Risk Management (Translate)

Machine Translated by Google
Dasar-dasar Risiko
Pengelolaan
Menuju masa depan yang aman, tenteram, dan berkelanjutan

Edisi Kelima
Dasar-dasar Risiko
Pengelolaan
Memahami, mengevaluasi dan
menerapkan manajemen
risiko yang efektif
Paul Hopkin
ISI
Menutupi
Judul Halaman
hak cipta
Isi
Daftar Gambar
Daftar tabel
Kata pengantar
Ucapan Terima Kasih
Perkenalan
Manajemen risiko dalam konteks

Sifat risiko
Manajemen risiko
Terminologi manajemen risiko
Manfaat manajemen risiko
Fitur manajemen risiko
Struktur buku
Manajemen risiko dalam praktiknya
Masa depan untuk manajemen risiko
Perubahan untuk edisi kelima
BAGIAN SATU Pengantar manajemen risiko
Hasil pembelajaran untuk Bagian Satu

Bagian Pertama bacaan lebih lanjut
Bagian Pertama studi kasus
Grup Peringkat: Bagaimana kita mengelola risiko

ABIL: Tinjauan manajemen risiko

BIS: Pendekatan terhadap risiko
01 Pendekatan untuk mendefinisikan risiko
Definisi risiko
Jenis risiko
Deskripsi risiko
Tingkat risiko yang melekat
Sistem klasifikasi risiko

Kemungkinan dan besarnya risiko
02 Dampak risiko pada organisasi
Tingkat risiko
Dampak risiko bahaya

Lampiran risiko
Risiko dan imbalan
Sikap terhadap risiko
Risiko dan pemicunya
03 Jenis risiko
Skala waktu dampak risiko

Empat jenis risiko
Rangkullah risiko peluang
Kelola risiko ketidakpastian
Mengurangi risiko bahaya
Meminimalkan risiko kepatuhan
04 Ruang lingkup manajemen risiko
Asal usul manajemen risiko

Pengembangan manajemen risiko
Bidang spesialis manajemen risiko
Representasi sederhana dari manajemen risiko

Manajemen risiko perusahaan
Tingkat kecanggihan manajemen risiko
05 Prinsip dan tujuan manajemen risiko
Prinsip manajemen risiko

Pentingnya manajemen risiko
Kegiatan manajemen risiko
Proses inti yang efektif dan efisien
Menerapkan manajemen risiko
Mencapai manfaat
BAGIAN DUA Pendekatan manajemen risiko
Hasil pembelajaran Bagian Kedua

Bagian Kedua bacaan lebih lanjut
Bagian Kedua Studi Kasus
United Utilities: Kerangka kerja manajemen risiko kami

Dewan Kota Birmingham: Pengawasan, akuntabilitas dan
manajemen risiko
Tsogo Sun: Proses manajemen risiko
06 Standar manajemen risiko
Ruang lingkup standar manajemen risiko

Proses manajemen risiko
Konteks manajemen risiko
Kubus COSO ERM
Revisi ISO 31000 (2018)
Memperbarui terminologi RM
07 Menetapkan konteks
Ruang lingkup konteksnya

Konteks eksternal
Konteks internal

Merancang daftar risiko
Menggunakan daftar risiko
08 Manajemen risiko perusahaan
Pendekatan di seluruh perusahaan

Definisi ERM
ERM dalam praktiknya
ERM dan kelangsungan bisnis

ERM di bidang energi dan keuangan
Mengintegrasikan strategi dan kinerja
09 Pendekatan alternatif
Mengubah wajah manajemen risiko

Mengelola risiko yang muncul
Semakin pentingnya ketahanan
Pendekatan yang berbeda
Struktur standar manajemen
Masa depan manajemen risiko
BAGIAN KETIGA Penilaian risiko
Hasil pembelajaran Bagian Ketiga

Bagian Ketiga bacaan lebih lanjut
Bagian Ketiga Studi Kasus
AA: Tata kelola risiko

British Land: Penilaian kami terhadap risiko adalah landasannya
Anjing Pemandu NSW/ACT: Daftar sisa risiko utama

10 Pertimbangan penilaian risiko
Pentingnya penilaian risiko

Pendekatan penilaian risiko
Teknik penilaian risiko
Sifat matriks risiko
Persepsi risiko
11 Sistem klasifikasi risiko
Risiko jangka pendek, menengah dan panjang
Sifat sistem klasifikasi risiko

Contoh sistem klasifikasi risiko
Kartu skor risiko PERUSAHAAN
Sistem klasifikasi risiko PESTLE

Kepatuhan, bahaya, pengendalian dan peluang
12 Analisis dan evaluasi risiko
Penerapan matriks risiko

Tingkat risiko yang melekat dan saat ini
Kendalikan kepercayaan diri
4T respons risiko bahaya

Signifikansi risiko
Kapasitas risiko
13 Pengendalian kerugian
Kemungkinan risiko
Besaran risiko
Risiko bahaya
Pencegahan kerugian
Batasan kerusakan
Pengendalian biaya
14 Mendefinisikan sisi atas risiko
Sisi positif dari risiko
Penilaian peluang
Indeks keberisikoan
Terbalik dalam strategi

Keuntungan dalam proyek
Terbalik dalam operasi
BAGIAN KEEMPAT Respon risiko
Hasil pembelajaran Bagian Keempat

Bagian Keempat bacaan lebih lanjut
Bagian Keempat studi kasus
Intu Properties: Pembaruan asuransi

The Walt Disney Company: Pengungkapan tentang risiko pasar
Australian Mines Limited: Penilaian risiko dan
pengelolaan
15 Menoleransi, mengobati, mentransfer, dan mengakhiri
Respons bahaya 4T
Toleransi risiko
Perlakukan risiko
Mentransfer risiko
Hentikan risiko
Respons risiko strategis
16 Teknik pengendalian risiko
Jenis kontrol
Zona risiko bahaya
Kontrol preventif
Kontrol korektif
Kontrol direktif
Kontrol detektif
17 Asuransi dan pengalihan risiko
Pentingnya asuransi
Sejarah asuransi
Jenis perlindungan asuransi
Evaluasi kebutuhan asuransi
Pembelian asuransi
Perusahaan asuransi tawanan
18 Kelangsungan usaha
Manajemen kelangsungan bisnis

Standar kelangsungan bisnis
Keberlangsungan bisnis yang sukses
Analisis dampak bisnis (BIA)
Kelangsungan bisnis dan ERM
Keadaan darurat sipil
BAGIAN LIMA Strategi risiko
Hasil pembelajaran Bagian Kelima

Bagian Kelima bacaan lebih lanjut
Bagian Kelima Studi Kasus
AMEC Foster Wheeler: Risiko dan ketidakpastian utama

BBC: Jaminan pengendalian internal
Jam Tangan & Perhiasan Kaisar: Manajemen risiko
19 Proses bisnis inti

Model bisnis yang dinamis

Jenis proses bisnis
Strategi dan taktik
Operasi yang efektif dan efisien
Memastikan kepatuhan
Pelaporan kinerja
20 Reputasi dan model bisnis
Komponen model bisnis

Manajemen risiko dan model bisnis
Reputasi dan tata kelola perusahaan
CSR dan manajemen risiko
Rantai pasokan dan perdagangan etis
Pentingnya reputasi
21 Konteks manajemen risiko
Arsitektur, strategi dan protokol

Arsitektur risiko
Strategi manajemen risiko
Protokol manajemen risiko
Panduan manajemen risiko
Dokumentasi manajemen risiko
22 Tanggung jawab manajemen risiko
Alokasi tanggung jawab

Rentang tanggung jawab
Tanggung jawab hukum manajemen
Peran manajer risiko
Arsitektur risiko dalam praktiknya
Komite risiko
23 Pengendalian risiko bahaya tertentu
Biaya pengendalian risiko
Belajar dari kontrol

Pengendalian risiko keuangan
Pengendalian risiko infrastruktur
Pengendalian risiko reputasi

Pengendalian risiko pasar
BAGIAN ENAM Budaya risiko
Hasil pembelajaran Bagian Enam

Bagian Enam bacaan lebih lanjut
Bagian Keenam studi kasus
Network Rail: Pendekatan kami terhadap manajemen risiko

Kota Metropolitan Ekurhuleni (EMM): Manajemen risiko
Ericsson: Laporan tata kelola perusahaan
24 Budaya sadar risiko
Gaya manajemen risiko

Langkah-langkah menuju manajemen risiko yang sukses
Mendefinisikan budaya risiko
Mengukur budaya risiko

Penyelarasan kegiatan
Model kematangan risiko
25 Pentingnya selera risiko
Sifat selera risiko

Selera risiko dan matriks risiko
Risiko dan ketidakpastian
Eksposur risiko dan kapasitas risiko
Pernyataan selera risiko
Selera risiko dan keputusan gaya hidup
26 Pelatihan dan komunikasi risiko
Respons yang konsisten terhadap risiko
Pelatihan risiko dan budaya risiko

Informasi dan komunikasi risiko
Kosakata risiko bersama

Informasi risiko di intranet
Sistem informasi manajemen risiko (RMIS)
27 Kompetensi praktisi risiko
Kerangka kompetensi
Berbagai keterampilan
Kemampuan berkomunikasi
Keterampilan hubungan
Kemampuan analisis
Keterampilan manajemen
BAGIAN TUJUH Tata kelola risiko
Hasil pembelajaran Bagian Ketujuh
Bagian Ketujuh bacaan lebih lanjut

Bagian Ketujuh Studi Kasus
Severn Trent Water: Pendekatan kami terhadap risiko
Tim Hortons: Keberlanjutan dan tanggung jawab
DCMS: Kapasitas untuk menangani risiko
28 Model tata kelola perusahaan
Tata kelola perusahaan
Prinsip tata kelola perusahaan OECD

Kerangka tata kelola perusahaan LSE

Tata kelola perusahaan untuk bank
Tata kelola perusahaan untuk suatu instansi pemerintah
Evaluasi kinerja dewan
29 Harapan pemangku kepentingan
Berbagai pemangku kepentingan
Dialog pemangku kepentingan
Pemangku kepentingan dan proses inti

Pemangku kepentingan dan strategi
Pemangku kepentingan dan taktik
Pemangku kepentingan dan operasi
30 Manajemen risiko operasional
Resiko operasional
Definisi risiko operasional
Basel II dan Basel III
Pengukuran risiko operasional

Kesulitan pengukuran
Perkembangan risiko operasional
31 Manajemen risiko proyek
Pengantar manajemen risiko proyek

Pengembangan manajemen risiko proyek
Ketidakpastian dalam proyek
Siklus hidup proyek
Peluang dalam proyek
Analisis dan manajemen risiko proyek
32 Manajemen rantai pasokan
Pentingnya rantai pasokan

Ruang lingkup rantai pasokan

Kemitraan strategis
Usaha bersama
Pengalihdayaan operasi
Risiko dan kontrak
BAGIAN DELAPAN Jaminan risiko
Hasil pembelajaran untuk Bagian Kedelapan
Bagian Kedelapan bacaan lebih lanjut
Bagian Kedelapan studi kasus
Unilever: Selera risiko dan pendekatan kami terhadap

manajemen risiko
Colgate Palmolive: Rusaknya reputasi
Sainsbury's dan Tesco: Risiko dan ketidakpastian utama
33 Lingkungan pengendalian
Sifat pengendalian internal
Tujuan pengendalian internal

Lingkungan kendali
Fitur lingkungan kontrol
Kerangka pengendalian internal CoCo
Budaya keselamatan yang baik
34 Teknik jaminan risiko
komite audit
Peran manajemen risiko

Jaminan risiko
Keluaran manajemen risiko

Kontrol risiko penilaian mandiri
Manfaat jaminan risiko
35 Kegiatan audit internal
Ruang lingkup audit internal

Peran audit internal
Melakukan audit internal

Manajemen risiko dan audit internal
Tanggung jawab manajemen
Lima baris jaminan
36 Pelaporan manajemen risiko
Pelaporan risiko
Undang-undang Sarbanes – Oxley tahun 2002
Laporan risiko oleh perusahaan-perusahaan AS
Pelaporan risiko badan amal

Pelaporan risiko sektor publik
Laporan pemerintah tentang keamanan nasional
Lampiran A: Singkatan dan akronim

Lampiran B: Daftar Istilah
Lampiran C: Panduan penerapan
Indeks
Sampul belakang
DAFTAR GAMBAR
GAMBAR 1.1 Kemungkinan dan besarnya risiko
GAMBAR 2.1 Lampiran risiko
GAMBAR 2.2 Risiko dan imbalan
GAMBAR 2.3 Peristiwa disruptif dan dasi kupu-kupu
GAMBAR 4.1 8R dan 4T manajemen risiko (bahaya).
GAMBAR 4.2 Kecanggihan manajemen risiko
GAMBAR 6.1 Proses manajemen risiko IRM
GAMBAR 6.2 Komponen konteks RM
GAMBAR 6.3 Kubus COSO ERM
GAMBAR 6.4 Proses RM dari ISO 31000 (2018)
GAMBAR 7.1 Tiga komponen konteks
GAMBAR 10.1 Matriks sikap risiko
GAMBAR 11.1 Representasi manajemen risiko
GAMBAR 11.2 Dasi kupu-kupu dan risiko terhadap bangunan
GAMBAR 12.1 Matriks risiko pribadi
GAMBAR 12.2 Tingkat risiko yang melekat, saat ini, dan target
GAMBAR 13.1 Pengendalian kerugian dan dasi kupu-kupu

GAMBAR 14.1 Matriks risiko peluang dan bahaya
GAMBAR 15.1 Matriks risiko dan 4T manajemen bahaya
GAMBAR 15.2 Risiko versus imbalan dalam strategi
GAMBAR 15.3 Risiko peluang dan selera risiko
GAMBAR 16.1 Jenis pengendalian risiko bahaya
GAMBAR 16.2 Dasi kupu-kupu dan jenis kontrolnya
Gambar 16.3 Zona risiko bahaya
GAMBAR 17.1 Peran perusahaan asuransi captive
GAMBAR 18.1 Jadwal dan biaya pemulihan bencana
GAMBAR 18.2 Model perencanaan keberlangsungan bisnis
GAMBAR 19.1 Model pengembangan bisnis
GAMBAR 20.1 Komponen model bisnis
GAMBAR 20.2 Memetakan komponen reputasi
GAMBAR 22.1 Arsitektur risiko untuk perusahaan besar
GAMBAR 22.2 Arsitektur risiko untuk badan amal
GAMBAR 23.1 Ilustrasi efek kontrol
GAMBAR 23.2 Pengendalian hemat biaya
GAMBAR 23.3 Belajar dari kontrol
GAMBAR 23.4 Keputusan risiko dan imbalan

GAMBAR 24.1 Kematangan risiko ditunjukkan pada matriks
GAMBAR 25.1 Selera risiko, eksposur dan kapasitas (optimal)
GAMBAR 25.2 Risiko dan ketidakpastian
GAMBAR 25.3 Selera risiko, eksposur dan kapasitas (rentan)
GAMBAR 28.1 Kerangka tata kelola perusahaan LSE
GAMBAR 28.2 Tata kelola perusahaan pada suatu instansi pemerintah
GAMBAR 29.1 Pentingnya proses inti
GAMBAR 31.1 Matriks risiko untuk mewakili risiko proyek
GAMBAR 31.2 Dasi kupu-kupu untuk mewakili risiko proyek
GAMBAR 31.3 Siklus hidup proyek
GAMBAR 31.4 Mengurangi ketidakpastian selama proyek berlangsung
GAMBAR 33.1 Kerangka Kriteria Pengendalian (CoCo).
GAMBAR 35.1 Peran audit internal dalam ERM
Gambar 35.2 Tata Kelola, Risiko dan Kepatuhan
GAMBAR 36.1 Ancaman keamanan tertentu di Inggris

Daftar tabel
TABEL 1.1 Definisi risiko
TABEL 1.2 Deskripsi risiko
TABEL 3.1 Risiko yang terkait dengan kepemilikan mobil
TABEL 3.2 Kategori gangguan operasional
TABEL 4.1 Definisi manajemen risiko
TABEL 4.2 Pentingnya manajemen risiko
TABEL 4.3 Manajemen risiko (bahaya) 8R dan 4T
TABEL 5.1 Prinsip-prinsip manajemen risiko
TABEL 5.2 Tujuan manajemen risiko
TABEL 6.1 Standar manajemen risiko
TABEL 6.2 Kubus COSO ERM
TABEL 7.1 Format daftar risiko dasar
TABEL 7.2 Daftar risiko untuk klub olahraga
TABEL 7.3 Daftar risiko suatu rumah sakit
TABEL 7.4 Daftar risiko proyek
TABEL 7.5 Daftar risiko yang dilampirkan pada rencana bisnis
TABEL 8.1 Ciri-ciri pendekatan skala perusahaan

TABEL 8.2 Definisi manajemen risiko perusahaan
TABEL 8.3 Manfaat manajemen risiko perusahaan
TABEL 9.1 Praktik risiko terpilih dari Raja IV
TABEL 10.1 Penilaian risiko dari atas ke bawah
TABEL 10.2 Penilaian risiko dari bawah ke atas
TABEL 10.3 Teknik penilaian risiko
Tabel 10.4 Kelebihan dan kekurangan teknik RA
TABEL 10.5 Definisi kemungkinan
TABEL 10.6 Definisi dampak
TABEL 11.1 Sistem klasifikasi risiko
TABEL 11.2 Atribut kartu skor risiko PERUSAHAAN
TABEL 11.3 Sistem klasifikasi PESTLE
TABEL 11.4 Kisi-kisi masalah pribadi
TABEL 12.1 Uji tolok ukur signifikansi risiko
TABEL 13.1 Ketergantungan kunci umum
TABEL 14.1 Mendefinisikan sisi atas risiko
TABEL 14.2 Indeks Keberisikoan
TABEL 15.1 Deskripsi 4T respon bahaya
TABEL 15.2 Ketergantungan utama dan risiko signifikan

TABEL 16.1 Deskripsi jenis pengendalian bahaya
TABEL 16.2 Contoh hierarki pengendalian bahaya
TABEL 17.1 Berbagai jenis asuransi
TABEL 17.2 Mengidentifikasi asuransi yang diperlukan
TABEL 18.1 Kegiatan utama dalam perencanaan kelangsungan usaha
TABEL 20.1 Cakupan permasalahan yang dicakup oleh CSR
TABEL 20.2 Komponen reputasi
TABEL 20.3 Ancaman terhadap reputasi
TABEL 21.1 Kerangka manajemen risiko
TABEL 21.2 Jenis dokumentasi RM
TABEL 21.3 Panduan manajemen risiko
TABEL 21.4 Protokol manajemen risiko
TABEL 22.1 Tanggung jawab manajemen risiko
Tabel 22.2 Peran historis manajer risiko asuransi
TABEL 22.3 Tanggung jawab komite RM
TABEL 24.1 Mencapai manajemen risiko perusahaan yang sukses
TABEL 24.2 Hambatan dan tindakan implementasi
TABEL 24.3 Budaya sadar risiko
TABEL 24.4 Empat tingkat kematangan risiko

TABEL 25.1 Definisi selera risiko
TABEL 25.2 Pernyataan selera risiko
TABEL 25.3 Selera risiko untuk organisasi manufaktur
TABEL 25.4 Pengendalian risiko kepemilikan mobil
TABEL 26.1 Pelatihan manajemen risiko
TABEL 26.2 Pedoman komunikasi risiko
TABEL 26.3 Sistem informasi manajemen risiko (RMIS)
TABEL 27.1 Keterampilan teknis manajemen risiko
TABEL 27.2 Keterampilan manusia bagi praktisi manajemen risiko
TABEL 27.3 Struktur kursus pelatihan
TABEL 28.1 Prinsip-prinsip tata kelola perusahaan OECD
TABEL 28.2 Prinsip Nolan dalam kehidupan bermasyarakat
TABEL 28.3 Mengevaluasi efektivitas dewan
TABEL 29.1 Data pemegang saham
TABEL 29.2 Klub olahraga: ekspektasi umum pemangku kepentingan
TABEL 30.1 Prinsip ORM (Basel II)
TABEL 30.2 Risiko operasional suatu bank
TABEL 30.3 Risiko operasional pada perusahaan keuangan dan industri
TABEL 31.1 Model PRAM untuk proyek RM

Tabel 32.1 Resiko yang terkait dengan outsourcing
TABEL 32.2 Ruang lingkup kontrak outsourcing
TABEL 33.1 Definisi pengendalian internal
TABEL 33.2 Komponen kerangka CoCo
TABEL 34.1 Tanggung jawab komite audit
TABEL 34.2 Sumber jaminan risiko
TABEL 35.1 Melakukan audit internal
TABEL 35.2 Alokasi tanggung jawab
TABEL 36.1 Tanggung jawab manajemen risiko (RM) dewan
TABEL 36.2 Laporan risiko dalam Formulir 20-F
TABEL 36.3 Prinsip-prinsip pelaporan risiko pemerintah

KATA PENGANTAR
Pentingnya manajemen
risiko perusahaan
Organisasi menghadapi lingkungan yang semakin menantang dan kompleks untuk

menjalankan aktivitasnya. Sejak edisi keempat buku teks ini, dampak krisis keuangan
global terus menjadi tantangan bagi organisasi-organisasi publik, swasta, dan sektor
ketiga. Yang lebih rumit lagi, dekade kedua abad ke-21 ditandai dengan ketidakstabilan
politik di banyak belahan dunia dan keputusan Inggris untuk keluar dari Uni Eropa
baru-baru ini telah menambah ketidakpastian global.
Dalam lingkungan yang semakin tidak menentu ini, organisasi dituntut untuk
memenuhi ekspektasi pemangku kepentingan yang lebih tinggi, sekaligus memenuhi
persyaratan tata kelola perusahaan yang lebih besar terkait dengan tanggung jawab
etika dan sosial. Misalnya, undang-undang telah diperkenalkan di banyak negara
untuk memperluas cakupan persyaratan mengenai pengelolaan risiko suap dan
penghindaran perbudakan modern.
Mengingat semua perkembangan ini, pembaruan buku teks ini untuk memberikan
penekanan yang lebih besar pada pentingnya manajemen risiko perusahaan (ERM)
terhadap keberhasilan organisasi sangatlah tepat waktu. ERM yang sukses, termasuk
perlindungan reputasi perusahaan, terus menjadi keharusan bisnis bagi semua
organisasi. Inisiatif ERM yang sukses meningkatkan kemampuan organisasi untuk
mencapai tujuan dan memastikan keberlanjutan, berdasarkan perilaku yang transparan
dan etis.
Institute of Risk Management (IRM) telah lama mendukung pengembangan ERM,
sebagai kontribusi terhadap pengembangan dan penyampaian model dan strategi
bisnis yang sukses untuk semua jenis organisasi. Kursus pelatihan dan kualifikasi
yang ditawarkan oleh IRM memungkinkan para profesional risiko dan pihak lain untuk
mendukung pemberi kerja dan/atau klien mereka dalam mencapai manfaat maksimal dari ERM
prakarsa.
Meskipun buku teks ini dirancang khusus untuk Sertifikat Internasional IRM dalam Manajemen
Risiko Perusahaan, isinya menguraikan pendekatan untuk mencapai keberhasilan ERM yang akan
mendukung semua jenis organisasi dalam upaya mereka mencapai tujuan perusahaan dan
memenuhi harapan pemangku kepentingan. Buku teks ini adalah sumber berharga bagi semua
organisasi dan siapa pun yang berkepentingan dengan manajemen risiko.
Ian Livsey PhD MBA

Ian Livsey adalah Kepala Eksekutif di Institut Manajemen Risiko, badan pendidikan, pelatihan, dan
pengetahuan profesional manajemen risiko terkemuka di dunia. Informasi lebih lanjut mengenai
Institut dan Sertifikat Internasional tersedia di situs web IRM, www.theirm.org.
UCAPAN TERIMA KASIH
Profesi manajemen risiko dan keahlian para profesional risiko terus berkembang
seiring dengan semakin meningkatnya ekspektasi terhadap manajer risiko dan
konsultan risiko. Semakin banyak organisasi yang telah menunjuk individu dengan
jabatan chief risk officer (CRO) dan perkembangan ini telah meningkatkan kebutuhan
akan kualifikasi profesional yang kuat dan penunjukan bagi praktisi manajemen risiko.
Mengingat kompleksitas lingkungan bisnis yang semakin meningkat, tidak

mengherankan jika penerbitan Fundamentals of Risk Management edisi kelima
menjadi diperlukan, hanya 18 bulan setelah penerbitan edisi keempat. Pentingnya
dan kontribusi manajemen risiko terus meningkat dan pusat-pusat keahlian dan
keunggulan manajemen risiko terus berkembang di semua sektor bisnis, baik sektor
swasta, publik, atau sektor ketiga.
Ceramah, seminar, kelompok minat khusus dan pertemuan kelompok lainnya,
serta percakapan tatap muka dengan spesialis risiko membantu pembaruan buku ini.
Jelas bahwa ide dan pengalaman terkait manajemen risiko perusahaan terus
berkembang. Panduan baru dari COSO, bersama dengan versi terbaru ISO 31000
baru-baru ini diterbitkan dan tingkat pengetahuan serta keahlian yang terlibat dalam
pembuatan standar manajemen risiko ini terbukti menjadi sumber informasi yang
sangat berharga untuk revisi buku ini.
Tantangan utama dalam memproduksi edisi kelima buku teks ini adalah
menyelaraskan materi dalam buku ini lebih dekat dengan silabus kualifikasi IRM di
bidang Manajemen Risiko Perusahaan (ERM). Saat menjalankan tugas ini, saya
telah menerima banyak bantuan dan dukungan dari rekan-rekan di Institute of Risk
Management (IRM), serta banyak komentar mendalam dari para profesional risiko
yang bekerja sebagai presenter dan pengajar pada kursus pelatihan dan pengajaran
IRM.
Saya tetap berterima kasih kepada banyak pihak yang telah membantu
berkembangnya ide-ide yang disajikan dan dibahas dalam buku ini. Saya yakin bahwa
perkembangan dalam manajemen risiko akan terus berlanjut dan mengikuti perkembangannya
Perkembangan dan penyempurnaan teori dan praktik manajemen risiko akan tetap
menjadi tantangan bagi para praktisi manajemen risiko, yang semuanya berupaya
memberikan manfaat dari peningkatan manajemen risiko kepada organisasi pemberi
kerja dan/atau kliennya.
Paul Hopkin
Perkenalan
Manajemen risiko dalam konteks

Buku ini ditujukan bagi semua orang yang menginginkan pengenalan teori dan penerapan
manajemen risiko secara komprehensif. Ini menetapkan pengenalan terpadu terhadap
manajemen risiko di organisasi publik dan swasta. Mempelajari buku ini akan memberikan
wawasan tentang dunia manajemen risiko dan juga dapat membantu pembaca memutuskan
apakah manajemen risiko merupakan pilihan karir yang cocok bagi mereka.
Banyak pembaca yang ingin menggunakan buku ini untuk mendapatkan pemahaman
yang lebih baik tentang risiko dan manajemen risiko sehingga memenuhi tanggung jawab
utama pekerjaan mereka dengan pemahaman yang lebih baik tentang risiko. Buku ini
dirancang untuk menyampaikan silabus Sertifikat Internasional dalam kualifikasi Manajemen
Risiko dari Institut Manajemen Risiko. Namun, hal ini juga bertindak sebagai pengenalan
disiplin manajemen risiko bagi mereka yang tertarik pada subjek namun belum (belum)
melakukan program studi.
Pengantar risiko dan manajemen risiko disajikan di Bagian Satu dan Bagian Kedua buku
ini, dan administrasi manajemen risiko dibahas di Bagian Lima (Strategi Risiko). Bagian
Tiga dan Empat menjelaskan penerapan manajemen risiko dalam hal penilaian risiko dan
respons risiko. Bagian Enam membahas budaya risiko, Bagian Tujuh menjelaskan tata
kelola risiko, dan Bagian Delapan membahas jaminan risiko dan pelaporan risiko. Bagian
Tujuh dan Delapan berkonsentrasi pada penerapan alat dan teknik manajemen risiko, serta
mempertimbangkan keluaran dari proses manajemen risiko dan manfaat yang timbul.
Kita semua menghadapi risiko dalam kehidupan kita sehari-hari. Risiko muncul dari
aktivitas pribadi dan berkisar dari risiko yang terkait dengan perjalanan hingga risiko yang
terkait dengan keputusan keuangan pribadi. Ada banyak risiko yang terdapat dalam
komponen kehidupan rumah tangga, termasuk risiko kebakaran di rumah dan risiko
keuangan yang terkait dengan kepemilikan rumah. Memang benar, terdapat juga berbagai
macam risiko yang terkait dengan permasalahan rumah tangga dan hubungan, namun hal-
hal tersebut berada di luar cakupan buku ini.
Buku ini terutama membahas risiko bisnis dan komersial serta peran yang kita jalankan
dalam pekerjaan atau pekerjaan kita. Namun, tugas mengevaluasi risiko dan memutuskan
bagaimana meresponsnya merupakan aktivitas sehari-hari, tidak hanya di tempat kerja
namun juga di rumah dan selama aktivitas senggang.
Pentingnya konteks ditekankan di seluruh buku ini dan Bab 7 secara khusus membahas
tahap pertama proses manajemen risiko, yaitu 'menetapkan konteks'. Pertimbangan konteks
lebih lanjut disajikan pada Bab 21 yang menjelaskan konteks manajemen risiko secara lebih
rinci.
Sifat risiko
Peristiwa yang terjadi baru-baru ini di dunia telah membawa risiko ke tingkat yang lebih
tinggi. Terorisme, peristiwa cuaca ekstrem, dan krisis keuangan global mewakili risiko
ekstrem yang dihadapi masyarakat dan perdagangan. Risiko-risiko ekstrem ini ada di
samping risiko-risiko sehari-hari, yang agak lebih biasa, yang disebutkan di atas.
Mengevaluasi berbagai respons risiko yang tersedia dan memutuskan respons yang
paling tepat untuk setiap kasus merupakan inti dari manajemen risiko. Menanggapi risiko
harus menghasilkan manfaat bagi kita sebagai individu, serta bagi organisasi tempat kita
bekerja dan/atau bekerja.
Dalam kehidupan pribadi dan rumah tangga kita, banyak respons terhadap risiko terjadi
secara otomatis. Cara kami menghindari kebakaran dan kecelakaan lalu lintas didasarkan
pada respons yang sudah mapan dan otomatis. Kebakaran dan kecelakaan merupakan
jenis risiko yang hanya dapat menimbulkan akibat negatif, dan sering disebut sebagai risiko
bahaya. Persyaratan kepatuhan dipandang oleh banyak organisasi sebagai risiko bahaya,
sehingga kegagalan untuk mematuhinya hanya akan berdampak negatif. Namun, organisasi
lain berpandangan bahwa mencapai kepatuhan dapat membawa manfaat tambahan atau
memberikan 'risiko positif'.
Beberapa risiko lain telah ditetapkan atau memerlukan respons yang dibebankan kepada
kita sebagai individu dan/atau organisasi sebagai persyaratan wajib. Misalnya, dalam
kehidupan pribadi kita, membeli asuransi mobil biasanya merupakan persyaratan hukum,
sedangkan membeli asuransi rumah sering kali tidak diwajibkan, namun merupakan
manajemen risiko yang baik dan sangat masuk akal.
Menjaga mobil Anda dalam kondisi mekanis yang baik akan mengurangi kemungkinan a
perincian. Namun, bahkan kendaraan yang diservis dan dirawat sepenuhnya pun terkadang
mengalami kerusakan. Memelihara mobil Anda dalam kondisi mekanis yang baik akan
mengurangi kemungkinan kerusakan, namun tidak akan menghilangkannya sepenuhnya. Jenis
risiko yang mempunyai tingkat ketidakpastian yang besar ini sering disebut sebagai risiko
pengendalian. Resiko yang terkait dengan kepemilikan mobil dieksplorasi secara rinci dalam
buku ini, karena ini merupakan contoh praktis yang dialami oleh kebanyakan orang.
Selain risiko bahaya dan pengendalian, ada juga risiko yang kita ambil karena kita
menginginkan (dan mungkin mengharapkan) hasil yang positif. Misalnya, Anda akan
menginvestasikan uang dengan harapan Anda akan mendapat untung dari investasi tersebut.
Demikian pula, memasang taruhan atau perjudian pada hasil suatu acara olahraga dilakukan
dengan harapan menerima pengembalian yang positif.
Orang-orang berpartisipasi di luar pilihannya dalam olahraga motor dan aktivitas rekreasi
lainnya yang berpotensi membahayakan. Dalam keadaan seperti ini, keuntungan yang didapat
mungkin tidak berupa finansial, namun dapat diukur dari kebanggaan, harga diri, atau rasa
hormat dari kelompok sebaya. Melakukan aktivitas yang melibatkan risiko jenis ini, yang
diharapkan menghasilkan keuntungan positif, dapat disebut sebagai pengambilan risiko peluang.
Manajemen risiko
Organisasi menghadapi berbagai macam risiko yang dapat berdampak pada hasil operasi
mereka. Tujuan keseluruhan yang diinginkan dapat dinyatakan sebagai misi atau serangkaian
tujuan perusahaan. Peristiwa yang dapat berdampak pada organisasi mungkin menghambat
tujuan yang ingin dicapai (risiko bahaya), meningkatkan tujuan tersebut (risiko peluang), atau
menciptakan ketidakpastian mengenai hasil (risiko pengendalian). Terdapat kategori risiko
keempat yang terkait dengan kewajiban wajib yang dibebankan pada organisasi dan risiko ini
disebut sebagai risiko kepatuhan.
Manajemen risiko perlu menawarkan pendekatan terpadu terhadap evaluasi, pengendalian
dan pemantauan ketiga jenis risiko ini. Buku ini mengkaji komponen-komponen utama manajemen
risiko dan bagaimana penerapannya. Contoh-contoh diberikan untuk menunjukkan manfaat
manajemen risiko bagi organisasi di sektor publik dan swasta. Manajemen risiko juga mempunyai
peran penting dalam keberhasilan organisasi nirlaba seperti badan amal dan (untuk
Misalnya) klub dan badan keanggotaan lainnya.

Proses manajemen risiko telah ditetapkan dengan baik, meskipun disajikan dalam
berbagai cara dan seringkali dalam terminologi yang berbeda. Berbagai terminologi
yang digunakan oleh berbagai praktisi manajemen risiko dan sektor bisnis yang
berbeda dieksplorasi dalam buku ini. Selain uraian mengenai standar manajemen
risiko yang telah ditetapkan, juga disajikan gambaran sederhana mengenai
manajemen risiko yang menguraikan tahapan-tahapan penting dalam proses
manajemen risiko untuk membantu pemahaman.
Proses manajemen risiko tidak dapat dilakukan secara terpisah. Hal ini perlu
didukung oleh kerangka dalam organisasi. Sekali lagi, kerangka manajemen risiko
disajikan dan dijelaskan dengan cara yang berbeda-beda dalam berbagai standar,
panduan dan publikasi lain yang tersedia. Dalam semua kasus, komponen kunci
dari kerangka manajemen risiko yang sukses adalah struktur komunikasi dan
pelaporan (arsitektur), keseluruhan strategi manajemen risiko yang ditetapkan oleh
organisasi (strategi) dan seperangkat pedoman dan prosedur (protokol) yang telah
ditetapkan. didirikan. Pentingnya arsitektur risiko, strategi dan protokol (RASP)
dibahas secara rinci dalam buku ini.
Kombinasi proses manajemen risiko, bersama dengan deskripsi kerangka kerja

yang mendukung proses tersebut, merupakan standar manajemen risiko. Terdapat
beberapa standar manajemen risiko yang ada, termasuk IRM Standard dan British
Standard BS 31100:2011. Ada juga kubus COSO ERM Amerika. Penambahan
paling menonjol pada standar manajemen risiko yang ada adalah standar
internasional, ISO 31000, yang pertama kali diterbitkan pada tahun 2009 dan
diperbarui pada tahun 2018. Standar Australia AS 4360 (2004) yang sudah mapan
dan dihormati ditarik pada tahun 2009 dan digantikan dengan ISO. 31000. AS 4360
pertama kali diterbitkan pada tahun 1995 dan ISO 31000 mencakup banyak fitur dan
menawarkan pendekatan serupa dengan yang dijelaskan sebelumnya dalam AS 4360.
Informasi lebih lanjut mengenai standar yang ada dan panduan lain yang
diterbitkan disajikan dalam Bab 6. Selain itu, referensi disertakan di setiap bagian
buku ini untuk memberikan materi lebih lanjut agar pembaca dapat memperoleh
pengenalan komprehensif mengenai subjek manajemen risiko. Singkatan dan
akronim digunakan di seluruh buku ini sebagai tujuan pembelajaran dan pemahaman.
Daftar semua singkatan dan akronim disertakan dalam Lampiran A.
Terminologi manajemen risiko

Sebagian besar publikasi manajemen risiko mengacu pada manfaat memiliki bahasa risiko
yang sama dalam organisasi. Banyak organisasi berhasil mencapai bahasa umum dan
pemahaman umum tentang proses dan protokol manajemen risiko setidaknya secara
internal. Namun, biasanya dalam sektor bisnis, dan kadang-kadang bahkan dalam organisasi
individu, pengembangan bahasa umum mengenai risiko bisa menjadi sangat menantang.
Referensi dan materi pendukung menggunakan banyak terminologi. Pendekatan

manajemen risiko yang berbeda, standar manajemen risiko yang berbeda, dan beragamnya
materi panduan yang tersedia sering kali menggunakan istilah berbeda untuk fitur atau
konsep yang sama. Hal ini disesalkan dan dapat sangat membingungkan, namun tidak
dapat dihindari.
Upaya sedang dilakukan untuk mengembangkan bahasa risiko yang terstandarisasi, dan
Panduan ISO 73 telah dikembangkan sebagai terminologi umum yang harus digunakan
dalam semua standar ISO. Terminologi yang ditetapkan dalam ISO Guide 73 digunakan di
seluruh buku ini sebagai kumpulan definisi default jika memungkinkan. Namun, penggunaan
terminologi standar tidak selalu memungkinkan dan definisi alternatif mungkin diperlukan.
Memang benar, ISO sendiri juga menerbitkan panduan terminologi, Panduan ISO/IEC
51:2014, yang berjudul 'Aspek keselamatan – pedoman untuk dimasukkan dalam standar',
dan definisi dalam Panduan 51 tidak sepenuhnya selaras dengan definisi dalam Panduan 73.
Untuk membantu dalam bidang terminologi yang sulit, Lampiran B menguraikan istilah-
istilah dasar dan definisi yang digunakan dalam manajemen risiko. Ini juga memberikan
referensi silang antara istilah-istilah berbeda yang digunakan untuk menggambarkan konsep
yang sama. Apabila diperlukan dan diperlukan, sebuah tabel yang menguraikan berbagai
definisi untuk konsep yang sama dimasukkan dalam bab yang relevan dalam buku ini, dan
tabel-tabel ini dirujuk silang dalam Lampiran B.
Manfaat manajemen risiko

Ada berbagai alasan mengapa organisasi melakukan aktivitas manajemen risiko. Alasan-
alasan tersebut dirangkum dalam buku ini sebagai proses inti yang wajib, terjamin,
pengambilan keputusan, dan efektif serta efisien (MADE2).
Wajib mengacu pada aktivitas manajemen risiko yang dirancang untuk memastikan
bahwa organisasi mematuhi kewajiban hukum dan peraturan, serta persyaratan
pelanggan atau klien.
Dewan organisasi akan memerlukan jaminan bahwa risiko signifikan telah
diidentifikasi dan pengendalian yang tepat telah diterapkan. Untuk memastikan bahwa
keputusan bisnis yang diambil benar, organisasi harus melakukan aktivitas manajemen
risiko yang memberikan informasi terstruktur tambahan untuk membantu pengambilan
keputusan bisnis.
Terakhir, manfaat utama dari manajemen risiko adalah untuk meningkatkan
efektivitas dan efisiensi operasi dalam organisasi. Selain itu, hal ini juga harus
membantu memastikan bahwa proses bisnis (termasuk peningkatan proses melalui
taktik, proyek, dan inisiatif perubahan lainnya) juga efektif dan efisien.
Yang terakhir, strategi yang dipilih juga harus efektif dan efisien, karena mampu
memberikan apa yang dibutuhkan.
Masukan manajemen risiko diperlukan dalam kaitannya dengan pengambilan
keputusan strategis, tetapi juga dalam kaitannya dengan pelaksanaan proyek dan
program kerja yang efektif, serta dalam kaitannya dengan operasional rutin organisasi.
Manfaat manajemen risiko juga dapat diidentifikasi dalam kaitannya dengan tiga
rentang waktu aktivitas dalam organisasi. Keluaran dari aktivitas manajemen risiko
dapat memberikan manfaat bagi organisasi dalam tiga rentang waktu dan memastikan
bahwa organisasi mencapai strategi, taktik, dan operasi yang efektif dan efisien.
Strategi, taktik dan operasi didukung oleh kebutuhan untuk mencapai kepatuhan.
Proses dan aktivitas inti strategis, taktis, operasional, dan kepatuhan (STOC)
mencakup keseluruhan proses dalam suatu organisasi. Proses-proses ini merupakan
proses inti organisasi dan analisis proses inti memberikan pendekatan komprehensif
terhadap manajemen risiko yang digunakan di beberapa bagian buku ini.
Untuk mencapai kontribusi manajemen risiko yang sukses, manfaat yang diharapkan
dari setiap inisiatif manajemen risiko harus diidentifikasi. Jika manfaat-manfaat
tersebut belum teridentifikasi, maka tidak ada cara untuk mengevaluasi apakah inisiatif
manajemen risiko telah berhasil. Oleh karena itu, manajemen risiko yang baik harus
memiliki hasil/manfaat yang diinginkan dengan jelas. Perhatian yang tepat harus
diberikan pada setiap tahapan proses manajemen risiko, serta rincian desain,
implementasi dan pemantauan kerangka kerja yang akan diterapkan.
mendukung aktivitas manajemen risiko ini.
Fitur manajemen risiko

Kegagalan dalam mengelola risiko yang dihadapi oleh suatu organisasi secara memadai dapat
disebabkan oleh pengenalan risiko yang tidak memadai, analisis risiko yang signifikan yang
tidak memadai, dan kegagalan dalam mengidentifikasi aktivitas respons risiko yang sesuai.
Selain itu, kegagalan dalam menetapkan strategi manajemen risiko dan mengkomunikasikan
strategi tersebut serta tanggung jawab terkait dapat mengakibatkan pengelolaan risiko yang
tidak memadai. Ada kemungkinan juga bahwa prosedur atau protokol manajemen risiko memiliki
kelemahan, sehingga protokol tersebut sebenarnya tidak mampu memberikan hasil yang diharapkan.
Konsekuensi dari kegagalan dalam mengelola risiko secara memadai dapat menjadi bencana
dan dapat mengakibatkan operasi tidak efektif dan/atau efisien, proyek tidak selesai tepat waktu
dan strategi tidak dilaksanakan, atau tidak tepat pada awalnya. Ciri-ciri manajemen risiko yang
sukses dibahas dalam buku ini. Agar berhasil, inisiatif manajemen risiko harus proporsional,
selaras, komprehensif, tertanam dan dinamis (PACED).
Proporsional berarti upaya yang dilakukan dalam manajemen risiko harus sesuai dengan
tingkat risiko yang dihadapi organisasi. Aktivitas manajemen risiko harus diselaraskan dengan
aktivitas lain dalam organisasi.
Kegiatannya juga harus komprehensif, sehingga setiap inisiatif manajemen risiko mencakup
seluruh aspek organisasi dan semua risiko yang dihadapinya.
Cara memasukkan aktivitas manajemen risiko ke dalam organisasi dibahas dalam buku ini.
Terakhir, aktivitas manajemen risiko harus dinamis dan responsif terhadap perubahan lingkungan
bisnis yang dihadapi organisasi.
Seperti semua aktivitas dan proses manajemen dalam suatu organisasi, manajemen risiko
perlu diadaptasi dan dimodifikasi agar selaras dengan proses inti, dan budaya organisasi.
Sehubungan dengan manajemen risiko, pertama-tama organisasi harus secara khusus
menanggapi kewajiban undang-undang dan persyaratan regulator. Ketika hal-hal tersebut telah
terpenuhi, sebagian besar organisasi dapat bekerja dengan dasar bahwa apa pun yang berhasil
dalam organisasi dan memberikan manfaat, keluaran, dan hasil yang diperlukan adalah
pendekatan ERM yang benar dan tepat untuk organisasi tersebut.
Struktur buku
Buku ini disajikan dalam delapan bagian, disertai tiga lampiran. Bagian Pertama
memberikan pengenalan manajemen risiko dan memperkenalkan semua konsep
dasar. Bagian Kedua membahas pendekatan alternatif terhadap manajemen risiko
dan dimulai dengan mempertimbangkan standar manajemen risiko yang telah
ditetapkan. Pentingnya menetapkan konteks kemudian dipertimbangkan secara rinci,
diikuti dengan analisis fitur dan manfaat manajemen risiko perusahaan.
Bagian Ketiga mempertimbangkan pentingnya penilaian risiko sebagai persyaratan
mendasar bagi keberhasilan manajemen risiko. Klasifikasi risiko serta alat dan teknik
analisis risiko dibahas secara rinci di bagian ini. Bagian Keempat menjabarkan opsi-
opsi respons risiko secara rinci. Analisis berbagai teknik pengendalian risiko
disajikan, bersama dengan contoh pilihan pengendalian risiko bahaya yang dipilih.
Bagian ini juga mempertimbangkan pentingnya asuransi dan pengalihan risiko, serta
perencanaan kelangsungan usaha.
Bagian Kelima mengeksplorasi pentingnya strategi manajemen risiko dan
mempertimbangkan pentingnya kebijakan manajemen risiko, serta mengeksplorasi
keberhasilan penerapan kebijakan tersebut. Ada juga pertimbangan reputasi dan
model bisnis serta pentingnya konteks manajemen risiko. Bagian Enam dimulai
dengan mempertimbangkan sifat budaya sadar risiko dan kemudian
mempertimbangkan pentingnya selera risiko. Pelatihan dan komunikasi risiko, serta
kompetensi praktisi risiko, juga disertakan dalam Bagian Enam. Bagian Enam juga
merefleksikan fakta bahwa munculnya manajemen risiko sebagai sebuah profesi
telah mengakibatkan lebih banyak perhatian diberikan pada kerangka kompetensi
manajemen risiko dan pentingnya sumber daya manusia atau soft skill.
Bagian Tujuh membahas pentingnya tata kelola risiko, dan hal ini mencakup
evaluasi persyaratan tata kelola perusahaan yang lebih luas dan dampak risiko
terhadap organisasi. Analisis ekspektasi pemangku kepentingan dan hubungan
antara manajemen risiko dan model bisnis sederhana juga dipertimbangkan.
Terakhir, Bagian Delapan membahas jaminan risiko dan pelaporan risiko. Peran
fungsi audit internal sama pentingnya dengan korporasi
tanggung jawab sosial dan pilihan untuk melaporkan manajemen risiko semuanya dipertimbangkan.
Sepanjang buku ini, informasi disajikan dalam bentuk tabel dan gambar agar informasi lebih mudah diakses.
Pendekatan yang semakin umum digunakan secara luas, yaitu menggunakan representasi dasi kupu-kupu
dalam proses manajemen risiko.
Lampiran A adalah daftar lengkap akronim dan singkatan utama yang digunakan dalam buku ini.
Lampiran B memberikan daftar istilah dan referensi silang berbagai terminologi yang digunakan oleh
berbagai praktisi manajemen risiko. Lampiran C memberikan panduan implementasi langkah demi langkah
untuk manajemen risiko perusahaan (ERM), seperti yang dijelaskan dalam Bab 8. Hal ini didasarkan pada
pendekatan rencana, implementasi, pengukuran, dan pembelajaran (PIML) yang mirip dengan rencana–
lakukan– pendekatan check-act (PDCA) yang dijelaskan dalam beberapa standar terkait risiko. Lampiran C
juga menyertakan referensi ke akronim yang digunakan dalam buku ini dan menguraikan konsep-konsep
utama yang relevan dengan setiap langkah keberhasilan implementasi inisiatif ERM.
Manajemen risiko dalam praktiknya

Untuk menghidupkan subjek manajemen risiko, contoh ilustratif singkat digunakan di seluruh teks. Contoh-
contoh ini berfokus pada sejumlah kecil organisasi untuk memberikan konteks pada gagasan yang
dijelaskan. Kegiatan manajemen risiko tidak dapat dilakukan di luar konteks, sehingga organisasi-organisasi
ini memberikan konteks terhadap gagasan dan konsep yang dijelaskan.
Contoh yang paling sering digunakan untuk mengilustrasikan suatu hal adalah perusahaan pengangkutan,
klub olah raga, teater, penerbit dan perusahaan besar yang terdaftar di bursa yang, sebagai ilustrasi,
memiliki klub olah raga dan perusahaan pengangkutan.
Contoh juga digunakan tentang bagaimana prinsip-prinsip manajemen risiko dapat diterapkan pada risiko
pribadi yang dihadapi dalam kehidupan pribadi.
Selain contoh-contoh umum ini, situasi dan contoh kehidupan nyata juga digunakan, dimana studi kasus
sangat membantu. Setiap bagian buku ini dimulai dengan kutipan singkat dari laporan dan laporan tiga
perusahaan terpilih untuk mengilustrasikan topik utama manajemen risiko yang dibahas dalam bagian
tersebut. Meskipun banyak dari contoh-contoh ini sebagian besar berasal dari Inggris, prinsip-prinsip ini
juga dapat diterapkan di belahan dunia lain.
Karena krisis keuangan global, dan kesulitan ekonomi yang terus berlanjut di
seluruh dunia, manajemen risiko terus menjadi topik yang sangat penting.
Oleh karena itu, terdapat banyak contoh penerapan alat dan teknik manajemen risiko
pada situasi bisnis dan komersial yang sulit. Buku ini memanfaatkan kekayaan
informasi yang tersedia untuk menyajikan contoh, pendapat dan komentar mengenai
masalah manajemen risiko yang mempengaruhi organisasi.
Di sepanjang buku ini, kotak-kotak disertakan di dalam teks. Kotak-kotak ini

memberikan contoh-contoh praktis penerapan teori yang sedang dibahas, atau
memberikan pendapat dan komentar mengenai situasi nyata yang telah muncul. Studi
kasus yang disertakan pada awal setiap bagian buku ini diambil dari situs web
organisasi terkemuka atau dari laporan tahunan yang diterbitkan dan laporan yang
tersedia dalam domain publik.
Masa depan untuk manajemen risiko

Seiring dengan merebaknya krisis keuangan global, semakin banyak laporan berita
yang mengindikasikan bahwa risiko itu buruk dan manajemen risiko telah gagal.
Kenyataannya, tidak satu pun dari kedua pernyataan ini yang benar. Organisasi harus
mengatasi risiko yang mereka hadapi karena banyak dari mereka harus melakukan
aktivitas berisiko tinggi, baik karena aktivitas tersebut tidak dapat dihindari, atau
karena aktivitas tersebut dilakukan untuk menghasilkan hasil positif bagi organisasi
dan pemangku kepentingannya.
Krisis keuangan global tidak menunjukkan kegagalan manajemen risiko, melainkan
kegagalan manajemen organisasi untuk berhasil mengatasi risiko yang mereka
hadapi. Untuk mencapai manfaat dari manajemen risiko memerlukan implementasi
proses manajemen risiko yang direncanakan secara cermat dalam organisasi, serta
desain dan keberhasilan penerapan kerangka kerja manajemen risiko yang sesuai
dan memadai.
Dengan memaparkan pendekatan manajemen risiko yang terintegrasi, buku ini
memberikan gambaran tentang komponen mendasar keberhasilan pengelolaan risiko
bisnis/perusahaan. Ini menggambarkan kekayaan alat dan teknik manajemen risiko
dan memberikan informasi tentang keberhasilan penyampaian sistem yang terintegrasi dan
pendekatan manajemen risiko di seluruh perusahaan.

Manajemen risiko berubah dengan cepat, baik dari segi alat dan teknik yang diterapkan
serta struktur tata kelola yang diterapkan untuk memastikan keberhasilan pengelolaan risiko.
Organisasi harus lebih sadar akan biaya, dan hal ini mengakibatkan munculnya pendekatan
seperti Governance Risk and Compliance (GRC). GRC mewakili suatu pendekatan yang
dirancang agar efektif dan efisien dalam hal hasil yang dicapai.
Dengan banyaknya organisasi yang harus melakukan pemotongan biaya dan kesulitan
dalam kondisi perdagangan saat ini, risiko yang muncul menjadi semakin penting. Bagi banyak
organisasi, menjaga eksposur risiko mereka tetap berada dalam kapasitas risiko organisasi
merupakan sebuah tantangan. Peristiwa dapat terjadi yang dapat menghancurkan organisasi.
Dalam kondisi sulit ini, organisasi perlu lebih memperhatikan analisis pemicu yang dapat
mengakibatkan terwujudnya risiko signifikan, serta mengembangkan rencana rinci untuk
mengelola setiap krisis yang muncul.
Daftar di bawah ini memberikan ringkasan tindakan yang dapat membantu menghindari
terulangnya krisis keuangan global. Banyak organisasi tidak memiliki kerangka manajemen
risiko yang sama di seluruh perusahaan. Hal ini mempunyai banyak elemen, yang masing-
masing diperlukan untuk membantu menghindari bencana serupa di masa depan:
Pertama, harus ada proses, terminologi dan praktik umum untuk mengelola segala jenis
risiko.
Kedua, toleransi risiko harus dipahami sepenuhnya, dikomunikasikan dan dipantau di

seluruh perusahaan.
Ketiga, praktik manajemen risiko harus dimasukkan ke dalam semua proses dan
keputusan bisnis utama.
Dan keempat, manajemen harus mengambil keputusan terkait risiko dengan

menggunakan informasi risiko berkualitas tinggi.
Perubahan untuk edisi kelima

Manajemen risiko terus menjadi disiplin ilmu yang dinamis dan berkembang
Perubahan-perubahan yang diperlukan dalam produksi edisi kelima buku ini

mencerminkan fakta tersebut. Jenis risiko tertentu telah meningkat secara dramatis dan
kebutuhan akan inisiatif ERM yang kuat untuk diadopsi oleh organisasi semakin besar.
Risiko yang semakin meningkat sejak edisi keempat buku ini mencakup fenomena
global pengangguran kaum muda, meningkatnya tingkat ketidakstabilan politik di dunia,
meningkatnya jumlah insiden terkait perubahan iklim, dan semakin canggihnya tingkat
kejahatan dunia maya.
Perubahan yang dilakukan pada edisi keempat tetap berlaku, termasuk amandemen
untuk memastikan bahwa isinya tetap relevan di dunia yang semakin tidak menentu,
dan lingkungan bisnis yang semakin kompleks. Beberapa bab memerlukan pembaharuan
substansial untuk mengakomodasi perkembangan manajemen risiko selama dua tahun
sebelumnya. Secara khusus, Bagian Kedua menggabungkan bab-bab yang membahas
berbagai pendekatan terhadap manajemen risiko dan mencakup pertimbangan standar
manajemen risiko, menguraikan pentingnya menetapkan konteks dan membahas ERM
secara rinci di Bab 8 .
Kesempatan ini juga dimanfaatkan untuk memberikan lebih banyak informasi
mengenai penetapan konteks, melalui analisis yang lebih rinci mengenai konteks
eksternal dan internal suatu organisasi di Bab 7, bersama dengan pembahasan konteks
manajemen risiko di Bab 21. Selain itu, terdapat manfaat yang lebih besar studi kasus
dalam edisi keempat dengan tiga studi kasus berbeda yang disertakan dalam masing-
masing delapan bagian buku ini. Studi kasus ini dipilih untuk memberikan contoh praktik
yang baik dalam manajemen risiko oleh berbagai perusahaan di seluruh dunia.
Salah satu pertimbangan terpenting dalam memproduksi edisi keempat ini adalah
untuk lebih menyelaraskan urutan bab dalam buku teks dengan struktur Sertifikat
Internasional Institute of Risk Management (IRM) dalam Enterprise Risk Management
(ERM). Oleh karena itu, empat bagian pertama buku teks ini membahas prinsip-prinsip
dasar risiko dan manajemen risiko. Bagian Lima hingga Delapan berkaitan dengan
praktik manajemen risiko dan mencakup pertimbangan strategi risiko, budaya, tata
kelola, dan jaminan. Menyelaraskan struktur buku teks dengan sertifikat internasional
IRM telah memberikan tatanan terstruktur yang lebih baik dalam menyajikan konten
teknis.
Kebutuhan untuk memproduksi edisi kelima hanya 18 bulan setelah edisi keempat
muncul dari publikasi panduan manajemen risiko terbaru dari kedua edisi tersebut.
COSO dan ISO. Pada pertengahan tahun 2017, versi tambahan kerangka
COSO ERM diterbitkan. Panduan COSO terbaru ini belum menggantikan
kerangka COSO ERM (2004) dan baik kerangka kerja tahun 2004 maupun
kerangka baru (2017) dibahas dalam buku teks di Bab 6 dan 8 . Untuk
menghindari kebingungan, kerangka kerja tahun 2004 disebut sebagai kubus
COSO ERM di seluruh buku ini. Framework COSO ERM tahun 2017 merupakan
perkembangan yang signifikan, karena berfokus pada pengintegrasian inisiatif
ERM dengan strategi dan kinerja. Pada awal tahun 2018, pembaruan ISO
31000 yang telah lama ditunggu-tunggu telah diterbitkan, dan ISO 31000 versi
2018 dibahas secara rinci di Bab 6.
BAGIAN SATU
Pengantar manajemen risiko
HASIL BELAJAR BAGIAN SATU

menghasilkan serangkaian definisi risiko dan manajemen risiko yang telah ditetapkan
serta menjelaskan kegunaan berbagai definisi tersebut;
membuat daftar rentang karakteristik risiko yang perlu diidentifikasi untuk memberikan gambaran
risiko secara lengkap dan membenarkan pencantuman setiap item;
merangkum pilihan-pilihan untuk melekatkan risiko pada berbagai atribut suatu

organisasi dan menjelaskan keuntungan dari setiap pendekatan;
mengidentifikasi ciri-ciri dari empat jenis risiko yang memungkinkannya diidentifikasi sebagai
risiko kepatuhan, bahaya, pengendalian, dan peluang;
merangkum asal usul dan perkembangan disiplin manajemen risiko, termasuk berbagai
bidang dan pendekatan spesialis;
menjelaskan karakteristik manajemen risiko perusahaan (ERM) dan manfaat pendekatan ERM
dibandingkan manajemen risiko tradisional;
merangkum prinsip-prinsip (PACED) dan tujuan manajemen risiko serta pentingnya

strategi, taktik, operasi dan kepatuhan (STOC);
menggambarkan keluaran utama manajemen risiko dalam hal kewajiban wajib, jaminan,
pengambilan keputusan dan proses inti yang efektif dan efisien (MADE2).
BAGIAN SATU BACAAN LEBIH LANJUT

Bernstein, P (1998) Melawan Dewa: Kisah Risiko yang Luar Biasa, www.wiley.com British
Standard BS 31100:2011 Manajemen Risiko: Kode Praktik dan Pedoman Penerapannya
dari BS ISO 31000, www.standardsuk.com
Institute of Risk Management (2002) Standar Manajemen Risiko, www.theirm.org
Institute of Risk Management (2010) Pendekatan Terstruktur untuk Manajemen Risiko Perusahaan (ERM)
dan Persyaratan ISO 31000, www.theirm.org
Standar Internasional Manajemen Risiko ISO 31000:2018 – Pedoman, www.iso.org
Pullan, P dan Murray-Webster, R (2011) Panduan Singkat untuk Memfasilitasi Manajemen
Risiko, www.gowerpublishing.com
BAGIAN SATU STUDI KASUS
Grup Peringkat: Cara kami mengelola

risiko Peringkat mengoperasikan metodologi manajemen risiko komprehensif yang
terintegrasi erat dengan struktur manajemennya untuk memberikan pengawasan dan
tata kelola yang jelas terhadap risiko-risiko yang dianggap penting bagi bisnisnya,
dan untuk menjaga pengawasan terus-menerus terhadap lingkungan
operasinya untuk risiko yang muncul. Pendekatan ini berupaya untuk memastikan
bahwa selera risiko (risk appetite) yang jelas telah ditetapkan, yang
menyeimbangkan risiko dan peluang untuk berkontribusi terhadap pencapaian tujuan strategis grup.
Dewan memiliki tanggung jawab atas kerangka risiko dan menetapkan selera
risiko grup, serta memastikan bahwa pengendalian risiko dimasukkan ke dalam
pendekatan manajemen terhadap operasi. Komite audit bertanggung jawab untuk
menilai efektivitas sistem manajemen risiko yang ada dan melakukan tinjauan
independen terhadap rencana mitigasi risiko yang telah dirancang untuk risiko
material.
Komite risiko Rank bertemu setiap bulan dengan tugas untuk melakukan
peninjauan menyeluruh terhadap daftar risiko dan untuk memastikan bahwa
manajemen bekerja secara efektif untuk mengidentifikasi dan mengelola risiko yang
muncul dan secara terus-menerus. Sesi kerja komite diadakan dengan manajemen
departemen dan divisi untuk memastikan bahwa risiko diidentifikasi secara tepat
waktu dan rencana tindakan yang efektif diterapkan. Pendekatan ini memastikan
bahwa risiko diidentifikasi secara 'top-down' dan
tempat. Pendekatan ini memastikan bahwa risiko diidentifikasi dengan cara 'top-
down' dan 'bottom-up' dari berbagai tingkat manajemen organisasi untuk
memberikan jaminan bahwa pencatatan risiko bersifat komprehensif.
Audit internal kelompok bekerja untuk mendukung komite risiko untuk
membantu mengelola identifikasi risiko dan melakukan tinjauan independen
terhadap risiko bisnis dan kemajuannya dalam melaksanakan rencana aksi mitigasi
yang disepakati untuk setiap risiko yang relevan, yang statusnya dilaporkan
kepada komite risiko setiap bulan. .
Ekstrak yang diedit dari The Rank Group Plc

Laporan Tahunan dan Laporan Keuangan 2015
ABIL: Tinjauan manajemen risiko

Strategi manajemen risiko ABIL adalah dengan menanamkan budaya risiko
dan mendukung unit bisnis dalam grup. Fokus utamanya adalah memastikan
bahwa unit bisnis beroperasi dalam parameter risiko yang akan menghasilkan
bisnis berkelanjutan dan meningkatkan praktik manajemen risiko. Struktur
tersebut didukung oleh tiga pilar: kompetensi, kolaborasi dan kemandirian.
Pada tahun keuangan 2013, proposisi nilai pelanggan ditingkatkan
dengan menawarkan produk-produk baru seperti asuransi jangka pendek
(pemakaman) dan investasi yang menambah risiko operasional dan
kepatuhan. Produk-produk ini ditujukan untuk memberikan aliran pendapatan
yang terdiversifikasi, menurunkan biaya pendanaan dan menarik basis
pelanggan yang lebih terdiversifikasi. Fungsi kelompok risiko telah diperluas
sehubungan dengan sistem dan orang-orang untuk fokus pada bidang-bidang
utama, seperti ketidakpatuhan terhadap persyaratan peraturan. Fungsi ini sangat
penting dalam mitigasi penipuan tahun ini, untuk membantu deteksi dini
dan penyelesaian tepat waktu.
Pendekatan manajemen risiko grup adalah metodologi dan filosofi manajemen
risiko yang disetujui di seluruh perusahaan untuk memastikan manajemen risiko
yang memadai dan efektif. Selain itu, metodologi ini juga memberikan prinsip-
prinsip peraturan dan pendekatan manajemen risiko yang memastikan prinsip-
prinsip inti berikut dipatuhi:
pembagian tanggung jawab dan akuntabilitas yang jelas;

kerangka dan proses manajemen risiko umum di seluruh perusahaan;
identifikasi kejadian masa depan yang tidak pasti yang dapat

mempengaruhi pencapaian rencana bisnis dan tujuan strategis; dan integrasi
aktivitas manajemen risiko di dalam perusahaan dan di seluruh rantai nilainya.
Tujuan manajemen risiko ABIL adalah untuk memastikan identifikasi, pemahaman dan
penilaian risiko secara proaktif, termasuk aktivitas yang dilakukan yang menghasilkan
risiko yang dapat berdampak pada tujuan bisnis. Hal ini dilaksanakan melalui berbagai
mekanisme manajemen risiko dan tata kelola serta badan pengawas manajemen risiko.
Ekstrak yang diedit dari African Bank Investments Limited

Laporan risiko untuk tahun buku yang berakhir pada tanggal 30 September 2013
BIS: Pendekatan terhadap
risiko Pendekatan manajemen risiko kami didasarkan pada akuntabilitas yang

dilimpahkan ke seluruh kelompok departemen dan jaringan organisasi mitra kami, sehingga
risiko dilimpahkan kepada pihak yang mempunyai posisi terbaik untuk mengelolanya,
dengan tetap menjaga akuntabilitas yang jelas. Risiko yang dapat dan harus dikelola di
tingkat kelompok atau organisasi mitra tetap berada dalam entitas tersebut dan tunduk pada
proses penjaminan dan pengawasan risiko mereka sendiri sejalan dengan keseluruhan
proses manajemen risiko yang ditetapkan oleh departemen.
Tim kinerja dan risiko perusahaan bertindak sebagai titik sentral
nasihat dan panduan mengenai manajemen risiko yang efektif. Tim ini
mengoordinasikan daftar risiko tingkat atas, yang merupakan jalur peningkatan risiko paling
signifikan. Risiko untuk ditingkatkan ke daftar risiko tingkat atas diusulkan di seluruh
tingkatan kerja, namun hanya risiko-risiko yang dapat mempunyai dampak signifikan dan
lintas sektoral terhadap departemen yang dimasukkan.
Setelah melakukan tinjauan manajemen risiko oleh audit internal, kami terus
fokus pada pengembangan keterampilan dan kapasitas dalam pendekatan kami terhadap
manajemen risiko. Hal ini semakin meningkatkan konsistensi di seluruh departemen
dan organisasi mitra kami. Penekanan berkelanjutan pada berbagi praktik yang baik
dalam manajemen risiko, didukung oleh pelatihan dan pengembangan bagi staf kami
telah meningkatkan proses manajemen risiko yang kami sepakati.
Proses manajemen risiko di BIS terus berjalan dengan baik

Proses manajemen risiko terus berjalan dengan baik di BIS dengan

peningkatan risiko di seluruh departemen dan pengawasan yang dilakukan
oleh dewan, komite, dan anggota dewan non-eksekutif kami. Pekerjaan
selama 12 bulan ke depan akan fokus pada peningkatan keterampilan dan
kapasitas untuk sepenuhnya menerapkan proses manajemen risiko BIS,
memastikan pemahaman yang komprehensif di antara departemen dan organisasi mitra kam
Ekstrak yang diedit dari Departemen Inovasi dan Keterampilan Bisnis

Laporan dan Akun Tahunan 2013–14
01
Pendekatan untuk mendefinisikan risiko
Definisi risiko
Definisi risiko dalam Kamus Bahasa Inggris Oxford adalah sebagai berikut: 'kesempatan
atau kemungkinan bahaya, kerugian, cedera, atau akibat merugikan lainnya', dan definisi
berisiko adalah 'terkena bahaya'. Dalam konteks ini, risiko digunakan untuk menandakan
konsekuensi negatif. Namun, mengambil risiko juga dapat memberikan hasil yang positif.
Kemungkinan ketiga adalah bahwa risiko berkaitan dengan ketidakpastian hasil.
Ambil contoh memiliki mobil. Bagi kebanyakan orang, memiliki mobil adalah peluang
untuk menjadi lebih mobile dan memperoleh manfaat terkait. Namun, terdapat
ketidakpastian dalam memiliki mobil terkait dengan biaya perawatan dan perbaikan.
Terakhir, mobil dapat menyebabkan kecelakaan, sehingga terdapat dampak negatif yang
jelas dapat terjadi. Penting juga untuk mengingat kewajiban hukum terkait kepemilikan
mobil dan peraturan yang harus dipatuhi saat mobil sedang dikendarai di jalan raya.
Definisi risiko dapat diperoleh dari berbagai sumber, dan beberapa definisi utama
disajikan pada Tabel 1.1. Definisi alternatif juga diberikan untuk menggambarkan sifat
luas dari risiko yang dapat mempengaruhi organisasi. Institute of Risk Management
(IRM) mendefinisikan risiko sebagai kombinasi kemungkinan suatu peristiwa dan
konsekuensinya. Konsekuensinya bisa berkisar dari positif hingga negatif.
Ini adalah definisi yang dapat diterapkan secara luas dan praktis serta dapat diterapkan dengan mudah.
TABEL 1.1 Definisi risiko
Organisasi Definisi risiko
Panduan ISO 73 Pengaruh ketidakpastian terhadap tujuan. Perlu diingat bahwa dampaknya
mungkin positif, negatif, atau menyimpang dari yang diharapkan.
Selain itu, risiko sering kali digambarkan dengan suatu peristiwa, a
mengharapkan. Selain itu, risiko sering kali digambarkan dengan

suatu peristiwa, perubahan keadaan, atau konsekuensi.
lembaga Risiko adalah kombinasi kemungkinan suatu peristiwa dan

Mempertaruhkan
konsekuensinya. Konsekuensinya bisa berkisar dari positif hingga negatif.
Pengelolaan
(IRM)
Buku Oranye Ketidakpastian hasil, dalam rentang eksposur, dari HM yang timbul dari
kombinasi dampak dan probabilitas Perbendaharaan atas kejadian potensial.
lembaga Ketidakpastian suatu peristiwa yang terjadi yang dapat berdampak pada
Intern pencapaian tujuan. Risiko diukur berdasarkan konsekuensi dan
Auditor kemungkinannya.
Panduan internasional untuk definisi terkait risiko adalah ISO Guide 73, yang mendefinisikan
risiko sebagai 'efek ketidakpastian terhadap tujuan'. Definisi ini tampaknya mengasumsikan
tingkat pengetahuan tertentu tentang manajemen risiko dan tidak mudah diterapkan dalam
kehidupan sehari-hari. Panduan ISO 73 saat ini (April 2018) sedang ditinjau dan ISO 31000
versi 2018 telah mengubah beberapa definisinya.
Definisi yang dimodifikasi ini dibahas secara lebih rinci di Bab 6.
Versi sebelumnya dari Panduan 73 (2002) juga mencatat bahwa dampaknya bisa positif,
negatif, atau menyimpang dari yang diharapkan. Ketiga jenis peristiwa ini dapat dikaitkan
dengan risiko berupa peluang, bahaya, atau ketidakpastian, dan hal ini berkaitan dengan
contoh kepemilikan mobil yang diuraikan di atas. Panduan ini mencatat bahwa risiko sering
digambarkan sebagai suatu peristiwa, perubahan keadaan, konsekuensi, atau kombinasi dari
hal-hal tersebut dan bagaimana hal-hal tersebut dapat mempengaruhi pencapaian tujuan.
Institute of Internal Auditors (IIA) mendefinisikan risiko sebagai ketidakpastian suatu
peristiwa yang terjadi yang dapat berdampak pada pencapaian tujuan. IIA menambahkan
bahwa risiko diukur berdasarkan konsekuensi dan kemungkinannya. Disiplin ilmu yang
berbeda mendefinisikan istilah risiko dengan cara yang sangat berbeda. Definisi yang
digunakan oleh para profesional kesehatan dan keselamatan adalah bahwa risiko adalah
kombinasi antara kemungkinan dan besarnya, namun hal ini mungkin tidak cukup untuk manajemen risiko ya
tujuan.
Mengingat ada banyak definisi yang tersedia untuk kata risiko, maka memang demikian
Penting bagi organisasi untuk memilih definisi yang paling sesuai dengan tujuannya. Definisinya
bisa sesempit atau sekomprehensif yang diinginkan organisasi. Sebagai versi definisi kata risiko
secara komprehensif, penulis menawarkan sebagai berikut:
Suatu peristiwa dengan kemampuan untuk mempengaruhi (menghambat, meningkatkan atau menimbulkan keraguan
tentang) efektivitas dan efisiensi proses inti suatu organisasi.
Risiko dalam konteks organisasi biasanya diartikan sebagai segala sesuatu yang dapat
mempengaruhi pencapaian tujuan perusahaan. Namun, tujuan perusahaan biasanya tidak
sepenuhnya dinyatakan oleh sebagian besar organisasi. Ketika tujuan telah ditetapkan, tujuan
tersebut cenderung dinyatakan sebagai tujuan perubahan internal, tahunan. Hal ini terutama berlaku
untuk tujuan pribadi yang ditetapkan bagi anggota staf dalam organisasi, di mana tujuan biasanya
mengacu pada perubahan atau perkembangan, bukan operasi berkelanjutan atau rutin organisasi.
Secara umum diterima bahwa risiko paling baik didefinisikan dengan memusatkan perhatian
pada risiko sebagai peristiwa, sebagaimana dinyatakan dalam catatan definisi risiko yang diberikan
dalam ISO 31000 dan definisi yang diberikan oleh Institut Auditor Internal, yang tercantum pada
Tabel 1.1 . Agar suatu risiko terwujud, suatu peristiwa harus terjadi. Oleh karena itu, mungkin suatu
risiko dapat dianggap sebagai 'kejadian yang tidak direncanakan dengan konsekuensi yang tidak terduga'.
Kejelasan yang lebih besar kemungkinan besar akan diperoleh dalam proses manajemen risiko jika fokusnya
adalah pada kejadian-kejadian. Misalnya, pertimbangkan hal-hal yang dapat mengganggu pertunjukan teater.
Peristiwa yang dapat menyebabkan gangguan termasuk pemadaman listrik, ketidakhadiran aktor
utama, atau kegagalan transportasi atau penutupan jalan yang signifikan yang menunda kedatangan
penonton, serta sakitnya sejumlah besar staf. Setelah mengidentifikasi kejadian-kejadian yang
dapat mengganggu pertunjukan, manajemen teater perlu memutuskan apa yang harus dilakukan
untuk mengurangi kemungkinan terjadinya salah satu kejadian tersebut.
menyebabkan pembatalan pertunjukan. Analisis yang dilakukan oleh manajemen teater ini
merupakan contoh praktik manajemen risiko.
Jenis risiko
Risiko mungkin mempunyai dampak positif atau negatif atau mungkin hanya menimbulkan
ketidakpastian. Oleh karena itu, risiko dapat dianggap terkait dengan peluang atau kerugian atau
adanya ketidakpastian bagi suatu organisasi. Setiap risiko mempunyai risiko tersendiri
karakteristik yang memerlukan pengelolaan atau analisis tertentu. Dalam buku ini, risiko dibagi
menjadi empat kategori:
risiko kepatuhan (atau wajib);
risiko bahaya (atau murni);
risiko pengendalian (atau ketidakpastian);
risiko peluang (atau spekulatif).
Secara umum, organisasi akan berupaya meminimalkan risiko kepatuhan, memitigasi risiko bahaya,
mengelola risiko pengendalian, dan memanfaatkan risiko peluang. Namun, penting untuk dicatat
bahwa tidak ada pembagian risiko yang 'benar' atau 'salah'. Pembaca akan menemukan subdivisi
lain dalam teks lain dan ini mungkin juga sesuai. Mungkin lebih umum untuk menemukan risiko yang
digambarkan dalam dua jenis, murni atau spekulatif. Memang benar, terdapat banyak perdebatan
mengenai terminologi manajemen risiko. Apapun diskusi teoritisnya, isu yang paling penting adalah
bahwa suatu organisasi mengadopsi sistem klasifikasi risiko yang paling sesuai dengan keadaannya.
Ada peristiwa risiko tertentu yang hanya dapat menimbulkan hasil negatif. Risiko-risiko ini
merupakan risiko bahaya atau risiko murni, dan risiko ini dapat dianggap sebagai risiko operasional
atau risiko yang dapat diasuransikan. Secara umum, organisasi mempunyai toleransi terhadap risiko
bahaya, dan risiko ini perlu dikelola dalam tingkat yang dapat ditoleransi oleh organisasi.
Contoh bagus mengenai risiko bahaya yang dihadapi oleh banyak organisasi adalah pencurian.
Ada risiko lain yang menimbulkan ketidakpastian mengenai hasil suatu situasi. Hal ini dapat
digambarkan sebagai risiko pengendalian dan sering dikaitkan dengan manajemen proyek. Secara
umum, organisasi akan memiliki keengganan untuk mengendalikan risiko. Ketidakpastian dapat
dikaitkan dengan manfaat yang dihasilkan proyek, serta ketidakpastian mengenai penyelesaian
proyek tepat waktu, sesuai anggaran, dan sesuai spesifikasi. Pengelolaan risiko pengendalian sering
kali dilakukan untuk memastikan bahwa hasil aktivitas bisnis menurun
dalam rentang yang diinginkan. Tujuannya adalah untuk mengurangi perbedaan antara hasil yang
diantisipasi dan hasil yang sebenarnya.
Pada saat yang sama, organisasi dengan sengaja mengambil risiko, terutama risiko pasar atau
komersial, untuk mencapai keuntungan positif. Ini bisa jadi
dianggap sebagai peluang atau risiko spekulatif, dan organisasi akan mempunyai keinginan
khusus untuk berinvestasi pada risiko tersebut. Risiko peluang berhubungan dengan
hubungan antara risiko dan keuntungan. Tujuannya adalah untuk mengambil tindakan
yang melibatkan risiko untuk mencapai keuntungan positif. Fokus risiko peluang akan
mengarah pada investasi.
Penerapan alat dan teknik manajemen risiko pada manajemen risiko bahaya merupakan
cabang manajemen risiko yang terbaik dan paling lama dikembangkan, dan sebagian
besar teks ini akan berkonsentrasi pada risiko bahaya. Terdapat hierarki pengendalian
yang diterapkan pada risiko bahaya, dan hal ini dibahas dalam Bab 16. Risiko bahaya
dikaitkan dengan sumber potensi bahaya atau situasi yang berpotensi melemahkan tujuan
secara negatif dan manajemen risiko bahaya berkaitan dengan memitigasi dampak
potensial. Risiko bahaya adalah risiko paling umum yang terkait dengan manajemen risiko
operasional, termasuk program kesehatan dan keselamatan kerja.
Risiko pengendalian dikaitkan dengan kejadian yang tidak diketahui dan tidak terduga.
Risiko ini terkadang disebut sebagai risiko ketidakpastian dan sangat sulit diukur. Risiko
pengendalian sering dikaitkan dengan manajemen proyek dan penerapan taktik. Dalam
keadaan seperti ini, peristiwa-peristiwa tersebut diketahui akan terjadi, namun konsekuensi
pasti dari peristiwa-peristiwa tersebut sulit untuk diprediksi dan dikendalikan. Oleh karena
itu, pendekatan ini didasarkan pada pengelolaan ketidakpastian mengenai potensi dampak
dan konsekuensi dari peristiwa-peristiwa tersebut
Ada dua aspek utama yang terkait dengan risiko peluang. Ada risiko/bahaya yang terkait
dengan pengambilan peluang, namun ada juga risiko yang terkait dengan tidak
memanfaatkan peluang. Risiko peluang mungkin tidak terlihat atau terlihat secara fisik,
dan sering kali bersifat finansial. Meskipun risiko peluang diambil dengan tujuan
memperoleh hasil positif, hal ini tidak dijamin. Meskipun demikian, pendekatan
keseluruhannya adalah dengan merangkul peluang dan risiko peluang yang terkait. Risiko
peluang bagi usaha kecil mencakup perpindahan bisnis ke lokasi baru, perolehan properti
baru, perluasan bisnis, dan diversifikasi produk baru.
Deskripsi risiko
Untuk memahami suatu risiko secara utuh, diperlukan uraian yang rinci agar dapat diketahui pemahaman
umum mengenai risiko dan kepemilikan/tanggung jawab dapat dipahami dengan jelas. Tabel 1.2
mencantumkan rentang informasi yang harus dicatat untuk memahami sepenuhnya suatu risiko. Daftar
informasi yang tercantum dalam Tabel 1.2 paling dapat diterapkan pada risiko bahaya dan daftar tersebut
perlu dimodifikasi untuk memberikan gambaran lengkap mengenai risiko pengendalian atau peluang.
TABEL 1.2 Deskripsi risiko
Nama atau judul risiko
Pernyataan risiko, termasuk ruang lingkup risiko dan rincian kejadian yang mungkin terjadi dan
ketergantungan
Sifat risiko, termasuk rincian klasifikasi risiko dan skala waktu dampak potensial
Pemangku kepentingan dalam mengambil risiko, baik internal maupun eksternal
Sikap risiko, selera risiko, toleransi, batasan risiko dan/atau kriteria risiko
Kemungkinan dan besarnya kejadian serta konsekuensi yang harus ditanggung

terwujud pada tingkat saat ini/sisa
Standar pengendalian yang diperlukan, target tingkat risiko atau kriteria risiko
Pengalaman insiden dan kehilangan
Mekanisme dan aktivitas pengendalian yang ada
Tanggung jawab untuk mengembangkan strategi dan kebijakan risiko
Potensi peningkatan risiko dan tingkat kepercayaan terhadap pengendalian yang ada
Rekomendasi perbaikan risiko dan tenggat waktu implementasi
Tanggung jawab untuk menerapkan perbaikan
Tanggung jawab untuk mengaudit kepatuhan risiko
Agar rangkaian informasi yang tepat mengenai setiap risiko dapat dikumpulkan, perbedaan antara
risiko kepatuhan, bahaya, pengendalian, dan peluang perlu dipahami dengan jelas. Contoh di bawah ini
dimaksudkan untuk membedakan keempat jenis risiko tersebut, sehingga informasi yang diperlukan
untuk menjelaskan masing-masing jenis risiko dapat diidentifikasi.
Rentang risiko komputer

Untuk memahami perbedaan antara risiko kepatuhan, bahaya, pengendalian dan peluang,
contoh penggunaan komputer sangat membantu. Mengoperasikan sistem komputer melibatkan
pemenuhan kewajiban hukum tertentu; khususnya, persyaratan perlindungan data dan
ini adalah risiko kepatuhan. Infeksi virus merupakan risiko operasional atau bahaya dan tidak
ada manfaatnya bagi organisasi yang terkena serangan virus pada program perangkat lunaknya.
Ketika sebuah organisasi menginstal atau meningkatkan paket perangkat lunak, risiko
pengendalian akan dikaitkan dengan proyek peningkatan tersebut.
Pemilihan perangkat lunak baru juga merupakan risiko peluang, dimana tujuannya adalah
untuk mencapai hasil yang lebih baik dengan menginstal perangkat lunak baru, namun ada
kemungkinan bahwa perangkat lunak baru akan gagal memberikan semua fungsi yang
dimaksudkan dan manfaat peluang tidak akan diperoleh. disampaikan. Faktanya, kegagalan
fungsionalitas sistem perangkat lunak baru dapat melemahkan operasi organisasi secara substansial.
Tingkat risiko yang melekat

Penting untuk memahami tingkat tidak terkendali dari seluruh risiko yang telah diidentifikasi.
Ini adalah tingkat risiko sebelum tindakan apa pun diambil untuk mengubah kemungkinan
atau besarnya risiko. Meskipun terdapat keuntungan dalam mengidentifikasi tingkat risiko
yang melekat, terdapat kesulitan praktis dalam mengidentifikasi hal ini pada beberapa
jenis risiko.
Mengidentifikasi tingkat risiko yang melekat memungkinkan untuk mengidentifikasi
pentingnya tindakan pengendalian yang ada. IIA sebelumnya berpandangan bahwa
penilaian seluruh risiko harus dimulai dengan identifikasi tingkat risiko yang melekat.
Panduan dari IIA sebelumnya menyatakan bahwa: 'dalam penilaian risiko, kami melihat
risiko yang melekat sebelum mempertimbangkan pengendalian apa pun.' Meskipun ada
banyak perdebatan mengenai apakah akan melakukan penilaian risiko pada tingkat yang
melekat atau saat ini, tujuan dari setiap penilaian risiko tetap sama. Hal ini untuk
mengidentifikasi apa yang diyakini sebagai tingkat risiko saat ini dan mengidentifikasi
pengendalian utama yang ada untuk memastikan bahwa tingkat risiko saat ini benar-
benar tercapai.
Seringkali, matriks risiko digunakan untuk menunjukkan tingkat risiko yang melekat
dalam hal kemungkinan dan besarnya. Tingkat risiko yang tersisa atau saat ini dapat menjadi
diidentifikasi, setelah pengendalian atau pengendalian diterapkan. Upaya yang

diperlukan untuk mengurangi risiko dari tingkat yang melekat ke tingkat saat ini dapat
ditunjukkan dengan jelas pada matriks risiko.
Terminologi bervariasi dan tingkat risiko yang melekat kadang-kadang disebut
sebagai risiko absolut atau risiko kotor. Selain itu, tingkat risiko saat ini sering disebut
sebagai tingkat sisa, tingkat bersih, atau tingkat risiko yang dikelola. Contoh pada kotak
di bawah ini memberikan contoh bagaimana aktivitas yang pada dasarnya berisiko
tinggi diturunkan ke tingkat risiko yang lebih rendah melalui penerapan opsi respons
risiko yang masuk akal dan praktis.
Menyeberang jalan
Menyeberang jalan yang sibuk pada dasarnya akan berbahaya jika tidak ada pengendalian dan
akan terjadi lebih banyak kecelakaan. Ketika suatu risiko pada dasarnya berbahaya, perhatian
yang lebih besar diberikan pada tindakan pengendalian yang ada, karena persepsi risiko jauh lebih
tinggi. Pejalan kaki tidak boleh menyeberang jalan tanpa melihat dan pengemudi selalu sadar
bahwa pejalan kaki mungkin akan memasuki jalan. Seringkali, tindakan pengendalian lalu lintas
lainnya diperlukan untuk mengurangi kecepatan pengendara atau meningkatkan kesadaran risiko
baik bagi pengendara maupun pejalan kaki.

Risiko dapat diklasifikasikan menurut sifat atribut risiko, seperti skala waktu
terjadinya dampak, dan sifat dampak dan/atau kemungkinan besarnya risiko.
Dampak tersebut juga dapat diklasifikasikan berdasarkan skala waktu dampak
setelah peristiwa terjadi. Sumber risiko juga dapat dijadikan dasar klasifikasi. Dalam
hal ini, suatu risiko dapat diklasifikasikan menurut asalnya, seperti risiko pihak
lawan atau risiko kredit.
Cara selanjutnya untuk mengklasifikasikan risiko adalah dengan mempertimbangkan sifat dampaknya.
Beberapa risiko dapat merugikan keuangan organisasi, sedangkan risiko lainnya
akan berdampak pada aktivitas atau infrastruktur. Lebih lanjut, risiko dapat
berdampak pada reputasi organisasi, atau statusnya, dan cara pandang terhadap
organisasi tersebut di pasar.
Risiko juga dapat diklasifikasikan menurut komponen atau fitur organisasi yang
akan terkena dampaknya. Misalnya, risiko dapat diklasifikasikan berdasarkan
dampaknya terhadap manusia, lokasi, proses, atau produk.
Pertimbangan penting bagi organisasi ketika memutuskan sistem klasifikasi
risikonya adalah menentukan apakah risiko akan diklasifikasikan menurut sumber
risiko, komponen yang terkena dampak, atau konsekuensi dari terjadinya risiko.
Masing-masing organisasi akan memutuskan sistem klasifikasi risiko yang paling

sesuai untuk mereka, bergantung pada sifat organisasi dan aktivitasnya. Selain itu,
banyak standar dan kerangka kerja manajemen risiko menyarankan risiko tertentu
sistem klasifikasi. Jika organisasi mengadopsi salah satu standar tersebut, maka organisasi
tersebut akan cenderung mengikuti sistem klasifikasi yang direkomendasikan.
Sistem klasifikasi risiko yang dipilih harus sepenuhnya relevan dengan organisasi yang
bersangkutan. Tidak ada sistem klasifikasi universal yang memenuhi persyaratan semua
organisasi. Kemungkinan besar setiap risiko perlu diklasifikasikan dalam beberapa cara agar dapat
memahami potensi dampaknya dengan jelas.
Namun, banyak sistem klasifikasi menawarkan struktur yang umum atau serupa, seperti yang
dijelaskan dalam Bab 11.
Kemungkinan dan besarnya risiko

Kemungkinan dan besarnya risiko paling baik ditunjukkan dengan menggunakan matriks risiko.
Matriks risiko dapat dihasilkan dalam berbagai format. Apapun format yang digunakan untuk
matriks risiko, ini adalah alat yang sangat berharga bagi praktisi manajemen risiko. Gaya dasar
matriks risiko memplot kemungkinan suatu peristiwa terhadap besaran atau dampaknya jika
peristiwa tersebut terjadi.
Gambar 1.1 merupakan ilustrasi matriks risiko sederhana, yang juga disebut sebagai peta risiko
atau peta panas. Ini adalah metode yang umum digunakan untuk menggambarkan kemungkinan
risiko dan besarnya (atau tingkat keparahan) kejadian jika risiko tersebut terwujud. Penggunaan
matriks risiko untuk menggambarkan kemungkinan dan besarnya risiko merupakan alat manajemen
risiko yang sangat penting. Matriks risiko dapat digunakan untuk menggambarkan sifat masing-
masing risiko, sehingga organisasi dapat memutuskan apakah risiko tersebut dapat diterima dan
sesuai dengan selera risiko dan/atau kapasitas risiko organisasi.
GAMBAR 1.1 Kemungkinan dan besarnya risiko
Sepanjang buku ini, format standar untuk menyajikan matriks risiko telah diadopsi. Sumbu
horizontal digunakan untuk mewakili kemungkinan. Istilah kemungkinan digunakan daripada
frekuensi, karena kata frekuensi menyiratkan bahwa peristiwa pasti akan terjadi dan matriks
risiko mencatat seberapa sering peristiwa tersebut terjadi. Kemungkinan adalah kata yang lebih
luas yang mencakup frekuensi, namun juga mengacu pada kemungkinan terjadinya peristiwa
yang tidak terduga. Namun, dalam literatur manajemen risiko, kata 'probabilitas' sering
digunakan untuk menggambarkan kemungkinan terjadinya risiko.
Sumbu vertikal digunakan untuk menunjukkan besaran pada Gambar 1.1. Kata besaran
yang digunakan bukan tingkat keparahan, sehingga gaya matriks risiko yang sama dapat
digunakan untuk menggambarkan risiko kepatuhan, bahaya, pengendalian, dan peluang.
Tingkat keparahan menyiratkan bahwa kejadian tersebut tidak diinginkan dan, oleh karena itu,
berkaitan dengan kepatuhan dan risiko bahaya. Besarnya risiko dapat dianggap sebagai tingkat
bruto atau tingkat inherennya sebelum pengendalian diterapkan.
Gambar 1.1 memplot kemungkinan terhadap besarnya suatu peristiwa. Namun,

pertimbangan yang lebih penting bagi manajer risiko bukanlah besarnya kejadian, namun
dampak kejadian dan konsekuensi yang diakibatkannya. Misalnya, kebakaran besar dapat
terjadi yang menghancurkan seluruh gudang perusahaan distribusi dan logistik. Meskipun
besarnya peristiwa yang terjadi mungkin besar, jika tersedia asuransi yang cukup, maka
dampak terhadap biaya finansial bagi perusahaan bisa minimal, dan jika perusahaan telah
membuat rencana untuk mengatasi peristiwa tersebut, maka dampaknya terhadap
keseluruhan dampak dapat diminimalkan. bisnis mungkin jauh lebih sedikit daripada yang
diperkirakan.
Besaran suatu kejadian dapat dianggap sebagai tingkat kejadian yang melekat dan
dampaknya dapat dianggap sebagai tingkat risiko yang dikelola. Karena dampak (dan
konsekuensi yang terkait) dari suatu peristiwa biasanya lebih penting daripada besaran
(atau tingkat keparahannya), setiap matriks risiko yang digunakan dalam bagian selanjutnya
dari buku ini akan memplot dampak terhadap kemungkinan, bukan besaran terhadap
kemungkinan.
Matriks risiko digunakan di seluruh buku ini untuk memberikan representasi visual risiko.
Hal ini juga dapat digunakan untuk menunjukkan kemungkinan mekanisme pengendalian
risiko yang dapat diterapkan. Matriks risiko juga dapat digunakan untuk mencatat tingkat
risiko yang melekat, saat ini (atau sisa), dan target.
Shading atau kode warna sering digunakan pada matriks risiko untuk memberikan
representasi visual mengenai pentingnya setiap risiko yang dipertimbangkan. Ketika risiko
berpindah ke sudut kanan atas matriks risiko, risiko tersebut menjadi lebih besar
kemungkinannya dan memiliki dampak yang lebih besar. Oleh karena itu, risiko menjadi
lebih penting dan perlu dilakukan tindakan pengendalian risiko yang segera dan efektif.
02
Dampak risiko pada organisasi
Tingkat risiko
Menyusul kejadian dalam sistem keuangan dunia pada tahun 2008, semua organisasi menaruh
perhatian lebih besar terhadap risiko dan manajemen risiko. Semakin dipahami bahwa pengelolaan
risiko yang eksplisit dan terstruktur membawa manfaat.
Dengan mengambil pendekatan proaktif terhadap risiko dan manajemen risiko, organisasi akan
mampu mencapai empat bidang perbaikan berikut:
Strategi, karena risiko yang terkait dengan pilihan strategis yang berbeda akan dianalisis
sepenuhnya dan keputusan strategis yang lebih baik akan dicapai.
Taktik, karena pertimbangan akan diberikan pada pemilihan taktik dan risiko yang ada dalam
alternatif yang mungkin tersedia.
Operasional, karena kejadian yang dapat menimbulkan gangguan akan diidentifikasi terlebih
dahulu dan diambil tindakan untuk mengurangi kemungkinan terjadinya kejadian tersebut
terjadi, membatasi kerusakan yang disebabkan oleh peristiwa tersebut dan memuat biaya
peristiwa tersebut.
Kepatuhan akan ditingkatkan karena risiko yang terkait dengan kegagalan mencapai kepatuhan
terhadap undang-undang dan kewajiban pelanggan akan diakui.
Organisasi tidak lagi dapat diterima jika berada dalam posisi di mana kejadian tak terduga
menyebabkan kerugian finansial, gangguan terhadap operasi normal, rusaknya reputasi, dan hilangnya
kehadiran pasar. Para pemangku kepentingan kini berharap bahwa organisasi akan memperhitungkan
sepenuhnya risiko yang dapat menyebabkan gangguan dalam operasi, keterlambatan penyelesaian
proyek, atau kegagalan dalam melaksanakan strategi.
Eksposur yang disajikan oleh suatu risiko individual dapat didefinisikan dalam kaitannya dengan
kemungkinan terjadinya risiko dan dampak risiko ketika hal tersebut terjadi.
mewujudkan. Ketika eksposur risiko meningkat, kemungkinan dampaknya juga akan meningkat.
Panduan 73 mengacu pada pengukuran kemungkinan dan dampak sebagai 'tingkat risiko' saat
ini atau yang tersisa. Tingkat risiko ini harus dibandingkan dengan sikap risiko dan selera risiko
organisasi terhadap jenis risiko tersebut. Selera risiko terkadang digambarkan sebagai
serangkaian kriteria risiko.
Di sepanjang buku ini, istilah 'magnitudo' digunakan untuk menunjukkan besar kecilnya
peristiwa yang telah atau mungkin terjadi. Istilah 'dampak' digunakan untuk mendefinisikan
bagaimana peristiwa tersebut mempengaruhi keuangan, infrastruktur, reputasi dan/atau pasar
(FIRM) organisasi. Penggunaan terminologi ini juga konsisten dengan penggunaan dampak
dalam evaluasi perencanaan kelangsungan bisnis. Ini adalah ukuran risiko pada tingkat saat ini.
Istilah 'konsekuensi' digunakan dalam buku ini untuk menunjukkan sejauh mana peristiwa
tersebut mengakibatkan kegagalan mencapai tujuan yang efektif dan efektif.
strategi, taktik, operasi, dan kepatuhan yang efisien (STOC).
Cedera pada pemain kunci
Sebuah klub olahraga ingin mengurangi kemungkinan pemain kuncinya absen karena cedera.
Namun, pemain kunci bisa saja mengalami cedera dan klub perlu mempertimbangkan dampak dari
peristiwa tersebut sebelum hal itu terjadi. Jika cederanya serius, pemain tersebut mungkin akan
absen dalam waktu yang cukup lama. Kemungkinan besar akan ada dampak besar, yang
paling jelas terlihat di lapangan di mana kesuksesan tim kemungkinan besar akan berkurang.
Namun, konsekuensi lain juga dapat terjadi, termasuk hilangnya
pendapatan dari penjualan kaos dan merchandise lainnya dengan nama dan nomor pemain
tersebut. Pengaturan untuk mengurangi potensi hilangnya pendapatan juga harus
dipertimbangkan.
Dampak risiko bahaya

Risiko bahaya melemahkan tujuan, dan tingkat dampak risiko tersebut merupakan ukuran
signifikansinya. Manajemen risiko mempunyai sejarah terpanjang dan asal mula paling awal dalam
pengelolaan risiko bahaya. Manajemen risiko bahaya berkaitan erat dengan manajemen risiko yang
dapat diasuransikan. Ingatlah bahwa risiko bahaya (atau risiko murni) hanya dapat menimbulkan
dampak negatif.
Manajemen risiko bahaya berkaitan dengan isu-isu seperti kesehatan dan keselamatan di tempat
kerja, pencegahan kebakaran, menghindari kerusakan properti dan konsekuensi dari produk cacat.
Risiko bahaya dapat menyebabkan gangguan terhadap operasi normal, serta mengakibatkan
peningkatan biaya dan buruknya publisitas terkait dengan kejadian yang mengganggu.
Risiko bahaya berkaitan dengan ketergantungan bisnis, termasuk TI dan layanan pendukung
lainnya. Terdapat peningkatan ketergantungan pada infrastruktur TI di sebagian besar organisasi
dan sistem TI dapat terganggu oleh kerusakan komputer atau kebakaran di ruang server, serta infeksi
virus dan peretasan atau serangan komputer yang disengaja.
Pencurian dan penipuan juga dapat menjadi risiko bahaya yang signifikan bagi banyak organisasi.
Hal ini terutama berlaku untuk organisasi yang menangani uang tunai atau mengelola sejumlah besar
transaksi keuangan. Teknik yang relevan untuk menghindari pencurian dan penipuan mencakup
prosedur keamanan yang memadai, pemisahan tugas keuangan,
dan prosedur otorisasi dan delegasi, serta pemeriksaan staf sebelum dipekerjakan.
Penting untuk memikirkan terminologinya, karena hal ini sangat penting dalam kaitannya
dengan risiko bahaya, jika suatu peristiwa terjadi. Jika risiko bahaya terjadi, maka
besarannya mungkin sangat besar, seperti hancurnya gudang distribusi utama suatu
organisasi. Peristiwa berkekuatan besar ini akan berdampak pada organisasi terkait
dengan potensi biaya finansial, rusaknya infrastruktur, rusaknya reputasi dan
ketidakmampuan berfungsi di pasar. Besaran mewakili tingkat risiko yang besar atau
melekat.
Namun, dampak peristiwa tersebut akan berkurang karena adanya pengendalian yang
diterapkan. Dampak mewakili tingkat risiko bersih, sisa, atau saat ini. Pengendalian ini
mengurangi dampak finansial, tingkat kerusakan infrastruktur, serta pengendalian yang
dirancang untuk melindungi reputasi dan aktivitas pasar. Namun, yang juga penting bagi
organisasi adalah konsekuensi dari kebakaran gudang besar-besaran. Konsekuensi ini
berkaitan dengan dampak kebakaran terhadap strategi, taktik, operasi, dan aktivitas
kepatuhan dalam organisasi.
Ada kemungkinan bahwa suatu kebakaran besar akan menimbulkan kerugian finansial
yang cukup besar yang ditanggung oleh asuransi, sehingga peristiwa berkekuatan besar
tersebut berdampak kecil terhadap keuangan organisasi. Manajemen krisis dan
kelangsungan bisnis yang efektif akan memastikan bahwa dampak dari kebakaran besar
ini dari sudut pandang pelanggan akan dikelola dengan baik sehingga pelanggan tidak
perlu menyadari bahwa kebakaran besar telah terjadi.
Terakhir, pentingnya risiko kepatuhan tidak boleh dianggap remeh.
Risiko kepatuhan dapat menjadi hal yang besar bagi banyak organisasi, terutama sektor
bisnis yang memiliki peraturan ketat. Dalam beberapa kasus, kepatuhan terhadap
persyaratan wajib, mewakili 'izin untuk beroperasi' dan kegagalan untuk mencapai tingkat
aktivitas kepatuhan yang disyaratkan oleh regulator terkait dapat berdampak signifikan
terhadap reputasi organisasi dan konsekuensi besar terhadap aktivitas bisnis rutin.
Lampiran risiko
Meskipun sebagian besar definisi standar risiko mengacu pada risiko yang
melekat pada tujuan perusahaan, Gambar 2.1 memberikan ilustrasi pilihan
untuk lampiran risiko. Risiko yang ditunjukkan dalam diagram mampu
berdampak pada ketergantungan utama yang menjalankan proses inti
organisasi. Tujuan perusahaan dan harapan pemangku kepentingan membantu
menentukan proses inti organisasi. Proses inti ini merupakan komponen kunci
dari sifat model bisnis saat ini dan peningkatan di masa depan dan dapat
berhubungan dengan operasi, taktik dan strategi perusahaan, serta aktivitas
kepatuhan, sebagaimana dibahas lebih lanjut dalam Bab 19 .
GAMBAR 2.1 Lampiran risiko
Maksud dari Gambar 2.1 adalah untuk menunjukkan bahwa risiko-risiko signifikan dapat
melekat pada fitur-fitur organisasi selain tujuan-tujuan perusahaan.
Risiko yang signifikan dapat diidentifikasi dengan mempertimbangkan ketergantungan utama
organisasi, tujuan perusahaan dan/atau harapan pemangku kepentingan, serta
serta dengan analisis proses inti organisasi. Misalnya, kegagalan Northern Rock terjadi karena pasar
uang grosir, yang menjadi sandaran bank, berhenti berfungsi. Cara lain untuk melihat konsep
keterikatan risiko adalah dengan mempertimbangkan bahwa fitur-fitur yang ditunjukkan pada Gambar
2.1 menawarkan titik awal alternatif untuk melakukan penilaian risiko. Misalnya, penilaian risiko dapat
dilakukan dengan menanyakan 'apa yang diharapkan para pemangku kepentingan terhadap kita?'
dan 'risiko apa yang dapat berdampak pada pemenuhan harapan pemangku kepentingan tersebut?'
Menjelang krisis keuangan yang terjadi baru-baru ini, bank dan lembaga keuangan lainnya menetapkan
tujuan operasional
dan strategis. Dengan menganalisis tujuan-tujuan tersebut dan mengidentifikasi risiko-risiko yang
dapat menghalangi pencapaiannya, manajemen risiko memberikan kontribusi terhadap pencapaian
tujuan-tujuan berisiko tinggi yang pada akhirnya menyebabkan kegagalan organisasi. Contoh ini
mengilustrasikan bahwa memasukkan risiko pada atribut selain tujuan bukan saja mungkin dilakukan,
namun mungkin juga diinginkan dalam keadaan seperti ini.
Jelas sekali bahwa risiko akan lebih besar jika terjadi perubahan.
Oleh karena itu, menghubungkan risiko dengan tujuan perubahan bukanlah hal yang tidak masuk
akal, namun analisis setiap tujuan pada gilirannya mungkin tidak menghasilkan pengenalan/identifikasi
risiko yang kuat. Bagaimanapun, tujuan bisnis biasanya dinyatakan pada tingkat yang terlalu tinggi
untuk keberhasilan penerapan risiko.
Agar berguna bagi organisasi, tujuan perusahaan harus disajikan sebagai pernyataan lengkap
mengenai tujuan jangka pendek, menengah dan panjang organisasi.
Tujuan perubahan yang bersifat internal, tahunan, dan tahunan biasanya tidak memadai karena tujuan
tersebut mungkin gagal mengidentifikasi secara penuh persyaratan operasional (atau efisiensi),
perubahan (atau persaingan), dan strategis (atau kepemimpinan) organisasi.
Kerugian paling penting yang terkait dengan pendekatan 'berbasis tujuan' terhadap risiko dan
manajemen risiko adalah bahayanya mempertimbangkan risiko di luar konteks yang memunculkan
risiko tersebut. Risiko yang dianalisis dengan cara yang terpisah dari situasi yang menyebabkan risiko
tersebut tidak akan mampu melakukan evaluasi yang cermat dan tepat. Dapat dikatakan bahwa
analisis yang lebih kuat dapat dicapai ketika pendekatan manajemen risiko yang 'didorong oleh
ketergantungan' diadopsi.
Masih banyak organisasi yang terus menggunakan analisis tujuan perusahaan sebagai alat untuk
mengidentifikasi risiko, karena beberapa manfaat memang muncul dari pendekatan ini. Misalnya,
menggunakan pendekatan 'berbasis tujuan'
memfasilitasi analisis risiko sehubungan dengan aspek positif dan ketidakpastian peristiwa
yang mungkin terjadi, serta memfasilitasi analisis aspek negatif dan kepatuhan.
Jika keputusan diambil untuk mengaitkan risiko pada tujuan organisasi, penting bahwa
tujuan tersebut telah dikembangkan secara penuh dan menyeluruh. Tujuan-tujuan tersebut
tidak hanya perlu ditantang untuk memastikan bahwa tujuan-tujuan tersebut penuh dan
lengkap, namun asumsi-asumsi yang mendasari tujuan-tujuan tersebut juga harus
mendapat perhatian yang cermat dan kritis.
Proses inti dibahas di Bab 19 dan dapat dianggap sebagai proses tingkat tinggi yang
menggerakkan organisasi. Dalam contoh klub olahraga, salah satu proses kuncinya adalah
proses operasional 'memberikan hasil yang sukses di lapangan'. Risiko mungkin melekat
pada proses inti ini, serta melekat pada tujuan dan/atau ketergantungan utama. Proses inti
dapat diklasifikasikan menjadi strategis, taktis, operasional, dan kepatuhan (STOC). Dalam
semua kasus, proses inti harus efektif dan efisien. Aktivitas manajemen risiko yang matang
(atau canggih) kemudian dapat dirancang untuk meningkatkan efektivitas dan efisiensi
proses inti.
Meskipun risiko dapat dikaitkan dengan fitur lain organisasi, pendekatan standarnya
adalah dengan mengaitkan risiko pada tujuan perusahaan. Salah satu definisi standar
risiko adalah sesuatu yang dapat berdampak (melemahkan, meningkatkan, atau
menimbulkan keraguan) terhadap pencapaian tujuan perusahaan. Definisi ini berguna,
namun tidak memberikan satu-satunya titik awal untuk mengidentifikasi risiko yang
signifikan.
Keterikatan risiko pada ketergantungan utama dan, khususnya, ekspektasi pemangku
kepentingan menjadi lebih umum. Pentingnya pemangku kepentingan dan harapan mereka
dibahas secara lebih rinci di Bab 29. Penggunaan ketergantungan utama untuk
mengidentifikasi risiko dapat menjadi latihan yang mudah dilakukan. Organisasi perlu
menanyakan fitur atau komponen organisasi dan konteks eksternalnya yang merupakan
kunci keberhasilan. Hal ini akan menghasilkan identifikasi kekuatan, kelemahan, peluang
dan ancaman yang dihadapi organisasi. Hal ini sering disebut sebagai analisis SWOT.
Setelah mengidentifikasi ketergantungan utama, sebagaimana tercantum dalam Tabel
13.1, organisasi kemudian dapat mempertimbangkan risiko yang akan berdampak pada
ketergantungan ini. Pendekatan ini dibahas secara lebih rinci dengan contoh-contoh praktis
risiko yang disajikan pada Tabel 13.1
dan Tabel 15.2.
Risiko dan imbalan

Ciri lain dari risiko dan manajemen risiko adalah banyaknya risiko yang diambil oleh
organisasi untuk mendapatkan imbalan. Gambar 2.2 mengilustrasikan hubungan
antara tingkat risiko dan besarnya imbalan yang diantisipasi. Sebuah bisnis akan
meluncurkan produk baru karena yakin bahwa keuntungan yang lebih besar akan
diperoleh dari keberhasilan pemasaran produk tersebut. Dalam meluncurkan produk
baru, organisasi akan menempatkan sumber dayanya dalam risiko karena telah
memutuskan bahwa sejumlah pengambilan risiko adalah tindakan yang tepat. Nilai
risiko mewakili selera risiko organisasi sehubungan dengan aktivitas yang dilakukannya.
GAMBAR 2.2 Risiko dan imbalan
Ketika sebuah organisasi menempatkan nilai pada risiko dengan cara ini, organisasi tersebut
harus melakukannya dengan pengetahuan penuh mengenai paparan risiko dan organisasi
tersebut harus yakin bahwa paparan risiko tersebut sesuai dengan selera organisasi. Yang lebih
penting lagi, lembaga tersebut harus memastikan bahwa lembaga tersebut memiliki sumber
daya yang cukup untuk menutupi paparan risiko. Dengan kata lain, paparan risiko harus diukur,
keinginan untuk mengambil tingkat risiko tersebut harus dipastikan, dan kapasitas organisasi
untuk menahan dampak buruk yang dapat diperkirakan harus ditetapkan dengan jelas.
Tidak semua aktivitas bisnis menawarkan keuntungan yang sama dengan tingkat risiko yang
sama. Operasi start-up biasanya mempunyai risiko tinggi dan ekspektasi pengembalian awal
mungkin rendah. Gambar 2.2 menunjukkan kemungkinan pengembangan risiko versus imbalan
untuk organisasi baru atau produk baru. Aktivitas akan dimulai di pojok kanan bawah sebagai
operasi start-up, yang berisiko tinggi dan keuntungan rendah.
Seiring berkembangnya bisnis, kemungkinan besar bisnis tersebut akan menghasilkan keuntungan yang lebih tinggi
tingkat risiko. Ini adalah fase pertumbuhan bisnis atau produk. Ketika investasi sudah matang,
imbalannya mungkin tetap tinggi, namun risikonya akan berkurang.
Pada akhirnya, suatu organisasi akan menjadi matang sepenuhnya dan bergerak menuju
kuadran risiko rendah dan keuntungan rendah. Harapan normal di pasar yang sangat matang
adalah bahwa organisasi atau produk akan mengalami penurunan.
Risiko khusus yang dihadapi organisasi perlu diidentifikasi oleh manajemen atau organisasi.
Teknik manajemen risiko yang tepat perlu diterapkan pada risiko yang telah diidentifikasi. Sifat
dari respon risiko dan sifat dampaknya dibahas di Bagian Empat buku ini.
Pembahasan di atas mengenai risiko dan imbalan berlaku untuk risiko peluang.
Namun upaya manajemen risiko harus selalu membuahkan hasil. Dalam hal risiko bahaya,
kemungkinan besar imbalan atas peningkatan upaya manajemen risiko akan menghasilkan lebih
sedikit kejadian yang mengganggu. Dalam hal risiko proyek, imbalan atas peningkatan upaya
manajemen risiko adalah proyek akan lebih mungkin terselesaikan tepat waktu, sesuai anggaran,
dan sesuai spesifikasi/kualitas.
Untuk risiko peluang, analisis risiko versus imbalan harus menghasilkan lebih sedikit produk
baru yang gagal dan tingkat keuntungan yang lebih tinggi atau (paling buruk) tingkat kerugian
yang lebih rendah untuk semua aktivitas baru atau produk baru. Dalam semua kasus, keuntungan
atau peningkatan tingkat layanan merupakan imbalan atas pengambilan risiko. Konsep analisis
risiko versus imbalan dalam kaitannya dengan risiko strategis dibahas lebih rinci pada Gambar
15.2.
Risiko versus imbalan

Dalam Grand Prix Formula 1, tim Ferrari memutuskan untuk mengirim pembalapnya
menggunakan ban cuaca basah, sebelum hujan benar-benar mulai turun. Ban pada cuaca basah
cepat aus pada kondisi kering dan membuat mobil menjadi lebih lambat. Jika hujan segera turun,
ini akan menjadi keputusan yang sangat bagus.
Faktanya, hujan tidak kunjung turun selama empat atau lima lap, saat itu pengemudi
telah disusul oleh sebagian besar pembalap lain dan bannya di cuaca basah rusak dalam
kondisi kering. Dia harus kembali ke pit untuk mendapatkan satu set ban baru yang lebih
sesuai dengan kondisi balapan. Dalam hal ini, strategi berisiko tinggi diadopsi untuk mengantisipasi
imbalan yang signifikan. Namun, imbalan yang diharapkan tidak tercapai dan menimbulkan
kerugian yang signifikan.

Organisasi yang berbeda akan memiliki sikap yang berbeda terhadap risiko. Beberapa
organisasi mungkin dianggap menghindari risiko, sementara yang lain mungkin agresif
terhadap risiko. Sampai batas tertentu, sikap organisasi terhadap risiko akan bergantung
pada sektor dan sifat serta kematangan pasar di mana organisasi beroperasi, serta sikap
masing-masing anggota dewan.
Risiko tidak dapat dipertimbangkan di luar konteks yang menimbulkan risiko tersebut.
Tampaknya suatu organisasi bersikap agresif terhadap risiko, padahal dewan telah
memutuskan bahwa ada peluang yang tidak boleh dilewatkan. Namun, fakta bahwa
peluang tersebut mengandung risiko tinggi mungkin belum sepenuhnya dipertimbangkan.
Salah satu kontribusi besar dari keberhasilan manajemen risiko adalah memastikan
bahwa keputusan strategis yang tampaknya berisiko tinggi benar-benar diambil dengan
semua informasi yang tersedia. Peningkatan ketahanan aktivitas pengambilan keputusan
adalah salah satu manfaat utama manajemen risiko. Sikap terhadap risiko adalah subjek
yang kompleks dan berkaitan erat dengan selera risiko organisasi, namun keduanya
tidak sama. Sikap risiko menunjukkan pandangan jangka panjang organisasi terhadap
risiko, dan selera risiko menunjukkan kesediaan jangka pendek untuk mengambil risiko.
Hal ini mirip dengan perbedaan antara sikap jangka panjang atau sikap seseorang
terhadap makanan yang mereka makan dan selera mereka terhadap makanan pada
saat tertentu.
Faktor kunci lainnya yang akan menentukan sikap organisasi terhadap risiko mencakup
tahapan siklus kematangan, seperti yang ditunjukkan pada Gambar 2.2. Bagi organisasi yang
berada pada fase start-up, diperlukan sikap yang lebih agresif terhadap risiko dibandingkan
organisasi yang sedang menikmati pertumbuhan atau organisasi yang sudah matang di pasar
yang sudah matang. Ketika sebuah organisasi beroperasi di pasar yang sudah matang dan
mengalami penurunan, sikap terhadap risiko akan jauh lebih menghindari risiko.
Hal ini karena sikap terhadap risiko harus berbeda ketika suatu organisasi masih dalam tahap
operasi start-up dibandingkan dengan organisasi yang sudah matang, sehingga sering dikatakan
bahwa pengusaha terkemuka tertentu sangat pandai dalam memulai kewirausahaan namun tidak
sesukses itu. dalam menjalankan bisnis yang matang. Sikap yang berbeda terhadap risiko
diperlukan di berbagai bagian siklus kematangan bisnis seperti yang ditunjukkan pada Gambar 2.2.
Referendum di Inggris mengenai kelanjutan keanggotaan Uni Eropa (UE) pada bulan Juni
2016 menghasilkan suara yang mendukung keluarnya Inggris (Brexit). Pemerintah Inggris harus
mengaktifkan prosedur bagi Inggris untuk meninggalkan UE. Kotak teks di bawah ini memberikan
garis besar opsi yang paling sering didiskusikan yang tersedia bagi pemerintah Inggris. Secara
keseluruhan, tantangan bagi pemerintah Inggris adalah memastikan keberhasilan perekonomian
Inggris yang berkelanjutan berdasarkan strategi dan taktik Brexit yang akan menjamin
keberlangsungan ketahanan Inggris.
Brexit: Opsi keberangkatan apa yang tersedia untuk Inggris
Manfaat utama bagi bisnis yang timbul dari keanggotaan UE meliputi:
adanya pasar tunggal: tidak ada tarif atau hambatan perdagangan lainnya;
kebebasan memberikan pelayanan dan kebebasan mendirikan usaha;
'paspor' yang memungkinkan jasa keuangan diperdagangkan di seluruh UE;
migrasi bebas visa bagi orang-orang di dalam UE;
akses terhadap perjanjian perdagangan bebas UE dengan 53 negara di seluruh dunia.
Setelah pemungutan suara Brexit, pemerintah Inggris kini harus memutuskan perjanjian mana yang akan
dipertahankan. Secara umum, ada tiga model yang dapat ditargetkan oleh Inggris.
Model Norwegia
Norwegia adalah anggota Kawasan Ekonomi Eropa, tetapi bukan UE. Negara ini memiliki akses penuh terhadap
pasar tunggal, namun harus mengadopsi standar dan peraturan UE dan tidak dapat menerapkan pembatasan
imigrasi. Selain itu, Norwegia harus berkontribusi terhadap anggaran UE.
Model Swiss
Swiss telah mencapai beberapa keberhasilan dalam membangun kesepakatan dua arah dengan UE, yang
pada dasarnya memungkinkan Swiss untuk mengakses bagian-bagian tertentu dari pasar Eropa sebagai imbalan
untuk menerima undang-undang UE di bidang-bidang yang relevan serta memberikan kontribusi terhadap
anggaran UE.
Model Kanada
Kanada baru-baru ini (Mei 2017) meratifikasi perjanjian perdagangan paling luas dengan Eropa yang pernah dibuat,
dan ada kemungkinan bahwa Inggris ingin meniru hubungan semacam ini. Perjanjian semacam itu mungkin
tidak mengizinkan pemberian paspor pada jasa keuangan secara terus-menerus.
Semua model ini berjuang untuk menyelaraskan isu utama pengendalian regulasi. Dengan menggunakan ketiga
model ini sebagai dasar, Inggris kini harus mengevaluasi bagaimana Brexit akan menciptakan risiko dan
peluang bagi bisnis.
Risiko dan pemicunya

Risiko terkadang didefinisikan sebagai ketidakpastian hasil. Definisi ini agak teknis,
namun berguna dan khususnya dapat diterapkan pada manajemen risiko pengendalian.
Risiko pengendalian adalah risiko yang paling sulit diidentifikasi dan didefinisikan,
namun sering dikaitkan dengan proyek. Tujuan keseluruhan dari suatu proyek adalah
untuk memberikan hasil yang diinginkan tepat waktu, sesuai anggaran dan sesuai
spesifikasi, kualitas atau kinerja.
Misalnya, ketika sebuah bangunan sedang dibangun, sifat kondisi tanah mungkin
tidak selalu dapat diketahui secara detail. Seiring dengan berjalannya pekerjaan
konstruksi, informasi lebih lanjut akan tersedia mengenai sifat kondisinya.
Informasi ini mungkin merupakan berita positif karena tanahnya lebih kuat dari perkiraan
dan pekerjaan pondasi yang diperlukan lebih sedikit. Alternatifnya, mungkin ditemukan
bahwa tanah terkontaminasi atau lebih lemah dari yang diperkirakan, atau terdapat
kondisi lain yang berpotensi merugikan, seperti ditemukannya peninggalan arkeologis.
Mengingat ketidakpastian ini, risiko-risiko ini harus dianggap sebagai risiko

pengendalian dan manajemen proyek secara keseluruhan harus memperhitungkan
ketidakpastian yang terkait dengan berbagai jenis risiko ini. Tidak realistis bagi manajer
proyek untuk berasumsi bahwa hanya aspek-aspek buruk dari kondisi lapangan yang
akan ditemukan. Demikian pula, tidak bijaksana bagi manajer proyek untuk berasumsi
bahwa kondisi akan lebih baik dari yang diharapkan, hanya karena ia menginginkan
hal tersebut terjadi.
Karena risiko pengendalian menyebabkan ketidakpastian, maka organisasi dapat
dianggap memiliki keengganan terhadap risiko tersebut. Mungkin, penolakan
sebenarnya adalah terhadap potensi variabilitas hasil yang perlu dikelola. Penyimpangan
pada tingkat tertentu terhadap rencana proyek dapat ditoleransi, namun tidak boleh terlalu besar.
Toleransi dalam kaitannya dengan risiko pengendalian dapat dianggap mempunyai arti
yang sama dengan dalam pembuatan komponen teknik, dimana komponen tersebut
harus berukuran tertentu, dalam batas toleransi yang dapat diterima.
Sarana untuk merepresentasikan proses manajemen risiko agar lebih mudah diakses
oleh para manajer dan pemangku kepentingan lainnya yang terkait dengan aktivitas
manajemen risiko terus berkembang. Salah satu alat untuk merepresentasikan aktivitas
manajemen risiko yang akhir-akhir ini dikembangkan adalah bow-tie. Dasi kupu-kupu
sebagai representasi proses manajemen risiko digunakan beberapa kali dalam buku
ini. Gambar 2.3 menunjukkan representasi sederhana dari dasi kupu-kupu
berlaku untuk peristiwa yang dapat menyebabkan gangguan terhadap operasi normal yang efisien.
GAMBAR 2.3 Peristiwa disruptif dan dasi kupu-kupu
Sisi kiri dasi kupu-kupu mewakili sumber bahaya tertentu dan menunjukkan sistem
klasifikasi yang digunakan oleh organisasi untuk sumber risiko. Pada Gambar 2.3,
sumber risiko yang digunakan adalah sumber risiko strategis, taktis, operasional,
dan kepatuhan (STOC) tingkat tinggi. Sisi kanan dari dasi kupu-kupu menunjukkan
dampak jika peristiwa risiko terjadi, dan Gambar 2.3 menggunakan komponen tingkat
tinggi dampak finansial, infrastruktur, reputasi, dan pasar (FIRM) dari terjadinya risiko.
Di tengah-tengah dasi kupu-kupu adalah peristiwa risiko. Tabel 3.2 menunjukkan

kategori gangguan yang dapat berdampak pada organisasi, dan kategori orang,
lokasi, proses, dan produk yang sama digunakan di sini. Tujuan penggunaan
ilustrasi dasi kupu-kupu adalah untuk menunjukkan sistem klasifikasi risiko yang
digunakan oleh organisasi dan rentang dampak potensial jika suatu risiko terwujud.
Kontrol dapat diterapkan untuk mencegah terjadinya peristiwa dan ini dapat diwakili
oleh garis vertikal di sisi kiri dasi kupu-kupu. Dengan cara serupa, kontrol pemulihan
dapat direpresentasikan di sisi kanan dasi kupu-kupu.
Representasi dasi kupu-kupu dari proses manajemen risiko dapat digunakan

dalam banyak cara, termasuk representasi risiko peluang. Selain itu, dasi kupu-kupu
dapat digunakan untuk mengilustrasikan berbagai jenis pengendalian yang tersedia
bagi organisasi dan hal ini dibahas lebih rinci di Bab 13 tentang pengendalian kerugian.
Penggunaan dasi kupu-kupu sudah meluas, terutama di sektor publik.

Kotak di bawah ini memberikan penerapan praktis dasi kupu-kupu untuk
mengidentifikasi pengendalian preventif dan respons terkait kebakaran di
dapur rumah tempat tinggal.
Manajemen risiko dan dasi kupu-kupu

Ada berbagai teknik analisis risiko yang tersedia. Metode analisis risiko yang paling populer
adalah dengan menggunakan dasi kupu-kupu.
Dasi kupu-kupu adalah cara sederhana untuk menganalisis risiko untuk mendapatkan pemahaman
yang lebih baik. Tahap pertama adalah meletakkan deskripsi risiko pada kotak tengah. Penyebab risiko
kemudian perlu dicatat bersama dengan pengendalian preventif untuk menghentikan terjadinya risiko.
Dampak risiko juga dipertimbangkan. Hal ini memungkinkan identifikasi pengendalian respons untuk
mengurangi dampak risiko jika hal itu terjadi.
03
Jenis risiko
Skala waktu dampak risiko

Risiko dapat diklasifikasikan dalam banyak cara. Risiko bahaya dapat dibagi menjadi beberapa jenis risiko,
antara lain risiko terhadap harta benda, risiko terhadap manusia, dan risiko terhadap kelangsungan suatu
usaha. Terdapat berbagai sistem klasifikasi risiko formal dan sistem ini dibahas pada Bab 11. Meskipun
sistem ini tidak dapat dianggap sebagai sistem klasifikasi risiko formal, bagian ini mempertimbangkan manfaat
dari mengklasifikasikan risiko berdasarkan jangka waktu dampak risiko.
Klasifikasi risiko menjadi dampak jangka panjang, menengah, dan pendek merupakan cara yang sangat
berguna dalam menganalisis paparan risiko suatu organisasi. Risiko-risiko ini masing-masing akan terkait
dengan strategi, taktik, dan operasi organisasi.
Dalam konteks ini, risiko dapat dianggap terkait dengan kejadian, perubahan keadaan, tindakan atau
keputusan.
Secara umum, risiko jangka panjang akan berdampak beberapa tahun, mungkin hingga lima tahun,
setelah peristiwa terjadi atau keputusan diambil. Oleh karena itu, risiko jangka panjang berkaitan dengan
keputusan strategis. Ketika keputusan diambil untuk meluncurkan produk baru, hasil dari keputusan tersebut
(dan keberhasilan produk itu sendiri) mungkin tidak sepenuhnya terlihat untuk beberapa waktu.
Risiko jangka menengah mempunyai dampak beberapa saat setelah kejadian terjadi atau keputusan
diambil, dan biasanya dampaknya terjadi sekitar satu tahun kemudian. Risiko jangka menengah seringkali
dikaitkan dengan proyek atau program kerja. Misalnya, jika sistem perangkat lunak komputer baru akan
diinstal, maka pilihan sistem komputer merupakan keputusan jangka panjang atau strategis. Namun,
keputusan mengenai proyek untuk mengimplementasikan perangkat lunak baru akan menjadi keputusan
jangka menengah dengan risiko jangka menengah yang menyertainya.
Risiko jangka pendek mempunyai dampak segera setelah peristiwa tersebut terjadi.
Kecelakaan di tempat kerja, kecelakaan lalu lintas, kebakaran dan pencurian merupakan risiko jangka pendek
mempunyai dampak langsung dan konsekuensi langsung segera setelah peristiwa itu terjadi. Risiko-
risiko jangka pendek ini menyebabkan gangguan langsung terhadap operasi normal yang efisien
dan mungkin merupakan jenis risiko yang paling mudah untuk diidentifikasi dan dikelola atau
dimitigasi.
Risiko yang dapat diasuransikan sering kali merupakan risiko jangka pendek, meskipun waktu
dan besaran/dampak pasti dari kejadian yang diasuransikan tidak dapat dipastikan. Dengan kata
lain, asuransi dirancang untuk memberikan perlindungan terhadap risiko yang mempunyai akibat langsung.
Dalam kasus risiko yang dapat diasuransikan, sifat dan konsekuensi dari suatu peristiwa dapat
dipahami, namun waktu terjadinya peristiwa tersebut tidak dapat diprediksi. Faktanya, apakah
peristiwa itu akan terjadi atau tidak, tidak diketahui pada saat polis asuransi dikeluarkan.
Sebagai contoh, pertimbangkan pengoperasian sistem perangkat lunak komputer baru secara
lebih rinci. Organisasi akan menginstal perangkat lunak baru untuk mengantisipasi peningkatan
efisiensi dan fungsionalitas yang lebih besar. Keputusan untuk menginstal perangkat lunak baru dan
pilihan perangkat lunak melibatkan risiko peluang.
Instalasi akan memerlukan sebuah proyek, dan risiko tertentu akan terlibat di dalamnya.
Risiko yang terkait dengan proyek ini adalah risiko pengendalian. Setelah perangkat lunak baru
diinstal, maka akan terkena risiko bahaya. Ini mungkin tidak memberikan semua fungsi yang
diperlukan dan perangkat lunak mungkin terkena berbagai risiko dan infeksi virus. Ini adalah risiko
bahaya yang terkait dengan perangkat lunak baru ini
sistem.
Pertimbangan yang semakin penting bagi organisasi adalah apa yang akan menjadi mekanisme
pemicu yang menyebabkan terjadinya risiko. Mungkin saja organisasi tersebut menghadapi sejumlah
risiko serius dan sebagian besar risiko ini bisa menjadi bencana besar jika risiko tersebut terwujud.
Tantangan bagi manajemen kemudian didasarkan pada pengenalan terhadap keadaan yang dapat
memicu satu atau lebih peristiwa risiko signifikan. Pertanyaan mengenai apa yang dapat memicu
peristiwa tersebut memerlukan pertimbangan yang sama besarnya dengan sumber risiko dan sifat
peristiwa tersebut jika peristiwa tersebut benar-benar terjadi. Kotak di bawah ini membahas peristiwa
yang memicu kegagalan Northern Rock.
Memicu krisis besar

Pada bulan September 2007, Northern Rock – sebuah bank yang dibentuk oleh konversi Northern Rock
Building Society menjadi status perbankan pada tahun 1997 – menemukan bahwa krisis likuiditas mengakibatkan
nasabah mengantri untuk menarik tabungannya. Ini adalah 'penjalanan' pertama di bank Inggris yang dilakukan
oleh para deposannya selama lebih dari 150 tahun.
Pemicu langsung krisis ini adalah mengeringnya likuiditas di pasar utang institusional global –
yang dikenal sebagai pasar 'grosir' – menyusul meningkatnya gagal bayar hipotek di Amerika Serikat.
Gagal bayar ini terkonsentrasi pada hipotek 'sub-prime' – pinjaman rumah kepada peminjam dengan kualitas
kredit buruk.
Northern Rock telah membangun portofolio hipoteknya dengan sangat pesat. Pada saat yang sama, negara ini
menjadi semakin bergantung pada pasar grosir untuk mendapatkan pendanaan, dibandingkan dengan penabung
pribadi. Dengan mengeringnya likuiditas di pasar grosir, model bisnis Northern Rock mulai terurai. Semua ini
terjadi meskipun faktanya tidak ada bukti bahwa kualitas kredit aset Northern Rock – hipotek dan pinjamannya
– dipertanyakan.
Empat jenis risiko

Bab 1 menyatakan bahwa risiko dapat dibagi menjadi empat kategori dan definisi keempat
jenis risiko tersebut juga diberikan dalam Lampiran B, yaitu:
risiko kepatuhan;
risiko bahaya;
pengendalian risiko;
risiko peluang.
Bahasa umum tentang risiko diperlukan di seluruh organisasi jika kontribusi manajemen risiko
ingin dimaksimalkan. Penggunaan bahasa yang sama juga akan memungkinkan organisasi
untuk mengembangkan persepsi risiko dan sikap terhadap risiko yang disepakati. Bagian dari
pengembangan bahasa umum dan persepsi risiko adalah dengan menyepakati sistem klasifikasi
risiko atau serangkaian sistem tersebut.
Misalnya, pertimbangkan orang-orang yang meninjau posisi keuangan mereka dan risikonya
yang mereka hadapi saat ini terkait keuangan. Mungkin saja ketergantungan finansial utama
berkaitan dengan pencapaian pendapatan yang memadai dan pengelolaan pengeluaran.
Tinjauan tersebut harus mencakup analisis risiko terhadap keamanan kerja dan pengaturan
pensiun, serta kepemilikan properti dan investasi lainnya. Bagian analisis ini akan memberikan
informasi mengenai risiko terhadap pendapatan dan sifat risiko tersebut (risiko peluang).
Sebagai contoh praktis mengenai sifat risiko kepatuhan, bahaya, pengendalian dan peluang,
Tabel 3.1 membahas risiko yang terkait dengan kepemilikan mobil. Dalam hal ini, risiko
kepatuhan berkaitan dengan kewajiban hukum yang terkait dengan kepemilikan dan
mengemudikan mobil. Risiko bahaya berkaitan dengan kejadian yang tidak diinginkan oleh
pemilik. Ketidakpastian adalah biaya yang diketahui terlibat, namun biaya tersebut mungkin
berbeda-beda. Terakhir, peluang adalah keuntungan yang ditawarkan oleh kepemilikan mobil.
TABEL 3.1 Risiko yang terkait dengan kepemilikan mobil
Peluang memiliki mobil (peristiwa yang Anda harapkan akan terjadi, namun bisa
saja gagal terjadi)
1 Anda dapat bepergian dengan lebih mudah daripada bergantung pada orang lain
2 Peluang kerja yang ditingkatkan karena Anda akan lebih mobile
3 Menghemat uang untuk transportasi umum lainnya
Ketidakpastian dalam memiliki mobil (peristiwa yang Anda tahu akan terjadi,
namun dampaknya bervariasi)
1 Biaya peminjaman uang untuk membeli mobil bisa berubah
2 Harga bahan bakar (bensin atau solar) bisa naik atau turun
3 Biaya pemeliharaan, kerusakan dan perbaikan akan bervariasi
Bahaya memiliki mobil (kejadian

yang tidak Anda inginkan terjadi dan hanya berdampak negatif)
1 Anda membayar terlalu banyak untuk mobil tersebut atau kondisinya buruk
Anda terlibat dalam tabrakan atau kecelakaan di jalan raya

Anda terlibat dalam tabrakan atau kecelakaan di jalan raya

2
3 Mobil dicuri atau dirusak karena dendam
Persyaratan kepatuhan dalam memiliki mobil (peristiwa yang dapat

mengakibatkan penegakan peraturan)
1 Asuransi mobil pihak ketiga tidak memadai dan/atau tidak memadai
2 Mengemudi yang lalai atau agresif mengakibatkan pelanggaran lalu lintas
3 Ban dalam kondisi buruk dan kewajiban perawatan lainnya
Mengenai pengeluaran, tinjauan ini akan mempertimbangkan pola pengeluaran untuk

menentukan apakah pemotongan biaya diperlukan (risiko bahaya). Hal ini juga akan
mempertimbangkan aktivitas waktu senggang, termasuk pengaturan liburan dan hobi, dan
akan ada ketidakpastian mengenai pengeluaran dan biaya aktivitas ini (pengendalian risiko).
Risiko bahaya adalah risiko yang hanya dapat menghambat pencapaian misi perusahaan.
Biasanya, risiko atau bahaya ini merupakan jenis risiko yang dapat diasuransikan, dan
mencakup kebakaran, badai, banjir, cedera, dan sebagainya. Disiplin manajemen risiko
memiliki asal usul yang kuat dalam pengendalian dan mitigasi risiko bahaya. Operasi normal
yang efisien mungkin terganggu oleh kehilangan, kerusakan, kerusakan, pencurian, dan
ancaman lain yang terkait dengan berbagai ketergantungan. Tabel 3.2 memberikan contoh
gangguan yang disebabkan oleh manusia, lokasi, proses dan produk (4P). Ketergantungan
ini juga dapat menjadi sumber risiko dan 4P dapat dianggap sebagai contoh sistem klasifikasi
risiko.
TABEL 3.2 Kategori gangguan operasional
Kategori Contoh gangguan
Rakyat Kurangnya keterampilan dan/atau sumber daya manusia

Perilaku tidak pantas yang dilakukan manajer senior Tidak adanya
personel kunci secara tidak terduga
Kesehatan yang buruk, kecelakaan atau cedera pada orang
Tempat Tidak memadai, tidak mencukupi, atau tidak adanya akses ke tempat
Kerusakan atau kontaminasi tempat
Kerusakan atau kontaminasi tempat

Kerusakan dan kerusakan aset fisik Pencurian atau hilangnya aset fisik
Proses Kegagalan sistem perangkat keras atau perangkat lunak TI Gangguan oleh
hacker atau virus komputer
Pengelolaan informasi yang tidak memadai
Kegagalan sistem komunikasi atau transportasi
Produk Kualitas produk atau layanan buruk

Gangguan disebabkan oleh kegagalan pemasok
Pengiriman barang atau komponen yang cacat Kegagalan layanan
dan fasilitas yang dialihdayakan
Risiko pengendalian adalah risiko yang menimbulkan keraguan terhadap kemampuan

mencapai misi organisasi. Protokol pengendalian keuangan internal adalah contoh yang baik
dari respons terhadap risiko pengendalian. Jika protokol kontrol dihapus, tidak ada kepastian
tentang apa yang akan terjadi. Risiko pengendalian adalah jenis risiko yang paling sulit untuk
dijelaskan, namun Bab 31 tentang manajemen risiko proyek akan membantu pemahamannya.
Risiko pengendalian dikaitkan dengan ketidakpastian, dan contohnya mencakup potensi

kegagalan mencapai kepatuhan hukum dan kerugian yang disebabkan oleh penipuan.
Hal ini biasanya bergantung pada keberhasilan pengelolaan sumber daya manusia dan
penerapan protokol pengendalian yang efektif. Meskipun sebagian besar organisasi
memastikan bahwa risiko pengendalian dikelola dengan hati-hati, namun risiko tersebut
tetap berpotensi signifikan.
Risiko peluang adalah risiko yang (biasanya) sengaja dicari atau diterima oleh organisasi.
Risiko-risiko ini muncul karena organisasi berupaya meningkatkan pencapaian misinya,
meskipun risiko-risiko ini mungkin menghambat organisasi jika hasilnya buruk. Ini adalah
jenis risiko yang paling penting bagi keberhasilan jangka panjang organisasi mana pun di
masa depan.
Banyak organisasi bersedia berinvestasi dalam strategi bisnis berisiko tinggi untuk
mengantisipasi keuntungan atau keuntungan yang tinggi. Organisasi-organisasi ini mungkin
dianggap memiliki minat yang besar terhadap peluang investasi. Seringkali, organisasi yang
sama memiliki pendekatan yang berlawanan terhadap risiko bahaya dan memiliki bahaya yang kecil
toleransi. Hal ini mungkin tepat, karena organisasi mungkin bersikap tidak ingin risiko
yang berhubungan dengan bahaya menghabiskan sumber daya organisasi ketika
organisasi tersebut menempatkan begitu banyak nilai pada risiko dalam berinvestasi pada peluang.
Selain risiko bahaya, pengendalian, dan peluang, kategori risiko kepatuhan selanjutnya
mungkin memerlukan pertimbangan terpisah. Untuk industri yang memiliki regulasi ketat,
seperti energi, keuangan, perjudian, dan transportasi, masalah kepatuhan sangatlah
penting. Karena sifat khusus dari risiko kepatuhan, risiko tersebut sering kali dianggap
sebagai kategori risiko terpisah dan sering kali dikelola atau diminimalkan secara berbeda.
Banyak organisasi ingin memastikan kepatuhan penuh terhadap semua peraturan dan
regulasi dan tidak mengambil risiko apa pun dalam kategori ini. Hal ini mungkin terjadi
pada risiko kepatuhan, namun hampir pasti tidak akan terjadi pada risiko bahaya,
pengendalian, dan peluang. Pertimbangan lebih lanjut mengenai risiko kepatuhan terdapat
pada Bab 19, sebagai bagian dari pembahasan risiko strategis, taktis, operasional, dan
kepatuhan (STOC).
Rangkullah risiko peluang

Beberapa risiko diambil dengan sengaja oleh organisasi untuk mencapai misinya. Risiko-
risiko ini sering kali merupakan risiko pasar atau komersial yang diambil dengan harapan
memperoleh keuntungan positif. Risiko peluang ini dapat disebut sebagai risiko komersial,
spekulatif, atau bisnis.
Risiko peluang adalah jenis risiko yang berpotensi meningkatkan (meskipun dapat juga
menghambat) pencapaian misi organisasi. Risiko-risiko inilah yang terkait dengan
pemanfaatan peluang bisnis.
Semua organisasi mempunyai keinginan untuk menangkap peluang dan bersedia
berinvestasi di dalamnya. Akan selalu ada keinginan bagi organisasi untuk memiliki
operasi, taktik dan strategi yang efektif dan efisien. Risiko peluang biasanya dikaitkan
dengan pengembangan strategi baru atau strategi yang diubah, meskipun peluang juga
dapat muncul dari peningkatan efisiensi operasi dan penerapan inisiatif perubahan.
Setiap organisasi perlu memutuskan keinginannya untuk meraih peluang baru, dan
tingkat investasi yang sesuai. Misalnya, suatu organisasi mungkin menyadari bahwa ada
persyaratan di pasar untuk suatu produk baru
produk yang keahliannya memungkinkan untuk dikembangkan dan dipasok. Namun, jika
organisasi tidak memiliki sumber daya untuk mengembangkan produk baru, maka organisasi
tersebut mungkin tidak dapat menerapkan strategi tersebut dan tidak bijaksana jika organisasi
tersebut mengambil tindakan yang berpotensi berisiko tinggi.
Manajemen perusahaanlah yang akan memutuskan apakah mereka berkeinginan untuk
memanfaatkan peluang yang ada. Hanya karena organisasi memiliki keinginan tersebut, bukan
berarti hal tersebut merupakan hal yang benar untuk dilakukan. Oleh karena itu, dewan direksi
perusahaan harus menyadari fakta bahwa, meskipun mereka memiliki keinginan untuk
memanfaatkan peluang, organisasi mungkin tidak memiliki kapasitas risiko untuk mendukung
tindakan tersebut.
Manajemen peluang adalah pendekatan yang berupaya memaksimalkan manfaat dari
pengambilan risiko kewirausahaan. Organisasi akan mempunyai keinginan untuk berinvestasi
pada risiko peluang. Ada hubungan yang jelas antara manajemen peluang dan perencanaan
strategis. Keinginannya adalah untuk memaksimalkan kemungkinan hasil positif yang signifikan
dari investasi pada peluang bisnis.
Contoh di bawah ini, terkait dengan keputusan gaya hidup pribadi, mempertimbangkan faktor
risiko dengan mengklasifikasikannya sebagai faktor yang dapat dikontrol dan tidak dapat
dikendalikan. Meskipun contoh tersebut berkaitan dengan faktor risiko kesehatan pribadi,
pertimbangan apakah risiko bisnis berada dalam kendali organisasi atau tidak merupakan
komponen penting dalam keberhasilan manajemen risiko bisnis.
Faktor risiko penyakit jantung
Faktor risiko penyakit jantung dan stroke yang dapat dikendalikan adalah faktor-faktor yang dapat
diubah melalui pola makan, aktivitas fisik, dan tidak menggunakan tembakau. Faktor risiko ini berbeda
dengan faktor risiko yang tidak terkontrol, seperti usia, jenis kelamin, ras, atau sifat genetik. Memiliki satu
atau lebih faktor risiko yang tidak dapat dikendalikan bukan berarti seseorang akan terkena serangan jantung
atau stroke; namun, dengan perhatian yang tepat terhadap faktor-faktor risiko yang dapat dikendalikan,
dampak dari faktor-faktor risiko yang tidak dapat dikendalikan atau diubah tersebut dapat dikurangi.
Faktor risiko penyakit jantung atau stroke yang dapat dikendalikan antara lain tekanan darah tinggi, tinggi
kolesterol darah, diabetes tipe-2 dan obesitas. Kebiasaan gaya hidup sehat, seperti
mengembangkan kebiasaan makan yang baik, meningkatkan aktivitas fisik dan tidak menggunakan
tembakau, merupakan langkah efektif dalam mencegah dan memperbaiki faktor risiko yang dapat dikendalikan.
Kelola risiko ketidakpastian

Saat menjalankan proyek dan menerapkan perubahan, organisasi harus menerima tingkat
ketidakpastian. Ketidakpastian atau pengendalian risiko adalah bagian yang tidak dapat
dihindari dalam melaksanakan suatu proyek. Dana darurat untuk mengantisipasi hal-hal yang
tidak terduga perlu menjadi bagian dari anggaran proyek, serta waktu darurat yang dimasukkan
ke dalam jadwal proyek. Ketika ingin mengembangkan respons yang tepat terhadap risiko
pengendalian, organisasi harus menyediakan sumber daya yang diperlukan untuk
mengidentifikasi pengendalian, menerapkan pengendalian, dan merespons konsekuensi dari
setiap risiko pengendalian yang terwujud.
Sifat risiko pengendalian dan respons yang tepat bergantung pada tingkat ketidakpastian
dan sifat risiko. Ketidakpastian mewakili penyimpangan dari hasil yang diharapkan atau
diharapkan. Ketika sebuah organisasi menjalankan suatu proyek, seperti peningkatan proses,
proyek tersebut harus diselesaikan tepat waktu, sesuai anggaran dan sesuai spesifikasi.
Selain itu, peningkatan tersebut harus memberikan manfaat yang dibutuhkan. Penyimpangan
dari manfaat yang diantisipasi dari suatu proyek menunjukkan ketidakpastian yang hanya
dapat diterima dalam kisaran tertentu.
Manajemen pengendalian adalah dasar pendekatan manajemen risiko yang diadopsi oleh
auditor internal dan akuntan. Persyaratan manajemen risiko dalam kode tata kelola perusahaan
Inggris (April 2016) berkonsentrasi pada pengendalian internal dan sedikit mengacu pada
penilaian risiko. Manajemen pengendalian berkaitan dengan
mengurangi ketidakpastian yang terkait dengan risiko signifikan dan mengurangi variabilitas
hasil.
Terdapat bahaya jika organisasi menjadi terlalu peduli dengan manajemen pengendalian.
Organisasi tidak boleh terobsesi dengan risiko pengendalian, karena kadang-kadang dikatakan
bahwa fokus yang berlebihan pada pengendalian internal dan manajemen pengendalian akan
menekan upaya kewirausahaan.
Mengurangi risiko bahaya

Sebagaimana dibahas dalam Bab 1 dan 2, organisasi menghadapi berbagai macam risiko.
Risiko-risiko ini akan berupa risiko bahaya, risiko pengendalian, dan risiko peluang.
Organisasi perlu menoleransi paparan risiko bahaya, menerima paparan untuk mengendalikan
risiko, dan berinvestasi pada risiko peluang.
Dalam hal risiko kesehatan dan keselamatan, secara umum diterima bahwa organisasi harus
tidak toleran terhadap risiko tersebut dan harus mengambil semua tindakan yang tepat untuk
menghilangkannya. Dalam praktiknya, hal ini tidak mungkin dilakukan dan organisasi akan
meminimalkan risiko keselamatan ke tingkat terendah yang hemat biaya dan mematuhi hukum.
Misalnya, sistem pengereman otomatis yang dipasang pada kereta api untuk menghentikan
mereka melewati lampu merah secara teknis layak dilakukan. Namun, hal ini mungkin merupakan
investasi yang tidak masuk akal bagi perusahaan pengelola kereta api. Konsekuensi dari kereta
api yang melewati lampu merah dapat dianggap sebagai paparan risiko atau toleransi bahaya
bagi organisasi, namun biaya penerapan sistem pengereman otomatis dapat dianggap sangat
tinggi.
Contoh yang kurang emosional terkait dengan pencurian. Sebagian besar organisasi akan
mengalami tingkat pencurian kecil-kecilan yang rendah dan hal ini mungkin dapat ditoleransi.
Misalnya, bisnis yang berbasis di lingkungan perkantoran akan mengalami pencurian alat tulis,
termasuk kertas, amplop, dan pena. Biaya untuk menghilangkan pencurian kecil-kecilan ini
mungkin sangat besar sehingga menjadi hemat biaya bagi organisasi untuk menerima bahwa
kerugian ini akan terjadi. Pendekatan terhadap pencurian di toko mungkin sangat berbeda di
berbagai sektor ritel, seperti yang diilustrasikan oleh contoh di bawah ini.
Standar keamanan toko

Contohnya dapat dilihat dalam pengoperasian toko perhiasan yang sadar akan keamanan.
Pelanggan diperbolehkan masuk ke toko satu per satu. Mereka terekam di CCTV saat menunggu
masuk. Barang disimpan dengan aman, dan pelanggan diundang untuk meminta melihat barang
tertentu di bawah tatapan curiga dari asisten toko. Tentu saja, beberapa pelanggan merasa kecewa,
namun toko-toko tersebut juga mengalami tingkat pengutilan yang tidak berarti.
Bandingkan dengan supermarket, di mana tidak ada hambatan masuk dan pelanggan
diperbolehkan menangani semua barang. Ada CCTV yang memantau toko-toko, dan mungkin ada
detektif toko yang berpatroli – namun tujuan dari pengamanan ini adalah untuk mencegah, bukan
mencegah pengutilan. Pengutilan memang terjadi, namun dengan tarif yang dapat diterima oleh
pemilik toko. Sebaliknya, hanya sedikit calon pelanggan yang menunda mengunjungi toko karena
Pengukuran.
Kisaran risiko bahaya yang dapat mempengaruhi suatu organisasi perlu diidentifikasi.
Risiko bahaya dapat mengakibatkan gangguan yang tidak direncanakan terhadap organisasi. Peristiwa
yang mengganggu menyebabkan inefisiensi dan harus dihindari, kecuali jika peristiwa tersebut
merupakan bagian dari, misalnya, pemeliharaan terencana atau pengujian prosedur darurat. Keadaan
yang diinginkan sehubungan dengan manajemen risiko bahaya adalah tidak boleh ada gangguan atau
inefisiensi yang tidak direncanakan karena alasan apa pun yang ditunjukkan pada Tabel 3.2.
Tabel 3.2 memberikan daftar kejadian yang dapat menyebabkan gangguan atau inefisiensi yang
tidak direncanakan. Peristiwa-peristiwa ini dibagi menjadi beberapa kategori, seperti orang, tempat,
proses, dan produk. Untuk setiap kategori risiko bahaya, organisasi perlu mengevaluasi jenis insiden
yang dapat terjadi, sumber insiden tersebut, dan kemungkinan dampaknya terhadap operasi normal
yang efisien.
Pengelolaan risiko bahaya melibatkan analisis dan pengelolaan tiga aspek risiko bahaya. Hal ini
dibahas lebih rinci di Bab 16 dan 23.
Singkatnya, organisasi harus mempertimbangkan tindakan yang diperlukan untuk mencegah terjadinya
kerugian, membatasi kerusakan yang dapat ditimbulkan oleh peristiwa tersebut, dan mengendalikan
biaya pemulihan dari peristiwa tersebut.
Manajemen bahaya secara tradisional merupakan pendekatan yang diadopsi oleh dunia asuransi.
Organisasi akan memiliki toleransi terhadap risiko bahaya. Pendekatan ini harus didasarkan pada
pengurangan kemungkinan dan besaran/dampak kerugian bahaya.
Asuransi mewakili mekanisme untuk membatasi biaya kerugian finansial.
Selain itu, beberapa risiko bahaya akan dikaitkan dengan persyaratan peraturan dan dapat
dianggap sebagai risiko kepatuhan. Sebagian besar organisasi akan berupaya meminimalkan
risiko kepatuhan.
Ketika sebuah organisasi mempertimbangkan tingkat asuransi yang akan dibelinya,
toleransi bahaya organisasi tersebut perlu dianalisis sepenuhnya.
Organisasi mungkin bersedia menerima sejumlah kecelakaan kendaraan bermotor sebagai
biaya finansial yang akan didanai dari keuntungan dan kerugian sehari-hari organisasi. Hal
ini hanya dapat ditoleransi sampai tingkat tertentu dan organisasi perlu menentukan tingkat
apa yang dapat diterima. Asuransi kemudian harus dibeli untuk menutupi kerugian yang
mungkin melebihi tingkat tersebut.
Meminimalkan risiko kepatuhan

Semua organisasi akan menyadari beragamnya persyaratan kepatuhan yang harus mereka
penuhi. Persyaratan kepatuhan ini sangat bervariasi antar sektor bisnis, dan banyak sektor
yang diatur secara ketat oleh regulator khusus untuk industri atau sektor tersebut. Misalnya,
organisasi yang beroperasi di industri perjudian atau permainan mempunyai persyaratan
peraturan yang signifikan yang dibebankan kepada mereka di sebagian besar negara di
dunia. Kegagalan untuk mematuhi persyaratan peraturan dapat mengakibatkan 'izin
beroperasi' dicabut oleh regulator. Jika regulator mengambil tindakan ekstrem ini, organisasi
tersebut pada akhirnya akan lenyap.
Semua organisasi yang menangani transaksi keuangan diharuskan menerapkan prosedur

untuk mengurangi kemungkinan dilakukannya aktivitas pencucian uang. Bank dan organisasi
lain yang menangani uang tunai dalam jumlah besar perlu menerapkan pengaturan
pencucian uang dan, dalam banyak kasus, memerlukan eksekutif senior yang berdedikasi
dalam bidang pencucian uang.
Dalam industri asuransi, permasalahan kepatuhan merupakan hal yang signifikan dan
dapat menjadi rumit. Jika polis asuransi diterbitkan di satu negara untuk melindungi aset
dan/atau menutupi kewajiban di negara lain, masalah kepatuhan akan menimbulkan
kesulitan tertentu. Kegagalan untuk mematuhi seluruh kewajiban dapat mengakibatkan
klaim asuransi tidak dibayar atau, dalam kasus ekstrim, menjadi ilegal di negara tertentu,
jika jenis asuransi yang tidak sah atau polis asuransi ilegal telah ada.
telah dikeluarkan.
Bagi organisasi yang tidak memiliki regulator yang khusus menangani industri atau sektor bisnis tersebut, masih
banyak persyaratan peraturan yang harus dipenuhi. Secara khusus, persyaratan kesehatan dan keselamatan berlaku
di sebagian besar negara di dunia, dan persyaratan ini mewajibkan organisasi untuk menjamin kesehatan,
keselamatan, dan kesejahteraan karyawan serta orang lain yang mungkin terkena dampak aktivitas kerja mereka.
Biasanya, persyaratan keselamatan ini tidak hanya berlaku di tempat kerja yang berada di bawah kendali langsung
organisasi, namun juga mencakup kesehatan dan keselamatan karyawan yang bekerja di negara lain. Selain itu,
kewajiban keselamatan jalan yang terperinci juga akan berlaku bagi organisasi yang memiliki kendaraan, terutama
jika mereka terlibat dalam pengangkutan orang atau barang berbahaya.
Secara umum, organisasi akan berupaya memastikan kepatuhan penuh terhadap semua peraturan dan regulasi
yang berlaku dan, dengan demikian, meminimalkan risiko kepatuhan. Dalam banyak kasus, tim khusus yang terdiri
dari profesional spesialis risiko akan dipekerjakan dan hal ini khususnya terkait dengan kesehatan dan keselamatan,
pencucian uang, dan pengaturan keamanan. Penting bagi organisasi untuk mengenali risiko kepatuhan mereka dan
memasukkan pertimbangan risiko ini dalam aktivitas manajemen risiko mereka. Penting juga untuk memastikan
bahwa berbagai bidang keahlian manajemen risiko dalam perusahaan saling bekerja sama, sehingga pendekatan
kepatuhan yang terorganisir dan/atau terkoordinasi dapat dicapai.

04
Ruang lingkup manajemen risiko
Asal usul manajemen risiko

Manajemen risiko memiliki asal usul yang beragam dan dipraktikkan oleh berbagai
profesional. Salah satu perkembangan awal dalam manajemen risiko muncul di Amerika
Serikat dari fungsi manajemen asuransi. Praktik manajemen risiko menjadi lebih luas dan
terkoordinasi dengan lebih baik karena biaya asuransi pada tahun 1950an menjadi mahal
dan luas cakupannya terbatas. Organisasi-organisasi menyadari bahwa membeli asuransi
tidaklah cukup jika tidak ada perhatian yang memadai terhadap perlindungan properti dan
manusia.
Oleh karena itu, pembeli asuransi menjadi prihatin dengan kualitas perlindungan properti,
standar kesehatan dan keselamatan, masalah tanggung jawab produk, dan masalah
pengendalian risiko lainnya.
Pendekatan gabungan terhadap pembiayaan risiko dan pengendalian risiko ini

dikembangkan di Eropa pada tahun 1970an dan konsep total biaya risiko menjadi penting.
Ketika pendekatan ini mulai diterapkan, menjadi jelas pula bahwa terdapat banyak risiko
yang dihadapi organisasi yang tidak dapat diasuransikan. Alat dan teknik manajemen
risiko kemudian diterapkan pada disiplin ilmu lain, sebagaimana dibahas nanti dalam bab
ini.
Mengambil risiko yang diperhitungkan
Manajemen risiko bukanlah tentang mengendalikan/mitigasi risiko yang ada. Jika bisnis ingin berjalan baik, manajemen harus belajar
mengambil lebih banyak risiko dan menerima kegagalan. Untuk berkinerja lebih baik dibandingkan yang lain, Anda harus
mengambil risiko yang lebih besar, namun risiko tersebut harus diperhitungkan (risiko yang diterima diketahui, begitu pula
kemungkinan dan dampaknya).
Mengambil risiko tanpa disadari bukanlah hal yang dapat diterima – yang merupakan praktik pendekatan berbasis silo di masa lalu
dalam mengelola kantong-kantong risiko, menyebabkan tanggung jawab yang tidak jelas dan kurangnya visibilitas, sehingga
membuat organisasi menghadapi risiko yang tidak perlu.
Kematangan disiplin manajemen risiko saat ini sudah sedemikian rupa sehingga hubungannya
dengan asuransi menjadi kurang kuat. Asuransi kini dipandang sebagai salah satu teknik
pengendalian risiko, namun hanya berlaku pada sebagian risiko bahaya. Risiko yang terkait
dengan masalah keuangan, komersial, pasar, dan reputasi diakui sebagai risiko yang sangat
penting, namun berada di luar cakupan sejarah asuransi. Berbagai pendekatan manajemen risiko
yang berbeda diilustrasikan oleh definisi manajemen risiko sebagaimana tercantum pada Tabel
4.1.
TABEL 4.1 Definisi manajemen risiko
Organisasi Definisi manajemen risiko
Panduan ISO 73 Kegiatan terkoordinasi untuk mengarahkan dan

BS 31100 mengendalikan organisasi sehubungan dengan risiko.
lembaga Proses yang bertujuan untuk membantu organisasi memahami,

Mempertaruhkan mengevaluasi dan mengambil tindakan terhadap semua risiko mereka
Pengelolaan dengan tujuan untuk meningkatkan kemungkinan keberhasilan dan
(IRM) mengurangi kemungkinan kegagalan.
HM Treasury Semua proses yang terlibat dalam mengidentifikasi, menilai dan menilai risiko,
menetapkan kepemilikan, mengambil tindakan untuk memitigasi atau
mengantisipasinya, serta memantau dan meninjau kemajuan.
London Pemilihan risiko-risiko yang harus diambil oleh suatu bisnis dan risiko-risiko tersebut
London Pemilihan risiko-risiko yang harus diambil oleh suatu bisnis dan risiko-risiko
sekolah mana yang harus dihindari atau dikurangi, diikuti dengan tindakan untuk
Ekonomi menghindari atau mengurangi risiko.
Memberikan definisi yang tepat mengenai manajemen risiko sama sulitnya dengan
memberikan definisi risiko yang sesuai dan diterima secara universal. Karena secara
umum diterima bahwa manajemen risiko harus memperhatikan bahaya, ketidakpastian
dan peluang, maka diperlukan deskripsi dan definisi yang mencerminkan cakupan luas
kegiatan manajemen risiko. Definisi berikut ini ditawarkan oleh penulis: Manajemen
risiko adalah serangkaian aktivitas dalam suatu organisasi yang dilakukan untuk
memberikan hasil yang paling menguntungkan dan mengurangi volatilitas atau
variabilitas hasil tersebut.
Semakin pentingnya manajemen risiko dapat dijelaskan melalui daftar permasalahan

yang disajikan pada Tabel 4.2. Banyak dari isu-isu tersebut menunjukkan bahwa
penerapan manajemen risiko telah berkembang jauh dari awal mula penerapannya di
dunia asuransi. Meskipun demikian, asal muasal asuransi dari manajemen risiko tetap
sangat penting dan masih menjadi bagian dari pendekatan manajemen bahaya.
TABEL 4.2 Pentingnya manajemen risiko
Mengelola organisasi
Biaya variabel atau ketersediaan bahan baku
Biaya pensiun/pensiun/tunjangan sosial
Keinginan untuk memberikan nilai pemegang saham yang lebih besar
Transparansi yang lebih besar diperlukan dari organisasi

Laju perubahan dalam bisnis semakin meningkat
Dampak e-commerce pada semua aspek kehidupan bisnis Meningkatnya
ketergantungan pada sistem teknologi informasi (TI) Semakin pentingnya
hak kekayaan intelektual (IP) Meningkatnya kompleksitas/ketergantungan rantai pasokan
Reputasi menjadi semakin penting
Kerusakan reputasi – terutama pada merek-merek global Kerugian dan
kegagalan besar merusak reputasi Tekanan peraturan terus meningkat
Perubahan/variasi dalam persyaratan perundang-undangan nasional Usaha

patungan menjadi lebih umum
menjadi lebih umum
Perubahan di pasar
Mengubah lingkungan komersial dan pasar
Globalisasi pelanggan, pemasok dan produk Meningkatnya persaingan
di pasar
Ekspektasi pelanggan yang lebih besar, sering kali dipimpin oleh pesaing. Perlu
merespons ekspektasi pemangku kepentingan dengan lebih cepat. Pasar yang lebih fluktuatif
dengan loyalitas pelanggan yang lebih sedikit
Diversifikasi mengarah pada bekerja di bidang yang asing. Kebutuhan terus-menerus untuk
membuat keputusan strategis yang berani
Dibutuhkan kesuksesan jangka pendek, tanpa kerugian jangka panjang.
Inovasi produk dan perbaikan berkelanjutan
Perubahan cepat dalam teknologi produk (konsumen).
Ancaman terhadap perekonomian dunia/nasional
Ancaman influenza atau pandemi lainnya
Potensi kejahatan terorganisir internasional
Meningkatnya kejadian kerusuhan sipil/risiko politik Peristiwa cuaca ekstrem
yang mengakibatkan perpindahan penduduk
Bab ini membahas sifat manajemen risiko dan tahapan yang ditetapkan dalam
proses manajemen risiko. Secara historis, istilah manajemen risiko telah digunakan
untuk menggambarkan suatu pendekatan yang diterapkan hanya pada risiko bahaya.
Disiplin ini sekarang berkembang sedemikian rupa sehingga memungkinkan manajemen
risiko memberikan kontribusi terhadap peningkatan manajemen risiko pengendalian
dan risiko peluang.
Pengembangan manajemen risiko

Manajemen risiko sebagai disiplin formal telah ada setidaknya selama 100 tahun. Asal
usulnya berasal dari aktivitas spesialis asuransi, yang sejarahnya dapat ditelusuri
kembali selama beberapa abad. Ketika asuransi menjadi lebih formal dan terstruktur,
kebutuhan akan standar pengendalian risiko meningkat, terutama yang berkaitan
dengan asuransi kargo yang diangkut oleh kapal di seluruh dunia. Mungkin salah satu
perkembangan paling awal dalam bidang ini adalah
pengenalan 'Jalur Plimsoll' untuk menunjukkan tingkat muatan yang dapat diangkut
dengan aman oleh kapal tanpa kelebihan muatan yang berbahaya.
Ketika manajemen risiko semakin berkembang, muncullah program pendidikan untuk
mendukung pengembangan manajemen risiko sebagai sebuah profesi. Pada saat inilah
peraturan manajemen risiko yang terkait dengan tata kelola perusahaan mulai berkembang
dan berbagai regulator diberi wewenang lebih besar terkait dengan bahaya tertentu
(seperti kesehatan dan keselamatan), dan juga terkait dengan sektor bisnis tertentu
(seperti lembaga keuangan). . Perkembangan kualifikasi manajemen risiko menjadi
semakin formal pada tahun 1980an.
Perkembangan pendidikan dan kualifikasi manajemen risiko, serta pendekatan regulator

yang lebih terstruktur, menyebabkan munculnya standar manajemen risiko. Standar
manajemen risiko AS/NZS 4360:1995 adalah salah satu contoh awal pendekatan
komprehensif terhadap manajemen risiko.
Selain standar manajemen risiko umum yang berlaku untuk semua industri, pendekatan
manajemen risiko spesifik juga muncul di sektor-sektor tertentu, termasuk sektor
keuangan. Munculnya peraturan persyaratan permodalan bagi bank dan perusahaan
asuransi menunjukkan semakin tingginya tingkat kematangan manajemen risiko yang
dibutuhkan lembaga keuangan.
Peran manajemen risiko perusahaan di Amerika Serikat selama tahun 1950an menjadi
perluasan keputusan pembelian asuransi. Selama tahun 1960an, perencanaan kontinjensi
menjadi lebih penting bagi organisasi. Ada juga penekanan di luar pembiayaan risiko
pada pencegahan kerugian dan manajemen keselamatan.
Selama tahun 1970an, praktik asuransi mandiri dan retensi risiko berkembang dalam
organisasi. Perusahaan asuransi captive juga mulai berkembang. Rencana kontinjensi
kemudian berkembang menjadi perencanaan kesinambungan bisnis dan rencana
pemulihan bencana.
Pada saat yang sama selama tahun 1960an dan 1970an, terdapat banyak
perkembangan dalam pendekatan manajemen risiko yang diadopsi oleh para praktisi
kesehatan dan keselamatan kerja. Selama tahun 1980an, penerapan teknik manajemen
risiko pada manajemen proyek berkembang pesat. Lembaga keuangan terus
mengembangkan penerapan alat dan teknik manajemen risiko terhadap risiko pasar dan
risiko kredit selama tahun 1980an. Selama tahun 1990-an, lembaga-lembaga keuangan
memperluas inisiatif manajemen risiko mereka hingga mencakup hal-hal berikut:
pertimbangan terstruktur atas risiko operasional.

Selain itu, pada tahun 1980an, departemen keuangan mulai mengembangkan pendekatan
keuangan terhadap manajemen risiko. Terdapat pengakuan dari direktur keuangan bahwa
manajemen risiko asuransi dan kebijakan manajemen risiko keuangan harus dikoordinasikan
dengan lebih baik. Selama tahun 1990an, muncul produk pembiayaan risiko yang menggabungkan
asuransi dengan derivatif. Pada saat yang sama, tata kelola perusahaan dan persyaratan
pencatatan mendorong para direktur untuk lebih menekankan manajemen risiko perusahaan
(ERM) dan penunjukan pertama chief risk officer (CRO) terjadi pada saat itu.
Selama tahun 2000an, perusahaan jasa keuangan didorong untuk mengembangkan sistem
manajemen risiko internal dan model permodalan. Ada pertumbuhan pesat posisi CRO di
perusahaan energi, bank, dan perusahaan asuransi.
Dewan sekarang menginvestasikan lebih banyak waktu dalam ERM karena Sarbanes – Oxley Act
tahun 2002 di Amerika Serikat. Pelaporan risiko yang lebih rinci dan persyaratan tata kelola
perusahaan lainnya juga telah diperkenalkan.
Namun, krisis keuangan tahun 2008 mempertanyakan kontribusi manajemen risiko terhadap
kesuksesan perusahaan, khususnya di lembaga keuangan. Tidak ada keraguan bahwa penerapan
alat dan teknik manajemen risiko gagal mencegah krisis keuangan global. Kegagalan ini merupakan
kegagalan dalam menerapkan proses dan prosedur manajemen risiko dengan benar, dan bukan
merupakan cacat bawaan dalam pendekatan manajemen risiko.
Bidang spesialis manajemen risiko

Manajemen risiko adalah disiplin yang terus berkembang dan berkembang. Selain berasal dari
industri asuransi dan cabang manajemen bahaya lainnya, manajemen risiko memiliki hubungan
yang kuat dengan fungsi perkreditan dan perbendaharaan. Banyak fungsi dalam organisasi besar
yang memiliki komponen manajemen risiko yang signifikan dalam aktivitasnya, seperti perpajakan,
perbendaharaan, sumber daya manusia, pengadaan, dan logistik. Namun, kecil kemungkinannya
para spesialis di bidang tersebut akan menganggap aktivitas mereka hanya sebagai cabang
disiplin manajemen risiko.
Mungkin salah satu bidang manajemen risiko yang paling terkenal dan terspesialisasi adalah itu
mengenai kesehatan dan keselamatan di tempat kerja. Bidang spesialis lainnya adalah
perencanaan pemulihan bencana dan perencanaan kesinambungan bisnis. Selain itu, tidak ada
keraguan bahwa manajemen mutu adalah cabang manajemen risiko yang berkembang dengan
sangat baik, mengingat tingginya profil yang melekat pada sistem manajemen mutu, seperti ISO 9000.
Selain itu, bidang manajemen risiko khusus lainnya telah berkembang selama beberapa dekade
terakhir, termasuk:
manajemen risiko proyek;
manajemen risiko klinis/medis;
manajemen risiko energi;
manajemen risiko keuangan;
manajemen risiko TI.
Semua bidang spesialis manajemen risiko di atas telah memberikan kontribusi besar terhadap
pengembangan dan penerapan alat dan teknik manajemen risiko. Manajemen risiko proyek
adalah bidang di mana penerapan alat dan teknik manajemen risiko dikembangkan dengan
baik. Seperti yang telah dibahas sebelumnya, manajemen risiko proyek menekankan pada
pengelolaan risiko ketidakpastian atau pengendalian.
Manajemen risiko klinis telah berkembang selama beberapa waktu. Area manajemen risiko
ini terutama berkaitan dengan perawatan pasien, khususnya selama operasi bedah. Biaya klaim
malpraktik medis dan penundaan yang tidak dapat dihindari dalam melakukan pembayaran
asuransi telah mengakibatkan diperkenalkannya sistem manajemen risiko. Aspek khusus dari
manajemen risiko klinis mencakup perhatian yang lebih besar untuk membuat pasien sadar
akan risiko yang mungkin terkait dengan prosedur yang akan mereka jalani.
Penting juga bagi ahli bedah untuk melaporkan insiden yang terjadi selama operasi.
Penekanan yang cukup besar telah ditempatkan dalam manajemen risiko klinis pada kebutuhan
untuk melaporkan, secara akurat dan tepat waktu, rincian setiap insiden yang terjadi di ruang
operasi. Ada banyak publikasi yang tersedia mengenai manajemen risiko klinis, dan banyak
upaya telah dilakukan untuk menetapkan sistem dan prosedur yang diperlukan untuk mencakup
bidang khusus manajemen risiko ini.
Selain manajemen risiko proyek dan klinis, alat dan teknik manajemen risiko juga telah
diterapkan di berbagai industri spesialis. Secara khusus, teknik manajemen risiko telah
diterapkan di sektor keuangan dan energi. Manajemen risiko di sektor keuangan berfokus
pada risiko operasional, serta risiko pasar, kredit, dan jenis risiko keuangan lainnya. Di sektor
keuanganlah gelar Chief Risk Officer pertama kali dikembangkan.
Sektor energi juga mengalami peningkatan perhatian terhadap alat dan teknik manajemen
risiko. Bagi beberapa organisasi di sektor energi, manajemen risiko terutama berkaitan
dengan harga energi di masa depan dan risiko eksplorasi. Oleh karena itu, pendekatan
manajemen risiko serupa dengan aktivitas fungsi treasury, dimana lindung nilai dan teknik
keuangan canggih lainnya menjadi dasar upaya manajemen risiko.
Manajemen risiko keuangan menjadi sangat populer akhir-akhir ini, dan Bab 30 membahas
pentingnya manajemen risiko operasional dalam sektor keuangan. Namun, manajemen risiko
di sektor keuangan lebih luas dari sekedar risiko operasional. Bank dan lembaga keuangan
lainnya akan memperhatikan risiko kredit dan risiko pasar, serta risiko operasional.
Keuangan dan asuransi merupakan sektor bisnis yang diatur dengan ketat, diatur oleh standar
internasional seperti Basel III dan Solvabilitas II.
Manajemen risiko TI adalah cabang manajemen risiko yang berkembang dengan baik dan
spesifik. Semakin pentingnya informasi bagi organisasi, dalam hal pengelolaan dan keamanan
data, telah menghasilkan pengembangan standar khusus yang dapat diterapkan pada
manajemen risiko TI. Salah satu standar manajemen risiko yang paling baik adalah COBIT,
yang dalam banyak hal serupa dengan kubus COSO ERM yang dibahas di Bab 6.
Representasi sederhana dari

manajemen risiko
Manajemen risiko telah menetapkan tahapan-tahapan yang membentuk proses manajemen
risiko, seperti dijelaskan pada Tabel 4.3. Tahapan-tahapan ini menjadi bagian dari aktivitas
manajemen risiko yang berharga, yang masing-masing memberikan kontribusi penting. Ada
banyak cara untuk merepresentasikan proses manajemen risiko, dan masing-masing cara tersebut
standar yang disebutkan dalam Bab 6 memberikan gambaran yang sedikit berbeda.
TABEL 4.3 Manajemen risiko (bahaya) 8R dan 4T
1 Pengakuan atau identifikasi risiko dan identifikasi sifat risiko serta keadaan di mana
risiko tersebut dapat terjadi.
2 Pemeringkatan atau evaluasi risiko dari segi besaran dan kemungkinannya untuk
menghasilkan 'profil risiko' yang tercatat dalam daftar risiko.
3 Memberi peringkat atau menganalisis tingkat risiko saat ini atau yang tersisa terhadap
kriteria risiko atau selera risiko yang ditetapkan.
4 Menanggapi risiko-risiko signifikan, termasuk keputusan mengenai
tindakan yang tepat mengenai pilihan-pilihan berikut: • menoleransi; • merawat;
•
pemindahan;
• mengakhiri.
5 Pengendalian sumber daya untuk memastikan bahwa pengaturan yang memadai telah dibuat
untuk memperkenalkan dan mempertahankan aktivitas pengendalian yang diperlukan.
6 Perencanaan reaksi dan/atau manajemen kejadian. Untuk risiko bahaya, hal ini
mencakup pemulihan bencana atau perencanaan kelangsungan bisnis.
7 Pelaporan dan pemantauan kinerja risiko, tindakan dan peristiwa serta komunikasi
mengenai isu-isu risiko, melalui arsitektur risiko organisasi.
8 Melakukan review sistem manajemen risiko, termasuk audit internal

prosedur dan pengaturan untuk peninjauan dan pemutakhiran arsitektur risiko, strategi
dan protokol.
Gambar 4.1 memberikan representasi diagram sederhana dari proses manajemen risiko.
Penjelasan dasar proses manajemen risiko ini disebut sebagai 8R dan 4T manajemen risiko
bahaya. Kegiatan yang terkait dengan manajemen risiko adalah sebagai berikut:
pengakuan risiko;
peringkat risiko;
pemeringkatan berdasarkan kriteria risiko;
menanggapi risiko yang signifikan;
kontrol sumber daya;
perencanaan reaksi (dan peristiwa);
pelaporan kinerja risiko;
meninjau sistem manajemen risiko.

GAMBAR 4.1 8R dan 4T manajemen risiko (bahaya).
Manajemen risiko dapat meningkatkan pengelolaan proses inti suatu

organisasi dengan memastikan bahwa ketergantungan utama dianalisis,
dipantau, dan ditinjau. Alat dan teknik manajemen risiko akan membantu
pengelolaan risiko bahaya, pengendalian risiko, dan risiko peluang yang
dapat berdampak pada ketergantungan utama ini. Organisasi harus memastikan bahwa r
Proses manajemen diulangi sesering yang diperlukan, untuk mengatasi kesulitan dalam
memberikan gambaran statis mengenai status risiko yang dihadapi organisasi. Hal ini akan
memastikan bahwa manajemen risiko tetap menjadi aktivitas yang dinamis.

Bidang lain di mana disiplin manajemen risiko telah berkembang belakangan ini adalah
pendekatan yang disebut sebagai manajemen risiko perusahaan atau enterprise-wide (ERM).
Pendekatan terhadap manajemen risiko ini dibahas secara lebih rinci di Bab 8. Ciri utama
yang membedakan ERM dari apa yang mungkin dianggap sebagai manajemen risiko
tradisional adalah pendekatan yang lebih terintegrasi atau holistik yang diterapkan dalam ERM.
Dalam banyak hal, hal ini dapat dianggap sebagai filosofi pemersatu yang menyatukan
pengelolaan semua jenis risiko, dan bukan pendekatan baru atau berbeda.
Ketika sebuah organisasi mempertimbangkan semua risiko yang dihadapinya dan

bagaimana risiko ini dapat berdampak pada strategi, proyek, dan operasinya, maka organisasi
tersebut memulai pendekatan manajemen risiko perusahaan. Asosiasi manajemen risiko AS,
Risk and Insurance Managers Society (RIMS) mendefinisikan manajemen risiko perusahaan
sebagai berikut: Manajemen Risiko Perusahaan ('ERM') adalah disiplin bisnis strategis yang
mendukung pencapaian tujuan organisasi dengan menangani seluruh spektrum risikonya.
risiko dan mengelola dampak gabungan dari risiko-risiko tersebut sebagai portofolio risiko
yang saling terkait.
ERM di industri farmasi

Contoh yang baik dari pendekatan ERM adalah industri farmasi. Jika seseorang bergantung pada
obat tertentu, maka sangatlah penting agar obat tersebut selalu tersedia. Dari sudut pandang
perusahaan farmasi, hal ini berarti bahwa proses inti organisasi haruslah proses 'ketersediaan
obat secara konstan'.
Jika perusahaan farmasi mengambil pendekatan ini, mereka akan mempertimbangkan
risiko yang dapat mempengaruhi proses inti atau ekspektasi pemangku kepentingan di seluruh
perusahaan. Hal ini akan melibatkan analisis rantai pasokan, evaluasi aktivitas manufaktur, dan
analisis pengaturan pengiriman. Pertanyaan keseluruhan yang perlu dijawab adalah apa yang
dapat menghambat pasokan obat secara terus menerus. Risiko terhadap pasokan yang
berkelanjutan mencakup tidak tersedianya bahan-bahan, gangguan terhadap aktivitas
produksi, kontaminasi produk, gangguan dalam pengaturan transportasi pasokan, dan gangguan terhadap distribusi.
Pendekatan skala perusahaan mempunyai banyak keuntungan karena menganalisis

potensi gangguan terhadap ekspektasi pemangku kepentingan secara keseluruhan.
Kesehatan dan keselamatan, misalnya, kemudian dipandang sebagai komponen yang
memastikan bahwa staf selalu tersedia sehingga proses inti operasional secara
keseluruhan tidak akan terganggu, dan bukan (atau mungkin juga) menjadi masalah
manajemen bahaya tersendiri.
Tingkat kecanggihan
manajemen risiko
Bab ini menjelaskan berbagai gaya manajemen risiko yang saat ini dipraktikkan. Lebih
banyak profesi dan disiplin ilmu yang terlibat dalam manajemen risiko dibandingkan tahun-
tahun sebelumnya. Hal ini menambah keragaman dalam pengembangan disiplin
manajemen risiko. Suatu organisasi tidak hanya perlu canggih dalam pendekatan dan
harapannya terhadap manajemen risiko, namun juga matang dalam cara melakukan
aktivitas manajemen risikonya. Pentingnya kematangan risiko dibahas di Bab 24.
Pada awalnya, sebuah organisasi mungkin tidak menyadari kewajiban hukum dan
kontrak yang dihadapinya. Dalam hal ini, perlu untuk memberitahukannya kepada
organisasi kewajibannya sehubungan dengan risiko. Seiring dengan berkembangnya

tingkat kecanggihan, organisasi akan menyadari perlunya mematuhi kewajiban dan
kebutuhan yang lebih umum akan peningkatan manajemen risiko. Ketika organisasi
menyadari adanya kewajiban, organisasi perlu melakukan reformasi sebagai respons
terhadap risiko bahaya. Ketika organisasi merespons risiko, organisasi akan berusaha
menyesuaikan diri dengan standar pengendalian risiko yang sesuai. Setelah tahap ini,
organisasi mungkin menyadari bahwa ada manfaat yang dapat diperoleh dari risiko
tersebut. Organisasi kemudian akan memiliki kemampuan untuk melakukan dan
memandang risiko tersebut sebagai risiko peluang, seperti yang diilustrasikan pada Gambar 4.2.
GAMBAR 4.2 Kecanggihan manajemen risiko
Sebagai contoh sederhana, penerbit mungkin menyadari bahwa mereka tidak

sepenuhnya mematuhi undang-undang persamaan kesempatan, karena tidak ada
perwakilan etnis minoritas dalam angkatan kerja. Perusahaan akan mengidentifikasi
tindakan yang diperlukan untuk mereformasi prosedurnya agar sesuai dengan
persyaratan hukum.
Setelah mencapai kepatuhan, penerbit harus menyadari bahwa sebagian besar tenaga kerja berasal
dari latar belakang etnis yang berbeda. Perusahaan harus melihat keberagaman tenaga kerjanya
sebagai sebuah manfaat yang memungkinkannya berkinerja lebih baik di pasar dengan menjajaki
peluang untuk memproduksi dan menerbitkan majalah baru yang menarik bagi pembaca yang lebih
beragam secara etnis.
Tahapan reformasi untuk menyesuaikan kinerja mewakili tingkat kecanggihan manajemen risiko.
Namun, risiko atau praktik manajemen risiko tidak perlu berkembang dari bahaya ke pengendalian ke
peluang.
Faktanya, risiko dapat menurun dalam keadaan tertentu. Pada suatu waktu, suatu risiko tertentu akan
bertipe spesifik dalam suatu organisasi. Manfaat dapat diperoleh dari keberhasilan pengelolaan risiko
tersebut pada tingkat kecanggihan apa pun yang sesuai pada saat itu. Singkatnya, manajemen risiko
hanya perlu secanggih yang dibutuhkan organisasi agar dapat memberikan manfaat.
Meskipun empat tingkat kecanggihan manajemen risiko yang diilustrasikan pada Gambar 4.2 mewakili
pendekatan manajemen risiko yang lebih baik, terdapat bahaya bahwa organisasi akan terobsesi dengan
manajemen risiko hingga keputusan penting tidak diambil. Pada titik ini, dapat dikatakan bahwa terlalu
banyak perhatian dan kepedulian terhadap risiko dan manajemen risiko akan menyebabkan organisasi
merusak operasinya. Kesimpulan:
tidak menyadari kewajiban – INFORMASI;
kesadaran akan ketidakpatuhan – REFORMASI;
tindakan untuk memastikan kepatuhan – CONFORM;
meraih peluang bisnis – PERFORM;
ketidakaktifan yang disebabkan oleh obsesi – DEFORM.
Sebagian besar negara di dunia memiliki beragam organisasi sukarela dan badan amal. Dapat dimengerti
dan sangat tepat jika para direktur atau pengurus organisasi-organisasi ini harus mempunyai tingkat
kepedulian dan kesadaran yang tinggi mengenai manajemen risiko. Namun, sering kali dilaporkan bahwa
wali lebih mementingkan manajemen risiko dan tata kelola yang benar dibandingkan menggalang dana
untuk badan amal yang mereka dukung. Membiarkan kekhawatiran ini dengan manajemen risiko
melumpuhkan aktivitas organisasi akan merugikan tujuan baik yang didukung oleh badan
amal.
Ketika tingkat kecanggihan meningkat dan para profesional manajemen risiko menjadi
sadar akan pendekatan alternatif terhadap manajemen risiko, mereka harus menghargai
kontribusi yang dapat diberikan oleh pendekatan lain. Perkembangan pendekatan manajemen
risiko dapat diringkas sebagai berikut:
Manajemen kepatuhan tidak boleh dilakukan secara terfragmentasi, meskipun standar

kepatuhan yang sangat baik telah dicapai.
Spesialis manajemen bahaya mungkin menemukan bahwa ada kecenderungan ke arah keinginan
untuk mempertahankan lebih banyak risiko yang dapat diasuransikan (dan membeli lebih sedikit
asuransi) sebagai hasil dari pendekatan manajemen risiko yang lebih holistik.
Spesialis manajemen pengendalian tidak boleh memaksakan semangat dan usaha

kewirausahaan keluar dari organisasi.
Perencana strategis harus menyadari bahwa alat dan teknik manajemen risiko dapat
berkontribusi pada keputusan strategis yang lebih baik dan keberhasilan eksploitasi
peluang bisnis.
Pendekatan untuk meningkatkan kecanggihan manajemen risiko yang dijelaskan dalam

bagian ini juga dibahas dalam Bab 24 dengan menggunakan 4N. Pendekatan alternatif untuk
meningkatkan tingkat kecanggihan manajemen risiko atau kematangan manajemen risiko
adalah pendekatan terfragmentasi, terorganisir, berpengaruh, terdepan (FOIL) yang juga
dibahas secara lebih rinci di Bab 24.
05
Prinsip dan tujuan
manajemen risiko
Prinsip manajemen risiko

Prinsip utama manajemen risiko adalah memberikan nilai bagi organisasi. Dengan kata lain,
aktivitas manajemen risiko dirancang untuk mencapai hasil terbaik dan mengurangi volatilitas atau
ketidakpastian hasil.
Namun, manajemen risiko beroperasi berdasarkan prinsip-prinsip yang lebih luas, dan terdapat
beberapa upaya untuk mendefinisikan prinsip-prinsip ini. ISO 31000 mencakup daftar rinci prinsip-
prinsip manajemen risiko yang disarankan.
Banyak daftar prinsip yang menguraikan deskripsi tentang aktivitas manajemen risiko yang
seharusnya dilakukan dan apa yang harus dicapai. Penting untuk membedakan antara apa yang
ingin dicapai oleh inisiatif manajemen risiko dan sifat kerangka manajemen risiko yang akan
diterapkan. Disarankan agar inisiatif (dan kerangka kerja) manajemen risiko yang berhasil adalah:
proporsional dengan tingkat risiko dalam organisasi;
selaras dengan kegiatan usaha lainnya;
komprehensif, sistematis dan terstruktur;
tertanam dalam prosedur dan protokol bisnis;
dinamis, berulang dan responsif terhadap perubahan.
Ini memberikan akronim PACED dan memberikan seperangkat prinsip yang sangat baik yang
menjadi dasar pendekatan manajemen risiko yang sukses dalam organisasi mana pun. Penjelasan
lebih rinci mengenai prinsip manajemen risiko PACED disajikan pada Tabel 5.1. Pendekatan
manajemen risiko didasarkan
pada gagasan bahwa risiko adalah sesuatu yang dapat diidentifikasi dan dikendalikan.
TABEL 5.1 Prinsip-prinsip manajemen risiko
Prinsip Keterangan
Proporsional Kegiatan pengelolaan Risiko harus proporsional dengan tingkat

risiko yang dihadapi organisasi.
Selaras Aktivitas ERM perlu diselaraskan dengan aktivitas

lain dalam organisasi.
Komprehensif Agar sepenuhnya efektif, pendekatan manajemen risiko

harus komprehensif.
Tertanam Aktivitas manajemen risiko perlu tertanam dalam
organisasi.
Dinamis Kegiatan manajemen risiko harus dinamis dan responsif

terhadap risiko yang muncul dan berubah.
Pernyataan prinsip di atas berkaitan dengan fitur penting dari manajemen risiko. Prinsip-
prinsip ini menjelaskan manajemen risiko yang seharusnya diterapkan dalam praktik. Beberapa
daftar prinsip juga mencakup informasi tentang apa yang harus dilakukan atau dilaksanakan
oleh manajemen risiko. Penting untuk memisahkan prinsip-prinsip manajemen risiko ke dalam
dua daftar berbeda: apa yang seharusnya menjadi karakteristik manajemen risiko, seperti
yang tercantum di atas; dan apa yang harus disampaikan, seperti tercantum di bawah ini:
kewajiban wajib yang dibebankan pada organisasi;

kepastian mengenai pengelolaan risiko yang signifikan;
keputusan yang sepenuhnya memperhatikan pertimbangan risiko;
proses inti yang efektif dan efisien.
Jika organisasi ingin mendapatkan manfaat maksimal dari aktivitas manajemen

risikonya, prinsip-prinsip di atas harus diterapkan ketika inisiatif manajemen risiko
direncanakan dan kerangka manajemen risiko ditetapkan.
dikembangkan. Dalam banyak hal, titik awal dari seluruh aktivitas manajemen risiko
adalah memutuskan apa yang ingin dicapai oleh organisasi. Tabel 5.2 menguraikan
kemungkinan tujuan atau motivasi inisiatif manajemen risiko sebagai proses wajib,
jaminan, pengambilan keputusan, dan proses inti yang efektif dan efisien (MADE2).
Proses inti mewakili aktivitas organisasi dan dapat bersifat strategis, taktis, operasional,
atau kepatuhan (STOC).
TABEL 5.2 Tujuan manajemen risiko
Deskripsi Objektif
Wajib Tujuan dasar dari setiap inisiatif manajemen risiko adalah untuk memastikan
kesesuaian dengan peraturan, regulasi, dan kewajiban wajib yang
berlaku.
Jaminan Dewan dan komite audit suatu organisasi akan memerlukan jaminan
bahwa manajemen risiko dan aktivitas pengendalian internal
mematuhi PACED.
Pengambilan Kegiatan manajemen risiko harus memastikan bahwa informasi
keputusan berbasis risiko yang tepat tersedia untuk mendukung
pengambilan keputusan.
Efektif Pertimbangan manajemen risiko akan membantu mencapai strategi,
dan taktik, operasi dan kepatuhan yang efektif dan efisien untuk
efisien memastikan hasil terbaik dengan mengurangi volatilitas hasil.
inti
proses
Tujuan manajemen risiko diberi akronim MADE2 dan ini menegaskan bahwa
keluaran dari manajemen risiko akan mengurangi gangguan terhadap operasi normal
yang efisien, mengurangi ketidakpastian dalam kaitannya dengan taktik dan
meningkatkan keputusan dalam kaitannya dengan evaluasi dan pemilihan strategi
alternatif. Dengan kata lain, bagian penting dari manajemen risiko adalah peningkatan
pengambilan keputusan organisasi.
Sumber daya yang tersedia untuk mengelola risiko terbatas sehingga tujuannya adalah untuk mengelola risiko tersebut
mencapai respon optimal terhadap risiko, diprioritaskan sesuai dengan evaluasi risiko. Risiko
tidak dapat dihindari dan setiap organisasi perlu mengambil tindakan untuk mengelolanya
sedemikian rupa hingga mencapai tingkat yang dapat diterima. Kisaran respons yang tepat
akan bergantung pada sifat, ukuran dan kompleksitas organisasi serta risiko yang dihadapi.
Pentingnya manajemen risiko

Tabel 4.2 memberikan sejumlah contoh yang menggambarkan pentingnya manajemen
risiko. Manajemen risiko semakin mendapat perhatian akhir-akhir ini, karena krisis keuangan
global dan banyaknya kegagalan perusahaan-perusahaan besar di seluruh dunia yang
mendahuluinya. Selain itu, manajemen risiko menjadi lebih penting karena meningkatnya
ekspektasi pemangku kepentingan dan kemudahan komunikasi yang semakin meningkat.
Selain membantu pengambilan keputusan yang lebih baik dan peningkatan efisiensi,
manajemen risiko juga dapat berkontribusi pada pemberian jaminan yang lebih besar kepada
para pemangku kepentingan. Jaminan ini memiliki dua komponen penting. Para direktur
organisasi mana pun harus yakin bahwa risiko telah diidentifikasi dan langkah-langkah yang
tepat telah diambil untuk mengelola risiko ke tingkat yang tepat.
Selain itu, terdapat penekanan yang lebih besar pada pelaporan informasi yang akurat
oleh organisasi, termasuk informasi risiko. Pemangku kepentingan memerlukan informasi
rinci mengenai kinerja perusahaan, termasuk kesadaran risiko. Sarbanes– Oxley Act of 2002
(SOX) di Amerika Serikat menjadikan keakuratan pelaporan keuangan sebagai persyaratan
utamanya. Hal ini menempatkan permasalahan pelaporan hasil yang akurat ke dalam
prioritas yang lebih tinggi (pasal 404), dan pada saat yang sama juga mengharuskan
pengungkapan seluruh informasi tentang organisasi secara lengkap dan akurat (pasal 302).
Meskipun SOX merupakan undang-undang khusus yang hanya berlaku dalam keadaan
tertentu, prinsip-prinsip yang terkandung di dalamnya sangat penting bagi semua praktisi
manajemen risiko. Oleh karena itu, Bab 35 dan 36 mempertimbangkan jaminan risiko dan
pelaporan yang akurat sebagai komponen integral dari keseluruhan proses manajemen
risiko.
Ketika memutuskan pentingnya manajemen risiko dalam organisasi, desain inisiatif
manajemen risiko dan kerangka manajemen risiko
harus mencerminkan alasan mengapa manajemen risiko dilakukan dalam organisasi, dalam
istilah MADE2. Keputusan-keputusan ini perlu diambil dengan mempertimbangkan faktor-faktor
pendorong manajemen risiko pada organisasi tertentu. Faktor pendorongnya mungkin terkait
dengan pertimbangan tertentu dalam MADE2, seperti efektivitas dan efisiensi proses inti
operasional.
Beberapa organisasi telah menunjuk seorang manajer pengendalian kerugian dengan
tanggung jawab khusus untuk mengurangi frekuensi dan biaya kecelakaan pada manusia dan
kerusakan pada pabrik dan peralatan. Terkadang, inisiatif ini didasarkan pada keinginan untuk
meningkatkan reputasi organisasi dengan meningkatkan kepatuhan terhadap aturan dan
regulasi yang berlaku, atau kemampuan untuk menunjukkan perilaku yang lebih etis – termasuk
dalam rantai pasokan.
Kegiatan manajemen risiko

Manajemen risiko merupakan suatu proses yang dapat dibagi menjadi beberapa tahap. Standar
Manajemen Risiko IRM memberikan satu representasi tahapan yang terlibat dalam proses
manajemen risiko. Ilustrasi alternatif proses manajemen risiko dapat ditemukan dalam Standar
Internasional ISO 31000 dan publikasi lainnya. Standar-standar ini dibahas secara lebih rinci
dalam Bab 6.
Gambar 4.1 mengilustrasikan tahapan dalam proses manajemen risiko (bahaya). Terminologi
yang digunakan untuk menggambarkan tahapan dalam proses manajemen risiko sengaja
dipilih, sehingga proses tersebut dapat direpresentasikan sebagai 8R dan 4T manajemen risiko
bahaya. Tabel 4.3 memberikan informasi lebih lanjut mengenai masing-masing tahapan yang
diilustrasikan pada Gambar 4.1.
ISO Guide 73 dan British Standard BS 31100 menjelaskan proses manajemen risiko sebagai
penerapan sistematis kebijakan, prosedur, dan praktik manajemen untuk tugas
mengkomunikasikan, berkonsultasi, menetapkan konteks, mengidentifikasi, menganalisis,
mengevaluasi, menangani, memantau, dan meninjau risiko.
Namun, dapat dikatakan bahwa penetapan kebijakan, prosedur dan praktik, serta tugas
mengkomunikasikan, mengkonsultasikan dan menetapkan konteks tersebut, sebenarnya
merupakan bagian dari kerangka manajemen risiko, bukan proses manajemen risiko itu sendiri.
Dalam buku ini, proses manajemen risiko dianggap sebagai serangkaian proses yang sempit
kegiatan, yang dijelaskan di atas sebagai mengidentifikasi, menganalisis, mengevaluasi, menangani,

memantau dan meninjau risiko. Hal ini memberikan perbedaan yang jelas antara proses manajemen
risiko dan kerangka kerja yang menerapkan dan mendukung proses ini. Uraian proses manajemen risiko
beserta kerangka manajemen risiko diperlukan untuk menghasilkan standar manajemen risiko yang
komprehensif.
Telah banyak diskusi mengenai apakah suatu proses dan/atau diagram manajemen risiko tunggal
dapat digunakan untuk menggambarkan pengelolaan risiko kepatuhan, risiko bahaya, risiko pengendalian,
dan risiko peluang. Buku ini menggunakan terminologi yang berbeda untuk menggambarkan empat jenis
risiko dan oleh karena itu, Gambar 4.1 dan Tabel 4.3 digunakan untuk mengilustrasikan tahapan dalam
proses manajemen risiko bahaya saja.
Ada sejumlah pilihan ketika merespons risiko bahaya. Hal ini sering direpresentasikan sebagai 4T
dalam manajemen risiko bahaya, dan pilihan respons risiko ini dibahas secara lebih rinci di Bab 15.
Ringkasnya, opsi untuk merespons risiko bahaya adalah:
mentolerir;
merawat;
transfer;
mengakhiri.
Proses inti yang efektif dan efisien

Risiko yang tidak dapat diasuransikan atau bahaya dapat berdampak langsung pada operasi.
Oleh karena itu, penerapan awal prinsip-prinsip manajemen risiko adalah untuk memastikan kelanjutan
operasi normal yang efisien.
Seiring dengan berkembangnya manajemen risiko, penekanan diberikan pada manajemen proyek
dan pelaksanaan program untuk memberikan peningkatan pada proses bisnis inti. Proses harus efektif
karena memberikan hasil yang diperlukan, serta efisien. Misalnya, tidak ada gunanya memiliki program
perangkat lunak yang efisien jika tidak memberikan serangkaian fungsi yang diperlukan.
Keputusan strategis adalah hal terpenting yang harus diambil oleh suatu organisasi.
Manajemen risiko memberikan informasi yang lebih baik sehingga keputusan strategis
dapat dibuat dengan lebih percaya diri. Strategi yang diputuskan oleh suatu organisasi
harus mampu memberikan hasil yang diharapkan. Ada banyak contoh organisasi yang
memilih strategi yang salah atau gagal menerapkan strategi yang dipilih dengan sukses.
Banyak dari organisasi-organisasi ini mengalami kegagalan perusahaan.
Strategi harus dirancang untuk memanfaatkan peluang. Misalnya, klub olahraga

mungkin mengidentifikasi kemungkinan menjual lebih banyak produk ke basis pelanggan
yang ada. Beberapa klub akan mendirikan agen perjalanan untuk para penggemar klub
yang bepergian ke luar negeri, bersama dengan penyediaan asuransi perjalanan terkait.
Selain itu, ada kemungkinan untuk membuat kartu kredit klub yang akan dikelola oleh
anak perusahaan keuangan baru.
Setelah mengidentifikasi kemungkinan-kemungkinan ini, klub perlu melihat risiko yang
terkait dengan peluang investasi potensial ini dan merancang program proyek yang
sesuai untuk menerapkan strategi yang dipilih. Memastikan bahwa risiko telah
diperhitungkan secara memadai dalam seluruh aktivitas ini akan meningkatkan peluang
dalam memilih strategi yang tepat, merancang taktik yang tepat, dan pada akhirnya,
memastikan operasi yang efisien dan menguntungkan. Perlu dicatat bahwa proyek dan
program kerja mewakili taktik yang digunakan untuk menerapkan strategi.
Organisasi yang memiliki taktik, operasi, dan kepatuhan yang efektif dan efisien,
namun strategi keseluruhannya salah akan gagal. Hal ini akan terjadi, betapapun baiknya
aktivitas manajemen risiko pada tingkat operasional dan proyek.
Strategi yang salah telah mengakibatkan lebih banyak kegagalan perusahaan
dibandingkan operasi dan taktik yang tidak efektif atau efisien. Namun demikian,
pentingnya aktivitas kepatuhan tidak dapat terlalu ditekankan, seperti yang ditunjukkan
oleh kotak teks Laporan Tahunan dan Laporan Keuangan The Rank Group Plc di bawah ini.
Pentingnya kepatuhan
Hilangnya lisensi dapat berdampak buruk pada bisnis dan profitabilitas kami serta
menghalangi kami untuk menyediakan layanan perjudian.
Lisensi game Rank sangat penting dalam pengoperasiannya. Di bisnis bagian Inggris,
terdapat persyaratan untuk memiliki lisensi operator dari Komisi Perjudian Inggris (badan
yang bertanggung jawab untuk mengatur perjudian komersial di Inggris Raya) sehubungan
dengan setiap aktivitas berlisensi yang dilakukan. Selain itu, perlu memiliki izin lokasi dari
otoritas lokal terkait di mana setiap tempat berada, satu untuk aktivitas perjudian dan satu lagi
untuk penjualan alkohol.
Rank memiliki fungsi kepatuhan khusus yang independen terhadap operasional dan
fungsi audit internal terpisah yang independen terhadap operasional dan fungsi kepatuhan.
Rank memelihara hubungan yang kuat dan terbuka dengan Komisi Perjudian
Inggris dan badan pengatur terkait lainnya di semua yurisdiksi tempat kami beroperasi.
Grup Peringkat Plc

Laporan Tahunan dan Laporan Keuangan 2015
Menerapkan manajemen risiko

Dalam disiplin ilmu yang berkembang pesat seperti manajemen risiko, terdapat ruang
bagi berbagai praktisi untuk menjadi tidak toleran terhadap pendekatan yang diadopsi
oleh pihak lain. Spesialis pengendalian internal yang percaya bahwa manajemen risiko
adalah tentang pengelolaan ketidakpastian dan pencapaian tujuan perusahaan tidak
boleh menjadi tidak toleran terhadap pendekatan manajemen risiko asuransi yang lebih
tradisional. Tidak ada gunanya jika satu kelompok spesialis menolak pendekatan yang
diadopsi oleh kelompok lain dan tidak mau memanfaatkan keahlian yang tersedia di
kelompok lain.
Bagaimanapun, tidak ada satu gaya manajemen risiko atau pendekatan manajemen
risiko yang dapat memberikan semua jawaban. Jelasnya, berbagai gaya yang dapat
diadopsi harus berfungsi sebagai pendekatan yang saling melengkapi dalam suatu organisasi.
Pendekatan integratif terhadap manajemen risiko menerima bahwa organisasi harus
menoleransi risiko bahaya tertentu dan harus mempunyai keinginan yang tepat untuk
berinvestasi pada risiko peluang. Alat dan teknik manajemen risiko harus
digunakan untuk mencapai hal-hal berikut:
manajemen kepatuhan menyediakan tata kelola risiko;
pengelolaan bahaya membuat hasil yang dihasilkan tidak terlalu negatif;
manajemen pengendalian mengurangi kisaran hasil yang mungkin terjadi;
manajemen peluang membuat hasil lebih positif.
Manajemen bahaya akan mengurangi dampak negatif dari setiap kejadian bahaya.
Dalam konteks manajemen bahaya, asuransi mewakili mekanisme untuk membatasi biaya kerugian
finansial ketika suatu risiko terjadi. Teknik pengendalian risiko dan manajemen kerugian akan mengurangi
kerugian yang diperkirakan dan harus memastikan bahwa keseluruhan biaya dapat dikendalikan.
Kombinasi asuransi dan pengendalian risiko/manajemen kerugian akan mengurangi biaya sebenarnya
dari kerugian bahaya dan hal ini pasti (dan memang benar) akan menyebabkan penurunan toleransi
bahaya dalam organisasi. Lebih banyak kapasitas risiko organisasi akan tersedia untuk peluang investasi.
Manajemen pengendalian mengurangi kisaran hasil yang mungkin terjadi dari peristiwa apa pun.
Manajemen pengendalian didasarkan pada teknik pengendalian keuangan internal yang telah ditetapkan,
seperti yang dilakukan oleh auditor internal. Tujuan utamanya adalah untuk mengurangi kerugian yang
terkait dengan manajemen pengendalian yang tidak memadai sekaligus mengurangi berbagai
kemungkinan hasil. Ini adalah kontribusi yang harus diberikan oleh pengendalian internal terhadap
pendekatan keseluruhan terhadap manajemen risiko dalam suatu organisasi.
Manajemen peluang berupaya untuk membuat hasil positif lebih mungkin terjadi dan lebih substansial.
Sebagai bagian dari pendekatan manajemen peluang, organisasi juga harus melihat kemungkinan untuk
meningkatkan pendapatan dari produk atau layanan. Dalam organisasi nirlaba, manajemen peluang
harus memfasilitasi penyampaian nilai uang yang lebih baik.
Mencapai manfaat
Opsi peningkatan penghargaan ini dapat didiskusikan pada pertemuan strategi dan beberapa opsi dapat
diadopsi, termasuk penerapan skema bonus dan insentif bagi staf dan manajemen. Jelas sekali,
mengingat pelajaran yang didapat darinya
krisis keuangan global, skema insentif ini harus seimbang dan tidak memberi imbalan pada
pengambilan risiko yang berlebihan.
Bab ini telah membahas prinsip-prinsip manajemen risiko yang menjelaskan apa yang
seharusnya menjadi manajemen risiko dan apa yang harus dihasilkan. Meskipun organisasi
mungkin menyadari bahwa ada manfaat dari penerapan manajemen risiko, keberhasilan
penerapannya harus dilakukan sebagai sebuah inisiatif atau proyek. Lampiran C menguraikan
pertimbangan terperinci mengenai tahapan-tahapan yang terlibat dalam keberhasilan manajemen
risiko di seluruh perusahaan.
Terdapat pertimbangan yang lebih rinci mengenai hambatan dan faktor pendukungnya
penerapan manajemen risiko di Bab 24. Hal terpenting yang perlu diperhatikan adalah bahwa
dukungan manajemen senior dan (idealnya) sponsor dari anggota dewan sangatlah penting.
Selain itu, diperlukan rencana implementasi untuk mengatasi kekhawatiran karyawan dan
pemangku kepentingan lainnya. Meskipun manajemen risiko sangat penting bagi keberhasilan
suatu organisasi, banyak manajer mungkin perlu diyakinkan bahwa pendekatan penerapan
yang disarankan adalah benar.
Penting untuk dicatat bahwa tidak semua aktivitas dan fungsi yang dilakukan oleh manajer
harus diklaim oleh manajer risiko sebagai tindakan yang dilakukan atas nama manajemen risiko.
Tidak semua aktivitas dalam organisasi akan didorong oleh manajemen risiko, meskipun semua
keputusan, proses, prosedur, dan aktivitas memiliki risiko yang tertanam di dalamnya.
Manajemen risiko bukan sekedar rem

Ada pertanyaan populer di kalangan manajer risiko: 'mengapa mobil memiliki rem?' Jawaban yang
ditawarkan adalah memungkinkan mobil melaju lebih cepat. Hal ini menyiratkan bahwa manajemen risiko
harus dipandang sebagai penghambat aktivitas organisasi. Ini adalah pandangan yang sepenuhnya
negatif yang menyajikan manajemen risiko dalam sudut pandang yang tidak menguntungkan.
Manajemen risiko juga merupakan penggerak operasi, taktik dan strategi. Oleh karena itu, ada baiknya
kita meninjau kembali pertanyaan di atas. Untuk melanjutkan metafora tersebut, manajemen risiko
seharusnya dilihat sebagai tiga pedal dalam sebuah mobil. Manajemen risiko sebagai rem memitigasi
bahaya operasional dan membantu organisasi menghindari gangguan, sehingga meningkatkan
efisiensi operasional.
Pedal kopling berkaitan dengan pergantian gigi di dalam mobil dengan cara yang sama seperti proyek
menerapkan taktik dalam suatu organisasi. Oleh karena itu, manajemen risiko juga merupakan pedal
kopling yang membantu keberhasilan manajemen perubahan taktis dan pengurangan ketidakpastian
yang terkait, sehingga organisasi dapat mencapai perubahan yang sukses.
Terakhir, akselerator membantu mobil melaju lebih cepat dan manajemen risiko memenuhi fungsi ini
dengan membantu organisasi memanfaatkan peluang strategis dan mencari imbalan – sehingga
memastikan bahwa organisasi merancang dan berhasil mengimplementasikan strategi yang
memberikan apa yang dibutuhkan.
Sebagian besar buku ini berkaitan dengan masukan manajemen risiko dalam operasi.
Kemungkinan besar operasi akan terkena dampak risiko bahaya sehingga fokus
manajemen risiko dalam kaitannya dengan operasi adalah pada manajemen bahaya.
Namun, untuk mencapai manfaat maksimal dari masukan manajemen risiko dalam
operasi, organisasi perlu fokus pada pengendalian kerugian. Pengendalian kerugian
merupakan kombinasi dari pencegahan kerugian, pembatasan kerusakan dan pengendalian biaya.
Proyek harus diselesaikan tepat waktu, sesuai anggaran dan sesuai spesifikasi,
kinerja atau kualitas. Tidak dapat dipungkiri, akan ada banyak ketidakpastian yang
terkait dengan seluruh proyek. Kontribusi manajemen risiko adalah meminimalkan
ketidakpastian tersebut. Manajemen risiko dalam proyek adalah gaya manajemen
pengendalian.
Masukan manajemen risiko ke dalam strategi berfokus pada penilaian risiko terhadap
berbagai pilihan strategis yang tersedia bagi suatu organisasi. Oleh karena itu, kontribusi
manajemen risiko terhadap keberhasilan strategi difokuskan pada aktivitas pengambilan
keputusan. Gambar 15.2 mengilustrasikan 4E pengelolaan peluang dan plot
eksposur risiko terhadap potensi imbalan. Organisasi yang melakukan manajemen risiko
strategis akan melakukan peninjauan menyeluruh terhadap prospek bisnis baru yang layak dan
melakukan penilaian risiko terperinci sebelum mengambil keputusan strategis.
Manfaat keseluruhan dari manajemen risiko dapat diringkas dalam beberapa cara. Dengan
melakukan inisiatif manajemen risiko, harapannya adalah berkurangnya gangguan terhadap
operasional, keberhasilan pelaksanaan proyek, dan pengambilan keputusan strategis yang lebih baik.
Yang juga mendasari inisiatif manajemen risiko adalah keinginan akan jaminan risiko yang
memadai. Komponen-komponen ini – wajib, jaminan, pengambilan keputusan, dan proses inti
yang efektif dan efisien – disingkat MADE2.
Dengan menggunakan struktur kartu skor risiko FIRM, organisasi akan dapat menunjukkan
manfaat yang diperoleh dari inisiatif manajemen risiko.
Kemungkinan besar manfaat-manfaat berikut akan diberikan kepada perusahaan yang telah
menerapkan pendekatan manajemen risiko perusahaan yang proaktif dan terstruktur selama
sekitar tiga tahun:
manfaat finansial yang timbul dari alokasi dana yang lebih baik, pemantauan pengeluaran
dan berkurangnya paparan terhadap penipuan;
manfaat infrastruktur yang mencakup lebih sedikit kegagalan sistem TI dan berkurangnya
tingkat ketidakhadiran staf;
manfaat reputasi dari kebijakan sumber yang etis dan penggunaan makanan organik di
restoran, serta produksi khusus yang sukses di teater;
manfaat pasar menghasilkan tingkat okupansi sebesar 89 persen, naik dari 83 persen tiga
tahun lalu, serta peningkatan belanja teater oleh pengunjung.
Teater akan terus mengembangkan inisiatif manajemen risiko dan terus memperoleh manfaat.
Aktivitas manajemen risiko kini tertanam dalam budaya manajemen organisasi.
BAGIAN KEDUA
Pendekatan manajemen risiko
HASIL BELAJAR BAGIAN KEDUA

menjelaskan tahapan-tahapan penting dalam proses manajemen risiko dan komponen utama
kerangka manajemen risiko;
nyatakan fitur utama dari standar terbaik yang telah ditetapkan, termasuk ISO 31000, the
Kubus COSO ERM dan standar IRM;
menguraikan ruang lingkup dan pentingnya menetapkan konteks sebagai tahap pertama
dalam proses manajemen risiko;
menjelaskan pentingnya hubungan antara konteks eksternal, konteks internal dan konteks
manajemen risiko;
membahas pertimbangan utama ketika merancang daftar risiko dan manfaat yang terkait
dengan penggunaan daftar risiko yang dirancang dengan baik dan memberikan contoh;
menjelaskan fitur pendekatan manajemen risiko di seluruh perusahaan dan berbagai definisi
ERM yang tersedia;
menguraikan langkah-langkah yang diperlukan untuk mencapai keberhasilan penerapan

inisiatif manajemen risiko perusahaan;
mempertimbangkan perubahan wajah manajemen risiko dan semakin pentingnya pengelolaan

risiko yang muncul.
BAGIAN KEDUA BACAAN LEBIH LANJUT

Bernstein, P (1998) Melawan Dewa: Kisah Risiko yang Luar Biasa, www.wiley.com British
Standard BS 31100:2011 Manajemen Risiko: Kode Praktik dan Pedoman Penerapannya
dari BS ISO 31000, www.standardsuk.com
Manajemen Risiko Perusahaan COSO: Kerangka Terintegrasi (2004), www.coso.org
Manajemen Risiko Perusahaan COSO – Mengintegrasikan dengan Strategi dan Kinerja (2017), www.coso.org
Standar Internasional ISO 31000:2018 Manajemen risiko – Pedoman, www.iso.org
Panduan ISO 73:2009 Manajemen Risiko: Kosakata, www.iso.org
BAGIAN DUA STUDI KASUS
United Utilities: Kerangka manajemen risiko kami Kami telah

mengembangkan pendekatan canggih terhadap penilaian, pengelolaan dan pelaporan
risiko, dengan proses yang selaras dengan ISO 31000:2009 dan struktur tata kelola
yang mapan agar dewan grup dapat meninjau sifat dan luasnya risiko. risiko yang dihadapi
kelompok dan komite audit untuk meninjau efektivitas proses.
Profil risiko kami saat ini menggambarkan sekitar 200 risiko berbasis peristiwa. Semua jenis
peristiwa (strategis, finansial, operasional, kepatuhan, dan bahaya) dipertimbangkan dalam
konteks tema strategis kami (layanan terbaik kepada pelanggan; biaya berkelanjutan
terendah; dan sikap bertanggung jawab). Untuk faktor pendorong internal atau eksternal,
setiap peristiwa dinilai berdasarkan kemungkinan terjadinya dan dampak negatif finansial atau
reputasi terhadap perusahaan dan tujuannya, jika peristiwa tersebut terjadi.
Tanggung jawab atas penilaian dan pengelolaan risiko (termasuk pemantauan dan
pemutakhiran) ditugaskan kepada manajer individu yang sesuai yang juga bertanggung
jawab untuk melaporkan penilaian, pengelolaan dan pengendalian/mitigasi setidaknya dua kali
setahun, sejalan dengan pelaporan kepada grup dewan pada periode pelaporan akuntansi wajib
penuh dan setengah tahun.
Berdasarkan sifatnya, risiko berbasis peristiwa dalam konteks tema strategis kami
akan mencakup seluruh kombinasi dari tingkat kemungkinan yang tinggi hingga rendah dan
dampak tinggi hingga rendah. Peta panas biasanya digunakan dalam berbagai laporan
manajerial dan kelompok baik sebagai metode untuk mengevaluasi secara kolektif sejauh mana semuanya
laporan kelompok baik sebagai metode untuk mengevaluasi secara kolektif sejauh mana
seluruh risiko dalam profil tertentu atau untuk menggambarkan efektivitas mitigasi untuk satu
risiko dengan memplot posisi bruto, saat ini (setelah dikurangi pengendalian yang ada) dan
posisi target yang dipilih dalam risiko individu. penyataan.
Ekstrak yang diedit dari United Utilities Group PLC

Laporan Tahunan dan Laporan Keuangan untuk tahun yang berakhir pada tanggal 31
Maret 2015
Dewan Kota Birmingham: Pengawasan, akuntabilitas dan manajemen risiko
Dewan telah mempunyai strategi manajemen risiko sejak Juli 2002, dan strategi ini
diperbarui secara berkala. Kepemimpinan dalam proses manajemen risiko diberikan oleh
direktur layanan hukum dan demokrasi, yang merupakan pemimpin tata kelola
perusahaan dan wakil pemimpin yang ditunjuk sebagai anggota pemimpin tata
kelola perusahaan.
Dewan telah melakukan pendekatan untuk menerapkan manajemen risiko sesuai
dengan pedoman praktik terbaik sebagai proses 'dari atas ke bawah', dengan daftar risiko
perusahaan yang didukung oleh daftar risiko direktorat dan divisi. Audit Birmingham
terus memberikan presentasi, memberikan pelatihan, memfasilitasi lokakarya dan
memberikan panduan melalui publikasi perangkat manajemen risiko yang telah
dihasilkan untuk memberikan pemahaman yang lebih baik kepada para manajer di semua
tingkatan tentang bagaimana menerapkan manajemen risiko di bidang tanggung jawab
mereka dan untuk memiliki beberapa pemahaman tentang proses naik turun
Dewan Kota.
Toolkit ini memberikan pendekatan langkah demi langkah untuk menerapkan risiko
manajemen menggunakan metodologi Dewan. Metodologi manajemen risiko tingkat
tinggi telah ditinjau untuk memberikan lebih banyak fokus kepada manajemen risiko anggota
dan pejabat senior. Kebijakan pelaporan pelanggaran (whistleblowing policy)
Dewan ini diperkenalkan pada akhir tahun 1990an dan dipublikasikan dengan baik
ke seluruh angkatan kerja.
Dewan Kota memiliki fungsi audit internal yang kuat (Audit Birmingham) dan protokol
yang mapan untuk bekerja dengan audit eksternal. Auditor eksternal Dewan mempunyai
tanggung jawab berdasarkan Kode Praktik Audit untuk meninjau kepatuhan terhadap
kebijakan, prosedur, undang-undang dan peraturan yang menjadi kewenangannya.
peraturan yang berada dalam kewenangannya.
Ekstrak yang diedit dari Dewan Kota Birmingham

Laporan Rekening 2013/14
Tsogo Sun: Proses manajemen risiko Dewan
direksi Tsogo Sun menyadari bahwa pengelolaan risiko bisnis sangat penting bagi
pertumbuhan dan kesuksesan kami yang berkelanjutan dan hal ini hanya dapat
dicapai jika ketiga elemen risiko – ancaman, ketidakpastian, dan peluang – dikenali dan
dikelola dengan cara yang sama. busana yang terintegrasi.
Komite audit dan risiko diberi mandat oleh dewan untuk membentuk,
mengoordinasikan dan mengarahkan proses risiko di seluruh grup. Perusahaan
telah mengawasi pembentukan sistem manajemen risiko yang komprehensif untuk
mengidentifikasi dan mengelola risiko signifikan di divisi operasional, unit bisnis,
dan anak perusahaan.
Sistem pengendalian internal dirancang untuk mengelola, bukan menghilangkan risiko,
dan memberikan keyakinan yang masuk akal namun tidak mutlak mengenai integritas dan
keandalan laporan keuangan, kepatuhan terhadap hukum dan peraturan perundang-undangan,
dan untuk menjaga dan memelihara akuntabilitas aset grup. .
Selain proses manajemen risiko yang tertanam dalam kelompok, komite eksekutif
kelompok mengidentifikasi, mengukur dan mengevaluasi risiko kelompok dua kali setahun
dengan menggunakan lokakarya penilaian risiko yang difasilitasi. Tingkat keparahan
risiko diukur secara kualitatif dan kuantitatif, dipandu oleh toleransi risiko dan selera
risiko dewan
Pengukuran.
Profil risiko, beserta respons risikonya, ditinjau oleh audit dan

komite risiko setidaknya sekali setiap enam bulan. Selain penilaian risiko kelompok,
matriks risiko juga disiapkan dan dipresentasikan kepada audit dan komite risiko untuk
setiap divisi operasional. Metodologi ini memastikan bahwa risiko dan peluang
diprioritaskan dan respons hemat biaya dirancang dan diterapkan untuk melawan
dampak risiko dan memanfaatkan peluang.
Ekstrak yang diedit dari Tsogo Sun

Laporan Tahunan Terintegrasi 2013

06
Standar manajemen risiko
Ruang lingkup standar manajemen risiko

Ada sejumlah standar dan kerangka manajemen risiko yang ditetapkan.
Yang pertama dikembangkan oleh badan standar di Australia pada tahun 1995, dan
diikuti oleh yang dikembangkan di Kanada, Jepang, Inggris dan Amerika Serikat.
Standar juga telah dikembangkan oleh badan standar nasional lainnya, serta oleh
departemen pemerintah di seluruh dunia.
Pendekatan keseluruhan dari masing-masing standar ini serupa. Standar yang
mendapat pengakuan paling luas adalah Standar Australia AS 4360 (2004), tetapi
standar ini ditarik pada tahun 2009 dan digantikan dengan ISO 31000. Versi ERM dari
kubus COSO juga diterapkan secara luas di banyak organisasi. British Standard BS
31100:2011 'Manajemen Risiko: Kode Praktik dan Panduan Penerapan BS ISO 31000'
diterbitkan pada tahun 2011. Panduan lebih lanjut untuk standar ISO diterbitkan pada
tahun 2013 sebagai ISO/TR 31004:2013 'Manajemen Risiko – Panduan untuk
Penerapan ISO 31000'.
Standar internasional ISO 31000 (2009), 'Manajemen Risiko: Prinsip dan Pedoman',
diterbitkan pada akhir tahun 2009. Standar ISO ini baru-baru ini diperbarui, dan versi
revisinya diterbitkan pada awal tahun 2018 sebagai ISO 31000 (2018), 'Manajemen
Risiko – Pedoman'. Persyaratan standar yang diperbarui ini dibahas nanti dalam bab
ini. ISO 31000 memiliki pengakuan internasional dan merupakan standar manajemen
risiko yang sangat berpengaruh.
Meskipun beberapa standar lebih dikenal dibandingkan standar lainnya, organisasi
harus memilih pendekatan yang paling relevan dengan keadaan khusus mereka.
Penting untuk membedakan antara standar manajemen risiko dan kerangka
manajemen risiko. Standar manajemen risiko menetapkan pendekatan menyeluruh
terhadap keberhasilan pengelolaan risiko, termasuk deskripsi proses manajemen
risiko, bersama dengan kerangka kerja yang disarankan untuk mendukungnya.
proses itu.
Secara sederhana, standar manajemen risiko adalah kombinasi dari deskripsi proses
manajemen risiko, bersama dengan kerangka kerja yang direkomendasikan. Fitur
utama kerangka manajemen risiko akan dijelaskan nanti dalam bab ini. Tabel 6.1
memberikan ringkasan standar dan kerangka kerja manajemen risiko yang paling
banyak digunakan.
TABEL 6.1 Standar manajemen risiko
Standar Keterangan Referensi
ISO 31000 Standar yang diterbitkan oleh Internasional Gambar 6.4

Organisasi Standar (2018)
Institut Risiko Standar diproduksi bersama oleh Airmic, Alarm Gambar 6.1
Pengelolaan dan IRM (2002)
(IRM)
Kubus COSO Kerangka yang dihasilkan oleh Komite Gambar 6.3
ERM Organisasi Sponsor Treadway
Komite (2004)
CoCo (Kriteria Kerangka yang diproduksi oleh Kanada Gambar

Pengendalian) Institut Akuntan Chartered (1995) 33.1
Salah satu standar manajemen risiko yang paling mapan dan paling banyak
digunakan dihasilkan oleh IRM pada tahun 2002 bekerja sama dengan Airmic dan
Alarm. Standar IRM adalah pendekatan tingkat tinggi yang ditujukan untuk spesialis
non-manajemen risiko dan telah diterjemahkan ke dalam banyak bahasa. Standar
Australia dan kubus COSO ERM dirancang untuk digunakan terutama oleh praktisi
spesialis manajemen risiko.
Standar IRM tersedia untuk diunduh gratis dari situs web IRM, dan
proses manajemen risiko yang digunakan di dalamnya direproduksi pada Gambar 6.1.
GAMBAR 6.1 Proses manajemen risiko IRM
SUMBER IRM/Airmic/Alarm (2002).
Untuk organisasi yang terdaftar di Bursa Efek New York, pendekatan yang diuraikan
dalam kerangka Pengendalian Internal COSO, yang dalam teks ini disebut sebagai
kubus Pengendalian Internal COSO, pertama kali diterbitkan pada tahun 1992 dan
diperbarui pada tahun 2013 diakui oleh Sarbanes–Oxley Act of 2002 (SOKS). Persyaratan dari
SOX juga berlaku untuk anak perusahaan dari perusahaan-perusahaan yang tercatat di Amerika Serikat di seluruh dunia.
Oleh karena itu, pendekatan COSO diakui secara internasional dan, dalam banyak
situasi, diamanatkan. Perlu dicatat bahwa SOX memerlukan pendekatan yang
dijelaskan dalam kubus Pengendalian Internal COSO (2013). (Ini tidak sama dengan
kubus COSO ERM (2004), meskipun kubus COSO ERM memuat semua elemen
versi Pengendalian Internal yang baru direvisi.) Bagi banyak bursa saham, penekanan
yang lebih besar pada persyaratan pencatatan dan perusahaan terkait kode tata
kelola adalah tentang pengendalian internal, bukan manajemen risiko.
Penekanan ini dipertahankan dalam Kode Gabungan versi 2010, yang kini telah
berganti nama menjadi Kode Tata Kelola Perusahaan Inggris, meskipun versi 2010
mencakup beberapa persyaratan manajemen risiko spesifik yang ditingkatkan.
Bagian dari Kode Tata Kelola Perusahaan Inggris versi 2010 telah diperbarui dan
versi terbaru dari Kode Tata Kelola Perusahaan Inggris tertanggal April 2016.
Kubus Pengendalian Internal COSO (2013) telah menjadi kerangka pengendalian

internal yang paling banyak digunakan di Amerika Serikat dan telah diadopsi dan/
atau diadaptasi oleh banyak negara dan bisnis di seluruh dunia. Versi COSO cube
manajemen risiko perusahaan (ERM) diproduksi pada tahun 2004 dan mencakup
manajemen risiko dan pengendalian internal. Meskipun COSO menerbitkan kerangka
ERM yang diperbarui pada pertengahan tahun 2017, struktur kubus ERM COSO
(2004) terus digunakan sebagai dasar bagi banyak inisiatif ERM, dan hal ini diakui
oleh COSO dalam kotak teks di bawah. Kubus COSO ERM 2004 dibahas kemudian
dalam bab ini dan kerangka COSO ERM yang direvisi (2017) dibahas dalam Bab 8.
Kubus COSO ERM (2004)

COSO mengakui bahwa terdapat banyak persyaratan peraturan, pemangku kepentingan, dan industri yang
berbeda terkait ERM. Oleh karena itu, manajemen berkewajiban untuk menentukan apakah dan bagaimana
menerapkan 'Manajemen Risiko Perusahaan – Mengintegrasikan dengan Strategi dan Kinerja' untuk
meningkatkan kemampuan entitas dalam menciptakan, mempertahankan, dan merealisasikan nilai.
'Pengendalian Internal – Kerangka Kerja Terpadu' tetap merupakan kerangka kerja yang layak dan sesuai
untuk merancang, menerapkan, melaksanakan dan menilai efektivitas pengendalian internal dan pelaporan.
Karena adopsi kerangka ERM yang direvisi tidak bersifat wajib, maka manajemen dapat melakukan hal tersebut
terus memanfaatkan 'Manajemen Risiko Perusahaan – Kerangka Terintegrasi' tahun 2004 (COSO ERM
cube). Namun, COSO berhak untuk menggantikan atau menghentikan kerangka ERM 2004 di masa depan.
Komentar yang diedit dari COSO, Juni 2017
Selain standar/kerangka Inggris, ISO dan COSO, sejumlah standar/kerangka

lainnya juga dihormati dan digunakan secara luas. Panduan risiko Inggris dari
Financial Reporting Council (FRC) diperbarui pada tahun 2014 dan dianggap oleh
Securities and Exchange Commission (SEC) di Amerika Serikat sebagai alternatif
yang dapat diterima dibandingkan kubus Kontrol Internal COSO untuk kepatuhan
Sarbanes–Oxley. Panduan risiko yang diperbarui dapat diunduh gratis dari situs
web FRC yang berbasis di Inggris.
Selain standar dan kerangka kerja yang telah ditetapkan, sejumlah besar
panduan mengenai manajemen risiko telah diterbitkan oleh berbagai departemen
pemerintah. HM Treasury di Inggris telah menerbitkan Orange Book yang sangat
dihormati, yang berisi sejumlah besar informasi berguna mengenai alat dan teknik
manajemen risiko. Banyak ide dan konsep yang disajikan dalam Buku Oranye
dirujuk di seluruh buku ini.
Beberapa standar yang tersedia dikembangkan oleh para profesional
manajemen risiko, sementara standar lainnya dikembangkan oleh akuntan atau
auditor. Ada tiga pendekatan berbeda yang diikuti dalam berbagai standar:
pendekatan 'manajemen risiko', diikuti oleh ISO 31000, British Standard BS

31100 dan IRM Standard;
pendekatan 'pengendalian internal', yang dikembangkan oleh COSO Internal Control

cube dan panduan risiko FRC;
Pendekatan 'budaya sadar risiko', yang dikembangkan oleh Canadian Institute of

Chartered Accountants, yang dikenal sebagai kerangka CoCo.
Proses manajemen risiko

Representasi sederhana dari proses manajemen risiko disajikan pada Gambar 4.1 dan
proses serupa terdapat dalam semua standar manajemen risiko yang telah ditetapkan.
Banyak standar yang membedakan antara proses manajemen risiko dan kerangka kerja
yang menerapkan dan mendukung proses tersebut. Namun, perbedaan ini tidak selalu jelas
dalam banyak standar/kerangka manajemen risiko yang telah ditetapkan.
Pendekatan manajemen risiko yang paling mapan adalah Standar IRM, ISO 31000, BS
31100, dan kubus COSO ERM. Keempatnya memberikan gambaran mengenai kerangka
manajemen risiko, namun lebih ditekankan pada proses manajemen risiko dalam Standar
IRM, ISO 31000 dan BS 31100. Pendekatan COSO tidak memberikan perbedaan yang
jelas antara kerangka kerja dan proses manajemen risiko. itu sendiri dan terutama berkaitan
dengan pertimbangan kerangka kerja.
Beberapa negara telah mengembangkan standar pengendalian internal dan manajemen

risiko mereka sendiri sebagai bagian dari persyaratan mereka untuk terdaftar di bursa
saham. Biasanya, kerangka kerja ini mirip dengan pendekatan Pengendalian Internal COSO,
dan hal ini juga berlaku pada persyaratan panduan risiko FRC yang ada di Inggris saat ini.
Meskipun ada banyak cara untuk merepresentasikan proses manajemen risiko, langkah-
langkah dasarnya serupa. Mungkin terdapat kesulitan dalam terminologi yang digunakan
untuk menjelaskan berbagai langkah, dan Lampiran B memberikan definisi istilah-istilah
dasar, serta referensi silang terhadap berbagai terminologi yang dapat digunakan. Lampiran
C menjelaskan tahapan dalam mencapai keberhasilan manajemen risiko dan disusun dalam
format rencana–implementasi–pengukuran–belajar (PIML). Hal ini sangat mirip dengan
format rencana–lakukan–periksa–tindakan yang diikuti dalam beberapa standar internasional
dan sering disebut sebagai PDCA. PIML dimaksudkan untuk
menunjukkan pendekatan yang lebih terstruktur dan analitis.

Ada banyak standar manajemen risiko dan kerangka manajemen risiko yang telah dihasilkan
oleh berbagai organisasi. Secara umum diakui bahwa standar adalah dokumen yang
menghasilkan informasi mengenai proses manajemen risiko dan kerangka manajemen risiko.
Dalam banyak standar manajemen risiko disebutkan bahwa aktivitas manajemen risiko harus
dilakukan dalam konteks lingkungan bisnis, organisasi, dan risiko yang dihadapi organisasi.
Agar konteks dapat dijelaskan dan didefinisikan, diperlukan suatu kerangka kerja untuk
menerapkan dan mendukung proses manajemen risiko. ISO 31000 memberikan penekanan
khusus pada konteks dan menyatakan bahwa pertimbangan harus diberikan pada konteks
internal, konteks eksternal, dan konteks manajemen risiko ketika melakukan aktivitas manajemen
risiko.
Seluruh standar manajemen risiko yang ditetapkan mengacu pada kerangka manajemen
risiko, meskipun hal ini direpresentasikan dalam cara yang berbeda. Untuk memberikan
penjelasan sederhana tentang ruang lingkup kerangka manajemen risiko, telah dikembangkan
akronim risiko, arsitektur, strategi dan protokol (RASP). Gambar 6.2 mengilustrasikan fitur-fitur
utama kerangka manajemen risiko yang dibangun dan mendukung proses manajemen risiko.
Pendekatan RASP sepenuhnya konsisten dengan konsep konteks manajemen risiko atau
kerangka manajemen risiko yang dijelaskan dalam ISO 31000.
GAMBAR 6.2 Komponen konteks RM
Bagian Lima buku ini menjelaskan arsitektur risiko, strategi dan protokol (RASP)
secara lebih rinci. Elemen-elemen inilah yang menentukan kerangka kerja di mana
proses manajemen risiko berlangsung. Ketiga komponen arsitektur risiko, strategi
dan protokol diperlukan untuk keberhasilan aktivitas manajemen risiko. Perlu
adanya pemahaman yang jelas mengenai proses manajemen risiko, diikuti dengan
definisi yang jelas mengenai kerangka kerja yang mendukung proses tersebut.
Karena kerangka tersebut merupakan struktur pendukung, maka ditunjukkan pada
Gambar 6.2 sebagai serangkaian komponen yang dibangun dan mendukung manajemen risiko.
proses.
Dalam melaksanakan dan mendukung proses manajemen risiko, kerangka
manajemen risiko perlu memfasilitasi komunikasi dan aliran risiko
informasi. Kerangka kerja manajemen risiko memiliki dua pertimbangan terpisah.

Pertama, hal ini harus mendukung proses manajemen risiko dan, kedua, hal ini harus memastikan
bahwa keluaran dari proses tersebut dikomunikasikan ke dalam organisasi dan mencapai manfaat
yang diharapkan bagi organisasi. Jika suatu organisasi memutuskan untuk mengikuti struktur
Standar Manajemen Risiko IRM, maka organisasi tersebut harus menetapkan kerangka kerja
yang mencakup komponen struktur, tanggung jawab, administrasi, pelaporan dan komunikasi
manajemen risiko. Seluruh prosedur tersebut kemudian akan dicatat dalam manual manajemen
risiko.
Kubus COSO ERM

Versi kubus COSO Enterprise Risk Management (ERM) diproduksi pada tahun 2004 dan
mencakup manajemen risiko dan pengendalian internal. Detail kubus COSO ERM tersedia di
situs web COSO dan terdapat unduhan gratis ringkasan eksekutif kubus COSO ERM.
Pendekatan yang diadopsi oleh kubus COSO ERM menunjukkan bahwa manajemen risiko
perusahaan tidak hanya merupakan serangkaian aktivitas, di mana satu komponen hanya
mempengaruhi komponen berikutnya. Hal ini dianggap sebagai proses berulang dan multiarah di
mana hampir semua komponen dapat dan memang mempengaruhi semua komponen lainnya.
Dalam kubus COSO ERM, terdapat hubungan langsung antara tujuan, yaitu apa yang ingin
dicapai oleh suatu entitas, dan komponen manajemen risiko perusahaan, yang mewakili apa
yang diperlukan untuk mencapainya. Hubungan tersebut digambarkan dalam matriks tiga dimensi,
berbentuk kubus, dan direproduksi seperti Gambar 6.3.
GAMBAR 6.3 Kubus COSO ERM
SUMBER COSO Enterprise Risk Management: Integrated Framework, © 2004, Committee of

Sponsoring Organizations of the Treadway Commission (COSO). Seluruh hak cipta. Digunakan
dengan izin.
Kubus COSO ERM adalah kerangka manajemen risiko yang sangat berpengaruh
dan terdiri dari delapan komponen yang saling terkait. Hal ini berasal dari cara
manajemen menjalankan suatu perusahaan dan terintegrasi dengan proses manajemen.
Penjelasan singkat mengenai komponen kubus COSO ERM disajikan pada Tabel
6.2.
TABEL 6.2 Kubus COSO ERM
Lingkungan internal – Lingkungan internal mencakup kondisi organisasi dan

menetapkan dasar bagaimana risiko dipandang dan ditangani.
Penetapan tujuan – Tujuan harus ada sebelum manajemen dapat mengidentifikasi kejadian
potensial yang mempengaruhi pencapaiannya.
Identifikasi peristiwa – Peristiwa internal dan eksternal yang mempengaruhi pencapaian tujuan harus
diidentifikasi, dengan membedakan antara risiko dan peluang.
Penilaian risiko – Risiko dianalisis, dengan mempertimbangkan kemungkinan dan

dampaknya, sebagai dasar untuk menentukan bagaimana risiko tersebut harus dikelola.
Respon risiko – Manajemen memilih respons risiko: menghindari,

menerima, mengurangi, atau membagi risiko.
Aktivitas pengendalian – Kebijakan dan prosedur ditetapkan dan

diimplementasikan untuk membantu memastikan respons risiko dilakukan secara efektif
keluar.
Informasi dan komunikasi – Informasi yang relevan diidentifikasi, ditangkap, dan

dikomunikasikan sehingga masyarakat dapat memenuhi tanggung jawab mereka.
Pemantauan – Keseluruhan manajemen risiko perusahaan dipantau

dan modifikasi dilakukan bila diperlukan.
Deskripsi kubus COSO ERM mencakup pernyataan bahwa: 'dalam konteks misi atau visi organisasi
yang ditetapkan, manajemen menetapkan tujuan strategis, memilih strategi, dan menetapkan tujuan
selaras yang mengalir melalui perusahaan.' COSO baru-baru ini menerbitkan panduan tambahan
mengenai ERM dan bagaimana ERM dapat diintegrasikan dengan strategi dan kinerja dan panduan
ini ditinjau pada Bab 8. Pendekatan terhadap manajemen risiko perusahaan ini diarahkan untuk
mencapai tujuan perusahaan, yang diuraikan dalam empat kategori risiko:
strategis: tujuan tingkat tinggi, selaras dengan dan mendukung misinya;
operasi: penggunaan sumber dayanya secara efektif dan efisien;
pelaporan: keandalan pelaporan;
kepatuhan: kepatuhan terhadap peraturan perundang-undangan yang berlaku.

Revisi ISO 31000 (2018)

Standar utama manajemen risiko yang telah dikembangkan adalah IRM Standard, ISO 31000, British
Standard BS 31100 dan COSO ERM cube.
British Standard BS 31100:2011 yang berjudul 'Manajemen Risiko: Kode Praktik dan Panduan
Penerapan BS ISO 31000' diterbitkan pada tahun 2011.
Hal ini menekankan perlunya kerangka manajemen risiko untuk mendukung proses manajemen risiko
yang dijelaskan secara terpisah. Secara khusus, British Standard BS 31100 menyatakan bahwa proses
manajemen risiko harus menyediakan cara yang sistematis, efektif dan efisien dimana risiko dapat
dikelola di berbagai tingkat di seluruh organisasi.
Kerangka kerja manajemen risiko dijelaskan dalam British Standard secara rinci. Faktanya, sebagian
besar standar ini terdiri dari uraian kerangka manajemen risiko, bersama dengan bagian rinci tentang
bagaimana mengembangkan aktivitas manajemen risiko. Salah satu alasan memperbarui BS
31100:2008 asli adalah untuk menyelaraskannya lebih dekat dengan ISO 31000 versi 2009.
Oleh karena itu, diagram yang digunakan dalam BS 31100:2011 sangat mirip, dan dalam beberapa
kasus identik, dengan yang digunakan pada ISO 31000 versi 2009.
ISO 31000:2018 memiliki format yang sama dengan ISO 31000 versi sebelumnya tanggal 2009.
Standar ini memberikan pernyataan prinsip-prinsip manajemen risiko, serta penjelasan kerangka dan
proses manajemen risiko. Daftar revisi prinsip-prinsip manajemen risiko disediakan dan prinsip-prinsip
ini berpusat pada tujuan utama manajemen risiko, yang dinyatakan sebagai 'penciptaan dan
perlindungan nilai'. Ringkasan delapan prinsip tersebut diuraikan di bawah ini:
1. Manajemen risiko merupakan bagian integral dari seluruh aktivitas organisasi.
2. Diperlukan pendekatan yang terstruktur dan komprehensif.
3. Kerangka kerja dan proses harus disesuaikan dan proporsional.
4. Keterlibatan pemangku kepentingan secara tepat dan tepat waktu sangat diperlukan.
5. Manajemen risiko mengantisipasi, mendeteksi, mengetahui dan merespons

perubahan.
6. Manajemen risiko secara eksplisit mempertimbangkan segala keterbatasan yang ada

informasi.
7. Faktor manusia dan budaya mempengaruhi seluruh aspek manajemen risiko.
8. Manajemen risiko terus ditingkatkan melalui pembelajaran dan pengalaman.
Standar yang direvisi ini juga memberikan informasi mengenai pengembangan kerangka
manajemen risiko. Kerangka kerja ini disajikan sebagai model perbaikan berkelanjutan
yang serupa dengan model rencana, implementasi, pengukuran, dan pembelajaran (PIML)
yang dibahas dalam buku ini. Informasi rinci dalam standar ini menjelaskan fitur-fitur
penting dari kerangka manajemen risiko yang diperlukan untuk mencapai perbaikan
berkelanjutan. Kotak teks di bawah ini menjelaskan pendekatan keseluruhan yang diambil
oleh ISO dalam menghasilkan standar revisi.
Menetapkan konteks tetap menjadi tahap pertama proses manajemen risiko, seperti
yang dijelaskan dalam ISO 31000. Persyaratan dijelaskan sedikit berbeda pada ISO
31000 versi 2018, dibandingkan dengan versi 2009.
Penetapan konteks disajikan dalam diagram proses sebagai 'ruang lingkup, konteks,
kriteria'. Komponen penetapan konteks digambarkan sebagai pendefinisian tujuan dan
ruang lingkup kegiatan manajemen risiko, diikuti dengan penetapan konteks eksternal,
internal, dan manajemen risiko, yang dilanjutkan dengan penetapan kriteria risiko.
Mendefinisikan kriteria risiko melibatkan penentuan jumlah dan jenis risiko yang mungkin
diambil atau tidak diambil oleh organisasi, relatif terhadap tujuannya.
Diagram yang digunakan untuk menggambarkan proses manajemen risiko dalam ISO
31000 direproduksi pada Gambar 6.4. Dapat dikatakan bahwa Gambar 6.4 memuat unsur-
unsur kerangka manajemen risiko, serta tahapan-tahapan penting dalam proses
manajemen risiko. Hal yang menarik untuk diperhatikan adalah bahwa proses manajemen
risiko tidak ditampilkan sebagai rangkaian kegiatan atau tahapan dengan panah
penghubung. Dalam hal ini, representasi proses baru dalam ISO 31000 serupa dengan
pendekatan yang diambil oleh kubus COSO ERM dalam menyajikan delapan komponen
ERM. ISO 31000 mengakui kesamaan ini dengan menyatakan hal berikut: 'Meskipun
proses manajemen risiko sering disajikan secara berurutan, dalam praktiknya proses ini
berulang.'
GAMBAR 6.4 Proses RM dari ISO 31000 (2018)
SUMBER Izin untuk mereproduksi ekstrak dari British Standards diberikan oleh BSI Standards
Limited (BSI). Tidak ada penggunaan lain dari bahan ini yang diizinkan. British Standards dapat
diperoleh dalam format PDF atau hard copy dari toko online BSI: www.bsigroup.com/Shop.
ISO 31000:2018
Banyak bahasa yang rumit telah dihilangkan, sehingga teksnya lebih ramping dan
tepat dengan harapan pembaca akan lebih mudah memahaminya. Draf baru ini lebih
pendek, namun lebih jelas dan presisi serta lebih mudah dibaca. Hal ini juga
mencakup beberapa perbaikan substansial, seperti pentingnya faktor manusia dan
budaya dalam mencapai tujuan organisasi dan penekanan pada penerapan
manajemen risiko dalam proses pengambilan keputusan. Meskipun demikian, pesan
keseluruhan ISO 31000 tetap sama – mengintegrasikan manajemen risiko ke
dalam sistem manajemen strategis dan operasional.
Ekstrak yang diedit dari situs ISO, www.iso.org
Selain standar manajemen risiko, terdapat juga sejumlah standar pengendalian

internal yang ada. Kerangka pengendalian internal ini mempunyai penekanan
yang berbeda dan berada di luar cakupan buku ini, dengan pengecualian
kerangka Criteria of Control (CoCo) yang dihasilkan oleh Canadian Institute of
Chartered Accountants. Pendekatan dalam CoCo didasarkan pada evaluasi
budaya atau lingkungan pengendalian internal organisasi dan dibahas lebih rinci
di Bab 33.
Selain pengembangan ISO 31000 dan panduan terminologi manajemen risiko,
Panduan 73, pekerjaan juga telah diselesaikan pada panduan teknik penilaian
risiko. ISO/IEC 31010 'Manajemen Risiko: Teknik Penilaian Risiko' adalah
publikasi yang sangat komprehensif dan mencerminkan praktik baik saat ini
dalam pemilihan dan pemanfaatan teknik penilaian risiko.
Lembaga standar di seluruh dunia mewajibkan peninjauan standar secara
rutin, biasanya setiap empat tahun sekali. Oleh karena itu, standar-standar yang
ada, serta standar-standar tambahan yang sedang dikembangkan, akan ditinjau
secara berkala. Hal ini akan memastikan bahwa saran dan panduan yang
diberikan dalam berbagai standar akan tetap terkini dan sejalan dengan praktik saat ini.
Memperbarui terminologi RM
Ada banyak manfaat dalam mengadopsi standar manajemen risiko yang telah
ditetapkan, namun tidak diragukan lagi bahwa organisasi perlu mengubah dan
menyesuaikan persyaratan rinci dari standar yang ada dengan keadaan spesifik
mereka dan/atau konteks eksternal, internal, dan manajemen risiko. Penerimaan
yang lebih besar terhadap pendekatan manajemen risiko dalam suatu organisasi
akan tercapai bila pendekatan tersebut telah disesuaikan secara khusus untuk
organisasi oleh organisasi itu sendiri.
Bagian penting dalam menyesuaikan pendekatan manajemen risiko adalah
menetapkan terminologi risiko yang akan digunakan di seluruh organisasi. Ada
banyak variasi dalam terminologi yang digunakan di berbagai cabang profesi
manajemen risiko dan Lampiran B mencakup definisi alternatif untuk banyak istilah.
ISO sendiri telah menerbitkan dua panduan terpisah untuk kosakata terkait risiko:
Panduan ISO 73:2009 'Manajemen Risiko – Kosakata' dan Panduan ISO/IEC 51:2014
'Aspek Keselamatan – Pedoman untuk memasukkannya ke dalam standar'. Menarik
untuk dicatat bahwa Guide 73 adalah publikasi untuk dijual, sedangkan Guide 51
dapat diunduh gratis dari situs ISO (www.iso.org).
Menyusul revisi ISO 31000 baru-baru ini, ISO saat ini (April 2018) sedang
melakukan peninjauan terhadap Panduan 73. Faktanya, proses peninjauan istilah
dan definisi telah dimulai karena beberapa definisi yang dimodifikasi disertakan dalam
ISO 31000:2018. Mungkin sebagian besar diskusi akan terjadi seputar definisi risiko
dalam Panduan 73 sebagai 'efek ketidakpastian terhadap tujuan'. ISO 31000, dalam
catatan mengenai definisi risiko, telah mengakui bahwa 'risiko biasanya dinyatakan
dalam bentuk sumber risiko, kejadian potensial, konsekuensinya, dan kemungkinannya'.
Ketika berbagai organisasi memperbarui istilah dan definisinya, terdapat perubahan

yang jelas untuk memastikan bahwa setiap definisi risiko mencakup pertimbangan
peluang atau sisi positif risiko. Raja IV (2016) menyatakan posisinya sebagai berikut:
Pemahaman Raja IV tentang risiko menyeimbangkan pandangan tradisional yang negatif terhadap risiko
dengan pandangan yang mengakui potensi peluang yang melekat pada beberapa risiko. Dengan demikian,
peluang dapat muncul sebagai potensi risiko yang dapat berdampak buruk terhadap pencapaian tujuan organisasi.
Kesulitan yang signifikan dapat terjadi akibat definisi yang mengaitkan risiko dengan
tujuan. Kesulitan-kesulitan ini timbul dari kenyataan bahwa tujuan-tujuan itu sendiri
mungkin salah. Bisa dikatakan salah satu penyebabnya adalah keuangan global
krisis pada tahun 2008 adalah lembaga keuangan telah berhasil mencapai tujuan yang
agresif dan ambisius selama bertahun-tahun dan keberhasilan pencapaian tujuan
tersebut menyebabkan ketidakstabilan keuangan. Definisi risiko yang termasuk dalam
kerangka COSO ERM yang baru (2017) diuraikan dalam kotak teks di bawah ini dan
mengidentifikasi masalah tujuan yang salah. Definisi tersebut mengakui adanya bahaya
yang terkait dengan upaya penerapan strategi dan tujuan yang tidak selaras dengan
misi, visi, dan nilai-nilai organisasi.
Definisi mendasari standar manajemen risiko; oleh karena itu, tantangan bagi
organisasi standar adalah memastikan bahwa standar manajemen risiko yang mereka
terbitkan relevan dengan keberhasilan organisasi di masa depan. COSO telah mengambil
pendekatan, dalam menerbitkan kerangka ERM baru (2017), bahwa pertimbangan yang
lebih besar harus diberikan pada ekspektasi pemangku kepentingan dan hubungan
antara risiko dan strategi, seperti yang ditunjukkan dalam kotak teks di bawah ini.
Definisi dan ruang lingkup 'risiko'
Beberapa kegagalan organisasi yang paling signifikan belakangan ini terjadi ketika sebuah strategi
dipilih yang tidak sejalan dengan misi, visi, dan nilai-nilai inti suatu entitas. Lebih jauh lagi,
meskipun penyelarasan tersebut telah ditetapkan, banyak organisasi tidak memahami
implikasi strategi yang dipilih terhadap profil risiko mereka. Selain itu, kegagalan operasional
kecil dapat meningkat dan mengancam kelangsungan hidup jangka panjang.
Kerangka kerja yang direvisi meningkatkan dan memperluas diskusi tentang strategi dan risiko
berfokus pada tiga konsep berikut:
kemungkinan strategi dan tujuan bisnis tidak sejalan dengan misi, visi dan nilai-nilai;
implikasi dari strategi yang dipilih; Dan
risiko dalam melaksanakan strategi tersebut.
Dengan membedakan tiga manifestasi potensial dari strategi yang berdampak pada risiko,
kerangka kerja ini memberikan analisis yang lebih rinci dan pengakuan terhadap peran dan pentingnya
manajemen risiko perusahaan.
Ekstrak yang telah diedit dari situs COSO, www.coso.org

07
Menetapkan konteksnya
Ruang lingkup konteksnya

ISO 31000 menyatakan bahwa tahap pertama dalam proses manajemen risiko adalah
menetapkan konteks, yang ditunjukkan pada Gambar 6.4 sebagai 'ruang lingkup, konteks, kriteria'.
Standar Australia AS 4360 sebelumnya menyebut konteks memiliki tiga komponen, selain
proses manajemen risiko. Komponen-komponen tersebut adalah konteks manajemen risiko,
konteks internal dan konteks eksternal. Hubungan ketiga konteks tersebut diilustrasikan
pada Gambar 7.1.
GAMBAR 7.1 Tiga komponen konteks
Tiga komponen konteks dapat dipertimbangkan sebagai berikut:
Konteks manajemen risiko telah digambarkan sebagai arsitektur risiko,

strategi dan protokol atau kerangka manajemen risiko dalam organisasi.
Kerangka kerja ini harus memenuhi dua fungsi: 1) memberikan dukungan
terhadap proses manajemen risiko dalam organisasi;
dan 2) memastikan bahwa keluaran dari proses manajemen risiko dikomunikasikan

kepada pemangku kepentingan internal dan eksternal.
Konteks internal mengacu pada organisasi itu sendiri, aktivitas yang dilakukan,
berbagai keterampilan dan kemampuan yang tersedia dalam organisasi, dan
bagaimana organisasi tersebut disusun. Pemangku kepentingan internal dan
harapan mereka merupakan bagian dari konteks internal. Hal ini dapat dianggap
sebagai kekuatan dan kelemahan dalam organisasi.
Konteks eksternal adalah lingkungan di mana organisasi berada.

Lingkungan ini akan mencakup pertimbangan sektor bisnis di mana organisasi
beroperasi, pemangku kepentingan eksternal dan harapan mereka, serta
lingkungan keuangan eksternal. Hal ini dapat dianggap sebagai peluang dan
ancaman yang dihadapi organisasi.
Sifat dan luasnya proses manajemen risiko merupakan pertimbangan utama ketika
menetapkan konteks manajemen risiko. Pertanyaan kuncinya adalah apa yang
diharapkan dapat dicapai oleh proses manajemen risiko atau jawaban atas pertanyaan
mengapa organisasi mempunyai aktivitas manajemen risiko. Konteks manajemen risiko
juga mencakup pertimbangan siapa yang akan bertanggung jawab dan mengidentifikasi
sumber daya yang diperlukan untuk memenuhi aktivitas manajemen risiko.
Pertimbangan penting lainnya dalam konteks manajemen risiko adalah penetapan

selera risiko atau kriteria risiko. Hal ini akan membantu organisasi memutuskan
pengendalian apa yang harus diterapkan dan apakah tingkat risiko yang tersisa atau
saat ini dapat diterima. Konteks manajemen risiko juga harus menyediakan sarana
untuk menetapkan total paparan risiko secara keseluruhan sehingga dapat dibandingkan
dengan selera risiko organisasi dan kapasitas organisasi untuk menahan risiko.
Konteks internalnya adalah mengenai budaya organisasi, sumber daya yang tersedia,
penerimaan keluaran dari proses manajemen risiko dan memastikan bahwa hal tersebut
mempengaruhi perilaku, serta mendukung dan menyediakan tata kelola risiko dan
manajemen risiko. Konteks internal menyangkut tujuan, kapasitas dan kapabilitas
organisasi, serta proses inti bisnis yang ada. Pertimbangan penting mengenai konteks
internal adalah bagaimana organisasi mengambil keputusan.
Konteks eksternal adalah mengenai ekspektasi pemangku kepentingan, peraturan

dan regulator industri, perilaku pesaing, dan lingkungan ekonomi umum di mana
organisasi beroperasi. Konteks eksternal juga mempertimbangkan pendorong dan
tren yang dapat mempengaruhi keberhasilan organisasi dan kemampuannya untuk
mencapai tujuan.
Konteks eksternal
Standar manajemen risiko ISO 31000 mengidentifikasi 'menetapkan konteks' sebagai
tahap pertama dalam proses manajemen risiko. Penetapan konteks direpresentasikan
dalam diagram ISO 31000, dan direproduksi sebagai Gambar 6.4, sebagai 'ruang
lingkup, konteks, kriteria.' Menetapkan konteks merupakan aspek penting yang
mendasar dalam keberhasilan manajemen risiko, dan hal ini juga diidentifikasi oleh
standar internasional lainnya sebagai tahap awal yang penting dalam penerapan
standar sistem manajemen. Misalnya, standar mutu ISO 9001:2015 juga
mengidentifikasi konteks sebagai bagian dari perencanaan strategis yang harus dilakukan suatu org
Ada tiga tingkatan dalam menetapkan konteks aktivitas manajemen risiko, yaitu
terkait dengan konteks eksternal, konteks internal, dan konteks manajemen risiko.
Penetapan konteks eksternal harus mempertimbangkan harapan pemangku
kepentingan eksternal. Pentingnya harapan pemangku kepentingan dibahas secara
lebih rinci di Bab 29.
Bagi banyak organisasi, kelompok pemangku kepentingan eksternal yang paling
penting adalah pelanggan. Konteks eksternal suatu organisasi akan sangat dipengaruhi
oleh sifat pelanggan dan produk atau layanan yang ditawarkan kepada mereka.
Pertimbangan pelanggan dan penawaran pelanggan merupakan bagian penting dari
model bisnis bagi organisasi dan relevansi model bisnis terhadap manajemen risiko
dibahas secara lebih rinci di Bab 20.
Setelah mengidentifikasi harapan pemangku kepentingan eksternal, termasuk

pertimbangan pelanggan dan layanan serta produk yang ditawarkan kepada
pelanggan, organisasi kemudian dapat melihat secara lebih rinci faktor-faktor yang
mempengaruhi konteks eksternal organisasi. Kartu skor risiko FIRM menyediakan
struktur untuk melakukan evaluasi terperinci terhadap konteks organisasi.
Komponen reputasi dan pasar pada kartu skor risiko FIRM terutama terkait dengan konteks
eksternal, sedangkan komponen keuangan dan infrastruktur terutama terkait dengan konteks
internal.
Tabel 14.2 memberikan rincian daftar pertanyaan yang berkaitan dengan pengembangan
indeks keberisikoan berdasarkan struktur kartu penilaian risiko FIRM. Singkatnya, komponen
reputasi dari konteks eksternal suatu organisasi menentukan persepsi eksternal organisasi
dan keinginan pelanggan untuk berdagang dengan organisasi dan tingkat retensi pelanggan.
Secara khusus, ketika mengevaluasi komponen reputasi dalam konteks eksternal, isu-isu
berikut harus ditangani:
persepsi masyarakat terhadap sektor industri dimana organisasi beroperasi;
standar tanggung jawab sosial perusahaan yang dicapai organisasi;
standar tata kelola dan apakah sektor ini diatur secara ketat;
mutu produk atau jasa dan/atau standar pelayanan purna jual.
Komponen lain dari kartu skor risiko FIRM yang relevan dengan lingkungan eksternal adalah
pasar dan tingkat kehadiran organisasi di pasar. Hal ini akan berdampak pada tingkat
perdagangan atau pengeluaran pelanggan. Secara khusus, ketika mengevaluasi komponen
pasar dari lingkungan eksternal, isu-isu berikut harus diatasi:
tingkat perolehan pendapatan di pasar dan laba atas investasi;
adanya pesaing yang agresif dan/atau ekspektasi pelanggan yang tinggi;
tingkat stabilitas perekonomian, termasuk paparan terhadap suku bunga dan nilai tukar
mata uang asing;
kompleksitas rantai pasokan dan ketidakstabilan biaya bahan baku;
paparan terhadap gangguan internasional karena risiko politik, perang dan terorisme.
Kartu skor risiko FIRM menawarkan satu mekanisme untuk mengevaluasi konteks eksternal
organisasi, namun struktur lain dapat digunakan, seperti analisis kekuatan, kelemahan,
peluang dan ancaman (SWOT) atau penggunaan
salah satu sistem klasifikasi risiko yang dibahas dalam Bab 11. Tujuan keseluruhan dari
evaluasi konteks eksternal adalah untuk menentukan tingkat risiko yang terkait dengan
lingkungan eksternal di mana organisasi beroperasi.
Hal ini akan memungkinkan organisasi untuk memvalidasi model bisnis yang ada dan
mengembangkan strategi untuk masa depan, bersama dengan taktik untuk menerapkan
strategi tersebut.
Pemangku kepentingan eksternal
Pengelolaan yang baik oleh dewan tidak boleh menghambat pengambilan risiko yang masuk akal dan penting
bagi pertumbuhan. Namun, penilaian risiko sebagai bagian dari proses perencanaan bisnis normal harus
mendukung pengambilan keputusan yang lebih baik, memastikan bahwa dewan dan manajemen merespons
risiko dengan segera ketika risiko tersebut muncul, dan memastikan bahwa pemegang saham dan
pemangku kepentingan lainnya mendapat informasi yang baik tentang risiko utama dan prospeknya. dari perusahaan.
Tanggung jawab dewan terhadap budaya organisasi sangat penting dalam cara mempertimbangkan dan
menangani risiko di dalam organisasi dan dengan pemangku kepentingan eksternal.
Panduan risiko FRC

September 2014
Konteks internal
Menetapkan konteks internal suatu organisasi harus mempertimbangkan harapan
pemangku kepentingan internal. Terdapat sejumlah pemangku kepentingan internal,
namun kelompok yang paling penting adalah orang-orang yang secara langsung
bergantung pada organisasi. Hal ini mencakup anggota staf dan orang-orang yang
memberikan layanan berdasarkan outsourcing, kontrak dan/atau pemasok.
Setelah mengidentifikasi ekspektasi pemangku kepentingan internal, termasuk
identifikasi pentingnya pemangku kepentingan terhadap operasi dan aktivitas
kepatuhan organisasi, maka akan dimungkinkan untuk melihat secara lebih rinci
faktor-faktor yang mempengaruhi konteks internal. Kartu skor risiko FIRM
menyediakan struktur untuk melakukan evaluasi terperinci terhadap konteks
organisasi. Komponen finansial dan infrastruktur pada kartu skor risiko FIRM
terutama terkait dengan konteks internal, sedangkan komponen reputasi dan pasar
terutama terkait dengan konteks eksternal.
Tabel 14.2 memberikan rincian daftar pertanyaan terkait pengembangan indeks
keberisikoan berdasarkan struktur kartu penilaian risiko FIRM. Singkatnya,
komponen keuangan dalam konteks internal suatu organisasi mendefinisikan
prosedur keuangan dan cara pengelolaan uang dan pencapaian profitabilitas.
Secara khusus, ketika mengevaluasi komponen keuangan dalam konteks internal,
isu-isu berikut harus diperhatikan
ditujukan:
ketersediaan dana yang memadai untuk memenuhi rencana strategis;
adanya prosedur yang kuat untuk pengalokasian dana investasi yang benar;
sifat lingkungan pengendalian keuangan internal untuk mencegah penipuan;
ketersediaan dana untuk memenuhi kewajiban historis dan masa depan yang diantisipasi.
Komponen lain dari kartu skor risiko FIRM yang relevan dengan konteks internal adalah infrastruktur,
karena infrastruktur mempengaruhi sifat proses yang dilakukan dalam organisasi. Risiko infrastruktur
menentukan tingkat inefisiensi dan disfungsi yang mungkin timbul selama proses internal. Secara
khusus, ketika mengevaluasi komponen infrastruktur dalam konteks internal, isu-isu berikut harus
diatasi:
struktur manajemen senior dan sifat budaya risiko;
ketersediaan sumber daya manusia dan keterampilan manusia yang memadai, termasuk
kekayaan intelektual;
ketersediaan aset fisik yang memadai untuk mendukung kegiatan operasional;
infrastruktur teknologi informasi yang memadai untuk mencapai ketahanan dan melindungi data;
adanya rencana kesinambungan bisnis untuk memastikan kesinambungan aktivitas setelah

gangguan besar;
pengaturan pemberian layanan dan/atau transportasi serta infrastruktur komunikasi yang andal.
Kartu skor risiko FIRM menawarkan satu mekanisme untuk mengevaluasi konteks internal suatu
organisasi, namun pendekatan lain dapat digunakan, termasuk analisis SWOT. Banyak organisasi
menggunakan sistem klasifikasi risiko politik, ekonomi, sosial, teknologi, hukum dan lingkungan/etika
(PESTLE). Sistem klasifikasi risiko PESTLE dibahas lebih rinci pada Bab 11. Beberapa komponen
sistem klasifikasi risiko PESTLE terkait dengan konteks eksternal, ada pula yang terkait dengan
konteks internal, dan lainnya.
komponen relevan dengan konteks eksternal dan internal.

Ada banyak daftar periksa yang tersedia yang memungkinkan organisasi mengidentifikasi
sifat konteks eksternal dan internal di mana organisasi beroperasi.
Sistem klasifikasi atau daftar pertanyaan mana yang digunakan kurang penting dibandingkan
kebutuhan untuk mengidentifikasi seluruh permasalahan risiko yang dihadapi oleh organisasi.
Hal ini akan memungkinkan organisasi untuk memvalidasi model bisnis yang ada, sumber
daya yang diperlukan untuk menjalankan model bisnis, serta tingkat ketahanan dalam model
bisnis yang ada.

Bab 21 membahas konteks manajemen risiko secara rinci, dalam kaitannya dengan arsitektur
risiko, strategi dan protokol (RASP) yang dikembangkan oleh organisasi. RASP suatu
organisasi mendefinisikan struktur konteks manajemen risiko dan bagaimana komponen
konteks tersebut diterapkan untuk mencapai manfaat yang diinginkan dari inisiatif manajemen
risiko perusahaan.
Konteks manajemen risiko suatu organisasi harus mampu memberikan strategi manajemen
risiko yang diperlukan dan mengembangkan budaya sadar risiko yang diperlukan. Komponen
budaya sadar risiko yang memuaskan adalah kepemimpinan, keterlibatan, pembelajaran,
akuntabilitas dan komunikasi (LILAC), sebagaimana dibahas lebih rinci di Bab 24.
Komponen penting dari konteks manajemen risiko adalah mandat yang diberikan oleh
manajemen senior yang memberikan ruang lingkup dan tingkat wewenang untuk melakukan
aktivitas manajemen risiko dalam organisasi. Mandat yang diberikan kepada manajer risiko,
kepala audit internal, dan pihak lain yang terlibat dalam inisiatif manajemen risiko harus
ditetapkan dalam kebijakan manajemen risiko organisasi.
Sikap risiko dan selera risiko organisasi, sebagaimana ditentukan oleh kriteria risiko untuk
berbagai jenis risiko, membantu menentukan konteks manajemen risiko organisasi dan
memberikan dasar untuk melakukan penilaian risiko dan mencatat hasilnya dalam daftar
risiko. Sifat dan luasnya komunikasi informasi yang terkandung dalam daftar risiko di seluruh
arsitektur risiko organisasi juga membantu menentukan konteks manajemen risiko.
Mungkin fitur yang paling penting dari konteks manajemen risiko yang akan menentukan
keberhasilan inisiatif manajemen risiko perusahaan berkaitan dengan bagaimana inisiatif
tersebut diimplementasikan. Lampiran C memberikan garis besar panduan implementasi
inisiatif manajemen risiko perusahaan dalam hal perencanaan, pelaksanaan, pengukuran dan
pembelajaran (PIML).
Konteks manajemen risiko harus berkontribusi terhadap keberhasilan organisasi dan
mendukung penyampaian harapan pemangku kepentingan, baik eksternal maupun internal.
Persyaratan konteks manajemen risiko adalah bahwa manajemen risiko harus mengidentifikasi
risiko-risiko yang muncul dan mendukung respons terhadap perubahan dalam konteks
eksternal dan internal organisasi. Sifat risiko yang muncul bisa jadi rumit dan, menurut
definisinya, sangat tidak dapat diprediksi.
Dalam membantu organisasi mengidentifikasi sifat risiko yang muncul, konteks manajemen
risiko harus menyediakan mekanisme untuk memberikan peringatan dini.
Hal ini digambarkan sebagai 'radar risiko' organisasi dan harus mencakup peninjauan dan
evaluasi informasi yang berkaitan dengan risiko yang muncul secara tepat waktu.
Untuk menentukan secara komprehensif dampak dan konsekuensi spesifik bagi organisasi,
mekanisme untuk mengidentifikasi risiko yang muncul juga harus mencakup ketentuan untuk
mengidentifikasi peluang yang dapat dimanfaatkan di masa depan.
Ringkasnya, organisasi diharuskan untuk mengidentifikasi setiap permasalahan konteks

eksternal, internal, dan manajemen risiko spesifik yang dapat berdampak pada organisasi,
memperoleh dan mengevaluasi pengetahuan dan informasi yang tepat waktu mengenai isu-
isu tersebut, mengevaluasi risiko dan peluang yang ditimbulkan oleh faktor-faktor konteks
tersebut, dan mengambil tindakan yang tepat untuk mengatasinya. memitigasi risiko dan
memanfaatkan peluang. Semua ini harus didokumentasikan dalam lingkup arsitektur risiko,
strategi dan protokol (RASP).
Merancang daftar risiko

Penggunaan daftar risiko telah menjadi praktik umum bagi banyak manajer risiko. Terdapat
kelemahan yang terkait dengan penggunaan register risiko, termasuk bahayanya informasi
yang dicatat dalam register risiko tidak akan digunakan secara dinamis. Daftar risiko dapat
menjadi catatan risiko yang statis
status, bukan rencana tindakan risiko untuk organisasi.

Daftar risiko didefinisikan dalam Panduan ISO 73 sebagai 'dokumen yang digunakan
untuk mencatat proses manajemen risiko untuk risiko yang teridentifikasi'. Panduan ini
menambahkan bahwa tujuan dari daftar risiko adalah untuk memfasilitasi kepemilikan
dan pengelolaan setiap risiko. Biasanya, daftar risiko akan mencakup risiko signifikan
yang dihadapi organisasi atau proyek. Ini akan mencatat hasil penilaian risiko terkait
proses, operasi, lokasi, unit bisnis atau proyek yang sedang dipertimbangkan.
Ketika penilaian risiko dilakukan terhadap pilihan-pilihan strategis, biasanya penilaian

risiko digunakan sebagai bagian dari aktivitas pengambilan keputusan. Biasanya,
informasi ini tidak akan dicatat dalam format daftar risiko, namun akan disajikan kepada
pengambil keputusan sebagai bagian dari keseluruhan informasi yang tersedia untuk
membuat keputusan strategis tersebut.
Tujuan dari daftar risiko adalah untuk membentuk catatan yang disepakati mengenai
risiko-risiko signifikan yang telah diidentifikasi. Selain itu, daftar risiko akan berfungsi
sebagai catatan aktivitas pengendalian yang sedang dilakukan. Ini juga akan menjadi
catatan tindakan tambahan yang diusulkan untuk meningkatkan pengendalian risiko tertentu.
Informasi lain mengenai risiko juga akan dimasukkan dalam daftar risiko.
Meskipun tidak ada format tetap untuk dokumen ini, Tabel 7.1 memberikan garis besar
format dasar daftar risiko. Mungkin tidak perlu memasukkan semua informasi uraian risiko
yang tercantum dalam tabel dalam daftar risiko, karena hal ini dapat menjadikannya
dokumen yang rumit dan tidak jelas.
TABEL 7.1 Format daftar risiko dasar
Tingkat risiko saat ini
Keseluruhan Kontrol
Indeks Risiko Deskripsi Risiko Peringkat Besaran Kemungkinan ada
1 Kecelakaan lalu Rendah Tinggi Polisi Sedang

lintas serius yang rencana
melibatkan darurat
pengangkutan bahan bakar/bahan peledak. Jalan raya
Antisipasi korban jiwa Agen
Mengantisipasi korban Rencana

jiwa dan evakuasi agensi
Radius 1 km,
tergantung zat Rencana
darurat
terlibat. Potensi otoritas lokal
pelepasan hingga 30 Tanggap
ton bahan bakar cair darurat
ke lingkungan perusahaan
setempat.
Hubungan
dengan
keluarga staf
Pemberitahuan
ke
pelanggan
2 Angin kencang Polisi Sedang Sedang Sedang

mempengaruhi rute rencana
transportasi hingga darurat
enam jam. Antisipasi Jalan raya
bahwa sebagian besar Rencana
jalan di sekitarnya agensi
akan ditutup Selidiki
atau dibatasi. Waktu ramalan
perjalanan cuaca
akan diperpanjang
dan Hubungan
kemungkinan pengiriman terlambat. dengan
keluarga staf
Pemberitahuan
ke
pelanggan
Daftar risiko dapat dikompilasi dalam beberapa format, tergantung pada jenis penilaian
risiko yang dicatat. Tabel 7.2 memberikan contoh a
daftar risiko yang telah diselesaikan sebagian untuk klub olahraga dan Tabel 7.3 memberikan contoh
daftar risiko untuk rumah sakit.
TABEL 7.2 Daftar risiko untuk klub olahraga
Kontrol Lebih jauh

Mempertaruhkan yang ada Tindakan saat ini
Indeks risiko keterangan Pengukuran tingkat Pemilik yang direncanakan
Risiko
keuangan
1.1 Dana tidak mencukupi Tinggi

untuk pemain baru
yang cocok.
1.2 Dana pensiun Sedang
tidak cukup untuk

memenuhi kewajiban.
Risiko infrastruktur
2.1 Kehilangan manajer Tinggi

muda yang sangat
disegani.
2.2 Pembangunan Rendah
stadion baru adalah
terlambat.
Risiko reputasi
3.1 Keluhan barang Rendah
dagangan itu
terlalu mahal.
3.2 Pendukung klub Sedang
melakukan kerusuhan di tandang

kerusuhan di pertandingan
tandang.
Risiko pasar
4.1 Berbagai macam Tinggi

barang dagangan
baru tidak menarik.
4.2 Dukungan penggemar Rendah
kegiatan lain
daripada kehadiran
klub.
TABEL 7.3 Daftar risiko suatu rumah sakit
Mempertaruhkan Keseluruhan
Deskripsi indeks risiko Peringkat Besaran Kemungkinan Peringkat risiko
1 Atap ruang Tinggi Tinggi Tinggi Masuknya

operasi 3 kaleng air
dan 4 bocor karena menyebabkan
kondisinya yang hilangnya fasilitas

buruk sehingga teater, pembatalan
mengganggu daftar operasi,

operasi dan hilangnya
tidak tercapainya aktivitas utama
waktu tunggu. dan
ancaman
terhadap target waktu tunggu.
Dengan
curah hujan
yang tinggi,
kemungkinan
besar terjadi antara satu dan
waktu
operasi satu
dan tujuh hari
akan hilang.
Masalah di
dua yang terakhir
tahun menunjukkan
bahwa kegagalan
akan terjadi
dua kali per

tahun.
2 Kemajuan Sedang Sedang Sedang Persepsi pasien terhadap

dalam lingkungan saat
mencapai standar ini baik dan tingkat
pengasuhan pelayanan
anak akan tetap yang diberikan
tidak baik.
memuaskan
karena kegagalan
melaksanakan
rencana aksi untuk Tindakan tegas perlu
meningkatkan diambil untuk
fasilitas, mengatasi hal ini
yang memastikan
bahwa standar
mengakibatkan tidak menjadi

anak-anak tidak memuaskan.
menerima
pengasuhan di bawah standar nasional.
Sederhananya, daftar risiko dapat disimpan sebagai dokumen yang disimpan di komputer.
Namun, terdapat banyak bentuk pencatatan risiko yang lebih canggih, termasuk pencatatan risiko
signifikan yang disimpan dalam database. Jika kuantifikasi eksposur diperlukan, maka daftar risiko
sederhana yang dijadikan sebagai dokumen tidak mungkin dilakukan
cukup. Hal ini berlaku pada sistem pencatatan risiko operasional, yang memerlukan kuantifikasi
eksposur risiko.
Menggunakan daftar risiko

Daftar risiko yang dibangun dengan baik dan dinamis adalah inti dari keberhasilan inisiatif
manajemen risiko. Namun, terdapat bahaya bahwa daftar risiko dapat menjadi dokumen statis
yang mencatat status aktivitas manajemen risiko pada suatu waktu. Implikasi praktis dari hal ini
adalah manajemen senior dapat mempertimbangkan bahwa menghadiri lokakarya penilaian
risiko dan membuat daftar risiko telah memenuhi kewajiban manajemen risiko mereka dan tidak
diperlukan tindakan berkelanjutan.
Lebih baik jika kita menganggap daftar risiko sebagai rencana tindakan risiko yang mencatat
status organisasi sehubungan dengan manajemen risiko, namun juga menyediakan catatan
pengendalian penting yang ada, bersama dengan rincian pengendalian tambahan yang ada.
perlu diperkenalkan. Dalam menghasilkan rencana tindakan risiko, tanggung jawab untuk
melakukan tindakan yang diidentifikasi akan ditetapkan dengan jelas.
Bab 26 membahas pilihan penggunaan sistem informasi manajemen risiko (RMIS) untuk
mencatat informasi yang disimpan dalam daftar risiko. Selain itu, informasi yang disimpan dalam
daftar risiko mungkin tersedia di intranet organisasi, dan ini akan membantu pemahaman dan
komunikasi risiko. Di beberapa organisasi, daftar risiko diberi status sebagai dokumen terkendali
untuk digunakan oleh audit internal sebagai salah satu dokumen referensi utama untuk
melakukan audit atas aktivitas manajemen risiko.
Sekalipun hal ini tidak terjadi, informasi yang tercantum dalam daftar risiko harus
dipertimbangkan dan disusun dengan sangat hati-hati. Misalnya, risiko-risiko yang tercantum
dalam register perlu didefinisikan secara tepat sehingga penyebab, sumber, peristiwa, besaran
dan dampak dari setiap peristiwa risiko dapat diidentifikasi dengan jelas. Selain itu, aktivitas
pengendalian yang ada, bersama dengan pengendalian tambahan apa pun yang diusulkan,
harus dijelaskan secara tepat dan dicatat secara akurat.
Aktivitas pengendalian risiko harus dijelaskan secara cukup rinci untuk pengendalian tersebut
agar dapat diaudit. Hal ini sangat penting ketika daftar risiko berkaitan dengan
operasi rutin yang dilakukan oleh organisasi. Daftar risiko juga harus dibuat untuk proyek-proyek
dan untuk mendukung keputusan-keputusan strategis.
Daftar risiko proyek harus menjadi dokumen yang sangat dinamis. Contoh daftar risiko proyek
disajikan pada Tabel 7.4. Rincian risiko yang dihadapi oleh proyek, sebagaimana dicatat dalam
daftar risiko, harus didiskusikan pada setiap pertemuan tinjauan proyek. Selain relevan dengan
proyek, daftar risiko juga harus mendukung keputusan bisnis. Dalam hal ini, format pencatatan
risiko yang sebenarnya mungkin kurang formal. Ketika keputusan strategis harus diambil di tingkat
dewan, penilaian risiko strategi tersebut harus dilampirkan pada proposal. Penilaian risiko ini dapat
mencakup risiko dalam menjalankan strategi dan analisis risiko yang terkait dengan tidak
dilaksanakannya strategi yang diusulkan.
TABEL 7.4 Daftar risiko proyek
Mempertaruhkan Keseluruhan Tindakan yang
Deskripsi indeks risiko Peringkat Besaran Kemungkinan harus diambil
1 Tinggi Tinggi Tinggi Struktur

Pengaturan manajemen
manajemen proyek proyek yang
tidak dapat jelas, dengan
menyelesaikan proyek. eksekutif
tim
didirikan untuk
mengawasi
proyek.
Tim
proyek yang
lebih kecil
menjalankan
proyek sehari-hari dengan
dukungan ahli, sebagai

diperlukan.
Hapus
hubungan antar
bermacam-macam
fungsi manajemen
untuk
memastikan bersama
pendekatan
terkoordinasi.
2 Proyek Tim manajemen Proyek Menengah Menengah Menengah

sumber daya
tidak memadai
dengan staf yang tidak didirikan
memadai untuk dengan dukungan

mendukung proyek. dari
departemen staf
lainnya, termasuk
SDM dan Keuangan.
3 Sumber Rendah Tinggi Sedang Anggaran yang

daya proyek tidak cukup
mencukupi diidentifikasi
dana untuk dana eksternal
saran teknis nasihat.

profesional
eksternal yang
diperlukan.
4 Proyek tidak Rendah Rendah Tim manajemen

terkoordinasi Proyek rendah
dengan juga
perkembangan lain mengawasi
dalam organisasi. proyek
terkait dengan
proyek dengan
menyeberang
representasi di sisi
lain
kelompok.
Yang terakhir, daftar risiko harus dilampirkan pada rencana bisnis sebagai catatan risiko yang
dapat berdampak pada pencapaian rencana tersebut. Tabel 7.5 menunjukkan daftar risiko sederhana
yang telah diselesaikan sebagian dalam format yang dapat dilampirkan pada rencana bisnis. Contoh
sederhana mengenai risiko yang dapat mengakibatkan tidak tercapainya rencana bisnis disajikan
dalam ilustrasi ini.
TABEL 7.5 Daftar risiko yang dilampirkan pada rencana bisnis

Penilaian
Pengendalian keadaan risiko dan Keseluruhan Tindakan dan
indeks Kemungkinan Besarnya risiko jaminan
1.1 Hilangnya dana hibah Tinggi Negosiasi telah

dilakukan dan
angka
penyelesaian
akhir
akan segera
diberitahukan.
1.2 Biaya peningkatan Sedang Ketentuan

pekerjaan telah dibuat
cadangan
dan biaya
tambahan
apa pun akan
dipenuhi
dari
anggaran yang ad
anggaran.
1.3 Klaim lembur Sedang Kepala
departemen
harus
menegakkan
aturan
tentang lembur
pembayaran
sebagai akibat
dari
peningkatan pekerjaa
1.4 Klaim jarak tempuh Rendah Kepala
departemen
harus
memastikan
bahwa
hanya perjalanan
penting yang dilak
Misalnya, sebuah klub olahraga mungkin ingin mencatat risiko terhadap reputasi dalam daftar
risiko. Mungkin terdapat kekhawatiran khusus mengenai reputasi klub, sehingga dewan
memerlukan evaluasi terperinci mengenai risiko reputasi terkait dengan:
kesuksesan di lapangan;
kepatuhan hukum;
penyediaan barang etis dengan harga wajar.
Ketika mempertimbangkan masalah reputasi, tingkat kendali yang diperlukan akan dievaluasi,
bersama dengan tanggung jawab untuk mengelola merek. Klub juga akan memastikan bahwa
pengendalian yang ada dan pengendalian tambahan apa pun dijelaskan sedemikian rupa sehingga
memastikan bahwa penerapan pengendalian dapat diaudit sepenuhnya.
Dewan mungkin ingin melihat daftar risiko setidaknya setiap triwulan, dan lebih
sering jika terjadi perubahan signifikan. Hal ini akan memastikan bahwa daftar risiko
tetap menjadi dokumen yang dinamis dan selalu diperbarui. Hal ini juga akan
memastikan tindakan yang diperlukan telah diambil dan dilaporkan kepada dewan.
08
Pendekatan di seluruh perusahaan

Dalam beberapa tahun terakhir, terdapat perkembangan penting dalam praktik
manajemen risiko. Pertama, telah terjadi pengembangan cabang-cabang spesialis
manajemen risiko, termasuk proyek, energi, keuangan, risiko operasional, dan
manajemen risiko klinis. Kedua, organisasi telah menerima keinginan untuk mengambil
pendekatan yang lebih luas terhadap praktik manajemen risiko.
Berbagai istilah telah digunakan untuk menggambarkan pendekatan yang lebih luas
ini, termasuk manajemen risiko yang holistik, terintegrasi, strategis, dan berskala
perusahaan. Istilah manajemen risiko perusahaan atau enterprise-wide (ERM) kini
menjadi terminologi yang paling banyak digunakan dan diterima secara umum untuk
pendekatan yang lebih luas ini. Ide mendasar di balik pendekatan ERM adalah untuk
beralih dari praktik manajemen risiko sebagai manajemen risiko individual yang terpisah.
ERM mengambil pendekatan yang menyatukan, lebih luas dan lebih terintegrasi.
Pendekatan ERM berarti bahwa suatu organisasi melihat semua risiko yang dihadapinya
di seluruh operasi yang dilakukannya. ERM berkaitan dengan pengelolaan risiko yang
dapat berdampak pada tujuan, ketergantungan utama, atau proses inti organisasi.
Selain itu, ERM berkaitan dengan pengelolaan peluang, serta pengelolaan pengendalian
dan risiko bahaya.
Ada juga pertimbangan mengenai fakta bahwa banyak risiko saling terkait dan bahwa
manajemen risiko tradisional gagal mengatasi hubungan antar risiko. Dengan
pendekatan ERM, hubungan antar risiko diidentifikasi berdasarkan fakta bahwa dua
atau lebih risiko dapat berdampak pada aktivitas atau tujuan yang sama.
Pendekatan ERM didasarkan pada melihat tujuan, ketergantungan utama atau proses
inti dan mengevaluasi semua risiko yang dapat berdampak pada item yang dievaluasi.
Organisasi mempraktikkan manajemen risiko dalam beberapa cara berbeda.

Namun, ada banyak fitur umum pada sebagian besar pendekatan ini. Tabel 8.1 memberikan
gambaran fitur manajemen risiko perusahaan sebagai perbandingan dengan pendekatan
berbasis silo dimana alat dan teknik manajemen risiko diterapkan pada berbagai jenis risiko
secara independen. Manajemen risiko perusahaan telah menjadi sarana yang mapan dalam
melakukan aktivitas manajemen risiko di sebagian besar organisasi. Hal ini memungkinkan
organisasi memperoleh gambaran mengenai seluruh risiko yang dihadapi sehingga dapat
mengambil tindakan terkoordinasi untuk mengelola risiko tersebut. Meskipun demikian, fungsi
spesialis manajemen risiko, seperti kesehatan dan keselamatan serta kelangsungan bisnis
terus memberikan kontribusi yang berharga.
TABEL 8.1 Ciri-ciri pendekatan skala perusahaan
1 Meliputi semua bidang paparan risiko organisasi (keuangan, operasional, pelaporan,

kepatuhan, tata kelola, strategis, reputasi, dll).
2 Memprioritaskan dan mengelola eksposur tersebut sebagai risiko yang saling terkait
portofolio dan bukan sebagai 'silo' risiko individual.
3 Mengevaluasi portofolio risiko dalam konteks seluruh konteks, sistem, keadaan, dan
pemangku kepentingan internal dan eksternal yang signifikan.
4 Mengakui bahwa risiko individual di seluruh organisasi memang demikian

saling terkait dan dapat menciptakan eksposur gabungan yang berbeda dari jumlah
risiko individual.
5 Memberikan proses terstruktur untuk pengelolaan seluruh risiko, baik risiko yang
bersifat kuantitatif maupun kualitatif.
6 Berusaha untuk memasukkan manajemen risiko sebagai komponen dalam semua hal penting
keputusan di seluruh organisasi.
7 Menyediakan sarana bagi organisasi untuk mengidentifikasi risiko yang ada

bersedia mengambil untuk mencapai tujuan strategis.
8 Membangun sarana komunikasi mengenai permasalahan risiko, sehingga terdapat

kesamaan pemahaman mengenai risiko yang dihadapi organisasi,
adalah pemahaman umum tentang risiko yang dihadapi organisasi, dan

pentingnya risiko tersebut.
9 Mendukung aktivitas audit internal dengan menyediakan struktur pemberian

jaminan kepada dewan dan komite audit.
10 Memandang pengelolaan risiko yang efektif sebagai keunggulan kompetitif yang

berkontribusi terhadap pencapaian tujuan bisnis dan strategis.
Contoh pendekatan ERM adalah dengan mempertimbangkan klub olahraga yang

proses intinya adalah memaksimalkan kehadiran di pertandingan. Proses ini terdiri dari
beberapa aktivitas, termasuk pemasaran, periklanan, alokasi dan penjualan tiket serta
pengaturan logistik untuk memastikan pengalaman bermain sebaik mungkin. Bagian
dari memaksimalkan kehadiran pada pertandingan adalah dengan memastikan
tersedianya tempat parkir dan pengaturan transportasi yang memadai, serta katering
yang sesuai dan pengaturan kesejahteraan lainnya di lapangan.
Dengan mengidentifikasi aktivitas-aktivitas utama yang menghasilkan proses inti yang
dipilih, klub dapat mengidentifikasi risiko yang dapat berdampak pada aktivitas-aktivitas ini
dan proses inti. Target kemudian dapat ditetapkan untuk meningkatkan jumlah penonton
pada pertandingan di masa depan, dan tanggung jawab atas keberhasilan proses inti ini telah
dialokasikan kepada direktur komersial klub. Pertimbangan mengenai peluang untuk
meningkatkan kehadiran pada pertandingan juga dapat dimasukkan dalam pendekatan yang lebih luas ini.
Definisi ERM
Tabel 8.2 menyajikan sejumlah definisi yang disarankan mengenai manajemen risiko
perusahaan. Ada tiga komponen yang diperlukan dalam definisi komprehensif proses
ERM. Hal-hal tersebut adalah: 1) gambaran proses yang mendasari manajemen risiko
perusahaan; 2) identifikasi keluaran dari proses tersebut; dan 3) dampak (atau manfaat)
yang timbul dari keluaran tersebut.
TABEL 8.2 Definisi manajemen risiko perusahaan
Definisi Organisasi manajemen risiko perusahaan
RIM Manajemen risiko perusahaan adalah bisnis strategis

RIM Manajemen risiko perusahaan adalah bisnis strategis
disiplin yang mendukung pencapaian tujuan organisasi

dengan menangani seluruh spektrum risiko dan mengelola dampak
gabungan dari risiko-risiko tersebut sebagai portofolio risiko yang
saling terkait.
COSO Manajemen risiko perusahaan adalah suatu proses, yang dilakukan
oleh dewan direksi, manajemen, dan personel lain suatu
entitas, yang diterapkan dalam penetapan strategi dan di seluruh
perusahaan, yang dirancang untuk mengidentifikasi kejadian
potensial yang dapat mempengaruhi entitas, mengelola risiko agar
sesuai dengan selera risikonya dan untuk memberikan
keyakinan memadai mengenai pencapaian tujuan entitas.
IIA (Institut Pendekatan yang ketat dan terkoordinasi untuk menilai dan
Internal merespons semua risiko yang mempengaruhi pencapaian tujuan
Auditor) strategis dan keuangan organisasi.
HM Treasury Semua proses yang terlibat dalam mengidentifikasi, menilai dan menilai
risiko, menetapkan kepemilikan, mengambil tindakan untuk
memitigasi atau mengantisipasinya serta memantau dan meninjau
kemajuan.
Banyak definisi yang berkonsentrasi pada proses dengan menggambarkan aktivitas

yang membentuk pendekatan ERM. Ini adalah titik awal yang baik, namun keluaran dari
proses tersebut lebih penting daripada proses itu sendiri. Beberapa definisi memang
mencakup referensi terhadap keluaran dari proses tersebut, seperti kemampuan
mengelola risiko sesuai dengan selera risiko organisasi dan memberikan jaminan yang
wajar mengenai pencapaian tujuan.
Namun, agar komprehensif, definisi tersebut juga harus mempertimbangkan dampak
yang diharapkan dari keluaran tersebut. Kesimpulannya, keluaran yang diharapkan dari
ERM adalah keputusan yang lebih baik akan diambil, proses inti yang lebih baik akan
diidentifikasi dan diperkenalkan, mungkin melalui taktik yang mencakup proyek atau
program kerja, dan operasi akan menjadi efektif, efisien dan bebas dari gangguan yang
tidak direncanakan. . Daftar keluaran dari manajemen risiko perusahaan ini dapat dijelaskan
ketika kewajiban wajib dipenuhi, jaminan diperoleh, pengambilan keputusan ditingkatkan dan
proses inti yang efektif dan efisien diperkenalkan (MADE2).
Berikut ini yang penulis tawarkan sebagai definisi ERM secara komprehensif:
ERM melibatkan identifikasi dan evaluasi risiko yang signifikan, penetapan kepemilikan,
penerapan dan pemantauan tindakan untuk mengelola risiko ini sesuai dengan selera
risiko organisasi.
Outputnya adalah penyediaan informasi kepada manajemen untuk meningkatkan

keputusan bisnis, mengurangi ketidakpastian dan memberikan jaminan yang masuk akal
mengenai pencapaian tujuan organisasi.
Dampak ERM adalah meningkatkan efisiensi dan penyampaian layanan, meningkatkan

alokasi sumber daya (modal) untuk peningkatan bisnis, menciptakan nilai pemegang
saham dan meningkatkan pelaporan risiko kepada pemangku kepentingan.
ERM dalam praktiknya

Perkembangan peran manajer risiko dibahas pada Bab 22. Disebutkan bahwa senioritas
manajer risiko harus proporsional dengan risiko yang dihadapi organisasi. Bagi banyak
organisasi, termasuk di bidang keuangan dan energi, direktur risiko setingkat dewan seringkali
merupakan pilihan yang tepat.
Jika sesuai dan proporsional, manajer risiko di tingkat dewan sering disebut sebagai chief
risk officer (CRO). Hingga saat ini, penunjukan tersebut hampir secara eksklusif dilakukan di
sektor energi dan keuangan, meskipun hal ini dapat berubah seiring dengan semakin jelasnya
penerapan ERM di lebih banyak organisasi.
Senioritas CRO hanyalah salah satu contoh bagaimana ERM harus dicapai dalam
praktiknya. Prinsip-prinsip manajemen risiko yang ditetapkan sebagai PACED sepenuhnya
dapat diterapkan pada praktik manajemen risiko perusahaan. Prinsip pengelolaan risiko adalah
proporsional, selaras, komprehensif, melekat dan dinamis (PACED).
Dengan mengambil pendekatan komprehensif terhadap manajemen risiko perusahaan,

berbagai manfaat dapat diberikan dan hal ini disajikan pada Tabel 8.3. Masing-masing
organisasi berhak memutuskan bagaimana inisiatif manajemen risiko perusahaan nantinya
terstruktur dan bagaimana manfaat ini akan dicapai.
TABEL 8.3 Manfaat manajemen risiko perusahaan
Manfaat Scorecard Risiko PERUSAHAAN
Keuangan Mengurangi biaya pendanaan dan modal

Kontrol yang lebih baik atas persetujuan Belanja Modal
Peningkatan profitabilitas bagi organisasi

Pelaporan risiko keuangan yang akurat
Peningkatan tata kelola perusahaan
Infrastruktur Efisiensi dan keunggulan kompetitif

Pencapaian keadaan tidak ada gangguan
Peningkatan moral pemasok dan staf
Risiko yang ditargetkan dan pengurangan biaya
Mengurangi biaya operasional
Reputasi Regulator puas

Peningkatan pemanfaatan merek perusahaan
Peningkatan nilai pemegang saham
Reputasi dan publisitas yang baik
Peningkatan persepsi organisasi
Pasar Peluang komersial dimaksimalkan

Kehadiran pasar yang lebih baik
Peningkatan pembelanjaan pelanggan (dan kepuasan)
Rasio keberhasilan bisnis yang lebih tinggi
Rasio bencana bisnis yang lebih rendah
Fitur utama ERM adalah seluruh risiko signifikan yang dihadapi organisasi dievaluasi.
Keterkaitan antar risiko harus diidentifikasi, sehingga total paparan risiko organisasi dapat
dikompilasi.
Setelah total eksposur risiko organisasi diukur, tingkat eksposur risiko tersebut kemudian
dapat dibandingkan dengan risk appetite dewan dan kapasitas risiko organisasi itu sendiri.
ERM dan kelangsungan bisnis

Ada hubungan penting antara manajemen risiko perusahaan (ERM) dan manajemen kelangsungan
bisnis (BCM). Penilaian risiko yang diperlukan sebagai bagian dari proses manajemen risiko dan
analisis dampak bisnis yang menjadi dasar perencanaan keberlangsungan bisnis (BCP) saling
berkaitan erat. Hal ini dapat dilihat pada Tabel 8.1, yang menjelaskan ciri-ciri pendekatan skala
perusahaan.
Pendekatan normal terhadap manajemen risiko adalah mengevaluasi tujuan dan mengidentifikasi
masing-masing risiko yang dapat berdampak pada tujuan tersebut. Keluaran dari analisis dampak
bisnis adalah identifikasi aktivitas penting yang harus dipertahankan agar organisasi dapat terus
berfungsi.
Berdasarkan definisi ERM yang diuraikan di atas dan fakta bahwa ERM harus diterapkan pada
evaluasi proses inti, terlihat bahwa pendekatan ERM dan pendekatan analisis dampak bisnis sangat
mirip, karena kedua pendekatan tersebut didasarkan pada identifikasi. ketergantungan dan fungsi
utama yang harus ada untuk kelangsungan dan keberhasilan bisnis.
Aktivitas berikutnya berbeda antara ERM dan BCP, karena ERM berkaitan dengan pengelolaan
risiko yang dapat berdampak pada proses inti, sedangkan kelangsungan bisnis berkaitan dengan
tindakan yang harus diambil untuk menjaga kelangsungan aktivitas individu. Oleh karena itu,
pendekatan kesinambungan bisnis memiliki fungsi yang sangat spesifik dalam mengidentifikasi
tindakan yang harus diambil setelah risiko terwujud untuk meminimalkan dampaknya.
BCP berkaitan dengan komponen pengendalian kerugian yang membatasi kerusakan dan menahan
biaya, sebagaimana dijelaskan dalam Bab 13.
ERM di bidang energi dan keuangan

Manajemen risiko di sektor energi dan keuangan telah menjadi cabang disiplin ilmu yang berkembang
dengan baik. Di sektor keuangan, tujuan inisiatif ERM adalah untuk meningkatkan nilai pemegang
saham dengan:
meningkatkan permodalan dan efisiensi dengan memberikan dasar obyektif untuk

mengalokasikan sumber daya dan mengeksploitasi lindung nilai alami dan efek portofolio;
mendukung pengambilan keputusan keuangan dengan mempertimbangkan bidang-bidang yang mempunyai potensi dampak
buruk yang tinggi dan dengan memanfaatkan bidang-bidang yang mempunyai keuntungan berbasis risiko;
membangun kepercayaan investor dengan menstabilkan hasil dan melindungi mereka dari
gangguan dan dengan demikian menunjukkan pengelolaan risiko yang proaktif.
ERM di sektor energi sering kali bergantung pada fungsi perbendaharaan dan keahlian khusus dalam
melakukan lindung nilai terhadap harga satu barel minyak. Bidang manajemen risiko keuangan ini
sudah mapan, dengan departemen-departemen yang sangat besar dibentuk di banyak perusahaan
energi. Namun, praktik ERM di perusahaan energi masih sangat erat kaitannya dengan pengelolaan
risiko perbendaharaan.
Salah satu pendorong manajemen risiko di sektor keuangan adalah lingkungan peraturan. Bank
telah menerapkan Basel II selama beberapa waktu, dan bersiap untuk menerapkan persyaratan Basel
III pada tahun 2019. Sektor asuransi di Eropa juga akan tunduk pada persyaratan serupa, yang
ditetapkan dalam Petunjuk Solvabilitas II. Hal ini menimbulkan kewajiban lembaga keuangan untuk
mengukur eksposur mereka terhadap risiko operasional.
Output dari aktivitas manajemen risiko operasional (ORM) di lembaga keuangan adalah
kemampuan untuk menghitung modal yang harus disimpan sebagai cadangan untuk menutupi
konsekuensi dari terwujudnya risiko yang teridentifikasi. Dampak dari kegiatan ORM ini adalah risiko-
risiko akan dapat diidentifikasi dan dikelola dengan lebih baik, sehingga modal yang diperlukan untuk
memenuhi konsekuensi dari terjadinya risiko-risiko tersebut akan menjadi lebih rendah.
ORM dalam lembaga keuangan dapat dilihat sebagai penerapan khusus dari pendekatan ERM.
Kegagalan sistem perbankan dunia menimbulkan pertanyaan atas efektivitas kegiatan manajemen
risiko di bank dan khususnya efektivitas manajemen risiko operasional. Salah satu dampak krisis
keuangan dunia adalah pemberitaan kini secara rutin menyatakan bahwa: 1) risiko itu buruk; dan 2)
manajemen risiko gagal. Faktanya, pengambilan risiko sangat penting untuk keberhasilan organisasi.
Pernyataan bahwa manajemen risiko telah gagal di bank lebih sulit untuk dibantah. Namun
kenyataannya hal tersebut bukanlah kegagalan manajemen risiko
prinsip-prinsip yang menyebabkan krisis perbankan. Hal ini disebabkan oleh kegagalan dalam menerapkan
prinsip-prinsip tersebut dengan benar. Banyak bank melakukan dua kesalahan sekaligus:
Analisis risiko dan imbalan yang akurat tidak dilakukan, sehingga bank mengambil
keputusan berdasarkan imbalan yang tersedia, dan tidak mengambil pandangan
yang lebih seimbang mengenai risiko yang ada dalam mencari imbalan yang lebih tinggi.
Kuantifikasi tingkat risiko yang ada tidak akurat, karena bank mengambil pendekatan
yang agresif terhadap risiko sehingga kejadian-kejadian tertentu dianggap sangat
kecil kemungkinannya sehingga dapat diabaikan.
Analisis rinci mengenai krisis perbankan pada tahun 2008 berada di luar cakupan teks ini.
Namun, tampaknya krisis ini disebabkan oleh kegagalan dua model analisis risiko yang
berbeda. Pertama, bank berasumsi bahwa utang yang dikemas ulang, termasuk sub-prime
mortgage, akan terus menjadi komoditas yang dapat diperdagangkan di pasar, namun
ternyata tidak demikian.
Kedua, bank berasumsi bahwa pinjaman jangka pendek di pasar uang grosir akan terus
tersedia. Uang jangka pendek ini digunakan oleh bank agar mereka dapat terus
meminjamkan uang dalam jangka panjang dengan tingkat bunga yang lebih menguntungkan.
Runtuhnya pasar uang grosir tidak diantisipasi oleh model kredit yang digunakan oleh
sebagian besar bank.
Mengintegrasikan strategi dan kinerja

COSO menerbitkan 'Enterprise Risk Management: Integrated Framework' (COSO ERM
cube) pada tahun 2004. Tujuan publikasi tersebut adalah untuk membantu organisasi
melindungi dan meningkatkan nilai pemangku kepentingan dengan lebih baik. Sejak
diterbitkan, kubus COSO ERM telah diterapkan di berbagai jenis dan ukuran organisasi
untuk mengidentifikasi risiko, mengelola risiko sesuai dengan selera risiko, dan mendukung
pencapaian tujuan. Kubus COSO ERM dibahas lebih rinci di Bab 6.
Namun, COSO menyadari bahwa perlu adanya hubungan yang lebih kuat antara
strategi, risiko, dan kinerja. Sebagai tanggapannya, kerangka ERM yang diperbarui
diterbitkan oleh COSO pada tahun 2017 untuk menghubungkan harapan pemangku
kepentingan ERM dengan lebih jelas; risiko posisi dalam konteks kinerja organisasi; Dan
memungkinkan organisasi untuk mengantisipasi risiko dengan lebih baik.
'Manajemen Risiko Perusahaan: Mengintegrasikan dengan Strategi dan Kinerja' diterbitkan

pada bulan Juni 2017 dan memberikan kerangka kerja untuk meningkatkan manajemen risiko
untuk semua jenis dan ukuran organisasi. Hal ini mengemukakan argumen bahwa
mengintegrasikan praktik ERM di seluruh entitas akan membantu mempercepat pertumbuhan
dan meningkatkan kinerja. Sarannya adalah untuk mengembangkan tingkat manajemen risiko
yang sudah ada dalam aktivitas bisnis normal.
Framework COSO ERM yang diperbarui (2017) mengadopsi struktur komponen dan prinsip.
Hal ini dengan jelas membedakan antara ERM dan pengendalian internal dan meningkatkan
referensi terhadap selera risiko dan toleransi risiko. Tujuan dari revisi kerangka kerja ini adalah
untuk meningkatkan diskusi strategi, meningkatkan keselarasan antara kinerja dan ERM dan
secara lebih eksplisit menghubungkan ERM ke dalam pengambilan keputusan. Ada penekanan
yang lebih besar pada hubungan antara risiko dan nilai.
Selain itu, manfaat integrasi ERM juga ditekankan. Terakhir, kerangka kerja yang direvisi ini
menggarisbawahi peran budaya dalam pencapaian keberhasilan manajemen risiko perusahaan.
Kerangka kerja baru ini menguraikan prinsip-prinsip yang dapat diterapkan mulai dari
pengambilan keputusan strategis hingga kinerja. Ini mencakup seperangkat prinsip yang
disusun menjadi lima komponen yang saling terkait:
1. Tata Kelola dan Budaya: Tata Kelola menentukan arah organisasi dan menetapkan
tanggung jawab pengawasan terhadap ERM. Budaya berkaitan dengan nilai-nilai etika,
perilaku yang diinginkan, dan pemahaman tentang risiko.
2. Penetapan strategi dan tujuan: ERM, strategi dan penetapan tujuan bekerja sama dalam
proses perencanaan strategis. Selera risiko harus selaras dengan strategi dan tujuan
bisnis agar implementasi strategi berhasil.
3. Kinerja: Risiko-risiko yang dapat mempengaruhi pencapaian strategi dan tujuan bisnis
perlu diidentifikasi, dinilai dan diprioritaskan berdasarkan tingkat keparahannya dalam
konteks selera risiko, sehingga respons terhadap risiko dapat dipilih.
4. Tinjauan dan revisi: Dengan meninjau kinerja entitas, organisasi dapat mempertimbangkan
seberapa baik komponen ERM berfungsi dari waktu ke waktu dan mengikuti perubahan
substansial, serta revisi apa yang diperlukan.
5. Informasi, komunikasi dan pelaporan: ERM memerlukan proses yang berkesinambungan

proses memperoleh dan berbagi informasi yang diperlukan, baik dari sumber internal maupun eksternal,
yang mengalir ke atas, ke bawah, dan ke seluruh organisasi.
Dalam jangka panjang, ERM juga dapat meningkatkan ketahanan perusahaan – kemampuan untuk mengantisipasi
dan merespons perubahan. Hal ini membantu organisasi mengidentifikasi faktor-faktor yang tidak hanya mewakili
risiko, namun juga perubahan, dan bagaimana perubahan tersebut dapat berdampak pada kinerja dan memerlukan
perubahan strategi. Semua organisasi perlu menetapkan strategi dan menyesuaikannya secara berkala, selalu
waspada terhadap peluang yang selalu berubah untuk menciptakan nilai dan tantangan yang akan terjadi dalam
mengejar nilai tersebut.
Organisasi perlu mengidentifikasi kerangka kerja terbaik untuk mengoptimalkan strategi dan kinerja guna
mengintegrasikan ERM di seluruh organisasi untuk mencapai manfaat, termasuk:
Tingkatkan jangkauan peluang: Identifikasi peluang baru dan tantangan unik yang terkait dengan peluang
saat ini.
Identifikasi dan kelola risiko di seluruh entitas: Identifikasi dan kelola risiko di seluruh perusahaan untuk
mempertahankan dan meningkatkan kinerja.
Meningkatkan hasil positif dan mengurangi kejutan negatif: Identifikasi respons, kurangi kejutan dan biaya
atau kerugian terkait, sambil mengambil keuntungan dari perkembangan yang menguntungkan.
Mengurangi variabilitas kinerja: Mengantisipasi risiko yang akan mempengaruhi kinerja dan mengambil
tindakan yang diperlukan untuk meminimalkan gangguan dan memaksimalkan peluang.
Meningkatkan penerapan sumber daya: Menilai kebutuhan sumber daya secara keseluruhan, memprioritaskan
penerapan sumber daya, dan meningkatkan alokasi sumber daya.
Meningkatkan ketahanan perusahaan: Mengantisipasi dan merespons perubahan, tidak hanya untuk
bertahan hidup tetapi juga untuk berkembang dan berkembang.
Keberhasilan penerapan ERM

Manajer risiko mempunyai tanggung jawab untuk menjual nilai tambah manajemen risiko kepada
organisasi dan pemangku kepentingannya, namun hal ini bukanlah tugas yang mudah. Bagaimana
manajer risiko menjual nilai yang mereka hasilkan ketika nilai tersebut hanya dapat direalisasikan
ketika kejadian tak terduga terjadi, atau jika sistem pengendalian baru berhasil, ketika risiko tidak pernah terjadi?
Manajer risiko perlu mengingat bahwa implementasi sebenarnya dari program ERM
menghasilkan nilai tersendiri. Seringkali manajer risiko terlalu fokus pada keberhasilan pengelolaan
program sehingga mereka tidak punya waktu untuk mengomunikasikan nilai ini dengan jelas kepada
organisasi. Manajer risiko dapat menjadi musuh terbesar mereka sendiri karena salah satu elemen
kunci dari seorang praktisi yang sukses adalah semangat untuk berhasil menyesuaikan,
menerapkan, dan memelihara program ERM. Sejalan dengan itu, semangat ini merupakan
kelemahan karena praktisi perlu mengingat bahwa orang lain tidak selalu memiliki semangat yang sama.
Salah satu tantangan besar yang dihadapi program ERM adalah pengembangan 'gading'
mentalitas menara. Dalam skenario ini, semua pengetahuan dan aktivitas risiko didasarkan
pada satu departemen. Manajer risiko perlu merancang sistem yang mendorong migrasi metodologi dan
alat manajemen risiko ke dalam organisasi. Ada juga tindakan penyeimbangan yang diperlukan. Praktisi
tidak boleh memaksakan penggunaan proses manajemen risiko pada area operasional yang
nilainya kecil. Keberhasilan program ERM sangat penting karena program ini memiliki sistem
yang cukup fleksibel untuk bekerja sama dengan organisasi guna menangkap dan mengelola risiko-
risiko kritis dengan sukses tanpa menambah pekerjaan yang tidak perlu dalam mengelola risiko-
risiko tingkat rendah.
09
Pendekatan alternatif
Mengubah wajah manajemen risiko

Seperti halnya inisiatif manajemen apa pun yang tertanam dalam cara organisasi
beroperasi, inisiatif risiko yang berhasil pasti akan berkembang dan menjadi lebih
canggih. Perkembangan disiplin manajemen risiko, khususnya selama 10 tahun terakhir,
sangatlah dramatis. Selain itu, tingkat penerapan manajemen risiko dalam tata kelola
perusahaan juga sangat luas.
Banyak perkembangan baru dalam manajemen risiko yang muncul pada masa itu.
Pada tahun 1990an, para praktisi manajemen risiko biasa berbicara tentang manajemen
risiko yang terintegrasi atau holistik, namun kini terminologi yang diterima secara
universal untuk penerapan manajemen risiko secara luas di seluruh organisasi adalah
manajemen risiko perusahaan (ERM). Demikian pula, manajemen risiko operasional
(ORM) telah ditetapkan dan dikembangkan secara substansial dalam jangka waktu yang
lebih singkat, mungkin lima tahun.
Dalam banyak hal, fakta bahwa disiplin manajemen risiko terus berkembang dan
beradaptasi terhadap perubahan keadaan dapat dipandang bermanfaat.
Namun, ada bahaya bahwa para praktisi manajemen risiko akan terlihat menyampaikan
pesan yang selalu berubah dan karenanya tidak konsisten.
Hal ini tidak berarti bahwa manajemen risiko harus menjadi suatu disiplin ilmu yang
statis, namun penting untuk diingat bahwa mengubah dasar analisis dan saran
manajemen risiko yang diberikan dan tampaknya mengubah sifat proses manajemen
risiko, akan menyebabkan kebingungan. dan kurangnya minat di antara anggota dewan
senior.
Setiap tinjauan terhadap perubahan wajah manajemen risiko harus mengakui krisis
keuangan global dan peran manajemen risiko dalam perkembangan situasi ini. Ketika
krisis keuangan global berkembang,
Laporan surat kabar dan televisi terus-menerus mengulangi dua pesan: 'risiko itu buruk' dan
'manajemen risiko telah gagal'. Tak satu pun dari pernyataan ini yang benar. Penting bagi
organisasi untuk mengambil risiko yang tepat, dan kegagalan yang menyebabkan krisis
keuangan global adalah kegagalan dalam penerapan manajemen risiko, bukan kegagalan
manajemen risiko itu sendiri.
Tidak diragukan lagi bahwa mengambil risiko yang terlalu besar mungkin tidak tepat dan
dapat mengakibatkan kegagalan seluruh organisasi. Namun, berdasarkan pengalaman
banyak organisasi, mereka hampir selalu lolos dari permasalahan tersebut, atau (paling
tidak) berhasil bertahan. Pemahaman rinci mengenai tingkat risiko yang tertanam dalam
organisasi tidak dimaksudkan untuk menghentikan semua keputusan strategis yang berani.
Kesadaran akan risiko tidak seharusnya menghalangi organisasi untuk mengambil strategi
yang berisiko tinggi, namun keputusan akan diambil dengan kesadaran penuh akan risiko yang ada.
Organisasi harus terus mencari peluang dan, dari waktu ke waktu, menyadari bahwa ada
peluang bagus yang terlihat sangat berisiko. Organisasi mungkin masih mempunyai
keinginan untuk memulai strategi berisiko tersebut, namun tahap diskusi selanjutnya harus
mengenai bagaimana mengelola risiko sehingga tetap berada dalam kapasitas risiko
organisasi, dan bagaimana mengukur risiko sehingga dewan dapat mengambil risiko. tetap
menyadari paparan risiko yang sebenarnya.
Krisis keuangan global tidak mencerminkan kegagalan manajemen risiko. Hal ini
menunjukkan kegagalan dalam menerapkan prosedur dan protokol manajemen risiko secara
lengkap dan benar. Gambar 25.3 mengilustrasikan selera risiko suatu organisasi yang
agresif terhadap risiko. Ketika suatu organisasi bersifat agresif terhadap risiko, hal ini
membatasi rentang risiko yang akan dipertimbangkan oleh dewan, karena terdapat ruang
terbatas untuk mengidentifikasi risiko sebagai kemungkinan besar/berdampak besar.
Dengan kata lain, cakupan risiko bagi organisasi tersebut sangat terbatas dan akan
mengecualikan risiko-risiko yang perlu mendapat perhatian dewan.
Jika organisasi bersifat agresif terhadap risiko dan beroperasi dengan model yang sejalan
dengan Gambar 25.3 , maka sangat sedikit risiko prioritas signifikan yang akan teridentifikasi.
Hal ini akan mengakibatkan organisasi menciptakan 'risiko tertutup' bagi dewan yang
berpotensi membatasi diskusi dan analisis yang lebih luas. Namun, tidak ada yang salah
jika suatu organisasi bersikap agresif terhadap risiko. Jika sebuah organisasi bersifat agresif
terhadap risiko, terdapat peningkatan kebutuhan untuk meninjau kembali penilaian risiko,
menantang ruang lingkup dan hasil aktivitas analisis risiko, dan memastikan bahwa
pendekatan yang sangat dinamis terhadap manajemen risiko tetap dipertahankan.
waktu dan di semua tingkatan dalam organisasi.

Selain kekhawatiran mengenai manajemen risiko yang muncul akibat krisis keuangan
global, terdapat beberapa permasalahan lain yang menantang dalam manajemen risiko.
Konsep selera risiko dan sisi atas risiko merupakan gagasan yang berguna, namun diperlukan
upaya pengembangan lebih lanjut sebelum definisi dan penerapan konsep-konsep ini dapat
memberikan manfaat yang terjamin.
Mengelola risiko yang muncul

Semua organisasi prihatin terhadap perubahan dalam konteks eksternal dan internal yang
menimbulkan tantangan, ketidakpastian, dan peluang baru. Perubahan-perubahan ini dapat
dianggap sebagai risiko-risiko yang muncul yang dihadapi organisasi.
Namun, pertimbangan terhadap risiko-risiko yang muncul bisa jadi sulit kecuali organisasi
memahami dengan jelas sifat dari risiko-risiko yang muncul yang dihadapinya.
Risiko yang muncul dapat dibagi menjadi tiga kategori, sebagai berikut:
risiko baru yang muncul di lingkungan eksternal, namun terkait dengan strategi
organisasi yang ada – risiko baru dalam konteks yang diketahui;
risiko-risiko yang sudah ada dan sudah diketahui oleh organisasi, namun telah
berkembang atau mengubah keadaan yang memicu risiko – risiko-risiko yang diketahui
dalam konteks baru;
risiko yang sebelumnya tidak dihadapi oleh organisasi, karena risiko terkait dengan
perubahan proses inti – risiko baru dalam konteks baru.
Beberapa perkembangan bisnis telah meningkatkan tingkat risiko yang dihadapi oleh
organisasi dalam beberapa waktu terakhir, termasuk perpindahan ke pasar baru, penggunaan
teknologi baru, dan pengembangan rantai pasokan yang semakin kompleks.
Umumnya, peningkatan risiko ini akan berada di bawah kendali organisasi itu sendiri. Selain
itu, terdapat banyak risiko baru atau berkembang yang berada di luar kendali suatu organisasi,
termasuk:
perubahan iklim;
utang negara;
keamanan nasional;
mengubah demografi.
Ketika berupaya mengelola risiko-risiko yang muncul ini, organisasi harus mengevaluasi
apakah risiko-risiko tersebut harus diperlakukan sebagai risiko bahaya, pengendalian, atau peluang.
Tergantung pada aktivitas organisasi, banyak dari risiko yang muncul ini mungkin hanya
merupakan ancaman bagi organisasi atau merupakan peluang untuk pengembangan di masa
depan. Dalam beberapa kasus, risiko yang muncul hanya mewakili ketidakpastian tambahan
yang perlu dikelola.
Pertimbangan penting ketika memikirkan risiko yang muncul adalah kecepatan risiko
tersebut menjadi signifikan. Beberapa praktisi manajemen risiko menyebut kecepatan
perkembangan dan perubahan risiko sebagai kecepatan risiko.
Contoh bagus dari munculnya risiko adalah nanoteknologi. Nanoteknologi digunakan secara
luas dalam bidang medis dan, sampai batas tertentu, industri kosmetik untuk meningkatkan
efektivitas perawatan kosmetik pada kondisi kulit. Apakah ada risiko jangka panjang yang
akan muncul dari penggunaan nanoteknologi belum sepenuhnya diketahui.
Contoh bagus lainnya adalah yang berhubungan dengan penggunaan telepon seluler.
Ponsel sudah menjadi hal yang lumrah, namun teknologinya telah berkembang pesat selama
25 tahun terakhir. Sinyal telepon seluler jauh lebih kuat 25 tahun yang lalu. Oleh karena itu,
jika tuduhan kesehatan mulai muncul sehubungan dengan penggunaan ponsel, dampak
kesehatan tersebut kemungkinan besar terkait dengan teknologi yang tidak lagi digunakan.
Hal ini akan menjadi tantangan besar dalam memutuskan apakah bahaya kesehatan sudah
tidak ada lagi karena teknologi sudah berubah, atau apakah bahaya kesehatan sama
pentingnya dan akan terbukti terkait dengan teknologi saat ini.
Risiko nanoteknologi
Karena nanoteknologi adalah bidang yang sedang berkembang, terdapat perdebatan besar mengenai sejauh mana
nanoteknologi akan memberikan manfaat atau menimbulkan risiko bagi kesehatan manusia. Dampak nanoteknologi
terhadap kesehatan dapat dibagi menjadi dua aspek: potensi penerapan medis untuk menyembuhkan penyakit, dan
potensi bahaya kesehatan yang ditimbulkan oleh paparan bahan nano.
Ukuran material nano yang sangat kecil berarti bahwa material tersebut lebih mudah diserap oleh tubuh
manusia dibandingkan partikel berukuran lebih besar. Bagaimana partikel nano berperilaku di dalam organisme adalah
salah satu masalah besar yang perlu diselesaikan. Perilaku partikel nano merupakan fungsi dari ukuran, bentuk,
dan reaktivitas permukaannya dengan jaringan di sekitarnya. Terlepas dari apa yang terjadi jika partikel nano yang
tidak dapat terdegradasi atau terdegradasi secara perlahan terakumulasi dalam organ, kekhawatiran lainnya adalah
potensi interaksinya dengan proses biologis di dalam tubuh: karena permukaannya yang besar, partikel
nano yang terpapar pada jaringan dan cairan akan segera menyerap ke dalam tubuh. permukaannya beberapa
molekul makro yang mereka temui.
Banyaknya variabel yang mempengaruhi toksisitas berarti sulit untuk menggeneralisasi risiko kesehatan yang
terkait dengan paparan bahan nano; setiap material nano baru harus dinilai secara individual dan semua sifat
material harus diperhitungkan.
Masalah kesehatan dan lingkungan hidup terjadi di tempat kerja perusahaan yang memproduksi atau
menggunakan bahan nano dan di laboratorium yang terlibat dalam penelitian sains nano dan nanoteknologi. Dapat
dikatakan bahwa standar paparan debu di tempat kerja saat ini tidak dapat diterapkan secara langsung pada debu
partikel nano.

Dalam beberapa tahun terakhir, terdapat peningkatan minat terhadap topik ketahanan.
Mungkin tren ini dimulai dari pemerintah dan otoritas lokal atau kota.
Terdapat pengakuan pada tahun 1990an dan 2000an bahwa masyarakat pada umumnya,
dan komunitas pada khususnya, harus menjadi lebih tangguh. Kesadaran yang berkembang
ini awalnya muncul sehubungan dengan keadaan darurat sipil, serta bencana alam seperti
gempa bumi dan kejadian cuaca ekstrem. Meskipun kekhawatiran awal mengenai ketahanan
mungkin dimulai dengan pertimbangan tentang bagaimana merespons peristiwa-peristiwa
yang terjadi di wilayah yang luas, kekhawatiran yang lebih luas telah berkembang belakangan ini.
Meningkatnya kesadaran dan kepedulian terkait ketahanan terlihat jelas dengan adanya
penggantian British Standard BS
25999:2006 Bagian 1 'Kode Praktik – Manajemen Kontinuitas Bisnis' adalah
ISO 22301:2012 'Keamanan Masyarakat – Sistem Manajemen Kontinuitas Bisnis – Persyaratan'.

Sejumlah standar lain dalam seri ISO 22300 sedang dikembangkan dan ada upaya untuk
mengembangkan standar ketahanan di negara lain. Salah satu standar ketahanan yang paling
baik adalah Standar Ketahanan Organisasi (ASIS SPC.1–2009) yang diterbitkan oleh American
National Standards Institute.
Standar ASIS ini mengambil pandangan manajemen risiko di seluruh perusahaan, sehingga
memungkinkan organisasi mengembangkan strategi komprehensif untuk mencegah,
mempersiapkan, memitigasi, merespons, dan pulih dari insiden yang mengganggu jika
memungkinkan. Hal ini memungkinkan integrasi dengan ISO 31000. Hal ini juga kompatibel
dengan standar sistem manajemen ISO yang ada (seperti ISO 9001, ISO 14001, ISO 27001,
dan ISO 28000). Pendekatan keseluruhannya adalah bahwa organisasi yang berketahanan
perlu 'mencegah, melindungi dan mempersiapkan' terkait dengan sumber daya dan aset dan
pada saat yang sama mampu 'merespons, memulihkan, dan meninjau' ketika krisis terjadi.
Ketika berupaya menjadikan suatu organisasi lebih tangguh, penting untuk memiliki definisi
mengenai kondisi ketahanan yang diinginkan yang ingin dicapai. ISO 22300:2012 'Keamanan
Masyarakat – Terminologi' mendefinisikan ketahanan sebagai 'kapasitas adaptif suatu
organisasi dalam lingkungan yang kompleks dan terus berubah'. Ini adalah definisi yang
berguna, namun ketahanan sering dikaitkan dengan manajemen krisis, dan definisi ini tidak
secara eksplisit membahas perilaku organisasi selama krisis. Mungkin definisi yang lebih baik
adalah 'kapasitas suatu organisasi untuk secara konsisten mencapai keadaan yang diinginkan
setelah terjadi perubahan keadaan'. Definisi ini lebih mencakup pengelolaan krisis, serta
kemampuan untuk merespons peristiwa yang tidak terlalu dramatis atau mengganggu dengan
sukses.
Munculnya ketahanan adalah peluang bagi spesialis manajemen risiko dan kelangsungan
bisnis untuk bekerja sama guna memastikan pendekatan yang lebih terkoordinasi terhadap
manajemen risiko perusahaan, kelangsungan bisnis, dan manajemen krisis. Ada tiga perilaku
yang harus dicapai oleh suatu organisasi jika ingin mencapai peningkatan ketahanan:
kesadaran akan perubahan lingkungan eksternal, internal dan manajemen risiko,

sehingga terjaminnya perhatian terus-menerus terhadap ketahanan;
'mencegah, melindungi dan mempersiapkan' sehubungan dengan semua jenis sumber

daya, termasuk aset, jaringan, hubungan dan kekayaan intelektual;
'merespon, memulihkan, dan meninjau ulang' dalam kaitannya dengan peristiwa-peristiwa yang mengganggu,
termasuk kemampuan untuk merespons dengan cepat, meninjau pembelajaran dan beradaptasi.
Terakhir, perlu dicatat bahwa tren lain dalam struktur manajemen risiko dan standar
ketahanan tampaknya mulai muncul. Beberapa standar sedang bergerak menuju struktur
'plan–do–check–act’ (PDCA). Pendekatan ini sepenuhnya konsisten dengan pendekatan
rencana, implementasi, pengukuran, pembelajaran (PIML) untuk menerapkan inisiatif
manajemen risiko yang ditetapkan dalam Lampiran C. Standar ASIS secara eksplisit
mengikuti format PDCA. PIML lebih disukai daripada PDCA karena pendekatannya lebih
komprehensif dan analitis. Faktanya, kerangka kerja dan proses manajemen risiko yang
dijelaskan dalam ISO 31000 telah selaras dengan pendekatan PIML, setelah
'kepemimpinan dan komitmen' untuk kerangka kerja tersebut dan 'menetapkan konteks'
untuk tahapan proses (masing-masing) telah selesai.
Seiring dengan semakin pentingnya ketahanan, saran untuk mencapai ketahanan pun
semakin tersebar luas. Misalnya, kotak di bawah ini merangkum saran yang diberikan
kepada organisasi oleh Kantor Kabinet pemerintah Inggris.

Memasukkan ketahanan organisasi ke dalam mekanisme tata kelola harus memastikan bahwa pengelolaan risiko
terhadap infrastruktur penting yang disebabkan oleh bencana alam, kecelakaan besar, dan kerusakan
berbahaya lainnya dipertimbangkan oleh dewan. Oleh karena itu, kebutuhan ketahanan organisasi akan
menjadi masukan bagi keputusan investasi strategis dan pengadaan, manajemen risiko, dan diskusi dengan
mitra rantai pasokan. Hal ini akan memungkinkan pemilik dan operator infrastruktur untuk meningkatkan pemahaman
mereka tentang ketahanan infrastruktur mereka, mengukur keberhasilan strategi secara berkala, dan membuat
perubahan yang diperlukan untuk mengamankan penyampaian atau menyesuaikan dengan perubahan prioritas
organisasi.
Pendekatan yang berbeda

Pendekatan yang diadopsi oleh kerangka Canadian Criteria of Control (CoCo) (1995) yang
dihasilkan oleh Canadian Institute of Chartered Accountants didasarkan pada gagasan bahwa
budaya risiko organisasi adalah pertimbangan yang paling penting. Jika budaya risiko sudah
benar, maka keberhasilan pengelolaan risiko akan mengikuti. Kerangka kerja CoCo menyatakan
bahwa:
Seseorang melakukan suatu tugas, dipandu oleh pemahaman akan tujuannya (tujuan yang ingin dicapai) dan didukung oleh
kemampuan (informasi, sumber daya, perlengkapan dan keterampilan). Orang tersebut akan membutuhkan rasa komitmen
untuk melakukan tugasnya dengan baik seiring berjalannya waktu. Orang tersebut akan memantau kinerjanya dan lingkungan
eksternal untuk mempelajari bagaimana melakukan tugas dengan lebih baik dan tentang perubahan yang harus dilakukan.
Hal yang sama berlaku untuk tim atau kelompok kerja mana pun. Dalam organisasi orang mana pun, esensi pengendalian
adalah tujuan, komitmen, kemampuan, serta pemantauan dan pembelajaran.
Kubus COSO ERM mengacu pada lingkungan kontrol sebagai internal

lingkungan. Hal ini setara dengan lingkungan pengendalian yang dipertimbangkan dalam
kerangka CoCo. CoCo menyediakan sarana terstruktur untuk menganalisis lingkungan
pengendalian yang memungkinkan penilaian kuantitatif terhadap lingkungan pengendalian,
sehingga fitur perbaikan dapat diidentifikasi.
Kerangka kerja CoCo dibahas secara lebih rinci di Bab 33. Meskipun terdapat berbagai versi
pertanyaan CoCo, berikut ini adalah judul yang biasanya digunakan untuk mengevaluasi budaya
sadar risiko dalam organisasi yang menggunakan pendekatan CoCo:
tujuan, visi dan misi;
komitmen terhadap integritas dan nilai-nilai etika;
kemampuan, wewenang dan tanggung jawab;
pembelajaran dan pengembangan kompetensi.
Selain pendekatan CoCo, ada banyak standar manajemen risiko dan pengendalian internal
lainnya yang tersedia di seluruh dunia. Ruang lingkup dan tujuan standar ini bervariasi.
Misalnya, Buku Oranye yang diterbitkan oleh HM Treasury di Inggris dimaksudkan sebagai
panduan bagi departemen pemerintah pusat mengenai manajemen risiko.
Perkembangan penting dalam standar adalah munculnya konsep Governance Risk and
Compliance (GRC) dan hal ini dibahas lebih rinci pada Bab 35. Pendekatan yang mendasari
prinsip ini terkait dengan konsep tiga garis pertahanan dimana manajemen risiko berbeda-
beda. dan tanggung jawab pengendalian internal dialokasikan kepada manajemen senior,
fungsi spesialis risiko, dan audit internal. Pendekatan keseluruhan terhadap GRC didasarkan
pada pemisahan fungsi. Manajemen senior bertanggung jawab atas tata kelola dalam
organisasi, fungsi spesialis risiko bertanggung jawab atas aktivitas manajemen risiko, dan
jaminan atas kepatuhan yang memadai disediakan oleh audit internal.
Di Afrika Selatan, kode tata kelola perusahaan King yang sangat berpengaruh dan
terperinci diterbitkan pada tahun 2009, dan diperbarui menjadi King IV pada akhir tahun
2016. Manajemen risiko tetap penting dalam kode yang diperbarui dan panduan yang lebih
rinci diberikan tentang cara mencapainya. Dewan bertanggung jawab atas tata kelola risiko
dan pengungkapan, sedangkan manajemen bertanggung jawab atas desain manajemen
risiko, implementasi dan pemantauan rencana manajemen risiko.
Tanggung jawab rinci atas manajemen risiko diatur dalam Raja IV sehubungan dengan
tanggung jawab dewan atau badan pengatur perusahaan. Prinsip tata kelola risiko yang
ditetapkan dalam Raja IV adalah 'Badan pengatur harus mengatur risiko dengan cara yang
mendukung organisasi dalam menetapkan dan mencapai tujuan strategisnya'. Contoh-
contoh pilihan praktik risiko yang direkomendasikan untuk badan pengelola perusahaan
disajikan pada Tabel 9.1.
TABEL 9.1 Praktik risiko terpilih dari Raja IV
Tanggung jawab manajemen risiko
1 Mengambil tanggung jawab atas tata kelola risiko dengan menetapkan arah
bagaimana risiko harus didekati dan ditangani, yang mencakup:
peluang dan risiko terkait ketika mengembangkan strategi; Dan
dampak positif dan negatif terhadap pencapaian tujuan.
2 Mengevaluasi dan menyepakati sifat dan besarnya risiko yang dihadapi

organisasi harus bersedia untuk mengambil dan, khususnya, menyetujui:
selera risiko (risk appetite), yaitu kecenderungan untuk mengambil tingkat risiko
yang
sesuai; dan membatasi potensi kerugian yang dapat ditoleransi oleh
organisasi.
3 Melakukan pengawasan berkelanjutan terhadap manajemen risiko dan, khususnya,

mengawasi agar hal tersebut menghasilkan hal-hal berikut:
penilaian risiko dan peluang terkait konteks dan permodalan; penilaian

terhadap
potensi keuntungan atau peluang yang ditimbulkan oleh risiko; penilaian
ketergantungan organisasi terhadap sumber daya; desain dan penerapan

respons risiko yang tepat; pelaksanaan pengaturan kelangsungan
usaha; dan penanaman manajemen risiko dalam aktivitas dan budaya
bisnis.
Selain standar manajemen risiko dan tata kelola perusahaan

persyaratan, ada sejumlah standar khusus yang berlaku untuk manajemen risiko.
Secara khusus, sektor TI telah menghasilkan sejumlah standar yang dihormati dan
digunakan secara luas. Mungkin standar yang paling terkenal adalah Control
Objectives for Information and Associated Technology (COBIT). COBIT memberikan
praktik yang baik di seluruh domain dan kerangka proses serta menyajikan aktivitas
dalam struktur yang dapat dikelola dan logis. Pendekatan COBIT dijelaskan secara
lebih rinci pada kotak di bawah ini.
Tujuan Pengendalian untuk Informasi dan Terkait

Teknologi (COBIT)
Praktik baik yang dijelaskan dalam COBIT mewakili konsensus para ahli. Mereka sangat fokus pada
pengendalian, bukan pada eksekusi. Praktik-praktik ini akan membantu mengoptimalkan investasi yang
mendukung TI, memastikan pemberian layanan, dan memberikan ukuran untuk menilai ketika terjadi kesalahan.
Agar TI berhasil memenuhi kebutuhan bisnis, manajemen

harus menerapkan sistem atau kerangka pengendalian internal. Kerangka pengendalian COBIT
berkontribusi terhadap kebutuhan ini dengan:
membuat tautan ke persyaratan bisnis;
mengatur aktivitas TI ke dalam model proses yang diterima secara umum;
mengidentifikasi sumber daya TI utama yang akan dimanfaatkan;
mendefinisikan tujuan pengendalian manajemen yang harus dipertimbangkan.
Orientasi bisnis COBIT terdiri dari menghubungkan tujuan bisnis dengan tujuan TI, menyediakan metrik dan model
kematangan untuk mengukur pencapaiannya, dan mengidentifikasi tanggung jawab terkait pemilik bisnis dan proses
TI.
Struktur standar manajemen

ISO telah menghasilkan panduan tentang struktur standar sistem manajemen
yang diperlukan. Panduan ini disebut sebagai Lampiran SL dan sejumlah
standar yang ada telah diubah ke format ini, termasuk ISO 14001:2004
'Sistem Manajemen Lingkungan – Persyaratan dengan Panduan Penggunaan'.
Selain itu, ISO 22301:2012 'Keamanan Masyarakat – Manajemen Kontinuitas
Bisnis', yang dibahas lebih rinci di Bab 18, telah dipindahkan ke struktur baru
ini.
Nomor klausul utama dan judul seluruh standar sistem manajemen akan
menjadi sama, setelah Lampiran SL diadopsi sebagai standar. Setelah
bagian pendahuluan, standar sistem manajemen yang sesuai dengan
Lampiran SL akan disusun dengan klausul berikut:
1. Ruang Lingkup
2. Referensi normatif
3. Istilah dan definisi
4. Konteks organisasi
5. Kepemimpinan
6. Perencanaan
7. Dukungan
8. Operasi
9. Evaluasi kinerja
10. Peningkatan
Menarik untuk dicatat bahwa struktur tersebut tidak secara eksplisit menggambarkan kerangka
kerja dan proses sebagai item terpisah, seperti yang disajikan dalam ISO 31000.
Mungkin ini adalah salah satu alasan mengapa saat ini (April 2018) tidak ada rencana untuk
mengubah ISO 31000 ke format Annex SL. Namun demikian, struktur Annex SL
memungkinkan organisasi mengembangkan pendekatan mereka sendiri terhadap manajemen
risiko perusahaan untuk merancang pendekatan yang kompatibel dengan standar ISO lain
yang diterapkan dalam organisasi, termasuk standar ISO yang paling populer – ISO 9001
tentang manajemen mutu.
Banyak judul yang digunakan dalam Lampiran SL sudah tidak asing lagi bagi para
profesional risiko, termasuk Klausul 4: Konteks Organisasi. Klausul 4 dimaksudkan untuk
mengidentifikasi mengapa organisasi itu ada. Sebagai bagian dari menjawab pertanyaan ini,
organisasi perlu mengidentifikasi isu-isu eksternal dan internal yang dapat berdampak pada
hasil yang diharapkan, serta seluruh pemangku kepentingan dan kebutuhan mereka. Klausul
5: Kepemimpinan dan Klausul 7: Dukungan bekerja sama dan dapat dianggap setara dengan
arsitektur risiko, strategi dan protokol (RASP) sehubungan dengan Klausul 5, dan komponen
manajemen risiko tertanam seperti kepemimpinan, keterlibatan, pembelajaran, akuntabilitas
dan komunikasi (LILAC) sehubungan dengan Klausul 7.
Klausul 6: Perencanaan, Klausul 8: Operasi, Klausul 9: Evaluasi kinerja dan Klausul 10:
Perbaikan sama persis dengan rencana–implementasi–
pendekatan pengukuran-belajar (PIML) yang dijelaskan dalam buku ini. Pendekatan

PIML mirip dengan terminologi plan–do–check–act (PDCA) yang digunakan oleh
beberapa organisasi. Aspek penting dari Lampiran SL adalah bahwa tahap perencanaan
yang dijelaskan dalam Klausul 6 menetapkan dua sub-klausul:
tindakan untuk mengatasi risiko dan peluang;
sistem manajemen, tujuan dan perencanaan untuk mencapainya.
Ini berarti bahwa persyaratan untuk merencanakan dan melaksanakan tindakan untuk
mengatasi risiko dan peluang kini tertanam dalam ISO 9001 tentang manajemen mutu
dan akan tertanam dalam standar lain seiring dengan diperkenalkannya format Annex
SL secara bertahap.
Pelajaran penting bagi para profesional risiko, seiring dengan semakin banyaknya
standar sistem manajemen yang dipindahkan ke format Annex SL, adalah berupaya
memastikan bahwa inisiatif manajemen risiko perusahaan sepenuhnya selaras dengan
pendekatan Annex SL. Hal ini harus memastikan penerimaan yang lebih besar terhadap
inisiatif manajemen risiko perusahaan dalam organisasi. Satu hal penting yang perlu
diperhatikan adalah Klausul 8: Operasi digambarkan memiliki sebagian besar persyaratan
sistem manajemen, termasuk keseluruhan proses dan manajemen yang akan mencakup
kriteria yang memadai untuk mengendalikan proses.
Berdasarkan Klausul 8 dalam format baru ini, langkah-langkah umum dalam proses
manajemen risiko akan disertakan bagi organisasi yang memutuskan untuk mengadopsi
struktur Annex SL ketika menerapkan manajemen risiko perusahaan.
prakarsa.
Masa depan manajemen risiko

Tren yang muncul dalam manajemen risiko telah disebutkan di seluruh buku ini.
Pengembangan standar manajemen risiko internasional ISO 31000 tidak diragukan lagi
merupakan langkah maju yang penting bagi para praktisi manajemen risiko. Munculnya
peraturan tata kelola perusahaan yang lebih baik juga menambah profil praktik
manajemen risiko di banyak negara. Dampak krisis keuangan global masih terasa dan
masih banyak pertanyaan yang diajukan mengenai manajemen risiko dan mengapa hal
tersebut tidak berkontribusi lebih besar dalam menghindari krisis ini.
Tren penting lainnya mencakup pengembangan persyaratan pelaporan yang

ditingkatkan yang diterapkan pada semua jenis organisasi. Hal ini terutama berlaku
untuk organisasi yang terdaftar di bursa saham di seluruh dunia. Sistem informasi
manajemen risiko menjadi lebih berkembang dan canggih serta dapat menawarkan
manfaat yang signifikan bagi organisasi yang menggunakannya.
Terlepas dari semua perkembangan ini dan peningkatan profesionalisme serta
kompetensi para praktisi manajemen risiko, masih terdapat ruang untuk
mempertanyakan perkembangan manajemen risiko di masa depan.
Munculnya 'tata kelola, risiko dan kepatuhan' (GRC) telah disebutkan dan ini
merupakan langkah maju yang besar dalam struktur aktivitas manajemen risiko.
Kemunculan GRC, serta pemahaman yang lebih baik mengenai manfaat tiga lini
pertahanan, telah menempatkan organisasi pada posisi yang lebih baik dalam
mempraktikkan manajemen risiko. Para praktisi manajemen risiko menyadari
bahwa kedisiplinan mereka memberikan kontribusi yang besar dan mereka juga
menyadari bahwa aktivitas manajemen risiko harus diintegrasikan dengan aktivitas
manajemen lainnya. Dalam beberapa kasus, terdapat bahaya bahwa aktivitas
manajemen risiko akan terintegrasi dengan aktivitas audit, dan ketiga lini
pertahanan ini kemudian menjadi dua lini pertahanan.
Terdapat kebutuhan bagi organisasi untuk mengintegrasikan aktivitas risiko di
seluruh organisasinya, daripada memperlakukan aktivitas manajemen risiko
sebagai peran manajemen terpisah yang memerlukan informasi manajemen terpisah.
Mungkin inilah salah satu kelemahan utama penggunaan daftar risiko di banyak
organisasi. Daftar risiko merupakan gambaran aktivitas manajemen risiko dalam
organisasi, namun risikonya tidak ditinjau secara terus menerus.
Daftar risiko sering kali merupakan dokumen statis yang tidak banyak memberikan
manfaat bagi manajemen organisasi. Mungkin masa pencatatan risiko telah
berlalu, dan organisasi kini harus mengintegrasikan penilaian risiko, pencatatan
risiko, dan rencana tindakan risiko dalam informasi manajemen yang digunakan
untuk pengelolaan organisasi sehari-hari.
Inisiatif manajemen seringkali datang dan pergi. Pendekatan tertentu menjadi
populer untuk sementara waktu dan kemudian menghilang. Hal ini kecil
kemungkinannya akan terjadi pada manajemen risiko, karena persyaratan untuk
memiliki prosedur manajemen risiko telah menjadi keharusan di banyak sektor.
Selain itu, krisis keuangan global telah menghasilkan analisis rinci mengenai manfaat risiko ters
manajemen dapat membawa dan bagaimana hal ini dapat dicapai. Komentar singkat di bawah ini
menggambarkan bagaimana manajemen risiko dihargai di seluruh dunia dan mengapa manajemen
risiko tetap ada.
Manajemen risiko akan tetap ada

Setiap hari, manajer dan karyawan mempraktikkan manajemen risiko dengan membuat keputusan tentang apa
yang harus dilakukan, bagaimana, dan kapan melakukannya. Keputusan harus didasarkan pada faktor-faktor
seperti apakah organisasi memiliki kapasitas, apakah organisasi telah menyisihkan dana, dan apakah hal ini
akan berdampak pada unit bisnis lainnya.
ERM bukan sekedar tren yang berlalu begitu saja. Hal ini tetap ada dan didorong oleh masalah
tata kelola dan tuntutan masyarakat. Perusahaan, badan amal, dan organisasi sektor publik telah berhasil
menerapkan ERM.
Manajemen risiko tidak harus rumit atau memerlukan banyak sumber daya. Hal ini dapat disesuaikan
untuk memenuhi kebutuhan organisasi pada tahap awal dan dimodifikasi seiring dengan meningkatnya tingkat
kecanggihan dan kenyamanan proses. Ini adalah pendekatan sistematis dan proaktif untuk mengelola risiko.
Hal ini berarti area paparan berisiko tinggi dipahami, dikelola dan dikendalikan hingga tingkat paparan yang
dapat diterima sehingga organisasi terlindungi dengan baik untuk meminimalkan konsekuensi negatif. Hal ini
memungkinkan organisasi untuk fokus pada apa yang penting untuk dikendalikan versus apa yang mudah
dikendalikan.
Perkembangan masa depan dalam praktik ERM kemungkinan besar akan

terfokus pada dua bidang utama: pertama, memastikan aktivitas manajemen
risiko sepenuhnya tertanam dalam proses bisnis inti organisasi; dan kedua,
menunjukkan manfaat finansial yang terukur terkait dengan penerapan
inisiatif manajemen risiko perusahaan. Penanaman ERM dalam organisasi
dicapai melalui kepemimpinan, keterlibatan, pembelajaran, akuntabilitas dan
komunikasi (LILAC). Perkembangan dalam praktik manajemen risiko
operasional mungkin memimpin dalam pengukuran total eksposur risiko
suatu organisasi.
Sambil mempertimbangkan pengembangan berkelanjutan dari manajemen
risiko perusahaan, perlu juga dikomentari mengenai kuatnya munculnya
ketahanan sebagai persyaratan organisasi pada tahun 2010an. Rangkaian
standar ISO 22300 akan mencakup kelangsungan bisnis, manajemen krisis,
dan persyaratan yang lebih luas terkait ketahanan masyarakat pada
umumnya, dan organisasi pada khususnya. ISO 22301 tentang kelangsungan
bisnis dibahas di Bab 18 dan pentingnya standar lain dalam seri ISO 22300
dibahas di Bab 9.
Singkatnya, disiplin manajemen risiko perusahaan telah menjadi
sudah mapan dan akan tetap ada, namun harus mampu menunjukkan
manfaat finansial yang signifikan dan terukur. Manfaat finansial ini perlu
ditunjukkan dalam bentuk peningkatan keuntungan pada organisasi sektor
swasta dan dalam bentuk peningkatan efisiensi dan/atau pemberian layanan
yang bernilai uang di sektor publik.
BAGIAN KETIGA
Tugas beresiko
HASIL BELAJAR BAGIAN KETIGA

menjelaskan pentingnya penilaian risiko sebagai tahapan yang sangat penting dalam proses
manajemen risiko;
merangkum teknik penilaian risiko yang paling umum, ditambah kelebihan dan kekurangan
masing-masing teknik, termasuk SWOT;
menjelaskan pentingnya sikap jangka panjang suatu organisasi terhadap risiko dan bagaimana hal
tersebut mempengaruhi persepsi risiko;
menguraikan pilihan untuk mengklasifikasikan risiko menurut sifat, sumber, skala waktu, dampak
dan akibat risiko;
menjelaskan pentingnya sistem klasifikasi risiko dan menjelaskan fitur sistem yang ada, termasuk
PESTLE, FIRM dan 4P;
menjelaskan atribut masing-masing karakteristik dan mengilustrasikan melalui matriks risiko sifat
dan atribut suatu risiko dalam hal kemungkinan dan besarnya;
mengilustrasikan, dengan menggunakan matriks risiko, sikap risiko suatu organisasi dan
pentingnya konsep 'semesta risiko';
memberikan contoh penggunaan matriks risiko, termasuk penggunaannya untuk menunjukkan

respon risiko yang dominan di setiap kuadran (4T);
menjelaskan komponen utama pengendalian kerugian seperti pencegahan kerugian, pembatasan

kerusakan dan pengendalian biaya, serta memberikan contoh praktis;
merangkum pendekatan-pendekatan alternatif untuk mendefinisikan sisi positif risiko dan

penerapan pendekatan-pendekatan ini untuk proses-proses inti.
BAGIAN KETIGA BACAAN LEBIH LANJUT

Hillson, D (2016) Buku Panduan Manajemen Risiko: Panduan Praktis untuk Mengelola Berbagai
Dimensi Risiko, www.koganpage.com HM
Treasury (2004) Buku Oranye: Manajemen Risiko – Prinsip dan Konsep, www.hm
treasury.gov.uk
Standar Internasional ISO/IEC 31010:2009 Manajemen Risiko: Teknik Penilaian Risiko, www.iso.org
Asosiasi Konsultan Manajemen (2007) Sisi Atas Risiko, www.mca.org.uk Taylor, E
(2014) Manajemen Risiko Perusahaan Praktis, www.koganpage.com Pedoman
Manajemen Risiko Pemerintah WA (2011) , www.wa.gov.au
BAGIAN KETIGA STUDI KASUS
AA: Tata Kelola Risiko

Penilaian risiko secara grup mengharuskan unit bisnis untuk secara formal
meninjau risiko bisnis setiap triwulan. Pendekatan terhadap identifikasi,
analisis dan penilaian risiko ini memastikan tanggung jawab sehingga risiko
tersebut dikelola, dikendalikan dan dipantau. Berbagai macam risiko
dipertimbangkan melalui proses ini termasuk risiko yang berkaitan dengan
strategi, kinerja operasional, keuangan, rekayasa produk dan teknologi,
reputasi bisnis, sumber daya manusia, kesehatan dan keselamatan,
serta lingkungan. Penyebab dan konsekuensi dari masing-masing
risiko dipertimbangkan dan, jika diperlukan, dikaitkan dengan tujuan strategis
dan operasional.
Pengendalian manajemen yang dirancang untuk memantau dan
memitigasi risiko didokumentasikan. Pemilik risiko ditugaskan pada setiap risiko.
Respons risiko didasarkan pada penilaian potensi paparan risiko dan tingkat
toleransi yang diterima. Respons tersebut mencerminkan apakah kami
menerima risiko berdasarkan penilaian tingkat paparan dan pengendalian
mitigasi yang ada saat ini, jika memungkinkan, atau mengurangi risiko melalui
mitigasi tambahan agar sejalan dengan tingkat toleransi yang disyaratkan.
Tugas komite risiko termasuk memberi nasihat kepada dewan mengenai
selera risiko, toleransi, dan strategi grup secara keseluruhan. Komite risiko
dan dewan direksi telah meninjau dan menyetujui revisi selera risiko sejak kami
menjadi perusahaan publik.
kami menjadi perusahaan publik yang terdaftar.

Seperti halnya bisnis apa pun, kita menghadapi risiko dan ketidakpastian setiap hari.
Pengelolaan yang efektif akan menempatkan kami pada posisi yang lebih baik untuk dapat
mencapai tujuan strategis kami dan memanfaatkan peluang yang ada. Dewan
telah mempertimbangkan dengan hati-hati sifat dan besarnya risiko signifikan yang
ingin diambil dalam mencapai tujuan strategis grup dan memberikan keuntungan yang
memuaskan bagi pemegang saham.
Ekstrak yang diedit dari AA plc

Laporan dan Pembukuan Tahunan 2015
British Land: Penilaian kami terhadap risiko adalah landasannya
Secara internal kami telah melaksanakan beberapa proyek perubahan signifikan untuk
meningkatkan efektivitas operasional dan efisiensi bisnis kami.
Meskipun hal ini menimbulkan risiko operasional pada tingkat tertentu, kami yakin kami memiliki
orang-orang yang tepat untuk mengelola perubahan secara efektif. Pada tahun ini,
kami menyadari peningkatan risiko aktivitas teroris di aset kami dan telah menguji rencana
respons krisis kami untuk memastikan rencana tersebut kuat.
Di British Land, kami berpandangan bahwa penilaian risiko kami adalah landasan
strategi kami dan manajemen risiko yang tertanam dalam diri kami merupakan hal
mendasar dalam pelaksanaannya. Pendekatan terpadu kami menggabungkan pandangan
strategis dari atas ke bawah dengan proses operasional dari bawah ke atas yang
saling melengkapi.
Pendekatan top-down melibatkan peninjauan terhadap lingkungan eksternal tempat kita
beroperasi. Hal ini memandu penilaian risiko yang dapat kami ambil dalam mencapai tujuan
kinerja kami – inilah yang merupakan selera risiko kami. Evaluasi ini memandu tindakan
yang kami ambil dalam melaksanakan strategi kami. Indikator risiko utama (KRI) telah
diidentifikasi untuk setiap risiko utama kami dan digunakan untuk memantau eksposur risiko
kami. KRI ditinjau setiap triwulan oleh komite risiko untuk memastikan bahwa aktivitas bisnis
tetap sesuai dengan selera risiko kami.
Pendekatan bottom-up melibatkan identifikasi, pengelolaan dan pemantauan

risiko di setiap area bisnis kami. Dengan cara ini, manajemen risiko adalah
tertanam dalam operasi kita sehari-hari. Pengendalian proses ini dilakukan melalui pemeliharaan
daftar risiko di setiap area. Daftar risiko ini dikumpulkan dan ditinjau oleh komite risiko, dan risiko-
risiko signifikan yang baru muncul akan ditingkatkan untuk dipertimbangkan oleh dewan jika
diperlukan.
Ekstrak yang diedit dari British Land PLC

Laporan dan Pembukuan Tahunan 2015
Anjing Pemandu NSW/ACT: Daftar sisa risiko utama
Daftar (sebagian) sisa risiko utama yang diidentifikasi dalam Anjing Pemandu
Rencana manajemen risiko NSW/ACT dan pembaruan mengenai tindakan yang diambil untuk
memitigasi risiko-risiko ini adalah sebagai berikut:
1. Anjing pemandu tidak mencukupi untuk memenuhi permintaan. Pembiakan

Program ini menghasilkan 140 anak anjing dan 51 anjing pemandu yang diluluskan.
Kami akan terus meningkatkan jumlah anjing yang lulus setiap tahunnya, dan semakin
mengurangi waktu tunggu.
2. Instruktur yang tidak mencukupi untuk memenuhi pertumbuhan permintaan, karena
pengurangan jumlah instruktur telah mengurangi jumlah instruktur kami. Sepuluh
siswa instruktur orientasi dan mobilitas akan direkrut untuk memulai studi pada tahun 2016.
3. Pendanaan berkelanjutan dari Pusat Kesehatan Mata. Anjing pemandu

NSW/ACT melakukan upaya yang signifikan untuk menarik mitra pendanaan dan donor
dan bekerja sama dengan penggalangan dana internasional.
4. Potensi cedera klien saat memanfaatkan keterampilan mobilitas yang diajarkan
instruktur. Peninjauan terhadap risiko yang terlibat dalam penyampaian berbagai jenis
program layanan klien telah selesai dan program dengan risiko tinggi yang tidak
dapat diterima telah dihilangkan dari penawaran kami.
5. Kecelakaan kendaraan bermotor staf. Pelatihan pengemudi dan peningkatan pilihan kendaraan
dengan standar keselamatan akan terus berlanjut.
6. Perubahan staf di departemen penggalangan dana dan pemberian dana terencana
berpotensi mengakibatkan berkurangnya aliran pendapatan. Perekrutan telah
menghasilkan staf unggul yang dapat menyesuaikan diri dengan peran mereka dengan sangat
baik dan terbukti sangat efektif dalam tanggung jawab mereka.
Ekstrak yang telah diedit dari Guide Dogs NSW/ ACT

Laporan Tahunan 2015
10
Pertimbangan penilaian risiko
Pentingnya penilaian risiko

Pengenalan risiko dan pemeringkatan risiko bersama-sama membentuk komponen penilaian
risiko dalam proses manajemen risiko. Penilaian risiko melibatkan pengenalan risiko dan
pemeringkatan risiko tersebut untuk menentukan risiko signifikan yang dihadapi organisasi,
proyek, atau strategi. Hal ini didefinisikan dalam British Standard BS 31100 sebagai
keseluruhan proses identifikasi risiko, analisis risiko, dan evaluasi risiko. Karena masukan
manajemen risiko ke dalam strategi berfokus pada peningkatan pengambilan keputusan,
penilaian risiko merupakan masukan utama manajemen risiko ke dalam perumusan strategi.
Risiko mungkin melekat pada tujuan perusahaan, ekspektasi pemangku kepentingan,
proses inti, dan ketergantungan utama. Fitur mana pun yang dipilih sebagai titik awal,
penilaian risiko dapat dilakukan. Tujuan penilaian risiko adalah untuk mengidentifikasi risiko
signifikan yang dapat berdampak pada fitur yang dipilih.
Meskipun penilaian risiko sangat penting, hal ini hanya berguna jika kesimpulan penilaian
digunakan untuk menginformasikan keputusan dan/atau untuk mengidentifikasi respons
risiko yang tepat untuk jenis risiko yang sedang dipertimbangkan. Hal ini harus dianggap
sebagai titik awal dari proses manajemen risiko dan tentunya bukan merupakan tujuan akhir.
Ciri penting dalam melakukan penilaian risiko adalah memutuskan apakah risiko yang
teridentifikasi akan dievaluasi pada tingkat bawaan atau pada tingkat saat ini (atau sisa).
Penilaian risiko inheren dilakukan tanpa memperhitungkan pengendalian yang ada saat ini.
Pendekatan inilah yang direkomendasikan oleh auditor internal. Auditor internal akan
menunjukkan bahwa dua risiko dengan nilai kini atau nilai bersih yang sama mungkin
memiliki nilai bawaan atau nilai kotor yang berbeda secara signifikan. Penting untuk
mengetahui kapan hal ini terjadi.
Manfaat melakukan penilaian risiko inheren adalah perbedaannya
antara level saat ini dan level inheren dapat diidentifikasi. Hal ini akan memberikan indikasi
pentingnya tindakan pengendalian yang ada dan informasi tersebut digunakan oleh auditor
internal untuk membantu mengidentifikasi pengendalian penting dan menetapkan prioritas
audit. Meskipun pendekatan ini mungkin berguna, terdapat kesulitan besar dalam
mengidentifikasi nilai tingkat risiko yang melekat.
Praktisi kesehatan dan keselamatan, misalnya, lebih memilih melakukan penilaian risiko
dengan pengendalian yang ada saat ini. Pendekatan ini bisa menjadi pendekatan yang
lebih sederhana, meskipun hal ini bergantung pada asumsi bahwa pengendalian yang ada
akan selalu berjalan sesuai dengan efektivitas yang diasumsikan. Misalnya, jika penilaian
terhadap mesin x-ray sedang dilakukan, petugas keselamatan akan berasumsi bahwa
selungkup atau kabinet dalam keadaan baik dan risiko harus dinilai berdasarkan hal
tersebut. Auditor internal akan lebih mudah mengenali bahwa ruangan atau kabinet
merupakan faktor pengendalian yang sangat penting dan harus diperiksa secara rutin.
Pendekatan penilaian risiko

Ada beberapa pendekatan yang dapat diambil ketika merencanakan bagaimana melakukan
penilaian risiko. Salah satu keputusan penting adalah siapa yang akan dilibatkan dalam
pelaksanaan penilaian risiko. Terkadang penilaian risiko dilakukan oleh dewan direksi
sebagai upaya top-down. Penilaian risiko juga dapat dilakukan dengan melibatkan masing-
masing anggota staf dan manajemen departemen setempat. Pendekatan dari bawah ke
atas ini juga bermanfaat.
Pendapat dari chief executive officer (CEO) sangat penting, terutama karena membantu
menentukan sikap organisasi terhadap risiko secara keseluruhan.
Tidak ada keraguan bahwa CEO akan mampu memberikan pandangan yang terstruktur
dengan baik mengenai risiko signifikan yang dihadapi organisasi. Kerugian dalam
mengandalkan pendapat CEO adalah fokusnya cenderung pada risiko eksternal.
Meskipun para CEO akan mengkhawatirkan risiko pengelolaan keuangan dan infrastruktur,
risiko internal ini mungkin bukan menjadi perhatian atau area utama mereka
minat.
Secara umum, pendekatan keseluruhan organisasi terhadap penilaian risiko akan

sangat dipengaruhi oleh teknik penilaian risiko yang dipilih. Teknik tertentu memerlukan
keterlibatan individu tertentu dan memerlukan a
pendekatan khusus untuk melakukan penilaian risiko. Pendekatan yang diambil harus
konsisten dengan budaya organisasi.
Misalnya, jika suatu organisasi biasanya tidak mengadakan pertemuan dan lokakarya,
maka lokakarya mungkin bukan pendekatan yang paling tepat untuk melakukan penilaian
risiko. Demikian pula, jika budaya organisasi sangat bergantung pada laporan dan makalah
tertulis, hal ini mungkin merupakan cara terbaik dalam melakukan penilaian risiko.
Penggunaan perangkat lunak pemungutan suara menjadi populer belakangan ini. Bagi
organisasi seperti perusahaan media yang akrab dengan teknologi ini, ini mungkin merupakan
cara yang sangat tepat dalam melakukan penilaian risiko. Namun, bagi organisasi yang tidak
tertarik pada teknologi, penggunaan alat-alat tersebut mungkin dianggap sebagai gimmick
yang mengurangi nilai lokakarya.
Penggunaan perangkat lunak pemungutan suara dapat memberikan informasi tambahan
dalam lokakarya penilaian risiko. Tidak hanya memungkinkan untuk mengidentifikasi posisi
mayoritas dalam kaitannya dengan kemungkinan dan dampak terjadinya suatu risiko, namun
juga memungkinkan untuk mengidentifikasi penyebaran pendapat. Jika terdapat perbedaan
pendapat, hal ini perlu ditelaah, karena hal ini dapat mencerminkan kemungkinan
kesalahpahaman mengenai sifat risiko yang sedang dibahas.
Pertimbangan penting bagi organisasi adalah apakah proses penilaian risiko harus
dilakukan atas dasar top-down dan bottom-up. Dengan kata lain, akankah manajemen senior
memimpin proses penilaian risiko dalam organisasi dengan informasi yang diteruskan ke
bawah untuk validasi, atau akankah serangkaian latihan penilaian risiko dilakukan mulai dari
tingkat operasional? Tabel 10.1 memberikan contoh keuntungan dan kerugian melakukan
penilaian risiko top-down. Penilaian risiko yang bersifat top-down akan cenderung berfokus
pada risiko yang terkait dengan strategi, taktik, operasi, dan kepatuhan (STOC) dalam urutan
tersebut.
TABEL 10.1 Penilaian risiko dari atas ke bawah
Keuntungan Kekurangan
Kemungkinan besar akan menghasilkan pendekatan Manajer senior dan direktur cenderung
yang berskala perusahaan – risiko-risiko yang ada lebih fokus pada risiko eksternal organisasi.
di tingkat atas akan berdampak pada
keseluruhan bisnis.
bisnis.
Terbatasnya kesadaran terhadap

Risiko strategis yang paling signifikan bagi
risiko operasional
organisasi dapat ditangkap dengan cepat
internal atau saling ketergantungan
dan dapat dikelola. risiko dalam bisnis.
Menunjukkan dukungan manajemen risiko Bahayanya adalah pendekatan

dari atas, yang menghasilkan penerimaan ini menjadi terlalu dangkal, karena para
aktivitas manajemen risiko di semua manajer senior yakin bahwa mereka
tingkatan. mampu mengelola krisis.
Karena berasal dari atas, ada risiko baru yang muncul dari kegiatan operasional
metodologi yang konsisten di seluruh organisasi mungkin tidak sepenuhnya
organisasi. diidentifikasi.
Tabel 10.2 memberikan contoh keuntungan dan kerugian melakukan penilaian risiko dari
bawah ke atas. Seperti banyak aspek dalam inisiatif manajemen risiko perusahaan yang
sukses, organisasi harus memutuskan protokol dan prosedur penilaian risiko yang paling
sesuai. Jika pilihannya antara top-down dan bottom-up, organisasi harus memutuskan
apakah dukungan nyata manajemen senior terhadap inisiatif manajemen risiko lebih penting
daripada keterlibatan lebih besar dari orang-orang operasional. Penilaian risiko dari bawah
ke atas akan cenderung berfokus pada risiko yang diidentifikasi sebagai kepatuhan, bahaya,
pengendalian, dan peluang dalam urutan tersebut.
TABEL 10.2 Penilaian risiko dari bawah ke atas
Keuntungan Kekurangan
Dukungan yang signifikan di seluruh tingkat Fokus pada risiko eksternal atau
organisasi harus dicapai. risiko strategis akan berkurang.
Dapat dicerminkan pada bagan Memakan waktu dan mungkin menurunkan
organisasi yang ada dan dampak risiko di motivasi, jika diperlukan waktu lebih lama untuk
luar risiko operasional langsung dapat mengembangkan hasil perusahaan secara

didiskusikan. keseluruhan.
dapat didiskusikan. hasil.
Staf operasional mempunyai kesadaran Bahaya jika pendekatan ini

yang tinggi terhadap risiko lokal dan menjadi terlalu rinci dan tidak
penyebabnya, yang mungkin tidak diketahui jelas, sehingga menghasilkan
oleh tingkat manajemen yang lebih tinggi. pendekatan yang terisolasi dalam penilaian risiko.
Metodologi dapat bervariasi Risiko baru yang muncul dari

sesuai dengan norma dan budaya aktivitas operasional bisnis
setempat dan hal ini berguna bagi mungkin tidak dilaporkan oleh staf
organisasi multinasional. operasional.
Bagi sebagian besar organisasi, kombinasi penilaian risiko top-down dan bottom-
up akan dilakukan dengan manajer risiko mengumpulkan informasi dari sebanyak
mungkin pemangku kepentingan. Seringkali, kendala utama dalam melaksanakan
kegiatan bottom-up adalah komitmen waktu yang lebih besar yang diperlukan dari
departemen manajemen risiko untuk menghadiri dan/atau memfasilitasi serangkaian
kegiatan penilaian risiko.
Teknik penilaian risiko

Ada berbagai macam teknik penilaian risiko yang tersedia, dan Standar Internasional
ISO/IEC 31010 'Manajemen Risiko: Teknik Penilaian Risiko', diterbitkan pada tahun
2009. Standar ini memberikan informasi rinci tentang berbagai teknik penilaian risiko
yang dapat digunakan. Tabel 10.3 mencantumkan teknik penilaian risiko utama
yang umum digunakan dan juga memberikan penjelasan singkat tentang masing-
masing teknik tersebut. Mungkin pendekatan penilaian risiko yang paling umum
adalah penggunaan daftar periksa/kuesioner dan penggunaan sesi curah pendapat,
biasanya selama lokakarya penilaian risiko.
TABEL 10.3 Teknik penilaian risiko
Teknik Deskripsi singkat
Kuesioner Penggunaan kuesioner terstruktur dan daftar periksa

untuk mengumpulkan informasi yang akan membantu pengenalan
dan daftar periksa mengumpulkan informasi yang akan membantu mengenali risiko
signifikan.
Lokakarya Pengumpulan dan berbagi ide di lokakarya untuk membahas

dan peristiwa yang dapat berdampak pada tujuan, proses inti,
brainstorming atau ketergantungan utama.
Inspeksi dan Inspeksi fisik terhadap lokasi dan aktivitas serta audit
audit kepatuhan terhadap sistem dan prosedur yang ditetapkan.
Diagram alir Analisis proses dan operasi dalam organisasi untuk

dan mengidentifikasi komponen penting yang merupakan kunci
analisis keberhasilan.
ketergantungan
Keuntungan dari daftar periksa dan kuesioner adalah mudah diselesaikan dan tidak
memakan banyak waktu dibandingkan teknik penilaian risiko lainnya.
Namun, pendekatan ini memiliki kelemahan yaitu risiko apa pun yang tidak dirujuk oleh
pertanyaan yang tepat mungkin tidak dianggap signifikan. Analisis sederhana mengenai
kelebihan dan kekurangan masing-masing teknik penilaian risiko yang paling umum
disajikan pada Tabel 10.4.
TABEL 10.4 Kelebihan dan kekurangan teknik RA
Teknik Keuntungan Kekurangan
Kuesioner dan Struktur yang konsisten Pendekatan yang kaku mungkin

daftar periksa menjamin mengakibatkan beberapa
konsistensi risiko terlewatkan

Keterlibatan yang lebih besar Pertanyaan akan
daripada di bengkel didasarkan pada
pengetahuan sejarah
Lokakarya dan Konsolidasi Manajemen senior

brainstorming pendapat dari semua cenderung mendominasi
pihak yang berkepentingan Masalah akan terlewatkan
Interaksi yang lebih besar jika orang yang
menghasilkan lebih banyak terlibat salah
menghasilkan lebih terlibat

banyak ide
Inspeksi dan audit Bukti fisik Inspeksi paling sesuai

menjadi dasar opini untuk risiko bahaya
Pendekatan audit Pendekatan audit

menghasilkan cenderung
struktur yang baik berfokus
pada pengalaman historis
Diagram alir dan Keluaran bermanfaat Sulit digunakan untuk

analisis yang dapat risiko strategis
ketergantungan digunakan di tempat lain Mungkin sangat detail
Analisis menghasilkan dan
memakan waktu
pemahaman yang
lebih baik tentang proses
Mengingat bahwa risiko dapat dikaitkan dengan aspek lain dari suatu organisasi serta atau
bukan pada tujuan, cara yang mudah dan sederhana untuk menganalisis risiko adalah
dengan mengidentifikasi ketergantungan utama yang dihadapi oleh organisasi. Kebanyakan
orang dalam suatu organisasi akan mampu mengidentifikasi aspek-aspek bisnis yang
secara fundamental penting bagi keberhasilan masa depan. Mengidentifikasi faktor-faktor
yang diperlukan untuk sukses akan menghasilkan daftar ketergantungan utama bagi
organisasi.
Ketergantungan utama kemudian dapat dianalisis lebih lanjut dengan menanyakan apa
yang dapat berdampak pada masing-masing ketergantungan tersebut. Jika analisis bahaya
dilakukan maka pertanyaannya adalah: 'Apa yang dapat melemahkan masing-masing
ketergantungan utama ini?' Jika risiko pengendalian teridentifikasi, maka pertanyaan yang
dapat diajukan adalah: 'Apa yang menyebabkan ketidakpastian mengenai ketergantungan
utama ini?' Untuk analisis risiko peluang, pertanyaannya adalah: 'Peristiwa atau keadaan apa
yang akan meningkatkan
status masing-masing ketergantungan utama?' Bagi banyak organisasi, kuantifikasi paparan
risiko merupakan hal yang penting dan teknik penilaian risiko yang dipilih harus mampu memberikan hasil yan
kuantifikasi yang diperlukan. Kuantifikasi sangat penting bagi lembaga keuangan

dan gaya manajemen risiko yang digunakan dalam organisasi ini sering disebut
sebagai manajemen risiko operasional (ORM).
Lokakarya risiko mungkin merupakan teknik penilaian risiko yang paling umum.
Brainstorming selama lokakarya memungkinkan pendapat mengenai risiko
signifikan yang dihadapi organisasi dapat dibagikan. Pandangan dan pemahaman
umum terhadap setiap risiko tercapai. Namun, kerugiannya adalah orang-orang
yang lebih senior dalam ruangan tersebut mungkin mendominasi pembicaraan,
dan menentang pendapat mereka mungkin sulit dan tidak disukai.
Untuk melakukan diskusi terstruktur pada lokakarya penilaian risiko, beberapa
struktur curah pendapat umum digunakan. Hal ini mungkin bersifat kualitatif atau
kuantitatif, tergantung pada tingkat analisis risiko yang diperlukan. Struktur
brainstorming kualitatif yang paling umum adalah analisis SWOT dan PESTLE.
SWOT merupakan analisis kekuatan, kelemahan, peluang dan ancaman yang
dihadapi organisasi. Analisis SWOT mempunyai manfaat karena juga
mempertimbangkan sisi positif risiko dengan mengevaluasi peluang di lingkungan
eksternal. Salah satu kelebihan analisis SWOT adalah dapat dikaitkan dengan
keputusan strategis. Namun karena bukan merupakan sistem klasifikasi risiko
yang terstruktur, maka ada kemungkinan tidak seluruh risiko dapat teridentifikasi.
Pendekatan kualitatif umum lainnya adalah analisis PESTLE yang

mempertimbangkan risiko politik, ekonomi, sosial, teknologi, hukum dan etika
(atau lingkungan) yang dihadapi oleh organisasi. Tabel 11.3 membahas sistem
klasifikasi risiko PESTLE secara lebih rinci. PESTLE adalah struktur mapan
dengan hasil yang terbukti dalam melakukan sesi curah pendapat selama
lokakarya penilaian risiko.
Banyak organisasi ingin melakukan evaluasi kuantitatif terhadap kemungkinan
terjadinya peristiwa risiko. Ada beberapa teknik yang tersedia untuk melakukan
evaluasi kuantitatif ini. Yang paling umum adalah studi bahaya dan pengoperasian
(HAZOP) dan analisis efek mode kegagalan (FMEA). Kedua teknik ini merupakan
pendekatan terstruktur yang memastikan tidak ada risiko yang dihilangkan.
Namun, keterlibatan berbagai ahli diperlukan untuk melakukan analisis kuantitatif
yang akurat.
Teknik HAZOP dan FMEA paling mudah diterapkan pada bidang manufaktur
operasi. Studi HAZOP sering dilakukan pada instalasi kimia berbahaya dan struktur
transportasi yang kompleks, seperti kereta api. Selain itu, studi HAZOP pada instalasi
kompleks, seperti pembangkit listrik tenaga nuklir, sering dilakukan. Mereka juga dapat
diterapkan pada analisis keamanan produk. Dalam kedua kasus tersebut, pendekatan ini
sangat analitis dan memakan waktu, namun pendekatan seperti ini diperlukan dalam berbagai
situasi.
Sifat matriks risiko

Ketika suatu risiko telah diakui sebagai risiko yang signifikan, organisasi perlu menilai risiko
tersebut sehingga prioritas risiko yang signifikan dapat diidentifikasi. Teknik untuk menilai risiko
sudah diketahui dengan baik, namun terdapat juga kebutuhan untuk memutuskan ruang lingkup
apa yang ada untuk meningkatkan pengendalian lebih lanjut. Pertimbangan ruang lingkup
perbaikan hemat biaya lebih lanjut merupakan pertimbangan tambahan yang membantu
identifikasi yang jelas mengenai prioritas risiko signifikan.
Organisasi perlu menetapkan ukuran kemungkinan risiko dan dampak risiko yang akan
digunakan di seluruh organisasi. Tabel 10.5 memberikan daftar umum definisi sehubungan
dengan kemungkinan risiko. Tabel 10.6 memaparkan definisi dampak yang akan digunakan
dalam organisasi pada umumnya. Dalam kedua kasus tersebut, terdapat empat definisi
berbeda yang diberikan dan hal ini akan menghindari kecenderungan bagi orang yang
melakukan penilaian risiko untuk memilih opsi tengah. Namun, banyak organisasi memutuskan
untuk memiliki lebih dari empat pilihan yang tersedia baik untuk kemungkinan maupun
dampaknya. Jumlah pilihan yang tersedia akan bergantung pada sifat, ukuran dan
kompleksitas organisasi.
TABEL 10.5 Definisi kemungkinan
Frekuensi Kemungkinan
Tidak Mungkin Dapat diperkirakan akan terjadi, namun hanya terjadi

terjadi 2 atau 3 kali selama 10 tahun di organisasi ini atau organisasi
serupa.
Kemungkinan Telah terjadi di organisasi ini lebih dari 3 kali di

10 tahun terakhir atau terjadi secara rutin di organisasi serupa, atau
10 tahun terakhir atau terjadi secara rutin di organisasi serupa, atau

dianggap memiliki kemungkinan yang wajar untuk terjadi dalam beberapa
tahun mendatang.
Mungkin Terjadi lebih dari 7 kali selama 10 tahun di organisasi ini atau
di organisasi serupa lainnya, atau keadaannya sedemikian
rupa sehingga kemungkinan besar akan terjadi dalam beberapa tahun
mendatang.
Hampir Telah terjadi 9 atau 10 kali dalam 10 tahun terakhir di organisasi

yakin ini, atau telah muncul keadaan yang hampir pasti menyebabkan hal
tersebut terjadi.
TABEL 10.6 Definisi dampak
Definisi Deskriptor
Kecil Tidak berdampak pada kesehatan pasien; sedikit penurunan

reputasi dalam jangka pendek; tidak ada pelanggaran hukum; kerugian
ekonomi yang dapat diabaikan dan dapat dipulihkan.
Sedang Dampak sementara yang kecil terhadap kesehatan pasien;

sedikit penurunan reputasi yang mungkin mempengaruhi kepercayaan untuk
waktu yang singkat; pelanggaran hukum yang mengakibatkan
peringatan; kerugian ekonomi kecil yang dapat dipulihkan.
Berat Dampak serius terhadap kesehatan; hilangnya reputasi secara serius yang
akan mempengaruhi kepercayaan dan rasa hormat untuk waktu yang lama;
pelanggaran hukum yang diakibatkannya; kerugian ekonomi besar yang
tidak dapat dipulihkan.
Kematian Katastropik atau penurunan kesehatan pasien secara permanen;

hilangnya reputasi secara serius yang merusak kepercayaan;
pelanggaran hukum yang serius; kerugian ekonomi yang besar dan
tidak dapat dipulihkan.
Ada banyak gaya matriks risiko yang berbeda. Bentuk yang paling umum adalah yang
menunjukkan hubungan antara kemungkinan terjadinya risiko
terwujud dan dampak dari kejadian tersebut apabila risiko tersebut terwujud. Selain kemungkinan
dan dampak, fitur risiko lainnya juga dapat direpresentasikan dalam matriks risiko. Misalnya,
ruang lingkup untuk mencapai peningkatan risiko lebih lanjut sering kali direpresentasikan
dengan menggunakan matriks risiko. Dalam hal ini, matriks risiko akan menunjukkan tingkat
risiko sehubungan dengan langkah-langkah tambahan yang dapat diambil untuk meningkatkan
pengelolaan risiko tersebut, dan dengan demikian menetapkan tingkat targetnya.
Matriks risiko dapat digunakan untuk mencatat hasil pelaksanaan pemeringkatan risiko dan
ini akan memberikan presentasi visual sederhana mengenai risiko signifikan yang telah dikenali
atau diidentifikasi. Dalam melakukan penilaian risiko, penting juga untuk mengurutkan risiko
berdasarkan selera risiko organisasi atau kriteria risiko yang telah ditetapkan. Tahapan
pemeringkatan risiko dalam ISO 31000 disebut sebagai analisis risiko dan tahap pemeringkatan
risiko digambarkan sebagai evaluasi risiko.
Suatu risiko dikatakan signifikan apabila risiko tersebut mempunyai dampak yang melebihi
uji tolok ukur signifikansi untuk jenis risiko tersebut. Identifikasi potensi risiko signifikan akan
dilakukan selama latihan pengenalan risiko. Penting untuk memutuskan:
besarnya kejadian jika risiko tersebut terjadi;
besarnya dampak peristiwa tersebut terhadap organisasi;
kemungkinan terjadinya risiko pada atau di atas tolok ukur;
ruang untuk perbaikan lebih lanjut dalam pengendalian.
Hal ini akan mengarah pada identifikasi yang jelas mengenai prioritas risiko-risiko signifikan.
Sebagian besar organisasi akan menemukan bahwa jumlah total risiko yang diidentifikasi
dalam lokakarya adalah antara 100 dan 200. Setelah pemeringkatan risiko selesai, biasanya
jumlah risiko signifikan prioritas yang dihadapi oleh organisasi akan diidentifikasi antara 10 dan
20 Terminologi yang digunakan dalam Panduan 73 adalah kombinasi dari kemungkinan dan
dampak suatu risiko, dan dianggap sebagai tingkat risiko, meskipun hal ini disebut oleh banyak
praktisi risiko sebagai tingkat keparahan risiko.
Ada banyak versi tabel alternatif yang memberikan definisi istilah yang digunakan untuk
menggambarkan kemungkinan dan dampak. Suatu organisasi perlu membuat definisinya
sendiri, berdasarkan ukuran, sifat dan kompleksitas organisasi tersebut.
Tabel 10.5 memberikan definisi umum mengenai kemungkinan dalam kaitannya dengan jumlah kejadian
ketika suatu peristiwa mungkin terjadi selama periode 10 tahun. Tabel 10.6 memberikan definisi dampak
yang dapat digunakan di rumah sakit yang mengutamakan keselamatan pasien.
Persepsi risiko
Ketika melakukan latihan penilaian risiko, sering kali peserta lokakarya memiliki pandangan berbeda
mengenai risiko. Ada beberapa cara untuk mengakomodasi perbedaan pendapat. Dalam beberapa kasus,
perangkat lunak pemungutan suara dapat digunakan untuk mengidentifikasi pandangan mayoritas.
Manfaatnya adalah sebagai cara sederhana untuk mengidentifikasi posisi rata-rata kelompok, sekaligus
menunjukkan penyebaran pendapat.
Namun, sering kali bermanfaat untuk mendiskusikan mengapa orang mempunyai pandangan berbeda
tentang suatu risiko. Dengan menyelidiki mengapa pandangan mereka berbeda, sering kali kita bisa
mencapai kesepakatan bersama. Hal ini akan memberikan manfaat bahwa langkah-langkah pengendalian
yang lebih tepat akan diidentifikasi dan diterapkan. Persepsi individu terhadap risiko akan dipengaruhi oleh
beberapa faktor. Hal-hal berikut ini dianggap meningkatkan kekhawatiran masyarakat umum sehubungan
dengan risiko tertentu terhadap kesehatan:
tidak disengaja (polusi) dan bukan sukarela (olahraga berbahaya);
didistribusikan secara tidak adil (ada yang diuntungkan, ada yang dirugikan);
tidak dapat dihindari dengan mengambil tindakan pencegahan pribadi;
timbul dari sumber yang asing atau baru;
dihasilkan dari sumber buatan manusia, bukan sumber alami;
menyebabkan kerusakan yang tersembunyi dan tidak dapat diperbaiki, mungkin bertahun-tahun setelah terpapar;
menimbulkan bahaya khusus bagi anak kecil atau wanita hamil;
bentuk ancaman kematian (atau penyakit/cedera) yang menimbulkan ketakutan tertentu.
Pandangan yang berbeda mengenai pentingnya suatu risiko dapat muncul pada tingkat senioritas yang
berbeda dalam organisasi. Hal ini berguna untuk proses penilaian risiko
menarik pendapat dari seluruh tingkat manajemen, sehingga perspektif risiko yang berbeda dapat
diidentifikasi. Sekali lagi, manfaat dari pendekatan ini adalah komunikasi risiko yang lebih baik,
pemahaman risiko yang lebih lengkap dan identifikasi tindakan pengendalian yang tepat dan
praktis.
Untuk memahami risiko yang dihadapi suatu organisasi dan dapat melakukan penilaian risiko
yang akurat, diperlukan pengetahuan yang luas tentang organisasi. Untuk menyelesaikan penilaian
risiko yang akurat yang dapat mengidentifikasi dengan benar risiko-risiko signifikan dan kemudian
melanjutkan dengan mengidentifikasi pengendalian-pengendalian penting adalah suatu latihan
yang memakan waktu dan sumber daya yang intensif.
Sehubungan dengan persepsi masyarakat terhadap risiko, masyarakat seringkali hanya
memiliki akses terhadap informasi yang tidak lengkap dan menjadi sasaran argumentasi yang kuat
dari para lobi dan kelompok kepentingan khusus lainnya. Oleh karena itu, pemahaman dan
persepsi masyarakat mengenai risiko mungkin tidak cukup terinformasi atau tidak sepenuhnya obyektif.
Jurnalis dan reporter berita mempunyai kewajiban untuk menyajikan berita dengan cara yang
obyektif dan tidak memihak, hal ini mungkin tidak mudah jika orang yang menerima informasi tidak
sepenuhnya memahami risiko yang ada.
Penilaian risiko pemerintah
Pemerintah akan menyediakan penilaiannya terhadap risiko yang berdampak pada masyarakat, cara pemerintah mengambil keputusan,
dan cara menangani risiko tersebut. Hal ini juga akan terjadi ketika pengembangan kebijakan baru menimbulkan potensi
risiko bagi masyarakat. Ketika informasi harus dirahasiakan, atau ketika pendekatannya menyimpang dari praktik yang ada, hal ini akan
menjelaskan alasannya.
Jika faktanya tidak pasti atau tidak diketahui, pemerintah akan berupaya memperjelas kesenjangan pengetahuan yang ada. Pihaknya akan
terbuka mengenai bagian mana yang melakukan kesalahan dan apa yang dilakukan untuk memperbaikinya.
HM Perbendaharaan

Gambar 10.1 memberikan ilustrasi empiris mengenai sikap risiko menggunakan
matriks risiko standar. Ini mewakili sikap risiko dari organisasi yang menghindari
risiko. Matriks sikap risiko kini menjadi lebih umum terdiri dari empat bagian.
Bagian-bagian tersebut dapat diwakili oleh 4C yaitu nyaman, hati-hati, prihatin
dan kritis. Sikap risiko mewakili pendekatan jangka panjang organisasi terhadap
risiko. Deskriptor ini juga dapat dilampirkan pada empat bagian matriks selera
risiko untuk menggambarkan pendekatan pengambilan risiko jangka pendek.
Hubungan antara sikap risiko dan selera risiko dibahas lebih lanjut pada Bab 25.
GAMBAR 10.1 Matriks sikap risiko
Area paling gelap pada Gambar 10.1 mewakili risiko kritis bagi organisasi. Bagi organisasi
yang agresif terhadap risiko, terdapat lebih sedikit risiko yang menjadi perhatian, sehingga
'semesta risiko' yang dipertimbangkan oleh dewan akan sangat terbatas. Ungkapan 'semesta
risiko' sering digunakan oleh auditor internal untuk mengidentifikasi prioritas audit. Bekerja
dengan 'alam semesta risiko' yang tertutup atau terbatas akan meningkatkan kemungkinan
terjadinya risiko signifikan yang tidak teridentifikasi yang berdampak pada organisasi. Setiap
pemangku kepentingan yang berbeda akan memiliki 'semesta risiko' yang berbeda dan
manajer risiko kemungkinan besar memiliki 'semesta risiko' yang mencakup semua risiko
yang telah diidentifikasi, ditambah risiko-risiko baru yang mulai muncul.
muncul.
Gambar 10.1 mengilustrasikan bahwa akan ada tingkat risiko yang dapat diambil dan
dimasukkan oleh organisasi ke dalam proses inti. Hal ini karena, terlepas dari kemungkinan
terjadinya risiko, dampaknya sangat kecil sehingga tidak signifikan jika risiko tersebut benar-benar
terjadi. Demikian pula, akan ada kemungkinan terjadinya suatu risiko yang dianggap sangat kecil
sehingga diasumsikan tidak akan terjadi, padahal akan sangat serius jika hal itu terjadi. Misalnya,
sebagian besar organisasi tidak mempertimbangkan konsekuensi dari pendaratan darurat jet
jumbo di lokasi mereka.
Krisis keuangan global adalah contoh keadaan dimana risiko-risiko tertentu dianggap sangat
kecil kemungkinannya sehingga dapat diabaikan. Beberapa bank bergantung pada pasar uang
grosir, namun kemungkinan kegagalan pasar ini dianggap terlalu kecil sehingga memerlukan
analisis lebih lanjut atau memerlukan pengembangan rencana darurat untuk merespons situasi
tersebut.
Di atas tingkat kemungkinan dan dampak minimum yang dapat ditoleransi, sejumlah risiko
dapat muncul. Secara umum, risiko dengan kemungkinan kecil/berdampak rendah akan dapat
ditoleransi, risiko dengan kemungkinan sedang/dampak sedang akan memerlukan beberapa
pertimbangan sebelum diterima, dan risiko dengan kemungkinan besar/berdampak tinggi tidak
akan dapat ditoleransi. Sikap keseluruhan suatu organisasi terhadap risiko dapat dijelaskan
dengan serangkaian 'kriteria risiko' dan ini adalah pendekatan yang diambil oleh ISO 31000.
Perlu dicatat bahwa tidak ada penyebutan risiko yang spesifik dalam ISO 31000 yang mendukung
pembahasan mengenai risiko. kriteria risiko. Perbedaan antara sikap terhadap risiko dan selera
terhadap risiko mungkin sulit dijelaskan, namun terdapat kesamaan dengan sikap terhadap
makanan dan selera terhadap makanan pada waktu tertentu. Sikap terhadap makanan merupakan
seperangkat kriteria yang ditetapkan atau jangka menengah hingga jangka panjang, namun
selera terhadap makanan mewakili kebutuhan segera untuk makan. Analisis yang sama dapat
diterapkan pada risiko, sehingga sikap risiko adalah kriteria risiko yang ditetapkan dan selera
risiko adalah kebutuhan yang lebih mendesak untuk mengambil risiko guna mencapai tujuan.
Organisasi perlu mengambil pendekatan risiko demi risiko ketika memutuskan apakah suatu
risiko dapat diterima. Organisasi yang berbeda akan menetapkan tingkat toleransi yang berbeda
dan ini akan menjadi indikasi sikap risiko. Banyak organisasi akan melakukan peninjauan risiko
secara kumulatif di mana semua eksposur risiko dijumlahkan, dan ini merupakan fitur dari
pendekatan manajemen risiko perusahaan. Organisasi kemudian akan dapat memutuskan
apakah paparan risiko secara keseluruhan dapat diterima dan dapat diterima
konsisten dengan sikap risiko organisasi.
Saat mempertimbangkan sikap, persepsi, dan selera risiko, ada baiknya kita merenungkan fakta
bahwa individu tertentu mungkin lebih khawatir terhadap risiko yang berdampak rendah dengan
kemungkinan terjadinya yang tinggi (seperti kecelakaan mobil) dibandingkan dengan risiko yang
berdampak besar. risiko yang kecil kemungkinannya terjadi (seperti gempa bumi). Perbedaan
pendekatan ini sering kali tercermin dalam proses penilaian risiko dan dapat mempengaruhi cara dalam
memprioritaskan risiko-risiko yang signifikan.
Ketika semua risiko yang berpotensi signifikan telah diidentifikasi, salah satu pendekatannya adalah
dengan menanyakan seberapa besar kemungkinan masing-masing risiko tersebut akan terwujud di
atas ambang batas pengujian signifikansinya. Risiko-risiko tersebut kemudian dapat diprioritaskan
menjadi kemungkinan tinggi, kemungkinan sedang, dan kemungkinan rendah. Pendekatan alternatifnya
adalah dengan memprioritaskan risiko-risiko yang berpotensi signifikan dalam urutan kemungkinan
dampak yang sama. Risiko-risiko tersebut kemudian disajikan dalam bentuk dampak tinggi, dampak
sedang, dan dampak rendah.
Ada perbedaan sikap dan persepsi dalam pendekatan ini. Pendekatan pertama didasarkan pada
seberapa besar kemungkinan risiko tersebut menjadi signifikan, sedangkan pendekatan kedua
didasarkan pada seberapa besar dampak risiko ketika hal itu terjadi. Tak satu pun dari pendekatan ini
yang lebih baik dibandingkan yang lain, dan pendekatan mana yang lebih disukai oleh masing-masing
anggota dewan (atau dewan kolektif itu sendiri) berkaitan dengan sikap terhadap risiko, sebagaimana
dinyatakan dalam kriteria risiko organisasi. Dampak yang terkait dengan suatu risiko biasanya diukur
dalam kaitannya dengan dampak terhadap keuangan, infrastruktur, reputasi dan/atau pasar (FIRM).
Salah satu persyaratan utama manajemen risiko adalah konsekuensi peristiwa berdampak tinggi
terhadap strategi, taktik, operasi, dan kepatuhan (STOC) organisasi dapat dikelola dengan sukses.
Risiko yang terlibat dalam membeli mobil
Sebagai contoh yang menyatukan gagasan tentang selera risiko dan bahaya, pengendalian dan
peluang risiko, pertimbangkan keputusan untuk membeli mobil. Saat memutuskan mobil mana yang
akan dibeli, ada kebutuhan untuk mengevaluasi toleransi bahaya dan penerimaan ketidakpastian, serta
jumlah uang yang akan diinvestasikan untuk peluang memiliki kendaraan baru. Bersama-sama,
komponen-komponen ini mewakili selera risiko untuk membeli dan menjalankan mobil. Untuk mendapatkan
keuntungan dalam mengambil risiko membeli mobil, manfaat yang diperoleh harus melebihi biaya
yang dikeluarkan.
Jika melakukan evaluasi pembelian mobil berbasis risiko bertujuan untuk membantu proses
pengambilan keputusan, manfaat yang diharapkan dari kepemilikan mobil harus ditetapkan. Hal ini
setara dengan mengidentifikasi tujuan yang terkait dengan kepemilikan mobil.
Sebenarnya kemampuan finansial dan kemampuan menjalankan mobil juga perlu diperhatikan. Saat
membeli kendaraan baru, pembeli perlu memastikan bahwa kendaraan yang dipilih tidak menimbulkan
risiko dan biaya lebih besar dari yang diperkirakan. Risiko yang terkait dengan kepemilikan kendaraan
meliputi asuransi, kerusakan, perbaikan, kecelakaan, biaya servis dan asuransi, serta harga pembelian
dan perkiraan penyusutan tahunan.
Asumsikan keputusan telah diambil untuk membeli mobil bergengsi berusia dua tahun. Harga mobil
akan jauh lebih murah dibandingkan kendaraan baru dan biaya penyusutannya akan jauh lebih sedikit
(risiko peluang). Namun, biaya perbaikan dan pemeliharaan mungkin lebih tinggi dibandingkan kendaraan
baru (risiko pengendalian). Paparan terhadap kecelakaan, pencurian dan biaya perbaikan akan sama untuk
sebagian besar kendaraan (risiko bahaya).
Ingatlah bahwa peluang risiko meningkatkan kemungkinan pencapaian manfaat
memiliki mobil. Risiko pengendalian meningkatkan ketidakpastian atau keraguan dalam mencapai
manfaat tersebut dan risiko bahaya menghambat pencapaian manfaat kepemilikan mobil.
11
Risiko jangka pendek, menengah dan panjang

Meskipun ini bukan sistem yang diformalkan, pengklasifikasian risiko ke dalam jangka pendek,
menengah, dan panjang membantu mengidentifikasi risiko yang terkait (terutama) dengan operasi,
taktik, dan strategi. Perbedaan ini tidak jelas, namun dapat membantu klasifikasi risiko lebih lanjut.
Faktanya, akan terdapat beberapa risiko jangka pendek terhadap proses inti strategis dan mungkin
terdapat beberapa risiko jangka menengah dan jangka panjang yang dapat berdampak pada proses
inti operasional. Selain itu, selalu ada persyaratan untuk memastikan kepatuhan dalam operasi, taktik,
dan strategi.
Bagi sebagian besar organisasi, sikap terhadap risiko kepatuhan didasarkan pada keinginan untuk
meminimalkan jenis risiko ini.
Risiko jangka pendek mempunyai kemampuan untuk mempengaruhi tujuan, ketergantungan utama
dan proses inti, dengan dampak yang bersifat langsung. Risiko-risiko ini dapat menyebabkan
gangguan operasional segera ketika peristiwa tersebut terjadi. Risiko jangka pendek sebagian besar
merupakan risiko bahaya, meskipun hal ini tidak selalu terjadi. Risiko-risiko ini biasanya terkait dengan
peristiwa-peristiwa mengganggu yang tidak direncanakan, namun juga dapat dikaitkan dengan
pengendalian biaya dalam organisasi. Risiko jangka pendek biasanya berdampak pada kemampuan
organisasi untuk mempertahankan proses inti yang efektif dan efisien yang berkaitan dengan
kelangsungan dan pemantauan operasi rutin.
Ada kebutuhan untuk memitigasi risiko jangka pendek.
Risiko jangka menengah mempunyai kemampuan untuk berdampak pada organisasi setelah
penundaan (pendek) setelah peristiwa tersebut terjadi. Biasanya, dampak risiko jangka menengah
tidak akan langsung terlihat, namun akan terlihat dalam beberapa bulan, atau paling lama satu tahun
setelah kejadian. Risiko jangka menengah biasanya berdampak pada kemampuan organisasi untuk
mempertahankan proses inti yang efektif dan efisien yang berkaitan dengan pengelolaan taktik,
proyek, dan program perubahan lainnya. Risiko jangka menengah ini sering dikaitkan dengan proyek,
taktik, peningkatan, dan lain-lain
perkembangan lainnya. Terdapat kebutuhan untuk mengelola risiko-risiko jangka menengah ini.
Risiko jangka panjang memiliki kemampuan untuk berdampak pada organisasi beberapa saat setelah
peristiwa tersebut terjadi. Biasanya, dampaknya dapat terjadi antara satu hingga lima tahun (atau lebih)
setelah peristiwa tersebut. Risiko jangka panjang biasanya berdampak pada kemampuan organisasi untuk
mempertahankan proses inti yang berkaitan dengan pengembangan dan penyampaian strategi yang
efektif dan efisien. Risiko-risiko ini terkait dengan strategi, namun tidak boleh dianggap hanya terkait
dengan manajemen peluang. Risiko yang berpotensi melemahkan strategi dan keberhasilan penerapan
strategi dapat menghancurkan lebih banyak nilai dibandingkan risiko terhadap operasi dan taktik. Meskipun
risiko jangka panjang dapat melemahkan organisasi, terdapat kebutuhan untuk memperhitungkan tingkat
risiko yang sesuai yang tertanam dalam strategi.
Gambar 11.1 menggambarkan risiko jangka pendek, jangka menengah, dan jangka panjang dilihat dari
sumber risikonya. Risiko timbul dari operasi, taktik dan strategi yang diterapkan oleh organisasi. Demi
kelengkapan, kategori risiko kepatuhan juga dimasukkan, karena ini merupakan kategori tambahan pada
operasi, taktik, dan strategi. Kebutuhan untuk merespons risiko berdasarkan apakah risiko tersebut timbul
dari strategi, taktik, operasi, atau kepatuhan (STOC) dirangkum dalam rangkuman, pengelolaan, mitigasi,
dan minimalisasi (EM3).
Tujuan dari ilustrasi manajemen risiko adalah untuk menunjukkan bahwa sumber risiko dapat menyebabkan
peristiwa yang memiliki konsekuensi.
GAMBAR 11.1 Representasi manajemen risiko
Ketika suatu peristiwa bahaya terjadi maka akan berdampak pada fitur organisasi yang
dapat menimbulkan gangguan. Oleh karena itu, peristiwa yang ditampilkan di tengah dasi
kupu-kupu akan dicantumkan berdasarkan komponen organisasi yang terkena dampak
peristiwa tersebut. Komponen tersebut adalah manusia, lokasi, proses dan produk (4P),
sebagaimana tercantum pada Tabel 3.2. Perlu dicatat bahwa 4P juga dapat dianggap
sebagai sistem klasifikasi risiko.
Penggunaan dasi kupu-kupu untuk mewakili manajemen risiko kini semakin umum.
Gambar 11.1 memberikan contoh penggunaan dasi kupu-kupu untuk mewakili tiga
komponen sumber risiko, kejadian dan dampak. Dalam representasi tingkat tinggi ini,
sumber risiko diidentifikasi sebagai strategis, taktis, operasional, atau kepatuhan. Dampak
direpresentasikan dengan menggunakan kartu skor risiko FIRM, seperti dijelaskan pada
Tabel 11.2. Yang menjadi pusat dari peristiwa tersebut adalah peristiwa, seperti yang
dijelaskan oleh komponen organisasi yang akan terkena dampak peristiwa tersebut.
Komponen-komponen ini direpresentasikan dengan cara yang sama seperti pada Tabel
3.2 sebagai orang, tempat, proses dan produk.
Sifat sistem klasifikasi risiko

Untuk mengidentifikasi semua risiko yang dihadapi suatu organisasi, struktur risiko
identifikasi diperlukan. Sistem klasifikasi risiko yang diformalkan memungkinkan organisasi untuk
mengidentifikasi di mana risiko serupa ada dalam organisasi.
Klasifikasi risiko juga memungkinkan organisasi untuk mengidentifikasi siapa yang harus bertanggung
jawab untuk menetapkan strategi pengelolaan risiko terkait atau serupa.
Yang terakhir, klasifikasi risiko yang tepat akan memungkinkan organisasi untuk mengidentifikasi
dengan lebih baik selera risiko, kapasitas risiko, dan total eksposur risiko dalam kaitannya dengan
masing-masing risiko, kelompok risiko serupa, atau jenis risiko umum.
Kartu skor risiko FIRM menyediakan struktur seperti itu, namun terdapat banyak sistem klasifikasi
risiko yang tersedia. Kartu skor FIRM dibuat berdasarkan berbagai aspek risiko, termasuk skala waktu
dampak, sifat dampak, apakah risiko tersebut berupa bahaya, pengendalian atau peluang, dan
keseluruhan paparan risiko serta kapasitas risiko organisasi. Judul kartu skor FIRM mengatur
klasifikasi risiko terutama yang bersifat finansial, infrastruktur, reputasi, atau pasar.
Kartu skor risiko FIRM juga dapat digunakan sebagai acuan untuk mengidentifikasi tujuan
perusahaan, ekspektasi pemangku kepentingan, dan yang paling penting, ketergantungan utama.
Kartu skor merupakan tambahan penting pada alat dan teknik manajemen risiko yang tersedia saat
ini. Hal ini disusun dengan menganalisis bagaimana setiap risiko dapat berdampak pada
ketergantungan utama yang mendukung setiap proses inti. Penggunaan kartu skor risiko FIRM
memfasilitasi penilaian risiko yang kuat dengan memastikan bahwa kemungkinan kegagalan dalam
mengidentifikasi risiko yang signifikan dapat dikurangi.
Seperti banyak keputusan manajemen risiko lainnya, organisasilah yang memutuskan sistem
klasifikasi risiko mana yang paling memenuhi kebutuhan dan persyaratannya. Selain diklasifikasikan
berdasarkan skala waktu dampaknya, risiko juga dapat dikelompokkan berdasarkan sifat risiko,
sumber risiko dan/atau sifat dampak atau besaran dan sifat akibat.
Organisasi akan memilih sistem klasifikasi risiko yang paling sesuai dengan ukuran, sifat dan
kompleksitasnya. Misalnya, bank dan lembaga keuangan lainnya hampir secara universal
mengklasifikasikan risiko menjadi risiko pasar, kredit, dan operasional. Sistem klasifikasi risiko lain
yang umum digunakan dan juga dapat digunakan untuk memberikan struktur pada lokakarya penilaian
risiko adalah analisis SWOT dan PESTLE.
Gambar 11.2 menyajikan versi operasional representasi dasi kupu-kupu

manajemen risiko, dan bukan gambaran umum tingkat tinggi yang disajikan pada Gambar 11.1.
Gambar 11.2 menggunakan dasi kupu-kupu untuk mewakili sumber potensi kerusakan pada
lokasi dan mempertahankan dampak keuangan, infrastruktur, reputasi, dan pasar. Sumber
potensi kerusakan bangunan diidentifikasi sebagai banjir, kebakaran, gempa bumi, dan
pembobolan.
GAMBAR 11.2 Dasi kupu-kupu dan risiko terhadap bangunan
Contoh sistem klasifikasi risiko

Tabel 11.1 memberikan ringkasan sistem klasifikasi risiko utama. Ini adalah kubus COSO
ERM, standar IRM, BS 31100 dan kartu skor risiko FIRM.
Ada kesamaan di sebagian besar sistem ini. Perlu dicatat bahwa mengidentifikasi risiko
sebagai: 1) bahaya, pengendalian atau peluang; 2) tinggi, sedang atau rendah; dan 3)
jangka pendek, jangka menengah dan panjang tidak boleh dianggap sebagai sistem
klasifikasi risiko formal.
TABEL 11.1 Sistem klasifikasi risiko
Standar atau Kubus COSO IRM Kartu skor
kerangka kerja ERM standar risiko PERUSAHAAN
Judul klasifikasi Strategis Keuangan Keuangan

Operasi Strategis Infrastruktur
Pelaporan Operasional Reputasi
Kepatuhan Bahaya Pasar
Banyak organisasi kesulitan menemukan sistem klasifikasi risiko yang sesuai.

Seringkali hal ini terjadi karena kurangnya perhatian terhadap sifat risiko yang sedang
diklasifikasikan. Representasi dasi kupu-kupu dari manajemen risiko
Proses ini menggambarkan bahwa dimungkinkan untuk mengklasifikasikan risiko berdasarkan

sumbernya, komponen organisasi yang terkena dampak peristiwa tersebut, dan dampak dan/
atau konsekuensi dari risiko yang terwujud.
Klasifikasi risiko jangka pendek, menengah dan panjang mewakili risiko operasional,
taktis dan strategis yang dihadapi oleh organisasi. Kategori gangguan pada organisasi yang
dijelaskan pada Tabel 3.2 menggunakan sistem klasifikasi sesuai komponen organisasi
yang terkena dampak. Ini adalah sistem klasifikasi risiko manusia, lokasi, proses dan produk
(4P). Kartu skor risiko FIRM yang dijelaskan pada Tabel 11.2 mengklasifikasikan risiko
berdasarkan dampaknya.
TABEL 11.2 Atribut kartu skor risiko PERUSAHAAN
Keuangan Reputasi Infrastruktur Pasar
Deskripsi Resiko yang bisa Risiko yang akan Resiko yang akan Risiko yang akan
berdampak pada tingkat efisiensi dan mempengaruhi keinginan berdampak pada

pengeluaran
pengelolaan uang serta disfungsi profitabilitas pelanggan untuk melakukan hal tersebut
berada dalam batas inti yang dicapai kesepakatan atau perdagangan pelang
perdagangan dan tingkat
proses retensi pelanggan
Risiko Intern Intern Luar Luar

internal atau eksternal
Biasanya Dapat Dikuantifikasi Kadang-kadang Tidak selalu Ya
Pengukuran Keuntungan dan kerugian Tingkat Sifat Pendapatan

(kinerja dari indikator internal) efisiensi dalam publisitas dan dari aktivitas
pengendalian keuangan proses dan operasi efektivitas profil pasar komersial
pemasaran
Pertunjukan Prosedur Proses Persepsi Kehadiran

celah Kegagalan Kegagalan Kegagalan Kegagalan untuk
prosedur untuk proses agar mencapai mencapai tekanan

mengendalikan dapat berjalan persepsi yang dibutuhkan di pa
risiko keuangan internal tanpa gangguan yang diinginkan

risiko keuangan gangguan persepsi
standar Proses Pemasaran Strategis

Mekanisme kontrol belanja modal kontrol Periklanan rencana
Pengendalian kerugian Reputasi dan bisnis
Pengendalian internal Pertanggungan perlindungan Peluang
Pendelegasian dan merek penilaian
pembiayaan risiko
wewenang
Terdapat kesamaan dalam cara pengklasifikasian risiko berdasarkan sistem klasifikasi risiko
yang berbeda. Namun terdapat juga perbedaan, termasuk fakta bahwa risiko operasional disebut
sebagai risiko infrastruktur dalam kartu penilaian risiko FIRM. COSO mempunyai pandangan
sempit terhadap risiko keuangan, dengan penekanan khusus pada pelaporan. Sistem yang
berbeda telah dirancang dalam keadaan yang berbeda dan oleh organisasi yang berbeda; oleh
karena itu, kategorinya akan serupa tetapi tidak identik. Dalam menjelaskan berbagai sistem
klasifikasi risiko, Tabel 11.1 mengilustrasikan bahwa banyak sistem klasifikasi menawarkan
kombinasi kategori sumber, kejadian, dampak dan konsekuensi.
British Standard BS 31100 menguraikan keuntungan memiliki sistem klasifikasi risiko. Manfaat-
manfaat ini termasuk membantu menentukan ruang lingkup manajemen risiko dalam organisasi,
menyediakan struktur dan kerangka kerja untuk identifikasi risiko, dan memberikan peluang untuk
menggabungkan jenis risiko serupa di seluruh organisasi. ISO 31000 tidak menyarankan sistem
klasifikasi risiko. Secara ringkas, contoh keuntungan memiliki sistem klasifikasi risiko, antara lain:
Akumulasi risiko yang dapat melemahkan ketergantungan utama atau tujuan bisnis dan
menjadikannya rentan dapat diidentifikasi dengan lebih mudah.
Tanggung jawab untuk meningkatkan pengelolaan setiap jenis risiko yang berbeda dapat
lebih mudah diidentifikasi/dialokasikan jika risiko diklasifikasikan.
Keputusan dan pengetahuan tentang jenis pengendalian yang akan diterapkan dapat diambil
dengan dasar yang lebih terstruktur dan terinformasi.
Keadaan dimana selera risiko organisasi terlampaui (atau kriteria risiko tidak diterapkan)
dapat lebih mudah diidentifikasi.
British Standard menyatakan bahwa jumlah dan jenis kategori risiko yang digunakan
harus dipilih agar sesuai dengan ukuran, tujuan, sifat, kompleksitas dan konteks
organisasi. Kategori tersebut juga harus mencerminkan kematangan manajemen
risiko dalam organisasi. Mungkin sistem klasifikasi risiko yang paling umum
digunakan adalah sistem yang ditawarkan oleh kubus COSO ERM dan standar
manajemen risiko IRM.
Namun, sistem klasifikasi risiko COSO tidak selalu membantu dan mengandung
beberapa kelemahan. Misalnya, risiko strategis mungkin juga terdapat dalam
operasional, pelaporan, dan kepatuhan. Terlepas dari kelemahan-kelemahan ini,
kubus COSO ERM digunakan secara luas karena merupakan pendekatan yang
diakui dan direkomendasikan untuk memenuhi persyaratan Sarbanes-Oxley Act.
Perlu dicatat bahwa kubus COSO ERM (2004) adalah versi COSO yang lebih
luas, dan juga mencakup persyaratan kubus Kontrol Internal COSO (2013) yang
baru saja diperbarui. Komponen pelaporan kubus Pengendalian Internal COSO
secara khusus berkaitan dengan keakuratan pelaporan data keuangan dan
dirancang untuk memenuhi persyaratan pasal 404 Sarbanes–Oxley Act.
Kartu skor risiko PERUSAHAAN
Keempat judul kartu skor risiko FIRM menawarkan sistem klasifikasi untuk risiko-
risiko yang menjadi ketergantungan utama dalam organisasi. Sistem klasifikasi juga
mencerminkan gagasan bahwa setiap organisasi harus memperhatikan keuangan,
infrastruktur, reputasi, dan keberhasilan pasarnya. Untuk memberikan cakupan
yang lebih luas terhadap kesuksesan komersial, judul kartu penilaian risiko FIRM
adalah sebagai berikut:
F Keuangan;
SAYA
Infrastruktur;
R Reputasi;
M Pasar.
Fitur-fitur kartu skor risiko FIRM disajikan pada Tabel 11.2. Keuangan dan
risiko infrastruktur dianggap bersifat internal organisasi, sedangkan risiko reputasi dan
pasar bersifat eksternal. Selain itu, risiko finansial dan pasar dapat dengan mudah diukur
secara finansial, sedangkan risiko infrastruktur dan reputasi lebih sulit diukur.
Dimasukkannya risiko reputasi sebagai kategori risiko tersendiri dalam kartu penilaian
risiko FIRM tidak diterima secara universal. Kadang-kadang ada pendapat bahwa
rusaknya reputasi merupakan konsekuensi dari timbulnya risiko-risiko lain dan tidak boleh
dianggap sebagai kategori risiko terpisah. Namun, jika kita mengambil pandangan risiko
yang lebih luas, menjadi jelas bahwa reputasi sangatlah penting. Hal ini sangat penting
ketika organisasi ingin menggunakan nama merek mereka untuk memasuki pasar
tambahan, atau mencapai 'peregangan merek' sebagaimana yang kadang-kadang disebut.
Bagaimanapun, terdapat argumen yang lebih luas bahwa semua risiko merupakan
konsekuensi dari keputusan bisnis yang lebih luas. Mengadopsi strategi tertentu,
menjalankan proyek dan/atau melanjutkan operasi yang sudah ada, semuanya melibatkan
risiko. Jika organisasi tidak melakukan aktivitas strategis, taktis atau operasional ini,
maka tidak akan ada risiko.
Sistem klasifikasi risiko PESTLE

Tabel 11.3 memberikan garis besar sistem klasifikasi risiko PESTLE.
PESTLE adalah akronim yang mewakili risiko politik, ekonomi, sosiologis, teknologi,
hukum, dan etika. Dalam beberapa versi pendekatan, huruf E akhir digunakan untuk
menunjukkan pertimbangan lingkungan yang lebih sempit. Sistem klasifikasi risiko ini
paling dapat diterapkan pada analisis risiko bahaya dan kurang mudah diterapkan pada
risiko keuangan, infrastruktur, dan reputasi.
TABEL 11.3 Sistem klasifikasi PESTLE
Kategori risiko Keterangan
Politik Kebijakan perpajakan, undang-undang ketenagakerjaan, peraturan

lingkungan hidup, pembatasan dan reformasi perdagangan, tarif dan stabilitas politik.
Ekonomis Pertumbuhan/penurunan ekonomi, suku bunga, nilai tukar dan tingkat

inflasi, tingkat upah, upah minimum, pekerjaan
jam kerja, pengangguran (lokal dan nasional), ketersediaan

kredit, biaya hidup, dll.
Sosiologis Norma dan harapan budaya, kesadaran kesehatan, laju pertumbuhan penduduk,
distribusi usia, sikap karir, penekanan pada keselamatan, pemanasan
global.
Teknologi Perubahan teknologi yang berdampak pada produk atau layanan Anda,
teknologi baru, hambatan masuk ke pasar tertentu, keputusan
keuangan seperti outsourcing dan rantai pasokan.
Hukum Perubahan undang-undang yang mungkin berdampak pada lapangan

kerja, akses terhadap bahan baku, kuota, sumber daya, impor/ekspor,
perpajakan, dan lain-lain .
Aspek Etis atau Etis dan lingkungan, meskipun banyak dari Lingkungan, faktor-faktor ini
bersifat ekonomi atau sosial.
Sistem klasifikasi risiko PESTLE sering dianggap paling relevan dengan analisis risiko
eksternal. Risiko eksternal dalam konteks ini dimaksudkan untuk merujuk pada konteks eksternal
yang tidak sepenuhnya berada dalam kendali organisasi tetapi dapat diambil tindakan untuk
memitigasi risiko tersebut. Seringkali disarankan agar sistem klasifikasi risiko PESTLE digunakan
bersama dengan analisis kekuatan, kelemahan, peluang dan ancaman (SWOT) yang dihadapi
organisasi. Analisis SWOT dari masing-masing enam kategori PESTLE direkomendasikan oleh
Orange Book.
Keuntungan sistem klasifikasi risiko PESTLE adalah memberikan analisis yang jelas mengenai
permasalahan yang harus ditangani dalam konteks eksternal.
Pendekatan PESTLE mungkin paling dapat diterapkan di sektor publik, karena faktor-faktor
eksternal yang dianalisis dengan pendekatan PESTLE sangat relevan.
Analisis PESTLE adalah struktur yang umum digunakan untuk tujuan identifikasi risiko dalam
lokakarya penilaian risiko. PESTLE juga dapat dianggap sebagai sistem klasifikasi risiko dengan
penekanan pada risiko bahaya. Ada
beberapa kelebihan dan kekurangan pendekatan PESTLE. Keuntungannya adalah sebagai berikut:
kerangka sederhana;
memfasilitasi pemahaman tentang lingkungan bisnis yang lebih luas;
mendorong pengembangan pemikiran eksternal dan strategis;
mengantisipasi ancaman bisnis di masa depan;
membantu mengidentifikasi tindakan untuk menghindari atau meminimalkan dampak ancaman;
memudahkan identifikasi peluang bisnis.
Namun, ada kelemahan tertentu yang terkait dengan penggunaan analisis PESTLE sebagai alat untuk
mengidentifikasi risiko. Kerugian tersebut adalah sebagai berikut:
dapat terlalu menyederhanakan jumlah data yang digunakan untuk mengambil keputusan;
perlu dilakukan secara teratur agar efektif;
membutuhkan keterlibatan orang-orang yang berbeda dengan perspektif yang berbeda;
akses terhadap sumber data eksternal yang berkualitas dapat memakan waktu dan biaya;
sulit mengantisipasi perkembangan yang mungkin mempengaruhi suatu organisasi di masa depan;
risiko mengambil terlalu banyak data sehingga sulit menentukan prioritas;
dapat didasarkan pada asumsi yang kemudian terbukti tidak berdasar.
Kepatuhan, bahaya, pengendalian

dan peluang
Mengkategorikan risiko berdasarkan sistem klasifikasi risiko tunggal tidak selalu membantu. Memahami
skala waktu dampak saja mungkin tidak cukup, terutama jika sifat dampaknya lebih penting. Oleh karena
itu, akan selalu ada kesulitan dalam sistem pengkategorian risiko yang sederhana.
Setiap organisasi harus mengidentifikasi sistem klasifikasi risiko yang sesuai dengan kebutuhan khusus
dan sifat risiko yang dihadapi organisasi.
Risiko perlu diklasifikasi berdasarkan sumber atau dampaknya serta skala waktu
dampaknya. Oleh karena itu, kombinasi kartu skor risiko FIRM dan klasifikasi risiko sebagai
risiko bahaya, pengendalian, dan peluang dapat digunakan untuk memberikan gambaran
yang lengkap.
Dimungkinkan untuk merancang matriks risiko pribadi yang mengklasifikasikan risiko
berdasarkan kartu skor risiko FIRM dan juga mengklasifikasikannya berdasarkan jangka
pendek, jangka menengah, atau jangka panjang. Hal ini akan memberikan grid permasalahan
yang akan membantu identifikasi seluruh risiko signifikan yang mungkin terjadi, dengan
menggunakan format yang mudah dipahami. Contoh grid yang lengkap disajikan pada Tabel
11.4, yang menyajikan permasalahan yang mungkin dihadapi seseorang sehingga risikonya
dapat diidentifikasi.
TABEL 11.4 Kisi-kisi masalah pribadi
Ketergantungan Jangka panjang Sedang Jangka pendek

ketentuan
Risiko keuangan Kesenjangan prosedur: Seberapa baik prosedur Anda dikelola

keuangan Anda?
1 Investasi Pengaturan pensiun Bagikan Kebiasaan bertaruh

Pembelian properti pembelian Pertanggungan
Peluang pengaturan
bisnis
2 Akomodasi Pengeluaran Pembelian mobil Belanja

Pola liburan Perilaku musim kereta api
tiket Bepergian
Kartu kredit pengaturan
Risiko infrastruktur Kesenjangan proses:

Seberapa baik tubuh Anda
memfasilitasi proses Anda?
3 Kesehatan Sejarah keluarga Medis Latihan

Gaya hidup pribadi perlakuan Alkohol dan obat-
Vegetarisme Diet obatan

Pertambahan berat badan Penyakit atau
Pertambahan berat badan Penyakit

atau kecelakaan
Pernikahan dan anak-anak Persahabatan Hobi

4 Emosional
Asal usul etnis Kosmetik Seks
Seks operasi
Risiko reputasi Kesenjangan persepsi: Bagaimana

persepsi Anda terhadap
kelompok sejawat Anda?
5 Pribadi Kepribadian Suasana hati dan Pakaian

Lingkungan perangai Kebersihan
Perilaku kriminal Pekerjaan amal pribadi
Sumbangan amal
6 Intelijen Profesional Kualifikasi Menghadiri

Pola perilaku Pelatihan redundansi
Berubah Pembelajaran
pekerjaan berkelanjutan
Risiko pasar Kesenjangan kehadiran:

Apa kehadiran Anda di
pasar?
7 Pekerjaan Pemilihan Karir Kegiatan

Pendidikan masyarakat
Keanggotaan masyarakat
Hadiah
pelatihan
8 Pendapatan Ambisi Pekerjaan Menjual
Senioritas paruh waktu ekstra harta benda
Penjualan Pekerjaan santai
saham
Banyak sistem klasifikasi risiko yang tidak memperhatikan risiko kepatuhan.

Risiko dapat diklasifikasikan menjadi bahaya, pengendalian dan peluang, atau dapat
diklasifikasikan menjadi jangka panjang, jangka menengah, atau jangka pendek. Jika salah satu dari ini
Jika sistem klasifikasi digunakan, maka ada kemungkinan risiko kepatuhan tidak dapat
teridentifikasi, karena risiko tersebut belum tentu sesuai dengan sistem klasifikasi berdasarkan
rentang waktu. Kesulitan lebih lanjut yang terkait dengan risiko kepatuhan adalah seringnya
diperlukan peristiwa pemicu. Dengan kata lain, suatu organisasi dapat terkena sejumlah risiko
kepatuhan namun mungkin sulit untuk mengidentifikasi masalah kepatuhan tertentu yang akan
menjadi masalah.
Tabel 11.4 mengilustrasikan keseimbangan permasalahan operasional, taktis dan strategis
untuk masing-masing dari empat judul kartu penilaian risiko FIRM. Dapat dilihat bahwa risiko
bahaya berkaitan erat dengan permasalahan infrastruktur dan risiko strategis lebih mungkin
timbul sehubungan dengan permasalahan yang berkaitan dengan pasar.
Sistem klasifikasi risiko yang dibahas dalam bab ini paling mudah diterapkan pada analisis
risiko bahaya, kecuali standar IRM dan kubus COSO ERM menawarkan risiko strategis
sebagai kategori risiko terpisah. Organisasilah yang akan memutuskan apakah memasukkan
kategori risiko strategis akan bermanfaat dan perlu. Kartu skor risiko FIRM menawarkan cara
untuk mengklasifikasikan risiko strategis dan proyek (atau taktis) berdasarkan dampak utama
yang terkait dengan risiko tersebut, jika risiko tersebut terwujud.
Seperti halnya proses inti lainnya dalam suatu organisasi, klasifikasi risiko yang dihadapi
proyek sangatlah penting, sehingga respons yang tepat terhadap setiap risiko dapat
diidentifikasi. Mengingat bahwa persyaratan dari setiap proyek adalah bahwa proyek tersebut
harus diselesaikan tepat waktu, sesuai anggaran dan sesuai spesifikasi, komponen-komponen
ini menawarkan cara untuk mengklasifikasikan risiko proyek. Daftar terpisah dapat dibuat
untuk risiko-risiko yang mengancam jangka waktu, risiko-risiko yang mengancam anggaran,
dan risiko-risiko yang akan mempengaruhi spesifikasi akhir, kinerja atau kualitas hasil proyek.
Klasifikasi risiko di sektor keuangan
Tidak ada sistem klasifikasi risiko standar yang dapat digunakan oleh semua jenis organisasi. Bank
menghadapi sejumlah besar risiko dan risiko ini biasanya dibagi menjadi tiga kategori utama yaitu risiko pasar,
risiko kredit, dan risiko operasional. Seringkali, kerangka dan arsitektur manajemen risiko berbeda
untuk berbagai jenis risiko.
Risiko pasar adalah risiko yang terjadi akibat fluktuasi pasar keuangan. Aset
dan kewajiban bank terkena berbagai macam volatilitas pasar, seperti perubahan suku bunga dan nilai
tukar mata uang asing. Risiko pasar pada dasarnya adalah risiko peluang yang diterima oleh bank.
Ketika bank memberikan pinjaman kepada nasabah, ada risiko bawaan berupa uang tidak kembali, dan
inilah risiko kredit. Risiko kredit hanyalah kemungkinan terjadinya kondisi buruk dimana nasabah tidak membayar
kembali jumlah pinjamannya. Ini terutama merupakan risiko pengendalian yang harus dikelola.
Risiko operasional berkaitan dengan kegagalan sistem internal, proses, teknologi dan manusia, dan
faktor eksternal seperti bencana alam, kebakaran, dll. Basel II mendefinisikan risiko operasional sebagai
'risiko kerugian langsung atau tidak langsung yang diakibatkan oleh tidak memadai atau gagalnya proses
internal, orang dan sistem atau dari peristiwa eksternal. Risiko operasional semakin menonjol karena adanya
kebutuhan untuk mengukur eksposur risiko operasional, meningkatnya penggunaan teknologi dan kesadaran
akan peran penting yang dimainkan oleh masyarakat dalam proses sektor keuangan. Risiko operasional
pada dasarnya adalah risiko bahaya yang harus dimitigasi.
12
Analisis dan evaluasi risiko
Penerapan matriks risiko

Penggunaan matriks risiko adalah cara yang sangat sederhana untuk menunjukkan tingkat risiko
yang diwakili oleh suatu peristiwa tertentu terhadap suatu organisasi. Matriks risiko biasanya
digunakan untuk mewakili tingkat risiko yang tersisa atau saat ini. Hal ini juga dapat disebut
sebagai risiko bersih. Ketika matriks risiko digunakan untuk menggambarkan tingkat risiko saat
ini, sumbu vertikal biasanya diberi label sebagai dampak. Namun, matriks risiko juga dapat
digunakan untuk mewakili tingkat risiko bruto atau risiko inheren, yaitu tingkat risiko sebelum
pengendalian diterapkan. Ketika matriks risiko digunakan untuk menggambarkan tingkat risiko
yang melekat, sumbu vertikal terkadang diberi label besarnya.
Konsep konsekuensinya sedikit berbeda. Dampak digunakan untuk mewakili keseluruhan
tingkat risiko yang dihadapi organisasi. Tingkat risiko atau dampak ini akan timbul karena adanya
konsekuensi yang mungkin terjadi. Oleh karena itu, 'konsekuensi' digunakan sebagai istilah yang
lebih luas yang memberikan rincian dan informasi lebih lanjut tentang seberapa sukses risiko
dikelola. Misalnya, kebakaran gudang dapat menimbulkan kerugian besar yang besarnya besar.
Jika organisasi sepenuhnya diasuransikan, dampaknya terhadap keuangan akan minimal. Namun,
dampak kebakaran dapat menjadi signifikan, jika (misalnya) pemangku kepentingan lain di sekitar
terkena dampaknya dan reputasi organisasi rusak.
Tabel 11.4 memaparkan berbagai permasalahan yang mungkin dihadapi oleh seorang individu.
Dengan menggunakan 'grid isu' ini, individu akan mampu mengidentifikasi prioritas risiko signifikan
yang mereka hadapi. Risiko-risiko tersebut diilustrasikan dalam matriks risiko yang ditunjukkan
pada Gambar 12.1. Setelah menempatkan berbagai risiko pada matriks risiko, kepentingan relatif
dari risiko tersebut dapat dengan mudah diidentifikasi. Pandangan keseluruhan kemudian dapat
diambil mengenai apakah profil risiko (atau paparan risiko) berada dalam batas yang dapat
diterima dan sesuai dengan selera risiko dan kapasitas risiko individu.
GAMBAR 12.1 Matriks risiko pribadi
Organisasi besar sering kali menggunakan matriks risiko sebagai alat untuk merangkum profil
risiko mereka. Matriks risiko sangat berguna dan dapat digunakan untuk berbagai aplikasi. Hal ini
juga dapat digunakan untuk mengidentifikasi jenis respons risiko yang paling mungkin dilakukan.
Dampak tidak sama dengan besarnya, karena suatu risiko mungkin mempunyai nilai yang tinggi
besarnya peristiwa, namun dampak dan konsekuensinya mungkin lebih kecil. Sebagai contoh
lain, sebuah perusahaan angkutan jalan raya mungkin mengalami kehilangan total salah satu
kendaraannya, namun tergantung pada keadaan sebenarnya, hal ini mungkin mempunyai
dampak keseluruhan yang sangat kecil terhadap bisnisnya. Hal ini terutama berlaku jika
perusahaan tidak memiliki pekerjaan yang cukup untuk memanfaatkan sepenuhnya jenis
kendaraan yang menyebabkan kerugian.
Tingkat risiko yang melekat dan saat ini

Banyak praktisi manajemen risiko menilai risiko pada tingkat saat ini (juga disebut sebagai
residu). Namun, auditor internal lebih memilih untuk melakukan penilaian risiko pada tingkat
yang melekat. Sebagaimana dibahas dalam Bab 10, terdapat keuntungan dalam
mempertimbangkan tingkat risiko yang melekat ketika melakukan penilaian risiko.
Mempertimbangkan tingkat yang melekat akan memungkinkan dampak dari tindakan
pengendalian individu dapat diidentifikasi. Gambar 12.2 mengilustrasikan pengaruh pengendalian
terhadap tingkat risiko. Pengendalian 1 merupakan pengendalian yang sudah ada dan
mengurangi risiko dari tingkat yang melekat ke tingkat saat ini (atau sisa) dan dapat dilihat
bahwa pengendalian ini mempunyai pengaruh utama terhadap kemungkinan terwujudnya risiko.
GAMBAR 12.2 Tingkat risiko yang melekat, saat ini, dan target
Pengendalian 2 pada Gambar 12.2 merupakan pengendalian tambahan yang akan

diterapkan untuk mengurangi risiko dari tingkat saat ini ke tingkat target. Hal ini dimaksudkan
untuk mempunyai pengaruh yang signifikan terhadap dampak risiko, namun mempunyai
pengaruh yang kecil terhadap kemungkinan terwujudnya risiko tersebut. Ada tiga tingkat
risiko yang penting pada matriks risiko yang ditunjukkan pada Gambar 12.2. Tingkat
inheren atau tingkat kotor adalah tingkat risiko yang akan muncul jika tidak ada
pengendalian. Tingkat saat ini adalah tingkat dimana risiko ada pada saat penilaian risiko,
ketika hanya Pengendalian 1 yang ada. Hal ini sering disebut sebagai tingkat risiko sisa.
Masalah dalam mendeskripsikan level saat ini sebagai level sisa adalah terdapat
implikasi bahwa level risiko bersifat statis dan organisasi tidak dapat mengambil tindakan
mitigasi risiko lebih lanjut. Penggunaan frasa 'tingkat saat ini' memberikan nuansa yang
lebih dinamis pada proses manajemen risiko sehingga frasa tersebut digunakan dalam
seluruh buku ini. Namun, tingkat risiko itulah yang menjadi kepentingan risiko
manajer adalah tingkat target. Hal ini diilustrasikan pada Gambar 12.2 dengan diperkenalkannya
Pengendalian 2, yang dimaksudkan untuk mengurangi dampak risiko, sehingga tingkat target
risiko berada dalam kuadran kiri bawah matriks risiko, atau zona toleransi/nyaman. .
Ketika berupaya menetapkan target tingkat risiko, sebuah konsep yang sering digunakan oleh
praktisi kesehatan dan keselamatan adalah berupaya mengurangi risiko ke tingkat 'serendah
mungkin yang dapat dipraktikkan secara wajar' (ALARP). ALARP adalah salah satu prinsip dasar
manajemen risiko untuk risiko kesehatan dan keselamatan. Pengelolaan risiko tidak perlu dilakukan
sampai pada titik di mana risiko tersebut dapat dihilangkan, namun pada titik di mana biaya
pengendalian tambahan akan melebihi manfaatnya. Konsep ALARP diilustrasikan pada kotak teks
di bawah ini.
Organisasi perlu menyetujui definisi kemungkinan dan dampak. Kemungkinan dan dampak
dapat digambarkan dalam bentuk rendah, sedang, tinggi, dan sangat tinggi. Banyak organisasi
perlu memberikan penjelasan yang lebih spesifik daripada deskripsi umum ini, tergantung pada
jenis risiko dan ukuran, sifat dan kompleksitas organisasi. Karena dampak digunakan untuk
menggambarkan rentang konsekuensi, maka lebih penting bagi organisasi untuk menggambarkan
dampak yang rendah, sedang, tinggi, dan sangat tinggi. Harus ada konsistensi antara definisi
yang digunakan untuk dampak dan uji tolok ukur signifikansi yang dijelaskan pada Tabel 12.1.
TABEL 12.1 Uji tolok ukur signifikansi risiko
Kartu skor Tes tolok ukur yang umum untuk mengetahui signifikansi
risiko PERUSAHAAN
Keuangan Dampak terhadap neraca 0,25% Laba dan

dampak kerugian 2,5% laba tahunan
Infrastruktur Gangguan terhadap operasional normal ½ hari Meningkatnya biaya

operasi melebihi anggaran 10%.
Harga Saham Reputasi turun 10%

Acaranya ada di TV nasional, radio atau surat kabar
Dampak Pasar pada neraca perputaran 0,5% Keuntungan dan kerugian dampak laba tahunan
1%.
dampak keuntungan tahunan 1%.

Serendah mungkin (ALARP)

Persyaratan agar risiko menjadi ALARP adalah hal yang mendasar dan secara sederhana
merupakan persyaratan untuk mengambil semua tindakan untuk mengurangi risiko jika hal tersebut wajar.
Dalam sebagian besar kasus, hal ini tidak dilakukan melalui perbandingan biaya dan manfaat secara eksplisit,
melainkan dengan menerapkan praktik dan standar baik yang relevan. Pengembangan praktik dan standar
yang baik dan relevan mencakup pertimbangan ALARP, sehingga dalam banyak kasus memenuhi standar
tersebut sudah cukup. Dalam kasus lain, ketika standar dan praktik baik yang relevan kurang terlihat, atau
tidak sepenuhnya dapat diterapkan, upaya-upaya harus dilaksanakan hingga pada titik di mana biaya yang
harus dikeluarkan untuk melakukan upaya-upaya tambahan (dalam hal uang, waktu atau masalah) akan
sangat tidak proporsional terhadap dampak yang ditimbulkan. pengurangan risiko lebih lanjut (atau
manfaat keselamatan) yang akan dicapai.
Kendalikan kepercayaan diri

Dampak yang diharapkan dari tindakan pengendalian individual diilustrasikan pada Gambar 12.2.
Organisasi tidak mungkin benar-benar yakin bahwa pengendalian akan selalu diterapkan
sepenuhnya dan akan seefektif yang diharapkan atau diperlukan.
Pengendalian perlu diaudit untuk memberikan keyakinan bahwa pengendalian yang dipilih telah
dirancang dan diterapkan dengan benar dan menghasilkan efek yang diinginkan.
Tingkat kepercayaan pengendalian juga dapat digambarkan pada matriks risiko. Jika efektivitas
suatu pengendalian tidak pasti, diharapkan variabilitas hasil yang lebih besar. Hal ini dapat
ditunjukkan pada matriks risiko dengan menggunakan lingkaran atau elips untuk mewakili suatu
risiko, bukan mewakili risiko sebagai satu titik pada matriks risiko. Dengan melakukan hal ini,
tingkat ketidakpastian atau variabilitas hasil dapat diilustrasikan sehubungan dengan kemungkinan
dan dampak terjadinya peristiwa tersebut.
Pertimbangan penting ketika melakukan penilaian risiko dan ketika mengevaluasi efektivitas
manajemen risiko secara umum, dan tindakan pengendalian risiko pada khususnya, adalah
tingkat kepercayaan yang harus diberikan pada pengendalian tertentu. Ada dua pertanyaan yang
perlu diajukan: 'Seberapa yakin kita bahwa ini merupakan pengendalian yang benar?' dan
'Seberapa yakin kami bahwa hal ini diterapkan sepenuhnya dan efektif dalam praktiknya?' Ketika
ada kepercayaan yang terbatas pada
efektivitas suatu pengendalian, maka audit internal akan berperan untuk menguji pengendalian tersebut dan
memberikan informasi mengenai kemungkinan tingkat variabilitas hasil, jika risiko tersebut terwujud.
Merupakan tanggung jawab auditor internal untuk memeriksa apakah pengendalian yang benar telah dipilih dan
bahwa pengendalian tersebut berfungsi dengan benar dalam praktiknya. Auditor internal mengacu pada pengendalian
yang efektif dan efisien ketika meninjau poin-poin ini. Penggunaan efektif dan efisien juga disertakan dalam buku ini
dalam kaitannya dengan proses inti organisasi. Melakukan pengujian pengendalian merupakan fungsi utama yang
dipenuhi oleh audit internal dan pentingnya pengujian pengendalian juga harus disadari oleh praktisi manajemen risiko.
Manajemen perlu menerima jaminan atas pengendalian yang memadai dan hal ini dapat berasal dari aktivitas
audit internal, atau pengukuran keluaran aktivitas dan proyek, serta dari laporan manajemen. Tanggung jawab untuk
merancang dan menerapkan pengendalian serta mengaudit efektivitas dan efisiensi pengendalian harus dialokasikan
dalam dokumentasi manajemen risiko.
4 Ts respon risiko bahaya

Gambar 4.1 memberikan diagram proses manajemen risiko. Diagram ini menguraikan tahapan proses manajemen
risiko dalam kaitannya dengan pengelolaan risiko bahaya. Opsi-opsi yang disajikan untuk respons risiko dapat
digambarkan sebagai 4T manajemen bahaya, yaitu: menoleransi, menangani, mentransfer, dan mengakhiri.
Respon risiko 4T dapat diilustrasikan pada matriks risiko sederhana dan hal ini dapat dilihat pada Gambar 15.1.
Angka ini menunjukkan bahwa pada masing-masing empat kuadran matriks risiko, salah satu dari 4T akan dominan,
sebagai berikut:
Toleransi akan menjadi respons yang dominan terhadap risiko-risiko dengan kemungkinan rendah/berdampak
rendah.
Perlakuan akan menjadi respons yang dominan terhadap risiko-risiko yang kemungkinan besar/berdampak rendah.
Transfer akan menjadi respons yang dominan terhadap risiko yang berdampak tinggi/kemungkinan kecil.
Penghentian akan menjadi respons dominan terhadap risiko berdampak tinggi/kemungkinan besar.
Respons terkait risiko pengendalian dan peluang dibahas di Bab 15. Pilihan untuk merespons risiko
peluang diidentifikasi sebagai 4E dan pengambilan keputusan sehubungan dengan peluang dijelaskan
dalam istilah 5E.
Penting untuk dicatat bahwa tanggapan-tanggapan ini direpresentasikan sebagai tanggapan yang
dominan atau yang paling mungkin terjadi di setiap kuadran, namun keadaan mungkin menentukan
bahwa tanggapan lain mungkin diperlukan juga, atau sebagai gantinya.
Respons yang berbeda dan/atau tambahan mungkin diperlukan, tergantung pada keadaan.
Misalnya, jika risiko berdampak besar/kemungkinan besar tertanam dalam aktivitas yang bersifat
penting, maka risiko tersebut mungkin tidak dapat dihindari. Dalam kasus ini, organisasi tidak mungkin
menghentikan risiko tersebut.
Kesulitan dalam menyajikan matriks risiko sederhana yang menunjukkan respons risiko 4T adalah
karena matriks tersebut bertemu di pusat. Tentu saja, hal ini tidak bisa sesederhana seperti yang
disarankan, karena perubahan kecil dalam kemungkinan dan dampak suatu risiko dapat
memindahkannya dari kuadran terminasi ke kuadran toleransi. Pendekatan yang sedikit dimodifikasi
yang membuat analisis ini lebih realistis dibahas di Bab 16.
Kesulitan praktis yang dihadapi banyak organisasi adalah bahwa mereka mungkin terpaksa
menahan risiko yang diketahui berada di luar selera risiko, atau bahkan kapasitas risiko organisasi.
Misalnya, otoritas pemadam kebakaran mungkin harus menerima keadaan di mana petugas pemadam
kebakaran akan menghadapi tingkat risiko kritis yang tidak mempunyai pilihan lain selain ditoleransi
oleh organisasi, meskipun semua pengendalian yang mungkin telah diterapkan. Ketika organisasi
harus menoleransi risiko yang berada pada tingkat kritis, biasanya diperlukan peningkatan pemantauan
terhadap risiko tersebut. Hal ini akan memungkinkan organisasi untuk memastikan bahwa mereka
mengambil kesempatan sedini mungkin untuk menerapkan pengendalian yang ditingkatkan segera
setelah pengendalian tersebut tersedia.
Signifikansi risiko
Saat melakukan penilaian risiko, sangatlah umum untuk mengidentifikasi seratus atau lebih risiko
yang dapat berdampak pada tujuan, proses inti, atau ketergantungan utama yang sedang
dipertimbangkan. Jumlah risiko ini tidak dapat dikelola sehingga diperlukan suatu metode untuk
mengurangi jumlah risiko yang dianggap sebagai masalah prioritas.
pengelolaan.
Agar suatu organisasi dapat berkonsentrasi pada risiko yang signifikan, diperlukan
pengujian signifikansi risiko. Tabel 12.1 memberikan saran mengenai sifat pengujian
benchmark yang dapat digunakan untuk menentukan apakah suatu risiko signifikan. Untuk
risiko yang mempunyai dampak finansial atau komersial, uji tolok ukurnya kemungkinan
besar didasarkan pada nilai moneter. Untuk risiko yang dapat mengganggu infrastruktur
atau operasional rutin organisasi, uji tolok ukur berdasarkan dampak, biaya, dan durasi
gangguan adalah hal yang tepat. Untuk risiko reputasi, tolok ukur yang paling mungkin
digunakan adalah berdasarkan publisitas buruk yang akan terjadi jika risiko tersebut
menjadi kenyataan.
Hal ini dapat bervariasi sesuai dengan sifat risiko dan apakah risiko tersebut bersifat
finansial atau non-finansial. Untuk organisasi besar, mengidentifikasi signifikansi pengujian
keuangan dapat dilakukan dengan beberapa cara. Banyak organisasi mempunyai prosedur
otorisasi untuk mengeluarkan uang, sehingga pengujian signifikansi risiko harus sesuai
dengan tingkat otorisasi, yang sering kali dituangkan dalam dokumen formal yang disebut
sebagai 'pendelegasian wewenang'.
Untuk organisasi besar, persetujuan dewan penuh mungkin diperlukan untuk pengeluaran
yang melebihi ambang batas keuangan tertentu. Ini merupakan indikasi jumlah uang yang
dianggap signifikan oleh organisasi. Tes lainnya mencakup persentase laba yang
dianggarkan untuk tahun tersebut atau persentase dari nilai neraca (atau cadangan)
organisasi. Biasanya, 5 persen dari laba tahunan atau 0,25 persen dari neraca atau 0,5
persen dari omset tahunan merupakan pengujian yang tepat untuk mengetahui
signifikansinya. Untuk organisasi dengan neraca sebesar £2 miliar, omset tahunan sebesar
£1 miliar, dan laba tahunan yang direncanakan sebesar £100 juta, ambang batas finansial
yang signifikan adalah £5 juta.
Batasan keuangan dapat digunakan untuk menguji apakah suatu risiko signifikan dalam
kaitannya dengan segmen risiko keuangan dan pasar pada kartu penilaian risiko FIRM.
Untuk segmen infrastruktur dan reputasi, mengidentifikasi uji tolok ukur signifikansinya
mungkin lebih sulit. Salah satu pengujian yang penting terhadap risiko infrastruktur adalah
dengan menanyakan apakah risiko tersebut akan mengganggu operasi normal selama
lebih dari (katakanlah) setengah hari. Untuk risiko reputasi, pengujian signifikansinya
mungkin dilakukan dengan menentukan bagaimana peristiwa tersebut akan dilaporkan.
Sebuah laporan di halaman depan surat kabar lokal atau pers nasional mungkin merupakan
indikasi bahwa suatu risiko harus dianggap signifikan.
Bagi suatu organisasi, ada kemungkinan bahwa auditor eksternal dapat mengindikasikan
bahwa jumlah £1 juta akan dianggap sebagai jumlah yang material ketika menyusun
laporan organisasi. Hal ini akan memberikan panduan kepada manajemen perusahaan
untuk menggunakan jumlah tersebut sebagai tolok ukur uji signifikansi, meskipun mungkin
lebih rendah dari perhitungan di atas. Menerapkan pengujian ini selama lokakarya penilaian
risiko dapat mengurangi jumlah risiko yang perlu dipertimbangkan lebih lanjut menjadi
sekitar 20 risiko. Tahap selanjutnya adalah mengidentifikasi seberapa besar kemungkinan
masing-masing dari 20 risiko yang berpotensi signifikan tersebut terwujud pada atau di
atas tingkat ambang batas keuangan. Matriks risiko dapat digunakan untuk mencatat dan
menampilkan hasilnya.
Kapasitas risiko
Ada beberapa aspek yang penting ketika sebuah organisasi memutuskan seberapa besar
risiko yang harus diambil. Pendekatan yang berbeda akan diambil untuk jenis risiko yang
berbeda. Resiko bahaya akan menimbulkan toleransi terhadap bahaya, resiko pengendalian
akan menimbulkan penerimaan pengendalian dan resiko peluang akan menimbulkan
selera investasi. Secara keseluruhan, organisasi akan mempunyai eksposur risiko total.
Ini adalah jumlah total risiko yang diambil organisasi dalam tiga kategori ini. Risiko
kepatuhan juga akan muncul, namun sebagian besar organisasi berupaya meminimalkan
risiko kepatuhan dan menerapkan kontrol kepatuhan yang diperlukan ke dalam proses inti.
Eksposur risiko adalah risiko aktual yang diambil oleh organisasi dan hal ini mungkin
tidak sama dengan selera risiko yang diyakini dewan sesuai untuk organisasi. Ada juga
ukuran risiko penting lainnya, yaitu kapasitas risiko organisasi. Ini adalah ukuran seberapa
besar risiko yang harus atau mampu diambil oleh organisasi. Semua cara menganalisis
risiko ini harus sesuai dengan sikap organisasi terhadap risiko.
Secara sederhana, selera risiko dewan harus berada dalam kapasitas risiko organisasi
dan lebih besar atau sama dengan eksposur risiko aktual yang dihadapi organisasi. Salah
satu faktor yang berkontribusi terhadap krisis keuangan global adalah bahwa lembaga-
lembaga keuangan tertentu dihadapkan pada tingkat risiko yang melebihi kemampuan
lembaga-lembaga tersebut dalam menanggung risiko.
Tidak pantas bagi sebuah organisasi untuk memulai sebuah proyek yang dapat menghabiskan
seluruh sumber dayanya. Kapasitas organisasi untuk menerima risiko akan bergantung pada
kekuatan keuangannya, ketahanan infrastrukturnya, kekuatan reputasi dan mereknya, serta
sifat kompetitif pasar di mana organisasi beroperasi.
Semakin cepat pasar berubah, semakin besar pula kapasitas risiko yang harus dimiliki
organisasi. Misalnya, jika suatu organisasi menghadapi perubahan teknologi yang signifikan,
pilihan strategisnya mungkin terbatas.
Pertimbangkan sebuah organisasi yang terlibat dalam pembuatan pemutar DVD ketika teknologi
streaming mulai mengambil alih. Organisasi akan dihadapkan pada risiko signifikan terkait
perubahan teknologi dan perlu mengembangkan model bisnis baru. Perusahaan harus
memperoleh peralatan produksi baru, keterampilan baru, dan pola distribusi baru. Mungkin saja
transfer ke teknologi baru dan risiko yang ditimbulkannya berada di luar sumber daya dan
kapasitas risiko organisasi. Jika hal ini terjadi, organisasi mungkin perlu menjajaki pilihan-pilihan
strategis, termasuk mencari mitra usaha patungan, mencari pembeli untuk bisnis tersebut, atau
sekadar menarik diri dari pasar.
Kotak di bawah ini memberikan contoh nyata dampak krisis keuangan global. Lembaga
keuangan yang dibahas di sini menemukan risiko tersebut
eksposur yang dihadapinya lebih besar dari kapasitas risikonya. Menyadari situasi tersebut,
lembaga keuangan tersebut kemudian mengeluarkan pernyataan kepada pemegang saham.
Dalam contoh ini, bank dengan jelas menyatakan bahwa eksposur risikonya melebihi selera
risiko organisasi dan bahkan kapasitas risikonya. Banyak keadaan yang akan muncul ketika
organisasi dihadapkan pada risiko yang dapat menghancurkan mereka jika risiko tersebut
terwujud. Untuk beberapa organisasi, mungkin terdapat beberapa risiko individual dan bahkan
independen, yang masing-masing dapat menghancurkan organisasi.
Dalam keadaan seperti ini, tantangan bagi fungsi manajemen risiko adalah fokus pada
keadaan yang dapat memicu satu atau lebih risiko tersebut. Pada contoh di atas, bank cukup
beruntung karena tidak terjadi keadaan yang dapat memicu kejadian yang dapat menghancurkan
neraca bank.
Kapasitas risiko suatu bank
Kapasitas risiko adalah tingkat risiko yang dianggap mampu diserap oleh bank, berdasarkan kekuatan
pendapatannya, tanpa mengurangi kemampuan membayar dividen, rencana strategisnya, dan pada
akhirnya, reputasi dan kelangsungan usahanya. Hal ini didasarkan pada kombinasi pendapatan
dan biaya yang dianggarkan, perkiraan, dan historis, disesuaikan dengan kompensasi variabel, dividen,
dan pajak terkait.
Eksposur risiko merupakan perkiraan potensi kerugian berdasarkan posisi risiko saat ini dan
masa depan pada seluruh kategori risiko utama – risiko primer, risiko operasional, dan risiko bisnis. Hal
ini sedapat mungkin didasarkan pada ukuran kerugian statistik yang digunakan dalam pengendalian
operasional sehari-hari. Korelasi diperhitungkan ketika menggabungkan potensi kerugian dari posisi
risiko di berbagai kategori risiko untuk memperoleh estimasi eksposur risiko secara keseluruhan.
Paparan risiko dinilai berdasarkan konstelasi kejadian yang parah namun masuk akal dalam jangka
waktu satu tahun hingga tingkat kepercayaan 95 persen atau kejadian 'sekali dalam 20 tahun'.
Selera risiko ditetapkan oleh dewan, yang menetapkan batas atas agregat
paparan risiko. Perbandingan eksposur risiko dengan kapasitas risiko menjadi dasar untuk
menentukan apakah batasan risiko yang ada saat ini atau yang diusulkan sudah tepat. Ini adalah
salah satu alat yang tersedia bagi manajemen untuk memandu keputusan penyesuaian profil risiko.
Eksposur risiko biasanya tidak melebihi kapasitas risiko, namun saat ini sangat ekstrim
kondisi pasar yang sulit tidak dapat dipertahankan oleh hubungan ini. Bank mencatat kerugian
bersih yang besar, yang menunjukkan bahwa eksposur risiko masih lebih besar dibandingkan
kapasitas risikonya. Eksposur risiko tetap tinggi sebagai akibat dari kurangnya likuiditas di pasar
aset yang disekuritisasi dan karena tingkat volatilitas yang meningkat secara signifikan di pasar global.
Pengurangan eksposur risiko yang dicapai melalui penjualan selain penurunan signifikan yang terjadi
pada posisi risiko diimbangi dengan penurunan kapasitas risiko secara simultan karena revisi
ekspektasi pendapatan yang lebih rendah sebagai konsekuensi dari memburuknya prospek
perekonomian.
13
Pengendalian kerugian
Kemungkinan risiko
Kemungkinan risiko menunjukkan seberapa sering suatu risiko diperkirakan akan terjadi. Hal ini juga
dapat digambarkan sebagai frekuensi risiko. Namun, penggunaan frase frekuensi risiko mengasumsikan
bahwa risiko terjadi secara teratur. Istilah kemungkinan risiko yang lebih umum digunakan dalam buku
ini. Kemungkinan risiko dapat ditentukan berdasarkan dasar yang melekat pada setiap risiko tertentu,
atau dapat ditentukan berdasarkan tingkat risiko saat ini, dengan memperhatikan langkah-langkah
pengendalian yang ada.
Untuk risiko bahaya, riwayat masa lalu mungkin merupakan indikasi yang baik mengenai seberapa
besar kemungkinan risiko tersebut terjadi. Bagi suatu armada kendaraan bermotor, pasti terdapat riwayat
kecelakaan dan kerusakan kendaraan. Pengendalian akan dilakukan untuk mengurangi kemungkinan
kejadian ini. Perusahaan pengangkutan jalan raya harus menilai kemungkinan kerusakan kendaraan
berdasarkan sifat bawaannya dan juga berdasarkan pengendalian yang ada. Namun terdapat kesulitan
dalam menilai kemungkinan terjadinya kecelakaan kendaraan, karena asumsi tertentu harus diambil
mengenai dampak penghapusan pengendalian terhadap kemungkinan terjadinya kecelakaan.
Bahkan jika penilaian terhadap kemungkinan kerusakan pada tingkat inheren tidak dapat dilakukan,
perusahaan masih perlu menentukan pentingnya program perawatan kendaraan dalam mencegah
kerusakan kendaraan dan apakah kegiatan pemeliharaan memberikan nilai uang. Sehubungan dengan
kecelakaan kendaraan, perusahaan mungkin mempunyai prosedur pelatihan pengemudi dan, sekali lagi,
efektivitas prosedur ini dapat ditentukan dengan mengevaluasi tingkat risiko yang melekat dan saat ini.
Apakah tingkat risiko dievaluasi pada tingkat yang melekat atau pada tingkat saat ini, tidak ada keraguan
bahwa membandingkan kinerja armada terhadap kinerja rata-rata industri akan menjadi latihan yang
bermanfaat.
Contoh tindakan pengendalian yang mempunyai pengaruh terhadap besarnya risiko namun tidak
mempunyai pengaruh terhadap kemungkinannya adalah penggunaan sabuk pengaman pada mobil. Di dalam
sederhananya, pengemudi memakai sabuk pengaman untuk mengurangi dampak kecelakaan,

karena sabuk pengaman tidak berpengaruh terhadap kemungkinan terjadinya kecelakaan.
Pengemudi mengenakan sabuk pengaman sebagai tindakan pengendalian ketika terjadi
kecelakaan.
Sebuah klub olahraga ingin mengurangi kemungkinan absennya pemain kunci.
Ketidakhadiran tersebut mungkin saja disebabkan oleh perilaku tidak pantas yang dilakukan
seorang pemain, sehingga perlu adanya sanksi terhadap orang tersebut. Oleh karena itu, klub
dapat memutuskan untuk memperkenalkan 'kode perilaku' bagi para pemain senior, dan ini
mencakup komitmen setiap pemain untuk mengikuti gaya hidup sehat dan pantas. Kegagalan
untuk mematuhi kode perilaku akan mengakibatkan hukuman finansial dan hukuman lainnya.
Klub juga dapat memutuskan bahwa kontrol tambahan diperlukan untuk mengurangi
ketidakhadiran pemain, termasuk pemantauan kebugaran dan dukungan sosial untuk pemain
luar negeri yang baru saja pindah ke negara tersebut untuk bergabung dengan tim. Mungkin juga
disepakati bahwa upaya harus dilakukan untuk memberikan batasan kontrak pada kemampuan
tim nasional untuk memanggil pemain luar negeri. Tindakan ini akan diambil sebagai tambahan
terhadap aktivitas pengendalian kerugian lainnya, seperti fasilitas medis yang sangat baik untuk
memberikan perawatan medis segera dan mengurangi kerusakan ketika terjadi cedera.
Selain itu, perusahaan dapat membeli asuransi untuk melindungi dirinya dari kerugian finansial
yang terkait dengan ketidakhadiran pemain.
Besaran risiko
Mengurangi besarnya risiko bahaya sangatlah penting. Untuk risiko bahaya, besarnya sering kali
disebut sebagai tingkat keparahan risiko yang melekat jika risiko tersebut terwujud. Pengurangan
tingkat keparahan risiko bahaya secara keseluruhan akan dicapai dengan mengurangi dampak
dan konsekuensi ketika peristiwa buruk terjadi. Sabuk pengaman pada mobil dapat mengurangi
dampak suatu kecelakaan, namun tidak berpengaruh terhadap kemungkinan terjadinya
kecelakaan.
Ada kemungkinan terjadinya kebakaran serius yang mengakibatkan kerugian harta benda
yang cukup besar dan dianggap sangat parah serta memakan biaya yang besar. Namun, untuk
mengurangi tingkat keparahan kebakaran yang serius, persyaratannya adalah mengurangi
dampak kebakaran terhadap keuangan, infrastruktur, reputasi dan pasar (FIRM) dari perusahaan tersebut.
organisasi. Tindakan untuk mengurangi dampak akan dikonsentrasikan pada pembatasan

kerusakan pada saat kebakaran dan pengendalian biaya setelah kejadian. Konsekuensi
berhubungan dengan pengaruh terhadap strategi, taktik, operasi dan kepatuhan (STOC)
organisasi. Pengendalian kerugian berkaitan dengan mitigasi besaran, dampak dan
konsekuensi dari peristiwa yang merugikan.
Pembatasan kerusakan juga merupakan fitur penting dalam manajemen risiko
reputasi. Ketika terjadi insiden serius yang menarik perhatian publik, organisasi harus
mampu melindungi reputasinya dengan meyakinkan pemangku kepentingan bahwa
organisasi merespons peristiwa tersebut dengan tepat. Hampir selalu CEO atau pimpinan
perusahaan tiba di lokasi kejadian ketika terjadi kecelakaan kereta api atau pesawat
yang serius.
Ada beberapa contoh di mana sebuah insiden serius terjadi dan manajemen media
yang dilakukan oleh organisasi tersebut sangat buruk. Dalam kasus ini, kemungkinan
besar perhatian yang diberikan pada perencanaan pra-insiden kurang memadai,
sehingga kerusakan reputasi organisasi tidak dapat diminimalkan secara efektif pada
saat insiden terjadi.
Organisasi juga perlu memperhatikan pengendalian biaya. Pengendalian biaya setelah
suatu kejadian biasanya didasarkan pada rencana kesinambungan bisnis (BCP) atau
rencana pemulihan bencana (DRP) yang ditetapkan organisasi sebelum kejadian
tersebut terjadi. Pengembangan BCP dan DRP yang efektif akan menempatkan
organisasi pada posisi terbaik untuk memastikan bahwa keseluruhan biaya insiden dapat
ditekan serendah mungkin.
Pengendalian kebakaran di hotel
Mengingat penekanan terhadap bahaya kebakaran sudah lama terjadi, mungkin tidak mengejutkan bahwa perbaikan
sistem sprinkler telah menjadi ciri khas dalam 40 tahun terakhir. Inovasi yang paling mengesankan dalam kaitannya
dengan kebakaran adalah munculnya sprinkler mode pemadaman.
Alat penyiram standar adalah alat penyiram mode kontrol, yang mengendalikan api sampai seseorang datang untuk
memadamkannya. Api bisa membesar dan menghasilkan banyak asap.
Karena perlengkapan hotel menjadi lebih rentan terhadap kerusakan akibat asap dan air, maka diperlukan upaya
untuk memadamkan api, bukan hanya mengendalikannya. Alat penyiram baru ini menghasilkan area yang lebih kecil
terkena dampak kebakaran, asap lebih sedikit, dan kerusakan lebih sedikit.
Teknologi sprinkler telah berkembang secara signifikan. Dimana kami memiliki satu semprotan standar
kepala sprinkler, kami sekarang memiliki kepala lubang ekstra besar dan kepala sprinkler dengan penekanan
awal dan respons cepat. Penggunaan sistem sprinkler juga telah menyebar dari fasilitas manufaktur yang lebih
tradisional ke fasilitas dengan tingkat bahaya ringan seperti kantor dan panti jompo.
Korporasi menjadi lebih terlibat dalam upaya pengendalian kerugian. Misalnya, hotel melakukan dua inisiatif pada
awal tahun 1980an dengan menggunakan api terkendali untuk membuktikan kemanjuran pipa plastik dalam sistem
sprinkler kamar hotel. Sebelum pengujian berhasil, alat penyiram mengandalkan pipa besi, yang lebih sulit dipasang
dibandingkan pipa plastik dan menyebabkan ruangan tidak dapat digunakan selama berhari-hari selama pemasangan
ulang.
Risiko bahaya
Kisaran risiko bahaya yang penting untuk mengurangi besarnya kejadian buruk akan
mencakup penipuan, kesehatan dan keselamatan, perlindungan properti dan pengoperasian
sistem TI yang efisien, serta insiden yang berpotensi menyebabkan kerusakan reputasi.
Tabel 13.1 memberikan daftar ketergantungan utama yang dapat menimbulkan risiko
bahaya, dengan menggunakan struktur kartu skor risiko FIRM. Ketika risiko bahaya terjadi,
tindakan perlu diambil untuk mengurangi besarnya kejadian, serta memitigasi dampak dan
konsekuensinya.
TABEL 13.1 Ketergantungan kunci umum
Kartu skor Contoh ketergantungan

risiko PERUSAHAAN
Keuangan Ketersediaan dana/keuangan

Keuangan Ketersediaan dana/keuangan

Alokasi dana/keuangan yang benar Pengendalian internal
(penipuan)
Kewajiban terkendali (utang macet dan pensiun)
Infrastruktur Keterampilan dan pengalaman orang
Tempat/pabrik dan peralatan
perangkat keras dan perangkat lunak TI
Komunikasi dan transportasi
Reputasi Perluasan merek dan merek

Opini publik terhadap sektor ini
Tindakan penegakan regulator Tanggung jawab sosial
perusahaan
Pasar Persyaratan peraturan

Kesehatan perekonomian dunia atau nasional
Pengembangan produk (teknologi)
Perilaku pesaing
Meskipun fokus utama pengelolaan risiko bahaya adalah pada pencegahan kerugian,
keberhasilan pengelolaan risiko bahaya juga harus mencakup pertimbangan pembatasan
kerusakan dan pengendalian biaya. Terdapat tren yang berkembang di pasar asuransi
menuju penyelesaian klaim dengan cara yang lebih efisien dan hemat biaya. Tren ini
sebagian didasarkan pada dorongan organisasi untuk kembali beroperasi normal sesegera
mungkin. Memang benar, beberapa perusahaan asuransi menyebut inisiatif semacam ini
sebagai 'pengendalian biaya'.
Seperti disebutkan sebelumnya, mengurangi tingkat keparahan suatu insiden harus dilihat
sebagai bagian dari upaya keseluruhan untuk menerapkan pengendalian kerugian dalam suatu
organisasi. Pendekatan terpadu terhadap pengendalian kerugian adalah penting karena hal ini
akan memungkinkan organisasi mengendalikan kemungkinan dan dampak ketika risiko bahaya
terjadi. Faktanya, pengendalian kerugian harus dianggap sebagai pencegahan kerugian ditambah
pembatasan kerusakan ditambah pengendalian biaya.
Meskipun komponen terpenting dari pengendalian kerugian adalah pencegahan kerugian,
risiko bahaya dapat tetap terjadi meskipun organisasi telah melakukan upaya terbaik. Penilaian
risiko bahaya yang memadai sangat penting, sehingga perencanaan awal yang tepat selama
tindakan kerugian dan pasca kerugian dapat dilakukan. Rencana harus dibuat untuk
memastikan bahwa kerusakan yang disebabkan oleh insiden tersebut dapat diminimalkan
dan konsekuensi biaya dari peristiwa tersebut juga dikontrol dan dibendung dengan ketat.
Gambar 13.1 menunjukkan bagaimana dasi kupu-kupu dapat digunakan untuk
mengilustrasikan tiga komponen pengendalian kerugian. Sebelum kejadian tersebut terjadi,
organisasi akan mempunyai pengendalian untuk berupaya mencapai pencegahan kerugian.
Seiring dengan berkembangnya peristiwa tersebut, langkah-langkah harus diambil untuk
membatasi kerusakan yang disebabkan oleh peristiwa tersebut. Setelah kejadian tersebut,
pengendalian pengendalian biaya melalui kelangsungan usaha dan pengaturan untuk
mengurangi biaya perbaikan harus diaktifkan. Rencana pemulihan bencana akan relevan
baik pada tahap pembatasan kerusakan maupun pengendalian biaya. Hubungan antara
ketiga komponen pengendalian kerugian dan jenis pengendalian yang akan dipilih dibahas
lebih rinci pada Bab 16. Jenis pengendalian bahaya dijelaskan dalam Bab 16 sebagai
preventif, korektif, direktif, dan detektif.
GAMBAR 13.1 Pengendalian kerugian dan dasi kupu-kupu
Pencegahan kerugian
Cara lain dalam melihat aktivitas pengendalian kerugian adalah bahwa pencegahan kerugian
adalah tentang mengurangi kemungkinan terjadinya suatu peristiwa yang merugikan, meskipun
hal ini juga berkaitan dengan pengurangan besarnya suatu peristiwa yang benar-benar terjadi.
Pembatasan kerusakan berkaitan dengan pengurangan besarnya peristiwa ketika hal itu benar-
benar terjadi. Kontribusi pembatasan kerusakan akan lebih besar jika tindakan direncanakan dan
dapat dilaksanakan ketika peristiwa tersebut benar-benar berlangsung. Pengendalian biaya
berkaitan dengan pengurangan dampak dan konsekuensi dari peristiwa tersebut. Pengendalian
biaya akan berkaitan dengan memastikan biaya perbaikan terendah, serta rencana kelangsungan
bisnis untuk memastikan bahwa organisasi dapat melanjutkan operasi setelah kerusakan pada
aset yang terkena dampak.
Teknik pencegahan kerugian akan bervariasi sesuai dengan jenis risiko bahaya yang
dipertimbangkan. Untuk risiko kesehatan dan keselamatan, pencegahan kerugian berkaitan
dengan menghilangkan aktivitas sepenuhnya atau memastikan bahwa, misalnya, bahan kimia
berbahaya tidak lagi digunakan.
Untuk risiko terhadap bangunan, teknik pencegahan kerugian melibatkan pengendalian seperti
penghapusan sumber penyulutan dan pengendalian, penahanan dan pemisahan bahan yang
mudah terbakar atau mudah terbakar. Teknik pencegahan kerugian juga akan terjadi
mencakup pembatasan merokok dan tindakan lain yang diambil untuk mengurangi perilaku berbahaya oleh
orang-orang yang menggunakan bangunan tersebut.
Untuk risiko penipuan dan pencurian, teknik pencegahan kerugian akan mencakup pemisahan tanggung
jawab dan penandaan keamanan pada barang-barang mahal. Teknik pencegahan penipuan mungkin juga
melibatkan penyaringan pra-kerja. Pertimbangan yang lebih rinci mengenai risiko kesehatan dan keselamatan
serta pencegahan penipuan dijelaskan dalam Bab 16 dan 23.
Batasan kerusakan
Batasan kerusakan sehubungan dengan bahaya kebakaran sudah ditetapkan dengan baik. Meskipun sistem
sprinkler sering dianggap sebagai tindakan pencegahan kerugian, sistem ini sebenarnya merupakan
tindakan pengendalian utama untuk memastikan bahwa hanya kerusakan kecil yang terjadi ketika terjadi
kebakaran. Faktor pembatas kerusakan lainnya yang terkait dengan kebakaran termasuk penggunaan
pemisah api di dalam bangunan, penggunaan penutup api, dan pengaturan yang matang untuk
memindahkan, memisahkan, atau melindungi barang-barang berharga. Setelah kebakaran di Kastil Windsor
pada tahun 1992, pengaturan segera dilakukan agar karya seni berharga dipindahkan dari area kastil yang
(hingga saat itu) tidak terkena dampak kebakaran.
Kecelakaan di tempat kerja masih terjadi, meskipun perhatian besar diberikan terhadap standar
kesehatan dan keselamatan serta kegiatan pencegahan kerugian lainnya. Penyediaan pengaturan
pertolongan pertama yang memadai merupakan kegiatan pembatasan kerusakan yang jelas dan fasilitas
pertolongan pertama yang sesuai disediakan oleh sebagian besar organisasi. Untuk beberapa pekerja
pabrik yang berisiko tinggi, pengaturan perawatan darurat dan bahkan fasilitas medis disediakan di lokasi.
Dalam beberapa kasus, fasilitas medis ini akan mencakup fasilitas perawatan spesialis yang berkaitan
dengan bahaya tertentu di lokasi. Contohnya adalah penyediaan penangkal sianida di pabrik tempat
berlangsungnya kegiatan pelapisan kromium dengan menggunakan larutan pelapisan sianida. Contoh yang
lebih sederhana adalah penyediaan botol pencuci mata darurat di lokasi dimana bahan kimia berbahaya
ditangani.
Tumpahan minyak Deepwater Horizon di Teluk Meksiko pada tahun 2010 memberikan banyak pelajaran
dalam manajemen risiko. Salah satu masalah utamanya adalah tumpahan minyak membutuhkan waktu
beberapa minggu untuk berhenti. Tindakan pencegahan kerugian dilakukan untuk mencegah tumpahan minyak
langkah-langkah permulaan dan pengendalian biaya diambil untuk mengelola biaya

pembersihan, pemulihan, dan kelangsungan bisnis. Mungkin saja tindakan pembatasan
kerusakan tidak sekuat yang diperlukan. Karena kebocoran minyak berlangsung selama
beberapa minggu, ada peluang untuk menerapkan tindakan pembatasan kerusakan.
Namun, tampaknya langkah-langkah ini belum direncanakan secara matang.
Pengendalian biaya
Ketika risiko bahaya muncul meskipun ada upaya pencegahan kerugian dan upaya untuk
membatasi kerusakan, mungkin masih ada kebutuhan untuk mengendalikan biaya kejadian
tersebut. Misalnya saja, di antara kegiatan-kegiatan untuk meminimalkan biaya yang terkait
dengan kebakaran serius adalah pengaturan rinci untuk penyelamatan dan pengaturan
untuk dekontaminasi barang-barang khusus yang mengalami kerusakan akibat air atau
asap.
Pengendalian biaya sehubungan dengan kebakaran juga akan mencakup pengaturan
layanan pemulihan spesialis. Tindakan-tindakan yang akan diambil untuk memastikan
bahwa biaya pasca-insiden diminimalkan harus dituangkan dalam rencana keberlangsungan
bisnis, pemulihan bencana dan manajemen krisis, sebagaimana mestinya. Topik
perencanaan kesinambungan bisnis dan perencanaan pemulihan bencana dibahas lebih
rinci di Bab 18.
Pertimbangan lebih lanjut yang relevan dengan pengendalian biaya setelah suatu
kejadian adalah apa yang disebut oleh perusahaan asuransi sebagai 'peningkatan biaya
operasional'. Sebagian besar polis asuransi kerusakan material/gangguan bisnis akan
memungkinkan pembayaran peningkatan biaya operasional. Hal ini mungkin timbul ketika
suatu organisasi harus melakukan subkontrak terhadap aktivitas produksi tertentu, atau
harus melakukan pekerjaan manufaktur di salah satu pabriknya, yang mungkin berlokasi agak jauh.
Jika produsen menemukan bahwa barang rusak telah dilepaskan ke pasar, sejumlah
tindakan perlu dilakukan. Organisasi harus mengembangkan rencana sebelum acara untuk
memberi tahu pelanggan tentang fakta bahwa ada barang cacat di pasar dan bagaimana
mengidentifikasinya. Kotak di bawah ini membahas pentingnya penarikan produk dalam
situasi ini.
Manajemen risiko penarikan produk

Perusahaan atau organisasi mana pun yang memproduksi, merakit, memproses, menjual secara grosir
atau eceran produk dapat terkena dampak finansial akibat biaya langsung atau tidak langsung dari
penarikan produk. Biaya langsung dapat mencakup gaji staf yang harus melaksanakan rencana penarikan kembali.
Biaya langsung lainnya mencakup komunikasi dan hal ini dapat mencakup pembelian waktu tayang di
radio dan televisi serta pemberitahuan di surat kabar atau publikasi industri.
Biaya tidak langsung dapat mencakup hilangnya waktu produksi bagi staf yang harus fokus pada
proses penarikan kembali, serta perekrutan karyawan sementara untuk memastikan kelanjutan produksi.
Namun, dampak tidak langsung terbesar adalah dampak publisitas buruk terhadap pangsa pasar.
Penarikan kembali produk harus dirancang untuk:
melindungi pelanggan dari cedera tubuh atau kerusakan properti;
mengeluarkan produk dari pasar dan produksi;
mematuhi persyaratan peraturan tertentu;
melindungi aset perusahaan.

14
Mendefinisikan sisi atas risiko
Sisi positif dari risiko

Mendefinisikan sisi atas risiko adalah salah satu tantangan terbesar dalam manajemen risiko.
Kontribusi manajemen risiko secara keseluruhan adalah untuk membantu mewujudkan kewajiban
wajib, jaminan, peningkatan pengambilan keputusan, serta proses inti yang efektif dan efisien
(MADE2). Namun, terdapat keinginan di antara para praktisi manajemen risiko untuk mengidentifikasi
rentang manfaat yang lebih dinamis yang dapat dihasilkan oleh manajemen risiko yang berhasil.
Seringkali, hal ini merupakan manfaat yang tidak terduga atau lebih besar dari yang diharapkan dari
pengelolaan risiko.
TABEL 14.1 Mendefinisikan sisi atas risiko
Lebih sedikit gangguan terhadap operasi normal dan operasional yang lebih besar
efisiensi sehingga mengurangi risiko kerugian.
Kemampuan untuk menangkap peluang karena pesaing tidak mengidentifikasi solusi

hemat biaya terhadap fitur kontrak yang berisiko.
Secara khusus mengidentifikasi peristiwa-peristiwa positif selama penilaian risiko dan

memutuskan bagaimana mendorong peristiwa-peristiwa tersebut.
Manajemen peluang, dengan menyelesaikan tinjauan terperinci atas peluang bisnis

sebelum memutuskan untuk memanfaatkannya.
Mencapai hasil positif dalam keadaan sulit sebagai

hasil yang tidak diinginkan dan/atau otomatis dari manajemen risiko yang baik.
Berbagai penafsiran atas frasa 'risiko terbalik' mungkin terjadi, dan beberapa di antaranya
disajikan pada Tabel 14.1. Terdapat keyakinan di kalangan praktisi manajemen risiko bahwa
manajemen risiko memberikan kontribusi yang signifikan terhadap organisasi
operasional organisasi, dan kontribusi ini sering digambarkan sebagai sisi atas risiko. Secara
sederhana, keuntungan dari risiko dicapai ketika manfaat yang diperoleh dari pengambilan
risiko lebih besar daripada manfaat yang diperoleh jika tidak mengambil risiko. Dengan kata
lain, organisasi telah menerima manfaat keseluruhan dari melakukan aktivitas yang
menghasilkan paparan risiko atau serangkaian risiko yang terlibat.
Misalnya, perusahaan manufaktur yang menghasilkan produk sampingan limbah yang

menimbulkan masalah pembuangan dapat mencapai keuntungan risiko dengan menjual
produk sampingan yang tidak diinginkan atau dengan mengidentifikasi cara untuk menambah
nilai pada produk limbah dan menjualnya sebagai aliran produk lain. Ini adalah contoh untuk
mengidentifikasi kesulitan bagi bisnis dan, dalam memecahkan kesulitan tersebut, memperoleh
manfaat tambahan yang belum diperkirakan atau tidak tersedia.
Secara sederhana, sisi positif dari risiko mungkin hanya merupakan imbalan atas
pengambilan risiko tersebut. Mendaki gunung yang menantang mungkin merupakan risiko
yang besar, namun keuntungan dari mengambil risiko tersebut adalah ketika pendaki telah
mencapai puncak dengan selamat dan mendapatkan imbalannya. Pendekatan lain adalah
dengan mengatakan bahwa manajemen risiko berkaitan dengan pencapaian hasil terbaik dan
mengurangi ketidakpastian atau volatilitas. Jika hal ini diterima sebagai definisi manajemen
risiko, keuntungan dari risiko hanyalah mencapai apa yang ingin dicapai organisasi, dengan
mengambil risiko yang tertanam dalam strategi, taktik dan/atau operasi yang terlibat.
Interpretasi lain mengenai sisi positif risiko adalah bahwa lokakarya penilaian risiko juga
harus berfokus pada identifikasi risiko yang memiliki dampak positif.
Oleh karena itu, lokakarya penilaian risiko akan menjawab pertanyaan-pertanyaan seperti:
'Peristiwa apa yang dapat memberikan hasil yang lebih baik dari yang diharapkan?' Daftar
risiko hasil positif kemudian dapat diidentifikasi dan tindakan dapat diambil untuk membuat
risiko-risiko tersebut lebih mungkin terjadi dan/atau memiliki dampak dan konsekuensi yang
lebih menguntungkan ketika risiko-risiko tersebut terwujud.
Penjelasan yang lebih memuaskan mengenai sisi positif risiko adalah bahwa organisasi
akan mampu melakukan aktivitas yang sebelumnya tidak ingin dilakukannya. Dalam pengertian
komersial, hal ini memungkinkan suatu organisasi untuk menangkap peluang bisnis yang tidak
ingin diambil oleh pesaing, atau dianggap terlalu berisiko. Hal ini mungkin disebabkan oleh
efisiensi yang lebih besar dalam organisasi, atau karena adanya cara yang hemat biaya untuk
mengubah organisasi
oleh proyek pengembangan telah teridentifikasi namun tidak dikenali oleh pesaing. Pada tingkat
strategis, peningkatan risiko ini mungkin timbul ketika organisasi mengidentifikasi cara untuk
menargetkan peluang bisnis, namun hanya komponen yang menguntungkan dari peluang bisnis
tersebut.
Cara lebih lanjut dalam melihat sisi positif risiko adalah dengan merefleksikan usaha bisnis yang
berhasil dalam keadaan di mana kegagalan dapat diperkirakan sebelumnya. Pendekatan ini agak
retrospektif berdasarkan analisis: 'hal ini bisa saja salah, namun ternyata tidak terjadi dan oleh
karena itu kami menikmati keuntungan dari mengambil risiko tersebut.' Pendekatan terhadap sisi
atas risiko ini bergantung pada kesediaan organisasi untuk melakukan usaha yang berisiko,
meskipun dengan pengendalian yang memadai, yang akan menghasilkan hasil positif ketika
pesaing mungkin tidak bersedia mengambil risiko.
Terakhir, terdapat analisis sisi atas risiko yang mencerminkan manfaat dari proses manajemen
risiko yang kuat. Pencapaian manfaat MADE2, khususnya manfaat terkait kewajiban wajib, dapat
dianggap sebagai alasan yang cukup untuk melakukan inisiatif manajemen risiko. Dalam keadaan
seperti ini, organisasi tertentu mungkin menganggap bahwa mencapai kepatuhan terhadap
kewajiban wajib merupakan sebuah sisi positif dari risiko.
Dalam bentuk yang paling sederhana, dan khususnya dalam kaitannya dengan risiko bahaya,
sisi positif dari risiko adalah bahwa sisi negatifnya lebih kecil. Namun, hal tersebut bukanlah alasan
yang kuat bagi manajer senior untuk mendukung inisiatif manajemen risiko. Mungkin hal yang
paling mudah untuk dijelaskan dan pemikiran yang paling menarik adalah bahwa sisi positif dari
risiko adalah kemampuan untuk mengejar peluang bisnis yang tidak ingin diambil oleh pesaing.
Hal ini juga merupakan bagian dari penjelasan untuk mengatakan bahwa pesaing akan terlalu
enggan mengambil risiko untuk mengambil peluang berisiko tinggi tersebut.
Dengan banyaknya pembicaraan mengenai sisi positif dari risiko, hal ini telah menjadi masalah
bagi para praktisi manajemen risiko. Kisaran analisis mulai dari manajemen peluang yang tidak
terlalu merugikan hingga manajemen peluang yang diformalkan sangat luas dan kurang fokus.
Pengurus suatu organisasi tidak akan terbujuk oleh serangkaian konsep dan pendekatan yang
begitu luas dan tidak jelas. Jelasnya, disiplin manajemen risiko perlu mendapatkan pemahaman
yang lebih baik tentang sisi positif risiko dan menyampaikan pesan tersebut kepada dewan direksi.
Mungkin juga terdapat ruang bagi standar manajemen risiko untuk mengambil pendekatan yang
lebih koheren terhadap sisi positif risiko. Suatu pendekatan yang digunakan dalam beberapa risiko
Standar pengelolaannya adalah bahwa 4T harus diperluas hingga mencakup T kelima

yaitu 'mengambil risiko' dan menjadi 5T. Seringkali, standar yang ditetapkan gagal untuk
menyadari bahwa organisasi akan mengambil peluang dan imbalan yang diharapkan,
dibandingkan dengan sengaja mengambil risiko demi kepentingannya sendiri.
Kisah dalam kotak di bawah ini adalah contoh seseorang yang melihat peluang dan
memanfaatkan peluang tersebut. Beliau tidak mencari, menerima, atau mengambil risiko,
kecuali sejauh hal itu tertanam dalam pengambilan peluang. Individu yang dipandang
sebagai pengambil risiko sebenarnya adalah individu yang bersedia mengejar peluang
yang mungkin dianggap terlalu berisiko oleh orang lain. Perilaku mereka adalah
memanfaatkan peluang, bukan menikmati mengambil risiko.
Kotak kejujuran dan sisi positif risiko

Misalnya saja kasus seorang pedagang di Wall Street, New York City, yang mendirikan kios dan menjual
donat dan kopi kepada orang yang lewat saat mereka keluar masuk gedung perkantoran.
Saat jam sarapan dan makan siang, dia selalu mendapat antrean panjang pelanggan. Dia memperhatikan
bahwa waktu menunggu membuat banyak pelanggan putus asa untuk pergi dan pergi ke tempat lain. Ia juga
memperhatikan bahwa, karena ia merupakan pertunjukan tunggal, hambatan terbesar yang menghalanginya
menjual lebih banyak donat dan kopi adalah jumlah waktu yang tidak proporsional yang dibutuhkan untuk
melakukan perubahan bagi pelanggannya.
Terakhir, dia meletakkan keranjang kecil di sisi stannya yang berisi uang dolar dan koin, memercayai
pelanggannya untuk membuat kembalian mereka sendiri. Anda mungkin berpikir bahwa pelanggan secara
tidak sengaja salah menghitung atau dengan sengaja mengambil uang ekstra dari keranjang, namun yang dia
temukan justru sebaliknya – sebagian besar pelanggan merespons dengan jujur, sering kali memberikan tip
yang lebih besar dari biasanya. Selain itu, dia mampu memindahkan pelanggan dengan kecepatan dua kali
lipat karena dia tidak perlu melakukan perubahan. Selain itu, ia mendapati bahwa pelanggannya suka
dipercaya dan terus datang kembali. Dengan memperluas kepercayaan dengan cara ini, dia mampu
melipatgandakan pendapatannya tanpa menambah biaya baru.
Penilaian peluang
Keberhasilan dalam memanfaatkan peluang bisnis akan lebih mungkin dicapai jika organisasi
melakukan penilaian peluang. Banyak perusahaan konsultan melakukan evaluasi rinci terhadap
setiap prospek bisnis baru. Organisasi akan melihat prospek baru dan mengevaluasi ruang
lingkup kemitraan yang menguntungkan, peluang untuk memperoleh penghasilan tambahan,
dan manfaat reputasi yang mungkin timbul dari menjadikan klien potensial tersebut sebagai
pelanggan.
Penilaian peluang dapat dilakukan sehubungan dengan usaha bisnis baru, serta klien baru.
Evaluasi peluang ini dirancang untuk mengidentifikasi peluang bisnis tambahan yang dapat
muncul dari memenangkan bisnis klien tersebut. Evaluasi juga akan melihat potensi kerugian
dari keberhasilan memperoleh prospek klien. Ketika melakukan penilaian peluang seperti itu,
harus ada kemungkinan bahwa organisasi akan memberi tahu calon klien bahwa mereka tidak
ingin melakukan tender untuk bisnis tersebut.
Pertimbangkan pilihan untuk teater yang menemukan bahwa lebih sedikit orang yang datang
ke pertunjukan dan memutuskan untuk melihat peluang untuk mendapatkan lebih banyak uang
dari mereka yang tetap hadir. Pilihannya mungkin mencakup perbaikan umum pada
fasilitas katering di dalam teater dan penyediaan produk organik di restoran teater.
Selain itu, ada kemungkinan untuk menjual merchandise bertema pertunjukan
tertentu.
Selain mempertimbangkan peningkatan pendapatan selama pertunjukan, teater
juga dapat mempertimbangkan pengaturan sponsorship dan dialog terbuka dengan
bisnis lokal untuk mengetahui jenis produksi apa yang paling mungkin mendapatkan
dukungan dan sponsor lokal. Di masa depan, bagian dari penilaian terhadap usulan
produksi baru dapat mencakup evaluasi tingkat sponsorship yang mungkin tersedia.
Selain menghasilkan pendapatan yang lebih besar, pendekatan ini juga
memungkinkan teater untuk mementaskan produksi yang dianggap terlalu berisiko.
Banyak organisasi sudah mempraktikkan manajemen peluang, meskipun hal ini

mungkin tidak dilihat secara eksplisit sebagai pendekatan manajemen risiko.
Idealnya, manajemen peluang harus dimasukkan ke dalam prosedur untuk
mengembangkan dan menerapkan strategi dan taktik dan/atau memanfaatkan
peluang bisnis. Beberapa organisasi tidak memiliki prosedur manajemen peluang
yang jelas untuk mengevaluasi prospek bisnis baru, atau untuk mengevaluasi
peluang merger/akuisisi.
Ketika berupaya mengidentifikasi peluang, banyak organisasi memfasilitasi
lokakarya penilaian risiko yang berupaya mengidentifikasi dan menganalisis bahaya
dan peluang pada saat yang bersamaan. Gambar 14.1 memberikan contoh matriks
risiko yang dapat digunakan untuk mencatat hasil lokakarya penilaian risiko. Desain
yang tepat dari matriks risiko dan deskripsi kemungkinan dan konsekuensinya akan
bervariasi antar organisasi. Gambar 14.1 harus dianggap sebagai salah satu contoh
atau ilustrasi tentang bagaimana mencatat keluaran dari lokakarya penilaian risiko.
GAMBAR 14.1 Matriks risiko peluang dan bahaya
Salah satu tantangan ketika melaksanakan lokakarya pengkajian risiko yang

mencakup peluang dan bahaya adalah banyaknya orang yang perlu menghadiri
lokakarya tersebut. Bahaya cenderung berhubungan dengan operasional dan
kepatuhan, sedangkan peluang cenderung berhubungan dengan strategi dan taktik.
Seperti halnya risiko bahaya, identifikasi dan analisis peluang harus diikuti dengan
evaluasi peluang dan identifikasi tindakan atau pengendalian yang perlu dilakukan
untuk memastikan bahwa manfaat yang diantisipasi lebih besar kemungkinannya
untuk dicapai. Metodologi penilaian peluang yang dijelaskan sebelumnya pada bagian
ini perlu diterapkan pada peluang yang telah diidentifikasi, dianalisis, dan dicatat
dalam matriks risiko.
Indeks keberisikoan
Profil risiko suatu organisasi dapat direpresentasikan dalam banyak cara. Cara yang
paling umum digunakan adalah dengan menyiapkan daftar risiko yang berisi rincian
risiko signifikan yang dihadapi. Namun, kelemahan dari daftar risiko adalah hal tersebut
ini biasanya merupakan evaluasi kualitatif terhadap risiko individu. Organisasi perlu
mengembangkan cara untuk mengukur, mengevaluasi dan mengukur total paparan
risiko organisasi.
Salah satu ciri pendekatan manajemen risiko perusahaan adalah mengembangkan
pandangan konsolidasi mengenai eksposur risiko organisasi. Pendekatan yang
didasarkan pada penghitungan total eksposur risiko suatu organisasi serupa dengan
pendekatan yang dilakukan terhadap pengukuran dan kuantifikasi risiko dalam
manajemen risiko operasional.
Bagian ini memperkenalkan gagasan 'indeks risiko'. Idenya adalah untuk menyajikan
pendekatan semi-kuantitatif yang mengambil gambaran keseluruhan tingkat risiko yang
ada dalam organisasi. Tingkat risiko keseluruhan akan mempertimbangkan strategi
yang saat ini diikuti oleh organisasi, proyek yang sedang berjalan, dan sifat operasi rutin
yang dilakukan. Pendekatan ini dapat menawarkan peluang untuk mengukur kinerja
manajemen risiko dan melacak perubahan dari waktu ke waktu.
Tabel 14.2 menyajikan serangkaian pertanyaan yang dapat digunakan untuk

mengembangkan indeks keberisikoan suatu organisasi. Tabel ini menggunakan struktur
kartu skor risiko FIRM sebagai sarana untuk mengkategorikan risiko. Dengan
menggunakan indeks keberisikoan, suatu organisasi harus dapat mengidentifikasi
tingkat risiko yang dihadapi oleh keuangan, infrastruktur, reputasi, dan tingkat risiko yang dihadapi di p
TABEL 14.2 Indeks Keberisikoan
Alokasikan skor antara 0 dan 5 untuk setiap komponen (sesuai dengan kunci di akhir
tabel) dari contoh umum kartu skor risiko FIRM untuk menentukan tingkat risiko
dalam organisasi, proyek, operasi atau lokasi yang sedang dievaluasi .
Komponen keuangan dari kartu penilaian risiko FIRM
Deskripsi Indeks Skor
1.1 Kurangnya ketersediaan (atau biaya yang tidak dapat diterima) dana yang
memadai untuk memenuhi rencana strategis
1.2 Prosedur yang tidak memadai untuk alokasi yang benar

1.2 Prosedur yang tidak memadai untuk alokasi dana yang tepat
untuk investasi strategis
1.3 Lingkungan pengendalian keuangan internal yang tidak memadai untuk

mencegah penipuan dan mengendalikan risiko kredit
1.4 Dana yang tidak memadai untuk memenuhi kewajiban historis (termasuk
pensiun) dan memenuhi kewajiban yang diantisipasi di masa depan
TOTAL untuk komponen keuangan
Komponen infrastruktur dari kartu penilaian risiko FIRM
2.1 Struktur manajemen senior yang tidak memadai untuk mendukung

organisasi dan menanamkan 'budaya sadar risiko'
2.2 Kurangnya sumber daya manusia, keterampilan dan ketersediaan,
termasuk kekhawatiran mengenai kekayaan intelektual
2.3 Aset fisik yang tidak memadai untuk mendukung tujuan operasional
dan strategis organisasi
2.4 Infrastruktur teknologi informasi (TI) tidak memiliki ketahanan dan/
atau perlindungan data yang memadai
2.5 Rencana kelangsungan usaha tidak cukup kuat untuk menjamin

kelangsungan organisasi setelah mengalami kerugian besar
2.6 Pengiriman produk, pengaturan transportasi dan/atau

infrastruktur komunikasi tidak dapat diandalkan
TOTAL untuk komponen infrastruktur
Komponen reputasi dari kartu penilaian risiko FIRM
3.1 Buruknya persepsi masyarakat terhadap sektor industri dan/atau

potensi kerusakan pada merek organisasi
3.2 Kurangnya perhatian terhadap etika/sosial perusahaan
3.2 Kurangnya perhatian terhadap etika/tanggung jawab

sosial perusahaan/standar sosial, lingkungan dan etika
3.3 Standar tata kelola yang buruk dan/atau sektor ini sangat diatur
dengan ekspektasi kepatuhan yang tinggi
3.4 Kekhawatiran terhadap kualitas produk atau layanan dan/atau standar

layanan purna jual
TOTAL untuk komponen reputasi
Komponen pasar dari kartu skor risiko FIRM
4.1 Kurangnya perolehan pendapatan di pasar atau tidak memadainya

laba atas investasi yang dicapai
4.2 Pasar yang sangat kompetitif dengan pesaing yang agresif

dan harapan pelanggan yang tinggi
4.3 Kurangnya stabilitas ekonomi, termasuk paparan terhadap bunga

fluktuasi nilai tukar dan nilai tukar mata uang asing
4.4 Pasar memerlukan inovasi terus-menerus dan/atau teknologi produk

berkembang pesat
4.5 Rantai pasokan rumit dan tidak ada persaingan dan/atau harga bahan
mentah mudah berubah
4.6 Organisasi menghadapi potensi gangguan internasional karena

risiko politik, perang, terorisme, kejahatan, atau pandemi
TOTAL untuk komponen pasar
Skor Deskripsi tingkat risiko Skor Deskripsi tingkat risiko
0 Tidak ada risiko Risiko sedang

0 Tidak ada risiko Risiko sedang

3
1 Risiko kecil 4 Berisiko tinggi
2 Beberapa risiko 5 Resiko ekstrim
Setelah menyelesaikan indeks keberisikoan, organisasi kemudian dapat mencari

pengendalian tambahan untuk mengurangi tingkat risiko. Fokus utama manajemen risiko
adalah mengurangi tingkat risiko dalam organisasi tanpa memengaruhi strategi, taktik,
operasi, atau kepatuhan (STOC). Keuntungan dari risiko adalah organisasi dapat mengikuti
STOC yang diinginkan pada tingkat risiko terendah yang dapat dicapai secara wajar dan
hemat biaya.
Tingkat risiko yang diidentifikasi oleh indeks keberisikoan mewakili eksposur risiko
organisasi. Dewan kemudian dapat membandingkan tingkat paparan risiko dengan kapasitas
risiko organisasi dan sikap dewan terhadap risiko.
Menghitung indeks keberisikoan suatu organisasi memerlukan identifikasi risiko bahaya
yang sebenarnya diambil oleh organisasi tersebut. Dengan kata lain, mengevaluasi indeks
keberisikoan suatu organisasi membantu mengidentifikasi paparan risiko sebenarnya dari
organisasi tersebut. Setelah mengidentifikasi tingkat risiko aktual yang melekat dalam suatu
organisasi, dewan organisasi tersebut kemudian dapat menanyakan apakah portofolio risiko
tersebut sesuai dengan selera risiko dan/atau kapasitas risiko organisasi dan sesuai dengan
sikap risiko dewan.
Kode Tata Kelola Perusahaan Inggris versi 2016 berisi
persyaratan berikut bagi perusahaan yang terdaftar di London Stock Exchange:
Dewan bertanggung jawab untuk menentukan sifat dan tingkat risiko utama yang ingin diambil
dalam mencapai tujuan strategisnya.
Organisasi harus berhati-hati untuk memastikan bahwa, setelah mengidentifikasi risiko yang
mereka ambil melalui mekanisme yang serupa dengan penghitungan indeks risiko, dewan
tidak kemudian memutuskan bahwa risiko yang diambil saat ini harus sama dengan risiko
yang bersedia diambil. untuk mengambil.
Terbalik dalam strategi

Organisasi akan memiliki pernyataan misi, bersama dengan serangkaian perusahaan
tujuan dan pemahaman tentang harapan para pemangku kepentingan yang berbeda dalam
organisasi. Dewan organisasi kemudian perlu mengembangkan strategi yang efektif dan
efisien yang akan memberikan apa yang diharapkan dalam hal misi, tujuan dan harapan.
Untuk membuat keputusan strategis yang tepat, dewan organisasi memerlukan akses
terhadap informasi risiko. Penilaian risiko terhadap strategi yang diusulkan, bersama
dengan penilaian risiko terhadap strategi alternatif yang layak, harus dilakukan. Ketersediaan
informasi penilaian risiko ini akan memastikan bahwa keputusan strategis lebih mungkin
tepat.
Untuk risiko peluang, mungkin terdapat lebih sedikit data yang tersedia untuk
memprediksi kemungkinan risiko. Suatu organisasi mungkin melihat peluang untuk
mendapatkan klien baru atau mengembangkan dan memasarkan produk baru. Penilaian
risiko yang akurat terhadap kemungkinan terjadinya peristiwa positif dan negatif akan
diperlukan untuk menentukan apakah usaha baru tersebut harus dilanjutkan. Ketika sebuah
produk baru diluncurkan, persyaratannya mungkin adalah meningkatkan kemungkinan terjadinya peristiw
Jika sebuah produk baru diluncurkan, liputan iklan dan pers perlu dimaksimalkan hingga
tetap hemat biaya. Oleh karena itu, tindakan harus diambil untuk meningkatkan tingkat
ketertarikan media terhadap peluncuran tersebut.
Proses inti strategis menyatukan disiplin perencanaan strategis dan manajemen risiko.
Perencanaan strategis adalah proses sistematis untuk memperoleh konsensus di tingkat
dewan mengenai sejumlah kecil isu yang dapat berdampak besar pada kinerja jangka
panjang organisasi. Permasalahan strategis sangatlah penting, dan kegagalan dalam
menerapkan strategi atau pemilihan strategi yang tidak tepat dapat menjadi salah satu
risiko paling buruk yang menimpa suatu organisasi. Implementasi strategi biasanya dicapai
dengan mengembangkan taktik yang diimplementasikan melalui proyek dan pada akhirnya
disampaikan melalui proses inti operasional. Proses inti operasional yang diterapkan pada
waktu tertentu mewakili model bisnis organisasi, sebagaimana dibahas lebih rinci di Bab
20.
Aktivitas manajemen risiko dirancang untuk memastikan hasil terbaik dan mengurangi
ketidakpastian. Oleh karena itu, keuntungan dari risiko dalam strategi adalah bahwa upaya
manajemen risiko membantu merancang strategi yang efektif dan efisien.
Implementasi strategi itu akan dicapai melalui taktik yang digunakan. Taktik tersebut akan
dirancang untuk meningkatkan proses inti di
organisasi, sehingga organisasi menggunakan cara yang paling efektif dan efisien
proses inti.
Contoh dalam kotak menggambarkan sikap terhadap manajemen risiko yang melihat
risiko sebagai peluang. Pendekatan terhadap manajemen organisasi ini menunjukkan
keinginan untuk menerima sisi positif dari risiko.
Keuntungan dalam proyek

Penting bagi setiap organisasi untuk mengadopsi proses inti yang benar. Proses inti
dapat dianggap sebagai kumpulan aktivitas yang memberikan harapan pemangku
kepentingan tertentu. Inilah makna proses inti yang dialokasikan oleh para praktisi
rekayasa ulang proses bisnis (BPR).
Ada perbedaan antara suatu proses menjadi efisien dan efektif. Proses yang efisien
berarti tidak ada gangguan dan tidak ada kelebihan biaya. Namun, prosesnya mungkin
salah untuk memenuhi persyaratan secara hemat biaya. Ketika proses perlu ditingkatkan,
sebuah proyek biasanya akan dilaksanakan dan perubahan tercapai. Dalam keadaan
dimana diperlukan serangkaian proyek, hal ini sering disebut sebagai program kerja.
Ketika sebuah proyek, atau program kerja, dilaksanakan oleh suatu organisasi, biasanya
keinginannya adalah untuk meningkatkan efektivitas dan/atau efisiensi proses inti.
Dengan melakukan penilaian risiko yang memadai terhadap perubahan yang

diinginkan, organisasi harus dapat memastikan bahwa proyek akan lebih berhasil
dilaksanakan tepat waktu, sesuai anggaran dan sesuai spesifikasi. Untuk mencapai sisi
atas risiko dalam manajemen proyek atau program, proyek memerlukan pengelolaan
yang memadai dan proyek atau prioritas yang tepat telah dipilih oleh organisasi.
Seringkali, organisasi akan melakukan tinjauan pasca-implementasi untuk memastikan

bahwa manfaat yang diharapkan dari proyek telah dilaksanakan dalam praktik. Tinjauan
ini sering kali dilakukan oleh audit internal dan dirancang untuk memastikan bahwa
proyek telah dilaksanakan dengan sukses, memberikan manfaat yang diperlukan dan
secara keseluruhan bermanfaat. Selama masa keuangan yang sulit, penting bagi
organisasi untuk memilih proyek yang tidak hanya berhasil, namun juga mewakili alokasi
terbaik dari sumber daya yang terbatas jika dibandingkan dengan proyek alternatif.
yang belum dipilih.
Manajemen risiko dalam proyek dikaitkan dengan penerapan taktik yang dirancang untuk
mencapai strategi. Di beberapa organisasi, proyek yang akan menerapkan taktik hanya disetujui
jika proyek tersebut mengurangi risiko. Misalnya, jika aktivitas tertentu bisa gagal karena sistem
TI yang buruk, proyek tersebut harus dirancang untuk membuat aktivitas tersebut lebih tangguh.
Dengan melakukan hal ini, risiko akan berkurang dan manfaat yang dihasilkan dari aktivitas
dapat diukur dengan lebih efisien karena penggunaan sumber daya manusia yang lebih baik
dan kegagalan sistem TI yang lebih sedikit.
Ringkasnya, manfaat manajemen risiko yang baik dalam proyek adalah kemungkinan besar
proyek dapat diselesaikan tepat waktu, sesuai anggaran, dan dengan kualitas yang dibutuhkan.
Kegiatan manajemen risiko akan membantu pelaksanaan proyek dan, pada saat yang sama,
membantu mengelola situasi ketika hasil berbeda dari apa yang diharapkan seiring berjalannya
proyek. Hasil yang berbeda ini akan menunjukkan apakah taktik tersebut berhasil dan proyek
yang dipilih benar. Perbedaan negatif perlu dimitigasi dan perbedaan positif harus diterima,
karena ini merupakan salah satu contoh sisi positif risiko.
Merangkul peluang
Perhatikan dua contoh sederhana di mana krisis keuangan global telah memberikan manfaat atau
peningkatan risiko bagi organisasi.
Sebuah merek restoran internasional menemukan bahwa tuan tanah di lokasi pusat kota sedang
mencari penyewa. Hal ini memungkinkan bisnis restoran untuk pindah ke bagian pusat kota yang lebih
sibuk dengan harga sewa yang lebih rendah, sekaligus meningkatkan perdagangan dan keuntungan.
Dengan berkurangnya aktivitas industri akibat krisis keuangan global, perusahaan pembangkit
listrik mampu menonaktifkan fasilitas pembangkit listrik yang lama dan mahal, sehingga mengurangi
keseluruhan biaya per unit produksi listrik. Hal ini telah meningkatkan laba per unit dan memungkinkan
perusahaan merevisi rencana strategis untuk penambahan kapasitas pembangkitan di masa depan
guna mengurangi biaya pembangkitan dalam jangka panjang.
Terbalik dalam operasi

Merupakan persyaratan mendasar bagi organisasi bahwa mereka memiliki operasi yang
efektif dan efisien. Operasi yang efisien harus memanfaatkan sumber daya organisasi
dengan sebaik-baiknya dan harus beroperasi tanpa gangguan yang tidak direncanakan.
Melakukan operasi yang efisien yang menggunakan sumber daya minimum dan
menghasilkan output maksimum akan memberikan manfaat terbesar bagi organisasi.
Operasi juga harus efektif karena mewakili cara terbaik dalam melakukan operasi. Misalnya,
perjalanan yang efisien dengan mobil atau bus melintasi kota yang sibuk dapat dilakukan.
Namun, cara efektif untuk bepergian di banyak kota besar adalah melalui sistem metro atau
kereta bawah tanah.
Evaluasi manajemen risiko terhadap operasi dapat memungkinkan organisasi untuk
menghasilkan aktivitas, operasi, dan proses yang paling efektif dan efisien. Dengan
melaksanakan operasi yang paling efektif dan efisien, organisasi komersial dapat
memperoleh keunggulan dibandingkan pesaing dan melakukan pekerjaan dengan biaya
lebih rendah dan tetap memperoleh keuntungan.
Bagi pelayanan publik, penyelenggaraan operasional yang efektif dan efisien juga sama
pentingnya. Sebagian besar layanan publik memiliki target penyampaian layanan yang
kompleks dan menantang. Kegagalan dalam mengantisipasi dan mengelola risiko dengan
tepat dapat menghambat penyampaian layanan publik. Kontribusi manajemen risiko juga
akan membantu mencapai perbaikan layanan yang berkelanjutan
menghadirkan fleksibilitas dan ketahanan pada cara penyampaian layanan.

Kontribusi manajemen risiko ini dapat dianggap sebagai bagian dalam memberikan
sisi positif risiko.
Dalam pasar yang kompetitif, mencapai keuntungan risiko sering kali merugikan
pesaing, pemasok, atau pihak ketiga lainnya. Namun, mencari keuntungan dari
pengambilan risiko memerlukan kesadaran akan kemungkinan kerugian yang tidak terduga.
Memutuskan untuk tidak melakukan sesuatu karena tampaknya menjadi lebih
berbahaya sebenarnya dapat meningkatkan risiko. Aspek lebih lanjut mengenai
selera risiko dan persepsi pribadi terhadap risiko dibahas di Bab 25. Dalam hal
pengambilan keputusan bisnis mengenai risiko operasional, penting agar risiko-risiko
tersebut diambil secara obyektif. Pandangan pribadi dan persepsi risiko dapat
menyebabkan keputusan bisnis yang salah. Memastikan ketersediaan informasi
risiko yang akurat untuk mengambil keputusan bisnis merupakan salah satu tanggung
jawab utama manajer risiko.
Bab 7 menegaskan bahwa menetapkan konteks adalah tahap pertama dalam
proses manajemen risiko. Indeks keberisikoan yang disajikan pada Tabel 14.2
memberikan struktur yang berguna untuk menetapkan konteks eksternal dan konteks
internal organisasi. Ketika menentukan konteksnya, penting untuk mempertimbangkan
sisi positif dari risiko dan bagaimana peluang akan muncul bagi organisasi dan
bagaimana peluang ini dapat dimanfaatkan, dalam kaitannya dengan strategi, taktik
dan operasi.
Terakhir, penting untuk dicatat bahwa ada keuntungan yang dapat dicapai
sehubungan dengan risiko kepatuhan. Untuk beberapa organisasi, terdapat regulator
yang memberikan izin dan, tanpa izin, organisasi tidak dapat beroperasi. Dalam
keadaan seperti ini, hubungan kerja yang baik dengan regulator sering kali dapat
memberikan peningkatan risiko. Hal ini terutama berlaku jika organisasi berupaya
mempengaruhi regulator agar memerlukan kontrol yang lebih ketat terhadap aktivitas
yang diatur. Dengan cara ini, organisasi akan menetapkan standar tinggi yang
mampu dicapainya, dengan harapan pesaing akan dirugikan, jika mereka juga harus
mencapai standar tinggi tersebut, namun tidak mampu melakukannya tanpa biaya tambahan.
BAGIAN KEEMPAT
Respon risiko
HASIL BELAJAR BAGIAN KEEMPAT

menjelaskan pilihan respons risiko dalam hal toleransi, perlakuan, transfer, dan penghentian
(4T), dan jelaskan bagaimana hal ini dapat ditampilkan pada matriks risiko;
menjelaskan manfaat penggunaan matriks risiko untuk menggambarkan tingkat risiko yang melekat,
saat ini, dan target serta dampak pengendalian;
menjelaskan jenis pengendalian yang tersedia, dalam hal pengendalian preventif, korektif, direktif dan
detektif (PCDD);
menjelaskan penggunaan matriks risiko untuk mengidentifikasi jenis pengendalian utama untuk berbagai
jenis risiko bahaya dan konsep 'zona risiko bahaya';
menjelaskan pentingnya dan struktur asuransi dan keadaan di mana asuransi dibeli dan tujuan dari
perusahaan asuransi penawanan;
menjelaskan pentingnya aktivitas pembelian asuransi mengenai biaya, cakupan, kapasitas,

kemampuan, klaim dan kepatuhan (6Cs);
merangkum pentingnya perencanaan kesinambungan bisnis (BCP) dan perencanaan pemulihan

bencana (DRP) dan memberikan contoh praktis;
menjelaskan pendekatan yang diambil selama analisis dampak bisnis (BIA) dan pentingnya
standar kelangsungan bisnis yang ditetapkan, seperti ISO 22301.
BAGIAN KEEMPAT BACAAN LEBIH LANJUT

HM Treasury (2004) Buku Oranye: Manajemen Risiko – Prinsip dan Konsep, www.hm
treasury.gov.uk
Institut Manajemen Risiko (2011) Risk Appetite & Tolerance, www.theirm.org
Standar Internasional ISO 22301:2012 Keamanan Masyarakat. Sistem Manajemen Kontinuitas Bisnis –
Persyaratan, www.iso.org
Taleb, NN(2008) The Black Swan: Dampak dari Hal yang Sangat Mustahil, www.penguin.co.uk
Taylor, E (2014) Manajemen Risiko Perusahaan Praktis, www.koganpage.com
Pemerintah Amerika Serikat (2004) Setiap Bisnis Harus Memiliki Rencana, www.ready.gov
BAGIAN KEEMPAT STUDI KASUS
Intu Properties: Pembaruan asuransi

Sebagai bagian dari proses pembaruan pada tahun 2015, perusahaan asuransi diundang
untuk mengunjungi pusat-pusat Intu untuk melihat bisnis tersebut berjalan. Hasilnya, minat
yang signifikan dihasilkan dan pengurangan tingkat pembaruan asuransi Intu sebesar lebih
dari £1 juta atas dasar like-for-like tercapai dan diteruskan ke penyewa.
Kunjungan lapangan tersebut disertai dengan presentasi rinci yang

menyoroti bagaimana pendekatan proaktif Intu mengurangi risiko baik bagi
perusahaan asuransi maupun bisnis, misalnya:
Tautan Kantor Keamanan Kontra Terorisme Nasional untuk semua pusat;

rencana dan prosedur manajemen krisis yang terdokumentasi;
rencana darurat yang terdokumentasi, misalnya respons tingkat ancaman,
penilaian dampak bisnis; pengujian
desktop tahunan terhadap rencana darurat untuk semua pusat;
berinvestasi dalam pelatihan dan pengembangan berkelanjutan bagi karyawan untuk
membantu mereka melaksanakan tanggung jawab dengan
standar yang tinggi; proses pemeriksaan saluran kerja pengecer untuk
mengurangi risiko kebakaran; survei kebakaran independen yang dilakukan
di semua pusat yang dikelola; hubungan langsung dengan perusahaan mitigasi kerugian untuk memi
dampak insiden; CCTV

24 jam digunakan di semua pusat;
kehadiran polisi di pusat-pusat termasuk sejumlah kantor polisi di pusat-pusat
tersebut.
Ekstrak yang diedit dari Intu Properties plc

Perusahaan Walt Disney: Pengungkapan tentang risiko pasar

Perusahaan terkena dampak perubahan suku bunga terutama melalui aktivitas
pinjamannya. Tujuan perusahaan adalah untuk memitigasi dampak perubahan suku
bunga terhadap pendapatan dan arus kas serta nilai pasar pinjamannya. Sesuai
dengan kebijakannya, perusahaan menargetkan utang dengan suku bunga tetap
sebagai persentase utang bersih antara persentase minimum dan maksimum.
Perusahaan melakukan transaksi bisnis secara global dan mempunyai risiko

terkait dengan perubahan nilai tukar mata uang asing. Tujuan perusahaan
adalah untuk mengurangi fluktuasi pendapatan dan arus kas yang terkait dengan
perubahan nilai tukar mata uang asing, sehingga memungkinkan manajemen
untuk fokus pada permasalahan dan tantangan bisnis inti.
Perusahaan mengadakan kontrak opsi dan kontrak berjangka yang nilainya
berubah seiring perubahan nilai tukar mata uang asing, untuk melindungi nilai aset,
kewajiban, komitmen pasti dalam mata uang asing yang ada, dan transaksi mata
uang asing yang diperkirakan namun tidak berkomitmen secara tegas. Sesuai
dengan kebijakan, perusahaan melakukan lindung nilai atas prakiraan transaksi
mata uang asing untuk periode yang umumnya tidak melebihi empat tahun dalam
kisaran eksposur tahunan minimum dan maksimum yang ditetapkan.
Keuntungan dan kerugian kontrak ini mengimbangi perubahan di AS
nilai setara dolar dari perkiraan transaksi, aset, kewajiban, atau komitmen pasti
terkait. Mata uang utama yang dilindung nilai adalah euro, yen Jepang, dolar
Kanada, dan pound Inggris. Swap lintas mata uang digunakan untuk secara efektif
mengkonversi pinjaman dalam mata uang asing menjadi pinjaman dalam mata
uang dolar AS.
Ekstrak yang diedit dari The Walt Disney Company

Formulir 10-K 2013
Australian Mines Limited: Penilaian dan manajemen risiko Dewan

meninjau sistem manajemen risiko dan kerangka pengendalian perusahaan, serta
efektivitas penerapannya, setiap tahun. Dewan juga mempertimbangkan pengelolaan
risiko pada pertemuan rutinnya. Profil risiko perusahaan ditinjau setiap tahun
berdasarkan saran dari manajemen termasuk, jika diperlukan, sebagai
hasil interaksi rutin dengan manajemen dan staf terkait dari seluruh bisnis
perusahaan.
Dewan atau manajemen senior perusahaan dapat berkonsultasi dengan akuntan

eksternal perusahaan mengenai masalah risiko eksternal sebagaimana diperlukan.
Sistem manajemen risiko dan kerangka pengendalian perusahaan untuk
mengidentifikasi, menilai, memantau dan mengelola risiko material, sebagaimana
ditetapkan oleh dewan bersama dengan manajemen, meliputi:
pemantauan berkelanjutan oleh dewan terhadap kinerja manajemen dan

operasional;
sistem penganggaran, peramalan dan pelaporan yang komprehensif kepada
dewan;
prosedur persetujuan belanja modal dalam jumlah besar di atas ambang
batas; peninjauan
dewan secara berkala terhadap semua area yang memiliki risiko keuangan
signifikan dan semua transaksi signifikan yang bukan merupakan bagian dari
aktivitas
bisnis normal perusahaan; presentasi rutin kepada dewan oleh
manajemen mengenai
manajemen risiko; kebijakan tertulis yang komprehensif sehubungan
dengan
kegiatan usaha tertentu; kebijakan tertulis yang komprehensif terkait dengan
permasalahan tata kelola perusahaan; komunikasi rutin antar direktur

mengenai
masalah kepatuhan dan risiko; dan proses konsultasi dan peninjauan antara dewan dan ekste
akuntan.
Dewan mensyaratkan bahwa setiap proposal besar yang diserahkan kepada dewan
untuk diambil keputusan disertai dengan penilaian risiko yang komprehensif dan,
jika diperlukan, usulan strategi mitigasi oleh manajemen. Perusahaan mempunyai
program asuransi yang ditinjau secara berkala oleh dewan. Dewan menerima
laporan rutin mengenai penganggaran dan kinerja keuangan. Sistem tingkat
wewenang yang didelegasikan telah disetujui oleh dewan untuk memastikan transaksi
bisnis diotorisasi dan dilaksanakan dengan benar.
Ekstrak yang diedit dari Australian Mines Limited

15
Toleransi, obati, transfer,
dan hentikan
Respons bahaya 4T
Risiko signifikan prioritas yang dihadapi suatu organisasi adalah risiko yang memiliki:
dampak tinggi atau sangat tinggi sehubungan dengan uji tolok ukur signifikansi;
kemungkinan besar atau sangat tinggi untuk terwujud pada atau di atas tingkat acuan;
cakupan yang tinggi atau sangat tinggi untuk peningkatan pengendalian yang hemat biaya.
Secara umum, hanya risiko-risiko prioritas yang signifikan yang memerlukan perhatian di tingkat paling senior
dalam organisasi. Namun, sudah sepantasnya risiko kepatuhan juga mendapat perhatian dewan direksi. Dalam
praktiknya, dewan mengharapkan risiko kepatuhan ini dikelola dengan baik dan dewan hanya akan menerima
laporan rutin/tahunan yang menjelaskan kinerja risiko, atau laporan khusus jika terdapat masalah tertentu.
Organisasi akan berupaya menerapkan pengendalian yang efektif dan efisien untuk meminimalkan risiko
kepatuhan.
Uji tolok ukur signifikansi harus ditetapkan pada tingkat yang mewakili dampak signifikan bagi organisasi.
Setelah mengidentifikasi risiko signifikan yang diprioritaskan, organisasi kemudian perlu meninjau pengendalian
yang ada dan memutuskan apakah tindakan lebih lanjut diperlukan. Untuk risiko bahaya, rentang respons yang
tersedia sering disebut sebagai 4T.
Terdapat beragam terminologi yang tersedia untuk menjelaskan pilihan respons risiko. Faktanya, British
Standard BS 31100 dan ISO 31000 menggunakan istilah 'perlakuan risiko' sebagai deskripsi yang lebih umum.
Misalnya, British Standard mendefinisikan perlakuan risiko sebagai 'proses mengembangkan, memilih dan
menerapkan pengendalian'. Demikian pula, Panduan 73 mendefinisikan perlakuan risiko sebagai 'proses untuk
mengubah risiko'.
Terminologi yang digunakan dalam Buku Oranye telah diadopsi untuk teks ini untuk tahap respons
risiko dalam proses manajemen risiko. Pilihan untuk merespons risiko kemudian dapat diidentifikasi
sebagai 4T. Lampiran B berisi informasi tentang definisi alternatif yang digunakan oleh berbagai publikasi.
Informasi lebih lanjut dan penjelasan singkat masing-masing 4T tersedia di

Tabel 15.1. 4T manajemen risiko bahaya dapat diringkas sebagai berikut:
mentolerir;
merawat;
transfer;
mengakhiri.
TABEL 15.1 Deskripsi 4T respon bahaya
1 Toleransi Paparan tersebut mungkin dapat ditoleransi tanpa adanya

Terima/pertahankan tindakan lebih lanjut. Sekalipun hal ini tidak dapat ditoleransi,
kemampuan untuk melakukan apa pun terhadap risiko tertentu
mungkin terbatas, atau biaya yang harus dikeluarkan untuk
melakukan tindakan apa pun mungkin tidak sebanding dengan
potensi manfaat yang diperoleh.
2 Perlakukan Sejauh ini, semakin banyak risiko yang dapat diatasi

Kontrol/kurangi dengan cara ini. Tujuan perlakuan adalah, sambil melanjutkan
aktivitas yang menimbulkan risiko dalam organisasi, tindakan
(pengendalian) diambil untuk membatasi risiko ke tingkat yang
dapat diterima.
3 Pengalihan Untuk beberapa risiko, respons terbaik mungkin adalah pengalihan asuransi/
kontrak. Hal ini dapat dilakukan dengan asuransi konvensional, atau dapat dilakukan dengan
membayar pihak ketiga untuk mengambil risiko dengan cara lain.

Opsi ini sangat baik untuk memitigasi risiko keuangan atau
sangat baik untuk memitigasi risiko keuangan atau risiko

terhadap aset.
4 Hentikan Beberapa risiko hanya dapat diatasi, atau dapat dikendalikan

Hindari/hilangkan hingga tingkat yang dapat diterima, dengan menghentikan
aktivitas. Perlu dicatat bahwa pilihan penghentian kegiatan di
pemerintah mungkin sangat terbatas jika dibandingkan dengan
sektor swasta.
Gambar 15.1 menunjukkan bahwa terdapat respon dominan terhadap masing-masing 4T, sesuai
dengan posisi risiko pada matriks risiko. Untuk risiko yang kemungkinannya rendah/berdampak
rendah, respons utamanya adalah toleransi. Untuk risiko yang kemungkinan besar/berdampak
rendah, respons utamanya adalah penanganan. Untuk risiko-risiko yang berkemungkinan kecil/
berdampak besar, respons utamanya adalah pengalihan, dan untuk risiko-risiko yang
berkemungkinan besar/berdampak besar, respons utamanya adalah penghentian.
GAMBAR 15.1 Matriks risiko dan 4T manusia bahaya
Untuk memberikan konteks terhadap rentang risiko yang sedang dipertimbangkan, Tabel
15.2 memberikan contoh rentang risiko yang berpotensi signifikan terkait dengan judul kartu
skor risiko FIRM. Penilaian terhadap masing-masing risiko akan memungkinkan organisasi
untuk menempatkan risiko pada matriks risiko. Posisi risiko pada matriks risiko kemudian
akan menunjukkan respons yang paling mungkin terhadap risiko tersebut. Jika penilaian risiko
dilakukan pada tingkat risiko saat ini, dampak pengendalian yang ada sudah dievaluasi
sebagai bagian dari pelaksanaan penilaian risiko.
TABEL 15.2 Ketergantungan utama dan risiko signifikan
Kartu skor Contoh

risiko PERUSAHAANketergantungan Contoh risiko yang signifikan
Keuangan Ketersediaan Dana yang tersedia dari perusahaan induk tidak

dana mencukupi
dana perusahaan
Alokasi Laba yang tidak memadai karena keputusan

yang benar belanja modal yang salah
dana
Pengendalian internal Kecurangan terjadi karena tidak memadainya

pengendalian internal
Kewajiban di bawah Kewajiban yang lebih tinggi dari perkiraan timbul

dalam pengendalian dana pensiun
Masyarakat Infrastruktur Kegagalan untuk mencapai/mempertahankan standar
kesehatan dan keselamatan
Tempat Kerusakan pada lokasi utama yang disebabkan oleh risiko
yang diasuransikan
Proses Sistem kontrol TI tidak tersedia karena aktivitas virus

atau peretas
Produk Gangguan karena kegagalan pemasok
Merek Reputasi Penarikan kembali produk menyebabkan rusaknya

citra produk dan merek
Opini publik Kehilangan penjualan atau pendapatan karena

perubahan selera masyarakat
Regulator Tindakan penegakan regulator menyebabkan

hilangnya kepercayaan masyarakat
CSR Tuduhan sumber produk yang tidak etis menyebabkan

hilangnya penjualan
Peraturan Pasar Perubahan rezim perpajakan mengakibatkan

lingkungan tuntutan pajak yang tidak dianggarkan
Kesehatan Penurunan perekonomian dunia atau nasional

ekonomi mengurangi belanja konsumen
Perubahan teknologi mengurangi daya tarik

Pengembangan produk
produk dan penjualan
Saingan Pesaing menurunkan harga secara signifikan

Perilaku pesaing Pesaing secara substansial menurunkan harga untuk

memenangkan pangsa pasar
Misalnya saja sebuah teater yang perlu merespons meningkatnya penggunaan agen yang memerlukan
pembayaran pada saat pemesanan, bukan setelah pertunjukan. Selain itu, kegagalan seorang aktor
untuk datang pada malam pertunjukan menyebabkan kerugian finansial yang besar bagi teater. Hal ini
mengakibatkan pihak teater meninjau pengaturan pemesanan dan penampilan para aktor dan
memutuskan tanggapan yang sesuai sehubungan dengan semua 4T.
Teater mungkin memutuskan bahwa mereka harus menoleransi pengaturan biaya pemesanan yang
baru. Pemerintah juga telah memutuskan bahwa untuk mengatasi/mengurangi risiko, mereka hanya
akan berurusan dengan agen-agen yang sudah mapan di masa depan dan menghentikan perjanjian
yang ada dengan lembaga yang terbukti tidak dapat diandalkan di masa lalu. Pihak teater mungkin juga
menyelidiki kemungkinan membeli asuransi, sehingga pihak teater dapat mentransfer biaya pertunjukan
yang dibatalkan karena aktornya tidak datang pada malam itu.
Toleransi risiko
Toleransi risiko didefinisikan dalam Panduan 73 sebagai kesiapan organisasi atau pemangku
kepentingan untuk menanggung risiko setelah perlakuan risiko guna mencapai tujuannya.
Panduan tersebut kemudian menambahkan bahwa toleransi risiko dapat dipengaruhi oleh persyaratan
hukum atau peraturan (kepatuhan). Komentar mengenai persyaratan hukum atau peraturan sangat
relevan, karena organisasi sering kali harus menoleransi suatu risiko karena persyaratan hukum atau
peraturan, bahkan dalam keadaan di mana organisasi tidak ingin menoleransi risiko tersebut. Perlu
dicatat bahwa toleransi berkaitan dengan risiko spesifik atau risiko individual, bukan pendekatan yang
lebih umum yang diwakili oleh selera risiko. Selera risiko mengacu pada jumlah dan jenis risiko yang
ingin diambil atau dipertahankan oleh suatu organisasi.
Terdapat kebingungan terminologi antara kapan suatu organisasi bersedia menoleransi suatu risiko
dan konsep toleransi risiko. Konsep toleransi biasanya berkaitan dengan kesediaan organisasi untuk
mempertahankan atau menoleransi suatu risiko, bahkan jika risiko tersebut lebih tinggi daripada yang
bersedia diterima oleh organisasi. Konsep lainnya adalah toleransi risiko. Banyak organisasi
menggunakan toleransi risiko dalam pengertian teknis untuk mewakili rentang risiko yang dapat diterima
secara luas. Di dalam
Gambar 25.1, bagian tengah dari zona prihatin dan zona hati-hati menggambarkan batas di
sekitar toleransi risiko. Seperti halnya penggunaan kata toleransi secara rekayasa, zona-
zona ini menentukan batas-batas yang diinginkan organisasi untuk membatasi tingkat risiko.
Suatu organisasi mungkin harus menoleransi risiko yang tingkatnya saat ini berada di
luar zona nyaman dan selera risikonya. Kadang-kadang, suatu organisasi bahkan mungkin
harus menoleransi risiko yang berada di luar kapasitas risiko sebenarnya. Namun, situasi ini
tidak akan berkelanjutan dan organisasi akan menjadi rentan selama periode ini.
Ketika risiko bahaya dianggap berada dalam risk appetite organisasi, maka organisasi
akan menoleransi risiko tersebut. Toleransi risiko ditampilkan sebagai pendekatan yang
akan diterapkan dalam kaitannya dengan risiko dengan kemungkinan rendah dan dampak
rendah. Namun, suatu organisasi dapat memutuskan untuk menoleransi tingkat risiko yang
tinggi karena risiko tersebut terkait dengan aktivitas yang berpotensi menghasilkan
keuntungan atau terkait dengan proses inti yang mendasar bagi sifat organisasi.
Merupakan hal yang tidak biasa bagi suatu risiko bahaya untuk diterima atau ditoleransi
sebelum tindakan pengendalian risiko diterapkan. Secara umum, suatu risiko hanya dapat
ditoleransi ketika semua tindakan pengendalian yang hemat biaya telah diterapkan, sehingga
organisasi menerima atau menoleransi risiko tersebut pada tingkatnya saat ini. Tindakan
pengendalian tertentu mungkin diterapkan karena tingkat risiko yang melekat mungkin tidak
dapat diterima. Upaya pengendalian berupaya memindahkan risiko ke kuadran kemungkinan
rendah/dampak rendah dalam matriks risiko, sebagaimana diilustrasikan pada Gambar 16.1.
Terkadang risiko hanya diterima sebagai bagian dari pengaturan dimana satu risiko
diseimbangkan dengan risiko lainnya. Ini adalah deskripsi sederhana mengenai netralisasi
atau lindung nilai risiko, namun pada tingkat bisnis, hal ini mungkin mewakili keputusan
strategis yang penting secara fundamental. Misalnya, sebuah perusahaan listrik yang
beroperasi secara independen di negara bagian Amerika Serikat bagian utara mungkin
harus menerima dampak variasi suhu terhadap penjualan listrik. Dengan menggabungkan
(atau mendirikan usaha patungan) dengan perusahaan listrik di negara bagian selatan,
operasi gabungan utara/selatan akan mampu memperlancar variasi penjualan listrik terkait
suhu. Operasi gabungan ini kemudian akan menjual lebih banyak listrik di negara bagian
utara selama cuaca dingin, ketika permintaan di negara bagian selatan rendah. Sebaliknya,
operasi gabungan ini akan menjual lebih banyak listrik untuk unit AC di negara bagian
selatan pada musim panas
permintaan listrik di negara bagian utara mungkin lebih rendah.
Perlakukan risiko
Ketika tingkat paparan risiko (kemungkinan) yang terkait dengan bahaya tertentu tinggi namun potensi kerugian
(dampak) yang terkait dengannya rendah, maka organisasi ingin menangani risiko tersebut. Perlakuan risiko
sering kali dilakukan dengan risiko pada tingkat bawaan dan/atau tingkat saat ini, sehingga ketika risiko telah
ditangani, tingkat atau tingkat target baru saat ini mungkin dapat ditoleransi.
Tindakan untuk meningkatkan standar pengendalian risiko akan selalu ditinjau secara konstan dalam suatu
organisasi. Secara pribadi, mengenakan sabuk pengaman saat mengendarai mobil atau memasang alarm
penyusup di rumah adalah contoh tindakan pengurangan risiko. Perbaikan terhadap standar pengendalian risiko
sehubungan dengan risiko fisik (yang dapat diasuransikan) sudah banyak diketahui. Memasang alat penyiram
air pada gedung, menyediakan pengaturan keamanan gedung yang lebih baik, dan pemeriksaan keamanan
karyawan merupakan contoh tindakan peningkatan risiko yang dirancang untuk mengelola risiko bahaya dengan
lebih baik.
Ketika mengidentifikasi pilihan penanganan risiko yang sesuai, organisasi perlu melihat dampak penanganan
terhadap kemungkinan terjadinya risiko serta melihat dampak risiko jika risiko tersebut terwujud. Perlakuan risiko
yang hemat biaya perlu dipilih dan dampak dari tindakan pengendalian yang berbeda
dapat ditampilkan pada matriks risiko, seperti pada Gambar 16.1.
Ada masalah terminologi yang terkait dengan risiko pengobatan. ISO 31000 menganggap bahwa 'perlakukan
risiko' adalah judul utama yang memuat berbagai opsi, seperti:
menghindari risiko dengan memutuskan untuk tidak memulai atau melanjutkan aktivitas;
mengambil atau meningkatkan risiko untuk mengejar peluang;
menghilangkan sumber risiko;
mengubah kemungkinan atau konsekuensinya;
berbagi risiko dengan pihak atau pihak lain;
mempertahankan risiko dengan keputusan yang tepat.

Standar manajemen risiko lainnya mengacu pada 'respon risiko' sebagai judul utama
dan pendekatan inilah yang digunakan dalam bab ini. Menggunakan respons risiko
sebagai arah utama kemudian memunculkan pilihan untuk menoleransi, menangani,
mentransfer, dan mengakhiri. Seperti semua isu terminologi, organisasi harus
menetapkan kosakata risikonya sendiri, yang konsisten dengan konteks eksternal,
internal, dan manajemen risiko.
Dalam beberapa kasus, terminologi akan ditentukan oleh konteks eksternal.
Misalnya, bank dan lembaga keuangan lainnya perlu menggunakan terminologi
regulator. Terkadang, terminologi ditentukan oleh konteks internal dalam organisasi.
Jika terminologi yang telah dikembangkan dalam organisasi tidak konsisten dengan
terminologi dalam ISO 31000, mungkin manajer risiko akan lebih disarankan untuk
menggunakan terminologi yang sudah ada dalam organisasi, daripada mencoba
memperkenalkan istilah atau istilah baru. arti baru untuk istilah-istilah yang sudah
ada.
Mentransfer risiko
Ketika kemungkinan terjadinya risiko rendah namun potensinya tinggi, organisasi
akan ingin mentransfer risiko tersebut. Asuransi adalah mekanisme yang mapan
untuk mentransfer dampak finansial dari kerugian yang timbul dari risiko bahaya dan
(pada tingkat lebih rendah) risiko pengendalian. Permasalahan yang terkait dengan
penggunaan asuransi sebagai mekanisme pengalihan risiko dibahas secara lebih
rinci di Bab 17.
Dalam beberapa kasus, pengalihan risiko berkaitan erat dengan keinginan untuk
menghilangkan atau menghentikan risiko. Namun, banyak risiko yang tidak dapat
dialihkan ke pasar asuransi, baik karena tingginya premi asuransi atau karena risiko
yang dipertimbangkan (secara tradisional) tidak dapat diasuransikan.
Pengalihan risiko dapat dilakukan melalui asuransi konvensional dan juga melalui
perjanjian kontrak. Dimungkinkan juga untuk menemukan mitra usaha patungan,
atau cara lain untuk berbagi risiko. Oleh karena itu, lindung nilai atau netralisasi risiko
dapat dianggap sebagai opsi pengalihan risiko, serta opsi perlakuan risiko.
Biaya pengalihan risiko merupakan komponen pembiayaan risiko. Sekali lagi, ada
variasi dalam definisi yang digunakan. Sehubungan dengan pembiayaan risiko, BS 31100
menyatakan bahwa pembiayaan risiko melibatkan biaya pengaturan kontinjensi untuk penyediaan
dana guna memenuhi dampak keuangan dari terwujudnya risiko. Pengaturan seperti ini biasanya
disediakan oleh asuransi, dan oleh karena itu, asuransi merupakan pembiayaan yang bergantung
pada terjadinya peristiwa-peristiwa tertentu yang diasuransikan.
Perbedaan definisi antara BS 31100:2008 dan ISO 31000:2009 yang kini digantikan adalah
bahwa ISO 31000 juga mempertimbangkan bahwa biaya pembiayaan risiko harus mencakup
penyediaan dana untuk memenuhi biaya penanganan risiko. Dalam teks ini, sumber daya
pengendalian dianggap sebagai langkah terpisah dalam proses manajemen risiko. Ini adalah
contoh lain yang menggambarkan bahwa tidak ada bahasa risiko yang disepakati secara universal
atau umum.
Ada isu lain mengenai terminologi dengan penggunaan frasa 'transfer risiko'.
ISO 31000 merekomendasikan agar pembagian risiko sebaiknya digunakan dibandingkan transfer
risiko. Argumennya adalah bahwa suatu risiko tidak akan pernah dapat sepenuhnya dialihkan dan
apa pun niat para pihak, risiko akan selalu ditanggung bersama, sampai batas tertentu. Ini adalah
analisis yang akurat, namun pilihan terminologi yang digunakan dalam suatu organisasi juga akan
dipengaruhi oleh faktor-faktor lain. Dalam kaitannya dengan pembagian risiko, industri asuransi
menggunakan terminologi risk transfer. Mungkin sulit bagi manajer risiko perusahaan untuk
memaksakan penggunaan frasa pembagian risiko ketika manajer asuransi dalam organisasi lebih
memilih menggunakan terminologi transfer risiko karena itulah terminologi standar yang digunakan
dalam konteks eksternal yaitu pasar asuransi.
Hentikan risiko
Ketika suatu risiko mempunyai kemungkinan besar dan potensi dampak yang tinggi, organisasi
akan ingin menghentikan atau menghilangkan risiko tersebut. Mungkin saja risiko perdagangan di
wilayah tertentu di dunia atau risiko lingkungan yang terkait dengan penggunaan bahan kimia
tertentu secara terus-menerus tidak dapat diterima oleh organisasi dan/atau pemangku
kepentingannya. Dalam keadaan ini, respons yang tepat adalah menghilangkan risiko dengan
menghentikan proses atau aktivitas, mengganti aktivitas alternatif, atau melakukan outsourcing
aktivitas yang terkait dengan risiko.
Suatu organisasi mungkin ingin menghentikan suatu risiko, namun bisa saja hal tersebut terjadi
aktivitas yang menimbulkan hal tersebut merupakan hal mendasar bagi kelangsungan operasi
organisasi. Dalam keadaan seperti ini, organisasi mungkin tidak dapat menghentikan atau
menghilangkan risiko secara keseluruhan sehingga perlu menerapkan langkah-langkah
pengendalian alternatif.
Hal ini merupakan permasalahan khusus dalam pelayanan publik. Mungkin terdapat risiko
tertentu yang mempunyai kemungkinan besar dan dampak tinggi, namun organisasi tidak dapat
menghentikan aktivitas yang menimbulkan risiko tersebut. Hal ini mungkin terjadi karena kegiatan
tersebut merupakan persyaratan undang-undang yang dibebankan pada lembaga pemerintah
atau otoritas publik. Keharusan pelayanan publik dapat membatasi kemampuan untuk
menghentikan aktivitas, sehingga organisasi perlu menerapkan langkah-langkah pengendalian,
semaksimal mungkin yang hemat biaya.
Kemungkinan besar tindakan pengendalian tersebut merupakan kombinasi perlakuan risiko

dan pengalihan risiko. Ketika langkah-langkah pengendalian ini diterapkan, tingkat risiko akan
berpindah ke tingkat di mana organisasi dapat mentoleransi risiko tersebut. Karena sifat risiko
yang bervariasi, tidak mungkin untuk menempatkan seluruh risiko ke tingkat yang sesuai dengan
selera risiko organisasi. Organisasi mungkin menyadari bahwa mereka harus menoleransi risiko
di luar selera risiko empirisnya agar dapat terus melakukan aktivitas tertentu.
Respons risiko strategis

Pendekatan keseluruhan terhadap pengelolaan risiko pengendalian dan peluang serupa dengan
pendekatan yang diterapkan dalam pengelolaan risiko bahaya. Namun, terdapat perbedaan yang
cukup dalam rentang pilihan yang tersedia sehingga dapat disajikan secara terpisah. Perlu diingat
bahwa proyek biasanya mencerminkan dan menerapkan taktik yang digunakan untuk menerapkan
strategi.
Gambar 16.1 mengilustrasikan 4T manajemen risiko bahaya dan jenis pengendalian yang
paling mungkin dikaitkan dengan setiap jenis respons risiko bahaya. Jenis kontrol dibahas di
bawah ini. Bab ini hampir secara eksklusif membahas respons terhadap risiko bahaya. 4T
mewakili pilihan-pilihan untuk memitigasi risiko bahaya.
Gambar 15.2 menunjukkan bahwa terdapat berbagai respons yang tersedia untuk pengelolaan
risiko peluang. Mengembangkan dan menerapkan efektif dan
strategi yang efisien akan memerlukan evaluasi tingkat risiko yang terkait dengan setiap
strategi yang tersedia dan tingkat imbalan yang akan diberikan oleh strategi tersebut.
GAMBAR 15.2 Risiko versus imbalan dalam strategi
4E manajemen peluang ditetapkan sebagai ada, jelajahi, eksploitasi, dan keluar. Terdapat
hubungan erat antara 4E dan status organisasi, seperti yang diilustrasikan pada Gambar
15.2. Operasi start-up akan menghadapi tingkat risiko yang lebih tinggi dan potensi imbalan
yang rendah.
Peluang wirausaha akan dijajaki saat ini. Seiring pertumbuhan organisasi, potensi
imbalan akan meningkat sementara tingkat risiko akan tetap tinggi. Organisasi akan
berusaha mencapai pertumbuhan, namun mungkin merasa bahwa pertumbuhan terlalu
lambat atau tingkat risiko masih terlalu tinggi, dan jika demikian maka organisasi akan keluar
dari operasi tersebut.
Setelah periode pertumbuhan, organisasi harus memperoleh imbalan yang tinggi dengan
mengurangi risiko. Ini mewakili fase di mana organisasi akan memanfaatkan peluang
sampai pesaing datang. Ini adalah operasi yang matang. Semua operasi yang sudah
matang dihadapkan pada kemungkinan penurunan, meskipun banyak organisasi memilih
untuk berada di pasar yang sudah matang dan menurun, dimana eksposur risiko rendah dan sebagainya.
adalah imbalan potensial.
Penerapan 4E pada pengelolaan risiko strategis, peluang, atau spekulatif konsisten dengan
deskripsi risiko dan imbalan yang ditawarkan pada Gambar 2.2. Namun, mengejar peluang risiko dan
pengembangan tujuan strategis adalah isu yang paling penting bagi banyak organisasi. Masukan
manajemen risiko ke dalam pengambilan keputusan strategis mungkin tidak selalu kuat dan terstruktur
dengan baik seperti masukan manajemen risiko ke dalam operasi dan proyek.
Alokasi jenis respons dan pengendalian yang dominan pada masing-masing empat kuadran yang
ditunjukkan pada Gambar 15.2 serupa dengan alokasi 4T yang menggunakan manajemen risiko
bahaya. Berada di pasar yang matang atau sedang menurun serupa dengan menerima ketidakpastian
dalam taktik dan menoleransi risiko bahaya. Mengeksplorasi peluang serupa dengan
mempertimbangkan pilihan untuk menangani risiko bahaya. Dalam bidang pemanfaatan peluang dan
keluarnya peluang, perbedaan pendekatan antara pengelolaan bahaya dan ketidakpastian
dibandingkan dengan pengelolaan peluang menjadi paling nyata.
Gambar 15.3 menunjukkan penyempurnaan dari Gambar 15.2 dimana area dengan risiko tinggi
dan potensi imbalan tinggi dievaluasi secara lebih rinci dengan mempertimbangkan selera risiko.
Suatu organisasi mungkin menemukan bahwa ia memiliki peluang bisnis yang layak namun tidak
memiliki sumber daya untuk memanfaatkannya sendiri. Dalam keadaan seperti ini, organisasi
mempunyai tiga pilihan utama. Perusahaan mungkin keluar dari peluang tersebut karena tidak
mempunyai selera risiko atau kapasitas risiko untuk mengejar peluang tersebut. Perusahaan mungkin
menjual peluang tersebut kepada organisasi yang memang mempunyai keinginan, kapasitas dan
sumber daya untuk memanfaatkan peluang tersebut, atau organisasi tersebut mungkin berupaya untuk berbagi peluan
GAMBAR 15.3 Risiko peluang dan selera risiko
Keluar dari peluang ini mungkin merupakan pilihan yang tepat, karena organisasi tidak memiliki
selera risiko, kapasitas atau sumber daya untuk mengejar peluang tersebut dan belum mampu atau
tidak mau menemukan mitra untuk membeli atau membaginya.
Namun, sebagian besar organisasi yang memiliki peluang besar ingin memperoleh manfaat dari
identifikasi peluang tersebut. Menjual peluang tersebut mungkin memberikan jalan keluar yang
menguntungkan, namun membaginya dengan, misalnya, mitra usaha patungan mungkin merupakan
pilihan jangka panjang yang lebih baik.
Memasuki kemitraan usaha patungan akan mengurangi tingkat risiko yang dihadapi organisasi,
namun akan menghasilkan pembagian manfaat. Keputusan ini akan bergantung pada strategi bisnis,
selera risiko, kapasitas risiko, dan ketersediaan mitra bisnis yang sesuai. Selain kemitraan usaha
patungan, pemanfaatan peluang bisnis juga dapat dilakukan dengan berbagi risiko, menggunakan
cara seperti outsourcing untuk berbagi risiko dengan pihak lain dalam rantai pasokan.
Perlu dicatat bahwa Gambar 15.3 mewakili diagram alur dari start-up
(Jelajahi peluang) menuju pertumbuhan (Perluas), lalu ke organisasi yang matang

(Eksploitasi) sebelum bergerak menuju kemunduran (Eksistensi). Oleh karena itu, mirip
dengan Gambar 2.2. Namun, peraturan ini memiliki penyempurnaan tambahan bahwa
seiring dengan keinginan organisasi untuk melakukan ekspansi, organisasi akan
mempunyai pilihan untuk keluar jika selera risiko dan/atau kapasitas risiko organisasi
terlampaui. Hal ini memperluas pendekatan 4E menjadi 5E, tergantung pada selera risiko.
Kotak teks di bawah ini memberikan contoh pendekatan yang diterapkan pada manajemen
peluang, meskipun terminologinya (seperti yang sering terjadi dalam manajemen risiko) sedikit berbeda.
Evaluasi dan respons peluang

Tujuan dari evaluasi dan respon adalah untuk memutuskan peluang mana yang memerlukan
respon dan respon apa yang direkomendasikan. Berikut ini adalah istilah-istilah dan konsep-konsep
utama ketika memutuskan bagaimana merespons suatu peluang dan dapat digunakan secara
kombinasi:
Meningkatkan: peluang yang setara dengan 'mitigasi' risiko adalah meningkatkan

peluang dengan meningkatkan kemungkinan dan/atau dampaknya.
Eksploitasi: setara dengan respons 'menghindari', namun strategi 'eksploitasi' berupaya

mewujudkan peluang tersebut.
Abaikan: strategi 'penerimaan' tidak mengambil tindakan untuk menghadapi risiko bahaya, dan
peluang dapat diabaikan, dengan pendekatan reaktif namun tidak ada tindakan eksplisit.
Berbagi (mentransfer) peluang: strategi 'berbagi' untuk peluang mencari mitra yang mampu
mengelola peluang yang dapat memaksimalkan peluang terjadinya.
16
Teknik pengendalian risiko
Jenis kontrol
Ada serangkaian pengendalian yang dapat diterapkan pada risiko bahaya. Sistem klasifikasi
yang paling mudah adalah menggambarkan pengendalian ini sebagai pencegahan, perbaikan,
direktif, dan detektif. Ini adalah sistem klasifikasi risiko yang disarankan dalam Buku Oranye.
Tabel 16.1 memberikan penjelasan lebih rinci mengenai keempat jenis pengendalian bahaya
ini.
TABEL 16.1 Deskripsi jenis pengendalian bahaya
1 Pencegahan Pengendalian ini dirancang untuk membatasi kemungkinan terwujudnya

(menghentikan)hasil yang tidak diinginkan. Semakin penting menghentikan dampak yang
tidak diinginkan, maka semakin penting pula penerapan
pengendalian preventif yang tepat.
2 Korektif Pengendalian ini dirancang untuk membatasi ruang lingkup kerugian

(mengobati) dan mengurangi hasil yang tidak diinginkan yang telah terjadi. Mereka
juga dapat memberikan jalan lain untuk mencapai pemulihan terhadap
kehilangan atau kerusakan.
3 Petunjuk Pengendalian ini dirancang untuk memastikan bahwa hasil tertentu

(transfer) tercapai. Hal ini didasarkan pada pemberian arahan kepada masyarakat
tentang bagaimana memastikan bahwa kerugian tidak terjadi.
Hal ini penting, namun bergantung pada orang-orang yang
mengikuti sistem kerja aman yang telah ditetapkan.
4 Detektif Pengendalian ini dirancang untuk mengidentifikasi kejadian ketika hasil

(mentolerir) yang tidak diinginkan telah terjadi. Efeknya, menurut definisi, adalah
'setelah kejadian' sehingga hanya sesuai saja
menurut definisinya, 'setelah kejadian' sehingga hanya cocok jika

kita dapat menerima bahwa kerugian atau kerusakan telah terjadi.
Sehubungan dengan risiko bahaya, pilihan pengendalian preventif, korektif,

direktif dan detektif (PCDD) mewakili hierarki pengendalian yang jelas. Hubungan
antara keempat jenis pengendalian ini dan respons risiko dominan untuk berbagai
tingkat risiko diilustrasikan pada matriks risiko yang ditunjukkan pada Gambar 16.1.
Tabel 16.2 memberikan contoh keempat jenis pengendalian ini sehubungan dengan
risiko kesehatan dan keselamatan.
GAMBAR 16.1 Jenis pengendalian risiko bahaya
TABEL 16.2 Contoh hierarki pengendalian bahaya
Kontrol
umum Hierarki pengendalian risiko Hirarki pengendalian risiko
kategori kesehatan dan keselamatan penipuan
Penghapusan Pencegahan atau penghapusan Batasan otorisasi dan

sumber bahayanya pemisahan tugas
Penggantian bahaya Penyaringan
dengan sesuatu yang lebih pra-pekerjaan
kecil risikonya terhadap calon
staf
Rekayasa Korektif pembendungan dengan Kata sandi atau lainnya

menggunakan pembatas atau pelindung kontrol akses
Pengurangan eksposur sebesar Rotasi staf dan
Pengurangan paparan melalui Rotasi staf dan
rotasi pekerjaan atau pembatasan pergantian pengawas

jam kerja secara berkala
Pengarahan Pelatihan dan pengawasan untuk Dapat diakses, terperinci,

menegakkan prosedur sistem dan prosedur tertulis
Alat pelindung diri dan Pelatihan untuk memastikan
peningkatan fasilitas
kesejahteraan pemahaman tentang
prosedur
Detektif Pemantauan kesehatan Rekonsiliasi, audit dan

untuk mengetahui potensi gejala review oleh audit
Surveilans kesehatan internal
untuk mengetahui gejala awal Kebijakan

whistleblowing untuk
melaporkan (dugaan) kecurangan
Pengendalian preventif dirancang untuk membatasi kemungkinan terjadinya peristiwa bahaya yang
tidak diinginkan. Mayoritas pengendalian yang diterapkan dalam organisasi dalam menanggapi risiko
bahaya adalah pengendalian preventif. Untuk risiko kesehatan dan keselamatan, pengendalian
pencegahan akan mencakup penggantian bahan yang tidak terlalu berbahaya dalam aktivitas atau
menutup aktivitas sehingga paparan debu atau asap pada karyawan dapat dihilangkan. Contoh
pengendalian preventif terhadap risiko penipuan ditunjukkan pada Tabel 16.2.
Pengendalian korektif dirancang untuk memperbaiki keadaan yang tidak diinginkan dan mengurangi
paparan risiko yang tidak dapat diterima. Pengendalian tersebut memberikan metode utama dalam
menangani risiko sehingga risiko tersebut kecil kemungkinannya terjadi dan/atau dampaknya jauh
berkurang. Secara umum, pengendalian korektif dirancang untuk memperbaiki situasi. Misalnya,
penjaga mesin adalah pengendalian korektif.
Terdapat perdebatan mengenai perencanaan pemulihan bencana (DRP) dan perencanaan

kesinambungan bisnis (BCP) dan apakah keduanya cocok dengan klasifikasi PCDD untuk berbagai
jenis pengendalian risiko bahaya. Beberapa organisasi menganggap DRP dan BCP sebagai
pengendalian direktif, sedangkan organisasi lain berpendapat bahwa keduanya merupakan pengendalian
korektif. Pendekatan alternatif adalah dengan mengatakan bahwa DRP dan BCP berkaitan dengan
manajemen krisis dan tidak dapat dengan mudah diklasifikasikan sebagai jenis PCCD.
kontrol dan harus dianggap sebagai jenis kontrol kelima.
Pada kenyataannya argumen ini, seperti banyak argumen lain mengenai terminologi, tidak
membantu. Ketika suatu organisasi dihadapkan pada krisis, organisasi akan berada dalam posisi yang
lebih baik untuk mengatasinya jika rencana telah dipertimbangkan dan dilaksanakan sebelum krisis
terjadi. Terkadang manajemen krisis melibatkan penggunaan fasilitas alternatif yang telah ada sebelum
krisis muncul. Dapat dikatakan bahwa ini adalah pengendalian korektif.
Dalam semua kasus, manajemen krisis akan melibatkan arahan kepada pihak-pihak yang terlibat
mengenai bagaimana mereka harus berperilaku jika krisis muncul. Dapat dikatakan bahwa ini adalah
pengendalian direktif. Biasanya, pengendalian detektif berkaitan dengan identifikasi keadaan di mana
risiko terjadi pada tingkat yang cukup rendah dengan dampak dan konsekuensi yang terbatas. Jelasnya,
DRP dan BCP berhubungan dengan keadaan dimana risiko telah terwujud pada tingkat krisis. Oleh
karena itu, tidak tepat untuk mengklasifikasikan DRP dan BCP sebagai pengendalian detektif.
Representasi kupu-kupu dari proses manajemen risiko adalah cara yang tepat untuk menggambarkan
peran keempat jenis pengendalian. Pengendalian preventif relevan dengan tindakan yang diambil
sebelum peristiwa terjadi. Sifat detektif
pengendalian berarti bahwa pengendalian tersebut berkaitan dengan keadaan setelah peristiwa terjadi.
Pengendalian korektif dan direktif mungkin relevan dengan pencegahan kerugian, pembatasan
kerusakan, dan pengendalian biaya. Ini adalah tiga fase pengendalian kerugian. Relevansi jenis
pengendalian dengan presentasi proses manajemen risiko ditunjukkan pada Gambar 16.2. Sebagai
ilustrasi, gambar ini menggunakan bahaya kerusakan bangunan yang sama seperti yang ditunjukkan
pada Gambar 11.2.

Risk Management (Translate)

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Risk Management (Translate)

Diunggah oleh

Hak Cipta:

Format Tersedia

Machine Translated by Google

Machine Translated by Google

Menuju masa depan yang aman, tenteram, dan berkelanjutan

Ucapan Terima Kasih

Manajemen risiko dalam konteks

Perubahan untuk edisi kelima

BAGIAN SATU Pengantar manajemen risiko

Hasil pembelajaran untuk Bagian Satu

Grup Peringkat: Bagaimana kita mengelola risiko

ABIL: Tinjauan manajemen risiko

01 Pendekatan untuk mendefinisikan risiko

Sistem klasifikasi risiko

02 Dampak risiko pada organisasi

Dampak risiko bahaya

Risiko dan pemicunya

Skala waktu dampak risiko

04 Ruang lingkup manajemen risiko

Asal usul manajemen risiko

Representasi sederhana dari manajemen risiko

05 Prinsip dan tujuan manajemen risiko

Prinsip manajemen risiko

BAGIAN DUA Pendekatan manajemen risiko

Hasil pembelajaran Bagian Kedua

United Utilities: Kerangka kerja manajemen risiko kami

06 Standar manajemen risiko

Ruang lingkup standar manajemen risiko

Ruang lingkup konteksnya

Konteks manajemen risiko

08 Manajemen risiko perusahaan

Pendekatan di seluruh perusahaan

ERM dalam praktiknya

ERM dan kelangsungan bisnis

Mengintegrasikan strategi dan kinerja

Mengubah wajah manajemen risiko

BAGIAN KETIGA Penilaian risiko

Hasil pembelajaran Bagian Ketiga

AA: Tata kelola risiko

Anjing Pemandu NSW/ACT: Daftar sisa risiko utama

10 Pertimbangan penilaian risiko

Pentingnya penilaian risiko

11 Sistem klasifikasi risiko

Risiko jangka pendek, menengah dan panjang

Sifat sistem klasifikasi risiko

Sistem klasifikasi risiko PESTLE

12 Analisis dan evaluasi risiko

Penerapan matriks risiko

4T respons risiko bahaya

14 Mendefinisikan sisi atas risiko

Sisi positif dari risiko

Terbalik dalam strategi

Terbalik dalam operasi

BAGIAN KEEMPAT Respon risiko

Hasil pembelajaran Bagian Keempat

Intu Properties: Pembaruan asuransi

15 Menoleransi, mengobati, mentransfer, dan mengakhiri

Respons risiko strategis

16 Teknik pengendalian risiko

17 Asuransi dan pengalihan risiko

Perusahaan asuransi tawanan

Manajemen kelangsungan bisnis

BAGIAN LIMA Strategi risiko

Hasil pembelajaran Bagian Kelima

AMEC Foster Wheeler: Risiko dan ketidakpastian utama