Anda di halaman 1dari 79

Proses

Manajemen Risiko
Mengacu pada ISO31000
Arsitektur SNI ISO 31000
B. Framework C. Proses
A. Prinsip-prinsip B.1 C.2 Menentukan konteks
Memberi nilai tambah Komitmen dan
Bagian terpadu dari Mandat
proses
Bagian dari pengambilan C.3 Risk
keputusan B.2 Assessment :
Menangani aspek Perancangan

C.5 Pemantauan dan Review


ketidakpastian C.3.1
framework untuk

C.1 Komunikasi dan konsultasi


Sistematis, terstruktur dan Identifikasi Risiko
mengelola risiko
tepat waktu
Berdasarkan informasi
terbaik dari yang ada
Diselaraskan (Tailored) B.5 B.3 C.3.2
Mempertimbangkan Perbaikan Penerapan Analisis Risiko
faktor manusia dan budaya berkesinam- Manajemen
Transparan dan inklusif bungan atas Risiko
Dinamis, berulang dan framework
responsif terhadap C.3.3
perubahan Evaluasi Risiko
Memfasilitasi perbaikan B.4
yang berkesinambungan Pemantauan dan
dan peningkatan review atas framework
Perusahaan. yang telah
dilaksanakan C.4 Penanganan Risiko
=
Proses manajemen risiko sesuai dengan SNI ISO 31000 adalah:
Aplikasi sistematis dari kebijakan manajemen, prosedur dan
praktek untuk kegiatan berkomunikasi, konsultasi,
menetapkan konteks, dan mengidentifikasi, menganalisis,
mengevaluasi, mengobati, pemantauan dan mengkaji
risiko. [ISO Guide 73:2009, definisi 3.1]

Setiap penerapan adalah khas dan unik. Langkah penerapan adalah similar, tetapi
konteks, teknik dan substansinya berbeda, oleh karena itu banyak sekali penerapan proses
manajemen risiko dalam suatu organisasi, tetapi berada dalam satu kerangka kerja

Setiap tahapan proses manajemen risiko menghasilkan informasi yang harus


dikonsolidasikan dan didokumentasikan dalam suatu format standard yaitu "risk
register

Apabila manajemen risiko belum dianggap sebagian bagian yang tidak terpisahkan
dari manajemen, maka hal ini perlu ditangani, misalnya melalui pelatihan, workshop,
benchmarking, studi kasus, dlsb.

Singkatnya, proses manajemen risiko harus menjadi:


Bagian yang terpadu
Melekat pada budaya Khas untuk proses
dari proses organisasi
dan praktik organisasi bisnis organisasi
dan manajemen
Komunikasi dan Konsultasi

Proses penyampaian informasi dan pendapat yang


mencakup multi-pesan mengenai isu-isu tertentu
Komunikasi: terkait risiko dan manajemen risiko dan berlangsung
dua arah.

Proses komunikasi antara perusahaan dengan para


Konsultasi stakeholder mengenai isu-isu tertentu terkait dan
bertujuan mencari solusi atau pengambilan keputusan.

Komunikasi dengan stakeholder internal dan eksternal merupakan dasar bagi


penerapan manajemen risiko yang efektif;

Komunikasi yang efektif, penting untuk memastikan pemahaman yang sama atas
keputusan penanganan risiko yang diambil.
Komunikasi dan Konsultasi

Tujuan komunikasi dan konsultasi antara lain:


Menentukan konteks dengan benar;
Memahami kepentingan seluruh stakeholder dan dipertimbangkan dengan baik;
Mendapatkan manfaat dari berbagai macam keahlian (multi disiplin);
Membantu memastikan bahwa semua risiko telah teridentifikasi dengan baik;
Membantu proses manajemen perubahan;
Memperoleh dukungan dan persetujuan untuk tindakan Penanganan risiko
Komunikasi dan Konsultasi

Contoh Komunikasi Internal

Contoh Komunikasi Eksternal


Komunikasi dan Konsultasi

Checklist Monitoring dan review proses komunikasi dan konsultasi

Nilai
No. Monitoring dan review proses komunikasi dan konsultasi Y/T Evidence
(1-3)
Apakah semua stakeholders internal dan eksternal telah tendentifikasi
1
secara lengkap?
Apakah semua aspirasi dan kepentingannya telah didengarkan dan
2 diakomodasi sehingga tidak mengganggu proses pencapaian sasaran
organisasi?
Apakah hal-hal krusial yang mungkin timbul dari stakeholders telah
3
dikonsultasikan dan dicarikan solusi terbaiknya (win-win solution)
Apakah semua rencana komunikasi dan konsusltasi telah cukup
4
komprehensif dan mencakup semua stakeholders internal dan ekstemal?
Apakah semua sumber daya untuk proses komunikasi dan konsultasi
5
telah tersedia termasuk dukungan dari Manajemen Puncak?
Catatan Untuk Nilai
1: Bukti sangat minim yang sesuai dengan kebutuhan
2: Bukti memenuhi sekitar setengah dari kebutuhan
3: Bukti memenuhi sebagian besar /semua persyaratan
Menentukan Konteks

Mengartikulasikan sasaran organisasi

Identifikasi stakeholders dan kepentingannya (lingkungan eksternal)

Artikulasi lingkungan internal dan implikasinya

Artikulasi konteks penerapan proses manajemen risiko


Sumber daya, metoda dan
Tujuan dan lingkupnya Struktur
teknik yang digunakan

Menetapkan kriteria risiko


Menentukan Konteks
Mengartikulasikan sasaran organisasi

Sasaran harus jelas dan spesifik (SMART), untuk dapat


dilakukan kajian risikonya;

Apabila sasaran ini mempunyai sasaran di tingkat yanag


lebih atas dan tingkat di bawahnya, perhatikan
keselarasan (congurency) sasaran-sasaran tersebut.
Ketidakselarasan itu sendiri akan menimbulkan risiko;

Apabila terdapat beberapa sasaran, perhatikan saling


keterkaitannya.
Apakah ini dapat diperlakukan menjadi satu kajian
risikonya atau sebagai satu kelompok sasaran.
Menentukan Konteks
Identifikasi stakeholders dan kepentingannya
(lingkungan eksternal)
Menentukan Konteks
Identifikasi stakeholders dan kepentingannya
(lingkungan eksternal)

Contoh
Kepentingan Kepentingan Kritis
Stakeholder Dampak Gagal
Stakeholder Perusahaan Ya/Tidak
Menjual daya listrik dan Mendapatkan supply
PLN pembayaran tepat listrik yang stabil dan Gangguan opersional Ya
waktu konsisten
Mendapatkan order Kebutuhan ATK
Supplier ATK tercukupi Kekurangan ATK Tidak

Berkurangnya
Mendapatkan Mendapatkan
Pelanggan revenue dan pindah Ya
Pelayanan yang handal revenue
ke perusahaan lain

Bargaining power of stakeholders

Note: Final result: all low -> bargaining power LOW


"1" aspect high -> bargaining power HIGH
Menentukan Konteks
Artikulasi lingkungan internal dan implikasinya

Risk Breakdown Structure


Menentukan Konteks
Artikulasi lingkungan internal dan implikasinya

Risk Breakdown Structure


RBS LEVEL 0 RBS LEVEL 1 RBS LEVEL 2 # RISKS
1.1. Scope defi ni tion 8
1.2. Techni ca l i nterfa ce 4
1. Technical content 1.3. Tes t a nd a cceptance 10
27 risks 1.4. Bus i nes s proces s es 2
1.5. Devel opment l i fe cycl e 4
1.6. Ha rdwa re a cqui s i tion 1
Project risks
2.1. Suppl i er/cus tomer rel a tions hi p 3
63 risks
2.2. Res ourci ng 8
2. Management
2.3. Communi ca tion 2
29 risks
2.4. Progra m ma na gement orga ni za tion 8
2.5. Fa ci l i ties a nd i nfra s tructure 3
3. Commercial 3.1. Contra ct ma na gement 5
7 risks 3.2. Subcontra ct 2
Menentukan Konteks
Artikulasi lingkungan internal dan implikasinya

Proses Bisnis

Dalam setiap proses bisnis, terdapat potensi risiko yang menghalangi


pencapaian sasaran proses bisnis tersebut dan berpengaruh pada
pencapaian sasaran organisasi
Menentukan Konteks
Artikulasi konteks penerapan proses manajemen risiko

Untuk konteks manajemen risiko perlu ditentukan:

Lingkup
penerapan Siapakah risk
manajemen owner-nya
Metodologi Ukuran kinerja Sumber daya
risiko (akuntabilitas
yang akan yang yang
(project, dan
digunakan digunakan diperlukan
proses, responsibilitas
produk, unit terkait)
kerja, dll.)

Hal-hal di atas sifatnya unik dan khas untuk tiap penerapan konteks manajemen
risikonya (tailored)
Menentukan Konteks
Menetapkan kriteria risiko

Kriteria kemungkinan (likelihood)


Kriteria proses Kriteria dampak (consequences)
manajemen Kriteria peringkat risiko (risk level)
risiko: Kriteria efektifitas pengendalian risiko
(risk control effectiveness)

Kriteria
penerapan Toleransi risiko (risk tolerance)
manajemen Selera risiko (risk appetite)
risiko:
Menentukan Konteks
Menetapkan kriteria risiko
Kriteria risiko - kriteria kemungkinan (likelihood)

Kriteria Kuntitatif Rating


No Kriteria Kualitatif
Probabilitas Frekuensi Sebutan Kode Nilai
Cenderung tidak mungkin 1 x dalam 10 Sangat
1 terjadi
< 10%
tahun kecil
SK 1

1 x dalam 5
2 Kemungkinan kecil terjadi 10%<x<40%
tahun
Kecil K 2

Sama kemungkinan terjadi


3 atau tidak terjadi
40% < x < 60% 1 x dalam 3 tahun Sedang S 3

Min 1 x dalam
4 Kemungkinan besar terjadi 60% < x < 80%
setahun
Besar B 4

Sangat
5 Sangat mungkin terjadi 80% < x 1 x dalam 3 bulan
besar
SB 5
Menentukan Konteks
Menetapkan kriteria risiko

Kriteria risiko - kriteria dampak (consequences)

KATEGORI
KATEGORI KATEGORI
KATEGORI PENILAIAN
PENILAIAN DAMPAK
DAMPAK
INVESTASI
INVESTASI REVENUE
REVENUE
No.
No. Kriteria
Kriteria Kualitatif
Kualitatif
%
% dari
dari %
% dari
dari Kriteria
Kriteria Nilai
Nilai Rating
Rating
investasi
investasi revenue
revenue
Nilai
Nilai kerugian
kerugian tidak
tidak RS
RS (Ringan
(Ringan
1
1 5%
5% 5%
5% 1
1
berarti
berarti Sekali)
Sekali)
2
2 Nilai
Nilai kerugian
kerugian kecil
kecil 5-<10%
5-<10% 5-<10%
5-<10% R
R (Ringan)
(Ringan) 2
2
3
3 Nilai
Nilai kerugian sedang
kerugian sedang 10-<20%
10-<20% 10-<20%
10-<20% SS (Sedang)
(Sedang) 3
3
4
4 Nilai kerugian besar
Nilai kerugian besar 20
20 -- << 40
40 %
% 20
20 -- << 40
40 %
% B
B (Berat)
(Berat) 4
4
Nilai
Nilai kerugian
kerugian sangat
sangat SB
SB (Sangat
(Sangat
5
5 >> 40
40 %
% >> 40
40 %
% 6
6
besar
besar Berat)
Berat)
Menentukan Konteks
Menetapkan kriteria risiko

Kriteria risiko - kriteria dampak (consequences)


Menentukan Konteks
Menetapkan kriteria risiko

Kriteria risiko - kriteria peringkat risiko (risk level)


Menentukan Konteks
Menetapkan kriteria risiko

Kriteria risiko - kriteria peringkat risiko (risk level)


Menentukan Konteks
Menetapkan kriteria risiko
Kriteria risiko - kriteria control effectiveness
Menentukan Konteks
Menetapkan kriteria risiko
Kriteria risiko - kriteria selera risiko (risk appetite)

The organization has zero appetite for fraudulent activity;


The company has a very low appetite for health and safety risk
exposure. While it is recognized that inherent health and safety
Examples of risk is high due to the nature of the business, the company will
qualitative always need to take all steps possible to minimize the likelihood
risk appetite of adverse health and safety impact from all possible sources;
The company has a low operational risk appetite. Where
articulation: operational risks arise, these should be mitigated and controlled,
as long as the cost of controlling the risk does not exceed the
benefits derived from the lower risk level
Menentukan Konteks
Menetapkan kriteria risiko
Kriteria risiko - kriteria selera risiko (risk appetite)

Examples of quantitative risk appetite articulation:


Limit: Total annual operational risks losses raising from
expected and unexpected events, is not to exceed $ xyz Million;
Threshold:
Description Acceptable Tolerable Untolerable

OHS Risks Light injuries Hospitalized Fatalities


Operational risk
events quarterly 1 event 2-4 events More than 4
Operational risk loss - %
budget Less than 5% 5-10% More than 10%

Risk Indicator using risk parameter and treated as threshold


but plus escalation report and corrective action to control
risks
Source: LLOYDS, Risk management toolkit, 2011
Menentukan Konteks
Menetapkan Kriteria Risiko

Kriteria Risiko - Kriteria Selera Risiko Kuantitatif (Risk Appetite)


Checklist Penetapan Konteks

Nilai
No. Proses Identifikasi Risiko Y/T Evidence
(1-3)
Apakah ada perubahan strategi organisasi yang
1 mempengaruhi konteks organisasi, khususnya penentuan
risk appetite?
Apakah terjadi perubahan lingkungan eksternal yang perlu
2 mendapatkan perhatian dalam menetukan konteks
organisasi?
Apakah ada perubahan internal, seperti misalnya struktur
organisasi, kepemilikan saham (merger dan akuisisi),
3
perubahan portfolio bisnis, perubahan pejabat kunci, dll yang
akan mempengaruhi konteks internal organisasi?
Apakah diadakan workshop tiap tahun untuk memastikan
4 konteks organisasi, terutama dalam menentukan kriteria
risiko?
Apakah kebijakan manajemen risiko telah dipahami dengan
5
baik oleh seluruh internal stakeholders?
Apakah terjadi komunikasi dan konsultasi yang lebih intens
agar internal stakeholders dapat mendukung pelaksanaan
6
manajemen risiko secara umum dan penerapan konteks
manajemen risiko secara khusus?
Catatan Untuk Nilai
1: Bukti sangat minim yang sesuai dengan kebutuhan
2: Bukti memenuhi sekitar setengah dari kebutuhan
3: Bukti memenuhi sebagian besar /semua persyaratan

No. Proses Identifikasi Risiko Jawaban


Stakeholders mana saja yang memerlukan komunikasi dan
1 konsultasi yang lebih intens guna menentukan konteks
manajemen risiko?
Identifikasi Risiko

Merupakan proses untuk


menemukan, mengenali,
menguraikan dan
menggambarkan risiko. Secara
lebih spesifik menemukan
"sumber risiko", apa "pemicu
yang menimbulkan terjadinya
"peristiwa berisiko" dan apa
"potensi dampaknya" terhadap
sasaran organisasi;

Tujuan dari identifikasi


risiko adalah menghasilkan
sebanyak mungkin risiko Secara singkat meliputi
yang dapat menghambat proses untuk menentukan
pencapaian sasaran "apa, dimana, bilamana,
organisasi. Ini penting mengapa dan bagaimana
karena risiko yang tidak sesuatu dapat terjadi" yang
teridentifikasi, tidak akan mempunyai dampak pada
diproses dalam tahap pencapaian sasaran
berikutnya (analisis dan organisasi;
evaluasi risiko).
Apa yang Perlu Diperhatikan dalam
Identifikasi Risiko

Proses identifikasi risiko harus mengikuti proses penentuan konteks proses manajemen risiko. Dengan
mengikuti setiap tahapan dalam proses penentuan konteks akan dapat ditemukenali berbagai macam
risiko yang mungkin terjadi, baik dari konteks eksternal, konteks internal dan konteks penerapan
manajemen risiko itu sendiri;

Informasi historis yang terdokumentasi, maupun yang tidak terdokumentasi merupakan salah satu
sumber risiko yang perlu diperhatikan;

Gunakan teknik dan metoda yang tersedia untuk menggali dan menemukenali risiko-risiko yang
mungkin terjadi yang menghambat pencapaian sasaran (FMEA, HAZOP, Bow Tie, RCSA, dll.)

Menggali dan mengidentifikasi risiko berdasarkan kategori-kategori risiko yang dilaksanakan oleh
organisasi tersebut (finansial, strategis, operasional, atau proses bisnis utama, proses bisnis pendukung,
proses bisnis penunjang, dlsb.)

Lakukan dokumentasi proses identifikasi risiko;

Dokumentasikan hasil identifiikasi risiko dalam dokumen yang disebut Risk Register. Perhatikan, uraian
risiko haruslah jelas dan mudah dimengerti bagi siapapun yang tidak terlibat dalam proses tersebut.
Identifikasi Risiko
Identifikasi Risiko

Dokumentasi proses identifikasi risiko


Risk description format:

Cause Risk Effect


(Fact or condition) (Uncertainty) (Possible Result)
Threats / Negative risk
forcing a schedule delay
The unique hardware is a that may not be and potential deviation
new development delivered on time from design control
approach

Due to heavy rain the The excavation may fill


night before the footing up with water, which Which would delay the
were to be poured would need to be start of the foundation
pumped out

Do to a missing out in The final value of the Resulting the targeted


"zeroing" in pricing while contract price may be profit margin is not
bidding too low achieved
Identifikasi Risiko
Dokumentasi proses identifikasi risiko Risk
identification template (example):

No Process / Risk event / Cause/ Contributing Impact / Threat/ Primary


Area of description factors effect Opportunity objective
concern (what could go (what happen
wrong) if risk occurs)
1. Foundation The excavation Heavy rain; Delay in Threat Time schedule
was filled up with No protection foundation
water against rain; construction
Water pump not
available on-site
2 Assembling Some part were Delay from supplier Delay in product Threat Time schedule
process not delivered on due to late payment; completion
time Transport accident in
delivering goods
Bad procurement
planning
Identifikasi Risiko
Dokumentasi proses identifikasi risiko
Risk register format (example):
Checklist Proses Identifikasi

Nilai
No. Proses Identifikasi Risiko Y/T Evidence
(1-3)
Adakah ada pemeriksa keandalan sumber informasi yang
1
digunakan dalam proses identifikasi risiko?
Apakah terjadi perubahan situasi yang dapat mempengaruhi
2
sifat dari risiko yang telah teridentifikasi?
Apakah perubahan tersebut juga mempengaruhi proses
3
identifikasi risiko di masa depan?
Catatan Untuk Nilai
1: Bukti sangat minim yang sesuai dengan kebutuhan
2: Bukti memenuhi sekitar setengah dari kebutuhan
3: Bukti memenuhi sebagian besar /semua persyaratan

No. Proses Identifikasi Risiko Jawaban


Siapa sajakah stakeholders utama yang perlu mendapatkan
1
informasi mengenai hasil proses identifikiasi risiko?
Stakeholder mana sajakah yang perlu diajak berkonsultasi
2 dengan hasil identifikasi risiko dan kemungkinan proses tindak
lanjutnya?
Analisa Risiko
Merupakan suatu proses untuk memahami sifat-
sifat risiko dan kemudian menentukan peringkat
risiko. Analisis risiko merupakan dasar untuk
menentukan proses evaluasi risiko dimana akan
ditentukan proses penanganan risiko yang sesuai
dan paling efektif;
Proses Analisis Risiko
Identifikasi dan evaluasi pengendalian risiko yang ada;

Menentukan tingkat kemungkinan dan dampak


risiko;

Menentukan peringkat risiko;

Dokumentasi proses analisis risiko


Identifikasi dan evaluasi
pengendalian risiko yang ada
Efektifitas pengendalian risiko dipertimbangkan berdasarkan:
"Efektifitas desain": artinya apakah pengendalian tersebutsesuai
dengan apa yang diinginkan (fit for purpose), jadi seara teoritis
rancangan pengendalian tersebut memang sesuai dengan fungsi yang
dikendalikan.
"Efektifitas operasional", artinya dalam praktik memang pengendalian
tersebut bekerja dengan baik sesuai dengan fungsinya.
Pemahaman atas peringkat "residual risk" dengan adanya existing control, merupakan
dasar untuk memperkirakan tingkat efektifitas pengendalian yang ada, dan disesuaikan
dengan kriteria yang telah disusun sebelumnya. Caranya dengan memperkirakan apa
yang terjadi bila pengendalian risilo tidak berfungsi sama sekali (worst case scenario)

Evaluasi terhadap
pengendalian risiko yang
ada (existing risk control)
Menentukan tingkat kemungkinan
dan dampak risiko

Analisis kualitatif;

Analisis semi kuantitatif;

Analisis kuantitatif dengan menggunakan statistik

Dalam hal informasi tidak tersedia maka dapat digunakan perkiraan subyektif
dari para pelaku industri atau risk owner ybs.
Sensitivity analysis: Bila perkiraan yang dibuat melalui analisis sebelumnya
dianggap kurang akurat, maka hasil analisis tersebut harus diuji coba melalui
berbagai macam perubahan data variabel atau parameter, ataupun perubahan
asumsi yang digunakan.
Analisa Risiko
Menentukan peringkat risiko

Penentuan "severity rating


(tingkat kegawatan) dari
inherent risk. Ini digunakan
untuk melakukan evaluasi
terhadap pengendalian risiko
(worst case scenario).

Residual risk = Existing risk level


after controlled
Analisa Risiko
Menentukan peringkat risiko
Analisa Risiko
Menentukan peringkat risiko
Dokumentasi proses analisis risiko

Dalam dokumentasi harus tercatat hal-hal sebagai berikut:

Asumsi dan keterbatasan yang ada;


Sumber informasi yang digunakan untuk menentukan nilai dampak dan
kemungkinan;
Analisis yang digunakan untuk menentukan nilai dampak dan kemungkinan
yang digunakan;
Proses perhitungan efektifitas pengendalian yang ada;

Uraian dan tingkat kegawatan (level) risiko

Peringkat akhir setelah pengendalian risiko


Tindak lanjut disesuaikan dengan kriteria peringkat risiko yang telah
ditetapkan sebelumnya;
Melakukan pemutakhiran risk register
Checklist Proses Analisa Risiko

Nilai
No. Proses Analisa Risiko Y/T Evidence
(1-3)
Apakah proses untuk melakukan analisis risiko cukup dapat
1 diandalkan dan sesuai dengan konteks organisasi ataupun
konteks penerapan manajemen risiko?

Apakah monitoring efektifitas pengendalian risiko dan cara


2 pengkajiannya telah dijalankan secara konsisten dan sesuai
dengan jenis risiko dan bentuk pengendaliannya ?
Apakah cara menentukan besaran "kemungkinan" dan
3
"dampak" untuk masing-masing risiko cukup releva dan efektif?
Apakah para stakeholders utama yang terkait sudah
4 diidentifikasi dan dilaporkan hasil analisis risiko yang
diperoleh?
Apakah ada hal-hal yang perlu dikonsultasikan dengan mereka
5
sebelum hasil akhir dilaporkan?
Apakah ada perubahan lingkungan yang mempunyai dampak
terhadap proses analisis risiko yang perlu dikomunikasikan
6
atau dikonsultasikan dengan stakeholders internal maupun
eksternal?
Catatan Untuk Nilai
1: Bukti sangat minim yang sesuai dengan kebutuhan
2: Bukti memenuhi sekitar setengah dari kebutuhan
3: Bukti memenuhi sebagian besar /semua persyaratan
Evaluasi Risiko
Merupakan suatu proses yang membandingkan
hasil analisis risiko dengan kriteria risiko untuk
menentukan apakah suatu risiko dapat diterima
atau tidak. Hasil dari proses ini adalah prioritas
risiko yang memerlukan penanganan risiko dan
juga jenis penanganan risiko yang akan dilakukan.

Proses Evaluasi Risiko


Menyusun peringkat risiko berdasarkan
hasil dari analisis risiko

Mempertimbangkan keseluruhan profil


risiko

Menyusun daftar prioritas risiko untuk


Penanganan risiko lebih lanjut
Menyusun Peringkat Risiko - Analisis
Kualitatif

Yang paling sering digunakan adalah dengan menggunakan peta risiko


(Heat Map) yang telah ditentukan pada saat menentukan konteks
manajemen risiko.
Menyusun peringkat risiko - analisis
semi kuantitatif

Severity rating dan action plan atas peringkat risiko


RISK ACTION AND ESCALATION POINTS
Seve
Description Action required for risks Risk report escalation
rity
Report to Top Executive and Board.
Action required that risks cannot be
Control strategy to be developed and
4-5 High risk (T) accepted or tolerated and require
monitored by Board and Top
treatment or avoid the activity
Executive
Potential action: risks that will be Managed at functional Executive
Medium risk treated as long as the costs do not level Escalated to the relevant direct
2-3
(M) outweigh the benefits ALARP (As low report to the Senior Executive for
as reasonably practicable) Principle information
No action, acceptable risks. requiring No action required Monitoring
1 Low risk (R) no further treatment. May only within functional area or business
require periodic monitoring group level
Evaluasi Risiko

Menyusun peringkat risiko - berdasarkan "heat map consequences


Menyusun peringkat risiko- analisis
semi kuantitatif
Proses dilakukan untuk setiap risiko
Kriteria dan parameternya telah ditentukan pada tahapan
penentuan konteks dan sesuai dengan sasarannya.

Data-data parameter diperoleh dari pengalaman yang lalu atau


perkiraan secara brainstorming, bila belum ada.

Penentuan skor dilaksanakan terlebih dahulu atas dasar


perkiraan /data lapangan, atau secara brainstorming;
Pembobotan dilaksanakan dengan cara yang sama;
Peringkat risiko diperoleh dari penjumlahan total hasil perkalian
skor dan bobot. Semaking tinggi nilai akhimya, semakin tinggi
peringkat penanganannya
Contoh Kasus
Sebuah kapal container berlayar meninggalkan pelabuhan
Tanjung Priok dan terbakar, rusak cargonya serta tenggelam di
area setelah lewat Kepulauan Seribu sekitar 3 mil laut. Minyak
yang tumpah telah menimbulkan polusi yang serius untuk
beberapa daerah wisata laut di sekitar kepulauan Seribu dan
bangkai kapal mengganggu trafik.

Kriteria 2 : Gangguan pada aktivitas


Kriteria 1. Tingkat kegawatan Kriteria 3 : Gangguan atas reputasi cabang
pelayanan cabang

LIKELIHOOD (periode 1 th) CONSEQUENCES


Skor Probability Sebutan Skor Sebutan Konsekwensi (Rp) Skor Uraian Skor Uraian
5 >0.8 Hampir pasti 1 Kecil < 100 jt 5 Terhenti lebih dari 3 hari 5 Kerusakan fatal, sulit untuk diperbaikia
4 0.6-0.8 Sangat mungkin 2 Minor 101 - 500 jt 4 Terhenti 1-3 hari 4 Cukup rusak, perlu usaha perbaikan
3 0.4-0.6 Mungkin 3 Sedang 501 jt - 1 Milyar 3 Terhenti 12-24 jam 3 Rusak, masih dalam kendali untuk perbaikan
2 0.2-0.4 Agak jarang 4 Besar 1 - 5 Milyar 2 Terhenti 6 - 12 jam 2 Rusak sedikit mudah untuk diperbaiki
1 <0.2 Jarang 5 Bencana > 5 Milyar 1 Terhenti kurang dari 6 jam 1 Tidak ada masalah
Bobot : 20% Bobol : 40% Bobot: 25% Bobot: 15%
Contoh Kasus
Sebuah kapal container berlayar meninggalkan pelabuhan
Tanjung Priok dan terbakar, rusak cargonya serta tenggelam di
area setelah lewat Kepulauan Seribu sekitar 3 mil laut. Minyak
yang tumpah telah menimbulkan polusi yang serius untuk
beberapa daerah wisata laut di sekitar kepulauan Seribu dan
bangkai kapal mengganggu trafik.

NILAI PERINGKAT:

No. Kriteria Bobot Skor Nilai LEVEL KEGAWATAN


1 Konsekuensi finansial 40% 5 2 (SEVERITY RATING) : 4.05
2 Probability 20% 1 0.2 High risk- perlu perhatian
3 Gangguan aktivitas 25% 5 1.25 Top Management
Proses ini dilakukan
4 Dampak atas reputasi 15% 4 0.6
untuksetiap risiko yang telah
TOTAL 100% 15 4.05
teridentifikasikan, sehingga
Nilai peringkat maksimum: 5 diperoleh rating peringkat
dari seluruh risiko dan juga
tingkat kegawatannya
Risk Evaluation Using Multi Criteria
Decision Making
No. Criteria description Weight Score Point
1 Financial impact 0,4 5 2
2 Operational impact 0.25 5 1.25
Risk A
3 Reputation impact 0.15 4 0.6
4 Likelihood 0.2 1 0.2
Total 1 4.05

No. Criteria description Weight Score Point


Alt.1
1 Financial impact 0,4 3 1.2
2 Operational impact 0.25 3 0.75
Risk B
3 Reputation impact 0.15 5 0.75
4 Likelihood 0.2 3 0.6
Total 1 3.3

No. Criteria description Weight Score Point


1 Financial impact 0.4 5 2
2 Operational impact 0.35 5 1.75
Risk A 3 Reputation impact 0.25 4 1
Composite impacts 1.00 4.75
4 Likelihood 1 1 1

Alt.2 Total 1 4.75

No. Criteria description Weight Score Point


1 Financial impact 0.4 3 1.2
2 Operational impact 0.35 3 0.75
Risk B 3 Reputation impact 0.25 5 0.75
Composite impacts 1.00 3.5
4 Likelihood 1 3 3
Total 1 10.5
Mempertimbangkan Keseluruhan
Profil Risiko

Setelah memperoleh peringkat dari semua risiko-risiko yang


memerlukan penanganan lebih lanjut, maka dilakukan "check
kepantasan" di antara risiko-risiko tadi. Dengan cara sederhana
bandingkan peringkat risiko yang satu dengan yang lainnya, apakah
pantas risiko A lebih tinggi peringkatnya dari risiko B, bila dilihat dari
dampaknya terhadap sasaran organisasi.
Perlu diperhatikan adanya saling ketergantungan dari risiko-risiko yang ada. Perlu
diperhatikan efek berantai dan dampak yang ditimbulkannya.

Menyusun daftar prioritas risiko adalah tujuan utama dari


evaluasi risiko. Ini diperlukan untuk mengatur alokasi sumber
daya, baik finansial maupun non finansial.
Kriteria penyusunan prioritas dapat menggunakan peringkat risiko,
dampak yang terjadi pada sasaran organisasi (strategic atau
operational).
Checklist Proses Evaluasi Risiko

No. Proses Evaluasi Risiko Jawaban


Bagaimanakah konsistensi penggunaan metoda untuk
1
menyusun peringkat risiko?
Bagaimanakah rationalitas proses penyusunan daftar
2
prioritas risiko, apakah dapat dipertanggungjawabkan
Apakah pihak terkait sudah diberi informasi hasil peringkat
3 risiko yang diperoleh dan bagaimanakah umpan baliknya?
Perlukah diadakan perubahan atau konsultasi lebih lanjut?
Apakah daftar prioritas risiko yang diperoleh telah
dikonsultasikan dengan pimpinan puncak, risk owner, dan
4
pihak lain yang terkait, terutama dengan tindak lanjut dalam
mempersiapkan perlakuan risiko yang akan diambil?
Penanganan Risiko

Penanganan risiko adalah adalah proses mengidentifikasi, menyeleksi dan


menerapkan tindak lanjut terhadap risiko-risiko yang dalam hasil evaluasi risiko
tidak masuk dalam peringkat risiko yang dapat diterima atau dapat ditolerir.
Tujuan dari penanganan risiko adalah menurunkan atau menghilangkan dampak
dari risiko-risiko tersebut di atas yang dapat mengganggu pencapaian sasaran
organisasi hingga masuk ke dalam kriteria "dapat diterima.

Penanganan risiko dilaksanakan dengan urutan sebagai berikut:


Mengidentifikasi urutan prioritas risiko sesuai hasil evaluasi
risiko;
Menentukan strategi dan opsi pilihan Penanganan risiko;

Mempersiapkan rencana Penanganan risiko;

Melakukan analisis manfaat dan biaya;

Menerapkan rencana Penanganan risiko


Strategi Pemilihan Opsi
Penanganan Risiko
Strategi Pemilihan Opsi
Penanganan Risiko
Strategi Pemilihan Opsi
Penanganan Risiko

Pertimbangan untuk memutuskan opsi Penanganan risiko

Memberikan solusi yang memuaskan, walaupun tidak maksimal;

Dari segi biaya merupakan solusi yang paling "cost-effective";

Solusi yang diambil sesuai dengan norma-norma bisnis yang sehat (etis,
sesuai standard industri, peraturan perundangan yang berlaku, dll.);

Memberikan hasil terbaik yang dapat dicapai, dengan mempertimbangkan


kondisi yang ada (teknologi, waktu, dll.) dan,

Dampak risiko residual paling minimum


Strategi Pemilihan Opsi
Penanganan Risiko
Pertimbangan untuk opsi risk sharing/transfer

Kepada pihak lain (subcontracting/outsourcing):


Bila sumber daya (waktu, expertise, etc.) yang diperlukan tidak terdapat di dalam
perusahaan atau bila proses ini di luar bisnis inti perusahaan atau tidak menambah daya
saing

Kepada asuransi:
Bila kemungkinan dampak finansialnya besar dan proses bisnis ini merupakan bisnis inti
perusahaan

Kriteria pihak yang menerima transfer/sharing:


Kredibel dengan track record yang baik
Pengalaman untuk pekerjaan sejenis
Kecukupan modal, re-asuransi (untuk asuransi)
Disaster Recovery Plan/Business
Continuity Plan
Rencana Penanganan Risiko

Merupakan penjelasan rinci dari opsi Penanganan risiko yang


diputuskan.
Merupakan dokumentasi tentang bagaimana opsi Penanganan risiko
yang dipilih akan diterapkan.

Rencana Penanganan Risiko Berisi :


Sasaran residual Akuntabilitas
Sumber daya yang
risk yang ingin penerapan Rincian tindakan
diperlukan
dicapai Penanganan risiko

Ukuran kinerja dan


Analisis manfaat Jadwal
hambatan yang ada
dan biaya pelaksanaan
Mekanisme pelaporan
Rencana Penanganan Risiko

Analisis manfaat dan biaya


1. Estimasi baseline cost
2. Estimasi residual cost
3. Hitung total implementation cost
4. Hitung besarnya manfaat:
Benefit = Baseline cost - Residual cost
5. Hitung rasio manfaat-biaya:

6. Bila rasio manfaat-biaya >100% berarti Penanganan risiko tersebut memiliki


manfaat lebih besar daripada biaya sehingga layak untuk diterapkan.
Implementasi Rencana
Penanganan Risiko
1) Rencana Penanganan risiko harus terintegrasi dengan rencana bisnis.
2) Jika terdapat pihak lain yang terlibat dalam penerapan rencana Penanganan risiko,
maka hal ini harus dikonsultasikan kepada yang bersangkutan agar tidak menjadi
hambatan.
3) Akuntabilitas penerapan harus diuraikan secara jelas.
4) Waspada terhadap adanya residual risk, biasanya munculnya risiko baru akibat
pemberlan Penanganan risiko. Bila mana perlu, disiapkan Penanganan lanjutan.
Checklist Proses Penanganan Risiko

Nilai
No. Proses Penanganan Risiko Y/T Evidence
(1-3)
Apakah sasaran penanganan risiko dapat tercapai sesuai
1
rencana?
Apakah biaya pelaksanaan penanganan risiko sesuai
2
target atau over budget?
Apakah terdapat hal-hal lain di luar rencana yang
3
mengganggu pelaksanaan penanganan risiko?
Apakah corrective action terhadap penyimpangan yang
4
mungkin terjadi telah disiapkan?
Apakah semua pihak terkait dengan rencana penanganan
5
risiko telah dilakukan komunikasi dan konsultasi?
Apakah semua pihak terkait tetap mendapatkan laporan
6
pelaksanaan penanganan risiko dengan baik?
Catatan Untuk Nilai
1: Bukti sangat minim yang sesuai dengan kebutuhan
2: Bukti memenuhi sekitar setengah dari kebutuhan
3: Bukti memenuhi sebagian besar /semua persyaratan
Monitoring & Review

Proses pemantauan rutin terhadap kinerja aktual


Monitoring: manajemen risiko terhadap rencana awalnya

Proses peninjauan dan kajian terhadap kondisi aktual


tersebut atau kajian khusus terhadap dengan fokus tertentu,
Review: misalnya: risiko keuangan, risiko legal, efektifitas
pengendalian risiko

Tujuan
Memastikan bahwa pengendalian Memperoleh informasi Mengidentifikasi
risiko berjalan efektif dan efisien terkini guna kemungkinan
sesuai dengan rancang bangun peningkatan asesmen timbulnya risiko
dan secara operasi; risiko; baru.

Mendeteksi perubahan konteks internal Mendapatkan pelajaran dari peristiwa


maupun eksternal, termasuk perubahan risiko yang telah lalu, perubahan yang
kriteria risiko dan kondisi risiko itu sendiri, terjadi, trend, keberhasilan maupun
yang menuntut penyesuaian penanganan kegagalan penanganan risiko;
risiko serta kemungkinan perubhan prioritas;
Jenis Monitoring dan Review

Pada tingkat pelaksanaan tugas rutine:


Dilaksanakan secara terus menerus (continues
monitoring) oleh pelaksa tugas untuk memastikan bahwa
apa yang dia kerjakan benar dan sesuai ketentuan;

Pada tingkat fungsional atau operasional:


Dilaksanakan oleh pimpinan unit terkait secara berkala,
untuk melakukan monitoring dan review setiap ada
proses yang berlangsung, risiko yang mungkin terjadi dan
efektifitas dan efisiensi pengendalian risiko tersebut

Pada tingkat organisasi:


Dilakukan oleh pihak yang independen untuk melakukan
montoring dan review terhadap efektivitas kerangka kerja
manajemen risiko, keselarasan manajemen risiko dengan
strategi perusahaan, dll. Siklusnya per tahun atau per tiga
tahun.
Monitoring dan Review Tingkat
Organisasi
1. Asesmen terhadap ISO 31000 system
requirement:
Principles approach
Framework approach
Process element approach;
2. Control effectiveness approach;

3. Asesmen tingkat maturitas penerapan


manajemen risiko.
Apa Saja yang Dipantau
Pada dasarnya yang perlu dipantau adalah efektifitas
pelaksanaan sistem manajemen risiko.
Ini dilakukan melalui:
Pemantauan dan peninjauan perubahan yang terjadi;
Pemantauan dan peninjauan kinerja sistem
manajemen risiko
Apa Saja yang Dipantau

Risiko dengan prioritas tinggi:


Perubahan Perubahan
Kerentanan
Jenis operasi dan operasional yang situasi bisnis dan
terhadap kelalaian,
kegiatan yang terjadi pengaruhnya
pencurian ataupun
terkait; (personnel, atas risiko
fraud lainnya.
organisasi, dlsb.); tersebut;

Pengendalian risiko yang kritis:


Hal apa yang dapat
Apakah peneyebab
Bagaimana menyebabkan
kegagal tersebut
pengendalian tersebut kegagalan
dapat dideteksi secara
direncanakan? pengendalian
dini atau tidak?
tersebut?
Jenis Informasi yang Diperlukan

Indikator-indikator risiko
utama; Key Risk Indikator
Indikator kinerja utama; KPI
Pengamatan langsung di
lapangan;
Laporan hasil monitoring
dan review;
Laporan audit sistem
manajemen risiko;
Dll.
Jenis-Jenis Indikator

Ada 2 Jenis Indikator :


1. Leading Indicator
merupakan indikator dari suatu kegiatan
yang berupa sebuah proses dan dilakukan Contohnya adalah kurangnya
untuk memprediksi kejadian di masa depan aktivitas mencuci
serta dapat mengubah kejadian tersebut; tangan (leading indicator)
KRI termasuk ke dalam leading
indicator karena fungsinya yang memberikan dapat menyebabkan
informasi risiko yang akan terjadi gangguan pencernaan hingga
infeksi (lagging indicator).
2. Lagging Indicator
merupakan indikator dari suatu kejadian
yang telah terjadi beserta dampak dari
kejadian itu sendiri; KPI (Key Performance
Indicators), yang dapat digunakan untuk
menilai atau mengukur pencapaian hasil
akhir dan termasuk kedalam lagging
indicator
Key Risk Indikator (KRI)

Indikator risiko kunci adalah suatu peristiwa atau hal tertentu yang memberikan indikasi
terjadinya suatu peristiwa risiko. risiko dapat memberikan peringatan atau informasi lebih dini
kepada manajemen entitas bahwa kemungkinan terjadinya suatu peristiwa risiko semakin
meningkat. Hal tersebut dapat terwujud karena pemantauan dilakukan untuk fokus terhadap
peristiwa-peristiwa yang menjadi indikasi terjadinya suatu peristiwa risiko, bukan terhadap
peristiwa risiko itu sendiri.
Key Risk Indikator (KRI)

Berdasarkan peringatan atau informasi tersebut entitas dapat melakukan


berbagai tindakan mitigasi lebih awal guna mengurangi kemungkinan terjadinya
peristiwa risiko maupun dampak yang mungkin ditimbulkan oleh risiko
tersebut(jika terjadi). Sehingga dalam praktiknya indikator risiko kunci akan
berperan sebagai suatu sistem peringatan dini (early warning system) bagi
entitas.
Key Risk Indikator (KRI)

Proses penyusunan KRI :

1. Mengetahui apa sasaran perusahaannya


2. Mengetahui juga apa risiko yang berpotensi menghambat pencapaian
sasaran.
3. Setelah tahu risikonya, tentukan risiko kunci, yaitu risiko yang paling
signifikan dan paling menentukan pencapaian sasaran.
4. Jika risiko kunci sudah diketahui, tahap berikutnya yaitu dengan
mencari root cause atau akar penyebab/pemicu munculnya risiko kunci
tersebut.
5. Langkah berikutnya adalah mencari tahu indikator-indikator apa yang
bisa digunakan untuk dijadikan alat ukur dalam menilai/memonitor
seberapa besar pengaruh penyebab risiko ini terhadap timbulnya risiko
kunci yang ada.
6. Memilih dari sekian banyak indikator risiko itu mana yang dianggap
kunci, mana yang paling tersedia datanya, dan yang paling relevan
terhadap risk cause tadi.
7. Jika semua hal itu sudah dilakukan maka tetapkanlah itu sebagai KRI.
Key Risk Indikator (KRI)

Dalam praktiknya, agar dapat menjadi indikator yang terukur dan mudah
dipantau serta dapat berperan sebagai sistem peringatan dini, indikator
risiko kunci ditetapkan beserta parameter-parameternya, yang terdiri dari:

Ambang batas bawah (Medium Threshold),


Merupakan ambang batas awal yang memberikan indikasi suatu peristiwa
risiko dapat terjadi dengan kemungkinan yang kecil.
Ambang batas atas (High Threshold),Merupakan ambang maksimum yang
memberikan indikasi
suatu peristiwa risiko dapat terjadi dengan kemungkinan besar. Satuan ukur
(Value Unit)
Satuan ambang batas (threshold).
Key Risk Indikator (KRI)

Ilustrasi Mekanisme Indikator Risiko Kunci


Key Risk Indikator (KRI)

Berikut contoh penggunaan indikator risiko kunci beserta


parameternya:

Tujuan yang ingin dicapai oleh PT A adalah penyelesaian pekerjaan


sesuai dengan jadwal yang telah disusun (tepat waktu).

Risiko yang teridentifikasi adalah sebagai berikut:


Key Risk Indikator (KRI)

Disamping penyelesaian pekerjaan tepat waktu, tujuan PT A lainnya


adalah memiliki reputasi yang baik di mata masyarakat dan
konsumen.

Risiko yang teridentifikasi adalah sebagai berikut:

Indikator risiko kunci yang ditetapkan beserta parameternya adalah


sebagai berikut:
Pelaporan Hasil
Monitoring & Review

PEMANTAUAN
BERJENJANG
Maturity Model
Manajemen Risiko
Chek List Proses
Monitoring & Review
No. Proses Monitoring & Review Jawaban
1 Memantau apakah program Apakah asumsi awal yg digunakan masih valid ?
pengendalian risiko yang Apakah program ini memenuhi ketentuan hukum dan etika
2
dilaksanakan masih tetap organisasi?
relevan dengan segala
Apakah indikator yg digunakan selaras dgn key success
3 perubahan internal maupun
element strategi perusahaan
eksternal yang terjadi
Apakah program ini efektif dalam menurunkan risiko
4
Memantau efektifitas (probability & dampak) ?
5 pelaksanaan pengendalian Apakah hasil perbaikan yg dicapai?
risiko Apakah dalam realisasi manfaat yang diterima memang
6
lebih besar dari biaya?
Apakah review dilaksanakan secara berkala, "on going"
7
dan terjadwal dengan baik?
Dilaksanakan secara berkala
Apakah keterlibatan manajemen dan pihak-pihak terkait
8 dan didukung dengan
dengan implementasi cukup tinggi?
dokumentasi yang baik
Apakah management & accounting control yang
9
digunakan memadai