2019 Perdir 117.P - Pedoman Umum Penerapan Manajemen Risiko (Salinan) Ref
2019 Perdir 117.P - Pedoman Umum Penerapan Manajemen Risiko (Salinan) Ref
NOMOR: 0117.P/DIR/2019
TENTANG
Menimbang : a. bahwa Tata Laksana Kerja Direksi dan Dewan Komisaris (Board
Manual) PT PLN (Persero) telah ditetapkan pada tanggal 10
Oktober 2016, dimana Direksi wajib membangun dan
melaksanakan program Manajemen Risiko secara terpadu dan
melaksanakannya secara konsisten pada pengelolaan proses
bisnis Perusahaan;
b. bahwa dengan penerapan program Manajemen Risiko
sebagaimana dimaksud pada huruf a di atas, diharapkan seluruh
unsur Perusahaan mengenali risiko-risiko yang dihadapi dalam
pencapaian visi, misi, maupun sasaran Perusahaan, sehingga
dapat mempersiapkan langkah penanganannya dengan
memanfaatkan sumber daya yang dimiliki secara optimal;
c. bahwa adanya perkembangan kompleksitas pengelolaan
pengusahaan tenaga listrik di lingkungan internal maupun eksternal
yang dihadapi Perusahaan dalam pencapaian sasarannya, maka
perlu dilakukan penyempurnaan atas ketentuan penerapan
Manajemen Risiko di Lingkungan PT PLN (Persero);
d. bahwa berdasarkan pertimbangan sebagaimana dimaksud dalam
huruf a, b, dan c di atas, perlu menetapkan Peraturan Direksi PT
PLN (Persero) tentang Pedoman Umum Penerapan Manajemen
Risiko di Lingkungan PT PLN (Persero).
1 dari 70
5. Peraturan Pemerintah RI Nomor 45 Tahun 2005 tentang Pendirian,
Pengurusan, Pengawasan dan Pembubaran Badan Usaha Milik
Negara;
6. Peraturan Pemerintah RI Nomor 14 Tahun 2012 tentang Kegiatan
Usaha Penyediaan Tenaga Listrik sebagaimana telah diubah
dengan Peraturan Pemerintah RI Nomor 23 Tahun 2014;
7. Peraturan Pemerintah RI Nomor 62 Tahun 2012 tentang Usaha
Jasa Penunjang Tenaga Listrik;
8. Peraturan Menteri Negara Badan Usaha Milik Negara Nomor PER-
01/MBU/2011 tentang Penerapan Tata Kelola Perusahaan Yang
Baik (Good Corporate Governance) Pada Badan Usaha Milik
Negara sebagaimana telah diubah dengan Peraturan Menteri
Negara Badan Usaha Milik Negara Nomor PER-09/MBU/2012;
9. Anggaran Dasar PT PLN (Persero);
10. Keputusan Menteri Badan Usaha Milik Negara Selaku Rapat
Umum Pemegang Saham Perusahaan (Persero) PT Perusahaan
Listrik Negara Nomor SK-272/MBU/2014 tentang Pemberhentian
dan Pengangkatan Anggota-Anggota Direksi Perusahaan
Perseroan (Persero) PT Perusahaan Listrik Negara;
11. Keputusan Menteri Badan Usaha Milik Negara Selaku Rapat
Umum Pemegang Saham Perusahaan (Persero) PT Perusahaan
Listrik Negara Nomor SK-211/MBU/10/2015 tentang
Pemberhentian dan Pengangkatan Anggota-Anggota Direksi
Perusahaan Perseroan (Persero) PT Perusahaan Listrik Negara;
12. Keputusan Menteri Badan Usaha Milik Negara Selaku Rapat
Umum Pemegang Saham Perusahaan Perseroan (Persero) PT
Perusahaan Listrik Negara Nomor SK-138/MBU/07/2017 tentang
Pemberhentian, Perubahan Nomenklatur Jabatan, Pengalihan
Tugas, dan Pengangkatan Anggota-anggota Direksi Perusahaan
Perseroan (Persero) PT Perusahaan Listrik Negara;
13. Keputusan Menteri Badan Usaha Milik Negara Selaku Rapat
Umum Pemegang Saham Perusahaan Perseroan (Persero) PT
Perusahaan Listrik Negara Nomor SK-109/MBU/05/2019 tentang
Pemberhentian, Pengalihan Tugas, dan Pengangkatan Anggota-
anggota Direksi Perusahaan Perseroan (Persero) PT Perusahaan
Listrik Negara;
14. Keputusan Menteri Badan Usaha Milik Negara Selaku Rapat
Umum Pemegang Saham Perusahaan Perseroan (Persero) PT
Perusahaan Listrik Negara Nomor SK-169/MBU/08/2019 tentang
Pemberhentian Anggota Direksi Perusahaan Perseroan (Persero)
PT Perusahaan Listrik Negara;
15. Keputusan Sekretaris Kementerian Badan Usaha Milik Negara
Nomor SK-16/S.MBU/2012 tentang Indikator/Parameter Penilaian
dan Evaluasi atas Penerapan Tata Kelola Perusahaan Yang Baik
(Good Corporate Governance) pada Badan Usaha Milik Negara;
2 dari 70
16. Keputusan Direksi PT PLN (Persero) Nomor 304.K/DIR/2009
tentang Batasan Kewenangan Pengambilan Keputusan di
Lingkungan PT PLN (Persero) sebagaimana telah beberapa kali
diubah, terakhir dengan Keputusan Direksi PT PLN (Persero)
Nomor 0313.K/DIR/2014;
17. Peraturan Direksi PT PLN (Persero) Nomor 0051.P/DIR/2018
tentang Organisasi dan Tata Kerja PT PLN (Persero) sebagaimana
telah diubah dengan Peraturan Direksi PT PLN (Persero) Nomor
0101.P/DIR/2019.
MEMUTUSKAN:
Menetapkan : PERATURAN DIREKSI PT PLN (PERSERO) TENTANG PEDOMAN
UMUM PENERAPAN MANAJEMEN RISIKO DI LINGKUNGAN PT PLN
(PERSERO).
Pasal 1
Ketentuan Umum
3 dari 70
6. Direksi adalah Organ Perusahaan yang bertanggung jawab atas pengelolaan
Perusahaan sesuai dengan maksud dan tujuan Perusahaan yang terdiri dari seorang
Direktur Utama sebagai koordinator dengan beberapa Direktur sebagai anggota dalam
batasan yang diatur oleh peraturan perundang-undangan yang berlaku dan Anggaran
Dasar Perusahaan.
7. Direktur adalah anggota Direksi yang ditunjuk untuk memimpin satuan kerja pada
Direktorat.
8. Senior Executive Vice President yang selanjutnya disingkat SEVP, adalah sebutan
pemangku jabatan struktural yang memiliki kewenangan dan sebagai penanggung jawab
departemen.
9. Chief Audit Executive yang selanjutnya disingkat CAE, adalah sebutan pemangku
jabatan struktural yang memiliki kewenangan dan sebagai penanggung jawab Satuan
Pengawasan Intern.
10. Corporate Secretary yang selanjutnya disingkat CRS, adalah sebutan pemangku jabatan
struktural yang memiliki kewenangan dan sebagai penanggung jawab Sekretariat
Perusahaan.
11. Senior Vice President yang selanjutnya disingkat SVP, adalah jabatan struktural 1 (satu)
tingkat dibawah Direktur Utama yang mengelola Divisi Hukum Korporat dan bertanggung
jawab langsung kepada Direktur Utama.
12. Executive Vice President yang selanjutnya disingkat EVP, adalah jabatan struktural 1
(satu) tingkat dibawah Direksi/SEVP yang mengelola Divisi dan bertanggung jawab
langsung kepada Direksi/SEVP.
13. General Manager yang selanjutnya disingkat GM, adalah sebutan pemangku jabatan
struktural yang memiliki kewenangan dan sebagai penanggung jawab UI.
14. Kantor Pusat yang selanjutnya disingkat KP, adalah Induk Organisasi PT PLN (Persero).
15. Direktorat yang selanjutnya disingkat DIT, adalah satuan kerja yang dipimpin oleh
Direktur.
16. Satuan Pengawasan Intern yang selanjutnya disingkat SPI, adalah satuan kerja di
lingkungan Perusahaan yang mempunyai fungsi untuk melakukan pengawasan intern
yang dipimpin oleh CAE.
17. Departemen yang selanjutnya disingkat DEP, adalah satuan kerja satu tingkat dibawah
Direktur Utama yang Dipimpin oleh SEVP.
18. Sekretariat Perusahaan yang selanjutnya disingkat SETPER, adalah satuan kerja yang
menjalankan fungsi kesekretariatan perusahaan dan dimpimpin oleh CRS.
19. Divisi adalah satuan kerja pada KP/DIT/DEP yang dipimpin oleh EVP.
20. Unit Induk yang selanjutnya disingkat UI, adalah organisasi satu tingkat di bawah Kantor
Pusat yang melaksanakan kegiatan usaha tertentu sesuai dengan tujuan Perusahaan,
termasuk Pusat-Pusat yang merupakan organisasi setara UI yang melaksanakan
kegiatan pendukung Perusahaan.
21. Unit Pelaksana yang selanjutnya disingkat UP, adalah organisasi satu tingkat dibawah
UI yang melaksanakan kegiatan usaha tertentu sesuai dengan tujuan dan kegiatan
Perusahaan.
22. Anak Perusahaan adalah badan usaha yang minimum 51% (lima puluh satu persen)
dimiliki oleh Perusahaan yang melakukan kegiatan usaha sesuai dengan tujuan masing-
masing Anak Perusahaan.
4 dari 70
23. Pemangku Kepentingan (stakeholders) adalah individu, kelompok, dan organisasi yang
mempunyai kepentingan dan dapat mempengaruhi, dipengaruhi, atau merasa
dipengaruhi oleh Perusahaan.
24. Laporan Manajemen Perusahaan adalah laporan yang memuat pelaksanaan Rencana
Kerja dan Anggaran Perusahaan (RKAP).
25. Risiko (risk) adalah efek dari ketidakpastian terhadap sasaran.
26. Efek adalah penyimpangan dari sasaran yang diharapkan. Penyimpangan ini dapat
negatif, positif, atau keduanya. Dampak ini dapat timbul sebagai akibat dari suatu
tindakan atau kegagalan dari penanganan suatu peluang atau ancaman.
27. Ketidakpastian adalah keadaan, meskipun hanya sebagian, kekurangan informasi yang
berkaitan dengan pemahaman atau pengetahuan, kejadian, dampaknya, atau
Kemungkinan Kejadian.
28. Manajemen Risiko (Risk Management) adalah aktivitas terkoordinasi untuk
mengarahkan dan mengendalikan organisasi dalam kaitannya dengan risiko.
29. Fungsi Manajemen Risiko adalah fungsi di lingkungan Perusahaan yang bertugas untuk
memastikan terlaksananya Manajemen Risiko berdasarkan kaidah yang benar pada
seluruh kegiatan Perusahaan dan tersedianya informasi pengelolaan risiko bagi Direksi
dan informasi pengawasan dalam pengelolaan risiko bagi Dewan Komisaris, sebagai
referensi dalam pengambilan keputusan.
30. Pemilik Risiko (Risk Owner) adalah pejabat atau individu atau kelompok individu tertentu
yang diberikan tugas dan atau kewenangan tertentu oleh Perusahaan.
31. Selera Risiko (Risk Appetite) adalah Tingkat Risiko yang dapat diterima/diambil
Perusahaan dalam mencapai sasarannya.
32. Toleransi Risiko (Risk Tolerance) adalah kesiapan organisasi atau pemangku
kepentingan untuk menanggung suatu risiko tertentu setelah perlakuan risiko dalam
rangka mencapai sasarannya.
33. Risiko Utama (Key Risks) adalah risiko-risiko utama yang dihadapi perusahaan dalam
jangka panjang maupun jangka pendek, yang berpotensi menghambat pencapaian
sasaran Perusahaan atau mengancam kelangsungan usaha maupun sumber daya
Perusahaan.
34. Tingkat Risiko (Level of Risk) adalah Tingkat Risiko yang dinyatakan berdasarkan
perpaduan tingkat kemungkinan terjadinya risiko dengan tingkat dampak yang
ditimbulkannya.
35. Matriks Risiko (Risk Matrix) adalah peta/matriks penilaian risiko yang digunakan untuk
menggambarkan Tingkat Risiko terhadap Selera Risiko Perusahaan.
36. Penyebab Risiko (risk source) adalah elemen yang secara mandiri atau dalam kombinasi
memiliki potensi untuk menimbulkan risiko.
37. Peristiwa (event) adalah kejadian atau perubahan suatu set dari kondisi, dapat berupa
suatu yang diharapkan tidak terjadi atau tidak diharapkan namun terjadi, yang dapat
memiliki beberapa penyebab dan beberapa dampak, serta dapat menjadi penyebab
risiko.
38. Dampak (consequence) adalah hasil keluaran suatu peristiwa yang memengaruhi
sasaran.
39. Kemungkinan Kejadian (likelihood) adalah kemungkinan suatu peristiwa terjadi.
5 dari 70
40. Penanganan Risiko adalah segala tindakan yang diambil oleh manajemen untuk
mengelola risiko serta memberikan keyakinan (assurance) yang wajar terhadap
pencapaian tujuan dan sasaran yang telah ditentukan.
41. Pengendalian Risiko (Kontrol Eksisting) adalah Penanganan Risiko yang sudah ada
untuk memelihara dan/atau memodifikasi risiko.
42. Perlakuan Risiko (Mitigasi) adalah Penanganan Risiko tambahan untuk memodifikasi
risiko.
43. Taksonomi Risiko adalah pengelompokan risiko dan permasalahan yang telah/sedang
dihadapi Perusahaan guna menyiapkan penanganan yang sistematis.
44. Key Risk Indicator (KRI) atau Indikator Risiko Utama merupakan sebuah indikator yang
dapat mengindikasikan tingkat kemungkinan terjadinya risiko atau potensi dampak dari
sebuah Peristiwa risiko.
45. Manajemen Risiko atau Pengelolaan Risiko adalah proses terstruktur untuk mengelola
risiko yang dihadapi perusahaan dalam mencapai sasaran, berupa proses sistematis dan
berkesinambungan untuk mengidentifikasi dan mengukur Tingkat Risiko-risiko, serta
menentukan tindakan terbaik dalam mengurangi kemungkinan terjadinya risiko,
memperkecil dampak yang ditimbulkannya (atau kedua-duanya), maupun langkah
lainnya guna memastikan/menciptakan keyakinan bahwa sasaran perusahaan dapat
dicapai.
46. Risk Register adalah dokumen atau database yang memuat daftar risiko-risiko yang
telah diidentifikasi beserta hasil analisis dan penanganannya terkait dengan kegiatan
atau aktivitas.
47. Profil Risiko (Risk Profile) adalah dokumen Manajemen Risiko yang memaparkan risiko
utama yang berpotensi menghambat/menggagalkan pencapaian sasaran perusahaan,
baik sasaran jangka panjang yang tertuang dalam Rencana Usaha Penyediaan Tenaga
Listrik (RUPTL) dan Rencana Jangka Panjang Perusahaan (RJPP), maupun sasaran
jangka pendek yang tertuang dalam RKAP, beserta rencana penanganan dan
penanggung jawabnya.
Pasal 2
Maksud dan Tujuan
(1) Maksud dikeluarkannya Peraturan ini adalah sebagai panduan bagi seluruh Pemilik
Risiko di lingkungan Perusahaan dalam pengelolaan risiko Perusahaan.
(2) Tujuan dikeluarkannya Peraturan ini adalah sebagai standar kerangka penerapan
Manajemen Risiko sehingga implementasinya dapat dilakukan secara selaras dan
terintegrasi.
Pasal 3
Tujuan Penerapan
6 dari 70
3. Menjaga agar Perusahaan tetap dalam koridor pengelolaan usaha yang berkehati-hatian
dalam setiap aktivitas yang dilakukannya, sebagai bentuk tata kelola Perusahaan yang
baik (Good Corporate Governance) guna meningkatkan nilai tambah bagi Perusahaan.
Pasal 4
Sasaran Penerapan
Pasal 5
Strategi Penerapan
Strategi yang diterapkan dalam penerapan Manajemen Risiko adalah sebagai berikut:
1. Memprioritaskan tahapan penerapan Manajemen Risiko dari sasaran yang strategis.
2. Menjadikan Manajemen Risiko sebagai bagian integral dari proses bisnis dan
pengambilan keputusan.
3. Membangun keselarasan pengelolaan risiko antar satuan organisasi dalam lingkungan
Perusahaan.
4. Menentukan road map tahapan implementasi, serta memantau dan meningkatkan
secara terus-menerus kematangan implementasi Manajemen Risiko, yaitu tingkat
pemahaman, komitmen, sistem, maupun penerapan Manajemen Risiko di lingkungan
Perusahaan.
5. Membangun kompetensi yang relevan secara berkelanjutan melalui awareness, capacity
building, maupun lesson learned atas permasalahan yang pernah terjadi.
6. Membangun komunikasi dan konsultasi secara berkelanjutan dengan seluruh pemangku
kepentingan.
Pasal 6
Lingkup Penerapan
(1) Pada prinsipnya setiap Pemilik Risiko di Perusahaan berkewajiban mengelola risikonya,
dan setiap proses bisnis wajib dikelola risikonya sesuai ketentuan Perusahaan.
7 dari 70
c. seluruh proses bisnis Perusahaan, termasuk di dalamnya adalah proses pelaporan
dalam rangka continuous improvement;
d. aspek kepatuhan.
(3) Manajemen Risiko diterapkan pada seluruh unsur organisasi dalam Perusahaan, namun
pemantauan secara korporat dilakukan hanya sampai dengan UI dan Anak Perusahaan,
kecuali untuk risiko tertentu yang secara spesifik akan mempengaruhi keberlangsungan
usaha Perusahaan.
(4) Manajemen Risiko yang spesifik pada bidang, fungsi, proses bisnis, maupun kebutuhan
tertentu dapat ditetapkan dalam ketentuan tersendiri, namun tetap mengacu pada
Peraturan ini, antara lain Manajemen Risiko Keuangan, Manajemen Risiko Proyek,
Manajemen Risiko Teknologi Informasi, Fraud Risk Management, Manajemen Risiko
Kelangsungan Usaha (Business Continuity), Risiko Keselamatan dan Kesehatan Kerja,
dan Implementasi Pengendalian Internal, termasuk di dalamnya pengendalian internal
dalam pelaporan keuangan atau Internal Control of Financial Reporting (ICoFR).
(5) Pedoman ini dapat digunakan sebagai dasar untuk mendorong penerapan Manajemen
Risiko ke Pemangku Kepentingan eksternal yang mempunyai peran signifikan terhadap
Perusahaan.
Pasal 7
Tugas dan Tanggung Jawab
Tugas dan tanggung jawab dalam penerapan Manajemen Risiko adalah sebagai berikut:
1. Direksi:
a. Menetapkan kebijakan penerapan Manajemen Risiko di lingkungan Perusahaan,
termasuk didalamnya adalah penetapan Matriks Risiko yang digunakan di
Perusahaan beserta Selera Risiko.
b. Menetapkan, mengelola, dan memantau Risiko Utama yang dihadapi Perusahaan
dalam pencapaian sasaran strategis Perusahaan.
c. Menciptakan lingkungan internal Perusahaan yang kondusif untuk penerapan dan
peningkatan kematangan implementasi Manajemen Risiko secara berkelanjutan,
dan untuk menanamkan budaya Manajemen Risiko Perusahaan.
d. Menyediakan sumber daya yang diperlukan dalam penerapan Manajemen Risiko.
2. Divisi Manajemen Risiko:
a. Menjalankan peran sebagai second line of defense (pertahanan kedua) melalui
pelaksanaan evaluasi pengelolaan risiko secara rutin berdasarkan hasil masukan
dari first line of defense (pertahanan pertama) pada KP/UI/UP/Anak Perusahaan.
b. Untuk menjalankan tugas pokok sebagaimana dimaksud huruf pada a di atas,
Divisi Manajemen Risiko melakukan kegiatan-kegiatan sebagai berikut:
1) Memastikan keselarasan penerapan Manajemen Risiko secara keseluruhan
dengan kebijakan, strategi Perusahaan, maupun peraturan yang berlaku;
2) Mengulas dan menilai efektivitas implementasi kebijakan-kebijakan yang
terkait Manajemen Risiko Perusahaan untuk memastikan penerapannya di
Perusahaan dapat berjalan efektif;
3) Berperan sebagai risk management advisor bagi Pemilik Risiko dalam
implementasi Manajemen Risiko Perusahaan;
8 dari 70
4) Mengkoordinasikan pengelolaan Profil Risiko Perusahaan dan
melaporkannya kepada Direksi;
5) Memberikan peringatan dini kepada Direksi melalui penilaian Profil Risiko
Perusahaan maupun mekanisme lainnya;
6) Meningkatkan kematangan implementasi Manajemen Risiko Perusahaan
dengan melakukan continuous improvement sesuai road map Manajemen
Risiko;
7) Merancang pelatihan berjenjang tentang Manajemen Risiko dari tingkat
manajerial hingga tingkat pelaksana;
8) Mengkomunikasikan seluruh proses Manajemen Risiko ke seluruh unit dan
Anak Perusahaan sehingga tujuan dari implementasi Manajemen Risiko
Perusahaan tercapai.
3. Divisi Kepatuhan:
a. Menjalankan peran sebagai second line of defense fungsi kepatuhan dengan cara
memastikan terlaksananya program kepatuhan berjalan dengan baik di
Perusahaan, termasuk Anak Perusahan dan Perusahaan Afiliasi.
b. Untuk menjalankan tugas pokok sebagaimana dimaksud huruf a di atas, Divisi
Kepatuhan melakukan kegiatan-kegiatan sebagai berikut:
1) Memastikan terlaksananya kebijakan pengelolaan anti-Fraud dalam bentuk
pemetaan risiko Fraud, langkah-langkah preventif dan deteksi Fraud di
Perusahaan secara berkala, serta mengkoordinir pelaksanaannya dengan
Pemilik Risiko;
2) Melakukan evaluasi terhadap kebijakan/regulasi yang bersifat strategis dan
berdampak besar terhadap keberlangsungan Perusahaan dalam rangka
mengidentifikasi dan memitigasi potensi terjadinya Fraud;
3) Memastikan perencanaan dan pelaksanaan program peningkatan Integritas
Perusahaan termasuk Anak Perusahaan dan perusahaan afiliasi;
4) Memastikan perencanaan, pelaksanaan dan evaluasi kebijakan
pengelolaan anti-Fraud di Perusahaan serta environment yang memadai
untuk implementasi Program anti-Fraud, termasuk didalamnya Fraud Risk
Management Information System dan memfasilitasi pembangunan
kompetensi.
4. Satuan Pengawasan Intern:
a. Menjalankan peran sebagai third line of defense (pertahanan ketiga) melalui
pelaksanaan evaluasi pelaksanaan pengelolaan Manajemen Risiko dan
Kepatuhan secara rutin berdasarkan hasil masukan dari second line of defense.
b. Untuk menjalankan tugas pokok sebagaimana dimaksud huruf a di atas, SPI
melakukan kegiatan-kegiatan sebagai berikut:
1) Berperan sebagai fungsi assurance provider yang independen terkait
pelaksanaan Manajemen Risiko oleh Pemilik Risiko.
2) Merencanakan dan melaksanakan audit berbasis risiko untuk memastikan
fokus pada Risiko Utama Perusahaan.
3) Memberikan penilaian terhadap efektivitas penanganan Risiko Utama
Perusahaan oleh Pemilik Risiko dan memberikan rekomendasi
perbaikannya.
9 dari 70
4) Melakukan evaluasi penerapan Manajemen Risiko di lingkungan
Perusahaan secara berkala.
5) Melakukan penilaian kematangan implementasi Manajemen Risiko unit dan
Anak Perusahaan jika diperlukan.
6) Memastikan pengendalian yang ada telah berjalan secara efektif sesuai
dengan spesifikasi yang ditetapkan sebelumnya.
7) Memastikan bahwa pengelolaan risiko telah sesuai dengan kebijakan dan
pedoman Manajemen Risiko.
5. DEP/DIV/SETPER/SPI bertanggung jawab terhadap penerapan Manajemen Risiko
dengan cara menunjukkan komitmen dan memastikan terlaksananya proses
pengelolaan risiko di satuan kerjanya.
6. Divisi Pengembangan Regional:
a. Bertanggung jawab terhadap penerapan Manajemen Risiko di Divisinya dengan
cara menunjukkan komitmen dan memastikan terlaksananya proses pengelolaan
risiko di Divisinya;
b. Berperan sebagai risk management advisor bagi Pemilik Risiko dalam
implementasi Manajemen Risiko Regional;
c. Mengkoordinasikan pengelolaan Profil Risiko Regional dan melaporkannya
kepada Direktur Regional dan Divisi Manajemen Risiko.
7. Divisi Operasi Regional dan Divisi Konstruksi Regional:
a. Bertanggung jawab terhadap penerapan Manajemen Risiko di Divisinya dengan
cara menunjukkan komitmen dan memastikan terlaksananya proses pengelolaan
risiko di Divisinya;
b. Mengkoordinasikan pengelolaan Profil Risiko UI dibawahnya dan melaporkannya
kepada Divisi Pengembangan Regional.
8. Unit Induk/Pusat-Pusat:
a. Membangun risk awareness di lingkungan kerjanya (termasuk UP di bawahnya)
melalui sosialisasi dan penerapan proses Manajemen Risiko.
b. Bertanggung jawab terhadap penerapan Manajemen Risiko di unit kerjanya
dengan cara menunjukkan komitmen, memberikan arahan, menyiapkan sumber
daya, dan memastikan terlaksananya proses pengelolaan risiko.
c. Melakukan pengukuran tingkat kematangan implementasi pengelolaan
Manajemen Risiko pada unit kerjanya secara periodik dengan menggunakan
metode self-assessment sesuai ketentuan yang ditetapkan.
9. Direksi Anak Perusahaan:
a. Menetapkan pedoman penerapan Manajemen Risiko di lingkungan Anak
Perusahaan, diselaraskan dengan pedoman penerapan Manajemen Risiko yang
berlaku di Perusahaan, termasuk didalamnya adalah penetapan Matriks Risiko
yang digunakan di Anak Perusahaan yang menggambarkan Selera Risiko Anak
Perusahaan dengan kategori yang mengacu pada Skala Tingkat Kemungkinan
Kejadian, Skala Tingkat Dampak, dan Tingkat Risiko yang ditetapkan oleh KP.
b. Membentuk satuan kerja di bawah Direksi Anak Perusahaan yang bertugas
sebagai framework owner dalam implementasi Manajemen Risiko di lingkungan
Anak Perusahaan, dengan fungsi utama mengacu pada angka 2 di atas.
10 dari 70
c. Menetapkan, mengelola, dan memantau Risiko Utama yang dihadapi Anak
Perusahaan dalam pencapaian sasaran strategis Perusahaan.
d. Menciptakan lingkungan internal Anak Perusahaan yang kondusif untuk penerapan
dan peningkatan kematangan implementasi Manajemen Risiko secara
berkelanjutan, dan untuk menanamkan budaya Manajemen Risiko di Anak
Perusahaan.
e. Menyediakan sumber daya yang diperlukan dalam penerapan Manajemen Risiko
di Anak Perusahaan.
10. Pemilik Risiko:
a. Melakukan pengelolaan risiko pada lingkup kewenangannya secara berkelanjutan,
termasuk didalamnya merencanakan dan menindaklanjuti penanganannya.
b. Menandatangani dokumen Kajian Risiko dalam posisinya sebagai pemrakarsa
atau penanggung jawab atas suatu kegiatan/keputusan.
c. Memantau Key Risk Indicator beserta pelaksanaan dan efektivitas penanganan
risiko, serta membuat laporan sesuai ketentuan yang berlaku.
d. Mendokumentasikan proses bisnis yang ada di bidang/lingkup kewenangannya,
permasalahan yang telah terjadi, dan risiko yang berpotensi terjadi beserta
pengendaliannya, serta melakukan Control Self Assessment (CSA) secara periodik
sesuai ketentuan.
e. Mempersiapkan sumber daya yang diperlukan dalam pengelolaan risiko di bidang
kerjanya.
f. Memastikan Manajemen Risiko dipahami dan diimplementasikan oleh satuan
kerjanya.
Pasal 8
Penetapan Tingkat Risiko
(2) Skala tingkat kemungkinan kejadian yang digunakan dalam analisis risiko Perusahaan
ditetapkan dalam 5 (lima) skala sebagai berikut:
a. Sangat Kecil (A).
b. Kecil (B).
c. Sedang (C).
d. Besar (D).
e. Sangat Besar (E).
(3) Skala tingkat dampak yang digunakan dalam analisis risiko Perusahaan ditetapkan
dalam 5 (lima) skala sebagai berikut:
a. Tidak Signifikan (1).
b. Minor (2).
c. Medium (3).
d. Signifikan (4).
e. Sangat Signifikan (5).
11 dari 70
(4) Tingkat Risiko yang dihasilkan dari analisis risiko Perusahaan ditetapkan dalam 4
(empat) tingkat sebagai berikut:
a. Risiko Rendah (standar warna Hijau).
b. Risiko Moderat (standar warna Biru Muda/Cyan).
c. Risiko Tinggi (standar warna Kuning).
d. Risiko Ekstrem (standar warna Merah).
(5) Matriks Risiko yang digunakan sebagai acuan dalam Manajemen Risiko Perusahaan
adalah sebagaimana tercantum dalam Lampiran Peraturan ini.
(6) Matriks Risiko yang digunakan sebagai acuan dalam Manajemen Risiko Anak
Perusahaan, ditetapkan oleh Direksi Anak Perusahaan mengacu pada ketentuan
sebagaimana dimaksud pada ayat (2), (3), dan (4).
(7) Khusus untuk Matriks Risiko fraud akan ditetapkan tersendiri dengan mengacu pada
ketentuan sebagaimana dimaksud pada ayat (2), (3), dan (4).
Pasal 9
Selera Risiko Perusahaan
(1) Selera Risiko Perusahaan secara umum ditetapkan berupa risiko pada tingkat Moderat
dan Rendah.
(2) Risiko pada tingkat Moderat yang berpotensi meningkat ke Tinggi juga harus dilakukan
mitigasi sehingga menjaga Tingkat Risiko sekurang-kurangnya tetap pada tingkat
Moderat.
(3) Selera Risiko Perusahaan secara rinci ditetapkan secara terpisah serta diulas secara
periodik.
Pasal 10
Pedoman Umum Penerapan Manajemen Risiko
Pasal 11
Anggaran Penerapan
(1) Anggaran implementasi Manajemen Risiko pada KP merupakan bagian dari anggaran
pelaksanaan program satuan kerja masing-masing.
(2) Anggaran implementasi Manajemen Risiko pada UI, UP, dan Anak Perusahaan
merupakan dari anggaran pelaksanaan program unit kerja masing-masing.
12 dari 70
Pasal 12
Ketentuan Lain-Lain
(1) Peraturan ini diberlakukan di Anak Perusahaan berdasarkan keputusan RUPS Anak
Perusahaan.
(2) Petunjuk teknis pelaksanaan Manajemen Risiko akan diatur dalam Edaran Direksi PT
PLN (Persero).
Pasal 13
Ketentuan Penutup
Pada saat Peraturan ini mulai berlaku, maka Peraturan Direksi PT PLN (Persero) Nomor
355.K/DIR/2014 tentang Penerapan Manajemen Risiko di Lingkungan PT PLN (Persero) dan
ketentuan-ketentuan lain yang bertentangan dengan Peraturan ini dicabut dan dinyatakan tidak
berlaku.
Ditetapkan di Jakarta
pada tanggal 06 Agustus 2019
ttd
13 dari 70
LAMPIRAN I
PERATURAN DIREKSI PT PLN (PERSERO)
NOMOR : 0117.P/DIR/2019
TANGGAL : 06 AGUSTUS 2019
BAB I
ARSITEKTUR MANAJEMEN RISIKO
1.1 Arsitektur Manajemen Risiko terdiri dari tiga komponen yang saling terkait, yaitu: Prinsip
Manajemen Risiko, Kerangka Kerja Manajemen Risiko, dan Proses Manajemen Risiko.
14 dari 70
1.4.4 Penjelasan ilustrasi kerangka kerja penerapan Manajemen Risiko sebagaimana
dimaksud dalam Gambar 3, adalah sebagai berikut:
a. Kepemimpinan dan komitmen
Direksi dan Dewan Komisaris menjamin Manajemen Risiko terintegrasi dalam
seluruh aktivitas Perusahaan dengan:
1) Membangun dan menerapkan semua komponen kerangka kerja
Manajemen Risiko.
2) Menetapkan Kebijakan Umum Manajemen Risiko yang berisi komitmen
Direksi dan Pegawai PLN untuk:
a) Menerapkan Manajemen Risiko secara terpadu dan bersinergi,
mengingat risiko merupakan pertimbangan penting pada setiap
perencanaan dan pengambilan keputusan dalam mencapai tujuan
Perusahaan.
b) Memastikan setiap proses bisnis yang dijalankan di setiap tingkatan
organisasi Perusahaan aman dari efek negatif setiap risiko yang
melekat pada proses bisnis tersebut dan dapat mengoptimalkan
peluang dari efek positif yang ada.
c) Memastikan terkendalinya segala risiko yang dapat menggangu
keselamatan, keamanan dan kenyamanan para pengguna jasa
maupun pemangku kepentingan lainnya.
d) Mematuhi perundang-undangan yang berlaku sebagai cara
mengendalikan risiko legal Perusahaan.
e) Menjalankan sistem Manajemen Risiko yang berbasis pada standar
yang diakui dan berlaku di industri ketenagalistrikan.
f) Menyadari dan peduli terhadap risiko dalam setiap kegiatan yang
dilaksanakan sesuai wewenang dan tanggung jawab masing-masing.
b. Integrasi Proses Manajemen Risiko ke dalam Proses Bisnis Perusahaan
1) Setiap pengambilan keputusan Perusahaan di tingkat strategis dan
operasional harus menjadikan penilaian risiko sebagai bagian yang tidak
terpisahkan dari proses dan prosedur pengambilan keputusan (risk based
decision making).
2) Dalam hal investasi bisnis maka penilaian risiko, termasuk rencana
perlakuan risikonya merupakan satu kesatuan dengan proses analisis
kelayakan bisnis atau investasi (KKP, KKO, KKF dan/atau Kajian
Kelayakan Lainnya) sehingga pada saat pengambilan keputusan sudah
mempertimbangkan risiko yang berpengaruh terhadap pencapaian
sasaran investasi tersebut.
3) Setiap unit kerja wajib melengkapi rancangan program RKAP dengan
daftar risiko, strategi penanganan risiko, estimasi biaya penanganan risiko
dan dilengkapi informasi tentang CBA ratio (Cost Benefit Analysis Ratio)
pada setiap program yang diusulkan.
4) Sebelum RJPP/RKAP disahkan, setiap unit kerja wajib menyusun
rencana penanganan risiko sebagai bagian dari rencana kerja/kontrak
manajemen yang menjadi tanggung jawabnya.
5) Pemantauan implementasi rencana penanganan risiko menjadi bagian
dari pemantauan realisasi rencana kerja/kontrak manajemen dengan
melakukan pemantauan secara berkala oleh unit kerja.
15 dari 70
6) Unit kerja menyusun dan menyampaikan laporan pemantauan
pengelolaan risiko kepada Divisi Manajemen Risiko.
7) Divisi Manajemen Risiko memantau kebijakan proses Manajemen Risiko
telah terintegrasi dengan proses bisnis perusahaan terkait dengan proses
penyusunan dan pelaksanaan RJPP/RKAP.
c. Desain dan Pengorganisasian Kerangka Kerja Penerapan Manajemen Risiko
1) Pengenalan Konteks Perusahaan
a) Sebelum menyusun perencanaan Manajemen Risiko, maka Unit
Kerja harus mengevaluasi dan memahami pengaruh,
kecenderungan/tren, dan faktor-faktor kunci dari konteks bisnisnya
yang meliputi konteks eksternal dan internal, termasuk pengaruh dan
dampaknya terhadap pencapaian sasaran pada unit kerjanya.
b) Konteks eksternal dan internal dijelaskan pada butir 2.3.2.
2) Road Map Penerapan Manajemen Risiko
a) Road map penerapan Manajemen Risiko merupakan rencana
tahapan pengembangan penerapan Manajemen Risiko yang sejalan
dengan kebutuhan pertumbuhan Perusahaan, sebagai dasar bagi
perencanaan pengelolaan risiko per tahun.
b) Road map penerapan Manajemen Risiko Perusahaan disusun
berdasarkan kerangka maturitas organisasi dalam menerapkan
Manajemen Risiko (Risk Maturity Model) yang terdiri dari beberapa
level perkembangan, mulai dari level terendah hingga level tertinggi.
c) Divisi Manajemen Risiko merekomendasikan model maturitas risiko
untuk kemudian dilakukan penilaian tingkat maturitas pengelolaan
risiko secara berkala yang dapat digunakan sebagai dasar
penyusunan road map Manajemen Risiko Perusahaan.
d) Divisi Manajemen Risiko bertanggung jawab untuk mengkaji,
menyusun, mengevaluasi dan menyempurnakan road map
Manajemen Risiko Perusahaan serta menyampaikan rekomendasi
kepada Direksi untuk ditetapkan.
3) Struktur Tata Kelola Risiko (Risk Governance)
a) Perusahaan menjamin struktur tata kelola risiko yang memadai
sehingga penerapan Manajemen Risiko secara terintegrasi dapat
berjalan lancar. Ruang lingkup struktur tata kelola risiko mencakup
seluruh jenjang organisasi termasuk akuntabilitas dari masing-masing
pihak.
b) PLN membagi area pengelolaan risiko atas tiga bagian besar yaitu:
i. Pengelolaan risiko di tingkat korporat
ii. Pengelolaan risiko di tingkat DEP/DIV/SETPER/SPI
iii. Pengelolaan risiko di tingkat UI
c) Struktur tata kelola risiko dijelaskan pada Gambar 4.
d) Gambar 4 menunjukkan bahwa setiap sasaran di tingkat korporat
harus dijabarkan menjadi sasaran unit kerja di KP dan UI. Sebaliknya,
informasi mengenai nilai risiko di tingkat KP maupun UI diagregasikan
menjadi informasi nilai risiko korporat.
16 dari 70
e) Setiap pegawai harus mengidentifikasi dan mengendalikan risiko
yang menghambat pencapaian sasaran kerja yang menjadi tanggung
jawabnya.
f) Tanggung jawab setiap pegawai pada huruf e di atas menjadi bagian
dari sistem manajemen kinerja Perusahaan.
g) Berikut adalah penjabaran struktur tata kelola risiko PLN:
i. Dewan Komisaris
a) Dewan Komisaris merupakan pemegang mandat RUPS
untuk mengawasi pengelolaan operasional Perusahaan oleh
Direksi, termasuk di dalamnya memastikan bahwa penerapan
Manajemen Risiko berjalan secara efektif dan efisien.
b) Tanggung jawab dan wewenang Dewan Komisaris meliputi:
(1) Mengevaluasi kebijakan Manajemen Risiko korporat
sekurang-kurangnya satu kali atau lebih dalam setahun,
dalam hal terdapat perubahan faktor-faktor yang
mempengaruhi kegiatan usaha Perusahaan secara
signifikan,
(2) Mengevaluasi pertanggungjawaban Direksi atas
pelaksanaan kebijakan pengelolaan risiko yang dilakukan
minimal satu kali dalam setahun,
(3) Mengevaluasi setiap risiko yang melekat pada
permohonan atas usulan Direksi yang berkaitan dengan
aktifitas usaha Perusahaan yang melampaui
kewenangan Direksi guna tindak lanjut sesuai ketentuan
hukum yang berlaku,
(4) Dapat membentuk Komite Manajemen Risiko untuk
membantu Dewan Komisaris dalam mengawasi
penerapan Manajemen Risiko oleh Direksi.
ii. Komite Manajemen Risiko
a) Dewan Komisaris dapat membentuk Komite Manajemen
Risiko untuk membantu mengawasi penerapan Manajemen
Risiko oleh Direksi.
b) Tanggung jawab dan wewenang Komite Manajemen Risiko
meliputi:
(1) Melakukan evaluasi terhadap kesesuaian antara
kebijakan Manajemen Risiko dan pelaksanaannya serta
memberikan rekomendasi terkait hal tersebut kepada
Dewan Komisaris,
(2) Mengevaluasi berbagai risiko audit yang melekat pada
setiap program audit Perusahaan, baik oleh SPI maupun
auditor eksternal, dan memberikan rekomendasinya
kepada Dewan Komisaris,
(3) Mengkaji risiko melekat pada setiap tugas Dewan
Komisaris guna memberi rekomendasi yang tepat bagi
pengambilan keputusan maupun setiap tindakan
korporasi yang diambil oleh Dewan Komisaris.
17 dari 70
iii. Direksi
Direksi merupakan pemegang mandat RUPS dalam hal
pengelolaan operasional Perusahaan sehingga menjadi
penanggung jawab akhir pengelolaan risiko Perusahaan.
iv. Divisi Manajemen Risiko
Divisi Manajemen Risiko menjalankan fungsi pengembangan,
pemeliharaan dan evaluasi sistem Manajemen Risiko. Dalam
konteks ini, Divisi Manajemen Risiko tidak dapat mengambil allh
tanggung jawab fungsi Manajemen Risiko unit kerja dalam
mengelola risiko pada unit kerjanya.
v. Unit Kerja
a) Pimpinan unit kerja di setiap tingkatan organisasi
merupakan penanggung jawab fungsi Manajemen Risiko
pada unit kerjanya.
b) Wewenang dan tanggung jawab penanggung jawab fungsi
Manajemen Risiko unit kerja meliputi:
(1) Menentukan konteks kegiatan pada unit kerja sebagai
dasar bagi proses penilaian risiko,
(2) Mamahami karakteristik setiap risiko yang melekat
pada rangkaian kegiatan agar perlakuan risiko dapat
berjalan efektif dalam rangka lebih memastikan
pencapaian sasaran dan Key Performance Indicators
(KPI) yang telah ditetapkan,
(3) Memastikan bahwa perlakuan risiko berlangsung
secara tepat biaya.
(4) Pimpinan unit kerja dapat mengusulkan satu orang
bawahan kepada Direksi melalui Divisi Manajemen
Risiko, untuk diangkat sebagai Risk Officer guna dilatih
secara khusus dan berjenjang agar dapat memberikan
bantuan teknis dalam pelaksanaan proses Manajemen
Risiko pada unit kerja masing-masing.
(5) Memastikan bahwa proses Manajemen Risiko
terintegrasi ke dalam setiap sistem manajemen atau
proses bisnis yang dijalankan oleh unit kerja yang
dipimpinnya.
(6) Memastikan bahwa pemantauan terhadap dinamika
status risiko dapat terlaksana secara reguler melalui
rapat koordinasi pada unit kerja yang dipimpinnya, dan
melaporkan apabila terjadi kejadian risiko dan
tindakannya.
(7) Mampu menunjukkan adanya pengendalian risiko yang
efektif, dan juga adanya pemantauan dan transparansi
terhadap efektifitas pengendalian risiko tersebut.
(8) Melaporkan secara berkala profil risiko unit kerja
kepada Divisi Manajemen Risiko dalam bentuk risk
register.
18 dari 70
(9) Melaporkan secara sistematis (jelas, wajar, dan tepat
waktu) kepada Direksi setiap perubahan konteks atau
lingkungan bisnis atau kejadian risiko yang dapat
memicu perubahan profil risiko pada unit kerja yang
dipimpinnya, melalui Divisi Manajemen Risiko.
vi. Peran Individu Pegawai
Perusahaan membudayakan proses Manajemen Risiko dengan
cara memasukkan aspek-aspek relevan dari proses Manajemen
Risiko ke dalam uraian pekerjaan, penyusunan rencana kerja dan
KPI yang diturunkan dari Dewan Komisaris, Direksi, Struktural
hingga Fungsional, sehingga setiap individu dalam Perusahaan
dapat memahami:
a) Berbagai risiko yang berhubungan dengan peran dan aktifitas
masing-masing;
b) Bagaimana pengelolaan risiko terkait dengan keberhasilan
Perusahaan;
c) Bagaimana pengelolaan risiko membantu tiap individu dalam
mencapai sasaran dan target KPI individu;
d) Akuntabilitas individu terkait terkait dengan risiko tertentu dan
bagaimana tiap individu mengelolanya;
e) Bagaimana tiap individu dapat berkontribusi kepada
perbaikan berkesinambungan dari proses pengelolaa risiko;
f) Bahwa Manajemen Risiko merupakan bagian kunci dari
budaya Perusahaan; dan/atau
g) Kebutuhan laporan secara sistematis tentang timbulnya risiko
baru atau gagalnya suatu metode perlakuan yang digunakan
kepada atasan langsung.
vii. Dalam mengelola risiko pada unit kerjanya, penanggung jawab
unit dapat dibantu oleh Risk Officer.
a) Risk Officer membutuhkan kompetensi teknis dalam
memfasilitasi proses Manajemen Risiko pada unit kerja.
Perusahaan dapat menunjuk Risk Officer di tingkat unit kerja,
untuk dilatih secara khusus dalam hal penguasaan teknis
proses Manajemen Risiko agar dapat menjalankan fungsi
fasilitator pada unit kerjanya masing-masing.
b) Apabila Risk Ofiicer dimutasi, maka penanggung jawab unit
kerja dapat menunjuk penggantinya pada unit kerjanya untuk
menjalankan peran administratif, yaitu pencatatan dan
penyimpanan data risiko pada unit kerjanya masing-masing.
c) Divisi Manajemen Risiko berkoordinasi dengan Divisi Talent
Development, untuk memastikan adanya program pelatihan
berjenjang bagi para Risk Officer guna kelancaran
pelaksanaan peran fungsionalnya.
19 dari 70
viii. SPI menjalankan fungsi assurance atas pelaksanan Manajemen
Risiko di Perusahaan yaitu sebagai berikut:
a) Melakukan tinjau ulang dan evaluasi bahwa proses
Manajemen Risiko baik desain dan implementasinya telah
berjalan sesuai dengan prinsip dan kerangka kerja
Manajemen Risiko;
b) Memastikan bahwa risiko yang dilaporkan oleh unit kerja dan
yang menjadi isu pada saat dilaksanakan audit telah dikelola
dengan baik termasuk menguji efektivitas atas pelaksanaan
perlakuan risiko; dan
c) Melakukan verifikasi atas kualitas proses penilaian risiko,
status perlakuan risiko, dan pelaporan risiko.
ix. Alokasi Sumberdaya Pengelolaan Risiko
Perusahaan mendukung kebutuhan struktur tata kelola risiko
dengan cara mengalokasikan sumber daya Perusahaaan secara
proposional dalam bentuk sebagai berikut:
a) Penyusunan RKAP dengan mempertimbangkan risiko yang
dapat mempengaruhi pencapaian sasaran Perusahaan;
b) Divisi Manajemen Risiko dan Divisi Talent Development
terkait pengembangan dan penempatan SDM dengan
kualifikasi di bidang Manajemen Risiko dengan jumlah dan
penguasaan kompetensi yang memadai sesuai kebutuhan
pada tiap tingkatan struktur organisasi; dan/atau
c) Pengembangan sistem informasi, alat bantu, dan
pengelolaan pengetahuan.
d. Pengembangan kapabilitas dan kapasitas
1) Komunikasi dan Informasi Manajemen Risiko
a) Pedoman Manajemen Risiko harus dikomunikasikan kepada seluruh
karyawan agar dapat dipahami dan dilaksanakan. Divisi Manajemen
Risiko bertanggung jawab menyusun program sosialisasi yang
sistematis dan terstruktur.
b) Setiap informasi yang relevan harus diidentifikasi, disimpan, diolah
dan dikomunikasikan dalam bentuk yang informatif Menetapkan
kewenangan, tanggung jawab, dan akuntabilitas pengelolaan risiko
sesuai dengan level organisasi.
c) Divisi Manajemen Risiko mengembangkan mekanisme komunikasi
dengan para pemangku kepentingan internal maupun eksternal
dengan tujuan untuk mendapatkan dukungan dan pertukaran
informasi yang efektif, pemenuhan kecukupan informasi sesuai
dengan kebijakan yang berlaku serta kebutuhan tata kelola yang baik
sebagaimana dimaksud dalam Gambar 5.
i. Mekanisme komunikasi tersebut juga mengatur mengenai
sumber laporan, proses penyusunan laporan serta distibusi dan
publikasi, termasuk kriteria mengenai klasifikasi kerahasiaan
yang diatur dalam peraturan tentang informasi publik di
Perusahaan.
ii. Khusus untuk publikasi informasi risiko Perusahaan kepada pihak
eksternal, dilakukan oleh Sekretariat Perusahaan.
20 dari 70
2) Akuntabilitas Pelaku Manajemen Risiko
Perusahaan memastikan bahwa peran dan tanggung jawab harus
dikomunikasikan dengan baik, didukung dan dipahami serta dilakukan
melalui uraian tugas dan KPI individu yang relevan.
Sesuai Gambar 6, pembedaan yang jelas diberlakukan bagi mereka yang
melakukan hal-hal sebagai berikut:
a) Desain atau rancang bangun sistem;
b) Implementasi sistem;
c) Evaluasi sistem; dan
d) Perbaikan berkesinambungan
3) Kompetensi Manajemen Risiko
Untuk membangun kapabilitas yang mendasar bagi pengintegrasian
Manajemen Risiko ke dalam proses bisnis perusahaan, maka strategi
pelatihan dikembangkan dengan cara sebagai berikut:
a) Menggunakan kerangka kerja dan proses Manajemen Risiko untuk
mengidentifikasi kompetensi inti yang dipersyaratkan;
b) Konsultasi dengan para pemangku kepentingan untuk memahami
harapan mereka terhadap kapabilitas pengelolaan risiko perusahaan;
c) Menyadari berbagai kendala dan kapasitas Perusahaan dalam
memenuhi harapan para pemangku kepentingan;
d) Mempertimbangkan proses yang ada saat ini dan pemahaman
terhadap Manajemen Risiko;
e) Membangun sumberdaya secara efektif terkait dengan kapabilitas,
SDM, proses dan sistem dalam perusahaan; dan/atau
f) Melakukan kaji ulang secara reguler terhadap efektifitas strategi
pelatihan.
e. Evaluasi dan Perbaikan Berkelanjutan
1) Jaminan pengawasan efektif dilakukan oleh SPI.
2) Perusahaan mengembangkan proses pemantauan dan tinjauan dengan
mempertimbangkan apakah:
a) Kerangka dan proses yang digunakan telah menghasilkan output
yang diharapkan;
b) Pemangku kepentingan menerima informasi yang cukup untuk dapat
menjalankan peran dan tanggung jawab mereka dalam struktur tata
kelola risiko Perusahaan;
c) Seluruh struktural/pegawai Perusahaan memiliki keahlian
Manajemen Risiko yang mencukupi sejalan dengan tuntutan tugas
dan tanggung jawab pengelolaan risiko yang harus dilaksanakan
sehari-hari;
d) Kerangka dan proses telah sesuai dengan tujuan pengelolaan risiko
dan selaras dengan tujuan dan sasaran Perusahaan; dan
e) Sumber daya untuk mengelola risiko dialokasikan dalam jumlah yang
memadai.
21 dari 70
Dalam melaksanakan proses pemantauan dan tinjauan, Perusahaan
meminta umpan balik dari pegawai dan para pemangku kepentingan
lainnya agar Perusahaan dapat menerapkan Manajemen Risiko yang
lebih baik di masa depan sebagaimana dimaksud dalam Gambar 7.
3) Peningkatan Ketahanan dan Kelangsungan Bisnis
Divisi Manajemen Risiko memastikan bahwa semua risiko yang
berpengaruh terhadap ketahanan dan kelangsungan bisnis inti
Perusahaan, telah teridentifikasi dan terkelola dengan baik untuk
menjamin ketahanan dan kelangsungan bisnis Perusahaan.
4) Membangun Best Practice dan Networking
Perusahaan akan bekerja sama dengan pihak eksternal yang
berkompeten untuk meningkatkan penguasaan metode/teknik
Manajemen Risiko yang tersedia dan berbagi informasi Manajemen
Risiko dengan khalayak yang lebih luas, dengan berperan aktif pada
asosiasi atau forum di bidang Manajemen Risiko dan industri
ketenagalistrikan, studi banding, dan berbagi pengetahuan atau focus
group discussion.
5) Indikator Kinerja
a) PLN menetapkan hasil dari setiap tahap proses Manajemen Risiko
sebagaimana dimaksud dalam Tabel 2.
b) Divisi Manajemen Risiko merancang dan meninjau format dan
formula pengukuran kinerja pengelolaan risiko yang dilakukan oleh
para pengelola risiko berdasarkan pencapaian hasil di atas.
6) Evaluasi Realisasi Proses Manajemen Risiko
a) Kinerja pengelolaan risiko memuat pelaporan yang mencakup
pencapaian hasil proses Manajemen Risiko.
b) Dinamika pencapaian hasil dari setiap tahap proses Manajemen
Risiko senantiasa dikomunikasikan kepada atasan langsung dan
bilamana perlu kepada pimpinan yang lebih tinggi.
c) Pelaporan pengelolaan risiko meliputi antara lain:
i. Laporan hasil penilaian risiko yang menjadi bagian dari
rancangan RKAP;
ii. Laporan rencana perlakuan risiko yang menjadi bagian dari
laporan Manajemen Risiko;
iii. Laporan Profil Risiko yang menjadi bagian dari laporan
Manajemen Risiko;
iv. Laporan status risiko korporat yang menjadi sumber informasi
pengambilan keputusan strategi di tingkat korporat;
v. Laporan informasi profil risiko untuk konsumsi eksternal (misalnya
Laporan Manajemen);
vi. Laporan lainnya yang diminta oleh Direksi; dan/atau
vii. Risk register yang menjadi pusat database informasi Manajemen
Risiko dengan menggunakan teknologi informasi.
d) Divisi Manajemen Risiko menyampaikan laporan kinerja pengelolaan
risiko dari pengelola risiko berdasarkan indikator kunci keberhasilan
pengelolaan risiko, secara berkala kepada Direksi.
22 dari 70
e) Dewan Komisaris, Direksi, dan pimpinan unit kerja di setiap tingkatan
manajemen secara reguler menerima laporan untuk memonitor
perkembangan realisasi RKAP dan efektifitas sistem Manajemen
Risiko.
f) Bilamana perlu sesuai permintaan Direksi, maka laporan risiko
ekstrem dapat disampaikan oleh unit kerja langsung kepada Direksi,
yang mana risiko tersebut berpotensi mengganggu kegiatan
operasional di tingkat korporat.
g) Divisi Manajemen Risiko berkoordinasi dengan unit kerja terkait
melakukan pemantauan dan pengkajian ulang efektifitas mekanisme
pelaporan dalam rangka memastikan bahwa informasi Manajemen
Risiko dapat dipertanggungjawabkan sesuai tata kelola perusahaan
yang baik.
7) Tingkat Kematangan Manajemen Risiko
a) Tingkat pemahaman, komitmen dan implementasi Manajemen Risiko
di lingkungan Perusahaan diukur melalui tingkat kematangan
Manajemen Risiko (risk management maturity) yang untuk
selanjutnya disebut dengan risk maturity.
b) Penilaian risk maturity Perusahaan dilakukan satu tahun dua kali
melalui penilaian risk maturity.
c) Penilaian risk maturity dimaksudkan untuk:
i. Mendapatkan gambaran tingkat kematangan saat ini, dan
membandingkan (gap analysis) dengan road map manajemen
Risiko Perusahaan;
ii. Menjadi pijakan dalam penyusunan strategi dan langkah-langkah
perbaikan proses Manajemen Risiko guna meningkatkan nilai
tambah bagi Perusahaan; dan
iii. Mengukur pencapaian target KPI Perusahaan.
d) Klasifikasi tingkat risk maturity Perusahaan ditetapkan terdiri dari 5
(lima) tingkat dengan kriteria umum sebagai berikut:
i. Initial : Bersifat ad hoc, infrastruktur belum ada, tergantung
inisiatif pada personil.
ii. Repeatable : Kebijakan sudah ada, proses sudah berulang
namun masih tergantung pada personil.
iii. Defined : Kebijakan, standar, proses telah ditetapkan dan
terlembagakan, sudah ada keseragaman/
keselarasan proses, metodologi telah dimulai.
iv. Managed : Risiko dan permasalahan telah dikelola secara
kuantitatif, sistem dan metodologi diterapkan, serta
agregasi pada enterprise wide.
v. Optimizing : Pengelolaan risiko menjadi keunggulan kompetitif
Perusahaan, penekanan pada mengambil dan
mengeksploitasi peluang.
e) Untuk kebutuhan internal, Anak Perusahaan dapat menetapkan
sendiri metode penilaian risk maturity, namun untuk kepentingan
penilaian kinerja (KPI), penilaian risk maturity Anak Perusahaan
menggunakan metode penilaian risk maturity Perusahaan.
23 dari 70
f) Kriteria dan pedoman pelaksanaan penilaian risk maturity akan
ditetapkan melalui ketentuan tersendiri.
8) Perbaikan Berkelanjutan
Berdasarkan hasil pemantauan dan evaluasi kinerja, Perusahaan akan
mengambil langkah-langkah meningkatkan mutu kerangka kerja dan
proses Manajemen Risiko secara berkelanjutan. Tindak lanjut ini
diharapkan dapat meningkatkan dan memperbaiki sistem Manajemen
Risiko Perusahaan dan implementasinya, menuju peningkatan budaya
sadar risiko.
f. Proses Pada Tingkat Operasional
1) Perusahaan menetapkam proses Manajemen Risiko pada tingkat
operasional dengan standar SNI ISO 31000:2018 yang terdiri dari tiga
tahap utama yaitu:
a) Penetapan konteks, lingkup, dan kriteria;
b) Penilaian risiko; dan
c) Perlakuan risiko;
serta tiga tahap penunjang yaitu:
a) Komunikasi & konsultasi;
b) Pemantauan dan tinjauan; dan
c) Pencatatan dan pelaporan.
2) Perusahaan juga menetapkan bahwa metode dan teknik penilaian
(identifikasi, analisis, dan evaluasi) risiko yang digunakan sesuai standar
ISO/IEC 31010 – Risk Management – Risk Assesment Technique dan
standar best practice sesuai proses bisnis masing-masing unit kerja.
3) Setiap nilai risiko yang diperoleh dari hasil penilaian risiko dan nilai
risikonya di atas batas toleransi menurut kriteria risiko yang berlaku,
pengendalian dan perlakuan risikonya akan dimasukkan ke dalam RKAP.
4) Untuk meningkatkan efisiensi waktu dan akurasi pengukuran nilai risiko,
maka perusahaan membangun sistem informasi Manajemen Risiko
berdasarkan teknologi informasi yang interaktif dan online.
5) Sistem Manajemen Risiko berdasarkan teknologi informasi paling tidak
mencakup risk register sebagai database, rencana pengendalian atau
perlakuan risiko, mekanisme pemantauan dan tinjau ulang, serta format
laporan yang digunakan untuk mengkomunikasikan hasil-hasil
pemantauan dan tinjau ulang kepada pihak terkait.
6) Divisi Manajemen Risiko memastikan sistem Manajemen Risiko
berdasarkan teknologi informasi yang terintegrasi dengan sistem
informasi terkait penyusunan, pelaksanaan, pemantauan, serta pelaporan
RKAP.
24 dari 70
1.5.2 Proses Manajemen Risiko merupakan serangkaian langkah sistematis untuk
membantu para pemilik sasaran mengelola peluang dan ancaman bagi
ketercapaian sasaran secara terukur dan terkendali.
1.5.3 Proses Manajemen Risiko dilaksanakan secara berulang (iteratif) mencakup
penerapan yang sistematis dari kebijakan, prosedur, dan berbagai pendekatan
untuk menjalankan komunikasi dan konsultasi, membangun konteks dan menilai
risiko, memberi perlakuan, memantau, meninjau ulang, mencatat dan melaporkan
kepada para pihak yang berkepentingan.
1.5.4 Rangkaian siklus proses Manajemen Risiko diilustrasikan pada Gambar 8.
1.5.5 Untuk dapat merasakan manfaat penerapannya, proses Manajemen Risiko harus
diintegrasikan menjadi bagian dari setiap proses bisnis dan proses kerja yang
dijalankan Perusahaan sehingga tidak boleh ada pelaksanaan proses bisnis dan
proses kerja yang tidak mempertimbangkan adanya risiko, baik yang berdampak
negatif dalam arti menjadi ancaman maupun berdampak positif dalam arti
memberi peluang yang bermanfaat bagi ketercapaian sasaran Perusahaan.
1.5.6 Keseluruhan proses Manajemen Risiko didokumentasikan pada risk register.
26 dari 70
1.7.7 Fungsi Kepatuhan bertanggung jawab untuk melakukan pengawasan terhadap
bagaimana fungsi bisnis dilaksanakan dalam koridor kebijakan Manajemen Risiko
dan prosedur-prosedur standar operasional yang telah ditetapkan oleh
Perusahaan.
1.7.8 SPI sebagai Pertahanan Ketiga (independent assurance), bertanggung jawab
untuk:
a. Melakukan ulasan dan evaluasi terhadap rancang bangun dan implementasi
Manajemen Risiko secara keseluruhan; dan
b. Memastikan bahwa pertahanan lapis pertama dan lapis kedua berjalan sesuai
dengan yang diharapkan.
1.7.9 Dengan diterapkannya model ini, semakin besar kemungkinan terbentuknya
budaya Manajemen Risiko yang terintegrasi di seluruh proses dan seluruh lini
Perusahaan untuk menuju ke tingkat kematangan pengelolaan Manajemen Risiko
Perusahaan yang semakin baik.
27 dari 70
BAB II
PROSES MANAJEMEN RISIKO
2.1 Proses Manajemen Risiko yang lebih rinci dijelaskan pada Gambar 12.
28 dari 70
masing pihak yang terlibat di setiap tahap tersebut agar tujuan komunikasi di
setiap tahap proses Manajemen Risiko lebih terjamin ketercapaiannya.
29 dari 70
f) Kapabilitas organisasi dalam pengertian sumber daya dan
pengetahuan yang dimiliki, misalnya: modal, waktu, orang, hak
kekayaan intelektual, proses, sistem, dan teknologi;
g) Data, sistem informasi dan proses aliran informasi;
h) Hubungan di antara pemangku kepentingan internal, terutama terkait
dengan persepsi dan nilai-nilai organisasi;
i) Hubungan kontraktual dan komitmen yang ada;
j) Saling ketergantungan dan keterkaitan;
k) Ketersediaan berbagai bahan baku yang dibutuhkan sebagai input
proses kerja menjadi output atau hasil sesuai ditargetkan dalam
rumusan sasaran;
l) Ketersediaan berbagai sarana dan prasarana yang dibutuhkan;
m) Komitmen dan kepemimpinan dari manajemen;
n) Alur proses bisnis (sequence of work) menggambarkan end-to-end
kegiatan yang akan dikaji risikonya, yang dapat dilakukan secara
mendetail maupun secara garis besar disesuaikan lingkup dan
signifikansi kegiatan yang akan dikaji guna menemukan sub proses
yang kritikal dan memudahkan proses identifikasi risiko, sebagaimana
dicontohkan pada Gambar 13; dan/atau
o) Aspek-aspek penentu keberhasilan kegiatan/sasaran yang dimaksud
seperti dicontohkan pada Gambar 14.
f. Konteks Eksternal
1) Konteks eksternal merupakan lingkungan eksternal di mana organisasi
mengupayakan pencapaian sasaran yang ditetapkannya.
2) Penelaahan konteks eksternal dan pengaruhnya terhadap pencapaian
sasaran meliputi dua hal, sebagai berikut:
a) Penelahan terhadap pengaruh persepsi dan perilaku pemangku
kepentingan eksternal; dan
b) Pemahaman terhadap pengaruh perubahan lingkungan eksternal
organisasi.
3) Pemeriksaan konteks eksternal meliputi tetapi tidak terbatas pada hal-hal
sebagai berikut:
a) Analisis Pemangku Kepentingan
Mengidentifikasi Pemangku Kepentingan internal dan eksternal yang
terkait dengan konteks Profil/Kajian Risiko yang akan dibuat, beserta
kepentingannya terhadap perusahaan/kegiatan yang akan dikaji
risikonya. Hasil analisis Pemangku Kepentingan dapat digunakan
sebagai salah satu acuan dalam identifikasi risiko. Hal-hal yang perlu
diperhatikan antara lain sebagai berikut:
i. Kecenderungan dan gerakan-gerakan yang mempengaruhi
sasaran organisasi;
ii. Harapan, nilai, kebutuhan, persepsi dan hubungan dengan para
pemangku kepentingan eksternal;
iii. Komitmen dan hubungan kontraktual yang ada dengan pihak lain;
dan/atau
30 dari 70
iv. Kompleksitas jaringan kerja dan juga saling ketergantungan yang
ada.
b) Pemetaan Lingkungan Makro
i. Penelaahan pengaruh lingkungan eksternal terhadap pencapaian
sasaran dapat menggunakan metode PESTLE, yaitu Politic
(Politik), Economy (Ekonomi), Social (Sosial Budaya),
Technology (Teknologi), Legal (Hukum), dan Environment
(Lingkungan).
ii. Perusahaan harus mengidentifikasi kondisi perubahan terkini dari
keenam faktor PESTLE ini, kemudian melakukan analisis
pengaruhnya terhadap pencapaian sasaran apakah cenderung
bersifat ancaman atau peluang. Data peluang dan ancaman ini
berguna pada saat identifikasi risiko positif dan risiko negatif.
2.3.3 Penetapan Kriteria Risiko
a. Kriteria risiko merupakan standar acuan yang dibutuhkan untuk menentukan
Tingkat Risiko pada saat proses analisis risiko.
b. Kriteria risiko terdiri dari kriteria tingkat kemungkinan kejadian dan tingkat
dampak risiko.
c. Tingkat Risiko yang dimaksud pada huruf a diatas mengacu pada Pasal 8
Peraturan ini.
d. Kriteria tingkat kemungkinan kejadian risiko sebagaimana dimaksud dalam
Tabel 6.
e. Kriteria tingkat dampak risiko Perusahaan sebagaimana dimaksud dalam
Tabel 7.
f. Anak Perusahaan, UI, dan UP harus menggunakan kriteria tingkat
kemungkinan kejadian risiko seperti pada Tabel 6, namun kriteria tingkat
dampak yang digunakan harus disesuaikan dengan kondisi organisasi
masing-masing.
g. Dalam menentukan kriteria tingkat dampak risiko, unit dan Anak Perusahaan
dapat merubah parameter dan/atau menambahkan parameter baru beserta
kriteria di dalamnya, namun tetap mengacu pada parameter keuangan
(opportunity profit/loss) seperti pada Tabel 8.
h. Untuk keperluan agregasi risiko korporat, maka kriteria kemungkinan dan
dampak yang digunakan adalah kriteria pada tingkat korporat. Kriteria
tersebut diulas oleh Fungsi/Tim Manajemen Risiko di unit maupun Anak
Perusahaan sesuai kebutuhan.
31 dari 70
2.4.4 Identifikasi risiko
a. Risiko pada umumnya dinyatakan dengan mengacu kepada penyebab risiko,
potensi peristiwa, dampak, dan Kemungkinan Kejadian.
b. Risiko yang lengkap adalah apabila telah mencantumkan unsur kejadian,
penyebab terjadinya, dan potensi dampak yang ditimbulkannya.
c. Identifikasi risiko merupakan proses untuk menemukenali, menguraikan, dan
mencatat ketidakpastian yang dapat menunjang atau sebaliknya menghambat
kemampuan Perusahaan dalam mencapai sasaran.
d. Dalam proses identifikasi risiko, informasi yang dikumpulkan antara lain
mencakup:
1) Penyebab Risiko;
2) Peristiwa Risiko;
3) Dampak Risiko;
a) Suatu dampak dapat pasti atau tidak pasti, serta dapat memiliki efek
positif atau negatif langsung atau tidak langsung terhadap sasaran.
b) Dampak dapat dinyatakan secara kualitatif atau kuantitatif.
c) Segala dampak dapat terealisasi melalui efek beruntun dan kumulatif
4) Pengendalian Risiko;
a) Pengendalian Risiko termasuk tetapi tidak terbatas pada, semua
proses, kebijakan, peranti, praktik, atau kondisi dan/atau tindakan lain
yang memelihara dan/atau memodifikasi risiko.
b) Pengendalian mungkin tidak selalu menghasilkan efek modifikasi
yang diharapkan atau diasumsikan.
5) Perkiraan kapan risiko terjadi dan di mana risiko itu dapat terjadi; dan
6) KRI.
e. Identifikasi risiko dapat dilakukan dengan berbagai macam teknik/metodologi,
seperti dijelaskan pada Tabel 9. Setiap identifikasi risiko harus dikaitkan
dengan sasaran Perusahaan serta memperlihatkan keterkaitan antar
kejadian.
f. Risiko dengan dampak menunjang ketercapaian sasaran dicatat sebagai
risiko positif (peluang), sedangkan risiko dengan dampak menghambat
pencapaian sasaran dicatat sebagai risiko negatif (ancaman).
g. Jenis-jenis risiko, baik bersumber dari faktor eksternal maupun internal, yang
dihadapi Perusahaan diklasifikasikan dalam 5 (lima) kategori sebagai berikut:
1) Risiko Strategis (Strategic Risk), yaitu risiko yang terkait dengan
perencanaan/pelaksanaan strategi bisnis atau perubahan regulasi
maupun lingkungan bisnis, yang dapat mempengaruhi Perusahaan dalam
skala luas dan berjangka panjang;
2) Risiko Finansial (Financial Risk), yaitu risiko yang timbul pada posisi
instrumen keuangan Perusahaan, seperti risiko pasar dan risiko likuiditas
maupun risiko pendapatan dan pajak;
3) Risiko Operasional (Operational Risk), yaitu risiko yang timbul terkait
proses operasional Perusahaan baik pada fungsi pembangkitan,
penyaluran, distribusi, pelayanan pelanggan, maupun fungsi pendukung;
32 dari 70
4) Risiko Proyek (Project Risk), yaitu risiko yang timbul pada usaha
pembangunan aset Perusahaan, pengadaan maupun kegiatan lainnya
yang bersifat proyek; dan
5) Risiko Kepatuhan (Compliance risk), yaitu risiko yang timbul terkait
kepatuhan terhadap ketentuan/perundangan, hukum, pengendalian
internal, pelaporan, audit dan aspek lainnya yang dapat mempengaruhi
Perusahaan.
h. Taksonomi Risiko menggunakan metode Risk Breakdown Structure (RBS)
dengan mengacu pada sasaran yang terpengaruh oleh sekelompok risiko
yang teridentifikasi. Pemberian nama Taksonomi Risiko merujuk pada jenis
sasaran yang terpengaruh misalnya Taksonomi Risiko Proyek berarti
kumpulan risiko yang mempengaruhi sasaran proyek.
i. Taksonomi Risiko Perusahaan terdapat pada Tabel 1.
j. KRI merupakan rumusan tertentu yang digunakan sebagai parameter untuk
memantau perubahan Tingkat Risiko, sekaligus sebagai peringatan dini
apabila tren indikator tersebut melampaui ambang batas yang ditetapkan.
2.4.5 Analisis Risiko
a. Analisis risiko merupakan suatu proses dalam penilaian risiko guna
menentukan Tingkat Risiko, yang dilakukan dengan mengukur tingkat
kemungkinan kejadian dan dampak yang ditimbulkannya.
b. Analisis Tingkat Kemungkinan Kejadian Risiko
1) Dalam manajemen risiko, terminologi Kemungkinan Kejadian mengacu
pada kemungkinan terjadinya sesuatu. Hal ini dapat dinyatakan secara
terukur (objektif) ataupun ditentukan secara subjektif. Dapat juga
dinyatakan secara kualitatif, kuantitatif, atau bahkan secara matematis
(probabilitas, frekuensi untuk masa tertentu).
2) Terminologi Bahasa Inggris likelihood tidak terdapat pada bahasa-bahasa
lainnya. Oleh karena itu sering diganti dengan istilah probability. Akan
tetapi dalam Bahasa Inggris, terminologi probability sering
diinterpretasikan sebagai terminologi matematik, khususnya statistik.
Oleh karena itu, dalam manajemen risiko terminologi likelihood digunakan
dalam pengertian yang luas sebagaimana terminologi probability di
bahasa-bahasa lainnya.
3) Kemungkinan Kejadian risiko diukur berdasarkan frekuensi kejadiannya
atau perkiraan probabilitas kejadiannya dalam rentang waktu tertentu.
4) Penentuan probabilitas terjadinya suatu risiko dilakukan berdasarkan data
masa lalu. Apabila data masa lalu tidak tersedia, maka dapat dilakukan
berdasarkan pendekatan, pengalaman, perkiraan, maupun pertimbangan
aspek-aspek kualitatif lainnya yang mempengaruhi terjadinya risiko di
masa yang akan datang.
c. Analisis Tingkat Dampak Risiko
1) Sebelum melakukan analisis, identifikasi dulu dampak risiko dan
parameter/ukuran yang sesuai dengan kriteria dampak yang ada.
2) Dalam hal suatu risiko memiliki lebih dari satu dampak, maka dampak-
dampak tersebut digabungkan dan/atau dikuantifikasi menjadi salah satu
parameter. Namun apabila hal tersebut tidak dapat dilakukan, maka dapat
dipilih salah satu parameter yang dianggap paling dominan atau memiliki
klasifikasi tingkat dampak yang paling tinggi.
33 dari 70
d. Analisis risiko dilakukan dengan menggunakan kriteria risiko yang telah
ditetapkan
e. Hasil analisis berupa Tingkat Risiko merupakan hasil perkalian tingkat
kemungkinan kejadian risiko dan tingkat dampak risiko.
f. Analisis risiko dapat dilakukan dengan metode kualitatif maupun kuantitatif
yang harus didukung dengan informasi/data yang relevan. Data dan hasil
analisis risiko tersebut didokumentasikan sebagai bukti pengelolaan risiko
Perusahaan. Beberapa contoh metode analisis dapat dilihat pada Tabel 9.
g. Analisis risiko dilakukan untuk mengukur Tingkat Risiko pada tahap sebagai
berikut:
1) Tingkat Risiko Saat Ini (Current Risk Level)
a) Tingkat Risiko saat ini diukur untuk mengetahui pengaruh risiko
terkini, dengan mempertimbangkan kontrol eksisting dan
efektivitasnya. Tingkat Risiko saat ini menjadi dasar keputusan perlu
tidaknya suatu risiko diberi perlakuan dan dapat digunakan untuk
penetapan kelompok risiko yang sangat berpengaruh atau dikenal
juga Top Risks.
b) Mekanisme pengendalian dapat berupa regulasi (peraturan,
ketentuan, kebijakan dan lain-lain), standar proses, prosedur, sistem,
peralatan dan sebagainya, baik yang bersifat pencegahan maupun
pemulihan.
c) Dalam menilai efektivitas Pengendalian Risiko menggunakan kategori
sebagai berikut: Sangat Efektif, Efektif, Sebagian Efektif, Kurang
Efektif, dan Tidak Efektif. Pengukuran efektivitas Pengendalian Risiko
dapat menggunakan teknik sebagaimana dimaksud dalam Tabel 10
dan Tabel 11.
2) Tingkat Risiko Residu (Residual Risk Level)
a) Tingkat Risiko residu merupakan Tingkat Risiko yang diharapkan oleh
Perusahaan dengan mengacu pada Selera Risiko yang telah
ditetapkan.
b) Tingkat Risiko residu diukur untuk mengetahui pengaruh risiko yang
masih ada setelah diberi perlakuan risiko dan menjadi dasar
keputusan perlu atau tidaknya satu risiko diberikan perlakuan
tambahan guna memastikan tingkat pengaruhnya berada pada
kondisi yang menunjang pencapaian sasaran.
34 dari 70
c. Selera Risiko digunakan sebagai acuan dalam penetapan Tingkat Risiko
Residu sesuai Selera Risiko.
2.5.2 Prioritas Risiko
a. Pada umumnya risiko yang harus dilakukan mitigasi mengacu pada Selera
Risiko, namun dalam hal keterbatasan sumber daya, maka risiko yang akan
dilakukan mitigasi dapat diprioritaskan.
b. Metode prioritas risiko diilustrasikan pada Gambar 17, dengan penjelasan
sebagai berikut:
1) Tingkat Risiko yang lebih tinggi mendapatkan prioritas penanganan yang
lebih besar. Misalnya risiko dengan tingkat Ekstrem harus lebih
diprioritaskan daripada risiko tingkat tinggi, dan risiko Tinggi harus
diprioritaskan daripada risiko Moderat. Contoh seperti pada Gambar 17
dimana risiko nomor 1, 2, dan 3 yang berada pada tingkat Ekstrem lebih
prioritas dibanding risiko nomor 4 dan 5 yang berada pada tingkat Tinggi.
2) Apabila terdapat beberapa risiko dengan tingkat yang sama, maka
prioritas penanganan diambil pada risiko dengan potensi dampak yang
lebih tinggi. Contoh seperti pada Gambar 17 dimana risiko nomor 1, 2,
dan 3 sama-sama berada pada tingkat Ekstrem. Meskipun begitu, risiko
nomor 1 lebih prioritas dibanding risiko nomor 2; sedangkan risiko nomor
2 lebih prioritas dibanding risiko nomor 3.
2.5.3 Perlakuan Risiko
a. Perlakuan risiko dilakukan untuk menurunkan risiko dengan tingkat Tinggi dan
Ekstrem ke tingkat sesuai Selera Risiko.
b. Perlakuan Risiko yang ditunjukan pada dampak negatif disebut sebagai
mitigasi risiko, penghilangan risiko, pencegahan risiko, atau pengurangan
risiko.
c. Perlakuan dan Pengendalian Risiko dapat melibatkan:
1) penghindaran risiko dengan memutuskan untuk tidak memulai atau
melanjutkan kegiatan yang menimbulkan risiko;
2) pengambilan atau peningkatan risiko untuk mengejar kesempatan;
3) penyingkiran penyebab risiko;
4) pengubahan Kemungkinan Kejadian;
5) pengubahan dampak risiko;
6) pembagian risiko dengan satu atau berbagai pihak (termasuk kontrak dan
pembiayaan risiko); dan/atau
7) mempertahankan risiko dengan keputusan yang didasarkan pada
informasi yang dianggap cukup.
d. Perlakuan risiko dapat menimbulkan risiko baru atau memodifikasi risiko yang
ada.
e. Pemilik Risiko harus mengkaji dan memilih alternatif strategi perlakuan risiko
yang tepat sebelum menyusun rencana perlakuan risiko (action plan) secara
detail.
f. Jika rencana penanganan yang lebih efektif tidak memungkinkan untuk
dilakukan, maka Pemilik Risiko memiliki pilihan untuk menghindari risiko
dengan melakukan perubahan atau tidak melakukan aktivitas yang
menimbulkan risiko tersebut.
35 dari 70
g. Jika telah dilakukan Perlakuan Risiko, namun belum mencapai Tingkat Risiko
yang diharapkan, maka perlu dilakukan kaji ulang terhadap analisis risiko
maupun penanganannya. Namun demikian pada prinsipnya Pemilik Risiko
dapat tetap mempertimbangkan untuk menerima risiko tersebut, jika dinilai
terdapat potensi peluang (opportunity) yang lebih besar.
h. Perencanaan perlakuan risiko perlu dilakukan secara sistematis dan terukur,
baik volume, waktu, sasaran hasil, biaya dan manfaat maupun penanggung
jawabnya.
i. Prioritas Penanganan Risiko
1) Prioritas penanganan risiko dapat dilakukan dengan mengukur Tingkat
Kesulitan dan Tingkat Dampak pekerjaan, mengukur rasio biaya/manfaat
(cost/benefit ratio), atau metode lainnya sesuai kebutuhan.
2) Unit dan Anak Perusahaan dapat mengembangkan metode Prioritas
Penanganan Risiko
3) Prioritas penanganan risiko diutamakan dilakukan secara kuantitatif,
dengan memperhatikan Kajian Kelayakan Operasional dan Kajian
Kelayakan Finansial/Ekonomi pekerjaan.
2.5.4 Pemantauan dan Peninjauan
a. Tujuan dari pemantauan dan peninjauan adalah untuk menjamin dan
memperbaiki kualitas keefektifan rencana pelaksanaan proses Manajemen
Risiko, implementasi, dan hasil akhir yang diharapkan.
b. Pemantauan dan peninjauan dimaksudkan untuk:
1) Memastikan proses pengendalian telah berjalan secara efektif dan efisien;
2) Mendapatkan informasi untuk perbaikan proses penilaian risiko;
3) Menganalisa dan mengambil pelajaran (lesson learned) dari perubahan-
perubahan atau deviasi yang terjadi;
4) Mendeteksi perubahan-perubahan internal dan eksternal guna merevisi
dan meninjau penanganan risiko dan prioritasnya;
5) Mendeteksi timbulnya risiko baru; dan
6) Bahan pelaporan Manajemen Risiko.
c. Pemantauan dan peninjauan dilakukan terhadap:
1) Risiko itu sendiri, antara lain: deskripsi risiko, KRI, tren, Tingkat Risiko
residual;
2) Rencana, realisasi penanganan risiko, beserta efektivitas dan deviasinya;
3) Keselarasan terhadap capaian sasaran; dan
4) Langkah korektif dan rekomendasi.
d. Pemantauan
1) Pemantauan dilakukan secara berkelanjutan terhadap:
a) Tingkat Risiko;
b) progres penanganan risiko;
c) efektivitas penanganan risiko; dan
d) tingkat deviasi pencapaian sasaran.
36 dari 70
2) Pemantauan atas risiko yang tertuang dalam Profil Risiko dan Kajian
Risiko Strategis Korporat dikoordinasikan oleh Divisi Manajemen Risiko.
3) Aktivitas pemantauan risiko, termasuk di dalamnya aktivitas kaji ulang,
dilakukan secara berkelanjutan terhadap konteks, penilaian risiko dan
penanganan risiko untuk memastikan continuous improvement.
4) Hasil audit dari Auditor Internal dapat digunakan sebagai salah satu alat
pemantauan risiko untuk menilai efektivitas Penanganan Risiko.
5) Jenis-Jenis Pemantauan
a) Hierarki pemantauan dijelaskan pada Gambar 18.
b) Pemantauan rutin merupakan pemantauan terhadap risiko dan
perlakuannya yang dilakukan secara rutin oleh Pemilik Risiko sesuai
dengan konteks dan kondisi
c) Mekanisme pemantauan rutin ditetapkan oleh Pemilik Risiko.
d) Pemantauan berkala merupakan pemantauan yang dilakukan secara
berkala oleh Pemilik Risiko, manajemen unit maupun Divisi
Manajemen Risiko.
e) Mekanisme pemantauan berkala yang dilakukan oleh Pemilik Risiko
di satuan/unit kerjanya ditetapkan oleh masing-masing Pemilik Risiko
tersebut.
f) Pemantauan tiga bulanan dilaporkan UI dan Anak Perusahaan ke KP.
g) Pemantauan sewaktu-waktu (ad hoc) merupakan pemantauan yang
dilakukan sewaktu-waktu oleh pihak lain seperti Auditor Internal,
Komite Manajemen Risiko Dewan Komisaris, Divisi Manajemen
Risiko Perusahaan.
e. Peninjauan
Peninjauan merupakan pemeriksaan atau pengkajian berkala atas kondisi
saat ini dengan fokus tertentu misalnya efektivitas pengendalian terhadap
risiko keuangan, bagaimana mempertajam analisis risiko saat ini, dan lain-
lain. Tahap dan isu peninjauan Manajemen Risiko dijelaskan pada Tabel 12.
2.5.5 Pencatatan dan Pelaporan
a. Pencatatan proses Manajemen Risiko secara umum mempunyai tiga macam
fungsi, yaitu sebagai berikut:
1) Rekaman proses pelaksanaan kegiatan, yang sekaligus menjadi sumber
informasi atas proses yang terjadi dan dapat menjadi dasar pengambilan
keputusan;
2) Menjadi bukti hukum atas apa yang telah diputuskan dan dilaksanakan,
khususnya bila terjadi sengketa hukum; dan/atau
3) Sarana preservasi pengetahuan, sebagai bagian dari proses
pengembangan berbagi pengetahuan dalam suatu organisasi.
b. Pelaporan dimaksudkan untuk menginformasikan kepada pihak pemangku
kepentingan, ataupun pihak pengambil keputusan dengan menyediakan
informasi terkini mengenai proses pengelolaan risiko.
c. Laporan Manajemen Risiko merupakan dokumen Manajemen Risiko yang
menggambarkan hasil pemantauan dan kaji ulang atas realisasi pengelolaan
risiko beserta efektivitas dan keselarasannya terhadap sasaran Perusahaan.
37 dari 70
d. Profil/Kajian Risiko merupakan bentuk pelaporan Manajemen Risiko
Perusahaan.
e. Pelaporan proses Manajemen Risiko secara umum mencakup:
1) Laporan berkala pelaksanaan proses Manajemen Risiko beserta
ringkasan aktivitas yang telah dilaksanakan dan hasil-hasil yang dicapai;
2) Laporan berkala status profil risiko sebelum dan sesudah pelaksanaan
pemberian perlakuan terhadap berbagai risiko, terutama risiko kunci; dan
3) Laporan Tahunan mencakup keseluruhan aktivitas proses Manajemen
Risiko sepanjang tahun, termasuk status profil risiko dari waktu ke waktu.
f. Anak Perusahaan menerbitkan Laporan Manajemen Risiko (triwulanan) ke
Direksi Anak Perusahaan dan Dewan Komisaris Anak Perusahaan. Laporan
ke Dewan Komisaris Anak Perusahaan ditembuskan ke Direksi Perusahaan.
g. Jenis Laporan Manajemen Risiko seperti dijelaskan pada Tabel 13.
38 dari 70
BAB III
LINGKUP PENERAPAN
3.2 Penerapan Manajemen Risiko pada Perencanaan dan Pencapaian Sasaran Perusahaan
3.2.1 Pencapaian Sasaran Strategis Perusahaan
a. Penerapan Manajemen Risiko pada proses pencapaian sasaran perusahaan
dimaksudkan untuk memberikan keyakinan bahwa sasaran perusahaan akan
tercapai, baik sasaran jangka panjang (RUPTL dan RJPP) maupun jangka
pendek (RKAP, KPI, Program Strategis lainnya).
b. Penerapan Manajemen Risiko pada proses perencanaan dan pencapaian
sasaran Perusahaan dimulai dengan penyusunan Profil Risiko Perusahaan.
c. Program Penanganan Risiko yang tertuang dalam dokumen Profil Risiko
harus ditindaklanjuti, dipantau kemajuan dan efektivitasnya oleh Pemilik
Risiko terkait.
d. Pemantauan dan pelaporan tindak lanjut Profil Risiko Korporat
dikoordinasikan oleh Divisi Manajemen Risiko
3.2.2 Pencapaian Sasaran Kegiatan/Proyek/Inisiatif
a. Sebagai bagian dari tata kelola yang baik, pada prinsipnya setiap kegiatan
proses bisnis harus dilakukan dengan mempertimbangkan risiko yang ada.
b. Penerapan Manajemen Risiko pada proses pencapaian sasaran
kegiatan/proyek/inisiatif dimulai dengan penyusunan Kajian Risiko oleh
Pemilik Risiko/pemrakarsa.
c. Program Penanganan Risiko yang tertuang dalam dokumen Kajian Risiko
tersebut harus ditindaklanjuti, dipantau kemajuan dan efektivitasnya oleh
Pemilik Risiko terkait.
d. Perlakuan Risiko yang efektif ditetapkan menjadi Pengendalian Risiko yang
permanen melalui prosedur, klausul perjanjian, dan sebagainya.
39 dari 70
3.3.3 Penerapan Manajemen Risiko untuk hal ini dilakukan dengan mengkaji ulang
proses bisnis yang ada atau rancangan proses bisnis baru, mengidentifikasi risiko
yang ada pada setiap sub proses bisnis, serta menetapkan pengendaliannya atas
setiap risiko yang teridentifikasi.
3.3.4 Proses bisnis yang telah diperbaiki dituangkan dalam prosedur yang baru.
40 dari 70
BAB IV
ASPEK MANAJEMEN RISIKO LAINNYA
41 dari 70
LAMPIRAN II
PERATURAN DIREKSI PT PLN (PERSERO)
NOMOR : 0117.P/DIR/2019
TANGGAL : 06 AGUSTUS 2019
42 dari 70
C. Gambar 3. Kerangka Kerja Penerapan Manajemen Risiko
43 dari 70
F. Gambar 6. Kuadran Pembagian Peran & Tanggung Jawab Manajemen Risiko
44 dari 70
I. Gambar 9. Proses Penyusunan Profil Risiko
Mulai Mulai
Menyusun asesmen
risiko dan rencana
penanganannya
Finalisasi
Profil Risiko Korporat
RKAP
Korporat
Mensosialisasikan Profil
Risiko Korporat dan rencana
mitigasi
1 2 3
45 dari 70
J. Gambar 10. Proses Pemantauan Profil Risiko
1 2 3
Membahas dalam rapat Melakukan evaluasi hasil pemantauan risiko dan pelaksanaan
pimpinan penanganannya
Selesai
46 dari 70
L. Gambar 12. Proses Manajemen Risiko (Modifikasi Gambar 10)
47 dari 70
O. Gambar 15. Alur Proses Asesmen Risiko
P. Gambar 16. Matriks Risiko disertai Kuadran Tingkat Risiko dan Selera Risiko
48 dari 70
Q. Gambar 17. Penentuan Prioritas Risiko
49 dari 70
T. Gambar 20. Alur Perbaikan Proses Bisnis melalui Manajemen Risiko
Mulai
Proses Bisnis
Eksisting (SOP)
Melakukan asesmen
risiko dan kontrolnya
atas proses bisnis
eksisting
Mengidentifikasi gap
dan memperbaiki
kontrol eksisting dan
menetapkan kontrol
baru
Tidak
Efektif?
Ya
Selesai
50 dari 70
U. Gambar 21. Ilustrasi Risiko dan Sasaran Unit
ttd
51 dari 70
LAMPIRAN III
PERATURAN DIREKSI PT PLN (PERSERO)
NOMOR : 0117.P/DIR/2019
TANGGAL : 06 AGUSTUS 2019
52 dari 70
Kode Level 0 Level 1 Level 2
F.3.2 Pembayaran Kewajiban
Piutang Pelanggan / Non
F.3.3
Pelanggan
F.4.1 Pendapatan Penjualan
F.4 Pendapatan
F.4.2 Pendapatan Lain-lain
F.5 Pajak F.5.1 Risiko Pajak
F.6.1 Impairment asset
F.6 Aset
F.6.2 Revaluasi aset
Kontinuitas Pasokan
O.1.1
Batubara
O.1.2 Kuantitas Batubara
O.1.3 Kualitas Batubara
O.1.4 Kontinuitas Pasokan Gas
O.1.5 Kuantitas Gas
O.1.6 Kualitas Gas
Penyaluran IGT
O.1 Energi Primer O.1.7 (Independent Gas
Transporter)
O.1.8 Kontinuitas Pasokan BBM
O.1.9 Kuantitas BBM
O.1.10 Kualitas BBM
O.1.11 Bauran Energi (Fuelmix)
54 dari 70
Kode Level 0 Level 1 Level 2
P.1.2 Desain Proyek
Keselarasan Proyek
P.1.3
Terkait
Perencanaan &
Desain P.1.4 Pelaksanaan Survey
P.1.5 Pembebasan Lahan
P.1.6 Perijinan
Sumber Pendanaan
P.2.1
Proyek
Pendanaan
P.2
Proyek P.2.2 Financial Closing (FC)
P.2.3 Disbursement
Persyaratan dan
P.3.1
Spesifikasi Pengadaan
P.3.2 Nilai Pengadaan (HPS)
Aspek Kontraktor
P.3 Pengadaan
P.3.3 (Ketersediaan, Kualifikasi,
dan Performance)
P.3.4 Proses Pengadaan
P.3.5 Kontrak/Perjanjian
Waktu Penyelesaian
P.4.1
Proyek
Pelaksanaan
P.4 Kualitas Pelaksanaan
Proyek/Konstruksi P.4.2
Proyek
P.4.3 Biaya Total Proyek
P.5.1 Serah Terima Proyek
P.5.2 Performance Pasca Proyek
P.5 Pasca Konstruksi
P.5.3 Garansi Hasil Pekerjaan
P.5.4 Benefit Akhir Proyek
K.1.1 Kerjasama Pihak Ketiga
Hak Atas Kekayaan
K.1.2
Intelektual (HAKI)
K.1 Aspek Legal
K.1.3 Tuntutan Hukum
K.1.4 Perizinan
K Kepatuhan K.1.5 Pembebasan Tanah
K.2.1 Etika / Kepatutan
Etika & K.2.2 Kecurangan (Fraud)
K.2
Kecurangan
Kerahasiaan Informasi/
K.2.3
Data
K.3 Lingkungan K.3.1 Aspek Lingkungan
55 dari 70
Kode Level 0 Level 1 Level 2
K.3.2 Sosial / Politik / Budaya
Pengendalian Internal
K.4.1
(Internal Control)
Akunting &
K.4
Pelaporan K.4.2 Pelaporan Operasional
K.4.3 Pelaporan Keuangan
K.5.1 Perencanaan Audit
K.5 Audit K.5.2 Proses dan Hasil Audit
K.5.3 Benefit Akhir Audit
K.6.1 Kecelakaan Kerja
K.6 Kecelakaan Kerja K.6.2 Kesehatan Kerja
K.6.3 Lingkungan Kerja
56 dari 70
No. Tahap Proses MR Hasil
5 Proses Evaluasi a. Evaluasi dan prioritas risiko menggunakan metode yang
Risiko konsisten.
b. Keputusan menolak/menerima risiko telah berdasarkan
data yang wajar dan berimbang terkait manfaat
dibandingkan dengan kerugiannya.
6 Proses Perlakuan a. Adanya Rencana Perlakuan Risiko diperuntukkan bagi
Risiko risiko yang diprioritaskan.
b. Rencana Perlakuan Risiko telah memperhitungkan aspek
ketersediaan sumber daya dan waktu.
c. Aktifitas pengendalian dan perlakuan risiko telah menjadi
bagian dari proses penyusunan Sasaran Kinerja Unit
Induk/Pusat-Pusat / Divisi / Satuan/Korporat dan
realisasinya.
7 Proses a. Adanya pemantauan dan kaji ulang secara reguler yang
Pemantauan dan mencakup:
Tinjauan
- manfaat dan kerugian yang diperoleh perusahaan
dalam menerima/menolak risiko;
- implementasi dan efektifitas rencana perlakuan risiko.
b. Proses pemantauan dan kaji ulang menjadi bagian dari
proses evaluasi pelaksanaan Sasaran Kinerja Unit
Induk/Pusat-Pusat / Divisi / Satuan/Korporat.
c. Proses manajemen risiko telah fokus mengatasi
ketidakpastian pencapaian sasaran dan target kinerja di
level unit kerja dan individu karyawan.
8 Proses Pencatatan a. Adanya dokumentasi proses manajemen risiko dan
dan Pelaporan berbagai keluarannya (outcomes).
b. Adanya laporan proses manajemen risiko melalui
mekanisme yang telah ditetapkan.
c. Pelaporan proses manajemen risiko menjadi aktivitas
reguler untuk menyiapkan informasi mengenai proses
manajemen risiko kepada para pihak terkait dan
pengambil keputusan.
57 dari 70
C. Tabel 3. Contoh Identfikasi RASCI
R A S C I
No
Responsible Accountable Support Consulted Informed
Pihak yang Pihak yang Pihak yang Pihak yang memiliki Pihak yang harus
bertugas bertanggung memberikan keahlian tahu menerima laporan
melaksanakan jawab dukungan data/info yang pelaksanaan
Pemeran
58 dari 70
F. Tabel 6. Kriteria Tingkat Kemungkinan Risiko Korporat
Parameter
Tingkat Probabilitas Deskripsi Kualitatif Insiden Sebelumnya
Kemungkinan
Hampir dapat Terjadi lebih dari 1 kali
E Sangat Besar >90% dipastikan dalam rentang waktu 6
akan terjadi bulan terakhir
Kemungkinan besar Terjadi 1 kali dalam rentang
D Besar 70% - 90%
akan terjadi waktu 6 bulan terakhir
Kemungkinan sama
Terjadi 1 kali dalam rentang
C Sedang >30% - <70% antara akan terjadi
waktu 1 tahun terakhir
dan tidak terjadi.
Kemungkinan kecil Tidak terjadi dalam rentang
B Kecil 10% - 30%
akan terjadi waktu 1 tahun terakhir
Hampir dapat Tidak pernah terjadi dalam
A Sangat Kecil < 10% dipastikan rentang waktu lebih dari 1
tidak akan terjadi tahun
59 dari 70
G. Tabel 7. Kriteria Tingkat Dampak Risiko Perusahaan
KATEGORI/ TIDAK SANGAT
NO MINOR MEDIUM SIGNIFIKAN
PARAMETER RISIKO SIGNIFIKAN SIGNIFIKAN
1 KEPEMIMPINAN : Keluhan pegawai Ketidakpuasan Protes pegawai Demo pegawai Terjadi mogok kerja
a. SDM secara individu sekelompok yang melibatkan dengan dalam skala luas
pegawai Serikat Pekerja. pemogokan
terbatas
b. Insiden Insiden Insiden Insiden memerlukan Insiden Insiden
memerlukan memerlukan penyelidikan oleh membutuhkan menimbulkan
penanganan oleh penanganan oleh pihak independen penjelasan ke permasalahan
atasan langsung. pihak manajemen (eksternal) pihak berwajib/ hukum.
(internal) Pemerintah
c. Citra / Reputasi Dampak tidak Dampak minimum Komplain, Sorotan media Sorotan secara
berarti, tidak berupa komplain ketidakpuasan, yang luas di nasional, dibutuhkan
menimbulkan atau demostrasi dan daerah, memicu kebijakan khusus
gangguan ketidakpuasan, sorotan media tanggapan pemerintah,
operasional tidak mengganggu memicu tanggapan pemerintah, ancaman terhadap
permanen. operasional bisnis. stakeholder, operasional bisnis bisnis jangka
operasional bisnis terhenti beberapa panjang.
terganggu. saat, diperlukan
penanganan
segera.
d. Fraud (Kecurangan) TIDAK DITOLERIR
2 PROSES BISNIS Kerusakan critical Kerusakan critical Kerusakan critical Kerusakan critical Kerusakan critical
INTERNAL : asset hanya asset asset membutuhkan asset asset membutuhkan
a. K-3 / Critical Asset membutuhkan membutuhkan perbaikan hingga 1 membutuhkan perbaikan > 6 bulan,
perbaikan minor perbaikan hingga 1 bulan perbaikan 1-6 atau penggantian
hari bulan
b. K-3 / Keselamatan Aset Kerusakan aset Kerusakan aset Kerusakan aset Aset rusak berat Aset rusak berat
ringan. ringan. sedang, (perlu perbaikan). (tidak dapat
digunakan lagi).
60 dari 70
KATEGORI/ TIDAK SANGAT
NO MINOR MEDIUM SIGNIFIKAN
PARAMETER RISIKO SIGNIFIKAN SIGNIFIKAN
c. K-3 / Keselamatan Jiwa TIDAK DITOLERIR
d. Lingkungan Tidak ada teguran Teguran dari KLH Peringatan dari KLH Denda dari KLH Penutupan lokasi,
dari KLH atau pemidanaan
oleh KLH
Terjadi Terjadi Terjadi pencemaran Terjadi Terjadi pencemaran
pencemaran pencemaran lingkungan di luar pencemaran lingkungan di luar
lingkungan namun lingkungan namun ambang batas KLH lingkungan di luar ambang batas KLH
masih dalam masih dalam dan dampak ambang batas dan dampak
ambang batas ambang batas terhadap lingkungan KLH dan dampak lingkungan bersifat
KLH dan dampak KLH dan dampak dapat diatasi (>1 lingkungan bersifat permanen, tidak
terhadap terhadap bulan) permanen, tdk dapat diatasi
lingkungan dapat lingkungan dapat dapat diatasi
diatasi segera diatasi < 1 bulan segera
e. Kelangsungan Usaha Kegiatan Kegiatan Kegiatan Kegiatan Kegiatan
perusahaan tidak perusahaan perusahaan perusahaan perusahaan
terganggu . terganggu pada 1 terganggu secara terganggu pada terganggu secara
unit, tidak terbatas dalam 1 beberapa unit luas (nasional).
mempengaruhi unit, dan
pelayanan mempengaruhi
pelayanan
f. Tuntutan Hukum Pihak Penyelesaian Penyelesaian Penyelesaian Penyelesaian Penyelesaian
Ketiga Tuntutan dilakukan Tuntutan dilakukan Tuntutan dilakukan Tuntutan dilakukan Tuntutan dilakukan
melalui melalui melalui alternatif melalui proses melalui proses
musyawarah. musyawarah, penyelesaian peradilan, mulai Peninjauan Kembali
dengan peran sengketa. dari Pengadilan Mahkamah Agung
mediator. Negeri, Banding RI.
Pengadilan Tinggi,
dan Kasasi
Mahkamah Agung
RI
61 dari 70
KATEGORI/ TIDAK SANGAT
NO MINOR MEDIUM SIGNIFIKAN
PARAMETER RISIKO SIGNIFIKAN SIGNIFIKAN
g. Pencapaian Kinerja Deviasi thd target : Deviasi thd target : Deviasi thd target : Deviasi thd target : Deviasi thd target :
Operasional (untuk Kinerja < 1% 1% - 5% 5% - 10% 10% - 20% >20%
Finansial mengacu pada
Kategori Keuangan dan
Pasar)
3 PRODUK & LAYANAN : Cakupan pada Cakupan Cakupan beberapa Cakupan pada 1 Cakupan pada 1
a. Luasan Area/Sistem beberapa pemadaman 1 Gardu Induk atau sub-sistem besar Sistem besar pada
Padam penyulang pada Gardu Induk atau sistem sedang pada pada satu waktu. satu waktu /
satu waktu. sistem kecil. satu waktu blackout sistem.
b. Keluhan Pelanggan Keluhan Keluhan Keluhan pelanggan Keluhan Demonstrasi oleh
pelanggan ke pelanggan dengan melalui surat pelanggan disorot pelanggan/ class
contact center mendatangi kantor pembaca/ media oleh media action oleh
PLN secara sosial nasional/ tuntutan sekelompok
langsung hukum oleh pelanggan
pelanggan secara
individu
4 KEUANGAN & PASAR : <0,1% dari 0,1% - 0,5% dari 0,5% - 1% dari 1% - 2% dari >2% dari
Kerugian atau Opportunity pendapatan pendapatan pendapatan pendapatan pendapatan
Loss Perusahaan satu Perusahaan satu Perusahaan satu Perusahaan satu Perusahaan satu
tahun tahun tahun tahun tahun
62 dari 70
H. Tabel 8. Acuan Penyusunan Kriteria Dampak untuk Unit dan Anak Perusahaan
TIDAK MINOR MEDIUM SIGNIFIKAN SANGAT
SIGNIFIKAN SIGNIFIKAN
< 0,1% 0,1% - 0,5% 0,5% - 1% 1% - 2% > 2%
dari:
a. Pendapatan satu tahun untuk Unit Operasional;
b. Pengeluaran satu tahun untuk Unit Cost Center; atau
c. Nilai Proyek satu tahun untuk Unit Pembangunan
63 dari 70
Proses Penilaian Risiko
64 dari 70
J. Tabel 10. Kertas Kerja Pengukuran Efektivitas Kontrol
Apakah Kontrol Apakah Apakah
dapat langsung Kontrol resmi Kontrol telah
menangani telah diterapkan
penyebab/ didokumen- dalam
dampak risiko? tasikan dan kegiatan
dikomuni- secara
kasikan? konsisten?
Ya 1 1 1
Sebagian 3 2 2
Tidak 6 3 3
+ + =
65 dari 70
L. Tabel 12. Tahap dan Isu Peninjauan Manajemen Risiko
Tahap Proses Isu untuk Peninjauan
MR
Lingkup, ▪ Apakah ada perubahan dalam konteks eksternal ataupun internal,
Konteks, dan dan apakah konteks pengelolaan risiko organisasi perlu diubah
Kriteria untuk tetap relevan?
▪ Apakah ada Pemangku Kepentingan yang harus dipertimbangkan
untuk berubah?
▪ Apakah preferensi pemangku kepentingan berubah berkaitan
dengan bagaimana Perusahaan mengelola risiko?
Identifikasi risiko ▪ Apakah sumber-sumber informasi yang digunakan untuk
mengidentifikasi risiko masih relevan dan dapat diandalkan?
▪ Apakah perubahan yang dibutuhkan untuk proses identifikasi
risiko?
▪ Apa efek perubahan ini terhadap identifikasi risiko di masa
mendatang?
▪ Apakah ada risiko baru yang harus dipertimbangkan?
Analisis risiko ▪ Apakah asumsi tentang risiko dan asumsi penilaian risiko
Perusahaan masih berlaku (valid)?
▪ Bagaimana kecocokan alat organisasi yang digunakan dalam
proses analisis risiko?
▪ Apakah mereka masih relevan?
▪ Apakah mereka telah diterapkan dengan benar?
▪ Apakah mereka yang bertanggung jawab untuk menganalis risiko
dan menilai kontrol melakukannya secara konsisten?
▪ Pernahkah ada perubahan dalam Kemungkinan Kejadian dan
Dampak Risiko?
▪ Apakah ada kebutuhan untuk memodifikasi proses penilaian risiko
organisasi berdasarkan pengalaman yang sebenarnya?
Evaluasi risiko ▪ Apakah mereka yang bertanggung jawab untik mengevaluasi risiko
melakukannya secara konsisten?
▪ Apakah prioritas risiko perusahaan berubah sebagai cerminan
perubahan pada konteks organisasi?
Perlakuan risiko ▪ Seberapa efektifkah rencana perlakuan risiko organisasi?
▪ Adakah kontrol yang efektif dan cocok untuk tujuan?
▪ Apakah risiko memerlukan perlakuan lebih lanjut atau perlu
mengubah strategi pengendalian organisasi?
▪ Apakah staf mengikuti prosedur?
▪ Apakah strategi pengendalian didukung oleh komunikasi yang tepat
termasuk dokumentasi dan pelatihan?
▪ Apakah manfaat dari perlakuan risiko diperhitungkan dengan biaya
perlakuan risiko?
66 dari 70
M. Tabel 13. Jenis Laporan Manajemen Risiko
Pihak Yang
Jenis
Isi Laporan Frekuensi Bertang- Ditujukan Kepada
Laporan
gung jawab
PROFIL • Hasil asesmen RUPTL, EVP • Direksi
RISIKO risiko utama (key RJP : Manajemen
Korporat risks) Perusahaan. menyesuai- Risiko • Dewan Komisaris
kan
• Rencana • SVP/SEVP/SVP/C
Penanganan Risiko RKAP: RS/CAE
beserta tahunan (tindak lanjut
penanggungjawab- Penanganan)
nya • UNIT/Anak
Perusahaan
(tindak lanjut
Penanganan)
PROFIL • Hasil asesmen RKAP : • General • Direksi/EVP
RISIKO risiko utama Unit. Tahunan Manager terkait/pembina
Unit
• Rencana RJP: • EVP Manajemen
Penanganan Risiko menyesuai- Risiko
beserta kan
penanggungjawab- • Auditor Internal
nya (tembusan)
• Rencana mitigasi
risiko beserta
67 dari 70
Pihak Yang
Jenis
Isi Laporan Frekuensi Bertang- Ditujukan Kepada
Laporan
gung jawab
penanggungjawab-
nya
• Analisis peluang
(untuk kajian risiko
yang digunakan
pada proses
pengambilan
keputusan)
• Rekomendasi
LAPORAN • Review atas risiko RKAP: Direksi • Dewan Komisaris
Manaje- korporat (Profil Triwulanan
men Risiko maupun RJP:
Risiko Kajian Risiko). Tahunan
Korporat
ke Dewan • Status pelaksanaan
Komisaris Penanganan Risiko
korporat dan
efektivitasnya
• Aktivitas
implementasi/impro
vement manajemen
risiko Perusahaan.
• Rekomendasi dan
usulan lainnya.
LAPORAN • Review atas risiko RKAP: EVP • Direksi
Manaje- korporat (Profil Triwulanan Manajemen
men Risiko maupun Risiko • KDIV/KS/Anak
RJP: Perusahaan
Risiko Kajian Risiko). Tahunan (tembusan).
Korporat
ke Direksi • Status pelaksanaan
Penanganan Risiko
korporat dan
efektivitasnya
• Aktivitas
implementasi/impro
vement manajemen
risiko.
• Loss event yg
terjadi pada periode
laporan
• Rekomendasi
berupa early
warning dan usulan
lainnya.
68 dari 70
Pihak Yang
Jenis
Isi Laporan Frekuensi Bertang- Ditujukan Kepada
Laporan
gung jawab
LAPORAN • Hasil review atas RKAP: • General • Direksi/EVP
Manaje- Profil Risiko Unit. Triwulanan Manager terkait/pembina
men
Risiko • Status pelaksanaan RJP: • EVP Manajemen
Penanganan Risiko Tahunan Risiko
UNIT ke
PLN Unit dan
efektivitasnya • Auditor Internal
Pusat.
(Tembusan)
• Loss event yang
terjadi pada periode
laporan.
• Ringkasan
informasi
pelaksanaan
manajemen risiko di
Unit
69 dari 70
NO URAIAN DIREKSI SEVP/SVP/ EVP CAE GM ANAK
EVP/CRS MRO PERU-
SAHAAN
b. Review & Verifikasi - - R - - -
Kajian Risiko
c. Menindaklanjuti Renc S/C/I R C/I - S S
Penanganan Risiko
d. Pemantauan KRI & S/C/I R R/C/I - S S
Penanganan Risiko
e. Pelaporan S/C/I S R I S S
4 KAJIAN RISIKO UNTUK PROSES PERSETUJUAN DIREKSI
a. Penyusunan Kajian I/C R C/I I S S
Risiko
b. Review & Verifikasi - - R - - -
Kajian Risiko
c. Menindaklanjuti Renc S/C/I R C/I - S S
Penanganan Risiko
d. Pemantauan KRI & S/C/I R R/C/I - - -
Penanganan Risiko
e. Pelaporan S/C/I S R I - -
5 KAJIAN RISIKO LAINNYA
a. Penyusunan Profil C/I R C/I - R R
Risiko
b. Menindaklanjuti Renc C/I R C/I - R R
Penanganan Risiko
c. Pemantauan KRI C/I R C/I - R R
d. Pemantauan & C/I R C/I I R R
Pelaporan
Penanganan Risiko
6 Pelaporan Loss Event I R C/I I R R
7 Asesmen Risk Maturity I S R I S S
8 Capacity Building Man. I S R/C/S S R R
Risiko
ttd
70 dari 70