Dasar-dasar Risiko
Pengelolaan
Machine Translated by Google
Edisi Kelima
Dasar-dasar Risiko
Pengelolaan
Memahami, mengevaluasi dan
menerapkan manajemen
risiko yang efektif
Paul Hopkin
Machine Translated by Google
ISI
Menutupi
Judul Halaman
hak cipta
Isi
Daftar Gambar
Daftar tabel
Kata pengantar
Perkenalan
Definisi risiko
Jenis risiko
Deskripsi risiko
Tingkat risiko yang melekat
Tingkat risiko
03 Jenis risiko
07 Menetapkan konteks
Machine Translated by Google
09 Pendekatan alternatif
Persepsi risiko
Sikap terhadap risiko
13 Pengendalian kerugian
Kemungkinan risiko
Besaran risiko
Risiko bahaya
Pencegahan kerugian
Batasan kerusakan
Machine Translated by Google
Pengendalian biaya
Penilaian peluang
Indeks keberisikoan
pengelolaan
Respons bahaya 4T
Toleransi risiko
Perlakukan risiko
Mentransfer risiko
Hentikan risiko
Jenis kontrol
Zona risiko bahaya
Machine Translated by Google
Kontrol preventif
Kontrol korektif
Kontrol direktif
Kontrol detektif
Pentingnya asuransi
Sejarah asuransi
Jenis perlindungan asuransi
Evaluasi kebutuhan asuransi
Pembelian asuransi
18 Kelangsungan usaha
Kerangka kompetensi
Berbagai keterampilan
Kemampuan berkomunikasi
Keterampilan hubungan
Kemampuan analisis
Keterampilan manajemen
Resiko operasional
Definisi risiko operasional
Basel II dan Basel III
Pengalihdayaan operasi
Risiko dan kontrak
33 Lingkungan pengendalian
komite audit
Pelaporan risiko
Undang-undang Sarbanes – Oxley tahun 2002
DAFTAR GAMBAR
GAMBAR 12.2 Tingkat risiko yang melekat, saat ini, dan target
Daftar tabel
KATA PENGANTAR
Pentingnya manajemen
risiko perusahaan
Dalam lingkungan yang semakin tidak menentu ini, organisasi dituntut untuk
memenuhi ekspektasi pemangku kepentingan yang lebih tinggi, sekaligus memenuhi
persyaratan tata kelola perusahaan yang lebih besar terkait dengan tanggung jawab
etika dan sosial. Misalnya, undang-undang telah diperkenalkan di banyak negara
untuk memperluas cakupan persyaratan mengenai pengelolaan risiko suap dan
penghindaran perbudakan modern.
Mengingat semua perkembangan ini, pembaruan buku teks ini untuk memberikan
penekanan yang lebih besar pada pentingnya manajemen risiko perusahaan (ERM)
terhadap keberhasilan organisasi sangatlah tepat waktu. ERM yang sukses, termasuk
perlindungan reputasi perusahaan, terus menjadi keharusan bisnis bagi semua
organisasi. Inisiatif ERM yang sukses meningkatkan kemampuan organisasi untuk
mencapai tujuan dan memastikan keberlanjutan, berdasarkan perilaku yang transparan
dan etis.
Institute of Risk Management (IRM) telah lama mendukung pengembangan ERM,
sebagai kontribusi terhadap pengembangan dan penyampaian model dan strategi
bisnis yang sukses untuk semua jenis organisasi. Kursus pelatihan dan kualifikasi
yang ditawarkan oleh IRM memungkinkan para profesional risiko dan pihak lain untuk
mendukung pemberi kerja dan/atau klien mereka dalam mencapai manfaat maksimal dari ERM
Machine Translated by Google
prakarsa.
Meskipun buku teks ini dirancang khusus untuk Sertifikat Internasional IRM dalam Manajemen
Risiko Perusahaan, isinya menguraikan pendekatan untuk mencapai keberhasilan ERM yang akan
mendukung semua jenis organisasi dalam upaya mereka mencapai tujuan perusahaan dan
memenuhi harapan pemangku kepentingan. Buku teks ini adalah sumber berharga bagi semua
organisasi dan siapa pun yang berkepentingan dengan manajemen risiko.
Profesi manajemen risiko dan keahlian para profesional risiko terus berkembang
seiring dengan semakin meningkatnya ekspektasi terhadap manajer risiko dan
konsultan risiko. Semakin banyak organisasi yang telah menunjuk individu dengan
jabatan chief risk officer (CRO) dan perkembangan ini telah meningkatkan kebutuhan
akan kualifikasi profesional yang kuat dan penunjukan bagi praktisi manajemen risiko.
Tantangan utama dalam memproduksi edisi kelima buku teks ini adalah
menyelaraskan materi dalam buku ini lebih dekat dengan silabus kualifikasi IRM di
bidang Manajemen Risiko Perusahaan (ERM). Saat menjalankan tugas ini, saya
telah menerima banyak bantuan dan dukungan dari rekan-rekan di Institute of Risk
Management (IRM), serta banyak komentar mendalam dari para profesional risiko
yang bekerja sebagai presenter dan pengajar pada kursus pelatihan dan pengajaran
IRM.
Saya tetap berterima kasih kepada banyak pihak yang telah membantu
berkembangnya ide-ide yang disajikan dan dibahas dalam buku ini. Saya yakin bahwa
perkembangan dalam manajemen risiko akan terus berlanjut dan mengikuti perkembangannya
Machine Translated by Google
Perkembangan dan penyempurnaan teori dan praktik manajemen risiko akan tetap
menjadi tantangan bagi para praktisi manajemen risiko, yang semuanya berupaya
memberikan manfaat dari peningkatan manajemen risiko kepada organisasi pemberi
kerja dan/atau kliennya.
Paul Hopkin
Machine Translated by Google
Machine Translated by Google
Perkenalan
Kita semua menghadapi risiko dalam kehidupan kita sehari-hari. Risiko muncul dari
aktivitas pribadi dan berkisar dari risiko yang terkait dengan perjalanan hingga risiko yang
terkait dengan keputusan keuangan pribadi. Ada banyak risiko yang terdapat dalam
komponen kehidupan rumah tangga, termasuk risiko kebakaran di rumah dan risiko
keuangan yang terkait dengan kepemilikan rumah. Memang benar, terdapat juga berbagai
macam risiko yang terkait dengan permasalahan rumah tangga dan hubungan, namun hal-
hal tersebut berada di luar cakupan buku ini.
Machine Translated by Google
Buku ini terutama membahas risiko bisnis dan komersial serta peran yang kita jalankan
dalam pekerjaan atau pekerjaan kita. Namun, tugas mengevaluasi risiko dan memutuskan
bagaimana meresponsnya merupakan aktivitas sehari-hari, tidak hanya di tempat kerja
namun juga di rumah dan selama aktivitas senggang.
Pentingnya konteks ditekankan di seluruh buku ini dan Bab 7 secara khusus membahas
tahap pertama proses manajemen risiko, yaitu 'menetapkan konteks'. Pertimbangan konteks
lebih lanjut disajikan pada Bab 21 yang menjelaskan konteks manajemen risiko secara lebih
rinci.
Sifat risiko
Peristiwa yang terjadi baru-baru ini di dunia telah membawa risiko ke tingkat yang lebih
tinggi. Terorisme, peristiwa cuaca ekstrem, dan krisis keuangan global mewakili risiko
ekstrem yang dihadapi masyarakat dan perdagangan. Risiko-risiko ekstrem ini ada di
samping risiko-risiko sehari-hari, yang agak lebih biasa, yang disebutkan di atas.
Mengevaluasi berbagai respons risiko yang tersedia dan memutuskan respons yang
paling tepat untuk setiap kasus merupakan inti dari manajemen risiko. Menanggapi risiko
harus menghasilkan manfaat bagi kita sebagai individu, serta bagi organisasi tempat kita
bekerja dan/atau bekerja.
Dalam kehidupan pribadi dan rumah tangga kita, banyak respons terhadap risiko terjadi
secara otomatis. Cara kami menghindari kebakaran dan kecelakaan lalu lintas didasarkan
pada respons yang sudah mapan dan otomatis. Kebakaran dan kecelakaan merupakan
jenis risiko yang hanya dapat menimbulkan akibat negatif, dan sering disebut sebagai risiko
bahaya. Persyaratan kepatuhan dipandang oleh banyak organisasi sebagai risiko bahaya,
sehingga kegagalan untuk mematuhinya hanya akan berdampak negatif. Namun, organisasi
lain berpandangan bahwa mencapai kepatuhan dapat membawa manfaat tambahan atau
memberikan 'risiko positif'.
Beberapa risiko lain telah ditetapkan atau memerlukan respons yang dibebankan kepada
kita sebagai individu dan/atau organisasi sebagai persyaratan wajib. Misalnya, dalam
kehidupan pribadi kita, membeli asuransi mobil biasanya merupakan persyaratan hukum,
sedangkan membeli asuransi rumah sering kali tidak diwajibkan, namun merupakan
manajemen risiko yang baik dan sangat masuk akal.
Menjaga mobil Anda dalam kondisi mekanis yang baik akan mengurangi kemungkinan a
Machine Translated by Google
perincian. Namun, bahkan kendaraan yang diservis dan dirawat sepenuhnya pun terkadang
mengalami kerusakan. Memelihara mobil Anda dalam kondisi mekanis yang baik akan
mengurangi kemungkinan kerusakan, namun tidak akan menghilangkannya sepenuhnya. Jenis
risiko yang mempunyai tingkat ketidakpastian yang besar ini sering disebut sebagai risiko
pengendalian. Resiko yang terkait dengan kepemilikan mobil dieksplorasi secara rinci dalam
buku ini, karena ini merupakan contoh praktis yang dialami oleh kebanyakan orang.
Selain risiko bahaya dan pengendalian, ada juga risiko yang kita ambil karena kita
menginginkan (dan mungkin mengharapkan) hasil yang positif. Misalnya, Anda akan
menginvestasikan uang dengan harapan Anda akan mendapat untung dari investasi tersebut.
Demikian pula, memasang taruhan atau perjudian pada hasil suatu acara olahraga dilakukan
dengan harapan menerima pengembalian yang positif.
Orang-orang berpartisipasi di luar pilihannya dalam olahraga motor dan aktivitas rekreasi
lainnya yang berpotensi membahayakan. Dalam keadaan seperti ini, keuntungan yang didapat
mungkin tidak berupa finansial, namun dapat diukur dari kebanggaan, harga diri, atau rasa
hormat dari kelompok sebaya. Melakukan aktivitas yang melibatkan risiko jenis ini, yang
diharapkan menghasilkan keuntungan positif, dapat disebut sebagai pengambilan risiko peluang.
Manajemen risiko
Organisasi menghadapi berbagai macam risiko yang dapat berdampak pada hasil operasi
mereka. Tujuan keseluruhan yang diinginkan dapat dinyatakan sebagai misi atau serangkaian
tujuan perusahaan. Peristiwa yang dapat berdampak pada organisasi mungkin menghambat
tujuan yang ingin dicapai (risiko bahaya), meningkatkan tujuan tersebut (risiko peluang), atau
menciptakan ketidakpastian mengenai hasil (risiko pengendalian). Terdapat kategori risiko
keempat yang terkait dengan kewajiban wajib yang dibebankan pada organisasi dan risiko ini
disebut sebagai risiko kepatuhan.
Manajemen risiko perlu menawarkan pendekatan terpadu terhadap evaluasi, pengendalian
dan pemantauan ketiga jenis risiko ini. Buku ini mengkaji komponen-komponen utama manajemen
risiko dan bagaimana penerapannya. Contoh-contoh diberikan untuk menunjukkan manfaat
manajemen risiko bagi organisasi di sektor publik dan swasta. Manajemen risiko juga mempunyai
peran penting dalam keberhasilan organisasi nirlaba seperti badan amal dan (untuk
Machine Translated by Google
Wajib mengacu pada aktivitas manajemen risiko yang dirancang untuk memastikan
bahwa organisasi mematuhi kewajiban hukum dan peraturan, serta persyaratan
pelanggan atau klien.
Dewan organisasi akan memerlukan jaminan bahwa risiko signifikan telah
diidentifikasi dan pengendalian yang tepat telah diterapkan. Untuk memastikan bahwa
keputusan bisnis yang diambil benar, organisasi harus melakukan aktivitas manajemen
risiko yang memberikan informasi terstruktur tambahan untuk membantu pengambilan
keputusan bisnis.
Terakhir, manfaat utama dari manajemen risiko adalah untuk meningkatkan
efektivitas dan efisiensi operasi dalam organisasi. Selain itu, hal ini juga harus
membantu memastikan bahwa proses bisnis (termasuk peningkatan proses melalui
taktik, proyek, dan inisiatif perubahan lainnya) juga efektif dan efisien.
Yang terakhir, strategi yang dipilih juga harus efektif dan efisien, karena mampu
memberikan apa yang dibutuhkan.
Masukan manajemen risiko diperlukan dalam kaitannya dengan pengambilan
keputusan strategis, tetapi juga dalam kaitannya dengan pelaksanaan proyek dan
program kerja yang efektif, serta dalam kaitannya dengan operasional rutin organisasi.
Manfaat manajemen risiko juga dapat diidentifikasi dalam kaitannya dengan tiga
rentang waktu aktivitas dalam organisasi. Keluaran dari aktivitas manajemen risiko
dapat memberikan manfaat bagi organisasi dalam tiga rentang waktu dan memastikan
bahwa organisasi mencapai strategi, taktik, dan operasi yang efektif dan efisien.
Strategi, taktik dan operasi didukung oleh kebutuhan untuk mencapai kepatuhan.
Proses dan aktivitas inti strategis, taktis, operasional, dan kepatuhan (STOC)
mencakup keseluruhan proses dalam suatu organisasi. Proses-proses ini merupakan
proses inti organisasi dan analisis proses inti memberikan pendekatan komprehensif
terhadap manajemen risiko yang digunakan di beberapa bagian buku ini.
Untuk mencapai kontribusi manajemen risiko yang sukses, manfaat yang diharapkan
dari setiap inisiatif manajemen risiko harus diidentifikasi. Jika manfaat-manfaat
tersebut belum teridentifikasi, maka tidak ada cara untuk mengevaluasi apakah inisiatif
manajemen risiko telah berhasil. Oleh karena itu, manajemen risiko yang baik harus
memiliki hasil/manfaat yang diinginkan dengan jelas. Perhatian yang tepat harus
diberikan pada setiap tahapan proses manajemen risiko, serta rincian desain,
implementasi dan pemantauan kerangka kerja yang akan diterapkan.
Machine Translated by Google
Proporsional berarti upaya yang dilakukan dalam manajemen risiko harus sesuai dengan
tingkat risiko yang dihadapi organisasi. Aktivitas manajemen risiko harus diselaraskan dengan
aktivitas lain dalam organisasi.
Kegiatannya juga harus komprehensif, sehingga setiap inisiatif manajemen risiko mencakup
seluruh aspek organisasi dan semua risiko yang dihadapinya.
Cara memasukkan aktivitas manajemen risiko ke dalam organisasi dibahas dalam buku ini.
Terakhir, aktivitas manajemen risiko harus dinamis dan responsif terhadap perubahan lingkungan
bisnis yang dihadapi organisasi.
Seperti semua aktivitas dan proses manajemen dalam suatu organisasi, manajemen risiko
perlu diadaptasi dan dimodifikasi agar selaras dengan proses inti, dan budaya organisasi.
Sehubungan dengan manajemen risiko, pertama-tama organisasi harus secara khusus
menanggapi kewajiban undang-undang dan persyaratan regulator. Ketika hal-hal tersebut telah
terpenuhi, sebagian besar organisasi dapat bekerja dengan dasar bahwa apa pun yang berhasil
dalam organisasi dan memberikan manfaat, keluaran, dan hasil yang diperlukan adalah
pendekatan ERM yang benar dan tepat untuk organisasi tersebut.
Machine Translated by Google
Struktur buku
Buku ini disajikan dalam delapan bagian, disertai tiga lampiran. Bagian Pertama
memberikan pengenalan manajemen risiko dan memperkenalkan semua konsep
dasar. Bagian Kedua membahas pendekatan alternatif terhadap manajemen risiko
dan dimulai dengan mempertimbangkan standar manajemen risiko yang telah
ditetapkan. Pentingnya menetapkan konteks kemudian dipertimbangkan secara rinci,
diikuti dengan analisis fitur dan manfaat manajemen risiko perusahaan.
Bagian Ketiga mempertimbangkan pentingnya penilaian risiko sebagai persyaratan
mendasar bagi keberhasilan manajemen risiko. Klasifikasi risiko serta alat dan teknik
analisis risiko dibahas secara rinci di bagian ini. Bagian Keempat menjabarkan opsi-
opsi respons risiko secara rinci. Analisis berbagai teknik pengendalian risiko
disajikan, bersama dengan contoh pilihan pengendalian risiko bahaya yang dipilih.
Bagian ini juga mempertimbangkan pentingnya asuransi dan pengalihan risiko, serta
perencanaan kelangsungan usaha.
Bagian Kelima mengeksplorasi pentingnya strategi manajemen risiko dan
mempertimbangkan pentingnya kebijakan manajemen risiko, serta mengeksplorasi
keberhasilan penerapan kebijakan tersebut. Ada juga pertimbangan reputasi dan
model bisnis serta pentingnya konteks manajemen risiko. Bagian Enam dimulai
dengan mempertimbangkan sifat budaya sadar risiko dan kemudian
mempertimbangkan pentingnya selera risiko. Pelatihan dan komunikasi risiko, serta
kompetensi praktisi risiko, juga disertakan dalam Bagian Enam. Bagian Enam juga
merefleksikan fakta bahwa munculnya manajemen risiko sebagai sebuah profesi
telah mengakibatkan lebih banyak perhatian diberikan pada kerangka kompetensi
manajemen risiko dan pentingnya sumber daya manusia atau soft skill.
Bagian Tujuh membahas pentingnya tata kelola risiko, dan hal ini mencakup
evaluasi persyaratan tata kelola perusahaan yang lebih luas dan dampak risiko
terhadap organisasi. Analisis ekspektasi pemangku kepentingan dan hubungan
antara manajemen risiko dan model bisnis sederhana juga dipertimbangkan.
Terakhir, Bagian Delapan membahas jaminan risiko dan pelaporan risiko. Peran
fungsi audit internal sama pentingnya dengan korporasi
Machine Translated by Google
tanggung jawab sosial dan pilihan untuk melaporkan manajemen risiko semuanya dipertimbangkan.
Sepanjang buku ini, informasi disajikan dalam bentuk tabel dan gambar agar informasi lebih mudah diakses.
Pendekatan yang semakin umum digunakan secara luas, yaitu menggunakan representasi dasi kupu-kupu
dalam proses manajemen risiko.
Lampiran A adalah daftar lengkap akronim dan singkatan utama yang digunakan dalam buku ini.
Lampiran B memberikan daftar istilah dan referensi silang berbagai terminologi yang digunakan oleh
berbagai praktisi manajemen risiko. Lampiran C memberikan panduan implementasi langkah demi langkah
untuk manajemen risiko perusahaan (ERM), seperti yang dijelaskan dalam Bab 8. Hal ini didasarkan pada
pendekatan rencana, implementasi, pengukuran, dan pembelajaran (PIML) yang mirip dengan rencana–
lakukan– pendekatan check-act (PDCA) yang dijelaskan dalam beberapa standar terkait risiko. Lampiran C
juga menyertakan referensi ke akronim yang digunakan dalam buku ini dan menguraikan konsep-konsep
utama yang relevan dengan setiap langkah keberhasilan implementasi inisiatif ERM.
Contoh yang paling sering digunakan untuk mengilustrasikan suatu hal adalah perusahaan pengangkutan,
klub olah raga, teater, penerbit dan perusahaan besar yang terdaftar di bursa yang, sebagai ilustrasi,
memiliki klub olah raga dan perusahaan pengangkutan.
Contoh juga digunakan tentang bagaimana prinsip-prinsip manajemen risiko dapat diterapkan pada risiko
pribadi yang dihadapi dalam kehidupan pribadi.
Selain contoh-contoh umum ini, situasi dan contoh kehidupan nyata juga digunakan, dimana studi kasus
sangat membantu. Setiap bagian buku ini dimulai dengan kutipan singkat dari laporan dan laporan tiga
perusahaan terpilih untuk mengilustrasikan topik utama manajemen risiko yang dibahas dalam bagian
tersebut. Meskipun banyak dari contoh-contoh ini sebagian besar berasal dari Inggris, prinsip-prinsip ini
juga dapat diterapkan di belahan dunia lain.
Machine Translated by Google
Karena krisis keuangan global, dan kesulitan ekonomi yang terus berlanjut di
seluruh dunia, manajemen risiko terus menjadi topik yang sangat penting.
Oleh karena itu, terdapat banyak contoh penerapan alat dan teknik manajemen risiko
pada situasi bisnis dan komersial yang sulit. Buku ini memanfaatkan kekayaan
informasi yang tersedia untuk menyajikan contoh, pendapat dan komentar mengenai
masalah manajemen risiko yang mempengaruhi organisasi.
Dengan banyaknya organisasi yang harus melakukan pemotongan biaya dan kesulitan
dalam kondisi perdagangan saat ini, risiko yang muncul menjadi semakin penting. Bagi banyak
organisasi, menjaga eksposur risiko mereka tetap berada dalam kapasitas risiko organisasi
merupakan sebuah tantangan. Peristiwa dapat terjadi yang dapat menghancurkan organisasi.
Dalam kondisi sulit ini, organisasi perlu lebih memperhatikan analisis pemicu yang dapat
mengakibatkan terwujudnya risiko signifikan, serta mengembangkan rencana rinci untuk
mengelola setiap krisis yang muncul.
Daftar di bawah ini memberikan ringkasan tindakan yang dapat membantu menghindari
terulangnya krisis keuangan global. Banyak organisasi tidak memiliki kerangka manajemen
risiko yang sama di seluruh perusahaan. Hal ini mempunyai banyak elemen, yang masing-
masing diperlukan untuk membantu menghindari bencana serupa di masa depan:
Pertama, harus ada proses, terminologi dan praktik umum untuk mengelola segala jenis
risiko.
Ketiga, praktik manajemen risiko harus dimasukkan ke dalam semua proses dan
keputusan bisnis utama.
Perubahan yang dilakukan pada edisi keempat tetap berlaku, termasuk amandemen
untuk memastikan bahwa isinya tetap relevan di dunia yang semakin tidak menentu,
dan lingkungan bisnis yang semakin kompleks. Beberapa bab memerlukan pembaharuan
substansial untuk mengakomodasi perkembangan manajemen risiko selama dua tahun
sebelumnya. Secara khusus, Bagian Kedua menggabungkan bab-bab yang membahas
berbagai pendekatan terhadap manajemen risiko dan mencakup pertimbangan standar
manajemen risiko, menguraikan pentingnya menetapkan konteks dan membahas ERM
secara rinci di Bab 8 .
Kesempatan ini juga dimanfaatkan untuk memberikan lebih banyak informasi
mengenai penetapan konteks, melalui analisis yang lebih rinci mengenai konteks
eksternal dan internal suatu organisasi di Bab 7, bersama dengan pembahasan konteks
manajemen risiko di Bab 21. Selain itu, terdapat manfaat yang lebih besar studi kasus
dalam edisi keempat dengan tiga studi kasus berbeda yang disertakan dalam masing-
masing delapan bagian buku ini. Studi kasus ini dipilih untuk memberikan contoh praktik
yang baik dalam manajemen risiko oleh berbagai perusahaan di seluruh dunia.
Salah satu pertimbangan terpenting dalam memproduksi edisi keempat ini adalah
untuk lebih menyelaraskan urutan bab dalam buku teks dengan struktur Sertifikat
Internasional Institute of Risk Management (IRM) dalam Enterprise Risk Management
(ERM). Oleh karena itu, empat bagian pertama buku teks ini membahas prinsip-prinsip
dasar risiko dan manajemen risiko. Bagian Lima hingga Delapan berkaitan dengan
praktik manajemen risiko dan mencakup pertimbangan strategi risiko, budaya, tata
kelola, dan jaminan. Menyelaraskan struktur buku teks dengan sertifikat internasional
IRM telah memberikan tatanan terstruktur yang lebih baik dalam menyajikan konten
teknis.
Kebutuhan untuk memproduksi edisi kelima hanya 18 bulan setelah edisi keempat
muncul dari publikasi panduan manajemen risiko terbaru dari kedua edisi tersebut.
Machine Translated by Google
COSO dan ISO. Pada pertengahan tahun 2017, versi tambahan kerangka
COSO ERM diterbitkan. Panduan COSO terbaru ini belum menggantikan
kerangka COSO ERM (2004) dan baik kerangka kerja tahun 2004 maupun
kerangka baru (2017) dibahas dalam buku teks di Bab 6 dan 8 . Untuk
menghindari kebingungan, kerangka kerja tahun 2004 disebut sebagai kubus
COSO ERM di seluruh buku ini. Framework COSO ERM tahun 2017 merupakan
perkembangan yang signifikan, karena berfokus pada pengintegrasian inisiatif
ERM dengan strategi dan kinerja. Pada awal tahun 2018, pembaruan ISO
31000 yang telah lama ditunggu-tunggu telah diterbitkan, dan ISO 31000 versi
2018 dibahas secara rinci di Bab 6.
Machine Translated by Google
BAGIAN SATU
Pengantar manajemen risiko
membuat daftar rentang karakteristik risiko yang perlu diidentifikasi untuk memberikan gambaran
risiko secara lengkap dan membenarkan pencantuman setiap item;
mengidentifikasi ciri-ciri dari empat jenis risiko yang memungkinkannya diidentifikasi sebagai
risiko kepatuhan, bahaya, pengendalian, dan peluang;
merangkum asal usul dan perkembangan disiplin manajemen risiko, termasuk berbagai
bidang dan pendekatan spesialis;
menjelaskan karakteristik manajemen risiko perusahaan (ERM) dan manfaat pendekatan ERM
dibandingkan manajemen risiko tradisional;
menggambarkan keluaran utama manajemen risiko dalam hal kewajiban wajib, jaminan,
pengambilan keputusan dan proses inti yang efektif dan efisien (MADE2).
Machine Translated by Google
tempat. Pendekatan ini memastikan bahwa risiko diidentifikasi dengan cara 'top-
down' dan 'bottom-up' dari berbagai tingkat manajemen organisasi untuk
memberikan jaminan bahwa pencatatan risiko bersifat komprehensif.
Audit internal kelompok bekerja untuk mendukung komite risiko untuk
membantu mengelola identifikasi risiko dan melakukan tinjauan independen
terhadap risiko bisnis dan kemajuannya dalam melaksanakan rencana aksi mitigasi
yang disepakati untuk setiap risiko yang relevan, yang statusnya dilaporkan
kepada komite risiko setiap bulan. .
Tujuan manajemen risiko ABIL adalah untuk memastikan identifikasi, pemahaman dan
penilaian risiko secara proaktif, termasuk aktivitas yang dilakukan yang menghasilkan
risiko yang dapat berdampak pada tujuan bisnis. Hal ini dilaksanakan melalui berbagai
mekanisme manajemen risiko dan tata kelola serta badan pengawas manajemen risiko.
01
Pendekatan untuk mendefinisikan risiko
Definisi risiko
Definisi risiko dalam Kamus Bahasa Inggris Oxford adalah sebagai berikut: 'kesempatan
atau kemungkinan bahaya, kerugian, cedera, atau akibat merugikan lainnya', dan definisi
berisiko adalah 'terkena bahaya'. Dalam konteks ini, risiko digunakan untuk menandakan
konsekuensi negatif. Namun, mengambil risiko juga dapat memberikan hasil yang positif.
Kemungkinan ketiga adalah bahwa risiko berkaitan dengan ketidakpastian hasil.
Ambil contoh memiliki mobil. Bagi kebanyakan orang, memiliki mobil adalah peluang
untuk menjadi lebih mobile dan memperoleh manfaat terkait. Namun, terdapat
ketidakpastian dalam memiliki mobil terkait dengan biaya perawatan dan perbaikan.
Terakhir, mobil dapat menyebabkan kecelakaan, sehingga terdapat dampak negatif yang
jelas dapat terjadi. Penting juga untuk mengingat kewajiban hukum terkait kepemilikan
mobil dan peraturan yang harus dipatuhi saat mobil sedang dikendarai di jalan raya.
Definisi risiko dapat diperoleh dari berbagai sumber, dan beberapa definisi utama
disajikan pada Tabel 1.1. Definisi alternatif juga diberikan untuk menggambarkan sifat
luas dari risiko yang dapat mempengaruhi organisasi. Institute of Risk Management
(IRM) mendefinisikan risiko sebagai kombinasi kemungkinan suatu peristiwa dan
konsekuensinya. Konsekuensinya bisa berkisar dari positif hingga negatif.
Ini adalah definisi yang dapat diterapkan secara luas dan praktis serta dapat diterapkan dengan mudah.
Panduan ISO 73 Pengaruh ketidakpastian terhadap tujuan. Perlu diingat bahwa dampaknya
mungkin positif, negatif, atau menyimpang dari yang diharapkan.
Selain itu, risiko sering kali digambarkan dengan suatu peristiwa, a
Machine Translated by Google
Buku Oranye Ketidakpastian hasil, dalam rentang eksposur, dari HM yang timbul dari
kombinasi dampak dan probabilitas Perbendaharaan atas kejadian potensial.
lembaga Ketidakpastian suatu peristiwa yang terjadi yang dapat berdampak pada
Intern pencapaian tujuan. Risiko diukur berdasarkan konsekuensi dan
Auditor kemungkinannya.
Panduan internasional untuk definisi terkait risiko adalah ISO Guide 73, yang mendefinisikan
risiko sebagai 'efek ketidakpastian terhadap tujuan'. Definisi ini tampaknya mengasumsikan
tingkat pengetahuan tertentu tentang manajemen risiko dan tidak mudah diterapkan dalam
kehidupan sehari-hari. Panduan ISO 73 saat ini (April 2018) sedang ditinjau dan ISO 31000
versi 2018 telah mengubah beberapa definisinya.
Definisi yang dimodifikasi ini dibahas secara lebih rinci di Bab 6.
Versi sebelumnya dari Panduan 73 (2002) juga mencatat bahwa dampaknya bisa positif,
negatif, atau menyimpang dari yang diharapkan. Ketiga jenis peristiwa ini dapat dikaitkan
dengan risiko berupa peluang, bahaya, atau ketidakpastian, dan hal ini berkaitan dengan
contoh kepemilikan mobil yang diuraikan di atas. Panduan ini mencatat bahwa risiko sering
digambarkan sebagai suatu peristiwa, perubahan keadaan, konsekuensi, atau kombinasi dari
hal-hal tersebut dan bagaimana hal-hal tersebut dapat mempengaruhi pencapaian tujuan.
Institute of Internal Auditors (IIA) mendefinisikan risiko sebagai ketidakpastian suatu
peristiwa yang terjadi yang dapat berdampak pada pencapaian tujuan. IIA menambahkan
bahwa risiko diukur berdasarkan konsekuensi dan kemungkinannya. Disiplin ilmu yang
berbeda mendefinisikan istilah risiko dengan cara yang sangat berbeda. Definisi yang
digunakan oleh para profesional kesehatan dan keselamatan adalah bahwa risiko adalah
kombinasi antara kemungkinan dan besarnya, namun hal ini mungkin tidak cukup untuk manajemen risiko ya
tujuan.
Mengingat ada banyak definisi yang tersedia untuk kata risiko, maka memang demikian
Machine Translated by Google
Penting bagi organisasi untuk memilih definisi yang paling sesuai dengan tujuannya. Definisinya
bisa sesempit atau sekomprehensif yang diinginkan organisasi. Sebagai versi definisi kata risiko
secara komprehensif, penulis menawarkan sebagai berikut:
Suatu peristiwa dengan kemampuan untuk mempengaruhi (menghambat, meningkatkan atau menimbulkan keraguan
tentang) efektivitas dan efisiensi proses inti suatu organisasi.
Risiko dalam konteks organisasi biasanya diartikan sebagai segala sesuatu yang dapat
mempengaruhi pencapaian tujuan perusahaan. Namun, tujuan perusahaan biasanya tidak
sepenuhnya dinyatakan oleh sebagian besar organisasi. Ketika tujuan telah ditetapkan, tujuan
tersebut cenderung dinyatakan sebagai tujuan perubahan internal, tahunan. Hal ini terutama berlaku
untuk tujuan pribadi yang ditetapkan bagi anggota staf dalam organisasi, di mana tujuan biasanya
mengacu pada perubahan atau perkembangan, bukan operasi berkelanjutan atau rutin organisasi.
Secara umum diterima bahwa risiko paling baik didefinisikan dengan memusatkan perhatian
pada risiko sebagai peristiwa, sebagaimana dinyatakan dalam catatan definisi risiko yang diberikan
dalam ISO 31000 dan definisi yang diberikan oleh Institut Auditor Internal, yang tercantum pada
Tabel 1.1 . Agar suatu risiko terwujud, suatu peristiwa harus terjadi. Oleh karena itu, mungkin suatu
risiko dapat dianggap sebagai 'kejadian yang tidak direncanakan dengan konsekuensi yang tidak terduga'.
Kejelasan yang lebih besar kemungkinan besar akan diperoleh dalam proses manajemen risiko jika fokusnya
adalah pada kejadian-kejadian. Misalnya, pertimbangkan hal-hal yang dapat mengganggu pertunjukan teater.
Peristiwa yang dapat menyebabkan gangguan termasuk pemadaman listrik, ketidakhadiran aktor
utama, atau kegagalan transportasi atau penutupan jalan yang signifikan yang menunda kedatangan
penonton, serta sakitnya sejumlah besar staf. Setelah mengidentifikasi kejadian-kejadian yang
dapat mengganggu pertunjukan, manajemen teater perlu memutuskan apa yang harus dilakukan
untuk mengurangi kemungkinan terjadinya salah satu kejadian tersebut.
menyebabkan pembatalan pertunjukan. Analisis yang dilakukan oleh manajemen teater ini
merupakan contoh praktik manajemen risiko.
Jenis risiko
Risiko mungkin mempunyai dampak positif atau negatif atau mungkin hanya menimbulkan
ketidakpastian. Oleh karena itu, risiko dapat dianggap terkait dengan peluang atau kerugian atau
adanya ketidakpastian bagi suatu organisasi. Setiap risiko mempunyai risiko tersendiri
Machine Translated by Google
karakteristik yang memerlukan pengelolaan atau analisis tertentu. Dalam buku ini, risiko dibagi
menjadi empat kategori:
Secara umum, organisasi akan berupaya meminimalkan risiko kepatuhan, memitigasi risiko bahaya,
mengelola risiko pengendalian, dan memanfaatkan risiko peluang. Namun, penting untuk dicatat
bahwa tidak ada pembagian risiko yang 'benar' atau 'salah'. Pembaca akan menemukan subdivisi
lain dalam teks lain dan ini mungkin juga sesuai. Mungkin lebih umum untuk menemukan risiko yang
digambarkan dalam dua jenis, murni atau spekulatif. Memang benar, terdapat banyak perdebatan
mengenai terminologi manajemen risiko. Apapun diskusi teoritisnya, isu yang paling penting adalah
bahwa suatu organisasi mengadopsi sistem klasifikasi risiko yang paling sesuai dengan keadaannya.
Ada peristiwa risiko tertentu yang hanya dapat menimbulkan hasil negatif. Risiko-risiko ini
merupakan risiko bahaya atau risiko murni, dan risiko ini dapat dianggap sebagai risiko operasional
atau risiko yang dapat diasuransikan. Secara umum, organisasi mempunyai toleransi terhadap risiko
bahaya, dan risiko ini perlu dikelola dalam tingkat yang dapat ditoleransi oleh organisasi.
Contoh bagus mengenai risiko bahaya yang dihadapi oleh banyak organisasi adalah pencurian.
Ada risiko lain yang menimbulkan ketidakpastian mengenai hasil suatu situasi. Hal ini dapat
digambarkan sebagai risiko pengendalian dan sering dikaitkan dengan manajemen proyek. Secara
umum, organisasi akan memiliki keengganan untuk mengendalikan risiko. Ketidakpastian dapat
dikaitkan dengan manfaat yang dihasilkan proyek, serta ketidakpastian mengenai penyelesaian
proyek tepat waktu, sesuai anggaran, dan sesuai spesifikasi. Pengelolaan risiko pengendalian sering
kali dilakukan untuk memastikan bahwa hasil aktivitas bisnis menurun
dalam rentang yang diinginkan. Tujuannya adalah untuk mengurangi perbedaan antara hasil yang
diantisipasi dan hasil yang sebenarnya.
Pada saat yang sama, organisasi dengan sengaja mengambil risiko, terutama risiko pasar atau
komersial, untuk mencapai keuntungan positif. Ini bisa jadi
Machine Translated by Google
dianggap sebagai peluang atau risiko spekulatif, dan organisasi akan mempunyai keinginan
khusus untuk berinvestasi pada risiko tersebut. Risiko peluang berhubungan dengan
hubungan antara risiko dan keuntungan. Tujuannya adalah untuk mengambil tindakan
yang melibatkan risiko untuk mencapai keuntungan positif. Fokus risiko peluang akan
mengarah pada investasi.
Penerapan alat dan teknik manajemen risiko pada manajemen risiko bahaya merupakan
cabang manajemen risiko yang terbaik dan paling lama dikembangkan, dan sebagian
besar teks ini akan berkonsentrasi pada risiko bahaya. Terdapat hierarki pengendalian
yang diterapkan pada risiko bahaya, dan hal ini dibahas dalam Bab 16. Risiko bahaya
dikaitkan dengan sumber potensi bahaya atau situasi yang berpotensi melemahkan tujuan
secara negatif dan manajemen risiko bahaya berkaitan dengan memitigasi dampak
potensial. Risiko bahaya adalah risiko paling umum yang terkait dengan manajemen risiko
operasional, termasuk program kesehatan dan keselamatan kerja.
Risiko pengendalian dikaitkan dengan kejadian yang tidak diketahui dan tidak terduga.
Risiko ini terkadang disebut sebagai risiko ketidakpastian dan sangat sulit diukur. Risiko
pengendalian sering dikaitkan dengan manajemen proyek dan penerapan taktik. Dalam
keadaan seperti ini, peristiwa-peristiwa tersebut diketahui akan terjadi, namun konsekuensi
pasti dari peristiwa-peristiwa tersebut sulit untuk diprediksi dan dikendalikan. Oleh karena
itu, pendekatan ini didasarkan pada pengelolaan ketidakpastian mengenai potensi dampak
dan konsekuensi dari peristiwa-peristiwa tersebut
Ada dua aspek utama yang terkait dengan risiko peluang. Ada risiko/bahaya yang terkait
dengan pengambilan peluang, namun ada juga risiko yang terkait dengan tidak
memanfaatkan peluang. Risiko peluang mungkin tidak terlihat atau terlihat secara fisik,
dan sering kali bersifat finansial. Meskipun risiko peluang diambil dengan tujuan
memperoleh hasil positif, hal ini tidak dijamin. Meskipun demikian, pendekatan
keseluruhannya adalah dengan merangkul peluang dan risiko peluang yang terkait. Risiko
peluang bagi usaha kecil mencakup perpindahan bisnis ke lokasi baru, perolehan properti
baru, perluasan bisnis, dan diversifikasi produk baru.
Deskripsi risiko
Machine Translated by Google
Untuk memahami suatu risiko secara utuh, diperlukan uraian yang rinci agar dapat diketahui pemahaman
umum mengenai risiko dan kepemilikan/tanggung jawab dapat dipahami dengan jelas. Tabel 1.2
mencantumkan rentang informasi yang harus dicatat untuk memahami sepenuhnya suatu risiko. Daftar
informasi yang tercantum dalam Tabel 1.2 paling dapat diterapkan pada risiko bahaya dan daftar tersebut
perlu dimodifikasi untuk memberikan gambaran lengkap mengenai risiko pengendalian atau peluang.
Pernyataan risiko, termasuk ruang lingkup risiko dan rincian kejadian yang mungkin terjadi dan
ketergantungan
Sifat risiko, termasuk rincian klasifikasi risiko dan skala waktu dampak potensial
Sikap risiko, selera risiko, toleransi, batasan risiko dan/atau kriteria risiko
Standar pengendalian yang diperlukan, target tingkat risiko atau kriteria risiko
Pengalaman insiden dan kehilangan
Potensi peningkatan risiko dan tingkat kepercayaan terhadap pengendalian yang ada
Rekomendasi perbaikan risiko dan tenggat waktu implementasi
Agar rangkaian informasi yang tepat mengenai setiap risiko dapat dikumpulkan, perbedaan antara
risiko kepatuhan, bahaya, pengendalian, dan peluang perlu dipahami dengan jelas. Contoh di bawah ini
dimaksudkan untuk membedakan keempat jenis risiko tersebut, sehingga informasi yang diperlukan
untuk menjelaskan masing-masing jenis risiko dapat diidentifikasi.
Machine Translated by Google
Menyeberang jalan
Menyeberang jalan yang sibuk pada dasarnya akan berbahaya jika tidak ada pengendalian dan
akan terjadi lebih banyak kecelakaan. Ketika suatu risiko pada dasarnya berbahaya, perhatian
yang lebih besar diberikan pada tindakan pengendalian yang ada, karena persepsi risiko jauh lebih
tinggi. Pejalan kaki tidak boleh menyeberang jalan tanpa melihat dan pengemudi selalu sadar
bahwa pejalan kaki mungkin akan memasuki jalan. Seringkali, tindakan pengendalian lalu lintas
lainnya diperlukan untuk mengurangi kecepatan pengendara atau meningkatkan kesadaran risiko
baik bagi pengendara maupun pejalan kaki.
sistem klasifikasi. Jika organisasi mengadopsi salah satu standar tersebut, maka organisasi
tersebut akan cenderung mengikuti sistem klasifikasi yang direkomendasikan.
Sistem klasifikasi risiko yang dipilih harus sepenuhnya relevan dengan organisasi yang
bersangkutan. Tidak ada sistem klasifikasi universal yang memenuhi persyaratan semua
organisasi. Kemungkinan besar setiap risiko perlu diklasifikasikan dalam beberapa cara agar dapat
memahami potensi dampaknya dengan jelas.
Namun, banyak sistem klasifikasi menawarkan struktur yang umum atau serupa, seperti yang
dijelaskan dalam Bab 11.
Sepanjang buku ini, format standar untuk menyajikan matriks risiko telah diadopsi. Sumbu
horizontal digunakan untuk mewakili kemungkinan. Istilah kemungkinan digunakan daripada
frekuensi, karena kata frekuensi menyiratkan bahwa peristiwa pasti akan terjadi dan matriks
risiko mencatat seberapa sering peristiwa tersebut terjadi. Kemungkinan adalah kata yang lebih
luas yang mencakup frekuensi, namun juga mengacu pada kemungkinan terjadinya peristiwa
yang tidak terduga. Namun, dalam literatur manajemen risiko, kata 'probabilitas' sering
digunakan untuk menggambarkan kemungkinan terjadinya risiko.
Sumbu vertikal digunakan untuk menunjukkan besaran pada Gambar 1.1. Kata besaran
yang digunakan bukan tingkat keparahan, sehingga gaya matriks risiko yang sama dapat
digunakan untuk menggambarkan risiko kepatuhan, bahaya, pengendalian, dan peluang.
Tingkat keparahan menyiratkan bahwa kejadian tersebut tidak diinginkan dan, oleh karena itu,
berkaitan dengan kepatuhan dan risiko bahaya. Besarnya risiko dapat dianggap sebagai tingkat
bruto atau tingkat inherennya sebelum pengendalian diterapkan.
Machine Translated by Google
02
Dampak risiko pada organisasi
Tingkat risiko
Menyusul kejadian dalam sistem keuangan dunia pada tahun 2008, semua organisasi menaruh
perhatian lebih besar terhadap risiko dan manajemen risiko. Semakin dipahami bahwa pengelolaan
risiko yang eksplisit dan terstruktur membawa manfaat.
Dengan mengambil pendekatan proaktif terhadap risiko dan manajemen risiko, organisasi akan
mampu mencapai empat bidang perbaikan berikut:
Strategi, karena risiko yang terkait dengan pilihan strategis yang berbeda akan dianalisis
sepenuhnya dan keputusan strategis yang lebih baik akan dicapai.
Taktik, karena pertimbangan akan diberikan pada pemilihan taktik dan risiko yang ada dalam
alternatif yang mungkin tersedia.
Operasional, karena kejadian yang dapat menimbulkan gangguan akan diidentifikasi terlebih
dahulu dan diambil tindakan untuk mengurangi kemungkinan terjadinya kejadian tersebut
terjadi, membatasi kerusakan yang disebabkan oleh peristiwa tersebut dan memuat biaya
peristiwa tersebut.
Kepatuhan akan ditingkatkan karena risiko yang terkait dengan kegagalan mencapai kepatuhan
terhadap undang-undang dan kewajiban pelanggan akan diakui.
Organisasi tidak lagi dapat diterima jika berada dalam posisi di mana kejadian tak terduga
menyebabkan kerugian finansial, gangguan terhadap operasi normal, rusaknya reputasi, dan hilangnya
kehadiran pasar. Para pemangku kepentingan kini berharap bahwa organisasi akan memperhitungkan
sepenuhnya risiko yang dapat menyebabkan gangguan dalam operasi, keterlambatan penyelesaian
proyek, atau kegagalan dalam melaksanakan strategi.
Eksposur yang disajikan oleh suatu risiko individual dapat didefinisikan dalam kaitannya dengan
kemungkinan terjadinya risiko dan dampak risiko ketika hal tersebut terjadi.
Machine Translated by Google
mewujudkan. Ketika eksposur risiko meningkat, kemungkinan dampaknya juga akan meningkat.
Panduan 73 mengacu pada pengukuran kemungkinan dan dampak sebagai 'tingkat risiko' saat
ini atau yang tersisa. Tingkat risiko ini harus dibandingkan dengan sikap risiko dan selera risiko
organisasi terhadap jenis risiko tersebut. Selera risiko terkadang digambarkan sebagai
serangkaian kriteria risiko.
Di sepanjang buku ini, istilah 'magnitudo' digunakan untuk menunjukkan besar kecilnya
peristiwa yang telah atau mungkin terjadi. Istilah 'dampak' digunakan untuk mendefinisikan
bagaimana peristiwa tersebut mempengaruhi keuangan, infrastruktur, reputasi dan/atau pasar
(FIRM) organisasi. Penggunaan terminologi ini juga konsisten dengan penggunaan dampak
dalam evaluasi perencanaan kelangsungan bisnis. Ini adalah ukuran risiko pada tingkat saat ini.
Istilah 'konsekuensi' digunakan dalam buku ini untuk menunjukkan sejauh mana peristiwa
tersebut mengakibatkan kegagalan mencapai tujuan yang efektif dan efektif.
strategi, taktik, operasi, dan kepatuhan yang efisien (STOC).
Machine Translated by Google
Sebuah klub olahraga ingin mengurangi kemungkinan pemain kuncinya absen karena cedera.
Namun, pemain kunci bisa saja mengalami cedera dan klub perlu mempertimbangkan dampak dari
peristiwa tersebut sebelum hal itu terjadi. Jika cederanya serius, pemain tersebut mungkin akan
absen dalam waktu yang cukup lama. Kemungkinan besar akan ada dampak besar, yang
paling jelas terlihat di lapangan di mana kesuksesan tim kemungkinan besar akan berkurang.
Namun, konsekuensi lain juga dapat terjadi, termasuk hilangnya
pendapatan dari penjualan kaos dan merchandise lainnya dengan nama dan nomor pemain
tersebut. Pengaturan untuk mengurangi potensi hilangnya pendapatan juga harus
dipertimbangkan.
Risiko bahaya berkaitan dengan ketergantungan bisnis, termasuk TI dan layanan pendukung
lainnya. Terdapat peningkatan ketergantungan pada infrastruktur TI di sebagian besar organisasi
dan sistem TI dapat terganggu oleh kerusakan komputer atau kebakaran di ruang server, serta infeksi
virus dan peretasan atau serangan komputer yang disengaja.
Pencurian dan penipuan juga dapat menjadi risiko bahaya yang signifikan bagi banyak organisasi.
Hal ini terutama berlaku untuk organisasi yang menangani uang tunai atau mengelola sejumlah besar
transaksi keuangan. Teknik yang relevan untuk menghindari pencurian dan penipuan mencakup
prosedur keamanan yang memadai, pemisahan tugas keuangan,
Machine Translated by Google
dan prosedur otorisasi dan delegasi, serta pemeriksaan staf sebelum dipekerjakan.
Penting untuk memikirkan terminologinya, karena hal ini sangat penting dalam kaitannya
dengan risiko bahaya, jika suatu peristiwa terjadi. Jika risiko bahaya terjadi, maka
besarannya mungkin sangat besar, seperti hancurnya gudang distribusi utama suatu
organisasi. Peristiwa berkekuatan besar ini akan berdampak pada organisasi terkait
dengan potensi biaya finansial, rusaknya infrastruktur, rusaknya reputasi dan
ketidakmampuan berfungsi di pasar. Besaran mewakili tingkat risiko yang besar atau
melekat.
Namun, dampak peristiwa tersebut akan berkurang karena adanya pengendalian yang
diterapkan. Dampak mewakili tingkat risiko bersih, sisa, atau saat ini. Pengendalian ini
mengurangi dampak finansial, tingkat kerusakan infrastruktur, serta pengendalian yang
dirancang untuk melindungi reputasi dan aktivitas pasar. Namun, yang juga penting bagi
organisasi adalah konsekuensi dari kebakaran gudang besar-besaran. Konsekuensi ini
berkaitan dengan dampak kebakaran terhadap strategi, taktik, operasi, dan aktivitas
kepatuhan dalam organisasi.
Ada kemungkinan bahwa suatu kebakaran besar akan menimbulkan kerugian finansial
yang cukup besar yang ditanggung oleh asuransi, sehingga peristiwa berkekuatan besar
tersebut berdampak kecil terhadap keuangan organisasi. Manajemen krisis dan
kelangsungan bisnis yang efektif akan memastikan bahwa dampak dari kebakaran besar
ini dari sudut pandang pelanggan akan dikelola dengan baik sehingga pelanggan tidak
perlu menyadari bahwa kebakaran besar telah terjadi.
Terakhir, pentingnya risiko kepatuhan tidak boleh dianggap remeh.
Risiko kepatuhan dapat menjadi hal yang besar bagi banyak organisasi, terutama sektor
bisnis yang memiliki peraturan ketat. Dalam beberapa kasus, kepatuhan terhadap
persyaratan wajib, mewakili 'izin untuk beroperasi' dan kegagalan untuk mencapai tingkat
aktivitas kepatuhan yang disyaratkan oleh regulator terkait dapat berdampak signifikan
terhadap reputasi organisasi dan konsekuensi besar terhadap aktivitas bisnis rutin.
Lampiran risiko
Machine Translated by Google
Meskipun sebagian besar definisi standar risiko mengacu pada risiko yang
melekat pada tujuan perusahaan, Gambar 2.1 memberikan ilustrasi pilihan
untuk lampiran risiko. Risiko yang ditunjukkan dalam diagram mampu
berdampak pada ketergantungan utama yang menjalankan proses inti
organisasi. Tujuan perusahaan dan harapan pemangku kepentingan membantu
menentukan proses inti organisasi. Proses inti ini merupakan komponen kunci
dari sifat model bisnis saat ini dan peningkatan di masa depan dan dapat
berhubungan dengan operasi, taktik dan strategi perusahaan, serta aktivitas
kepatuhan, sebagaimana dibahas lebih lanjut dalam Bab 19 .
Machine Translated by Google
Maksud dari Gambar 2.1 adalah untuk menunjukkan bahwa risiko-risiko signifikan dapat
melekat pada fitur-fitur organisasi selain tujuan-tujuan perusahaan.
Risiko yang signifikan dapat diidentifikasi dengan mempertimbangkan ketergantungan utama
organisasi, tujuan perusahaan dan/atau harapan pemangku kepentingan, serta
Machine Translated by Google
serta dengan analisis proses inti organisasi. Misalnya, kegagalan Northern Rock terjadi karena pasar
uang grosir, yang menjadi sandaran bank, berhenti berfungsi. Cara lain untuk melihat konsep
keterikatan risiko adalah dengan mempertimbangkan bahwa fitur-fitur yang ditunjukkan pada Gambar
2.1 menawarkan titik awal alternatif untuk melakukan penilaian risiko. Misalnya, penilaian risiko dapat
dilakukan dengan menanyakan 'apa yang diharapkan para pemangku kepentingan terhadap kita?'
dan 'risiko apa yang dapat berdampak pada pemenuhan harapan pemangku kepentingan tersebut?'
Menjelang krisis keuangan yang terjadi baru-baru ini, bank dan lembaga keuangan lainnya menetapkan
tujuan operasional
dan strategis. Dengan menganalisis tujuan-tujuan tersebut dan mengidentifikasi risiko-risiko yang
dapat menghalangi pencapaiannya, manajemen risiko memberikan kontribusi terhadap pencapaian
tujuan-tujuan berisiko tinggi yang pada akhirnya menyebabkan kegagalan organisasi. Contoh ini
mengilustrasikan bahwa memasukkan risiko pada atribut selain tujuan bukan saja mungkin dilakukan,
namun mungkin juga diinginkan dalam keadaan seperti ini.
Jelas sekali bahwa risiko akan lebih besar jika terjadi perubahan.
Oleh karena itu, menghubungkan risiko dengan tujuan perubahan bukanlah hal yang tidak masuk
akal, namun analisis setiap tujuan pada gilirannya mungkin tidak menghasilkan pengenalan/identifikasi
risiko yang kuat. Bagaimanapun, tujuan bisnis biasanya dinyatakan pada tingkat yang terlalu tinggi
untuk keberhasilan penerapan risiko.
Agar berguna bagi organisasi, tujuan perusahaan harus disajikan sebagai pernyataan lengkap
mengenai tujuan jangka pendek, menengah dan panjang organisasi.
Tujuan perubahan yang bersifat internal, tahunan, dan tahunan biasanya tidak memadai karena tujuan
tersebut mungkin gagal mengidentifikasi secara penuh persyaratan operasional (atau efisiensi),
perubahan (atau persaingan), dan strategis (atau kepemimpinan) organisasi.
Kerugian paling penting yang terkait dengan pendekatan 'berbasis tujuan' terhadap risiko dan
manajemen risiko adalah bahayanya mempertimbangkan risiko di luar konteks yang memunculkan
risiko tersebut. Risiko yang dianalisis dengan cara yang terpisah dari situasi yang menyebabkan risiko
tersebut tidak akan mampu melakukan evaluasi yang cermat dan tepat. Dapat dikatakan bahwa
analisis yang lebih kuat dapat dicapai ketika pendekatan manajemen risiko yang 'didorong oleh
ketergantungan' diadopsi.
Masih banyak organisasi yang terus menggunakan analisis tujuan perusahaan sebagai alat untuk
mengidentifikasi risiko, karena beberapa manfaat memang muncul dari pendekatan ini. Misalnya,
menggunakan pendekatan 'berbasis tujuan'
Machine Translated by Google
memfasilitasi analisis risiko sehubungan dengan aspek positif dan ketidakpastian peristiwa
yang mungkin terjadi, serta memfasilitasi analisis aspek negatif dan kepatuhan.
Jika keputusan diambil untuk mengaitkan risiko pada tujuan organisasi, penting bahwa
tujuan tersebut telah dikembangkan secara penuh dan menyeluruh. Tujuan-tujuan tersebut
tidak hanya perlu ditantang untuk memastikan bahwa tujuan-tujuan tersebut penuh dan
lengkap, namun asumsi-asumsi yang mendasari tujuan-tujuan tersebut juga harus
mendapat perhatian yang cermat dan kritis.
Proses inti dibahas di Bab 19 dan dapat dianggap sebagai proses tingkat tinggi yang
menggerakkan organisasi. Dalam contoh klub olahraga, salah satu proses kuncinya adalah
proses operasional 'memberikan hasil yang sukses di lapangan'. Risiko mungkin melekat
pada proses inti ini, serta melekat pada tujuan dan/atau ketergantungan utama. Proses inti
dapat diklasifikasikan menjadi strategis, taktis, operasional, dan kepatuhan (STOC). Dalam
semua kasus, proses inti harus efektif dan efisien. Aktivitas manajemen risiko yang matang
(atau canggih) kemudian dapat dirancang untuk meningkatkan efektivitas dan efisiensi
proses inti.
Meskipun risiko dapat dikaitkan dengan fitur lain organisasi, pendekatan standarnya
adalah dengan mengaitkan risiko pada tujuan perusahaan. Salah satu definisi standar
risiko adalah sesuatu yang dapat berdampak (melemahkan, meningkatkan, atau
menimbulkan keraguan) terhadap pencapaian tujuan perusahaan. Definisi ini berguna,
namun tidak memberikan satu-satunya titik awal untuk mengidentifikasi risiko yang
signifikan.
Keterikatan risiko pada ketergantungan utama dan, khususnya, ekspektasi pemangku
kepentingan menjadi lebih umum. Pentingnya pemangku kepentingan dan harapan mereka
dibahas secara lebih rinci di Bab 29. Penggunaan ketergantungan utama untuk
mengidentifikasi risiko dapat menjadi latihan yang mudah dilakukan. Organisasi perlu
menanyakan fitur atau komponen organisasi dan konteks eksternalnya yang merupakan
kunci keberhasilan. Hal ini akan menghasilkan identifikasi kekuatan, kelemahan, peluang
dan ancaman yang dihadapi organisasi. Hal ini sering disebut sebagai analisis SWOT.
Setelah mengidentifikasi ketergantungan utama, sebagaimana tercantum dalam Tabel
13.1, organisasi kemudian dapat mempertimbangkan risiko yang akan berdampak pada
ketergantungan ini. Pendekatan ini dibahas secara lebih rinci dengan contoh-contoh praktis
risiko yang disajikan pada Tabel 13.1
Machine Translated by Google
Ketika sebuah organisasi menempatkan nilai pada risiko dengan cara ini, organisasi tersebut
harus melakukannya dengan pengetahuan penuh mengenai paparan risiko dan organisasi
tersebut harus yakin bahwa paparan risiko tersebut sesuai dengan selera organisasi. Yang lebih
penting lagi, lembaga tersebut harus memastikan bahwa lembaga tersebut memiliki sumber
daya yang cukup untuk menutupi paparan risiko. Dengan kata lain, paparan risiko harus diukur,
keinginan untuk mengambil tingkat risiko tersebut harus dipastikan, dan kapasitas organisasi
untuk menahan dampak buruk yang dapat diperkirakan harus ditetapkan dengan jelas.
Tidak semua aktivitas bisnis menawarkan keuntungan yang sama dengan tingkat risiko yang
sama. Operasi start-up biasanya mempunyai risiko tinggi dan ekspektasi pengembalian awal
mungkin rendah. Gambar 2.2 menunjukkan kemungkinan pengembangan risiko versus imbalan
untuk organisasi baru atau produk baru. Aktivitas akan dimulai di pojok kanan bawah sebagai
operasi start-up, yang berisiko tinggi dan keuntungan rendah.
Seiring berkembangnya bisnis, kemungkinan besar bisnis tersebut akan menghasilkan keuntungan yang lebih tinggi
Machine Translated by Google
tingkat risiko. Ini adalah fase pertumbuhan bisnis atau produk. Ketika investasi sudah matang,
imbalannya mungkin tetap tinggi, namun risikonya akan berkurang.
Pada akhirnya, suatu organisasi akan menjadi matang sepenuhnya dan bergerak menuju
kuadran risiko rendah dan keuntungan rendah. Harapan normal di pasar yang sangat matang
adalah bahwa organisasi atau produk akan mengalami penurunan.
Risiko khusus yang dihadapi organisasi perlu diidentifikasi oleh manajemen atau organisasi.
Teknik manajemen risiko yang tepat perlu diterapkan pada risiko yang telah diidentifikasi. Sifat
dari respon risiko dan sifat dampaknya dibahas di Bagian Empat buku ini.
Pembahasan di atas mengenai risiko dan imbalan berlaku untuk risiko peluang.
Namun upaya manajemen risiko harus selalu membuahkan hasil. Dalam hal risiko bahaya,
kemungkinan besar imbalan atas peningkatan upaya manajemen risiko akan menghasilkan lebih
sedikit kejadian yang mengganggu. Dalam hal risiko proyek, imbalan atas peningkatan upaya
manajemen risiko adalah proyek akan lebih mungkin terselesaikan tepat waktu, sesuai anggaran,
dan sesuai spesifikasi/kualitas.
Untuk risiko peluang, analisis risiko versus imbalan harus menghasilkan lebih sedikit produk
baru yang gagal dan tingkat keuntungan yang lebih tinggi atau (paling buruk) tingkat kerugian
yang lebih rendah untuk semua aktivitas baru atau produk baru. Dalam semua kasus, keuntungan
atau peningkatan tingkat layanan merupakan imbalan atas pengambilan risiko. Konsep analisis
risiko versus imbalan dalam kaitannya dengan risiko strategis dibahas lebih rinci pada Gambar
15.2.
Machine Translated by Google
Faktor kunci lainnya yang akan menentukan sikap organisasi terhadap risiko mencakup
tahapan siklus kematangan, seperti yang ditunjukkan pada Gambar 2.2. Bagi organisasi yang
berada pada fase start-up, diperlukan sikap yang lebih agresif terhadap risiko dibandingkan
organisasi yang sedang menikmati pertumbuhan atau organisasi yang sudah matang di pasar
yang sudah matang. Ketika sebuah organisasi beroperasi di pasar yang sudah matang dan
mengalami penurunan, sikap terhadap risiko akan jauh lebih menghindari risiko.
Hal ini karena sikap terhadap risiko harus berbeda ketika suatu organisasi masih dalam tahap
operasi start-up dibandingkan dengan organisasi yang sudah matang, sehingga sering dikatakan
bahwa pengusaha terkemuka tertentu sangat pandai dalam memulai kewirausahaan namun tidak
sesukses itu. dalam menjalankan bisnis yang matang. Sikap yang berbeda terhadap risiko
diperlukan di berbagai bagian siklus kematangan bisnis seperti yang ditunjukkan pada Gambar 2.2.
Referendum di Inggris mengenai kelanjutan keanggotaan Uni Eropa (UE) pada bulan Juni
2016 menghasilkan suara yang mendukung keluarnya Inggris (Brexit). Pemerintah Inggris harus
mengaktifkan prosedur bagi Inggris untuk meninggalkan UE. Kotak teks di bawah ini memberikan
garis besar opsi yang paling sering didiskusikan yang tersedia bagi pemerintah Inggris. Secara
keseluruhan, tantangan bagi pemerintah Inggris adalah memastikan keberhasilan perekonomian
Inggris yang berkelanjutan berdasarkan strategi dan taktik Brexit yang akan menjamin
keberlangsungan ketahanan Inggris.
Machine Translated by Google
adanya pasar tunggal: tidak ada tarif atau hambatan perdagangan lainnya;
Setelah pemungutan suara Brexit, pemerintah Inggris kini harus memutuskan perjanjian mana yang akan
dipertahankan. Secara umum, ada tiga model yang dapat ditargetkan oleh Inggris.
Model Norwegia
Norwegia adalah anggota Kawasan Ekonomi Eropa, tetapi bukan UE. Negara ini memiliki akses penuh terhadap
pasar tunggal, namun harus mengadopsi standar dan peraturan UE dan tidak dapat menerapkan pembatasan
imigrasi. Selain itu, Norwegia harus berkontribusi terhadap anggaran UE.
Model Swiss
Swiss telah mencapai beberapa keberhasilan dalam membangun kesepakatan dua arah dengan UE, yang
pada dasarnya memungkinkan Swiss untuk mengakses bagian-bagian tertentu dari pasar Eropa sebagai imbalan
untuk menerima undang-undang UE di bidang-bidang yang relevan serta memberikan kontribusi terhadap
anggaran UE.
Model Kanada
Kanada baru-baru ini (Mei 2017) meratifikasi perjanjian perdagangan paling luas dengan Eropa yang pernah dibuat,
dan ada kemungkinan bahwa Inggris ingin meniru hubungan semacam ini. Perjanjian semacam itu mungkin
tidak mengizinkan pemberian paspor pada jasa keuangan secara terus-menerus.
Semua model ini berjuang untuk menyelaraskan isu utama pengendalian regulasi. Dengan menggunakan ketiga
model ini sebagai dasar, Inggris kini harus mengevaluasi bagaimana Brexit akan menciptakan risiko dan
peluang bagi bisnis.
Risiko terkadang didefinisikan sebagai ketidakpastian hasil. Definisi ini agak teknis,
namun berguna dan khususnya dapat diterapkan pada manajemen risiko pengendalian.
Risiko pengendalian adalah risiko yang paling sulit diidentifikasi dan didefinisikan,
namun sering dikaitkan dengan proyek. Tujuan keseluruhan dari suatu proyek adalah
untuk memberikan hasil yang diinginkan tepat waktu, sesuai anggaran dan sesuai
spesifikasi, kualitas atau kinerja.
Misalnya, ketika sebuah bangunan sedang dibangun, sifat kondisi tanah mungkin
tidak selalu dapat diketahui secara detail. Seiring dengan berjalannya pekerjaan
konstruksi, informasi lebih lanjut akan tersedia mengenai sifat kondisinya.
Informasi ini mungkin merupakan berita positif karena tanahnya lebih kuat dari perkiraan
dan pekerjaan pondasi yang diperlukan lebih sedikit. Alternatifnya, mungkin ditemukan
bahwa tanah terkontaminasi atau lebih lemah dari yang diperkirakan, atau terdapat
kondisi lain yang berpotensi merugikan, seperti ditemukannya peninggalan arkeologis.
berlaku untuk peristiwa yang dapat menyebabkan gangguan terhadap operasi normal yang efisien.
Machine Translated by Google
Sisi kiri dasi kupu-kupu mewakili sumber bahaya tertentu dan menunjukkan sistem
klasifikasi yang digunakan oleh organisasi untuk sumber risiko. Pada Gambar 2.3,
sumber risiko yang digunakan adalah sumber risiko strategis, taktis, operasional,
dan kepatuhan (STOC) tingkat tinggi. Sisi kanan dari dasi kupu-kupu menunjukkan
dampak jika peristiwa risiko terjadi, dan Gambar 2.3 menggunakan komponen tingkat
tinggi dampak finansial, infrastruktur, reputasi, dan pasar (FIRM) dari terjadinya risiko.
03
Jenis risiko
Klasifikasi risiko menjadi dampak jangka panjang, menengah, dan pendek merupakan cara yang sangat
berguna dalam menganalisis paparan risiko suatu organisasi. Risiko-risiko ini masing-masing akan terkait
dengan strategi, taktik, dan operasi organisasi.
Dalam konteks ini, risiko dapat dianggap terkait dengan kejadian, perubahan keadaan, tindakan atau
keputusan.
Secara umum, risiko jangka panjang akan berdampak beberapa tahun, mungkin hingga lima tahun,
setelah peristiwa terjadi atau keputusan diambil. Oleh karena itu, risiko jangka panjang berkaitan dengan
keputusan strategis. Ketika keputusan diambil untuk meluncurkan produk baru, hasil dari keputusan tersebut
(dan keberhasilan produk itu sendiri) mungkin tidak sepenuhnya terlihat untuk beberapa waktu.
Risiko jangka menengah mempunyai dampak beberapa saat setelah kejadian terjadi atau keputusan
diambil, dan biasanya dampaknya terjadi sekitar satu tahun kemudian. Risiko jangka menengah seringkali
dikaitkan dengan proyek atau program kerja. Misalnya, jika sistem perangkat lunak komputer baru akan
diinstal, maka pilihan sistem komputer merupakan keputusan jangka panjang atau strategis. Namun,
keputusan mengenai proyek untuk mengimplementasikan perangkat lunak baru akan menjadi keputusan
jangka menengah dengan risiko jangka menengah yang menyertainya.
Risiko jangka pendek mempunyai dampak segera setelah peristiwa tersebut terjadi.
Kecelakaan di tempat kerja, kecelakaan lalu lintas, kebakaran dan pencurian merupakan risiko jangka pendek
Machine Translated by Google
mempunyai dampak langsung dan konsekuensi langsung segera setelah peristiwa itu terjadi. Risiko-
risiko jangka pendek ini menyebabkan gangguan langsung terhadap operasi normal yang efisien
dan mungkin merupakan jenis risiko yang paling mudah untuk diidentifikasi dan dikelola atau
dimitigasi.
Risiko yang dapat diasuransikan sering kali merupakan risiko jangka pendek, meskipun waktu
dan besaran/dampak pasti dari kejadian yang diasuransikan tidak dapat dipastikan. Dengan kata
lain, asuransi dirancang untuk memberikan perlindungan terhadap risiko yang mempunyai akibat langsung.
Dalam kasus risiko yang dapat diasuransikan, sifat dan konsekuensi dari suatu peristiwa dapat
dipahami, namun waktu terjadinya peristiwa tersebut tidak dapat diprediksi. Faktanya, apakah
peristiwa itu akan terjadi atau tidak, tidak diketahui pada saat polis asuransi dikeluarkan.
Sebagai contoh, pertimbangkan pengoperasian sistem perangkat lunak komputer baru secara
lebih rinci. Organisasi akan menginstal perangkat lunak baru untuk mengantisipasi peningkatan
efisiensi dan fungsionalitas yang lebih besar. Keputusan untuk menginstal perangkat lunak baru dan
pilihan perangkat lunak melibatkan risiko peluang.
Instalasi akan memerlukan sebuah proyek, dan risiko tertentu akan terlibat di dalamnya.
Risiko yang terkait dengan proyek ini adalah risiko pengendalian. Setelah perangkat lunak baru
diinstal, maka akan terkena risiko bahaya. Ini mungkin tidak memberikan semua fungsi yang
diperlukan dan perangkat lunak mungkin terkena berbagai risiko dan infeksi virus. Ini adalah risiko
bahaya yang terkait dengan perangkat lunak baru ini
sistem.
Pertimbangan yang semakin penting bagi organisasi adalah apa yang akan menjadi mekanisme
pemicu yang menyebabkan terjadinya risiko. Mungkin saja organisasi tersebut menghadapi sejumlah
risiko serius dan sebagian besar risiko ini bisa menjadi bencana besar jika risiko tersebut terwujud.
Tantangan bagi manajemen kemudian didasarkan pada pengenalan terhadap keadaan yang dapat
memicu satu atau lebih peristiwa risiko signifikan. Pertanyaan mengenai apa yang dapat memicu
peristiwa tersebut memerlukan pertimbangan yang sama besarnya dengan sumber risiko dan sifat
peristiwa tersebut jika peristiwa tersebut benar-benar terjadi. Kotak di bawah ini membahas peristiwa
yang memicu kegagalan Northern Rock.
Machine Translated by Google
risiko kepatuhan;
risiko bahaya;
pengendalian risiko;
risiko peluang.
Bahasa umum tentang risiko diperlukan di seluruh organisasi jika kontribusi manajemen risiko
ingin dimaksimalkan. Penggunaan bahasa yang sama juga akan memungkinkan organisasi
untuk mengembangkan persepsi risiko dan sikap terhadap risiko yang disepakati. Bagian dari
pengembangan bahasa umum dan persepsi risiko adalah dengan menyepakati sistem klasifikasi
risiko atau serangkaian sistem tersebut.
Misalnya, pertimbangkan orang-orang yang meninjau posisi keuangan mereka dan risikonya
Machine Translated by Google
yang mereka hadapi saat ini terkait keuangan. Mungkin saja ketergantungan finansial utama
berkaitan dengan pencapaian pendapatan yang memadai dan pengelolaan pengeluaran.
Tinjauan tersebut harus mencakup analisis risiko terhadap keamanan kerja dan pengaturan
pensiun, serta kepemilikan properti dan investasi lainnya. Bagian analisis ini akan memberikan
informasi mengenai risiko terhadap pendapatan dan sifat risiko tersebut (risiko peluang).
Sebagai contoh praktis mengenai sifat risiko kepatuhan, bahaya, pengendalian dan peluang,
Tabel 3.1 membahas risiko yang terkait dengan kepemilikan mobil. Dalam hal ini, risiko
kepatuhan berkaitan dengan kewajiban hukum yang terkait dengan kepemilikan dan
mengemudikan mobil. Risiko bahaya berkaitan dengan kejadian yang tidak diinginkan oleh
pemilik. Ketidakpastian adalah biaya yang diketahui terlibat, namun biaya tersebut mungkin
berbeda-beda. Terakhir, peluang adalah keuntungan yang ditawarkan oleh kepemilikan mobil.
Peluang memiliki mobil (peristiwa yang Anda harapkan akan terjadi, namun bisa
saja gagal terjadi)
1 Anda dapat bepergian dengan lebih mudah daripada bergantung pada orang lain
Ketidakpastian dalam memiliki mobil (peristiwa yang Anda tahu akan terjadi,
namun dampaknya bervariasi)
2 Harga bahan bakar (bensin atau solar) bisa naik atau turun
1 Anda membayar terlalu banyak untuk mobil tersebut atau kondisinya buruk
Risiko bahaya adalah risiko yang hanya dapat menghambat pencapaian misi perusahaan.
Biasanya, risiko atau bahaya ini merupakan jenis risiko yang dapat diasuransikan, dan
mencakup kebakaran, badai, banjir, cedera, dan sebagainya. Disiplin manajemen risiko
memiliki asal usul yang kuat dalam pengendalian dan mitigasi risiko bahaya. Operasi normal
yang efisien mungkin terganggu oleh kehilangan, kerusakan, kerusakan, pencurian, dan
ancaman lain yang terkait dengan berbagai ketergantungan. Tabel 3.2 memberikan contoh
gangguan yang disebabkan oleh manusia, lokasi, proses dan produk (4P). Ketergantungan
ini juga dapat menjadi sumber risiko dan 4P dapat dianggap sebagai contoh sistem klasifikasi
risiko.
Tempat Tidak memadai, tidak mencukupi, atau tidak adanya akses ke tempat
Kerusakan atau kontaminasi tempat
Machine Translated by Google
Proses Kegagalan sistem perangkat keras atau perangkat lunak TI Gangguan oleh
hacker atau virus komputer
Pengelolaan informasi yang tidak memadai
Kegagalan sistem komunikasi atau transportasi
toleransi. Hal ini mungkin tepat, karena organisasi mungkin bersikap tidak ingin risiko
yang berhubungan dengan bahaya menghabiskan sumber daya organisasi ketika
organisasi tersebut menempatkan begitu banyak nilai pada risiko dalam berinvestasi pada peluang.
Selain risiko bahaya, pengendalian, dan peluang, kategori risiko kepatuhan selanjutnya
mungkin memerlukan pertimbangan terpisah. Untuk industri yang memiliki regulasi ketat,
seperti energi, keuangan, perjudian, dan transportasi, masalah kepatuhan sangatlah
penting. Karena sifat khusus dari risiko kepatuhan, risiko tersebut sering kali dianggap
sebagai kategori risiko terpisah dan sering kali dikelola atau diminimalkan secara berbeda.
Banyak organisasi ingin memastikan kepatuhan penuh terhadap semua peraturan dan
regulasi dan tidak mengambil risiko apa pun dalam kategori ini. Hal ini mungkin terjadi
pada risiko kepatuhan, namun hampir pasti tidak akan terjadi pada risiko bahaya,
pengendalian, dan peluang. Pertimbangan lebih lanjut mengenai risiko kepatuhan terdapat
pada Bab 19, sebagai bagian dari pembahasan risiko strategis, taktis, operasional, dan
kepatuhan (STOC).
Setiap organisasi perlu memutuskan keinginannya untuk meraih peluang baru, dan
tingkat investasi yang sesuai. Misalnya, suatu organisasi mungkin menyadari bahwa ada
persyaratan di pasar untuk suatu produk baru
Machine Translated by Google
produk yang keahliannya memungkinkan untuk dikembangkan dan dipasok. Namun, jika
organisasi tidak memiliki sumber daya untuk mengembangkan produk baru, maka organisasi
tersebut mungkin tidak dapat menerapkan strategi tersebut dan tidak bijaksana jika organisasi
tersebut mengambil tindakan yang berpotensi berisiko tinggi.
Manajemen perusahaanlah yang akan memutuskan apakah mereka berkeinginan untuk
memanfaatkan peluang yang ada. Hanya karena organisasi memiliki keinginan tersebut, bukan
berarti hal tersebut merupakan hal yang benar untuk dilakukan. Oleh karena itu, dewan direksi
perusahaan harus menyadari fakta bahwa, meskipun mereka memiliki keinginan untuk
memanfaatkan peluang, organisasi mungkin tidak memiliki kapasitas risiko untuk mendukung
tindakan tersebut.
Manajemen peluang adalah pendekatan yang berupaya memaksimalkan manfaat dari
pengambilan risiko kewirausahaan. Organisasi akan mempunyai keinginan untuk berinvestasi
pada risiko peluang. Ada hubungan yang jelas antara manajemen peluang dan perencanaan
strategis. Keinginannya adalah untuk memaksimalkan kemungkinan hasil positif yang signifikan
dari investasi pada peluang bisnis.
Contoh di bawah ini, terkait dengan keputusan gaya hidup pribadi, mempertimbangkan faktor
risiko dengan mengklasifikasikannya sebagai faktor yang dapat dikontrol dan tidak dapat
dikendalikan. Meskipun contoh tersebut berkaitan dengan faktor risiko kesehatan pribadi,
pertimbangan apakah risiko bisnis berada dalam kendali organisasi atau tidak merupakan
komponen penting dalam keberhasilan manajemen risiko bisnis.
Machine Translated by Google
Faktor risiko penyakit jantung dan stroke yang dapat dikendalikan adalah faktor-faktor yang dapat
diubah melalui pola makan, aktivitas fisik, dan tidak menggunakan tembakau. Faktor risiko ini berbeda
dengan faktor risiko yang tidak terkontrol, seperti usia, jenis kelamin, ras, atau sifat genetik. Memiliki satu
atau lebih faktor risiko yang tidak dapat dikendalikan bukan berarti seseorang akan terkena serangan jantung
atau stroke; namun, dengan perhatian yang tepat terhadap faktor-faktor risiko yang dapat dikendalikan,
dampak dari faktor-faktor risiko yang tidak dapat dikendalikan atau diubah tersebut dapat dikurangi.
Faktor risiko penyakit jantung atau stroke yang dapat dikendalikan antara lain tekanan darah tinggi, tinggi
kolesterol darah, diabetes tipe-2 dan obesitas. Kebiasaan gaya hidup sehat, seperti
mengembangkan kebiasaan makan yang baik, meningkatkan aktivitas fisik dan tidak menggunakan
tembakau, merupakan langkah efektif dalam mencegah dan memperbaiki faktor risiko yang dapat dikendalikan.
mengurangi ketidakpastian yang terkait dengan risiko signifikan dan mengurangi variabilitas
hasil.
Terdapat bahaya jika organisasi menjadi terlalu peduli dengan manajemen pengendalian.
Organisasi tidak boleh terobsesi dengan risiko pengendalian, karena kadang-kadang dikatakan
bahwa fokus yang berlebihan pada pengendalian internal dan manajemen pengendalian akan
menekan upaya kewirausahaan.
Misalnya, sistem pengereman otomatis yang dipasang pada kereta api untuk menghentikan
mereka melewati lampu merah secara teknis layak dilakukan. Namun, hal ini mungkin merupakan
investasi yang tidak masuk akal bagi perusahaan pengelola kereta api. Konsekuensi dari kereta
api yang melewati lampu merah dapat dianggap sebagai paparan risiko atau toleransi bahaya
bagi organisasi, namun biaya penerapan sistem pengereman otomatis dapat dianggap sangat
tinggi.
Contoh yang kurang emosional terkait dengan pencurian. Sebagian besar organisasi akan
mengalami tingkat pencurian kecil-kecilan yang rendah dan hal ini mungkin dapat ditoleransi.
Misalnya, bisnis yang berbasis di lingkungan perkantoran akan mengalami pencurian alat tulis,
termasuk kertas, amplop, dan pena. Biaya untuk menghilangkan pencurian kecil-kecilan ini
mungkin sangat besar sehingga menjadi hemat biaya bagi organisasi untuk menerima bahwa
kerugian ini akan terjadi. Pendekatan terhadap pencurian di toko mungkin sangat berbeda di
berbagai sektor ritel, seperti yang diilustrasikan oleh contoh di bawah ini.
Machine Translated by Google
Kisaran risiko bahaya yang dapat mempengaruhi suatu organisasi perlu diidentifikasi.
Risiko bahaya dapat mengakibatkan gangguan yang tidak direncanakan terhadap organisasi. Peristiwa
yang mengganggu menyebabkan inefisiensi dan harus dihindari, kecuali jika peristiwa tersebut
merupakan bagian dari, misalnya, pemeliharaan terencana atau pengujian prosedur darurat. Keadaan
yang diinginkan sehubungan dengan manajemen risiko bahaya adalah tidak boleh ada gangguan atau
inefisiensi yang tidak direncanakan karena alasan apa pun yang ditunjukkan pada Tabel 3.2.
Tabel 3.2 memberikan daftar kejadian yang dapat menyebabkan gangguan atau inefisiensi yang
tidak direncanakan. Peristiwa-peristiwa ini dibagi menjadi beberapa kategori, seperti orang, tempat,
proses, dan produk. Untuk setiap kategori risiko bahaya, organisasi perlu mengevaluasi jenis insiden
yang dapat terjadi, sumber insiden tersebut, dan kemungkinan dampaknya terhadap operasi normal
yang efisien.
Pengelolaan risiko bahaya melibatkan analisis dan pengelolaan tiga aspek risiko bahaya. Hal ini
dibahas lebih rinci di Bab 16 dan 23.
Singkatnya, organisasi harus mempertimbangkan tindakan yang diperlukan untuk mencegah terjadinya
kerugian, membatasi kerusakan yang dapat ditimbulkan oleh peristiwa tersebut, dan mengendalikan
biaya pemulihan dari peristiwa tersebut.
Manajemen bahaya secara tradisional merupakan pendekatan yang diadopsi oleh dunia asuransi.
Organisasi akan memiliki toleransi terhadap risiko bahaya. Pendekatan ini harus didasarkan pada
pengurangan kemungkinan dan besaran/dampak kerugian bahaya.
Asuransi mewakili mekanisme untuk membatasi biaya kerugian finansial.
Machine Translated by Google
Selain itu, beberapa risiko bahaya akan dikaitkan dengan persyaratan peraturan dan dapat
dianggap sebagai risiko kepatuhan. Sebagian besar organisasi akan berupaya meminimalkan
risiko kepatuhan.
Ketika sebuah organisasi mempertimbangkan tingkat asuransi yang akan dibelinya,
toleransi bahaya organisasi tersebut perlu dianalisis sepenuhnya.
Organisasi mungkin bersedia menerima sejumlah kecelakaan kendaraan bermotor sebagai
biaya finansial yang akan didanai dari keuntungan dan kerugian sehari-hari organisasi. Hal
ini hanya dapat ditoleransi sampai tingkat tertentu dan organisasi perlu menentukan tingkat
apa yang dapat diterima. Asuransi kemudian harus dibeli untuk menutupi kerugian yang
mungkin melebihi tingkat tersebut.
telah dikeluarkan.
Bagi organisasi yang tidak memiliki regulator yang khusus menangani industri atau sektor bisnis tersebut, masih
banyak persyaratan peraturan yang harus dipenuhi. Secara khusus, persyaratan kesehatan dan keselamatan berlaku
di sebagian besar negara di dunia, dan persyaratan ini mewajibkan organisasi untuk menjamin kesehatan,
keselamatan, dan kesejahteraan karyawan serta orang lain yang mungkin terkena dampak aktivitas kerja mereka.
Biasanya, persyaratan keselamatan ini tidak hanya berlaku di tempat kerja yang berada di bawah kendali langsung
organisasi, namun juga mencakup kesehatan dan keselamatan karyawan yang bekerja di negara lain. Selain itu,
kewajiban keselamatan jalan yang terperinci juga akan berlaku bagi organisasi yang memiliki kendaraan, terutama
Secara umum, organisasi akan berupaya memastikan kepatuhan penuh terhadap semua peraturan dan regulasi
yang berlaku dan, dengan demikian, meminimalkan risiko kepatuhan. Dalam banyak kasus, tim khusus yang terdiri
dari profesional spesialis risiko akan dipekerjakan dan hal ini khususnya terkait dengan kesehatan dan keselamatan,
pencucian uang, dan pengaturan keamanan. Penting bagi organisasi untuk mengenali risiko kepatuhan mereka dan
memasukkan pertimbangan risiko ini dalam aktivitas manajemen risiko mereka. Penting juga untuk memastikan
bahwa berbagai bidang keahlian manajemen risiko dalam perusahaan saling bekerja sama, sehingga pendekatan
04
Ruang lingkup manajemen risiko
Manajemen risiko bukanlah tentang mengendalikan/mitigasi risiko yang ada. Jika bisnis ingin berjalan baik, manajemen harus belajar
mengambil lebih banyak risiko dan menerima kegagalan. Untuk berkinerja lebih baik dibandingkan yang lain, Anda harus
mengambil risiko yang lebih besar, namun risiko tersebut harus diperhitungkan (risiko yang diterima diketahui, begitu pula
kemungkinan dan dampaknya).
Mengambil risiko tanpa disadari bukanlah hal yang dapat diterima – yang merupakan praktik pendekatan berbasis silo di masa lalu
dalam mengelola kantong-kantong risiko, menyebabkan tanggung jawab yang tidak jelas dan kurangnya visibilitas, sehingga
membuat organisasi menghadapi risiko yang tidak perlu.
Kematangan disiplin manajemen risiko saat ini sudah sedemikian rupa sehingga hubungannya
dengan asuransi menjadi kurang kuat. Asuransi kini dipandang sebagai salah satu teknik
pengendalian risiko, namun hanya berlaku pada sebagian risiko bahaya. Risiko yang terkait
dengan masalah keuangan, komersial, pasar, dan reputasi diakui sebagai risiko yang sangat
penting, namun berada di luar cakupan sejarah asuransi. Berbagai pendekatan manajemen risiko
yang berbeda diilustrasikan oleh definisi manajemen risiko sebagaimana tercantum pada Tabel
4.1.
HM Treasury Semua proses yang terlibat dalam mengidentifikasi, menilai dan menilai risiko,
menetapkan kepemilikan, mengambil tindakan untuk memitigasi atau
mengantisipasinya, serta memantau dan meninjau kemajuan.
London Pemilihan risiko-risiko yang harus diambil oleh suatu bisnis dan risiko-risiko tersebut
Machine Translated by Google
London Pemilihan risiko-risiko yang harus diambil oleh suatu bisnis dan risiko-risiko
sekolah mana yang harus dihindari atau dikurangi, diikuti dengan tindakan untuk
Ekonomi menghindari atau mengurangi risiko.
Memberikan definisi yang tepat mengenai manajemen risiko sama sulitnya dengan
memberikan definisi risiko yang sesuai dan diterima secara universal. Karena secara
umum diterima bahwa manajemen risiko harus memperhatikan bahaya, ketidakpastian
dan peluang, maka diperlukan deskripsi dan definisi yang mencerminkan cakupan luas
kegiatan manajemen risiko. Definisi berikut ini ditawarkan oleh penulis: Manajemen
risiko adalah serangkaian aktivitas dalam suatu organisasi yang dilakukan untuk
memberikan hasil yang paling menguntungkan dan mengurangi volatilitas atau
variabilitas hasil tersebut.
Mengelola organisasi
Biaya variabel atau ketersediaan bahan baku
Biaya pensiun/pensiun/tunjangan sosial
Keinginan untuk memberikan nilai pemegang saham yang lebih besar
Perubahan di pasar
Mengubah lingkungan komersial dan pasar
Globalisasi pelanggan, pemasok dan produk Meningkatnya persaingan
di pasar
Ekspektasi pelanggan yang lebih besar, sering kali dipimpin oleh pesaing. Perlu
merespons ekspektasi pemangku kepentingan dengan lebih cepat. Pasar yang lebih fluktuatif
dengan loyalitas pelanggan yang lebih sedikit
Diversifikasi mengarah pada bekerja di bidang yang asing. Kebutuhan terus-menerus untuk
membuat keputusan strategis yang berani
Dibutuhkan kesuksesan jangka pendek, tanpa kerugian jangka panjang.
Inovasi produk dan perbaikan berkelanjutan
Perubahan cepat dalam teknologi produk (konsumen).
Ancaman terhadap perekonomian dunia/nasional
Ancaman influenza atau pandemi lainnya
Potensi kejahatan terorganisir internasional
Meningkatnya kejadian kerusuhan sipil/risiko politik Peristiwa cuaca ekstrem
yang mengakibatkan perpindahan penduduk
Bab ini membahas sifat manajemen risiko dan tahapan yang ditetapkan dalam
proses manajemen risiko. Secara historis, istilah manajemen risiko telah digunakan
untuk menggambarkan suatu pendekatan yang diterapkan hanya pada risiko bahaya.
Disiplin ini sekarang berkembang sedemikian rupa sehingga memungkinkan manajemen
risiko memberikan kontribusi terhadap peningkatan manajemen risiko pengendalian
dan risiko peluang.
pengenalan 'Jalur Plimsoll' untuk menunjukkan tingkat muatan yang dapat diangkut
dengan aman oleh kapal tanpa kelebihan muatan yang berbahaya.
Ketika manajemen risiko semakin berkembang, muncullah program pendidikan untuk
mendukung pengembangan manajemen risiko sebagai sebuah profesi. Pada saat inilah
peraturan manajemen risiko yang terkait dengan tata kelola perusahaan mulai berkembang
dan berbagai regulator diberi wewenang lebih besar terkait dengan bahaya tertentu
(seperti kesehatan dan keselamatan), dan juga terkait dengan sektor bisnis tertentu
(seperti lembaga keuangan). . Perkembangan kualifikasi manajemen risiko menjadi
semakin formal pada tahun 1980an.
Selama tahun 2000an, perusahaan jasa keuangan didorong untuk mengembangkan sistem
manajemen risiko internal dan model permodalan. Ada pertumbuhan pesat posisi CRO di
perusahaan energi, bank, dan perusahaan asuransi.
Dewan sekarang menginvestasikan lebih banyak waktu dalam ERM karena Sarbanes – Oxley Act
tahun 2002 di Amerika Serikat. Pelaporan risiko yang lebih rinci dan persyaratan tata kelola
perusahaan lainnya juga telah diperkenalkan.
Namun, krisis keuangan tahun 2008 mempertanyakan kontribusi manajemen risiko terhadap
kesuksesan perusahaan, khususnya di lembaga keuangan. Tidak ada keraguan bahwa penerapan
alat dan teknik manajemen risiko gagal mencegah krisis keuangan global. Kegagalan ini merupakan
kegagalan dalam menerapkan proses dan prosedur manajemen risiko dengan benar, dan bukan
merupakan cacat bawaan dalam pendekatan manajemen risiko.
Mungkin salah satu bidang manajemen risiko yang paling terkenal dan terspesialisasi adalah itu
Machine Translated by Google
mengenai kesehatan dan keselamatan di tempat kerja. Bidang spesialis lainnya adalah
perencanaan pemulihan bencana dan perencanaan kesinambungan bisnis. Selain itu, tidak ada
keraguan bahwa manajemen mutu adalah cabang manajemen risiko yang berkembang dengan
sangat baik, mengingat tingginya profil yang melekat pada sistem manajemen mutu, seperti ISO 9000.
Selain itu, bidang manajemen risiko khusus lainnya telah berkembang selama beberapa dekade
terakhir, termasuk:
Semua bidang spesialis manajemen risiko di atas telah memberikan kontribusi besar terhadap
pengembangan dan penerapan alat dan teknik manajemen risiko. Manajemen risiko proyek
adalah bidang di mana penerapan alat dan teknik manajemen risiko dikembangkan dengan
baik. Seperti yang telah dibahas sebelumnya, manajemen risiko proyek menekankan pada
pengelolaan risiko ketidakpastian atau pengendalian.
Manajemen risiko klinis telah berkembang selama beberapa waktu. Area manajemen risiko
ini terutama berkaitan dengan perawatan pasien, khususnya selama operasi bedah. Biaya klaim
malpraktik medis dan penundaan yang tidak dapat dihindari dalam melakukan pembayaran
asuransi telah mengakibatkan diperkenalkannya sistem manajemen risiko. Aspek khusus dari
manajemen risiko klinis mencakup perhatian yang lebih besar untuk membuat pasien sadar
akan risiko yang mungkin terkait dengan prosedur yang akan mereka jalani.
Penting juga bagi ahli bedah untuk melaporkan insiden yang terjadi selama operasi.
Penekanan yang cukup besar telah ditempatkan dalam manajemen risiko klinis pada kebutuhan
untuk melaporkan, secara akurat dan tepat waktu, rincian setiap insiden yang terjadi di ruang
operasi. Ada banyak publikasi yang tersedia mengenai manajemen risiko klinis, dan banyak
upaya telah dilakukan untuk menetapkan sistem dan prosedur yang diperlukan untuk mencakup
bidang khusus manajemen risiko ini.
Machine Translated by Google
Selain manajemen risiko proyek dan klinis, alat dan teknik manajemen risiko juga telah
diterapkan di berbagai industri spesialis. Secara khusus, teknik manajemen risiko telah
diterapkan di sektor keuangan dan energi. Manajemen risiko di sektor keuangan berfokus
pada risiko operasional, serta risiko pasar, kredit, dan jenis risiko keuangan lainnya. Di sektor
keuanganlah gelar Chief Risk Officer pertama kali dikembangkan.
Sektor energi juga mengalami peningkatan perhatian terhadap alat dan teknik manajemen
risiko. Bagi beberapa organisasi di sektor energi, manajemen risiko terutama berkaitan
dengan harga energi di masa depan dan risiko eksplorasi. Oleh karena itu, pendekatan
manajemen risiko serupa dengan aktivitas fungsi treasury, dimana lindung nilai dan teknik
keuangan canggih lainnya menjadi dasar upaya manajemen risiko.
Manajemen risiko keuangan menjadi sangat populer akhir-akhir ini, dan Bab 30 membahas
pentingnya manajemen risiko operasional dalam sektor keuangan. Namun, manajemen risiko
di sektor keuangan lebih luas dari sekedar risiko operasional. Bank dan lembaga keuangan
lainnya akan memperhatikan risiko kredit dan risiko pasar, serta risiko operasional.
Keuangan dan asuransi merupakan sektor bisnis yang diatur dengan ketat, diatur oleh standar
internasional seperti Basel III dan Solvabilitas II.
Manajemen risiko TI adalah cabang manajemen risiko yang berkembang dengan baik dan
spesifik. Semakin pentingnya informasi bagi organisasi, dalam hal pengelolaan dan keamanan
data, telah menghasilkan pengembangan standar khusus yang dapat diterapkan pada
manajemen risiko TI. Salah satu standar manajemen risiko yang paling baik adalah COBIT,
yang dalam banyak hal serupa dengan kubus COSO ERM yang dibahas di Bab 6.
standar yang disebutkan dalam Bab 6 memberikan gambaran yang sedikit berbeda.
1 Pengakuan atau identifikasi risiko dan identifikasi sifat risiko serta keadaan di mana
risiko tersebut dapat terjadi.
2 Pemeringkatan atau evaluasi risiko dari segi besaran dan kemungkinannya untuk
menghasilkan 'profil risiko' yang tercatat dalam daftar risiko.
3 Memberi peringkat atau menganalisis tingkat risiko saat ini atau yang tersisa terhadap
kriteria risiko atau selera risiko yang ditetapkan.
4 Menanggapi risiko-risiko signifikan, termasuk keputusan mengenai
tindakan yang tepat mengenai pilihan-pilihan berikut: • menoleransi; • merawat;
•
pemindahan;
• mengakhiri.
5 Pengendalian sumber daya untuk memastikan bahwa pengaturan yang memadai telah dibuat
untuk memperkenalkan dan mempertahankan aktivitas pengendalian yang diperlukan.
6 Perencanaan reaksi dan/atau manajemen kejadian. Untuk risiko bahaya, hal ini
mencakup pemulihan bencana atau perencanaan kelangsungan bisnis.
7 Pelaporan dan pemantauan kinerja risiko, tindakan dan peristiwa serta komunikasi
mengenai isu-isu risiko, melalui arsitektur risiko organisasi.
Gambar 4.1 memberikan representasi diagram sederhana dari proses manajemen risiko.
Penjelasan dasar proses manajemen risiko ini disebut sebagai 8R dan 4T manajemen risiko
bahaya. Kegiatan yang terkait dengan manajemen risiko adalah sebagai berikut:
pengakuan risiko;
Machine Translated by Google
peringkat risiko;
Proses manajemen diulangi sesering yang diperlukan, untuk mengatasi kesulitan dalam
memberikan gambaran statis mengenai status risiko yang dihadapi organisasi. Hal ini akan
memastikan bahwa manajemen risiko tetap menjadi aktivitas yang dinamis.
Tingkat kecanggihan
manajemen risiko
Bab ini menjelaskan berbagai gaya manajemen risiko yang saat ini dipraktikkan. Lebih
banyak profesi dan disiplin ilmu yang terlibat dalam manajemen risiko dibandingkan tahun-
tahun sebelumnya. Hal ini menambah keragaman dalam pengembangan disiplin
manajemen risiko. Suatu organisasi tidak hanya perlu canggih dalam pendekatan dan
harapannya terhadap manajemen risiko, namun juga matang dalam cara melakukan
aktivitas manajemen risikonya. Pentingnya kematangan risiko dibahas di Bab 24.
Pada awalnya, sebuah organisasi mungkin tidak menyadari kewajiban hukum dan
kontrak yang dihadapinya. Dalam hal ini, perlu untuk memberitahukannya kepada
Machine Translated by Google
Setelah mencapai kepatuhan, penerbit harus menyadari bahwa sebagian besar tenaga kerja berasal
dari latar belakang etnis yang berbeda. Perusahaan harus melihat keberagaman tenaga kerjanya
sebagai sebuah manfaat yang memungkinkannya berkinerja lebih baik di pasar dengan menjajaki
peluang untuk memproduksi dan menerbitkan majalah baru yang menarik bagi pembaca yang lebih
beragam secara etnis.
Tahapan reformasi untuk menyesuaikan kinerja mewakili tingkat kecanggihan manajemen risiko.
Namun, risiko atau praktik manajemen risiko tidak perlu berkembang dari bahaya ke pengendalian ke
peluang.
Faktanya, risiko dapat menurun dalam keadaan tertentu. Pada suatu waktu, suatu risiko tertentu akan
bertipe spesifik dalam suatu organisasi. Manfaat dapat diperoleh dari keberhasilan pengelolaan risiko
tersebut pada tingkat kecanggihan apa pun yang sesuai pada saat itu. Singkatnya, manajemen risiko
hanya perlu secanggih yang dibutuhkan organisasi agar dapat memberikan manfaat.
Meskipun empat tingkat kecanggihan manajemen risiko yang diilustrasikan pada Gambar 4.2 mewakili
pendekatan manajemen risiko yang lebih baik, terdapat bahaya bahwa organisasi akan terobsesi dengan
manajemen risiko hingga keputusan penting tidak diambil. Pada titik ini, dapat dikatakan bahwa terlalu
banyak perhatian dan kepedulian terhadap risiko dan manajemen risiko akan menyebabkan organisasi
merusak operasinya. Kesimpulan:
Sebagian besar negara di dunia memiliki beragam organisasi sukarela dan badan amal. Dapat dimengerti
dan sangat tepat jika para direktur atau pengurus organisasi-organisasi ini harus mempunyai tingkat
kepedulian dan kesadaran yang tinggi mengenai manajemen risiko. Namun, sering kali dilaporkan bahwa
wali lebih mementingkan manajemen risiko dan tata kelola yang benar dibandingkan menggalang dana
untuk badan amal yang mereka dukung. Membiarkan kekhawatiran ini dengan manajemen risiko
Machine Translated by Google
melumpuhkan aktivitas organisasi akan merugikan tujuan baik yang didukung oleh badan
amal.
Ketika tingkat kecanggihan meningkat dan para profesional manajemen risiko menjadi
sadar akan pendekatan alternatif terhadap manajemen risiko, mereka harus menghargai
kontribusi yang dapat diberikan oleh pendekatan lain. Perkembangan pendekatan manajemen
risiko dapat diringkas sebagai berikut:
Spesialis manajemen bahaya mungkin menemukan bahwa ada kecenderungan ke arah keinginan
untuk mempertahankan lebih banyak risiko yang dapat diasuransikan (dan membeli lebih sedikit
asuransi) sebagai hasil dari pendekatan manajemen risiko yang lebih holistik.
Perencana strategis harus menyadari bahwa alat dan teknik manajemen risiko dapat
berkontribusi pada keputusan strategis yang lebih baik dan keberhasilan eksploitasi
peluang bisnis.
05
Prinsip dan tujuan
manajemen risiko
Ini memberikan akronim PACED dan memberikan seperangkat prinsip yang sangat baik yang
menjadi dasar pendekatan manajemen risiko yang sukses dalam organisasi mana pun. Penjelasan
lebih rinci mengenai prinsip manajemen risiko PACED disajikan pada Tabel 5.1. Pendekatan
manajemen risiko didasarkan
Machine Translated by Google
pada gagasan bahwa risiko adalah sesuatu yang dapat diidentifikasi dan dikendalikan.
Prinsip Keterangan
Pernyataan prinsip di atas berkaitan dengan fitur penting dari manajemen risiko. Prinsip-
prinsip ini menjelaskan manajemen risiko yang seharusnya diterapkan dalam praktik. Beberapa
daftar prinsip juga mencakup informasi tentang apa yang harus dilakukan atau dilaksanakan
oleh manajemen risiko. Penting untuk memisahkan prinsip-prinsip manajemen risiko ke dalam
dua daftar berbeda: apa yang seharusnya menjadi karakteristik manajemen risiko, seperti
yang tercantum di atas; dan apa yang harus disampaikan, seperti tercantum di bawah ini:
dikembangkan. Dalam banyak hal, titik awal dari seluruh aktivitas manajemen risiko
adalah memutuskan apa yang ingin dicapai oleh organisasi. Tabel 5.2 menguraikan
kemungkinan tujuan atau motivasi inisiatif manajemen risiko sebagai proses wajib,
jaminan, pengambilan keputusan, dan proses inti yang efektif dan efisien (MADE2).
Proses inti mewakili aktivitas organisasi dan dapat bersifat strategis, taktis, operasional,
atau kepatuhan (STOC).
Deskripsi Objektif
Wajib Tujuan dasar dari setiap inisiatif manajemen risiko adalah untuk memastikan
kesesuaian dengan peraturan, regulasi, dan kewajiban wajib yang
berlaku.
Jaminan Dewan dan komite audit suatu organisasi akan memerlukan jaminan
bahwa manajemen risiko dan aktivitas pengendalian internal
mematuhi PACED.
Pengambilan Kegiatan manajemen risiko harus memastikan bahwa informasi
keputusan berbasis risiko yang tepat tersedia untuk mendukung
pengambilan keputusan.
Efektif Pertimbangan manajemen risiko akan membantu mencapai strategi,
dan taktik, operasi dan kepatuhan yang efektif dan efisien untuk
efisien memastikan hasil terbaik dengan mengurangi volatilitas hasil.
inti
proses
Tujuan manajemen risiko diberi akronim MADE2 dan ini menegaskan bahwa
keluaran dari manajemen risiko akan mengurangi gangguan terhadap operasi normal
yang efisien, mengurangi ketidakpastian dalam kaitannya dengan taktik dan
meningkatkan keputusan dalam kaitannya dengan evaluasi dan pemilihan strategi
alternatif. Dengan kata lain, bagian penting dari manajemen risiko adalah peningkatan
pengambilan keputusan organisasi.
Sumber daya yang tersedia untuk mengelola risiko terbatas sehingga tujuannya adalah untuk mengelola risiko tersebut
Machine Translated by Google
mencapai respon optimal terhadap risiko, diprioritaskan sesuai dengan evaluasi risiko. Risiko
tidak dapat dihindari dan setiap organisasi perlu mengambil tindakan untuk mengelolanya
sedemikian rupa hingga mencapai tingkat yang dapat diterima. Kisaran respons yang tepat
akan bergantung pada sifat, ukuran dan kompleksitas organisasi serta risiko yang dihadapi.
Selain membantu pengambilan keputusan yang lebih baik dan peningkatan efisiensi,
manajemen risiko juga dapat berkontribusi pada pemberian jaminan yang lebih besar kepada
para pemangku kepentingan. Jaminan ini memiliki dua komponen penting. Para direktur
organisasi mana pun harus yakin bahwa risiko telah diidentifikasi dan langkah-langkah yang
tepat telah diambil untuk mengelola risiko ke tingkat yang tepat.
Selain itu, terdapat penekanan yang lebih besar pada pelaporan informasi yang akurat
oleh organisasi, termasuk informasi risiko. Pemangku kepentingan memerlukan informasi
rinci mengenai kinerja perusahaan, termasuk kesadaran risiko. Sarbanes– Oxley Act of 2002
(SOX) di Amerika Serikat menjadikan keakuratan pelaporan keuangan sebagai persyaratan
utamanya. Hal ini menempatkan permasalahan pelaporan hasil yang akurat ke dalam
prioritas yang lebih tinggi (pasal 404), dan pada saat yang sama juga mengharuskan
pengungkapan seluruh informasi tentang organisasi secara lengkap dan akurat (pasal 302).
Meskipun SOX merupakan undang-undang khusus yang hanya berlaku dalam keadaan
tertentu, prinsip-prinsip yang terkandung di dalamnya sangat penting bagi semua praktisi
manajemen risiko. Oleh karena itu, Bab 35 dan 36 mempertimbangkan jaminan risiko dan
pelaporan yang akurat sebagai komponen integral dari keseluruhan proses manajemen
risiko.
Ketika memutuskan pentingnya manajemen risiko dalam organisasi, desain inisiatif
manajemen risiko dan kerangka manajemen risiko
Machine Translated by Google
harus mencerminkan alasan mengapa manajemen risiko dilakukan dalam organisasi, dalam
istilah MADE2. Keputusan-keputusan ini perlu diambil dengan mempertimbangkan faktor-faktor
pendorong manajemen risiko pada organisasi tertentu. Faktor pendorongnya mungkin terkait
dengan pertimbangan tertentu dalam MADE2, seperti efektivitas dan efisiensi proses inti
operasional.
Beberapa organisasi telah menunjuk seorang manajer pengendalian kerugian dengan
tanggung jawab khusus untuk mengurangi frekuensi dan biaya kecelakaan pada manusia dan
kerusakan pada pabrik dan peralatan. Terkadang, inisiatif ini didasarkan pada keinginan untuk
meningkatkan reputasi organisasi dengan meningkatkan kepatuhan terhadap aturan dan
regulasi yang berlaku, atau kemampuan untuk menunjukkan perilaku yang lebih etis – termasuk
dalam rantai pasokan.
Dalam buku ini, proses manajemen risiko dianggap sebagai serangkaian proses yang sempit
Machine Translated by Google
Telah banyak diskusi mengenai apakah suatu proses dan/atau diagram manajemen risiko tunggal
dapat digunakan untuk menggambarkan pengelolaan risiko kepatuhan, risiko bahaya, risiko pengendalian,
dan risiko peluang. Buku ini menggunakan terminologi yang berbeda untuk menggambarkan empat jenis
risiko dan oleh karena itu, Gambar 4.1 dan Tabel 4.3 digunakan untuk mengilustrasikan tahapan dalam
proses manajemen risiko bahaya saja.
Ada sejumlah pilihan ketika merespons risiko bahaya. Hal ini sering direpresentasikan sebagai 4T
dalam manajemen risiko bahaya, dan pilihan respons risiko ini dibahas secara lebih rinci di Bab 15.
Ringkasnya, opsi untuk merespons risiko bahaya adalah:
mentolerir;
merawat;
transfer;
mengakhiri.
Seiring dengan berkembangnya manajemen risiko, penekanan diberikan pada manajemen proyek
dan pelaksanaan program untuk memberikan peningkatan pada proses bisnis inti. Proses harus efektif
karena memberikan hasil yang diperlukan, serta efisien. Misalnya, tidak ada gunanya memiliki program
perangkat lunak yang efisien jika tidak memberikan serangkaian fungsi yang diperlukan.
Machine Translated by Google
Keputusan strategis adalah hal terpenting yang harus diambil oleh suatu organisasi.
Manajemen risiko memberikan informasi yang lebih baik sehingga keputusan strategis
dapat dibuat dengan lebih percaya diri. Strategi yang diputuskan oleh suatu organisasi
harus mampu memberikan hasil yang diharapkan. Ada banyak contoh organisasi yang
memilih strategi yang salah atau gagal menerapkan strategi yang dipilih dengan sukses.
Banyak dari organisasi-organisasi ini mengalami kegagalan perusahaan.
Organisasi yang memiliki taktik, operasi, dan kepatuhan yang efektif dan efisien,
namun strategi keseluruhannya salah akan gagal. Hal ini akan terjadi, betapapun baiknya
aktivitas manajemen risiko pada tingkat operasional dan proyek.
Strategi yang salah telah mengakibatkan lebih banyak kegagalan perusahaan
dibandingkan operasi dan taktik yang tidak efektif atau efisien. Namun demikian,
pentingnya aktivitas kepatuhan tidak dapat terlalu ditekankan, seperti yang ditunjukkan
oleh kotak teks Laporan Tahunan dan Laporan Keuangan The Rank Group Plc di bawah ini.
Machine Translated by Google
Pentingnya kepatuhan
Hilangnya lisensi dapat berdampak buruk pada bisnis dan profitabilitas kami serta
menghalangi kami untuk menyediakan layanan perjudian.
Lisensi game Rank sangat penting dalam pengoperasiannya. Di bisnis bagian Inggris,
terdapat persyaratan untuk memiliki lisensi operator dari Komisi Perjudian Inggris (badan
yang bertanggung jawab untuk mengatur perjudian komersial di Inggris Raya) sehubungan
dengan setiap aktivitas berlisensi yang dilakukan. Selain itu, perlu memiliki izin lokasi dari
otoritas lokal terkait di mana setiap tempat berada, satu untuk aktivitas perjudian dan satu lagi
untuk penjualan alkohol.
Rank memiliki fungsi kepatuhan khusus yang independen terhadap operasional dan
fungsi audit internal terpisah yang independen terhadap operasional dan fungsi kepatuhan.
Rank memelihara hubungan yang kuat dan terbuka dengan Komisi Perjudian
Inggris dan badan pengatur terkait lainnya di semua yurisdiksi tempat kami beroperasi.
Manajemen bahaya akan mengurangi dampak negatif dari setiap kejadian bahaya.
Dalam konteks manajemen bahaya, asuransi mewakili mekanisme untuk membatasi biaya kerugian
finansial ketika suatu risiko terjadi. Teknik pengendalian risiko dan manajemen kerugian akan mengurangi
kerugian yang diperkirakan dan harus memastikan bahwa keseluruhan biaya dapat dikendalikan.
Kombinasi asuransi dan pengendalian risiko/manajemen kerugian akan mengurangi biaya sebenarnya
dari kerugian bahaya dan hal ini pasti (dan memang benar) akan menyebabkan penurunan toleransi
bahaya dalam organisasi. Lebih banyak kapasitas risiko organisasi akan tersedia untuk peluang investasi.
Manajemen pengendalian mengurangi kisaran hasil yang mungkin terjadi dari peristiwa apa pun.
Manajemen pengendalian didasarkan pada teknik pengendalian keuangan internal yang telah ditetapkan,
seperti yang dilakukan oleh auditor internal. Tujuan utamanya adalah untuk mengurangi kerugian yang
terkait dengan manajemen pengendalian yang tidak memadai sekaligus mengurangi berbagai
kemungkinan hasil. Ini adalah kontribusi yang harus diberikan oleh pengendalian internal terhadap
pendekatan keseluruhan terhadap manajemen risiko dalam suatu organisasi.
Manajemen peluang berupaya untuk membuat hasil positif lebih mungkin terjadi dan lebih substansial.
Sebagai bagian dari pendekatan manajemen peluang, organisasi juga harus melihat kemungkinan untuk
meningkatkan pendapatan dari produk atau layanan. Dalam organisasi nirlaba, manajemen peluang
harus memfasilitasi penyampaian nilai uang yang lebih baik.
Mencapai manfaat
Opsi peningkatan penghargaan ini dapat didiskusikan pada pertemuan strategi dan beberapa opsi dapat
diadopsi, termasuk penerapan skema bonus dan insentif bagi staf dan manajemen. Jelas sekali,
mengingat pelajaran yang didapat darinya
Machine Translated by Google
krisis keuangan global, skema insentif ini harus seimbang dan tidak memberi imbalan pada
pengambilan risiko yang berlebihan.
Bab ini telah membahas prinsip-prinsip manajemen risiko yang menjelaskan apa yang
seharusnya menjadi manajemen risiko dan apa yang harus dihasilkan. Meskipun organisasi
mungkin menyadari bahwa ada manfaat dari penerapan manajemen risiko, keberhasilan
penerapannya harus dilakukan sebagai sebuah inisiatif atau proyek. Lampiran C menguraikan
pertimbangan terperinci mengenai tahapan-tahapan yang terlibat dalam keberhasilan manajemen
risiko di seluruh perusahaan.
Terdapat pertimbangan yang lebih rinci mengenai hambatan dan faktor pendukungnya
penerapan manajemen risiko di Bab 24. Hal terpenting yang perlu diperhatikan adalah bahwa
dukungan manajemen senior dan (idealnya) sponsor dari anggota dewan sangatlah penting.
Selain itu, diperlukan rencana implementasi untuk mengatasi kekhawatiran karyawan dan
pemangku kepentingan lainnya. Meskipun manajemen risiko sangat penting bagi keberhasilan
suatu organisasi, banyak manajer mungkin perlu diyakinkan bahwa pendekatan penerapan
yang disarankan adalah benar.
Penting untuk dicatat bahwa tidak semua aktivitas dan fungsi yang dilakukan oleh manajer
harus diklaim oleh manajer risiko sebagai tindakan yang dilakukan atas nama manajemen risiko.
Tidak semua aktivitas dalam organisasi akan didorong oleh manajemen risiko, meskipun semua
keputusan, proses, prosedur, dan aktivitas memiliki risiko yang tertanam di dalamnya.
Machine Translated by Google
Terakhir, akselerator membantu mobil melaju lebih cepat dan manajemen risiko memenuhi fungsi ini
dengan membantu organisasi memanfaatkan peluang strategis dan mencari imbalan – sehingga
memastikan bahwa organisasi merancang dan berhasil mengimplementasikan strategi yang
memberikan apa yang dibutuhkan.
Sebagian besar buku ini berkaitan dengan masukan manajemen risiko dalam operasi.
Kemungkinan besar operasi akan terkena dampak risiko bahaya sehingga fokus
manajemen risiko dalam kaitannya dengan operasi adalah pada manajemen bahaya.
Namun, untuk mencapai manfaat maksimal dari masukan manajemen risiko dalam
operasi, organisasi perlu fokus pada pengendalian kerugian. Pengendalian kerugian
merupakan kombinasi dari pencegahan kerugian, pembatasan kerusakan dan pengendalian biaya.
Proyek harus diselesaikan tepat waktu, sesuai anggaran dan sesuai spesifikasi,
kinerja atau kualitas. Tidak dapat dipungkiri, akan ada banyak ketidakpastian yang
terkait dengan seluruh proyek. Kontribusi manajemen risiko adalah meminimalkan
ketidakpastian tersebut. Manajemen risiko dalam proyek adalah gaya manajemen
pengendalian.
Masukan manajemen risiko ke dalam strategi berfokus pada penilaian risiko terhadap
berbagai pilihan strategis yang tersedia bagi suatu organisasi. Oleh karena itu, kontribusi
manajemen risiko terhadap keberhasilan strategi difokuskan pada aktivitas pengambilan
keputusan. Gambar 15.2 mengilustrasikan 4E pengelolaan peluang dan plot
Machine Translated by Google
eksposur risiko terhadap potensi imbalan. Organisasi yang melakukan manajemen risiko
strategis akan melakukan peninjauan menyeluruh terhadap prospek bisnis baru yang layak dan
melakukan penilaian risiko terperinci sebelum mengambil keputusan strategis.
Manfaat keseluruhan dari manajemen risiko dapat diringkas dalam beberapa cara. Dengan
melakukan inisiatif manajemen risiko, harapannya adalah berkurangnya gangguan terhadap
operasional, keberhasilan pelaksanaan proyek, dan pengambilan keputusan strategis yang lebih baik.
Yang juga mendasari inisiatif manajemen risiko adalah keinginan akan jaminan risiko yang
memadai. Komponen-komponen ini – wajib, jaminan, pengambilan keputusan, dan proses inti
yang efektif dan efisien – disingkat MADE2.
Dengan menggunakan struktur kartu skor risiko FIRM, organisasi akan dapat menunjukkan
manfaat yang diperoleh dari inisiatif manajemen risiko.
Kemungkinan besar manfaat-manfaat berikut akan diberikan kepada perusahaan yang telah
menerapkan pendekatan manajemen risiko perusahaan yang proaktif dan terstruktur selama
sekitar tiga tahun:
manfaat finansial yang timbul dari alokasi dana yang lebih baik, pemantauan pengeluaran
dan berkurangnya paparan terhadap penipuan;
manfaat infrastruktur yang mencakup lebih sedikit kegagalan sistem TI dan berkurangnya
tingkat ketidakhadiran staf;
manfaat reputasi dari kebijakan sumber yang etis dan penggunaan makanan organik di
restoran, serta produksi khusus yang sukses di teater;
manfaat pasar menghasilkan tingkat okupansi sebesar 89 persen, naik dari 83 persen tiga
tahun lalu, serta peningkatan belanja teater oleh pengunjung.
Teater akan terus mengembangkan inisiatif manajemen risiko dan terus memperoleh manfaat.
Aktivitas manajemen risiko kini tertanam dalam budaya manajemen organisasi.
Machine Translated by Google
BAGIAN KEDUA
nyatakan fitur utama dari standar terbaik yang telah ditetapkan, termasuk ISO 31000, the
Kubus COSO ERM dan standar IRM;
menguraikan ruang lingkup dan pentingnya menetapkan konteks sebagai tahap pertama
dalam proses manajemen risiko;
menjelaskan pentingnya hubungan antara konteks eksternal, konteks internal dan konteks
manajemen risiko;
membahas pertimbangan utama ketika merancang daftar risiko dan manfaat yang terkait
dengan penggunaan daftar risiko yang dirancang dengan baik dan memberikan contoh;
menjelaskan fitur pendekatan manajemen risiko di seluruh perusahaan dan berbagai definisi
ERM yang tersedia;
Profil risiko kami saat ini menggambarkan sekitar 200 risiko berbasis peristiwa. Semua jenis
peristiwa (strategis, finansial, operasional, kepatuhan, dan bahaya) dipertimbangkan dalam
konteks tema strategis kami (layanan terbaik kepada pelanggan; biaya berkelanjutan
terendah; dan sikap bertanggung jawab). Untuk faktor pendorong internal atau eksternal,
setiap peristiwa dinilai berdasarkan kemungkinan terjadinya dan dampak negatif finansial atau
reputasi terhadap perusahaan dan tujuannya, jika peristiwa tersebut terjadi.
Tanggung jawab atas penilaian dan pengelolaan risiko (termasuk pemantauan dan
pemutakhiran) ditugaskan kepada manajer individu yang sesuai yang juga bertanggung
jawab untuk melaporkan penilaian, pengelolaan dan pengendalian/mitigasi setidaknya dua kali
setahun, sejalan dengan pelaporan kepada grup dewan pada periode pelaporan akuntansi wajib
penuh dan setengah tahun.
Berdasarkan sifatnya, risiko berbasis peristiwa dalam konteks tema strategis kami
akan mencakup seluruh kombinasi dari tingkat kemungkinan yang tinggi hingga rendah dan
dampak tinggi hingga rendah. Peta panas biasanya digunakan dalam berbagai laporan
manajerial dan kelompok baik sebagai metode untuk mengevaluasi secara kolektif sejauh mana semuanya
Machine Translated by Google
laporan kelompok baik sebagai metode untuk mengevaluasi secara kolektif sejauh mana
seluruh risiko dalam profil tertentu atau untuk menggambarkan efektivitas mitigasi untuk satu
risiko dengan memplot posisi bruto, saat ini (setelah dikurangi pengendalian yang ada) dan
posisi target yang dipilih dalam risiko individu. penyataan.
Dewan telah mempunyai strategi manajemen risiko sejak Juli 2002, dan strategi ini
diperbarui secara berkala. Kepemimpinan dalam proses manajemen risiko diberikan oleh
direktur layanan hukum dan demokrasi, yang merupakan pemimpin tata kelola
perusahaan dan wakil pemimpin yang ditunjuk sebagai anggota pemimpin tata
kelola perusahaan.
Dewan telah melakukan pendekatan untuk menerapkan manajemen risiko sesuai
dengan pedoman praktik terbaik sebagai proses 'dari atas ke bawah', dengan daftar risiko
perusahaan yang didukung oleh daftar risiko direktorat dan divisi. Audit Birmingham
terus memberikan presentasi, memberikan pelatihan, memfasilitasi lokakarya dan
memberikan panduan melalui publikasi perangkat manajemen risiko yang telah
dihasilkan untuk memberikan pemahaman yang lebih baik kepada para manajer di semua
tingkatan tentang bagaimana menerapkan manajemen risiko di bidang tanggung jawab
mereka dan untuk memiliki beberapa pemahaman tentang proses naik turun
Dewan Kota.
Toolkit ini memberikan pendekatan langkah demi langkah untuk menerapkan risiko
manajemen menggunakan metodologi Dewan. Metodologi manajemen risiko tingkat
tinggi telah ditinjau untuk memberikan lebih banyak fokus kepada manajemen risiko anggota
dan pejabat senior. Kebijakan pelaporan pelanggaran (whistleblowing policy)
Dewan ini diperkenalkan pada akhir tahun 1990an dan dipublikasikan dengan baik
ke seluruh angkatan kerja.
Dewan Kota memiliki fungsi audit internal yang kuat (Audit Birmingham) dan protokol
yang mapan untuk bekerja dengan audit eksternal. Auditor eksternal Dewan mempunyai
tanggung jawab berdasarkan Kode Praktik Audit untuk meninjau kepatuhan terhadap
kebijakan, prosedur, undang-undang dan peraturan yang menjadi kewenangannya.
Machine Translated by Google
direksi Tsogo Sun menyadari bahwa pengelolaan risiko bisnis sangat penting bagi
pertumbuhan dan kesuksesan kami yang berkelanjutan dan hal ini hanya dapat
dicapai jika ketiga elemen risiko – ancaman, ketidakpastian, dan peluang – dikenali dan
dikelola dengan cara yang sama. busana yang terintegrasi.
Komite audit dan risiko diberi mandat oleh dewan untuk membentuk,
mengoordinasikan dan mengarahkan proses risiko di seluruh grup. Perusahaan
telah mengawasi pembentukan sistem manajemen risiko yang komprehensif untuk
mengidentifikasi dan mengelola risiko signifikan di divisi operasional, unit bisnis,
dan anak perusahaan.
Sistem pengendalian internal dirancang untuk mengelola, bukan menghilangkan risiko,
dan memberikan keyakinan yang masuk akal namun tidak mutlak mengenai integritas dan
keandalan laporan keuangan, kepatuhan terhadap hukum dan peraturan perundang-undangan,
dan untuk menjaga dan memelihara akuntabilitas aset grup. .
Selain proses manajemen risiko yang tertanam dalam kelompok, komite eksekutif
kelompok mengidentifikasi, mengukur dan mengevaluasi risiko kelompok dua kali setahun
dengan menggunakan lokakarya penilaian risiko yang difasilitasi. Tingkat keparahan
risiko diukur secara kualitatif dan kuantitatif, dipandu oleh toleransi risiko dan selera
risiko dewan
Pengukuran.
06
Standar manajemen risiko
proses itu.
Secara sederhana, standar manajemen risiko adalah kombinasi dari deskripsi proses
manajemen risiko, bersama dengan kerangka kerja yang direkomendasikan. Fitur
utama kerangka manajemen risiko akan dijelaskan nanti dalam bab ini. Tabel 6.1
memberikan ringkasan standar dan kerangka kerja manajemen risiko yang paling
banyak digunakan.
Salah satu standar manajemen risiko yang paling mapan dan paling banyak
digunakan dihasilkan oleh IRM pada tahun 2002 bekerja sama dengan Airmic dan
Alarm. Standar IRM adalah pendekatan tingkat tinggi yang ditujukan untuk spesialis
non-manajemen risiko dan telah diterjemahkan ke dalam banyak bahasa. Standar
Australia dan kubus COSO ERM dirancang untuk digunakan terutama oleh praktisi
spesialis manajemen risiko.
Standar IRM tersedia untuk diunduh gratis dari situs web IRM, dan
proses manajemen risiko yang digunakan di dalamnya direproduksi pada Gambar 6.1.
Machine Translated by Google
Untuk organisasi yang terdaftar di Bursa Efek New York, pendekatan yang diuraikan
dalam kerangka Pengendalian Internal COSO, yang dalam teks ini disebut sebagai
kubus Pengendalian Internal COSO, pertama kali diterbitkan pada tahun 1992 dan
diperbarui pada tahun 2013 diakui oleh Sarbanes–Oxley Act of 2002 (SOKS). Persyaratan dari
Machine Translated by Google
SOX juga berlaku untuk anak perusahaan dari perusahaan-perusahaan yang tercatat di Amerika Serikat di seluruh dunia.
Oleh karena itu, pendekatan COSO diakui secara internasional dan, dalam banyak
situasi, diamanatkan. Perlu dicatat bahwa SOX memerlukan pendekatan yang
dijelaskan dalam kubus Pengendalian Internal COSO (2013). (Ini tidak sama dengan
kubus COSO ERM (2004), meskipun kubus COSO ERM memuat semua elemen
versi Pengendalian Internal yang baru direvisi.) Bagi banyak bursa saham, penekanan
yang lebih besar pada persyaratan pencatatan dan perusahaan terkait kode tata
kelola adalah tentang pengendalian internal, bukan manajemen risiko.
Penekanan ini dipertahankan dalam Kode Gabungan versi 2010, yang kini telah
berganti nama menjadi Kode Tata Kelola Perusahaan Inggris, meskipun versi 2010
mencakup beberapa persyaratan manajemen risiko spesifik yang ditingkatkan.
Bagian dari Kode Tata Kelola Perusahaan Inggris versi 2010 telah diperbarui dan
versi terbaru dari Kode Tata Kelola Perusahaan Inggris tertanggal April 2016.
Karena adopsi kerangka ERM yang direvisi tidak bersifat wajib, maka manajemen dapat melakukan hal tersebut
terus memanfaatkan 'Manajemen Risiko Perusahaan – Kerangka Terintegrasi' tahun 2004 (COSO ERM
cube). Namun, COSO berhak untuk menggantikan atau menghentikan kerangka ERM 2004 di masa depan.
Pendekatan manajemen risiko yang paling mapan adalah Standar IRM, ISO 31000, BS
31100, dan kubus COSO ERM. Keempatnya memberikan gambaran mengenai kerangka
manajemen risiko, namun lebih ditekankan pada proses manajemen risiko dalam Standar
IRM, ISO 31000 dan BS 31100. Pendekatan COSO tidak memberikan perbedaan yang
jelas antara kerangka kerja dan proses manajemen risiko. itu sendiri dan terutama berkaitan
dengan pertimbangan kerangka kerja.
Meskipun ada banyak cara untuk merepresentasikan proses manajemen risiko, langkah-
langkah dasarnya serupa. Mungkin terdapat kesulitan dalam terminologi yang digunakan
untuk menjelaskan berbagai langkah, dan Lampiran B memberikan definisi istilah-istilah
dasar, serta referensi silang terhadap berbagai terminologi yang dapat digunakan. Lampiran
C menjelaskan tahapan dalam mencapai keberhasilan manajemen risiko dan disusun dalam
format rencana–implementasi–pengukuran–belajar (PIML). Hal ini sangat mirip dengan
format rencana–lakukan–periksa–tindakan yang diikuti dalam beberapa standar internasional
dan sering disebut sebagai PDCA. PIML dimaksudkan untuk
Machine Translated by Google
Dalam banyak standar manajemen risiko disebutkan bahwa aktivitas manajemen risiko harus
dilakukan dalam konteks lingkungan bisnis, organisasi, dan risiko yang dihadapi organisasi.
Agar konteks dapat dijelaskan dan didefinisikan, diperlukan suatu kerangka kerja untuk
menerapkan dan mendukung proses manajemen risiko. ISO 31000 memberikan penekanan
khusus pada konteks dan menyatakan bahwa pertimbangan harus diberikan pada konteks
internal, konteks eksternal, dan konteks manajemen risiko ketika melakukan aktivitas manajemen
risiko.
Seluruh standar manajemen risiko yang ditetapkan mengacu pada kerangka manajemen
risiko, meskipun hal ini direpresentasikan dalam cara yang berbeda. Untuk memberikan
penjelasan sederhana tentang ruang lingkup kerangka manajemen risiko, telah dikembangkan
akronim risiko, arsitektur, strategi dan protokol (RASP). Gambar 6.2 mengilustrasikan fitur-fitur
utama kerangka manajemen risiko yang dibangun dan mendukung proses manajemen risiko.
Pendekatan RASP sepenuhnya konsisten dengan konsep konteks manajemen risiko atau
kerangka manajemen risiko yang dijelaskan dalam ISO 31000.
Machine Translated by Google
Bagian Lima buku ini menjelaskan arsitektur risiko, strategi dan protokol (RASP)
secara lebih rinci. Elemen-elemen inilah yang menentukan kerangka kerja di mana
proses manajemen risiko berlangsung. Ketiga komponen arsitektur risiko, strategi
dan protokol diperlukan untuk keberhasilan aktivitas manajemen risiko. Perlu
adanya pemahaman yang jelas mengenai proses manajemen risiko, diikuti dengan
definisi yang jelas mengenai kerangka kerja yang mendukung proses tersebut.
Karena kerangka tersebut merupakan struktur pendukung, maka ditunjukkan pada
Gambar 6.2 sebagai serangkaian komponen yang dibangun dan mendukung manajemen risiko.
proses.
Dalam melaksanakan dan mendukung proses manajemen risiko, kerangka
manajemen risiko perlu memfasilitasi komunikasi dan aliran risiko
Machine Translated by Google
Pendekatan yang diadopsi oleh kubus COSO ERM menunjukkan bahwa manajemen risiko
perusahaan tidak hanya merupakan serangkaian aktivitas, di mana satu komponen hanya
mempengaruhi komponen berikutnya. Hal ini dianggap sebagai proses berulang dan multiarah di
mana hampir semua komponen dapat dan memang mempengaruhi semua komponen lainnya.
Dalam kubus COSO ERM, terdapat hubungan langsung antara tujuan, yaitu apa yang ingin
dicapai oleh suatu entitas, dan komponen manajemen risiko perusahaan, yang mewakili apa
yang diperlukan untuk mencapainya. Hubungan tersebut digambarkan dalam matriks tiga dimensi,
berbentuk kubus, dan direproduksi seperti Gambar 6.3.
Machine Translated by Google
Kubus COSO ERM adalah kerangka manajemen risiko yang sangat berpengaruh
dan terdiri dari delapan komponen yang saling terkait. Hal ini berasal dari cara
manajemen menjalankan suatu perusahaan dan terintegrasi dengan proses manajemen.
Penjelasan singkat mengenai komponen kubus COSO ERM disajikan pada Tabel
6.2.
Penetapan tujuan – Tujuan harus ada sebelum manajemen dapat mengidentifikasi kejadian
potensial yang mempengaruhi pencapaiannya.
Identifikasi peristiwa – Peristiwa internal dan eksternal yang mempengaruhi pencapaian tujuan harus
diidentifikasi, dengan membedakan antara risiko dan peluang.
Deskripsi kubus COSO ERM mencakup pernyataan bahwa: 'dalam konteks misi atau visi organisasi
yang ditetapkan, manajemen menetapkan tujuan strategis, memilih strategi, dan menetapkan tujuan
selaras yang mengalir melalui perusahaan.' COSO baru-baru ini menerbitkan panduan tambahan
mengenai ERM dan bagaimana ERM dapat diintegrasikan dengan strategi dan kinerja dan panduan
ini ditinjau pada Bab 8. Pendekatan terhadap manajemen risiko perusahaan ini diarahkan untuk
mencapai tujuan perusahaan, yang diuraikan dalam empat kategori risiko:
Kerangka kerja manajemen risiko dijelaskan dalam British Standard secara rinci. Faktanya, sebagian
besar standar ini terdiri dari uraian kerangka manajemen risiko, bersama dengan bagian rinci tentang
bagaimana mengembangkan aktivitas manajemen risiko. Salah satu alasan memperbarui BS
31100:2008 asli adalah untuk menyelaraskannya lebih dekat dengan ISO 31000 versi 2009.
Oleh karena itu, diagram yang digunakan dalam BS 31100:2011 sangat mirip, dan dalam beberapa
kasus identik, dengan yang digunakan pada ISO 31000 versi 2009.
ISO 31000:2018 memiliki format yang sama dengan ISO 31000 versi sebelumnya tanggal 2009.
Standar ini memberikan pernyataan prinsip-prinsip manajemen risiko, serta penjelasan kerangka dan
proses manajemen risiko. Daftar revisi prinsip-prinsip manajemen risiko disediakan dan prinsip-prinsip
ini berpusat pada tujuan utama manajemen risiko, yang dinyatakan sebagai 'penciptaan dan
perlindungan nilai'. Ringkasan delapan prinsip tersebut diuraikan di bawah ini:
4. Keterlibatan pemangku kepentingan secara tepat dan tepat waktu sangat diperlukan.
Standar yang direvisi ini juga memberikan informasi mengenai pengembangan kerangka
manajemen risiko. Kerangka kerja ini disajikan sebagai model perbaikan berkelanjutan
yang serupa dengan model rencana, implementasi, pengukuran, dan pembelajaran (PIML)
yang dibahas dalam buku ini. Informasi rinci dalam standar ini menjelaskan fitur-fitur
penting dari kerangka manajemen risiko yang diperlukan untuk mencapai perbaikan
berkelanjutan. Kotak teks di bawah ini menjelaskan pendekatan keseluruhan yang diambil
oleh ISO dalam menghasilkan standar revisi.
Menetapkan konteks tetap menjadi tahap pertama proses manajemen risiko, seperti
yang dijelaskan dalam ISO 31000. Persyaratan dijelaskan sedikit berbeda pada ISO
31000 versi 2018, dibandingkan dengan versi 2009.
Penetapan konteks disajikan dalam diagram proses sebagai 'ruang lingkup, konteks,
kriteria'. Komponen penetapan konteks digambarkan sebagai pendefinisian tujuan dan
ruang lingkup kegiatan manajemen risiko, diikuti dengan penetapan konteks eksternal,
internal, dan manajemen risiko, yang dilanjutkan dengan penetapan kriteria risiko.
Mendefinisikan kriteria risiko melibatkan penentuan jumlah dan jenis risiko yang mungkin
diambil atau tidak diambil oleh organisasi, relatif terhadap tujuannya.
Diagram yang digunakan untuk menggambarkan proses manajemen risiko dalam ISO
31000 direproduksi pada Gambar 6.4. Dapat dikatakan bahwa Gambar 6.4 memuat unsur-
unsur kerangka manajemen risiko, serta tahapan-tahapan penting dalam proses
manajemen risiko. Hal yang menarik untuk diperhatikan adalah bahwa proses manajemen
risiko tidak ditampilkan sebagai rangkaian kegiatan atau tahapan dengan panah
penghubung. Dalam hal ini, representasi proses baru dalam ISO 31000 serupa dengan
pendekatan yang diambil oleh kubus COSO ERM dalam menyajikan delapan komponen
ERM. ISO 31000 mengakui kesamaan ini dengan menyatakan hal berikut: 'Meskipun
proses manajemen risiko sering disajikan secara berurutan, dalam praktiknya proses ini
berulang.'
Machine Translated by Google
SUMBER Izin untuk mereproduksi ekstrak dari British Standards diberikan oleh BSI Standards
Limited (BSI). Tidak ada penggunaan lain dari bahan ini yang diizinkan. British Standards dapat
diperoleh dalam format PDF atau hard copy dari toko online BSI: www.bsigroup.com/Shop.
Machine Translated by Google
ISO 31000:2018
Banyak bahasa yang rumit telah dihilangkan, sehingga teksnya lebih ramping dan
tepat dengan harapan pembaca akan lebih mudah memahaminya. Draf baru ini lebih
pendek, namun lebih jelas dan presisi serta lebih mudah dibaca. Hal ini juga
mencakup beberapa perbaikan substansial, seperti pentingnya faktor manusia dan
budaya dalam mencapai tujuan organisasi dan penekanan pada penerapan
manajemen risiko dalam proses pengambilan keputusan. Meskipun demikian, pesan
keseluruhan ISO 31000 tetap sama – mengintegrasikan manajemen risiko ke
dalam sistem manajemen strategis dan operasional.
Memperbarui terminologi RM
Machine Translated by Google
Ada banyak manfaat dalam mengadopsi standar manajemen risiko yang telah
ditetapkan, namun tidak diragukan lagi bahwa organisasi perlu mengubah dan
menyesuaikan persyaratan rinci dari standar yang ada dengan keadaan spesifik
mereka dan/atau konteks eksternal, internal, dan manajemen risiko. Penerimaan
yang lebih besar terhadap pendekatan manajemen risiko dalam suatu organisasi
akan tercapai bila pendekatan tersebut telah disesuaikan secara khusus untuk
organisasi oleh organisasi itu sendiri.
Bagian penting dalam menyesuaikan pendekatan manajemen risiko adalah
menetapkan terminologi risiko yang akan digunakan di seluruh organisasi. Ada
banyak variasi dalam terminologi yang digunakan di berbagai cabang profesi
manajemen risiko dan Lampiran B mencakup definisi alternatif untuk banyak istilah.
ISO sendiri telah menerbitkan dua panduan terpisah untuk kosakata terkait risiko:
Panduan ISO 73:2009 'Manajemen Risiko – Kosakata' dan Panduan ISO/IEC 51:2014
'Aspek Keselamatan – Pedoman untuk memasukkannya ke dalam standar'. Menarik
untuk dicatat bahwa Guide 73 adalah publikasi untuk dijual, sedangkan Guide 51
dapat diunduh gratis dari situs ISO (www.iso.org).
Menyusul revisi ISO 31000 baru-baru ini, ISO saat ini (April 2018) sedang
melakukan peninjauan terhadap Panduan 73. Faktanya, proses peninjauan istilah
dan definisi telah dimulai karena beberapa definisi yang dimodifikasi disertakan dalam
ISO 31000:2018. Mungkin sebagian besar diskusi akan terjadi seputar definisi risiko
dalam Panduan 73 sebagai 'efek ketidakpastian terhadap tujuan'. ISO 31000, dalam
catatan mengenai definisi risiko, telah mengakui bahwa 'risiko biasanya dinyatakan
dalam bentuk sumber risiko, kejadian potensial, konsekuensinya, dan kemungkinannya'.
Pemahaman Raja IV tentang risiko menyeimbangkan pandangan tradisional yang negatif terhadap risiko
dengan pandangan yang mengakui potensi peluang yang melekat pada beberapa risiko. Dengan demikian,
peluang dapat muncul sebagai potensi risiko yang dapat berdampak buruk terhadap pencapaian tujuan organisasi.
Kesulitan yang signifikan dapat terjadi akibat definisi yang mengaitkan risiko dengan
tujuan. Kesulitan-kesulitan ini timbul dari kenyataan bahwa tujuan-tujuan itu sendiri
mungkin salah. Bisa dikatakan salah satu penyebabnya adalah keuangan global
Machine Translated by Google
krisis pada tahun 2008 adalah lembaga keuangan telah berhasil mencapai tujuan yang
agresif dan ambisius selama bertahun-tahun dan keberhasilan pencapaian tujuan
tersebut menyebabkan ketidakstabilan keuangan. Definisi risiko yang termasuk dalam
kerangka COSO ERM yang baru (2017) diuraikan dalam kotak teks di bawah ini dan
mengidentifikasi masalah tujuan yang salah. Definisi tersebut mengakui adanya bahaya
yang terkait dengan upaya penerapan strategi dan tujuan yang tidak selaras dengan
misi, visi, dan nilai-nilai organisasi.
Definisi mendasari standar manajemen risiko; oleh karena itu, tantangan bagi
organisasi standar adalah memastikan bahwa standar manajemen risiko yang mereka
terbitkan relevan dengan keberhasilan organisasi di masa depan. COSO telah mengambil
pendekatan, dalam menerbitkan kerangka ERM baru (2017), bahwa pertimbangan yang
lebih besar harus diberikan pada ekspektasi pemangku kepentingan dan hubungan
antara risiko dan strategi, seperti yang ditunjukkan dalam kotak teks di bawah ini.
Machine Translated by Google
Beberapa kegagalan organisasi yang paling signifikan belakangan ini terjadi ketika sebuah strategi
dipilih yang tidak sejalan dengan misi, visi, dan nilai-nilai inti suatu entitas. Lebih jauh lagi,
meskipun penyelarasan tersebut telah ditetapkan, banyak organisasi tidak memahami
implikasi strategi yang dipilih terhadap profil risiko mereka. Selain itu, kegagalan operasional
kecil dapat meningkat dan mengancam kelangsungan hidup jangka panjang.
Kerangka kerja yang direvisi meningkatkan dan memperluas diskusi tentang strategi dan risiko
berfokus pada tiga konsep berikut:
kemungkinan strategi dan tujuan bisnis tidak sejalan dengan misi, visi dan nilai-nilai;
Dengan membedakan tiga manifestasi potensial dari strategi yang berdampak pada risiko,
kerangka kerja ini memberikan analisis yang lebih rinci dan pengakuan terhadap peran dan pentingnya
manajemen risiko perusahaan.
07
Menetapkan konteksnya
Konteks internal mengacu pada organisasi itu sendiri, aktivitas yang dilakukan,
berbagai keterampilan dan kemampuan yang tersedia dalam organisasi, dan
bagaimana organisasi tersebut disusun. Pemangku kepentingan internal dan
harapan mereka merupakan bagian dari konteks internal. Hal ini dapat dianggap
sebagai kekuatan dan kelemahan dalam organisasi.
Sifat dan luasnya proses manajemen risiko merupakan pertimbangan utama ketika
menetapkan konteks manajemen risiko. Pertanyaan kuncinya adalah apa yang
diharapkan dapat dicapai oleh proses manajemen risiko atau jawaban atas pertanyaan
mengapa organisasi mempunyai aktivitas manajemen risiko. Konteks manajemen risiko
juga mencakup pertimbangan siapa yang akan bertanggung jawab dan mengidentifikasi
sumber daya yang diperlukan untuk memenuhi aktivitas manajemen risiko.
Konteks internalnya adalah mengenai budaya organisasi, sumber daya yang tersedia,
penerimaan keluaran dari proses manajemen risiko dan memastikan bahwa hal tersebut
mempengaruhi perilaku, serta mendukung dan menyediakan tata kelola risiko dan
manajemen risiko. Konteks internal menyangkut tujuan, kapasitas dan kapabilitas
organisasi, serta proses inti bisnis yang ada. Pertimbangan penting mengenai konteks
internal adalah bagaimana organisasi mengambil keputusan.
Machine Translated by Google
Konteks eksternal
Standar manajemen risiko ISO 31000 mengidentifikasi 'menetapkan konteks' sebagai
tahap pertama dalam proses manajemen risiko. Penetapan konteks direpresentasikan
dalam diagram ISO 31000, dan direproduksi sebagai Gambar 6.4, sebagai 'ruang
lingkup, konteks, kriteria.' Menetapkan konteks merupakan aspek penting yang
mendasar dalam keberhasilan manajemen risiko, dan hal ini juga diidentifikasi oleh
standar internasional lainnya sebagai tahap awal yang penting dalam penerapan
standar sistem manajemen. Misalnya, standar mutu ISO 9001:2015 juga
mengidentifikasi konteks sebagai bagian dari perencanaan strategis yang harus dilakukan suatu org
Ada tiga tingkatan dalam menetapkan konteks aktivitas manajemen risiko, yaitu
terkait dengan konteks eksternal, konteks internal, dan konteks manajemen risiko.
Penetapan konteks eksternal harus mempertimbangkan harapan pemangku
kepentingan eksternal. Pentingnya harapan pemangku kepentingan dibahas secara
lebih rinci di Bab 29.
Bagi banyak organisasi, kelompok pemangku kepentingan eksternal yang paling
penting adalah pelanggan. Konteks eksternal suatu organisasi akan sangat dipengaruhi
oleh sifat pelanggan dan produk atau layanan yang ditawarkan kepada mereka.
Pertimbangan pelanggan dan penawaran pelanggan merupakan bagian penting dari
model bisnis bagi organisasi dan relevansi model bisnis terhadap manajemen risiko
dibahas secara lebih rinci di Bab 20.
Komponen reputasi dan pasar pada kartu skor risiko FIRM terutama terkait dengan konteks
eksternal, sedangkan komponen keuangan dan infrastruktur terutama terkait dengan konteks
internal.
Tabel 14.2 memberikan rincian daftar pertanyaan yang berkaitan dengan pengembangan
indeks keberisikoan berdasarkan struktur kartu penilaian risiko FIRM. Singkatnya, komponen
reputasi dari konteks eksternal suatu organisasi menentukan persepsi eksternal organisasi
dan keinginan pelanggan untuk berdagang dengan organisasi dan tingkat retensi pelanggan.
Secara khusus, ketika mengevaluasi komponen reputasi dalam konteks eksternal, isu-isu
berikut harus ditangani:
standar tata kelola dan apakah sektor ini diatur secara ketat;
Komponen lain dari kartu skor risiko FIRM yang relevan dengan lingkungan eksternal adalah
pasar dan tingkat kehadiran organisasi di pasar. Hal ini akan berdampak pada tingkat
perdagangan atau pengeluaran pelanggan. Secara khusus, ketika mengevaluasi komponen
pasar dari lingkungan eksternal, isu-isu berikut harus diatasi:
tingkat stabilitas perekonomian, termasuk paparan terhadap suku bunga dan nilai tukar
mata uang asing;
paparan terhadap gangguan internasional karena risiko politik, perang dan terorisme.
Kartu skor risiko FIRM menawarkan satu mekanisme untuk mengevaluasi konteks eksternal
organisasi, namun struktur lain dapat digunakan, seperti analisis kekuatan, kelemahan,
peluang dan ancaman (SWOT) atau penggunaan
Machine Translated by Google
salah satu sistem klasifikasi risiko yang dibahas dalam Bab 11. Tujuan keseluruhan dari
evaluasi konteks eksternal adalah untuk menentukan tingkat risiko yang terkait dengan
lingkungan eksternal di mana organisasi beroperasi.
Hal ini akan memungkinkan organisasi untuk memvalidasi model bisnis yang ada dan
mengembangkan strategi untuk masa depan, bersama dengan taktik untuk menerapkan
strategi tersebut.
Machine Translated by Google
Pengelolaan yang baik oleh dewan tidak boleh menghambat pengambilan risiko yang masuk akal dan penting
bagi pertumbuhan. Namun, penilaian risiko sebagai bagian dari proses perencanaan bisnis normal harus
mendukung pengambilan keputusan yang lebih baik, memastikan bahwa dewan dan manajemen merespons
risiko dengan segera ketika risiko tersebut muncul, dan memastikan bahwa pemegang saham dan
pemangku kepentingan lainnya mendapat informasi yang baik tentang risiko utama dan prospeknya. dari perusahaan.
Tanggung jawab dewan terhadap budaya organisasi sangat penting dalam cara mempertimbangkan dan
menangani risiko di dalam organisasi dan dengan pemangku kepentingan eksternal.
Konteks internal
Menetapkan konteks internal suatu organisasi harus mempertimbangkan harapan
pemangku kepentingan internal. Terdapat sejumlah pemangku kepentingan internal,
namun kelompok yang paling penting adalah orang-orang yang secara langsung
bergantung pada organisasi. Hal ini mencakup anggota staf dan orang-orang yang
memberikan layanan berdasarkan outsourcing, kontrak dan/atau pemasok.
Setelah mengidentifikasi ekspektasi pemangku kepentingan internal, termasuk
identifikasi pentingnya pemangku kepentingan terhadap operasi dan aktivitas
kepatuhan organisasi, maka akan dimungkinkan untuk melihat secara lebih rinci
faktor-faktor yang mempengaruhi konteks internal. Kartu skor risiko FIRM
menyediakan struktur untuk melakukan evaluasi terperinci terhadap konteks
organisasi. Komponen finansial dan infrastruktur pada kartu skor risiko FIRM
terutama terkait dengan konteks internal, sedangkan komponen reputasi dan pasar
terutama terkait dengan konteks eksternal.
Tabel 14.2 memberikan rincian daftar pertanyaan terkait pengembangan indeks
keberisikoan berdasarkan struktur kartu penilaian risiko FIRM. Singkatnya,
komponen keuangan dalam konteks internal suatu organisasi mendefinisikan
prosedur keuangan dan cara pengelolaan uang dan pencapaian profitabilitas.
Secara khusus, ketika mengevaluasi komponen keuangan dalam konteks internal,
isu-isu berikut harus diperhatikan
Machine Translated by Google
ditujukan:
adanya prosedur yang kuat untuk pengalokasian dana investasi yang benar;
ketersediaan dana untuk memenuhi kewajiban historis dan masa depan yang diantisipasi.
Komponen lain dari kartu skor risiko FIRM yang relevan dengan konteks internal adalah infrastruktur,
karena infrastruktur mempengaruhi sifat proses yang dilakukan dalam organisasi. Risiko infrastruktur
menentukan tingkat inefisiensi dan disfungsi yang mungkin timbul selama proses internal. Secara
khusus, ketika mengevaluasi komponen infrastruktur dalam konteks internal, isu-isu berikut harus
diatasi:
ketersediaan sumber daya manusia dan keterampilan manusia yang memadai, termasuk
kekayaan intelektual;
infrastruktur teknologi informasi yang memadai untuk mencapai ketahanan dan melindungi data;
pengaturan pemberian layanan dan/atau transportasi serta infrastruktur komunikasi yang andal.
Kartu skor risiko FIRM menawarkan satu mekanisme untuk mengevaluasi konteks internal suatu
organisasi, namun pendekatan lain dapat digunakan, termasuk analisis SWOT. Banyak organisasi
menggunakan sistem klasifikasi risiko politik, ekonomi, sosial, teknologi, hukum dan lingkungan/etika
(PESTLE). Sistem klasifikasi risiko PESTLE dibahas lebih rinci pada Bab 11. Beberapa komponen
sistem klasifikasi risiko PESTLE terkait dengan konteks eksternal, ada pula yang terkait dengan
konteks internal, dan lainnya.
Machine Translated by Google
Komponen penting dari konteks manajemen risiko adalah mandat yang diberikan oleh
manajemen senior yang memberikan ruang lingkup dan tingkat wewenang untuk melakukan
aktivitas manajemen risiko dalam organisasi. Mandat yang diberikan kepada manajer risiko,
kepala audit internal, dan pihak lain yang terlibat dalam inisiatif manajemen risiko harus
ditetapkan dalam kebijakan manajemen risiko organisasi.
Sikap risiko dan selera risiko organisasi, sebagaimana ditentukan oleh kriteria risiko untuk
berbagai jenis risiko, membantu menentukan konteks manajemen risiko organisasi dan
memberikan dasar untuk melakukan penilaian risiko dan mencatat hasilnya dalam daftar
risiko. Sifat dan luasnya komunikasi informasi yang terkandung dalam daftar risiko di seluruh
arsitektur risiko organisasi juga membantu menentukan konteks manajemen risiko.
Machine Translated by Google
Mungkin fitur yang paling penting dari konteks manajemen risiko yang akan menentukan
keberhasilan inisiatif manajemen risiko perusahaan berkaitan dengan bagaimana inisiatif
tersebut diimplementasikan. Lampiran C memberikan garis besar panduan implementasi
inisiatif manajemen risiko perusahaan dalam hal perencanaan, pelaksanaan, pengukuran dan
pembelajaran (PIML).
Konteks manajemen risiko harus berkontribusi terhadap keberhasilan organisasi dan
mendukung penyampaian harapan pemangku kepentingan, baik eksternal maupun internal.
Persyaratan konteks manajemen risiko adalah bahwa manajemen risiko harus mengidentifikasi
risiko-risiko yang muncul dan mendukung respons terhadap perubahan dalam konteks
eksternal dan internal organisasi. Sifat risiko yang muncul bisa jadi rumit dan, menurut
definisinya, sangat tidak dapat diprediksi.
Dalam membantu organisasi mengidentifikasi sifat risiko yang muncul, konteks manajemen
risiko harus menyediakan mekanisme untuk memberikan peringatan dini.
Hal ini digambarkan sebagai 'radar risiko' organisasi dan harus mencakup peninjauan dan
evaluasi informasi yang berkaitan dengan risiko yang muncul secara tepat waktu.
Untuk menentukan secara komprehensif dampak dan konsekuensi spesifik bagi organisasi,
mekanisme untuk mengidentifikasi risiko yang muncul juga harus mencakup ketentuan untuk
mengidentifikasi peluang yang dapat dimanfaatkan di masa depan.
Keseluruhan Kontrol
Indeks Risiko Deskripsi Risiko Peringkat Besaran Kemungkinan ada
Daftar risiko dapat dikompilasi dalam beberapa format, tergantung pada jenis penilaian
risiko yang dicatat. Tabel 7.2 memberikan contoh a
Machine Translated by Google
daftar risiko yang telah diselesaikan sebagian untuk klub olahraga dan Tabel 7.3 memberikan contoh
daftar risiko untuk rumah sakit.
Risiko
keuangan
yang cocok.
Risiko infrastruktur
terlambat.
Risiko reputasi
dagangan itu
terlalu mahal.
kerusuhan di pertandingan
tandang.
Risiko pasar
kegiatan lain
daripada kehadiran
klub.
Mempertaruhkan Keseluruhan
ancaman
terhadap target waktu tunggu.
Dengan
curah hujan
yang tinggi,
kemungkinan
besar terjadi antara satu dan
Machine Translated by Google
waktu
operasi satu
dan tujuh hari
akan hilang.
Masalah di
dua yang terakhir
tahun menunjukkan
bahwa kegagalan
akan terjadi
melaksanakan
rencana aksi untuk Tindakan tegas perlu
yang memastikan
bahwa standar
Sederhananya, daftar risiko dapat disimpan sebagai dokumen yang disimpan di komputer.
Namun, terdapat banyak bentuk pencatatan risiko yang lebih canggih, termasuk pencatatan risiko
signifikan yang disimpan dalam database. Jika kuantifikasi eksposur diperlukan, maka daftar risiko
sederhana yang dijadikan sebagai dokumen tidak mungkin dilakukan
Machine Translated by Google
cukup. Hal ini berlaku pada sistem pencatatan risiko operasional, yang memerlukan kuantifikasi
eksposur risiko.
Lebih baik jika kita menganggap daftar risiko sebagai rencana tindakan risiko yang mencatat
status organisasi sehubungan dengan manajemen risiko, namun juga menyediakan catatan
pengendalian penting yang ada, bersama dengan rincian pengendalian tambahan yang ada.
perlu diperkenalkan. Dalam menghasilkan rencana tindakan risiko, tanggung jawab untuk
melakukan tindakan yang diidentifikasi akan ditetapkan dengan jelas.
Bab 26 membahas pilihan penggunaan sistem informasi manajemen risiko (RMIS) untuk
mencatat informasi yang disimpan dalam daftar risiko. Selain itu, informasi yang disimpan dalam
daftar risiko mungkin tersedia di intranet organisasi, dan ini akan membantu pemahaman dan
komunikasi risiko. Di beberapa organisasi, daftar risiko diberi status sebagai dokumen terkendali
untuk digunakan oleh audit internal sebagai salah satu dokumen referensi utama untuk
melakukan audit atas aktivitas manajemen risiko.
Sekalipun hal ini tidak terjadi, informasi yang tercantum dalam daftar risiko harus
dipertimbangkan dan disusun dengan sangat hati-hati. Misalnya, risiko-risiko yang tercantum
dalam register perlu didefinisikan secara tepat sehingga penyebab, sumber, peristiwa, besaran
dan dampak dari setiap peristiwa risiko dapat diidentifikasi dengan jelas. Selain itu, aktivitas
pengendalian yang ada, bersama dengan pengendalian tambahan apa pun yang diusulkan,
harus dijelaskan secara tepat dan dicatat secara akurat.
Aktivitas pengendalian risiko harus dijelaskan secara cukup rinci untuk pengendalian tersebut
agar dapat diaudit. Hal ini sangat penting ketika daftar risiko berkaitan dengan
Machine Translated by Google
operasi rutin yang dilakukan oleh organisasi. Daftar risiko juga harus dibuat untuk proyek-proyek
dan untuk mendukung keputusan-keputusan strategis.
Daftar risiko proyek harus menjadi dokumen yang sangat dinamis. Contoh daftar risiko proyek
disajikan pada Tabel 7.4. Rincian risiko yang dihadapi oleh proyek, sebagaimana dicatat dalam
daftar risiko, harus didiskusikan pada setiap pertemuan tinjauan proyek. Selain relevan dengan
proyek, daftar risiko juga harus mendukung keputusan bisnis. Dalam hal ini, format pencatatan
risiko yang sebenarnya mungkin kurang formal. Ketika keputusan strategis harus diambil di tingkat
dewan, penilaian risiko strategi tersebut harus dilampirkan pada proposal. Penilaian risiko ini dapat
mencakup risiko dalam menjalankan strategi dan analisis risiko yang terkait dengan tidak
dilaksanakannya strategi yang diusulkan.
proyek.
Tim
proyek yang
lebih kecil
menjalankan
proyek sehari-hari dengan
diperlukan.
Hapus
hubungan antar
bermacam-macam
fungsi manajemen
untuk
memastikan bersama
pendekatan
terkoordinasi.
tidak memadai
dengan staf yang tidak didirikan
departemen staf
lainnya, termasuk
SDM dan Keuangan.
eksternal yang
diperlukan.
terkait dengan
Machine Translated by Google
proyek dengan
menyeberang
representasi di sisi
lain
kelompok.
Yang terakhir, daftar risiko harus dilampirkan pada rencana bisnis sebagai catatan risiko yang
dapat berdampak pada pencapaian rencana tersebut. Tabel 7.5 menunjukkan daftar risiko sederhana
yang telah diselesaikan sebagian dalam format yang dapat dilampirkan pada rencana bisnis. Contoh
sederhana mengenai risiko yang dapat mengakibatkan tidak tercapainya rencana bisnis disajikan
dalam ilustrasi ini.
akhir
akan segera
diberitahukan.
cadangan
dan biaya
tambahan
apa pun akan
dipenuhi
dari
anggaran yang ad
Machine Translated by Google
anggaran.
departemen
harus
menegakkan
aturan
tentang lembur
pembayaran
sebagai akibat
dari
peningkatan pekerjaa
departemen
harus
memastikan
bahwa
hanya perjalanan
penting yang dilak
Misalnya, sebuah klub olahraga mungkin ingin mencatat risiko terhadap reputasi dalam daftar
risiko. Mungkin terdapat kekhawatiran khusus mengenai reputasi klub, sehingga dewan
memerlukan evaluasi terperinci mengenai risiko reputasi terkait dengan:
kesuksesan di lapangan;
kepatuhan hukum;
Ketika mempertimbangkan masalah reputasi, tingkat kendali yang diperlukan akan dievaluasi,
bersama dengan tanggung jawab untuk mengelola merek. Klub juga akan memastikan bahwa
pengendalian yang ada dan pengendalian tambahan apa pun dijelaskan sedemikian rupa sehingga
memastikan bahwa penerapan pengendalian dapat diaudit sepenuhnya.
Machine Translated by Google
Dewan mungkin ingin melihat daftar risiko setidaknya setiap triwulan, dan lebih
sering jika terjadi perubahan signifikan. Hal ini akan memastikan bahwa daftar risiko
tetap menjadi dokumen yang dinamis dan selalu diperbarui. Hal ini juga akan
memastikan tindakan yang diperlukan telah diambil dan dilaporkan kepada dewan.
Machine Translated by Google
08
Manajemen risiko perusahaan
Namun, ada banyak fitur umum pada sebagian besar pendekatan ini. Tabel 8.1 memberikan
gambaran fitur manajemen risiko perusahaan sebagai perbandingan dengan pendekatan
berbasis silo dimana alat dan teknik manajemen risiko diterapkan pada berbagai jenis risiko
secara independen. Manajemen risiko perusahaan telah menjadi sarana yang mapan dalam
melakukan aktivitas manajemen risiko di sebagian besar organisasi. Hal ini memungkinkan
organisasi memperoleh gambaran mengenai seluruh risiko yang dihadapi sehingga dapat
mengambil tindakan terkoordinasi untuk mengelola risiko tersebut. Meskipun demikian, fungsi
spesialis manajemen risiko, seperti kesehatan dan keselamatan serta kelangsungan bisnis
terus memberikan kontribusi yang berharga.
2 Memprioritaskan dan mengelola eksposur tersebut sebagai risiko yang saling terkait
portofolio dan bukan sebagai 'silo' risiko individual.
3 Mengevaluasi portofolio risiko dalam konteks seluruh konteks, sistem, keadaan, dan
pemangku kepentingan internal dan eksternal yang signifikan.
5 Memberikan proses terstruktur untuk pengelolaan seluruh risiko, baik risiko yang
bersifat kuantitatif maupun kualitatif.
6 Berusaha untuk memasukkan manajemen risiko sebagai komponen dalam semua hal penting
keputusan di seluruh organisasi.
Definisi ERM
Tabel 8.2 menyajikan sejumlah definisi yang disarankan mengenai manajemen risiko
perusahaan. Ada tiga komponen yang diperlukan dalam definisi komprehensif proses
ERM. Hal-hal tersebut adalah: 1) gambaran proses yang mendasari manajemen risiko
perusahaan; 2) identifikasi keluaran dari proses tersebut; dan 3) dampak (atau manfaat)
yang timbul dari keluaran tersebut.
IIA (Institut Pendekatan yang ketat dan terkoordinasi untuk menilai dan
Internal merespons semua risiko yang mempengaruhi pencapaian tujuan
Auditor) strategis dan keuangan organisasi.
HM Treasury Semua proses yang terlibat dalam mengidentifikasi, menilai dan menilai
risiko, menetapkan kepemilikan, mengambil tindakan untuk
memitigasi atau mengantisipasinya serta memantau dan meninjau
kemajuan.
ketika kewajiban wajib dipenuhi, jaminan diperoleh, pengambilan keputusan ditingkatkan dan
proses inti yang efektif dan efisien diperkenalkan (MADE2).
Berikut ini yang penulis tawarkan sebagai definisi ERM secara komprehensif:
ERM melibatkan identifikasi dan evaluasi risiko yang signifikan, penetapan kepemilikan,
penerapan dan pemantauan tindakan untuk mengelola risiko ini sesuai dengan selera
risiko organisasi.
Senioritas CRO hanyalah salah satu contoh bagaimana ERM harus dicapai dalam
praktiknya. Prinsip-prinsip manajemen risiko yang ditetapkan sebagai PACED sepenuhnya
dapat diterapkan pada praktik manajemen risiko perusahaan. Prinsip pengelolaan risiko adalah
proporsional, selaras, komprehensif, melekat dan dinamis (PACED).
Fitur utama ERM adalah seluruh risiko signifikan yang dihadapi organisasi dievaluasi.
Keterkaitan antar risiko harus diidentifikasi, sehingga total paparan risiko organisasi dapat
dikompilasi.
Setelah total eksposur risiko organisasi diukur, tingkat eksposur risiko tersebut kemudian
dapat dibandingkan dengan risk appetite dewan dan kapasitas risiko organisasi itu sendiri.
Machine Translated by Google
Pendekatan normal terhadap manajemen risiko adalah mengevaluasi tujuan dan mengidentifikasi
masing-masing risiko yang dapat berdampak pada tujuan tersebut. Keluaran dari analisis dampak
bisnis adalah identifikasi aktivitas penting yang harus dipertahankan agar organisasi dapat terus
berfungsi.
Berdasarkan definisi ERM yang diuraikan di atas dan fakta bahwa ERM harus diterapkan pada
evaluasi proses inti, terlihat bahwa pendekatan ERM dan pendekatan analisis dampak bisnis sangat
mirip, karena kedua pendekatan tersebut didasarkan pada identifikasi. ketergantungan dan fungsi
utama yang harus ada untuk kelangsungan dan keberhasilan bisnis.
Aktivitas berikutnya berbeda antara ERM dan BCP, karena ERM berkaitan dengan pengelolaan
risiko yang dapat berdampak pada proses inti, sedangkan kelangsungan bisnis berkaitan dengan
tindakan yang harus diambil untuk menjaga kelangsungan aktivitas individu. Oleh karena itu,
pendekatan kesinambungan bisnis memiliki fungsi yang sangat spesifik dalam mengidentifikasi
tindakan yang harus diambil setelah risiko terwujud untuk meminimalkan dampaknya.
BCP berkaitan dengan komponen pengendalian kerugian yang membatasi kerusakan dan menahan
biaya, sebagaimana dijelaskan dalam Bab 13.
mengalokasikan sumber daya dan mengeksploitasi lindung nilai alami dan efek portofolio;
mendukung pengambilan keputusan keuangan dengan mempertimbangkan bidang-bidang yang mempunyai potensi dampak
buruk yang tinggi dan dengan memanfaatkan bidang-bidang yang mempunyai keuntungan berbasis risiko;
membangun kepercayaan investor dengan menstabilkan hasil dan melindungi mereka dari
gangguan dan dengan demikian menunjukkan pengelolaan risiko yang proaktif.
ERM di sektor energi sering kali bergantung pada fungsi perbendaharaan dan keahlian khusus dalam
melakukan lindung nilai terhadap harga satu barel minyak. Bidang manajemen risiko keuangan ini
sudah mapan, dengan departemen-departemen yang sangat besar dibentuk di banyak perusahaan
energi. Namun, praktik ERM di perusahaan energi masih sangat erat kaitannya dengan pengelolaan
risiko perbendaharaan.
Salah satu pendorong manajemen risiko di sektor keuangan adalah lingkungan peraturan. Bank
telah menerapkan Basel II selama beberapa waktu, dan bersiap untuk menerapkan persyaratan Basel
III pada tahun 2019. Sektor asuransi di Eropa juga akan tunduk pada persyaratan serupa, yang
ditetapkan dalam Petunjuk Solvabilitas II. Hal ini menimbulkan kewajiban lembaga keuangan untuk
mengukur eksposur mereka terhadap risiko operasional.
Output dari aktivitas manajemen risiko operasional (ORM) di lembaga keuangan adalah
kemampuan untuk menghitung modal yang harus disimpan sebagai cadangan untuk menutupi
konsekuensi dari terwujudnya risiko yang teridentifikasi. Dampak dari kegiatan ORM ini adalah risiko-
risiko akan dapat diidentifikasi dan dikelola dengan lebih baik, sehingga modal yang diperlukan untuk
memenuhi konsekuensi dari terjadinya risiko-risiko tersebut akan menjadi lebih rendah.
ORM dalam lembaga keuangan dapat dilihat sebagai penerapan khusus dari pendekatan ERM.
Kegagalan sistem perbankan dunia menimbulkan pertanyaan atas efektivitas kegiatan manajemen
risiko di bank dan khususnya efektivitas manajemen risiko operasional. Salah satu dampak krisis
keuangan dunia adalah pemberitaan kini secara rutin menyatakan bahwa: 1) risiko itu buruk; dan 2)
manajemen risiko gagal. Faktanya, pengambilan risiko sangat penting untuk keberhasilan organisasi.
Pernyataan bahwa manajemen risiko telah gagal di bank lebih sulit untuk dibantah. Namun
kenyataannya hal tersebut bukanlah kegagalan manajemen risiko
Machine Translated by Google
prinsip-prinsip yang menyebabkan krisis perbankan. Hal ini disebabkan oleh kegagalan dalam menerapkan
prinsip-prinsip tersebut dengan benar. Banyak bank melakukan dua kesalahan sekaligus:
Analisis risiko dan imbalan yang akurat tidak dilakukan, sehingga bank mengambil
keputusan berdasarkan imbalan yang tersedia, dan tidak mengambil pandangan
yang lebih seimbang mengenai risiko yang ada dalam mencari imbalan yang lebih tinggi.
Kuantifikasi tingkat risiko yang ada tidak akurat, karena bank mengambil pendekatan
yang agresif terhadap risiko sehingga kejadian-kejadian tertentu dianggap sangat
kecil kemungkinannya sehingga dapat diabaikan.
Analisis rinci mengenai krisis perbankan pada tahun 2008 berada di luar cakupan teks ini.
Namun, tampaknya krisis ini disebabkan oleh kegagalan dua model analisis risiko yang
berbeda. Pertama, bank berasumsi bahwa utang yang dikemas ulang, termasuk sub-prime
mortgage, akan terus menjadi komoditas yang dapat diperdagangkan di pasar, namun
ternyata tidak demikian.
Kedua, bank berasumsi bahwa pinjaman jangka pendek di pasar uang grosir akan terus
tersedia. Uang jangka pendek ini digunakan oleh bank agar mereka dapat terus
meminjamkan uang dalam jangka panjang dengan tingkat bunga yang lebih menguntungkan.
Runtuhnya pasar uang grosir tidak diantisipasi oleh model kredit yang digunakan oleh
sebagian besar bank.
Namun, COSO menyadari bahwa perlu adanya hubungan yang lebih kuat antara
strategi, risiko, dan kinerja. Sebagai tanggapannya, kerangka ERM yang diperbarui
diterbitkan oleh COSO pada tahun 2017 untuk menghubungkan harapan pemangku
kepentingan ERM dengan lebih jelas; risiko posisi dalam konteks kinerja organisasi; Dan
Machine Translated by Google
Kerangka kerja baru ini menguraikan prinsip-prinsip yang dapat diterapkan mulai dari
pengambilan keputusan strategis hingga kinerja. Ini mencakup seperangkat prinsip yang
disusun menjadi lima komponen yang saling terkait:
1. Tata Kelola dan Budaya: Tata Kelola menentukan arah organisasi dan menetapkan
tanggung jawab pengawasan terhadap ERM. Budaya berkaitan dengan nilai-nilai etika,
perilaku yang diinginkan, dan pemahaman tentang risiko.
2. Penetapan strategi dan tujuan: ERM, strategi dan penetapan tujuan bekerja sama dalam
proses perencanaan strategis. Selera risiko harus selaras dengan strategi dan tujuan
bisnis agar implementasi strategi berhasil.
3. Kinerja: Risiko-risiko yang dapat mempengaruhi pencapaian strategi dan tujuan bisnis
perlu diidentifikasi, dinilai dan diprioritaskan berdasarkan tingkat keparahannya dalam
konteks selera risiko, sehingga respons terhadap risiko dapat dipilih.
4. Tinjauan dan revisi: Dengan meninjau kinerja entitas, organisasi dapat mempertimbangkan
seberapa baik komponen ERM berfungsi dari waktu ke waktu dan mengikuti perubahan
substansial, serta revisi apa yang diperlukan.
proses memperoleh dan berbagi informasi yang diperlukan, baik dari sumber internal maupun eksternal,
Dalam jangka panjang, ERM juga dapat meningkatkan ketahanan perusahaan – kemampuan untuk mengantisipasi
dan merespons perubahan. Hal ini membantu organisasi mengidentifikasi faktor-faktor yang tidak hanya mewakili
risiko, namun juga perubahan, dan bagaimana perubahan tersebut dapat berdampak pada kinerja dan memerlukan
perubahan strategi. Semua organisasi perlu menetapkan strategi dan menyesuaikannya secara berkala, selalu
waspada terhadap peluang yang selalu berubah untuk menciptakan nilai dan tantangan yang akan terjadi dalam
Organisasi perlu mengidentifikasi kerangka kerja terbaik untuk mengoptimalkan strategi dan kinerja guna
Tingkatkan jangkauan peluang: Identifikasi peluang baru dan tantangan unik yang terkait dengan peluang
saat ini.
Identifikasi dan kelola risiko di seluruh entitas: Identifikasi dan kelola risiko di seluruh perusahaan untuk
Meningkatkan hasil positif dan mengurangi kejutan negatif: Identifikasi respons, kurangi kejutan dan biaya
atau kerugian terkait, sambil mengambil keuntungan dari perkembangan yang menguntungkan.
Mengurangi variabilitas kinerja: Mengantisipasi risiko yang akan mempengaruhi kinerja dan mengambil
Meningkatkan penerapan sumber daya: Menilai kebutuhan sumber daya secara keseluruhan, memprioritaskan
Meningkatkan ketahanan perusahaan: Mengantisipasi dan merespons perubahan, tidak hanya untuk
bertahan hidup tetapi juga untuk berkembang dan berkembang.
Machine Translated by Google
09
Pendekatan alternatif
Banyak perkembangan baru dalam manajemen risiko yang muncul pada masa itu.
Pada tahun 1990an, para praktisi manajemen risiko biasa berbicara tentang manajemen
risiko yang terintegrasi atau holistik, namun kini terminologi yang diterima secara
universal untuk penerapan manajemen risiko secara luas di seluruh organisasi adalah
manajemen risiko perusahaan (ERM). Demikian pula, manajemen risiko operasional
(ORM) telah ditetapkan dan dikembangkan secara substansial dalam jangka waktu yang
lebih singkat, mungkin lima tahun.
Dalam banyak hal, fakta bahwa disiplin manajemen risiko terus berkembang dan
beradaptasi terhadap perubahan keadaan dapat dipandang bermanfaat.
Namun, ada bahaya bahwa para praktisi manajemen risiko akan terlihat menyampaikan
pesan yang selalu berubah dan karenanya tidak konsisten.
Hal ini tidak berarti bahwa manajemen risiko harus menjadi suatu disiplin ilmu yang
statis, namun penting untuk diingat bahwa mengubah dasar analisis dan saran
manajemen risiko yang diberikan dan tampaknya mengubah sifat proses manajemen
risiko, akan menyebabkan kebingungan. dan kurangnya minat di antara anggota dewan
senior.
Setiap tinjauan terhadap perubahan wajah manajemen risiko harus mengakui krisis
keuangan global dan peran manajemen risiko dalam perkembangan situasi ini. Ketika
krisis keuangan global berkembang,
Machine Translated by Google
Laporan surat kabar dan televisi terus-menerus mengulangi dua pesan: 'risiko itu buruk' dan
'manajemen risiko telah gagal'. Tak satu pun dari pernyataan ini yang benar. Penting bagi
organisasi untuk mengambil risiko yang tepat, dan kegagalan yang menyebabkan krisis
keuangan global adalah kegagalan dalam penerapan manajemen risiko, bukan kegagalan
manajemen risiko itu sendiri.
Tidak diragukan lagi bahwa mengambil risiko yang terlalu besar mungkin tidak tepat dan
dapat mengakibatkan kegagalan seluruh organisasi. Namun, berdasarkan pengalaman
banyak organisasi, mereka hampir selalu lolos dari permasalahan tersebut, atau (paling
tidak) berhasil bertahan. Pemahaman rinci mengenai tingkat risiko yang tertanam dalam
organisasi tidak dimaksudkan untuk menghentikan semua keputusan strategis yang berani.
Kesadaran akan risiko tidak seharusnya menghalangi organisasi untuk mengambil strategi
yang berisiko tinggi, namun keputusan akan diambil dengan kesadaran penuh akan risiko yang ada.
Organisasi harus terus mencari peluang dan, dari waktu ke waktu, menyadari bahwa ada
peluang bagus yang terlihat sangat berisiko. Organisasi mungkin masih mempunyai
keinginan untuk memulai strategi berisiko tersebut, namun tahap diskusi selanjutnya harus
mengenai bagaimana mengelola risiko sehingga tetap berada dalam kapasitas risiko
organisasi, dan bagaimana mengukur risiko sehingga dewan dapat mengambil risiko. tetap
menyadari paparan risiko yang sebenarnya.
Krisis keuangan global tidak mencerminkan kegagalan manajemen risiko. Hal ini
menunjukkan kegagalan dalam menerapkan prosedur dan protokol manajemen risiko secara
lengkap dan benar. Gambar 25.3 mengilustrasikan selera risiko suatu organisasi yang
agresif terhadap risiko. Ketika suatu organisasi bersifat agresif terhadap risiko, hal ini
membatasi rentang risiko yang akan dipertimbangkan oleh dewan, karena terdapat ruang
terbatas untuk mengidentifikasi risiko sebagai kemungkinan besar/berdampak besar.
Dengan kata lain, cakupan risiko bagi organisasi tersebut sangat terbatas dan akan
mengecualikan risiko-risiko yang perlu mendapat perhatian dewan.
Jika organisasi bersifat agresif terhadap risiko dan beroperasi dengan model yang sejalan
dengan Gambar 25.3 , maka sangat sedikit risiko prioritas signifikan yang akan teridentifikasi.
Hal ini akan mengakibatkan organisasi menciptakan 'risiko tertutup' bagi dewan yang
berpotensi membatasi diskusi dan analisis yang lebih luas. Namun, tidak ada yang salah
jika suatu organisasi bersikap agresif terhadap risiko. Jika sebuah organisasi bersifat agresif
terhadap risiko, terdapat peningkatan kebutuhan untuk meninjau kembali penilaian risiko,
menantang ruang lingkup dan hasil aktivitas analisis risiko, dan memastikan bahwa
pendekatan yang sangat dinamis terhadap manajemen risiko tetap dipertahankan.
Machine Translated by Google
risiko baru yang muncul di lingkungan eksternal, namun terkait dengan strategi
organisasi yang ada – risiko baru dalam konteks yang diketahui;
risiko-risiko yang sudah ada dan sudah diketahui oleh organisasi, namun telah
berkembang atau mengubah keadaan yang memicu risiko – risiko-risiko yang diketahui
dalam konteks baru;
risiko yang sebelumnya tidak dihadapi oleh organisasi, karena risiko terkait dengan
perubahan proses inti – risiko baru dalam konteks baru.
Beberapa perkembangan bisnis telah meningkatkan tingkat risiko yang dihadapi oleh
organisasi dalam beberapa waktu terakhir, termasuk perpindahan ke pasar baru, penggunaan
teknologi baru, dan pengembangan rantai pasokan yang semakin kompleks.
Umumnya, peningkatan risiko ini akan berada di bawah kendali organisasi itu sendiri. Selain
itu, terdapat banyak risiko baru atau berkembang yang berada di luar kendali suatu organisasi,
termasuk:
perubahan iklim;
utang negara;
Machine Translated by Google
keamanan nasional;
mengubah demografi.
Ketika berupaya mengelola risiko-risiko yang muncul ini, organisasi harus mengevaluasi
apakah risiko-risiko tersebut harus diperlakukan sebagai risiko bahaya, pengendalian, atau peluang.
Tergantung pada aktivitas organisasi, banyak dari risiko yang muncul ini mungkin hanya
merupakan ancaman bagi organisasi atau merupakan peluang untuk pengembangan di masa
depan. Dalam beberapa kasus, risiko yang muncul hanya mewakili ketidakpastian tambahan
yang perlu dikelola.
Pertimbangan penting ketika memikirkan risiko yang muncul adalah kecepatan risiko
tersebut menjadi signifikan. Beberapa praktisi manajemen risiko menyebut kecepatan
perkembangan dan perubahan risiko sebagai kecepatan risiko.
Contoh bagus dari munculnya risiko adalah nanoteknologi. Nanoteknologi digunakan secara
luas dalam bidang medis dan, sampai batas tertentu, industri kosmetik untuk meningkatkan
efektivitas perawatan kosmetik pada kondisi kulit. Apakah ada risiko jangka panjang yang
akan muncul dari penggunaan nanoteknologi belum sepenuhnya diketahui.
Contoh bagus lainnya adalah yang berhubungan dengan penggunaan telepon seluler.
Ponsel sudah menjadi hal yang lumrah, namun teknologinya telah berkembang pesat selama
25 tahun terakhir. Sinyal telepon seluler jauh lebih kuat 25 tahun yang lalu. Oleh karena itu,
jika tuduhan kesehatan mulai muncul sehubungan dengan penggunaan ponsel, dampak
kesehatan tersebut kemungkinan besar terkait dengan teknologi yang tidak lagi digunakan.
Hal ini akan menjadi tantangan besar dalam memutuskan apakah bahaya kesehatan sudah
tidak ada lagi karena teknologi sudah berubah, atau apakah bahaya kesehatan sama
pentingnya dan akan terbukti terkait dengan teknologi saat ini.
Machine Translated by Google
Risiko nanoteknologi
Karena nanoteknologi adalah bidang yang sedang berkembang, terdapat perdebatan besar mengenai sejauh mana
nanoteknologi akan memberikan manfaat atau menimbulkan risiko bagi kesehatan manusia. Dampak nanoteknologi
terhadap kesehatan dapat dibagi menjadi dua aspek: potensi penerapan medis untuk menyembuhkan penyakit, dan
potensi bahaya kesehatan yang ditimbulkan oleh paparan bahan nano.
Ukuran material nano yang sangat kecil berarti bahwa material tersebut lebih mudah diserap oleh tubuh
manusia dibandingkan partikel berukuran lebih besar. Bagaimana partikel nano berperilaku di dalam organisme adalah
salah satu masalah besar yang perlu diselesaikan. Perilaku partikel nano merupakan fungsi dari ukuran, bentuk,
dan reaktivitas permukaannya dengan jaringan di sekitarnya. Terlepas dari apa yang terjadi jika partikel nano yang
tidak dapat terdegradasi atau terdegradasi secara perlahan terakumulasi dalam organ, kekhawatiran lainnya adalah
potensi interaksinya dengan proses biologis di dalam tubuh: karena permukaannya yang besar, partikel
nano yang terpapar pada jaringan dan cairan akan segera menyerap ke dalam tubuh. permukaannya beberapa
molekul makro yang mereka temui.
Banyaknya variabel yang mempengaruhi toksisitas berarti sulit untuk menggeneralisasi risiko kesehatan yang
terkait dengan paparan bahan nano; setiap material nano baru harus dinilai secara individual dan semua sifat
material harus diperhitungkan.
Masalah kesehatan dan lingkungan hidup terjadi di tempat kerja perusahaan yang memproduksi atau
menggunakan bahan nano dan di laboratorium yang terlibat dalam penelitian sains nano dan nanoteknologi. Dapat
dikatakan bahwa standar paparan debu di tempat kerja saat ini tidak dapat diterapkan secara langsung pada debu
partikel nano.
Standar ASIS ini mengambil pandangan manajemen risiko di seluruh perusahaan, sehingga
memungkinkan organisasi mengembangkan strategi komprehensif untuk mencegah,
mempersiapkan, memitigasi, merespons, dan pulih dari insiden yang mengganggu jika
memungkinkan. Hal ini memungkinkan integrasi dengan ISO 31000. Hal ini juga kompatibel
dengan standar sistem manajemen ISO yang ada (seperti ISO 9001, ISO 14001, ISO 27001,
dan ISO 28000). Pendekatan keseluruhannya adalah bahwa organisasi yang berketahanan
perlu 'mencegah, melindungi dan mempersiapkan' terkait dengan sumber daya dan aset dan
pada saat yang sama mampu 'merespons, memulihkan, dan meninjau' ketika krisis terjadi.
Ketika berupaya menjadikan suatu organisasi lebih tangguh, penting untuk memiliki definisi
mengenai kondisi ketahanan yang diinginkan yang ingin dicapai. ISO 22300:2012 'Keamanan
Masyarakat – Terminologi' mendefinisikan ketahanan sebagai 'kapasitas adaptif suatu
organisasi dalam lingkungan yang kompleks dan terus berubah'. Ini adalah definisi yang
berguna, namun ketahanan sering dikaitkan dengan manajemen krisis, dan definisi ini tidak
secara eksplisit membahas perilaku organisasi selama krisis. Mungkin definisi yang lebih baik
adalah 'kapasitas suatu organisasi untuk secara konsisten mencapai keadaan yang diinginkan
setelah terjadi perubahan keadaan'. Definisi ini lebih mencakup pengelolaan krisis, serta
kemampuan untuk merespons peristiwa yang tidak terlalu dramatis atau mengganggu dengan
sukses.
Munculnya ketahanan adalah peluang bagi spesialis manajemen risiko dan kelangsungan
bisnis untuk bekerja sama guna memastikan pendekatan yang lebih terkoordinasi terhadap
manajemen risiko perusahaan, kelangsungan bisnis, dan manajemen krisis. Ada tiga perilaku
yang harus dicapai oleh suatu organisasi jika ingin mencapai peningkatan ketahanan:
'merespon, memulihkan, dan meninjau ulang' dalam kaitannya dengan peristiwa-peristiwa yang mengganggu,
termasuk kemampuan untuk merespons dengan cepat, meninjau pembelajaran dan beradaptasi.
Terakhir, perlu dicatat bahwa tren lain dalam struktur manajemen risiko dan standar
ketahanan tampaknya mulai muncul. Beberapa standar sedang bergerak menuju struktur
'plan–do–check–act’ (PDCA). Pendekatan ini sepenuhnya konsisten dengan pendekatan
rencana, implementasi, pengukuran, pembelajaran (PIML) untuk menerapkan inisiatif
manajemen risiko yang ditetapkan dalam Lampiran C. Standar ASIS secara eksplisit
mengikuti format PDCA. PIML lebih disukai daripada PDCA karena pendekatannya lebih
komprehensif dan analitis. Faktanya, kerangka kerja dan proses manajemen risiko yang
dijelaskan dalam ISO 31000 telah selaras dengan pendekatan PIML, setelah
'kepemimpinan dan komitmen' untuk kerangka kerja tersebut dan 'menetapkan konteks'
untuk tahapan proses (masing-masing) telah selesai.
Seiring dengan semakin pentingnya ketahanan, saran untuk mencapai ketahanan pun
semakin tersebar luas. Misalnya, kotak di bawah ini merangkum saran yang diberikan
kepada organisasi oleh Kantor Kabinet pemerintah Inggris.
Machine Translated by Google
Seseorang melakukan suatu tugas, dipandu oleh pemahaman akan tujuannya (tujuan yang ingin dicapai) dan didukung oleh
kemampuan (informasi, sumber daya, perlengkapan dan keterampilan). Orang tersebut akan membutuhkan rasa komitmen
untuk melakukan tugasnya dengan baik seiring berjalannya waktu. Orang tersebut akan memantau kinerjanya dan lingkungan
eksternal untuk mempelajari bagaimana melakukan tugas dengan lebih baik dan tentang perubahan yang harus dilakukan.
Hal yang sama berlaku untuk tim atau kelompok kerja mana pun. Dalam organisasi orang mana pun, esensi pengendalian
adalah tujuan, komitmen, kemampuan, serta pemantauan dan pembelajaran.
Selain pendekatan CoCo, ada banyak standar manajemen risiko dan pengendalian internal
lainnya yang tersedia di seluruh dunia. Ruang lingkup dan tujuan standar ini bervariasi.
Misalnya, Buku Oranye yang diterbitkan oleh HM Treasury di Inggris dimaksudkan sebagai
panduan bagi departemen pemerintah pusat mengenai manajemen risiko.
Perkembangan penting dalam standar adalah munculnya konsep Governance Risk and
Compliance (GRC) dan hal ini dibahas lebih rinci pada Bab 35. Pendekatan yang mendasari
prinsip ini terkait dengan konsep tiga garis pertahanan dimana manajemen risiko berbeda-
beda. dan tanggung jawab pengendalian internal dialokasikan kepada manajemen senior,
fungsi spesialis risiko, dan audit internal. Pendekatan keseluruhan terhadap GRC didasarkan
pada pemisahan fungsi. Manajemen senior bertanggung jawab atas tata kelola dalam
organisasi, fungsi spesialis risiko bertanggung jawab atas aktivitas manajemen risiko, dan
jaminan atas kepatuhan yang memadai disediakan oleh audit internal.
Di Afrika Selatan, kode tata kelola perusahaan King yang sangat berpengaruh dan
terperinci diterbitkan pada tahun 2009, dan diperbarui menjadi King IV pada akhir tahun
2016. Manajemen risiko tetap penting dalam kode yang diperbarui dan panduan yang lebih
rinci diberikan tentang cara mencapainya. Dewan bertanggung jawab atas tata kelola risiko
dan pengungkapan, sedangkan manajemen bertanggung jawab atas desain manajemen
risiko, implementasi dan pemantauan rencana manajemen risiko.
Tanggung jawab rinci atas manajemen risiko diatur dalam Raja IV sehubungan dengan
tanggung jawab dewan atau badan pengatur perusahaan. Prinsip tata kelola risiko yang
ditetapkan dalam Raja IV adalah 'Badan pengatur harus mengatur risiko dengan cara yang
mendukung organisasi dalam menetapkan dan mencapai tujuan strategisnya'. Contoh-
contoh pilihan praktik risiko yang direkomendasikan untuk badan pengelola perusahaan
disajikan pada Tabel 9.1.
Machine Translated by Google
1 Mengambil tanggung jawab atas tata kelola risiko dengan menetapkan arah
bagaimana risiko harus didekati dan ditangani, yang mencakup:
selera risiko (risk appetite), yaitu kecenderungan untuk mengambil tingkat risiko
yang
sesuai; dan membatasi potensi kerugian yang dapat ditoleransi oleh
organisasi.
persyaratan, ada sejumlah standar khusus yang berlaku untuk manajemen risiko.
Secara khusus, sektor TI telah menghasilkan sejumlah standar yang dihormati dan
digunakan secara luas. Mungkin standar yang paling terkenal adalah Control
Objectives for Information and Associated Technology (COBIT). COBIT memberikan
praktik yang baik di seluruh domain dan kerangka proses serta menyajikan aktivitas
dalam struktur yang dapat dikelola dan logis. Pendekatan COBIT dijelaskan secara
lebih rinci pada kotak di bawah ini.
Machine Translated by Google
Orientasi bisnis COBIT terdiri dari menghubungkan tujuan bisnis dengan tujuan TI, menyediakan metrik dan model
kematangan untuk mengukur pencapaiannya, dan mengidentifikasi tanggung jawab terkait pemilik bisnis dan proses
TI.
1. Ruang Lingkup
2. Referensi normatif
4. Konteks organisasi
5. Kepemimpinan
6. Perencanaan
7. Dukungan
8. Operasi
9. Evaluasi kinerja
10. Peningkatan
Menarik untuk dicatat bahwa struktur tersebut tidak secara eksplisit menggambarkan kerangka
kerja dan proses sebagai item terpisah, seperti yang disajikan dalam ISO 31000.
Mungkin ini adalah salah satu alasan mengapa saat ini (April 2018) tidak ada rencana untuk
mengubah ISO 31000 ke format Annex SL. Namun demikian, struktur Annex SL
memungkinkan organisasi mengembangkan pendekatan mereka sendiri terhadap manajemen
risiko perusahaan untuk merancang pendekatan yang kompatibel dengan standar ISO lain
yang diterapkan dalam organisasi, termasuk standar ISO yang paling populer – ISO 9001
tentang manajemen mutu.
Banyak judul yang digunakan dalam Lampiran SL sudah tidak asing lagi bagi para
profesional risiko, termasuk Klausul 4: Konteks Organisasi. Klausul 4 dimaksudkan untuk
mengidentifikasi mengapa organisasi itu ada. Sebagai bagian dari menjawab pertanyaan ini,
organisasi perlu mengidentifikasi isu-isu eksternal dan internal yang dapat berdampak pada
hasil yang diharapkan, serta seluruh pemangku kepentingan dan kebutuhan mereka. Klausul
5: Kepemimpinan dan Klausul 7: Dukungan bekerja sama dan dapat dianggap setara dengan
arsitektur risiko, strategi dan protokol (RASP) sehubungan dengan Klausul 5, dan komponen
manajemen risiko tertanam seperti kepemimpinan, keterlibatan, pembelajaran, akuntabilitas
dan komunikasi (LILAC) sehubungan dengan Klausul 7.
Klausul 6: Perencanaan, Klausul 8: Operasi, Klausul 9: Evaluasi kinerja dan Klausul 10:
Perbaikan sama persis dengan rencana–implementasi–
Machine Translated by Google
Ini berarti bahwa persyaratan untuk merencanakan dan melaksanakan tindakan untuk
mengatasi risiko dan peluang kini tertanam dalam ISO 9001 tentang manajemen mutu
dan akan tertanam dalam standar lain seiring dengan diperkenalkannya format Annex
SL secara bertahap.
Pelajaran penting bagi para profesional risiko, seiring dengan semakin banyaknya
standar sistem manajemen yang dipindahkan ke format Annex SL, adalah berupaya
memastikan bahwa inisiatif manajemen risiko perusahaan sepenuhnya selaras dengan
pendekatan Annex SL. Hal ini harus memastikan penerimaan yang lebih besar terhadap
inisiatif manajemen risiko perusahaan dalam organisasi. Satu hal penting yang perlu
diperhatikan adalah Klausul 8: Operasi digambarkan memiliki sebagian besar persyaratan
sistem manajemen, termasuk keseluruhan proses dan manajemen yang akan mencakup
kriteria yang memadai untuk mengendalikan proses.
Berdasarkan Klausul 8 dalam format baru ini, langkah-langkah umum dalam proses
manajemen risiko akan disertakan bagi organisasi yang memutuskan untuk mengadopsi
struktur Annex SL ketika menerapkan manajemen risiko perusahaan.
prakarsa.
manajemen dapat membawa dan bagaimana hal ini dapat dicapai. Komentar singkat di bawah ini
menggambarkan bagaimana manajemen risiko dihargai di seluruh dunia dan mengapa manajemen
risiko tetap ada.
Machine Translated by Google
sudah mapan dan akan tetap ada, namun harus mampu menunjukkan
manfaat finansial yang signifikan dan terukur. Manfaat finansial ini perlu
ditunjukkan dalam bentuk peningkatan keuntungan pada organisasi sektor
swasta dan dalam bentuk peningkatan efisiensi dan/atau pemberian layanan
yang bernilai uang di sektor publik.
Machine Translated by Google
BAGIAN KETIGA
Tugas beresiko
merangkum teknik penilaian risiko yang paling umum, ditambah kelebihan dan kekurangan
masing-masing teknik, termasuk SWOT;
menjelaskan pentingnya sikap jangka panjang suatu organisasi terhadap risiko dan bagaimana hal
tersebut mempengaruhi persepsi risiko;
menguraikan pilihan untuk mengklasifikasikan risiko menurut sifat, sumber, skala waktu, dampak
dan akibat risiko;
menjelaskan pentingnya sistem klasifikasi risiko dan menjelaskan fitur sistem yang ada, termasuk
PESTLE, FIRM dan 4P;
menjelaskan atribut masing-masing karakteristik dan mengilustrasikan melalui matriks risiko sifat
dan atribut suatu risiko dalam hal kemungkinan dan besarnya;
mengilustrasikan, dengan menggunakan matriks risiko, sikap risiko suatu organisasi dan
pentingnya konsep 'semesta risiko';
Secara internal kami telah melaksanakan beberapa proyek perubahan signifikan untuk
meningkatkan efektivitas operasional dan efisiensi bisnis kami.
Meskipun hal ini menimbulkan risiko operasional pada tingkat tertentu, kami yakin kami memiliki
orang-orang yang tepat untuk mengelola perubahan secara efektif. Pada tahun ini,
kami menyadari peningkatan risiko aktivitas teroris di aset kami dan telah menguji rencana
respons krisis kami untuk memastikan rencana tersebut kuat.
Di British Land, kami berpandangan bahwa penilaian risiko kami adalah landasan
strategi kami dan manajemen risiko yang tertanam dalam diri kami merupakan hal
mendasar dalam pelaksanaannya. Pendekatan terpadu kami menggabungkan pandangan
strategis dari atas ke bawah dengan proses operasional dari bawah ke atas yang
saling melengkapi.
Pendekatan top-down melibatkan peninjauan terhadap lingkungan eksternal tempat kita
beroperasi. Hal ini memandu penilaian risiko yang dapat kami ambil dalam mencapai tujuan
kinerja kami – inilah yang merupakan selera risiko kami. Evaluasi ini memandu tindakan
yang kami ambil dalam melaksanakan strategi kami. Indikator risiko utama (KRI) telah
diidentifikasi untuk setiap risiko utama kami dan digunakan untuk memantau eksposur risiko
kami. KRI ditinjau setiap triwulan oleh komite risiko untuk memastikan bahwa aktivitas bisnis
tetap sesuai dengan selera risiko kami.
tertanam dalam operasi kita sehari-hari. Pengendalian proses ini dilakukan melalui pemeliharaan
daftar risiko di setiap area. Daftar risiko ini dikumpulkan dan ditinjau oleh komite risiko, dan risiko-
risiko signifikan yang baru muncul akan ditingkatkan untuk dipertimbangkan oleh dewan jika
diperlukan.
Daftar (sebagian) sisa risiko utama yang diidentifikasi dalam Anjing Pemandu
Rencana manajemen risiko NSW/ACT dan pembaruan mengenai tindakan yang diambil untuk
memitigasi risiko-risiko ini adalah sebagai berikut:
5. Kecelakaan kendaraan bermotor staf. Pelatihan pengemudi dan peningkatan pilihan kendaraan
dengan standar keselamatan akan terus berlanjut.
6. Perubahan staf di departemen penggalangan dana dan pemberian dana terencana
berpotensi mengakibatkan berkurangnya aliran pendapatan. Perekrutan telah
menghasilkan staf unggul yang dapat menyesuaikan diri dengan peran mereka dengan sangat
baik dan terbukti sangat efektif dalam tanggung jawab mereka.
Machine Translated by Google
10
Pertimbangan penilaian risiko
Meskipun penilaian risiko sangat penting, hal ini hanya berguna jika kesimpulan penilaian
digunakan untuk menginformasikan keputusan dan/atau untuk mengidentifikasi respons
risiko yang tepat untuk jenis risiko yang sedang dipertimbangkan. Hal ini harus dianggap
sebagai titik awal dari proses manajemen risiko dan tentunya bukan merupakan tujuan akhir.
Ciri penting dalam melakukan penilaian risiko adalah memutuskan apakah risiko yang
teridentifikasi akan dievaluasi pada tingkat bawaan atau pada tingkat saat ini (atau sisa).
Penilaian risiko inheren dilakukan tanpa memperhitungkan pengendalian yang ada saat ini.
Pendekatan inilah yang direkomendasikan oleh auditor internal. Auditor internal akan
menunjukkan bahwa dua risiko dengan nilai kini atau nilai bersih yang sama mungkin
memiliki nilai bawaan atau nilai kotor yang berbeda secara signifikan. Penting untuk
mengetahui kapan hal ini terjadi.
Manfaat melakukan penilaian risiko inheren adalah perbedaannya
Machine Translated by Google
antara level saat ini dan level inheren dapat diidentifikasi. Hal ini akan memberikan indikasi
pentingnya tindakan pengendalian yang ada dan informasi tersebut digunakan oleh auditor
internal untuk membantu mengidentifikasi pengendalian penting dan menetapkan prioritas
audit. Meskipun pendekatan ini mungkin berguna, terdapat kesulitan besar dalam
mengidentifikasi nilai tingkat risiko yang melekat.
Praktisi kesehatan dan keselamatan, misalnya, lebih memilih melakukan penilaian risiko
dengan pengendalian yang ada saat ini. Pendekatan ini bisa menjadi pendekatan yang
lebih sederhana, meskipun hal ini bergantung pada asumsi bahwa pengendalian yang ada
akan selalu berjalan sesuai dengan efektivitas yang diasumsikan. Misalnya, jika penilaian
terhadap mesin x-ray sedang dilakukan, petugas keselamatan akan berasumsi bahwa
selungkup atau kabinet dalam keadaan baik dan risiko harus dinilai berdasarkan hal
tersebut. Auditor internal akan lebih mudah mengenali bahwa ruangan atau kabinet
merupakan faktor pengendalian yang sangat penting dan harus diperiksa secara rutin.
pendekatan khusus untuk melakukan penilaian risiko. Pendekatan yang diambil harus
konsisten dengan budaya organisasi.
Misalnya, jika suatu organisasi biasanya tidak mengadakan pertemuan dan lokakarya,
maka lokakarya mungkin bukan pendekatan yang paling tepat untuk melakukan penilaian
risiko. Demikian pula, jika budaya organisasi sangat bergantung pada laporan dan makalah
tertulis, hal ini mungkin merupakan cara terbaik dalam melakukan penilaian risiko.
Penggunaan perangkat lunak pemungutan suara menjadi populer belakangan ini. Bagi
organisasi seperti perusahaan media yang akrab dengan teknologi ini, ini mungkin merupakan
cara yang sangat tepat dalam melakukan penilaian risiko. Namun, bagi organisasi yang tidak
tertarik pada teknologi, penggunaan alat-alat tersebut mungkin dianggap sebagai gimmick
yang mengurangi nilai lokakarya.
Penggunaan perangkat lunak pemungutan suara dapat memberikan informasi tambahan
dalam lokakarya penilaian risiko. Tidak hanya memungkinkan untuk mengidentifikasi posisi
mayoritas dalam kaitannya dengan kemungkinan dan dampak terjadinya suatu risiko, namun
juga memungkinkan untuk mengidentifikasi penyebaran pendapat. Jika terdapat perbedaan
pendapat, hal ini perlu ditelaah, karena hal ini dapat mencerminkan kemungkinan
kesalahpahaman mengenai sifat risiko yang sedang dibahas.
Pertimbangan penting bagi organisasi adalah apakah proses penilaian risiko harus
dilakukan atas dasar top-down dan bottom-up. Dengan kata lain, akankah manajemen senior
memimpin proses penilaian risiko dalam organisasi dengan informasi yang diteruskan ke
bawah untuk validasi, atau akankah serangkaian latihan penilaian risiko dilakukan mulai dari
tingkat operasional? Tabel 10.1 memberikan contoh keuntungan dan kerugian melakukan
penilaian risiko top-down. Penilaian risiko yang bersifat top-down akan cenderung berfokus
pada risiko yang terkait dengan strategi, taktik, operasi, dan kepatuhan (STOC) dalam urutan
tersebut.
Keuntungan Kekurangan
Kemungkinan besar akan menghasilkan pendekatan Manajer senior dan direktur cenderung
yang berskala perusahaan – risiko-risiko yang ada lebih fokus pada risiko eksternal organisasi.
di tingkat atas akan berdampak pada
keseluruhan bisnis.
Machine Translated by Google
bisnis.
Karena berasal dari atas, ada risiko baru yang muncul dari kegiatan operasional
metodologi yang konsisten di seluruh organisasi mungkin tidak sepenuhnya
organisasi. diidentifikasi.
Tabel 10.2 memberikan contoh keuntungan dan kerugian melakukan penilaian risiko dari
bawah ke atas. Seperti banyak aspek dalam inisiatif manajemen risiko perusahaan yang
sukses, organisasi harus memutuskan protokol dan prosedur penilaian risiko yang paling
sesuai. Jika pilihannya antara top-down dan bottom-up, organisasi harus memutuskan
apakah dukungan nyata manajemen senior terhadap inisiatif manajemen risiko lebih penting
daripada keterlibatan lebih besar dari orang-orang operasional. Penilaian risiko dari bawah
ke atas akan cenderung berfokus pada risiko yang diidentifikasi sebagai kepatuhan, bahaya,
pengendalian, dan peluang dalam urutan tersebut.
Keuntungan Kekurangan
Dukungan yang signifikan di seluruh tingkat Fokus pada risiko eksternal atau
organisasi harus dicapai. risiko strategis akan berkurang.
organisasi yang ada dan dampak risiko di motivasi, jika diperlukan waktu lebih lama untuk
Bagi sebagian besar organisasi, kombinasi penilaian risiko top-down dan bottom-
up akan dilakukan dengan manajer risiko mengumpulkan informasi dari sebanyak
mungkin pemangku kepentingan. Seringkali, kendala utama dalam melaksanakan
kegiatan bottom-up adalah komitmen waktu yang lebih besar yang diperlukan dari
departemen manajemen risiko untuk menghadiri dan/atau memfasilitasi serangkaian
kegiatan penilaian risiko.
dan daftar periksa mengumpulkan informasi yang akan membantu mengenali risiko
signifikan.
Inspeksi dan Inspeksi fisik terhadap lokasi dan aktivitas serta audit
audit kepatuhan terhadap sistem dan prosedur yang ditetapkan.
Keuntungan dari daftar periksa dan kuesioner adalah mudah diselesaikan dan tidak
memakan banyak waktu dibandingkan teknik penilaian risiko lainnya.
Namun, pendekatan ini memiliki kelemahan yaitu risiko apa pun yang tidak dirujuk oleh
pertanyaan yang tepat mungkin tidak dianggap signifikan. Analisis sederhana mengenai
kelebihan dan kekurangan masing-masing teknik penilaian risiko yang paling umum
disajikan pada Tabel 10.4.
Mengingat bahwa risiko dapat dikaitkan dengan aspek lain dari suatu organisasi serta atau
bukan pada tujuan, cara yang mudah dan sederhana untuk menganalisis risiko adalah
dengan mengidentifikasi ketergantungan utama yang dihadapi oleh organisasi. Kebanyakan
orang dalam suatu organisasi akan mampu mengidentifikasi aspek-aspek bisnis yang
secara fundamental penting bagi keberhasilan masa depan. Mengidentifikasi faktor-faktor
yang diperlukan untuk sukses akan menghasilkan daftar ketergantungan utama bagi
organisasi.
Ketergantungan utama kemudian dapat dianalisis lebih lanjut dengan menanyakan apa
yang dapat berdampak pada masing-masing ketergantungan tersebut. Jika analisis bahaya
dilakukan maka pertanyaannya adalah: 'Apa yang dapat melemahkan masing-masing
ketergantungan utama ini?' Jika risiko pengendalian teridentifikasi, maka pertanyaan yang
dapat diajukan adalah: 'Apa yang menyebabkan ketidakpastian mengenai ketergantungan
utama ini?' Untuk analisis risiko peluang, pertanyaannya adalah: 'Peristiwa atau keadaan apa
yang akan meningkatkan
status masing-masing ketergantungan utama?' Bagi banyak organisasi, kuantifikasi paparan
risiko merupakan hal yang penting dan teknik penilaian risiko yang dipilih harus mampu memberikan hasil yan
Machine Translated by Google
operasi. Studi HAZOP sering dilakukan pada instalasi kimia berbahaya dan struktur
transportasi yang kompleks, seperti kereta api. Selain itu, studi HAZOP pada instalasi
kompleks, seperti pembangkit listrik tenaga nuklir, sering dilakukan. Mereka juga dapat
diterapkan pada analisis keamanan produk. Dalam kedua kasus tersebut, pendekatan ini
sangat analitis dan memakan waktu, namun pendekatan seperti ini diperlukan dalam berbagai
situasi.
Frekuensi Kemungkinan
Mungkin Terjadi lebih dari 7 kali selama 10 tahun di organisasi ini atau
di organisasi serupa lainnya, atau keadaannya sedemikian
rupa sehingga kemungkinan besar akan terjadi dalam beberapa tahun
mendatang.
Definisi Deskriptor
Berat Dampak serius terhadap kesehatan; hilangnya reputasi secara serius yang
akan mempengaruhi kepercayaan dan rasa hormat untuk waktu yang lama;
pelanggaran hukum yang diakibatkannya; kerugian ekonomi besar yang
tidak dapat dipulihkan.
Ada banyak gaya matriks risiko yang berbeda. Bentuk yang paling umum adalah yang
menunjukkan hubungan antara kemungkinan terjadinya risiko
Machine Translated by Google
terwujud dan dampak dari kejadian tersebut apabila risiko tersebut terwujud. Selain kemungkinan
dan dampak, fitur risiko lainnya juga dapat direpresentasikan dalam matriks risiko. Misalnya,
ruang lingkup untuk mencapai peningkatan risiko lebih lanjut sering kali direpresentasikan
dengan menggunakan matriks risiko. Dalam hal ini, matriks risiko akan menunjukkan tingkat
risiko sehubungan dengan langkah-langkah tambahan yang dapat diambil untuk meningkatkan
pengelolaan risiko tersebut, dan dengan demikian menetapkan tingkat targetnya.
Matriks risiko dapat digunakan untuk mencatat hasil pelaksanaan pemeringkatan risiko dan
ini akan memberikan presentasi visual sederhana mengenai risiko signifikan yang telah dikenali
atau diidentifikasi. Dalam melakukan penilaian risiko, penting juga untuk mengurutkan risiko
berdasarkan selera risiko organisasi atau kriteria risiko yang telah ditetapkan. Tahapan
pemeringkatan risiko dalam ISO 31000 disebut sebagai analisis risiko dan tahap pemeringkatan
risiko digambarkan sebagai evaluasi risiko.
Suatu risiko dikatakan signifikan apabila risiko tersebut mempunyai dampak yang melebihi
uji tolok ukur signifikansi untuk jenis risiko tersebut. Identifikasi potensi risiko signifikan akan
dilakukan selama latihan pengenalan risiko. Penting untuk memutuskan:
Hal ini akan mengarah pada identifikasi yang jelas mengenai prioritas risiko-risiko signifikan.
Sebagian besar organisasi akan menemukan bahwa jumlah total risiko yang diidentifikasi
dalam lokakarya adalah antara 100 dan 200. Setelah pemeringkatan risiko selesai, biasanya
jumlah risiko signifikan prioritas yang dihadapi oleh organisasi akan diidentifikasi antara 10 dan
20 Terminologi yang digunakan dalam Panduan 73 adalah kombinasi dari kemungkinan dan
dampak suatu risiko, dan dianggap sebagai tingkat risiko, meskipun hal ini disebut oleh banyak
praktisi risiko sebagai tingkat keparahan risiko.
Ada banyak versi tabel alternatif yang memberikan definisi istilah yang digunakan untuk
menggambarkan kemungkinan dan dampak. Suatu organisasi perlu membuat definisinya
sendiri, berdasarkan ukuran, sifat dan kompleksitas organisasi tersebut.
Machine Translated by Google
Tabel 10.5 memberikan definisi umum mengenai kemungkinan dalam kaitannya dengan jumlah kejadian
ketika suatu peristiwa mungkin terjadi selama periode 10 tahun. Tabel 10.6 memberikan definisi dampak
yang dapat digunakan di rumah sakit yang mengutamakan keselamatan pasien.
Persepsi risiko
Ketika melakukan latihan penilaian risiko, sering kali peserta lokakarya memiliki pandangan berbeda
mengenai risiko. Ada beberapa cara untuk mengakomodasi perbedaan pendapat. Dalam beberapa kasus,
perangkat lunak pemungutan suara dapat digunakan untuk mengidentifikasi pandangan mayoritas.
Manfaatnya adalah sebagai cara sederhana untuk mengidentifikasi posisi rata-rata kelompok, sekaligus
menunjukkan penyebaran pendapat.
Namun, sering kali bermanfaat untuk mendiskusikan mengapa orang mempunyai pandangan berbeda
tentang suatu risiko. Dengan menyelidiki mengapa pandangan mereka berbeda, sering kali kita bisa
mencapai kesepakatan bersama. Hal ini akan memberikan manfaat bahwa langkah-langkah pengendalian
yang lebih tepat akan diidentifikasi dan diterapkan. Persepsi individu terhadap risiko akan dipengaruhi oleh
beberapa faktor. Hal-hal berikut ini dianggap meningkatkan kekhawatiran masyarakat umum sehubungan
dengan risiko tertentu terhadap kesehatan:
didistribusikan secara tidak adil (ada yang diuntungkan, ada yang dirugikan);
menyebabkan kerusakan yang tersembunyi dan tidak dapat diperbaiki, mungkin bertahun-tahun setelah terpapar;
Pandangan yang berbeda mengenai pentingnya suatu risiko dapat muncul pada tingkat senioritas yang
berbeda dalam organisasi. Hal ini berguna untuk proses penilaian risiko
Machine Translated by Google
menarik pendapat dari seluruh tingkat manajemen, sehingga perspektif risiko yang berbeda dapat
diidentifikasi. Sekali lagi, manfaat dari pendekatan ini adalah komunikasi risiko yang lebih baik,
pemahaman risiko yang lebih lengkap dan identifikasi tindakan pengendalian yang tepat dan
praktis.
Untuk memahami risiko yang dihadapi suatu organisasi dan dapat melakukan penilaian risiko
yang akurat, diperlukan pengetahuan yang luas tentang organisasi. Untuk menyelesaikan penilaian
risiko yang akurat yang dapat mengidentifikasi dengan benar risiko-risiko signifikan dan kemudian
melanjutkan dengan mengidentifikasi pengendalian-pengendalian penting adalah suatu latihan
yang memakan waktu dan sumber daya yang intensif.
Sehubungan dengan persepsi masyarakat terhadap risiko, masyarakat seringkali hanya
memiliki akses terhadap informasi yang tidak lengkap dan menjadi sasaran argumentasi yang kuat
dari para lobi dan kelompok kepentingan khusus lainnya. Oleh karena itu, pemahaman dan
persepsi masyarakat mengenai risiko mungkin tidak cukup terinformasi atau tidak sepenuhnya obyektif.
Jurnalis dan reporter berita mempunyai kewajiban untuk menyajikan berita dengan cara yang
obyektif dan tidak memihak, hal ini mungkin tidak mudah jika orang yang menerima informasi tidak
sepenuhnya memahami risiko yang ada.
Machine Translated by Google
Pemerintah akan menyediakan penilaiannya terhadap risiko yang berdampak pada masyarakat, cara pemerintah mengambil keputusan,
dan cara menangani risiko tersebut. Hal ini juga akan terjadi ketika pengembangan kebijakan baru menimbulkan potensi
risiko bagi masyarakat. Ketika informasi harus dirahasiakan, atau ketika pendekatannya menyimpang dari praktik yang ada, hal ini akan
menjelaskan alasannya.
Jika faktanya tidak pasti atau tidak diketahui, pemerintah akan berupaya memperjelas kesenjangan pengetahuan yang ada. Pihaknya akan
terbuka mengenai bagian mana yang melakukan kesalahan dan apa yang dilakukan untuk memperbaikinya.
HM Perbendaharaan
Area paling gelap pada Gambar 10.1 mewakili risiko kritis bagi organisasi. Bagi organisasi
yang agresif terhadap risiko, terdapat lebih sedikit risiko yang menjadi perhatian, sehingga
'semesta risiko' yang dipertimbangkan oleh dewan akan sangat terbatas. Ungkapan 'semesta
risiko' sering digunakan oleh auditor internal untuk mengidentifikasi prioritas audit. Bekerja
dengan 'alam semesta risiko' yang tertutup atau terbatas akan meningkatkan kemungkinan
terjadinya risiko signifikan yang tidak teridentifikasi yang berdampak pada organisasi. Setiap
pemangku kepentingan yang berbeda akan memiliki 'semesta risiko' yang berbeda dan
manajer risiko kemungkinan besar memiliki 'semesta risiko' yang mencakup semua risiko
yang telah diidentifikasi, ditambah risiko-risiko baru yang mulai muncul.
Machine Translated by Google
muncul.
Gambar 10.1 mengilustrasikan bahwa akan ada tingkat risiko yang dapat diambil dan
dimasukkan oleh organisasi ke dalam proses inti. Hal ini karena, terlepas dari kemungkinan
terjadinya risiko, dampaknya sangat kecil sehingga tidak signifikan jika risiko tersebut benar-benar
terjadi. Demikian pula, akan ada kemungkinan terjadinya suatu risiko yang dianggap sangat kecil
sehingga diasumsikan tidak akan terjadi, padahal akan sangat serius jika hal itu terjadi. Misalnya,
sebagian besar organisasi tidak mempertimbangkan konsekuensi dari pendaratan darurat jet
jumbo di lokasi mereka.
Krisis keuangan global adalah contoh keadaan dimana risiko-risiko tertentu dianggap sangat
kecil kemungkinannya sehingga dapat diabaikan. Beberapa bank bergantung pada pasar uang
grosir, namun kemungkinan kegagalan pasar ini dianggap terlalu kecil sehingga memerlukan
analisis lebih lanjut atau memerlukan pengembangan rencana darurat untuk merespons situasi
tersebut.
Di atas tingkat kemungkinan dan dampak minimum yang dapat ditoleransi, sejumlah risiko
dapat muncul. Secara umum, risiko dengan kemungkinan kecil/berdampak rendah akan dapat
ditoleransi, risiko dengan kemungkinan sedang/dampak sedang akan memerlukan beberapa
pertimbangan sebelum diterima, dan risiko dengan kemungkinan besar/berdampak tinggi tidak
akan dapat ditoleransi. Sikap keseluruhan suatu organisasi terhadap risiko dapat dijelaskan
dengan serangkaian 'kriteria risiko' dan ini adalah pendekatan yang diambil oleh ISO 31000.
Perlu dicatat bahwa tidak ada penyebutan risiko yang spesifik dalam ISO 31000 yang mendukung
pembahasan mengenai risiko. kriteria risiko. Perbedaan antara sikap terhadap risiko dan selera
terhadap risiko mungkin sulit dijelaskan, namun terdapat kesamaan dengan sikap terhadap
makanan dan selera terhadap makanan pada waktu tertentu. Sikap terhadap makanan merupakan
seperangkat kriteria yang ditetapkan atau jangka menengah hingga jangka panjang, namun
selera terhadap makanan mewakili kebutuhan segera untuk makan. Analisis yang sama dapat
diterapkan pada risiko, sehingga sikap risiko adalah kriteria risiko yang ditetapkan dan selera
risiko adalah kebutuhan yang lebih mendesak untuk mengambil risiko guna mencapai tujuan.
Organisasi perlu mengambil pendekatan risiko demi risiko ketika memutuskan apakah suatu
risiko dapat diterima. Organisasi yang berbeda akan menetapkan tingkat toleransi yang berbeda
dan ini akan menjadi indikasi sikap risiko. Banyak organisasi akan melakukan peninjauan risiko
secara kumulatif di mana semua eksposur risiko dijumlahkan, dan ini merupakan fitur dari
pendekatan manajemen risiko perusahaan. Organisasi kemudian akan dapat memutuskan
apakah paparan risiko secara keseluruhan dapat diterima dan dapat diterima
Machine Translated by Google
Saat mempertimbangkan sikap, persepsi, dan selera risiko, ada baiknya kita merenungkan fakta
bahwa individu tertentu mungkin lebih khawatir terhadap risiko yang berdampak rendah dengan
kemungkinan terjadinya yang tinggi (seperti kecelakaan mobil) dibandingkan dengan risiko yang
berdampak besar. risiko yang kecil kemungkinannya terjadi (seperti gempa bumi). Perbedaan
pendekatan ini sering kali tercermin dalam proses penilaian risiko dan dapat mempengaruhi cara dalam
memprioritaskan risiko-risiko yang signifikan.
Ketika semua risiko yang berpotensi signifikan telah diidentifikasi, salah satu pendekatannya adalah
dengan menanyakan seberapa besar kemungkinan masing-masing risiko tersebut akan terwujud di
atas ambang batas pengujian signifikansinya. Risiko-risiko tersebut kemudian dapat diprioritaskan
menjadi kemungkinan tinggi, kemungkinan sedang, dan kemungkinan rendah. Pendekatan alternatifnya
adalah dengan memprioritaskan risiko-risiko yang berpotensi signifikan dalam urutan kemungkinan
dampak yang sama. Risiko-risiko tersebut kemudian disajikan dalam bentuk dampak tinggi, dampak
sedang, dan dampak rendah.
Ada perbedaan sikap dan persepsi dalam pendekatan ini. Pendekatan pertama didasarkan pada
seberapa besar kemungkinan risiko tersebut menjadi signifikan, sedangkan pendekatan kedua
didasarkan pada seberapa besar dampak risiko ketika hal itu terjadi. Tak satu pun dari pendekatan ini
yang lebih baik dibandingkan yang lain, dan pendekatan mana yang lebih disukai oleh masing-masing
anggota dewan (atau dewan kolektif itu sendiri) berkaitan dengan sikap terhadap risiko, sebagaimana
dinyatakan dalam kriteria risiko organisasi. Dampak yang terkait dengan suatu risiko biasanya diukur
dalam kaitannya dengan dampak terhadap keuangan, infrastruktur, reputasi dan/atau pasar (FIRM).
Salah satu persyaratan utama manajemen risiko adalah konsekuensi peristiwa berdampak tinggi
terhadap strategi, taktik, operasi, dan kepatuhan (STOC) organisasi dapat dikelola dengan sukses.
Machine Translated by Google
Sebagai contoh yang menyatukan gagasan tentang selera risiko dan bahaya, pengendalian dan
peluang risiko, pertimbangkan keputusan untuk membeli mobil. Saat memutuskan mobil mana yang
akan dibeli, ada kebutuhan untuk mengevaluasi toleransi bahaya dan penerimaan ketidakpastian, serta
jumlah uang yang akan diinvestasikan untuk peluang memiliki kendaraan baru. Bersama-sama,
komponen-komponen ini mewakili selera risiko untuk membeli dan menjalankan mobil. Untuk mendapatkan
keuntungan dalam mengambil risiko membeli mobil, manfaat yang diperoleh harus melebihi biaya
yang dikeluarkan.
Jika melakukan evaluasi pembelian mobil berbasis risiko bertujuan untuk membantu proses
pengambilan keputusan, manfaat yang diharapkan dari kepemilikan mobil harus ditetapkan. Hal ini
setara dengan mengidentifikasi tujuan yang terkait dengan kepemilikan mobil.
Sebenarnya kemampuan finansial dan kemampuan menjalankan mobil juga perlu diperhatikan. Saat
membeli kendaraan baru, pembeli perlu memastikan bahwa kendaraan yang dipilih tidak menimbulkan
risiko dan biaya lebih besar dari yang diperkirakan. Risiko yang terkait dengan kepemilikan kendaraan
meliputi asuransi, kerusakan, perbaikan, kecelakaan, biaya servis dan asuransi, serta harga pembelian
dan perkiraan penyusutan tahunan.
Asumsikan keputusan telah diambil untuk membeli mobil bergengsi berusia dua tahun. Harga mobil
akan jauh lebih murah dibandingkan kendaraan baru dan biaya penyusutannya akan jauh lebih sedikit
(risiko peluang). Namun, biaya perbaikan dan pemeliharaan mungkin lebih tinggi dibandingkan kendaraan
baru (risiko pengendalian). Paparan terhadap kecelakaan, pencurian dan biaya perbaikan akan sama untuk
sebagian besar kendaraan (risiko bahaya).
Ingatlah bahwa peluang risiko meningkatkan kemungkinan pencapaian manfaat
memiliki mobil. Risiko pengendalian meningkatkan ketidakpastian atau keraguan dalam mencapai
manfaat tersebut dan risiko bahaya menghambat pencapaian manfaat kepemilikan mobil.
Machine Translated by Google
11
Sistem klasifikasi risiko
Risiko jangka pendek mempunyai kemampuan untuk mempengaruhi tujuan, ketergantungan utama
dan proses inti, dengan dampak yang bersifat langsung. Risiko-risiko ini dapat menyebabkan
gangguan operasional segera ketika peristiwa tersebut terjadi. Risiko jangka pendek sebagian besar
merupakan risiko bahaya, meskipun hal ini tidak selalu terjadi. Risiko-risiko ini biasanya terkait dengan
peristiwa-peristiwa mengganggu yang tidak direncanakan, namun juga dapat dikaitkan dengan
pengendalian biaya dalam organisasi. Risiko jangka pendek biasanya berdampak pada kemampuan
organisasi untuk mempertahankan proses inti yang efektif dan efisien yang berkaitan dengan
kelangsungan dan pemantauan operasi rutin.
Ada kebutuhan untuk memitigasi risiko jangka pendek.
Risiko jangka menengah mempunyai kemampuan untuk berdampak pada organisasi setelah
penundaan (pendek) setelah peristiwa tersebut terjadi. Biasanya, dampak risiko jangka menengah
tidak akan langsung terlihat, namun akan terlihat dalam beberapa bulan, atau paling lama satu tahun
setelah kejadian. Risiko jangka menengah biasanya berdampak pada kemampuan organisasi untuk
mempertahankan proses inti yang efektif dan efisien yang berkaitan dengan pengelolaan taktik,
proyek, dan program perubahan lainnya. Risiko jangka menengah ini sering dikaitkan dengan proyek,
taktik, peningkatan, dan lain-lain
Machine Translated by Google
perkembangan lainnya. Terdapat kebutuhan untuk mengelola risiko-risiko jangka menengah ini.
Risiko jangka panjang memiliki kemampuan untuk berdampak pada organisasi beberapa saat setelah
peristiwa tersebut terjadi. Biasanya, dampaknya dapat terjadi antara satu hingga lima tahun (atau lebih)
setelah peristiwa tersebut. Risiko jangka panjang biasanya berdampak pada kemampuan organisasi untuk
mempertahankan proses inti yang berkaitan dengan pengembangan dan penyampaian strategi yang
efektif dan efisien. Risiko-risiko ini terkait dengan strategi, namun tidak boleh dianggap hanya terkait
dengan manajemen peluang. Risiko yang berpotensi melemahkan strategi dan keberhasilan penerapan
strategi dapat menghancurkan lebih banyak nilai dibandingkan risiko terhadap operasi dan taktik. Meskipun
risiko jangka panjang dapat melemahkan organisasi, terdapat kebutuhan untuk memperhitungkan tingkat
risiko yang sesuai yang tertanam dalam strategi.
Gambar 11.1 menggambarkan risiko jangka pendek, jangka menengah, dan jangka panjang dilihat dari
sumber risikonya. Risiko timbul dari operasi, taktik dan strategi yang diterapkan oleh organisasi. Demi
kelengkapan, kategori risiko kepatuhan juga dimasukkan, karena ini merupakan kategori tambahan pada
operasi, taktik, dan strategi. Kebutuhan untuk merespons risiko berdasarkan apakah risiko tersebut timbul
dari strategi, taktik, operasi, atau kepatuhan (STOC) dirangkum dalam rangkuman, pengelolaan, mitigasi,
dan minimalisasi (EM3).
Tujuan dari ilustrasi manajemen risiko adalah untuk menunjukkan bahwa sumber risiko dapat menyebabkan
peristiwa yang memiliki konsekuensi.
Machine Translated by Google
Ketika suatu peristiwa bahaya terjadi maka akan berdampak pada fitur organisasi yang
dapat menimbulkan gangguan. Oleh karena itu, peristiwa yang ditampilkan di tengah dasi
kupu-kupu akan dicantumkan berdasarkan komponen organisasi yang terkena dampak
peristiwa tersebut. Komponen tersebut adalah manusia, lokasi, proses dan produk (4P),
sebagaimana tercantum pada Tabel 3.2. Perlu dicatat bahwa 4P juga dapat dianggap
sebagai sistem klasifikasi risiko.
Penggunaan dasi kupu-kupu untuk mewakili manajemen risiko kini semakin umum.
Gambar 11.1 memberikan contoh penggunaan dasi kupu-kupu untuk mewakili tiga
komponen sumber risiko, kejadian dan dampak. Dalam representasi tingkat tinggi ini,
sumber risiko diidentifikasi sebagai strategis, taktis, operasional, atau kepatuhan. Dampak
direpresentasikan dengan menggunakan kartu skor risiko FIRM, seperti dijelaskan pada
Tabel 11.2. Yang menjadi pusat dari peristiwa tersebut adalah peristiwa, seperti yang
dijelaskan oleh komponen organisasi yang akan terkena dampak peristiwa tersebut.
Komponen-komponen ini direpresentasikan dengan cara yang sama seperti pada Tabel
3.2 sebagai orang, tempat, proses dan produk.
identifikasi diperlukan. Sistem klasifikasi risiko yang diformalkan memungkinkan organisasi untuk
mengidentifikasi di mana risiko serupa ada dalam organisasi.
Klasifikasi risiko juga memungkinkan organisasi untuk mengidentifikasi siapa yang harus bertanggung
jawab untuk menetapkan strategi pengelolaan risiko terkait atau serupa.
Yang terakhir, klasifikasi risiko yang tepat akan memungkinkan organisasi untuk mengidentifikasi
dengan lebih baik selera risiko, kapasitas risiko, dan total eksposur risiko dalam kaitannya dengan
masing-masing risiko, kelompok risiko serupa, atau jenis risiko umum.
Kartu skor risiko FIRM menyediakan struktur seperti itu, namun terdapat banyak sistem klasifikasi
risiko yang tersedia. Kartu skor FIRM dibuat berdasarkan berbagai aspek risiko, termasuk skala waktu
dampak, sifat dampak, apakah risiko tersebut berupa bahaya, pengendalian atau peluang, dan
keseluruhan paparan risiko serta kapasitas risiko organisasi. Judul kartu skor FIRM mengatur
klasifikasi risiko terutama yang bersifat finansial, infrastruktur, reputasi, atau pasar.
Kartu skor risiko FIRM juga dapat digunakan sebagai acuan untuk mengidentifikasi tujuan
perusahaan, ekspektasi pemangku kepentingan, dan yang paling penting, ketergantungan utama.
Kartu skor merupakan tambahan penting pada alat dan teknik manajemen risiko yang tersedia saat
ini. Hal ini disusun dengan menganalisis bagaimana setiap risiko dapat berdampak pada
ketergantungan utama yang mendukung setiap proses inti. Penggunaan kartu skor risiko FIRM
memfasilitasi penilaian risiko yang kuat dengan memastikan bahwa kemungkinan kegagalan dalam
mengidentifikasi risiko yang signifikan dapat dikurangi.
Seperti banyak keputusan manajemen risiko lainnya, organisasilah yang memutuskan sistem
klasifikasi risiko mana yang paling memenuhi kebutuhan dan persyaratannya. Selain diklasifikasikan
berdasarkan skala waktu dampaknya, risiko juga dapat dikelompokkan berdasarkan sifat risiko,
sumber risiko dan/atau sifat dampak atau besaran dan sifat akibat.
Organisasi akan memilih sistem klasifikasi risiko yang paling sesuai dengan ukuran, sifat dan
kompleksitasnya. Misalnya, bank dan lembaga keuangan lainnya hampir secara universal
mengklasifikasikan risiko menjadi risiko pasar, kredit, dan operasional. Sistem klasifikasi risiko lain
yang umum digunakan dan juga dapat digunakan untuk memberikan struktur pada lokakarya penilaian
risiko adalah analisis SWOT dan PESTLE.
manajemen risiko, dan bukan gambaran umum tingkat tinggi yang disajikan pada Gambar 11.1.
Gambar 11.2 menggunakan dasi kupu-kupu untuk mewakili sumber potensi kerusakan pada
lokasi dan mempertahankan dampak keuangan, infrastruktur, reputasi, dan pasar. Sumber
potensi kerusakan bangunan diidentifikasi sebagai banjir, kebakaran, gempa bumi, dan
pembobolan.
Machine Translated by Google
Deskripsi Resiko yang bisa Risiko yang akan Resiko yang akan Risiko yang akan
pembiayaan risiko
wewenang
Terdapat kesamaan dalam cara pengklasifikasian risiko berdasarkan sistem klasifikasi risiko
yang berbeda. Namun terdapat juga perbedaan, termasuk fakta bahwa risiko operasional disebut
sebagai risiko infrastruktur dalam kartu penilaian risiko FIRM. COSO mempunyai pandangan
sempit terhadap risiko keuangan, dengan penekanan khusus pada pelaporan. Sistem yang
berbeda telah dirancang dalam keadaan yang berbeda dan oleh organisasi yang berbeda; oleh
karena itu, kategorinya akan serupa tetapi tidak identik. Dalam menjelaskan berbagai sistem
klasifikasi risiko, Tabel 11.1 mengilustrasikan bahwa banyak sistem klasifikasi menawarkan
kombinasi kategori sumber, kejadian, dampak dan konsekuensi.
British Standard BS 31100 menguraikan keuntungan memiliki sistem klasifikasi risiko. Manfaat-
manfaat ini termasuk membantu menentukan ruang lingkup manajemen risiko dalam organisasi,
menyediakan struktur dan kerangka kerja untuk identifikasi risiko, dan memberikan peluang untuk
menggabungkan jenis risiko serupa di seluruh organisasi. ISO 31000 tidak menyarankan sistem
klasifikasi risiko. Secara ringkas, contoh keuntungan memiliki sistem klasifikasi risiko, antara lain:
Akumulasi risiko yang dapat melemahkan ketergantungan utama atau tujuan bisnis dan
menjadikannya rentan dapat diidentifikasi dengan lebih mudah.
Tanggung jawab untuk meningkatkan pengelolaan setiap jenis risiko yang berbeda dapat
lebih mudah diidentifikasi/dialokasikan jika risiko diklasifikasikan.
Keputusan dan pengetahuan tentang jenis pengendalian yang akan diterapkan dapat diambil
dengan dasar yang lebih terstruktur dan terinformasi.
Keadaan dimana selera risiko organisasi terlampaui (atau kriteria risiko tidak diterapkan)
dapat lebih mudah diidentifikasi.
Machine Translated by Google
British Standard menyatakan bahwa jumlah dan jenis kategori risiko yang digunakan
harus dipilih agar sesuai dengan ukuran, tujuan, sifat, kompleksitas dan konteks
organisasi. Kategori tersebut juga harus mencerminkan kematangan manajemen
risiko dalam organisasi. Mungkin sistem klasifikasi risiko yang paling umum
digunakan adalah sistem yang ditawarkan oleh kubus COSO ERM dan standar
manajemen risiko IRM.
Namun, sistem klasifikasi risiko COSO tidak selalu membantu dan mengandung
beberapa kelemahan. Misalnya, risiko strategis mungkin juga terdapat dalam
operasional, pelaporan, dan kepatuhan. Terlepas dari kelemahan-kelemahan ini,
kubus COSO ERM digunakan secara luas karena merupakan pendekatan yang
diakui dan direkomendasikan untuk memenuhi persyaratan Sarbanes-Oxley Act.
Perlu dicatat bahwa kubus COSO ERM (2004) adalah versi COSO yang lebih
luas, dan juga mencakup persyaratan kubus Kontrol Internal COSO (2013) yang
baru saja diperbarui. Komponen pelaporan kubus Pengendalian Internal COSO
secara khusus berkaitan dengan keakuratan pelaporan data keuangan dan
dirancang untuk memenuhi persyaratan pasal 404 Sarbanes–Oxley Act.
Keempat judul kartu skor risiko FIRM menawarkan sistem klasifikasi untuk risiko-
risiko yang menjadi ketergantungan utama dalam organisasi. Sistem klasifikasi juga
mencerminkan gagasan bahwa setiap organisasi harus memperhatikan keuangan,
infrastruktur, reputasi, dan keberhasilan pasarnya. Untuk memberikan cakupan
yang lebih luas terhadap kesuksesan komersial, judul kartu penilaian risiko FIRM
adalah sebagai berikut:
F Keuangan;
SAYA
Infrastruktur;
R Reputasi;
M Pasar.
Machine Translated by Google
Fitur-fitur kartu skor risiko FIRM disajikan pada Tabel 11.2. Keuangan dan
risiko infrastruktur dianggap bersifat internal organisasi, sedangkan risiko reputasi dan
pasar bersifat eksternal. Selain itu, risiko finansial dan pasar dapat dengan mudah diukur
secara finansial, sedangkan risiko infrastruktur dan reputasi lebih sulit diukur.
Dimasukkannya risiko reputasi sebagai kategori risiko tersendiri dalam kartu penilaian
risiko FIRM tidak diterima secara universal. Kadang-kadang ada pendapat bahwa
rusaknya reputasi merupakan konsekuensi dari timbulnya risiko-risiko lain dan tidak boleh
dianggap sebagai kategori risiko terpisah. Namun, jika kita mengambil pandangan risiko
yang lebih luas, menjadi jelas bahwa reputasi sangatlah penting. Hal ini sangat penting
ketika organisasi ingin menggunakan nama merek mereka untuk memasuki pasar
tambahan, atau mencapai 'peregangan merek' sebagaimana yang kadang-kadang disebut.
Bagaimanapun, terdapat argumen yang lebih luas bahwa semua risiko merupakan
konsekuensi dari keputusan bisnis yang lebih luas. Mengadopsi strategi tertentu,
menjalankan proyek dan/atau melanjutkan operasi yang sudah ada, semuanya melibatkan
risiko. Jika organisasi tidak melakukan aktivitas strategis, taktis atau operasional ini,
maka tidak akan ada risiko.
Sosiologis Norma dan harapan budaya, kesadaran kesehatan, laju pertumbuhan penduduk,
distribusi usia, sikap karir, penekanan pada keselamatan, pemanasan
global.
Teknologi Perubahan teknologi yang berdampak pada produk atau layanan Anda,
teknologi baru, hambatan masuk ke pasar tertentu, keputusan
keuangan seperti outsourcing dan rantai pasokan.
Aspek Etis atau Etis dan lingkungan, meskipun banyak dari Lingkungan, faktor-faktor ini
bersifat ekonomi atau sosial.
Sistem klasifikasi risiko PESTLE sering dianggap paling relevan dengan analisis risiko
eksternal. Risiko eksternal dalam konteks ini dimaksudkan untuk merujuk pada konteks eksternal
yang tidak sepenuhnya berada dalam kendali organisasi tetapi dapat diambil tindakan untuk
memitigasi risiko tersebut. Seringkali disarankan agar sistem klasifikasi risiko PESTLE digunakan
bersama dengan analisis kekuatan, kelemahan, peluang dan ancaman (SWOT) yang dihadapi
organisasi. Analisis SWOT dari masing-masing enam kategori PESTLE direkomendasikan oleh
Orange Book.
Keuntungan sistem klasifikasi risiko PESTLE adalah memberikan analisis yang jelas mengenai
permasalahan yang harus ditangani dalam konteks eksternal.
Pendekatan PESTLE mungkin paling dapat diterapkan di sektor publik, karena faktor-faktor
eksternal yang dianalisis dengan pendekatan PESTLE sangat relevan.
Analisis PESTLE adalah struktur yang umum digunakan untuk tujuan identifikasi risiko dalam
lokakarya penilaian risiko. PESTLE juga dapat dianggap sebagai sistem klasifikasi risiko dengan
penekanan pada risiko bahaya. Ada
Machine Translated by Google
beberapa kelebihan dan kekurangan pendekatan PESTLE. Keuntungannya adalah sebagai berikut:
kerangka sederhana;
Namun, ada kelemahan tertentu yang terkait dengan penggunaan analisis PESTLE sebagai alat untuk
mengidentifikasi risiko. Kerugian tersebut adalah sebagai berikut:
dapat terlalu menyederhanakan jumlah data yang digunakan untuk mengambil keputusan;
akses terhadap sumber data eksternal yang berkualitas dapat memakan waktu dan biaya;
sulit mengantisipasi perkembangan yang mungkin mempengaruhi suatu organisasi di masa depan;
Setiap organisasi harus mengidentifikasi sistem klasifikasi risiko yang sesuai dengan kebutuhan khusus
dan sifat risiko yang dihadapi organisasi.
Machine Translated by Google
Risiko perlu diklasifikasi berdasarkan sumber atau dampaknya serta skala waktu
dampaknya. Oleh karena itu, kombinasi kartu skor risiko FIRM dan klasifikasi risiko sebagai
risiko bahaya, pengendalian, dan peluang dapat digunakan untuk memberikan gambaran
yang lengkap.
Dimungkinkan untuk merancang matriks risiko pribadi yang mengklasifikasikan risiko
berdasarkan kartu skor risiko FIRM dan juga mengklasifikasikannya berdasarkan jangka
pendek, jangka menengah, atau jangka panjang. Hal ini akan memberikan grid permasalahan
yang akan membantu identifikasi seluruh risiko signifikan yang mungkin terjadi, dengan
menggunakan format yang mudah dipahami. Contoh grid yang lengkap disajikan pada Tabel
11.4, yang menyajikan permasalahan yang mungkin dihadapi seseorang sehingga risikonya
dapat diidentifikasi.
Peluang pengaturan
bisnis
Sumbangan amal
pekerjaan berkelanjutan
Jika sistem klasifikasi digunakan, maka ada kemungkinan risiko kepatuhan tidak dapat
teridentifikasi, karena risiko tersebut belum tentu sesuai dengan sistem klasifikasi berdasarkan
rentang waktu. Kesulitan lebih lanjut yang terkait dengan risiko kepatuhan adalah seringnya
diperlukan peristiwa pemicu. Dengan kata lain, suatu organisasi dapat terkena sejumlah risiko
kepatuhan namun mungkin sulit untuk mengidentifikasi masalah kepatuhan tertentu yang akan
menjadi masalah.
Tabel 11.4 mengilustrasikan keseimbangan permasalahan operasional, taktis dan strategis
untuk masing-masing dari empat judul kartu penilaian risiko FIRM. Dapat dilihat bahwa risiko
bahaya berkaitan erat dengan permasalahan infrastruktur dan risiko strategis lebih mungkin
timbul sehubungan dengan permasalahan yang berkaitan dengan pasar.
Sistem klasifikasi risiko yang dibahas dalam bab ini paling mudah diterapkan pada analisis
risiko bahaya, kecuali standar IRM dan kubus COSO ERM menawarkan risiko strategis
sebagai kategori risiko terpisah. Organisasilah yang akan memutuskan apakah memasukkan
kategori risiko strategis akan bermanfaat dan perlu. Kartu skor risiko FIRM menawarkan cara
untuk mengklasifikasikan risiko strategis dan proyek (atau taktis) berdasarkan dampak utama
yang terkait dengan risiko tersebut, jika risiko tersebut terwujud.
Seperti halnya proses inti lainnya dalam suatu organisasi, klasifikasi risiko yang dihadapi
proyek sangatlah penting, sehingga respons yang tepat terhadap setiap risiko dapat
diidentifikasi. Mengingat bahwa persyaratan dari setiap proyek adalah bahwa proyek tersebut
harus diselesaikan tepat waktu, sesuai anggaran dan sesuai spesifikasi, komponen-komponen
ini menawarkan cara untuk mengklasifikasikan risiko proyek. Daftar terpisah dapat dibuat
untuk risiko-risiko yang mengancam jangka waktu, risiko-risiko yang mengancam anggaran,
dan risiko-risiko yang akan mempengaruhi spesifikasi akhir, kinerja atau kualitas hasil proyek.
Machine Translated by Google
Tidak ada sistem klasifikasi risiko standar yang dapat digunakan oleh semua jenis organisasi. Bank
menghadapi sejumlah besar risiko dan risiko ini biasanya dibagi menjadi tiga kategori utama yaitu risiko pasar,
risiko kredit, dan risiko operasional. Seringkali, kerangka dan arsitektur manajemen risiko berbeda
untuk berbagai jenis risiko.
Risiko pasar adalah risiko yang terjadi akibat fluktuasi pasar keuangan. Aset
dan kewajiban bank terkena berbagai macam volatilitas pasar, seperti perubahan suku bunga dan nilai
tukar mata uang asing. Risiko pasar pada dasarnya adalah risiko peluang yang diterima oleh bank.
Ketika bank memberikan pinjaman kepada nasabah, ada risiko bawaan berupa uang tidak kembali, dan
inilah risiko kredit. Risiko kredit hanyalah kemungkinan terjadinya kondisi buruk dimana nasabah tidak membayar
kembali jumlah pinjamannya. Ini terutama merupakan risiko pengendalian yang harus dikelola.
Risiko operasional berkaitan dengan kegagalan sistem internal, proses, teknologi dan manusia, dan
faktor eksternal seperti bencana alam, kebakaran, dll. Basel II mendefinisikan risiko operasional sebagai
'risiko kerugian langsung atau tidak langsung yang diakibatkan oleh tidak memadai atau gagalnya proses
internal, orang dan sistem atau dari peristiwa eksternal. Risiko operasional semakin menonjol karena adanya
kebutuhan untuk mengukur eksposur risiko operasional, meningkatnya penggunaan teknologi dan kesadaran
akan peran penting yang dimainkan oleh masyarakat dalam proses sektor keuangan. Risiko operasional
pada dasarnya adalah risiko bahaya yang harus dimitigasi.
Machine Translated by Google
12
Analisis dan evaluasi risiko
Tabel 11.4 memaparkan berbagai permasalahan yang mungkin dihadapi oleh seorang individu.
Dengan menggunakan 'grid isu' ini, individu akan mampu mengidentifikasi prioritas risiko signifikan
yang mereka hadapi. Risiko-risiko tersebut diilustrasikan dalam matriks risiko yang ditunjukkan
pada Gambar 12.1. Setelah menempatkan berbagai risiko pada matriks risiko, kepentingan relatif
dari risiko tersebut dapat dengan mudah diidentifikasi. Pandangan keseluruhan kemudian dapat
diambil mengenai apakah profil risiko (atau paparan risiko) berada dalam batas yang dapat
diterima dan sesuai dengan selera risiko dan kapasitas risiko individu.
Machine Translated by Google
Organisasi besar sering kali menggunakan matriks risiko sebagai alat untuk merangkum profil
risiko mereka. Matriks risiko sangat berguna dan dapat digunakan untuk berbagai aplikasi. Hal ini
juga dapat digunakan untuk mengidentifikasi jenis respons risiko yang paling mungkin dilakukan.
Dampak tidak sama dengan besarnya, karena suatu risiko mungkin mempunyai nilai yang tinggi
Machine Translated by Google
besarnya peristiwa, namun dampak dan konsekuensinya mungkin lebih kecil. Sebagai contoh
lain, sebuah perusahaan angkutan jalan raya mungkin mengalami kehilangan total salah satu
kendaraannya, namun tergantung pada keadaan sebenarnya, hal ini mungkin mempunyai
dampak keseluruhan yang sangat kecil terhadap bisnisnya. Hal ini terutama berlaku jika
perusahaan tidak memiliki pekerjaan yang cukup untuk memanfaatkan sepenuhnya jenis
kendaraan yang menyebabkan kerugian.
GAMBAR 12.2 Tingkat risiko yang melekat, saat ini, dan target
manajer adalah tingkat target. Hal ini diilustrasikan pada Gambar 12.2 dengan diperkenalkannya
Pengendalian 2, yang dimaksudkan untuk mengurangi dampak risiko, sehingga tingkat target
risiko berada dalam kuadran kiri bawah matriks risiko, atau zona toleransi/nyaman. .
Ketika berupaya menetapkan target tingkat risiko, sebuah konsep yang sering digunakan oleh
praktisi kesehatan dan keselamatan adalah berupaya mengurangi risiko ke tingkat 'serendah
mungkin yang dapat dipraktikkan secara wajar' (ALARP). ALARP adalah salah satu prinsip dasar
manajemen risiko untuk risiko kesehatan dan keselamatan. Pengelolaan risiko tidak perlu dilakukan
sampai pada titik di mana risiko tersebut dapat dihilangkan, namun pada titik di mana biaya
pengendalian tambahan akan melebihi manfaatnya. Konsep ALARP diilustrasikan pada kotak teks
di bawah ini.
Organisasi perlu menyetujui definisi kemungkinan dan dampak. Kemungkinan dan dampak
dapat digambarkan dalam bentuk rendah, sedang, tinggi, dan sangat tinggi. Banyak organisasi
perlu memberikan penjelasan yang lebih spesifik daripada deskripsi umum ini, tergantung pada
jenis risiko dan ukuran, sifat dan kompleksitas organisasi. Karena dampak digunakan untuk
menggambarkan rentang konsekuensi, maka lebih penting bagi organisasi untuk menggambarkan
dampak yang rendah, sedang, tinggi, dan sangat tinggi. Harus ada konsistensi antara definisi
yang digunakan untuk dampak dan uji tolok ukur signifikansi yang dijelaskan pada Tabel 12.1.
Kartu skor Tes tolok ukur yang umum untuk mengetahui signifikansi
risiko PERUSAHAAN
Dampak Pasar pada neraca perputaran 0,5% Keuntungan dan kerugian dampak laba tahunan
1%.
Machine Translated by Google
Tingkat kepercayaan pengendalian juga dapat digambarkan pada matriks risiko. Jika efektivitas
suatu pengendalian tidak pasti, diharapkan variabilitas hasil yang lebih besar. Hal ini dapat
ditunjukkan pada matriks risiko dengan menggunakan lingkaran atau elips untuk mewakili suatu
risiko, bukan mewakili risiko sebagai satu titik pada matriks risiko. Dengan melakukan hal ini,
tingkat ketidakpastian atau variabilitas hasil dapat diilustrasikan sehubungan dengan kemungkinan
dan dampak terjadinya peristiwa tersebut.
Pertimbangan penting ketika melakukan penilaian risiko dan ketika mengevaluasi efektivitas
manajemen risiko secara umum, dan tindakan pengendalian risiko pada khususnya, adalah
tingkat kepercayaan yang harus diberikan pada pengendalian tertentu. Ada dua pertanyaan yang
perlu diajukan: 'Seberapa yakin kita bahwa ini merupakan pengendalian yang benar?' dan
'Seberapa yakin kami bahwa hal ini diterapkan sepenuhnya dan efektif dalam praktiknya?' Ketika
ada kepercayaan yang terbatas pada
Machine Translated by Google
efektivitas suatu pengendalian, maka audit internal akan berperan untuk menguji pengendalian tersebut dan
memberikan informasi mengenai kemungkinan tingkat variabilitas hasil, jika risiko tersebut terwujud.
Merupakan tanggung jawab auditor internal untuk memeriksa apakah pengendalian yang benar telah dipilih dan
bahwa pengendalian tersebut berfungsi dengan benar dalam praktiknya. Auditor internal mengacu pada pengendalian
yang efektif dan efisien ketika meninjau poin-poin ini. Penggunaan efektif dan efisien juga disertakan dalam buku ini
dalam kaitannya dengan proses inti organisasi. Melakukan pengujian pengendalian merupakan fungsi utama yang
dipenuhi oleh audit internal dan pentingnya pengujian pengendalian juga harus disadari oleh praktisi manajemen risiko.
Manajemen perlu menerima jaminan atas pengendalian yang memadai dan hal ini dapat berasal dari aktivitas
audit internal, atau pengukuran keluaran aktivitas dan proyek, serta dari laporan manajemen. Tanggung jawab untuk
merancang dan menerapkan pengendalian serta mengaudit efektivitas dan efisiensi pengendalian harus dialokasikan
risiko dalam kaitannya dengan pengelolaan risiko bahaya. Opsi-opsi yang disajikan untuk respons risiko dapat
digambarkan sebagai 4T manajemen bahaya, yaitu: menoleransi, menangani, mentransfer, dan mengakhiri.
Respon risiko 4T dapat diilustrasikan pada matriks risiko sederhana dan hal ini dapat dilihat pada Gambar 15.1.
Angka ini menunjukkan bahwa pada masing-masing empat kuadran matriks risiko, salah satu dari 4T akan dominan,
sebagai berikut:
Toleransi akan menjadi respons yang dominan terhadap risiko-risiko dengan kemungkinan rendah/berdampak
rendah.
Perlakuan akan menjadi respons yang dominan terhadap risiko-risiko yang kemungkinan besar/berdampak rendah.
Transfer akan menjadi respons yang dominan terhadap risiko yang berdampak tinggi/kemungkinan kecil.
Penghentian akan menjadi respons dominan terhadap risiko berdampak tinggi/kemungkinan besar.
Machine Translated by Google
Respons terkait risiko pengendalian dan peluang dibahas di Bab 15. Pilihan untuk merespons risiko
peluang diidentifikasi sebagai 4E dan pengambilan keputusan sehubungan dengan peluang dijelaskan
dalam istilah 5E.
Penting untuk dicatat bahwa tanggapan-tanggapan ini direpresentasikan sebagai tanggapan yang
dominan atau yang paling mungkin terjadi di setiap kuadran, namun keadaan mungkin menentukan
bahwa tanggapan lain mungkin diperlukan juga, atau sebagai gantinya.
Respons yang berbeda dan/atau tambahan mungkin diperlukan, tergantung pada keadaan.
Misalnya, jika risiko berdampak besar/kemungkinan besar tertanam dalam aktivitas yang bersifat
penting, maka risiko tersebut mungkin tidak dapat dihindari. Dalam kasus ini, organisasi tidak mungkin
menghentikan risiko tersebut.
Kesulitan dalam menyajikan matriks risiko sederhana yang menunjukkan respons risiko 4T adalah
karena matriks tersebut bertemu di pusat. Tentu saja, hal ini tidak bisa sesederhana seperti yang
disarankan, karena perubahan kecil dalam kemungkinan dan dampak suatu risiko dapat
memindahkannya dari kuadran terminasi ke kuadran toleransi. Pendekatan yang sedikit dimodifikasi
yang membuat analisis ini lebih realistis dibahas di Bab 16.
Kesulitan praktis yang dihadapi banyak organisasi adalah bahwa mereka mungkin terpaksa
menahan risiko yang diketahui berada di luar selera risiko, atau bahkan kapasitas risiko organisasi.
Misalnya, otoritas pemadam kebakaran mungkin harus menerima keadaan di mana petugas pemadam
kebakaran akan menghadapi tingkat risiko kritis yang tidak mempunyai pilihan lain selain ditoleransi
oleh organisasi, meskipun semua pengendalian yang mungkin telah diterapkan. Ketika organisasi
harus menoleransi risiko yang berada pada tingkat kritis, biasanya diperlukan peningkatan pemantauan
terhadap risiko tersebut. Hal ini akan memungkinkan organisasi untuk memastikan bahwa mereka
mengambil kesempatan sedini mungkin untuk menerapkan pengendalian yang ditingkatkan segera
setelah pengendalian tersebut tersedia.
Signifikansi risiko
Saat melakukan penilaian risiko, sangatlah umum untuk mengidentifikasi seratus atau lebih risiko
yang dapat berdampak pada tujuan, proses inti, atau ketergantungan utama yang sedang
dipertimbangkan. Jumlah risiko ini tidak dapat dikelola sehingga diperlukan suatu metode untuk
mengurangi jumlah risiko yang dianggap sebagai masalah prioritas.
Machine Translated by Google
pengelolaan.
Agar suatu organisasi dapat berkonsentrasi pada risiko yang signifikan, diperlukan
pengujian signifikansi risiko. Tabel 12.1 memberikan saran mengenai sifat pengujian
benchmark yang dapat digunakan untuk menentukan apakah suatu risiko signifikan. Untuk
risiko yang mempunyai dampak finansial atau komersial, uji tolok ukurnya kemungkinan
besar didasarkan pada nilai moneter. Untuk risiko yang dapat mengganggu infrastruktur
atau operasional rutin organisasi, uji tolok ukur berdasarkan dampak, biaya, dan durasi
gangguan adalah hal yang tepat. Untuk risiko reputasi, tolok ukur yang paling mungkin
digunakan adalah berdasarkan publisitas buruk yang akan terjadi jika risiko tersebut
menjadi kenyataan.
Hal ini dapat bervariasi sesuai dengan sifat risiko dan apakah risiko tersebut bersifat
finansial atau non-finansial. Untuk organisasi besar, mengidentifikasi signifikansi pengujian
keuangan dapat dilakukan dengan beberapa cara. Banyak organisasi mempunyai prosedur
otorisasi untuk mengeluarkan uang, sehingga pengujian signifikansi risiko harus sesuai
dengan tingkat otorisasi, yang sering kali dituangkan dalam dokumen formal yang disebut
sebagai 'pendelegasian wewenang'.
Untuk organisasi besar, persetujuan dewan penuh mungkin diperlukan untuk pengeluaran
yang melebihi ambang batas keuangan tertentu. Ini merupakan indikasi jumlah uang yang
dianggap signifikan oleh organisasi. Tes lainnya mencakup persentase laba yang
dianggarkan untuk tahun tersebut atau persentase dari nilai neraca (atau cadangan)
organisasi. Biasanya, 5 persen dari laba tahunan atau 0,25 persen dari neraca atau 0,5
persen dari omset tahunan merupakan pengujian yang tepat untuk mengetahui
signifikansinya. Untuk organisasi dengan neraca sebesar £2 miliar, omset tahunan sebesar
£1 miliar, dan laba tahunan yang direncanakan sebesar £100 juta, ambang batas finansial
yang signifikan adalah £5 juta.
Batasan keuangan dapat digunakan untuk menguji apakah suatu risiko signifikan dalam
kaitannya dengan segmen risiko keuangan dan pasar pada kartu penilaian risiko FIRM.
Untuk segmen infrastruktur dan reputasi, mengidentifikasi uji tolok ukur signifikansinya
mungkin lebih sulit. Salah satu pengujian yang penting terhadap risiko infrastruktur adalah
dengan menanyakan apakah risiko tersebut akan mengganggu operasi normal selama
lebih dari (katakanlah) setengah hari. Untuk risiko reputasi, pengujian signifikansinya
mungkin dilakukan dengan menentukan bagaimana peristiwa tersebut akan dilaporkan.
Sebuah laporan di halaman depan surat kabar lokal atau pers nasional mungkin merupakan
indikasi bahwa suatu risiko harus dianggap signifikan.
Machine Translated by Google
Bagi suatu organisasi, ada kemungkinan bahwa auditor eksternal dapat mengindikasikan
bahwa jumlah £1 juta akan dianggap sebagai jumlah yang material ketika menyusun
laporan organisasi. Hal ini akan memberikan panduan kepada manajemen perusahaan
untuk menggunakan jumlah tersebut sebagai tolok ukur uji signifikansi, meskipun mungkin
lebih rendah dari perhitungan di atas. Menerapkan pengujian ini selama lokakarya penilaian
risiko dapat mengurangi jumlah risiko yang perlu dipertimbangkan lebih lanjut menjadi
sekitar 20 risiko. Tahap selanjutnya adalah mengidentifikasi seberapa besar kemungkinan
masing-masing dari 20 risiko yang berpotensi signifikan tersebut terwujud pada atau di
atas tingkat ambang batas keuangan. Matriks risiko dapat digunakan untuk mencatat dan
menampilkan hasilnya.
Kapasitas risiko
Ada beberapa aspek yang penting ketika sebuah organisasi memutuskan seberapa besar
risiko yang harus diambil. Pendekatan yang berbeda akan diambil untuk jenis risiko yang
berbeda. Resiko bahaya akan menimbulkan toleransi terhadap bahaya, resiko pengendalian
akan menimbulkan penerimaan pengendalian dan resiko peluang akan menimbulkan
selera investasi. Secara keseluruhan, organisasi akan mempunyai eksposur risiko total.
Ini adalah jumlah total risiko yang diambil organisasi dalam tiga kategori ini. Risiko
kepatuhan juga akan muncul, namun sebagian besar organisasi berupaya meminimalkan
risiko kepatuhan dan menerapkan kontrol kepatuhan yang diperlukan ke dalam proses inti.
Eksposur risiko adalah risiko aktual yang diambil oleh organisasi dan hal ini mungkin
tidak sama dengan selera risiko yang diyakini dewan sesuai untuk organisasi. Ada juga
ukuran risiko penting lainnya, yaitu kapasitas risiko organisasi. Ini adalah ukuran seberapa
besar risiko yang harus atau mampu diambil oleh organisasi. Semua cara menganalisis
risiko ini harus sesuai dengan sikap organisasi terhadap risiko.
Secara sederhana, selera risiko dewan harus berada dalam kapasitas risiko organisasi
dan lebih besar atau sama dengan eksposur risiko aktual yang dihadapi organisasi. Salah
satu faktor yang berkontribusi terhadap krisis keuangan global adalah bahwa lembaga-
lembaga keuangan tertentu dihadapkan pada tingkat risiko yang melebihi kemampuan
lembaga-lembaga tersebut dalam menanggung risiko.
Machine Translated by Google
Tidak pantas bagi sebuah organisasi untuk memulai sebuah proyek yang dapat menghabiskan
seluruh sumber dayanya. Kapasitas organisasi untuk menerima risiko akan bergantung pada
kekuatan keuangannya, ketahanan infrastrukturnya, kekuatan reputasi dan mereknya, serta
sifat kompetitif pasar di mana organisasi beroperasi.
Semakin cepat pasar berubah, semakin besar pula kapasitas risiko yang harus dimiliki
organisasi. Misalnya, jika suatu organisasi menghadapi perubahan teknologi yang signifikan,
pilihan strategisnya mungkin terbatas.
Pertimbangkan sebuah organisasi yang terlibat dalam pembuatan pemutar DVD ketika teknologi
streaming mulai mengambil alih. Organisasi akan dihadapkan pada risiko signifikan terkait
perubahan teknologi dan perlu mengembangkan model bisnis baru. Perusahaan harus
memperoleh peralatan produksi baru, keterampilan baru, dan pola distribusi baru. Mungkin saja
transfer ke teknologi baru dan risiko yang ditimbulkannya berada di luar sumber daya dan
kapasitas risiko organisasi. Jika hal ini terjadi, organisasi mungkin perlu menjajaki pilihan-pilihan
strategis, termasuk mencari mitra usaha patungan, mencari pembeli untuk bisnis tersebut, atau
sekadar menarik diri dari pasar.
Kotak di bawah ini memberikan contoh nyata dampak krisis keuangan global. Lembaga
keuangan yang dibahas di sini menemukan risiko tersebut
eksposur yang dihadapinya lebih besar dari kapasitas risikonya. Menyadari situasi tersebut,
lembaga keuangan tersebut kemudian mengeluarkan pernyataan kepada pemegang saham.
Dalam contoh ini, bank dengan jelas menyatakan bahwa eksposur risikonya melebihi selera
risiko organisasi dan bahkan kapasitas risikonya. Banyak keadaan yang akan muncul ketika
organisasi dihadapkan pada risiko yang dapat menghancurkan mereka jika risiko tersebut
terwujud. Untuk beberapa organisasi, mungkin terdapat beberapa risiko individual dan bahkan
independen, yang masing-masing dapat menghancurkan organisasi.
Dalam keadaan seperti ini, tantangan bagi fungsi manajemen risiko adalah fokus pada
keadaan yang dapat memicu satu atau lebih risiko tersebut. Pada contoh di atas, bank cukup
beruntung karena tidak terjadi keadaan yang dapat memicu kejadian yang dapat menghancurkan
neraca bank.
Machine Translated by Google
Kapasitas risiko adalah tingkat risiko yang dianggap mampu diserap oleh bank, berdasarkan kekuatan
pendapatannya, tanpa mengurangi kemampuan membayar dividen, rencana strategisnya, dan pada
akhirnya, reputasi dan kelangsungan usahanya. Hal ini didasarkan pada kombinasi pendapatan
dan biaya yang dianggarkan, perkiraan, dan historis, disesuaikan dengan kompensasi variabel, dividen,
dan pajak terkait.
Eksposur risiko merupakan perkiraan potensi kerugian berdasarkan posisi risiko saat ini dan
masa depan pada seluruh kategori risiko utama – risiko primer, risiko operasional, dan risiko bisnis. Hal
ini sedapat mungkin didasarkan pada ukuran kerugian statistik yang digunakan dalam pengendalian
operasional sehari-hari. Korelasi diperhitungkan ketika menggabungkan potensi kerugian dari posisi
risiko di berbagai kategori risiko untuk memperoleh estimasi eksposur risiko secara keseluruhan.
Paparan risiko dinilai berdasarkan konstelasi kejadian yang parah namun masuk akal dalam jangka
waktu satu tahun hingga tingkat kepercayaan 95 persen atau kejadian 'sekali dalam 20 tahun'.
Selera risiko ditetapkan oleh dewan, yang menetapkan batas atas agregat
paparan risiko. Perbandingan eksposur risiko dengan kapasitas risiko menjadi dasar untuk
menentukan apakah batasan risiko yang ada saat ini atau yang diusulkan sudah tepat. Ini adalah
salah satu alat yang tersedia bagi manajemen untuk memandu keputusan penyesuaian profil risiko.
Eksposur risiko biasanya tidak melebihi kapasitas risiko, namun saat ini sangat ekstrim
kondisi pasar yang sulit tidak dapat dipertahankan oleh hubungan ini. Bank mencatat kerugian
bersih yang besar, yang menunjukkan bahwa eksposur risiko masih lebih besar dibandingkan
kapasitas risikonya. Eksposur risiko tetap tinggi sebagai akibat dari kurangnya likuiditas di pasar
aset yang disekuritisasi dan karena tingkat volatilitas yang meningkat secara signifikan di pasar global.
Pengurangan eksposur risiko yang dicapai melalui penjualan selain penurunan signifikan yang terjadi
pada posisi risiko diimbangi dengan penurunan kapasitas risiko secara simultan karena revisi
ekspektasi pendapatan yang lebih rendah sebagai konsekuensi dari memburuknya prospek
perekonomian.
Machine Translated by Google
13
Pengendalian kerugian
Kemungkinan risiko
Kemungkinan risiko menunjukkan seberapa sering suatu risiko diperkirakan akan terjadi. Hal ini juga
dapat digambarkan sebagai frekuensi risiko. Namun, penggunaan frase frekuensi risiko mengasumsikan
bahwa risiko terjadi secara teratur. Istilah kemungkinan risiko yang lebih umum digunakan dalam buku
ini. Kemungkinan risiko dapat ditentukan berdasarkan dasar yang melekat pada setiap risiko tertentu,
atau dapat ditentukan berdasarkan tingkat risiko saat ini, dengan memperhatikan langkah-langkah
pengendalian yang ada.
Untuk risiko bahaya, riwayat masa lalu mungkin merupakan indikasi yang baik mengenai seberapa
besar kemungkinan risiko tersebut terjadi. Bagi suatu armada kendaraan bermotor, pasti terdapat riwayat
kecelakaan dan kerusakan kendaraan. Pengendalian akan dilakukan untuk mengurangi kemungkinan
kejadian ini. Perusahaan pengangkutan jalan raya harus menilai kemungkinan kerusakan kendaraan
berdasarkan sifat bawaannya dan juga berdasarkan pengendalian yang ada. Namun terdapat kesulitan
dalam menilai kemungkinan terjadinya kecelakaan kendaraan, karena asumsi tertentu harus diambil
mengenai dampak penghapusan pengendalian terhadap kemungkinan terjadinya kecelakaan.
Bahkan jika penilaian terhadap kemungkinan kerusakan pada tingkat inheren tidak dapat dilakukan,
perusahaan masih perlu menentukan pentingnya program perawatan kendaraan dalam mencegah
kerusakan kendaraan dan apakah kegiatan pemeliharaan memberikan nilai uang. Sehubungan dengan
kecelakaan kendaraan, perusahaan mungkin mempunyai prosedur pelatihan pengemudi dan, sekali lagi,
efektivitas prosedur ini dapat ditentukan dengan mengevaluasi tingkat risiko yang melekat dan saat ini.
Apakah tingkat risiko dievaluasi pada tingkat yang melekat atau pada tingkat saat ini, tidak ada keraguan
bahwa membandingkan kinerja armada terhadap kinerja rata-rata industri akan menjadi latihan yang
bermanfaat.
Contoh tindakan pengendalian yang mempunyai pengaruh terhadap besarnya risiko namun tidak
mempunyai pengaruh terhadap kemungkinannya adalah penggunaan sabuk pengaman pada mobil. Di dalam
Machine Translated by Google
Klub juga dapat memutuskan bahwa kontrol tambahan diperlukan untuk mengurangi
ketidakhadiran pemain, termasuk pemantauan kebugaran dan dukungan sosial untuk pemain
luar negeri yang baru saja pindah ke negara tersebut untuk bergabung dengan tim. Mungkin juga
disepakati bahwa upaya harus dilakukan untuk memberikan batasan kontrak pada kemampuan
tim nasional untuk memanggil pemain luar negeri. Tindakan ini akan diambil sebagai tambahan
terhadap aktivitas pengendalian kerugian lainnya, seperti fasilitas medis yang sangat baik untuk
memberikan perawatan medis segera dan mengurangi kerusakan ketika terjadi cedera.
Selain itu, perusahaan dapat membeli asuransi untuk melindungi dirinya dari kerugian finansial
yang terkait dengan ketidakhadiran pemain.
Besaran risiko
Mengurangi besarnya risiko bahaya sangatlah penting. Untuk risiko bahaya, besarnya sering kali
disebut sebagai tingkat keparahan risiko yang melekat jika risiko tersebut terwujud. Pengurangan
tingkat keparahan risiko bahaya secara keseluruhan akan dicapai dengan mengurangi dampak
dan konsekuensi ketika peristiwa buruk terjadi. Sabuk pengaman pada mobil dapat mengurangi
dampak suatu kecelakaan, namun tidak berpengaruh terhadap kemungkinan terjadinya
kecelakaan.
Ada kemungkinan terjadinya kebakaran serius yang mengakibatkan kerugian harta benda
yang cukup besar dan dianggap sangat parah serta memakan biaya yang besar. Namun, untuk
mengurangi tingkat keparahan kebakaran yang serius, persyaratannya adalah mengurangi
dampak kebakaran terhadap keuangan, infrastruktur, reputasi dan pasar (FIRM) dari perusahaan tersebut.
Machine Translated by Google
Mengingat penekanan terhadap bahaya kebakaran sudah lama terjadi, mungkin tidak mengejutkan bahwa perbaikan
sistem sprinkler telah menjadi ciri khas dalam 40 tahun terakhir. Inovasi yang paling mengesankan dalam kaitannya
dengan kebakaran adalah munculnya sprinkler mode pemadaman.
Alat penyiram standar adalah alat penyiram mode kontrol, yang mengendalikan api sampai seseorang datang untuk
memadamkannya. Api bisa membesar dan menghasilkan banyak asap.
Karena perlengkapan hotel menjadi lebih rentan terhadap kerusakan akibat asap dan air, maka diperlukan upaya
untuk memadamkan api, bukan hanya mengendalikannya. Alat penyiram baru ini menghasilkan area yang lebih kecil
terkena dampak kebakaran, asap lebih sedikit, dan kerusakan lebih sedikit.
Teknologi sprinkler telah berkembang secara signifikan. Dimana kami memiliki satu semprotan standar
kepala sprinkler, kami sekarang memiliki kepala lubang ekstra besar dan kepala sprinkler dengan penekanan
awal dan respons cepat. Penggunaan sistem sprinkler juga telah menyebar dari fasilitas manufaktur yang lebih
tradisional ke fasilitas dengan tingkat bahaya ringan seperti kantor dan panti jompo.
Korporasi menjadi lebih terlibat dalam upaya pengendalian kerugian. Misalnya, hotel melakukan dua inisiatif pada
awal tahun 1980an dengan menggunakan api terkendali untuk membuktikan kemanjuran pipa plastik dalam sistem
sprinkler kamar hotel. Sebelum pengujian berhasil, alat penyiram mengandalkan pipa besi, yang lebih sulit dipasang
dibandingkan pipa plastik dan menyebabkan ruangan tidak dapat digunakan selama berhari-hari selama pemasangan
ulang.
Risiko bahaya
Kisaran risiko bahaya yang penting untuk mengurangi besarnya kejadian buruk akan
mencakup penipuan, kesehatan dan keselamatan, perlindungan properti dan pengoperasian
sistem TI yang efisien, serta insiden yang berpotensi menyebabkan kerusakan reputasi.
Tabel 13.1 memberikan daftar ketergantungan utama yang dapat menimbulkan risiko
bahaya, dengan menggunakan struktur kartu skor risiko FIRM. Ketika risiko bahaya terjadi,
tindakan perlu diambil untuk mengurangi besarnya kejadian, serta memitigasi dampak dan
konsekuensinya.
Meskipun fokus utama pengelolaan risiko bahaya adalah pada pencegahan kerugian,
keberhasilan pengelolaan risiko bahaya juga harus mencakup pertimbangan pembatasan
kerusakan dan pengendalian biaya. Terdapat tren yang berkembang di pasar asuransi
menuju penyelesaian klaim dengan cara yang lebih efisien dan hemat biaya. Tren ini
sebagian didasarkan pada dorongan organisasi untuk kembali beroperasi normal sesegera
mungkin. Memang benar, beberapa perusahaan asuransi menyebut inisiatif semacam ini
sebagai 'pengendalian biaya'.
Seperti disebutkan sebelumnya, mengurangi tingkat keparahan suatu insiden harus dilihat
sebagai bagian dari upaya keseluruhan untuk menerapkan pengendalian kerugian dalam suatu
organisasi. Pendekatan terpadu terhadap pengendalian kerugian adalah penting karena hal ini
akan memungkinkan organisasi mengendalikan kemungkinan dan dampak ketika risiko bahaya
terjadi. Faktanya, pengendalian kerugian harus dianggap sebagai pencegahan kerugian ditambah
pembatasan kerusakan ditambah pengendalian biaya.
Meskipun komponen terpenting dari pengendalian kerugian adalah pencegahan kerugian,
risiko bahaya dapat tetap terjadi meskipun organisasi telah melakukan upaya terbaik. Penilaian
risiko bahaya yang memadai sangat penting, sehingga perencanaan awal yang tepat selama
Machine Translated by Google
tindakan kerugian dan pasca kerugian dapat dilakukan. Rencana harus dibuat untuk
memastikan bahwa kerusakan yang disebabkan oleh insiden tersebut dapat diminimalkan
dan konsekuensi biaya dari peristiwa tersebut juga dikontrol dan dibendung dengan ketat.
Gambar 13.1 menunjukkan bagaimana dasi kupu-kupu dapat digunakan untuk
mengilustrasikan tiga komponen pengendalian kerugian. Sebelum kejadian tersebut terjadi,
organisasi akan mempunyai pengendalian untuk berupaya mencapai pencegahan kerugian.
Seiring dengan berkembangnya peristiwa tersebut, langkah-langkah harus diambil untuk
membatasi kerusakan yang disebabkan oleh peristiwa tersebut. Setelah kejadian tersebut,
pengendalian pengendalian biaya melalui kelangsungan usaha dan pengaturan untuk
mengurangi biaya perbaikan harus diaktifkan. Rencana pemulihan bencana akan relevan
baik pada tahap pembatasan kerusakan maupun pengendalian biaya. Hubungan antara
ketiga komponen pengendalian kerugian dan jenis pengendalian yang akan dipilih dibahas
lebih rinci pada Bab 16. Jenis pengendalian bahaya dijelaskan dalam Bab 16 sebagai
preventif, korektif, direktif, dan detektif.
Machine Translated by Google
Pencegahan kerugian
Cara lain dalam melihat aktivitas pengendalian kerugian adalah bahwa pencegahan kerugian
adalah tentang mengurangi kemungkinan terjadinya suatu peristiwa yang merugikan, meskipun
hal ini juga berkaitan dengan pengurangan besarnya suatu peristiwa yang benar-benar terjadi.
Pembatasan kerusakan berkaitan dengan pengurangan besarnya peristiwa ketika hal itu benar-
benar terjadi. Kontribusi pembatasan kerusakan akan lebih besar jika tindakan direncanakan dan
dapat dilaksanakan ketika peristiwa tersebut benar-benar berlangsung. Pengendalian biaya
berkaitan dengan pengurangan dampak dan konsekuensi dari peristiwa tersebut. Pengendalian
biaya akan berkaitan dengan memastikan biaya perbaikan terendah, serta rencana kelangsungan
bisnis untuk memastikan bahwa organisasi dapat melanjutkan operasi setelah kerusakan pada
aset yang terkena dampak.
Teknik pencegahan kerugian akan bervariasi sesuai dengan jenis risiko bahaya yang
dipertimbangkan. Untuk risiko kesehatan dan keselamatan, pencegahan kerugian berkaitan
dengan menghilangkan aktivitas sepenuhnya atau memastikan bahwa, misalnya, bahan kimia
berbahaya tidak lagi digunakan.
Untuk risiko terhadap bangunan, teknik pencegahan kerugian melibatkan pengendalian seperti
penghapusan sumber penyulutan dan pengendalian, penahanan dan pemisahan bahan yang
mudah terbakar atau mudah terbakar. Teknik pencegahan kerugian juga akan terjadi
Machine Translated by Google
mencakup pembatasan merokok dan tindakan lain yang diambil untuk mengurangi perilaku berbahaya oleh
orang-orang yang menggunakan bangunan tersebut.
Untuk risiko penipuan dan pencurian, teknik pencegahan kerugian akan mencakup pemisahan tanggung
jawab dan penandaan keamanan pada barang-barang mahal. Teknik pencegahan penipuan mungkin juga
melibatkan penyaringan pra-kerja. Pertimbangan yang lebih rinci mengenai risiko kesehatan dan keselamatan
serta pencegahan penipuan dijelaskan dalam Bab 16 dan 23.
Batasan kerusakan
Batasan kerusakan sehubungan dengan bahaya kebakaran sudah ditetapkan dengan baik. Meskipun sistem
sprinkler sering dianggap sebagai tindakan pencegahan kerugian, sistem ini sebenarnya merupakan
tindakan pengendalian utama untuk memastikan bahwa hanya kerusakan kecil yang terjadi ketika terjadi
kebakaran. Faktor pembatas kerusakan lainnya yang terkait dengan kebakaran termasuk penggunaan
pemisah api di dalam bangunan, penggunaan penutup api, dan pengaturan yang matang untuk
memindahkan, memisahkan, atau melindungi barang-barang berharga. Setelah kebakaran di Kastil Windsor
pada tahun 1992, pengaturan segera dilakukan agar karya seni berharga dipindahkan dari area kastil yang
(hingga saat itu) tidak terkena dampak kebakaran.
Kecelakaan di tempat kerja masih terjadi, meskipun perhatian besar diberikan terhadap standar
kesehatan dan keselamatan serta kegiatan pencegahan kerugian lainnya. Penyediaan pengaturan
pertolongan pertama yang memadai merupakan kegiatan pembatasan kerusakan yang jelas dan fasilitas
pertolongan pertama yang sesuai disediakan oleh sebagian besar organisasi. Untuk beberapa pekerja
pabrik yang berisiko tinggi, pengaturan perawatan darurat dan bahkan fasilitas medis disediakan di lokasi.
Dalam beberapa kasus, fasilitas medis ini akan mencakup fasilitas perawatan spesialis yang berkaitan
dengan bahaya tertentu di lokasi. Contohnya adalah penyediaan penangkal sianida di pabrik tempat
berlangsungnya kegiatan pelapisan kromium dengan menggunakan larutan pelapisan sianida. Contoh yang
lebih sederhana adalah penyediaan botol pencuci mata darurat di lokasi dimana bahan kimia berbahaya
ditangani.
Tumpahan minyak Deepwater Horizon di Teluk Meksiko pada tahun 2010 memberikan banyak pelajaran
dalam manajemen risiko. Salah satu masalah utamanya adalah tumpahan minyak membutuhkan waktu
beberapa minggu untuk berhenti. Tindakan pencegahan kerugian dilakukan untuk mencegah tumpahan minyak
Machine Translated by Google
Pengendalian biaya
Ketika risiko bahaya muncul meskipun ada upaya pencegahan kerugian dan upaya untuk
membatasi kerusakan, mungkin masih ada kebutuhan untuk mengendalikan biaya kejadian
tersebut. Misalnya saja, di antara kegiatan-kegiatan untuk meminimalkan biaya yang terkait
dengan kebakaran serius adalah pengaturan rinci untuk penyelamatan dan pengaturan
untuk dekontaminasi barang-barang khusus yang mengalami kerusakan akibat air atau
asap.
Pengendalian biaya sehubungan dengan kebakaran juga akan mencakup pengaturan
layanan pemulihan spesialis. Tindakan-tindakan yang akan diambil untuk memastikan
bahwa biaya pasca-insiden diminimalkan harus dituangkan dalam rencana keberlangsungan
bisnis, pemulihan bencana dan manajemen krisis, sebagaimana mestinya. Topik
perencanaan kesinambungan bisnis dan perencanaan pemulihan bencana dibahas lebih
rinci di Bab 18.
Pertimbangan lebih lanjut yang relevan dengan pengendalian biaya setelah suatu
kejadian adalah apa yang disebut oleh perusahaan asuransi sebagai 'peningkatan biaya
operasional'. Sebagian besar polis asuransi kerusakan material/gangguan bisnis akan
memungkinkan pembayaran peningkatan biaya operasional. Hal ini mungkin timbul ketika
suatu organisasi harus melakukan subkontrak terhadap aktivitas produksi tertentu, atau
harus melakukan pekerjaan manufaktur di salah satu pabriknya, yang mungkin berlokasi agak jauh.
Jika produsen menemukan bahwa barang rusak telah dilepaskan ke pasar, sejumlah
tindakan perlu dilakukan. Organisasi harus mengembangkan rencana sebelum acara untuk
memberi tahu pelanggan tentang fakta bahwa ada barang cacat di pasar dan bagaimana
mengidentifikasinya. Kotak di bawah ini membahas pentingnya penarikan produk dalam
situasi ini.
Machine Translated by Google
14
Mendefinisikan sisi atas risiko
Lebih sedikit gangguan terhadap operasi normal dan operasional yang lebih besar
efisiensi sehingga mengurangi risiko kerugian.
Berbagai penafsiran atas frasa 'risiko terbalik' mungkin terjadi, dan beberapa di antaranya
disajikan pada Tabel 14.1. Terdapat keyakinan di kalangan praktisi manajemen risiko bahwa
manajemen risiko memberikan kontribusi yang signifikan terhadap organisasi
Machine Translated by Google
operasional organisasi, dan kontribusi ini sering digambarkan sebagai sisi atas risiko. Secara
sederhana, keuntungan dari risiko dicapai ketika manfaat yang diperoleh dari pengambilan
risiko lebih besar daripada manfaat yang diperoleh jika tidak mengambil risiko. Dengan kata
lain, organisasi telah menerima manfaat keseluruhan dari melakukan aktivitas yang
menghasilkan paparan risiko atau serangkaian risiko yang terlibat.
Secara sederhana, sisi positif dari risiko mungkin hanya merupakan imbalan atas
pengambilan risiko tersebut. Mendaki gunung yang menantang mungkin merupakan risiko
yang besar, namun keuntungan dari mengambil risiko tersebut adalah ketika pendaki telah
mencapai puncak dengan selamat dan mendapatkan imbalannya. Pendekatan lain adalah
dengan mengatakan bahwa manajemen risiko berkaitan dengan pencapaian hasil terbaik dan
mengurangi ketidakpastian atau volatilitas. Jika hal ini diterima sebagai definisi manajemen
risiko, keuntungan dari risiko hanyalah mencapai apa yang ingin dicapai organisasi, dengan
mengambil risiko yang tertanam dalam strategi, taktik dan/atau operasi yang terlibat.
Interpretasi lain mengenai sisi positif risiko adalah bahwa lokakarya penilaian risiko juga
harus berfokus pada identifikasi risiko yang memiliki dampak positif.
Oleh karena itu, lokakarya penilaian risiko akan menjawab pertanyaan-pertanyaan seperti:
'Peristiwa apa yang dapat memberikan hasil yang lebih baik dari yang diharapkan?' Daftar
risiko hasil positif kemudian dapat diidentifikasi dan tindakan dapat diambil untuk membuat
risiko-risiko tersebut lebih mungkin terjadi dan/atau memiliki dampak dan konsekuensi yang
lebih menguntungkan ketika risiko-risiko tersebut terwujud.
Penjelasan yang lebih memuaskan mengenai sisi positif risiko adalah bahwa organisasi
akan mampu melakukan aktivitas yang sebelumnya tidak ingin dilakukannya. Dalam pengertian
komersial, hal ini memungkinkan suatu organisasi untuk menangkap peluang bisnis yang tidak
ingin diambil oleh pesaing, atau dianggap terlalu berisiko. Hal ini mungkin disebabkan oleh
efisiensi yang lebih besar dalam organisasi, atau karena adanya cara yang hemat biaya untuk
mengubah organisasi
Machine Translated by Google
oleh proyek pengembangan telah teridentifikasi namun tidak dikenali oleh pesaing. Pada tingkat
strategis, peningkatan risiko ini mungkin timbul ketika organisasi mengidentifikasi cara untuk
menargetkan peluang bisnis, namun hanya komponen yang menguntungkan dari peluang bisnis
tersebut.
Cara lebih lanjut dalam melihat sisi positif risiko adalah dengan merefleksikan usaha bisnis yang
berhasil dalam keadaan di mana kegagalan dapat diperkirakan sebelumnya. Pendekatan ini agak
retrospektif berdasarkan analisis: 'hal ini bisa saja salah, namun ternyata tidak terjadi dan oleh
karena itu kami menikmati keuntungan dari mengambil risiko tersebut.' Pendekatan terhadap sisi
atas risiko ini bergantung pada kesediaan organisasi untuk melakukan usaha yang berisiko,
meskipun dengan pengendalian yang memadai, yang akan menghasilkan hasil positif ketika
pesaing mungkin tidak bersedia mengambil risiko.
Terakhir, terdapat analisis sisi atas risiko yang mencerminkan manfaat dari proses manajemen
risiko yang kuat. Pencapaian manfaat MADE2, khususnya manfaat terkait kewajiban wajib, dapat
dianggap sebagai alasan yang cukup untuk melakukan inisiatif manajemen risiko. Dalam keadaan
seperti ini, organisasi tertentu mungkin menganggap bahwa mencapai kepatuhan terhadap
kewajiban wajib merupakan sebuah sisi positif dari risiko.
Dalam bentuk yang paling sederhana, dan khususnya dalam kaitannya dengan risiko bahaya,
sisi positif dari risiko adalah bahwa sisi negatifnya lebih kecil. Namun, hal tersebut bukanlah alasan
yang kuat bagi manajer senior untuk mendukung inisiatif manajemen risiko. Mungkin hal yang
paling mudah untuk dijelaskan dan pemikiran yang paling menarik adalah bahwa sisi positif dari
risiko adalah kemampuan untuk mengejar peluang bisnis yang tidak ingin diambil oleh pesaing.
Hal ini juga merupakan bagian dari penjelasan untuk mengatakan bahwa pesaing akan terlalu
enggan mengambil risiko untuk mengambil peluang berisiko tinggi tersebut.
Dengan banyaknya pembicaraan mengenai sisi positif dari risiko, hal ini telah menjadi masalah
bagi para praktisi manajemen risiko. Kisaran analisis mulai dari manajemen peluang yang tidak
terlalu merugikan hingga manajemen peluang yang diformalkan sangat luas dan kurang fokus.
Pengurus suatu organisasi tidak akan terbujuk oleh serangkaian konsep dan pendekatan yang
begitu luas dan tidak jelas. Jelasnya, disiplin manajemen risiko perlu mendapatkan pemahaman
yang lebih baik tentang sisi positif risiko dan menyampaikan pesan tersebut kepada dewan direksi.
Mungkin juga terdapat ruang bagi standar manajemen risiko untuk mengambil pendekatan yang
lebih koheren terhadap sisi positif risiko. Suatu pendekatan yang digunakan dalam beberapa risiko
Machine Translated by Google
Penilaian peluang
Keberhasilan dalam memanfaatkan peluang bisnis akan lebih mungkin dicapai jika organisasi
melakukan penilaian peluang. Banyak perusahaan konsultan melakukan evaluasi rinci terhadap
setiap prospek bisnis baru. Organisasi akan melihat prospek baru dan mengevaluasi ruang
lingkup kemitraan yang menguntungkan, peluang untuk memperoleh penghasilan tambahan,
dan manfaat reputasi yang mungkin timbul dari menjadikan klien potensial tersebut sebagai
pelanggan.
Penilaian peluang dapat dilakukan sehubungan dengan usaha bisnis baru, serta klien baru.
Evaluasi peluang ini dirancang untuk mengidentifikasi peluang bisnis tambahan yang dapat
muncul dari memenangkan bisnis klien tersebut. Evaluasi juga akan melihat potensi kerugian
dari keberhasilan memperoleh prospek klien. Ketika melakukan penilaian peluang seperti itu,
harus ada kemungkinan bahwa organisasi akan memberi tahu calon klien bahwa mereka tidak
ingin melakukan tender untuk bisnis tersebut.
Pertimbangkan pilihan untuk teater yang menemukan bahwa lebih sedikit orang yang datang
ke pertunjukan dan memutuskan untuk melihat peluang untuk mendapatkan lebih banyak uang
Machine Translated by Google
dari mereka yang tetap hadir. Pilihannya mungkin mencakup perbaikan umum pada
fasilitas katering di dalam teater dan penyediaan produk organik di restoran teater.
Selain itu, ada kemungkinan untuk menjual merchandise bertema pertunjukan
tertentu.
Selain mempertimbangkan peningkatan pendapatan selama pertunjukan, teater
juga dapat mempertimbangkan pengaturan sponsorship dan dialog terbuka dengan
bisnis lokal untuk mengetahui jenis produksi apa yang paling mungkin mendapatkan
dukungan dan sponsor lokal. Di masa depan, bagian dari penilaian terhadap usulan
produksi baru dapat mencakup evaluasi tingkat sponsorship yang mungkin tersedia.
Selain menghasilkan pendapatan yang lebih besar, pendekatan ini juga
memungkinkan teater untuk mementaskan produksi yang dianggap terlalu berisiko.
Indeks keberisikoan
Profil risiko suatu organisasi dapat direpresentasikan dalam banyak cara. Cara yang
paling umum digunakan adalah dengan menyiapkan daftar risiko yang berisi rincian
risiko signifikan yang dihadapi. Namun, kelemahan dari daftar risiko adalah hal tersebut
Machine Translated by Google
ini biasanya merupakan evaluasi kualitatif terhadap risiko individu. Organisasi perlu
mengembangkan cara untuk mengukur, mengevaluasi dan mengukur total paparan
risiko organisasi.
Salah satu ciri pendekatan manajemen risiko perusahaan adalah mengembangkan
pandangan konsolidasi mengenai eksposur risiko organisasi. Pendekatan yang
didasarkan pada penghitungan total eksposur risiko suatu organisasi serupa dengan
pendekatan yang dilakukan terhadap pengukuran dan kuantifikasi risiko dalam
manajemen risiko operasional.
Bagian ini memperkenalkan gagasan 'indeks risiko'. Idenya adalah untuk menyajikan
pendekatan semi-kuantitatif yang mengambil gambaran keseluruhan tingkat risiko yang
ada dalam organisasi. Tingkat risiko keseluruhan akan mempertimbangkan strategi
yang saat ini diikuti oleh organisasi, proyek yang sedang berjalan, dan sifat operasi rutin
yang dilakukan. Pendekatan ini dapat menawarkan peluang untuk mengukur kinerja
manajemen risiko dan melacak perubahan dari waktu ke waktu.
Alokasikan skor antara 0 dan 5 untuk setiap komponen (sesuai dengan kunci di akhir
tabel) dari contoh umum kartu skor risiko FIRM untuk menentukan tingkat risiko
dalam organisasi, proyek, operasi atau lokasi yang sedang dievaluasi .
1.1 Kurangnya ketersediaan (atau biaya yang tidak dapat diterima) dana yang
memadai untuk memenuhi rencana strategis
1.2 Prosedur yang tidak memadai untuk alokasi dana yang tepat
untuk investasi strategis
1.4 Dana yang tidak memadai untuk memenuhi kewajiban historis (termasuk
pensiun) dan memenuhi kewajiban yang diantisipasi di masa depan
2.3 Aset fisik yang tidak memadai untuk mendukung tujuan operasional
dan strategis organisasi
2.4 Infrastruktur teknologi informasi (TI) tidak memiliki ketahanan dan/
atau perlindungan data yang memadai
3.3 Standar tata kelola yang buruk dan/atau sektor ini sangat diatur
dengan ekspektasi kepatuhan yang tinggi
4.5 Rantai pasokan rumit dan tidak ada persaingan dan/atau harga bahan
mentah mudah berubah
Dewan bertanggung jawab untuk menentukan sifat dan tingkat risiko utama yang ingin diambil
dalam mencapai tujuan strategisnya.
Organisasi harus berhati-hati untuk memastikan bahwa, setelah mengidentifikasi risiko yang
mereka ambil melalui mekanisme yang serupa dengan penghitungan indeks risiko, dewan
tidak kemudian memutuskan bahwa risiko yang diambil saat ini harus sama dengan risiko
yang bersedia diambil. untuk mengambil.
tujuan dan pemahaman tentang harapan para pemangku kepentingan yang berbeda dalam
organisasi. Dewan organisasi kemudian perlu mengembangkan strategi yang efektif dan
efisien yang akan memberikan apa yang diharapkan dalam hal misi, tujuan dan harapan.
Untuk membuat keputusan strategis yang tepat, dewan organisasi memerlukan akses
terhadap informasi risiko. Penilaian risiko terhadap strategi yang diusulkan, bersama
dengan penilaian risiko terhadap strategi alternatif yang layak, harus dilakukan. Ketersediaan
informasi penilaian risiko ini akan memastikan bahwa keputusan strategis lebih mungkin
tepat.
Untuk risiko peluang, mungkin terdapat lebih sedikit data yang tersedia untuk
memprediksi kemungkinan risiko. Suatu organisasi mungkin melihat peluang untuk
mendapatkan klien baru atau mengembangkan dan memasarkan produk baru. Penilaian
risiko yang akurat terhadap kemungkinan terjadinya peristiwa positif dan negatif akan
diperlukan untuk menentukan apakah usaha baru tersebut harus dilanjutkan. Ketika sebuah
produk baru diluncurkan, persyaratannya mungkin adalah meningkatkan kemungkinan terjadinya peristiw
Jika sebuah produk baru diluncurkan, liputan iklan dan pers perlu dimaksimalkan hingga
tetap hemat biaya. Oleh karena itu, tindakan harus diambil untuk meningkatkan tingkat
ketertarikan media terhadap peluncuran tersebut.
Proses inti strategis menyatukan disiplin perencanaan strategis dan manajemen risiko.
Perencanaan strategis adalah proses sistematis untuk memperoleh konsensus di tingkat
dewan mengenai sejumlah kecil isu yang dapat berdampak besar pada kinerja jangka
panjang organisasi. Permasalahan strategis sangatlah penting, dan kegagalan dalam
menerapkan strategi atau pemilihan strategi yang tidak tepat dapat menjadi salah satu
risiko paling buruk yang menimpa suatu organisasi. Implementasi strategi biasanya dicapai
dengan mengembangkan taktik yang diimplementasikan melalui proyek dan pada akhirnya
disampaikan melalui proses inti operasional. Proses inti operasional yang diterapkan pada
waktu tertentu mewakili model bisnis organisasi, sebagaimana dibahas lebih rinci di Bab
20.
Aktivitas manajemen risiko dirancang untuk memastikan hasil terbaik dan mengurangi
ketidakpastian. Oleh karena itu, keuntungan dari risiko dalam strategi adalah bahwa upaya
manajemen risiko membantu merancang strategi yang efektif dan efisien.
Implementasi strategi itu akan dicapai melalui taktik yang digunakan. Taktik tersebut akan
dirancang untuk meningkatkan proses inti di
Machine Translated by Google
organisasi, sehingga organisasi menggunakan cara yang paling efektif dan efisien
proses inti.
Contoh dalam kotak menggambarkan sikap terhadap manajemen risiko yang melihat
risiko sebagai peluang. Pendekatan terhadap manajemen organisasi ini menunjukkan
keinginan untuk menerima sisi positif dari risiko.
Manajemen risiko dalam proyek dikaitkan dengan penerapan taktik yang dirancang untuk
mencapai strategi. Di beberapa organisasi, proyek yang akan menerapkan taktik hanya disetujui
jika proyek tersebut mengurangi risiko. Misalnya, jika aktivitas tertentu bisa gagal karena sistem
TI yang buruk, proyek tersebut harus dirancang untuk membuat aktivitas tersebut lebih tangguh.
Dengan melakukan hal ini, risiko akan berkurang dan manfaat yang dihasilkan dari aktivitas
dapat diukur dengan lebih efisien karena penggunaan sumber daya manusia yang lebih baik
dan kegagalan sistem TI yang lebih sedikit.
Ringkasnya, manfaat manajemen risiko yang baik dalam proyek adalah kemungkinan besar
proyek dapat diselesaikan tepat waktu, sesuai anggaran, dan dengan kualitas yang dibutuhkan.
Kegiatan manajemen risiko akan membantu pelaksanaan proyek dan, pada saat yang sama,
membantu mengelola situasi ketika hasil berbeda dari apa yang diharapkan seiring berjalannya
proyek. Hasil yang berbeda ini akan menunjukkan apakah taktik tersebut berhasil dan proyek
yang dipilih benar. Perbedaan negatif perlu dimitigasi dan perbedaan positif harus diterima,
karena ini merupakan salah satu contoh sisi positif risiko.
Machine Translated by Google
Merangkul peluang
Perhatikan dua contoh sederhana di mana krisis keuangan global telah memberikan manfaat atau
peningkatan risiko bagi organisasi.
Sebuah merek restoran internasional menemukan bahwa tuan tanah di lokasi pusat kota sedang
mencari penyewa. Hal ini memungkinkan bisnis restoran untuk pindah ke bagian pusat kota yang lebih
sibuk dengan harga sewa yang lebih rendah, sekaligus meningkatkan perdagangan dan keuntungan.
Dengan berkurangnya aktivitas industri akibat krisis keuangan global, perusahaan pembangkit
listrik mampu menonaktifkan fasilitas pembangkit listrik yang lama dan mahal, sehingga mengurangi
keseluruhan biaya per unit produksi listrik. Hal ini telah meningkatkan laba per unit dan memungkinkan
perusahaan merevisi rencana strategis untuk penambahan kapasitas pembangkitan di masa depan
guna mengurangi biaya pembangkitan dalam jangka panjang.
BAGIAN KEEMPAT
Respon risiko
menjelaskan manfaat penggunaan matriks risiko untuk menggambarkan tingkat risiko yang melekat,
saat ini, dan target serta dampak pengendalian;
menjelaskan jenis pengendalian yang tersedia, dalam hal pengendalian preventif, korektif, direktif dan
detektif (PCDD);
menjelaskan penggunaan matriks risiko untuk mengidentifikasi jenis pengendalian utama untuk berbagai
jenis risiko bahaya dan konsep 'zona risiko bahaya';
menjelaskan pentingnya dan struktur asuransi dan keadaan di mana asuransi dibeli dan tujuan dari
perusahaan asuransi penawanan;
menjelaskan pendekatan yang diambil selama analisis dampak bisnis (BIA) dan pentingnya
standar kelangsungan bisnis yang ditetapkan, seperti ISO 22301.
Machine Translated by Google
Dewan mensyaratkan bahwa setiap proposal besar yang diserahkan kepada dewan
untuk diambil keputusan disertai dengan penilaian risiko yang komprehensif dan,
jika diperlukan, usulan strategi mitigasi oleh manajemen. Perusahaan mempunyai
program asuransi yang ditinjau secara berkala oleh dewan. Dewan menerima
laporan rutin mengenai penganggaran dan kinerja keuangan. Sistem tingkat
wewenang yang didelegasikan telah disetujui oleh dewan untuk memastikan transaksi
bisnis diotorisasi dan dilaksanakan dengan benar.
15
Toleransi, obati, transfer,
dan hentikan
Respons bahaya 4T
Risiko signifikan prioritas yang dihadapi suatu organisasi adalah risiko yang memiliki:
dampak tinggi atau sangat tinggi sehubungan dengan uji tolok ukur signifikansi;
kemungkinan besar atau sangat tinggi untuk terwujud pada atau di atas tingkat acuan;
cakupan yang tinggi atau sangat tinggi untuk peningkatan pengendalian yang hemat biaya.
Secara umum, hanya risiko-risiko prioritas yang signifikan yang memerlukan perhatian di tingkat paling senior
dalam organisasi. Namun, sudah sepantasnya risiko kepatuhan juga mendapat perhatian dewan direksi. Dalam
praktiknya, dewan mengharapkan risiko kepatuhan ini dikelola dengan baik dan dewan hanya akan menerima
laporan rutin/tahunan yang menjelaskan kinerja risiko, atau laporan khusus jika terdapat masalah tertentu.
Organisasi akan berupaya menerapkan pengendalian yang efektif dan efisien untuk meminimalkan risiko
kepatuhan.
Uji tolok ukur signifikansi harus ditetapkan pada tingkat yang mewakili dampak signifikan bagi organisasi.
Setelah mengidentifikasi risiko signifikan yang diprioritaskan, organisasi kemudian perlu meninjau pengendalian
yang ada dan memutuskan apakah tindakan lebih lanjut diperlukan. Untuk risiko bahaya, rentang respons yang
tersedia sering disebut sebagai 4T.
Terdapat beragam terminologi yang tersedia untuk menjelaskan pilihan respons risiko. Faktanya, British
Standard BS 31100 dan ISO 31000 menggunakan istilah 'perlakuan risiko' sebagai deskripsi yang lebih umum.
Misalnya, British Standard mendefinisikan perlakuan risiko sebagai 'proses mengembangkan, memilih dan
Machine Translated by Google
menerapkan pengendalian'. Demikian pula, Panduan 73 mendefinisikan perlakuan risiko sebagai 'proses untuk
mengubah risiko'.
Terminologi yang digunakan dalam Buku Oranye telah diadopsi untuk teks ini untuk tahap respons
risiko dalam proses manajemen risiko. Pilihan untuk merespons risiko kemudian dapat diidentifikasi
sebagai 4T. Lampiran B berisi informasi tentang definisi alternatif yang digunakan oleh berbagai publikasi.
mentolerir;
merawat;
transfer;
mengakhiri.
3 Pengalihan Untuk beberapa risiko, respons terbaik mungkin adalah pengalihan asuransi/
kontrak. Hal ini dapat dilakukan dengan asuransi konvensional, atau dapat dilakukan dengan
Gambar 15.1 menunjukkan bahwa terdapat respon dominan terhadap masing-masing 4T, sesuai
dengan posisi risiko pada matriks risiko. Untuk risiko yang kemungkinannya rendah/berdampak
rendah, respons utamanya adalah toleransi. Untuk risiko yang kemungkinan besar/berdampak
rendah, respons utamanya adalah penanganan. Untuk risiko-risiko yang berkemungkinan kecil/
berdampak besar, respons utamanya adalah pengalihan, dan untuk risiko-risiko yang
berkemungkinan besar/berdampak besar, respons utamanya adalah penghentian.
Machine Translated by Google
Untuk memberikan konteks terhadap rentang risiko yang sedang dipertimbangkan, Tabel
15.2 memberikan contoh rentang risiko yang berpotensi signifikan terkait dengan judul kartu
skor risiko FIRM. Penilaian terhadap masing-masing risiko akan memungkinkan organisasi
untuk menempatkan risiko pada matriks risiko. Posisi risiko pada matriks risiko kemudian
akan menunjukkan respons yang paling mungkin terhadap risiko tersebut. Jika penilaian risiko
dilakukan pada tingkat risiko saat ini, dampak pengendalian yang ada sudah dievaluasi
sebagai bagian dari pelaksanaan penilaian risiko.
dana perusahaan
yang diasuransikan
Misalnya saja sebuah teater yang perlu merespons meningkatnya penggunaan agen yang memerlukan
pembayaran pada saat pemesanan, bukan setelah pertunjukan. Selain itu, kegagalan seorang aktor
untuk datang pada malam pertunjukan menyebabkan kerugian finansial yang besar bagi teater. Hal ini
mengakibatkan pihak teater meninjau pengaturan pemesanan dan penampilan para aktor dan
memutuskan tanggapan yang sesuai sehubungan dengan semua 4T.
Teater mungkin memutuskan bahwa mereka harus menoleransi pengaturan biaya pemesanan yang
baru. Pemerintah juga telah memutuskan bahwa untuk mengatasi/mengurangi risiko, mereka hanya
akan berurusan dengan agen-agen yang sudah mapan di masa depan dan menghentikan perjanjian
yang ada dengan lembaga yang terbukti tidak dapat diandalkan di masa lalu. Pihak teater mungkin juga
menyelidiki kemungkinan membeli asuransi, sehingga pihak teater dapat mentransfer biaya pertunjukan
yang dibatalkan karena aktornya tidak datang pada malam itu.
Toleransi risiko
Toleransi risiko didefinisikan dalam Panduan 73 sebagai kesiapan organisasi atau pemangku
kepentingan untuk menanggung risiko setelah perlakuan risiko guna mencapai tujuannya.
Panduan tersebut kemudian menambahkan bahwa toleransi risiko dapat dipengaruhi oleh persyaratan
hukum atau peraturan (kepatuhan). Komentar mengenai persyaratan hukum atau peraturan sangat
relevan, karena organisasi sering kali harus menoleransi suatu risiko karena persyaratan hukum atau
peraturan, bahkan dalam keadaan di mana organisasi tidak ingin menoleransi risiko tersebut. Perlu
dicatat bahwa toleransi berkaitan dengan risiko spesifik atau risiko individual, bukan pendekatan yang
lebih umum yang diwakili oleh selera risiko. Selera risiko mengacu pada jumlah dan jenis risiko yang
ingin diambil atau dipertahankan oleh suatu organisasi.
Terdapat kebingungan terminologi antara kapan suatu organisasi bersedia menoleransi suatu risiko
dan konsep toleransi risiko. Konsep toleransi biasanya berkaitan dengan kesediaan organisasi untuk
mempertahankan atau menoleransi suatu risiko, bahkan jika risiko tersebut lebih tinggi daripada yang
bersedia diterima oleh organisasi. Konsep lainnya adalah toleransi risiko. Banyak organisasi
menggunakan toleransi risiko dalam pengertian teknis untuk mewakili rentang risiko yang dapat diterima
secara luas. Di dalam
Machine Translated by Google
Gambar 25.1, bagian tengah dari zona prihatin dan zona hati-hati menggambarkan batas di
sekitar toleransi risiko. Seperti halnya penggunaan kata toleransi secara rekayasa, zona-
zona ini menentukan batas-batas yang diinginkan organisasi untuk membatasi tingkat risiko.
Suatu organisasi mungkin harus menoleransi risiko yang tingkatnya saat ini berada di
luar zona nyaman dan selera risikonya. Kadang-kadang, suatu organisasi bahkan mungkin
harus menoleransi risiko yang berada di luar kapasitas risiko sebenarnya. Namun, situasi ini
tidak akan berkelanjutan dan organisasi akan menjadi rentan selama periode ini.
Ketika risiko bahaya dianggap berada dalam risk appetite organisasi, maka organisasi
akan menoleransi risiko tersebut. Toleransi risiko ditampilkan sebagai pendekatan yang
akan diterapkan dalam kaitannya dengan risiko dengan kemungkinan rendah dan dampak
rendah. Namun, suatu organisasi dapat memutuskan untuk menoleransi tingkat risiko yang
tinggi karena risiko tersebut terkait dengan aktivitas yang berpotensi menghasilkan
keuntungan atau terkait dengan proses inti yang mendasar bagi sifat organisasi.
Merupakan hal yang tidak biasa bagi suatu risiko bahaya untuk diterima atau ditoleransi
sebelum tindakan pengendalian risiko diterapkan. Secara umum, suatu risiko hanya dapat
ditoleransi ketika semua tindakan pengendalian yang hemat biaya telah diterapkan, sehingga
organisasi menerima atau menoleransi risiko tersebut pada tingkatnya saat ini. Tindakan
pengendalian tertentu mungkin diterapkan karena tingkat risiko yang melekat mungkin tidak
dapat diterima. Upaya pengendalian berupaya memindahkan risiko ke kuadran kemungkinan
rendah/dampak rendah dalam matriks risiko, sebagaimana diilustrasikan pada Gambar 16.1.
Terkadang risiko hanya diterima sebagai bagian dari pengaturan dimana satu risiko
diseimbangkan dengan risiko lainnya. Ini adalah deskripsi sederhana mengenai netralisasi
atau lindung nilai risiko, namun pada tingkat bisnis, hal ini mungkin mewakili keputusan
strategis yang penting secara fundamental. Misalnya, sebuah perusahaan listrik yang
beroperasi secara independen di negara bagian Amerika Serikat bagian utara mungkin
harus menerima dampak variasi suhu terhadap penjualan listrik. Dengan menggabungkan
(atau mendirikan usaha patungan) dengan perusahaan listrik di negara bagian selatan,
operasi gabungan utara/selatan akan mampu memperlancar variasi penjualan listrik terkait
suhu. Operasi gabungan ini kemudian akan menjual lebih banyak listrik di negara bagian
utara selama cuaca dingin, ketika permintaan di negara bagian selatan rendah. Sebaliknya,
operasi gabungan ini akan menjual lebih banyak listrik untuk unit AC di negara bagian
selatan pada musim panas
Machine Translated by Google
Perlakukan risiko
Ketika tingkat paparan risiko (kemungkinan) yang terkait dengan bahaya tertentu tinggi namun potensi kerugian
(dampak) yang terkait dengannya rendah, maka organisasi ingin menangani risiko tersebut. Perlakuan risiko
sering kali dilakukan dengan risiko pada tingkat bawaan dan/atau tingkat saat ini, sehingga ketika risiko telah
ditangani, tingkat atau tingkat target baru saat ini mungkin dapat ditoleransi.
Tindakan untuk meningkatkan standar pengendalian risiko akan selalu ditinjau secara konstan dalam suatu
organisasi. Secara pribadi, mengenakan sabuk pengaman saat mengendarai mobil atau memasang alarm
penyusup di rumah adalah contoh tindakan pengurangan risiko. Perbaikan terhadap standar pengendalian risiko
sehubungan dengan risiko fisik (yang dapat diasuransikan) sudah banyak diketahui. Memasang alat penyiram
air pada gedung, menyediakan pengaturan keamanan gedung yang lebih baik, dan pemeriksaan keamanan
karyawan merupakan contoh tindakan peningkatan risiko yang dirancang untuk mengelola risiko bahaya dengan
lebih baik.
Ketika mengidentifikasi pilihan penanganan risiko yang sesuai, organisasi perlu melihat dampak penanganan
terhadap kemungkinan terjadinya risiko serta melihat dampak risiko jika risiko tersebut terwujud. Perlakuan risiko
yang hemat biaya perlu dipilih dan dampak dari tindakan pengendalian yang berbeda
Ada masalah terminologi yang terkait dengan risiko pengobatan. ISO 31000 menganggap bahwa 'perlakukan
risiko' adalah judul utama yang memuat berbagai opsi, seperti:
menghindari risiko dengan memutuskan untuk tidak memulai atau melanjutkan aktivitas;
Standar manajemen risiko lainnya mengacu pada 'respon risiko' sebagai judul utama
dan pendekatan inilah yang digunakan dalam bab ini. Menggunakan respons risiko
sebagai arah utama kemudian memunculkan pilihan untuk menoleransi, menangani,
mentransfer, dan mengakhiri. Seperti semua isu terminologi, organisasi harus
menetapkan kosakata risikonya sendiri, yang konsisten dengan konteks eksternal,
internal, dan manajemen risiko.
Dalam beberapa kasus, terminologi akan ditentukan oleh konteks eksternal.
Misalnya, bank dan lembaga keuangan lainnya perlu menggunakan terminologi
regulator. Terkadang, terminologi ditentukan oleh konteks internal dalam organisasi.
Jika terminologi yang telah dikembangkan dalam organisasi tidak konsisten dengan
terminologi dalam ISO 31000, mungkin manajer risiko akan lebih disarankan untuk
menggunakan terminologi yang sudah ada dalam organisasi, daripada mencoba
memperkenalkan istilah atau istilah baru. arti baru untuk istilah-istilah yang sudah
ada.
Mentransfer risiko
Ketika kemungkinan terjadinya risiko rendah namun potensinya tinggi, organisasi
akan ingin mentransfer risiko tersebut. Asuransi adalah mekanisme yang mapan
untuk mentransfer dampak finansial dari kerugian yang timbul dari risiko bahaya dan
(pada tingkat lebih rendah) risiko pengendalian. Permasalahan yang terkait dengan
penggunaan asuransi sebagai mekanisme pengalihan risiko dibahas secara lebih
rinci di Bab 17.
Dalam beberapa kasus, pengalihan risiko berkaitan erat dengan keinginan untuk
menghilangkan atau menghentikan risiko. Namun, banyak risiko yang tidak dapat
dialihkan ke pasar asuransi, baik karena tingginya premi asuransi atau karena risiko
yang dipertimbangkan (secara tradisional) tidak dapat diasuransikan.
Pengalihan risiko dapat dilakukan melalui asuransi konvensional dan juga melalui
perjanjian kontrak. Dimungkinkan juga untuk menemukan mitra usaha patungan,
atau cara lain untuk berbagi risiko. Oleh karena itu, lindung nilai atau netralisasi risiko
dapat dianggap sebagai opsi pengalihan risiko, serta opsi perlakuan risiko.
Biaya pengalihan risiko merupakan komponen pembiayaan risiko. Sekali lagi, ada
Machine Translated by Google
variasi dalam definisi yang digunakan. Sehubungan dengan pembiayaan risiko, BS 31100
menyatakan bahwa pembiayaan risiko melibatkan biaya pengaturan kontinjensi untuk penyediaan
dana guna memenuhi dampak keuangan dari terwujudnya risiko. Pengaturan seperti ini biasanya
disediakan oleh asuransi, dan oleh karena itu, asuransi merupakan pembiayaan yang bergantung
pada terjadinya peristiwa-peristiwa tertentu yang diasuransikan.
Perbedaan definisi antara BS 31100:2008 dan ISO 31000:2009 yang kini digantikan adalah
bahwa ISO 31000 juga mempertimbangkan bahwa biaya pembiayaan risiko harus mencakup
penyediaan dana untuk memenuhi biaya penanganan risiko. Dalam teks ini, sumber daya
pengendalian dianggap sebagai langkah terpisah dalam proses manajemen risiko. Ini adalah
contoh lain yang menggambarkan bahwa tidak ada bahasa risiko yang disepakati secara universal
atau umum.
Ada isu lain mengenai terminologi dengan penggunaan frasa 'transfer risiko'.
ISO 31000 merekomendasikan agar pembagian risiko sebaiknya digunakan dibandingkan transfer
risiko. Argumennya adalah bahwa suatu risiko tidak akan pernah dapat sepenuhnya dialihkan dan
apa pun niat para pihak, risiko akan selalu ditanggung bersama, sampai batas tertentu. Ini adalah
analisis yang akurat, namun pilihan terminologi yang digunakan dalam suatu organisasi juga akan
dipengaruhi oleh faktor-faktor lain. Dalam kaitannya dengan pembagian risiko, industri asuransi
menggunakan terminologi risk transfer. Mungkin sulit bagi manajer risiko perusahaan untuk
memaksakan penggunaan frasa pembagian risiko ketika manajer asuransi dalam organisasi lebih
memilih menggunakan terminologi transfer risiko karena itulah terminologi standar yang digunakan
dalam konteks eksternal yaitu pasar asuransi.
Hentikan risiko
Ketika suatu risiko mempunyai kemungkinan besar dan potensi dampak yang tinggi, organisasi
akan ingin menghentikan atau menghilangkan risiko tersebut. Mungkin saja risiko perdagangan di
wilayah tertentu di dunia atau risiko lingkungan yang terkait dengan penggunaan bahan kimia
tertentu secara terus-menerus tidak dapat diterima oleh organisasi dan/atau pemangku
kepentingannya. Dalam keadaan ini, respons yang tepat adalah menghilangkan risiko dengan
menghentikan proses atau aktivitas, mengganti aktivitas alternatif, atau melakukan outsourcing
aktivitas yang terkait dengan risiko.
Suatu organisasi mungkin ingin menghentikan suatu risiko, namun bisa saja hal tersebut terjadi
Machine Translated by Google
aktivitas yang menimbulkan hal tersebut merupakan hal mendasar bagi kelangsungan operasi
organisasi. Dalam keadaan seperti ini, organisasi mungkin tidak dapat menghentikan atau
menghilangkan risiko secara keseluruhan sehingga perlu menerapkan langkah-langkah
pengendalian alternatif.
Hal ini merupakan permasalahan khusus dalam pelayanan publik. Mungkin terdapat risiko
tertentu yang mempunyai kemungkinan besar dan dampak tinggi, namun organisasi tidak dapat
menghentikan aktivitas yang menimbulkan risiko tersebut. Hal ini mungkin terjadi karena kegiatan
tersebut merupakan persyaratan undang-undang yang dibebankan pada lembaga pemerintah
atau otoritas publik. Keharusan pelayanan publik dapat membatasi kemampuan untuk
menghentikan aktivitas, sehingga organisasi perlu menerapkan langkah-langkah pengendalian,
semaksimal mungkin yang hemat biaya.
Gambar 15.2 menunjukkan bahwa terdapat berbagai respons yang tersedia untuk pengelolaan
risiko peluang. Mengembangkan dan menerapkan efektif dan
Machine Translated by Google
strategi yang efisien akan memerlukan evaluasi tingkat risiko yang terkait dengan setiap
strategi yang tersedia dan tingkat imbalan yang akan diberikan oleh strategi tersebut.
Machine Translated by Google
4E manajemen peluang ditetapkan sebagai ada, jelajahi, eksploitasi, dan keluar. Terdapat
hubungan erat antara 4E dan status organisasi, seperti yang diilustrasikan pada Gambar
15.2. Operasi start-up akan menghadapi tingkat risiko yang lebih tinggi dan potensi imbalan
yang rendah.
Peluang wirausaha akan dijajaki saat ini. Seiring pertumbuhan organisasi, potensi
imbalan akan meningkat sementara tingkat risiko akan tetap tinggi. Organisasi akan
berusaha mencapai pertumbuhan, namun mungkin merasa bahwa pertumbuhan terlalu
lambat atau tingkat risiko masih terlalu tinggi, dan jika demikian maka organisasi akan keluar
dari operasi tersebut.
Setelah periode pertumbuhan, organisasi harus memperoleh imbalan yang tinggi dengan
mengurangi risiko. Ini mewakili fase di mana organisasi akan memanfaatkan peluang
sampai pesaing datang. Ini adalah operasi yang matang. Semua operasi yang sudah
matang dihadapkan pada kemungkinan penurunan, meskipun banyak organisasi memilih
untuk berada di pasar yang sudah matang dan menurun, dimana eksposur risiko rendah dan sebagainya.
Machine Translated by Google
Penerapan 4E pada pengelolaan risiko strategis, peluang, atau spekulatif konsisten dengan
deskripsi risiko dan imbalan yang ditawarkan pada Gambar 2.2. Namun, mengejar peluang risiko dan
pengembangan tujuan strategis adalah isu yang paling penting bagi banyak organisasi. Masukan
manajemen risiko ke dalam pengambilan keputusan strategis mungkin tidak selalu kuat dan terstruktur
dengan baik seperti masukan manajemen risiko ke dalam operasi dan proyek.
Alokasi jenis respons dan pengendalian yang dominan pada masing-masing empat kuadran yang
ditunjukkan pada Gambar 15.2 serupa dengan alokasi 4T yang menggunakan manajemen risiko
bahaya. Berada di pasar yang matang atau sedang menurun serupa dengan menerima ketidakpastian
dalam taktik dan menoleransi risiko bahaya. Mengeksplorasi peluang serupa dengan
mempertimbangkan pilihan untuk menangani risiko bahaya. Dalam bidang pemanfaatan peluang dan
keluarnya peluang, perbedaan pendekatan antara pengelolaan bahaya dan ketidakpastian
dibandingkan dengan pengelolaan peluang menjadi paling nyata.
Gambar 15.3 menunjukkan penyempurnaan dari Gambar 15.2 dimana area dengan risiko tinggi
dan potensi imbalan tinggi dievaluasi secara lebih rinci dengan mempertimbangkan selera risiko.
Suatu organisasi mungkin menemukan bahwa ia memiliki peluang bisnis yang layak namun tidak
memiliki sumber daya untuk memanfaatkannya sendiri. Dalam keadaan seperti ini, organisasi
mempunyai tiga pilihan utama. Perusahaan mungkin keluar dari peluang tersebut karena tidak
mempunyai selera risiko atau kapasitas risiko untuk mengejar peluang tersebut. Perusahaan mungkin
menjual peluang tersebut kepada organisasi yang memang mempunyai keinginan, kapasitas dan
sumber daya untuk memanfaatkan peluang tersebut, atau organisasi tersebut mungkin berupaya untuk berbagi peluan
Machine Translated by Google
Keluar dari peluang ini mungkin merupakan pilihan yang tepat, karena organisasi tidak memiliki
selera risiko, kapasitas atau sumber daya untuk mengejar peluang tersebut dan belum mampu atau
tidak mau menemukan mitra untuk membeli atau membaginya.
Namun, sebagian besar organisasi yang memiliki peluang besar ingin memperoleh manfaat dari
identifikasi peluang tersebut. Menjual peluang tersebut mungkin memberikan jalan keluar yang
menguntungkan, namun membaginya dengan, misalnya, mitra usaha patungan mungkin merupakan
pilihan jangka panjang yang lebih baik.
Memasuki kemitraan usaha patungan akan mengurangi tingkat risiko yang dihadapi organisasi,
namun akan menghasilkan pembagian manfaat. Keputusan ini akan bergantung pada strategi bisnis,
selera risiko, kapasitas risiko, dan ketersediaan mitra bisnis yang sesuai. Selain kemitraan usaha
patungan, pemanfaatan peluang bisnis juga dapat dilakukan dengan berbagi risiko, menggunakan
cara seperti outsourcing untuk berbagi risiko dengan pihak lain dalam rantai pasokan.
Perlu dicatat bahwa Gambar 15.3 mewakili diagram alur dari start-up
Machine Translated by Google
Abaikan: strategi 'penerimaan' tidak mengambil tindakan untuk menghadapi risiko bahaya, dan
peluang dapat diabaikan, dengan pendekatan reaktif namun tidak ada tindakan eksplisit.
Berbagi (mentransfer) peluang: strategi 'berbagi' untuk peluang mencari mitra yang mampu
mengelola peluang yang dapat memaksimalkan peluang terjadinya.
Machine Translated by Google
16
Teknik pengendalian risiko
Jenis kontrol
Ada serangkaian pengendalian yang dapat diterapkan pada risiko bahaya. Sistem klasifikasi
yang paling mudah adalah menggambarkan pengendalian ini sebagai pencegahan, perbaikan,
direktif, dan detektif. Ini adalah sistem klasifikasi risiko yang disarankan dalam Buku Oranye.
Tabel 16.1 memberikan penjelasan lebih rinci mengenai keempat jenis pengendalian bahaya
ini.
Kontrol
umum Hierarki pengendalian risiko Hirarki pengendalian risiko
kategori kesehatan dan keselamatan penipuan
Pengendalian preventif dirancang untuk membatasi kemungkinan terjadinya peristiwa bahaya yang
tidak diinginkan. Mayoritas pengendalian yang diterapkan dalam organisasi dalam menanggapi risiko
bahaya adalah pengendalian preventif. Untuk risiko kesehatan dan keselamatan, pengendalian
pencegahan akan mencakup penggantian bahan yang tidak terlalu berbahaya dalam aktivitas atau
menutup aktivitas sehingga paparan debu atau asap pada karyawan dapat dihilangkan. Contoh
pengendalian preventif terhadap risiko penipuan ditunjukkan pada Tabel 16.2.
Pengendalian korektif dirancang untuk memperbaiki keadaan yang tidak diinginkan dan mengurangi
paparan risiko yang tidak dapat diterima. Pengendalian tersebut memberikan metode utama dalam
menangani risiko sehingga risiko tersebut kecil kemungkinannya terjadi dan/atau dampaknya jauh
berkurang. Secara umum, pengendalian korektif dirancang untuk memperbaiki situasi. Misalnya,
penjaga mesin adalah pengendalian korektif.
Pada kenyataannya argumen ini, seperti banyak argumen lain mengenai terminologi, tidak
membantu. Ketika suatu organisasi dihadapkan pada krisis, organisasi akan berada dalam posisi yang
lebih baik untuk mengatasinya jika rencana telah dipertimbangkan dan dilaksanakan sebelum krisis
terjadi. Terkadang manajemen krisis melibatkan penggunaan fasilitas alternatif yang telah ada sebelum
krisis muncul. Dapat dikatakan bahwa ini adalah pengendalian korektif.
Dalam semua kasus, manajemen krisis akan melibatkan arahan kepada pihak-pihak yang terlibat
mengenai bagaimana mereka harus berperilaku jika krisis muncul. Dapat dikatakan bahwa ini adalah
pengendalian direktif. Biasanya, pengendalian detektif berkaitan dengan identifikasi keadaan di mana
risiko terjadi pada tingkat yang cukup rendah dengan dampak dan konsekuensi yang terbatas. Jelasnya,
DRP dan BCP berhubungan dengan keadaan dimana risiko telah terwujud pada tingkat krisis. Oleh
karena itu, tidak tepat untuk mengklasifikasikan DRP dan BCP sebagai pengendalian detektif.
Representasi kupu-kupu dari proses manajemen risiko adalah cara yang tepat untuk menggambarkan
peran keempat jenis pengendalian. Pengendalian preventif relevan dengan tindakan yang diambil
sebelum peristiwa terjadi. Sifat detektif
pengendalian berarti bahwa pengendalian tersebut berkaitan dengan keadaan setelah peristiwa terjadi.
Pengendalian korektif dan direktif mungkin relevan dengan pencegahan kerugian, pembatasan
kerusakan, dan pengendalian biaya. Ini adalah tiga fase pengendalian kerugian. Relevansi jenis
pengendalian dengan presentasi proses manajemen risiko ditunjukkan pada Gambar 16.2. Sebagai
ilustrasi, gambar ini menggunakan bahaya kerusakan bangunan yang sama seperti yang ditunjukkan
pada Gambar 11.2.