2019 Perdir 117.P - Pedoman Umum Penerapan Manajemen Risiko (Salinan) Ref

PT PLN (PERSERO)
PERATURAN DIREKSI PT PLN (PERSERO)
NOMOR: 0117.P/DIR/2019
TENTANG
PEDOMAN UMUM PENERAPAN MANAJEMEN RISIKO

DI LINGKUNGAN PT PLN (PERSERO)
DIREKSI PT PLN (PERSERO)
Menimbang : a. bahwa Tata Laksana Kerja Direksi dan Dewan Komisaris (Board
Manual) PT PLN (Persero) telah ditetapkan pada tanggal 10
Oktober 2016, dimana Direksi wajib membangun dan
melaksanakan program Manajemen Risiko secara terpadu dan
melaksanakannya secara konsisten pada pengelolaan proses
bisnis Perusahaan;
b. bahwa dengan penerapan program Manajemen Risiko
sebagaimana dimaksud pada huruf a di atas, diharapkan seluruh
unsur Perusahaan mengenali risiko-risiko yang dihadapi dalam
pencapaian visi, misi, maupun sasaran Perusahaan, sehingga
dapat mempersiapkan langkah penanganannya dengan
memanfaatkan sumber daya yang dimiliki secara optimal;
c. bahwa adanya perkembangan kompleksitas pengelolaan
pengusahaan tenaga listrik di lingkungan internal maupun eksternal
yang dihadapi Perusahaan dalam pencapaian sasarannya, maka
perlu dilakukan penyempurnaan atas ketentuan penerapan
Manajemen Risiko di Lingkungan PT PLN (Persero);
d. bahwa berdasarkan pertimbangan sebagaimana dimaksud dalam
huruf a, b, dan c di atas, perlu menetapkan Peraturan Direksi PT
PLN (Persero) tentang Pedoman Umum Penerapan Manajemen
Risiko di Lingkungan PT PLN (Persero).
Mengingat : 1. Undang-Undang RI Nomor 19 Tahun 2003 tentang Badan Usaha

Milik Negara;
2. Undang-Undang RI Nomor 40 Tahun 2007 tentang Perseroan
Terbatas;
3. Undang-Undang RI Nomor 30 Tahun 2009 tentang
Ketenagalistrikan;
4. Peraturan Pemerintah RI Nomor 23 Tahun 1994 tentang
Pengalihan Bentuk Perusahaan Umum (Perum) Listrik Negara
Menjadi Perusahaan Perseroan (Persero);
1 dari 70
5. Peraturan Pemerintah RI Nomor 45 Tahun 2005 tentang Pendirian,
Pengurusan, Pengawasan dan Pembubaran Badan Usaha Milik
Negara;
6. Peraturan Pemerintah RI Nomor 14 Tahun 2012 tentang Kegiatan
Usaha Penyediaan Tenaga Listrik sebagaimana telah diubah
dengan Peraturan Pemerintah RI Nomor 23 Tahun 2014;
7. Peraturan Pemerintah RI Nomor 62 Tahun 2012 tentang Usaha
Jasa Penunjang Tenaga Listrik;
8. Peraturan Menteri Negara Badan Usaha Milik Negara Nomor PER-
01/MBU/2011 tentang Penerapan Tata Kelola Perusahaan Yang
Baik (Good Corporate Governance) Pada Badan Usaha Milik
Negara sebagaimana telah diubah dengan Peraturan Menteri
Negara Badan Usaha Milik Negara Nomor PER-09/MBU/2012;
9. Anggaran Dasar PT PLN (Persero);
10. Keputusan Menteri Badan Usaha Milik Negara Selaku Rapat
Umum Pemegang Saham Perusahaan (Persero) PT Perusahaan
Listrik Negara Nomor SK-272/MBU/2014 tentang Pemberhentian
dan Pengangkatan Anggota-Anggota Direksi Perusahaan
Perseroan (Persero) PT Perusahaan Listrik Negara;
Umum Pemegang Saham Perusahaan (Persero) PT Perusahaan
Listrik Negara Nomor SK-211/MBU/10/2015 tentang
Pemberhentian dan Pengangkatan Anggota-Anggota Direksi
Perusahaan Perseroan (Persero) PT Perusahaan Listrik Negara;
Umum Pemegang Saham Perusahaan Perseroan (Persero) PT
Perusahaan Listrik Negara Nomor SK-138/MBU/07/2017 tentang
Pemberhentian, Perubahan Nomenklatur Jabatan, Pengalihan
Tugas, dan Pengangkatan Anggota-anggota Direksi Perusahaan
Perseroan (Persero) PT Perusahaan Listrik Negara;
Pemberhentian, Pengalihan Tugas, dan Pengangkatan Anggota-
anggota Direksi Perusahaan Perseroan (Persero) PT Perusahaan
Listrik Negara;
Pemberhentian Anggota Direksi Perusahaan Perseroan (Persero)
PT Perusahaan Listrik Negara;
15. Keputusan Sekretaris Kementerian Badan Usaha Milik Negara
Nomor SK-16/S.MBU/2012 tentang Indikator/Parameter Penilaian
dan Evaluasi atas Penerapan Tata Kelola Perusahaan Yang Baik
(Good Corporate Governance) pada Badan Usaha Milik Negara;
2 dari 70
16. Keputusan Direksi PT PLN (Persero) Nomor 304.K/DIR/2009
tentang Batasan Kewenangan Pengambilan Keputusan di
Lingkungan PT PLN (Persero) sebagaimana telah beberapa kali
diubah, terakhir dengan Keputusan Direksi PT PLN (Persero)
Nomor 0313.K/DIR/2014;
17. Peraturan Direksi PT PLN (Persero) Nomor 0051.P/DIR/2018
tentang Organisasi dan Tata Kerja PT PLN (Persero) sebagaimana
telah diubah dengan Peraturan Direksi PT PLN (Persero) Nomor
0101.P/DIR/2019.
Memperhatikan : 1. Pedoman Komisaris Independen dikeluarkan oleh Komite Nasional

Kebijakan Governance Tahun 2004 (Pedoman Komisaris
Independen KNKG 2004);
2. Pedoman Pembentukan Komite Audit Yang Efektif dikeluarkan oleh
Komite Nasional Kebijakan Governance Tahun 2004 (Pedoman
Komite Audit KNKG 2004);
3. Pedoman Umum Good Corporate Governance Indonesia
dikeluarkan oleh Komite Nasional Kebijakan Governance Tahun
2006 (Pedoman GCG KNKG 2006);
4. SNI 8615:2018 ISO 31000:2018 Manajemen Risiko – Pedoman;
5. COSO-ERM Integrating with Strategy and Performance 2017.
MEMUTUSKAN:
Menetapkan : PERATURAN DIREKSI PT PLN (PERSERO) TENTANG PEDOMAN
UMUM PENERAPAN MANAJEMEN RISIKO DI LINGKUNGAN PT PLN
(PERSERO).
Pasal 1
Ketentuan Umum
Dalam Peraturan ini yang dimaksud dengan:

1. Perusahaan adalah PT PLN (Persero) yang didirikan dengan Akte Notaris Sutjipto, S.H.
Nomor 169 tahun 1994, beserta perubahannya.
2. Organ Perusahaan adalah Rapat Umum Pemegang Saham, Dewan Komisaris dan
Direksi PT PLN (Persero).
3. Rapat Umum Pemegang Saham yang selanjutnya disingkat RUPS, adalah Organ
Perusahaan yang mempunyai wewenang yang tidak diserahkan kepada Direksi atau
Dewan Komisaris sesuai dengan peraturan perundang-undangan yang berlaku dan
Anggaran Dasar Perusahaan.
4. Keputusan Pemegang Saham Diluar RUPS (Sirkuler) adalah Pengambilan keputusan
yang sah tanpa mengadakan RUPS secara fisik, dengan ketentuan semua Pemegang
Saham telah diberitahu secara tertulis dan semua Pemegang Saham memberikan
persetujuan mengenai usul yang diajukan secara tertulis serta menandatangani
persetujuan tersebut.
5. Dewan Komisaris adalah Organ Perusahaan yang bertugas melakukan pengawasan
secara umum dan/atau khusus sesuai dengan peraturan perundang-undangan yang
berlaku dan Anggaran Dasar Perusahaan serta memberi nasihat kepada Direksi.
3 dari 70
6. Direksi adalah Organ Perusahaan yang bertanggung jawab atas pengelolaan
Perusahaan sesuai dengan maksud dan tujuan Perusahaan yang terdiri dari seorang
Direktur Utama sebagai koordinator dengan beberapa Direktur sebagai anggota dalam
batasan yang diatur oleh peraturan perundang-undangan yang berlaku dan Anggaran
Dasar Perusahaan.
7. Direktur adalah anggota Direksi yang ditunjuk untuk memimpin satuan kerja pada
Direktorat.
8. Senior Executive Vice President yang selanjutnya disingkat SEVP, adalah sebutan
pemangku jabatan struktural yang memiliki kewenangan dan sebagai penanggung jawab
departemen.
9. Chief Audit Executive yang selanjutnya disingkat CAE, adalah sebutan pemangku
jabatan struktural yang memiliki kewenangan dan sebagai penanggung jawab Satuan
Pengawasan Intern.
10. Corporate Secretary yang selanjutnya disingkat CRS, adalah sebutan pemangku jabatan
struktural yang memiliki kewenangan dan sebagai penanggung jawab Sekretariat
Perusahaan.
11. Senior Vice President yang selanjutnya disingkat SVP, adalah jabatan struktural 1 (satu)
tingkat dibawah Direktur Utama yang mengelola Divisi Hukum Korporat dan bertanggung
jawab langsung kepada Direktur Utama.
12. Executive Vice President yang selanjutnya disingkat EVP, adalah jabatan struktural 1
(satu) tingkat dibawah Direksi/SEVP yang mengelola Divisi dan bertanggung jawab
langsung kepada Direksi/SEVP.
13. General Manager yang selanjutnya disingkat GM, adalah sebutan pemangku jabatan
struktural yang memiliki kewenangan dan sebagai penanggung jawab UI.
14. Kantor Pusat yang selanjutnya disingkat KP, adalah Induk Organisasi PT PLN (Persero).
15. Direktorat yang selanjutnya disingkat DIT, adalah satuan kerja yang dipimpin oleh
Direktur.
16. Satuan Pengawasan Intern yang selanjutnya disingkat SPI, adalah satuan kerja di
lingkungan Perusahaan yang mempunyai fungsi untuk melakukan pengawasan intern
yang dipimpin oleh CAE.
17. Departemen yang selanjutnya disingkat DEP, adalah satuan kerja satu tingkat dibawah
Direktur Utama yang Dipimpin oleh SEVP.
18. Sekretariat Perusahaan yang selanjutnya disingkat SETPER, adalah satuan kerja yang
menjalankan fungsi kesekretariatan perusahaan dan dimpimpin oleh CRS.
19. Divisi adalah satuan kerja pada KP/DIT/DEP yang dipimpin oleh EVP.
20. Unit Induk yang selanjutnya disingkat UI, adalah organisasi satu tingkat di bawah Kantor
Pusat yang melaksanakan kegiatan usaha tertentu sesuai dengan tujuan Perusahaan,
termasuk Pusat-Pusat yang merupakan organisasi setara UI yang melaksanakan
kegiatan pendukung Perusahaan.
21. Unit Pelaksana yang selanjutnya disingkat UP, adalah organisasi satu tingkat dibawah
UI yang melaksanakan kegiatan usaha tertentu sesuai dengan tujuan dan kegiatan
Perusahaan.
22. Anak Perusahaan adalah badan usaha yang minimum 51% (lima puluh satu persen)
dimiliki oleh Perusahaan yang melakukan kegiatan usaha sesuai dengan tujuan masing-
masing Anak Perusahaan.
4 dari 70
23. Pemangku Kepentingan (stakeholders) adalah individu, kelompok, dan organisasi yang
mempunyai kepentingan dan dapat mempengaruhi, dipengaruhi, atau merasa
dipengaruhi oleh Perusahaan.
24. Laporan Manajemen Perusahaan adalah laporan yang memuat pelaksanaan Rencana
Kerja dan Anggaran Perusahaan (RKAP).
25. Risiko (risk) adalah efek dari ketidakpastian terhadap sasaran.
26. Efek adalah penyimpangan dari sasaran yang diharapkan. Penyimpangan ini dapat
negatif, positif, atau keduanya. Dampak ini dapat timbul sebagai akibat dari suatu
tindakan atau kegagalan dari penanganan suatu peluang atau ancaman.
27. Ketidakpastian adalah keadaan, meskipun hanya sebagian, kekurangan informasi yang
berkaitan dengan pemahaman atau pengetahuan, kejadian, dampaknya, atau
Kemungkinan Kejadian.
28. Manajemen Risiko (Risk Management) adalah aktivitas terkoordinasi untuk
mengarahkan dan mengendalikan organisasi dalam kaitannya dengan risiko.
29. Fungsi Manajemen Risiko adalah fungsi di lingkungan Perusahaan yang bertugas untuk
memastikan terlaksananya Manajemen Risiko berdasarkan kaidah yang benar pada
seluruh kegiatan Perusahaan dan tersedianya informasi pengelolaan risiko bagi Direksi
dan informasi pengawasan dalam pengelolaan risiko bagi Dewan Komisaris, sebagai
referensi dalam pengambilan keputusan.
30. Pemilik Risiko (Risk Owner) adalah pejabat atau individu atau kelompok individu tertentu
yang diberikan tugas dan atau kewenangan tertentu oleh Perusahaan.
31. Selera Risiko (Risk Appetite) adalah Tingkat Risiko yang dapat diterima/diambil
Perusahaan dalam mencapai sasarannya.
32. Toleransi Risiko (Risk Tolerance) adalah kesiapan organisasi atau pemangku
kepentingan untuk menanggung suatu risiko tertentu setelah perlakuan risiko dalam
rangka mencapai sasarannya.
33. Risiko Utama (Key Risks) adalah risiko-risiko utama yang dihadapi perusahaan dalam
jangka panjang maupun jangka pendek, yang berpotensi menghambat pencapaian
sasaran Perusahaan atau mengancam kelangsungan usaha maupun sumber daya
Perusahaan.
34. Tingkat Risiko (Level of Risk) adalah Tingkat Risiko yang dinyatakan berdasarkan
perpaduan tingkat kemungkinan terjadinya risiko dengan tingkat dampak yang
ditimbulkannya.
35. Matriks Risiko (Risk Matrix) adalah peta/matriks penilaian risiko yang digunakan untuk
menggambarkan Tingkat Risiko terhadap Selera Risiko Perusahaan.
36. Penyebab Risiko (risk source) adalah elemen yang secara mandiri atau dalam kombinasi
memiliki potensi untuk menimbulkan risiko.
37. Peristiwa (event) adalah kejadian atau perubahan suatu set dari kondisi, dapat berupa
suatu yang diharapkan tidak terjadi atau tidak diharapkan namun terjadi, yang dapat
memiliki beberapa penyebab dan beberapa dampak, serta dapat menjadi penyebab
risiko.
38. Dampak (consequence) adalah hasil keluaran suatu peristiwa yang memengaruhi
sasaran.
39. Kemungkinan Kejadian (likelihood) adalah kemungkinan suatu peristiwa terjadi.
5 dari 70
40. Penanganan Risiko adalah segala tindakan yang diambil oleh manajemen untuk
mengelola risiko serta memberikan keyakinan (assurance) yang wajar terhadap
pencapaian tujuan dan sasaran yang telah ditentukan.
41. Pengendalian Risiko (Kontrol Eksisting) adalah Penanganan Risiko yang sudah ada
untuk memelihara dan/atau memodifikasi risiko.
42. Perlakuan Risiko (Mitigasi) adalah Penanganan Risiko tambahan untuk memodifikasi
risiko.
43. Taksonomi Risiko adalah pengelompokan risiko dan permasalahan yang telah/sedang
dihadapi Perusahaan guna menyiapkan penanganan yang sistematis.
44. Key Risk Indicator (KRI) atau Indikator Risiko Utama merupakan sebuah indikator yang
dapat mengindikasikan tingkat kemungkinan terjadinya risiko atau potensi dampak dari
sebuah Peristiwa risiko.
45. Manajemen Risiko atau Pengelolaan Risiko adalah proses terstruktur untuk mengelola
risiko yang dihadapi perusahaan dalam mencapai sasaran, berupa proses sistematis dan
berkesinambungan untuk mengidentifikasi dan mengukur Tingkat Risiko-risiko, serta
menentukan tindakan terbaik dalam mengurangi kemungkinan terjadinya risiko,
memperkecil dampak yang ditimbulkannya (atau kedua-duanya), maupun langkah
lainnya guna memastikan/menciptakan keyakinan bahwa sasaran perusahaan dapat
dicapai.
46. Risk Register adalah dokumen atau database yang memuat daftar risiko-risiko yang
telah diidentifikasi beserta hasil analisis dan penanganannya terkait dengan kegiatan
atau aktivitas.
47. Profil Risiko (Risk Profile) adalah dokumen Manajemen Risiko yang memaparkan risiko
utama yang berpotensi menghambat/menggagalkan pencapaian sasaran perusahaan,
baik sasaran jangka panjang yang tertuang dalam Rencana Usaha Penyediaan Tenaga
Listrik (RUPTL) dan Rencana Jangka Panjang Perusahaan (RJPP), maupun sasaran
jangka pendek yang tertuang dalam RKAP, beserta rencana penanganan dan
penanggung jawabnya.
Pasal 2
Maksud dan Tujuan
(1) Maksud dikeluarkannya Peraturan ini adalah sebagai panduan bagi seluruh Pemilik
Risiko di lingkungan Perusahaan dalam pengelolaan risiko Perusahaan.
(2) Tujuan dikeluarkannya Peraturan ini adalah sebagai standar kerangka penerapan
Manajemen Risiko sehingga implementasinya dapat dilakukan secara selaras dan
terintegrasi.
Pasal 3
Tujuan Penerapan
Penerapan Manajemen Risiko Perusahaan bertujuan untuk:

1. Menciptakan dan melindungi nilai di dalam Perusahaan dengan mengoptimalkan
peluang dan mengurangi potensi kerugian, mengambil keputusan, menetapkan dan
mencapai sasaran, serta meningkatkan kinerja.
2. Meningkatkan kesiapan Perusahaan dalam menghadapi ketidakpastian yang semakin
tinggi di lingkungan global, regional, maupun lokal yang berpotensi mengancam sumber
daya dan bahkan kelangsungan Perusahaan.
6 dari 70
3. Menjaga agar Perusahaan tetap dalam koridor pengelolaan usaha yang berkehati-hatian
dalam setiap aktivitas yang dilakukannya, sebagai bentuk tata kelola Perusahaan yang
baik (Good Corporate Governance) guna meningkatkan nilai tambah bagi Perusahaan.
Pasal 4
Sasaran Penerapan
Sasaran penerapan Manajemen Risiko Perusahaan adalah sebagai berikut:

1. Menumbuhkan budaya Manajemen Risiko yang bersifat preventif pada seluruh pejabat
maupun karyawan Perusahaan dalam mengelola Perusahaan sesuai tugas dan
kewenangan yang ada padanya.
2. Memastikan bahwa seluruh Pemilik Risiko dalam Perusahaan mampu mengelola
risikonya secara efektif dan efisien.
3. Meningkatkan keterpaduan dalam mengelola risiko baik yang bersifat produktif maupun
kontraproduktif terhadap pencapaian visi, misi, dan rencana strategis Perusahaan baik
dalam jangka pendek maupun jangka panjang.
4. Mendorong perbaikan pada seluruh proses bisnis Perusahaan secara bertahap dengan
mengintegrasikan Manajemen Risiko ke dalam proses bisnis tersebut.
5. Meningkatkan kualitas pengambilan keputusan.
Pasal 5
Strategi Penerapan
Strategi yang diterapkan dalam penerapan Manajemen Risiko adalah sebagai berikut:
1. Memprioritaskan tahapan penerapan Manajemen Risiko dari sasaran yang strategis.
2. Menjadikan Manajemen Risiko sebagai bagian integral dari proses bisnis dan
pengambilan keputusan.
3. Membangun keselarasan pengelolaan risiko antar satuan organisasi dalam lingkungan
Perusahaan.
4. Menentukan road map tahapan implementasi, serta memantau dan meningkatkan
secara terus-menerus kematangan implementasi Manajemen Risiko, yaitu tingkat
pemahaman, komitmen, sistem, maupun penerapan Manajemen Risiko di lingkungan
Perusahaan.
5. Membangun kompetensi yang relevan secara berkelanjutan melalui awareness, capacity
building, maupun lesson learned atas permasalahan yang pernah terjadi.
6. Membangun komunikasi dan konsultasi secara berkelanjutan dengan seluruh pemangku
kepentingan.
Pasal 6
Lingkup Penerapan
(1) Pada prinsipnya setiap Pemilik Risiko di Perusahaan berkewajiban mengelola risikonya,
dan setiap proses bisnis wajib dikelola risikonya sesuai ketentuan Perusahaan.
(2) Manajemen Risiko Perusahaan diterapkan pada:

a. proses pengambilan keputusan;
b. proses perencanaan dan pencapaian sasaran strategis maupun operasional;
7 dari 70
c. seluruh proses bisnis Perusahaan, termasuk di dalamnya adalah proses pelaporan
dalam rangka continuous improvement;
d. aspek kepatuhan.
(3) Manajemen Risiko diterapkan pada seluruh unsur organisasi dalam Perusahaan, namun
pemantauan secara korporat dilakukan hanya sampai dengan UI dan Anak Perusahaan,
kecuali untuk risiko tertentu yang secara spesifik akan mempengaruhi keberlangsungan
usaha Perusahaan.
(4) Manajemen Risiko yang spesifik pada bidang, fungsi, proses bisnis, maupun kebutuhan
tertentu dapat ditetapkan dalam ketentuan tersendiri, namun tetap mengacu pada
Peraturan ini, antara lain Manajemen Risiko Keuangan, Manajemen Risiko Proyek,
Manajemen Risiko Teknologi Informasi, Fraud Risk Management, Manajemen Risiko
Kelangsungan Usaha (Business Continuity), Risiko Keselamatan dan Kesehatan Kerja,
dan Implementasi Pengendalian Internal, termasuk di dalamnya pengendalian internal
dalam pelaporan keuangan atau Internal Control of Financial Reporting (ICoFR).
(5) Pedoman ini dapat digunakan sebagai dasar untuk mendorong penerapan Manajemen
Risiko ke Pemangku Kepentingan eksternal yang mempunyai peran signifikan terhadap
Perusahaan.
Pasal 7
Tugas dan Tanggung Jawab
Tugas dan tanggung jawab dalam penerapan Manajemen Risiko adalah sebagai berikut:
1. Direksi:
a. Menetapkan kebijakan penerapan Manajemen Risiko di lingkungan Perusahaan,
termasuk didalamnya adalah penetapan Matriks Risiko yang digunakan di
Perusahaan beserta Selera Risiko.
b. Menetapkan, mengelola, dan memantau Risiko Utama yang dihadapi Perusahaan
dalam pencapaian sasaran strategis Perusahaan.
c. Menciptakan lingkungan internal Perusahaan yang kondusif untuk penerapan dan
peningkatan kematangan implementasi Manajemen Risiko secara berkelanjutan,
dan untuk menanamkan budaya Manajemen Risiko Perusahaan.
d. Menyediakan sumber daya yang diperlukan dalam penerapan Manajemen Risiko.
2. Divisi Manajemen Risiko:
a. Menjalankan peran sebagai second line of defense (pertahanan kedua) melalui
pelaksanaan evaluasi pengelolaan risiko secara rutin berdasarkan hasil masukan
dari first line of defense (pertahanan pertama) pada KP/UI/UP/Anak Perusahaan.
b. Untuk menjalankan tugas pokok sebagaimana dimaksud huruf pada a di atas,
Divisi Manajemen Risiko melakukan kegiatan-kegiatan sebagai berikut:
1) Memastikan keselarasan penerapan Manajemen Risiko secara keseluruhan
dengan kebijakan, strategi Perusahaan, maupun peraturan yang berlaku;
2) Mengulas dan menilai efektivitas implementasi kebijakan-kebijakan yang
terkait Manajemen Risiko Perusahaan untuk memastikan penerapannya di
Perusahaan dapat berjalan efektif;
3) Berperan sebagai risk management advisor bagi Pemilik Risiko dalam
implementasi Manajemen Risiko Perusahaan;
8 dari 70
4) Mengkoordinasikan pengelolaan Profil Risiko Perusahaan dan
melaporkannya kepada Direksi;
5) Memberikan peringatan dini kepada Direksi melalui penilaian Profil Risiko
Perusahaan maupun mekanisme lainnya;
6) Meningkatkan kematangan implementasi Manajemen Risiko Perusahaan
dengan melakukan continuous improvement sesuai road map Manajemen
Risiko;
7) Merancang pelatihan berjenjang tentang Manajemen Risiko dari tingkat
manajerial hingga tingkat pelaksana;
8) Mengkomunikasikan seluruh proses Manajemen Risiko ke seluruh unit dan
Anak Perusahaan sehingga tujuan dari implementasi Manajemen Risiko
Perusahaan tercapai.
3. Divisi Kepatuhan:
a. Menjalankan peran sebagai second line of defense fungsi kepatuhan dengan cara
memastikan terlaksananya program kepatuhan berjalan dengan baik di
Perusahaan, termasuk Anak Perusahan dan Perusahaan Afiliasi.
b. Untuk menjalankan tugas pokok sebagaimana dimaksud huruf a di atas, Divisi
Kepatuhan melakukan kegiatan-kegiatan sebagai berikut:
1) Memastikan terlaksananya kebijakan pengelolaan anti-Fraud dalam bentuk
pemetaan risiko Fraud, langkah-langkah preventif dan deteksi Fraud di
Perusahaan secara berkala, serta mengkoordinir pelaksanaannya dengan
Pemilik Risiko;
2) Melakukan evaluasi terhadap kebijakan/regulasi yang bersifat strategis dan
berdampak besar terhadap keberlangsungan Perusahaan dalam rangka
mengidentifikasi dan memitigasi potensi terjadinya Fraud;
3) Memastikan perencanaan dan pelaksanaan program peningkatan Integritas
Perusahaan termasuk Anak Perusahaan dan perusahaan afiliasi;
4) Memastikan perencanaan, pelaksanaan dan evaluasi kebijakan
pengelolaan anti-Fraud di Perusahaan serta environment yang memadai
untuk implementasi Program anti-Fraud, termasuk didalamnya Fraud Risk
Management Information System dan memfasilitasi pembangunan
kompetensi.
4. Satuan Pengawasan Intern:
a. Menjalankan peran sebagai third line of defense (pertahanan ketiga) melalui
pelaksanaan evaluasi pelaksanaan pengelolaan Manajemen Risiko dan
Kepatuhan secara rutin berdasarkan hasil masukan dari second line of defense.
b. Untuk menjalankan tugas pokok sebagaimana dimaksud huruf a di atas, SPI
melakukan kegiatan-kegiatan sebagai berikut:
1) Berperan sebagai fungsi assurance provider yang independen terkait
pelaksanaan Manajemen Risiko oleh Pemilik Risiko.
2) Merencanakan dan melaksanakan audit berbasis risiko untuk memastikan
fokus pada Risiko Utama Perusahaan.
3) Memberikan penilaian terhadap efektivitas penanganan Risiko Utama
Perusahaan oleh Pemilik Risiko dan memberikan rekomendasi
perbaikannya.
9 dari 70
4) Melakukan evaluasi penerapan Manajemen Risiko di lingkungan
Perusahaan secara berkala.
5) Melakukan penilaian kematangan implementasi Manajemen Risiko unit dan
Anak Perusahaan jika diperlukan.
6) Memastikan pengendalian yang ada telah berjalan secara efektif sesuai
dengan spesifikasi yang ditetapkan sebelumnya.
7) Memastikan bahwa pengelolaan risiko telah sesuai dengan kebijakan dan
pedoman Manajemen Risiko.
5. DEP/DIV/SETPER/SPI bertanggung jawab terhadap penerapan Manajemen Risiko
dengan cara menunjukkan komitmen dan memastikan terlaksananya proses
pengelolaan risiko di satuan kerjanya.
6. Divisi Pengembangan Regional:
a. Bertanggung jawab terhadap penerapan Manajemen Risiko di Divisinya dengan
cara menunjukkan komitmen dan memastikan terlaksananya proses pengelolaan
risiko di Divisinya;
b. Berperan sebagai risk management advisor bagi Pemilik Risiko dalam
implementasi Manajemen Risiko Regional;
c. Mengkoordinasikan pengelolaan Profil Risiko Regional dan melaporkannya
kepada Direktur Regional dan Divisi Manajemen Risiko.
7. Divisi Operasi Regional dan Divisi Konstruksi Regional:
a. Bertanggung jawab terhadap penerapan Manajemen Risiko di Divisinya dengan
cara menunjukkan komitmen dan memastikan terlaksananya proses pengelolaan
risiko di Divisinya;
b. Mengkoordinasikan pengelolaan Profil Risiko UI dibawahnya dan melaporkannya
kepada Divisi Pengembangan Regional.
8. Unit Induk/Pusat-Pusat:
a. Membangun risk awareness di lingkungan kerjanya (termasuk UP di bawahnya)
melalui sosialisasi dan penerapan proses Manajemen Risiko.
b. Bertanggung jawab terhadap penerapan Manajemen Risiko di unit kerjanya
dengan cara menunjukkan komitmen, memberikan arahan, menyiapkan sumber
daya, dan memastikan terlaksananya proses pengelolaan risiko.
c. Melakukan pengukuran tingkat kematangan implementasi pengelolaan
Manajemen Risiko pada unit kerjanya secara periodik dengan menggunakan
metode self-assessment sesuai ketentuan yang ditetapkan.
9. Direksi Anak Perusahaan:
a. Menetapkan pedoman penerapan Manajemen Risiko di lingkungan Anak
Perusahaan, diselaraskan dengan pedoman penerapan Manajemen Risiko yang
berlaku di Perusahaan, termasuk didalamnya adalah penetapan Matriks Risiko
yang digunakan di Anak Perusahaan yang menggambarkan Selera Risiko Anak
Perusahaan dengan kategori yang mengacu pada Skala Tingkat Kemungkinan
Kejadian, Skala Tingkat Dampak, dan Tingkat Risiko yang ditetapkan oleh KP.
b. Membentuk satuan kerja di bawah Direksi Anak Perusahaan yang bertugas
sebagai framework owner dalam implementasi Manajemen Risiko di lingkungan
Anak Perusahaan, dengan fungsi utama mengacu pada angka 2 di atas.
10 dari 70
c. Menetapkan, mengelola, dan memantau Risiko Utama yang dihadapi Anak
Perusahaan dalam pencapaian sasaran strategis Perusahaan.
d. Menciptakan lingkungan internal Anak Perusahaan yang kondusif untuk penerapan
dan peningkatan kematangan implementasi Manajemen Risiko secara
berkelanjutan, dan untuk menanamkan budaya Manajemen Risiko di Anak
Perusahaan.
e. Menyediakan sumber daya yang diperlukan dalam penerapan Manajemen Risiko
di Anak Perusahaan.
10. Pemilik Risiko:
a. Melakukan pengelolaan risiko pada lingkup kewenangannya secara berkelanjutan,
termasuk didalamnya merencanakan dan menindaklanjuti penanganannya.
b. Menandatangani dokumen Kajian Risiko dalam posisinya sebagai pemrakarsa
atau penanggung jawab atas suatu kegiatan/keputusan.
c. Memantau Key Risk Indicator beserta pelaksanaan dan efektivitas penanganan
risiko, serta membuat laporan sesuai ketentuan yang berlaku.
d. Mendokumentasikan proses bisnis yang ada di bidang/lingkup kewenangannya,
permasalahan yang telah terjadi, dan risiko yang berpotensi terjadi beserta
pengendaliannya, serta melakukan Control Self Assessment (CSA) secara periodik
sesuai ketentuan.
e. Mempersiapkan sumber daya yang diperlukan dalam pengelolaan risiko di bidang
kerjanya.
f. Memastikan Manajemen Risiko dipahami dan diimplementasikan oleh satuan
kerjanya.
Pasal 8
Penetapan Tingkat Risiko
(1) Pengelolaan risiko yang dihadapi Perusahaan dilaksanakan dengan memperhatikan

skala prioritas yang didasarkan pada Tingkat Risikonya.
(2) Skala tingkat kemungkinan kejadian yang digunakan dalam analisis risiko Perusahaan
ditetapkan dalam 5 (lima) skala sebagai berikut:
a. Sangat Kecil (A).
b. Kecil (B).
c. Sedang (C).
d. Besar (D).
e. Sangat Besar (E).
(3) Skala tingkat dampak yang digunakan dalam analisis risiko Perusahaan ditetapkan
dalam 5 (lima) skala sebagai berikut:
a. Tidak Signifikan (1).
b. Minor (2).
c. Medium (3).
d. Signifikan (4).
e. Sangat Signifikan (5).
11 dari 70
(4) Tingkat Risiko yang dihasilkan dari analisis risiko Perusahaan ditetapkan dalam 4
(empat) tingkat sebagai berikut:
a. Risiko Rendah (standar warna Hijau).
b. Risiko Moderat (standar warna Biru Muda/Cyan).
c. Risiko Tinggi (standar warna Kuning).
d. Risiko Ekstrem (standar warna Merah).
(5) Matriks Risiko yang digunakan sebagai acuan dalam Manajemen Risiko Perusahaan
adalah sebagaimana tercantum dalam Lampiran Peraturan ini.
(6) Matriks Risiko yang digunakan sebagai acuan dalam Manajemen Risiko Anak
Perusahaan, ditetapkan oleh Direksi Anak Perusahaan mengacu pada ketentuan
sebagaimana dimaksud pada ayat (2), (3), dan (4).
(7) Khusus untuk Matriks Risiko fraud akan ditetapkan tersendiri dengan mengacu pada
ketentuan sebagaimana dimaksud pada ayat (2), (3), dan (4).
(8) Toleransi Risiko DEP/DIV/SETPER/SPI/UI/UP secara umum disesuaikan dengan

kondisi masing-masing sesuai dengan peraturan ini.
Pasal 9
Selera Risiko Perusahaan
(1) Selera Risiko Perusahaan secara umum ditetapkan berupa risiko pada tingkat Moderat
dan Rendah.
(2) Risiko pada tingkat Moderat yang berpotensi meningkat ke Tinggi juga harus dilakukan
mitigasi sehingga menjaga Tingkat Risiko sekurang-kurangnya tetap pada tingkat
Moderat.
(3) Selera Risiko Perusahaan secara rinci ditetapkan secara terpisah serta diulas secara
periodik.
Pasal 10
Pedoman Umum Penerapan Manajemen Risiko
Pedoman Umum Penerapan Manajemen Risiko di Lingkungan PT PLN (Persero) adalah

sebagaimana tercantum dalam Lampiran Peraturan ini dan merupakan bagian yang tidak
terpisahkan dari Peraturan ini.
Pasal 11
Anggaran Penerapan
(1) Anggaran implementasi Manajemen Risiko pada KP merupakan bagian dari anggaran
pelaksanaan program satuan kerja masing-masing.
(2) Anggaran implementasi Manajemen Risiko pada UI, UP, dan Anak Perusahaan
merupakan dari anggaran pelaksanaan program unit kerja masing-masing.
12 dari 70
Pasal 12
Ketentuan Lain-Lain
(1) Peraturan ini diberlakukan di Anak Perusahaan berdasarkan keputusan RUPS Anak
Perusahaan.
(2) Petunjuk teknis pelaksanaan Manajemen Risiko akan diatur dalam Edaran Direksi PT
PLN (Persero).
Pasal 13
Ketentuan Penutup
Pada saat Peraturan ini mulai berlaku, maka Peraturan Direksi PT PLN (Persero) Nomor
355.K/DIR/2014 tentang Penerapan Manajemen Risiko di Lingkungan PT PLN (Persero) dan
ketentuan-ketentuan lain yang bertentangan dengan Peraturan ini dicabut dan dinyatakan tidak
berlaku.
Peraturan ini mulai berlaku sejak tanggal ditetapkan.
Ditetapkan di Jakarta
pada tanggal 06 Agustus 2019
PLT DIREKTUR UTAMA,
ttd
SRIPENI INTEN CAHYANI
13 dari 70
LAMPIRAN I
NOMOR : 0117.P/DIR/2019
TANGGAL : 06 AGUSTUS 2019
BAB I
ARSITEKTUR MANAJEMEN RISIKO
1.1 Arsitektur Manajemen Risiko terdiri dari tiga komponen yang saling terkait, yaitu: Prinsip
Manajemen Risiko, Kerangka Kerja Manajemen Risiko, dan Proses Manajemen Risiko.
1.2 Skema hubungan ketiga komponen tersebut dijelaskan pada Gambar 1.
1.3 Prinsip Manajemen Risiko

Prinsip Manajemen Risiko merupakan fondasi (nilai dasar) bagi pengembangan kerangka
pengelolaan risiko seperti diilustrasikan pada Gambar 2, dengan penjelasan sebagai
berikut:
1.3.1. Menjunjung tinggi integritas dan sesuai peraturan perundang-undangan yang
berlaku.
1.3.2. Manajemen Risiko merupakan bagian integral dari semua aktivitas.
1.3.3. Pendekatan terstruktur dan komprehensif pada Manajemen Risiko memberikan
hasil yang konsisten dan dapat dibandingkan.
1.3.4. Kerangka kerja dan proses Manajemen Risiko disesuaikan dengan kebutuhan
Perusahaan.
1.3.5. Keterlibatan para pemangku kepentingan secara memadai dan tepat waktu.
1.3.6. Risiko yang muncul, berubah, atau hilang ketika terjadi perubahan konteks
eksternal dan internal organisasi.
1.3.7. Manajemen Risiko bersifat sistematis dan berkesinambungan, yaitu didasarkan
pada informasi/data/analisis terbaik yang tersedia, dapat diulang serta mengikuti
perubahan/perkembangan best practices.
1.3.8. Data, informasi, dan dokumen Manajemen Risiko bersifat rahasia, sehingga harus
mendapatkan persetujuan dari EVP Manajemen Risiko sebelum disampaikan
kepada pemangku kepentingan, terutama kepada pihak eksternal Perusahaan.
1.3.9. Penerapan seluruh aspek Manajemen Risiko dipengaruhi oleh perilaku dan budaya
manusia.
1.3.10. Manajemen Risiko diperbaiki secara berkelanjutan melalui pelajaran dan
pengalaman.
1.4 Kerangka Kerja Manajemen Risiko

1.4.1 Kerangka Kerja Manajemen Risiko merupakan pilar-pilar bagi penerapan proses
Manajemen Risiko dan bertujuan membantu organisasi mengintegrasikan
Manajemen Risiko dalam aktivitas dan fungsi.
1.4.2 Perusahaan mengevaluasi praktik dan proses Manajemen Risiko yang ada,
mengevaluasi apa pun kesenjangan dan kemudian mengatasi kesenjangan
tersebut dalam kerangka kerja.
1.4.3 Kerangka Kerja Manajemen Risiko diilustrasikan pada Gambar 3.
14 dari 70
1.4.4 Penjelasan ilustrasi kerangka kerja penerapan Manajemen Risiko sebagaimana
dimaksud dalam Gambar 3, adalah sebagai berikut:
a. Kepemimpinan dan komitmen
Direksi dan Dewan Komisaris menjamin Manajemen Risiko terintegrasi dalam
seluruh aktivitas Perusahaan dengan:
1) Membangun dan menerapkan semua komponen kerangka kerja
Manajemen Risiko.
2) Menetapkan Kebijakan Umum Manajemen Risiko yang berisi komitmen
Direksi dan Pegawai PLN untuk:
a) Menerapkan Manajemen Risiko secara terpadu dan bersinergi,
mengingat risiko merupakan pertimbangan penting pada setiap
perencanaan dan pengambilan keputusan dalam mencapai tujuan
Perusahaan.
b) Memastikan setiap proses bisnis yang dijalankan di setiap tingkatan
organisasi Perusahaan aman dari efek negatif setiap risiko yang
melekat pada proses bisnis tersebut dan dapat mengoptimalkan
peluang dari efek positif yang ada.
c) Memastikan terkendalinya segala risiko yang dapat menggangu
keselamatan, keamanan dan kenyamanan para pengguna jasa
maupun pemangku kepentingan lainnya.
d) Mematuhi perundang-undangan yang berlaku sebagai cara
mengendalikan risiko legal Perusahaan.
e) Menjalankan sistem Manajemen Risiko yang berbasis pada standar
yang diakui dan berlaku di industri ketenagalistrikan.
f) Menyadari dan peduli terhadap risiko dalam setiap kegiatan yang
dilaksanakan sesuai wewenang dan tanggung jawab masing-masing.
b. Integrasi Proses Manajemen Risiko ke dalam Proses Bisnis Perusahaan
1) Setiap pengambilan keputusan Perusahaan di tingkat strategis dan
operasional harus menjadikan penilaian risiko sebagai bagian yang tidak
terpisahkan dari proses dan prosedur pengambilan keputusan (risk based
decision making).
2) Dalam hal investasi bisnis maka penilaian risiko, termasuk rencana
perlakuan risikonya merupakan satu kesatuan dengan proses analisis
kelayakan bisnis atau investasi (KKP, KKO, KKF dan/atau Kajian
Kelayakan Lainnya) sehingga pada saat pengambilan keputusan sudah
mempertimbangkan risiko yang berpengaruh terhadap pencapaian
sasaran investasi tersebut.
3) Setiap unit kerja wajib melengkapi rancangan program RKAP dengan
daftar risiko, strategi penanganan risiko, estimasi biaya penanganan risiko
dan dilengkapi informasi tentang CBA ratio (Cost Benefit Analysis Ratio)
pada setiap program yang diusulkan.
4) Sebelum RJPP/RKAP disahkan, setiap unit kerja wajib menyusun
rencana penanganan risiko sebagai bagian dari rencana kerja/kontrak
manajemen yang menjadi tanggung jawabnya.
5) Pemantauan implementasi rencana penanganan risiko menjadi bagian
dari pemantauan realisasi rencana kerja/kontrak manajemen dengan
melakukan pemantauan secara berkala oleh unit kerja.
15 dari 70
6) Unit kerja menyusun dan menyampaikan laporan pemantauan
pengelolaan risiko kepada Divisi Manajemen Risiko.
7) Divisi Manajemen Risiko memantau kebijakan proses Manajemen Risiko
telah terintegrasi dengan proses bisnis perusahaan terkait dengan proses
penyusunan dan pelaksanaan RJPP/RKAP.
c. Desain dan Pengorganisasian Kerangka Kerja Penerapan Manajemen Risiko
1) Pengenalan Konteks Perusahaan
a) Sebelum menyusun perencanaan Manajemen Risiko, maka Unit
Kerja harus mengevaluasi dan memahami pengaruh,
kecenderungan/tren, dan faktor-faktor kunci dari konteks bisnisnya
yang meliputi konteks eksternal dan internal, termasuk pengaruh dan
dampaknya terhadap pencapaian sasaran pada unit kerjanya.
b) Konteks eksternal dan internal dijelaskan pada butir 2.3.2.
2) Road Map Penerapan Manajemen Risiko
a) Road map penerapan Manajemen Risiko merupakan rencana
tahapan pengembangan penerapan Manajemen Risiko yang sejalan
dengan kebutuhan pertumbuhan Perusahaan, sebagai dasar bagi
perencanaan pengelolaan risiko per tahun.
b) Road map penerapan Manajemen Risiko Perusahaan disusun
berdasarkan kerangka maturitas organisasi dalam menerapkan
Manajemen Risiko (Risk Maturity Model) yang terdiri dari beberapa
level perkembangan, mulai dari level terendah hingga level tertinggi.
c) Divisi Manajemen Risiko merekomendasikan model maturitas risiko
untuk kemudian dilakukan penilaian tingkat maturitas pengelolaan
risiko secara berkala yang dapat digunakan sebagai dasar
penyusunan road map Manajemen Risiko Perusahaan.
d) Divisi Manajemen Risiko bertanggung jawab untuk mengkaji,
menyusun, mengevaluasi dan menyempurnakan road map
Manajemen Risiko Perusahaan serta menyampaikan rekomendasi
kepada Direksi untuk ditetapkan.
3) Struktur Tata Kelola Risiko (Risk Governance)
a) Perusahaan menjamin struktur tata kelola risiko yang memadai
sehingga penerapan Manajemen Risiko secara terintegrasi dapat
berjalan lancar. Ruang lingkup struktur tata kelola risiko mencakup
seluruh jenjang organisasi termasuk akuntabilitas dari masing-masing
pihak.
b) PLN membagi area pengelolaan risiko atas tiga bagian besar yaitu:
i. Pengelolaan risiko di tingkat korporat
ii. Pengelolaan risiko di tingkat DEP/DIV/SETPER/SPI
iii. Pengelolaan risiko di tingkat UI
c) Struktur tata kelola risiko dijelaskan pada Gambar 4.
d) Gambar 4 menunjukkan bahwa setiap sasaran di tingkat korporat
harus dijabarkan menjadi sasaran unit kerja di KP dan UI. Sebaliknya,
informasi mengenai nilai risiko di tingkat KP maupun UI diagregasikan
menjadi informasi nilai risiko korporat.
16 dari 70
e) Setiap pegawai harus mengidentifikasi dan mengendalikan risiko
yang menghambat pencapaian sasaran kerja yang menjadi tanggung
jawabnya.
f) Tanggung jawab setiap pegawai pada huruf e di atas menjadi bagian
dari sistem manajemen kinerja Perusahaan.
g) Berikut adalah penjabaran struktur tata kelola risiko PLN:
i. Dewan Komisaris
a) Dewan Komisaris merupakan pemegang mandat RUPS
untuk mengawasi pengelolaan operasional Perusahaan oleh
Direksi, termasuk di dalamnya memastikan bahwa penerapan
Manajemen Risiko berjalan secara efektif dan efisien.
b) Tanggung jawab dan wewenang Dewan Komisaris meliputi:
(1) Mengevaluasi kebijakan Manajemen Risiko korporat
sekurang-kurangnya satu kali atau lebih dalam setahun,
dalam hal terdapat perubahan faktor-faktor yang
mempengaruhi kegiatan usaha Perusahaan secara
signifikan,
(2) Mengevaluasi pertanggungjawaban Direksi atas
pelaksanaan kebijakan pengelolaan risiko yang dilakukan
minimal satu kali dalam setahun,
(3) Mengevaluasi setiap risiko yang melekat pada
permohonan atas usulan Direksi yang berkaitan dengan
aktifitas usaha Perusahaan yang melampaui
kewenangan Direksi guna tindak lanjut sesuai ketentuan
hukum yang berlaku,
(4) Dapat membentuk Komite Manajemen Risiko untuk
membantu Dewan Komisaris dalam mengawasi
penerapan Manajemen Risiko oleh Direksi.
ii. Komite Manajemen Risiko
a) Dewan Komisaris dapat membentuk Komite Manajemen
Risiko untuk membantu mengawasi penerapan Manajemen
Risiko oleh Direksi.
b) Tanggung jawab dan wewenang Komite Manajemen Risiko
meliputi:
(1) Melakukan evaluasi terhadap kesesuaian antara
kebijakan Manajemen Risiko dan pelaksanaannya serta
memberikan rekomendasi terkait hal tersebut kepada
Dewan Komisaris,
(2) Mengevaluasi berbagai risiko audit yang melekat pada
setiap program audit Perusahaan, baik oleh SPI maupun
auditor eksternal, dan memberikan rekomendasinya
kepada Dewan Komisaris,
(3) Mengkaji risiko melekat pada setiap tugas Dewan
Komisaris guna memberi rekomendasi yang tepat bagi
pengambilan keputusan maupun setiap tindakan
korporasi yang diambil oleh Dewan Komisaris.
17 dari 70
iii. Direksi
Direksi merupakan pemegang mandat RUPS dalam hal
pengelolaan operasional Perusahaan sehingga menjadi
penanggung jawab akhir pengelolaan risiko Perusahaan.
iv. Divisi Manajemen Risiko
Divisi Manajemen Risiko menjalankan fungsi pengembangan,
pemeliharaan dan evaluasi sistem Manajemen Risiko. Dalam
konteks ini, Divisi Manajemen Risiko tidak dapat mengambil allh
tanggung jawab fungsi Manajemen Risiko unit kerja dalam
mengelola risiko pada unit kerjanya.
v. Unit Kerja
a) Pimpinan unit kerja di setiap tingkatan organisasi
merupakan penanggung jawab fungsi Manajemen Risiko
pada unit kerjanya.
b) Wewenang dan tanggung jawab penanggung jawab fungsi
Manajemen Risiko unit kerja meliputi:
(1) Menentukan konteks kegiatan pada unit kerja sebagai
dasar bagi proses penilaian risiko,
(2) Mamahami karakteristik setiap risiko yang melekat
pada rangkaian kegiatan agar perlakuan risiko dapat
berjalan efektif dalam rangka lebih memastikan
pencapaian sasaran dan Key Performance Indicators
(KPI) yang telah ditetapkan,
(3) Memastikan bahwa perlakuan risiko berlangsung
secara tepat biaya.
(4) Pimpinan unit kerja dapat mengusulkan satu orang
bawahan kepada Direksi melalui Divisi Manajemen
Risiko, untuk diangkat sebagai Risk Officer guna dilatih
secara khusus dan berjenjang agar dapat memberikan
bantuan teknis dalam pelaksanaan proses Manajemen
Risiko pada unit kerja masing-masing.
(5) Memastikan bahwa proses Manajemen Risiko
terintegrasi ke dalam setiap sistem manajemen atau
proses bisnis yang dijalankan oleh unit kerja yang
dipimpinnya.
(6) Memastikan bahwa pemantauan terhadap dinamika
status risiko dapat terlaksana secara reguler melalui
rapat koordinasi pada unit kerja yang dipimpinnya, dan
melaporkan apabila terjadi kejadian risiko dan
tindakannya.
(7) Mampu menunjukkan adanya pengendalian risiko yang
efektif, dan juga adanya pemantauan dan transparansi
terhadap efektifitas pengendalian risiko tersebut.
(8) Melaporkan secara berkala profil risiko unit kerja
kepada Divisi Manajemen Risiko dalam bentuk risk
register.
18 dari 70
(9) Melaporkan secara sistematis (jelas, wajar, dan tepat
waktu) kepada Direksi setiap perubahan konteks atau
lingkungan bisnis atau kejadian risiko yang dapat
memicu perubahan profil risiko pada unit kerja yang
dipimpinnya, melalui Divisi Manajemen Risiko.
vi. Peran Individu Pegawai
Perusahaan membudayakan proses Manajemen Risiko dengan
cara memasukkan aspek-aspek relevan dari proses Manajemen
Risiko ke dalam uraian pekerjaan, penyusunan rencana kerja dan
KPI yang diturunkan dari Dewan Komisaris, Direksi, Struktural
hingga Fungsional, sehingga setiap individu dalam Perusahaan
dapat memahami:
a) Berbagai risiko yang berhubungan dengan peran dan aktifitas
masing-masing;
b) Bagaimana pengelolaan risiko terkait dengan keberhasilan
Perusahaan;
c) Bagaimana pengelolaan risiko membantu tiap individu dalam
mencapai sasaran dan target KPI individu;
d) Akuntabilitas individu terkait terkait dengan risiko tertentu dan
bagaimana tiap individu mengelolanya;
e) Bagaimana tiap individu dapat berkontribusi kepada
perbaikan berkesinambungan dari proses pengelolaa risiko;
f) Bahwa Manajemen Risiko merupakan bagian kunci dari
budaya Perusahaan; dan/atau
g) Kebutuhan laporan secara sistematis tentang timbulnya risiko
baru atau gagalnya suatu metode perlakuan yang digunakan
kepada atasan langsung.
vii. Dalam mengelola risiko pada unit kerjanya, penanggung jawab
unit dapat dibantu oleh Risk Officer.
a) Risk Officer membutuhkan kompetensi teknis dalam
memfasilitasi proses Manajemen Risiko pada unit kerja.
Perusahaan dapat menunjuk Risk Officer di tingkat unit kerja,
untuk dilatih secara khusus dalam hal penguasaan teknis
proses Manajemen Risiko agar dapat menjalankan fungsi
fasilitator pada unit kerjanya masing-masing.
b) Apabila Risk Ofiicer dimutasi, maka penanggung jawab unit
kerja dapat menunjuk penggantinya pada unit kerjanya untuk
menjalankan peran administratif, yaitu pencatatan dan
penyimpanan data risiko pada unit kerjanya masing-masing.
c) Divisi Manajemen Risiko berkoordinasi dengan Divisi Talent
Development, untuk memastikan adanya program pelatihan
berjenjang bagi para Risk Officer guna kelancaran
pelaksanaan peran fungsionalnya.
19 dari 70
viii. SPI menjalankan fungsi assurance atas pelaksanan Manajemen
Risiko di Perusahaan yaitu sebagai berikut:
a) Melakukan tinjau ulang dan evaluasi bahwa proses
Manajemen Risiko baik desain dan implementasinya telah
berjalan sesuai dengan prinsip dan kerangka kerja
Manajemen Risiko;
b) Memastikan bahwa risiko yang dilaporkan oleh unit kerja dan
yang menjadi isu pada saat dilaksanakan audit telah dikelola
dengan baik termasuk menguji efektivitas atas pelaksanaan
perlakuan risiko; dan
c) Melakukan verifikasi atas kualitas proses penilaian risiko,
status perlakuan risiko, dan pelaporan risiko.
ix. Alokasi Sumberdaya Pengelolaan Risiko
Perusahaan mendukung kebutuhan struktur tata kelola risiko
dengan cara mengalokasikan sumber daya Perusahaaan secara
proposional dalam bentuk sebagai berikut:
a) Penyusunan RKAP dengan mempertimbangkan risiko yang
dapat mempengaruhi pencapaian sasaran Perusahaan;
b) Divisi Manajemen Risiko dan Divisi Talent Development
terkait pengembangan dan penempatan SDM dengan
kualifikasi di bidang Manajemen Risiko dengan jumlah dan
penguasaan kompetensi yang memadai sesuai kebutuhan
pada tiap tingkatan struktur organisasi; dan/atau
c) Pengembangan sistem informasi, alat bantu, dan
pengelolaan pengetahuan.
d. Pengembangan kapabilitas dan kapasitas
1) Komunikasi dan Informasi Manajemen Risiko
a) Pedoman Manajemen Risiko harus dikomunikasikan kepada seluruh
karyawan agar dapat dipahami dan dilaksanakan. Divisi Manajemen
Risiko bertanggung jawab menyusun program sosialisasi yang
sistematis dan terstruktur.
b) Setiap informasi yang relevan harus diidentifikasi, disimpan, diolah
dan dikomunikasikan dalam bentuk yang informatif Menetapkan
kewenangan, tanggung jawab, dan akuntabilitas pengelolaan risiko
sesuai dengan level organisasi.
c) Divisi Manajemen Risiko mengembangkan mekanisme komunikasi
dengan para pemangku kepentingan internal maupun eksternal
dengan tujuan untuk mendapatkan dukungan dan pertukaran
informasi yang efektif, pemenuhan kecukupan informasi sesuai
dengan kebijakan yang berlaku serta kebutuhan tata kelola yang baik
sebagaimana dimaksud dalam Gambar 5.
i. Mekanisme komunikasi tersebut juga mengatur mengenai
sumber laporan, proses penyusunan laporan serta distibusi dan
publikasi, termasuk kriteria mengenai klasifikasi kerahasiaan
yang diatur dalam peraturan tentang informasi publik di
Perusahaan.
ii. Khusus untuk publikasi informasi risiko Perusahaan kepada pihak
eksternal, dilakukan oleh Sekretariat Perusahaan.
20 dari 70
2) Akuntabilitas Pelaku Manajemen Risiko
Perusahaan memastikan bahwa peran dan tanggung jawab harus
dikomunikasikan dengan baik, didukung dan dipahami serta dilakukan
melalui uraian tugas dan KPI individu yang relevan.
Sesuai Gambar 6, pembedaan yang jelas diberlakukan bagi mereka yang
melakukan hal-hal sebagai berikut:
a) Desain atau rancang bangun sistem;
b) Implementasi sistem;
c) Evaluasi sistem; dan
d) Perbaikan berkesinambungan
3) Kompetensi Manajemen Risiko
Untuk membangun kapabilitas yang mendasar bagi pengintegrasian
Manajemen Risiko ke dalam proses bisnis perusahaan, maka strategi
pelatihan dikembangkan dengan cara sebagai berikut:
a) Menggunakan kerangka kerja dan proses Manajemen Risiko untuk
mengidentifikasi kompetensi inti yang dipersyaratkan;
b) Konsultasi dengan para pemangku kepentingan untuk memahami
harapan mereka terhadap kapabilitas pengelolaan risiko perusahaan;
c) Menyadari berbagai kendala dan kapasitas Perusahaan dalam
memenuhi harapan para pemangku kepentingan;
d) Mempertimbangkan proses yang ada saat ini dan pemahaman
terhadap Manajemen Risiko;
e) Membangun sumberdaya secara efektif terkait dengan kapabilitas,
SDM, proses dan sistem dalam perusahaan; dan/atau
f) Melakukan kaji ulang secara reguler terhadap efektifitas strategi
pelatihan.
e. Evaluasi dan Perbaikan Berkelanjutan
1) Jaminan pengawasan efektif dilakukan oleh SPI.
2) Perusahaan mengembangkan proses pemantauan dan tinjauan dengan
mempertimbangkan apakah:
a) Kerangka dan proses yang digunakan telah menghasilkan output
yang diharapkan;
b) Pemangku kepentingan menerima informasi yang cukup untuk dapat
menjalankan peran dan tanggung jawab mereka dalam struktur tata
kelola risiko Perusahaan;
c) Seluruh struktural/pegawai Perusahaan memiliki keahlian
Manajemen Risiko yang mencukupi sejalan dengan tuntutan tugas
dan tanggung jawab pengelolaan risiko yang harus dilaksanakan
sehari-hari;
d) Kerangka dan proses telah sesuai dengan tujuan pengelolaan risiko
dan selaras dengan tujuan dan sasaran Perusahaan; dan
e) Sumber daya untuk mengelola risiko dialokasikan dalam jumlah yang
memadai.
21 dari 70
Dalam melaksanakan proses pemantauan dan tinjauan, Perusahaan
meminta umpan balik dari pegawai dan para pemangku kepentingan
lainnya agar Perusahaan dapat menerapkan Manajemen Risiko yang
lebih baik di masa depan sebagaimana dimaksud dalam Gambar 7.
3) Peningkatan Ketahanan dan Kelangsungan Bisnis
Divisi Manajemen Risiko memastikan bahwa semua risiko yang
berpengaruh terhadap ketahanan dan kelangsungan bisnis inti
Perusahaan, telah teridentifikasi dan terkelola dengan baik untuk
menjamin ketahanan dan kelangsungan bisnis Perusahaan.
4) Membangun Best Practice dan Networking
Perusahaan akan bekerja sama dengan pihak eksternal yang
berkompeten untuk meningkatkan penguasaan metode/teknik
Manajemen Risiko yang tersedia dan berbagi informasi Manajemen
Risiko dengan khalayak yang lebih luas, dengan berperan aktif pada
asosiasi atau forum di bidang Manajemen Risiko dan industri
ketenagalistrikan, studi banding, dan berbagi pengetahuan atau focus
group discussion.
5) Indikator Kinerja
a) PLN menetapkan hasil dari setiap tahap proses Manajemen Risiko
sebagaimana dimaksud dalam Tabel 2.
b) Divisi Manajemen Risiko merancang dan meninjau format dan
formula pengukuran kinerja pengelolaan risiko yang dilakukan oleh
para pengelola risiko berdasarkan pencapaian hasil di atas.
6) Evaluasi Realisasi Proses Manajemen Risiko
a) Kinerja pengelolaan risiko memuat pelaporan yang mencakup
pencapaian hasil proses Manajemen Risiko.
b) Dinamika pencapaian hasil dari setiap tahap proses Manajemen
Risiko senantiasa dikomunikasikan kepada atasan langsung dan
bilamana perlu kepada pimpinan yang lebih tinggi.
c) Pelaporan pengelolaan risiko meliputi antara lain:
i. Laporan hasil penilaian risiko yang menjadi bagian dari
rancangan RKAP;
ii. Laporan rencana perlakuan risiko yang menjadi bagian dari
laporan Manajemen Risiko;
iii. Laporan Profil Risiko yang menjadi bagian dari laporan
Manajemen Risiko;
iv. Laporan status risiko korporat yang menjadi sumber informasi
pengambilan keputusan strategi di tingkat korporat;
v. Laporan informasi profil risiko untuk konsumsi eksternal (misalnya
Laporan Manajemen);
vi. Laporan lainnya yang diminta oleh Direksi; dan/atau
vii. Risk register yang menjadi pusat database informasi Manajemen
Risiko dengan menggunakan teknologi informasi.
d) Divisi Manajemen Risiko menyampaikan laporan kinerja pengelolaan
risiko dari pengelola risiko berdasarkan indikator kunci keberhasilan
pengelolaan risiko, secara berkala kepada Direksi.
22 dari 70
e) Dewan Komisaris, Direksi, dan pimpinan unit kerja di setiap tingkatan
manajemen secara reguler menerima laporan untuk memonitor
perkembangan realisasi RKAP dan efektifitas sistem Manajemen
Risiko.
f) Bilamana perlu sesuai permintaan Direksi, maka laporan risiko
ekstrem dapat disampaikan oleh unit kerja langsung kepada Direksi,
yang mana risiko tersebut berpotensi mengganggu kegiatan
operasional di tingkat korporat.
g) Divisi Manajemen Risiko berkoordinasi dengan unit kerja terkait
melakukan pemantauan dan pengkajian ulang efektifitas mekanisme
pelaporan dalam rangka memastikan bahwa informasi Manajemen
Risiko dapat dipertanggungjawabkan sesuai tata kelola perusahaan
yang baik.
7) Tingkat Kematangan Manajemen Risiko
a) Tingkat pemahaman, komitmen dan implementasi Manajemen Risiko
di lingkungan Perusahaan diukur melalui tingkat kematangan
Manajemen Risiko (risk management maturity) yang untuk
selanjutnya disebut dengan risk maturity.
b) Penilaian risk maturity Perusahaan dilakukan satu tahun dua kali
melalui penilaian risk maturity.
c) Penilaian risk maturity dimaksudkan untuk:
i. Mendapatkan gambaran tingkat kematangan saat ini, dan
membandingkan (gap analysis) dengan road map manajemen
Risiko Perusahaan;
ii. Menjadi pijakan dalam penyusunan strategi dan langkah-langkah
perbaikan proses Manajemen Risiko guna meningkatkan nilai
tambah bagi Perusahaan; dan
iii. Mengukur pencapaian target KPI Perusahaan.
d) Klasifikasi tingkat risk maturity Perusahaan ditetapkan terdiri dari 5
(lima) tingkat dengan kriteria umum sebagai berikut:
i. Initial : Bersifat ad hoc, infrastruktur belum ada, tergantung
inisiatif pada personil.
ii. Repeatable : Kebijakan sudah ada, proses sudah berulang
namun masih tergantung pada personil.
iii. Defined : Kebijakan, standar, proses telah ditetapkan dan
terlembagakan, sudah ada keseragaman/
keselarasan proses, metodologi telah dimulai.
iv. Managed : Risiko dan permasalahan telah dikelola secara
kuantitatif, sistem dan metodologi diterapkan, serta
agregasi pada enterprise wide.
v. Optimizing : Pengelolaan risiko menjadi keunggulan kompetitif
Perusahaan, penekanan pada mengambil dan
mengeksploitasi peluang.
e) Untuk kebutuhan internal, Anak Perusahaan dapat menetapkan
sendiri metode penilaian risk maturity, namun untuk kepentingan
penilaian kinerja (KPI), penilaian risk maturity Anak Perusahaan
menggunakan metode penilaian risk maturity Perusahaan.
23 dari 70
f) Kriteria dan pedoman pelaksanaan penilaian risk maturity akan
ditetapkan melalui ketentuan tersendiri.
8) Perbaikan Berkelanjutan
Berdasarkan hasil pemantauan dan evaluasi kinerja, Perusahaan akan
mengambil langkah-langkah meningkatkan mutu kerangka kerja dan
proses Manajemen Risiko secara berkelanjutan. Tindak lanjut ini
diharapkan dapat meningkatkan dan memperbaiki sistem Manajemen
Risiko Perusahaan dan implementasinya, menuju peningkatan budaya
sadar risiko.
f. Proses Pada Tingkat Operasional
1) Perusahaan menetapkam proses Manajemen Risiko pada tingkat
operasional dengan standar SNI ISO 31000:2018 yang terdiri dari tiga
tahap utama yaitu:
a) Penetapan konteks, lingkup, dan kriteria;
b) Penilaian risiko; dan
c) Perlakuan risiko;
serta tiga tahap penunjang yaitu:
a) Komunikasi & konsultasi;
b) Pemantauan dan tinjauan; dan
c) Pencatatan dan pelaporan.
2) Perusahaan juga menetapkan bahwa metode dan teknik penilaian
(identifikasi, analisis, dan evaluasi) risiko yang digunakan sesuai standar
ISO/IEC 31010 – Risk Management – Risk Assesment Technique dan
standar best practice sesuai proses bisnis masing-masing unit kerja.
3) Setiap nilai risiko yang diperoleh dari hasil penilaian risiko dan nilai
risikonya di atas batas toleransi menurut kriteria risiko yang berlaku,
pengendalian dan perlakuan risikonya akan dimasukkan ke dalam RKAP.
4) Untuk meningkatkan efisiensi waktu dan akurasi pengukuran nilai risiko,
maka perusahaan membangun sistem informasi Manajemen Risiko
berdasarkan teknologi informasi yang interaktif dan online.
5) Sistem Manajemen Risiko berdasarkan teknologi informasi paling tidak
mencakup risk register sebagai database, rencana pengendalian atau
perlakuan risiko, mekanisme pemantauan dan tinjau ulang, serta format
laporan yang digunakan untuk mengkomunikasikan hasil-hasil
pemantauan dan tinjau ulang kepada pihak terkait.
6) Divisi Manajemen Risiko memastikan sistem Manajemen Risiko
berdasarkan teknologi informasi yang terintegrasi dengan sistem
informasi terkait penyusunan, pelaksanaan, pemantauan, serta pelaporan
RKAP.
1.5 Proses Manajemen Risiko

1.5.1 Proses Manajemen Risiko merupakan penjabaran dari kerangka kerja
pengelolaan risiko dalam rangka mempermudah penerapan prinsip-prinsip
pengelolaan risiko, baik di tingkat korporat, unit kerja, maupun individu.
24 dari 70
1.5.2 Proses Manajemen Risiko merupakan serangkaian langkah sistematis untuk
membantu para pemilik sasaran mengelola peluang dan ancaman bagi
ketercapaian sasaran secara terukur dan terkendali.
1.5.3 Proses Manajemen Risiko dilaksanakan secara berulang (iteratif) mencakup
penerapan yang sistematis dari kebijakan, prosedur, dan berbagai pendekatan
untuk menjalankan komunikasi dan konsultasi, membangun konteks dan menilai
risiko, memberi perlakuan, memantau, meninjau ulang, mencatat dan melaporkan
kepada para pihak yang berkepentingan.
1.5.4 Rangkaian siklus proses Manajemen Risiko diilustrasikan pada Gambar 8.
1.5.5 Untuk dapat merasakan manfaat penerapannya, proses Manajemen Risiko harus
diintegrasikan menjadi bagian dari setiap proses bisnis dan proses kerja yang
dijalankan Perusahaan sehingga tidak boleh ada pelaksanaan proses bisnis dan
proses kerja yang tidak mempertimbangkan adanya risiko, baik yang berdampak
negatif dalam arti menjadi ancaman maupun berdampak positif dalam arti
memberi peluang yang bermanfaat bagi ketercapaian sasaran Perusahaan.
1.5.6 Keseluruhan proses Manajemen Risiko didokumentasikan pada risk register.
1.6 Profil Risiko

1.6.1 Profil Risiko Perusahaan dikoordinasikan penyusunannya oleh Divisi Manajemen
Risiko Perusahaan, sedangkan Profil Risiko Unit atau Anak Perusahaan
dikoordinasikan penyusunannya oleh Unit atau Anak Perusahaan yang
bersangkutan, dengan melibatkan para Pemilik Risiko.
1.6.2 UP wajib menyusun Profil Risiko dan Unit dibawahnya cukup membuat Kajian
Risiko eksekusi kegiatan. Sedangkan untuk Unit pengelola pembangkit dibawah
UP tetap wajib membuat Profil Risiko.
1.6.3 Profil Risiko Perusahaan ditandatangani oleh Direksi; Profil Risiko UI
ditandatangani oleh General Manager; Profil Risiko UP ditandatangani oleh
Manajer UP; sedangkan Profil Risiko Unit Pembangkit dibawah UP ditandatangani
oleh Manajer Unit Pembangkit.
1.6.4 Untuk mendukung keselarasan pengelolaan risiko Perusahaan, maka Profil Risiko
Perusahaan ditembuskan ke UI dan Anak Perusahaan, demikian pula Profil Risiko
Anak Perusahaan ditembuskan ke Direksi Perusahaan.
1.6.5 Anak Perusahaan mengambil bagian dalam menangani risiko utama Perusahaan
yang relevan.
1.6.6 Profil Risiko Perusahaan menjadi salah satu acuan dalam perencanaan dan
pelaksanaan audit oleh auditor internal.
1.6.7 Mekanisme penyusunan dan pemantauan Profil Risiko dijelaskan pada Gambar 9
dan Gambar 10, sedangkan kertas kerja yang digunakan dalam penyusunan
Profil/Kajian Risiko ditetapkan melalui peraturan tersendiri.
1.6.8 Adapun jika pada kegiatan operasional/rutin dibutuhkan Kajian Risiko, maka
cukup dibuat dalam lembar Kajian Risiko sesuai format yang juga ditetapkan pada
peraturan tersendiri.
1.7 Konsep Pertahanan Tiga Lapis

1.7.1 Perusahaan mengadopsi pendekatan Three Lines of Defense atau Pertahanan
Tiga Lapis, yang membedakan antara fungsi-fungsi bisnis sebagai Pemilik Risiko
terhadap fungsi yang mengelola risiko (managing risks), dan antara fungsi yang
mengawasi risiko (overseeing risks) dan fungsi-fungsi yang menyediakan
pemastian (independent assurance).
25 dari 70
1.7.2 Pendekatan Pertahanan Tiga Lapis diilustrasikan pada Gambar 11.
1.7.3 Ketiga lapis pertahanan berada di bawah akuntabilitas dan koordinasi langsung
Direksi sedangkan Dewan Komisaris, melalui organ komite yang dimiliki Dewan
Komisaris, memiliki akuntabilitas tidak langsung terhadap pertahanan lapis ketiga.
Walaupun Dewan Komisaris hanya memiliki koordinasi dengan auditor internal
dan eksternal untuk pertahanan lapis ketiga, mereka juga sebenarnya secara tidak
langsung terlibat dalam pemantauan efektivitas pertahanan lapis kedua melalui
hasil ulasan auditor internal tentang efektivitas kebijakan dan implementasi
Manajemen Risiko di Perusahaan secara menyeluruh.
1.7.4 Pemilik Risiko di Perusahaan maupun Anak Perusahaan terdiri dari:
a. Direksi
b. Pejabat setingkat di bawah Direksi
c. General Manager
d. Manajer UP
e. Pejabat atau individu atau kelompok individu tertentu yang diberikan tugas
dan atau kewenangan tertentu oleh Perusahaan
1.7.5 Pemilik Risiko sebagai Pertahanan Pertama (managing risks), bertanggung jawab
untuk:
a. Memastikan adanya lingkungan pengendalian (control environment) yang
kondusif.
b. Menerapkan kebijakan Manajemen Risiko yang telah ditetapkan sewaktu
menjalankan peran dan tanggung jawabnya.
c. Mempertimbangkan faktor risiko dalam keputusan-keputusan dan tindakan-
tindakan yang dilakukannya.
d. Mampu menunjukkan adanya pengendalian internal yang efektif, dan juga
adanya pemantauan dan transparansi terhadap efektivitas pengendalian
internal tersebut.
e. Dalam melaksanakan pengelolaan risiko, Pemilik Risiko di Unit maupun
Kantor Pusat dapat membentuk/menunjuk risk officer maupun Tim
Manajemen Risiko.
f. Tugas dan tanggung jawab Tim Manajemen Risiko tersebut antara lain:
1) Mengkoordinasikan dan/atau memfasilitasi kegiatan pengelolaan risiko
(identifikasi, analisis, pemantauan, pelaporan) yang dilakukan Pemilik
Risiko pada bidangnya; dan
2) Berperan sebagai liaison officer dalam proses komunikasi dan konsultasi
dengan Divisi Manajemen Risiko dalam penerapan Manajemen Risiko
Perusahaan.
1.7.6 Fungsi Manajemen Risiko sebagai Pertahanan Kedua (overseeing risks),
bertanggung jawab untuk:
a. Mengembangkan dan memantau implementasi Manajemen Risiko
Perusahaan secara keseluruhan; dan
b. Memantau dan melaporkan risiko-risiko Perusahaan secara menyeluruh
kepada pejabat tertinggi pada organisasi.
26 dari 70
1.7.7 Fungsi Kepatuhan bertanggung jawab untuk melakukan pengawasan terhadap
bagaimana fungsi bisnis dilaksanakan dalam koridor kebijakan Manajemen Risiko
dan prosedur-prosedur standar operasional yang telah ditetapkan oleh
Perusahaan.
1.7.8 SPI sebagai Pertahanan Ketiga (independent assurance), bertanggung jawab
untuk:
a. Melakukan ulasan dan evaluasi terhadap rancang bangun dan implementasi
Manajemen Risiko secara keseluruhan; dan
b. Memastikan bahwa pertahanan lapis pertama dan lapis kedua berjalan sesuai
dengan yang diharapkan.
1.7.9 Dengan diterapkannya model ini, semakin besar kemungkinan terbentuknya
budaya Manajemen Risiko yang terintegrasi di seluruh proses dan seluruh lini
Perusahaan untuk menuju ke tingkat kematangan pengelolaan Manajemen Risiko
Perusahaan yang semakin baik.
27 dari 70
BAB II
PROSES MANAJEMEN RISIKO
2.1 Proses Manajemen Risiko yang lebih rinci dijelaskan pada Gambar 12.
2.2 Komunikasi dan Konsultasi

2.2.1 Komunikasi dan konsultasi ditujukan untuk:
a. membantu pemangku kepentingan dalam memahami risiko, sebagai hal yang
mendasari pengambilan keputusan dan alasan mengapa tindakan-tindakan
tertentu dilakukan;
b. mendapatkan secara bersamaan bidang keahlian yang berbeda bagi setiap
tahap proses Manajemen Risiko;
c. memastikan perbedaan pandangan terakomodasi secara tepat pada saat
menetapkan kriteria risiko dan saat mengevaluasi risiko;
d. menyediakan informasi yang mencukupi untuk memfasilitasi pengawasan dan
pengambilan keputusan; dan
e. membangun rasa terlibat dan memiliki di antara para pihak yang terdampak
oleh risiko.
2.2.2 Komunikasi dan konsultasi dengan pemangku kepentingan eksternal dan internal
harus dilakukan pada semua tahapan proses Manajemen Risiko.
2.2.3 Dalam menyusun rencana komunikasi dan konsultasi, beberapa data yang
diperlukan, antara lain peran para pihak yang terlibat dalam proses Manajemen
Risiko, informasi yang dipertukarkan, metode komunikasi dan konsultasi yang
dapat digunakan, PIC (person in charge), waktu pelaksanaan, dan frekuensi
komunikasi yang diperlukan.
2.2.4 Komunikasi dan konsultasi harus didukung pula oleh dokumentasi yang memadai
(contoh: hasil analisis atau survei, daftar hadir, notulen pembahasan, foto
dokumentasi, dan sebagainya).
2.2.5 Langkah Komunikasi dan Konsultasi adalah sebagai berikut:
a. Identifikasi dan memahami Pemangku Kepentingan, dapat menggunakan
Tabel 3 sebagai contoh.
b. Tentukan jenis dan metode komunikasi dan konsultasi, diantaranya melalui
Rapat Direksi/Rapat Pimpinan, forum konsultasi, diskusi, forum terbuka, focus
group, survei, brainstorming, knowledge management, dan sebagainya.
c. Samakan bahasa melalui penetapan definisi istilah-istilah khusus untuk
mengatasi terjadinya kesalahpahaman karena tumpang tindih istilah yang
digunakan dalam Manajemen Risiko.
d. Tentukan keluaran yang spesifik dalam komunikasi dan konsultasi dengan
melibatkan para pihak terkait Manajemen Risiko.
e. Tentukan frekuensi komunikasi dan konsultasi.
f. Tetapkan siapa saja pelaksana komunikasi dan konsultasi, seperti contoh
pada Tabel 4.
2.2.6 Ketika mengembangkan rencana komunikasi dan konsultasi, pemilik sasaran
dapat meminta fungsi Manajemen Risiko atau narasumber dari pihak eksternal
untuk membantu memberikan masukan mengenai hal-hal teknis pada masing-
masing tahap proses Manajemen Risiko yang perlu disampaikan kepada masing-
28 dari 70
masing pihak yang terlibat di setiap tahap tersebut agar tujuan komunikasi di
setiap tahap proses Manajemen Risiko lebih terjamin ketercapaiannya.
2.3 Penetapan Lingkup, Konteks, dan Kriteria

2.3.1 Penetapan Lingkup
a. Proses Manajemen Risiko harus diaplikasikan pada tingkatan organisasi yang
berbeda-beda; misalnya tingkat strategis, operasional, program, dan aktivitas
lainnya; maka penting untuk memperjelas ruang lingkup pelaksanaan proses
Manajemen Risiko, sasaran Unit pengelola risiko, dan keselarasannya
dengan sasaran organisasi.
b. Penentuan ruang lingkup dapat dilakukan dengan menspesifikasi lingkup
kegiatan, lokasi, ukuran, waktu pelaksanaan, cakupan area, dan sebagainya.
2.3.2 Konteks Internal dan Eksternal
a. Konteks eksternal dan internal merupakan lingkungan di mana organisasi
menetapkan dan mencapai sasaran. Konteks proses Manajemen Risiko harus
dibangun berdasarkan pemahaman terhadap lingkungan eksternal dan
internal di mana organisasi beroperasi dan harus merefleksikan lingkungan
spesifik dari aktivitas di mana proses Manajemen Risiko diterapkan.
b. Dalam penyusunan Profil Risiko, identifikasi sasaran Perusahaan mengacu
pada sasaran Perusahaan yang tertuang dalam RUPTL, RJPP, RKAP
maupun sasaran strategis lainnya yang ditetapkan oleh Direksi atau pejabat
tertinggi pada unit kerja masing-masing.
c. Dalam rangka menghindari kekeliruan dalam identifikasi risiko, dibutuhkan
rumusan sasaran yang efektif. Sasaran yang efektif harus memenuhi kriteria
SMART (Specific, Measurable, Achievable, Relevant, Time-bound). Sasaran
SMART dapat di susun dengan mengikuti langkah-langkah pada Tabel 5.
d. Sasaran dapat memiliki berbagai aspek dan kategori, serta dapat diterapkan
pada berbagai tingkatan organisasi.
e. Konteks Internal
1) Konteks internal merujuk pada sasaran dan proses yang digunakan untuk
pencapaian, serta kondisi internal organisasi yang dapat memicu
timbulnya risiko.
2) Aspek-aspek lingkungan bisnis yang teridentifikasi sebagai kekuatan
internal organisasi merupakan pemicu timbulnya peluang yang
bermanfaat bagi pencapaian sasaran. Sebaliknya, aspek-aspek yang
teridentifikasi sebagai kelemahan internal organisasi, merupakan pemicu
timbulnya ancaman bagi upaya pencapaian sasaran.
3) Pemeriksaan konteks internal meliputi, tetapi tidak terbatas pada hal-hal
sebagai berikut:
a) Visi, misi, dan nilai-nilai organisasi;
b) Tata Kelola, struktur organisasi, peran dan tanggung jawab;
c) Strategi, sasaran, dan kebijakan;
d) Budaya organisasi;
e) Standar, panduan, dan model yang diadopsi oleh organisasi;
29 dari 70
f) Kapabilitas organisasi dalam pengertian sumber daya dan
pengetahuan yang dimiliki, misalnya: modal, waktu, orang, hak
kekayaan intelektual, proses, sistem, dan teknologi;
g) Data, sistem informasi dan proses aliran informasi;
h) Hubungan di antara pemangku kepentingan internal, terutama terkait
dengan persepsi dan nilai-nilai organisasi;
i) Hubungan kontraktual dan komitmen yang ada;
j) Saling ketergantungan dan keterkaitan;
k) Ketersediaan berbagai bahan baku yang dibutuhkan sebagai input
proses kerja menjadi output atau hasil sesuai ditargetkan dalam
rumusan sasaran;
l) Ketersediaan berbagai sarana dan prasarana yang dibutuhkan;
m) Komitmen dan kepemimpinan dari manajemen;
n) Alur proses bisnis (sequence of work) menggambarkan end-to-end
kegiatan yang akan dikaji risikonya, yang dapat dilakukan secara
mendetail maupun secara garis besar disesuaikan lingkup dan
signifikansi kegiatan yang akan dikaji guna menemukan sub proses
yang kritikal dan memudahkan proses identifikasi risiko, sebagaimana
dicontohkan pada Gambar 13; dan/atau
o) Aspek-aspek penentu keberhasilan kegiatan/sasaran yang dimaksud
seperti dicontohkan pada Gambar 14.
f. Konteks Eksternal
1) Konteks eksternal merupakan lingkungan eksternal di mana organisasi
mengupayakan pencapaian sasaran yang ditetapkannya.
2) Penelaahan konteks eksternal dan pengaruhnya terhadap pencapaian
sasaran meliputi dua hal, sebagai berikut:
a) Penelahan terhadap pengaruh persepsi dan perilaku pemangku
kepentingan eksternal; dan
b) Pemahaman terhadap pengaruh perubahan lingkungan eksternal
organisasi.
3) Pemeriksaan konteks eksternal meliputi tetapi tidak terbatas pada hal-hal
sebagai berikut:
a) Analisis Pemangku Kepentingan
Mengidentifikasi Pemangku Kepentingan internal dan eksternal yang
terkait dengan konteks Profil/Kajian Risiko yang akan dibuat, beserta
kepentingannya terhadap perusahaan/kegiatan yang akan dikaji
risikonya. Hasil analisis Pemangku Kepentingan dapat digunakan
sebagai salah satu acuan dalam identifikasi risiko. Hal-hal yang perlu
diperhatikan antara lain sebagai berikut:
i. Kecenderungan dan gerakan-gerakan yang mempengaruhi
sasaran organisasi;
ii. Harapan, nilai, kebutuhan, persepsi dan hubungan dengan para
pemangku kepentingan eksternal;
iii. Komitmen dan hubungan kontraktual yang ada dengan pihak lain;
dan/atau
30 dari 70
iv. Kompleksitas jaringan kerja dan juga saling ketergantungan yang
ada.
b) Pemetaan Lingkungan Makro
i. Penelaahan pengaruh lingkungan eksternal terhadap pencapaian
sasaran dapat menggunakan metode PESTLE, yaitu Politic
(Politik), Economy (Ekonomi), Social (Sosial Budaya),
Technology (Teknologi), Legal (Hukum), dan Environment
(Lingkungan).
ii. Perusahaan harus mengidentifikasi kondisi perubahan terkini dari
keenam faktor PESTLE ini, kemudian melakukan analisis
pengaruhnya terhadap pencapaian sasaran apakah cenderung
bersifat ancaman atau peluang. Data peluang dan ancaman ini
berguna pada saat identifikasi risiko positif dan risiko negatif.
2.3.3 Penetapan Kriteria Risiko
a. Kriteria risiko merupakan standar acuan yang dibutuhkan untuk menentukan
Tingkat Risiko pada saat proses analisis risiko.
b. Kriteria risiko terdiri dari kriteria tingkat kemungkinan kejadian dan tingkat
dampak risiko.
c. Tingkat Risiko yang dimaksud pada huruf a diatas mengacu pada Pasal 8
Peraturan ini.
d. Kriteria tingkat kemungkinan kejadian risiko sebagaimana dimaksud dalam
Tabel 6.
e. Kriteria tingkat dampak risiko Perusahaan sebagaimana dimaksud dalam
Tabel 7.
f. Anak Perusahaan, UI, dan UP harus menggunakan kriteria tingkat
kemungkinan kejadian risiko seperti pada Tabel 6, namun kriteria tingkat
dampak yang digunakan harus disesuaikan dengan kondisi organisasi
masing-masing.
g. Dalam menentukan kriteria tingkat dampak risiko, unit dan Anak Perusahaan
dapat merubah parameter dan/atau menambahkan parameter baru beserta
kriteria di dalamnya, namun tetap mengacu pada parameter keuangan
(opportunity profit/loss) seperti pada Tabel 8.
h. Untuk keperluan agregasi risiko korporat, maka kriteria kemungkinan dan
dampak yang digunakan adalah kriteria pada tingkat korporat. Kriteria
tersebut diulas oleh Fungsi/Tim Manajemen Risiko di unit maupun Anak
Perusahaan sesuai kebutuhan.
2.4 Penilaian Risiko

2.4.1 Penilaian risiko merupakan tahapan kegiatan dalam Manajemen Risiko yang
bertujuan untuk mengidentifikasi risiko beserta pengendaliannya, mengukur
Tingkat Risiko, dan mengevaluasinya.
2.4.2 Penilaian risiko harus dilaksanakan secara sistematis, berulang, dan bekerja
sama dengan para pihak yang terkait, berdasarkan pada pandangan dan
pengetahuan pemangku kepentingan terhadap risiko. Penilaian risiko harus
menggunakan data dan informasi yang terbaik.
2.4.3 Penilaian Risiko dilakukan oleh Pemilik Risiko untuk dapat menjawab pertanyaan
pada Gambar 15.
31 dari 70
2.4.4 Identifikasi risiko
a. Risiko pada umumnya dinyatakan dengan mengacu kepada penyebab risiko,
potensi peristiwa, dampak, dan Kemungkinan Kejadian.
b. Risiko yang lengkap adalah apabila telah mencantumkan unsur kejadian,
penyebab terjadinya, dan potensi dampak yang ditimbulkannya.
c. Identifikasi risiko merupakan proses untuk menemukenali, menguraikan, dan
mencatat ketidakpastian yang dapat menunjang atau sebaliknya menghambat
kemampuan Perusahaan dalam mencapai sasaran.
d. Dalam proses identifikasi risiko, informasi yang dikumpulkan antara lain
mencakup:
1) Penyebab Risiko;
2) Peristiwa Risiko;
3) Dampak Risiko;
a) Suatu dampak dapat pasti atau tidak pasti, serta dapat memiliki efek
positif atau negatif langsung atau tidak langsung terhadap sasaran.
b) Dampak dapat dinyatakan secara kualitatif atau kuantitatif.
c) Segala dampak dapat terealisasi melalui efek beruntun dan kumulatif
4) Pengendalian Risiko;
a) Pengendalian Risiko termasuk tetapi tidak terbatas pada, semua
proses, kebijakan, peranti, praktik, atau kondisi dan/atau tindakan lain
yang memelihara dan/atau memodifikasi risiko.
b) Pengendalian mungkin tidak selalu menghasilkan efek modifikasi
yang diharapkan atau diasumsikan.
5) Perkiraan kapan risiko terjadi dan di mana risiko itu dapat terjadi; dan
6) KRI.
e. Identifikasi risiko dapat dilakukan dengan berbagai macam teknik/metodologi,
seperti dijelaskan pada Tabel 9. Setiap identifikasi risiko harus dikaitkan
dengan sasaran Perusahaan serta memperlihatkan keterkaitan antar
kejadian.
f. Risiko dengan dampak menunjang ketercapaian sasaran dicatat sebagai
risiko positif (peluang), sedangkan risiko dengan dampak menghambat
pencapaian sasaran dicatat sebagai risiko negatif (ancaman).
g. Jenis-jenis risiko, baik bersumber dari faktor eksternal maupun internal, yang
dihadapi Perusahaan diklasifikasikan dalam 5 (lima) kategori sebagai berikut:
1) Risiko Strategis (Strategic Risk), yaitu risiko yang terkait dengan
perencanaan/pelaksanaan strategi bisnis atau perubahan regulasi
maupun lingkungan bisnis, yang dapat mempengaruhi Perusahaan dalam
skala luas dan berjangka panjang;
2) Risiko Finansial (Financial Risk), yaitu risiko yang timbul pada posisi
instrumen keuangan Perusahaan, seperti risiko pasar dan risiko likuiditas
maupun risiko pendapatan dan pajak;
3) Risiko Operasional (Operational Risk), yaitu risiko yang timbul terkait
proses operasional Perusahaan baik pada fungsi pembangkitan,
penyaluran, distribusi, pelayanan pelanggan, maupun fungsi pendukung;
32 dari 70
4) Risiko Proyek (Project Risk), yaitu risiko yang timbul pada usaha
pembangunan aset Perusahaan, pengadaan maupun kegiatan lainnya
yang bersifat proyek; dan
5) Risiko Kepatuhan (Compliance risk), yaitu risiko yang timbul terkait
kepatuhan terhadap ketentuan/perundangan, hukum, pengendalian
internal, pelaporan, audit dan aspek lainnya yang dapat mempengaruhi
Perusahaan.
h. Taksonomi Risiko menggunakan metode Risk Breakdown Structure (RBS)
dengan mengacu pada sasaran yang terpengaruh oleh sekelompok risiko
yang teridentifikasi. Pemberian nama Taksonomi Risiko merujuk pada jenis
sasaran yang terpengaruh misalnya Taksonomi Risiko Proyek berarti
kumpulan risiko yang mempengaruhi sasaran proyek.
i. Taksonomi Risiko Perusahaan terdapat pada Tabel 1.
j. KRI merupakan rumusan tertentu yang digunakan sebagai parameter untuk
memantau perubahan Tingkat Risiko, sekaligus sebagai peringatan dini
apabila tren indikator tersebut melampaui ambang batas yang ditetapkan.
2.4.5 Analisis Risiko
a. Analisis risiko merupakan suatu proses dalam penilaian risiko guna
menentukan Tingkat Risiko, yang dilakukan dengan mengukur tingkat
kemungkinan kejadian dan dampak yang ditimbulkannya.
b. Analisis Tingkat Kemungkinan Kejadian Risiko
1) Dalam manajemen risiko, terminologi Kemungkinan Kejadian mengacu
pada kemungkinan terjadinya sesuatu. Hal ini dapat dinyatakan secara
terukur (objektif) ataupun ditentukan secara subjektif. Dapat juga
dinyatakan secara kualitatif, kuantitatif, atau bahkan secara matematis
(probabilitas, frekuensi untuk masa tertentu).
2) Terminologi Bahasa Inggris likelihood tidak terdapat pada bahasa-bahasa
lainnya. Oleh karena itu sering diganti dengan istilah probability. Akan
tetapi dalam Bahasa Inggris, terminologi probability sering
diinterpretasikan sebagai terminologi matematik, khususnya statistik.
Oleh karena itu, dalam manajemen risiko terminologi likelihood digunakan
dalam pengertian yang luas sebagaimana terminologi probability di
bahasa-bahasa lainnya.
3) Kemungkinan Kejadian risiko diukur berdasarkan frekuensi kejadiannya
atau perkiraan probabilitas kejadiannya dalam rentang waktu tertentu.
4) Penentuan probabilitas terjadinya suatu risiko dilakukan berdasarkan data
masa lalu. Apabila data masa lalu tidak tersedia, maka dapat dilakukan
berdasarkan pendekatan, pengalaman, perkiraan, maupun pertimbangan
aspek-aspek kualitatif lainnya yang mempengaruhi terjadinya risiko di
masa yang akan datang.
c. Analisis Tingkat Dampak Risiko
1) Sebelum melakukan analisis, identifikasi dulu dampak risiko dan
parameter/ukuran yang sesuai dengan kriteria dampak yang ada.
2) Dalam hal suatu risiko memiliki lebih dari satu dampak, maka dampak-
dampak tersebut digabungkan dan/atau dikuantifikasi menjadi salah satu
parameter. Namun apabila hal tersebut tidak dapat dilakukan, maka dapat
dipilih salah satu parameter yang dianggap paling dominan atau memiliki
klasifikasi tingkat dampak yang paling tinggi.
33 dari 70
d. Analisis risiko dilakukan dengan menggunakan kriteria risiko yang telah
ditetapkan
e. Hasil analisis berupa Tingkat Risiko merupakan hasil perkalian tingkat
kemungkinan kejadian risiko dan tingkat dampak risiko.
f. Analisis risiko dapat dilakukan dengan metode kualitatif maupun kuantitatif
yang harus didukung dengan informasi/data yang relevan. Data dan hasil
analisis risiko tersebut didokumentasikan sebagai bukti pengelolaan risiko
Perusahaan. Beberapa contoh metode analisis dapat dilihat pada Tabel 9.
g. Analisis risiko dilakukan untuk mengukur Tingkat Risiko pada tahap sebagai
berikut:
1) Tingkat Risiko Saat Ini (Current Risk Level)
a) Tingkat Risiko saat ini diukur untuk mengetahui pengaruh risiko
terkini, dengan mempertimbangkan kontrol eksisting dan
efektivitasnya. Tingkat Risiko saat ini menjadi dasar keputusan perlu
tidaknya suatu risiko diberi perlakuan dan dapat digunakan untuk
penetapan kelompok risiko yang sangat berpengaruh atau dikenal
juga Top Risks.
b) Mekanisme pengendalian dapat berupa regulasi (peraturan,
ketentuan, kebijakan dan lain-lain), standar proses, prosedur, sistem,
peralatan dan sebagainya, baik yang bersifat pencegahan maupun
pemulihan.
c) Dalam menilai efektivitas Pengendalian Risiko menggunakan kategori
sebagai berikut: Sangat Efektif, Efektif, Sebagian Efektif, Kurang
Efektif, dan Tidak Efektif. Pengukuran efektivitas Pengendalian Risiko
dapat menggunakan teknik sebagaimana dimaksud dalam Tabel 10
dan Tabel 11.
2) Tingkat Risiko Residu (Residual Risk Level)
a) Tingkat Risiko residu merupakan Tingkat Risiko yang diharapkan oleh
Perusahaan dengan mengacu pada Selera Risiko yang telah
ditetapkan.
b) Tingkat Risiko residu diukur untuk mengetahui pengaruh risiko yang
masih ada setelah diberi perlakuan risiko dan menjadi dasar
keputusan perlu atau tidaknya satu risiko diberikan perlakuan
tambahan guna memastikan tingkat pengaruhnya berada pada
kondisi yang menunjang pencapaian sasaran.
2.5 Evaluasi Risiko

2.5.1 Evaluasi risiko merupakan kegiatan pemetaan Tingkat Risiko ke dalam Matriks
Risiko, guna mengetahui posisi risiko terhadap Selera Risiko dan untuk
menilai/menentukan apakah suatu risiko memerlukan perlakuan lebih lanjut
beserta prioritasnya.
a. Matriks beserta kuadran Tingkat Risiko dan Selera Risiko adalah
sebagaimana dimaksud dalam Gambar 16.
b. Salah satu aspek keselarasan Manajemen Risiko dengan Anak Perusahaan,
maka ditetapkan bahwa kerangka Matriks Risiko yang digunakan adalah
sebagaimana dimaksud dalam Gambar 16, namun dengan kuadran Tingkat
Risiko sesuai Selera Risiko masing-masing Anak Perusahaan.
34 dari 70
c. Selera Risiko digunakan sebagai acuan dalam penetapan Tingkat Risiko
Residu sesuai Selera Risiko.
2.5.2 Prioritas Risiko
a. Pada umumnya risiko yang harus dilakukan mitigasi mengacu pada Selera
Risiko, namun dalam hal keterbatasan sumber daya, maka risiko yang akan
dilakukan mitigasi dapat diprioritaskan.
b. Metode prioritas risiko diilustrasikan pada Gambar 17, dengan penjelasan
sebagai berikut:
1) Tingkat Risiko yang lebih tinggi mendapatkan prioritas penanganan yang
lebih besar. Misalnya risiko dengan tingkat Ekstrem harus lebih
diprioritaskan daripada risiko tingkat tinggi, dan risiko Tinggi harus
diprioritaskan daripada risiko Moderat. Contoh seperti pada Gambar 17
dimana risiko nomor 1, 2, dan 3 yang berada pada tingkat Ekstrem lebih
prioritas dibanding risiko nomor 4 dan 5 yang berada pada tingkat Tinggi.
2) Apabila terdapat beberapa risiko dengan tingkat yang sama, maka
prioritas penanganan diambil pada risiko dengan potensi dampak yang
lebih tinggi. Contoh seperti pada Gambar 17 dimana risiko nomor 1, 2,
dan 3 sama-sama berada pada tingkat Ekstrem. Meskipun begitu, risiko
nomor 1 lebih prioritas dibanding risiko nomor 2; sedangkan risiko nomor
2 lebih prioritas dibanding risiko nomor 3.
2.5.3 Perlakuan Risiko
a. Perlakuan risiko dilakukan untuk menurunkan risiko dengan tingkat Tinggi dan
Ekstrem ke tingkat sesuai Selera Risiko.
b. Perlakuan Risiko yang ditunjukan pada dampak negatif disebut sebagai
mitigasi risiko, penghilangan risiko, pencegahan risiko, atau pengurangan
risiko.
c. Perlakuan dan Pengendalian Risiko dapat melibatkan:
1) penghindaran risiko dengan memutuskan untuk tidak memulai atau
melanjutkan kegiatan yang menimbulkan risiko;
2) pengambilan atau peningkatan risiko untuk mengejar kesempatan;
3) penyingkiran penyebab risiko;
4) pengubahan Kemungkinan Kejadian;
5) pengubahan dampak risiko;
6) pembagian risiko dengan satu atau berbagai pihak (termasuk kontrak dan
pembiayaan risiko); dan/atau
7) mempertahankan risiko dengan keputusan yang didasarkan pada
informasi yang dianggap cukup.
d. Perlakuan risiko dapat menimbulkan risiko baru atau memodifikasi risiko yang
ada.
e. Pemilik Risiko harus mengkaji dan memilih alternatif strategi perlakuan risiko
yang tepat sebelum menyusun rencana perlakuan risiko (action plan) secara
detail.
f. Jika rencana penanganan yang lebih efektif tidak memungkinkan untuk
dilakukan, maka Pemilik Risiko memiliki pilihan untuk menghindari risiko
dengan melakukan perubahan atau tidak melakukan aktivitas yang
menimbulkan risiko tersebut.
35 dari 70
g. Jika telah dilakukan Perlakuan Risiko, namun belum mencapai Tingkat Risiko
yang diharapkan, maka perlu dilakukan kaji ulang terhadap analisis risiko
maupun penanganannya. Namun demikian pada prinsipnya Pemilik Risiko
dapat tetap mempertimbangkan untuk menerima risiko tersebut, jika dinilai
terdapat potensi peluang (opportunity) yang lebih besar.
h. Perencanaan perlakuan risiko perlu dilakukan secara sistematis dan terukur,
baik volume, waktu, sasaran hasil, biaya dan manfaat maupun penanggung
jawabnya.
i. Prioritas Penanganan Risiko
1) Prioritas penanganan risiko dapat dilakukan dengan mengukur Tingkat
Kesulitan dan Tingkat Dampak pekerjaan, mengukur rasio biaya/manfaat
(cost/benefit ratio), atau metode lainnya sesuai kebutuhan.
2) Unit dan Anak Perusahaan dapat mengembangkan metode Prioritas
Penanganan Risiko
3) Prioritas penanganan risiko diutamakan dilakukan secara kuantitatif,
dengan memperhatikan Kajian Kelayakan Operasional dan Kajian
Kelayakan Finansial/Ekonomi pekerjaan.
2.5.4 Pemantauan dan Peninjauan
a. Tujuan dari pemantauan dan peninjauan adalah untuk menjamin dan
memperbaiki kualitas keefektifan rencana pelaksanaan proses Manajemen
Risiko, implementasi, dan hasil akhir yang diharapkan.
b. Pemantauan dan peninjauan dimaksudkan untuk:
1) Memastikan proses pengendalian telah berjalan secara efektif dan efisien;
2) Mendapatkan informasi untuk perbaikan proses penilaian risiko;
3) Menganalisa dan mengambil pelajaran (lesson learned) dari perubahan-
perubahan atau deviasi yang terjadi;
4) Mendeteksi perubahan-perubahan internal dan eksternal guna merevisi
dan meninjau penanganan risiko dan prioritasnya;
5) Mendeteksi timbulnya risiko baru; dan
6) Bahan pelaporan Manajemen Risiko.
c. Pemantauan dan peninjauan dilakukan terhadap:
1) Risiko itu sendiri, antara lain: deskripsi risiko, KRI, tren, Tingkat Risiko
residual;
2) Rencana, realisasi penanganan risiko, beserta efektivitas dan deviasinya;
3) Keselarasan terhadap capaian sasaran; dan
4) Langkah korektif dan rekomendasi.
d. Pemantauan
1) Pemantauan dilakukan secara berkelanjutan terhadap:
a) Tingkat Risiko;
b) progres penanganan risiko;
c) efektivitas penanganan risiko; dan
d) tingkat deviasi pencapaian sasaran.
36 dari 70
2) Pemantauan atas risiko yang tertuang dalam Profil Risiko dan Kajian
Risiko Strategis Korporat dikoordinasikan oleh Divisi Manajemen Risiko.
3) Aktivitas pemantauan risiko, termasuk di dalamnya aktivitas kaji ulang,
dilakukan secara berkelanjutan terhadap konteks, penilaian risiko dan
penanganan risiko untuk memastikan continuous improvement.
4) Hasil audit dari Auditor Internal dapat digunakan sebagai salah satu alat
pemantauan risiko untuk menilai efektivitas Penanganan Risiko.
5) Jenis-Jenis Pemantauan
a) Hierarki pemantauan dijelaskan pada Gambar 18.
b) Pemantauan rutin merupakan pemantauan terhadap risiko dan
perlakuannya yang dilakukan secara rutin oleh Pemilik Risiko sesuai
dengan konteks dan kondisi
c) Mekanisme pemantauan rutin ditetapkan oleh Pemilik Risiko.
d) Pemantauan berkala merupakan pemantauan yang dilakukan secara
berkala oleh Pemilik Risiko, manajemen unit maupun Divisi
Manajemen Risiko.
e) Mekanisme pemantauan berkala yang dilakukan oleh Pemilik Risiko
di satuan/unit kerjanya ditetapkan oleh masing-masing Pemilik Risiko
tersebut.
f) Pemantauan tiga bulanan dilaporkan UI dan Anak Perusahaan ke KP.
g) Pemantauan sewaktu-waktu (ad hoc) merupakan pemantauan yang
dilakukan sewaktu-waktu oleh pihak lain seperti Auditor Internal,
Komite Manajemen Risiko Dewan Komisaris, Divisi Manajemen
Risiko Perusahaan.
e. Peninjauan
Peninjauan merupakan pemeriksaan atau pengkajian berkala atas kondisi
saat ini dengan fokus tertentu misalnya efektivitas pengendalian terhadap
risiko keuangan, bagaimana mempertajam analisis risiko saat ini, dan lain-
lain. Tahap dan isu peninjauan Manajemen Risiko dijelaskan pada Tabel 12.
2.5.5 Pencatatan dan Pelaporan
a. Pencatatan proses Manajemen Risiko secara umum mempunyai tiga macam
fungsi, yaitu sebagai berikut:
1) Rekaman proses pelaksanaan kegiatan, yang sekaligus menjadi sumber
informasi atas proses yang terjadi dan dapat menjadi dasar pengambilan
keputusan;
2) Menjadi bukti hukum atas apa yang telah diputuskan dan dilaksanakan,
khususnya bila terjadi sengketa hukum; dan/atau
3) Sarana preservasi pengetahuan, sebagai bagian dari proses
pengembangan berbagi pengetahuan dalam suatu organisasi.
b. Pelaporan dimaksudkan untuk menginformasikan kepada pihak pemangku
kepentingan, ataupun pihak pengambil keputusan dengan menyediakan
informasi terkini mengenai proses pengelolaan risiko.
c. Laporan Manajemen Risiko merupakan dokumen Manajemen Risiko yang
menggambarkan hasil pemantauan dan kaji ulang atas realisasi pengelolaan
risiko beserta efektivitas dan keselarasannya terhadap sasaran Perusahaan.
37 dari 70
d. Profil/Kajian Risiko merupakan bentuk pelaporan Manajemen Risiko
Perusahaan.
e. Pelaporan proses Manajemen Risiko secara umum mencakup:
1) Laporan berkala pelaksanaan proses Manajemen Risiko beserta
ringkasan aktivitas yang telah dilaksanakan dan hasil-hasil yang dicapai;
2) Laporan berkala status profil risiko sebelum dan sesudah pelaksanaan
pemberian perlakuan terhadap berbagai risiko, terutama risiko kunci; dan
3) Laporan Tahunan mencakup keseluruhan aktivitas proses Manajemen
Risiko sepanjang tahun, termasuk status profil risiko dari waktu ke waktu.
f. Anak Perusahaan menerbitkan Laporan Manajemen Risiko (triwulanan) ke
Direksi Anak Perusahaan dan Dewan Komisaris Anak Perusahaan. Laporan
ke Dewan Komisaris Anak Perusahaan ditembuskan ke Direksi Perusahaan.
g. Jenis Laporan Manajemen Risiko seperti dijelaskan pada Tabel 13.
38 dari 70
BAB III
LINGKUP PENERAPAN
3.1 Penerapan Manajemen Risiko pada Proses Pengambilan Keputusan

3.1.1 Penerapan Manajemen Risiko pada proses pengambilan keputusan perusahaan
dimaksudkan untuk memberikan keyakinan bahwa keputusan yang diambil telah
mempertimbangkan peluang maupun risiko yang dihadapi, sehingga memberikan
keyakinan bahwa keputusan yang diambil akan memberikan nilai tambah bagi
perusahaan, dengan pengerahan sumber daya yang efektif dan efisien.
3.1.2 Alur pengambilan keputusan berbasis risiko secara umum diilustrasikan pada
Gambar 19.
3.1.3 Penerapan Manajemen Risiko dalam proses pengambilan keputusan dalam
bentuk Kajian Risiko. Selanjutnya mekanisme penyusunan dan pemantauan
Kajian Risiko untuk kegiatan dan rancangan keputusan diatur di Peraturan Direksi
tersendiri.
3.2 Penerapan Manajemen Risiko pada Perencanaan dan Pencapaian Sasaran Perusahaan
3.2.1 Pencapaian Sasaran Strategis Perusahaan
a. Penerapan Manajemen Risiko pada proses pencapaian sasaran perusahaan
dimaksudkan untuk memberikan keyakinan bahwa sasaran perusahaan akan
tercapai, baik sasaran jangka panjang (RUPTL dan RJPP) maupun jangka
pendek (RKAP, KPI, Program Strategis lainnya).
b. Penerapan Manajemen Risiko pada proses perencanaan dan pencapaian
sasaran Perusahaan dimulai dengan penyusunan Profil Risiko Perusahaan.
c. Program Penanganan Risiko yang tertuang dalam dokumen Profil Risiko
harus ditindaklanjuti, dipantau kemajuan dan efektivitasnya oleh Pemilik
Risiko terkait.
d. Pemantauan dan pelaporan tindak lanjut Profil Risiko Korporat
dikoordinasikan oleh Divisi Manajemen Risiko
3.2.2 Pencapaian Sasaran Kegiatan/Proyek/Inisiatif
a. Sebagai bagian dari tata kelola yang baik, pada prinsipnya setiap kegiatan
proses bisnis harus dilakukan dengan mempertimbangkan risiko yang ada.
b. Penerapan Manajemen Risiko pada proses pencapaian sasaran
kegiatan/proyek/inisiatif dimulai dengan penyusunan Kajian Risiko oleh
Pemilik Risiko/pemrakarsa.
c. Program Penanganan Risiko yang tertuang dalam dokumen Kajian Risiko
tersebut harus ditindaklanjuti, dipantau kemajuan dan efektivitasnya oleh
Pemilik Risiko terkait.
d. Perlakuan Risiko yang efektif ditetapkan menjadi Pengendalian Risiko yang
permanen melalui prosedur, klausul perjanjian, dan sebagainya.
3.3 Penerapan Manajemen Risiko untuk Perbaikan Proses Bisnis

3.3.1 Proses bisnis eksisting yang sering mengalami kegagalan, tidak mencapai
sasaran, menimbulkan permasalahan dan lain-lain harus dilakukan perbaikan
seperti dijelaskan pada Gambar 20.
3.3.2 Proses perbaikan proses bisnis eksisting maupun pembuatan proses bisnis baru
dapat dilakukan melalui Manajemen Risiko.
39 dari 70
3.3.3 Penerapan Manajemen Risiko untuk hal ini dilakukan dengan mengkaji ulang
proses bisnis yang ada atau rancangan proses bisnis baru, mengidentifikasi risiko
yang ada pada setiap sub proses bisnis, serta menetapkan pengendaliannya atas
setiap risiko yang teridentifikasi.
3.3.4 Proses bisnis yang telah diperbaiki dituangkan dalam prosedur yang baru.
3.4 Penerapan Manajemen Risiko pada Aspek Tata Kelola

3.4.1 Penerapan Manajemen Risiko pada aspek tata kelola ditetapkan melalui
ketentuan tersendiri.
3.4.2 Salah satu dari penerapan butir 3.4.1 adalah implementasi Pengendalian Internal,
yaitu suatu proses yang dirancang untuk memberikan reasonable assurance
terhadap pencapaian tujuan atas efektivitas dan efisiensi dari operasi, ICoFR dan
kepatuhan terhadap hukum dan peraturan.
3.5 Penerapan Manajemen Risiko pada Business Continuity Management

3.5.1 Business Continuity Management (BCM) merupakan proses manajemen secara
holistik untuk mengidentifikasi potensi dan dampak dari ancaman terhadap
Perusahaan dan menyediakan kerangka kerja untuk membangun ketahanan
organisasi dengan kemampuan untuk merespon secara efektif dalam melindungi
kepentingan Pemangku Kepentingan utama, reputasi, brand dan aktivitas
penciptaan nilai.
3.5.2 BCM dilaksanakan untuk memastikan kesiapan Perusahaan dalam menghadapi
business continuity risks berupa ancaman yang berpotensi menghentikan bisnis
Perusahaan (misalnya, epidemi, bahaya lingkungan dan geografis, bencana alam,
dan sebagainya).
3.5.3 Implementasi BCM akan ditetapkan dalam kebijakan tersendiri.
3.6 Proses Cascading dalam Manajemen Risiko

3.6.1 Secara bertahap dan berkelanjutan Manajemen Risiko harus diintegrasikan pada
segenap proses bisnis dan operasional Perusahaan, sehingga guna memastikan
risiko-risiko korporat/Unit ditangani secara memadai perlu dibuat langkah
cascading dan pendelegasian wewenang.
3.6.2 Adapun beberapa langkah cascading tersebut diantaranya sebagai berikut:
a. Memperjelas dan cascading sasaran dan manfaat suatu inisiatif/rancangan
keputusan kepada pemangku kepentingan terkait.
b. Menguji rencana pelaksanaan suatu inisiatif dengan identifikasi risiko-risiko
yang mungkin belum teridentifikasi.
c. Memastikan risiko-risiko telah ditangani/diantisipasi oleh sub unit/
penanggung jawab kegiatan.
d. Membangun risk breakdown structure (RBS) terhadap Taksonomi Risiko yang
ada untuk mengidentifikasi risiko-risiko operasional yang lebih bersifat teknis-
transaksional dengan mengacu pada proses bisnis atau organisasi yang ada
saat ini.
e. Risiko Unit Induk dapat dijadikan sebagai sasaran (KPI) Bidang/Unit/Sub-unit
di bawahnya, sebagaimana dimaksud dalam Gambar 21.
40 dari 70
BAB IV
ASPEK MANAJEMEN RISIKO LAINNYA
4.1 Road Map Manajemen Risiko

4.1.1 Perusahaan menetapkan road map implementasi Manajemen Risiko sebagai
pijakan dalam pentahapan pencapaian risk maturity Perusahaan guna
meningkatkan nilai tambah bagi Perusahaan.
4.1.2 Road map Manajemen Risiko Perusahaan dapat dituangkan dalam RJPP atau
dokumen tersendiri.
4.2 Loss Event

4.2.1 Loss event merupakan risiko yang benar-benar telah terjadi yang berdampak
negatif pada Perusahaan. Termasuk dalam kategori loss event adalah kasus near
miss, yaitu risiko yang hampir terjadi atau yang benar-benar telah terjadi namun
dampak negatifnya bagi Perusahaan tidak terjadi.
4.2.2 Loss event harus dikaji root cause dan dampaknya sebagai bahan acuan dalam
penilaian risiko beserta Penanganan Risikonya (lesson learned) untuk mencegah
terulangnya kejiadian tersebut di waktu yang akan datang.
4.2.3 Loss event maupun hasil penilaian risikonya dilaporkan oleh Pemilik Risiko
kepada Divisi Manajemen Risiko.
4.2.4 Informasi loss event setidaknya mencakup:
a. Deskripsi kejadian antara lain: lokasi kejadian, waktu kejadian, dan root cause.
b. Dampak riil yang ditimbulkan.
c. Langkah penanganan yang telah dilakukan
4.2.5 Format loss event database, pelaporan, dan pemantauan loss event akan
ditetapkan melalui Petunjuk Teknis.
4.3 Aplikasi/Sistem Informasi Manajemen Risiko

4.3.1 Apabila telah tersedia aplikasi/Sistem Informasi Manajemen Risiko Perusahaan,
maka penyusunan Kajian Risiko, Profil Risiko, Pemantauan dan Pelaporan
Manajemen Risiko, serta pelaporan loss event oleh Pemilik Risiko maupun
aktivitas Manajemen Risiko lainnya dilakukan melalui aplikasi/sistem tersebut.
4.3.2 Penggunaan sistem tersebut akan diatur melalui Petunjuk Teknis dan akan
dilakukan secara bertahap.
4.4 Kerahasiaan Data dan Informasi

Risk Register, Loss Event Database (LED) maupun dokumen Manajemen Risiko lainnya
hanya untuk kepentingan internal Perusahaan dan bersifat rahasia bagi pihak-pihak
eksternal Perusahaan, mengikuti peraturan tentang informasi publik yang berlaku.
PLT DIREKTUR UTAMA,

ttd
41 dari 70
LAMPIRAN II
NOMOR : 0117.P/DIR/2019
A. Gambar 1. Hubungan Komponen Arsitektur Manajemen Risiko
B. Gambar 2. Prinsip Manajemen Risiko
42 dari 70
C. Gambar 3. Kerangka Kerja Penerapan Manajemen Risiko
D. Gambar 4. Struktur Tata Kelola Risiko
E. Gambar 5. Mekanisme Komunikasi Pengelolaan Risiko
43 dari 70
F. Gambar 6. Kuadran Pembagian Peran & Tanggung Jawab Manajemen Risiko
G. Gambar 7. Mekanisme Pemantauan dan Tinjauan
H. Gambar 8. Proses Manajemen Risiko (Sumber: ISO 31000:2018)
44 dari 70
I. Gambar 9. Proses Penyusunan Profil Risiko
Unit DIVMRO Divisi Terkait
Mulai Mulai
Analisa kondisi/ Hasil pemantauan Analisa kondisi/ Hasil pemantauan

Loss event Draf RUPTL, Loss event
indikator internal Profil Risiko tahun Draf RKAP Hasil Audit SPI indikator internal Profil Risiko tahun Hasil Audit SPI
database a RJPP, RKAP database
dan eksternal sebelumnya dan eksternal sebelumnya
Menyusun asesmen
risiko dan rencana
penanganannya
Finalisasi Profil Risiko Unit Mengumpulkan Profil Risiko

RKAP Unit Unit
Melakukan asesmen risiko dan rencana penanganannya

a
Finalisasi
Profil Risiko Korporat
RKAP
Korporat
Mensosialisasikan Profil
Risiko Korporat dan rencana
mitigasi
1 2 3
45 dari 70
J. Gambar 10. Proses Pemantauan Profil Risiko
Unit DIVMRO Divisi Terkait
1 2 3
Menindaklanjuti rencana Mengkoordinasikan

penanganan (Unit dan penanganan risiko
Korporat) (Korporat)
Melakukan pemantauan Mengkoordinasikan Melakukan pemantauan

risiko dan pelaksanaan pemantauan risiko dan risiko dan pelaksanaan
rencana penanganan (Unit pelaksanaan rencana penanganan
dan Korporat) penanganannya (Korporat)
Membahas dalam rapat Melakukan evaluasi hasil pemantauan risiko dan pelaksanaan
pimpinan penanganannya
Mengirimkan laporan Menyusun laporan

Manajemen Risiko ke Manajemen Risiko
DIVMRO dan Divisi Terkait Korporat untuk Direksi
(Triwulanan) dan Dekom
Selesai
K. Gambar 11. Skema Pertahanan Tiga Lapis
46 dari 70
L. Gambar 12. Proses Manajemen Risiko (Modifikasi Gambar 10)
M. Gambar 13. Contoh Penetapan Alur Proses Bisnis
N. Gambar 14. Contoh Penetapan Aspek
47 dari 70
O. Gambar 15. Alur Proses Asesmen Risiko
P. Gambar 16. Matriks Risiko disertai Kuadran Tingkat Risiko dan Selera Risiko
48 dari 70
Q. Gambar 17. Penentuan Prioritas Risiko
R. Gambar 18. Hierarki Kegiatan Pemantauan dan Peninjauan Risiko
S. Gambar 19. Proses Pengambilan Keputusan
49 dari 70
T. Gambar 20. Alur Perbaikan Proses Bisnis melalui Manajemen Risiko
Mulai
Proses Bisnis
Eksisting (SOP)
Mereview Proses Bisnis

Eksisting
Melakukan asesmen
risiko dan kontrolnya
atas proses bisnis
eksisting
Risk & Control Matrix

(RCM)
Mengidentifikasi gap
dan memperbaiki
kontrol eksisting dan
menetapkan kontrol
baru
SOP yang sudah

diperbaiki
Risk & Control Self

Assesment (RCSA),
pemantauan atas
efektivitas kontrol
Tidak
Efektif?
Ya
Selesai
50 dari 70
U. Gambar 21. Ilustrasi Risiko dan Sasaran Unit
PLT DIREKTUR UTAMA,
ttd
51 dari 70
LAMPIRAN III
NOMOR : 0117.P/DIR/2019
A. Tabel 1. Taksonomi Risiko dan Permasalahan Perusahaan

Kode Level 0 Level 1 Level 2
S.1.1 Tarif Listrik
S.1.2 Subsidi Listrik
Regulasi Regulasi, Peraturan &
S.1 S.1.3
Pemerintah Perundangan
Regulasi Sektor
S.1.4
Ketenagalistrikan
Reputasi di mata
S.2.1
Pemerintah
S.2 Reputasi S.2.2 Reputasi di mata Investor
Reputasi di mata
S.2.3
Masyarakat
S Strategis
Organisasi
S.3 S.3.1 Perubahan Organisasi
Korporat
S.4.1 Anak Perusahaan
S.4 Portofolio Bisnis
S.4.2 Kerjasama Strategis
Business
S.5 S.5.1 Keberlangsungan Usaha
Continuity
S.6.1 Ekonomi Makro
Pertumbuhan Konsumsi
Business S.6.2
S.6 Energi Listrik
Sustainability
S.6.3 Pendanaan Korporasi
S.6.4 Wilayah Usaha
F.1.1 Perubahan Kurs Valas
F.1.2 Peningkatan Inflasi
F.1 Pasar
F.1.3 Suku Bunga
F.1.4 Rating Perusahaan
F.2.1 Harga Batubara
F Finansial F.2.2 Harga Gas
Harga Energi F.2.3 Harga BBM
F.2
Primer
F.2.4 Harga Panas Bumi
Harga Energi Primer
F.2.5
Lainnya
F.3 Likuiditas F.3.1 Ketersediaan Likuiditas
52 dari 70
F.3.2 Pembayaran Kewajiban
Piutang Pelanggan / Non
F.3.3
Pelanggan
F.4.1 Pendapatan Penjualan
F.4 Pendapatan
F.4.2 Pendapatan Lain-lain
F.5 Pajak F.5.1 Risiko Pajak
F.6.1 Impairment asset
F.6 Aset
F.6.2 Revaluasi aset
Kontinuitas Pasokan
O.1.1
Batubara
O.1.2 Kuantitas Batubara
O.1.3 Kualitas Batubara
O.1.4 Kontinuitas Pasokan Gas
O.1.5 Kuantitas Gas
O.1.6 Kualitas Gas
Penyaluran IGT
O.1 Energi Primer O.1.7 (Independent Gas
Transporter)
O.1.8 Kontinuitas Pasokan BBM
O.1.9 Kuantitas BBM
O.1.10 Kualitas BBM
O.1.11 Bauran Energi (Fuelmix)
O Operasional O.1.12 Kontinuitas Pasokan BBN

O.1.13 Kuantitas BBN
O.1.14 Kualitas BBN
O.2.1 Kompetensi SDM
O.2.2 Jumlah SDM
Demografi / Komposisi
O.2.3
O.2 SDM SDM
O.2.3 Keselamatan Kerja
O.2.4 Kesejahteraan Pekerja
O.2.5 Outsourcing
O.3.1 Cadangan Daya Listrik
Sistem Tenaga
O.3 O.3.2 Take or Pay
Listrik
O.3.3 Sistem Tenaga Listrik
Ketersediaan
O.4 Pembangkitan O.4.1
Pembangkitan
53 dari 70
O.4.2 Keandalan Pembangkitan
O.4.3 Efisiensi Pembangkitan
O.4.4 Derating Pembangkitan
O.4.5 Pembangkit IPP
O.5.1 Ketersediaan Penyaluran
O.5.2 Keandalan Penyaluran
O.5 Penyaluran O.5.3 Efisiensi Penyaluran

Penyaluran IPT
O.5.4 (Independent Power
Transporter)
Ketersediaan Jaringan
O.6.1
Distribusi
O.6 Distribusi Keandalan Jaringan
O.6.2
Distribusi
O.6.3 Efisiensi Distribusi
Kualitas Layanan
O.7.1
Pelanggan
Pelayanan O.7.2 Penggunaan Listrik Ilegal

O.7
Pelanggan O.7.3 Ekspektasi Pelanggan
Perjanjian dengan
O.7.4
Pelanggan
O.8.1 Obsolete Teknologi
O.8 Teknologi
O.8.2 Security Teknologi
Akurasi Hasil Penelitian/
O.9.1
Survei/ Studi
O.9 Riset & Enjiniring Pemanfaatan Hasil
O.9.2
Penelitian/ Survei/ Studi
O.9.3 Standardisasi
O.10.1 Bencana Lokal
Bencana Nasional (Force
O.10.2
O.10 Bencana Majeur)
Demonstrasi / Terorisme /
O.10.3
Sabotase
O.11.1 Retail
Supply Chain O.11.2 Distribusi

O.11
Management O.11.3 Manufaktur
O.11.4 Suplier
P Proyek P.1 P.1.1 Kelayakan Proyek
54 dari 70
P.1.2 Desain Proyek
Keselarasan Proyek
P.1.3
Terkait
Perencanaan &
Desain P.1.4 Pelaksanaan Survey
P.1.5 Pembebasan Lahan
P.1.6 Perijinan
Sumber Pendanaan
P.2.1
Proyek
Pendanaan
P.2
Proyek P.2.2 Financial Closing (FC)
P.2.3 Disbursement
Persyaratan dan
P.3.1
Spesifikasi Pengadaan
P.3.2 Nilai Pengadaan (HPS)
Aspek Kontraktor
P.3 Pengadaan
P.3.3 (Ketersediaan, Kualifikasi,
dan Performance)
P.3.4 Proses Pengadaan
P.3.5 Kontrak/Perjanjian
Waktu Penyelesaian
P.4.1
Proyek
Pelaksanaan
P.4 Kualitas Pelaksanaan
Proyek/Konstruksi P.4.2
Proyek
P.4.3 Biaya Total Proyek
P.5.1 Serah Terima Proyek
P.5.2 Performance Pasca Proyek
P.5 Pasca Konstruksi
P.5.3 Garansi Hasil Pekerjaan
P.5.4 Benefit Akhir Proyek
K.1.1 Kerjasama Pihak Ketiga
Hak Atas Kekayaan
K.1.2
Intelektual (HAKI)
K.1 Aspek Legal
K.1.3 Tuntutan Hukum
K.1.4 Perizinan
K Kepatuhan K.1.5 Pembebasan Tanah
K.2.1 Etika / Kepatutan
Etika & K.2.2 Kecurangan (Fraud)
K.2
Kecurangan
Kerahasiaan Informasi/
K.2.3
Data
K.3 Lingkungan K.3.1 Aspek Lingkungan
55 dari 70
K.3.2 Sosial / Politik / Budaya
Pengendalian Internal
K.4.1
(Internal Control)
Akunting &
K.4
Pelaporan K.4.2 Pelaporan Operasional
K.4.3 Pelaporan Keuangan
K.5.1 Perencanaan Audit
K.5 Audit K.5.2 Proses dan Hasil Audit
K.5.3 Benefit Akhir Audit
K.6.1 Kecelakaan Kerja
K.6 Kecelakaan Kerja K.6.2 Kesehatan Kerja
K.6.3 Lingkungan Kerja
B. Tabel 2. Matriks Kinerja Proses Manajemen Risiko

No. Tahap Proses MR Hasil
1 Proses komunikasi a. Semua pemangku kepentingan yang dianggap penting,
dan konsultasi telah dikonsultasikan dan dilibatkan dalam proses.
b. Persepsi pemangku kepentingan terhadap risiko telah
sesuai dengan harapan
c. Rencana Komunikasi telah dibuat.
d. Semua pengelola risiko telah memahami peran dan fungsi
masingmasing.
2 Proses Penetapan a. Konteks eksternal
Konteks, lingkup,
b. Konteks internal
kriteria
c. Konteks pengelolaan risiko
d. Kriteria risiko
3 Proses Identifikasi a. Identifikasi risiko telah menjadi bagian dari prosedur
Risiko perencanaan di level strategis, operasional, proyek, dan
individu.
b. Identifikasi risiko menjadi bagian dari aktifitas sehari-hari.
c. Pengelola risiko memahami proses dan aktifitas pada unit
kerja dan risiko yang melekat padanya.
d. Prosedur pengambilan keputusan menjadi lebih efektif.
4 Proses Analisis a. Sistem manajemen, teknologi, dan prosedur yang
Risiko digunakan untuk menjalankan dan mengendalikan operasi
bisnis telah teridentifikasi dan diketahui tingkat
efektifitasnya.
b. Pengendalian risiko tinggi dan ekstrem telah teridentifikasi
dan diketahui tingkat efektifitasnya. Nilai kemungkinan
dan dampak yang diperoleh berdasarkan data dan
informasi yang mutakhir, wajar, dan berimbang.
56 dari 70
No. Tahap Proses MR Hasil
5 Proses Evaluasi a. Evaluasi dan prioritas risiko menggunakan metode yang
Risiko konsisten.
b. Keputusan menolak/menerima risiko telah berdasarkan
data yang wajar dan berimbang terkait manfaat
dibandingkan dengan kerugiannya.
6 Proses Perlakuan a. Adanya Rencana Perlakuan Risiko diperuntukkan bagi
Risiko risiko yang diprioritaskan.
b. Rencana Perlakuan Risiko telah memperhitungkan aspek
ketersediaan sumber daya dan waktu.
c. Aktifitas pengendalian dan perlakuan risiko telah menjadi
bagian dari proses penyusunan Sasaran Kinerja Unit
Induk/Pusat-Pusat / Divisi / Satuan/Korporat dan
realisasinya.
7 Proses a. Adanya pemantauan dan kaji ulang secara reguler yang
Pemantauan dan mencakup:
Tinjauan
- manfaat dan kerugian yang diperoleh perusahaan
dalam menerima/menolak risiko;
- implementasi dan efektifitas rencana perlakuan risiko.
b. Proses pemantauan dan kaji ulang menjadi bagian dari
proses evaluasi pelaksanaan Sasaran Kinerja Unit
Induk/Pusat-Pusat / Divisi / Satuan/Korporat.
c. Proses manajemen risiko telah fokus mengatasi
ketidakpastian pencapaian sasaran dan target kinerja di
level unit kerja dan individu karyawan.
8 Proses Pencatatan a. Adanya dokumentasi proses manajemen risiko dan
dan Pelaporan berbagai keluarannya (outcomes).
b. Adanya laporan proses manajemen risiko melalui
mekanisme yang telah ditetapkan.
c. Pelaporan proses manajemen risiko menjadi aktivitas
reguler untuk menyiapkan informasi mengenai proses
manajemen risiko kepada para pihak terkait dan
pengambil keputusan.
57 dari 70
C. Tabel 3. Contoh Identfikasi RASCI
R A S C I
No
Responsible Accountable Support Consulted Informed
Pihak yang Pihak yang Pihak yang Pihak yang memiliki Pihak yang harus
bertugas bertanggung memberikan keahlian tahu menerima laporan
melaksanakan jawab dukungan data/info yang pelaksanaan
Pemeran
tahap tertentu terhadap sumber daya. diperlukan untuk tahap tertentu

dari hasil akhir melaksanakan tahap atau keseluruhan
serangkaian dari tertentu. tahapan
tahapan. keseluruhan
tahapan.
Tahap Cakupan, Konteks, dan Kriteria dari Proses Manajemen Risiko
Contoh Pembagian Pemeran
Divisi, Unit Pemilik ▪ Divisi, Unit ▪ Divisi/Unit yang ▪ Divisi

Pengelola Risiko terkait menjadi penyebab Manajemen
Risiko risiko dan yang Risiko
▪ Divisi
terdampak risiko
Manajemen ▪ Direksi
Risiko ▪ Pemangku
▪ Dewan
kepentingan
Komisaris
eksternal yang
menjadi penyebab ▪ Pemangku
risiko dan kepentingan
terdampak risiko eksternal terkait
D. Tabel 4. Contoh Rencana Komunikasi dan Konsultasi

Pemangku
Peran Jenis dan Metode Output Jadwal Pelaksana
Kepentingan
Internal
Eksternal
E. Tabel 5. Contoh Penyusunan Sasaran SMART

Langkah Atribut Uraian Elemen Sasaran
1 Specific Hal yang ingin dicapai Ketersediaan tenaga listrik
2 Measurable Indikator dan nilai target 50 MW seharga ± USD0.6
per kWH
3 Achievable Cara untuk mencapai Beli dari IPP PLTU dengan
kontrak 30 tahun
4 Relevant Sasaran harus selaras dengan Penambahan kapasitas
strategi Perusahaan
5 Time bound Jangka waktu pencapaian 2019
Sasaran Pengadaan tenaga listrik tahun 2019 oleh PLN sebesar 50MW
dengan membeli dari IPP PLTU seharga ± USD0,6 per kWH
melalui kontrak jangka panjang 30 tahun untuk memenuhi
pertumbuhan beban sistem.
58 dari 70
F. Tabel 6. Kriteria Tingkat Kemungkinan Risiko Korporat
Parameter
Tingkat Probabilitas Deskripsi Kualitatif Insiden Sebelumnya
Kemungkinan
Hampir dapat Terjadi lebih dari 1 kali
E Sangat Besar >90% dipastikan dalam rentang waktu 6
akan terjadi bulan terakhir
Kemungkinan besar Terjadi 1 kali dalam rentang
D Besar 70% - 90%
akan terjadi waktu 6 bulan terakhir
Kemungkinan sama
Terjadi 1 kali dalam rentang
C Sedang >30% - <70% antara akan terjadi
waktu 1 tahun terakhir
dan tidak terjadi.
Kemungkinan kecil Tidak terjadi dalam rentang
B Kecil 10% - 30%
akan terjadi waktu 1 tahun terakhir
Hampir dapat Tidak pernah terjadi dalam
A Sangat Kecil < 10% dipastikan rentang waktu lebih dari 1
tidak akan terjadi tahun
59 dari 70
G. Tabel 7. Kriteria Tingkat Dampak Risiko Perusahaan
KATEGORI/ TIDAK SANGAT
NO MINOR MEDIUM SIGNIFIKAN
PARAMETER RISIKO SIGNIFIKAN SIGNIFIKAN
1 KEPEMIMPINAN : Keluhan pegawai Ketidakpuasan Protes pegawai Demo pegawai Terjadi mogok kerja
a. SDM secara individu sekelompok yang melibatkan dengan dalam skala luas
pegawai Serikat Pekerja. pemogokan
terbatas
b. Insiden Insiden Insiden Insiden memerlukan Insiden Insiden
memerlukan memerlukan penyelidikan oleh membutuhkan menimbulkan
penanganan oleh penanganan oleh pihak independen penjelasan ke permasalahan
atasan langsung. pihak manajemen (eksternal) pihak berwajib/ hukum.
(internal) Pemerintah
c. Citra / Reputasi Dampak tidak Dampak minimum Komplain, Sorotan media Sorotan secara
berarti, tidak berupa komplain ketidakpuasan, yang luas di nasional, dibutuhkan
menimbulkan atau demostrasi dan daerah, memicu kebijakan khusus
gangguan ketidakpuasan, sorotan media tanggapan pemerintah,
operasional tidak mengganggu memicu tanggapan pemerintah, ancaman terhadap
permanen. operasional bisnis. stakeholder, operasional bisnis bisnis jangka
operasional bisnis terhenti beberapa panjang.
terganggu. saat, diperlukan
penanganan
segera.
d. Fraud (Kecurangan) TIDAK DITOLERIR
2 PROSES BISNIS Kerusakan critical Kerusakan critical Kerusakan critical Kerusakan critical Kerusakan critical
INTERNAL : asset hanya asset asset membutuhkan asset asset membutuhkan
a. K-3 / Critical Asset membutuhkan membutuhkan perbaikan hingga 1 membutuhkan perbaikan > 6 bulan,
perbaikan minor perbaikan hingga 1 bulan perbaikan 1-6 atau penggantian
hari bulan
b. K-3 / Keselamatan Aset Kerusakan aset Kerusakan aset Kerusakan aset Aset rusak berat Aset rusak berat
ringan. ringan. sedang, (perlu perbaikan). (tidak dapat
digunakan lagi).
60 dari 70
c. K-3 / Keselamatan Jiwa TIDAK DITOLERIR
d. Lingkungan Tidak ada teguran Teguran dari KLH Peringatan dari KLH Denda dari KLH Penutupan lokasi,
dari KLH atau pemidanaan
oleh KLH
Terjadi Terjadi Terjadi pencemaran Terjadi Terjadi pencemaran
pencemaran pencemaran lingkungan di luar pencemaran lingkungan di luar
lingkungan namun lingkungan namun ambang batas KLH lingkungan di luar ambang batas KLH
masih dalam masih dalam dan dampak ambang batas dan dampak
ambang batas ambang batas terhadap lingkungan KLH dan dampak lingkungan bersifat
KLH dan dampak KLH dan dampak dapat diatasi (>1 lingkungan bersifat permanen, tidak
terhadap terhadap bulan) permanen, tdk dapat diatasi
lingkungan dapat lingkungan dapat dapat diatasi
diatasi segera diatasi < 1 bulan segera
e. Kelangsungan Usaha Kegiatan Kegiatan Kegiatan Kegiatan Kegiatan
perusahaan tidak perusahaan perusahaan perusahaan perusahaan
terganggu . terganggu pada 1 terganggu secara terganggu pada terganggu secara
unit, tidak terbatas dalam 1 beberapa unit luas (nasional).
mempengaruhi unit, dan
pelayanan mempengaruhi
pelayanan
f. Tuntutan Hukum Pihak Penyelesaian Penyelesaian Penyelesaian Penyelesaian Penyelesaian
Ketiga Tuntutan dilakukan Tuntutan dilakukan Tuntutan dilakukan Tuntutan dilakukan Tuntutan dilakukan
melalui melalui melalui alternatif melalui proses melalui proses
musyawarah. musyawarah, penyelesaian peradilan, mulai Peninjauan Kembali
dengan peran sengketa. dari Pengadilan Mahkamah Agung
mediator. Negeri, Banding RI.
Pengadilan Tinggi,
dan Kasasi
Mahkamah Agung
RI
61 dari 70
g. Pencapaian Kinerja Deviasi thd target : Deviasi thd target : Deviasi thd target : Deviasi thd target : Deviasi thd target :
Operasional (untuk Kinerja < 1% 1% - 5% 5% - 10% 10% - 20% >20%
Finansial mengacu pada
Kategori Keuangan dan
Pasar)
3 PRODUK & LAYANAN : Cakupan pada Cakupan Cakupan beberapa Cakupan pada 1 Cakupan pada 1
a. Luasan Area/Sistem beberapa pemadaman 1 Gardu Induk atau sub-sistem besar Sistem besar pada
Padam penyulang pada Gardu Induk atau sistem sedang pada pada satu waktu. satu waktu /
satu waktu. sistem kecil. satu waktu blackout sistem.
b. Keluhan Pelanggan Keluhan Keluhan Keluhan pelanggan Keluhan Demonstrasi oleh
pelanggan ke pelanggan dengan melalui surat pelanggan disorot pelanggan/ class
contact center mendatangi kantor pembaca/ media oleh media action oleh
PLN secara sosial nasional/ tuntutan sekelompok
langsung hukum oleh pelanggan
pelanggan secara
individu
4 KEUANGAN & PASAR : <0,1% dari 0,1% - 0,5% dari 0,5% - 1% dari 1% - 2% dari >2% dari
Kerugian atau Opportunity pendapatan pendapatan pendapatan pendapatan pendapatan
Loss Perusahaan satu Perusahaan satu Perusahaan satu Perusahaan satu Perusahaan satu
tahun tahun tahun tahun tahun
62 dari 70
H. Tabel 8. Acuan Penyusunan Kriteria Dampak untuk Unit dan Anak Perusahaan
TIDAK MINOR MEDIUM SIGNIFIKAN SANGAT
SIGNIFIKAN SIGNIFIKAN
< 0,1% 0,1% - 0,5% 0,5% - 1% 1% - 2% > 2%
dari:
a. Pendapatan satu tahun untuk Unit Operasional;
b. Pengeluaran satu tahun untuk Unit Cost Center; atau
c. Nilai Proyek satu tahun untuk Unit Pembangunan
I. Tabel 9. Metode Asesmen dan Analisis Risiko

Proses Penilaian Risiko
Identi- Analisis Risiko

Alat bantu dan Teknik Evaluasi
fikasi Konse- Proba- Tingkat Risiko
Risiko kuensi bilitas Risiko
Curah pendapat (Brainstorming) SA1) NA2) NA NA NA
Wawancara terstruktur atau semi- SA NA NA NA NA
terstruktur (Structured or semi-
structured interviews)
Delphi SA NA NA NA NA
Daftar periksa (Check-lists) SA NA NA NA NA
Analisis pendahuluan potensi bahaya SA NA NA NA NA
(Primary hazard analysis)
Studi potensi bahaya dan operbilitas SA SA A3) A A
(Hazard and operability
studies/HAZOP)
Analisis potensi bahaya dan titik SA SA NA NA SA
kendali kritis (Hazard analysis and
critical control points/HACCP)
Penilaian risiko lingkungan SA SA SA SA SA
(Environmental risk assesment)
Struktur “apa-jika” (Structured “what SA SA SA SA SA
if” technique/SWIFT)
Analisis skenario (Scenario analysis) SA SA A A A
Analisis dampak bisnis (Business A SA A A A
impact analysis)
Analisis akar penyebab (Root cause NA SA SA SA SA
analysis)
Analisis modus kegagalan dan SA SA SA SA SA
dampak (Failure mode effect
analysis)
63 dari 70
Proses Penilaian Risiko
Identi- Analisis Risiko

Alat bantu dan Teknik Evaluasi
fikasi Konse- Proba- Tingkat Risiko
Risiko kuensi bilitas Risiko
Analisis pohon kesalahan (Fault tree A NA SA A A
analysis)
Analisis pohon kejadian (Event tree A SA A A NA
analysis)
Analisis sebab dan konsekuensi A SA SA A A
(Cause and consequence analysis)
Analisis sebab-dan-akibat (Cause- SA SA NA NA NA
and-effect analysis)
Analisis laporan dan proteksi (Layer A SA A A NA
protection analysis/LOPA)
Pohon keputusan (Decision tree) NA SA SA A A
Analisis keandalan manusia (Human SA SA SA SA A
reliability analysis)
Analisis dasi kupu-kupu (Bow tie NA A SA SA A
analysis)
Pemeliharaan yang terpusat pada SA SA SA SA SA
keandalan (Reliability centered
maintenance)
Analisis rangkaian selinap (Sneak A NA NA NA NA
circuit analysis)
Analisis Markov (Markov analysis) A SA NA NA NA
Simulasi Monte Carlo (Monte carlo NA NA NA NA SA
simulation)
Statistik Bayesian dan jaringan Bayes NA SA NA NA SA
(Bayesian statistics and Bayes nets)
Kurva FN (FN curves) A SA SA A SA
Indeks risiko (Risk indices) A SA SA A SA
Matriks konsekuensi/probabilitas SA SA SA SA A
(Consequence/probability matrix)
Analisa biaya/manfaat (Cost/benefit A SA A A A
analysis)
Analisis keputusan multi-kriteria A SA A SA A
(Multi-criteria decision
analysis/MCDA)
1) Strongly applicable (Sangat berlaku)
2) Not applicable (Tidak berlaku)
3) Applicable (Berlaku)
64 dari 70
J. Tabel 10. Kertas Kerja Pengukuran Efektivitas Kontrol
Apakah Kontrol Apakah Apakah
dapat langsung Kontrol resmi Kontrol telah
menangani telah diterapkan
penyebab/ didokumen- dalam
dampak risiko? tasikan dan kegiatan
dikomuni- secara
kasikan? konsisten?
Ya 1 1 1
Sebagian 3 2 2
Tidak 6 3 3
+ + =
K. Tabel 11. Penjelasan Jumlah Skor Pengukuran Kontrol

FAKTOR
JUMLAH
EFEKTIVITAS DESKRIPSI KRITERIA TERHADAP
SKOR
RISIKO
3 Sangat Efektif Kontrol telah dirancang secara memadai*, 0,10
terdokumentasi dan terinternalisasi dengan
baik, serta konsisten dilaksanakan.
4 Efektif Desain kontrol cukup memadai, 0,25
terdokumentasi dan terinternalisasi, serta
sebagian dilaksanakan (tidak sepenuhnya).
5 Sebagian Efektif Desain kontrol kurang memadai, sebagian 0,50
terdokumentasi dan tersosialisasi, serta
sebagian dilaksanakan (tidak sepenuhnya).
6 Kurang Efektif Desain kontrol kurang memadai, sebagian 0,75
terdokumentasi dan tersosialisasi, ada yang
dilaksanakan.
7-12 Tidak Efektif Belum ada kontrol, rancangan kontrol 1,00
kurang memadai, tidak terdokumentasi, dan
tidak dilaksanakan.
*Desain kontrol memadai artinya kontrol relevan dan berdampak langsung terhadap
penyebab/dampak risiko
65 dari 70
L. Tabel 12. Tahap dan Isu Peninjauan Manajemen Risiko
Tahap Proses Isu untuk Peninjauan
MR
Lingkup, ▪ Apakah ada perubahan dalam konteks eksternal ataupun internal,
Konteks, dan dan apakah konteks pengelolaan risiko organisasi perlu diubah
Kriteria untuk tetap relevan?
▪ Apakah ada Pemangku Kepentingan yang harus dipertimbangkan
untuk berubah?
▪ Apakah preferensi pemangku kepentingan berubah berkaitan
dengan bagaimana Perusahaan mengelola risiko?
Identifikasi risiko ▪ Apakah sumber-sumber informasi yang digunakan untuk
mengidentifikasi risiko masih relevan dan dapat diandalkan?
▪ Apakah perubahan yang dibutuhkan untuk proses identifikasi
risiko?
▪ Apa efek perubahan ini terhadap identifikasi risiko di masa
mendatang?
▪ Apakah ada risiko baru yang harus dipertimbangkan?
Analisis risiko ▪ Apakah asumsi tentang risiko dan asumsi penilaian risiko
Perusahaan masih berlaku (valid)?
▪ Bagaimana kecocokan alat organisasi yang digunakan dalam
proses analisis risiko?
▪ Apakah mereka masih relevan?
▪ Apakah mereka telah diterapkan dengan benar?
▪ Apakah mereka yang bertanggung jawab untuk menganalis risiko
dan menilai kontrol melakukannya secara konsisten?
▪ Pernahkah ada perubahan dalam Kemungkinan Kejadian dan
Dampak Risiko?
▪ Apakah ada kebutuhan untuk memodifikasi proses penilaian risiko
organisasi berdasarkan pengalaman yang sebenarnya?
Evaluasi risiko ▪ Apakah mereka yang bertanggung jawab untik mengevaluasi risiko
melakukannya secara konsisten?
▪ Apakah prioritas risiko perusahaan berubah sebagai cerminan
perubahan pada konteks organisasi?
Perlakuan risiko ▪ Seberapa efektifkah rencana perlakuan risiko organisasi?
▪ Adakah kontrol yang efektif dan cocok untuk tujuan?
▪ Apakah risiko memerlukan perlakuan lebih lanjut atau perlu
mengubah strategi pengendalian organisasi?
▪ Apakah staf mengikuti prosedur?
▪ Apakah strategi pengendalian didukung oleh komunikasi yang tepat
termasuk dokumentasi dan pelatihan?
▪ Apakah manfaat dari perlakuan risiko diperhitungkan dengan biaya
perlakuan risiko?
66 dari 70
M. Tabel 13. Jenis Laporan Manajemen Risiko
Pihak Yang
Jenis
Isi Laporan Frekuensi Bertang- Ditujukan Kepada
Laporan
gung jawab
PROFIL • Hasil asesmen RUPTL, EVP • Direksi
RISIKO risiko utama (key RJP : Manajemen
Korporat risks) Perusahaan. menyesuai- Risiko • Dewan Komisaris
kan
• Rencana • SVP/SEVP/SVP/C
Penanganan Risiko RKAP: RS/CAE
beserta tahunan (tindak lanjut
penanggungjawab- Penanganan)
nya • UNIT/Anak
Perusahaan
(tindak lanjut
Penanganan)
PROFIL • Hasil asesmen RKAP : • General • Direksi/EVP
RISIKO risiko utama Unit. Tahunan Manager terkait/pembina
Unit
• Rencana RJP: • EVP Manajemen
Penanganan Risiko menyesuai- Risiko
beserta kan
penanggungjawab- • Auditor Internal
nya (tembusan)
PROFIL • Hasil asesmen RKAP : Dirut Anak • Dewan Komisaris

RISIKO risiko utama Anak Tahunan Perusahaan Anak Perusahaan
Anak Perusahaan.
Perusaha-
RJP : • Direksi PLN
an • Rencana Menyesuai-
Penanganan Risiko kan. • EVP Manajemen
beserta Risiko (Tembusan)
penanggungjawab-
nya
KAJIAN • Konteks Kajian : Sesuai Pemrakarsa Pengambil Keputusan

RISIKO Nama kebutuhan
kegiatan/rancangan
keputusan, Latar
belakang, Sasaran,
Ruang lingkup, dan
Pemangku
Kepentingan.
• Hasil asesmen
risiko atas
kegiatan/rancangan
keputusan.
• Rencana mitigasi
risiko beserta
67 dari 70
Pihak Yang
Jenis
Laporan
gung jawab
penanggungjawab-
nya
• Analisis peluang
(untuk kajian risiko
yang digunakan
pada proses
pengambilan
keputusan)
• Rekomendasi
LAPORAN • Review atas risiko RKAP: Direksi • Dewan Komisaris
Manaje- korporat (Profil Triwulanan
men Risiko maupun RJP:
Risiko Kajian Risiko). Tahunan
Korporat
ke Dewan • Status pelaksanaan
Komisaris Penanganan Risiko
korporat dan
efektivitasnya
• Aktivitas
implementasi/impro
vement manajemen
risiko Perusahaan.
• Rekomendasi dan
usulan lainnya.
LAPORAN • Review atas risiko RKAP: EVP • Direksi
Manaje- korporat (Profil Triwulanan Manajemen
men Risiko maupun Risiko • KDIV/KS/Anak
RJP: Perusahaan
Risiko Kajian Risiko). Tahunan (tembusan).
Korporat
ke Direksi • Status pelaksanaan
Penanganan Risiko
korporat dan
efektivitasnya
• Aktivitas
implementasi/impro
vement manajemen
risiko.
• Loss event yg
terjadi pada periode
laporan
• Rekomendasi
berupa early
warning dan usulan
lainnya.
68 dari 70
Pihak Yang
Jenis
Laporan
gung jawab
LAPORAN • Hasil review atas RKAP: • General • Direksi/EVP
Manaje- Profil Risiko Unit. Triwulanan Manager terkait/pembina
men
Risiko • Status pelaksanaan RJP: • EVP Manajemen
Penanganan Risiko Tahunan Risiko
UNIT ke
PLN Unit dan
efektivitasnya • Auditor Internal
Pusat.
(Tembusan)
• Loss event yang
terjadi pada periode
laporan.
• Ringkasan
informasi
pelaksanaan
manajemen risiko di
Unit
N. Tabel 14. Matriks RASCI dalam Manajemen Risiko

NO URAIAN DIREKSI SEVP/SVP/ EVP CAE GM ANAK
EVP/CRS MRO PERU-
SAHAAN
1 PROFIL RISIKO KORPORAT
a. Penyusunan Profil A/I S R I I S/I
Risiko
b. Menindaklanjuti A/I R C/I - S S/I
Rencana
Penanganan Risiko
c. Pemantauan KRI & A/I R R/C/I - S S/I
Penanganan Risiko
d. Pelaporan A/I S R I S S/I
2 PROFIL RISIKO UNIT
a. Penyusunan Profil - I C/I - R/A -
Risiko
b. Menindaklanjuti Renc - I C/I - R/A -
Penanganan Risiko
c. Pemantauan KRI & - I C/I - R/A -
Penanganan Risiko
d. Pelaporan - I C/I I R/A -
e. Agregasi Risiko Unit I S R - I -
3 KAJIAN RISIKO UNTUK PROSES PERSETUJUAN DEKOM
a. Penyusunan Kajian R S C/I - S S
Risiko
69 dari 70
NO URAIAN DIREKSI SEVP/SVP/ EVP CAE GM ANAK
EVP/CRS MRO PERU-
SAHAAN
b. Review & Verifikasi - - R - - -
Kajian Risiko
c. Menindaklanjuti Renc S/C/I R C/I - S S
Penanganan Risiko
d. Pemantauan KRI & S/C/I R R/C/I - S S
Penanganan Risiko
e. Pelaporan S/C/I S R I S S
4 KAJIAN RISIKO UNTUK PROSES PERSETUJUAN DIREKSI
a. Penyusunan Kajian I/C R C/I I S S
Risiko
b. Review & Verifikasi - - R - - -
Kajian Risiko
c. Menindaklanjuti Renc S/C/I R C/I - S S
Penanganan Risiko
d. Pemantauan KRI & S/C/I R R/C/I - - -
Penanganan Risiko
e. Pelaporan S/C/I S R I - -
5 KAJIAN RISIKO LAINNYA
a. Penyusunan Profil C/I R C/I - R R
Risiko
b. Menindaklanjuti Renc C/I R C/I - R R
Penanganan Risiko
c. Pemantauan KRI C/I R C/I - R R
d. Pemantauan & C/I R C/I I R R
Pelaporan
Penanganan Risiko
6 Pelaporan Loss Event I R C/I I R R
7 Asesmen Risk Maturity I S R I S S
8 Capacity Building Man. I S R/C/S S R R
Risiko
PLT DIREKTUR UTAMA,
ttd
70 dari 70

2019 Perdir 117.P - Pedoman Umum Penerapan Manajemen Risiko (Salinan) Ref

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

2019 Perdir 117.P - Pedoman Umum Penerapan Manajemen Risiko (Salinan) Ref

Diunggah oleh

Hak Cipta:

Format Tersedia

PT PLN (PERSERO)

PERATURAN DIREKSI PT PLN (PERSERO)

PEDOMAN UMUM PENERAPAN MANAJEMEN RISIKO

DIREKSI PT PLN (PERSERO)

Mengingat : 1. Undang-Undang RI Nomor 19 Tahun 2003 tentang Badan Usaha

Memperhatikan : 1. Pedoman Komisaris Independen dikeluarkan oleh Komite Nasional

Dalam Peraturan ini yang dimaksud dengan:

Penerapan Manajemen Risiko Perusahaan bertujuan untuk:

Sasaran penerapan Manajemen Risiko Perusahaan adalah sebagai berikut:

(2) Manajemen Risiko Perusahaan diterapkan pada:

(1) Pengelolaan risiko yang dihadapi Perusahaan dilaksanakan dengan memperhatikan

(8) Toleransi Risiko DEP/DIV/SETPER/SPI/UI/UP secara umum disesuaikan dengan

Pedoman Umum Penerapan Manajemen Risiko di Lingkungan PT PLN (Persero) adalah

Peraturan ini mulai berlaku sejak tanggal ditetapkan.

PLT DIREKTUR UTAMA,

SRIPENI INTEN CAHYANI

1.2 Skema hubungan ketiga komponen tersebut dijelaskan pada Gambar 1.

1.3 Prinsip Manajemen Risiko

1.4 Kerangka Kerja Manajemen Risiko

1.5 Proses Manajemen Risiko

1.6 Profil Risiko

1.7 Konsep Pertahanan Tiga Lapis

2.2 Komunikasi dan Konsultasi

2.3 Penetapan Lingkup, Konteks, dan Kriteria

2.4 Penilaian Risiko

2.5 Evaluasi Risiko

3.1 Penerapan Manajemen Risiko pada Proses Pengambilan Keputusan

3.3 Penerapan Manajemen Risiko untuk Perbaikan Proses Bisnis

3.4 Penerapan Manajemen Risiko pada Aspek Tata Kelola

3.5 Penerapan Manajemen Risiko pada Business Continuity Management

3.6 Proses Cascading dalam Manajemen Risiko

4.1 Road Map Manajemen Risiko

4.2 Loss Event

4.3 Aplikasi/Sistem Informasi Manajemen Risiko

4.4 Kerahasiaan Data dan Informasi

PLT DIREKTUR UTAMA,

A. Gambar 1. Hubungan Komponen Arsitektur Manajemen Risiko

B. Gambar 2. Prinsip Manajemen Risiko

D. Gambar 4. Struktur Tata Kelola Risiko

E. Gambar 5. Mekanisme Komunikasi Pengelolaan Risiko

G. Gambar 7. Mekanisme Pemantauan dan Tinjauan

H. Gambar 8. Proses Manajemen Risiko (Sumber: ISO 31000:2018)

Unit DIVMRO Divisi Terkait

Analisa kondisi/ Hasil pemantauan Analisa kondisi/ Hasil pemantauan

Finalisasi Profil Risiko Unit Mengumpulkan Profil Risiko

Melakukan asesmen risiko dan rencana penanganannya

Unit DIVMRO Divisi Terkait

Menindaklanjuti rencana Mengkoordinasikan

Melakukan pemantauan Mengkoordinasikan Melakukan pemantauan

Mengirimkan laporan Menyusun laporan

K. Gambar 11. Skema Pertahanan Tiga Lapis

M. Gambar 13. Contoh Penetapan Alur Proses Bisnis

N. Gambar 14. Contoh Penetapan Aspek

R. Gambar 18. Hierarki Kegiatan Pemantauan dan Peninjauan Risiko

S. Gambar 19. Proses Pengambilan Keputusan

Mereview Proses Bisnis

Risk & Control Matrix

SOP yang sudah

Risk & Control Self

PLT DIREKTUR UTAMA,

SRIPENI INTEN CAHYANI

A. Tabel 1. Taksonomi Risiko dan Permasalahan Perusahaan

O Operasional O.1.12 Kontinuitas Pasokan BBN