TKMR

Machine Translated by Google
Buku Oranye
Manajemen Risiko - Prinsip dan
Konsep
Oktober 2004
Buku Oranye
Manajemen Risiko - Prinsip dan
Konsep
Oktober 2004
© Hak cipta mahkota 2004
Diterbitkan dengan izin dari HM Treasury atas nama Controller of

Her Majesty's Stationery Office.
Teks dalam dokumen ini (tidak termasuk Lambang Kerajaan dan

logo departemen) dapat direproduksi secara gratis dalam format atau
media apa pun asalkan direproduksi secara akurat dan tidak
digunakan dalam konteks yang menyesatkan. Materi harus
diakui sebagai hak cipta Crown dan judul dokumen ditentukan.
Setiap pertanyaan yang berkaitan dengan hak cipta dalam

dokumen ini harus dikirim ke:
Divisi Perizinan
HMSO
Rumah St Clements
2-16 Kolega
Norwich
NR3 1BQ
Faks: 01603 723000
Email: license@cabinet-office.x.gsi.gov.uk
Kontak HM Treasury
Dokumen ini dapat diakses dari Departemen Keuangan

situs internet di:
www.hm-treasury.gov.uk
Untuk informasi lebih lanjut tentang Perbendaharaan dan pekerjaannya,

hubungi:
Unit Korespondensi dan Pertanyaan

Bendahara HM
1 Jalan Penjaga Kuda
London
SW1A 2HQ
Telp: 020 7270 4558
Faks: 020 7270 4861
E-mail: ceu.enquiries@hm-treasury.gov.uk
ISBN: 1-84532-044-1
ISI
Halaman
Kata pengantar Kata pengantar 7
Bab 1 Ringkasan 9
Bab 2 Model Manajemen Risiko 13
bagian 3 Mengidentifikasi Risiko 15
Bab 4 Menilai Risiko 19
Bab 5 Selera Risiko 23
Bab 6 Mengatasi risiko 27
Bab 7 Meninjau dan melaporkan risiko 31
Bab 8 Komunikasi dan pembelajaran 35
Bab 9 Perusahaan yang diperluas 37
Bab 10 Lingkungan Risiko dan konteks 39
Lampiran A Contoh pendokumentasian penilaian risiko 41
Lampiran B Asurans Keseluruhan pada Manajemen Risiko 43
Lampiran C Rangkuman Masalah Pemindaian Cakrawala 47
Lampiran D Glosarium Istilah Kunci 49
Oktober 2004 Buku Oranye 5

KATA PENGANTAR
Dalam beberapa tahun terakhir semua sektor ekonomi telah berfokus pada manajemen risiko sebagai kunci untuk
membuat organisasi sukses dalam mencapai tujuannya sambil melindungi kepentingan pemangku kepentingan mereka.
Risiko adalah ketidakpastian hasil, dan manajemen risiko yang baik memungkinkan organisasi untuk:
telah meningkatkan kepercayaan diri dalam mencapai hasil yang diinginkan;
secara efektif membatasi ancaman ke tingkat yang dapat diterima; Dan
mengambil keputusan berdasarkan informasi tentang mengeksploitasi peluang.
Manajemen risiko yang baik juga memungkinkan para pemangku kepentingan untuk meningkatkan kepercayaan pada
tata kelola perusahaan organisasi dan kemampuan untuk mewujudkannya.
Di pemerintah pusat sejumlah laporan, khususnya laporan Kantor Audit Nasional tahun 2000 “Mendukung inovasi –
mengelola risiko di departemen pemerintah” dan laporan Unit Strategi 2002 “Risiko – meningkatkan kapasitas
pemerintah untuk menangani risiko dan ketidakpastian”, telah mendorong maju manajemen risiko agenda dan
pengembangan Pernyataan tentang Pengendalian Internal.
Pada tahun 2001 Departemen Keuangan mengeluarkan “Manajemen Risiko – Tinjauan Strategis” yang dengan cepat
dikenal sebagai Buku Oranye. Publikasi tersebut memberikan pengantar dasar tentang konsep manajemen risiko yang
terbukti sangat populer sebagai sumber untuk mengembangkan dan menerapkan proses manajemen risiko di organisasi
pemerintah. Publikasi ini adalah penerus "Buku Oranye" tahun 2001. Ini terus memberikan panduan umum berbasis
luas tentang prinsip-prinsip manajemen risiko, tetapi telah ditingkatkan untuk mencerminkan pelajaran yang telah kita
pelajari tentang manajemen risiko melalui pengalaman beberapa tahun terakhir. Ini harus dibaca dan digunakan bersama
dengan saran relevan lainnya seperti "Buku Hijau" yang berisi saran khusus tentang "Penilaian dan Evaluasi di
Pemerintah Pusat", "Manajemen Risiko" Kantor Perdagangan Pemerintah yang memberikan panduan lebih rinci tentang
penerapan praktis dari prinsip dan konsep yang terkandung dalam publikasi ini, dan panduan yang diberikan oleh Tim
Pendukung Risiko Treasury sebagai bagian dari “Program Risiko”. Sedapat mungkin tautan dan referensi telah
disediakan untuk sumber daya tambahan yang mengeksplorasi konsep Buku Oranye secara lebih rinci.
Mungkin perubahan paling signifikan sejak penerbitan “Buku Oranye” tahun 2001 adalah bahwa semua organisasi
pemerintah sekarang memiliki proses manajemen risiko dasar. Ini berarti bahwa tantangan utama manajemen risiko
saat ini tidak terletak pada identifikasi awal dan analisis risiko serta pengembangan proses manajemen risiko, melainkan
pada peninjauan dan peningkatan manajemen risiko yang berkelanjutan. Panduan ini bertujuan untuk mencerminkan
bahwa – misalnya, panduan ini sekarang mencakup panduan tentang isu-isu seperti “pemindaian horizon” untuk
perubahan yang memengaruhi profil risiko organisasi. Ini juga berfokus pada proses internal untuk manajemen risiko
dan pertimbangan manajemen risiko organisasi dalam kaitannya dengan lingkungan yang lebih luas di mana ia berfungsi.

KATA PENGANTAR
Pedoman ini dimaksudkan agar bermanfaat bagi:
mereka yang baru mengenal manajemen risiko dan mereka yang ditugaskan untuk
memberikan pelatihan tentang manajemen risiko di organisasi mereka, keduanya akan
merasakan manfaatnya sebagai dokumen pengantar utama;
mereka yang berkepentingan dengan tinjauan pengaturan manajemen risiko (seperti

Komite Audit) sebagai sumber yang memberikan pernyataan komprehensif tentang
prinsip-prinsip yang dapat digunakan untuk mengevaluasi proses manajemen risiko
aktual;
staf senior yang kepemimpinannya sangat penting jika budaya yang tepat akan
dihasilkan di mana manajemen risiko dapat efektif;
staf tingkat operasional yang mengelola risiko sehari-hari dalam penyampaian tujuan
organisasi dan yang akan menganggapnya sebagai dukungan praktis dalam
manajemen risiko yang sebenarnya; Dan
mereka yang berpengalaman dalam manajemen risiko, untuk siapa panduan ini
mengeksplorasi konsep yang lebih sulit seperti selera risiko.
Ini akan sama bermanfaatnya apakah fokus minat pembaca adalah mengelola risiko pada tingkat
strategis, program, atau operasional.
Mary Keegan
Direktur Pelaksana, Direktorat Pengelolaan Keuangan Pemerintah
Bendahara HM
Oktober 2004
8 Buku Oranye Oktober 2004

1 RINGKASAN
1.1 Ini adalah masalah definisi bahwa organisasi ada untuk suatu tujuan - mungkin untuk memberikan
layanan, atau untuk mencapai hasil tertentu. Di sektor swasta, tujuan utama suatu organisasi umumnya
berkaitan dengan peningkatan nilai pemegang saham; di sektor pemerintah pusat tujuannya umumnya
berkaitan dengan penyampaian layanan atau dengan penyampaian hasil yang bermanfaat untuk
kepentingan umum. Apa pun tujuan organisasi itu, penyampaian tujuannya dikelilingi oleh ketidakpastian
yang menimbulkan ancaman terhadap kesuksesan dan menawarkan peluang untuk meningkatkan
kesuksesan.
1.2 Risiko didefinisikan sebagai ketidakpastian hasil, apakah peluang positif atau ancaman
negatif, tindakan dan peristiwa. Risiko harus dinilai sehubungan dengan kombinasi
kemungkinan terjadinya sesuatu, dan dampak yang timbul jika hal itu benar-benar terjadi.
Manajemen risiko termasuk mengidentifikasi dan menilai risiko (“risiko bawaan”) dan
kemudian menanggapinya.
1.3 Sumber daya yang tersedia untuk mengelola risiko terbatas sehingga tujuannya adalah
untuk mencapai respons optimal terhadap risiko, diprioritaskan sesuai dengan evaluasi risiko.
Risiko tidak dapat dihindari, dan setiap organisasi perlu mengambil tindakan untuk mengelola risiko dengan
cara yang dapat dibenarkan ke tingkat yang dapat ditoleransi. Jumlah risiko yang dinilai dapat ditoleransi
dan dibenarkan adalah “selera risiko”.
1.4 Tanggapan, yang diprakarsai dalam organisasi, terhadap risiko disebut “pengendalian
internal” dan dapat melibatkan satu atau lebih hal berikut:
menoleransi risiko;
memperlakukan risiko dengan cara yang tepat untuk membatasi risiko ke tingkat yang dapat
diterima atau secara aktif mengambil keuntungan, menganggap ketidakpastian sebagai
peluang untuk mendapatkan keuntungan;
mentransfer risiko;
menghentikan aktivitas yang menimbulkan risiko.
Dalam setiap kasus ini, masalah peluang yang muncul dari ketidakpastian harus dipertimbangkan.
Tingkat risiko yang tersisa setelah pengendalian internal dilaksanakan (“risiko residual”) adalah eksposur
sehubungan dengan risiko tersebut, dan harus dapat diterima dan dibenarkan – harus sesuai dengan
selera risiko.
1.5 Semua ini tidak terjadi dalam ruang hampa. Setiap organisasi berfungsi dalam lingkungan
yang mempengaruhi risiko yang dihadapi dan menyediakan konteks di mana risiko harus
dikelola. Selanjutnya, setiap organisasi memiliki mitra yang bergantung pada penyampaian
tujuannya apakah mereka hanya pemasok barang yang dibutuhkan organisasi atau mitra
langsung dalam penyampaian tujuan. Manajemen risiko yang efektif perlu memberikan
pertimbangan penuh pada konteks di mana organisasi berfungsi dan prioritas risiko
organisasi mitra.

1 RINGKASAN
1.6 Pengelolaan risiko pada level strategis, program dan operasional perlu dilakukan secara
terintegrasi agar level aktivitas saling mendukung. Dengan cara ini strategi manajemen risiko
organisasi akan dipimpin dari atas dan tertanam dalam rutinitas dan aktivitas kerja normal
organisasi. Semua staf harus menyadari relevansi risiko dengan pencapaian tujuan mereka dan
pelatihan untuk mendukung staf dalam manajemen risiko harus tersedia.
Hirarki risiko
Sumber: Laporan SU Risiko: meningkatkan kemampuan pemerintah untuk menangani risiko dan ketidakpastian, Nov 2002
1.7 Oleh karena itu, para manajer di setiap tingkatan perlu dilengkapi dengan keterampilan yang
sesuai yang akan memungkinkan mereka untuk mengelola risiko secara efektif dan organisasi
secara keseluruhan membutuhkan sarana untuk memastikan bahwa manajemen risiko diterapkan
dengan cara yang tepat di setiap tingkatan. Setiap organisasi harus memiliki strategi manajemen
risiko, yang dirancang untuk mencapai prinsip-prinsip yang ditetapkan dalam publikasi ini.
Penerapan strategi tersebut harus tertanam ke dalam sistem bisnis organisasi, termasuk proses
penetapan strategi dan kebijakan, untuk memastikan bahwa manajemen risiko merupakan bagian
intrinsik dari cara bisnis dijalankan.
1.8 Panduan ini bertujuan untuk memberikan pengantar tentang berbagai pertimbangan yang
berlaku dalam manajemen risiko, yang semuanya dapat diterapkan di berbagai tingkatan mulai dari
pengembangan kebijakan risiko strategis di seluruh organisasi hingga manajemen proyek atau
operasi tertentu . Itu dilakukan dengan menggunakan model manajemen risiko yang diatur di bagian
selanjutnya – setiap elemen model dieksplorasi lebih lanjut. Panduan ini pertama-tama berfokus
pada inti "siklus hidup" model, kemudian memberikan pertimbangan pada isu-isu berbasis lebih
luas yang membentuk lingkungan manajemen risiko secara keseluruhan. Penting untuk dicatat
bahwa panduan ini bukanlah instruksi manual terperinci tentang cara mengelola risiko – tujuannya
hanyalah untuk menarik perhatian pada berbagai masalah yang terlibat dan menawarkan beberapa
arahan umum untuk membantu pembaca berpikir tentang bagaimana masalah ini. dapat ditangani
dalam keadaan khusus dari organisasi mereka sendiri.

RINGKASAN 1
1.9 Tidak ada “standar” khusus yang ditetapkan untuk manajemen risiko di organisasi pemerintah.
Panduan ini menetapkan prinsip-prinsip manajemen risiko, dan “Risiko
Kerangka Penilaian Manajemen”1 menyediakan sarana untuk menilai kematangan manajemen
risiko. Organisasi dapat memilih untuk mengadopsi standar tertentu (misalnya, “Standar
Manajemen Risiko” yang dibuat bersama oleh IRM, ALARM dan AIRMIC2 di Inggris, atau standar
, CoSo4
Australia3 atau standar sektor pemerintah Kanada5 ). Yang lebih
, penting daripada kepatuhan
terhadap Standar tertentu adalah kemampuan untuk menunjukkan bahwa risiko dikelola dalam
organisasi tertentu, dalam keadaan khususnya, dengan cara yang secara efektif mendukung
pencapaian tujuannya.
1 http://www.hm-treasury.gov.uk/media//7B1D9/risk_management_assessment_070104.pdf
2
http://www.airmic.com
3
http://www.riskmanagement.com.au/
4
http://www.erm.coso.org/Coso/coserm.nsf/vwWebResources/PDF_Manuscript/$file/COSO_Manusc
ript.pdf
5 http://www.tbs-sct.gc.ca/pubs pol/dcgpubs/Risk Management/siglist e.asp

2 MODEL MANAJEMEN RISIKO _
Model Manajemen Risiko – dikembangkan dari model di Unit Strategi

Laporan Nopember 2002 : “Risiko – meningkatkan kemampuan pemerintah untuk menangani
risiko dan ketidakpastian”
Pemerintah Lainnya
peraturan
Hukum
&
Departemen
Pemerintah Meninjau
dan
melaporkan risiko
Komunikasi dan
Parlemen Komunikasi dan
Mengidentifikasi
risiko
Komunikasi dan
pembelajaran pembelajaran pembelajaran
Kapasitas Mengatasi
Mitra
risiko Organisasi
Disponsori /
Organisasi
yang Menilai
risiko
Harapan pemangku kepentingan
Itu
Ekonomi
Tata kelola perusahaan
Persyaratan
Catatan tentang model
Manajemen risiko bukanlah proses linier; melainkan keseimbangan dari sejumlah elemen yang terjalin yang
berinteraksi satu sama lain dan yang harus seimbang satu sama lain jika ingin manajemen risiko menjadi efektif.
Selain itu, risiko spesifik tidak dapat ditangani secara terpisah satu sama lain; pengelolaan satu risiko dapat
berdampak pada yang lain, atau tindakan manajemen yang efektif dalam mengendalikan lebih dari satu risiko
secara bersamaan dapat dicapai.
Seluruh model harus berfungsi dalam lingkungan di mana selera risiko telah ditetapkan. Konsep risk appetite
(berapa banyak risiko yang dapat ditoleransi dan dibenarkan) dapat dianggap sebagai “overlay” di seluruh model
ini.
Model yang disajikan di sini, dengan kebutuhan, membedah proses manajemen risiko inti menjadi elemen-elemen
untuk tujuan ilustrasi tetapi pada kenyataannya mereka menyatu. Selain itu, tahapan tertentu dalam proses yang
mungkin dihadapi seseorang untuk setiap risiko tertentu belum tentu sama untuk semua risiko.
Model tersebut mengilustrasikan bagaimana proses manajemen risiko inti tidak terisolasi, tetapi terjadi dalam
suatu konteks; dan, bagaimana input kunci tertentu harus diberikan ke keseluruhan proses untuk menghasilkan
output yang diinginkan dari manajemen risiko.

3 MENGIDENTIFIKASI RISIKO
3.1 Untuk mengelola risiko, organisasi perlu mengetahui risiko apa yang dihadapinya, dan
mengevaluasinya. Mengidentifikasi risiko merupakan langkah pertama dalam membangun profil risiko
organisasi. Tidak ada satu pun cara yang tepat untuk mendokumentasikan profil risiko organisasi,
tetapi dokumentasi sangat penting untuk manajemen risiko yang efektif.
3.2 Identifikasi risiko dapat dipisahkan menjadi dua tahap yang berbeda. Ada:
identifikasi risiko awal (untuk organisasi yang sebelumnya belum mengidentifikasi risikonya secara
terstruktur, atau untuk organisasi baru, atau mungkin untuk proyek atau aktivitas baru dalam suatu
organisasi), dan ada;
identifikasi risiko berkelanjutan yang diperlukan untuk mengidentifikasi risiko baru yang sebelumnya tidak
muncul, perubahan risiko yang ada, atau risiko yang ada tidak lagi relevan bagi organisasi (hal ini harus
menjadi elemen rutin dalam menjalankan bisnis).
3.3 Dalam kedua kasus, risiko harus terkait dengan tujuan. Risiko hanya dapat dinilai dan
diprioritaskan dalam kaitannya dengan tujuan (dan ini dapat dilakukan pada setiap tingkat
tujuan dari tujuan pribadi hingga tujuan organisasi). Kehati-hatian harus dilakukan untuk
mengidentifikasi risiko umum yang akan berdampak pada tujuan bisnis tetapi mungkin tidak
selalu langsung terlihat dalam memikirkan tujuan bisnis tertentu. Ketika risiko diidentifikasi
mungkin relevan dengan lebih dari satu tujuan organisasi, potensi dampaknya dapat
bervariasi dalam kaitannya dengan tujuan yang berbeda, dan cara terbaik untuk mengatasi
risiko mungkin berbeda dalam kaitannya dengan tujuan yang berbeda (walaupun juga
kemungkinan bahwa pengobatan tunggal dapat secara memadai mengatasi risiko dalam
kaitannya dengan lebih dari satu tujuan). Dalam menyatakan risiko, kehati-hatian harus
dilakukan untuk menghindari menyatakan dampak yang mungkin timbul sebagai risiko itu
sendiri, dan menghindari menyatakan risiko yang tidak berdampak pada tujuan; sama-sama
berhati-hati harus diambil untuk menghindari mendefinisikan risiko dengan pernyataan yang
hanya kebalikan dari tujuan. Pernyataan risiko harus mencakup penyebab dampak, dan
dampak terhadap tujuan (“penyebab dan akibat) yang mungkin timbul.
Tujuan – melakukan perjalanan dengan kereta api dari A ke B untuk rapat pada waktu tertentu
Kegagalan untuk mendapatkan dari A ke B tepat waktu untuk
X ini hanyalah kebalikan dari pertemuan tujuan
Terlambat dan melewatkan pertemuan

X Ini adalah pernyataan dampak risiko,
bukan resiko itu sendiri
Tidak ada prasmanan di kereta jadi saya lapar X ini tidak berdampak pada pencapaian
objektif
Ketinggalan kereta menyebabkan saya terlambat dan
Ini adalah risiko yang dapat dikendalikan dengan
ketinggalan rapat
memastikan saya memberikan banyak waktu untuk sampai
ke stasiun
Cuaca buruk mencegah kereta berjalan dan saya

Ini adalah risiko yang tidak bisa saya kendalikan, tapi
tidak bisa pergi ke pertemuan
terhadap mana saya dapat membuat rencana darurat

3 MENGIDENTIFIKASI RISIKO
3.4 Risiko individu yang diidentifikasi organisasi tidak akan independen satu sama lain; sebaliknya
mereka biasanya akan membentuk pengelompokan alami. Misalnya, mungkin ada sejumlah risiko
yang dapat dikelompokkan bersama sebagai “sumber daya” dan risiko lebih lanjut yang dapat
dikelompokkan bersama sebagai “lingkungan”. Beberapa risiko akan relevan dengan beberapa
tujuan organisasi. Pengelompokan risiko ini akan memasukkan risiko terkait pada tingkat strategis,
program, dan operasional (lihat 1.6). Penting untuk tidak mengacaukan pengelompokan risiko
dengan risiko itu sendiri. Risiko harus diidentifikasi pada tingkat di mana dampak spesifik dapat
diidentifikasi dan tindakan atau tindakan spesifik untuk mengatasi risiko dapat diidentifikasi. Semua
risiko, setelah teridentifikasi, harus diserahkan kepada pemilik yang memiliki tanggung jawab untuk
memastikan bahwa risiko tersebut dikelola dan dipantau dari waktu ke waktu. Seorang pemilik
risiko, sejalan dengan akuntabilitasnya dalam mengelola risiko, harus memiliki kewenangan yang
memadai untuk memastikan bahwa risiko tersebut dikelola secara efektif; pemilik risiko mungkin
bukan orang yang benar-benar mengambil tindakan untuk mengatasi risiko tersebut.
3.5 Penting untuk mengadopsi pendekatan atau alat yang tepat untuk mengidentifikasi risiko.
Dua pendekatan yang paling umum digunakan adalah:
Menugaskan tinjauan risiko: Tim yang ditunjuk dibentuk (baik di rumah atau dikontrak)
untuk mempertimbangkan semua operasi dan aktivitas organisasi dalam kaitannya
dengan tujuannya dan untuk mengidentifikasi risiko yang terkait.
Tim harus bekerja dengan melakukan serangkaian wawancara dengan staf kunci di
semua tingkatan organisasi untuk membangun profil risiko untuk seluruh rangkaian
kegiatan (namun penting bahwa penggunaan pendekatan ini tidak merusak
pemahaman manajemen lini tentang tanggung jawab mereka. untuk mengelola risiko
yang relevan dengan tujuannya);
Penilaian diri risiko: Suatu pendekatan di mana setiap tingkat dan bagian organisasi
diundang untuk meninjau aktivitasnya dan memberikan kontribusi diagnosis risiko
yang dihadapinya. Hal ini dapat dilakukan melalui pendekatan dokumentasi (dengan
kerangka diagnosis yang ditetapkan melalui kuesioner), tetapi seringkali lebih efektif
dilakukan melalui pendekatan lokakarya yang difasilitasi (dengan fasilitator dengan
keterampilan yang sesuai membantu kelompok staf untuk mengatasi risiko yang
memengaruhi tujuan mereka) . Kekuatan khusus dari pendekatan ini adalah bahwa
kepemilikan risiko yang lebih baik cenderung terbentuk ketika pemilik sendiri
mengidentifikasi risikonya.
3.6 Pendekatan-pendekatan ini tidak eksklusif satu sama lain, dan kombinasi pendekatan untuk
proses identifikasi risiko diinginkan – ini kadang memperlihatkan perbedaan yang signifikan dalam
persepsi risiko dalam organisasi. Perbedaan persepsi ini perlu diatasi untuk mencapai integrasi
manajemen risiko yang efektif di berbagai tingkatan organisasi.
3.7 Semakin baik di sektor publik dan swasta pentingnya melihat ke cakrawala dan mengelola
risiko yang akan datang sekarang diakui. Mungkin ada variasi yang cukup besar antar organisasi
dalam pendekatan mereka terhadap pemindaian cakrawala karena kebutuhan organisasi yang
berbeda. Ringkasan masalah pemindaian cakrawala, disediakan oleh Sekretariat Kontinjensi Sipil
Kantor Kabinet di Lampiran C.
3.8 Tabel berikut diambil dari tinjauan tahun 2004 (oleh Departemen Keuangan) tentang risiko
departemen utama dan menawarkan ringkasan kategori atau pengelompokan risiko yang paling
umum dengan contoh sifat sumber dan efek masalah; ini dimaksudkan untuk membantu organisasi
memeriksa apakah mereka telah mempertimbangkan berbagai potensi risiko yang mungkin timbul;
tabel tidak mengklaim lengkap - beberapa organisasi mungkin dapat mengidentifikasi kategori
risiko lain yang berlaku untuk pekerjaan mereka.

MENGIDENTIFIKASI RISIKO 3
KATEGORI RISIKO Ilustrasi / masalah untuk dipertimbangkan
1. Eksternal (muncul dari lingkungan eksternal, tidak sepenuhnya dalam kendali organisasi, tetapi dapat diambil tindakan untuk
mengurangi risiko)
[Analisis ini didasarkan pada model “PESTLE” – lihat Panduan Strategi Bertahan Hidup di www.strategy.gov.uk]
1.1 Politik Perubahan pemerintahan, keputusan kebijakan lintas sektoral (misalnya – Euro); mesin perubahan
pemerintah Kemampuan
1.2 Ekonomi untuk menarik dan mempertahankan staf di pasar tenaga kerja; nilai tukar mempengaruhi biaya transaksi
internasional; efek ekonomi global terhadap ekonomi Inggris Perubahan demografis
1.3 Sosial budaya memengaruhi permintaan akan layanan; ekspektasi pemangku kepentingan berubah Keusangan sistem
1.4 Teknologi saat ini; biaya pengadaan teknologi terbaik yang tersedia, peluang yang timbul dari pengembangan
teknologi Persyaratan / undang-undang UE yang memberlakukan
1.5 Hukum/peraturan persyaratan (seperti undang-undang Kesehatan dan Keselamatan atau ketenagakerjaan)
1.6 Lingkungan Bangunan harus mematuhi standar yang berubah; pembuangan sampah dan kelebihan peralatan
harus sesuai dengan standar yang berubah 2. Operasional
(terkait dengan operasi yang ada – baik pengiriman saat ini dan pembangunan serta pemeliharaan kapasitas dan kemampuan)
2.1 Pengiriman
2.1.1 Kegagalan layanan/produk Gagal memberikan layanan kepada pengguna sesuai ketentuan yang disepakati /
ditetapkan 2.1.2 Pengiriman Gagal memberikan tepat waktu/anggaran/spesifikasi
proyek 2.2 Kapasitas dan
kemampuan 2.2.1 Sumber daya Finansial (pendanaan tidak mencukupi, pengelolaan anggaran yang buruk, penipuan) SDM (kapasitas/
keterampilan staf/perekrutan dan retensi)
Informasi (kecukupan untuk pengambilan keputusan; perlindungan privasi)
Aset fisik (kehilangan/kerusakan/pencurian)
2.2.2 Hubungan Mitra penyampaian (ancaman terhadap komitmen hubungan / kejelasan peran)
Pelanggan / Pengguna Layanan (kepuasan dengan pengiriman)
Akuntabilitas (khususnya kepada Parlemen)
2.2.3 Operasi Keseluruhan kapasitas dan kemampuan untuk menyampaikan 2.2.4 Reputasi
Keyakinan dan kepercayaan yang dimiliki pemangku kepentingan dalam organisasi 2.3 Kinerja dan kemampuan
manajemen risiko 2.3.1 Tata Kelola Keteraturan dan kepatutan/

kepatuhan terhadap persyaratan relevan/pertimbangan etis
2.3.2 Pemindaian Kegagalan untuk mengidentifikasi ancaman dan

2.3.3 Ketahanan peluang Kapasitas sistem / akomodasi / TI untuk menahan dampak dan krisis yang merugikan (termasuk
perang dan serangan teroris). Pemulihan bencana / perencanaan darurat Aset fisik dan informasi
2.3.4 Keamanan
3. Perubahan (risiko yang ditimbulkan oleh keputusan untuk melakukan upaya baru di luar kemampuan saat ini)
3.1 Sasaran PSA Sasaran PSA baru menantang kapasitas organisasi untuk memberikan / kemampuan untuk melengkapi organisasi untuk
menyampaikan Program untuk
3.2 Mengubah program perubahan organisasi atau budaya mengancam kapasitas saat ini untuk menyampaikan serta
memberikan peluang untuk meningkatkan kapasitas Membuat keputusan
3.3 Proyek baru investasi yang optimal / memprioritaskan antara proyek yang bersaing untuk sumber daya
Keputusan kebijakan
3.4 Kebijakan baru menciptakan harapan di mana organisasi memiliki ketidakpastian tentang pengiriman

4 MENILAI RISIKO
4.1 Ada tiga prinsip penting untuk menilai risiko:
memastikan bahwa ada proses terstruktur yang jelas di mana

kemungkinan dan dampak dipertimbangkan untuk setiap risiko;
merekam penilaian risiko dengan cara yang memudahkan

pemantauan dan identifikasi prioritas risiko;
jelaskan tentang perbedaan antara, risiko bawaan dan risiko residual (lihat 1.2 dan
1.4).
4.2 Beberapa jenis risiko memberikan diagnosis numerik - khususnya risiko keuangan. Untuk risiko
lain - misalnya risiko reputasi - pandangan yang jauh lebih subjektif adalah semua yang mungkin.
Dalam pengertian ini penilaian risiko lebih merupakan seni daripada ilmu.
Akan tetapi, perlu dikembangkan beberapa kerangka kerja untuk menilai risiko. Penilaian harus
menarik sebanyak mungkin bukti independen yang tidak memihak, mempertimbangkan perspektif
seluruh jajaran pemangku kepentingan yang terkena dampak risiko, dan menghindari penilaian
risiko yang objektif yang membingungkan dengan penilaian tentang penerimaan risiko.
4.3 Penilaian ini perlu dilakukan dengan mengevaluasi baik kemungkinan terjadinya risiko, maupun
dampaknya jika risiko tersebut terwujud. Kategorisasi tinggi / sedang / rendah untuk masing-masing
mungkin cukup, dan harus menjadi tingkat kategorisasi minimum – ini menghasilkan matriks risiko
“3x3”. Skala analitik yang lebih rinci mungkin tepat, terutama jika evaluasi kuantitatif yang jelas dapat
diterapkan pada risiko tertentu - matriks “5x5” sering digunakan, dengan dampak pada skala “tidak
signifikan / kecil / sedang / besar / katastropik” dan kemungkinan pada skala “jarang / tidak mungkin /
mungkin / mungkin / hampir pasti”. Tidak ada standar mutlak untuk skala matriks risiko - organisasi
harus mencapai penilaian tentang tingkat analisis yang menurutnya paling praktis untuk keadaannya.
Warna (“Lampu Lalu Lintas”) dapat digunakan untuk lebih memperjelas pentingnya risiko.
Matriks risiko/tolerabilitas sederhana

4 MENILAI RISIKO
4.4 Ketika penilaian kemudian dibandingkan dengan selera risiko (lihat 4.5 di bawah), cakupan tindakan
yang diperlukan menjadi jelas. Yang penting bukanlah nilai mutlak dari penilaian risiko; melainkan apakah
risiko tersebut dianggap dapat ditoleransi atau tidak, atau seberapa jauh paparan dari tolerabilitas, yang
penting.
4.5 Pada tingkat organisasi selera risiko dapat menjadi rumit (lihat bagian 5 untuk detail lebih lanjut), tetapi
pada tingkat risiko spesifik lebih mungkin bahwa tingkat paparan yang dapat diterima dapat didefinisikan
sebagai dampak yang dapat ditoleransi jika risiko direalisasikan, dan frekuensi dampak yang dapat
ditoleransi. Terhadap hal ini risiko residual harus dibandingkan untuk memutuskan apakah tindakan lebih
lanjut diperlukan atau tidak. Tolerabilitas dapat diinformasikan oleh nilai aset yang hilang atau terbuang jika
terjadi dampak yang merugikan, persepsi pemangku kepentingan tentang dampak, keseimbangan biaya
pengendalian dan tingkat paparan, dan keseimbangan manfaat potensial yang diperoleh atau kerugian
untuk bertahan.
4.6 Pemikiran tentang risiko seringkali berfokus pada risiko residual (yaitu risiko setelah pengendalian
diterapkan yang, dengan asumsi pengendalian efektif, akan menjadi paparan aktual organisasi - lihat 1.4).
Risiko sisa, tentu saja, seringkali harus dinilai kembali – misalnya, jika kontrol disesuaikan. Penilaian risiko
residual yang diantisipasi diperlukan untuk evaluasi tindakan pengendalian yang diusulkan.
4.7 Kehati-hatian juga harus diambil untuk menangkap informasi tentang risiko bawaan . Jika ini tidak
dilakukan, organisasi tidak akan tahu apa yang akan terjadi jika pengendalian gagal. Pengetahuan tentang
risiko inheren juga memungkinkan pertimbangan yang lebih baik tentang apakah terdapat pengendalian
berlebihan – jika risiko inheren sesuai dengan selera risiko, sumber daya mungkin tidak perlu dikeluarkan
untuk mengendalikan risiko tersebut. Kebutuhan untuk memiliki pengetahuan tentang risiko inheren dan
residual berarti bahwa penilaian risiko merupakan tahapan dalam proses manajemen risiko yang tidak
dapat dipisahkan dari penanganan risiko; sejauh mana risiko perlu ditangani diinformasikan oleh risiko
yang melekat sedangkan kecukupan sarana yang dipilih untuk mengatasi risiko hanya dapat dipertimbangkan
ketika risiko sisa telah dinilai.
4.8 Penilaian risiko harus didokumentasikan dengan cara mencatat tahapan proses (contohnya adalah
Lampiran A). Mendokumentasikan penilaian risiko menciptakan profil risiko bagi organisasi yang:
memfasilitasi identifikasi prioritas risiko (khususnya untuk mengidentifikasi masalah risiko

paling signifikan yang harus menjadi perhatian manajemen senior);
menangkap alasan untuk keputusan yang dibuat tentang paparan yang dapat dan tidak dapat
ditoleransi;
memfasilitasi pencatatan cara diputuskan untuk mengatasi risiko;
memungkinkan semua pihak yang berkepentingan dengan manajemen risiko untuk melihat keseluruhan
profil risiko dan bagaimana bidang tanggung jawab khusus mereka sesuai dengannya;
memfasilitasi peninjauan dan pemantauan risiko.

MENILAI RISIKO 4
4.9 Setelah risiko dinilai, prioritas risiko untuk organisasi akan muncul. Semakin kurang
dapat diterima eksposur sehubungan dengan risiko, semakin tinggi prioritas yang harus
diberikan untuk mengatasinya. Risiko prioritas tertinggi (risiko utama) harus diberikan
perhatian secara teratur pada tingkat tertinggi organisasi, dan oleh karena itu harus
dipertimbangkan secara teratur oleh Dewan. Prioritas risiko spesifik akan berubah dari waktu
ke waktu karena risiko spesifik ditangani dan prioritas akibatnya berubah.

5 RISIKO NAFSU
5.1 Konsep “selera risiko” adalah kunci untuk mencapai manajemen risiko yang
efektif dan penting untuk mempertimbangkannya sebelum beralih ke
pertimbangan bagaimana risiko dapat ditangani. Konsep tersebut dapat dilihat
dengan cara yang berbeda tergantung pada apakah risiko (ketidakpastian)
yang dipertimbangkan merupakan ancaman atau peluang:
Saat mempertimbangkan ancaman, konsep risk appetite mencakup tingkat eksposur

yang dianggap dapat ditoleransi dan dapat dibenarkan jika direalisasikan.
Dalam pengertian ini adalah tentang membandingkan biaya (keuangan atau lainnya)
untuk membatasi risiko dengan biaya eksposur jika eksposur menjadi kenyataan
dan menemukan keseimbangan yang dapat diterima;
Saat mempertimbangkan peluang, konsep tersebut mencakup pertimbangan

tentang seberapa banyak seseorang siap untuk secara aktif mengambil risiko untuk
memperoleh manfaat dari peluang tersebut. Dalam pengertian ini adalah tentang
membandingkan nilai (keuangan atau lainnya) dari manfaat potensial dengan
kerugian yang mungkin timbul (beberapa kerugian mungkin terjadi dengan atau
tanpa menyadari manfaat).
Perlu dicatat bahwa beberapa risiko tidak dapat dihindari dan tidak dalam kemampuan organisasi
untuk sepenuhnya mengelolanya ke tingkat yang dapat ditoleransi – misalnya banyak
organisasi harus menerima bahwa ada risiko yang timbul dari aktivitas teroris yang tidak dapat
mereka kendalikan. Dalam kasus ini organisasi perlu membuat rencana darurat .
5.2 Dalam kedua kasus, selera risiko paling baik dinyatakan sebagai serangkaian batasan,
yang disahkan secara tepat oleh manajemen, yang memberikan panduan yang jelas kepada
setiap level organisasi tentang batasan risiko yang dapat mereka ambil, apakah pertimbangan
mereka merupakan ancaman dan biayanya. kontrol, atau peluang dan biaya untuk mencoba
mengeksploitasinya. Ini berarti selera risiko akan dinyatakan dalam istilah yang sama seperti
yang digunakan dalam menilai risiko. Selera risiko organisasi belum tentu statis; khususnya
Dewan akan memiliki kebebasan untuk memvariasikan jumlah risiko yang siap diambil
tergantung pada keadaan pada saat itu. Model di bawah ini menjelaskan konsep-konsep ini
secara lebih rinci:

5 RISIKO NAFSU
5.3 Konsep risk appetite dapat dianalisis lebih lanjut sebagai berikut:
Selera Risiko Korporat: Selera risiko korporat adalah jumlah keseluruhan risiko yang
dinilai sesuai untuk ditoleransi oleh organisasi, disetujui di tingkat dewan (huruf A dalam
model di 5.2). Ini mungkin bukan hanya satu pernyataan: OGC, misalnya, melihat 5 area
risiko utama (risiko kebijakan/panduan; risiko orang dan sistem internal; risiko kepatutan,
keteraturan, keuangan dan akuntabilitas; risiko reputasi; risiko eksternal) dan membuat
pernyataan pada selera risiko untuk masing-masing. Dewan dan manajer senior harus
menilai rentang paparan yang dapat ditoleransi untuk organisasi dan mengidentifikasi
batasan umum untuk risiko yang tidak dapat diterima (atau setidaknya untuk risiko yang
harus selalu dirujuk ke/ditingkatkan ke Dewan untuk didiskusikan dan diambil keputusan
ketika muncul). Dalam melakukan ini, Dewan mungkin ingin mempertimbangkan
pandangan Menteri tentang pengambilan risiko;
Selera Risiko yang Didelegasikan: Selera risiko korporat yang disepakati kemudian
dapat digunakan sebagai titik awal untuk menurunkan tingkat toleransi ke bawah
organisasi, menyepakati selera risiko di berbagai tingkat organisasi (huruf B dalam
model di atas pada 5.2). Efek dari hal ini adalah apa yang dianggap sebagai tingkat
risiko yang tinggi pada satu tingkat akan menjadi tingkat risiko yang lebih rendah pada
tingkat manajemen yang lebih tinggi. Hal ini memfasilitasi proses eskalasi risiko untuk
pengambilan keputusan risiko ketika batasan yang didelegasikan terpenuhi (lihat 5.4 di
bawah), dan memberdayakan orang untuk berinovasi dalam pendelegasian mereka;
Selera Risiko Proyek: Proyek yang berada di luar bisnis sehari-hari suatu organisasi
mungkin memerlukan pernyataan selera risiko mereka sendiri. Jenis proyek yang
berbeda mungkin juga memerlukan tingkat selera risiko yang berbeda, misalnya sebuah
organisasi mungkin siap menerima tingkat risiko yang lebih tinggi untuk sebuah proyek
yang akan menghasilkan imbalan yang substansial.
berbagai jenis proyek dapat berupa:
Spekulatif (serupa dengan kapitalisme ventura di sektor korporat): dengan risiko

tinggi tetapi potensi imbalannya tinggi, misalnya proyek Berinvestasi untuk
Menghemat Anggaran; Proyek percontohan. Mungkin sebagian besar dari
proyek ini tidak berhasil tetapi pelajaran penting dapat dipetik;
Proyek pengembangan standar: misalnya TI, pengadaan, konstruksi, dll.

(semakin dicakup oleh program Centers of Excellence OGC pada saat dokumen
ini diterbitkan);
Proyek kritis misi: di mana organisasi perlu memastikannya

kesuksesan.
Tingkat selera risiko jelas akan bervariasi, dengan proyek spekulatif yang disiapkan untuk mengambil
tingkat risiko yang lebih tinggi daripada proyek “Kritis Misi”.

Nafsu Risiko 5
5.4 Manajemen yang efektif dan penerapan selera risiko yang didelegasikan membutuhkan proses
eskalasi. Dimungkinkan untuk menetapkan 'titik pemicu' di mana risiko dapat ditingkatkan ke tingkat
manajemen berikutnya saat mendekati atau melebihi tingkat selera risiko yang disepakati (huruf C
dalam model di 5.2). Tingkat berikutnya dalam hirarki kemudian akan mengambil tindakan yang tepat,
yang mungkin berarti mengelola risiko secara langsung, atau bisa berarti menyesuaikan tingkat risiko
yang mereka senangi untuk dikelola oleh tingkat di bawahnya (huruf D dalam model di 5.2). Sering
juga terjadi bahwa tingkat manajemen yang lebih tinggi, dengan portofolio risiko yang lebih luas untuk
dikelola, memiliki lebih banyak ruang untuk menerima risiko yang lebih tinggi di area tertentu karena
mereka dapat mengimbanginya dengan risiko lain yang lebih rendah dalam portofolio mereka.
5.5 Penerapan lebih lanjut dari konsep risk appetite meliputi:
Alokasi sumber daya: Setelah tingkat selera risiko ditetapkan, dimungkinkan untuk
meninjau apakah sumber daya ditargetkan dengan tepat. Jika risiko tidak sesuai dengan
selera risiko yang disepakati, sumber daya dapat difokuskan untuk membawanya ke
dalam tingkat toleransi. Risiko yang sudah berada dalam tingkat toleransi yang
disepakati dapat ditinjau ulang untuk melihat apakah sumber daya dapat dipindahkan
ke area yang lebih berisiko tanpa efek negatif. Bea Cukai, Inland Revenue, Polisi dan
Dinas Pemadam Kebakaran semua menggunakan alokasi sumber daya berbasis risiko
untuk memprioritaskan alokasi sumber daya;
Inisiasi proyek: Saat mengambil keputusan apakah akan memulai proyek

baru, dan saat melakukan tinjauan OGC Gateway berikutnya, selera risiko
dapat digunakan sebagai panduan untuk melanjutkan proyek dan juga untuk
membantu mengidentifikasi dan mengelola risiko yang dapat menghambat
keberhasilan proyek.
Oktober 2004 Buku Jeruk 25

6 MENGATASI RISIKO
6.1 Tujuan penanganan risiko adalah mengubah ketidakpastian menjadi keuntungan

organisasi dengan membatasi ancaman dan memanfaatkan peluang. Setiap tindakan yang diambil
oleh organisasi untuk mengatasi risiko merupakan bagian dari apa yang dikenal sebagai “pengendalian
internal”. Ada lima aspek utama dalam menangani risiko:
MENTOLERIR
Paparan mungkin dapat ditoleransi tanpa tindakan lebih lanjut yang diambil. Bahkan jika tidak
dapat ditoleransi, kemampuan untuk melakukan apa pun terkait beberapa risiko mungkin terbatas,
atau biaya untuk mengambil tindakan apa pun mungkin tidak sebanding dengan potensi manfaat
yang diperoleh. Dalam kasus ini, tanggapannya mungkin adalah mentolerir tingkat risiko yang ada.
Pilihan ini tentu saja dapat dilengkapi dengan perencanaan kontinjensi untuk menangani dampak
yang akan timbul jika risiko tersebut disadari.
MENGOBATI Sejauh ini jumlah risiko yang lebih besar akan ditangani dengan cara ini. Tujuan perlakuan adalah bahwa
sementara melanjutkan dalam organisasi dengan aktivitas yang menimbulkan risiko, tindakan (pengendalian) diambil
membatasi risiko ke tingkat yang dapat diterima.
Kontrol tersebut dapat dibagi lagi sesuai dengan tujuan khususnya (lihat 6.2 di bawah)
TRANSFER
Untuk beberapa risiko, respons terbaik mungkin adalah mentransfernya. Ini bisa dilakukan dengan asuransi
konvensional, atau bisa juga dengan membayar pihak ketiga untuk mengambil risiko dengan cara lain. Opsi ini sangat
baik untuk mengurangi risiko keuangan atau risiko terhadap aset. Pengalihan risiko dapat dianggap baik untuk
mengurangi eksposur organisasi atau karena organisasi lain (yang mungkin merupakan organisasi pemerintah lain)
lebih mampu mengelola risiko secara efektif. Penting untuk dicatat bahwa beberapa risiko tidak (sepenuhnya) dapat
dialihkan – khususnya umumnya tidak mungkin untuk mengalihkan risiko reputasi meskipun pengiriman layanan
dikontrakkan. Hubungan dengan pihak ketiga yang menerima pengalihan risiko perlu dikelola dengan hati-hati untuk
memastikan transfer risiko berhasil (lihat bagian 10).
MENGAKHIRI
Beberapa risiko hanya dapat diobati, atau dapat ditahan hingga tingkat yang dapat diterima,
dengan menghentikan aktivitas. Perlu dicatat bahwa opsi penghentian kegiatan mungkin sangat
terbatas di pemerintahan jika dibandingkan dengan sektor swasta; sejumlah kegiatan dilakukan di
sektor pemerintah karena risiko yang terkait sangat besar sehingga tidak ada cara lain untuk
mencapai output atau hasil yang diperlukan untuk kepentingan publik. Pilihan ini dapat menjadi
sangat penting dalam manajemen proyek jika jelas bahwa hubungan biaya / manfaat yang
diproyeksikan berada dalam bahaya.

6 MENGATASI RISIKO
AMBIL KESEMPATAN
Pilihan ini bukanlah alternatif dari pilihan di atas; melainkan merupakan opsi yang harus
dipertimbangkan setiap kali menoleransi, mentransfer, atau menangani risiko. Ada dua aspek
untuk ini. Yang pertama adalah apakah pada saat yang sama mengurangi ancaman, muncul
peluang untuk memanfaatkan dampak positif. Misalnya, jika sejumlah besar dana modal akan
dipertaruhkan dalam sebuah proyek besar, apakah kontrol yang relevan dinilai cukup baik
untuk membenarkan peningkatan jumlah uang yang dipertaruhkan untuk mendapatkan
keuntungan yang lebih besar? Yang kedua adalah muncul atau tidaknya keadaan yang,
meskipun tidak menimbulkan ancaman, menawarkan peluang positif. Misalnya, penurunan
biaya barang atau jasa membebaskan sumber daya yang dapat digunakan kembali.
6.2 Pilihan “memperlakukan” dalam menangani risiko dapat dianalisis lebih lanjut menjadi empat
jenis pengendalian yang berbeda:
KONTROL PENCEGAHAN
Kontrol ini dirancang untuk membatasi kemungkinan terwujudnya hasil yang tidak diinginkan.
Semakin penting bahwa hasil yang tidak diinginkan tidak muncul, semakin penting untuk
menerapkan kontrol pencegahan yang tepat. Mayoritas kontrol yang diterapkan dalam
organisasi cenderung masuk dalam kategori ini. Contoh kontrol preventif termasuk pemisahan
tugas, dimana tidak ada orang yang memiliki wewenang untuk bertindak tanpa persetujuan
orang lain (seperti orang yang mengesahkan pembayaran tagihan yang terpisah dari orang
yang memesan barang mencegah satu orang mengamankan barang dengan biaya publik
untuk keuntungan mereka sendiri), atau pembatasan tindakan terhadap orang yang berwenang
(seperti hanya mereka yang terlatih dan berwenang yang diizinkan untuk menangani pertanyaan
media mencegah komentar yang tidak pantas diberikan kepada pers).
KONTROL KOREKTIF
Kontrol ini dirancang untuk memperbaiki hasil yang tidak diinginkan yang telah direalisasikan.
Mereka menyediakan rute jalan lain untuk mencapai beberapa pemulihan terhadap kerugian
atau kerusakan. Contohnya adalah desain persyaratan kontrak untuk memungkinkan pemulihan
kelebihan pembayaran. Asuransi juga dapat dianggap sebagai bentuk kontrol korektif karena
memfasilitasi pemulihan keuangan terhadap realisasi risiko. Perencanaan kontinjensi
merupakan elemen penting dari kontrol korektif karena merupakan cara organisasi
merencanakan kelangsungan / pemulihan bisnis setelah kejadian yang tidak dapat mereka
kendalikan.
PENGENDALIAN DIRECTIVE
Kontrol ini dirancang untuk memastikan bahwa hasil tertentu tercapai. Mereka sangat penting
ketika sangat penting bahwa peristiwa yang tidak diinginkan dihindari - biasanya terkait dengan
Kesehatan dan Keselamatan atau dengan keamanan. Contoh dari jenis kontrol ini adalah
memasukkan persyaratan bahwa pakaian pelindung harus dikenakan selama melakukan tugas
berbahaya, atau agar staf dilatih dengan keterampilan yang diperlukan sebelum diizinkan
bekerja tanpa pengawasan.

MENGATASI RISIKO 6
KONTROL DETEKTIF
Kontrol ini dirancang untuk mengidentifikasi kemungkinan terjadinya hasil yang tidak
diinginkan. Efeknya, menurut definisi, adalah “setelah kejadian” sehingga hanya
sesuai jika memungkinkan untuk menerima kerugian atau kerusakan yang terjadi.
Contoh kontrol detektif termasuk pemeriksaan stok atau aset (yang mendeteksi
apakah stok atau aset telah dihapus tanpa izin), rekonsiliasi (yang dapat mendeteksi
transaksi yang tidak sah), "Tinjauan Pasca Implementasi" yang mendeteksi pelajaran
yang dapat dipetik dari proyek untuk diterapkan di pekerjaan mendatang , dan
aktivitas pemantauan yang mendeteksi perubahan yang harus ditanggapi.
6.3 Dalam merancang pengendalian, penting agar pengendalian yang diterapkan sebanding dengan
risikonya. Terlepas dari hasil yang tidak diinginkan yang paling ekstrim (seperti hilangnya nyawa
manusia), biasanya cukup untuk merancang pengendalian untuk memberikan jaminan yang masuk
akal untuk membatasi kemungkinan kerugian dalam selera risiko organisasi. Setiap tindakan
pengendalian memiliki biaya yang terkait dan penting bahwa tindakan pengendalian menawarkan
nilai uang dalam kaitannya dengan risiko yang dikendalikannya. Secara umum tujuan pengendalian
adalah untuk membatasi risiko daripada menghilangkannya.

7 REVIEW DAN PELAPORAN RISIKO
7.1 Manajemen risiko harus ditinjau dan dilaporkan karena

dua alasan:
Memantau ada tidaknya perubahan profil risiko;
Untuk mendapatkan kepastian bahwa manajemen risiko efektif,

dan untuk mengidentifikasi kapan tindakan lebih lanjut diperlukan.
7.2 Proses harus dilakukan untuk meninjau apakah risiko masih ada, apakah risiko baru telah muncul,
apakah kemungkinan dan dampak risiko telah berubah, melaporkan perubahan signifikan yang
menyesuaikan prioritas risiko, dan memberikan jaminan atas efektivitas pengendalian. Selain itu,
keseluruhan proses manajemen risiko harus ditinjau secara berkala untuk memberikan jaminan bahwa
proses tersebut tetap sesuai dan efektif. Tinjauan risiko dan tinjauan proses manajemen risiko berbeda
satu sama lain dan tidak ada yang menggantikan yang lain. Proses peninjauan harus:
memastikan bahwa setidaknya semua aspek dari proses manajemen risiko ditinjau
sekali setahun;
memastikan bahwa risiko itu sendiri harus ditinjau dengan frekuensi yang sesuai (dengan
ketentuan yang tepat untuk tinjauan risiko oleh manajemen sendiri dan untuk tinjauan/audit
independen);
membuat ketentuan untuk menyiagakan tingkat manajemen yang tepat terhadap risiko
baru atau perubahan risiko yang sudah teridentifikasi sehingga perubahan tersebut dapat
ditangani dengan tepat.
7.3 Sejumlah alat dan teknik tersedia untuk membantu mencapai tinjauan
proses
Risk Self Assessment (RSA) adalah teknik yang sudah diacu dalam identifikasi risiko (lihat
3.5). Proses RSA juga berkontribusi pada proses peninjauan. Hasil RSA dilaporkan ke
dalam proses untuk mempertahankan profil risiko seluruh organisasi. (Proses ini terkadang
juga disebut sebagai CRSA – “Penilaian Mandiri Pengendalian dan Risiko”);
“Pelaporan Penatagunaan” mensyaratkan bahwa manajer yang ditunjuk di berbagai tingkat

organisasi melaporkan ke atas (biasanya setidaknya setiap tahun pada akhir tahun
keuangan, dan seringkali secara interim triwulanan atau setengah tahunan) atas pekerjaan
yang telah mereka lakukan untuk menjaga risiko dan prosedur pengendalian. up to date
dan sesuai dengan keadaan dalam area tanggung jawab khusus mereka.
Proses ini kompatibel dengan RSA; manajer dapat menggunakan RSA sebagai alat untuk
menginformasikan persiapan Laporan Penatagunaan mereka;
“Kerangka Penilaian Manajemen Risiko”, yang dibuat oleh Departemen Keuangan,

menyediakan alat untuk mengevaluasi kematangan manajemen risiko organisasi. Alat ini
sangat berguna dalam mempersiapkan “Statement on Internal Control” tahunan yang
merupakan pernyataan publik tentang
review sistem pengendalian internal1 .
1 Lihat Akuntansi Pemerintah, Bab 21 untuk detail lebih lanjut – www.government-accounting.gov.uk

7 REVIEW DAN PELAPORAN RISIKO
Selain perangkat formal tersebut, individu, kelompok kerja dan tim harus senantiasa
mempertimbangkan isu-isu risiko yang mereka hadapi dalam pekerjaan yang mereka lakukan.
7.4 Setiap organisasi pemerintah pusat wajib membuat ketentuan tentang Audit Internal. Pekerjaan
Audit Internal memberikan jaminan independen dan objektif yang penting tentang kecukupan
manajemen risiko, pengendalian dan tata kelola2 . Audit internal juga dapat digunakan oleh
manajemen sebagai konsultan internal ahli untuk membantu pengembangan proses manajemen
risiko strategis bagi organisasi. Ini akan memiliki pandangan luas dari seluruh rentang kegiatan
yang dilakukan organisasi, dan telah melakukan beberapa bentuk penilaian untuk menginformasikan
perencanaan sistem dan proses yang akan diaudit. Namun penting untuk dicatat Audit Internal
bukanlah pengganti kepemilikan risiko oleh manajemen atau pengganti sistem tinjauan tertanam
yang dilakukan oleh berbagai staf yang memiliki tanggung jawab eksekutif untuk pencapaian
tujuan organisasi (lihat “Standar Audit Internal Pemerintah” , HM Treasury, Oktober 2001 dan
panduan praktik baik terkait untuk detail lebih lanjut tentang masalah audit internal).
7.5 Banyak organisasi memiliki tim peninjau dan jaminan spesialis yang dibentuk untuk tujuan
tertentu (misalnya, Tim Inspeksi Akun, atau Tim Peninjau Kepatuhan). Pekerjaan mereka
berkontribusi pada jaminan yang tersedia tentang risiko dan sistem kontrol yang digunakan dalam
organisasi. Mekanisme jaminan “penatalayanan”, di mana manajer lini memberikan tanggung
jawab atas bidang tanggung jawab mereka, juga penting, terutama dalam organisasi dengan
struktur kendali yang sangat dilimpahkan.
7.6 Kecuali dalam keadaan yang jarang terjadi, setiap organisasi pemerintah akan memiliki Komite
Audit (dibentuk sebagai Komite Dewan, idealnya dengan keanggotaan non-eksekutif dan Diketuai
oleh non-eksekutif) yang bertugas mendukung Pejabat Akuntansi dalam tanggung jawab mereka
untuk masalah risiko, kontrol dan tata kelola dan asurans terkait (lihat “Buku Panduan Komite
Audit, HM Treasury, Oktober 2003 untuk detail lebih lanjut). Komite Audit harus diminta oleh
Accounting Officer/Board untuk:
mendapatkan kepastian bahwa risiko, dan perubahan risiko, sedang dipantau;
menerima berbagai jaminan yang tersedia tentang manajemen risiko dan secara
konsekuen menyampaikan pendapat menyeluruh tentang manajemen risiko;
mengomentari kesesuaian manajemen risiko dan proses penjaminan yang ada.
Namun perlu dicatat bahwa Komite Audit tidak boleh memiliki atau mengelola risiko itu sendiri
dan, seperti audit internal, bukan pengganti peran manajemen yang tepat dalam mengelola risiko.
2 “Definisi Audit Internal”, Standar Audit Internal Pemerintah, HM Treasury, Oktober 2001

REVIEW DAN PELAPORAN RISIKO 7

7.7 Beberapa organisasi dapat membentuk Komite Risiko. Dewan perlu memutuskan peran apa
yang ingin diberikan kepada Komite Risiko. Jika Komite Risiko dibentuk sebagai komite Dewan
dan (sebagian besar) non-eksekutif (yaitu – “ Komite Penjaminan Risiko ”), Komite dapat
menjalankan fungsi-fungsi yang diuraikan pada 7.6 di atas yang akan ditugaskan ke Komite Audit;
jika, bagaimanapun, Komite Risiko adalah forum bagi para manajer eksekutif yang memiliki
tanggung jawab signifikan atas kepemilikan dan pengelolaan risiko untuk bertemu bersama guna
berbagi pengalaman dan mengkoordinasikan tindakan manajemen risiko mereka (yaitu – “Komite
Manajemen Risiko ” yang melepaskan tanggung jawab eksekutif untuk memastikan bahwa risiko
dikelola secara efektif) Komite Audit harus mempertahankan peran asurans independen yang
ditentukan untuk itu. Opsi terakhir tidak menghalangi masukan non-eksekutif untuk pertimbangan
Komite Risiko.
7.8 Lampiran B menetapkan prinsip-prinsip dan elemen-elemen proses utama untuk memperoleh
dan memberikan penjaminan menyeluruh atas manajemen risiko dan memberikan gambaran
untuk proses penjaminan.

8 KOMUNIKASI DAN BELAJAR

8.1 Komunikasi dan pembelajaran bukanlah tahapan
tersendiri dalam pengelolaan risiko; melainkan sesuatu yang
berjalan melalui seluruh proses manajemen risiko. Ada
sejumlah aspek komunikasi dan pembelajaran yang harus
disorot.
8.2 Identifikasi risiko baru atau perubahan risiko itu sendiri bergantung pada komunikasi.
“Pemindaian cakrawala” (lihat 3.7 dan Lampiran C) khususnya bergantung pada pemeliharaan
jaringan komunikasi yang baik dengan kontak dan sumber informasi yang relevan untuk
memfasilitasi identifikasi perubahan yang akan memengaruhi profil risiko organisasi. Ini dapat
berkisar dari informasi tentang keamanan nasional yang dapat memengaruhi perencanaan
strategis organisasi pemerintah, melalui intelijen komersial tentang kelangsungan hidup organisasi
mitra atau kontraktor utama, hingga informasi tentang rencana yang dimiliki oleh satu organisasi
pemerintah yang dapat memengaruhi permintaan yang dibuat pada organisasi pemerintah lainnya.
8.3 Komunikasi dalam organisasi tentang masalah risiko adalah penting:
Penting untuk memastikan bahwa setiap orang memahami, dengan cara yang sesuai dengan
peran mereka, apa strategi risiko organisasi, apa prioritas risikonya, dan bagaimana tanggung
jawab khusus mereka dalam organisasi sesuai dengan kerangka itu. Jika ini tidak tercapai,
penerapan manajemen risiko yang tepat dan konsisten tidak akan tercapai dan prioritas risiko
mungkin tidak ditangani secara konsisten;
Ada kebutuhan untuk memastikan bahwa pelajaran yang dapat dialihkan dipelajari dan
dikomunikasikan kepada mereka yang dapat memperoleh manfaat darinya. Misalnya, jika salah
satu bagian dari organisasi menghadapi risiko baru dan merencanakan pengendalian yang
efektif untuk menghadapinya, pelajaran tersebut harus dikomunikasikan kepada semua orang
lain yang mungkin juga menghadapi risiko tersebut;
Terdapat kebutuhan untuk memastikan bahwa setiap tingkatan manajemen, termasuk Dewan,
secara aktif mencari dan menerima jaminan yang tepat dan teratur tentang pengelolaan risiko
dalam rentang kendali mereka. Mereka perlu diberi informasi yang cukup untuk memungkinkan
mereka merencanakan tindakan sehubungan dengan risiko di mana risiko residual tidak dapat
diterima, serta jaminan tentang risiko yang dianggap dapat diterima di bawah kendali. Serta
komunikasi rutin jaminan tersebut harus ada mekanisme untuk
meningkatnya isu-isu risiko penting yang tiba-tiba berkembang atau muncul.
8.4 Komunikasi dengan organisasi mitra tentang masalah risiko juga penting (lihat juga Bagian 9
– Perusahaan yang Diperluas), terutama jika organisasi bergantung pada organisasi lain tidak
hanya untuk kontrak tertentu tetapi untuk pengiriman langsung layanan atas nama organisasi .
Kesalahpahaman tentang prioritas risiko masing-masing dapat menyebabkan masalah serius –
khususnya yang menyebabkan tingkat pengendalian yang tidak tepat diterapkan pada risiko
tertentu, dan kegagalan untuk mendapatkan jaminan tentang apakah organisasi mitra telah
menerapkan manajemen risiko yang memadai untuk dirinya sendiri atau tidak dapat menyebabkan
ketergantungan pada pihak ketiga. pihak yang mungkin gagal menyampaikan dengan cara yang dapat diterima.

8 KOMUNIKASI DAN PEMBELAJARAN
8.5 Penting untuk berkomunikasi dengan para pemangku kepentingan tentang cara organisasi
mengelola risiko untuk memberi mereka jaminan bahwa organisasi akan memberikan cara yang
mereka harapkan, dan untuk mengelola harapan pemangku kepentingan tentang apa yang
sebenarnya dapat diberikan oleh organisasi. Hal ini sangat penting dalam kaitannya dengan risiko
yang mempengaruhi publik dan di mana publik bergantung pada pemerintah untuk menanggapi
risiko bagi mereka.

9 PERUSAHAAN YANG DIPERLUAS
9.1 Tidak ada organisasi yang sepenuhnya berdiri sendiri – ia

akan memiliki sejumlah ketergantungan dengan organisasi lain.
Saling ketergantungan ini kadang-kadang disebut
"perusahaan yang diperluas" dan akan berdampak pada
manajemen risiko organisasi, sehingga menimbulkan risiko
tambahan tertentu yang perlu dikelola. Pertimbangan ini harus mencakup
dampak tindakan organisasi terhadap organisasi lain. Bagian ini menyoroti beberapa
hubungan perusahaan yang diperluas dan implikasi manajemen risiko yang mungkin
timbul.
9.2 Banyak organisasi akan memiliki saling ketergantungan dengan organisasi Pemerintah
lainnya yang tidak memiliki hubungan kontrol langsung dengan mereka – penyampaian tujuan
mereka akan bergantung pada / berdampak pada penyampaian tujuan organisasi lain. Dalam
keadaan seperti ini, apa yang dilakukan satu organisasi akan berdampak langsung pada risiko
yang dihadapi organisasi lain, dan penghubung yang efektif antara kedua organisasi sangat
penting untuk memfasilitasi pendekatan manajemen risiko yang disetujui yang akan
memungkinkan keduanya mencapai tujuan mereka.
9.3 Banyak organisasi pemerintah akan memiliki hubungan dengan badan-badan yang mereka
“induk” atau yang memiliki peran “induk” atas mereka. Secara khusus, banyak departemen
kebijakan bergantung pada Badan Eksekutif atau Badan Publik Non-Departemen (NDPB)
untuk penyampaian kebijakan mereka, dan banyak Badan Eksekutif dan NDPB dibatasi dalam
kebijakan oleh departemen induknya. Dalam keadaan ini, prioritas risiko dari departemen
induk akan berdampak pada prioritas organisasi yang mereka sponsori, dan pengalaman
organisasi yang disponsori dalam mengelola risiko dalam penyampaian kebijakan perlu
dipertimbangkan oleh organisasi induk dalam pengembangan kebijakan lebih lanjut. . Diskusi
rutin dan terbuka tentang isu-isu risiko antara organisasi induk dan organisasi yang disponsori
sangat penting untuk penyampaian layanan publik yang efektif secara keseluruhan.
9.4 Mungkin semua organisasi pemerintah akan memiliki ketergantungan pada kontraktor
atau pihak ketiga lainnya, walaupun tingkat ketergantungan ini akan bervariasi. Hubungan ini
dapat berkisar dari pasokan langsung barang yang dibutuhkan organisasi untuk berfungsi,
hingga pengiriman layanan utama ke, atau atas nama, organisasi. Dalam beberapa kasus,
kontrak dengan pihak ketiga akan dibuat untuk secara sengaja mengalihkan risiko yang
berada dalam posisi yang lebih baik untuk dikelola oleh pihak ketiga (lihat 7.1).
Ini dapat mencakup Kemitraan Pemerintah Swasta atau layanan yang dikontrakkan
seperti pengiriman infrastruktur TI untuk organisasi. Masalah potensial tertentu di sini
adalah ketika organisasi memiliki ketergantungan yang tinggi pada kontraktor, tetapi
organisasi tersebut hanyalah klien kecil bagi kontraktor tersebut (misalnya, NDPB kecil
membeli perangkat lunak pesanan dari perusahaan konsultan TI besar). Penting bagi
organisasi untuk mempertimbangkan setiap hubungan signifikan mereka dengan
kontraktor dan pihak ketiga dan memastikan tercapainya komunikasi dan pemahaman
yang tepat tentang prioritas risiko masing-masing.
9.5 Apa pun sifat rinci dari hubungan risiko yang dimiliki organisasi dengan orang lain di
seluruh perusahaan yang diperluas, setiap hubungan juga akan menimbulkan kebutuhan akan
jaminan yang disediakan bahwa risiko dikelola dalam hubungan itu dengan tepat dan sesuai
rencana. Provisi untuk memperoleh jaminan tersebut merupakan bagian yang tidak terpisahkan
dari hubungan tersebut.

10 LINGKUNGAN RISIKO DAN KONTEKS
10.1 Di luar batas “perusahaan yang diperluas”, faktor-faktor lain

berkontribusi terhadap lingkungan di mana terdapat risiko
harus dikelola. Faktor-faktor ini (umumnya yang termasuk dalam
pengelompokan risiko "eksternal" dalam tabel di Bagian 3) dapat
menghasilkan risiko yang tidak dapat dikendalikan secara
langsung, atau dapat membatasi cara organisasi diizinkan untuk mengambil atau menangani risiko.
Seringkali satu-satunya tanggapan yang dapat dilakukan organisasi dalam kaitannya dengan
lingkungan risiko adalah menyiapkan rencana darurat. Misalnya, sebagian besar organisasi
pemerintah dengan kantor pusat di London tidak dapat secara langsung mengendalikan risiko
yang timbul dari terorisme internasional, tetapi mereka dapat membuat rencana darurat untuk
memastikan kelangsungan bisnis jika terjadi serangan teroris besar (lihat www.ukresilience.info/
lead. htm untuk informasi lebih lanjut). Penting bagi organisasi untuk mempertimbangkan
lingkungan risikonya yang lebih luas dan mengidentifikasi dampaknya terhadap strategi
manajemen risikonya.
10.2 Khususnya, undang-undang dan peraturan, dapat berdampak pada lingkungan risiko.
Penting bagi sebuah organisasi untuk mengidentifikasi cara-cara di mana undang-undang dan
peraturan menuntutnya, baik dengan mewajibkan organisasi untuk melakukan hal-hal tertentu
atau dengan membatasi tindakan yang diizinkan untuk diambil oleh organisasi. Misalnya, cara
organisasi menangani risiko kinerja staf yang tidak memadai dibatasi oleh undang-undang
ketenagakerjaan.
10.3 Perekonomian, baik secara domestik maupun internasional, merupakan elemen penting
lain dari lingkungan risiko. Sementara bagi sebagian besar organisasi ekonomi umum adalah
sesuatu yang diberikan, hal itu mempengaruhi pasar di mana mereka harus berfungsi dalam
memperoleh atau menyediakan barang dan jasa; khususnya ekonomi dapat berdampak pada
kemampuan organisasi untuk menarik dan mempertahankan staf dengan keterampilan yang
dibutuhkan organisasi.
10.4 Aspek tertentu dari lingkungan risiko yang penting bagi organisasi pemerintah adalah
Pemerintah itu sendiri. Pada prinsipnya, organisasi pemerintah ada untuk menyampaikan
kebijakan yang telah diputuskan oleh Pemerintah dan Menterinya. Ada untaian tertentu dari
manajemen risiko yang penting dalam memberikan saran kebijakan berbasis risiko kepada
Menteri. Namun demikian, pejabat di organisasi pemerintah mungkin dibatasi dalam risiko yang
mereka ambil atau tidak ambil dengan keputusan kebijakan.
10.5 Setiap organisasi juga dibatasi oleh ekspektasi pemangku kepentingan. Tindakan
manajemen risiko, yang tampak bernilai baik dan efektif secara abstrak, mungkin tidak dapat
diterima oleh pemangku kepentingan. Untuk organisasi pemerintah, hal ini sangat penting dalam
hubungannya dengan publik (lihat 7.5); tindakan yang akan efektif dalam menangani risiko
tertentu mungkin memiliki efek lain yang tidak ingin diterima oleh publik.

CONTOH PENDOKUMENTASIAN RISIKO

PENILAIAN
TUJUAN – Untuk melakukan perjalanan dari A ke B tepat waktu untuk pertemuan penting
Sifat yang permanen KONTROL Sisa TINDAKAN TARGET PEMILIK
penilaian DI TEMPAT penilaian BERENCANA TANGGAL
MEMPERTARUHKAN
Kemungkinan Dampak Dampak Kemungkinan
Ketinggalan kereta Tinggi Tinggi Tangkap kereta Tinggi Rendah Tidak lebih jauh Saya sendiri
membuat saya satu lebih awal dari tindakan yang direncanakan
terlambat yang sebenarnya saya
pertemuan butuhkan
penting
Berat Tinggi rendah Tidak bisa Tinggi Rendah Fasilitas Agustus SEBUAH
cuaca kontrol konferensi telepon Lainnya
menghalangi yang akan

kereta api dipasang sebagai a
berlari kemungkinan
Karya teknik Tinggi Sedang Cek untuk Sedang Rendah Tidak lebih jauh Saya sendiri
dibuat pekerjaan teknik tindakan yang direncanakan
kereta terlambat dan
mengatur
fleksibilitas dengan
orang yang saya
temui

B KESELURUHAN JAMINAN TERHADAP RISIKO

PENGELOLAAN
PRINSIP JAMINAN
1. Perencanaan untuk mendapatkan jaminan:
1.1 Strategi penjaminan – penjaminan menyeluruh hanya akan diperoleh jika rencana strategis
untuk memperolehnya dikembangkan;
1.2 Proses penjaminan – proses untuk memperoleh penjaminan harus disematkan ke dalam
proses yang ada.
2. Memperjelas ruang lingkup batasan jaminan:
Untuk mendapatkan opini menyeluruh, ruang lingkup proses yang diperlukan untuk memperoleh
jaminan harus mencakup seluruh siklus hidup manajemen risiko organisasi. Hal ini tidak berarti bahwa
setiap risiko dan setiap pengendalian harus direview untuk mendapatkan assurance. Namun, tinjauan
yang dilakukan harus menyediakan:
2.1 Kepastian pada Strategi Manajemen Risiko - Pastikan sejauh mana semua manajer lini
meninjau risiko / kontrol dalam lingkup tanggung jawab mereka; 2.2 Kepastian
pengelolaan
risiko/pengendalian - mencakup semua risiko utama dan cukup mencakup risiko lainnya untuk
mendukung kepercayaan terhadap keseluruhan opini yang dicapai;
2.3 Kepastian atas kecukupan proses tinjauan/penjaminan - kualitas terjamin untuk

menimbulkan kepercayaan dalam proses tinjauan.
3. Bukti:
Bukti pendukung asurans harus cukup ruang lingkup (2.2 di atas) dan bobot (4.2 di bawah) untuk
mendukung kesimpulan dan menjadi:
relevan;
dapat diandalkan;
dimengerti;
bebas dari salah saji material;
netral/bebas dari bias;
sedemikian rupa sehingga orang lain secara masuk akal akan sampai pada kesimpulan yang sama.

B JAMINAN KESELURUHAN PADA MANAJEMEN RISIKO
4. Evaluasi:
4.1 Tujuannya adalah untuk:
mengevaluasi kecukupan kebijakan dan strategi manajemen risiko untuk mencapai tujuannya;
mengevaluasi kecukupan proses manajemen risiko yang dirancang untuk membatasi risiko
residual terhadap selera risiko;
mengidentifikasi keterbatasan bukti yang diberikan atau dalam kedalaman atau ruang lingkup
tinjauan yang dilakukan;
mengidentifikasi kesenjangan dalam kendali dan/atau atas kendali, dan memberikan peluang
untuk perbaikan berkelanjutan; Dan
mendukung persiapan SIC.
4.2 Dalam mengevaluasi bukti untuk mencapai penilaian atau opini secara keseluruhan, semua kriteria bukti
pada 3 perlu dipertimbangkan. Namun penting untuk menyadari bahwa:
Tidak semua bukti memiliki bobot yang sama dalam memperoleh jaminan. Bukti harus diberi
bobot:
Menurut independensinya – semakin independen buktinya, semakin banyak ketergantungan

yang dapat diberikan padanya. Namun keadaan mungkin ada yang dapat mempengaruhi
keandalan informasi yang diperoleh, misalnya agar bukti eksternal yang independen dapat
diandalkan, sumber bukti juga harus memiliki pengetahuan;
Menurut relevansinya – dalam menentukan asurans keseluruhan, perlu dipastikan bahwa

bukti terkait dengan elemen-elemen siklus hidup manajemen risiko yang dianggap signifikan
– bukti yang relevan dengan risiko yang lebih signifikan sebagai konsekuensinya memiliki
relevansi yang lebih besar dengan asurans keseluruhan;
Bukti mungkin cacat baik dari segi kuantitas maupun kualitas di mana kriteria bukti tidak
terpenuhi, yang menyebabkan keterbatasan jaminan yang dapat diberikan. Misalnya,
hanya memperoleh lebih banyak bukti tidak akan mengimbangi kualitas bukti yang rendah
atau sumber bukti yang tidak dapat diandalkan.
5. Peninjauan dan Pelaporan:
5.1 Asurans dilaporkan dari berbagai sumber di dalam organisasi: dari sumber eksternal, dari
pemasok dan kontraktor, dari pihak ketiga, dari tinjauan internal manajemen dan praktisi ke
organisasi dan dari sumber independen atau netral internal, dll. Strategi Asurans perlu
menentukan tahapan di mana jaminan akan dievaluasi dan pendapat dilaporkan melalui
berbagai lapisan manajemen kepada Dewan.
5.2 Pendapat assurance perlu dilaporkan dengan jelas, dan disusun sedemikian rupa untuk
mengomunikasikan dengan jelas ruang lingkup dan kriteria yang digunakan untuk sampai
pada kesimpulan tersebut.

JAMINAN KESELURUHAN PADA MANAJEMEN RISIKO B

C RINGKASAN MASALAH PEMINDAIAN HORIZON
Disediakan
oleh Sekretariat Kontinjensi Sipil
Kantor Kabinet
Periodisitas / Keteraturan: pemindaian cakrawala dapat berkelanjutan (dalam organisasi

seperti Sekretariat Kontinjensi Sipil (CCS) yang terus mencari potensi tantangan yang
mengganggu di masa depan) atau berkala (misalnya mingguan atau tahunan);
Skala waktu: Pembuat kebijakan mungkin tertarik dengan perkembangan selama dua
puluh lima tahun ke depan sementara pemindaian cakrawala yang mendukung pengambilan
keputusan operasional mungkin dibatasi dalam jangka waktu enam bulan;
Cakupan: Beberapa organisasi mungkin cukup picik dalam proses identifikasi risiko
mereka jika mereka menganggap bahwa elemen utama risiko muncul dari dalam organisasi;
yang lain mungkin perlu mempertimbangkan cakupan yang lebih luas jika mereka
menganggap bahwa mereka mungkin menghadapi risiko dari lingkungan yang lebih luas.
Tergantung pada sifat bisnis organisasi, elemen identifikasi risiko ini dapat berkisar dari
aktivitas internal yang hampir eksklusif hingga aktivitas yang bergantung pada jaringan
informasi teknis internasional;
Peluang/ancaman: Beberapa pemindaian cakrawala terutama berkaitan dengan

menemukan potensi masalah, tetapi ini juga dapat digunakan untuk memindai peluang
(“risiko positif”), dan banyak masalah dapat diterjemahkan menjadi peluang jika terlihat
cukup awal;
Kekakuan / teknis: Pemindaian cakrawala bervariasi sejauh terstruktur dan didukung oleh
teknologi. Beberapa organisasi menggunakan skema penilaian yang canggih dan teknologi
pencarian informasi; organisasi lain akan mengandalkan hampir seluruhnya pada jaringan
kontak informal dan penilaian yang baik.
[lihat www.ukresilience.info/ home.htm untuk informasi lebih lanjut]

D DAFTAR ISTILAH KUNCI

Jaminan pendapat yang dievaluasi, berdasarkan bukti yang diperoleh
dari tinjauan, tentang tata kelola organisasi, manajemen risiko,
dan kerangka pengendalian internal.
Komite Audit sebuah Komite yang ditunjuk untuk mendukung Accounting

Officer (dalam NDPB sebuah Komite dewan untuk mendukung
Dewan) dalam memantau tata kelola perusahaan dan sistem
kontrol dalam organisasi.
Paparan konsekuensinya, sebagai kombinasi dari dampak dan

kemungkinan, yang mungkin dialami oleh organisasi jika risiko
tertentu terwujud.
Pemindaian Cakrawala aktivitas sistematis yang dirancang untuk mengidentifikasi,

sedini mungkin, indikator perubahan risiko.
Risiko bawaan eksposur yang timbul dari risiko spesifik sebelum diambil
tindakan apapun untuk mengelolanya.
Risiko Residu eksposur yang timbul dari suatu risiko spesifik setelah diambil
tindakan untuk mengelolanya dan membuat asumsi bahwa
tindakan tersebut efektif.
Mempertaruhkan
ketidakpastian hasil, apakah peluang positif atau ancaman
negatif, tindakan dan peristiwa. Ini adalah kombinasi
kemungkinan dan dampak, termasuk kepentingan yang
dirasakan.
Selera Risiko jumlah risiko yang siap diterima, ditoleransi, atau diekspos oleh
organisasi pada setiap titik waktu.
Tugas beresiko evaluasi risiko sehubungan dengan dampak jika risiko tersebut
terwujud dan kemungkinan terjadinya risiko tersebut.
Komite Penjamin Risiko sebuah Komite yang dibentuk untuk menjalankan peran tersebut
yang harus dilakukan oleh Komite Audit sehubungan
dengan jaminan atas manajemen risiko.
Manajemen risiko semua proses yang terlibat dalam mengidentifikasi, menilai dan
menilai risiko, menetapkan kepemilikan, mengambil tindakan
untuk mengurangi atau mengantisipasinya, serta memantau
dan meninjau kemajuan.
Komite Manajemen Risiko sebuah Komite yang dibentuk dengan otoritas eksekutif untuk
mengambil tindakan guna mengelola risiko yang dihadapi
organisasi.

D DAFTAR ISTILAH KUNCI
Strategi Risiko pendekatan organisasi secara keseluruhan untuk

manajemen risiko seperti yang didefinisikan oleh Pejabat
Akuntansi dan/atau Dewan. Ini harus didokumentasikan dan
mudah tersedia di seluruh organisasi.
Profil Risiko penilaian keseluruhan yang didokumentasikan dan

diprioritaskan dari berbagai risiko spesifik yang dihadapi
oleh organisasi.
Kontrol Internal setiap tindakan, yang berasal dari dalam organisasi,

diambil untuk mengelola risiko. Tindakan ini dapat
diambil untuk mengelola dampak jika risiko terwujud,
atau frekuensi realisasi risiko.


TKMR

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

TKMR

Diunggah oleh

Hak Cipta:

Format Tersedia

Machine Translated by Google

© Hak cipta mahkota 2004

Diterbitkan dengan izin dari HM Treasury atas nama Controller of

Teks dalam dokumen ini (tidak termasuk Lambang Kerajaan dan

Setiap pertanyaan yang berkaitan dengan hak cipta dalam

Faks: 01603 723000

Dokumen ini dapat diakses dari Departemen Keuangan

Untuk informasi lebih lanjut tentang Perbendaharaan dan pekerjaannya,

Unit Korespondensi dan Pertanyaan

Telp: 020 7270 4558

Faks: 020 7270 4861

Kata pengantar Kata pengantar 7

Bab 2 Model Manajemen Risiko 13

bagian 3 Mengidentifikasi Risiko 15

Bab 4 Menilai Risiko 19

Bab 5 Selera Risiko 23

Bab 6 Mengatasi risiko 27

Bab 7 Meninjau dan melaporkan risiko 31

Bab 8 Komunikasi dan pembelajaran 35

Bab 9 Perusahaan yang diperluas 37

Bab 10 Lingkungan Risiko dan konteks 39

Lampiran A Contoh pendokumentasian penilaian risiko 41

Lampiran B Asurans Keseluruhan pada Manajemen Risiko 43

Lampiran C Rangkuman Masalah Pemindaian Cakrawala 47

Lampiran D Glosarium Istilah Kunci 49

Oktober 2004 Buku Oranye 5

telah meningkatkan kepercayaan diri dalam mencapai hasil yang diinginkan;

secara efektif membatasi ancaman ke tingkat yang dapat diterima; Dan

mengambil keputusan berdasarkan informasi tentang mengeksploitasi peluang.

Oktober 2004 Buku Oranye 7

Pedoman ini dimaksudkan agar bermanfaat bagi:

mereka yang berkepentingan dengan tinjauan pengaturan manajemen risiko (seperti

Direktur Pelaksana, Direktorat Pengelolaan Keuangan Pemerintah

8 Buku Oranye Oktober 2004

menghentikan aktivitas yang menimbulkan risiko.

Oktober 2004 Buku Oranye 9

10 Buku Oranye Oktober 2004

Oktober 2004 Buku Oranye 11

2 MODEL MANAJEMEN RISIKO _

Model Manajemen Risiko – dikembangkan dari model di Unit Strategi

Harapan pemangku kepentingan

Catatan tentang model

Oktober 2004 Buku Oranye 13

Terlambat dan melewatkan pertemuan

Cuaca buruk mencegah kereta berjalan dan saya

Oktober 2004 Buku Oranye 15

16 Buku Oranye Oktober 2004

KATEGORI RISIKO Ilustrasi / masalah untuk dipertimbangkan

manajemen risiko 2.3.1 Tata Kelola Keteraturan dan kepatutan/

2.3.2 Pemindaian Kegagalan untuk mengidentifikasi ancaman dan

Oktober 2004 Buku Oranye 17

4.1 Ada tiga prinsip penting untuk menilai risiko:

memastikan bahwa ada proses terstruktur yang jelas di mana

merekam penilaian risiko dengan cara yang memudahkan

Matriks risiko/tolerabilitas sederhana

Oktober 2004 Buku Oranye 19

memfasilitasi identifikasi prioritas risiko (khususnya untuk mengidentifikasi masalah risiko

memfasilitasi pencatatan cara diputuskan untuk mengatasi risiko;

memfasilitasi peninjauan dan pemantauan risiko.

20 Buku Oranye Oktober 2004

Oktober 2004 Buku Oranye 21

Saat mempertimbangkan ancaman, konsep risk appetite mencakup tingkat eksposur

Saat mempertimbangkan peluang, konsep tersebut mencakup pertimbangan