AWARENESS

ISO 31000:2018
Risk Management – Guidelines

Manajemen Risiko – Pedoman

MENGAPA PERLU
RISK-BASED
APPROACH ?

2
Situasi Saat Ini......
• Pandemi Covid-19

• Pembatasan Sosial
Berskala Besar

• Pelemahan
ekonomi nas

• Tatanan baru /New

normal

• What
next ???

3
5 Risiko Teratas Dunia 2020
Top 5 Global
Risks in terms
of likelihood

Top 5 Global Risks in

terms of impact

4
5
 Bagaimana
menyikapinya ?

Organisasi
(publik
dan swasta)
perlu budaya
risiko

6
 KEPUTUSAN /
AKTIVITAS
MASA LALU

Aktivitas
MANAJEMEN
PROBLEM
menangani
problem
mencegah
MANAJEMEN krisis/bencana
Aktivitas
RISIKO
mengelola
potensi risiko

7
 Mengelola Risiko
• Kita semua mengelola risiko secara sadar atau tidak sadar
- tetapi jarang secara sistematis
• Mengelola risiko berarti berpikir ke depan
• Mengelola risiko berarti berpikir yang bertanggung jawab
• Mengelola risiko berarti berpikir seimbang
• Mengelola risiko adalah tentang memaksimalkan peluang
dan meminimalkan ancaman
• Proses manajemen risiko memberikan kerangka kerja untuk
memfasilitasi pengambilan keputusan yang lebih efektif
 Sejarah ISO dan
Manajemen risiko
• Lebih dari 80 Komite Teknis ISO dan IEC yang terpisah menangani
aspek manajemen risiko
• 27th Juni 2002, ISO / IEC Guide 73, Manajemen Risiko - Kosakata
”diterbitkan.

• 2004 ISO Technical Management Board (TMB)

– didekati oleh Australia dan Jepang
– AS / NZS 4360: 2004 untuk diadopsi oleh ISO.

• Juni 2005, TMB membentuk Kelompok Kerja (WG)

• 15.11.2009 ISO 31000 & ISO Guide 73 (pertama kali)

• 27.11.2009 ISO / IEC 31010 diterbitkan
• Februari 2018 / ISO 31000:2018
Mengapa perlu ISO 31000:2018
– memahami bagaimana menerapkan
manajemen risiko
– mengidentifikasi dan menangani semua
jenis risiko,
– memperlakukan dan mengelola risiko yang
teridentifikasi,
– meningkatkan kinerja organisasi melalui
manajemen risiko,
– memaksimalkan peluang dan
meminimalkan kerugian dalam organisasi
– meningkatkan kesadaran akan kebutuhan
untuk menangani dan mengelola risiko
dalam organisasi.
ISO 31000
ISO 31000:2009 Risk Management
– Principles and Guidelines. (ISO)
SNI ISO 31000:2011 Manajemen
Risiko –
Prinsip dan Panduan. (BSN)

ISO 31000:2018 Risk Management –

Principles and Guidelines. (ISO)
SNI ISO 31000:2018 Manajemen
Risiko – Panduan. (BSN)
 <Pedoman> <Panduan> <Pemandu>

Keluarga Standar Kompetensi SDM untuk Penerapan SNI ISO 31000

13
Sekilas Mengenai ISO 31000:2018

Februari 2018 - ISO 31000:2018 dirilis sebagai

pembaruan dari versi sebelumnya di tahun 2009.

Pesan utama yang sama dengan versi pendahulunya:

- Mengintegrasikan Manajemen Risiko dalam sistem
manajemen strategis dan operasional
- Dokumen ISO 31000:2018 disusun dengan lebih
ringkas
- Memberikan kejelasan dan ketepatan yang
menjadikan dokumen ini jauh lebih mudah dipahami.
Latar Belakang
 Akibat dari krisis keuangan global yang telah melanda
beberapa tahun yang lalu.
 Bahwa krisis keuangan global dihasilkan akibat dari kegagalan
para komisaris dan manajemen eksekutif untuk mengelola
resiko secara efektif
 Pusat perhatian dunia telah tertuju pada resiko dan bahaya
terkena resiko, bagaimana cara menanganinya,
mempersiapkankannya, atau bahkan memanfaatkannya
 Ketua kelompok kerja ISO 31000 menyimpulkan bahwa resiko
menjadi bagian yang tetap ada dalam setiap aktifitas.
 Dengan adanya ISO 31000 diharapkan dapat membantu
industri, perdagangan, baik yang bersifat umum maupun
khusus untuk dapat bangkit dari krisis tersebut dengan
percaya diri.
"The revised version of ISO 31000 focuses
on the integration with the organization and
the role of leaders and their responsibility.
Risk practitioners are often at the margins of
organizational management and this
emphasis will help them demonstrate that risk
management is an integral part of business."

- Jason Brown, Komite Teknis ISO/TC 262

”Standar ini sekarang digunakan untuk membantu

perencanaan dan pembuatan keputusan di area
yang sangat beragam seperti finance,
engineering, penerbangan luar angkasa, dan
keamanan internasional.”
Tahapan Pemahaman untuk Penerapan SNI ISO 31000

17
SNI ISO 31000:2018 adalah acuan standar
manajemen risiko yang dapat
diintegrasikan/compatibility dalam sistem
manajemen lainnya
18
 : Penerapan SNI ISO 31000:2018 dapat
berperan dalam pemulihan bisnis

E R M:
Everything is Risk CATATAN: Model 4Sight dari
ketahanan organisasi
Management (organizational resilience)
19
 SNI ISO
31000 SNI
International ISO/IEC
Standard/SNI 27001
SNI ISO
14001
SNI ISO 9001
Voluntary Terbatas
PMBOK
{Needs} COBIT 4.1 IT
Efektif dan Infrastructure
Efisien - Library

Acuan Peraturan
Standar OJK

Tertelusur Regulasi Peraturan

BUMN
{Compliance} Peraturan Bank
Indonesia (ITGID)
Sektoral

: SNI ISO 31000:2018 adalah Manajemen risiko yang

tertelusur dengan standar acuan worldwide
20
 Risk
Management

Bussines Operation
Strategy Excellence

Sustainable
Growth

Internal Internal
Control Audit
Complianc
e

: Elemen utama dalam SNI ISO 31000:2018 adalah (three line of defence) dalam
mengelola risiko sesuai dengan konteks organisasi
21
PANDUAN PENERAPAN ISO 31000:2018

ISO 31000 adalah panduan penerapan resiko yang

terdiri atas tiga elemen, antara lain :

1.Prinsip (principle) adalah dasar praktik atau filosofi

manajemen resiko
2.Kerangka kerja (framework) adalah pengaturan
sistem manajemen resiko secara terstruktur dan
sistematis di seluruh organisasi
3.Proses (process) adalah aktifitas pengelolaan
resiko yang sistematis dan saling terkait.
 ISI DOKUMEN ISO 31000:2018

Dokumen ISO 31000:2018 terdiri dari 4 bagian utama :

1). Definisi istilah – Istilah utama seperti resiko,

manajemen resiko, pemangku kepentingan, sumber resiko,
peristiwa, konsekuensi, kemungkinan dan kontrol

2). Prinsip – prinsip manajemen resiko, bahwa manajemen

resiko terintegrasi, dilaksanakan melalui pendekatan yang
terstruktur dan komprehensif, disesuaikan, inklusif, dinamis,
berdasarkan pada informasi terbaik yang tersedia
mengenai faktor manusia dan budaya, dan terus
ditingkatkan;
 ISI DOKUMEN ISO 31000:2018
3). Kerangka kerja untuk memastikan bahwa manajemen
resiko diterapkan dengan benar, terintegrasi dengan baik di
seluruh organisasi, dirancang dengan cermat, ditinjau ulang
secara berkala, dan terus diadaptasi dan ditingkatkan

4). Bagian tentang proses manajemen resiko itu sendiri,

termasuk unsur – unsur tradisional identifikasi resiko,
analisis, evaluasi dan perawatan, yang didukung oleh elemen
pemantauan dan tinjauan serta elemen komunikasi dan
konsultasi – yang pertama untuk meningkatkan efektivitas
dan kualitas resiko. proses manajemen, dan yang terakhir
untuk memastikan bahwa informasi resiko “faktual, tepat
waktu, relevan, akurat dan mudah dipahami” sedang
dikomunikasikan dan digunakan untuk pengambilan
keputusan.
 POIN PERUBAHAN ISO 31000:2018

 ISO 31000:2018 adalah penyederhanaan dari versi 2009.

 Perubahan judul/nama standar yang berubah dari
“principles and guidelines” menjadi hanya “guidelines”
 Jumlah halaman yang menyusut dari 24 halaman
menjadi “hanya” 16 halaman.
 Diagram yang menggambarkan hubungan prinsip,
kerangka kerja, dan proses manajemen proses pun
berubah. Pada versi 2009, prinsip, kerangka kerja, dan
proses digambarkan sebagai rangkaian unsur yang
berurutan, sedangkan pada versi 2018, ketiga bagian ini
digambarkan sebagai sistem terbuka yang saling
berkaitan.
 Perbandingan Standar
ISO 31000: Tahun 2009 & 2018
POIN PERUBAHAN 1
Prinsip manajemen resiko
disederhanakan dari (11) sebelas
menjadi (9) sembilan prinsip dengan
“menciptakan dan melindungi nilai”
sebagai prinsip utama.
11 PRINSIP DASAR ISO 31000

1. Manajemen risiko menciptakan nilai tambah (creates value)

Manajemen risiko berkontribusi terhadap pencapaian nyata objektif dan
peningkatan, antara lain, kesehatan dan keselamatan manusia,
kepatuhan terhadap hukum dan peraturan, penerimaan publik,
perlindungan lingkungan, kinerja keuangan, kualitas produk, efisiensi
operasi, serta tata kelola dan reputasi perusahaan.
2. Manajemen risiko adalah bagian integral proses dalam
organisasi (an integral part of organizational processes)
Manajemen risiko adalah bagian tanggung jawab manajemen dan
merupakan suatu bagian integral dalam proses normal organisasi
seperti juga merupakan bagian dari seluruh proses proyek dan
manajemen perubahan. Manajemen risiko bukanlah merupakan
aktivitas yang berdiri sendiri yang terpisah dari aktivitas-aktivitas utama
dan proses dalam organisasi.
 11 PRINSIP DASAR ISO 31000
3. Manajemen risiko adalah bagian dari pengambilan keputusan (part of
decision making)
Manajemen risiko membantu pengambil keputusan mengambil keputusan
dengan informasi yang cukup. Manajemen risiko dapat membantu
memprioritaskan tindakan dan membedakan berbagai pilihan alternatif
tindakan. Pada akhirnya, manajemen risiko dapat membantu memutuskan
apakah suatu risiko dapat diterima atau apakah suatu penanganan risiko telah
memadai dan efektif.
4. Manajemen risiko secara eksplisit menangani ketidakpastian (explicitly
addresses uncertainty)
Manajemen risiko menangani aspek-aspek ketidakpastian dalam pengambilan
keputusan, sifat alami dari ketidakpastian itu, dan bagaimana menanganinya.
5. Manajemen risiko bersifat sistematis, terstruktur, dan tepat waktu
(systematic, structured and timely)
Suatu pendekatan sistematis, tepat waktu, dan terstruktur terhadap manajemen
risiko memiliki kontribusi terhadap efisiensi dan hasil yang konsisten, dapat
dibandingkan, serta andal
11 PRINSIP DASAR ISO 31000

6.Manajemen risiko berdasarkan informasi terbaik yang tersedia

(based on the best available information)
Masukan untuk proses pengelolaan risiko didasarkan oleh sumber
informasi seperti pengalaman, umpan balik, pengamatan, prakiraan, dan
pertimbangan pakar. Meskipun demikian, pengambil keputusan harus
terinformasi dan harus mempertimbangkan segala keterbatasan data atau
model yang digunakan atau kemungkinan perbedaan pendapat antar
pakar.
7. Manajemen risiko dibuat sesuai kebutuhan (tailored)
Manajemen risiko diselaraskan dengan konteks eksternal dan internal
organisasi serta profil risikonya.
8. Manajemen risiko memperhitungkan faktor manusia dan budaya
(takes human and cultural factors into account)
Manajemen risiko organisasi mengakui kapabilitas, persepsi, dan tujuan
pihak- pihak eksternal dan internal yang dapat mendukung atau malah
menghambat pencapaian tujuan organisasi.
 11 PRINSIP DASAR ISO 31000
9. Manajemen risiko bersifat transparan dan inklusif (transparent and
inclusive)
Pelibatan para pemangku kepentingan, terutama pengambil keputusan, dengan
sesuai dan tepat waktu pada semua tingkatan organisasi, memastikan manajemen
risiko tetap relevan dan mengikuti perkembangan. Pelibatan ini juga memungkinkan
pemangku kepentingan untuk cukup terwakili dan diperhitungkan sudut
pandangnya dalam menentukan kriteria risiko.
10. Manajemen risiko bersifat dinamis, iteratif, dan responsif terhadap
perubahan (dynamic, iterative and responsive to change)
Seiring dengan timbulnya peristiwa internal dan eksternal, perubahan konteks dan
pengetahuan, serta diterapkannya pemantauan dan peninjauan, risiko-risiko baru
bermunculan, sedangkan yang ada bisa berubah atau hilang. Karenanya, suatu
organisasi harus memastikan bahwa manajemen risiko terus menerus memantau
dan menanggapi perubahan.
11. Manajemen risiko memfasilitasi perbaikan dan pengembangan
berkelanjutan organisasi (facilitates continual improvement and enhancement
of the organization)
Organisasi harus mengembangkan dan mengimplementasikan strategi untuk
memperbaiki kematangan manajemen risiko mereka bersama aspek-aspek lain
dalam organisasi mereka.
PENYEDERHANAAN ATAS PRINSIP
Kesembilan prinsip tersebut adalah (1) satu tujuan
(purpose) dan (8) delapan prinsip pada versi
2018.

Satu prinsip, yaitu “penciptaan dan

pelindungan nilai”, diubah menjadi tujuan
manajemen resiko.

Dua prinsip, yaitu “bagian pengambilan

keputusan” dan “secara eksplisit menangani
ketidakpastian”, dihapus.
POIN PERUBAHAN 2

 Kerangka kerja manajemen

resiko ditambahkan unsur
“integrasi” dengan
“kepemimpinan dan
komitmen” (pada versi
sebelumnya adalah
“mandat dan komitmen”)
menjadi unsur inti.
POIN PERUBAHAN 3

 Proses manajemen resiko

ditambahkan “pencatatan
dan pelaporan” secara
eksplisit dan proses
“penetapan konteks”
diperluas menjadi “lingkup,
konteks, dan kriteria”.
POIN PERUBAHAN 4
Menekankan tujuan manajemen resiko, yaitu :

 Menciptakan dan melindungi nilai. Tujuan itu

diwujudkan dengan meningkatkan kinerja, mendorong
inovasi, dan mendukung pencapaian sasaran.

 Menjadikan Manajemen resiko adalah bagian dari tata

kelola (governance) dan harus terintegrasi di dalam
proses organisasi. Penerapan manajemen resiko
memerlukan kepemimpinan dan komitmen dari
manajemen puncak, serta keterlibatan aktif dari semua
anggota organisasi.
 POIN PERUBAHAN 5
Tata Kelola Resiko Menjadi
Bagian Terintegrasi, dimana tata
kelola resiko (risk governance)
yang sebelumnya hanya menjadi
inisiator dalam membangun
kerangka manajemen resiko, kini
menjadi bagian yang berkelanjutan
dan tidak terpisahkan dalam proses
integrasi manajemen resiko ke
dalam seluruh bagian perusahaan.
POIN PERUBAHAN 6
Manajemen Resiko
Dipandang Iteratif, bahwa
ISO 31000 ini menekankan
sifat manajemen resiko yang
iteratif. Hal ini berarti
manajemen resiko
perusahaan mengalami
penyempurnaan bersamaan
dengan berjalannya proses
manajemen resiko.
POIN PERUBAHAN 7

Sistem Diperkaya Konteks Eksternal, standar baru

ini mengatur sistem manajemen resiko untuk menjadi
jauh lebih terbuka terhadap input dari konteks
eksternal perusahaan.

Hal ini bertujuan agar sistem manajemen resiko

dapat memenuhi berbagai tuntutan dari industri yang
beragam.
 MENGAPA ORGANISASI PERLU MENERAPKAN
MANAJEMEN RISIKO BERBASIS SNI ISO 31000 SERIES?
1. Organisasi layanan publik baik swasta maupun pemerintah, dituntut untuk
mampu memberikan hasil kinerja terpercaya yang dapat membantu Indonesia
menjadi negara yang unggul, dan mampu berkompetisi dengan lebih efektif.

2. Organisasi layanan publik dapat memperoleh manfaat melalui dua sisi:

• Organisasi diharapkan mampu memberikan layanan/kinerja berbasis risiko
kepada para mitra kerja/ pemangku kepentingan.
Pemahaman SDM organisasi menyeluruh tentang SNI ISO 31000 akan
memudahkan masing- masing SDM tersebut dalam menjalankan tugas dan
fungsinya, terutama audit kinerja organisasi, termasuk didalamnya
pengelolaan risiko yg dihadapi oleh masing-masing organisasi.
• Organisasi diharapkan akan menjadi lebih efisien dan efektif dalam
menjalankan amanah yang diembannya pada saat mengelola organisasi’, dan
‘risk-based decision making/action’, dan diharapkan bahwa masing-masing
organisasi mampu menerapkan ‘Risk Maturity’ yang semakin matang dari
waktu ke waktu.
42
 INTERPRETASI
KLAUSUL DALAM ISO
31000:2018
MANAJEMEN RISIKO
 DEFINISI 1
Manajemen risiko adalah aktivitas terkoordinasi yang dilakukan untuk
mengarahkan dan mengelola organisasi dalam rangka menangani risiko
(ISO 31000)

Manajemen risiko adalah proses mengurangi risiko suatu entitas ke tingkat

yang dapat diterima, dengan menggunakan pengukuran, pengelolaan dan
pemantauan yang sejalan dengan tujuan strategis (Gilbert, 2007)

Manajemen risiko adalah pendekatan sistematis untuk menentukan tindakan

terbaik dalam kondisi ketidakpastian (Peraturan Menteri Keuangan Nomor
191/PMK.09/2008)
 DEFINISI 2
 Identifikasi risiko (risk identification); mengidentifikasi risiko apa saja yang dapat
mempengaruhi pencapaian sasaran organisasi.
 Analisis risiko (risk analysis); menganalisis kemungkinan/probabilitas (likelihood) dan
dampak (consequence) dari risiko yang telah diidentifikasi. Hasil selanjutnya dari analisis
risiko adalah tingkat risiko (level of risk).
 Evaluasi risiko (risk evaluation); membandingkan hasil analisis risiko dengan kriteria risiko
untuk mengetahui apakah risiko dan ukurannya dapat diterima dan ditoleransi. Evaluasi
risiko akan membantu penentuan perlakuan risiko.
 Perlakuan risiko (risk treatment) adalah proses untuk memodifikasi risiko, terdiri atas:
1) menghindari risiko (risk avoidance) dengan memutuskan tidak memulai atau
melanjutkan kegiatan yang dapat meningkatkan risiko
2) mitigasi risiko (risk mitigation), dapat dilakukan dengan mengurangi kemungkinan
(likelihood) atau dampak (consequence);
3) transfer risiko kepada pihak lain (risk sharing); dan
4) menerima risiko (risk acceptance).
 DEFINISI 3
risiko
efek ketidakpastian pada tujuan

CATATAN 1 Efek adalah penyimpangan dari yang diharapkan - positif dan / atau negatif.
CATATAN 2 Sasaran dapat memiliki aspek yang berbeda (seperti tujuan keuangan, kesehatan
dan keselamatan, dan lingkungan) dan dapat diterapkan pada tingkat yang berbeda (seperti
strategis, seluruh organisasi, proyek, produk dan proses).
CATATAN 3 Risiko sering kali dicirikan dengan mengacu pada peristiwa dan konsekuensi
potensial, atau kombinasi dari semuanya.
CATATAN 4 Risiko sering dinyatakan dalam kombinasi konsekuensi dari suatu peristiwa
(termasuk perubahan keadaan) dan kemungkinan terjadinya yang terkait.
CATATAN 5 Ketidakpastian adalah keadaan, bahkan sebagian, dari kekurangan informasi yang
berkaitan dengan, pemahaman atau pengetahuan tentang, suatu peristiwa, konsekuensinya,
atau kemungkinannya.

[Panduan ISO 73: 2009]

 KNOWLEDGE
ABOUT OUTCOMES

Well-defined Poorly
outcomes defined
outcomes

Some basis for

probabilities
risk ambiguity

KNOWLEDGE “INCERTITUDE”
ABOUT
LIKELIHOODS

No basis for uncertainty ignorance

probabilities

O’Riordan, T, and Cox, P. 2001. Science, Risk, Uncertainty and Precaution.

Senior Executive’s Seminar – HRH the Prince of Wales’s Business and the Environment Programme.
University of Cambridge.
 DEFINISI PENTING 4
pemilik risiko
orang atau entitas dengan akuntabilitas dan kewenangan
untuk mengelola risiko

kontrol
mengukur yang memodifikasi risiko
CATATAN 1 Pengendalian mencakup setiap proses, kebijakan,
perangkat, praktik, atau tindakan lain yang memodifikasi risiko.
CATATAN 2 Pengendalian mungkin tidak selalu memberikan efek
modifikasi yang diinginkan atau diasumsikan.

[Panduan ISO 73: 2009]

 ISO 31000: 2009 - Pengguna
ISO 31000: 2009 dimaksudkan untuk digunakan oleh berbagai
pemangku kepentingan termasuk:
– mereka yang bertanggung jawab untuk menerapkan risiko
manajemen dalam organisasi mereka;
– mereka yang perlu memastikan bahwa organisasi mengelola
risiko;
– mereka yang perlu mengelola risiko untuk organisasi secara
keseluruhan atau dalam area atau aktivitas tertentu;
– mereka yang perlu mengevaluasi praktik organisasi dalam
mengelola risiko; dan
– pengembang standar, pedoman, prosedur, dan kode praktik
yang secara keseluruhan atau sebagian diatur bagaimana
risiko dikelola dalam konteks khusus dokumen-dokumen ini.
 TATA KELOLA PERUSAHAAN
“Sistem yang digunakan entitas untuk diarahkan dan
dikendalikan. "

”Tata kelola perusahaan umumnya mengacu pada proses

dimana organisasi diarahkan, dikendalikan dan dimintai
pertanggungjawaban. Ini mencakup otoritas,
akuntabilitas, kepengurusan, kepemimpinan,
arahan dan kontrol dilakukan dalam organisasi. "
SAA HB 254-2005
Tata kelola, manajemen risiko dan jaminan pengendalian
Standar Australia. ISBN 0 7337 6892 X
 AKUNTABILITAS

PENGAWASAN
Potensi lebih besar TATA KELOLA
peran risiko di masa depan
pengelolaan

STRATEGIS
PENGELOLAAN
Tradisional dan terkini PENGELOLAAN
manajemen risiko EKSEKUTIF
aplikasi
PENGELOLAAN
KEPUTUSAN & PENGENDALIAN
MANAJEMEN OPERASIONAL

Peran Manajemen Risiko dalam Tata Kelola Perusahaan

 PDCA - titik awal untuk kerangka kerja

Kepemimpinan dan Berkomunikasi dan

Komitmen
Pernyataan Kebijakan
Plan Melatih
Rencana komunikasi
Rencana Manajemen Risiko dan pelaporan
Rencana jaminan Strategi pelatihan
Standar RM Jaringan
Prosedur / Pedoman

Act Do
Atur dan Alokasikan
Ukur dan ulas Dewan Komite RM
Jaminan kontrol Jalankan Komite RM
Kemajuan Rencana RM Manajer, RM
Pelaporan tata kelola Juara RM
Risiko, Kontrol, Pemilik Risiko
Pembandingan
Kriteria kinerja Check Penyedia jaminan
Komunikasi
&
Konsultasi
 KLAUSUL 4
(PRINCIPLES)
 PRINSIP – PRINSIP DALAM MENGELOLA MANAJEMEN
RISIKO

Prinsip-prinsip adalah dasar untuk mengelola risiko dan harus

dipertimbangkan saat menetapkan kerangka kerja dan proses
manajemen risiko organisasi.
8 PRINSIP MANAJEMEN
RISIKO

(1) Terintegrasi
(2) Terstruktur dan komprehensif
(3) Disesuaikan
(4) Inklusif
(5) Dinamis
(6) Informasi terbaik yang tersedia
(7) Faktor manusia dan budaya
(8) Peningkatan berkesinambungan.
 PRINSIP 1 s.d 4

a)Terintegrasi
Manajemen risiko merupakan bagian integral dari semua aktivitas organisasi.

b)Terstruktur dan komprehensif

Pendekatan terstruktur dan komprehensif untuk manajemen risiko berkontribusi pada hasil
yang konsisten dan dapat dibandingkan.

c) Disesuaikan
Kerangka kerja dan proses manajemen risiko disesuaikan dan proporsional dengan konteks
eksternal dan internal organisasi terkait dengan tujuannya.

d) Inklusif
Keterlibatan pemangku kepentingan yang tepat dan tepat waktu memungkinkan
pengetahuan, pandangan dan persepsi mereka dipertimbangkan. Ini menghasilkan
peningkatan kesadaran dan manajemen risiko yang terinformasi.
PRINSIP 5 s.d 8
e) Dinamis
Risiko dapat muncul, berubah, atau hilang saat konteks eksternal dan internal
organisasi berubah. Manajemen risiko mengantisipasi, mendeteksi, mengakui,
dan menanggapi perubahan dan peristiwa tersebut dengan cara yang tepat dan
tepat waktu.

F) Informasi terbaik yang tersedia

Masukan untuk manajemen risiko didasarkan pada informasi historis dan terkini,
serta ekspektasi masa depan. Manajemen risiko secara eksplisit
mempertimbangkan segala batasan dan ketidakpastian yang terkait dengan
informasi dan ekspektasi tersebut. Informasi harus tepat waktu, jelas dan tersedia
untuk pemangku kepentingan terkait.

g) Faktor manusia dan budaya

Perilaku dan budaya manusia secara signifikan mempengaruhi semua aspek
manajemen risiko pada setiap tingkatan dan tahapan.

h) Perbaikan berkelanjutan
Manajemen risiko terus ditingkatkan melalui pembelajaran dan pengalaman.
 KLAUSUL 5
(FRAMEWORK)
 KERANGKA KERJA

5.1 Umum
 Kerangka kerja manajemen risiko bertujuan untuk membantu
organisasi dalam mengintegrasikan manajemen risiko ke dalam
aktivitas dan fungsi yang signifikan.

 Efektivitas manajemen risiko akan bergantung pada integrasinya

ke dalam tata kelola organisasi, termasuk pengambilan keputusan.

 Dibutuhkan dukungan dari para pemangku kepentingan, terutama

manajemen puncak.
.
Kerangka Kerja
Organisasi harus mengevaluasi
praktik dan proses manajemen
risiko yang ada, mengevaluasi
setiap kesenjangan dan
mengatasi kesenjangan tersebut
dalam kerangka kerja.

Komponen kerangka kerja dan

cara bekerja bersama harus
disesuaikan dengan kebutuhan
organisasi.
 Kepemimpinan dan Komitmen (5.2)

5.3 Integrasi ke dalam organisasi

5.4 Desain kerangka

5.4.1 Memahami organisasi dan konteksnya
5.42 Mengartikulasikan komitmen manajemen risiko
5.4.3 Menetapkan peran organisasi
5.6 Evaluasi 5.4.4 Mengalokasikan sumber daya
5.4.5 Menjalin komunikasi dan konsultasi

5.5 Implementasi

Hubungan antar komponen kerangka kerja untuk mengelola risiko

5.2 Kepemimpinan dan komitmen

Manajemen harus memastikan bahwa manajemen risiko diintegrasikan ke dalam semua

aktivitas organisasi dan harus menunjukkan kepemimpinan dan komitmen dengan :
a) menyesuaikan dan menerapkan semua komponen kerangka kerja
b) mengeluarkan pernyataan atau kebijakan yang menetapkan pendekatan, rencana,
atau tindakan manajemen risiko
c) memastikan bahwa sumber daya yang diperlukan dialokasikan untuk mengelola
risiko;
d) menetapkan otoritas, tanggung jawab, dan akuntabilitas pada tingkat yang sesuai
dalam organisasi.
5.2 Kepemimpinan dan komitmen

Melalui manajemen risiko ini akan membantu organisasi untuk :

a) menyelaraskan manajemen risiko dengan tujuan, strategi dan budayanya
b) mengakui dan menangani semua kewajiban, serta komitmen sukarela
c) menetapkan jumlah dan jenis risiko yang mungkin atau mungkin tidak
diambil untuk memandu pengembangan kriteria risiko, memastikan bahwa
mereka dikomunikasikan kepada organisasi dan pemangku kepentingannya
d) mengkomunikasikan nilai manajemen risiko kepada organisasi dan
pemangku kepentingannya
e) mempromosikan pemantauan risiko secara sistematis
f) memastikan bahwa kerangka kerja manajemen risiko tetap sesuai dengan
konteks organisasi.
5.3 Integrasi

 Risiko dikelola di setiap bagian struktur organisasi. Setiap orang

dalam organisasi memiliki tanggung jawab untuk mengelola risiko.

 Mengintegrasikan manajemen risiko ke dalam organisasi adalah

proses yang dinamis dan berulang, dan harus disesuaikan dengan
kebutuhan dan budaya organisasi.

 Manajemen risiko harus menjadi bagian dari, dan tidak terpisah dari,
tujuan organisasi, tata kelola, kepemimpinan dan komitmen, strategi,
sasaran dan operasi.
5.4 Desain

5.4.1 Memahami organisasi dan

konteksnya

Saat merancang kerangka kerja untuk

mengelola risiko, organisasi harus
memeriksa dan memahami konteks
eksternal dan internalnya.
 Penetapan Konteks
Penetapan konteks

Penetapan
Konteks

Penentuan pamameter
Dasar/pijakan bagi
internal dan eksternal,
proses manajemen
lingkup kerja dan kriteria
risiko selanjutnya
risiko
 Tujuan
Penetapan konteks

PMK
191
 Mengidentifikasi lingkungan
penerapan manajemen risiko;
 Mengetahui dan menetapkan pihak
Memperoleh gambaran yang paling berkepentingan
menyeluruh: (stakeholders utama);
• parameter dasar;
 Menetapkan ruang lingkup, tujuan,
• ruang lingkup;
kondisi yang membatasi dan hasil
• dan kerangka kerja.
yang diharapkan;
 Menetapkan kriteria untuk meng-
analisis dan mengevaluasi risiko.
 Memahami organisasi
dan konteksnya
• Konteks Eksternal
– Mempertimbangkan:
• Tren
• Driver utama
• Persepsi / nilai pemangku kepentingan
utama
• PESTLE: (Politik, Ekonomi, Sosial,
Teknologi, Hukum, Faktor Lingkungan)
 Memahami organisasi
dan konteksnya

• Konteks Internal
– Struktur Tata Kelola
– Tujuan, strategi dan kebijakan
– Pengetahuan, keterampilan dan sumber daya
– Budaya organisasi
– Hubungan kontraktual
 Kebijakan Manajemen Risiko
• Harus sederhana, dapat dicapai, dapat dipahami, dan dapat
diaudit dengan mandat dan komitmen yang jelas dari
manajemen puncak
• selaras dengan budaya organisasi dengan pengambil risiko
dan pengambil risiko sebagai pemilik risiko.
• Komponen dokumen
– Tautan rasional dan kebijakan
– Akuntabilitas dan tanggung jawab
– Pengelolaan konflik kepentingan
– Pengukuran kinerja RM
– Proses pelaporan
– Proses / siklus tinjauan kebijakan
 Akuntabilitas

• Semua pemilik risiko yang dapat dipertanggungjawabkan

dengan jelas diidentifikasi dan diberi wewenang & sumber
daya untuk mengelola risiko
• Akuntabilitas dewan untuk implementasi kerangka kerja
• Akuntabilitas pemilik risiko di semua tingkatan organisasi
diidentifikasi dengan jelas
• Proses pengukuran kinerja di tempat
• Proses pelaporan dan eskalasi ditetapkan dengan jelas
 Integrasi ke dalam proses organisasi

• Manajemen risiko harus menjadi bagian dari proses

organisasi rutin
– Pengembangan kebijakan
– Perencanaan bisnis / strategis
– Ubah manajemen
– Proses pengambilan keputusan
• Rencana Manajemen Risiko
– Seluruh organisasi
– Ditautkan atau diintegrasikan ke dalam rencana lain: rencana
strategis, rencana implementasi, rencana operasional, dll
 Sumber daya
• Pengeluaran untuk manajemen risiko adalah
investasi
– RM yang baik akan membuat organisasi lebih efektif,
tetapi membutuhkan sumber daya yang berdedikasi
• Sumber daya meliputi:
– Orang: keterampilan, pengalaman dan kompetensi
– Waktu dan dana: untuk menjalankan proses
– Proses, metode, dan alat yang ditentukan
– Sistem Informasi
– Program kesadaran, pendidikan dan pelatihan
 Membangun komunikasi internal & eksternal dan
mekanisme pelaporan
• Intern
– Kesadaran, pendidikan dan pelatihan yang berkelanjutan
– Kerangka pelaporan kinerja dan ulasan hasil
– Manajemen informasi
– Keterlibatan pemangku kepentingan
• Luar
– Keterlibatan pemangku kepentingan
– Persyaratan pelaporan regulasi
– Gunakan pelaporan untuk membangun kepercayaan diri
– Komunikasi kelangsungan bisnis (manajemen risiko terkait
gangguan)
 Menerapkan manajemen risiko
• Menerapkan kerangka kerja
– Memastikan
• Waktu yang tepat
• Keselarasan dengan strategi dan proses organisasi
• Kepatuhan terhadap regulasi
– Terapkan ke proses organisasi
– Melatih dan mendidik staf
– Berkomunikasi dan berkonsultasi
• Menerapkan proses manajemen risiko
– Tentukan proses untuk organisasi
– Terapkan di semua tingkatan (proses yang sesuai)
– Buat proses pemantauan
 Tahapan
Penetapan konteks

Menetapkan Menetapkan Menetapkan

konteks konteks kriteria
eksternal-internal manajemen risiko penilaian risiko

Sumber : APEC GRP

BSN Webinar
 Konteks eksternal & internal
Penetapan konteks

Konteks eksternal: Konteks internal:

Lingkungan politik, ekonomi,
sosial, budaya, hukum,
teknologi, alam dll
Persepsi & nilai para
pemangku kepentingan
eksternal
Kapabilitas organisasi
Sistem informasi, komunikasi
Struktur organisasi
Kebijakan, sasaran, strategi
Persepsi, nilai & budaya
organisasi
Pemangku kepentingan internal

 Analisis pengaruh perubahan

lingkungan eksternal
 Analisis persepsi & perilaku Manajemen risiko harus selaras dgn
stakeholders eksternal budaya, proses & struktur organisasi
 Konteks manajemen risiko
Penetapan konteks

Menentukan:
 sasaran, tujuan, strategi, dan kebijakan
manajemen risiko;
 lingkup dan luas cakupan manajemen risiko
 sumber daya yang diperlukan;
 jadwal waktu penyelesaian
 dokumentasi dan catatan yang harus dibuat.
 Kriteria risiko
Penetapan konteks

Kerangka acuan bagaimana mengukur risiko

Konsekuensi Kemungkinan
Kriteria penilaian Ukuran
akibat timbulnya kemungkinan
risiko: terjadinya risiko:
finansial, hukum, Probabilitas
politik, citra, dll. Frekuensi kejadian
Expert judgement

Level
 Kriteria level risiko
 Kriteria risiko yg perlu ditangani
 Kriteria risiko yg dapat diterima
 Selera risiko
Penetapan konteks

 Selera risiko:
 tingkat risiko yg dapat diterima oleh organisasi
 risiko mana yg tidak dapat diterima dan risiko mana yg
masih dapat diterima organisasi
 Dapat ditetapkan untuk:
 keseluruhan organisasi
 sekelompok risiko tertentu
 tiap risiko secara individu
 Pendekatan lain  toleransi risiko:
 kesiapan organisasi dalam menanggung risiko
 toleransi terhadap penyimpangan sasaran
 Teknik
Penetapan konteks

Reviu struktur
dan bagan
organisasi
Penelaahan Wawancara
dokumen dengan
organisasi Teknik pihak terkait
penetapan
konteks
Control self
assessment Benchmarking
 Penanggung jawab
Penetapan konteks 11

Top Mgt Dept/Fungsi

 Ketua Manajemen  Pemilik Risiko; dibantu

Risiko
 Koordinator
 Unit Pemilik Risiko Manajemen Risiko
 Tahap pelaksanaan
PMK
Penetapan konteks 191

1 Menganalisis lingkungan internal dan eksternal

2 Menjabarkan ruang lingkup penerapan

Mengidentifikasi dan menetapkan pihak-pihak

3 yang berkepentingan

Mengidentifikasi dan menetapkan kriteria

4 masing-masing konsekuensi dan kemungkinan

5 Membuat laporan hasil penetapan konteks

 Tahap pelaksanaan
Penetapan konteks

1 Menganalisis lingkungan internal dan eksternal

2 • Visi, misi, tujuan, dan sasaran

• Regulasi dan ketentuan
• Struktur, kebijakan, dan prosedur
3 • Aspek berwujud dan tidak berwujud
• Pemangku kepentingan (internal dan eksternal)
4 • Analisis SWOT
• Sumber daya
• Renstra dan rencana kinerja tahunan
5
 Tahap pelaksanaan
Penetapan konteks

2 Menjabarkan ruang lingkup penerapan

• Tingkat penerapan: eselon I atau eselon II

3 • Lingkup penerapan: proses, proyek, atau aktivitas
• Sasaran dan tujuan penerapan
• Sifat keputusan yang dihasilkan
4
• Waktu dan lokasi kegiatan
• Kajian pendahuluan yang dibutuhkan
5 • Sumber daya yang dibutuhkan
• Peran dan tanggung jawab pihak yang terkait
• Hubungannya dengan kegiatan lain
 Tahap pelaksanaan
Penetapan konteks

Mengidentifikasi dan menetapkan pihak-pihak

3 yang berkepentingan

4
• Eksternal
• Internal
5
 Tahap pelaksanaan
Penetapan konteks

2 • Tabel kriteria konsekuensi

• Tabel kriteria kemungkinan
• Menentukan tingkat risiko untuk dilakukan penanganan
3
atau tidak (selera risiko)
Mengidentifikasi dan menetapkan kriteria
4 masing-masing konsekuensi dan kemungkinan

5
 Contoh kriteria konsekuensi
Penetapan konteks

KONSEKUENSI KETERANGAN

• Pengaruhnya terhadap strategi dan aktivitas operasi rendah

Rendah • Pengaruhnya terhadap kepentingan para pemangku
kepentingan (stakeholders) rendah
• Pengaruhnya terhadap strategi dan aktivitas operasi sedang
Sedang • Pengaruhnya terhadap kepentingan para pemangku
kepentingan (stakeholders) sedang
• Pengaruhnya terhadap strategi dan aktivitas operasi tinggi
Tinggi • Pengaruhnya terhadap kepentingan para pemangku
kepentingan (stakeholders) tinggi
 Contoh kriteria kemungkinan
Penetapan konteks

KEMUNGKINAN KETERANGAN

Rendah Tidak pernah - Jarang terjadi

Sedang Kemungkinan terjadinya sedang

Tinggi Kemungkinan tinggi terjadi/hampir pasti terjadi

 Selera risiko
Penetapan konteks
tinggi

CONTOH
KONSEKUENSI
sedang

Selera
rendah

risiko

rendah sedang tinggi rendah

KEMUNGKINAN sedang
tinggi
 Tahap pelaksanaan
Penetapan konteks

• Membuat dokumentasi Piagam Manajemen Risiko dan

4 hasil analisis konteks

5 Membuat laporan hasil penetapan konteks

Tim Pembimbingan dan Konsultasi Manajemen Risiko

 Dokumentasi
Penetapan konteks
Piagam Manajemen Risiko

1. Data Umum Penerapan Proses Manajemen Risiko

Nama Unit Pemilik Risiko : Kepala Unit selaku UPR

Nama Pemilik Risiko : Nama Kepala Unit selaku pemilik risiko
Telepon Pemilik Risiko : Telepon kantor UPR
Lokasi : Alamat kantor UPR
Tujuan Pelaksanaan : Urutan penilaian risiko yang dilakukan
Keluaran (output) : Profil Risiko
Ruang Lingkup : Tugas dan fungsi UPR sesuai peraturan
Horison waktu : Jangkauan waktu berlakunya MR (6 bulan)
Jadual Pelaksanaan : Tanggal pelaksanaan pemetaan risiko
 Dokumentasi
Penetapan konteks
Piagam Manajemen
Risiko

1. Data Umum Penerapan

Proses Manajemen Risiko (lanjutan)
Proses pengambilan : Metode pengambilan keputusan dalam
keputusan manajemen risiko
Mekanisme dan saluran
Cth: voting, FGD, CSA
: Cara berkomunikasi dalam manajemen risiko
komunikasi
Cth: rapat berkala,
Mekanisme dan saluran : Saluran atau media berkomunikasi dalam
konsinyering, teleconference
komunikasi manajemen risiko

Cth: surat, email, laporan

 Dokumentasi
Penetapan konteks
Piagam Manajemen
Risiko

2. Identifikasi Sasaran
No. Sasaran Uraian Singkat Sasaran
1.
2.
Dst.

 Keterangan untuk
 Sasaran yang hendak dicapai organisasi
menjelaskan maksud
 Akan diidentifikasi risikonya pada tahapan
sasaran
berikutnya
 Dokumentasi
Penetapan konteks
Piagam
Manajemen Risiko

3. Komposisi Anggota Tim

Tugas dan
No. Nama Jabatan
Tanggung Jawab
1.
2.
Dst.

 Komposisi Tim yang melakukan penilaian risiko (sesuai Surat Tugas)

 Nama adalah nama personil Tim
 Jabatan adalah jabatan struktural dan fungsional personil Tim
 Tugas dan tanggung jawab adalah jabatan dalam struktur MR (Pemilik Risiko,
Koordinator MR, Administrator MR) & Anggota Tim (bagi personil yg lain)
 Dokumentasi
Penetapan konteks
Piagam Manajemen Risiko

Daftar Pemangku Kepentingan (stakeholders) eksternal

No. Nama/instansi Keterangan

1.
2.
Dst.

Pihak-pihak yang memiliki pengaruh/peran/kepentingan dengan unit

dalam pencapaian tujuan
Nama/isntansi adalah nama pihak (pejabat/intansi/lembaga)
Keterangan adalah penjelasan hubungan pihak-pihak tersebut dengan UPR
dalam pencapaian tujuan
 Dokumentasi
Penetapan konteks
Piagam Manajemen Risiko

Daftar Pemangku Kepentingan (stakeholders) internal

No. Nama/instansi Keterangan

1.
2.
Dst.

Pihak-pihak yang memiliki pengaruh/peran/kepentingan dengan unit

dalam pencapaian tujuan
Nama/isntansi adalah nama pihak (pejabat/intansi/lembaga)
Keterangan adalah penjelasan hubungan pihak-pihak tersebut dengan
UPR dalam pencapaian tujuan
 Dokumentasi
Penetapan konteks
Piagam Manajemen Risiko

Daftar regulasi, kebijakan, peraturan, prosedur terkait

No. Regulasi, kebijakan, peraturan, Keterangan

prosedur
1.
2.
Dst.

Dasar pelaksanaan tugas dan fungsi UPR untuk mencapai tujuan

Dipilih yg paling signifikan dan berpengaruh terhadap pelaksanaan tugas & fu ngsi
Keterangan adalah penjelasan hubungan regulasi, kebijakan, peraturan, dan
prosedur dengan tugas dan fungsi UPR
 Dokumentasi
Penetapan konteks
Piagam Manajemen Risiko

Struktur organisasi Unit Pemilik Risiko

 Susunan fungsi manajemen risiko di UPR sesuai dengan Keputusan

Ketua Komite Manajemen Risiko
 Terdiri dari:
 Pemilik Risiko
 Koordinator Manajemen Risiko
 Administrator Manajemen Risiko
 UPR yang memiliki tugas dengan spesifikasi beragam, dapat
ditetapkan lebih dari satu Koordinator dan Administrator
Manajemen Risiko
 Dokumentasi
Penetapan konteks

Piagam Manajemen Risiko

Kriteria Risiko

 Dibuat untuk masing-masing risiko pada tiap Sasaran

 Dasar pengukuran tiap konsekuensi dan kemungkinan
terjadinya (likelihood) pada tahapan berikutnya
 Acuan untuk menentukan level risiko
 Dasar untuk mengevaluasi dan menganalisis risiko
 Dibuat setelah seluruh risiko diidentifikasi
 Ukuran dapat berupa kuantitatif atau kualitatif
 Dokumentasi
Penetapan konteks
Piagam Manajemen Risiko

Kriteria Risiko
A1. Kriteria Konsekuensi Risiko

Level
No. Kriteria Kuantitatif Kriteria Kualitatif
Konsekuensi
1. Rendah
2. Sedang
Dst. Tinggi
Ukuran dalam bentuk Ukuran dalam bentuk
angka narasi/pernyataan
A2. Dasar Penentuan Kriteria Konsekuensi Risiko
-
-  Penjelasan faktor yang menjadi dasar penentuan kriteria
- dst.  Misal: FGD, data periode sebelumnya, analisis subyektif, benchmarking
 Dokumentasi
Penetapan konteks
Piagam Manajemen Risiko

Kriteria Risiko
B1. Kriteria Kemungkinan Terjadinya Risiko

Level
No. Kriteria Kuantitatif Kriteria Kualitatif
Kemungkinan
1. Rendah
2. Sedang
Dst. Tinggi
Ukuran dalam bentuk Ukuran dalam bentuk
angka narasi/pernyataan
B2. Dasar Penentuan Kriteria Kemungkinan Terjadinya Risiko
-
-  Penjelasan faktor yang menjadi dasar penentuan kriteria
- dst.  Misal: FGD, data periode sebelumnya, analisis subyektif, benchmarking
 Dokumentasi
Penetapan konteks

Piagam Manajemen Risiko

Kriteria Risiko
Matrik Analisis untuk menentukan tingkat risiko

Kemungkinan Konsekuensi Risiko

No.
Terjadinya Risiko Rendah Sedang Tinggi
1. Rendah Rendah Sedang Sedang
2. Sedang Rendah Sedang Tinggi
3. Tinggi Sedang Tinggi Tinggi

* Asumsi bobot konsekuensi (dampak) lebih tinggi dari

kemungkinan terjadinya (frekuensi)
 Dokumentasi
Penetapan konteks
Piagam Manajemen Risiko

Selera Risiko

 Ditetapkan oleh Komite Manajemen Risiko

 Persepsi UPR terhadap tinggi rendahnya risiko
 Tingkat risiko yang bersedia diambil oleh sebuah organisasi
(instansi) dalam upaya mewujudkan tujuan/sasaran yang telah
ditetapkan
 Dipengaruhi oleh sikap terhadap risiko: Risk Averse vs Risk Taker
 Pertimbangan dalam pembuatan keputusan mengenai
penanganan risiko
 Dokumentasi
Penetapan konteks
Piagam
Manajemen Risiko

9. Selera Risiko
tinggi
KONSEKUENSI
sedang

Selera risiko

rendah
rendah

sedang
tinggi

rendah sedang tinggi

KEMUNGKINAN
KLAUSUL 6
PROCESS
 Proses Manajemen Risiko
(Klausul 6)

• harus menjadi bagian integral dari manajemen,

tertanam dalam budaya dan praktik dan disesuaikan
dengan proses bisnis organisasi.
• mencakup lima kegiatan: komunikasi dan konsultasi;
menetapkan konteks; tugas beresiko; perawatan
risiko; dan pemantauan dan tinjauan.
6.1 Umum

Proses manajemen risiko melibatkan

penerapan sistematis kebijakan,
prosedur, dan praktik untuk kegiatan
komunikasi dan konsultasi,
menetapkan konteks dan menilai,
menangani, memantau, meninjau,
mencatat, dan melaporkan risiko.
6.2 Komunikasi dan konsultasi

Tujuan komunikasi dan konsultasi adalah untuk membantu pemangku

kepentingan terkait dalam memahami risiko, dasar pengambilan keputusan,
dan alasan mengapa tindakan tertentu diperlukan.

Komunikasi dan konsultasi dengan pemangku kepentingan eksternal dan

internal yang sesuai harus dilakukan di dalam dan di seluruh langkah proses
manajemen risiko.

Komunikasi dan konsultasi bertujuan untuk:

 menyatukan berbagai bidang keahlian untuk setiap langkah proses
manajemen risiko;
 memastikan bahwa pandangan yang berbeda dipertimbangkan dengan tepat
saat mendefinisikan kriteria risiko dan saat mengevaluasi risiko;
 memberikan informasi yang cukup untuk memfasilitasi pengawasan risiko
dan pengambilan keputusan;
 membangun rasa inklusif dan kepemilikan di antara mereka yang terkena
risiko.
6.3 Ruang Lingkup, Konteks Dan Kriteria

6.3.1 Umum

Tujuan menetapkan ruang lingkup, konteks dan

kriteria adalah untuk menyesuaikan proses
manajemen risiko, memungkinkan penilaian risiko
yang efektif dan perlakuan risiko yang sesuai.

Ruang lingkup, konteks dan kriteria melibatkan

pendefinisian ruang lingkup proses, dan
pemahaman konteks eksternal dan internal.
 6.3 ESTABLISHING THE CONTEXT
6.3.2 External Context
6.3.3 Internal Context
6.6
6.3.4 Risk Management Process Context
6.2 6.3.5 Developing Risk Criteria M
O
C N
O I
M 6.4.2 RISK IDENTIFICATION T
M O
What can happen, when, where, how & why A
U R
&
N
6.4.3 RISK ANALYSIS
S R
I
C
6.4 Determine existing controls S E
V
A
R Determine Determine E I
T Likelihood Consequences
I I S E
W
O
S
Estimate Level of Risk S
N 6.7
K M
&
E D
O
C 6.4.4 RISK EVALUATION
O N C
Compare against criteria. U
N
Identify & assess options. T M
S
Decide on response. E
U N
L Establish priorities.
T
T &
A R
T E
I
6.5 RISK TREATMENT P
O 6.5.2 Selection of risk treatment options O
N 6.5.3 Preparing and implementing risk R
treatment plans T

ISO 31000:2018 Risk management process in detail

 6. PROCESS
C
O ESTABLISHING THE CONTEXT
M
M M D
U
O O
N
I RISK IDENTIFICATION N C
C I U
A
T M
T
I O E
O RISK ANALYSIS R N
N T

&
RISK ASSESSMENT &
&
RISK EVALUATION R
C
O E R
N V E
S
I P
U RISK TREATMENT O
L E
T W R
I T
O
N
6.4.2 Identifikasi risiko

Tujuan dari identifikasi risiko adalah untuk menemukan, mengenali dan

menjelaskan risiko yang mungkin membantu atau mencegah organisasi
mencapai tujuannya

Faktor-faktor berikut, dan hubungan antara faktor-faktor ini, harus

dipertimbangkan:
-sumber risiko yang berwujud dan tidak berwujud;
-penyebab dan peristiwa;
-ancaman dan peluang;
-kerentanan dan kapabilitas;
-perubahan dalam konteks eksternal dan internal;
-indikator risiko yang muncul;
-sifat dan nilai aset dan sumber daya;
-konsekuensi dan dampaknya terhadap tujuan;
-keterbatasan pengetahuan dan keandalan informasi;
-faktor terkait waktu;
-bias, asumsi dan keyakinan mereka yang terlibat.
6.4.3 Analisis risiko

Tujuan dari analisis risiko adalah untuk memahami sifat risiko dan
karakteristiknya termasuk, jika sesuai, tingkat risikonya.

Analisis risiko harus mempertimbangkan faktor-faktor seperti:

-kemungkinan kejadian dan konsekuensi;
-sifat dan besarnya konsekuensi;
-kompleksitas dan konektivitas;
-faktor dan volatilitas terkait waktu;
-efektivitas pengendalian yang ada;
-sensitivitas dan tingkat kepercayaan diri.
6.4.4 Evaluasi risiko

Tujuan evaluasi risiko adalah untuk mendukung

pengambilan keputusan.

Evaluasi risiko melibatkan perbandingan hasil analisis risiko

dengan kriteria risiko yang ditetapkan untuk menentukan di
mana tindakan tambahan diperlukan.

Ini dapat mengarah pada keputusan untuk:

-tidak melakukan apa-apa lebih jauh.

-pertimbangkan pilihan penanganan risiko.
-melakukan analisis lebih lanjut untuk lebih memahami
risiko.
-mempertahankan kontrol yang ada,
-pertimbangkan kembali tujuan.
6.5 Perawatan risiko

6.5.1 Umum

Tujuan dari perlakuan risiko adalah untuk memilih dan menerapkan opsi untuk
menangani risiko.
Penanganan risiko melibatkan proses berulang dari:
-merumuskan dan memilih opsi perlakuan risiko;
-merencanakan dan menerapkan perlakuan risiko;
-menilai keefektifan pengobatan itu;
-memutuskan apakah risiko yang tersisa dapat diterima;
-jika tidak dapat diterima, lakukan pengobatan lebih lanjut.
6.6 Pemantauan dan tinjauan

1. Tujuan dari pemantauan dan tinjauan adalah untuk memastikan dan

meningkatkan kualitas dan efektivitas desain proses, implementasi dan
hasil.

2. Pemantauan berkelanjutan dan tinjauan berkala dari proses manajemen

risiko dan hasilnya harus menjadi bagian yang direncanakan dari proses
manajemen risiko, dengan tanggung jawab yang ditentukan dengan
jelas.
3. Pemantauan dan peninjauan harus dilakukan di semua tahapan proses.
Pemantauan dan peninjauan mencakup perencanaan, pengumpulan
dan analisis informasi, pencatatan hasil dan pemberian umpan balik.
4. Hasil pemantauan dan tinjauan harus dimasukkan ke seluruh kegiatan
manajemen, pengukuran dan pelaporan kinerja organisasi.
6.7 Pencatatan dan pelaporan

Proses manajemen risiko dan hasilnya harus didokumentasikan dan

dilaporkan melalui mekanisme yang sesuai.

Pencatatan dan pelaporan bertujuan untuk:

 -mengkomunikasikan aktivitas dan hasil manajemen risiko di seluruh

organisasi;
 -memberikan informasi untuk pengambilan keputusan;
 -meningkatkan aktivitas manajemen risiko;
 -membantu interaksi dengan pemangku kepentingan, termasuk yang
memiliki tanggung jawab dan akuntabilitas untuk kegiatan manajemen
risiko.
 Manajemen Risiko - Teknik Penilaian Risiko

Penilaian risiko berupaya menjawab pertanyaan mendasar

berikut:
• apa yang bisa terjadi dan mengapa (berdasarkan risiko
identifikasi)?
• apa kemungkinan masa depan mereka
kejadian?
• apa konsekuensinya?
• apakah ada faktor yang mengurangi
kemungkinan risiko atau yang mengurangi
konsekuensi dari risikonya?
 Manajemen Risiko - Teknik Penilaian Risiko

Secara khusus, mereka yang melakukan penilaian risiko harus jelas

• konteks dan tujuan organisasi,
• tingkat dan jenis risiko yang dapat ditoleransi, dan bagaimana caranya
risiko yang tidak dapat diterima harus ditangani,
• bagaimana penilaian risiko terintegrasi ke dalam organisasi
proses,
• metode dan teknik yang akan digunakan untuk penilaian risiko,
dan kontribusinya terhadap proses manajemen risiko,
• akuntabilitas, tanggung jawab dan wewenang untuk melakukan
tugas beresiko,
• sumber daya yang tersedia untuk melakukan penilaian risiko,
• bagaimana penilaian risiko akan dilaporkan dan ditinjau.
 Lampiran A (Informatif)
Atribut peningkatan manajemen risiko

1. Penekanan pada peningkatan berkelanjutan dalam

manajemen risiko melalui pengaturan tujuan kinerja
organisasi, pengukuran, tinjauan dan modifikasi selanjutnya dari
proses, sistem, sumber daya, dan kemampuan /
keterampilan.
2. Akuntabilitas yang komprehensif, terdefinisi penuh,
dan diterima sepenuhnya untuk tugas-tugas risiko,
kontrol dan perawatan. Individu yang disebutkan sepenuhnya
menerima, memiliki keterampilan yang sesuai, dan memiliki sumber
daya yang memadai untuk memeriksa kontrol, memantau risiko,
meningkatkan kontrol, dan mengkomunikasikan secara efektif tentang
risiko dan manajemen mereka kepada pihak yang berkepentingan.
 Lampiran A (Informatif)
Atribut peningkatan manajemen risiko

3. Semua pengambilan keputusan dalam organisasi,

apapun tingkat kepentingan dan signifikansinya, melibatkan
pertimbangan risiko secara eksplisit dan penerapan
proses manajemen risiko sampai tingkat tertentu.
4. Komunikasi berkelanjutan dan pelaporan kinerja manajemen
risiko yang sangat terlihat, komprehensif dan sering
kepada semua "pihak yang berkepentingan" sebagai bagian dari
proses tata kelola.
 Lampiran A (Informatif)
Atribut peningkatan manajemen risiko

5. Manajemen risiko selalu dipandang sebagai

proses organisasi inti di mana risiko dianggap
sebagai sumber ketidakpastian yang dapat
diperlakukan untuk memaksimalkan peluang
keuntungan sekaligus meminimalkan peluang
kerugian.
Secara kritis, manajemen risiko yang efektif dianggap
oleh manajer senior sebagai hal yang esensial untuk
pencapaian tujuan organisasi. Struktur dan proses
tata kelola organisasi didasarkan pada proses
manajemen risiko.
 ISO 31000 - Mengurangi Risiko dalam
Manajemen Risiko
• Menghindari organisasi menciptakan kembali roda
• Memungkinkan semua mendapatkan keuntungan dari
praktik terbaik yang terbukti
• Memberikan tolok ukur universal
• Mengurangi hambatan perdagangan
• Memberi nasihat dengan tepat apa yang perlu Anda
lakukan dan bagaimana Anda perlu melakukannya - tidak
ada usaha yang sia-sia dan tidak ada awal yang salah
• Skalabel - berfungsi untuk semua ukuran organisasi
• Manajemen risiko = membuat keputusan yang
optimal dalam menghadapi ketidakpastian
IMPLEMENTASI
PENDEKATAN
BERBASIS
RISIKO

1
3
 Pengelolaan risiko dan Pendekatan Penilaian Kesesuaian

Based on standard or

Risk
Based on specification/ technical
standard requirement

First party/third
party on behalf
of industry

Third party on
behalf of
regulator

Regulator

Inspecti
Nil Registrat on
Supplier ion Batch testing
declaration Approval Cara penilaian kesesuaian
Hubungan antara risiko dengan standar/persyaratan, cara penilaian kesesuaian dan
pelaku penilaian kesesuaian
Sumber : APEC GRP
BSN Webinar
1
3
Pengelolaan risiko dalam Sistem Pemerintahan Berbasis Elektronik

PermenPanRB
No. 5/2020 tentang
Manajemen Risiko
SPBE

1
3
 Strategi Penerapan ISO 31000:2018

• Peran kuat kepemimpinan Manajemen dan Komitmen

• Menunjuk Komite Manajemen Risiko
• Jadikan Manajemen Risiko sebagai Budaya Perusahaan
• Tetapkan risk appetite sebagai dasar penerapan
• Pelatihan ke seluruh karyawan
• Susun dokumen perusahaan terhadap persyaratan standar ISO
31000:2018
• Implementasikan manajemen risiko berbasis aktivitas dan
sumberdaya
• Sosialisasikan dan komunikasikan secara berkala
• Lakukan audit risiko
• Senantiasa dimonitor untuk dilakukan peningkatan berkelanjutan

133
SUMBER :

- ISO 31000:2018 RISK MANAGEMENT – Guidelines

- Enterpise Risk Management Handout Training - Mulyanto, AH
- Awareness Manajemen Risiko ISO 31000:2009 – Tahun 2018
- Penetapan Konteks – Tim Konsultasi Manajemen Risiko – Departement Keuangan.
- Overview ISO 31000 & Panduan ISO 73:2009 Manajemen Risiko
- https://ibfgi.com/risk-management-31000
- https://isoindonesiacenter.com/iso-31000-2018-peralatan-baru-bagi-manajemen-risiko/
- https://www2.slideshare.net/iso3100riskmanagement
 Resiko terbesar dari
semuanya
adalah tidak mengambil
risiko sama sekali !
Standar Risk Management
Pedoman
ISO 31000:2018
DISKUSI & PERTANYAAN
SEKIAN DAN
TERIMAKASIH