TIDAK

UNTUK

DISEBARLUASKAN

Tujuan Pelatihan

Memberikan informasi serta pemahaman kepada peserta pelatihan terkait penerapan sistem manajemen risiko yang mengacu pada ISO 31000:2018 : Risk Management – Guidelines.

Pelatihan ini meliputi:

1. Dasar – dasar manajemen risiko

2. ISO 31000:2018 : Risk Management - Guidelines

TIDAK

UNTUK

DISEBARLUASKAN

3

Agenda Pelatihan

1. Dasar – dasar manajemen risiko, meliputi:

a. Apa yang dimaksud dengan risiko?

b. Siapakah pemilik risiko?

c. Bagaimana memahami risiko?

2. Arsitektur ISO 31000:2018, meliputi:

a. Tujuan dan prinsip – prinsip manajemen risiko b. Kerangka kerja manajemen risiko

c. Proses manajemen risiko

TIDAK

UNTUK

DISEBARLUASKAN

Dasar-Dasar

Manajemen Risiko

TIDAK

UNTUK

DISEBARLUASKAN

Peluang dan Ancaman Dalam Konteks Risiko

TIDAK

UNTUK

DISEBARLUASKAN

Peluang, Ancaman dan Keunggulan Bersaing

• Peluang merupakan suatu kondisi lingkungan secara umum, jika dieksploitasi, akan membantu perusahaan mencapai keunggulan strategisnya.

• Ancaman merupakan suatu kondisi lingkungan yang dapat menghalangi usaha perusahaan untuk mencapai keunggulan strategisnya.

Sumber: Hitt, Ireland, Hoskisson (2008)

TIDAK

UNTUK

DISEBARLUASKAN

Risiko berdasarkan ISO 31000:2018

Risiko adalah efek dari ketidakpastian pada sasaran

(ISO 31000:2018)

Efek

Penyimpangan dari apa yang diharapkan.

Efek dapat positif, negatif, atau keduanya, dan dapat berkaitan dengan, menciptakan, atau menghasilkan peluang dan ancaman.

Ketidakpastian

Keadaan, kondisi kurangnya informasi terkait dengan pemahaman atau pengetahuan tentang suatu peristiwa, konsekuensinya atau

kemungkinan sesuatu terjadi.

Sasaran

Sasaran dapat memiliki berbagai aspek dan kategori, serta dapat diterapkan pada berbagai tingkat.

Sasaran yang dimaksud harus memenuhi kriteria SMART.

TIDAK

UNTUK

DISEBARLUASKAN

TIDAK

8

UNTUK

DISEBARLUASKAN

TIDAK

9

UNTUK

DISEBARLUASKAN

Risiko dan Sasaran

Risiko timbul karena adanya sasaran yang jelas yang ingin dicapai oleh individu atau entitas.

Kejelasan sebuah sasaran dapat dicapai apabila sasaran memiliki kriteria:

Specific

Measurable

Attainable

Relevant

Time-bound

Sasaran dinyatakan dengan jelas( )

Pencapaian sasaran dapat melalui ukuran tertentu

Sasaran yang ada bersifat menantang namun tetap dapat organisasi

Sasaran yang ada harus dengan strategi organisasi

Dinyatakan secara jelas sasaran ingin dicapai

TIDAK

UNTUK

DISEBARLUASKAN

Sasaran SMART merupakan acuan dalam mengindentifikasi risiko organisasi.

Pemilik risiko (risk owner) perlu menyusun sasaran SMART dengan mengikuti langkah-langkah sebagai berikut:

1. Menentukan hal spesifik yang ingin dicapai;

2. Menetapkan indikator ukur dan besaran nilai yang ditargetkan dari hal spesifik yang ingin dicapai;

3. Menetapkan pendekatan yang akan dijalankan untuk mencapai target dari hal spesifik yang telah ditetapkan;

4. Menentukan siapa yang akan menjalankan pendekatan yang telah ditetapkan;

5. Menentukan berapa lama waktu yang dialokasikan kepada pelaksana untuk menjalankan pendekatan yang telah ditentukan dalam rangka mencapai target dari hal spesifik yang telah ditetapkan.

Risiko dan Sasaran

TIDAK

UNTUK

DISEBARLUASKAN

Setelah merancang sasaran SMART, pemilik risiko (risk owner) harus melakukan pemetaan tahapan proses kerja yang dijalankan. Pemetaan tersebut disebut dengan pendekatan proses (the process approach).

Langkah-langkah pemetaan proses adalah sebagai berikut:

1. Mencatat setiap pendekatan (metode, program dan aktifitas) yang digunakan untuk mencapai sasaran;

2. Memetakan rangkaian tahapan proses kerja atau proses bisnis untuk setiap pendekatan (metode, program dan aktifitas);

3. Menentukan hasil yang diharapkan (output) setiap langkah dalam rangkaian tahapan proses kerja atau proses bisnis.

Risiko dan Sasaran

TIDAK

UNTUK

DISEBARLUASKAN

Contoh sasaran Specific, Measurable, Attainable, Relevant, Time-Bound (SMART)

Mencapai 30 jam pelatihan dasar Audit bagi auditor baru di satu tahun pertama bekerja

Meningkatkan distribusi penjualan sepatu sneakers ke pasar e-commerce sebesar 8% di kuartal ke-dua tahun 2019

Menindaklanjuti setiap keluhan pelanggan dalam waktu (maksimal) 1x24 jam setelah menerima panggilan

Meningkatkan konektivitas jaringan online ke 20 cabang perusahaan di kuartal ke-empat tahun 2019

TIDAK

UNTUK

DISEBARLUASKAN

14

Simak video

6 Pertanyaan mendasar tentang penerapan

proses manajemen risiko oleh “the Risk Doctor”, Dr David Hillson.

TIDAK

UNTUK

DISEBARLUASKAN

TIDAK

15

UNTUK

DISEBARLUASKAN

Sumber Risiko, Peristiwa, Konsekuensi, dan Kemungkinan-kejadian

Sumber risiko Peristiwa Konsekuensi Kemungkinan-kejadian

• Elemen yang secara mandiri atau dalam kombinasi memiliki

potensi untuk menimbulkan risiko

• Kejadian atau perubahan suatu set dari kondisi.

• Suatu peristiwa dapat memiliki satu atau lebih kejadian, serta dapat memiliki beberapa penyebab dan beberapa konsekuensi.

• Suatu peristiwa dapat berupa sesuatu yang diharapkan tidak terjadi, atau tidak diharapkan terjadi.

• Suatu peristiwa dapat menjadi sumber risiko.

• Hasil keluaran suatu peristiwa yg memengaruhi sasaran.

• Suatu konsekuensi dapat pasti atau tidak pasti, serta dapat memiliki efek positif atau negatif, langsung atau tidak langsung terhadap sasaran.

• Konsekuensi dapat dinyatakan secara kualitatif atau kuantitatif.

• Segala konsekuensi dapat tereskalasi melalui efek beruntun dan kumulatif.

• Kemungkinan sesuatu terjadi.

• Merujuk pada kemungkinan terjadinya sesuatu baik didefinisikan, diukur, atau ditentukan secara objektif maupun subjektif, kualitatif maupun kuantitatif, dan dijelaskan menggunakan istilah umum atau matematis (seperti probabilitas atau frekuensi selama periode waktu tertentu).

TIDAK

UNTUK

DISEBARLUASKAN

Keterkaitan Risiko, Ketidakpastian dan Sasaran

Kondisi saat ini

Ketidakpastian

-

DAMPAK DAMPAK

+

KPI

ƒ(konsekuensi,likelihood) ? Sasaran

masa depan Proses bisnis

Susilo, Leo J. (2015)

TIDAK

UNTUK

DISEBARLUASKAN

Perbedaan Risiko dan Masalah

TIDAK

UNTUK

DISEBARLUASKAN

Perbedaan Ketidakpastian, Risiko, Masalah, Krisis, Keadaan Darurat dan Bencana

19

Terminologi Deskripsi

Ketidakpastian

Situasi masa depan yang tidak diketahui.

Risko

Peristiwa atau kondisi tidak pasti yang, jika terjadi, memiliki efek positif atau negatif pada sasaran.

Masalah

Peristiwa atau kondisi yang telah terjadi dan mempengaruhi atau berdampak pada sasaran.

Tidak ada aspek ketidakpastian atau probabilitas yang terkait dengan masalah.

TIDAK

UNTUK

DISEBARLUASKAN

Perbedaan Ketidakpastian, Risiko, Masalah, Krisis, Keadaan Darurat dan Bencana

20

Terminologi Deskripsi

Krisis

Krisis adalah suatu peristiwa yang diperkirakan akan menimbulkan situasi yang berbahaya, baik itu keadaan darurat maupun bencana.

Ini juga didefinisikan sebagai ‘saat-saat yang sangat sulit, bermasalah, atau berbahaya.‘

Krisis dapat bersifat pribadi, atau terbatas pada populasi kecil, seperti keluarga, atau perusahaan yang menangani masalah yang sangat serius.

TIDAK

UNTUK

DISEBARLUASKAN

Perbedaan Ketidakpastian, Risiko, Masalah, Krisis, Keadaan Darurat dan Bencana

21

Terminologi Deskripsi

Keadaan Darurat

Keadaan Darurat adalah situasi yang membutuhkan perhatian segera, tetapi biasanya dalam skala kecil.

Keadaan darurat dapat berubah menjadi bencana jika dibiarkan.

Namun, tidak semua bencana didahului dengan keadaan darurat.

Bencana

Bencana itu seperti keadaan darurat, hanya saja jauh lebih besar.

Peristiwa besar yang menyebabkan malapetaka bagi perusahaan, kota, atau bahkan wilayah yang luas, dan orang-orangnya.

Biasanya melibatkan beberapa badan/agen berbeda untuk bertindak sebagai responden pertama, dan memerlukan koordinasi upaya, itulah sebabnya Sistem Komando Insiden (Incident Command System) sangat penting.

TIDAK

UNTUK

DISEBARLUASKAN

Selera risiko (risk appetite)

Toleransi risiko (risk tolerance)

TIDAK

UNTUK

DISEBARLUASKAN

Selera Risiko

• Selera risiko membantu proses pengambilan keputusan terhadap risiko strategis ataupun risiko operasional dengan mempertanyakan apakah tindakan yang diambil masih dalam batas selera atau tidak.

• Penentuan selera risiko biasanya dimulai dengan Pernyataan Selera Risiko (risk appetite statement), yaitu pernyataan kualitatif selera risiko atau suatu harapan atau niat terhadap suatu risiko tertentu.

Selera risiko adalah jenis atau jumlah (nilai absolut) dari risiko yang siap diambil organisasi dalam proses pencapaian sasarannya.

TIDAK

UNTUK

DISEBARLUASKAN

Penetapan selera risiko dilaksanakan dalam tiga tahap sebagai berikut:

1. Perancangan selera risiko

• Menyusun Pernyataan Selera Risiko sesuai dengan tujuan organisasi terhadap suatu risiko tertentu;

• Membandingkan selera risiko dengan sasaran strategis yang telah ditentukan;

• Memperbaiki Pernyataan Selera Risiko jika selera risiko dengan sasaran organisasi belum selaras dan memastikan bahwa selera risiko yang disusun dapat memudahkan Direksi memberikan persetujuan, memudahkan pemilik risiko (risk owner) menangani risiko di organisasi, serta mendukung pemilik risiko membuat keputusan terkait risiko.

Selera Risiko

TIDAK

UNTUK

DISEBARLUASKAN

Penetapan selera risiko

^(lanjutan)

2. Penerapan selera risiko

• Memperhatikan kesesuaian selera risiko dengan kriteria risiko yang telah ditetapkan, khususnya besaran batas risiko dan toleransi risiko;

• Menentukan cara penerapan selera risiko yang mudah dimengerti dan dipatuhi;

• Memastikan bahwa rancangan penerapan selera risiko dapat membantu penerapan manajemen risiko secara keseluruhan.

Selera Risiko

TIDAK

UNTUK

DISEBARLUASKAN

Penetapan selera risiko

(lanjutan…)

3. Pemantauan selera risiko

• Memeriksa apakah selera risiko yang ditetapkan masih dapat menampung perubahan lingkungan bisnis yang terjadi;

• Menentukan cara bagaimana tindak lanjut terhadap penyimpangan atau pelanggaran selera risiko;

• Melakukan perbaikan berkelanjutan terhadap selera risiko yang tidak sesuai dengan lingkungan bisnis maupun selera risiko yang tidak dipatuhi;

• Menjadikan selera risiko sebagai bagian dari pelaporan berkala manajemen risiko;

• Memantau selera risiko secara berkala, hal ini dapat dilakukan oleh Departemen Internal Audit.

Selera Risiko

TIDAK

UNTUK

DISEBARLUASKAN

Toleransi Risiko dan Batas Risiko

Toleransi risiko (risk tolerance) adalah kesiapan organisasi atau pemangku kepentingan untuk menanggung suatu risiko tertentu setelah perlakuan risiko dalam rangka mencapai sasarannya.

Toleransi risiko memberikan batas bawah dan batas atas potensi dampak risiko (berlaku untuk setiap risiko). Sedangkan batas risiko (risk limits) memberikan nilai maksimum atau minimum dari suatu potensi dampak yang tidak boleh dilewati. Batas risiko berlaku untuk setiap risiko.

TIDAK

UNTUK

DISEBARLUASKAN

Hubungan Kapasitas Risiko, Selera Risiko, dan Batas Risiko

TIDAK

UNTUK

DISEBARLUASKAN

END OF SESSION 1

TIDAK

29

UNTUK

DISEBARLUASKAN

Sikap Dasar Risiko (risk attitude) Perilaku Risiko (risk behaviour) Budaya Risiko (risk culture)

TIDAK

UNTUK

DISEBARLUASKAN

Sikap Dasar Risiko, Perilaku Risiko dan Budaya Risiko

Budaya dapat dibangun dengan menggunakan model A B C yang merupakan model yang umum diterapkan dalam organisasi.

TIDAK

UNTUK

DISEBARLUASKAN

Model ABC menggambarkan bahwa budaya risiko organisasi tercipta karena perilaku (behaviour) suatu kelompok yang dilakukan secara berulang, dimana perilaku yang berulang tersebut dibentuk oleh sikap dasar (attitude) sebagai konstituennya.

Di lain pihak perilaku dan sikap dasar juga dapat dipengaruhi oleh budaya (culture) kelompok yang telah terbentuk, sehingga terjadi siklus yang saling mempengaruhi diantara ketiganya – sikap dasar, perilaku dan budaya.

Sikap Dasar Risiko, Perilaku Risiko dan Budaya Risiko

TIDAK

UNTUK

DISEBARLUASKAN

Kaitannya dengan risiko, berikut ini adalah uraian dari ketiga hal tersebut:

1. Sikap dasar risiko (risk attitude) adalah sikap yang dipilih oleh seseorang atau kelompok terhadap risiko sebagai akibat dari persepsinya terhadap risiko atau sikap awal yang dimilikinya.

2. Perilaku risiko (risk behaviour) adalah perilaku yang tampak terkait risiko seperti pengambilan keputusan berbasis risiko, komunikasi tentang risiko, melaksanakan proses manajemen risiko, dan lainnya.

3. Budaya risiko (risk culture) adalah nilai – nilai, kepercayaan, pengetahuan dan pemahaman tentang risiko yang dianut oleh sekelompok orang yang mempunyai tujuan yang sama, terutama pemimpin dan seluruh anggota dalam sebuah organisasi atau perusahaan.

Sikap Dasar Risiko, Perilaku Risiko dan Budaya Risiko

TIDAK

UNTUK

DISEBARLUASKAN

Cara Mendeskripsikan Risiko

TIDAK

UNTUK

DISEBARLUASKAN

Uraian dan Penamaan Risiko

Dibawah ini merupakan hal-hal terkait uraian dan penamaan risiko:

• Risiko umumnya dinyatakan dengan mengacu kepada:

sumber risiko, potensi peristiwa, konsekuensi dan kemungkinan-kejadian.

• Tidak terdapat aturan baku mengenai cara memberi nama risiko.

• Risiko perlu diuraikan secara jelas sehingga setiap yang berkepentingan terhadap risiko memperoleh pemahaman yang sama mengenai sebab risiko dan dampak yang terjadi yang diakibatkannya, dan dapat memahami cara penanganan yang benar dan akurat.

• Cara menguraikan risiko:

“Karena terjadi sesuatu (sebab), maka telah terjadi peristiwa (risiko), sehingga mengakibatkan (efek pada sasaran)”.

TIDAK

UNTUK

DISEBARLUASKAN

Uraian dan Penamaan Risiko - Contoh

Uraian risiko Penamaan risiko Dasar penamaan risiko Hati-hati menyeberang di jalan raya,

besar risikonya tertabrak mobil

Tertabrak mobil Peristiwa

Tinju adalah olah raga dengan risiko gegar otak

Gegar otak Konsekuensi

Pelayanan purna jual yang buruk akan berisiko pada menurunnya reputasi perusahaan

Menurunnya reputasi Konsekuensi

Risiko merokok bagi ibu-ibu yang sedang hamil adalah kerentanan terhadap kanker bagi bayi yang dikandungnya

Merokok Sumber risiko

TIDAK

UNTUK

DISEBARLUASKAN

Hubungan Sasaran dengan Uraian Risiko - Contoh

Sasaran Tim Argentina: Messi berhasil memperoleh gol pada saat tendangan penalti

Kemungkinan-kejadian Peristiwa Konsekuensi

Apakah posisi tendangan bola penalti Messi sudah tepat mengarah ke gawang lawan?

Bola yang ditendang Messi ditepis oleh Kiper Tim lawan

Bola yang ditendang Messi melenceng ke sisi atas gawang

https://www.youtube.com/watch?v=D-PgR_gq49g

TIDAK

UNTUK

DISEBARLUASKAN

Latihan – Kasus Uraian Risiko

Pak Ali adalah seorang pakar manajemen risiko. Pada hari Senin, Ia harus memberikan presentasi terkait ISO 31000:2018 dihadapan para anggota Direksi PT Sukses Selalu.

Pada hari Minggu, Ia mengikuti turnamen golf yang diselenggarakan oleh Asosiasi Profesi Manajemen Risiko di Gunung Putri Bogor. Ketika Ia bermain golf di hole 10, cuaca berubah dan hujan turun deras. Ia tetap melanjutkan permainannya dan Ia basah kuyup di hole 18. Siang itu, Ia langsung pulang ke rumah. Tak disangka, pada malam harinya Ia demam dan sakit flu berat, sehingga pada hari Senin tidak dapat memberikan presentasi di hadapan para Direksi.

Jelaskan kasus diatas dengan menggunakan teknik uraian risiko!

TIDAK

UNTUK

DISEBARLUASKAN

Siapakah Pemilik Risiko?

TIDAK

UNTUK

DISEBARLUASKAN

Risk Management is Everybody’s Business Everybody is RISK MANAGER

TIDAK

UNTUK

DISEBARLUASKAN

Pemilik Risiko

• Pemilik risiko dapat diartikan juga sebagai pemilik sasaran, dan pada dasarnya berlaku untuk semua tingkatan organisasi (struktural) dan terdapat di seluruh proses bisnis organisasi, karena SETIAP ORANG DALAM ORGANISASI MEMPUNYAI SASARAN KERJA.

• Hal tersebut mengindikasikan bahwa semua orang dalam organisasi HARUS MENANGANI RISIKO agar sasaran kerjanya tercapai. Dengan demikian, manajemen risiko menjadi tanggung jawab semua orang.

Pemilik risiko adalah individu atau entitas yang memiliki akuntabilitas dan kewenangan untuk mengelola risiko

(ISO 31000:2018)

TIDAK

UNTUK

DISEBARLUASKAN

Pemilik risiko berdasarkan hierarki sasaran

Sasaran Pemilik Risiko

Tingkat organisasi Tingkat Korporat

Tingkat Divisi

Tingkat Departemen

Tingkat seksi

RISIKO Direksi dan Dewan

Komisaris

Kepala Divisi / GM Sasaran Perusahaan

Sasaran Divisi

Sasaran Departemen

Sasaran Seksi

Kepala Departemen

Kepala Seksi

AkuntabilitasTanggung Jawab

TIDAK

UNTUK

DISEBARLUASKAN

Kategori Risiko

TIDAK

UNTUK

DISEBARLUASKAN

Pengertian Kategori Risiko

• Jumlah serta jenis risiko yang begitu banyak dihadapi organisasi menyebabkan perlu adanya pengelompokan risiko / pengkategorian risiko yang mengacu kepada sasaran yang terpengaruh oleh sekelompok risiko yang melekat pada proses untuk mencapai sasaran tersebut.

• Kategori risiko merupakan komponen yang membentuk Risk Breakdown Structure (RBS), yang dibuat untuk memudahkan identifikasi dan analisis risiko serta untuk review dan monitoringnya.

• Kategori risiko menjadi bagian dari kesatuan Bahasa dalam menentukan risiko di perusahaan atau kelompok industri. Contohnya di industri perbankan, kategori risiko ditetapkan oleh Bank Indonesia terdiri dari: risiko kredit, risiko pasar, risiko hukum, risiko likuiditas, risiko operasi, risiko reputasi, risiko kepatuhan dan risiko strategis.

TIDAK

UNTUK

DISEBARLUASKAN

Cara Menyusun Kategori Risiko

1. Pahami peran dan fungsi perusahaan Anda di dalam industrinya. Contohnya bank memiliki peran sebagai Lembaga intermediasi dalam industri keuangan.

2. Identifikasi aktivitas atau kegiatan perusahaan Anda. Contohnya bank sebagai Lembaga intermediasi berperan untuk menyalurkan kredit kepada nasabah (lending) dan menerima simpanan dari nasabah (funding).

3. Pahami dan identifikasi risiko inheren* pada kegiatan utama perusahaan Anda.

Contohnya bank sebagai penyalur kredit memiliki risiko inheren yaitu risiko kredit dan risiko likuiditas.

(*) risiko inheren adalah risiko yang melekat pada setiap kegiatan sebelum tindakan pencegahan dilakukan.

TIDAK

UNTUK

DISEBARLUASKAN

Cara Menyusun Kategori Risiko

(Lanjutan….)

4. Setelah risiko inheren teridentifikasi, identifikasi risiko – risiko terkait lainnya. Contohnya di bank, risiko yang terkait risiko kredit adalah risiko pasar (segmen pasar kredit, suku bunga dan nilai tukar), risiko hukum (aspek hukum perjanjian kredit), risiko operasional (analisis kelayakan kredit). Sedangkan risiko yang terkait risiko likuiditas adalah risiko reputasi dan risiko strategis (pengembangan produk baru yang menarik bagi nasabah).

5. Buat definisi baku untuk masing-masing kategori risiko yang telah ditetapkan. Definisi ini harus ditetapkan oleh direksi dan disebarluaskan ke seluruh jajaran di perusahaan.

TIDAK

UNTUK

DISEBARLUASKAN

Pengelompokan Risiko - Contoh

Kategori risiko Faktor – faktor risiko

Risiko strategis • Pergerakan dan strategi bersaing

• Perubahan regulasi

• Perubahan politik

• Teknologi baru

Risiko operasional • Gangguan mesin produksi

• Kesalahan administratif

• Gangguan proses kerja

• Tuntutan hukum

Risiko Ekonomi • Fluktuasi harga komoditas

• Suku bunga

• Nilai tukar

• Perubahan permintaan / pasokan

• Bencana alam

• Terorisme

• Bencana karena ulah manusia (polusi, kebakaran dll)

• Kecelakaan kerja Risiko bencana

SRM ERM RM

Sumber: Andersen, Schroder (2014)

TIDAK

UNTUK

DISEBARLUASKAN

Nokia Case

TIDAK

UNTUK

DISEBARLUASKAN

TIDAK

UNTUK

DISEBARLUASKAN

TIDAK

UNTUK

DISEBARLUASKAN

TIDAK

UNTUK

DISEBARLUASKAN

TIDAK

UNTUK

DISEBARLUASKAN

Arsitektur ISO 31000:2018

Risk Management – Guideline

TIDAK

UNTUK

DISEBARLUASKAN

Manajemen Risiko

Aktivitas terkoordinasi untuk mengarahkan dan mengendalikan organisasi dalam kaitannya dengan risiko (ISO 31000:2018)

TIDAK

UNTUK

DISEBARLUASKAN

Tujuan Manajemen Risiko

Manajemen risiko dibangun untuk tujuan menciptakan dan melindungi nilai sehingga dapat meningkatkan kinerja, mendorong inovasi, dan mendukung pencapaian sasaran.

TIDAK

UNTUK

DISEBARLUASKAN

Arsitektur Manajemen Risiko

Arsitektur Manajemen Risiko berbasis ISO 31000:2018, terdiri dari tiga bagian, yaitu:

1. Prinsip (principles)

2. Kerangka kerja (framework) 3. Proses (process)

TIDAK

UNTUK

DISEBARLUASKAN

TIDAK

UNTUK

DISEBARLUASKAN

Prinsip Manajemen Risiko

Prinsip-prinsip manajemen risiko merupakan landasan untuk mengelola risiko dan harus dipertimbangkan ketika akan menetapkan kerangka kerja dan proses manajemen risiko.

TIDAK

UNTUK

DISEBARLUASKAN

TIDAK

UNTUK

DISEBARLUASKAN

Kerangka Kerja

Manajemen Risiko

Tujuan kerangka manajemen risiko adalah untuk membantu organisasi dalam mengintegrasikan manajemen risiko ke dalam aktivitas dan fungsi signifikan.

TIDAK

UNTUK

DISEBARLUASKAN

TIDAK

UNTUK

DISEBARLUASKAN

Proses Manajemen Risiko

Proses manajemen risiko merupakan bagian integral manajemen dan pengambilan keputusan, serta diintegrasikan ke dalam struktur, operasi, dan proses organisasi.

Proses manajemen risiko melibatkan penerapan sistematis dari kebijakan, prosedur, dan praktik pada aktivitas komunikasi dan konsultasi, penetapan konteks, serta penilaian, perlakuan, pemantauan, peninjauan, pencatatan, dan pelaporan risiko.

TIDAK

UNTUK

DISEBARLUASKAN

END OF SESSION 2

TIDAK

63

UNTUK

DISEBARLUASKAN

Prinsip – Prinsip Manajemen Risiko Berdasarkan ISO 31000: 2018

TIDAK

64

UNTUK

DISEBARLUASKAN

Arsitektur Manajemen Risiko

Arsitektur Manajemen Risiko berbasis ISO 31000:2018, terdiri dari tiga bagian, yaitu:

1. Prinsip (principles)

2. Kerangka kerja (framework) 3. Proses (process)

TIDAK

UNTUK

DISEBARLUASKAN

TIDAK

UNTUK

DISEBARLUASKAN

Tujuan Manajemen Risiko

Manajemen risiko dibangun untuk tujuan menciptakan dan melindungi nilai sehingga dapat meningkatkan kinerja, mendorong inovasi, dan mendukung pencapaian sasaran.

TIDAK

UNTUK

DISEBARLUASKAN

Prinsip Manajemen Risiko

Prinsip-prinsip manajemen risiko merupakan landasan untuk mengelola risiko dan harus dipertimbangkan ketika akan menetapkan kerangka kerja dan proses manajemen risiko.

TIDAK

UNTUK

DISEBARLUASKAN

Terintegrasi (integrated)

Manajemen risiko adalah bagian integral dari semua aktivitas organisasi.

Manajemen risiko harus menyatu dengan proses bisnis terkait dan harus didukung dengan tanggung jawab pemilik risiko yang jelas. Hal tersebut menjadi penting agar manajemen risiko dapat membantu dalam penyusunan prioritas tindakan atau proses bisnis terkait, membantu dalam menentukan pemilihan alternatif tindakan yang mungkin dilakukan, serta membantu proses pengambilan keputusan.

TIDAK

UNTUK

DISEBARLUASKAN

Contoh Prinsip Terintegrasi

Sumber : https://corporate.walmart.com/sourcing/managingrisk

Sebagai salah satu perusahaan ritel terbesar di dunia, Walmart sangat menekankan prinsip integrasi terhadap dua hal utama, yaitu dalam hal pemetaan risiko dan pengelolaan basis penyimpanan data (database).

• Database Terintegrasi : dengan menerapkan sistem ‘integrated database’, dimana sistem penyimpanan data dari masing- masing divisi perusahaan akan saling terhubung. Sehingga memudahkan sistem pencarian data yang digunakan untuk dasar pengambilan keputusan dalam perusahaan.

TIDAK

UNTUK

DISEBARLUASKAN

Contoh Prinsip Terintegrasi di Walmat

Sumber: https://corporate.walmart.com/sourcing/managingrisk

• Pemetaan Risiko : dilakukan dengan sistem

‘Integrated’, dimana pengelolaan setiap risiko dari masing-masing sektor (wilayah industri, industri, pemasok) saling terintegrasi satu sama lain

TIDAK

UNTUK

DISEBARLUASKAN

Terstruktur dan Komprehensif (structured and comprehensive)

Pendekatan terstruktur dan komprehensif terhadap manajemen risiko berkontribusi terhadap hasil yang konsisten dan terstruktur.

Manajemen risiko harus dapat memberikan pendekatan sistem kajian risiko yang efisien dan konsisten, memberikan hasil yang dapat dibandingkan, dan menghasilkan pemahaman yang sama untuk seluruh organisasi

TIDAK

UNTUK

DISEBARLUASKAN

Contoh Prinsip Terstruktur dan Komprehensif

Sumber: https://www.thepacker.com/article/walmart-reports-highest-annual-growth-rate-decade

Salah satu strategi penjualan yang dijalankan oleh Walmart adalah terkait dengan pendekatan terhadap konsumen (orientasi konsumen). Konsep Walmart adalah berfokus pada barang produksi massa yang dijual melalui platform digital.

Risiko yang diambil oleh Walmart adalah alokasi biaya investasi pada platform digital yang semakin meningkat.

Melalui pendekatan ini, Walmart berhasil meningkatkan penjualan E-Commerce sebesar 40 % dari periode sebelumnya.

TIDAK

UNTUK

DISEBARLUASKAN

Disesuaikan (customized)

Kerangka kerja dan proses manajemen risiko disesuaikan dan proporsional dengan konteks eksternal dan internal organisasi yang berkaitan dengan sasarannya.

Manajemen risiko juga harus sesuai dengan budaya organisasi, sesuai dengan tuntutan hukum organisasi, dan sesuai dengan kebutuhan sumber daya untuk pengelolaan risiko.

TIDAK

UNTUK

DISEBARLUASKAN

Contoh Prinsip Disesuaikan

Sumber: www.emeraldinsight.com

Dalam mencapai sasaran yang dituju, Walmart mempunyai sebuah konsep fleksibilitas yang disebut dengan ‘Driven Networks’. Konsep ini menghasilkan pemahaman terkait dengan kebutuhan dan kecenderungan konsumen dalam berbelanja. Pemahaman tersebut menjadi dasar acuan dalam merespon keinginan konsumen dan menentukan strategi untuk mencapai sasaran laba perusahaan.

TIDAK

UNTUK

DISEBARLUASKAN

Inklusif (inclusive)

Pelibatan yang sesuai dan tepat waktu dari pemangku kepentingan memungkinkan pengetahuan, pandangan, dan persepsi mereka untuk dipertimbangkan. Ini menghasilkan peningkatan kesadaran dan manajemen risiko terinformasi.

Manajemen risiko harus dapat:

• Mendorong keterlibatan para pemangku kepentingan dalam proses kajian dan penanganan risiko;

• Mendorong kesamaan sudut pandang risiko di antara unit kerja dalam satu organisasi dan dengan pemangku kepentingan;

• Memastikan bahwa strategi manajemen risiko tetap relevan dengan risiko – risiko organisasi dan selalu dalam kondisi terkini;

• Mempersiapkan penanganan risiko secara komprehensif.

TIDAK

UNTUK

DISEBARLUASKAN

Contoh Prinsip Inklusif

Sharing Session dalam RUPS Perusahaan Walmart Inc. memberi peluang bagi setiap pemangku kepentingan dan pemangku modal untuk menyampaikan pendapat terkait peluang dan tantangan dalam melakukan ekspansi.

Sumber: www.emeraldinsight.com

TIDAK

UNTUK

DISEBARLUASKAN

Dinamis (dynamic)

Risiko dapat muncul, berubah, atau hilang seiring perubahan konteks eksternal dan internal organisasi.

Manajemen risiko mengantisipasi, mendeteksi, mengakui, dan menanggapi perubahan dan peristiwa tersebut secara sesuai dan tepat waktu.

Manajemen risiko selalu siaga dalam merespon perubahan yang terjadi, baik pada konteks internal maupun eksternal. Serta mampu mendeteksi dan mengantisipasi risiko yang mungkin timbul atau terjadi karena adanya perubahan.

Prinsip dinamis ini memastikan bahwa manajemen risiko siap menghadapi dan mengadaptasi perubahan yang terjadi dan tetap efektif.

TIDAK

UNTUK

DISEBARLUASKAN

Contoh Prinsip Dinamis

Sumber: www.emeraldinsight.com

Implementasi prinsip dinamis dalam perusahaan Walmart adalah terkait dengan strategi pemasaran produk.

Walmart membagi strategi pemasaran produk menjadi dua hal, yaitu strategi utama dan strategi kedepan. Tujuan pembagian strategi tersebut adalah untuk merespon fluktuasi pasar dan meminimalisir jumlah kerugian produk yang mungkin terjadi.

TIDAK

UNTUK

DISEBARLUASKAN

Informasi Terbaik yang Tersedia (best available information)

Masukan manajemen risiko didasarkan atas informasi historis dan saat ini, dan juga harapan masa depan.

Manajemen risiko secara eksplisit memperhitungkan segala batasan dan ketidakpastian yang berkaitan dengan informasi dan harapan tersebut. Informasi sebaiknya tepat waktu, jelas, dan tersedia bagi pemangku kepentingan yang relevan.

TIDAK

UNTUK

DISEBARLUASKAN

Contoh Prinsip Informasi Terbaik yang Tersedia

Sumber: https://corporate.walmart.com/2018grr/reducing-waste

Laporan Perusahaan Untuk Stakeholders Walmart

• Menurut Laporan Bank Dunia, dunia menghasilkan rata-rata 3,5 juta ton limbah padat per hari. Limbah harian diperkirakan meningkat menjadi 6 juta ton per hari pada tahun 2025.

• Pada tahun 2005, Walmart mulai melihat interaksi limbah dan dengan serius mengurangi segala jenis limbah. Saat ini, Walmart memiliki pemahaman yang lebih mendalam tentang tantangan dan melibatkan pemasok dan pelanggan dalam mengejar ekonomi sirkular, di mana produk dibuat, dikonsumsi, dan didaur ulang dalam satu lingkaran berkelanjutan.

• Pada akhir 2017, Walmart mengalihkan 81% tempat pembuangan akhir dari produk, kemasan, dan bahan limbah lainnya yang tidak terjual di AS dan 78% secara global . Total limbah tahunan yang dihasilkan dari operasi di AS pada tahun 2017 telah menurun sebesar 1% dibandingkan dengan jumlah di tahun 2016.

TIDAK

UNTUK

DISEBARLUASKAN

Faktor Manusia dan Budaya (human and cultural factors)

Perilaku dan budaya manusia secara signifikan memengaruhi semua aspek manajemen risiko pada semua tingkat dan tahap.

Penerapan manajemen risiko perlu diselaraskan dengan kemampuan sumber daya manusia organisasi, kepentingan para pemangku kepentingan, dan sasaran organisasi. Keselarasan tersebut perlu dijaga agar manajemen risiko selalu memiliki kemampuan yang memadai untuk menampung interaksi antara budaya, perilaku dan fungsi pengelolaan risiko organisasi secara keseluruhan.

TIDAK

UNTUK

DISEBARLUASKAN

Contoh Prinsip Faktor Manusia dan Budaya

Sam Walton (Founder & CEO Walmart) menerapkan strategi ‘Cultures and Ethics’ yang harus dipatuhi setiap pegawai perusahaan Walmart. Strategi tersebut menuntut setiap pegawai untuk saling menghormati dan menghargai satu sama lain dalam menjalin komunikasi di perusahaan.

Sumber : https://www.scribd.com/document/379889619/Budaya-\Dan-Etika-Bisnis-Walmart

TIDAK

UNTUK

DISEBARLUASKAN

Perbaikan Berkelanjutan (continual improvement)

Manajemen risiko diperbaiki secara berkelanjutan melalui pelajaran dan pengalaman.

Manajemen risiko harus menjadi bagian dari sistem perbaikan berkelanjutan organisasi guna meningkatkan tingkat kematangan penerapan manajemen risiko.

TIDAK

UNTUK

DISEBARLUASKAN

Contoh Prinsip Perbaikan Berkelanjutan

Agenda RUPS Tahunan (2019) yang diadakan oleh Perusahaan Walmart berfokus pada penentuan keputusan terkait dengan proposal perbaikan sistem ‘formal proxy’ untuk meningkatkan kinerja perusahaan.

Sumber : https://news.walmart.com/2019/03/28/walmart-announces-2019-annual-shareholders- meeting-activities

TIDAK

UNTUK

DISEBARLUASKAN

VIDEO: V U C A

TIDAK

UNTUK

DISEBARLUASKAN

END OF SESSION 3

TIDAK

87

UNTUK

DISEBARLUASKAN

88

Kerangka Kerja Manajemen Risiko Berdasarkan ISO 31000: 2018

TIDAK

UNTUK

DISEBARLUASKAN

TIDAK

UNTUK

DISEBARLUASKAN

Kerangka Kerja

Manajemen Risiko

Tujuan kerangka manajemen risiko adalah untuk membantu organisasi dalam mengintegrasikan manajemen risiko ke dalam aktivitas dan fungsi signifikan.

TIDAK

UNTUK

DISEBARLUASKAN

Kepemimpinan dan Komitmen (leadership and commitment)

Manajemen puncak dan badan pengawas, jika memungkinkan, sebaiknya memastikan manajemen risiko terintegrasi pada semua ativitas organisasi dan sebaiknya menunjukan kepemimpinan dan komitmen dengan:

• Menyesuaikan dan mengimplementasikan semua komponen kerangka kerja;

• Menerbitkan pernyataan atau kebijakan yang menetapkan pendekatan, rencana, atau arah tindakan manajemen risiko;

• Memastikan sumber daya yang diperlukan dialokasikan untuk pengelolaan risiko

• Menetapkan kewenangan, tanggung jawab, dan akuntabilitas pada tingkat yang diperlukan di dalam organisasi

TIDAK

UNTUK

DISEBARLUASKAN

Kepemimpinan dan Komitmen (leadership and commitment)

Kepemimpinan risiko(risk leadership)dan pemimpin risiko(risk leader)

• Kepemimpinan risiko memerlukan volatilitas dalam mengantisipasi perkembangan risiko dan perubahan yang dihadapi dunia usaha semakin tinggi, semakin cepat, dan semakin kompleks.

Kepemimpinan risiko menuntut pemberdayaan yang lebih besar dari kepemimpinan tradisional, disini manajer tingkat menengah dan tingkat pertama harus dapt mengambil keputusan segera bila menghadapi risiko. (Brungardt dan Curtis, 2005)

• Pemimpin risiko adalah individu dengan tanggung jawab yang luas untuk mengelola seluruh risiko organisasi. (Young, 2014)

Pemimpin risiko disebut Chief Risk Officer (CRO), dan biasanya dipegang oleh fungsi direktur utama atau direktur. CRO bertugas untuk menerapkan kepemimpinan risiko Bersama – sama dengan anggota direksi lainnya dan anggota dewan komisaris.

TIDAK

UNTUK

DISEBARLUASKAN

Kepemimpinan dan Komitmen (leadership and commitment)

Peran dan tanggung jawab pemimpin risiko

(CIMA, 2015)

:

• Membangun kerja sama yang baik dengan seluruh anggota direksi dan dewan komisaris, khususnya dalam memandu menangani penerapan manajemen risiko di seluruh organisasi. (strategic partnership)

• Menerapkan visi dan strategi serta membangun kerangka kerja penerapan manajemen risiko untuk seluruh organisasi, mempersiapkan organisasi terhadap tantangan – tantangan risiko di masa depan. (executive leadership)

• Melakukan pengukuran kondisi budaya sadar saat ini, dan menyusun strategi serta program untuk membangun budaya sadar risiko yang sesuai dan bermanfaat bagi keseluruhan organisasi.

(culture)

• Membangun kapasitas organisasi dengan membentuk fungsi risiko yang mampu menjadi mitra bisnis, sehingga mampu membantu menangani risiko unit bisnis yang menjadi mitranya. (organizational capability)

TIDAK

UNTUK

DISEBARLUASKAN

Peran Direktur Sebagai Pemimpin Risiko

• Menerapkan semua komponen dari kerangka kerja manajemen risiko;

• Menetapkan kebijakan manajemen risiko (risk policy) dan arah penerapan manajemen risiko;

• Mengalokasikan sumber daya untuk mengelola risiko;

• Menetapkan peran, kewenangan, tanggung jawab, dan akuntabilitas pengelolaan risiko;

• Membentuk unit manajemen risiko.

TIDAK

UNTUK

DISEBARLUASKAN

Peran Dewan Komisaris sebagai Pemimpin Risiko

• Memastikan telah ada kajian risiko ketika menentukan sasaran organisasi;

• Memastikan memiliki pemahaman mengenai risiko utama yang dihadapi organisasi dalam upaya mencapai sasaran organisasi;

• Memastikan sistem untuk mengelola risiko – risiko tersebut telah tersedia dan bekerja dengan efektif;

• Memastikan risiko – risiko yang ditangani manajemen telah sesuai dengan konteks organisasi dalam mencapai sasarannya;

• Memastikan pengelolaan informasi terkait pengelolaan risiko terkomunikasikkan dengan baik ke seluruh pihak terkait.

TIDAK

UNTUK

DISEBARLUASKAN

Peran Unit Manajemen Risiko dalam Pengelolaan Risiko

• Memastikan manajemen risiko selaras dengan strategi, sasaran, dan budaya organisasi;

• Memastikan seluruh kewajiban kepatuhan organisasi terpenuhi;

• Memastikan terdapat ketentuan mengenai jenis dan besarnya risiko-risiko yang dapat atau yang tidak dapat diterima organisasi (risk appetite, risk limit, risk tolerance);

• Memastikan terdapat ketentuan mengenai kriteria risiko yang mengacu pada selera risiko;

• Memastikan kriteria risiko, kerangka kerja selera risiko (risk appetite framework) dan manfaat manajemen risiko terkomunikasikan dengan baik ke seluruh organisasi dan para pemangku kepentingan terkait;

• Memastikan terdapat cara pemantauan manajemen risiko yang sistematis dan memadai sehingga risiko terkendali dan kerangka kerja manajemen risiko tetap terjaga efektivitasnya.

TIDAK

UNTUK

DISEBARLUASKAN

Kompetensi yang perlu dimiliki pemimpin risiko, antara lain:

• Mampu membaca peta dan arah organisasi, serta para pemangku kepentingan;

• Mempunyai keberanian, yang berarti berani mengemukakan keyakinannya dengan baik serta dapat berkomunikasi secara berimbang dan memperhatikan pendapat lawan bicaranya;

• Mampu berkomunikasi dengan baik dengan segala tingkatan;

• Senantiasa menjunjung tinggi integritas, etika dan nilai perusahaan dalam melaksanakan tugasnya;

• Menunjukan kredibilitas melalui sikap dan perilakunya.

TIDAK

UNTUK

DISEBARLUASKAN

Hal–hal yang menjadi hambatan dalam menentukan pemimpin risiko:

• Kecenderungan mendahulukan kepakaran teknis manajemen risiko dibandingkan dengan kepemimpinan bisnis;

• Kecenderungan mengharapkan bahwa tuntutan kepemilikan kompetensi dapat dipenuhi oleh seorang kandidat, tanpa memperhitungkan komposisi (kompetensi vs komposisi);

• Kegagalan untuk menyelesaikan perbedaan pendapat dalam menentukan kriteria tuntutan jabatan dan persyaratan kualifikasi kandidat yang diinginkan.

TIDAK

UNTUK

DISEBARLUASKAN

VIDEO: Risk Management Essentials: Risk Culture and Leadership - interview with Pri Notowidigdo

TIDAK

UNTUK

DISEBARLUASKAN

Integrasi (integration)

Integrasi manajemen risiko ke dalam organisasi adalah proses yang dinamis dan berulang, serta sebaiknya disesuaikan dengan kebutuhan dan budaya perusahaan.

Manajemen risiko sebaiknya menjadi bagian dari, dan tidak terpisahkan dari tujuan, tata kelola, kepemimpinan dan komitmen, strategi, sasaran, dan operasi organisasi.

TIDAK

UNTUK

DISEBARLUASKAN

Petunjuk Praktis Penerapan Integrasi:

• Lakukan pemetaan konteks eksternal organisasi secara detail dan gunakan Teknik yang sesuai dengan tujuan dan sasaran organsasi.

• Temukan potensi risiko yang mungkin dihadapi organisasi dalam proses mencapai sasarannya.

• Lakukan pemetaan proses bisnis organisasi secara makro untuk mendapatkan peta konteks internal.

• Lakukan identifikasi potensi risiko yang dihadapi organisasi dengan menggunakan teknik yang sesuai.

• Integrasikan hasil identifikasi potensi risiko dari konteks eksternal dan internal organisasi tersebut.

TIDAK

UNTUK

DISEBARLUASKAN

Ilustrasi integrasi manajemen risiko

Identifikasi risiko

Mitigasi risiko

Rencana tindakan

Metrik kinerja

Shareholder Value/Return on

Investment

W alm art value c hain

Pemasok

Pusat distribusi

Toko

Shopper

Sumber: RIMS (Enterprise Risk Management at Wal-Mart), William Atkinson

TIDAK

UNTUK

DISEBARLUASKAN

Desain (design)

Desain mencakup:

1. Pemahaman organisasi dan konteksnya

(understanding the organization and its context)

2. Penegasan komitmen manajemen risiko (articulating risk management commitment)

3. Penetapan peran, kewenangan, tanggung jawab, dan akuntabilitas organisasional (assigning organizational roles, authorities, responsibilities and accountabilities) 4. Alokasi sumber daya (allocating resources)

5. Penyiapan komunikasi dan konsultasi (establishing communication and consultation)

TIDAK

UNTUK

DISEBARLUASKAN

Desain (design)

1. Pemahaman organisasi dan konteksnya

Ketika mendesain kerangka kerja pengelolaan risiko, organisasi sebaiknya memeriksa dan memahami konteks eksternal dan internalnya.

Konteks eksternal dapat mencakup tetapi tidak terbatas pada:

ekonomi, politik, social, teknologi, hukum, tren yang memengaruhi sasaran organisasi, persepsi, nilai, harapan, etc.

Konteks internal dapat mencakup tetapi tidak terbatas pada: visi, misi, tata kelola, sasaran, kebijakan, budaya organisasi, data, sistem informasi, panduan, etc.

Pemetaan konteks organisasi dapat dilakukan menggunakan Teknik Analisis Pemangku Kepentingan (stakeholders analysis).

TIDAK

UNTUK

DISEBARLUASKAN

Ilustrasi Konteks Internal dan Eksternal Melalui Teknik Analisis Pemangku Kepentingan (stakeholder analysis)

Organisasi Supplier/

kreditor

Pegawai

Pelanggan Pemegang

saham

Aktivis Lingkungan

Regulator

Legislator Komunitas

Media massa

Kompetitor

Masyarakat industri

Pemerintah daerah

Pemangku kepentingan

utama

TIDAK

UNTUK

DISEBARLUASKAN

Kuadran potensi ancaman dan dukungan pemangku kepentingan eksternal dan internal

PENDUKUNG

Strategi: Libatkan

WASPADA

Strategi: Kolaborasi

MARGINAL

Strategi: Monitor

ANCAMAN

Strategi: Bertahan

PotensiDukungan

Potensi Ancaman

Rendah Tinggi

Tinggi

TIDAK

UNTUK

DISEBARLUASKAN

Ilustrasi Konteks Internal dan Eksternal

Sumber: Wal-Mart & Stockholder Analysis, John Ant (2009)

TIDAK

UNTUK

DISEBARLUASKAN

Desain (design)

2. Penegasan komitmen manajemen risiko

Manajemen puncak dan badan pengawas, jika memungkinkan, sebaiknya menunjukan dan menegaskan komitmen berkelanjutan mereka terhadap manajemen risiko melalui kebijakan, pernyataan, atau bentuk lain yang secara jelas menyampaikan sasaran dan komitmen organisasi terhadap manajemen risiko.

Komitmen ini dinyatakan dalam bentuk Kebijakan Manajemen Risiko yang berisi pernyataan niat dan komitmen direksi dan dewan komisaris untuk menerapkan manajemen risiko serta memuat gambaran umum uraian penerapannya sesuai dengan tuntutan standar yang berlaku.

Komitmen manajemen risiko harus disosialisasikan ke seluruh jajaran manajemen dan karyawan organisasi serta seluruh pemangku kepentingan yang terkait.

TIDAK

UNTUK

DISEBARLUASKAN

Desain (design)

3. Penetapan peran, kewenangan, tanggung jawab, dan akuntabilitas organisasi

Manajemen puncak dan badan pengawas, sesuai penerapan, sebaiknya memastikan bahwa kewenangan, tanggung jawab, dan akuntabilitas untuk peran yang relevan dalam manajemen telah ditetapkan dan dikomunikasikan pada semua tingkat organisasi, serta sebaiknya:

• Menekankan bahwa manajemen risiko adalah tanggung jawab inti;

• Mengidentifikasi individu yang memiliki akuntabilitas dan kewenangan untuk mengelola risiko (pemilik risiko).

Penetapan peran, kewenangan, tanggung jawab, dan akuntabilitas organisasi tercermin dalam tata kelola manajemen risiko (risk governance structure) yang dapat disusun dalam berbagai jenis struktur.

TIDAK

UNTUK

DISEBARLUASKAN

Ilustrasi Tata Kelola Manajemen Risiko Menggunakan Model Pertahanan Tiga Lapis (three lines of defense)

1^stLine of Defense 2^ndLine of Defense 3^rdLine of Defense

Managemen t controls

Internal Control Measures

Financial controls Security Risk Management

Quality Inspection Compliance

Internal Audit

Senior management

Governing body/Board/Audit Committee

External Audit Regulator

Sumber: IIA Position Paper (2013)

TIDAK

UNTUK

DISEBARLUASKAN

Ilustrasi Tata Kelola Manajemen Risiko

Direksi Internal auditor

Komite risiko (lintas fungsi) Dewan

komisaris

Komite pemantau risiko

Manajemen keuangan Manajemen

operasi

Manajemen sdm & umum

Manajemen risiko

Hukum &

kepatuhan Pengawasan

Direksi Internal

auditor

Komite risiko (lintas fungsi) Dewan

komisaris

Komite pemantau risiko

Manajemen keuangan Manajemen

operasi

Hukum &

kepatuhan

TIDAK

UNTUK

DISEBARLUASKAN

Desain (design)

4. Alokasi sumber daya

Manajemen puncak dan badan pengawas, sesuai penerapan, sebaiknya memastikan alokasi sumber daya manajemen risiko yang memadai, yang dapat termasuk, tetapi tidak terbatas pada:

• Orang, keterampilan, pengalaman, dan kompetensi;

• Proses, metode, dan alat yang dipakai organisasi untuk mengelola risiko;

• Proses dan prosedur terdokumentasi;

• Sistem manajemen informasi dan pengetahuan;

• Pengembangan profesional dan kebutuhan pelatihan.

Organisasi sebaiknya mempertimbangkan kapabilitas, dan keterbatasan, sumber daya yang ada.

TIDAK

UNTUK

DISEBARLUASKAN

Ilustrasi tahap pengalokasian sumber daya

Tahap 1

Alokasi biaya pada pekerjaan intelektual membangun

pondasi manajemen

risiko

Tahap 2

Alokasi biaya pelatihan dan pengembangan

serta pembangunan sistem informasi

berbasis risiko

Tahap 3

Alokasi biaya dan waktu

untuk mengintegrasi- kan manajemen

risiko dengan proses bisnis organisasi

Tahap 4

Alokasi biaya pendampingan

oleh konsultan untuk membangun budaya risiko

TIDAK

UNTUK

DISEBARLUASKAN

Desain (design)

5. Penyiapan komunikasi dan konsultasi

Organisasi sebaiknya menetapkan pendekatan yang disetujui untuk komunikasi dan konsultasi guna mendukung kerangka kerja dan memfasilitasi penerapan efektif manajemen risiko.

Komunikasi melibatkan pembagian informasi dengan audiens yang dituju.

Konsultasi juga melibatkan pemberian umpan balik dari partisipan dengan harapan bahwa hal itu dapat berkontribusi dan membentuk keputusan atau aktivitas lain.

Salah satu metode yang sering digunakan adalah RACI matrix untuk mendeteksi tingkat keterlibatan para pihak dalam proses penanganan risiko.

TIDAK

UNTUK

DISEBARLUASKAN