MANAJEMEN RISIKO

Prinsip, Kerangka Kerja dan Proses

A.

Prinsip Manajemen Risko

Penerapan manajemen risiko perusahaan berdasarkan prinsip-prinsip ISO 31000:2018
bertujuan untuk menciptakan dan melindungi nilai dengan cara membantu perusahaan untuk
mencapai sasarannya. Dengan kata lain, penerapan manajemen risiko bukanlah tujuan dari
perusahaan, melainkan sebagai sarana untuk mencapai sasaran. Uraian penerapan prinsip
manajemen risiko dalam konteks organisasi Perusahaan adalah sebagai berikut:

1. Prinsip-prinsip yang menjadi panduan dasar bagi setiap Risk Officer, yaitu:
a. Manajemen risiko harus terintegrasi ke dalam proses bisnis dari semua
aktivitas organisasi
1) Setiap pejabat di semua level organisasi merupakan RISK OFFICER yang
memiliki otoritas dan kewenangan untuk mengelola risiko pada unit kerja yang
dipimpinnya.
2) Proses manajemen risiko tidak dapat berdiri sendiri dan terpisah dari proses
bisnis inti maupun proses penunjangnya. Oleh karena itu, setiap RISK OFFICER
harus menjadikan manajemen risiko sebagai bagian integral dari setiap proses
bisnis yang menjadi tanggung jawabnya.
b. Manajemen risiko adalah khas untuk penggunanya (customized)
Setiap RISK OFFICER di semua level organisasi harus memastikan bahwa risiko
yang diidentifikasi dan dikelola pada unit kerja yang dipimpinnya merupakan risiko
yang bersumber dari dan diukur berdasarkan kerangka kerja dan proses
manajemen risiko yang disesuaikan dan proporsional dengan konteks eksternal dan
internal organisasi yang berkaitan dengan sasarannya

2. Prinsip-prinsip pengelolaan risiko yang menjadi dasar pembentukan infrastruktur

penunjang bagi RISK OFFICER:
a. Manajemen risiko harus inklusif
Pengelolaan risiko harus bersifat inklusif dengan cara:
1) Melibatkan peran serta para pemangku kepentingan dalam hal pengetahuan,
pandangan, dan persepsi para pemangku kepentingan yang digunakan sebagai
bahan pertimbangan. Hal tersebut diharapkan menghasilkan peningkatan
kesadaran dan manajemen risiko terinformasi.
2) Melibatkan peran serta dari semua pejabat pengambil keputusan di semua level
dan bagian organisasi secara proposional.
b. Manajemen risiko harus terstruktur dan komprehensif
 Perusahaan mengembangkan sistem manajemen risiko yang terstruktur dan
komprehensif dalam arti dapat:
1) Memberikan kontribusi untuk efisiensi perusahaan terhadap hasil yang konsisten
dan terstruktur,
2) emberikan hasil (outcomes) yang konsisten dan andal (reliable) sehingga dapat
diperbandingkan dengan pihak lain.

c. Manajemen risiko berdasarkan informasi terbaik yang tersedia

1) Perusahaan menjamin input yang digunakan dalam mengelola risiko didasarkan
pada:
a) Informasi historis.
b) Informasi saat ini.
c) Harapan masa depan.
d) Segala batasan dan ketidakpastian yang berkaitan dengan informasi dan
harapan tersebut.
e) Informasi sebaiknya tepat waktu, jelas, dan tersedia bagi pemangku
kepentingan yang relevan.

2) Perusahaan menjamin setiap RISK OFFICER dapat memahami dan

mempertimbangkan keterbatasan serta kekurangan dari setiap data yang
digunakan dalam mengelola risiko dengan cara mempertimbangkan:
a) Keterbatasan dan kelemahan dari setiap model analisis yang digunakan.
b) Pendapat berbagai macam ahli dari berbagai sudut pandang.

d. Manajemen risiko bersifat dinamis

Risiko dapat muncul, berubah, atau hilang seiring perubahan konteks eksternal dan
internal organisasi. Manajemen risiko mengantisipasi, mendeteksi, mengakui, dan
menanggapi perubahan dan peristiwa tersebut secara sesuai dan tepat waktu.
Perusahaan menjamin penggunaan pendekatan yang dinamis dan responsif dalam
mengelola risiko dengan cara:

1) Memastikan bahwa proses manajemen risiko yang digunakan dapat mendeteksi

perubahan dan meresponsnya secara tepat dengan cara:
 a) Memantau, mengkaji dan merespon setiap perubahan pada konteks bisnis
termasuk timbulnya peristiwa di dalam dan di luar perusahaan yang memiliki
pengaruh berbahaya.
b) Memantau, mengkaji dan merespon setiap perubahan pada profil risiko
dengan cara mengatasi perubahan risiko maupun risiko baru yang muncul.
c) Memantau, mengkaji dan merespon perkembangan ilmu pengetahuan dan
teknologi yang berpengaruh terhadap konteks bisnis perusahaan.
2) Memastikan bahwa proses manajemen risiko yang digunakan dapat berulang
dalam bentuk siklus agar risiko-risiko yang belum terindentifikasi atau belum
muncul pada siklus proses yang pertama kali, dapat ditemukenali dan
ditanggulangi pada siklus-siklus berikutnya.

e. Manajemen risiko harus memfasilitasi terjadinya perbaikan berkelanjutan

Manajemen risiko diperbaiki secara berkelanjutan melalui pelajaran dan
pengalaman. Manajemen risiko bermanfat untuk peningkatan perbaikan di semua
aspek tata kelola perusahaan. Untuk itu perusahaan menjamin adanya
pengembangan dan pelaksanaan berbagai strategi peningkatan sistem manajemen
risiko yang digunakan melalui berbagai program peningkatan maturitas penerapan
manajemen risiko.

f. Manajemen risiko mempertimbangkan faktor manusia dan budaya

Perilaku dan budaya manusia secara signifikan mempengaruhi semua aspek
manajemen risiko pada semua tingkat dan tahap. Perusahaan menjamin bahwa
sistem manajemen risiko yang digunakan dapat mengenali dan mempertimbangkan
faktor manusia dan budaya perusahaan yang dapat mempengaruhi pencapaian
sasaran mulai dari level korporat hingga level unit terkecil dengan cara:

1) Mempertimbangkan bagaimana kapabilitas orang-orang, baik yang di internal

perusahaan maupun dari eksternal dapat menunjang atau menghambat
pencapaian sasaran.
2) Mempertimbangkan bagaimana persepsi orang-orang, baik dari internal maupun
dari eksternal Perusahaan yang dapat menunjang atau menghambat pencapaian
sasaran.
 3) Mempertimbangkan bagaimana kepedulian orang-orang, baik dari internal
maupun dari eksternal Perusahaan yang dapat menunjang atau menghambat
pencapaian sasaran

B. Kerangka Kerja Manajemen Risiko

Tujuan kerangka kerja manajemen risiko adalah untuk membantu organisasi dalam
mengintegrasikan manajemen risiko ke dalam aktivitas dan fungsi di seluruh area
perusahaan. Efektivitas manajemen risiko bergantung pada integrasinya ke dalam tata kelola
organisasi, termasuk pengambilan keputusan. Ini memerlukan dukungan dari pemangku
kepentingan, khususnya Direksi dan Dewan Komisaris.
Pengembangan kerangka kerja meliputi integrasi, desain, implementasi, evaluasi, dan
peningkatan manajemen risiko di seluruh organisasi.
Berikut adalah komponen kerangka kerja manajemen risiko yang telah disesuaikan dengan
kebutuhan Perusahaan:
1. Kepemimpinan dan Komitmen
a. Kepemimpinan Direksi dan Dewan Komisaris memastikan manajemen risiko
terintegrasi pada semua aktivitas perusahaan dan menunjukkan kepemimpinan dan
komitmen dengan:
1) Menyesuaikan dan mengimplementasikan semua komponen kerangka kerja;
2) Menerbitkan pernyataan atau kebijakan, standar, dan instruksi pengelolaan risiko
yang harus dijalankan oleh RISK OFFICER dan seluruh karyawan sesuai otoritas
dan kewenangannya masing-masing;
3) Memastikan sumber daya yang diperlukan dialokasikan untuk pengelolaan risiko;
b. Komitmen Komitmen merupakan keterikatan moral karena adanya perjanjian untuk
melaksanakan sesuatu. Dalam konteks manajemen risiko, komitmen adalah
tanggung jawab moral para RISK OFFICER untuk mengelola risiko sesuai mandat
yang diterima

2. Integrasi
Integrasi manajemen risiko bergantung pada pemahaman terhadap struktur dan konteks
organisasi. Struktur berbeda bergantung pada tujuan, sasaran, dan kompleksitas
organisasi. Risiko dikelola di semua bagian struktur organisasi. Tiap orang di organisasi
bertanggung jawab terhadap pengelolaan risiko. Tata kelola memandu arah organisasi,
hubungan eksternal dan internalnya, serta peran, proses, dan praktik yang diperlukan
 untuk mencapai tujuannya. Struktur manajemen menerjemahkan arahan tata kelola
menjadi strategi dan sasaran terkait yang diperlukan untuk mencapai tingkat yang
diinginkan dari kinerja berkelanjutan yang bersifat jangka panjang. Penentuan
akuntabilitas dan peran pengawasan manajemen risiko didalam organisasi adalah
bagian integral dari tata kelola organisasi. Pedoman Manajemen Risiko 37 Integrasi
manajemen risiko ke dalam organisasi adalah proses yang dinamis dan berulang, serta
sebaiknya disesuaikan dengan kebutuhan dan budaya organisasi. Manajemen risiko
sebaiknya menjadi bagian dan tidak terpisahkan dari tujuan, tata kelola, kepemimpinan
dan komitmen, strategi, sasaran, serta kegiatan operasional Perusahaan.

3. Desain
a. Pengenalan Konteks Perusahaan
1) Sebelum menyusun perencanaan manajemen risiko, maka RISK OFFICER
harus mengevaluasi dan memahami pengaruh, kecenderungan (trends), dan
faktorfaktor kunci dari konteks bisnisnya yang meliputi konteks eksternal dan
internal, termasuk pengaruh dan dampaknya terhadap pencapaian sasaran pada
unit kerjanya.
2) Konteks eksternal, meliputi:
a) Kondisi politik
b) Kondisi ekonomi lokal, nasional, regional maupun internasional
c) Kondisi sosial dan budaya
d) Perkembangan teknologi
e) Kondisi hukum
f) Kondisi lingkungan alam
g) Pergerakan dan tren utama yang mempengaruhi sasaran organisasi
h) Hubungan,persepsi, nilai, kebutuhan dan harapan para pemangku
kepentingan eksternal
i) Hubungan dan komitmen kontraktual.
j) Kompleksitas dan dependensi jaringan.
3) Konteks internal, meliputi:
a) Visi, misi dan nilai
b) Struktur tata kelola perusahaan, struktur organisasi, peran dan akuntabilitas
c) Sasaran, kebijakan dan strategi perusahaan di tingkat korporat dan unit kerja
 d) Kapabilitas perusahaan, termasuk proses dan prosedur ditinjau dari sumber
daya dan pengetahuan
e) Budaya dan etika perusahaan
f) Berbagai sistem dan standar manajemen yang dianut perusahaan
g) Data, sistem informasi dan alur informasi
h) Hubungan dan komitmen kontraktual
i) Hubungan dengan pemangku kepentingan pemangku internal, dengan
mempertimbangkan persepsi dan nilai mereka
j) Interdependensi dan interkoneksi
b. Roadmap Penerapan Manajemen Risiko
1) Roadmap merupakan rencana tahapan pengembangan penerapan manajemen
risiko yang sejalan dengan kebutuhan peRisk Officermbuhan perusahaan yang
teRisk Officerang dalam RJPP, sebagai dasar bagi perencanaan pengelolaan
risiko per tahun.
2) Roadmap penerapan manajemen risiko perusahaan disusun berdasarkan
kerangka maturitas organisasi dalam menerapkan manajemen risiko (Risk
Maturity Model) yang terdiri dari beberapa level perkembangan, mulai dari level
terendah hingga level tertinggi.
3) Divisi Manajemen Risiko mengkaji dan merekomendasikan model maturitas
risiko yang dapat digunakan sebagai dasar penyusunan Roadmap Manajemen
Risiko perusahaan.
4) Divisi Manajemen Risiko bertanggung jawab untuk mengkaji, menyusun,
mengevaluasi dan menyempurnakan Roadmap Manajemen Risiko perusahaan
serta menyampaikan rekomendasi kepada Direksi untuk ditetapkan
c. Struktur Pengelolaan Risiko (Risk Governance)
1) Perusahaan menjamin struktur tata kelola risiko yang memadai sehingga
penerapan manajemen risiko secara terintegrasi dapat berjalan lancar. Ruang
lingkup struktur tata kelola risiko mencakup seluruh jenjang organisasi termasuk
akuntabilitas dari masing-masing pihak.
2) Jasa Raharja membagi area pengelolaan risiko atas (4) empat bagian yaitu:
a) Pengelolaan risiko di tingkat Korporat;
b) Pengelolaan risiko di tingkat Unit Kerja Kantor Pusat
c) Pengelolaan risiko di tingkat Unit Kerja Kantor Cabang
d) Pengelolaan risiko di tingkat Unit Kerja Kantor Perwakilan
 3) Setiap pegawai harus menemukenali dan mengendalikan risiko yang
menghambat pencapaian sasaran kerja (job objectives) yang menjadi tanggung
jawabnya.
4) Tanggung jawab setiap pegawai pada Huruf 4) di atas, menjadi bagian dari
sistem manajemen kinerja perusahaan.
5) Berikut adalah penjabaran struktur tata kelola risiko Perusahaan:

4. Implementasi
a. Komunikasi dan Informasi Manajemen Risiko
1) Pedoman Manajemen Risiko harus dikomunikasikan kepada seluruh karyawan
agar dapat dipahami dan dilaksanakan. Divisi Manajemen Risiko bertanggung
jawab menyusun program sosialisasi yang sistematis dan terstruktur.
2) Setiap informasi yang relevan harus diidentifikasi, disimpan, diolah dan
dikomunikasikan dalam bentuk yang informatif, terstruktur serta tepat waktu
kepada pihak-pihak yang berkepentingan dengan pengelolaan risiko
perusahaan, baik internal maupun eksternal. Sistem manajemen risiko berbasis
teknologi informasi perlu dikembangkan secara terus-menerus sesuai kebutuhan
efektifitas dan efisiensi pengelolaan risiko.
3) Divisi Manajemen Risiko mengembangkan mekanisme komunikasi dengan para
pemangku kepentingan internal maupun eksternal, dengan tujuan untuk
mendapatkan dukungan dan peRisk Officerkaran informasi yang efektif,
pemenuhan kecukupan informasi sesuai dengan kebijakan yang berlaku serta
kebutuhan tata kelola yang baik sebagaimana gambar 3.4.
b. Akuntabilitas Pelaku Manajemen Risiko
Perusahaan memastikan bahwa peran dan tanggung jawab harus dikomunikasikan
dengan baik, didukung dan dipahami serta dilakukan melalui uraian tugas dan KPI
individu yang relevan. Sesuai Gambar 3.5 pembedaan yang jelas diberlakukan bagi
mereka yang melakukan.
1) Desain sistem
2) Implementasi sistem
3) Evaluasi sistem
4) Perbaikan berkesinambun
 c. Kompetensi Manajemen Risiko
Untuk membangun kapabilitas yang mendasar bagi pengintegrasian manajemen
risiko ke dalam proses bisnis perusahaan, maka strategi pelatihan dikembangkan
dengan cara:

5. Evaluasi
a. Jaminan Pengawasan Efektif
b. Perusahaan mengembangkan proses pemantauan dan tinjau ulang dengan
mempertimbangkan:
c. Peningkatan Ketahanan dan Kelangsungan Bisnis
d. Pengembangan Best Practice dan Networking
e. Indikator Kinerja Perusahaan menetapkan outcome dari setiap tahap proses
manajemen risiko sebagaimana tabel 3.1

6. Perbaikan
Berdasarkan hasil pemantauan dan evaluasi kinerja, perusahaan akan mengambil
langkah-langkah peningkatan mutu kerangka dan proses manajemen risiko secara
berkelanjutan. Tindak lanjut ini diharapkan dapat meningkatkan dan memperbaiki sistem
manajemen risiko perusahaan dan implementasinya, menuju peningkatan budaya sadar
risiko.
C. Proses
Proses Manajemen Risiko merupakan aktifitas dalam penerapan manajemen risiko
berdasarkan prinsip dan kerangka Manajemen Risiko. Seluruh tahapan manajemen risiko
terintegrasi dalam struktur dan operasi Perusahaan. Setiap proses diterapkan secara
sistematis dengan enam bagian utama yaitu komunikasi dan konsultasi, penetapan lingkup
konteks, asesmen risiko, perlakuan risiko, pemantauan dan tinjauan, dan tahap terakhir
adalah pencatatan dan pelaporan

a. Komunikasi dan Konsultasi

Perencanaan komunikasi dan konsultasi harus dibangun sejak tahap awal proses
manajemen risiko, mencakup masalah berkaitan dengan risiko itu sendiri, penyebabnya,
dampaknya dan pengukuran yang diambil untuk perlakuan risiko.

Komunikasi dan konsultasi membantu dalam:

a. Mengidentifikasi risiko;
b. Meningkatkan pemahaman akan risiko;
c. Mengatasi kesalahpahaman;
d. Memastikan bahwa beragam tujuan, sudut pandang, tata nilai dan perspektif lainnya
dari stakeholders adalah dimengerti dan dipertimbangkan;
e. Memungkinkan para stakeholders memahami sudut pandang dan perspektif
organisasi.

Faktor-faktor dalam memperhitungkan perencanaan komunikasi dan konsultasi adalah:

a. Tujuan dan cakupan komunikasi atau konsultansi harus spesifik;

b. Siapa saja yang terlibat didalam proses;
c. Pengetahuan, pengalaman, perspektif dan kapabilitas pihak-pihak lain;
d. Metode dan waktu yang diharapkan;
e. Bagaimana umpan balik dan evaluasi mengenai rencana bisa dicapai.
b. Lingkup, Konteks dan Kriteria
a. Penentuan Ruang Lingkup Ruang lingkup manajemen risiko meliputi pekerjaan-
pekerjaan berikut namun tidak terbatas pada:
b. Konteks Eksternal
Mendefinisikan konteks ini mengharuskan Perusahaan dengan mempertimbangkan
dampak yang ditimbulkan oleh faktor eksternal bagi kegiatan operasional
Perusahaan dan kemampuan mencapai sasaran. Faktor-faktor ini dikaji di tingkat
lokal, regional, nasional dan internasiona
c. Konteks Internal
Pendefinisian konteks internal Perusahaan perlu mempertimbangkan tujuan
Perusahaan, struktur, kemampuan, proses, sumber daya dan pemangku
kepentingan internal
Konteks manajemen risiko merupakan bagian dari konteks internal organisasi.
Konteks internal mengacu pada organisasi itu sendiri, kegiatan yang dilakukan dan
berbagai kemampuan yang tersedia dalam organisasi. Konteks internal adalah
tentang budaya organisasi, sumber daya yang tersedia, menerima keluaran dari
proses manajemen risiko dan memastikan bahwa hal tersebut dapat mempengaruhi
perilaku yang mendukung dan menyediakan tata kelola manajemen risiko. Konteks
internal menyangkut tujuan, kapasitas dan kemampuan organisasi, serta proses inti
bisnis yang ada. Pertimbangan penting mengenai konteks internal adalah
bagaimana organisasi membuat keputusan.
Proses manajemen risiko harus disejajarkan dengan budaya
organisasi/perusahaan, proses-proses, struktur dan strategi. Konteks internal yaitu
segala hal yang ada di dalam organisasi yang dapat mempengaruhi cara organisasi
mengelola risiko. Hal tersebut perlu ditetapkan karena:
Setiap RISK OFFICER pada setiap tingkatan organisasi wajib mengelola risiko, baik
yang terkait dengan kegiatan usaha utama maupun kegiatan usaha pendukung,
yang mencakup 9 (sembilan) risiko yaitu Risiko Strategis, Risiko Operasional, Risiko
Asuransi, Risiko Kredit, Risiko Pasar, Risiko Likuiditas, Risiko Hukum, Risiko
Kepatuhan, dan Risiko Reputasi dengan penjelasan sebagai berikut:
d. Kriteria Risiko
Perusahaan harus menetapkan kriteria yang akan digunakan untuk mengevaluasi
signifikansi risiko. Kriteria tersebut harus mencerminkan nilai, tujuan, dan sumber
daya Perusahaan. Kriteria risiko harus konsisten dengan kebijakan manajemen
risiko Perusahaan, ditetapkan pada awal setiap proses manajemen risiko dan terus
ditinjau. Ketika mendefinisikan kriteria risiko, faktor-faktor yang harus
dipertimbangkan harus mencakup yang berikut:
1) Sifat, jenis penyebab dan dampak yang dapat terjadi dan bagaimana mereka
akan diukur;
2) Bagaimana kemungkinan akan didefinisikan;
3) Kerangka waktu dari kemungkinan dan/atau konsekuensi;
4) Bagaimana tingkat risiko ditentukan;
5) Pandangan para pemangku kepentingan;
6) Tingkat risiko yang dapat diterima atau ditoleransi;
7) Apakah kombinasi berbagai risiko harus diperhitungkan dan, jika demikian,
bagaimana dan kombinasi mana yang harus dipertimbangkan.

1) Kriteria Dampak
Berbagai peristiwa dapat mengarah pada suatu rangkaian sebab-akibat
(masingmasing terkait dengan tujuan-tujuan tertentu) dengan berbagai
kemungkinannya masing-masing. Menentukan jenis dan tingkat dampak
dibutuhkan pengumpulan, penyusunan, dan pertimbangan data relevan yang
tersedia (termasuk yang bersumber dari stakeholders). Terdapat beberapa
teknik untuk mengukur dampak, mulai dari metode-metode kualitatif yang
menggunakan seperangkat deskriptor untuk tingkat risiko (misalnya Tidak
Signifikan, Kecil, Sedang, Besar, Katastropik), hingga teknik-teknik kuantitatif
yang berbasis pada analisis statistik terhadap data historis yang tersedia.
2) Kriteria Kemungkinan
Metode yang digunakan untuk menentukan tingkat kemungkinan harus
konsisten dengan yang digunakan dalam kriteria risiko organisasi. Ada tiga
metode yang umum digunakan untuk memperkirakan kemungkinan. Ini dapat
digunakan secara satu persatu ataupun dikombinasikan. Metodenya adalah
sebagai berikut:
 Menggunakan data historis berdasarkan peristiwa serupa yang telah
terjadi
 Dibentuk dari data yang berkaitan dengan bagian atau komponen
system atau simulasi
 Pendapat terstruktur dari para ahli
 Tabel Kemungkinan digunakan untuk menentukan tingkat Kemungkinan
keterjadian suatu peristiwa (risk event) yang dapat dipakai oleh RISK
OFFICER dalam menganalisis risiko. Kemungkinan dapat ditentukan secara
kualitatif maupun kuantitatif. Dapat berbasis pada data statistika, atau
prediktif, atau teknik simulasi.

e. Validasi Penilaian Risiko oleh RISK OFFICER

1) Tingkat Efektivitas Pengendalian
2) Tingkat Risiko
Langkah berikutnya adalah mengembangkan metode untuk mengkombinasikan
Dampak dan Kemungkinan yang menentukan tingkat risiko.

Sebagaimana Dampak dan Kemungkinan, pilihan teknik untuk

mengkombinasikan Dampak dan Kemungkinan bergantung pada tingkat
maturitas penerapan manajemen risiko, kapabilitas pegawai dan ketersediaan
serta kualitas data. Dalam kondisi awal penerapan manajemen risiko, disarankan
RISK OFFICER menggunakan teknik kualitatif sederhana dan jika diperlukan
pendalaman dapat mengaplikasikan teknik kuantitatif.

Salah satu teknik kualitatif yang lazim adalah menggunakan Peta Risiko. Peta
Risiko menyediakan grafis yang merepresentasikan hubungan antara Dampak
dan Kemungkinan serta implikasi hubungannya. Setiap kotak dalam matriks
merepresentasikan kombinasi pasangan nilai Dampak dan Kemungkinan yang
dikenal sebagai Tingkat Risiko. Setiap kotak juga dapat diberi kode dalam bentuk
angka yang merepresentasikan prioritas risiko.

Dalam hal menganalisis risiko yang sifatnya negatif (downside risk), peta risiko
akan memberikan informasi mengenai seberapa mungkin risiko tersebut terjadi
dan seberapa parah kerugian yang ditimbulkannya jika terjadi. Semakin tinggi
nilai risiko, semakin besar dan signifikan pengaruh negatif dari risiko tersebut
bagi upaya pencapaian sasaran Perusahaan. Dengan demikian, tujuan umum
pengelolaan risiko negatif adalah bagaimana membuat peristiwa yang tidak pasti
tidak terjadi.
Terdapat 4 (empat) opsi perlakuan risiko negatif untuk mengurangi probabilitas
dan dampak dari risiko tersebut, antara lain:
1) Avoid – Menghindari risiko dengan cara mengubah rencana proyek/kegiatan
usaha untuk menghilangkan risiko, misalnya yaitu memperpanjang jadwal,
mengurangi persyaratan spesifikasi, mengurangi ruang lingkup, yang
menjadi tujuan pada awal proyek/kegiatan usaha tersebut dapat tercapai.
2) Transfer – Mentransfer risiko ke pihak ketiga atau pihak yang mampu
bertanggung jawab menangani risiko tersebut, misalnya yaitu Perusahaan
Asuransi.
3) Mitigate – Meringankan risiko dengan mengurangi probabilitas dari risiko
atau mengurangi tingkat dampak risiko.
4) Accept – Menerima risiko yang timbul dari proyek/kegiatan usaha untuk
kemudian, Pemilik Risiko akan memonitor perkembangan risiko seiring
berjalannya proyek/kegiatan usaha.

Strategi perlakuan risiko negatif berkaitan dengan bagaimana mengeliminasi

ancaman suatu risiko negatif agar tidak menjadi penghambat dalam upaya
mencapai sasaran Perusahaan. Opsi perlakuan risiko yang akan dipilih juga
bergantung pada Selera Risiko dan Toleransi Risiko dari manajemen. Opsi
“mitigate” menjadi opsi yang paling sering digunakan oleh Perusahaan dalam
menurunkan tingkat risiko sampai pada batas Toleransi Risiko. Opsi ini
membutuhkan sejumlah alokasi sumber daya tertentu yang ditetapkan
berdasarkan analisis manfaat-biaya (cost-benefit analysis).
Peta risiko didesain tidak hanya untuk menganalisis dampak kerugian atau risiko
negatif (downside risk) akan tetapi pendekatan yang sama dapat juga digunakan
untuk menganalisis peluang/manfaat atau risiko positif (upside risk). Risiko positif
juga dikenal sebagai peluang, yang memberikan dampak positif pada
Perusahaan sehingga risiko tersebut selalu diinginkan untuk terjadi. Risiko atau
peluang positif itu tidak pasti, tetapi kejadian yang menguntungkan jika terjadi
akan berdampak positif pada tujuan Perusahaan. Peluang yang menguntungkan
ini cenderung menghemat biaya dan sumber daya Perusahaan. Tidak seperti
risiko negatif, tujuan risiko positif adalah membuat peristiwa yang tidak pasti ini
akan terjadi. Berikut merupakan 4 (empat) strategi respon positif untuk
memperkuat peluang risiko:
 1) Exploit – meningkatkan kemungkinan ketercapaian risiko positif dengan
menetapkan sumber daya yang paling berkualitas pada posisi strategis.
Misalnya pada proyek pengembangan aplikasi JRku, Perusahaan
menempatkan pegawai yang memiliki kompetensi IT yang unggul, dengan
harapan bahwa usahanya dapat mengelola waktu proyek dengan tepat dan
memiliki langkah strategis penerapan teknologi yang beRisk Officerjuan
untuk mengurangi biaya dan durasi waktu yang diperlukan dalam
merealisasikan pengembangan aplikasi JRku sesuai yang telah
direncanakan.
2) Enhance – meningkatkan kemungkinan ketercapaian risiko positif dengan
menambahkan lebih banyak sumber daya. Misalnya pada proyek
pengembangan aplikasi JRku, Perusahaan menambahkan lebih banyak
kapasitas sumber daya pada kegiatan proyek agar proyek dapat
diselesaikan lebih awal dan memenuhi tujuan proyek.
3) Share – untuk merealisasikan risiko positif diperlukan kolaborasi dengan
pihak lain.
4) Accept – risiko positif terjadi tanpa ada upaya yang lebih untuk
merealisasikannya. Strategi yang paling sering dilakukan untuk
meningkatkan peluang terjadinya risiko positif adalah “exploit”. Strategi ini
relatif tidak memerlukan tambahan sumber daya di luar yang telah dimiliki
oleh Perusahaan. Sedangkan, strategi yang paling jarang dilakukan adalah
“accept”. Hal ini dikarenakan risiko positif sangat jarang terjadi jika tidak
dilakukan suatu upaya untuk merealisasikannya.

3) Toleransi Risiko
Semua organisasi terekspos kepada serangkaian risiko (baik ancaman/kerugian
maupun peluang/manfaat) dengan tingkat keparahan bervariasi. RISK OFFICER
perlu menentukan level/tingkatan Perusahaan dapat menerima atau menoleransi
risiko tertentu tanpa mengubah tingkat risiko. Pada umumnya, hal ini merupakan
keputusan Direksi dan bergantung kepada konteks internal dan eksternal
Perusahaan, termasuk faktor-faktor:
 Jasa layanan utama yang disediakan perusahaan;
 Lingkungan operasional perusahaan;
 Jenis dampak dari risiko (misalnya reputasi, keuangan, keselamatan);
  Para pemangku kepentingan internal dan eksternal, persepsinya terhadap
risiko dan banyaknya risiko yang dipersiapkan untuk diterima oleh
Perusahaan di semua tingkatan Manajemen.

Perusahaan perlu untuk memastikan pentingnya kesadaran bersama terhadap

tingkat risiko yang ditetapkan sebagai pegangan bagi Perusahaan dalam
memutuskan untuk mengambil atau mentolerir risiko. Hal ini memungkinkan
pengambilan keputusan dilakukan secara konsisten dalam mengelola risiko.
Toleransi risiko terekspresikan secara praktis dalam tindakan penanganan risiko
dan poin-poin eskalasi dalam peta risiko.

c. Penilaian Risiko
Penilaian risiko (Risk Assessment) adalah pendekatan terstruktur untuk mengidentifikasi
dan menganalisis ketidakpastian yang ada dalam pencapaian sasaran organisasi.
Penilaian risiko memungkinkan suatu organisasi untuk:
1. Menemukenali risiko-risiko yang mungkin terjadi pada suatu organisasi;
2. Memahami risiko-risiko tersebut sehingga signifikansi risiko dapat dinilai dan tingkat
risiko dapat dievaluasi berdasarkan kriteria risiko organisasi;
3. Mengidentifikasi kemungkinan risiko dapat diterima atau dimodifikasi;
4. Mempertimbangkan efek modifikasi relatif dari berbagai opsi perlakuan risiko.

Penilaian Risiko yang efektif terdiri dari tiga fase terpisah yaitu: identifikasi risiko, analisis
risiko, dan evaluasi risiko. Penilaian risiko secara komprehensif harus dilakukan untuk
memungkinkan organisasi mengidentifikasi hal-hal berikut:

1. Karakteristik risiko, bila dibandingkan dengan kriteria, dapat diterima atau ditoleransi
atau dimodifikasi;
2. Efek modifikasi dari kontrol yang sudah ada;
3. Agar risiko tersebut dapat dipahami dengan lebih baik dan agar penanganan yang
tepat dapat direncanakan dan dilaksanakan, maka risiko-risiko tersebut diperlukan
analisis risiko yang lebih terperinci.

Beberapa institusi telah membuat panduan dalam hal teknik-teknik penilaian risiko yang
menyediakan petunjuk tentang setiap langkah dalam proses manajemen risiko dan
menyarankan alat-alat yang dapat digunakan untuk melaksanakan setiap fase. Pedoman
ini beRisk Officerjuan untuk merefleksikan praktek terbaik saat ini dalam menyeleksi dan
 menggunakan peralatan asesmen risiko yang dapat diterapkan pada berbagai sektor dan
jenis sistem.

1. Identifikasi Risiko
Identifikasi Risiko adalah proses menemukenali, menguraikan, dan mencatat
ketidakpastian yang dapat meningkatkan atau sebaliknya menghambat kemampuan
organisasi dalam mencapai sasarannya. Risiko-risiko teridentifikasi membentuk basis
untuk analisis lebih lanjut, evaluasi, dan perlakuan risiko. Oleh karena itu, identifikasi
risiko merupakan aspek paling penting dalam proses manajemen risiko yang dijalankan
oleh organisasi
Dalam mengidentifikasi risiko, Pemilik Risiko tidak hanya mempertimbangkan ancaman
kerugian saja namun juga peluang yang bermanfaat, misalnya berkurangnya tindak
kriminal dengan menambah petugas dalam patroli keamanan. Pada saat
mengindentifikasi risiko, setiap Kontrol Terkini juga diidentifikasi sekaligus.
a. Area risiko
Setiap Pemilik Risiko perlu menentukan risiko-risiko yang paling relevan dengannya.
Sebagai bagian dari penetapan konteksnya, maka Pemilik Risiko perlu
mengembangkan pemahaman terhadap sasaran organisasi dan kecenderungan-
kecenderungannya serta faktor pemicu utama yang dapat mempengaruhi
kemampuan Pemilik Risiko mencapai sasarannya. Perlu dipertimbangkan beberapa
atau seluruh faktor di bawah ini terkait dampak positif dan negatif terhadap sasaran
organisasi, yaitu:
1) Governance
2) Fraud / korupsi
3) Sumberdaya
4) Kepatuhan legislatif dan kontraktual
5) Kebijakan, program: peristiwa-peristiwa yang dapat melemahkan atau
meningkatkan penyelesaian kebijakan, program, dan proyek secara tepat waktu
dan anggaran, atau kualitas hasilnya
6) Keberlanjutan operasi dan jasa layanan: peristiwa-peristiwa yang dapat
menyebabkan gangguan terhadap operasi dan jasa layanan
7) Kerusakan lingkungan: peristiwa-peristiwa yang dapat merusak lingkungan.
8) Kesehatan dan keselamatan kerja: peristiwa-peristiwa yang dapat menimbulkan
penyakit berbahaya, kecelakaan atau kematian pegawai, klien, kontraktor, atau
pihak lainnya.
 9) Pengadaan barang dan jasa
10) Pelaporan

b. Cara mengidentifikasi risiko

Banyak alat dan teknik yang dapat digunakan untuk mengidentifikasi risiko. Pilih
metode terbaik yang cocok dengan sasaran organisasi, kapabilitas, maturitas
manajemen risiko, dan sifat risiko yang ditemukenali. Beberapa pendekatan untuk
mengidentifikasi risiko adalah sebagai berikut:
1) Risk self-assessment: setiap Unit Kerja meninjau sasaran dan aktifitas
pencapaian sasarannya masing-masing, serta kejadian-kejadian yang
mempengaruhi pencapaian sasaran. Asesmen risiko dapat dilakukan dalam
workshop formal yang difasilitasi oleh Divisi Manajemen Risiko atau fasilitor
profesional.
2) Commissioned risk review: suatu tim dibentuk untuk meninjau operasi dan
aktifitas organisasi dalam rangka mengartikulasi sasaran organisasi dan
mengidentifikasi kejadian-kejadian yang dapat mempengaruhi pencapaian
sasaran.
c. Cara mendeskripsikan risiko
Setelah teridentifikasi, risiko harus dideskripsikan dan didokumentasikan sehingga:
1) Sumber, kejadian, dan dampaknya terhadap sasaran organisasi ditetapkan dan
dibedakan secara konsisten dan jelas.
2) Mereka yang tidak terlibat dalam proses asesmen risiko dapat lebih mudah
memahami data risiko

2. Analisis Risiko
Analisis risiko adalah proses untuk memahami sifat dan tingkat risiko sehingga Pemilik
Risiko dapat membuat keputusan apakah suatu risiko perlu diberi perlakuan atau tidak.
Pemilik Risiko harus mendokumentasikan setiap langkah dalam asesmen risiko untuk
setiap risiko. Dalam analisis risiko perlu mempertimbangkan faktor-faktor berikut ini:
 Informasi yang berhubungan dengan risiko yang mungkin muncul dalam identifikasi
risiko
 Efek dan reliabilitas kontrol;
 Informasi tambahan dalam konteks pendapat;
  Mendukung data statistik, hasil dari modeling prediksi, dan pertimbangan dari para
ahli;
 Kriteria risiko yang dibangun ketika membangun konsep.

3. Evaluasi Risik
Evaluasi Risiko adalah proses untuk memutuskan risiko yang memerlukan perlakuan
lebih lanjut dalam rangka mencapai sasaran. Evaluasi risiko berbasis pada analisis
risiko. Hal ini mencakup penentuan suatu risiko tertentu, setelah kontrol terkini
dijalankan, dibandingkan dengan tingkat risiko yang dapat diterima atau ditolerir,
membutuhkan tindakan atau perlakuan risiko yang diprioritaskan lebih lanjut.
Pedoman ini merekomendasikan risiko diperiksa dan mengidentifikasi risiko yang paling
signifikan untuk diberikan perlakuan risiko, berdasarkan kriteria risiko yang ditetapkan
pada tahap Penentuan Konteks. Penting untuk meninjau ulang kriteria risiko agar lebih
tepat dalam pengambilan keputusan. Setidaknya ada dua kriteria yang dapat digunakan
dalam hal ini, yaitu:
a. Signifikansi berdasarkan tingkat risiko, dalam hal ini lebih mempertimbangkan tidak
hanya tingkat risiko yang tinggi, tetapi juga risiko dengan tingkat Dampak
berbahaya.
b. Signifikansi peluang/manfaat yang diperoleh jika risiko ditangani lebih lanjut,
terutama untuk kasus dengan tingkat risiko tinggi atau sangat tinggi. Risiko yang
berpengaruh terhadap bisnis inti perusahaan, perlu dipertimbangkan untuk
ditangani/diambil meskipun tingkat risiko yang tinggi maupun sangat tinggi.

Risiko-risiko yang paling tidak dapat ditoleransi memperoleh prioritas tertinggi untuk
perlakuan lebih lanjut.

Evaluasi ini bertujuan pada pengambilan keputusan untuk:

a. Menangani risiko tanpa analisis lebih lanjut.

b. Risiko tidak signifikan dan tidak perlu penanganan lebih lanjut.
c. Perlu analisis lebih mendalam guna memastikan risiko perlu ditangani atau tidak.
d. Perlakukan Risiko
Penanganan risiko mencakup pemilihan satu atau lebih cara untuk memperlakukan
risikorisiko dan kemudian mengimplementasikannya.
Penanganan suatu risiko melibatkan beberapa siklus proses sebagai berikut:
a. Menilai sebuah metode penanganan risiko;
b. Memutuskan apakah tingkat risiko residual bisa ditoleransi;
c. Jika tidak bisa ditoleransi, maka akan diusulkan sebuah metode penanganan risiko
yang baru;
d. Menilai apakah penanganan tersebut efektif.

Pilihan metode penanganan risiko tidaklah selalu harus ekslusif atau cocok di setiap
situasi. Pilihan metode-metode tersebut dapat berupa:
a. Menghindari risiko dengan tidak memulai atau meneruskan aktivitas yang
mengundang risiko tersebut;
b. Mengambil risiko dengan tujuan untuk mengejar peluang;
c. Menghilangkan sumber risiko tersebut;
d. Mengubah konsekuensi;
e. Membagi risiko dengan pihak ketiga;

1. Risk Register
Untuk mengelola risiko secara efektif, perlu partisipasi para pemangku kepentingan.
Dalam hal ini, mereka berhak atas informasi tentang risiko yang dihadapi
perusahaan, termasuk bagaimana risiko mengalami perubahan dari waktu ke waktu
dan terasosiasi dengan strategi penanganan risiko.
Cara yang paling populer mendokumentasikan informasi ini adalah menggunakan
daftar risiko atau risk register. Risk register menyediakan informasi holistik
mengenai risiko dan memungkinkan stakeholders kunci mengambil keputusan
terinformasi (informed decision) terkait risiko dan pengelolaannya. Risk register juga
membantu menemukan informasi yang dibutuhkan oleh Direksi, Dewan Komisaris
dan KomiteKomite, Manajemen Senior, atau stakeholders lainnya yang relevan.
Pemilik Risiko harus menggunakan risk register untuk mendokumentasikan dan
mengelola semua risiko yang dihadapi oleh organisasinya, termasuk risiko strategis
 serta risiko-risiko yang ditemukan pada proyek-proyek atau program tertentu. Unit
kerja yang besar dan kompleks mungkin lebih terbantu jika dikembangkan hierarki
risk register untuk menunjang dan merefleksikan kerangka perencanaannya.
Tanggung jawab pemeliharaan risk register harus diberikan di setiap tingkat
organisasi. Contohnya, risk register di level korporat menjadi tanggung jawab Divisi
Manajemen Risiko.

2. Profil Risiko
Profil risiko adalah ringkasan yang digunakan untuk menampilkan ikhtisar informasi
yang ada dalam risk register. Tujuan penyusunan profil risiko adalah untuk
membangun pemahaman organisasional yang konsisten terhadap risiko-risiko yang
signifikan dan pengendaliannya. Profil risiko dapat:
a. Meringkas dan memberi nilai tambah terhadap informasi yang ada dalam risk
register bagi Pemilik Risiko, Manajemen, Direksi, Dewan Komisaris dan
KomiteKomitenya, serta stakeholders kunci lainnya.
b. Membantu mengidentifikasi Sasaran yang terasosiasi dengan ketidakpastian
yang sangat besar.
c. Fokus terhadap risiko-risiko signifikan dan pengendaliannya.
d. Melacak perkembangan implementasi dan efektivitas kontrol terhadap risiko.
e. Melacak bagaimana risiko berubah dari waktu ke waktu.
f. Menginformasikan perbaikan secara berkelanjutan pada kinerja organisasional.

3. Perlakuan Risiko
Perlakuan risiko bertujuan untuk mengendalikan risiko-risiko berbahaya dengan
cara mengembangkan perlakuan yang relevan untuk mengendalikan penyebab
risiko, mengukur efektivitas perlakuan tersebut, dan jika perkiraan nilai Risiko
Tersisa tetap pada tingkat yang tidak bisa ditolerir, maka akan disiapkan perlakuan
alternatif. Perlakuan risiko dikembangkan oleh, dan berada di bawah arahan Pemilik
Risiko. Sebagaimana asesmen risiko, perlakuan risiko dapat dikembangkan oleh
sebuah Tim yang sama dengan saat pelaksanaan asesmen risiko, atau Tim yang
berbeda. Evaluasi Efektivitas Kontrol Terkini yang telah dilaksanakan sebagai
bagian dari proses asesmen risiko, dapat membantu dalam menentukan apakah
kontrol terkini perlu dimodifikasi atau menggantinya dengan perlakuan risiko yang
baru.
4. Seleksi opsi perlakuan
Menghilangkan semua risiko adalah hal yang tidak mungkin. Perlakuan risiko harus
tepat biaya, dapat dilaksanakan dan sepadan dengan tingkat risiko, khususnya
ketika menangani risiko yang berada di kelompok kuning (atau moderat) dalam peta
risiko. Dalam seleksi perlakuan risiko yang paling cocok atau kombinasi beberapa
perlakuan, Pemilik Risiko perlu menyeimbangkan biaya dan sumber daya yang
diperlukan dengan manfaat yang diharapkan. Baik biaya (keuangan dan non-
keuangan) maupun manfaat harus dipertimbangkan dalam melakukan proses
penyeleksian ini.
Pengelompokan risiko ke dalam kategori, seperti keuangan, jasa layanan,
lingkungan dan keselamatan, dapat membantu mengembangkan perlakuan risiko
yang tepat biaya. Karena suatu perlakuan terpilih dapat mempengaruhi beberapa
risiko sekaligus, maka Pemilik Risiko harus meninjau ulang kecocokan perlakuan
risiko yang diusulkan dalam mengeliminasi setiap konflik (tumpang-tindih) dan
menghilangkan setiap duplikasi.
Selain dari analisi manfaat-biaya, hal lain yang perlu dipertimbangkan dalam seleksi
perlakuan risko adalah persepsi stakeholders. Stakeholders kunci harus diajak
berkonsultasi sehingga Pemangku Kepentingan dapat memahami dan
mempertimbangkan persepsi dan pengalaman para stakeholders sebelum
memutuskan menggunakan suatu kontrol tertentu.

5. Mengembangkan Rencana Perlakuan Risiko

Setelah dipilih, perlakuan risiko terpilih harus dikembangkan oleh Pemilik Risiko
menjadi rencana perlakuan risiko yang rinci sehingga:
a. Perlakuan risiko dapat diimplementasikan secara efektif dan tepat waktu.
b. Kinerja dan ukuran keberhasilan dapat ditetapkan bagi perlakuan risiko
sehingga organisasi dapat memonitor dan meninjau efektivitasnya dari waktu
ke waktu (ongoing effectiveness).
c. Pemilik Risiko dapat mendemonstrasikan aplikasi dari manajemen risiko dalam
organisasi.
 6. Business Continuity Management (BCM)
Risiko–risiko yang memiliki dampak katastropik dan mempengaruhi kelangsungan
fungsi bisnis kritikal perusahaan, perlakuannya diatur dalam Business Continuity
Management (BCM).
BCM merupakan proses manajemen terpadu yang mencakup proses Analisa
Dampak Bisnis (Business Impact Analysis), Risk Assessment (RA), pengembangan
strategi pemulihan, penyusunan, uji coba, dan pemeliharaan (pengkinian) prosedur
BCM serta audit internal implementasi BCM.
Sebagai komitmen Jasa Raharja untuk memberikan layanan yang prima kepada
stakeholders sekaligus memenuhi ketentuan Regulator, Perusahaan
mengimplementasikan BCM yang menjamin kelangsungan fungsi bisnis kritikal saat
terjadi gangguan atau bencana.
Penanganan gangguan atau bencana harus segera direspon dengan baik, cepat
dan tepat sesuai dengan perencanaan yang telah disusun, sehingga dapat
memitigasi potensi risiko operasional dan risiko reputasi Perusahaan.
Implementasi BCM merupakan bagian dari implementasi sistem manajemen risiko
Perusahaan. Kolaborasi antara Manajemen Risiko dan BCM akan menciptakan
daya tahan tinggi dan kemampuan adaptasi yang flesibel terhadap segala situasi.

e. Pemantauan dan Tinjauan

1. Model Elemen Proses
Pemantauan dan tinjauan adalah dua teknik yang dimaksudkan untuk mengetahui
perubahan dan menentukan validitas berkelanjutan dari suatu perkiraan-perkiraan.
Baik pemantauan maupun tinjauan adalah bagian dari proses manajemen risiko
yang seharusnya direncanakan dan melibatkan pemeriksaan rutin atau
pengawasan. Dapat dilakukan secara periodik atau ad hoc.
Tanggung jawab untuk melakukan pemantauan dan tinjauan harus ditetapkan
dengan jelas. Proses pemantauan dan peninjauan sebaiknya mencakup seluruh
aspek proses manajemen risiko dengan tujuan sebagai berikut:
a. Memastikan bahwa pengendalian efektif dan efisien baik dalam perencanaan
maupun operasional;
b. Memperoleh informasi lebih lanjut untuk meningkatkan penilaian risiko;
 c. Menganalisis dan mengambil pembelajaran dari kejadian-kejadian (termasuk
hampir kejadian), perubahan-perubahan, tren, keberhasilan dan kegagalan;
d. Mendeteksi perubahan dalam konteks eksternal dan internal, termasuk
perubahan dalam kriteria risiko dan risiko itu sendiri yang memerlukan perbaikan
pada perlakuan dan prioritas risiko; dan
e. Menemukenali risiko yang timbul.

2. Peninjauan Proses Manajemen Risiko

Peninjauan Proses manajemen Risiko harus terus-menerus dilakukan secara
menyeluruh untuk memastikan strategi manajemen risiko organisasi yang tepat dan
up to date. Hal tesebut dapat dilakukan dengan mempertimbangkan isu-isu pada
setiap tahap dari proses manajemen risiko,
Sebagai hasil tinjauan tersebut, akan ditemukan bahwa proses manajemen risiko
membutuhkan perbaikan, serta dapat pula ditemukan bahwa pemantauan dan
penelaahan terhadap proses manajemen risiko dapat digunakan sebagai masukan
dalam tinjau ulang kerangka kerja manajemen risiko. Setiap perubahan rencana
manajemen risiko perusahaan atau kerangka kerja manajemen risiko perusahaan
harus secara resmi disetujui sesuai dengan kebijakan manajemen risiko dan
didokumentasikan.

3. Mengukur Kinerja Manajemen Risiko

Untuk dapat secara efektif memantau dan meninjau kemajuan dan kinerja dari
aktivitas manajemen risiko yang diadopsi oleh perusahaan, maka perlu
dikembangkan indikator kinerja risiko kunci yang sesuai. Indikator kinerja risiko
utama yang paling efektif harus terkait dengan tujuan organisasi dan teRisk
Officerang dalam manajemen kinerja organisasi dan sistem pelaporan. Kemajuan
dalam melaksanakan rencana perlakuan risiko adalah ukuran kinerja kualitatif yang
dapat dimasukkan ke dalam sistem manajemen kinerja dan pelaporan secara
keseluruhan organisasi.

4. Key Risk Indicator (KRI)

Setelah risiko teridentifikasi, perlu untuk menentukan risiko kunci yaitu risiko yang
paling signifikan menghambat pencapaian sasaran (key performance indicator).
Risiko tersebut kemudian dianalisa melalui root cause analysis untuk mencari akar
 penyebab munculnya risiko tersebut. Selanjutnya mencari indikator-indikator apa
yang bisa digunakan sebagai alat ukur untuk memonitor seberapa besarnya
pengaruh penyebab risiko tersebut terhadap timbulnya risiko kunci. Dalam hal ini
diperlukan suatu parameter yang jelas untuk suatu kejadian risiko dan menentukan
threshold (batasan baik maksimum maupun minimum). Dari hasil analisa tersebut
ditetapkan indikator risiko kunci yang memiliki data paling tersedia dan paling
relevan terhadap penyebab risiko. Indikator risiko kunci tersebut ditetapkan sebagai
Key Risk Indicator (KRI).
KRI merupakan salah satu indikator dalam proses manajemen risiko yang memiliki
keterkaitan dalam menunjukkan indikator Internal kontrol yang tidak efektif.KRI (Key
Risk Indicator) adalah perangkat yang umum digunakan untuk mengidentifikasi dan
menganalisis risiko sejak dini atas naik-turunnya indikator-indikator tingkat risiko
dalam rangka pengendalian setiap risiko operasional yang melekat pada setiap
aktivitas bisnis dan operasional perusahaan.
Perusahaan yang menerapkan KRI akan mendapatkan manfaat antara lain dapat
memantau dan memprediksi eksposur risiko operasional, mengidentifikasi
perubahan profil risiko dan memberikan masukan/ pertimbangan kepada Audit
Intern dalam menyusun perencanaan audit.

5. Loss Event Database (LED)

LED merupakan perangkat manajemen risiko yang digunakan untuk mengelola data
risiko yang telah terjadi dalam operasional perusahaan. LED berisi catatan risiko
yang terjadi pada tahun berjalan baik yang telah diidentifikasi dalam profil risiko
maupun tidak.
Kerugian risiko operasional harus dicatat dalam suatu database dengan tujuan
untuk memudahkan pengelolaan data kerugian secara terstruktur dan konsisten,
serta untuk memastikan bahwa semua kejadian yang menimbulkan kerugian telah
ditindaklanjuti sesuai dengan ketentuan yang berlaku, sehingga penerapan
manajemen risiko perusahaan dapat berjalan secara efektif dan efisien.
LED digunakan untuk melakukan validasi setiap proses penilaian risiko. Selain itu,
LED juga digunakan untuk memastikan bahwa proses pengendalian internal sudah
cukup memadai.
f. Pencatatan dan Laporan
Proses dan hasil keluaran manajemen risiko sebaiknya didokumentasikan dan
dilaporkan melalui mekanisme yang sesuai. Pencatatan dan pelaporan beRisk
Officerjuan untuk:
1. Mengomunikasikan aktivitas manajemen risiko dan hasil keluaran dari manajemen
risiko ke seluruh organisasi;
2. Memberikan informasi untuk pengambilan keputusan;
3. Meningkatkan aktivitas manajemen risiko;
4. Membantu interaksi dengan pemangku kepentingan, termasuk pihak yang memiliki
tanggung jawab dan akuntabilitas untuk aktivitas manajemen risiko.
5. Meningkatkan kepatuhan perusahaan terhadap ketentuan dan peraturan
perundangundangan

Pencatatan merupakan proses pendokumentasian aktivitas manajemen risiko yang tidak

hanya menjadi pembuktian, namun dikelola menjadi sumber informasi bagi pengambil
keputusan. Aktivitas pencatatan yang dilakukan, tetapi tidak terbatas pada:
1. Pustaka risiko (termasuk pengkinian risiko secara berkala);
2. Loss Event database;
3. Notulensi dan dokumentasi kegiatan

Pelaporan sebagai bagian integral dari tata kelola organisasi dan sebaiknya
meningkatkan mutu dialog dengan pemangku kepentingan dan mendukung Direksi dan
Dewan Komisaris dalam memenuhi tanggung jawab mereka. Faktor yang perlu
dipertimbangkan dalam pelaporan mencakup, tetapi tidak terbatas pada:
1. Berbagai perbedaan pemangku kepentingan yang berbeda serta kebutuhan dan
persyaratan informasi mereka yang khusus;
2. Biaya, frekuensi, dan ketepatan waktu pelaporan;
3. Metode pelaporan;
4. Relevansi informasi terhadap sasaran dan pengambilan keputusan organisasi.