Materi Pemahaman 31000 - INAEQAS

Pelatihan In House
Pemahaman SNI ISO/IEC 31000:2018
Perkumpulan Penyelenggara Pemantapan Mutu Eksternal Indonesia /

Indonesian External Quality Assurance Service (INAEQAS)
Jakarta, 19-20 Mei 2023
MATERI
Badan Standardisasi Nasional

2023
http://www.bsn.go.id
AGENDA PELATIHAN
Pemahaman SNI ISO 31000:2018
Waktu Materi Instruktur
Hari Pertama
08.00 – 08.30 Registrasi Peserta BSN
08.30 – 09.00 Pembukaan dan Pre-test BSN
09.00 – 10.00 Definisi dalam SNI ISO 31000:2018 BSN
10.00 – 10.15 Rehat Kopi
10.15 – 11.30 Definisi dalam SNI ISO 31000:2018 BSN
11.30 – 13.00 Istirahat Siang
13.00 – 14.30 Prinsip dalam SNI ISO 31000:2018 BSN
14.30 – 14.45 Rehat Kopi
14.45 – 16.00 Kerangka Kerja dalam SNI ISO 31000:2018 BSN
Hari Kedua
08.00 –10.00 Proses dalam SNI ISO 31000:2018 (1) BSN
10.00 – 10.15 Rehat Kopi
10.15 – 12.00 Proses dalam SNI ISO 31000:2018 (2) BSN
12.00 – 13.00 Istirahat Siang
13.00 – 14.30 Struktur Manajemen Risiko BSN
14.30 – 14.45 Rehat Kopi
14.45 – 15.30 Pengembangan Budaya Sadar Risiko BSN
15.30 – 16.00 Post-Test dan Penutupan BSN
Manajemen Risiko-Pedoman
PUSAT PENGEMBANGAN SDM SPK- BSN
DP.RIS.3 68/R0/2021
0 /108
Outline
A. Pendahuluan
(Peran SNI ISO 31000:2018 dalam Sistem Manajemen)
1. Ruang Lingkup
2. Acuan Normatif
3. Istilah & Definisi dalam SNI ISO 31000:2018
4. Prinsip
5. Kerangka Kerja
6. Proses
C. Three Lines Model
D. Good Corporate Governance
E. Pengembangan budaya sadar risiko
DP.RIS.3 68/R0/2021 1 /108

(Manajemen Risiko-Pedoman) Halaman 1
PENDAHULUAN
• Standar ini untuk digunakan oleh orang yang

menciptakan dan melindungi nilai di dalam organisasi
dengan mengelola risiko, mengambil keputusan,
menetapkan dan mencapai sasaran, serta meningkatkan
kinerja.
• Organisasi dari semua jenis dan ukuran menghadapi
faktor dan pengaruh eksternal dan internal yang
memberi ketidakpastian terhadap pencapaian sasaran.
• Pengelolaan risiko bersifat berulang dan membantu
organisasi dalam menetapkan strategi, mencapai
sasaran, dan membuat keputusan terinformasi.
DP.RIS.3 68/R0/2021 2 /108
• Pengelolaan risiko adalah bagian dari tata kelola dan

kepemimpinan, serta merupakan dasar pengelolaan
organisasi pada semua tingkat. Pengelolaan risiko
berkontribusi pada peningkatan sistem manajemen.
• Pengelolaan risiko adalah bagian dari semua aktivitas
yang berkaitan dengan organisasi dan mencakup
interaksi dengan pemangku kepentingan.
• Pengelolaan risiko mempertimbangkan konteks
eksternal dan internal organisasi, termasuk perilaku
manusia dan faktor budaya.
DP.RIS.3 68/R0/2021 3 /108

Prinsip, Kerangka Kerja, dan Proses
 Pengelolaan risiko didasarkan pada prinsip, kerangka kerja, dan proses yang
digariskan pada standar ini, seperti diilustrasikan pada gambar 1.
 Komponen tersebut mungkin sudah ada secara lengkap atau sebagian di dalam
organisasi, tetapi mungkin perlu disesuaikan atau ditingkatkan agar pengelolaan
risiko dapat efektif, efisien, dan konsisten.
Gambar 1. Prinsip, kerangka kerja, dan proses

(Sumber: SNI ISO 31000:2018)
DP.RIS.3 68/R0/2021 4 /108
SNI ISO Terkait
DP.RIS.3 68/R0/2021 5 /108

Sertifikasi Berbasis 31000
Sumber: IRMAPA, 2020
DP.RIS.3 68/R0/2021 6 /108
Penerapan dalam Sistem Manajemen
Sumber: CRMS, 2020
DP.RIS.3 68/R0/2021 7 /108

Keterkaitan
Keterkaitan antara prinsip manajemen risiko, kerangka kerja manajemen risiko,
dan proses manajemen risiko sebagai berikut:
• Prinsip-prinsip manajemen risiko adalah landasan paradigma untuk

melaksanakan secara efektif kerangka kerja dan proses manajemen risiko
di setiap tingkatan organisasi;
• Efektivitas kerangka kerja manajemen risiko sebagai fondasi dan tata

kerja integrasi proses manajemen risiko akan menentukan keberhasilan
proses manajemen risiko organisasi di seluruh tingkatan organisasi;
• Proses manajemen risiko haruslah menjadi bagian yang tidak

terpisahkan dari praktik bisnis, budaya organisasi, dan khas terhadap
kondisi dan proses organisasi tersebut.
DP.RIS.3 68/R0/2021 8 /108
1. RUANG LINGKUP
• Standar ini menyediakan pedoman untuk pengelolaan
risiko yang dihadapi oleh organisasi. Pengaplikasian
pedoman ini dapat disesuaikan untuk segala organisasi
dan konteksnya.
• Standar ini menyediakan pendekatan umum untuk
pengelolaan segala jenis risiko dan tidak spesifik untuk
industri atau sektor tertentu.
• Standar ini dapat digunakan sepanjang usia organisasi
dan dapat diterapkan pada segala aktivitas, termasuk
pengambilan keputusan pada semua tingkat.
DP.RIS.3 68/R0/2021 9 /108

2. ACUAN NORMATIF
Tidak ada acuan normatif dalam standar ini.
DP.RIS.3 68/R0/2021 10 /108
3. ISTILAH & DEFINISI (1)
3.1 Risiko: efek dari ketidakpastian pada sasaran
Efek adalah penyimpangan dari apa yang diharapkan. Efek

dapat positif, negatif, atau keduanya, dan dapat berkaitan
dengan, menciptakan, atau menghasilkan peluang dan
ancaman.
3.2 Manajemen Risiko
aktivitas terkoordinasi untuk mengarahkan dan mengendalikan

organisasi dalam kaitannya dengan risiko
DP.RIS.3 68/R0/2021 11 /108

Istilah & Definisi (2)
3.3 Pemangku Kepentingan
orang atau organisasi yang dapat memengaruhi, atau

dipengaruhi, atau menganggap dirinya dipengaruhi oleh
suatu keputusan atau aktivitas
3.4 Sumber Risiko
elemen yang secara mandiri atau dalam kombinasi memiliki

potensi untuk menimbulkan risiko
DP.RIS.3 68/R0/2021 12 /108
3.5 Peristiwa
kejadian atau perubahan suatu set dari kondisi
Suatu peristiwa dapat memiliki satu atau lebih kejadian, dapat memiliki
beberapa penyebab dan beberapa konsekuensi, dan dapat menjadi
sumber risiko
3.6 Konsekuensi
hasil keluaran suatu peristiwa
Suatu konsekuensi dapat pasti atau tidak pasti, serta dapat memiliki efek
positif atau negatif langsung atau tidak langsung terhadap sasaran.
DP.RIS.3 68/R0/2021 13 /108

3.7 Kemungkinan Kejadian

kemungkinan terjadinya sesuatu, baik didefinisikan, diukur,
atau ditentukan secara objektif maupun subjektif, kualitatif
maupun kuantitatif, dan dijelaskan menggunakan istilah umum
maupun matematis (seperti probabilitas atau frekuensi selama
periode waktu tertentu).
3.8 Pengendalian
tindakan yang memelihara dan/atau memodifikasi risiko
DP.RIS.3 68/R0/2021 14 /108
Kesimpulan Istilah & Definisi

Risiko umumnya dinyatakan dengan mengacu kepada sumber
risiko (risk sources), potensi peristiwa (potential event),
konsekuensi (consequences), dan kemungkinan-kejadian
(likelihood) .
Risiko timbul karena adanya sasaran
Penyebab risiko adalah ketidakpastian
Risiko memerlukan adanya kejelasan mengenai sasaran
Sasaran yang jelas harus memenuhi kriteria S M A R T
Penerapan manajemen risiko akan membantu organisasi untuk

memahami sasaran lebih baik
DP.RIS.3 68/R0/2021 15 /108

SMART
S M A R T
Specific Measurable Attainable Relevant Time-bound
What, How will we Can the Why are we When will we

exactly, is know we have goal be doing this? achieve this
it that we achieved it? achieved? Is it really what by?
want to How? we want?
achieve?
Sumber: https://absel-ojs-ttu.tdl.org/absel/index.php/absel/article/view/90/86
DP.RIS.3 68/R0/2021 16 /108
Contoh Sasaran SMART
Sumber: https://absel-ojs-ttu.tdl.org/absel/index.php/absel/article/view/90/86
DP.RIS.3 68/R0/2021 17 /108

4. PRINSIP
18
18/108
Prinsip (1)
 Tujuan manajemen risiko adalah untuk
menciptakan dan melindungi nilai,
meningkatkan kinerja, mendorong
inovasi, dan mendukung pencapaian
sasaran.
 Prinsip yang digambarkan pada gambar
2 memberikan panduan terhadap
karakteristik manajemen risiko yang
efektif dan efisien, mengomunikasikan
nilainya, serta menjelaskan maksud dan
tujuannya.
 Prinsip adalah fondasi pengelolaan
risiko dan sebaiknya dipertimbangkan
saat menyiapkan kerangka kerja dan
proses manajemen risiko.
 Prinsip ini sebaiknya memungkinkan Gambar 2. Prinsip
organisasi untuk mengelola efek (Sumber: SNI ISO 31000:2018)
ketidakpastian terhadap sasarannya.
DP.RIS.3 68/R0/2021 19 /108

Prinsip (2)
 Terintegrasi
Manajemen risiko (MR) adalah bagian integral dari semua aktivitas
organisasi.
Pertanyaan memastikan:
 Apakah penerapan MR sudah dianggap sebagai bagian dari
proses organisasi dan menjadi bagian yang tidak terpisahkan dari
tanggung jawabnya?
 Apakah penerapan MR sudah disesuaikan dan diintegrasikan
dengan praktik-praktik bisnis dan budaya organisasi (kebijakan MR,
perencanaan strategis, penganggaran dll)?
DP.RIS.3 68/R0/2021 20 /108
Prinsip (3)
 Terstruktur dan komprehensif

Pendekatan terstruktur dan komprehensif terhadap manajemen
risiko berkontribusi terhadap hasil yang konsisten dan
terstruktur.
 Apakah sistem pelaporan, komunikasi, konsultasi, dan eskalasi
pelaporan risiko telah terselenggara dengan baik?
 Apakah mekanisme tersebut telah membantu para pihak yang
bertanggung jawab untuk menanggapi dengan tepat waktu
dan juga dengan informasi yang cukup bila ditemukan potensi
risiko?
DP.RIS.3 68/R0/2021 21 /108

Prinsip (4)
 Disesuaikan
Kerangka kerja dan proses manajemen risiko disesuaikan dan
proporsional dengan konteks eksternal dan internal organisasi
yang berkaitan dengan sasarannya.
• Apakah kriteria risiko yang disusun telah sesuai dengan
sasaran organisasi dan konteks internal maupun eksternal
organisasi?
• Apakah metode dan teknik yang digunakan oleh pemilik risiko
telah sesuai dengan proses dan kebutuhannya?
DP.RIS.3 68/R0/2021 22 /108
Prinsip (5)
 Inklusif
Pelibatan yang sesuai dan tepat waktu dari pemangku
kepentingan memungkinkan pengetahuan, pandangan, dan
persepsi mereka untuk dipertimbangkan. Ini menghasilkan
peningkatan kesadaran dan manajemen risiko terinformasi.
 Bagaimana keterlibatan para pihak dalam proes pengambilan
keputusan di tiap tingkatan organisasi?
 Apakah informasi mengenai risiko telah tersampaikan kepada
para pihak yang mungkin terkena dampaknya?
DP.RIS.3 68/R0/2021 23 /108

Prinsip (6)
 Dinamis
Risiko dapat muncul, berubah, atau hilang seiring perubahan
konteks eksternal dan internal organisasi. Manajemen risiko
mengantisipasi, mendeteksi, mengakui, dan menanggapi
perubahan dan peristiwa tersebut secara sesuai dan tepat waktu.
• Apakah monitoring terhadap perubahan lingkungan internal
dan eksternal dilakukan secara berkala?
• Apakah perubahan yang terjadi diikuti dengan evaluasi dan
analisis dampaknya terhadap sasaran organisasi dan praktik
manajemen risiko organisasi?
DP.RIS.3 68/R0/2021 24 /108
Prinsip (7)
 Informasi terbaik yang tersedia

Masukan manajemen risiko didasarkan atas informasi historis dan
saat ini, dan juga harapan masa depan. Manajemen risiko secara
eksplisit memperhitungkan segala batasan dan ketidakpastian yang
berkaitan dengan informasi dan harapan tersebut. Informasi
sebaiknya tepat waktu, jelas, dan tersedia bagi pemangku
kepentingan yang relevan.
• Apakah upaya penyediaan data risiko sudah terselenggara
dengan baik?
• Apakah risk register dikelola dengan baik?
DP.RIS.3 68/R0/2021 25 /108

Prinsip (8)
 Faktor manusia dan budaya

Perilaku dan budaya manusia secara signifikan memengaruhi
semua aspek manajemen risiko pada semua tingkat dan tahap.
• Siapa saja yang bertanggung jawab untuk melaksanakan
proses MR di setiap tingkatan organisasi?
• Siapa saja yang bertanggung jawab untuk pengembangan,
penerapan, dan perawatan kerangka kerja MR?
DP.RIS.3 68/R0/2021 26 /108
Prinsip (9)
 Perbaikan berkelanjutan
Manajemen risiko diperbaiki secara berkelanjutan melalui pelajaran
dan pengalaman.
• Apakah terdapat review secara berkala untuk menentukan
bahwa kerangka kerja MR, kebijakan MR, dan perangkat
pengendalian risiko masih tetap efektif dan efisien?
• Seberapa jauh perubahan lingkungan mempengaruhi efektivitas
dan efisiensi MR yang digunakan dan perbaikan apa saja yang
telah dilakukan untuk memastikan efektivitas sistem MR yang
digunakan?
DP.RIS.3 68/R0/2021 27 /108

5. KERANGKA KERJA
28
28/108
5.1 Umum
 Tujuan kerangka kerja

manajemen risiko adalah
untuk membantu organisasi
dalam mengintegrasikan
manajemen risiko ke dalam
aktivitas dan fungsi
signifikan.
 Pengembangan kerangka
kerja meliputi integrasi,
desain, implementasi,
evaluasi, dan peningkatan
manajemen risiko di seluruh
organisasi.
 Gambar 3 mengilustrasikan
komponen kerangka kerja.
Gambar 3. Kerangka Kerja
DP.RIS.3 68/R0/2021 29 /108

5.2 Kepemimpinan & Komitmen (1)
Komitmen manajemen puncak (mengelola menejemen risiko)

dan badan pengawas (mengawasi manajemen risiko):
 Menyesuaikan dan mengimplementasikan semua komponen

kerangka kerja;
 Menerbitkan pernyataan atau kebijakan yang menetapkan
pendekatan, rencana, atau arah tindakan manajemen risiko;
 Memastikan sumber daya yang diperlukan dialokasikan untuk
pengelolaan risiko;
 Menetapkan kewenangan, tanggung jawab, dan akuntabilitas
pada tingkat yang diperlukan di dalam organisasi.
DP.RIS.3 68/R0/2021 30 /108

Ini akan membantu organisasi untuk:
 menyelaraskan manajemen risiko dengan sasaran, strategi, dan budaya;
 mengenali dan menangani semua kewajiban, termasuk komitmen
sukarela;
 menetapkan besaran dan jenis risiko yang dapat atau tidak dapat
diambil untuk memandu pengembangan kriteria risiko, memastikan
komunikasinya kepada organisasi dan pemangku kepentingan;
 mengomunikasikan nilai manajemen risiko kepada organisasi dan
pemangku kepentingan;
 mendorong pemantauan sistematis terhadap risiko;
 memastikan kerangka kerja manajemen risiko tetap sesuai
dengan konteks organisasi
DP.RIS.3 68/R0/2021 31 /108

Manajemen puncak memiliki akuntabilitas untuk mengelola

risiko, sedangkan badan pengawas memiliki akuntabilitas
untuk mengawasi manajemen risiko. Badan pengawas sering
diharapkan atau sebaiknya untuk:
memastikan risiko dipertimbangkan dengan memadai saat
penetapan sasaran organisasi;
memahami risiko yang dihadapi organisasi dalam mencapai
sasarannya;
memastikan sistem untuk mengelola risiko tersebut
diterapkan dan dijalankan dengan efektif;
memastikan sistem tersebut sesuai dengan konteks sasaran
organisasi;
memastikan informasi tentang risiko semacam itu dan
manajemennya dikomunikasikan dengan tepat.
DP.RIS.3 68/R0/2021 32/108
5.3 Integrasi (1)
Integrasi Manajemen Risiko kedalam Organisasi:
 Proses yang dinamis dan berulang;
 Disesuaikan dengan kebutuhan dan budaya organisasi;
 Bagian dari, dan tidak terpisahkan dari, tujuan, tata kelola,

kepemimpinan dan komitmen, strategi, sasaran, dan operasi
organisasi.
DP.RIS.3 68/R0/2021 33 /108

5.3 Integrasi (2)
 Integrasi manajemen risiko bergantung pada pemahaman

terhadap struktur dan konteks organisasi.
 Struktur berbeda bergantung pada tujuan, sasaran, dan

kompleksitas organisasi.
 Risiko dikelola di semua bagian struktur organisasi.
 Tiap orang di organisasi bertanggung jawab terhadap

pengelolaan risiko.
DP.RIS.3 68/R0/2021 34 /108
5.3 Integrasi (3)

 Tata kelola memandu arah organisasi, hubungan eksternal
dan internalnya, serta peran, proses, dan praktik yang
diperlukan untuk mencapai tujuannya.
 Struktur manajemen menerjemahkan arahan tata kelola

menjadi strategi dan sasaran terkait yang diperlukan untuk
mencapai tingkat yang diinginkan dari kinerja berkelanjutan
dan viabilitas jangka panjang.
 Penentuan akuntabilitas dan peran pengawasan manajemen

risiko di dalam organisasi adalah bagian integral dari tata
kelola organisasi.
DP.RIS.3 68/R0/2021 35 /108

5.3 Integrasi (4)
 Integrasi manajemen risiko ke dalam organisasi adalah proses

yang dinamis dan berulang, serta sebaiknya disesuaikan
dengan kebutuhan dan budaya organisasi.
 Manajemen risiko sebaiknya menjadi bagian dari, dan tidak

terpisahkan dari, tujuan, tata kelola, kepemimpinan dan
komitmen, strategi, sasaran, dan operasi organisasi.
DP.RIS.3 68/R0/2021 36 /108
5.4 Desain (1)
5.4.1 Pemahaman Organisasi dan Konteksnya

Ketika mendesain kerangka kerja pengelolaan risiko, organisasi sebaiknya
memeriksa dan memahami konteks eksternal dan internalnya. Pemeriksaan
konteks eksternal organisasi dapat termasuk, tetapi tidak terbatas kepada:
aktor sosial, budaya, politik, hukum, regulasi, keuangan, teknologi, ekonomi,

dan lingkungan, baik internasional, nasional, regional, maupun lokal;
penggerak dan tren utama yang memengaruhi sasaran organisasi;
hubungan, persepsi, nilai, kebutuhan, dan harapan pemangku kepentingan

eksternal;
hubungan dan komitmen kontraktual;
kompleksitas dan dependensi jaringan;
DP.RIS.3 68/R0/2021 37 /108

5.4 Desain (2)
5.4.1 Pemahaman Organisasi dan Konteksnya
Pemeriksaan konteks internal organisasi dapat termasuk, tetapi tidak terbatas
kepada:
visi, misi, dan nilai;
tata kelola, struktur organisasi, peran, dan akuntabilitas;
strategi, sasaran, dan kebijakan;
budaya organisasi;
standar, panduan, dan model yang diadopsi oleh organisasi;
kapabilitas, ditinjau dari sumber daya dan pengetahuan (misalnya modal,
waktu, orang, kekayaan intelektual, proses, sistem, dan teknologi);
data, sistem informasi, dan alir informasi;
hubungan dengan pemangku kepentingan internal, dengan mempertimbangkan
persepsi dan nilai mereka;
hubungan dan komitmen kontraktual;
interdependensi dan interkoneksi.
DP.RIS.3 68/R0/2021 38 /108
5.4 Desain (3)

5.4.2 Penegasan komitmen manajemen risiko
Manajemen puncak dan badan pengawas, jika memungkinkan, sebaiknya
menunjukkan dan menegaskan komitmen berkelanjutan mereka terhadap
manajemen risiko melalui kebijakan, pernyataan, atau bentuk lain yang secara
jelas menyampaikan sasaran dan komitmen organisasi terhadap manajemen
risiko. Komitmen sebaiknya termasuk, tetapi tidak terbatas kepada:
 tujuan pengelolaan risiko organisasi serta kaitan dengan sasaran dan kebijakan
lain;
 penguatan kebutuhan untuk mengintegrasikan manajemen risiko ke dalam
keseluruhan budaya organisasi;
 kepemimpinan dalam integrasi manajemen risiko ke dalam aktivitas bisnis inti
dan pengambilan keputusan;
 kewenangan, tanggung jawab, dan akuntabilitas;
 penyediaan sumber daya yang diperlukan;
Komitmen manajemen risiko
 cara penanganan konflik kepentingan;
sebaiknya dikomunikasikan di
 pengukuran dan pelaporan dalam indikator dalam organisasi dan kepada
kinerja organisasi; pemangku kepentingannya
 tinjauan dan peningkatan. dengan sesuai.
DP.RIS.3 68/R0/2021 39 /108

5.4 Desain (4)
5.4.3 Penetapan peran, kewenangan, tanggung jawab, dan

akuntabilitas organisasional
Manajemen puncak dan badan pengawas, sesuai penerapan, sebaiknya
memastikan bahwa kewenangan, tanggung jawab, dan akuntabilitas
untuk peran yang relevan dalam manajemen risiko telah ditetapkan dan
dikomunikasikan pada semua tingkat organisasi, serta sebaiknya:
menekankan bahwa manajemen risiko adalah tanggung jawab inti;
mengidentifikasi individu yang memiliki akuntabilitas dan kewenangan

untuk mengelola risiko (pemilik risiko).
DP.RIS.3 68/R0/2021 40 /108
5.4 Desain (5)
5.4.4 Alokasi sumber daya

Manajemen puncak dan badan pengawas, sesuai penerapan,
sebaiknya memastikan alokasi sumber daya manajemen risiko yang
memadai, yang dapat termasuk, tetapi tidak terbatas pada:
orang, keterampilan, pengalaman, dan kompetensi;
proses, metode, dan alat yang dipakai organisasi untuk mengelola
risiko;
proses dan prosedur terdokumentasi;
sistem manajemen informasi dan pengetahuan;
pengembangan profesional dan kebutuhan pelatihan; Organisasi
sebaiknya mempertimbangkan kapabilitas, dan keterbatasan, sumber
daya yang ada.
Organisasi sebaiknya mempertimbangkan kapabilitas,

dan keterbatasan, sumber daya yang ada
DP.RIS.3 68/R0/2021 41 /108

5.4 Desain (6)
5.4.5 Penyiapan komunikasi dan konsultasi
 Komunikasi melibatkan pembagian informasi dengan audiens yang

dituju. Konsultasi juga melibatkan pemberian umpan balik dari partisipan
dengan harapan bahwa hal itu dapat berkontribusi dan membentuk
keputusan atau aktivitas lain.
 Metode dan konten komunikasi dan konsultasi sebaiknya mencerminkan

harapan pemangku kepentingan, jika relevan.
 Komunikasi dan konsultasi sebaiknya tepat waktu dan memastikan

bahwa informasi yang relevan dikumpulkan, digabungkan, disintesis, dan
dibagikan, secara sesuai, serta bahwa umpan balik diberikan dan
peningkatan dibuat.
DP.RIS.3 68/R0/2021 42 /108
5.5 Implementasi
Organisasi sebaiknya mengimplementasikan kerangka kerja

manajemen risiko dengan:
Mengembangkan rencana yang sesuai, termasuk waktu dan

sumberdaya;
Mengidentifikasi di mana, kapan, bagaimana, dan oleh siapa

beragam jenis keputusan dibuat di seluruh organisasi;
Memodifikasi proses pengambilan keputusan yang sesuai jika

diperlukan;
Memastikan pengaturan organisasi dalam mengelola risiko dipahami

dengan jelas dan dipraktikkan.
DP.RIS.3 68/R0/2021 43 /108

5.6 Evaluasi
Organisasi mengevaluasi efektivitas kerangka kerja

manajemen risiko dengan:
Mengukur kinerja kerangka kerja manajemen risiko secara

berkala terhadap tujuan, rencana implementasi, indikator, dan
perilaku yang diharapkan;
Menentukan apakah kerangka kerja manajemen risiko tetap

sesuai untuk mendukung pencapaian sasaran organisasi.
DP.RIS.3 68/R0/2021 44 /108
5.7 Perbaikan
5.7.1 Adaptasi
Memantau dan mengadaptasi kerangka kerja manajemen risiko untuk mengatasi

perubahan eksternal dan internal.
5.7.2 Perbaikan sinambung (Berkelanjutan)
Organisasi sebaiknya secara sinambung meningkatkan kesesuaian, kecukupan,

dan efektivitas kerangka kerja manajemen risiko, serta bagaimana proses
manajemen risiko diintegrasikan.
Saat kesenjangan atau peluang peningkatan yang relevan diidentifikasi, organisasi

sebaiknya mengembangkan rencana dan tugas pengembangan dan menugaskan
kepada pihak yang memiliki akuntabilitas terhadap implementasi.
Setelah diimplementasikan, perbaikan tersebut sebaiknya berkontribusi pada

peningkatan manajemen risiko.
DP.RIS.3 68/R0/2021 45 /108

6. PROSES
46
46/108
6. Proses
6.1 Umum
Proses manajemen
risiko melibatkan
penerapan sistematis
dari kebijakan,
prosedur, dan praktik
pada aktivitas
komunikasi dan
konsultasi, penetapan
konteks, serta
penilaian, perlakuan,
pemantauan,
peninjauan,
pencatatan, dan
pelaporan risiko.
Proses ini
digambarkan pada
gambar 4. Gambar 4. Proses
DP.RIS.3 68/R0/2021 47 /108

6.2 Komunikasi dan Konsultasi
Komunikasi bertujuan mendorong kesadaran dan pemahaman risiko,

sedangkan konsultasi mencakup pencarian umpan balik dan informasi untuk
mendukung pengambilan keputusan. Komunikasi dan konsultasi dimaksudkan
untuk:
 Menyatukan beragam area keahlian pada tiap tahap proses manajemen risiko;
 Memastikan berbagai pandangan dipertimbangkan dengan memadai saat

menentukan kriteria risiko dan saat mengevaluasi risiko;
 Memberikan informasi yang memadai untuk memfasilitasi pengawasan risiko

dan pengambilan keputusan;
 Membangun rasa keterlibatan dan kepemilikan di antara pihak yang

terpengaruh oleh risiko.
DP.RIS.3 68/R0/2021 48 /108
6.3 Ruang Lingkup, Konteks, dan Kriteria (1)
6.3.1 Umum
Tujuan penetapan ruang lingkup, konteks, dan kriteria adalah

untuk menyesuaikan proses manajemen risiko, mengaktifkan
penilaian risiko yang efektif dan perlakuan risiko yang memadai.
Ruang lingkup, konteks, dan kriteria mencakup penentuan ruang

lingkup proses dan pemahaman konteks eksternal dan internal.
DP.RIS.3 68/R0/2021 49 /108

6.3.2 Penentuan ruang lingkup aktivitas manajemen risiko
Yang perlu dipertimbangkan:
 Sasaran dan keputusan yang perlu dibuat;
 Hasil keluaran yang diharapkan dari tiap langkah yang akan diambil
dalam proses;
 Waktu, lokasi, serta pencakupan dan pengecualian khusus;
 Alat dan Teknik penilaian risiko yang sesuai;
 Sumber daya yang dibutuhkan, tanggung jawab dan catatan yang

disimpan;
 Hubungan dengan proyek, proses, dan aktivitas lain.
DP.RIS.3 68/R0/2021 50 /108
6.3.3 Konteks Eksternal dan Internal
Diperlukan karena:
 Manajemen risiko dilakukan dalam konteks sasaran

dan aktivitas organisasi;
 Faktor organisasi dapat menjadi sumber risiko;
 Tujuan dan ruang lingkup proses manajemen risiko

mungkin berhubungan dengan sasaran organisasi
secara keseluruhan.
DP.RIS.3 68/R0/2021 51 /108

6.3.4 Pendefinisian kriteria risiko

Kriteria untuk mengevaluasi signifikansi risiko dan untuk proses
pengambilan keputusan. Kriteria risiko dinamis sehingga perlu ditinjau
secara periodik.
Hal- hal yang perlu dipertimbangkan:
sifat dan jenis ketidakpastian yang dapat memengaruhi hasil keluaran
dan sasaran (baik berwujud maupun tanwujud);
bagaimana konsekuensi (baik positif maupun negatif) dan kemungkinan
akan ditentukan dan diukur;
faktor terkait waktu;
konsistensi penggunaan ukuran;
bagaimana tingkat risiko ditentukan;
bagaimana kombinasi dan urutan berbagai risiko akan diperhitungkan;
kapasitas organisasi.
DP.RIS.3 68/R0/2021 52 /108
Risk Criteria (1)
Sumber: http://www.ssatoolkit.com/ssatoolkit/examine4setcriteria/
DP.RIS.3 68/R0/2021 53 /108

Risk Criteria (2)
DP.RIS.3 68/R0/2021 54 /108
Risk Criteria (3)
DP.RIS.3 68/R0/2021 55 /108

Risk Criteria (4)
DP.RIS.3 68/R0/2021 56 /108
6.4 Penilaian Risiko (1)

6.4.1 Umum
Penilaian risiko adalah proses menyeluruh dari identifikasi risiko,
analisis risiko, dan evaluasi risiko.
Penilaian risiko sebaiknya dilakukan secara sistematis, berulang,

dan kolaboratif, berdasarkan pengetahuan dan pandangan pemangku
kepentingan.
Penilaian sebaiknya berdasarkan informasi terbaik yang tersedia,

dengan ditunjang oleh penelitian lanjutan sesuai kebutuhan.
DP.RIS.3 68/R0/2021 57 /108

6.4.2 Identifikasi Risiko (Risk Identification)
Bertujuan untuk menemukan, mengenali, dan menguraikan risiko
yang dapat membantu atau menghalangi organisasi dalam
mencapai sasarannya.
Faktor-faktor yang perlu dipertimbangkan:
 sumber risiko berwujud dan tak berwujud;
 penyebab dan peristiwa
 ancaman dan peluang
 kerentanan dan kapabilitas;
 perubahan konteks eksternal dan internal;
 indikator risiko pegari (yang timbul);
 sifat dan nilai aset dan sumber daya;
 konsekuensi dan dampak terhadap sasaran;
 batasan pengetahuan dan keandalan informasi;
 faktor terkait waktu;
 bias, asumsi, dan kepercayaan pihak yang terlibat
DP.RIS.3 68/R0/2021 58 /108
• Organisasi sebaiknya mengidentifikasi risiko, tanpa

memandang apakah sumber risiko itu dapat
dikendalikan organisasi atau tidak.
• Perlu diperhatikan bahwa mungkin ada lebih dari
satu jenis hasil keluaran, yang dapat menimbulkan
beragam dampak berwujud atau tak berwujud.
DP.RIS.3 68/R0/2021 59 /108

Ilustrasi Menguraikan Risiko (1)
Pak Ali seorang pakar manajemen risiko berusia 60 tahun, dijadwalkan

memberikan presentasi mengenai ISO 31000:2018 di hadapan anggota
Direksi PT. Sukses Selalu pada hari Senin. Pada hari Minggu dia
mengikuti turnamen golf yang diselenggarakan oleh Asosiasi Profesi MR.
Ketika mengikuti turnamen golf tersebut, hujan turun sangat lebat dan
menyebabkan pak Ali terkena sakit demam dan flu berat, sehingga hari
Senin dia tidak dapat memberikan presentasi mengenai ISO 31000:2018
di hadapan Direksi PT. Sukses Selalu.
DP.RIS.3 68/R0/2021 60 /108
Ilustrasi Menguraikan
Contoh kasus Risiko
menguraikan risiko (2) (2)
Sasaran Peristiwa Risiko Sebab Dampak
Memberikan Pak Ali sakit Pak Ali bermain Keterlambatan

presentasi ISO sehingga tidak golf sehari implementasi
31000:2018 dapat memberikan sebelumnya dalam proyek
kepada Direksi PT. presentasi kepada kondisi hujan manajemen risiko
Sukses Selalu Direksi PT. Sukses lebat. kepada Direksi PT.
Selalu Sukses Selalu
 Risiko perlu diuraikan secara jelas sehingga tidak menimbulkan

kerancuan pengertian/pemahaman. Dengan demikian risiko dapat
ditangani secara tepat dan akurat.
DP.RIS.3 68/R0/2021 61 /108

6.4.3 Analisis Risiko (Risk Analysis)

Tujuan analisis risiko adalah untuk memahami sifat risiko dan
karakteristiknya, termasuk, jika memungkinkan, tingkat risikonya.
Analisis Risiko dilakukan dengan cara menentukan tingkat konsekuensi

(dampak) dan tingkat kemungkinan-kejadian terjadinya risiko berdasarkan
kriteria risiko, dengan mempertimbangkan keandalan sistem pengendalian
yang ada.
Analisis risiko melibatkan pertimbangan mendetail terhadap ketidakpastian,

sumber risiko, dampak, kemungkinan, peristiwa, skenario, kendali, dan
efektivitas kendali tersebut.
DP.RIS.3 68/R0/2021 62 /108
6.4.3 Analisis Risiko (Risk Analysis)
Faktor-faktor yang perlu dipertimbangkan:
 Kemungkinan peristiwa dan konsekuensi;
 Sifat dan besaran konsekuensi;
 Kompleksitas dan konektivitas;
 Faktor dan votalitas terkait waktu;
 Efektivitas kendali yang ada;
 Tingkat sensitivitas dan kepercayaan.
DP.RIS.3 68/R0/2021 63 /108

Ilustrasi
DP.RIS.3 68/R0/2021 64 /108
Risk Analysis Matrix (1)
DP.RIS.3 68/R0/2021 65 /108

DP.RIS.3 68/R0/2021 66 /108
DP.RIS.3 68/R0/2021 67 /108

6.4.4 Evaluasi Risiko (Risk Evaluation)
Tujuan evaluasi risiko adalah untuk mendukung keputusan.
Evaluasi risiko melibatkan pembandingan hasil analisis risiko dengan kriteria

risiko yang telah ditetapkan untuk menentukan apakah diperlukan tindakan tambahan.
Memutuskan tindak lanjut terhadap risiko. Bila tingkat risiko saat ini sesuai dengan
selera risiko maka risiko dapat diterima tanpa memerlukan perlakuan risiko. Bila tingkat
risiko tidak sesuai dengan selera risiko maka risiko ditolak atau menjalankan perlakuan
risiko.
Menentukan prioritas risiko mana yang memerlukan perlakuan risiko.
Keputusan sebaiknya mempertimbangkan konteks yang lebih luas, dan

konsekuensi aktual yang dipersepsikan terhadap pemangku kepentingan eksternal
dan internal.
DP.RIS.3 68/R0/2021 68 /108
6.4.4 Evaluasi Risiko (Risk Evaluation)
Hal ini dapat membawa pada keputusan untuk:
 Tidak melakukan apa pun lebih lanjut;
 Mempertimbangkan opsi perlakuan risiko;
 Melakukan analisis lanjutan untuk memahami risiko dengan lebih

baik;
 Memelihara pengendalian yang ada;
 Mempertimbangkan kembali sasaran.
DP.RIS.3 68/R0/2021 69 /108

Risk assessment techniques
Sumber: ISO 31010:2019
DP.RIS.3 68/R0/2021 70 /108
Risk Register (1)
 A risk register brings together information about risks to inform those

exposed to risks and those who have responsibility for their
management. It can be in paper or data base format.
 Risk register is used to record and track information about individual
risks and how they are being controlled. It can be used to communicate
information about risks to stakeholders and highlight particularly
important risks.
 Information about risks is brought together in a form where actions
required can be identified and tracked.
 Many risk registers also include some rating of the significance of a risk,
an indication of whether a risk is considered to be acceptable or
tolerable, or whether further treatment is needed and the reasons for this
decision. Sumber: ISO 31010:2019
DP.RIS.3 68/R0/2021 71 /108

Risk Register (2)
RISK IDENTIFICATION
OBJECTIVE RISK EVENT FREQUENCY RISK TYPE RISK CAUSE APPLIED
CONTROL
RISK ANALYSIS
LIKELIHOOD IMPACT CONTROL INHERENT RISK
EFFECTIVENESS
RISK EVALUATION
RISK PRIORITY OPPORTUNITY/REWARD RISK ACCEPTANCE
Sumber: CRMS, 2018
DP.RIS.3 68/R0/2021 72 /108
6.5 Perlakuan Risiko (1)
6.5.1 Umum
Tujuan perlakuan risiko adalah untuk memilih dan menerapkan

opsi penanganan risiko, sebagai berikut:
 Formulasi dan seleksi opsi perlakuan risiko;
 Perencanaan dan implementasi perlakuan risiko;
 Penilaian efektivitas perlakuan itu;
 Pengambilan keputusan apakah risiko tersisa dapat diterima;
 Pelaksanaan perlakuan lanjutan, jika opsi tidak diterima.
DP.RIS.3 68/R0/2021 73 /108

6.5.2 Pemilihan opsi perlakuan risiko
Mempertimbangkan (biaya, upaya, atau kerugian implementasi)
menghindari risiko dengan memutuskan untuk tidak memulai atau

melanjutkan aktivitas yang menimbulkan risiko;
Mengambil atau meningkatkan risiko untuk mengejar peluang;
Menghilangkan sumber risiko;
Mengubah kemungkinan;
Mengubah konsekuensi;
Membagi risiko (misalnya melalui kontrak, membeli asuransi);
Mempertahankan risiko dengan keputusan terinformasi.
DP.RIS.3 68/R0/2021 74 /108

Justifikasi untuk perlakuan risiko lebih luas daripada sekadar pertimbangan
ekonomi dan sebaiknya memperhitungkan semua unsur kewajiban, komitmen
sukarela, dan pandangan pemangku kepentingan dari organisasi.
Pemilihan opsi perlakuan risiko sebaiknya dibuat sesuai dengan sasaran
organisasi, kriteria risiko, dan sumber daya yang tersedia. Ketika memilih opsi
perlakuan risiko, organisasi sebaiknya mempertimbangkan nilai, persepsi, dan
potensi keterlibatan pemangku kepentingan, serta cara paling tepat untuk
berkomunikasi dan berkonsultasi dengan mereka. Meski sama-sama efektif,
beberapa perlakuan risiko dapat lebih diterima oleh beberapa pemangku
kepentingan dibandingkan dengan perlakuan yang lain.
Perlakuan risiko, bahkan jika sudah dirancang dan diterapkan dengan hati-
hati, mungkin tidak mencapai hasil keluaran yang diharapkan dan dapat
memberi konsekuensi yang tidak diharapkan. Pemantauan dan tinjauan perlu
menjadi bagian integral implementasi perlakuan risiko untuk memberi
pemastian bahwa berbagai bentuk perlakuan menjadi dan tetap efektif.
DP.RIS.3 68/R0/2021 75 /108


Perlakuan risiko juga dapat menimbulkan risiko baru yang perlu dikelola. Jika
opsi perlakuan risiko tidak tersedia atau jika opsi perlakuan tidak mengubah
risiko secara memadai, risiko tersebut sebaiknya dicatat dan terus ditinjau.
Pengambil keputusan dan pemangku kepentingan lain sebaiknya menyadari

sifat dan jangkauan risiko yang tersisa setelah perlakuan risiko.
Risiko yang tersisa sebaiknya didokumentasikan dan menjadi subjek

pemantauan, tinjauan, dan, bila diperlukan, perlakuan lanjutan.
DP.RIS.3 68/R0/2021 76 /108
Jika opsi perlakuan risiko tidak tersedia atau jika opsi perlakuan tidak
mengubah risiko secara memadai, risiko tersebut sebaiknya dicatat dan
terus ditinjau.
Pengambil keputusan dan pemangku kepentingan lain sebaiknya

menyadari sifat dan jangkauan risiko yang tersisa setelah perlakuan
risiko.
Risiko yang tersisa sebaiknya didokumentasikan dan menjadi subjek

pemantauan, tinjauan, dan, bila diperlukan, perlakuan lanjutan.
DP.RIS.3 68/R0/2021 77 /108

6.5.3 Penyiapan dan penerapan rencana perlakuan risiko

Tujuan rencana perlakuan risiko adalah untuk menentukan
bagaimana opsi perlakuan yang dipilih dapat diterapkan,
sehingga pengaturannya dapat dipahami oleh pihak yang terlibat
dan kemajuan rencananya dapat dipantau.
Rencana perlakuan sebaiknya jelas mengidentifikasi urutan

perlakuan risiko yang sebaiknya diterapkan.
Rencana perlakuan sebaiknya terintegrasi dengan rencana dan

proses manajemen organisasi, melalui konsultasi dengan
pemangku kepentingan yang sesuai.
DP.RIS.3 68/R0/2021 78 /108
6.5.3 Penyiapan dan penerapan rencana perlakuan risiko

Informasi yang diberikan di dalam rencana perlakuan sebaiknya
mencakup:
 Alasan pemilihan opsi perlakuan, termasuk manfaat yang
diharapkan;
 Pihak yang memiliki akuntabilitas dan tanggung jawab untuk
persetujuan dan implementasi rencana;
 Tindakan yang diusulkan;
 Sumber daya yang dibutuhkan, termasuk kontingensi;
 Ukuran kinerja;
 Batasan;
 Pelaporan dan pemantauan yang diperlukan;
 Kapan tindakan diharapkan dapat dilakukan dan diselesaikan.
DP.RIS.3 68/R0/2021 79 /108

Sumber: IRMAPA, 2020
DP.RIS.3 68/R0/2021 80 /108
6.6 Pemantauan dan Tinjauan (1)
 Tujuan pemantauan dan tinjauan kembali adalah untuk

memastikan dan meningkatkan mutu dan efektivitas desain,
implementasi, dan hasil keluaran proses.
 Pemantauan yang sedang berlangsung dan tinjauan berkala

terhadap proses dan hasil keluaran manajemen risiko sebaiknya
menjadi bagian terencana dari proses manajemen risiko, dengan
tanggung jawab yang ditentukan dengan jelas.
 Pemantauan dan tinjauan sebaiknya dilaksanakan pada semua

tahap proses.
DP.RIS.3 68/R0/2021 81 /108

6.6 Pemantauan dan Tinjauan (2)
 Pemantauan dan tinjauan mencakup perencanaan,

pengumpulan dan analisis informasi, pencatatan hasil, dan
pemberian umpan balik.
 Hasil pemantauan dan tinjauan sebaiknya disertakan di seluruh

aktivitas manajemen, pengukuran, dan pelaporan kinerja
organisasi.
DP.RIS.3 68/R0/2021 82 /108
6.7 Pencatatan dan Pelaporan (1)

 Proses dan hasil keluaran manajemen risiko sebaiknya
didokumentasikan dan dilaporkan melalui mekanisme
yang sesuai.
 Pencatatan dan pelaporan bertujuan untuk:
Mengomunikasikan aktivitas Memberikan informasi

manajemen risiko dan hasil untuk pengambilan
keluaran dari manajemen keputusan
risiko ke seluruh organisasi
Meningkatkan aktivitas Membantu interaksi dengan

manajemen risiko pemangku kepentingan,
termasuk pihak yang memiliki
tanggung jawab dan akuntabilitas
untuk aktivitas manajemen risiko.
DP.RIS.3 68/R0/2021 83 /108

 Keputusan yang berkaitan dengan pembuatan, retensi, dan

penanganan informasi terdokumentasi sebaiknya
mempertimbangkan, tetapi tidak terbatas pada,
penggunaannya, sensitivitas informasi, serta konteks
eksternal dan internal.
 Pelaporan adalah bagian integral dari tata kelola organisasi
dan sebaiknya meningkatkan mutu dialog dengan pemangku
kepentingan dan mendukung manajemen puncak dan badan
pengawas dalam memenuhi tanggung jawab mereka.
DP.RIS.3 68/R0/2021 84 /108
Faktor yang perlu dipertimbangkan dalam pelaporan mencakup,

tetapi tidak terbatas pada:
berbagai perbedaan pemangku kepentinganyang berbeda serta
kebutuhan dan persyaratan informasi mereka yang khusus;
biaya, frekuensi, dan ketepatan waktu pelaporan;
metode pelaporan;
relevansi informasi terhadap sasaran dan pengambilan
keputusan organisasi.
DP.RIS.3 68/R0/2021 85 /108

Three Lines of Defense
Sumber: SNI ISO 8849:2019 Kompetensi SDM
DP.RIS.3 68/R0/2021 86 /108
Manajemen Puncak
Lingkup Bidang Pekerjaan:

mengarahkan, mengawasi, dan meninjau penerapan manajemen
risiko di tingkatan organisasi, serta mengusulkan pengembangan
penerapan manajemen risiko kepada pimpinan manajemen risiko.
Tanggung Jawab:
menjalankan fungsi eksekutif untuk memastikan keefektifan
penerapan manajemen risiko di tingkatan organisasi melalui
penerapan model tiga lini pertahanan.
DP.RIS.3 68/R0/2021 87 /108

Badan Pengawas
Lingkup Bidang Pekerjaan:

mengawasi dan meninjau penerapan manajemen risiko di tingkatan
organisasi, serta mengusulkan pengembangan penerapan manajemen
risiko kepada manajemen puncak.
Tanggung Jawab:
menjalankan fungsi pengawasan untuk memastikan keefektifan
penerapan manajemen risiko di tingkatan organisasi melalui
penerapan model tiga lini pertahanan secara efektif.
DP.RIS.3 68/R0/2021 88 /108
Lini Pertahanan Pertama
Pemilik Risiko:
• melaksanakan manajemen risiko di lingkungan entitas kerja masing-
masing, berikut pengalokasian sumber daya dan edukasi yang dibutuhkan.
• memastikan keefektifan manajemen risiko di lingkungan entitas kerja
masing-masing.
Petugas Risiko:
• mendukung pelaksanaan lingkup bidang pekerjaan pemilik risiko dalam hal
manajemen risiko.
• mendukung keefektifan lingkup bidang pekerjaan pemilik risiko dalam hal
manajemen risiko melalui pengelolaan risiko di lingkungan entitas kerja
masing-masing.
DP.RIS.3 68/R0/2021 89 /108

Lini Pertahanan Kedua
Pimpinan Manajemen Risiko:
• merancang, mengkoordinasikan, dan mengelola penerapan manajemen
risiko di tingkatan organisasi, berikut dengan pengalokasian sumber daya
dan edukasi yang dibutuhkan.
• memastikan penerapan manajemen risiko di lingkungan organisasi sesuai
dengan karakteristik dan kebutuhan organisasi.
Analis Risiko:
• mendukung pelaksanaan lingkup bidang pekerjaan pemilik risiko dalam hal
manajemen risiko.
• mendukung keefektifan lingkup bidang pekerjaan pimpinan manajemen
risiko dalam hal penerapan manajemen risiko, termasuk di dalamnya
melalui fasilitasi yang diberikan kepada pemilik risiko dalam hal penerapan
manajemen risiko.
DP.RIS.3 68/R0/2021 90 /108
Lini Pertahanan Ketiga
Pemeriksa:
• melakukan fungsi pemastian atas keefektifan manajemen
risiko dan penerapannya di lingkungan organisasi, serta
menentukan temuan atas ketidaksesuaian dan
ketidakefektifan dalam manajemen risiko, berikut dengan
usulan pengembangan yang perlu dilakukan oleh para pihak
terkait.
• memastikan keefektifan fungsi pemeriksaan atas manajemen
risiko dan penerapannya di lingkungan organisasi.
DP.RIS.3 68/R0/2021 91 /108

Three Lines of Defense sektor publik
Sumber: SNI ISO 8848:2019
DP.RIS.3 68/R0/2021 92 /108
Three Lines Model (1)
Sumber: Institute of Internal Auditors, 2020

DP.RIS.3 68/R0/2021 93 /108

Three Lines Model (2)
Model Tiga Lini membantu organisasi mengidentifikasi struktur dan

proses yang terbaik dalam membantu pencapaian tujuan dan
memfasilitasi tata kelola dan manajemen risiko yang kuat.
Memastikan keandalan, keterkaitan, dan transparasi dari informasi

yangh dibutuhkan dalam pembuatan keputusan berbasis risiko.
Berfokus pada kontribusi manajemen risiko dalam membantu
pencapaian tujuan dan penciptaan nilai, dan juga pada hal-hal yang
terkait dengan “pertahanan” dan perlindungan nilai.
Memahami dengan jelas peran dan tanggung jawab yang
direpresentasikan dalam model ini dan hubungan-hubungan diantara
mereka.
Menerapkan langkah-langkah untuk memastikan aktivitas dan tujuan
telah selaras dengan kepentingan utama dari pemangku kepentingan.
DP.RIS.3 68/R0/2021 94 /108
Governing Body (Organ Pengurus)
 Memastikan struktur dan proses-proses yang memadai telah

tersedia untuk pelaksanaan tata kelola yang efektif.
 Memastikan Tujuan dan aktivitas organisasi telah selaras dengan

kepentingan utama para pemangku kepentingan.
 Mendelegasikan tanggung jawab dan menyediakan sumber daya

kepada manajemen untuk mencapai tujuan organisasi serta
memastikan terpenuhinya kepatuhan terhadap hukum,
ketentuan perundang-undangan dan nilai-nilai etika.
 Membentuk dan mengawasi fungsi audit internal yang

independen, objektif, dan kompeten, guna memberikan kejelasan
dan keyakinan atas progres terhadap pencapaian tujuan
organisasi.
DP.RIS.3 68/R0/2021 95 /108

Lini Pertama dan Lini Kedua
 Peran lini pertama secara langsung selaras dengan pemberian

produk dan jasa kepada pelanggan organisasi, termasuk fungsi-
fungsi pendukung.
 Peran lini kedua memberikan bantuan terkait dengan
pengelolaan risiko.
 Peran lini pertama dan lini kedua dapat dibentuk menjadi satu
atau terpisah. Peran lini kedua dapat fokus pada tujuan
manajemen risiko yang spesifik, misalnya: kepatuhan
terhadap hukum, peraturan, dan perilaku yang etis.
 Alternatif lainnya, peran lini kedua dapat mencakup tanggung
jawab yang lebih luas dari manajemen risiko, seperti
manajemen risiko secara keseluruhan entitas (ERM –
enterprise risk management). Namun demikian, tanggung
jawab untuk mengelola risiko tetap merupakan bagian dari
peran lini pertama dan berada dalam ruang lingkup
manajemen.
DP.RIS.3 68/R0/2021 96 /108
Lini ketiga
Audit Internal memberikan assurance dan advice yang independen

dan objektif mengenai kecukupan dan efektivitas tata kelola dan
manajemen risiko. Hal ini dapat tercapai melalui penerapan yang
kompeten dari proses-proses, keahlian, dan wawasan yang sistematis
dan terstruktur. Auditor internal melaporkan temuannya kepada
manajemen dan organ pengurus untuk mendorong dan
memfasilitasi pengembangan berkelanjutan. Dalam melaksanakan hal
ini, audit internal dapat mempertimbangkan assurance dari penyedia
internal maupun eksternal.
DP.RIS.3 68/R0/2021 97 /108

Implementasi GCG
CGC GGC GCC

CORPORATE GOVERNANCE GOOD GOVERNED GOOD CORPORATE
COMMITMENT COMPANY CITIZEN
Commitment System Culture
Taat terhadap Operasional yang baik Korporasi diterima

pedoman GCG baik melalui kontrol internal, sebagai bagian dari
yang wajib maupun pengendalian resiko, dan Masyarakat melalui
bersifat kebijakan penerapan WBS Pendekatan CSR
Sumber: Road Map GCG, Komite Nasional Kebijakan Governance
DP.RIS.3 68/R0/2021 98 /108
Budaya Sadar Risiko (1)
Sumber: SNI 8848:2019
DP.RIS.3 68/R0/2021 99 /108

Komitmen pimpinan organisasi sektor publik

 Komitmen pimpinan organisasi dan manajemen puncak
dalam menciptakan irama sama (tone at the top) dengan
selalu mempertimbangkan risiko dalam setiap pengambilan
keputusan dan tindakan.
 Komitmen pimpinan ditunjukkan antara lain dengan
memastikan bahwa sumber daya organisasi tersedia
secara memadai bagi penerapan manajemen risiko.
DP.RIS.3 68/R0/2021 100

/ /108
Edukasi
 Pemberian edukasi kepada seluruh pemangku kepentingan
mengenai pentingnya manajemen risiko, terutama pelatihan dan
pengembangan kompetensi bidang manajemen risiko yang relevan
dan terkait dengan penerapan SNI ISO 31000:2018.
 Pelatihan dan pengembangan kompetensi bidang manajemen risiko
diberikan kepada pegawai di seluruh tingkatan organisasi dan
kepada mitra eksternal organisasi yang terlibat dalam proses
bisnis mereka sehingga irama dan standar proses manajemen
risiko antara organisasi dengan mitranya dapat tersinkronisasi.
DP.RIS.3 68/R0/2021 101

/ /108

Praktik
 Penyelenggaraan berbagai kegiatan untuk berbagi
pengetahuan dan pengalaman mengenai manajemen
risiko, baik antar karyawan dalam organisasi ataupun antar
organisasi dengan organisasi lainnya.
 Kegiatan berbagi pengetahuan dan pengalaman tersebut
dimaksudkan untuk pengembangan dan/atau penguatan
kompetensi internal kolektif dalam pengelolaan risiko.
DP.RIS.3 68/R0/2021 102

/ /108
Komunikasi
 Komunikasi berkelanjutan mengenai pentingnya manajemen
risiko dijalankan secara konsisten kepada seluruh jajaran
organisasi, baik dalam rapat-rapat pengambilan keputusan
maupun dalam pertemuan-pertemuan yang terkait dengan
pelaksanaan proses manajemen risiko.
 Profil dan peta risiko serta rancangan mitigasi risiko yang
telah tersusun sebaiknya dikomunikasikan kepada semua
anggota organisasi untuk mendapatkan dukungan dan
keterlibatan mereka dalam pelaksanaannya.
DP.RIS.3 68/R0/2021 103

/ /108

Pencatatan
 Prosedur standar pengelolaan risiko didokumentasikan dan
disosialisasikan untuk kemudian digunakan dalam keseharian
pengambilan keputusan.
 Prosedur standar diperlukan agar terjadi konsistensi mengenai
langkah apa yang sebaiknya diambil dalam menghadapi situasi
risiko tertentu.
 Hasil dari langkah tersebut didokumentasikan lebih lanjut dalam
bentuk pencatatan dan pelaporan tentang hasil pengelolaan risiko
sebagai bahan evaluasi dan peningkatan keefektifan prosedur
standar yang ada.
DP.RIS.3 68/R0/2021 104/108
Insentif
 Insentif dan penghargaan diberikan kepada mereka yang dapat
mengelola risiko dengan baik. Sistem insentif dan penghargaan
(reward) sebaiknya dirancang untuk mendorong seluruh jajaran
organisasi agar terbuka dalam pengelolaan risiko mereka dan terus
berkomitmen serta disiplin dalam pengendalian risiko yang menjadi
tanggung jawabnya.
 Penilaian kinerja karyawan sebaiknya juga mempertimbangkan
keefektifan penerapan manajemen risiko yang sudah dilakukan
sehingga dapat memotivasi mereka mengambil inisiatif untuk lebih
efektif dan efisien dalam pengelolaan risiko di periode berikutnya.
DP.RIS.3 68/R0/2021 105/108

Integrasi
 Pengintegrasian manajemen risiko ke dalam seluruh proses
bisnis organisasi dilakukan secara bertahap agar terjadi
penyebaran dan penyerapan yang efektif.
 Pengintegrasian dapat diawali dengan mempertimbangkan
dan menyelaraskan proses manajemen risiko dengan
sistem manajemen kinerja organisasi, dan semakin lama
semakin melebur ke dalam berbagai proses bisnis mulai dari
tingkat pengambilan strategis sampai ke seluruh aspek
operasional organisasi.
DP.RIS.3 68/R0/2021 106/108
Evaluasi
 Pengukuran indeks peningkatan budaya sadar risiko
dilakukan secara rutin setidaknya satu tahun sekali.
Pengukuran ini dapat menjadi alat evaluasi untuk perbaikan
kualitas pengembangan budaya sadar risiko secara
berkelanjutan sehingga tingkatan budaya sadar risiko dapat
beranjak dan meningkat menjadi budaya peduli risiko yang
lebih adaptif terhadap perkembangan organisasi.
 Pengukuran indeks dapat dilakukan oleh audit internal
ataupun oleh penyedia jasa asurans eksternal.
DP.RIS.3 68/R0/2021 107/108

DP.RIS.3 68/R0/2021 108 /108


Materi Pemahaman 31000 - INAEQAS

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Materi Pemahaman 31000 - INAEQAS

Diunggah oleh

Hak Cipta:

Format Tersedia

Pelatihan In House

Pemahaman SNI ISO/IEC 31000:2018

Perkumpulan Penyelenggara Pemantapan Mutu Eksternal Indonesia /

Jakarta, 19-20 Mei 2023

Badan Standardisasi Nasional

Waktu Materi Instruktur

Jakarta, 19-20 Mei 2023

PUSAT PENGEMBANGAN SDM SPK- BSN

DP.RIS.3 68/R0/2021 1 /108

Pemahaman SNI ISO 31000:2018

• Standar ini untuk digunakan oleh orang yang

DP.RIS.3 68/R0/2021 2 /108

• Pengelolaan risiko adalah bagian dari tata kelola dan

DP.RIS.3 68/R0/2021 3 /108

Pemahaman SNI ISO 31000:2018

Gambar 1. Prinsip, kerangka kerja, dan proses

SNI ISO Terkait

DP.RIS.3 68/R0/2021 5 /108

Pemahaman SNI ISO 31000:2018

Sumber: IRMAPA, 2020

DP.RIS.3 68/R0/2021 6 /108

Penerapan dalam Sistem Manajemen

Sumber: CRMS, 2020

DP.RIS.3 68/R0/2021 7 /108

Pemahaman SNI ISO 31000:2018

• Prinsip-prinsip manajemen risiko adalah landasan paradigma untuk

• Efektivitas kerangka kerja manajemen risiko sebagai fondasi dan tata

• Proses manajemen risiko haruslah menjadi bagian yang tidak

DP.RIS.3 68/R0/2021 8 /108

DP.RIS.3 68/R0/2021 9 /108

Pemahaman SNI ISO 31000:2018

Tidak ada acuan normatif dalam standar ini.

DP.RIS.3 68/R0/2021 10 /108

3. ISTILAH & DEFINISI (1)

3.1 Risiko: efek dari ketidakpastian pada sasaran

Efek adalah penyimpangan dari apa yang diharapkan. Efek

3.2 Manajemen Risiko

aktivitas terkoordinasi untuk mengarahkan dan mengendalikan

DP.RIS.3 68/R0/2021 11 /108

Pemahaman SNI ISO 31000:2018

3.3 Pemangku Kepentingan

orang atau organisasi yang dapat memengaruhi, atau

3.4 Sumber Risiko

elemen yang secara mandiri atau dalam kombinasi memiliki

DP.RIS.3 68/R0/2021 12 /108

Istilah & Definisi (3)

kejadian atau perubahan suatu set dari kondisi

hasil keluaran suatu peristiwa

DP.RIS.3 68/R0/2021 13 /108

Pemahaman SNI ISO 31000:2018

3.7 Kemungkinan Kejadian

DP.RIS.3 68/R0/2021 14 /108

Kesimpulan Istilah & Definisi

Risiko timbul karena adanya sasaran

Penyebab risiko adalah ketidakpastian

Risiko memerlukan adanya kejelasan mengenai sasaran

Sasaran yang jelas harus memenuhi kriteria S M A R T

Penerapan manajemen risiko akan membantu organisasi untuk

DP.RIS.3 68/R0/2021 15 /108

Pemahaman SNI ISO 31000:2018

What, How will we Can the Why are we When will we

DP.RIS.3 68/R0/2021 16 /108

Contoh Sasaran SMART