Training Certification_Batch 9
Aswin Sumarto, S.S., M.M., CBIA, CHCM, QRMO, CRA, CPRM, CGRC
16 – 17 April 2022
Introduce
Personal Profile
Nama : Aswin Sumarto, S.S., M.M.
Pekerjaan Saat Ini : - Risk Management & HSE/PT. Angkasa Pura Kargo
- Associate Trainer/Revolution Mind Indonesia
Pendidikan Terakhir : Magister Manajemen [MSDM]
Pengalaman Kerja : ± 14 Tahun
Kompetensi : QHSE & Anti Bribery Management System, GRC, Risk
Management, Internal Audit, Human Capital
Management, AK3U, Pengawas K3 Migas, Auditor
SMK3
Mobile Phone : 087883111531
1. Objective
3. Risk Concept
4. Strategic Management
Estimasi
mayoritas
karena
compliance
Sumber:
• ERM Survey Risk Intelligence in banking on the Georgian market 2016 – Deloitte
• Survei Nasional Manajemen Risiko 2019 – CRMS Indonesia
2. Risk Management Approach
INHERENT RISK
Gangguan Kerugian
Pemborosan Reputasi Fatality
Operasional Finansial
1. Basel I-III
7. AS/NZS
2. Risk Management Approach
Risk Approach – Basel I
Latar belakang: Kekhawatiran atas krisis utang Amerika Latin (Brazil, Argentina, Meksiko) pada awal 1980an yang dapat
meningkatkan risiko perbankan internasional.
2. Risk Management Approach
Risk Approach – Basel II
Latar belakang : Perubahan yang terjadi pada industri perbankan dan pasar keuangan termasuk krisis keuangan yang
terjadi di Asia Tenggara dan Asia selatan tahun 1997-1998.
2. Risk Management Approach
Risk Approach – Basel III
Latar belakang: Krisis Keuangan Global yang terjadi pada tahun 2007-2009.
2. Risk Management Approach
No. Regulasi OJK Standar Dokumen Basel
1 POJK Nomor: 11/POJK.03/2016 Tentang Kewajiban Penyediaan Modal Minimum Bank Umum Common Equity Tier (CET) 1, Additional Tier (AT) 1, Tier 2 Basel III: A Global Regulatory Framework for More Resilient
Banks and Banking Systems (2011)
Capital Conservation Buffer (CCB)
Countercyclical Buffer (CCyB)
Risk Approach – Basel
2 SEOJK Nomor 20/SEOJK.03/2016 tentang Fitur Konversi Menjadi Saham Biasa atau Write Down Capital Loss Absorption at the Point of Non-Viability Press Release - Basel Committee Issues Final Elements of
Terhadap Instrumen Modal Inti Tambahan dan Modal Pelengkap (PONV) the Reforms to Raise the Quality of Regulatory Capital
(2011)
3 SEOJK Nomor 42/SEOJK.03/2016 tentang Pedoman Perhitungan Aset Tertimbang Menurut Risiko Untuk Credit Risk International Convergence of Capital Measurement and
Risiko Kredit Dengan Menggunakan Pendekatan Standar Capital Standards : A Revised Framework
Credit Valuation Adjustment (CVA) Risk
4 SEOJK Nomor 24/SEOJK.03/2016 tentang Perhitungan Aset Tertimbang Menurut Risiko untuk Risiko Operational Risk
Operasional dengan Menggunakan Pendekatan Indikator Dasar
5 SEOJK Nomor 38/SEOJK.03/2016 tentang Pedoman Penggunaan Metode Standar dalam Perhitungan Market Risk
Kewajiban Penyediaan Modal Minimum Bank Umum dengan Memperhitungkan Risiko Pasar.
6 SEOJK No.48/SEOJK.03/2017 Tentang Pedoman Perhitungan Tagihan Bersih Transaksi Derivatif dalam The Standardised Approach for Measuring Counterparty The Standardised Approach for Measuring Counterparty
Perhitungan Aset Tertimbang Menurut Risiko untuk Risiko Kredit dengan Menggunakan Pendekatan Credit Risk Exposures (SA-CCR) Credit Risk Exposures (2014)
Standar
7 POJK No. 11 /POJK.03/2019 Tentang Prinsip Kehati-hatian Dalam Aktivitas Sekuritisasi Aset Bagi Bank Revisions to the Securitisation Framework Revisions to the Securitisation Framework (2014 & 2016)
Umum
8 SEOJK Nomor 12 /SEOJK.03/2018 tentang Penerapan Manajemen Risiko Dan Pengukuran Risiko Interest Rate Risk in the Banking Book Interest Rate Risk in the Banking Book (2016)
Pendekatan Standar Untuk Risiko Suku Bunga Dalam Banking Book (Interest Rate Risk In The Banking
Book) Bagi Bank Umum
9 POJK Nomor 42/POJK.03/2015 tentang Kewajiban Pemenuhan Rasio Kecukupan Likuiditas (Liquidity LCR (Liquidity Coverage Ratio) Basel III: The Liquidity Coverage Ratio and liquidity risk
Coverage Ratio) Bagi Bank Umum monitoring tools (2013)
10 SE Bank Indonesia 13/36/INTERN/2011 Tentang Pedoman Pengawasan Bank Berdasarkan Risiko Untuk Monitoring Tools for Intraday Liquidity Management Monitoring Tools for Intraday Liquidity Management
Tahapan Penilaian Risiko Dan Tingkat Kesehatan Bank (RBBR) (2013)
11 POJK Nomor 50/POJK.03/2017 tentang Kewajiban Pemenuhan Rasio Pendanaan Stabil Bersih (Net Stable NSFR (Net Stable Funding Ratio) Basel III: The Net Stable Funding Ratio (2014)
Funding Ratio) bagi Bank Umum.
12 POJK No. 2/POJK.03/2018 tentang Penetapan Bank Sistemik dan Capital Surcharge D-SIB (Domestic Systemically Important Bank) A Framework for Dealing with Domestic Systemically
Important Banks (2012)
13 POJK No.32/2018 tentang Batas Maksimum Pemberian Kredit dan Penyediaan Dana Besar (Large Large Exposures Supervisory Framework for Measuring and Controlling
Exposure) bagi Bank Umum Large Exposures (2014)
2. Risk Management Approach
Risk Approach – COSO
COSO History
• Komisi merekomendasikan
penyusunan Integrated
Guidance on Internal COSO memperbaharui 1992
SEC dan US Control COSO Model dengan
Congress • Dibentuklah COSO mensimplifikasi 20 Principles
menerbitkan FCPA (Committee of Sponsoring Meledak kasus Enron dan menjadi 17 Principles, dan
(Foreign Corrupt Organization) bekerjasama Worldcom melibatkan KAP 81 Point of Focus (COSO
Practices Act) KAP Coopers & Lybrand Arthur Andersen Diagnostic Tools)
1977 1987 2001 2013
- Perusahaan energi terbesar di Amerika - Provider jasa telko terbesar di AS, 85.000 pegawai
- Ranking 7 dari 500 perusahaan terkemuka (US Fortune 500) - Ranking 42 dari US Fortune 500
- Mempekerjakan 21.000 pegawai - Manipulasi aset, laba dan biaya perusahaan, melibatkan
- Penipuan akuntansi yang sistematis, melibatkan KAP Andersen Internal Audit menyembunyikan ketidakwajaran lapkeu
- Bankrut tahun 2001 dengan outstanding hutang US31,2 miliar - Bankrut pada tahun 2002 dengan mem-PHK 17.000 pegawai
2. Risk Management Approach
Risk Approach – COSO
Penilaian Risiko
(Risk assessment)
2. Risk Management Approach
Risk Approach – COSO
2. Risk Management Approach
Risk Approach – COSO
3. Risk Concept
Definition of Risk
Risiko sering dikenali sebagai "potensi kejadian"
(sebagaimana didefinisikan dalam Pedoman ISO
“The possibility that an event will 73:2009, 3.5.1.3) dan "konsekuensi" (sebagaimana
occur and adversely affect the didefinisikan dalam Pedoman ISO 73: 2009, 3.6.1.3),
achievement of objectives” (COSO ERM atau kombinasi dari keduanya.
Framework)
K P T C I C
Terkena Terjebak
Ban Mobil
Bocor/1 Jam
IF Operasi/ EF EF Macet/
1.5 Jam 3 Jam
Tujuan Jarak Tempuh: 450 Km; Waktu Tempuh: 7 Jam (08.00 – 15.00), Cost: 1jt, HSE: No Accident/Incident
EF : External Factor
IF : Internal Factor
3. Konsep Risiko
Definition of Risk
Control: Ketahui
Control: Ketahui Control: Cek Kondisi
Kondisi Topografi
Mobil Daerah, Alternatif
Alternatif jalan Mesin sebelum
Tertimpa Terkena lain (Jalan Tol, dll.) berangkat/berkala
jalan lain Mesin
Puing Pengalihan Mobil
Longsor/1.5 Jalan/1.5 Terbakar/
Jam Jam Jakarta
Semarang 1.5 Jam
K P T C I C
Tujuan Jarak Tempuh: 450 Km; Waktu Tempuh: 7 Jam (08.00 – 15.00), Cost: 1jt, HSE: No Accident/Incident
Time: Sampai Tepat/Lebih Awal, Quality: Mobil tidak rusak, Sesuai Jarak Tempuh/Lebih Pendek, Cost: Sesuai/Lebih Sedikit,
+ HSE: Tidak Ada Korban Jiwa/Cedera
- Time: Tidak Sampai/Lebih Waktu, Quality: Mobil rusak, Lebih Jarak Tempuh, Cost: Over Budget, HSE: Ada Korban
Jiwa/Cedera/Stress
3. Konsep Risiko
Proses bisnis yang berbeda, memiliki risiko yang berbeda
Pelaku Pelaku
PROSES II = PROSES IV =
Pemilik RISIKO Pemilik RISIKO
PROSES I PROSES II PROSES III PROSES IV PROSES V
1. Indeks Kepuasan
• Risiko Fluktuasi • Risiko Produksi • Risiko Lolosnya • Risiko Barang • Risiko Komplain Pelanggan
Harga
• Risiko Kualitas
Bahan Baku
Barang Cacat Tidak Laku
- Menurun
2. Pelanggan
Enggan
Bekerjasama
Pelaku Pelaku Pelaku Kembali
PROSES I = PROSES III = PROSES V = 3. Pendapatan
Menurun
Pemilik RISIKO Pemilik RISIKO Pemilik RISIKO
3. Konsep Risiko
Level yang berbeda, memiliki risiko yang berbeda pula
Level Korporasi
1. Level Organisasi ini nantinya terkait dengan kewenangan
pengelolaan risiko terutama dalam proses risk assessment nya
2. Level Organisasi ini terkait juga dengan penentuan KPI/Sasaran
Level Divisi yang akan ditetapkan. Hendak nya KPI/Sasaran ini ditetapkan di
semua level fungsi/jabatan sebagai control pencapaiannya dan
Level Departemen bisa juga sebagai bahan penilaian dari masing-masing individu
agar tidak subjektif
Level Seksi
3. Konsep Risiko
Definisi Pemilik Risiko menurut SNI ISO 31000
AKUNTABILITAS
TANGGUNG
JAWAB
Akuntabilitas: mempertanggungjawabkan wewenang
yang diterima.
Tanggung Jawab: berhubungan dengan kewajiban
melaksanakan wewenang yang diterima
3. Konsep Risiko
Kategori Risiko
4. Manajemen Strategis
Definisi Manajemen Strategis:
Fred R. David (2004:5), Manajemen Strategik adalah ilmu mengenai perumusan, pelaksanaan dan evaluasi keputusan-
keputusan lintas fungsi yang memungkinkan organisasi mencapai tujuannya.
Menurut Husein Umar (1999:86), Manajemen strategik sebagai suatu seni dan ilmu dalam hal pembuatan (formulating),
penerapan (implementing) dan evaluasi (evaluating) keputusan- keputusan startegis antara fungsi yang memungkinkan
sebuah organisasi mencapai tujuannya pada masa mendatang.
Lawrence R. Jauch dan Wiliam F. Gluech (Manajemen Strategis dan Kebijakan Perusahaan, 1998), menulis,Manajemen
Strategik adalah sejumlah keputusan dan tindakan yang mengarah pada penyusunan suatu strategi atau sejumlah strategi
yang efektif untuk membantu mencapai sasaran perusahaan.
Wheelan dan Hunger (Strategic Manajemen and Business Policy Massachuset, 1995) : Manajemen strategik adalah suatu
kesatuan rangkaian keputusan dan tindakan yang menentukan kinerja perusahaan dalam jangka panjang.
4. Manajemen Strategis
Cakupan Definisi Manajemen Strategis:
1. Manajemen strategi diwujudkan dalam bentuk perencanaan berskala besar mencakup seluruh komponen dilingkungan
sebuah organisasi yang dituangkan dalam bentuk rencana strategis (Renstra) yang dijabarkan menjadi perencanaan
operasional, yang kemudian dijabarkan pula dalam bentuk program kerja dan proyek tahunan.
2. Renstra berorientasi pada jangkauan masa depan.
3. Visi, misi, pemilihan strategi yang menghasilkan strategi induk, dan tujuan strategi organisasi untuk jangka panjang merupakan
acuan dalam merumuskan rencana strategi, namun dalam teknik penempatannya sebagai keputusan manajemen puncak
secara tertulis semua acuan tersebut terdapat di dalamnya
4. Renstra dijabarkan menjadi rencana operasional yang antara lain berisi program-program operasional termasuk proyek-
proyek, dengan sasaran jangka sedang masing-masing juga sebagai keputusan manajemen puncak
5. Penetapan renstra dan rencana operasi harus melibatkan manajemen puncak karena sifatnya sangat mendasar/prinsipil
dalam pelaksanaan seluruh misi organisasi, untuk mewujudkan, mempertahankan dan mengembangkan eksistensi jangka
sedang termasuk panjangnya
6. Pengimplementasian strategi dalam program-program termasuk proyekproyek untuk mencapai sasarannya masing-masing
dilakukan melalui fungsifungsi manajemen lainnya yang mencakup pengorganisasian, pelaksanaan, penganggaran dan kontrol
4. Manajemen Strategis
Komponen dalam proses manajemen strategi:
1. Visi/Misi Organisasi (perusahaan), merupakan gambaran tujuan tentang keberadaan perusahaan. misi ini
meliputi type, ruang lingkup serta karakteristik tindakan yang akan dijalankan
2. Tujuan, tujuan merupakan hasil akhir dari sebuah kegiatan. disini akan ditegaskan hal apa ayang akan digapai,
kapan waktunya, dan berapa yang harusnya dicapai.
3. Strategi, merupakan suatu keterampilan atau ilmu dalam memenangkan sebuah persaingan. persaingan
adalah perebutan konsumen (pangsa pasar) dan konsumen setiap saat akan mengalami perubahan, maka
strategi hendaknya dikelola dengan sedemikian rupa supaya tujuan perusahaan bisa tercapai
4. Kebijakan, kebijakan merupakan cara dalam mencapai sasaran perusahaan. kebijakan mencakup garis
pedoman, aturan-aturan dan prosedur untuk menyokong usaha pencapaian sasaran atau tujuan yang sudah
ditetapkan
5. Profil Perusahaan, menggambarkan kondisi perusahaan baik itu keuangan, sumber daya manusia (SDM) dan
sumber daya fisik lainnya.
6. Lingkungan Eksternal, merupakan seluruh kekuatan yang akan memberikan pengaruh terhadap pilihan strategi
serta mendifinisikan kondisi kompetisinya
7. Lingkungan Internal, lingkungan internal mencakup seluruh unsur bisnis yang terdapat pada perusahaan
8. Analisa Strategi dan Pilihan, hal ini ditujukan kepada keputusan dalam investasi untuk masa mendatang
9. Strategi Unggulan, merupakan rencana umum serta komprhensif atas semua aktivitas utama yang ditujukan
pada usaha pencapaian sasaran dalam lingkungan yang bersifat dinamis
10. Strategi Fungsional, adalah penjabaran strategi umum yang nantinya dijalankan oleh divisi
4. Manajemen Strategis
Macro Environment
(Lingkungan dimana seluruh PESTLE (Political, Ekonomical,
organisasi dipengaruhinya Socio-cultural, Technological,
tanpa kecuali) Legal & Environment)
No Penjelasan/Content
BAB V Penutup
4. Manajemen Strategis
Pre Planning
Penerapan manajemen risiko pada fase pre planning adalah
melakukan identifikasi risiko atas target dan sasaran yang akan
dicapai dengan memunculkan indicator risiko sebagai kunci
kesuksesan dalam pengendalian dan pencapaian target yang telah
ditetapkan sebelumnya.
[Risk Assessment, Penyusunan Key Risk Indicator]
Post Planning
Manajemen risiko pada fase post planning adalah mengawal seluruh
penetapan strategis yang diambil dipastikan seluruh hambatan dan
kendala yang mempengaruhi target dan sasaran telah di petakan dan
dikelola sekaligus secara berkalenajutan dimonitoring. Sejauh mana
tingkat hambatan dan kendala tersebut akan memberikan efek
terhadap target dan sasaran, selama hambtan dan kendala dapat
dikelola, ditekan/diminimalisir bahkan dihilangkan maka secara tidak
langsung manajemen telah mengantisipasi yang mempengaruhi target
dan membuka peluang dalam pencapaian target dan sasaran
perusahaan yang telah ditetapkan
[Mitigation Plan & Evaluation]
4. Manajemen Strategis
Sasaran 1
Tahapan proses identifikasi Risko
1. Menentukan sasaran
Identifikasi risiko 2 2. Identifikasi risiko
3. Mencari Penyebab Risiko
4. Menentukan Indikator risiko
Penyebab risiko 3
5. Mengidentifikasi program / action yang telah dilakukan
6. Mengidentifikasi dampak kualitatif apabila risiko terjadi
Indikator risiko 4
1 2 3 4 5 6
Exist. Control 5
Deskripsi Kategori Indikator Mitigasi Dampak
No Objective Nama Risiko Sumber Risko Akar Penyebab
Risiko Risiko Risiko Eksisting Kualitatif
Dampak kualitatif 6 1 2 3 4 5 6 7 8 9 10
4. Manajemen Strategis
1.b Analisis risiko
Pada langkah ini dilakukan analisis tingkat risiko Inherent berdasarkan tingkat
Daftar risiko hasil likelihood dan impactnya
identifikasi
7. Pengukuran Likelihood
Pengukuran 7 Merupakan proses untuk mengetahui tingkat kemungkinan suatu risiko terjadi berdasarkan tabel
Likelihood likehood yang ditetapkan
8. Pengukuran Impact
Merupakan proses untuk mengetahui tingkat impact apabila suatu risiko terjadi berdasarkan tabel
Pengukuran Impact 8 impact yang ditetapkan
9. Pengukuran Risk Level
Pengukuran Risk 9 Merupakan perkalian antara Likehood dan Impact dengan merefer ke Risk Map yang ditetapkan
Level
7 8 9 7 8
Inherent Risk
Justifikasi Likelihood Justifikasi Impact
Likelihood Impact Risk Level
11 12 13 14 15
4. Manajemen Strategis
1.c Evaluasi risiko
10
Merupakan suatu proses yang membandingkan hasil analisis risiko dengan kriteria risiko untuk
Li kel ihoo
menentukan apakah suatu risiko dapat diterima atau tidak. Hasil dari proses ini adalah prioritas
Low Medium High Very
risiko yang memerlukan perlakuan risiko dan juga opsi perlakuan risiko yang akan dilakukan.
d
Terdapat 3 pendekatan yang dapat dilakukan dalam menentukan strategi perlakuan risiko
• Very High dan High Risk : perlakuan risiko mutlak harus dilakukan;
• Medium Risk: dilakukan perlakuan dengan mempetimbangkan cost & benefit
• Very Low dan Low Risk: tingkat risiko dianggap dapat diterima, sehingga tidak perlu
Very Low
Keterangan kolom:
16. StrategiTreatment
Merupakan opsi perlakuan risiko yang dipilih
4
0
4. Manajemen Strategis
2. Perlakuan Risiko
Tujuan dari perlakuan risiko adalah untuk memilih dan menerapkan opsi
untuk menangani risiko
11 12
Activity Residual Risk
Risk Treatment Risk Owner Budget Plan Time Plan Related Unit
Treatment Likelihood Impact Risk Level
17 18 19 20 21 22 23 24 25
*) tidak termasuk klausul perlakuan risiko, namun dapat digunakan untuk memperkirakan efektivitas Risk Treatment
5. The Advantage of ISO 31000:2018
1. Diakui secara Internasional
Standar baru ini mengatur sistem manajemen risiko untuk menjadi jauh
lebih terbuka terhadap input dari konteks eksternal perusahaan. Hal ini
bertujuan agar sistem manajemen risiko dapat memenuhi berbagai
tuntutan dari industri yang beragam.
6. Arsitektur Manajemen Risiko
Prinsip Manajemen Risiko
Dalam hal ini, manajemen risiko berkontribusi pada pencapaian tujuan dan perbaikan
kinerja yang dapat didemonstrasikan, dalam hal misalnya keuangan, K3, kepatuhan,
kepuasan pelanggan, keandalan operasi, perlindungan lingkungan, pangsa pasar, kualitas
produk/jasa, efisiensi proses, citra perusahaan, dlsb.
6. Arsitektur Manajemen Risiko
Prinsip Manajemen Risiko Terintegrasi dengan Proses
Bisnis/Sistem Manajemen
Perusahaan
Penerapan Manajemen
Diperbaiki secara berkala/ Risiko penyusunan
berkelanjutan (ditinjau, perencanaannya disepakati
evaluasi, assessment) oleh pihak internal
perusahaan
Manajemen risiko bukan merupakan kegiatan berdiri sendiri yang terpisah dari kegiatan
dan proses bisnis suatu organisasi, melainkan harus menyatu/melekat dalam proses bisnis
dalam bentuk pengelolaan risiko yang dijalankan oleh masing-masing fungsi. Dengan
demikian penting sekali untuk ditekankan kepada seluruh manajemen bahwa efektivitas
pengelolaan risiko merupakan tanggung jawab dari masing-masing individu manajemen,
baik manajemen puncak, senior, maupun lini, mulai dari tingkatan entitas organisasi
(termasuk di dalamnya organisasi induk dan anak) hingga pada tingkatan proses / aktivitas
dalam manajemen proyek / progam yang dijalankan organisasi.
6. Arsitektur Manajemen Risiko
Prinsip Manajemen Risiko
Keterlibatan yang sesuai dan tepat waktu dari para pemangku kepentingan, khususnya
pengambil keputusan di semua tingkatan organisasi, memastikan bahwa manajemen
risiko tetap relevan dan terkini. Keterlibatan juga membolehkan pemangku kepentingan
untuk diwakili secara tepat serta guna mendapatkan pandangan mereka untuk
dipertimbangkan dalam proses manajemen risiko.
6. Arsitektur Manajemen Risiko
Prinsip Manajemen Risiko
Prinsip 4. Inklusif
Dalam praktik pengelolaan risiko, semua pihak di lingkungan organisasi perlu dilibatkan /
secara aktif berperan serta dalam pengelolaan risiko pada area tanggung jawab masing-
masing sesuai kewenangan yang dimiliki.
Dalam perancangan kerangka kerja organisasi perlu mencari bentuk keterlibatan yang
paling relevan bagi tiap pemangku kepentingannya dalam rangka mendukung penerapan
manajemen risiko yang efektif bagi organisasi.
6. Arsitektur Manajemen Risiko
Prinsip Manajemen Risiko
Prinsip 5. Dinamis
Risiko dapat muncul, berubah, atau hilang seiring perubahan konteks eksternal dan
internal organisasi. Manajemen risiko mengantisipasi, mendeteksi, mengakui, dan
menanggapi perubahan dan peristiwa tersebut secara sesuai dan tepat waktu.
Organisasi perlu peka terhadap perubahan yang telah dan yang mungkin terjadi,
khususnya yang dapat melemahkan efektivitas pengelolaan risiko organisasi serta
mengantisipasinya dalam bentuk sebuah kendali yang dipersiapkan, maupun perubahan
kerangka kerja manajemen risiko sesuai yang dibutuhkan.
6. Arsitektur Manajemen Risiko
Prinsip Manajemen Risiko
Prinsip 6. Informasi terbaik yang tersedia
Masukan manajemen risiko didasarkan atas informasi historis dan saat ini, beserta juga
harapan masa depan. Manajemen risiko secara eksplisit memperhitungkan segala batasan
dan ketidakpastian yang berkaitan dengan informasi dan harapan tersebut. Informasi
sebaiknya tepat waktu, jelas, dan tersedia bagi pemangku kepentingan yang relevan.
Perilaku dan budaya manusia secara signifikan memengaruhi semua aspek manajemen
risiko pada semua tingkat dan tahap.
Sehubungan dengan hal tersebut, sangat penting bagi organisasi untuk memastikan
kecukupan upaya pembangunan / peningkatan kesadaran manajemen dan karyawan
mengenai pentingnya manajemen risiko, serta kecukupan upaya sosialisasi kerangka kerja
dan atau prosedur pengelolaan risiko kepada masing-masing pemangku kepentingan
yang dilibatkan dalam manajemen risiko organisasi.
6. Arsitektur Manajemen Risiko
Prinsip Manajemen Risiko
Prinsip 7. Faktor Manusia dan Budaya
Selain itu, manajemen risiko mengakui bahwa kapabilitas, persepsi dan intensi dari pihak
eksternal dan internal yang dapat bersifat memfasilitasi atau menghambat pencapaian
sasaran organisasi, dan bahwa manusia, demiikian halnya dengan budaya, dapat menjadi
bagian dari pengendalian risiko, maupun sebaliknya menjadi sumber risiko.
6. Arsitektur Manajemen Risiko
Prinsip Manajemen Risiko
Prinsip 8. Perbaikan Sinambung
Manajemen risiko diperbaiki secara berkelanjutan melalui pelajaran dan pengalaman.
BOD
BOD
MENGAWASI
MENGELOLA RISIKO
MANAJEMEN RISIKO
Konteks Lingkungan
Makro dan Mikro
Konteks Internal dan
Eksternal
Analisis Pemangku
Kepentingan
Organisasi dan
Konteksnya
Risiko
Hukum Cyber Risk
Kualitatif Kuantitatif
Risiko Kepatuhan
Risiko Reputasi
Risiko
Pasar
Keterangan:
Eksternal Sumbu X: Teknik Asesmen
Sumbu Y: Sumber Risiko
6. Arsitektur Manajemen Risiko
Kerangka Manajemen Risiko - Desain
mengidentifikasi individu yang memiliki akuntabilitas dan kewenangan untuk mengelola risiko
(pemilik risiko).
6. Arsitektur Manajemen Risiko
Kerangka Manajemen Risiko - Desain
Audit
Keterangan:
Eksternal
Garis Koordinasi
Garis Instruksi
6. Arsitektur Manajemen Risiko
Kerangka Manajemen Risiko - Desain
3. Penetapan peran, kewenangan, tanggung jawab, dan
akuntabilitas organisasional
a. Contoh Struktur Tata Kelola Risiko
Pengawasan
DEWAN KOMISARIS DIREKSI
Komite Pemantau Risiko
KOMITE RISIKO (Lintas
INTERNAL AUDITOR Fungsi)
Keterangan:
Garis Koordinasi
Garis Instruksi
6. Arsitektur Manajemen Risiko
Kerangka Manajemen Risiko - Desain
6. Arsitektur Manajemen Risiko
Kerangka Manajemen Risiko - Desain
6. Arsitektur Manajemen Risiko
Kerangka Manajemen Risiko - Desain
Peran Lini 1. Fungsi yang memiliki dan mengelola risiko
2. Fungsi yang mengamati risiko yang dikelolanya
Pertama 3. Fungsi yang memberikan jaminan independent atas pengelolaan risiko di Unit Kerjanya
1. Mendukung kebijakan manajemen, mendefinisikan peran dan tanggung jawab, dan menetapkan tujuan untuk implementasi
2. Menyediakan kerangka kerja manajemen risiko.
Peran Lini Kedua 5. Membantu manajemen dalam mengembangkan proses dan kontrol untuk mengelola risiko dan masalah.
6. Memberikan bimbingan dan pelatihan tentang proses manajemen risiko.
7. Memfasilitasi dan memantau implementasi praktik manajemen risiko yang efektif oleh manajemen operasional.
8. Memperingatkan manajemen operasional untuk masalah yang muncul dan mengubah skenario peraturan dan risiko
9. Memantau kecukupan dan efektivitas pengendalian internal, akurasi dan kelengkapan pelaporan, kepatuhan terhadap hukum dan peraturan, dan remediasi
kekurangan yang tepat waktu.
Peran Audit 1. Bertindak sesuai dengan standar internasional yang diakui untuk praktik audit internal.
Internal 2. Melaporkan ke tingkatan yang cukup tinggi dalam organisasi untuk dapat melakukan tugasnya secara mandiri
3. Memiliki jalur pelaporan yang aktif dan efektif kepada badan pengatur
(Lini Ketiga)
6. Arsitektur Manajemen Risiko
Kerangka Manajemen Risiko - Desain
3. Penetapan peran, kewenangan, tanggung jawab, dan
akuntabilitas organisasional
b. Pemilik Risiko dan Pihak Pemangku Kepentingan Lainnya
Contoh penetapan akuntabilitas manajemen risiko pada para pemangku
kepentingan
Pimpinan • Menentukan risk appetite dan risk tolerance
Puncak • Mengarahkan strategi dan mengkaji ulang risiko strategi
Organisasi • Menerima risiko – risiko dan laporan kontrol risiko dari manajemen (melalui komite
Manajemen Risiko atau Komite Manajemen Eksekutif )
• Menerima laporan dari komite risiko dan kualitas atau komite risiko dan audit dalam
proses untuk mengelola risiko dan dalam pengelolaan risiko utama
Unit Kerja Inti • Pemilik dan pengelola risiko
dan Pendukung • Melaporkan kepada anggota dewan (berdasarkan penilaian sendiri) tentang
pengelolaan risiko yang mereka lakukan
Komite • Menyediakan pengawasan tentang risiko dan manajemennya
Manajemen • Belajar dari insiden dan peristiwa yang terjadi
Risiko ` • Memantau indikator yang menyebabkan perubahan pada risiko
6. Arsitektur Manajemen Risiko
Kerangka Manajemen Risiko - Desain
3. Penetapan peran, kewenangan, tanggung jawab, dan
akuntabilitas organisasional
b. Pemilik Risiko dan Pihak Pemangku Kepentingan Lainnya
Contoh penetapan akuntabilitas manajemen risiko pada para pemangku
kepentingan
Manajemen • Menyediakan sumber daya yang ahli untuk area spesifik dalam risiko operasional,
Sub-Komite contohnya adalah kesehatan dan keselamatan
• Mengelola risk transfer atau berbagi risiko dengan pihak lain melalui outsourcing
dan asuransi
• Menganalisa risiko dan melaporkannya kepada komite manajemen risiko.
Komite Audit • Menerima laporan dari Internal Audit dalam proses untuk mengelola risiko dan
dan Risiko dalam pengelolaan risiko utama
Audit Internal • Menyediakan jaminan kepada komite audit dalam sistem kontrol internal dan
manajemen risiko
• Menyediakan jaminan kepada komite audit dan komite manajemen risiko dalam
manajemen untuk risiko tertentu
6. Arsitektur Manajemen Risiko
Kerangka Manajemen Risiko - Desain
3. Penetapan peran, kewenangan, tanggung jawab, dan
akuntabilitas organisasional
c. Unit Manajemen Risiko
Kepemilikan risiko di Pemahaman risiko Memberikan
Secara aktif
unit penunjang agregat pengecekan
mengelola risiko
dan balances
• Unit pengelola • Unit pengelola • Unit pengelola • Fungsi risiko memiliki
pemilik risiko pemilik risiko pemilik risiko dan secara aktif
• Fungsi risiko pusat • Tim kecil risiko pusat • Tim risiko pusat di memonitor dan
minimal memberikan agregat pengetahuan pimpin oleh Chief Risk mengelola kunci
saran ahli sesuai risiko dan Officer (CRO), dengan risiko tertentu secara
permintaan diintegrasikan ke wewenang yang terpusat (contohnya
• Optimalisasi risiko seluruh perusahaan sama, bertindak FX Hedging,
dipengaruhi oleh • Optimalisasi risiko sebagai trading/credit limit)
bisnis dan budaya dilakukan oleh penyeimabang dalam • Business head
risiko yang kuat seluruh manajemen, keputusan strategis mendapat
dengan dukungan yang penting persetujuan dalam
secara informal dari • CRO bertindak sebagai strategi risiko dari
tim risiko pusat thought partner untuk CRO
business head
6. Arsitektur Manajemen Risiko
Kerangka Manajemen Risiko - Desain
3. Penetapan peran, kewenangan, tanggung jawab, dan
akuntabilitas organisasional
PENYEDIA
ASURENS
Unit Auditor
Auditor
Unit Bisnis Manajemen Eksternal
Internal
RIsiko
INTERNAL EKSTERNAL
6. Arsitektur Manajemen Risiko
Kerangka Manajemen Risiko - Desain
3. Penetapan peran, kewenangan, tanggung jawab, dan akuntabilitas
organisasional
Peran Internal Auditor dalam Manajemen Risiko
CORE ROLES
a) Giving assurance on the RM program
b) Giving assurance that risks are correctly
evaluated
c) Evaluating risk management processes SHOULD NOT UNDERTAKE
d) Evaluating the reporting of key risks a) Setting the risk appetite
e) Reviewing the management of key risks b) Imposing risk management process
c) Assurance by management on controls and
LEGITIMATE ROLES (with Safeguards)
(w/ Safeguards) risks
a) Facilitating identification & evaluation of risks d) Taking decisions on risk responses
b) Coaching management in responding to risks e) Managing risks on management ‘s behalf
c) Coordinating ERM activities f) Accountability for risks and controls
d) Consolidated reporting on risks
e) Maintaining and developing the ERM
framework
f) Championing establishment of ERM
g) Developing ERM strategy for board approval
Sumber: IIA IPPF Guide, Assessing the adequacy of risk management using ISO 31000, 2010.
Disajikan sesuai aslinya.
6. Arsitektur Manajemen Risiko
Business Process
Kerangka Manajemen
Risiko - Desain
Goal
Risk
Risk Management
Report / Audit Report
6. Arsitektur Manajemen Risiko
Kerangka Manajemen Risiko - Desain
proses, metode, dan alat yang dipakai organisasi untuk mengelola risiko;
Perbaikan berkelanjutan merupakan tindak lanjut dari hasil evaluasi yang bertujuan
untuk memastikan agar manajemen risiko di lingkungan organisasi, baik pengaturan
maupun praktiknya, tetap sesuai karakteristik dan memenuhi kebutuhan spesifik
organisasi.
6. Arsitektur Manajemen Risiko
Kerangka Manajemen Risiko - Perbaikan
1. Adaptasi
Organisasi sebaiknya secara berkelanjutan memantau dan mengadaptasi
kerangka kerja manajemen risiko untuk mengatasi / mengantisipasi perubahan
eksternal dan internal. Dengan demikian, organisasi dapat meningkatkan
nilainya.
2. Perbaikan sinambung
Organisasi sebaiknya secara sinambung meningkatkan kesesuaian, kecukupan,
dan efektivitas kerangka kerja manajemen risiko, serta bagaimana proses
manajemen risiko diintegrasikan.
Saat kesenjangan atau peluang peningkatan yang relevan diidentifikasi,
organisasi hendaknya mengembangkan rencana dan tugas pengembangan serta
menugaskan kepada pihak yang memiliki akuntabilitas untuk menerapkan.
6. Arsitektur Manajemen Risiko
Kerangka Manajemen Risiko - Perbaikan
Risk naïve : Belum ada pendekatan formal yang dikembangkan untuk manajemen risiko.
Risk aware : Pendekatan manajemen risiko masih silo dan tersebar.
Risk defined : Kebijakan dan strategi manajemen risiko telah ada dan dikomunikasikan. Selera risiko telah ditetapkan.
Risk managed : Pendekatan manajemen risiko secara menyeluruh telah dikembangkan dan dikomunikasikan.
Risk enabled : Manajemen risiko dan pengendalian intern telah melekat sepenuhnya dengan operasi atau aktivitas
organisasi.
Risk defined, auditor intern masih berperan sebagai fasilitator manajemen risiko namun sudah bisa
memakai hasil penilaian risiko oleh manajemen jika dirasa layak. Artinya, pada level risk defined ini ada
peluang untuk mulai melakukan RBIA.
Risk managed dan rRsk enabled auditor dapat sepenuhnya menerapkan RBIA dengan melakukan audit
terhadap proses manajemen risiko dan memanfaatkan hasil penilaian risiko oleh manajemen.
6. Proses Manajemen Risiko
Proses manajemen risiko hendaknya menjadi bagian integral manajemen dan pengambilan keputusan,
serta diintegrasikan ke dalam struktur, operasi, dan proses organisasi yang diterapkan pada tingkat
strategis, operasional, program, ataupun proyek.
Dapat saja ada banyak penerapan proses manajemen risiko di dalam organisasi, yang disesuaikan untuk
mencapai sasaran dan menyesuaikan konteks eksternal dan internal tempat proses diterapkan, termasuk
di dalamnya jenis risiko yang dikelola organisasi.
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko - Komunikasi
INTERNAL
EKSTERNAL
KOMUNIKASI KONSULTASI
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko - Komunikasi
Selain itu, komunikasi dan konsultasi dalam proses manajemen
risiko dapat digunakan untuk:
• Menentukan konteks dengan benar;
• Memahami kepentingan seluruh pemangku kepentingan dan dipertimbangkan
dengan baik;
• Mendapatkan manfaat dari berbagai macam keahlian (multi disiplin);
• Membantu memastikan bahwa semua risiko telah teridentifikasi dengan baik;
• Membantu proses manajemen perubahan;
• Memperoleh dukungan dan persetujuan untuk tindakan perlakuan risiko
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko - Komunikasi
Contoh penyiapan komunikasi dan konsultasi dalam proses
manajemen risiko dengan memanfaatkan Matriks RACI.
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko - Komunikasi
Ruang
Lingkup –
Risk
Category
Contoh:
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Lingkup, Konteks, Kriteria
Ruang Lingkup – Risk Breakdown Structure
Contoh:
RBS LEVEL 0 RBS LEVEL 1 RBS LEVEL 2 RISKS
1.1. Ruang lingkup definisi 8
1.2. Technical interface 4
1. Konten teknis 1.3. Tes dan penerimaan 10
27 risiko 1.4. Proses bisnis 2
1.5. Development life cycle 4
1.6. Akuisisi hardware 1
Risiko proyek 2.1. Pemasok / hubungan pelanggan 3
(60 Risiko)
2.2. Alokasi sumber daya 8
2. Manajemen
2.3. Komunikasi 2
29 risiko
2.4. Program management organization 8
2.5. Fasilitas dan infrastruktur 3
3. Komersial 3.1. Contract management 5
7 risiko 3.2. Subcontract issues 2
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Lingkup, Konteks, Kriteria
Risiko
Hukum Cyber Risk
Kualitatif Kuantitatif
Risiko Kepatuhan
Risiko Reputasi
Risiko
Pasar
Keterangan:
Sumbu X: Sumber Risiko
Eksternal Sumbu Y: Teknik Asesmen
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Lingkup, Konteks, Kriteria
Lingkup Manajemen Risiko
Dalam lingkup manajemen risiko perlu ditentukan:
• Cakupan pengelolaan risiko (project, proses, produk, unit kerja, dll);
• Siapakah pemilik risiko (akuntabilitas dan responsibilitas terkait);
• Metodologi, teknik, model, form yang digunakan;
• Keluaran yang diharapkan;
• Sumber daya yang diperlukan.
Hal-hal tersebut di atas sifatnya unik dan khas untuk tiap penerapan konteks
manajemen risiko (tailored).
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Lingkup, Konteks, Kriteria
Lingkup Manajemen Risiko
Contoh: Prosedur Manajemen Risiko
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Lingkup, Konteks, Kriteria
Lingkup Manajemen Risiko
Contoh: Instruksi Kerja Manajemen Risiko
Kode
BAGIAN JUDUL Halaman
Dokumen
PMR-6 Rev
INSTRUKSI KERJA
00
6.1 Tinjauan Umum PMR-6.1
Instruksi Kerja Pengisian Formulir Analisis Lingkungan Internal
6.2 dan Eksternal PMR-6.2
6.3 Instruksi Kerja Pengisian Formulir Database Peristiwa Risiko PMR-6.3
6.4 Instruksi Kerja Pengisian Formulir Penetapan Risk Appetite PMR-6.4
6.5 Instruksi Kerja Pengisian Formulir Deployment Risk Tolerance PMR-6.5
Instruksi Kerja Pengisian Formulir Identifikasi Peristiwa - Level
6.6 Korporat PMR-6.6
Instruksi Kerja Pengisian Formulir Identifikasi Peristiwa - Level
6.7 Proses PMR-6.7
Instruksi Kerja Pengisian Formulir Daftar Risiko - Level
VI
6.8 Korporat PMR-6.8
6.9 Instruksi Kerja Pengisian Formulir Daftar Risiko - Level Proses PMR-6.9
6.10 Instruksi Kerja Pengisian Formulir Pengukuran Level Risiko PMR-6.10
Instruksi Kerja Pengisian Formulir Penaksiran Status
6.11 Pengendalian - Level Korporat PMR-6.11
Instruksi Kerja Pengisian Formulir Penaksiran Status
6.12 Pengendalian - Level Proses PMR-6.12
Instruksi Kerja Pengisian Formulir Laporan penerapan
6.13 Manajemen Risiko - Level Korporat PMR-6.13
Instruksi Kerja Pengisian Formulir Laporan Penerapan
6.14 Manajemen Risiko - Level Proses PMR-6.14
6.15 Instruksi Kerja Pengisian Formulir Reviu Manajemen Risiko PMR-6.15
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Lingkup, Konteks, Kriteria
Konteks eksternal dan internal adalah lingkungan yang dicari
organisasi untuk menentukan dan mencapai sasarannya.
Konteks proses manajemen risiko sebaiknya ditetapkan dari pemahaman
terhadap lingkungan eksternal dan internal tempat organisasi beroperasi dengan
mempertimbangkan lingkungan spesifik dari aktivitas yang menjadi sasaran
penerapan manajemen risiko (organisasi menetapkan konteks
eksternal dan internal proses manajemen risiko dengan
mempertimbangkan faktor internal/eksternal organisasi).
Pemahaman akan konteks di atas penting karena:
manajemen risiko dilakukan dalam konteks sasaran dan aktivitas organisasi;
faktor organisasi dapat menjadi sumber risiko;
tujuan dan ruang lingkup proses manajemen risiko mungkin berhubungan
dengan sasaran organisasi secara keseluruhan.
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Lingkup, Konteks, Kriteria
Rendah Tinggi
PENDUKUNG WASPADA
SIAPA SAJA? SIAPA SAJA?
Tinggi
POTENSI DUKUNGAN
STRATEGI: STRATEGI:
LIBATKAN KOLABORASI
MARGINAL ANCAMAN
SIAPA SAJA? SIAPA SAJA?
STRATEGI: STRATEGI:
Rendah
MONITOR BERTAHAN
POTENSI ANCAMAN
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Lingkup, Konteks, Kriteria
Catatan:
Hasil akhir : semua rendah daya tawar RENDAH
“1” aspek tinggi daya tawar TINGGI
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Lingkup, Konteks, Kriteria
6. Proses Manajemen Risiko
Proses Manajemen Risiko – Lingkup, Konteks, Kriteria
6. Proses Manajemen Risiko
Proses Manajemen Risiko – Lingkup, Konteks, Kriteria
Organisasi hendaknya menentukan jumlah dan jenis risiko yang dapat atau
tidak dapat diambil, relatif terhadap sasaran;
Organisasi juga perlu menentukan kriteria untuk mengevaluasi signifikansi
risiko dan untuk mendukung proses pengambilan keputusan;
Kriteria risiko sebaiknya selaras dengan kerangka kerja manajemen risiko
dan disesuaikan dengan tujuan khusus dan ruang lingkup aktivitas yang
dicakup;
Kriteria risiko sebaiknya merefleksikan nilai, sasaran, dan sumber daya
organisasi serta konsisten dengan kebijakan dan pernyataan tentang
manajemen risiko;
Kriteria sebaiknya ditentukan dengan mempertimbangkan kewajiban
organisasi dan pandangan pemangku kepentingan;
Meski kriteria risiko sebaiknya ditetapkan pada awal proses penilaian risiko,
kriteria itu dinamis dan sebaiknya selalu ditinjau dan disesuaikan, bila
diperlukan.
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Lingkup, Konteks, Kriteria
Dalam merumuskan kriteria risiko, organisasi perlu
mempertimbangkan:
sifat dan jenis ketidakpastian yang dapat memengaruhi hasil keluaran dan
sasaran (baik tangible maupun intangible);
bagaimana konsekuensi (baik positif maupun negatif) dan kemungkinan akan
ditentukan dan diukur;
faktor terkait waktu;
konsistensi penggunaan ukuran;
bagaimana tingkat risiko ditentukan;
bagaimana kombinasi dan urutan berbagai risiko akan diperhitungkan;
kapasitas organisasi.
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Lingkup, Konteks, Kriteria
Kriteria kemungkinan-
kejadian (likelihood)
Kriteria konsekuensi
Kriteria risiko (consequences)
Kriteria proses
manajemen risiko
Kriteria peringkat
risiko (risk level)
Kriteria efektifitas
Menentukan Kriteria pengendalian risiko (risk
risiko control effectiveness)
Likelihood Criteria:
Probability
Likelihood
Parameter: Exposure of Likelihood
Rating
% Chance of a risk may
occur within a year
0 – 20 % Almost Never 1
21 – 40 % Unlikely 2
41 – 60 % Possible 3
61 – 80 % Likely 4
Financial Financial
Criteria: Criteria:
Revenue NPBT Exposure of Rating
Consequence
Parameter: Parameter:
Unachieved annual Unachieved annual
target target
Operational Criteria:
Disruption of support
function Exposure of Rating
Consequence
Parameter:
Types of disruption
Disruption of support function without further impact Insignificant 1
Disruption of support function which
may negatively affects performance
Minor 2
level of entire unit
Disruption of support function which may
negatively affects performance/service level of other supporting unit
Moderate 3
Negative publicity is going viral in social media/internet for >1 day &
at national mass media and or TV news
Significant 5
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Lingkup, Konteks, Kriteria
Kombinasi eksposur risiko dengan menggunakan alat bantu berupa peta risiko
Certain
Almost
5 MEDIUM HIGH HIGH CRISIS CRISIS
5 10 15 20 25
Likely
4 LOW MEDIUM HIGH CRISIS CRISIS
LIKELIHOOD
4 8 12 16 20
1 2 3 4 5
CONSEQUENCE
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Lingkup, Konteks, Kriteria
Sebagian 3 2 2
Tidak 6 3 3
+ + =
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Lingkup, Konteks, Kriteria
Control Effectiveness (CE)
Criteria: Existing Effectiven Effec
Control Poin
ess t.
Parameter: Level Ratin
Operability& reliability of existing control g
Certain
Almost 5 MEDIUM HIGH HIGH CRISIS CRISIS
Likely 5 10 15 20 25
4 8 12 16 20
Never Unlikely Possible
1 2 3 4 5
CONSEQUENCE
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Lingkup, Konteks, Kriteria
6. ArsitekturManajemen Risiko
Proses Manajemen Risiko – Lingkup, Konteks, Kriteria
Risk Capacity dalam memperhitungkan
Risk Apetite & Risk Tolerance
Risk Capacity
Risk Tolerance (there is some debate regarding this)
Temporarily exceeding approved risk appetite
Approved Risk Appetite
Risk Tolerance : Tingkat variasi relatif yang dapat diterima terhadap pencapaian tujuan – tujuan.
Risk Capacity : Jumlah risiko di mana entitas organisasi mampu mendukung pencapaian sasarannya.
6. ArsitekturManajemen Risiko
Proses Manajemen Risiko – Lingkup, Konteks, Kriteria
Risiko Risk Appetite Statement Risk Tolerance Risk Profile Condition
Fraud Fraud dalam bentuk apapun tidak bisa Zero Tolerance 1 Fraud Internal di
diterima oleh perusahaan Kantor Cabang
Cyber Risk Perusahaan menghindari risiko baik Maksimum 1 Kali dalam Tidak ada serangan
berupa serangan hacker maupun virus 3 Tahun hacker dan virus dalam 3
tahun terakhir
Likuiditas Rasio Likuiditas di jaga pada Rasio Likuiditas per Rasio Likuiditas per
persentase 200% bulan laporan 150% bulan laporan 180%
Menentukan kriteria
Konsekuensi yang perlu dipertimbangkan?
Bagaimana cara mengukurnya?
Bagaimana cara mengukur likelihood?
Bagaimana cara menggabungkan semua hal tersebut
untuk menentukan tinkat risiko?
Tingkat risiko yang dapat diterima/ditoleransi?
6. ArsitekturManajemen Risiko
Proses Manajemen Risiko – Penilaian Risiko
• Penilaian risiko adalah proses
menyeluruh dari identifikasi
risiko, analisis risiko, dan
evaluasi risiko.
• Penilaian risiko dilakukan
secara sistematis, berulang,
dan kolaboratif, berdasarkan
pengetahuan dan pandangan
pemangku kepentingan.
• Penilaian sebaiknya
berdasarkan informasi terbaik
yang tersedia, dan dapat
didukung oleh kajian lanjutan
sesuai kebutuhan.
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Penilaian Risiko
1. Probababilitas
2. Dampak dari Risiko
3. Inherent Risk & Residual Risk
1. Risk Ranking
2. Likelihood & Consequence Matrix
6. ArsitektiurManajemen Risiko
Proses Manajemen Risiko – Penilaian Risiko
Type of risk
N&D
assessment Description R&C C QO
of U
technique
Check-lists A simple form of risk identification. A techniques which provides Low Low Low No
a listing of typical uncertainties which need to be considered.
Risk Identification
Users refer to a previously developed list, codes or standards
Preliminary A simple inductive method of analysis whose objective is to Low High Med No
hazard analysis identify the hazards and hazardous situations and events that
can cause harm for a given activity, facility or system Risk Identification
Keterangan:
- R&C: Resource and capability
- N&D of U: Nature and degree of uncertainty
- C: Complexity
- QO: Quantitative output
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Penilaian Risiko
Type of risk
N&D
assessment Description R&C C QO
of U
technique
Structured A means of collecting a broad set of ideas and evaluation, Low Low Low No
interview and ranking them by a team. Brainstorming may be stimulated by
brains-torming prompts or by one-on-one and one-on-many inteview Risk Identification
techniques.
Delphi technique A means of combining expert opinions that may support the Med Med Med No
source and influence identification, probability and
consequence estimation and risk evaluation. It is a collaborative Risk Identification
technique for building concensus among experts. This
technique involving independent analysis and voting by experts.
Keterangan:
- R&C: Resource and capability
- N&D of U: Nature and degree of uncertainty
- C: Complexity
- QO: Quantitative output
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Penilaian Risiko
Type of risk
N&D
assessment Description R&C
of U
C QO
technique
SWIFT A system for prompting a team to identify risks. Normally used Med Med Any No
Structured within a facilitated workshop. Normally linked to a risk analysis Risk Identification, Risk Analysis (C,
“what-if” and evaluation techniques P, L), & Risk Evaluation
Human reliability Human reliability analysis (HRA) deals with the impact of Med Med Med Yes
analysis (HRA) humans on system performance and can be used to evaluate Risk Identification, Risk Analysis (C,
human errors influences on the system. P, L), & Risk Evaluation
Keterangan:
- R&C: Resource and capability
- N&D of U: Nature and degree of uncertainty
- C: Complexity
- QO: Quantitative output
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Penilaian Risiko
Type of risk
N&D
assessment Description R&C
of U
C QO
technique
Root cause A single loss that has occured is analyzed in order to understand Med Low Med No
analysis (single contributory causes and how the system or process can be
loss analysis) improved to avoid such future losses. The analysis shall consider Risk Analysis (C, P, L), & Risk
what controls were in place at the time the loss occured and Evaluation
how controls might be improved.
Scenario analysis Possible future scenarios are identified through imagination or Med High Med No
extrapolation from the present and different risks considered Risk Identification, Risk
Analysis (C, P, L), & Risk
assuming each of these scenarios might occur. This can be done Evaluation
formally or informally, qualitatively or quantitatively
Keterangan:
- R&C: Resource and capability
- N&D of U: Nature and degree of uncertainty
- C: Complexity
- QO: Quantitative output
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Penilaian Risiko
Type of risk
N&D
assessment Description R&C
of U
C QO
technique
Toxicological risk Hazards are identified and analysed and possible pathways by High High Med Yes
assessment which a specified target might be exposed to the hazard are
(Environmental identified. Information on the level of exposure and the nature Risk Identification, Risk Analysis (C,
P, L), & Risk Evaluation
risk assessment) of harm caused by a given level of exposure are combined to
give a measure of the probability that the specified harm will
occur.
Business impact Provides an analysis of how key disruption risks could affect an Med Med Med No
analysis organization’s operations and identifies and quantitative the Risk Identification, Risk Analysis (C,
capabilities that would be required to manage it. P, L), & Risk Evaluation
Keterangan:
- R&C: Resource and capability
- N&D of U: Nature and degree of uncertainty
- C: Complexity
- QO: Quantitative output
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Penilaian Risiko
Type of risk
N&D
assessment Description R&C
of U
C QO
technique
Fault tree analysis A technique which starts with the undesired event (top event) High High Med Yes
and determine all the ways in which it could occur. These are Risk Identification, Risk Analysis (P,
displayed graphically in a logical tree diagram. Once the fault L), & Risk Evaluation
tree has been developed, consideration should be given to
ways of reducing or eliminating potential causes/sources.
Event tree Using inductive reasoning to translate probabilities of different Med Med Med Yes
analysis initiating events into possible outcomes. Risk Identification, Risk Analysis (C,
P, L)
Keterangan:
- R&C: Resource and capability
- N&D of U: Nature and degree of uncertainty
- C: Complexity
- QO: Quantitative output
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Penilaian Risiko
7/8; 8/8
SCENARIO ANALYSIS: Eight techniques
Type of risk
N&D
assessment Description R&C
of U
C QO
technique
Cause / A combination of fault and event tree analysis that allows High Med High Yes
consequence inclusion of time delays. Both causes and consequences of an Risk Identification, Risk Analysis (P,
analysis initiating event are considered. L), & Risk Evaluation
Cause-and-effect An effect can have a number of contributory factors which may Low Low Med No
analysis be grouped into different categories. Contributory factors are Risk Identification, Risk Analysis
identified often through brainstorming and displayed in a tree (C,)
structure or fishbone diagram.
Keterangan:
- R&C: Resource and capability
- N&D of U: Nature and degree of uncertainty
- C: Complexity
- QO: Quantitative output
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Penilaian Risiko 1/5
FUNCTION ANALYSIS: Five techniques
Type of risk
N&D
assessment Description R&C
of U
C QO
technique
FMEA and FMEA (Failure Mode and Effect Analysis) is a technique which Med Med Med Yes
FMECA identifies failure modes and mechanisms, and their effects. There
are several types of FMEA: Design (or product) FMEA which is
used for components and products. System FMEA which is used
for systems. Process FMEA which is used for manufacturing and Risk Identification, Risk Analysis
assembly processes. Service FMEA and Sotware FMEA (C,P, L), & Risk Evaluation
centred to manage failures so as to efficiently and effectively achieve Risk Identification, Risk Analysis
maintenance the required safety, availability and economy of operation for (C,P, L), & Risk Evaluation
all types of equipment.
Sneak analysis A methodology for identifying design errors. A sneak condition Med Med Med No
Type of risk
N&D
assessment Description R&C
of U
C QO
technique
HAZOP A general process of risk identification to define possible Med High High No
Hazard and deviations from the expected or intended performance. It uses
operability a guideword based system. Risk Identification, Risk Analysis
(C,P, L), & Risk Evaluation
studies
The criticalities of the deviations are assessed
HACCP A systematic, proactive, and preventive system for assuring Med Med Med No
Hazard analysis product quality, reliability and safety of processes by Risk Identification, Risk Analysis
and critical measuring and monitoring specific characteristics wich are (C), Risk Evaluation
control points required to be within defined limits.
Keterangan:
- R&C: Resource and capability
- N&D of U: Nature and degree of uncertainty
- C: Complexity
- QO: Quantitative output
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Penilaian Risiko
Type of risk
N&D
assessment Description R&C
of U
C QO
technique
LOPA (It may also be called barrier analysis). It allows controls and Med Med Med Yes
(Layers of their effectiveness to be evaluated. Risk Identification, Risk
protection Analysis (C,P, L),
analysis)
Bow tie analysis A simple diagrammatic way of describing and analysing the Med High Med Yes
pathways of a risk from hazards to outcomes and reviewing
controls. It can be considered to be a combination of the logic Risk Analysis (C,P,L), Risk
Evaluation
of a fault free analysing the cause of an event (represented by
the knot of a bow tie) and an event tree analysing the
consequences.
Keterangan:
- R&C: Resource and capability
- N&D of U: Nature and degree of uncertainty
- C: Complexity
- QO: Quantitative output
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Penilaian Risiko
Type of risk
N&D
assessment Description R&C
of U
C QO
technique
Bayesian A statistical procedure which utilize prior distribution data to High Low High Yes
analysis assess the probability of the result. Bayesian analysis depends
upon the accuracy of the prior distribution to deduce an Risk Analysis (C), Risk
accurate result. Bayesian belief networks model cause-and- evaluaiton
effect in a variety of domains by capturing probabilistics
relationships of variable inputs to derive a result.
Markov analysis Markov analysis, sometimes called state-space analysis, is High Low High Yes
commonly used in the analysis of repairable complex systems
Risk Identification, Risk
that can exist in multiple states, including various degraded Analysis (C,)
states.
Keterangan:
- R&C: Resource and capability
- N&D of U: Nature and degree of uncertainty
- C: Complexity
- QO: Quantitative output
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Penilaian Risiko
Monte-Carlo Monte Carlo simulation is used to establish the aggregate High Low High Yes
analysis variation in a system resulting from variations in the system,
for a number of inputs, where each input has a defined
distribution and the inputs are related to the output via Risk evaluaition
defined relationships. The analysis can be used for a specific
model where the interactions of the various inputs can be
mathematically defined. The inputs can be based upon a
variety of distribution types according to the nature of the
uncertainty they are intended to represent. For risk
assessment, triangular distributions or beta distributions are
commonly used.
Keterangan:
- R&C: Resource and capability
- N&D of U: Nature and degree of uncertainty
- C: Complexity
- QO: Quantitative output
6. Arsitektur Manajemen Risiko
Level Korporasi
Berbasis Sasaran
Detail Aktivitas
Konteks Eksternal
Konteks Internal
Pengumpulan
Penyesuaian
Laporan
Identifikasi Risiko
Berbasis Proses
Level Aktivitas
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Penilaian Risiko/Identifikasi
1) Sasaran spesifik;
2) Peristiwa risiko;
Hujan besar ketika fondasi akan Galian terisi air yang harus Akan menunda pembuatan
dituangkan dipompa keluar fondasi
Tertinggal saat “zeroing” di Nilai akhir dari harga kontrak Menyebabkan profit margin
harga saat penawaran mungkin terlalu rendah yang ditagetkan tidak tercapai
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Penilaian Risiko/Identifikasi
Dokumentasi Proses Identifikasi Risiko
Template identifikasi risiko (contoh):
Proses / Kejadian risiko/ Dampak / efek
Area yang deskripsi Sebab/faktor yang (apa yang terjadi Ancaman/ Tujuan
No
menjadi (apa yang bisa berkontribusi bila risiko Peluang utama
perhatian bermasalah) terjadi)
Hujan lebat;
Keterlambatan
Galian dipenuhi Tidak ada perlindungan Waktu
1. Fondasi dalam konstruksi Ancaman
air terhadap hujan; jadwal
pondasi
Tidak ada pompa air
• Penundaan dari pemasok
karena keterlambatan
Beberapa
pembayaran; • Penundaan
Proses bagian tidak Waktu
2 • Kecelakaan transportasi penyelesaian Ancaman
perakitan dikirim tepat jadwal
saaat pengiriman barang produk
waktu
• Perencanaan pengadaan
yang buruk
6. Arsitektur Manajemen Risiko
Pengendalian risiko
yang ada dan yang Kesenjangan yang
dilaksanakan pada saat ditemukan antara
Tuntutan maksimum tuntutan maksimum
ini Penilaian efektifitas
menurut standard terkait dan kondisi saat ini
yang ada saat ini di existing risk control sesuai
dalam industri sejenis dengan kesenjangan yang
(benchmark) ditemukan
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Penilaian Risiko/Analisis
Efektivitas kendali
(saat ini & tambahan)
Kuantitatif
Inheren
Residu
Analisis Semi- Kuantitaitif
Risiko
Kualitatif
Kemungkinan-Kejadian Konsekuensi
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Penilaian Risiko/Analisis
1) Evaluasi efektivitas kendali;
2) Tingkat kemungkinan-kejadian,
3) Tingkat konsekuensi;
Analisis 4) Berdasarkan inheren;
Risiko 5) Berdasarkan residu;
6) Pemeringkatan risiko;
7) Pemetaan risiko;
8) dll.
Peristiwa yang ketidakpastiannya tinggi dapat sulit untuk dikuantifikasi (contoh: menganalisis peristiwa
dengan konsekuensi yang parah). Pada kasus semacam itu, penggunaan kombinasi beberapa teknik
dapat memberikan wawasan yang lebih luas.
Analisis risiko juga memberikan masukan untuk aktivitas evaluasi risiko, guna memutuskan apakah
risiko memerlukan perlakuan dan bagaimana perlakuannya, serta mengenai strategi dan metode
perlakuan risiko yang paling sesuai.
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Penilaian Risiko/Analisis
Sebagai dasar untuk melakukan evaluasi risiko, maka hendaknya proses analisis
risiko dilakukan sebagai berikut:
• Identifikasi dan evaluasi efektivitas pengendalian risiko yang ada;
• Menentukan tingkat kemungkinan dan dampak risiko;
• Menentukan peringkat risiko.
6. Arsitektur Manajemen Risiko
Almos
certai
n
5
t
5 10 15 20 25 Prioritize response
to this risk (1st),
UnlikelyProbable Likely
4
Likelihood
4 8 12 16 20
3
2 4 6 8 10
Almos
never
1
t
Risk Tolerance
1 2 3 4 5 Line
1 2 3 4 5
Very Very
and the last Low Medium High
low high
is this risk
then this Cosequence
(5th).
risk (4th),
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Penilaian Risiko/Evaluasi
Profil Risiko
11 1. Risk A
certain
Almost
2. Risk B
5
MEDIUM HIGH HIGH CRISIS CRISIS
5 10 15 20 25 3. Risk C
4 4 4. Risk D
Likel 3 2
5 5 5. Risk E
4
y
MEDIUM MEDIUM
MEDIUM HIGH CRISIS CRISIS
4 8 12 16 20
Likelihood
Inherent Exposure
Unlikely Possible
3 2 1
3
LOW MEDIUM
MEDIUM HIGH HIGH HIGH Current Exposure (taking
3 6 9 12 15
the effectiveness of
existing controls into
account)
2
LOW LOW
MEDIUM MEDIUM MEDIUM HIGH
2 44 6 88 10
Residual Exposure
(taking the effectiveness
Almos
never
1
1 2 3 4 5
Catatan:
SA : Strongly applicable
A : Applicable
NA : Not Applicable
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Penilaian Risiko/Evaluasi
Teknik yang dapat dipergunakan untuk mengevaluasi risiko
Tools and Techniques Risk Evaluation
Human Reliability Analysis A
Bow tie analysis A
Reliability centered maintenance SA
Monte Carlo simulation SA
Bayesian statistics & Bayes network SA
FN curves SA
Risk indices SA
Consequence/probability matrix A
Cost/benefit analysis A
Multi-criteria decision analysis (MCDA) A
Catatan:
SA : Strongly applicable
A : Applicable
NA : Not Applicable
6. Proses Manajemen Risiko
Proses Manajemen Risiko – Penilaian Risiko/Evaluasi
Evaluasi risiko dapat membawa pada keputusan untuk:
• tidak melakukan apa pun lebih lanjut;
• mempertimbangkan opsi perlakuan risiko;
• melakukan analisis lanjutan untuk memahami risiko dengan lebih
baik;
• memelihara pengendalian yang ada;
• mempertimbangkan kembali sasaran.
Keputusan hasil evaluasi risiko hendaknya mempertimbangkan
konteks yang lebih luas, serta konsekuensi aktual yang
dipersepsikan terhadap pemangku kepentingan eksternal dan
internal
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Perlakuan Risiko
Risk Exploit
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Perlakuan Risiko
Avoid/
Sharing
Mitigation
Accepted/
Mitigation
Accepted/Exploit
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Perlakuan Risiko
Strategi Pemilihan Opsi Penanganan Risiko
MENGHINDARI
Menghindari risiko adalah suatu strategi untuk meniadakan risiko sepenuhnya dengan tidak melakukan
kegiatan/proyek yang diperkirakan mempunyai risiko melebihi selera risiko organisasi
Beberapa hal yang harus dipertimbangkan sebelum mengambil keputusan untuk melakukan
penghindaran risiko:
Dampak terhadap sasaran bisnis/organisasi
Dampak biaya
Peluang
6. Arsitektur Manajemen Risiko
MITIGASI
Mitigasi risiko adalah perlakuan risiko yang bertujuan untuk mengurangi risiko.
Beberapa metode untuk melakukan mitigasi, antara lain dengan menggunakan Ishikawa Diagram,
FMEA, serta perbaikan prosedur dan kebijakan (tindakan pengendalian)
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Perlakuan Risiko
Strategi Pemilihan Opsi Penanganan Risiko
BERBAGI
Berbagi risiko adalah strategi yang digunakan untuk memindahkan sebagian dari risiko ke
individu, entitas bisnis, atau organisasi lain.
Memindahkan risiko tidak berarti mengurangi tingkat kegawatan risiko, tetapi hanya
memindahkan ke pihak lain.
Strategi menerima risiko merupakan suatu strategi untuk menerima risiko karena memang lebih
ekonomis untuk menerima risiko tersebut.
Selain itu, risiko diterima juga karena tidak tersedia alternatif lain untuk menghindari risiko,
berbagi risiko, atau melakukan mitigasi atas risiko tersebut.
EKSPLOITASI
Strategi eksploitasi risiko merupakan suatu strategi untuk menerima, bahkan menambah risiko
karena manfaat yang diberikan melalui pengambilan risiko jauh lebih besar ketimbang biaya yang
harus ditanggung bila risiko terjadi.
Adapun eksploitasi risiko dilakukan dengan cara menambah intensitas aktivitas, di mana risiko
melekat, atau untuk mencapai sasaran di mana risiko melekat.
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Perlakuan Risiko
Justifikasi untuk perlakuan risiko lebih luas daripada sekadar pertimbangan ekonomi dan
sebaiknya memperhitungkan semua unsur kewajiban, komitmen sukarela, dan
pandangan pemangku kepentingan dari organisasi.
Ketika memilih opsi perlakuan risiko, organisasi sebaiknya
mempertimbangkan nilai, persepsi, dan potensi keterlibatan
pemangku kepentingan, serta cara paling tepat untuk
berkomunikasi dan berkonsultasi dengan mereka.
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Perlakuan Risiko
Perlakuan risiko, bahkan jika sudah dirancang dan diterapkan dengan hati-hati, mungkin
tidak mencapai hasil keluaran yang diharapkan dan dapat memberi konsekuensi yang
tidak diharapkan. Pemantauan dan tinjauan perlu menjadi bagian integral implementasi
perlakuan risiko untuk memberi pemastian bahwa berbagai bentuk perlakuan menjadi
dan tetap efektif.
Perlakuan risiko juga dapat menimbulkan risiko baru yang perlu dikelola.
Risiko yang tersisa sebaiknya didokumentasikan dan menjadi subjek pemantauan,
tinjauan, dan, bila diperlukan, perlakuan lanjutan.
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Perlakuan Risiko
Rencana perlakuan risiko perlu dirumuskan dan dikomunikasikan kepada para pemangku
kepentingan (yang terlibat / mendapat pengaruh dari pelaksanaan perlakuan risiko)
untuk menentukan bagaimana opsi perlakuan yang dipilih dapat diterapkan, sehingga
pengaturannya dapat dipahami oleh pihak yang terlibat dan
kemajuan rencananya dapat dipantau. Rencana perlakuan hendaknya secara jelas
mengidentifikasi urutan perlakuan risiko yang akan diterapkan Rencana perlakuan juga
hendaknya terintegrasi dengan rencana dan proses manajemen organisasi.
6. Arsitektur Manajemen Risiko
Proses Manajemen Risiko – Perlakuan Risiko
Informasi di dalam rencana perlakuan risiko meliputi:
• alasan pemilihan opsi perlakuan, termasuk manfaat yang diharapkan;
• pihak yang memiliki akuntabilitas dan tanggung jawab untuk persetujuan dan implementasi
rencana;
• tindakan yang diusulkan;
• sumber daya yang dibutuhkan, termasuk kontingensi;
• ukuran kinerja;
• batasan;
• pelaporan dan pemantauan yang diperlukan;
• kapan tindakan diharapkan dapat dilakukan dan diselesaikan.
6. Arsitektur Manajemen Risiko
Memastikan bahwa pengendalian risiko berjalan efektif dan efisien sesuai dengan rancang bangun dan
secara operasi
Mendapatkan pelajaran dari peristiwa risiko yang telah lalu, perubahan yang terjadi, trend, keberhasilan
maupun kegagalan penanganan risiko
Mendeteksi perubahan konteks internal maupun eksternal, termasuk perubahan kriteria risiko dan
kondisi risiko itu sendiri, yang menuntut penyesuaian perlakuan risiko serta kemungkinan perubahan
prioritas
Integrated Silo
Comprehensive top risk (top down & bottom up model) Top risk masih terlalu fokus pada bottom up model
Risk is the effect of uncertainty on objectives Belum terbedakan antara risiko dengan problem
Clarity (risk event, risk cause, risk indicator) Confused & ambiguous (sering tertukar)
Risk indicator: based on data base & tacit knowledge Risk indicator: lack of database, ignore tacit knowledge