Module CPRM - Rmi

Professional Risk Management
Training Certification_Batch 9
Aswin Sumarto, S.S., M.M., CBIA, CHCM, QRMO, CRA, CPRM, CGRC
16 – 17 April 2022
Introduce
Personal Profile
Nama : Aswin Sumarto, S.S., M.M.
Pekerjaan Saat Ini : - Risk Management & HSE/PT. Angkasa Pura Kargo
- Associate Trainer/Revolution Mind Indonesia
Pendidikan Terakhir : Magister Manajemen [MSDM]
Pengalaman Kerja : ± 14 Tahun
Kompetensi : QHSE & Anti Bribery Management System, GRC, Risk
Management, Internal Audit, Human Capital
Management, AK3U, Pengawas K3 Migas, Auditor
SMK3
Mobile Phone : 087883111531
1. Objective
2. Risk Management Approach
3. Risk Concept
4. Strategic Management
5. Advantage of ISO 31000:2018
6. Arsitektur Manajemen Risiko ISO 31000:2018

1. Tujuan
1. Mengetahui Konsep Risiko

2. Mengetahui ISO 31000:2018 sebagai salah satu Pedoman
Internasional Penerapan Manajemen Risiko
3. Refreshment/Knowledge Insight Manajemen Risiko
4. Mengetahui Esensi Arsitektur Penerapan Manajemen Risiko
Menerapkan ERM karena compliance or awareness?
Estimasi
mayoritas
karena
compliance
Sumber:
• ERM Survey Risk Intelligence in banking on the Georgian market 2016 – Deloitte
• Survei Nasional Manajemen Risiko 2019 – CRMS Indonesia
INHERENT RISK
COMPLIANCE SILO MANAGEMENT FAKTOR INTERNAL FAKTOR EKSTERNAL

 UU PT No. 40 Tahun 2007 Pasal 97  Silo Risk Management (fungsi  Keterbatasan sumber daya  Perubahan regulasi
Ayat 5 RM & tools yg berbeda) (Man, Money, Method,  Perubahan selera konsumen
 Pedoman Umum Governansi  Tidak ada harmonisasi Renstra Material, Market)  Perubahan kondisi ekonomi
Korporat Indonesia 2021 dg Risk Management  Human Error  Munculnya pesaing baru &
 Permen BUMN No. 01/MBU/2011 substitusi
GCG  Tidak terintegrasinya  Kelalaian
perencanaan antar divisi  Bottleneck proses bisnis (pos-  Perubahan teknologi
 PBI & OJK (lebih rigid)
 Temuan audit kepatuhan  Aturan tidak sesuai kondisi pos kehilangan)  Bencana alam & anomali iklim
 Pemenuhan asesmen GCG & KPKU lapangan  Pandemi
Gugatan/Sanksi Berhenti Kesalahan

Hukum Komplain Celah Fraud Pengambilan
Operasi
Keputusan
Gangguan Kerugian
Pemborosan Reputasi Fatality
Operasional Finansial
Terjaminnya strategic objective

(Laba & Shareholder Value)
1. Basel I-III
2. COSO Enterprise Risk Management – Integrated Framework
3. ISO 31000 Risk Management Guidelines
4. PMBOK Project Management of Body Knowledge
5. BS 31100 Code of Practice for Risk Management
6. OCEG Red Book 2.0 (GRC Capability Model)
7. AS/NZS
Risk Approach – Basel I
Latar belakang: Kekhawatiran atas krisis utang Amerika Latin (Brazil, Argentina, Meksiko) pada awal 1980an yang dapat
meningkatkan risiko perbankan internasional.
Risk Approach – Basel II
Latar belakang : Perubahan yang terjadi pada industri perbankan dan pasar keuangan termasuk krisis keuangan yang
terjadi di Asia Tenggara dan Asia selatan tahun 1997-1998.
Risk Approach – Basel III
Latar belakang: Krisis Keuangan Global yang terjadi pada tahun 2007-2009.
No. Regulasi OJK Standar Dokumen Basel
1 POJK Nomor: 11/POJK.03/2016 Tentang Kewajiban Penyediaan Modal Minimum Bank Umum Common Equity Tier (CET) 1, Additional Tier (AT) 1, Tier 2 Basel III: A Global Regulatory Framework for More Resilient
Banks and Banking Systems (2011)
Capital Conservation Buffer (CCB)
Countercyclical Buffer (CCyB)
Risk Approach – Basel
2 SEOJK Nomor 20/SEOJK.03/2016 tentang Fitur Konversi Menjadi Saham Biasa atau Write Down Capital Loss Absorption at the Point of Non-Viability Press Release - Basel Committee Issues Final Elements of
Terhadap Instrumen Modal Inti Tambahan dan Modal Pelengkap (PONV) the Reforms to Raise the Quality of Regulatory Capital
(2011)
3 SEOJK Nomor 42/SEOJK.03/2016 tentang Pedoman Perhitungan Aset Tertimbang Menurut Risiko Untuk Credit Risk International Convergence of Capital Measurement and
Risiko Kredit Dengan Menggunakan Pendekatan Standar Capital Standards : A Revised Framework
Credit Valuation Adjustment (CVA) Risk
4 SEOJK Nomor 24/SEOJK.03/2016 tentang Perhitungan Aset Tertimbang Menurut Risiko untuk Risiko Operational Risk
Operasional dengan Menggunakan Pendekatan Indikator Dasar
5 SEOJK Nomor 38/SEOJK.03/2016 tentang Pedoman Penggunaan Metode Standar dalam Perhitungan Market Risk
Kewajiban Penyediaan Modal Minimum Bank Umum dengan Memperhitungkan Risiko Pasar.
6 SEOJK No.48/SEOJK.03/2017 Tentang Pedoman Perhitungan Tagihan Bersih Transaksi Derivatif dalam The Standardised Approach for Measuring Counterparty The Standardised Approach for Measuring Counterparty
Perhitungan Aset Tertimbang Menurut Risiko untuk Risiko Kredit dengan Menggunakan Pendekatan Credit Risk Exposures (SA-CCR) Credit Risk Exposures (2014)
Standar
7 POJK No. 11 /POJK.03/2019 Tentang Prinsip Kehati-hatian Dalam Aktivitas Sekuritisasi Aset Bagi Bank Revisions to the Securitisation Framework Revisions to the Securitisation Framework (2014 & 2016)
Umum
8 SEOJK Nomor 12 /SEOJK.03/2018 tentang Penerapan Manajemen Risiko Dan Pengukuran Risiko Interest Rate Risk in the Banking Book Interest Rate Risk in the Banking Book (2016)
Pendekatan Standar Untuk Risiko Suku Bunga Dalam Banking Book (Interest Rate Risk In The Banking
Book) Bagi Bank Umum
9 POJK Nomor 42/POJK.03/2015 tentang Kewajiban Pemenuhan Rasio Kecukupan Likuiditas (Liquidity LCR (Liquidity Coverage Ratio) Basel III: The Liquidity Coverage Ratio and liquidity risk
Coverage Ratio) Bagi Bank Umum monitoring tools (2013)
10 SE Bank Indonesia 13/36/INTERN/2011 Tentang Pedoman Pengawasan Bank Berdasarkan Risiko Untuk Monitoring Tools for Intraday Liquidity Management Monitoring Tools for Intraday Liquidity Management
Tahapan Penilaian Risiko Dan Tingkat Kesehatan Bank (RBBR) (2013)
11 POJK Nomor 50/POJK.03/2017 tentang Kewajiban Pemenuhan Rasio Pendanaan Stabil Bersih (Net Stable NSFR (Net Stable Funding Ratio) Basel III: The Net Stable Funding Ratio (2014)
Funding Ratio) bagi Bank Umum.
12 POJK No. 2/POJK.03/2018 tentang Penetapan Bank Sistemik dan Capital Surcharge D-SIB (Domestic Systemically Important Bank) A Framework for Dealing with Domestic Systemically
Important Banks (2012)
13 POJK No.32/2018 tentang Batas Maksimum Pemberian Kredit dan Penyediaan Dana Besar (Large Large Exposures Supervisory Framework for Measuring and Controlling
Exposure) bagi Bank Umum Large Exposures (2014)
Risk Approach – COSO
COSO History
• Komisi merekomendasikan
penyusunan Integrated
Guidance on Internal COSO memperbaharui 1992
SEC dan US Control COSO Model dengan
Congress • Dibentuklah COSO mensimplifikasi 20 Principles
menerbitkan FCPA (Committee of Sponsoring Meledak kasus Enron dan menjadi 17 Principles, dan
(Foreign Corrupt Organization) bekerjasama Worldcom melibatkan KAP 81 Point of Focus (COSO
Practices Act) KAP Coopers & Lybrand Arthur Andersen Diagnostic Tools)
1977 1987 2001 2013
1985 1992 2004 2014-Now

• 5 Institusi profesi (AICPA, • COSO menerbitkan Internal COSO dan PwC menerbitkan COSO dan PwC sedang
AAA, IIA, AMA, FEI) Control Integrated Framework COSO Enterprise Risk memperbaharui COSO
membentuk National (1992 COSO Model) Management (COSOSERM) ERM
Commission on Fraudulent • Diadopsi menjadi SEBI untuk penguatan aspek
Financial Reporting No.5/22/DPNP 29 Sept 2003, manajemen risiko
‘Treadway Commission’ diubah SEOJK 35/SEOJK.03/2017 (2004 COSO ERM Model)
• Diketuai James C. Treadway tentang Pedoman Standar
(anggota US Congress) Sistem Pengendalian Intern bagi
Bank Umum
- Perusahaan energi terbesar di Amerika - Provider jasa telko terbesar di AS, 85.000 pegawai
- Ranking 7 dari 500 perusahaan terkemuka (US Fortune 500) - Ranking 42 dari US Fortune 500
- Mempekerjakan 21.000 pegawai - Manipulasi aset, laba dan biaya perusahaan, melibatkan
- Penipuan akuntansi yang sistematis, melibatkan KAP Andersen Internal Audit menyembunyikan ketidakwajaran lapkeu
- Bankrut tahun 2001 dengan outstanding hutang US31,2 miliar - Bankrut pada tahun 2002 dengan mem-PHK 17.000 pegawai
COSO ICIF MODEL COSO ERM MODEL

1992 COSO MODEL COSO-ERM MODEL
Tujuan dari IC (Internal Control) terdiri dari 1.Operation Objectives

operations, Financial reporting, dan compliance : Tujuan operasional terkait dengan pencapaian visi, misi,
dan tujuan didirikannya entitas. Tujuan ini terkait dengan
1.Operasional (Operation) peningkatan financial performance, produktivitas, kualitas,
Pengendalian internal untuk mencapai tujuan environmental practices, return of assets, dan likuiditas.
operasional dilakukan agar sumber daya yang
tersedia digunakan secara efektif dan efisien. 2.Reporting Objectives
Tujuan pelaporan berkaitan dengan penyusunan laporan
2.Pelaporan Keuangan (Financial Reporting) untuk digunakan oleh organisasi dan stakeholders yang
Pengendalian internal pada bagian pelaporan berhubungan dengan pelaporan finansial/non-finansial
keuangan dilakukan agar laporan yang dihasilkan serta pelaporan eksternal/ internal.
dapat diandalkan.
3.Compliance Objectives
3.Kepatuhan (Compliance) Aturan dan hukum merupakan standar minimal dari
Pengendalian internal dengan tujuan kepatuhan perilaku organisasi. Organisasi diharapkan akan
dilakukan agar dapat menjaga kepatuhan terhadap menggabungkan standar tersebut ke dalam tujuan dari
hukum dan peraturan yang berlaku. entitas, bahkan organisasi dapat menetapkan standar yang
lebih tinggi daripada yang ditetapkan oleh hukum dan
peraturan.
Ada yang menguji dan

Orang di dalam rumah, bisa
memeriksa efektivitas
dipercaya ?
keamanan secara berkala
Tugasnya jelas ?
Monitoring
Lingkungan Pengendalian
(Control Environment)
Jika terjadi sesuatu, siapa yang dihubungi
pertama kali ?
Jika ada kelemahan, siapa yang Kunci gembok ? Kontrol keluar-masuk
memperbaiki ? rumah ? Satuan Pengamanan?
Sistem Informasi & Komunikasi Aktivitas Pengendalian
Information & Communication (Control Activities)
SOP acuan antisipasi potensi pencuri
masuk dari atas, belakang, dan
samping rumah.
Penilaian Risiko
(Risk assessment)
3. Risk Concept
Definition of Risk
Risiko sering dikenali sebagai "potensi kejadian"
(sebagaimana didefinisikan dalam Pedoman ISO
“The possibility that an event will 73:2009, 3.5.1.3) dan "konsekuensi" (sebagaimana
occur and adversely affect the didefinisikan dalam Pedoman ISO 73: 2009, 3.6.1.3),
achievement of objectives” (COSO ERM atau kombinasi dari keduanya.
Framework)
Risiko sering dinyatakan dalam bentuk kombinasi

konsekuensi dari suatu kejadian (termasuk perubahan
keadaan) dan “kemungkinan” yang terkait dari kejadian
(sebagaimana didefinisikan dalam Pedoman ISO 73:
2009, 3.6.1.1).
Efek adalah penyimpangan dari yang diharapkan -

“The effect of uncertainty on positif (upside) atau negative (downside)
objectives” (ISO 31000:2018)
3. Konsep Risiko
Definition of Risk
3. Konsep Risiko
1. Risiko muncul dari berbagai sumber Internal/Eksternal
2. Risiko muncul dari ketidakpastian karena adanya sasaran
3. Beda sasaran, beda risiko.
4. Guna menentukan peristiwa risiko perlu memahami sasaran
5. Sasaran harus melingkupi unsur SMARTER

3. Konsep Risiko
Risiko memerlukan kejelasan dari sasaran – SMARTER
S • Specific – Sasaran dinyatakan dengan jelas (apa, siapa, di mana, kapan)
M • Measurable – Pencapaian sasaran dapat diukur melalui ukuran tertentu
A • Attainable – Sasaran yang ada bersifat menantang, namun tetap dapat

dicapai organisasi
R • Relevant – Sasaran yang ada harus sesuai dengan strategi perusahaan
T • Time-bound – Menyatakan secara jelas kapan sasaran ingin tercapai
E • Evaluated – Sasaran yang ada dapat dievaluasi seiring berjalannya waktu

demi menjamin tercapainya tujuan tersebut
R • Recognized – Memungkinkan dilakukan evaluasi pada saat tenggat waktu

pencapaian sasaran telah tiba
3. Konsep Risiko
Definition of Risk
Mobil EF IF
Tertimpa EF Terkena Mesin
Puing Pengalihan Mobil
Longsor/1.5 Jalan/1.5 Terbakar/
Jam Jam Jakarta
Semarang 1.5 Jam
K P T C I C
Terkena Terjebak
Ban Mobil
Bocor/1 Jam
IF Operasi/ EF EF Macet/
1.5 Jam 3 Jam
Tujuan  Jarak Tempuh: 450 Km; Waktu Tempuh: 7 Jam (08.00 – 15.00), Cost: 1jt, HSE: No Accident/Incident
EF : External Factor
IF : Internal Factor
3. Konsep Risiko
Definition of Risk
Control: Ketahui
Control: Ketahui Control: Cek Kondisi
Kondisi Topografi
Mobil Daerah, Alternatif
Alternatif jalan Mesin sebelum
Tertimpa Terkena lain (Jalan Tol, dll.) berangkat/berkala
jalan lain Mesin
Puing Pengalihan Mobil
Longsor/1.5 Jalan/1.5 Terbakar/
Jam Jam Jakarta
Semarang 1.5 Jam
K P T C I C
Control: Cek Ban Terkena Control: Ketahui Titik” Terjebak

Ban Mobil Operasi, persiapkan
Macet/
Control: Cek titik”
Sebelum Berangkat/ Operasi/ kemacetan, Alternatif
Bocor/1 Jam Berkala
surat” kendaraan
1.5 Jam 3 Jam jalan lain
Tujuan  Jarak Tempuh: 450 Km; Waktu Tempuh: 7 Jam (08.00 – 15.00), Cost: 1jt, HSE: No Accident/Incident
Time: Sampai Tepat/Lebih Awal, Quality: Mobil tidak rusak, Sesuai Jarak Tempuh/Lebih Pendek, Cost: Sesuai/Lebih Sedikit,
+ HSE: Tidak Ada Korban Jiwa/Cedera
- Time: Tidak Sampai/Lebih Waktu, Quality: Mobil rusak, Lebih Jarak Tempuh, Cost: Over Budget, HSE: Ada Korban
Jiwa/Cedera/Stress
3. Konsep Risiko
Proses bisnis yang berbeda, memiliki risiko yang berbeda
Pelaku Pelaku
PROSES II = PROSES IV =
Pemilik RISIKO Pemilik RISIKO
PROSES I PROSES II PROSES III PROSES IV PROSES V
Pembelian Pengendalian Penjualan dan Pelayanan

SASARAN + 1. Indeks
Kepusasan
Pelanggan
Manufaktur ORGANISASI Meningkat
Bahan Baku Mutu Pemasaran Purnajual
2. Repeat Order
SASARAN SASARAN SASARAN SASARAN SASARAN Kepuasan 3. Pendapatan
ANTARA ANTARA ANTARA ANTARA ANTARA
Pelanggan Meningkat
1. Indeks Kepuasan
• Risiko Fluktuasi • Risiko Produksi • Risiko Lolosnya • Risiko Barang • Risiko Komplain Pelanggan
Harga
• Risiko Kualitas
Bahan Baku
Barang Cacat Tidak Laku
- Menurun
2. Pelanggan
Enggan
Bekerjasama
Pelaku Pelaku Pelaku Kembali
PROSES I = PROSES III = PROSES V = 3. Pendapatan
Menurun
Pemilik RISIKO Pemilik RISIKO Pemilik RISIKO
3. Konsep Risiko
Level yang berbeda, memiliki risiko yang berbeda pula
Level Korporasi
1. Level Organisasi ini nantinya terkait dengan kewenangan
pengelolaan risiko terutama dalam proses risk assessment nya
2. Level Organisasi ini terkait juga dengan penentuan KPI/Sasaran
Level Divisi yang akan ditetapkan. Hendak nya KPI/Sasaran ini ditetapkan di
semua level fungsi/jabatan sebagai control pencapaiannya dan
Level Departemen bisa juga sebagai bahan penilaian dari masing-masing individu
agar tidak subjektif
Level Seksi
3. Konsep Risiko
Definisi Pemilik Risiko menurut SNI ISO 31000
PEMILIK = Orang atau entitas dengan akuntabilitas

RISIKO dan wewenang untuk mengelola risiko
(Person or entity with the accountability

and authority to manage risk – ISO 31000)
3. Konsep Risiko
Hierarki
AKUNTABILITAS
TANGGUNG
JAWAB
 Akuntabilitas: mempertanggungjawabkan wewenang
yang diterima.
 Tanggung Jawab: berhubungan dengan kewajiban
melaksanakan wewenang yang diterima
3. Konsep Risiko
Kategori Risiko
4. Manajemen Strategis
Definisi Manajemen Strategis:
 Fred R. David (2004:5), Manajemen Strategik adalah ilmu mengenai perumusan, pelaksanaan dan evaluasi keputusan-
keputusan lintas fungsi yang memungkinkan organisasi mencapai tujuannya.
 Menurut Husein Umar (1999:86), Manajemen strategik sebagai suatu seni dan ilmu dalam hal pembuatan (formulating),
penerapan (implementing) dan evaluasi (evaluating) keputusan- keputusan startegis antara fungsi yang memungkinkan
sebuah organisasi mencapai tujuannya pada masa mendatang.
 Lawrence R. Jauch dan Wiliam F. Gluech (Manajemen Strategis dan Kebijakan Perusahaan, 1998), menulis,Manajemen
Strategik adalah sejumlah keputusan dan tindakan yang mengarah pada penyusunan suatu strategi atau sejumlah strategi
yang efektif untuk membantu mencapai sasaran perusahaan.
 Wheelan dan Hunger (Strategic Manajemen and Business Policy Massachuset, 1995) : Manajemen strategik adalah suatu
kesatuan rangkaian keputusan dan tindakan yang menentukan kinerja perusahaan dalam jangka panjang.
Cakupan Definisi Manajemen Strategis:
1. Manajemen strategi diwujudkan dalam bentuk perencanaan berskala besar mencakup seluruh komponen dilingkungan
sebuah organisasi yang dituangkan dalam bentuk rencana strategis (Renstra) yang dijabarkan menjadi perencanaan
operasional, yang kemudian dijabarkan pula dalam bentuk program kerja dan proyek tahunan.
2. Renstra berorientasi pada jangkauan masa depan.
3. Visi, misi, pemilihan strategi yang menghasilkan strategi induk, dan tujuan strategi organisasi untuk jangka panjang merupakan
acuan dalam merumuskan rencana strategi, namun dalam teknik penempatannya sebagai keputusan manajemen puncak
secara tertulis semua acuan tersebut terdapat di dalamnya
4. Renstra dijabarkan menjadi rencana operasional yang antara lain berisi program-program operasional termasuk proyek-
proyek, dengan sasaran jangka sedang masing-masing juga sebagai keputusan manajemen puncak
5. Penetapan renstra dan rencana operasi harus melibatkan manajemen puncak karena sifatnya sangat mendasar/prinsipil
dalam pelaksanaan seluruh misi organisasi, untuk mewujudkan, mempertahankan dan mengembangkan eksistensi jangka
sedang termasuk panjangnya
6. Pengimplementasian strategi dalam program-program termasuk proyekproyek untuk mencapai sasarannya masing-masing
dilakukan melalui fungsifungsi manajemen lainnya yang mencakup pengorganisasian, pelaksanaan, penganggaran dan kontrol
Komponen dalam proses manajemen strategi:
1. Visi/Misi Organisasi (perusahaan), merupakan gambaran tujuan tentang keberadaan perusahaan. misi ini
meliputi type, ruang lingkup serta karakteristik tindakan yang akan dijalankan
2. Tujuan, tujuan merupakan hasil akhir dari sebuah kegiatan. disini akan ditegaskan hal apa ayang akan digapai,
kapan waktunya, dan berapa yang harusnya dicapai.
3. Strategi, merupakan suatu keterampilan atau ilmu dalam memenangkan sebuah persaingan. persaingan
adalah perebutan konsumen (pangsa pasar) dan konsumen setiap saat akan mengalami perubahan, maka
strategi hendaknya dikelola dengan sedemikian rupa supaya tujuan perusahaan bisa tercapai
4. Kebijakan, kebijakan merupakan cara dalam mencapai sasaran perusahaan. kebijakan mencakup garis
pedoman, aturan-aturan dan prosedur untuk menyokong usaha pencapaian sasaran atau tujuan yang sudah
ditetapkan
5. Profil Perusahaan, menggambarkan kondisi perusahaan baik itu keuangan, sumber daya manusia (SDM) dan
sumber daya fisik lainnya.
6. Lingkungan Eksternal, merupakan seluruh kekuatan yang akan memberikan pengaruh terhadap pilihan strategi
serta mendifinisikan kondisi kompetisinya
7. Lingkungan Internal, lingkungan internal mencakup seluruh unsur bisnis yang terdapat pada perusahaan
8. Analisa Strategi dan Pilihan, hal ini ditujukan kepada keputusan dalam investasi untuk masa mendatang
9. Strategi Unggulan, merupakan rencana umum serta komprhensif atas semua aktivitas utama yang ditujukan
pada usaha pencapaian sasaran dalam lingkungan yang bersifat dinamis
10. Strategi Fungsional, adalah penjabaran strategi umum yang nantinya dijalankan oleh divisi
Macro Environment
(Lingkungan dimana seluruh PESTLE (Political, Ekonomical,
organisasi dipengaruhinya Socio-cultural, Technological,
tanpa kecuali) Legal & Environment)
Now *Micro Environment

Five Force Model (Porter, Kondisi Pasar, tingkat,
(Lingkungan dimana organisasi 1980) persaingan, posisi tawar
menjalankan kegiatannya)
SDM, Kapabilitas Teknis, Aspek

Keuangan, Infrastrukur dan
Lingkungan Internal
sistem Organisasi, Budaya
Organisasi
Sumber: Fred R. David, 1988

No Penjelasan/Content No Penjelasan/Content
BAB I Pendahuluan BAB II Evaluasi Kinerja Perusahaan
1 Gambaran Umum 1 Evaluasi Pelaksanaan RJPP
2 Visi Misi Perusahaan 2 Pencapaian Tujuan dan Penyimpangan yang Terjadi
3 Tujuan Perusahaan 3 Pelaksanaan Strategi dan Kebijakan, serta Kendala dan
4 Arah Pengembangan Perusahaan Upaya Pencegahannya
No Penjelasan/Content
BAB IV Rencana Perusahaan Tahun … s/d …
BAB III Posisi Perusahaan Saat Ini
1 Sasaran Perusahaan
1 Analisa Kekuatan, Kelemahan,
2 Strategi Fungsional
Kesempatan dan Ancaman
2 Penentuan Posisi Perusahaan 3 Rencana Pengembangan Organisasi dan SDM
3 Analisis Daya Tarik Pasar dan Daya 4 Program Kerja

Saing Perusahaan 5 Proyeksi Kinerja Keuangan
BAB V Penutup
Pre Planning
Penerapan manajemen risiko pada fase pre planning adalah
melakukan identifikasi risiko atas target dan sasaran yang akan
dicapai dengan memunculkan indicator risiko sebagai kunci
kesuksesan dalam pengendalian dan pencapaian target yang telah
ditetapkan sebelumnya.
[Risk Assessment, Penyusunan Key Risk Indicator]
Post Planning
Manajemen risiko pada fase post planning adalah mengawal seluruh
penetapan strategis yang diambil dipastikan seluruh hambatan dan
kendala yang mempengaruhi target dan sasaran telah di petakan dan
dikelola sekaligus secara berkalenajutan dimonitoring. Sejauh mana
tingkat hambatan dan kendala tersebut akan memberikan efek
terhadap target dan sasaran, selama hambtan dan kendala dapat
dikelola, ditekan/diminimalisir bahkan dihilangkan maka secara tidak
langsung manajemen telah mengantisipasi yang mempengaruhi target
dan membuka peluang dalam pencapaian target dan sasaran
perusahaan yang telah ditetapkan
[Mitigation Plan & Evaluation]
Form Risk Register

Penyusunan Risk Register pada dasarnya
merupakan dokumentasi dari aktivitas-aktivitas Proses
proses management risiko yang meliputi :
Manajemen Resiko
1. Penilaian risiko :
ISO31000-2018
a. Identifikasi risiko
b. Analisis risiko
c. Evaluasi risiko
2. Perlakuan risiko
Eva- Analisis Risko

Identifikasi risiko Analisis risiko luasi PerlakuanRisiko
Inherent Risk Residual Risk

Nam Deskrip Kateg Sumb Akar Indikat Mitigasi Damp Justifika Justifika Strategi Risk Activity Risk Budg Relat
No Objective Time
a si ori er Penyeb or Eksisti ak Likelihood Impact Risk si si Respon Treatme Treatme Own et ed Likelihood Impact Risk
Plan
Risik Risiko Risiko Risko ab Risiko ng Kualita Level Likeliho Impact se nt nt er Plan Unit Level
o tif od
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
1.a Identifikasi risiko
CSS, CAM, RKAP,
KM , KPI
Tujuan dari identifikasi risiko adalah untuk menemukan, mengenali dan
mendeskripsikan risiko yang dapat menghambat pencapaian sasaran perusahaan
Sasaran 1
Tahapan proses identifikasi Risko
1. Menentukan sasaran
Identifikasi risiko 2 2. Identifikasi risiko
3. Mencari Penyebab Risiko
4. Menentukan Indikator risiko
Penyebab risiko 3
5. Mengidentifikasi program / action yang telah dilakukan
6. Mengidentifikasi dampak kualitatif apabila risiko terjadi
Indikator risiko 4
1 2 3 4 5 6
Exist. Control 5
Deskripsi Kategori Indikator Mitigasi Dampak
No Objective Nama Risiko Sumber Risko Akar Penyebab
Risiko Risiko Risiko Eksisting Kualitatif
Dampak kualitatif 6 1 2 3 4 5 6 7 8 9 10
1.b Analisis risiko
Pada langkah ini dilakukan analisis tingkat risiko Inherent berdasarkan tingkat
Daftar risiko hasil likelihood dan impactnya
identifikasi
7. Pengukuran Likelihood
Pengukuran 7 Merupakan proses untuk mengetahui tingkat kemungkinan suatu risiko terjadi berdasarkan tabel
Likelihood likehood yang ditetapkan
8. Pengukuran Impact
Merupakan proses untuk mengetahui tingkat impact apabila suatu risiko terjadi berdasarkan tabel
Pengukuran Impact 8 impact yang ditetapkan
9. Pengukuran Risk Level
Pengukuran Risk 9 Merupakan perkalian antara Likehood dan Impact dengan merefer ke Risk Map yang ditetapkan
Level
7 8 9 7 8
Inherent Risk
Justifikasi Likelihood Justifikasi Impact
Likelihood Impact Risk Level
11 12 13 14 15
1.c Evaluasi risiko
10
Merupakan suatu proses yang membandingkan hasil analisis risiko dengan kriteria risiko untuk
Li kel ihoo
menentukan apakah suatu risiko dapat diterima atau tidak. Hasil dari proses ini adalah prioritas
Low Medium High Very
risiko yang memerlukan perlakuan risiko dan juga opsi perlakuan risiko yang akan dilakukan.
d
Terdapat 3 pendekatan yang dapat dilakukan dalam menentukan strategi perlakuan risiko
• Very High dan High Risk : perlakuan risiko mutlak harus dilakukan;
• Medium Risk: dilakukan perlakuan dengan mempetimbangkan cost & benefit
• Very Low dan Low Risk: tingkat risiko dianggap dapat diterima, sehingga tidak perlu
Very Low
dilakukan perlakuan risiko tambahan (cukup dengan melanjutkan control/mitigasi

High
Very Low Low Medium High Very High eksisting)

Garis Appetite Impac t
VH H M L VL
AdapunOpsi perlakuan risiko yang dapat dilakukan adalah:
• menghindari risiko  Biaya perlakuan lebih besar dari manfaatnya
• menerima risiko  Level risiko berada di bawah garis appetite
Contoh Evaluasi Risiko • memitigasi risiko mengurangi likelihood dan/atau impact
• membagi/mentransfer risiko  berbagi risiko dengan pihak ketiga
Strategi Treatment
16
Mitigasi
Keterangan kolom:
16. StrategiTreatment
Merupakan opsi perlakuan risiko yang dipilih
4
0
2. Perlakuan Risiko
Tujuan dari perlakuan risiko adalah untuk memilih dan menerapkan opsi
untuk menangani risiko
12. Menyusun rencana perlakuan risiko

Identifikasi
Penyebab risiko Setelah opsi perlakuan ditetapkan, maka setiap unit harus menentukan :
a) Program Risk treatment dan detail aktivitasnya
b) Pemilik risiko yang bertanggungjawab melaksanakan program risk treatment
Menyusun progra m 11
c) Sumber daya yang dibutuhkan
risk treatment
d) Timeplan
e) Unit terkait
Analisis Residual 12 13. Analisis Residual Risk *)
Risk Analisis dilakukan untuk menilai perkiraan level risiko setelah perlakuan risiko dilakukan.
Apabila Perlakuan risiko diperkirakan kurang efektif untuk menurunkan risiko sesuai yang
diharapkan, maka risk owner harus merencanakan program lain yang diperkirakan dapat
menurunkan level risiko ke level yang dapat diterima.
11 12
Activity Residual Risk
Risk Treatment Risk Owner Budget Plan Time Plan Related Unit
Treatment Likelihood Impact Risk Level
17 18 19 20 21 22 23 24 25
*) tidak termasuk klausul perlakuan risiko, namun dapat digunakan untuk memperkirakan efektivitas Risk Treatment
5. The Advantage of ISO 31000:2018
1. Diakui secara Internasional
2. Compatible dan terintegrasi dengan standar internasional bidang lain
3. Diadopsi secara identic oleh BSN, SNI 8615:2018
4. Memiliki Arsitektur yang komprehensif (Prinsip, Kerangka, dan Proses)
5. Customized (Dapat diterapkan di berbagai industry)

Negara-negara yang telah menerapkan ISO 31000

Keterkaitan SNI ISO 31000 dengan dokumen standar Lainnya
Klausul 4.1, 4.2,
Kosakata Quality Management 5.1.1, 5.1.2, 6.1
Manajemen System SNI ISO
Risiko: 9001:2015
Klausul 4.1, 4.2,
SNI ISO K3 Management 5.1, 5.2, 5.4, 6.1
Guide 73 System SNI ISO
45001:2018
Teknik Penilaian Klausul 4.1, 4.2,
6.1
Risiko:
SNI ISO
SNI ISO Environment
Management System
ISO 14001:2015
31010 31000
Assurance / Auditing
• ISO 19011: 2018
Panduan Guidelines for auditing management systems;
Penerapan: • HB 158 : 2010
SNI ISO Delivering assurance based on ISO 31000
31004 • IPPF Practice Guide 2010
Assessing the adequacy of Risk Management
using ISO 31000
6. Arsitektur ISO 31000:2018
Kerangka Kerja Manajemen Risiko Proses Manajemen Risiko
Prinsip Manajemen Risiko

6. Arsitektur Manajemen Risiko
Definisi Manajemen Risiko menurut SNI ISO 31000

Manajemen Risiko adalah “aktivitas terkoordinasi untuk
mengarahkan dan mengendalikan organisasi terkait risiko”
Risk management is “coordinated activities to direct and control
an organization with regard to risk”
1. Tata Kelola Risiko Menjadi Bagian Terintegrasi
Tata kelola risiko (risk governance) yang sebelumnya hanya menjadi

inisiator dalam membangun kerangka manajemen risiko, kini menjadi
bagian yang berkelanjutan dan tidak terpisahkan dalam proses
integrasi manajemen risiko ke dalam seluruh bagian perusahaan.
2. Manajemen Risiko Dipandang Reaktif
ISO 31000:2018 menekankan sifat manajemen risiko yang iteratif. Hal

ini berarti manajemen risiko perusahaan mengalami penyempurnaan
bersamaan dengan berjalannya proses manajemen risiko.
3. Sistem Diperkaya dengan Konteks Eksternal
Standar baru ini mengatur sistem manajemen risiko untuk menjadi jauh
lebih terbuka terhadap input dari konteks eksternal perusahaan. Hal ini
bertujuan agar sistem manajemen risiko dapat memenuhi berbagai
tuntutan dari industri yang beragam.

Value creation a n d
protection
Tujuan utama dari prinsip manajemen
risiko adalah menciptakan dan
melindungi nilai organisasi, dengan cara
meningkatkan kinerja, mendorong inovasi
dan mendukung pencapaian sasaran.
“Prinsip manajemen risiko merupakan landasan untuk mengelola risiko
ISO 31000:2018 dan harus dipertimbangkan / menjadi acuan ketika akan merancang dan
Risk Management Principles
menetapkan kerangka kerja dan proses manajemen risiko”.
UPSIDE RISK (Value Creation) DOWNSIDE RISK (Value Protection)

Risiko yang sebaiknya diambil oleh organisasi Risiko yang bila terjadi akan berdampak buruk
dalam rangka menciptakan keunggulan bersaing pada organisasi dan menyebabkan erosi atau
dan akhirnya mampu menciptakan nilai (value). kerusakan pada nilai (value) organisasi.
Tujuan Manajemen Risiko adalah

Menciptakan dan Melindungi Nilai
Penerapan manajemen risiko ditujukan untuk meningkatkan kinerja, mendorong inovasi,
dan mendukung pencapaian sasaran.
(SNI ISO 31000)
Dalam hal ini, manajemen risiko berkontribusi pada pencapaian tujuan dan perbaikan
kinerja yang dapat didemonstrasikan, dalam hal misalnya keuangan, K3, kepatuhan,
kepuasan pelanggan, keandalan operasi, perlindungan lingkungan, pangsa pasar, kualitas
produk/jasa, efisiensi proses, citra perusahaan, dlsb.
Prinsip Manajemen Risiko Terintegrasi dengan Proses
Bisnis/Sistem Manajemen
Perusahaan
Penerapan Manajemen
Diperbaiki secara berkala/ Risiko penyusunan
berkelanjutan (ditinjau, perencanaannya disepakati
evaluasi, assessment) oleh pihak internal
perusahaan
Organisasi harus bisa Relevan dengan Konteks

membangun budaya risiko Internal dan Eksternal
Perusahaan
Informasi/data yang baik

dan valid dari berbagai
sumber Pengelolaan Risiko
melibatkan seluruh elemen
organisasi
Peka terhadap perubahan

yang terjadi
(internal/eksternal)
Prinsip 1. Terintegrasi
Manajemen risiko adalah bagian integral dari semua aktivitas organisasi.
(SNI ISO 31000)
Manajemen risiko bukan merupakan kegiatan berdiri sendiri yang terpisah dari kegiatan
dan proses bisnis suatu organisasi, melainkan harus menyatu/melekat dalam proses bisnis
dalam bentuk pengelolaan risiko yang dijalankan oleh masing-masing fungsi. Dengan
demikian penting sekali untuk ditekankan kepada seluruh manajemen bahwa efektivitas
pengelolaan risiko merupakan tanggung jawab dari masing-masing individu manajemen,
baik manajemen puncak, senior, maupun lini, mulai dari tingkatan entitas organisasi
(termasuk di dalamnya organisasi induk dan anak) hingga pada tingkatan proses / aktivitas
dalam manajemen proyek / progam yang dijalankan organisasi.
Prinsip 2. Terstruktur dan Komprehensif

Selain itu, penerapan manajemen risiko memerlukan sebuah perencanaan yang disusun
secara matang dan disepakati oleh para pihak internal yang terlibat agar penerapan
manajemen risiko secara terarah dapat dilaksanakan berdasarkan dukungan para pihak
yang dilibatkan di dalamnya.
Prinsip 3. Disesuaikan
Kerangka kerja dan proses manajemen risiko disesuaikan dan proporsional dengan
konteks eksternal dan internal organisasi yang berkaitan dengan sasarannya.
(SNI ISO 31000)
Organisasi perlu menentukan bentuk pengelolaan risiko beserta pengaturannya sesuai

dengan kebutuhannya dalam rangka pencapaian sasaran-sasaran yang hendak diraih
organisasi, serta sesuai dengan karakteristik spesifik organisasi berdasarkan konteks
internal dan eksternalnya.
Prinsip 4. Inklusif
Pelibatan yang sesuai dan tepat waktu dari pemangku kepentingan memungkinkan
pengetahuan, pandangan, dan persepsi mereka untuk dipertimbangkan. Ini menghasilkan
peningkatan kesadaran dan manajemen risiko terinformasi.
(SNI ISO 31000)
Keterlibatan yang sesuai dan tepat waktu dari para pemangku kepentingan, khususnya
pengambil keputusan di semua tingkatan organisasi, memastikan bahwa manajemen
risiko tetap relevan dan terkini. Keterlibatan juga membolehkan pemangku kepentingan
untuk diwakili secara tepat serta guna mendapatkan pandangan mereka untuk
dipertimbangkan dalam proses manajemen risiko.
Prinsip 4. Inklusif
Dalam praktik pengelolaan risiko, semua pihak di lingkungan organisasi perlu dilibatkan /
secara aktif berperan serta dalam pengelolaan risiko pada area tanggung jawab masing-
masing sesuai kewenangan yang dimiliki.
Dalam perancangan kerangka kerja organisasi perlu mencari bentuk keterlibatan yang
paling relevan bagi tiap pemangku kepentingannya dalam rangka mendukung penerapan
manajemen risiko yang efektif bagi organisasi.
Prinsip 5. Dinamis
Risiko dapat muncul, berubah, atau hilang seiring perubahan konteks eksternal dan
internal organisasi. Manajemen risiko mengantisipasi, mendeteksi, mengakui, dan
menanggapi perubahan dan peristiwa tersebut secara sesuai dan tepat waktu.
(SNI ISO 31000)
Organisasi perlu peka terhadap perubahan yang telah dan yang mungkin terjadi,
khususnya yang dapat melemahkan efektivitas pengelolaan risiko organisasi serta
mengantisipasinya dalam bentuk sebuah kendali yang dipersiapkan, maupun perubahan
kerangka kerja manajemen risiko sesuai yang dibutuhkan.
Prinsip 6. Informasi terbaik yang tersedia
Masukan manajemen risiko didasarkan atas informasi historis dan saat ini, beserta juga
harapan masa depan. Manajemen risiko secara eksplisit memperhitungkan segala batasan
dan ketidakpastian yang berkaitan dengan informasi dan harapan tersebut. Informasi
sebaiknya tepat waktu, jelas, dan tersedia bagi pemangku kepentingan yang relevan.
(SNI ISO 31000)
Beragam informasi dapat dimanfaatkan untuk membangun, mempertahankan, dan

meningkatkan efektivitas pengelolaan risiko, baik berupa informasi explicit maupun tacit,
baik yang tersedia di internal organisasi, maupun yang dapat diakses di lingkungan
eksternal organisasi.
Prinsip 7. Faktor Manusia dan Budaya
Perilaku dan budaya manusia secara signifikan memengaruhi semua aspek manajemen
risiko pada semua tingkat dan tahap.
(SNI ISO 31000)
Sehubungan dengan hal tersebut, sangat penting bagi organisasi untuk memastikan
kecukupan upaya pembangunan / peningkatan kesadaran manajemen dan karyawan
mengenai pentingnya manajemen risiko, serta kecukupan upaya sosialisasi kerangka kerja
dan atau prosedur pengelolaan risiko kepada masing-masing pemangku kepentingan
yang dilibatkan dalam manajemen risiko organisasi.
Prinsip 7. Faktor Manusia dan Budaya
Selain itu, manajemen risiko mengakui bahwa kapabilitas, persepsi dan intensi dari pihak
eksternal dan internal yang dapat bersifat memfasilitasi atau menghambat pencapaian
sasaran organisasi, dan bahwa manusia, demiikian halnya dengan budaya, dapat menjadi
bagian dari pengendalian risiko, maupun sebaliknya menjadi sumber risiko.
Prinsip 8. Perbaikan Sinambung
Manajemen risiko diperbaiki secara berkelanjutan melalui pelajaran dan pengalaman.
(SNI ISO 31000)
Bahwa perbaikan sinambung terhadap kerangka kerja manajemen risiko maupun

prosesnya ditujukan agar pengelolaan risiko yang dipraktikkan organisasi senantiasa
relevan dan dapat mendukung operasi / bisnis serta pencapaian sasaran.
Selain itu, perbaikan sinambung terhadap manajemen risiko juga dapat diterapkan
melalui peningkatan kapabilitas para pihak internal yang terlibat, atau peningkatan
ketersediaan sumber daya yang lebih memadai, atau maupun melalui peningkatan
keandalan infrastruktur pendukung yang digunakan.
Kerangka Manajemen Risiko

Definisi Kerangka Kerja Manajemen Risiko

“Kerangka kerja manajemen risiko merupakan seperangkat
komponen yang menyediakan landasan dan pengaturan organisasi
untuk perancangan, pelaksanaan, pemantauan, peninjauan dan
peningkatan manajemen risiko secara berkala di seluruh organisasi”
SNI ISO 31000
“. . . set of components that provide the foundations and organizational

arrangements for designing, implementing, monitoring, reviewing and
continually improving risk management throughout the organization.”
ISO 31000
BOD Risiko dikelola di semua bagian struktur
organisasi. Tiap orang di organisasi
bertanggung jawab terhadap pengelolaan
risiko pada area tanggung jawabnya
masing-masing
Pemahaman dan Penetapan Konteks

BOD BOD Organisasi, Penegasan Komitmen
Efektifitas Kerangka Kerja, Manajemen Risiko, Penetapan Fungsi
Efektifitas RML, Kapasitas Pengelolaan Risiko, Penyediaan Alokasi
Pemilik Risiko, Peningkatan Sumber Daya, Penyiapan Komunikasi dan
Kesadaran Budaya Risiko Konsultasi
BOC
Tinjauan Berkala, Kebijakan,
Komitmen (Charter),
BOD BOC Penyediaan Sumber Daya
BOD
BOD
Road map pelaksanaan

Pengukuran Kinerja Manajemen Risiko
Manajemen Risiko, RML,
BOC
Progress Rencana, Memantau
Perubahan Internal Eksternal
Organisasi
Kerangka Manajemen Risiko – Kepemimpinan dan Komitmen
Akuntabilitas manajemen puncak dan dewan pengawas
Fungsi Fungsi Pengawasan &

Eksekutif Pemberian Nasihat
MENGAWASI
MENGELOLA RISIKO
MANAJEMEN RISIKO
Manajemen Puncak Dewan Pengawas

Manajemen puncak, dan dewan pengawas (bila memungkinkan), memastikan
manajemen risiko terintegrasi pada semua aktivitas organisasi dan hendaknya
menunjukan kepemimpinan dan komitmen dengan:
1. menyesuaikan dan mengimplementasikan semua komponen kerangka
kerja;
2. menerbitkan pernyataan atau kebijakan yang menetapkan pendekatan,
rencana, atau arah tindakan manajemen risiko;
3. memastikan sumber daya yang diperlukan dialokasikan untuk
pengelolaan risiko;
4. menetapkan kewenangan, tanggung jawab, dan akuntabilitas pada
tingkat yang diperlukan di dalam organisasi.
1.Memastikan Kerangka Kerja Manajemen Risiko yang
Diberlakukan adalah Sesuai yang Dibutuhkan Organisasi
 Memeriksa kesesuaian kerangka kerja manajemen risiko dengan jenis dan
karakteristik risiko yang harus dikelola organisasi.
 Memeriksa apakah kerangka kerja manajemen risiko yang akan ditetapkan
aplikatif dalam mengarahkan praktik pengelolaan risiko secara melekat
pada masing-masing proses bisnis yang seharusnya.
 Menetapkan dan memberlakukan kerangka kerja manajemen risiko di

lingkungan organisasi.
 Memimpin praktik penerapan manajemen risiko sesuai dengan kerangka
kerja dan rencana penerapan yang telah ditetapkan.
 Melakukan tinjauan berkala guna memastikan bahwa kerangka kerja
manajemen risiko tetap relevan untuk digunakan oleh organisasi.
2. Menetapkan Kebijakan Manajemen Risiko
 Merumuskan dan mengartikulasikan kebijakan manajemen risiko secara
jelas sebagai panduan strategis praktik pengelolaan risiko bagi manajemen.
 Memberlakukan dan mengkomunikasikan kebijakan manajemen risiko

kepada manajemen.
 Memimpin penerapan manajemen risiko sesuai dengan kebijakan yang

telah ditetapkan.
 Melakukan tinjauan berkala guna memastikan bahwa kebijakan manajemen

risiko tetap relevan untuk digunakan oleh organisasi.
3.Menyediakan Sumber Daya yang Diperlukan dalam Penerapan
Manajemen Risiko
 Memastikan tersedianya program kesadaran dan pembangunan kapasitas
bagi para pihak internal agar dapat melaksanakan pengelolaan risiko sesuai
kerangka kerja dan kebijakan manajemen risiko, termasuk di dalamnya
refreshment training secara berkala bag manajemen, maupun induction
training bagi para karyawan baru.
 Memastikan tersedianya campaign program pembangunan budaya sadar
risiko di lingkungan organisasi.
 Memastikan tersedianya alat bantu, baik berupa formulir kerja, model
perhitungan, maupun sistem informasi yang bersifat sebagai enabler
terhadap praktik pengelolaan risiko yang dijalankan organisasi.
 Memastikan tersedianya anggaran untuk merealisasikan pemenuhan sumber
daya sesuai dengan skala prioritas yang telah disepakati.
4. Menetapkan Pedoman Manajemen Risiko
 Memastikan tersedianya panduan penerapan manajemen risiko berupa
pedoman manajemen risiko yang mengarahkan praktik pengelolaan risiko
sesuai dengan kerangka kerja dan kebijakan manajemen risiko yang telah
ditetapkan.
 Memeriksa apakah Pedoman Manajemen Risiko juga telah mengarahkan

bentuk keterlibatan para pihak internal dalam manajemen risiko, berikut
dengan peran, tugas pokok, serta kewenangan yang diberikan, dan berbagi
tanggung jawab praktik pengelolaan risiko kepada manajemen sesuai
pengaturan tersebut.
 Memastikan tersedianya panduan praktik pengelolaan risiko yang melekat
ke dalam prosedur kerja masing-masing pihak yang dilibatkan sesuai dengan
pedoman dan kebijakan manajemen risiko.
 Melakukan tinjauan berkala guna memastikan bahwa pedoman dan
prosedur manajemen risiko tetap relevan untuk digunakan oleh organisasi.
Dewan pengawas hendaknya:

 memastikan risiko dipertimbangkan dengan memadai saat penetapan
sasaran organisasi
 memastikan sistem untuk mengelola risiko tersebut diterapkan dan
 memahami risiko yang dihadapi organisasi dalam mencapai sasarannya;
dijalankan dengan efektif;
 memastikan sistem tersebut sesuai dengan konteks sasaran organisasi;
 memastikan informasi tentang risiko dan pengelolaannya dikomunikasikan
dengan tepat.
1. Perencanaan Strategis dan Operasional
 Memastikan bahwa perencanaan strategis dan operasional yang
dirumuskan organisasi telah mempertimbangkan faktor-faktor risiko, baik
dalam hal penetapan sasaran strategis, strategi, maupun inisiatif dan
program kerja, serta menyertakan rencana perlakuan yang memadai.
 Melakukan pengawasan terhadap efektivitas pengendalian/pengelolaan

risiko sebagai bagian dalam pemantauan terhadap capaian kinerja
organisasi.
 Memberikan masukan dan nasihat kepada manajemen puncak ketika

terdapat indikasi lemahnya pengendalian risiko yang dijalankan organisasi
maupun ketika terdapat indikasi adanya risiko baru yang mungkin muncul
yang berpotensi kurang terantisipasi oleh manajemen organisasi.
2. Agenda Rapat Dewan Organisasi
 Risiko dan efektivitas pengendalian/penanganan yang dilakukan oleh
manajemen secara eksplisit dibahas secara berkala dalam rapat gabungan
dewan organisasi sebagai bentuk pemantauan risiko di tingkatan strategis.
 Dewan secara aktif juga memantau dan membahas perubahan lingkungan

internal dan eksternal, serta asumsi-asumsi yang melekat pada perencanaan
strategis dan operasional, yang dapat melemahkan
pengendalian/penanganan risiko, termasuk di dalamnya yang dapat
menimbulkan risiko baru bagi organisasi.
 Melekatkan pembahasan mengenai capaian kinerja organisasi dengan

keberhasilan organisasi dalam mengenali dan mengantisipasi risikonya.
2. Agenda Rapat Dewan Organisasi
 Meminta manajemen puncak secara berkala untuk melaporkan efektivitas
pengelolaan risiko serta budaya sadar risiko yang berlangsung di lingkungan
organisasi.
 Melakukan tinjauan terhadap kerangka kerja dan kebijakan manajemen risiko

yang diberlakukan di lingkungan organisasi dalam rangka merumuskan
masukan/nasihat yang diberikan kepada manajemen untuk meningkatkan
efektivitas pengelolaan risiko.
Kerangka Manajemen Risiko - Integrasi
Kerangka Manajemen Risiko - Integrasi
Kerangka manajemen risiko dibangun untuk membantu organisasi
dalam mengintegrasikan manajemen risiko dengan proses,
aktivitas, dan fungsi dalam organisasi secara relevan sesuai tingkat
kepentingannya dalam praktik pengelolaan risiko.
• Manajemen risiko sebaiknya menjadi bagian dari, dan tidak terpisahkan dari,
tujuan, tata kelola, kepemimpinan dan komitmen, strategi, sasaran, dan
operasi organisasi.
• Risiko dikelola di semua bagian struktur organisasi. Tiap orang di organisasi
bertanggung jawab terhadap pengelolaan risiko pada area tanggung
jawabnya masing-masing.
• Penentuan akuntabilitas dan peran pengawasan manajemen risiko di dalam
organisasi adalah bagian integral dari tata kelola organisasi.
Kerangka Manajemen Risiko - Desain
Mendesain / merencanakan kerangka kerja manajemen risiko
mencakup:
• Pemahaman organisasi dan konteksnya;
• Penegasan komitmen manajemen risiko;
• Penetapan peran, kewenangan, tanggung jawab, dan
akuntabilitas organisasional;
• Alokasi sumber daya.
• Penyiapan komunikasi dan konsultasi.
1. Pemahaman organisasi dan konteksnya
Ketika mendesain kerangka kerja pengelolaan risiko, organisasi sebaiknya
memeriksa dan memahami konteks eksternal dan internalnya, termasuk di
dalamnya:
 sasaran yang hendak dicapai oleh organisasi;
 jenis dan karakteristik risiko yang harus dikelola;
 persyaratan regulasi atau standar industri yang harus dipenuhi; serta
 ekspektasi dari para pemangku kepentingan terhadap praktik pengelolaan

risiko yang dijalankan organisasi.
Konteks Lingkungan
Makro dan Mikro
Konteks Internal dan
Eksternal
Analisis Pemangku
Kepentingan
Organisasi dan
Konteksnya
Cakupan Manajemen Risiko

Organisasi dan Konteksnya
Konteks external organisasi Konteks internal organisasi

 Lingkungan  Governance, struktur, roles &
 Trend & key drivers responsibilities;
 Regulasi  Kapabilitas organisasi (financial,
 dll. kompetensi, teknologi,
pengetahuan, system
management, dlsb);
 Strategi, budaya perusahaan,
jumlah SDM
 dll.
Contoh: Cakupan Manajemen Risiko

Internal
Risiko
Risiko Operasional
Strategi
Risiko
Keuangan
Risiko
Hukum Cyber Risk
Kualitatif Kuantitatif
Risiko Kepatuhan
Risiko Reputasi
Risiko
Pasar
Keterangan:
Eksternal Sumbu X: Teknik Asesmen
Sumbu Y: Sumber Risiko
2. Penegasan komitmen manajemen risiko

Manajemen puncak, dan badan pengawas (bila memungkinkan), sebaiknya
menunjukkan dan menegaskan komitmen berkelanjutan mereka terhadap
manajemen risiko melalui kebijakan, pernyataan, atau bentuk lain yang secara
jelas menyampaikan sasaran dan komitmen organisasi terhadap manajemen
risiko:
 tujuan pengelolaan risiko organisasi serta kaitan dengan sasaran dan

kebijakan lain;
 penguatan kebutuhan untuk mengintegrasikan manajemen risiko ke dalam
keseluruhan budaya organisasi;
 kepemimpinan dalam integrasi manajemen risiko ke dalam aktivitas bisnis

inti dan pengambilan keputusan;
 kewenangan, tanggung jawab, dan akuntabilitas;
 penyediaan sumber daya yang diperlukan;
 cara penanganan konflik kepentingan;
 pengukuran dan pelaporan dalam indikator kinerja organisasi;
 tinjauan dan peningkatan.
Komitmen terhadap manajemen risiko hendaknya dikomunikasikan

di dalam organisasi dan kepada para pemangku kepentingan
internal dengan cara yang tepat dan efektif.
“Kebijakan manajemen risiko merupakan pernyataan dari

keseluruhan maksud dan arah suatu organisasi yang
terkait dengan manajemen risiko” (SNI ISO 31000)
Kebijakan manajemen risiko merupakan pernyataan niat dari
Direksi dan Dewan Komisaris untuk memberikan komitmennya
dalam menerapkan manajemen risiko. Kebijakan ini antara lain
berisikan:
1 2 3 4 5 6 7
Rasional dan Keterkaitan Penunjukkan Cara Komitmen Cara untuk Kesediaan

sasaran antara akuntabilitas penanganan untuk melakukan untuk
penerapan kebijakan dan tanggung benturan menyediakan pengukuran melakukan
manajemen manajemen jawab kepentingan, sumber daya kinerja pemantauan
risiko risiko dengan penerapan bila hal yang manajemen secara berkala
kebijakan dan manajemen tersebut diperlukan risiko dan juga kinerja dan
sasaran risiko pada terjadi untuk cara efektifitas
perusahaan tiap tingkatan penerapan pelaporannya manajemen
lainnya organisasi manajemen risiko secara
risiko keseluruhan
3. Penetapan peran, kewenangan, tanggung jawab, dan akuntabilitas
organisasional
Manajemen puncak, dan badan pengawas (sesuai pengaturan yang ditetapkan), perlu memastikan
bahwa kewenangan, tanggung jawab, dan akuntabilitas untuk peran yang relevan dalam manajemen
risiko ditetapkan / diberlakukan dan dikomunikasikan pada semua tingkat organisasi, dengan:
 menekankan bahwa manajemen risiko adalah tanggung jawab inti;
 mengidentifikasi individu yang memiliki akuntabilitas dan kewenangan untuk mengelola risiko
(pemilik risiko).
3. Penetapan peran, kewenangan, tanggung jawab, dan

akuntabilitas organisasional
a. Struktur Tata Kelola Risiko

(Risk Governance Structure)
b. Pemilik Risiko dan

Pemangku Kepentingan
Lainnya
AKUNTABILITAS MANAJEMEN
RISIKO
c. Unit Manajemen Risiko
d. Unit Asurens Manajemen

Risiko
a. Contoh Struktur Tata Kelola Risiko
MODEL PERTAHANAN 3 LAPIS
Pertahanan Lapis 1 Pertahanan Lapis 2 Pertahanan Lapis 3
Keseharian pengelolaan risiko Kerangka kerja manajemen risiko, Pengawasan risiko dan
dan pengelolaan kontrol kebijakan dan metodologi asurens independen
Direksi Dewan Komisaris
Entitas Kerja Unit Komite Komite

(Risk Owner) Manajemen Risiko Pemantau Audit
Risiko
Audit
Internal
Audit
Keterangan:
Eksternal
Garis Koordinasi
Garis Instruksi
a. Contoh Struktur Tata Kelola Risiko
Pengawasan
DEWAN KOMISARIS DIREKSI
Komite Pemantau Risiko
KOMITE RISIKO (Lintas
INTERNAL AUDITOR Fungsi)
MANAJEMEN MANAJEMEN SDM &

MANAJEMEN OPERASI HUKUM & KEPATUHAN MANAJEMEN RISIKO
KEUANGAN UMUM
Keterangan:
Garis Koordinasi
Garis Instruksi
Peran Lini 1. Fungsi yang memiliki dan mengelola risiko
2. Fungsi yang mengamati risiko yang dikelolanya
Pertama 3. Fungsi yang memberikan jaminan independent atas pengelolaan risiko di Unit Kerjanya
1. Mendukung kebijakan manajemen, mendefinisikan peran dan tanggung jawab, dan menetapkan tujuan untuk implementasi
2. Menyediakan kerangka kerja manajemen risiko.
3. Mengidentifikasi masalah yang diketahui dan muncul

4. Mengidentifikasi pergeseran dalam selera risiko implisit organisasi
Peran Lini Kedua 5. Membantu manajemen dalam mengembangkan proses dan kontrol untuk mengelola risiko dan masalah.
6. Memberikan bimbingan dan pelatihan tentang proses manajemen risiko.
7. Memfasilitasi dan memantau implementasi praktik manajemen risiko yang efektif oleh manajemen operasional.
8. Memperingatkan manajemen operasional untuk masalah yang muncul dan mengubah skenario peraturan dan risiko
9. Memantau kecukupan dan efektivitas pengendalian internal, akurasi dan kelengkapan pelaporan, kepatuhan terhadap hukum dan peraturan, dan remediasi
kekurangan yang tepat waktu.
Peran Audit 1. Bertindak sesuai dengan standar internasional yang diakui untuk praktik audit internal.
Internal 2. Melaporkan ke tingkatan yang cukup tinggi dalam organisasi untuk dapat melakukan tugasnya secara mandiri
3. Memiliki jalur pelaporan yang aktif dan efektif kepada badan pengatur
(Lini Ketiga)
b. Pemilik Risiko dan Pihak Pemangku Kepentingan Lainnya
Contoh penetapan akuntabilitas manajemen risiko pada para pemangku
kepentingan
Pimpinan • Menentukan risk appetite dan risk tolerance
Puncak • Mengarahkan strategi dan mengkaji ulang risiko strategi
Organisasi • Menerima risiko – risiko dan laporan kontrol risiko dari manajemen (melalui komite
Manajemen Risiko atau Komite Manajemen Eksekutif )
• Menerima laporan dari komite risiko dan kualitas atau komite risiko dan audit dalam
proses untuk mengelola risiko dan dalam pengelolaan risiko utama
Unit Kerja Inti • Pemilik dan pengelola risiko
dan Pendukung • Melaporkan kepada anggota dewan (berdasarkan penilaian sendiri) tentang
pengelolaan risiko yang mereka lakukan
Komite • Menyediakan pengawasan tentang risiko dan manajemennya
Manajemen • Belajar dari insiden dan peristiwa yang terjadi
Risiko ` • Memantau indikator yang menyebabkan perubahan pada risiko
b. Pemilik Risiko dan Pihak Pemangku Kepentingan Lainnya
Contoh penetapan akuntabilitas manajemen risiko pada para pemangku
kepentingan
Manajemen • Menyediakan sumber daya yang ahli untuk area spesifik dalam risiko operasional,
Sub-Komite contohnya adalah kesehatan dan keselamatan
• Mengelola risk transfer atau berbagi risiko dengan pihak lain melalui outsourcing
dan asuransi
• Menganalisa risiko dan melaporkannya kepada komite manajemen risiko.
Komite Audit • Menerima laporan dari Internal Audit dalam proses untuk mengelola risiko dan
dan Risiko dalam pengelolaan risiko utama
Audit Internal • Menyediakan jaminan kepada komite audit dalam sistem kontrol internal dan
manajemen risiko
• Menyediakan jaminan kepada komite audit dan komite manajemen risiko dalam
manajemen untuk risiko tertentu
c. Unit Manajemen Risiko
Kepemilikan risiko di Pemahaman risiko Memberikan
Secara aktif
unit penunjang agregat pengecekan
mengelola risiko
dan balances
• Unit pengelola • Unit pengelola • Unit pengelola • Fungsi risiko memiliki
pemilik risiko pemilik risiko pemilik risiko dan secara aktif
• Fungsi risiko pusat • Tim kecil risiko pusat • Tim risiko pusat di memonitor dan
minimal memberikan agregat pengetahuan pimpin oleh Chief Risk mengelola kunci
saran ahli sesuai risiko dan Officer (CRO), dengan risiko tertentu secara
permintaan diintegrasikan ke wewenang yang terpusat (contohnya
• Optimalisasi risiko seluruh perusahaan sama, bertindak FX Hedging,
dipengaruhi oleh • Optimalisasi risiko sebagai trading/credit limit)
bisnis dan budaya dilakukan oleh penyeimabang dalam • Business head
risiko yang kuat seluruh manajemen, keputusan strategis mendapat
dengan dukungan yang penting persetujuan dalam
secara informal dari • CRO bertindak sebagai strategi risiko dari
tim risiko pusat thought partner untuk CRO
business head
d. Unit Asurens Manajemen Risiko
PENYEDIA
ASURENS
Unit Auditor
Auditor
Unit Bisnis Manajemen Eksternal
Internal
RIsiko
INTERNAL EKSTERNAL
3. Penetapan peran, kewenangan, tanggung jawab, dan akuntabilitas
organisasional
Peran Internal Auditor dalam Manajemen Risiko
CORE ROLES
a) Giving assurance on the RM program
b) Giving assurance that risks are correctly
evaluated
c) Evaluating risk management processes SHOULD NOT UNDERTAKE
d) Evaluating the reporting of key risks a) Setting the risk appetite
e) Reviewing the management of key risks b) Imposing risk management process
c) Assurance by management on controls and
LEGITIMATE ROLES (with Safeguards)
(w/ Safeguards) risks
a) Facilitating identification & evaluation of risks d) Taking decisions on risk responses
b) Coaching management in responding to risks e) Managing risks on management ‘s behalf
c) Coordinating ERM activities f) Accountability for risks and controls
d) Consolidated reporting on risks
e) Maintaining and developing the ERM
framework
f) Championing establishment of ERM
g) Developing ERM strategy for board approval
Sumber: IIA IPPF Guide, Assessing the adequacy of risk management using ISO 31000, 2010.
Disajikan sesuai aslinya.
Business Process
Kerangka Manajemen
Risiko - Desain
Goal
Risk
Risk Management Risk Based Audit
Risk Profile Audit Planning
Risk Mitigation Plan Test of Control
Risk Management
Report / Audit Report
4. Alokasi sumber daya

Manajemen puncak, dan badan pengawas (sesuai pengaturan yang ditetapkan),
perlu memastikan alokasi sumber daya manajemen risiko yang memadai,
termasuk di dalamnya, namun tidak terbatas pada:
 orang, keterampilan, pengalaman, dan kompetensi;
 proses, metode, dan alat yang dipakai organisasi untuk mengelola risiko;
 proses dan prosedur terdokumentasi;
 sistem manajemen informasi dan pengetahuan;
 pengembangan profesional dan kebutuhan pelatihan.

5. Penyiapan komunikasi dan konsultasi

Organisasi sebaiknya menetapkan pendekatan yang disetujui untuk komunikasi
dan konsultasi guna mendukung kerangka kerja dan memfasilitasi penerapan
efektif manajemen risiko. Komunikasi melibatkan pembagian informasi dengan
audiens yang dituju. Konsultasi juga melibatkan pemberian umpan balik dari
partisipan dengan harapan bahwa hal itu dapat berkontribusi dan membentuk
keputusan atau aktivitas lain.
Komunikasi dan konsultasi sebaiknya tepat waktu dan memastikan bahwa
informasi yang relevan dikumpulkan, digabungkan, disintesis, dan dibagikan,
secara relevan, serta umpan balik diberikan dan peningkatan dijalankan secara
berkelanjutan.
Pemanfaatan Matriks RACI dalam menentukan para pihak untuk diajak komunikasi
dan konsultasi.
1) Accountable (Akuntabilitas) : Pihak yang memiliki wewenang penuh dan
memiliki landasan hukum dalam
pengambilan keputusan pengelolaan
Manajemen Risiko Perusahaan.
2) Responsible (Tanggung Jawab) : Pihak yang memiliki tanggung jawab atas
pengelolaan Manajemen Risiko
Perusahaan.
3) Consult (Konsultasi) : Pihak yang dapat dilakukan konsultasi atas
pengelolaan Manajemen Risiko
Perusahaan.
4) Informed (Terinformasi : Pihak yang memperoleh informasi atau
laporaan atas pengelolaan Manajemen
Risiko perusahaan.

Contoh klasifikasi media/saluran komunikasi dalam pelaksanaan mekanisme
informasi dan pelaporan
Desain kerangka kerja
untuk pengelolaan risiko
Pemahaman organisasi dan konteksnya Keluaran

+
Penegasan komitmen manajemen risiko
 Kebijakan Manajemen Risiko
 Pedoman Manajemen Risiko
+  Peta Rencana (Roadmap)
Penetapan peran, kewenangan, tanggung jawab, Penerapan Manajemen Risiko
dan akuntabilitas organisasional
(milestones & rencana
+ pemenuhan sumber daya)
Alokasi sumber daya  Rencana Kerja Manajemen
+ Risiko (beserta rencana
tindakan pemenuhan sumber
Penyiapan komunikasi dan konsultasi daya)
Rencana Manajemen Risiko (Risk Management Plan)
Rencana Manajemen Risiko adalah:
“Skema dalam kerangka kerja manajemen risiko dalam penetapan
suatu pendekatan, komponen manajemen dan sumber daya untuk
diterapkan pada pengelolaan risiko.”
SNI ISO 31000

Rencana Manajemen Risiko
• Sederhananya, rencana manajemen risiko merupakan sebuah rencana
penerapan manajemen risiko sesuai dengan fokus penerapan yang hendak
dicapai perusahaan dalam suatu rentang waktu tertentu.
• Perlu dipastikan informasi mengenai ketersediaan sumber daya dan

penanggungjawab aktivitas dalam rencana guna memastikan penerapan
rencana dapat berlangsung sesuai ekspektasi/harapan.
• Umumnya rencana manajemen risiko dibagi dalam tiga tahapan besar:

 Jangka pendek
 Jangka menengah
 Jangka panjang
Kerangka Manajemen Risiko - Implementasi
Organisasi sebaiknya mengimplementasikan kerangka kerja

manajemen risiko dengan:
• mengembangkan rencana yang sesuai, termasuk waktu dan sumber daya;
• mengidentifikasi di mana, kapan, bagaimana, dan oleh siapa beragam jenis
keputusan dibuat di seluruh organisasi;
• memodifikasi proses pengambilan keputusan yang sesuai; jika diperlukan;
• memastikan pengaturan organisasi dalam mengelola risiko dipahami dengan
jelas dan dipraktikkan.
Implementasi kerangka kerja yang berhasil memerlukan

keterlibatan dan kesadaran pemangku kepentingan.
Ketika didesain dan diimplementasikan dengan baik, kerangka kerja
manajemen risiko dapat memastikan proses manajemen risiko
menjadi bagian dari semua aktivitas di seluruh organisasi, termasuk
pengambilan keputusan, serta memastikan perubahan konteks
eksternal dan internal terpantau secara memadai.
Guna meningkatkan probabilitas keberhasilan implementasi
kerangka kerja manajemen risiko, hendaknya tersedia rencana
pelaksanaan yang memperhitungkan a.i.:
• Peta rencana (roadmap) penerapan yang telah disusun dan disepakati
manajemen puncak;
• Strategi / pendekatan penerapan (pilot project / enterprise roll-out);
• Kesesuaian waktu dengan karakteristik bisnis / operasi organisasi (hindari
business peak season, holiday season, quarterly / annual reporting, external
auditing session, tidak berbarengan dengan inisiatif strategis lainnya);
• Kesiapan internal Unit Manajemen Risiko;
• Kesesuaian waktu dengan agenda manajemen puncak sebagai promotor.
Kerangka Manajemen Risiko - Evaluasi
Untuk mengevaluasi efektivitas kerangka kerja manajemen risiko,

organisasi perlu:
• mengukur kinerja kerangka kerja manajemen risiko secara berkala terhadap tujuan,
rencana implementasi, indikator, dan perilaku yang diharapkan;
• menentukan apakah kerangka kerja manajemen risiko tetap sesuai untuk
mendukung pencapaian sasaran organisasi.
Tujuan evaluasi kerangka kerja manajemen risiko adalah untuk
mengidentifikasi ruang pengembangan / perbaikan yang
diperlukan terhadap kerangka kerja, beserta dengan:
• Mengukur kesesuaian kinerja manajemen risiko sesuai indikator yang telah ditetapkan;
• Memantau tingkat maturitas manajemen risiko;
• Mengukur progres rencana penerapan manajemen risiko;
• Memantau perubahan internal & eksternal yang terjadi dan pengaruhnya terhadap kerangka
kerja manajemen risiko;
• Memantau kepatuhan terhadap kebijakan manajemen risiko.
6. Kerangka Manajemen Risiko
Aspek penting dalam evaluasi kerangka kerja manajemen risiko
adalah:
a. Siapa yang melaksanakan
b. Apa yang menjadi objek
c. Informasi yang dilibatkan
d. Cara yang digunakan
e. Hasil yang dilaporkan

a. Siapa yang melaksanakan
• Pelaksana tugas/risk officer/risk admin: tingkat pelaksanaan tugas rutin

Dilaksanakan secara terus menerus (continues monitoring) untuk memastikan bahwa apa
yang dikerjakan benar dan sesuai ketentuan/desain;
• Pimpinan unit/risk owner, atasan & risk manager: tingkat fungsional atau entitas kerja
Dilaksanakan secara berkala sebagai bentuk pengawasan dan tinjauan antara lain atas proses
yang berlangsung, risiko yang mungkin terjadi, serta efektifitas dan efisiensi pengendalian
risiko yang dilakukan;
• Risk manager & pihak asurens independen/independent assurance: tingkat organisasi
Dilakukan berdasarkan suatu siklus (misal: per tahun dalam bentuk asesmen mandiri, atau
per tiga tahunan oleh pihak eksternal) untuk melakukan evaluasi / verifikasi antara lain atas
efektivitas kerangka kerja, manajemen risiko, keselarasan manajemen risiko dengan strategi
perusahaan.
b. Apa yang menjadi objek
Realisasi dari rencana penerapan
manajemen risiko (risk management
plan)
Kinerja/efektivitas kerangka kerja

manajemen risiko
PEMANTAUAN DAN
TINJAUAN ATAS
Perubahan pada konteks
KERANGKA KERJA
Kesesuaian terhadap konteks dan

kebutuhan terkini:
• Pedoman manajemen risiko
• Prosedur manajemen risiko
• Metode dan alat bantu proses
manajemen risiko
Beberapa sumber informasi, antara lain:
• Laporan operasional;
• Indikator-indikator risiko utama;
• Indikator kinerja utama;
• Pengamatan langsung di lapangan
• Laporan hasil monitoring dan review;
• Laporan audit.
d. Cara yang Digunakan
Berikut adalah cara yang dapat digunakan untuk melaksanakan

evaluasi, antara lain yaitu:
1. Asesmen terhadap ISO 31000 system requirement:
• Principles approach
• Framework approach
• Process element approach;
2. Asesmen tingkat maturitas penerapan manajemen risiko;
3. Control effectiveness approach.
e. Hasil yang Dilaporkan
Pelaporan hasil evaluasi harus lebih mengutamakan pelaporan

kekurangan atau kelemahan, antara lain:
• Laporan kelemahan pengendalian risiko;
• Laporan kelemahan sistem manajemen risiko;
• Laporan kegagalan tindak lanjut atas temuan kelemahan;
• Laporan kegagalan dari mitigasi;
• Analisis dan refleksi pasca kejadian.
Kerangka Manajemen Risiko - Perbaikan
Perbaikan berkelanjutan merupakan tindak lanjut dari hasil evaluasi yang bertujuan
untuk memastikan agar manajemen risiko di lingkungan organisasi, baik pengaturan
maupun praktiknya, tetap sesuai karakteristik dan memenuhi kebutuhan spesifik
organisasi.
1. Adaptasi
Organisasi sebaiknya secara berkelanjutan memantau dan mengadaptasi
kerangka kerja manajemen risiko untuk mengatasi / mengantisipasi perubahan
eksternal dan internal. Dengan demikian, organisasi dapat meningkatkan
nilainya.
2. Perbaikan sinambung
Organisasi sebaiknya secara sinambung meningkatkan kesesuaian, kecukupan,
dan efektivitas kerangka kerja manajemen risiko, serta bagaimana proses
manajemen risiko diintegrasikan.
Saat kesenjangan atau peluang peningkatan yang relevan diidentifikasi,
organisasi hendaknya mengembangkan rencana dan tugas pengembangan serta
menugaskan kepada pihak yang memiliki akuntabilitas untuk menerapkan.
Perbaikan yang dilaksanakan dapat mencakup:
Peningkatan efektivitas dari kerangka kerja;
Peningkatan maturitas sistem manajemen risiko;
Peningkatan kapasitas pemilik risiko;
Peningkatan budaya sadar risiko.

Level Karakteristik Utama
Risk naïve : Belum ada pendekatan formal yang dikembangkan untuk manajemen risiko.
Risk aware : Pendekatan manajemen risiko masih silo dan tersebar.
Risk defined : Kebijakan dan strategi manajemen risiko telah ada dan dikomunikasikan. Selera risiko telah ditetapkan.
Risk managed : Pendekatan manajemen risiko secara menyeluruh telah dikembangkan dan dikomunikasikan.
Risk enabled : Manajemen risiko dan pengendalian intern telah melekat sepenuhnya dengan operasi atau aktivitas
organisasi.
Sumber: Chartered Institute of Internal Auditors (2014)

Risk naïve dan Risk aware, pendekatan audit internnya adalah mempromosikan manajemen risiko,
sedangkan rencana auditnya belum bisa bergantung pada hasil penilaian risiko yang dilakukan
manajemen. Alternatifnya, perencanaan audit bisa didasarkan pada sistem atau unit kerja yang ada dalam
organisasi. Dengan demikian, pada kedua level maturitas risiko tersebut RBIA belum bisa dilakukan.
Risk defined, auditor intern masih berperan sebagai fasilitator manajemen risiko namun sudah bisa
memakai hasil penilaian risiko oleh manajemen jika dirasa layak. Artinya, pada level risk defined ini ada
peluang untuk mulai melakukan RBIA.
Risk managed dan rRsk enabled auditor dapat sepenuhnya menerapkan RBIA dengan melakukan audit
terhadap proses manajemen risiko dan memanfaatkan hasil penilaian risiko oleh manajemen.
6. Proses Manajemen Risiko
SNI ISO 31000 - Manajemen Risiko

Seluruh risiko yang mungkin ada
Risiko yang relevan untuk organisasi
Risiko yang relevan untuk organisasi
Besarnya risiko yang dihadapi
Risiko yang harus ditindaklanjuti
Profil risiko organisasi
Risiko terkendali organisasi
Rencana vs. progres; target vs. capaian
Desain vs. praktik; ekspektasi vs. realisasi
Progres, praktik, realisasi, capaian.

(Pelaksanaan, keluaran, keluaran-hasil)
Proses Manajemen Risiko
Proses manajemen risiko melibatkan penerapan sistematis dari kebijakan, prosedur, dan praktik pada
aktivitas komunikasi dan konsultasi, penetapan konteks, serta penilaian, perlakuan, pemantauan,
peninjauan, pencatatan, dan pelaporan risiko.
Proses manajemen risiko hendaknya menjadi bagian integral manajemen dan pengambilan keputusan,
serta diintegrasikan ke dalam struktur, operasi, dan proses organisasi yang diterapkan pada tingkat
strategis, operasional, program, ataupun proyek.
Dapat saja ada banyak penerapan proses manajemen risiko di dalam organisasi, yang disesuaikan untuk
mencapai sasaran dan menyesuaikan konteks eksternal dan internal tempat proses diterapkan, termasuk
di dalamnya jenis risiko yang dikelola organisasi.
Proses Manajemen Risiko - Komunikasi
• Tujuan komunikasi dan konsultasi adalah

untuk membantu pemangku kepentingan
yang relevan dalam memahami risiko, dasar
pengambilan keputusan, dan alasan
mengapa tindakan tertentu diperlukan.
• Komunikasi digunakan untuk mendorong
kesadaran dan pemahaman risiko,
sedangkan konsultasi mencakup pencarian
umpan balik dan informasi untuk
mendukung pengambilan keputusan.
Maksud dari komunikasi dan konsultasi ditujukan untuk:
 menyatukan beragam area keahlian pada tiap tahap proses manajemen risiko;
 memastikan berbagai pandangan dipertimbangkan dengan memadai saat menentukan kriteria
risiko dan saat mengevaluasi risiko;
 memberikan informasi yang memadai untuk memfasilitasi pengawasan risiko dan pengambilan
keputusan;
 membangun rasa keterlibatan dan kepemilikan di antara pihak yang
terpengaruh oleh risiko.
Kombinasi antara komunikasi dan konsultasi akan memfasilitasi pertukaran informasi yang faktual, tepat
waktu, relevan, akurat, dan dapat dipahami, dengan mempertimbangkan kerahasiaan dan integritas
informasi, dan juga hak privasi individu.
INTERNAL
EKSTERNAL
KOMUNIKASI KONSULTASI
Selain itu, komunikasi dan konsultasi dalam proses manajemen
risiko dapat digunakan untuk:
• Menentukan konteks dengan benar;
• Memahami kepentingan seluruh pemangku kepentingan dan dipertimbangkan
dengan baik;
• Mendapatkan manfaat dari berbagai macam keahlian (multi disiplin);
• Membantu memastikan bahwa semua risiko telah teridentifikasi dengan baik;
• Membantu proses manajemen perubahan;
• Memperoleh dukungan dan persetujuan untuk tindakan perlakuan risiko
Contoh penyiapan komunikasi dan konsultasi dalam proses
manajemen risiko dengan memanfaatkan Matriks RACI.
Contoh Rencana Komunikasi:

Pemangku Kepentingan Internal
Pemangku Disiapkan Metode Pemilihan
Perantara Tujuan Konten/ Pesan Frekuensi
Kepentingan oleh Penyampaian Waktu
Senior Direktur GM Risk Memberikan • Dukungan • Rapat • Bersamaan 1 kali/ 6
Management Utama Management pemahaman terhadap bersama dengan bulan
Team tentang Risk penerapan Management
Management manajemen Meeting
dan risiko
akuntabilitas • Kesiapan • E-mail • 2 minggu Setiap kali
masing-masing untuk sebelum sebelum
pejabat menjadi risk pelatihan pelatihan
sebagai risk owner diadakan diadakan (1
owner • Kesediaan kali per 3
mengikuti bulan)
pelatihan
terkait
Contoh Rencana Konsultasi:
Pemangku Kepentingan Eksternal
Pemangku
Tujuan Metode Waktu Pemilik/Fasilitator
Kepentingan
Supplier Penting • Mendapatkan dukungan dalam • Wawancara September • Unit manajemen

business continuity plan exercise, • Survey risiko
terutama dari supply chain • Pelatihan • Unit pengadaan
disruption /reality check
• Menidentifikasi kesiapan
supplier
• Memiliki kemauan untuk
berpertisipasi dan mempelajari
pengalaman buruk mereka
Proses Manajemen Risiko – Lingkup, Konteks, Kriteria
• Penetapan ruang lingkup, konteks, dan kriteria

ditujukan untuk menyesuaikan proses
manajemen risiko, mendukung penilaian risiko
yang efektif, serta perlakuan risiko yang
memadai.
• Ruang lingkup, konteks, dan kriteria mencakup
penentuan ruang lingkup proses manajemen
risiko dan pemahaman konteks eksternal dan
internal.
Karena proses manajemen risiko dapat diterapkan pada berbagai
tingkat (misalnya strategis, operasi, program, proyek, atau aktivitas
lain), diperlukan kejelasan tentang ruang lingkup yang menjadi
cakupan, sasaran relevan yang perlu dipertimbangkan, dan
keselarasannya dengan sasaran organisasi.
Saat merencanakan pendekatan, hal yang perlu dipertimbangkan
adalah:
 sasaran dan keputusan yang perlu dibuat;
 hasil keluaran yang diharapkan dari tiap langkah yang akan diambil dalam
proses;
 waktu, lokasi, serta pencakupan dan pengecualian khusus;
 alat dan teknik penilaian risiko yang sesuai;
 sumber daya yang dibutuhkan, tanggung jawab dan catatan yang disimpan;
 hubungan dengan proyek, proses, dan aktivitas lain.
Ruang
Lingkup –
Risk
Category
Contoh:
Ruang Lingkup – Risk Breakdown Structure
Contoh:
RBS LEVEL 0 RBS LEVEL 1 RBS LEVEL 2 RISKS
1.1. Ruang lingkup definisi 8
1.2. Technical interface 4
1. Konten teknis 1.3. Tes dan penerimaan 10
27 risiko 1.4. Proses bisnis 2
1.5. Development life cycle 4
1.6. Akuisisi hardware 1
Risiko proyek 2.1. Pemasok / hubungan pelanggan 3
(60 Risiko)
2.2. Alokasi sumber daya 8
2. Manajemen
2.3. Komunikasi 2
29 risiko
2.4. Program management organization 8
2.5. Fasilitas dan infrastruktur 3
3. Komersial 3.1. Contract management 5
7 risiko 3.2. Subcontract issues 2
Ruang Lingkup – Pendekatan / teknik asesmen risiko

Internal
Contoh:
Risiko
Risiko Operasional
Internal
Strategi
Risiko
Keuangan
Risiko
Hukum Cyber Risk
Kualitatif Kuantitatif
Risiko Kepatuhan
Risiko Reputasi
Risiko
Pasar
Keterangan:
Sumbu X: Sumber Risiko
Eksternal Sumbu Y: Teknik Asesmen
Lingkup Manajemen Risiko
Dalam lingkup manajemen risiko perlu ditentukan:
• Cakupan pengelolaan risiko (project, proses, produk, unit kerja, dll);
• Siapakah pemilik risiko (akuntabilitas dan responsibilitas terkait);
• Metodologi, teknik, model, form yang digunakan;
• Keluaran yang diharapkan;
• Sumber daya yang diperlukan.
Hal-hal tersebut di atas sifatnya unik dan khas untuk tiap penerapan konteks
manajemen risiko (tailored).
Contoh: Prosedur Manajemen Risiko
Contoh: Instruksi Kerja Manajemen Risiko
Kode
BAGIAN JUDUL Halaman
Dokumen
PMR-6 Rev
INSTRUKSI KERJA
00
6.1 Tinjauan Umum PMR-6.1
Instruksi Kerja Pengisian Formulir Analisis Lingkungan Internal
6.2 dan Eksternal PMR-6.2
6.3 Instruksi Kerja Pengisian Formulir Database Peristiwa Risiko PMR-6.3
6.4 Instruksi Kerja Pengisian Formulir Penetapan Risk Appetite PMR-6.4
6.5 Instruksi Kerja Pengisian Formulir Deployment Risk Tolerance PMR-6.5
Instruksi Kerja Pengisian Formulir Identifikasi Peristiwa - Level
6.6 Korporat PMR-6.6
Instruksi Kerja Pengisian Formulir Identifikasi Peristiwa - Level
6.7 Proses PMR-6.7
Instruksi Kerja Pengisian Formulir Daftar Risiko - Level
VI
6.8 Korporat PMR-6.8
6.9 Instruksi Kerja Pengisian Formulir Daftar Risiko - Level Proses PMR-6.9
6.10 Instruksi Kerja Pengisian Formulir Pengukuran Level Risiko PMR-6.10
Instruksi Kerja Pengisian Formulir Penaksiran Status
6.11 Pengendalian - Level Korporat PMR-6.11
Instruksi Kerja Pengisian Formulir Penaksiran Status
6.12 Pengendalian - Level Proses PMR-6.12
Instruksi Kerja Pengisian Formulir Laporan penerapan
6.13 Manajemen Risiko - Level Korporat PMR-6.13
Instruksi Kerja Pengisian Formulir Laporan Penerapan
6.14 Manajemen Risiko - Level Proses PMR-6.14
6.15 Instruksi Kerja Pengisian Formulir Reviu Manajemen Risiko PMR-6.15
Konteks eksternal dan internal adalah lingkungan yang dicari
organisasi untuk menentukan dan mencapai sasarannya.
Konteks proses manajemen risiko sebaiknya ditetapkan dari pemahaman
terhadap lingkungan eksternal dan internal tempat organisasi beroperasi dengan
mempertimbangkan lingkungan spesifik dari aktivitas yang menjadi sasaran
penerapan manajemen risiko (organisasi menetapkan konteks
eksternal dan internal proses manajemen risiko dengan
mempertimbangkan faktor internal/eksternal organisasi).
Pemahaman akan konteks di atas penting karena:
 manajemen risiko dilakukan dalam konteks sasaran dan aktivitas organisasi;
 faktor organisasi dapat menjadi sumber risiko;
 tujuan dan ruang lingkup proses manajemen risiko mungkin berhubungan
dengan sasaran organisasi secara keseluruhan.
Konteks Internal & Eksternal – Analisis Pemangku Kepentingan
Rendah Tinggi
PENDUKUNG WASPADA
SIAPA SAJA? SIAPA SAJA?
Tinggi
POTENSI DUKUNGAN
STRATEGI: STRATEGI:
LIBATKAN KOLABORASI
MARGINAL ANCAMAN
SIAPA SAJA? SIAPA SAJA?
STRATEGI: STRATEGI:
Rendah
MONITOR BERTAHAN
POTENSI ANCAMAN
Konteks Internal & Eksternal – Analisis Pemangku

Kepentingan
KEPENTINGAN
PEMANGKU DAMPAK KRITIS
PARA PEMANGKU KEPENTINGAN KITA
KEPENTINGAN GAGAL Y/T
KEPENTINGAN
PLN Menjual daya listrik Mendapatkan Gangguan Ya
dan pembayaran supply listrik yang opersional
tepat waktu stabil dan konsisten
Supplier ATK Mendapatkan order Kebutuhan ATK Kekurangan ATK Tidak
tercukupi
Pengguna seluler Jaringan seluler Mendapatkan Berkurangnya Ya
Indosat yang handal dan revenue revenue dan pindah
untuk komunikasi ke provider lain
suara dan data
Konteks Internal & Eksternal – Analisis Pemangku Kepentingan
• Bargaining power of stakeholders:
ASPEK DARI DAYA TAWAR PEMANGKU KEPENTINGAN
(T/R) DAYA TAWAR
(BARGAINING
PEMANGKU PEMBUATAN POWER)
OTORITAS /
KEPENTINGAN PENDAPAT / TINGGI/
KEKUASAAN HAK DAYA EKONOMI
KEKUASAAN RENDAH
SUARA
POLITIK
Catatan:
Hasil akhir : semua rendah  daya tawar RENDAH
“1” aspek tinggi  daya tawar TINGGI
 Organisasi hendaknya menentukan jumlah dan jenis risiko yang dapat atau
tidak dapat diambil, relatif terhadap sasaran;
 Organisasi juga perlu menentukan kriteria untuk mengevaluasi signifikansi
risiko dan untuk mendukung proses pengambilan keputusan;
 Kriteria risiko sebaiknya selaras dengan kerangka kerja manajemen risiko
dan disesuaikan dengan tujuan khusus dan ruang lingkup aktivitas yang
dicakup;
 Kriteria risiko sebaiknya merefleksikan nilai, sasaran, dan sumber daya
organisasi serta konsisten dengan kebijakan dan pernyataan tentang
manajemen risiko;
 Kriteria sebaiknya ditentukan dengan mempertimbangkan kewajiban
organisasi dan pandangan pemangku kepentingan;
 Meski kriteria risiko sebaiknya ditetapkan pada awal proses penilaian risiko,
kriteria itu dinamis dan sebaiknya selalu ditinjau dan disesuaikan, bila
diperlukan.
Dalam merumuskan kriteria risiko, organisasi perlu
mempertimbangkan:
 sifat dan jenis ketidakpastian yang dapat memengaruhi hasil keluaran dan
sasaran (baik tangible maupun intangible);
 bagaimana konsekuensi (baik positif maupun negatif) dan kemungkinan akan
ditentukan dan diukur;
 faktor terkait waktu;
 konsistensi penggunaan ukuran;
 bagaimana tingkat risiko ditentukan;
 bagaimana kombinasi dan urutan berbagai risiko akan diperhitungkan;
 kapasitas organisasi.
Kriteria kemungkinan-
kejadian (likelihood)
Kriteria konsekuensi
Kriteria risiko (consequences)
Kriteria proses
manajemen risiko
Kriteria peringkat
risiko (risk level)
Kriteria efektifitas
Menentukan Kriteria pengendalian risiko (risk
risiko control effectiveness)
Toleransi risiko (risk

tolerance)
Kriteria penerapan
manajemen risiko
Selera risiko (risk
appetite)
Likelihood Criteria:
Probability
Likelihood
Parameter: Exposure of Likelihood
Rating
% Chance of a risk may
occur within a year
0 – 20 % Almost Never 1
21 – 40 % Unlikely 2
41 – 60 % Possible 3
61 – 80 % Likely 4
81 – 100 % Almost Certain 5

Financial Financial
Criteria: Criteria:
Revenue NPBT Exposure of Rating
Consequence
Parameter: Parameter:
Unachieved annual Unachieved annual
target target
≤1% ≤ 0,1 % Insignificant 1
≥ 1,1 % - 1,5 % > 0,1 % - 0,2 % Minor 2
≥ 1,6 % - 2,5 % ≥ 0,3 % - 0,5 % Moderate 3
≥ 2,6 % - < 5 % ≥ 0,6 % - 1,5 % Major 4
≥5% > 1,5 % Significant 5

Operational Criteria:
Disruption of support
function Exposure of Rating
Consequence
Parameter:
Types of disruption
Disruption of support function without further impact Insignificant 1
Disruption of support function which
may negatively affects performance
Minor 2
level of entire unit
Disruption of support function which may
negatively affects performance/service level of other supporting unit
Moderate 3

negatively affects performance/serice level of business unit
Major 4

negatively affects performance/service level of company-wide
Significant 5
Legal Criteria:
Legal/financial impact to
company Exposure of Rating
Parameter: Consequence
Types of impact to company due to
stakeholder’s complaint
Stakeholder’s complaint(manageable) Insignificant 1
Stakeholder’s complaint which obliges company to pay
fine/financial compensation ≤ Rp, 10 mio
Minor 2
Stakeholder’s complaintwhich obliges companyto pay

fine/financial compensation > Rp, 10 mio ≤
Moderate 3
Rp. 50 mio
Stakeholder’s complaintwhich obliges companyto pay
fine/financial compensation > Rp, 50 mio ≤ Rp. Major 4
100 mio, or which may lead to lawsuit (civil
law)
Stakeholder’s complaint which obliges company to pay
fine/financial compensation > Rp, 100 mio,
or which may lead to lawsuit (criminal law) and or Significant 5
blacklisting/business license revocation
Legal Criteria:
Reputation impact to
company Exposure of Rating
Consequence
Parameter:
Coverage of negative
publicity
Negative publicity can be prevented (manageable) Insignificant 1
Negative publicity at local mass media (printed) Minor 2
Negative publicity at local TV news Moderate 3
Negative publicity is going viral in social media/internet for 1 day Major 4
Negative publicity is going viral in social media/internet for >1 day &
at national mass media and or TV news
Significant 5
Kombinasi eksposur risiko dengan menggunakan alat bantu berupa peta risiko
Certain
Almost
5 MEDIUM HIGH HIGH CRISIS CRISIS
5 10 15 20 25
Likely
4 LOW MEDIUM HIGH CRISIS CRISIS
LIKELIHOOD
4 8 12 16 20
Never Unlikely Possible

3 LOW MEDIUM HIGH HIGH HIGH
3 6 9 12 15
2 LOW LOW MEDIUM MEDIUM HIGH

2 4 6 8 10
Almost
1 LOW LOW LOW LOW HIGH

1 2 3 4 5
1 2 3 4 5
Insignificant Minor Moderate Major Significant
CONSEQUENCE
Risk & Control Self-Assessment
Penilaian Identifikasi risiko Asesmen risiko: Rencana aksi,

berkelanjutan serta kepemilikan Dampak dan pemantauan, dan
dan paralel risiko kemungkinan pelaporan
terhadap risiko
dan kendali
Identifikasi kendali Asesmen kendali:
beserta kepemilikan rancangan dan kinerja
Contoh penentuan tingkat efektivitas kontrol dengan
pendekatan semi-kuantitatif
Apakah kontrol yang Apakah kontrol Apakah kontrol
dilakukan resmi yang dilakukan dijalankan dan
menangani didokumentasikan diterapkan secara
penyebab dan dan konsisten?
dampak risiko? dikomunikasikan?
Ya 1 1 1
Sebagian 3 2 2
Tidak 6 3 3
+ + =
Control Effectiveness (CE)
Criteria: Existing Effectiven Effec
Control Poin
ess t.
Parameter: Level Ratin
Operability& reliability of existing control g
Control exists, works properly as designed, and consistently produces

Very 7-12 1
result as expected
Effective
Control exists, works properly as designed, but does not consistently
Effective 6 2
produces result as expected
Control exists, works properly as designed, but does not produce

Less 5 3
results as expected
Effective
Control exists, but does not work properly as designed Not 4 4

Effective
Control does not exist Not 3 5

Available
Risk
Response Reporting
Lev
el
Risk is controlled & monitored Risk is informed to BPM Dept.
Low regularly by Branch/Dept. Head.
Risk is controlled & monitored Risk is informed to BPM Dept.

Medium regularly by Branch/Dept. Head
and BPM Dept.
Risk is controlled & treated by Risk is informed to/closely monitored by
Branch/Dept. Head (control BPMDept. & respective Director
High
improvement plan/risk treatment
plan should be available), and
assured by respective Director.
Risk is controlled & treated by Risk is informed to BPM Dept., BoD
Crisis/ Branch/Dept. Head (control & BoC, and closely monitored by
Catastrop improvement plan/risk treatment BPM Dept. & BoD.
hic plan should be available), and
assured by BoD.
Certain
Almost 5 MEDIUM HIGH HIGH CRISIS CRISIS
Likely 5 10 15 20 25
4 LOW MEDIUM HIGH CRISIS CRISIS

LIKELIHOOD
4 8 12 16 20
Never Unlikely Possible
3 LOW MEDIUM HIGH HIGH HIGH

3 6 9 12 15
2 LOW LOW MEDIUM MEDIUM HIGH

2 4 6 8 10
Almost
1 LOW LOW LOW LOW HIGH

1 2 3 4 5
1 2 3 4 5
Insignificant Minor Moderate Major Significant
CONSEQUENCE
6. ArsitekturManajemen Risiko
Risk Capacity dalam memperhitungkan
Risk Apetite & Risk Tolerance
Risk Capacity
Risk Tolerance (there is some debate regarding this)
Temporarily exceeding approved risk appetite
Approved Risk Appetite
Enterprise-Wide Risk Profile

Risk Appetite : Risk Appetite dideskripsikan sebagai kesediaan untuk mengambil atau menerima risiko atau ketidaksediaan atau
keengganan untuk mengambil risiko dari beberapa keputusan yang bersifat strategis.
Risk Tolerance : Tingkat variasi relatif yang dapat diterima terhadap pencapaian tujuan – tujuan.
Risk Capacity : Jumlah risiko di mana entitas organisasi mampu mendukung pencapaian sasarannya.
Risiko Risk Appetite Statement Risk Tolerance Risk Profile Condition
Fraud Fraud dalam bentuk apapun tidak bisa Zero Tolerance 1 Fraud Internal di
diterima oleh perusahaan Kantor Cabang
Cyber Risk Perusahaan menghindari risiko baik Maksimum 1 Kali dalam Tidak ada serangan
berupa serangan hacker maupun virus 3 Tahun hacker dan virus dalam 3
tahun terakhir
Likuiditas Rasio Likuiditas di jaga pada Rasio Likuiditas per Rasio Likuiditas per
persentase 200% bulan laporan 150% bulan laporan 180%
Condition Opportunity/Risk Action

Over Tolerance Perusahaan terekspos risiko tinggi Perbaikan dan Mitigasi Risiko
Sesuai Risk Appetite Perusahaan mendapatkan peluang Monitoring dan Kontrol
Risk Profile tidak Perusahaan kehilangan peluang Perbaikan Strategi
mencapai risk Appetite
Menentukan ruang lingkup manajemen risiko anda
Mengidentifikasi cakupan pengelolaan risiko yang perlu
dilakukan oleh organisasi anda
 Jenis risiko
 Pihak yang dilibatkan
 Teknik, model,dan form
 Alur proses prosedural
 Keluaran
Menentukan konteks eksternal anda Menentukan konteks internal anda

 Mengidentifikasi semua aspek di luar organisasi  Mengidentifikasi semua aspek dalam
anda yang mempengaruhi cara anda dalam organisasi anda yang mempengaruhi cara
mengelola risiko anda dalam mengelola risiko
Menentukan kriteria
 Konsekuensi yang perlu dipertimbangkan?
 Bagaimana cara mengukurnya?
 Bagaimana cara mengukur likelihood?
 Bagaimana cara menggabungkan semua hal tersebut
untuk menentukan tinkat risiko?
 Tingkat risiko yang dapat diterima/ditoleransi?
Proses Manajemen Risiko – Penilaian Risiko
• Penilaian risiko adalah proses
menyeluruh dari identifikasi
risiko, analisis risiko, dan
evaluasi risiko.
• Penilaian risiko dilakukan
secara sistematis, berulang,
dan kolaboratif, berdasarkan
pengetahuan dan pandangan
pemangku kepentingan.
• Penilaian sebaiknya
berdasarkan informasi terbaik
yang tersedia, dan dapat
didukung oleh kajian lanjutan
sesuai kebutuhan.
1. Metode Identifikasi Risiko

2. Identifikasi Dampak terhadap tujuan organisasi
3. Kategori Risiko
1. Probababilitas
2. Dampak dari Risiko
3. Inherent Risk & Residual Risk
1. Risk Ranking
2. Likelihood & Consequence Matrix
6. ArsitektiurManajemen Risiko
LOOK-UP METHODS: Two techniques 1/2; 2/2
Type of risk
N&D
assessment Description R&C C QO
of U
technique
Check-lists A simple form of risk identification. A techniques which provides Low Low Low No
a listing of typical uncertainties which need to be considered.
Risk Identification
Users refer to a previously developed list, codes or standards
Preliminary A simple inductive method of analysis whose objective is to Low High Med No
hazard analysis identify the hazards and hazardous situations and events that
can cause harm for a given activity, facility or system Risk Identification
Keterangan:
- R&C: Resource and capability
- N&D of U: Nature and degree of uncertainty
- C: Complexity
- QO: Quantitative output
SUPPORTING METHODS: Four techniques 1/4; 2/4
Type of risk
N&D
assessment Description R&C C QO
of U
technique
Structured A means of collecting a broad set of ideas and evaluation, Low Low Low No
interview and ranking them by a team. Brainstorming may be stimulated by
brains-torming prompts or by one-on-one and one-on-many inteview Risk Identification
techniques.
Delphi technique A means of combining expert opinions that may support the Med Med Med No
source and influence identification, probability and
consequence estimation and risk evaluation. It is a collaborative Risk Identification
technique for building concensus among experts. This
technique involving independent analysis and voting by experts.
Keterangan:
- C: Complexity
SUPPORTING METHODS: Four techniques 3/4; 4/4
Type of risk
N&D
assessment Description R&C
of U
C QO
technique
SWIFT A system for prompting a team to identify risks. Normally used Med Med Any No
Structured within a facilitated workshop. Normally linked to a risk analysis Risk Identification, Risk Analysis (C,
“what-if” and evaluation techniques P, L), & Risk Evaluation
Human reliability Human reliability analysis (HRA) deals with the impact of Med Med Med Yes
analysis (HRA) humans on system performance and can be used to evaluate Risk Identification, Risk Analysis (C,
human errors influences on the system. P, L), & Risk Evaluation
Keterangan:
- C: Complexity
SCENARIO ANALYSIS: Eight techniques 1/8; 2/8
Type of risk
N&D
of U
C QO
technique
Root cause A single loss that has occured is analyzed in order to understand Med Low Med No
analysis (single contributory causes and how the system or process can be
loss analysis) improved to avoid such future losses. The analysis shall consider Risk Analysis (C, P, L), & Risk
what controls were in place at the time the loss occured and Evaluation
how controls might be improved.
Scenario analysis Possible future scenarios are identified through imagination or Med High Med No
extrapolation from the present and different risks considered Risk Identification, Risk
Analysis (C, P, L), & Risk
assuming each of these scenarios might occur. This can be done Evaluation
formally or informally, qualitatively or quantitatively
Keterangan:
- C: Complexity
Type of risk
N&D
of U
C QO
technique
Toxicological risk Hazards are identified and analysed and possible pathways by High High Med Yes
assessment which a specified target might be exposed to the hazard are
(Environmental identified. Information on the level of exposure and the nature Risk Identification, Risk Analysis (C,
P, L), & Risk Evaluation
risk assessment) of harm caused by a given level of exposure are combined to
give a measure of the probability that the specified harm will
occur.
Business impact Provides an analysis of how key disruption risks could affect an Med Med Med No
analysis organization’s operations and identifies and quantitative the Risk Identification, Risk Analysis (C,
capabilities that would be required to manage it. P, L), & Risk Evaluation
Keterangan:
- C: Complexity
Type of risk
N&D
of U
C QO
technique
Fault tree analysis A technique which starts with the undesired event (top event) High High Med Yes
and determine all the ways in which it could occur. These are Risk Identification, Risk Analysis (P,
displayed graphically in a logical tree diagram. Once the fault L), & Risk Evaluation
tree has been developed, consideration should be given to
ways of reducing or eliminating potential causes/sources.
Event tree Using inductive reasoning to translate probabilities of different Med Med Med Yes
analysis initiating events into possible outcomes. Risk Identification, Risk Analysis (C,
P, L)
Keterangan:
- C: Complexity
7/8; 8/8
SCENARIO ANALYSIS: Eight techniques
Type of risk
N&D
of U
C QO
technique
Cause / A combination of fault and event tree analysis that allows High Med High Yes
consequence inclusion of time delays. Both causes and consequences of an Risk Identification, Risk Analysis (P,
analysis initiating event are considered. L), & Risk Evaluation
Cause-and-effect An effect can have a number of contributory factors which may Low Low Med No
analysis be grouped into different categories. Contributory factors are Risk Identification, Risk Analysis
identified often through brainstorming and displayed in a tree (C,)
structure or fishbone diagram.
Keterangan:
- C: Complexity
Proses Manajemen Risiko – Penilaian Risiko 1/5
FUNCTION ANALYSIS: Five techniques
Type of risk
N&D
of U
C QO
technique
FMEA and FMEA (Failure Mode and Effect Analysis) is a technique which Med Med Med Yes
FMECA identifies failure modes and mechanisms, and their effects. There
are several types of FMEA: Design (or product) FMEA which is
used for components and products. System FMEA which is used
for systems. Process FMEA which is used for manufacturing and Risk Identification, Risk Analysis
assembly processes. Service FMEA and Sotware FMEA (C,P, L), & Risk Evaluation
FMEA may be followed by a critically analysis which defines the

significance of each failure mode, qualitatively, semi-
qualitatively, or quantitatively (FMECA). The critically analysis
may be based on the probability that the failure mode will result
in system failure, or the level of risk associated with the failure
mode, or a risk priority number.
Keterangan:
- C: Complexity
Proses Manajemen Risiko – Penilaian Risiko 2/5; 3/5
FUNCTION ANALYSIS: Five techniques
Type of risk
N&D
of U
C QO
technique
Reliability- A method to identify the policies that should be implemented Med Med Med Yes
centred to manage failures so as to efficiently and effectively achieve Risk Identification, Risk Analysis
maintenance the required safety, availability and economy of operation for (C,P, L), & Risk Evaluation
all types of equipment.
Sneak analysis A methodology for identifying design errors. A sneak condition Med Med Med No
(Sneak circuit is a latent hardware, software, or integrated condition that

analysis) may cause an unwanted event to occur or may inhibit a desired
event and is not caused by component failure. These
Risk Identification
conditions are characterized by their random nature and ability
to escape detection during the most rigorous of standardized
system tests. Sneak conditions can cause improper operation,
loss of system availability, program delays, or even death or
injury to personnel.
Keterangan:
- C: Complexity
FUNCTION ANALYSIS: Five techniques 4/5; 5/5
Type of risk
N&D
of U
C QO
technique
HAZOP A general process of risk identification to define possible Med High High No
Hazard and deviations from the expected or intended performance. It uses
operability a guideword based system. Risk Identification, Risk Analysis
(C,P, L), & Risk Evaluation
studies
The criticalities of the deviations are assessed
HACCP A systematic, proactive, and preventive system for assuring Med Med Med No
Hazard analysis product quality, reliability and safety of processes by Risk Identification, Risk Analysis
and critical measuring and monitoring specific characteristics wich are (C), Risk Evaluation
control points required to be within defined limits.
Keterangan:
- C: Complexity
CONTROL ASSESSMENT: Two techniques 1/2; 2/2
Type of risk
N&D
of U
C QO
technique
LOPA (It may also be called barrier analysis). It allows controls and Med Med Med Yes
(Layers of their effectiveness to be evaluated. Risk Identification, Risk
protection Analysis (C,P, L),
analysis)
Bow tie analysis A simple diagrammatic way of describing and analysing the Med High Med Yes
pathways of a risk from hazards to outcomes and reviewing
controls. It can be considered to be a combination of the logic Risk Analysis (C,P,L), Risk
Evaluation
of a fault free analysing the cause of an event (represented by
the knot of a bow tie) and an event tree analysing the
consequences.
Keterangan:
- C: Complexity
STATISTICAL METHODS: Three techniques 1/3; 2/3
Type of risk
N&D
of U
C QO
technique
Bayesian A statistical procedure which utilize prior distribution data to High Low High Yes
analysis assess the probability of the result. Bayesian analysis depends
upon the accuracy of the prior distribution to deduce an Risk Analysis (C), Risk
accurate result. Bayesian belief networks model cause-and- evaluaiton
effect in a variety of domains by capturing probabilistics
relationships of variable inputs to derive a result.
Markov analysis Markov analysis, sometimes called state-space analysis, is High Low High Yes
commonly used in the analysis of repairable complex systems
Risk Identification, Risk
that can exist in multiple states, including various degraded Analysis (C,)
states.
Keterangan:
- C: Complexity
STATISTICAL METHODS: Three techniques 3/3

Type of risk
N&D
of U
C QO
technique
Monte-Carlo Monte Carlo simulation is used to establish the aggregate High Low High Yes
analysis variation in a system resulting from variations in the system,
for a number of inputs, where each input has a defined
distribution and the inputs are related to the output via Risk evaluaition
defined relationships. The analysis can be used for a specific
model where the interactions of the various inputs can be
mathematically defined. The inputs can be based upon a
variety of distribution types according to the nature of the
uncertainty they are intended to represent. For risk
assessment, triangular distributions or beta distributions are
commonly used.
Keterangan:
- C: Complexity
• Identifikasi risiko ditujukan untuk

menemukan, mengenali, dan menguraikan
risiko yang dapat membantu atau
menghalangi organisasi dalam mencapai
sasarannya.
• Organisasi hendaknya mengidentifikasi
risiko, tanpa memandang apakah sumber
risiko itu dapat dikendalikan organisasi atau
tidak.
• Perlu diperhatikan bahwa mungkin ada lebih
dari satu jenis hasil keluaran, yang dapat
menimbulkan beragam dampak berwujud
atau tak berwujud.
Proses Manajemen Risiko – Penilaian Risiko/Identifikasi
Level Korporasi
Berbasis Sasaran
Detail Aktivitas
Konteks Eksternal
Konteks Internal
Pengumpulan
Penyesuaian
Laporan
Identifikasi Risiko
Berbasis Proses
Level Aktivitas
1) Sasaran spesifik;
2) Peristiwa risiko;
Identifikasi 3) Penyebab risiko;

4) Sumber risiko;
Risiko 5) Potensi Dampak;
6) Kendali yang ada;
7) dlsb.
1) Merupakan kata benda;

2) Didefinisikan dalam pernyataan yang jelas dan spesifik (tetap kurang dari 10 kata);
3) Dimengerti bagi orang-orang dengan latar belakang yang berbeda;
4) Bebas dari jargon / istilah teknis tertentu (harus memberikan penjelasan yang
memadai);
5) Bebas dari singkatan (atau menempatkan bentuk lengkap di belakang).
Tools and Techniques Risk Identification
Brainstorming SA
Structured or semi-structured interviews SA
Delphi SA
Check-lists SA
Primary hazard analysis SA
Hazard and operability studies (HAZOP) SA
Hazard Analysis and Critical control points (HACCP) SA
Environmental risk assessment SA
Structure << What if>> (SWIFT) SA
Scenario analysis SA
Business impact analysis A
Failure mode effect analysis SA
Fault tree analysis A
Event tree analysis A
Catatan:
SA : Strongly applicable
A : Applicable
NA : Not Applicable
Tools and Techniques Risk Identification

Cause and consequence analysis A
Cause-and-effect analysis SA
Layer protection analysis (LOPA) A
Human Reliability Analysis SA
Reliability centered maintenance SA
Sneak circuit analysis A
Markov analysis A
FN curves A
Risk indices A
Consequence/probability matrix SA
Cost/benefit analysis A
Multi-criteria decision analysis (MCDA) A
Catatan:
A : Applicable
NA : Not Applicable
Dalam identifikasi risiko, faktor-faktor berikut, beserta dengan hubungan keterkaitan di antaranya, perlu
dipertimbangkan:
• sumber risiko tangible dan intangible;
• penyebab dan peristiwa;
• ancaman dan peluang;
• kerentanan dan kapabilitas;
• perubahan konteks eksternal dan internal;
• indikator risiko;
• sifat dan nilai aset dan sumber daya;
• konsekuensi dan dampak terhadap sasaran;
• batasan pengetahuan dan keandalan informasi;
• faktor terkait waktu;
• bias, asumsi, dan kepercayaan pihak yang terlibat.
Dokumentasi Proses Identifikasi Risiko
Format deskripsi risiko
Sebab Risiko Efek
(Fakta atau kondisi) (Ketidak pastian) (hasil yang memungkinkan)
Ancaman/ Risiko negatif
Hardware yang unik sebagai Tidak tersampaikan tepat waktu Memaksa penundaan jadwal
inovasi baru dan adanya potensi
penyimpangan pendekatan
kontrol desain
Hujan besar ketika fondasi akan Galian terisi air yang harus Akan menunda pembuatan
dituangkan dipompa keluar fondasi
Tertinggal saat “zeroing” di Nilai akhir dari harga kontrak Menyebabkan profit margin
harga saat penawaran mungkin terlalu rendah yang ditagetkan tidak tercapai
Dokumentasi Proses Identifikasi Risiko
Template identifikasi risiko (contoh):
Proses / Kejadian risiko/ Dampak / efek
Area yang deskripsi Sebab/faktor yang (apa yang terjadi Ancaman/ Tujuan
No
menjadi (apa yang bisa berkontribusi bila risiko Peluang utama
perhatian bermasalah) terjadi)
 Hujan lebat;
Keterlambatan
Galian dipenuhi  Tidak ada perlindungan Waktu
1. Fondasi dalam konstruksi Ancaman
air terhadap hujan; jadwal
pondasi
 Tidak ada pompa air
• Penundaan dari pemasok
karena keterlambatan
Beberapa
pembayaran; • Penundaan
Proses bagian tidak Waktu
2 • Kecelakaan transportasi penyelesaian Ancaman
perakitan dikirim tepat jadwal
saaat pengiriman barang produk
waktu
• Perencanaan pengadaan
yang buruk
• Analisis risiko ditujukan untuk

memahami sifat risiko dan
karakteristiknya, termasuk, jika
memungkinkan, tingkat risikonya.
• Analisis risiko melibatkan
pertimbangan mendetail
terhadap ketidakpastian, sumber
risiko, dampak, kemungkinan,
peristiwa, skenario, kendali, dan
efektivitas kendali tersebut.
• Suatu peristiwa dapat memiliki beragam sebab
dan akibat, serta dapat memengaruhi beberapa
sasaran
Proses Manajemen Risiko – Penilaian Risiko/Analisis
RISIKO YG STANDARD EFEKTIFITAS

PENGENDALIAN KESENJANGAN
TER- MAXIMUM PENGENDALIAN
YANG ADA YANG ADA
IDENTIFIKASI CONTROL RISIKO
Pengendalian risiko
yang ada dan yang Kesenjangan yang
dilaksanakan pada saat ditemukan antara
Tuntutan maksimum tuntutan maksimum
ini Penilaian efektifitas
menurut standard terkait dan kondisi saat ini
yang ada saat ini di existing risk control sesuai
dalam industri sejenis dengan kesenjangan yang
(benchmark) ditemukan
Efektivitas kendali
(saat ini & tambahan)
Kuantitatif
Inheren
Residu
Analisis Semi- Kuantitaitif
Risiko
Kualitatif
Kemungkinan-Kejadian Konsekuensi
1) Evaluasi efektivitas kendali;
2) Tingkat kemungkinan-kejadian,
3) Tingkat konsekuensi;
Analisis 4) Berdasarkan inheren;
Risiko 5) Berdasarkan residu;
6) Pemeringkatan risiko;
7) Pemetaan risiko;
8) dll.
1) Ketersediaan data historis;

2) Tinjauan dan validasi;
3) Multiple consequences dan knock-on effect;
4) Pembatasan dan asumsi model;
5) Analisis pendukung lanjutan (jika diperlukan)..
Teknik yang dapat dipergunakan untuk menganalisis risiko
Risk Analysis
Tools and Techniques
Consequences Probability Level of Risk
Hazard and operability studies (HAZOP) SA A A
Hazard Analysis and Critical control points (HACCP) SA NA NA
Environmental risk assessment SA SA SA
Structure << What if>> (SWIFT) SA SA SA
Scenario analysis SA A A
Business impact analysis SA A A
Root cause analysis SA SA SA
Failure mode effect analysis SA SA SA
Fault tree analysis NA SA A
Event tree analysis SA A A
Cause and consequence analysis SA SA A
Cause-and-effect analysis SA NA NA
Catatan:
A : Applicable
NA : Not Applicable
Teknik yang dapat dipergunakan untuk menganalisis risiko
Tools and Techniques Risk Analysis
Consequences Probability Level of Risk
Layer protection analysis (LOPA) SA A A
Decision tree SA SA A
Human Reliability Analysis SA SA SA
Bow tie analysis A SA SA
Reliability centred maintenance SA SA SA
Markov analysis SA NA NA
Bayesian statistics & Bayes network SA NA NA
FN curves SA SA A
Risk indices SA SA A
Consequence/probability matrix SA SA SA
Cost/benefit analysis SA A A
Multi-criteria decision analysis (MCDA) SA A SA
Catatan:
A : Applicable
NA : Not Applicable
Teknik analisis dapat berupa kualitatif, kuantitatif, atau kombinasi
keduanya, bergantung pada kondisi dan penggunaan yang diharapkan.
Analisis risiko dapat dilakukan dengan beragam tingkat detail dan
kompleksitas, bergantung pada tujuan analisis, ketersediaan dan
keandalan informasi, serta ketersediaan sumber daya, dengan
mempertimbangkan beberapa faktor berikut:
• kemungkinan peristiwa dan konsekuensi;
• sifat dan besaran konsekuensi;
• kompleksitas dan konektivitas;
• faktor dan volatilitas terkait waktu;
• efektivitas kendali yang ada;
• tingkat sensitivitas dan kepercayaan (confidence level).
Analisis risiko dapat dipengaruhi berbagai opini yang berbeda, bias, persepsi risiko, dan penilaian.
Pengaruh tambahan adalah mutu informasi yang digunakan, asumsi dan pengecualian yang dibuat,
keterbatasan teknik, serta eksekusi teknik tersebut. Pengaruh tersebut sebaiknya didokumentasikan dan
dikomunikasikan kepada pengambil keputusan.
Peristiwa yang ketidakpastiannya tinggi dapat sulit untuk dikuantifikasi (contoh: menganalisis peristiwa
dengan konsekuensi yang parah). Pada kasus semacam itu, penggunaan kombinasi beberapa teknik
dapat memberikan wawasan yang lebih luas.
Analisis risiko juga memberikan masukan untuk aktivitas evaluasi risiko, guna memutuskan apakah
risiko memerlukan perlakuan dan bagaimana perlakuannya, serta mengenai strategi dan metode
perlakuan risiko yang paling sesuai.
Sebagai dasar untuk melakukan evaluasi risiko, maka hendaknya proses analisis
risiko dilakukan sebagai berikut:
• Identifikasi dan evaluasi efektivitas pengendalian risiko yang ada;
• Menentukan tingkat kemungkinan dan dampak risiko;
• Menentukan peringkat risiko.
Evaluasi risiko melibatkan

pembandingan hasil analisis risiko
dengan kriteria risiko yang telah
ditetapkan untuk menentukan
apakah diperlukan tindakan
tambahan.
Proses Manajemen Risiko – Penilaian Risiko/Evaluasi
then this Prioritasi Risiko
risk (2nd),
Almos
certai
n
5
t
5 10 15 20 25 Prioritize response
to this risk (1st),
UnlikelyProbable Likely
4
Likelihood
4 8 12 16 20
3
3 6 9 12 15 after that, this risk

(3rd),
2
2 4 6 8 10
Almos
never
1
t
Risk Tolerance
1 2 3 4 5 Line
1 2 3 4 5
Very Very
and the last Low Medium High
low high
is this risk
then this Cosequence
(5th).
risk (4th),
Profil Risiko
11 1. Risk A
certain
Almost
2. Risk B
5
MEDIUM HIGH HIGH CRISIS CRISIS
5 10 15 20 25 3. Risk C
4 4 4. Risk D
Likel 3 2
5 5 5. Risk E
4
y
MEDIUM MEDIUM
MEDIUM HIGH CRISIS CRISIS
4 8 12 16 20
Likelihood
Inherent Exposure
Unlikely Possible
3 2 1
3
LOW MEDIUM
MEDIUM HIGH HIGH HIGH Current Exposure (taking
3 6 9 12 15
the effectiveness of
existing controls into
account)
2
LOW LOW
MEDIUM MEDIUM MEDIUM HIGH
2 44 6 88 10
Residual Exposure
(taking the effectiveness
Almos
never
1
LOW LOW LOW

of treatment plan into
MEDIUM MEDIUM
1 2 3 4 55 account)
t
1 2 3 4 5
Minor Moderate Severe Major Catastrophic

Consequence
Teknik yang dapat dipergunakan untuk mengevaluasi risiko
Tools and Techniques Risk Evaluation
Hazard and operability studies (HAZOP) A
Hazard Analysis and Critical control points (HACCP) SA
Environmental risk assessment SA
Structure << What if>> (SWIFT) SA
Scenario analysis A
Business impact analysis A
Root cause analysis SA
Failure mode effect analysis SA
Fault tree analysis A
Cause and consequence analysis A
Decision tree A
Catatan:
A : Applicable
NA : Not Applicable
Teknik yang dapat dipergunakan untuk mengevaluasi risiko
Tools and Techniques Risk Evaluation
Human Reliability Analysis A
Bow tie analysis A
Reliability centered maintenance SA
Monte Carlo simulation SA
Bayesian statistics & Bayes network SA
FN curves SA
Risk indices SA
Consequence/probability matrix A
Cost/benefit analysis A
Multi-criteria decision analysis (MCDA) A
Catatan:
A : Applicable
NA : Not Applicable
Evaluasi risiko dapat membawa pada keputusan untuk:
• tidak melakukan apa pun lebih lanjut;
• mempertimbangkan opsi perlakuan risiko;
• melakukan analisis lanjutan untuk memahami risiko dengan lebih
baik;
• memelihara pengendalian yang ada;
• mempertimbangkan kembali sasaran.
Keputusan hasil evaluasi risiko hendaknya mempertimbangkan
konteks yang lebih luas, serta konsekuensi aktual yang
dipersepsikan terhadap pemangku kepentingan eksternal dan
internal
Proses Manajemen Risiko – Perlakuan Risiko
Yang dilakukan dalam

perlakuan risiko adalah
memilih dan menerapkan
opsi penanganan risiko.
Perlakuan risiko mencakup proses berulang dari:
• formulasi dan seleksi opsi perlakuan risiko;
• perencanaan dan implementasi perlakuan risiko;
• penilaian efektivitas perlakuan yang akan dan telah dilakukan;
• pengambilan keputusan apakah risiko tersisa dapat diterima;
• pelaksanaan perlakuan lanjutan, jika opsi tidak diterima.
Pemilihan opsi perlakuan risiko yang paling tepat mencakup penyeimbangan potensi
manfaat yang diturunkan dalam kaitan dengan pencapaian sasaran terhadap biaya,
upaya, atau kerugian implementasi.
Sejumlah risiko yang telah ditentukan peringkatnya dan tingkat
Hasil Evaluasi Risiko kegawatannya serta prioritas perlakuannya
Melakukan identifikasi opsi penanganan risiko: berdasarkan risk

appetite dan risk acceptability dengan menerima risiko (accept),
Strategi Pemilihan
menurunkan tingkat risiko (mitigation), dan hindari risiko (avoid)
Penanganan Risiko
atau berbagi risiko (sharing)
Melakukan persiapan untuk pelaksanaan penanganan risiko,

Rencana Penanganan termasuk diantaranya masalah business recovery strategy,
Risiko manajemen perubahan, risk financing, dlsb.
Melakukan analisis manfaat & biaya (cost-benefit analysis)

Analisa Manfaat Biaya atas opsi penanganan risiko yang dipilih
Implementasi rencana penanganan risiko, diikuti

Implementasi Rencana dokumentasi yang lengkap, review dan monitoring secara
Penanganan Risiko berkala
Mitigasi Risiko
Menghindari Risiko (Risk Mitigation)
(Risk Avoidance) • Mengurangi kemungkinan
• Mengurangi dampak
OPSI • Menghilangkan sumber risiko
PERLAKUAN
RISIKO
Berbagi Risiko Penerimaan Risiko

(Risk Sharing) (Risk Retain)
Risk Exploit
Avoid/
Sharing
Mitigation
Accepted/
Mitigation
Accepted/Exploit
Strategi Pemilihan Opsi Penanganan Risiko
MENGHINDARI
Menghindari risiko adalah suatu strategi untuk meniadakan risiko sepenuhnya dengan tidak melakukan
kegiatan/proyek yang diperkirakan mempunyai risiko melebihi selera risiko organisasi
Beberapa hal yang harus dipertimbangkan sebelum mengambil keputusan untuk melakukan
penghindaran risiko:
 Dampak terhadap sasaran bisnis/organisasi
 Dampak biaya
 Peluang
MITIGASI
Mitigasi risiko adalah perlakuan risiko yang bertujuan untuk mengurangi risiko.
Bentuk pengurangan risiko dapat berupa:

 Pengurangan kemungkinan terjadinya risiko
 Pengurangan kerugian akibat terjadinya risiko
 Diversifikasi risiko
 Menghilangkan sumber risiko
Beberapa metode untuk melakukan mitigasi, antara lain dengan menggunakan Ishikawa Diagram,
FMEA, serta perbaikan prosedur dan kebijakan (tindakan pengendalian)
BERBAGI
Berbagi risiko adalah strategi yang digunakan untuk memindahkan sebagian dari risiko ke
individu, entitas bisnis, atau organisasi lain.
Memindahkan risiko tidak berarti mengurangi tingkat kegawatan risiko, tetapi hanya
memindahkan ke pihak lain.
Cara untuk melakukan pemindahan risiko, antara lain:

 Asuransi
 Subkontrak
 Perjanjian bagi hasil
 Outsourcing
 Joint operation
MENERIMA
Strategi menerima risiko merupakan suatu strategi untuk menerima risiko karena memang lebih
ekonomis untuk menerima risiko tersebut.
Selain itu, risiko diterima juga karena tidak tersedia alternatif lain untuk menghindari risiko,
berbagi risiko, atau melakukan mitigasi atas risiko tersebut.
Untuk melakukan strategi penerimaan risiko, perlu dipertimbangkan:

 Penentuan pilihan
 Waktu dan kondisi
 Kemampuan menyerap risiko
EKSPLOITASI
Strategi eksploitasi risiko merupakan suatu strategi untuk menerima, bahkan menambah risiko
karena manfaat yang diberikan melalui pengambilan risiko jauh lebih besar ketimbang biaya yang
harus ditanggung bila risiko terjadi.
Adapun eksploitasi risiko dilakukan dengan cara menambah intensitas aktivitas, di mana risiko
melekat, atau untuk mencapai sasaran di mana risiko melekat.
Pertimbangan untuk memutuskan opsi perlakuan risiko:
Solusi yang optimal, atau efektif pada sikon terkini (eksposur

risiko residual paling minimum);
Solusi yang cost-effective, atau yang paling mungkin untuk

dikerjakan;
Solusi yang sesuai tuntutan norma yang berlaku (antara lain:

peraturan, standar industri, etis, dll).
Justifikasi untuk perlakuan risiko lebih luas daripada sekadar pertimbangan ekonomi dan
sebaiknya memperhitungkan semua unsur kewajiban, komitmen sukarela, dan
pandangan pemangku kepentingan dari organisasi.
Ketika memilih opsi perlakuan risiko, organisasi sebaiknya
mempertimbangkan nilai, persepsi, dan potensi keterlibatan
pemangku kepentingan, serta cara paling tepat untuk
berkomunikasi dan berkonsultasi dengan mereka.
Perlakuan risiko, bahkan jika sudah dirancang dan diterapkan dengan hati-hati, mungkin
tidak mencapai hasil keluaran yang diharapkan dan dapat memberi konsekuensi yang
tidak diharapkan. Pemantauan dan tinjauan perlu menjadi bagian integral implementasi
perlakuan risiko untuk memberi pemastian bahwa berbagai bentuk perlakuan menjadi
dan tetap efektif.
Perlakuan risiko juga dapat menimbulkan risiko baru yang perlu dikelola.
Risiko yang tersisa sebaiknya didokumentasikan dan menjadi subjek pemantauan,
tinjauan, dan, bila diperlukan, perlakuan lanjutan.
Rencana perlakuan risiko perlu dirumuskan dan dikomunikasikan kepada para pemangku
kepentingan (yang terlibat / mendapat pengaruh dari pelaksanaan perlakuan risiko)
untuk menentukan bagaimana opsi perlakuan yang dipilih dapat diterapkan, sehingga
pengaturannya dapat dipahami oleh pihak yang terlibat dan
kemajuan rencananya dapat dipantau. Rencana perlakuan hendaknya secara jelas
mengidentifikasi urutan perlakuan risiko yang akan diterapkan Rencana perlakuan juga
hendaknya terintegrasi dengan rencana dan proses manajemen organisasi.
Informasi di dalam rencana perlakuan risiko meliputi:
• alasan pemilihan opsi perlakuan, termasuk manfaat yang diharapkan;
• pihak yang memiliki akuntabilitas dan tanggung jawab untuk persetujuan dan implementasi
rencana;
• tindakan yang diusulkan;
• sumber daya yang dibutuhkan, termasuk kontingensi;
• ukuran kinerja;
• batasan;
• pelaporan dan pemantauan yang diperlukan;
• kapan tindakan diharapkan dapat dilakukan dan diselesaikan.
Pemantauan dan tinjauan ulang ditujukan

untuk memastikan dan meningkatkan mutu
dan efektivitas desain, implementasi, dan
hasil keluaran proses.
Pemantauan yang sedang berlangsung dan
tinjauan berkala terhadap proses dan hasil
keluaran manajemen risiko dirancang sebagai
bagian terencana dari proses manajemen risiko,
dengan tanggung jawab yang ditentukan dengan
jelas
Proses Manajemen Risiko – Pemantauan dan Peninjauan
Pemantauan dan tinjauan mencakup perencanaan, pengumpulan dan analisis informasi,

pencatatan hasil, dan pemberian umpan balik.
Hasil pemantauan dan tinjauan sebaiknya disertakan di seluruh aktivitas manajemen,

pengukuran, dan pelaporan kinerja organisasi.
Proses Manajemen Risiko – Pemantauan dan Peninjauan
Proses pemantauan dan tinjauan harus meliputi semua aspek

proses manajemen risiko dengan tujuan:
Memastikan bahwa pengendalian risiko berjalan efektif dan efisien sesuai dengan rancang bangun dan
secara operasi
Memperoleh informasi terkini guna peningkatan asesmen risiko
Mendapatkan pelajaran dari peristiwa risiko yang telah lalu, perubahan yang terjadi, trend, keberhasilan
maupun kegagalan penanganan risiko
Mendeteksi perubahan konteks internal maupun eksternal, termasuk perubahan kriteria risiko dan
kondisi risiko itu sendiri, yang menuntut penyesuaian perlakuan risiko serta kemungkinan perubahan
prioritas
Mengidentifikasi kemungkinan timbulnya risiko baru.

Pencatatan dan pelaporan
bertujuan untuk:
• mengomunikasikan aktivitas
manajemen risiko dan hasil
keluaran dari manajemen risiko
ke seluruh organisasi;
• memberikan informasi untuk
pengambilan keputusan;
• meningkatkan aktivitas
manajemen risiko;
• membantu interaksi dengan
pemangku kepentingan, termasuk
pihak yang memiliki tanggung
jawab dan akuntabilitas untuk
aktivitas manajemen risiko.
Proses Manajemen Risiko – Pencatatan dan Pelaporan
Keputusan yang berkaitan dengan pembuatan, retensi, dan

penanganan informasi terdokumentasi sebaiknya
mempertimbangkan, tetapi tidak terbatas pada, penggunaannya,
sensitivitas informasi, serta konteks eksternal dan internal.
Pelaporan adalah bagian integral dari tata kelola organisasi dan
sebaiknya meningkatkan mutu dialog dengan pemangku
kepentingan dan mendukung manajemen puncak dan dewan
pengawas dalam memenuhi tanggung jawab mereka.
Proses Manajemen Risiko – Pencatatan dan Pelaporan
Faktor yang perlu dipertimbangkan dalam pelaporan mencakup,

tetapi tidak terbatas pada:
• berbagai perbedaan pemangku kepentinganyang berbeda serta
kebutuhan dan persyaratan informasi mereka yang khusus;
• biaya, frekuensi, dan ketepatan waktu pelaporan;
• metode pelaporan;
• relevansi informasi terhadap sasaran dan pengambilan keputusan
organisasi.
ERM in Fact
Kondisi Ideal (Idealism) Kenyataan (Realism)

Administrative (asal sudah ada risk register), tidak
Create & protect value
berhubungan dengan value creation process & protect value
Integrated Silo
Risk champion: CEO (President Director) Risk champion: berubah-ubah
Leadership & commitment (strong top management buy-

Kurangnya dukungan dari top management buy-in
in)
Compliance, pencitraan, sekedar pemenuhan & pelengkap,
Continual improvement & risk maturity level assessment
normative
Comprehensive top risk (top down & bottom up model) Top risk masih terlalu fokus pada bottom up model
Early Warning System (deteksi dini risiko) Fire fighting
Mediocre: diisi orang-orang buangan, comfort zone, mau

Multi discipline experience
pensiun, tidak multi disiplin ilmu
ERM in Fact
Kondisi Ideal (Idealism) Kenyataan (Realism)
Risk is the effect of uncertainty on objectives Belum terbedakan antara risiko dengan problem
Clarity (risk event, risk cause, risk indicator) Confused & ambiguous (sering tertukar)
Risk cause: based on root cause Risk cause: normative
Risk indicator: only based on risk event or based on risk

Risk indicator: based on root cause
event & risk cause (both) but normative
Risk indicator: based on data base & tacit knowledge Risk indicator: lack of database, ignore tacit knowledge
Enggan mengambil sertifikasi manajemen risiko, pelatihan

Certified in risk management hanya untuk memenuhi credit point sertifikasi namun tidak
melakukan improvement penerapan ERM
Best available information Limited information
Ingin terlihat canggih menggunakan metode kuantitatif tapi

useless (tidak sesuai kebutuhan), tailormade namun tidak
Customized (tailormade)
pernah improvement karena khawatir tanggung jawab
makin besar & makin banyak pekerjaan
ERM in Fact
Area for Improvement

 Membangun mindset dengan real case praktik ERM yang bertujuan untuk create & protect value
 Membangun keselarasan antara Renstra, KPI & Manajemen Risiko BUY IN
 Menetapkan CEO sebagai Risk Champion

 Keputusan-keputusan strategis harus dilakukan dengan mempertimbangkan risikonya
 Implementasi risk register dengan konsep value-based baik top down maupun bottom up TONE FROM MINDSET
THE TOP SAMA
 Menetapkan mekanisme pembahasan top risk secara berkala di level BoD & BoC dalam Pedoman ERM
 Memastikan standar kompetensi & menempatkan SDM terbaik multi disiplin ilmu di Divisi Manajemen Risiko
 Membangun budaya sadar risiko secara terstruktur & berkelanjutan DUKUNGAN
SEMUA PIHAK
 Membangun reward and punishment system merujuk pada penilaian kinerja berbasis risiko
 Menyusun & mengimplementasikan Road Map ERM yang selaras dengan Risk Maturity Level Assessment untuk
diterapkan secara bertahap sesuai dengan kebutuhan maupun ketersediaan sumber daya & budaya sadar risiko

Module CPRM - Rmi

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Module CPRM - Rmi

Diunggah oleh

Hak Cipta:

Format Tersedia

Professional Risk Management

2. Risk Management Approach

5. Advantage of ISO 31000:2018

6. Arsitektur Manajemen Risiko ISO 31000:2018

1. Mengetahui Konsep Risiko

COMPLIANCE SILO MANAGEMENT FAKTOR INTERNAL FAKTOR EKSTERNAL

Gugatan/Sanksi Berhenti Kesalahan

Terjaminnya strategic objective

2. COSO Enterprise Risk Management – Integrated Framework

3. ISO 31000 Risk Management Guidelines

4. PMBOK Project Management of Body Knowledge

5. BS 31100 Code of Practice for Risk Management

6. OCEG Red Book 2.0 (GRC Capability Model)

1985 1992 2004 2014-Now

COSO ICIF MODEL COSO ERM MODEL

Tujuan dari IC (Internal Control) terdiri dari 1.Operation Objectives

Ada yang menguji dan

Risiko sering dinyatakan dalam bentuk kombinasi

Efek adalah penyimpangan dari yang diharapkan -

2. Risiko muncul dari ketidakpastian karena adanya sasaran

3. Beda sasaran, beda risiko.

4. Guna menentukan peristiwa risiko perlu memahami sasaran

5. Sasaran harus melingkupi unsur SMARTER

M • Measurable – Pencapaian sasaran dapat diukur melalui ukuran tertentu

A • Attainable – Sasaran yang ada bersifat menantang, namun tetap dapat

R • Relevant – Sasaran yang ada harus sesuai dengan strategi perusahaan

T • Time-bound – Menyatakan secara jelas kapan sasaran ingin tercapai

E • Evaluated – Sasaran yang ada dapat dievaluasi seiring berjalannya waktu

R • Recognized – Memungkinkan dilakukan evaluasi pada saat tenggat waktu

Control: Cek Ban Terkena Control: Ketahui Titik” Terjebak

Pembelian Pengendalian Penjualan dan Pelayanan

PEMILIK = Orang atau entitas dengan akuntabilitas

(Person or entity with the accountability

Now *Micro Environment

SDM, Kapabilitas Teknis, Aspek

Sumber: Fred R. David, 1988

3 Analisis Daya Tarik Pasar dan Daya 4 Program Kerja

Form Risk Register

Eva- Analisis Risko

Inherent Risk Residual Risk

dilakukan perlakuan risiko tambahan (cukup dengan melanjutkan control/mitigasi

Very Low Low Medium High Very High eksisting)

12. Menyusun rencana perlakuan risiko

2. Compatible dan terintegrasi dengan standar internasional bidang lain

3. Diadopsi secara identic oleh BSN, SNI 8615:2018

4. Memiliki Arsitektur yang komprehensif (Prinsip, Kerangka, dan Proses)

5. Customized (Dapat diterapkan di berbagai industry)

Negara-negara yang telah menerapkan ISO 31000

Kerangka Kerja Manajemen Risiko Proses Manajemen Risiko

Prinsip Manajemen Risiko

Definisi Manajemen Risiko menurut SNI ISO 31000

Tata kelola risiko (risk governance) yang sebelumnya hanya menjadi

2. Manajemen Risiko Dipandang Reaktif

ISO 31000:2018 menekankan sifat manajemen risiko yang iteratif. Hal

3. Sistem Diperkaya dengan Konteks Eksternal

Kerangka Kerja Manajemen Risiko Proses Manajemen Risiko

Prinsip Manajemen Risiko

UPSIDE RISK (Value Creation) DOWNSIDE RISK (Value Protection)

Tujuan Manajemen Risiko adalah

(SNI ISO 31000)

Organisasi harus bisa Relevan dengan Konteks

Informasi/data yang baik

Prinsip Manajemen Risiko