Risk Management Guidelines ISO 31000 2018

RISK
RISK MANAGEMENT GUIDELINES ISO 31000 2018
MANAGEM
ENT
BASED ON ISO 31000:2018
ISSUED DATE
June 26, 2023
by_Yuwono Dwisilo Sucipto
2
AKTIVITAS TRAINING DAN
KONSULTASI SISTEM
MANAJEMEN
Webinar LPPI-Bank BTPN diikuti oleh 500-

an peserta, karyawan Bank BTPN seluruh
Indonesia
16 Desember 2021
6
8
MANAGEMENT SYSTEM
RISK MANAGEMENT
RISK MANAGEMENT in Management
System
MS
R-M
In MS, Risk Management is

Foundation
What is Process ?
Coordinated Activities to direct and control an organization

with regard to risk
Managing Risk
What is Process ?
Coordinated Activities to direct and control an organization

with regard to risk
Managing Risk
Organization and Its Context
Context ERM
The context of Enterprise Risk Management
Enterprise Risk Management

Enterprise-Wide
Business Financial Hazard

Risk Risk Risk
Strategic Operational
Country Physical Moral
Procurement
Regulatory
Project management Market Risk hazard hazard
Tax Integrity
Quality Price Risk (interest rate, equity, Property
Political Bribery
IT Systems commodity) injury
Catastrophe Fraud
HR/ Labour Fire
Currency Policy Misconduct
Safety & environment
Culture
Compliance Liquidity Legal Behavioral

Credit Risk
Regulatory Risk hazard hazard
Internal policies Default risk
Funding Risk Lawsuits Carelessness
Laws Market Lliquidity Litigations Morale
Budget / Payment
Prinsip Kerangka Kerja dan Prinsip
ManRisk
Prinsip ManRisk
berubah
eksternal
Prinsip ManRisk
Prinsip ManRisk
Proses Manajemen Risiko
Kategori Risiko
Matriks Analisis Risiko
Level Risiko
Risk Apetite (Selera Risiko)
Organization and Its Context
What is Risk Based Thinking ?
Why Risk Management is needed ?
Who are Involved ?
Where Risk Shall Be Measured ?
When is made and update ?
29
INTRODUCTION
RISK MANAGEMENT
Uncertainty
Kita hidup di dunia yang terus berubah

dimana kita dipaksa untuk berurusan
dengan
KETIDAKPASTIAN?
SESUAI SITUASINYA
1.Apa yang akan terjadi berikutnya?

2.Apakah sesuai dengan harapannya? (Tujuannya)
3.Kira-kira apa harapannya?
⮚ Selamatkah? Audience/ Stakeholdernya PUAS-kah?
4.Apakah yang akan terjadi?
5.Apakah dia bisa memastikan tercapainya harapannya?
Tackles Uncertainty
But how an organization

tackles that uncertainty
can be a key predictor of
its success.
Who is ISO 31000 ?
Common mindset of ERM…
Risk management is about….
Managing
Uncertainty risks ??
“If you knew what you know now in

1998, what would you have done
differently in your business?”
Identify and Reduce Risk
Risiko adalah bagian penting dalam

berbisnis,
dan di dunia yang sangat besar
jumlah data sedang diproses
pada tingkat yang semakin cepat,
mengidentifikasi
dan mengurangi risiko merupakan
tantangan bagi perusahaan
SETIAP PERUSAHAAN MENGINGINKAN TETAP EKSIS DAN TERUS

BERKEMBANG, NAMUN SELALU DIHADAPKAN KEPADA PILIHAN-PILIHAN,
PROFIT & SEJAHTERA

EKSIS – TIDAK BANGKRUT
RUGI SEDIKIT
RUGI – MASIH
DIPERCAYA
BANGKRU
T
GRMP is Good Risk Management Practices
Tidak heran
kalau begitu banyak
kontrak
dan perjanjian asuransi
membutuhkan bukti kuat
tentang kualitas praktik
manajemen risiko.
Integrate Risk-Based Decision Making
ISO 31000 memberikan

arahan tentang bagaimana
perusahaan dapat
mengintegrasikan
pengambilan keputusan
berbasis risiko pada tata
kelola, perencanaan,
manajemen, pelaporan,
Who is ISO 30001 for ?
ISO 31000 berlaku untuk

semua organisasi, apa pun
jenisnya,
ukuran, kegiatan dan lokasi,
dan mencakup semua jenis
risiko. Dulu
dikembangkan oleh berbagai
pemangku kepentingan dan
dimaksudkan untuk digunakan
oleh
What are the benefits for my business ?
ISO 31000 membantu

mengembangkan strategi
manajemen risiko untuk
secara efektif
mengidentifikasi dan
mengurangi risiko, sehingga
meningkatkan kemungkinan
Tujuan utama : Mengembangkan budaya

manajemen risiko dimana karyawan dan
pemangku kepentingan menyadari pentingnya
pemantauan dan pengelolaan risiko.
Membantu melihat peluang positif dan dampak negatif

dari risiko, & memungkinkan lebih banyak informasi,
pengambilan keputusan yang efektif dalam
mengalokasikan sumber daya.
Komponen aktif dalam memperbaiki tata kelola dan
memperbaiki kinerja
Enterprise Risk Management……
RISK
MANAGEMENT………
….
……………..
PREVENTION
The focus is on the

effectiveness of
CONTROLS
PENGANTAR
• Manajemen Risiko mencakup penerapan metode logis

dan sistematis untuk :
⮚ pengkomunikasian dan pengkonsultasian di
sepanjang prosesnya;
⮚ penetapan konteks untuk pengidentifikasian,
penganalisisan, pengevaluasian, perlakuan risiko
yang terkait dengan setiap aktivitas, proses, fungsi
atau produk;
⮚ pemantauan dan peninjauan risiko;
⮚ pencatatan dan pelaporan suatu hasil secara tepat.
PENGANTAR
Penilaian risiko berupaya untuk menjawab pertanyaan-pertanyaan

mendasar berikut ini:
⮚ apa yang dapat/ bisa terjadi dan mengapa (berdasarkan
identifikasi risiko)?
⮚ apa konsekuensinya?
⮚ apa probabilitas dari peristiwa tersebut di masa depan?
⮚ apakah ada faktor yang me-mitigasikan konsekuensi risiko
atau yang mengurangi probabilitas risiko?
SEJARAH SINGKAT PERKEMBANGAN STANDAR MANAJEMEN RISIKO

❖ 1995 : Australia dan Selandia Baru menerbitkan standar risiko pertama di dunia, AS/NZS 4360
❖ 1997 : Kanada yg menerbitkan standar Manajemen Risiko.
❖ 2001 : Jepang menyusul menerbitkan standar Manajemen Risiko.
❖ 2002 : profesi Manajemen Risiko di Inggris menerbitkan panduan Manajemen Risiko (AIRMIC, IRM,
ALARM).
❖ 2004 : COSO menerbitkan panduan mengenai Integrated Risk Management Frame Work terbit di USA.
❖ 2009 : IOS menerbitkan ISO 31000:2009 Risk Management - principle and guidelines dan
pendukungnya ISO Guide 73:2009 & ISO 31010:2009.
❖ 2013 : IOS memperkenalkan High Level Structure pada standar-standar Sistem Manajaemen yang
berisi Risk Based Thinking dan Manajemen Risiko.
❖ 2017 : COSO menerbitkan revisi panduan mengenai manajemen integrating with strategy and
performance. Committee of Sponsoring Organizations of the Treadway Commission. (COSO) adalah
suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985 yang telah menyusun suatu definisi
umum untuk pengendalian, standar, dan kriteria internal.
❖ 2018 : Revisi ISO 31000 yang pertama.
LATAR BELAKANG PENGEMBANGAN STANDAR ISO 31000

❖ Kerangka kerja COSO tentang Manajemen Risiko Perusahaan,
⮚ berbentuk pengendalian/ audit internal: melihat manajemen risiko terutama sebagai
aktivitas kepatuhan perusahaan,
⮚ ISO 31000 melihat Manajemen Risiko sebagai proses strategis untuk membuat keputusan
yang disesuaikan dengan risiko.
❖ Standar Manajemen Risiko - Australia/Selandia Baru, yaitu AS/NZS 4360
❖ Penyusunan ISO 31000 dimulai pada tahun 2005, menggunakan AS/NZS 4360 sebagai acuan
konsep pertama,
⮚ proses-proses yang mendorong masukan dari para profesional Manajemen Risiko seluruh
dunia (anggota IOS dan para kontributor) sehingga tercapai konsensus,
❖ Standar ISO 31000 diterbitkan pertama kali tahun 2009, menjadi pilihan acuan berbagai
penerapan Manajemen Risiko di berbagai sektor baik swasta maupun pemerintahan.
⮚ versi revisi diterbitkan tahun 2018 (sebagai upaya penyederhanaan).
SERI STANDAR ISO 31000

❖ IOS (International Organization for standardization) adalah sebuah organisasi standardisasi
internasional dengan “brand ISO”,
⮚ berbasis di Jenewa, Swiss, diikuti 163 negara sebagai anggota,
⮚ telah menerbitkan lebih dari 19.000 standar internasional,
⮚ Web: www.iso.org.
❖ ISO Guide 73:2009 tentang Manajemen Risiko - Kosakata

⮚ memberikan definisi dan istilah yang umum digunakan dalam Manajemen Risiko
❖ ISO 31004: 2013 tentang Manajemen Risiko - Panduan untuk penerapan ISO 31000
⮚ bagaimana cara menerapkan ISO 31000 di suatu organisasi
❖ ISO 31010: 2019 tentang Manajemen Risiko - Teknik penilaian risiko

⮚ panduan untuk memilih dan menerapkan teknik sistematis untuk penilaian risiko
PERUBAHAN MODEL SIKLUS ISO 31000
PERBEDAAN ISO 31000:2009 DAN ISO 31000:2018

Subyek ISO 31000:2009 ISO 31000:2018
1. Perubahan Model 3 Elemen utama, 3 Elemen utama,

Siklus Manajemen Elemen utama mulai dari klausul 3 Elemen utama mulai dari klausul 4
2. Struktur Klausul Total 5 elemen/klausul Total 6 elemen/klausul
3. Prinsip 11 Prinsip Manajemen Risiko 1 Tujuan (Risk management creates and protects
value menjadi creation and protection of value) dan
8 Prinsip
“part of decision making” dan “explicitly addresses
uncertainty” melebur ke Prinsip yang baru.
4. Jumlah Halaman 24 halaman 16 halaman
5. Lampiran Penjelasan Disertai Annex (informative), Tidak ada
Attributes of enhanced risk
management
6. Pustaka ISO Guide 73:2009 – Risk ISO/IEC 31010 Risk Management-Risk assessment
Management-Vocabulary dan ISO/IEC techniques
31010 Risk Management-Risk
assessment techniques
*Filosofi bahwa Manajemen Risiko adalah aspek yang tidak terpisahkan dari pengelolaan perubahan dan bentuk pengambilan keputusan lainnya.
HAL YANG BARU PADA ISO 31000:2018

❖ Model Manajemen Risiko
❖ Filosofi bahwa Manajemen Risiko adalah aspek yang tidak
terpisahkan dari pengelolaan perubahan dan bentuk pengambilan
keputusan lainnya.
❖ Review pada Prinsip Manajemen Risiko dengan kriteria mencapai
kesuksesan.
❖ Memberikan gambaran atas kepemimpinan dari manajemen tingkat
atas dan pengintegrasian Manajemen Risiko.
STANDAR ISO 31000:2019

❖ Standar internasional yang memberikan prinsip dan panduan
melakukan manajemen risiko yang efektif
❖ Pendekatan Generik:
⮚ tidak spesifik untuk industri atau sektor apa pun,
⮚ dapat diterapkan untuk semua jenis risiko (keuangan, teknologi, alam,
proyek),
⮚ dapat diterapkan untuk semua jenis organisasi.
❖ Penyajian standar secara singkat (hanya 16 halaman).

❖ Menyediakan dasar untuk membahas manajemen risiko dan melakukan
tinjauan kritis dari proses manajemen risiko organisasi.
LINGKUP STANDAR ISO 31000:2019

❖ Termasuk:
⮚ definisi dan istilah yang relevan dengan manajemen risiko,
⮚ seperangkat prinsip yang menginformasikan manajemen risiko
yang efektif,
⮚ rekomendasi untuk membangun kerangka kerja manajemen risiko,
⮚ rekomendasi untuk membangun proses manajemen risiko.
❖ Tidak termasuk:
⮚ instruksi/ panduan terperinci tentang cara mengelola risiko tertentu,
⮚ saran yang relevan dengan domain spesifik apa pun,
⮚ setiap elemen yang terkait dengan proses sertifikasi.
BEBERAPA KRITISI SAAT PENYUSUNAN REVISI STANDAR ISO 31000

❖ Komite Penasihat Keselamatan IEC menarik dukungannya dari
Working Group-ISO, dengan alasan bahwa:
⮚ risiko keselamatan merupakan suatu pengecualian dan harus IEC: Komisi
Elektroteknik
dikeluarkan maknanya dari proses manajemen risiko dengan Internasional
tujuan yang umum,
⮚ risiko apapun terhadap manusia “tidak untuk dapat
diterima”.
❖ Working Group-ISO berpendapat pada risiko:

⮚ sebagian besar aktivitas manusia menyebabkan beberapa
risiko keselamatan,
⮚ proses Manajemen Risiko yang seragam, akan bermanfaat
untuk mengelola risiko.
ISO 31000:2018
ELEMEN PANDUAN MANAJEMEN RISIKO
SKEMA ISO 31000:2018

TERDIRI DARI 3 ELEMEN:
1. Penciptaan dan perlindungan
nilai (Value Creation and
Protection) ini dalam Elemen
Prinsip (Principle).
2. Kepemimpinan dan komitmen
(Leadership and Commitment) ini
dalam Elemen Kerangka Kerja
(Framework).
3. Proses-proses dari menetapkan
Konteks, Lingkup & Kriteria,
identifikasi, analisis, evaluasi
hingga pencatatan dan
pelaporan ini masuk dalam
Elemen Proses (Process)
DEFINISI MANAJEMEN RISIKO

• 3.1 Risk : effect of uncertainty on objectives.
• Note 1 to entry: An effect is a deviation from the expected. It can be positive, negative or both, and can address,
• create or result in opportunities and threats.
• Note 2 to entry: Objectives can have different aspects and categories, and can be applied at different levels.
• Note 3 to entry: Risk is usually expressed in terms of risk sources (3.4), potential events (3.5), their consequences
(3.6) and their likelihood (3.7).
3.1 Risiko : efek ketidakpastian pada tujuan.
Catatan 1 untuk entri: Efek adalah penyimpangan dari yang diharapkan. Efek bisa positif, negatif atau
keduanya, dan dapat mengatasi, menciptakan atau menghasilkan peluang dan ancaman.
Catatan 2 untuk entri: Tujuan dapat memiliki aspek dan kategori yang berbeda, dan dapat diterapkan pada
tingkat yang berbeda.
Catatan 3 untuk entri: Risiko biasanya dinyatakan dalam sumber risiko (3.4), peristiwa potensial (3.5),
konsekuensinya (3.6) dan Likelihoodnya (3.7).
• ISO 9000:2015
3.7.9 Risk : effect of uncertainty

• 3.1 Risk : effect of uncertainty on objectives.
• Note 1 to entry: An effect is a deviation from the expected. It can be positive, negative or both, and can address,
• create or result in opportunities and threats.
• Note 2 to entry: Objectives can have different aspects and categories, and can be applied at different levels.
• Note 3 to entry: Risk is usually expressed in terms of risk sources (3.4), potential events (3.5), their consequences (3.6)
and their likelihood (3.7).
3.1 Risiko : efek ketidakpastian pada tujuan.
Catatan 1 untuk entri: Efek adalah penyimpangan dari yang diharapkan. Efek bisa positif, negatif atau
keduanya, dan dapat mengatasi, menciptakan atau menghasilkan peluang dan ancaman.
Catatan 2 untuk entri: Tujuan dapat memiliki aspek dan kategori yang berbeda, dan dapat diterapkan pada
tingkat yang berbeda.
Catatan 3 untuk entri: Risiko biasanya dinyatakan dalam sumber risiko (3.4), peristiwa potensial (3.5),
konsekuensinya (3.6) dan Likelihoodnya (3.7).
• 3.2 Risk management : coordinated activities to direct and control an organization with regard to risk (3.1).
• 3.2 Manajemen Risiko : kegiatan terkordinasi untuk mengarahkan dan mengendalikan organisasi
terkait dengan risiko (3.1).
OBJECTIVES
RISIKO
UNCERTAINT
deviasi Positif
SAAT INI OBJECTIVES

EKSPEKTASI PADA SAAT
deviasi Negatif AKAN DATANG
Y
UNCERTAINT
Y
Catatan:
*Uncertainty – ketidakpastian dari sejak saat ini hingga saat akan datang yang ditentukan, beserta ekspektasinya
ISO 9000:2015, ISO 14001:2015, ISO 45001:2018, ISO 19011:2018

Risk : Effect of uncertainty.
Note 1 to entry: An effect is a deviation from the expected – positive or negative.
Note 2 to entry: Uncertainty is the state, even partial, of deficiency of information related to, understanding or
knowledge of, an event, its consequence and likelihood.
AS/NZS 4360:1999
1.3.15 Risk : the chance of something happening that will have an impact upon objectives. It is measured in terms of consequences and likelihood.
• 3.3 Stakeholder : person or organization that can affect, be affected by, or perceive
themselves to be affected by a decision or activity.
• Note 1 to entry: The term “interested party” can be used as an alternative to “stakeholder”.
3.3 Pemangku Kepentingan : orang atau organisasi yang dapat mempengaruhi,

dipengaruhi oleh, atau menganggap diri mereka dipengaruhi oleh keputusan atau
aktivitas.
• Catatan 1 untuk entri: Istilah “Stakeholder" dapat digunakan sebagai alternatif
untuk “Pemangku Kepentingan".
• 3.4 Risk source : element which alone or in combination has the potential to give
rise to risk (3.1)
• 3.4 Sumber risiko : elemen yang sendiri atau kombinasi memiliki potensi untuk
menimbulkan risiko (3.1)

• 3.5 Event : occurrence or change of a particular set of circumstances.
• Note 1 to entry: An event can have one or more occurrences, and can have several causes and several
• consequences (3.6).
• Note 2 to entry: An event can also be something that is expected which does not happen, or something that is not
expected which does happen.
• Note 3 to entry: An event can be a risk source.
• 3.5 Peristiwa : terjadinya atau perubahan serangkaian keadaan tertentu.

• Catatan 1 untuk entri: Suatu peristiwa dapat berupa satu atau lebih kejadian, dan dapat memiliki
beberapa penyebab dan beberapa konsekuensi (3.6).
• Catatan 2 untuk entri: Suatu peristiwa juga bisa menjadi sesuatu yang diharapkan yang tidak terjadi,
atau sesuatu yang tidak diharapkan yang memang terjadi.
• Catatan 3 untuk entri: Suatu peristiwa bisa menjadi sumber risiko.

• 3.6 Consequence : outcome of an event (3.5) affecting objectives.
• Note 1 to entry: A consequence can be certain or uncertain and can have positive or negative direct or indirect
effects on objectives.
• Note 2 to entry: Consequences can be expressed qualitatively or quantitatively.
• Note 3 to entry: Any consequence can escalate through cascading and cumulative effects.
•
3.6 Konsekuensi: hasil dari suatu peristiwa (3.5) yang mempengaruhi tujuan.
• Catatan 1 untuk entri: Konsekuensi dapat pasti atau tidak pasti dan dapat memiliki efek positif atau
negatif langsung atau tidak langsung pada tujuan.
• Catatan 2 untuk entri: Konsekuensi dapat dinyatakan secara kualitatif atau kuantitatif.
• Catatan 3 untuk entri: Konsekuensi apapun dapat meningkat melalui efek bertingkat dan kumulatif.

• 3.7 Likelihood : chance of something happening.
• Note 1 to entry: In Risk Management (3.2) terminology, the word “likelihood” is used to refer to the chance of something
happening, whether defined, measured or determined objectively or subjectively, qualitatively or quantitatively, and
described using general terms or mathematically (such as a probability or a frequency over a given time period).
• Note 2 to entry: The English term “likelihood” does not have a direct equivalent in some languages; instead, the
equivalent of the term “probability” is often used. However, in English, “probability” is often narrowly interpreted as a
mathematical term. Therefore, in Risk Management terminology, “likelihood” is used with the intent that it should have
the same broad interpretation as the term “probability” has in many languages other than English.
•
3.7 Likelihood: kemungkinan sesuatu terjadi.
• Catatan 1 untuk entri: Dalam terminologi manajemen risiko (3.2), kata “Likelihood" digunakan untuk merujuk pada kemungkinan
sesuatu terjadi, apakah didefinisikan, diukur atau ditentukan secara obyektif atau subyektif, kualitatif atau kuantitatif, dan dijelaskan
menggunakan istilah umum atau secara matematis (seperti probabilitas atau frekuensi selama periode waktu tertentu).
• Catatan 2 untuk entri: Istilah bahasa Inggris “Likelihood" tidak memiliki padanan langsung dalam beberapa bahasa; alih-alih, ekivalen
dari istilah “probabilitas” sering digunakan. Namun, dalam bahasa Inggris, "probabilitas" sering ditafsirkan secara sempit sebagai
istilah matematika. Oleh karena itu, dalam terminologi Manajemen Risiko, “Likelihood" digunakan dengan maksud bahwa ia harus
memiliki interpretasi luas yang sama dengan istilah "probabilitas" sebagaimana dalam banyak bahasa selain bahasa Inggris.

• 3.8 Control : measure that maintains and/or modifies risk (3.1).
• Note 1 to entry: Controls include, but are not limited to, any process, policy, device, practice, or other conditions
and/or actions which maintain and/or modify risk.
• Note 2 to entry: Controls may not always exert the intended or assumed modifying effect.
•
3.8 Pengendalian : ukuran yang mempertahankan dan/ atau memodifikasi risiko (3.1).
• Catatan 1 untuk entri: Pengendalian mencakup, tetapi tidak terbatas pada, proses, kebijakan, perangkat,
praktik, atau kondisi dan/ atau tindakan lainnya yang mempertahankan dan/ atau memodifikasi risiko.
• Catatan 2 untuk entri: Pengendalian mungkin tidak selalu menggunakan efek modifikasi yang
dimaksudkan atau diasumsikan.
manfaat utama pelaksanaan penilaian risiko meliputi:
❖ pemahaman risiko dan dampak potensialnya pada objective;

❖ penyediaan informasi bagi pengambil keputusan;
❖ memberikan kontribusi terhadap pemahaman risiko, dalam rangka untuk membantu dalam pemilihan
opsi perlakuan;
❖ pengidentifikasian kontributor penting risiko dan tautan yang lemah dalam sistem dan organisasi;
❖ pembandingan risiko dalam sistem alternatif, teknologi atau pendekatan;
❖ pengomunikasian risiko dan ketidakpastian;
❖ membantu dengan penetapan prioritas;
❖ memberikan kontribusi terhadap pencegahan insiden berdasarkan investigasi paska insiden;
❖ pemilihan berbagai bentuk perlakuan risiko;
❖ pemenuhan persyaratan peraturan;
❖ penyediaan informasi yang akan membantu mengevaluasi apakah risiko sebaiknya diterima saat
diperbandingkan dengan kriteria yang telah ditetapkan;
❖ penilaian risiko bagi limbah akhir.
KLAUSUL MANAJEMEN RISIKO
Penciptaan dan perlindungan nilai

✔ Terintegrasi.
4. Prinsip ✔ Terstruktur dan komprehensif.
✔ Disesuaikan Kerangka Kerja dan Proses Manajemen Risiko .
Manajemen ✔ Inklusif.
✔
Risiko ✔
Dinamis
Informasi terbaik yang selalu tersedia,
✔ Faktor manusia dan budaya.
✔ Peningkatan berkelanjutan.
5.1 Umum (integrasi, desain, penerapan, evaluasi, dan peningkatan)

5.2 Kepemimpinan dan komitmen.
5. Kerangka Kerja 5.3 Integrasi.
Manajemen 5.4 Desain.
5.5 Penerapan.
Risiko 5.6 Evaluasi.
5.7 Peningkatan.
6.1 Umum.
6.2 Komunikasi dan konsultasi.
6. Proses 6.3 Ruang lingkup, konteks, dan kriteria.
Manajemen 6.4 Penilaian risiko.
6.5 Penanganan risiko.
Risiko 6.6 Memonitor dan meninjau risiko.
6.7 Pencatatan dan pelaporan.
4 PRINSIP MANAJEMEN RISIKO

TERINTEGRASI
Manajemen risiko
adalah bagian TERSTRUKTUR
integral dari DAN
semua kegiatan
organisasi. KOMPREHENSIF
berkontribusi untuk
konsisten dan hasil
yang sebanding
PENCIPTAAN &
DISESUAIKAN
PERLINDUNGA KERANGKA KERJA
N DAN PROSES
MANAJEMEN RISIKO
NILAI INKLUSIF konteks eksternal dan
Keterlibatan internal organisasi
pemangku terkait tujuannya
kepentingan yang
tepat dan tepat
waktu, untuk
persepsi dan
kepedulian
5.2 MANAJEMEN PUNCAK Menyesuaikan

dan
menerapkan Menyatakan
semua kebijakan yang
komponen menetapkan
kerangka kerja pendekatan,
rencana, atau
tindakan tindakan
Manajemen Risiko
MANAJEME Memastikan
N sumber daya yang
diperlukan
PUNCAK dialokasikan
untuk mengelola
Menugaskan
risiko
otoritas, tanggung
jawab dan
akuntabilitas pada
* Top management is accountable for managing risk while oversight bodies are
accountable for overseeing risk management. Oversight bodies are often
tingkat yang sesuai
expected or required to: dalam organisasi
5.2 DEWAN PENGAWAS Memastikan

bahwa risiko
dipertimbangkan
secara memadai Memahami risiko
ketika menetapkan yang dihadapi
Tujuan organisasi organisasi dalam
mengejar
Tujuannya
Memastikan
DEWAN bahwa SMR
PENGAWA diterapkan dan
S beroperasi secara
efektif
Memastikan Memastikan
bahwa informasi risiko-risiko
risiko dan sesuai Konteks
* Top management is accountable for managing risk while
oversight bodies are accountable for overseeing risk
manajemennya Organisasi
management. Oversight bodies are often expected or required dikomunikasikan
to:
dengan benar
5.3 INTEGRASI MANAJEMEN RISIKO
Pemahaman struktur integrasi dan konteks organisasi
Tujuan, sasaran, dan kompleksitas organisasi
Menentukan akuntabilitas dan peran pengawasan.

Untuk setiap personil.
Proses dinamis dan berulang, dan disesuaikan kebutuhan dan budaya organisasi.
Terintegrasi di seluruh organisasi.

5.4 DESAIN MANAJEMEN RISIKO

• Berdasarkan konteks organisasi (Internal & Eksternal),
5.4.1 • Menyusun kerangka kerja
• Menetapkan komitmen organisasi terhadap Manajemen Risiko
5.4.2
• Menugaskan peran, wewenang, tanggung jawab, dan akuntabilitas
5.4.3
• Mengalokasikan sumber daya
5.4.4
• Mendukung melalui komunikasi dan konsultasi Organisasi
5.4.5
5.4.1 KONTEKS ORGANISASI
- Budaya - Internasional
KONTEKS ORGANISASI - Sosial - Nasional
(Konteks, Lingkup proses Manajemen Risiko - Politik - Regional
saling terkait dengan Tujuan organisasi - Hukum - Lokal
secara keseluruhan) - Perundangan
- Keuangan
- Teknologi
Konteks Internal
- Ekonomi
- Visi-Misi-Nilai - Lingkungan
Konteks Eksternal
- Struktur Organisasi, Tata
Kelola, Job Deskripsi Key Drivers, Trend yang berdampak pada Tujuan
- Strategi, Kebijakan & Sasaran Eksternal
- Budaya & Kapabilitas
- Standar, Model & guidelines
Hubungan dg Stakeholder Eksternal, Persepsi,
- Data, sistem informasi & Nilai, Kebutuhan & Harapan
informasi
- Nilai, persepsi internal
- Hubungan kontrak Hubungan kontraktual & komitmen
- Interdependensi & interkoneksi
Kompleksitas jaringan & kemandirian
5.3 INTEGRASI MANAJEMEN RISIKO
Pemahaman struktur integrasi dan Konteks organisasi
Struktur integrasi tergantung tujuan, sasaran, dan kompleksitas organisasi
Menentukan akuntabilitas dan peran pengawasan. Setiap personil organisasi memiliki

tanggung jawab untuk mengelola risiko.
Proses dinamis dan berulang, dan disesuaikan kebutuhan dan budaya organisasi.
Bagian dari, dan tidak terpisah dari, bidang organisasi, tata kelola, kepemimpinan dan
komitmen, strategi, tujuan dan operasional.
5.4 DESAIN MANAJEMEN RISIKO
• Berdasarkan konteks organisasi (Internal & Eksternal), menyusun kerangka kerja

5.4.1
• Menetapkan komitmen organisasi terhadap Manajemen Risiko

5.4.2
• Menugaskan peran, wewenang, tanggung jawab, dan akuntabilitas

5.4.3
• Mengalokasikan sumber daya untuk mendukung aktivitas Manajemen Risiko

5.4.4
• Mendukung kerangka kerja melalui komunikasi dan konsultasi Organisasi

5.4.5
5.4.1 KONTEKS ORGANISASI
KONTEKS ORGANISASI - Sosial - Nasional
(Konteks, Lingkup proses Manajemen Risiko - Politik - Regional
secara keseluruhan) - Perundangan
- Keuangan
- Teknologi
Konteks Internal
- Ekonomi
- Visi-Misi-Nilai - Lingkungan
Konteks Eksternal
- Struktur Organisasi, Tata Kelola, Job
Deskripsi Key Drivers, Trend yang
- Strategi, Kebijakan & Sasaran berdampak pada Tujuan
- Budaya & Kapabilitas Eksternal
- Standar, Model & guidelines
- Data, sistem informasi & informasi
- Nilai, persepsi internal Hubungan dg Stakeholder
- Hubungan kontrak Eksternal, Persepsi, Nilai,
- Interdependensi & interkoneksi Kebutuhan & Harapan
Hubungan kontraktual &

komitmen
Kompleksitas jaringan &

kemandirian
5.5 PENERAPAN MANAJEMEN RISIKO

Mengembangkan rencana yang sesuai termasuk waktu dan sumber daya.
Mengidentifikasi dimana, kapan dan bagaimana berbagai jenis keputusan

dibuat di seluruh organisasi, dan oleh siapa.
Memodifikasi proses pengambilan keputusan yang berlaku, jika perlu.
Memastikan bahwa pengaturan organisasi untuk mengelola risiko dipahami

dengan jelas dan ditingkatkan.
*memungkinkan organisasi untuk secara eksplisit mengatasi ketidakpastian dalam pengambilan keputusan.
5.6 EVALUASI MANAJEMEN RISIKO
secara berkala mengukur kinerja kerangka kerja Manajemen

Risiko terhadap tujuannya, realisasi rencana, indikator dan
perilaku yang diharapkan.
menentukan apakah Manajemen Risiko masih cocok untuk

mendukung pencapaian tujuan organisasi.
5.7 PENINGKATAN MANAJEMEN RISIKO
Organisasi harus terus memantau dan mengadaptasi kerangka kerja

Manajemen Risiko mengantisipasi perubahan eksternal dan internal.
Dengan demikian, organisasi dapat meningkatkan nilainya.
• 5.7.1 ADAPTASI
Organisasi harus terus meningkatkan kesesuaian, kecukupan, dan

efektivitas risiko kerangka kerja manajemen dengan cara proses
Manajemen Risiko terintegrasi.
• 5.7.2 PENINGKATAN BERKESINAMBUNGAN
6.1 UMUM
Proses Manajemen Risiko

melibatkan penerapan
kebijakan, prosedur, dan
praktek yang sistematis
terhadap kegiatan
komunikasi dan
konsultasi, menetapkan
konteks dan menilai,
memperlakukan,
memantau, meninjau,
mencatat, dan
melaporkan risiko.
6.2 KOMUNIKASI DAN KONSULTASI
Menyatukan bidang keahlian yang berbeda untuk setiap langkah proses

manajemen risiko;
Memastikan bahwa pandangan yang berbeda dipertimbangkan dengan

tepat ketika mendefinisikan kriteria risiko dan kapan mengevaluasi risiko
Memberikan informasi yang memadai untuk memfasilitasi pengawasan

risiko dan pengambilan keputusan
Membangun rasa inklusif dan kepemilikan diantara yang terkena dampak

risiko.
* Mendiskusikan Risiko dan mendapatkan masukan dari stakeholder

6.3 LINGKUP, KONTEKS & KRITERIA

Lingkup KONTEKS ORGANISASI - Sosial - Nasional
(Strategis, Operasional, Program, Proyek, atau kegiatan lainnya) (Konteks, Lingkup proses Manajemen Risiko - Politik - Regional
- tujuan dan keputusan yang perlu dibuat; secara keseluruhan) - Perundangan
- hasil yang diharapkan dari langkah-langkah
- Keuangan
yang akan diambil dalam proses; Konteks Internal - Teknologi
- waktu, lokasi, inklusi dan pengecualian khusus;
- Visi-Misi-Nilai - Ekonomi
- alat dan teknik penilaian risiko yang tepat;
- Struktur Organisasi, Tata Kelola, Job - Lingkungan
- sumber daya yang dibutuhkan, tanggung jawab
Konteks Eksternal
dan catatan untuk disimpan; Deskripsi
- hubungan dengan proyek lain, proses dan - Strategi, Kebijakan & Sasaran Key Drivers, Trend yang
kegiatan - Budaya & Kapabilitas berdampak pada Tujuan
Kriteria - Standar, Model & guidelines Eksternal
- Data, sistem informasi & informasi
Pertimbangan kriteria risiko :
- Nilai, persepsi internal
- sifat dan jenis ketidakpastian yang dapat Hubungan dg Stakeholder
- Hubungan kontrak
mempengaruhi hasil dan tujuan Eksternal, Persepsi, Nilai,
- Interdependensi & interkoneksi
- bagaimana konsekuensi dan kemungkinan Kebutuhan & Harapan
ditentukan dan diukur
- faktor terkait waktu
Hubungan kontraktual &
- konsistensi dalam penggunaan pengukuran Lingkup, Konteks, komitmen
- bagaimana tingkat risiko ditentukan
Kriteria
- Bagaimana kombinasi dan urutan berbagai risiko
akan diperhitungkan Kompleksitas jaringan &
- kapasitas organisasi. kemandirian
6.4 Penilaian risiko

•sumber risiko nyata dan tidak Evaluasi risiko
Analisis risiko harus
berwujud; membandingkan hasil
•penyebab dan peristiwa;
mempertimbang-kan
analisis risiko dengan
6.4.4 EVALUASI RISIKO

•ancaman dan peluang;
faktor seperti: kriteria risiko untuk
Penilaian
6.4.3 ANALISIS RISIKO

6.4.1 UMUM
6.4.2 IDENTIFIKASI RISIKO

•kerentanan dan kemampuan; 1. kemungkinan mengambil keputusan.
Risiko mencakup kejadian dan
identifikasi risiko, •perubahan dalam konteks Keputusan bisa:
eksternal dan internal; konsekuensi; 1. jangan melakukan
analisis risiko dan
evaluasi risiko. •kemampuan dan kemampuan; 2. sifat dan besarnya apa-apa lagi;
•perubahan dalam konteks konsekuensi; 2. pertimbangkan opsi
eksternal dan internal; 3. kompleksitas dan penanganan risiko;
•indikator risiko yang muncul; konektivitas; 3. melakukan analisis
•sifat dan nilai aset dan sumber lebih lanjut untuk
4. faktor terkait
daya; lebih memahami
waktu dan risiko;
•konsekuensi dan dampaknya volatilitas;
terhadap tujuan; 4. Memelihara
5. efektivitas pengendalian yang
•keterbatasan pengetahuan dan
pengendalian; ada;
kehandalan informasi;
•faktor terkait waktu; 6. tingkat sensitivitas 5. mempertimbangkan
dan kepercayaan. kembali tujuan.
• bias, asumsi dan kepercayaan
dari yang terlibat
ALUR IDENTIFIKASI RISIKO
CONTOH KUESIONER INDIKASI RISIKO
6.5 PENANGANAN RISIKO
Opsi untuk menangani

risiko dapat melibatkan Informasi yang
Penanganan risiko
6.5.2 Pemilihan opsi

satu atau lebih hal
6.5.1 Umum
disediakan dalam
penanganan risiko
dan menerapkan rencana

penanganan risiko
6.5.3 Mempersiapkan
melibatkan proses
berulang dari: berikut ini: rencana penanganan
⮚ merumuskan dan 1.menghindari risiko harus mencakup:
memilih opsi tidak memulai atau 1.dasar pemikiran
penanganan risiko; melanjutkan pemilihan opsi
⮚ merencanakan dan kegiatan yang penanganan,
menerapkan menimbulkan risiko;
penanganan risiko; 2.Personil yang
2.mengambil atau menyetujui dan
⮚ menilai efektivitas
penanganan; meningkatkan risiko menerapkan
⮚ memutuskan apakah
untuk mengejar rencana;
risiko yang tersisa peluang; 3.tindakan yang
dapat diterima; 3.menghapus sumber diusulkan;
⮚ jika tidak dapat risiko; 4.sumber daya yang
diterima, mengambil 4.mengubah
penanganan lebih dibutuhkan,
lanjut.
kemungkinan; 5.pelaporan dan
5.mengubah pemantauan
6.6 PEMANTAUAN DAN PENINJAUAN RISIKO
• untuk memastikan dan meningkatkan mutu dan efektivitas

desain proses, implementasi dan hasil.
• menjadi bagian yang direncanakan dari proses manajemen
risiko, dengan tanggung jawab yang jelas.
• dilakukan di semua tahap proses.
• mencakup perencanaan, pengumpulan, dan analisis
informasi, pencatatan hasil, dan pemberian umpan balik.
• Hasil pemantauan dan tinjauan harus dimasukkan ke seluruh
organisasi manajemen kinerja, pengukuran dan kegiatan
pelaporan.
6.7 PENCATATAN DAN PELAPORAN RISIKO
Keputusan mengenai
pembuatan, penyimpanan dan
penanganan informasi yang Faktor-faktor yang perlu
Pencatatan dan pelaporan
bertujuan untuk: terdokumentasi harus dipertimbangkan untuk
mempertimbangkan, tetapi tidak pelaporan termasuk, tetapi
1. mengomunikasikan
kegiatan dan hasil terbatas pada: - penggunaannya, tidak terbatas pada:
manajemen risiko di sensitivitas informasi dan 1. pemangku kepentingan yang
seluruh organisasi; konteks eksternal dan internal. berbeda dan kebutuhan
2. memberikan informasi serta persyaratan informasi
untuk pengambilan spesifik mereka;
keputusan; Pelaporan adalah bagian integral
dari tata kelola organisasi dan 2. biaya, frekuensi dan
3. meningkatkan kegiatan ketepatan waktu pelaporan;
manajemen risiko; harus meningkatkan mutu dialog
dengan pemangku kepentingan 3. metode pelaporan;
4. membantu interaksi
dan mendukung Manajemen 4. relevansi informasi dengan
dengan pemangku
kepentingan, termasuk Puncak dan Badan Pengawas tujuan organisasi dan
mereka yang memiliki dalam memenuhi tanggung pengambilan keputusan.
tanggung jawab dan jawab mereka.
akuntabilitas untuk
kegiatan manajemen risiko.
ISO 31000:2018
CONTOH PENILAIAN RISIKO
RISIKO
EKSTERNAL
RISIKO
INHEREN
RISIKO
INTERNAL
EKSTERNAL
RISIKO
INTERNAL
RISIKO
PENILAIAN RISIKO RISK REGISTER

Akibat/ Potensi Existing Control/
Score/ Nilai Inheren Risk Score/Nilai Residual Risk
Kerugian Pengendalian yang ada
Risk Risk Event/ Risk
Kegiatan/ Risk Cause/ Unit
Category Kode Uraian Owner/ Level of Level of
No Tujuan Proses Penyebab Sumber Kerja Likelihood Memada Likelihoo
/Kelomp Risiko Peristiwa Pemilik Risk/ Ada/ Belum Impact/ Risk/
Bisnis Risiko Risiko Deskripsi/ Terkait / Impact/ i/ Belum d/
ok Risiko Risiko Risiko Tingkat belum Dijalanka Dampak Tingkat
Uraian Probabilit Dampak Memada Probabilit
Risiko Ada n 100% (-e-) Risiko
as (a) i as (d)
(c=axb) (f=dxe)
Tim
Pengadaan
Meningkat
tidak Pelayanan
nya Peralatan
Pengadaan memiliki institusi tidak Direktor Belum Belum
kemampu Operasio pelayanan Belum
1 peralatan C1 kompetensi internal maksimal/ at/ - 4 5 20 memada Dijalanka 4 5 20
an nal tdak bisa ada
pelayanan yang keluhan Institusi i n 100%
pelayanan digunakan
memadai masyarakat
institusi
terkait alat
pelayanan
Pelatihan
Kepala unit
yang
tidak
dilakukan
Meningkat kompeten Pengeluaran
tidak
nya mengidentifi perusahaan
berdampak Direktor Belum
2 kemampu Pelatihan kasi masalah meningkat/ 3 4 12 Ada memada - 3 4 12
SDM D1 langsung internal at/ HRD
an Karyawan unitnya yang pelatihan tidak
kepada Institusi i
pelayanan solusinya efektif/ keluhan
penyelesaian
institusi dengan manajemen
masalah
pelatihan
unit/
karyawan
perusahaan
Pengisian Formulir Daftar Risiko/ Risk Register
KEMUNGKINAN/PROBABILITAS TERJADINYA/ LIKELIHOOD (L)
Nilai Kriteria Likelihood Perkiraan Skala Waktu Kemungkinan Terjadi

Likelihood
1 Sangat Rendah/ rare Hampir tidak pernah terjadi, terjadi 1 kali dalam
setahun.
Mungkin terjadi, terjadi antara 2 – 3 kali dalam
2 Rendah/ unlikely setahun.
3 Sedang/ moderat Jarang terjadi, terjadi antara 4 – 6 kali dalam setahun.
4 Tinggi /likely Sering terjadi, terjadi antara 7 – 11 kali dalam setahun.
Hampir pasti terjadi, terjadi lebih dari 11 kali dalam

5 Sangat Tinggi/ almost certain setahun.
Pengisian Formulir Daftar Risiko/Risk Register

• Dampak/Konsekwensi/Impact/Severity :
• Impact adalah suatu pertimbangan penilaian kualitatif dan kuantitatif terhadap bersarnya kerugian
(Severity) yang akan diderita oleh Unit Kerja/Departemen/Direktorat/ Perusahaan atas suatu
kejadian/Risk Event, baik secara finansial atau non-finansial. Berikut adalah contoh kriteria penilaian
Impact:
1 2 3 4 5
Kriteria Penilaian Sangat Rendah
Rendah (Minor)
Sedang
Tinggi (Major)
Sangat Tinggi
(Insignificant) (Moderate) (Catastrophic)
Realisasi Kinerja
Pencapaian IKU Pencapaian IKU Pencapaian IKU Pencapaian IKU
Capaian Kinerja Pencapaian IKU
>80% - 100% >60% - 80% >40% - 60% >40%
Tujuan >100%
Strategis
Operasional &
Tidak berfungsi Tidak berfungsi Tidak berfungsi Tidak berfungsi Tidak berfungsi
Teknologi
selama 1 jam selama 3 jam selama 1 hari selama 2 hari selama > 3 hari
Informasi
Proses hukum
Ada tuntutan
Tidak ada dapat Adanya litigasi
Hukum & hukum namun Vonis bersalah
tuntutan diselesaikan dan class
Peraturan belum/tidak oleh Pengadilan
hukum secara action
terbukti
musyawarah
Pengisian Formulir Daftar Risiko/ Risk Register
• Untuk setiap risiko yang masuk

dalam atribut Risiko Tinggi dan
Sangat Tinggi serta yang
memiliki Impact Signifikan
atau Probabilitas/ Likelihood/
kejadian berulang yang tinggi
maka perlu dievaluasi secara
• khusus untuk dibuatkan
prioritas penanganan risiko
tersebut.
RISK MITIGATION PLAN

RISK MITIGATION
PLAN
Target Score/Level Risiko
Jangka
Risk
Risk Event/ Sumber Waktu/
Kode Category/Ke Kelompok Sumber Respon Deskripsi Tindakan Level of
No Uraian PIC Daya yang Target Uraian Target
Risiko lompok Penyebab Risiko Risiko Risiko Mitigasi
Peristiwa Risiko Dibutuhkan penyelesai Likelihood/ Impact/ Risk/
Risiko Probabilita Tingkat
an Dampak (b)
s (a) Risiko
(c=axb))
Menyusun SOP Seluruh

Tim Pengadaan 2 orang,
Pengangkatan Tim Manajeme peralatan
Peralatan tidak memiliki dukungan
Pengadaan berdasar n pelayanan
1 C1 Operasional pelayanan tidak kompetensi yang internal Reduksi narasumbe Juli 2020 1 2 2
kompetensi terkait Representat utama dapat
bisa digunakan memadai terkait r internal
peralatan pelayananan if dioperasikan
alat pelayanan terkait
utama dengan baik.
Pelatihan yang
Kepala unit tidak
dilakukan tidak
kompeten
berdampak Seluruh kepala
mengidentifikasi Asesmen kepala unit,
langsung Training unit dan setiap
2 D1 SDM masalah unitnya internal Reduksi Training TNA untuk HRD Juni 2020 1 2 2
kepada Provider promosi
yang solusinya para kepala unit
penyelesaian jabatan
dengan pelatihan
masalah unit/
karyawan
perusahaan
OBJECTIVES/ TUJUAN
PENILAIAN RISIKO
RISK REGISTER
Akibat/ Potensi Existing Control/
Score/ Nilai Inheren Risk Score/Nilai Residual Risk
Kerugian Pengendalian yang ada
Risk Risk Event/ Risk
Kegiatan/ Risk Cause/ Unit Level of Level of
Category Kode Uraian Owner/
No Tujuan Proses Penyebab Sumber Kerja Likelihoo Risk/ Ada/
Memada
Belum
Likelihoo
Impact/ Risk/
/Kelomp Risiko Peristiwa Deskripsi/ Pemilik d/ Impact/ i/ Belum d/
Bisnis Risiko Risiko Terkait Tingkat belum Dijalanka Dampak Tingkat
ok Risiko Risiko Uraian Risiko Probabilit Dampak Memada Probabilit
Risiko Ada n 100% (-e-) Risiko
as (a) i as (d)
(c=axb) (f=dxe)
Tim
Pengadaan
Meningkat
tidak Pelayanan
nya Peralatan
Pengadaan memiliki institusi tidak Direktor Belum Belum
kemampu Operasio pelayanan Belum
1 peralatan C1 kompetensi internal maksimal/ at/ - 4 5 20 memada Dijalanka 4 5 20
an nal tdak bisa ada
pelayanan yang keluhan Institusi i n 100%
pelayanan digunakan
memadai masyarakat
institusi
terkait alat
pelayanan
Pelatihan
Kepala unit
yang
tidak
dilakukan Pengeluaran
Meningkat kompeten
tidak perusahaan
nya mengidentifi Belum
berdampak meningkat/ Direktor
kemampu Pelatihan kasi masalah
2 SDM D1 langsung internal pelatihan tidak at/ HRD 3 4 12 Ada memada - 3 4 12
an Karyawan unitnya yang i
kepada efektif/ Institusi
pelayanan solusinya
penyelesaian keluhan
institusi dengan
masalah manajemen
pelatihan
unit/
karyawan
perusahaan
A. Tujuan : merupakan sasaran strategis Unit Kerja/Departemen/Direktorat/

Perusahaan.
B. Kegiatan/ Proses Bisnis : kegiatan yang berkontribusi menjadi penyebab
tercapainya Tujuan.
C. Risk Category/ Kelompok Risiko :
1. Risiko Strategis : Risiko yang berhubungan dengan rencana strategis
dan bisnis organisasi yang dapat mempengaruhi keberlangsungan
organisasi. Khusus Risiko Strategis dapat diidentifikasi dengan
pendekatan Top down.
2. Risiko Keuangan : Risiko yang disebabkan oleh perencanaan,
pertanggungjawaban, pelaporan keuangan yang menyimpang dari
peraturan perundang-undangan.
3. Risiko Operasional dan Teknologi Informasi : Risiko yang disebabkan

oleh tidak memadainya proses internal, sistem, teknologi, karyawan
dan faktor eksternal.
4. Risiko SDM : Risiko yang disebabkan oleh kesalahan karyawan/
pejabat/ mitra kerja, dan tidak kompetennya SDM.
5. Risiko Hukum dan Peraturan : Risiko yang terjadi akibat
ketidakmampuan Top Manajemen/pejabat dalam mengelola
munculnya permasalahan hukum dan/atau peraturan perundang-
undangan.
6. Risiko Reputasi : Risiko yang disebabkan oleh publikasi negatif dan
persepsi negatif terhadap Unit Kerja/Departemen/Direktorat/
Perusahaan.

7. Risiko Keselamatan dan Kesehatan Kerja : Risiko yang berhubungan dengan
keselamatan karyawan, kesehatan dan keamanan lingkungan hidup.
8. Risiko Lingkungan : Risiko yang berhubungan dengan kepedulian terhadap
lingkungan sekitar perusahaan/ pencegahan pencemaran, perusakan
lingkungan.
9. Risiko Aset : Risiko yang disebabkan oleh kehilangan nilai atas aset berwujud
dan aset tidak berwujud.
10. Risiko Fraud : Risiko yang disebabkan oleh tindakan kecurangan yang
dilakukan oleh karyawan.
11. Risiko Kinerja : Risiko yang berhubungan dengan tidak tercapainya
tujuan/sasaran Unit Kerja/Departemen/Direktorat/ Perusahaan secara efektif,
efisien dan ekonomis.
D. Kode Risiko : nomor urut risiko per Tujuan. 1 Tujuan dapat mempunyai lebih dari 1
risiko.
E. Risk Event : peristiwa/ kejadian atau potensi kejadian yang menghambat pencapaian
Tujuan organisasi/ perusahaan.
F. Risk Cause : penyebab risiko dapat berupa sistem, teknologi, manusia,

material, proses internal, dan/atau proses eksternal.
G. Sumber Risiko : sumber dari Risk Cause, dapat dari internal atau eksternal.
H. Deskripsi/ Uraian Akibat/ Potensi Kerugian : peristiwa yang merupakan
akibat adanya Risk Event. Apabila ada nilai kerugian materi akibat/ potensi
kerugian, agar ditulis berapa nilai kerugiannya.
I. Risk Owner (Kepala-Manager-Direktur Unit
Kerja/Departemen/Direktorat/ Perusahaan): Pihak yang bertanggung
jawab untuk mengidentifikasi dan mengendalikan suatu risiko yang
bersifat inheren/melekat pada kegiatan/proses bisnis yang bersangkutan.
J. Nama Unit Kerja/ Departemen terkait : merupakan Unit Kerja/

Departemen yang berkaitan dengan adanya Risk Event dan Risk Cause,
yang berada di luar Risk Owner.
K. Inheren Risk : risiko yang melekat pada suatu kegiatan/bisnis proses
(tanpa memperhitungkan kontrol/pengendalian internal yang dimiliki).
L. Likelihood/ Probabilitas : Likelihood adalah suatu penilaian Semi
Kuantitatif terhadap kemungkinan terjadinya suatu risiko/ Risk Event.
Tingkat kemungkinan sebuah risiko terjadi dibandingkan dengan suatu
rangkaian aktivitas atau waktu/periode tertentu.
KEMUNGKINAN/PROBABILITAS TERJADINYA/ LIKELIHOOD (L)
Nilai Perkiraan Skala Waktu

Kriteria Likelihood
Likelihood Kemungkinan Terjadi
Hampir tidak pernah terjadi, terjadi
1 Sangat Rendah/ rare
1 kali dalam setahun.
Mungkin terjadi, terjadi antara 2 – 3
2 Rendah/ unlikely
kali dalam setahun.
Jarang terjadi, terjadi antara 4 – 6
3 Sedang/ moderat
kali dalam setahun.
Sering terjadi, terjadi antara 7 – 11
4 Tinggi /likely
kali dalam setahun.
Hampir pasti terjadi, terjadi lebih
5 Sangat Tinggi/ almost certain
dari 11 kali dalam setahun.
ISO 31010:2009
TEKNIK PENILAIAN RISIKO
PENERAPAN SECARA KONTRAKTUAL
ISO 31000
SERTIFIKASI ISO 31000 SECARA “KONTRAKTUAL”
ISO 31000:2018
Contoh-contoh penerapan
MANFAAT UTAMA PELAKSANAAN PENILAIAN RISIKO
❖pemahaman risiko dan dampak potensialnya pada objective;

❖penyediaan informasi bagi pengambil keputusan;
❖memberikan kontribusi terhadap pemahaman risiko, dalam
rangka untuk membantu dalam pemilihan opsi perlakuan;
❖pengidentifikasian kontributor penting risiko dan tautan yang
lemah dalam sistem dan organisasi;
❖pembandingan risiko dalam sistem alternatif, teknologi atau
pendekatan;
❖pengomunikasian risiko dan ketidakpastian;
MANFAAT UTAMA PELAKSANAAN PENILAIAN RISIKO
❖membantu dengan penetapan prioritas;

❖memberikan kontribusi terhadap pencegahan insiden
berdasarkan investigasi paska insiden;
❖pemilihan berbagai bentuk perlakuan risiko;
❖pemenuhan persyaratan peraturan;
❖penyediaan informasi yang akan membantu mengevaluasi
apakah risiko sebaiknya diterima saat diperbandingkan dengan
kriteria yang telah ditetapkan;
❖penilaian risiko residual akhir.
INTRODUCTION
COSO 10 FRAMEWORK
Sumber : ERM, COSO 2019, Committee of Sponsoring Organizations of the Treadway 124
1. Membuat Struktur Dokumen Baru
• Menggunakan contoh focused call-out (seruan terfokus) untuk

menekankan poin-poin utama (> 30)
• Mengikuti model bisnis versus proses manajemen risiko yang
terisolasi
Sumber : ERM, COSO 2019, Committee of Sponsoring Organizations of the Treadway
2. Memperkenalkan Prinsip
20 Prinsip yang dikelompokkan dalam 5 Komponen

3. Incorporates New Graphics ?
Grafik memiliki pita yang lebih kuat

4. Fokus pada Integrasi
• Mengintegrasikan ERM dengan hasil praktik bisnis

• informasi yang lebih baik yang mendukung peningkatan
• pengambilan keputusan dan mengarah pada peningkatan kinerja
• Membantu organisasi untuk:
– Antisipasi risiko lebih awal atau lebih eksplisit, dengan membuka lebih
banyak pilihan untuk mengelola risiko
– Identifikasi dan kejar peluang yang ada dan yang baru
– Menanggapi penyimpangan dalam kinerja dengan lebih cepat dan konsisten
– Kembangkan dan laporkan pandangan portofolio risiko yang lebih
komprehensif dan konsisten
– Meningkatkan kolaborasi, kepercayaan, dan berbagi informasi

5. Penekanan Nilai (Emphasis Value)
• Meningkatkan fokus pada nilai - bagaimana entitas

• menciptakan, melestarikan, dan mewujudkan nilai
• Menanamkan nilai di seluruh kerangka kerja, sebagaimana
dibuktikan dengan:
–Mengutamakan definisi inti dari ERM

- Diskusi yang ekstensif tentang prinsip-prinsip
–Kaitannya dengan selera risiko (risk appetite)
–Fokus pada kemampuan untuk mengelola risiko ke tingkat
yang dapat diterima (desired state)
6. Links to strategy ?
Eksplorasi Strategi dari 3 perspektif berbeda :

1. Kemungkinan strategi dan sasaran bisnis tidak sejalan dengan
misi, visi dan nilai
2. Implikasi dari pemilihan strategi
3. Risiko untuk mengeksekusi strategi
7. Links to Performance
• Memungkinkan pencapaian strategi dengan secara aktif

mengelola risiko dan kinerja
• Berfokus pada bagaimana risiko menjadi bagian
integral kinerja dengan:
–Menjelajahi bagaimana praktik manajemen risiko
perusahaan mendukung identifikasi dan penilaian risiko
yang memengaruhi kinerja
–Membahas toleransi untuk variasi kinerja
• Mengelola risiko dalam konteks pencapaian strategi
dan tujuan bisnis - bukan sebagai risiko individu
7. Links to Performance
Memperkenalkan penggambaran
baru yang disebut sebagai profil
risiko
• Menggabungkan:
- Risiko
–Kinerja
- Selera Risiko (Risk Appetite)
–Kapasitas risiko
• Menawarkan pandangan yang
komprehensif terhadap risiko dan
memungkinkan pengambilan
keputusan yang lebih sadar risiko
• Kerangka tersebut memberikan
gambaran lengkap tentang
bagaimana membangun profil
risiko dalam lampiran
8. Recognizes Importance of Culture
• Mengatasi fokus pertumbuhan, perhatian dan Pentingnya

budaya dalam ERM
• Mempengaruhi semua aspek ERM
• Mengeksplorasi budaya dalam konteks yang lebih luas dari
keseluruhan inti
Menghindari Risiko
• Menggambarkan perilaku budaya dalam spektrum risiko
• Menggali kemungkinan efek pada budaya pengambilan

keputusan
9. Focused on Decision Making
• Menjelajahi bagaimana
ERM mendorong
pengambilan keputusan
yang sadar risiko
• Menyoroti bagaimana
kesadaran risiko
mengoptimalkan dan
menyelaraskan keputusan
yang berdampak pada
kinerja
• Menggali bagaimana
Sumber : ERM, COSO 2019, Committee of Sponsoring keputusan
Organizations ofsadar risiko
the Treadway
10. Built link to Internal Control
Dokumen tersebut tidak

menggantikan Pengendalian
Internal - Framework terintegrasi
• Kedua kerangka tersebut
berbeda dan saling melengkapi
• Keduanya menggunakan
komponen dan struktur prinsip
• Aspek pengendalian internal
yang umum pada ERM tidak
terulang
• Beberapa aspek pengendalian
internal dikembangkan lebih
lanjut dalam hal ini
136
RISK ASSESSMENT TECHNIQUES
ISO 31010
Techniques
Techniques
Techniques
Techniques
Techniques
Techniques
How Measure Risk (Quantitative or
Qualitative)
Techniques for Evaluating the Significance
of Risk
of Risk
of Risk
Risk Treatment Options
Mencegah dengan memutuskan untuk tidak memulai atau

melanjutkan aktivitas yang berisiko
Ambil atau tingkatkan risiko untuk mendapatkan
peluang
Menghilangkan sumber
Ubah Likelihood
Ubah Dampak
Berbagi
Ambil dengan keputusan terinformasi
Reference :
1.ISO 31000:2018
2.ISO 31010:2019 Risk Assessment
Technique
3.COSO, ERM, 2019
4.FMEA 1st Edition AIAG - VDA
5.ARP Supply Chain Risk
Management
Thank
You

Risk Management Guidelines ISO 31000 2018 - 28 June 2023 - Handout

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Risk Management Guidelines ISO 31000 2018 - 28 June 2023 - Handout

Uploaded by

Copyright:

Available Formats

RISK

Webinar LPPI-Bank BTPN diikuti oleh 500-

In MS, Risk Management is

Coordinated Activities to direct and control an organization

Coordinated Activities to direct and control an organization

The context of Enterprise Risk Management

Enterprise Risk Management

Business Financial Hazard

Compliance Liquidity Legal Behavioral

Kita hidup di dunia yang terus berubah

1.Apa yang akan terjadi berikutnya?

But how an organization

Risk management is about….

“If you knew what you know now in

Risiko adalah bagian penting dalam

SETIAP PERUSAHAAN MENGINGINKAN TETAP EKSIS DAN TERUS

PROFIT & SEJAHTERA

ISO 31000 memberikan

ISO 31000 berlaku untuk

ISO 31000 membantu

Tujuan utama : Mengembangkan budaya

Membantu melihat peluang positif dan dampak negatif

The focus is on the

• Manajemen Risiko mencakup penerapan metode logis

Penilaian risiko berupaya untuk menjawab pertanyaan-pertanyaan

SEJARAH SINGKAT PERKEMBANGAN STANDAR MANAJEMEN RISIKO

LATAR BELAKANG PENGEMBANGAN STANDAR ISO 31000

❖ Standar Manajemen Risiko - Australia/Selandia Baru, yaitu AS/NZS 4360

SERI STANDAR ISO 31000

❖ ISO Guide 73:2009 tentang Manajemen Risiko - Kosakata

❖ ISO 31010: 2019 tentang Manajemen Risiko - Teknik penilaian risiko

PERBEDAAN ISO 31000:2009 DAN ISO 31000:2018

1. Perubahan Model 3 Elemen utama, 3 Elemen utama,

HAL YANG BARU PADA ISO 31000:2018

STANDAR ISO 31000:2019

❖ Penyajian standar secara singkat (hanya 16 halaman).

LINGKUP STANDAR ISO 31000:2019

BEBERAPA KRITISI SAAT PENYUSUNAN REVISI STANDAR ISO 31000

❖ Working Group-ISO berpendapat pada risiko:

SKEMA ISO 31000:2018

DEFINISI MANAJEMEN RISIKO

DEFINISI MANAJEMEN RISIKO

SAAT INI OBJECTIVES

ISO 9000:2015, ISO 14001:2015, ISO 45001:2018, ISO 19011:2018

DEFINISI MANAJEMEN RISIKO

3.3 Pemangku Kepentingan : orang atau organisasi yang dapat mempengaruhi,

DEFINISI MANAJEMEN RISIKO

• 3.5 Peristiwa : terjadinya atau perubahan serangkaian keadaan tertentu.

DEFINISI MANAJEMEN RISIKO

DEFINISI MANAJEMEN RISIKO

DEFINISI MANAJEMEN RISIKO

❖ pemahaman risiko dan dampak potensialnya pada objective;

Penciptaan dan perlindungan nilai

5.1 Umum (integrasi, desain, penerapan, evaluasi, dan peningkatan)

4 PRINSIP MANAJEMEN RISIKO

5.2 MANAJEMEN PUNCAK Menyesuaikan

5.2 DEWAN PENGAWAS Memastikan

5.3 INTEGRASI MANAJEMEN RISIKO

Pemahaman struktur integrasi dan konteks organisasi

Tujuan, sasaran, dan kompleksitas organisasi

Menentukan akuntabilitas dan peran pengawasan.

Terintegrasi di seluruh organisasi.