Pedoman Rmbg (Final_1 Maret 2012)-Draft Jpt

8/10/2019 Pedoman Rmbg (Final_1 Maret 2012)-Draft Jpt

1/91

1

PEDOMAN

PENERAPAN MANAJEMEN RISIKOBERBASIS GOVERNANCE

DITERBITKAN OLEHKOMITE NASIONAL KEBIJAKAN GOVERNANCE

2012


2/91

2

Sambutan Ketua Badan Pengawas Pasar Modal dan Lembaga Keuangan

(BAPEPAM-LK)

Perkembangan dunia usaha yang pesat dengan jenis kegiatan yang semakin beragam

menimbulkan pula risiko-risiko baru yang berbeda-beda untuk masing-masing jenis usaha.

Sema risiko tersebut memaksa organisasi tetap dapat tercapai. Manajemen risiko merupakan

alat untuk melindungi organisasi dari setiap kemungkinan yang merugikan melalui suatu proses

penilaian risiko yaitu mengidentifikasi risiko, menilai, dan mengevaluasi sehingga risiko tersebut

dapat diminimalkan dan kegiatan usaha dapat berjalan dengan efisien.

Pelaksanaan manajemen risiko di suatu organisasi tidak terlepas dari pelaksanaan prinsip

governance . Keterbukaan informasi dalam pelaksanaan manajemen risiko baik menyangkut

produk ataupun aktivitas bisnis, hasilnya harus dipertanggungjawabkan secara transparan dan

wajar. Pihak-pihak yang menjalankan manajemen risiko harus bertanggungjawab kepada

pemangku kepentingan atas penerapan manajemen risiko tersebut. Selain itu, manajemen

risiko perlu dilaksanakan dengan asas independensi artinya plakseanaan manajemen risiko

harus dilakukan secara bebas tidak dicampuri dengan kepentingan lainnya.

Pelaksanaan manajemen risiko yang baik memerlukan pengaturan yang baik. Beberapa sektor

industri di Indonesia telah memiliki peraturan mengenai manajemen risiko, namun dengan

tingkat kejelasan yang berbeda. Dengan beragamnya risiko yang timbul, perlu kiranya

ditetapkan standar yang dapat dijadikan pedoman dalam melaksanakan manajemen risiko oleh

setiap organisasi.

Kami menyambut baik upaya Komite Nasional Kebijakan Governance (KNKG) yang secara

berkesinambungan menerbitkan pedoman-pedoman yang dibutuhkan oleh industri keuangan

maupun non keuangan dalam menunjang pelaksanaan good governance . Penerbitan pedoman

manajemen risiko ini akan sangat berguna bagi semua jenis usaha dalam melaksanakan

manajemen risiko bisnisnya sehingga risiko dapat diminimalkan. Kedepan, diharapkan pedoman


3/91

3

ini dapat dikembangkan lebih jauh lagi sehingga dunia bisnis mempunyai kemampuan yang

semakin meningkat dalam menerapkan manajemen risiko yang efektif.

Akhir kata, kami atas nama Bapepam-LK selaku regulator dibidang pasar modal dan lembaga

keuangan non-bank mengucapkan terima kasih kepada semua pihak dan para pemangku

kepentingan yang telah mendukung tersusunnya pedoman ini, khususnya kepada KNKG.

Selanjutnya kami berharap semua pihak dapat menggunakan pedoman ini sebagai benchmark

dalam pelaksanaan manajemen risiko di dunia usahanya masing-masing.

Jakarta, 17 November 2011

Nurhaida

Ketua


4/91

4

SAMBUTAN KETUA KNKGPEDOMAN PENERAPAN MANAJEMEN RISIKO BERBASIS GOVERNANCE

Puji syukur kehadirat Tuhan Yang Maha Kuasa, karena atas kekuatan dan kemudahan yangdiberikanNya maka Pedoman Penerapan Manajemen Risiko (MRBG) dapat diselesaikan tepatwaktu. Kehadiran pedoman ini akan melengkapi beberapa pedoman teknis yang telahdiselesaikan sebelumnya seperti: pedoman etika bisnis, dan pedoman whistleblowing system .

Manajemen risiko merupakan disiplin ilmu yang berkembang pesat seiring dengan kebutuhansuatu perangkat dan teknik untuk mengelola dan mengendalikan risiko. Revolusi teknologiinformasi dan komunikasi telah mendorong perubahan lanskap dan lingkungan bisnis sehinggaperusahaan saat ini berhadapan dengan berbagai risiko bisnis seperti: risiko kredit, risiko pasar,risiko likuiditas, risiko kepatuhan, risiko operasional, risiko hukum, risiko reputasi, dan risikostrategi. Masing-masing risiko memiliki karakteristik tersendiri dan membutuhkan penangananyang berbeda-beda. Untuk itu diperlukan suatu metodologi yang terencana, terarah, danterukur sehingga perusahaan mampu mengelola dan memitigasi risiko bisnis secara efektif danefisien.

Pasar yang semakin kompetitif melahirkan berbagai risiko bisnis dan kelangsungan usaha.Dengan kata lain pelaku usaha berhadapan dengan ketidakpastian ( uncertainty ) atas perubahanlingkungan bisnis. Kembali sejarah telah menunjukkan betapa banyak perusahaan besar yangtenggelam dan hilang dari peredaran persaingan tatkala pengelola perusahaan tidak mampumelihat, mengidentifikasi, dan memitigasi adanya risiko yang berdampak pada daya saing dankeberlangsungan usaha. Bisnis di era seperti ini menghadapi berbagai potensi risiko sepertirisiko nilai tukar, risiko operasional, risiko financial, hingga risiko reputasi. Bahkan industridengan pengaturan yang ketat sekalipun, tanpa kita duga rentan dengan berbagai risiko.

Manajemen Risiko dapat diartikan sebagai suatu pendekatan terstruktur dalam mengelolaketidakpastian yang berkaitan dengan ancaman. Bisa juga diartikan sebagai suatu rangkaianaktivitas manusia dalam mengelola ketidakpastian, termasuk penilaian risiko, pengembanganstrategi untuk mengelola dan me mitigasi risiko dengan menggunakan sumber daya yangtersedia. Strategi yang dapat diambil antara lain dengan cara memindahkan risiko kepada pihaklain, menghindari risiko, mengurangi efek negatif risiko, dan menampung sebagian atau semuakonsekuensi risiko tertentu.
http://id.wikipedia.org/w/index.php?title=Mitigasi&action=edit&redlink=1http://id.wikipedia.org/w/index.php?title=Mitigasi&action=edit&redlink=1


5/91

5

Pedoman Penerapan Manajemen Risiko berbasis Governance merupakan suatu pendekatandalam mengelola risiko dengan mengedepankan penerapan prinsip-prinsip Governance yangbaik seperti transparansi, akuntabilitas, responsibilitas, Independensi dan kewajaran. Kamiberharap pedoman ini dapat digunakan dan diimplementasikan dalam kehidupan bisnis sehari-

hari. Dengan demikian, maka pengelolaan risiko tidak semata-mata mengacu kepadapengelolaan dan mitigasi risiko, namun lebih dari itu mampu meningkatkan daya saing dankeberlangsungan usaha.

Dalam kesempatan ini ijinkan kami menghaturkan terima kasih atas kontribusi tim penyusun,nara sumber, dan pihak lain yang turut berkontribusi sehingga pedoman ini mencerminkankesatuan pandangan seperti pelaku bisnis, praktisi manajemen risiko, akademisi danstakeholders lainnya. Diharapkan pedoman ini mampu menjadi rujukan pelaku usaha dalamupaya mengelola dan memitigasi risiko bisnis, sehingga mampu mendorong peningkatan kinerjadan daya saing berkelanjutan.

Akhirnya, kehadiran pedoman ini akan sangat berarti jika kemudian dipergunakan sebagairujukan bagi pelaku usaha dalam mengelola dan memitigasi risiko serta menjadi rujukan bagiotoritas dalam menyusun berbagai regulasi terkait penerapan manajemen risiko berbasisgovernance yang baik.

Jakarta, November 2011,Komite Nasional Kebijakan Governance,

Mas Achmad DaniriKetua


6/91

6

DAFTAR ISI

BAB I PENDAHULUAN 31. Latar Belakang 32. Ruang Lingkup, Maksud, dan Tujuan 133. Peraturan dan Pedoman Terkait

serta Aspek Penerapan Manajemen Risiko 154. Istilah dan Definisi 16

BAB II ASPEK STRUKTURAL 201. Pengantar 202. Prinsip,Kerangka Kerja dan Proses Manajemen Risiko 21

3. Tata Kelola Risiko 304. Sumber Daya Penerapan Manajemen Risiko 36

BAB III ASPEK OPERASIONAL 381. Pengantar 382. Manajemen Perubahan 403. Panduan Manajemen Risiko 424. Implementasi Manajemen Risiko 445. Komunikasi dan Konsultasi 45

6. Menentukan Konteks 467. Asesmen Risiko 518. Perlakuan Risiko 609. Monitoring dan Review 6210. Dokumentasi Manajemen Risiko 66

BAB IV ASPEK PERAWATAN 711. Pengantar 712. Risk Governance 713. Budaya Risiko 734. Pengembangan Manajemen Risiko 76

TIM PENYUSUN PEDOMAN 79

ANGGOTA KNKG 80


7/91

7

BAB IPENDAHULUAN

1. LATAR BELAKANG

Manajemen risiko adalah salah satu disiplin yang menjadi popular menjelang akhir abad

ke dua puluh. Disiplin ini mengajak kita untuk secara logis, konsisten, dan sistematis

untuk melakukan pendekatan terhadap ketidakpastian di masa depan. Dengan demikian,

kita dapat lebih berhati-hati dan produktif menghindari hal-hal yang tidak perlu dan

mencegah hal-hal yang merugikan atau tidak bermanfaat.

Kegiatan ini dilakukan tidak hanya berdasarkan keyakinan dan keberuntungan, namun

juga dengan mempelajari kemungkinan terjadinya suatu peristiwa serta bagaimana cara

mengatasi dampaknya. Hal tersebut juga didukung dengan kemampuan untuk

mempelajari dan memahami penyebab terjadinya suatu peristiwa ( source of risk ).

Sesuatu hal yang hanya didasarkan atas keberuntungan membuat pelaksanaan

manajemen risiko menjadi tidak efektif, bahkan dapat mengaburkan kebenaran dari

penyebab terjadinya suatu peristiwa.

Manajemen risiko berkembang seiring dengan perkembangan pembelajaran manusia.Dalam satu abad terakhir ini, terdapat beberapa peristiwa politik, ekonomi, dan

perkembangan teknologi yang turut membantu perkembangan manajemen risiko, di

antaranya penggunaan bom atom dalam Perang Dunia ke-II, perkembangan teknologi

otomotif, alat transportasi, peluru kendali, komputer, dan lain-lain. Selain itu, juga

terdapat beberapa peristiwa lainnya, misalnya kasus bocornya reaktor nuklir di Rusia,

bencana industri Bhopal di India, tenggelamnya kapal Titanic, pencemaran Teluk

Minamata di Jepang, tragedi kapal tanker Exxon Valdez, kasus Enron, kasus Nick Leeson

dengan Baring Bank di Singapura, kasus terorisme yang menghancurkan Twin Tower di

New York, hingga krisis finansial yang dialami Indonesia tahun 1997/1998, kasus bank

Global, kasus Bank Century dan kasus-kasus lainnya. Semua peristiwa tersebut

memberikan stimulus terhadap perkembangan manajemen risiko untuk lebih memahami


8/91

8

sebab-akibat, berikut prediksi tentang kemungkinan terjadinya suatu peristiwa yang

merupakan bagian tak terpisahkan dari proses evolusi manajemen risiko.

a. Sejarah Singkat Perkembangan Manajemen Risiko

Felix Kloman dalam Enterprise Risk Management: Todays Leading Research and

Best Practices for Tomorro ws Executives (2010) menuliskan secara ringkas beberapa

tonggak sejarah yang terkait dengan perkembangan manajemen risiko selama 100

tahun terakhir ini. Adapun uraian kronologis sejarah perkembangan manajemen

risiko adalah sebagai berikut:

1) 1914 : di Amerika Serikat perkumpulan dari para credit & lending officers dengan

nama Robert Martin Association terbentuk di Philadelphia, kemudian berganti

nama menjadi Risk Management Association pada tahun 2000, dan pada tahun

2008 anggotanya telah mencapai 3.000 lembaga keuangan dan 35.000 anggota

perorangan;

2) 1928 : Kongres Amerika Serikat menerbitkan Glass-Steagal Act yang melarang

kepemilikan yang sama atas bank umum, investment bank dan perusahaan

asuransi. Undang-Undang ini dicabut pada tahun 1999, karena dianggap

menghambat perkembangan lembaga keuangan. Namun, beberapa peristiwabencana di bidang keuangan setelah tahun 2000 mempertanyakan kembali

kebijakan pencabutan Undang-Undang ini;

3) 1945 : Kongres Amerika Serikat menerbitkan McCarren-Ferguson Act yang

menyerahkan kewenangan pengaturan industri asuransi kepada negara bagian

dan tidak lagi menjadi kewenangan nasional federal. Hal ini agak menghambat

perkembangan manajemen risiko karena mengurangi kemampuan industri

asuransi dalam menghadapi risiko-risiko dalam perspektif yang lebih luas;4) 1966 : The Insurance Institute of America mengembangkan satu set ujian yang

terdiri dari tiga bagian yang memberikan gelar Associate in Risk Management .

Ini adalah sertifikasi pertama yang diberikan dalam disiplin manajemen risiko.

Walaupun isinya masih sangat didominasi oleh konsep perusahaan asuransi,


9/91

9

tetapi pengenal konsep risiko yang lebih luas mulai diperkenalkan, dan ini setiap

tahun selalu dimutakhirkan sesuai dengan tuntutan perubahan;

5) 1975 : The American Society of Insurance Management mengubah namanya

menjadi Risk & Insurance Management Society (RIMS) yang pada tahun 2008

jumlah anggotanya di Amerika Utara telah mencapai 11.000 orang. Di negara lain,

RIMS mempunyai asosiasi dengan The International Federation of Risk and

Insurance Management Association (IFRIMA);

6) 1980 : Mulai didirikan Society for Risk Analysis (SRA) di Washington, terutama oleh

mereka yang bergerak dalam kebijakan publik, lingkungan hidup dan para

akademisi terkait. Pada tahun 2008, SRA telah mempunyai anggota sebanyak

2.500 orang dan mempunyai afiliasi di Eropa dan Jepang. Kelompok ini yang mulai

memperkenalkan manajemen risiko pada produk-produk legislasi;

7) 1986 : The Institute for Risk Management didirikan di London, beberapa tahun

kemudian mulai memperkenalkan ujian yang dapat diikuti secara international

untuk mendapatkan sertifikasi sebagai Fellow of the Institute of Risk

Management , yang merupakan program pelatihan berkelanjutan terkait dengan

manajemen risiko dalam berbagai macam aspeknya. Pada saat yang bersamaan

Kongres Amerika Serikat juga meloloskan revisi dari The Risk Retention Act yangdisahkan pada tahun 1982;

8) 1990 : Perserikatan Bangsa-Bangsa (PBB) memulai program The International

Decade for Natural Disaster Recovery (IDNDR), suatu program kajian 10 tahun

untuk mempelajari alam dan dampak bencana alam, khususnya pada negara-

negara yang terbelakang serta membangun suatu upaya mitigasi pada tingkat

dunia. Program ini berakhir pada tahun 1999 dan dilanjutkan dengan nama baru

The International Strategy for Disaster Reduction (ISDR). Hasil dari kajian tersebutdapat dilihat dalam buku Natural Disaster Management yang diterbitkan oleh

PBB;

9) 1992 : The Cadbury Committee di Inggris menerbitkan laporan yang menyarankan

agar Dewan Direksi (Governing Boards) bertanggung jawab atas kebijakan


10/91

10

manajemen risiko perusahaan dan memastikan bahwa seluruh anggota

perusahaan memahami semua aspek risiko yang dihadapi perusahaan. Selain itu

merekomendasikan bahwa Dewan Direksi juga bertanggung jawab atas

pengawasan proses pelaksanaan manajemen risiko tersebut. Hempel & Turnbull

Committee yang melanjutkan tugas Cadbury Committee , memperluas dan

memperbarui mandat untuk penerapan manajemen risiko bagi seluruh

perusahaan. Kondisi semacam ini juga diikuti oleh beberapa negara antara lain

Kanada, Amerika Serikat, Inggris, Afrika Selatan, Jerman dan Perancis. Pada tahun

yang sama The Bank for International Settlement (BIS) yang berkedudukan di

Swiss, menerbitkan ketentuan yang disebut sebagai Basel I bagi dunia perbankan

international yang terkait dengan kecukupan modal, ketentuan tentang risiko

kredit dan risiko pasar;

10) 1993 : Jabatan Chief Risk Officer (CRO) pertama kali digunakan oleh James Lam,

dari GE Capital, untuk menggambarkan suatu jabatan yang bertanggung jawab

atas pengelolaan semau aspek risiko perusahaan, termasuk manajemen risiko

secara umum, risiko operasi, risiko usaha, risiko keuangan, dan lain-lain. Saat ini

sudah lebih dari 150 CRO yang bertanggung jawab atas penanganan berbagai

macam risiko yang dihadapi perusahaan;11) 1995 : Suatu kelompok kerja multi disiplin yang dibentuk oleh Standard Australia

dan Standard New Zealand menerbitkan standar manajemen risiko yang pertama

di dunia yaitu AS/NZS 4360:1995 Risk Management Standard (Standar ini

kemudian direvisi setiap 5 tahun, dan telah mengalami revisi pada tahun 1999

dan tahun 2004). Penerbitan standar ini segera diikuti oleh beberapa negara

antara lain Kanada, Jepang dan Inggris. Sementara itu beberapa pengamat

mengatakan bahwa tindakan ini prematur karena manajemen risiko masih dalamproses evolusi, akan tetapi mayoritas pengamat menghargai upaya ini karena

standar ini merupakan langkah awal untuk dapat membuat suatu kerangka

referensi global atas manajemen risiko, terlebih aspek multi disiplin dari

manajemen risiko memperoleh tempat yang layak;


11/91

11

12) 1996 : The Global Association of Risk Professionals (GARP) didirikan di New York

dan London. Pada tahun 2008 jumlah anggotanya sudah mencapai lebih dari

74.000 orang. GARP juga memberikan berbagai macam program sertifikasi untuk

manajemen risiko;

13) 2000 : Kekhawatiran atas kemungkinan terjadinya bencana akibat virus Y2K

tidak terjadi. Secara umum ini dapat dikatakan karena keberhasilan pengerahan

upaya dan dana yang sangat masif untuk melakukan perbaikan program guna

mengatasi kemungkinan terjadinya bencana tersebut. Kejadian ini sering disebut

sebagai salah satu keberhasilan manajemen risiko dalam mengantisipasi bencana;

14) 2001 : The Professional Risk Managers International Associati on (PRMIA) didirikan

di Amerika Serikat dan Inggris. Pada tahun 2008, jumlah keanggotaannya

mencapai sekitar 2.500 anggota penuh (paid members) dan 48.000 anggota

afiliasi (associate members). Pada tahun yang sama juga terjadi tragedi 11

September 2001, yaitu serangan teroris pada Twin Tower di New York. Selain itu

kebangkrutan Enron karena bad governance juga terjadi pada tahun ini;

15) 2002 : Kongres Amerika Serikat meloloskan Sarbanes-Oxley Act (SOA) untuk

merespons kebangkrutan Enron dan skandal di bidang keuangan lainnya.

Ketentuan SOA diberlakukan untuk semua perusahaan publik yang tercatat dibursa efek Amerika Serikat. Sementara pengamat memandang bahwa ini adalah

awal dari penggabungan unsur kepatuhan dengan manajemen risiko. Ada pula

yang berpendapat bahwa penggabungan ini adalah suatu kemunduran karena

memandang risiko hanya pada sisi negatifnya saja, sedangkan yang lain

berpendapat bahwa ini adalah langkah nyata penerapan manajemen risiko pada

tingkat Dewan Direksi;

16) 2004 : The Basel Committee on Banking Supervision dari BIS menerbitkan TheBasel II Accord , yang memperluas cakupan pedoman yang telah dikeluarkan

sebelumnya (Basel I) yang meliputi ratio kecukupan modal, risiko kredit, risiko

pasar dengan tambahan risiko operasional perbankan. Beberapa pengamat

berkomentar bahwa penerapan pedoman ini secara global akan mengurangi


12/91

12

kebebasan masing-masing individu lembaga keuangan. Kesepakatan global

sejenis Basel II ini diperkirakan juga menjadi alasan untuk menerbitkan

kesepakatan serupa untuk industri non-finansial;

17) 2005 : The International Organization for Standarization (ISO) membentuk

International Working Group (Technical Committee ) untuk mempersiapkan suatu

panduan global terkait dengan definisi manajemen risiko, panduan penerapan,

dan praktik-praktik manajemen risiko, dan ditargetkan selesai pada tahun 2009;

18) 2009 : ISO menerbitkan ISO 31000:2009 Risk Management Principles and

Guidelines . Penerbitan standar internasional ini segera diikuti dengan diadopsinya

oleh beberapa negara antara lain Australia, New Zealand, dan Jepang pada tahun

2010. Mereka mengadopsi ISO 31000 ke dalam standar manajemen risiko

negaranya.

Felix Kloman tidak memasukkan Committee of Sponsoring Organization of the

Treadway Commission (COSO) Enterprise Risk Management (ERM) Integrated

Framework (2004) dalam tonggak sejarah perkembangan manajemen risiko tanpa

menjelaskan alasannya. Namun, dari beberapa tulisan pengamat lainnya dapat

disimpulkan bahwa kemungkinan tidak dimasukkannya COSO Enterprise RiskManagement Integrated Framework , karena beberapa hal sebagai berikut:

1) COSO merupakan suatu unit organisasi privat yang disponsori oleh lima asosiasi

profesi bidang keuangan di Amerika Serikat ( American Accounting Association,

American Institute for Certified Public Accountants, Financial Executive

International, Institute of Management Accountants dan Institute of Internal

Auditors ). Dengan demikian COSO lebih merupakan Opinion Leader dan bukan

suatu asosiasi profesi. Hasil karyanya juga tidak disepakati ( endorsed ) menjadipanduan yang mengikat oleh asosiasi yang mensponsorinya. Oleh karena itu

istilah yang digunakan adalah Framework dan bukan Guideline ataupun

Standard .;


13/91

13

2) Dalam posisi demikian, walaupun publikasi COSO diakui sebagai valuable tools

and offers detailed guidance on how company may implement enterprise risk

management " (Beasley & Frigo, 2010), tetapi sifatnya tidaklah berbeda dengan

karya-karya ilmiah lain di bidang manajemen risiko. Selain itu COSO ERM

Framework memberikan peluang untuk diinterpretasikan secara luas dan bebas

sesuai dengan kepentingan pengguna. Hal ini tentu berbeda dengan standar, yang

memuat kriteria dan norma aturan yang pasti dan harus diikuti, walaupun

memberikan kebebasan interpretasi, tetapi tetap dalam koridor yang telah

ditetapkan oleh standar tersebut.

3) Sponsor dari COSO adalah asosiasi organisasi profesi akuntan/auditor/keuangan,

sehingga dapat menimbulkan interpretasi terhadap kemungkinan adanya

benturan kepentingan apakah kerangka kerja yang dipublikasikan ini memang

untuk memenuhi kebutuhan publik atau untuk memenuhi kebutuhan para

praktisi dari asosiasi profesi tersebut. (S.J. Root, 1998).

4) Proses penerbitan pada COSO tidaklah serumit dengan proses penerbitan standar

yang harus melalui beberapa proses dengar pendapat dengan para pihak terkait

(public hearing/roundtable discussion) sebelum akhirnya disahkan menjadi

standar (S.J. Root, 1998).5) COSO bukan suatu otoritas yang mempunyai kewenangan untuk menetapkan

produknya menjadi suatu standar. Dengan demikian COSO Enterprise Risk

Management Integrated Framework (2004) bukanlah suatu standar untuk

manajemen risiko.

b. Keterkaitan Manajemen Risiko dengan Strategi dan Proses Organisasi

Setiap organisasi mempunyai visi dan misi. Visi adalah sasaran dan kondisi tertentuyang ingin dicapai oleh organisasi dalam waktu yang ditentukan. Misi merupakan

alasan mengapa organisasi didirikan dan pada misi tersebut dapat diidentifikasi

proses utama organisasi dalam memenuhi kebutuhan pelanggan utamanya. Strategi


14/91

14

adalah cara untuk mencapai visi organisasi yang lebih baik dari pesaing organisasi

tersebut.

Proses utama organisasi adalah proses yang menghasilkan apa yang dibutuhkan

pelanggan organisasi tersebut. Dalam organisasi bisnis, proses utama ini disebut

dengan cash generating process . Untuk dapat bersaing dalam memenuhi

kebutuhan pelanggan, maka setiap organisasi harus mengupayakan proses utama

mereka lebih efektif dan efisien, serta menghasilkan produk dan jasa yang juga lebih

baik dari pesaing. Disinilah perumusan strategi dalam mencapai visi organisasi

berperan.

Dalam perumusan visi dan strategi terdapat konteks eksternal dan internal

organisasi, sedangkan dalam proses utama organisasi hanya terdapat konteks

internal organisasi. Konteks internal adalah lingkungan internal organisasi dimana

organisasi tersebut berusaha untuk mencapai sasarannya. Konteks internal ini terdiri

dari kapabilitas, struktur, proses, budaya, personalia, dan sumber daya organisasi.

Konteks internal ini relatif lebih dapat dikendalikan dibandingkan dengan konteks

eksternal yang lebih banyak dipengaruhi faktor di luar organisasi.

Konteks eksternal organisasi adalah lingkungan eksternal organisasi dimana

organisasi tersebut berupaya untuk mencapai sasaran organisasi, yaitu visinya.

Konteks ini meliputi kondisi makro, antara lain kondisi ekonomi, sosial, politik,

budaya, geografis, dan jenis industri organisasi tersebut. Selain itu, juga terkait

dengan para pemangku kepentingan ( stakeholders ) dari organisasi tersebut,

pelanggan, pemasok, kreditur, karyawan, regulator, pengamat industri, media massa,

dan lain-lain. Dalam konteks eksternal ini, faktor luar organisasi berperan lebih

dominan.

Risiko adalah sesuatu yang dapat mempengaruhi sasaran organisasi. Salah satu

atribut risiko adalah ketidakpastian, baik dari sesuatu yang sudah diketahui maupun


15/91

15

dari sesuatu yang belum diketahui. Dengan demikian strategi yang baik haruslah juga

memperhatikan risiko-risiko yang mungkin terjadi dalam konteks internal maupun

eksternal organisasi, dan melakukan antisipasi perlakuan risiko bila memang risiko

tersebut menjadi kenyataan. Untuk risiko-risiko eksternal perlu diperhatikan harapan

dari tiap pemangku kepentingan yang bila tidak dipenuhi akan menimbulkan konflik

dan mempengaruhi pencapaian sasaran organisasi. Begitu pula risiko yang mungkin

terjadi akibat perubahan situasi politik, ekonomi, sosial atau lainnya. Semua hal

tersebut harus diperhatikan dalam perumusan strategi.

Proses utama organisasi merupakan kunci realisasi strategi dalam mencapai sasaran

perusahaan. Kegagalan proses utama perusahaan dan proses pendukung lainnya

akan mempengaruhi pencapaian sasaran organisasi. Semua kemungkinan yang dapat

mengganggu proses organisasi haruslah diidentifikasi dan diantisipasi

pencegahannya. Teknik yang paling sering digunakan dalam proses identifikasi risiko

adalah diagram tulang ikan ( Ishikawa diagram ) yang mengidentifikasi penyebab

kegagalan dengan metoda sebab-akibat. Teknik lainnya adalah FailureMode and

Effect Analysis , yang juga mengidentifikasi kegagalan apa saja yang mungkin terjadi

pada setiap tahapan proses, serta mencoba mencari kemungkinan deteksi dini daripenyebab kegagalan tersebut sebelum terjadi.

c. Mengapa perlu Pedoman Manajemen Risiko berbasis Governance ?

Berdasarkan OECD Principles of Corporate Governance (2004), Pedoman Umum GCG

Indonesia - KNKG (2006), Peraturan Menteri Negara BUMN No. PER-01/MBU/2011

tentang Penerapan GCG pada BUMN, serta Peraturan Bank Indonesia No.

8/14/PBI/2006 tentang Pelaksanaan GCG bagi Bank Umum, corporate governance mengandung pengertian tentang pencapaian keberhasilan usaha dan cara untuk

memantau kinerja pencapaian sasaran keberhasilan usaha tersebut. Adapun prinsip

dari corporate governance yang berpengaruh dalam pelaksanaan manajemen risiko


16/91

16

adalah transparansi, akuntabilitas, tanggung jawab (responsibilitas) dan

independensi.

Dengan mengacu pada pengertian dan prinsip-prinsip corporate governance di atas

maka jelaslah mengapa manajemen risiko yang berbasis governance menjadi sangat

diperlukan.

Pertama , manajemen risiko adalah bagian yang tidak terpisahkan dari pelaksanaan

corporate governance karena peran manajemen risiko dalam memberikan jaminan

yang wajar atas pencapaian sasaran keberhasilan usaha tidak tergantikan.

Kedua , pelaksanaan manajemen risiko yang baik memerlukan prinsip-prinsip

governance sebagai berikut:

1) Transparansi: pengelolaan risiko haruslah transparan, karena dampak risiko tidak

hanya pada satu unit atau bagian saja, tetapi juga pada bagian lain. Dengan kata

lain pengelolaan risiko haruslah bersifat inklusif dan transparan artinya

melibatkan semua pihak yang terkait dengan risiko tersebut, baik dalam

penanganan sumber risiko, maupun perlakuan terhadap dampak risiko;

2) Akuntabilitas: harus terdapat akuntabilitas yang jelas dalam penerapan

manajemen risiko dalam organisasi. Untuk seluruh perusahaan, akuntabilitastertinggi dalam penerapan manajemen risiko terletak pada Direksi dan

akuntabilitas pengawasan penerapan manajemen risiko terletak pada Dewan

Komisaris. Selain itu, akuntabilitas pengelolaan risiko tersebut juga harus jelas di

setiap tingkatannya, bahkan hingga ke tiap proses bisnis;

3) Responsibilitas: penjabaran akuntabilitas penerapan manajemen risiko

memerlukan uraian tanggung jawab yang lebih jelas dalam pengelolaan risiko

pada masing-masing tingkatan, bahkan hingga ke pengelolaan risiko dalamproses organisasi. Oleh karena itu setiap pemangku risiko ( risk owner ) harus

dapat memamahi tugas dan tanggung jawabnya terkait dengan pengelolaan risiko

dalam lingkup tugas dan kewenangannya;


17/91

17

4) Independensi: ini adalah konsekuensi logis dari prinsip akuntabilitas dan

responsibilitas, dimana unit atau individu yang dibebani dengan akuntabilitas dan

responsibilitas untuk mengelola risiko yang masuk dalam lingkup tugas dan

kewenangannya, haruslah diberi kebebasan dalam merumuskan cara menangani

risiko tersebut.

Ketiga , risiko adalah bagian yang tak terpisahkan dari proses organisasi. Oleh karena

itu manajemen risiko tidak dapat dipisahkan dari kegiatan utama ataupun proses lain

dalam organisasi. Manajemen risiko juga menjadi bagian yang tak terpisahkan dari

tanggung jawab manajemen dalam memastikan tercapainya sasaran organisasi.

Berdasarkan hal tersebut, maka manajemen risiko haruslah diintegrasikan

sepenuhnya ke dalam governance organisasi agar dapat memberikan kepastian

terhadap pencapaian sasaran organisasi. Dengan manajemen yang efektif, maka akan

lebih memberikan jaminan terhadap pencapaian sasaran organisasi.

2. Ruang Lingkup, Maksud dan Tujuan

a. Ruang lingkup

Pedoman ini akan menguraikan aspek-aspek dan elemen-elemen yang diperlukanuntuk membangun dan menerapkan manajemen risiko pada suatu organisasi. Aspek

dan elemen yang diuraikan pada dasarnya bersifat generik dan dapat digunakan baik

pada organisasi nirlaba, organisasi publik ataupun perusahaan yang berorientasi laba.

Selain itu, pedoman ini juga dapat digunakan pada proyek, proses organisasi atau

keperluan khusus lainnya yang disesuaikan menurut tujuan spesifiknya.

Penerapan manajemen risiko tidak dapat dipisahkan dengan governance dari suatuorganisasi, dan governance suatu organisasi tidak terlepas dari peraturan perundang-

undangan yang berlaku. Untuk organisasi publik, nirlaba baik yang termasuk di

dalamnya yayasan, organisasi kemasyarakatan, dan lain-lain, peraturan perundang-

undangan yang berlaku berbeda untuk masing-masing organisasi tersebut. Oleh


18/91

18

karena itu demi kemudahan penulisan, pedoman ini akan menggunakan latar

belakang Undang-Undang No. 40 tahun 2007 tentang Perseroan Terbatas. Alasannya

sederhana, karena Perseroan Terbatas merupakan peraturan perundangan yang

menjadi dasar organisasi yang bergerak dalam bidang perekonomian dan paling

banyak melibatkan kegiatan ekonomi masyarakat.

Dengan demikian bagi pengguna yang bukan bergerak dalam organisasi Perseroan

Terbatas, haruslah menginterpretasikan ulang posisi-posisi Direksi dan Dewan

Komisaris dengan posisi yang mempunyai tugas dan kewenangan serupa dalam

organisasinya.

b. Maksud dan Tujuan

Penerapan manajemen risiko yang baik antara lain dapat:

1) Mengurangi kejutan yang kurang menyenangkan. Hal ini dapat diperoleh karena

melalui penerapan manajemen risiko yang baik semua hal yang berakibat pada

pencapaian sasaran perusahaan telah diidentifikasikan sebelumnya berikut langkah

perlakuan terhadap hal tersebut telah diantisipasi. Hal ini berlaku untuk peristiwa

yang berdampak positif maupun negatif bagi perusahaan atau organisasi;2) Meningkatkan hubungan dengan para pemangku kepentingan. Hal ini diperoleh

karena dalam menerapkan manajemen risiko wajib untuk menemukenali para

pemangku kepentingan dan harapannya. Melalui komunikasi timbal balik yang

cukup intens maka dapat digalang kesamaan persepsi dan kepentingan bersama,

dengan demikian dapat diperoleh hubungan yang lebih baik;

3) Meningkatkan reputasi perusahaan. Dengan adanya komunikasi yang baik dengan

para pemangku kepentingan, mereka dapat mengetahui bahwa perusahaan mampuuntuk menangani risiko-risiko yang dihadapi dengan baik. Akibatnya kepercayaan

pelanggan, pemasok, kreditor, komunitas bisnis serta masyarakat juga meningkat;

4) Meningkatkan efektifitas dan efisiensi manajemen. Semua risiko yang dapat

menghambat proses organisasi telah diidentifikasikan dengan baik. Kemudian


19/91

19

gangguan kelancaran proses organisasi tersebut juga telah diantisipasi sebelumnya.

Karenanya, bila gangguan tersebut memang terjadi, maka organisasi telah siap

untuk menangani dengan baik;

5) Lebih memberikan jaminan yang wajar atas pencapaian sasaran perusahaan karena

terselenggaranya manajemen yang lebih efektif dan efisien, hubungan dengan

pemangku kepentingan yang semakin membaik, kemampuan menangani risiko

perusahaan yang juga meningkat, termasuk risiko kepatuhan dan hukum.

Berdasarkan hal-hal di atas, pedoman ini dapat dikatakan sebagai panduan bagi

pimpinan perusahaan untuk membangun dan menerapkan manajemen risiko sesuai

dengan peraturan yang berlaku. Dengan mempertimbangkan karakteristik perusahaan

yang berbeda antara satu dengan lainnya, maka pimpinan perusahaan harus dapat

menyesuaikan pedoman ini dengan kebutuhan perusahaannya masing-masing.

Secara garis besar, tujuan dari penyusunan pedoman ini adalah sebagai berikut:

1) Sebagai panduan untuk mengembangkan, membangun dan menerapkan

manajemen risiko yang baik;

2) Sebagai sarana untuk melakukan peninjauan ulang terhadap proses penerapan

manajemen risiko yang telah dilakukan sebelumnya;

3) Sebagai sarana untuk memastikan kejelasan governance structure manajemen risiko

dan juga sebaliknya bahwa manajemen risiko sudah terintegrasi sepenuhnya dengan

governance perusahaan.

3. Peraturan dan Pedoman Terkait serta Aspek Penerapan Manajemen Risiko

a. Peraturan dan Pedoman Terkait

Peraturan perundang-undangan yang terkait dengan penerapan manajemen risiko

antara lain:

1) Undang-Undang No.40 tahun 2007 tentang Perseroan Terbatas;

2) Undang-Undang No. 8 tahun 1995 tentang Pasar Modal;

3) Peraturan Pemerintah No. 60 tahun 2008 tentang Pengendaliann Intern

Pemerintah;


20/91

20

4) Undang-Undang No.19 tahun 2003 tentang Badan Usaha Milik Negara;

5) Peraturan Bank Indonesia No. 11/25/PBI/2009 tentang Penerapan Manajemen

Risiko bagi Bank Umum; dan

6) Peraturan Menteri Negara BUMN Nomor PER-01/MBU/2011 tentang Penerapan

Tata Kelola Perusahaan Yang Baik ( Good Corporate Governance ) pada Badan Usaha

Milik Negara.

Pedoman GCG yang dikeluarkan Komite Nasional Kebijakan Governance (KNKG) yang

juga terkait dengan penerapan manajemen risiko adalah sebagai berikut:

1) Pedoman Umum Good Corporate Governance Indonesia (2006);

2) Pedoman Umum Good Public Governance Indonesia (2008);

3) Pedoman Sistem Pelaporan Pelanggaran SPP/WBS (2008); dan

4) Pedoman Etika Bisnis Perusahaan (2010)

Selain peraturan perundang-undangan dan pedoman di atas, masih terdapat pedoman

internal perusahaan yang terkait dengan peraturan di bidang industri, keuangan,

ketenagakerjaan, dan lain-lain yang juga perlu diperhatikan dalam penerapan

manajemen risiko perusahaan.

b. Aspek Penerapan Manajemen Risiko

Proses penerapan manajemen risiko yang disarankan dalam Pedoman ini terdiri dari

tiga aspek yaitu:

1) Aspek struktural yaitu aspek yang memastikan arah penerapan, struktur

organisasi penerapan dan akuntabilitas pelaksanaan manajemen risiko dalam

organisasi, penyediaan sumber daya, dan sebagainya.;2) Aspek operasional, yaitu aspek yang menunjukkan tahapan proses implementasi

yang sistematis dan terarah, mulai dari pernyataan komitmen Direksi dan Dewan

Komisaris, penyusunan Pedoman Manajemen Risiko Perusahaan, briefing untuk

Komisaris dan Direktur, pelatihan para pemangku risiko, hingga penerapannya.


21/91

21

3) Aspek Perawatan , yaitu aspek yang memastikan adanya upaya menjaga

efektifitas penerapan dan perbaikan yang berkesinambungan melalui, monitoring

dan review serta audit manajemen risiko.

4. Istilah dan Definisi

Istilah dan definisi manajemen risiko yang digunakan dalam Pedoman ini mengacu pada

ISO GUIDE 73:2009 Risk management Vocabulary. Hal ini dimaksudkan untuk

menghindari kerancuan dari berbagai macam istilah dan definisi yang digunakan dalam

berbagai macam standar.

Berikut beberapa istilah dan definisi manajemen risiko yang diadopsi, yakni:

a. Risiko adalah dampak ketidakpastian pada sasaran. ( ISO GUIDE 73:2009 definisi 1.1);

b. Manajemen risiko adalah upaya organisasi yang terkoordinasi untuk mengarahkan

dan mengendalikan risiko (ISO GUIDE 73:2009 definisi 2.1);

c. Kerangka kerja manajemen risiko adalah sekumpulan perangkat organisasi yang

menyediakan landasan bagi perencanaan, penerapan, monitor dan review serta

perbaikan sinambung manajemen risiko bagi seluruh organisasi (ISO GUIDE 73:2009

definisi 2.1.1);

d.

Kebijakan manajemen risiko adalah pernyataan Direksi dan Dewan Komisaris terkaitdengan arah dan tujuan penerapan manajemen risiko (ISO GUIDE 73:2009 definisi

2.1.2);

e. Rencana manajemen risiko adalah pola atau skema dalam kerangka manajemen

risiko yang menunjukkan pendekatan yang akan diterapkan dalam mengelola risiko

antara lain, pendekatan yang digunakan, komponen-komponen manajemen

termasuk teknik manajemen risiko yang digunakan, sumber daya yang akan dipakai

dalam mengelola risiko (ISO GUIDE 73:2009 definisi 2.1.3); f. Pemangku Risiko ( risk owner ): adalah orang atau suatu entitas yang mempunyai

akuntabilitas dan kewenangan untuk mengelola suatu risiko (ISO GUIDE 73:2009

definisi 3.5.1.5);


22/91

22

g. Proses manajemen risiko: adalah penerapan secara sistematik kebijakan

manajemen, prosedur dan praktik manajemen dalam pelaksanaan tugas untuk

melakukan komunikasi dan konsultasi; menetapkan konteks; melakukan identifikasi;

menganalisa; mengevaluasi; memperlakukan, memantau dan mengkaji risiko (ISO

GUIDE 73:2009 definisi 3.1.);

h. Menetapkan konteks: adalah proses untuk menentukan batasan dan parameter

eksternal dan internal yang harus dipertimbangkan dalam mengelola risiko dan

menentukan lingkup serta kriteria risiko dalam kebijakan manajemen risiko (ISO

GUIDE 73:2009 definisi 2.4);

i. Komunikasi dan konsultasi: adalah proses yang berulang dan berkelanjutan antara

organisasi dan para pemangku kepentingannya ( stakeholders ) dalam saling

memberikan, berbagi informasi serta melakukan dialog terkait dengan pengelolaan

risiko (ISO GUIDE 73:2009 definisi 3.2.1);

j. Pemangku kepentingan: adalah setiap orang atau organisasi yang dapat

mempengaruhi atau dipengaruhi, atau menganggap dirinya dapat dipengaruhi oleh

suatu keputusan atau kegiatan (ISO GUIDE 73:2009 definisi 3.2.1.1);

k. Asesmen risiko: adalah keseluruhan proses yang meliputi identifikasi risiko, analisa

risiko dan evaluasi risiko (ISO GUIDE 73:2009 definisi 3.4.1); l. Sumber risiko: adalah segala sesuatu yang baik sendiri ataupun bersama-sama

mempunyai potensi yang melekat ( intrinsic ) untuk menimbulkan terjadinya risiko

(ISO GUIDE 73:2009 definisi 3.5.1.2);

m. Peristiwa ( event ): adalah suatu kejadian atau perubahan yang terjadi pada suatu

kondisi atau lingkungan tertentu (ISO GUIDE 73:2009 definisi 3.5.1.3);

n. Dampak ( consequence ): adalah akibat dari suatu peristiwa yang mempengaruhi

sasaran (ISO GUIDE 73:2009 definisi 3.6.1.3); o. Kemungkinan ( likelihood ): adalah kesempatan/kemungkinan sesuatu terjadi.

(catatan : Perlu dibedakan antara likelihood dengan probability . Terminologi

probabilitas adalah istilah matematika, terutama statistika, sehingga dalam

menggunakannya perlu diperhatikan kaidah-kaidah matematika terkait. Istilah


23/91

23

likelihood atau kemungkinan adalah istilah yang lebih umum dan tidak terkait dengan

kaidah matematika, sehingga dalam menentukan ukurannya dapat lebih bebas, baik

subyektif, kualitatif ataupun kuantitatif, frekuensi atau juga dengan probabilitas,

selama kaidah matematikanya dipenuhi). (ISO GUIDE 73:2009 definisi 3.6.1.1);

p. Profil risiko: adalah gambaran atau uraian dari suatu kelompok risiko.

(catatan : kelompok risiko ini dapat berisikan risiko-risiko yang terkait dengan

seluruh organisasi, hanya sebagian dari organisasi, atau dari suatu proyek/proses).

(ISO GUIDE 73:2009 definisi 3.8.2.5);

q. Kriteria risiko : adalah kerangka acuan untuk mengukur besaran risiko yang akan

dievaluasi (ISO GUIDE 73:2009 definisi 3.3.1.3);

r. Perlakuan risiko : adalah proses untuk merubah risiko.

(catatan: pada dasarnya upaya perlakuan risiko dilakukan melalui cara mengurangi

kemungkinan terjadinya risiko atau/dan mengurangi dampak risiko, bila risiko

tersebut terjadi). (ISO GUIDE 73:2009 definisi 2.1);

s. Pengendalian : adalah upaya-upaya untuk merubah risiko (ISO GUIDE 73:2009 definisi

3.8.1.1);

t. Risiko tersisa : adalah risiko yang masih tersisa setelah dilakukan perlakuan risiko (ISO

GUIDE 73:2009 definisi 3.8.1.6);u. Pemantauan ( monitoring ): adalah suatu proses yang dilakukan secara terus menerus

untuk memeriksa, mengawasi, melakukan pengamatan secara kritis untuk dapat

mengidentifikasi terjadinya perubahan dari tingkat kinerja atau sasaran yang ingin

dicapai dari pelaksanaan pengelolaan risiko (ISO GUIDE 73:2009 definisi 3.8.2.1);

v. Pengkajian ( review ): adalah suatu kegiatan yang dilakukan untuk menentukan suatu

kesesuaian, kecukupan, dan efektifitas suatu obyek, proses atau cara yang digunakan

dalam mencapai sasaran.(catatan: review dapat dilakukan terhadap kerangka kerja manajemen risiko, proses

manajemen risiko, perlakuan risiko ataupun pengendalian risiko) (ISO GUIDE 73:2009

definisi 3.8.2.2);


24/91

24

w. Selera risiko ( risk appetite ) adalah jumlah dan jenis risiko yang siap ditangani atau

diterima oleh organisasi. (ISO GUIDE 73:2009 definisi 3.7.1.2);

x. Toleransi risiko ( risk tolerance ) adalah kesiapan organisasi atau pemangku

kepentingan (3.2.1.1) untuk menanggung risiko (1.1) setelah perlakuan risiko (3.8.1)

dalam upaya mencapai sasaran. (ISO GUIDE 73:2009 definisi 3.7.1.3).

(catatan: Toleransi risiko dapat dipengaruhi oleh persyaratan hukum dan peraturan

perundangan).

y. Struktur tata kelola risiko ( Risk governance structure ) struktur organisasi dalam

pengelolaan manajemen risiko perusahaan,

z. Risk Champion adalah karyawan pada masing-masing bagian yang ditunjuk menjadi

fasilitator dalam penerapan manajemen risiko pada bagian tersebut.


25/91

25

BAB IIASPEK STRUKTURAL

1. Pengantar

Sebagaimana telah diuraikan pada Bab I, Aspek Struktural merupakan aspek yang

memastikan struktur organisasi penerapan, arah penerapan, dan akuntabilitas pelaksanaan

manajemen risiko dalam organisasi, serta penyediaan sumber daya. Ini berarti bahwa aspek

ini akan menjadi fondasi bagi penerapan manajemen risiko pada suatu organisasi. Hal-hal

yang dibahas dalam aspek ini adalah bagaimana tata kelola risiko ( risk governance )

termasuk didalamnya kejelasan akuntabilitas para pemangku risiko ( risk owner).

Selanjutnya dibahas mengenai pedoman penerapan manajemen risiko yang berupa prinsip-

prinsip yang harus diacu untuk memastikan dan sekaligus memfasilitasi terjadinya budaya

sadar risiko, sehingga meningkatkan daya tahan dan keliatan ( resilience ) organisasi dalam

menghadapi tantangan perubahan yang mengandung risiko.

Pelaksanaan tata kelola manajemen risiko tidak dapat dilakukan secara terpisah dengan

struktur organisasi entitas. Padahal struktur organisasi suatu entitas sangat tergantung pada

sistem hukum yang dianut dalam negara dimana entitas tersebut berada dan jenis kegiatan

organisasi tersebut. Suatu organisasi swasta tentu akan berbeda dengan suatu organisasi

publik, karena acuan hukum yang dirujuk berbeda. Organisasi yang mengejar laba tentu

berbeda juga dengan organisasi nirlaba, karena peraturan perundangan yang digunakan

sebagai acuan juga berbeda. Pedoman ini, walaupun diupayakan untuk bersifat generik,

akan tetapi tidak mungkin mencakup seluruh jenis organisasi.

Untuk kepentingan praktis mengenai struktur organisasi entitas, pedoman ini akan mengacu

pada Undang-Undang No.40 tahun 2007 tentang Perseroan Terbatas yaitu Undang-Undang

tentang perusahaan swasta pada umumnya, termasuk juga Badan Usaha Milik Negara

(BUMN). Alasannya sederhana, karena jenis entitas inilah yang jumlahnya paling banyak dan

juga sekaligus menjadi tumpuan perputaran roda ekonomi sektor riil.


26/91

26

Untuk entitas lain yang mempunyai bentuk bukan Perseroan Terbatas, maka dia harus

mencari padanan organ apa yang setara tugas dan kewajibannya dengan organ Perseroan

Terbatas, yaitu Rapat Umum Pemegang Saham, Direksi dan Dewan Komisaris. Organisasi

lain, terutama organisasi publik, organisasi nirlaba, hendaknya melihat dan mengacu pada

peraturan perundangan yang terkait.

Perbedaan peraturan perundangan yang digunakan akan mempengaruhi bentuk kerangka

kerja penerapan manajemen risiko dan juga akuntabilitas penerapan manajemen risiko bagi

organisasi tersebut.

2. Prinsip, Kerangka Kerja dan Proses Manajemen Risiko

Pada awal penerapan manajemen risiko, fokus lebih tertuju hanya pada bagaimana

menangani risiko tersebut dan secara parsial, bukan bagaimana menangani berbagai

macam risiko yang mungkin dihadapi oleh organisasi. Merubah cara penanganan risiko yang

semula secara parsial (silo) menjadi terintegrasi seluruh organisasi, memerlukan suatu

pendekatan yang berbeda. Perlu dibangun suatu pemahaman yang sama tentang prinsip-

prinsip penanganan risiko, suatu landasan kerangka kerja yang akan menjadi dasar bagi

penanganan setiap risiko, urutan proses penanganan risiko, pemahaman tentang teknik danmetoda penanganan risiko dan proses pelaporan serta monitoring dan review untuk seluruh

proses penanganan risiko dalam suatu organisasi. Penerapan manajemen risiko untuk

seluruh organisasi ini sering disebut sebagai ERM ( Enterprise Risk Management ).

a. Prinsip-Prinsip Manajemen Risiko

Merujuk pada standar manajemen risiko terbaru yaitu ISO 31000:2009 Risk

Management Principles and Guidelines , manajemen risiko suatu organisasi hanya

dapat efektif bila mampu menganut dan menerapkan prinsip-prinsip sebagai berikut:1) Manajemen risiko melindungi dan menciptakan nilai tambah

Manajemen risiko memberikan kontribusi melalui peningkatan kemungkinan

pencapaian sasaran perusahaan secara nyata. Selain itu, juga memberikan perbaikan

dalam aspek keselamatan, kesehatan kerja, kepatuhan terhadap peraturan


27/91

27

perundang-undangan, perlindungan lingkungan hidup, persepsi publik, kualitas

produk, reputasi, corporate governance , efisiensi operasi, dan lain-lain.

2) Manajemen risiko adalah bagian terpadu dari proses organisasi

Manajemen risiko merupakan bagian dari tanggung jawab manajemen dan

merupakan bagian tak terpisahkan dari proses organisasi, proyek, dan manajemen

perubahan. Manajemen risiko bukanlah suatu aktivitas yang berdiri sendiri dan

terpisah dari kegiatan serta proses organisasi dalam mencapai sasaran.

3) Manajemen risiko adalah bagian dari proses pengambilan keputusan

Manajemen risiko membantu para pengambil keputusan untuk mengambil

keputusan atas dasar pilihan-pilihan yang tersedia dengan informasi yang selengkap

mungkin. Manajemen risiko dapat membantu menentukan prioritas tindakan dan

membedakan berbagai alternatif tindakan. Manajemen risiko dapat membantu

menunjukkan semua risiko yang ada, mana risiko yang dapat diterima dan mana

risiko yang memerlukan perlakuan lebih lanjut. Manajemen risiko juga memantau

apakah perlakuan risiko yang telah diambil memadai dan cukup efektif atau tidak.

Informasi ini merupakan bagian dari proses pengambilan keputusan.

4) Manajemen risiko secara khusus menangani aspek ketidakpastian

Manajemen risiko secara khusus menangani aspek ketidakpastian dalam prosespengambilan keputusan. Ia memperkirakan bagaimana sifat ketidakpastian dan

bagaimanakah hal tersebut harus ditangani.

5) Manajemen risiko bersifat sistematik, terstruktur, dan tepat waktu

Sifat sistematik, terstruktur, dan tepat waktu yang digunakan dalam pendekatan

manajemen risiko inilah yang memberikan kontribusi terhadap efisiensi dan

konsistensi manajemen risiko. Dengan demikian, hasilnya dapat dibandingkan dan

memberikan hasil serta perbaikan.6) Manajemen risiko berdasarkan pada informasi terbaik yang tersedia

Masukan dan informasi yang digunakan dalam proses manajemen risiko didasarkan

pada sumber informasi yang tersedia, seperti pengalaman, observasi, perkiraan,

penilaian ahli, dan data lain yang tersedia. Akan tetapi, tetap harus disadari bahwa


28/91

28

semua informasi ini mempunyai keterbatasan yang harus dipertimbangkan dalam

proses pengambilan keputusan, baik dalam membuat model risiko maupun

perbedaan pendapat yang mungkin terjadi di antara para ahli.

7) Manajemen risiko adalah khas untuk penggunanya ( tailored )

Manajemen risiko harus diselaraskan dengan konteks internal dan eksternal

organisasi, serta sasaran organisasi dan profil risiko yang dihadapi organisasi

tersebut.Termasuk dalam pengertian ini adalah disesuaikan dengan kebutuhan dari

para pemangku risiko dalam organisasi tersebut.

8) Manajemen risiko mempertimbangkan faktor manusia dan budaya

Penerapan manajemen risiko haruslah menemukenali kapabilitas organisasi, persepsi

dan tujuan masing-masing individu di dalam serta di luar organisasi, khususnya yang

menunjang atau menghambat pencapaian sasaran organisasi.

9) Manajemen risiko harus transparan dan inklusif

Untuk memastikan bahwa manajemen risiko tetap relevan dan terkini, para

pemangku kepentingan dan pengambil keputusan di setiap tingkatan organisasi

harus dilibatkan secara efektif. Keterlibatan ini juga harus memungkinkan para

pemangku kepentingan terwakili dengan baik dan mendapatkan kesempatan untuk

menyampaikan pendapat serta kepentingannya, terutama dalam merumuskankriteria risiko.

10) Manajemen risiko bersifat dinamis, berulang, dan tanggap terhadap perubahan

Ketika terjadi peristiwa baru, baik di dalam maupun di luar organisasi, konteks

manajemen risiko dan pemahaman yang ada juga mengalami perubahan. Dalam

situasi semacam inilah tahapan monitoring dan review berperan memberikan

kontribusi. Risiko baru pun muncul, ada yang berubah, ada juga yang menghilang.

Oleh karena itu, menjadi tugas manajemen untuk memastikan bahwa manajemenrisiko senantiasa memperhatikan, merasakan, dan tanggap terhadap perubahan.


29/91

29

11) Manajemen risiko harus memfasilitasi terjadinya perbaikan dan peningkatan

organisasi secara berlanjut

Manajemen organisasi harus senantiasa mengembangkan dan menerapkan

perbaikan strategi manajemen risiko serta meningkatkan kematangan dan

kecanggihan pelaksanaan manajemen risiko, sejalan dengan aspek lain dari

organisasi.

b. Kerangka Kerja Manajemen Risiko

Agar dapat berhasil dengan baik, manajemen risiko harus diletakkan dalam suatu

kerangka kerja manajemen risiko. Kerangka kerja ini akan menjadi dasar dan penataan

yang mencakup seluruh kegiatan manajemen risiko di segala tingkatan organisasi.

Kerangka kerja ini akan membantu organisasi mengelola risiko secara efektif melalui

penerapan proses manajemen risiko dalam berbagai tingkatan organisasi dan dalam

konteks spesifik organisasi. Kerangka kerja ini akan memastikan bahwa informasi risiko

yang lengkap dan memadai yang diperoleh dari proses manajemen risiko akan

dilaporkan serta digunakan sebagai landasan untuk pengambilan keputusan. Hal ini

dilakukan sesuai dengan kejelasan akuntabilitas pada setiap tingkatan organisasi.


30/91

30

Gambar 1: Kerangka Kerja Manajemen Risiko(Sumber: ISO 31000:2009 Risk management Guideline and principle )

Skema pada gambar 1 di atas memperjelas gambaran umum mengenai kerangka kerjamanajemen risiko sebagai induk dari proses manajemen risiko yang lebih bersifat teknis.

Kerangka kerja ini tidak dimaksudkan untuk menggambarkan sebuah sistem manajemen

baru, tetapi lebih ditujukan untuk membantu organisasi dalam mengintegrasikan

manajemen risiko ke dalam sistem manajemen organisasi keseluruhan, khususnya

melalui siklus manajemen sederhana PDCA ( Plan-Do-Check-Action ). Selain itu, skema di

atas menunjukkan gambaran mengenai bagaimana seharusnya tata kelola risiko ( risk

governance ) harus dilaksanakan, dimana dalam tata kelola risiko ini, sebagaimanadiutarakan dalam Bab I, terdiri dari aspek struktural, aspek operasional dan aspek

perawatan. Secara lebih rinci, ketiga aspek tersebut memuat unsur-unsur sebagai

berikut:

1) Aspek struktural dari tata kelola manajemen risiko antara lain terdiri dari:

MANDAT &KOMITMEN

PerencanaanKerangka Kerja

Manajemen Risiko

PenerapanManajemen Risiko

Monitoring & reviewpenerapan Kerangka

Kerja MR

Perbaikan sinambungKerangka Kerja MR


31/91

31

a) Komitmen;

b) Kebijakan manajemen risiko;

c) Akuntabilitas dan kepemimpinan;

d) Pembentukan unit kerja manajemen risiko;

e) Champion manajemen risiko pada masing-masing unit kerja; serta

f) Penyediaan sumber daya yang diperlukan untuk pelaksanaan manajemen risiko.

2) Aspek operasional dari tata kelola manajemen risiko antara lain terdiri dari:

a) Penyusunan buku Panduan Manajemen Risiko;

b) Peluncuran, sosialisasi, dan pelatihan manajemen risiko;

c) Teknik dan metoda untuk implementasi proses manajemen risiko;

d) Sistem pelaporan internal dan eksternal;

e) Monitoring dan pengukuran kinerja; serta

f) Tata usaha dan administrasi data serta informasi manajemen risiko.

3) Aspek perawatan dari tata kelola manajemen risiko antara lain terdiri dari:

a) Pendidikan dan pelatihan berlanjut;

b) Komunikasi dan publikasi;

c) Review dan audit tata kelola manajemen risiko; serta

d) Benchmarking .

c. Mandat dan Komitmen

Mandat dan komitmen dalam kerangka kerja manajemen risiko mempunyai arti sentral.

Dari mandat dan komitmen itulah segala sesuatu yang terkait dengan manajemen risiko

berasal sesuai dengan peraturan yang menjadi dasar hukum entitas atau organisasi.

Dalam peraturan perundang-undangan terkait, akan terlihat secara jelas siapa yang

memperoleh mandat dan apa jenis mandat yang diterima dan komitmen apakah yangakan terkait secara langsung dengan penerapan manajemen risiko pada organisasi

tersebut.


32/91

32

Mengingat pedoman ini menggunakan Undang-Undang No. 40 tahun 2007 tentang

Perseroan Terbatas (UUPT) sebagai acuannya, maka akan ditelaah bagaimanakah

Mandat dan Komitmen dalam peraturan perundangan tersebut terkait dengan

penerapan manajemen risiko.

Dalam UUPT yang menjadi alter ego perusahaan adalah Direksi dan Dewan Komisaris,

dan mandat yang mereka terima adalah sebagai berikut:

1) Direksi adalah Organ Perseroan yang berwenang dan bertanggung jawab penuh

atas pengurusan Perseroan untuk kepentingan Perseroan, sesuai dengan maksud

dan tujuan Perseroan serta mewakili Perseroan, baik di dalam maupun di luar

pengadilan sesuai dengan ketentuan anggaran dasar.

2) Dewan Komisaris adalah Organ Perseroan yang bertugas melakukan pengawasan

secara umum dan/atau khusus sesuai dengan anggaran dasar serta memberi

nasehat kepada Direksi.

Dari mandat tersebut di atas terlihat jelas bahwa Direksi mempunyai tugas pengurusan

dan perwakilan untuk kepentingan Perseroan, sesuai dengan maksud dan tujuan

Perseroan. Sebagai konsekuensi logis dari tugas tersebut maka Direksi memikul

tanggung jawab kepada:

1) Perseroan;

2) Pemegang saham; dan

3) Kreditur serta pemangku kepentingan lainnya.

Sedangkan Dewan Komisaris mempunyai tugas pengawasan dan pemberian nasehat

kepada Direksi. Dewan Komisaris harus memerhatikan kepentingan perseroan dan

sesuai dengan maksud serta tujuan perseroan dan Anggaran Dasar perseroan. Tugas dan

tanggung jawab Dewan Komisaris lebih bersifat internal sehingga Dewan Komisaris

bertanggung jawab kepada:

1) Perseroan; dan

2) Pemegang saham.


33/91

33

Jadi Direksi dan Dewan Komisaris wajib memastikan bahwa maksud, tujuan dan

kepentingan Perseroan harus diupayakan untuk tercapai dan tidak terganggu oleh

berbagai kepentingan. Pernyataan ini sebetulnya tidak lain dan tidak bukan adalah

penerapan manajemen risiko pada perseroan (lihat definisi risiko dan manajemen

risiko).

Dengan demikian terkait dengan penerapan manajemen risiko maka Direksi adalah

Penanggungjawab Utama: penerapan manajemen risiko pada Perseroan, sedangkan

Dewan Komisaris adalah Pengawas Tertinggi dalam pelaksanaan pengawasan

(monitoring dan review ) pelaksanaan penerapan manajemen risiko pada Perseroan.

Oleh karena itu dalam konteks manajemen risiko, tugas Direksi adalah:

1) Menciptakan situasi yang kondusif untuk melaksanakan manajemen risiko melalui

penetapan prinsip, strategi umum, dan kebijakan penerapan manajemen risiko;

2) Menyusun dan menetapkan risk governance structure yang sesuai dengan organisasi

yang dipimpinnya, serta menetapkan struktur akuntabilitas hingga level yang

terendah;

3) Menetapkan bahasa dan terminologi manajemen risiko baku yang akan digunakan

di dalam organisasi, antara lain dengan menetapkan jenis standar manajemen risiko

yang akan digunakan;

4) Menyediakan sumber daya yang diperlukan dalam arti tenaga ahli, pelatihan, dana,

sarana fisik, peralatan, dan waktu yang diperlukan untuk melaksanakan manajemen

risiko dengan baik;

5) Memastikan keselarasan program manjemen risiko dengan strategi perusahaan,

sekaligus menentukan ukuran kinerja pencapaian sasaran manajemen risiko;

6) Memastikan fungsi manajemen risiko beroperasi secara independen;

7) Mengartikulasikan dan mengkomunikasikan manfaat manajemen risiko dalam

pencapaian sasaran perusahaan;

8) Mengkaji ulang:

keakuratan metodologi penilaian risiko,


34/91

34

kecukupan sistem informasi manajemen, dan

ketepatan kebijakan, prosedur dan penetapan limit risiko

9) Menetapkan model potensi risiko utama dan risiko utama nyata yang dihadapi

perusahaan untuk memfokuskan sasaran penanganan manajemen risiko.

Dewan Komisaris adalah organ perseroan yang bertugas untuk melakukan pengawasan,

oleh karena itu perlu diperhatikan bahwa pengawasan bukan berarti campur tangan,

karena kalau terjadi campur tangan maka akuntabilitas akan menjadi kabur. Karena itu

disarankan pola pengawasan Dewan Komisaris dilaksanakan sebagai berikut:

1) Apa yang dapat membuat perusahaan ini bangkrut atau rugi besar ? Pertanyaan ini

membuat kita fokus pada risiko-risiko utama. Risiko utama ini dapat diidentifikasi

antara lain melalui:

a) Siapa saja pemangku kepentingan utama dan apa kebutuhannya;

b) Rencana strategis perusahaan dan pelaksanaannya;

c) Risiko kegiatan utama, baik finansial, operasional, maupun kepatuhan kepada

peraturan perundangan yang dapat membahayakan kelangsungan hidup

perusahaan;

d) Bagaimanakah toleransi risiko ditetapkan dan bagaimanakah toleransi risiko

tersebut bila dibandingkan dengan kapabilitas perusahaan ataupun rencana

strategi perusahaan;

e) Apakah Anda merasa nyaman dengan profil risiko yang dilaporkan?

2) Fokus pada perubahan apakah yang terjadi. Hal ini terkait dengan unsur

ketidakpastian dari risiko. Perubahan apapun yang terjadi harus diperhatikan.

Bagaimana dampaknya terhadap organisasi, perubahan pasar/persaingan,

perubahan peraturan, perubahan kurs mata uang, perubahan politik, dan lain-lain.

3) Uji dan bandingkan dengan apa yang telah terjadi. Kita tidak boleh berpuas diri

dengan apa yang sudah berjalan dengan baik. Ada baiknya kita mempertanyakan

kemampuan manajemen risiko yang ada: Mungkinkah apa yang terjadi di Union

Carbide, Bhopal, India, dapat juga terjadi disini? Mungkinkah kecerobohan sistem

pengendalian internal yang terjadi pada Baring Bank, Singapore, dapat juga terjadi


35/91

35

di sini? Mungkinkah kecerobohan manajemen yang dialami Adam Air juga mungkin

terjadi di sini?; dan seterusnya.

4) Menemukenali hubungan antar-risiko. Sebuah risiko besar seringkali tidak terjadi

tiba-tiba, tetapi akibat dari interaksi dari berbagai risiko kecil. Risiko yang dialami

oleh pesawat terbang Adam Air yang terjun ke laut diakibatkan oleh berbagai hal,

mulai dari upaya penghematan, komponen navigasi yang tidak berfungsi dengan

baik, sampai kecerobohan manajemen.

Selain keempat hal di atas, Dewan Komisaris juga perlu mempertanyakan bagaimanakah

proses komunikasi risiko dilaksanakan; bagaimanakah pembinaan budaya sadar risiko

diselenggarakan; bagaimanakah penciptaan situasi yang kondusif untuk penerapan

manajemen risiko diciptakan; dan bagaimanakah pembentukan tone at the top

(perilaku keteladanan) terlaksana. Organisasi dengan penerapan manajemen risiko yang

baik akan menunjang pelaksanaan good corporate governance dan akan meningkatkan

nilai perusahaan.

d. Proses Manajemen Risiko

Proses manajemen risiko adalah penerapan secara sistematik kebijakan manajemen,

prosedur dan praktik manajemen dalam pelaksanaan tugas untuk melakukan

komunikasi dan konsultasi, menetapkan konteks, dan asesmen risiko. Proses

manajemen risiko meliputi identifikasi, analisa, dan evaluasi risiko, kemudian perlakuan

risiko, dan diakhiri dengan pemantauan dan pengkajian risiko. Proses manajemen risiko

secara singkat merupakan penerapan kerangka kerja manajemen risiko pada tiap-tiap

jenis risiko yang secara spesifik mempunyai karakter yang berbeda-beda sesuai dengan

konteksnya. Ini sesuai dengan prinsip ke tujuh manajemen risiko yang menyatakan

bahwa manajemen risiko adalah khas bagi penggunanya ( tailored ). Walaupun

penerapan proses manajemen risiko khas untuk masing-masing risiko, tetapi secara

metodologis, penerapannya sesuai dengan sistem yang digambarkan pada gambar 2 di

bawah ini.


36/91

36

Gambar 2: Proses Manajemen Risiko(Sumber: AS/NZS 4360:2004 Risk Management )

Sebagaimana ditegaskan di atas, proses manajemen risiko ini adalah khas dan unik

untuk tiap proses bisnis, bagian dan bahkan untuk tiap risiko. Hal ini disebabkan karena

tidak ada proses, bagian atau risiko yang seratus persen identik. Masing-masing

mempunyai hal yang spesifik, walaupun terdapat beberapa kesamaan.

3. Tata Kelola Risiko

Tata kelola risiko meliputi unsur-unsur kebijakan manajemen risiko, akuntabilitaspelaksanaan, perencanaan manajemen risiko terpadu, penyediaan sumber daya yang

memadai, dan mekanisme komunikasi serta pelaporan pelaksanaan manajemen risiko, baik

internal maupun eksternal. Satu hal lagi yang biasanya penting dalam tata kelola

manajemen risiko adalah kesamaan bahasa, yaitu penggunaan istilah -istilah dalam

penerapan manajemen risiko. Hal ini diatasi dengan menggunakan istilah dan definisi yang

ditentukan dalam ISO Guide 173:2009 Risk Management Vocabulary.

a. Kebijakan Manajemen RisikoKebijakan manajemen risiko merupakan pernyataan komitmen secara tertulis oleh

Direksi dan Dewan Komisaris untuk menerapkan manajemen risiko dalam organisasi. Hal

penting terkait Kebijakan ini dinyatakan secara singkat dan jelas yang meliputi antara

lain:

IDENTIFIKASI RISIKO

ANALISA RISIKO

EVALUASI RISIKO

PERLAKUAN RISIKO

MENENTUKAN KONTEKS

ASESMEN RISIKO


37/91

37

1) Alasan mengapa harus menerapkan manajemen risiko;

2) Penjelasan keterkaitan antara pencapaian sasaran organisasi dan kebijakan

manajemen risiko;

3) Kejelasan akuntabilitas pelaksanaan manajemen risiko, termasuk infrastruktur

pelaksanaannya;

4) Penyediaan sumber daya untuk menerapkan manajemen risiko;

5) Penentuan standar atau metode manajemen risiko yang akan digunakan;

6) Komitmen untuk melakukan review dan verifikasi secara berkala terhadap

efektivitas penerapan manajemen risiko.

Penetapan komitmen manajemen ini harus diikuti dengan langkah-langkah nyata untuk

lebih mempertegas bahwa komitmen tersebut tidak hanya di atas kertas. Secara

keseluruhan, langkah nyata tersebut adalah penyusunan tata kelola manajemen risiko

yang akan mengawali proses penerapan manajemen risiko ke seluruh organisasi.

b. Akuntabilitas Penerapan Manajemen Risiko

Akuntabilitas tertinggi untuk penerapan manajemen risiko pada dasarnya berada pada

Direksi, secara lebih khusus pada Direktur Utama atau anggota Direksi lainnya yang

ditunjuk, dengan ketentuan jangan sampai menimbulkan benturan kepentingan dalam

pengambilan keputusan. Secara umum, hal penting yang perlu diperhatikan antara lain:

1) Penunjukan Champion yang bertanggung jawab untuk mendorong pelaksanaan

penerapan manajemen risiko secara meluas ke seluruh organisasi ( enterprise

wide risk management ). Champion ini dapat berupa penunjukan fungsi

Manajemen Risiko tersendiri dan para individu pada setiap divisi dengan

penugasan khusus untuk menjadi fasilitator penerapan manajemen risiko pada

divisinya;

2) Penetapan secara jelas bahwa akuntabilitas pengelolaan risiko tetap berada pada

para pemangku risiko ( risk owner ) dan bukan ke para Champion. Untuk itu setiap

kepala divisi merupakan pemangku risiko pada divisi tersebut dan menjadi

Penanggung Jawab dalam melakukan pengelolaan risiko pada divisinya. Demikian


38/91

38

secara berjenjang hingga sampai pada penanggungjawab proses. Tugas para

Champion lebih sebagai fasilitator untuk penerapan manajemen risiko;

3) Penyusunan infrastruktur organisasi sebagai unit untuk mendorong penerapan

manajemen risiko ke seluruh organisasi, termasuk di dalamnya akuntabilitas

penerapan tersebut pada setiap tingkatan dalam organisasi;

4) Penyusunan mekanisme organisasi untuk penerapan manajemen risiko, termasuk

penyusunan manual penerapan manajemen risiko, mekanisme pelaporan

pelaksanaan manajemen risiko, pengukuran efektivitas penerapan manajemen

risiko, atau pengukuran kinerja manajemen risiko.

5) Proses untuk menimbulkan budaya sadar risiko ke seluruh organisasi.

c. Infrastruktur Manajemen Risiko

Tidak terdapat model atau panduan baku dalam penyusunan infrastruktur organisasi

dalam pengelolaan manajemen risiko. Hal yang terpenting adalah kejelasan dari

akuntabilitas dan tanggung jawab untuk mendorong pelaksanaan manajemen risiko ini

bertumpu pada suatu fungsi yang ditunjuk secara tegas dan jelas. Setiap organisasi

harus menyusun infrastruktur organisasi manajemen risiko sesuai dengan kebutuhan

dan jenis-jenis risiko yang dihadapi.

Dalam gambar 3 ditampilkan suatu model yang merupakan contoh dan bukan

merupakan model baku. Contoh ini lebih tepat untuk organisasi yang cukup besar,

sedangkan untuk organisasi yang berskala kecil dan menengah, harus menyesuaikan

dengan kemampuan organisasinya.


39/91

39

Gambar 3: Infrastruktur Manajemen Risiko

Komite Pemantau Risiko adalah organ Dewan Komisaris yang membantu melakukan

pengawasan dan pemantauan pelaksanaan penerapan manajemen risiko pada

perusahaan. Komite Risiko adalah Komite yang dipimpin oleh Direktur Utama atau

Direktur yang ditunjuk untuk itu, dan berfungsi untuk menetapkan kebijakan, strategi

penerapan manajemen risiko untuk seluruh perusahaan. Selain itu Komite ini

mempunyai anggota dari masing-masing Direktorat, untuk melakukan pemantauan dari

pelaksanaan penerapan manajemen risiko dan mengambil keputusan terhadap usulan

perlakuan risiko yang berdampak bagi seluruh perusahaan. Semua pengesahan manual,

prosedur dan tata laksana penerapan manajemen risiko dilaksanakan melalui Komite

Risiko ini.

Fungsi Manajemen Risiko adalah unit yang menjadi Champion dalam penerapan

manajemen risiko perusahaan dan menyusun segala manual dan prosedur serta tata

laksana dan pelaporan penerapan manajemen risiko perusahaan. Unit ini juga

melakukan komunikasi berkala dan pelaporan penerapan manajemen risiko

DIREKSI

INTERNAL AUDITOR

KOMITE RISIKO(LintasFungsi)

DEWANKOMISARIS

KomitePemantauRisiko

MANAJEMENKEUANGAN

MANAJEMENOPERASI

MANAJEMEN SDM& UMUM

MANAJEMENRISIKO

HUKUM &KEPATUHAN

Pengawasan


40/91

40

perusahaan. Unit ini juga menyelenggarakan pelatihan bagi para champion yang berada

pada tiap divisi atau departemen dalam perusahaan.

d. Tata Laksana, Komunikasi dan Pelaporan

Proses manajemen risiko melibatkan banyak pihak dalam organisasi, terlebih lagi pada

awal penerapannya. Oleh karena itu, perlu kejelasan akuntabilitas untuk memastikan

bahwa semua proses dapat berjalan dengan baik. Salah satu metode yang sering

digunakan untuk melakukan hal tersebut adalah RACI Matrix. RACI adalah singkatan

dari Responsible, Accountable, Consulted , dan Informed .

Secara sederhana, RACI Matrix akan menjelaskan atau menentukan dalam setiap

kegiatan:

1) R siapa yang responsible, artinya siapa yang mengerjakan kegiatan tersebut;

2) A siapa yang accountable , artinya siapa yang berhak membuat keputusan akhir

ya atau tidak atas kegiatan tersebut, serta menjawab pertanyaan -pertanyaan

pihak lain;

3) C siapa yang harus consulted, artinya harus diajak konsultasi atau dilibatkan

sebelum atau saat kegiatan tersebut dilaksanakan atau dilanjutkan; serta

4) I siapa yang harus informed, artinya siapa yang harus diberi informasi mengenai

apa yang sedang terjadi atau sedang dilakukan tanpa harus menghentikan

kegiatan tersebut.

Direksi dan Dewan Komisaris harus memastikan bahwa pada setiap tahapan proses

manajemen risiko terdapat kejelasan akuntabilitas dan tanggung jawab

pelaksanaannya.

RACI Matrix pada tabel 1 memperlihatkan gambaran umum mengenai hal tersebut di

atas. Gambaran ini masih sangat kasar dan memerlukan penjabaran lebih lanjut dalam

bentuk proses bisnis yang sesuai dengan sasaran di tiap tahapan. Kedalaman

penjabaran sangat ditentukan oleh keperluan organisasi, tetapi keberhasilan

penjabaran proses akan mempermudah dan memperjelas proses penerapannya.


41/91

41

Dari RACI Matrix pada tabel 1 terlihat secara tidak langsung bagaimana metode

komunikasi dan pelaporan harus dilaksanakan. Secara sederhana dapat dikatakan

bahwa pihak yang dalam tabel tersebut mendapatkan huruf A berarti ia harus

mendapatkan laporan lengkap untuk dapat mengambil keputusan. Ia seolah-olah

menjadi pelanggan dari seluruh kegiatan tersebut. Sedangkan yang menjadi process

owner adalah mereka yang memperoleh huruf R. Dialah yang harus mempersiapkan

laporan dan melakukan komunikasi dengan pihak-pihak terkait. Laporan disampaikan

kepada pemilik huruf A, sedangkan komunikasi dilakukan kepada mereka -mereka

yang memperoleh huruf C dan I.

NoTahap ProsesManajemenRisiko

DewanKomisaris

KomitePemantauRisiko

Direksi FungsiManajemenRisiko

DivisiOperasional

ExternalStakeholeder

1. Persiapan I A R I -

2.Komunikasi danKonsultasi

I I A R C I

3.Menentukankonteks

I C A R C I

4. Asesmen Risiko

a. IdentifikasiRisiko

I I C R A/R -

b. AnalisisRisiko

I I C R A/R -

c. EvaluasiRisiko I I A C R I

5.PerlakuanRisiko

I I A C R C/I

6.Monitoring danReview

I R A R C I

7.PelaporanManajemenRisiko

C C A R R/C -

Tabel 1: Contoh RACI Matriks


42/91

42

Komunikasi dan pelaporan eksternal dilakukan dengan menambahkan satu kolom

Stakeholders pada bagian paling kanan matriks RACI di atas. Bila dalam kolom

stakeholders terdapat huruf I atau C maka kita wajib memberikan informasi ( informed )

atau melibatkan ( consulted ) mereka dalam kegiatan manajemen risiko yang sedang

dilaksanakan.

Melalui proses di atas diharapkan bahwa manajemen organisasi mampu membangun

mekanisme sistem tata laksana, komunikasi dan pelaporan internal maupun eksternal guna

memastikan bahwa:

1) Komponen kunci kerangka kerja manajemen risiko dan setiap perubahan yang

terjadi dapat dikomunikasikan dengan baik ke seluruh pihak terkait;2) Tersedia laporan yang memadai tentang efektivitas kerangka kerja manajemen

risiko dan hasil dari proses manajemen risiko;

3) Informasi hasil penerapan manajemen risiko selalu tersedia di tiap tingkatan yang

memerlukan dan pada waktu yang diperlukan;

4) Terselenggara proses konsultasi dengan para pemangku kepentingan internal

maupun eksternal;

5) Pelaporan ke pihak eksternal sesuai dengan tuntutan kepatuhan hukum sertapenerapan good corporate governance ;

6) Melaksanakan pengungkapan informasi sesuai dengan peraturan perundangan

yang berlaku;

7) Berkomunikasi dengan seluruh pemangku kepentingan, terutama pada saat terjadi

krisis atau keadaan darurat.

8) Menggunakan komunikasi untuk membina dan meningkatkan kepercayaan kepada

organisasi;

4. Sumber Daya Penerapan Manajemen Risiko

Penyediaaan sumber daya yang memadai adalah indikator lain dari komitmen Direksi dalam

menerapkan manajemen risiko dalam organisasi yang dipimpinnya. Tanpa adanya sumber


43/91

43

daya yang memadai, hal ini serupa dengan penolakan diam -diam terhadap penerapan

manajemen risiko. Manajemen organisasi harus mengalokasikan sumber daya yang

memadai untuk pelaksanaan manajemen risiko antara lain terhadap hal-hal berikut:

a. Personalia dengan pengalaman, keterampilan, dan kemampuan yang memadai serta

jumlah yang sesuai dengan kebutuhan;

b. Sumber dana dan sumber daya yang diperlukan untuk setiap tahapan penerapan

manajemen risiko;

c. Proses dan prosedur yang terdokumentasi dengan baik dan sistem dokumentasinya,

termasuk perangkat penunjang;

d. Sistem informasi dan manajemen pengetahuan ( knowledge management system ).

RACI matrix tersebut di atas memberikan indikasi untuk kebutuhan sumber daya.

Kebutuhan pelatihan atau peningkatan kompetensi dalam melaksanakan manajemen risiko

diperlukan bagi mereka yang mendapatkan penugasan R. Bagi y ang mendapatkan

penugasan I dan C memerlukan sosialisasi dan komunikasi agar dapat memahami apa

dan mengapa manajemen risiko, serta bagaimana dampaknya terhadap unit kerja dan

tanggung jawabnya. Bagi yang mendapatkan penugasan A, pada dasarnya sama d engan

yang mendapatkan penugasan I dan C, tetapi derajatnya lebih tinggi karena harusmemikirkan dampaknya terhadap keseluruhan organisasi dan memutuskan apa yang harus

dilakukan terhadap risiko tersebut atau jenis perlakuan risiko yang harus diambil.

Kebutuhan sumber daya lain untuk mengelola penerapan manajemen risiko menjadi salah

satu faktor penting yang menentukan berjalan dan berhasilnya proses penerapan

manajemen risiko. Untuk ini komitmen Direksi dalam memenuhi kebutuhan tersebut akan

sangat menentukan.


44/91

44

BAB IIIASPEK OPERASIONAL

1. Pengantar

Sebagaimana telah dijelaskan pada bagian sebelumnya, aspek struktural merupakan

landasan yang digunakan dalam penerapan manajemen risiko secara menyeluruh pada

organisasi. Hal tersebut juga berlaku pada aspek operasional, namun aspek operasional

dapat pula sebagai aspek spesifik bagi masing-masing bagian atau bahkan spesifik untuk

tiap-tiap risiko.

Aspek operasional yang menjadi bagian dari proses penerapan manajemen risiko secara

menyeluruh dalam organisasi adalah penyusunan manual manajemen risiko, metodologi

penanganan manajemen risiko atau lebih dikenal dengan proses manajemen risiko dan

penanganan manajemen perubahan. Pada penanganan manajemen perubahan, prosesnya

meliputi peluncuran, sosialisasi dan pelatihan hingga penerapan manajemen risiko sehingga

akan menumbuhkan budaya sadar risiko.

Sedangkan aspek spesifik bagi masing-masing bagian dan bahkan tiap-tiap risiko adalah

penerapan proses manajemen risiko itu sendiri pada tiap-tiap risiko. Setiap risiko dan proses

bisnis mempunyai konteks yang spesifik sehingga memerlukan teknik yang spesifik pula.

Sesuai dengan prinsip ke dua pada prinsip-prinsip manajemen risiko yang dijelaskan di Bab

II, manajemen risiko merupakan bagian terpadu dari proses organisasi, maka proses

manajemen risiko hendaknya merupakan bagian yang tak terpisahkan dari manajemen

umumnya. Ia harus masuk dan menjadi bagian dari budaya organisasi, praktik terbaik

organisasi, dan proses bisnis organisasi. Proses manajemen risiko meliputi lima kegiatan,

yaitu komunikasi dan konsultasi, menentukan konteks, asesmen risiko, perlakuan risiko,

serta monitoring dan review , sebagaimana ditunjukkan pada gambar 2 dalam Bab II.

Dalam aspek operasional ini perlu dijelaskan lingkup tugas mana yang menjadi bagian pada

level organisasi keseluruhan (korporasi) dan yang menjadi wilayah para pemangku risiko


45/91

45

(divisi, departemen, proses bisnis, dan lain-lain). Untuk itu digunakan pendekatan seperti

digambarkan pada gambar 4 di bawah ini.

Gambar 4: Operasionalisasi Kerangka Kerja dan Proses Manajemen Risiko(sumber: diadopsi dari Broadleaf Capital International Pty, Ltd.(2008))

Proses manajemen risiko yang berada di bagian tengah adalah domain kegiatan para

pemangku risiko ( risk owner ) sedangkan kegiatan lainnya adalah domain kegiatan

organisasi. Atau dengan kata lain, tugas khusus fungsi manajemen risiko organisasi adalah

menyediakan pondasi bagi kegiatan para pemangku risiko dalam menerapkan manajemen

risiko. Pemangku risiko dalam pengertian ini adalah para Kepala Divisi/Biro, Kepala Bagian,

Kepala Seksi atau penanggung jawab proses organisasi.

Dalam aspek operasional pada Bab ini akan diuraikan proses implementasi manajemen

risiko yang meliputi antara lain pelaksanaan manajemen perubahan; penyusunan buku

MANDAT & KOMITMEN

Kebijakan Standar Sumber daya Manual Manajemen Risiko Lingkup & konteks MR

organisasi

KOMUNIKASI & PELATIHAN ( Manajemen perubahan ) Analisis Stakeholders Strategi & proses komunikasi Strategi & proses pelatihan

Networking

STRUKTUR & AKUNTABILITAS Unit Manajemen Risiko Komite Manajemen Risiko Komite Pemantau Risiko Risk Owners & Champions MR MR Plan & Roadmap

REVIEW & PERBAIKAN Review kemajuan

penerapan RM Plan & KPI RM Audit Control assurance Governance reporting

Benchmarking

Management information System Risk Register Assurance Plan

Treatment plan Reporting system

STRATEGIC PROCESS

STRATEGIC PROCESS

STRATEGIC PROCESS STRATEGIC PROCESS

Identifikasi risiko

Analisa risiko

Evaluasi risiko

Perlakuan risiko

Menentukan konteks

PROSES STRATEGIS

PROSES STRATEGIS

PROSES STRATEGIS

PROSES STRATEGIS


46/91

46

Panduan Manajemen Risiko; Implementasi proses manajemen risiko; sistem pelaporan

internal dan eksternal; monitoring dan pengukuran kinerja; serta tata usaha dan

administrasi data serta informasi manajemen risiko.

2. Manajemen Perubahan

Setiap introduksi program baru dalam organisasi, terdapat beberapa tahapan transisi,

sebelum program tersebut dapat berfungsi secara efektif. Tahap pertama adalah

penolakan; dalam tahap ini semua orang mempertanyakan kegunaannya, karena sudah

merasa nyaman dengan kondisi yang ada. Tahap kedua adalah perlawanan; dalam tahap ini

mereka mulai melihat manfaatnya tetapi masih ragu dan enggan untuk melaksanakannya.

Sebaiknya orang lain dulu dan jangan saya. Tahap ketiga adalah tahap eksplorasi; dimana

orang sudah melihat dengan jelas manfaat dan kegunaannya dan mulai timbul keinginan

untuk memahami dan melakukan eksplorasi lebih jauh. Tahap terakhir adalah komitmen

untuk melakukan perubahan tersebut; pada tahap ini proses perubahan akan berlangsung

dengan baik.

Tahap transisi

Komitmen

Eksplorasi

Perlawanan

Penolakan1 2 3 4 5 6 7 8 9

Manajemen Puncak& Senior

Manajemen menengah& lini pertama

Seluruh

karyawan

Bulan

Pengumumanperubahan

Manajemen Puncak harus kommit sebelum perubahan diluncurkan

Sumber: S Price & D Holmes, Managing Change from Theory to Practice, New Jersey: Ministry of Health British Columbia, 2007


47/91

47

Gambar 5: Tahapan Manajemen Perubahan

Proses perubahan ini dialami oleh Manajemen Puncak, Manajemen Menengah dan LiniPertama, dan seluruh karyawan (lihat Gambar 5). Oleh karena itu tahapan proses

perubahan tersebut harus dimulai dari Manajemen Puncak terlebih dahulu, sehingga

mereka dapat berperan sebagai Change Leader yang akan diikuti oleh Manajemen

Menengah. Selanjutnya Manajemen Menengah akan menjadi Change Leader yang akan

diikuti oleh Manajemen Lini Pertama. Proses yang sama akan dilakukan oleh Manajemen

Lini Pertama yang akan berfungsi sebagai Change Leader bagi seluruh karyawan.

Berdasarkan pemahaman seperti di atas, maka proses penerapan manajemen risiko

perusahaan harus direncanakan dan disusun sedemikian rupa sehingga penolakan dan

perlawanan dapat diatasi secara baik. Untuk itu disarankan agar melaksanakan tahapan

penerapan manajemen risiko sebagai berikut;

a. Tahap persiapan awal, adalah mendapatkan komitmen Direksi dan Dewan Komisaris

untuk penerapan manajemen risiko perusahaan dan kemudian diikuti dengan

penunjukan pejabat yang bertanggung jawab untuk mempersiapkan pelaksanaan serta

pelatihan yang memadai;

b. Melaksanakan Executive Briefing untuk Direksi, Dewan Komisaris, Sekretaris

Perusahaan, Kepala Internal Audit (SPI/SKAI) mengenai penerapan manajemen risiko

perusahaan dan tanggung jawab Direksi dan Dewan Komisaris dalam penerapan

tersebut. Hal ini kemudian dilanjutkan dengan Seminar Sehari untuk para pejabat

setingkat Kepala Divisi/ Kepala Cabang tentang peran dan tanggung jawab mereka

dalam penerapan manajemen risiko perusahaan.

c. Tahap persiapan selanjutnya adalah menyusun strategi dan rencana penerapan

manajemen risiko perusahaan secara lebih menyeluruh yang antara lain berisi hal-hal

sebagai berikut:

1) Melakukan audit manajemen risiko (bila diperlukan)


48/91

48

2) Menyusun Master Plan penerapan Manajemen Risiko termasuk budget dan jadwal

3) Menyusun Buku Panduan Manajemen Risiko atau Manual Manajemen Risiko,

Instruksi Kerja dan Prosedur Pelaporan;

4) Penetapan kriteria risiko dan ukuran kinerja manajemen risiko

5) Penunjukan Risk Management Governance Structure dan penujukan para

Champions

d. Tahap berikutnya adalah tahap persiapan untuk peluncuran manajemen risiko

perusahaan dengan aktivitas antara lain:

1) Pelatihan intensif untuk para Champion mengenai teknik dan metode manajemen

risiko

2) Pelatihan untuk para Manajer Menengah men

Pedoman Rmbg (Final_1 Maret 2012)-Draft Jpt

Documents

Transcript of Pedoman Rmbg (Final_1 Maret 2012)-Draft Jpt