Kepatuhan &

Manajemen Risiko
 Gede Ngurah Piter
Facilitator
S1 Degree from Mathematics Institut Teknologi
Bandung
Experience :
 Direktur PT Kagum Advisa Selaras, Bandung
 Risk Management Head PT Rutraindo Perkasa Industri,
Jakarta
 Business Director PT Bicka Jasa Utama, Bandung
 Executive Facilitator Markplus Institute, Jakarta
 Credit Policy Manager PT Bank Tabungan Pensiunan
Nasional, Tbk, Jakarta
 Manager for East Timor Relief Program Team
Commpassion Indonesia, Bandung
 Account Officer PT Bank Danamon Indonesia Tbk, Bandung
Expertise :
 Marketing Strategic, Banking Operational, Risk
Management, Leadership, Research and Communication.
Definisi

 RMA ERM Council mendefinisikan ERM sebagai “kemampuan manajemen

untuk mengelola semua risiko bisnis dalam upaya memperoleh atau mencapai
tujuan”.
 Dengan menjadikan hal tersebut sebagai panduan, dewan mengadopsi sebuah
strategi yang akan membantu manajemen dan dewan direksi menjawab
pertanyaan bisnis yang relevan mengenai risiko yang akan dihadapi perusahaan.
 Strategi bisnis dan cakupan risiko, tata kelola dan kebijakan, data dan
infrastruktur risiko, pengukuran dan evaluasi, pengendalian lingkungan, respon,
risk appetite, dan stress testing.
Budaya Perusahaan

 Model kerangka kerja ERM adalah sebuah budaya perusahaan. Jika sebuah
perusahaan tidak memiliki budaya yang tepat dan kepemimpinan yang kuat di
manajemen puncak, tidak ada unsur lain yang penting.
 Sederhananya, perusahaan yang memahami dan mengadopsi ERM menjadikan
sebuah budaya di perusahaan biasanya memiliki kredibilitas yang baik.
Strategi

Pada akhirnya, strategi manajemen risiko perusahaan dapat memberikan jawaban atas
tiga pertanyaan dasar bisnis:
1. Haruskah kita melakukannya (selaras dengan strategi bisnis, risk appetite,
culture, values, dan ethics)?
2. Bisakah kita melakukannya (manusia, proses, struktur, dan kemampuan
teknologi)?
3. Apakah kita melakukannya (penilaian hasil yang diharapkan, pembelajaran
terus-menerus, dan sistem checks and balances yang kuat)?
Kerangka ERM
Kerangka ERM ini dirancang untuk membantu manajemen dan dewan direksi menjawab
pertanyaan bisnis sebagai berikut:
1. Apa saja risikonya terhadap strategi dan operasi bisnis (coverage)?
2. Seberapa besar risiko yang akan diambil (risk appetite)?
3. Bagaimana kita mengatur pengambilan risiko (budaya, pemerintahan, dan kebijakan)?
4. Bagaimana kita menangkap informasi yang kita butuhkan untuk mengelola risiko ini
(data risiko dan infrastruktur)?
5. Bagaimana kita mengendalikan risiko (control environment)?
6. Bagaimana kita mengetahui ukuran berbagai risiko (pengukuran dan evaluasi)?
7. Apa yang seharusnya kita lakukan terhadap risiko ini (respon)?
8. Hal apa yang mungkin menghambat dalam proses bisnis perusahaan (stress testing)?
9. Bagaimana risiko tersebut saling terkait (stress testing)?
8 Komponen ERM

1. Lingkungan internal
 Komponen lingkungan internal dalam ERM mencakup hal-hal seperti karakter organisasi dan
penetapan dasar bagaimana risiko dilihat dan ditangani oleh entitas manajemen dalam suatu
perusahaan. Lingkungan internal perusahaan ini juga termasuk di dalamnya filosofi manajemen
risiko dan selera risiko, integritas dan nilai etika, serta lingkungan fisik perusahaan itu sendiri.

2. Penetapan tujuan
 Tujuan merupakan komponen penting dalam ERM karena ia harus ada sebelum manajemen
dapat mengidentifikasi kejadian potensial yang nantinya memengaruhi pencapaian pihak
manajemen. ERM memastikan bahwa manajemen perusahaan memiliki proses untuk
menetapkan tujuan. Tak hanya itu, pihak manajemen juga diharapkan dapat menentukan tujuan
yang selaras dengan misi entitas bisnis dan secara konsisten mampu menelaah risiko dari tujuan
tersebut.
3. Identifikasi peristiwa
 Melakukan identifikasi terhadap peristiwa atau kejadian, baik secara internal maupun eksternal, dapat memengaruhi
pencapaian tujuan entitas bisnis suatu perusahaan. Hal ini akan mempermudah ERM untuk membedakan antara
risiko dan peluang. Peluang ini dapat disalurkan kembali ke strategi manajemen maupun juga dijadikan pasis
terbentuknya proses penetapan tujuan oleh pihak manajemen,

4. Penilaian risiko
 Analisa risiko lewat ERM dapat menghasilkan penilaian dan pertimbangan akan adanya kemungkinan dan dampak
dari risiko tersebut. Hal ini nantinya akan dijadikan sebagai dasar untuk menentukan bagaimana risiko tersebut
harus dikelola. Risiko dinilai atas dasar inheren atau hubungan erat dan pengendapannya dalam suatu proses bisnis.

5. Respons risiko
 Adanya ERM dapat memungkinkan pihak manajemen untuk memilih respons tertentu terhadap risiko yang
ditemukan. Respons ini dapat meliputi berbagai hal seperti menghindari, menerima, mengurangi, atau bahkan
berbagi risiko. Pengembangan serangkaian tindakan ini dilakukan untuk menyelaraskan risiko dengan entitas
toleransi terhadap bisnis dan selera risiko yang ditentukan pimpinan perusahaan.
6. Pengendalian aktivitas
 Pengendalian aktivitas merupakan komponen ERM yang diterapkan melalui kebijakan dan prosedur
perusahaan atau manajemen. Pengendalian aktivitas dilakukan untuk membantu manajemen dalam
memastikan respons risiko di perusahaan terlaksana secara efektif.

7. Informasi dan komunikasi

 Komponen ERM yang berikutnya adalah informasi dan komunikasi, di mana keduanya berperan penting
dalam proses pelaksanaan tanggung jawab dalam perusahaan atau bisnis. Informasi yang relevan dapat
diidentifikasi, ditangkap, dan lantas dikomunikasikan dalam bentuk kerangka waktu yang memungkinkan
para pihak terkait dapat menjalankannya dengan baik. Komunikasi yang efektif juga bersifat holistik pada
setiap sektor bisnis perusahaan baik pimpinan hingga karyawan.

8. Pemantauan (monitoring)
 Komponen terakhir dari ERM adalah monitoring. Hal ini dilakukan untuk memantau keseluruhan proses
ERM dan lantas menghasilkan evaluasi untuk dimodifikasi selaras kepentingan perusahaan, Pemantauan
dilakukan melalui kegiatan manajemen yang berkelanjutan dan evaluasi terpisah.
Tujuan ERM

 Masih menurut COSO, ERM memiliki tujuan yang ditentukan berdasarkan visi dan
misi entitas bisnis melalui pihak manajemen perusahaan. Hal ini umumnya
dilakukan dengan penentuan tujuan strategis, memilih strategi, dan menetapkan
tujuan yang selaras dan mengalir lewat operasional perusahaan. Setiap kerangka
kerja ERM diarahkan untuk mencapai empat kategori utama tujuan yaitu:
1. Strategis, yaitu tujuan tingkat tinggi yang selaras dengan misi bisnis perusahaan
2. Operasi, meliputi penggunaan sumber daya secara efektif dan efisien untuk tujuan
keuntungan bisnis
3. Pelaporan, ERM bertujuan agar pelaporan perusahaan lebih berkualitas dan dapat
diandalkan
4. Kepatuhan, salah satu tujuan utama ERM adalah memastikan proyek bisnis atau misi
bisnis suatu perusahaan patuh terhadap hukum dan peraturan ekonomi yang berlaku.
Tujuan ERM

 Adanya kategorisasi terhadap tujuan ERM ini nantinya memungkinkan fokus

perusahaan pada aspek risiko dan pengelolaannya. Kategori ini memang berbeda
namun tetap berkorelasi satu sama lain. Tentu saja, tiap-tiap kategori ini
dipertanggungjawabkan oleh masing-masing eksekutif yang membidanginya,
antara lain adalah eksekutif di bidang strategi, operasional, finansial, dan
pelaporan.
 Pencapaian ERM dapat dilihat dari kualitas pengendalian risiko perusahaan
dengan bertolok ukur pada entitas bisnis yang berhasil. Tujuan-tujuan ini nantinya
akan dievaluasi secara terukur oleh dewan eksekutif dan manajemen lewat
pengawasan dan penilaian risiko.
Cakupan ERM bagi perusahaan

Dalam hal pencapaian tujuan entitas bisnis dalam suatu perusahaan tersebut, ERM mencakup
beberapa hal berikut ini:

1. Aligning risk appetite & strategy

 Cakupan ERM bagi entitas bisnis suatu perusahaan adalah penyelarasan selera risiko dan
strategi. Manajemen dapat mempertimbangkan selera risiko tertentu dalam proses evaluasi
strategi alternatif, penetapan tujuan bisnis, dan mengembangkan mekanisme untuk mengelola
risiko terkait.

2. Enhancing risk response decisions

 ERM juga berperan pada proses peningkatan keputusan atau respons terhadap risiko. ERM
menyediakan ketelitian untuk proses identifikasi dan memilih respons risiko alternatif seperti
menghindari risiko, menguranginya, berbagi, atau justru menerima risiko tersebut.
3. Reducing operational surprise and losses
 Selain menyelaraskan strategi dan meningkatkan pengambilan keputusan terhadap risiko, ERM
juga mencakup peningkatan kemampuan manajemen perusahaan untuk mengidentifikasi
peristiwa potensial untuk membangun respons agar terhindar dari kejutan biaya atau kerugian
bisnis.

4. Identifying and managing multiple and cross-enterprise risks

 ERM juga mencakup identifikasi dan pengelolaan risiko lintas perusahaan. Hal ini
memungkinkan setiap perusahaan dengan segudang risiko dapat mengurangi beban
organisasinya. ERM memfasilitasi respons efektif terhadap dampak negatif antar perusahaan
yang saling terkait. Hal ini dilakukan secara terintegrasi antara dua perusahaan atau lebih dengan
suatu relasi bisnis tertentu atau relasi tertentu seperti perusahaan induk dan anak perusahaan.
5. Seizing opportunities
 Cakupan lain dari ERM adalah kepekaan manajemen terhadap peluang. Dengan adanya
pertimbangan dan berbagai potensi risiko yang ada, pihak manajemen justru dapat memposisikan
diri untuk mengidentifikasi suatu aktivitas yang secara proaktif dapat dijadikan peluang. Hal ini
akan berdampak positif bagi tujuan entitas bisnis suatu perusahaan ke depan.

6. Improving deployment of capital

 Cakupan terakhir dari ERM yang terpenting adalah bahwa proses pengelolaan manajemen risiko
perusahaan dapat memungkinkan manajemen untuk secara efektif menilai kebutuhan modal suatu
perusahaan. Hal ini nantinya akan menghasilkan informasi tentang alokasi modal. Melalui
informasi ini, setiap risiko dikelola untuk kemudian dapat menunjukkan peluang bagi perusahaan
untuk mengembangkan atau menyebarkan modal kepada sektor-sektor tertentu atau bahkan anak
perusahaan tertentu.
Langkah menerapkan ERM yang efektif

1. Identifikasi dan penentuan model analisa risiko

2. Evaluasi dan pengukuran persepsi terhadap risiko
3. Pengelolaan risiko dan evaluasi terhadap ketersediaan SDM
1. Identifikasi dan penentuan model
analisa risiko
 Identifikasi risiko dilakukan dalam ERM untuk mengetahui potensi risiko atau
risiko-risiko apa saja yang ada dalam suatu perusahaan atau organisasi.
 Dengan identifikasi ini nantinya diketahui risiko-risiko mana saja yang sekiranya
dapat dihadapi atau tak bisa dihindari.
 Proses identifikasi ini juga lantas diikuti dengan penentuan model analisa risiko
yang tepat sesuai kemampuan suatu organisasi atau perusahaan tersebut.
 Identifikasi risiko dilakukan dengan mencari sumber risiko hingga menelaah
aktivitas apa yang akan menjatuhkan organisasi kepada suatu kerugian tertentu
akibat risiko tadi.
2. Evaluasi dan pengukuran persepsi
terhadap risiko
 Proses ERM selanjutnya adalah evaluasi dan pengukuran yang dilakukan secara
sinergis oleh pihak manajemen.
 Hal ini dilakukan agar risiko dinilai dengan persepsi yang sama.
 Tujuan dari hal ini tentu saja untuk menentukan probabilitas dan relevansi strategi
yang akan diambil untuk menghadapi risiko dalam suatu organisasi atau
perusahaan.
 Kesamaan dan keselarasan persepsi dalam proses ERM amat penting pula untuk
pengambilan keputusan dan mengurangi potensi konflik.
 Terlebih, proses evaluasi ini dilakukan untuk menentukan risiko mana yang
merugikan dan mana yang dapat dibalik menjadi peluang bagi entitas bisnis.
3. Pengelolaan risiko dan evaluasi
terhadap ketersediaan SDM
 Langkah ERM yang terakhir adalah evaluasi terhadap ketersediaan sumber daya
manusia (SDM) dalam proses pengelolaan risiko di suatu perusahaan.
 Hal ini dilakukan untuk mengetahui seberapa jauh SDM dalam suatu perusahaan
atau organisasi dapat berhadapan dengan risiko tanpa berujung pada kerugian
secara umum.
 Setelah evaluasi dilakukan, maka nantinya dapat diambil keputusan terhadap
risiko tersebut dengan mengelolanya melalui berbagai cara.
pengelolaan risiko dalam ERM

 Penghindaran, jika ketersediaan SDM tidak mendukung dan risiko terlalu riskan
bagi organisasi maka pilihan paling mudah adalah menghindari risiko tersebut.
Meski begitu, cara ini dianggap tidak optimal karena penghindaran hanya akan
mengulur waktu bagi perusahaan untuk menghadapi suatu risiko tertentu.

 Retensi (Ditahan), dalam beberapa situasi, suatu organisasi memilih mengelola

risiko dengan menahannya secara internal dan mencari cara tersendiri nantinya
sesuai ketersediaan dan kualitas SDM organisasi tersebut. Hal ini juga berarti
organisasi menerima risiko tertentu dalam suatu proses mencapai entitas
bisnisnya.
pengelolaan risiko dalam ERM

 Pengendalian, pengendalian risiko dilakukan untuk mencegah atau menurunkan

probabilitas terjadinya risiko atas suatu kejadian yang tidak diinginkan oleh suatu
organisasi. Hal ini lebih bersifat preventif sehingga memungkinkan suatu
organisasi siap menghadapi risiko yang datang sewaktu-waktu.

 Transfer, ketika suatu organisasi tertentu tidak ingin menanggung risiko tertentu,
maka organisasi itu akan melakukan transfer risiko ke pihak lain yang dirasa
mampu menghadapi risiko tersebut. Hal ini juga disebut sebagai pengalihan risiko
antar pihak sesuai kesepakatan dan persyaratan yang disetujui bersama.
 ENTERPRISE RISK MANAGEMENT -
karakteristik

• Pelaporan risiko terkonsolidasi dengan baik

• Pengukuran, evaluasi dan pengelolaan risiko dilakukan secara
berkelanjutan
• Secara jelas menentukan pihak yang bertanggung jawab atas setiap risiko
• Komunikasi dirancang dengan baik
• Didorong oleh kebutuhan dari setiap proses bisnis perusahaan (proses
driven)
• Memiliki orientasi perusahaan
 ENTERPRISE RISK MANAGEMENT -
karakteristik

• Suatu pendekatan yang menghilangkan pemisah antara

strategi, operasional, keuangan dan risiko keselamatan kerja
• Mengukur risiko perusahaan sebagai suatu nilai tertentu
yang merupakan cerminan profil perusahaan
• Sebagai alat penting yang digunakan untuk memulai sebuah
pendekatan yang tidak terkotak-kotak
 ENTERPRISE RISK MANAGEMENT –
tujuan dan manfaat

Terdapat 6 alasan dasar untuk mengimplementasikan ERM :

(1) Mengurangi variabilitas kinerja yang tidak diharapkan

(a) Mengevaluasi kemungkinan dan dampak dari kejadian-kejadian
penting (berisiko)
(b) Mengembangkan respon untuk mencegah kejadian risiko terjadi
atau mengelola dampaknya terhadap entitas jika terjadi
 ENTERPRISE RISK MANAGEMENT –
tujuan dan manfaat

(2) Menyamakan dan mengintegrasikan pandangan manajemen risiko

Contoh:

• Perlunya ‘chief risk officer (CRO)’, sebagai individu, otoritas dan

pelaporan langsung
• Mengintegrasikan manajemen risiko ke dalam aktivitas penting
manajemen. Misalnya : Strategy planning, capital expenditure, due
diligence dan integrity proses.
ENTERPRISE RISK MANAGEMENT –
tujuan dan manfaat

• Membuat manajemen risiko lebih efisien dalam alokasi modal

dan transfer keputusan
• Meningkatkan transparansi dengan mengembangkan tindakan
kuantitatif dan kualitatif risiko dan kinerja manajemen risiko
• Menggabungkan resiko-resiko umum di beberapa unit bisnis
dengan tujuan memahami ancaman terbesar bagi nilai
perusahaan dan merumuskan Respon risiko secara terpadu
 ENTERPRISE RISK MANAGEMENT –
tujuan dan manfaat

(3) Membangun kepercayaan para investor dan pemegang saham :

Perusahaan meningkatkan transparansi risiko dan kemampuan
manajemen risiko, serta meningkatkan kematangan kemampuan
mereka di bidang memanage risiko kritis, manajemen akan mampu
mengartikulasikan lebih efektif seberapa baik mereka menangani
isu-isu industri yang terjadi dan yang akan terjadi
 ENTERPRISE RISK MANAGEMENT –
tujuan dan manfaat

(4) Meningkatkan tata kelola perusahaan (corporat governance)

(a) Memahami risiko dan kemampuan manajemen risiko
(b) Aligning risk appetite with the entity’s opportunity-seeking behavior

(5) Berhasil menanggapi perubahan lingkungan bisnis seperti lingkungan bisnis yang terus berubah dan
mempercepat laju perubahan, organisasi harus menjadi lebih baik dalam mengidentifikasi,
memprioritaskan dan perencanaan risiko

ERM membantu manajemen dengan mengevaluasi asumsi-asumsi yang mendasari model bisnis yang
sudah ada, efektivitas strategi, mengeksekusi model dan informasi yang tersedia untuk pengambilan
keputusan
 ENTERPRISE RISK MANAGEMENT –
tujuan dan manfaat

(6) Menyelaraskan strategi dan budaya perusahaan

ERM membantu manajemen menciptakan kesadaran risiko (risk

awareness) dan membuka budaya positif terhadap risiko dan
manajemen risiko
 ENTERPRISE RISK MANAGEMENT - standard
ISO31000
ISO 31000 fully complying with COSO ERM
ISO 31000 is more practical
Easy to apply (less than 30 pages)
Applicable to organizations in all industries, large or
small
More clearly written and terms are explicity defined
Wider acceptance as reference for risk management
in existing and future standards
No need to redesign existing management system to
apply
Apply to all level of organization for any type of
risk, both positive and negative consequences
ERM (COSO II)
COSO ERM does not comply with ISO 31000
COSO is very theoretical
Very complicate (over 200 pages)
Better suited for large financial organization
COSO is not easy to understand
Limited acceptance, mainly in the US within
financial industry
Major system modification is required to comply
with COSO
Focus on negative risk at corporate level, often very
confusing when apply at operation level
RISK RESPONSE AND MONITOR
RISK RESPONSE AND MONITOR
HINDARI

BAGAN PERLAKUAN RISIKO

SHARING

TREAT TRANSFER

MITIGASI
RISIKO
TERIMA

NO TREAT

CREATE RECORD
 RISK RESPONSE AND MONITOR

Tidak semua risiko harus di treat dengan alasan :

 Memiliki tingkat kegawatan rendah
 Sumber daya yang ada lebih diprioritaskan untuk men treat risiko lain di
zona merah
 Menghindari aktivitas risk treatment yang off focus
 Risiko belum terlalu dipahami dan treatment yang tepat belum diketahui
 Kemungkinan terjadi risiko sangat kecil
 RISK RESPONSE AND MONITOR

Risiko yang tidak di treat harus dicatat dan dijelaskan mengapa tidak di
treat

Dimasa depan, risiko tersebut mungkin harus di treat sehingga secara

berkala harus di tinjau ulang
 RISK RESPONSE AND MONITOR
JENIS – JENIS PERLAKUAN RISIKO

MENGHINDARI - Dilakukan dengan tidak melakukan aktifitas yang dapat

menimbulkan risiko
- Risiko jauh melebihi manfaat dari aktifitas atau risiko sulit
diukur
- Organisasi mempunyai opsi untuk menghindar
- Menghindari dari risiko seringkali menghilangkan
kesempatan

BERBAGI - Memecah prosess menjadi tahapan yang ditangani oleh

(SHARING) institusi lain dan masing-masing bertanggung jawab atas
tahapan kerjanya
- Melakukan joint financing atau joint venture
- Harus dianalisa untuk menentukan apakah resiko dapat
dibagi
 RISK RESPONSE AND MONITOR

TRANSFER - Membeli asuransi, re asuransi atau melakukan hedging

- Memastikan apakah risiko telah benar-benar ditransfer (tanpa
recourse)
- Mentransfer risiko menimbulkan risiko baru bahwa pihak yang
menerima transfer (transferfree) tidak melaksanakan kewajiban
sesuai kesepakatan

MENGURANGI - Mengurangi kemungkinan terjadinya risiko melalui pembuatan

ATAU prosedur dan pengawasan internal, pelatihan dan sosialisasi
MEMITIGASI internal
RISIKO - Mengurangi dampak atas terjadinya risiko melalui contingency
plan, penyediaan cadangan dana, meningkatkan public relation

MENERIMA - Risiko tidak dapat dihindari hanya dikurangi karena sudah

RISIKO merupakan bagian integral dari lingkup kerja organisasi
- Sudah diamanatkan oleh undang-undang
 RISK RESPONSE AND MONITOR

Opsi Menghindari :
 Hanya dapat dilakukan bila risiko tersebut belum terjadi atau timbul dari
suatu operasi tertentu yang dapat dihindari oleh organisasi
 Bila risiko tersebut sudah lama ada, umumnya tidak dapat dihindari karena
sudah merupakan bagian dari bisnis
 Perlu dianalisa berapa manfaat yang hilang dengan menghindari risiko
tersebut
 Menghindari satu risiko dapat mendatangkan risiko lain. ‘No action is an
action’
 RISK RESPONSE AND MONITOR

Opsi Risk Sharing / Transfer

Efektivitasnya tergantung dari :
 Jenis risiko yang ditransfer/ share : Mis resiko kebakaran dapat ditransfer
dengan mudah, tetapi risiko fraud sangat sulit
 Tergantung dari perjanjian. Kekurang hati-hatian dalam menyusun perjanjian
dapat mengakibatkan suatu risiko tidak dapat ditrasfer sesuai rencana
Segala jenis risiko saat ditransfer akan berubah menjadi risiko counterparty
Biaya adalah pertimbangan, besarnya biaya tergantung dari besarnya risiko yang
ditransfer/ share dan berapa besar kemungkinan risiko tersebut terjadi
 RISK RESPONSE AND MONITOR

Opsi Mitigasi
 Adalah opsi yang paling banyak digunakan untuk mengelola beragam
jenis risiko
 Opsi ini perlu diperhitungkan dengan matang cost benefit serta
kebutuhan sumber daya dan waktunya
 Biaya dan upaya harus dibandingkan dengan hasil yang terbentuk
besaran penurunan tingkat kegawatan risiko
 Risiko harus diprioritaskan terutama yang berada di zona merah.
 RISK RESPONSE AND MONITOR

Opsi menerima
 Risiko yang tidak dapat dimitigasi sama sekali karena memang sudah
merupakan bagian bisnis dari organisasi
 Upaya untuk memitigasi akan sangat namun mahal atau sukar dilaksanakan
 Opsi diterima HANYA dapat diambil bila benar-benar risiko ini dapat dipikirkan
untuk treatment dengan berbagai cara namun tidak memungkinkan
 Harus ada alasan kuat sebelum memutuskan sebuah risiko harus diterima
 Risiko seringkali signifikan namun tidak bisa di treat
RISK RESPONSE AND MONITOR

SEBELUM DAPATKAH RISIKO DIHINDARI ?

MENENTUKAN
TIDAK
TREATMENT PLAN
SPESIFIK YANG DAPATKAH RISIKO DITRANSFER ATAU DIBAGI ?
AKAN
DIGUNAKAN, TIDAK
HARUS
MENENTUKAN DAPATKAH RISIKO DIMITIGASI ?
SALAH SATU DARI
KELIMA JENIS TIDAK
TREATMENT RISIKO HARUS DITERIMA SEBAGAIMANA
YANG ADA ADANYA
 RISK RESPONSE AND MONITOR

Efek dari perlakuan risiko :

Setelah di treat, risiko diharapkan turun dari sisi dampak dan atau
frekuensinya

Beberapa treatment tidak memungkinkan hasil seketika, tapi secara

bertahap risiko akan berkurang kegawatannya dengan semakin lanjutnya
tahapan treatment
 RISK RESPONSE AND MONITOR

Memilih jenis perlakuan risiko yang tepat

 Perlakuan risiko harus disesuaikan dengan kondisi divisi/ organisasi
 Perlakuan risiko hanya disusun setelah akar penyebab (root cause) dari risiko
diketahui
 Semua opsi opsi perlakukan risiko yang ada perlu di eksplorasi
 Pertimbangkan biaya, waktu dan alokasi sumber daya merupakan faktor
penting
 Pilihan yang diambil merupakan pilihan yang paling efektif dalam mengelola
risiko dengan keterbatasan dana dan sumber daya yang ada.
 RISK RESPONSE AND MONITOR

Faktor faktor dalam menyusun Treatment Plan

 Aspek Hukum dan Compliance
Treatment plan harus sesuai dengan koridor hukum dan tidak
bertentangan dengan corporate governance yang telah ditetapkan
 Social Responsibility
Melakukan treatment atas risiko sering meningkatkan risiko yang
ditanggung oleh publik sehingga perlu dilakukan social benefit analysis.
 RISK RESPONSE AND MONITOR

 Anggaran
Besaran estimasi biaya yang dikeluarkan untuk melakukan perlakuan atas
suatu risiko
 Stakeholder View
Pandangan stakeholder (pemangku kepentingan)
 RISK RESPONSE AND MONITOR

Jangka waktu/ Target penyelesaian

 Gambaran rasional mengenai kapan treatment plan akan selesai
diimplementasikan
 Pada saat jangka waktu tercapai, diharapkan risiko dapat dikelola menuju
target yang ditetapkan
 Beberapa treatment plan adalah proses berkesinambungan sehingga
penetapan jangka waktu lebih ke arah penetapan time frame. Pada jangka
waktu tertentu dampak treatment plan sudah dapat dirasakan oleh
organisasi
RISK RESPONSE AND MONITOR - Cost Benefit Analysis

COST BENEFIT ANALYSIS

 CBA adalah suatu metode dimana besarnya biaya yang
dikeluarkan untuk perlakuan risiko dibandingkan dengan
manfaat yang akan diperoleh.
 Proses perlakuan risiko dapat dibedakan menjadi 2 jenis :
- Single Year : Hanya membutuhkan biaya satu kali
untuk memperoleh manfaat berkelanjutan
- Multi Year : Program mitigasi tidak hanya untuk satu
tahun, melainkan untuk beberapa tahun
RISK RESPONSE AND MONITOR - Cost Benefit Analysis

 Dalam menghitung besarnya manfaat, professional judgement sering

diperlukan karena manfaat yang tidak dapat dikuantifisir
 Metode penghitungan manfaat dan biaya yang paling ideal dalam
perlakuan risiko untuk multi years adalah dengan menggunakan konsep
present value
 Kesulitan yang ada dalam melakukan CBA adalah menghitung benefit
yang bersifat non moneter seperti peningkatan efisiensi, reputasi, social
awareness dsb
 ERM Solution and Dashboard

 One of the key tools to implement ERM in an organization is the “ERM

dashboard.”
 In essence, the dashboard should provide the management of the
organization with a top-of-the-house view of all risk types in an
integrated manner.
 The actual use of the dashboard by the management team as a support
tool in their decision making process is the only real indicator that rates
the success of the dashboard.
ERM Solution and Dashboard
 ERM Solution and Dashboard

Risk Management Reports & Dashboards

Prioritize
Membuat peta untuk menentukan risiko dan proses bisnis yang memerlukan tindakan
segera

Display Trends over Time

Membuat laporan risiko yang dapat dilihat oleh setiap subjek dan memiliki kemampuan
untuk diketahui tindakan yang perlu diambil sebelum loss terjadi atau sebelum tujuan
organisasi dipengaruhi
 ERM Solution and Dashboard

Serve a Variety of Stakeholders

Mudah mengorganisasi risiko untuk memenuhi keinginan dari stakeholder
yang berbeda tanpa mengulangi pekerjaan.

Reveal Systemic Risks

Dapat melacak beberapa kali risiko yang sama secara independen dan
dapat melihat dampak strategis secara akumulatif
 ERM Solution and Dashboard

Track Progress
Secara otomatis melacak kemajuan langkah langkah kunci untuk suksesnya
Enterprise Risk Management
Risk Control Self Assessment
Risiko operasional

 Risiko operasional adalah risiko kerugian akibat tidak memadainya atau gagalnya
proses internal, orang atau sistem, atau dari peristiwa eksternal.
 Ini mencakup risiko reputasi dan waralaba yang terkait dengan praktik bisnis bank
atau perilaku pasar. Ini juga termasuk risiko kegagalan untuk mematuhi undang-
undang, peraturan, Tindakan Administratif Regulasi yang berlaku, atau kebijakan
bank.
 Risiko operasional tidak termasuk risiko stratejik atau risiko kerugian yang timbul
semata-mata dari penilaian yang dibuat sehubungan dengan pengambilan risiko
kredit, pasar, suku bunga, likuiditas, atau asuransi.
RCSA

 Tujuan dari RCSA (Risk Control Self-Assessment) dan Kebijakan Risiko

Operasional adalah untuk menetapkan kerangka kerja yang konsisten untuk
menilai Risiko Operasional dan efektivitas keseluruhan lingkungan pengendalian
internal di seluruh bank.
 Meskipun data RCSA dapat digunakan untuk menghitung beban modal untuk
risiko operasional, data tersebut merupakan blok bangunan untuk Pendekatan
Pengukuran Lanjut (AMA) di bawah pedoman Basel II.
OPERATIONAL RISK

OPERATIONAL RISK
 Risiko Operational dapat dibagi menjadi 3 kategori :
Risiko Operasional

 Ada sejumlah insiden (disebut Loss Events) yang terjadi di semua kategori di atas.
 Mereka dapat terjadi di unit mana pun di bank seperti cabang, departemen TI,
departemen Penjualan, departemen Kontrol – itu dapat terjadi di departemen mana
pun terlepas dari apakah itu pusat laba atau pusat kerugian.
 Setiap insiden akan memiliki nilai kerugian moneter terkait yang terkait dengannya.
 Frekuensi peristiwa kerugian dapat dikurangi dengan kontrol dan pengukuran
konstan dapat menghasilkan perhitungan frekuensi kerugian rata-rata dan nilai
kerugian rata-rata untuk periode waktu tertentu.
 Proyeksi berdasarkan angka-angka ini menggunakan alat statistik dapat membantu
kita dalam menghitung beban modal seperti yang dijelaskan di bagian selanjutnya
dari dokumen ini.
Proses RCSA

 RCSA adalah metode dinamis dan berulang untuk mengidentifikasi risiko operasional penting
dan Kontrol Kunci dan untuk menilai dan melaporkan efektivitasnya untuk setiap entitas RCSA.
Ketika kerusakan di lingkungan kontrol diidentifikasi, mereka dilacak secara proaktif hingga
diperbaiki.

 Poin-poin penting yang perlu diperhatikan adalah:

 Ini dinamis. Itu terus berubah sepanjang waktu berdasarkan kontrol yang diperkenalkan oleh unit
 Ini berulang – seseorang menempatkan kontrol, melihat keefektifannya dan mengubahnya, jika tidak
efektif
 Hal ini dilakukan pada tingkat entitas (unit) RCSA dan semua RCSA untuk entitas (unit) dalam suatu
entitas disatukan untuk menghasilkan RCSA untuk entitas tersebut. Dengan demikian semua departemen
di bank dapat menjadi unit RCSA dan satu dapat mengkonsolidasikan RCSA dan menghasilkan
peringkat RCSA untuk bank
 Tindakan korektif dilacak dan diimplementasikan secara terus menerus
Biasanya, organisasi yang menerapkan proses RCSA akan
melalui langkah-langkah yang dijelaskan di bawah ini.
Documenting and Defining

 Langkah pertama adalah menentukan hierarki organisasi dan membuat daftar

risiko tingkat atas untuk organisasi.
 Berdasarkan hierarki organisasi, kita dapat menentukan entitas atau unit RCSA
yang akan melakukan pengujian dan mengukur risiko, menerapkan kontrol,
mengukur efektivitasnya, dan terus meningkatkan secara berkesinambungan.
 Laporan RCSA dari semua entitas RCSA diserahkan ke grup pusat di entitas
untuk sampai pada risiko keseluruhan bagi entitas.
 Entitas pelapor mendefinisikan risiko dan pengendalian tingkat atas yang meresap
ke unit yang lebih rendah dalam entitas.
 Unit juga dapat menambahkan risiko dan kontrol tambahan jika tidak tercakup
oleh risiko dan kontrol tingkat entitas.
Contoh

 Dalam contoh di atas, ketika kami ingin mengevaluasi RCSA motor XYZ, kami
harus mengambil RCSA dari semua divisinya – kami sekarang mencari dan
penjualan Mobil Bekas sebagai entitas yang menerbitkan Kontrol dan Risiko
tingkat Entitas dan setiap entitas RCSA harus memilih dan memberikan data yang
berkaitan dengan jumlah insiden, nilai kerugian selama periode pelaporan beserta
pengendaliannya untuk meminimalkan risiko dan efektivitasnya.
 Dalam setiap entitas RCSA Anda dapat memiliki beberapa Unit Uji.
 Entitas RCSA akan menyusun semua hasil unit pengujian di bawahnya untuk
pelaporan – pelaporan dilakukan di tingkat entitas RCSA.
Identifying Risk and Controls

 Setiap unit sekarang akan mengevaluasi risiko dan kontrol di bawah tiga kategori
penting:
 Risiko yang berasal dari entitas tingkat atas
 Risiko Regulasi
 Risiko tambahan yang tidak tercakup oleh risiko entitas tingkat atas
Assessment of Risks and Controls

 RCSA digunakan untuk melacak risiko penting atau materialistis saja.

 Jika ada risiko yang diidentifikasi oleh suatu unit sebagai “tidak penting atau tidak
materialistis”, risiko tersebut harus didokumentasikan dan ditinjau secara berkala.
 Manajer unit yang melaporkan RCSA bertanggung jawab penuh untuk
mengidentifikasi risiko, melacak insiden, mengaitkan nilai kerugian,
menghubungkannya dengan risiko, menerapkan kontrol untuk mengurangi risiko,
dan melaporkan data dalam format tertentu.
Assessment of Risks and Controls

 Kontrol ditempatkan di setiap entitas RCSA untuk mengurangi dan

menghilangkan risiko.
 Penting untuk melakukan pemeriksaan berkala untuk melihat apakah kontrol
tersebut efektif atau tidak.
 Jika kontrol ditemukan tidak efektif, rencana tindakan korektif (CAP) harus
dibuat untuk mengurangi risiko.
 Ini harus menjadi proses yang berkesinambungan karena risiko berubah seiring
dengan perubahan proses dan kontrol menjadi tidak efektif dari waktu ke waktu
dan oleh karena itu diperlukan pengujian secara berkala.
Assessment of Risks and Controls

 Pengujian pengendalian hanya dapat dilakukan atas dasar pengambilan sampel.

Pengujian pengendalian harus mengikuti proses berikut:
 Pilih ukuran sampel yang sesuai
 Identifikasi penguji independen untuk menjalankan tes – orang lain selain orang yang
melakukan proses atau kontrol berdasarkan BAU
 Meringkas hasil pengujian untuk tes yang telah diselesaikan
 Tangkap dan dokumentasikan lokasi atau lampirkan bukti untuk membuktikan hasil tes
 Menentukan efektivitas operasi kontrol (misalnya, Memuaskan, Tidak Memuaskan:
Business Issue (BI), Tidak Memuaskan: Major Business Issue (MBI)
Peringkat

 Peringkat berikut harus digunakan untuk Kontrol Kunci setelah pengujian selesai:

 Memuaskan: Hasil menunjukkan bahwa Kontrol Kunci beroperasi secara efektif

 Tidak Memuaskan: Masalah Bisnis (BI): Hasil menunjukkan bahwa Kontrol Kunci
tidak beroperasi secara efektif dan dapat berdampak negatif pada Entitas RCSA, atau
komponen signifikan dari Entitas RCSA.

 Tidak Memuaskan: Major Business Issue (MBI): Hasil menunjukkan bahwa Kontrol
Kunci tidak beroperasi secara efektif dan dapat memiliki dampak negatif yang material
terhadap Entitas RCSA, atau komponen signifikan dari Entitas RCSA.
ASSESSMENT OF RISK AND CONTROL

Corrective Action Plan (CAP) diperlukan saat kontrol ditemukan tidak memadai untuk mengurangi
risiko.

CAP harus menentukan letak dimana kelemahan yang diidentifikasi selama pengujian tidak
memadai atau tidak efektif .
CAP diperlukan jika:

 Terdapat kontrol kunci yang kurang terhadap risiko penting

 Risiko penting tidak secara signifikan dikurangi oleh kontrol kunci (key
control)
 Dari hasil pengujian, disimpulkan bahwa kontrol tidak beroperasi secara
efektif
 ASSESSMENT OF RISK AND CONTROL

Jika CAP tidak diimplementasikan dalam jangka waktu yang ditetapkan, maka kontrol
sementara yang mengurangi risiko penting harus diidentifikasi atau ditempatkan sebagai
langkah sementara. Kontrol sementara harus diuji sampai key control yang merupakan subjek
dari tindakan korektif dapat diterapkan dan diuji.
 ASSESSMENT OF RISK AND CONTROL

Setiap entitas RCSA harus menetapkan risiko dan kontrol penilaian

risiko penting masing masing dan dinilai sebagai:
 Acceptable: Key Control(s) assessed as ‘Satisfactory’
 Acceptable with Concerns: Key Controls) dinilai 'Tidak
memuaskan', tetapi kontrol- kontrol sementara digunakan untuk
mengurangi risiko untuk tingkat yang dapat diterima.
 Less-than-Acceptable: Key Control(s) dinilai 'Tidak memuaskan',
dan kontrol- kontrol sementara tidak di unakan untuk mengurangi
risiko ke tingkat yang dapat diterima.
 ASSESSMENT OF RISK AND CONTROL

Rating juga dapat digunakan ketika CAP tidak dapat dicapai tanpa
secara signifikan mengalihkan sumber daya dari tujuan bisnis.
REVIEWING AND RATING

A Risk & Control Rating harus diberikan kepada entitas RCSA secara keseluruhan
dan merupakan tanggung jawab dari kepala unit entitas RCSA
Rating dari Risk & Control harus dgn : Acceptable, Acceptable with Concerns, or
Less-than-Acceptable.

Rating entitas RCSA Risk dan Control ditetapkan setelah mempertimbangkan hal-hal
sebagai berikut
– Rating risk & control untuk setiap risiko penting
– Issue – issue lain yang diketahui
– Management’s judgment (penilaian dari manajemen)
 REVIEWING AND RATING

Rating akhir entitas RCSA harus didasarkan pada aturan-aturan seperti terburuk
penilaian risiko atau rata-rata tertimbang penilaian risiko. Proses harus memiliki
otorisasi manual untuk tingkat akhir dari entitas RCSA

Harus ada kemampuan untuk mengkonsolidasikan rating di seluruh entitas RCSA di

organisasi atau perusahaan berbasis risk rating. Ini dapat juga didasarkan pada aturan
sebagai rating terburuk atau rata-rata tertimbang peringkat berbagai entitas RCSA
untuk menentukan risiko organisasi atau perusahaan
KEY RISK INDICATOR

Proses RCSA dan Management bisnis review akan membantu

mengklasifikasikan risiko dengan tingkat risiko

Risiko di bawah tingkat resiko tertentu dapat diabaikan karena tidak berlaku
untuk entitas RCSA atau sangat tidak mungkin terjadi. Risiko yang
diidentifikasi sebagai risiko penting atau kunci harus diawasi dan ditinjau
melalui proses RCSA.

Risiko utama yang serupa harus memiliki thresholds for escalation dan jika
resiko tersebut terus-menerus di bawah TFE tertentu untuk jangka waktu yang
cukup, peninjauan harus dilakukan untuk melihat apakah masih risiko penting
atau tidak
LOSS EVENT DATA

Setiap entitas RCSA akan dapat menangkap peristiwa actual loss event atau kejadian selama periode
pelaporan.

Setiap peristiwa kerugian (loss event) akan memiliki atribut berikut:

• Kode entitas RCSA

• Nomor referensi kejadian
• Deskripsi dari kejadian
• Kategori risiko kunci dan yang terkait
• Perkiraan atau kerugian aktual akibat kejadian
• Apakah memiliki pengaruh kepada pelanggan
• Apakah dapat dilaporkan kepada pihak eksternal (polisi atau pers)
• Potential cause of the incident
• Cara yang disarankan untuk mencegah berulangnya kejadian
LOSS EVENT DATA

Kita dapat memperoleh katagori data yang lebih jelas untuk setiap peristiwa kerugian
dengan :

 Menghubungkan kejadian ke kategori risiko penting yang tepat

 Nilai aktual atau perkiraan kerugian
REPORTING

Setiap entitas RCSA akan mengirimkan laporan RCSA secara priodik

1. RCSA Enterprise Report

Laporan berisi keseluruhan rating organisasi dengan jangka waktu pelaporan dan
rating risiko dari semua entitas RCSA dibawahnya
.
REPORTING
2. RCSA Entity Report
Semua entitas akan menyerahkan laporan pada periode yang telah ditentukan.

• Loss Events – Format yang dibutuhkan untuk laporan dapat bervariasi dari
setiap organisasi
• RCSA results summary at entity level – jumlah risiko dan metode yang
digunakan untuk keseluruhan rating
• Key Risks rating dan rating terkait dengan sampel unit dibawahnya untuk
sample test (jika dibutuhkan)
• Management Summary – free text
REPORTING

3. Risk-Control Environment Summary report

 REPORTING

4. Risk Control Testing Details

CAPITAL COMPUTATION

Perhitungan modal untuk risiko operasional berdasarkan pada :

• Internal Loss Data
• External Loss Data
CAPITAL COMPUTATION

Data internal loss diketahui oleh organisasi (bank) dan eksternal loss data dapat
digunakan serta tambahan data mana internal data tidak ditemukan memadai.

Merupakan tanggung jawab organisasi untuk mengumpulkan dan mengatur data

eksternal

3 metode untuk menghitung capital charge:

 Loss Distribution Approach (LDA)
 Scenario Based AMA
 Risk Drivers and Control Approach
CAPITAL COMPUTATION
LDA
Dengan LDA, modal dihitung menggunakan Model distribusi kerugian yang diperoleh dengan menyesuaikan Internal
dan/atau eksternal loss data. Modal yang diperoleh dari suatu distribusi frekuensi bersama.

AMA
Sejumlah besar skenario potensi loss diidentifikasi dan diukur (dari kombinasi dari loss data dan pendapat ahli). "Bank
harus menggunakan analisis dari pendapat ahli dalam hubungannya dengan data eksternal untuk mengevaluasi eksposur
untuk kejadian resiko tinggi.

Pendekatan ini berdasarkan pada pengetahuan tentang bisnis berpengalaman Manajer dan para ahli manajemen risiko
untuk memperoleh penilaian beralasan kerugian besar yang masuk akal. Skenario analisis melibatkan mengidentifikasi
peristiwa-peristiwa masa depan yang masuk akal dan membuat asumsi-asumsi yang valid untuk menghasilkan jawaban
dari pertanyaan "Bagaimana jika" dan memeriksa kemungkinan berdampak pada bisnis.
CAPITAL COMPUTATION

Skenario analisis dapat membantu manajemen untuk membuat contigency plan untuk
 Mengurangi dampak dari skenario yang terjadi
 Menerapkan atau memperkuat kontrol untuk mengurangi kemungkinan skenario
yang terjadi

RDCA
Under Risk Drivers and Control Approach, Modal dialokasikan ke unit berdasarkan
risiko masing-masing unit.
CAPITAL COMPUTATION

Langkah langkah yang digunakan untuk menghitung biaya modal:

 Menghitung rata-rata kerugian yang terkait dengan setiap peristiwa kerugian. Bobot yang
diberikan pada setiap peristiwa dapat berbeda - beda
 Berdasarkan frekuensi kejadian selama jangka waktu tertentu, menghitung probabilitas terjadinya
peristiwa.
 Periksa rating RCSA untuk risiko yang terkait dengan peristiwa kerugian. Associate a premium
on capital charge, if the risk rating is “Acceptable with Concerns” or “Less than Acceptable”
 Bank/ perusahaan dapat menentukan modal minimum untuk risiko yang tidak memiliki loss event
 Menghitung potensi kerugian untuk suatu peristiwa berdasarkan pendapat para ahli dan
menghubungkan dengan skenario kejadian.
 Jumlah actual loss charge dan based charge scenario akan menjadi biaya risiko operasional.