01 Approaches to defining risk

Definitions of risk
The Oxford English Dictionary definition of risk is as follows: ‘a chance or possibility of danger, loss,
injury or other adverse consequences’, and the definition of at risk is ‘exposed to danger’. In this
context, risk is used to signify negative consequences. However, taking a risk can also result in a
positive outcome. A third possibility is that risk is related to uncertainty of outcome.
Definisi risiko menurut Oxford English Dictionary adalah sebagai berikut: 'peluang atau kemungkinan
terjadinya bahaya, kerugian, cedera, atau konsekuensi buruk lainnya', dan definisi berisiko adalah
'terpapar bahaya'. Dalam konteks ini, risiko digunakan untuk menunjukkan konsekuensi negatif.
Namun, mengambil risiko juga dapat menghasilkan hasil yang positif. Kemungkinan ketiga adalah
bahwa risiko terkait dengan ketidakpastian hasil.
Risiko : konsekuensi negatif, dapat menghasilkan hasil yang positif, dan ketidakpastian hasil.
Take the example of owning a motor car. For most people, owning a car is an opportunity to become
more mobile and gain the related benefits. However, there are uncertainties in owning a car that are
related to maintenance and repair costs. Finally, motor cars can be involved in accidents, so there are
obvious negative outcomes that can occur. It is also important to remember the legal obligations
associated with car ownership and the rules that must be obeyed when the car is being driven on a
road.
Ambil contoh memiliki mobil. Bagi kebanyakan orang, memiliki mobil adalah kesempatan untuk
menjadi lebih mobile dan mendapatkan keuntungan terkait. Namun, ada ketidakpastian dalam
memiliki mobil yang terkait dengan biaya perawatan dan perbaikan. Terakhir, mobil bermotor dapat
terlibat dalam kecelakaan, sehingga ada hasil negatif yang dapat terjadi. Penting juga untuk mengingat
kewajiban hukum yang terkait dengan kepemilikan mobil dan peraturan yang harus dipatuhi saat
mobil dikendarai di jalan raya.
Contoh : memiliki mobil memiliki konsekuensi positif, negatif, dan ketidakpastian.
Definitions of risk can be found from many sources, and some key definitions are set out in Table
1.1. An alternative definition is also provided to illustrate the broad nature of risks that can affect
organizations. The Institute of Risk Management (IRM) defines risk as the combination of the
probability of an event and its consequence. Consequences can range from positive to negative. This
is a widely applicable and practical definition that can be easily applied.
Definisi risiko dapat ditemukan dari berbagai sumber, dan beberapa definisi utama dapat dilihat pada
Tabel 1.1. Definisi alternatif juga disediakan untuk menggambarkan sifat luas dari risiko yang dapat
mempengaruhi organisasi. Institute of Risk Management (IRM) mendefinisikan risiko sebagai
kombinasi antara probabilitas suatu kejadian dan konsekuensinya. Konsekuensi dapat berkisar dari
positif hingga negatif. Ini adalah definisi yang dapat diterapkan secara luas dan praktis yang dapat
dengan mudah diterapkan.
Table 1. Definitions of risk

 ISO Guide 73 ISO 31000, Effect of uncertainty on objectives. Note that an effect may be
positive, negative, or a deviation from the expected. Also, risk is often described by an event,
a change in circumstances or a consequence.
 Institute of Risk Management (IRM), Risk is the combination of the probability of an event
and its consequence. Consequences can range from positive to negative.
  Orange Book from HM Treasury, Uncertainty of outcome, within a range of exposure, arising
from a combination of the impact and the probability of potential events.
 Institute of Internal Auditors, The uncertainty of an event occurring that could have an impact
on the achievement of the objectives. Risk is measured in terms of consequences and
likelihood.

 Panduan ISO 73 ISO 31000, Pengaruh ketidakpastian terhadap tujuan. Perhatikan bahwa
suatu efek dapat bersifat positif, negatif, atau penyimpangan dari yang diharapkan. Selain itu,
risiko juga sering digambarkan oleh suatu peristiwa, perubahan keadaan atau konsekuensi.
 Institute of Risk Management (IRM), Risiko adalah kombinasi dari probabilitas suatu
peristiwa dan konsekuensinya. Konsekuensi dapat berkisar dari positif hingga negatif.
 Orange Book dari HM Treasury, Ketidakpastian hasil, dalam suatu rentang eksposur, yang
timbul dari kombinasi dampak dan probabilitas kejadian potensial.
 Institute of Internal Auditor, Ketidakpastian terjadinya suatu peristiwa yang dapat berdampak
pada pencapaian tujuan. Risiko diukur dari segi konsekuensi dan kemungkinan.
The international guide to risk-related definitions is ISO Guide 73, and it defines risk as the ‘effect of
uncertainty on objectives. This definition appears to assume a certain level of knowledge about risk
management and it is not easy to apply to everyday life. The meaning and application of this
definition will become clearer as the reader progresses through this book.
Panduan internasional untuk definisi terkait risiko adalah ISO Guide 73, dan mendefinisikan risiko
sebagai 'pengaruh ketidakpastian terhadap tujuan'. Definisi ini tampaknya mengasumsikan tingkat
pengetahuan tertentu tentang manajemen risiko dan tidak mudah untuk diterapkan dalam kehidupan
sehari-hari. Makna dan penerapan definisi ini akan menjadi lebih jelas ketika pembaca membaca buku
ini.
An earlier version of Guide 73 (2002) also notes that an effect may be positive, negative, or a
deviation from the expected. These three types of events can be related to risks as opportunity, hazard
or uncertainty, and this relates to the example of motor car ownership outlined above. The guide notes
that risk is often described by an event, a change in circumstances, a consequence, or a combination
of these and how they may affect the achievement of objectives.
Versi terdahulu dari Panduan 73 (2002) juga mencatat bahwa suatu dampak dapat bersifat positif,
negatif, atau penyimpangan dari yang diharapkan. Ketiga jenis kejadian ini dapat dikaitkan dengan
risiko sebagai peluang, bahaya atau ketidakpastian, dan hal ini berkaitan dengan contoh kepemilikan
kendaraan bermotor yang telah diuraikan di atas. Panduan ini mencatat bahwa risiko sering kali
digambarkan sebagai suatu peristiwa, perubahan keadaan, konsekuensi, atau kombinasi dari hal-hal
tersebut dan bagaimana hal tersebut dapat mempengaruhi pencapaian tujuan.
The Institute of Internal Auditors (IIA) defines risk as the uncertainty of an event occurring that could
have an impact on the achievement of objectives. The IIA adds that risk is measured in terms of
consequences and likelihood. Different disciplines define the term risk in very different ways. The
definition used by health and safety professionals is that risk is a combination of likelihood and
magnitude, but this may not be sufficient for more general risk management purposes.
Institute of Internal Auditor (IIA) mendefinisikan risiko sebagai ketidakpastian terjadinya suatu
peristiwa yang dapat berdampak pada pencapaian tujuan. IIA menambahkan bahwa risiko diukur
dalam hal konsekuensi dan kemungkinan. Berbagai disiplin ilmu mendefinisikan istilah risiko dengan
cara yang sangat berbeda. Definisi yang digunakan oleh para profesional kesehatan dan keselamatan
adalah bahwa risiko adalah kombinasi dari kemungkinan dan besaran, tetapi ini mungkin tidak cukup
untuk tujuan manajemen risiko yang lebih umum.
Given that there are many available definitions for the word risk, it is important that the organization
chooses the definition that is most suitable for its own purposes. The definition can be as narrow or as
comprehensive as the organization wishes. As a version of a comprehensive definition of the word
risk, the author offers the following:
Mengingat ada banyak definisi yang tersedia untuk kata risiko, penting bagi organisasi untuk memilih
definisi yang paling sesuai dengan tujuannya. Definisi tersebut bisa sesempit atau selengkap yang
diinginkan oleh organisasi. Sebagai versi definisi yang komprehensif dari kata risiko, penulis
menawarkan yang berikut ini:
An event with the ability to impact (inhibit, enhance or cause doubt about) the effectiveness and
efficiency of the core processes of an organization.
Suatu peristiwa yang memiliki kemampuan untuk memengaruhi (menghambat, meningkatkan, atau
menimbulkan keraguan tentang) efektivitas dan efisiensi proses inti organisasi.
Risk in an organizational context is usually defined as anything that can impact the fulfilment of
corporate objectives. However, corporate objectives are usually not fully stated by most organizations.
Where the objectives have been established, they tend to be stated as internal, annual, change
objectives. This is particularly true of the personal objectives set for members of staff in the
organization, where objectives usually refer to change or developments, rather than the continuing or
routine operations of the organization.
Risiko dalam konteks organisasi biasanya didefinisikan sebagai segala sesuatu yang dapat berdampak
pada pemenuhan tujuan perusahaan. Namun, tujuan perusahaan biasanya tidak sepenuhnya
dinyatakan oleh sebagian besar organisasi. Ketika tujuan telah ditetapkan, mereka cenderung
dinyatakan sebagai tujuan internal, tahunan, dan tujuan perubahan. Hal ini terutama berlaku untuk
tujuan pribadi yang ditetapkan untuk anggota staf dalam organisasi, di mana tujuan biasanya mengacu
pada perubahan atau perkembangan, daripada operasi organisasi yang terus berlanjut atau rutin.
It is generally accepted that risk is best defined by concentrating on risks as events, as in the definition
of risk provided in ISO 31000 and the definition provided by the Institute of Internal Auditors, set out
in Table 1.1. In order for a risk to materialize, an event must occur. Therefore, perhaps a risk can
simply be considered to be ‘an unplanned event with unexpected consequences’. Greater clarity is
likely to be brought to the risk management process if the focus is on events. For example, consider
what could disrupt a theatre performance.
Secara umum diterima bahwa risiko paling baik didefinisikan dengan memusatkan perhatian pada
risiko sebagai peristiwa, seperti dalam definisi risiko yang diberikan dalam ISO 31000 dan definisi
yang diberikan oleh Institute of Internal Auditor, yang ditetapkan dalam Tabel 1.1. Agar suatu risiko
dapat terwujud, suatu peristiwa harus terjadi. Oleh karena itu, mungkin risiko dapat dianggap sebagai
'kejadian yang tidak direncanakan dengan konsekuensi yang tidak terduga'. Kejelasan yang lebih
besar kemungkinan besar akan dibawa ke proses manajemen risiko jika fokusnya adalah pada
peristiwa. Sebagai contoh, pertimbangkan apa yang dapat mengganggu pertunjukan teater.
The events that could cause disruption include a power cut, the absence of a key actor, or a substantial
transport failure or road closures that delay the arrival of the audience, as well as the illness of a
significant number of staff. Having identified the events that could disrupt the performance, the
management of the theatre needs to decide what to do to reduce the chances of one of these events
causing the cancellation of a performance. This analysis by the management of the theatre is an
example of risk management in practice.
Peristiwa yang dapat menyebabkan gangguan termasuk pemadaman listrik, ketidakhadiran aktor
utama, atau kegagalan transportasi yang substansial atau penutupan jalan yang menunda kedatangan
penonton, serta sakitnya sejumlah besar staf. Setelah mengidentifikasi peristiwa yang dapat
mengganggu pertunjukan, manajemen teater perlu memutuskan apa yang harus dilakukan untuk
mengurangi kemungkinan salah satu dari peristiwa ini menyebabkan pembatalan pertunjukan.
Analisis yang dilakukan oleh manajemen teater ini merupakan contoh manajemen risiko dalam
praktik.

Types of risks
Risk may have positive or negative outcomes or may simply result in uncertainty. Therefore, risks
may be considered to be related to an opportunity or a loss or the presence of uncertainty for an
organization. Every risk has its own characteristics that require particular management or analysis. In
this book, risks are divided into four categories:
Risiko dapat memiliki hasil yang positif atau negatif atau mungkin hanya menghasilkan
ketidakpastian. Oleh karena itu, risiko dapat dianggap terkait dengan peluang atau kerugian atau
adanya ketidakpastian bagi suatu organisasi. Setiap risiko memiliki karakteristiknya sendiri yang
memerlukan pengelolaan atau analisis khusus. Dalam buku ini, risiko dibagi menjadi empat kategori:

 compliance (or mandatory) risks;

 hazard (or pure) risks;
 control (or uncertainty) risks;
 opportunity (or speculative) risks.

 risiko kepatuhan (atau wajib);

 risiko bahaya (atau murni);
 risiko pengendalian (atau ketidakpastian);
 risiko peluang (atau risiko spekulatif).
In general terms, organizations will seek to minimize compliance risks, mitigate hazard risks, manage
control risks and embrace opportunity risks. However, it is important to note that there is no ‘right’ or
‘wrong’ subdivision of risks. Readers will encounter other subdivisions in other texts and these may
be equally appropriate. It is, perhaps, more common to find risks described as two types, pure or
speculative. Indeed, there are many debates about risk management terminology. Whatever the
theoretical discussions, the most important issue is that an organization adopts the risk classification
system that is most suitable for its own circumstances.
Secara umum, organisasi akan berusaha meminimalkan risiko kepatuhan, memitigasi risiko bahaya,
mengelola risiko kontrol, dan menerima risiko peluang. Namun, penting untuk dicatat bahwa tidak
ada pembagian risiko yang 'benar' atau 'salah'. Pembaca akan menemukan subdivisi lain dalam teks
lain dan ini mungkin sama-sama tepat. Mungkin lebih umum untuk menemukan risiko yang
digambarkan sebagai dua jenis, murni atau spekulatif. Memang, ada banyak perdebatan tentang
terminologi manajemen risiko. Apapun diskusi teoritisnya, masalah yang paling penting adalah bahwa
sebuah organisasi mengadopsi sistem klasifikasi risiko yang paling sesuai dengan keadaannya.
There are certain risk events that can only result in negative outcomes. These risks are hazard risks or
pure risks, and these may be thought of as operational or insurable risks. In general, organizations will
have a tolerance of hazard risks, and these need to be managed within the levels that the organization
can tolerate. A good example of a hazard risk faced by many organizations is that of theft.
Ada beberapa peristiwa risiko tertentu yang hanya dapat menghasilkan hasil negatif. Risiko-risiko ini
adalah risiko bahaya atau risiko murni, dan risiko-risiko ini dapat dianggap sebagai risiko operasional
atau risiko yang dapat diasuransikan. Secara umum, organisasi akan memiliki toleransi terhadap risiko
bahaya, dan ini perlu dikelola dalam tingkat yang dapat ditoleransi oleh organisasi. Contoh yang baik
dari risiko bahaya yang dihadapi oleh banyak organisasi adalah pencurian.
There are other risks that give rise to uncertainty about the outcome of a situation. These can be
described as control risks and are frequently associated with project management. In general,
organizations will have an aversion to control risks. Uncertainties can be associated with the benefits
that the project produces, as well as uncertainty about the delivery of the project on time, within
budget and to specification. The management of control risks will often be undertaken in order to
ensure that the outcome from the business activities falls within the desired range. The purpose is to
reduce the variance between anticipated outcomes and actual results.
Ada risiko lain yang menimbulkan ketidakpastian tentang hasil dari suatu situasi. Hal ini dapat
digambarkan sebagai risiko kontrol dan sering dikaitkan dengan manajemen proyek. Secara umum,
organisasi akan memiliki keengganan untuk mengendalikan risiko. Ketidakpastian dapat dikaitkan
dengan manfaat yang dihasilkan proyek, serta ketidakpastian tentang penyelesaian proyek tepat
waktu, sesuai anggaran, dan sesuai spesifikasi. Manajemen risiko pengendalian sering kali dilakukan
untuk memastikan bahwa hasil dari kegiatan bisnis berada dalam kisaran yang diinginkan. Tujuannya
adalah untuk mengurangi varians antara hasil yang diantisipasi dan hasil aktual.
At the same time, organizations deliberately take risks, especially marketplace or commercial risks, in
order to achieve a positive return. These can be considered as opportunity or speculative risks, and an
organization will have a specific appetite for investment in such risks. Opportunity risks relate to the
relationship between risk and return. The purpose is to take action that involves risk to achieve
positive gains. The focus of opportunity risks will be towards investment.
Pada saat yang sama, organisasi dengan sengaja mengambil risiko, terutama risiko pasar atau
komersial, untuk mendapatkan keuntungan yang positif. Hal ini dapat dianggap sebagai risiko peluang
atau risiko spekulatif, dan sebuah organisasi akan memiliki selera khusus untuk berinvestasi dalam
risiko tersebut. Risiko peluang berhubungan dengan hubungan antara risiko dan hasil. Tujuannya
adalah mengambil tindakan yang melibatkan risiko untuk mencapai keuntungan positif. Fokus dari
risiko peluang adalah pada investasi.
The application of risk management tools and techniques to the management of hazard risks is the
best and longest-established branch of risk management, and much of this text will concentrate on
hazard risks. There is a hierarchy of controls that apply to hazard risks, and this is discussed in
Chapter 16. Hazard risks are associated with a source of potential harm or a situation with the
potential to undermine objectives in a negative way and hazard risk management is concerned with
mitigating the potential impact. Hazard risks are the most common risks associated with operational
risk management, including occupational health and safety programmes.
Penerapan alat dan teknik manajemen risiko pada manajemen risiko bahaya merupakan cabang
manajemen risiko yang paling baik dan paling lama ada, dan sebagian besar dari teks ini akan
berkonsentrasi pada risiko bahaya. Terdapat hirarki pengendalian yang berlaku untuk risiko bahaya,
dan hal ini dibahas dalam Bab 16. Risiko bahaya dikaitkan dengan sumber potensi bahaya atau situasi
yang berpotensi merusak tujuan dengan cara yang negatif dan manajemen risiko bahaya berkaitan
dengan mitigasi dampak potensial. Risiko bahaya adalah risiko yang paling umum yang terkait
dengan manajemen risiko operasional, termasuk program kesehatan dan keselamatan kerja.
Control risks are associated with unknown and unexpected events. They are sometimes referred to as
uncertainty risks and they can be extremely difficult to quantify. Control risks are often associated
with project management and the implementation of tactics. In these circumstances, it is known that
the events will occur, but the precise consequences of those events are difficult to predict and control.
Therefore, the approach is based on managing the uncertainty about the potential impacts and
consequences of these events.
Risiko pengendalian terkait dengan kejadian yang tidak diketahui dan tidak terduga. Risiko ini
terkadang disebut sebagai risiko ketidakpastian dan bisa sangat sulit untuk diukur. Risiko
pengendalian sering kali dikaitkan dengan manajemen proyek dan penerapan taktik. Dalam keadaan
ini, diketahui bahwa peristiwa akan terjadi, tetapi konsekuensi yang tepat dari peristiwa tersebut sulit
untuk diprediksi dan dikendalikan. Oleh karena itu, pendekatan ini didasarkan pada pengelolaan
ketidakpastian tentang potensi dampak dan konsekuensi dari peristiwa tersebut.
There are two main aspects associated with opportunity risks. There are risks/ dangers associated with
taking an opportunity, but there are also risks associated with not taking the opportunity. Opportunity
risks may not be visible or physically apparent, and they are often financial in nature. Although
opportunity risks are taken with the intention of obtaining a positive outcome, this is not guaranteed.
Nevertheless, the overall approach is to embrace the opportunity and the associated opportunity risks.
Opportunity risks for small businesses include moving a business to a new location, acquiring new
property, expanding a business and diversifying into new products.
Ada dua aspek utama yang terkait dengan risiko peluang. Ada risiko/bahaya yang terkait dengan
mengambil peluang, tetapi ada juga risiko yang terkait dengan tidak mengambil peluang. Risiko
peluang mungkin tidak terlihat atau tampak secara fisik, dan sering kali bersifat finansial. Meskipun
risiko peluang diambil dengan tujuan untuk mendapatkan hasil yang positif, hal ini tidak dijamin.
Namun demikian, pendekatan secara keseluruhan adalah untuk merangkul peluang dan risiko peluang
yang terkait. Risiko peluang untuk usaha kecil termasuk memindahkan bisnis ke lokasi baru,
mengakuisisi properti baru, memperluas bisnis, dan melakukan diversifikasi ke produk baru.

Risk description
In order to fully understand a risk, a detailed description is necessary so that a common understanding
of the risk can be identified and ownership/responsibilities may be clearly understood. Table 1.2 lists
the range of information that must be recorded to fully understand a risk. The list of information set
out in Table 1.2 is most applicable to hazard risks and the list will need to be modified to provide a
full description of control or opportunity risks.
Untuk memahami suatu risiko secara menyeluruh, diperlukan penjelasan yang rinci sehingga
pemahaman yang sama mengenai risiko tersebut dapat diidentifikasi dan kepemilikan/tanggung jawab
dapat dipahami dengan jelas. Tabel 1.2 mencantumkan berbagai informasi yang harus dicatat untuk
memahami risiko secara menyeluruh. Daftar informasi yang tercantum dalam Tabel 1.2 paling sesuai
untuk risiko bahaya dan daftar tersebut perlu dimodifikasi untuk memberikan deskripsi lengkap
tentang risiko pengendalian atau peluang.

 Name or title of risk

 Statement of risk, including scope of risk and details of possible events and dependencies
 Nature of risk, including details of the risk classification and timescale of potential impact
 Stakeholders in the risk, both internal and external
 Risk attitude, appetite, tolerance, limits for the risk and/or risk criteria
 Likelihood and magnitude of event and consequences should the risk materialize at current
/residual level
 Control standard required, target level of risk or risk criteria
 Incident and loss experience
  Existing control mechanisms and activities
 Responsibility for developing risk strategy and policy
 Potential for risk improvement and level of confidence in existing controls
 Risk improvement recommendations and deadlines for implementation
 Responsibility for implementing improvements
 Responsibility for auditing risk compliance

 Nama atau judul risiko

 Pernyataan risiko, termasuk cakupan risiko dan rincian kejadian dan ketergantungan yang
mungkin terjadi
 Sifat risiko, termasuk rincian klasifikasi risiko dan skala waktu dampak potensial
 Pemangku kepentingan dalam risiko, baik internal maupun eksternal
 Sikap terhadap risiko, selera, toleransi, batasan untuk risiko dan/atau kriteria risiko
 Kemungkinan dan besarnya kejadian dan konsekuensi jika risiko terwujud pada tingkat saat
ini / residual
 Standar kontrol yang diperlukan, target tingkat risiko atau kriteria risiko
 Pengalaman insiden dan kerugian
 Mekanisme dan aktivitas pengendalian yang ada
 Tanggung jawab untuk mengembangkan strategi dan kebijakan risiko
 Potensi peningkatan risiko dan tingkat kepercayaan terhadap pengendalian yang ada
 Rekomendasi perbaikan risiko dan tenggat waktu untuk implementasi
 Tanggung jawab untuk melaksanakan perbaikan
 Tanggung jawab untuk mengaudit kepatuhan terhadap risiko
So that the correct range of information can be collected about each risk, the distinction between
compliance, hazard, control and opportunity risks needs to be clearly understood. The example below
is intended to distinguish between these four types of risk, so that the information required in order to
describe each type of risk can be identified.
Agar berbagai informasi yang tepat dapat dikumpulkan mengenai setiap risiko, perbedaan antara
risiko kepatuhan, bahaya, pengendalian dan peluang perlu dipahami dengan jelas. Contoh di bawah
ini dimaksudkan untuk membedakan keempat jenis risiko tersebut, sehingga informasi yang
diperlukan untuk menggambarkan setiap jenis risiko dapat diidentifikasi.
Range of computer risks
In order to understand the distinction between compliance, hazard, control and opportunity risks, the
example of the use of computers is helpful. Operating a computer system involves fulfilling certain
legal obligations; in particular, data protection requirements and these are the compliance risks. Virus
infection is an operational or hazard risk and there will be no benefit to an organization suffering a
virus attack on its software programs. When an organization installs or upgrades a software package,
control risks will be associated with the upgrade project.
Untuk memahami perbedaan antara risiko kepatuhan, bahaya, pengendalian, dan peluang, contoh
penggunaan komputer akan sangat membantu. Mengoperasikan sistem komputer melibatkan
pemenuhan kewajiban hukum tertentu; khususnya, persyaratan perlindungan data dan ini adalah risiko
kepatuhan. Infeksi virus adalah risiko operasional atau bahaya dan tidak akan ada manfaatnya bagi
organisasi yang mengalami serangan virus pada program perangkat lunaknya. Ketika sebuah
organisasi menginstal atau meningkatkan paket perangkat lunak, risiko kontrol akan dikaitkan dengan
proyek peningkatan.
The selection of new software is also an opportunity risk, where the intention is to achieve better
results by installing the new software, but it is possible that the new software will fail to deliver all of
the functionality that was intended and the opportunity benefits will not be delivered. In fact, the
failure of the functionality of the new software system may substantially undermine the operations of
the organization.
Pemilihan perangkat lunak baru juga merupakan risiko peluang, di mana tujuannya adalah untuk
mencapai hasil yang lebih baik dengan menginstal perangkat lunak baru, tetapi ada kemungkinan
perangkat lunak baru akan gagal memberikan semua fungsionalitas yang dimaksudkan dan manfaat
peluang tidak akan disampaikan. Bahkan, kegagalan fungsionalitas sistem perangkat lunak baru
secara substansial dapat merusak operasi organisasi.

Inherent level of risk

It is important to understand the uncontrolled level of all risks that have been identified. This is the
level of the risk before any actions have been taken to change the likelihood or magnitude of the risk.
Although there are advantages in identifying the inherent level of risk, there are practical difficulties
in identifying this with some types of risks.
Penting untuk memahami tingkat tidak terkendali dari semua risiko yang telah diidentifikasi. Ini
adalah tingkat risiko sebelum tindakan apa pun diambil untuk mengubah kemungkinan atau besarnya
risiko. Meskipun terdapat keuntungan dalam mengidentifikasi tingkat risiko yang melekat, terdapat
kesulitan praktis dalam mengidentifikasi hal ini pada beberapa jenis risiko.
Identifying the inherent level of the risk makes it possible to identify the importance of the control
measures in place. The IIA has previously held the view that the assessment of all risks should
commence with the identification of the inherent level of the risk. The guidance from the IIA has
previously stated that: ‘in the risk assessment, we look at the inherent risks before considering any
controls.’ Although there is considerable debate about whether to undertake risk assessment at
inherent or current level, the purpose of any risk assessment remains the same. It is to identify what is
believed to be the current level of the risk and identify the key controls that are in place to ensure that
the current level is actually achieved.
Mengidentifikasi tingkat risiko yang melekat memungkinkan untuk mengidentifikasi pentingnya
langkah-langkah pengendalian yang ada. IIA sebelumnya telah berpandangan bahwa penilaian semua
risiko harus dimulai dengan identifikasi tingkat risiko yang melekat. Panduan dari IIA sebelumnya
menyatakan bahwa: dalam penilaian risiko, kami melihat risiko yang melekat sebelum
mempertimbangkan kontrol apa pun. Meskipun ada perdebatan yang cukup besar tentang apakah akan
melakukan penilaian risiko pada tingkat inheren atau saat ini, tujuan dari setiap penilaian risiko tetap
sama. Tujuannya adalah untuk mengidentifikasi apa yang diyakini sebagai tingkat risiko saat ini dan
mengidentifikasi kontrol utama yang ada untuk memastikan bahwa tingkat risiko saat ini benar-benar
tercapai.
Often, a risk matrix is used to show the inherent level of the risk in terms of likelihood and
magnitude. The residual or current level of the risk can then be identified, after the control or controls
have been put in place. The effort that is required to reduce the risk from its inherent level to its
current level can be clearly indicated on the risk matrix.
Seringkali, matriks risiko digunakan untuk menunjukkan tingkat risiko yang melekat dalam hal
kemungkinan dan besarnya. Tingkat residual atau tingkat risiko saat ini dapat diidentifikasi, setelah
kontrol atau pengendalian diterapkan. Upaya yang diperlukan untuk mengurangi risiko dari tingkat
inheren ke tingkat saat ini dapat ditunjukkan dengan jelas pada matriks risiko.
Terminology varies and the inherent level of risk is sometimes referred to as the absolute risk or gross
risk. Also, the current level of risk is often referred to as the residual level, net level or the managed
level of risk. The example in the box below provides an example of how inherently high-risk activities
are reduced to a lower level of risk by the application of sensible and practical risk response options.
Terminologinya bervariasi dan tingkat risiko yang melekat kadang-kadang disebut sebagai risiko
absolut atau risiko kotor. Selain itu, tingkat risiko saat ini sering disebut sebagai tingkat residu, tingkat
neto, atau tingkat risiko terkelola. Contoh dalam kotak di bawah ini memberikan contoh bagaimana
kegiatan yang pada dasarnya berisiko tinggi dapat dikurangi ke tingkat risiko yang lebih rendah
dengan penerapan opsi respons risiko yang masuk akal dan praktis.
Crossing the road
Crossing a busy road would be inherently dangerous if there were no controls in place and many more
accidents would occur. When a risk is inherently dangerous, greater attention is paid to the control
measures in place, because the perception of risk is much higher. Pedestrians do not cross the road
without looking and drivers are always aware that pedestrians may step into the road. Often, other
traffic calming control measures are necessary to reduce the speed of the motorists or increase the risk
awareness of both motorists and pedestrians.
Menyeberangi jalan yang ramai akan menjadi berbahaya jika tidak ada kontrol yang diterapkan dan
lebih banyak lagi kecelakaan yang akan terjadi. Ketika sebuah risiko secara inheren berbahaya,
perhatian yang lebih besar diberikan pada tindakan pengendalian yang ada, karena persepsi risiko jauh
lebih tinggi. Pejalan kaki tidak menyeberang jalan tanpa melihat dan pengemudi selalu waspada
terhadap pejalan kaki yang mungkin akan menyeberang. Seringkali, tindakan pengendalian
pengendalian lalu lintas lainnya diperlukan untuk mengurangi kecepatan pengendara kendaraan
bermotor atau meningkatkan kesadaran risiko pengendara kendaraan bermotor dan pejalan kaki.

Risk classification systems

Risks can be classified according to the nature of the attributes of the risk, such as timescale for
impact, and the nature of the impact and/or likely magnitude of the risk. They can also be classified
according to the timescale of impact after the event occurs. The source of the risk can also be used as
the basis of classification. In this case, a risk may be classified according to its origin, such as
counterparty or credit risk.
Risiko dapat diklasifikasikan menurut sifat atribut risiko, seperti skala waktu dampak, dan sifat
dampak dan/atau kemungkinan besarnya risiko. Risiko juga dapat diklasifikasikan menurut skala
waktu dampak setelah peristiwa terjadi. Sumber risiko juga dapat digunakan sebagai dasar klasifikasi.
Dalam hal ini, risiko dapat diklasifikasikan menurut sumbernya, seperti risiko counterparty atau risiko
kredit.
A further way of classifying risks is to consider the nature of the impact. Some risks can cause
detriment to the finances of the organization, whereas others will have an impact on the activities or
the infrastructure. Further, risks may have an impact on the reputation of the organization, or on its
status and the way it is perceived in the marketplace.
Cara lain untuk mengklasifikasikan risiko adalah dengan mempertimbangkan sifat dari dampaknya.
Beberapa risiko dapat menyebabkan kerugian pada keuangan organisasi, sedangkan risiko lainnya
akan berdampak pada aktivitas atau infrastruktur. Lebih jauh lagi, risiko dapat berdampak pada
reputasi organisasi, atau pada status dan cara pandang organisasi di pasar.
Risks may also be classified according to the component or feature of the organization that will be
impacted. For example, risks can be classified according to whether they will impact people,
premises, processes or products. An important consideration for organizations when deciding their
risk classification system is to determine whether the risks will be classified according to the source of
the risk, the component impacted or of the consequences of the risk materializing.
Risiko juga dapat diklasifikasikan menurut komponen atau fitur organisasi yang akan terkena dampak.
Sebagai contoh, risiko dapat diklasifikasikan berdasarkan apakah risiko tersebut akan berdampak pada
orang, tempat, proses, atau produk. Pertimbangan penting bagi organisasi ketika memutuskan sistem
klasifikasi risiko mereka adalah untuk menentukan apakah risiko akan diklasifikasikan menurut
sumber risiko, komponen yang terkena dampak, atau konsekuensi dari terwujudnya risiko.
Individual organizations will decide on the risk classification system that suits them best, depending
on the nature of the organization and its activities. Also, many risk management standards and
frameworks suggest a specific risk classification system. If the organization adopts one of these
standards, then it will tend to follow the classification system recommended.
Setiap organisasi akan memutuskan sistem klasifikasi risiko yang paling sesuai untuk mereka,
tergantung pada sifat organisasi dan aktivitasnya. Selain itu, banyak standar dan kerangka kerja
manajemen risiko yang menyarankan sistem klasifikasi risiko tertentu. Jika organisasi mengadopsi
salah satu dari standar ini, maka organisasi akan cenderung mengikuti sistem klasifikasi yang
direkomendasikan.
The risk classification system that is selected should be fully relevant to the organization concerned.
There is no universal classification system that fulfils the requirements of all organizations. It is likely
that each risk will need to be classified in several ways in order to clearly understand its potential
impact. However, many classification systems offer common or similar structures, as described in
Chapter 11.
Sistem klasifikasi risiko yang dipilih harus sepenuhnya relevan dengan organisasi yang bersangkutan.
Tidak ada sistem klasifikasi universal yang memenuhi persyaratan semua organisasi. Kemungkinan
besar setiap risiko perlu diklasifikasikan dalam beberapa cara agar dapat memahami dengan jelas
potensi dampaknya. Namun demikian, banyak sistem klasifikasi yang menawarkan struktur yang
sama atau serupa, seperti yang dijelaskan dalam Bab 11.

Risk likelihood and magnitude

Risk likelihood and magnitude are best demonstrated using a risk matrix. Risk matrices can be
produced in many formats. Whatever format is used for a risk matrix, it is a very valuable tool for the
risk management practitioner. The basic style of risk matrix plots the likelihood of an event against
the magnitude or impact should the event materialize.
Kemungkinan dan besaran risiko paling baik ditunjukkan dengan menggunakan matriks risiko.
Matriks risiko dapat dibuat dalam berbagai format. Apapun format yang digunakan untuk matriks
risiko, matriks risiko merupakan alat yang sangat berharga bagi praktisi manajemen risiko. Gaya dasar
matriks risiko memplot kemungkinan suatu peristiwa terhadap besaran atau dampak jika peristiwa
tersebut terjadi.
Figure 1.1 is an illustration of a simple risk matrix, also referred to as a risk map or heat map. This is
a commonly used method of illustrating risk likelihood and the magnitude (or severity) of the event
should the risk materialize. The use of the risk matrix to illustrate risk likelihood and magnitude is a
fundamentally important risk management tool. The risk matrix can be used to plot the nature of
individual risks, so that the organization can decide whether the risk is acceptable and within the risk
appetite and/or risk capacity of the organization.

Gambar 1.1 adalah ilustrasi matriks risiko sederhana, yang juga disebut sebagai peta risiko atau peta
panas. Ini adalah metode yang umum digunakan untuk menggambarkan kemungkinan risiko dan
besarnya (atau tingkat keparahan) kejadian jika risiko tersebut terjadi. Penggunaan matriks risiko
untuk menggambarkan kemungkinan dan besaran risiko merupakan alat manajemen risiko yang
sangat penting. Matriks risiko dapat digunakan untuk memetakan sifat risiko individu, sehingga
organisasi dapat memutuskan apakah risiko tersebut dapat diterima dan berada dalam risk appetite
dan/atau kapasitas risiko organisasi.
Throughout this book, a standard format for presenting a risk matrix has been adopted. The horizontal
axis is used to represent likelihood. The term likelihood is used rather than frequency, because the
word frequency implies that events will definitely occur and the risk matrix is registering how often
these events take place. Likelihood is a broader word that includes frequency, but also refers to the
chances of an unlikely event happening. However, in risk management literature, the word
‘probability’ will often be used to describe the likelihood of a risk materializing.
Dalam buku ini, format standar untuk menyajikan matriks risiko telah diadopsi. Sumbu horizontal
digunakan untuk menunjukkan kemungkinan. Istilah kemungkinan lebih sering digunakan daripada
frekuensi, karena kata frekuensi menyiratkan bahwa peristiwa pasti akan terjadi dan matriks risiko
mencatat seberapa sering peristiwa ini terjadi. Likelihood adalah kata yang lebih luas yang mencakup
frekuensi, tetapi juga mengacu pada peluang terjadinya peristiwa yang tidak mungkin terjadi. Namun,
dalam literatur manajemen risiko, kata 'probabilitas' akan sering digunakan untuk menggambarkan
kemungkinan terjadinya risiko.
The vertical axis is used to indicate magnitude in Figure 1.1. The word magnitude is used rather than
severity, so that the same style of risk matrix can be used to illustrate compliance, hazard, control and
opportunity risks. Severity implies that the event is undesirable and is, therefore, related to
compliance and hazard risks. The magnitude of the risk may be considered to be its gross or inherent
level before controls are applied.
Sumbu vertikal digunakan untuk menunjukkan besaran pada Gambar 1.1. Kata magnitude digunakan
daripada severity, sehingga gaya matriks risiko yang sama dapat digunakan untuk mengilustrasikan
risiko kepatuhan, bahaya, kontrol, dan peluang. Tingkat keparahan menyiratkan bahwa kejadian
tersebut tidak diinginkan dan oleh karena itu terkait dengan risiko kepatuhan dan bahaya. Besarnya
risiko dapat dianggap sebagai tingkat bruto atau tingkat inheren sebelum kontrol diterapkan.
Figure 1.1 plots likelihood against the magnitude of an event. However, the more important
consideration for risk managers is not the magnitude of the event, but the impact of the event and the
consequences that follow. For example, a large fire could occur that completely destroys a warehouse
of a distribution and logistics company. Although the magnitude of the event may be large, if
sufficient insurance is in place, the impact in terms of financial costs for the company could be
minimal, and if the company has produced plans to cope with such an event, the consequences for the
overall business may be much less than would otherwise be anticipated.
Gambar 1.1 memplot kemungkinan terhadap besarnya suatu peristiwa. Namun, pertimbangan yang
lebih penting bagi manajer risiko bukanlah besarnya kejadian, tetapi dampak dari kejadian tersebut
dan konsekuensi yang mengikutinya. Sebagai contoh, kebakaran besar dapat terjadi yang
menghancurkan gudang perusahaan distribusi dan logistik. Meskipun besarnya kejadian tersebut
mungkin besar, jika asuransi yang memadai tersedia, dampaknya dalam hal biaya keuangan bagi
perusahaan bisa minimal, dan jika perusahaan telah membuat rencana untuk mengatasi kejadian
seperti itu, konsekuensinya terhadap bisnis secara keseluruhan mungkin jauh lebih kecil daripada
yang seharusnya diantisipasi.
The magnitude of an event may be considered to be the inherent level of the event and the impact can
be considered to be the risk-managed level. Because the impact (and the associated consequences) of
an event is usually more important than its magnitude (or severity), every risk matrix used in the
remainder of this book will plot impact against likelihood, rather than magnitude against likelihood.
Besarnya suatu kejadian dapat dianggap sebagai tingkat inheren dari kejadian tersebut dan dampaknya
dapat dianggap sebagai tingkat risiko yang dikelola. Karena dampak (dan konsekuensi yang terkait)
dari suatu kejadian biasanya lebih penting daripada besarnya (atau keparahannya), maka setiap
matriks risiko yang digunakan dalam bagian selanjutnya dari buku ini akan memplotkan
dampak/konsekuensi terhadap kemungkinan, dan bukannya besarnya terhadap kemungkinan.
The risk matrix is used throughout this book to provide a visual representation of risks. It can also be
used to indicate the likely risk control mechanisms that can be applied. The risk matrix can also be
used to record the inherent, current (or residual) and target levels of the risk.
Matriks risiko digunakan di seluruh buku ini untuk memberikan representasi visual risiko. Matriks ini
juga dapat digunakan untuk menunjukkan kemungkinan mekanisme pengendalian risiko yang dapat
diterapkan. Matriks risiko juga dapat digunakan untuk mencatat tingkat risiko yang melekat, saat ini
(atau residual) dan target risiko.
Shading or colour coding is often used on the risk matrix to provide a visual representation of the
importance of each risk under consideration. As risks move towards the top right-hand corner of the
risk matrix, they become more likely and have a greater impact. Therefore, the risk becomes more
important and immediate and effective risk control measures need to be in place.
Shading atau kode warna sering digunakan pada matriks risiko untuk memberikan representasi visual
tentang pentingnya setiap risiko yang sedang dipertimbangkan. Ketika risiko bergerak ke arah sudut
kanan atas matriks risiko, maka risiko tersebut menjadi lebih mungkin terjadi dan memiliki dampak
yang lebih besar. Oleh karena itu, risiko tersebut menjadi lebih penting dan langkah-langkah
pengendalian risiko yang efektif dan segera harus dilakukan.

02 Impact of risk on organizations

Level of risk
Following the events in the world financial system during 2008, all organizations are taking a greater
interest in risk and risk management. It is increasingly understood that the explicit and structured
management of risks brings benefits. By taking a proactive approach to risk and risk management,
organizations will be able to achieve the following four areas of improvement:
Berdasarkan kejadian-kejadian dalam sistem keuangan dunia selama tahun 2008, semua organisasi
menaruh perhatian yang lebih besar terhadap risiko dan manajemen risiko. Semakin banyak yang
memahami bahwa manajemen risiko yang eksplisit dan terstruktur akan memberikan manfaat.
Dengan mengambil pendekatan proaktif terhadap risiko dan manajemen risiko, organisasi akan dapat
mencapai empat bidang perbaikan berikut ini:

 Strategy, because the risks associated with different strategic options will be fully analysed
and better strategic decisions will be reached.
 Tactics, because consideration will have been given to selection of the tactics and the risks
involved in the alternatives that may be available.
 Operations, because events that can cause disruption will be identified in advance and actions
taken to reduce the likelihood of these events occurring, limit the damage caused by these
events and contain the cost of the events.
 Compliance will be enhanced because the risks associated with failure to achieve compliance
with statutory and customer obligations will be recognized.

(STOC)
 Strategi, karena risiko yang terkait dengan berbagai pilihan strategis akan dianalisis
sepenuhnya dan keputusan strategis yang lebih baik akan tercapai.
 Taktik, karena pertimbangan akan diberikan pada pemilihan taktik dan risiko yang terlibat
dalam alternatif yang mungkin tersedia.
 Operasi, karena peristiwa yang dapat menyebabkan gangguan akan diidentifikasi terlebih
dahulu dan tindakan yang diambil untuk mengurangi kemungkinan terjadinya peristiwa
tersebut, membatasi kerusakan yang disebabkan oleh peristiwa tersebut dan mengendalikan
biaya dari peristiwa tersebut.
 Kepatuhan akan ditingkatkan karena risiko-risiko yang terkait dengan kegagalan dalam
mencapai kepatuhan terhadap kewajiban hukum dan nasabah akan dikenali.
It is no longer acceptable for organizations to find themselves in a position whereby unexpected
events cause financial loss, disruption to normal operations, damage to reputation and loss of market
presence. Stakeholders now expect that organizations will take full account of the risks that may cause
disruption within operations, late delivery of projects or failure to deliver strategy.
Tidak dapat diterima lagi jika organisasi berada dalam posisi di mana kejadian yang tidak terduga
menyebabkan kerugian finansial, gangguan pada operasi normal, kerusakan reputasi, dan hilangnya
kehadiran di pasar. Para pemangku kepentingan sekarang berharap bahwa organisasi akan
memperhitungkan sepenuhnya risiko yang dapat menyebabkan gangguan dalam operasi,
keterlambatan penyelesaian proyek atau kegagalan dalam menjalankan strategi.
The exposure presented by an individual risk can be defined in terms of the likelihood of the risk
materializing and the impact of the risk when it does materialize. As risk exposure increases, the
likely impact will also increase. Guide 73 refers to this measurement of likelihood and impact as
being the current or residual ‘level of risk’. This level of risk should be compared with the risk
attitude and risk appetite of the organization for risks of that type. The risk appetite will sometimes be
described as a set of risk criteria.
Eksposur yang disajikan oleh suatu risiko individu dapat didefinisikan dalam hal kemungkinan
terjadinya risiko dan dampak risiko ketika risiko tersebut terjadi. Ketika eksposur risiko meningkat,
kemungkinan dampaknya juga akan meningkat. Panduan 73 mengacu pada pengukuran kemungkinan
dan dampak ini sebagai tingkat risiko saat ini atau tingkat risiko residual. Tingkat risiko ini harus
dibandingkan dengan sikap risiko dan selera risiko organisasi terhadap risiko jenis tersebut. Selera
risiko terkadang digambarkan sebagai seperangkat kriteria risiko.
Throughout this book, the term ‘magnitude’ is used to indicate the size of the event that has occurred
or might occur. The term ‘impact’ is used to define how the event affects the finances, operations,
reputation and/or marketplace (FIRM) of the organization. This use of terminology is also consistent
with the use of impact in business continuity planning evaluations. This is a measure of the risk at the
current level. The term ‘consequences’ is used in this book to indicate the extent to which the event
results in failure to achieve effective and efficient strategy, tactics, operations and compliance
(STOC).
Dalam buku ini, istilah 'besaran' digunakan untuk menunjukkan ukuran peristiwa yang telah terjadi
atau mungkin terjadi. Istilah 'dampak' digunakan untuk mendefinisikan bagaimana peristiwa tersebut
memengaruhi keuangan, operasi, reputasi, dan/atau pasar (FIRM) organisasi. Penggunaan terminologi
ini juga konsisten dengan penggunaan dampak dalam evaluasi perencanaan keberlanjutan bisnis. Ini
adalah ukuran risiko pada tingkat saat ini. Istilah konsekuensi digunakan dalam buku ini untuk
menunjukkan sejauh mana peristiwa tersebut mengakibatkan kegagalan dalam mencapai strategi,
taktik, operasi, dan kepatuhan (STOC) yang efektif dan efisien.
Injury to key player
A sports club will wish to reduce the chances of a key player being absent through injury. However,
key players do get injured and the club will need to consider the impact of such an event in advance of
it happening. If the injury is serious, the player may be absent for a significant length of time. There is
likely to be a substantial impact, which will be most obvious on the pitch where the success of the
team is likely to be reduced.
Sebuah klub olahraga pasti ingin mengurangi kemungkinan pemain kunci absen karena cedera.
Namun, pemain kunci bisa saja mengalami cedera dan klub perlu mempertimbangkan dampak dari
kejadian tersebut sebelum hal itu terjadi. Jika cederanya serius, pemain tersebut mungkin akan absen
dalam jangka waktu yang cukup lama. Kemungkinan besar akan ada dampak yang cukup besar, yang
akan terlihat paling jelas di atas lapangan, di mana kesuksesan tim kemungkinan besar akan
berkurang.
However, other consequences may also result and these could include the loss of revenue from the
sale of shirts and other merchandise with that player’s name and number. Arrangements to reduce the
potential for loss of income should also be considered.
Namun, konsekuensi lain juga dapat terjadi dan ini dapat mencakup hilangnya pendapatan dari
penjualan kaus dan barang dagangan lainnya dengan nama dan nomor punggung pemain tersebut.
Pengaturan untuk mengurangi potensi hilangnya pendapatan juga harus dipertimbangkan.

Impact of hazard risks

Hazard risks undermine objectives, and the level of impact of such risks is a measure of their
significance. Risk management has its longest history and earliest origins in the management of
hazard risks. Hazard risk management is closely related to the management of insurable risks.
Remember that a hazard (or pure) risk can only have a negative outcome.
Hazard risk management is concerned with issues such as health and safety at work, fire prevention,
avoiding damage to property and the consequences of defective products. Hazard risks can cause
disruption to normal operations, as well as resulting in increased costs and poor publicity associated
with disruptive events.
Risiko bahaya merusak tujuan, dan tingkat dampak dari risiko tersebut merupakan ukuran
signifikansinya. Manajemen risiko memiliki sejarah terpanjang dan asal-usul paling awal dalam
manajemen risiko bahaya. Manajemen risiko bahaya berkaitan erat dengan manajemen risiko yang
dapat diasuransikan. Ingatlah bahwa risiko bahaya (atau murni) hanya dapat memberikan hasil yang
negatif.
Hazard risks are related to business dependencies, including IT and other supporting services. There is
increasing dependence on the IT infrastructure of most organizations and IT systems can be disrupted
by computer breakdown or fire in server rooms, as well as virus infection and deliberate hacking or
computer attacks.
Manajemen risiko bahaya berkaitan dengan masalah-masalah seperti kesehatan dan keselamatan di
tempat kerja, pencegahan kebakaran, menghindari kerusakan properti dan konsekuensi dari produk
yang cacat. Risiko bahaya dapat menyebabkan gangguan pada operasi normal, serta mengakibatkan
peningkatan biaya dan publisitas yang buruk terkait dengan peristiwa yang mengganggu.
Theft and fraud can also be significant hazard risks for many organizations. This is especially true for
organizations handling cash or managing a significant number of financial transactions. Techniques
relevant to the avoidance of theft and fraud include adequate security procedures, segregation of
financial duties, and authorization and delegation procedures, as well as the vetting of staff prior to
employment.
Pencurian dan penipuan juga bisa menjadi risiko bahaya yang signifikan bagi banyak organisasi . Hal
ini terutama berlaku bagi organisasi yang menangani uang tunai atau mengelola sejumlah besar
transaksi keuangan. Teknik-teknik yang relevan untuk menghindari pencurian dan penipuan termasuk
prosedur keamanan yang memadai, pemisahan tugas keuangan, dan prosedur otorisasi dan
pendelegasian, serta pemeriksaan staf sebelum bekerja.
It is worth reflecting on terminology, because this is especially important in relation to hazard risks, if
an event occurs. If a hazard risk materializes, it may have a very large magnitude, such as the
destruction of the main distribution warehouse of an organization. This large magnitude event will
have an impact on the organization related to potential financial costs, destruction of infrastructure,
damage to reputation and the inability to function in the marketplace. Magnitude represents the gross
or inherent level of the risk.
Penting untuk merefleksikan terminologi, karena hal ini sangat penting terutama dalam kaitannya
dengan risiko bahaya, jika suatu peristiwa terjadi. Jika suatu risiko bahaya terwujud, mungkin saja
memiliki magnitude yang sangat besar, seperti hancurnya gudang distribusi utama suatu organisasi.
Kejadian dengan magnitude yang besar ini akan berdampak pada organisasi terkait dengan potensi
kerugian finansial, kehancuran infrastruktur, kerusakan reputasi dan ketidakmampuan untuk berfungsi
di pasar. Magnitude menunjukkan tingkat kotor atau tingkat risiko yang melekat.
However, the impact of the event will be reduced because of the controls that are in place. Impact
represents the net, residual or current level of the risk. These controls reduce the financial impact, the
extent of destruction of infrastructure, as well as controls designed to protect reputation and
marketplace activities. But, what is also important for the organization is the consequences of the
major warehouse fire. These consequences relate to the effect that the fire might have on the strategy,
tactics, operations and compliance activities within the organization.
Namun, dampak dari kejadian tersebut akan berkurang karena adanya kontrol yang ada. Dampak
merupakan tingkat risiko bersih, residual atau saat ini. Pengendalian ini mengurangi dampak finansial,
tingkat kerusakan infrastruktur, serta pengendalian yang dirancang untuk melindungi reputasi dan
aktivitas pasar. Namun, yang juga penting bagi organisasi adalah konsekuensi dari kebakaran gudang
besar. Konsekuensi ini berkaitan dengan dampak kebakaran terhadap strategi, taktik, operasi, dan
aktivitas kepatuhan dalam organisasi.
Dampak : tingkat risiko bersih (residual)
Dampak dapat berkurang dengan adanya kontrol
It is possible that a major fire will cause significant financial loss that is covered by insurance, so that
this large magnitude event has little impact on the finances of the organization. Effective crisis
management and business continuity will ensure that the consequences of this major fire from the
point of view of customers will be so well managed that customers need not be aware that a major fire
has taken place.
Ada kemungkinan bahwa kebakaran besar akan menyebabkan kerugian finansial yang signifikan yang
ditanggung oleh asuransi, sehingga kejadian dengan skala besar ini hanya berdampak kecil pada
keuangan organisasi. Manajemen krisis dan kelangsungan bisnis yang efektif akan memastikan bahwa
konsekuensi dari kebakaran besar ini dari sudut pandang pelanggan akan dikelola dengan baik
sehingga pelanggan tidak perlu menyadari bahwa kebakaran besar telah terjadi.
Risiko bahaya skala besar dapat hanya berdampak kecil bagi organisasi dengan memastikan bahwa
konsekuensi dari kejadian tersebut dikelola dengan baik (ditanggung asuransi).
Finally, the importance of compliance risks should not be underestimated. Compliance risks can be
substantial for many organizations, especially those business sectors that are heavily regulated. In
some cases, compliance with mandatory requirements, represents a ‘licence to operate’ and failure to
achieve the level of compliance activities required by the relevant regulator can have a significant
impact on the reputation of the organization and substantial consequences for routine business
activities.
Terakhir, pentingnya risiko kepatuhan tidak boleh diremehkan. Risiko kepatuhan dapat menjadi
sangat besar bagi banyak organisasi, terutama bagi sektor-sektor bisnis yang diatur secara ketat.
Dalam beberapa kasus, kepatuhan terhadap persyaratan wajib, merupakan 'izin untuk beroperasi' dan
kegagalan untuk mencapai tingkat kegiatan kepatuhan yang disyaratkan oleh regulator terkait dapat
berdampak signifikan terhadap reputasi organisasi dan konsekuensi substansial terhadap kegiatan
bisnis rutin.

Attachment of risks
Although most standard definitions of risk refer to risks as being attached to corporate objectives,
Figure 2.1 provides an illustration of the options for the attachment of risks. Risks are shown in the
diagram as being capable of impacting the key dependencies that deliver the core processes of the
organization. Corporate objectives and stakeholder expectations help define the core processes of the
organization. These core processes are key components of the existing nature and future enhancement
of the business model and can relate to operations, tactics and corporate strategy, as well as
compliance activities, as considered further in Chapter 19.
Meskipun sebagian besar definisi standar risiko mengacu pada risiko yang melekat pada tujuan
perusahaan, Gambar 2.1 memberikan ilustrasi tentang pilihan untuk melampirkan risiko. Risiko
ditunjukkan dalam diagram sebagai sesuatu yang dapat mempengaruhi ketergantungan utama yang
memberikan proses inti
organisasi. Tujuan perusahaan
dan ekspektasi pemangku
kepentingan membantu
mendefinisikan proses inti
organisasi. Proses-proses inti ini
merupakan komponen utama dari
sifat yang ada dan peningkatan
model bisnis di masa depan dan
dapat berhubungan dengan
operasi, taktik dan strategi
perusahaan, serta kegiatan
kepatuhan, sebagaimana dibahas
lebih lanjut dalam Bab 19.
The intention of Figure 2.1 is to demonstrate that significant risks can be attached to features of the
organization other than corporate objectives. Significant risks can be identified by considering the key
dependencies of the organization, the corporate objectives and/or the stakeholder expectations, as well
as by analysis of the core processes of the organization. For example, the failure of Northern Rock
occurred because the wholesale money markets, on which the bank depended, stopped functioning.
Another way of viewing the concept of attachment of risks is to consider that the features shown in
Figure 2.1 offer alternative starting points for undertaking a risk assessment. For example, a risk
assessment can be undertaken by asking ‘what do stakeholders expect of us?’ and ‘what risks could
impact the delivery of those stakeholder expectations?’
Maksud dari Gambar 2.1 adalah untuk menunjukkan bahwa risiko yang signifikan dapat melekat pada
fitur-fitur organisasi selain tujuan perusahaan. Risiko yang signifikan dapat diidentifikasi dengan
mempertimbangkan ketergantungan utama organisasi, tujuan perusahaan dan/atau ekspektasi
pemangku kepentingan, serta dengan analisis proses inti organisasi. Sebagai contoh, kegagalan
Northern Rock terjadi karena pasar uang grosir, yang menjadi tempat bank bergantung, berhenti
berfungsi. Cara lain untuk melihat konsep keterikatan risiko adalah dengan mempertimbangkan
bahwa fitur-fitur yang ditunjukkan pada Gambar 2.1 menawarkan titik awal alternatif untuk
melakukan penilaian risiko. Sebagai contoh, penilaian risiko dapat dilakukan dengan menanyakan
'apa yang diharapkan oleh para pemangku kepentingan terhadap kita?" dan 'risiko apa yang dapat
berdampak pada pemenuhan harapan para pemangku kepentingan tersebut?
In the build-up to the recent financial crisis, banks and other financial institutions established
operational and strategic objectives. By analysing these objectives and identifying the risks that could
prevent the achievement of them, risk management made a contribution to the achievement of the
high-risk objectives that ultimately led to the failure of the organizations. This example illustrates that
attaching risks to attributes other than objectives is not only possible but may well have been desirable
in these circumstances.
Pada saat krisis keuangan baru-baru ini, bank dan lembaga keuangan lainnya menetapkan tujuan
operasional dan strategis. Dengan menganalisis tujuan-tujuan ini dan mengidentifikasi risiko-risiko
yang dapat menghalangi pencapaian tujuan tersebut, manajemen risiko memberikan kontribusi pada
pencapaian tujuan-tujuan berisiko tinggi yang pada akhirnya menyebabkan kegagalan organisasi.
Contoh ini menggambarkan bahwa melampirkan risiko pada atribut selain tujuan tidak hanya
memungkinkan, tetapi mungkin juga diinginkan dalam situasi seperti ini.
It is clearly the case that risks are greater in circumstances of change. Therefore, linking risks to
change objectives is not unreasonable, but the analysis of each objective in turn may not lead to robust
risk recognition/identification. In any case, business objectives are usually stated at too high a level
for the successful attachment of risks.
Jelaslah bahwa risiko akan lebih besar dalam situasi perubahan. Oleh karena itu, mengaitkan risiko
dengan tujuan perubahan bukanlah hal yang tidak masuk akal, tetapi analisis setiap tujuan pada
gilirannya mungkin tidak mengarah pada pengenalan/identifikasi risiko yang kuat. Bagaimanapun,
tujuan bisnis biasanya dinyatakan pada tingkat yang terlalu tinggi untuk keberhasilan pengaitan risiko.
To be useful to the organization, the corporate objectives should be presented as a full statement of
the short-, medium- and long-term aims of the organization. Internal, annual, change objectives are
usually inadequate, because they may fail to fully identify the operational (or efficiency), change (or
competition) and strategic (or leadership) requirements of the organization.
Agar bermanfaat bagi organisasi, tujuan perusahaan harus disajikan sebagai pernyataan lengkap dari
tujuan jangka pendek, menengah dan panjang organisasi. Tujuan perubahan internal, tahunan,
biasanya tidak memadai, karena mereka mungkin gagal untuk sepenuhnya mengidentifikasi
persyaratan operasional (atau efisiensi), perubahan (atau persaingan) dan strategis (atau
kepemimpinan) organisasi.
The most important disadvantage associated with the ‘objectives-driven’ approach to risk and risk
management is the danger of considering risks out of the context that gave rise to them. Risks that are
analysed in a way that is separated from the situation that led to them will not be capable of rigorous
and informed evaluation. It can be argued that a more robust analysis can be achieved when a
‘dependencies-driven’ approach to risk management is adopted.
Kerugian yang paling penting yang terkait dengan pendekatan 'berbasis tujuan' terhadap risiko dan
manajemen risiko adalah bahaya mempertimbangkan risiko di luar konteks yang memunculkannya.
Risiko yang dianalisis dengan cara yang terpisah dari situasi yang menyebabkannya tidak akan
mampu menghasilkan evaluasi yang ketat dan terinformasi. Dapat dikatakan bahwa analisis yang
lebih kuat dapat dicapai ketika pendekatan manajemen risiko yang berbasis ketergantungan diadopsi.
It remains the case that many organizations continue to use an analysis of corporate objectives as a
means of identifying risks, because some benefits do arise from this approach. For example, using this
‘objectives-driven’ approach facilitates the analysis of risks in relation to the positive and uncertain
aspects of the events that may occur, as well as facilitating the analysis of the negative and
compliance aspects.
Masih banyak organisasi yang terus menggunakan analisis tujuan perusahaan sebagai cara untuk
mengidentifikasi risiko, karena beberapa manfaat muncul dari pendekatan ini. Sebagai contoh,
penggunaan pendekatan 'berbasis tujuan' ini memudahkan analisis risiko dalam kaitannya dengan
aspek positif dan ketidakpastian dari peristiwa yang mungkin terjadi, serta memudahkan analisis
aspek negatif dan kepatuhan.
If the decision is taken to attach risks to the objectives of the organization, it is important that these
objectives have been fully and completely developed. Not only do the objectives need to be
challenged to ensure that they are full and complete, but the assumptions that underpin the objectives
should also receive careful and critical attention.
Jika keputusan diambil untuk melampirkan risiko pada tujuan organisasi, maka penting untuk
memastikan bahwa tujuan tersebut telah dikembangkan secara penuh dan lengkap. Tidak hanya
tujuan-tujuan tersebut perlu diuji untuk memastikan bahwa tujuan-tujuan tersebut telah lengkap dan
utuh, namun asumsi-asumsi yang mendasari tujuan-tujuan tersebut juga harus mendapat perhatian
yang cermat dan kritis.
Core processes are discussed in Chapter 19 and may be considered as the highlevel processes that
drive the organization. In the example of a sports club, one of the key processes is the operational
process of ‘delivering successful results on the pitch’. Risks may be attached to this core process, as
well as being attached to objectives and/or key dependencies. Core processes can be classified as
strategic, tactical, operational and compliance (STOC). In all cases, the core processes need to be
effective and efficient. Mature (or sophisticated) risk management activities can then be designed to
enhance the effectiveness and efficiency of core processes.
Proses inti dibahas di Bab 19 dan dapat dianggap sebagai proses tingkat tinggi yang menggerakkan
organisasi. Dalam contoh klub olahraga, salah satu proses utama adalah proses operasional untuk
'memberikan hasil yang sukses di lapangan'. Risiko dapat melekat pada proses inti ini, serta melekat
pada tujuan dan/atau ketergantungan utama. Proses inti dapat diklasifikasikan sebagai strategis, taktis,
operasional, dan kepatuhan (STOC). Dalam semua kasus, proses inti harus efektif dan efisien.
Aktivitas manajemen risiko yang matang (atau canggih) kemudian dapat dirancang untuk
meningkatkan efektivitas dan efisiensi proses inti.
Risiko dapat melekat pada proses inti dan tujuan/ketergantungan utama.
Although risks can be attached to other features of the organization, the standard approach is to attach
risks to corporate objectives. One of the standard definitions of risk is that it is something that can
impact (undermine, enhance or cause doubt about) the achievement of corporate objectives. This is a
useful definition, but it does not provide the only starting point for identifying significant risks.
Meskipun risiko dapat dikaitkan dengan fitur-fitur lain dalam organisasi, pendekatan standarnya
adalah mengaitkan risiko dengan tujuan perusahaan. Salah satu definisi standar dari risiko adalah
sesuatu yang dapat mempengaruhi (melemahkan, meningkatkan, atau menimbulkan keraguan)
pencapaian tujuan perusahaan. Ini adalah definisi yang berguna, namun tidak menjadi satu-satunya
titik awal untuk mengidentifikasi risiko yang signifikan.
Definisi standar dari risiko adalah sesuatu yang dapat mempengaruhi (melemahkan, meningkatkan,
atau menimbulkan keraguan) pencapaian tujuan perusahaan. Pencapaian tujuan perusahaan bukan
menjadi satu-satunya titik awal untuk mengidentifikasi risiko yang signifikan.
Attachment of risks to key dependencies and, especially, stakeholder expectations is becoming more
common. The importance of stakeholders and their expectations is considered in more detail in
Chapter 29. The use of key dependencies to identify risks can be a straightforward exercise. The
organization will need to ask what are the features or components of the organization and its external
context that are key to success. This will result in the identification of the strengths, weaknesses,
opportunities and threats facing the organization. This is often referred to as a SWOT analysis.
Having identified the key dependencies, as set out in Table 13.1, the organization can then consider
the risks that will impact these dependencies. This approach is discussed in more detail with practical
examples of risks provided in Table 13.1 and Table 15.2.
Keterkaitan risiko dengan ketergantungan utama dan, khususnya, ekspektasi pemangku kepentingan
menjadi semakin umum. Pentingnya pemangku kepentingan dan ekspektasi mereka dibahas secara
lebih rinci dalam Bab 29. Penggunaan ketergantungan utama untuk mengidentifikasi risiko dapat
menjadi latihan yang mudah. Organisasi perlu bertanya apa saja fitur atau komponen organisasi dan
konteks eksternalnya yang menjadi kunci keberhasilan. Hal ini akan menghasilkan identifikasi
kekuatan, kelemahan, peluang dan ancaman yang dihadapi organisasi. Hal ini sering disebut sebagai
analisis SWOT. Setelah mengidentifikasi ketergantungan utama, seperti yang tercantum dalam Tabel
13.1, organisasi kemudian dapat mempertimbangkan risiko yang akan berdampak pada
ketergantungan ini. Pendekatan ini dibahas secara lebih rinci dengan contoh-contoh praktis risiko
yang diberikan pada Tabel 13.1 dan Tabel 15.2.

Risk and reward

Another feature of risk and risk management is that many risks are taken by organizations in order to
achieve a reward. Figure 2.2 illustrates the relationship between the level of risk and the anticipated
size of reward. A business will launch a new product because it believes that greater profit is available
from the successful marketing of that product. In launching a new product, the organization will put
resources at risk because it has decided that a certain amount of risk taking is appropriate. The value
at risk represents the risk appetite of the organization with respect to the activity that it is undertaking.
Fitur lain dari risiko dan manajemen risiko adalah bahwa banyak risiko yang diambil oleh organisasi
untuk mencapai imbalan. Gambar 2.2 mengilustrasikan hubungan antara tingkat risiko dan ukuran
imbalan yang diharapkan. Sebuah bisnis akan meluncurkan produk baru karena percaya bahwa
keuntungan yang lebih besar tersedia dari keberhasilan pemasaran produk tersebut. Dalam
meluncurkan produk baru, organisasi akan menempatkan sumber daya dalam risiko karena telah
memutuskan bahwa pengambilan risiko dalam jumlah tertentu adalah tepat. Nilai yang berisiko
mewakili selera risiko organisasi sehubungan dengan aktivitas yang dilakukannya.

Gambar di atas untuk risiko peluang.

When an organization puts value at risk in this way, it should do so with the full knowledge of the risk
exposure and it should be satisfied that the risk exposure is within the appetite of the organization.
Even more important, it should ensure that it has sufficient resources to cover the risk exposure. In
other words, the risk exposure should be quantified, the appetite to take that level of risk should be
confirmed, and the capacity of the organization to withstand any foreseeable adverse consequences
should be clearly established.
Ketika sebuah organisasi menempatkan nilai pada risiko dengan cara ini, organisasi tersebut harus
melakukannya dengan pengetahuan penuh tentang eksposur risiko dan harus yakin bahwa eksposur
risiko tersebut sesuai dengan keinginan organisasi. Yang lebih penting lagi, organisasi harus
memastikan bahwa mereka memiliki sumber daya yang cukup untuk menutupi eksposur risiko
tersebut. Dengan kata lain, eksposur risiko harus dikuantifikasi, keinginan untuk mengambil tingkat
risiko tersebut harus dikonfirmasi, dan kapasitas organisasi untuk menahan konsekuensi buruk yang
dapat diperkirakan harus ditetapkan dengan jelas.
Not all business activities will offer the same return for the same level of risk taken. Start-up
operations are usually high risk and the initial expected return may be low. Figure 2.2 demonstrates
the probable risk versus reward development for a new organization or a new product. The activity
will commence in the bottom right-hand corner as a start-up operation, which is high risk and low
return.
Tidak semua aktivitas bisnis akan menawarkan hasil yang sama untuk tingkat risiko yang sama yang
diambil. Operasi start-up biasanya berisiko tinggi dan hasil yang diharapkan pada awalnya mungkin
rendah. Gambar 2.2 menunjukkan kemungkinan risiko versus imbalan pengembangan organisasi baru
atau produk baru. Aktivitas akan dimulai di sudut kanan bawah sebagai operasi awal, yang berisiko
tinggi dan hasil yang rendah.
As the business develops, it is likely to move to a higher return for the same level of risk. This is the
growth phase for the business or product. As the investment matures, the reward may remain high, but
the risks should reduce. Eventually, an organization will become fully mature and move towards the
low-risk and low-return quadrant. The normal expectation in very mature markets is that the
organization or product will be in decline.
Seiring dengan perkembangan bisnis, kemungkinan besar akan beralih ke pengembalian yang lebih
tinggi untuk tingkat risiko yang sama. Ini adalah fase pertumbuhan bisnis atau produk. Seiring dengan
semakin matangnya investasi, imbalannya mungkin tetap tinggi, tetapi risikonya akan berkurang.
Pada akhirnya, sebuah organisasi akan menjadi sepenuhnya matang dan bergerak menuju kuadran
risiko rendah dan pengembalian rendah. Ekspektasi normal di pasar yang sangat matang adalah bahwa
organisasi atau produk akan mengalami penurunan.
The particular risks that the organization faces will need to be identified by management or by the
organization. Appropriate risk management techniques will then need to be applied to the risks that
have been identified. The nature of these risk responses and the nature of their impact is considered in
Part Four of this book.
Risiko-risiko khusus yang dihadapi organisasi perlu diidentifikasi oleh manajemen atau organisasi.
Teknik manajemen risiko yang tepat kemudian perlu diterapkan pada risiko yang telah diidentifikasi.
Sifat dari tanggapan risiko ini dan sifat dari dampaknya akan dibahas di Bagian Empat buku ini.
The above discussion about risk and reward applies to opportunity risks. However, it must always be
the case that risk management effort produces rewards. In the case of hazard risks, it is likely that the
reward for increased risk management effort will be fewer disruptive events. In the case of project
risks, the reward for increased risk management effort will be that the project is more likely to be
delivered on time, within budget and to specification/quality.
Diskusi di atas tentang risiko dan imbalan berlaku untuk risiko peluang. Namun, harus selalu ada
upaya manajemen risiko yang menghasilkan imbalan. Dalam kasus risiko bahaya, kemungkinan besar
imbalan untuk peningkatan upaya manajemen risiko adalah lebih sedikit kejadian yang mengganggu.
Dalam kasus risiko proyek, imbalan atas peningkatan upaya manajemen risiko adalah bahwa proyek
tersebut lebih mungkin untuk diselesaikan tepat waktu, sesuai anggaran dan sesuai
spesifikasi/kualitas.
For opportunity risks, the risk versus reward analysis should result in fewer unsuccessful new
products and a higher level of profit or (at worst) a lower level of loss for all new activities or new
products. In all cases, profit or enhanced level of service is the reward for taking risk. The concept of
the risk versus reward analysis in relation to strategic risks is considered in more detail in Figure 15.2.
Untuk risiko peluang, analisis risiko versus imbalan harus menghasilkan lebih sedikit produk baru
yang gagal dan tingkat keuntungan yang lebih tinggi atau (paling buruk) tingkat kerugian yang lebih
rendah untuk semua aktivitas baru atau produk baru. Dalam semua kasus, keuntungan atau tingkat
layanan yang lebih baik adalah imbalan atas pengambilan risiko. Konsep analisis risiko versus
imbalan dalam kaitannya dengan risiko strategis dibahas secara lebih rinci pada Gambar 15.2.
Risk versus reward
In a Formula 1 Grand Prix, the Ferrari team decided to send a driver out on wet-weather tyres, before
the rain had actually started. Wet-weather tyres wear out very quickly in dry conditions and make the
car much slower. If the rain had started immediately, this would have proved to be a very good
decision.
Dalam sebuah Grand Prix Formula 1, tim Ferrari memutuskan untuk menurunkan seorang pembalap
dengan ban cuaca basah, sebelum hujan benar-benar turun. Ban cuaca basah sangat cepat aus dalam
kondisi kering dan membuat mobil menjadi lebih lambat. Jika hujan segera turun, ini akan menjadi
keputusan yang sangat bagus.
In fact, the rain did not start for four or five laps, by which time the driver had been overtaken by most
other drivers and his set of wet-weather tyres were ruined in the dry conditions. He had to return to
the pits for a further set of new tyres more suited to the race conditions. In this case, a high-risk
strategy was adopted in anticipation of significant rewards. However, the desired rewards were not
achieved and significant disadvantage resulted.
Faktanya, hujan baru turun setelah empat atau lima lap, dan pada saat itu sang pembalap telah disalip
oleh sebagian besar pembalap lain dan set ban untuk cuaca basah yang digunakannya telah rusak
dalam kondisi kering. Ia harus kembali ke pit untuk mengganti ban baru yang lebih sesuai dengan
kondisi balapan. Dalam kasus ini, strategi berisiko tinggi diadopsi untuk mengantisipasi imbalan yang
signifikan. Namun, hasil yang diinginkan tidak tercapai dan justru menimbulkan kerugian yang
signifikan.

Attitudes to risk
Different organizations will have different attitudes to risk. Some organizations may be considered to
be risk averse, whilst others will be risk aggressive. To some extent, the attitude of the organization to
risk will depend on the sector and the nature and maturity of the marketplace within which it operates,
as well as the attitude of the individual board members.
Setiap organisasi memiliki sikap yang berbeda terhadap risiko. Beberapa organisasi mungkin
dianggap menghindari risiko, sementara yang lain akan agresif terhadap risiko. Sampai batas tertentu,
sikap organisasi terhadap risiko akan bergantung pada sektor dan sifat serta kematangan pasar tempat
organisasi tersebut beroperasi, serta sikap masing-masing anggota dewan.
Risks cannot be considered outside the context that gave rise to them. It may appear that an
organization is being risk aggressive, when in fact, the board has decided that there is an opportunity
that should not be missed. However, the fact that the opportunity entails high risk may not have been
fully considered.
Risiko tidak dapat dipertimbangkan di luar konteks yang memunculkannya. Mungkin terlihat bahwa
sebuah organisasi bersikap agresif terhadap risiko, padahal sebenarnya, dewan direksi telah
memutuskan bahwa ada peluang yang tidak boleh dilewatkan. Namun, fakta bahwa peluang tersebut
mengandung risiko tinggi mungkin belum sepenuhnya dipertimbangkan.
One of the major contributions from successful risk management is to ensure that strategic decisions
that appear to be high risk are actually taken with all of the information available. Improvement in the
robustness of decision-making activities is one of the key benefits of risk management. Attitude to
risk is a complex subject and is closely related to the risk appetite of the organization, but they are not
the same. Risk attitude indicates the long-term view of the organization to risk and risk appetite
indicates the short-term willingness to take risk. This is similar to the difference between the long-
term or established attitude of an individual towards the food they eat and their appetite for food at a
particular moment in time.
Salah satu kontribusi utama dari manajemen risiko yang sukses adalah memastikan bahwa keputusan
strategis yang tampaknya berisiko tinggi benar-benar diambil dengan semua informasi yang tersedia .
Peningkatan dalam ketangguhan aktivitas pengambilan keputusan adalah salah satu manfaat utama
dari manajemen risiko. Sikap terhadap risiko adalah subjek yang kompleks dan terkait erat dengan
selera risiko organisasi, tetapi keduanya tidak sama. Sikap terhadap risiko menunjukkan pandangan
jangka panjang organisasi terhadap risiko dan selera terhadap risiko menunjukkan kesediaan jangka
pendek untuk mengambil risiko. Hal ini mirip dengan perbedaan antara sikap jangka panjang atau
sikap mapan seseorang terhadap makanan yang mereka makan dan selera makan mereka pada saat
tertentu.
Sikap terhadap risiko : pandangan jangan panjang organisasi terhadap risiko.
Selera terhadap risiko : kesediaan jangka pendek untuk mengambil risiko.
Other key factors that will determine the attitude of the organization to risk include the stage in the
maturity cycle, as shown in Figure 2.2. For an organization that is in the start-up phase, a more
aggressive attitude to risk is required than for an organization that is enjoying growth or one that is a
mature organization in a mature marketplace. Where an organization is operating in a mature
marketplace and is suffering from decline, the attitude to risk will be much more risk averse.
Faktor kunci lain yang akan menentukan sikap organisasi terhadap risiko termasuk tahap dalam siklus
kematangan, seperti yang ditunjukkan pada Gambar 2.2. Untuk organisasi yang berada pada fase
start-up, sikap yang lebih agresif terhadap risiko diperlukan dibandingkan dengan organisasi yang
sedang menikmati pertumbuhan atau organisasi yang sudah matang di pasar yang sudah matang .
Ketika sebuah organisasi beroperasi di pasar yang sudah matang dan mengalami penurunan, sikap
terhadap risiko akan jauh lebih menghindari risiko.
It is because the attitude to risk has to be different when an organization is a startup operation rather
than a mature organization, that it is often said that certain high-profile businessmen are very good at
entrepreneurial start-up but are not as successful in running mature businesses. Different attitudes to
risk are required at different parts of the business maturity cycle shown in Figure 2.2.
Karena sikap terhadap risiko harus berbeda ketika sebuah organisasi merupakan operasi startup
daripada organisasi yang sudah matang, maka sering dikatakan bahwa pengusaha terkenal tertentu
sangat baik dalam berwirausaha start-up tetapi tidak begitu sukses dalam menjalankan bisnis yang
sudah matang. Sikap yang berbeda terhadap risiko diperlukan pada bagian yang berbeda dari siklus
kematangan bisnis yang ditunjukkan pada Gambar 2.2.
The referendum in the UK on continued membership of the European Union (EU) in June 2016
resulted in a vote in favour of British exit (Brexit). The UK government has to activate the procedure
for the UK to leave the EU. The text box below provides an outline of the most commonly discussed
options available to the UK government. Overall, the challenge for the UK government is to ensure
the continued success of the UK economy based on a Brexit strategy and tactics that will ensure the
continued resilience of the UK.
Referendum di Inggris mengenai kelanjutan keanggotaan Uni Eropa (UE) pada bulan Juni 2016
menghasilkan suara yang mendukung keluarnya Inggris dari Uni Eropa (Brexit). Pemerintah Inggris
harus mengaktifkan prosedur agar Inggris dapat meninggalkan Uni Eropa. Kotak teks di bawah ini
memberikan garis besar opsi yang paling sering dibahas yang tersedia bagi pemerintah Inggris. Secara
keseluruhan, tantangan bagi pemerintah Inggris adalah untuk memastikan keberhasilan ekonomi
Inggris yang berkelanjutan berdasarkan strategi dan taktik Brexit yang akan memastikan ketahanan
Inggris yang berkelanjutan.
Brexit: what departure options exist for the UK
Brexit : pilihan keberangkatan apa saja yang tersedia untuk Inggris
Key benefits for businesses that arise from EU membership include:

 the existence of a single market: there are no tariffs or other barriers to trade;
 the freedom to provide services and freedom of establishment;
 ‘passporting’ that allows financial services to be traded across the EU;
 visa-free migration of people within the EU;
  access to EU free-trade agreements with 53 countries around the world.

 keberadaan pasar tunggal: tidak ada tarif atau hambatan lain dalam perdagangan;
 kebebasan untuk menyediakan layanan dan kebebasan untuk mendirikan perusahaan;
 'paspor' yang memungkinkan jasa keuangan diperdagangkan di seluruh UE;
 migrasi bebas visa bagi orang-orang di dalam UE;
 akses ke perjanjian perdagangan bebas UE dengan 53 negara di seluruh dunia.
After the Brexit vote, the UK government now has to decide which of these agreements to retain.
Broadly, there are three models that the UK could target.
Setelah pemungutan suara Brexit, pemerintah Inggris sekarang harus memutuskan perjanjian mana
yang akan dipertahankan. Secara garis besar, ada tiga model yang dapat ditargetkan oleh Inggris.

 The Norwegian model

Norway is a member of the European Economic Area, but not the EU. It has full access to the
single market, but must adopt EU standards and regulations and is unable to impose
immigration restrictions. Also, Norway must contribute towards the EU budget.
Norwegia adalah anggota Wilayah Ekonomi Eropa, tetapi bukan anggota Uni Eropa.
Norwegia memiliki akses penuh ke pasar tunggal, tetapi harus mengadopsi standar dan
peraturan Uni Eropa dan tidak dapat memberlakukan pembatasan imigrasi. Selain itu,
Norwegia juga harus berkontribusi terhadap anggaran Uni Eropa.

 The Swiss model

Switzerland has had some success in building a two-way deal with the EU, which essentially
allows it to access certain selected parts of the European market in return for accepting EU
legislation in relevant areas as well as making contributions to the EU budget.
Swiss telah berhasil membangun kesepakatan dua arah dengan Uni Eropa, yang pada
dasarnya memungkinkan Swiss untuk mengakses beberapa bagian tertentu dari pasar Eropa
dengan imbalan menerima legislasi Uni Eropa di bidang-bidang yang relevan serta
memberikan kontribusi terhadap anggaran Uni Eropa.

 The Canadian model

Canada has recently (November 2016) ratified the most far-reaching trade deal with Europe
that has ever been created, and it is possible that the UK could aim to replicate this sort of
relationship. Such an agreement might not allow the continued passporting of financial
services.
Kanada baru-baru ini (November 2016) meratifikasi perjanjian perdagangan paling luas
dengan Eropa yang pernah dibuat, dan ada kemungkinan bahwa Inggris dapat meniru
hubungan semacam ini. Perjanjian semacam itu mungkin tidak mengizinkan kelanjutan
paspor layanan keuangan.
All these models struggle to reconcile the central issue of regulatory control. Using these three models
as a base, the UK now has to evaluate how Brexit will create risks and opportunities for business.
Semua model ini berjuang untuk mendamaikan masalah utama dari kontrol regulasi. Dengan
menggunakan ketiga model ini sebagai dasar, Inggris sekarang harus mengevaluasi bagaimana Brexit
akan menciptakan risiko dan peluang bagi bisnis.

Risk and triggers

Risk is sometimes defined as uncertainty of outcomes. This is a somewhat technical, but nevertheless
useful, definition and it is particularly applicable to the management of control risks. Control risks are
the most difficult to identify and define, but are often associated with projects. The overall intention
of a project is to deliver the desired outcomes on time, within budget and to specification, quality or
performance.
Risiko terkadang didefinisikan sebagai ketidakpastian hasil. Ini adalah definisi yang agak teknis,
namun tetap berguna, dan ini terutama berlaku untuk manajemen risiko pengendalian. Risiko
pengendalian adalah risiko yang paling sulit untuk diidentifikasi dan didefinisikan, namun sering
dikaitkan dengan proyek. Tujuan keseluruhan dari sebuah proyek adalah untuk memberikan hasil
yang diinginkan tepat waktu, sesuai anggaran dan sesuai spesifikasi, kualitas atau kinerja.
For example, when a building is being constructed, the nature of the ground conditions may not
always be known in detail. As the construction work proceeds, more information will be available
about the nature of the conditions. This information may be positive news that the ground is stronger
than expected and less foundation work is required. Alternatively, it may be discovered that the
ground is contaminated or is weaker than expected or that there are other potentially adverse
circumstances, such as archaeological remains being discovered.
Sebagai contoh, ketika sebuah bangunan sedang dibangun, sifat dari kondisi tanah mungkin tidak
selalu diketahui secara rinci. Seiring dengan berjalannya pekerjaan konstruksi, lebih banyak informasi
akan tersedia tentang sifat kondisi tanah. Informasi ini mungkin merupakan berita positif bahwa tanah
lebih kuat dari yang diharapkan dan pekerjaan pondasi yang diperlukan lebih sedikit. Atau, mungkin
ditemukan bahwa tanah terkontaminasi atau lebih lemah dari yang diharapkan atau ada keadaan yang
berpotensi merugikan lainnya, seperti peninggalan arkeologi yang ditemukan.
Given this uncertainty, these risks should be considered to be control risks and the overall
management of the project should take account of the uncertainty associated with these different types
of risk. It would be unrealistic for the project manager to assume that only adverse aspects of the
ground conditions will be discovered. Likewise, it would be unwise for the project manager to assume
that conditions will be better than expected, just because s/he wants that to be the case.
Dengan adanya ketidakpastian ini, risiko-risiko tersebut harus dianggap sebagai risiko pengendalian
dan manajemen proyek secara keseluruhan harus mempertimbangkan ketidakpastian yang terkait
dengan berbagai jenis risiko ini. Tidaklah realistis bagi manajer proyek untuk mengasumsikan bahwa
hanya aspek-aspek yang merugikan dari kondisi tanah yang akan ditemukan. Demikian juga, tidak
bijaksana bagi manajer proyek untuk mengasumsikan bahwa kondisi akan lebih baik dari yang
diharapkan, hanya karena dia menginginkannya.
Because control risks cause uncertainty, it may be considered that an organization will have an
aversion to them. Perhaps, the real aversion is to the potential variability in outcomes that then need to
be managed. A certain level of deviation from the project plan can be tolerated, but it must not be too
great. Tolerance in relation to control risks can be considered to have the same meaning as in the
manufacture of engineering components, where the components must be of a certain size, within
acceptable tolerance limits.
Karena risiko pengendalian menyebabkan ketidakpastian, dapat dianggap bahwa suatu organisasi
akan memiliki keengganan terhadap risiko tersebut. Mungkin, keengganan yang sebenarnya adalah
terhadap potensi variabilitas hasil yang kemudian perlu dikelola. Tingkat penyimpangan tertentu dari
rencana proyek dapat ditoleransi, tetapi tidak boleh terlalu besar. Toleransi dalam kaitannya dengan
pengendalian risiko dapat dianggap memiliki arti yang sama seperti dalam pembuatan komponen
teknik, di mana komponen harus memiliki ukuran tertentu, dalam batas toleransi yang dapat diterima.
A means of representing the risk management process so that it becomes more accessible to managers
and other stakeholders concerned with risk management activities is constantly developing. One of
the tools for representing risk management activities that has recently been developed is the bow-tie.
The bow-tie as a representation of the risk management process is used several times throughout this
book. Figure 2.3 shows a simple representation of the bow-tie applicable to events that can cause
disruption to normal efficient operations.
Sarana untuk merepresentasikan proses manajemen risiko agar lebih mudah diakses oleh para manajer
dan pemangku kepentingan lainnya yang terkait dengan aktivitas manajemen risiko terus berkembang.
Salah satu alat untuk merepresentasikan aktivitas manajemen risiko yang baru-baru ini dikembangkan
adalah dasi kupu-kupu. Dasi kupu-kupu sebagai representasi proses manajemen risiko digunakan
beberapa kali dalam buku ini. Gambar 2.3 menunjukkan representasi sederhana dari dasi kupu-kupu
yang dapat diterapkan pada kejadian yang dapat menyebabkan gangguan pada operasi normal yang
efisien.

Kanan (sumber) : STOC (strategic, tactical, operational, compliance)

Kiri (dampak) : FIRM (financial, insfrastucture, reputational, markerplace)
Tengah (kejadian risiko) : orang, tempat, proses, dan produk
Garis vertikal kiri : kontrol pencegahan
Garis vertikal kanan : kontrol pemulihan

The left-hand side of the bow-tie represents the source of a particular hazard and will indicate the
classification system used by the organization for sources of risk. In Figure 2.3, these sources of risk
used are the high-level sources of strategic, tactical, operational and compliance (STOC) risks. The
right-hand side of the bow-tie sets out the impact should the risk events occur, and Figure 2.3 uses the
high-level components of financial, infrastructure, reputational and marketplace (FIRM) impact of a
risk materializing.
Sisi kiri dari dasi kupu-kupu mewakili sumber bahaya tertentu dan akan menunjukkan sistem
klasifikasi yang digunakan oleh organisasi untuk sumber-sumber risiko. Pada Gambar 2.3, sumber-
sumber risiko yang digunakan adalah sumber risiko strategis, taktis, operasional, dan kepatuhan
(STOC) tingkat tinggi. Sisi kanan dari dasi kupu-kupu menunjukkan dampak yang ditimbulkan jika
kejadian risiko terjadi, dan Gambar 2.3 menggunakan komponen tingkat tinggi yaitu dampak
finansial, infrastruktur, reputasi dan pasar (FIRM) jika suatu risiko terjadi.
In the centre of the bow-tie is the risk event. Table 3.2 indicates the categories of disruption that can
affect organizations, and the same categories of people, premises, processes and products are used
here. The purpose of using the bow-tie illustration is to demonstrate the risk classification systems
used by the organization and the potential range of impacts should a risk materialize. Controls can be
put in place to prevent the event occurring and these can be represented by vertical lines on the left-
hand side of the bow-tie. In a similar manner, recovery controls can be represented on the right-hand
side of the bow-tie.
Di tengah dasi kupu-kupu adalah kejadian risiko. Tabel 3.2 menunjukkan kategori gangguan yang
dapat mempengaruhi organisasi, dan kategori yang sama untuk orang, tempat, proses, dan produk juga
digunakan di sini. Tujuan penggunaan ilustrasi dasi kupu-kupu adalah untuk menunjukkan sistem
klasifikasi risiko yang digunakan oleh organisasi dan potensi dampak yang ditimbulkan jika risiko
terjadi. Kontrol dapat diterapkan untuk mencegah terjadinya peristiwa tersebut dan ini dapat diwakili
oleh garis vertikal di sisi kiri dasi kupu-kupu. Dengan cara yang sama, kontrol pemulihan dapat
diwakili di sisi kanan dasi kupu-kupu.
The bow-tie representation of the risk management process can be used in many ways, including the
representation of opportunity risks. Additionally, the bow-tie can be used to illustrate the various
types of controls that are available to organizations and this is discussed in more detail in Chapter 13
on loss control.
Representasi dasi kupu-kupu dari proses manajemen risiko dapat digunakan dalam berbagai cara,
termasuk representasi risiko peluang. Selain itu, dasi kupu-kupu dapat digunakan untuk
mengilustrasikan berbagai jenis kontrol yang tersedia untuk organisasi dan ini dibahas secara lebih
rinci dalam Bab 13 tentang pengendalian kerugian.
Use of the bow-tie has become widespread, especially in the public sector. The box below provides a
practical application of the bow-tie to the identification of preventive and response controls related to
a fire in the kitchen of a residential home.
Penggunaan dasi kupu-kupu telah meluas, terutama di sektor publik. Kotak di bawah ini memberikan
aplikasi praktis dasi kupu-kupu untuk identifikasi kontrol pencegahan dan respons terkait kebakaran
di dapur rumah tinggal.
Risk management and the bow-tie
There are various risk analysis techniques available. The most popular method of analysing a risk is
using a bow-tie.
Ada berbagai teknik analisis risiko yang tersedia. Metode yang paling populer untuk menganalisis
risiko adalah dengan menggunakan dasi kupu-kupu.
A bow-tie is a simple way of analysing a risk to gain a greater understanding. The first stage is to put
the risk description into the middle box. The causes of the risk then need to be recorded along with the
preventive controls to stop the risk occurring. The impact of the risk is also considered. This enables
the identification of response controls to lessen the impact of the risk should it occur.
Dasi kupu-kupu adalah cara sederhana untuk menganalisis risiko untuk mendapatkan pemahaman
yang lebih baik. Tahap pertama adalah menempatkan deskripsi risiko ke dalam kotak tengah.
Penyebab risiko kemudian perlu dicatat bersama dengan kontrol pencegahan untuk menghentikan
terjadinya risiko. Dampak dari risiko tersebut juga perlu dipertimbangkan. Hal ini memungkinkan
identifikasi kontrol respons untuk mengurangi dampak risiko jika terjadi.
03 Types of risks
Timescale of risk impact
Risks can be classified in many ways. Hazard risks can be divided into many types of risks, including
risks to property, risks to people and risks to the continuity of a business. There are a range of formal
risk classification systems and these are considered in Chapter 11. Although it should not be
considered to be a formal risk classification system, this part considers the value of classifying risks
according to the timeframe for the impact of the risk.
Risiko dapat diklasifikasikan dengan berbagai cara. Risiko bahaya dapat dibagi menjadi berbagai jenis
risiko, termasuk risiko terhadap harta benda, risiko terhadap manusia, dan risiko terhadap
kelangsungan bisnis. Ada berbagai sistem klasifikasi risiko formal dan ini dibahas dalam Bab 11.
Meskipun tidak dapat dianggap sebagai sistem klasifikasi risiko formal, bagian ini
mempertimbangkan nilai klasifikasi risiko menurut jangka waktu dampak risiko.
The classification of risks as long-, medium- and short-term impact is a very useful means of
analysing the risk exposure of an organization. These risks will be related to the strategy, tactics and
operations of the organization, respectively. In this context, risks may be considered as related to
events, changes in circumstances, actions or decisions.
Klasifikasi risiko sebagai dampak jangka panjang, menengah, dan pendek adalah cara yang sangat
berguna untuk menganalisis eksposur risiko organisasi. Risiko-risiko ini akan terkait dengan strategi,
taktik dan operasi organisasi. Dalam konteks ini, risiko dapat dianggap terkait dengan peristiwa,
perubahan keadaan, tindakan atau keputusan.
In general terms, long-term risks will impact several years, perhaps up to five years, after the event
occurs or the decision is taken. Long-term risks therefore relate to strategic decisions. When a
decision is taken to launch a new product, the result of that decision (and the success of the product
itself) may not be fully apparent for some time.
Secara umum, risiko jangka panjang akan berdampak beberapa tahun, mungkin hingga lima tahun,
setelah peristiwa terjadi atau keputusan diambil. Oleh karena itu, risiko jangka panjang berhubungan
dengan keputusan strategis. Ketika sebuah keputusan diambil untuk meluncurkan produk baru, hasil
dari keputusan tersebut (dan keberhasilan produk itu sendiri) mungkin tidak akan terlihat sepenuhnya
selama beberapa waktu.
Medium-term risks have their impact some time after the event occurs or the decision is taken, and
typically this will be about a year later. Medium-term risks are often associated with projects or
programmes of work. For example, if a new computer software system is to be installed, then the
choice of computer system is a long-term or strategic decision. However, decisions regarding the
project to implement the new software will be medium-term decisions with medium-term risks
attached.
Risiko jangka menengah memiliki dampaknya beberapa waktu setelah peristiwa terjadi atau
keputusan diambil, dan biasanya sekitar satu tahun kemudian. Risiko jangka menengah sering
dikaitkan dengan proyek atau program kerja. Sebagai contoh, jika sistem perangkat lunak komputer
baru akan dipasang, maka pilihan sistem komputer adalah keputusan jangka panjang atau strategis.
Namun, keputusan mengenai proyek untuk mengimplementasikan perangkat lunak baru akan menjadi
keputusan jangka menengah dengan risiko jangka menengah yang menyertainya.
Short-term risks have their impact immediately after the event occurs. Accidents at work, traffic
accidents, fire and theft are all short-term risks that have an immediate impact and immediate
consequences as soon as the event has occurred. These short-term risks cause immediate disruption to
normal efficient operations and are probably the easiest types of risks to identify and manage or
mitigate.
Risiko jangka pendek memiliki dampak segera setelah peristiwa terjadi. Kecelakaan di tempat kerja,
kecelakaan lalu lintas, kebakaran, dan pencurian merupakan risiko jangka pendek yang memiliki
dampak langsung dan konsekuensi segera setelah peristiwa tersebut terjadi. Risiko-risiko jangka
pendek ini menyebabkan gangguan langsung pada operasi normal yang efisien dan mungkin
merupakan jenis risiko yang paling mudah untuk diidentifikasi dan dikelola atau dimitigasi.
Risiko jangka panjang : hingga 5 tahun => berhubungan dengan keputusan strategis
Risiko jangka menengah : beberapa tahun => berhubungan dengan proyek atau program kerja
Risiko jangka pendek : sekitar 1 tahun => berhubungan dengan gangguan langsung
Insurable risks are quite often short-term risks, although the exact timing and magnitude/impact of the
insured events is uncertain. In other words, insurance is designed to provide protection against risks
that have immediate consequences. In the case of insurable risks, the nature and consequences of the
event may be understood, but the timing of the event is unpredictable. In fact, whether the event will
occur at all is not known at the time the insurance policy is taken out.
Risiko yang dapat diasuransikan sering kali merupakan risiko jangka pendek, meskipun waktu dan
besaran/dampak yang pasti dari kejadian yang diasuransikan tidak pasti. Dengan kata lain, asuransi
dirancang untuk memberikan perlindungan terhadap risiko yang memiliki konsekuensi langsung.
Dalam kasus risiko yang dapat diasuransikan, sifat dan konsekuensi dari peristiwa tersebut dapat
dipahami, tetapi waktu kejadiannya tidak dapat diprediksi. Bahkan, apakah peristiwa itu akan terjadi
sama sekali tidak diketahui pada saat polis asuransi diambil.
Risiko yang dapat diasuransikan : sifat dan konsekuensi dari peristiwa tersebut dapat dipahami, tetapi
waktu kejadiannya tidak dapat diprediksi.
By way of example, consider the operation of a new computer software system in more detail. The
organization will install the new software in anticipation of gaining efficiency and greater
functionality. The decision to install new software and the choice of the software involves opportunity
risks. The installation will require a project, and certain risks will be involved in that. The risks
associated with the project are control risks. After the new software has been installed, it will be
exposed to hazard risks. It may not deliver all of the functionality required and the software may be
exposed to various risks and virus infection. These are the hazard risks associated with this new
software system.
Sebagai contoh, pertimbangkan pengoperasian sistem perangkat lunak komputer baru secara lebih
rinci. Organisasi akan menginstal perangkat lunak baru untuk mengantisipasi peningkatan efisiensi
dan fungsionalitas yang lebih besar. Keputusan untuk menginstal perangkat lunak baru dan pilihan
perangkat lunak melibatkan risiko peluang. Instalasi akan membutuhkan sebuah proyek, dan risiko
tertentu akan terlibat di dalamnya. Risiko yang terkait dengan proyek tersebut adalah risiko kontrol.
Setelah perangkat lunak baru diinstal, perangkat lunak tersebut akan terpapar pada risiko bahaya.
Perangkat lunak tersebut mungkin tidak memberikan semua fungsionalitas yang diperlukan dan
perangkat lunak tersebut mungkin terpapar berbagai risiko dan infeksi virus. Ini adalah risiko bahaya
yang terkait dengan sistem perangkat lunak baru ini.
Contoh : instalasi perangkat lunak baru
 Risiko peluang : meningkatkan efisiensi dan fungsionalitas yang lebih besar
 Risiko kontrol : instalasi membutuhkan sebuah proyek dan risiko tertentu ada didalamnya
 Risiko bahaya : perangkat lunak terpapar risiko dan infeksi virus
An increasingly important consideration for organizations is what will be the trigger mechanism that
causes a risk to materialize. It may well be the case that the organization faces a number of serious
risks and many of these might be catastrophic if they were to materialize. The challenge for
management is then based on recognition of the circumstances in which one or more of the significant
risk events may be triggered. The question of what would trigger such an event requires as much
consideration as the source of the risk and the nature of the event if it was to happen. The box below
considers the event that triggered the failure of Northern Rock.
Pertimbangan yang semakin penting bagi organisasi adalah apa yang akan menjadi mekanisme
pemicu yang menyebabkan suatu risiko terwujud. Mungkin saja organisasi menghadapi sejumlah
risiko yang serius dan banyak di antaranya dapat menjadi bencana jika terjadi. Tantangan bagi
manajemen kemudian didasarkan pada pengenalan keadaan di mana satu atau lebih peristiwa risiko
yang signifikan dapat dipicu. Pertanyaan mengenai apa yang akan memicu kejadian tersebut
memerlukan pertimbangan yang sama besarnya dengan sumber risiko dan sifat dari kejadian tersebut
jika terjadi. Kotak di bawah ini membahas peristiwa yang memicu kegagalan Northern Rock.
Triggering major crises
In September 2007, Northern Rock – a bank formed by the conversion of the Northern Rock Building
Society to banking status in 1997 – found that the liquidity crisis resulted in customers queuing to
withdraw their savings. This was the first ‘run’ on a UK bank by its depositors for more than 150
years.
Pada bulan September 2007, Northern Rock - sebuah bank yang dibentuk oleh konversi Northern
Rock Building Society menjadi status perbankan pada tahun 1997 - mendapati bahwa krisis likuiditas
mengakibatkan nasabah mengantri untuk menarik tabungan mereka. Ini adalah 'pelarian' pertama yang
dilakukan oleh para deposan di Inggris selama lebih dari 150 tahun.
The immediate trigger for the crisis was the drying up of liquidity in the global institutional debt
markets – known as the ‘wholesale’ markets – following a rise in mortgage defaults in the United
States. These defaults were concentrated in ‘sub-prime’ mortgages – home loans to borrowers with a
poor credit quality.
Pemicu langsung dari krisis ini adalah mengeringnya likuiditas di pasar utang institusional global -
yang dikenal sebagai pasar 'wholesale' - menyusul meningkatnya gagal bayar hipotek di Amerika
Serikat. Kegagalan bayar ini terkonsentrasi pada hipotek 'sub-prime' - kredit rumah untuk peminjam
dengan kualitas kredit yang buruk.
Northern Rock had been building up its mortgage portfolio very rapidly. Simultaneously it was
becoming more and more reliant on the wholesale markets for finance, rather than personal savers.
With the drying up of liquidity in the wholesale markets, Northern Rock’s business model began to
unravel. All this happened despite the fact that there was no evidence that the credit quality of the
Northern Rock assets – its mortgages and loans – was in question.
Northern Rock telah membangun portofolio hipoteknya dengan sangat cepat. Pada saat yang sama,
Northern Rock menjadi semakin bergantung pada pasar grosir untuk pembiayaan, daripada penabung
pribadi. Dengan mengeringnya likuiditas di pasar grosir, model bisnis Northern Rock mulai terurai.
Semua ini terjadi meskipun tidak ada bukti bahwa kualitas kredit dari aset Northern Rock - hipotek
dan pinjamannya - dipertanyakan.

Four types of risk

Chapter 1 states that risks can be divided into four categories and definitions of these four types of
risk are also given in Appendix B. They are:
Bab 1 menyatakan bahwa risiko dapat dibagi menjadi empat kategori dan definisi dari keempat jenis
risiko ini juga diberikan di Lampiran B. Mereka adalah:

 compliance risks;
 hazard risks;
 control risks;
 opportunity risks.
A common language of risk is required throughout an organization if the contribution of risk
management is to be maximized. The use of a common language will also enable the organization to
develop an agreed perception of risk and attitude to risk. Part of developing this common language
and perception of risk is to agree a risk classification system or series of such systems.
Bahasa risiko yang sama diperlukan di seluruh organisasi jika kontribusi manajemen risiko ingin
dimaksimalkan. Penggunaan bahasa yang sama juga akan memungkinkan organisasi untuk
mengembangkan persepsi yang disepakati tentang risiko dan sikap terhadap risiko. Bagian dari
pengembangan bahasa umum dan persepsi risiko ini adalah dengan menyepakati sistem klasifikasi
risiko atau serangkaian sistem semacam itu.
For example, consider people reviewing their financial position and the risks they currently face
regarding finances. It may be that the key financial dependencies relate to achieving adequate income
and managing expenditure. The review should include an analysis of the risks to job security and
pension arrangements, as well as property ownership and other investments. This part of the analysis
will provide information on the risks to income and the nature of those risks (opportunity risks).
Sebagai contoh, pertimbangkan orang-orang yang meninjau posisi keuangan mereka dan risiko yang
mereka hadapi saat ini terkait keuangan. Mungkin saja ketergantungan keuangan utama berhubungan
dengan pencapaian pendapatan yang memadai dan pengelolaan pengeluaran. Peninjauan ini harus
mencakup analisis risiko terhadap keamanan kerja dan pengaturan pensiun, serta kepemilikan properti
dan investasi lainnya. Bagian analisis ini akan memberikan informasi tentang risiko terhadap
pendapatan dan sifat risiko tersebut (risiko peluang).
As a practical example of the nature of compliance, hazard, control and opportunity risks, Table 3.1
considers the risks associated with owning a car. In this case, the compliance risks relate to the legal
obligations associated with owning and driving a car. The hazard risks relate to events that the owner
does not want to occur. Uncertainties are the costs that are known to be involved, but these may vary.
Finally, the opportunities are the benefits that car ownership offers.
Sebagai contoh praktis dari sifat risiko kepatuhan, bahaya, pengendalian dan peluang, Tabel 3.1
mempertimbangkan risiko yang terkait dengan kepemilikan mobil. Dalam hal ini, risiko kepatuhan
berkaitan dengan kewajiban hukum yang terkait dengan kepemilikan dan pengemudian mobil. Risiko
bahaya berkaitan dengan kejadian yang tidak diinginkan oleh pemiliknya. Ketidakpastian adalah
biaya yang diketahui akan terjadi, namun jumlahnya bisa bervariasi. Terakhir, peluang adalah manfaat
yang ditawarkan oleh kepemilikan mobil.

Risks associated with owning a car

Opportunities of owning a car (events you hope will happen, but could fail to occur)
1. You can travel more easily than depending on others
2. Enhanced job opportunities because you will be more mobile
3. Save money on other forms of public transport

1. Anda dapat bepergian dengan lebih mudah daripada bergantung pada orang lain
2. Meningkatkan peluang kerja karena Anda akan lebih mobile
3. Menghemat uang untuk bentuk transportasi umum lainnya
Uncertainties of owning a car (events that you know will happen, but impacts are variable)
 1. Cost of borrowing money to buy the car could change
2. Price of fuel (petrol or diesel) could go up or down
3. Maintenance, breakdown and repair costs will vary

1. Biaya peminjaman uang untuk membeli mobil bisa berubah

2. Harga bahan bakar (bensin atau solar) bisa naik atau turun
3. Biaya perawatan, kerusakan dan perbaikan akan bervariasi
Hazards of owning a car (events that you do not want to happen and that can only be negative)
1. You pay too much for the car or it is in poor condition
2. You are involved in a collision or road accident
3. The car gets stolen or vindictively damaged

1. Anda membayar terlalu mahal untuk mobil tersebut atau kondisinya buruk
2. Anda terlibat dalam tabrakan atau kecelakaan di jalan raya
3. Mobil dicuri atau dirusak karena balas dendam
Compliance requirements of owning a car (events that could result in regulatory enforcement)
1. Insufficient and/or inadequate third-party car insurance
2. Inattentive or aggressive driving results in traffic offence(s)
3. Tyres in poor condition and other maintenance obligations

1. Asuransi mobil pihak ketiga yang tidak mencukupi dan/atau tidak memadai
2. Mengemudi dengan lalai atau agresif yang mengakibatkan pelanggaran lalu lintas
3. Ban dalam kondisi buruk dan kewajiban pemeliharaan lainnya
Regarding expenditure, the review will consider spending patterns to determine whether cost cutting
is necessary (hazard risks). It will also consider leisure time activities, including holiday arrangements
and hobbies, and there will be some uncertainties regarding expenditure and the costs of these
activities (control risks).
Mengenai pengeluaran, tinjauan akan mempertimbangkan pola pengeluaran untuk menentukan
apakah pemotongan biaya diperlukan (risiko bahaya). Tinjauan ini juga akan mempertimbangkan
aktivitas waktu luang, termasuk pengaturan liburan dan hobi, dan akan ada beberapa ketidakpastian
terkait pengeluaran dan biaya aktivitas ini (risiko pengendalian).
Hazard risks are the risks that can only inhibit achievement of the corporate mission. Typically, these
are insurable-type risks or perils, and will include fire, storm, flood, injury and so on. The discipline
of risk management has strong origins in the control and mitigation of hazard risks. Normal efficient
operations may be disrupted by loss, damage, breakdown, theft and other threats associated with a
wide range of dependencies. Table 3.2 gives examples of disruption caused by people, premises,
processes and products (4Ps). These dependencies can also be sources of risk and the 4Ps can be
considered to be an example of a risk classification system.
Risiko bahaya adalah risiko yang hanya dapat menghambat pencapaian misi perusahaan. Biasanya, ini
adalah risiko atau bahaya yang dapat diasuransikan, dan akan mencakup kebakaran, badai, banjir,
cedera, dan sebagainya. Disiplin manajemen risiko memiliki asal-usul yang kuat dalam pengendalian
dan mitigasi risiko bahaya. Operasi normal yang efisien dapat terganggu oleh kehilangan, kerusakan,
kerusakan, pencurian, dan ancaman lain yang terkait dengan berbagai macam ketergantungan. Tabel
3.2 memberikan contoh gangguan yang disebabkan oleh orang, tempat, proses dan produk (4P).
Ketergantungan ini juga dapat menjadi sumber risiko dan 4P dapat dianggap sebagai contoh sistem
klasifikasi risiko.
Table 3.2 Categories of operational disruption
People

 Lack of people skills and/or resources

 Inappropriate behaviour by a senior manager
 Unexpected absence of key personnel
 Ill-health, accident or injury to people

 Kurangnya keterampilan dan/atau sumber daya manusia

 Perilaku yang tidak pantas dari seorang manajer senior
 Ketidakhadiran personel kunci yang tidak terduga
 Kesehatan yang buruk, kecelakaan atau cedera pada karyawan
Premises

 Inadequate, insufficient or denial of access to premises

 Damage to or contamination of premises
 Damage to and breakdown of physical assets
 Theft or loss of physical assets

 Tidak memadai, tidak mencukupi, atau penolakan akses ke lokasi

 Kerusakan atau kontaminasi tempat
 Kerusakan dan penghancuran aset fisik
 Pencurian atau kehilangan aset fisik
Processes

 Failure of IT hardware or software systems

 Disruption by hacker or computer virus
 Inadequate management of information
 Failure of communication or transport systems

 Kegagalan sistem perangkat keras atau perangkat lunak TI

 Gangguan oleh peretas atau virus komputer
 Manajemen informasi yang tidak memadai
 Kegagalan sistem komunikasi atau transportasi

Products

 Poor product or service quality

 Disruption caused by failure of supplier
 Delivery of defective goods or components
 Failure of outsourced services and facilities

 Kualitas produk atau layanan yang buruk

 Gangguan yang disebabkan oleh kegagalan pemasok
 Pengiriman barang atau komponen yang cacat
 Kegagalan layanan dan fasilitas yang dialihdayakan
Control risks are risks that cause doubt about the ability to achieve the organization’s mission.
Internal financial control protocols are a good example of a response to a control risk. If the control
protocols are removed, there is no way of being certain about what will happen. Control risks are the
most difficult type of risk to describe, but Chapter 31 on project risk management will assist with
understanding.
Risiko pengendalian adalah risiko yang menyebabkan keraguan tentang kemampuan untuk mencapai
misi organisasi. Protokol pengendalian keuangan internal adalah contoh yang baik untuk menanggapi
risiko pengendalian. Jika protokol pengendalian dihilangkan, tidak ada cara untuk memastikan apa
yang akan terjadi. Risiko pengendalian adalah jenis risiko yang paling sulit untuk dijelaskan, tetapi
Bab 31 tentang manajemen risiko proyek akan membantu pemahaman.
Control risks are associated with uncertainty, and examples include the potential for failure to achieve
legal compliance and losses caused by fraud. They are usually dependent on the successful
management of people and effective implementation of control protocols. Although most
organizations ensure that control risks are carefully managed, they may, nevertheless, remain
potentially significant.
Risiko pengendalian terkait dengan ketidakpastian, dan contohnya termasuk potensi kegagalan untuk
mencapai kepatuhan hukum dan kerugian yang disebabkan oleh penipuan. Risiko ini biasanya
bergantung pada keberhasilan pengelolaan sumber daya manusia dan penerapan protokol
pengendalian yang efektif. Meskipun sebagian besar organisasi memastikan bahwa risiko
pengendalian dikelola dengan hati-hati, risiko ini tetap berpotensi signifikan.
Opportunity risks are the risks that are (usually) deliberately sought or embraced by the organization.
These risks arise because the organization is seeking to enhance the achievement of the mission,
although they might inhibit the organization if the outcome is adverse. This is the most important type
of risk for the future long-term success of any organization.
Risiko peluang adalah risiko yang (biasanya) sengaja dicari atau diterima oleh organisasi. Risiko-
risiko ini muncul karena organisasi berusaha untuk meningkatkan pencapaian misi, meskipun risiko-
risiko ini dapat menghambat organisasi jika hasilnya buruk. Ini adalah jenis risiko yang paling penting
bagi kesuksesan jangka panjang organisasi di masa depan.
Many organizations are willing to invest in high-risk business strategies in anticipation of a high
profit or return. These organizations may be considered to have a large appetite for opportunity
investment. Often, the same organization will have the opposite approach to hazard risks and have a
small hazard tolerance. This may be appropriate, because the attitude of the organization may be that
it does not want hazard-related risks consuming the resources of the organization when it is putting so
much value at risk investing in opportunities.
Banyak organisasi bersedia berinvestasi dalam strategi bisnis berisiko tinggi untuk mengantisipasi
keuntungan atau pengembalian yang tinggi. Organisasi-organisasi ini dapat dianggap memiliki selera
yang besar terhadap peluang investasi. Seringkali, organisasi yang sama akan memiliki pendekatan
yang berlawanan terhadap risiko bahaya dan memiliki toleransi bahaya yang kecil. Hal ini mungkin
tepat, karena sikap organisasi mungkin tidak ingin risiko terkait bahaya menghabiskan sumber daya
organisasi ketika organisasi tersebut menempatkan begitu banyak nilai pada investasi peluang.
As well as hazard, control and opportunity risks, the further category of compliance risks may require
separate consideration. For highly regulated industries, such as energy, finance, gambling and
transportation, compliance issues are very important. Because of the particular nature of compliance
risks, they are often considered a separate category of risk and they are often managed or minimized
differently. Many organizations will wish to ensure full compliance with all rules and regulations and
run zero risk in this category. This may be possible for compliance risks, but is almost certainly not
going to be the case for hazard, control and opportunity risks. Further consideration of compliance
risks is included in Chapter 19, as part of the discussion of strategic, tactical, operational and
compliance (STOC) risks.
Selain risiko bahaya, pengendalian dan peluang, kategori risiko kepatuhan yang lebih jauh mungkin
memerlukan pertimbangan terpisah. Untuk industri yang sangat diatur, seperti energi, keuangan,
perjudian, dan transportasi, masalah kepatuhan sangat penting. Karena sifat khusus dari risiko
kepatuhan, risiko ini sering dianggap sebagai kategori risiko yang terpisah dan sering kali dikelola
atau diminimalkan secara berbeda. Banyak organisasi yang ingin memastikan kepatuhan penuh
terhadap semua peraturan dan regulasi dan tidak memiliki risiko dalam kategori ini. Hal ini mungkin
saja dapat dilakukan untuk risiko kepatuhan, namun hampir pasti tidak akan terjadi pada risiko
bahaya, pengendalian dan peluang. Pertimbangan lebih lanjut mengenai risiko kepatuhan terdapat
dalam Bab 19, sebagai bagian dari pembahasan risiko strategis, taktis, operasional, dan kepatuhan
(STOC).

Embrace opportunity risks

Some risks are taken deliberately by organizations in order to achieve their mission. These risks are
often marketplace or commercial risks that have been taken in the expectation of achieving a positive
return. These opportunity risks can otherwise be referred to as commercial, speculative or business
risks. Opportunity risks are the type of risk with potential to enhance (although they can also inhibit)
the achievement of the mission of the organization. These risks are the ones associated with
embracing business opportunities.
Beberapa risiko diambil dengan sengaja oleh organisasi untuk mencapai misinya. Risiko-risiko ini
sering kali merupakan risiko pasar atau risiko komersial yang diambil dengan harapan untuk
mendapatkan hasil yang positif. Risiko peluang ini dapat juga disebut sebagai risiko komersial,
spekulatif, atau bisnis. Risiko peluang adalah jenis risiko yang berpotensi untuk meningkatkan
(meskipun juga dapat menghambat) pencapaian misi organisasi. Risiko-risiko ini adalah risiko yang
terkait dengan meraih peluang bisnis.
All organizations have some appetite for seizing opportunities and are willing to invest in them. There
will always be a desire for the organization to have effective and efficient operations, tactics and
strategy. Opportunity risks are normally associated with the development of new or amended
strategies, although opportunities can also arise from enhancing the efficiency of operations and
implementing change initiatives.
Semua organisasi memiliki keinginan untuk meraih peluang dan bersedia untuk berinvestasi di
dalamnya. Akan selalu ada keinginan bagi organisasi untuk memiliki operasi, taktik, dan strategi yang
efektif dan efisien. Risiko peluang biasanya terkait dengan pengembangan strategi baru atau
perubahan strategi, meskipun peluang juga dapat muncul dari peningkatan efisiensi operasi dan
penerapan inisiatif perubahan.
Every organization will need to decide what appetite it has for seizing new opportunities, and the level
of investment that is appropriate. For example, an organization may realize that there is a requirement
in the market for a new product that its expertise would allow it to develop and supply. However, if
the organization does not have the resources to develop the new product, it may be unable to
implement that strategy and it would be unwise for it to embark on such a potentially highrisk course
of action.
Setiap organisasi perlu memutuskan minat yang dimilikinya untuk meraih peluang baru, dan tingkat
investasi yang sesuai. Sebagai contoh, sebuah organisasi mungkin menyadari bahwa ada kebutuhan di
pasar akan produk baru yang memungkinkannya untuk mengembangkan dan memasok produk
tersebut. Namun, jika organisasi tidak memiliki sumber daya untuk mengembangkan produk baru
tersebut, maka organisasi mungkin tidak dapat menerapkan strategi tersebut dan tidak bijaksana jika
organisasi mengambil tindakan yang berpotensi berisiko tinggi.
It will be for the management of the company to decide whether they have an appetite for seizing the
perceived opportunity. Just because the organization has that appetite, it does not mean that it is the
correct thing to do. The board of the company should therefore be aware of the fact that, although
they may have an appetite for seizing the opportunity, the organization might not have the risk
capacity to support that course of action.
Manajemen perusahaanlah yang akan memutuskan apakah mereka memiliki keinginan untuk
memanfaatkan peluang yang ada. Hanya karena organisasi memiliki keinginan tersebut, bukan berarti
itu adalah hal yang benar untuk dilakukan. Oleh karena itu, dewan perusahaan harus menyadari fakta
bahwa, meskipun mereka mungkin memiliki keinginan untuk memanfaatkan peluang, organisasi
mungkin tidak memiliki kapasitas risiko untuk mendukung tindakan tersebut.
Opportunity management is the approach that seeks to maximize the benefits of taking entrepreneurial
risks. Organizations will have an appetite for investing in opportunity risks. There is a clear link
between opportunity management and strategic planning. The desire is to maximize the likelihood of
a significant positive outcome from investments in business opportunities.
Manajemen peluang adalah pendekatan yang berusaha memaksimalkan manfaat dari mengambil
risiko kewirausahaan. Organisasi akan memiliki keinginan untuk berinvestasi dalam risiko peluang.
Ada hubungan yang jelas antara manajemen peluang dan perencanaan strategis. Keinginannya adalah
untuk memaksimalkan kemungkinan hasil positif yang signifikan dari investasi dalam peluang bisnis.
The example below, related to personal lifestyle decisions, considers risk factors by classifying them
as controllable and uncontrollable. Although the example relates to personal health risk factors,
consideration of whether business risks are within the control of the organization or not is an
important component of successful business risk management.
Contoh di bawah ini, terkait dengan keputusan gaya hidup pribadi, mempertimbangkan faktor risiko
dengan mengklasifikasikannya sebagai faktor risiko yang dapat dikendalikan dan tidak dapat
dikendalikan. Meskipun contoh tersebut berkaitan dengan faktor risiko kesehatan pribadi,
pertimbangan apakah risiko bisnis berada dalam kendali organisasi atau tidak merupakan komponen
penting dalam manajemen risiko bisnis yang sukses.
Heart disease risk factors
Controllable risk factors for heart disease and stroke are those that can be changed through diet,
physical activity and no tobacco use. These risk factors are in contrast to those that are uncontrolled,
such as age, gender, race or genetic traits. Having one or more uncontrollable risk factors does not
mean a person will have a heart attack or stroke; however, with proper attention to those risk factors
that are controllable, one may reduce the impact of those risk factors that cannot be controlled or
changed.

Faktor risiko yang dapat dikendalikan untuk penyakit jantung dan stroke adalah faktor risiko yang
dapat diubah melalui diet, aktivitas fisik, dan tidak menggunakan tembakau. Faktor-faktor risiko ini
berbeda dengan faktor risiko yang tidak dapat dikontrol, seperti usia, jenis kelamin, ras, atau sifat
genetik. Memiliki satu atau lebih faktor risiko yang tidak dapat dikontrol tidak berarti seseorang akan
mengalami serangan jantung atau stroke; namun, dengan perhatian yang tepat terhadap faktor risiko
yang dapat dikontrol, seseorang dapat mengurangi dampak faktor risiko yang tidak dapat dikontrol
atau diubah.
Controllable risk factors for heart disease or stroke include high blood pressure, high blood
cholesterol, type-2 diabetes and obesity. Healthy lifestyle habits, such as developing good eating
habits, increasing physical activity and abstaining from tobacco use, are effective steps in both
preventing and improving the controllable risk factors.
Faktor risiko yang dapat dikontrol untuk penyakit jantung atau stroke termasuk tekanan darah tinggi,
kolesterol darah tinggi, diabetes tipe-2 dan obesitas. Kebiasaan gaya hidup sehat, seperti
mengembangkan kebiasaan makan yang baik, meningkatkan aktivitas fisik, dan tidak menggunakan
tembakau, merupakan langkah efektif untuk mencegah dan meningkatkan faktor risiko yang dapat
dikontrol.

Manage uncertainty risks

When undertaking projects and implementing change, an organization has to accept a level of
uncertainty. Uncertainty or control risks are an inevitable part of undertaking a project. A contingency
fund to allow for the unexpected will need to be part of a project budget, as well as contingent time
built into project schedules. When looking to develop appropriate responses to control risks, the
organization must make the necessary resources available to identify the controls, implement the
controls and respond to the consequences of any control risk materializing.
Ketika menjalankan proyek dan mengimplementasikan perubahan, sebuah organisasi harus menerima
tingkat ketidakpastian. Ketidakpastian atau risiko pengendalian merupakan bagian yang tidak dapat
dihindari dalam menjalankan sebuah proyek. Dana darurat untuk mengantisipasi hal-hal yang tidak
terduga perlu menjadi bagian dari anggaran proyek, begitu juga dengan waktu darurat yang
dimasukkan ke dalam jadwal proyek. Ketika ingin mengembangkan respons yang tepat untuk
mengendalikan risiko, organisasi harus menyediakan sumber daya yang diperlukan untuk
mengidentifikasi kontrol, mengimplementasikan kontrol, dan merespons konsekuensi dari risiko
kontrol yang terwujud.
The nature of control risks and the appropriate responses depend on the level of uncertainty and the
nature of the risk. Uncertainty represents a deviation from the required or expected outcome. When an
organization is undertaking a project, such as a process enhancement, the project has to be delivered
on time, within budget and to specification. Also, the enhancement has to deliver the benefits that
were required. Deviation from the anticipated benefits of a project represents uncertainties that can
only be accepted within a certain range.
Sifat risiko pengendalian dan tanggapan yang tepat tergantung pada tingkat ketidakpastian dan sifat
risiko. Ketidakpastian merupakan penyimpangan dari hasil yang diperlukan atau diharapkan. Ketika
sebuah organisasi menjalankan sebuah proyek, seperti peningkatan proses, proyek tersebut harus
diselesaikan tepat waktu, sesuai anggaran dan sesuai spesifikasi. Selain itu, peningkatan tersebut harus
memberikan manfaat yang dibutuhkan. Penyimpangan dari manfaat yang diantisipasi dari sebuah
proyek merupakan ketidakpastian yang hanya dapat diterima dalam rentang tertentu.
Control management is the basis of the approach to risk management adopted by internal auditors and
accountants. The risk management requirements of the UK corporate governance code (as at
September 2016) concentrate on internal control with little reference to risk assessment. Control
management is concerned with reducing the uncertainty associated with significant risks and reducing
the variability of outcomes.
Manajemen kontrol adalah dasar dari pendekatan manajemen risiko yang diadopsi oleh auditor
internal dan akuntan. Persyaratan manajemen risiko dalam kode tata kelola perusahaan Inggris (per
September 2016) berkonsentrasi pada pengendalian internal dengan sedikit referensi ke penilaian
risiko. Manajemen kontrol berkaitan dengan mengurangi ketidakpastian yang terkait dengan risiko
yang signifikan dan mengurangi variabilitas hasil.
There are dangers if the organization becomes too concerned with control management. The
organization should not become obsessed with control risks, because it is sometimes suggested that
over-focus on internal control and control management suppresses the entrepreneurial effort.
Ada bahaya jika organisasi menjadi terlalu peduli dengan manajemen kontrol. Organisasi tidak boleh
terobsesi dengan risiko pengendalian, karena terkadang ada anggapan bahwa fokus yang berlebihan
pada pengendalian internal dan manajemen pengendalian dapat menekan upaya kewirausahaan.

Mitigate hazard risks

As discussed in Chapters 1 and 2, organizations face exposure to a wide range of risks. These risks
will be hazard risks, control risks and opportunity risks. Organizations need to tolerate a hazard risk
exposure, accept exposure to control risks and invest in opportunity risks.
Seperti yang telah dibahas di Bab 1 dan 2, organisasi menghadapi berbagai macam risiko. Risiko-
risiko tersebut adalah risiko bahaya, risiko pengendalian, dan risiko peluang. Organisasi perlu
menoleransi eksposur risiko bahaya, menerima eksposur risiko pengendalian, dan berinvestasi pada
risiko peluang.
Meminimalkan risiko kepatuhan, memitigasi risiko bahaya, mengelola risiko pengendalian, dan
menerima risko peluang.
In the case of health and safety risks, it is generally accepted that organizations should be intolerant of
these and should take all appropriate actions to eliminate them. In practice, this is not possible and
organizations will minimize safety risks to the lowest level that is cost-effective and in compliance
with the law.
Dalam hal risiko kesehatan dan keselamatan, secara umum diterima bahwa organisasi tidak boleh
toleran terhadap hal ini dan harus mengambil semua tindakan yang tepat untuk menghilangkannya.
Dalam praktiknya, hal ini tidak mungkin dilakukan dan organisasi akan meminimalkan risiko
keselamatan hingga ke tingkat terendah yang hemat biaya dan sesuai dengan hukum.
For example, an automatic braking system fitted to trains to stop them passing through red lights is
technically feasible. However, this may represent an unreasonable investment for the train operating
company. The consequences of trains going through red lights may be regarded as the risk exposure
or hazard tolerance of the organization but the cost of introducing the automatic braking system may
be considered to be prohibitively high.
Sebagai contoh, sistem pengereman otomatis yang dipasang pada kereta api untuk menghentikan
mereka melewati lampu merah secara teknis dapat dilakukan. Namun, hal ini mungkin merupakan
investasi yang tidak masuk akal bagi perusahaan operator kereta. Konsekuensi dari kereta yang
menerobos lampu merah dapat dianggap sebagai paparan risiko atau toleransi bahaya dari organisasi,
tetapi biaya untuk memperkenalkan sistem pengereman otomatis dapat dianggap sangat tinggi.
A less emotive example is related to theft. Most organizations will suffer a low level of petty theft and
this may be tolerable. For example, businesses based in an office environment will suffer some theft
of stationery, including paper, envelopes and pens. The cost of eliminating this petty theft may be
very large and so it becomes costeffective for the organization to accept that these losses will occur.
The approach to theft in shops may be very different in different retail sectors, as illustrated by the
example below.
Contoh yang tidak terlalu emosional terkait dengan pencurian. Sebagian besar organisasi akan
mengalami pencurian kecil-kecilan dan hal ini masih bisa ditoleransi. Sebagai contoh, bisnis yang
berbasis di lingkungan perkantoran akan mengalami pencurian alat tulis, termasuk kertas, amplop, dan
pena. Biaya untuk menghilangkan pencurian kecil ini mungkin sangat besar sehingga menjadi efektif
bagi organisasi untuk menerima bahwa kerugian ini akan terjadi. Pendekatan terhadap pencurian di
toko-toko mungkin sangat berbeda di berbagai sektor ritel, seperti yang diilustrasikan oleh contoh di
bawah ini.
Shop security standards
An example can be seen in the operation of a security-conscious jewellery shop. Customers are
allowed into the shop one at a time. They are recorded on CCTV as they wait to enter. Items are held
securely, and customers are invited to ask to see specific items under the suspicious gaze of the shop
assistants. Of course, some customers are put off, but equally the shops suffer negligible rates of
shoplifting.
Contohnya dapat dilihat pada pengoperasian toko perhiasan yang sadar akan keamanan. Pelanggan
diizinkan masuk ke toko satu per satu. Mereka direkam di CCTV saat mereka menunggu untuk
masuk. Barang-barang disimpan dengan aman, dan pelanggan dipersilakan untuk meminta melihat
barang tertentu di bawah tatapan curiga dari pelayan toko. Tentu saja, beberapa pelanggan akan
tertunda, tetapi toko-toko tersebut juga mengalami tingkat pengutilan yang dapat diabaikan.
Contrast this with a supermarket, where there are no barriers on entry and customers are allowed to
handle all of the items. There is CCTV monitoring the shops, and there are likely to be store
detectives patrolling – but the object of the security is to deter rather than to prevent shoplifting.
Shoplifting does occur, but at rates that are acceptable to the shop owners. Conversely, few potential
customers are put off visiting the shop because of the measures.
Bandingkan dengan supermarket, di mana tidak ada penghalang untuk masuk dan pelanggan diizinkan
untuk memegang semua barang. Ada CCTV yang memantau toko-toko, dan kemungkinan besar ada
detektif yang berpatroli di toko - tetapi tujuan dari keamanan ini adalah untuk menghalangi, bukan
untuk mencegah pengutilan. Pengutilan memang terjadi, tetapi pada tingkat yang dapat diterima oleh
pemilik toko. Sebaliknya, hanya sedikit calon pelanggan yang menunda mengunjungi toko karena
tindakan tersebut.
The range of hazard risks that can affect an organization needs to be identified. Hazard risks can result
in unplanned disruption for the organization. Disruptive events cause inefficiency and are to be
avoided, unless they are part of, for example, planned maintenance or testing of emergency
procedures. The desired state in relation to hazard risk management is that there should be no
unplanned disruption or inefficiency from any of the reasons shown in Table 3.2.
Berbagai risiko bahaya yang dapat mempengaruhi organisasi perlu diidentifikasi. Risiko bahaya dapat
mengakibatkan gangguan yang tidak direncanakan bagi organisasi. Peristiwa yang mengganggu
menyebabkan inefisiensi dan harus dihindari, kecuali jika hal tersebut merupakan bagian dari,
misalnya, pemeliharaan terencana atau pengujian prosedur darurat. Kondisi yang diinginkan dalam
kaitannya dengan manajemen risiko bahaya adalah bahwa tidak boleh ada gangguan yang tidak
direncanakan atau inefisiensi dari salah satu alasan yang ditunjukkan pada Tabel 3.2.
Table 3.2 provides a list of the events that can cause unplanned disruption or inefficiency. These
events are divided into several categories, such as people, premises, processes and products. For each
category of hazard risks, the organization needs to evaluate the types of incidents that could occur, the
sources of those incidents and their likely impact on normal efficient operations.
Tabel 3.2 memberikan daftar kejadian yang dapat menyebabkan gangguan atau inefisiensi yang tidak
direncanakan. Kejadian-kejadian ini dibagi ke dalam beberapa kategori, seperti orang, tempat, proses
dan produk. Untuk setiap kategori risiko bahaya, organisasi perlu mengevaluasi jenis-jenis insiden
yang dapat terjadi, sumber-sumber insiden tersebut dan kemungkinan dampaknya terhadap operasi
normal yang efisien.
Management of hazard risks involves analysis and management of three aspects of the hazard risk.
This is discussed in more detail in Chapters 16 and 23. In summary, the organization should look at
the necessary actions to prevent the loss occurring, limit the damage that the event could cause and
contain the cost of recovering from the event.
Manajemen risiko bahaya melibatkan analisis dan pengelolaan tiga aspek risiko bahaya. Hal ini
dibahas secara lebih rinci dalam Bab 16 dan 23. Secara ringkas, organisasi harus melihat tindakan
yang diperlukan untuk mencegah terjadinya kerugian, membatasi kerusakan yang dapat ditimbulkan
oleh kejadian tersebut dan menahan biaya pemulihan dari kejadian tersebut.
Hazard management is traditionally the approach adopted by the insurance world. Organizations will
have a tolerance of hazard risks. The approach should be based on reducing the likelihood and
magnitude/impact of hazard losses. Insurance represents the mechanism for limiting the financial cost
of losses. Also, some hazard risks will be associated with regulatory requirements and may be
considered to be compliance risks. Most organizations will seek to minimize compliance risks.
Manajemen bahaya secara tradisional merupakan pendekatan yang diadopsi oleh dunia asuransi.
Organisasi akan memiliki toleransi terhadap risiko bahaya. Pendekatan ini harus didasarkan pada
pengurangan kemungkinan dan besarnya/dampak kerugian akibat bahaya. Asuransi merupakan
mekanisme untuk membatasi biaya kerugian finansial. Selain itu, beberapa risiko bahaya akan terkait
dengan persyaratan peraturan dan dapat dianggap sebagai risiko kepatuhan. Sebagian besar organisasi
akan berusaha meminimalkan risiko kepatuhan.
When an organization considers the level of insurance that it will purchase, the hazard tolerance of the
organization needs to be fully analysed. Organizations may be willing to accept a certain number of
motor accidents as a financial cost that will be funded from the day-to-day profit and loss of the
organization. This will only be tolerable up to a certain level and the organization will need to
determine what level is acceptable. Insurance should then be purchased to cover losses that are likely
to exceed that level.
Ketika sebuah organisasi mempertimbangkan tingkat asuransi yang akan dibelinya, toleransi bahaya
dari organisasi tersebut harus dianalisis sepenuhnya. Organisasi mungkin bersedia menerima sejumlah
kecelakaan motor sebagai biaya keuangan yang akan didanai dari keuntungan dan kerugian organisasi
sehari-hari. Hal ini hanya dapat ditoleransi hingga tingkat tertentu dan organisasi perlu menentukan
tingkat yang dapat diterima. Asuransi kemudian harus dibeli untuk menutupi kerugian yang
kemungkinan akan melebihi tingkat tersebut.

Minimize compliance risks

All organizations will be aware of the wide range of compliance requirements that they have to fulfil.
These compliance requirements vary considerably between business sectors, and many sectors are
highly regulated with their own dedicated regulator for the industry or sector. For example,
organizations operating in the gambling or gaming industry have significant regulatory requirements
placed on them in most countries in the world. Failure to comply with regulatory requirements may
result in the ‘licence to operate’ being withdrawn by the regulator. If a regulator were to take this
extreme action, the organization could ultimately cease to exist.
Semua organisasi akan menyadari berbagai persyaratan kepatuhan yang harus mereka penuhi.
Persyaratan kepatuhan ini sangat bervariasi di antara sektor bisnis, dan banyak sektor yang sangat
diatur oleh regulator khusus untuk industri atau sektor tersebut. Misalnya, organisasi yang beroperasi
di industri perjudian atau permainan memiliki persyaratan peraturan yang signifikan yang dibebankan
pada mereka di sebagian besar negara di dunia. Kegagalan untuk mematuhi persyaratan regulasi dapat
mengakibatkan 'izin untuk beroperasi' ditarik oleh regulator. Jika regulator mengambil tindakan
ekstrem ini, organisasi tersebut pada akhirnya dapat lenyap.
All organizations that handle financial transactions are required to introduce procedures to reduce the
chances of money-laundering activities being undertaken. Banks and other organizations that handle
significant amounts of cash need to introduce money-laundering arrangements and, in many cases, a
dedicated money-laundering senior executive.
Semua organisasi yang menangani transaksi keuangan diharuskan untuk memperkenalkan prosedur
untuk mengurangi kemungkinan kegiatan pencucian uang dilakukan. Bank dan organisasi lain yang
menangani uang tunai dalam jumlah yang signifikan perlu memperkenalkan pengaturan pencucian
uang dan, dalam banyak kasus, eksekutif senior pencucian uang yang berdedikasi.
In the insurance industry, compliance issues are significant and can be complex. If an insurance policy
is issued in one country to protect the assets and/or cover the liabilities in other countries, compliance
issues present particular difficulties. Failure to comply with all obligations may result in insurance
claims not being paid or, in the extreme, being illegal in a particular country, if an unauthorized type
of insurance or illegal insurance policies have been issued.
Dalam industri asuransi, masalah kepatuhan merupakan hal yang signifikan dan dapat menjadi
kompleks. Jika polis asuransi diterbitkan di satu negara untuk melindungi aset dan/atau menutup
kewajiban di negara lain, masalah kepatuhan menimbulkan kesulitan tertentu. Kegagalan untuk
mematuhi semua kewajiban dapat mengakibatkan klaim asuransi tidak dibayarkan atau, secara
ekstrem, menjadi ilegal di negara tertentu, jika jenis asuransi yang tidak sah atau polis asuransi ilegal
telah diterbitkan.
For organizations that do not have regulators dedicated to that industry or business sector, there are
still a wide range of regulatory requirements that must be fulfilled. In particular, health and safety
requirements exist in most countries in the world, and these place obligations on organizations to
ensure the health, safety and welfare of employees and other persons who may be affected by their
work activities. Typically, these safety requirements apply not only to the place of work under the
direct control of the organization, but will extend to the health and safety of employees working in
other countries. Also, detailed road safety obligations will apply to organizations that own vehicles,
especially if they are engaged in the transportation of people or dangerous goods.
Untuk organisasi yang tidak memiliki regulator yang didedikasikan untuk industri atau sektor bisnis
tersebut, masih ada berbagai persyaratan peraturan yang harus dipenuhi. Secara khusus, persyaratan
kesehatan dan keselamatan ada di sebagian besar negara di dunia, dan hal ini membebankan
kewajiban kepada organisasi untuk memastikan kesehatan, keselamatan, dan kesejahteraan karyawan
serta orang lain yang mungkin terpengaruh oleh aktivitas kerja mereka. Biasanya, persyaratan
keselamatan ini tidak hanya berlaku di tempat kerja yang berada di bawah kendali langsung
organisasi, tetapi juga berlaku untuk kesehatan dan keselamatan karyawan yang bekerja di negara
lain. Selain itu, kewajiban keselamatan jalan raya yang terperinci akan berlaku untuk organisasi yang
memiliki kendaraan, terutama jika mereka terlibat dalam pengangkutan orang atau barang berbahaya.
Generally speaking, organizations will work towards ensuring full compliance with all applicable
rules and regulations and, thereby, minimize the compliance risks. In many cases, dedicated teams of
specialist risk professionals will be employed and this is particularly the case in relation to health and
safety, money-laundering and security arrangements. It is important for organizations to recognize
their compliance risks and include consideration of these risks in their risk management activities. It is
also important to ensure that the various areas of risk management expertise within the company co-
operate with each other, so that an organized and/or coordinated approach to compliance is achieved.
Secara umum, organisasi akan bekerja untuk memastikan kepatuhan penuh terhadap semua peraturan
dan regulasi yang berlaku dan, dengan demikian, meminimalkan risiko kepatuhan. Dalam banyak
kasus, tim khusus yang terdiri dari para profesional risiko spesialis akan dipekerjakan dan hal ini
terutama terkait dengan pengaturan kesehatan dan keselamatan, pencucian uang, dan keamanan.
Penting bagi organisasi untuk mengenali risiko kepatuhan mereka dan memasukkan pertimbangan
risiko-risiko ini dalam kegiatan manajemen risiko mereka. Penting juga untuk memastikan bahwa
berbagai bidang keahlian manajemen risiko di dalam perusahaan bekerja sama satu sama lain,
sehingga pendekatan yang terorganisir dan/atau terkoordinasi terhadap kepatuhan dapat tercapai.