MANAJEMEN

RISIKO
WEEK -10
 TUJUAN PEMBELAJARAN
Mahasiswa mampu memahami framework dan struktur ERM, serta
cakupan dan definisi dari risiko.

2
OUTLINE
1. Framework dan Struktur
Enterprise Risk
Management (ERM)
2. Definisi dan cakupan Risiko

3
DIFINISI & CAKUPAN
RISIKO

4
RISIKO

Risiko ?

5
RISIKO
Risk = Effect of uncertainty
ISO 31000 : 2018 on objectives *

Risiko adalah KEMUNGKINAN

terjadinya suatu peristiwa yang
ber-DAMPAK terhadap
pencapaian sasaran.

• Effect = Consequence = Dampak

Uncertainty : Potential event & it’s likelihood of occurrence

6
RISIKO

Kemungkinan
Berpotensi
Terjadinya DAMPAK SASARAN
PERISTIWA

Risiko diukur dari 2 (dua) aspek :

1. Aspek KEMUNGKINAN terjadinya
2. Aspek DAMPAKnya terhadap tujuan / sasaran
7
RISIKO

Risiko
Risiko
Risiko

Sasaran

8
SUMBER RISIKO
EXTERNAL INTERNAL

Ekonomi & Pasar Proses Bisnis

Kenaikan suku bunga, inflasi, kurs Metode usang, Local costumization

Sosial & Politik SDM

Demostrasi, Perubahan regulasi, Lingkungan Kuantitas, Kompetensi, Manajerial, Integritas

Hukum Sarana & Prasarana

Preseden, Tuntutan hukum Peralatan kerja, Kendaraan, Handling

Teknologi Operasional
Usang Operasi, Pemeliharaan, Pendanaan

Peristiwa Alam
Banjir, Gempa bumi, Badai

9
PELUANG VS RISIKO

10
PELUANG VS RISIKO
Risiko adalah “dampak ketidakpastian pada sasaran”
(Risk is effect of uncertainty on objectives – ISO Guide 73)

11
PEMAHAMAN RISIKO

12
PEMAHAMAN RISIKO

13
RISIKO ATAU BUKAN?
TUJUAN :
Menempuh perjalanan dengan kereta api ke Jakarta untuk menghadiri rapat pada
pukul 9.00 pagi

Terlambat dan melewatkan rapat  Ini adalah pernyataan DAMPAK sebuah Risiko

Ketinggalan kereta api shg menjadi  Risiko! Dpt dikendalikan dgn memastikan msh
terlambat hadir mengikuti rapat banyak waktu utk mencapai stasiun
Cuaca buruk membuat kereta api tidak jadi  Risiko! Tdk dpt dikendalikan, namun dapat
berangkat dibuat rencana kontinjensi / mitigasinya.

Tidak ada makanan dalam kereta api  Bukan Risiko!

sehingga kelaparan Karena tidak berdampak pada Tujuan!

Sakit perut tadi malam mengganggu  Bukan Risiko!

penyiapan bahan rapat Karena telah terjadi. 14
BAGAIMANA MENYATAKAN SEBUAH RISIKO?
(Misal : Sasaran = Penyelesaian proyek pembangkit “A” tepat waktu)
1. Bukan berupa lawan kata / kebalikan dari Sasaran
[X] Risiko proyek tidak dapat diselesaikan tepat waktu.
2. Menyatakan (kemungkinan) kejadian / peristiwa, penyebab dan dampaknya.

Risiko : Pengadaan material terhambat

Sebab : Pelelangan gagal
Dampak : - Tuntutan pihak pelaksana pekerjaan konstruksi .
- Jadwal penyelesaian proyek mundur.
3. Atau dalam satu alimat :
Risiko hambatan pada pengadaan material akibat kegagalan pelelangan, akan
berdampak pada mundurnya jadwal penyelesaian proyek dan tuntutan pihak
pelaksana pekerjaan konstruksi. 15
BAGAIMANA MENYATAKAN SEBUAH RISIKO?
4. Sesuatu (kondisi) yang sudah pasti tidak dapat dinyatakan sebagai
risiko.
[X] Risiko geografis yang jauh dari pemukiman …
5. Tidak menyebutkan lebih dari satu risiko dalam satu pernyataan.
[X] Risiko hambatan pada pengadaan material dan keselamatan
personil … dst
6. Satu pernyataan (deskripsi) risiko dapat disebabkan oleh
beberapa penyebab dan beberapa dampak.

16
SIAPA PEMILIK RISIKO?
Pemilik Risiko menurut ISO 31000 adalah :
• Orang atau entitas yang dengan akuntabilitas dan kewenangan untuk
mengelola RISIKO
(Risk Owner is person or entity with the accountability and autihority
to manage risk – ISO Guide 73)

17
SIAPA PEMILIK RISIKO?

Tingkat berbeda
memiliki jenis risiko
yang berbeda

Risk Ultimately should

be filtered to the lowest
level possible for
ownership and
mitigation
18
SIAPA PEMILIK RISIKO?

19
SIAPA PEMILIK RISIKO?

20
SIAPA PEMILIK RISIKO?
Risiko dan Proses Bisnis
 Dalam setiap proses bisnis terdapat potensi risiko yang dapat
mengakibatkan kesalahan atau kegagalan proses menghasilkan
keluaran yang direncanakan
 Dalam semua proses bisni harus dipastikan sudah terdapat proses
pengedalian risiko sehingga dapat memberikan jaminan yang
wajar atas hasil keluaran proses tersebut sesuai dengan rencana

21
MANAJEMEN RISIKO
ISO 31000:2018

22
MANAJEMEN RISIKO
ISO 31000 : 2018 Coordinated activities to direct and control
an organization with regard to risk

Proses terstruktur untuk mengelola risiko yang dihadapi perusahaan dalam

mencapai sasaran yang ada di dalam RJPP, RKAP, KPI maupun sasaran lainnya.

Berupa proses sistematis dan berkesinambungan :

• Untuk mengidentifikasi dan mengukur level risiko.
• Untuk menentukan tindakan terbaik dalam
mengurangi kemungkinan terjadinya risiko,
memperkecil dampak yang ditimbulkannya (atau kedua-
duanya)
• Guna memastikan / menciptakan keyakinan bahwa 23
MANAJEMEN RISIKO

Manajemen risiko
dapat menjadi bahan masukan / referensi
dalam pengambilan keputusan.

Manajemen risiko bukan untuk menjamin

bahwa risiko tidak akan terjadi.

Manajemen risiko hanya dapat memperkecil

peluang terjadinya risiko atau memperkecil potensi
dampak risiko, bukan menghilangkan risiko.
24
MANFAAT MANAJEMEN RISIKO

‘Organisasi yang dapat mengelola risiko secara efektif dan

efisien, memiliki peluang dan keyakinan yang lebih besar
dalam mencapai sasarannya, dan secara keseluruhan
mengeluarkan biaya yang lebih rendah’

(AS/NZS 4360:2004)

25
PENERAPAN MANAJEMEN RISIKO

Penerapan manajemen risiko :

• Di segenap unsur organisasi dalam
perusahaan,
• Diintegrasikan pada setiap
aktivitas/proses bisnis

 dalam rangka pencapaian sasaran-

sasaran perusahaan.

26
STANDAR ACUAN MANAJEMEN RISIKO

ISO 31000:2009 27
STANDAR ACUAN MANAJEMEN RISIKO

ISO 31000:2009 28
STANDAR ACUAN MANAJEMEN RISIKO

29
PERUBAHAN ISO 31000 : 2018
Prinsip (Principles) Manajemen Risiko adalah fondasi untuk
manajemen risiko, saat menerapkan dan menjalankan pengaturan
manajemen risiko

30
PERUBAHAN ISO 31000 : 2018
Kerangka kerja (Framework) manajemen risiko mengelola
keseluruhan proses dan integrase proses dalam organisasi

31
PERUBAHAN ISO 31000 : 2018
Proses (Process) pengelolaan risiko berfokus pada tiap risiko atau
kelompok risiko, serta identifikasi, analisi, evaluasi dan perlakuan
terhadap mereka.

32
PRINSIP MANAJEMEN RISIKO

• Value Creation and Protection

Manajemen Risiko meningkatkan
kinerja, mendorong inovasi dan
mendukung pencapaian sasaran
• Integrated
Manajemen Risiko adalah bagian
terpadu dari semua kegiatan organisasi
• Structured and Comprehensive
Pendekatan yang terstruktur dan
komprehensif pada manajemen risiko
memberikan hasil yang konsisten dan
dapat dibandingkan
33
PRINSIP MANAJEMEN RISIKO

Customized
Kerangka kerja dan proses
manajemen risiko harus disesuaikan
dengan konteks internal serta
eksternal termasuk juga terhadap
sasaran terkait
Inclusive
Keterlibatan para pemangku
kepentingan secara memadai dan
tepat waktu akan membuat mereka
mau berbagi pengetahuan,
pandangan dan persepsinya untuk
menjadi bahan pertimbangan.
34
PRINSIP MANAJEMEN RISIKO

Dynamic
Manajemen risiko harus
mengantisipasi, memindai dan
memahami serta menangani
perubahan dan peristiwa yang terjadi
secara memadai dan tepat waktu.
Best Available Information
Manajemen risiko secara tegas
menyatakan memahami
keterbatasan dan informasi yang
tersedia dan juga ketidakpastian yang
melekat pada informasi tersebut.
35
PRINSIP MANAJEMEN RISIKO

Human and Cultural Factors

Budaya dan perilaku manusia
akan sangat mempengaruhi
penerapan seluruh aspek
manajemen risiko pada setiap
tingkatan
Continual Improvement
Manajemen risiko melakukan
perbaikan terus menerus
berdasarkan pengalaman dan
pembelajaran
36
KERANGKA MANAJEMEN RISIKO
 Manajemen risiko harus diletakkan dalam suatu kerangka
manajemen risiko. Kerangka ini akan menjadi dasar dan penataan
yang mencakup seluruh kegiatan manajemen risiko di segala
tingkatan organisasi.
 Kerangka manajemen risiko ini disusun khas ISO yaitu berdasarkan
siklus:
 Plan (mendesain kerangka manajemen risiko)
 Do (mengimplementasikan kerangka manajemen risiko)
 Check (memonitor dan mereview kerangka manajemen risiko)
 Act (perbaikan terus menerus kerangka manajemen risiko),
dengan sebelumnya harus mendapatkan mandat dan komitmen
berlanjut dari manajemen organisasi. 37
KERANGKA MANAJEMEN RISIKO
 Kerangka kerja ini akan membantu organisasi mengelola risiko
secara efektif melalui penerapan proses manajemen risiko.
 Proses manajemen risiko hendaknya merupakan bagian yang tak
terpisahkan dari proses manajemen umum.
 Manajemen risiko harus masuk dan menjadi bagian dari budaya
organisasi, praktik terbaik organisasi, dan proses bisnis organisasi.

38
KERANGKA MANAJEMEN RISIKO

• Leadership and Commitment

Pengelolaan Manajemen Risiko
dimulai dari pemimpin risiko

• Integration
Risiko harus dikelola pada
setiap bagian struktur
organisasi

39
KERANGKA MANAJEMEN RISIKO

Design
Penerapan kerangka kerja ini meliputi :
1. Memahami organisasi dan
konteksnya
2. Artikulasi penerapan manajemen
risiko
3. Penetapan peran dalam organisasi
kewenangan tanggung jawab dan
akuntabilitas
4. Alokasi sumber daya
5. Membangun metoda komunikasi
dan konsultasi
40
KERANGKA MANAJEMEN RISIKO

Implementation
Merincikan segala rencana dan
tahapan dalam rangka mencapai
tujuan
Evaluation
Memastikan efektifitas kerangka
kerja manajemen risiko
Improvement
Adaptasi dan perbaikan terhadap
kesenjangan
41
KERANGKA MANAJEMEN RISIKO

Proses untuk mengelola risiko

berfokus pada individu atau
kelompok risiko, dalam
melakukan identifikasi, analisis,
evaluasi, dan perlakuan risiko

42
PROSES MANAJEMEN RISIKO
Proses manajemen risiko menurut ISO meliputi 5 kegiatan, yaitu:
1. Komunikasi dan konsultasi, yaitu komunikasi dan konsultasi di
antara para pemangku kepentingan, internal maupun eksternal,
yang harus dilakukan seekstensif mungkin sesuai dengan
kebutuhan dan pada setiap tahapan proses manajemen risiko.
2. Menentukan konteks, yaitu menentukan batasan atau parameter
internal dan eksternal yang akan dijadikan pertimbangan dalam
manajemen risiko, menentukan lingkup kerja, dan kriteria risiko
untuk proses-proses selanjutnya.

43
PROSES MANAJEMEN RISIKO
3. Asesmen risiko, yaitu mengidentifikasi risiko, menganalisis risiko,
serta mengevaluasi risiko. Mengidentifikasi risiko dilakukan
dengan mengidentifikasi sumber risiko, area dampak risiko,
peristiwa dan penyebabnya, serta potensi penyebabnya,
sehingga bisa didapatkan sebuah daftar risiko. Analisis risiko
adalah upaya memahami risiko yang sudah diidentifikasi secara
lebih mendalam yang hasilnya akan menjadi masukan bagi
evaluasi risiko. Sedangkan evaluasi risiko adalah menentukan
risiko-risiko mana yang memerlukan perlakuan dan bagaimana
prioritas implementasinya.

44
PROSES MANAJEMEN RISIKO
4. Perlakuan risiko, meliputi upaya untuk menyeleksi pilihan-pilihan
yang dapat mengurangi atau meniadakan dampak serta
kemungkinan terjadinya risiko, kemudian menerapkan pilihan
tersebut.
5. Monitoring dan review, bisa berupa pemeriksaan biasa atau
pengamatan terhadap apa yang sudah ada, baik secara berkala
atau secara khusus. Kedua bentuk ini harus dilakukan secara
terencana.

45
KOMUNIKASI & KONSULTASI

46
KOMUNIKASI & KONSULTASI
3 Line of Defence dan Manajemen Risiko

47
FRAMEWORK &
STRUKTUR ENTERPRISE
RISK MANAGEMENT (ERM)
COSO

48
MODEL/KERANGKA MANAJEMEN RISIKO
ORGANISASI
Ada beberapa kerangka (framework) yang dikembangkan oleh
beberapa pihak seperti oleh:
1. COSO (2004),
2. CAS (2003), atau oleh Miccolis dan
3. Shah (2000), dan
4. ISO (2018).

49
MODEL/KERANGKA MANAJEMEN RISIKO
ORGANISASI
• Kerangka yang dikembangkan oleh COSO telah menjadi leader
sejak tahun 2004 hingga saat ini. Hal ini dapat dimaklumi karena
kerangka dari COSO di-endorse oleh profesi-profesi terkait dengan
akuntansi dan keuangan serta pasar modal yang berpengaruh
secara global.
• Kerangka ISO juga tampaknya akan segera menjadi alternatif
kerangka yang dapat dipakai dalam manajemen risiko, mengingat
ISO memiliki reputasi dan pengaruh yang besar dalam harmonisasi
standar di seluruh dunia. Berikut ini uraian ringkas kedua kerangka
tersebut.

50
MODEL COSO
Komponen ERM COSO digambarkan sebagai sebuah kubus yang
memepunyai tiga permukaan yang tampak.
1. Permukaan dari sisi kanan adalah komponen entitas perusahaan
yaitu : level perusahaan, divisi, unit bisnis, dan anak perusahaan.
2. Permukaan dari sisi atas adalah komponen tujuan manajemen
risiko perusahaan yaitu : strategis, operasi, pelaporan, dan
kepatuhan.
3. Permukaan dari sisi depan adalah komponenn proses
manajemen risiko perusahaan yaitu : kondisi lingkungan internal,
penetapan tujuan, identifikasi kejadian, penilaian risiko,
penanggapan risiko, aktivitas pengendalian, informasi dan
komunikasi, serta pemantauan. 51
MODEL COSO
Penerapan komponen dalam berbagai tujuan tersebut dapat
dilakukan pada entity-level, divisional, unit bisnis, dan/atau
subsidiary. Hubungan antara ketiganya digambarkan oleh COSO
dalam kubus tiga dimensi sebagai berikut :

52
Gambar 1. COSO - ERM
MODEL COSO
• ERM versi COSO terdiri dari 8 komponen yang saling terkait.
Kedelapan komponen ini diturunkan dari bagaimana manajemen
menjalankan perusahaan dan diintegrasikan dengan proses
manajemen.
• Kedelapan komponen ini diperlukan untuk mencapai tujuan-tujuan
perusahaan, baik tujuan strategis, operasional, pelaporan
keuangan, maupun kepatuhan terhadap ketentuan perundang-
undangan

53
MODEL COSO
Komponen-komponen tersebut adalah :
1. Lingkungan Internal (Internal Environment)
• Merupakan komponen yang berkaitan dengan lingkungan dimana perusahaan
berada dan beroprasi. Cakupanya adalah risk-manajement philosophy (kultur
manajemen tentang risiko), integrity (integritas), risk-perspective (perspektif
terhadap risiko), risk-appetite (selera atau penerimaan terhadap risiko),
ethical values (nilai moral), struktur organisasi dan pendelegasian wewenang.
• Lingkungan internal sangat menentukan warna dari sebuah organisasi dan
memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam
organisasi tersebut. Di dalam lingkungan internal ini termasuk, filosofi
manajemen risiko dan risk appetite, nilai-nilai etika dan integritas, dan
lingkungan di mana kesemuanya tersebut berjalan.

54
MODEL COSO
2. Penentuan Tujuan (Objective Setting)
Tujuan perusahaan harus ada terlebih dahulu sebelum manajemen
dapat mengidentifikasi kejadian-kejadian yang berpotensi
mempengaruhi pencapaian tujuan tersebut. ERM memastikan
bahwa manajemen memiliki sebuah proses untuk menetapkan
tujuan dan bahwa tujuan yang dipilih atau ditetapkan tersebut
terkait dan mendukung misi perusahaan dan konsisten dengan risk
appetite-nya.

55
MODEL COSO
3. Identifikasi Kejadian (Event Identification)
• Kejadian internal dan eksternal yang mempengaruhi pencapaian
tujuan perusahaan harus diidentifikasi, dan dibedakan antara risiko
dan peluang. Peluang dikembalikan (channeled back) kepada
proses penetapan strategi atau tujuan manajemen.
• Salah satu model yakni exposure analysis. Metode ini digunakan
untuk melakukan identifikasi risiko dari sumber daya organisasi
yang meliputi financial assets seperti kas dan simpanan di bank,
physical assets seperti tanah dna bangunan, human assets yang
mencakup pengetahuan dan keahlian, serta intangible assets
seperti reputasi dan penguasaan informasi.
56
MODEL COSO
4. Penilaian Risiko (Risk Assessment)
• Komponen ini menilai sejauh mana dampak dari events (kejadian
atau keadaan) dapat mengangu pencapaian tujuan yang telah
ditetapkan. Besarnya dampak dapat diketahui dari inherent dan
residual risk, dan dapat dianalisis dalam dua perspektif yakni:
likelihood (kecenderungan/peluang) ada impact/consequence
(peluang dari besaran jika risiko terkait). Dengan demikian
besarnya risiko atas setiap kegiatan bisnis merupakan hasil kali
antara likelihood dan consequence.

57
MODEL COSO
• Hasil dari penilaian ini menentukan posisi dan tingkat risiko yang
diukur. Posisi dari risiko kemudian di petakan sehingga dapat
terlihat prioritas dari risiko-risiko yang ada dan dapat digunakan
sebagai dasar dari penentuan bagaimana risiko tersebut dikelola.

58
MODEL COSO
• Penilaian risiko sendiri dapat dilakuakan dengan menggunakan dua
teknik yakni: qualitative techniques dan quantitative techniques.
1. Qualitative techniques dapat menggunakan beberapa tools
seperti self –assessment (low, medium, high), questioaries, dan
internal audit reviews.
2. Sementara untuk metode quantitative techniques data
berbentuk angka yang diperoleh dari tools seperti probability
based, non-probabilitistic models (optimalkan hanya asumsi
consequence) dan benchmaring.

59
MODEL COSO
5. Respons Risiko (Risk Response)
Manajemen memilih respons risiko –menghindar (avoiding),
menerima (accepting), mengurangi (reducing), atau mengalihkan
(sharing risk) dan mengembangkan satu set kegiatan agar risiko
tersebut sesuai dengan toleransi (risk tolerance) dan risk appetite.

6. Kegiatan Pengendalian (Control Activities)

Kebijakan dan prosedur yang ditetapkan dan diimplementasikan
untuk membantu memastikan respons risiko berjalan dengan efektif.

60
MODEL COSO
7. Informasi dan komunikasi (Information and Communication)
Informasi yang relevan diidentifikasi, ditangkap, dan
dikomunikasikan dalam bentuk dan waktu yang memungkinkan
setiap orang menjalankan tanggung jawabnya.

8. Pengawasan (Monitoring)
Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila
perlu. Pengawasan dilakukan secara melekat pada kegiatan
manajemen yang berjalan terus-menerus, melalui eveluasi secara
khusus, atau dengan keduanya.

61
MODEL COSO
• COSO ERM – Integrated Framework juga mendeskripsikan peran
dan tanggung jawab dari unit-unit kerja perusahaan dalam
penerapan manajemen risiko.
• Satu prinsip dasar yang ditanamkan COSO ERM adalah bahwa
“semua bagian di dalam perusahaan memiliki tanggung jawab
terhadap ERM”, yang artinya implementasi manajemen risiko
harus mencakup entity-level, division, business unit, hingga
subsidiary, dan mencakup seluruh seluruh sumber daya manusia di
dalamnya.
• Walau begitu, terdapat pembagian peran dan tanggung jawab
dalam penerapan ERM.
62
MODEL COSO
Berikut peran dan tanggung jawab yang dijelaskan COSO ERM:
1. Board of Directors (BoD) memiliki tanggung jawab penting dalam
melakukan pemantauan terhadap penerapan manajemen risiko,
dengan turut memperhitungkan risk appetite dari entitas;
2. Chief Executive Officer (CEO) memiliki tanggung jawab untuk
memastikan berjalannya ERM yang efektif pada keseluruhan
perusahaan;
3. Manajer memiliki tanggung jawab dalam mendukung penerapan
prinsip ERM perusahaan, memastikan pemenuhan ERM dengan
risk appetite, dan mengelola risiko di ranah kewenangannya agar
konsisten dengan risk tolerance yang dimilikinya;
63
MODEL COSO
4. Risk officer, financial officer, dan internal audit memiliki peran
kunci dalam mendukung efektivitas penerapan manajemen risiko
perusahaan;
5. Petugas operasional (atau biasa disebut risk coordinator)
bertanggung jawab dalam menerapkan manajemen risiko
perusahaan sejalan dengan prosedur dan kebijakan manajemen
risiko perusahaan;
6. Pihak eksternal (seperti pelanggan, kompetitor, otoritas, dan
pihak yang berperan dalam value chainperusahaan) tidak
memiliki tanggung jawab dalam memastikan efektivitas ERM dari
entitas, tetapi pihakpihak tersebut berperan penting dalam
menyediakan informasi yang dapat mendukung efektivitas
manajemen risiko. 64
THANK YOU