2. The Definition of Risk
According to the ISO risk definition, risk is “effect of uncertainty on objectives”.
“An effect is a deviation from the expected. It can be positive, negative or both, and can
address, create or result in opportunities and threats”.
Uncertainty is “the lack of information about the understanding or knowledge of an event, its
consequences and likelihood”.
“Objectives can have different aspects and categories, and can be applied at different
levels”.
Risk is often expressed in terms of a combination of the consequences of an event (including
changes in circumstances) and the associated likelihood of occurrence”
Before any risk treatment is put in place, the event
involves an "inherent risk", ontologically related
to the activity that could determine the event itself
Once the mitigating action has been put in action,
all that’s left is the "residual risk", whose value
can be equal to, greater or less than the "inherent risk".
Risk:
Combination of the
likelihood of an event
and its effects
Residual risk:
Risk remaining after the
treatment, possibly
containing risks not
identified
Inherent Risk:
Risk without any
intervention
Risk treatment:
Selection and
implementation of
interventions on risk
3. Fundamental Concepts of Risk
Risk begins with strategy formulation and setting of business objectives
Risk involves uncertainty
Risk does not represent a single point estimate
Prevent risk (bad things happened) or exploit it (good ones)
Risks are inherent in all aspects of life
4. • Risk : something that hasn’t occurred or happened yet
• Problem : something that is occurring or happening
Past Present Future
Risk
Problem
Focus of RiskManagement
Timeline
4
6. Tujuan Penerapan Manajemen Risiko
Meningkatkan
kemungkinan
pencapaian
tujuan dan
peningkatan
kinerja;
Mendorong
manajemen
yang proaktif;
Memberikan
dasar yang
kuat dalam
pengambilan
keputusan dan
perencanaan;
Meningkatkan
efektivitas
alokasi dan
efisiensi
penggunaan
sumber daya
organisasi;
Meningkatkan
kepatuhan
kepada
ketentuan;
Meningkatkan
kepercayaan
para
pemangku
kepentingan;
dan
Meningkatkan
ketahanan
organisasi.
7. MANFAAT PENERAPAN MANAJEMEN RISIKO
Berkurangnya kejutan (surprises);
Eksploitasi peluang;
Meningkatnya perencanaan, kinerja, dan efektivitas organisasi;
Meningkatnya hubungan dengan pemangku kepentingan;
Meningkatnya mutu informasi untuk pengambilan keputusan;
Meningkatnya reputasi;
Perlindungan bagi pemimpin;
Peningkatnya akuntabilitas dan governance organisasi.
8. Definisi Kejadian (Event)
Sumber: CRMO Handbook LSPMR
Event (Kejadian):
Suatu Peristiwa yang telah terjadi maupun belum terjadi, yang diakibatkan oleh penyebab
internal dan/atau eksternal yang dapat memberi pengaruh positif maupun negative
terhadap pencapaian tujuan/sasaran organisasi.
Risk Event (Kejadian Risiko):
Insiden atau kejadian atau potensi kejadian bersumber dari internal ataupun eksternal
organisasi yang memberikan dampak atau pengaruh negative terhadap organisasi dalam
mencapai sasaran yang ditetapkan.
9. Jenis Risiko
Sumber: CRMP Handbook LSPMR
Menurut karakteristiknya, risiko dapat dibagi menjadi 2
bagian:
1. Risiko Murni
2. Risiko Spekulatif
1. Risiko Murni
Risiko yang mengakibatkan kerugian pada organisasi yang dapat diukur
secara fisik dan umumnya disebabkan oleh alam, contoh: gempa bumi,
banjir, tsunami.
2. Risiko Spekulatif
Risiko yang dapat mengakibatkan 2 kemungkinan, merugikan ataupun
menguntungkan, terjadi sebagai produk atau hasil dari perbuatan manusia.
Contoh: risiko valas, risiko suku bunga, risiko sosial politik, dll.
10. Hubungan Risiko dan Bisnis Proses
• Pada setiap bisnis proses akan selalu terdapat potensi risiko yang dapat
menciptakan kegagalan/kesalahan dalam mencapai tujuan.
• Pengendalian risiko dilaksanakan pada setiap tahap dalam bisnis
proses dengan tujuan meningkatkan keyakinan pemangku bisnis proses
dalam mencapai tujuan yang ditetapkan.
11.
12. Siapakah Pemilik Risiko
Risk Owner (Pemilik Risiko) dapat didefinisikan sebagai orang/entitas yang
memilki tanggung jawab dan kewenangan untuk mengelola risiko
14. Pemikiran Keliru Untuk Tidak Menerapkan
Manajemen Risiko
• Kita tidak mempunya risiko
• Program kerja/unit kerja yang ada terlalu kecil untuk menerapkan MR
• Pelanggan dan masyarakat akan berlalu ketika mendengar banyaknya potensi risiko
• Kita berurusan dengan masalah yang sudah muncul, bukan atas masalah yang belum
terjadi.
• Mengidentifikasi risiko dapat berdampak buruk terhadap karir saya.
• Manajemen risiko menciptakan pekerjaan tambahan baru untuk saya.
• Bagaimana kita dapat memprediksi apa yang akan terjadi di masa depan.
• Kita baru akan merencanakan penerapan manajemen risiko di tahun depan bukan saat ini.
15. Fungsi dalam Manajemen Risiko
Risk Officer
Petugas RIsiko
Risk Management
Unit
Unit Pemantau Risiko
Risk Owner
Pemillik Risiko
16. ERM Reporting
Board of
Commisioners
BoD
Risk Oversight
Board
Divisi Manajemen Risiko
Risk
Owner
Risk
Champion/
officer
Assist and coordinating
Risk
Identification Risk Analysis Risk Evaluation Risk Mitigation Review dan
Monitoring
Risk
detail
Risk
Priority
Level
of
Risk
Action
Plan
Progress
Internal
Audit/SPI
Menetapkan arah dan kebijakan
Supporting
Coordinating
Risk Governance Structure
19. • Harus memahi sasaran, sumber daya, dan sistem manajemen risiko yang ada dalam
organisasi.
• Beberapa poin pertimbangan ketika penetapan konteks:
1. Visi dan misi organisasi
2. Hasil yang ingin dicapai
3. Perangkat untuk menunjang aktivitas manajemen risiko
• Ketika menetapkan konteksi, sebaikanya kita mengelaborasi sasaran yang kita ingin raih.
Tetapkan sasaran secara SMART.
S
M
A
R
T
Specific
Measurable
Attainable
Relevant
Time-bound
Penetapan Konteks Dalam Bisnis Proses
20. Konteks Internal dan Eksternal
• Konteks Eksternal: Segala sesuatu yang datang dari luar organisasi, contohnya vendor,
konsumen, regulator.
• Konteks Internal: Segala sesuatu yang bersumber dari internal organisasi, contoh: karyawan,
department/divisi, SOP, sistem eksisting.
• Alasan pentingnya untuk menentukan konteks internal dan eksternal:
1. Manajemen risiko berjalan pada tataran tujuan/sasaran maupun pada level aktivitas
organisasi;
2. Sumber risiko bisa berasal dari internal maupun eksternal organisasi;
3. Tujuan implementasi manajemen risiko pada dasarnya adalah untuk membentengi
pencapaian sasaran strategis organisasi.
21. No. Tahap Output
1. Identifikasi Risiko • Daftar risiko
• Jenis risiko
2. Pengukuran/analisa risiko • Kemungkinan (likelihood)
• Dampak (impact)
• Level risiko
3. Evaluasi risiko • Profil risiko
• Prioritas penanganan risiko
4. Penanganan risiko • Desain penanganan risiko
• Keputusan cara penanganan risiko
5. Monitoring dan review • Efektivitas penanganan risiko
• Perbaikan dokumen manajemen risiko
• Penyesuaian toleransi risiko, anggaran, perubahan
sasaran
22.
23. Teknik Identifikasi Risiko
1. Pendekatan Historis:
2. FGD/brainstorming
3. Pendekatan Benchmarking
4. Expert Judgment
Langkah-Langkah Pendekatan Historis
1. Berdasarkan pengalaman sejenis
2. Identifikasi risiko yang pernah terjadi
3. Proyeksikan ke situasi saat ini
4. Tetapkan risiko saat ini.
Langkah-Langkah FGD/Brainstorming
1. Analisis situasi yang saat ini ada
2. Identifikasi risiko yang mungkin terjadi
3. Proyeksikan ke situasi saat ini
4. Tetapkan risiko saat ini
Langkah-Langkah Benchmark
1. Identifikasi organisasi lain sebagai benchmark
2. Identifikasi risiko yang dialami organisasi tsb
3. Proyeksikan ke situasi saat ini
4. Tetapkan risiko saat ini
Pendekatan Expert Judgment
1. Menentukan para ahli yang memahami bisnis proses terkait dan risikonya
2. Wawancara para ahli mengenai risiko yang mungkin muncul
3. Tetapkan risiko saat ini
24. Langkah-langkah pengisian
risk register:
◦ Akar penyebab
◦ Faktor positif saat ini
◦ Dampak
kualitatif/kuantitatif
◦ Penentuan probabilitas
dan dampak risiko inherent
◦ Gejala risiko
◦ Membuat rencana respon
risiko (mitigasi)
◦ Penentuan
peluang/dampak residual
• Nomor risiko
• Kode risiko
• Status (ancaman atau
peluang)
• Kelompok risiko
• Tanggal identifikasi
• Sasaran
• Deskripsi risiko
• Penyebab risiko
• Deskripsi dampak
• Probabilitas (Likelihood)
• Dampak
(consequences)
• Probabilitas inherent
kuantitatif (Rp)
• Dampak inherent kuantitatif
(Rp)
• Risk owner (pemilik risiko)
• Existing control (kendali
internal yang telah ada)
• Penanganan/respon risiko
• Biaya penanganan
• Probabilitas residual
• Dampak residual
• Probabilitas residual
kuantitatif (Rp)
• Dampak residual kuantitatif
(Rp)
25. ◦ RISK APPETITE HARUS DAPAT MEMBERIKAN KEPASTIAN KEPADA STAKEHOLDERS BAHWA ORGANISASI TELAH
MEMAHAMI SEPENUHNYA RISIKO YANG ADA DAN BAHWA SEMUA RISIKO BERADA DI BAWAH KENDALI MANAJEMEN.
◦ SETELAH SEMUA RISIKO DI DEFINISIKAN, RISK APPETITE DAPAT DITERJEMAHKAN MENJADI RISK TOLERANCE ATAU LIMIT
◦ RISIKO MENURUT UNIT BISNIS/UNIT KERJA/AREA FUNGSIONAL/INDUK/ANAK PERUSAHAAN/ORGANISASI.
◦ RISK APPETITE YANG TELAH DISETUJUI SELANJUTNYA AKAN DIGUNAKAN SEBAGAI TITIK AWAL DI DALAM MENENTUKAN
RISK APPETITE DAN TINGKAT TOLERANSI DI LEVEL BAWAH
◦ RISIKO YANG DIANGGAP TINGGI MUNGKIN SAJA AKAN DIANGGAP RENDAH DI LEVEL MANAJEMEN YANG LEBIH TINGGI.
◦ HAL INI MEMFASILITASI PROSES ESKALASI DALAM PENGAMBILAN KEPUTUSAN RISIKO JIKA SUATU RISIKO TELAH
MELAMPAUAI WEWENANG DI SUATU TINGKAT DAN MENDUKUNG PEMILIK RISIKO UNTUK BERINOVASI DALAM BATAS
WEWENANGNYA.
29. A guideline to determine the significant of risk and whether a risk need additional controls or
not
Risk Impact Risk Likelihood
Risk Indicator (KRI)
2022 Webinar Enterprise Risk Management 29
34. Setelah di susun peta risiko, maka management melaporkan kepada Top Level Management berupa risiko-risiko yang
sebaiknya menjadi prioritas penanganan (mitigasi).
35.
36. Monitoring dan Review
Apa yang perlu dipantau?
• Monitoring rutin terhadap kinerja penerapan manajemen risiko terhadap rencana yang ditetapkan.
• Memastikan cara mitigasi risiko yang dipilih berjalan efektif.
• Mengidentifikasi risiko-risiko baru yang muncul.
• Monitoring realisasi action plan atas risiko-risiko yang levelnya tinggi.
• Monitoring risiko berlevel rendah agar tetap dalam kategori rendah.
Media pemantauan apa yang dipakai untuk pemantauan?
• Inspeksi lapangan
• Survey
• Analisa laporan
• Wawancara
• rapat koordinasi
• dll.
Siapa yang melakukan pemantauan?
• Day to Day review oleh risk owner, risk agent/risk officer, dan atasan langsung
• Separate evaluation oleh internal audit/Itjen, SPI, eksternal audit, authorities/pihak yang
berwenang.
37. Kebijakan/Pedoman Manajemen Risiko
No. Aspek-Aspek
1. konteks internal dan eksternal
2. Penetapan lingkup penerapan
3. Penetapan kategori risiko
4. Penetapan level risiko
5. Penetapan kriteria dampak dan keterjadian
6. Penetapan risk appetite dan risk tolerance
7. Metode identifikasi risiko, penentuan level dampak dan keterjadian
8. Pola komunikasi dan konsultasi
9. Jadwal pemantauan rutin
38. Kebijakan Manajemen Risiko – konteks eksternal
Dalam pedoman konteks eksternal sebaiknya di sebutkan rinci
mengenai:
Lingkungan Politik, Ekonomi, Sosial Budaya, Hukum/regulasi,
Teknologi, Alam dll
Institusi/lembaga/pihak di Luar UPR yang memiliki kaitan dengan
UPR
1
2
39. Kebijakan Manajemen Risiko – konteks eksternal
No. Nama Institusi Terkait Tingkat Ancaman dan Dukungan
1. ……………
2. ……………
3. …………..
No. Lingkungan Kerentanan Terhadap UPR
1. Politik
2. Ekonomi
3. ……………..
Institusi/lembaga/pihak di Luar UPR yang memiliki kaitan dengan UPR
Lingkungan Politik, Ekonomi, Sosial Budaya, Hukum/regulasi, Teknologi, Alam dll
40. Kebijakan Manajemen Risiko – konteks internal
Dalam pedoman konteks internal sebaiknya di sebutkan rinci mengenai:
5M (Man, Money, Materials, Method, Machine) yang dimiliki
Analisis SWOT (Strengths, Weakness, Opportunities, Threats) di tingkat satker
Tujuan/sasaran di tingkat satker, dan di tingkat risk owner di bawahnya
Alur komunikasi antar risk owner dalam menjalankan MR
1
3
2
4
41. • Analisis SWOT
• Analisis PESTEL
üKey weaknesses
üRisk Source
üOpportunities
internal
external
Strengths Weakness
Opportunities
Threats
Factor
Isu Isu terkait
organisasi
Kerentanan
Political
Economic
Social
Technology
Environmental
Legal
konteks internal dan eksternal
Akan
memudahkan
proses identifikasi
risiko
42. Kebijakan Manajemen Risiko - Lingkup Penerapan
• Menjelaskan jalur komunikasi dan koordinasi penerapan MR di unit
• Dijelaskan struktur organisasi implementasi MR
• Menetapkan penanggungjawab penerapan MR atas risiko strategis dan risiko operasional
• Menjelaskan wewenang dari para penanggungjawab risiko baik risiko level strategis
maupun level operasional
43. Kebijakan Manajemen Risiko – kategori, level, kriteria dampak dan
keterjadian, risk appetite (selera risiko) dan risk tolerance (toleransi risiko)
• Risk owner di tingkat satker menetapkan jenis risiko yang relevan
• Kriteria risiko ditetapkan
• Kriteria dampak (impact) ditetapkan
• Kriteria kemungkinan (likelihood) ditetapkan
• Risk appetite dan risk tolerance di tetapkan
• Jenis risiko ditetapkan
• Level risiko ditetapkan
• Risk owner di tingkat satker menetapkan level risiko
44. Kebijakan Manajemen Risiko – Metode
Identifikasi Risiko, penentuan level dampak
dan keterjadian
• Menjelaskan metode-metode apa saja yang diadopsi dalam
identifikasi risiko demi validasi identifikasi risiko
• Dijelaskan metode-metode yang dipakai dalam penentuan level
dampak dan keterjadian
45. Kebijakan Manajemen Risiko - Pola Komunikasi
dan Konsultasi dan Jadwal Pemantauan Rutin
• Dijelaskan teknis komunikasi dan koordinasi antar para risk owner
• Dijelaskan teknis konsultasi antara risk owner di level operasional dengan
risk owner di tingkat satker
• Dijelaskan mekanisme teknis konsultasi antara risk owner dengan SPI atau
Itjen
46. Beberapa Hal yang Sering Terjadi Dalam Implementasi MR
◦ Scoring risiko belum mengikuti matriks risiko akibat dari kesalahan mengisi scoring dampak dan scoring
keterjadian.
◦ Dalam risk register belum tercantum nama risk owner sehingga sulit teridentifikasi penanggung jawab
risiko.
◦ Terkadang risk owner yang dituliskan masih terdapat para pihak diluar organisasi. Hal ini tidak sesuai
ruang lingkup penerapan MR nya.
◦ Pengisian kolom risiko inherent maupun residual masih belum seragam diantara para risk owner.
◦ Deskripsi sasaran/tujuan rinci atas tiap-tiap bisnis proses belum tertera sehingga rawan tercipta
kerancuan pemahaman terhadap risiko dan terhadap kesesuaian rencana mitigasi terhadap
penyebab risiko.
◦ Terhadap risiko melekat (inherent risk) yang sedang/tinggi, masih terdapat risk owner yang tidak
menyiapkan rencana mitigasi.
◦ Terhadap risiko sisa (residual risk) yang masih di level sedang/tinggi belum disiapkan penentuan
penanganan dan rencana mitigasi
◦ Masih terdapat deskripsi risiko yang tertukar dengan deskripsi dampak.
◦ Atas setiap risiko yang teridentifikasi, belum di tentukan pemilihan penanganannya (accept, reduce,
avoid, transfer, atau sharing) sehingga belum mencerminkan implementasi risk appetite yang sudah di
tentukan.
◦ Belum ada daftar prioritas penanganan risiko yang disahkan pemilik risiko di level pimpinan organisasi.
◦ Belum di susun sebuah peta risiko (risk map) atas risiko melekat (inherent risk) maupun risiko sisa (residual
risk).