Risiko dan Manajemennya (Risk & The Risk risiko, yang dapat mencegah kreasi nilai atau

mengurangi nilai yang ada. Kejadian dengan

Management)
dampak positif dapat mengurangi dampak
negatif atau dinamakan peluang. Peluang adalah
Setelah diketahui Persyaratan Manajemen kemungkinan kejadian yang akan menjadikan
Risiko Badan Usaha Milik Negara, timbul pencapaian tujuan atau yang berakibat posistif
pertanyaan ”bagaimana memenuhi dan untuk pencapaian tujuan, yang mendukung
melaksanakannya?”. Untuk itu perlu dipahami kreasi nilai atau pemeliharaan nilai. Manajemen
lebih dulu apa itu risiko dan manajemen risiko mengaitkan peluang-peluang dengan strategi
kemudian memahami langkah-langkah atau proses penetapan tujuan dan
penerapannya. menformulasikan rencana-rencana sesuai
dengan peluang-peluang itu.
Terdapat beberapa beberapa standar
manajemen risiko dengan definisi mengenai risk Enterprise Risk Management Defined
atau risiko dan manajemen risiko masing- (Manajemen Risiko Perusahaan
masing. didefinisikan sebagai) :

Beberapa standar itu antara lain : Enterprise risk management deals with risks and
opportunities affecting value creation or
1. COSO (Committee of Sponsoring preservation, defined as follows:
Organizations of the Treadway
Commission), suatu himpunan dari Enterprise risk management is a process, effected
beberapa organisasi profesi di negara by an entity’s board of directors, management
AS, al. American Accounting Association, and other personnel, applied in strategy setting
American Institute of Certified Public and across the enterprise, designed to identify
Accountants, Financial Executives potential events that may affect the entity, and
International, Institute of Management manage risk to be within its risk appetite, to
Accountants, The Institute of Internal provide reasonable assurance regarding the
Auditors. achievement of entity objectives.
2. ISO 31000 – Risk management —
Principles and guidelines
Manajemen Risiko Perusahaan adalah
berhubungan dengan risiko-risiko dan peluang-
1. COSO Enterprise Risk Management peluang yang mempengaruhi kresi nilai atau
pemelihataannya, yang didefinsikan sebagai
COSO pada tahun 2004 menerbitkan Enterprise berikut :
risk management – Integrated Framework,
dengan beberapa pengertian antara lain sebagai Manajemen Risiko Perusahaan adalah suatu
berikut : proses, yang dijalankan oleh dewan
komisaris/pengawas, manajemen (dewan
Events – Risks and Opportunities (Kejadian – direksi) dan personel yang lain, yang diterapkan
Risiko dan Peluang) dalam penetapan strategi dan diterapkan n di
seluruh perusahaan, yang dirancang untuk
Events can have negative impact, positive impact, mengidentifikasi potensi kejadian-kejadian yang
or both. Events with a negative impact bisa mempengaruhi perusahaan dan mengelola
represent risks, which can prevent value risiko-risiko itu di dalam selera risiko
creation or erode existing value. Events with perusahaan, untuk menjamin secara rasional
positive impact may offset negative impacts or pencapaian tujuan-tujuan perusahaan.
represent opportunities. Opportunities are the
possibility that an event will occur and positively Komponen Enterprise Risk Management
affect the achievement of objectives, supporting (ERM) COSO :
value creation or preservation. Management
channels opportunities back to its strategy or Komponen digambarkan sebagai sebuah kubus,
objective-setting processes, formulating plans to yang mempunyai tiga permukaan yang tampak.
seize the opportunities. Ketiga permukaan itu adalah :

Suatu kejadian bisa mempunyai dampak negatif,

dampak positif atau keduanya. Kejadian
dengan dampak negatif dinamakan

2101
 2. ISO 31000:2009 – Risk management —
Principles and guidelines

ISO 31000:2009, Risk management – Principles

and guidelines, berisi prinsip-prinsip, framework
dan proses untuk mengelola risiko. Standar ini
dapat digunakan oleh setiap organisasi
(bagaimanapun besarnya, apapun aktifitasnya
atau sektornya). Penerapan ISO 31000 dapat
membantu organisasi menaikkan kemungkinan
pencapaian tujuan, memperbaiki identifikasi
peluang-peluang dan ancaman-ancaman.
Penerapan ISO 31000 dapat membantu
Permukaan dari sisi kanan adalah komponen organisasi serta secara efektif mengalokasikan &
entitas perusahaan yaitu : menggunakan sumber daya untuk perlakuan
risiko.
 Entity-Level (Level Perusahaan).
 Division (Divisi). ISO 31000 tidak digunakan untuk tujuan
 Business Unit (Unit Bisnis). sertifikasi, artinya tidak/belum ada sertifikat
 Subsidiary (Anak Perusahaan). ISO 31000 untuk suatu organisasi, tetapi ISO
31000 bisa digunakan untuk program
audit/asesmen manajemen risiko. Organisasi
Permukaan dari sisi atas adalah komponen
yang menerapkan standar ini dapat
tujuan Manajemen risiko perusahaan yaitu :
membandingkan praktek manajemen risikonya
dengan organisasi lain (bencmarking).
 Strategic (Strategis). Organisasi yang menerapkan standar ini dapat
 Operation (Operasi). terbantu mewujudkan manajemen yang efektif
 Reporting (Pelaporan). dan bertata-kelola lebih baik (GCG/Good
 Compliance (Kepatuhan). Corporate Governance).

Permukaan dari sisi depan adalah komponen Definisi risiko dan manajemen risiko
proses Manajemen risiko perusahaan yaitu : menurut ISO 31000:2009.

 Internal Environment (Kondisi  Risiko adalah dampak dari

Lingkungan Internal). ketidakpastian terhadap pencapaian
 Objective Setting (Penetapan Tujuan). obyektif. Dampak menurut ISO 31000
 Event Identification (Identifikasi adalah deviasi dari apa yang
Kejadian). diharapkan, bisa bersifat positif
 Risk Assessment (Asesmen Risiko). dan/atau negatif.
 Risk Response (Penanggapan Risiko).  Manajemen risiko adalah aktivitas-
 Control Activities (Aktifitas aktivitas yang terkoordinasi untuk
Pengendalian). mengarahkan dan mengendalikan
 Information & sebuah organisasi yang berkaitan
Communication (Informasi & dengan risiko.
komunikasi)
 Monitoring (Pemantauan). Manajemen risiko di dalam suatu organisasi
digambarkan sebagai suatu skema/diagram
kaitan antara prinsip-prinsip, kerangka kerja,
dan proses-proses manajemen risiko.

2101
 keterbatasan data atau pemodelan yang
digunakan atau adanya kemungkina

6. n divergensi pendapat diantara para

ahli.
7. Manajemen risiko memerlukan
penyesuaian sesuai dengan konteks
eksternal dan internal organisasi dan
profil risiko organisasi itu.
8. Manajemen risiko memperhitungkan
faktor manusia dan budayanyayang
merupakan kemampuan, persepsi dan
kemauan individu eksternal maupun
internal dari suatu organisasi yang
Prinsip-Prinsip Manajemen Risiko ISO dapat mendukung atau merongrong
31000:2009 pencapaian obyektifnya.
9. Manajemen risiko adalah transparan
Supaya manajemen risiko dapat efektif dan inklusif melibatkan semua
dilaksanakan, maka organisasi di semua pemangku kepentingan terutama
tingkatan harus memenuhi prinsip-prinsip, pengambil keputusan dalam
yaitu : menentukan kriteria risiko.
10. Manajemen risiko adalah dinamis,
1. Manajemen risiko menciptakan dan iteratif, dan responsif terhadap
melindungi nilai yang berkontribusi perubahan, eksternal dan internal.
untuk pencapaian obyektif dan 11. Manajemen risiko memfasilitasi
perbaikan organisasi. perbaikan berkelanjutan
2. Manajemen risiko merupakan organisasi yang diukur dari tingkat
bagian yang terintegrasi dengan kematangan manajemen risikonya.
keseluruhan proses dalam
organisasi dan menjadi bagian dari Framework (Pola kerja ) Manajemen Risiko
tanggung jawab manajemen. ISO 31000:2009
3. Manajemen risiko merupakan
bagian dari proses pengambilan Framework Manajemen Risiko ISO 31000:2009
keputusan melalui peranannya dalam dalam klausul 4 (lihat gambar di bawah) terdiri
memberikan pilihan kepada pengambil atas :
keputusan.
4. Manajemen risiko secara eksplisit
memperhitungkan
ketidakpastiandan sifat ketidak
pastian itu, serta berusaha mengurangi
ketidakpastian dalam setiap
aktivitasnya dalam memastikan
pencapaian obyektif organisasi.
5. Manajemen risiko adalah suatu yang
sistematis, terstruktur, dan tepat
waktu agar dapat berkontribusi secara
efisien dan secara konsisten
menghasilkan sesuatu yang dapat
diperbandingkan dan diandalkan

Manajemen risiko berdasarkan ketersediaan

informasi yang terbaik seperti data historis,
pengalaman, umpan balik pemangku
kepentingan, observasi, perkiraan ke depan Mandat (pemberian wewenang) dan komitmen
(forecasts) dan pertimbangan para ahli (amanah) di klausul 4.2.
sehingga. Tetapi para pengambil keputusan
masih dapat melihat dan mempertimbangkan 1. Rancangan Pola kerja untuk mengelola
risiko di klausul 4.3.

2101
 2. Penerapan manajemen risiko di klausul Check – Memeriksa hasil kerja dibandingkan
4.4. dengan rencananya dan mengidentifikasi
3. Pemantauan dan review terhadap penyimpangannya serta masalah-masalahnya.
framework di klausul 4.5.
4. Perbaikan framework berkelanjutan di Yang masuk dalam Check ini antara lain :
klausul 4.2.
· Mengukur dan mengkaji.
Framework Manajemen Risiko ISO 31000:2009
menggunakan PDCA atau Plan Do Check Action,
 Mengendalikan
untuk perbaikan berkelanjutan (continual
asuransi/penjaminannya.
improvement) sebagai basis framework dan
 Kemajuan rencana manajemen risiko.
proses manajemen risiko. PDCA ini
 Pelaporan taka kelola.
digambarkan secara jelas pada gambar di
bawah.  Benchmarking / study banding.
 Kriteria unjuk kerja.

Act – Menstandarisasi solusi. Mengkaji ulang

dan mendefinisikan masalah-masalah yang akan
datang.

Yang masuk dalam Act ini antara lain :

· Komitmen dan Mandat dari atasan kepada

bawahannya, mulai dari pemegang saham,
Komisaris, Direksi, sampai dengan karyawan
level terendah dalam masalah manajemen
Plan – mendefinisikan dan analisis suatu risiko.
masalah serta mengidentifikasi akar
masalahnya.  Pernyataan kebijakan manajemen
risiko.
Yang masuk dalam Plan ini antara lain :  Rencana manajemen risiko.
 Rencana Asuransi.
· Mengkomunikasikan dan melatih.  Standar-standar manajemen risiko.
 Prosedur dan petunjuk-petunjuk kerja.
 Rencana komunikasi dan pelaporan.
 Strategi training. Secara lebih detail klausul 4 dengan PDCA
 Jaringan manajemen risiko. nya digambarkan dengan gambar berikut ini
:
Do – melaksanakan solusi, membuat rencana
kerja secara terinci dan menarapkannya secara
sistematis.

Yang masuk dalam Do ini antara lain :

· Mengelola dan mengalokasikan

 Komite manajemen risiko

komisaris/dewan pengawas.
 Komite manajemen risiko eksekutif
/direksi.
 Manajer manajemen risiko.
 RM Champions.
 Risiko, pengendaliannya, ownernya.
 Penyedia asuransi/penjaminannya.

Proses Manajemen Risiko ISO 31000:2009

2101
Proses Manajemen Risiko ISO 31000:2009
digambarkan kembali secara lebih detail
sebagaimana gambar di bawah ini.

Proses pertama adalah Establishing The

Context (Menetapkan Konteks). Dalam proses
manajemen risiko langkah awal yang sangat Proses kedua adalah Risk Identificationatau
penting adalah Establishing The Context . identifikasi risiko, yaitu melakukan identifikasi
Menetapkan konteks ini meliputi penetapan risiko-risiko yang dapat terjadi di masa yang
tujuan, strategi, ruang lingkup dan parameter- akan datang (yaitu : risiko apa, kapan, di mana,
parameter lain yang berhubungan dengan bagaimana, mengapa suatu risiko bisa terjadi).
proses pengelolaan risiko suatu organisasi. Identifikasi ini termasuk pengidentifikasian
Penetapan konteks ini menunjukkan hubungan poses-proses/tugas-tugas/aktifitas-aktifitas
antara masalah atau hal yang akan dikelola kritikal atau kunci, pengenalan area-area risiko
risikonya dengan lingkungan organisasi dan katagorinya.
(eksternal & internal), proses manajemen risiko
dan ukuran atau kriteria risiko yang dijadikan Proses ketiga adalah Risk Analysis atau analisis
standar. Dalam penetapan konteks ini risiko-risiko, yaitu proses menentukan berapa
ditetapkan pula sumber daya, struktur besar dampak (impact atau consequences) dan
organisasi (tanggung jawab dan wewenang) kemungkinan (frequency atau likelihood)
yang diperlukan dalam pengeloaan risiko. risiko-risiko yang akan terjadi, serta menghitung
Dalam dokumen rencana risk manajemen (Risk berapa besar level risikonya dengan mengalikan
Management Plan), penetapan konteks ini antara besar dampak dan besar kemungkinan
dapat dijadikan bab Latar Belakang Masalah, (Risk = Consequences x Likelihood).
bab struktur organisasi pengeloaan risiko dan
bab Kriteria Risiko. Proses keempat adalah Risk Evaluation atau
membandingkan risiko-risiko yang sudah
Kriteria risiko atau Risk Criteria adalah ukuran dihitung diatas dengan Kriteria Risiko yang
standar seberapa besar dampak atau sudah distandarkan (menempatkan posisi
konsekwensi yang mungkin akan terjadi dan risiko-risiko pada gambar kriteria risiko),
seberapa besar kemungkinan atau frekeunsi apakah risiko-risiko itu acceptable/dapat
atau likelihood risiko akan terjadi. Gambar di diterima, menjadi issue/diwaspadai,
bawah semoga dapat dijadikan contoh kriteria atau unacceptable/tidak diterima, serta
risiko itu. memprioritaskan mitigasi atau penangannya.
Lihat gambar di bawah ini, risiko nomor 1 dan 5
terletak di daerah warna merah Unacceptable
Risk dan menjadi prioritas untuk dilakukan
penanganan atau mitigasinya.

2101
Proses kelima adalah Risk Treatmentatau
mitigasi risiko-risiko. Mitigasi risiko-risiko
harus direncanakan sebaik-baiknya dan
dipertimbangkan semua alternatif solusinya,
sebelum dilaksanakan mitigasinya, agar
mendapatkan hasil yang diharapkan ecara
efektif dan efisien. Beberapa alternatif bisa
dipertimbangkan untuk digunakan, seperti :

 membagi risiko,
 mengurangi likeliihood
dan/atau mengurangi konsekwensi,
 menghindari risiko atau membatalkan
aktifitas yg berisiko tinggi,
 menerima risiko.

Proses keenam adalah Monitor &

Review (Pemantauan & Pengkajian Ulang).
Pemantauan & Pengkajian Ulang dilaksanakan
terhadap seluruh proses manajemen risiko
termasuk konteksnya (lingkungan, proses,
organisasi, strategi, stakeholder dsb.). Catatan-
catatan hasil Pemantauan & Pengkajian Ulang
disimpan sebagai bukti dan laporna bahwa
aktifitas itu telah dilaksanakan dan sebagai
masukan bagi Risk Management
Framework yang telah disiapkan sebelumnya.

Selama melaksanakan ke enam proses

manajemen risiko itu Communication &
Consultation (komunikasi dan konsultasi)
selalu dilaksanakan kepada semua stakeholder,
secara kontinyu dan iterative.

Skema lain yang menambah kejelasan mengenai

langkah-langkah penerapan proses manajemen
risiko ISO 31000:2009 dapat dilihat pada
gambar di bawah.

2101