TIDAK
UNTUK
DISEBARLUASKAN
Tujuan Pelatihan
Memberikan informasi serta pemahaman kepada peserta pelatihan terkait penerapan sistem manajemen risiko yang mengacu pada ISO 31000:2018 : Risk Management – Guidelines.
Pelatihan ini meliputi:
1. Dasar – dasar manajemen risiko
2. ISO 31000:2018 : Risk Management - Guidelines
TIDAK
UNTUK
DISEBARLUASKAN
3
Agenda Pelatihan
1. Dasar – dasar manajemen risiko, meliputi:
a. Apa yang dimaksud dengan risiko?
b. Siapakah pemilik risiko?
c. Bagaimana memahami risiko?
2. Arsitektur ISO 31000:2018, meliputi:
a. Tujuan dan prinsip – prinsip manajemen risiko b. Kerangka kerja manajemen risiko
c. Proses manajemen risiko
TIDAK
UNTUK
DISEBARLUASKAN
Dasar-Dasar
Manajemen Risiko
TIDAK
UNTUK
DISEBARLUASKAN
Peluang dan Ancaman Dalam Konteks Risiko
TIDAK
UNTUK
DISEBARLUASKAN
Peluang, Ancaman dan Keunggulan Bersaing
• Peluang merupakan suatu kondisi lingkungan secara umum, jika dieksploitasi, akan membantu perusahaan mencapai keunggulan strategisnya.
• Ancaman merupakan suatu kondisi lingkungan yang dapat menghalangi usaha perusahaan untuk mencapai keunggulan strategisnya.
Sumber: Hitt, Ireland, Hoskisson (2008)
TIDAK
UNTUK
DISEBARLUASKAN
Risiko berdasarkan ISO 31000:2018
Risiko adalah efek dari ketidakpastian pada sasaran
(ISO 31000:2018)
Efek
Penyimpangan dari apa yang diharapkan.
Efek dapat positif, negatif, atau keduanya, dan dapat berkaitan dengan, menciptakan, atau menghasilkan peluang dan ancaman.
Ketidakpastian
Keadaan, kondisi kurangnya informasi terkait dengan pemahaman atau pengetahuan tentang suatu peristiwa, konsekuensinya atau
kemungkinan sesuatu terjadi.
Sasaran
Sasaran dapat memiliki berbagai aspek dan kategori, serta dapat diterapkan pada berbagai tingkat.
Sasaran yang dimaksud harus memenuhi kriteria SMART.
TIDAK
UNTUK
DISEBARLUASKAN
TIDAK
8UNTUK
DISEBARLUASKAN
TIDAK
9UNTUK
DISEBARLUASKAN
Risiko dan Sasaran
Risiko timbul karena adanya sasaran yang jelas yang ingin dicapai oleh individu atau entitas.
Kejelasan sebuah sasaran dapat dicapai apabila sasaran memiliki kriteria:
Specific
Measurable
Attainable
Relevant
Time-bound
Sasaran dinyatakan dengan jelas( )
Pencapaian sasaran dapat melalui ukuran tertentu
Sasaran yang ada bersifat menantang namun tetap dapat organisasi
Sasaran yang ada harus dengan strategi organisasi
Dinyatakan secara jelas sasaran ingin dicapai
TIDAK
UNTUK
DISEBARLUASKAN
Sasaran SMART merupakan acuan dalam mengindentifikasi risiko organisasi.
Pemilik risiko (risk owner) perlu menyusun sasaran SMART dengan mengikuti langkah-langkah sebagai berikut:
1. Menentukan hal spesifik yang ingin dicapai;
2. Menetapkan indikator ukur dan besaran nilai yang ditargetkan dari hal spesifik yang ingin dicapai;
3. Menetapkan pendekatan yang akan dijalankan untuk mencapai target dari hal spesifik yang telah ditetapkan;
4. Menentukan siapa yang akan menjalankan pendekatan yang telah ditetapkan;
5. Menentukan berapa lama waktu yang dialokasikan kepada pelaksana untuk menjalankan pendekatan yang telah ditentukan dalam rangka mencapai target dari hal spesifik yang telah ditetapkan.
Risiko dan Sasaran
TIDAK
UNTUK
DISEBARLUASKAN
Setelah merancang sasaran SMART, pemilik risiko (risk owner) harus melakukan pemetaan tahapan proses kerja yang dijalankan. Pemetaan tersebut disebut dengan pendekatan proses (the process approach).
Langkah-langkah pemetaan proses adalah sebagai berikut:
1. Mencatat setiap pendekatan (metode, program dan aktifitas) yang digunakan untuk mencapai sasaran;
2. Memetakan rangkaian tahapan proses kerja atau proses bisnis untuk setiap pendekatan (metode, program dan aktifitas);
3. Menentukan hasil yang diharapkan (output) setiap langkah dalam rangkaian tahapan proses kerja atau proses bisnis.
Risiko dan Sasaran
TIDAK
UNTUK
DISEBARLUASKAN
Contoh sasaran Specific, Measurable, Attainable, Relevant, Time-Bound (SMART)
Mencapai 30 jam pelatihan dasar Audit bagi auditor baru di satu tahun pertama bekerja
Meningkatkan distribusi penjualan sepatu sneakers ke pasar e-commerce sebesar 8% di kuartal ke-dua tahun 2019
Menindaklanjuti setiap keluhan pelanggan dalam waktu (maksimal) 1x24 jam setelah menerima panggilan
Meningkatkan konektivitas jaringan online ke 20 cabang perusahaan di kuartal ke-empat tahun 2019
TIDAK
UNTUK
DISEBARLUASKAN
14
Simak video
6 Pertanyaan mendasar tentang penerapan
proses manajemen risiko oleh “the Risk Doctor”, Dr David Hillson.
TIDAK
UNTUK
DISEBARLUASKAN
TIDAK
15UNTUK
DISEBARLUASKAN
Sumber Risiko, Peristiwa, Konsekuensi, dan Kemungkinan-kejadian
Sumber risiko Peristiwa Konsekuensi Kemungkinan-kejadian
• Elemen yang secara mandiri atau dalam kombinasi memiliki
potensi untuk menimbulkan risiko
• Kejadian atau perubahan suatu set dari kondisi.
• Suatu peristiwa dapat memiliki satu atau lebih kejadian, serta dapat memiliki beberapa penyebab dan beberapa konsekuensi.
• Suatu peristiwa dapat berupa sesuatu yang diharapkan tidak terjadi, atau tidak diharapkan terjadi.
• Suatu peristiwa dapat menjadi sumber risiko.
• Hasil keluaran suatu peristiwa yg memengaruhi sasaran.
• Suatu konsekuensi dapat pasti atau tidak pasti, serta dapat memiliki efek positif atau negatif, langsung atau tidak langsung terhadap sasaran.
• Konsekuensi dapat dinyatakan secara kualitatif atau kuantitatif.
• Segala konsekuensi dapat tereskalasi melalui efek beruntun dan kumulatif.
• Kemungkinan sesuatu terjadi.
• Merujuk pada kemungkinan terjadinya sesuatu baik didefinisikan, diukur, atau ditentukan secara objektif maupun subjektif, kualitatif maupun kuantitatif, dan dijelaskan menggunakan istilah umum atau matematis (seperti probabilitas atau frekuensi selama periode waktu tertentu).
TIDAK
UNTUK
DISEBARLUASKAN
Keterkaitan Risiko, Ketidakpastian dan Sasaran
Kondisi saat ini
Ketidakpastian
-
DAMPAK DAMPAK
+
KPI
ƒ(konsekuensi,likelihood) ? Sasaran
masa depan Proses bisnis
Susilo, Leo J. (2015)
TIDAK
UNTUK
DISEBARLUASKAN
Perbedaan Risiko dan Masalah
TIDAK
UNTUK
DISEBARLUASKAN
Perbedaan Ketidakpastian, Risiko, Masalah, Krisis, Keadaan Darurat dan Bencana
19
Terminologi Deskripsi
Ketidakpastian
Situasi masa depan yang tidak diketahui.Risko
Peristiwa atau kondisi tidak pasti yang, jika terjadi, memiliki efek positif atau negatif pada sasaran.Masalah
Peristiwa atau kondisi yang telah terjadi dan mempengaruhi atau berdampak pada sasaran.Tidak ada aspek ketidakpastian atau probabilitas yang terkait dengan masalah.
TIDAK
UNTUK
DISEBARLUASKAN
Perbedaan Ketidakpastian, Risiko, Masalah, Krisis, Keadaan Darurat dan Bencana
20
Terminologi Deskripsi
Krisis
Krisis adalah suatu peristiwa yang diperkirakan akan menimbulkan situasi yang berbahaya, baik itu keadaan darurat maupun bencana.Ini juga didefinisikan sebagai ‘saat-saat yang sangat sulit, bermasalah, atau berbahaya.‘
Krisis dapat bersifat pribadi, atau terbatas pada populasi kecil, seperti keluarga, atau perusahaan yang menangani masalah yang sangat serius.
TIDAK
UNTUK
DISEBARLUASKAN
Perbedaan Ketidakpastian, Risiko, Masalah, Krisis, Keadaan Darurat dan Bencana
21
Terminologi Deskripsi
Keadaan Darurat
Keadaan Darurat adalah situasi yang membutuhkan perhatian segera, tetapi biasanya dalam skala kecil.Keadaan darurat dapat berubah menjadi bencana jika dibiarkan.
Namun, tidak semua bencana didahului dengan keadaan darurat.
Bencana
Bencana itu seperti keadaan darurat, hanya saja jauh lebih besar.Peristiwa besar yang menyebabkan malapetaka bagi perusahaan, kota, atau bahkan wilayah yang luas, dan orang-orangnya.
Biasanya melibatkan beberapa badan/agen berbeda untuk bertindak sebagai responden pertama, dan memerlukan koordinasi upaya, itulah sebabnya Sistem Komando Insiden (Incident Command System) sangat penting.
TIDAK
UNTUK
DISEBARLUASKAN
Selera risiko (risk appetite)
Toleransi risiko (risk tolerance)
TIDAK
UNTUK
DISEBARLUASKAN
Selera Risiko
• Selera risiko membantu proses pengambilan keputusan terhadap risiko strategis ataupun risiko operasional dengan mempertanyakan apakah tindakan yang diambil masih dalam batas selera atau tidak.
• Penentuan selera risiko biasanya dimulai dengan Pernyataan Selera Risiko (risk appetite statement), yaitu pernyataan kualitatif selera risiko atau suatu harapan atau niat terhadap suatu risiko tertentu.
Selera risiko adalah jenis atau jumlah (nilai absolut) dari risiko yang siap diambil organisasi dalam proses pencapaian sasarannya.
TIDAK
UNTUK
DISEBARLUASKAN
Penetapan selera risiko dilaksanakan dalam tiga tahap sebagai berikut:
1. Perancangan selera risiko
• Menyusun Pernyataan Selera Risiko sesuai dengan tujuan organisasi terhadap suatu risiko tertentu;
• Membandingkan selera risiko dengan sasaran strategis yang telah ditentukan;
• Memperbaiki Pernyataan Selera Risiko jika selera risiko dengan sasaran organisasi belum selaras dan memastikan bahwa selera risiko yang disusun dapat memudahkan Direksi memberikan persetujuan, memudahkan pemilik risiko (risk owner) menangani risiko di organisasi, serta mendukung pemilik risiko membuat keputusan terkait risiko.
Selera Risiko
TIDAK
UNTUK
DISEBARLUASKAN
Penetapan selera risiko
(lanjutan)2. Penerapan selera risiko
• Memperhatikan kesesuaian selera risiko dengan kriteria risiko yang telah ditetapkan, khususnya besaran batas risiko dan toleransi risiko;
• Menentukan cara penerapan selera risiko yang mudah dimengerti dan dipatuhi;
• Memastikan bahwa rancangan penerapan selera risiko dapat membantu penerapan manajemen risiko secara keseluruhan.
Selera Risiko
TIDAK
UNTUK
DISEBARLUASKAN
Penetapan selera risiko
(lanjutan…)3. Pemantauan selera risiko
• Memeriksa apakah selera risiko yang ditetapkan masih dapat menampung perubahan lingkungan bisnis yang terjadi;
• Menentukan cara bagaimana tindak lanjut terhadap penyimpangan atau pelanggaran selera risiko;
• Melakukan perbaikan berkelanjutan terhadap selera risiko yang tidak sesuai dengan lingkungan bisnis maupun selera risiko yang tidak dipatuhi;
• Menjadikan selera risiko sebagai bagian dari pelaporan berkala manajemen risiko;
• Memantau selera risiko secara berkala, hal ini dapat dilakukan oleh Departemen Internal Audit.
Selera Risiko
TIDAK
UNTUK
DISEBARLUASKAN
Toleransi Risiko dan Batas Risiko
Toleransi risiko (risk tolerance) adalah kesiapan organisasi atau pemangku kepentingan untuk menanggung suatu risiko tertentu setelah perlakuan risiko dalam rangka mencapai sasarannya.
Toleransi risiko memberikan batas bawah dan batas atas potensi dampak risiko (berlaku untuk setiap risiko). Sedangkan batas risiko (risk limits) memberikan nilai maksimum atau minimum dari suatu potensi dampak yang tidak boleh dilewati. Batas risiko berlaku untuk setiap risiko.
TIDAK
UNTUK
DISEBARLUASKAN
Hubungan Kapasitas Risiko, Selera Risiko, dan Batas Risiko
TIDAK
UNTUK
DISEBARLUASKAN
END OF SESSION 1
TIDAK
29UNTUK
DISEBARLUASKAN
Sikap Dasar Risiko (risk attitude) Perilaku Risiko (risk behaviour) Budaya Risiko (risk culture)
TIDAK
UNTUK
DISEBARLUASKAN
Sikap Dasar Risiko, Perilaku Risiko dan Budaya Risiko
Budaya dapat dibangun dengan menggunakan model A B C yang merupakan model yang umum diterapkan dalam organisasi.
TIDAK
UNTUK
DISEBARLUASKAN
Model ABC menggambarkan bahwa budaya risiko organisasi tercipta karena perilaku (behaviour) suatu kelompok yang dilakukan secara berulang, dimana perilaku yang berulang tersebut dibentuk oleh sikap dasar (attitude) sebagai konstituennya.
Di lain pihak perilaku dan sikap dasar juga dapat dipengaruhi oleh budaya (culture) kelompok yang telah terbentuk, sehingga terjadi siklus yang saling mempengaruhi diantara ketiganya – sikap dasar, perilaku dan budaya.
Sikap Dasar Risiko, Perilaku Risiko dan Budaya Risiko
TIDAK
UNTUK
DISEBARLUASKAN
Kaitannya dengan risiko, berikut ini adalah uraian dari ketiga hal tersebut:
1. Sikap dasar risiko (risk attitude) adalah sikap yang dipilih oleh seseorang atau kelompok terhadap risiko sebagai akibat dari persepsinya terhadap risiko atau sikap awal yang dimilikinya.
2. Perilaku risiko (risk behaviour) adalah perilaku yang tampak terkait risiko seperti pengambilan keputusan berbasis risiko, komunikasi tentang risiko, melaksanakan proses manajemen risiko, dan lainnya.
3. Budaya risiko (risk culture) adalah nilai – nilai, kepercayaan, pengetahuan dan pemahaman tentang risiko yang dianut oleh sekelompok orang yang mempunyai tujuan yang sama, terutama pemimpin dan seluruh anggota dalam sebuah organisasi atau perusahaan.
Sikap Dasar Risiko, Perilaku Risiko dan Budaya Risiko
TIDAK
UNTUK
DISEBARLUASKAN
Cara Mendeskripsikan Risiko
TIDAK
UNTUK
DISEBARLUASKAN
Uraian dan Penamaan Risiko
Dibawah ini merupakan hal-hal terkait uraian dan penamaan risiko:
• Risiko umumnya dinyatakan dengan mengacu kepada:
sumber risiko, potensi peristiwa, konsekuensi dan kemungkinan-kejadian.
• Tidak terdapat aturan baku mengenai cara memberi nama risiko.
• Risiko perlu diuraikan secara jelas sehingga setiap yang berkepentingan terhadap risiko memperoleh pemahaman yang sama mengenai sebab risiko dan dampak yang terjadi yang diakibatkannya, dan dapat memahami cara penanganan yang benar dan akurat.
• Cara menguraikan risiko:
“Karena terjadi sesuatu (sebab), maka telah terjadi peristiwa (risiko), sehingga mengakibatkan (efek pada sasaran)”.
TIDAK
UNTUK
DISEBARLUASKAN
Uraian dan Penamaan Risiko - Contoh
Uraian risiko Penamaan risiko Dasar penamaan risiko Hati-hati menyeberang di jalan raya,
besar risikonya tertabrak mobil
Tertabrak mobil Peristiwa
Tinju adalah olah raga dengan risiko gegar otak
Gegar otak Konsekuensi
Pelayanan purna jual yang buruk akan berisiko pada menurunnya reputasi perusahaan
Menurunnya reputasi Konsekuensi
Risiko merokok bagi ibu-ibu yang sedang hamil adalah kerentanan terhadap kanker bagi bayi yang dikandungnya
Merokok Sumber risiko
TIDAK
UNTUK
DISEBARLUASKAN
Hubungan Sasaran dengan Uraian Risiko - Contoh
Sasaran Tim Argentina: Messi berhasil memperoleh gol pada saat tendangan penalti
Kemungkinan-kejadian Peristiwa Konsekuensi
Apakah posisi tendangan bola penalti Messi sudah tepat mengarah ke gawang lawan?
Bola yang ditendang Messi ditepis oleh Kiper Tim lawan
Bola yang ditendang Messi melenceng ke sisi atas gawang
https://www.youtube.com/watch?v=D-PgR_gq49g
TIDAK
UNTUK
DISEBARLUASKAN
Latihan – Kasus Uraian Risiko
Pak Ali adalah seorang pakar manajemen risiko. Pada hari Senin, Ia harus memberikan presentasi terkait ISO 31000:2018 dihadapan para anggota Direksi PT Sukses Selalu.
Pada hari Minggu, Ia mengikuti turnamen golf yang diselenggarakan oleh Asosiasi Profesi Manajemen Risiko di Gunung Putri Bogor. Ketika Ia bermain golf di hole 10, cuaca berubah dan hujan turun deras. Ia tetap melanjutkan permainannya dan Ia basah kuyup di hole 18. Siang itu, Ia langsung pulang ke rumah. Tak disangka, pada malam harinya Ia demam dan sakit flu berat, sehingga pada hari Senin tidak dapat memberikan presentasi di hadapan para Direksi.
Jelaskan kasus diatas dengan menggunakan teknik uraian risiko!
TIDAK
UNTUK
DISEBARLUASKAN
Siapakah Pemilik Risiko?
TIDAK
UNTUK
DISEBARLUASKAN
Risk Management is Everybody’s Business Everybody is RISK MANAGER
TIDAK
UNTUK
DISEBARLUASKAN
Pemilik Risiko
• Pemilik risiko dapat diartikan juga sebagai pemilik sasaran, dan pada dasarnya berlaku untuk semua tingkatan organisasi (struktural) dan terdapat di seluruh proses bisnis organisasi, karena SETIAP ORANG DALAM ORGANISASI MEMPUNYAI SASARAN KERJA.
• Hal tersebut mengindikasikan bahwa semua orang dalam organisasi HARUS MENANGANI RISIKO agar sasaran kerjanya tercapai. Dengan demikian, manajemen risiko menjadi tanggung jawab semua orang.
Pemilik risiko adalah individu atau entitas yang memiliki akuntabilitas dan kewenangan untuk mengelola risiko
(ISO 31000:2018)
TIDAK
UNTUK
DISEBARLUASKAN
Pemilik risiko berdasarkan hierarki sasaran
Sasaran Pemilik Risiko
Tingkat organisasi Tingkat Korporat
Tingkat Divisi
Tingkat Departemen
Tingkat seksi
RISIKO Direksi dan Dewan
Komisaris
Kepala Divisi / GM Sasaran Perusahaan
Sasaran Divisi
Sasaran Departemen
Sasaran Seksi
Kepala Departemen
Kepala Seksi
AkuntabilitasTanggung Jawab
TIDAK
UNTUK
DISEBARLUASKAN
Kategori Risiko
TIDAK
UNTUK
DISEBARLUASKAN
Pengertian Kategori Risiko
• Jumlah serta jenis risiko yang begitu banyak dihadapi organisasi menyebabkan perlu adanya pengelompokan risiko / pengkategorian risiko yang mengacu kepada sasaran yang terpengaruh oleh sekelompok risiko yang melekat pada proses untuk mencapai sasaran tersebut.
• Kategori risiko merupakan komponen yang membentuk Risk Breakdown Structure (RBS), yang dibuat untuk memudahkan identifikasi dan analisis risiko serta untuk review dan monitoringnya.
• Kategori risiko menjadi bagian dari kesatuan Bahasa dalam menentukan risiko di perusahaan atau kelompok industri. Contohnya di industri perbankan, kategori risiko ditetapkan oleh Bank Indonesia terdiri dari: risiko kredit, risiko pasar, risiko hukum, risiko likuiditas, risiko operasi, risiko reputasi, risiko kepatuhan dan risiko strategis.
TIDAK
UNTUK
DISEBARLUASKAN
Cara Menyusun Kategori Risiko
1. Pahami peran dan fungsi perusahaan Anda di dalam industrinya. Contohnya bank memiliki peran sebagai Lembaga intermediasi dalam industri keuangan.
2. Identifikasi aktivitas atau kegiatan perusahaan Anda. Contohnya bank sebagai Lembaga intermediasi berperan untuk menyalurkan kredit kepada nasabah (lending) dan menerima simpanan dari nasabah (funding).
3. Pahami dan identifikasi risiko inheren* pada kegiatan utama perusahaan Anda.
Contohnya bank sebagai penyalur kredit memiliki risiko inheren yaitu risiko kredit dan risiko likuiditas.
(*) risiko inheren adalah risiko yang melekat pada setiap kegiatan sebelum tindakan pencegahan dilakukan.
TIDAK
UNTUK
DISEBARLUASKAN
Cara Menyusun Kategori Risiko
(Lanjutan….)4. Setelah risiko inheren teridentifikasi, identifikasi risiko – risiko terkait lainnya. Contohnya di bank, risiko yang terkait risiko kredit adalah risiko pasar (segmen pasar kredit, suku bunga dan nilai tukar), risiko hukum (aspek hukum perjanjian kredit), risiko operasional (analisis kelayakan kredit). Sedangkan risiko yang terkait risiko likuiditas adalah risiko reputasi dan risiko strategis (pengembangan produk baru yang menarik bagi nasabah).
5. Buat definisi baku untuk masing-masing kategori risiko yang telah ditetapkan. Definisi ini harus ditetapkan oleh direksi dan disebarluaskan ke seluruh jajaran di perusahaan.
TIDAK
UNTUK
DISEBARLUASKAN
Pengelompokan Risiko - Contoh
Kategori risiko Faktor – faktor risiko
Risiko strategis • Pergerakan dan strategi bersaing
• Perubahan regulasi
• Perubahan politik
• Teknologi baru
Risiko operasional • Gangguan mesin produksi
• Kesalahan administratif
• Gangguan proses kerja
• Tuntutan hukum
Risiko Ekonomi • Fluktuasi harga komoditas
• Suku bunga
• Nilai tukar
• Perubahan permintaan / pasokan
• Bencana alam
• Terorisme
• Bencana karena ulah manusia (polusi, kebakaran dll)
• Kecelakaan kerja Risiko bencana
SRM ERM RM
Sumber: Andersen, Schroder (2014)
TIDAK
UNTUK
DISEBARLUASKAN
Nokia Case
TIDAK
UNTUK
DISEBARLUASKAN
TIDAK
UNTUK
DISEBARLUASKAN
TIDAK
UNTUK
DISEBARLUASKAN
TIDAK
UNTUK
DISEBARLUASKAN
TIDAK
UNTUK
DISEBARLUASKAN
Arsitektur ISO 31000:2018
Risk Management – Guideline
TIDAK
UNTUK
DISEBARLUASKAN
Manajemen Risiko
Aktivitas terkoordinasi untuk mengarahkan dan mengendalikan organisasi dalam kaitannya dengan risiko (ISO 31000:2018)
TIDAK
UNTUK
DISEBARLUASKAN
Tujuan Manajemen Risiko
Manajemen risiko dibangun untuk tujuan menciptakan dan melindungi nilai sehingga dapat meningkatkan kinerja, mendorong inovasi, dan mendukung pencapaian sasaran.
TIDAK
UNTUK
DISEBARLUASKAN
Arsitektur Manajemen Risiko
Arsitektur Manajemen Risiko berbasis ISO 31000:2018, terdiri dari tiga bagian, yaitu:
1. Prinsip (principles)
2. Kerangka kerja (framework) 3. Proses (process)
TIDAK
UNTUK
DISEBARLUASKAN
TIDAK
UNTUK
DISEBARLUASKAN
Prinsip Manajemen Risiko
Prinsip-prinsip manajemen risiko merupakan landasan untuk mengelola risiko dan harus dipertimbangkan ketika akan menetapkan kerangka kerja dan proses manajemen risiko.
TIDAK
UNTUK
DISEBARLUASKAN
TIDAK
UNTUK
DISEBARLUASKAN
Kerangka Kerja
Manajemen Risiko
Tujuan kerangka manajemen risiko adalah untuk membantu organisasi dalam mengintegrasikan manajemen risiko ke dalam aktivitas dan fungsi signifikan.
TIDAK
UNTUK
DISEBARLUASKAN
TIDAK
UNTUK
DISEBARLUASKAN
Proses Manajemen Risiko
Proses manajemen risiko merupakan bagian integral manajemen dan pengambilan keputusan, serta diintegrasikan ke dalam struktur, operasi, dan proses organisasi.
Proses manajemen risiko melibatkan penerapan sistematis dari kebijakan, prosedur, dan praktik pada aktivitas komunikasi dan konsultasi, penetapan konteks, serta penilaian, perlakuan, pemantauan, peninjauan, pencatatan, dan pelaporan risiko.
TIDAK
UNTUK
DISEBARLUASKAN
END OF SESSION 2
TIDAK
63UNTUK
DISEBARLUASKAN
Prinsip – Prinsip Manajemen Risiko Berdasarkan ISO 31000: 2018
TIDAK
64UNTUK
DISEBARLUASKAN
Arsitektur Manajemen Risiko
Arsitektur Manajemen Risiko berbasis ISO 31000:2018, terdiri dari tiga bagian, yaitu:
1. Prinsip (principles)
2. Kerangka kerja (framework) 3. Proses (process)
TIDAK
UNTUK
DISEBARLUASKAN
TIDAK
UNTUK
DISEBARLUASKAN
Tujuan Manajemen Risiko
Manajemen risiko dibangun untuk tujuan menciptakan dan melindungi nilai sehingga dapat meningkatkan kinerja, mendorong inovasi, dan mendukung pencapaian sasaran.
TIDAK
UNTUK
DISEBARLUASKAN
Prinsip Manajemen Risiko
Prinsip-prinsip manajemen risiko merupakan landasan untuk mengelola risiko dan harus dipertimbangkan ketika akan menetapkan kerangka kerja dan proses manajemen risiko.
TIDAK
UNTUK
DISEBARLUASKAN
Terintegrasi (integrated)
Manajemen risiko adalah bagian integral dari semua aktivitas organisasi.
Manajemen risiko harus menyatu dengan proses bisnis terkait dan harus didukung dengan tanggung jawab pemilik risiko yang jelas. Hal tersebut menjadi penting agar manajemen risiko dapat membantu dalam penyusunan prioritas tindakan atau proses bisnis terkait, membantu dalam menentukan pemilihan alternatif tindakan yang mungkin dilakukan, serta membantu proses pengambilan keputusan.
TIDAK
UNTUK
DISEBARLUASKAN
Contoh Prinsip Terintegrasi
Sumber : https://corporate.walmart.com/sourcing/managingrisk
Sebagai salah satu perusahaan ritel terbesar di dunia, Walmart sangat menekankan prinsip integrasi terhadap dua hal utama, yaitu dalam hal pemetaan risiko dan pengelolaan basis penyimpanan data (database).
• Database Terintegrasi : dengan menerapkan sistem ‘integrated database’, dimana sistem penyimpanan data dari masing- masing divisi perusahaan akan saling terhubung. Sehingga memudahkan sistem pencarian data yang digunakan untuk dasar pengambilan keputusan dalam perusahaan.
TIDAK
UNTUK
DISEBARLUASKAN
Contoh Prinsip Terintegrasi di Walmat
Sumber: https://corporate.walmart.com/sourcing/managingrisk
• Pemetaan Risiko : dilakukan dengan sistem
‘Integrated’, dimana pengelolaan setiap risiko dari masing-masing sektor (wilayah industri, industri, pemasok) saling terintegrasi satu sama lain
TIDAK
UNTUK
DISEBARLUASKAN
Terstruktur dan Komprehensif (structured and comprehensive)
Pendekatan terstruktur dan komprehensif terhadap manajemen risiko berkontribusi terhadap hasil yang konsisten dan terstruktur.
Manajemen risiko harus dapat memberikan pendekatan sistem kajian risiko yang efisien dan konsisten, memberikan hasil yang dapat dibandingkan, dan menghasilkan pemahaman yang sama untuk seluruh organisasi
TIDAK
UNTUK
DISEBARLUASKAN
Contoh Prinsip Terstruktur dan Komprehensif
Sumber: https://www.thepacker.com/article/walmart-reports-highest-annual-growth-rate-decade
Salah satu strategi penjualan yang dijalankan oleh Walmart adalah terkait dengan pendekatan terhadap konsumen (orientasi konsumen). Konsep Walmart adalah berfokus pada barang produksi massa yang dijual melalui platform digital.
Risiko yang diambil oleh Walmart adalah alokasi biaya investasi pada platform digital yang semakin meningkat.
Melalui pendekatan ini, Walmart berhasil meningkatkan penjualan E-Commerce sebesar 40 % dari periode sebelumnya.
TIDAK
UNTUK
DISEBARLUASKAN
Disesuaikan (customized)
Kerangka kerja dan proses manajemen risiko disesuaikan dan proporsional dengan konteks eksternal dan internal organisasi yang berkaitan dengan sasarannya.
Manajemen risiko juga harus sesuai dengan budaya organisasi, sesuai dengan tuntutan hukum organisasi, dan sesuai dengan kebutuhan sumber daya untuk pengelolaan risiko.
TIDAK
UNTUK
DISEBARLUASKAN
Contoh Prinsip Disesuaikan
Sumber: www.emeraldinsight.com
Dalam mencapai sasaran yang dituju, Walmart mempunyai sebuah konsep fleksibilitas yang disebut dengan ‘Driven Networks’. Konsep ini menghasilkan pemahaman terkait dengan kebutuhan dan kecenderungan konsumen dalam berbelanja. Pemahaman tersebut menjadi dasar acuan dalam merespon keinginan konsumen dan menentukan strategi untuk mencapai sasaran laba perusahaan.
TIDAK
UNTUK
DISEBARLUASKAN
Inklusif (inclusive)
Pelibatan yang sesuai dan tepat waktu dari pemangku kepentingan memungkinkan pengetahuan, pandangan, dan persepsi mereka untuk dipertimbangkan. Ini menghasilkan peningkatan kesadaran dan manajemen risiko terinformasi.
Manajemen risiko harus dapat:
• Mendorong keterlibatan para pemangku kepentingan dalam proses kajian dan penanganan risiko;
• Mendorong kesamaan sudut pandang risiko di antara unit kerja dalam satu organisasi dan dengan pemangku kepentingan;
• Memastikan bahwa strategi manajemen risiko tetap relevan dengan risiko – risiko organisasi dan selalu dalam kondisi terkini;
• Mempersiapkan penanganan risiko secara komprehensif.
TIDAK
UNTUK
DISEBARLUASKAN
Contoh Prinsip Inklusif
Sharing Session dalam RUPS Perusahaan Walmart Inc. memberi peluang bagi setiap pemangku kepentingan dan pemangku modal untuk menyampaikan pendapat terkait peluang dan tantangan dalam melakukan ekspansi.
Sumber: www.emeraldinsight.com
TIDAK
UNTUK
DISEBARLUASKAN
Dinamis (dynamic)
Risiko dapat muncul, berubah, atau hilang seiring perubahan konteks eksternal dan internal organisasi.
Manajemen risiko mengantisipasi, mendeteksi, mengakui, dan menanggapi perubahan dan peristiwa tersebut secara sesuai dan tepat waktu.
Manajemen risiko selalu siaga dalam merespon perubahan yang terjadi, baik pada konteks internal maupun eksternal. Serta mampu mendeteksi dan mengantisipasi risiko yang mungkin timbul atau terjadi karena adanya perubahan.
Prinsip dinamis ini memastikan bahwa manajemen risiko siap menghadapi dan mengadaptasi perubahan yang terjadi dan tetap efektif.
TIDAK
UNTUK
DISEBARLUASKAN
Contoh Prinsip Dinamis
Sumber: www.emeraldinsight.com
Implementasi prinsip dinamis dalam perusahaan Walmart adalah terkait dengan strategi pemasaran produk.
Walmart membagi strategi pemasaran produk menjadi dua hal, yaitu strategi utama dan strategi kedepan. Tujuan pembagian strategi tersebut adalah untuk merespon fluktuasi pasar dan meminimalisir jumlah kerugian produk yang mungkin terjadi.
TIDAK
UNTUK
DISEBARLUASKAN
Informasi Terbaik yang Tersedia (best available information)
Masukan manajemen risiko didasarkan atas informasi historis dan saat ini, dan juga harapan masa depan.
Manajemen risiko secara eksplisit memperhitungkan segala batasan dan ketidakpastian yang berkaitan dengan informasi dan harapan tersebut. Informasi sebaiknya tepat waktu, jelas, dan tersedia bagi pemangku kepentingan yang relevan.
TIDAK
UNTUK
DISEBARLUASKAN
Contoh Prinsip Informasi Terbaik yang Tersedia
Sumber: https://corporate.walmart.com/2018grr/reducing-waste
Laporan Perusahaan Untuk Stakeholders Walmart
• Menurut Laporan Bank Dunia, dunia menghasilkan rata-rata 3,5 juta ton limbah padat per hari. Limbah harian diperkirakan meningkat menjadi 6 juta ton per hari pada tahun 2025.
• Pada tahun 2005, Walmart mulai melihat interaksi limbah dan dengan serius mengurangi segala jenis limbah. Saat ini, Walmart memiliki pemahaman yang lebih mendalam tentang tantangan dan melibatkan pemasok dan pelanggan dalam mengejar ekonomi sirkular, di mana produk dibuat, dikonsumsi, dan didaur ulang dalam satu lingkaran berkelanjutan.
• Pada akhir 2017, Walmart mengalihkan 81% tempat pembuangan akhir dari produk, kemasan, dan bahan limbah lainnya yang tidak terjual di AS dan 78% secara global . Total limbah tahunan yang dihasilkan dari operasi di AS pada tahun 2017 telah menurun sebesar 1% dibandingkan dengan jumlah di tahun 2016.
TIDAK
UNTUK
DISEBARLUASKAN
Faktor Manusia dan Budaya (human and cultural factors)
Perilaku dan budaya manusia secara signifikan memengaruhi semua aspek manajemen risiko pada semua tingkat dan tahap.
Penerapan manajemen risiko perlu diselaraskan dengan kemampuan sumber daya manusia organisasi, kepentingan para pemangku kepentingan, dan sasaran organisasi. Keselarasan tersebut perlu dijaga agar manajemen risiko selalu memiliki kemampuan yang memadai untuk menampung interaksi antara budaya, perilaku dan fungsi pengelolaan risiko organisasi secara keseluruhan.
TIDAK
UNTUK
DISEBARLUASKAN
Contoh Prinsip Faktor Manusia dan Budaya
Sam Walton (Founder & CEO Walmart) menerapkan strategi ‘Cultures and Ethics’ yang harus dipatuhi setiap pegawai perusahaan Walmart. Strategi tersebut menuntut setiap pegawai untuk saling menghormati dan menghargai satu sama lain dalam menjalin komunikasi di perusahaan.
Sumber : https://www.scribd.com/document/379889619/Budaya-\Dan-Etika-Bisnis-Walmart
TIDAK
UNTUK
DISEBARLUASKAN
Perbaikan Berkelanjutan (continual improvement)
Manajemen risiko diperbaiki secara berkelanjutan melalui pelajaran dan pengalaman.
Manajemen risiko harus menjadi bagian dari sistem perbaikan berkelanjutan organisasi guna meningkatkan tingkat kematangan penerapan manajemen risiko.
TIDAK
UNTUK
DISEBARLUASKAN
Contoh Prinsip Perbaikan Berkelanjutan
Agenda RUPS Tahunan (2019) yang diadakan oleh Perusahaan Walmart berfokus pada penentuan keputusan terkait dengan proposal perbaikan sistem ‘formal proxy’ untuk meningkatkan kinerja perusahaan.
Sumber : https://news.walmart.com/2019/03/28/walmart-announces-2019-annual-shareholders- meeting-activities
TIDAK
UNTUK
DISEBARLUASKAN
VIDEO: V U C A
TIDAK
UNTUK
DISEBARLUASKAN
END OF SESSION 3
TIDAK
87UNTUK
DISEBARLUASKAN
88
Kerangka Kerja Manajemen Risiko Berdasarkan ISO 31000: 2018
TIDAK
UNTUK
DISEBARLUASKAN
TIDAK
UNTUK
DISEBARLUASKAN
Kerangka Kerja
Manajemen Risiko
Tujuan kerangka manajemen risiko adalah untuk membantu organisasi dalam mengintegrasikan manajemen risiko ke dalam aktivitas dan fungsi signifikan.
TIDAK
UNTUK
DISEBARLUASKAN
Kepemimpinan dan Komitmen (leadership and commitment)
Manajemen puncak dan badan pengawas, jika memungkinkan, sebaiknya memastikan manajemen risiko terintegrasi pada semua ativitas organisasi dan sebaiknya menunjukan kepemimpinan dan komitmen dengan:
• Menyesuaikan dan mengimplementasikan semua komponen kerangka kerja;
• Menerbitkan pernyataan atau kebijakan yang menetapkan pendekatan, rencana, atau arah tindakan manajemen risiko;
• Memastikan sumber daya yang diperlukan dialokasikan untuk pengelolaan risiko
• Menetapkan kewenangan, tanggung jawab, dan akuntabilitas pada tingkat yang diperlukan di dalam organisasi
TIDAK
UNTUK
DISEBARLUASKAN
Kepemimpinan dan Komitmen (leadership and commitment)
Kepemimpinan risiko(risk leadership)dan pemimpin risiko(risk leader)
• Kepemimpinan risiko memerlukan volatilitas dalam mengantisipasi perkembangan risiko dan perubahan yang dihadapi dunia usaha semakin tinggi, semakin cepat, dan semakin kompleks.
Kepemimpinan risiko menuntut pemberdayaan yang lebih besar dari kepemimpinan tradisional, disini manajer tingkat menengah dan tingkat pertama harus dapt mengambil keputusan segera bila menghadapi risiko. (Brungardt dan Curtis, 2005)
• Pemimpin risiko adalah individu dengan tanggung jawab yang luas untuk mengelola seluruh risiko organisasi. (Young, 2014)
Pemimpin risiko disebut Chief Risk Officer (CRO), dan biasanya dipegang oleh fungsi direktur utama atau direktur. CRO bertugas untuk menerapkan kepemimpinan risiko Bersama – sama dengan anggota direksi lainnya dan anggota dewan komisaris.
TIDAK
UNTUK
DISEBARLUASKAN
Kepemimpinan dan Komitmen (leadership and commitment)
Peran dan tanggung jawab pemimpin risiko
(CIMA, 2015):
• Membangun kerja sama yang baik dengan seluruh anggota direksi dan dewan komisaris, khususnya dalam memandu menangani penerapan manajemen risiko di seluruh organisasi. (strategic partnership)
• Menerapkan visi dan strategi serta membangun kerangka kerja penerapan manajemen risiko untuk seluruh organisasi, mempersiapkan organisasi terhadap tantangan – tantangan risiko di masa depan. (executive leadership)
• Melakukan pengukuran kondisi budaya sadar saat ini, dan menyusun strategi serta program untuk membangun budaya sadar risiko yang sesuai dan bermanfaat bagi keseluruhan organisasi.
(culture)
• Membangun kapasitas organisasi dengan membentuk fungsi risiko yang mampu menjadi mitra bisnis, sehingga mampu membantu menangani risiko unit bisnis yang menjadi mitranya. (organizational capability)
TIDAK
UNTUK
DISEBARLUASKAN
Peran Direktur Sebagai Pemimpin Risiko
• Menerapkan semua komponen dari kerangka kerja manajemen risiko;
• Menetapkan kebijakan manajemen risiko (risk policy) dan arah penerapan manajemen risiko;
• Mengalokasikan sumber daya untuk mengelola risiko;
• Menetapkan peran, kewenangan, tanggung jawab, dan akuntabilitas pengelolaan risiko;
• Membentuk unit manajemen risiko.
TIDAK
UNTUK
DISEBARLUASKAN
Peran Dewan Komisaris sebagai Pemimpin Risiko
• Memastikan telah ada kajian risiko ketika menentukan sasaran organisasi;
• Memastikan memiliki pemahaman mengenai risiko utama yang dihadapi organisasi dalam upaya mencapai sasaran organisasi;
• Memastikan sistem untuk mengelola risiko – risiko tersebut telah tersedia dan bekerja dengan efektif;
• Memastikan risiko – risiko yang ditangani manajemen telah sesuai dengan konteks organisasi dalam mencapai sasarannya;
• Memastikan pengelolaan informasi terkait pengelolaan risiko terkomunikasikkan dengan baik ke seluruh pihak terkait.
TIDAK
UNTUK
DISEBARLUASKAN
Peran Unit Manajemen Risiko dalam Pengelolaan Risiko
• Memastikan manajemen risiko selaras dengan strategi, sasaran, dan budaya organisasi;
• Memastikan seluruh kewajiban kepatuhan organisasi terpenuhi;
• Memastikan terdapat ketentuan mengenai jenis dan besarnya risiko-risiko yang dapat atau yang tidak dapat diterima organisasi (risk appetite, risk limit, risk tolerance);
• Memastikan terdapat ketentuan mengenai kriteria risiko yang mengacu pada selera risiko;
• Memastikan kriteria risiko, kerangka kerja selera risiko (risk appetite framework) dan manfaat manajemen risiko terkomunikasikan dengan baik ke seluruh organisasi dan para pemangku kepentingan terkait;
• Memastikan terdapat cara pemantauan manajemen risiko yang sistematis dan memadai sehingga risiko terkendali dan kerangka kerja manajemen risiko tetap terjaga efektivitasnya.
TIDAK
UNTUK
DISEBARLUASKAN
Kompetensi yang perlu dimiliki pemimpin risiko, antara lain:
• Mampu membaca peta dan arah organisasi, serta para pemangku kepentingan;
• Mempunyai keberanian, yang berarti berani mengemukakan keyakinannya dengan baik serta dapat berkomunikasi secara berimbang dan memperhatikan pendapat lawan bicaranya;
• Mampu berkomunikasi dengan baik dengan segala tingkatan;
• Senantiasa menjunjung tinggi integritas, etika dan nilai perusahaan dalam melaksanakan tugasnya;
• Menunjukan kredibilitas melalui sikap dan perilakunya.
TIDAK
UNTUK
DISEBARLUASKAN
Hal–hal yang menjadi hambatan dalam menentukan pemimpin risiko:
• Kecenderungan mendahulukan kepakaran teknis manajemen risiko dibandingkan dengan kepemimpinan bisnis;
• Kecenderungan mengharapkan bahwa tuntutan kepemilikan kompetensi dapat dipenuhi oleh seorang kandidat, tanpa memperhitungkan komposisi (kompetensi vs komposisi);
• Kegagalan untuk menyelesaikan perbedaan pendapat dalam menentukan kriteria tuntutan jabatan dan persyaratan kualifikasi kandidat yang diinginkan.
TIDAK
UNTUK
DISEBARLUASKAN
VIDEO: Risk Management Essentials: Risk Culture and Leadership - interview with Pri Notowidigdo
TIDAK
UNTUK
DISEBARLUASKAN
Integrasi (integration)
Integrasi manajemen risiko ke dalam organisasi adalah proses yang dinamis dan berulang, serta sebaiknya disesuaikan dengan kebutuhan dan budaya perusahaan.
Manajemen risiko sebaiknya menjadi bagian dari, dan tidak terpisahkan dari tujuan, tata kelola, kepemimpinan dan komitmen, strategi, sasaran, dan operasi organisasi.
TIDAK
UNTUK
DISEBARLUASKAN
Petunjuk Praktis Penerapan Integrasi:
• Lakukan pemetaan konteks eksternal organisasi secara detail dan gunakan Teknik yang sesuai dengan tujuan dan sasaran organsasi.
• Temukan potensi risiko yang mungkin dihadapi organisasi dalam proses mencapai sasarannya.
• Lakukan pemetaan proses bisnis organisasi secara makro untuk mendapatkan peta konteks internal.
• Lakukan identifikasi potensi risiko yang dihadapi organisasi dengan menggunakan teknik yang sesuai.
• Integrasikan hasil identifikasi potensi risiko dari konteks eksternal dan internal organisasi tersebut.
TIDAK
UNTUK
DISEBARLUASKAN
Ilustrasi integrasi manajemen risiko
Identifikasi risiko
Mitigasi risiko
Rencana tindakan
Metrik kinerja
Shareholder Value/Return on
Investment
W alm art value c hain
Pemasok
Pusat distribusi
Toko
Shopper
Sumber: RIMS (Enterprise Risk Management at Wal-Mart), William Atkinson
TIDAK
UNTUK
DISEBARLUASKAN
Desain (design)
Desain mencakup:
1. Pemahaman organisasi dan konteksnya
(understanding the organization and its context)
2. Penegasan komitmen manajemen risiko (articulating risk management commitment)
3. Penetapan peran, kewenangan, tanggung jawab, dan akuntabilitas organisasional (assigning organizational roles, authorities, responsibilities and accountabilities) 4. Alokasi sumber daya (allocating resources)
5. Penyiapan komunikasi dan konsultasi (establishing communication and consultation)
TIDAK
UNTUK
DISEBARLUASKAN
Desain (design)
1. Pemahaman organisasi dan konteksnya
Ketika mendesain kerangka kerja pengelolaan risiko, organisasi sebaiknya memeriksa dan memahami konteks eksternal dan internalnya.
Konteks eksternal dapat mencakup tetapi tidak terbatas pada:
ekonomi, politik, social, teknologi, hukum, tren yang memengaruhi sasaran organisasi, persepsi, nilai, harapan, etc.
Konteks internal dapat mencakup tetapi tidak terbatas pada: visi, misi, tata kelola, sasaran, kebijakan, budaya organisasi, data, sistem informasi, panduan, etc.
Pemetaan konteks organisasi dapat dilakukan menggunakan Teknik Analisis Pemangku Kepentingan (stakeholders analysis).
TIDAK
UNTUK
DISEBARLUASKAN
Ilustrasi Konteks Internal dan Eksternal Melalui Teknik Analisis Pemangku Kepentingan (stakeholder analysis)
Organisasi Supplier/
kreditor
Pegawai
Pelanggan Pemegang
saham
Aktivis Lingkungan
Regulator
Legislator Komunitas
Media massa
Kompetitor
Masyarakat industri
Pemerintah daerah
Pemangku kepentingan
utama
TIDAK
UNTUK
DISEBARLUASKAN
Kuadran potensi ancaman dan dukungan pemangku kepentingan eksternal dan internal
PENDUKUNG
Strategi: Libatkan
WASPADA
Strategi: Kolaborasi
MARGINAL
Strategi: Monitor
ANCAMAN
Strategi: Bertahan
PotensiDukungan
Potensi Ancaman
Rendah Tinggi
Tinggi
TIDAK
UNTUK
DISEBARLUASKAN
Ilustrasi Konteks Internal dan Eksternal
Sumber: Wal-Mart & Stockholder Analysis, John Ant (2009)
TIDAK
UNTUK
DISEBARLUASKAN
Desain (design)
2. Penegasan komitmen manajemen risiko
Manajemen puncak dan badan pengawas, jika memungkinkan, sebaiknya menunjukan dan menegaskan komitmen berkelanjutan mereka terhadap manajemen risiko melalui kebijakan, pernyataan, atau bentuk lain yang secara jelas menyampaikan sasaran dan komitmen organisasi terhadap manajemen risiko.
Komitmen ini dinyatakan dalam bentuk Kebijakan Manajemen Risiko yang berisi pernyataan niat dan komitmen direksi dan dewan komisaris untuk menerapkan manajemen risiko serta memuat gambaran umum uraian penerapannya sesuai dengan tuntutan standar yang berlaku.
Komitmen manajemen risiko harus disosialisasikan ke seluruh jajaran manajemen dan karyawan organisasi serta seluruh pemangku kepentingan yang terkait.
TIDAK
UNTUK
DISEBARLUASKAN
Desain (design)
3. Penetapan peran, kewenangan, tanggung jawab, dan akuntabilitas organisasi
Manajemen puncak dan badan pengawas, sesuai penerapan, sebaiknya memastikan bahwa kewenangan, tanggung jawab, dan akuntabilitas untuk peran yang relevan dalam manajemen telah ditetapkan dan dikomunikasikan pada semua tingkat organisasi, serta sebaiknya:
• Menekankan bahwa manajemen risiko adalah tanggung jawab inti;
• Mengidentifikasi individu yang memiliki akuntabilitas dan kewenangan untuk mengelola risiko (pemilik risiko).
Penetapan peran, kewenangan, tanggung jawab, dan akuntabilitas organisasi tercermin dalam tata kelola manajemen risiko (risk governance structure) yang dapat disusun dalam berbagai jenis struktur.
TIDAK
UNTUK
DISEBARLUASKAN
Ilustrasi Tata Kelola Manajemen Risiko Menggunakan Model Pertahanan Tiga Lapis (three lines of defense)
1stLine of Defense 2ndLine of Defense 3rdLine of Defense
Managemen t controls
Internal Control Measures
Financial controls Security Risk Management
Quality Inspection Compliance
Internal Audit
Senior management
Governing body/Board/Audit Committee
External Audit Regulator
Sumber: IIA Position Paper (2013)
TIDAK
UNTUK
DISEBARLUASKAN
Ilustrasi Tata Kelola Manajemen Risiko
Direksi Internal auditor
Komite risiko (lintas fungsi) Dewan
komisaris
Komite pemantau risiko
Manajemen keuangan Manajemen
operasi
Manajemen sdm & umum
Manajemen risiko
Hukum &
kepatuhan Pengawasan
Direksi Internal
auditor
Komite risiko (lintas fungsi) Dewan
komisaris
Komite pemantau risiko
Manajemen keuangan Manajemen
operasi
Hukum &
kepatuhan
TIDAK
UNTUK
DISEBARLUASKAN
Desain (design)
4. Alokasi sumber daya
Manajemen puncak dan badan pengawas, sesuai penerapan, sebaiknya memastikan alokasi sumber daya manajemen risiko yang memadai, yang dapat termasuk, tetapi tidak terbatas pada:
• Orang, keterampilan, pengalaman, dan kompetensi;
• Proses, metode, dan alat yang dipakai organisasi untuk mengelola risiko;
• Proses dan prosedur terdokumentasi;
• Sistem manajemen informasi dan pengetahuan;
• Pengembangan profesional dan kebutuhan pelatihan.
Organisasi sebaiknya mempertimbangkan kapabilitas, dan keterbatasan, sumber daya yang ada.
TIDAK
UNTUK
DISEBARLUASKAN
Ilustrasi tahap pengalokasian sumber daya
Tahap 1
Alokasi biaya pada pekerjaan intelektual membangun
pondasi manajemen
risiko
Tahap 2
Alokasi biaya pelatihan dan pengembangan
serta pembangunan sistem informasi
berbasis risiko
Tahap 3
Alokasi biaya dan waktu
untuk mengintegrasi- kan manajemen
risiko dengan proses bisnis organisasi
Tahap 4
Alokasi biaya pendampingan
oleh konsultan untuk membangun budaya risiko
TIDAK
UNTUK
DISEBARLUASKAN
Desain (design)
5. Penyiapan komunikasi dan konsultasi
Organisasi sebaiknya menetapkan pendekatan yang disetujui untuk komunikasi dan konsultasi guna mendukung kerangka kerja dan memfasilitasi penerapan efektif manajemen risiko.
Komunikasi melibatkan pembagian informasi dengan audiens yang dituju.
Konsultasi juga melibatkan pemberian umpan balik dari partisipan dengan harapan bahwa hal itu dapat berkontribusi dan membentuk keputusan atau aktivitas lain.
Salah satu metode yang sering digunakan adalah RACI matrix untuk mendeteksi tingkat keterlibatan para pihak dalam proses penanganan risiko.