Dokumen tersebut merupakan materi pelatihan manajemen risiko yang mencakup konsep risiko, manajemen strategis, prinsip-prinsip manajemen risiko berdasarkan ISO 31000:2018, dan kerangka serta proses manajemen risiko. Materi pelatihan ini disampaikan oleh Aswin Sumarto yang berpengalaman lebih dari 13 tahun di bidang manajemen risiko dan HSE.
2. Introduce
Personal Profile
Nama : Aswin Sumarto, S.S., M.M.
Pekerjaan : Risk Management & HSE/PT. Angkasa Pura Kargo
Pendidikan Terakhir : Magister Manajemen [MSDM]
Pengalaman Kerja : ± 13 Tahun
Kompetensi : QHSE Management System, GRC, Risk Management,
Internal Audit, Human Capital Management
Mobile Phone : 087883111531
https://www.linkedin.com/in/aswin-sumarto-b513ba75
3. 1. Konsep Risiko
2. Strategic Management
3. Prinsip Manajemen Risiko based on ISO 31000:2018
4. Kerangka Manajemen Risiko based on ISO 31000:2018
5. Proses Manajemen Risiko based on ISO 31000:2018
6. Tugas, Diskusi, Dll.
4. 1. Konsep Risiko
“The possibility that an event will
occur and adversely affect the
achievement of objectives” (COSO ERM
Framework)
“The effect of uncertainty on
objectives” (ISO 31000:2018)
Risiko sering dikenali sebagai "potensi kejadian"
(sebagaimana didefinisikan dalam Pedoman ISO
73:2009, 3.5.1.3) dan "konsekuensi" (sebagaimana
didefinisikan dalam Pedoman ISO 73: 2009, 3.6.1.3),
atau kombinasi dari keduanya.
Risiko sering dinyatakan dalam bentuk kombinasi
konsekuensi dari suatu kejadian (termasuk perubahan
keadaan) dan “kemungkinan” yang terkait dari kejadian
(sebagaimana didefinisikan dalam Pedoman ISO 73:
2009, 3.6.1.1).
Efek adalah penyimpangan dari yang diharapkan -
positif (upside) atau negative (downside)
Definition of Risk
7. 1. Konsep Risiko
Risiko vs Masalah
Masa Lalu Masa Kini Masa Depan
❖ Telah terjadi
❖ Akibat keputusan
masa lalu
Tindakan
Manajemen masalah/krisis/bencana
Masalah
Keputusan/
Aktivitas ❖ Belum terjadi (potensi
risiko)
❖ Akibat keputusan saat
ini
Risiko
Tindakan
Definition of Risk
8. 1. Konsep Risiko
Definition of Risk
+
-
PELUANG
Kondisi
Saat Ini
Sasaran
Masa
Depan
KPI
ƒ(dampak, kemungkinan)?
RISIKO
Ketidakpastian
Proses Bisnis
Keterkaitan antara Sasaran, Ketidakpastian, Risiko dan Peluang:
9. 1. Konsep Risiko
1. Risiko muncul dari berbagai sumber (Man, Money, Machine, Methode, Material)
2. Risiko muncul dari ketidakpastian karena adanya sasaran
3. Beda sasaran, beda risiko.
4. Guna menentukan peristiwa risiko perlu memahami sasaran
5. Sasaran harus melingkupi unsur SMARTER
10. 1. Konsep Risiko
Risiko memerlukan kejelasan dari sasaran – SMARTER
• Specific – Sasaran dinyatakan dengan jelas (apa, siapa, di mana, kapan)
• Measurable – Pencapaian sasaran dapat diukur melalui ukuran tertentu
• Attainable – Sasaran yang ada bersifat menantang, namun tetap dapat
dicapai organisasi
• Relevant – Sasaran yang ada harus sesuai dengan strategi perusahaan
• Time-bound – Menyatakan secara jelas kapan sasaran ingin tercapai
• Evaluated – Sasaran yang ada dapat dievaluasi seiring berjalannya waktu
demi menjamin tercapainya tujuan tersebut
• Recognized – Memungkinkan dilakukan evaluasi pada saat tenggat waktu
pencapaian sasaran telah tiba
S
M
A
R
T
E
R
11. 1. Konsep Risiko
PEMILIK
RISIKO
= Orang atau entitas dengan akuntabilitas
dan wewenang untuk mengelola risiko
(Person or entity with the accountability
and authority to manage risk – ISO 31000)
Definisi Pemilik Risiko menurut SNI ISO 31000
12. 1. Konsep Risiko
Level yang berbeda, memiliki risiko yang berbeda pula
Level Korporasi
Level Divisi
Level Departemen
Level Seksi
14. 1. Konsep Risiko
Pembelian
Bahan Baku
Manufaktur
Pengendalian
Mutu
Penjualan dan
Pemasaran
Pelayanan
Purnajual
SASARAN
ANTARA
SASARAN
ANTARA
SASARAN
ANTARA
SASARAN
ANTARA
SASARAN
ANTARA
• Risiko Fluktuasi
Harga
• RisikoKualitas
Bahan Baku
• RisikoProduksi • RisikoLolosnya
Barang Cacat
• RisikoBarang
Tidak Laku
• Risiko Komplain
SASARAN
ORGANISASI
Kepuasan
Pelanggan
PROSES I
Pelaku
PROSES II =
Pemilik RISIKO
PROSES II PROSES III PROSES V
Proses bisnis yang berbeda, memiliki risiko yang berbeda
Pelaku
PROSES I =
Pemilik RISIKO
Pelaku
PROSES III =
Pemilik RISIKO
Pelaku
PROSES IV =
Pemilik RISIKO
PROSES IV
Pelaku
PROSES V =
Pemilik RISIKO
16. 2. Manajemen Strategis
▪ Seni dan pengetahuan dalam merumuskan,
menginplementasikan, serta mengevaluasi keputusan-keputusan
lintas fungsional yang memampukan sebuah organisasi mencapai
tujuannya
▪ Fokus: mengintegrasikan manajemen, pemasaran,
keuangan/akuntansi, produk/operasi, penelitian dan
pengembangan serta sistim informasi computer untuk mencapai
keberhasilan organisasional
17. 2. Manajemen Strategis
▪ Tujuan Jangka Panjang: Hasil-hasil spesifik yang ingin diraih oleh
suatu organisasi sesuai dengan misi dasarnya
▪ Strategi: Sarana bersama dengan tujuan jangka panjang yang
hendak dicapai
19. 2. Manajemen Strategis
Now
Macro Environment
(Lingkungan dimana seluruh
organisasi dipengaruhinya
tanpa kecuali)
PESTLE (Political, Ekonomical,
Socio-cultural, Technological,
Legal & Environment)
*Micro Environment
(Lingkungan dimana organisasi
menjalankan kegiatannya)
Five Force Model (Porter,
1980)
Kondisi Pasar, tingkat,
persaingan, posisi tawar
Lingkungan Internal
SDM, Kapabilitas Teknis, Aspek
Keuangan, Infrastrukur dan
sistem Organisasi, Budaya
Organisasi
20. 2. Manajemen Strategis
wow
VISI
*Ingin menjadi apa kita?
*Pandangan jauh ke depan mengenai cita
dan citra yang ingin diwujudkan suatu
institusi/organisasi pada masa yang akan
datang)
*Misi
*Suatu pernyataan yang menunjukkan apa
tujuan suatu organisasi didirikan
*Sesuatu yang harus diemban oleh suatu
institusi/organisasi sesuai dengan visinya.
(David, Fred R., 2012).
21. 2. Manajemen Strategis
1. Pelanggan secara explisit misi harus menyebutkan siapa yang menjadi pelanggan bagi
produk perusahaan
2. Product or Services : dalam hal ini secara spesifik perusahaan harus menyebutkan produk
atau jasa apa saja yang dihasilkan oleh perusahaan.
3. Pasar : pernyataan ini menjelaskan di pasar mana produk perusahaan akan bersaing dengan
produk yang dihasilkan oleh pesaing.
4. Teknologi : pernyataan misi menyebutkan arah pengembangan teknologi perusahaan untuk
memenuhi kebutuhan konsumen.
5. Fokus pada survival, growth, and profitablility : dalam hal ini pernyataan misi
menunjukkan secara jelas komitmen perusahaan terhadap kelangsungan hidup perusahaan,
pertumbuhan dan kemampuan untuk menghasilkan laba (Profitabilitas).
6. Philosophy : misi akan menjelaskan kepercayaan (beliefs), nilai (values), aspirasi, dan
prioritas etis dari perusahaan.
7. Self Concept : misi akan menjelaskan apa yang menjadi kompetensi unggulan (distinctive
competences) dari perusahaan dibandingkan pesaingnya.
8. Citra Publik : misi akan menunjukan apakah perusahaan memiliki respons terhadap masalah-
masalah sosial, kemasyarakatan maupun terhadap masalah lingkungan.
9. Fokus pada Karyawan: dalam hal ini pernyataan misi akan menunjukkan apakah karyawan
merupakan aset yang berharga bagi perusahaan.
Pernyataan misi yang baik :
22. 2. Manajemen Strategis
Visi
Menjadi penyedia layanan kargo dan logistik terintegrasi bandar udara yang terbaik dan
terpercaya di kawasan.
Misi
Memberikan layanan kargo dan logistik terbaik kepada pelanggan yang mengutamakan
keamanan dan standar layanan Memberikan keuntungan maksimal bagi pemegang saham sesuai
dengan Good Corporate Governance Mengutamakan profesionalisme dan produktivitas dengan
menciptakan lingkungan kerja yang mendukung Mengutamakan pengelolaan kargo yang ramah
lingkungan dan memberdayakan masyarakat sekitar
Contoh pernyataan visi dan misi:
Sumber: Angkasa Pura Kargo
28. 2. Manajemen Strategis
No Penjelasan/Content
BAB I Pendahuluan
1 Gambaran Umum
2 Visi Misi Perusahaan
3 Tujuan Perusahaan
4 Arah Pengembangan Perusahaan
No Penjelasan/Content
BAB II Evaluasi Kinerja Perusahaan
1 Evaluasi Pelaksanaan RJPP
2 Pencapaian Tujuan dan Penyimpangan yang Terjadi
3 Pelaksanaan Strategi dan Kebijakan, serta Kendala dan
Upaya Pencegahannya
No Penjelasan/Content
BAB III Posisi Perusahaan Saat Ini
1 Analisa Kekuatan, Kelemahan,
Kesempatan dan Ancaman
2 Penentuan Posisi Perusahaan
3 Analisis Daya Tarik Pasar dan Daya
Saing Perusahaan
No Penjelasan/Content
BAB IV Rencana Perusahaan Tahun … s/d …
1 Sasaran Perusahaan
2 Strategi Fungsional
3 Rencana Pengembangan Organisasi dan SDM
4 Program Kerja
5 Proyeksi Kinerja Keuangan
No Penjelasan/Content
BAB V Penutup
29. 3. Prinsip Manajemen Risiko
Definition of Risk
Definisi Manajemen Risiko menurut SNI ISO 31000
Manajemen Risiko adalah “aktivitas terkoordinasi untuk
mengarahkan dan mengendalikan organisasi terkait risiko”
Risk management is “coordinated activities to direct and control
an organization with regard to risk”
30. ISO 31000:2018
Risk Management Principles
Value creation a n d
protection
T
ujuan utama dari prinsip manajemen
risiko adalah menciptakan dan
melindungi nilai organisasi,dengan cara
meningkatkan kinerja, mendorong inovasi
dan mendukung pencapaian sasaran.
Risiko yang sebaiknya diambil oleh organisasi
dalam rangka menciptakan keunggulan bersaing
dan akhirnya mampu menciptakan nilai (value).
UPSIDE RISK (Value Creation)
Risiko yang bila terjadi akan berdampak buruk
pada organisasi dan menyebabkan erosi atau
kerusakan pada nilai (value) organisasi.
DOWNSIDE RISK (Value Protection)
3. Prinsip Manajemen Risiko
32. 3. Prinsip Manajemen Risiko
Peraturan Menteri Negara BUMN Nomor PER-01/MBU/2011 Pasal 25
a. Direksi, dalam setiap pengambilan keputusan/tindakan, hams mempertimbangkan risiko usaha
b. Direksi wajib membangun dan melaksanakan program manajemen risiko korporasi secara terpadu yang merupakan bagian dari
pelaksanaan program GCG.
c. Pelaksanaan program manajemen risiko dapat dilakukan, dengan: a. membentuk unit kerja tersendiri yang ada di bawah Direksi; atau b.
memberi penugasan kepada unit kerja yang ada dan relevan untuk menjalankan fungsi manajemen risiko.
d. ireksi wajib menyampaikan laporan profil manajemen risiko dan penanganannya bersamaan dengan laporan berkala perusahaan.
Peraturan Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi Republik Indonesia Nomor 5 Tahun 2020
Tentang Pedoman Manajemen Risiko Sistem Pemerintahan Berbasis Elektronik
Salinan Peraturan Otoritas Jasa Keuangan Nomor 17/POJK.03/2014 Tentang Manajemen Risiko Terintegrasi Bagi
Konglomerasi Keuangan
Peraturan Menteri Kesehatan Nomor 25 Tahun 2019. Penerapan Manajemen Risiko Terintegrasi di Lingkungan Kementerian
Kesehatan
Peraturan Otoritas Jasa Keuangan Nomor 18 /POJK.03/2016 tentang Penerapan Manajemen Risiko Bagi Bank Umum
Peraturan Otoritas Jasa Keuangan Nomor 65/POJK.03/2016 tentang Penerapan Manajemen Risiko Bagi Bank Umum Syariah
dan Unit Usaha Syariah
Peraturan Otoritas Jasa Keuangan Nomor 44/POJK.05/2020 tentang Penerapan Manajemen Risiko bagi Lembaga Jasa Keuangan
Nonbank
Peraturan Menteri Pendidikan dan Kebudayaan Republik Indonesia Nomor 66 Tahun 2015 Tentang Manajemen Risiko di
Lingkungan Kementerian Pendidikan dan Kebudayaan
33. 3. Prinsip Manajemen Risiko
1. Tata Kelola Risiko Menjadi Bagian Terintegrasi
Tata kelola risiko (risk governance) yang sebelumnya hanya
menjadi inisiator dalam membangun kerangka manajemen risiko,
kini menjadi bagian yang berkelanjutan dan tidak terpisahkan
dalam proses integrasi manajemen risiko ke dalam seluruh bagian
perusahaan.
2. Manajemen Risiko Dipandang Reaktif
ISO 31000:2018 menekankan sifat manajemen risiko yang iteratif.
Hal ini berarti manajemen risiko perusahaan mengalami
penyempurnaan bersamaan dengan berjalannya proses
manajemen risiko.
3. Sistem Diperkaya dengan Konteks Eksternal
Standar baru ini mengatur sistem manajemen risiko untuk menjadi
jauh lebih terbuka terhadap input dari konteks eksternal
perusahaan. Hal ini bertujuan agar sistem manajemen risiko dapat
memenuhi berbagai tuntutan dari industri yang beragam.
35. 3. Prinsip Manajemen Risiko
Keterkaitan SNI ISO 31000 dengan dokumen standar Lainnya
Quality Management
System SNI ISO
9001:2015
K3 Management
System SNI ISO
45001:2018
Environment
Management System
ISO 14001:2015
SNI ISO
31000
Kosakata
Manajemen
Risiko:
SNI ISO
Guide 73
Teknik Penilaian
Risiko:
SNI ISO
31010
Panduan
Penerapan:
SNI ISO
31004
Assurance / Auditing
• ISO 19011: 2011
Guidelines for auditing management systems;
• HB 158 : 2010
Delivering assurance based on ISO 31000
• IPPF Practice Guide 2010
Assessing the adequacy of Risk Management
using ISO 31000
Klausul 4.1, 4.2,
5.1.1, 5.1.2, 6.1
Klausul 4.1, 4.2,
5.1, 5.2, 5.4, 6.1
Klausul 4.1, 4.2,
6.1
36. 3. Prinsip Manajemen Risiko
Prinsip Manajemen Risiko
Kerangka Kerja Manajemen Risiko Proses Manajemen Risiko
37. 3. Prinsip Manajemen Risiko
Tujuan Manajemen Risiko adalah
Menciptakan dan Melindungi Nilai
Penerapan manajemen risiko ditujukan untuk meningkatkan kinerja, mendorong inovasi,
dan mendukung pencapaian sasaran.
(SNI ISO 31000)
Dalam hal ini, manajemen risiko berkontribusi pada pencapaian tujuan dan perbaikan
kinerja yang dapat didemonstrasikan, dalam hal misalnya keuangan, K3, kepatuhan,
kepuasan pelanggan, keandalan operasi, perlindungan lingkungan, pangsa pasar, kualitas
produk/jasa, efisiensi proses, citra perusahaan, dlsb.
38. 3. Prinsip Manajemen Risiko
“Prinsip manajemen
risiko merupakan
landasan untuk
mengelola risiko dan
harus dipertimbangkan
/ menjadi acuan ketika
akan merancang dan
menetapkan kerangka
kerja dan proses
manajemen risiko”.
Prinsip Manajemen Risiko
39. 3. Prinsip Manajemen Risiko
Prinsip Manajemen Risiko
Terintegrasi dengan Proses
Bisnis/Sistem Manajemen
Perusahaan
Penerapan Manajemen
Risiko penyusunan
perencanaannya disepakati
oleh pihak internal
perusahaan
Relevan dengan Konteks
Internal dan Eksternal
Perusahaan
Pengelolaan Risiko
melibatkan seluruh elemen
organisasi
Peka terhadap perubahan
yang terjadi
(internal/eksternal)
Informasi/data yang baik
dan valid dari berbagai
sumber
Organisasi harus bisa
membangun budaya risiko
Diperbaiki secara
berkelanjutan (ditinjau,
evaluasi, assessment)
40. 3. Prinsip Manajemen Risiko
Manajemen risiko adalah bagian integral dari semua aktivitas organisasi.
(SNI ISO 31000)
Manajemen risiko bukan merupakan kegiatan berdiri sendiri yang terpisah dari kegiatan
dan proses bisnis suatu organisasi, melainkan harus menyatu/melekat dalam proses bisnis
dalam bentuk pengelolaan risiko yang dijalankan oleh masing-masing fungsi. Dengan
demikian penting sekali untuk ditekankan kepada seluruh manajemen bahwa efektivitas
pengelolaan risiko merupakan tanggung jawab dari masing-masing individu manajemen,
baik manajemen puncak, senior, maupun lini, mulai dari tingkatan entitas organisasi
(termasuk di dalamnya organisasi induk dan anak) hingga pada tingkatan proses / aktivitas
dalam manajemen proyek / progam yang dijalankan organisasi.
Prinsip 1. Terintegrasi
41. 3. Prinsip Manajemen Risiko
Selain itu, penerapan manajemen risiko memerlukan sebuah perencanaan yang disusun
secara matang dan disepakati oleh para pihak internal yang terlibat agar penerapan
manajemen risiko secara terarah dapat dilaksanakan berdasarkan dukungan para pihak
yang dilibatkan di dalamnya.
Prinsip 2. Terstruktur dan Komprehensif
42. 3. Prinsip Manajemen Risiko
Kerangka kerja dan proses manajemen risiko disesuaikan dan proporsional dengan
konteks eksternal dan internal organisasi yang berkaitan dengan sasarannya.
(SNI ISO 31000)
Organisasi perlu menentukan bentuk pengelolaan risiko beserta pengaturannya sesuai
dengan kebutuhannya dalam rangka pencapaian sasaran-sasaran yang hendak diraih
organisasi, serta sesuai dengan karakteristik spesifik organisasi berdasarkan konteks
internal dan eksternalnya.
Prinsip 3. Disesuaikan
43. 3. Prinsip Manajemen Risiko
Pelibatan yang sesuai dan tepat waktu dari pemangku kepentingan memungkinkan
pengetahuan, pandangan, dan persepsi mereka untuk dipertimbangkan. Ini menghasilkan
peningkatan kesadaran dan manajemen risiko terinformasi.
(SNI ISO 31000)
Keterlibatan yang sesuai dan tepat waktu dari para pemangku kepentingan, khususnya
pengambil keputusan di semua tingkatan organisasi, memastikan bahwa manajemen
risiko tetap relevan dan terkini. Keterlibatan juga membolehkan pemangku kepentingan
untuk diwakili secara tepat serta guna mendapatkan pandangan mereka untuk
dipertimbangkan dalam proses manajemen risiko.
Prinsip 4. Inklusif
44. 3. Prinsip Manajemen Risiko
Dalam praktik pengelolaan risiko, semua pihak di lingkungan organisasi perlu dilibatkan /
secara aktif berperan serta dalam pengelolaan risiko pada area tanggung jawab masing-
masing sesuai kewenangan yang dimiliki.
Dalam perancangan kerangka kerja organisasi perlu mencari bentuk keterlibatan yang
paling relevan bagi tiap pemangku kepentingannya dalam rangka mendukung penerapan
manajemen risiko yang efektif bagi organisasi.
Prinsip 4. Inklusif
45. 3. Prinsip Manajemen Risiko
Risiko dapat muncul, berubah, atau hilang seiring perubahan konteks eksternal dan
internal organisasi. Manajemen risiko mengantisipasi, mendeteksi, mengakui, dan
menanggapi perubahan dan peristiwa tersebut secara sesuai dan tepat waktu.
(SNI ISO 31000)
Organisasi perlu peka terhadap perubahan yang telah dan yang mungkin terjadi,
khususnya yang dapat melemahkan efektivitas pengelolaan risiko organisasi serta
mengantisipasinya dalam bentuk sebuah kendali yang dipersiapkan, maupun perubahan
kerangka kerja manajemen risiko sesuai yang dibutuhkan.
Prinsip 5. Dinamis
46. 3. Prinsip Manajemen Risiko
Masukan manajemen risiko didasarkan atas informasi historis dan saat ini, beserta juga
harapan masa depan. Manajemen risiko secara eksplisit memperhitungkan segala batasan
dan ketidakpastian yang berkaitan dengan informasi dan harapan tersebut. Informasi
sebaiknya tepat waktu, jelas, dan tersedia bagi pemangku kepentingan yang relevan.
(SNI ISO 31000)
Beragam informasi dapat dimanfaatkan untuk membangun, mempertahankan, dan
meningkatkan efektivitas pengelolaan risiko, baik berupa informasi explicit maupun tacit,
baik yang tersedia di internal organisasi, maupun yang dapat diakses di lingkungan
eksternal organisasi.
Prinsip 6. Informasi terbaik yang tersedia
47. 3. Prinsip Manajemen Risiko
Perilaku dan budaya manusia secara signifikan memengaruhi semua aspek manajemen
risiko pada semua tingkat dan tahap.
(SNI ISO 31000)
Sehubungan dengan hal tersebut, sangat penting bagi organisasi untuk memastikan
kecukupan upaya pembangunan / peningkatan kesadaran manajemen dan karyawan
mengenai pentingnya manajemen risiko, serta kecukupan upaya sosialisasi kerangka kerja
dan atau prosedur pengelolaan risiko kepada masing-masing pemangku kepentingan
yang dilibatkan dalam manajemen risiko organisasi.
Prinsip 7. Faktor Manusia dan Budaya
48. 3. Prinsip Manajemen Risiko
Selain itu, manajemen risiko mengakui bahwa kapabilitas, persepsi dan intensi dari pihak
eksternal dan internal yang dapat bersifat memfasilitasi atau menghambat pencapaian
sasaran organisasi, dan bahwa manusia, demiikian halnya dengan budaya, dapat menjadi
bagian dari pengendalian risiko, maupun sebaliknya menjadi sumber risiko.
Prinsip 7. Faktor Manusia dan Budaya
49. 3. Prinsip Manajemen Risiko
Sumber: CRMS Indonesia
Manajemen risiko diperbaiki secara berkelanjutan melalui pelajaran dan pengalaman.
(SNI ISO 31000)
Bahwa perbaikan sinambung terhadap kerangka kerja manajemen risiko maupun
prosesnya ditujukan agar pengelolaan risiko yang dipraktikkan organisasi senantiasa
relevan dan dapat mendukung operasi / bisnis serta pencapaian sasaran.
Prinsip 8. Perbaikan Sinambung
Selain itu, perbaikan sinambung terhadap manajemen risiko juga dapat diterapkan
melalui peningkatan kapabilitas para pihak internal yang terlibat, atau peningkatan
ketersediaan sumber daya yang lebih memadai, atau maupun melalui peningkatan
keandalan infrastruktur pendukung yang digunakan.
50. 4. Kerangka Manajemen Risiko
Prinsip Manajemen Risiko
Kerangka Kerja Manajemen Risiko Proses Manajemen Risiko
51. “. . . set of components that provide the foundations and organizational
arrangements for designing, implementing, monitoring, reviewing and
continually improving risk management throughout the organization.”
ISO 31000
Definisi Kerangka Kerja Manajemen Risiko
“Kerangka kerja manajemen risiko merupakan seperangkat
komponen yang menyediakan landasan dan pengaturan organisasi
untuk perancangan, pelaksanaan, pemantauan, peninjauan dan
peningkatan manajemen risiko secara berkala di seluruh organisasi”
SNI ISO 31000
4. Kerangka Manajemen Risiko
52. 4. Kerangka Manajemen Risiko
Tinjauan Berkala, Kebijakan,
Komitmen (Charter),
Penyediaan Sumber Daya
Risiko dikelola di semua bagian struktur
organisasi. Tiap orang di organisasi
bertanggung jawab terhadap pengelolaan
risiko pada area tanggung jawabnya
masing-masing
Pemahaman dan Penetapan Konteks
Organisasi, Penegasan Komitmen
Manajemen Risiko, Penetapan Fungsi
Pengelolaan Risiko, Penyediaan Alokasi
Sumber Daya, Penyiapan Komunikasi dan
Konsultasi
Road map pelaksanaan
Manajemen Risiko
Pengukuran Kinerja
Manajemen Risiko, RML,
Progress Rencana, Memantau
Perubahan Internal Eksternal
Organisasi
Efektifitas Kerangka Kerja,
Efektifitas RML, Kapasitas
Pemilik Risiko, Peningkatan
Kesadaran Budaya Risiko
53. Perbaikan yang dilaksanakan dapat mencakup:
Peningkatan efektivitas dari kerangka kerja;
Peningkatan maturitas sistem manajemen risiko;
Peningkatan kapasitas pemilik risiko;
Peningkatan budaya sadar risiko.
4. Kerangka Manajemen Risiko
54. Pelaporan hasil evaluasi harus lebih mengutamakan pelaporan
kekurangan atau kelemahan, antara lain:
• Laporan kelemahan pengendalian risiko;
• Laporan kelemahan sistem manajemen risiko;
• Laporan kegagalan tindak lanjut atas temuan kelemahan;
• Laporan kegagalan dari mitigasi;
• Analisis dan refleksi pasca kejadian.
e. Hasil yang Dilaporkan
4. Kerangka Manajemen Risiko
55. Akuntabilitas manajemen puncak dan dewan pengawas
MENGELOLA RISIKO
MENGAWASI
MANAJEMEN RISIKO
Dewan Pengawas
Manajemen Puncak
Fungsi
Eksekutif
Fungsi Pengawasan &
Pemberian Nasihat
4. Kerangka Manajemen Risiko
56. Manajemen puncak, dan dewan pengawas (bila memungkinkan), memastikan
manajemen risiko terintegrasi pada semua aktivitas organisasi dan hendaknya
menunjukan kepemimpinan dan komitmen dengan:
1. menyesuaikan dan mengimplementasikan semua komponen kerangka
kerja;
2. menerbitkan pernyataan atau kebijakan yang menetapkan pendekatan,
rencana, atau arah tindakan manajemen risiko;
3. memastikan sumber daya yang diperlukan dialokasikan untuk
pengelolaan risiko;
4. menetapkan kewenangan, tanggung jawab, dan akuntabilitas pada
tingkat yang diperlukan di dalam organisasi.
4. Kerangka Manajemen Risiko
57. 1.Memastikan Kerangka Kerja Manajemen Risiko yang
Diberlakukan adalah Sesuai yang Dibutuhkan Organisasi
▪ Memeriksa kesesuaian kerangka kerja manajemen risiko dengan jenis dan
karakteristik risiko yang harus dikelola organisasi.
▪ Memeriksa apakah kerangka kerja manajemen risiko yang akan ditetapkan
aplikatif dalam mengarahkan praktik pengelolaan risiko secara melekat
pada masing-masing proses bisnis yang seharusnya.
▪ Menetapkan dan memberlakukan kerangka kerja manajemen risiko di
lingkungan organisasi.
▪ Memimpin praktik penerapan manajemen risiko sesuai dengan kerangka
kerja dan rencana penerapan yang telah ditetapkan.
▪ Melakukan tinjauan berkala guna memastikan bahwa kerangka kerja
manajemen risiko tetap relevan untuk digunakan oleh organisasi.
4. Kerangka Manajemen Risiko
58. 2. Menetapkan Kebijakan Manajemen Risiko
▪ Merumuskan dan mengartikulasikan kebijakan manajemen risiko secara
jelas sebagai panduan strategis praktik pengelolaan risiko bagi manajemen.
▪ Memberlakukan dan mengkomunikasikan kebijakan manajemen risiko
kepada manajemen.
▪ Memimpin penerapan manajemen risiko sesuai dengan kebijakan yang
telah ditetapkan.
▪ Melakukan tinjauan berkala guna memastikan bahwa kebijakan manajemen
risiko tetap relevan untuk digunakan oleh organisasi.
4. Kerangka Manajemen Risiko
59. 3.Menyediakan Sumber Daya yang Diperlukan dalam Penerapan
Manajemen Risiko
▪ Memastikan tersedianya program kesadaran dan pembangunan kapasitas
bagi para pihak internal agar dapat melaksanakan pengelolaan risiko sesuai
kerangka kerja dan kebijakan manajemen risiko, termasuk di dalamnya
refreshment training secara berkala bag manajemen, maupun induction
training bagi para karyawan baru.
▪ Memastikan tersedianya campaign program pembangunan budaya sadar
risko di lingkungan organisasi.
▪ Memastikan tersedianya alat bantu, baik berupa formulir kerja, model
perhitungan, maupun sistem informasi yang bersifat sebagai enabler
terhadap praktik pengelolaan risiko yang dijalankan organisasi.
▪ Memastikan tersedianya anggaran untuk merealisasikan pemenuhan sumber
daya sesuai dengan skala prioritas yang telah disepakati.
4. Kerangka Manajemen Risiko
60. 4. Menetapkan Pedoman Manajemen Risiko
▪ Memastikan tersedianya panduan penerapan manajemen risiko berupa
pedoman manajemen risiko yang mengarahkan praktik pengelolaan risiko
sesuai dengan kerangka kerja dan kebijakan manajemen risiko yang telah
ditetapkan.
▪ Memeriksa apakah Pedoman Manajemen Risiko juga telah mengarahkan
bentuk keterlibatan para pihak internal dalam manajemen risiko, berikut
dengan peran, tugas pokok, serta kewenangan yang diberikan, dan berbagi
tanggung jawab praktik pengelolaan risiko kepada manajemen sesuai
pengaturan tersebut.
▪ Memastikan tersedianya panduan praktik pengelolaan risiko yang melekat
ke dalam prosedur kerja masing-masing pihak yang dilibatkan sesuai dengan
pedoman dan kebijakan manajemen risiko.
▪ Melakukan tinjauan berkala guna memastikan bahwa pedoman dan
prosedur manajemen risiko tetap relevan untuk digunakan oleh organisasi.
4. Kerangka Manajemen Risiko
61. Dewan pengawas hendaknya:
▪ memastikan risiko dipertimbangkan dengan memadai saat penetapan
sasaran organisasi;
▪ memahami risiko yang dihadapi organisasi dalam mencapai sasarannya;
▪ memastikan sistem untuk mengelola risiko tersebut diterapkan dan
dijalankan dengan efektif;
▪ memastikan sistem tersebut sesuai dengan konteks sasaran organisasi;
▪ memastikan informasi tentang risiko dan pengelolaannya dikomunikasikan
dengan tepat.
4. Kerangka Manajemen Risiko
62. 1. Perencanaan Strategis dan Operasional
▪ Memastikan bahwa perencanaan strategis dan operasional yang
dirumuskan organisasi telah mempertimbangkan faktor-faktor risiko, baik
dalam hal penetapan sasaran strategis, strategi, maupun inisiatif dan
program kerja, serta menyertakan rencana perlakuan yang memadai.
▪ Melakukan pengawasan terhadap efektivitas pengendalian/pengelolaan
risiko sebagai bagian dalam pemantauan terhadap capaian kinerja
organisasi.
▪ Memberikan masukan dan nasihat kepada manajemen puncak ketika
terdapat indikasi lemahnya pengendalian risiko yang dijalankan organisasi
maupun ketika terdapat indikasi adanya risiko baru yang mungkin muncul
yang berpotensi kurang terantisipasi oleh manajemen organisasi.
4. Kerangka Manajemen Risiko
63. 2. Agenda Rapat Dewan Organisasi
▪ Risiko dan efektivitas pengendalian/penanganan yang dilakukan oleh
manajemen secara eksplisit dibahas secara berkala dalam rapat gabungan
dewan organisasi sebagai bentuk pemantauan risiko di tingkatan strategis.
▪ Dewan secara aktif juga memantau dan membahas perubahan lingkungan
internal dan eksternal, serta asumsi-asumsi yang melekat pada perencanaan
strategis dan operasional,
pengendalian/penanganan risiko,
yang
termasuk di
dapat melemahkan
dalamnya yang dapat
menimbulkan risiko baru bagi organisasi.
▪ Melekatkan pembahasan mengenai capaian kinerja organisasi dengan
keberhasilan organisasi dalam mengenali dan mengantisipasi risikonya.
4. Kerangka Manajemen Risiko
64. 2. Agenda Rapat Dewan Organisasi
▪ Meminta manajemen puncak secara berkala untuk melaporkan efektivitas
pengelolaan risiko serta budaya sadar risiko yang berlangsung di lingkungan
organisasi.
▪ Melakukan tinjauan terhadap kerangka kerja dan kebijakan manajemen risiko
yang diberlakukan di lingkungan organisasi dalam rangka merumuskan
masukan/nasihat yang diberikan kepada manajemen untuk meningkatkan
efektivitas pengelolaan risiko.
4. Kerangka Manajemen Risiko
67. Kerangka manajemen risiko dibangun untuk membantu organisasi
dalam mengintegrasikan manajemen risiko dengan proses,
aktivitas, dan fungsi dalam organisasi secara relevan sesuai tingkat
kepentingannya dalam praktik pengelolaan risiko.
• Manajemen risiko sebaiknya menjadi bagian dari, dan tidak terpisahkan dari,
tujuan, tata kelola, kepemimpinan dan komitmen, strategi, sasaran, dan
operasi organisasi.
• Risiko dikelola di semua bagian struktur organisasi. Tiap orang di organisasi
bertanggung jawab terhadap pengelolaan risiko pada area tanggung
jawabnya masing-masing.
• Penentuan akuntabilitas dan peran pengawasan manajemen risiko di dalam
organisasi adalah bagian integral dari tata kelola organisasi.
4. Kerangka Manajemen Risiko
69. Mendesain
mencakup:
/ merencanakan kerangka kerja manajemen risiko
jawab, dan
• Pemahaman organisasi dan konteksnya;
• Penegasan komitmen manajemen risiko;
• Penetapan peran, kewenangan, tanggung
akuntabilitas organisasional;
• Alokasi sumber daya.
• Penyiapan komunikasi dan konsultasi.
4. Kerangka Manajemen Risiko
70. 1. Pemahaman organisasi dan konteksnya
Ketika mendesain kerangka kerja pengelolaan risiko, organisasi sebaiknya
memeriksa dan memahami konteks eksternal dan internalnya, termasuk di
dalamnya:
▪ sasaran yang hendak dicapai oleh organisasi;
▪ jenis dan karakteristik risiko yang harus dikelola;
▪ persyaratan regulasi atau standar industri yang harus dipenuhi; serta
▪ ekspektasi dari para pemangku kepentingan terhadap praktik pengelolaan
risiko yang dijalankan organisasi.
4. Kerangka Manajemen Risiko
71. 1. Pemahaman organisasi dan konteksnya
Organisasi dan
Konteksnya
Konteks Internal dan
Eksternal
Konteks Lingkungan
Makro dan Mikro
Cakupan Manajemen Risiko
Analisis Pemangku
Kepentingan
4. Kerangka Manajemen Risiko
72. 1. Pemahaman organisasi dan konteksnya
Organisasi dan Konteksnya
Konteks external organisasi
▪ Lingkungan
▪ Trend & key drivers
▪ Regulasi
▪ dll.
Konteks internal organisasi
▪ Governance, struktur, roles &
responsibilities;
▪ Kapabilitas organisasi (financial,
kompetensi, teknologi,
pengetahuan, system
management, dlsb);
▪ Strategi, budaya perusahaan,
jumlah SDM
▪ dll.
4. Kerangka Manajemen Risiko
73. 1. Pemahaman organisasi dan konteksnya
Contoh: Cakupan Manajemen Risiko
Internal
Eksternal
Kualitatif Kuantitatif
Risiko
Strategi
Cyber Risk
Risiko Kepatuhan
Risiko Reputasi
Risiko
Pasar
Risiko
Hukum
Risiko
Operasional
Risiko
Keuangan
Keterangan:
Sumbu X: Teknik Asesmen
Sumbu Y: Sumber Risiko
4. Kerangka Manajemen Risiko
74. 2. Penegasan komitmen manajemen risiko
Manajemen puncak, dan badan pengawas (bila memungkinkan), sebaiknya
menunjukkan dan menegaskan komitmen berkelanjutan mereka terhadap
manajemen risiko melalui kebijakan, pernyataan, atau bentuk lain yang secara
jelas menyampaikan sasaran dan komitmen organisasi terhadap manajemen
risiko:
▪ tujuan pengelolaan risiko organisasi serta kaitan dengan sasaran dan
kebijakan lain;
▪ penguatan kebutuhan untuk mengintegrasikan manajemen risiko ke dalam
keseluruhan budaya organisasi;
▪ kepemimpinan dalam integrasi manajemen risiko ke dalam aktivitas bisnis
inti dan pengambilan keputusan;
4. Kerangka Manajemen Risiko
75. 2. Penegasan komitmen manajemen risiko
▪ kewenangan, tanggung jawab, dan akuntabilitas;
▪ penyediaan sumber daya yang diperlukan;
▪ cara penanganan konflik kepentingan;
▪ pengukuran dan pelaporan dalam indikator kinerja organisasi;
▪ tinjauan dan peningkatan.
Komitmen terhadap manajemen risiko hendaknya dikomunikasikan
di dalam organisasi dan kepada para pemangku kepentingan
internal dengan cara yang tepat dan efektif.
4. Kerangka Manajemen Risiko
76. 2. Penegasan komitmen manajemen risiko
“Kebijakan manajemen risiko merupakan pernyataan dari
keseluruhan maksud dan arah suatu organisasi yang
terkait dengan manajemen risiko” (SNI ISO 31000)
4. Kerangka Manajemen Risiko
77. Cara
penanganan
benturan
kepentingan,
bila hal
tersebut
terjadi
Komitmen
untuk
menyediakan
sumber daya
yang
diperlukan
untuk
penerapan
manajemen
risiko
Rasional dan
sasaran
penerapan
manajemen
risiko
1
Cara untuk
melakukan
pengukuran
kinerja
manajemen
risiko dan juga
cara
pelaporannya
Keterkaitan
antara
kebijakan
manajemen
risiko dengan
kebijakan dan
sasaran
perusahaan
lainnya
2
Penunjukkan
akuntabilitas
dan tanggung
jawab
penerapan
manajemen
risiko pada
tiap tingkatan
organisasi
Kesediaan
untuk
melakukan
pemantauan
secara berkala
kinerja dan
efektifitas
manajemen
risiko secara
keseluruhan
3 4 5 6 7
2. Penegasan komitmen manajemen risiko
Kebijakan manajemen risiko merupakan pernyataan niat dari
Direksi dan Dewan Komisaris untuk memberikan komitmennya
dalam menerapkan manajemen risiko. Kebijakan ini antara lain
berisikan:
4. Kerangka Manajemen Risiko
78. 3. Penetapan peran, kewenangan, tanggung jawab, dan akuntabilitas
organisasional
Manajemen puncak, dan badan pengawas (sesuai pengaturan yang ditetapkan), perlu memastikan
bahwa kewenangan, tanggung jawab, dan akuntabilitas untuk peran yang relevan dalam manajemen
risiko ditetapkan / diberlakukan dan dikomunikasikan pada semua tingkat organisasi, dengan:
▪ menekankan bahwa manajemen risiko adalah tanggung jawab inti;
▪ mengidentifikasi individu yang memiliki akuntabilitas dan kewenangan untuk mengelola risiko
(pemilik risiko).
4. Kerangka Manajemen Risiko
79. 3. Penetapan peran, kewenangan, tanggung jawab, dan
akuntabilitas organisasional
AKUNTABILITAS MANAJEMEN
RISIKO
a. Struktur Tata Kelola Risiko
(Risk Governance Structure)
b. Pemilik Risiko dan
Pemangku Kepentingan
Lainnya
c. Unit Manajemen Risiko
d. Unit Asurens Manajemen
Risiko
4. Kerangka Manajemen Risiko
80. 3. Penetapan peran, kewenangan, tanggung jawab, dan
akuntabilitas organisasional
a. Contoh Struktur Tata Kelola Risiko
Dewan Komisaris
Entitas Kerja
(Risk Owner)
Unit
ManajemenRisiko
Audit
Eksternal
Komite
Pemantau
Risiko
Pertahanan Lapis 1 Pertahanan Lapis 2 Pertahanan Lapis 3
Keseharian pengelolaan risiko
dan pengelolaan kontrol
Kerangka kerja manajemen risiko,
kebijakan dan metodologi
Pengawasan risiko dan
asurens independen
Direksi
MODEL PERTAHANAN 3 LAPIS
Komite
Audit
Audit
Internal
Garis Koordinasi
Garis Instruksi
Keterangan:
4. Kerangka Manajemen Risiko
81. 3. Penetapan peran, kewenangan, tanggung jawab, dan
akuntabilitas organisasional
a. Contoh Struktur Tata Kelola Risiko
DIREKSI
INTERNAL AUDITOR
KOMITE RISIKO (Lintas
Fungsi)
DEWANKOMISARIS
Komite Pemantau Risiko
MANAJEMEN
KEUANGAN
MANAJEMEN OPERASI
MANAJEMEN SDM &
UMUM
MANAJEMENRISIKO
HUKUM & KEPATUHAN
Pengawasan
Garis Koordinasi
Garis Instruksi
Keterangan:
4. Kerangka Manajemen Risiko
84. 1) Memimpin dan mengarahkan tindakan-tindakan (termasuk pengelolaan
risiko) dan penerapan sumberdaya untuk mencapai tujuan-tujuan
organisasi.
2) Mengembangkan dan memelihara struktur dan proses-proses yang memadai
untuk pengelolaan operasional dan risiko (termasuk pengendalian internal).
Peran Lini
Pertama
1) Memberikan keahlian penunjang, dukungan, pemantauan dan tantangan
dalam proses mengelola risiko
2) Memberikan analisis dan laporan-laporan mengenai kecukupan dan efektivitas
manajemen risiko (termasuk pengendalian internal).
Peran Lini Kedua
Mengkomunikasikan asurans dan advis yang independen dan objektif
kepada manajemen dan organ pengurus mengenai kecukupan dan efektifitas
tata kelola dan manajemen risiko (termasuk pengendalian internal) untuk
mendukung pencapaian tujuan-tujuan organisasi, serta mempromosikan dan
memfasilitasi peningkatan yang berkelanjutan.
Peran Audit
Internal
(Lini Ketiga)
4. Kerangka Manajemen Risiko
85. 3. Penetapan peran, kewenangan, tanggung jawab, dan
akuntabilitas organisasional
b. Pemilik Risiko dan Pihak Pemangku Kepentingan Lainnya
Contoh penetapan akuntabilitas manajemen risiko pada para pemangku
kepentingan
Pimpinan
Puncak
Organisasi
• Menentukan risk appetite dan risk tolerance
• Mengarahkan strategi dan mengkaji ulang risiko strategi
• Menerima risiko – risiko dan laporan kontrol risiko dari manajemen (melalui komite
Manajemen Risiko atau Komite Manajemen Eksekutif )
• Menerima laporan dari komite risiko dan kualitas atau komite risiko dan audit dalam
proses untuk mengelola risiko dan dalam pengelolaan risiko utama
Unit Kerja Inti
dan Pendukung
• Pemilik dan pengelola risiko
• Melaporkan kepada anggota dewan (berdasarkan penilaian sendiri) tentang
pengelolaan risiko yang mereka lakukan
Komite
Manajemen
Risiko `
• Menyediakan pengawasan tentang risiko dan manajemennya
• Belajar dari insiden dan peristiwa yang terjadi
• Memantau indikator yang menyebabkan perubahan pada risiko
4. Kerangka Manajemen Risiko
86. 3. Penetapan peran, kewenangan, tanggung jawab, dan
akuntabilitas organisasional
b. Pemilik Risiko dan Pihak Pemangku Kepentingan Lainnya
Contoh penetapan akuntabilitas manajemen risiko pada para pemangku
kepentingan
Manajemen
Sub-Komite
• Menyediakan sumber daya yang ahli untuk area spesifik dalam risiko operasional,
contohnya adalah kesehatan dan keselamatan
• Mengelola risk transfer atau berbagi risiko dengan pihak lain melalui outsourcing
dan asuransi
• Menganalisa risiko dan melaporkannya kepada komite manajemen risiko.
Komite Audit
dan Risiko
• Menerima laporan dari Internal Audit dalam proses untuk mengelola risiko dan
dalam pengelolaan risiko utama
Audit Internal • Menyediakan jaminan kepada komite audit dalam sistem kontrol internal dan
manajemen risiko
• Menyediakan jaminan kepada komite audit dan komite manajemen risiko dalam
manajemen untuk risiko tertentu
4. Kerangka Manajemen Risiko
87. • Unit pengelola
pemilik risiko
• Fungsi risiko pusat
minimal memberikan
saran ahli sesuai
permintaan
• Optimalisasi risiko
dipengaruhi oleh
bisnis dan budaya
risiko yang kuat
Pemahaman risiko
agregat
• Unit pengelola
pemilik risiko
• Tim kecil risiko pusat
agregat pengetahuan
risiko dan
diintegrasikan ke
seluruh perusahaan
• Optimalisasi risiko
dilakukan oleh
seluruh manajemen,
dengan dukungan
secara informal dari
tim risiko pusat
Memberikan
pengecekan
dan balances
Secara aktif
mengelola risiko
• Unit pengelola
pemilik risiko
• Tim risiko pusat di
pimpin oleh Chief Risk
Officer (CRO), dengan
wewenang yang
sama, bertindak
sebagai
penyeimabang dalam
keputusan strategis
yang penting
• CRO bertindak sebagai
thought partner untuk
business head
• Fungsi risiko memiliki
dan secara aktif
memonitor dan
mengelola kunci
risiko tertentu secara
terpusat (contohnya
FX Hedging,
trading/credit limit)
• Business head
mendapat
persetujuan dalam
strategi risiko dari
CRO
Kepemilikan risiko di
unit penunjang
3. Penetapan peran, kewenangan, tanggung jawab, dan
akuntabilitas organisasional
c. Unit Manajemen Risiko
4. Kerangka Manajemen Risiko
89. Sumber: IIA IPPF Guide, Assessing the adequacy of risk management using ISO 31000, 2010.
Disajikan sesuai aslinya.
LEGITIMATE ROLES (w/ Safeguards)
a) Facilitating identification & evaluation of risks
b) Coaching management in responding to risks
c) Coordinating ERM activities
d) Consolidated reporting on risks
e) Maintaining and developing the ERM
framework
f) Championing establishment of ERM
g) Developing ERM strategy for board approval
SHOULD NOT UNDERTAKE
a) Setting the risk appetite
b) Imposing risk management process
c) Assurance by management on controls and
risks
d) Taking decisions on risk responses
e) Managing risks on management ‘s behalf
f) Accountability for risks and controls
CORE ROLES
a) Giving assurance on the RM program
b) Giving assurance that risks are correctly
evaluated
c) Evaluating risk management processes
d) Evaluating the reporting of key risks
e) Reviewing the management of key risks
LEGITIMATE ROLES (with Safeguards)
a) Facilitating identification & evaluation of risks
b) Coaching management in responding to risks
c) Coordinating ERM activities
d) Consolidated reporting on risks
e) Maintaining and developing the ERM
framework
f) Championing establishment of ERM
g) Developing ERM strategy for board approval
CORE ROLES
a) Giving assurance on the RM program
b) Giving assurance that risks are correctly
evaluated
c) Evaluating risk management processes
d) Evaluating the reporting of key risks
e) Reviewing the management of key risks
3. Penetapan peran, kewenangan, tanggung jawab, dan
akuntabilitas organisasional
Peran Internal Auditor dalam Manajemen Risiko
4. Kerangka Manajemen Risiko
90. Business Process
Goal
Risk
Risk Management
Risk Profile
Risk Mitigation Plan
Risk Based Audit
Audit Planning
Test of Control
Risk Management
Report / Audit Report
4. Kerangka Manajemen Risiko
91. 4. Alokasi sumber daya
Manajemen puncak, dan badan pengawas (sesuai pengaturan yang ditetapkan),
perlu memastikan alokasi sumber daya manajemen risiko yang memadai,
termasuk di dalamnya, namun tidak terbatas pada:
▪ orang, keterampilan, pengalaman, dan kompetensi;
▪ proses, metode, dan alat yang dipakai organisasi untuk mengelola risiko;
▪ proses dan prosedur terdokumentasi;
▪ sistem manajemen informasi dan pengetahuan;
▪ pengembangan profesional dan kebutuhan pelatihan.
4. Kerangka Manajemen Risiko
92. 5. Penyiapan komunikasi dan konsultasi
Organisasi sebaiknya menetapkan pendekatan yang disetujui untuk komunikasi
dan konsultasi guna mendukung kerangka kerja dan memfasilitasi penerapan
efektif manajemen risiko. Komunikasi melibatkan pembagian informasi dengan
audiens yang dituju. Konsultasi juga melibatkan pemberian umpan balik dari
partisipan dengan harapan bahwa hal itu dapat berkontribusi dan membentuk
keputusan atau aktivitas lain.
Komunikasi dan konsultasi sebaiknya tepat waktu dan memastikan bahwa
informasi yang relevan dikumpulkan, digabungkan, disintesis, dan dibagikan,
secara relevan, serta umpan balik diberikan dan peningkatan dijalankan secara
berkelanjutan.
4. Kerangka Manajemen Risiko
93. 5. Penyiapan komunikasi dan konsultasi
Pemanfaatan Matriks RACI dalam menentukan para pihak untuk diajak komunikasi
dan konsultasi.
4. Kerangka Manajemen Risiko
94. Contoh klasifikasi media/saluran komunikasi dalam pelaksanaan mekanisme
informasi dan pelaporan
5. Penyiapan komunikasi dan konsultasi
4. Kerangka Manajemen Risiko
95. Desain kerangka kerja
untuk pengelolaan risiko
Pemahaman organisasi dan konteksnya
Penegasan komitmen manajemen risiko
Penetapan peran, kewenangan, tanggung jawab,
dan akuntabilitas organisasional
Alokasi sumber daya
Penyiapan komunikasi dan konsultasi
+
+
+
+
Keluaran
▪ Kebijakan Manajemen Risiko
▪ Pedoman Manajemen Risiko
▪ Peta Rencana (Roadmap)
Penerapan Manajemen Risiko
(milestones & rencana
pemenuhan sumber daya)
▪ Rencana Kerja Manajemen
Risiko (beserta rencana
tindakan pemenuhan sumber
daya)
4. Kerangka Manajemen Risiko
96. Rencana Manajemen Risiko (Risk Management Plan)
Rencana Manajemen Risiko adalah:
“Skema dalam kerangka kerja manajemen risiko dalam penetapan
suatu pendekatan, komponen manajemen dan sumber daya untuk
diterapkan pada pengelolaan risiko.”
SNI ISO 31000
4. Kerangka Manajemen Risiko
97. Rencana Manajemen Risiko
• Sederhananya, rencana manajemen risiko merupakan sebuah rencana
penerapan manajemen risiko sesuai dengan fokus penerapan yang hendak
dicapai perusahaan dalam suatu rentang waktu tertentu.
• Perlu dipastikan informasi mengenai ketersediaan sumber daya dan
penanggungjawab aktivitas dalam rencana guna memastikan penerapan
rencana dapat berlangsung sesuai ekspektasi/harapan.
• Umumnya rencana manajemen risiko dibagi dalam tiga tahapan besar:
❖ Jangka pendek
❖ Jangka menengah
❖ Jangka panjang
4. Kerangka Manajemen Risiko
100. Organisasi sebaiknya mengimplementasikan kerangka kerja
manajemen risiko dengan:
• mengembangkan rencana yang sesuai, termasuk waktu dan sumber daya;
• mengidentifikasi di mana, kapan, bagaimana, dan oleh siapa beragam jenis
keputusan dibuat di seluruh organisasi;
• memodifikasi proses pengambilan keputusan yang sesuai; jika diperlukan;
• memastikan pengaturan organisasi dalam mengelola risiko dipahami dengan
jelas dan dipraktikkan.
4. Kerangka Manajemen Risiko
101. Implementasi kerangka kerja yang berhasil memerlukan
keterlibatan dan kesadaran pemangku kepentingan.
Ketika didesain dan diimplementasikan dengan baik, kerangka kerja
manajemen risiko dapat memastikan proses manajemen risiko
menjadi bagian dari semua aktivitas di seluruh organisasi, termasuk
pengambilan keputusan, serta memastikan perubahan konteks
eksternal dan internal terpantau secara memadai.
4. Kerangka Manajemen Risiko
102. Guna meningkatkan probabilitas keberhasilan implementasi
kerangka kerja manajemen risiko, hendaknya tersedia rencana
pelaksanaan yang memperhitungkan a.i.:
• Peta rencana (roadmap) penerapan yang telah disusun dan disepakati
manajemen puncak;
• Strategi / pendekatan penerapan (pilot project / enterprise roll-out);
• Kesesuaian waktu dengan karakteristik bisnis / operasi organisasi (hindari
business peak season, holiday season, quarterly / annual reporting, external
auditing session, tidak berbarengan dengan inisiatif strategis lainnya);
• Kesiapan internal Unit Manajemen Risiko;
• Kesesuaian waktu dengan agenda manajemen puncak sebagai promotor.
4. Kerangka Manajemen Risiko
104. Untuk mengevaluasi efektivitas kerangka kerja manajemen risiko,
organisasi perlu:
• mengukur kinerja kerangka kerja manajemen risiko secara berkala terhadap tujuan,
rencana implementasi, indikator, dan perilaku yang diharapkan;
• menentukan apakah kerangka kerja manajemen risiko tetap sesuai untuk
mendukung pencapaian sasaran organisasi.
4. Kerangka Manajemen Risiko
105. Tujuan evaluasi kerangka kerja manajemen risiko adalah untuk
mengidentifikasi ruang pengembangan / perbaikan yang
diperlukan terhadap kerangka kerja, beserta dengan:
• Mengukur kesesuaian kinerja manajemen risiko sesuai indikator yang telah ditetapkan;
• Memantau tingkat maturitas manajemen risiko;
• Mengukur progres rencana penerapan manajemen risiko;
• Memantau perubahan internal & eksternal yang terjadi dan pengaruhnya terhadap kerangka
kerja manajemen risiko;
• Memantau kepatuhan terhadap kebijakan manajemen risiko.
4. Kerangka Manajemen Risiko
106. Aspek penting dalam evaluasi kerangka kerja manajemen risiko
adalah:
a. Siapa yang melaksanakan
b. Apa yang menjadi objek
c. Informasi yang dilibatkan
d. Cara yang digunakan
e. Hasil yang dilaporkan
4. Kerangka Manajemen Risiko
107. a. Siapa yang melaksanakan
• Pelaksana tugas/risk officer/risk admin: tingkat pelaksanaan tugas rutin
Dilaksanakan secara terus menerus (continues monitoring) untuk memastikan bahwa apa
yang dikerjakan benar dan sesuai ketentuan/desain;
• Pimpinan unit/risk owner, atasan & risk manager: tingkat fungsional atau entitas kerja
Dilaksanakan secara berkala sebagai bentuk pengawasan dan tinjauan antara lain atas proses
yang berlangsung, risiko yang mungkin terjadi, serta efektifitas dan efisiensi pengendalian
risiko yang dilakukan;
• Risk manager & pihak asurens independen/independent assurance: tingkat organisasi
Dilakukan berdasarkan suatu siklus (misal: per tahun dalam bentuk asesmen mandiri, atau
per tiga tahunan oleh pihak eksternal) untuk melakukan evaluasi / verifikasi antara lain atas
efektivitas kerangka kerja, manajemen risiko, keselarasan manajemen risiko dengan strategi
perusahaan.
4. Kerangka Manajemen Risiko
108. b. Apa yang menjadi objek
Realisasi dari rencana penerapan
manajemen risiko (risk management
plan)
Kinerja/efektivitas kerangka kerja
manajemen risiko
Perubahan pada konteks, dan
Kesesuaian terhadap konteks dan
kebutuhan terkini:
• Pedoman manajemen risiko
• Prosedur manajemen risiko
• Metode dan alat bantu proses
manajemen risiko
PEMANTAUAN DAN
TINJAUAN ATAS
KERANGKA KERJA
4. Kerangka Manajemen Risiko
110. c. Informasi yang dilibatkan
Beberapa sumber informasi, antara lain:
• Laporan operasional;
• Indikator-indikator risiko utama;
• Indikator kinerja utama;
• Pengamatan langsung di lapangan
• Laporan hasil monitoring dan review;
• Laporan audit.
4. Kerangka Manajemen Risiko
111. d. Cara yang Digunakan
Berikut adalah cara yang dapat digunakan untuk melaksanakan
evaluasi, antara lain yaitu:
1. Asesmen terhadap ISO 31000 system requirement:
• Principles approach
• Framework approach
• Process element approach;
2. Asesmen tingkat maturitas penerapan manajemen risiko;
3. Control effectiveness approach.
4. Kerangka Manajemen Risiko
112. Pelaporan hasil evaluasi harus lebih mengutamakan pelaporan
kekurangan atau kelemahan, antara lain:
• Laporan kelemahan pengendalian risiko;
• Laporan kelemahan sistem manajemen risiko;
• Laporan kegagalan tindak lanjut atas temuan kelemahan;
• Laporan kegagalan dari mitigasi;
• Analisis dan refleksi pasca kejadian.
e. Hasil yang Dilaporkan
4. Kerangka Manajemen Risiko
114. Perbaikan berkelanjutan merupakan tindak lanjut dari hasil evaluasi yang
bertujuan untuk memastikan agar manajemen risiko di lingkungan
organisasi, baik pengaturan maupun praktiknya, tetap sesuai
karakteristik dan memenuhi kebutuhan spesifik organisasi.
4. Kerangka Manajemen Risiko
115. 1. Adaptasi
Organisasi sebaiknya secara berkelanjutan memantau dan mengadaptasi
kerangka kerja manajemen risiko untuk mengatasi / mengantisipasi perubahan
eksternal dan internal. Dengan demikian, organisasi dapat meningkatkan
nilainya.
2. Perbaikan sinambung
Organisasi sebaiknya secara sinambung meningkatkan kesesuaian, kecukupan,
dan efektivitas kerangka kerja manajemen risiko, serta bagaimana proses
manajemen risiko diintegrasikan.
Saat kesenjangan atau peluang peningkatan yang relevan diidentifikasi,
organisasi hendaknya mengembangkan rencana dan tugas pengembangan serta
menugaskan kepada pihak yang memiliki akuntabilitas untuk menerapkan.
4. Kerangka Manajemen Risiko
116. Perbaikan yang dilaksanakan dapat mencakup:
Peningkatan efektivitas dari kerangka kerja;
Peningkatan maturitas sistem manajemen risiko;
Peningkatan kapasitas pemilik risiko;
Peningkatan budaya sadar risiko.
4. Kerangka Manajemen Risiko
117. SNI ISO 31000 - Manajemen Risiko
Prinsip Manajemen Risiko
Kerangka Kerja Manajemen Risiko Proses Manajemen Risiko
5. Proses Manajemen Risiko
118. Seluruh risiko yang mungkin ada
Risiko yang relevan untuk organisasi
Risiko yang relevan untuk organisasi
Besarnya risiko yang dihadapi
Risiko yang harus ditindaklanjuti
Profil risiko organisasi
Risiko terkendali organisasi
Rencana vs. progres; target vs. capaian
Desain vs. praktik; ekspektasi vs. realisasi
Progres, praktik, realisasi, capaian.
(Pelaksanaan, keluaran, keluaran-hasil)
5. Proses Manajemen Risiko
119. Proses manajemen risiko melibatkan penerapan sistematis dari kebijakan,
prosedur, dan praktik pada aktivitas komunikasi dan konsultasi, penetapan
konteks, serta penilaian, perlakuan, pemantauan, peninjauan, pencatatan, dan
pelaporan risiko.
Proses manajemen risiko hendaknya menjadi bagian integral manajemen dan
pengambilan keputusan, serta diintegrasikan ke dalam struktur, operasi, dan
proses organisasi yang diterapkan pada tingkat strategis, operasional, program,
ataupun proyek.
Dapat saja ada banyak penerapan proses manajemen risiko di dalam organisasi,
yang disesuaikan untuk mencapai sasaran dan menyesuaikan konteks eksternal
dan internal tempat proses diterapkan, termasuk di dalamnya jenis risiko yang
dikelola organisasi.
5. Proses Manajemen Risiko
120. • Tujuan komunikasi dan
konsultasi adalah untuk
membantu pemangku
kepentingan yang relevan
dalam memahami risiko, dasar
pengambilan keputusan, dan
alasan mengapa tindakan
tertentu diperlukan.
• Komunikasi digunakan untuk
mendorong kesadaran dan
pemahaman risiko, sedangkan
konsultasi mencakup
pencarian umpan balik dan
informasi untuk mendukung
pengambilan keputusan.
5. Proses Manajemen Risiko
121. Maksud dari komunikasi dan konsultasi ditujukan untuk:
▪ menyatukan beragam area keahlian pada tiap tahap proses manajemen
risiko;
▪ memastikan berbagai pandangan dipertimbangkan dengan memadai saat
menentukan kriteria risiko dan saat mengevaluasi risiko;
▪ memberikan informasi yang memadai untuk memfasilitasi pengawasan risiko
dan pengambilan keputusan;
▪ membangun rasa keterlibatan dan kepemilikan di antara pihak yang
terpengaruh oleh risiko.
Kombinasi antara komunikasi dan konsultasi akan memfasilitasi
pertukaran informasi yang faktual, tepat waktu, relevan, akurat,
dan dapat dipahami, dengan mempertimbangkan kerahasiaan dan
integritas informasi, dan juga hak privasi individu.
5. Proses Manajemen Risiko
123. Selain itu, komunikasi dan konsultasi dalam proses
manajemen risiko dapat digunakan untuk:
• Menentukan konteks dengan benar;
• Memahami kepentingan seluruh pemangku kepentingan dan
dipertimbangkan dengan baik;
• Mendapatkan manfaat dari berbagai macam keahlian (multi
disiplin);
• Membantu memastikan bahwa semua risiko telah teridentifikasi
dengan baik;
• Membantu proses manajemen perubahan;
• Memperoleh dukungan dan persetujuan untuk tindakan
perlakuan risiko
5. Proses Manajemen Risiko
124. Contoh penyiapan komunikasi dan konsultasi dalam proses
manajemen risiko dengan memanfaatkan Matriks RACI.
5. Proses Manajemen Risiko
125. Contoh Rencana Komunikasi:
Pemangku Kepentingan Internal
Pemangku
Kepentingan
Perantara
Disiapkan
oleh
Tujuan Konten/ Pesan
Metode
Penyampaian
Pemilihan
Waktu
Frekuensi
Senior
Management
Team
Direktur
Utama
GM Risk
Management
Memberikan
pemahaman
tentang Risk
Management
dan
akuntabilitas
masing-masing
pejabat
sebagai risk
owner
• Dukungan
terhadap
penerapan
manajemen
risiko
• Kesiapan
untuk
menjadi risk
owner
• Kesediaan
mengikuti
pelatihan
terkait
• Rapat
bersama
• E-mail
• Bersamaan
dengan
Management
Meeting
• 2 minggu
sebelum
pelatihan
diadakan
1 kali/ 6
bulan
Setiap kali
sebelum
pelatihan
diadakan (1
kali per 3
bulan)
5. Proses Manajemen Risiko
126. Contoh Rencana Konsultasi:
Pemangku Kepentingan Eksternal
Pemangku
Kepentingan
Tujuan Metode Waktu Pemilik/Fasilitator
Supplier Penting • Mendapatkan dukungan dalam
business continuity plan exercise,
terutama dari supply chain
disruption
• Menidentifikasi kesiapan
supplier
• Memiliki kemauan untuk
berpertisipasi dan mempelajari
pengalaman buruk mereka
• Wawancara
• Survey
• Pelatihan
/reality check
September • Unit manajemen
risiko
• Unit pengadaan
5. Proses Manajemen Risiko
127. • Penetapan ruang lingkup,
konteks, dan kriteria ditujukan
untuk menyesuaikan proses
manajemen risiko, mendukung
penilaian risiko yang efektif,
serta perlakuan risiko yang
memadai.
• Ruang lingkup, konteks, dan
kriteria mencakup penentuan
ruang lingkup proses
manajemen risiko dan
pemahaman konteks eksternal
dan internal.
5. Proses Manajemen Risiko
128. Karena proses manajemen risiko dapat diterapkan pada berbagai
tingkat (misalnya strategis, operasi, program, proyek, atau aktivitas
lain), diperlukan kejelasan tentang ruang lingkup yang menjadi
cakupan, sasaran relevan yang perlu dipertimbangkan, dan
keselarasannya dengan sasaran organisasi.
Saat merencanakan pendekatan, hal yang perlu dipertimbangkan
adalah:
▪ sasaran dan keputusan yang perlu dibuat;
▪ hasil keluaran yang diharapkan dari tiap langkah yang akan diambil dalam
proses;
▪ waktu, lokasi, serta pencakupan dan pengecualian khusus;
▪ alat dan teknik penilaian risiko yang sesuai;
▪ sumber daya yang dibutuhkan, tanggung jawab dan catatan yang disimpan;
▪ hubungan dengan proyek, proses, dan aktivitas lain.
5. Proses Manajemen Risiko
129. Ruang Lingkup – Risk Category
Contoh:
5. Proses Manajemen Risiko
130. Ruang Lingkup – Risk Breakdown Structure
Contoh:
RBS LEVEL 0 RBS LEVEL 1 RBS LEVEL 2 RISKS
Risiko proyek
(63 Risiko)
1. Konten teknis
27 risiko
1.1. Ruang lingkup definisi 8
1.2. Technical interface 4
1.3. Tes dan penerimaan 10
1.4. Proses bisnis 2
1.5. Development life cycle 4
1.6. Akuisisi hardware 1
2. Manajemen
29 risiko
2.1. Pemasok / hubungan pelanggan 3
2.2. Alokasi sumber daya 8
2.3. Komunikasi 2
2.4. Program management organization 8
2.5. Fasilitas dan infrastruktur 3
3. Komersial
7 risiko
3.1. Contract management 5
3.2. Subcontract issues 2
5. Proses Manajemen Risiko
131. Ruang Lingkup – Pendekatan / teknik asesmen risiko
Contoh:
Internal
Eksternal
Kualitatif Kuantitatif
Risiko
Strategi
Cyber Risk
Risiko Kepatuhan
Risiko Reputasi
Risiko
Pasar
Risiko
Hukum
Risiko
Operasional
Risiko
Keuangan
Keterangan:
Sumbu X: Sumber Risiko
Sumbu Y: Teknik Asesmen
5. Proses Manajemen Risiko
132. Lingkup Manajemen Risiko
Dalam lingkup manajemen risiko perlu ditentukan:
• Cakupan pengelolaan risiko (project, proses, produk, unit
kerja, dll);
• Siapakah pemilik risiko (akuntabilitas dan responsibilitas
terkait);
• Metodologi, teknik, model, form yang digunakan;
• Keluaran yang diharapkan;
• Sumber daya yang diperlukan.
Hal-hal tersebut di atas sifatnya unik dan khas untuk tiap
penerapan konteks manajemen risiko (tailored).
5. Proses Manajemen Risiko
134. BAGIAN JUDUL
Kode
Dokumen
Halaman
VI
INSTRUKSI KERJA
PMR-6 Rev
00
6.1 TinjauanUmum PMR-6.1
6.2
Instruksi Kerja Pengisian Formulir Analisis Lingkungan Internal
dan Eksternal PMR-6.2
6.3 Instruksi Kerja Pengisian Formulir Database Peristiwa Risiko PMR-6.3
6.4 Instruksi Kerja Pengisian Formulir Penetapan Risk Appetite PMR-6.4
6.5 Instruksi Kerja Pengisian Formulir Deployment Risk Tolerance PMR-6.5
6.6
Instruksi Kerja Pengisian Formulir Identifikasi Peristiwa - Level
Korporat PMR-6.6
6.7
Instruksi Kerja Pengisian Formulir Identifikasi Peristiwa - Level
Proses PMR-6.7
6.8
Instruksi Kerja Pengisian Formulir Daftar Risiko - Level
Korporat PMR-6.8
6.9 Instruksi Kerja Pengisian Formulir DaftarRisiko - Level Proses PMR-6.9
6.10 Instruksi Kerja Pengisian Formulir Pengukuran Level Risiko PMR-6.10
6.11
Instruksi Kerja Pengisian Formulir Penaksiran Status
Pengendalian - Level Korporat PMR-6.11
6.12
Instruksi Kerja Pengisian Formulir Penaksiran Status
Pengendalian - Level Proses PMR-6.12
6.13
Instruksi Kerja Pengisian Formulir Laporan penerapan
Manajemen Risiko - Level Korporat PMR-6.13
6.14
Instruksi Kerja Pengisian Formulir Laporan Penerapan
Manajemen Risiko - Level Proses PMR-6.14
6.15 Instruksi Kerja Pengisian Formulir Reviu Manajemen Risiko PMR-6.15
Lingkup Manajemen Risiko
Contoh: Instruksi Kerja Manajemen Risiko
5. Proses Manajemen Risiko
135. Konteks eksternal dan internal adalah lingkungan yang dicari
organisasi untuk menentukan dan mencapai sasarannya.
Konteks proses manajemen risiko sebaiknya ditetapkan dari pemahaman
terhadap lingkungan eksternal dan internal tempat organisasi beroperasi dengan
mempertimbangkan lingkungan spesifik dari aktivitas yang menjadi sasaran
penerapan manajemen
eksternal dan internal proses manajemen risiko
risiko (organisasi menetapkan konteks
dengan
mempertimbangkan faktor internal/eksternal organisasi).
Pemahaman akan konteks di atas penting karena:
▪ manajemen risiko dilakukan dalam konteks sasaran dan aktivitas organisasi;
▪ faktor organisasi dapat menjadi sumber risiko;
▪ tujuan dan ruang lingkup proses manajemen risiko mungkin berhubungan
dengan sasaran organisasi secara keseluruhan.
5. Proses Manajemen Risiko
136. Konteks Internal & Eksternal – Analisis Pemangku
Kepentingan
POTENSIANCAMAN
Tinggi
Tinggi
Rendah
Rendah
SIAPA SAJA?
STRATEGI:
KOLABORASI
STRATEGI:
BERTAHAN
STRATEGI:
LIBATKAN
STRATEGI:
MONITOR
POTENSI
DUKUNGAN
WASPADA
SIAPA SAJA?
PENDUKUNG
ANCAMAN
SIAPA SAJA?
MARGINAL
SIAPA SAJA?
5. Proses Manajemen Risiko
137. PEMANGKU
KEPENTINGAN
KEPENTINGAN
PARA PEMANGKU
KEPENTINGAN
KEPENTINGAN KITA
DAMPAK
GAGAL
KRITIS
Y/T
PLN Menjual daya listrik
dan pembayaran
tepat waktu
Mendapatkan
supply listrik yang
stabil dan konsisten
Gangguan
opersional
Ya
Supplier ATK Mendapatkan order Kebutuhan ATK
tercukupi
Kekurangan ATK Tidak
Penggunaseluler
Indosat
Jaringan seluler
yang handal dan
untuk komunikasi
suara dan data
Mendapatkan
revenue
Berkurangnya
revenue dan pindah
ke provider lain
Ya
Konteks Internal & Eksternal – Analisis Pemangku
Kepentingan
5. Proses Manajemen Risiko
s
138. Catatan:
Hasil akhir : semua rendah → daya tawar RENDAH
“1” aspek tinggi → daya tawar TINGGI
Konteks Internal & Eksternal – Analisis Pemangku
Kepentingan
• Bargaining power of stakeholders:
PEMANGKU
KEPENTINGAN
ASPEK DARI DAYA TAWAR PEMANGKU KEPENTINGAN
(T/R) DAYA TAWAR
(BARGAINING
POWER)
TINGGI/
RENDAH
OTORITAS /
KEKUASAAN HAK
SUARA
PEMBUATAN
PENDAPAT /
KEKUASAAN
POLITIK
DAYA EKONOMI
5. Proses Manajemen Risiko
141. ▪ Organisasi hendaknya menentukan jumlah dan jenis risiko yang dapat atau
tidak dapat diambil, relatif terhadap sasaran;
▪ Organisasi juga perlu menentukan kriteria untuk mengevaluasi signifikansi
risiko dan untuk mendukung proses pengambilan keputusan;
▪ Kriteria risiko sebaiknya selaras dengan kerangka kerja manajemen risiko
dan disesuaikan dengan tujuan khusus dan ruang lingkup aktivitas yang
dicakup;
▪ Kriteria risiko sebaiknya merefleksikan nilai, sasaran, dan sumber daya
organisasi serta konsisten dengan kebijakan dan pernyataan tentang
manajemen risiko;
▪ Kriteria sebaiknya ditentukan dengan mempertimbangkan kewajiban
organisasi dan pandangan pemangku kepentingan;
▪ Meski kriteria risiko sebaiknya ditetapkan pada awal proses penilaian risiko,
kriteria itu dinamis dan sebaiknya selalu ditinjau dan disesuaikan, bila
diperlukan.
5. Proses Manajemen Risiko
142. Dalam merumuskan kriteria risiko, organisasi perlu
mempertimbangkan:
▪ sifat dan jenis ketidakpastian yang dapat memengaruhi hasil keluaran dan
sasaran (baik tangible maupun intangible);
▪ bagaimana konsekuensi (baik positif maupun negatif) dan kemungkinan akan
ditentukan dan diukur;
▪ faktor terkait waktu;
▪ konsistensi penggunaan ukuran;
▪ bagaimana tingkat risiko ditentukan;
▪ bagaimana kombinasi dan urutan berbagai risiko akan diperhitungkan;
▪ kapasitas organisasi.
5. Proses Manajemen Risiko
146. Operational Criteria:
Disruption of support
function Exposure of
Consequence
Rating
Parameter:
Types of disruption
Disruption of support function without further impact Insignificant 1
Disruption of support function which
may negatively affects performance
level of entire unit
Minor 2
Disruption of support function which may
negativelyaffectsperformance/servicelevelofothersupportingunit Moderate 3
Disruption of support function which may
negativelyaffectsperformance/sericelevelofbusinessunit Major 4
Disruption of support function which may
negatively affects performance/service level of company-wide
Significant 5
5. Proses Manajemen Risiko
147. Legal Criteria:
Legal/financial impact to
company Exposure of
Consequence
Rating
Parameter:
Types of impact to company due to
stakeholder’s complaint
Stakeholder’scomplaint(manageable) Insignificant 1
Stakeholder’scomplaintwhichobligescompanytopay
fine/financial compensation ≤ Rp, 10 mio
Minor 2
Stakeholder’scomplaintwhichobligescompanytopay
fine/financial compensation > Rp, 10 mio ≤
Rp. 50 mio
Moderate 3
Stakeholder’scomplaintwhichobligescompanytopay
fine/financial compensation > Rp, 50 mio ≤ Rp.
100 mio, or which may lead to lawsuit (civil
law)
Major 4
Stakeholder’scomplaintwhichobligescompanytopay
fine/financial compensation > Rp, 100 mio,
orwhichmayleadtolawsuit(criminallaw)andor
blacklisting/business license revocation
Significant 5
5. Proses Manajemen Risiko
148. Legal Criteria:
Reputation impact to
company Exposure of
Consequence
Rating
Parameter:
Coverage of negative
publicity
Negative publicity can be prevented (manageable) Insignificant 1
Negativepublicityatlocalmassmedia(printed) Minor 2
Negative publicity at local TV news Moderate 3
Negativepublicityis goingviralin socialmedia/internetfor 1day Major 4
Negativepublicityisgoingviralinsocialmedia/internetfor>1 day&
at national mass media and or TV news
Significant 5
5. Proses Manajemen Risiko
149. Kombinasi eksposur risiko dengan menggunakan
alat bantu berupa peta risiko
2
3
4
2
1
4
3 4 5
9
12
15
12
1 2 3 4 5
1
2
3
4
5
Insignificant Significant
Almost
Never
Unlikely
Possible
Likely
Almost
Certain
Minor Moderate Major
CONSEQUENCE
LIKELIHOOD
LOW LOW LOW LOW
LOW
LOW
LOW
LOW MEDIUM
8
MEDIUM
5
MEDIUM
6
MEDIUM MEDIUM
6 8
HIGH
HIGH
10
HIGH
15
HIGH
HIGH
HIGH
HIGH
HIGH
10
CRISIS
20
CRISIS
25
CRISIS
20
CRISIS
16
5. Proses Manajemen Risiko
150. Risk & Control Self-Assessment
Identifikasi risiko
serta kepemilikan
risiko
Asesmen risiko:
Dampak dan
kemungkinan
Rencana aksi,
pemantauan, dan
pelaporan
Identifikasi kendali
beserta kepemilikan
Asesmen kendali:
rancangan dan kinerja
Penilaian
berkelanjutan
dan paralel
terhadap risiko
dan kendali
5. Proses Manajemen Risiko
151. Contoh penentuan tingkat efektivitas kontrol dengan
pendekatan semi-kuantitatif
Apakah kontrol yang
dilakukan
menangani
penyebab dan
dampak risiko?
Apakah kontrol
resmi yang dilakukan
didokumentasikan
dan
dikomunikasikan?
Apakah kontrol
dijalankan dan
diterapkan secara
konsisten?
Ya
Sebagian
Tidak
1
3
6
1
2
3
1
2
3
+ + =
5. Proses Manajemen Risiko
152. Control Effectiveness (CE)
Criteria: Existing
Control
Effectiven
ess
Level
Poin
Effec
t.
Ratin
g
Parameter:
Operability&reliability of existing control
Controlexists,worksproperlyasdesigned,andconsistently produces
result as expected Very
Effective
7-12 1
Controlexists,worksproperlyasdesigned,butdoesnotconsistently
produces result as expected Effective 6 2
Controlexists,worksproperlyasdesigned,butdoesnotproduce
results as expected Less
Effective
5 3
Controlexists,butdoesnotworkproperlyasdesigned Not
Effective
4 4
Control does not exist Not
Available
3 5
5. Proses Manajemen Risiko
153. Risk
Lev
el
Response Reporting
Low
Risk is controlled & monitored
regularly by Branch/Dept. Head.
Risk is informed to BPM Dept.
Medium
Risk is controlled & monitored
regularly by Branch/Dept. Head
and BPM Dept.
Risk is informed to BPM Dept.
High
Risk is controlled & treated by
Branch/Dept. Head (control
improvement plan/risk treatment
plan should be available), and
assured by respective Director.
Riskis informedto/closely monitoredby
BPMDept.&respectiveDirector
Crisis/
Catastrop
hic
Risk is controlled & treated by
Branch/Dept. Head (control
improvement plan/risk treatment
plan should be available), and
assured by BoD.
Risk is informed to BPM Dept., BoD
& BoC, and closely monitored by
BPM Dept. & BoD.
5. Proses Manajemen Risiko
154. 2
3
4
2
1
4
3 4 5
9
12
15
12
1 2 3 4 5
1
2
3
4
5
Insignificant Significant
Almost
Never
Unlikely
Possible
Likely
Almost
Certain
Minor Moderate Major
CONSEQUENCE
LIKELIHOOD
LOW LOW LOW LOW
LOW
LOW
LOW
LOW MEDIUM
8
MEDIUM
5
MEDIUM
6
MEDIUM MEDIUM
6 8
HIGH
HIGH
10
HIGH
15
HIGH
HIGH
HIGH
HIGH
HIGH
10
CRISIS
20
CRISIS
25
CRISIS
20
CRISIS
16
5. Proses Manajemen Risiko
156. Risk Capacity dalam memperhitungkan
Risk Apetite & Risk Tolerance
Risk Capacity
Risk Tolerance (there is some debate regarding this)
Temporarily exceeding approved risk appetite
Approved Risk Appetite
Enterprise-Wide Risk Profile
5. Proses Manajemen Risiko
157. ◼ Konsekuensi yang perlu dipertimbangkan?
◼ Bagaimana cara mengukurnya?
◼ Bagaimana cara mengukur likelihood?
◼ Bagaimana cara menggabungkan semua hal tersebut
untuk menentukan tinkat risiko?
◼ Tingkat risiko yang dapat diterima/ditoleransi?
Menentukan konteks eksternal anda Menentukan konteks internal anda
Menentukan kriteria
◼ Mengidentifikasi semua aspek dalam
organisasi anda yang mempengaruhi cara
anda dalam mengelola risiko
◼ Mengidentifikasi semua aspek di luar organisasi
anda yang mempengaruhi cara anda dalam
mengelola risiko
Menentukan ruang lingkup manajemen risiko anda
Mengidentifikasi cakupan pengelolaan risiko yang perlu
dilakukan oleh organisasi anda
◼ Jenis risiko
◼ Pihak yang dilibatkan
◼ Teknik, model,dan form
◼ Alur proses prosedural
◼ Keluaran
5. Proses Manajemen Risiko
158. • Penilaian risiko adalah proses
menyeluruh dari identifikasi
risiko, analisis risiko, dan
evaluasi risiko.
• Penilaian risiko dilakukan
secara sistematis, berulang,
dan kolaboratif, berdasarkan
pengetahuan dan pandangan
pemangku kepentingan.
• Penilaian sebaiknya
berdasarkan informasi terbaik
yang tersedia, dan dapat
didukung oleh kajian lanjutan
sesuai kebutuhan.
5. Proses Manajemen Risiko
159. 5. Proses Manajemen Risiko
1. Metode Identifikasi Risiko
2. Identifikasi Dampak terhadap tujuan organisasi
3. Kategori Risiko
1. Probababilitas
2. Dampak dari Risiko
3. Inherent Risk & Residual Risk
1. Risk Ranking
2. Likelihood & Consequence Matrix
160. LOOK-UP METHODS: Two techniques
Type of risk
assessment
technique
Description R & C
N & D
of U
C QO
Check-lists A simple form of risk identification. A techniques which provides
a listing of typical uncertainties which need to be considered.
Users refer to a previously developed list, codes or standards
Low Low Low No
Risk Identification
Preliminary
hazard analysis
A simple inductive method of analysis whose objective is to
identify the hazards and hazardous situations and events that
can cause harm for a given activity, facility or system
Low High Med No
Risk Identification
Keterangan:
-
-
-
-
R&C: Resource and capability
N&D of U: Nature and degree of uncertainty
C: Complexity
QO: Quantitative output
1/2; 2/2
5. Proses Manajemen Risiko
161. 1/4; 2/4
Type of risk
assessment
technique
Description R & C
N & D
of U
C QO
Structured
interview and
brains-torming
A means of collecting a broad set of ideas and evaluation,
ranking them by a team. Brainstorming may be stimulated by
prompts or by one-on-one and one-on-many inteview
techniques.
Low Low Low No
Risk Identification
Delphi technique A means of combining expert opinions that may support the
source and influence identification, probability and
consequence estimation and risk evaluation. It is a collaborative
technique for building concensus among experts. This
technique involving independent analysis and voting by experts.
Med Med Med No
Risk Identification
Keterangan:
-
-
-
-
R&C: Resource and capability
N&D of U: Nature and degree of uncertainty
C: Complexity
QO: Quantitative output
SUPPORTING METHODS: Four techniques
5. Proses Manajemen Risiko
162. 3/4; 4/4
Keterangan:
-
-
-
-
R&C: Resource and capability
N&D of U: Nature and degree of uncertainty
C: Complexity
QO: Quantitative output
Type of risk
assessment
technique
Description R & C
N & D
of U
C QO
SWIFT
Structured
“what-if”
A system for prompting a team to identify risks. Normally used
within a facilitated workshop. Normally linked to a risk analysis
and evaluation techniques
Med Med Any No
Risk Identification, Risk Analysis (C,
P, L), & Risk Evaluation
Human reliability
analysis (HRA)
Human reliability analysis (HRA) deals with the impact of
humans on system performance and can be used to evaluate
human errors influences on the system.
Med Med Med Yes
Risk Identification, Risk Analysis (C,
P, L), & Risk Evaluation
SUPPORTING METHODS: Four techniques
5. Proses Manajemen Risiko
163. SCENARIO ANALYSIS: Eight techniques 1/8; 2/8
Keterangan:
-
-
-
-
R&C: Resource and capability
N&D of U: Nature and degree of uncertainty
C: Complexity
QO: Quantitative output
Type of risk
assessment
technique
Description R & C
N & D
of U
C QO
Root cause
analysis (single
loss analysis)
A single loss that has occured is analyzed in order to understand
contributory causes and how the system or process can be
improved to avoid such future losses. The analysis shall consider
what controls were in place at the time the loss occured and
how controls might be improved.
Med Low Med No
Risk Analysis (C, P, L), & Risk
Evaluation
Scenario analysis Possible future scenarios are identified through imagination or
extrapolation from the present and different risks considered
assuming each of these scenarios might occur. This can be done
formally or informally, qualitatively or quantitatively
Med High Med No
Risk Identification, Risk
Analysis (C, P, L), & Risk
Evaluation
5. Proses Manajemen Risiko
164. SCENARIO ANALYSIS: Eight techniques 3/8; 4/8
Type of risk
assessment
technique
Description R & C
N & D
of U
C QO
Toxicological risk
assessment
(Environmental
risk assessment)
Hazards are identified and analysed and possible pathways by
which a specified target might be exposed to the hazard are
identified. Information on the level of exposure and the nature
of harm caused by a given level of exposure are combined to
give a measure of the probability that the specified harm will
occur.
High High Med Yes
Risk Identification, Risk Analysis (C,
P, L), & Risk Evaluation
Business impact
analysis
Provides an analysis of how key disruption risks could affect an
organization’s operations and identifies and quantitative the
capabilities that would be required to manage it.
Med Med Med No
Risk Identification, Risk Analysis (C,
P, L), & Risk Evaluation
Keterangan:
-
-
-
-
R&C: Resource and capability
N&D of U: Nature and degree of uncertainty
C: Complexity
QO: Quantitative output
5. Proses Manajemen Risiko
165. 5/8; 6/8
Keterangan:
-
-
-
-
R&C: Resource and capability
N&D of U: Nature and degree of uncertainty
C: Complexity
QO: Quantitative output
Type of risk
assessment
technique
Description R & C
N & D
of U
C QO
Fault tree analysis A technique which starts with the undesired event (top event)
and determine all the ways in which it could occur. These are
displayed graphically in a logical tree diagram. Once the fault
tree has been developed, consideration should be given to
ways of reducing or eliminating potential causes/sources.
High High Med Yes
Risk Identification, Risk Analysis (P,
L), & Risk Evaluation
Event tree
analysis
Using inductive reasoning to translate probabilities of different
initiating events into possible outcomes.
Med Med Med Yes
Risk Identification, Risk Analysis (C,
P, L)
SCENARIO ANALYSIS: Eight techniques
5. Proses Manajemen Risiko
166. 7/8; 8/8
Keterangan:
-
-
-
-
R&C: Resource and capability
N&D of U: Nature and degree of uncertainty
C: Complexity
QO: Quantitative output
Type of risk
assessment
technique
Description R & C
N & D
of U
C QO
Cause /
consequence
analysis
A combination of fault and event tree analysis that allows
inclusion of time delays. Both causes and consequences of an
initiating event are considered.
High Med High Yes
Risk Identification, Risk Analysis (P,
L), & Risk Evaluation
Cause-and-effect
analysis
An effect can have a number of contributory factors which may
be grouped into different categories. Contributory factors are
identified often through brainstorming and displayed in a tree
structure or fishbone diagram.
Low Low Med No
Risk Identification, Risk Analysis
(C,)
SCENARIO ANALYSIS: Eight techniques
5. Proses Manajemen Risiko
167. Type of risk
assessment
technique
Description R & C
N & D
of U
C QO
FMEA and
FMECA
FMEA (Failure Mode and Effect Analysis) is a technique which
identifies failure modes and mechanisms, and their effects. There
are several types of FMEA: Design (or product) FMEA which is
used for components and products. System FMEA which is used
for systems. Process FMEA which is used for manufacturing and
assembly processes. Service FMEA and Sotware FMEA
FMEA may be followed by a critically analysis which defines the
significance of each failure mode, qualitatively, semi-
qualitatively, or quantitatively (FMECA). The critically analysis
may be based on the probability that the failure mode will result
in system failure, or the level of risk associated with the failure
mode, or a risk priority number.
Med Med Med Yes
Risk Identification, Risk Analysis
(C,P, L), & Risk Evaluation
Keterangan:
-
-
-
-
R&C: Resource and capability
N&D of U: Nature and degree of uncertainty
C: Complexity
QO: Quantitative output
1/5
FUNCTION ANALYSIS: Five techniques
5. Proses Manajemen Risiko
168. 2/5; 3/5
Keterangan:
-
-
-
-
R&C: Resource and capability
N&D of U: Nature and degree of uncertainty
C: Complexity
QO: Quantitative output
Type of risk
assessment
technique
Description R & C
N & D
of U
C QO
Reliability-
centred
maintenance
A method to identify the policies that should be implemented
to manage failures so as to efficiently and effectively achieve
the required safety, availability and economy of operation for
all types of equipment.
Med Med Med Yes
Risk Identification, Risk Analysis
(C,P, L), & Risk Evaluation
Sneak analysis
(Sneak circuit
analysis)
A methodology for identifying design errors. A sneak condition
is a latent hardware, software, or integrated condition that
may cause an unwanted event to occur or may inhibit a desired
event and is not caused by component failure. These
conditions are characterized by their random nature and ability
to escape detection during the most rigorous of standardized
system tests. Sneak conditions can cause improper operation,
loss of system availability, program delays, or even death or
injury to personnel.
Med Med Med No
Risk Identification
FUNCTION ANALYSIS: Five techniques
5. Proses Manajemen Risiko
169. 4/5; 5/5
Keterangan:
-
-
-
-
R&C: Resource and capability
N&D of U: Nature and degree of uncertainty
C: Complexity
QO: Quantitative output
Type of risk
assessment
technique
Description R & C
N & D
of U
C QO
HAZOP
Hazard and
operability
studies
A general process of risk identification to define possible
deviations from the expected or intended performance. It uses
a guideword based system.
The criticalities of the deviations are assessed
Med High High No
Risk Identification, Risk Analysis
(C,P, L), & Risk Evaluation
HACCP
Hazard analysis
and critical
control points
A systematic, proactive, and preventive system for assuring
product quality, reliability and safety of processes by
measuring and monitoring specific characteristics wich are
required to be within defined limits.
Med Med Med No
Risk Identification, Risk Analysis
(C), Risk Evaluation
FUNCTION ANALYSIS: Five techniques
5. Proses Manajemen Risiko
170. CONTROL ASSESSMENT: Two techniques 1/2; 2/2
Keterangan:
-
-
-
-
R&C: Resource and capability
N&D of U: Nature and degree of uncertainty
C: Complexity
QO: Quantitative output
Type of risk
assessment
technique
Description R & C
N & D
of U
C QO
LOPA
(Layers of
protection
analysis)
(It may also be called barrier analysis). It allows controls and
their effectiveness to be evaluated.
Med Med Med Yes
Risk Identification, Risk
Analysis (C,P, L),
Bow tie analysis A simple diagrammatic way of describing and analysing the
pathways of a risk from hazards to outcomes and reviewing
controls. It can be considered to be a combination of the logic
of a fault free analysing the cause of an event (represented by
the knot of a bow tie) and an event tree analysing the
consequences.
Med High Med Yes
Risk Analysis (C,P,L), Risk
Evaluation
5. Proses Manajemen Risiko
171. STATISTICAL METHODS: Three techniques 1/3; 2/3
Keterangan:
-
-
-
-
R&C: Resource and capability
N&D of U: Nature and degree of uncertainty
C: Complexity
QO: Quantitative output
Type of risk
assessment
technique
Description R & C
N & D
of U
C QO
Bayesian
analysis
A statistical procedure which utilize prior distribution data to
assess the probability of the result. Bayesian analysis depends
upon the accuracy of the prior distribution to deduce an
accurate result. Bayesian belief networks model cause-and-
effect in a variety of domains by capturing probabilistics
relationships of variable inputs to derive a result.
High Low High Yes
Risk Analysis (C), Risk
evaluaiton
Markov analysis Markov analysis, sometimes called state-space analysis, is
commonly used in the analysis of repairable complex systems
that can exist in multiple states, including various degraded
states.
High Low High Yes
Risk Identification, Risk
Analysis (C,)
5. Proses Manajemen Risiko
172. Type of risk
assessment
technique
Description R & C
N & D
of U
C QO
Monte-Carlo
analysis
Monte Carlo simulation is used to establish the aggregate
variation in a system resulting from variations in the system,
for a number of inputs, where each input has a defined
distribution and the inputs are related to the output via
defined relationships. The analysis can be used for a specific
model where the interactions of the various inputs can be
mathematically defined. The inputs can be based upon a
variety of distribution types according to the nature of the
uncertainty they are intended to represent. For risk
assessment, triangular distributions or beta distributions are
commonly used.
High Low High Yes
Risk evaluaition
Keterangan:
-
-
-
-
R&C: Resource and capability
N&D of U: Nature and degree of uncertainty
C: Complexity
QO: Quantitative output
3/3
STATISTICAL METHODS: Three techniques
5. Proses Manajemen Risiko
173. • Identifikasi risiko
ditujukan untuk
menemukan, mengenali,
dan menguraikan risiko
yang dapat membantu
atau menghalangi
organisasi dalam
mencapai sasarannya.
• Organisasi hendaknya
mengidentifikasi risiko, tanpa
memandang apakah sumber
risiko itu dapat dikendalikan
organisasi atau tidak.
• Perlu diperhatikan bahwa mungkin ada lebih dari satu jenis hasil keluaran, yang
dapat menimbulkan beragam dampak berwujud atau tak berwujud.
5. Proses Manajemen Risiko
175. Identifikasi
Risiko
1) Sasaran spesifik;
2) Peristiwa risiko;
3) Penyebab risiko;
4) Sumber risiko;
5) Potensi Dampak;
6) Kendali yang ada;
7) dlsb.
1) Merupakan kata benda;
2) Didefinisikan dalam pernyataan yang jelas dan spesifik (tetap kurang dari 10 kata);
3) Dimengerti bagi orang-orang dengan latar belakang yang berbeda;
4) Bebas dari jargon / istilah teknis tertentu (harus memberikan penjelasan yang
memadai);
5) Bebas dari singkatan (atau menempatkan bentuk lengkap di belakang).
5. Proses Manajemen Risiko
176. Catatan:
SA : Strongly applicable
A : Applicable
NA : Not Applicable
Tools and Techniques Risk Identification
Brainstorming SA
Structured or semi-structured interviews SA
Delphi SA
Check-lists SA
Primary hazard analysis SA
Hazard and operability studies (HAZOP) SA
Hazard Analysis and Critical control points (HACCP) SA
Environmental risk assessment SA
Structure << What if>> (SWIFT) SA
Scenario analysis SA
Business impact analysis A
Failure mode effect analysis SA
Fault tree analysis A
Event tree analysis A
5. Proses Manajemen Risiko
177. Catatan:
SA : Strongly applicable
A : Applicable
NA : Not Applicable
Tools and Techniques Risk Identification
Cause and consequence analysis A
Cause-and-effect analysis SA
Layer protection analysis (LOPA) A
Human Reliability Analysis SA
Reliability centered maintenance SA
Sneak circuit analysis A
Markov analysis A
FN curves A
Risk indices A
Consequence/probability matrix SA
Cost/benefit analysis A
Multi-criteria decision analysis (MCDA) A
5. Proses Manajemen Risiko
178. Dalam identifikasi risiko, faktor-faktor berikut, beserta dengan hubungan
keterkaitan di antaranya, perlu dipertimbangkan:
• sumber risiko tangible dan intangible;
• penyebab dan peristiwa;
• ancaman dan peluang;
• kerentanan dan kapabilitas;
• perubahan konteks eksternal dan internal;
• indikator risiko;
• sifat dan nilai aset dan sumber daya;
• konsekuensi dan dampak terhadap sasaran;
• batasan pengetahuan dan keandalan informasi;
• faktor terkait waktu;
• bias, asumsi, dan kepercayaan pihak yang terlibat.
5. Proses Manajemen Risiko
179. Dokumentasi Proses Identifikasi Risiko
Format deskripsi risiko
Sebab
(Fakta atau kondisi)
Risiko
(Ketidak pastian)
Efek
(hasil yang memungkinkan)
Ancaman/ Risiko negatif
Hardware yang unik sebagai
inovasi baru
Tidak tersampaikan tepat waktu Memaksa penundaan jadwal
dan adanya potensi
penyimpangan pendekatan
kontrol desain
Hujan besar ketika fondasi akan
dituangkan
Galian terisi air yang harus
dipompa keluar
Akan menunda pembuatan
fondasi
Tertinggal saat “zeroing” di
harga saat penawaran
Nilai akhir dari harga kontrak
mungkin terlalu rendah
Menyebabkan profit margin
yang ditagetkan tidak tercapai
5. Proses Manajemen Risiko
180. Dokumentasi Proses Identifikasi Risiko
Template identifikasi risiko (contoh):
No
Proses /
Area yang
menjadi
perhatian
Kejadian risiko/
deskripsi
(apa yang bisa
bermasalah)
Sebab/faktor yang
berkontribusi
Dampak / efek
(apa yang terjadi
bila risiko
terjadi)
Ancaman/
Peluang
Tujuan
utama
1. Fondasi
Galian dipenuhi
air
▪ Hujan lebat;
▪ Tidak ada perlindungan
terhadap hujan;
▪ Tidak ada pompa air
Keterlambatan
dalam konstruksi
pondasi
Ancaman
Waktu
jadwal
2
Proses
perakitan
Beberapa
bagian tidak
dikirim tepat
waktu
• Penundaan dari pemasok
karena keterlambatan
pembayaran;
• Kecelakaan transportasi
saaat pengiriman barang
• Perencanaan pengadaan
yang buruk
• Penundaan
penyelesaian
produk
Ancaman
Waktu
jadwal
5. Proses Manajemen Risiko
181. • Analisis risiko ditujukan
untuk memahami sifat
risiko dan
karakteristiknya,
termasuk, jika
memungkinkan, tingkat
risikonya.
• Analisis risiko melibatkan
pertimbangan mendetail
terhadap ketidakpastian,
sumber risiko, dampak,
kemungkinan, peristiwa,
skenario, kendali, dan
efektivitas kendali tersebut.
• Suatu peristiwa dapat memiliki beragam sebab dan akibat, serta dapat memengaruhi
beberapa sasaran.
5. Proses Manajemen Risiko
184. Analisis
Risiko
1) Evaluasi efektivitas kendali;
2) Tingkat kemungkinan-kejadian,
3) Tingkat konsekuensi;
4) Berdasarkan inheren;
5) Berdasarkan residu;
6) Pemeringkatan risiko;
7) Pemetaan risiko;
8) dll.
1) Ketersediaan data historis;
2) Tinjauan dan validasi;
3) Multiple consequences dan knock-on effect;
4) Pembatasan dan asumsi model;
5) Analisis pendukung lanjutan (jika diperlukan)..
5. Proses Manajemen Risiko
185. Catatan:
SA : Strongly applicable
A : Applicable
NA : Not Applicable
Tools and Techniques
Risk Analysis
Consequences Probability Level of Risk
Hazard and operability studies (HAZOP) SA A A
Hazard Analysis and Critical control points (HACCP) SA NA NA
Environmental risk assessment SA SA SA
Structure << What if>> (SWIFT) SA SA SA
Scenario analysis SA A A
Business impact analysis SA A A
Root cause analysis SA SA SA
Failure mode effect analysis SA SA SA
Fault tree analysis NA SA A
Event tree analysis SA A A
Cause and consequence analysis SA SA A
Cause-and-effect analysis SA NA NA
Teknik yang dapat dipergunakan untuk menganalisis risiko
5. Proses Manajemen Risiko
186. Catatan:
SA : Strongly applicable
A : Applicable
NA : Not Applicable
Teknik yang dapat dipergunakan untuk menganalisis risiko
Tools and Techniques Risk Analysis
Consequences Probability Level of Risk
Layer protection analysis (LOPA) SA A A
Decision tree SA SA A
Human Reliability Analysis SA SA SA
Bow tie analysis A SA SA
Reliability centred maintenance SA SA SA
Markov analysis SA NA NA
Bayesian statistics & Bayes network SA NA NA
FN curves SA SA A
Risk indices SA SA A
Consequence/probability matrix SA SA SA
Cost/benefit analysis SA A A
Multi-criteria decision analysis (MCDA) SA A SA
5. Proses Manajemen Risiko
187. Teknik analisis dapat berupa kualitatif, kuantitatif, atau kombinasi
keduanya, bergantung pada kondisi dan penggunaan yang diharapkan.
kompleksitas, bergantung pada tujuan analisis, ketersediaan
Analisis risiko dapat dilakukan dengan beragam tingkat detail dan
dan
keandalan informasi, serta ketersediaan sumber daya, dengan
mempertimbangkan beberapa faktor berikut:
• kemungkinan peristiwa dan konsekuensi;
• sifat dan besaran konsekuensi;
• kompleksitas dan konektivitas;
• faktor dan volatilitas terkait waktu;
• efektivitas kendali yang ada;
• tingkat sensitivitas dan kepercayaan (confidence level).
5. Proses Manajemen Risiko
188. Analisis risiko dapat dipengaruhi berbagai opini yang berbeda, bias, persepsi
risiko, dan penilaian. Pengaruh tambahan adalah mutu informasi yang
digunakan, asumsi dan pengecualian yang dibuat, keterbatasan teknik, serta
eksekusi teknik tersebut. Pengaruh tersebut sebaiknya didokumentasikan dan
dikomunikasikan kepada pengambil keputusan.
Peristiwa yang ketidakpastiannya tinggi dapat sulit untuk dikuantifikasi (contoh:
menganalisis peristiwa dengan konsekuensi yang parah). Pada kasus semacam
itu, penggunaan kombinasi beberapa teknik dapat memberikan wawasan yang
lebih luas.
Analisis risiko juga memberikan masukan untuk aktivitas evaluasi risiko, guna
memutuskan apakah risiko memerlukan perlakuan dan bagaimana perlakuannya,
serta mengenai strategi dan metode perlakuan risiko yang paling sesuai.
5. Proses Manajemen Risiko
189. Sebagai dasar untuk melakukan evaluasi risiko, maka hendaknya
proses analisis risiko dilakukan sebagai berikut:
• Identifikasi dan evaluasi efektivitas pengendalian risiko yang
ada;
• Menentukan tingkat kemungkinan dan dampak risiko;
• Menentukan peringkat risiko.
5. Proses Manajemen Risiko
190. • Evaluasi risiko melibatkan
pembandingan hasil
analisis risiko dengan
kriteria risiko yang telah
ditetapkan untuk
menentukan apakah
diperlukan tindakan
tambahan.
5. Proses Manajemen Risiko
191. Very
low
Medium High
Very
high
UnlikelyProbable
Likely
Likelihood
Low
5 10 15 20 25
4 8 12 16 20
3 6 9 12 15
2 4 6 8 10
1 2 3 4 5
1 2 3 4 5
Almos
t
never
1
2
3
4
Almos
t
certai
n
5
Cosequence
Risk Tolerance
Line
Prioritizeresponse
to this risk (1st),
then this
risk (2nd),
after that, this risk
(3rd),
then this
risk (4th),
and the last
is this risk
(5th).
Prioritasi Risiko
5. Proses Manajemen Risiko
192. Almos
t
never
Unlikely
Possible
Likel
y
Almost
certain
1
2
3
4
5
Likelihood
1 2
2
3
3
4
4
5
5
4
6
6 8
8
10
10
15
15
12
12
9
16
20
20
25
1 2 3 4
LOW
LOW
LOW LOW LOW
LOW
4
MEDIUM
6
MEDIUM
8
MEDIUM
MEDIUM
HIGH
MEDIUM MEDIUM
5
HIGH
HIGH
HIGH
9
HIGH
HIGH
CRISIS
CRISIS
CRISIS
4
6
MEDIUM
6
MEDIUM
8
8
10
10
15
15
12
12
16 20
25
2
3
4
5
6
8
9
20
2 1
3
4
5
HIGH
1
1
2
4
5
CRISIS
3
MEDIUM
MEDIUM
4
MEDIUM
HIGH
1 4 5
Major Catastrophic
Minor Moderate Severe
Consequence
2 3
1. Risk A
2. Risk B
3. Risk C
4. Risk D
5. Risk E
Inherent Exposure
Current Exposure (taking
the effectiveness of
existing controls into
account)
Residual Exposure
(taking the effectiveness
of treatment plan into
account)
Profil Risiko
5. Proses Manajemen Risiko
193. Catatan:
SA : Strongly applicable
A : Applicable
NA : Not Applicable
Teknik yang dapat dipergunakan untuk mengevaluasi risiko
Tools and Techniques Risk Evaluation
Hazard and operability studies (HAZOP) A
Hazard Analysis and Critical control points (HACCP) SA
Environmental risk assessment SA
Structure << What if>> (SWIFT) SA
Scenario analysis A
Business impact analysis A
Root cause analysis SA
Failure mode effect analysis SA
Fault tree analysis A
Cause and consequence analysis A
Decision tree A
5. Proses Manajemen Risiko
194. Catatan:
SA : Strongly applicable
A : Applicable
NA : Not Applicable
Teknik yang dapat dipergunakan untuk mengevaluasi risiko
Tools and Techniques Risk Evaluation
Human Reliability Analysis A
Bow tie analysis A
Reliability centered maintenance SA
Monte Carlo simulation SA
Bayesian statistics & Bayes network SA
FN curves SA
Risk indices SA
Consequence/probability matrix A
Cost/benefit analysis A
Multi-criteria decision analysis (MCDA) A
5. Proses Manajemen Risiko
195. Evaluasi risiko dapat membawa pada keputusan untuk:
• tidak melakukan apa pun lebih lanjut;
• mempertimbangkan opsi perlakuan risiko;
• melakukan analisis lanjutan untuk memahami risiko dengan lebih baik;
• memelihara pengendalian yang ada;
• mempertimbangkan kembali sasaran.
Keputusan hasil evaluasi risiko hendaknya mempertimbangkan
konteks yang lebih luas, serta konsekuensi aktual yang
dipersepsikan terhadap pemangku kepentingan eksternal dan
internal
5. Proses Manajemen Risiko
197. Perlakuan risiko mencakup proses berulang dari:
• formulasi dan seleksi opsi perlakuan risiko;
• perencanaan dan implementasi perlakuan risiko;
• penilaian efektivitas perlakuan yang akan dan telah dilakukan;
• pengambilan keputusan apakah risiko tersisa dapat diterima;
• pelaksanaan perlakuan lanjutan, jika opsi tidak diterima.
Pemilihan opsi perlakuan risiko yang paling tepat mencakup
penyeimbangan potensi manfaat yang diturunkan dalam kaitan
dengan pencapaian sasaran terhadap biaya, upaya, atau kerugian
implementasi.
5. Proses Manajemen Risiko