Definitions of risk
The Oxford English Dictionary definition of risk is as follows: ‘a chance or possibility of danger, loss,
injury or other adverse consequences’, and the definition of at risk is ‘exposed to danger’. In this
context, risk is used to signify negative consequences. However, taking a risk can also result in a
positive outcome. A third possibility is that risk is related to uncertainty of outcome.
Definisi risiko menurut Oxford English Dictionary adalah sebagai berikut: 'peluang atau kemungkinan
terjadinya bahaya, kerugian, cedera, atau konsekuensi buruk lainnya', dan definisi berisiko adalah
'terpapar bahaya'. Dalam konteks ini, risiko digunakan untuk menunjukkan konsekuensi negatif.
Namun, mengambil risiko juga dapat menghasilkan hasil yang positif. Kemungkinan ketiga adalah
bahwa risiko terkait dengan ketidakpastian hasil.
Risiko : konsekuensi negatif, dapat menghasilkan hasil yang positif, dan ketidakpastian hasil.
Take the example of owning a motor car. For most people, owning a car is an opportunity to become
more mobile and gain the related benefits. However, there are uncertainties in owning a car that are
related to maintenance and repair costs. Finally, motor cars can be involved in accidents, so there are
obvious negative outcomes that can occur. It is also important to remember the legal obligations
associated with car ownership and the rules that must be obeyed when the car is being driven on a
road.
Ambil contoh memiliki mobil. Bagi kebanyakan orang, memiliki mobil adalah kesempatan untuk
menjadi lebih mobile dan mendapatkan keuntungan terkait. Namun, ada ketidakpastian dalam
memiliki mobil yang terkait dengan biaya perawatan dan perbaikan. Terakhir, mobil bermotor dapat
terlibat dalam kecelakaan, sehingga ada hasil negatif yang dapat terjadi. Penting juga untuk mengingat
kewajiban hukum yang terkait dengan kepemilikan mobil dan peraturan yang harus dipatuhi saat
mobil dikendarai di jalan raya.
Contoh : memiliki mobil memiliki konsekuensi positif, negatif, dan ketidakpastian.
Definitions of risk can be found from many sources, and some key definitions are set out in Table
1.1. An alternative definition is also provided to illustrate the broad nature of risks that can affect
organizations. The Institute of Risk Management (IRM) defines risk as the combination of the
probability of an event and its consequence. Consequences can range from positive to negative. This
is a widely applicable and practical definition that can be easily applied.
Definisi risiko dapat ditemukan dari berbagai sumber, dan beberapa definisi utama dapat dilihat pada
Tabel 1.1. Definisi alternatif juga disediakan untuk menggambarkan sifat luas dari risiko yang dapat
mempengaruhi organisasi. Institute of Risk Management (IRM) mendefinisikan risiko sebagai
kombinasi antara probabilitas suatu kejadian dan konsekuensinya. Konsekuensi dapat berkisar dari
positif hingga negatif. Ini adalah definisi yang dapat diterapkan secara luas dan praktis yang dapat
dengan mudah diterapkan.
Table 1. Definitions of risk
ISO Guide 73 ISO 31000, Effect of uncertainty on objectives. Note that an effect may be
positive, negative, or a deviation from the expected. Also, risk is often described by an event,
a change in circumstances or a consequence.
Institute of Risk Management (IRM), Risk is the combination of the probability of an event
and its consequence. Consequences can range from positive to negative.
Orange Book from HM Treasury, Uncertainty of outcome, within a range of exposure, arising
from a combination of the impact and the probability of potential events.
Institute of Internal Auditors, The uncertainty of an event occurring that could have an impact
on the achievement of the objectives. Risk is measured in terms of consequences and
likelihood.
Panduan ISO 73 ISO 31000, Pengaruh ketidakpastian terhadap tujuan. Perhatikan bahwa
suatu efek dapat bersifat positif, negatif, atau penyimpangan dari yang diharapkan. Selain itu,
risiko juga sering digambarkan oleh suatu peristiwa, perubahan keadaan atau konsekuensi.
Institute of Risk Management (IRM), Risiko adalah kombinasi dari probabilitas suatu
peristiwa dan konsekuensinya. Konsekuensi dapat berkisar dari positif hingga negatif.
Orange Book dari HM Treasury, Ketidakpastian hasil, dalam suatu rentang eksposur, yang
timbul dari kombinasi dampak dan probabilitas kejadian potensial.
Institute of Internal Auditor, Ketidakpastian terjadinya suatu peristiwa yang dapat berdampak
pada pencapaian tujuan. Risiko diukur dari segi konsekuensi dan kemungkinan.
The international guide to risk-related definitions is ISO Guide 73, and it defines risk as the ‘effect of
uncertainty on objectives. This definition appears to assume a certain level of knowledge about risk
management and it is not easy to apply to everyday life. The meaning and application of this
definition will become clearer as the reader progresses through this book.
Panduan internasional untuk definisi terkait risiko adalah ISO Guide 73, dan mendefinisikan risiko
sebagai 'pengaruh ketidakpastian terhadap tujuan'. Definisi ini tampaknya mengasumsikan tingkat
pengetahuan tertentu tentang manajemen risiko dan tidak mudah untuk diterapkan dalam kehidupan
sehari-hari. Makna dan penerapan definisi ini akan menjadi lebih jelas ketika pembaca membaca buku
ini.
An earlier version of Guide 73 (2002) also notes that an effect may be positive, negative, or a
deviation from the expected. These three types of events can be related to risks as opportunity, hazard
or uncertainty, and this relates to the example of motor car ownership outlined above. The guide notes
that risk is often described by an event, a change in circumstances, a consequence, or a combination
of these and how they may affect the achievement of objectives.
Versi terdahulu dari Panduan 73 (2002) juga mencatat bahwa suatu dampak dapat bersifat positif,
negatif, atau penyimpangan dari yang diharapkan. Ketiga jenis kejadian ini dapat dikaitkan dengan
risiko sebagai peluang, bahaya atau ketidakpastian, dan hal ini berkaitan dengan contoh kepemilikan
kendaraan bermotor yang telah diuraikan di atas. Panduan ini mencatat bahwa risiko sering kali
digambarkan sebagai suatu peristiwa, perubahan keadaan, konsekuensi, atau kombinasi dari hal-hal
tersebut dan bagaimana hal tersebut dapat mempengaruhi pencapaian tujuan.
The Institute of Internal Auditors (IIA) defines risk as the uncertainty of an event occurring that could
have an impact on the achievement of objectives. The IIA adds that risk is measured in terms of
consequences and likelihood. Different disciplines define the term risk in very different ways. The
definition used by health and safety professionals is that risk is a combination of likelihood and
magnitude, but this may not be sufficient for more general risk management purposes.
Institute of Internal Auditor (IIA) mendefinisikan risiko sebagai ketidakpastian terjadinya suatu
peristiwa yang dapat berdampak pada pencapaian tujuan. IIA menambahkan bahwa risiko diukur
dalam hal konsekuensi dan kemungkinan. Berbagai disiplin ilmu mendefinisikan istilah risiko dengan
cara yang sangat berbeda. Definisi yang digunakan oleh para profesional kesehatan dan keselamatan
adalah bahwa risiko adalah kombinasi dari kemungkinan dan besaran, tetapi ini mungkin tidak cukup
untuk tujuan manajemen risiko yang lebih umum.
Given that there are many available definitions for the word risk, it is important that the organization
chooses the definition that is most suitable for its own purposes. The definition can be as narrow or as
comprehensive as the organization wishes. As a version of a comprehensive definition of the word
risk, the author offers the following:
Mengingat ada banyak definisi yang tersedia untuk kata risiko, penting bagi organisasi untuk memilih
definisi yang paling sesuai dengan tujuannya. Definisi tersebut bisa sesempit atau selengkap yang
diinginkan oleh organisasi. Sebagai versi definisi yang komprehensif dari kata risiko, penulis
menawarkan yang berikut ini:
An event with the ability to impact (inhibit, enhance or cause doubt about) the effectiveness and
efficiency of the core processes of an organization.
Suatu peristiwa yang memiliki kemampuan untuk memengaruhi (menghambat, meningkatkan, atau
menimbulkan keraguan tentang) efektivitas dan efisiensi proses inti organisasi.
Risk in an organizational context is usually defined as anything that can impact the fulfilment of
corporate objectives. However, corporate objectives are usually not fully stated by most organizations.
Where the objectives have been established, they tend to be stated as internal, annual, change
objectives. This is particularly true of the personal objectives set for members of staff in the
organization, where objectives usually refer to change or developments, rather than the continuing or
routine operations of the organization.
Risiko dalam konteks organisasi biasanya didefinisikan sebagai segala sesuatu yang dapat berdampak
pada pemenuhan tujuan perusahaan. Namun, tujuan perusahaan biasanya tidak sepenuhnya
dinyatakan oleh sebagian besar organisasi. Ketika tujuan telah ditetapkan, mereka cenderung
dinyatakan sebagai tujuan internal, tahunan, dan tujuan perubahan. Hal ini terutama berlaku untuk
tujuan pribadi yang ditetapkan untuk anggota staf dalam organisasi, di mana tujuan biasanya mengacu
pada perubahan atau perkembangan, daripada operasi organisasi yang terus berlanjut atau rutin.
It is generally accepted that risk is best defined by concentrating on risks as events, as in the definition
of risk provided in ISO 31000 and the definition provided by the Institute of Internal Auditors, set out
in Table 1.1. In order for a risk to materialize, an event must occur. Therefore, perhaps a risk can
simply be considered to be ‘an unplanned event with unexpected consequences’. Greater clarity is
likely to be brought to the risk management process if the focus is on events. For example, consider
what could disrupt a theatre performance.
Secara umum diterima bahwa risiko paling baik didefinisikan dengan memusatkan perhatian pada
risiko sebagai peristiwa, seperti dalam definisi risiko yang diberikan dalam ISO 31000 dan definisi
yang diberikan oleh Institute of Internal Auditor, yang ditetapkan dalam Tabel 1.1. Agar suatu risiko
dapat terwujud, suatu peristiwa harus terjadi. Oleh karena itu, mungkin risiko dapat dianggap sebagai
'kejadian yang tidak direncanakan dengan konsekuensi yang tidak terduga'. Kejelasan yang lebih
besar kemungkinan besar akan dibawa ke proses manajemen risiko jika fokusnya adalah pada
peristiwa. Sebagai contoh, pertimbangkan apa yang dapat mengganggu pertunjukan teater.
The events that could cause disruption include a power cut, the absence of a key actor, or a substantial
transport failure or road closures that delay the arrival of the audience, as well as the illness of a
significant number of staff. Having identified the events that could disrupt the performance, the
management of the theatre needs to decide what to do to reduce the chances of one of these events
causing the cancellation of a performance. This analysis by the management of the theatre is an
example of risk management in practice.
Peristiwa yang dapat menyebabkan gangguan termasuk pemadaman listrik, ketidakhadiran aktor
utama, atau kegagalan transportasi yang substansial atau penutupan jalan yang menunda kedatangan
penonton, serta sakitnya sejumlah besar staf. Setelah mengidentifikasi peristiwa yang dapat
mengganggu pertunjukan, manajemen teater perlu memutuskan apa yang harus dilakukan untuk
mengurangi kemungkinan salah satu dari peristiwa ini menyebabkan pembatalan pertunjukan.
Analisis yang dilakukan oleh manajemen teater ini merupakan contoh manajemen risiko dalam
praktik.
Types of risks
Risk may have positive or negative outcomes or may simply result in uncertainty. Therefore, risks
may be considered to be related to an opportunity or a loss or the presence of uncertainty for an
organization. Every risk has its own characteristics that require particular management or analysis. In
this book, risks are divided into four categories:
Risiko dapat memiliki hasil yang positif atau negatif atau mungkin hanya menghasilkan
ketidakpastian. Oleh karena itu, risiko dapat dianggap terkait dengan peluang atau kerugian atau
adanya ketidakpastian bagi suatu organisasi. Setiap risiko memiliki karakteristiknya sendiri yang
memerlukan pengelolaan atau analisis khusus. Dalam buku ini, risiko dibagi menjadi empat kategori:
Risk description
In order to fully understand a risk, a detailed description is necessary so that a common understanding
of the risk can be identified and ownership/responsibilities may be clearly understood. Table 1.2 lists
the range of information that must be recorded to fully understand a risk. The list of information set
out in Table 1.2 is most applicable to hazard risks and the list will need to be modified to provide a
full description of control or opportunity risks.
Untuk memahami suatu risiko secara menyeluruh, diperlukan penjelasan yang rinci sehingga
pemahaman yang sama mengenai risiko tersebut dapat diidentifikasi dan kepemilikan/tanggung jawab
dapat dipahami dengan jelas. Tabel 1.2 mencantumkan berbagai informasi yang harus dicatat untuk
memahami risiko secara menyeluruh. Daftar informasi yang tercantum dalam Tabel 1.2 paling sesuai
untuk risiko bahaya dan daftar tersebut perlu dimodifikasi untuk memberikan deskripsi lengkap
tentang risiko pengendalian atau peluang.
Gambar 1.1 adalah ilustrasi matriks risiko sederhana, yang juga disebut sebagai peta risiko atau peta
panas. Ini adalah metode yang umum digunakan untuk menggambarkan kemungkinan risiko dan
besarnya (atau tingkat keparahan) kejadian jika risiko tersebut terjadi. Penggunaan matriks risiko
untuk menggambarkan kemungkinan dan besaran risiko merupakan alat manajemen risiko yang
sangat penting. Matriks risiko dapat digunakan untuk memetakan sifat risiko individu, sehingga
organisasi dapat memutuskan apakah risiko tersebut dapat diterima dan berada dalam risk appetite
dan/atau kapasitas risiko organisasi.
Throughout this book, a standard format for presenting a risk matrix has been adopted. The horizontal
axis is used to represent likelihood. The term likelihood is used rather than frequency, because the
word frequency implies that events will definitely occur and the risk matrix is registering how often
these events take place. Likelihood is a broader word that includes frequency, but also refers to the
chances of an unlikely event happening. However, in risk management literature, the word
‘probability’ will often be used to describe the likelihood of a risk materializing.
Dalam buku ini, format standar untuk menyajikan matriks risiko telah diadopsi. Sumbu horizontal
digunakan untuk menunjukkan kemungkinan. Istilah kemungkinan lebih sering digunakan daripada
frekuensi, karena kata frekuensi menyiratkan bahwa peristiwa pasti akan terjadi dan matriks risiko
mencatat seberapa sering peristiwa ini terjadi. Likelihood adalah kata yang lebih luas yang mencakup
frekuensi, tetapi juga mengacu pada peluang terjadinya peristiwa yang tidak mungkin terjadi. Namun,
dalam literatur manajemen risiko, kata 'probabilitas' akan sering digunakan untuk menggambarkan
kemungkinan terjadinya risiko.
The vertical axis is used to indicate magnitude in Figure 1.1. The word magnitude is used rather than
severity, so that the same style of risk matrix can be used to illustrate compliance, hazard, control and
opportunity risks. Severity implies that the event is undesirable and is, therefore, related to
compliance and hazard risks. The magnitude of the risk may be considered to be its gross or inherent
level before controls are applied.
Sumbu vertikal digunakan untuk menunjukkan besaran pada Gambar 1.1. Kata magnitude digunakan
daripada severity, sehingga gaya matriks risiko yang sama dapat digunakan untuk mengilustrasikan
risiko kepatuhan, bahaya, kontrol, dan peluang. Tingkat keparahan menyiratkan bahwa kejadian
tersebut tidak diinginkan dan oleh karena itu terkait dengan risiko kepatuhan dan bahaya. Besarnya
risiko dapat dianggap sebagai tingkat bruto atau tingkat inheren sebelum kontrol diterapkan.
Figure 1.1 plots likelihood against the magnitude of an event. However, the more important
consideration for risk managers is not the magnitude of the event, but the impact of the event and the
consequences that follow. For example, a large fire could occur that completely destroys a warehouse
of a distribution and logistics company. Although the magnitude of the event may be large, if
sufficient insurance is in place, the impact in terms of financial costs for the company could be
minimal, and if the company has produced plans to cope with such an event, the consequences for the
overall business may be much less than would otherwise be anticipated.
Gambar 1.1 memplot kemungkinan terhadap besarnya suatu peristiwa. Namun, pertimbangan yang
lebih penting bagi manajer risiko bukanlah besarnya kejadian, tetapi dampak dari kejadian tersebut
dan konsekuensi yang mengikutinya. Sebagai contoh, kebakaran besar dapat terjadi yang
menghancurkan gudang perusahaan distribusi dan logistik. Meskipun besarnya kejadian tersebut
mungkin besar, jika asuransi yang memadai tersedia, dampaknya dalam hal biaya keuangan bagi
perusahaan bisa minimal, dan jika perusahaan telah membuat rencana untuk mengatasi kejadian
seperti itu, konsekuensinya terhadap bisnis secara keseluruhan mungkin jauh lebih kecil daripada
yang seharusnya diantisipasi.
The magnitude of an event may be considered to be the inherent level of the event and the impact can
be considered to be the risk-managed level. Because the impact (and the associated consequences) of
an event is usually more important than its magnitude (or severity), every risk matrix used in the
remainder of this book will plot impact against likelihood, rather than magnitude against likelihood.
Besarnya suatu kejadian dapat dianggap sebagai tingkat inheren dari kejadian tersebut dan dampaknya
dapat dianggap sebagai tingkat risiko yang dikelola. Karena dampak (dan konsekuensi yang terkait)
dari suatu kejadian biasanya lebih penting daripada besarnya (atau keparahannya), maka setiap
matriks risiko yang digunakan dalam bagian selanjutnya dari buku ini akan memplotkan
dampak/konsekuensi terhadap kemungkinan, dan bukannya besarnya terhadap kemungkinan.
The risk matrix is used throughout this book to provide a visual representation of risks. It can also be
used to indicate the likely risk control mechanisms that can be applied. The risk matrix can also be
used to record the inherent, current (or residual) and target levels of the risk.
Matriks risiko digunakan di seluruh buku ini untuk memberikan representasi visual risiko. Matriks ini
juga dapat digunakan untuk menunjukkan kemungkinan mekanisme pengendalian risiko yang dapat
diterapkan. Matriks risiko juga dapat digunakan untuk mencatat tingkat risiko yang melekat, saat ini
(atau residual) dan target risiko.
Shading or colour coding is often used on the risk matrix to provide a visual representation of the
importance of each risk under consideration. As risks move towards the top right-hand corner of the
risk matrix, they become more likely and have a greater impact. Therefore, the risk becomes more
important and immediate and effective risk control measures need to be in place.
Shading atau kode warna sering digunakan pada matriks risiko untuk memberikan representasi visual
tentang pentingnya setiap risiko yang sedang dipertimbangkan. Ketika risiko bergerak ke arah sudut
kanan atas matriks risiko, maka risiko tersebut menjadi lebih mungkin terjadi dan memiliki dampak
yang lebih besar. Oleh karena itu, risiko tersebut menjadi lebih penting dan langkah-langkah
pengendalian risiko yang efektif dan segera harus dilakukan.
Strategy, because the risks associated with different strategic options will be fully analysed
and better strategic decisions will be reached.
Tactics, because consideration will have been given to selection of the tactics and the risks
involved in the alternatives that may be available.
Operations, because events that can cause disruption will be identified in advance and actions
taken to reduce the likelihood of these events occurring, limit the damage caused by these
events and contain the cost of the events.
Compliance will be enhanced because the risks associated with failure to achieve compliance
with statutory and customer obligations will be recognized.
(STOC)
Strategi, karena risiko yang terkait dengan berbagai pilihan strategis akan dianalisis
sepenuhnya dan keputusan strategis yang lebih baik akan tercapai.
Taktik, karena pertimbangan akan diberikan pada pemilihan taktik dan risiko yang terlibat
dalam alternatif yang mungkin tersedia.
Operasi, karena peristiwa yang dapat menyebabkan gangguan akan diidentifikasi terlebih
dahulu dan tindakan yang diambil untuk mengurangi kemungkinan terjadinya peristiwa
tersebut, membatasi kerusakan yang disebabkan oleh peristiwa tersebut dan mengendalikan
biaya dari peristiwa tersebut.
Kepatuhan akan ditingkatkan karena risiko-risiko yang terkait dengan kegagalan dalam
mencapai kepatuhan terhadap kewajiban hukum dan nasabah akan dikenali.
It is no longer acceptable for organizations to find themselves in a position whereby unexpected
events cause financial loss, disruption to normal operations, damage to reputation and loss of market
presence. Stakeholders now expect that organizations will take full account of the risks that may cause
disruption within operations, late delivery of projects or failure to deliver strategy.
Tidak dapat diterima lagi jika organisasi berada dalam posisi di mana kejadian yang tidak terduga
menyebabkan kerugian finansial, gangguan pada operasi normal, kerusakan reputasi, dan hilangnya
kehadiran di pasar. Para pemangku kepentingan sekarang berharap bahwa organisasi akan
memperhitungkan sepenuhnya risiko yang dapat menyebabkan gangguan dalam operasi,
keterlambatan penyelesaian proyek atau kegagalan dalam menjalankan strategi.
The exposure presented by an individual risk can be defined in terms of the likelihood of the risk
materializing and the impact of the risk when it does materialize. As risk exposure increases, the
likely impact will also increase. Guide 73 refers to this measurement of likelihood and impact as
being the current or residual ‘level of risk’. This level of risk should be compared with the risk
attitude and risk appetite of the organization for risks of that type. The risk appetite will sometimes be
described as a set of risk criteria.
Eksposur yang disajikan oleh suatu risiko individu dapat didefinisikan dalam hal kemungkinan
terjadinya risiko dan dampak risiko ketika risiko tersebut terjadi. Ketika eksposur risiko meningkat,
kemungkinan dampaknya juga akan meningkat. Panduan 73 mengacu pada pengukuran kemungkinan
dan dampak ini sebagai tingkat risiko saat ini atau tingkat risiko residual. Tingkat risiko ini harus
dibandingkan dengan sikap risiko dan selera risiko organisasi terhadap risiko jenis tersebut. Selera
risiko terkadang digambarkan sebagai seperangkat kriteria risiko.
Throughout this book, the term ‘magnitude’ is used to indicate the size of the event that has occurred
or might occur. The term ‘impact’ is used to define how the event affects the finances, operations,
reputation and/or marketplace (FIRM) of the organization. This use of terminology is also consistent
with the use of impact in business continuity planning evaluations. This is a measure of the risk at the
current level. The term ‘consequences’ is used in this book to indicate the extent to which the event
results in failure to achieve effective and efficient strategy, tactics, operations and compliance
(STOC).
Dalam buku ini, istilah 'besaran' digunakan untuk menunjukkan ukuran peristiwa yang telah terjadi
atau mungkin terjadi. Istilah 'dampak' digunakan untuk mendefinisikan bagaimana peristiwa tersebut
memengaruhi keuangan, operasi, reputasi, dan/atau pasar (FIRM) organisasi. Penggunaan terminologi
ini juga konsisten dengan penggunaan dampak dalam evaluasi perencanaan keberlanjutan bisnis. Ini
adalah ukuran risiko pada tingkat saat ini. Istilah konsekuensi digunakan dalam buku ini untuk
menunjukkan sejauh mana peristiwa tersebut mengakibatkan kegagalan dalam mencapai strategi,
taktik, operasi, dan kepatuhan (STOC) yang efektif dan efisien.
Injury to key player
A sports club will wish to reduce the chances of a key player being absent through injury. However,
key players do get injured and the club will need to consider the impact of such an event in advance of
it happening. If the injury is serious, the player may be absent for a significant length of time. There is
likely to be a substantial impact, which will be most obvious on the pitch where the success of the
team is likely to be reduced.
Sebuah klub olahraga pasti ingin mengurangi kemungkinan pemain kunci absen karena cedera.
Namun, pemain kunci bisa saja mengalami cedera dan klub perlu mempertimbangkan dampak dari
kejadian tersebut sebelum hal itu terjadi. Jika cederanya serius, pemain tersebut mungkin akan absen
dalam jangka waktu yang cukup lama. Kemungkinan besar akan ada dampak yang cukup besar, yang
akan terlihat paling jelas di atas lapangan, di mana kesuksesan tim kemungkinan besar akan
berkurang.
However, other consequences may also result and these could include the loss of revenue from the
sale of shirts and other merchandise with that player’s name and number. Arrangements to reduce the
potential for loss of income should also be considered.
Namun, konsekuensi lain juga dapat terjadi dan ini dapat mencakup hilangnya pendapatan dari
penjualan kaus dan barang dagangan lainnya dengan nama dan nomor punggung pemain tersebut.
Pengaturan untuk mengurangi potensi hilangnya pendapatan juga harus dipertimbangkan.
Attachment of risks
Although most standard definitions of risk refer to risks as being attached to corporate objectives,
Figure 2.1 provides an illustration of the options for the attachment of risks. Risks are shown in the
diagram as being capable of impacting the key dependencies that deliver the core processes of the
organization. Corporate objectives and stakeholder expectations help define the core processes of the
organization. These core processes are key components of the existing nature and future enhancement
of the business model and can relate to operations, tactics and corporate strategy, as well as
compliance activities, as considered further in Chapter 19.
Meskipun sebagian besar definisi standar risiko mengacu pada risiko yang melekat pada tujuan
perusahaan, Gambar 2.1 memberikan ilustrasi tentang pilihan untuk melampirkan risiko. Risiko
ditunjukkan dalam diagram sebagai sesuatu yang dapat mempengaruhi ketergantungan utama yang
memberikan proses inti
organisasi. Tujuan perusahaan
dan ekspektasi pemangku
kepentingan membantu
mendefinisikan proses inti
organisasi. Proses-proses inti ini
merupakan komponen utama dari
sifat yang ada dan peningkatan
model bisnis di masa depan dan
dapat berhubungan dengan
operasi, taktik dan strategi
perusahaan, serta kegiatan
kepatuhan, sebagaimana dibahas
lebih lanjut dalam Bab 19.
The intention of Figure 2.1 is to demonstrate that significant risks can be attached to features of the
organization other than corporate objectives. Significant risks can be identified by considering the key
dependencies of the organization, the corporate objectives and/or the stakeholder expectations, as well
as by analysis of the core processes of the organization. For example, the failure of Northern Rock
occurred because the wholesale money markets, on which the bank depended, stopped functioning.
Another way of viewing the concept of attachment of risks is to consider that the features shown in
Figure 2.1 offer alternative starting points for undertaking a risk assessment. For example, a risk
assessment can be undertaken by asking ‘what do stakeholders expect of us?’ and ‘what risks could
impact the delivery of those stakeholder expectations?’
Maksud dari Gambar 2.1 adalah untuk menunjukkan bahwa risiko yang signifikan dapat melekat pada
fitur-fitur organisasi selain tujuan perusahaan. Risiko yang signifikan dapat diidentifikasi dengan
mempertimbangkan ketergantungan utama organisasi, tujuan perusahaan dan/atau ekspektasi
pemangku kepentingan, serta dengan analisis proses inti organisasi. Sebagai contoh, kegagalan
Northern Rock terjadi karena pasar uang grosir, yang menjadi tempat bank bergantung, berhenti
berfungsi. Cara lain untuk melihat konsep keterikatan risiko adalah dengan mempertimbangkan
bahwa fitur-fitur yang ditunjukkan pada Gambar 2.1 menawarkan titik awal alternatif untuk
melakukan penilaian risiko. Sebagai contoh, penilaian risiko dapat dilakukan dengan menanyakan
'apa yang diharapkan oleh para pemangku kepentingan terhadap kita?" dan 'risiko apa yang dapat
berdampak pada pemenuhan harapan para pemangku kepentingan tersebut?
In the build-up to the recent financial crisis, banks and other financial institutions established
operational and strategic objectives. By analysing these objectives and identifying the risks that could
prevent the achievement of them, risk management made a contribution to the achievement of the
high-risk objectives that ultimately led to the failure of the organizations. This example illustrates that
attaching risks to attributes other than objectives is not only possible but may well have been desirable
in these circumstances.
Pada saat krisis keuangan baru-baru ini, bank dan lembaga keuangan lainnya menetapkan tujuan
operasional dan strategis. Dengan menganalisis tujuan-tujuan ini dan mengidentifikasi risiko-risiko
yang dapat menghalangi pencapaian tujuan tersebut, manajemen risiko memberikan kontribusi pada
pencapaian tujuan-tujuan berisiko tinggi yang pada akhirnya menyebabkan kegagalan organisasi.
Contoh ini menggambarkan bahwa melampirkan risiko pada atribut selain tujuan tidak hanya
memungkinkan, tetapi mungkin juga diinginkan dalam situasi seperti ini.
It is clearly the case that risks are greater in circumstances of change. Therefore, linking risks to
change objectives is not unreasonable, but the analysis of each objective in turn may not lead to robust
risk recognition/identification. In any case, business objectives are usually stated at too high a level
for the successful attachment of risks.
Jelaslah bahwa risiko akan lebih besar dalam situasi perubahan. Oleh karena itu, mengaitkan risiko
dengan tujuan perubahan bukanlah hal yang tidak masuk akal, tetapi analisis setiap tujuan pada
gilirannya mungkin tidak mengarah pada pengenalan/identifikasi risiko yang kuat. Bagaimanapun,
tujuan bisnis biasanya dinyatakan pada tingkat yang terlalu tinggi untuk keberhasilan pengaitan risiko.
To be useful to the organization, the corporate objectives should be presented as a full statement of
the short-, medium- and long-term aims of the organization. Internal, annual, change objectives are
usually inadequate, because they may fail to fully identify the operational (or efficiency), change (or
competition) and strategic (or leadership) requirements of the organization.
Agar bermanfaat bagi organisasi, tujuan perusahaan harus disajikan sebagai pernyataan lengkap dari
tujuan jangka pendek, menengah dan panjang organisasi. Tujuan perubahan internal, tahunan,
biasanya tidak memadai, karena mereka mungkin gagal untuk sepenuhnya mengidentifikasi
persyaratan operasional (atau efisiensi), perubahan (atau persaingan) dan strategis (atau
kepemimpinan) organisasi.
The most important disadvantage associated with the ‘objectives-driven’ approach to risk and risk
management is the danger of considering risks out of the context that gave rise to them. Risks that are
analysed in a way that is separated from the situation that led to them will not be capable of rigorous
and informed evaluation. It can be argued that a more robust analysis can be achieved when a
‘dependencies-driven’ approach to risk management is adopted.
Kerugian yang paling penting yang terkait dengan pendekatan 'berbasis tujuan' terhadap risiko dan
manajemen risiko adalah bahaya mempertimbangkan risiko di luar konteks yang memunculkannya.
Risiko yang dianalisis dengan cara yang terpisah dari situasi yang menyebabkannya tidak akan
mampu menghasilkan evaluasi yang ketat dan terinformasi. Dapat dikatakan bahwa analisis yang
lebih kuat dapat dicapai ketika pendekatan manajemen risiko yang berbasis ketergantungan diadopsi.
It remains the case that many organizations continue to use an analysis of corporate objectives as a
means of identifying risks, because some benefits do arise from this approach. For example, using this
‘objectives-driven’ approach facilitates the analysis of risks in relation to the positive and uncertain
aspects of the events that may occur, as well as facilitating the analysis of the negative and
compliance aspects.
Masih banyak organisasi yang terus menggunakan analisis tujuan perusahaan sebagai cara untuk
mengidentifikasi risiko, karena beberapa manfaat muncul dari pendekatan ini. Sebagai contoh,
penggunaan pendekatan 'berbasis tujuan' ini memudahkan analisis risiko dalam kaitannya dengan
aspek positif dan ketidakpastian dari peristiwa yang mungkin terjadi, serta memudahkan analisis
aspek negatif dan kepatuhan.
If the decision is taken to attach risks to the objectives of the organization, it is important that these
objectives have been fully and completely developed. Not only do the objectives need to be
challenged to ensure that they are full and complete, but the assumptions that underpin the objectives
should also receive careful and critical attention.
Jika keputusan diambil untuk melampirkan risiko pada tujuan organisasi, maka penting untuk
memastikan bahwa tujuan tersebut telah dikembangkan secara penuh dan lengkap. Tidak hanya
tujuan-tujuan tersebut perlu diuji untuk memastikan bahwa tujuan-tujuan tersebut telah lengkap dan
utuh, namun asumsi-asumsi yang mendasari tujuan-tujuan tersebut juga harus mendapat perhatian
yang cermat dan kritis.
Core processes are discussed in Chapter 19 and may be considered as the highlevel processes that
drive the organization. In the example of a sports club, one of the key processes is the operational
process of ‘delivering successful results on the pitch’. Risks may be attached to this core process, as
well as being attached to objectives and/or key dependencies. Core processes can be classified as
strategic, tactical, operational and compliance (STOC). In all cases, the core processes need to be
effective and efficient. Mature (or sophisticated) risk management activities can then be designed to
enhance the effectiveness and efficiency of core processes.
Proses inti dibahas di Bab 19 dan dapat dianggap sebagai proses tingkat tinggi yang menggerakkan
organisasi. Dalam contoh klub olahraga, salah satu proses utama adalah proses operasional untuk
'memberikan hasil yang sukses di lapangan'. Risiko dapat melekat pada proses inti ini, serta melekat
pada tujuan dan/atau ketergantungan utama. Proses inti dapat diklasifikasikan sebagai strategis, taktis,
operasional, dan kepatuhan (STOC). Dalam semua kasus, proses inti harus efektif dan efisien.
Aktivitas manajemen risiko yang matang (atau canggih) kemudian dapat dirancang untuk
meningkatkan efektivitas dan efisiensi proses inti.
Risiko dapat melekat pada proses inti dan tujuan/ketergantungan utama.
Although risks can be attached to other features of the organization, the standard approach is to attach
risks to corporate objectives. One of the standard definitions of risk is that it is something that can
impact (undermine, enhance or cause doubt about) the achievement of corporate objectives. This is a
useful definition, but it does not provide the only starting point for identifying significant risks.
Meskipun risiko dapat dikaitkan dengan fitur-fitur lain dalam organisasi, pendekatan standarnya
adalah mengaitkan risiko dengan tujuan perusahaan. Salah satu definisi standar dari risiko adalah
sesuatu yang dapat mempengaruhi (melemahkan, meningkatkan, atau menimbulkan keraguan)
pencapaian tujuan perusahaan. Ini adalah definisi yang berguna, namun tidak menjadi satu-satunya
titik awal untuk mengidentifikasi risiko yang signifikan.
Definisi standar dari risiko adalah sesuatu yang dapat mempengaruhi (melemahkan, meningkatkan,
atau menimbulkan keraguan) pencapaian tujuan perusahaan. Pencapaian tujuan perusahaan bukan
menjadi satu-satunya titik awal untuk mengidentifikasi risiko yang signifikan.
Attachment of risks to key dependencies and, especially, stakeholder expectations is becoming more
common. The importance of stakeholders and their expectations is considered in more detail in
Chapter 29. The use of key dependencies to identify risks can be a straightforward exercise. The
organization will need to ask what are the features or components of the organization and its external
context that are key to success. This will result in the identification of the strengths, weaknesses,
opportunities and threats facing the organization. This is often referred to as a SWOT analysis.
Having identified the key dependencies, as set out in Table 13.1, the organization can then consider
the risks that will impact these dependencies. This approach is discussed in more detail with practical
examples of risks provided in Table 13.1 and Table 15.2.
Keterkaitan risiko dengan ketergantungan utama dan, khususnya, ekspektasi pemangku kepentingan
menjadi semakin umum. Pentingnya pemangku kepentingan dan ekspektasi mereka dibahas secara
lebih rinci dalam Bab 29. Penggunaan ketergantungan utama untuk mengidentifikasi risiko dapat
menjadi latihan yang mudah. Organisasi perlu bertanya apa saja fitur atau komponen organisasi dan
konteks eksternalnya yang menjadi kunci keberhasilan. Hal ini akan menghasilkan identifikasi
kekuatan, kelemahan, peluang dan ancaman yang dihadapi organisasi. Hal ini sering disebut sebagai
analisis SWOT. Setelah mengidentifikasi ketergantungan utama, seperti yang tercantum dalam Tabel
13.1, organisasi kemudian dapat mempertimbangkan risiko yang akan berdampak pada
ketergantungan ini. Pendekatan ini dibahas secara lebih rinci dengan contoh-contoh praktis risiko
yang diberikan pada Tabel 13.1 dan Tabel 15.2.
Attitudes to risk
Different organizations will have different attitudes to risk. Some organizations may be considered to
be risk averse, whilst others will be risk aggressive. To some extent, the attitude of the organization to
risk will depend on the sector and the nature and maturity of the marketplace within which it operates,
as well as the attitude of the individual board members.
Setiap organisasi memiliki sikap yang berbeda terhadap risiko. Beberapa organisasi mungkin
dianggap menghindari risiko, sementara yang lain akan agresif terhadap risiko. Sampai batas tertentu,
sikap organisasi terhadap risiko akan bergantung pada sektor dan sifat serta kematangan pasar tempat
organisasi tersebut beroperasi, serta sikap masing-masing anggota dewan.
Risks cannot be considered outside the context that gave rise to them. It may appear that an
organization is being risk aggressive, when in fact, the board has decided that there is an opportunity
that should not be missed. However, the fact that the opportunity entails high risk may not have been
fully considered.
Risiko tidak dapat dipertimbangkan di luar konteks yang memunculkannya. Mungkin terlihat bahwa
sebuah organisasi bersikap agresif terhadap risiko, padahal sebenarnya, dewan direksi telah
memutuskan bahwa ada peluang yang tidak boleh dilewatkan. Namun, fakta bahwa peluang tersebut
mengandung risiko tinggi mungkin belum sepenuhnya dipertimbangkan.
One of the major contributions from successful risk management is to ensure that strategic decisions
that appear to be high risk are actually taken with all of the information available. Improvement in the
robustness of decision-making activities is one of the key benefits of risk management. Attitude to
risk is a complex subject and is closely related to the risk appetite of the organization, but they are not
the same. Risk attitude indicates the long-term view of the organization to risk and risk appetite
indicates the short-term willingness to take risk. This is similar to the difference between the long-
term or established attitude of an individual towards the food they eat and their appetite for food at a
particular moment in time.
Salah satu kontribusi utama dari manajemen risiko yang sukses adalah memastikan bahwa keputusan
strategis yang tampaknya berisiko tinggi benar-benar diambil dengan semua informasi yang tersedia .
Peningkatan dalam ketangguhan aktivitas pengambilan keputusan adalah salah satu manfaat utama
dari manajemen risiko. Sikap terhadap risiko adalah subjek yang kompleks dan terkait erat dengan
selera risiko organisasi, tetapi keduanya tidak sama. Sikap terhadap risiko menunjukkan pandangan
jangka panjang organisasi terhadap risiko dan selera terhadap risiko menunjukkan kesediaan jangka
pendek untuk mengambil risiko. Hal ini mirip dengan perbedaan antara sikap jangka panjang atau
sikap mapan seseorang terhadap makanan yang mereka makan dan selera makan mereka pada saat
tertentu.
Sikap terhadap risiko : pandangan jangan panjang organisasi terhadap risiko.
Selera terhadap risiko : kesediaan jangka pendek untuk mengambil risiko.
Other key factors that will determine the attitude of the organization to risk include the stage in the
maturity cycle, as shown in Figure 2.2. For an organization that is in the start-up phase, a more
aggressive attitude to risk is required than for an organization that is enjoying growth or one that is a
mature organization in a mature marketplace. Where an organization is operating in a mature
marketplace and is suffering from decline, the attitude to risk will be much more risk averse.
Faktor kunci lain yang akan menentukan sikap organisasi terhadap risiko termasuk tahap dalam siklus
kematangan, seperti yang ditunjukkan pada Gambar 2.2. Untuk organisasi yang berada pada fase
start-up, sikap yang lebih agresif terhadap risiko diperlukan dibandingkan dengan organisasi yang
sedang menikmati pertumbuhan atau organisasi yang sudah matang di pasar yang sudah matang .
Ketika sebuah organisasi beroperasi di pasar yang sudah matang dan mengalami penurunan, sikap
terhadap risiko akan jauh lebih menghindari risiko.
It is because the attitude to risk has to be different when an organization is a startup operation rather
than a mature organization, that it is often said that certain high-profile businessmen are very good at
entrepreneurial start-up but are not as successful in running mature businesses. Different attitudes to
risk are required at different parts of the business maturity cycle shown in Figure 2.2.
Karena sikap terhadap risiko harus berbeda ketika sebuah organisasi merupakan operasi startup
daripada organisasi yang sudah matang, maka sering dikatakan bahwa pengusaha terkenal tertentu
sangat baik dalam berwirausaha start-up tetapi tidak begitu sukses dalam menjalankan bisnis yang
sudah matang. Sikap yang berbeda terhadap risiko diperlukan pada bagian yang berbeda dari siklus
kematangan bisnis yang ditunjukkan pada Gambar 2.2.
The referendum in the UK on continued membership of the European Union (EU) in June 2016
resulted in a vote in favour of British exit (Brexit). The UK government has to activate the procedure
for the UK to leave the EU. The text box below provides an outline of the most commonly discussed
options available to the UK government. Overall, the challenge for the UK government is to ensure
the continued success of the UK economy based on a Brexit strategy and tactics that will ensure the
continued resilience of the UK.
Referendum di Inggris mengenai kelanjutan keanggotaan Uni Eropa (UE) pada bulan Juni 2016
menghasilkan suara yang mendukung keluarnya Inggris dari Uni Eropa (Brexit). Pemerintah Inggris
harus mengaktifkan prosedur agar Inggris dapat meninggalkan Uni Eropa. Kotak teks di bawah ini
memberikan garis besar opsi yang paling sering dibahas yang tersedia bagi pemerintah Inggris. Secara
keseluruhan, tantangan bagi pemerintah Inggris adalah untuk memastikan keberhasilan ekonomi
Inggris yang berkelanjutan berdasarkan strategi dan taktik Brexit yang akan memastikan ketahanan
Inggris yang berkelanjutan.
Brexit: what departure options exist for the UK
Brexit : pilihan keberangkatan apa saja yang tersedia untuk Inggris
Key benefits for businesses that arise from EU membership include:
the existence of a single market: there are no tariffs or other barriers to trade;
the freedom to provide services and freedom of establishment;
‘passporting’ that allows financial services to be traded across the EU;
visa-free migration of people within the EU;
access to EU free-trade agreements with 53 countries around the world.
keberadaan pasar tunggal: tidak ada tarif atau hambatan lain dalam perdagangan;
kebebasan untuk menyediakan layanan dan kebebasan untuk mendirikan perusahaan;
'paspor' yang memungkinkan jasa keuangan diperdagangkan di seluruh UE;
migrasi bebas visa bagi orang-orang di dalam UE;
akses ke perjanjian perdagangan bebas UE dengan 53 negara di seluruh dunia.
After the Brexit vote, the UK government now has to decide which of these agreements to retain.
Broadly, there are three models that the UK could target.
Setelah pemungutan suara Brexit, pemerintah Inggris sekarang harus memutuskan perjanjian mana
yang akan dipertahankan. Secara garis besar, ada tiga model yang dapat ditargetkan oleh Inggris.
The left-hand side of the bow-tie represents the source of a particular hazard and will indicate the
classification system used by the organization for sources of risk. In Figure 2.3, these sources of risk
used are the high-level sources of strategic, tactical, operational and compliance (STOC) risks. The
right-hand side of the bow-tie sets out the impact should the risk events occur, and Figure 2.3 uses the
high-level components of financial, infrastructure, reputational and marketplace (FIRM) impact of a
risk materializing.
Sisi kiri dari dasi kupu-kupu mewakili sumber bahaya tertentu dan akan menunjukkan sistem
klasifikasi yang digunakan oleh organisasi untuk sumber-sumber risiko. Pada Gambar 2.3, sumber-
sumber risiko yang digunakan adalah sumber risiko strategis, taktis, operasional, dan kepatuhan
(STOC) tingkat tinggi. Sisi kanan dari dasi kupu-kupu menunjukkan dampak yang ditimbulkan jika
kejadian risiko terjadi, dan Gambar 2.3 menggunakan komponen tingkat tinggi yaitu dampak
finansial, infrastruktur, reputasi dan pasar (FIRM) jika suatu risiko terjadi.
In the centre of the bow-tie is the risk event. Table 3.2 indicates the categories of disruption that can
affect organizations, and the same categories of people, premises, processes and products are used
here. The purpose of using the bow-tie illustration is to demonstrate the risk classification systems
used by the organization and the potential range of impacts should a risk materialize. Controls can be
put in place to prevent the event occurring and these can be represented by vertical lines on the left-
hand side of the bow-tie. In a similar manner, recovery controls can be represented on the right-hand
side of the bow-tie.
Di tengah dasi kupu-kupu adalah kejadian risiko. Tabel 3.2 menunjukkan kategori gangguan yang
dapat mempengaruhi organisasi, dan kategori yang sama untuk orang, tempat, proses, dan produk juga
digunakan di sini. Tujuan penggunaan ilustrasi dasi kupu-kupu adalah untuk menunjukkan sistem
klasifikasi risiko yang digunakan oleh organisasi dan potensi dampak yang ditimbulkan jika risiko
terjadi. Kontrol dapat diterapkan untuk mencegah terjadinya peristiwa tersebut dan ini dapat diwakili
oleh garis vertikal di sisi kiri dasi kupu-kupu. Dengan cara yang sama, kontrol pemulihan dapat
diwakili di sisi kanan dasi kupu-kupu.
The bow-tie representation of the risk management process can be used in many ways, including the
representation of opportunity risks. Additionally, the bow-tie can be used to illustrate the various
types of controls that are available to organizations and this is discussed in more detail in Chapter 13
on loss control.
Representasi dasi kupu-kupu dari proses manajemen risiko dapat digunakan dalam berbagai cara,
termasuk representasi risiko peluang. Selain itu, dasi kupu-kupu dapat digunakan untuk
mengilustrasikan berbagai jenis kontrol yang tersedia untuk organisasi dan ini dibahas secara lebih
rinci dalam Bab 13 tentang pengendalian kerugian.
Use of the bow-tie has become widespread, especially in the public sector. The box below provides a
practical application of the bow-tie to the identification of preventive and response controls related to
a fire in the kitchen of a residential home.
Penggunaan dasi kupu-kupu telah meluas, terutama di sektor publik. Kotak di bawah ini memberikan
aplikasi praktis dasi kupu-kupu untuk identifikasi kontrol pencegahan dan respons terkait kebakaran
di dapur rumah tinggal.
Risk management and the bow-tie
There are various risk analysis techniques available. The most popular method of analysing a risk is
using a bow-tie.
Ada berbagai teknik analisis risiko yang tersedia. Metode yang paling populer untuk menganalisis
risiko adalah dengan menggunakan dasi kupu-kupu.
A bow-tie is a simple way of analysing a risk to gain a greater understanding. The first stage is to put
the risk description into the middle box. The causes of the risk then need to be recorded along with the
preventive controls to stop the risk occurring. The impact of the risk is also considered. This enables
the identification of response controls to lessen the impact of the risk should it occur.
Dasi kupu-kupu adalah cara sederhana untuk menganalisis risiko untuk mendapatkan pemahaman
yang lebih baik. Tahap pertama adalah menempatkan deskripsi risiko ke dalam kotak tengah.
Penyebab risiko kemudian perlu dicatat bersama dengan kontrol pencegahan untuk menghentikan
terjadinya risiko. Dampak dari risiko tersebut juga perlu dipertimbangkan. Hal ini memungkinkan
identifikasi kontrol respons untuk mengurangi dampak risiko jika terjadi.
03 Types of risks
Timescale of risk impact
Risks can be classified in many ways. Hazard risks can be divided into many types of risks, including
risks to property, risks to people and risks to the continuity of a business. There are a range of formal
risk classification systems and these are considered in Chapter 11. Although it should not be
considered to be a formal risk classification system, this part considers the value of classifying risks
according to the timeframe for the impact of the risk.
Risiko dapat diklasifikasikan dengan berbagai cara. Risiko bahaya dapat dibagi menjadi berbagai jenis
risiko, termasuk risiko terhadap harta benda, risiko terhadap manusia, dan risiko terhadap
kelangsungan bisnis. Ada berbagai sistem klasifikasi risiko formal dan ini dibahas dalam Bab 11.
Meskipun tidak dapat dianggap sebagai sistem klasifikasi risiko formal, bagian ini
mempertimbangkan nilai klasifikasi risiko menurut jangka waktu dampak risiko.
The classification of risks as long-, medium- and short-term impact is a very useful means of
analysing the risk exposure of an organization. These risks will be related to the strategy, tactics and
operations of the organization, respectively. In this context, risks may be considered as related to
events, changes in circumstances, actions or decisions.
Klasifikasi risiko sebagai dampak jangka panjang, menengah, dan pendek adalah cara yang sangat
berguna untuk menganalisis eksposur risiko organisasi. Risiko-risiko ini akan terkait dengan strategi,
taktik dan operasi organisasi. Dalam konteks ini, risiko dapat dianggap terkait dengan peristiwa,
perubahan keadaan, tindakan atau keputusan.
In general terms, long-term risks will impact several years, perhaps up to five years, after the event
occurs or the decision is taken. Long-term risks therefore relate to strategic decisions. When a
decision is taken to launch a new product, the result of that decision (and the success of the product
itself) may not be fully apparent for some time.
Secara umum, risiko jangka panjang akan berdampak beberapa tahun, mungkin hingga lima tahun,
setelah peristiwa terjadi atau keputusan diambil. Oleh karena itu, risiko jangka panjang berhubungan
dengan keputusan strategis. Ketika sebuah keputusan diambil untuk meluncurkan produk baru, hasil
dari keputusan tersebut (dan keberhasilan produk itu sendiri) mungkin tidak akan terlihat sepenuhnya
selama beberapa waktu.
Medium-term risks have their impact some time after the event occurs or the decision is taken, and
typically this will be about a year later. Medium-term risks are often associated with projects or
programmes of work. For example, if a new computer software system is to be installed, then the
choice of computer system is a long-term or strategic decision. However, decisions regarding the
project to implement the new software will be medium-term decisions with medium-term risks
attached.
Risiko jangka menengah memiliki dampaknya beberapa waktu setelah peristiwa terjadi atau
keputusan diambil, dan biasanya sekitar satu tahun kemudian. Risiko jangka menengah sering
dikaitkan dengan proyek atau program kerja. Sebagai contoh, jika sistem perangkat lunak komputer
baru akan dipasang, maka pilihan sistem komputer adalah keputusan jangka panjang atau strategis.
Namun, keputusan mengenai proyek untuk mengimplementasikan perangkat lunak baru akan menjadi
keputusan jangka menengah dengan risiko jangka menengah yang menyertainya.
Short-term risks have their impact immediately after the event occurs. Accidents at work, traffic
accidents, fire and theft are all short-term risks that have an immediate impact and immediate
consequences as soon as the event has occurred. These short-term risks cause immediate disruption to
normal efficient operations and are probably the easiest types of risks to identify and manage or
mitigate.
Risiko jangka pendek memiliki dampak segera setelah peristiwa terjadi. Kecelakaan di tempat kerja,
kecelakaan lalu lintas, kebakaran, dan pencurian merupakan risiko jangka pendek yang memiliki
dampak langsung dan konsekuensi segera setelah peristiwa tersebut terjadi. Risiko-risiko jangka
pendek ini menyebabkan gangguan langsung pada operasi normal yang efisien dan mungkin
merupakan jenis risiko yang paling mudah untuk diidentifikasi dan dikelola atau dimitigasi.
Risiko jangka panjang : hingga 5 tahun => berhubungan dengan keputusan strategis
Risiko jangka menengah : beberapa tahun => berhubungan dengan proyek atau program kerja
Risiko jangka pendek : sekitar 1 tahun => berhubungan dengan gangguan langsung
Insurable risks are quite often short-term risks, although the exact timing and magnitude/impact of the
insured events is uncertain. In other words, insurance is designed to provide protection against risks
that have immediate consequences. In the case of insurable risks, the nature and consequences of the
event may be understood, but the timing of the event is unpredictable. In fact, whether the event will
occur at all is not known at the time the insurance policy is taken out.
Risiko yang dapat diasuransikan sering kali merupakan risiko jangka pendek, meskipun waktu dan
besaran/dampak yang pasti dari kejadian yang diasuransikan tidak pasti. Dengan kata lain, asuransi
dirancang untuk memberikan perlindungan terhadap risiko yang memiliki konsekuensi langsung.
Dalam kasus risiko yang dapat diasuransikan, sifat dan konsekuensi dari peristiwa tersebut dapat
dipahami, tetapi waktu kejadiannya tidak dapat diprediksi. Bahkan, apakah peristiwa itu akan terjadi
sama sekali tidak diketahui pada saat polis asuransi diambil.
Risiko yang dapat diasuransikan : sifat dan konsekuensi dari peristiwa tersebut dapat dipahami, tetapi
waktu kejadiannya tidak dapat diprediksi.
By way of example, consider the operation of a new computer software system in more detail. The
organization will install the new software in anticipation of gaining efficiency and greater
functionality. The decision to install new software and the choice of the software involves opportunity
risks. The installation will require a project, and certain risks will be involved in that. The risks
associated with the project are control risks. After the new software has been installed, it will be
exposed to hazard risks. It may not deliver all of the functionality required and the software may be
exposed to various risks and virus infection. These are the hazard risks associated with this new
software system.
Sebagai contoh, pertimbangkan pengoperasian sistem perangkat lunak komputer baru secara lebih
rinci. Organisasi akan menginstal perangkat lunak baru untuk mengantisipasi peningkatan efisiensi
dan fungsionalitas yang lebih besar. Keputusan untuk menginstal perangkat lunak baru dan pilihan
perangkat lunak melibatkan risiko peluang. Instalasi akan membutuhkan sebuah proyek, dan risiko
tertentu akan terlibat di dalamnya. Risiko yang terkait dengan proyek tersebut adalah risiko kontrol.
Setelah perangkat lunak baru diinstal, perangkat lunak tersebut akan terpapar pada risiko bahaya.
Perangkat lunak tersebut mungkin tidak memberikan semua fungsionalitas yang diperlukan dan
perangkat lunak tersebut mungkin terpapar berbagai risiko dan infeksi virus. Ini adalah risiko bahaya
yang terkait dengan sistem perangkat lunak baru ini.
Contoh : instalasi perangkat lunak baru
Risiko peluang : meningkatkan efisiensi dan fungsionalitas yang lebih besar
Risiko kontrol : instalasi membutuhkan sebuah proyek dan risiko tertentu ada didalamnya
Risiko bahaya : perangkat lunak terpapar risiko dan infeksi virus
An increasingly important consideration for organizations is what will be the trigger mechanism that
causes a risk to materialize. It may well be the case that the organization faces a number of serious
risks and many of these might be catastrophic if they were to materialize. The challenge for
management is then based on recognition of the circumstances in which one or more of the significant
risk events may be triggered. The question of what would trigger such an event requires as much
consideration as the source of the risk and the nature of the event if it was to happen. The box below
considers the event that triggered the failure of Northern Rock.
Pertimbangan yang semakin penting bagi organisasi adalah apa yang akan menjadi mekanisme
pemicu yang menyebabkan suatu risiko terwujud. Mungkin saja organisasi menghadapi sejumlah
risiko yang serius dan banyak di antaranya dapat menjadi bencana jika terjadi. Tantangan bagi
manajemen kemudian didasarkan pada pengenalan keadaan di mana satu atau lebih peristiwa risiko
yang signifikan dapat dipicu. Pertanyaan mengenai apa yang akan memicu kejadian tersebut
memerlukan pertimbangan yang sama besarnya dengan sumber risiko dan sifat dari kejadian tersebut
jika terjadi. Kotak di bawah ini membahas peristiwa yang memicu kegagalan Northern Rock.
Triggering major crises
In September 2007, Northern Rock – a bank formed by the conversion of the Northern Rock Building
Society to banking status in 1997 – found that the liquidity crisis resulted in customers queuing to
withdraw their savings. This was the first ‘run’ on a UK bank by its depositors for more than 150
years.
Pada bulan September 2007, Northern Rock - sebuah bank yang dibentuk oleh konversi Northern
Rock Building Society menjadi status perbankan pada tahun 1997 - mendapati bahwa krisis likuiditas
mengakibatkan nasabah mengantri untuk menarik tabungan mereka. Ini adalah 'pelarian' pertama yang
dilakukan oleh para deposan di Inggris selama lebih dari 150 tahun.
The immediate trigger for the crisis was the drying up of liquidity in the global institutional debt
markets – known as the ‘wholesale’ markets – following a rise in mortgage defaults in the United
States. These defaults were concentrated in ‘sub-prime’ mortgages – home loans to borrowers with a
poor credit quality.
Pemicu langsung dari krisis ini adalah mengeringnya likuiditas di pasar utang institusional global -
yang dikenal sebagai pasar 'wholesale' - menyusul meningkatnya gagal bayar hipotek di Amerika
Serikat. Kegagalan bayar ini terkonsentrasi pada hipotek 'sub-prime' - kredit rumah untuk peminjam
dengan kualitas kredit yang buruk.
Northern Rock had been building up its mortgage portfolio very rapidly. Simultaneously it was
becoming more and more reliant on the wholesale markets for finance, rather than personal savers.
With the drying up of liquidity in the wholesale markets, Northern Rock’s business model began to
unravel. All this happened despite the fact that there was no evidence that the credit quality of the
Northern Rock assets – its mortgages and loans – was in question.
Northern Rock telah membangun portofolio hipoteknya dengan sangat cepat. Pada saat yang sama,
Northern Rock menjadi semakin bergantung pada pasar grosir untuk pembiayaan, daripada penabung
pribadi. Dengan mengeringnya likuiditas di pasar grosir, model bisnis Northern Rock mulai terurai.
Semua ini terjadi meskipun tidak ada bukti bahwa kualitas kredit dari aset Northern Rock - hipotek
dan pinjamannya - dipertanyakan.
compliance risks;
hazard risks;
control risks;
opportunity risks.
A common language of risk is required throughout an organization if the contribution of risk
management is to be maximized. The use of a common language will also enable the organization to
develop an agreed perception of risk and attitude to risk. Part of developing this common language
and perception of risk is to agree a risk classification system or series of such systems.
Bahasa risiko yang sama diperlukan di seluruh organisasi jika kontribusi manajemen risiko ingin
dimaksimalkan. Penggunaan bahasa yang sama juga akan memungkinkan organisasi untuk
mengembangkan persepsi yang disepakati tentang risiko dan sikap terhadap risiko. Bagian dari
pengembangan bahasa umum dan persepsi risiko ini adalah dengan menyepakati sistem klasifikasi
risiko atau serangkaian sistem semacam itu.
For example, consider people reviewing their financial position and the risks they currently face
regarding finances. It may be that the key financial dependencies relate to achieving adequate income
and managing expenditure. The review should include an analysis of the risks to job security and
pension arrangements, as well as property ownership and other investments. This part of the analysis
will provide information on the risks to income and the nature of those risks (opportunity risks).
Sebagai contoh, pertimbangkan orang-orang yang meninjau posisi keuangan mereka dan risiko yang
mereka hadapi saat ini terkait keuangan. Mungkin saja ketergantungan keuangan utama berhubungan
dengan pencapaian pendapatan yang memadai dan pengelolaan pengeluaran. Peninjauan ini harus
mencakup analisis risiko terhadap keamanan kerja dan pengaturan pensiun, serta kepemilikan properti
dan investasi lainnya. Bagian analisis ini akan memberikan informasi tentang risiko terhadap
pendapatan dan sifat risiko tersebut (risiko peluang).
As a practical example of the nature of compliance, hazard, control and opportunity risks, Table 3.1
considers the risks associated with owning a car. In this case, the compliance risks relate to the legal
obligations associated with owning and driving a car. The hazard risks relate to events that the owner
does not want to occur. Uncertainties are the costs that are known to be involved, but these may vary.
Finally, the opportunities are the benefits that car ownership offers.
Sebagai contoh praktis dari sifat risiko kepatuhan, bahaya, pengendalian dan peluang, Tabel 3.1
mempertimbangkan risiko yang terkait dengan kepemilikan mobil. Dalam hal ini, risiko kepatuhan
berkaitan dengan kewajiban hukum yang terkait dengan kepemilikan dan pengemudian mobil. Risiko
bahaya berkaitan dengan kejadian yang tidak diinginkan oleh pemiliknya. Ketidakpastian adalah
biaya yang diketahui akan terjadi, namun jumlahnya bisa bervariasi. Terakhir, peluang adalah manfaat
yang ditawarkan oleh kepemilikan mobil.
1. Anda dapat bepergian dengan lebih mudah daripada bergantung pada orang lain
2. Meningkatkan peluang kerja karena Anda akan lebih mobile
3. Menghemat uang untuk bentuk transportasi umum lainnya
Uncertainties of owning a car (events that you know will happen, but impacts are variable)
1. Cost of borrowing money to buy the car could change
2. Price of fuel (petrol or diesel) could go up or down
3. Maintenance, breakdown and repair costs will vary
1. Anda membayar terlalu mahal untuk mobil tersebut atau kondisinya buruk
2. Anda terlibat dalam tabrakan atau kecelakaan di jalan raya
3. Mobil dicuri atau dirusak karena balas dendam
Compliance requirements of owning a car (events that could result in regulatory enforcement)
1. Insufficient and/or inadequate third-party car insurance
2. Inattentive or aggressive driving results in traffic offence(s)
3. Tyres in poor condition and other maintenance obligations
1. Asuransi mobil pihak ketiga yang tidak mencukupi dan/atau tidak memadai
2. Mengemudi dengan lalai atau agresif yang mengakibatkan pelanggaran lalu lintas
3. Ban dalam kondisi buruk dan kewajiban pemeliharaan lainnya
Regarding expenditure, the review will consider spending patterns to determine whether cost cutting
is necessary (hazard risks). It will also consider leisure time activities, including holiday arrangements
and hobbies, and there will be some uncertainties regarding expenditure and the costs of these
activities (control risks).
Mengenai pengeluaran, tinjauan akan mempertimbangkan pola pengeluaran untuk menentukan
apakah pemotongan biaya diperlukan (risiko bahaya). Tinjauan ini juga akan mempertimbangkan
aktivitas waktu luang, termasuk pengaturan liburan dan hobi, dan akan ada beberapa ketidakpastian
terkait pengeluaran dan biaya aktivitas ini (risiko pengendalian).
Hazard risks are the risks that can only inhibit achievement of the corporate mission. Typically, these
are insurable-type risks or perils, and will include fire, storm, flood, injury and so on. The discipline
of risk management has strong origins in the control and mitigation of hazard risks. Normal efficient
operations may be disrupted by loss, damage, breakdown, theft and other threats associated with a
wide range of dependencies. Table 3.2 gives examples of disruption caused by people, premises,
processes and products (4Ps). These dependencies can also be sources of risk and the 4Ps can be
considered to be an example of a risk classification system.
Risiko bahaya adalah risiko yang hanya dapat menghambat pencapaian misi perusahaan. Biasanya, ini
adalah risiko atau bahaya yang dapat diasuransikan, dan akan mencakup kebakaran, badai, banjir,
cedera, dan sebagainya. Disiplin manajemen risiko memiliki asal-usul yang kuat dalam pengendalian
dan mitigasi risiko bahaya. Operasi normal yang efisien dapat terganggu oleh kehilangan, kerusakan,
kerusakan, pencurian, dan ancaman lain yang terkait dengan berbagai macam ketergantungan. Tabel
3.2 memberikan contoh gangguan yang disebabkan oleh orang, tempat, proses dan produk (4P).
Ketergantungan ini juga dapat menjadi sumber risiko dan 4P dapat dianggap sebagai contoh sistem
klasifikasi risiko.
Table 3.2 Categories of operational disruption
People
Products
Faktor risiko yang dapat dikendalikan untuk penyakit jantung dan stroke adalah faktor risiko yang
dapat diubah melalui diet, aktivitas fisik, dan tidak menggunakan tembakau. Faktor-faktor risiko ini
berbeda dengan faktor risiko yang tidak dapat dikontrol, seperti usia, jenis kelamin, ras, atau sifat
genetik. Memiliki satu atau lebih faktor risiko yang tidak dapat dikontrol tidak berarti seseorang akan
mengalami serangan jantung atau stroke; namun, dengan perhatian yang tepat terhadap faktor risiko
yang dapat dikontrol, seseorang dapat mengurangi dampak faktor risiko yang tidak dapat dikontrol
atau diubah.
Controllable risk factors for heart disease or stroke include high blood pressure, high blood
cholesterol, type-2 diabetes and obesity. Healthy lifestyle habits, such as developing good eating
habits, increasing physical activity and abstaining from tobacco use, are effective steps in both
preventing and improving the controllable risk factors.
Faktor risiko yang dapat dikontrol untuk penyakit jantung atau stroke termasuk tekanan darah tinggi,
kolesterol darah tinggi, diabetes tipe-2 dan obesitas. Kebiasaan gaya hidup sehat, seperti
mengembangkan kebiasaan makan yang baik, meningkatkan aktivitas fisik, dan tidak menggunakan
tembakau, merupakan langkah efektif untuk mencegah dan meningkatkan faktor risiko yang dapat
dikontrol.