| Date post: | 12-Oct-2015 |
| Category: |
Documents |
| Upload: | guntora-hs |
| View: | 78 times |
| Download: | 2 times |
of 32
1
Daftar isi
Daftar isi ................................................................................................................... 1
Latihan1 Assessing current condition Risk maturity level ....................................... 2
Latihan 2 Assessmen penerapan Prinsip-prinsip Manajemen Risiko ........................ 3
Latihan 3 Understanding organization and its context ............................................... 5
Latihan 4 Risk Governance Structure ....................................................................... 8
Latihan 5. Menyusun rencana implementasi manajemen risiko dan pengembangan
kompetensi organisasi manajemen risiko (Building risk management competencies)
............................................................................................................................... 11
Latihan 6 Risk Management Process Communication and Consultation ................. 12
Latihan 7 Risk Management Process Establishing the context ............................... 15
Latihan 8 Risk Management Process Risk assessment: Risk Identification ............ 19
Latihan 9 Risk Management Process Risk assessment: Risk Analysis ................... 23
Latihan 10 Risk Management Process Risk assessment: Risk Evaluation .............. 25
Latihan 11 Risk Management Process Risk treatment ............................................ 27
Latihan 12 Risk Management Process Monitoring and Review ............................... 28
2
Latihan1
Assessing current condition Risk maturity level
Tujuan dari latihan ini adalah mengukur tingkat kematangan penerapan manajemen
risiko perusahaan anda saat ini.Penukuran risk management maturity model dapat
dilakukan dengan berbagai macam model yang tersedia di pasar, misalnya dari
RIMS, Process Capability Maturity Model, dll.Untuk latihan ini Risk maturity model
yang digunakan adalah dari IACCM Business Risk Management Maturity Model.
(Lihat berkas lengkap IACCM Business Risk Management Maturity Model)
3
Latihan 2
Assessmen penerapan Prinsip-prinsip Manajemen Risiko
1. Susun checklist berdasarkan pertanyaan-pertanyaan yang tersedia pada tiap
tahapan proses manajemen risiko.
No Pertanyaan penerapan prinsip RM Y/N Evidence Score
Scoring guidance: N : 0 Y : 1 : very minimal evidence that match with the requirement 2 : evidence satisfy about half/partial of the requirement 3 : evidence satisfy majority/fully the requirement
2. Lakukan assessmen penerapan prinsip manajemen risiko pada perusahaan anda
berdasarkan checklist tersebut dan laporkan hasilnya pada kelas.
3. Lakukan ulang asesmen tingkat penerapan prinsip risk management
berdasarkan checklistdi bawah ini dan bandingkan hasilnya dengan hasil
asesmen Anda sebelumnya. Mana yang akan anda laporkan kepadaTop
Manajemen
Nr. Description of principle Score
1. The organization understands, and is committed to the principle, that risk management creates value
2. Risk management is an integral part of our organizational processes
3. The effect of risk is considered a part of all our decision making processes
4. We recognize that effective risk management can assist the organization in addressing uncertainty
5. Risk management in our organization is systematic, structured and timely
6. Risk management is based upon the best available information in our organization
7. Risk management is tailored to our organizations internal and external context
8. Risk management takes into account human and cultural factors pertinent
4
Nr. Description of principle Score
to our organization
9. Risk management is transparent and inclusive in our organization and everyone is involved
10. Risk management is dynamic, iterative and responsive to change
11. Risk management facilitates continal improvement of our organization
Score 0 for no implementation; 1 for partial implementation and 2 for fully meet the
principle as defined
5
Latihan 3
Understanding organization and its context
Tugas kelompok anda adalah:
a. Melakukan analisis dan evaluasi konteks eksternl organisasi dan
mengidentiikasi potensi risiko yang mungkin terjadi dengan menggunakan
analisis stakeholder dan analisis makro;
b. Melakukan analisis dan evaluasi konteks internal organisasi dan
mengidentifikasi potensi risiko yang mungkin terjadi dengan Ishikawa
diagram;
c. Melakukan kategorisasi risiko yang mungkin dihadapi oleh organisasi dalam
kategori yang cocok untuk organisasi.
a. Konteks ekssternal
Menggunakan teknik Stakeholders Analysis
Social & cultural Political Legal & regulatory Financial Technological Economic Natural & competitive
environment
Domestic & international
External environment
Understanding
the context for
Risk
Management
Internal environment
Governance Strategies Objectives Capabilities Process Structure System Culture Technology
ORGANISASISUPPLIER/KREDITOR
KARYAWAN
PELANGGAN
PEMEGANG SAHAM
LSM LINGKUNGAN HIDUP
REGULATOR
LEGISLATOR
MASYARAKAT SEKITAR PABRIK
MEDIA MASSA
PESAING LAIN
KELOMPOK PEMERHATI
INDUSTRI
PEMERINTAH DAERAH
POTENSI ANCAMAN
Tinggi
Tinggi
Rendah
Rendah
SIAPA SAJA?
SIAPA SAJA?
SIAPA SAJA?
SIAPA SAJA?
STRATEGI:
KOLABORASI
STRATEGI:
BERTAHAN
STRATEGI:
LIBATKAN
STRATEGI:
MONITOR
PO
TEN
SI D
UK
UN
GA
N
WASPADAPENDUKUNG
ANCAMANMARGINAL
6
b. Konteks Ekonomi Makro
Menggunakan analisisj lingkungan makro
c. Konteks internal
Menggunakan Diagram Tulang Ikan (Ishikawa Diagram)
Ekonomi
Kebijakan Fiskal
Ekonomi makro
Politik Politik Makro
Politik Mikro
Hukum
Regulasifarmasi
HAKI
Faktor Makro Sub-Faktor Potensi risiko?
PT XYZ
Manusia, jumlah, kompetensi
Metoda, sistem, teknik
Sarana, prasarana, komputer
Sumber daya, budget, ruang, dll.
Data, informasi, material
Lingkungan kerja, budaya organisasi
LINGKUNGAN INTERNAL
POLITIK EKONOMI SOSIAL-BUDAYA
TEKNOLOGIHUKUM LINGKUNGAN HIDUP
SASARAN
LINGKUNGAN EKSTERNAL
PROSES BISNIS
MEDIAPEMASOK
PESAING
PELANGGAN
REGULATOR
7
d. Riskiness perception index
Tujuan latihan ini adalah mengukur indeks persepsi paparan risiko organisasi
sehingga dapat disusun agenda penerapan manajemen risiko yang sesuai dengan
kebutuhan. Indeks persepsi tersebut diukur dengan checklist dibawah ini dengan
penilaian sbb:
1 = No problem; 2 = Minor problem; 3 = Major problem; 4 = Serious problem;
5 = Ruinous problem
Area of challenge Score
1. Finance
a. Lack of availability (or unacceptable cost) of adequate investment fund
b. Inadequate procedure for allocation of funds to available opportunities
c. Poor internal financial controls to prevent fraud and control credit risks
d. Insufficient reserves for existing and historical liabilities (including pension)
Sub-total finance
2. Infrastructure
a. Availability or cost of people skills, competencies and experience
b. Inadequate premises, plant and equipment to support operation
c. Process, including IT infrastructure, have insufficient resilient
d. Product availability inadequate including supplier unreliability
Sub-total infrastructure
3. Reputation
a. Poor public perception of the industry and/or organization brands
b. Insufficient attention to ethics and corporate social responsibility
c. High regulator involvement and compliance expectation
d. Concern over product quality and/or after ales service
Sub-total reputation
4. Marketplace
a. Insufficient revenue generation or inadequate return on investment
b. Competitive marketplace and/or rapidly changing product technology
c. Poor sovereign economic health and/or lack of economic or political stability
d. Complex supply chain and/or unpredictable raw material cost
Sub-total marketplace
Source: Paul Hopkin, Risk Management, London: Kogan Page, 2013
8
Latihan 4
Risk Governance Structure
Pengantar
Perhatikan struktur risk governance di perusahaan Anda dan juga pembagian
akuntabilitas dalam pelaksanaan menurut kebijakan manajemen risiko (Risk
Management Policy). Di bawah ini terdapat contoh risk governance structure dan
pembagian peran dan tanggung jawab dalam pelaksanaan manajemen risiko.
Contoh Risk Governance Structure
Contoh pembagian peran dan tanggung jawab pada The British Library sesuai
dengan Risk Management Policy
The British Library Risk Management Policy
Roles and responsibilities
Each level of the Library has a responsibility or risk awareness and
management. The main roles and responsibilities are as follows:
Board
DIREKSI
INTERNAL AUDITOR
KOMITE RISIKO (LintasFungsi)
DEWAN KOMISARIS
Komite Pemantau Risiko
MANAJEMEN KEUANGAN
MANAJEMEN OPERASIMANAJEMEN SDM &
UMUMMANAJEMEN RISIKOHUKUM & KEPATUHAN
Pengawasan
9
The Board is responsible for confirming that the risk management
approach will aid the achievement of policy aims.
Board Audit Committee (BAC)
BAC are responsible for annual review of the risk management framework
is adequate and that processes are in place to ensure that it is working
effectively.
Executive Team
The Executive Teams are responsible for risk review in their own areas of
responsibility and championing the required culture change.
Risk Group
This group includes the Compliance Officer, the Head of Estates Risk, the
IT Security Officer and the Directorate Finance Managers of each
Directorate. It is responsible or maintenance and management of the risk
register ensuring that changes are reflected on a timely basis when
necessary. The group is also responsible of providing advice and
organizing training or managers on risk management issues.
Managers
Managers at all levels are responsible for ensuring that risks to their
activities are identified, recorded, assessed and managed on agreed
basis.
Internal Audit
Internal Audit acts as an independent review of the Librarys overall
internal control framework, including risk management, and reports their
findings to the Accounting Officer and BAC
Tugas kelompok:
Lakukan observasi terhadap existing governance structure dan akuntabilitas
pelaksanaan manajemen risiko pada perusahaan anda.
10
a. Sesuai dengan hasil analisis pada latihan 3, apakah existing governance
structure dan akuntabilitasnya sudah memadai?
b. Bagaimanakah peran dan akuntabilitas masing-masing posisi jabatan dalam
pelaksanaan manajemen risiko? Apakah rekomendasi yang aanda berikan,
jelaskan pertimbangannya.
c. Perubahan risk governance structure apakah yang akan anda rekomendasikan?
Jelaskan pertimbangan anda
11
Latihan 5.
Menyusun rencana implementasi manajemen risiko dan pengembangan
kompetensi organisasi manajemen risiko
(Building risk management competencies)
Kemampuan organisasi dalam mengimplementasikan manajemen risiko ditentukan
oleh kompetensi organisasi manajemen risiko yang pada dasarnya bertumpu pada
risk governance dan kompetensi para pelakunya sesuai dengan tuntutan peran dan
tanggung jawabnya. Perkembangan lebih lanjut akan ditentukan oleh budaya sadar
risiko yang berkembang dan hidup di dalam organisasi tersebut. Pengembangan
budaya sadar risiko ini sangat terkait dengan penerapan prinsip-prinsip manajemen
risiko.
Berdasarkan Kebijakan Manajemen Risiko yang telah ditetapkan pada latihan 3 dan
4 maka kelompok anda harus:
a. Menyusun rencana penerapan manajemen risiko dalam perusahaan anda,
sesuai dengan tahapan-tahapan yang diperlukan;
b. Menjabarkan akuntabilitas pelaksanaan manajemen risiko masing-masing
jabatan secara lebih rinci terkait ke dalam tugas-tugasnya, dari posisi
tertinggi, Direksi dan Dewan Komisaris hingga ke tataran karyawan (ingat ada
risk owner dan control owner);
c. Merencanakan program sosialisasi dan pelatihan sesuai dengan tuntutan
peran dan tanggung jawab dari masing-masing posisi dalam pelaksanaan
manajemen risiko. Lakukan dengan template di bawah ini.
Posisi Uraian tugas dan tanggung
jawab Kompetensi yang
dibutuhkan Jenis pelatihan
Internal audit Melakukan audit atas:
Design framework MR
Efektivitas framework
Efektivitas control
Pelaksanaan MR
Dll.
Pemahaman tentang MR
Audit MR
Regulasi terkait pelaksanaan MR
Corp. Governance
Manajemen risiko
Audit MR
Corp. Goverenance
Regulasi terkait pelaksanaan MR
Line Manager Sebagai Risk Owner harus:
Etc
Etc
Prresentasikan hasilnya di depan kelas.
12
Latihan 6
Risk Management Process
Communication and Consultation
Pengantar
Risk management process menurut ISO 31000 adalah:
systematic application of management policies, procedures and practices
to the activities of communicating, consulting, establishing the context, and
identifying, analyzing, evaluating, treating, monitoring and reviewing risk ..
Ini berarti bahwa risk management process adalah penerapan kebijakan, prosedur
dan praktik manajemen risiko pada proyek, unit kerja, fungsi bisnis, bahkan hingga
pada suatu proses bisnis tertentu saja.
Setiap penerapan proses manajemen risiko adalah unik dan khas sesuai obyek
penerapannya. Walaupun urutan langkahnya sama, akan tetapi substansi masalah
yang dihadapi beda dan membutuhkan teknik serta metoda yang berbeda pula,
belum lagi variable dan parameter yang dihadapinya. Oleh karena itu akan terdapat
banyak penerapan proses manajemen risiko dalam suatu organisasi, akan tetapi
berlandaskan pada kerangka kerja yang satu.
Komunikasi dan konsultasi
Tujan dari proses ini adalah mendapatkan gambaran yang lengkap mengenai
persepsi para pemangku kepentingan internal maupun eksternal terhadap inisatif
manajemen risiko terhadap obyek penerapan proses manajemen risiko (selanjutnya
akan disebut obyek). Proses komunikasi dan konsultasi tidak hanya dilakukan di
awal proses saja tetapi akan dilakukan sepanjang proses, bersamaan dengan
proses monitoring dan review.
Hal ini dimaksudkan untuk memastikan bahwa semua kepentingan dan masukan
para pemangku kepentingan dapat diakomodasi, sehingga dukungan pelaksanaan
manajemen risiko dapat berjalan dengan lancer. Begitu pula tanggung jawab para
pemangku kepentingan dalam pelaksanaan proses manajemen risiko dapat
dipenuhi.
13
Latihan Communication and Consultation
a. Tentukanpada kegiatan, proses bisnis, proyek atau unit kerja mana yang
akan menjadi obyek penerapan proses manajemen risiko. Anda akan menjadi
Risk Owner oleh kareni itu pahami secara jelas apa sasaran dari obyek
teersebut (ingat kriteriaSMART).
b. Berdasarkan Latihan 3 (Understanding the organization and its context),
lakukan:
1) Periksa ulang daftar Key Stakeholders internal dan eksternal dan
indikasi masalah terkaitt stakeholders tersebut yang mungkin menjadi
risiko untuk pencapaian sasaran organisasi khususnya sasaran obyek
penerapan proses manajemen risiko;
2) Apabila perlu penambahan atau pengurangan stekeholders, lakukan
segera dan cari indicator kemungkinan terjadinya masalah yang dapat
berkembang menjadi risiko bagi unit yang menjadi obyek penerapan
proses manajemen risiko.
c. Berdasarkan hasil pemeriksaan pada butir b, susun rencana komunikasi dan
juga rencana konsultasidengan stakeholders internal maupun eksternal
(minimum dengan 5 stakeholdes utama).
Contoh format communicatin plan
StakeholderCommunica
torPrepared
byPurpose
Content /Message
Delivery Method
Timing Frequency
Senior Management Team
CEO GM Risk Management
Socialization of risk management implementation and assigning each Senior Managers as a risk owner for his/her working unit under him/her
Support for risk management implementation
Readiness to be risk owner
Making time available for further training
Management meeting
Next management meeting in 2 weeks time
Minimum 2 weeks prior the training schedule
1 in 6 months
Each time before the training starts
14
Contoh format consultation plan
Stakeholder Purpose Method Timing Owner/Facilitator
Critical
Supplier
Get the support in business continuity plan exercise,
especially in the supply chain
disruption
Identify readiness the supplier Willingness to participate and
install their own BCP
Interview Survey Exercise/reality
check
September Risk management unit
ProcurementDepartment
15
Latihan 7
Risk Management Process
Establishing the context
Pengantar
Pada dasarnya proses Establishing the context ini mirip dengan proses
Understanding organization and its context pada kerangka kerja manajemen risiko,
akan tetapi dilaksanakan lebih rinci dan pada obyek. dan dilengkapi dengan
berbagai kriteria risiko untuk mengukur kinerja penerapan manajemen risiko pada
obyek.
Pada tahap ini akan ditentukan parameter-parameter lingkungan eksternal dan
internal, dan kriteria untuk mengukur proses berikutnya, dan yang paling penting
adalah menentukan lingkup penerapan proses manajemen risiko pada obyek yang
telah ditentukan, sehingga tidak menyimpang dari sasaran.
Risk Management Plan
Risk management plan menurut ISO 31000 (2.6) adalah skema atau rencana dalam
kerangka kerjamanajemen risiko yang menentukan cara pendekatan, tahapan atau
komponen menajemen, dan sumber daya yang diperlukan, untuk mengelola risiko.
Pada catatan definisi tersebut dijelaskan bahwa:
1) Tahapan atau komponen manajemen biasanya berupa prosedur, praktik,
penujukan akuntabilitas dan tanggung jawab, urutan serta jadwal kegiatan;
2) Risk management plan ini dapat diterapkan pada pengembangan produk,
proses bisnis, proyek dan sebagian atau seluruh organisasi.
Standar tidak memberikan ketentuan baku bagaimana format risk management plan
tersebut, oleh karena itu banyak variannya dan menyesuaikan dengan keperluan
masing-masing orgnisasi serta sesuai dengan kerangka kerja, metodologi, dan
template yang dikembangkan organisasi tersebut.
Penyusun dari risk management plan adalah pemilik obyek dan sekaligus menjadi
risk owner dari keseluruh obyek penerapan ini.
16
Pada saat risk management plan disusun seyogyanya risk management framework
sudah selesai dibuat, terutama risk management policy, proses organisasi telah
terdefinisikan dengan baik dan juga pembentukan kompetensi mengenai
manajemen risiko telah dilaksanakan (lihat latihan 4).
Contoh bentuk risk management plan
Risk management plan adalah rencana pengelolaan risiko pada suatu obyek, ini
dapat diinterpretasikan seperti pengelolaan proyek, sehingga terdapat suatu rencana
induk dan didukung dengan berbagai kertas kerja atau dokumen-dokumen serta
rencana-rencana lain.
National Standard Authority of Ireland (SWIFT 31000:2010) memberikan sample
contents dari risk management plan berdasarkan tahapan penerapannya sebagai
berikut:
1. Tahap Program Initiation:
Pembuatan proposal:
o Latar belakang dan sasaran program;
o Mengapa manajemen risiko diperlukan, terutama apa
manfatnya;
o Perkiraan anggaran, analisis manfaat dan biaya kalau perlu
Mengupayakan persetujuan Top Manajemen;
2. Tahap Program Design
Perincian lingkup program yang disetujui Top Manajemen
Perincian sasaran organisasi/obyek/program;
Menyusun ketentuan kriteria risiko dan selera risiko untuk disetujui Top
Manajemen;
Penunjukan penanggung jawab dalam setiap bidang kerja terkait untuk
pelaksanaan penerapan risk manajemen proses pada obyek;
Menyusun jadwal dan urutan aktivitas kegiatan
Melakukan kajian teknik risk assessment (identifikasi, analysisydan
evaluasi risiko) dan metodologi yang sesuai dengan program
Pelatihan:
17
o Identifikasi training needs
o Rencana pelaksanaan training
Pengkajian dan perencanaan system informasi yang diperlukan;
Pengkajian dan penyusunan rencana komunikasi baik format dan
frekwensinya.
3. Implementasi program
Sosialisasi program dan sasaran penerapan manajemen risiko kepada
seluruh pemangku kepentingan;
Penjelasan mengenai kriteria risiko dan bagaimana peringkat risiko
akan ditentukan;
Pelaksanaan pelatihan;
Menentukan lingkup dan konteks penerapan tahap-tahap proses
manajemen risiko;
Melaksanakan assessmen (identifikasi, analisis dan evaluasi)risiko
pada setiap area program terkait;
Menyusun risk register
Melakukan review terhadap hasil assessmen dan mengkaji serta
menyepakati rencana perlakuan risiko;
Melaksanakan rencana perlakuan risiko;
4. Tahap program review
Buat Laporan Triwulanan dan Tahunan untuk menunjukkan status dan
kemajuan penerapan risk management plan dan didistribusikan
kepada seluruh pihak terkait;
Kaji effektifitas penerapan risk managemen dengan para managers
terkait;
Identifikasi kesenjangan yang ada dan rencanakan tindak lanjut untuk
memperbaikinya;
Mutakhirkan risk management plan dengan hasil tindak lanjut di atas;
Lakukan pemantauan berlanjut (On-going monitoring and review) untuk
menghasilkan perbaikan berkesinambungan atas risk management
process yang dilaksanakan.
18
Tugas kelompok anda;
a. Buat kriteria-kiteria risiko sebagai berikut:
1) Kriteria kemugkinan (likelihood);
2) Kriteria dampak (consequences);
3) Peringkat risiko (risk level) dan kriteria dapat tidaknya suatu
risiko diterima atau tidak (risk tolerance/acceptance);
4) Peringkat effektifitas pengendalian risiko yang ada (existing
control)
b. Susun risk management plan untuk tahap Program Initiation dan
Program Design dengan menggunakan hasil pada butir (a) di atas
dan hasil latihan (4b).
19
Latihan 8
Risk Management Process
Risk assessment: Risk Identification
Pengantar
Proses identifikasi risiko dilakukan pada ke tiga konteks yaitu konteks eksternal,
konteks internal dan konteks penerapan manajemen risiko. Yang sama dengan
proses awal penyusunan kerangka kerja manajemen risiko (pasal 4.3.1, - Latihan 3)
adalah konteks eksternal dan konteks internal, tetapi dibatasi dan difokuskan pada
obyek penerapan proses manajemen risiko.
Sedangkan konteks penerapan manajemen risiko, ditentukan melalui risk
manajemen plan, yang dilakukan pada Latihan 6.Teknik dan metoda identifikasi juga
telah dikaji dan ditentukan dalam risk management plan.
Dengan demikian maka proses identifikasi risiko harus dilakukan sesuai dengan risk
management plan, terkecuali ada perubahan yang signifikan yang harus
dilaksanakan.
Petunjuk pelaksanaan tugas
a. Pahami sasaran/objectives obyek penerapan dan lingkupnya dengan baik
b. Identifikasi risiko dari konteks eksternal:
1) Gunakan metodologi yang sama dengan latihan 3 stakeholders analysis
dan macro environment scanning)
2) Focus dan batasi untuk obyek penerapan saja;
3) Temu kenali potensi risiko;
4) Uraikan potensi risiko dengan menggunakan teknik risk description yang
telah dijelaskan yaitu risk description, source and impact pada objectives.
5) Tuliskan hasil identifikasi risiko pada detailed risk register
c. Identifikasi dari konteks internal:
1) Gunakan metodologi yang sama dengan latihan 3 stakeholders analysis
dan macro environment scanning)
2) Focus dan batasi untuk obyek penerapan saja;
20
3) Temu kenali potensi risiko;
4) Uraikan potensi risiko dengan menggunakan teknik risk description yang
telah dijelaskan yaitu risk description, source and impact pada objectives.
5) Tuliskan hasil identifikasi risiko pada detailed risk register
d. Konteks penerapan manajemen risiko:
1) Pelajari dengan baik tuntutan konteks penerapan manajemen risiko (ISO
31000 pasal 5.3.4);
2) Petakan proses bisnis terkait dengan obyek penerapan
3) Disarankan untuk menggunakan metoda Diagram Ishikawa (diagram
tulang ikan) untuk melakukan proses identifikasi risiko;
4) Uraikan potensi risiko teridentiikasi dengan menggunakan teknik risk
description yang baik.
5) Tuliskan hasil identifikasi risiko pada detailed risk register;
e. Lakukan pengelompokan risiko-risiko teridentifikasi sesuai dengan kebutuhan
dari obyek penerapan:
1) Tentukan terlebih dahulu jenis pengelompokan/kategorisasi yang akan
dilakukan;
2) Kumpulkan risiko-risiko teridentifikasi dalam kelompok/kategori risiko
tersebut.
Contoh kategorisasi risiko
Dapat juga menggunakan kategorisasi lainnya
Strategic
StakeholderMarket
StructureGovernance
Information
IT SystemsIntellectual
Property
Information
Management
Financial
Liquidity &
Credit
Capital
StructureMarket Reporting
Operations
Process Physical AssetPeople &
CultureLegal
21
Catat semua risiko yang teridentifikasi pada risk register.Satu risiko dalam satu risk
register. Contoh format risk register ada pada halaman berikut.
22
Nr.
Risk Assesment Object Assessment Date
Objectives Assessed by
Location Reviewed by
Risk owner Approved by
Risk description Impact Cause Existing Control Effectiveness
Avoid risk
Accept risk
Mitigate risk
Transfer risk
Increase risk
Target/Objective Activity plan Accountable Schedule Date
DETAILED RISK REGISTER
Consequence
Likelihood
Level
Short report
Risk treatment Insurance
status
Monitoring & Review
Evaluate Risk
Person In Charge Sign
Risk identification
Risk rating
Risk Analysis
Likelihood
Level
Consequence
Insurable?
Insured?
23
Latihan 9
Risk Management Process
Risk assessment: Risk Analysis
Perhatikan hasil Latihan 7 Risk identification.
a. Untuk tiap-tiap risiko yang teridentifikasi:
1) Periksa apakah terdapat exisiting control atau tidak.
Bila terdapat existing control:
o Perkirakan efektifitas existing control teersebut, apakah
mempengaruhi likelihood ataukah mempengaruhi impact, atau
kedua-duanya;
o Perikirakan efektifitas existing control tersebut berdasarkan data
historis operational;
o Dari data tersebut kemudian dilakukan estimasi likelihood dan
consequence sesuai dengan kriteeria yang telah ditetapkan dalam
Latihan 6..
Bila tidak ada existing control
o Lakukan langsung estimasi likelihood dan consequence sesuai
dengan kriteria yang telah ditetapkan pada Latihan 6.
b. Setelah semua risiko memperoleh atributnya, yaitu likelihood dan consequence,
maka:
1) Tampilkan consequence and likelihood matrix (risk matrix) yang sudah
dilengkapi dengan warna-warna risk level yang telah ditetapkan dalam
Latihan 6;
2) Gambarkan risiko-risiko yang telah mendapatkan atribut tadi pada risk
matrix tersebut di atas;
3) Kelompokan risiko-risiko tersebut berdasarkan risk level pada table yang
menunjukan eskalasi laporan dan penanganan risiko
c. Setelah itu lakukan pemutakhiran data pada detailed risk register untuk masing-
masing risiko.
24
Contoh risk matrix
Tabel untuk pengelompokan risiko berdasarkan risk level dan eskalasi
penanganannya.
Likelihood
1 2 3 4 5
5
4
3
2
1Consequences
NOT ACCEPTABLE
NOT
ACCEPT-
ABLE
RISK ACTION AND ESCALATION POINTS
Risks Description Action required for risks Risk report escalation
High risk (T)
Action required that risks cannot be accepted or tolerated and require treatment or avoid the activity
Report to Top Executive and Board. Control strategy to be developed and monitored by Board and Top Executive
Medium risk (M)
Potential action: risks that will be treated as long as the costs do not outweigh the benefits
ALARP (As low as reasonably practicable) Principle
Managed at functional Executive levelEscalated to the relevant direct report to the Senior Executive for information
Low risk (R)
No action, acceptable risks, requiring no further treatment. May only require periodic monitoring
No action requiredMonitoring within functional area or business group level
25
Latihan 10
Risk Management Process
Risk assessment: Risk Evaluation
Tujuan utama dari risk evaluation adalah mendapatkan Priority List dari risiko-risiko
yang memeerlukan treatment.
Misalkan dari hasil Latihan 8 diperoleh peta risiko sbb:
a. Dari peta tersebut maka jelas terlihat yang harus diperhatikan adalah pertama
kelompok risiko nomeer 3, 2, 8 dan 6 baru kemudian kelompok 4 dan 7.
b. Lakukan peneriksaan dengan :sanity chekcs terhadap kelompok pertama dan
bagaimana hasilnya?
1) Bila tetap, lakukan urutan prioritas dari risiko nomer 3, 2, 8 dan 6.
2) Bila berubah, bagaimanakah urutan prioritasnya;
3) Lakukan lebih jauh sanity check untuk risiko-risiko lainnya bila terjadi
perubahan seperti pada kasus butir 2 di atas, bagaimanakah posisinya
sekarang.
c. Berdasarkan peta risiko yang pertama (sebelum dilakukan perubahan akibat
sanity check) lakukan proses pengurutan risiko dengan menggunakan Multi
Criteria Decision Making. Bagaimanakah hasil urutan prioritas risiko
berdasarkan teknik ini?
Likelihood
1 2 3 4 5
5
4
3
2
1Consequences
NOT ACCEPTABLE
NOT
ACCEPT-
ABLE
1
2 3
4
5
6
7
8
9
10
26
d. Bandingkan hasil kedua priority list tersebut (hasil butir (b) dan hasil butir (c)),
menurut anda mana yang sebaiknya dipakai sebagai hasil dari risk evaluation.
Terangkan alasannya.
e. Lakukan pemutakhiran risk register.
27
Latihan 11
Risk Management Process
Risk treatment
Berdasarkan hasil urutan prioritas risiko yang harus ditangani pada Latihan 9 akan
dilakukan perlakuan risiko (risk treatment) terhadap risiko prioritas no.1 dan 2.
Lakukan untuk risiko prioritas 1 hal sebagai berikut:
a. Identifikasikan kemungkinan risk treatment yang dapat dilakukan;
b. Putuskan jenis perlakuan risiko apa yang akan dilakukan dan berikan
penjelasan mengapa pilihan itu yang akan dilakukan;
c. Tetapkan sasaran perlakuan risiko dan susun rencana perlakuan risiko
secara rinci lengkap dengan penanggung jawab masing-masing tindakan,
jadwal dan beayanya;
d. Periksa bagaimanakah hasil cost benefit analysis nya, baik untuk yang
tangible maupun yang intangible;
e. Tetapkan jadwal monitoring dan review dan siapa yang akan melakukannya;
f. Lakukan pemutakhiran risk register.
Apabila telah selesai dengan risiko prioritas no.1; lakukan ulang untuk risiko dengan
prioritas no.2.
Selamat mencoba.
28
Latihan 12
Risk Management Process
Monitoring and Review
Perlu disadari bahwa tidak ada format report yang one size fit all dalam risk
reporting ataupun reporting lainnya. Setiap audiens/penerima laporan memerlukan
hal spesifik untuk keperluan dia. Oleh karna itu anda perlu menetapkan terlebih
dahulu siapa-siapa saja yang akn menerima laporan risiko tersebut.
Posisikan diri anda sebagai Kepala Unit Manajemen Risiko dan pertimbangkan hal-
hal sebagai berikut:
Kualitas laporan sangat tergantung dari berfungsinya system manjemen risiko
dengan baik. Proses manajemen risiko (identifikasi, asesmen dan perlakuan
risiko) yang tidak lengkap atau tidak akurat akan menghasilkan laporan yang
buruk dan tidak dapat dijadikan dasar pengambilan keputusan;
Periksa struktur Risk Governance perusahaan anda untuk mengetahui siapa-
siapa saja yanag harus menerima laporan risiko tersebut. Jangan lupa bila
ada kewajiban pelaopran ke pihak eksternal;
Karena setiap penerima laporan memerlukan hal yang spesifik, cari informasi
mengenai kebutuhan dari setiap penerima laporan yang akan anda hasilkan.
Hindari memberikan informasi terlalu banyak atau terlalu sedikit dalam
laporan anda. Semakin tinggi posisi penerima laporan, biasanya semakin
ringkas laporan yang diingininya. Pastikan langkah pada butir di atas
terlaksana dengan baik
Hal lain yang penting anda harus perhatikan adalah:
a. Model dan format laporan apa yang ingin anda peroleh dari para risk owner
dan control owner untuk dapat membantu anda menghasilkan laporan kepada
masing-masing penerima laporan/pemangku kepentingan;
b. Atau menyarankan model-model format pelaporan dari para risk owner dan
control owner yang dapat langsung diteruskan kepada para penerima laporan
dan anda sebagai Kepala Unit Manajemen Risiko menambahkan laporan atas
laporan tersebut.
29
Sesuai dengan pertimbangan tersebut, dengan mengambil opsi (a) pada bagaian
terakhir di atas maka yang anda harus lakukan adalah:
a. Merancang format laporan yang harus disampaikan oleh risk/control owner
kepada unit Manajemen Risiko;
b. Menyusun matrik penerima laporan dan frekwensi pelaporan serta perkiraan
isi laporan tersebut;
Kelompok Jenis Laporan Penerima Frekwensi Perkiraan isi laporan
Strategis
Operational
c. Rancang dan buat format masing-masing jenis laporan tersebut di atas.
----------oooo000ooooo----------
30
Report format examples
Risk profile report
Likelihood
1 2 3 4 5
5
4
3
2
1
Consequences
1
2 3
4
5
6
7
8
9
10
RankRisk
Nr.
Risk
categoryRisk Description Rating Trend
Reason for
change?
Improvement
required?
Improvement
status
1 3 Yes
2 2 Yes
3 8 Yes
4 6 Yes
5 4 Yes
6 7 Not yet
7 1 Not yet
8 5 Not yet
9 10 No
10 9 No
31
Risk treatment action plan status
Risk Nr.
Risk Description Rating Treatment Actions Due Date Responsible
Person Status Comments
3 High 1.
In progress 95% complete (example) 2. Completed
3.
In progress
4.
Completed
2 High 1.
In progress
2.
In progress
3.
Completed
4.
In progress
Completed
In Progress
Overdue
32
Risk Management Annual Activity Schedule and Improvement Initiatives
Improvement Initiative
Action Responsible Person
Due date Achieved Comments
