PEDOMAN
PENERAPAN MANAJEMEN RISIKO
BERBASIS GOVERNANCE
DITERBITKAN OLEH
Sambutan Ketua Badan Pengawas Pasar Modal dan Lembaga Keuangan
(BAPEPAM-LK)
Perkembangan dunia usaha yang pesat dengan jenis kegiatan yang semakin beragam
menimbulkan pula risiko-risiko baru yang berbeda-beda untuk masing-masing jenis usaha.
Sema risiko tersebut memaksa organisasi tetap dapat tercapai. Manajemen risiko merupakan
alat untuk melindungi organisasi dari setiap kemungkinan yang merugikan melalui suatu proses
penilaian risiko yaitu mengidentifikasi risiko, menilai, dan mengevaluasi sehingga risiko tersebut
dapat diminimalkan dan kegiatan usaha dapat berjalan dengan efisien.
Pelaksanaan manajemen risiko di suatu organisasi tidak terlepas dari pelaksanaan prinsip
governance. Keterbukaan informasi dalam pelaksanaan manajemen risiko baik menyangkut
produk ataupun aktivitas bisnis, hasilnya harus dipertanggungjawabkan secara transparan dan
wajar. Pihak-pihak yang menjalankan manajemen risiko harus bertanggungjawab kepada
pemangku kepentingan atas penerapan manajemen risiko tersebut. Selain itu, manajemen
risiko perlu dilaksanakan dengan asas independensi artinya plakseanaan manajemen risiko
harus dilakukan secara bebas tidak dicampuri dengan kepentingan lainnya.
Pelaksanaan manajemen risiko yang baik memerlukan pengaturan yang baik. Beberapa sektor
industri di Indonesia telah memiliki peraturan mengenai manajemen risiko, namun dengan
tingkat kejelasan yang berbeda. Dengan beragamnya risiko yang timbul, perlu kiranya
ditetapkan standar yang dapat dijadikan pedoman dalam melaksanakan manajemen risiko oleh
setiap organisasi.
Kami menyambut baik upaya Komite Nasional Kebijakan Governance (KNKG) yang secara
berkesinambungan menerbitkan pedoman-pedoman yang dibutuhkan oleh industri keuangan
maupun non keuangan dalam menunjang pelaksanaan good governance. Penerbitan pedoman
manajemen risiko ini akan sangat berguna bagi semua jenis usaha dalam melaksanakan
ini dapat dikembangkan lebih jauh lagi sehingga dunia bisnis mempunyai kemampuan yang
semakin meningkat dalam menerapkan manajemen risiko yang efektif.
Akhir kata, kami atas nama Bapepam-LK selaku regulator dibidang pasar modal dan lembaga
keuangan non-bank mengucapkan terima kasih kepada semua pihak dan para pemangku
kepentingan yang telah mendukung tersusunnya pedoman ini, khususnya kepada KNKG.
Selanjutnya kami berharap semua pihak dapat menggunakan pedoman ini sebagai benchmark
dalam pelaksanaan manajemen risiko di dunia usahanya masing-masing.
Jakarta, 17 November 2011
Nurhaida
SAMBUTAN KETUA KNKG
PEDOMAN PENERAPAN MANAJEMEN RISIKO BERBASIS GOVERNANCE
Puji syukur kehadirat Tuhan Yang Maha Kuasa, karena atas kekuatan dan kemudahan yang diberikanNya maka Pedoman Penerapan Manajemen Risiko (MRBG) dapat diselesaikan tepat waktu. Kehadiran pedoman ini akan melengkapi beberapa pedoman teknis yang telah diselesaikan sebelumnya seperti: pedoman etika bisnis, dan pedoman whistleblowing system.
Manajemen risiko merupakan disiplin ilmu yang berkembang pesat seiring dengan kebutuhan suatu perangkat dan teknik untuk mengelola dan mengendalikan risiko. Revolusi teknologi informasi dan komunikasi telah mendorong perubahan lanskap dan lingkungan bisnis sehingga perusahaan saat ini berhadapan dengan berbagai risiko bisnis seperti: risiko kredit, risiko pasar, risiko likuiditas, risiko kepatuhan, risiko operasional, risiko hukum, risiko reputasi, dan risiko strategi. Masing-masing risiko memiliki karakteristik tersendiri dan membutuhkan penanganan yang berbeda-beda. Untuk itu diperlukan suatu metodologi yang terencana, terarah, dan terukur sehingga perusahaan mampu mengelola dan memitigasi risiko bisnis secara efektif dan efisien.
Pasar yang semakin kompetitif melahirkan berbagai risiko bisnis dan kelangsungan usaha. Dengan kata lain pelaku usaha berhadapan dengan ketidakpastian (uncertainty) atas perubahan lingkungan bisnis. Kembali sejarah telah menunjukkan betapa banyak perusahaan besar yang tenggelam dan hilang dari peredaran persaingan tatkala pengelola perusahaan tidak mampu melihat, mengidentifikasi, dan memitigasi adanya risiko yang berdampak pada daya saing dan keberlangsungan usaha. Bisnis di era seperti ini menghadapi berbagai potensi risiko seperti risiko nilai tukar, risiko operasional, risiko financial, hingga risiko reputasi. Bahkan industri dengan pengaturan yang ketat sekalipun, tanpa kita duga rentan dengan berbagai risiko.
Pedoman Penerapan Manajemen Risiko berbasis Governance merupakan suatu pendekatan dalam mengelola risiko dengan mengedepankan penerapan prinsip-prinsip Governance yang baik seperti transparansi, akuntabilitas, responsibilitas, Independensi dan kewajaran. Kami berharap pedoman ini dapat digunakan dan diimplementasikan dalam kehidupan bisnis sehari-hari. Dengan demikian, maka pengelolaan risiko tidak semata-mata mengacu kepada pengelolaan dan mitigasi risiko, namun lebih dari itu mampu meningkatkan daya saing dan keberlangsungan usaha.
Dalam kesempatan ini ijinkan kami menghaturkan terima kasih atas kontribusi tim penyusun, nara sumber, dan pihak lain yang turut berkontribusi sehingga pedoman ini mencerminkan kesatuan pandangan seperti pelaku bisnis, praktisi manajemen risiko, akademisi dan stakeholders lainnya. Diharapkan pedoman ini mampu menjadi rujukan pelaku usaha dalam upaya mengelola dan memitigasi risiko bisnis, sehingga mampu mendorong peningkatan kinerja dan daya saing berkelanjutan.
Akhirnya, kehadiran pedoman ini akan sangat berarti jika kemudian dipergunakan sebagai rujukan bagi pelaku usaha dalam mengelola dan memitigasi risiko serta menjadi rujukan bagi otoritas dalam menyusun berbagai regulasi terkait penerapan manajemen risiko berbasis governance yang baik.
Jakarta, November 2011,
Komite Nasional Kebijakan Governance,
DAFTAR ISI
BAB I PENDAHULUAN 3
1. Latar Belakang 3
2. Ruang Lingkup, Maksud, dan Tujuan 13
3. Peraturan dan Pedoman Terkait
serta Aspek Penerapan Manajemen Risiko 15
4. Istilah dan Definisi 16
BAB II ASPEK STRUKTURAL 20
1. Pengantar 20
2. Prinsip,Kerangka Kerja dan Proses Manajemen Risiko 21
3. Tata Kelola Risiko 30
4. Sumber Daya Penerapan Manajemen Risiko 36
BAB III ASPEK OPERASIONAL 38
1. Pengantar 38
2. Manajemen Perubahan 40
3. Panduan Manajemen Risiko 42
4. Implementasi Manajemen Risiko 44
5. Komunikasi dan Konsultasi 45
6. Menentukan Konteks 46
7. Asesmen Risiko 51
8. Perlakuan Risiko 60
9. Monitoring dan Review 62
10. Dokumentasi Manajemen Risiko 66
BAB IV ASPEK PERAWATAN 71
1. Pengantar 71
2. Risk Governance 71
3. Budaya Risiko 73
4. Pengembangan Manajemen Risiko 76
TIM PENYUSUN PEDOMAN 79
BAB I
PENDAHULUAN
1. LATAR BELAKANG
Manajemen risiko adalah salah satu disiplin yang menjadi popular menjelang akhir abad
ke dua puluh. Disiplin ini mengajak kita untuk secara logis, konsisten, dan sistematis
untuk melakukan pendekatan terhadap ketidakpastian di masa depan. Dengan demikian,
kita dapat lebih berhati-hati dan produktif menghindari hal-hal yang tidak perlu dan
mencegah hal-hal yang merugikan atau tidak bermanfaat.
Kegiatan ini dilakukan tidak hanya berdasarkan keyakinan dan keberuntungan, namun
juga dengan mempelajari kemungkinan terjadinya suatu peristiwa serta bagaimana cara
mengatasi dampaknya. Hal tersebut juga didukung dengan kemampuan untuk
mempelajari dan memahami penyebab terjadinya suatu peristiwa (source of risk).
Sesuatu hal yang hanya didasarkan atas keberuntungan membuat pelaksanaan
manajemen risiko menjadi tidak efektif, bahkan dapat mengaburkan kebenaran dari
penyebab terjadinya suatu peristiwa.
Manajemen risiko berkembang seiring dengan perkembangan pembelajaran manusia.
Dalam satu abad terakhir ini, terdapat beberapa peristiwa politik, ekonomi, dan
perkembangan teknologi yang turut membantu perkembangan manajemen risiko, di
antaranya penggunaan bom atom dalam Perang Dunia ke-II, perkembangan teknologi
otomotif, alat transportasi, peluru kendali, komputer, dan lain-lain. Selain itu, juga
terdapat beberapa peristiwa lainnya, misalnya kasus bocornya reaktor nuklir di Rusia,
bencana industri Bhopal di India, tenggelamnya kapal Titanic, pencemaran Teluk
Minamata di Jepang, tragedi kapal tanker Exxon Valdez, kasus Enron, kasus Nick Leeson
dengan Baring Bank di Singapura, kasus terorisme yang menghancurkan Twin Tower di
New York, hingga krisis finansial yang dialami Indonesia tahun 1997/1998, kasus bank
Global, kasus Bank Century dan kasus-kasus lainnya. Semua peristiwa tersebut
sebab-akibat, berikut prediksi tentang kemungkinan terjadinya suatu peristiwa yang
merupakan bagian tak terpisahkan dari proses evolusi manajemen risiko.
a. Sejarah Singkat Perkembangan Manajemen Risiko
Feli Klo a dala E terprise Risk Ma age e t: Toda ’s Leadi g Research a d
Best Practices for Tomorro ’s E ecuti es (2010) menuliskan secara ringkas beberapa
tonggak sejarah yang terkait dengan perkembangan manajemen risiko selama 100
tahun terakhir ini. Adapun uraian kronologis sejarah perkembangan manajemen
risiko adalah sebagai berikut:
1) 1914 : di Amerika Serikat perkumpulan dari para credit & lending officers dengan nama Robert Martin Association terbentuk di Philadelphia, kemudian berganti
nama menjadi Risk Management Association pada tahun 2000, dan pada tahun
2008 anggotanya telah mencapai 3.000 lembaga keuangan dan 35.000 anggota
perorangan;
2) 1928: Kongres Amerika Serikat menerbitkan Glass-Steagal Act yang melarang kepemilikan yang sama atas bank umum, investment bank dan perusahaan
asuransi. Undang-Undang ini dicabut pada tahun 1999, karena dianggap
menghambat perkembangan lembaga keuangan. Namun, beberapa peristiwa
bencana di bidang keuangan setelah tahun 2000 mempertanyakan kembali
kebijakan pencabutan Undang-Undang ini;
3) 1945: Kongres Amerika Serikat menerbitkan McCarren-Ferguson Act yang menyerahkan kewenangan pengaturan industri asuransi kepada negara bagian
dan tidak lagi menjadi kewenangan nasional federal. Hal ini agak menghambat
perkembangan manajemen risiko karena mengurangi kemampuan industri
asuransi dalam menghadapi risiko-risiko dalam perspektif yang lebih luas;
4) 1966: The Insurance Institute of America mengembangkan satu set ujian yang terdiri dari tiga agia a g e erika gelar Associate in Risk Management .
Ini adalah sertifikasi pertama yang diberikan dalam disiplin manajemen risiko.
tetapi pengenal konsep risiko yang lebih luas mulai diperkenalkan, dan ini setiap
tahun selalu dimutakhirkan sesuai dengan tuntutan perubahan;
5) 1975: The American Society of Insurance Management mengubah namanya menjadi Risk & Insurance Management Society (RIMS) yang pada tahun 2008
jumlah anggotanya di Amerika Utara telah mencapai 11.000 orang. Di negara lain,
RIMS mempunyai asosiasi dengan The International Federation of Risk and
Insurance Management Association (IFRIMA);
6) 1980: Mulai didirikan Society for Risk Analysis (SRA) di Washington, terutama oleh mereka yang bergerak dalam kebijakan publik, lingkungan hidup dan para
akademisi terkait. Pada tahun 2008, SRA telah mempunyai anggota sebanyak
2.500 orang dan mempunyai afiliasi di Eropa dan Jepang. Kelompok ini yang mulai
memperkenalkan manajemen risiko pada produk-produk legislasi;
7) 1986: The Institute for Risk Management didirikan di London, beberapa tahun kemudian mulai memperkenalkan ujian yang dapat diikuti secara international
untuk mendapatkan sertifikasi sebagai Fellow of the Institute of Risk
Management , yang merupakan program pelatihan berkelanjutan terkait dengan
manajemen risiko dalam berbagai macam aspeknya. Pada saat yang bersamaan
Kongres Amerika Serikat juga meloloskan revisi dari The Risk Retention Act yang
disahkan pada tahun 1982;
8) 1990: Perserikatan Bangsa-Bangsa (PBB) memulai program The International Decade for Natural Disaster Recovery (IDNDR), suatu program kajian 10 tahun
untuk mempelajari alam dan dampak bencana alam, khususnya pada
negara-negara yang terbelakang serta membangun suatu upaya mitigasi pada tingkat
dunia. Program ini berakhir pada tahun 1999 dan dilanjutkan dengan nama baru
The International Strategy for Disaster Reduction (ISDR). Hasil dari kajian tersebut
dapat dilihat dalam buku Natural Disaster Management yang diterbitkan oleh
PBB;
manajemen risiko perusahaan dan memastikan bahwa seluruh anggota
perusahaan memahami semua aspek risiko yang dihadapi perusahaan. Selain itu
merekomendasikan bahwa Dewan Direksi juga bertanggung jawab atas
pengawasan proses pelaksanaan manajemen risiko tersebut. Hempel & Turnbull
Committee yang melanjutkan tugas Cadbury Committee, memperluas dan
memperbarui mandat untuk penerapan manajemen risiko bagi seluruh
perusahaan. Kondisi semacam ini juga diikuti oleh beberapa negara antara lain
Kanada, Amerika Serikat, Inggris, Afrika Selatan, Jerman dan Perancis. Pada tahun
yang sama The Bank for International Settlement (BIS) yang berkedudukan di
Swiss, menerbitkan ketentuan yang disebut sebagai Basel I bagi dunia perbankan
international yang terkait dengan kecukupan modal, ketentuan tentang risiko
kredit dan risiko pasar;
10)1993: Ja ata Chief Risk Officer CRO perta a kali digu aka oleh Ja es La ,
dari GE Capital, untuk menggambarkan suatu jabatan yang bertanggung jawab
atas pengelolaan semau aspek risiko perusahaan, termasuk manajemen risiko
secara umum, risiko operasi, risiko usaha, risiko keuangan, dan lain-lain. Saat ini
sudah lebih dari 150 CRO yang bertanggung jawab atas penanganan berbagai
macam risiko yang dihadapi perusahaan;
11)1995: Suatu kelompok kerja multi disiplin yang dibentuk oleh Standard Australia dan Standard New Zealand menerbitkan standar manajemen risiko yang pertama
di dunia yaitu AS/NZS 4360:1995 Risk Management Standard (Standar ini
kemudian direvisi setiap 5 tahun, dan telah mengalami revisi pada tahun 1999
dan tahun 2004). Penerbitan standar ini segera diikuti oleh beberapa negara
antara lain Kanada, Jepang dan Inggris. Sementara itu beberapa pengamat
mengatakan bahwa tindakan ini prematur karena manajemen risiko masih dalam
proses evolusi, akan tetapi mayoritas pengamat menghargai upaya ini karena
standar ini merupakan langkah awal untuk dapat membuat suatu kerangka
referensi global atas manajemen risiko, terlebih aspek multi disiplin dari
12)1996: The Global Association of Risk Professionals (GARP) didirikan di New York dan London. Pada tahun 2008 jumlah anggotanya sudah mencapai lebih dari
74.000 orang. GARP juga memberikan berbagai macam program sertifikasi untuk
manajemen risiko;
13)2000: Kekha atira atas ke u gki a terjadi a e a a aki at irus Y2K tidak terjadi. Secara umum ini dapat dikatakan karena keberhasilan pengerahan
upaya dan dana yang sangat masif untuk melakukan perbaikan program guna
mengatasi kemungkinan terjadinya bencana tersebut. Kejadian ini sering disebut
sebagai salah satu keberhasilan manajemen risiko dalam mengantisipasi bencana;
14)2001: The Professio al Risk Ma ager’s I ter atio al Association (PRMIA) didirikan di Amerika Serikat dan Inggris. Pada tahun 2008, jumlah keanggotaannya
mencapai sekitar 2.500 anggota penuh (paid members) dan 48.000 anggota
afiliasi (associate members). Pada tahun yang sama juga terjadi tragedi 11
September 2001, yaitu serangan teroris pada Twin Tower di New York. Selain itu
kebangkrutan Enron karena bad governance juga terjadi pada tahun ini;
15)2002: Kongres Amerika Serikat meloloskan Sarbanes-Oxley Act (SOA) untuk merespons kebangkrutan Enron dan skandal di bidang keuangan lainnya.
Ketentuan SOA diberlakukan untuk semua perusahaan publik yang tercatat di
bursa efek Amerika Serikat. Sementara pengamat memandang bahwa ini adalah
awal dari penggabungan unsur kepatuhan dengan manajemen risiko. Ada pula
yang berpendapat bahwa penggabungan ini adalah suatu kemunduran karena
memandang risiko hanya pada sisi negatifnya saja, sedangkan yang lain
berpendapat bahwa ini adalah langkah nyata penerapan manajemen risiko pada
tingkat Dewan Direksi;
16)2004: The Basel Committee on Banking Supervision dari BIS menerbitkan The Basel II Accord, yang memperluas cakupan pedoman yang telah dikeluarkan
sebelumnya (Basel I) yang meliputi ratio kecukupan modal, risiko kredit, risiko
pasar dengan tambahan risiko operasional perbankan. Beberapa pengamat
kebebasan masing-masing individu lembaga keuangan. Kesepakatan global
sejenis Basel II ini diperkirakan juga menjadi alasan untuk menerbitkan
kesepakatan serupa untuk industri non-finansial;
17)2005: The International Organization for Standarization (ISO) membentuk
International Working Group (Technical Committee) untuk mempersiapkan suatu
panduan global terkait dengan definisi manajemen risiko, panduan penerapan,
dan praktik-praktik manajemen risiko, dan ditargetkan selesai pada tahun 2009;
18)2009: ISO menerbitkan ISO 31000:2009 Risk Management – Principles and Guidelines. Penerbitan standar internasional ini segera diikuti dengan diadopsinya
oleh beberapa negara antara lain Australia, New Zealand, dan Jepang pada tahun
2010. Mereka mengadopsi ISO 31000 ke dalam standar manajemen risiko
negaranya.
Felix Kloman tidak memasukkan Committee of Sponsoring Organization of the
Treadway Commission (COSO) Enterprise Risk Management (ERM) – Integrated
Framework (2004) dalam tonggak sejarah perkembangan manajemen risiko tanpa
menjelaskan alasannya. Namun, dari beberapa tulisan pengamat lainnya dapat
disimpulkan bahwa kemungkinan tidak dimasukkannya COSO Enterprise Risk
Management – Integrated Framework, karena beberapa hal sebagai berikut:
1) COSO merupakan suatu unit organisasi privat yang disponsori oleh lima asosiasi
profesi bidang keuangan di Amerika Serikat (American Accounting Association,
American Institute for Certified Public Accountants, Financial Executive
International, Institute of Management Accountants dan Institute of Internal
Auditors . De ga de ikia CO“O le ih erupaka Opinion Leader da uka
suatu asosiasi profesi. Hasil karyanya juga tidak disepakati (endorsed) menjadi
panduan yang mengikat oleh asosiasi yang mensponsorinya. Oleh karena itu
istilah a g digu aka adalah Framework da uka Guideline ataupu
2) Dala posisi de ikia , alaupu pu likasi CO“O diakui se agai valuable tools
and offers detailed guidance on how company may implement enterprise risk
management" (Beasley & Frigo, 2010), tetapi sifatnya tidaklah berbeda dengan
karya-karya ilmiah lain di bidang manajemen risiko. Selain itu COSO ERM
Framework memberikan peluang untuk diinterpretasikan secara luas dan bebas
sesuai dengan kepentingan pengguna. Hal ini tentu berbeda dengan standar, yang
memuat kriteria dan norma aturan yang pasti dan harus diikuti, walaupun
memberikan kebebasan interpretasi, tetapi tetap dalam koridor yang telah
ditetapkan oleh standar tersebut.
3) Sponsor dari COSO adalah asosiasi organisasi profesi akuntan/auditor/keuangan,
sehingga dapat menimbulkan interpretasi terhadap kemungkinan adanya
benturan kepentingan apakah kerangka kerja yang dipublikasikan ini memang
untuk memenuhi kebutuhan publik atau untuk memenuhi kebutuhan para
praktisi dari asosiasi profesi tersebut. (S.J. Root, 1998).
4) Proses penerbitan pada COSO tidaklah serumit dengan proses penerbitan standar
yang harus melalui beberapa proses dengar pendapat dengan para pihak terkait
(public hearing/roundtable discussion) sebelum akhirnya disahkan menjadi
standar (S.J. Root, 1998).
5) COSO bukan suatu otoritas yang mempunyai kewenangan untuk menetapkan
produknya menjadi suatu standar. Dengan demikian COSO Enterprise Risk
Management Integrated Framework (2004) bukanlah suatu standar untuk
manajemen risiko.
b. Keterkaitan Manajemen Risiko dengan Strategi dan Proses Organisasi
Setiap organisasi mempunyai visi dan misi. Visi adalah sasaran dan kondisi tertentu
yang ingin dicapai oleh organisasi dalam waktu yang ditentukan. Misi merupakan
alasan mengapa organisasi didirikan dan pada misi tersebut dapat diidentifikasi
adalah cara untuk mencapai visi organisasi yang lebih baik dari pesaing organisasi
tersebut.
Proses utama organisasi adalah proses yang menghasilkan apa yang dibutuhkan
pelanggan organisasi tersebut. Dalam organisasi bisnis, proses utama ini disebut
de ga cash generating process . U tuk dapat ersai g dala e e uhi
kebutuhan pelanggan, maka setiap organisasi harus mengupayakan proses utama
mereka lebih efektif dan efisien, serta menghasilkan produk dan jasa yang juga lebih
baik dari pesaing. Disinilah perumusan strategi dalam mencapai visi organisasi
berperan.
Dalam perumusan visi dan strategi terdapat konteks eksternal dan internal
organisasi, sedangkan dalam proses utama organisasi hanya terdapat konteks
internal organisasi. Konteks internal adalah lingkungan internal organisasi dimana
organisasi tersebut berusaha untuk mencapai sasarannya. Konteks internal ini terdiri
dari kapabilitas, struktur, proses, budaya, personalia, dan sumber daya organisasi.
Konteks internal ini relatif lebih dapat dikendalikan dibandingkan dengan konteks
eksternal yang lebih banyak dipengaruhi faktor di luar organisasi.
Konteks eksternal organisasi adalah lingkungan eksternal organisasi dimana
organisasi tersebut berupaya untuk mencapai sasaran organisasi, yaitu visinya.
Konteks ini meliputi kondisi makro, antara lain kondisi ekonomi, sosial, politik,
budaya, geografis, dan jenis industri organisasi tersebut. Selain itu, juga terkait
dengan para pemangku kepentingan (stakeholders) dari organisasi tersebut,
pelanggan, pemasok, kreditur, karyawan, regulator, pengamat industri, media massa,
dan lain-lain. Dalam konteks eksternal ini, faktor luar organisasi berperan lebih
dominan.
Risiko adalah sesuatu yang dapat mempengaruhi sasaran organisasi. Salah satu
dari sesuatu yang belum diketahui. Dengan demikian strategi yang baik haruslah juga
memperhatikan risiko-risiko yang mungkin terjadi dalam konteks internal maupun
eksternal organisasi, dan melakukan antisipasi perlakuan risiko bila memang risiko
tersebut menjadi kenyataan. Untuk risiko-risiko eksternal perlu diperhatikan harapan
dari tiap pemangku kepentingan yang bila tidak dipenuhi akan menimbulkan konflik
dan mempengaruhi pencapaian sasaran organisasi. Begitu pula risiko yang mungkin
terjadi akibat perubahan situasi politik, ekonomi, sosial atau lainnya. Semua hal
tersebut harus diperhatikan dalam perumusan strategi.
Proses utama organisasi merupakan kunci realisasi strategi dalam mencapai sasaran
perusahaan. Kegagalan proses utama perusahaan dan proses pendukung lainnya
akan mempengaruhi pencapaian sasaran organisasi. Semua kemungkinan yang dapat
mengganggu proses organisasi haruslah diidentifikasi dan diantisipasi
pencegahannya. Teknik yang paling sering digunakan dalam proses identifikasi risiko
adalah diagram tulang ikan (Ishikawa diagram) yang mengidentifikasi penyebab
kegagalan dengan metoda sebab-akibat. Teknik lainnya adalah FailureMode and
Effect Analysis, yang juga mengidentifikasi kegagalan apa saja yang mungkin terjadi
pada setiap tahapan proses, serta mencoba mencari kemungkinan deteksi dini dari
penyebab kegagalan tersebut sebelum terjadi.
c. Mengapa perlu Pedoman Manajemen Risiko berbasis Governance?
Berdasarkan OECD Principles of Corporate Governance (2004), Pedoman Umum GCG
Indonesia - KNKG (2006), Peraturan Menteri Negara BUMN No. PER-01/MBU/2011
tentang Penerapan GCG pada BUMN, serta Peraturan Bank Indonesia No.
8/14/PBI/2006 tentang Pelaksanaan GCG bagi Bank Umum, corporate governance
mengandung pengertian tentang pencapaian keberhasilan usaha dan cara untuk
memantau kinerja pencapaian sasaran keberhasilan usaha tersebut. Adapun prinsip
adalah transparansi, akuntabilitas, tanggung jawab (responsibilitas) dan
independensi.
Dengan mengacu pada pengertian dan prinsip-prinsip corporate governance di atas
maka jelaslah mengapa manajemen risiko yang berbasis governance menjadi sangat
diperlukan.
Pertama, manajemen risiko adalah bagian yang tidak terpisahkan dari pelaksanaan
corporate governance karena peran manajemen risiko dalam memberikan jaminan
yang wajar atas pencapaian sasaran keberhasilan usaha tidak tergantikan.
Kedua, pelaksanaan manajemen risiko yang baik memerlukan prinsip-prinsip
governance sebagai berikut:
1) Transparansi: pengelolaan risiko haruslah transparan, karena dampak risiko tidak
hanya pada satu unit atau bagian saja, tetapi juga pada bagian lain. Dengan kata
lain pengelolaan risiko haruslah bersifat inklusif dan transparan artinya
melibatkan semua pihak yang terkait dengan risiko tersebut, baik dalam
penanganan sumber risiko, maupun perlakuan terhadap dampak risiko;
2) Akuntabilitas: harus terdapat akuntabilitas yang jelas dalam penerapan
manajemen risiko dalam organisasi. Untuk seluruh perusahaan, akuntabilitas
tertinggi dalam penerapan manajemen risiko terletak pada Direksi dan
akuntabilitas pengawasan penerapan manajemen risiko terletak pada Dewan
Komisaris. Selain itu, akuntabilitas pengelolaan risiko tersebut juga harus jelas di
setiap tingkatannya, bahkan hingga ke tiap proses bisnis;
3) Responsibilitas: penjabaran akuntabilitas penerapan manajemen risiko
memerlukan uraian tanggung jawab yang lebih jelas dalam pengelolaan risiko
pada masing-masing tingkatan, bahkan hingga ke pengelolaan risiko dalam
proses organisasi. Oleh karena itu setiap pemangku risiko (risk owner) harus
dapat memamahi tugas dan tanggung jawabnya terkait dengan pengelolaan risiko
4) Independensi: ini adalah konsekuensi logis dari prinsip akuntabilitas dan
responsibilitas, dimana unit atau individu yang dibebani dengan akuntabilitas dan
responsibilitas untuk mengelola risiko yang masuk dalam lingkup tugas dan
kewenangannya, haruslah diberi kebebasan dalam merumuskan cara menangani
risiko tersebut.
Ketiga, risiko adalah bagian yang tak terpisahkan dari proses organisasi. Oleh karena
itu manajemen risiko tidak dapat dipisahkan dari kegiatan utama ataupun proses lain
dalam organisasi. Manajemen risiko juga menjadi bagian yang tak terpisahkan dari
tanggung jawab manajemen dalam memastikan tercapainya sasaran organisasi.
Berdasarkan hal tersebut, maka manajemen risiko haruslah diintegrasikan
sepenuhnya ke dalam governance organisasi agar dapat memberikan kepastian
terhadap pencapaian sasaran organisasi. Dengan manajemen yang efektif, maka akan
lebih memberikan jaminan terhadap pencapaian sasaran organisasi.
2. Ruang Lingkup, Maksud dan Tujuan a. Ruang lingkup
Pedoman ini akan menguraikan aspek-aspek dan elemen-elemen yang diperlukan
untuk membangun dan menerapkan manajemen risiko pada suatu organisasi. Aspek
dan elemen yang diuraikan pada dasarnya bersifat generik dan dapat digunakan baik
pada organisasi nirlaba, organisasi publik ataupun perusahaan yang berorientasi laba.
Selain itu, pedoman ini juga dapat digunakan pada proyek, proses organisasi atau
keperluan khusus lainnya yang disesuaikan menurut tujuan spesifiknya.
Penerapan manajemen risiko tidak dapat dipisahkan dengan governance dari suatu
organisasi, dan governance suatu organisasi tidak terlepas dari peraturan
perundang-undangan yang berlaku. Untuk organisasi publik, nirlaba baik yang termasuk di
dalamnya yayasan, organisasi kemasyarakatan, dan lain-lain, peraturan
karena itu demi kemudahan penulisan, pedoman ini akan menggunakan latar
belakang Undang-Undang No. 40 tahun 2007 tentang Perseroan Terbatas. Alasannya
sederhana, karena Perseroan Terbatas merupakan peraturan perundangan yang
menjadi dasar organisasi yang bergerak dalam bidang perekonomian dan paling
banyak melibatkan kegiatan ekonomi masyarakat.
Dengan demikian bagi pengguna yang bukan bergerak dalam organisasi Perseroan
Terbatas, haruslah menginterpretasikan ulang posisi-posisi Direksi dan Dewan
Komisaris dengan posisi yang mempunyai tugas dan kewenangan serupa dalam
organisasinya.
b. Maksud dan Tujuan
Penerapan manajemen risiko yang baik antara lain dapat:
1) Mengurangi kejutan yang kurang menyenangkan. Hal ini dapat diperoleh karena
melalui penerapan manajemen risiko yang baik semua hal yang berakibat pada
pencapaian sasaran perusahaan telah diidentifikasikan sebelumnya berikut langkah
perlakuan terhadap hal tersebut telah diantisipasi. Hal ini berlaku untuk peristiwa
yang berdampak positif maupun negatif bagi perusahaan atau organisasi;
2) Meningkatkan hubungan dengan para pemangku kepentingan. Hal ini diperoleh
karena dalam menerapkan manajemen risiko wajib untuk menemukenali para
pemangku kepentingan dan harapannya. Melalui komunikasi timbal balik yang
cukup intens maka dapat digalang kesamaan persepsi dan kepentingan bersama,
dengan demikian dapat diperoleh hubungan yang lebih baik;
3) Meningkatkan reputasi perusahaan. Dengan adanya komunikasi yang baik dengan
para pemangku kepentingan, mereka dapat mengetahui bahwa perusahaan mampu
untuk menangani risiko-risiko yang dihadapi dengan baik. Akibatnya kepercayaan
pelanggan, pemasok, kreditor, komunitas bisnis serta masyarakat juga meningkat;
4) Meningkatkan efektifitas dan efisiensi manajemen. Semua risiko yang dapat
gangguan kelancaran proses organisasi tersebut juga telah diantisipasi sebelumnya.
Karenanya, bila gangguan tersebut memang terjadi, maka organisasi telah siap
untuk menangani dengan baik;
5) Lebih memberikan jaminan yang wajar atas pencapaian sasaran perusahaan karena
terselenggaranya manajemen yang lebih efektif dan efisien, hubungan dengan
pemangku kepentingan yang semakin membaik, kemampuan menangani risiko
perusahaan yang juga meningkat, termasuk risiko kepatuhan dan hukum.
Berdasarkan hal-hal di atas, pedoman ini dapat dikatakan sebagai panduan bagi
pimpinan perusahaan untuk membangun dan menerapkan manajemen risiko sesuai
dengan peraturan yang berlaku. Dengan mempertimbangkan karakteristik perusahaan
yang berbeda antara satu dengan lainnya, maka pimpinan perusahaan harus dapat
menyesuaikan pedoman ini dengan kebutuhan perusahaannya masing-masing.
Secara garis besar, tujuan dari penyusunan pedoman ini adalah sebagai berikut:
1) Sebagai panduan untuk mengembangkan, membangun dan menerapkan
manajemen risiko yang baik;
2) Sebagai sarana untuk melakukan peninjauan ulang terhadap proses penerapan
manajemen risiko yang telah dilakukan sebelumnya;
3) Sebagai sarana untuk memastikan kejelasan governance structure manajemen risiko
dan juga sebaliknya bahwa manajemen risiko sudah terintegrasi sepenuhnya dengan
governance perusahaan.
3. Peraturan dan Pedoman Terkait serta Aspek Penerapan Manajemen Risiko a. Peraturan dan Pedoman Terkait
Peraturan perundang-undangan yang terkait dengan penerapan manajemen risiko
antara lain:
1) Undang-Undang No.40 tahun 2007 tentang Perseroan Terbatas;
2) Undang-Undang No. 8 tahun 1995 tentang Pasar Modal;
3) Peraturan Pemerintah No. 60 tahun 2008 tentang Pengendaliann Intern
4) Undang-Undang No.19 tahun 2003 tentang Badan Usaha Milik Negara;
5) Peraturan Bank Indonesia No. 11/25/PBI/2009 tentang Penerapan Manajemen
Risiko bagi Bank Umum; dan
6) Peraturan Menteri Negara BUMN Nomor PER-01/MBU/2011 tentang Penerapan
Tata Kelola Perusahaan Yang Baik (Good Corporate Governance)pada Badan Usaha
Milik Negara.
Pedoman GCG yang dikeluarkan Komite Nasional Kebijakan Governance (KNKG) yang
juga terkait dengan penerapan manajemen risiko adalah sebagai berikut:
1) Pedoman Umum Good Corporate Governance Indonesia (2006);
2) Pedoman Umum Good Public Governance Indonesia (2008);
3) Pedoman Sistem Pelaporan Pelanggaran – SPP/WBS (2008); dan
4) Pedoman Etika Bisnis Perusahaan (2010)
Selain peraturan perundang-undangan dan pedoman di atas, masih terdapat pedoman
internal perusahaan yang terkait dengan peraturan di bidang industri, keuangan,
ketenagakerjaan, dan lain-lain yang juga perlu diperhatikan dalam penerapan
manajemen risiko perusahaan.
b. Aspek Penerapan Manajemen Risiko
Proses penerapan manajemen risiko yang disarankan dalam Pedoman ini terdiri dari
tiga aspek yaitu:
1) Aspek struktural yaitu aspek yang memastikan arah penerapan, struktur organisasi penerapan dan akuntabilitas pelaksanaan manajemen risiko dalam
organisasi, penyediaan sumber daya, dan sebagainya.;
2) Aspek operasional, yaitu aspek yang menunjukkan tahapan proses implementasi yang sistematis dan terarah, mulai dari pernyataan komitmen Direksi dan Dewan
Komisaris, penyusunan Pedoman Manajemen Risiko Perusahaan, briefing untuk
3) Aspek Perawatan, yaitu aspek yang memastikan adanya upaya menjaga efektifitas penerapan dan perbaikan yang berkesinambungan melalui, monitoring
dan review serta audit manajemen risiko.
4. Istilah dan Definisi
Istilah dan definisi manajemen risiko yang digunakan dalam Pedoman ini mengacu pada
ISO GUIDE 73:2009 Risk management – Vocabulary. Hal ini dimaksudkan untuk
menghindari kerancuan dari berbagai macam istilah dan definisi yang digunakan dalam
berbagai macam standar.
Berikut beberapa istilah dan definisi manajemen risiko yang diadopsi, yakni:
a. Risiko adalah dampak ketidakpastian pada sasaran. ( ISO GUIDE 73:2009 definisi 1.1);
b. Manajemen risiko adalah upaya organisasi yang terkoordinasi untuk mengarahkan dan mengendalikan risiko (ISO GUIDE 73:2009 definisi 2.1);
c. Kerangka kerja manajemen risiko adalah sekumpulan perangkat organisasi yang menyediakan landasan bagi perencanaan, penerapan, monitor dan review serta
perbaikan sinambung manajemen risiko bagi seluruh organisasi (ISO GUIDE 73:2009
definisi 2.1.1);
d. Kebijakan manajemen risiko adalah pernyataan Direksi dan Dewan Komisaris terkait dengan arah dan tujuan penerapan manajemen risiko (ISO GUIDE 73:2009 definisi
2.1.2);
e. Rencana manajemen risiko adalah pola atau skema dalam kerangka manajemen risiko yang menunjukkan pendekatan yang akan diterapkan dalam mengelola risiko
antara lain, pendekatan yang digunakan, komponen-komponen manajemen
termasuk teknik manajemen risiko yang digunakan, sumber daya yang akan dipakai
dalam mengelola risiko (ISO GUIDE 73:2009 definisi 2.1.3);
f. Pemangku Risiko (risk owner): adalah orang atau suatu entitas yang mempunyai akuntabilitas dan kewenangan untuk mengelola suatu risiko (ISO GUIDE 73:2009
g. Proses manajemen risiko: adalah penerapan secara sistematik kebijakan manajemen, prosedur dan praktik manajemen dalam pelaksanaan tugas untuk
melakukan komunikasi dan konsultasi; menetapkan konteks; melakukan identifikasi;
menganalisa; mengevaluasi; memperlakukan, memantau dan mengkaji risiko (ISO
GUIDE 73:2009 definisi 3.1.);
h. Menetapkan konteks: adalah proses untuk menentukan batasan dan parameter eksternal dan internal yang harus dipertimbangkan dalam mengelola risiko dan
menentukan lingkup serta kriteria risiko dalam kebijakan manajemen risiko (ISO
GUIDE 73:2009 definisi 2.4);
i. Komunikasi dan konsultasi: adalah proses yang berulang dan berkelanjutan antara organisasi dan para pemangku kepentingannya (stakeholders) dalam saling
memberikan, berbagi informasi serta melakukan dialog terkait dengan pengelolaan
risiko (ISO GUIDE 73:2009 definisi 3.2.1);
j. Pemangku kepentingan: adalah setiap orang atau organisasi yang dapat mempengaruhi atau dipengaruhi, atau menganggap dirinya dapat dipengaruhi oleh
suatu keputusan atau kegiatan (ISO GUIDE 73:2009 definisi 3.2.1.1);
k. Asesmen risiko: adalah keseluruhan proses yang meliputi identifikasi risiko, analisa risiko dan evaluasi risiko (ISO GUIDE 73:2009 definisi 3.4.1);
l. Sumber risiko: adalah segala sesuatu yang baik sendiri ataupun bersama-sama mempunyai potensi yang melekat (intrinsic) untuk menimbulkan terjadinya risiko
(ISO GUIDE 73:2009 definisi 3.5.1.2);
m. Peristiwa (event): adalah suatu kejadian atau perubahan yang terjadi pada suatu kondisi atau lingkungan tertentu (ISO GUIDE 73:2009 definisi 3.5.1.3);
n. Dampak (consequence): adalah akibat dari suatu peristiwa yang mempengaruhi sasaran (ISO GUIDE 73:2009 definisi 3.6.1.3);
o. Kemungkinan (likelihood): adalah kesempatan/kemungkinan sesuatu terjadi.
(catatan : Perlu dibedakan antara likelihood dengan probability. Terminologi
probabilitas adalah istilah matematika, terutama statistika, sehingga dalam
likelihood atau kemungkinan adalah istilah yang lebih umum dan tidak terkait dengan
kaidah matematika, sehingga dalam menentukan ukurannya dapat lebih bebas, baik
subyektif, kualitatif ataupun kuantitatif, frekuensi atau juga dengan probabilitas,
selama kaidah matematikanya dipenuhi). (ISO GUIDE 73:2009 definisi 3.6.1.1);
p. Profil risiko: adalah gambaran atau uraian dari suatu kelompok risiko.
(catatan : kelompok risiko ini dapat berisikan risiko-risiko yang terkait dengan
seluruh organisasi, hanya sebagian dari organisasi, atau dari suatu proyek/proses).
(ISO GUIDE 73:2009 definisi 3.8.2.5);
q. Kriteria risiko: adalah kerangka acuan untuk mengukur besaran risiko yang akan dievaluasi (ISO GUIDE 73:2009 definisi 3.3.1.3);
r. Perlakuan risiko: adalah proses untuk merubah risiko. (catatan: pada dasarnya upaya perlakuan risiko dilakukan melalui cara mengurangi
kemungkinan terjadinya risiko atau/dan mengurangi dampak risiko, bila risiko
tersebut terjadi). (ISO GUIDE 73:2009 definisi 2.1);
s. Pengendalian: adalah upaya-upaya untuk merubah risiko (ISO GUIDE 73:2009 definisi 3.8.1.1);
t. Risiko tersisa: adalah risiko yang masih tersisa setelah dilakukan perlakuan risiko (ISO GUIDE 73:2009 definisi 3.8.1.6);
u. Pemantauan (monitoring): adalah suatu proses yang dilakukan secara terus menerus untuk memeriksa, mengawasi, melakukan pengamatan secara kritis untuk dapat
mengidentifikasi terjadinya perubahan dari tingkat kinerja atau sasaran yang ingin
dicapai dari pelaksanaan pengelolaan risiko (ISO GUIDE 73:2009 definisi 3.8.2.1);
v. Pengkajian (review): adalah suatu kegiatan yang dilakukan untuk menentukan suatu kesesuaian, kecukupan, dan efektifitas suatu obyek, proses atau cara yang digunakan
dalam mencapai sasaran.
(catatan: review dapat dilakukan terhadap kerangka kerja manajemen risiko, proses
manajemen risiko, perlakuan risiko ataupun pengendalian risiko) (ISO GUIDE 73:2009
w. Selera risiko (risk appetite) adalah jumlah dan jenis risiko yang siap ditangani atau diterima oleh organisasi. (ISO GUIDE 73:2009 definisi 3.7.1.2);
x. Toleransi risiko (risk tolerance) adalah kesiapan organisasi atau pemangku kepentingan (3.2.1.1) untuk menanggung risiko (1.1) setelah perlakuan risiko (3.8.1)
dalam upaya mencapai sasaran. (ISO GUIDE 73:2009 definisi 3.7.1.3).
(catatan: Toleransi risiko dapat dipengaruhi oleh persyaratan hukum dan peraturan
perundangan).
y. Struktur tata kelola risiko (Risk governance structure) struktur organisasi dalam pengelolaan manajemen risiko perusahaan,
BAB II
ASPEK STRUKTURAL
1. Pengantar
Sebagaimana telah diuraikan pada Bab I, Aspek Struktural merupakan aspek yang
memastikan struktur organisasi penerapan, arah penerapan, dan akuntabilitas pelaksanaan
manajemen risiko dalam organisasi, serta penyediaan sumber daya. Ini berarti bahwa aspek
ini akan menjadi fondasi bagi penerapan manajemen risiko pada suatu organisasi. Hal-hal
yang dibahas dalam aspek ini adalah bagaimana tata kelola risiko (risk governance)
termasuk didalamnya kejelasan akuntabilitas para pemangku risiko (risk owner).
Selanjutnya dibahas mengenai pedoman penerapan manajemen risiko yang berupa
prinsip-prinsip yang harus diacu untuk memastikan dan sekaligus memfasilitasi terjadinya budaya
sadar risiko, sehingga meningkatkan daya tahan dan keliatan (resilience) organisasi dalam
menghadapi tantangan perubahan yang mengandung risiko.
Pelaksanaan tata kelola manajemen risiko tidak dapat dilakukan secara terpisah dengan
struktur organisasi entitas. Padahal struktur organisasi suatu entitas sangat tergantung pada
sistem hukum yang dianut dalam negara dimana entitas tersebut berada dan jenis kegiatan
organisasi tersebut. Suatu organisasi swasta tentu akan berbeda dengan suatu organisasi
publik, karena acuan hukum yang dirujuk berbeda. Organisasi yang mengejar laba tentu
berbeda juga dengan organisasi nirlaba, karena peraturan perundangan yang digunakan
sebagai acuan juga berbeda. Pedoman ini, walaupun diupayakan untuk bersifat generik,
akan tetapi tidak mungkin mencakup seluruh jenis organisasi.
Untuk kepentingan praktis mengenai struktur organisasi entitas, pedoman ini akan mengacu
pada Undang-Undang No.40 tahun 2007 tentang Perseroan Terbatas yaitu Undang-Undang
tentang perusahaan swasta pada umumnya, termasuk juga Badan Usaha Milik Negara
(BUMN). Alasannya sederhana, karena jenis entitas inilah yang jumlahnya paling banyak dan
Untuk entitas lain yang mempunyai bentuk bukan Perseroan Terbatas, maka dia harus
mencari padanan organ apa yang setara tugas dan kewajibannya dengan organ Perseroan
Terbatas, yaitu Rapat Umum Pemegang Saham, Direksi dan Dewan Komisaris. Organisasi
lain, terutama organisasi publik, organisasi nirlaba, hendaknya melihat dan mengacu pada
peraturan perundangan yang terkait.
Perbedaan peraturan perundangan yang digunakan akan mempengaruhi bentuk kerangka
kerja penerapan manajemen risiko dan juga akuntabilitas penerapan manajemen risiko bagi
organisasi tersebut.
2. Prinsip, Kerangka Kerja dan Proses Manajemen Risiko
Pada awal penerapan manajemen risiko, fokus lebih tertuju hanya pada bagaimana
menangani risiko tersebut dan secara parsial, bukan bagaimana menangani berbagai
macam risiko yang mungkin dihadapi oleh organisasi. Merubah cara penanganan risiko yang
semula secara parsial (silo) menjadi terintegrasi seluruh organisasi, memerlukan suatu
pendekatan yang berbeda. Perlu dibangun suatu pemahaman yang sama tentang
prinsip-prinsip penanganan risiko, suatu landasan kerangka kerja yang akan menjadi dasar bagi
penanganan setiap risiko, urutan proses penanganan risiko, pemahaman tentang teknik dan
metoda penanganan risiko dan proses pelaporan serta monitoring dan review untuk seluruh
proses penanganan risiko dalam suatu organisasi. Penerapan manajemen risiko untuk
seluruh organisasi ini sering disebut sebagai ERM (Enterprise Risk Management).
a. Prinsip-Prinsip Manajemen Risiko
Merujuk pada standar manajemen risiko terbaru yaitu ISO 31000:2009 – Risk
Management – Principles and Guidelines, manajemen risiko suatu organisasi hanya
dapat efektif bila mampu menganut dan menerapkan prinsip-prinsip sebagai berikut:
1) Manajemen risiko melindungi dan menciptakan nilai tambah
Manajemen risiko memberikan kontribusi melalui peningkatan kemungkinan
pencapaian sasaran perusahaan secara nyata. Selain itu, juga memberikan perbaikan
perundang-undangan, perlindungan lingkungan hidup, persepsi publik, kualitas
produk, reputasi, corporategovernance, efisiensi operasi, dan lain-lain.
2) Manajemen risiko adalah bagian terpadu dari proses organisasi
Manajemen risiko merupakan bagian dari tanggung jawab manajemen dan
merupakan bagian tak terpisahkan dari proses organisasi, proyek, dan manajemen
perubahan. Manajemen risiko bukanlah suatu aktivitas yang berdiri sendiri dan
terpisah dari kegiatan serta proses organisasi dalam mencapai sasaran.
3) Manajemen risiko adalah bagian dari proses pengambilan keputusan
Manajemen risiko membantu para pengambil keputusan untuk mengambil
keputusan atas dasar pilihan-pilihan yang tersedia dengan informasi yang selengkap
mungkin. Manajemen risiko dapat membantu menentukan prioritas tindakan dan
membedakan berbagai alternatif tindakan. Manajemen risiko dapat membantu
menunjukkan semua risiko yang ada, mana risiko yang dapat diterima dan mana
risiko yang memerlukan perlakuan lebih lanjut. Manajemen risiko juga memantau
apakah perlakuan risiko yang telah diambil memadai dan cukup efektif atau tidak.
Informasi ini merupakan bagian dari proses pengambilan keputusan.
4) Manajemen risiko secara khusus menangani aspek ketidakpastian
Manajemen risiko secara khusus menangani aspek ketidakpastian dalam proses
pengambilan keputusan. Ia memperkirakan bagaimana sifat ketidakpastian dan
bagaimanakah hal tersebut harus ditangani.
5) Manajemen risiko bersifat sistematik, terstruktur, dan tepat waktu
Sifat sistematik, terstruktur, dan tepat waktu yang digunakan dalam pendekatan
manajemen risiko inilah yang memberikan kontribusi terhadap efisiensi dan
konsistensi manajemen risiko. Dengan demikian, hasilnya dapat dibandingkan dan
memberikan hasil serta perbaikan.
6) Manajemen risiko berdasarkan pada informasi terbaik yang tersedia
Masukan dan informasi yang digunakan dalam proses manajemen risiko didasarkan
pada sumber informasi yang tersedia, seperti pengalaman, observasi, perkiraan,
semua informasi ini mempunyai keterbatasan yang harus dipertimbangkan dalam
proses pengambilan keputusan, baik dalam membuat model risiko maupun
perbedaan pendapat yang mungkin terjadi di antara para ahli.
7) Manajemen risiko adalah khas untuk penggunanya (tailored)
Manajemen risiko harus diselaraskan dengan konteks internal dan eksternal
organisasi, serta sasaran organisasi dan profil risiko yang dihadapi organisasi
tersebut.Termasuk dalam pengertian ini adalah disesuaikan dengan kebutuhan dari
para pemangku risiko dalam organisasi tersebut.
8) Manajemen risiko mempertimbangkan faktor manusia dan budaya
Penerapan manajemen risiko haruslah menemukenali kapabilitas organisasi, persepsi
dan tujuan masing-masing individu di dalam serta di luar organisasi, khususnya yang
menunjang atau menghambat pencapaian sasaran organisasi.
9) Manajemen risiko harus transparan dan inklusif
Untuk memastikan bahwa manajemen risiko tetap relevan dan terkini, para
pemangku kepentingan dan pengambil keputusan di setiap tingkatan organisasi
harus dilibatkan secara efektif. Keterlibatan ini juga harus memungkinkan para
pemangku kepentingan terwakili dengan baik dan mendapatkan kesempatan untuk
menyampaikan pendapat serta kepentingannya, terutama dalam merumuskan
kriteria risiko.
10)Manajemen risiko bersifat dinamis, berulang, dan tanggap terhadap perubahan
Ketika terjadi peristiwa baru, baik di dalam maupun di luar organisasi, konteks
manajemen risiko dan pemahaman yang ada juga mengalami perubahan. Dalam
situasi semacam inilah tahapan monitoring dan review berperan memberikan
kontribusi. Risiko baru pun muncul, ada yang berubah, ada juga yang menghilang.
Oleh karena itu, menjadi tugas manajemen untuk memastikan bahwa manajemen
11)Manajemen risiko harus memfasilitasi terjadinya perbaikan dan peningkatan organisasi secara berlanjut
Manajemen organisasi harus senantiasa mengembangkan dan menerapkan
perbaikan strategi manajemen risiko serta meningkatkan kematangan dan
kecanggihan pelaksanaan manajemen risiko, sejalan dengan aspek lain dari
organisasi.
b. Kerangka Kerja Manajemen Risiko
Agar dapat berhasil dengan baik, manajemen risiko harus diletakkan dalam suatu
kerangka kerja manajemen risiko. Kerangka kerja ini akan menjadi dasar dan penataan
yang mencakup seluruh kegiatan manajemen risiko di segala tingkatan organisasi.
Kerangka kerja ini akan membantu organisasi mengelola risiko secara efektif melalui
penerapan proses manajemen risiko dalam berbagai tingkatan organisasi dan dalam
konteks spesifik organisasi. Kerangka kerja ini akan memastikan bahwa informasi risiko
yang lengkap dan memadai yang diperoleh dari proses manajemen risiko akan
dilaporkan serta digunakan sebagai landasan untuk pengambilan keputusan. Hal ini
Gambar 1: Kerangka Kerja Manajemen Risiko
(Sumber: ISO 31000:2009 Risk management – Guideline and principle)
Skema pada gambar 1 di atas memperjelas gambaran umum mengenai kerangka kerja
manajemen risiko sebagai induk dari proses manajemen risiko yang lebih bersifat teknis.
Kerangka kerja ini tidak dimaksudkan untuk menggambarkan sebuah sistem manajemen
baru, tetapi lebih ditujukan untuk membantu organisasi dalam mengintegrasikan
manajemen risiko ke dalam sistem manajemen organisasi keseluruhan, khususnya
melalui siklus manajemen sederhana PDCA (Plan-Do-Check-Action). Selain itu, skema di
atas menunjukkan gambaran mengenai bagaimana seharusnya tata kelola risiko (risk
governance) harus dilaksanakan, dimana dalam tata kelola risiko ini, sebagaimana
diutarakan dalam Bab I, terdiri dari aspek struktural, aspek operasional dan aspek
perawatan. Secara lebih rinci, ketiga aspek tersebut memuat unsur-unsur sebagai
berikut:
1) Aspek struktural dari tata kelola manajemen risiko antara lain terdiri dari:
MANDAT & KOMITMEN
Perencanaan Kerangka Kerja Manajemen Risiko
Penerapan Manajemen Risiko
Monitoring & review penerapan Kerangka
Kerja MR Perbaikan sinambung
a) Komitmen;
b) Kebijakan manajemen risiko;
c) Akuntabilitas dan kepemimpinan;
d) Pembentukan unit kerja manajemen risiko;
e) Champion manajemen risiko pada masing-masing unit kerja; serta
f) Penyediaan sumber daya yang diperlukan untuk pelaksanaan manajemen risiko.
2) Aspek operasional dari tata kelola manajemen risiko antara lain terdiri dari:
a) Penyusunan buku Panduan Manajemen Risiko;
b) Peluncuran, sosialisasi, dan pelatihan manajemen risiko;
c) Teknik dan metoda untuk implementasi proses manajemen risiko;
d) Sistem pelaporan internal dan eksternal;
e) Monitoring dan pengukuran kinerja; serta
f) Tata usaha dan administrasi data serta informasi manajemen risiko.
3) Aspek perawatan dari tata kelola manajemen risiko antara lain terdiri dari:
a) Pendidikan dan pelatihan berlanjut;
b) Komunikasi dan publikasi;
c) Review dan audit tata kelola manajemen risiko; serta
d) Benchmarking.
c. Mandat dan Komitmen
Mandat dan komitmen dalam kerangka kerja manajemen risiko mempunyai arti sentral.
Dari mandat dan komitmen itulah segala sesuatu yang terkait dengan manajemen risiko
berasal sesuai dengan peraturan yang menjadi dasar hukum entitas atau organisasi.
Dalam peraturan perundang-undangan terkait, akan terlihat secara jelas siapa yang
memperoleh mandat dan apa jenis mandat yang diterima dan komitmen apakah yang
akan terkait secara langsung dengan penerapan manajemen risiko pada organisasi
Mengingat pedoman ini menggunakan Undang-Undang No. 40 tahun 2007 tentang
Perseroan Terbatas (UUPT) sebagai acuannya, maka akan ditelaah bagaimanakah
Ma dat da Ko it e dalam peraturan perundangan tersebut terkait dengan
penerapan manajemen risiko.
Dalam UUPT yang menjadi alter ego perusahaan adalah Direksi dan Dewan Komisaris,
dan mandat yang mereka terima adalah sebagai berikut:
1) Direksi adalah Organ Perseroan yang berwenang dan bertanggung jawab penuh
atas pengurusan Perseroan untuk kepentingan Perseroan, sesuai dengan maksud
dan tujuan Perseroan serta mewakili Perseroan, baik di dalam maupun di luar
pengadilan sesuai dengan ketentuan anggaran dasar.
2) Dewan Komisaris adalah Organ Perseroan yang bertugas melakukan pengawasan
secara umum dan/atau khusus sesuai dengan anggaran dasar serta memberi
nasehat kepada Direksi.
Dari mandat tersebut di atas terlihat jelas bahwa Direksi mempunyai tugas pengurusan
dan perwakilan untuk kepentingan Perseroan, sesuai dengan maksud dan tujuan
Perseroan. Sebagai konsekuensi logis dari tugas tersebut maka Direksi memikul
tanggung jawab kepada:
1) Perseroan;
2) Pemegang saham; dan
3) Kreditur serta pemangku kepentingan lainnya.
Sedangkan Dewan Komisaris mempunyai tugas pengawasan dan pemberian nasehat
kepada Direksi. Dewan Komisaris harus memerhatikan kepentingan perseroan dan
sesuai dengan maksud serta tujuan perseroan dan Anggaran Dasar perseroan. Tugas dan
tanggung jawab Dewan Komisaris lebih bersifat internal sehingga Dewan Komisaris
bertanggung jawab kepada:
1) Perseroan; dan
Jadi Direksi dan Dewan Komisaris wajib memastikan bahwa maksud, tujuan dan
kepentingan Perseroan harus diupayakan untuk tercapai dan tidak terganggu oleh
berbagai kepentingan. Pernyataan ini sebetulnya tidak lain dan tidak bukan adalah
pe erapa a aje e risiko pada perseroa lihat defi isi risiko da a aje e risiko .
Dengan demikian terkait dengan penerapan manajemen risiko maka Direksi adalah
Penanggungjawab Utama: penerapan manajemen risiko pada Perseroan, sedangkan
Dewan Komisaris adalah Pengawas Tertinggi dalam pelaksanaan pengawasan
(monitoring dan review) pelaksanaan penerapan manajemen risiko pada Perseroan.
Oleh karena itu dalam konteks manajemen risiko, tugas Direksi adalah:
1) Menciptakan situasi yang kondusif untuk melaksanakan manajemen risiko melalui
penetapan prinsip, strategi umum, dan kebijakan penerapan manajemen risiko;
2) Menyusun dan menetapkan risk governance structure yang sesuai dengan organisasi
yang dipimpinnya, serta menetapkan struktur akuntabilitas hingga level yang
terendah;
3) Me etapka ahasa da ter i ologi a aje e risiko aku a g aka digu aka
di dalam organisasi, antara lain dengan menetapkan jenis standar manajemen risiko
yang akan digunakan;
4) Menyediakan sumber daya yang diperlukan dalam arti tenaga ahli, pelatihan, dana,
sarana fisik, peralatan, dan waktu yang diperlukan untuk melaksanakan manajemen
risiko dengan baik;
5) Memastikan keselarasan program manjemen risiko dengan strategi perusahaan,
sekaligus menentukan ukuran kinerja pencapaian sasaran manajemen risiko;
6) Memastikan fungsi manajemen risiko beroperasi secara independen;
7) Mengartikulasikan dan mengkomunikasikan manfaat manajemen risiko dalam
pencapaian sasaran perusahaan;
8) Mengkaji ulang:
kecukupan sistem informasi manajemen, dan
ketepatan kebijakan, prosedur dan penetapan limit risiko
9) Menetapkan model potensi risiko utama dan risiko utama nyata yang dihadapi
perusahaan untuk memfokuskan sasaran penanganan manajemen risiko.
Dewan Komisaris adalah organ perseroan yang bertugas untuk melakukan pengawasan,
oleh karena itu perlu diperhatikan bahwa pengawasan bukan berarti campur tangan,
karena kalau terjadi campur tangan maka akuntabilitas akan menjadi kabur. Karena itu
disarankan pola pengawasan Dewan Komisaris dilaksanakan sebagai berikut:
1) Apa yang dapat membuat perusahaan ini bangkrut atau rugi besar? Pertanyaan ini
membuat kita fokus pada risiko-risiko utama. Risiko utama ini dapat diidentifikasi
antara lain melalui:
a) Siapa saja pemangku kepentingan utama dan apa kebutuhannya;
b) Rencana strategis perusahaan dan pelaksanaannya;
c) Risiko kegiatan utama, baik finansial, operasional, maupun kepatuhan kepada
peraturan perundangan yang dapat membahayakan kelangsungan hidup
perusahaan;
d) Bagaimanakah toleransi risiko ditetapkan dan bagaimanakah toleransi risiko
tersebut bila dibandingkan dengan kapabilitas perusahaan ataupun rencana
strategi perusahaan;
e) Apakah Anda merasa nyaman dengan profil risiko yang dilaporkan?
2) Fokus pada perubahan apakah yang terjadi. Hal ini terkait dengan unsur
ketidakpastian dari risiko. Perubahan apapun yang terjadi harus diperhatikan.
Bagaimana dampaknya terhadap organisasi, perubahan pasar/persaingan,
perubahan peraturan, perubahan kurs mata uang, perubahan politik, dan lain-lain.
3) Uji dan bandingkan dengan apa yang telah terjadi. Kita tidak boleh berpuas diri
dengan apa yang sudah berjalan dengan baik. Ada baiknya kita mempertanyakan
kemampuan manajemen risiko yang ada: Mungkinkah apa yang terjadi di Union
Carbide, Bhopal, India, dapat juga terjadi disini? Mungkinkah kecerobohan sistem
di sini? Mungkinkah kecerobohan manajemen yang dialami Adam Air juga mungkin
terjadi di sini?; dan seterusnya.
4) Menemukenali hubungan antar-risiko. Sebuah risiko besar seringkali tidak terjadi
tiba-tiba, tetapi akibat dari interaksi dari berbagai risiko kecil. Risiko yang dialami
oleh pesawat terbang Adam Air yang terjun ke laut diakibatkan oleh berbagai hal,
mulai dari upaya penghematan, komponen navigasi yang tidak berfungsi dengan
baik, sampai kecerobohan manajemen.
Selain keempat hal di atas, Dewan Komisaris juga perlu mempertanyakan bagaimanakah
proses komunikasi risiko dilaksanakan; bagaimanakah pembinaan budaya sadar risiko
diselenggarakan; bagaimanakah penciptaan situasi yang kondusif untuk penerapan
a aje e risiko di iptaka ; da agai a akah pe e tuka tone at the top
(perilaku keteladanan) terlaksana. Organisasi dengan penerapan manajemen risiko yang
baik akan menunjang pelaksanaan good corporate governance dan akan meningkatkan
nilai perusahaan.
d. Proses Manajemen Risiko
Proses manajemen risiko adalah penerapan secara sistematik kebijakan manajemen,
prosedur dan praktik manajemen dalam pelaksanaan tugas untuk melakukan
komunikasi dan konsultasi, menetapkan konteks, dan asesmen risiko. Proses
manajemen risiko meliputi identifikasi, analisa, dan evaluasi risiko, kemudian perlakuan
risiko, dan diakhiri dengan pemantauan dan pengkajian risiko. Proses manajemen risiko
secara singkat merupakan penerapan kerangka kerja manajemen risiko pada tiap-tiap
jenis risiko yang secara spesifik mempunyai karakter yang berbeda-beda sesuai dengan
konteksnya. Ini sesuai dengan prinsip ke tujuh manajemen risiko yang menyatakan
bahwa manajemen risiko adalah khas bagi penggunanya (tailored). Walaupun
penerapan proses manajemen risiko khas untuk masing-masing risiko, tetapi secara
metodologis, penerapannya sesuai dengan sistem yang digambarkan pada gambar 2 di
Gambar 2: Proses Manajemen Risiko (Sumber: AS/NZS 4360:2004 Risk Management)
Sebagaimana ditegaskan di atas, proses manajemen risiko ini adalah khas dan unik
untuk tiap proses bisnis, bagian dan bahkan untuk tiap risiko. Hal ini disebabkan karena
tidak ada proses, bagian atau risiko yang seratus persen identik. Masing-masing
mempunyai hal yang spesifik, walaupun terdapat beberapa kesamaan.
3. Tata Kelola Risiko
Tata kelola risiko meliputi unsur-unsur kebijakan manajemen risiko, akuntabilitas
pelaksanaan, perencanaan manajemen risiko terpadu, penyediaan sumber daya yang
memadai, dan mekanisme komunikasi serta pelaporan pelaksanaan manajemen risiko, baik
internal maupun eksternal. Satu hal lagi yang biasanya penting dalam tata kelola
a aje e risiko adalah kesa aa ahasa , aitu pe ggu aa istilah-istilah dalam
penerapan manajemen risiko. Hal ini diatasi dengan menggunakan istilah dan definisi yang
ditentukan dalam ISO Guide 173:2009 –Risk Management Vocabulary.
a. Kebijakan Manajemen Risiko
Kebijakan manajemen risiko merupakan pernyataan komitmen secara tertulis oleh
Direksi dan Dewan Komisaris untuk menerapkan manajemen risiko dalam organisasi. Hal
penting terkait Kebijakan ini dinyatakan secara singkat dan jelas yang meliputi antara
lain:
IDENTIFIKASI RISIKO
ANALISA RISIKO
EVALUASI RISIKO
PERLAKUAN RISIKO
MENENTUKAN KONTEKS
1) Alasan mengapa harus menerapkan manajemen risiko;
2) Penjelasan keterkaitan antara pencapaian sasaran organisasi dan kebijakan
manajemen risiko;
3) Kejelasan akuntabilitas pelaksanaan manajemen risiko, termasuk infrastruktur
pelaksanaannya;
4) Penyediaan sumber daya untuk menerapkan manajemen risiko;
5) Penentuan standar atau metode manajemen risiko yang akan digunakan;
6) Komitmen untuk melakukan review dan verifikasi secara berkala terhadap
efektivitas penerapan manajemen risiko.
Penetapan komitmen manajemen ini harus diikuti dengan langkah-langkah nyata untuk
lebih mempertegas bahwa komitmen tersebut tidak hanya di atas kertas. Secara
keseluruhan, langkah nyata tersebut adalah penyusunan tata kelola manajemen risiko
yang akan mengawali proses penerapan manajemen risiko ke seluruh organisasi.
b. Akuntabilitas Penerapan Manajemen Risiko
Akuntabilitas tertinggi untuk penerapan manajemen risiko pada dasarnya berada pada
Direksi, secara lebih khusus pada Direktur Utama atau anggota Direksi lainnya yang
ditunjuk, dengan ketentuan jangan sampai menimbulkan benturan kepentingan dalam
pengambilan keputusan. Secara umum, hal penting yang perlu diperhatikan antara lain:
1) Penunjukan Champion yang bertanggung jawab untuk mendorong pelaksanaan
penerapan manajemen risiko secara meluas ke seluruh organisasi (enterprise
wide risk management). Champion ini dapat berupa penunjukan fungsi
Manajemen Risiko tersendiri dan para individu pada setiap divisi dengan
penugasan khusus untuk menjadi fasilitator penerapan manajemen risiko pada
divisinya;
2) Penetapan secara jelas bahwa akuntabilitas pengelolaan risiko tetap berada pada
para pemangku risiko (risk owner) dan bukan ke para Champion. Untuk itu setiap
kepala divisi merupakan pemangku risiko pada divisi tersebut dan menjadi
secara berjenjang hingga sampai pada penanggungjawab proses. Tugas para
Champion lebih sebagai fasilitator untuk penerapan manajemen risiko;
3) Penyusunan infrastruktur organisasi sebagai unit untuk mendorong penerapan
manajemen risiko ke seluruh organisasi, termasuk di dalamnya akuntabilitas
penerapan tersebut pada setiap tingkatan dalam organisasi;
4) Penyusunan mekanisme organisasi untuk penerapan manajemen risiko, termasuk
penyusunan manual penerapan manajemen risiko, mekanisme pelaporan
pelaksanaan manajemen risiko, pengukuran efektivitas penerapan manajemen
risiko, atau pengukuran kinerja manajemen risiko.
5) Proses untuk menimbulkan budaya sadar risiko ke seluruh organisasi.
c. Infrastruktur Manajemen Risiko
Tidak terdapat model atau panduan baku dalam penyusunan infrastruktur organisasi
dalam pengelolaan manajemen risiko. Hal yang terpenting adalah kejelasan dari
akuntabilitas dan tanggung jawab untuk mendorong pelaksanaan manajemen risiko ini
bertumpu pada suatu fungsi yang ditunjuk secara tegas dan jelas. Setiap organisasi
harus menyusun infrastruktur organisasi manajemen risiko sesuai dengan kebutuhan
dan jenis-jenis risiko yang dihadapi.
Dalam gambar 3 ditampilkan suatu model yang merupakan contoh dan bukan
merupakan model baku. Contoh ini lebih tepat untuk organisasi yang cukup besar,
sedangkan untuk organisasi yang berskala kecil dan menengah, harus menyesuaikan