Kerangka kerja Manajemen

Risiko ISO 31000:2018 (3)

 Membangun budaya risiko Perilaku (behavior) dari
kelompok dan
Salah satu model budaya: model generik konstutuennya dibentuk
ABC dari IRM oleh sikap dasar
(attitude) individu-
individu anggota
shapes
kelompok tersebut

Perilaku (behavior) dan

sikap dasar (attitude) forms
Budaya (culture) dari
dipengaruhi oleh budaya suatu kelompok terjadi
kelompok yang terbentuk sebagai akibat perilaku
(behavior) yang
influence
berulang dari anggota-
terjadi siklus yang saling anggota kelompok
mempengaruhi influence
tersebut
 Budaya sadar risiko
digunakan untuk lebih
mempertajam pengertian
budaya perusahaan secara
khusus terhadap bagaimana
kemampuannya bersama
mengelola risiko
Beberapa hal penting untuk dipahami

Risk attitude: sikap yang dipilih oleh seseorang/kelompok terhadap risiko

sebagai akibat dari persepsi terhadap risiko atau sikap awal yang dimiliki

Risk behavior: perilaku yang tampak terkait risiko, misalnya pengambilan

keputusan berbasis risiko, komunikasi tentang risiko, dan melaksanakan proses
manajemen risiko

Risk culture: nilai-nilai kepercaaan, pengetahuan, dan pemahaman mengenai

risiko yang dianut oleh sekelompok orang yang memiliki tujuan sama,
khususnya pemimpin dan karyawan sebuah organisasi atau perusahaan
 Menetapkan risk
Mendorong perilaku sadar risiko
attitude yang
dan siap:
berupa sikap positif
• Menangani potensi risiko yang
bahwa manajemen
mengancam pencapaian sasaran
risko menjadi
kewajiban semua • Mengambil peluang yang
Hal-hal orang mempercepat pencapaian sasaran
penting dalam
pembentukan
• Keyakinan dan kesadaran terhadap
budaya riiko Mengetahui hal-hal
manajemen risiko
yang membentuk • Adanya kepemimpinan risiko
risk attitude
• Lingkungan penerapan
sehingga diperoleh
manajemen risiko yang inklusif
sifat budaya yang • Pengalaman penerapan
positif
manajemen risiko
 Organisasi perlu mengembangkan program
pembentukan budaya sadar risiko

Budaya Risiko Perusahaan

• Sadar dan yakin terhadap

manajemen risiko
• Kepemimpinan risiko
Sikap risiko Perilaku risiko Budaya risiko
• Lingkungan penerapan
(Risk attitude) (risk behavior) (risk culture)
manajemen risiko
• Pengalaman penerapan
manajemen risiko
Alokasi Sumberdaya

Direksi mengacu pada Rencana strategis Anggaran dimasukkan ke

rencana strategis diuraikan menjadi suatu dalam rencana
pembangunan rencana tindakan (action operasional organisasi
manajemen risiko plan, lengkap dengan sesuai dengan waktu
organisasi sasaran dan jadwal eksekusi
 Anggaran untuk pendampingan oleh konsultan guna
Tahap
melakukan kegiatan pembentukan budaya risiko
keempat diseluruh organisasi, dimulai dengan skala kecil

• Perlu disusun prioritas proses yang akan dilakukan terlebih dahulu

• Jika kurang yakin dapat memakai pendampingan dari konsultan
Tahap
• Anggaran sumberdaya harus termasuk anggaran konsultan untuk
ketiga pendampingan, penyediaan personel internal dan anggaran
perangkat lain jika diperlukan

Tahap • Penggunaan biaya lebih banyak pada

• kebutuhan pelatihan dan pengembangan professional karyawan
kedua • Perencanaan pengembangan sistem informasi dan knowledge management

• Biaya lebih banyak pada pekerjaan intelektual yang diperlukan untuk

Tahap
membangun fondasi manajemen risiko
pertama
• Sudah direncanakan kebutuhan sdm untuk tahapan penerapan selanjutnya
 Membangun metode komunikasi dan
konsultasi

Komunikasi: berbagi informasi

dengan para pemangku
Perlu diidentifikasi
kepentingan dan pihak-pihak lain
dengan jelas mengenai
yang terkait Harus mencerminkan
para pemangku
harapan pemangku
kepentingan yang
kepentingan terkait
terlibat dalam
Konsultasi: melibatkan para pihak penanganan risiko
terkait dengan risiko yang
ditangani untuk terlibat dalam
pengambilan keputusan
 RESPONSIBLE
Siapa yang mengerjakan kegiatan tersebut:
Process Owner atau Risk Treatment Owner
ACCOUNTABLE
Siapa yang berhak membuat keputusan akhir atas
Metode suatu kegiatan. Biasanya adalah Risk owner
Matriks
yang banyak CONSULTED
RACI
digunakan Siapa yang diajak konsultasi atau dilibatkan
sebelum atau saat kegiatan dilaksanakan
INFORMED
Siapa yang harus diberi informasi mengenai apa
yang sedang terjadi atau dilakukan tanpa harus
menghentikan kegiatan tersebut
Posisi R: pembuat laporan, disampaikan ke semua pihak

Pembicaraan lebih intens dilakukan dengan pihak A

sebagai pemegang akuntabilitas untuk tiap tahap proses
manajemen risiko
Dengan pihak C, selain mendapatkan data/informasi,
bila perlu dilakukan konsultasi atas suatu permasalahan
yang memerlukan solusi
Contoh Matriks RACI
Komite Fungsi
Tahap Proses Dewan Divisi
No Pemantau Direksi Manajemen
Manajemen Risiko Komisaris Operasional
Risiko Risiko
1 Persiapan I A R I
Komunikasi dan
2 I I A R C
Konsultasi
3 Menentukan Konteks I C A R C
4 Asesmen Risiko
Identifikasi Risiko I I C R A/R
Analisis Risiko I I C R A/R
Evaluasi Risiko I I A C R
5 Perlakuan Risiko I I A C R
6 Monitoring dan Review I R A R C
Pelaporan Manajemen
7 C C A R R/C
Risiko
Penyusunan matriks RACI dapat dilakukan dengan metode
Pemetaan Proses Bisnis

Hasil pemetaan proses bisnis digunakan sebagai dasar

penetapan sisi vertikal matriks RACI: peran para pihak
sesuai simbol RACI

Hasil penyusunan matriks RACI digunakan sebagai bahan

dasar penyusunan Pedoman Komunikasi dan Konsultasi
selama pelakasnaan Proses Manajemen Risiko
 Kebijakan manajemen risiko yang telah
ditetapkan, merupakan landasan dan pengaturan
organisasi penerapan manajemen risiko

Penyusunan rencana Strategi dan arah penerapan manajemen risiko,

khususnya peta jalan penerapan manajemen
implementasi risiko yang telah ditetapkan
kerangka kerja
manajemen risiko Struktur tata kelola manjemen risiko yang telah
harus ditetapkan, khususnya tentang wewenang dan
mempertimbangkan: akuntabilitas pemilik risiko serta peran lain dalam
model pertahanan tiga lapis

Menjadikan prinsip-prinsip manajemen risiko

sebagai acuan dalam proses implementasi
manajemen risiko organisasi
 Arah penerapan manajemen risiko

Jabarkan dan
Tentukan visi
tetapkan
dan misi
sasaran Susun peta
organisasi Tetapkan kinerja jalan Komunikasi
sasaran
penerapan dan
jangka
Kembangkan manajemen konsultasi
Tentukan panjang
kriteria risiko risiko
nilai-nilai
dan
organisasi
indikatornya
 Untuk setiap tahapan
harus disusun:
Peta jalan penerapan
• Jadwal implementasi
manajemen risiko Harus dijabarkan lebih
yang lebih rinci
harus menjabarkan rinci aktivitas yang akan
• Kebutuhan
lebih rinci aktivitas dilaksanakan pada tiap
sumberdaya untuk
yang akan dilaksanakan tahapan
kegiatan terkait
pada tiap tahapan
• Penanggungjawab
pelaksanaan
 Peta jalan penerapan manajemen
risiko membutuhkan waktu beberapa
tahun untuk menerapkan secara
penuh Perencanaan rinci
Perencanaan secara
dibuat per tahun
Manajemen risiko adalah proses garis besar dapat
lengkap dengan
yang berkelanjutan, bukan proyek dibuat untuk seluruh
sumberdaya yang
yang memiliki titik awal dan titik tahapan dengan
diperlukan dan
akhir lingkup beberapa
penanggungjawab
tahun
tiap kegiatan
Tahapan dalam peta jalan bukan
merupakan tahapan yang sekuensial
Persetujuan dari
anggota Direksi yang
ditetapkan sebagai
Pemimpin Risiko
Organisasi
 Perencanaan dan implementasi manajemen risiko harus disesuaikan dengan
kebutuhan dan kemampuan organisasi terutama ketika mengintegrasikan ke dalam
proses bisnis dan proses organisasi

Proses integrasi manajemen risiko memerlukan pemahaman yang memadai dari

pemilik proses yang juga adalah pemilik risiko pada proses terkait
Tahapan proses implementasi manajemen risiko
Tahap 1
• Tanggungjawab unit manajemen risiko dan Direksi membangun infrastruktur
penerapan manajemen risiko.
• Harus dipastikan efektivitas infrastruktur dalam proses penerapan manajemen risiko
ditahap selanjutnya

Tahap 2
• Direksi harus memastikan bahwa unit manajemen risiko Bersama dengan para pemilik
risiko membangun kapasitas pemahaman manajemen risiko bagi seluruh jajaran
organisasi yang berada dibawah kepemimpinan masing-masing pemilik risiko.
• Pengembangan jenis risiko dan kriteria risiko sudah harus dimulai
Tahapan proses implementasi manajemen risiko
Tahap 3
• Direksi harus memastikan bahwa para pemilik risiko – bila perlu dibantu oleh unit
manajemen risiko – melakukan integrasi manajemen risiko pada proses bisnis yang
menjadi tanggungjawabnya
• Harus dipastikan bahwa target kinerja, inovasi, dam pencapaian sasaran sudah mulai
terlaksana secara lebih efektif`

Tahap 4
• Direksi dan para pemilik risiko – dengan dibantu oleh unit manajemen risiko dan
sumberdaya manusia melakukan pembinaan, pengembangan, dan perawatan budaya
sadar risiko
• Budaya sadar risiko harus diintegrasikan kedalam budaya perusahaan yang ada
Evaluasi harus dilakukan secara berkala

❶ ❷

vs

Merubah rencana
karena ada
ketidakpastian baru
Memastikan apakah
yang muncul dan belum
implementasi sesuai dengan
diantisipasi sebelumnya
rencana yang telah disusun
 Evaluasi
Proses untuk memantau dan memberbaiki efektivitas rancangan dan pelakasanaan
kegiatan dalam kerangka kerja manajemen risiko

Hal-hal yang dievaluasi:

Penyelarasan Integrasi manajemen Kepemimpinan Perlakuan dan

sasaran risiko kedalam proses dan komitmen pengendalian
organisasi risiko
Bentuk kegiatan evaluasi

Pemantauan Kajian Asesmen

 • Dilakukan secara berkala untuk mengevaluasi
kenerja kerangka kerja: apakah yang terlah
dioperasikan efektif, efisien, dan mampu
beradaptasi terhadap ketidakpastian dan
perubahan yang terjadi à evaluasi kesesuaian
keadaan aktual dengan rencana
• Memantau dan mengevaluasi kapabilitas dan
Kegiatan kinerja rancangan kerangka kerja dengan cara
mengidentifikasi informasi-informasi yang terjadi
evaluasi – selama proses penerapan manajemen risiko,
menghasilkan analisis dan laporan hasil
pemantauan
Pemantauan • Pemantauan berkala memungkinkan direksi untuk
mengetahui apakah kerangka kerja manajemen
risiko beroperasi secara efektif dan efisien: mempu
mengatur, mengelola, dan memberikan jaminan
keandalan operasi kerangka kerja dalam
mendukung penerapan manajemen risiko untuk
memenuhi tujuannya
 • Tindakan untuk mengevaluasi hasil pantauan
suatu proses atau kejadian tertentu dalam
kerangka kerja manajemen risiko yang
menyimpang dari suatu kriteria obyektif
(sasaran atau besaran standar pengukuran)
yang telah ditentukan untuk digunakan secara
tetap dalam suatu evaluasi
Kegiatan • Penyimpangan dari kriteria harus dianalisis lebih
evaluasi – mendalam untuk diketahui penyebabnya (harus
diatasi dan dilakukan perbaikan pada tahap
kajian berikutnya agar tidak terulang hal atau
peristiwa yang tidak diinginkan tersebut)
• Kajian dilakukan setiap saat ditemukan
penyimpangan dari kriteria obyektif yang
ditetapkan dalam pemantuan dan memerlukan
tindak lanjut sebelum dilakukan perbaikan yang
diperlukan
 • Sering disebut sebagai assurance: kegiatan
untuk memberikan jaminan wajar kepada
direksi dan dewan komisaris serta pemangku
kepentingan lain yang terkaint bahwa
kemampuan kerangka kerja manajemen risiko
Kegiatan organisasi memadai (adequate), efektif, efisien,
dan tanggap (responsive) serta tidak terdapat
evaluasi – kesalahan yang material

asesmen • Pemberian jaminan dilaksanakan dengan

melakukan pengujian yang obyektif
berdasarkan suatu metode baku yang dapat
ditentukan sendiri oleh setiap organisasi
penyedia jasa jaminan (assurance provider).
Panduan cara-cara melakukan asesmen yang
dapat diterima terdapat pada ISO 19011:2011
Guideline for Auditing Management System
 Cara melakukan evaluasi
❶ ❷ ❸

•Menguji kesesuaian •Menguji tingkat kematangan •Mengakses keefektifan

(conformance) terhadap (maturity) penerapan standar pengendalian risiko
standar manajemen manajemen risiko ISO •Asesmen teknis dilakukan
risiko ISO 31000:2018 31000:2018 dengan menguji apakah
•Artinya, semua pasal •Pengukuran dilakukan dengan rancangan pengendalian
dalam standar sudah protokol tertentu atau ukuran risiko efektif mengendalikan
dipenuhi dan yang ditetapkan dalam metode parameter yang dikendalikan
dilaksanakan dengan baik baku pengujian yang digunakan
Waktu melakukan evaluasi

Dilakukan pada tingkat Evaluasi suatu unit kerja Dilakukan oleh pihak
proses oleh pemilik risiko independen

•Pemantauan dilakukan •Dilakukan secara berkala •Biasanya setahun sekali atau

terus menerus dengan jangka waktu jika diinginkan 6 bulan sekali
(continuous monitoring) tertentu (harian, •Dilakukan oleh auditor
•Sering menggunakan mingguan, bulanan) (internal maupun eksternal)
solusi teknologi untuk •Dilakukan oleh pimpinan atau oleh regulator). Saran:
melakukan pemantauan unit kerja atau atasan oleh auditor eksternal
pemilik proses minimal 4 tahun sekali
Perbaikan
Dapat dilakukan melalui 2 cara
Adaptasi
Organisasi harus senantiasa
memantau dan menyesuaikan
kerangka kerja manajemen
risiko dengan perubahan
lingkungan eksternal (makro
dan mikro), dan internal
Organisasi dapat
meningkatkan nilai
Perbaikan sinambung
Organisasi harus
mengembangkan rencana
perbaikan dan penugasan
pelaksanaannya kepada yang
memiliki akuntabilitas
terhadap penerapannya
Memberikan kontribusi
terhadap peningkatan
manajemen risiko
Akhir kuliah ke 6