BAB 4

MANAJEMEN RISIKO ISO 31000: 2018

4.1. Pendahuluan
Penerapan manajemen risiko berguna untuk mengelola risiko sehingga dapat melindungi
dan meningkatkan nilai perusahaan sejalan dengan meningkatkan kinerja dan mencapai tujuan
perusahaan. Pengaruh faktor eksternal dan internal terhadap perusahaan membuat ketidakpastian
dalam mencapai tujuan perusahaan. Mengelola risiko bersifat berulang dan membantu
perusahaan mencapai tujuan dengan menetapkan strategi yang tepat dan membuat keputusan
berdasarkan manajemen risiko. Mengelola risiko merupakan bagian dari tata kelola dan
kepemimpinan termasuk interaksi dengan para pemangku kepentingan.
Krisis keuangan global pada tahun 1998 dan 2008 membuat banyak perusahaan mulai
menerapkan manajemen risiko. Semakin disadari bahwa penerapan manajemen risiko yang
eksplisit dan terstruktur membawa manfaat untuk keberlangsungan bisnis perusahaan. Dengan
mengambil pendekatan proaktif terhadap risiko dan pengelolaan manajemen risiko yang efektif,
perusahaan akan mampu mencapai peningkatan empat bidang berikut:
1. Strategi, risiko yang terkait dengan berbagai opsi strategis untuk pertumbuhan perusahaan
sepenuhnya telah dianalisis, sehingga keputusan strategis yang ingin dicapai menjadi lebih
baik.
2. Taktik, pertimbangan akan diberikan pada pemilihan taktik yang tepat dan risiko yang
dihadapi perusahaan. Banyak alternatif taktik yang tersedia sehingga perusahaan akan mampu
menghadapi persaingan yang semakin ketat.
3. Operasi, peristiwa negatif berupa risiko yang dapat menyebabkan terganggunya proses bisnis
perusahaan telah diidentifikasi dan tindakan yang diambil untuk mengurangi kemungkinan
kejadian ini, meminimalkan kerugian terkait dengan biaya.
4. Kepatuhan, semakin akan meningkat karena risiko yang terkait dengan regulasi, kewajiban
hukum dan pelanggan akan dihindarkan.
Perusahaan dapat mengantisipasi dan menempatkan posisi dimana kejadian tak terduga
menyebabkan kerugian finansial, gangguan terhadap operasi perusahaan, risiko reputasi dan
hilangnya pangsa pasar dapat dimitigasi sehingga kejadian tersebut dapat diminimalkan
kerugiannya. Pemangku kepentingan sekarang berharap bahwa perusahaan mempertimbangkan
sepenuhnya risiko yang dapat menyebabkan ketidakpatuhan terhadap kewajiban hukum,
gangguan dan ketidakefisienan dalam operasi perusahaan, keterlambatan penyelesaian proyek
atau kegagalan untuk menggunakan strategi bersaing yang tepat. Terdapat peningkatan risiko dan
jumlah risiko baru yang dihadapi oleh perusahaan akibat kondisi bisnis yang berubah cepat
karena revolusi industri 4.0 sehingga pola konsumsi dan pemasaran berubah secara dratis.
Perubahan persaingan di pasar dapat menjadi lebih berisiko sehingga menimbulkan risiko
baru atau meningkatkan risiko yang telah ada. Risiko tersebut dapat berupa:
1. Volatisitas kondisi pasar dunia dan globalisasi pelanggan, pemasok, dan produk.
2. Meningkatnya persaingan di pasar dan harapan pelanggan yang lebih besar.
3. Inovasi produk dan perubahan teknologi produk dengan cepat.
2
 4. Ancaman terhadap ekonomi nasional, proteksi, dan perang dagang.
5. Potensi untuk kejahatan terorganisasi internasional dan peningkatan risiko politik.
6. Kejadian cuaca ekstrem akibat pemanasan global berakibat kehancuran.
7. Penerapan manajemen risiko ISO 31000: 2018 memiliki prinsip, kerangka kerja, dan
proses yang merupakan dasar dalam mengelola risiko agar efisien dan efektif serta konsisten.
Risiko berbasis anggaran merupakan hasil bentuk penerapan manajemen risiko, sehingga
rencana atau target perusahaan dapat terarah dan terukur dengan jelas siapa yang
bertanggungjawab terhadap risiko dikaitkan dengan kinerja pemilik resiko (risk owner).

Gambar 4.1. Prinsip, Kerangka Kerja, Proses ISO 31000:2018

INTEGRASI

STRUKTUR
DAN
PERBAIKAN KOMPREHEN
BERKESINAM SIF
BUNGAN

MENCIPTAKAN
FAKTOR NILAI DAN
MANUSIA PROTEKSI DISESUAIKAN
DAN
BUDAYA

INFORMASI
INKLUSIF
YANG
(PENYERTAAN)
TERBAIK
DINAMIS

PRINSIP

SKOPE, KONTEKS,
KRITERIA
PERBAIKAN
INTEGRASI
Komunikasi & Konsultasi

Pemantauan & Kaji Ulang

Risk Assessment

Identifikasi Risiko

KEPEMIMPINAN
DAN
Analisis Risiko
KOMITMEN
EVALUASI DISAIN

Evaluasi Risiko

Perlakuan Risiko
IMPLEMENTASI

Pencatatan dan Pelaporan

3
4.2. Prinsip-Prinsip Manajemen Risiko
ISO 31000 menyatakan bahwa tujuan penerapan manajemen risiko adalah untuk
penciptaan dan perlindungan nilai perusahaan. Prinsip-prinsip yang ditetapkan dalam ISO 31000
memberikan panduan tentang karakteristik manajemen risiko yang efektif dan efisien serta
mengkomunikasikan nilai dan menjelaskan maksud serta tujuan. Terdapat delapan prinsip yang
disajikan dalam standar ISO 31000: 2018, dijelaskan di bawah ini:
1. Kerangka dan proses harus disesuaikan dan proporsional.
2. Keterlibatan pemangku kepentingan yang tepat dan tepat waktu diperlukan.
3. Diperlukan pendekatan terstruktur dan komprehensif.
4. Manajemen risiko merupakan bagian integral dari semua kegiatan organisasi.
5. Manajemen risiko mengantisipasi, mendeteksi dan menanggapi perubahan.
6. Manajemen risiko secara eksplisit mempertimbangkan segala keterbatasan informasi yang
tersedia.
7. Faktor manusia dan budaya mempengaruhi semua aspek manajemen risiko.
8. Manajemen risiko terus ditingkatkan melalui pembelajaran dan pengalaman.
Lima prinsip pertama memberikan panduan bagaimana penerapan manajemen risiko
berkaitan dengan desain dan perencanaan inisiatif manajemen risiko dan prinsip-prinsip ini sering
dirangkum sebagai proporsional, selaras, komprehensif dan dinamis.
Prinsip enam, tujuh dan delapan terkait dengan operasi inisiatif manajemen risiko. Artinya
hal ini menegaskan bahwa informasi terbaik yang tersedia harus digunakan dan faktor manusia
dan budaya harus dipertimbangkan dalam menerapkan manajemen risiko serta implementasi
manajemen risiko harus memastikan adanya perbaikan berkelanjutan.

Gambar 4.2. Prinsip-prinsip ISO 31000: 2018

INTEGRASI

STRUKTUR
DAN
PERBAIKAN KOMPREHEN
BERKESINAM SIF
BUNGAN

MENCIPTAKAN
FAKTOR NILAI DAN
MANUSIA PROTEKSI DISESUAIKAN
DAN
BUDAYA

INFORMASI
INKLUSIF
YANG
(PENYERTAAN)
TERBAIK
DINAMIS

Prinsip-prinsip manajemen risiko ISO 31000: 2018 sebagai berikut.

a. Terintegrasi, manajemen risiko merupakan bagian integral dari semua proses bisnis
perusahaan sehingga menjadi kesatuan yang utuh.

4
b. Terstruktur dan komprehensif, pendekatan yang terstruktur dan komprehensif terhadap
manajemen risiko memberikan kontribusi terhadap hasil yang konsisten dan sebanding.
c. Disesuaikan, kerangka kerja dan proses manajemen risiko disesuaikan dan proporsional
dengan konteks eksternal dan internal organisasi terkait dengan tujuan.
d. Inklusif, keterlibatan pemangku kepentingan yang memberikan pandangan dan pengetahuan
serta persepsi. Menjadikan sebagai bahan pertimbangan dan masukan. Kondisi ini
menghasilkan peningkatan kesadaran dalam menerapkan dan mengelola risiko.
e. Dinamis, risiko bersifat dinamis sehingga risiko dapat muncul, berubah, atau retired ketika
konteks eksternal dan internal organisasi berubah. Manajemen risiko mengantisipasi,
mendeteksi, dan menanggapai perubahan tersebut dengan cara yang efektif dan tepat waktu.
f. Informasi terbaik tersedia, manajemen risiko didasarkan pada informasi dan data historis
dan terkini serta harapan masa depan. Manajemen risiko secara eksplisit mempertimbangkan
segala keterbatasan dan ketidakpastian terkait dengan informasi dan data. Informasi yang
tersedia harus tepat waktu, jelas dan relevan bagi para pemangku kepentingan.
g. Faktor manusia dan budaya, perilaku dan budaya manusia secara signifikan
mempengaruhi semua aspek dalam manajemen risiko di setiap tingkat dan tahap. Artinya
dalam menerapkan manajemen risiko di perusahaan, faktor manusia dan budaya menjadi
perhatian dan pertimbangan yang penting.
h. Perbaikan berkelanjutan, manajemen risiko terus ditingkatkan melalui pembelajaran dan
pengalaman karena risiko bersifat dinamis. Manajemen risiko tidak hanya memperbaiki
proses bisnis, tetapi juga meningkatkan kinerja perusahaan.

4.3. Kerangka Kerja

Tujuan kerangka kerja manajemen risiko adalah untuk membantu organisasi dalam
mengintegrasikan manajemen risiko ke dalam aktivitas perusahaan. Efektifitas implementasi
manajemen risiko di perusahaan akan tergantung pada terintegrasinya ke dalam tata kelola
organisasi, termasuk dalam pengambilan keputusan sehingga membutuhkan dukungan dari para
pemangku kepentingan, terutama manajemen puncak.
Pengembangan kerangka kerja mencakup mengintegrasikan, merancang, menerapkan,
mengevaluasi dan meningkatkan manajemen risiko di seluruh perusahaan. Perusahaan harus
mengevaluasi praktik dan proses manajemen risiko yang ada, mengevaluasi setiap kesenjangan
dan mengatasi kesenjangan dalam kerangka tersebut. Komponen-komponen kerangka kerja dan
cara mereka bekerja bersama harus disesuaikan dengan kebutuhan perusahaan.

4.3.1. Kepemimpinan dan komitmen

Manajemen puncak dan badan pengawasan harus memastikan bahwa manajemen risiko
terintegrasi dalam semua proses bisnis perusahaan dan harus memiliki kepemimpinan dan
komitmen dengan:
1. Menyesuaikan dan mengimplementasikan semua komponen kerangka kerja; mengeluarkan
pernyataan atau kebijakan yang menetapkan pendekatan manajemen risiko, rencana atau
tindakan.
5
 2. Memastikan bahwa sumber daya yang diperlukan dialokasikan untuk mengelola risiko.
3. Menugaskan otoritas, tanggung jawab dan akuntabilitas pada tingkat yang sesuai dalam
perusahaan.
4. Memiliki kepemimpinan dan komitmen memudahkan perusahaan untuk: menyelaraskan
manajemen risiko dengan tujuan, strategi, dan budayanya.
5. Mengenali dan mengatasi semua kewajiban, serta komitmen sukarela.
6. Menetapkan jumlah dan jenis risiko yang mungkin atau tidak mungkin diambil untuk
memandu pengembangan kriteria risiko, memastikan bahwa mereka dikomunikasikan
kepada organisasi dan pemangku kepentingannya.
8. Mempromosikan pemantauan risiko secara sistematis.
9. Memastikan bahwa kerangka manajemen risiko tetap sesuai dengan konteks organisasi.
Manajemen puncak bertanggungjawab untuk mengelola risiko, sementara badan
pengawasan bertanggungjawab untuk mengawasi manajemen risiko. Fungsi dari badan pengawas
sering diharapkan atau diminta untuk:
1. Memastikan bahwa risiko dipertimbangkan secara memadai saat menetapkan tujuan
organisasi.
2. Memahami risiko yang dihadapi organisasi dalam mencapai tujuannya.
3. Memastikan bahwa sistem untuk mengelola risiko tersebut diimplementasikan dan
beroperasi secara efektif.
4. Memastikan bahwa risiko tersebut sesuai dalam konteks tujuan organisasi.
5. Memastikan bahwa informasi tentang risiko dan pengelolaannya dikomunikasikan dengan
benar.

4.3.2. Integrasi
Mengintegrasikan manajemen risiko bergantung pada pemahaman struktur dan konteks
perusahaan. Struktur organisasi perusahaan berbeda tergantung pada tujuan, dan kompleksitas
perusahaan. Risiko dikelola di setiap bagian dalam struktur organisasi perusahaan dan setiap
orang memiliki tanggung jawab untuk mengelola risiko.
Tata kelola memandu jalannya perusahaan, hubungan eksternal dan internal serta aturan,
proses, dan praktik yang diperlukan untuk mencapai tujuan perusahaan. Struktur manajemen
menerjemahkan arah tata kelola ke dalam strategi dan tujuan terkait yang diperlukan untuk
mencapai tingkat kinerja berkelanjutan yang diinginkan dan kelangsungan hidup jangka panjang
perusahaan. Menentukan akuntabilitas manajemen risiko dan peran pengawasan dalam suatu
organisasi merupakan bagian integral dan tata kelola transaksi.
Mengintegrasikan manajemen risiko ke dalam organisasi adalah proses yang dinamis dan
berulang, dan harus disesuaikan dengan kebutuhan dan budaya perusahaan. Manajemen risiko
harus menjadi bagian dari, dan tidak terpisah dari tujuan perusahaan, pemerintahan,
kepemimpinan dan komitmen, strategi, tujuan dan operasi.

6
 4.3.3. Desain
Ketika merancang kerangka kerja untuk mengelola risiko, perusahaan harus memeriksa
dan memahami konteks eksternal dan internal. Memeriksa konteks eksternal perusahaan
termasuk, tetapi tidak terbatas pada:
1. Faktor sosial, budaya, politik, hukum, peraturan, keuangan, teknologi, ekonomi dan
lingkungan, baik internasional, nasional, regional, atau lokal.
2. Pendorong utama dan tren yang mempengaruhi tujuan organisasi.
3. Hubungan, persepsi, nilai, kebutuhan, harapan pemangku kepentingan eksternal.
4. Hubungan dan komitmen kontraktual.
5. Kompleksitas jaringan dan ketergantungan.
Memeriksa konteks internal perusahaan dapat mencakup:
1. Visi, misi, dan nilai-nilai.
2. Pemerintahan, struktur organisasi, peran dan akuntabilitas
3. Strategi, tujuan, dan kebijakan dan budaya perusahaan.
4. Standar, pedoman, dan model yang diadopsi oleh perusahaan.
5. Kemampuan, sumber daya dan pengetahuan (modal, waktu, orang, kekayaan intelektual,
proses, sistem, dan teknologi)
6. Data, sistem informasi dan arus informasi.
7. Hubungan dengan pemangku kepentingan internal, dengan mempertimbangkan persepsi dan
nilai-nilai.
8. Interdependensi dan interkoneksi.
Dewan direksi dan komisaris perusahaan harus menunjukkan dan berkomitmen terhadap
penerapan manajemen risiko melalui kebijakan, pernyataan atau bentuk lain yang secara jelas
menyampaikan tujuan dan komitmen perusahaan terhadap manajemen risiko.
Komitmen harus mencakup:
1. Tujuan perusahaan untuk mengelola risiko sesuai dengan tujuan dan kebijakan terhadap
manajemen risiko.
2. Memperkuat kebutuhan untuk mengintegrasikan manajemen risiko ke dalam biaya
perusahaan secara menyeluruh dan terintegrasi.
3. Mengintegrasikan manajemen risiko ke dalam kegiatan bisnis inti dan pengambilan
keputusan.
4. Otoritas, tanggung jawab dan akuntabilitas.
5. Membuat sumber daya yang diperlukan tersedia.
6. Pengukuran dan pelaporan dalam indikator kinerja perusahaan.
7. Kaji ulang dan perbaikan.
Komitmen manajemen risiko harus dikomunikasikan dan disampaikan kepada para
pemangku kepemtingan sehingga penerapan manajemen risiko menjadi efektif. Dewan direksi
dan komisaris perusahaan harus memastikan bahwa otoritas, tanggung jawab dan akuntabilitas
untuk peran yang relevan sehubungan dengan implementasi manajemen risiko untuk menugaskan
dan mengkomunikasikan di semua tingkat organisasi dalam perusahaan. Disampaikan bahwa
manajemen risiko adalah tanggung jawab utama yang memiliki akuntabilitas dan otoritas dan
tanggung jawab untuk mengelola risiko adalah pemilik risiko (risk owner).
7
 Dewan direksi dan komisars perusahaan harus memastikan alokasi sumber daya yang
tepat untuk penerapan manajemen risiko untuk penerapan manajemen risiko yang dapat
mencakup pada orang, keterampilan, pengalaman, dan kompetensi. Alokasi sumber daya
meliputi:
1. Proses dan metode perusahaan yang akan digunakan untuk mengelola risiko.
2. Proses dan prosedur yang terdokumentasi.
3. Sistem informasi dan manajemen pengetahuan
4. Pengembangan profesional dan kebutuhan pelatihan.
Perusahaan harus juga mempertimbangkan kemampuan dan kendala sumber daya yang
ada, sehingga perlu melakukan komunikasi dan konsultasi untuk mengoptimalkan keterbatasan
sumber daya agar dapat mendukung perangkat kerja dan memfasilitasi penerapan manajemen
risiko yang efektif. Komunikasi melibatkan peserta untuk berbagi informasi sehingga peserta
dapat memberikan umpan balik untuk memperbaiki implementasi manajemen risiko agar efektif.
Metode komunikasi dan konsultasi dan konten harus mencerminkan harapan para
pemangku kepentingan. Komunikasi dan konsultasi harus tepat waktu dan memastikan bahwa
informasi yang relevan dikumpulkan, dan diberikan ke unit kerja atau fungsi di perusahaan.
Diharapkan dengan melakukan komunikasi dan konsultasi akan diperoleh umpan balik dan
masukan yang konstruktif sehingga segera dapat dilakukan perbaikan.

4.3.4. Implementasi
Perusahaan harus menerapkan kerangka kerja manajemen risiko dengan:
1. Mengembangkan rencana yang sesuai termasuk waktu dan sumber daya.
2. Mengidentifikasi di mana, kapan dan bagaimana berbagai jenis keputusan dibuat di seluruh
unit kerja perusahaan, dan oleh siapa.
3. Memodifikasi proses pengambilan keputusan yang berlaku bila perlu.
4. Memastikan bahwa pengaturan perusahaan untuk mengelola risiko dipahami dan
dipraktikkan dengan jelas dan tepat.
Keberhasilan implementasi kerangka kerja membutuhkan keterlibatan dan kesadaran para
pemangku kepentingan. Hal ini memungkinkan perusahaan untuk secara eksplisit mengatasi
ketidakpastian dalam pengambilan keputusan dan juga memastikan bahwa ketidakpastian
selanjutnya dapat diperhitungkan.
Dirancang dengan benar dan diimplementasikan, kerangka manajemen risiko akan
memastikan bahwa proses manajemen risiko adalah bagian dari semua kegiatan di seluruh
perusahaan, termasuk pengambilan keputusan, dan bahwa perubahan dalam konteks eksternal
dan internal akan cukup ditangkap.

4.3.5. Evaluasi
Untuk mengevaluasi efektifitas kerangka manajemen risiko, perusahaan harus secara
berkala mengukur kinerja kerangka kerja manajemen risiko terhadap tujuannya, rencana
implementasi, indikator dan perilaku yang diharapkan menentukan juga apakah tetap cocok untuk
mendukung pencapaian tujuan perusahaan.

8
4.3.6. Perbaikan Berkelanjutan
Perusahaan harus terus memantau dan menyusun kerangka kerja manajemen risiko untuk
mengatasi perubahan eksternal dan internal. Dengan demikian perusahaan terus dapat
meningkatkan nilainya. Perusahaan harus terus meningkatkan kesesuaian, kecukupan dan
efektivitas kerangka manajemen risiko dengan proses manajemen risiko yang terintegrasi.
Peluang peningkatan yang relevan diidentifikasi sehingga perusahaan mengembangkan
rencana dan menugaskannya kepada yang bertanggungjawab untuk implementasi. Peningkatan
harus berkontribusi pada peningkatan perbaikan dalam menerapkan manajemen risiko.

4.4. Proses Manajemen Risiko

Proses manajemen risiko menerapkan kebijakan, pedoman, prosedur, dan praktik yang
sistematis untuk kegiatan berkomunikasi dan berkonsultasi, menetapkan konteks dan menilai,
memperlakukan, memantau, meninjau, merekam, dan melaporkan risiko.

Gambar 4.4. Proses Manajemen Risiko

SKOPE, KONTEKS,
KRITERIA
Komunikasi & Konsultasi

Pemantauan & Kaji Ulang

Risk Assessment

Identifikasi Risiko

Analisis Risiko

Evaluasi Risiko

Perlakuan Risiko

Pencatatan dan Pelaporan

Proses manajemen risiko harus menjadi bagian integral dari manajemen dan pengambilan
keputusan dan diintegrasikan ke dalam struktur organisasi, operasi dan bisnis proses perusahaan.
Ini dapat diterapkan pada tingkat strategis, operasional, program atau proyek. Ada banyak
penerapan proses manajemen risiko dalam suatu perusahaan, yang disesuaikan untuk mencapai
tujuan dan sesuai dengan konteks eksternal dan internal di mana diterapkan.

9
 Sifat dinamis dan variabel dari perilaku dan budaya manusia harus dipertimbangkan dalam
proses manajemen risiko. Meskipun proses manajemen risiko sering disajikan secara berurutan,
dalam praktiknya kadang-kadang tidak berurutan.

4.4.1. Proses Manajemen Risiko

Tujuan komunikasi dan konsultasi adalah untuk membantu para pemangku kepentingan
yang relevan dalam memahami risiko, dasar pengambilan keputusan dan alasan mengapa
tindakan tertentu diperlukan. Komunikasi berusaha untuk meningkatkan kesadaran dan
pemahaman tentang risiko, sedangkan konsultasi melibatkan memperoleh umpan balik dan
informasi untuk mendukung pengambilan keputusan. Koordinasi yang erat antara keduanya harus
memfasilitasi pertukaran informasi yang faktual, tepat waktu, relevan, akurat dan dapat
dimengerti, dengan mempertimbangkan kerahasiaan dan integritas informasi serta hak privasi
individu.
Komunikasi dan konsultasi dengan pemangku kepentingan eksternal dan internal yang
tepat harus dilakukan di dalam dan sepanjang semua langkah dari proses manajmen risiko.
Komunikasi dan konsultasi bertujuan untuk:
1. Membawa bidang keahlian yang berbeda bersama untuk setiap langkah dari proses
manajemen risiko.
2. Memastikan bahwa pandangan yang berbeda dipertimbangkan secara tepat ketika
mendefinisikan kriteria risiko dan ketika mengevaluasi risiko.
3. Memberikan informasi yang cukup untuk memfasilitasi pengawasan risiko dan pengambil
keputusan.
4. Membangun rasa inklusivitas dan kepemilikan di antara mereka yang terkena risiko.

4.4.2. Ruang Lingkup, Konteks, dan Kriteria

Tujuan dari penetapan ruang lingkup, konteks, dan kriteria adalah untuk menyesuaikan
proses manajemen risiko, memungkinkan penilaian risiko yang efektif dan perlakuan risiko yang
sesuai. Ruang lingkup, konteks, dan kriteria melibatkan mendefinisikan ruang lingkup proses,
dan memahami konteks eksternal dan internal.
Perusahaan harus menentukan ruang lingkup kegiatan manajemen risiko karena proses
manajemen risiko dapat diterapkan pada tingkat yang berbeda misalnya strategis, operasional,
program, proyek. Menjelaskan tentang ruang lingkup perlu dipertimbangkan tujuan yang relevan
dan keselarasannya dengan tujuan perusahaan.
Merencanakan pendekatan dengan mempertimbangkan antara lain:
1. Tujuan dan keputusan yang perlu dibuat.
2. Hasil yang diharapkan dari langkah-langkah yang harus diambil dalam proses.
3. Waktu, lokasi, inklusi dan pengecualian spesifik.
4. Alat dan teknik penilaian risiko yang tepat.
5. Sumber daya yang dibutuhkan, tanggung jawab dan catatan yang harus disimpan.
6. Hubungan dengan proyek, proses dan kegiatan lain.

10
 Konteks eksternal dan internal
Konteks eksternal dan internal adalah lingkungan dimana organisasi berusaha
mendefinisikan dan mencapai tujuannya. Konteks proses manajemen risiko harus ditetapkan dari
pemahaman lingkungan eksternal dan internal dimana perusahaan beroperasi dan harus
mencerminkan lingkungan spesifik dari kegiatan dimana proses manajemen risiko akan
diterapkan. Memahami konteks itu penting karena:
1. Manajemen risiko terjadi dalam konteks tujuan dan kegiatan perusahaan.
2. Faktor perusahaan dapat menjadi sumber risiko.
3. Tujuan dan ruang lingkup proses manajemen risiko dapat terkait dengan tujuan perusahaan
secara keseluruhan.
Mendefinisikan kriteria risiko
Perusahaan harus menentukan kriteria untuk mengevaluasi signifikansi risiko dan untuk
mendukung proses pengambilan keputusan. Kriteria risiko harus selaras dengan kerangka
manajemen risiko dan disesuaikan dengan tujuan dan ruang lingkup spesifik dari kegiatan yang
sedang dipertimbangkan. Kriteria risiko harus mencerminkan nilai, tujuan, dan sumber daya
perusahaan dan konsisten dengan kebijakan dan pernyataan tentang manajemen risiko.
Kriteria harus didefiniskan dengan mempertimbangkan kewajiban perusahaan dan
pandangan para pemangku kepentingan. Kriteria risiko harus diterapkan pada awal proses
penilaian risiko, bersifat dinamis dan terus ditinjau dan diubah apabila diperlukan. Perihal harus
dipertimbangkan untuk menetapkan kriteria risiko:
1. Sifat dan jenis ketidakpastian yang dapat mempengaruhi hasil dan tujuan (baik nyata maupun
tidak nyata).
2. Bagaimana konsekuensi (baik positif maupun negatif) dan kemungkinan akan ditentukan dan
diukur.
3. Faktor-faktor yang berhubungan dengan waktu.
4. Konsistensi dalam penggunaan pengukuran.
5. Bagaimana tingkat risiko ditentukan.
6. Bagaimana kombinasi dan urutan berbagai risiko akan diperhitungkan.
7. Kapasitas organisasi.

4.4.3. Penilaian Risiko

Penilaian risiko adalah keseluruhan proses identifikasi risiko, analisis risiko dan evaluasi
risiko. Penilaian risiko harus dilakukan secara sistematis, secara terstruktur dan kolaboratif
dengan memanfaatkan pengetahuan dan pandangan para pemangku kepentingan. Harus
menggunakan informasi terbaik yang tersedia, dilengkapi dengan penyelidikan lebih lanjut jika
diperlukan.
Identifikasi risiko
Tujuan dari identifikasi risiko adalah utnuk menemukan, mengenali dan menjelaskan
risiko yang menghambat perusahaan mencapai tujuannya. Informasi yang relevan, tepat, dan
terbaru penting dalam mengidentifikasi risiko. Perusahaan dapat menggunakan berbagai teknik
untuk mengidentifikasi kejadian risiko yang dapat menghambat pencapaian tujuan. Faktor-faktor
berikut yang haerus dipertimbangkan dalam melakukan identifikasi risiko:
11
 1. Sumber-sumber risiko yang nyata dan tidak berwujud.
2. Penyebab dan kejadian.
3. Ancaman dan peluang.
4. Kerentanan dan kemampuan.
5. Perubahan dalam konteks eksternal dan internal.
6. Indikator risiko yang muncul.
7. Nilai aset dan sumber daya.
8. Konsekuensinya dan dampaknya pada tujuan.
9. Keterbatasan pengetahuan dan keandalan informasi.
10. Faktor-faktor yang berhubungan dengan waktu.
11. Bias, asumsi dan keyakinan dari mereka yang terlibat.

Analisis risiko
Tujuan dari analisis risio adalah untuk memahami sifat risiko dan karakteristiknya serta
tingkat risikonya. Analisis risiko mempertimbangkan sumber risiko, konsekuensi, kemungkinan,
peristiwa, skenario, kontrol dan keefektifannya. Suatu peristiwa dapat memiliki banyak penyebab
dan konsekuensi sehingga mempengaruhi tujuan.
Analisis risiko dapat dilakukan dengan berbagai tingkat dengan detail dan kompleksitas,
tergantung pada tujuan analisis, ketersediaan dan keandalan informasi, dan sumber daya yang
tersedia. Teknik analisis dapat kualitatif, kuantitatif atau kombinasi dari ini, tergantung pada
keadaan dan penggunaan yang dimaksudkan.
Analisis risiko harus mempertimbangkan faktor-faktor seperti:
1. Kemungkinan kejadian dan konsekuensi.
2. Sifat dan besarnya konsekuensi.
3. Kompleksitas dan konektivitas.
4. Faktor dan volatilitas terkait waktu.
5. Efektivitas pengendalian yang ada.
6. Tingkat sensitivitas dan kepercayaan diri.
Analisis risiko dapat dipengaruhi oleh perbedaan pendapat, bias, persepsi risiko dan
penilaian. Pengaruh tambahan adalah kualitas informasi yang digunakan seperti asumsi dan
pengecualian yang dibuat serta batasan teknik dan bagaimana teknik tersebut dijalalnkan.
Pengaruh-pengaruh ini harus diertimbangkan, didokumentasikan dan dikomunikasikan kepada
pengambil keputusan.
Peristiwa yang sangat tidak pasti sulit dihitung. Ini bisa menjadi masalah ketika
menganalisis peristiwa dengan konsekuensi yang berat. Analisis risiko memberikan masalah
untuk evaluasi risko, keputusan apakah risiko perlu diperlakukan dan bagaimana strategi serta
metode perlakuan risiko yang paling tepat. Hasilnya memberikan pemahaman untuk
mengambil keputusan dan opsi melibatkan berbagai jenis dan tingkat risiko.
Evaluasi risiko
Tujuan evaluasi risiko adalah untuk mendukung keputusan yang telah diambil setelah
dilakukan analisis risiko. Evaluasi risiko membandingkan hasil analisis risiko dengan kriteria

12
risiko yang ditetapkan untuk menentukan dimana tindakan tambahan diperlukan. Evaluasi risiko
dapat menyebabkan keputusan untuk:
1. Tidak melakukan apa-apa.
2. Pertimbangkan opsi perlakuan risiko.
3. Lakukan analisis lebih lanjut untuk lebih memahami risiko.
4. Memelihara kontrol yang ada.
5. Mempertimbangkan kembali tujuan.
Keputusan harus mempertimbangkan konteks yang lebih luas dan konsekuensi aktual dan
yang dirasakan untuk pemangku kepentingan eksternal dan internal. Hasil evaluasi risiko harus
dicatat, dikomunikasikan dan kemudian divalidasi pada tingkat yang sesuai dari organisasi.

4.4.4. Perlakuan Risiko

Tujuan dari perlakuan risiko adalah untuk memilih dan menerapkan opsi-opsi untuk
mengatasi risiko. Perlakuan risiko merupakan proses berulang sehingga harus:
1. Merumuskan dan memilih opsi perlakuan risiko.
2. Perencanaan dan pelaksanaan perlakuan risiko.
3. Menilai efektivitas perlakuan.
4. Memutuskan apakah risiko yang tersisa dapat diterima.
5. Jika tidak dapat diterima, mengambil perlakuan lebih lanjut.

Memilih opsi perlakuan risiko

Memilih opsi perlakuan risiko yang paling sesuai mencakup keseimbangan potensi
manfaat yang diperoleh dibandingkan dengan biaya dalam pencapaian tujuan. Pilihan
penanganan risiko tidak selalu saling ekslusif. Pilihan untuk perlakuan risiko mungkin
melibatkan satu satu lebih hal berikut:
1. Menghindari risiko dengan memutuskan untuk tidak memulai atau melanjutkan aktivitas
yang menimbulkan risiko.
2. Mengambil atau meningkatkan risiko untuk mengejar peluang.
3. Menghilangkan sumber risiko.
4. Mengubah kemungkinan.
5. Mengubah konsekuensinya.
6. Berbagi resiko misalnya membeli asuransi.
7. Mempertahankan risiko dengan keputusan berdasarkan informasi.
Perlakuan risiko tidak hanya mempertimbangkan ekonomi semata, tetapi juga
mempertimbangkan semua kewajiban perusahaan dan pandangan dan pendapat para pemangku
kepentingan. Pemilihan opsi perlakuan risiko haru dilakukan sesuai dengan tujuan perusahaan,
kriteria risiko, dan sumber daya yang tersedia. Ketika memilih opsi perlakuan risiko, perusahaan
harus mempertimbangkan nilai, persepsi dan potensi keterlibatan pemangku kepentingan dan cara
yang paling tepat untuk berkomunikasi dan berkonsultasi. Meskipun sama efektifnya, beberapa
perlakuan risiko dapat lebih diterima oleh pemangku kepentingan daripada yang lain.
Perlakuan risio dilaksanakan dengan hati-hati mungkin tidak menghasilkan hasil yang
diharapkan dan dapat menghasilkan konsekuensi yang tidak diinginkan. Pemantauan dan
13
peninjauan perlu menjadi bagian integral dari penerapan perlakuan risiko untuk memberikan
jaminan bahwa berbagai bentuk perlakuan menjadi tetap dan efektif.
Perlakuan risio juga dapat menemukan risiko baru yang perlu dikelola. Jika pilihan
perlakuan tidak cukup dapat melakukan modifikasi risiko dimana risiko harus dicatat dan
disimpan. Pengambil keputusan dan pemangku kepentingan lainnya harus menyadari sifat dan
tingkat risiko yang tersisa setelah perlakuan risiko. Risiko yang tersisa harus didokumentasikan
dan menjadi sasaran pemantauan, peninjauan dan bila perlu dilakukan lebih lanjut.

Menyiapkan dan menerapkan rencana perlakuan risiko

Tujuan rencana perlakuan risiko adalah untuk menentukan bagaimana pilihan perlakuan
yang dipilih akan dilaksanakan, sehingga pengaturannya dapat dipahami sehingga rencana
perlakuan risiko dapat dipantau. Rencana perlakuan risiko harus secara jelas mengidentifikasi
urutan dimana perlakuan risiko harus dilaksanakan.
Rencana perlakuan risiko harus diintegrasikan ke dalam rencana manajemen dan proses
organisasi, dengan berkonsultasi dengan pemangku kepentingan yang tepat.
Informasi yang disediakan dalam rencana perlakuan risiko harus mencakup:
1. Alasan pemilihan pilihan perlakuan risiko, termasuk manfaat yang diharapkan untuk
diperoleh.
2. Bertanggung jawab untuk menyetujui dan mengimplementasikan rencana tersebut dan
tindakan yang diusulkan.
3. Sumber daya yang dibutuhkan
4. Ukuran kinerja dan kendalanya.
5. Pelaporan dan pemantauan yang dibutuhkan.
6. Ketika tindakan diharapkan dilakukan dan diselesaikan.

4.4.5. Pemantauan dan Peninjauan Ulang

Tujuan pemantauan dan peninjauan ulang adalah untuk memastikan dan meningkatkan
kualitas dan efektivitas desain, implementasi, dan hasil proses. Pemantauan berkelanjutan dan
tinjauan berkala atas proses manajemen risiko dan hasilnya harus menjadi bagian yang
direncanakan dari proses manajemen risiko dengan tanggung jawab yang telah ditetapkan dengan
jelas.
Pemantauan dan peninjauan ulang harus dilakukan di semua tahapan proses mencakup
perencanaan, pengumpulan dan analisis informasi, pencatatan hasil dan pemberian umpan balik.
Hasil pemantauan dan peninjauan harus dimasukkan di seluruh aktivitas manajemen, pengukuran,
dan pelaporan kinerja perusahaan.

4.4.6. Pencatatan dan Pelaporan

Proses manajemen risiko dan hasilnya harus didokumentasikan dan dilaporkan melaljui
mekanisme yang tepat. Pencatatan dan pelaporan bertujuan untuk:
1. Mengkomunikasikan kegiatan manajemen risiko dan hasil di seluruh organisasi.
2. Memberikan informasi untuk pengambilan keputusan.

14
3. Meningkatkan kegiatan manajemen risiko.
4. Membantu interaksi dengan para pemangku kepentingan, termasuk yang memiliki tanggung
jawab dan akuntabilitas unrtuk kegiatan manajemen risiko.

Keputusan mengenal penciptaan, retensi dan penanganan informasi yang terdokumentasi

harus mempertimbangkan penggunaannya, sensitivitas informasi dan konteks eksternal dan
internal. Pelaporan merupakan bagian integral dari tata kelola organisasi dan harus meningkatkan
kualitas dialog dengan para pemangku kepentingan dan mendukung manajemen puncak dan
badan pengawasan dalam memenuhi tanggung jawab mereka. Faktor-faktor yang perlu
dipertimbangkan untuk pelaporan termasuk:
1. Pemangku kepentingan yang berbeda dan kebutuhan dan persyaratan informasi khusus
mereka.
2. Biaya, frekuensi dan ketepatan waktu pelaporan.
3. Metode pelaporan.
4. Relevansi informasi dengan tujuan perusahaan dan pengambilan keputusan.

15