Dokumen tersebut merangkum manajemen risiko sebagai proses yang terdiri dari beberapa tahapan utama yaitu mengidentifikasi risiko, menilai risiko, mengevaluasi risiko, menangani risiko, memantau risiko, dan berkomunikasi tentang risiko. Dokumen tersebut juga menjelaskan beberapa teknik untuk mengidentifikasi, menilai, dan memetakan risiko seperti analisis kualitatif, brainstorming, dan pembuatan peta risiko.
2. What is Risk?
• Resiko adalah kejadian atau kondisi yang tidak menentu,
yang jika terjadi, akan berdampak positif atau negatif pada
tujuan usahatujuan usaha
• Semua bisnis memiliki risiko
• Semua asumsi adalah risiko
• Resiko tidak bisa dihilangkan tapi bisa dipahami dan dikelola
• Komponen dari risiko:
– Uncertain event; probability; impact
– Time driven; consequence
3. The Main Types of Business Risk
1. Strategic Risk
2. Compliance Risk
3. Operational Risk
4. Financial Risk
5. Reputational Risk
4. Risk Management Is a Process
• Manajemen risiko menangani kejadian yang dapat
berdampak negatif terhadap hasil yang direncanakan
6. Qualitative risk analysis
Ada banyak teknik analisa kualitatif yang dapat membantu kita
menetapkan fokus ke risko mana. Beberapa diantaranya:
• Red, amber, green (RAG) status adalah metode yang membagi
risiko menjadi tiga kelompok, tergantung kualitas dan dampak
waktu, serta kemungkinan terjadinya. Merah adalah dampak risiko
terendah dan hijau tidak memiliki dampak atau dampaknya sangat
rendah.
• Risk categorisation membuat penanganan risiko lebih mudah
ditangani. Mengelompokkan risiko berdasarkan kategori yang
berbeda, misalnya akar permasalahan, akan memungkinkan
pendekatan manajemen risiko terkoordinasi.
• Risk urgency assessment digunakan untuk memprioritaskan risiko
yang diidentifikasi dalam status RAG. Teknik ini fokus pada faktor
waktu risiko. Prioritas diberikan pada risiko yang duluan terjadi.
7. Methods for identifying prospective
risks
• Lakukan brainstorming dengan staf atau pemangku
kepentingan eksternal dan delphi technique
• Meneliti lingkungan ekonomi, politik, legislatif dan
operasional
• Melakukan wawancara dengan orang dan / atau
organisasi yang relevan
• Melakukan survei staf atau klien untuk mengidentifikasi
masalah atau masalah yang diantisipasi
• Flow charting sebuah proses
• Meninjau kembali perancangan sistem atau menyiapkan
teknik analisis sistem.
8. Methods for identifying prospective
risks
• The Delphi technique, sekelompok ahli diminta untuk menjawab
kuesioner untuk mendapatkan informasi yang tidak bias mengenai
risk score dari masing-masing resiko.
• Root cause analysis, untuk melihat penyebab masalah agar tahu
apakah dampaknya dapat dicegah.
• Diagramming techniques adalah versi padat dari risiko. Teknik ini
bisa mencakup diagram sebab dan akibat, bagan alir dan diagram
pengaruh.
• Benchmarking adalah perbandingan antara periode atau
departemen. Anomali dalam pembandingan data dapat melihat
risiko yang mungkin terlewatkan, jika analisis dilakukan secara
terpisah.
9. Risk Assessment and Management
Process
1. Organizational Context: Apa tujuan, struktur dan operasi organisasi
Anda?
2. Risk Identification: Apa saja kemungkinan kejadian berisiko yang
dihadapi organisasi Anda?
3. Risk Assessment:
o Apa likelihood dari kejadian berisiko (risk event)?
o Apa potential impact dari kejadian berisiko (risk event)?
1. Risk Evaluation: Setelah menilai risikonya:
o Apa “ risk appetite” Anda?
o Risiko terpenting apa yang harus segera ditangani?
1. Risk Treatment: Langkah apa yang harus diambil untuk memitigasi risiko
yang terindikasi?
2. Monitoring, Review and Corrective Action,
o Apakah internal controls berfungsi dengan baik untuk me-mitigasi
risiko?
o Apa tindak perbaikan yang perlu diambil?
1. Communication: Ke seluruh Organisasi
10. Risk Potential
• Potensi Risiko terdiri dari dua faktor; Kemungkinan
terjadi (PP = Probability) dan Tingkat Keparahan (SS =
Severity)
• Potensi risiko dihasilkan dari mengalikan kedua
faktor risiko ini
• Cukup menggunakan rentang terbatas 1 sampai 5
• Dengan demikian Potensi Risiko kita = P x S
( berada diantara angka/ score 1 sampai 25)
11. Risk Categories
Kita buat kuesioner risiko sendiri. Beberapa kategori risiko:
• Risiko pasar - Akankah layanan atau produk baru
bermanfaat bagi perusahaan atau dapat dipasarkan ke
orang lain? Akankah pelanggan menerimanya? Apakah
ada orang lain yang menciptakan produk yang lebih
baik?
• Risiko finansial - Apakah perusahaan mampu
membiayai proyek? Akankah proyek memenuhi NPV,
ROI dan payback?
• Risiko teknologi - Apakah proyek ini layak secara
teknis? Apakah itu terdepan atau usang?
12. Risk Categories (con’d)
• Risiko Orang - Apakah orang dengan keterampilan
yang sesuai tersedia untuk membantu menyelesaikan
proyek? Apakah manajemen senior mendukung proyek
ini?
• Risiko Strategy – Berapa tepatnya strategy dapat
memenuhi tujuan usaha sesuai yang direncanakan?
13. Risk Mitigation
• Ini adalah faktor satu dimensi sederhana
– Tindakan mitigasi apa saja yang ada/ perlu?
– Diberi nilai antara 1 – 5.
• Kalau Potensi Risiko dua dimensi (P x S),
supaya kita dapat membuat faktor Mitigasi dua
dimensi, yaitu melalui mengalikannya dengan
sendirinya
• Kita gunakan M², bukan M, dalam perhitungan
kita
14. Risk Score
-Rumus yang kita gunakan untuk
menghitung Risk Score (R) adalah: R = P
x S ÷ M²
-Mitigasi (M²) harus lebih besar atau
setidaknya sama dengan Potensi Risiko
(P x S) agar menghasilkan target Risk
Score (R) kurang dari 1
-Risk Score kurang dari 0,5 akan Ideal
15. Evaluation
• Skor Risiko ideal 0,5 menunjukkan mitigasi
melebihi ancaman
– Risiko dengan score di bawah 0,5 terkendali dengan
baik
• Action: Lanjutkan pemantauan dalam aktivitas menghindari
risiko
– Risiko yang dihilangkan mungkin menurunkan score
di Risk Register
• Action: Pusatkan perhatian pada hal-hal yang perlu dipantau
16. Risk Process
• Para Manager diundang ikut workshop.
– Sebagai ‘owners’ mereka harus memperhatikan
kategori risiko terkait fungsi mereka.
– Untuk setiap risiko terindikasi, para owner diminta
untuk mengevaluasi (Brainstorming/Delfie Technique)
• Risk Likelihood or Probability (P)
• Likely Impact or Severity (S) dan
• Aktivitas Mitigation (M) yang ada
– Hasilnya dicatat ke dalam sebuah Risk worksheet.
– Lalu Risk investigator mempersiapkan sebuah risk
register untuk perusahaan atau business unit.
17. Risk Map
• Risk Scores ditunjukkan pada grafik dimana Potensi
Risiko diplot terhadap Mitigasi Risiko
– Balanced scoring memberikan grafik garis lurus
sederhana
• Area atas (Risk Scores di atas 1) dibaeri warna
merah untuk memicu respons aktif
• Di zona kuning (score di bawah 1) untuk
menyarankan kehati-hatian dan pengelolaan yang
sedang berjalan
• Score di bawah 0,5, adalah zona hijau
– Resiko terkendali, namun perlu ditinjau ulang.
19. Risk Review
• Frekuensi peninjauan akan bergantung
pada sejumlah faktor
– Minimal dilakukan dalam 12 bulan
– Review setiap 6 bulan lebih pruden
• Review yang lengkap minimal terdiri dari 3
faktor: -
– Status terkini
– Pelajaran yang didapat dari sebuah risk event
– Rekomendasi
20. Risk Review - Current Status
• Dalam proses risk review kita meninjau ulang
‘owners’ dari masing-masing risiko yang ada
untuk menetapkan status terkini
– Dengan worksheets dan kalkulasi sebagai
referensi
? Apakah ada perubahan signifikan yang dapat
mempengaruhi risiko yang ada atau
menimbulkan risiko baru?
– Dari pertanyaan ini kita dapat memperbarui
risk register dan mengubah peta risiko
21. Risk Review - Lessons Learned
• Sementara membahas risiko dan mitigasinya
mungkin ada beberapa pelajaran yang
berguna
– Ada kesempatan untuk menangkap dan
mendokumentasikan gagasan semacam itu
• Audit internal sangat penting tapi harus
produktif
– Berkolaborasi tidak konfrontatif
– Kedua pihak harus menjadikan kesuksesan
bisnis jangka panjang sebagai tujuan kunci
22. Risk Review - Recommendations
• Investigator independen dapat melihat
keseluruhan gambar tanpa keterikatan
emosional dengan keterlibatan langsung
– Akibatnya, rekomendasinya bisa intuitif, tapi mungkin
akan lebih rasional
• Manajemen tidak harus menerima rekomendasi
ini tetapi sangat disarankan untuk
mempertimbangkannya
– Apalagi saat merencanakan masa depan
23. Mapping
• Setelah data diambil, kita hitung peringkat
risiko dan memplotkannya di Risk Map
• Informasi tersebut juga harus dicatat
dalam Risk Register
– Sebuah daftar dengan deskripsi singkat dari
setiap risiko, bersama dengan score dan
owner-nya
– Dinyatakan dalam tabel sederhana.
24. 24
Sample Risk Register
Risk
Category
Name No. Probability Impact Mitigation
Contingen
cy
Risk Score
after
Mitigation
Action By
Action
When
Schedule
Client are
slow
paying
1.1. 2 3
Penalty for
delay (3)
Send collector 0.6 Op. Mgr
within 2
days
etc etc 2.1
25. RiskPotential
5 10 15 20 25
15
20
25
10
5
RP/M
V
=
1
RP/MV = 0.5
Mitigation Value
5
Business Risk Map
Current Position
Risk Number 01
Risk Description:
Ketergantungan pada pemasok eksternal
dalam pemberian layanan teknis.
Business Risk Owner:
Direktur Teknis
Date Risk Assessed:
November 2016
Risk Score: 0.25
(P = 1; S = 4; M = 4: P x S ÷ M² = 0.25)
Risk Target Score: <1
Target Date: Berada di bawah kontrol
Controls in Place:
Disaster Recovery Plans
Alternative processing possible
Recommendations
Melanjutkan test and monitor
Remarks
Risk score sebesar 0.25 cukup ideal
Risk Number 01
Risk Description:
Ketergantungan pada pemasok eksternal
dalam pemberian layanan teknis.
Business Risk Owner:
Direktur Teknis
Date Risk Assessed:
November 2016
Risk Score: 0.25
(P = 1; S = 4; M = 4: P x S ÷ M² = 0.25)
Risk Target Score: <1
Target Date: Berada di bawah kontrol
Controls in Place:
Disaster Recovery Plans
Alternative processing possible
Recommendations
Melanjutkan test and monitor
Remarks
Risk score sebesar 0.25 cukup ideal
1
26. Risk Number 02
Risk Description:
Business Continuity plan belum diuji.
Business Risk Owner:
Operation Manager
Date Risk Assessed:
November 2016
Risk Score: 1.5
(P = 2; S = 3; M = 2: P x S ÷ M² = 1.5)
Risk Target Score: <1
Target Date: February 2017
Controls in Place:
Rencana BCP test sudah tersedia
Tersedia back-up yang memadai
Recommendations
Operation Manager perlu melakukan
pengujian
Remarks
Score sebesar 1.5 tidak dapat diterima
karena berada di area merah
Risk Number 02
Risk Description:
Business Continuity plan belum diuji.
Business Risk Owner:
Operation Manager
Date Risk Assessed:
November 2016
Risk Score: 1.5
(P = 2; S = 3; M = 2: P x S ÷ M² = 1.5)
Risk Target Score: <1
Target Date: February 2017
Controls in Place:
Rencana BCP test sudah tersedia
Tersedia back-up yang memadai
Recommendations
Operation Manager perlu melakukan
pengujian
Remarks
Score sebesar 1.5 tidak dapat diterima
karena berada di area merah
RiskPotential
5 10 15 20 25
15
20
25
10
5
RP/M
V
=
1
RP/MV = 0.5
Mitigation Value
5
Business Risk Map
Current Position
2
27. Financial Controller0.56Overheads exceed income10
BC Manager1.5Untested BC Plan9
HR Manager0.67Loss of Key Personnel8
Company Secretary0.375Infringement of regulations7
Commercial Director1.78Dependency on external agencies for
sales and delivery
6
Technical Director0.56Failure of new product to pass quality
control or safety tests
5
Commercial Director1.33Loss of key partner on a major long-
term project
4
Service Manager0.625Poor service could lose customers3
Admin Manager0.66Unable to process orders2
Marketing Manager0.56Loss of Market Share1
Risk OwnerScoreDescriptionRisk
= Action required = Under Control= Caution required
RiskPotential
5 10 15 20 25
15
20
25
10
5
RP/M
V
=
1
RP/MV = 0.5
Mitigation Value
5
4
6
9
1
2
3
5
7
8
1
10
Business Risk Map
Current Position
(February 2017)
Risk Map Example
28. RiskPotential
5 10 15 20 25
15
20
25
10
5
RP/M
V
=
1
RP/MV = 0.5
Mitigation Value
4
6
9
1
2
3
5
7
8
1
10
= Action
required
= Caution
required
= Under
Control
February 2017
Risk Map Example
29. RiskPotential
5 10 15 20 25
15
20
25
10
5
RP/M
V
=
1
RP/MV = 0.5
Mitigation Value
4
6
9
1
2
3
5
7
8
1
10
= Caution
Required
Recent Risk
Movements
Feb ‘16 to Nov
‘16
= New Risk
Identified
= Action
Required
= Under
b Control
=
Improvement
=
Deterioration
6
9
4
7
12
Risk Tracker Example
30. Techniques for Handling Risks
Avoidance or removal, dimana lingkungan di sekitar risiko
telah berubah, jadi risikonya sudah tidak ada lagi.
Mitigation, juga dikenal sebagai pengurangan risiko.
Tindakan ini dilakukan untuk mengurangi kemungkinan
atau dampak dari risiko.
Transference adalah mengalihkan risiko dan dampaknya
kepada pihak ketiga, misalnya, perusahaan asuransi.
Acceptance. Penerimaan risiko melibatkan penyusunan
sebuah ‘plan B' atau sebuah rencana kontinjensi untuk
menangani dampaknya.
31. Risk monitoring
Kita harus membiasakan diri dengan pemicu risiko untuk
mengetahui kapan tindakan perlu dilakukan. Sistem di
bawah ini akan membantu melacak risiko:
• Status meetings berkala harus dilakukan untuk
melaporkan kemajuan manajemen risiko. Rapat ini untuk
memastikan bahwa risiko menjadi “top-of-mind” semua
pegawai.
• Risk audits perlu dilakukan untuk mengevaluasi seberapa
efektif respons terhadap risiko. Audit juga dapat digunakan
untuk menilai proses manajemen risiko. Format, tujuan dan
temuan audit risiko harus didokumentasikan dengan jelas
untuk memperbaiki proses manajemen risiko.
33. Employee Related Risks
• Theft
• Departure of a key employee
• Lack of training
• High turnover
• Sabotage/intentional misbehavior
• Employee disputes
• Poor customer service
34. Revenue Related Risks
• Competitor enters market
• Market size shrinks (local population shrinks,
demographics change)
• Economic pressure (reduces money available to be
spent on your product)
• Substitute product becomes available
• Customer access disrupted (e.g. road construction in
front of your business)
• Pricing doesn’t match value perceived by customers
35. Expense Related Risks
• Material costs increase
• High rework expense
• High warranty expense
• Loss of key supplier
• Increased wage expense (tight labor market)
• Increased benefit costs
• Loss of lease/increased rent
• Increased utility rates
• Increased bank charges (interest rates, credit card fees)
36. Quality Related Risks
• Poor production process
• High rework expense
• High warranty expense
• Poor customer service
• Low quality materials
• Poor employee morale
• Inadequate equipment/tools
• Poor/unattractive packaging
• Equipment/tool breakdown
37. Schedule Related Risks
• Customers are slow paying
• Unfavorable terms from suppliers (e.g. cash in advance)
• Late delivery of materials
• Lost/misdirected shipments of your product
• Slow response of bank, government agency (e.g. loan
proceeds, permits, etc.)
• Delayed construction/remodel
• Slow response to marketing campaign
• Equipment/tool breakdown (e.g. internet down, computer
virus)