Module GRC-3

THE BASICS OF RISK MANAGEMENT

By:
Ir. Jerry Marmen, M.S., M.Ec, M.Mgt, PhD
IN RISK MANAGEMENT, UNDERSTANDING THE CONTEXT IS CENTRAL
COSO ERM 2017 ISO 31000: 2018

DRIVING EFFECTIVE
ENTERPRISE RISK
MANAGEMENT
DEPENDS ON HOW
WE UNDERSTAND
THE CONTEXT

(KNOW YOUR
BUSINESS
ENVIRONMENT,
KNOW YOUR
ORGANIZATION,
KNOW YOUR
CUSTOMERS)
ALIGNING THE IMPLEMENTATION OF ERM TO THE CONTEXT IS CENTRAL

DALAM BAHASA YANG

SEDERHANA DAN Tujuan
GAMBLANG DAPAT
DITEGASKAN BAHWA
PENERAPAN MANAJEMEN
RISIKO HARUS
DISESUAIKAN DENGAN: Kemampuan Kebijakan
1) TUJUAN PERUSAHAAN
2) KEBIJAKAN USAHA, CONTEXT
3) UKURAN PERUSAHAAN
4) KOMPLEKSITAS USAHA
5) KEMAMPUAN DAN
MATURITAS
PERUSAHAAN
Kompleksitas Ukuran
 VUCA, TUNA AND BANI ARE RESHAPING OUR BUSINESS ENVIRONMENT
Developed by

First decribed
TUNA The Oxford
Scenarios
Executive
Created by American anthropologist,
author, and futurist Jamais Cascio.

From 2016 shaped by importance of Education

VUCA
by Prof.
Warren Bennis
and Prof. Burt
Scenario Planning Analysis Program.
BANI
FROM 1990s
Nanus, and
implemented
Turbulence, Uncertain, Novel, Ambiguous From 2020s shaped by
by US Military Climate & Global
developed after War College. Systemic Change and
Cold war
Covid-19 Pandemic

Note: Modified from Marian Temmen and credit to Stephan Grabmeier

 VUCA MEMPENGARUHI BERBAGAI DINAMIKA KEHIDUPAN

JALAN YANG KITA TEMPUH PENUH PERUBAHAN YANG

SANGAT DINAMIS (VOLATILE), PENUH KETIDAKPASTIAN
(UNCERTAIN), SANGAT RUMIT (KOMPLEKS), DAN
PENUH KERAGUAN (AMBIGU).

PARADIGMA RISK
MANAGEMENT
DITUNTUT
UNTUK
BERKEMBANG
LEBIH PROAKTIF,
DINAMIS, DAN
GESIT/LINCAH à
AGILE RISK
MANAGEMENT)
Taleb himself
suggests that
Covid 19 does
not fit his
description of a
black swan
event. Yes, it has
had a severe
impact on the
global economy
and people’s
lives. But there
are also multiple
examples of
serious global
outbreaks from
the 21st century
alone – Ebola,
SARS and the
H1N1 influenza
pandemic all
spring to mind.
 EVOLUSI PERADABAN YANG TIADA HENTI
Era 1.0 Era 2.0 Era 3.0 Era 4.0 Era ???
Berburu & Ladang Pertanian Globalisasi &
Mengumpul Berpindah Indutrialisasi
Menetap Digitalisasi
Super Digital?
Digital Ultra Digital?
Spiritualisasi ?

WHAT
NEXT?

SAAT INI KITA MEMASUKI ERA DISRUPSI DIGITAL 4.0.

MASING-MASING ERA/JAMAN MEMILIKI KARAKTERISTIKS MINDSET, TANTANGAN DAN PERMASALAHAN SERTA RISIKO-RISIKO SENDIRI
CONTINUOUS EVOLUTION IN THE ECONOMY

RISK, GOVERNANCE, COMPLIANCE,

ENVIRONMENTAL, DAN SOCIAL SERING
MENJADI ISU PENTING DI DALAM SETIAP
TAHAPAN MASYARAKAT
We are here Now!!

Source: blienotes.anz.com
WARNING !!! GLOBAL RISK OUTLOOK, 2021
DUNIA, TERMASUK INDONESIA, SENANTIASA
BERADA DALAM SUATU KONDISI YANG
MENGANDUNG RISIKO YANG SETIAP SAAT BISA
TERJADI DENGAN DAMPAK YANG SIGNIFIKAN
(LIKELIHOOD X IMPACT) DI BERBAGAI BIDANG.
 10 TANTANGAN PERORGANISASIAN DAN SEKTOR JASA KEUANGAN

ORGANISASI DI BERBAGAI SEKTOR AKAN MENGHADAPI BERBAGAI

TANTANGAN YANG SELALU DAPAT MENGANCAM TINGKAT KESEHATAN
DAN SUSTAINABLE ENHANCED PERFORMANCE-NYA

THREATEN

ORGANIZATION
SUSTAINABLE
PERFORMANCE
THREATEN

Source: Adapted from Wingard, Landy

 RISK MANAGEMENT (AND GRC) IN THE CONTEXT OF ORGANIZATION HEALTH

Composite
Inherent Risk Vs.
PROFIL Risk Control
RISIKO
COMPLIANCE
(Kepatuhan) COMPLIANCE
Effective Structure for
(Kepatuhan)
enhancing efficient Check Minimum
& Balance Process for Regulatory
avoiding Mismanagement Capital , and
and Fraud Economic
Capital
GOVERNANCE TINGKAT
KESEHATAN PERMODALAN
(TATA KELOLA)
PERUSAHAAN

COMPLIANCE
(Kepatuhan)

EARNING
(RENTABILITAS) Keuangan Berkelanjutan
(ESGRC): Profir, People, &
Planet
 TANTANGAN DAN KESEMPATAN

AGILE &
SURVIVING
COMPANY
INTEGRATED ESGRC AS THE BASIS OF COMPANY HEALTH

ESGRC

Sound Capital
(Financial,
Human,
Techology, and
Social Capital)
AGILE

+ ORGANIZATION
WITH SUSTAINABLE
ENHANCED
PERFORMANCE
Sustainable
Good Earnings
(Profit, People,
& Planet)
RISK MANAGEMENT IS NOT ONLY FOR PROTECTING VALUE, BUT FOR
CREATING AND PROTECTING VALUE SIMULTANEOUSLY

Tempat yang paling aman

bagi Kapal memang
adalah di Pelabuhan.
Namun, Kapal tidak
diciptakan untuk
senantiasa ditambatkan
di Pelabuhan.

Kapal harus berlayar ke

samudera untuk
menciptakan nilai,
walaupun konsekuensinya
harus menghadapi Risiko
badai di lautan.
 THE NEXUS BETWEEN RISK AND PERFORMANCE

Risk Appetite in Risk Appetite in Risk Appetite in

Zone 1: RISK TAKER Zone 2: RISK NEUTRAL Zone 3: RISK AVERSE

OLEH KARENA RISK Risk-Adjusted

MANAGEMENT TIDAK Performance
SEKEDAR PROTECTING
VALUE, TETAPI JUGA
UNTUK CREATING
VALUE, MAKA DALAM
PENERAPANNYA
PEMBAHASAN “RISK &
PERFORMANCE” ATAU
“RISK AND RETURN”
HARUS SENANTIASA
DILAKUKAN SECARA
SIMULTAN.
 THE PHILOSPHY OF RISK: MAIN DISCUSSIONS
1) Apakah Risiko
RISK PHILOSPHY MEMBICARAKAN
itu Ada
• Inherent Risk 2) What is Risk
PERIHAL KEBERADAAN (ONTOLOGI)
• The Nexus 3) Jenis-jenis Risiko RISIKO, BAGAIMANA METODOLOGI
Between Risk itu apa saja PENGETAHUAN TENTANG
& Return 4) Keterkaitan (EPISTEMOLOGI) RISIKO, DAN ASPEK
• Risk Risiko dengan NORMATIF ATAU DAS SOLEN
Taxonomy Kegiatan, (AXIOLOGI) TENTANG KEBERADAAN
Produk, DAN PENGETAHUAN RISIKO
• etc
Kelembagaan,
Strategi, dlsbnya

1) Apakah Risiko
1) How to • Risk
Identify, itu Baik atau
• Risk Method Buruk Appetite
Measure, • Risk
• Risk Process Monitor, 2) Semakin
• Risk and Tinggi Risiko Tolerance
Assessment Mitigate akan semakin • Risk Limit
Risk Buruk? • Risk
• Risk 3) Seberapa
Management 2) How to Set Attitude
Risk and Besar/Tinggi Risk Culture
• etc. Risiko yang
Manage • etc
Risk perlu diambil
KNOWLEDGE ABOUT RISK IS KNOWLEDGE ABOUT LACK OF KNOWLEDGE

“When there is a risk, there

must be something that is
unknown or has an
unknown outcome.
Therefore, knowledge
about risk is knowledge
about lack of knowledge.
This combination of
knowledge and lack
thereof contributes to
making issues of risk
complicated from an
RISK epistemological point of
view.”(Stanford
Encyclopaedia of
Philosophy).
 INTERMEZO
ACCORDING TO ISO 31000, RISK = EFFECT OF UNCERTAINTY ON OBJECTIVES
RISIKO ADALAH EFEK DARI KETIDAKPASTIAN (PENYIMPANGAN) TERHADAP PENCAPAIAN SASARAN

TUGAS ANDA:

PERBAIKI SUSUNAN 4 REALITAS DI BAWAH INI DALAM SUATU SEKUEN LOGIS PENYEBAB (CAUSE), RISIKO
(RISK), DAN SASARAN (OBJECTIVE) SESUAI DENGAN DEFINISI RISIKO MENURUT STANDARD ISO 31000.

PANDANGAN KABUR KECELAKAAN MOBIL TEPAT WAKTU HUJAN LEBAT DI JALAN

(Decrease in Visibility) (Car Accident) (Being Not Late) (Heavy Rain)
 RISK = EFFECT OF UNCERTAINTY ON OBJECTIVES
RISIKO ADALAH EFEK DARI KETIDAKPASTIAN TERHADAP PENCAPAIAN SASARAN

PEYEBAB (CAUSE) à RISIKO (RISK) à SASARAN (OBJECTIVE)

SUSUNAN 4 REALITAS DI BAWAH INI YANG SESUAI DENGAN SEKUEN LOGIS PENYEBAB (CAUSE),
RISIKO (RISK), DAN SASARAN (OBJECTIVE) MENURUT DEFINISI RISIKO ISO 31000 ADALAH SBB:

INDIRECT CAUSE DIRECT CAUSE RISIKO OBJEKTIF

HUJAN LEBAT DI JALAN PANDANGAN KABUR KECELAKAAN MOBIL TEPAT WAKTU
(Heavy Rain) (Decrease in Visibility) (Car Accident) (Being Not Late)
 SUMBER PENYEBAB RISIKO BISA LEBIH DARI SATU FAKTOR
INDIRECT CAUSE
CAUSE 1:
HUJAN LEBAT DI JALAN PANDANGAN KABUR

RISIKO OBJEKTIF
KECELAKAAN MOBIL TEPAT WAKTU
CAUSE 2: (Car Accident) (Being Not Late)
MEMBACA WA
INDIRECT CAUSE

CAUSE 3: NGEBUT
THE NEXUS BETWEEN RISK AND PERFORMANCE
Portfolio
(Produk & Jasa)

Spasial/
Wilayah

RISK &
Jenis Risiko
PERFORMANCE

Hirarki
Organisasi
Risk Intelligence = Big Data
dlsb
Know Your
Organization
(Corporate, Subsidiaries,
Directorates, Business
Units, Division, Working
Units, Teams,
Employees)

Know Your
Know Your Business
Business Portfolio Environment
(Products & (Customers,
Services) Stakeholders, and
Competitors)
 REVISITING THE DEFINITION OF RISK

OBJECTIVES EVENT & EVENT-BASED &

CIRCUMSTANCES
(KONDISI)

Efek Ketidakpastian Potensi KERUGIAN An Uncertain EVENT or

(penyimpangan) akibat terjadinya suatu Set of CIRCUMSTANCES/
CONDITIONS, that if it occurs,
terhadap Pencapaian PERISTIWA atau has a positive or negative
Sasaran (ISO 31000 & BAHAYA tertentu effect on a project's objective
COSO) (OJK & PP No.5/2021) (PMBOK)
 BEBERAPA DEFINISI RISIKO

COSO ERM ISO 31000 PP No.5/2021 PMBOK ®

OJK “An uncertain
“Risk is the event or
Risiko adalah Pasal 1 Butir 2:
possibility that condition, that if
events will occur potensi Risiko adalah it occurs, has a
“The effect of
and affect the potensi positive or
achievement of uncertainty on terjadinya terjadinya negative effect
strategy and objectives“ suatu cedera atau on a project's
business Efek peristiwa kerugian dari objective”
objectives” ketidakpastian yang dapat suatu bahaya Kejadian yang tidak
Kemungkinan (penyimpangan) atau kombinasi
terjadinya peristiwa menimbulkan pasti atau Serangkaian
KEADAAN/ KONDISI,
pada sasaran kemungkinan
yang dapat
mempengaruhi
kerugian bagi dan akibat yang jika terjadi,
memiliki efek positif
pencapaian tujuan & perusahaan bahaya. atau negatif pada
sasaran organisasi
tujuan proyek
REFLECTION: Is Risk Always Negative??

Do I need to
take more
risks?
 RISK APPETITE (SELERA RISIKO)
(ISO 31000)
• The amount and type of
risk that an organization is
willing to accept (pursue,
retain or take) in pursuit of
its business objectives:
Jumlah dan jenis risiko
yang bersedia diterima
oleh organisasi (mengejar,
mempertahankan, atau
mengambil) dalam
mengejar tujuan bisnisnya:
WILLINGNESS TO TAKE
RISK.
COSO
• The types and amount of
risk, on a broad level, an
organization is willing to
accept in pursuit of value:
Jenis dan jumlah risiko,
pada tingkat yang luas,
yang bersedia diterima
oleh organisasi dalam
mengejar nilai:
WILLINGNESS TO TAKE
RISK.
OJK
• Tingkat dan jenis Risiko
yang bersedia diambil oleh
Organisasi sebagaimana
tercermin dalam strategi
bisnis dan diambil dalam
rangka mencapai sasaran
bisnis Organisasi:
WILLINGNESS TO TAKE
RISK.
 RISK TOLERANCE (TOLERANSI RISIKO)
BILA RISK APPETITE DAPAT DIIBARATKAN SEBAGAI KEINGINAN YANG BERDASARKAN ANALISIS YANG MATANG, MAKA RISK
TOLERANCE ADA KEMAMPUAN RIIL ORGANISASI DALAM MENYERAP KERUGIAN BILAMANA POTENSI RISIKO BENAR-BENAR
TERJADI (TEREALISIR). BILA DIIBARATKAN SEBUAH MOBIL, RISK TOLERANCE ADALAH SHOCK BREAKER MOBIL YANG BERFUNGSI
MENYERAP GONCANGAN BILAMANA MOBIL MELEWATI JALANAN YANG JELEK, BERLOBANG, DAN BANYAK GONCANGAN.

ISO 31000 COSO ERM OJK

• Organization's or stakeholders’
readiness to bear the risk after
risk “treatment” in order to
achieve its objectives:
Kesiapan organsisasi atau
pemangku kepentingan untuk
menanggung suatu risiko
tertentu setelah perlakuan
risiko dalam rangka mencapai
sasarannya. READINESS TO
TAKE/ABSORB RISK AT
DETERMINED MAXIMUM
LEVEL
The acceptable levels of • Tingkat dan jenis Risiko yang
variation in performance secara maksimum ditetapkan
related to business objectives oleh perusahan, dan
merupakan penjabaran dari
and is typically defined at the
tingkat Risiko yang akan
risk-specific level: Tingkat
diambil: READINESS TO
variasi kinerja yang dapat
TAKE/ABSORB RISK AT
diterima terkait dengan tujuan
DETERMINED MAXIMUM
bisnis dan biasanya ditentukan
LEVEL
pada tingkat risiko tertentu:
READINESS TO TAKE/ABSORB
RISK AT DETERMINED
MAXIMUM LEVEL
 RISK TOLERANCE
q Toleransi Risiko (risk tolerance) merupakan batas
maksimum tingkat Risiko dan jumlah Risiko yang
ditetapkan oleh Organisasi. Toleransi Risiko (risk BATAS MAKSIMUM
tolerance) merupakan penjabaran dari tingkat Risiko yang TINGKAT RISIKO
akan diambil (risk appetite). DAN JUMLAH
RISIKO
q Toleransi Risiko (risk tolerance) dapat berupa batasan
kuantitatif dan/atau kualitatif. Contoh batasan kuantitatif
adalah rentang tingkat penurunan imbal hasil investasi
dari target yang ditetapkan Organisasi. Contoh batasan
kualitatif adalah suatu keputusan dari manajemen yang
menyatakan tidak ada toleransi (zero tolerance) terhadap
kecurangan (fraud) atau praktik pencucian uang. Apabila
terdapat kondisi yang menyimpang dari batasan RISK
kuantitatif dan/atau batasan kualitatif tersebut, TOLERANCE
PENETAPAN
Organisasi harus langsung melakukan suatu tindakan. MEMPERHATIKAN TINGKAT DAPAT BERUPA
RISIKO YANG AKAN DIAMBIL BATASAN
q Penetapan toleransi Risiko (risk tolerance) dilakukan (RISK APPETITE), TUJUAN DAN
KUANTITATIF
STRATEGI Organisasi
dengan memperhatikan tingkat Risiko yang akan diambil SECARA KESELURUHAN, DAN/ATAU
(risk appetite), tujuan dan strategi Organisasi secara SERTA RISK BEARING KUALITATIF
keseluruhan, serta kemampuan Organisasi dalam CAPACITY
menerima Risiko (risk bearing capacity).
 CONTOH PENETAPAN RISK APPETITE DAN RISK TOLERANCE

Contoh Penetapan Pada Risiko Kredit

Parameter Risk Appetite Risk Tolerance
NPL Net 3% 6% Contoh Penetapan Pada Risiko Likuiditas
Rasio Kredit berkualitas 7% 10% Parameter Risk Appetite Risk Tolerance
rendah per total kredit Rasio aset likuid per total 20% 15%
aset
Rasio aset likuid per 40% 20%
kewajiban lancer
Rasio total Kredit per total 90% 95%
Contoh Penetapan Pada Risiko Strategi dana pihak ketiga bukan
bank
Parameter Risk Appetite Risk Tolerance
Jumlah Human Error Maksimal Menimbulkan Maksimal Menimbulkan
Dampak 2% Terhadap Dampak 5% Terhadap
Keuangan Keuangan
Error In Core System Maksial Terjadi Kesalahan Maksial Terjadi Kesalahan
System 1 Kali System 2 Kali

Contoh Penetapan Pada Risiko Strategi Contoh Penetapan Pada Risiko Reputasi
Parameter Risk Appetite Risk Tolerance Parameter Risk Appetite Risk Tolerance
Rasio perbandingan 100% 90% Jumlah pengaduan nasabah 10 15
realisasi dan target Jumlah pemberitaan 1 berita di media massa 3 berita di media massa
indikator keuangan utama negative pihak yang
sesuai dengan rencana bersosiasi dengan
perusahaan
 RISK AND OPPORTUNITY UNIVERSE
RISK AND OPPORTUNITIES
ARE COEXISTENCE

Risk Appetite:
Risk willing to take
(willingness to take risk)
RISK CAPACITY

Risk Tolerance
Risk can take RISK TOLERANCE
(readiness to take/absorb
risk) RISK APPETITE

Risk Capacity
Point beyond which need
to change our Strategy

= Risk

= Opportunity
RISK APPETITE FRAMEWORK

VISI & MISI

STRATEGY
 RISK INHEREN DALAM PERSPEKTIF STRATEGY FORMULATION
NILAI DASAR
ORGANISASI

ORGANIZATION OR
CORPORATE-WIDE VISI MISI

I TUJUAN ARAH I
DIREKTORAT N (Dampak) KEBIJAKAN N
H
INDIKATOR
KINERJA
INDIKATOR
RISIKO
H
E SASARAN K
E
K
R STRATEGIS STRATEGI R
(Dampak-Hasil) P R
SUBSIDIARY/DIVISION E E
/CABANG N I I N
SASARAN T
T PROGRAM PROGRAM
RISK (Hasil/Outcome) RISK
SASARAN
SUB DIVISION KEGIATAN KEGIATAN
(Keluaran/Output)

ANGGARAN
RISK APPETITE FRAMEWORK
 FROM RISK APPETITE AND RISK TOLERANCE TO RISK LIMITS

Penetapan Limit Risiko:

1) Dalam menyusun kebijakan Manajemen Risiko, Direksi harus memberikan arahan yang jelas mengenai jenis
dan tingkat Risiko yang akan diambil (Risk Appetite) dan Toleransi Risiko (Risk Tolerance) serta Limit Risiko.
2) Tingkat Risiko yang akan diambil merupakan tingkat dan jenis Risiko yang bersedia diambil Organisasi dalam
rangka mencapai sasaran organisasi.
3) Tingkat Risiko yang akan diambil tercermin dalam strategi dan sasaran bisnis.
4) Toleransi Risiko merupakan tingkat dan jenis Risiko yang secara maksimum ditetapkan oleh Organisasi.
5) Toleransi Risiko merupakan penjabaran dari tingkat Risiko yang akan diambil.
6) Dalam menetapkan toleransi Risiko, Organisasi perlu mempertimbangkan strategi dan tujuan bisnis
organisasi serta kemampuan organisasi dalam mengambil Risiko (risk bearing capacity).
7) Tingkat Risiko yang akan diambil dan toleransi Risiko harus diperhatikan dalam penyusunan kebijakan
Manajemen Risiko, termasuk dalam penetapan limit.
 FROM RISK APPETITE AND RISK TOLERANCE TO RISK LIMITS
Penetapan Limit Risiko:
8) Organisasi harus menetapkan dan memiliki limit Risiko yang sesuai dengan tingkat Risiko yang akan
diambil (risk appetite), toleransi Risiko (risk tolerance), dan strategi bisnis organisasi secara keseluruhan
dengan memerhatikan kemampuan permodalan organisasi untuk dapat menyerap eksposur Risiko atau
kerugian yang timbul, pengalaman kerugian di masa lalu, kemampuan SDM, dan kepatuhan terhadap
ketentuan peraturan peraturan perundang-undangan atau ketentuan eksternal yang berlaku.
9) Besaran limit Risiko diusulkan oleh fungsi bisnis dan operasional terkait, yang selanjutnya
direkomendasikan oleh fungsi Manajemen Risiko (SKMR) untuk mendapat persetujuan Direksi atau Dewan
Komisaris melalui komite Manajemen Risiko, atau Direksi sesuai dengan kewenangannya masing-masing
yang diatur dalam kebijakan internal Organisasi.
10) Prosedur dan penetapan limit Risiko paling sedikit meliputi: 1) akuntabilitas dan jenjang delegasi
wewenang yang jelas; 2) dokumentasi prosedur dan penetapan limit Risiko secara memadai untuk
memudahkan pelaksanaan kaji ulang dan jejak audit; 3) penetapan limit Risiko yang dilakukan secara
komprehensif atas seluruh aspek yang terkait dengan Risiko, yang mencakup limit Risiko secara
keseluruhan, limit per jenisi Risiko, dan limit per aktivitas bisnis Organisasi yang memiliki eksposur Risiko,
dan 4) Pelaksasanaan kaji ulang terhadap penetapan limit Risiko secara berkala paling sedikit 1 (satu) kali
dalam 1 (satu) tahun atau frekuensi yang lebih sering, sesuai dengan jenis Risiko, kebutuhan dan
perkembangan Organisasi.
 PROSEDUR DAN PENETAPAN RISK LIMITS
Pelaksasanaan kaji ulang
terhadap penetapan limit
Risiko secara berkala
paling sedikit 1 (satu)
kali dalam 1 (satu) tahun
atau frekuensi yang lebih
sering, sesuai dengan
jenis Risiko, kebutuhan
dan perkembangan
Organisasi.
Untuk Memudahkan
AKUNTABILITAS DAN JENJANG Pelaksanaan Kaji Ulang Dan
DELEGASI WEWENANG YANG Jejak Audit;
JELAS
DOKUMENTASI PROSEDUR
PROSEDUR PENETAPAN DAN PENETAPAN LIMIT RISIKO
LIMIT SECARA MEMADAI
PENETAPAN LIMIT RISIKO
yang mencakup limit Risiko
YANG DILAKUKAN SECARA secara keseluruhan, limit per
KOMPREHENSIF ATAS SELURUH jenisi Risiko, dan limit per
ASPEK YANG TERKAIT DENGAN aktivitas bisnis Organisasi yang
RISIKO memiliki eksposur Risiko
 FROM RISK APPETITE AND RISK TOLERANCE TO RISK LIMITS

11) Limit Risiko harus dipahami oleh setiap pihak yang terkait dan dikomunikasikan dengan baik termasuk
apabila terjadi perubahan.
12) Dalam rangka pengdendalian risiko, limit Risiko digunakan sebagai ambang batas untuk menentukan
tingkat intensitas mitigasi Risiko yang akan dilaksanakan Manajemen.
13) Setiap pelampauan terhadap limit Risiko harus memperoleh persetujuan berdasarkan mekanisme dan
tata cara yang diatur dalam ketentuan intern Organisasi.
14) SKMR melalui koordinasi dengan satuan kerja atau pegawai yang menangani fungsi operasional harus
menyediakan informasi yang lengkap, akurat, kini, dan utuh yang dapat memfasilitasi Direksi dalam
menyusun dan menetapkan limit Risiko.
15) Penetapan limit Risiko meliputi: 1) Limit secara keseluruhan yaitu batas Risiko yang dapat ditoleransi oleh
Organisasi atas seluruh Risiko yang diterapkan. 2) Limit per jenis Risiko yaitu batas Risiko yang dapat
ditoleransi oleh Organisasi untuk setiap jenis Risiko. 3) Limit per aktivitas fungsional tertentu yang
memiliki eksposur Risiko Limit per aktivitas fungsional tertentu yaitu batas Risiko yang dapat ditoleransi
oleh Organisasi untuk setiap aktivitas fungsional
 HIRARKI DAN CAKUPAN RISK LIMITS

JENIS RISIKO
FUNGSIONAL RISIKO RISIKO RISIKO
A B C
LIMIT SECARA Coporate MARKETING
KESELURUHAN Level
yaitu batas Risiko yang FINANCE
dapat ditoleransi oleh HUMAN
Organisasi atas seluruh RESOURCE
Risiko yang diterapkan
SIM & IT
OTHERS
LIMIT PER AKTIVITAS
LIMIT PER JENIS
FUNGSIONAL
RISIKO
TERTENTU Functional
yang memiliki eksposur Risiko Limit
yaitu batas Risiko yang dapat
per aktivitas fungsional tertentu
Level Level
ditoleransi oleh Organisasi
yaitu batas Risiko yang dapat
untuk setiap jenis Risiko.
ditoleransi oleh Organisasi untuk
setiap aktivitas fungsional
RELATIVELY LOW RISK APPETITE
Risk Appetite
Organisasi
dalam hal
cenderung
Rendah (RISK
Risk Appetite
AVERSE)
(2)
Low Moderate

Low Low to Moderate Moderate Moderate to High High

1 2 3 4 5
RELATIVELY HIGH RISK APPETITE
Risk Appetite
Organisasi dalam hal
cenderung Tinggi
(RISK TAKER/LOVER)

Risk Appetite
(4)
Moderate to High

Low Low to Moderate Moderate Moderate to High High

1 2 3 4 5
RISK APPETITE, RISK TOLERANCE AND RISK PROFILE
 CONTOH PENETAPAN RISK APPETITE

TINGKAT RISK APPETITE

KATEGORI RISIKO Rendah- Sedang-
Rendah Sedang Tinggi
Sedang Tinggi
Risiko Kredit
Risiko Pasar
Risiko Operasional
Risiko Likuiditas
Risiko Kepatuhan
Risiko Hukum
Risiko Strategik
Risiko Reputasi
Risiko Keseluruhan
(Composite Risk)
RISK MANAGEMENT PROCESS
IS BASICALY DEAL WITH RISK,
APPETITE, RISK TOLERANCE,
AND RISK CONTROL
KONSEP SEDERHANA NET RISK (RESIDUAL RISK) SEBAGAI PROFIL RISIKO

NET RISK
RISIKO RISK
INHEREN VS. CONTROL = (RESIDUAL
RISK)
KONSEPSI PROFIL RISIKO
KONSEPSI PROFIL RISIKO: (RESIDUAL RISK ≈ NET RISK)

RISIKO INHEREN AGREGAT (Aggregate Inherent Risks)

(Low=1, Low to Moderate=2, Moderate=3, Moderate to High=4, High=5)

NE T RIS K)
K PRO FILE=
RIS IKO (RIS
PROFIL

KUALITAS PENERAPAN MANAJEMEN RISIKO (KPMR)

(Strong=1, Satisfactory=2, Fair=3, Marginal=4, Unsatisfactory=5)
 PROFIL RISIKO (RISK PROFILE ≈ RESIDUAL RISK ≈ NET RISK)

AGGREGATE
PROFIL INHERENT Kualitas Penerapan
RISIKO = RISK PROGRAM, vs. Manajemen Risiko
(Net Risk) KEGIATAN & (KPMR)
KEGIATAN
 SIGNIFIKANSI RISIKO (LIKELIHOOD & IMPACT)

Signifikasi Risiko sering kali dinyatakan dalam bentuk

RISK HEAT MAP kombinasi dua hal:
I (Impact) 1) Sebagai suatu Konsekuensi atau Impact dari suatu
kejadian (termasuk konsekuensi dari adanya perubahan
I5 kondisi/keadaan, baik yang terjadi sebagai akibat suatu
peristiwa tertentu maupun akibat sesuatu yang tidakjelas
Konsekuensi (Impact)

I4
dan tidak bisa dirasakan atau diamati sebagai sebuah
kejadian), dan
2) Sebagai suatu Peluang atau Kemungkin
I3 kejadian/terjadinya peristiwa tersebut.
I

I2
Likelihood/
Frekuensi
I1
(1 to 5)
Signifikansi Risiko
L1 L2 L3 L4 L5 L (Likelihood) Inheren
(1 to 25)
Potensi/Kemungkinan (Likelihood)
L Impact/ Severity
(1 to 5)
 DETERMINING RISK SIGNIFICANCE FROM RISK HEAT MAP:
Apriori Vs. Non Apriori Approach

CONTOH RISK HEAT MAP YANG BERSIFAT NON APRIORI CONTOH RISK HEAT MAP YANG BERSIFAT APRIORI
 CONCEPTUAL FRAMEWORK: Risiko Heat Map & Tingkat Risiko
Contoh Risk Heat Map yang bersifat Non Apriori
1 sd 5 = Peringkat 1 (Low = 1)
• Tingkat Signifikansi Risiko
(disebut juga Tingkat Risiko)
dapat diukur sekurang- 6 sd 10 = Peringkat 2
kurangnya dari dua hal, yaitu Low to Moderate = 2)
Likelihood (kemungkinan
terjadi) dan Impact (dampak 11 sd 15 = Peringkat 3
atau konsekuensi yang (Moderate = 3)
ditimbulkannya bila terjadi).
• Visualisasi Tingkat Signifikansi 16 sd 20 = Peringkat 4
Risiko digambarkan dalam Risk (Moderate to High =4)
Heat Map.
• Dengan menampilkan sekedar 21 sd 25 = Peringkat 5 (High = 5)
contoh model Risk Heat Map
5x5 yang pengklasifikasian
kuantitatifnya bersifat apriori,
dapat dilakukan
pemeringkatan risiko ke dalam
lima tingkatan sebagai berikut:
Low (1), Low to Moderate (2),
Moderate (3), Moderate to
High (3), High (5).
 PEMERINGKATAN RISIKO: TINGKAT RISIKO (RISK LEVEL)

Contoh Risk Heat Map yang bersifat APRIORI

Dengan menampilkan sekedar contoh model Risk Heat Map 5x5

yang pengklasifikasian kuantitatifnya bersifat apriori, dapat
dilakukan pemeringkatan risiko ke dalam lima tingkatan sebagai
berikut: Low (1), Low to Moderate (2), Moderate (3), Moderate to
High (3), High (5).

1 sd 5 = Peringkat 1 (Low = 1)

6 sd 10 = Peringkat 2 (Low to Moderate = 2)

11 sd 15 = Peringkat 3 (Moderate = 3)

16 sd 20 = Peringkat 4 (Moderate to High =4)

21 sd 25 = Peringkat 5 (High = 5)
RISK HEAT MAP DAN STRATEGI PENGENDALIAN RISIKO
DETERMINAN KPMR (KUALITAS PENERAPAN MANAJEMEN RISIKO)

1) Proses Identifikasi,
Pengukuran,
1) Kebijakan Manajemen Risiko
Pemantauan,
(RM Policy: Risk Appetite & Risk
Pengendalian/Mitigasi
Tolerance) TATAKELOLA 2) Sistem Informasi
2) Pengawasan Aktif dan Melekat RISIKO Manajemen Risiko
dari Pimpinan dan Pengawas
(Risk Governance) 3) Human Capital (SDM)
Manajemen Risiko

PROSES, SDM, &

1) Pedoman SIM MANAJEMEN 1) Sistem
Kebijakan (Policy RISIKO Pengendalian
Guidelines) (Risk Intern
2) Strategi 2) Kaji Ulang
KERANGKA Management
Manajemen Risiko SISTEEM Independent
3) Organisasi MANAJEMEN Process)
PENGENDALIAN (Internal &
Manajemen Risiko RISIKO Eksternal)
4) Prosedur
(Control System)
Manajemen Risiko
(Risk Framework)
5) Risk Limits
 Relatively Ideal
INHERENT RISK LEBIH BESAR DARI RISK APPETITE, NAMUN OLEH KARENA RISK
CONTROL YANG BAIK MAKA TINGKAT PROFIL RISIKO LEBIH RENDAH DARI RISK
APPETITE

Absorbed by Risk Risk Appetite Inherent Risk

Tolerance
(2) (4)
Low Moderate Moderate to High
PROFIL RISIKO

RESIDUAL RISK CONTROL

RISK (EFEK DARI KUALITAS PENERAPAN MANAJEMEN RISIKO

INHERENT RISK

Low Low to Moderate Moderate Moderate to High High

1 2 3 4 5
 Relatively still Ideal

INHERENT RISK LEBIH BESAR DARI RISK APPETITE, DAN OLEH KARENA RISK CONTROL
YANG CUKUP BAIK MAKA TINGKAT PROFIL RISIKO SETARA DENGAN RISK APPETITE

Absorbed by Risk Risk Appetite Inherent Risk

Tolerance
(2) (4)
Low Moderate Moderate to High
PROFIL RISIKO

NET/RESIDUAL RISK RISK CONTROL

(EFEK DARI KUALITAS PENERAPAN MANAJEMEN RISIKO

INHERENT RISK

Low Low to Moderate Moderate Moderate to High High

1 2 3 4 5
 Relatively Not Ideal

INHERENT RISK LEBIH BESAR DARI RISK APPETITE, NAMUN OLEH KARENA RISK
CONTROL YANG BELUM MEMADAI MAKA TINGKAT PROFIL RISIKO MASIH LEBIH
TINGGI DARI RISK APPETITE

Absorbed by Risk Risk Appetite Inherent Risk

Tolerance
(2) (4)
Low Moderate Moderate to High
PROFIL RISIKO

NET/RESIDUAL RISK RISK CONTROL

(EFEK DARI KUALITAS PENERAPAN MANAJEMEN RISIKO

INHERENT RISK

Low Low to Moderate Moderate Moderate to High High

1 2 3 4 5
 Relatively Not Ideal

INHERENT RISK LEBIH BESAR DARI RISK APPETITE, NAMUN OLEH KARENA RISK
CONTROL YANG BELUM MEMADAI MAKA TINGKAT PROFIL RISIKO LEBIH TINGGI
DARI RISK APPETITE

Absorbed by Risk Risk Appetite Inherent Risk

Tolerance
(2) (4)
Low Moderate Moderate to High
PROFIL RISIKO
RISK CONTROL
NET/RESIDUAL RISK (EFEK DARI KUALITAS PENERAPAN MANAJEMEN
RISIKO

INHERENT RISK

Low Low to Moderate Moderate Moderate to High High

1 2 3 4 5
GAP ANALYSIS BETWEEN RISK APPETITE AND RISK PROFILE
 CONCEPTUAL FRAMEWORK: ISO 31000: 2018 SEBAGAI SISTEM MANAJEMEN RISIKO
SISTEM MANAJEMEN ISO 3100: 2018 ATAU LEBIH DIKENAL SEBAGAI
STANDARD MANAJEMEN RISIKO ISO 31000: 2018 MERUPAKAN Keyword Principle: PRINCIPLES è digunakan sebagai acuan dalam
PENGEMBANGAN DARI STANDARD ISO 31000: 2009.
EFEKTIVITAS pengukuran efektifitas ERM. Di dalamnya
SEBAGAI SUATU SISTEM YANG MENJADI STANDARD BEST PRACTICE mencakup tujuan untuk: meningkatkan kinerja,
DALAM PENERAPAN MANAJEMEN RISIKO DI DUNIA, ISO 31000: 2018 membangun innovasi dan mencapai sasaran
TERDIRI DARI TIGA KOMPONEN POKOK, YAKNI:
usaha / sasaran kerja;
1) PRINSIP (PRINCIPLES)
2) KERANGKA (FRAMEWORK)
3) PROSES (PROCESS)

Keyword
FRAMEWORK è
Process:
digunakan
sebagai acuan Operasional
dalam
keberhasilan
organisasi /
lembaga dalam
mengintegrasikan
ERM dalam
aktifitas, peran
dan tanggung
jawab
operasionalnya.
Didalamnya
menekankan
pada aspek Keyword PROCESS è digunakan sebagai acuan dalam membangun framework/ proses
Governance yang Framework: pelaksanaan standard ERM. Didalamnya mencakup penjelasan tentang: kebijakan,
harus dicapai. INTEGRASI prosedur, praktik, komunikasi dan monitoring, pencatatan dan pelaporan
 PRINSIP MANAJEMEN RISIKO ISO 31000: 2018

PRINCIPLES (PRINSIP)
digunakan sebagai acuan
dalam pengukuran
efektifitas ERM. Di
dalamnya mencakup
tujuan untuk:
meningkatkan kinerja,
membangun inovasi dan
mencapai sasaran
usaha/sasaran kerja;
 8 PRINSIP ISO 31000: 2018
PRINSIP IMPLEMENTASINYA DI ORGANISASI
Prinsip ini menekankan bahwa manajemen risiko adalah bagian integral dari semua aktivitas organisasi. Agar manajemen risiko menjadi bagian integral dari semua aktivitas organisasi, manajemen perlu
Prinsip 1: memastikan sedikitnya hal-hal berikut di bawah ini:
TERINTEGRASI 1. kerangka kerja dan program manajemen risiko berkontribusi terhadap proses perencanaan strategi, penetapan anggaran, pelaksanaan strategi, dan pelaporan organisasi; dan
2. adanya kebijakan formal sebagai dasar instruksi yang menggambarkan serta mendokumentasikan tautan antara sistem manajemen risiko dengan sistem manajemen lainnya.
Prinsip ini berkontribusi terhadap hasil yang konsisten dan terstruktur. Agar manajemen risiko berkontribusi terhadap hasil yang konsisten dan terstruktur, Manajemen puncak perlu memastikan
Prinsip 2: sedikitnya hal di bawah ini:
TERSTRUKTUR DAN 1. penentuan sasaran telah memenuhi kriteria SMART-C yaitu Specific (spesifik), Measurable (terukur), Attainable (dapat dicapai), Relevant (relevan), Time Bound (batas waktu) dan Challenging
KOMPREHENSIF (menantang); dan
2. proses bisnis dalam mencapai sasaran dapat terpetakan dan tertelusuri secara sistematis.
Prinsip ini menekankan bahwa kerangka kerja dan proses manajemen risiko disesuaikan dan proporsional dengan konteks eksternal dan internal organisasi yang berkaitan dengan sasarannya. Agar
Prinsip 3: manajemen risiko sesuai dan proporsional dengan konteks, Manajemen puncak organisasi sektor publik memastikan sedikitnya hal di bawah ini:
DISESUAIKAN 1. adanya proses formal penentuan konteks internal dan eksternal organisasi termasuk pemetaan keterlibatan dan/atau pengaruh pemangku kepentingan; dan
2. kerangka kerja dan proses manajemen risiko dijalankan seiring dengan kebijakan formal yang relevan dan berlaku bagi organisasi, misal: Undang-Undang, Hukum dan Regulasi.
Prinsip ini menekankan bahwa pelibatan yang sesuai dan tepat waktu dari pemangku kepentingan memungkinkan pengetahuan, pandangan, dan persepsi mereka untuk dipertimbangkan. Hal ini
Prinsip 4: menghasilkan peningkatan kesadaran dan manajemen risiko terinformasi. Agar manajemen risiko inklusif, Manajemen puncak organisasi sektor publik memastikan sedikitnya hal di bawah ini:
INKLUSIF 1. memiliki program pemangku kepentingan dalam rangka pengkinian informasi mengenai kebutuhan dan/atau harapan pemangku kepentingan terhadap pelayanan publik organisasi; dan
2. masukan dari pemangku kepentingan dipertimbangkan oleh organisasi dalam kerangka manajemen risiko terutama tahap rancangan, implementasi dan evaluasi.
Prinsip ini mengingatkan bahwa risiko dapat muncul, berubah, atau hilang seiring perubahan konteks eksternal dan internal organisasi. Manajemen risiko mengantisipasi, mendeteksi, mengakui, dan
menanggapi perubahan dan peristiwa tersebut secara sesuai dan tepat waktu. Agar manajemen risiko dinamis seiring perubahan konteks, Manajemen puncak perlu memastikan sedikitnya hal di bawah
Prinsip 5:
ini:
DINAMIS
1. kajian terhadap efektivitas kerangka dan proses manajemen risiko perlu dilakukan secara berkala dan/atau bila ada perubahan konteks organisasi baik eksternal maupun internal; dan
2. memasukkan pandangan baik jangka pendek maupun jangka panjang dalam penentuan konteks sehingga dinamika risiko (baik baru maupun lama) dapat ditemukenali seawal mungkin.
Prinsip ini menegaskan bahwa masukan manajemen risiko harus didasarkan atas informasi historis dan saat ini, serta mengantisipasi juga harapan pada masa depan. Manajemen risiko secara eksplisit
Prinsip 6: memperhitungkan segala batasan dan ketidakpastian yang berkaitan dengan informasi dan harapan tersebut. Informasi perlu tepat waktu, jelas, dan tersedia bagi pemangku kepentingan yang relevan.
INFORMASI TERBAIK Agar manajemen risiko terdukung oleh informasi terbaik yang tersedia, Manajemen puncak organisasi sektor publik memastikan sedikitnya hal di bawah ini:
YANG TERSEDIA 1. pengkinian berkala terhadap pangkalan data dan informasi yang relevan bagi organisasi untuk kegunaan pengembangan kebijakan publik dan implementasinya; dan
2. kecukupan dan kualitas informasi ditingkatkan dari waktu ke waktu sehingga pengambilan keputusan dapat dilakukan oleh Manajemen puncak organisasi secara tepat waktu, dan tepat sasaran.
Prinsip ini menekankan bahwa perilaku dan budaya manusia secara signifikan mempengaruhi semua aspek manajemen risiko pada semua tingkat dan tahap. Agar manajemen risiko selalu
Prinsip 7:
memperhitungkan faktor manusia dan budaya, Manajemen puncak organisasi perlu memastikan sedikitnya hal di bawah ini:
FAKTOR MANUSIA
1. adanya peta pembangunan (development), penyebaran (deployment) dan pematangan budaya sadar risiko organisasi; dan
DAN BUDAYA
2. pembangunan infrastruktur sumber daya manusia baik jumlah maupun kompetensi yang memadai untuk penerapan manajemen risiko organisasi di lingkungan organissi.
Prinsip ini mengingatkan bahwa manajemen risiko diperbaiki secara berkelanjutan melalui pelajaran dan pengalaman. Agar manajemen risiko dapat ditingkatkan keefektifannya secara berkelanjutan,
Prinsip 8:
Manajemen puncak organisasi perlu memastikan sedikitnya hal di bawah ini:
PERBAIKAN
BERKELANJUTAN
1. keefektifan manajemen risiko diukur secara berkala dan selalu ditingkatkan dari waktu ke waktu; dan
2. adanya peta jalan untuk pengembangan tingkat maturitas (maturity level) dari penerapan manajemen risiko.
 KERANGKA KERJA MANAJEMEN RISIKO ISO 31000: 2018

FRAMEWORK (KERANGKA
KERJA) digunakan sebagai
acuan dalam keberhasilan
organisasi / lembaga dalam
mengintegrasikan ERM
dalam aktifitas, peran dan
tanggung jawab
operasionalnya. Didalamnya
menekankan pada aspek
Governance yang harus
dicapai.
THE RISK MANAGEMENT PROCESS IN DETAIL (ISO 31000: 2018)

PROCESS è digunakan
sebagai acuan dalam
membangun framework/
proses pelaksanaan
standard ERM. Didalamnya CATATAN:
mencakup penjelasan CONTEXT, SCOPE,
tentang: kebijakan, DAN KRITERIA
MENJADI SANGAT
prosedur, praktik, PENTING DALAM
komunikasi dan RE-ASSESSING RISK
monitoring, pencatatan SELAMA MASA
PANDEMI COVID-
dan pelaporan 19
 COSO ERM 2017

COSO ERM 2017

MERUOAKAN
SISTEM MANAJEMEN
RISIKO TERINEGRASI
YANG MERUPAKAN
PENGEMBANGAN
DARI COSO ERM
2004. SEDANGKAN
COSO ERM 2004
ADALAH
PENGEMBANGAN
DARI COSO
INTERNAL CONTROL
SYSTEM 1992.
GENERAL RISK MANAGEMENT FRAMEWORK
Expected Loss Cadangan (Reserve) Cost-> Product Pricing

POTENSI KERUGIAN
Financial Capital
Un-Expected Loss

Menghadapi Risiko Inheren: Technology Capital

1. Investasi/Divestasi
2. Kredit (Piutang)
3. Keuangan & Pasar
Ditutup dengan modal Information Capital
AKTIVITAS 4. Operasional SOUND RISK-BASED
(Capital Planning)
PERUSAHAAN/ 5. Teknologi dan IT CAPITAL
ORGANISASI 6. Asuransi &Penjaminan Human Capital
7. Strategi dan Bisnis
8. Hukum dan Kepatuhan
9. Reputasi
Prong 2: Other Org. Capital
10. Risiko lainnya MENCUKUPI MODAL

Prong 1:
Pengelolaan Risiko Inheren
Managing Risk
(Risk Treatment) by
"2 Prong”
Effective Risk Control
(Kualitas Penerapan
Manajemen Rrisiko/KPMR)
Sasaran:
CREATING & PROTECTING
VALUE Diukur dengan
(Shareholders Value Added) RORAC, RAROC & EVA
CONTOH PENERAPAN PADA RISIKO OPERASIONAL
(Case: Bank)
RISIKO OPERASIONAL INHEREN
KUALITAS PENERAPAN MANAJEMEN RISIKO OPERASIONAL
KUALITAS PENERAPAN MANAJEMEN RISIKO OPERASIONAL
KUALITAS PENERAPAN MANAJEMEN RISIKO OPERASIONAL
CONTOH PENERAPAN PADA RISIKO STRATEJIK
(Case: Bank)
RISIKO STRATEJIK INHEREN
RISIKO STRATEJIK INHEREN
KUALITAS PENERAPAN MANAJEMEN RISIKO STRATEJIK
KUALITAS PENERAPAN MANAJEMEN RISIKO STRATEJIK
TERIMAKASIH