A.
1. Prinsip-prinsip yang menjadi panduan dasar bagi setiap Risk Officer, yaitu:
a. Manajemen risiko harus terintegrasi ke dalam proses bisnis dari semua
aktivitas organisasi
1) Setiap pejabat di semua level organisasi merupakan RISK OFFICER yang
memiliki otoritas dan kewenangan untuk mengelola risiko pada unit kerja yang
dipimpinnya.
2) Proses manajemen risiko tidak dapat berdiri sendiri dan terpisah dari proses
bisnis inti maupun proses penunjangnya. Oleh karena itu, setiap RISK OFFICER
harus menjadikan manajemen risiko sebagai bagian integral dari setiap proses
bisnis yang menjadi tanggung jawabnya.
b. Manajemen risiko adalah khas untuk penggunanya (customized)
Setiap RISK OFFICER di semua level organisasi harus memastikan bahwa risiko
yang diidentifikasi dan dikelola pada unit kerja yang dipimpinnya merupakan risiko
yang bersumber dari dan diukur berdasarkan kerangka kerja dan proses
manajemen risiko yang disesuaikan dan proporsional dengan konteks eksternal dan
internal organisasi yang berkaitan dengan sasarannya
2. Integrasi
Integrasi manajemen risiko bergantung pada pemahaman terhadap struktur dan konteks
organisasi. Struktur berbeda bergantung pada tujuan, sasaran, dan kompleksitas
organisasi. Risiko dikelola di semua bagian struktur organisasi. Tiap orang di organisasi
bertanggung jawab terhadap pengelolaan risiko. Tata kelola memandu arah organisasi,
hubungan eksternal dan internalnya, serta peran, proses, dan praktik yang diperlukan
untuk mencapai tujuannya. Struktur manajemen menerjemahkan arahan tata kelola
menjadi strategi dan sasaran terkait yang diperlukan untuk mencapai tingkat yang
diinginkan dari kinerja berkelanjutan yang bersifat jangka panjang. Penentuan
akuntabilitas dan peran pengawasan manajemen risiko didalam organisasi adalah
bagian integral dari tata kelola organisasi. Pedoman Manajemen Risiko 37 Integrasi
manajemen risiko ke dalam organisasi adalah proses yang dinamis dan berulang, serta
sebaiknya disesuaikan dengan kebutuhan dan budaya organisasi. Manajemen risiko
sebaiknya menjadi bagian dan tidak terpisahkan dari tujuan, tata kelola, kepemimpinan
dan komitmen, strategi, sasaran, serta kegiatan operasional Perusahaan.
3. Desain
a. Pengenalan Konteks Perusahaan
1) Sebelum menyusun perencanaan manajemen risiko, maka RISK OFFICER
harus mengevaluasi dan memahami pengaruh, kecenderungan (trends), dan
faktorfaktor kunci dari konteks bisnisnya yang meliputi konteks eksternal dan
internal, termasuk pengaruh dan dampaknya terhadap pencapaian sasaran pada
unit kerjanya.
2) Konteks eksternal, meliputi:
a) Kondisi politik
b) Kondisi ekonomi lokal, nasional, regional maupun internasional
c) Kondisi sosial dan budaya
d) Perkembangan teknologi
e) Kondisi hukum
f) Kondisi lingkungan alam
g) Pergerakan dan tren utama yang mempengaruhi sasaran organisasi
h) Hubungan,persepsi, nilai, kebutuhan dan harapan para pemangku
kepentingan eksternal
i) Hubungan dan komitmen kontraktual.
j) Kompleksitas dan dependensi jaringan.
3) Konteks internal, meliputi:
a) Visi, misi dan nilai
b) Struktur tata kelola perusahaan, struktur organisasi, peran dan akuntabilitas
c) Sasaran, kebijakan dan strategi perusahaan di tingkat korporat dan unit kerja
d) Kapabilitas perusahaan, termasuk proses dan prosedur ditinjau dari sumber
daya dan pengetahuan
e) Budaya dan etika perusahaan
f) Berbagai sistem dan standar manajemen yang dianut perusahaan
g) Data, sistem informasi dan alur informasi
h) Hubungan dan komitmen kontraktual
i) Hubungan dengan pemangku kepentingan pemangku internal, dengan
mempertimbangkan persepsi dan nilai mereka
j) Interdependensi dan interkoneksi
b. Roadmap Penerapan Manajemen Risiko
1) Roadmap merupakan rencana tahapan pengembangan penerapan manajemen
risiko yang sejalan dengan kebutuhan peRisk Officermbuhan perusahaan yang
teRisk Officerang dalam RJPP, sebagai dasar bagi perencanaan pengelolaan
risiko per tahun.
2) Roadmap penerapan manajemen risiko perusahaan disusun berdasarkan
kerangka maturitas organisasi dalam menerapkan manajemen risiko (Risk
Maturity Model) yang terdiri dari beberapa level perkembangan, mulai dari level
terendah hingga level tertinggi.
3) Divisi Manajemen Risiko mengkaji dan merekomendasikan model maturitas
risiko yang dapat digunakan sebagai dasar penyusunan Roadmap Manajemen
Risiko perusahaan.
4) Divisi Manajemen Risiko bertanggung jawab untuk mengkaji, menyusun,
mengevaluasi dan menyempurnakan Roadmap Manajemen Risiko perusahaan
serta menyampaikan rekomendasi kepada Direksi untuk ditetapkan
c. Struktur Pengelolaan Risiko (Risk Governance)
1) Perusahaan menjamin struktur tata kelola risiko yang memadai sehingga
penerapan manajemen risiko secara terintegrasi dapat berjalan lancar. Ruang
lingkup struktur tata kelola risiko mencakup seluruh jenjang organisasi termasuk
akuntabilitas dari masing-masing pihak.
2) Jasa Raharja membagi area pengelolaan risiko atas (4) empat bagian yaitu:
a) Pengelolaan risiko di tingkat Korporat;
b) Pengelolaan risiko di tingkat Unit Kerja Kantor Pusat
c) Pengelolaan risiko di tingkat Unit Kerja Kantor Cabang
d) Pengelolaan risiko di tingkat Unit Kerja Kantor Perwakilan
3) Setiap pegawai harus menemukenali dan mengendalikan risiko yang
menghambat pencapaian sasaran kerja (job objectives) yang menjadi tanggung
jawabnya.
4) Tanggung jawab setiap pegawai pada Huruf 4) di atas, menjadi bagian dari
sistem manajemen kinerja perusahaan.
5) Berikut adalah penjabaran struktur tata kelola risiko Perusahaan:
4. Implementasi
a. Komunikasi dan Informasi Manajemen Risiko
1) Pedoman Manajemen Risiko harus dikomunikasikan kepada seluruh karyawan
agar dapat dipahami dan dilaksanakan. Divisi Manajemen Risiko bertanggung
jawab menyusun program sosialisasi yang sistematis dan terstruktur.
2) Setiap informasi yang relevan harus diidentifikasi, disimpan, diolah dan
dikomunikasikan dalam bentuk yang informatif, terstruktur serta tepat waktu
kepada pihak-pihak yang berkepentingan dengan pengelolaan risiko
perusahaan, baik internal maupun eksternal. Sistem manajemen risiko berbasis
teknologi informasi perlu dikembangkan secara terus-menerus sesuai kebutuhan
efektifitas dan efisiensi pengelolaan risiko.
3) Divisi Manajemen Risiko mengembangkan mekanisme komunikasi dengan para
pemangku kepentingan internal maupun eksternal, dengan tujuan untuk
mendapatkan dukungan dan peRisk Officerkaran informasi yang efektif,
pemenuhan kecukupan informasi sesuai dengan kebijakan yang berlaku serta
kebutuhan tata kelola yang baik sebagaimana gambar 3.4.
b. Akuntabilitas Pelaku Manajemen Risiko
Perusahaan memastikan bahwa peran dan tanggung jawab harus dikomunikasikan
dengan baik, didukung dan dipahami serta dilakukan melalui uraian tugas dan KPI
individu yang relevan. Sesuai Gambar 3.5 pembedaan yang jelas diberlakukan bagi
mereka yang melakukan.
1) Desain sistem
2) Implementasi sistem
3) Evaluasi sistem
4) Perbaikan berkesinambun
c. Kompetensi Manajemen Risiko
Untuk membangun kapabilitas yang mendasar bagi pengintegrasian manajemen
risiko ke dalam proses bisnis perusahaan, maka strategi pelatihan dikembangkan
dengan cara:
5. Evaluasi
a. Jaminan Pengawasan Efektif
b. Perusahaan mengembangkan proses pemantauan dan tinjau ulang dengan
mempertimbangkan:
c. Peningkatan Ketahanan dan Kelangsungan Bisnis
d. Pengembangan Best Practice dan Networking
e. Indikator Kinerja Perusahaan menetapkan outcome dari setiap tahap proses
manajemen risiko sebagaimana tabel 3.1
6. Perbaikan
Berdasarkan hasil pemantauan dan evaluasi kinerja, perusahaan akan mengambil
langkah-langkah peningkatan mutu kerangka dan proses manajemen risiko secara
berkelanjutan. Tindak lanjut ini diharapkan dapat meningkatkan dan memperbaiki sistem
manajemen risiko perusahaan dan implementasinya, menuju peningkatan budaya sadar
risiko.
C. Proses
Proses Manajemen Risiko merupakan aktifitas dalam penerapan manajemen risiko
berdasarkan prinsip dan kerangka Manajemen Risiko. Seluruh tahapan manajemen risiko
terintegrasi dalam struktur dan operasi Perusahaan. Setiap proses diterapkan secara
sistematis dengan enam bagian utama yaitu komunikasi dan konsultasi, penetapan lingkup
konteks, asesmen risiko, perlakuan risiko, pemantauan dan tinjauan, dan tahap terakhir
adalah pencatatan dan pelaporan
1) Kriteria Dampak
Berbagai peristiwa dapat mengarah pada suatu rangkaian sebab-akibat
(masingmasing terkait dengan tujuan-tujuan tertentu) dengan berbagai
kemungkinannya masing-masing. Menentukan jenis dan tingkat dampak
dibutuhkan pengumpulan, penyusunan, dan pertimbangan data relevan yang
tersedia (termasuk yang bersumber dari stakeholders). Terdapat beberapa
teknik untuk mengukur dampak, mulai dari metode-metode kualitatif yang
menggunakan seperangkat deskriptor untuk tingkat risiko (misalnya Tidak
Signifikan, Kecil, Sedang, Besar, Katastropik), hingga teknik-teknik kuantitatif
yang berbasis pada analisis statistik terhadap data historis yang tersedia.
2) Kriteria Kemungkinan
Metode yang digunakan untuk menentukan tingkat kemungkinan harus
konsisten dengan yang digunakan dalam kriteria risiko organisasi. Ada tiga
metode yang umum digunakan untuk memperkirakan kemungkinan. Ini dapat
digunakan secara satu persatu ataupun dikombinasikan. Metodenya adalah
sebagai berikut:
Menggunakan data historis berdasarkan peristiwa serupa yang telah
terjadi
Dibentuk dari data yang berkaitan dengan bagian atau komponen
system atau simulasi
Pendapat terstruktur dari para ahli
Tabel Kemungkinan digunakan untuk menentukan tingkat Kemungkinan
keterjadian suatu peristiwa (risk event) yang dapat dipakai oleh RISK
OFFICER dalam menganalisis risiko. Kemungkinan dapat ditentukan secara
kualitatif maupun kuantitatif. Dapat berbasis pada data statistika, atau
prediktif, atau teknik simulasi.
Salah satu teknik kualitatif yang lazim adalah menggunakan Peta Risiko. Peta
Risiko menyediakan grafis yang merepresentasikan hubungan antara Dampak
dan Kemungkinan serta implikasi hubungannya. Setiap kotak dalam matriks
merepresentasikan kombinasi pasangan nilai Dampak dan Kemungkinan yang
dikenal sebagai Tingkat Risiko. Setiap kotak juga dapat diberi kode dalam bentuk
angka yang merepresentasikan prioritas risiko.
Dalam hal menganalisis risiko yang sifatnya negatif (downside risk), peta risiko
akan memberikan informasi mengenai seberapa mungkin risiko tersebut terjadi
dan seberapa parah kerugian yang ditimbulkannya jika terjadi. Semakin tinggi
nilai risiko, semakin besar dan signifikan pengaruh negatif dari risiko tersebut
bagi upaya pencapaian sasaran Perusahaan. Dengan demikian, tujuan umum
pengelolaan risiko negatif adalah bagaimana membuat peristiwa yang tidak pasti
tidak terjadi.
Terdapat 4 (empat) opsi perlakuan risiko negatif untuk mengurangi probabilitas
dan dampak dari risiko tersebut, antara lain:
1) Avoid – Menghindari risiko dengan cara mengubah rencana proyek/kegiatan
usaha untuk menghilangkan risiko, misalnya yaitu memperpanjang jadwal,
mengurangi persyaratan spesifikasi, mengurangi ruang lingkup, yang
menjadi tujuan pada awal proyek/kegiatan usaha tersebut dapat tercapai.
2) Transfer – Mentransfer risiko ke pihak ketiga atau pihak yang mampu
bertanggung jawab menangani risiko tersebut, misalnya yaitu Perusahaan
Asuransi.
3) Mitigate – Meringankan risiko dengan mengurangi probabilitas dari risiko
atau mengurangi tingkat dampak risiko.
4) Accept – Menerima risiko yang timbul dari proyek/kegiatan usaha untuk
kemudian, Pemilik Risiko akan memonitor perkembangan risiko seiring
berjalannya proyek/kegiatan usaha.
3) Toleransi Risiko
Semua organisasi terekspos kepada serangkaian risiko (baik ancaman/kerugian
maupun peluang/manfaat) dengan tingkat keparahan bervariasi. RISK OFFICER
perlu menentukan level/tingkatan Perusahaan dapat menerima atau menoleransi
risiko tertentu tanpa mengubah tingkat risiko. Pada umumnya, hal ini merupakan
keputusan Direksi dan bergantung kepada konteks internal dan eksternal
Perusahaan, termasuk faktor-faktor:
Jasa layanan utama yang disediakan perusahaan;
Lingkungan operasional perusahaan;
Jenis dampak dari risiko (misalnya reputasi, keuangan, keselamatan);
Para pemangku kepentingan internal dan eksternal, persepsinya terhadap
risiko dan banyaknya risiko yang dipersiapkan untuk diterima oleh
Perusahaan di semua tingkatan Manajemen.
c. Penilaian Risiko
Penilaian risiko (Risk Assessment) adalah pendekatan terstruktur untuk mengidentifikasi
dan menganalisis ketidakpastian yang ada dalam pencapaian sasaran organisasi.
Penilaian risiko memungkinkan suatu organisasi untuk:
1. Menemukenali risiko-risiko yang mungkin terjadi pada suatu organisasi;
2. Memahami risiko-risiko tersebut sehingga signifikansi risiko dapat dinilai dan tingkat
risiko dapat dievaluasi berdasarkan kriteria risiko organisasi;
3. Mengidentifikasi kemungkinan risiko dapat diterima atau dimodifikasi;
4. Mempertimbangkan efek modifikasi relatif dari berbagai opsi perlakuan risiko.
Penilaian Risiko yang efektif terdiri dari tiga fase terpisah yaitu: identifikasi risiko, analisis
risiko, dan evaluasi risiko. Penilaian risiko secara komprehensif harus dilakukan untuk
memungkinkan organisasi mengidentifikasi hal-hal berikut:
1. Karakteristik risiko, bila dibandingkan dengan kriteria, dapat diterima atau ditoleransi
atau dimodifikasi;
2. Efek modifikasi dari kontrol yang sudah ada;
3. Agar risiko tersebut dapat dipahami dengan lebih baik dan agar penanganan yang
tepat dapat direncanakan dan dilaksanakan, maka risiko-risiko tersebut diperlukan
analisis risiko yang lebih terperinci.
Beberapa institusi telah membuat panduan dalam hal teknik-teknik penilaian risiko yang
menyediakan petunjuk tentang setiap langkah dalam proses manajemen risiko dan
menyarankan alat-alat yang dapat digunakan untuk melaksanakan setiap fase. Pedoman
ini beRisk Officerjuan untuk merefleksikan praktek terbaik saat ini dalam menyeleksi dan
menggunakan peralatan asesmen risiko yang dapat diterapkan pada berbagai sektor dan
jenis sistem.
1. Identifikasi Risiko
Identifikasi Risiko adalah proses menemukenali, menguraikan, dan mencatat
ketidakpastian yang dapat meningkatkan atau sebaliknya menghambat kemampuan
organisasi dalam mencapai sasarannya. Risiko-risiko teridentifikasi membentuk basis
untuk analisis lebih lanjut, evaluasi, dan perlakuan risiko. Oleh karena itu, identifikasi
risiko merupakan aspek paling penting dalam proses manajemen risiko yang dijalankan
oleh organisasi
Dalam mengidentifikasi risiko, Pemilik Risiko tidak hanya mempertimbangkan ancaman
kerugian saja namun juga peluang yang bermanfaat, misalnya berkurangnya tindak
kriminal dengan menambah petugas dalam patroli keamanan. Pada saat
mengindentifikasi risiko, setiap Kontrol Terkini juga diidentifikasi sekaligus.
a. Area risiko
Setiap Pemilik Risiko perlu menentukan risiko-risiko yang paling relevan dengannya.
Sebagai bagian dari penetapan konteksnya, maka Pemilik Risiko perlu
mengembangkan pemahaman terhadap sasaran organisasi dan kecenderungan-
kecenderungannya serta faktor pemicu utama yang dapat mempengaruhi
kemampuan Pemilik Risiko mencapai sasarannya. Perlu dipertimbangkan beberapa
atau seluruh faktor di bawah ini terkait dampak positif dan negatif terhadap sasaran
organisasi, yaitu:
1) Governance
2) Fraud / korupsi
3) Sumberdaya
4) Kepatuhan legislatif dan kontraktual
5) Kebijakan, program: peristiwa-peristiwa yang dapat melemahkan atau
meningkatkan penyelesaian kebijakan, program, dan proyek secara tepat waktu
dan anggaran, atau kualitas hasilnya
6) Keberlanjutan operasi dan jasa layanan: peristiwa-peristiwa yang dapat
menyebabkan gangguan terhadap operasi dan jasa layanan
7) Kerusakan lingkungan: peristiwa-peristiwa yang dapat merusak lingkungan.
8) Kesehatan dan keselamatan kerja: peristiwa-peristiwa yang dapat menimbulkan
penyakit berbahaya, kecelakaan atau kematian pegawai, klien, kontraktor, atau
pihak lainnya.
9) Pengadaan barang dan jasa
10) Pelaporan
2. Analisis Risiko
Analisis risiko adalah proses untuk memahami sifat dan tingkat risiko sehingga Pemilik
Risiko dapat membuat keputusan apakah suatu risiko perlu diberi perlakuan atau tidak.
Pemilik Risiko harus mendokumentasikan setiap langkah dalam asesmen risiko untuk
setiap risiko. Dalam analisis risiko perlu mempertimbangkan faktor-faktor berikut ini:
Informasi yang berhubungan dengan risiko yang mungkin muncul dalam identifikasi
risiko
Efek dan reliabilitas kontrol;
Informasi tambahan dalam konteks pendapat;
Mendukung data statistik, hasil dari modeling prediksi, dan pertimbangan dari para
ahli;
Kriteria risiko yang dibangun ketika membangun konsep.
3. Evaluasi Risik
Evaluasi Risiko adalah proses untuk memutuskan risiko yang memerlukan perlakuan
lebih lanjut dalam rangka mencapai sasaran. Evaluasi risiko berbasis pada analisis
risiko. Hal ini mencakup penentuan suatu risiko tertentu, setelah kontrol terkini
dijalankan, dibandingkan dengan tingkat risiko yang dapat diterima atau ditolerir,
membutuhkan tindakan atau perlakuan risiko yang diprioritaskan lebih lanjut.
Pedoman ini merekomendasikan risiko diperiksa dan mengidentifikasi risiko yang paling
signifikan untuk diberikan perlakuan risiko, berdasarkan kriteria risiko yang ditetapkan
pada tahap Penentuan Konteks. Penting untuk meninjau ulang kriteria risiko agar lebih
tepat dalam pengambilan keputusan. Setidaknya ada dua kriteria yang dapat digunakan
dalam hal ini, yaitu:
a. Signifikansi berdasarkan tingkat risiko, dalam hal ini lebih mempertimbangkan tidak
hanya tingkat risiko yang tinggi, tetapi juga risiko dengan tingkat Dampak
berbahaya.
b. Signifikansi peluang/manfaat yang diperoleh jika risiko ditangani lebih lanjut,
terutama untuk kasus dengan tingkat risiko tinggi atau sangat tinggi. Risiko yang
berpengaruh terhadap bisnis inti perusahaan, perlu dipertimbangkan untuk
ditangani/diambil meskipun tingkat risiko yang tinggi maupun sangat tinggi.
Risiko-risiko yang paling tidak dapat ditoleransi memperoleh prioritas tertinggi untuk
perlakuan lebih lanjut.
Pilihan metode penanganan risiko tidaklah selalu harus ekslusif atau cocok di setiap
situasi. Pilihan metode-metode tersebut dapat berupa:
a. Menghindari risiko dengan tidak memulai atau meneruskan aktivitas yang
mengundang risiko tersebut;
b. Mengambil risiko dengan tujuan untuk mengejar peluang;
c. Menghilangkan sumber risiko tersebut;
d. Mengubah konsekuensi;
e. Membagi risiko dengan pihak ketiga;
1. Risk Register
Untuk mengelola risiko secara efektif, perlu partisipasi para pemangku kepentingan.
Dalam hal ini, mereka berhak atas informasi tentang risiko yang dihadapi
perusahaan, termasuk bagaimana risiko mengalami perubahan dari waktu ke waktu
dan terasosiasi dengan strategi penanganan risiko.
Cara yang paling populer mendokumentasikan informasi ini adalah menggunakan
daftar risiko atau risk register. Risk register menyediakan informasi holistik
mengenai risiko dan memungkinkan stakeholders kunci mengambil keputusan
terinformasi (informed decision) terkait risiko dan pengelolaannya. Risk register juga
membantu menemukan informasi yang dibutuhkan oleh Direksi, Dewan Komisaris
dan KomiteKomite, Manajemen Senior, atau stakeholders lainnya yang relevan.
Pemilik Risiko harus menggunakan risk register untuk mendokumentasikan dan
mengelola semua risiko yang dihadapi oleh organisasinya, termasuk risiko strategis
serta risiko-risiko yang ditemukan pada proyek-proyek atau program tertentu. Unit
kerja yang besar dan kompleks mungkin lebih terbantu jika dikembangkan hierarki
risk register untuk menunjang dan merefleksikan kerangka perencanaannya.
Tanggung jawab pemeliharaan risk register harus diberikan di setiap tingkat
organisasi. Contohnya, risk register di level korporat menjadi tanggung jawab Divisi
Manajemen Risiko.
2. Profil Risiko
Profil risiko adalah ringkasan yang digunakan untuk menampilkan ikhtisar informasi
yang ada dalam risk register. Tujuan penyusunan profil risiko adalah untuk
membangun pemahaman organisasional yang konsisten terhadap risiko-risiko yang
signifikan dan pengendaliannya. Profil risiko dapat:
a. Meringkas dan memberi nilai tambah terhadap informasi yang ada dalam risk
register bagi Pemilik Risiko, Manajemen, Direksi, Dewan Komisaris dan
KomiteKomitenya, serta stakeholders kunci lainnya.
b. Membantu mengidentifikasi Sasaran yang terasosiasi dengan ketidakpastian
yang sangat besar.
c. Fokus terhadap risiko-risiko signifikan dan pengendaliannya.
d. Melacak perkembangan implementasi dan efektivitas kontrol terhadap risiko.
e. Melacak bagaimana risiko berubah dari waktu ke waktu.
f. Menginformasikan perbaikan secara berkelanjutan pada kinerja organisasional.
3. Perlakuan Risiko
Perlakuan risiko bertujuan untuk mengendalikan risiko-risiko berbahaya dengan
cara mengembangkan perlakuan yang relevan untuk mengendalikan penyebab
risiko, mengukur efektivitas perlakuan tersebut, dan jika perkiraan nilai Risiko
Tersisa tetap pada tingkat yang tidak bisa ditolerir, maka akan disiapkan perlakuan
alternatif. Perlakuan risiko dikembangkan oleh, dan berada di bawah arahan Pemilik
Risiko. Sebagaimana asesmen risiko, perlakuan risiko dapat dikembangkan oleh
sebuah Tim yang sama dengan saat pelaksanaan asesmen risiko, atau Tim yang
berbeda. Evaluasi Efektivitas Kontrol Terkini yang telah dilaksanakan sebagai
bagian dari proses asesmen risiko, dapat membantu dalam menentukan apakah
kontrol terkini perlu dimodifikasi atau menggantinya dengan perlakuan risiko yang
baru.
4. Seleksi opsi perlakuan
Menghilangkan semua risiko adalah hal yang tidak mungkin. Perlakuan risiko harus
tepat biaya, dapat dilaksanakan dan sepadan dengan tingkat risiko, khususnya
ketika menangani risiko yang berada di kelompok kuning (atau moderat) dalam peta
risiko. Dalam seleksi perlakuan risiko yang paling cocok atau kombinasi beberapa
perlakuan, Pemilik Risiko perlu menyeimbangkan biaya dan sumber daya yang
diperlukan dengan manfaat yang diharapkan. Baik biaya (keuangan dan non-
keuangan) maupun manfaat harus dipertimbangkan dalam melakukan proses
penyeleksian ini.
Pengelompokan risiko ke dalam kategori, seperti keuangan, jasa layanan,
lingkungan dan keselamatan, dapat membantu mengembangkan perlakuan risiko
yang tepat biaya. Karena suatu perlakuan terpilih dapat mempengaruhi beberapa
risiko sekaligus, maka Pemilik Risiko harus meninjau ulang kecocokan perlakuan
risiko yang diusulkan dalam mengeliminasi setiap konflik (tumpang-tindih) dan
menghilangkan setiap duplikasi.
Selain dari analisi manfaat-biaya, hal lain yang perlu dipertimbangkan dalam seleksi
perlakuan risko adalah persepsi stakeholders. Stakeholders kunci harus diajak
berkonsultasi sehingga Pemangku Kepentingan dapat memahami dan
mempertimbangkan persepsi dan pengalaman para stakeholders sebelum
memutuskan menggunakan suatu kontrol tertentu.
Pelaporan sebagai bagian integral dari tata kelola organisasi dan sebaiknya
meningkatkan mutu dialog dengan pemangku kepentingan dan mendukung Direksi dan
Dewan Komisaris dalam memenuhi tanggung jawab mereka. Faktor yang perlu
dipertimbangkan dalam pelaporan mencakup, tetapi tidak terbatas pada:
1. Berbagai perbedaan pemangku kepentingan yang berbeda serta kebutuhan dan
persyaratan informasi mereka yang khusus;
2. Biaya, frekuensi, dan ketepatan waktu pelaporan;
3. Metode pelaporan;
4. Relevansi informasi terhadap sasaran dan pengambilan keputusan organisasi.