INTEGRASI
STRUKTUR
DAN
PERBAIKAN KOMPREHEN
BERKESINAM SIF
BUNGAN
MENCIPTAKAN
FAKTOR NILAI DAN
MANUSIA PROTEKSI DISESUAIKAN
DAN
BUDAYA
INFORMASI
INKLUSIF
YANG
(PENYERTAAN)
TERBAIK
DINAMIS
PRINSIP
SKOPE, KONTEKS,
KRITERIA
PERBAIKAN
INTEGRASI
Komunikasi & Konsultasi
Risk Assessment
Identifikasi Risiko
KEPEMIMPINAN
DAN
Analisis Risiko
KOMITMEN
EVALUASI DISAIN
Evaluasi Risiko
Perlakuan Risiko
IMPLEMENTASI
3
4.2. Prinsip-Prinsip Manajemen Risiko
ISO 31000 menyatakan bahwa tujuan penerapan manajemen risiko adalah untuk
penciptaan dan perlindungan nilai perusahaan. Prinsip-prinsip yang ditetapkan dalam ISO 31000
memberikan panduan tentang karakteristik manajemen risiko yang efektif dan efisien serta
mengkomunikasikan nilai dan menjelaskan maksud serta tujuan. Terdapat delapan prinsip yang
disajikan dalam standar ISO 31000: 2018, dijelaskan di bawah ini:
1. Kerangka dan proses harus disesuaikan dan proporsional.
2. Keterlibatan pemangku kepentingan yang tepat dan tepat waktu diperlukan.
3. Diperlukan pendekatan terstruktur dan komprehensif.
4. Manajemen risiko merupakan bagian integral dari semua kegiatan organisasi.
5. Manajemen risiko mengantisipasi, mendeteksi dan menanggapi perubahan.
6. Manajemen risiko secara eksplisit mempertimbangkan segala keterbatasan informasi yang
tersedia.
7. Faktor manusia dan budaya mempengaruhi semua aspek manajemen risiko.
8. Manajemen risiko terus ditingkatkan melalui pembelajaran dan pengalaman.
Lima prinsip pertama memberikan panduan bagaimana penerapan manajemen risiko
berkaitan dengan desain dan perencanaan inisiatif manajemen risiko dan prinsip-prinsip ini sering
dirangkum sebagai proporsional, selaras, komprehensif dan dinamis.
Prinsip enam, tujuh dan delapan terkait dengan operasi inisiatif manajemen risiko. Artinya
hal ini menegaskan bahwa informasi terbaik yang tersedia harus digunakan dan faktor manusia
dan budaya harus dipertimbangkan dalam menerapkan manajemen risiko serta implementasi
manajemen risiko harus memastikan adanya perbaikan berkelanjutan.
INTEGRASI
STRUKTUR
DAN
PERBAIKAN KOMPREHEN
BERKESINAM SIF
BUNGAN
MENCIPTAKAN
FAKTOR NILAI DAN
MANUSIA PROTEKSI DISESUAIKAN
DAN
BUDAYA
INFORMASI
INKLUSIF
YANG
(PENYERTAAN)
TERBAIK
DINAMIS
4
b. Terstruktur dan komprehensif, pendekatan yang terstruktur dan komprehensif terhadap
manajemen risiko memberikan kontribusi terhadap hasil yang konsisten dan sebanding.
c. Disesuaikan, kerangka kerja dan proses manajemen risiko disesuaikan dan proporsional
dengan konteks eksternal dan internal organisasi terkait dengan tujuan.
d. Inklusif, keterlibatan pemangku kepentingan yang memberikan pandangan dan pengetahuan
serta persepsi. Menjadikan sebagai bahan pertimbangan dan masukan. Kondisi ini
menghasilkan peningkatan kesadaran dalam menerapkan dan mengelola risiko.
e. Dinamis, risiko bersifat dinamis sehingga risiko dapat muncul, berubah, atau retired ketika
konteks eksternal dan internal organisasi berubah. Manajemen risiko mengantisipasi,
mendeteksi, dan menanggapai perubahan tersebut dengan cara yang efektif dan tepat waktu.
f. Informasi terbaik tersedia, manajemen risiko didasarkan pada informasi dan data historis
dan terkini serta harapan masa depan. Manajemen risiko secara eksplisit mempertimbangkan
segala keterbatasan dan ketidakpastian terkait dengan informasi dan data. Informasi yang
tersedia harus tepat waktu, jelas dan relevan bagi para pemangku kepentingan.
g. Faktor manusia dan budaya, perilaku dan budaya manusia secara signifikan
mempengaruhi semua aspek dalam manajemen risiko di setiap tingkat dan tahap. Artinya
dalam menerapkan manajemen risiko di perusahaan, faktor manusia dan budaya menjadi
perhatian dan pertimbangan yang penting.
h. Perbaikan berkelanjutan, manajemen risiko terus ditingkatkan melalui pembelajaran dan
pengalaman karena risiko bersifat dinamis. Manajemen risiko tidak hanya memperbaiki
proses bisnis, tetapi juga meningkatkan kinerja perusahaan.
4.3.2. Integrasi
Mengintegrasikan manajemen risiko bergantung pada pemahaman struktur dan konteks
perusahaan. Struktur organisasi perusahaan berbeda tergantung pada tujuan, dan kompleksitas
perusahaan. Risiko dikelola di setiap bagian dalam struktur organisasi perusahaan dan setiap
orang memiliki tanggung jawab untuk mengelola risiko.
Tata kelola memandu jalannya perusahaan, hubungan eksternal dan internal serta aturan,
proses, dan praktik yang diperlukan untuk mencapai tujuan perusahaan. Struktur manajemen
menerjemahkan arah tata kelola ke dalam strategi dan tujuan terkait yang diperlukan untuk
mencapai tingkat kinerja berkelanjutan yang diinginkan dan kelangsungan hidup jangka panjang
perusahaan. Menentukan akuntabilitas manajemen risiko dan peran pengawasan dalam suatu
organisasi merupakan bagian integral dan tata kelola transaksi.
Mengintegrasikan manajemen risiko ke dalam organisasi adalah proses yang dinamis dan
berulang, dan harus disesuaikan dengan kebutuhan dan budaya perusahaan. Manajemen risiko
harus menjadi bagian dari, dan tidak terpisah dari tujuan perusahaan, pemerintahan,
kepemimpinan dan komitmen, strategi, tujuan dan operasi.
6
4.3.3. Desain
Ketika merancang kerangka kerja untuk mengelola risiko, perusahaan harus memeriksa
dan memahami konteks eksternal dan internal. Memeriksa konteks eksternal perusahaan
termasuk, tetapi tidak terbatas pada:
1. Faktor sosial, budaya, politik, hukum, peraturan, keuangan, teknologi, ekonomi dan
lingkungan, baik internasional, nasional, regional, atau lokal.
2. Pendorong utama dan tren yang mempengaruhi tujuan organisasi.
3. Hubungan, persepsi, nilai, kebutuhan, harapan pemangku kepentingan eksternal.
4. Hubungan dan komitmen kontraktual.
5. Kompleksitas jaringan dan ketergantungan.
Memeriksa konteks internal perusahaan dapat mencakup:
1. Visi, misi, dan nilai-nilai.
2. Pemerintahan, struktur organisasi, peran dan akuntabilitas
3. Strategi, tujuan, dan kebijakan dan budaya perusahaan.
4. Standar, pedoman, dan model yang diadopsi oleh perusahaan.
5. Kemampuan, sumber daya dan pengetahuan (modal, waktu, orang, kekayaan intelektual,
proses, sistem, dan teknologi)
6. Data, sistem informasi dan arus informasi.
7. Hubungan dengan pemangku kepentingan internal, dengan mempertimbangkan persepsi dan
nilai-nilai.
8. Interdependensi dan interkoneksi.
Dewan direksi dan komisaris perusahaan harus menunjukkan dan berkomitmen terhadap
penerapan manajemen risiko melalui kebijakan, pernyataan atau bentuk lain yang secara jelas
menyampaikan tujuan dan komitmen perusahaan terhadap manajemen risiko.
Komitmen harus mencakup:
1. Tujuan perusahaan untuk mengelola risiko sesuai dengan tujuan dan kebijakan terhadap
manajemen risiko.
2. Memperkuat kebutuhan untuk mengintegrasikan manajemen risiko ke dalam biaya
perusahaan secara menyeluruh dan terintegrasi.
3. Mengintegrasikan manajemen risiko ke dalam kegiatan bisnis inti dan pengambilan
keputusan.
4. Otoritas, tanggung jawab dan akuntabilitas.
5. Membuat sumber daya yang diperlukan tersedia.
6. Pengukuran dan pelaporan dalam indikator kinerja perusahaan.
7. Kaji ulang dan perbaikan.
Komitmen manajemen risiko harus dikomunikasikan dan disampaikan kepada para
pemangku kepemtingan sehingga penerapan manajemen risiko menjadi efektif. Dewan direksi
dan komisaris perusahaan harus memastikan bahwa otoritas, tanggung jawab dan akuntabilitas
untuk peran yang relevan sehubungan dengan implementasi manajemen risiko untuk menugaskan
dan mengkomunikasikan di semua tingkat organisasi dalam perusahaan. Disampaikan bahwa
manajemen risiko adalah tanggung jawab utama yang memiliki akuntabilitas dan otoritas dan
tanggung jawab untuk mengelola risiko adalah pemilik risiko (risk owner).
7
Dewan direksi dan komisars perusahaan harus memastikan alokasi sumber daya yang
tepat untuk penerapan manajemen risiko untuk penerapan manajemen risiko yang dapat
mencakup pada orang, keterampilan, pengalaman, dan kompetensi. Alokasi sumber daya
meliputi:
1. Proses dan metode perusahaan yang akan digunakan untuk mengelola risiko.
2. Proses dan prosedur yang terdokumentasi.
3. Sistem informasi dan manajemen pengetahuan
4. Pengembangan profesional dan kebutuhan pelatihan.
Perusahaan harus juga mempertimbangkan kemampuan dan kendala sumber daya yang
ada, sehingga perlu melakukan komunikasi dan konsultasi untuk mengoptimalkan keterbatasan
sumber daya agar dapat mendukung perangkat kerja dan memfasilitasi penerapan manajemen
risiko yang efektif. Komunikasi melibatkan peserta untuk berbagi informasi sehingga peserta
dapat memberikan umpan balik untuk memperbaiki implementasi manajemen risiko agar efektif.
Metode komunikasi dan konsultasi dan konten harus mencerminkan harapan para
pemangku kepentingan. Komunikasi dan konsultasi harus tepat waktu dan memastikan bahwa
informasi yang relevan dikumpulkan, dan diberikan ke unit kerja atau fungsi di perusahaan.
Diharapkan dengan melakukan komunikasi dan konsultasi akan diperoleh umpan balik dan
masukan yang konstruktif sehingga segera dapat dilakukan perbaikan.
4.3.4. Implementasi
Perusahaan harus menerapkan kerangka kerja manajemen risiko dengan:
1. Mengembangkan rencana yang sesuai termasuk waktu dan sumber daya.
2. Mengidentifikasi di mana, kapan dan bagaimana berbagai jenis keputusan dibuat di seluruh
unit kerja perusahaan, dan oleh siapa.
3. Memodifikasi proses pengambilan keputusan yang berlaku bila perlu.
4. Memastikan bahwa pengaturan perusahaan untuk mengelola risiko dipahami dan
dipraktikkan dengan jelas dan tepat.
Keberhasilan implementasi kerangka kerja membutuhkan keterlibatan dan kesadaran para
pemangku kepentingan. Hal ini memungkinkan perusahaan untuk secara eksplisit mengatasi
ketidakpastian dalam pengambilan keputusan dan juga memastikan bahwa ketidakpastian
selanjutnya dapat diperhitungkan.
Dirancang dengan benar dan diimplementasikan, kerangka manajemen risiko akan
memastikan bahwa proses manajemen risiko adalah bagian dari semua kegiatan di seluruh
perusahaan, termasuk pengambilan keputusan, dan bahwa perubahan dalam konteks eksternal
dan internal akan cukup ditangkap.
4.3.5. Evaluasi
Untuk mengevaluasi efektifitas kerangka manajemen risiko, perusahaan harus secara
berkala mengukur kinerja kerangka kerja manajemen risiko terhadap tujuannya, rencana
implementasi, indikator dan perilaku yang diharapkan menentukan juga apakah tetap cocok untuk
mendukung pencapaian tujuan perusahaan.
8
4.3.6. Perbaikan Berkelanjutan
Perusahaan harus terus memantau dan menyusun kerangka kerja manajemen risiko untuk
mengatasi perubahan eksternal dan internal. Dengan demikian perusahaan terus dapat
meningkatkan nilainya. Perusahaan harus terus meningkatkan kesesuaian, kecukupan dan
efektivitas kerangka manajemen risiko dengan proses manajemen risiko yang terintegrasi.
Peluang peningkatan yang relevan diidentifikasi sehingga perusahaan mengembangkan
rencana dan menugaskannya kepada yang bertanggungjawab untuk implementasi. Peningkatan
harus berkontribusi pada peningkatan perbaikan dalam menerapkan manajemen risiko.
SKOPE, KONTEKS,
KRITERIA
Komunikasi & Konsultasi
Risk Assessment
Identifikasi Risiko
Analisis Risiko
Evaluasi Risiko
Perlakuan Risiko
9
Sifat dinamis dan variabel dari perilaku dan budaya manusia harus dipertimbangkan dalam
proses manajemen risiko. Meskipun proses manajemen risiko sering disajikan secara berurutan,
dalam praktiknya kadang-kadang tidak berurutan.
10
Konteks eksternal dan internal
Konteks eksternal dan internal adalah lingkungan dimana organisasi berusaha
mendefinisikan dan mencapai tujuannya. Konteks proses manajemen risiko harus ditetapkan dari
pemahaman lingkungan eksternal dan internal dimana perusahaan beroperasi dan harus
mencerminkan lingkungan spesifik dari kegiatan dimana proses manajemen risiko akan
diterapkan. Memahami konteks itu penting karena:
1. Manajemen risiko terjadi dalam konteks tujuan dan kegiatan perusahaan.
2. Faktor perusahaan dapat menjadi sumber risiko.
3. Tujuan dan ruang lingkup proses manajemen risiko dapat terkait dengan tujuan perusahaan
secara keseluruhan.
Mendefinisikan kriteria risiko
Perusahaan harus menentukan kriteria untuk mengevaluasi signifikansi risiko dan untuk
mendukung proses pengambilan keputusan. Kriteria risiko harus selaras dengan kerangka
manajemen risiko dan disesuaikan dengan tujuan dan ruang lingkup spesifik dari kegiatan yang
sedang dipertimbangkan. Kriteria risiko harus mencerminkan nilai, tujuan, dan sumber daya
perusahaan dan konsisten dengan kebijakan dan pernyataan tentang manajemen risiko.
Kriteria harus didefiniskan dengan mempertimbangkan kewajiban perusahaan dan
pandangan para pemangku kepentingan. Kriteria risiko harus diterapkan pada awal proses
penilaian risiko, bersifat dinamis dan terus ditinjau dan diubah apabila diperlukan. Perihal harus
dipertimbangkan untuk menetapkan kriteria risiko:
1. Sifat dan jenis ketidakpastian yang dapat mempengaruhi hasil dan tujuan (baik nyata maupun
tidak nyata).
2. Bagaimana konsekuensi (baik positif maupun negatif) dan kemungkinan akan ditentukan dan
diukur.
3. Faktor-faktor yang berhubungan dengan waktu.
4. Konsistensi dalam penggunaan pengukuran.
5. Bagaimana tingkat risiko ditentukan.
6. Bagaimana kombinasi dan urutan berbagai risiko akan diperhitungkan.
7. Kapasitas organisasi.
Analisis risiko
Tujuan dari analisis risio adalah untuk memahami sifat risiko dan karakteristiknya serta
tingkat risikonya. Analisis risiko mempertimbangkan sumber risiko, konsekuensi, kemungkinan,
peristiwa, skenario, kontrol dan keefektifannya. Suatu peristiwa dapat memiliki banyak penyebab
dan konsekuensi sehingga mempengaruhi tujuan.
Analisis risiko dapat dilakukan dengan berbagai tingkat dengan detail dan kompleksitas,
tergantung pada tujuan analisis, ketersediaan dan keandalan informasi, dan sumber daya yang
tersedia. Teknik analisis dapat kualitatif, kuantitatif atau kombinasi dari ini, tergantung pada
keadaan dan penggunaan yang dimaksudkan.
Analisis risiko harus mempertimbangkan faktor-faktor seperti:
1. Kemungkinan kejadian dan konsekuensi.
2. Sifat dan besarnya konsekuensi.
3. Kompleksitas dan konektivitas.
4. Faktor dan volatilitas terkait waktu.
5. Efektivitas pengendalian yang ada.
6. Tingkat sensitivitas dan kepercayaan diri.
Analisis risiko dapat dipengaruhi oleh perbedaan pendapat, bias, persepsi risiko dan
penilaian. Pengaruh tambahan adalah kualitas informasi yang digunakan seperti asumsi dan
pengecualian yang dibuat serta batasan teknik dan bagaimana teknik tersebut dijalalnkan.
Pengaruh-pengaruh ini harus diertimbangkan, didokumentasikan dan dikomunikasikan kepada
pengambil keputusan.
Peristiwa yang sangat tidak pasti sulit dihitung. Ini bisa menjadi masalah ketika
menganalisis peristiwa dengan konsekuensi yang berat. Analisis risiko memberikan masalah
untuk evaluasi risko, keputusan apakah risiko perlu diperlakukan dan bagaimana strategi serta
metode perlakuan risiko yang paling tepat. Hasilnya memberikan pemahaman untuk
mengambil keputusan dan opsi melibatkan berbagai jenis dan tingkat risiko.
Evaluasi risiko
Tujuan evaluasi risiko adalah untuk mendukung keputusan yang telah diambil setelah
dilakukan analisis risiko. Evaluasi risiko membandingkan hasil analisis risiko dengan kriteria
12
risiko yang ditetapkan untuk menentukan dimana tindakan tambahan diperlukan. Evaluasi risiko
dapat menyebabkan keputusan untuk:
1. Tidak melakukan apa-apa.
2. Pertimbangkan opsi perlakuan risiko.
3. Lakukan analisis lebih lanjut untuk lebih memahami risiko.
4. Memelihara kontrol yang ada.
5. Mempertimbangkan kembali tujuan.
Keputusan harus mempertimbangkan konteks yang lebih luas dan konsekuensi aktual dan
yang dirasakan untuk pemangku kepentingan eksternal dan internal. Hasil evaluasi risiko harus
dicatat, dikomunikasikan dan kemudian divalidasi pada tingkat yang sesuai dari organisasi.
14
3. Meningkatkan kegiatan manajemen risiko.
4. Membantu interaksi dengan para pemangku kepentingan, termasuk yang memiliki tanggung
jawab dan akuntabilitas unrtuk kegiatan manajemen risiko.
15