Add to collection(s) Add to saved
  1. No category
Uploaded by rindytesanita

CRA Modul 1

advertisement 
ENTERPRISE RISK MANAGEMENT (ERM)
Beragam Risiko
yang Dihadapi Perusahaan/Korporasi
RISIKO
ISO 31000:2009 MANAJEMEN RISIKO
Efek dari ketidakpastian atas sasaran/tujuan (objectives)
Catatan:
1. Efek mungkin positif, negatif (penyimpangan dari yang diharapkan)
2. Sasaran dapat berupa sasaran finansial, atau yang berkaitan dengan kesehatan
dan keuangan, atau sasaran dalam bentuk lainnya
3. Risiko sering dinyatakan dengan mengacu pada suatu peristiwa yang mungkin
terjadi, suatu perubahan situasi, dampak peristiwa tersebut, dan bagaimana hal
tersebut dapat memengaruhi pencapaian sasaran.
4. Risiko sering dinyatakan dalam bentuk kombinasi dampak dan kemungkinan
terjadinya suatu peristiwa, atau perubahan situasi/lingkungan
RISIKO
Visualisasi ketidakpastian atas sasaran/tujuan (objectives)
Upside Risk (opportunity cost)
Business Goals/ KPI/ Target setting/ strategic intens/
sasaran kinerja/ standard kerja
Downside risk
Setiap pencanangan tujuan di
masa depan, memiliki probabilitas
(dampak)
untuk
ter-deviasi
(melenceng) dari tujuan (objective)
semula yang telah ditetapkan.
Setiap deviasi dari tujuan semula
ini (baik upside risk & downside
risk) dapat dianggap sebagai risiko
Dengan demikian, risiko juga dapat
di-artikan sebagai ‘faktor ketidakpastian’ atas sebuah tujuan/
sasaran
bisnis
yang
telah
ditetapkan sebelumnya
Sehingga: RISIKO sendiri memiliki 3
dimensi,
yaitu:
probabilitas
kejadian, dampak kejadian &
waktu kejadian
Contoh Kasus Manajemen Risiko
GLOBAL RISK
'Winter is coming': Indonesia warns world finance leaders over trade war
DAMPAK: KURS USD, IHSG, EKSPOR, dll
Contoh Kasus Manajemen Risiko
SUBPRIME MORTGAGE
• Subprime Mortgage
• MBS
• CDO
• Leverage
• CDS
• Toxic Instruments
• M&A
• Bail out
• Stimulus Package
Greedy
Fraud
Rating Problem
• Credit Crunch
• Bank Run
• Credit Risk
• Market Risk
• Reputational Risk
• Liquidity Risk
• Systemic Risk
• Operational Risk
• Financial Crisis
• Economic Crisis
• Huge Loss
• Collapse
• Bankrupt
Contoh Kasus Manajemen Risiko
SUBPRIME MORTGAGE
PENYEBAB KRISIS
Inflasi dan suku
bunga naik
→ KPR macet
Contoh Kasus Manajemen Risiko
SUBPRIME MORTGAGE
PENYEBAB KRISIS
Derivatif :
1. MBS dan CDO
2. Leverage tinggi (bisa sampai 1:35)
Contoh Kasus Manajemen Risiko
Cases of risk event – RISIKO PROSES INTERNAL
– RISIKO MANUSIA
Daiwa Bank, New York
Pada bulan April 1995, seorang trader obligasi di Daiwa Bank, New York, mengakui kerugian
sebesar USD 1.1 billion yang selama lebih dari 11 tahun telah ditutupinya.
Selama periode tersebut, trader tersebut telah melakukan setidaknya 30,000 transaksi tidak
sah tanpa seorangpun menemui apa yang dilakukannya.
Menurut Alan Peachey hal ini menunjukkan adanya kelemahan dalam pengendalian: audit
sederhana terhadap surat-surat berharga yang outstanding akan dapat mengungkap transaksi
yang tidak sah tersebut, namun selama periode tersebut tidak pernah dilakukan audit.
Contoh Kasus Manajemen Risiko
2009 - Rp161 bilion
TD → on call Deposits
2011 – disappear
Santun N.
CFO
20% fee
Rahman Hakim
Rp 110 billion
Ivan
Itman Harry Basuki
Branch Manager
Jababeka Bekasi
Richard
Bank Mafia
Other victim
Kab Batu Bara – Sumatra
Rp 80 billion
Siklus Ekonomi
Rata-Rata Periode Ekspansi 7 Tahun
Sumber: Danareksa Research Institute (2011)
Jenis-jenis Risiko
•
Strategic Risk
–
–
–
–
Legal
Reputation
Regulation
Business Changes
•
Operational Risk
–
•
•
•
–
•
•
Price
Currency/Interest
Credit
Liquidity
–
–
Kerusakan Asset Produktif
•
•
•
–
Kematian dan Kecelakaan Kerja
•
•
•
–
Bencana Alam
Kebakaran
Human Error/Kerusuhan sosial
Kematian Kerja
Kecelakaan Kerja
Kejadian Alam
Ancaman Kelangsungan Usaha
•
Downtime system operasi
–
–
ISO
Efficiency
Effectiveness
SOP/Redundancy
Organization
•
•
•
Hazard Risk
Kompetensi
Career development system
Satisfactory Index
Business Process
•
•
•
•
Financial Risk
–
–
–
–
Human Resource
Decision System
Approval System
Complete Functional
Engineering/Technology
IT (System Informasi)
•
•
Network Internal
Security IT
Risiko & Problem
MANAJEMEN SUMBER DAYA MANUSIA
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Terlalu tergantung pada jumlah staf yang sedikit
Problem dengan dengan dan antar staff
Problem dengan pekerja eksternal (kontraktor)
Kondisi dan Desain tempat kerja yang buruk
Pelecehan seksual
Tindakan kriminal
Konflik budaya/agama
Rasa tidak adil (diskriminasi) dirasakan karyawan
Kurangnya pelatihan dan pengembangan karyawan
Keahlian pekerja tidak memadai
Penempatan pekerja yang tidak tepat
Kesulitan bahasa
Hilangnya pekerja kunci
Kesehatan dan Kenyamanan kerja
Tidak terdapat desk job yang jelas untuk semua pekerja
Carrier Path Planning tidak Jelas
Struktur organisasi tidak tepat`
Lemahnya kaderisasi karyawan
Sistem Remunerasi yang tidak konsisten
Risiko & Problem
OPERASIONAL
•
•
•
Produk dan jasa yang tidak aman
Rusaknya infrastruktur /peralatan /peralatan sudah tua
Tidak tersedianya suku cadang peralatan
•
•
•
Pekerjaan tidak berpengalaman
Konflik perencanaan dan jadwal pekerjaan
Buruknya pelayanan membuat kemarahan pelanggan
•
•
•
Buruknya Pemeliharaan peralatan dan infrastruktur
Tertundanya pasokan
Program terhambat
LSPPM – BNSP – CRA – JASA MARGA - 2018
Risiko & Problem
Keuangan Akuntasi/Pajak
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Lemahnya Manajemen aset dan kewajiban
Perpajakan (Denda atau salah bayar)
Salah/terlambat menyajikan laporan keuangan
Piutang tidak tertagih
Tidak tersedianya kas / manajemen kas yang buruk
Kurang modal investasi
Turunnya kemampuan membayar hutang
Interupsi Bisnis
Skema bisnis yang tidak menguntungkan
Turunnya peringkat hutang
Pergerakan nilai tukar dan suku bunga
Denda telat membayar ke pihak Eksternal
Fraud
Sistem akuntasi dan pelaporan yang tidak akurat
Asuransi yang kurang memadai
Risiko persediaan
Terlalu tergantung pada satu pemasok atau penyedia jasa
RKAP yang tidak akurat
Risiko & Problem
Bencana dan Kecelakaan
• Kecelakaan (eg. vehicle, aeroplane, train)
• Hilangnya individu kunci
• Racun, serangan terhadap pekerja, polusi pada
•
•
•
•
•
lingkungan sekitar
epidemik pada pekerja
Banjir, kebakaran, gempa
Listrik mati
sabotase
Terorisme, anarki, demonstrasi
Risiko & Problem
LEGAL DAN REGULASI
• Regulasi yang menghambat
• Tumpang tindih regulasi
• Kebijakan Pemerintah yang menghambat
• Kurangnya jumlah ahli hukum
• Pihak ekternal mengingkari kontrak
• Tuntutan Hukum dari Pihak eksternal
• Perizinan yang bermasalah
TEKNOLOGI INFORMASI
• Sistem informasi tidak memadahi
• Hambatan komunikasi antar kantor
• Buruknya pengelolaan dan pemeliharaan infratruktur IT
• Rusaknya perangkat IT
• Virus, hacker
• Data base tidak tersedia/tidak lengkap
ENTERPRISE RISK MANAGEMENT (ERM)
Konsep Dasar
Manajemen Risiko
Pentingnya Manajemen Risiko
Manajemen Risiko mendorong
penciptaan nilai dengan
mempermudah manajemen untuk :
Mengelola dengan efektif seluruh potensi
kejadian di masa mendatang yang
menimbulkan ketidakpastian.
Memberikan treatment dengan tepat
dan cepat sehingga dapat meminimalkan
potensi terjadinya kerugian dan secara
bersamaan memperkuat opportunity.
Komitmen Penerapan
Manajemen Risiko
1. Penerapan manajemen rIsiko adalah keharusan untuk mencapai tujuan Organisasi
2. Manajemen risiko harus diterapkan secara terintegrasi diseluruh organisasi dan tidak
3.
4.
5.
6.
7.
diterapkan secara terkotak-kotak, sehingga akan menghasilkan efisiensi dan efektifitas
biaya.
Manajemen risiko harus diterapkan secara sinergi dengan sistem manajemen lainnya
sebagai sistem peringatan dini (early warning system) terhadap terjadinya kegagalan
pencapaian tujuan organisasi.
Risiko merupakan pertimbangan penting pada setiap perencanaan bisnis dan pada
setiap pengambilan keputusan manajemen.
Seluruh elemen organisasi harus memiliki kesadaran dan kepedulian terhadap risiko
dalam setiap aktivitas bisnis yang dilaksanakan sesuai wewenang dan tanggung jawab
masing-masing.
Seluruh risiko yang mungkin timbul pada pelaksanaan bisnis dalam organisasi baik
pada level korporat maupun level cabang harus diidentifikasi, diukur, ditangani,
dikomunikasikan dan dimonitor secara berkesinambungan.
Manajemen harus menyediakan dan mengalokasikan sumber daya yang cukup untuk
mencapai tujuan manajemen risiko, termasuk untuk peningkatan kompetensi sumber
daya manusia dalam bidang manajemen risiko.
Enterprise Risk Management (ERM)
COSO ERM:
2004
ISO 31000:
2009
Enterprise risk management is a process, effected by an entity’s
board of directors, management and other personnel, applied in a
strategy setting and across the enterprise, designed to
identify potential events that may affect the entity, and manage
risk to be within its risk appetite, to provide reasonable assurance
regarding the achievement of entity objectives.
Source:
COSO Enterprise Risk Management – Integrated
Framework: 2004
Risk management creates value, is an integral part of
organizational processes; is part of decision making; explicitly
addresses uncertainty; is systematic, structured and timely; is
based on best available information; is tailored; is transparent and
inclusive; is dynamic, iterative and responsive to change; and
facilitates continual improvement and enhancement of the
organization.”
Source: ISO 31000: 2009 Risk Management – Principles and
Guidelines
• ERM adalah proses.
• Proses ERM dilaksanakan oleh
semua orang (semua tingkat
jabatan) dalam perusahaan.
• ERM diterapkan melalui
pengaturan strategi di perusahaan
secara keseluruhan.
• Mengelola risiko supaya masih di
bawah risk appetite
• ERM dirancang untuk memastikan
pencapaian tujuan.
• ERM menciptakan nilai
• Bagian integral dari proses
organisasi, bagian dari
pengambilan keputusan.
• ERM itu sistematis, terstruktur,
dan sesuai pada waktunya.
• Berdasarkan informasi terbaik
yang tersedia
• Tailored (customized)
• Memfasilitasi perbaikan dan
penyempurnaan perusahaan
secara terus-menerus
Manfaat Enterprise Risk Management (ERM)
ERM Menciptakan Keunggulan Kompetitif dan Meningkatkan Nilai Bagi Pemegang Saham
ERM Creates Value
Macro or any-wide level
Senior Management to quantify and manage
the risk-return trade off
that faces the entire firm
Micro or business-unit level
Should be a way of life for managers and
employees
at all levels of the company
Mendukung kepatuhan dan meningkatkan kualitas penerapan GCG, Manajemen Risiko, Risk Based Audit
Meningkatkan kepercayaan para pemangku kepentingan (suplier, pelanggan, pemegang saham)
Peningkatan efisensi dan efektivitas organisasi.
Manfaat
ERM
Sinergi antara strategi perusahaan dan tingkat risiko yang diterima (Risk Appetite) untuk mencapai tujuan.
Meningkatkan keselamatan dan pencegahan insiden.
Mendorong manajemen yang proaktif dan bukan reaktif, sehingga risiko bisa diantisipasi dan dikendalikan
Meningkatkan ketahanan perusahaan dan terhindar dari kerugian besar yang dapat menyebabkan kebangkrutan
Penerapan Manajemen Risiko
ERM Program Driver
Source: RIM’s ERM Survey 2013
Penerapan Manajemen Risiko
Source: AON’s Global ERM Survey 2010
Penerapan Manajemen Risiko
Source: AON’s Global ERM Survey 2010
Struktur Organisasi Manajemen Risiko
Dewan Komisaris
Direksi
Komite
Manajemen Risiko
1. Risk Owner
2. Internal Control
Divisi
Manajemen Risiko
1. Internal Audit
2. Kepatuhan
1st Line of Defense
2nd Line of Defense
3rd Line of Defense
ENTERPRISE RISK MANAGEMENT (ERM)
ISO 31000 : 2009
TRILOGI ISO - ERM
1.
ISO 31000:2009 – Risk Management Principles and Guidelines
2.
ISO Guide 73 – definitions of terms related to risk management
3.
ISO/IEC 31010 – overview of Risk Management techniques
RISK MANAGEMENT
INTERNATIONAL STANDARD
ISO 31000:2009
ISO Guide 73
Risk Management - Vocabulary
ISO 31000
Risk Management – Principles and Guidelines
IEC 31010
Risk Management - Risk Assessment
Techniques
Definisi
ISO 31000:2009 – Manajemen Risiko
1. Memberikan Nilai Tambah
Design Rencana
Kerja Untuk
MengelolaRisiko
7. Bersifat Khas untuk tiap
organisasi (tailored)
8. Mempertimbangkan faktor
manusia dan budaya
9. Harus transparan dan inlkusif
10. Bersfiat dinamis,
berkesinambungan dan tanggap
terhadap perubahan
11. Harus memfasilitasi terjadinya
perbaikan dan peningkatan bagi
MenentukanKonteks
Perbaikan
Kerangka Kerja
Manajemen
Risiko Secara
Berkesinambungan
Implementasi
Manajemen Risiko
Pemantauandan
Mengkaji ulang
KerangkaKerja
IdentifikasiRisiko
Analisis Risiko
EvaluasiRisiko
Assessment Risiko
organisasi.
PenangananRisiko
PRINSIP MANAJEMENRISIKO
KERANGKA KERJA UNTUK MENGELOLA RISIKO
PROSES MANAJEMEN RISIKO
Pemantauan & Kaji Ulang
dari proses organisasi
3. Merupakan bagian dari
pengambilan keputusan
4. Secara Khusus untuk menangani
ketidakpastian
5. Bersifat Sistematis, terstruktur
dan tepat waktu
6. Berdasarkan informasi terbaik
yang tersedia
MANDATdan
KOMITMEN
Konsultasi & Komunikasi
2. Merupakan bagian terintegrasi
ISO 31000:2009 – Manajemen Risiko
11 Prinsip Manajemen Risiko
Risk Management – Manajemen Risiko :...
1.
2.
3.
4.
5.
6.
7.
8.
Creates and protects value – memproteksi nilai dan memberi nilai tambah
An integral part of organisational processes – bagian terpadu dari proses organisasi
Part of decision making – bagian dari proses pengambilan keputusan
Explicitly address uncertainty – secara eksplisit menangani ketidakpastian
Systematic, structured and timely – sistematis, terstruktur, dan tepat waktu
Based on the best available information – berdasarkan informasi terbaik yang tersedia
Tailored – disesuaikan untuk penggunanya
Take human and cultural factors into account – mempertimbangkan faktor manusia dan
budaya
9. Transparent and inclusive – bersifat transparan dan inklusif
10. Dynamic, iterative and responsive to change – bersifat dinamis, berulang, dan tanggap
terhadap perubahan
11. Facilitates continual improvement and enhancement of the organization – memfasilitasi
terjadinya perbaikan dan peningkatan organisasi secara berkelanjutan
ENTERPRISE RISK MANAGEMENT (ERM)
Framework (Kerangka Kerja)
Manajemen Risiko
ISO 31000:2009 – Kerangka Kerja untuk Mengelola Risiko
• Manajemen risiko merupakan sebuah standar internasional
yang disusun dengan tujuan memberikan prinsip dan
panduan generik untuk penerapan manajemen risiko.
Standar internasional yang diterbitkan pada 13 November
2009 ini dapat digunakan oleh segala jenis organisasi dalam
menghadapi berbagai risiko yang melekat pada aktivitas
mereka.
• Walaupun ISO 31000 : 2009 menyediakan panduan generik,
standar ini tidak ditujukan untuk menyeragamkan
manajemen risiko lintas organisasi, tetapi ditujukan untuk
memberikan standar pendukung penerapan manajemen
risiko dalam usaha memberikan jaminan terhadap
pencapaian sasaran organisasi.
ISO 31000:2009 – Kerangka Kerja untuk Mengelola Risiko
MANDATdan
KOMITMEN
•
Kerangka kerja ISO 31000 : 2009 mencerminkan
lingkaran Plan, Do, Check, Act (PDCA), yang biasa dikenal
dalam seluruh desain sistem manajemen.
Design Rencana
Kerja Untuk
MengelolaRisiko
•
Standar menyatakan bahwa “Kerangka kerja tidak ditujukan
atau diintensikan untuk menentukan suatu sistem
manajemen, tetapi lebih pada suatu usaha atau sarana
untuk membantu organisasi untuk mengintegrasikan
manajemen risiko kepada keseluruhan sistem manajemen
risiko”. Pernyataan tersebut mendorong organisasi untuk
lebih fleksibel dalam mengimplementasikan elemen dari
kerangka kerja yang dibutuhkan.
•
Tujuan kerangka kerja menajemen risiko antara lain untuk
memastikan bahwa informasi tentang risiko yang berasal
dari proses manajemen risiko secara memadai, dilaporkan,
dan digunakan sebagai dasar pengambilan keputusan, serta
untuk pemenuhan akuntabilitas di semua tingkat organisasi
yang relevan.
Perbaikan
Kerangka Kerja
Manajemen
Risiko Secara
Berkesinambungan
Implementasi
Manajemen Risiko
Pemantauandan
Mengkaji ulang
KerangkaKerja
KERANGKA KERJA UNTUK MENGELOLA RISIKO
ISO 31000:2009 – Kerangka Kerja untuk Mengelola Risiko
I. Aspek-aspek Kerangka Kerja Manajemen
Keberhasilan manajemen risiko tergantung pada efektivitas kerangka manajemen yang menyediakan landasan
yang akan ditanamkan pada organisasi. Kerangka kerja membantu dalam mengelola risiko secara efektif melalui
penerapan proses manajemen risiko pada berbagai tingkat dan dalam konteks tertentu organisasi. Kerangka
kerja manajemen risiko terdiri dari tiga aspek, yaitu:
- aspek struktural
- aspek operasional, dan
- aspek perawatan.
A.
Aspek Struktural
Sejumlah tindakan harus diambil untuk membentuk kebijakan dan struktur untuk melaksanakan tata kelola
manajemen risiko.
Aspek struktural dari tata kelola manajemen risiko terdiri dari:
1. Komitmen
2. Kebijakan manajemen risiko
3. Akuntabilitas dan kepemimpinan
4. Pembentukan unit kerja manajemen risiko
5. Administrator manajemen risiko pada masing-masing unit kerja yang setara
6. Penyediaan sumber daya yang diperlukan untuk pelaksanaan manajemen risiko.
ISO 31000:2009 – Kerangka Kerja untuk Mengelola Risiko
B. Aspek Operasional
Sejumlah prosedur, teknik, dan metoda harus disusun dalam melaksanakan manajemen risiko. Aspek
operasional dari tata kelola manajemen risiko terdiri dari:
1. Penyusunan buku panduan manajemen risiko.
2. Peluncuran, sosialisasi, dan pelatihan manajemen risiko.
3. Teknik dan metode implementasi proses manajemen risiko.
4. Sistem pelaporan internal dan eksternal.
5. Monitoring dan pengukuran kinerja.
6. Tata usaha dan administrasi data serta informasi manajemen risiko.
C. Aspek Perawatan
Sejumlah kegiatan harus dilaksanakan untuk menunjang dan mening-katkan pelaksanaan tata kelola
manajemen risiko secara berkesinambungan. Aspek perawatan dari tata kelola manajemen risiko terdiri dari:
1. Pendelikon dan pelatihan berlanjut
2. Komunikasi dan publikasi
3. Review dan audit tata kelola manajemen risiko
4. Benchmarking
ISO 31000:2009 – Kerangka Kerja untuk Mengelola Risiko
II. Ruang Lingkup Kerangka Kerja Manajemen
Perencanaan kerangka kerja manajemen risiko mencakup pemahaman mengenai organisasi dan konteksnya,
menetapkan kebijakan manajemen risiko, menetapkan akuntabilitas manajemen risiko, mengintegrasikan
manajemen risiko ke dalam proses bisnis organisasi, alokasi sumber daya manajemen risiko, dan menetapkan
mekanisme komunikasi internal dan eksternal. Setelah melakukan perencanaan kerangka kerja, maka dilakukan
penerapan proses manajemen risiko. Dalam penerapan manajemen risiko, perlu
dilakukan monitoring dan review terhadap kerangka kerja manajemen risiko. Setelah itu, kerangka kerja
manajemen risiko perlu diperbaiki secara berkelanjutan untuk memfasilitasi perubahan yang terjadi pada
konteks internal dan eksternal organisasi. Proses-proses tersebut kemudian berulang kembali untuk
memastikan adanya kerangka kerja manajemen risiko yang mengalami perbaikan berkesinambungan dan dapat
menghasilkan penerapan manajemen risiko yang andal.
ISO 31000:2009 – Kerangka Kerja untuk Mengelola Risiko
A. Mandat dan Komitmen
Bagian awal dari manajemen risiko dan memastikan efektivitas berkelanjutan dengan
komitmen yang kuat dan berkelanjutan oleh manajemen organisasi, serta perencanaan
strategis dan ketat untuk mencapai komitmen di semua tingkatan. Pemberian mandat dan
komitmen merupakan hal yang sangat penting karena menentukan akuntabilitas,
kewenangan, dan kapabilitas dari pelaku manajemen risiko.
Hal-hal penting yang harus dilakukan pada pemberian mandat dan komitmen adalah:
1. Membuat dan menyetujui kebijakan manajemen risiko;
2. Menyesuaikan indikator kinerja manajemen risiko dengan indikator kinerja
perusahaan;
3.Menyesuaikan kultur organisasi dengan nilai-nilai manajemen risiko;
4.Menyesuaikan sasaran manajemen risiko dengan sasaran strategis perusahaan;
5.Memberikan kejelasan peran dan tanggung jawab;
6. Menyesuaikan kerangka kerja manajemen risiko dengan kebutuhan organisasi.
ISO 31000:2009 – Kerangka Kerja untuk Mengelola Risiko
B. Desain Kerangka Kerja
1. Pemahaman tentang organisasi dan konteksnya
2. Menetapkan kebijakan manajemen risiko
3. Akuntabilitas
4. Integrasi ke dalam proses organisasi
5. Sumber Daya
6. Membangun komunikasi internal dan mekanisme pelaporan
7. Membangun komunikasi eksternal dan mekanisme pelaporan
ISO 31000:2009 – Kerangka Kerja untuk Mengelola Risiko
C. Implementasi Manajemen Risiko
Dalam implementasi manajemen risiko yang dilakukan adalah:
1. Menerapkan kerangka kerja untuk mengelola risiko, organisasi harus:
➢ menentukan waktu yang tepat dan strategi untuk menerapkan kerangka kerja;
➢ menerapkan kebijakan dan proses manajemen risiko ke proses organisasi;
➢ mematuhi persyaratan hukum dan peraturan;
➢ memastikan pengambilan keputusan, pengembangan, dan penetapan tujuan sejalan
dengan hasil dari proses manajemen risiko;
➢ menahan informasi dan sesi pelatihan;
➢ berkomunikasi dan berkonsultasi dengan para stakeholder untuk memastikan bahwa
kerangka kerja manajemen risiko tetap sesuai.
2. Menerapkan proses manajemen risiko
➢ manajemen risiko harus dilaksanakan dengan memastikan bahwa proses manajemen
risiko diterapkan
➢ melalui rencana manajemen risiko di semua tingkat dan fungsi organisasi yang relevan
sebagai bagian dari praktik dan proses.
ISO 31000:2009 – Kerangka Kerja untuk Mengelola Risiko
D. Monitoring dan Review Kerangka Keja
Dalam rangka memastikan bahwa manajemen risiko secara efektif dan berkelanjutan dalam mendukung
kinerja organisasi, organisasi harus:
1. Mengukur kinerja manajemen risiko melalui indikator, yang secara berkala direview;
2. Mengukur secara berkala kemajuan dan penyimpangan dari rencana manajemen risiko;
3. Meninjau secara berkala apakah kerangka kerja manajemen risiko, kebijakan dan rencana masih sesuai,
mengingat konteks eksternal dan internal organisasi;
4. Laporan risiko, kemajuan terhadap rencana manajemen risiko dan seberapa baik kebijakan manajemen risiko
dilaksanakan; dan
5. Review efektivitas kerangka kerja manajemen risiko.
E. Perbaikan Kerangka Kerja Secara Terus-menerus
Berdasarkan hasil monitoring dan review, keputusan harus dibuat bagaimana kerangka manajemen risiko,
kebijakan dan rencana dapat diperbaiki. Keputusan ini harus mengarah pada perbaikan dalam manajemen
risiko organisasi dan budaya manajemen risiko. Perkembangan ilmu pengetahuan membawa perubahan
pada perilaku manusia, demikian juga dalam organisasi. Jika kerangka kerja manajemen risiko tidak mampu
menyesuaikan diri dengan perkembangan akan menimbulkan permasalahan.
ENTERPRISE RISK MANAGEMENT (ERM)
Proses
Manajemen Risiko
ISO 31000:2009 – Proses Manajemen Risiko
MenentukanKonteks
Konsultasi & Komunikasi
IdentifikasiRisiko
Analisis Risiko
EvaluasiRisiko
Assessment Risiko
PenangananRisiko
PROSES MANAJEMEN RISIKO
Pemantauan & Kaji Ulang
Proses manajemen risiko merupakan kegiatan
kritikal dalam manajemen risiko, karena
merupakan penerapan daripada prinsip dan
kerangka kerja yang telah dibangun. Proses
manajemen risiko terdiri dari tiga proses besar,
yaitu:
A. Penetapan Konteks (establishing the context)
B. Penilaian Risiko (risk assessment)
C. Penanganan Risiko (risk treatment)
ISO 31000 Risk Management Process
Establishing the context
Risk assessment
Risk identification
Communication
Overall
process
and
of
risk
Consultation
identification,
risk analysis and
risk evaluation
Risk analysis
Risk evaluation
Risk treatment
Defining the external and
internal parameters to be
taken into account when
managing risk, and
Monitoring
setting
the scope and
and
risk
criteria
Review
ISO 31000 Risk Management Process
Establishing the context
Risk assessment
Risk identification
Process to
Communication
comprehend
and
the
nature
of
Consultation
risk and to
determine
the level of
risk
Risk analysis
Risk evaluation
Risk treatment
Process of finding,
recognizing , describing
& documenting risks
Monitoring
Risk identification
and
involves the
Review
identification
of risk
sources events), their
causes and their
potential consequences.
ISO 31000 Risk Management Process
Establishing the context
Risk assessment
Risk identification
Communication
and
Consultation
Process to
modify risk –
Probability
or/and
Impact
Risk analysis
Risk evaluation
Risk treatment
Monitoring
and
Review
Process
of comparing
the results of risk
analysis with risk criteria
to determine whether the
risk and/or its magnitude
is acceptable or tolerable
ISO 31000 Risk Management Process
Establishing the context
Risk assessment
Risk identification
Communication
and
Consultation
Continual and
iterative processes
that an organization
conducts to provide,
share or obtain
information, and to
engage in dialogue
with stakeholders
regarding the
management of risk.
Risk analysis
Risk evaluation
Risk treatment
To check, supervise,
observe critically or
record the progress
of an activity, action
or system on a regular
basis in order to
identify change.
Monitoring
and
Review
ISO 31000:2009 – Proses Manajemen Risiko
A. Penetapan Konteks (establishing the context)
Penetapan konteks bertujuan untuk mengidentifikasi dan mengungkapkan sasaran organisasi, lingkungan
dimana sasaran hendak dicapai, stakeholders yang berkepentingan, dan keberagaman kriteria risiko,
dimana hal-hal ini akan membantu mengungkapkan dan menilai sifat dan kompleksitas dari risiko.
Terdapat empat konteks yang perlu ditentukan dalam penetapan konteks, yaitu konteks internal, konteks
eksternal, konteks manajemen risiko, dan kriteria risiko.
1. Konteks internal memperhatikan sisi internal organisasi yaitu struktur organisasi, kultur dalam
organisasi, dan hal-hal lain yang dapat mempengaruhi pencapaian sasaran organisasi.
2. Konteks eksternal mendefinisikan sisi eksternal organisasi yaitu pesaing, otoritas, perkembangan
teknologi, dan hal-hal lain yang dapat mempengaruhi pencapaian sasaran organisasi.
3. Konteks manajemen risiko memperhatikan bagaimana manajemen risiko diberlakukan dan
bagaimana hal tersebut akan diterapkan di masa yang akan datang.
4. Konteks kriteria risiko yaitu dalam pembentukan manajemen risiko organisasi perlu
mendefinisikan parameter yang disepakati bersama untuk digunakan sebagai kriteria risiko.
ISO 31000:2009 – Proses Manajemen Risiko
B. Penilaian Risiko (risk assessment)
Penilaian risiko terdiri dari:
1. Identifikasi risiko: mengidentifikasi risiko apa saja yang dapat mempengaruhi pencapaian sasaran
organisasi.
2. Analisis risiko: menganalisis kemungkinan dan dampak dari risiko yang telah diidentifikasi.
3. Evaluasi risiko: membandingkan hasil analisis risiko dengan kriteria risiko untuk menentukan
bagaimana penanganan risiko yang akan diterapkan.
C. Penanganan Risiko (risk treatment)
Dalam menghadapi risiko terdapat empat penanganan yang dapat dilakukan oleh organisasi:
1. Menghindari risiko (risk avoidance);
2. Mitigasi risiko (risk reduction), dapat dilakukan dengan mengurangi kemungkinan atau dampak;
3. Transfer risiko kepada pihak ketiga (risk sharing);
4. Menerima risiko (risk acceptance).
ISO 31000:2009 – Proses Manajemen Risiko
Ketiga proses besar tersebut (penetapan konteks, penilaian risiko, dan penanganan risiko) didampingi oleh dua
proses yaitu:
1.
Komunikasi dan Konsultasi
Komunikasi dan konsultasi merupakan hal yang penting mengingat prinsip manajemen risiko yang
kesembilan menuntut manajemen risiko yang transparan dan inklusif, dimana manajemen risiko harus
dilakukan oleh seluruh bagian organisasi dan memperhitungkan kepentingan dari seluruh stakeholders
organisasi. Adanya komunikasi dan konsultasi diharapkan dapat menciptakan dukungan yang memadai
pada kegiatan manajemen risiko dan membuat kegiatan manajemen risiko menjadi tepat sasaran.
2.
Monitoring dan Review
Hal ini diperlukan untuk memastikan bahwa implementasi manajemen risiko telah berjalan sesuai dengan
perencanaan yang dilakukan. Hasil monitoring dan review juga dapat digunakan sebagai bahan
pertimbangan untuk melakukan perbaikan terhadap proses manajemen risiko.
Manajemen risiko merupakan proses esensial dalam organisasi untuk memberikan jaminan yang wajar
terhadap pencapaian tujuan organisasi. Prinsip manajemen risiko merupakan fondasi dari kerangka kerja
dan proses manajemen risiko, sedangkan kerangka kerja manajemen risiko merupakan struktur
pembangun proses manajemen risiko. Proses manajemen risiko merupakan penerapan inti dari
manajemen risiko, sehingga harus dijalankan secara komprehensif, konsisten, dan terus diperbaiki sesuai
dengan keperluan.
ENTERPRISE RISK MANAGEMENT (ERM)
Identifikasi Risiko
Proses Risk Assessment
Risk Identification
• Proses identifikasi
potensi risiko
• Identifikasi terhadap
sumber risiko, kejadian
yang mungkin terjadi,
penyebab serta area
yang terkena dampak
dari risiko tersebut
Risk Analysis
Risk Evaluation
• Proses analisis terhadap
potensi risiko
• Meliputi analisis
terhadap penyebab
risiko, likelihood serta
impact dari risiko
• Mempertimbangkan
kontrol-kontrol yang
sudah ada
• Dapat berupa analisis
kualitatif, semikuantitatif maupun
kuantitatif
• Proses evaluasi hasil
analisis risiko
• Mencakup perbandingan
hasil analisis risiko
dengan kriteria yang
telah ditetapkan
• Menjadi basis dalam
penentuan risk
treatment terhadap
risiko
What is Risk?
ISO 31000:2009 defines risk as:
“The effect of uncertainty on objectives”
A deviation
from the
expected –
positive and/or
negative
Deficiency of
information
relating to an
event, its
consequence,
or likelihood
•Can have different
aspects e.g. finance,
safety, environment goal
•Can apply at different
levels e.g. strategic,
department, project
What can go wrong?
How likely is
it?
What are the consequences?
Sumber Risiko
gugatan
karena
gagal
mematuhi
peraturan
dan
perundangan yang berlaku
perusahaan gagal mematuhi
peraturan atau perundangan
yang
berlaku,
perubahan
perundangan yang berlaku
yang
mengakibatkan
perusahaan merugi (misal upah
minimum
naik,
aturan
pesangon, dsb).
Lingkungan
fisik
Lingkungan
Legal
bangunan yang dimakan usia
sehingga menjadi rapuh, sungai
yang bisa menyebabkan banjir,
gempa bumi, badai, topan,
vandalism (pengrusakan).
Pesaing
Regulator
pesaing
menghasilkan
produk
baru/produksi yang lebih baik, pesaing
menurunkan
harga
yang
bisa
mengakibatkan persaingan harga yang
menurunkan
tingkat
keuntungan
perusahaan.
Lingkungan
sosial
Lingkungan
Politik
Sumber Risiko
kerusuhan sosial, demonstrasi, konflik dengan
masyarakat local, pemogokan pegawai,
pencurian, perampokan.
perubahan
perundangan,
perubahan peraturan, konflik
antar Negara yang mendorong
boikot produk perusahaan.
Lingkungan
Ekonomi
kelesuan ekonomi (resesi),
inflasi yang tidak terkendali.
Konsumen
Lingkungan
Operasional
kecelakaan kerja, kerusakan
mesin,
kegagalan
sistem
computer,
serangan
virus
terhadap komputer
Supplier
pasokan dari supplier
datang sesuai dengan
diharapkan
(terlambat
spesifikasinya berbeda)
tidak
yang
atau
keluhan dari konsumen yang
mengakibatkan kekecewaan dan
tidak mau lagi membeli produk
perusahaan, konsumen merasa
dirugikan kemudian menuntut
perusahaan
How to Describe a Risk?
Risk Register
Minimum
Records
A source
of risk
(hazard)
An event
(including when
and where)
An outcome
(consequence)
A cause
(how and
why)
Fire
Fire at head office
Estimated cost 100
million
Short circuit
Virus
H1N1 Pandemic
Operations
Interruption
Employees
contact virus
Identifikasi Risiko - Proyek
KAJIAN DOKUMEN
RJPP, RKAP, Rencana Strategis, Target
Fungsi/ Area, dsb
•
•
•
•
•
TEKNIK PENCARIAN
INFORMASI
Kuesioner
Brainstorming
Teknik Delphi
Wawancara
Root Cause Analysis
ANALISIS STAKEHOLDER
Menggunakan Pendekatan Analisis Power
and Interest terhadap pemangku
kepentingan yang memiliki ekspektasi
terhdap operasi perusahaan.
Risiko
Inherent
(Inherent
Risk)
Risiko-risiko
yang belum
mendapatkan
penanganan
yang
diharapkan
dapat
memperkecil
probabilitas
atau dampak
dari suatu
risiko.
Risiko
Residual
(Residual
Risk)
Risiko-risiko
yang tetap
ada setelah
tindakan
penanganan
(responses
plan)
dilakukan
pada risiko
inherent.
Risiko
Sekunder
(Secondary
Risk)
Risiko-risiko
yang
disebabkan
oleh tindakan
penanganan
yang
dilakukan
pada risiko
inherent.
BRAINSTORMING
• Brainstorming adalah perangkat perencanaan yang dapat
menampung kreativitas kelompok dan sering digunakan sebagai alat
pembentukan konsensus maupun untuk mendapatkan ide-ide
sebanyak mungkin dalam kelompok
• Verbal brainstorming : Saling bertukar pikiran dalam suatu grup yang
dilakukan secara verbal dengan tatap muka dan pertemuan
langsung.
• Nominal brainstorming : Mengeluarkan ide secara terpisah, tidak
saling berinteraksi dengan menuliskan idenya di kertas atau
komputer.
• Electronic brainstorming : Saling bertukar pikiran dalam suatu grup
secara elektronik dengan menggunakan tools tertentu.
ROOT CAUSE ANALYSIS (RCA)
• RCA adalah salah satu alat (tool) yang digunakan dalam inisiatif
problem solving; untuk membantu tim menemukan akar penyebab
(root cause) dari masalah yang kini sedang dihadapi atau potensi
permasalahan.
• Langkah 1 – Definisikan Masalah
• Masalah apa yang sedang terjadi pada saat ini?
• Jelaskan gejala yang spesifik, yang menandakan adanya
masalah tersebut!
• Langkah 2 – Kumpulkan Data
• Apakah anda memiliki bukti yang menyatakan bahwa masalah
memang benar ada?
• Sudah berapa lama masalah tersebut ada?
• Impact apa yang dirasakan dengan adanya masalah tersebut?
ROOT CAUSE ANALYSIS (RCA)
• Untuk membuat Root Cause Analysis yang anda jalankan efektif,
kumpulkanlah perwakilan-perwakilan dari setiap departemen yang
terlibat (mulai dari staf ahli hingga staf garda depan), yang
memahami situasinya.
• CATWOE.
• Perspektif: yaitu Customer (pelanggan), Actor (karyawan yang
terlibat), Transformation Process (proses yang mengalami
masalah), World View (gambaran besar, dan area mana yang
mengalami impact paling besar), Owner (process owner), dan
Environmental Constraint (hambatan dan keterbatasan yang
akan mempengaruhi keberhasilan solusi yang akan dijalankan).
ROOT CAUSE ANALYSIS (RCA)
• Langkah 3 – Identifikasi Penyebab yang Mungkin
• Jabarkan urutan kejadian yang mengarah kepada masalah!
• Pada kondisi seperti apa masalah tersebut terjadi?
• Adakah masalah-masalah lain yang muncul seiring/mengikuti
kemunculan masalah utama?
• Lakukan identifikasi sebanyak mungkin penyebab masalah yang
bisa anda dan tim pikirkan.
• RCA dilakukan bukan hanya untuk menghilangkan satu dua masalah
di permukaan. RCA akan membantu menggali lebih dalam dan
menghilangkan akar dari keseluruhan masalah.
ROOT CAUSE ANALYSIS (RCA)
Gunakan beberapa tool :
• Analisa “5-Whys” – Tanyakan “mengapa?” berulang kali hingga anda
menemukan jawaban paling dasar.
• Drill Down – Bagilah masalah hingga menjadi bagian-bagian kecil
yang lebih detail untuk memahami gambaran besarnya.
• Apresiasi – Jabarkan fakta-fakta yang ada dan tanyakan “Lalu
kenapa jika hal ini terjadi/tidak terjadi?” untuk menemukan
konsekuensi yang paling mungkin dari fakta-fakta tersebut.
• Diagram sebab-akibat – Cause and Effect Diagram (Fishbone
Diagram), berupa bagan yang menerangkan semua faktor penyebab
yang mungkin untuk melihat dimana masalah pertama kali muncul.
ROOT CAUSE ANALYSIS (RCA)
• Langkah 4 – Identifikasi Akar Masalah (Root Causes)
• Mengapa faktor kausal tersebut ada?
• Alasan apa yang benar-benar menjadi dasar kemunculan
masalah?
• Gunakan tool yang sama dengan yang digunakan dalam langkah
3 untuk mencari akar dari setiap faktor.
• Tools tersebut dirancang untuk mendorong anda dan tim
menggali lebih dalam di setiap level penyebab dan efeknya.
• Langkah 5 – Ajukan dan Implementasikan Solusi
•
•
•
•
•
Apa yang bisa dilakukan untuk mencegah masalah muncul kembali?
Bagaimana solusi yang telah dirumuskan dapat dijalankan?
Siapa yang akan bertanggungjawab dalam implementasi solusi?
Adakah resiko yang harus ditanggung ketika solusi diimplementasikan?
analisa proses identifikasi cause-effect anda dan temukan kebutuhan
akan perubahan dalam sistem yang lain
CAUSE AND EFFECT ANALYSIS
• Fishbone diagram (diagram tulang ikan — karena bentuknya seperti
tulang ikan) sering juga disebut Cause-and-Effect Diagram atau
Ishikawa Diagram diperkenalkan oleh Dr. Kaoru Ishikawa, seorang
ahli pengendalian kualitas dari Jepang.
• Fishbone diagram digunakan ketika kita ingin mengidentifikasi
kemungkinan penyebab masalah dan terutama ketika sebuah team
cenderung jatuh berpikir pada rutinitas
• Fishbone diagram akan mengidentifikasi berbagai sebab potensial
dari satu efek atau masalah, dan menganalisis masalah tersebut
melalui sesi brainstorming. Masalah akan dipecah menjadi sejumlah
kategori yang berkaitan, mencakup manusia, material, mesin,
prosedur, kebijakan, dan sebagainya. Setiap kategori mempunyai
sebab-sebab yang perlu diuraikan melalui sesi brainstorming.
RCA – Cause & Effect Analysis
FORMULIR RISK REGISTER
Risk Register adalah proses yang dilaksanakan oleh risk officer dari tiap divisi/satuan
dalam melakukan assessment risiko (identifikasi, analisa dan mitigasi) terhadap seluruh
risiko yang ada di tiap divisi/satuan yang kemudian hasil assessment risiko tersebut
dicatatkan dalam formulir risk register.
No
Dokumen
RISK REGISTER
DIVISI/FUNGSI :
Process Process
No.
Reference
SOP/Rencana
Kerja/KPI/
Sasaran
Mutu/Hasil
Audit
TANGGAL
Risk Identification
Inherent Risk Evaluation
Risk Event
Risk Cause
1
2
3
4
5
6
7
8
Likel Risk
ihoo Expos
9 10 11 12 13 14 15
d
ure
Impact
Impact Justification
21 November 2012
Residual Risk Evaluation
Impact
SLQ
FORM-xxx-001-08
VERSI 2.0
Likelihood
Justification
Risk Mitigation Plan
1
2
3
4
5
6
7
8
Risk
Likeli
Expos
9 10 11 12 13 14 15 hood ure
Impact Justification
Likelihood Justification
RISK REGISTER
Proses yang Dilakukan dalam Asesmen Risiko
1
Pengumpulan dan
Analisis Data
3
4
5
Penyusunan Risk
Register
Pengukuran dan
Analisa Risiko
Penyusunan Risk
Priority (Top Risk)
2
Sosialisasi dan
Wawancara dengan
Risk Owner
TOP RISK
RISK REGISTER PERUSAHAAN
RISK REGISTER
DIVISI/Wilayah/Direktorat #1
Risk Register
UNIT KERJA/CABANG #1
KUESIONER
SELFASSESSMENT
RISK REGISTER
DIVISI/Wilayah/Direktorat #2
RISK REGISTER
DIVISI/Wilayah/Direktorat #3
RISK REGISTER
DIVISI/Wilayah/Direktorat #N
SASARAN
UNIT KERJA/CABANG #2
SASARAN
UNIT KERJA/CABANG #3
SASARAN
UNIT KERJA/CABANG #N
WORKSHOP – BRAINSTROMING
KUESIONER
KUESIONER
SELFASSESSMENT
SELFASSESSMENT
KUESIONER
SELFASSESSMENT
LSPPM – BNSP – CRA – JASA MARGA - 2018
68
Download
advertisement