulu disepakati oleh Tim Counterpart.
Pengukuran risiko dilakukan atas setiap risiko yang telah diidentifikasi,
dan oleh setiap orang yang terlibat dalam pelaksanaan risk assessment.
Selanjutnya manajemen/counterpart menetapkan skor risiko yang
ditetapkan sebagai risiko prioritas bagi perusahaan, dan akan ditetapkan
langkah mitigasinya,
 e. langkah mitigasi atas risiko prioritas
Setelah diperoleh risiko prioritas yang akan dipantau maka dilakukan
fasilitasi untuk menetapkan langkah mitigasi yang paling tepat untuk
menurunkan tingkat skor masing-masing risiko sampai ke level yang
dapat diterima oleh manajemen.

5. Saran
Di bagian ini diuraikan saran kepada manajemen untuk menindaklanjuti dan
memantau hasil risk assessment dan efektivitas langkah mitigasi yang
ditetapkan.
Misalnya:
Kepada Direksi disarankan agar:
a. Memantau risiko prioritas yang telah diidentifikasi dan lefektivitas
angkah mitigasi yang diusulkan dalam menurunkan risiko ke level yang
dapat diterima oleh manajemen
b. Melakukan risk assessment secara berkala, sehingga risk register
perusahaan selalu ter-update sesuai dengan kondisi lingkungan internal
dan eksternal.

6. Lampiran-Lampiran
a. Register Risiko Unit ……………..
b. Register Risiko Unit ……………..
c. Register Risiko Direktorat ……………
d. Peta Risiko Sebelum Langkah Mitigasi
e. Peta Risiko Setelah Langkah Mitigasi

Demikian kami sampaikan. Atas perhatian dan kerjasama yang diberikan kami
ucapkan terima kasih.

Direktur/Kepala
Perwakilan

……………………………
NIP ………………………
 Lampiran Pedoman II Nomor 13

BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN

BPKP PERWAKILAN PROVINSI .............................
Jalan ................... No....... Telp (...) ...............

SURAT PENGANTAR
Nomor : SP-.............../PW...../.../200..

Yth. .........................
.................................
.................................

No Uraian Yang Diserahkan Banyaknya Keterangan

1. Laporan Hasil Risk Assessment 6 eksemplar -

2. Suplemen Laporan Hasil Risk 6 eksemplar -

Assessment

Tanda Terima ........................, ... ........ 200...

Diterima oleh : Tim Risk Assessment BPKP

Nama / NIK :
Tanggal :
Cap Perusahaan :
.......(n a m a).......
NIP. ....................

Perhatian :
Lembar ke-2 setelah ditanda tangani sebagai
tanda terima, mohon dikembalikan ke kantor
Perwakilan BPKP Provinsi ............................

DEPUTI BADAN PENGAWASAN

KEUANGAN DAN PEMBANGUNAN
BIDANG AKUNTAN NEGARA,

BONNY ANANG DWIJANTO

 LAMPIRAN III
PERATURAN DEPUTI
BADAN PENGAWASAN KEUANGAN
DAN PEMBANGUNAN
BIDANG AKUNTAN NEGARA
TENTANG
PEDOMAN PENERAPAN MANAJEMEN
RISIKO DI LINGKUNGAN BADAN
USAHA MILIK NEGARA

PEDOMAN PENILAIAN TINGKAT MATURITAS

PENERAPAN MANAJEMEN RISIKO

BAB I
PENDAHULUAN
A. LATAR BELAKANG
Korporasi merupakan entitas yang berorientasi profit dan bertujuan untuk
memberikan nilai tambah kepada stakeholder-nya. Dalam proses
pencapaian tujuan tersebut, perusahaan dihadapkan pada ketidakpastian,
baik yang bersumber dari faktor internal seperti infrastruktur, proses
bisnis, sumber daya manusia, dan teknologi, maupun dari faktor eksternal
seperti kondisi ekonomi, lingkungan alam, politik, sosial, dan teknologi.
Ketidakpastian dapat menimbulkan risiko yang berpotensi mengurangi
penciptaan nilai atau peluang yang berpotensi meningkatkan kinerja
perusahaan.
Seiring dengan meningkatnya kesadaran bisnis terhadap pentingnya
pengelolaan risiko, maka perusahaan mengembangkan praktik manajemen
risiko. Perusahaan merancang, membangun dan menerapkan manajemen
nrisiko yang efektif dan komprehensif agar lebih antisipatif dan efektif
dalam mengelola risiko yang dihadapi.
Untuk mengetahui kecukupan rancangan dan penerapan manajemen
risiko di korporasi, secara periodik perlu dilakukan penilaian atau
assessment atas tingkat maturitas penerapan manajemen risiko.
Penilaian/assessment manajemen risiko dapat dilakukan oleh Auditor
Internal Perusahaan maupun pihak eksternal Perusahaan. Sesuai
perannya, Auditor Internal Perusahaan dapat melakukan penilaian tingkat
maturitas penerapan manajemen risiko dengan tujuan:
 - menjalankan fungsi assurance dan konsultatif bagi peningkatan proses
pengelolaan risiko secara sistematis, teratur dan menyeluruh;
- menyusun Program Kerja Pengawasan Tahunan (PKPT) yang berbasis
risiko (risk-based audit plan) untuk menetapkan prioritas kegiatan audit
internal dan konsisten dengan tujuan perusahaan.
Assessment tingkat maturitas penerapan manajemen risiko pada BUMN
dapat juga dilakukan BPKP sebagai pihak eksternal perusahaan untuk
memperoleh gambaran mengenai kecukupan rancangan manajemen risiko
dan penerapannya serta memberikan saran perbaikan.
Maturitas risiko dapat menjadi indikator bahwa suatu Perusahaan
memiliki program pengelolaan risiko yang diimplementasikan secara efektif,
komprehensif, berkelanjutan dan merujuk kepada best practice.
Assessment maturitas risiko dalam pedoman ini dirancang untuk menilai
level manajemen risiko dari level dasar (level 1) yang menggambarkan
bahwa manajemen risiko masih diimplementasikan secara ad hoc sampai
dengan level paling advanced (level 5) yang menunjukkan manajemen
risiko sudah diterapkan secara terintegrasi dan holistik dalam proses
bisnis perusahaan. Penilaian/assessment tingkat maturitas penerapan
manajemen risiko menjadi bagian dari suatu siklus yang akan
menghasilkan rencana dan program perbaikan yang berkelanjutan.
Agar kegiatan penilaian/assessment tersebut dapat dilaksanakan dengan
baik dan efektif diperlukan suatu pedoman pelaksanaan yang mengacu
kepada best practice.
Pedoman ini merupakan revisi dari Pedoman Penilaian Manajemen Risiko
yang telah disusun sebelumnya, dengan tools yang dikembangkan
menggunakan pendekatan COSO. Pedoman ini dikembangkan dengan
melengkapi dan memperkaya tools penilaian tingkat maturitas penerapan
manajemen risiko dengan kriteria penerapan manajemen risiko
sebagaimana diuraikan dalam kerangka ISO 31000:2018. Namun
demikian, kriteria assessment yang dikembangkan dalam pedoman ini
bersifat umum, sehingga akan dapat diterapkan untuk pelaksanaan
assessment tingkat maturitas penerapan manajemen risiko pada korporasi
yang menggunakan framework ISO 31000, ERM COSO, ANS/ZS ataupun
pendekatan lainnya.
B. TUJUAN
Pedoman Assessment Tingkat Maturitas Penerapan Manajemen Risiko ini
disusun sebagai panduan Tim BPKP dalam melaksanakan penugasan
assessment kecukupan rancangan dan penerapan manajemen risiko
 perusahaan. Tim BPKP berperan sebagai evaluator independen yang
diminta oleh Manajemen atau Pemegang Saham Perusahaan.
C. RUANG LINGKUP
Ruang lingkup pedoman ini mencakup langkah-langkah yang harus
ditempuh oleh Tim yang ditugaskan untuk melaksanakan assessment
tingkat maturitas penerapan manajemen risiko pada korporasi, mulai dari
tahap perencanaan, tahap pelaksanaan dan tahap pelaporan.
D. SISTEMATIKA PENYAJIAN DAN ALUR PIKIR
Sistematika pedoman meliputi :
Bab I Pendahuluan
Berisi uraian tentang latar belakang, tujuan, ruang lingkup
pedoman, dan sistematika penyajian & alur pikir
penyusunan pedoman.
Bab II Assessment Tingkat Maturitas Penerapan Manajemen Risiko
Berisi pengertian, maksud dan tujuan serta metodologi
assessment maturitas manajemen risiko.
Bab III Langkah Assessment Tingkat Maturitas Penerapan
Manajemen Risiko
Berisi langkah-langkah tahapan dalam pelaksanaan
assessment tingkat maturitas penerapan manajemen risiko
pada setiap tahapan, yang mencakup perencanaan,
pelaksanaan dan pelaporan.
Lampiran Berisi Formulir Kendali Mutu, Scorecard Assessment Tingkat
Maturitas Penerapan Manajemen Risiko, dan Contoh
Laporan Hasil Assessment Tingkat Maturitas Penerapan
Manajemen Risiko
 BAB II
ASSESSMENT TINGKAT MATURITAS PENERAPAN MANAJEMEN RISIKO

A. PENGERTIAN
Assessment tingkat maturitas penerapan manajemen risiko merupakan
kegiatan yang dilakukan oleh manajemen untuk menilai rancangan serta
efektivitas pelaksanaan proses manajemen risiko guna memberikan
keyakinan kepada para stakeholder apakah manajemen risiko telah cukup
memadai dalam mendukung pencapaian tujuan dan sasaran perusahaan.
Assessment atau penilaian tingkat maturitas penerapan manajemen risiko
dilaksanakan oleh Auditor Internal terkait dengan peran dari Auditor
Internal perusahaan, sebagaimana yang tercantum dalam The Professional
Practice Framework-The IIA Research Foundation Tahun 2017:
1. Standar 2120 – Pengelolaan Risiko dinyatakan bahwa “Aktivitas audit
internal harus mengevaluasi efektivitas dan memberikan kontribusi pada
peningkatan proses pengelolaan risiko”.
2. Standar 2120.A1: Aktivitas audit internal harus menguji eksposur risiko
terkait tata kelola, operasi, dan sistem informasi organisasi, mencakup:
 Pencapaian tujuan strategis organisasi;
 Reliabilitas dan integritas informasi keuangan dan operasi;
 Efektivitas dan efisiensi operasi dan program;
 Pengamanan aset; dan
 Ketaatan terhadap hukum, peraturan perundang-undangan,
kebijakan, prosedur dan kontrak.
Auditor Internal membantu manajemen dan komite audit melakukan
pengujian, penilaian, pelaporan dan merekomendasikan perbaikan atas
kecukupan dan efektivitas proses manajemen risiko.
BPKP dapat melaksanakan peran sebagai konsultan independen yang
diminta oleh manajemen atau Pemegang Saham Perusahaan, untuk
melakukan assessment/penilaian atas tingkat maturitas penerapan
manajemen risiko perusahaan.

B. MAKSUD DAN TUJUAN ASSESSMENT TINGKAT MATURITAS PENERAPAN

MANAJEMEN RISIKO
Maksud dan tujuan dilakukan assessment tingkat maturitas penerapan
manajemen risiko adalah untuk:
 1. Menilai kecukupan rancangan dan efektivitas pelaksanaan proses
manajemen risiko.
Penilaian tingkat maturitas penerapan manajemen risiko merupakan
kegiatan yang dilakukan oleh manajemen untuk memberikan keyakinan
kepada para stakeholder apakah rancangan dan efektivitas pelaksanaan
proses manajemen risiko telah mencapai tujuan dan sasaran
perusahaan yang diharapkan.
2. Mengetahui tingkat kematangan manajemen risiko (risk maturity level)
perusahaan.
Tingkat kematangan manajemen risiko menunjukkan indikator level
kualitas praktik manajemen risiko perusahaan yang ada pada saat
assessment tingkat maturitas penerapan manajemen risiko dilakukan.
Manajemen perusahaan perlu mengetahui tingkat kematangan
manajemen risikonya saat penilaian dilakukan dengan tujuan untuk
mengetahui celah antara kondisi tingkat kematangan manajemen risiko
yang ada dengan tingkat kematangan yang diharapkan. Tingkat
kematangan manajemen risiko perlu ditingkatkan secara terus menerus.
3. Sebagai acuan untuk menentukan perencanaan audit dan pendekatan
audit yang akan digunakan oleh Auditor Internal.
Tingkat kematangan manajemen risiko berkaitan erat dengan penentuan
perencanaan audit dan pendekatan audit yang digunakan oleh Auditor
Internal, khsusunya dalam kaitannya dengan penerapan audit internal
berbasis risiko. Perencanaan audit dan pendekatan audit berbasis risiko
belum dapat dilaksanakan secara baik bila tingkat kematangan
manajemen risiko berada dalam tingkat awal (Initial) karena pada kondisi
tersebut Auditor Internal belum dapat mengandalkan hasil manajemen
risiko (profil risiko perusahaan) yang dilakukan oleh manajemen. Pada
kondisi tingkat kematangan awal justru Auditor Internal harus berperan
sebagai fasilitator untuk memperbaiki dan meningkatkan proses
manajemen risiko perusahaan.

C. METODOLOGI ASSESSMENT TINGKAT MATURITAS PENERAPAN

MANAJEMEN RISIKO
1. Kriteria Assessment
Kriteria untuk mengukur/menilai/meng-assess tingkat maturitas
penerapan manajemen risiko dituangkan dalam scorecatd yang terdiri
atas 11 aspek, 43 indikator dan 101 parameter, yang dapat digambarkan
sebagai berikut:
 No Aspek Bobot Jumlah Jumlah
Indikator Parameter
Integrasi 10 2 13
Perancangan Kerangka Kerja 20 5 16
Implementasi, Evaluasi, dan 12 3 8
Perbaikan Kerangka Kerja
Manajemen Risiko
Komunikasi dan Konsultasi 6 3 12
Lingkup, Konteks dan Kriteria 22 13 27
Identifikasi Risiko 6 3 5
Analisis Risiko 5 3 6
Evaluasi Risiko 5 2 2
Perlakuan Risiko 7 5 6
Monitoring dan Reviu 5 3 4
Pelaporan 2 1 2
100 43 101

Setiap aspek/faktor, indikator, dan parameter penerapan manajemen

risiko telah diberi bobot. Bobot merupakan nilai/skor maksimal yang
dapat dicapai dalam setiap parameter, indikator, dan aspek penerapan
manajemen risiko.
Seluruh parameter pada scorecard manajemen risiko harus dinilai
penerapannya pada setiap perusahaan.
Kriteria Assessment/Penilaian Tingkat Maturitas Penerapan Manajemen
Risiko selengkapnya terdapat pada Lampiran 14.
2. Metode Pengumpulan Data
Pengumpulan informasi untuk penilaian/assessment tingkat maturita
penerapan manajemen risiko dilakukan melalui:
a. Reviu dokumen, yaitu mempelajari informasi yang terdapat pada
dokumen yang terkait dengan manajemen risiko untuk dibandingkan
dengan kriteria yang digunakan.
b. Kuesioner, yaitu seperangkat pertanyaan yang telah disusun
sebelumnya dengan tujuan untuk memperoleh informasi yang tidak
dapat diperoleh melalui reviu dokumen ataupun observasi,
pendalaman dan/atau validasi, serta uji silang dari informasi lain
yang sudah diperoleh dari reviu dokumen.
 Ada tiga tipe kuesioner, yaitu:
1) Kuesioner konfirmasi
Kuesioner dengan pilihan jawaban “YA” dan “TIDAK” adalah
pertanyaan pendahuluan untuk mengetahui keberadaan suatu
dokumen. Dengan demikian, pemberian nilai (skor) tetap
didasarkan pada dokumen yang diterima.
2) Kuesioner persepsi
Kuesioner persepsi dengan pilihan jawaban berskala dimaksudkan
untuk mengumpulkan informasi atas implementasi suatu
sistem/kebijakan/ketentuan/SOP/komitmen.
Jawaban yang diberikan responden atas kuesioner persepsi akan
mempengaruhi skor capaian masing-masing parameter.
3) Pertanyaan Terbuka
Pertanyaan terbuka adalah sejumlah pertanyaan berkenaan
dengan permasalahan yang sedang difokuskan dan meminta
responden untuk menguraikan pendapat atau pendiriannya
dengan panjang lebar.
c. Wawancara, yaitu bentuk paling umum dari komunikasi yang
terencana yang berfungsi sebagai alat penguji kebenaran terhadap
data/informasi yang diperoleh dari alat-alat lainnya (reviu dokumen,
kuesioner, dan observasi), alat untuk mencari informasi pelengkap
(metode pelengkap), dan dapat berfungsi sebagai satu-satunya alat
pengumpul data utama (metode primer).
d. Observasi, yaitu melakukan pengamatan langsung terhadap
pelaksanaan/ kondisi di lapangan untuk menguji pemenuhan kriteria
tertentu.
Metode perolehan data yang diperlukan untuk menilai pemenuhan
parameter dapat dilihat di Tabel Scorecard Assessment Tingkat Maturitas
Penerapan Manajemen Risiko (Lampiran 14).
3. Pemberian Nilai/Capaian
Nilai/capaian tingkat matirotas penerapan manajemen risiko dilakukan
dengan memberikan nilai/skor atas pemenuhan masing-masing
parameter.
Penilaian individu paremeter dilakukan dengan cara berikut:
a. Tahap pertama, analisis kecukupan pelaksanaan manajemen risiko,
dengan melakukan hal-hal berikut:
1) Penilaian kecukupan penerapan manajemen risiko oleh korporasi
diberikan pada parameter dengan memperhatikan kesesuaian
 kondisi di korporasi dengan kriteria yang ditetapkan dalam
scorecard.
Assessor harus memperhatian panduan yang telah diberikan
dalam scorecard terkait metode perolehan informasi yang tepat
untuk masing-masing parameter..
2) Skor capaian diberikan kepada masing-masing parameter,
disesuaikan dengan tingkat pemenuhan yang ada atas kriterianya.
Level pemeunhan yang dapat diberikan adalah
1 : Kondisi yang ada telah sepenuhnya sesuai dengan
kriteria
0.75 : Kondisi yang ada sebagian besar telah memenuhi
kriteria
0.5 : Kondisi yang ada sebagian telah memenuhi kriteria
0.25 : Kondisi yang ada sebagian kecil telah memenuhi
kriteria
0 : Kondisi yang ada tidak memenuhi kriteria yang
ditetapkan

b. Nilai Indikator
Nilai capaian setiap indikator merupakan jumlah dari nilai capaian
(tertimbang) seluruh parameter dalam indikator yang bersangkutan.
c. Nilai Aspek
Nilai capaian masing-masing Aspek merupakan jumlah dari nilai
capaian seluruh indikator dalam aspek yang bersangkutan.
d. Nilai Akhir
Nilai akhir adalah penjumlahan seluruh nilai keseluruhan dari 13
Aspek tingkat maturitas penerapan manajemen risiko, sehingga
diperoleh nilai skor keseluruhan dan selanjutnya memberikan
predikat/level sesuai peringkat yang ditetapkan.
4. Hasil Assessment
Hasil assessment akan menunjukkan tingkat kematangan manajemen
risiko di perusahaan yang dibagi ke dalam 5 (lima) kategori, yaitu Initial,
Repeatable, Defined, Managed, dan Optimised dengan nilai capaian
sebagai berikut:
No. Tingkat Kematangan Nilai Capaian
1. Initial < 50
2. Repeatable 50 < x < 60
 3. Defined 60 < x < 75
4. Managed 75 < x < 85
5. Optimised 85 < x < 100

Tingkat kematangan manajemen risiko tiap kategori tersebut dapat

dijelaskan sebagai berikut:
a. Tingkat Kematangan Initial adalah kondisi dimana manajemen risiko
perusahaan belum memiliki pendekatan formal dalam penerapan
manajemen risikonya. Manajemen risiko masih bersifat adhoc dan
fungsi mengelola risiko dilakukan secara individual serta masih
bersifat reaktif terhadap suatu peristiwa.
b. Tingkat Kematangan Repeatable adalah kondisi dimana manajemen
risiko perusahaan telah memiliki kebijakan penerapan manajemen
risiko walaupun substansi belum memadai. Proses manajemen risiko
telah berjalan, namun masih dalam tahap awal. Peran, tanggung
jawab dan wewenang terkait risiko sudah mulai dirancang, namun
akuntabilitasnya masih belum jelas. Data terkait risiko sudah mulai
dibangun, namun proses yang ada masih memperlihatkan
ketidakseragaman atau ketidakkonsistenan diantara unit dalam
perusahaan. Komunikasi antara unit dan fungsi mulai berkembang.
c. Tingkat Kematangan Defined adalah kondisi dimana manajemen
risiko perusahaan telah memiliki kebijakan dan proses manajemen
risiko yang formal. Adanya keseragaman dalam proses manajemen
risiko di seluruh unit perusahaan. Proses manajemen risiko
didokumentasikan. Unit dan pemilik risiko menggunakan proses
manajemen risiko yang telah dirancang, yang meliputi identifikasi
peristiwa risiko, pengukuran risiko, aktivitas pengendalian,
pengkomunikasian, dan pemantauan risiko. Manajemen berkomitmen
untuk mengelola proses manajemen risiko melalui koordinasi lintas
fungsi dan lebih memperkuat dokumentasi pengendalian. Adanya
mekanisme verifikasi untuk meyakinkan kebijakan diikuti dan proses
terlaksana sebagaimana diinginkan. Peran dan tanggung jawab telah
didefinisikan di seluruh organisasi. Laporan yang akurat, dan
metodologi yang mendukung, menambah kejelasan akuntabilitas
manajemen risiko. Sistem sudah dibangun dan relatif lebih stabil dan
akurat.
d. Tingkat Kematangan Managed adalah kondisi dimana manajemen
risiko selain kondisi yang terpenuhi dari tingkat kematangan
 sebelumnya, ditandai dengan adanya tambahan peningkatan dan
keunggulan pada pengukuran yang telah dikuantifikasi dan didukung
analisis yang lebih jelas. Penekanan pada pengukuran dan mengelola
risiko perusahaan secara keseluruhan. Terdapat pemahaman yang
konsisten dan kepatuhan terhadap kebijakan, prosedur dan
metodologi perusahaan, insentif pegawai terkait dengan tujuan dan
strategi perusahaan secara keseluruhan. Proses manajemen risiko
dan outputnya secara kuantitatif telah terdefinisikan dan
dikendalikan. Manajemen membuat keputusan dengan
mempertimbangkan risiko berdasarkan data kuantitatif. Komunikasi
perusahaan secara keseluruhan, kolaborasi dan penyebaran
pengetahuan berjalan dengan efektif. Laporan manajemen risiko
dihasilkan dari sistem informasi yang dibangun perusahaan.
e. Tingkat Kematangan Optimised adalah kondisi dimana manajemen
risiko manajemen risiko dan pengendalian internal telah menyatu
dalam proses bisnis di perusahaan. Tahapan optimised merupakan
tingkat kematangan yang paling tinggi. Tahapan ini secara terus
menerus meningkatkan kapabilitas yang telah dikembangkan selama
tahap sebelumnya. Perusahaan fokus pada peningkatan yang terus
menerus untuk menghilangkan inefisiensi dan diterapkannya analisis
biaya/manfaat pada seluruh praktik manajemen risiko. Secara rutin,
praktik terbaik diidentifikasi dan disebarkan ke organisasi.
Perusahaan sepenuhnya mendukung kebijakan manajemen risiko,
proses manajemen risiko, sumber daya manusia, teknologi dan
pengetahuan. Proses manajemen risiko dilakukan pada level
organisasi, proses dan individu. Adanya inovasi dan peningkatan
budaya secara terus menerus, dengan fokus pada peningkatan
kebijakan, prosedur, metodologi, kompetensi dan sistem.
 BAB III
LANGKAH ASSESSMENT TINGKAT MATURITAS PENERAPAN MANAJEMEN
RISIKO

Pelaksanaan kegiatan assessment tingkat maturitas penerapan manajemen

risiko mencakup tahap perencanaan, tahap pelaksanaan dan tahap
penyusunan laporan. Langkah kerja dari setiap tahapan assessment/penilaian
secara umum disajikan pada Gambar berikut.
GAMBAR
ALUR PIKIR (LOGICAL FRAMEWORK)
PEDOMAN PENILAIAN MATURITAS MANAJEMEN RISIKO

PERENCANAAN PELAKSANAAN PELAPORAN

Mulai
Memaparkan
Mengumpulkan simpulan hasil
Data/Informasi assessment kepada
Direksi
Menyusun
Program Kerja,
Time Schedule
dan Pembagian Menyusun Laporan
Tugas Mengolah Data hasil Assessment
Maturitas
Manajemen Risiko

Melakukan
Pemaparan Awal
Kepada Komisaris Membuat Simpulan
Direksi dan Jajaran Mendistribusikan
Hasil Penilaian
Manajemen Laporan Penilaian
Maturitas
Manajemen Risiko

Komunikasi dengan
Tim Counterpart
untuk
menyamakan Memaparkan Hasil
persepsi dan Penilaian kepada
kelancaran Tim Counterpart Selesai
pelaksanaan
assessment
Langkah kerja pada masing-masing tahapan dapat dirinci sebagai berikut:
A. Tahap Persiapan/Perencanaan
No Uraian Kegiatan
1. Tim memperoleh data umum perusahaan, menyiapkan materi
untuk pemaparan awal/entry meeting, daftar permintaan
dokumen, program kerja, pembagian tugas dan jadual
pelaksanaan setiap langkah kerja.
Contoh jadual/langkah kerja dan pembagian tugas terdapat pada
Lampiran 1 dan Lampiran 2.
2. Pemaparan awal/entry meeting kepada Direksi, Dewan Komisaris,
jajaran manajemen yang mewakili dan Tim Counterpart. Pada
langkah ini disampaikan perlunya komit.men dari seluruh unsur
perusahaan untuk kelancaran pelaksanaan tugas
3. Membahas rencana kerja dengan Tim Counterpart untuk
menyamakan persepsi dan menyesuakan jadual pelaksanaan
kegiatan assessment.

B. Tahap Pelaksanaan
No Uraian Kegiatan
1. Pengumpulan Data/Informasi
Dapatkan data/informasi tentang manajemen risiko yang ada di
perusahaan/unit dalam rangka pengujian pemenuhan kriteria
dari setiap aspek yang dinilai di setiap komponen manajemen
risiko. Pengumpulan data/informasi diperoleh dengan cara reviu
dokumen, kuesioner, wawancara, dan observasi.
a. Reviu Dokumen
Reviu dokumen merupakan langkah pertama pengumpulan
data/informasi yang diperlukan, sebelum menggunakan cara
lainnya.
1) Tentukan dokumen yang diperlukan terkait dengan
informasi yang diperlukan untuk pemenuhan kriteria
tersebut.
2) Susun daftar permintaan dokumen yang diperlukan dengan
ditandatangani oleh Ketua Tim dan sampaikan kepada Tim
Counterpart.
Contoh Formulir Daftar Permintaan Dokumen lihat Lampiran
3.
No Uraian Kegiatan
3) Lakukan monitoring penerimaan dokumen dengan
menggunakan Formulir Monitoring Penerimaan Dokumen
yang terdapat pada Lampiran 4.
4) Reviu dan analisis dokumen yang telah diperoleh dan buat
simpulannya.
Simpulan tersebut setidaknya mencakup:
a) Penjelasan mengenai pemenuhan suatu kriteria yang
dinilai, baik dari segi muatan/substansinya maupun
keberadaannya, berdasarkan data yang ada dalam
dokumen.
b) Data lain yang masih diperlukan dengan validasi lebih
lanjut melalui kuesioner, wawancara atau observasi.
5) Dokumentasikan analisis yang dilakukan dan simpulan hasil
reviu dokumen ke dalam Formulir Kertas Kerja Reviu
Dokumen yang terdapat pada Lampiran 5.
6) Buat simpulan dari setiap pemenuhan kriteria dan tentukan
kriteria mana yang masih memerlukan validasi lebih lanjut
melalui kuesioner, wawancara atau observasi serta
dituangkan dalam kertas kerja reviu dokumen.
b. Kuesioner
Gunakan teknik pengumpulan informasi melalui kuesioner jika
informasi tidak dapat/tidak cukup diperoleh melalui reviu
dokumen.
Langkah penyusunan kuesioner adalah sebagai berikut:
1) Tentukan permasalahan yang akan diuji dan data/informasi
yang diperlukan untuk memenuhi kriteria yang dimaksud.
2) Tentukan jenis kuesioner yang akan digunakan. Jenis
kuesioner yang dapat digunakan adalah kuesioner dengan
pertanyaan tertutup, pertanyaan terbuka, pertanyaan
dengan jawaban berskala.
Contoh Kuesioner Assessment tingkat maturitas penerapan
manajemen risiko terdapat pada Lampiran 6.

a) Pertanyaan Tertutup
Pertanyaan tertutup terdiri dari pertanyaan atau
pernyataan dengan sejumlah jawaban tertentu sebagai
No Uraian Kegiatan
pilihan. Responden akan memberikan jawaban yang
paling sesuai dengan pendapatnya.
Gunakan kuesioner dengan pertanyaan atau pernyataan
tertutup jika:
 Evaluator dapat mengantisipasi atau meramalkan
lebih dahulu jawaban yang akan keluar;
 Responden cukup mengetahui permasalahan;
 Lebih besar harapan bahwa kuesioner itu diisi dan
dikembalikan bila kuesioner diajukan dengan
pertanyaan tertutup;
 Ada hal-hal yang mudah dikategorisasikan.
b) Pertanyaan Terbuka
Pertanyaan terbuka adalah sejumlah pertanyaan
berkenaan dengan permasalahan yang sedang
difokuskan dan meminta responden untuk menguraikan
pendapat atau pendiriannya dengan panjang lebar.
Gunakan kuesioner dengan pertanyaan terbuka jika:
 Evaluator ingin memberi kesempatan penuh kepada
responden untuk memberi jawaban secara bebas
menurut apa yang dirasa perlu olehnya;
 Evaluator ingin memperluas pandangan dan
pengertiannya;
 Evaluator tidak dapat mengantisipasi jawaban karena
sulit untuk memasukkan dalam sejumlah kategori,
atau evaluator belum mengenal populasi yang sedang
diselidiki.
Contoh pertanyaan terbuka:
Bagaimana langkah atau proses yang dilakukan
manajemen dalam menetapkan toleransi risiko untuk
masing-masing target kinerja yang ditentukan?
c) Pertanyaan dengan Jawaban Berskala
Pertanyaan dengan jawaban berskala adalah sejumlah
pertanyaan atau pernyataan dengan jawaban yang
menunjukkan tingkatan intensitas sikap yang dapat
diberikan oleh responden.
Gunakan kuesioner dengan pertanyaan berskala jika
No Uraian Kegiatan
jawaban dapat ditunjukkan dalam tingkatan intensitas
sikap dan pemahaman yang dimiliki responden.
Contoh pertanyaan dengan jawaban berskala:
Beri pendapat atas pernyataan berikut ini:
Perilaku Direksi saat ini telah mencerminkan sosok ideal
yang menjadi contoh teladan/panutan bagi insan
perusahaan.
1 = Sangat tidak setuju
2 = Tidak setuju
3 = Netral
4 = Setuju
5 = Sangat setuju
3) Rumuskan pertanyaan atau pernyataan dengan
memperhatikan hal-hal sebagai berikut:
 Gunakan bahasa sederhana yang mudah dipahami oleh
responden.
 Hindari istilah teknis yang mungkin tidak dipahami.
 Pilih kata-kata yang mengandung arti yang sama bagi
semua orang.
 Hindari kalimat panjang yang sulit dipahami oleh
responden.
 Masukkan hanya satu pokok pikiran dalam tiap
pertanyaan.
 Pertimbangkan apakah diperlukan lebih dari satu
pertanyaan untuk sasaran tertentu.
 Pertanyaan dan topik hendaknya diatur dalam urutan
yang sedemikian rupa sehingga responden melihat
hubungannya, memahami maknanya dan lebih senang
menjawabnya.
 Pertanyaan jangan menimbulkan rasa kecurigaan atau
rasa takut apabila jawabannya dapat membahayakan
atau merusak kedudukan responden.
4) Tentukan jenis responden dan jumlah (sample) responden
yang mewakili dari setiap populasi responden. Penentuan
jumlah (sample) responden dari suatu populasi dilakukan
dengan alat bantu Tabel Krejcie dan Morgan dengan tingkat
No Uraian Kegiatan
keyakinan 95%, yang terdapat pada Lampiran 7
5) Buat surat pengantar kuesioner. Contoh Formulir Surat
Pengantar Kuesioner lihat Lampiran 8.
Surat pengantar berisi informasi yang menunjukkan
maksud penyebaran kuesioner, jangka waktu pengisian dan
pengembalian kuesioner.
6) Perbanyak/gandakan kuesioner.
Hal yang perlu diperhatikan sebelum kuesioner diperbanyak
adalah:
 Pilih tipe huruf yang menarik dan mudah dibaca.
 Buat kuesioner dalam tampilan yang menarik.
 Beri judul/kategori responden untuk setiap jenis
responden. Contoh kategori responden: Komisaris,
Direksi, Kepala Departemen, SPI, Sekretaris Perusahaan,
Komite Audit, Pegawai, dan sebagainya.
 Beri nomor halaman dan jumlah halaman dalam satu set
kuesioner yang dibuat. Contoh: 1/5, dimaksudkan
sebagai halaman ke satu dari 5 halaman dari satu set
kuesioner.
 Lampirkan surat pengantar.
7) Distribusikan/sebarkan kuesioner kepada para responden
dan buat daftar penerima kuesioner.
Agar pengisian dan pengembalian kuesioner lebih efektif --
khususnya responden pegawai dan manajer -- maka
sebaiknya responden dikumpulkan dalam waktu dan
tempat yang sama.
8) Kumpulkan hasil kuesioner dengan mengelompokkannya
berdasarkan jenis responden dalam bundel/ordner
penyimpan kuesioner.
9) Buat daftar pengembalian kuesioner dan hitung tingkat
pengembalian kuesionernya. Contoh Formulir Kertas Kerja
Monitoring Pengembalian Kuesioner lihat Lampiran 9.
Jika tingkat pengembalian tidak memenuhi jumlah sample
maka perlu dilakukan penambahan responden. Ulangi
kegiatan penyebaran kuesioner.
10) Tabulasikan hasil kuesioner dengan memperhatikan hal-hal
No Uraian Kegiatan
sebagai berikut:
 Setiap jawaban dikelompokkan berdasarkan kriteria dan
komponen.
 Lakukan validasi dan analisis untuk penentuan skor dan
menyimpulkan hasil kuesioner.
Contoh Formulir Tabulasi Hasil Kuesioner lihat Lampiran
10.
11) Dokumentasikan proses tabulasi dan hasil simpulan
kuesioner dalam Formulir Tabulasi Hasil Kuesioner untuk
menentukan kriteria mana yang pemenuhannya masih
memerlukan pendalaman melalui wawancara dan observasi.
c. Wawancara
Gunakan teknik pengumpulan informasi melalui wawancara
secara terstruktur maupun tidak terstruktur sebagai pelengkap
teknik pengumpulan informasi lainnya dan menguji kuesioner.
1) Wawancara terstruktur
Merupakan wawancara berdasarkan daftar pertanyaan tertulis
yang lebih dulu dirumuskan/disiapkan pewawancara.
2) Wawancara tidak terstruktur (bebas)
Teknik wawancara ini dilakukan tanpa mempersiapkan daftar
pertanyaan sebelumnya, namun sudah memiliki pokok-pokok
penting yang akan dibicarakan sesuai dengan tujuan
wawancara. Pewawancara akan mengajukan pertanyaan yang
berkembang dan dianggap perlu dalam situasi wawancara.
Langkah yang dilakukan dalam mengumpulkan informasi dengan
teknik wawancara adalah:
1) Tentukan topik, permasalahan yang akan dibahas dalam
wawancara.
2) Rumuskan/susun sejumlah pertanyaan secara tertulis
untuk wawancara yang terstruktur.
3) Tentukan jenis dan jumlah responden yang akan
diwawancarai.
4) Buatkan surat permintaan kesediaan waktu untuk
diwawancara kepada calon responden yang memuat jadwal
waktu dan tempat wawancara secara tertulis.
5) Kirimkan surat permintaan kesediaan wawancara kepada
No Uraian Kegiatan
calon responden melalui Tim Counterpart dengan
melampirkan topik permasalahan yang akan dibahas untuk
wawancara yang tidak terstruktur atau lampirkan daftar
pertanyaan untuk wawancara yang terstruktur.
6) Lakukan wawancara sesuai jadwal yang telah disepakati.
Dalam melakukan wawancara perlu diperhatikan hal-hal
sebagai berikut:
 Bila responden wawancara adalah Direksi dan Komisaris,
sebaiknya Tim didampingi oleh Pembantu Penanggung
Jawab.
 Hadir sebelum waktu yang dijadwalkan.
Sebaiknya menggunakan alat perekam suara (tape recorder),
dengan terlebih dahulu meminta persetujuan/ijin dari
responden.
7) Buat notulen hasil wawancara dan sampaikan kembali
kepada responden untuk validasinya dengan menetapkan
batas waktu pengembalian.
8) Simpulkan hasil wawancara dalam Formulir Kertas Kerja
Wawancara yang terdapat pada Lampiran 11.
d. Observasi
Gunakan teknik pengumpulan informasi observasi jika
diperlukan.
1) Tentukan tujuan, apa/siapa yang akan diobservasi,
informasi apa yang perlu dikumpulkan, tempat dan waktu
dilakukannya observasi
2) Dapatkan ijin/persetujuan dari pihak yang terkait dengan
pelaksanaan observasi.
3) Catat proses dan hasil/simpulan observasi dalam
dokumentasi Formulir Kertas Kerja Observasi yang terdapat
pada Lampiran 12. Dokumentasi dapat dibantu dengan
menggunakan kamera, recorder, dan lain-lain.
2. Pengolahan Data
a. Kumpulkan, tabulasikan dan analisis data yang telah
diperoleh dari reviu dokumen, kuesioner, wawancara, atau
observasi untuk mendapatkan simpulan hasil penilaian.
b. Tabulasi Data Reviu Dokumen
No Uraian Kegiatan
Beri nilai pemenuhan setiap kriteria dari reviu dokumen
yang telah dilakukan. Nilai diberikan antara 0 sampai
dengan 1 sesuai dengan tingkat pemenuhan dari setiap
kriteria dalam scorecard penilaian.
c. Tabulasi Data Kuesioner
1) Pertanyaan tertutup
 Beri nilai untuk setiap jawaban.
- Untuk jawaban Y/T maka skor nilai berdasarkan
mayoritas jawaban. Jika mayoritas menjawab Y
maka nilainya adalah 1, sebaliknya jika
mayoritas menjawab tidak, nilainya adalah 0.
- Untuk jawaban Y/BS/T maka skor dilakukan
perhitungan dengan cara membobot masing-
masing jawaban, pembobotan adalah Ya diberi
nilai = 1, Belum Sepenuhnya diberi nilai = 0.5,
Tidak diberi nilai = 0
- Untuk jawaban pilihan seperti a, b, c, beri kode
a=1, b=2, c=3.
 Perhitungan dilakukan berdasarkan jawaban yang
valid.
2) Pertanyaan dengan jawaban berskala 1 sampai dengan
5.
Contoh:
Bagaimanakah kualitas pengawasan yang dilakukan
oleh Dewan Komisaris atas pelaksanaan manajemen
risiko perusahaan?
Pilihan jawaban:
- skala 1 = tidak baik
- skala 2 = kurang baik
- skala 3 = cukup baik
- skala 4 = baik
- skala 5 = sangat baik
 Hitung jawaban yang valid, misal yang menjawab
- skala 1 = 15 responden
- skala 2 = 35 responden
- skala 3 = 47 responden
No Uraian Kegiatan
- skala 4 =12 responden
- skala 5 = 3 responden
 Simpulkan hasilnya dengan cara mengalikan bobot
dengan jumlah setiap skala yang dipilih responden,
jumlahkan hasilnya dan bagi dengan jumlah
responden.
Contoh:
- jawaban skala 1, bobotnya = 0%
- jawaban skala 2, bobotnya = 25%
- jawaban skala 3, bobotnya = 50%
- jawaban skala 4, bobotnya = 75%
- jawaban skala 5, bobotnya =100%
Simpulan: (15x0%)+(35x25%)+(47x50%)+(12x75%)+
(3x100%)/112=44.25/112=39.50%.
Jadi kualitas pengawasan yang dilakukan oleh
Dewan Komisaris atas pelaksanaan manajemen
risiko perusahaan berkisar antara kurang baik
sampai cukup baik. (Skala 2-3).
3) Pertanyaan terbuka
Buat kesimpulan berdasarkan mayoritas jawaban yang
sama.
d. Tabulasi Data Wawancara
1) Untuk kriteria yang hanya dapat dipenuhi dari hasil
wawancara: simpulkan berdasarkan jawaban mayoritas.
2) Untuk hasil wawancara sebagai validasi dari metode
sebelumnya:
 Hasil wawancara menguatkan simpulan kuesioner,
jika jawaban wawancara dan kuesioner konsisten.
 Jika jawaban wawancara dan kuesioner saling
bertentangan maka jawaban wawancara telah
mengoreksi hasil kuesioner.
e. Tabulasi Data Observasi
Simpulkan hasil observasi yang telah dilakukan. Simpulan
yang diperoleh akan menguatkan hasil dari metode
pengumpulan data lainnya.
3. Pembuatan Simpulan Hasil Penilaian
No Uraian Kegiatan
a. Terhadap seluruh data/informasi yang diperoleh dari reviu
dokumen, kuesioner, wawancara, dan observasi, lakukan
analisis dan simpulkan tingkat capaian dari setiap
pemenuhan kriteria yang ada. Dokumentasikan kegiatan
ini dalam Formulir Kertas Kerja Penilaian Simpulan
Pemenuhan Kriteria yang terdapat pada Lampiran 13.
Selanjutnya hasil simpulan setiap data yang diperoleh
melalui reviu dokumen, kuesioner, wawancara, dan
observasi dikompilasi ke dalam Formulir Scorecard
Penilaian tingkat maturitas penerapan manajemen risiko.
b. Lakukan analisis terhadap seluruh data yang dikumpulkan
untuk menyimpulkan skor capaian dari setiap kriteria per
aspek penilaian yang ada. Capaian kriteria diberikan sesuai
dengan tingkat pemenuhannya, yaitu antara 0 sampai
dengan 1 dengan berpedoman pada Tabel Kriteria Maturity
Level yang terdapat pada Lampiran 14.
c. Cantumkan capaian kriteria yang diberikan pada Formulir
Scorecard Penilaian tingkat maturitas penerapan
manajemen risiko.
d. Cantumkan capaian kriteria ke dalam kolom 9 pada
Formulir Ringkasan Perhitungan Nilai Maturity Level
Penilaian tingkat maturitas penerapan manajemen risiko.
e. Kalikan bobot masing-masing kriteria dengan tingkat
capaiannya untuk mendapatkan skor/nilai dari setiap
kriteria.
f Tentukan kategori tingkat maturity level yang dicapai
perusahaan berdasarkan perhitungan pada langkah h di
atas.
Lakukan reviu atas simpulan hasil penilaian beserta
dokumentasi kertas kerja penilaian secara berjenjang.
4. Pembahasan dengan unit terkait
Lakukan pembahasan hasil penilaian dengan unit terkait
bersama/didampingi Tim Counterpart untuk memperoleh respon,
masukan dan konfirmasi sebelum merangkum hasil penilaian
secara keseluruhan guna dipaparkan/dikomunikasikan kepada
Komisaris dan Direksi
 No Uraian Kegiatan
5. Pemaparan Hasil Penilaian
a. Kompilasikan bahan pemaparan dari anggota tim dan
siapkan satu bahan pemaparan hasil penilaian untuk
memperoleh umpan balik atau konfirmasi atas hal-hal
tertentu yang mungkin masih memerlukan validasi atas
simpulan sementara dari Komisaris, Direksi dan jajaran
manajemen.
Materi pemaparan minimal memuat informasi sebagai
berikut:
 Latar belakang dan dasar penugasan
 Pengertian dan tujuan penilaian maturitas manajemen
risiko
 Metodologi yang digunakan
 Hasil penilaian dan rekomendasi perbaikan
c. Buat surat pengantar/memo rencana pemaparan.
d. Sampaikan surat pengantar/memo rencana pemaparan
kepada tim counterpart untuk diteruskan kepada Komisaris,
Direksi beserta jajaran manajer kunci. Koordinasikan dan
sampaikan materi pemaparan hasil penilaian.
e. Lakukan pemaparan hasil penilaian kepada pejabat/peserta
yang diundang. Pemaparan dilakukan dalam durasi
minimal 20-30 menit dilanjutkan dengan tanya jawab
selama 30-60 menit untuk memperoleh respon dan
klarifikasi.

C. TAHAP PELAPORAN

No Uraian Kegiatan

1. Pemaparan Hasil Penilaian

a. Kompilasikan bahan pemaparan dari anggota tim dan
siapkan satu bahan pemaparan hasil penilaian kepada
Dewan Komisaris, Direksi dan jajaran manajemen.
Pemaparan hasil akhir ini sekaligus merupakan media
untuk memperoleh umpan balik atau konfirmasi atas hal-
hal tertentu yang mungkin masih memerlukan validasi
atas simpulan sementara.
Materi pemaparan minimal memuat informasi sebagai
No Uraian Kegiatan

berikut:
 Latar belakang dan dasar penugasan
 Pengertian dan tujuan penilaian maturitas manajemen
risiko
 Metodologi yang digunakan
 Hasil penilaian dan rekomendasi perbaikan
b. Sampaikan surat pengantar/memo rencana pemaparan
kepada tim counterpart untuk diteruskan kepada
Komisaris, Direksi beserta jajaran manajer kunci.
Koordinasikan dan sampaikan materi pemaparan hasil
penilaian.
c. Lakukan pemaparan hasil penilaian kepada
pejabat/peserta yang diundang. Pemaparan dilakukan
dalam durasi minimal 20-30 menit dilanjutkan dengan
tanya jawab selama 30-60 menit untuk memperoleh respon
dan klarifikasi.
2. Susun draft Laporan Hasil Penilaian tingkat maturitas penerapan
manajemen risiko setelah pemaparan kepada pihak Perusahaan.
3. Distribusikan laporan hasil penilaian kepada Direksi dan
Komisaris Perusahaan.
 Lampiran Pedoman III Nomor 1

Formulir Program Kerja (KM-1)

Minggu
No. Kegiatan I II III IV V VI VII VIII

Persiapan dan
1 pembentukan tim
penilaian
Pembahasan
2 parameter yang
akan digunakan
Penyusunan bahan
3 pemaparan entry
meeting

4 Entry meeting

5 Pembagian tugas

6 Permintaan data
Mereviu dokumen
7
yang diperlukan
8 Pembahasan tim

9 Menyusun
kuesioner
10 Mendiskusikan
responden
Penyebaran
11
kuesioner
12 Tabulasi hasil
kuesioner
13 Menyusun bahan
wawancara
14 Mendiskusikan
responden
Melakukan
15
wawancara
16 Menganalisis hasil
evaluasi
Membuat bahan
17 pemaparan hasil
evaluasi
Memaparkan hasil
18
penilaian
Membuat laporan
19
hasil penilaian

xxxxxxx, xx - xx - 200x

Disetujui Oleh Disiapkan Oleh

Dalnis Ketua Tim

……………………………. ……………………………..
NIP NIP
 Lampiran Pedoman III Nomor 2

Formulir Pembagian Tugas

(KM-2)

Nomor
No Uraian Kriteria Person In Charge Keterangan
Indikator

xxxxxxx, xx - xx - 200x

Disetujui Oleh Disiapkan Oleh

Pengendali Teknis Ketua Tim

……………………………. ……………………………..
NIP . ………………. NIP. ………………..
 Lampiran Pedoman III Nomor 3

Formulir Daftar Permintaan Dokumen (KM-3)

Surat Pengantar Pemintaan Dokumen

……………., xx – xx – 20xx

Kepada Yth:
Ketua Tim Counterpart Penilaian Tingkat Maturitas Penerapan Manajemen
Risiko PT ABC
Di
Tempat

Dengan hormat,

Berdasarkan Surat Tugas ………………… Nomor: ST- xxx/xxxx/x/20xx tanggal

xx – xx – 20xx, Kami akan melakukan penilaian maturitas manajemen risiko
pada PT ABC dengan cara melakukan reviu dokumen. Kami sampaikan Daftar
Dokumen (Terlampir) yang diperlukan untuk mengevaluasi penerapan
manajemen risiko.

Untuk kelancaran pelaksanaan tugas, Kami mengharapkan Dokumen yang

diperlukan dapat disediakan dalam waktu yang tidak terlalu lama, sesuai
dengan jadual yang telah ditentukan.

Atas perhatian dan kerja samanya, Kami ucapkan terima kasih.

Hormat Kami,

Ketua Tim Penilaian BPKP

Nama Ketua Tim

NIP. …………….
 Contoh Daftar Dokumen yang Diperlukan

No Uraian
1 Struktur Organisasi Perusahaan
2 Struktur Unit Kerja Manajemen Risiko
Penetapan Budaya Perusahaan/Aturan Perilaku
RJPP
3 RKAP/RKAT
4 Laporan Tahunan (Annual Report) Perusahaan terbaru/terakhir
5 Laporan Hasil Assessment GCG terbaru/terakhir
6 Kebijakan Manajemen Risiko Perusahaan
7 Pedoman dan Prosedur / Panduan Penerapan MR
8 Laporan Manajemen Triwulanan dan Semesteran
9 Laporan Kinerja Triwulanan dan Semesteran
10 Laporan Internal Audit
11 Roadmap MR
12 Hasil evaluasi kebijakan dan pedoman MR secara berkala
13 Laporan/absensi pelaksanaan sosialisasi kebijakan dan pedoman MR
14 Laporan penerapan/pelaksanaan MR kepada Komisaris
15 Laporan pelaksanaan tindak lanjut atas rekomendasi hasil audit dari
Auditor Internal perusahaan.
16 Rencana kegiatan unit/divisi MR
17 Laporan kegiatan diklat MR/ workshop MR
18 Laporan efektivitas penerapan MR
19 Laporan hasil reviu Kebijakan MR/Pedoman MR/Prosedur MR
20 Revisi Kebijakan MR/Pedoman MR/Prosedur MR
21 SK/ surat penetapan/penunjukan risk owner/PIC seluruh unit
kerja/divisi
22 Dokumen proses MR/ Kertas Kerja Risk Assessment setiap unit kerja/
divisi yang ada di perusahaan (level operasional)
23 Daftar risiko setiap unit kerja/ divisi yang ada di perusahaan (level
operasional)
24 Dokumen proses MR/ Kertas Kerja Risk Assessment perusahaan (level
korporat)
25 Daftar risiko perusahaan (level korporat)
26 Kajian penggunaan teknologi informasi dan komunikasi dalam rangka MR
yang memuat pertimbangan biaya manfaat
No Uraian
27 Hasil reviu efektivitas pemanfaatan TI MR yang dibangun.
28 Hasil reviu atas kualitas data dan informasi yang disajikan, yaitu
memenuhi kriteria akurat, handal, disajikan tepat waktu dan tepat
sasaran.
29 Hasil reviu kontinuitas perolehan data dan informasi dalam keadaan
darurat.
30 Laporan Kejadian Luar Biasa
31 Kebijakan pemeliharaan data dan Bisnis Continuity Plan terkait data
32 Kebijakan berkala mengenai lingkup manajemen risiko yang dilaksanakan
33 Kebijakan reward and punishment bagi pegawai

Catatan:
Daftar ini merupakan data awal yang diperlukan. Dalam proses selanjutnya
dimungkinkan adanya permintaan data tambahan, sesuai dengan
perkembangan proses assessment.
 Lampiran Pedoman III Nomor 4

CONTOH FORMULIR MONITORING PENERIMAAN DOKUMEN (KM-4)

NO DOKUMEN ADA TIDAK DITERIMA

TGL
DEPARTEMEN MANAJEMEN RISIKO
1. Kebijakan Manajemen Risiko
2. POB Manajemen Risiko
3. Juklak Manajemen Risiko
4. Juklak Sistem Manajemen Risiko
5. Dst

UNIT/DEPARTEMEN TERKAIT
1. Dokumen/Kertas Kerja Risk Assessment
2. Hasil Audit SPI
3. Dst
 Lampiran Pedoman III Nomor 5

FORMULIR KERTAS KERJA REVIU DOKUMEN (KM-5)

Disusun Oleh :
Paraf/Tanggal :
Direviu Oleh :
Paraf/Tanggal :

Kriteria dan Nomor Kriteria:

Dokumen yang Direviu:

Isi/Substansi Dokumen:

Simpulan:

Catatan :

Satu Kertas Kerja Reviu Dokumen mencakup penjelasan dari setiap unsur dalam
setiap parameter.
 Lampiran Pedoman III Nomor 6

CONTOH FORMULIR DAFTAR PERTANYAAN

PENILAIAN MATURITAS MANAJEMEN RISIKO (KM-6)

NO NO KA MAN/ MAN
PERTANYAAN JAWABAN KETERANGAN KOM DIR SEKPER SPI KA PEG
URUT REFERENSI KOM KP MR
Beri pendapat atas
1=sangat tidak
pernyataan di bawah ini:
setuju
Perilaku Direksi saat ini
2=Tidak setuju
1 telah mencerminkan 1 2 3 4 5 v v v v v v v v
3=Netral
sosok ideal yang menjadi
4=Setuju
contoh teladan/panutan
5=Sangat Setuju
bagi insan perusahaan
Bagaimana tingkat
pemahaman Bapak/Ibu 1=tidak paham
terhadap risiko yang ada 2=kurang paham
2 di unit kerja Bapak/Ibu ? 1 2 3 4 5 3=cukup paham v v v v v v
4= paham
5=Sangat paham

Dst
1. Tidak pernah
2. kadang-
kadang
3 1 2 3 4 5 v v v v v v
3.cukup sering
4.sering
5.Selalu
Apakah Dewan Komisaris
(melalui Komite Audit)
4 Y T v v v v v v
telah melakukan peran
pengawasan terhadap
 pelaksanaan manajemen
risiko perusahaan?

Apakah peran
pengawasan Dewan
Komisaris tentang
manajemen risiko telah
tercantum secara
formal/tertulis dalam
5 Y T v v v
suatu dokumen,misalnya
Board Manual,Piagam
Komite Audit/Komite
Manajemen Risiko, Job
Description Dewan
Komisaris.
6 Dst

KETERANGAN :
KOM = Komisaris
DIR = Direksi
= Manajer dan/atau key person yang
MAN/KP ditunjuk untuk menjalankan proses
manajemen risiko di unit kerja operasional
KA KOM = Kepala Kompartemen
SEKPER = Sekretaris Perusahaan
SPI = Satuan Pengawas Internal
MAN = Manajer Manajemen Risiko
MR
KA = Komite Audit
PEG = Pegawai
 Lampiran Pedoman III Nomor 7

TABEL
PENENTUAN JUMLAH SAMPEL DARI SUATU POPULASI
DENGAN TARAF KEPERCAYAAN 95 %
(KREJCIE DAN MORGAN 1970)

N Jumlah (s) Jumlah N Jumlah (s) Jumlah N Jumlah (s) Jumlah

anggota anggota anggota anggota anggota anggota
Populasi Sampel Populasi Sampel Populasi Sampel
10 10 220 140 1200 291
15 14 230 144 1300 297
20 19 240 148 1400 302
25 24 250 152 1500 306
30 28 260 155 1600 310
35 32 270 159 1700 313
40 36 280 162 1800 317
45 40 290 165 1900 320
50 44 300 169 2000 322
55 48 320 175 2200 327
60 52 340 181 2400 331
65 56 460 186 2600 335
70 59 380 191 2800 338
75 63 400 196 3000 341
80 66 420 201 3500 346
85 70 440 205 4000 351
90 73 460 210 4500 354
95 76 480 214 5000 357
100 80 500 217 6000 361
110 86 550 226 7000 364
120 92 600 234 8000 367
130 97 650 242 9000 368
140 103 700 248 10000 370
150 108 750 254 15000 375
160 113 800 260 20000 377
170 118 850 265 30000 379
180 123 900 269 40000 380
190 127 950 274 50000 381
200 132 1000 278 75000 382
210 136 1100 285 100000 384
 Lampiran Pedoman III Nomor 8

Formulir Surat Pengantar Kuesioner (KM-7)

Responden Yth.,
Kuesioner ini kami sampaikan sehubungan dengan kegiatan Penilaian Tingkat
Maturitas Penerapan Manajemen Risiko di PT ABC secara menyeluruh.

Kami sangat mengharapkan kerja sama Bapak/Ibu untuk mengisi kuesioner

ini seobyektif mungkin, sesuai dengan pemahaman Bapak/Ibu tentang
pelaksanaan manajemen risiko di perusahaan untuk tahun 20xx.

Kuesioner ini tidak dimaksudkan untuk menilai kinerja secara individual,

tetapi menilai penerapan manajemen risiko di perusahaan secara keseluruhan.

Perlu kami tegaskan bahwa kami menjamin kerahasiaan responden kuesioner

dan hanya akan kami pergunakan semata-mata untuk kepentingan evaluasi.

Kami harap jawaban kuesioner dapat kami terima kembali selambat-lambatnya

pada tanggal xx – xx - 200x melalui Tim Penilaian Maturitas Manajemen Risiko.

Atas perhatian dan kerja samanya, Kami ucapkan terimakasih.

………, xx - xx - 20xx

Penanggung Jawab Tim Penilaian

……………………………..
NIP. ………………..
 Lampiran Pedoman III Nomor 9

Formulir Kertas Kerja Monitoring Pengembalian Kuesioner (KM-8)

Disusun Oleh :
Paraf/Tanggal :
Direviu Oleh :
Paraf/Tanggal :

No Kelompok Populasi Jumlah yang Jumlah Kembali

Responden Disebar
set % set %
1. Komisaris
2. Direksi
3. Kepala
Kompartemen
4. Manajer
5. Pegawai
6. Sekretaris
Perusahaan
7. SPI

Catatan :

- % jumlah yang disebar merupakan persentase perbandingan antara jumlah

kuesioner yang disebar dengan jumlah populasi.

- % jumlah yang kembali merupakan persentase perbandingan antara jumlah

kuesioner yang kembali dengan jumlah populasi.
 Lampiran Pedoman III Nomor 10
Contoh Formulir Tabulasi Hasil Kuesioner (KM-9)

RESPONDEN
KESIMPULAN JAWABAN
JENIS JAWABAN
RESPONDEN
NO
NO dst
URUT PERTANYAAN/PERNYATAAN JAWABAN KOM DIR KAKOM PEG TR TRV KETERANGAN
KRITERIA …
KUES

HASIL
1 2 dst 1 2 dst 1 2 dst 1 2 dst Y BS T 1 2 3 4 5 URAIAN
PERHITUNGAN

(1) (2) (3) (4) (5) (6) (7) (8) (9)

1 Beri pendapat atas pernyataan di bawah ini:
Perilaku Direksi saat ini telah
mencerminkan sosok ideal yang menjadi
role model contoh teladan/panutan bagi Informasi
insan perusahaan sudah
memadai,
tidak
1 2 3 4 5 7 15 67 32 2 125 123 51,42% ada pada skala 3 diperlukan
teknik
pengumpulan
informasi
lainnya.

2 Apakah perusahaan menyediakan

media/sarana untuk memperoleh informasi
yang dapat meningkatkan pengetahuan
Bapak/Ibu dalam mengelola risiko?
Informasi
perlu
ditambah
Y T 35 85 125 120 Tidak
melalui
wawancara
dan observasi

3 Apakah pendelegasian wewenang kebijakan

rencana pengendalian (respon) risiko yang
mencakup pertimbangan tsb diatas Informasi
dilaksanakan secara benar dan disiplin? perlu
ditambah
melalui
Belum
Y BS T 25 75 20 125 120 wawancara
sepenuhnya
kepada Ka
Kom,
Manajer,
Asmen.

4 Dst
Keterangan :

Y : Ya

BS : Belum Sepenuhnya

T : Tidak

Kom : Komisaris

Dir : Direksi

Kakom : Kepala Kompartemen

Peg : Pegawai

TR : Total Responden

TRV : Total Responden Valid

 Lampiran Pedoman III Nomor 11

Formulir Kertas Kerja Wawancara (KM-10)

KKE No :
Nama : Hari/Tanggal :
Interviewee
Jabatan : Tempat :
Interviewee
Nama : Paraf :
Interviewee Interviewer

1. Kriteria dan Nomor Kriteria:…………………………………………………… ….

Pertanyaan: …………………………………………………………………………
Jawaban: ……………………………………………………………………………
Simpulan: ……………………….. …………………………………………………

2. Kriteria dan Nomor Kriteria:…………………………….. ………………………...

Pertanyaan: …………………………………………………………………………
Jawaban: …………………………………………………………………………….
Simpulan: ……………………………………………………………………………

3. Kriteria dan Nomor Kriteria:…………………………….. ………………………...

Pertanyaan: …………………………………………………………………………
Jawaban: …………………………………………………………………………….
Simpulan: ……………………………………………………………………………

Catatan:
Simpulan memuat informasi berkaitan dengan hasil wawancara sesuai
dengan pemenuhan kriteria yang ingin diketahui/divalidasi; satu pertanyaan
mungkin bisa menjawab beberapa kriteria atau sebaliknya, beberapa
pertanyaan hanya berkaitan dengan satu kriteria.
 Kertas Kerja Wawancara (KM-10)

Disusun Oleh :
Paraf & Tanggal :
Direviu Oleh :
Paraf & Tanggal :

TABULASI HASIL WAWANCARA

Responden: Komisaris/Direksi/Kepala
Kompartemen/Manajer/Pegawai/Sekper/SPI

No Uraian Pertanyaan Tanggapan Responden Simpulan

1 2 3 4

Catatan:
Dalam hal wawancara merupakan satu-satunya sumber data, maka simpulan
diambil berdasarkan suara terbanyak.
 Lampiran Pedoman III Nomor 12

Formulir Kertas Kerja Observasi (KM-11)

KKE No :
Disusun Oleh :
Paraf/Tanggal :
Direviu Oleh :
Paraf/Tanggal :

Kriteria dan Nomor Kriteria:

Obyek Observasi:

Lokasi Observasi:

Teknik Observasi:

Simpulan Hasil Observasi:

 Lampiran Pedoman III Nomor 13

FORMULIR KERTAS KERJA EVALUASI

SIMPULAN PEMENUHAN PARAMETER (KM-12)

No KKE
Disusun Oleh :
Paraf/Tanggal :
Direviu Oleh :
Paraf/Tanggal :

Nomor Parameter: Uraian Parameter:

… ……………………………………………………………………
Ref. KKP No.
Simpulan Hasil
Reviu Dokumen:

Ref. KKP No
Simpulan Hasil
Kuesioner:

Ref. KKP No
Simpulan Hasil
Wawancara:

Ref. KKP No
Simpulan Hasil
Observasi:

Simpulan Tetapkan nilai capaian pemenuhan

Pemenuhan parameter disertai dengan penjelasan
Kriteria kesimpulan

Rekomendasi:

Catatan :
Satu Kertas Kerja Simpulan Hasil Penilaian mencakup penjelasan dari setiap
kriteria yang ada dalam satu aspek yang dinilai.
 Lampiran Pedoman III Nomor 14

SCORECARD PENILAIAN TINGKAT MATURITAS PENERAPAN MANAJEMEN RISIKO

ASPEK INDIKATOR PARAMETER URAIAN HASIL EVALUASI

METODE
PEROLEHAN PENJELASAN KESIMPULAN CAPAIAN SKOR
INFORMASI
REVIU
URAIAN BOBOT URAIAN BOBOT URAIAN KUESIONER WAWANCARA OBSERVASI
DOKUMEN

11 12 13 14 15

1 Integrasi 1 Penetapan tujuan, sasaran, dan strategi perusahaan 5,00 1 Perusahaan memiliki RD
10,00 acuan (berupa kebijakan,
pedoman, atau prosedur) -
untuk menetapkan tujuan
dan sasaran.

2 Manajemen RD, K
mengembangkan sasaran
strategis yang selaras -
dengan visi, misi
perusahaan.
3 Sasaran strategis RD, K
perusahaan selaras
dengan tingkat -
pertumbuhan yang ingin
dicapai perusahaan.

4 Sasaran strategis RD, K

perusahaan selaras
dengan besaran risiko -
yang bisa diterima
perusahaan.

5 Sasaran strategis RD
dikomunikasikan kepada -
jajaran manajemen.
6 Capaian sasaran strategis RD
dievaluasi secara berkala. -
7 Perusahaan menetapkan RD, K
strategi yang selaras
dengan sasaran strategis -
yg hendak dicapai.

8 Strategi yang ditetapkan RD, K

telah mempertimbangkan -
risiko.

9 Sasaran strategis telah RD

dijabarkan ke dalam
sasaran yang lebih -
spesifik di tingkat
operasional (cascading).
10 Sasaran tingkat RD
operasional telah
dikomunikasikan ke -
pihak-pihak terkait.
 11 Sasaran operasional telah RD
dilakukan evaluasi secara -
berkala.

2 Akuntabilitas Manajemen Risiko 5,00 12 Perusahaan menetapkan RD Penetapan struktur/peran tersebut bisa dilakukan
struktur/peran yang dalam bentuk kebijakan/prosedur/SK.
bertanggung jawab untuk
-
melaksanakan proses
Manajemen Risiko.

13 Perusahaan menetapkan RD Penetapan struktur/peran tersebut bisa dilakukan

struktur/peran yang dalam bentuk kebijakan/prosedur/SK.
bertanggung jawab untuk
melaksanakan -
pengawasan (oversight)
atas proses Manajemen
Risiko.

2 Perancangan 3 Pemahaman Organisasi 4,00 14 Setiap insan Perusahaan K

Kerangka 20,00 memahami visi dan misi -
Kerja perusahaan.
15 Setiap insan Perusahaan K
memahami tujuan dan
-
sasaran strategis
Perusahaan.
16 Setiap insan di unit kerja K
memahami tujuan dan
sasaran operasional unit -
kerjanya.

17 Perusahaan telah RD
mendefinisikan hubungan
dan kepentingan
lingkungan eksternal
terhadap organisasi,
mencakup:
- lingkungan bisnis
perusahaan,
- lingkungan sosial,
- pemerintah pusat dan -
daerah sebagai regulator,
- faktor budaya,
- situasi
kompetisi/persaingan,
- lingkungan financial,
- unsur politik,
- aspek lainnya yang
relevan dengan jenis
industrinya.
18 Perusahaan telah RD
mendefinisikan hubungan
dan kepentingan
stakeholder internal
perusahaan (stakeholder
internal bagi perusahaan -
antara lain pegawai,
serikat pekerja, komisaris,
komite Manajemen
Risiko, dsb.).
4 Komitmen Penerapan Manajemen Risiko 5,00 19 Perusahaan memiliki RD
Kebijakan Manajemen
Risiko dengan muatan:
- Tujuan penerapan
Manajemen Risiko;
- Kepemimpinan;
- Selera dan Toleransi;
- Budaya risiko;
- Komitmen dan
Organisasi;
- Strategi, rencana/peta -
jalan, pemantauan
berkala;
- Interval waktu
pelaksanaan risk
assessment;
- Evaluasi kematangan
Manajemen Risiko;
- Pengawasan Penerapan
oleh Dekom/Dewas.

20 Perusahaan telah RD
memiliki Buku Panduan
Penerapan Manajemen
Risiko yang mencakup
muatan antara lain:
- Ruang Lingkup;
- Proses Manajemen
Risiko;
- Kategori Risiko;
- Kriteria Risiko Corporate
dan Operasional;
- -
Daftar/Register/Profil/Peta
Risiko;
- Laporan Pengelolaan
Risiko;
- Metode dan teknik
assessment risiko;
- Definisi penanganan
risiko (menghindari,
mengurangi, membagi
dan menerima risiko).
21 Terdapat evaluasi RD
terhadap buku panduan
yang dilakukan secara -
periodik.

22 Sosialisasi Kebijakan dan RD

Buku Panduan
-
Penerapan Manajemen
Risiko.

5 Tata Kelola Risiko 5,00 23 Perusahaan telah RD, K

menerapkan model Three
Lines of Defense dalam -
pengelolaan risiko.
24 Perusahaan telah RD
menetapkan strategi dan
arah penerapan
-
Manajemen Risiko (misal:
road map/master plan
Manajemen Risiko).
25 Perusahaan telah RD, K
mengintegrasikan proses
Manajemen Risiko ke -
dalam perencanaan
tahunan.
26 Perusahaan telah RD
menetapkan Kerangka
Selera Risiko dalam -
periode berjalan.
27 Perusahaan telah RD, K, W
menginternalisasi Budaya -
Sadar Risiko.
 6 Alokasi Sumber Daya 3,00 28 Perusahaan telah RD
menetapkan alokasi
sumber daya dalam
penerapan Manajemen
Risiko yang memuat
setidaknya:
- Sumber daya manusia
(staf, skill, kompetensi,
dan pengalaman);
- Anggaran;
- Metode dan tools untuk -
mengelola risiko;
- Prosedur dan proses
yang didokumentasikan
(SOP);
- Sistem informasi dan
manajemen
pengetahuan;
- Pelatihan dan
pengembangan
profesional.

7 Metode Komunikasi dan Konsultasi 3,00 29 Perusahaan telah RD

menetapkan kebijakan
mengenai komunikasi dan
konsultasi yang
berkesinambungan dalam
penerapan Manajemen
Risiko, yang memuat
antara lain:
- Pihak-pihak yang
berperan; -
- Metode yang dipilih
(seperti: penggunaan
Metode RACI, FGD, dan
sebagainya);
- Jadwal;
- Evaluasi atas efektivitas
hasil komunikasi dan
konsultasi.

3 Implementasi, 8 Implementasi 5,00 30 Perusahaan telah RD

Evaluasi, dan 12,00 menetapkan rencana
Perbaikan implementasi kerangka
Kerangka kerja Manajemen Risiko -
Kerja (termasuk jadwal dan
Manajemen kebutuhan sumber daya).
Risiko
31 Perusahaan telah RD
membangun kapasitas
Manajemen Risiko bagi
seluruh jajaran organisasi -
melalui program diklat,
workshop, sertifikasi, dan
sebagainya.
32 Unit kerja/pemilik risiko RD, K, W
telah melakukan integrasi
Manajemen Risiko pada
-
proses bisnis yang
menjadi tanggung
jawabnya.
33 Perusahaan telah RD, K, W, O
melakukan pembinaan
pengembangan dan -
perawatan budaya sadar
risiko.

9 Evaluasi 5,00 34 Terdapat pemantauan RD

yang dilakukan secara
tahunan terhadap
efektivitas penerapan -
kerangka Manajemen
Risiko.
 35 Terdapat reviu atas RD
kerangka kerja
Manajemen Risiko -
(Kebijakan, Struktur
Organisasi, Pedoman).
36 Terdapat kajian atas RD
kerangka kerja
Manajemen Risiko jika -
terdapat permasalahan.

10 Perbaikan 2,00 37 Dilakukan tindak lanjut RD

reviu berupa perbaikan
atas kerangka kerja
Manajemen Risiko -
(Kebijakan, Struktur
Organisasi, Pedoman)
berdasar hasil reviu.

4 Komunikasi 11 Terbangunnya kontribusi seluruh PIC dalam proses 2,00 38 Perusahaan menetapkan RD Risk owner adalah personil yang ahli/menguasai
dan 6,00 Manajemen Risiko risk owner dalam setiap proses bisnis. -
Konsultasi proses bisnis.
39 Unit Manajemen Risiko RD
telah menetapkan
petunjuk pelaksanaan
proses Manajemen Risiko
yang memuat:
a. Metode identifikasi
risiko;
b. Metode analisis risiko;
c. Kriteria pengukuran
dampak;
d. Kriteria pengukuran
kemungkinan;
e. Tingkat risiko yang
-
dapat diterima;
f. Alternatif perlakuan
risiko (seperti
menghindari, mengurangi,
membagi dan menerima
risiko);
g. Pelaksanaan
pemantauan dan reviu
atas Manajemen Risiko.

40 Petunjuk pelaksanaan RD
proses Manajemen Risiko
direviu secara berkala. -

41 Terdapat proses RD, W Proses komunikasi dan konsultasi diantaranya:

komunikasi dan - sosialisasi juklak
konsultasi penerapan - mengompilasi laporan dr risk owner
-
Manajemen Risiko antara - mencari tenaga ahli bila dibutuhkan.
Unit Manajemen Risiko
dengan Risk Owner.
42 Terdapat identifikasi RD, K Yang dimaksud dengan peran adalah …
pihak-pihak yang terkait
dengan masing-masing -
risiko, termasuk peran
dan tanggung jawabnya.
43 Terdapat proses RD, K
penyamaan persepsi
pada saat menetapkan -
kriteria risiko dan saat
mengevaluasi risiko.

12 Pemanfaatan teknologi informasi dan komunikasi dalam rangka 2,00 44 Adanya pertimbangan RD
Manajemen Risiko biaya manfaat atas
penggunaan teknologi -
informasi.
45 Penggunaan sistem RD, K
informasi mendukung
-
pencapaian strategi
perusahaan.
 46 Adanya reviu atas RD
efektivitas pemanfaatan
TI yang dibangun dan -
penyempurnaannya.

13 Penyediaan data dan informasi yang berkualitas 2,00 47 Perusahaan memastikan RD

bahwa data dan informasi
tentang risiko dapat
dengan mudah diakses -
oleh pegawai yang
memiliki wewenang.

48 Data informasi yang RD, K, W Kriteria berkualitas adalah …

digunakan oleh -
Perusahaan berkualitas.
49 Perusahaan memastikan RD
kontinuitas perolehan
data dan informasi dalam -
keadaan darurat.

5 Lingkup, 14 1. Penetapan Lingkup 1,50 50 Terdapat penetapan RD Dalam menentukan kedalaman dan luas cakupan
Konteks dan 22,00 lingkup kegiatan kegiatan Manajemen Risiko, perlu dipertimbangkan
Kriteria Manajemen Risiko yang apakah program Manajemen Risiko akan diterapkan
akan dilaksanakan secara menyeluruh dalam organisasi atau terbatas
(penetapan lingkup pada aktivitas atau proses tertentu.
kegiatan Manajemen Pada awal penerapan Manajemen Risiko
Risiko dapat diterapkan dimungkinkan penerapan baru sebatas level tertentu
pada level strategis, dalam perusahaan, misalkan baru terbatas pada
operasional, program, risiko korporat dan belum menjangkau risiko proses -
proyek, aktivitas lainnya). bisnis. Namun dalam pelaksanaan berikutnya,
perusahaan harus menetapkan jadwal penerapan
Manajemen Risiko sampai setiap level perusahaan.
Demikian juga perlu diidentifikasikan apakah
program Manajemen Risiko akan diterapkan dalam
proyek atau aktivitas lainnya yang terpisah dari
perusahaan, misalkan kerja sama dengan pihak
ketiga atau anak perusahaan.
2. Penetapan Konteks

15 Penetapan konteks eksternal 2,00 51 Perusahaan melakukan RD lingkungan eksternal adalah faktor-faktor eksternal
analisis terhadap meliputi kondisi sosial, hukum, budaya, regulasi,
lingkungan eksternal ekonomi, teknologi, dan sebagainya.
untuk mengidentifikasi -
kesempatan dan
ancaman terhadap
aktivitas Perusahaan.
52 Perusahaan melakukan RD Stakeholder eksternal adalah
analisis untuk pihak/individu/organisasi diluar perusahaan. Contoh
menentukan seberapa pengaruh stakeholder eksternal: ketergantungan
jauh pengaruh dari Perusahaan kepada pemasok/pelanggan. -
stakeholder eksternal
terhadap aktivitas
perusahaan.
53 Analisis yang dilakukan RD, W
telah memberikan
informasi yang diperlukan -
untuk menetapkan posisi
dan strategi perusahaan.

16 Perusahaan mendefinisikan aktivitas utama 2,00 54 Perusahaan telah RD

mendefinisikan dan
menetapkan aktivitas -
utama (main business
process) perusahaan.
55 Perusahaan RD
mendefinisikan dan
menetapkan aktivitas -
pendukung.
56 Perusahaan menetapkan RD
competitive advantage
yang akan dicapai. -
 57 Perusahaan menetapkan RD, W
strategi (competitive
strategies) untuk -
meningkatkan nilai
perusahaan.

17 Pemahaman terhadap budaya perusahaan (corporate culture) 2,00 58 Budaya Perusahaan telah RD
didokumentasikan dan
dijabarkan ke dalam
-
Aturan Perilaku yang
ditandatangani Direksi
dan Komisaris.
59 Perusahaan telah RD, K
melakukan sosialisasi dan
-
internalisasi budaya
perusahaan.
60 Insan Perusahaan telah K, W
memahami budaya
perusahaan (corporate
culture) berupa
serangkaian nilai atau
keyakinan yang -
menghasilkan pola
perilaku tertentu secara
kolektif dalam
perusahaan.
61 Adanya keteladanan K, W
manajemen puncak
-
dalam menerapkan
budaya perusahaan.
62 Adanya evaluasi RD
penerapan budaya
-
perusahaan secara
berkala.

18 Penetapan konteks internal 1,50 63 Perusahaan melakukan RD

analisis terhadap
proses/operasi
perusahaan untuk -
mengidentifikasi kekuatan
maupun kelemahan
organisasi.
64 Perusahaan melakukan RD Stakeholder internal adalah pihak/individu/organisasi
analisis untuk didalam perusahaan seperti pegawai, serikat
menentukan seberapa pekerja, komisaris, komite Manajemen Risiko, dsb.
jauh pengaruh dari -
stakeholder internal
terhadap aktivitas
perusahaan.
65 Analisis yang dilakukan RD, K, W
telah memberikan
informasi yang diperlukan -
untuk menetapkan posisi
dan strategi perusahaan.

19 Tata kelola perusahaan yang baik (good corporate governance) 1,50 66 Perusahaan menerapkan RD Corporate governance adalah suatu proses dan
tata kelola perusahaan struktur yang digunakan oleh organ perusahaan
yang baik ditunjukkan untuk meningkatkan keberhasilan usaha dan
dengan: akuntabilitas perusahaan guna mewujudkan nilai
a. Indeks Kepuasan pemegang saham dalam jangka panjang dengan
Pekerja yang baik; tetap memperhatikan kepentingan stakeholder
b. Tidak ada kasus lainnya, berlandaskan peraturan perundangan dan
hukum perusahaan yang nilai-nilai etika
diputuskan bersalah; Penerapan Good Corporate Governance harus
c. Tidak ada top memenuhi prinsip-prinsip sebagai berikut:
manajemen yang dituntut a. transparansi,
-
perkara pidana/perdata b. kemandirian,
terkait pengurusan c. akuntabilitas,
perusahaan; d. pertanggungjawaban,
d. Tidak ada perselisihan e. kewajaran (fairness).
dengan masyarakat
sekitar;
e. Trend kinerja yang
membaik.
20 Kapabilitas sumberdaya Manajemen Risiko 2,00 67 Perusahaan menyediakan RD
pendidikan, pelatihan,
dan pengembangan
pegawai untuk
mendukung pencapaian
sasaran perusahaan,
antara lain:
a. Terdapat program
pengembangan pegawai
berdasar competency gap
analysis;
b. Adanya anggaran yang
mencukupi untuk diklat
dan pengembangan -
SDM;
c. Diklat dilaksanakan
sesuai program
pengembangan;
d. Terdapat sistem
evaluasi untuk mengukur
capaian kinerja kegiatan
diklat; (evaluasi
pemahaman, pengaruh
pada pelaksanaan
pekerjaan, dan dampak
pada peningkatan
kinerja).
68 Perusahaan telah RD, K
mengelola pengetahuan
(knowledge management)
agar seluruh jajaran
perusahaan memiliki
pengetahuan yang sesuai -
perkembangan jaman
(update/mutakhir)
termasuk pengetahuan
tentang Manajemen
Risiko
69 Perusahaan menciptakan RD, K, W
lingkungan kerja yang
kondusif (memberikan
jaminan kesehatan, -
keselamatan, keamanan,
dan kenyamanan bekerja
bagi pegawai).
70 Perusahaan memiliki RD, K
sistem reward &
punishment yang
dikaitkan dengan -
kemampuan menangani
risiko dan sistem ini
dilaksanakan.

21 Mendefinisikan pola pengambilan keputusan dalam Manajemen 1,00 71 Perusahaan menetapkan RD

Risiko, pola pengambilan
keputusan dalam
penanganan (mitigasi)
risiko. Pola pengambilan
keputusan tersebut
meliputi 2 hal, yaitu: -
a. Pengaturan
kewenangan penanganan
risiko;
b. Jenis penanganan
risiko yang dilakukan.
22 Mendefinisikan aktivitas dalam hal waktu, lokasi, tujuan, dan 1,50 72 Setiap aktivitas dalam RD
sasaran. perusahaan baik dengan
nama kegiatan, proses,
fungsi, proyek, produk
atau layanan harus
didefinisikan dengan
memadai yang minimal
meliputi:
a. Tujuan/ sasaran
apabila aktivitas telah -
selesai dilaksanakan,
termasuk target kinerja;
b. Lokasi aktivitas
dilaksanakan;
c. Waktu pelaksanaan,
termasuk kajian apabila
terjadi keterlambatan
pelaksanaan aktivitas.

23 Adanya evaluasi kematangan Manajemen Risiko 2,00 73 Perusahaan sudah RD

menetapkan kriteria untuk
mengevaluasi
kematangan Manajemen
Risiko, minimal sebagai
berikut:
a. Perusahaan
menerbitkan pedoman
untuk melakukan evaluasi
kematangan Manajemen
Risiko.
b. Terdapat penetapan
sasaran dan target
kematangan Manajemen
Risiko di awal periode,
misalkan dalam KPI -
Perusahaan.
c. Evaluasi dilakukan
secara periodik.
d. Evaluasi dilakukan oleh
pihak yang independen,
baik dari internal maupun
eksternal.
e. Proses evaluasi dapat
mendeteksi kelemahan
dalam penerapan
Manajemen Risiko dan
dapat memberikan
rekomendasi
perbaikannya.

3. Pengembangan Kriteria Risiko

 24 Penetapan kriteria analisis risiko 1,50 74 Perusahaan telah RD Hal penting yang perlu diperhatikan dalam
melakukan penetapan menyusun kriteria risiko adalah:
kriteria analisis risiko • Jenis-jenis konsekuensi apabila terjadi risiko.
yang mencakup kriteria Konsekuensi bisa meliputi aspek-aspek operasional,
kemungkinan (likelihood) teknik, keuangan, hukum, sosial, lingkungan hidup,
dan kriteria dampak kemanusiaan dan aspek lainnya.
(impact). • Bagaimana cara menghitung likelihood, apakah
dengan kualitatif, kuantitatif, data apa yang
dibutuhkan dsb.
• Bagaimana menentukan tingkat risiko yang
memerlukan penanganan risiko
a. Skala risiko dapat memberi batas yang jelas
dalam menilai risiko, mana risiko kecil, sedang,
besar, dsb.
b. Kriteria dampak harus menyediakan kolom yang -
cukup untuk masing-masing aspek dampak yang
dianalisis, misalkan produksi, hukum, lingkungan,
dsb.
c. Terdapat kolom/ aspek yang dapat digunakan
untuk menganalisis risiko apabila kolom lain tidak
tersedia.
d. Cara penilaian risiko memudahkan dalam
melakukan sorting risiko berdasarkan besaran
tingkat risiko, misalkan memungkinkan nilai pecahan
sehingga tingkat risiko variatif.
Pada saat penetapan konteks, perusahaan
menetapkan kriteria risiko yang terdiri dari:
a. Kriteria dampak (konsekuensi) risiko dan
b. Kriteria kemungkinan terjadinya (likelihood).
25 Penetapan kriteria evaluasi risiko 1,50 75 Perusahaan telah RD Penetapan Risk Appetite
melakukan penetapan a. Terdapat Risk Appetite yang Jelas
kriteria evaluasi risiko b. Risk appetite selaras dengan dengan visi, misi
yang mencakup kriteria dan strategi perusahaan.
selera risiko (risk b. Kesepakatan mengenai risk appetite antara
appetite), kriteria toleransi pemilik perusahaan (pemegang saham) dengan
risiko (risk tolerance) dan manajemen tergambarkan dalam kontrak
kriteria proritas risiko (risk manajemen.
priority). Contoh: keputusan yang bersifat strategis harus
dibahas dengan pemilik perusahaan untuk mencapai
suatu kesepakatan risk appetite atas keputusan
strategis tersebut.
Risk appetite adalah tingkat risiko yang dapat
diterima oleh perusahaan dalam mengejar nilai yang
ditetapkan. Sedangkan toleransi risiko (risk -
tolerance) adalah tingkatan variasi relatif yang dapat
diterima terhadap pencapaian tujuan.
Cara penentuan risk appetite dan risk tolerance
dapat dilihat pada Pedoman Umum Manajemen
Risiko.
Penetapan toleransi risiko:
a. Toleransi risiko telah ditetapkan untuk setiap level
sasaran yang ditetapkan.
b. Toleransi risiko dihitung berdasarkan kertas kerja
yang dapat dipertanggungjawabkan dan mampu
menjelaskan besaran varian yang ditetapkan.

Kriteria risiko telah ditetapkan sebelum dilakukannya

proses Manajemen Risiko.
26 Penetapan kriteria efektivitas proses Manajemen Risiko 2,00 76 Perusahaan telah RD
melakukan penetapan
kriteria efektivitas proses
Manajemen Risiko yang
mencakup kriteria
-
efektivitas pelaksanaan
proses Manajemen Risiko
dan kriteria efektivitas
pelaksanaan perlakuan
risiko.

6 Identifikasi 27 Identifikasi risiko telah mempertimbangkan seluruh faktor risiko 2,00 77 Proses identifikasi risiko RD NB: Yang ditunjukkan dalam kertas kerja identifikasi
Risiko 6,00 baik eksternal dan internal telah mempertimbangkan: risiko
a. faktor risiko eksternal Perlu ada kamus terkait yang akan digunakan
(misal:ekonomi, politik, assesor (ref: Buku Kuning Hal 178)
sosial, hukum, teknologi,
lingkungan alam);
b. faktor risiko internal
(misal: keuangan, -
infrastruktur, sumber daya
manusia, proses,
teknologi internal, data
kejadian masa lalu,
ataupun perubahan
signifikan kondisi terkini
 perusahaan).

28 Identifikasi risiko dikaitkan dengan sasaran yang ditetapkan 2,00 78 Keterkaitan antara risiko RD, W NB:
dengan sasaran yang - Penetapan sasaran operasional dilakukan melalui
ditetapkan telah cascading sasaran dari tingkat strategis (RJPP) ke
mempertimbangkan: operasional (RKAP)
1) Terdapat keselarasan - Identifikasi risiko dilakukan secara top down dan
sasaran di tingkat bottom up.
-
strategis dengan tingkat
operasional (kegiatan);
2) Risiko yang
diidentifikasi terkait
langsung dengan sasaran
yang hendak dicapai.
29 Manajemen telah melakukan identifikasi risiko sesuai dengan 2,00 79 Pelaksanaan identifikasi RD Sesuai dengan pedoman sehingga:
metodologi yang tertuang dalam kebijakan/pedoman risiko telah mengacu 1) Tidak ada risiko kuncil yang terlewat;
Manajemen Risiko Perusahaan sepenuhnya pada 2) Risiko sudah dikelompokkan menurut;
Pedoman/Prosedur controllable/uncontrollable risk dan risiko
Manajemen Risiko yang proses/risiko korporat;
telah ditetapkan 3) Tergambarkan dependensi antar risiko;
Perusahaan atau 4) Tergambar proses validasi risiko;
menerapkan metodologi 5) terdapat kejelasan sumber-sumber risiko dan -
yang lebih advanced. peristiwa risiko;
6) Terdapat kejelasan penyebab risiko;
7) Terdapat analisis dampak risiko;
8) Pengendalian yang sudah dilakukan untuk
mengurangi; sebab maupun dampak telah
diidentifikasi.

80 Identifikasi risiko RD
dilakukan sesuai Interval
waktu yang telah
ditetapkan dalam -
kebijakan Manajemen
Risiko
81 Dokumentasi telah RD
dilaksanakan secara
memadai, mulai tahap
identifikasi awal hingga -
tersusunnya daftar risiko
sebagai hasil proses
identifikasi.
7 Analisis 30 Tingkat risiko dihitung dengan memperhitungkan kriteria risiko 2,00 82 Pemilihan dampak dan RD, W
Risiko 5,00 dan pengendalian internal kemungkinan pada saat
analisis risiko didasarkan
data yang dapat
-
dipertanggungjawabkan.

83 Dampak dinilai setelah RD, W

mempertimbangkan
efektivitas pengendalian
yang ada, yaitu:
a. Setiap risiko yang
diidentifikasi telah
dilengkapi informasi
mengenai
dampak/konsekuensinya; -
b. Dampak harus dapat
dikaitkan dengan tujuan
dan sasaran perusahaan;
c. Pengukuran dampak
didasarkan pada
ketersediaan data yang
memadai.
 84 Kemungkinan dinilai RD, W
setelah
mempertimbangkan
efektivitas pengendalian -
yang ada.

31 Metode analisis risiko yang digunakan mempertimbangkan 2,00 85 Analisis risiko dilakukan
ketersediaan data dan kebutuhan risk owner sesuai Pedoman
Manajemen Risiko yang
ditetapkan atau secara
konsisten (bagi yang
belum memiliki Pedoman
Manajemen Risiko).
RD 1) Pemilihan teknik kualitatif/semi kuantitatif dapat
dilakukan jika data yang bersifat kuantitatif tidak
mencukupi (Perusahaan dalam tahap awal
penerapan Manajemen Risiko).
2) Pemilihan teknik kuantitatif dapat dilakukan jika
data yang bersifat kuantitatif tersedia dan
-
relevan.(Perusahaan semestinya memiliki database
Manajemen Risiko dan informasi lainnya untuk
melakukan analisis secara kuantitatif jika penerapan
Manajemen Risiko telah melewati beberapa
periode).

86 Metode yang dibangun RD

didukung dengan suatu
mekanisme untuk
menjamin bahwa setiap
risk owner akan -
melakukan penilaian
risiko sesuai dengan
pedoman yang telah
ditetapkan.

32 Dokumentasi analisis risiko dilaksanakan dengan baik 1,00 87 Dokumentasi analisis RD

risiko dilaksanakan
dengan baik. -

8 Evaluasi 33 Evaluasi risiko menghasilkan informasi prioritas perlakuan risiko 4,00 88 Evaluasi risiko dilakukan RD, K, W Beberapa hal yang harus dilakukan untuk memenuhi
Risiko 5,00 sebagai berikut: kriteria ini adalah sebagai berikut:
1) Tingkat risiko telah a. Evaluasi dilakukan berdasarkan hasil analisis
dijadikan dasar dalam risiko,
menyaring risiko; b. Evaluasi dilakukan dengan menggunakan kriteria
2) Jika terdapat beberapa yang telah ditetapkan dalam penetapan konteks dan
tingkat risiko sama, maka direvisi apabila diperlukan,
telah dipilih risiko mana c. Hasil evaluasi berupa: risiko yang membutuhkan
-
yang lebih diprioritaskan; penanganan risiko dan penanganan risiko yang
3) Daftar prioritas risiko prioritas,
telah dikomunikasikan d. Pemilihan risk treatment telah mempertimbangkan
kepada atasan risk tolerance yang telah ditetapkan pada tahap
langsungnya. penetapan konteks.
e. Daftar prioritas risiko telah dikomunikasikan
kepada personil/pejabat yang tepat (atasan
langsung)

34 Dokumentasi evaluasi risiko dilaksanakan dengan baik 1,00 89 Dokumentasi evaluasi RD

risiko telah dilaksanakan -
secara memadai.

9 Perlakuan 35 Pembagian wewenang perlakuan risiko kepada para risk 1,00 90 Manajemen RD
Risiko 7,00 owner mendelegasikan
wewenang untuk
memutuskan perlakuan
risiko kepada para risk -
owner sesuai jenjang
tanggungjawab masing-
masing.
36 Penentuan/ pemilihan perlakuan risiko telah efektif. 1,00 91 Penentuan/pemilihan RD, K, W Penanganan risiko yang dipilih:
perlakuan risiko telah 1. Penanganan yang dapat mengurangi tingkat
melalui proses analisis risiko sampai dengan tingkat yang dapat diterima
yang memadai dengan dari sudut pandang enterprise wide/ portfolio
didukung oleh data yang 2..Penangananyang dapat mendukung
relevan, cukup dalam terlaksananya strategi dan tercapainya tujuan
menaksir efek suatu perusahaan
perlakuan risiko terhadap 3. Mempertimbangkan biaya dan manfaat yang
pengurangan likehood diperoleh dari penanganan risiko terhadap operasi
dan dampaknya. perusahaan
4. Penanganan yang telah mempertimbangkan
kemampuan (kapabilitas) perusahaan.
5. Penanganan yang telah mempertimbangkan
kesesuaian/keselarasan time horison (jangka waktu)
pelaksanaan penanganan risiko dengan durasi -
(jangka waktu) eksposur risiko
Metodologi penanganan risiko mensyaratkan hal-hal
sbb dalam penentuan penanganan risiko:
1. Penentuan penanganan risiko telah melalui
proses analisis yang memadai dengan didukung
oleh data yang relevan, cukup dalam menaksir efek
suatu penanganan risiko risiko terhadap
pengurangan likehood dan dampaknya
2. Penanganan risiko mempertimbangkan pengaruh
portofolio suatu penanganan risiko untuk
mendapatkan natural offsetting
3. Adanya reviu secara periodik atas penanganan
risiko yang ditentukan dan melakukan
penyempurnaan yang diperlukan
37 Perlakuan risiko yang akan diambil terhadap suatu risiko telah 2,00 92 Penyusunan rencana RD, K, W
direncanakan dengan baik sesuai dengan kebutuhannya dan perlakuan risiko telah
dapat diterapkan dengan efektif. meliputi hal-hal berikut:
1) Mempertimbangkan
sumber risiko dan
pengendalian yang ada;
2) Mempertimbangkan
sasaran perlakuan risiko;
3) Perencanaan rinci
perlakuan risiko yang
cukup praktis, dapat
diterapkan, cukup
fleksibel, dan dapat
dilakukan perawatan
untuk menjaga serta -
mempertahankan
efektivitasnya;
4) Reviu atas desain
rencana perlakuan
dengan para pihak yang
terlibat; ataupun yang
terpengaruh oleh adanya
tindakan perlakuan risiko
tersebut;
5) Menyusun rencana
komunikasi yang baik
sebagai persiapan
pelaksanaan perlakuan
risiko.
38 Muatan rencana penerapan perlakuan risiko jelas. 2,00 93 Rencana penerapan RD
perlakuan risiko memuat
antara lain:
1) Kejelasan akuntabilitas
dan tanggung jawab,
sumber daya yang
dibutuhkan, jadwal rinci
kegiatan penerapan, hasil
yang diharapkan, ukuran
kinerja dan kapan serta -
bagaimana proses
peninjauan akan
dilakukan;
2) Mekanisme
pengukuran dan
pemantauan secara
berkala tentang efektivitas
perlakuan risiko terhadap
sasaran yang ditetapkan.
94 Rencana RD
penanganan/perlakuan
risiko digunakan untuk
-
penyusunan
budget/anggaran
Perusahaan.
 39 Dokumentasi perlakuan risiko yang memadai 1,00 95 Dokumentasi perlakuan RD
risiko yang memadai
memuat:
1. Proses/analisis
penentuan perlakuan
risiko;
2. Rencana perlakuan
-
risiko;
3. Data base perlakuan
risiko yang ditetapkan dan
dilaksanakan;
4. Realisasi waktu
perlakuan risiko;
5. Person/Unit.

10 Monitoring 40 Pelaksanaan monitoring secara efektif 1,50 96 Risk assessment RD

dan Reviu 5,00 dilakukan secara berkala
(minimal dua kali dalam -
satu tahun).
41 Pelaksanaan reviu secara efektif 1,50 97 Terdapat reviu atas RD
efektivitas perlakuan
risiko yang telah -
ditetapkan.

42 Tindak lanjut dan laporan kelemahan proses Manajemen Risiko 2,00 98 Laporan hasil reviu atas RD
efektivitas proses
Manajemen Risiko -
disampaikan kepada
manajemen.

99 Perusahaan RD
menindaklanjuti
-
kelemahan proses
Manajemen Risiko.

11 Pelaporan 43 Pelaporan kinerja Manajemen Risiko secara berkala 2,00 100 Terdapat laporan profil RD
2,00 risiko yang disusun
secara berkala sesuai -
ketentuan/pedoman.
101 Terdapat laporan RD
pengelolaan/kinerja
Manajemen Risiko yang
-
disusun secara berkala
sesuai
ketentuan/pedoman.

100,00
100,00
 ASPEK/INDIKATOR PARAMETER URAIAN HASIL EVALUASI

NO NO CAPAIAN SKOR
REVIU
URAIAN BOBOT URAIAN KUESIONER WAWANCARA OBSERVASI KESIMPULAN
BOBOT DOKUMEN

I INTEGRASI

1 Penetapan tujuan, sasaran, dan strategi perusahaan 5,00 1 Perusahaan memiliki acuan (berupa kebijakan,
pedoman, atau prosedur) untuk menetapkan 0,45 -
tujuan dan sasaran.
2 Manajemen mengembangkan sasaran strategis
-
yang selaras dengan visi, misi perusahaan. 0,45
3 Sasaran strategis perusahaan selaras dengan
tingkat pertumbuhan yang ingin dicapai 0,45 -
perusahaan.
4 Sasaran strategis perusahaan selaras dengan
besaran risiko yang bisa diterima perusahaan. 0,45 -

5 Sasaran strategis dikomunikasikan kepada

-
jajaran manajemen. 0,45
6 Capaian sasaran strategis dievaluasi secara
-
berkala. 0,45
7 Perusahaan menetapkan strategi yang selaras
dengan sasaran strategis yg hendak dicapai. 0,45 -
8 Strategi yang ditetapkan telah
-
mempertimbangkan risiko. 0,45
9 Sasaran strategis telah dijabarkan ke dalam
sasaran yang lebih spesifik di tingkat 0,45
-
operasional (cascading).

10 Sasaran tingkat operasional telah

-
dikomunikasikan ke pihak-pihak terkait. 0,45
11 Sasaran operasional telah dilakukan evaluasi
-
secara berkala. 0,45

2 Akuntabilitas Manajemen Risiko 5,00 12 Perusahaan menetapkan struktur/peran yang

bertanggung jawab untuk melaksanakan proses 2,50 -
Manajemen Risiko.
13 Perusahaan menetapkan struktur/peran yang
bertanggung jawab untuk melaksanakan 2,50
-
pengawasan (oversight) atas proses Manajemen
Risiko.

II PERANCANGAN KERANGKA KERJA

3 Pemahaman Organisasi 4,00 14 Setiap insan Perusahaan memahami visi dan

-
misi perusahaan. 0,80
15 Setiap insan Perusahaan memahami tujuan dan
sasaran strategis Perusahaan. 0,80 -

16 Setiap insan di unit kerja memahami tujuan dan

-
sasaran operasional unit kerjanya. 0,80
 17 Perusahaan telah mendefinisikan hubungan dan
kepentingan lingkungan eksternal terhadap 0,80
organisasi, mencakup:- lingkungan bisnis
perusahaan, - lingkungan sosial, - pemerintah
-
pusat dan daerah sebagai regulator, - faktor
budaya, - situasi kompetisi/persaingan, -
lingkungan financial, - unsur politik, - aspek
lainnya yang relevan dengan jenis industrinya.
18 Perusahaan telah mendefinisikan hubungan dan
kepentingan stakeholder internal perusahaan 0,80
(stakeholder internal bagi perusahaan antara -
lain pegawai, serikat pekerja, komisaris, komite
Manajemen Risiko, dsb.).

4 Komitmen Penerapan Manajemen Risiko 5,00 19 Perusahaan memiliki Kebijakan Manajemen

Risiko dengan muatan: 1,25
- Tujuan penerapan Manajemen Risiko;
- Kepemimpinan;
- Selera dan Toleransi;
- Budaya risiko;
- Komitmen dan Organisasi; -
- Strategi, rencana/peta jalan, pemantauan
berkala;
- Interval waktu pelaksanaan risk assessment;
- Evaluasi kematangan Manajemen Risiko;
- Pengawasan Penerapan oleh Dekom/Dewas.
20 Perusahaan telah memiliki Buku Panduan
Penerapan Manajemen Risiko yang mencakup 1,25
muatan antara lain:
- Ruang Lingkup;
- Proses Manajemen Risiko;
- Kategori Risiko;
- Kriteria Risiko Corporate dan Operasional; -
- Daftar/Register/Profil/Peta Risiko;
- Laporan Pengelolaan Risiko;
- Metode dan teknik assessment risiko;
- Definisi penanganan risiko (menghindari,
mengurangi, membagi dan menerima risiko).
21 Terdapat evaluasi terhadap buku panduan yang
-
dilakukan secara periodik. 1,25
22 Sosialisasi Kebijakan dan Buku Panduan
-
Penerapan Manajemen Risiko. 1,25

5 Tata Kelola Risiko 5,00 23 Perusahaan telah menerapkan model Three

-
Lines of Defense dalam pengelolaan risiko. 1,00
24 Perusahaan telah menetapkan strategi dan arah
penerapan Manajemen Risiko (misal: road 1,00 -
map/master plan Manajemen Risiko).
25 Perusahaan telah mengintegrasikan proses
Manajemen Risiko ke dalam perencanaan 1,00 -
tahunan.
26 Perusahaan telah menetapkan Kerangka Selera
Risiko dalam periode berjalan. 1,00 -

27 Perusahaan telah menginternalisasi Budaya

-
Sadar Risiko. 1,00
6 Alokasi Sumber Daya 3,00 28 Perusahaan telah menetapkan alokasi sumber
daya dalam penerapan Manajemen Risiko yang 3,00
memuat setidaknya:
- Sumber daya manusia (staf, skill, kompetensi,
dan pengalaman);
- Anggaran;
-
- Metode dan tools untuk mengelola risiko;
- Prosedur dan proses yang didokumentasikan
(SOP);
- Sistem informasi dan manajemen
pengetahuan;
- Pelatihan dan pengembangan profesional.

7 Metode Komunikasi dan Konsultasi 3,00 29 Perusahaan telah menetapkan kebijakan

mengenai komunikasi dan konsultasi yang 3,00
berkesinambungan dalam penerapan
Manajemen Risiko, yang memuat antara lain:
- Pihak-pihak yang berperan;
-
- Metode yang dipilih (seperti: penggunaan
Metode RACI, FGD, dan sebagainya);
- Jadwal;
- Evaluasi atas efektivitas hasil komunikasi dan
konsultasi.
III IMPLEMENTASI, EVALUASI DAN PERBAIKAN KERANGKA KERJA

8 Implementasi 5,00 30 Perusahaan telah menetapkan rencana

implementasi kerangka kerja Manajemen Risiko 1,25 -
(termasuk jadwal dan kebutuhan sumber daya).
31 Perusahaan telah membangun kapasitas
Manajemen Risiko bagi seluruh jajaran 1,25
-
organisasi melalui program diklat, workshop,
sertifikasi, dan sebagainya.
32 Unit kerja/pemilik risiko telah melakukan
integrasi Manajemen Risiko pada proses bisnis 1,25 -
yang menjadi tanggung jawabnya.
33 Perusahaan telah melakukan pembinaan
pengembangan dan perawatan budaya sadar 1,25 -
risiko.

9 Evaluasi 5,00 34 Terdapat pemantauan yang dilakukan secara

tahunan terhadap efektivitas penerapan 1,50 -
kerangka Manajemen Risiko.
35 Terdapat reviu atas kerangka kerja Manajemen
Risiko (Kebijakan, Struktur Organisasi, 2,00 -
Pedoman).
36 Terdapat kajian atas kerangka kerja Manajemen
-
Risiko jika terdapat permasalahan. 1,50

10 Perbaikan 2,00 37 Dilakukan tindak lanjut reviu berupa perbaikan

atas kerangka kerja Manajemen Risiko 2,00
-
(Kebijakan, Struktur Organisasi, Pedoman)
berdasar hasil reviu.

IV KOMUNIKASI DAN KONSULTASI

11 Terbangunnya kontribusi seluruh PIC dalam proses Manajemen Risiko 2,00 38 Perusahaan menetapkan risk owner dalam
setiap proses bisnis. 0,33 -
 39 Unit Manajemen Risiko telah menetapkan
petunjuk pelaksanaan proses Manajemen Risiko 0,33
yang memuat:
a. Metode identifikasi risiko;
b. Metode analisis risiko;
c. Kriteria pengukuran dampak;
d. Kriteria pengukuran kemungkinan; -
e. Tingkat risiko yang dapat diterima;
f. Alternatif perlakuan risiko (seperti
menghindari, mengurangi, membagi dan
menerima risiko);
g. Pelaksanaan pemantauan dan reviu atas
Manajemen Risiko.
40 Petunjuk pelaksanaan proses Manajemen Risiko
-
direviu secara berkala. 0,33
41 Terdapat proses komunikasi dan konsultasi
penerapan Manajemen Risiko antara Unit 0,33 -
Manajemen Risiko dengan Risk Owner.
42 Terdapat identifikasi pihak-pihak yang terkait
dengan masing-masing risiko, termasuk peran 0,33 -
dan tanggung jawabnya.
43 Terdapat proses penyamaan persepsi pada saat
menetapkan kriteria risiko dan saat 0,33 -
mengevaluasi risiko.

12 Pemanfaatan teknologi informasi dan komunikasi dalam rangka 2,00 44 Adanya pertimbangan biaya manfaat atas
Manajemen Risiko penggunaan teknologi informasi. 0,67 -

45 Penggunaan sistem informasi mendukung

-
pencapaian strategi perusahaan. 0,67
46 Adanya reviu atas efektivitas pemanfaatan TI
-
yang dibangun dan penyempurnaannya. 0,67
13 Penyediaan data dan informasi yang berkualitas 2,00 47 Perusahaan memastikan bahwa data dan
informasi tentang risiko dapat dengan mudah 0,67 -
diakses oleh pegawai yang memiliki wewenang.
48 Data informasi yang digunakan oleh Perusahaan
-
berkualitas. 0,67
49 Perusahaan memastikan kontinuitas perolehan
-
data dan informasi dalam keadaan darurat. 0,67

V LINGKUP, KONTEKS DAN KRITERIA

14 1. Penetapan Lingkup 1,50 50 Terdapat penetapan lingkup kegiatan

Manajemen Risiko yang akan dilaksanakan 1,50
(penetapan lingkup kegiatan Manajemen Risiko -
dapat diterapkan pada level strategis,
operasional, program, proyek, aktivitas lainnya).
2. Penetapan Konteks

15 Penetapan konteks eksternal 2,00 51 Perusahaan melakukan analisis terhadap

lingkungan eksternal untuk mengidentifikasi 0,67
kesempatan dan ancaman terhadap aktivitas -
Perusahaan.
52 Perusahaan melakukan analisis untuk
menentukan seberapa jauh pengaruh dari 0,67
stakeholder eksternal terhadap aktivitas -
perusahaan.

53 Analisis yang dilakukan telah memberikan

informasi yang diperlukan untuk menetapkan 0,67 -
posisi dan strategi perusahaan.
16 Perusahaan mendefinisikan aktivitas utama 2,00 54 Perusahaan telah mendefinisikan dan
menetapkan aktivitas utama (main business 0,50 -
process) perusahaan.
55 Perusahaan mendefinisikan dan menetapkan
-
aktivitas pendukung. 0,50
56 Perusahaan menetapkan competitive advantage
-
yang akan dicapai. 0,50
57 Perusahaan menetapkan strategi (competitive
strategies) untuk meningkatkan nilai 0,50 -
perusahaan.

17 Pemahaman terhadap budaya perusahaan (corporate culture) 2,00 58 Budaya Perusahaan telah didokumentasikan
dan dijabarkan ke dalam Aturan Perilaku yang 0,40 -
ditandatangani Direksi dan Komisaris.
59 Perusahaan telah melakukan sosialisasi dan
internalisasi budaya perusahaan. 0,40 -

60 Insan Perusahaan telah memahami budaya

perusahaan (corporate culture) berupa 0,40
serangkaian nilai atau keyakinan yang -
menghasilkan pola perilaku tertentu secara
kolektif dalam perusahaan.
61 Adanya keteladanan manajemen puncak dalam
menerapkan budaya perusahaan. 0,40 -

62 Adanya evaluasi penerapan budaya perusahaan

secara berkala. 0,40 -

18 Penetapan konteks internal 1,50 63 Perusahaan melakukan analisis terhadap

proses/operasi perusahaan untuk 0,50
-
mengidentifikasi kekuatan maupun kelemahan
organisasi.
64 Perusahaan melakukan analisis untuk
menentukan seberapa jauh pengaruh dari 0,50
stakeholder internal terhadap aktivitas -
perusahaan.
65 Analisis yang dilakukan telah memberikan
informasi yang diperlukan untuk menetapkan 0,50 -
posisi dan strategi perusahaan.

19 Tata kelola perusahaan yang baik (good corporate governance) 1,50 66 Perusahaan menerapkan tata kelola perusahaan
yang baik ditunjukkan dengan:a. Indeks 1,50
Kepuasan Pekerja yang baik;b. Tidak ada kasus
hukum perusahaan yang diputuskan bersalah;c.
Tidak ada top manajemen yang dituntut perkara -
pidana/perdata terkait pengurusan perusahaan;
d. Tidak ada perselisihan dengan masyarakat
sekitar;e. Trend kinerja yang membaik.
20 Kapabilitas sumberdaya Manajemen Risiko 2,00 67 Perusahaan menyediakan pendidikan, pelatihan,
dan pengembangan pegawai untuk mendukung 0,50
pencapaian sasaran perusahaan, antara lain:
a. Terdapat program pengembangan pegawai
berdasar competency gap analysis;
b. Adanya anggaran yang mencukupi untuk
diklat dan pengembangan SDM;
c. Diklat dilaksanakan sesuai program -
pengembangan;
d. Terdapat sistem evaluasi untuk mengukur
capaian kinerja kegiatan diklat; (evaluasi
pemahaman, pengaruh pada pelaksanaan
pekerjaan, dan dampak pada peningkatan
kinerja).

68 Perusahaan telah mengelola pengetahuan

(knowledge management) agar seluruh jajaran 0,50
perusahaan memiliki pengetahuan yang sesuai
-
perkembangan jaman (update/mutakhir)
termasuk pengetahuan tentang Manajemen
Risiko
69 Perusahaan menciptakan lingkungan kerja yang
kondusif (memberikan jaminan kesehatan, 0,50
-
keselamatan, keamanan, dan kenyamanan
bekerja bagi pegawai).
70 Perusahaan memiliki sistem reward &
punishment yang dikaitkan dengan kemampuan 0,50 -
menangani risiko dan sistem ini dilaksanakan.

21 Mendefinisikan pola pengambilan keputusan dalam Manajemen Risiko, 1,00 71 Perusahaan menetapkan pola pengambilan
keputusan dalam penanganan (mitigasi) risiko. 1,00
Pola pengambilan keputusan tersebut meliputi 2
-
hal, yaitu:
a. Pengaturan kewenangan penanganan risiko;
b. Jenis penanganan risiko yang dilakukan.

22 Mendefinisikan aktivitas dalam hal waktu, lokasi, tujuan, dan sasaran. 1,50 72 Setiap aktivitas dalam perusahaan baik dengan
nama kegiatan, proses, fungsi, proyek, produk 1,50
atau layanan harus didefinisikan dengan
memadai yang minimal meliputi:
a. Tujuan/ sasaran apabila aktivitas telah selesai -
dilaksanakan, termasuk target kinerja;
b. Lokasi aktivitas dilaksanakan;
c. Waktu pelaksanaan, termasuk kajian apabila
terjadi keterlambatan pelaksanaan aktivitas.

23 Adanya evaluasi kematangan Manajemen Risiko 2,00 73 Perusahaan sudah menetapkan kriteria untuk
mengevaluasi kematangan Manajemen Risiko, 2,00
minimal sebagai berikut:a. Perusahaan
menerbitkan pedoman untuk melakukan
evaluasi kematangan Manajemen Risiko. b.
Terdapat penetapan sasaran dan target
kematangan Manajemen Risiko di awal periode,
misalkan dalam KPI Perusahaan. c. Evaluasi -
dilakukan secara periodik.d. Evaluasi dilakukan
oleh pihak yang independen, baik dari internal
maupun eksternal.e. Proses evaluasi dapat
mendeteksi kelemahan dalam penerapan
Manajemen Risiko dan dapat memberikan
rekomendasi perbaikannya.
 3. Pengembangan Kriteria Risiko

24 Penetapan kriteria analisis risiko 1,50 74 Perusahaan telah melakukan penetapan kriteria
analisis risiko yang mencakup kriteria 1,50
-
kemungkinan (likelihood) dan kriteria dampak
(impact).
25 Penetapan kriteria evaluasi risiko 1,50 75 Perusahaan telah melakukan penetapan kriteria
evaluasi risiko yang mencakup kriteria selera 1,50
risiko (risk appetite), kriteria toleransi risiko (risk -
tolerance) dan kriteria proritas risiko (risk
priority).
26 Penetapan kriteria efektivitas proses Manajemen Risiko 2,00 76 Perusahaan telah melakukan penetapan kriteria
efektivitas proses Manajemen Risiko yang 2,00
mencakup kriteria efektivitas pelaksanaan -
proses Manajemen Risiko dan kriteria efektivitas
pelaksanaan perlakuan risiko.

VI IDENTIFIKASI RISIKO

27 Identifikasi risiko telah mempertimbangkan seluruh faktor risiko baik 2,00 77 Proses identifikasi risiko telah
eksternal dan internal mempertimbangkan: 2,00
a. faktor risiko eksternal (misal:ekonomi, politik,
sosial, hukum, teknologi, lingkungan alam);
b. faktor risiko internal (misal: keuangan, -
infrastruktur, sumber daya manusia, proses,
teknologi internal, data kejadian masa lalu,
ataupun perubahan signifikan kondisi terkini
perusahaan).
28 Identifikasi risiko dikaitkan dengan sasaran yang ditetapkan 2,00 78 Keterkaitan antara risiko dengan sasaran yang
ditetapkan telah mempertimbangkan: 2,00
1) Terdapat keselarasan sasaran di tingkat
-
strategis dengan tingkat operasional (kegiatan);
2) Risiko yang diidentifikasi terkait langsung
dengan sasaran yang hendak dicapai.
29 Manajemen telah melakukan identifikasi risiko sesuai dengan 2,00 79 Pelaksanaan identifikasi risiko telah mengacu
metodologi yang tertuang dalam kebijakan/pedoman Manajemen sepenuhnya pada Pedoman/Prosedur 0,75
Risiko Perusahaan Manajemen Risiko yang telah ditetapkan -
Perusahaan atau menerapkan metodologi yang
lebih advanced.
80 Identifikasi risiko dilakukan sesuai Interval waktu
yang telah ditetapkan dalam kebijakan 0,75 -
Manajemen Risiko
81 Dokumentasi telah dilaksanakan secara
memadai, mulai tahap identifikasi awal hingga 0,50
-
tersusunnya daftar risiko sebagai hasil proses
identifikasi.

VII ANALISIS RISIKO

30 Tingkat risiko dihitung dengan memperhitungkan kriteria risiko dan 2,00 82 Pemilihan dampak dan kemungkinan pada saat
pengendalian internal analisis risiko didasarkan data yang dapat 0,50
dipertanggungjawabkan.

-
 83 Dampak dinilai setelah mempertimbangkan
efektivitas pengendalian yang ada, yaitu: 0,75
a. Setiap risiko yang diidentifikasi telah
dilengkapi informasi mengenai
dampak/konsekuensinya;
-
b. Dampak harus dapat dikaitkan dengan tujuan
dan sasaran perusahaan;
c. Pengukuran dampak didasarkan pada
ketersediaan data yang memadai.

84 Kemungkinan dinilai setelah mempertimbangkan

-
efektivitas pengendalian yang ada. 0,75

31 Metode analisis risiko yang digunakan mempertimbangkan 2,00 85 Analisis risiko dilakukan sesuai Pedoman
ketersediaan data dan kebutuhan risk owner Manajemen Risiko yang ditetapkan atau secara 1,00
-
konsisten (bagi yang belum memiliki Pedoman
Manajemen Risiko).
86 Metode yang dibangun didukung dengan suatu
mekanisme untuk menjamin bahwa setiap risk 1,00
-
owner akan melakukan penilaian risiko sesuai
dengan pedoman yang telah ditetapkan.

32 Dokumentasi analisis risiko dilaksanakan dengan baik 1,00 87 Dokumentasi analisis risiko dilaksanakan
dengan baik. 1,00 -

VIII EVALUASI RISIKO

33 Evaluasi risiko menghasilkan informasi prioritas perlakuan risiko 4,00 88 Evaluasi risiko dilakukan sebagai berikut:
1) Tingkat risiko telah dijadikan dasar dalam 4,00
menyaring risiko;
2) Jika terdapat beberapa tingkat risiko sama,
maka telah dipilih risiko mana yang lebih -
diprioritaskan;
3) Daftar prioritas risiko telah dikomunikasikan
kepada atasan langsungnya.

34 Dokumentasi evaluasi risiko dilaksanakan dengan baik 1,00 89 Dokumentasi evaluasi risiko telah dilaksanakan
-
secara memadai. 1,00

IX PERLAKUAN RISIKO

35 Pembagian wewenang perlakuan risiko kepada para risk owner 1,00 90 Manajemen mendelegasikan wewenang untuk
memutuskan perlakuan risiko kepada para risk 1,00
-
owner sesuai jenjang tanggungjawab masing-
masing.
36 Penentuan/ pemilihan perlakuan risiko telah efektif. 1,00 91 Penentuan/pemilihan perlakuan risiko telah
melalui proses analisis yang memadai dengan 1,00
didukung oleh data yang relevan, cukup dalam
menaksir efek suatu perlakuan risiko terhadap
-
pengurangan likehood dan dampaknya.
37 Perlakuan risiko yang akan diambil terhadap suatu risiko telah 2,00 92 Penyusunan rencana perlakuan risiko telah
direncanakan dengan baik sesuai dengan kebutuhannya dan dapat meliputi hal-hal berikut: 2,00
diterapkan dengan efektif. 1) Mempertimbangkan sumber risiko dan
pengendalian yang ada;
2) Mempertimbangkan sasaran perlakuan risiko;
3) Perencanaan rinci perlakuan risiko yang
cukup praktis, dapat diterapkan, cukup fleksibel,
dan dapat dilakukan perawatan untuk menjaga
serta mempertahankan efektivitasnya; -
4) Reviu atas desain rencana perlakuan dengan
para pihak yang terlibat; ataupun yang
terpengaruh oleh adanya tindakan perlakuan
risiko tersebut;
5) Menyusun rencana komunikasi yang baik
sebagai persiapan pelaksanaan perlakuan risiko.

38 Muatan rencana penerapan perlakuan risiko jelas. 2,00 93 Rencana penerapan perlakuan risiko memuat
antara lain: 1,00
1) Kejelasan akuntabilitas dan tanggung jawab,
sumber daya yang dibutuhkan, jadwal rinci
kegiatan penerapan, hasil yang diharapkan,
-
ukuran kinerja dan kapan serta bagaimana
proses peninjauan akan dilakukan;
2) Mekanisme pengukuran dan pemantauan
secara berkala tentang efektivitas perlakuan
risiko terhadap sasaran yang ditetapkan.
94 Rencana penanganan/perlakuan risiko
digunakan untuk penyusunan budget/anggaran 1,00 -
Perusahaan.
39 Dokumentasi perlakuan risiko yang memadai 1,00 95 Dokumentasi perlakuan risiko yang memadai
memuat: 1,00
1. Proses/analisis penentuan perlakuan risiko;
2. Rencana perlakuan risiko;
-
3. Data base perlakuan risiko yang ditetapkan
dan dilaksanakan;
4. Realisasi waktu perlakuan risiko;
5. Person/Unit.

X MONITORING DAN REVIU

40 Pelaksanaan monitoring secara efektif 1,50 96 Risk assessment dilakukan secara berkala
(minimal dua kali dalam satu tahun). 1,50 -
41 Pelaksanaan reviu secara efektif 1,50 97 Terdapat reviu atas efektivitas perlakuan risiko
-
yang telah ditetapkan. 1,50
42 Tindak lanjut dan laporan kelemahan proses Manajemen Risiko 2,00 98 Laporan hasil reviu atas efektivitas proses
Manajemen Risiko disampaikan kepada 1,00 -
manajemen.
99 Perusahaan menindaklanjuti kelemahan proses
-
Manajemen Risiko. 1,00

XI PELAPORAN

43 Pelaporan kinerja Manajemen Risiko secara berkala 2,00 100 Terdapat laporan profil risiko yang disusun
-
secara berkala sesuai ketentuan/pedoman. 1,00
101 Terdapat laporan pengelolaan/kinerja
Manajemen Risiko yang disusun secara berkala 1,00 -
sesuai ketentuan/pedoman.
 100,00
100,00 -

METODE
ASPEK INDIKATOR PARAMETER PEROLEHAN
INFORMASI

URAIAN BOBOT URAIAN BOBOT URAIAN

BOBOT

1 Integrasi 10,00 1 Penetapan tujuan, sasaran, 1 Perusahaan memiliki acuan (berupa kebijakan, RD
dan strategi perusahaan 5,00 pedoman, atau prosedur) untuk menetapkan 0,45
tujuan dan sasaran.

2 Manajemen mengembangkan sasaran strategis RD, K

yang selaras dengan visi, misi perusahaan. 0,45
3 Sasaran strategis perusahaan selaras dengan RD, K
tingkat pertumbuhan yang ingin dicapai 0,45
perusahaan.
4 Sasaran strategis perusahaan selaras dengan RD, K
besaran risiko yang bisa diterima perusahaan. 0,45
5 Sasaran strategis dikomunikasikan kepada RD
jajaran manajemen. 0,45
6 Capaian sasaran strategis dievaluasi secara RD
berkala. 0,45
7 Perusahaan menetapkan strategi yang selaras RD, K
dengan sasaran strategis yg hendak dicapai. 0,45
8 Strategi yang ditetapkan telah RD, K
mempertimbangkan risiko. 0,45
9 Sasaran strategis telah dijabarkan ke dalam RD
sasaran yang lebih spesifik di tingkat operasional 0,45
(cascading).
10 Sasaran tingkat operasional telah RD
dikomunikasikan ke pihak-pihak terkait. 0,45
11 Sasaran operasional telah dilakukan evaluasi RD
secara berkala. 0,45
 2 Akuntabilitas Manajemen 12 Perusahaan menetapkan struktur/peran yang RD
Risiko 5,00 bertanggung jawab untuk melaksanakan proses 2,50
Manajemen Risiko.
13 Perusahaan menetapkan struktur/peran yang RD
bertanggung jawab untuk melaksanakan 2,50
pengawasan (oversight) atas proses Manajemen
Risiko.

2 Perancangan 20,00 3 Pemahaman Organisasi 14 Setiap insan Perusahaan memahami visi dan K
Kerangka 4,00 misi perusahaan. 0,80
Kerja
15 Setiap insan Perusahaan memahami tujuan dan K
sasaran strategis Perusahaan. 0,80
16 Setiap insan di unit kerja memahami tujuan dan K
sasaran operasional unit kerjanya. 0,80
17 Perusahaan telah mendefinisikan hubungan dan RD
kepentingan lingkungan eksternal terhadap 0,80
organisasi, mencakup:
- lingkungan bisnis perusahaan,
- lingkungan sosial,
- pemerintah pusat dan daerah sebagai regulator,
- faktor budaya,
- situasi kompetisi/persaingan,
- lingkungan financial,
- unsur politik,
- aspek lainnya yang relevan dengan jenis
industrinya.
18 Perusahaan telah mendefinisikan hubungan dan RD
kepentingan stakeholder internal perusahaan 0,80
(stakeholder internal bagi perusahaan antara lain
pegawai, serikat pekerja, komisaris, komite
Manajemen Risiko, dsb.).
4 Komitmen Penerapan 19 Perusahaan memiliki Kebijakan Manajemen RD
Manajemen Risiko 5,00 Risiko dengan muatan: 1,25
- Tujuan penerapan Manajemen Risiko;
- Kepemimpinan;
- Selera dan Toleransi;
- Budaya risiko;
- Komitmen dan Organisasi;
- Strategi, rencana/peta jalan, pemantauan
berkala;
- Interval waktu pelaksanaan risk assessment;
- Evaluasi kematangan Manajemen Risiko;
- Pengawasan Penerapan oleh Dekom/Dewas.
20 Perusahaan telah memiliki Buku Panduan RD
Penerapan Manajemen Risiko yang mencakup 1,25
muatan antara lain:
- Ruang Lingkup;
- Proses Manajemen Risiko;
- Kategori Risiko;
- Kriteria Risiko Corporate dan Operasional;
- Daftar/Register/Profil/Peta Risiko;
- Laporan Pengelolaan Risiko;
- Metode dan teknik assessment risiko;
- Definisi penanganan risiko (menghindari,
mengurangi, membagi dan menerima risiko).
21 Terdapat evaluasi terhadap buku panduan yang RD
dilakukan secara periodik. 1,25
22 Sosialisasi Kebijakan dan Buku Panduan RD
Penerapan Manajemen Risiko. 1,25

5 Tata Kelola Risiko 23 Perusahaan telah menerapkan model Three RD, K

5,00 Lines of Defense dalam pengelolaan risiko. 1,00
24 Perusahaan telah menetapkan strategi dan arah RD
penerapan Manajemen Risiko (misal: road 1,00
map/master plan Manajemen Risiko).
25 Perusahaan telah mengintegrasikan proses RD, K
Manajemen Risiko ke dalam perencanaan 1,00
tahunan.
 26 Perusahaan telah menetapkan Kerangka Selera RD
Risiko dalam periode berjalan. 1,00
27 Perusahaan telah menginternalisasi Budaya RD, K, W
Sadar Risiko. 1,00

6 Alokasi Sumber Daya 28 Perusahaan telah menetapkan alokasi sumber RD

3,00 daya dalam penerapan Manajemen Risiko yang 3,00
memuat setidaknya:
- Sumber daya manusia (staf, skill, kompetensi,
dan pengalaman);
- Anggaran;
- Metode dan tools untuk mengelola risiko;
- Prosedur dan proses yang didokumentasikan
(SOP);
- Sistem informasi dan manajemen pengetahuan;
- Pelatihan dan pengembangan profesional.

7 Metode Komunikasi dan 29 Perusahaan telah menetapkan kebijakan RD

Konsultasi 3,00 mengenai komunikasi dan konsultasi yang 3,00
berkesinambungan dalam penerapan
Manajemen Risiko, yang memuat antara lain:
- Pihak-pihak yang berperan;
- Metode yang dipilih (seperti: penggunaan
Metode RACI, FGD, dan sebagainya);
- Jadwal;
- Evaluasi atas efektivitas hasil komunikasi dan
konsultasi.

3 Implementasi, 12,00 8 Implementasi 30 Perusahaan telah menetapkan rencana RD

Evaluasi, dan 5,00 implementasi kerangka kerja Manajemen Risiko 1,25
Perbaikan (termasuk jadwal dan kebutuhan sumber daya).
Kerangka
Kerja
Manajemen
Risiko
31 Perusahaan telah membangun kapasitas RD
Manajemen Risiko bagi seluruh jajaran 1,25
 organisasi melalui program diklat, workshop,
sertifikasi, dan sebagainya.
32 Unit kerja/pemilik risiko telah melakukan integrasi RD, K, W
Manajemen Risiko pada proses bisnis yang 1,25
menjadi tanggung jawabnya.
33 Perusahaan telah melakukan pembinaan RD, K, W, O
pengembangan dan perawatan budaya sadar 1,25
risiko.

9 Evaluasi 34 Terdapat pemantauan yang dilakukan secara RD

5,00 tahunan terhadap efektivitas penerapan 1,50
kerangka Manajemen Risiko.
35 Terdapat reviu atas kerangka kerja Manajemen RD
Risiko (Kebijakan, Struktur Organisasi, 2,00
Pedoman).
36 Terdapat kajian atas kerangka kerja Manajemen RD
Risiko jika terdapat permasalahan. 1,50

10 Perbaikan 37 Dilakukan tindak lanjut reviu berupa perbaikan RD

2,00 atas kerangka kerja Manajemen Risiko 2,00
(Kebijakan, Struktur Organisasi, Pedoman)
berdasar hasil reviu.

4 Komunikasi 6,00 11 Terbangunnya kontribusi 38 Perusahaan menetapkan risk owner dalam setiap RD
dan seluruh PIC dalam proses 2,00 proses bisnis. 0,33
Konsultasi Manajemen Risiko
 39 Unit Manajemen Risiko telah menetapkan RD
petunjuk pelaksanaan proses Manajemen Risiko 0,33
yang memuat:
a. Metode identifikasi risiko;
b. Metode analisis risiko;
c. Kriteria pengukuran dampak;
d. Kriteria pengukuran kemungkinan;
e. Tingkat risiko yang dapat diterima;
f. Alternatif perlakuan risiko (seperti menghindari,
mengurangi, membagi dan menerima risiko);
g. Pelaksanaan pemantauan dan reviu atas
Manajemen Risiko.

40 Petunjuk pelaksanaan proses Manajemen Risiko RD

direviu secara berkala. 0,33
41 Terdapat proses komunikasi dan konsultasi RD, W
penerapan Manajemen Risiko antara Unit 0,33
Manajemen Risiko dengan Risk Owner.
42 Terdapat identifikasi pihak-pihak yang terkait RD, K
dengan masing-masing risiko, termasuk peran 0,33
dan tanggung jawabnya.
43 Terdapat proses penyamaan persepsi pada saat RD, K
menetapkan kriteria risiko dan saat mengevaluasi 0,33
risiko.

12 Pemanfaatan teknologi 44 Adanya pertimbangan biaya manfaat atas RD

informasi dan komunikasi 2,00 penggunaan teknologi informasi. 0,67
dalam rangka Manajemen
Risiko
45 Penggunaan sistem informasi mendukung RD, K
pencapaian strategi perusahaan. 0,67
46 Adanya reviu atas efektivitas pemanfaatan TI RD
yang dibangun dan penyempurnaannya. 0,67
 13 Penyediaan data dan 47 Perusahaan memastikan bahwa data dan RD
informasi yang berkualitas 2,00 informasi tentang risiko dapat dengan mudah 0,67
diakses oleh pegawai yang memiliki wewenang.
48 Data informasi yang digunakan oleh Perusahaan RD, K, W
berkualitas. 0,67
49 Perusahaan memastikan kontinuitas perolehan RD
data dan informasi dalam keadaan darurat. 0,67

5 Lingkup, 22,00 14 1. Penetapan Lingkup 50 Terdapat penetapan lingkup kegiatan RD

Konteks dan 1,50 Manajemen Risiko yang akan dilaksanakan 1,50
Kriteria (penetapan lingkup kegiatan Manajemen Risiko
dapat diterapkan pada level strategis,
operasional, program, proyek, aktivitas lainnya).
2. Penetapan Konteks
15 Penetapan konteks eksternal 51 Perusahaan melakukan analisis terhadap RD
2,00 lingkungan eksternal untuk mengidentifikasi 0,67
kesempatan dan ancaman terhadap aktivitas
Perusahaan.
52 Perusahaan melakukan analisis untuk RD
menentukan seberapa jauh pengaruh dari 0,67
stakeholder eksternal terhadap aktivitas
perusahaan.
53 Analisis yang dilakukan telah memberikan RD, W
informasi yang diperlukan untuk menetapkan 0,67
posisi dan strategi perusahaan.

16 Perusahaan mendefinisikan 54 Perusahaan telah mendefinisikan dan RD

aktivitas utama 2,00 menetapkan aktivitas utama (main business 0,50
process) perusahaan.
55 Perusahaan mendefinisikan dan menetapkan RD
aktivitas pendukung. 0,50
56 Perusahaan menetapkan competitive advantage RD
yang akan dicapai. 0,50
57 Perusahaan menetapkan strategi (competitive RD, W
strategies) untuk meningkatkan nilai perusahaan. 0,50
17 Pemahaman terhadap 58 Budaya Perusahaan telah didokumentasikan dan RD
budaya perusahaan 2,00 dijabarkan ke dalam Aturan Perilaku yang 0,40
(corporate culture) ditandatangani Direksi dan Komisaris.
59 Perusahaan telah melakukan sosialisasi dan RD, K
internalisasi budaya perusahaan. 0,40
60 Insan Perusahaan telah memahami budaya K, W
perusahaan (corporate culture) berupa 0,40
serangkaian nilai atau keyakinan yang
menghasilkan pola perilaku tertentu secara
kolektif dalam perusahaan.
61 Adanya keteladanan manajemen puncak dalam K, W
menerapkan budaya perusahaan. 0,40
62 Adanya evaluasi penerapan budaya perusahaan RD
secara berkala. 0,40

18 Penetapan konteks internal 63 Perusahaan melakukan analisis terhadap RD

1,50 proses/operasi perusahaan untuk 0,50
mengidentifikasi kekuatan maupun kelemahan
organisasi.
64 Perusahaan melakukan analisis untuk RD
menentukan seberapa jauh pengaruh dari 0,50
stakeholder internal terhadap aktivitas
perusahaan.
65 Analisis yang dilakukan telah memberikan RD, K, W
informasi yang diperlukan untuk menetapkan 0,50
posisi dan strategi perusahaan.
19 Tata kelola perusahaan yang
baik (good corporate
governance)
20 Kapabilitas sumberdaya
Manajemen Risiko
66 Perusahaan menerapkan tata kelola perusahaan RD
1,50 yang baik ditunjukkan dengan: 1,50
a. Indeks Kepuasan Pekerja yang baik;
b. Tidak ada kasus hukum perusahaan yang
diputuskan bersalah;
c. Tidak ada top manajemen yang dituntut
perkara pidana/perdata terkait pengurusan
perusahaan;
d. Tidak ada perselisihan dengan masyarakat
sekitar;
e. Trend kinerja yang membaik.
67 Perusahaan menyediakan pendidikan, pelatihan, RD
2,00 dan pengembangan pegawai untuk mendukung 0,50
pencapaian sasaran perusahaan, antara lain:
a. Terdapat program pengembangan pegawai
berdasar competency gap analysis;
b. Adanya anggaran yang mencukupi untuk diklat
dan pengembangan SDM;
c. Diklat dilaksanakan sesuai program
pengembangan;
d. Terdapat sistem evaluasi untuk mengukur
capaian kinerja kegiatan diklat; (evaluasi
pemahaman, pengaruh pada pelaksanaan
pekerjaan, dan dampak pada peningkatan
kinerja).
68 Perusahaan telah mengelola pengetahuan RD, K
(knowledge management) agar seluruh jajaran 0,50
perusahaan memiliki pengetahuan yang sesuai
perkembangan jaman (update/mutakhir)
termasuk pengetahuan tentang Manajemen
Risiko
69 Perusahaan menciptakan lingkungan kerja yang RD, K, W
kondusif (memberikan jaminan kesehatan, 0,50
keselamatan, keamanan, dan kenyamanan
bekerja bagi pegawai).
 70 Perusahaan memiliki sistem reward & RD, K
punishment yang dikaitkan dengan kemampuan 0,50
menangani risiko dan sistem ini dilaksanakan.

21 Mendefinisikan pola 71 Perusahaan menetapkan pola pengambilan RD

pengambilan keputusan 1,00
dalam Manajemen Risiko,
keputusan dalam penanganan (mitigasi) risiko. 1,00
Pola pengambilan keputusan tersebut meliputi 2
hal, yaitu:
a. Pengaturan kewenangan penanganan risiko;
b. Jenis penanganan risiko yang dilakukan.

22 Mendefinisikan aktivitas 72 Setiap aktivitas dalam perusahaan baik dengan RD

dalam hal waktu, lokasi, 1,50
tujuan, dan sasaran.
nama kegiatan, proses, fungsi, proyek, produk 1,50
atau layanan harus didefinisikan dengan
memadai yang minimal meliputi:
a. Tujuan/ sasaran apabila aktivitas telah selesai
dilaksanakan, termasuk target kinerja;
b. Lokasi aktivitas dilaksanakan;
c. Waktu pelaksanaan, termasuk kajian apabila
terjadi keterlambatan pelaksanaan aktivitas.

23 Adanya evaluasi 73 Perusahaan sudah menetapkan kriteria untuk RD

kematangan Manajemen 2,00 mengevaluasi kematangan Manajemen Risiko, 2,00
Risiko minimal sebagai berikut:
a. Perusahaan menerbitkan pedoman untuk
melakukan evaluasi kematangan Manajemen
Risiko.
b. Terdapat penetapan sasaran dan target
kematangan Manajemen Risiko di awal periode,
misalkan dalam KPI Perusahaan.
c. Evaluasi dilakukan secara periodik.
d. Evaluasi dilakukan oleh pihak yang
independen, baik dari internal maupun eksternal.
e. Proses evaluasi dapat mendeteksi kelemahan
dalam penerapan Manajemen Risiko dan dapat
memberikan rekomendasi perbaikannya.
 3. Pengembangan Kriteria
Risiko
24 Penetapan kriteria analisis 74 Perusahaan telah melakukan penetapan kriteria RD
risiko 1,50 analisis risiko yang mencakup kriteria 1,50
kemungkinan (likelihood) dan kriteria dampak
(impact).
25 Penetapan kriteria evaluasi 75 Perusahaan telah melakukan penetapan kriteria RD
risiko 1,50 evaluasi risiko yang mencakup kriteria selera 1,50
risiko (risk appetite), kriteria toleransi risiko (risk
tolerance) dan kriteria proritas risiko (risk priority).
26 Penetapan kriteria efektivitas 76 Perusahaan telah melakukan penetapan kriteria RD
proses Manajemen Risiko 2,00 efektivitas proses Manajemen Risiko yang 2,00
mencakup kriteria efektivitas pelaksanaan proses
Manajemen Risiko dan kriteria efektivitas
pelaksanaan perlakuan risiko.

6 Identifikasi 6,00 27 Identifikasi risiko telah 77 Proses identifikasi risiko telah RD

Risiko mempertimbangkan seluruh 2,00 mempertimbangkan: 2,00
faktor risiko baik eksternal a. faktor risiko eksternal (misal:ekonomi, politik,
dan internal sosial, hukum, teknologi, lingkungan alam);
b. faktor risiko internal (misal: keuangan,
infrastruktur, sumber daya manusia, proses,
teknologi internal, data kejadian masa lalu,
ataupun perubahan signifikan kondisi terkini
perusahaan).
28 Identifikasi risiko dikaitkan 78 Keterkaitan antara risiko dengan sasaran yang RD, W
dengan sasaran yang 2,00 ditetapkan telah mempertimbangkan: 2,00
ditetapkan 1) Terdapat keselarasan sasaran di tingkat
strategis dengan tingkat operasional (kegiatan);
2) Risiko yang diidentifikasi terkait langsung
dengan sasaran yang hendak dicapai.
 29 Manajemen telah melakukan 79 Pelaksanaan identifikasi risiko telah mengacu RD
identifikasi risiko sesuai 2,00 sepenuhnya pada Pedoman/Prosedur 0,75
dengan metodologi yang Manajemen Risiko yang telah ditetapkan
tertuang dalam Perusahaan atau menerapkan metodologi yang
kebijakan/pedoman lebih advanced.
Manajemen Risiko
Perusahaan
80 Identifikasi risiko dilakukan sesuai Interval waktu RD
yang telah ditetapkan dalam kebijakan 0,75
Manajemen Risiko

81 Dokumentasi telah dilaksanakan secara RD

7 Analisis Risiko 5,00 30 Tingkat risiko dihitung
dengan memperhitungkan
kriteria risiko dan
pengendalian internal
memadai, mulai tahap identifikasi awal hingga 0,50
tersusunnya daftar risiko sebagai hasil proses
identifikasi.
82 Pemilihan dampak dan kemungkinan pada saat RD, W
2,00 analisis risiko didasarkan data yang dapat 0,50
dipertanggungjawabkan.
83 Dampak dinilai setelah mempertimbangkan RD, W
efektivitas pengendalian yang ada, yaitu: 0,75
a. Setiap risiko yang diidentifikasi telah dilengkapi
informasi mengenai dampak/konsekuensinya;
b. Dampak harus dapat dikaitkan dengan tujuan
dan sasaran perusahaan;
c. Pengukuran dampak didasarkan pada
ketersediaan data yang memadai.
84 Kemungkinan dinilai setelah mempertimbangkan RD, W
efektivitas pengendalian yang ada. 0,75

31 Metode analisis risiko yang 85 Analisis risiko dilakukan sesuai Pedoman RD

digunakan 2,00 Manajemen Risiko yang ditetapkan atau secara 1,00
mempertimbangkan konsisten (bagi yang belum memiliki Pedoman
ketersediaan data dan Manajemen Risiko).
kebutuhan risk owner

32 Dokumentasi analisis risiko
dilaksanakan dengan baik
8 Evaluasi 5,00 33 Evaluasi risiko menghasilkan
Risiko informasi prioritas perlakuan 4,00
risiko
34 Dokumentasi evaluasi risiko
dilaksanakan dengan baik
9 Perlakuan 7,00 35 Pembagian wewenang
Risiko perlakuan risiko kepada para
risk owner
36 Penentuan/ pemilihan
perlakuan risiko telah efektif.
37 Perlakuan risiko yang akan
diambil terhadap suatu risiko
telah direncanakan dengan
baik sesuai dengan
kebutuhannya dan dapat
diterapkan dengan efektif.
86 Metode yang dibangun didukung dengan suatu RD
mekanisme untuk menjamin bahwa setiap risk 1,00
owner akan melakukan penilaian risiko sesuai
dengan pedoman yang telah ditetapkan.
87 Dokumentasi analisis risiko dilaksanakan dengan RD
1,00 baik. 1,00
88 Evaluasi risiko dilakukan sebagai berikut: RD, K, W
1) Tingkat risiko telah dijadikan dasar dalam 4,00
menyaring risiko;
2) Jika terdapat beberapa tingkat risiko sama,
maka telah dipilih risiko mana yang lebih
diprioritaskan;
3) Daftar prioritas risiko telah dikomunikasikan
kepada atasan langsungnya.
89 Dokumentasi evaluasi risiko telah dilaksanakan RD
1,00 secara memadai. 1,00
90 Manajemen mendelegasikan wewenang untuk RD
1,00 memutuskan perlakuan risiko kepada para risk 1,00
owner sesuai jenjang tanggungjawab masing-
masing.
91 Penentuan/pemilihan perlakuan risiko telah RD, K, W
1,00 melalui proses analisis yang memadai dengan 1,00
didukung oleh data yang relevan, cukup dalam
menaksir efek suatu perlakuan risiko terhadap
pengurangan likehood dan dampaknya.
92 Penyusunan rencana perlakuan risiko telah RD, K, W
2,00 meliputi hal-hal berikut: 2,00
1) Mempertimbangkan sumber risiko dan
pengendalian yang ada;
2) Mempertimbangkan sasaran perlakuan risiko;
3) Perencanaan rinci perlakuan risiko yang cukup
praktis, dapat diterapkan, cukup fleksibel, dan
 dapat dilakukan perawatan untuk menjaga serta
mempertahankan efektivitasnya;
4) Reviu atas desain rencana perlakuan dengan
para pihak yang terlibat; ataupun yang
terpengaruh oleh adanya tindakan perlakuan
risiko tersebut;
5) Menyusun rencana komunikasi yang baik
sebagai persiapan pelaksanaan perlakuan risiko.

38 Muatan rencana penerapan 93 Rencana penerapan perlakuan risiko memuat RD

perlakuan risiko jelas. 2,00 antara lain: 1,00
1) Kejelasan akuntabilitas dan tanggung jawab,
sumber daya yang dibutuhkan, jadwal rinci
kegiatan penerapan, hasil yang diharapkan,
ukuran kinerja dan kapan serta bagaimana
proses peninjauan akan dilakukan;
2) Mekanisme pengukuran dan pemantauan
secara berkala tentang efektivitas perlakuan
risiko terhadap sasaran yang ditetapkan.

94 Rencana penanganan/perlakuan risiko RD

digunakan untuk penyusunan budget/anggaran 1,00
Perusahaan.
39 Dokumentasi perlakuan 95 Dokumentasi perlakuan risiko yang memadai RD
risiko yang memadai 1,00 memuat: 1,00
1. Proses/analisis penentuan perlakuan risiko;
2. Rencana perlakuan risiko;
3. Data base perlakuan risiko yang ditetapkan
dan dilaksanakan;
4. Realisasi waktu perlakuan risiko;
5. Person/Unit.

10 Monitoring dan 5,00 40 Pelaksanaan monitoring 96 Risk assessment dilakukan secara berkala RD
Reviu secara efektif 1,50 (minimal dua kali dalam satu tahun). 1,50
41 Pelaksanaan reviu secara 97 Terdapat reviu atas efektivitas perlakuan risiko RD
efektif 1,50 yang telah ditetapkan. 1,50
 42 Tindak lanjut dan laporan 98 Laporan hasil reviu atas efektivitas proses RD
kelemahan proses 2,00 Manajemen Risiko disampaikan kepada 1,00
Manajemen Risiko manajemen.
99 Perusahaan menindaklanjuti kelemahan proses RD
Manajemen Risiko. 1,00

11 Pelaporan 2,00 43 Pelaporan kinerja 100 Terdapat laporan profil risiko yang disusun RD
Manajemen Risiko secara 2,00 secara berkala sesuai ketentuan/pedoman. 1,00
berkala
101 Terdapat laporan pengelolaan/kinerja RD
Manajemen Risiko yang disusun secara berkala 1,00
sesuai ketentuan/pedoman.

100,00
100,00 100,00
 PARAMETER
METODE
PEROLEHAN KUESIONER JAWABAN KETERANGAN
URAIAN INFORMASI
BOBOT

1 Perusahaan memiliki acuan (berupa RD Tujuan dan sasaran perusahaan ditetapkan melalui prosedur
kebijakan, pedoman, atau prosedur) untuk 0,45 yang jelas dan konsisten 1 2 3 4 5
menetapkan tujuan dan sasaran.
Tujuan dan sasaran unit kerja disusun melalui prosedur yang
1 2 3 4 5
jelas dan konsisten
2 Manajemen mengembangkan sasaran RD, K Bagaimana keselarasan antara sasaran strategis dengan visi
strategis yang selaras dengan visi, misi 0,45 dan misi perusahaan? 1 2 3 4 5
perusahaan.
3 Sasaran strategis perusahaan selaras dengan RD, K Penetapan sasaran strategis perusahaan ditetapkan dengan
tingkat pertumbuhan yang ingin dicapai 0,45 memperhatikan tingkat pertumbuhan yang ditargetkan 1 2 3 4 5
perusahaan.
Penetapan sasaran strategis perusahaan sejalan dengan
1 2 3 4 5
tingkat pertumbuhan yang diharapkan
4 Sasaran strategis perusahaan selaras dengan RD, K Sasaran strategis perusahaan ditetapkan dengan
besaran risiko yang bisa diterima perusahaan. 0,45 mempertimbangkan risiko yang dihadapi perusahaan 1 2 3 4 5

untuk setiap sasaran perusahaan/unit kerja yang ditetapkan,

telah dieksplore seluruh risiko yang mungkin mengganggu 1 2 3 4 5
pencapaiannya
Sejauh mana manajemen mempertimbangkan
risiko/permasalahan yang mungkin terjadi dalam 1 2 3 4 5
menetapkan sasaran perusahaan/unit kerja
5 Sasaran strategis dikomunikasikan kepada RD Sejauh mana penetapan sasaran unit kerja
jajaran manajemen. 0,45 mempertimbangkan sasaran strategis di unit kerja Saudara? 1 2 3 4 5

6 Capaian sasaran strategis dievaluasi secara RD

berkala. 0,45
7 Perusahaan menetapkan strategi yang selaras RD, K Menurut Saudara, strategi yang ditetapkan sudah tepat untuk
dengan sasaran strategis yg hendak dicapai. 0,45 mencapai sasaran stratgeis yang ditetapkan 1 2 3 4 5

Bagaimana kesesuaian strategi yang ditetapkan dengan

sasaran yang akan dicapai 1 2 3 4 5

8 Strategi yang ditetapkan telah RD, K Penetapan strategi telah mengeksplor risiko yang mungkin
1 2 3 4 5
mempertimbangkan risiko. 0,45 terjadi
9 Sasaran strategis telah dijabarkan ke dalam RD Menurut Saudara, bagaimana kesesuaian sasaran unit kerja
sasaran yang lebih spesifik di tingkat 0,45 saudara dengan sasaran strategis? 1 2 3 4 5
operasional (cascading).
10 Sasaran tingkat operasional telah RD
dikomunikasikan ke pihak-pihak terkait. 0,45
11 Sasaran operasional telah dilakukan evaluasi RD
secara berkala. 0,45

12 Perusahaan menetapkan struktur/peran yang RD

bertanggung jawab untuk melaksanakan 2,50
proses Manajemen Risiko.

13 Perusahaan menetapkan struktur/peran yang RD

bertanggung jawab untuk melaksanakan 2,50
pengawasan (oversight) atas proses
Manajemen Risiko.

14 Setiap insan Perusahaan memahami visi dan K Bagaimana pemahaman Saudara mengenai visi dan misi
misi perusahaan. 0,80 perusahaan? 1 2 3 4 5

15 Setiap insan Perusahaan memahami tujuan K Bagaimana pemahaman Saudara mengenai tujuan dan
dan sasaran strategis Perusahaan. 0,80 sasaran strategis perusahaan? 1 2 3 4 5

16 Setiap insan di unit kerja memahami tujuan K Bagaimana pemahaman Saudara mengenai tujuan dan
dan sasaran operasional unit kerjanya. 0,80 sasaran unit kerja Saudara? 1 2 3 4 5

17 Perusahaan telah mendefinisikan hubungan RD

dan kepentingan lingkungan eksternal 0,80
terhadap organisasi, mencakup:
- lingkungan bisnis perusahaan,
- lingkungan sosial,
- pemerintah pusat dan daerah sebagai
regulator,
- faktor budaya,
- situasi kompetisi/persaingan,
- lingkungan financial,
- unsur politik,
- aspek lainnya yang relevan dengan jenis
industrinya.
18 Perusahaan telah mendefinisikan hubungan RD
dan kepentingan stakeholder internal 0,80
perusahaan (stakeholder internal bagi
perusahaan antara lain pegawai, serikat
pekerja, komisaris, komite Manajemen Risiko,
dsb.).

19 Perusahaan memiliki Kebijakan Manajemen RD

Risiko dengan muatan: 1,25
- Tujuan penerapan Manajemen Risiko;
- Kepemimpinan;
- Selera dan Toleransi;
- Budaya risiko;
- Komitmen dan Organisasi;
- Strategi, rencana/peta jalan, pemantauan
berkala;
- Interval waktu pelaksanaan risk assessment;
- Evaluasi kematangan Manajemen Risiko;
- Pengawasan Penerapan oleh
Dekom/Dewas.
20 Perusahaan telah memiliki Buku Panduan RD
Penerapan Manajemen Risiko yang 1,25
mencakup muatan antara lain:
- Ruang Lingkup;
- Proses Manajemen Risiko;
- Kategori Risiko;
- Kriteria Risiko Corporate dan Operasional;
- Daftar/Register/Profil/Peta Risiko;
- Laporan Pengelolaan Risiko;
- Metode dan teknik assessment risiko;
- Definisi penanganan risiko (menghindari,
mengurangi, membagi dan menerima risiko).
21 Terdapat evaluasi terhadap buku panduan RD
yang dilakukan secara periodik. 1,25
22 Sosialisasi Kebijakan dan Buku Panduan RD
Penerapan Manajemen Risiko. 1,25

23 Perusahaan telah menerapkan model Three RD, K

Lines of Defense dalam pengelolaan risiko. 1,00
24 Perusahaan telah menetapkan strategi dan RD
arah penerapan Manajemen Risiko (misal: 1,00
road map/master plan Manajemen Risiko).
25 Perusahaan telah mengintegrasikan proses RD, K Menurut Saudara, sejauh mana perencanaan tahunan
Manajemen Risiko ke dalam perencanaan 1,00 perusahaan sudah terintegrasi dengan proses manajemen 1 2 3 4 5
tahunan. risiko?
26 Perusahaan telah menetapkan Kerangka RD
Selera Risiko dalam periode berjalan. 1,00
27 Perusahaan telah menginternalisasi Budaya RD, K, W Menurut Saudara, sejauh mana budaya sadar risiko telah
1 2 3 4 5
Sadar Risiko. 1,00 diterapkan di perusahaan?

28 Perusahaan telah menetapkan alokasi sumber RD

daya dalam penerapan Manajemen Risiko 3,00
yang memuat setidaknya:
- Sumber daya manusia (staf, skill,
kompetensi, dan pengalaman);
- Anggaran;
- Metode dan tools untuk mengelola risiko;
- Prosedur dan proses yang didokumentasikan
(SOP);
- Sistem informasi dan manajemen
pengetahuan;
- Pelatihan dan pengembangan profesional.

29 Perusahaan telah menetapkan kebijakan RD

mengenai komunikasi dan konsultasi yang 3,00
berkesinambungan dalam penerapan
Manajemen Risiko, yang memuat antara lain:
- Pihak-pihak yang berperan;
- Metode yang dipilih (seperti: penggunaan
Metode RACI, FGD, dan sebagainya);
- Jadwal;
- Evaluasi atas efektivitas hasil komunikasi
dan konsultasi.

30 Perusahaan telah menetapkan rencana RD

implementasi kerangka kerja Manajemen 1,25
Risiko (termasuk jadwal dan kebutuhan
sumber daya).
31 Perusahaan telah membangun kapasitas RD
Manajemen Risiko bagi seluruh jajaran 1,25
organisasi melalui program diklat, workshop,
sertifikasi, dan sebagainya.
32 Unit kerja/pemilik risiko telah melakukan RD, K, W Menurut Saudara, sejauh mana pelaksanaan proses bisnis
integrasi Manajemen Risiko pada proses 1,25 telah terintegrasi dan memperhatikan manajemen risiko? 1 2 3 4 5
bisnis yang menjadi tanggung jawabnya.
33 Perusahaan telah melakukan pembinaan RD, K, W, O
pengembangan dan perawatan budaya sadar 1,25
risiko.
34 Terdapat pemantauan yang dilakukan secara RD
tahunan terhadap efektivitas penerapan 1,50
kerangka Manajemen Risiko.
35 Terdapat reviu atas kerangka kerja RD
Manajemen Risiko (Kebijakan, Struktur 2,00
Organisasi, Pedoman).
36 Terdapat kajian atas kerangka kerja RD
Manajemen Risiko jika terdapat 1,50
permasalahan.

37 Dilakukan tindak lanjut reviu berupa perbaikan RD

atas kerangka kerja Manajemen Risiko 2,00
(Kebijakan, Struktur Organisasi, Pedoman)
berdasar hasil reviu.

38 Perusahaan menetapkan risk owner dalam RD

setiap proses bisnis. 0,33
39 Unit Manajemen Risiko telah menetapkan RD
petunjuk pelaksanaan proses Manajemen 0,33
Risiko yang memuat:
a. Metode identifikasi risiko;
b. Metode analisis risiko;
c. Kriteria pengukuran dampak;
d. Kriteria pengukuran kemungkinan;
e. Tingkat risiko yang dapat diterima;
f. Alternatif perlakuan risiko (seperti
menghindari, mengurangi, membagi dan
menerima risiko);
g. Pelaksanaan pemantauan dan reviu atas
Manajemen Risiko.

40 Petunjuk pelaksanaan proses Manajemen RD

Risiko direviu secara berkala. 0,33
41 Terdapat proses komunikasi dan konsultasi RD, W
penerapan Manajemen Risiko antara Unit 0,33
Manajemen Risiko dengan Risk Owner.
42 Terdapat identifikasi pihak-pihak yang terkait RD, K
dengan masing-masing risiko, termasuk peran 0,33
dan tanggung jawabnya.
43 Terdapat proses penyamaan persepsi pada RD, K
saat menetapkan kriteria risiko dan saat 0,33
mengevaluasi risiko.

44 Adanya pertimbangan biaya manfaat atas RD

penggunaan teknologi informasi. 0,67
45 Penggunaan sistem informasi mendukung RD, K Menurut Saudara, bagaimana dukungan siste informasi
1 2 3 4 5
pencapaian strategi perusahaan. 0,67 dalam mendukung pencapaian strategi perusahaan
46 Adanya reviu atas efektivitas pemanfaatan TI RD
yang dibangun dan penyempurnaannya. 0,67

47 Perusahaan memastikan bahwa data dan RD

informasi tentang risiko dapat dengan mudah 0,67
diakses oleh pegawai yang memiliki
wewenang.
48 Data informasi yang digunakan oleh RD, K, W Bagaimana kualitas informasi mengenai pengelolaan risiko di
Perusahaan berkualitas. 0,67 perusahaan yang digunakan dalam pengambilan keputusan? 1 2 3 4 5

49 Perusahaan memastikan kontinuitas RD

perolehan data dan informasi dalam keadaan 0,67
darurat.

50 Terdapat penetapan lingkup kegiatan RD

Manajemen Risiko yang akan dilaksanakan 1,50
(penetapan lingkup kegiatan Manajemen
Risiko dapat diterapkan pada level strategis,
operasional, program, proyek, aktivitas
lainnya).

51 Perusahaan melakukan analisis terhadap RD

lingkungan eksternal untuk mengidentifikasi 0,67
kesempatan dan ancaman terhadap aktivitas
Perusahaan.
52 Perusahaan melakukan analisis untuk RD
menentukan seberapa jauh pengaruh dari 0,67
stakeholder eksternal terhadap aktivitas
perusahaan.
53 Analisis yang dilakukan telah memberikan RD, W
informasi yang diperlukan untuk menetapkan 0,67
posisi dan strategi perusahaan.

54 Perusahaan telah mendefinisikan dan RD

menetapkan aktivitas utama (main business 0,50
process) perusahaan.
55 Perusahaan mendefinisikan dan menetapkan RD
aktivitas pendukung. 0,50

56 Perusahaan menetapkan competitive RD

advantage yang akan dicapai. 0,50

57 Perusahaan menetapkan strategi (competitive RD, W

strategies) untuk meningkatkan nilai 0,50
perusahaan.

58 Budaya Perusahaan telah didokumentasikan RD

dan dijabarkan ke dalam Aturan Perilaku yang 0,40
ditandatangani Direksi dan Komisaris.

59 Perusahaan telah melakukan sosialisasi dan RD, K

internalisasi budaya perusahaan. 0,40

60 Insan Perusahaan telah memahami budaya K, W Bagaimana pemahaman Saudara mengenai budaya
perusahaan (corporate culture) berupa 0,40 perusahaan?
serangkaian nilai atau keyakinan yang 1 2 3 4 5
menghasilkan pola perilaku tertentu secara
kolektif dalam perusahaan.
Bagaimana pemahaman Saudara mengenai budaya risiko
1 2 3 4 5
perusahaan?
61 Adanya keteladanan manajemen puncak K, W Menurut Saudara, Direksi telah memberikan contoh yang
dalam menerapkan budaya perusahaan. 0,40 baik (tone of the top) mengenai penerapan budaya 1 2 3 4 5
perusahaan
Menurut Saudara, Direksi telah memberikan contoh yang
baik (tone of the top) mengenai penerapan budaya sadar 1 2 3 4 5
risiko di perusahaan
Menurut Saudara, pimpinan unit kerja Saudara telah
memberikan contoh yang baik (tone of the top) mengenai 1 2 3 4 5
penerapan budaya perusahaan
Menurut Saudara, pimpinan unit kerja Saudara telah
memberikan contoh yang baik (tone of the top) mengenai 1 2 3 4 5
penerapan budaya sadar risiko perusahaan
62 Adanya evaluasi penerapan budaya RD
perusahaan secara berkala. 0,40

63 Perusahaan melakukan analisis terhadap RD Apakah secara berkala dilakukan analisis terhadap
proses/operasi perusahaan untuk 0,50 proses/operasi perusahaan untuk mengidentifikasi kekuatan
mengidentifikasi kekuatan maupun kelemahan maupun kelemahan organisasi. Ya Tidak
organisasi.
64 Perusahaan melakukan analisis untuk RD Apakah dalam proses perencanaan Perusahaan dilakukan
menentukan seberapa jauh pengaruh dari 0,50 analisis untuk menentukan seberapa jauh pengaruh dari
stakeholder internal terhadap aktivitas stakeholder internal terhadap aktivitas perusahaan. Ya Tidak
perusahaan.
65 Analisis yang dilakukan telah memberikan RD, K, W Menurut Saudara, hasil analisis yang dilakukan cukup
informasi yang diperlukan untuk menetapkan 0,50 bermanfaat dalam memberikan informasi untuk menetapkan 1 2 3 4 5
posisi dan strategi perusahaan. posisi dan strategi perusahaan.

66 Perusahaan menerapkan tata kelola RD

perusahaan yang baik ditunjukkan dengan: 1,50
a. Indeks Kepuasan Pekerja yang baik;
b. Tidak ada kasus hukum perusahaan yang
diputuskan bersalah;
c. Tidak ada top manajemen yang dituntut
perkara pidana/perdata terkait pengurusan
perusahaan;
d. Tidak ada perselisihan dengan masyarakat
sekitar;
e. Trend kinerja yang membaik.
67 Perusahaan menyediakan pendidikan, RD
pelatihan, dan pengembangan pegawai untuk 0,50
mendukung pencapaian sasaran perusahaan,
antara lain:
a. Terdapat program pengembangan pegawai
berdasar competency gap analysis;
b. Adanya anggaran yang mencukupi untuk
diklat dan pengembangan SDM;
c. Diklat dilaksanakan sesuai program
pengembangan;
d. Terdapat sistem evaluasi untuk mengukur
capaian kinerja kegiatan diklat; (evaluasi
pemahaman, pengaruh pada pelaksanaan
pekerjaan, dan dampak pada peningkatan
kinerja).
68 Perusahaan telah mengelola pengetahuan RD, K Menurut Saudara, perusahaan telah memiliki dan mengelola
(knowledge management) agar seluruh jajaran 0,50 suatu kmowledge management yang baik
perusahaan memiliki pengetahuan yang
Ya Tidak
sesuai perkembangan jaman
(update/mutakhir) termasuk pengetahuan
tentang Manajemen Risiko
Knowledge Management di perusahaan selalu di update dan
mengikuti perkembangan ilmu pengetahuan 1 2 3 4 5
69 Perusahaan menciptakan lingkungan kerja RD, K, W Maneurut Saudara, lingkungan kerja Saudara telah kondusif
yang kondusif (memberikan jaminan 0,50 untuk mendukung kenyamanan bekerja
kesehatan, keselamatan, keamanan, dan 1 2 3 4 5
kenyamanan bekerja bagi pegawai).
Maneurut Saudara, lingkungan kerja Saudara telah kondusif
untuk mendukung kemanan bekerja 1 2 3 4 5

70 Perusahaan memiliki sistem reward & RD, K

punishment yang dikaitkan dengan 0,50
kemampuan menangani risiko dan sistem ini
dilaksanakan.

71 Perusahaan menetapkan pola pengambilan RD

keputusan dalam penanganan (mitigasi) risiko. 1,00
Pola pengambilan keputusan tersebut meliputi
2 hal, yaitu:
a. Pengaturan kewenangan penanganan
risiko;
b. Jenis penanganan risiko yang dilakukan.

72 Setiap aktivitas dalam perusahaan baik RD

dengan nama kegiatan, proses, fungsi, 1,50
proyek, produk atau layanan harus
didefinisikan dengan memadai yang minimal
meliputi:
a. Tujuan/ sasaran apabila aktivitas telah
selesai dilaksanakan, termasuk target kinerja;
b. Lokasi aktivitas dilaksanakan;
c. Waktu pelaksanaan, termasuk kajian
apabila terjadi keterlambatan pelaksanaan
aktivitas.
73 Perusahaan sudah menetapkan kriteria untuk RD
mengevaluasi kematangan Manajemen 2,00
Risiko, minimal sebagai berikut:
a. Perusahaan menerbitkan pedoman untuk
melakukan evaluasi kematangan Manajemen
Risiko.
b. Terdapat penetapan sasaran dan target
kematangan Manajemen Risiko di awal
periode, misalkan dalam KPI Perusahaan.
c. Evaluasi dilakukan secara periodik.
d. Evaluasi dilakukan oleh pihak yang
independen, baik dari internal maupun
eksternal.
e. Proses evaluasi dapat mendeteksi
kelemahan dalam penerapan Manajemen
Risiko dan dapat memberikan rekomendasi
perbaikannya.

74 Perusahaan telah melakukan penetapan RD

kriteria analisis risiko yang mencakup kriteria 1,50
kemungkinan (likelihood) dan kriteria dampak
(impact).
75 Perusahaan telah melakukan penetapan RD
kriteria evaluasi risiko yang mencakup kriteria 1,50
selera risiko (risk appetite), kriteria toleransi
risiko (risk tolerance) dan kriteria proritas risiko
(risk priority).
76 Perusahaan telah melakukan penetapan RD
kriteria efektivitas proses Manajemen Risiko 2,00
yang mencakup kriteria efektivitas
pelaksanaan proses Manajemen Risiko dan
kriteria efektivitas pelaksanaan perlakuan
risiko.

77 Proses identifikasi risiko telah RD

mempertimbangkan: 2,00
a. faktor risiko eksternal (misal:ekonomi,
politik, sosial, hukum, teknologi, lingkungan
alam);
b. faktor risiko internal (misal: keuangan,
infrastruktur, sumber daya manusia, proses,
teknologi internal, data kejadian masa lalu,
ataupun perubahan signifikan kondisi terkini
perusahaan
78 Keterkaitan antara risiko dengan sasaran yang RD, W
ditetapkan telah mempertimbangkan: 2,00
1) Terdapat keselarasan sasaran di tingkat
strategis dengan tingkat operasional
(kegiatan);
2) Risiko yang diidentifikasi terkait langsung
dengan sasaran yang hendak dicapai.
79 Pelaksanaan identifikasi risiko telah mengacu RD
sepenuhnya pada Pedoman/Prosedur 0,75
Manajemen Risiko yang telah ditetapkan
Perusahaan atau menerapkan metodologi
yang lebih advanced.
80 Identifikasi risiko dilakukan sesuai Interval RD
waktu yang telah ditetapkan dalam kebijakan 0,75
Manajemen Risiko

81 Dokumentasi telah dilaksanakan secara RD

memadai, mulai tahap identifikasi awal hingga 0,50
tersusunnya daftar risiko sebagai hasil proses
identifikasi.
82 Pemilihan dampak dan kemungkinan pada RD, W
saat analisis risiko didasarkan data yang 0,50
dapat dipertanggungjawabkan.

83 Dampak dinilai setelah mempertimbangkan RD, W

efektivitas pengendalian yang ada, yaitu: 0,75
a. Setiap risiko yang diidentifikasi telah
dilengkapi informasi mengenai
dampak/konsekuensinya;
b. Dampak harus dapat dikaitkan dengan
tujuan dan sasaran perusahaan;
c. Pengukuran dampak didasarkan pada
ketersediaan data yang memadai.

84 Kemungkinan dinilai setelah RD, W

mempertimbangkan efektivitas pengendalian 0,75
yang ada.

85 Analisis risiko dilakukan sesuai Pedoman RD

Manajemen Risiko yang ditetapkan atau 1,00
secara konsisten (bagi yang belum memiliki
Pedoman Manajemen Risiko).
86 Metode yang dibangun didukung dengan RD
suatu mekanisme untuk menjamin bahwa 1,00
setiap risk owner akan melakukan penilaian
risiko sesuai dengan pedoman yang telah
ditetapkan.

87 Dokumentasi analisis risiko dilaksanakan RD

dengan baik. 1,00

88 Evaluasi risiko dilakukan sebagai berikut: RD, W

1) Tingkat risiko telah dijadikan dasar dalam 4,00
menyaring risiko;
2) Jika terdapat beberapa tingkat risiko sama,
maka telah dipilih risiko mana yang lebih
diprioritaskan;
3) Daftar prioritas risiko telah dikomunikasikan
kepada atasan langsungnya.

89 Dokumentasi evaluasi risiko telah RD

dilaksanakan secara memadai. 1,00

90 Manajemen mendelegasikan wewenang untuk RD

memutuskan perlakuan risiko kepada para risk 1,00
owner sesuai jenjang tanggungjawab masing-
masing.
91 Penentuan/pemilihan perlakuan risiko telah RD, K, W Bagaimana keckupan analisis yang dilakukan sebelum
melalui proses analisis yang memadai dengan 1,00 pimpinan menetapkan suatu langkah perlakuan risiko?
didukung oleh data yang relevan, cukup
dalam menaksir efek suatu perlakuan risiko 1 2 3 4 5
terhadap pengurangan likehood dan
dampaknya.
92 Penyusunan rencana perlakuan risiko telah RD, K, W Menurut Saudara, rencana perlakukan risiko yang ditetapkan
meliputi hal-hal berikut: 2,00 telah mempertimbangkan pengendalian yang sudah ada
1) Mempertimbangkan sumber risiko dan
pengendalian yang ada;
2) Mempertimbangkan sasaran perlakuan
risiko;
3) Perencanaan rinci perlakuan risiko yang
cukup praktis, dapat diterapkan, cukup
fleksibel, dan dapat dilakukan perawatan
untuk menjaga serta mempertahankan 1 2 3 4 5
efektivitasnya;
4) Reviu atas desain rencana perlakuan
dengan para pihak yang terlibat; ataupun yang
terpengaruh oleh adanya tindakan perlakuan
risiko tersebut;
5) Menyusun rencana komunikasi yang baik
sebagai persiapan pelaksanaan perlakuan
risiko.

Menurut Saudara, bagaimana efektivitas perlakuan risiko

yang ditetapkan dalam mengurangi dampak risiko terkait? 1 2 3 4 5

Menurut Saudara, bagaimana efektivitas perlakuan risiko

yang ditetapkan dalam mengurangi kemungkinan terjadinya 1 2 3 4 5
risiko terkait?
Menurut Saudara, perlakuan risiko yang ditetapkan
a. cukup praktis, 1 2 3 4 5

b. dapat diterapkan, 1 2 3 4 5
c. cukup fleksibel 1 2 3 4 5

93 Rencana penerapan perlakuan risiko memuat RD

antara lain: 1,00
1) Kejelasan akuntabilitas dan tanggung
jawab, sumber daya yang dibutuhkan, jadwal
rinci kegiatan penerapan, hasil yang
diharapkan, ukuran kinerja dan kapan serta
bagaimana proses peninjauan akan dilakukan;
2) Mekanisme pengukuran dan pemantauan
secara berkala tentang efektivitas perlakuan
risiko terhadap sasaran yang ditetapkan.

94 Rencana penanganan/perlakuan risiko RD

digunakan untuk penyusunan 1,00
budget/anggaran Perusahaan.
95 Dokumentasi perlakuan risiko yang memadai RD
memuat: 1,00
1. Proses/analisis penentuan perlakuan risiko;
2. Rencana perlakuan risiko;
3. Data base perlakuan risiko yang ditetapkan
dan dilaksanakan;
4. Realisasi waktu perlakuan risiko;
5. Person/Unit.

96 Risk assessment dilakukan secara berkala RD

(minimal dua kali dalam satu tahun). 1,50
97 Terdapat reviu atas efektivitas perlakuan risiko RD
yang telah ditetapkan. 1,50
98 Laporan hasil reviu atas efektivitas proses RD
Manajemen Risiko disampaikan kepada 1,00
manajemen.
99 Perusahaan menindaklanjuti kelemahan RD
proses Manajemen Risiko. 1,00

100 Terdapat laporan profil risiko yang disusun RD

secara berkala sesuai ketentuan/pedoman. 1,00
101 Terdapat laporan pengelolaan/kinerja RD
Manajemen Risiko yang disusun secara 1,00
berkala sesuai ketentuan/pedoman.

100,00

DEPUTI BADAN PENGAWASAN KEUANGAN

DAN PEMBANGUNAN BIDANG AKUNTAN
NEGARA,

BONNY ANANG DWIJANTO