Pedoman Manajemen Risiko

(1)

Pedoman

Manajemen Risiko

Pedoman Manajemen Risiko Berbasis ISO 31000 untuk menunjang implementasi manajemen risiko Perusahaan sebagai bagian dari Good Governance dalam rangka meningkatkan kepastian pencapaian sasaran Perusahaan melalui pengelolaan downside risk dan pengoptimalan upside risk

(2)

c. Latar Belakang Pengelolaan Risiko 4

d. Tujuan 6

e. Komponen Pengelolaan Risiko 7

f. Tiga Pilar Manajemen Risiko Perusahaan 8

II Definisi Istilah (ISO GUIDE 73:2009 Risk management – Vocabulary) 10

III Prinsip dan Kerangka Manajemen Risiko 22

- Kerangka kerja untuk mengelola risiko 26

- Desain kerangka kerja 26

a. Mandat dan Komitmen 27

b. Perencanaan dan Pengorganisasian 1) Roadmap Manajemen Risiko 2) Risk Governance

30 31 32

c. Pengembangan kapabilitas dan kapasitas 40

d. Evaluasi dan Perbaikan berkelanjutan 43

e. Proses pada tingkat operasional 48

IV Proses Manajemen Risiko 51

a. Komunikasi & Konsultasi 52

1) Komunikasi 52

2) Konsultasi 53

3) Matriks RACI 54

b. Penetapan Konteks 55

1) Konteks Eksternal 56

2) Konteks Internal 56

3) Kategori Risiko 58

4) Konteks Manajemen Risiko 59

5) Ruang Lingkup Manajemen Risiko

a) Regular Objective Direktorat/Divisi/Cabang b) Specific Objective/khusus

59 59 59

6) Mengembangkan Kriteria Risiko 60

7) Mengembangkan Hirarki Risiko dalam Perusahaan 61

c. Menyusun tabel dampak 63

d. Menyusun tabel kemungkinan 69

(3)

1) Identifikasi Risiko a) Area Risiko

b) Bagaimana Mengidentifikasi Risiko c) Bagaimana Mendeskripsikan Risiko

77 78 79 81 2) Analisis Risiko

a) Analisis Kontrol atau Pengendalian Terkini b) Menentukan Tingkat Risiko

82 82 82

3) Evaluasi Risiko 84

4) Risk Register 85

5) Profil Risiko

a) Fungsi profil risiko

b) Informasi apa yang harus masuk dalam Profil Risiko?

c) Peta Risiko

d) Risiko dengan Sasaran e) Peta keefektifan kontrol

f) Laporan Pemantauan Status Risiko

g) Mendokumentasikan Proses Manajemen Risiko

87 87 88 89 89 91 92

b. Perlakuan Risiko 93

1) Seleksi opsi perlakuan 94

2) Mengembangkan rencana perlakuan risiko 95

VI Mekanisme Monitor dan Tinjau Ulang 97

a. Model Elemen Proses 97

b. Peninjauan proses manajemen risiko 100

c. Mengukur kinerja manajemen risiko 101

(4)

2014

DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 1 dari 102

risiko secara sistematis, terstruktur dan komprehensif dalam rangka meningkatkan kepastian tercapainya tujuan dan sasaran perusahaan baik jangka panjang sebagaimana yang dituangkan dalam Rencana Jangka Panjang Perusahaan (RJPP) maupun jangka pendek sebagaimana tertuang dalam Rencana Kerja Anggaran dan Pendapatan (RKAP).

b. Bahwa pengelolaan risiko diperlukan dalam rangka penguatan penerapan prinsip- prinsip Good Corporate Governance (GCG) terutama terkait dengan penegakan praktek bisnis yang sehat dan dapat memberikan nilai tambah yang sesuai dengan harapan para pemangku kepentingan (stakeholders).

c. Bahwa Jasa Raharja sebagai perusahaan asuransi BUMN mengacu pada Pasal 25 Peraturan Menteri Negara BUMN RI Nomor Per-01/MBU/2011 tentang Tata Kelola Perusahaan Yang Baik (GCG) pada BUMN, wajib memenuhi ketentuan sebagai berikut:

1. Direksi, dalam setiap pengambilan keputusan/tindakan korporasi, harus mempertimbangkan risiko usaha.

2. Direksi wajib membangun dan melaksanakan program manajemen risiko korporasi secara terpadu yang merupakan bagian dari pelaksanaan program GCG.

3. Pelaksanaan program manajemen risiko dapat dilakukan dengan membentuk unit kerja tersendiri yang ada di bawah Direksi; atau memberi penugasan kepada unit kerja yang ada dan relevan untuk menjalankan fungsi manajemen risiko.

4. Direksi wajib menyampaikan laporan profil risiko dan penanganannya bersamaan dengan laporan berkala perusahaan.

d. Bahwa Jasa Raharja sebagai Lembaga Jasa Keuangan Non Bank, mengacu pada Pasal 2 ayat 1 Peraturan Otoritas Jasa Keuangan Nomor 10/POJK.05/2014 tentang Penilaian Tingkat Risiko Lembaga Jasa Keuangan Non Bank, wajib menerapkan prinsip kehati-hatian dan manajemen risiko dalam melakukan kegiatan usahanya.

(5)

2014

f. Bahwa untuk menyesuaikan diri dengan perkembangan standarisasi praktek Enterprise Risk Management (ERM) secara internasional, maka pengembangan sistem Manajemen Risiko Jasa Raharja dilaksanakan dengan mengadopsi standar internasional ISO 31000:2009 Risk Management – Principles and Guidelines, yang telah diadopsi menjadi standar nasional SNI ISO 31000:2011.

1.2. Profil Perusahaan

a. Sejarah dan Tujuan Pendirian Perusahaan

Sejarah berdirinya Jasa Raharja tidak terlepas dari adanya peristiwa pengambil alihan atau nasionalisasi Perusahaan-Perusahaan Milik Belanda oleh Pemerintah RI. Sesuai dengan Peraturan Pemerintah (PP) No.3 tahun 1960, jo Pengumuman Menteri Urusan Pendapatan, Pembiayaan dan Pengawasan RI No.12631/BUM II tanggal 9 Februari 1960, terdapat 8 (delapan) perusahaan asuransi yang ditetapkan sebagai Perusahaan Asuransi Kerugian Negara (PAKN) dan sekaligus diadakan pengelompokan dan penggunaan nama perusahaan sebagai berikut :

 Fa. Blom & Van Der Aa, Fa. Bekouw & Mijnssen, Fa. Sluiiters & co, setelah dinasionalisasi digabungkan menjadi satu bernama PAKN Ika Bhakti.

 NV. Assurantie Maatschappij Djakarta, NV. Assurantie Kantoor Langeveldt- Schroder, setelah dinasionalisasi digabungkan menjadi satu, dengan nama PAKN Ika Dharma.

 NV. Assurantie Kantoor CWJ Schlencker, NV. Kantor Asuransi "Kali Besar", setelah dinasionalisasi digabungkan menjadi satu, dengan nama PAKN Ika Mulya.

 PT. Maskapai Asuransi Arah Baru setelah dinasionalisasi diberi nama PAKN Ika Sakti.

Perkembangan organisasi perusahaan tidak terhenti sampai disitu saja, karena dengan adanya pengumuman Menteri Urusan Pendapatan, Pembiayaan dan Pengawasan RI No. 294293/BUM II tanggal 31 Desember 1960, keempat perusahaan tersebut di atas digabung dalam satu Perusahaan Asuransi Kerugian Negara (PAKN) Ika Karya. Selaniutnya PAKN Ika Karya berubah nama meniadi Perusahaan Negara Asuransi Kerugian (PNAK) Eka Karya.

(6)

2014

berdasarkan Surat Keputusan Menteri Urusan Pendapatan, Pembiayaan dan Pengawasan RI No. BAPN 1-3-3 tanggal 30 Maret 1965.

Pada tahun 1970, PNAK Jasa Raharja diubah statusnya menjadi Perusahaan Umum (Perum) Jasa Raharja. Perubahan status ini dituangkan dalam Surat Keputusan Menteri Keuangan Republik Indonesia No. Kep.750/KMK/IV/II/1970 tanggal 18 November 1970, yang merupakan tindak lanjut dikeluarkannya UU.

No.9 tahun 1969 tentang Bentuk- Bentuk Badan Usaha Negara.

Pada tahun 1978 yaitu berdasarkan PP No.34 tahun 1978 dan melalui Surat Keputusan Menteri Keuangan Republik Indonesia yang selalu diperpanjang pada setiap tahun dan terakhir No. 523/KMK/013/1989, selain mengelola pelaksanaan UU. No.33 dan UU. No. 34 tahun 1964, Jasa Raharja diberi tugas baru menerbitkan surat jaminan dalam bentuk Surety Bond. Kemudian sebagai upaya pengemban rasa tanggung jawab sosial kepada masyarakat khususnya bagi mereka yang belum memperoleh perlindungan dalam lingkup UU No.33 dan UU No.34 tahun 1964, maka dikembangkan pula usaha Asuransi Aneka.

Kemudian dalam perkembangan selanjutnya, mengingat usaha yang ditangani oleh Perum Jasa Raharja semakin bertambah luas, maka pada tahun 1980 berdasarkan pp No.39 tahun 1980 tanggal 6 November 1980, status Jasa Raharja diubah lagi menjadi Perusahaan Perseroan (Persero) dengan nama PT (Persero) Asuransi Kerugian Jasa Raharja, yang kemudian pendiriannya dikukuhkan dengan Akte Notaris Imas Fatimah, SH No.49 tahun 1981 tanggal 28 Februari 1981, yang telah beberapa kali diubah dan ditambah terakhir dengan Akte Notaris Imas Fatimah, SH No.59 tanggal 19 Maret 1998 berikut perbaikannya dengan Akta No.63 tanggal 17 Juni 1998 dibuat dihadapan notaris yang s ama.

Pada tahun 1994, sejalan dengan diterbitkan UU No.2 tahun 1992 tentang Usaha Perasuransian, yang antara lain mengharuskan bahwa Perusahaan Asuransi yang telah menyelenggarakan program asuransi sosial dilarang menjalankan

asuransi lain selain program asuransi sosial, maka terhitung mulai tanggal 1 Januari 1994 Jasa Raharja melepaskan usaha non wajib dan surety bond dan

kembali menjalankan program asuransi sosial yaitu mengelola pelaksanaan UU.

No.33 tahun 1964 dan UU. No.34 tahun 1964.

Perkembangan terakhir pada tahun 2014 telah diterbitkan UU No. 40 tahun 2014 tentang Usaha Perasuransian yang menempatkan Jasa Raharja bukan sebagai

(7)

2014

Penumpang Umum sebagaimana diatur dalam Undang-Undang No 33 dan No.34 Tahun 1964, PMK RI No.36/PMK.010/2008 dan PMK RI No.37/PMK.010/2008.

1.3. Latar Belakang Pengelolaan Risiko

Awal mula Manajemen Risiko di PT Jasa Raharja (Persero) dilakukan pada akhir tahun 2008. Pada saat itu Perusahaan menyadari bahwa Manajemen Risiko merupakan salah satu elemen penting dari Good Corporate Governance dan memiliki fungsi strategis untuk mengenali berbagai macam risiko yang dihadapi atau akan dihadapi oleh Perusahaan. Melalui pelaksanaan Manajemen Risiko, Perusahaan juga bertujuan untuk melindungi manajemen agar tidak menghasilkan kebijakan yang merugikan Perusahaan dimasa masa mendatang.

Proses Manajemen Risiko diawali dengan adanya suatu proses untuk membentuk kesadaran pada setiap jenjang organisasi, dengan memberi pemahaman bahwa dalam setiap aktivitas yang dilaksanakan di unit kerja pasti mengandung suatu risiko, atau dengan kata lain tidak ada kegiatan yang tanpa risiko. Oleh karena itu perlu ditetapkan suatu pola untuk pengelolaan risiko, agar risiko tidak menyebabkan kerugian bagi Perusahaan atau bahkan kalau memungkinkan dapat dikelola menjadi suatu peluang yang dapat meningkatkan keuntungan bagi Perusahaan.

Perusahaan menyadari bahwa risiko adalah bagian yang tak terpisahkan dari proses organisasi, oleh karena itu Manajemen Risiko bukanlah sesuatu yang terpisahkan dari kegiatan utama organisasi ataupun proses lain organisasi. Manajemen Risiko menjadi bagian yang tak terpisahkan dari tanggung jawab manajemen, dalam memastikan tercapainya sasaran organisasi. Berdasarkan hal tersebut di atas, maka Manajemen Risiko haruslah diintegrasikan sepenuhnya ke dalam governance atau tata kelola Perusahaan untuk lebih memberikan kepastian terhadap pencapaian sasaran Perusahaan dan mewujudkan tata kelola Perusahaan yang baik.

a. Pertimbangan Strategis dan Operasional

1. Intisari (essence) dari GCG adalah pencapaian misi dan visi perusahaan melalui pelaksanaan aspek-aspek sbb:

a) Menatahubungan yang seimbang (balanced of authority) antar organ perseroan;

(8)

2014

andal.

2. Memperhatikan potensi risiko yang bersumber dari pengaruh lingkungan eksternal dan internal perusahaan, maka penerapan manajemen risiko merupakan kebutuhan yang penting bagi pencapaian sasaran aspek GCG di atas.

3. Karena itu, Direksi telah menyatakan komitmennya untuk menerapkan Manajemen Risiko di lingkungan perusahaan dengan menetapkan kebijakan dalam bentuk Pedoman Manajemen Risiko di Lingkungan Perusahaan.

4. Selanjutnya membentuk struktur manajemen risiko yang mencukupi untuk mendorong serta membantu setiap Unit Kerja dalam implementasi pedoman tersebut.

b. Pertimbangan kepatuhan hukum (compliance)

1. Undang-Undang No.40 Tahun 2007 tentang Perseroan Terbatas.

2. Peraturan Menteri Keuangan No.152/PMK/2012 tentang Tata Kelola Yang Baik bagi Perusahaan Perasuransian.

3. Peraturan Menteri BUMN No: Per-01/MBU/2011 tanggal 1 Agustus 2011 tentang Penerapan Tata Kelola Perusahaan Yang Baik Pada BUMN.

4. Keputusan Menteri Keuangan Nomor 168/PMK/2010 Tentang Pemeriksaan Perusahaan Perasuransian.

5. Keputusan Sekretaris Kementerian BUMN No.SK-16/S.MBU/2012 tentag Indikator/Parameter Penilaian dan Evaluasi Atas Penerapan Tata Kelola Perusahaan Yang Baik Pada Badan Usaha Milik Negara.

6. Standar Internasional Manajemen Risiko ISO 31000:2009 Risk Management- Principles and Guidelines.

7. Standar Internasional Manajemen Risiko ISO Guide 73:2009 Risk Management Vocabulary.

(9)

2014

1.4. Tujuan

a. Tujuan Pengelolaan Risiko

1. Meningkatkan kesadaran bahwa semua upaya pencapaian sasaran dan target-target perusahaan mengandung risiko dan karenanya setiap individu, unit kerja (Direktorat/Divisi/Satuan/Cabang/Kantor Perwakilan), harus dapat mengelola risiko sesuai kedudukan dan tanggungjawabnya masing-masing sebagai bagian dari pengelolaan risiko korporat terintegrasi.

2. Meningkatkan kepastian pencapaian sasaran dan target-target perusahaan dengan cara:

a) Menurunkan tingkat kemungkinan keterjadian peristiwa-peristiwa berbahaya yang dapat terjadi.

b) Meminimalkan potensi kerugian sebagai dampak yang ditimbulkan oleh peristiwa-peristiwa tersebut.

b. Tujuan Penyusunan Pedoman Manajemen Risiko

1. Menjadi landasan kebijakan bagi operasionalisasi fungsi dan proses manajemen risiko di Jasa Raharja.

2. Mendefinisikan peran dan tanggung jawab dari masing-masing organ organisasi yang terlibat dalam proses manajemen risiko.

3. Mengatur penerapan manajemen risiko berbasis SNI ISO 31000:2011 di lingkungan Jasa Raharja.

4. Memastikan agar pengelolaan risiko perusahaan dapat berlangsung secara sistematis dan terstruktur, sehingga pada akhirnya perusahaan terhindar dari kerugian yang secara signifikan dapat mempengaruhi nilai dan kekayaan perusahaan.

5. Memberikan kerangka pelaporan untuk memastikan terdapatnya komunikasi atas informasi manajemen risiko yang diperlukan.

(10)

2014

masing dan secara berkala melaporkan perkembangannya kepada Direksi.

1.5. Komponen Pengelolaan Risiko

a. Dalam Pedoman ini, sistem manajemen risiko terdiri dari 3 (tiga) komponen yang saling terkait yaitu:

1. Prinsip-prinsip manajemen risiko,

2. Kerangka kerja dalam mengelola risiko, dan 3. Proses pengelolaan risiko.

b. Prinsip-prinsip manajemen risiko merupakan pondasi (nilai dasar) bagi pengembangan kerangka kerja pengelolaan risiko yang merupakan pilar-pilar bagi penerapan proses manajemen risiko. Sementara proses manajemen risiko adalah penjabaran dari kerangka kerja pengelolaan risiko dalam rangka mempermudah penerapan prinsip-prinsip pengelolaan risiko, baik di tingkat korporat, di tingkat unit kerja, maupun individu.

Skema hubungan ketiga komponen tersebut adalah sebagai berikut:

Gambar 1.1. Hubungan 3 Komponen Sistem Manajemen Risiko

(11)

2014

mengelola risiko (managing risks), dan antara fungsi yang mengawasi risiko (overseeing risks) dengan fungsi-fungsi yang menyediakan pemastian independen (independent assurance).

1. Pilar Pertama(managing risks)

Unit Kerja Teknis / Risk Taking Unit (RTU) sebagai garis depan atau ujung tombak organisasi, bertanggungjawab untuk :

a. Memastikan adanya lingkungan pengendalian (control environment) yang kondusif..

b. Menerapkan kebijakan manajemen risiko yang telah ditetapkan sewaktu menjalankan peran dan tanggung jawabnya

c. Mempertimbangkan faktor risiko dalam keputusan-keputusan dan tindakan- tindakan yang dilakukannya.

d. Mampu menunjukkan adanya pengendalian internal yang efektif, dan juga adanya pemantauan dan transparansi terhadap efektifitas pengendalian internal tersebut.

2. Pilar Kedua(overseeing risks)

Divisi Manajemen Risiko dan Penelitian Pengembangan bertanggung jawab untuk a. Mengembangkan dan memantau implementasi manajemen risiko perusahaan

secara keseluruhan.

b. Melakukan pengawasan terhadap bagaimana fungsi bisnis dilaksanakan dalam koridor kebijakan manajemen risiko dan prosedur-prosedur standard operasionalnya yang telah ditetapkan oleh perusahaan.

c. Memantau dan melaporkan risiko-risiko perusahaan secara menyeluruh kepada organ yang memiliki akuntabilitas tertinggi di perusahaan.

3. Pilar Ketiga (independent assurance)

Satuan Pengawasan Intern adalah bagian internal perusahaan yang bersifat independen terhadap fungsi-fungsi lainnya, bertanggung jawab untuk

a. Melakukan reviu dan evaluasi terhadap rancang bangun dan implementasi manajemen risiko secara keseluruhan, dan

b. Memastikan bahwa pertahanan lapis pertama dan lapis kedua berjalan sesuai dengan yang diharapkan.

(12)

2014

DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 9 dari 102 Gambar 1.2: Tiga Pilar Manajemen Risiko

*Forum dapat dibentuk dan bersifat adhoc

akuntabilitas tidak langsung terhadap pertahanan lapis ketiga. Walaupun Dewan Komisaris hanya memiliki koordinasi dengan auditor internal dan eksternal untuk pertahanan lapis ketiga, mereka juga sebenarnya secara tidak langsung terlibat dalam pemantauan efektifitas pertahanan lapis kedua melalui hasil reviu auditor internal tentang efektifitas kebijakan dan implementasi manajemen risiko di perusahaan secara menyeluruh. Sedangkan Forum Manajemen Risiko dapat dibentuk oleh Direksi untuk memberikan masukan kepada Direksi terkait pelaporan profil risiko dan hasil peninjauan ulang implementasi manajemen risiko yang disampaikan oleh Divisi Manajemen Risiko dan Penelitian Pengembangan.

Dengan diterapkannya model ini, semakin besar kemungkinan terbentuknya budaya manajemen risiko yang terintegrasi di seluruh proses dan seluruh lini perusahaan, untuk menuju ke tingkat kematangan pengelolaan manajemen risiko perusahaan yang semakin baik.

(13)

2014

Istilah dan definisi yang digunakan dalam Pedoman ini mengacu pada istilah dan definisi yang digunakan pada ISO GUIDE 73:2009 Risk management – Vocabulary yang menjadi standar internasional istilah untuk manajemen risiko. Hal ini dimaksudkan untuk menghindari kerancuan dari berbagai macam istilah dan definisi yang digunakan dalam berbagai macam standar yang mungkin sudah dipakai perusahaan.

1. Analisis risiko (risk analysis)

Proses untuk memahami sifat risiko dan untuk menentukan peringkat risiko: analisa risiko merupakan dasar untuk evaluasi risiko dan landasan keputusan perlakuan risiko.

2. Area Dampak

Jenis Dampak yang dipengaruhi oleh suatu kejadian risiko, misalnya keuangan, reputasi, keselamatan kerja dlsb.

3. Asesmen risiko (risk assessment)

Keseluruhan proses yang meliputi identifikasi risiko, analisa risiko, dan evaluasi risiko.

4. Atribut Risiko (risk attributes)

Adalah atribut suatu risiko atau kondisi risiko yang digambarkan secara lengkap meliputi:

nama risiko, jenis risiko, deskripsi risiko, kategori risiko, kemungkinan, dampak, sumber risiko, ukuran (magnitude) risiko, status risiko dan pemilik risiko.

5. Berbagi risiko (risk sharing)

Salah satu bentuk perlakuan risiko adalah mendistribusikan risiko dengan pihak-pihak lain, dimana:

- Ketentuan perundang-undangan dapat membatasi atau melarang pembagian risiko ini;

- Pembagian risiko dapat dilakukan melalui asuransi atau jenis perjanjian lainnya;

- Pembagian risiko dapat menciptakan risiko baru atau mengubah risiko yang ada.

6. Berbahaya (hazard)

Sumber potensial yang menyebabkan terjadinya bahaya, dimana kondisi berbahaya ini merupakan salah satu sumber risiko.

7. Daftar risiko (risk register)

Rekaman informasi mutakhir dari risiko yang telah teridentifikasi, dimana kadang-kadang digunakan juga istilah risk log .

(14)

2014

8. Dampak (consequence)

Akibat dari suatu peristiwa yang mempengaruhi sasaran organisasi, dimana:

- Satu peristiwa dapat menimbulkan berbagai dampak;

- Satu dampak dapat dipastikan tetapi juga tidak dapat dipastikan, begitu juga dampak ini dapat bersifat positif tetapi juga dapat bersifat negatif;

- Dampak dapat dinyatakan secara kuantitatif atau kualitatif.

9. Eksposur Risiko (risk exposure)

Adalah besaran risiko yang berpotensi ditanggung oleh satu entitas dimana besaran risiko diukur berdasarkan likelihood dan besarnya kerugian yang akan ditanggung apabila risiko tersebut terjadi (impact).

10. Entitas (entity)

Satu perusahaan yang didirikan untuk tujuan tertentu. Entitas dapat berupa perusahaan bisnis, organisasi non-profit, badan pemerintah atau institusi akademik. Entitas juga sinonim dari organisasi dan perusahaan.

11. Evaluasi risiko (risk evaluation)

Proses untuk membandingkan hasil analisa risiko dengan kriteria risiko dan kemudian ditentukan apakah peringkat risiko dapat diterima atau ditolerir, dimana evaluasi risiko membantu dalam membuat keputusan terhadap perlakuan risiko.

12. Ex-Ante

Satu aktivitas yang dilakukan untuk kepentingan satu event, dimana event tersebut belum, sedang, atau akan terjadi/berlangsung.

13. Ex-Post

Satu aktivitas yang dilakukan untuk kepentingan satu event, dimana event tersebut telah terjadi.

14. Fasilitator risiko (risk officer)

Pegawai pada setiap Divisi/Kantor Cabang yang ditunjuk untuk menjalankan peran fungsional untuk membantu RTU Divisi/Kantor Cabang dalam menjalankan proses manajemen risiko di unit kerjanya masing-masing.

(15)

2014

15. Frekwensi (frequency)

Satu ukuran dari kemungkinan terjadinya peristiwa yang dinyatakan dalam jumlah peristiwa yang terjadi dalam satu periode tertentu.

16. Identifikasi risiko (risk identification)

Proses dalam menemukan, mengenali dan/atau menguraikan atribut-atribut risiko.

Identifikasi risiko meliputi identifikasi sumber-sumber risiko, peristiwa dan penyebabnya serta dampaknya. Identifikasi risiko juga meliputi data historis, analisa teoritis, pendapat ahli dan persepsi serta kebutuhan pemangku kepentingan.

17. Kebijakan manajemen risiko (risk management policy)

Pernyataan arahan dan maksud organisasi terkait dengan manajemen risiko.

18. Keengganan risiko (risk aversion)

Sikap enggan untuk menerima /menjalani suatu proses dengan hasil yang tidak pasti ketimbang sesuatu yang lebih pasti.

19. Kelemahan (vulnerability)

Suatu kumpulan sifat yang melekat pada sesuatu hal yang membuatnya rentan terhadap sumber risiko, sehingga memudahkan timbulnya dampak.

20. Kemungkinan (likelihood)

Kesempatan/kemungkinan bahwa sesuatu akan terjadi, dimana panduan ini menggunakan kata “likelihood” mengacu pada pengertian bahwa sesuatu diharapkan akan terjadi, dimana harapan ini dinyatakan baik secara obyektif atau subyektif dengan menggunakan ukuran seperti probabilitas, frekwensi terjadinya untuk suatu jangka waktu tertentu, atau model matematik tertentu. Istilah bahasa Inggris “likelihood” tidak ditemui padanannya yang tepat dalam bahasa lain. Ini berbeda dengan istilah probability yang sering ditafsirkan secara sempit sebagai istilah statistik. Oleh karena itu panduan ini menggunakan istilah likelihood dengan maksud dan pengertian yang lebih luas, yang juga dipunyai oleh bahasa lain.

21. Kerangka kerja manajemen risiko (risk management framework)

Seperangkat komponen-komponen yang memberikan landasan dan kerangka kerja untuk merencanakan, menerapkan, memonitor, meninjau ulang, dan secara berkelanjutan memperbaiki proses manajemen risiko pada seluruh bagian organisasi. Yang dimaksudkan sebagai landasan adalah kebijakan, sasaran, mandat dan komitmen manajemen risiko.

Termasuk dalam kerangka kerja organisasi adalah rencana, tata hubungan, akuntabilitas, sumber daya, proses dan kegiatan. Kerangka kerja manajemen risiko menyatu ke dalam kebijakan strategis, operasional dan praktik-praktik organisasi.

(16)

2014

22. Ketahanan (resilience)

Kemampuan untuk bertahan terhadap pengaruh suatu peristiwa.

23. Keterbatasan Inheren (inherent limitation)

Suatu keterbatasan yang melekat pada sistem EWRM (Enterprise Wide Risk Management) terutama dikarenakan keterbatasan pertimbangan (judgement) manusia, keterbatasan sumber daya dan keinginan mengendalikan biaya dalam rangka mencapai tujuan tertentu, dan kemungkinan manajemen menyembunyikan informasi atau berkolusi.

24. Ketidakpastian (uncertainty)

Suatu keadaan atau kondisi dimana terdapat kekurangan informasi atau ketidakjelasan informasi terkait dengan kemungkinan dan/atau dampak dari suatu peristiwa.

25. Kondisi Menguntungkan (favorable variance)

Adalah suatu kondisi dimana realisasi yang dicapai lebih baik atau melampaui target atau anggaran yang ditetapkan.

26. Komunikasi dan konsultasi (communication and consultation)

Proses yang berkelanjutan dan berulang antara organisasi dan para pemangku kepentingan dalam saling memberikan, berbagi dan memperoleh informasi serta melakukan dialog terkait dengan penanganan risiko. Informasi ini dapat berupa adanya sifat, bentuk, kemungkinan terjadinya, kegawatan, evaluasi, dapat diterimanya, perlakuan atau aspek lain dari risiko atau manajemen risiko. Konsultasi adalah proses dialog antara organisasi dengan para pemangku kepentingan, yang berdasarkan informasi tersedia akan menentukan sikap atau arah kebijakan sebelum mengambil keputusan. Konsultasi merupakan suatu proses bukan keluaran yang pengaruhnya pada sebuah keputusan lebih atas dasar pertimbangan dan bukan kekuasaan. Selain itu, konsultasi merupakan masukan untuk proses pengambilan keputusan, dan bukan pengambilan keputusan bersama. Komunikasi internal dan konsultasi hendaknya dibuatkan risalahnya dengan baik.

27. Konteks eksternal (external context)

Lingkungan eksternal tempat organisasi berusaha mencapai sasarannya, dimana konteks eksternal meliputi:

- Lingkungan budaya, politik, ekonomi, hukum, peraturan-peraturan, teknologi, keuangan, alam dan persaingan usaha. Baik ini secara nasional, internasional, maupun lokal;

- Berbagai macam kecenderungan maupun dorongan penting yang dapat mempunyai pengaruh atau dampak terhadap sasaran organisasi;

- Persepsi dan nilai-nilai para pemangku kepentingan eksternal.

(17)

2014

28. Konteks internal (internal context)

Lingkungan internal organisasi dimana dilakukan upaya untuk mencapai sasarannya.

Konteks internal meliputi:

- Kemampuan organisasi dalam pengertian sumber daya dan pengetahuan (misalnya modal, waktu, orang, sistem, teknologi, dan lain sebagainya);

- Sistem informasi, alur informasi dan proses pengambilan keputusan baik formal maupun informal;

- Pemangku kepentingan internal;

- Kebijakan, sasaran dan strategi untuk mencapainya;

- Persepsi, nilai-nilai dan budaya organisasi-Standar dan model acuan yang digunakan oleh organisasi-Struktur, misalnya: governance, peran dan akuntabilitas.

29. Kondisi tidak menguntungkan (unfavorable variance)

Adalah suatu kondisi dimana realisasi yang dicapai lebih rendah atau tidak mencapai target atau anggaran yang ditetapkan.

30. Kontrol Terkini (existing control)

Adalah pengendalian atas suatu risiko yang sudah ada pada saat tertentu yang terkini.

31. Kriteria risiko (risk criteria)

Kerangka acuan terhadap suatu besaran dimana risiko akan diukur. Kriteria risiko dibuat berdasarkan konteks internal dan eksternal, serta secara berkala akan ditinjau untuk memastikan relevansinya. Kriteria risiko juga dapat diturunkan dari standar, kebijakan dan peraturan perundangan.

32. Manajemen risiko (risk management)

Upaya terkoordinasi untuk mengarahkan dan mengendalikan kegiatan-kegiatan organisasi terkait dengan risiko.

33. Matriks RACI

Matriks RACI adalah alat yang sederhana yang berguna untuk menjelaskan dan menegaskan peran dan tanggungjawab lintas fungsi/bagian dalam suatu proyek, program, proses dan pada tiap perubahan organisasi.

R=Responsible, A=Accountable, C=Consulted/Contribute, I= Informed.

(18)

2014

34. Mitigasi risiko (risk mitigation)

Tindakan untuk mengurangi dampak yang tidak diinginkan.

35. Monitoring (monitoring)

Pemeriksaan, supervisi, observasi berkala atau pemeriksaan status dengan tujuan untuk mengetahui dan memastikan apakah terjadi perubahan atau penyimpangan kinerja dari yang telah ditentukan atau direncanakan. Pemantauan dapat dilaksanakan terhadap kerangka kerja manajemen risiko, proses manajemen risiko dan risiko itu sendiri.

36. Paparan risiko (exposure)

Suatu keadaan dimana suatu organisasi dan/atau pemangku kepentingan menjadi bagian dari atau terlibat dalam suatu peristiwa.

37. Pelaporan risiko (risk reporting)

Suatu bentuk komunikasi untuk menyampaikan informasi mengenai status risiko dan pengelolaannya kepada pemangku kepentingan internal maupun eksternal.

38. Pemangku kepentingan (stakeholders)

Setiap orang atau organisasi yang dapat mempengaruhi atau dipengaruhi, atau menganggap dirinya dapat dipengaruhi oleh suatu keputusan atau kegiatan, dimana pengambil keputusan juga dianggap sebagai pemangku kepentingan.

39. Pemangku risiko (risk owner)

Orang, bagian, atau organisasi yang mempunyai akuntabilitas dan kewenangan untuk mengelola risiko serta perlakuan risiko yang terkait.

40. Pembiayaan risiko (risk financing)

Salah satu bentuk perlakuan risiko yang mencakup rencana kontingensi untuk penyediaan dana guna memenuhi kebutuhan dampak finansial yang mungkin terjadi.

41. Penerimaan risiko (risk acceptence)

Keputusan yang matang untuk menerima suatu risiko tertentu, dimana:

- Penerimaan risiko dapat terjadi tanpa proses perlakuan risiko atau ketika proses tersebut sedang berjalan.

- Penerimaan risiko dapat pula berupa proses.

- Risiko yang diterima harus dimonitor dan ditinjau ulang.

(19)

2014

42. Pengendalian (control)

Kegiatan untuk mengubah tingkat risiko menjadi lebih rendah. Kegiatan pengendalian adalah hasil dari perlakuan risiko, dimana kegiatan pengendalian meliputi antara lain proses kerja, kebijakan, peralatan, praktek atau tindakan yang untuk mengubah risiko.

43. Pengendalian internal (internal control)

Suatu proses yang didesain oleh Dewan Direksi, manajemen dan personil lainnya untuk menghadirkan suatu tingkat keyakinan yang memadai bahwa tujuan-tujuan tercapai dengan optimal seperti: efektifitas dan efisiensi operasi, kehandalan laporan keuangan, dan kepatuhan terhadap hukum dan regulasi yang berlaku.

44. Peninjauan/Kaji ulang (review)

Kegiatan yang dilakukan untuk menentukan kecocokan, kecukupan dan efektifitas sesuatu obyek atau sistem dalam mencapai sasaran yang telah ditetapkan, dimana pemantauan dapat dilaksanakan terhadap kerangka kerja manajemen risiko, proses manajemen risiko dan risiko itu sendiri.

45. Penggabungan risiko (risk aggregation)

Proses untuk menggabungkan masing-masing risiko untuk memperoleh gambaran dan pemahaman terhadap risiko.

46. Penghindaran risiko (risk avoidance)

Keputusan untuk tidak terlibat atau menarik diri dari suatu kegiatan berdasarkan pertimbangan peringkat risiko. Penghindaran risiko dapat merupakan hasil evaluasi risiko atau ketentuan hukum.

47. Peringkat risiko (level of risk)

Besarnya atau kegawatan risiko dinyatakan melalui kombinasi besaran dampak dan kemungkinan.

48. Peristiwa (event)

Kejadian atau perubahan yang terjadi pada suatu kondisi atau lingkungan tertentu, dimana:

- Sifat, kemungkinan dan dampak dari suatu peristiwa tidak selalu dapat diketahui dengan baik;

- Sebuah peristiwa dapat terjadi beberapa kali (berulang) dan akibat dari penyebab yang berbeda-beda;

(20)

2014

- Kemungkinan dari sebuah peristiwa dapat diperkirakan;

- Sebuah peristiwa dapat terdiri pada satu atau lebih kondisi tertentu;

- Sebuah peristiwa yang mempunyai dampak, seringkali disebut sebagai “kejadian”;

49. Peristiwa mengandung risiko (risk event)

Adalah suatu peristiwa yang terjadi, baik yang telah diantisipasi maupun belum diantisipasi, dimana peristiwa tersebut memenuhi kualitas dan pengertian Risiko.

50. Perlakuan risiko (risk treatment)

Proses untuk memodifikasi (mengeksploitasi dan mengendalikan) risiko. Perlakuan risiko meliputi:

- Menghindari risiko dengan memutuskan untuk tidak menjalankan pencapaian sasaran yang berisiko tersebut;

- Mengambil atau meningkatkan nilai risiko dalam rangka mengeksploitasi peluang;

- Menghilangkan atau menurunkan pengaruh dari sumber penyebab risiko;

- Mengubah besar dan sifat dari kemungkinan timbulnya risiko;

- Mengubah tingkat potensi kerugian sebagai dampak terjadinya risiko;

- Berbagi risiko dengan pihak lain;

- Mempertahankan tingkat risiko yang sudah aman;

- Perlakuan risiko yang ditujukan untuk mengurangi dampak negatif risiko, seringkali disebut juga dengan istilah-istilah: mitigasi risiko, eliminasi risiko, pencegahan risiko dan reduksi risiko.

- Perlakuan risiko dapat memodifikasi tingkat risiko yang ada atau menimbulkan risiko baru sebagai efek sampingnya.

51. Persepsi risiko (risk perception)

Pandangan atau persepsi pemangku kepentingan terhadap risiko. Persepsi risiko menunjukkan kebutuhan, masalah dan pengetahuan pemangku kepentingan terhadap risiko.

Selain itu, persepsi risiko dapat berbeda dengan data obyektif.

52. Peta risiko (risk map)

Teknik untuk memperagakan dan menyusun tingkat risiko dengan menggambarkannya pada sumbu dampak dan kemungkinan.

(21)

2014

53. Prinsip “prepare for the worst”

Prinsip yang mempertimbangkan pada kondisi yang paling buruk jika suatu peristiwa yang mengandung risiko terjadi.

54. Probabilitas (probability)

Ukuran untuk menyatakan harapan terjadinya suatu peristiwa yang dinyatakan dalam angka 0 sampai dengan 1. Angka 0 menyatakan peristiwa tersebut tidak mungkin terj adi dan angka 1 menyatakan peristiwa tersebut pasti terjadi.

55. Profil risiko (risk profile)

Gambaran keseluruhan atau sekumpulan risiko-risiko organisasi. Kumpulan risiko tersebut dapat merupakan kumpulan untuk seluruh organisasi atau untuk bagian tertentu dari organisasi, atau sesuai dengan kebutuhan.

56. Proses manajemen (management process)

Serangkaian tindakan yang dilakukan manajemen untuk menjalankan suatu perusahaan.

Enterprise Wide Risk Management (EWRM) adalah salah satu bagian dari dan terintegrasi dengan proses manajemen. Proses atau fungsi manajemen klasik adalah merencanakan, mengorganisasikan, melaksanakan, mengarahkan dan mengawasi.

57. Proses manajemen risiko (risk management process)

Penerapan secara sistematik kebijakan, prosedur dan praktik manajemen untuk pelaksanaan tugas dalam berkomunikasi dan konsultasi, menetapkan konteks, mengidentifikasi, menganalisa, mengevaluasi, memperlakukan, memonitor dan reviu risiko.

58. Rencana manajemen risiko (risk management plan)

Dokumen yang merupakan bagian dari kerangka kerja manajemen risiko, yang berisikan cara-cara pendekatan, cara kerja manajemen, metodologi, teknik dan sumber daya yang akan diterapkan dalam manajemen risiko. Cara kerja manajemen meliputi prosedur, praktik, penugasan dan tanggung jawab, urutan kerja. Rencana manajemen risiko dapat diterapkan pada suatu produk tertentu, proses dan proyek, sebagian atau seluruh organisasi.

59. Rencana perlakuan risiko (risk treatment plan)

Penjabaran strategi mitigasi dalam bentuk action plan yang harus menjadi bagian dari Rencana Kerja Operasional baik di tingkat Korporat maupun di tingkat Unit Kerja.

(22)

2014

60. Retensi risiko (risk retention)

Kesedian untuk menerima beban kerugian, atau manfaat dari suatu risiko tertentu, dimana retensi risiko termasuk dalam menerima risiko tersisa. Peringkat risiko yang dapat diterima ditentukan oleh kriteria risiko.

61. Risiko (risk)

Pengaruh dari ketidakpastian terhadap sasaran/tujuan (objectives). Pengaruh adalah suatu penyimpangan dari yang diharapkan baik positif atau negatif. Sasaran dapat mempunyai beberapa aspek, seperti misalnya aspek keuangan, kesehatan, keselamatan, lingkungan hidup dan juga mempunyai beberapa tingkatan seperti tingkat strategis, seluruh perusahaan, proyek, produk, jasa dan proses. Selain itu, risiko sering dinyatakan dengan mengacu pada suatu peristiwa yang mungkin terjadi, dampak peristiwa tersebut dan bagaimana hal tersebut dapat mempengaruhi pencapaian sasaran. Risiko sering pula dinyatakan dalam bentuk kombinasi dampak dan kemungkinan terjadinya suatu peristiwa, atau perubahan situasi/lingkungan.

62. Risiko inheren/bawaan (inherent risk)

Suatu risiko yang melekat pada proses bisnis suatu entitas yang mana apabila tidak dikelola dengan baik akan dapat meningkatkan likelihood dan impact dari risiko tersebut. Nilai Risiko Inheren adalah nilai risiko dengan tidak mempertimbangkan kontrol risik o yang telah ada.

63. Risiko saat ini (current risk)

Nilai risiko inheren dengan mempertimbangkan kontrol risiko yang telah ada.

64. Risiko lintas perusahaan (cross-enterprises risks)

Risiko yang saling terkait antara satu entitas ke entitas lain atau satu unit usaha ke unit usaha lain di dalam satu holding perusahaan.

65. Risiko tersisa (residual risk)

Risiko yang masih ada setelah dilaksanakan perlakuan risiko. Salah satu yang termasuk risiko tersisa adalah risiko yang tidak teridentifikasi. Selain itu, risiko tersisa sering juga disebut sebagai retensi risiko yang ditahan.

66. Selera risiko (risk appetite)

Jumlah dan jenis risiko yang siap untuk ditangani atau diterima oleh organisasi.

67. Sikap terhadap risiko (risk attitude)

Cara pendekatan organisasi dalam melakukan asesmen risiko, apakah akan mengejar risiko (positif), menahan risiko, mengambil risiko atau justru menjauhi risiko.

(23)

2014

68. Sistem informasi manajemen risiko (risk management information system) Suatu sistem, umumnya berbasis teknologi informasi, yang didesain untuk : - mengklasifikasikan dan menghimpun data berdasarkan kategori, jenis dan sifat;

- mengefektifkan dan mengefisienkan proses menghasilkan

69. Sistem pengendalian internal (internal control system)

Sinonim untuk pengendalian/pengawasan internal yang diterapkan di dalam suatu entitas.

70. Sumber risiko (risk source)

Segala sesuatu baik secara sendiri-sendiri atau bersama-sama dengan lainnya mempunyai potensi melekat (inheren) yang dapat menimbulkan risiko. Risiko tidak akan terjadi bila tidak terjadi interaksi antara sumber risiko dengan orang, organisasi atau benda-benda lainnya.

Sumber risiko dapat merupakan sesuatu yang terukur (tangible) atau yang tidak terukur (intangible).

71. Tingkat keuntungan (rate of return)

Adalah suatu ukuran tingkat keuntungan dalam persentase yang dihitung dengan formula (Laba : Nilai Investasi).

72. Toleransi risiko (risk tolerance)

Kesiapan organisasi dalam menanggung risiko setelah perlakuan risiko dalam upayanya mencapai sasaran organisasi. Ketentuan hukum dan peraturan perundangan dapat pula memberikan batasan terhadap toleransi risiko.

73. Unit kerja

Unit-unit pada setiap tingkatan struktur organisasi yaitu Direktorat – Divisi – Urusan - Seksi, Kantor Cabang – Bagian – Unit – Perwakilan dan setara.

74. Uji kemampuan (stress testing)

Adalah suatu pengujian perhitungan risiko yang dilakukan dengan menggunakan asumsi terburuk (worst scenario) yang dimaksudkan untuk mengukur kemampuan entitas menanggung kerugian yang terjadi apabila hal terburuk terjadi.

75. Risk Taking Unit (RTU) adalah suatu entitas yang mempunyai akuntabilitas dan kewenangan untuk mengelola suatu risiko;

(24)

2014

76. Profil risiko: adalah gambaran atau uraian dari suatu kelompok risiko. (kelompok risiko ini dapat berisikan risiko-risiko yang terkait dengan Korporasi, Divisi, dan Kantor Cabang).

77. Pengendalian Risiko (risk control): adalah proses, kebijakan, alat dan perlengkapan, tindakan, metode atau berbagai pendekatan lainnya yang direncanakan atau yang sudah dilakukan (existing control) dan berimplikasi pada perubahan nilai risiko.

(25)

2014

3.1 Pengantar

a. Prinsip adalah dasar untuk berpikir dan bertindak. Dalam konteks penerapan manajemen risiko di Jasa Raharja, prinsip-prinsip manajemen risiko adalah hal-hal yang mendasari pengembangan dan aplikasi sistem manajemen risiko sekaligus sebagai parameter dasar untuk menilai sejauhmana tingkat kematangan sistem dan aplikasinya dalam penerapan manajemen risiko.

b. Kerangka adalah rancang bangun konsep sebagai penjabaran dan aplikasi dari prinsip. Dalam konteks penerapan manajemen risiko di Jasa Raharja, kerangka manajemen risiko merupakan siklus tahapan penerapan manajemen yang sistematis berbasis pada PDCA (plan-do-check-action) yang bersifat dinamis, berulang dan responsif terhadap perubahan.

c. Proses adalah rangkaian aktifitas yang dikembangkan secara sistematis dan terstruktur agar dapat menghasilkan outcome tertentu. Dalam konteks penerapan manajemen risiko di Jasa Raharja, proses manajemen risiko merupakan rangkaian tahapan efektifitas pengelolaan risiko yang dikembangkan sebagai bentuk penjabaran dari aspek implementasi manajemen risiko pada siklus kerangka manajemen risiko.

d. Alur transformasi dari prinsip menjadi kerangka dan kemudian proses manajemen risiko dapat dilihat pada gambar 1.1. Hubungan 3 Komponen Sistem Manajemen Risiko, BAB I halaman 7.

e. Dalam BAB III, akan diuraikan Prinsip-prinsip Manajemen Risiko yang kemudian dijabarkan dalam bentuk Kerangka Manajemen Risiko. Sementara Proses Manajemen Risiko akan diuraikan secara lebih rinci pada BAB IV-VI.

3.2 Prinsip Manajemen Risiko

Kerangka kerja penerapan manajemen risiko perusahaan berdasarkan prinsip-prinsip sebagai berikut:

a. Prinsip-prinsip yang menjadi panduan dasar bagi setiap Risk Taking Unit (RTU), yaitu:

1. Manajemen risiko harus terintegrasi ke dalam proses bisnis;

a) Setiap pejabat di semua level organisasi merupakan RTU yang memiliki otoritas dan kewenangan untuk mengelola risiko pada unit kerja yang dipimpinnya.

b) Proses manajemen risiko tidak dapat berdiri sendiri dan terpisah dari proses bisnis inti maupun proses penunjangnya, karena itu setiap RTU harus menjadikan manajemen risiko sebagai bagian integral dari setiap proses bisnis yang menjadi tanggung jawabnya.

(26)

2014

2. Manajemen risiko adalah khas untuk penggunanya (tailor made);

Setiap RTU di semua level organisasi harus memastikan bahwa risiko yang diidentifikasi dan dikelola pada unit kerja yang dipimpinnya merupakan risiko yang bersumber dari dan diukur berdasarkan kriteria yang relevan dengan konteks unit kerjanya, baik konteks internal maupun eksternal.

3. Manajemen risiko harus memberikan nilai tambah;

Setiap RTU di semua level organisasi harus dapat menciptakan dan mempertahankan nilai tambah dengan menggunakan manajemen risiko untuk membantu mencapai setiap sasaran dan sekaligus meningkatkan kinerja. Setiap langkah yang diambil untuk mencapai sasaran dan meningkatkan kinerja, dilakukan dengan mengidentifikasi dan mengelola risiko yang dapat merugikan.

Nilai tambah terjadi manakala sasaran tercapai/terlampaui dan kinerja meningkat.

4. Manajemen risiko secara khusus menangani ketidakpastian;

Ketidakpastian dan risiko saling terkait. Setiap langkah pencapaian sasaran selalu bersifat tidak pasti, karena selalu ada kemungkinan terjadi kekeliruan. Setiap RTU harus menggunakan manajemen risiko untuk mengidentifikasi dan menetapkan sifat (nature) dan jenis ketidakpastian yang dihadapi oleh unit kerja yang dipimpinnya serta menemukenali apa yang dapat dilakukan guna mengatasi ketidakpastian tersebut.

5. Manajemen risiko adalah bagian dari proses pengambilan keputusan;

Proses manajemen risiko merupakan bagian integral dari prosedur pengambilan keputusan yang berlaku formal maupun informal. Setiap RTU harus mempertimbangkan setiap risiko dari keputusan yang akan dibuat dan menyiapkan langkah-langkah antisipasinya.

b. Prinsip-prinsip pengelolaan risiko yang menjadi dasar pembentukan infrastruktur penunjang bagi RTU :

6. Manajemen risiko harus transparan, inklusif, dan relevan;

a) Pengelolaan risiko harus transparan dalam arti memungkinkan aktifitas proses manajemen risiko dapat dipantau dan diakses oleh para pihak yang berkepentingan;

(27)

2014

b) Pengelolaan risiko harus bersifat inklusif dengan cara:

i. Melibatkan peran serta para pemangku kepentingan sesuai kebutuhan (proporsional dan pada saatnya) dan memastikan bahwa pengaruh pemangku kepentingan dipertimbangkan pada saat menetapkan kriteria risiko.

ii. Melibatkan peranserta dari semua pejabat pengambil keputusan di semua level dan bagian organisasi secara proposional dan pada saatnya.

c) Pengelolaan risiko harus senantiasa relevan dengan kebutuhan dan terkini.

7. Manajemen risiko harus sistematis, terstruktur dan tepat waktu;

Perusahaan mengembangkan sistem manajemen risiko yang terstruktur, sistematis dan tepat waktu dalam arti dapat:

a) memberikan kontribusi untuk efisiensi perusahaan,

b) memberikan hasil(output) yang konsisten dan andal(reliable) sehingga dapat diperbandingkan dengan pihak lain.

8. Manajemen risiko berdasarkan informasi terbaik yang tersedia;

a) Perusahaan menjamin input yang digunakan dalam mengelola risiko telah berbasis pada sumber informasi yang terpercaya dengan menggunakan:

i. Tenaga ahli terbaik yang tersedia guna mendapatkan penilaian yang terbaik.

ii. Pengalaman yang terbaik.

iii. Pengamatan yang terbaik.

iv. Data historis yang terbaik.

v. Teknik peramalan yang terbaik.

vi. Umpan balik dari pemangku kepentingan yang terpercaya.

b) Perusahaan menjamin setiap RTU dapat memahami dan mempertimbangkan keterbatasan serta kekurangan dari setiap data yang digunakan dalam mengelola risiko dengan cara mempertimbangkan:

i. Keterbatasan dan kelemahan dari setiap model analisis yang digunakan.

ii. Pendapat berbagai macam ahli dari berbagai sudut pandang.

(28)

2014

9. Manajemen risiko bersifat dinamis, berulang, dan tanggap terhadap perubahan;

Perusahaan menjamin penggunaan pendekatan yang dinamis dan responsif dalam mengelola risiko dengan cara:

a) Memastikan bahwa proses manajemen risiko yang digunakan dapat mendeteksi perubahan dan meresponsnya secara tepat dengan cara:

i. Memantau, mengkaji dan merespons setiap perubahan pada konteks bisnis termasuk timbulnya peristiwa di dalam dan di luar perusahaan yang memiliki pengaruh berbahaya.

ii. Memantau, mengkaji dan merespons setiap perubahan pada profil risiko dengan cara mengatasi perubahan risiko maupun risiko baru yang muncul.

iii. Memantau, mengkaji dan merespons perkembangan ilmu pengetahuan dan teknologi yang berpengaruh terhadap konteks bisnis perusahaan.

b) Memastikan bahwa proses manajemen risiko yang digunakan dapat berulang dalam bentuk siklus agar risiko-risiko yang belum terindentifikasi atau belum muncul pada siklus proses yang pertama kali, dapat ditemukenali dan ditanggulangi pada siklus-siklus berikutnya.

10. Manajemen risiko harus memfasilitasi terjadinya perbaikan dan peningkatan organisasi secara berkelanjutan;

Manajemen risiko bermanfat untuk peningkatan perbaikan di semua aspek tata kelola perusahaan. Untuk itu perusahaan menjamin adanya pengembangan dan pelaksanaan berbagai strategi peningkatan sistem manajemen risiko yang digunakan melalui berbagai program peningkatan maturitas penerapan manajemen risiko.

11. Manajemen risiko mempertimbangkan faktor manusia dan budaya;

Perusahaan menjamin bahwa sistem manajemen risiko yang digunakan dapat mengenali dan mempertimbangkan faktor manusia dan budaya perusahaan yang dapat mempengaruhi pencapaian sasaran mulai dari level korporat hingga level unit terkecil dengan cara:

a) Mempertimbangkan bagaimana kapabilitas orang-orang, baik yang di internal perusahaan maupun dari eksternal dapat menunjang atau menghambat pencapaian sasaran.

(29)

2014

b) Mempertimbangkan bagaimana persepsi orang-orang, baik yang di internal perusahaan maupun yang dari eksternal dapat menunjang atau menghambat pencapaian sasaran.

c) Mempertimbangkan bagaimana kepedulian orang-orang, baik yang di internal perusahaan maupun yang dari eksternal dapat menunjang atau menghambat pencapaian sasaran.

3.3 Kerangka Kerja Untuk Mengelola Risiko a. Desain Kerangka Kerja Pengelolaan Risiko

1. Kerangka kerja pengelolaan risiko adalah seperangkat komponen yang menunjang dan menopang penerapan manajemen risiko di seluruh area perusahaan. Terdapat dua tipe komponen yaitu:

a) Komponen-komponen yang bersifat mendasar yaitu kebijakan manajemen risiko, sasaran pengelolaan risiko, mandat dan komitmen.

b) Komponen-komponen yang bersifat penataan organisasional yaitu perencanaan manajemen risiko, tata hubungan, akuntabilitas para pelaku, sumberdaya, proses dan aktifitas yang dilaksanakan untuk mengelola risiko.

Seluruh perangkat komponen, baik yang bersifat mendasar maupun yang bersifat penataan organisasional didesain secara sistematis dan terstruktur sebagaimana gambar 3.1.

Gambar 3.1. Skema Kerangka Kerja Manajemen Risiko Jasa Raharja

(30)

2014

2. Gambar 3.1. menunjukkan bahwa kerangka kerja pengelolaan risiko menempatkan proses penerapan manajemen risiko berada pada dua proses tatakelola yaitu:

a) Proses strategis di tingkat korporat mencakup:

i. Penetapan mandat dan komitmen

ii. Perencanaan dan pengorganisasian manajemen risiko iii. Pembangunan kapabilitas organisasi

iv. Evaluasi disertai perbaikan berkelanjutan

b) Proses operasional di tingkat unit kerja mencakup seluruh rangkaian proses manajemen risiko, mulai dari tahap penetapan konteks, asesmen risiko, sampai perlakuan risiko. Di setiap tahap tersebut terdapat aktifitas penunjang, yaitu:

komunikasi & konsultasi serta pemantauan &kaji ulang guna memastikan seluruh proses berjalan secara efektif dan efisien.

3. Rincian penjelasan desain kerangka kerja pengelolaan risiko sebagaimana gambar 3.1 di atas, adalah sebagai berikut

Mandat dan Komitmen a) Pengertian

i. Mandat adalah seperangkat instruksi disertai kewenangan yang dipercayakan kepada pihak tertentu untuk dilaksanakan secara bertanggungjawab guna mencapai tujuan tertentu. Dalam konteks manajemen risiko, mandat merupakan tugas dan wewenang yang diterima Direksi dan Dewan Komisaris dari Pemegang Saham untuk menjalankan misi dan visi perusahaan dengan cara mengatasi berbagai risiko yang menghambat.

ii. Pada gilirannya mandat ini dituangkan dalam bentuk standar, kebijakan dan instruksi pengelolaan risiko yang harus dijalankan oleh RTU dan seluruh karyawan sesuai otoritas dan kewenangannya masing-masing.

iii. Komitmen adalah keterikatan moral karena adanya perjanjian untuk melaksanakan sesuatu. Dalam konteks manajemen risiko, komitmen adalah tanggungjawab moral para RTU untuk mengelola risiko sesuai mandat yang diterima.

(31)

2014

b) Kebijakan Umum Manajemen Risiko.

i. Jasa Raharja menetapkan Kebijakan Umum Manajemen Risiko yang berisi komitmen Direksi dan seluruh Pegawai Jasa Raharja untuk:

(1) Menerapkan manajemen risiko secara terpadu dan bersinergi, mengingat risiko merupakan pertimbangan penting pada setiap perencanaan dan pengambilan keputusan dalam mencapai tujuan Perusahaan.

(2) Memastikan setiap proses bisnis yang dijalankan di setiap tingkatan organisasi Perusahaan aman dari efek negatif setiap risiko yang melekat pada proses bisnis tersebut dan dapat mengoptimalkan peluang dari efek positif yang ada.

(3) Memastikan terkendalinya segala risiko yang dapat mengganggu keselamatan, keamanan dan kenyamanan para pengguna jasa maupun pemangku kepentingan lainnya.

(4) Mematuhi peraturan perundangan-undangan yang berlaku sebagai cara mengendalikan risiko legal perusahaan.

(5) Menjalankan sistem manajemen risiko yang berbasis pada suatu standar yang diakui dan berlaku di industri asuransi atau lembaga jasa keuangan.

(6) Menyadari dan peduli terhadap risiko dalam setiap kegiatan yang dilaksanakan sesuai wewenang dan tanggung jawab masing-masing.

ii. Rumusan Kebijakan Umum Manajemen Risiko Jasa Raharja dituangkan dalam selembar “piagam” yang ditempatkan pada setiap lokasi kerja sebagai artefak budaya sadar risiko Jasa Raharja.

c) Standar Manajemen Risiko

i. Perusahaan menggunakan standar internasional SNI ISO 31000:2011 beserta alat kelengkapan penunjangnya yang dibuat dan dipublikasikan oleh International Organisation for Standardization (ISO) sebagai dasar dalam penerapan manajemen risiko di lingkungan perusahaan.

Pertimbangan yang mendasaripenggunaan standar SNI ISO 31000:2011 antara lain:

(1) SNI ISO 31000:2011 memiliki struktur yang lebih lengkap dan lebih sistematis serta lebih mudah diterapkan dibandingkan dengan model atau standar manajemen risiko lainnya.

(32)

2014

(2) Komponen kerangka kerja SNI ISO 31000:2011 memberikan kejelasan tugas dan tanggung jawab para risk taking unit dan terutama pada penanggung jawab organisasi dalam bentuk penyusunan Risk Governance;

(3) SNI ISO 31000:2011 mempunyai terminologi yang komprehensif dan konsisten, sesuai dengan standar ISO/IEC Guide 73:2009 Risk Management – Vocabulary. Hal ini akan mempermudah sistem komunikasi dan pelaporan;

(4) SNI ISO 31000:2011 juga menyediakan pilihan teknik-teknik asesmen risiko sebagaimana diuraikan dalam standar IEC/FDIS 31010:2009, Risk Management – Risk Assessment Techniques;

(5) SNI ISO 31000:2011 menjamin terjadinya pengayaan proses (process enrichment) melalui:

 Penyediaan kerangka kerja yang lebih umum sehingga dapat menampung semua model manajemen risiko yang ada dalam satu payung, yaitu SNI ISO 31000:2011;

 Menjadikan proses manajemen risiko menjadi bagian yang tak terpisahkan (sub-proses) dari keseluruhan proses bisnis yang sudah ada.

 SNI ISO 31000:2011 mempunyai struktur yang menunjang proses manajemen perubahan terkait dengan penerapannya.

ii. Divisi Manajamen Risiko dan Penelitian Pengembangan berkoordinasi dengan para risk taking unit memantau dan mengkaji ulang sistem manajemen risiko perusahaan agar senantiasa sesuai dengan tuntutan standar SNI ISO 31000:2011.

d) Penetapan Pedoman Manajemen Risiko

i. Perusahaan menetapkan pedoman manajemen risiko sebagai panduan dalam melaksanakan kegiatan bisnis perusahaan dan merupakan bagian dari GCG sekaligus meningkatkan nilai perusahaan (corporate value), yang selanjutnya disebut Pedoman Manajemen Risiko berbasis SNI ISO 31000:2011.

ii. Perusahaan berkomitmen untuk mewujudkan semua tuntutan/instruksi dan panduan kebijakan dalam Pedoman Manajemen Risiko dengan cara:

(1) Menjamin adanya indikator kinerja yang jelas dalam pengelolaan risiko dan diberlakukannya metode/mekanisme pengukuran kinerja

(33)

2014

pengelolaan risiko oleh penanggungjawab RTU dan seluruh jajarannya.

(2) Memastikan bahwa setiap sasaran pengelolaan risiko memenuhi syarat SMART (spesific, measurable, achievable, realistic, and timely).

(3) Mengalokasikan secara memadai sumberdaya perusahaan bagi efektifitas kelancaran dan keberhasilan proses pengelolaan risiko.

(4) Mengkomunikasikan manfaat penerapan manajemen risiko secara berkesinambunganan pada setiap kesempatan.

(5) Menjamin adanya tanggungjawab dalam mengelola risiko bagi setiap pimpinan unit kerja (pejabat manajerial) dan pegawai, serta memahami bagaimana memperoleh manfaat manajemen risiko bagi peningkatan kinerjanya.

(6) Memastikan bahwa kerangka kerja manajemen risiko sudah sesuai dengan standar dan memadai serta tidak bertentangan dengan hukum yang berlaku.

iii. Setiap RTU di setiap tingkatan organisasi bertanggung jawab menerapkan Pedoman Manajemen Risiko sesuai tanggung jawab dan kewenangan yang dimilikinya.

iv. Setiap pegawai bertanggungjawab menemukenali/mengidentifikasi risiko yang menghambat pencapaian sasaran kerja dan menanggulanginya sesuai ketentuan dalam Pedoman Manajemen Risiko.

v. Divisi Manajemen Risiko dan Penelitian Pengembangan bertanggung jawab mengembangkan, memelihara sistem manajemen risiko dan memastikan bahwa setiap RTU dapat menjalankan tugas dan tanggung jawab pengelolaan risiko sesuai kewenangannya masing-masing.

vi. Perusahaan menjamin tersedianya mekanisme pelaporan pengelolaan risiko yang mencakup berbagai informasi dan data penting mengenai setiap jenis risiko yang ditangani.

Perencanaan dan Pengorganisasian Kerangka Kerja Pengelolaan Risiko a) Pengenalan Konteks Perusahaan

i. Sebelum menyusun perencanaan manajemen risiko, maka RTU harus mengevaluasi dan memahami pengaruh, kecenderungan (trends), dan faktor-faktor kunci dari konteks bisnisnya yang meliputi konteks eksternal dan internal, termasuk pengaruh dan dampaknya terhadap pencapaian sasaran pada unit kerjanya.

(34)

2014

ii. Konteks eksternal meliputi: (PESTLE) (1) Kondisi sosial dan budaya.

(2) Kondisi politik.

(3) Kondisi hukum.

(4) Kondisi ekonomi lokal, nasional, regional maupun internasional.

(5) Kondisi lingkungan alam.

(6) Kondisi persaingan usaha.

(7) Tipe para pemangku kepentingan eksternal.

iii. Konteks internal meliputi:

(1) Tipe para pemangku kepentingan internal.

(2) Struktur tata kelola perusahaan.

(3) Sasaran dan strategi perusahaan ditingkat korporat dan unitkerja.

(4) Kapabilitas perusahaan, termasuk proses dan prosedur.

(5) Budaya dan etika perusahaan.

(6) Berbagai sistem dan standar manajemen yang dianut perusahaan.

(7) Kondisi kontrak manajemen.

b) Roadmap Penerapan Manajemen Risiko

i. Roadmap penerapan manajemen risiko merupakan rencana tahapan pengembangan penerapan manajemen risiko yang sejalan dengan kebutuhan pertumbuhan perusahaan, sebagai dasar bagi perencanaan pengelolaan risiko per tahun.

ii. Roadmap penerapan manajemen risiko perusahaan disusun berdasarkan kerangka maturitas organisasi dalam menerapkan manajemen risiko (Risk Maturity Model) yang terdiri dari beberapa level perkembangan,mulai dari level terendah hingga level tertinggi.

iii. Divisi Manajemen Risiko dan Penelitian Pengembangan mengkaji dan merekomendasikan model maturitas risiko untuk kemudian dilakukan asesmen tingkat maturitas pengelolaan risiko secara berkala yang dapat digunakan sebagai dasar penyusunan Roadmap Manajemen Risiko perusahaan.

iv. Divisi Manajemen Risiko dan Penelitian Pengembangan bertanggungjawab untuk mengkaji, menyusun, mengevaluasi dan

(35)

2014

menyempurnakan Roadmap Manajemen Risiko perusahaan serta menyampaikan rekomendasi kepada Direksi untuk ditetapkan.

c) Struktur Pengelolaan Risiko (risk governance)

i. Perusahaan menjamin struktur tata kelola risiko yang memadai sehingga penerapan manajemen risiko secara terintegrasi dapat berjalan lancar.

Ruang lingkup struktur tata kelola risiko mencakup seluruh jenjang organisasi termasuk akuntabilitas dari masing-masing pihak.

ii. Jasa Raharja membagi area pengelolaan risiko atas tiga bagian besar yaitu:

(1) Pengelolaan risiko di tingkat Korporat,

(2) Pengelolaan risiko di tingkat Unit Kerja Kantor Pusat, (3) Pengelolaan risiko di tingkat Kantor Cabang

Gambar 3.2. Struktur Pengelolaan Risiko

iii. Gambar 3.2 menunjukkan bahwa setiap Sasaran di tingkat Korporat/Direktorat harus dijabarkan (cascading) menjadi Sasaran unit kerja di Kantor Pusat dan Kantor Cabang. Sebaliknya, informasi mengenai nilai risiko dari tingkat unit kerjadi Kantor Cabang maupun unit kerja Kantor Pusat, diagregasikan (aggregating) menjadi informasi nilai risiko Korporat/Direktorat.

(36)

2014

iv. Setiap pegawai harus menemukenali dan mengendalikan risiko yang menghambat pencapaian sasaran kerja (job objectives) yang menjadi tanggung jawabnya.

v. Tanggung jawab setiap pegawai pada huruf iv di atas, menjadi bagian dari sistem manajemen kinerja perusahaan.

vi. Berikut adalah penjabaran struktur tata kelola risiko Jasa Raharja : (1) Dewan Komisaris

(a) Dewan Komisaris adalah pemegang mandat Rapat Umum Pemegang Saham (RUPS) untuk mengawasi pengelolaan operasional perusahaan oleh Direksi, termasuk di dalamnya memastikan bahwa penerapan manajemen risiko berjalan secara efektif dan efisien.

(b) Tanggungjawab dan wewenang Dewan Komisaris meliputi:

 Mengevaluasi kebijakan manajemen risiko korporat sekurang- kurangnya satu kali atau lebih dalam setahun,dalam hal terdapat perubahan faktor-faktor yang mempengaruhi kegiatan usaha perusahaan secara signifikan,

 Mengevaluasi pertanggungjawaban Direksi atas pelaksanaan kebijakan pengelolaan risiko yang dilakukan minimal satu kali dalam setahun,

 Mengevaluasi setiap risiko yang melekat pada permohonan atau usulan Direksi yang berkaitan dengan aktifitas usaha perusahaan yang melampaui kewenangan Direksi guna tindaklanjut sesuai ketentuan hukum yang berlaku;

 Dapat membentuk Komite Manajemen Risiko untuk membantu Dewan Komisaris dalam mengawasi penerapan manajemen risiko oleh Direksi.

(2) Komite Manajemen Risiko

(a) Dewan Komisaris dapat membentuk Komite Manajemen Risiko untuk membantu mengawasi penerapan manajemen risiko oleh Direksi.

(b) Tanggungjawab dan wewenang Komite Manajemen Risiko meliputi:

 Melakukan evaluasi terhadap kesesuaian antara kebijakan manajemen risiko dan pelaksanaannya serta memberikan rekomendasi terkait hal tersebut kepada Dewan Komisaris,