PEDOMAN BIDANG MANAJEMEN RISIKO PT PERTAMINA BINA MEDIKA

Transkripsi

1 BAB I UMUM Manajemen Risiko dapat membantu Perusahaan dalam usaha untuk meminimalkan potensi kerugian, biaya-biaya yang harus dikeluarkan terkait dengan pencapaian Rencana Kerja Anggaran Perusahaan dan Rencana Jangka Panjang Perusahaan. Manajemen Risiko juga dapat memaksimalkan opportunities, mempertahankan lingkungan kerja yang kondusif, membangun kepercayaan dari investor, meningkatkan shareholder value, meningkatkan tata kelola perusahaan yang sehat, mengantisipasi perubahan lingkungan yang pesat dan mengintegrasikan strategi Perusahaan. A. TUJUAN Tujuan penetapan Pedoman Manajemen Risiko ini dimaksudkan sebagai dasar pelaksanaan Manajemen Risiko di Perusahaan. B. RUANG LINGKUP Pedoman ini berlaku untuk Aktivitas atau Transaksi Usaha yang berkaitan dengan kepentingan Perusahaan. Pedoman ini mencakup Kebijakan Umum, Strategi Penerapan Manajemen Risiko, Kategori Risiko, Peran dan Tanggung Jawab, Proses Manajemen Risiko, Toleransi Risiko, Manajemen Risiko untuk Aktivitas On Going Business dan Manajemen Risiko untuk Pengembangan Bisnis. C. PENGERTIAN 1. Aktivitas adalah kegiatan dalam rangka pencapaian visi dan misi perusahaan yang berupa Aktivitas On-Going Business dan Aktivtitas Pengembangan Bisnis (Business Development). 2. Aktivitas On-going Business adalah Aktivitas dan atau Transaksi Usaha Perusahaan yang telah berjalan secara rutin sesuai dengan proses bisnis Perusahaan berdasarkan prinsip kelangsungan usaha (going concern). 3. Aktivitas Pengembangan Bisnis adalah Aktivitas, program, proyek dan atau Transaksi Usaha Perusahaan yang bersifat baru atau tidak rutin (projectual) yang memiliki tahap awal dan tahap akhir. 4. Compliance Risk (Risiko Kepatuhan) adalah Risiko terkait dengan kegiatan bisnis Perusahaan yang disebabkan oleh kurang atau tidak patuhnya terhadap peraturan.

2 5. Contingency Plan (Rencana Kontijensi) adalah rencana atas tindakan-tindakan yang akan dilaksanakan ketika suatu kejadian Risiko terjadi. 6. Fungsi Manajemen Risiko adalah fungsi yang secara organisasi mempunyai tugas dan tanggung jawab untuk memberikan masukan dan rekomendasi kepada Direksi dan Manajemen berkaitan dengan penerapan Manajemen Risiko di Perusahaan. 7. Dampak adalah akibat dari suatu kejadian yang mempengaruhi tujuan Perusahaan. 8. Exposure (Eksposur) adalah tingkat maksimum kerusakan/kerugian yang diakibatkan oleh suatu kejadian Risiko. 9. Feasibility Study (Studi Kelayakan) adalah pengkajian yang komprehensif dan mendalam atas suatu rencana Aktivitas Pengembangan Bisnis. Dalam Studi Kelayakan dilakukan pembahasan dan kajian mendalam antara lain mengenai aspek pemasaran, aspek teknologi dan operasi, aspek hukum, aspek sumberdaya manusia, biaya yang didasarkan pada desain operasi secara rinci dan asumsi harga yang realistik, serta aspek keuangan dan keekonomian. Hasil kajian Studi Kelayakan dapat sama atau berbeda dengan hasil kajian dalam Studi Pendahuluan. Hasil kajian Studi Kelayakan merupakan salah satu bahan bagi Direksi dan Manajemen untuk memutuskan apakah rencana Aktivitas Pengembangan Bisnis tersebut ditolak atau diterima untuk dilaksanakan. 10. Financial Risk (Risiko Finansial) adalah Risiko terkait dengan kegiatan bisnis antara lain Accounting, Credit, Liquidity & Finance Intelligence, Financial Market, Planning & Budgeting, dan Operational yang mengakibatkan kerugian keuangan Perusahaan. 11. Fungsi adalah seluruh unit usaha dan satuan kerja di dalam lingkungan Perusahaan yang memiliki Risiko dalam melaksanakan Aktivitasnya. 12. Good Corporate Governance (GCG) adalah suatu proses dan struktur yang digunakan oleh Perusahaan untuk meningkatkan keberhasilan usaha dan akuntabilitas Perusahaan guna mewujudkan nilai pemegang saham dalam jangka panjang dengan tetap memperhatikan kepentingan stakeholder lainnya, berlandaskan peraturan perundangan dan nilai-nilai etika. 13. Governance Risk (Risiko Tata Kelola) adalah Risiko yang disebabkan oleh kurang atau tidak patuhnya terhadap aturan Tata Kelola Perusahaan (Corporate Governance) dan Etika Bisnis (Ethics) dalam pengelolaan Perusahaan. 14. Inherent Risk adalah paparan potensi Risiko sebelum dilakukan Penanganan Risiko (Risk Treatment). 15. Internal Control (Pengendalian Internal) adalah sistem pengelolaan Perusahaan berdasarkan kepatuhan terhadap perundangan, peraturan, kebijakan, rencana, prosedur, serta untuk meminimalkan Risiko terjadinya kerugian dalam mencapai tujuan Perusahaan yang antara lain berupa target keuntungan, tersedianya laporan keuangan, dan manajemen yang handal.

3 16. Komitmen adalah tekad dan dukungan Direksi untuk penerapan Manajemen Risiko yang dituangkan secara tertulis. 17. Loss Event (Kejadian Kerugian) adalah suatu peristiwa/kondisi terjadinya kejadian Risiko yang menimbulkan kerugian/kerusakan/kehilangan kesempatan. 18. Mandat adalah instruksi atau wewenang secara tertulis yang diberikan oleh Dewan Direksi kepada pejabat dan personel dalam struktur organisasi Manajemen Risiko untuk menjalankan fungsi Manajemen Risiko di Perusahaan. 19. Near Missed adalah adalah suatu peristiwa/kondisi terjadinya kejadian Risiko yang tidak menimbulkan kerugian/kerusakan/kehilangan kesempatan. 20. Operational & Infrastructure Risk (Risiko Operasional dan Infrastruktur) adalah Risiko terkait dengan kegiatan operasional dan prasarana Perusahaan antara lain Corporate Assets, Human Resources, Information Technology, External Events, Legal, Process Management, Product Development, dan Sales, Marketing and Communications. 21. Penunjang Usaha adalah aktifitas yang menyediakan dukungan kepada aktifitas yang memberikan nilai utama dan aktifitas yang memberikan nilai keunggulan bagi Perusahaan. 22. Perusahaan adalah PT Pertamina Bina Medika. 23. Portofolio Bisnis adalah kumpulan Aktivitas bisnis, proyek, program dan Aktivitas usaha lainnya yang dijalankan Perusahaan dalam mencapai sasaran yang telah ditetapkan. 24. Preliminary Study (Studi Pendahuluan) adalah pengkajian pendahuluan yang komprehensif tetapi tidak mendalam atas suatu rencana Aktivitas Pengembangan Bisnis. Dalam Studi Pendahuluan dilakukan pembahasan dan kajian singkat antara lain mengenai aspek pemasaran, aspek teknologi dan operasi, aspek hukum, aspek sumberdaya manusia, indikasi biaya proyek, dan aspek keuangan dari Aktivitas Pengembangan Bisnis. Hasil kajian pendahuluan ini dapat memberikan indikasi awal mengenai daya tarik (attractiveness) dari proyek investasi dimaksud. 25. Probability (Probabilitas) adalah ukuran untuk menyatakan harapan terjadinya suatu peristiwa yang dinyatakan dalam angka 0 sampai dengan 1. Angka 0 menyatakan peristiwa tersebut tidak mungkin terjadi dan angka 1 menyatakan peristiwa tersebut pasti terjadi. 26. Project Risk (Risiko Proyek) adalah suatu kejadian atau suatu kondisi yang jika terjadi memiliki pengaruh negatif sekurang-kurangnya pada salah satu obyektif dari proyek. 27. Qualitative Impact (Dampak Kualitatif) adalah akibat yang ditimbulkan oleh suatu kejadian Risiko baik secara langsung ataupun tidak langsung yang tidak dinyatakan dalam besaran finansial.

4 28. Quantitative Impact (Dampak Kuantitatif) adalah akibat yang ditimbulkan oleh suatu kejadian Risiko baik secara langsung ataupun tidak langsung yang dihitung dan dinyatakan secara finansial. 29. Reporting Risk (Risiko Pelaporan) adalah Risiko terkait dengan kewajiban Perusahaan untuk menyampaikan laporan kepada pihak-pihak yang berkepentingan/shareholder. 30. Residual Risk adalah paparan potensi Risiko setelah dilakukan Penanganan Risiko (Risk Treatment). 31. Risk (Risiko) adalah pengaruh dari ketidakpastian (uncertainty) terhadap sasaran/tujuan Perusahaan. 32. Risk Agent/Risk Source (Penyebab Risiko) adalah faktor-faktor tertentu, kondisi atau peristiwa yang menyebabkan terjadinya suatu kejadian Risiko. 33. Risk Analysis (Analisis Risiko) adalah suatu proses untuk memahami karakteristik Risiko (Probabilitas dan Dampak) yang dapat dilakukan secara kualitatif ataupun kuantitatif untuk menentukan tingkat Risiko (level of risk). 34. Risk Appetite (Selera Risiko) adalah pernyataan yang menjelaskan jumlah/nilai dan kategori Risiko yang siap untuk diterima dalam rangka mencapai tujuan Perusahaan. 35. Risk Assessment (Penilaian Risiko) merupakan keseluruhan proses atau Aktivitas yang meliputi identifikasi, analisis, dan evaluasi terhadap Risiko-Risiko. 36. Risk Based Audit (Audit Berbasis Risiko) adalah proses dan kegiatan yang dilakukan oleh Internal Audit dengan mempertimbangkan signifikansi Risiko untuk memberikan opini kepada manajemen Perusahaan bahwa Risiko tersebut telah dikelola sampai pada batas yang dapat diterima Perusahaan. 37. Risk Criteria (Kriteria Risiko) adalah suatu acuan yang ditetapkan untuk mengevaluasi tingkat (signifikansi) Risiko. 38. Risk Evaluation (Evaluasi Risiko) adalah suatu proses untuk membandingkan hasil dari analisis Risiko dengan kriteria Risiko untuk menentukan apakah Risiko-Risiko tersebut berada pada tingkat yang bisa diterima atau ditoleransi. 39. Risk Event (Kejadian Risiko) adalah suatu potensi kejadian (event) yang memberikan Dampak baik secara langsung (direct impact) maupun tidak langsung (indirect impact) pada Perusahaan dalam suatu periode tertentu. 40. Risk Financing (Pembiayaan Risiko) adalah salah satu bentuk dari Penanganan Risiko (Risk Treatment) yang mencakup rencana kontijensi untuk penyediaan dana guna memenuhi kebutuhan Dampak finansial yang mungkin terjadi. 41. Risk Identification (Identifikasi Risiko) adalah suatu proses dalam menemukan, mengenali dan menguraikan karakteristik dari Risiko.

5 42. Risk Inteligence Map adalah pengkategorian Risiko Perusahaan yang merupakan gambaran unik dari Perusahaan yang menghubungkan dan mengaitkan nature of risk, dimana Direksi dan manajemen Perusahaan dapat melakukan Identifikasi Risiko dengan mudah. Dalam suatu organisasi, Risk Intelligence Map digunakan untuk melacak komponen Risiko di Perusahaan yang memberikan petunjuk kepada pekerja untuk menelurusi komponen-komponen Risiko dalam suatu organisasi dan untuk meningkatkan kapabilitas untuk menyeleksi Risiko yang berkaitan dengan tanggung jawab setiap pekerja/fungsi. 43. Risk Management (Manajemen Risiko) adalah upaya terkoordinasi untuk mengarahkan dan mengendalikan kegiatan-kegiatan Perusahaan terhadap Risiko-Risiko. 44. Risk Management Audit (Audit Manajemen Risiko) adalah suatu proses yang dilakukan oleh Internal Audit secara sistematis, independen dan terdokumentasi dengan baik, dengan tujuan untuk memperoleh bukti guna mengevaluasi secara obyektif perihal efektifitas dan kecukupan pelaksanaan kerangka kerja Manajemen Risiko. 45. Risk Mapping/Risk Matrix (Pemetaan Risiko) adalah suatu proses dalam evaluasi Risiko untuk mengkategorikan peringkat Risiko berdasarkan Probabilitas dan Dampak yang mungkin ditimbulkannya. 46. Risk Owner (Pemilik Risiko) adalah orang, fungsi/bagian atau organisasi yang mempunyai akuntabilitas dan kewenangan untuk mengelola Risiko serta Penanganan Risiko (Risk Treatment) yang terkait. 47. Risk Priority (Prioritas Risiko) adalah daftar Risiko yang telah diperingkat mulai dari yang tertinggi sampai terendah berdasarkan kriteria penentuan yang ditetapkan oleh Direksi. 48. Risk Profile (Profil Risiko) adalah gambaran secara menyeluruh atas tingkat Risiko- Perusahaan atau suatu bagian tertentu dari Perusahaan atau Aktivitas/transaksi Perusahaan. 49. Risk Register (Daftar Risiko) adalah suatu kertas kerja berbentuk tabel yang merupakan hasil dari proses Manajemen Risiko yang berisi kejadian Risiko, kodifikasi, Pemilik Risiko (Risk Owner), kategori Risiko, deskripsi kejadian Risiko, penyebab, gejala, Dampak, Probabilitas, rencana tindakan dan biaya Penanganan Risiko, ukuran Inherent Risk dan Residual Risk serta target pelaksanaannya. 50. Risk Tolerance (Toleransi Risiko) adalah jumlah Risiko yang dapat diterima oleh Perusahaan setelah melakukan tindakan Penanganan Risiko (Risk Treatment) yang ditetapkan sesuai dengan situasi dan kondisi Perusahaan. 51. Risk Treatment Cost/Cost of Risk (Biaya Penanganan Risiko) adalah seluruh biaya yang dipergunakan untuk melakukan Penanganan Risiko. 52. Risk Treatment/Risk Response (Penanganan Risiko) adalah suatu proses untuk mengembangkan dan memilih alternatif-alternatif untuk menangani Risiko serta pelaksanaannya.

6 53. Strategic & Planning Risk (Risiko Perencanaan dan Strategik) adalah Risiko terkait dengan perencanaan strategis Perusahaan antara lain Corporate Responsibility & Sustainablility, External Factors, Planning, Project, dan Strategy. 54. Transaksi Usaha adalah transaksi dalam bentuk pembelian/pengadaan (purchasing) barang/jasa, penjualan (selling) barang/jasa, penempatan dana (fund placement), pencarian dana (fund raising) dan bentuk transaksi lainnya. D. REFERENSI 1. Pedoman Manajemen Risiko PT Pertamina (Persero) 2. Akte Pendirian yang telah disahkan oleh Menteri Kehakiman dan HAM RI No.C HT TH.2003 tanggal 9 Oktober Surat Keputusan Direksi No.... tentang Struktur Organisasi PT. Pertamina Bina Medika.

7 BAB II KEBIJAKAN A. UMUM 1. Manajemen Risiko diterapkan untuk seluruh Aktivitas dan kepentingan usaha Perusahaan. 2. Penerapan Manajemen Risiko mencakup: a. Mandat dan Komitmen dari Dewan Direksi (Board of Directors) Perusahaan b. Pengawasan aktif pemimpin tertinggi di tiap Fungsi / Unit Usaha. c. Adanya kebijakan, prosedur dan penetapan Risk Appetite dan Risk Tolerance yang mendukung rencana strategis Perusahaan. d. Adanya proses penentuan lingkup Risiko, identifikasi, analisis, evaluasi, penanganan, pemantauan dan pengendalian Risiko serta sistem informasi Manajemen Risiko yang komprehensif dan penyediaan data yang terintegrasi. e. Prosedur dan persyaratan yang memadai dalam melakukan evaluasi dan memberikan persetujuan Aktivitas bisnis baru serta perubahan sistem dan prosedur kerja yang akan dilakukan. f. Sistem Pengendalian Internal yang menyeluruh. g. Peningkatan pemahaman secara komprehensif mengenai Manajemen Risiko, khususnya di tingkat manajemen. 3. Risk owner bertanggung jawab menerapkan Manajemen Risiko di Fungsi / Unit usaha terkait dengan Aktivitas dan Transaksi Usaha yang menjadi tanggung jawabnya serta mendokumentasikannya. 4. Risk Register disusun oleh setiap Fungsi untuk selanjutnya diagregrasikan menjadi Risk Register Korporat/Unit Usaha dan ditandatangani oleh pimpinan tertinggi Korporat/Unit Usaha. 5. Risk Register Korporat/Unit Usaha dibuat secara periodik sekurang-kurangnya 1 (satu) kali dalam setahun. 6. Risk Profile Perusahaan dibuat sekurang-kurangnya 1 (satu) kali dalam setahun. 7. Laporan Monitoring Risiko ditandatangani oleh pimpinan tertinggi Korporat/Unit Usaha dan dibuat secara periodik sekurang-kurangnya 1 (satu) kali dalam setahun. 8. Fungsi harus memasukkan Biaya Penanganan Risikonya (Cost of Risk) ke dalam RKAP, baik operasional maupun investasi. Untuk investasi, Cost of Risk diperhitungkan dalam analisa keekonomian. 9. Perusahaan dapat melakukan Risk Financing sebagai rencana kontijensi apabila dianggap perlu oleh Fungsi berdasarkan suatu kajian dan disetujui oleh pimpinan tertinggi Korporat/Unit Usaha.

8 10. Perlu dilakukan Risk Management Audit guna memastikan bahwa proses pengelolaan Risiko telah dilaksanakan dengan baik. B. STRATEGI PENERAPAN MANAJEMEN RISIKO Strategi Penerapan Manajemen Risiko merupakan langkah-langkah implementasi dari Manajemen Risiko untuk mengendalikan Risiko, agar Profil Risiko berada pada batas yang telah ditetapkan. Strategi Manajemen Risiko ditetapkan Direksi/Manajemen Unit Usaha. Strategi Penerapan Manajemen Risiko mencakup : 1. Penetapan Risk Appetite dan Risk Tolerance. 2. Penetapan rencana Penanganan Risiko (Risk Treatment plan). 3. Profil Risiko sebelum dan setelah dilakukan penanganan. 4. Pembuatan skala prioritas (Prioritas Risiko) dalam Penanganan Risiko. 5. Pemantauan terhadap pelaksanaan kebijakan dan kerangka Manajemen Risiko. 6. Pelaporan pelaksanaan pengelolaan Risiko Strategi Manajemen Risiko dapat dievaluasi secara berkala apabila dianggap tidak sejalan atau bertentangan dengan kebijakan Perusahaan. C. KATEGORI RISIKO Kategori Risiko yang dapat mempengaruhi strategi dan tujuan Perusahaan antara lain: 1. Governance Risk, meliputi Corporate Governance dan Ethics. 2. Strategy and Planning Risk, meliputi Corporate Responsibility & Sustainability (CR&S), External Factors, Planning, Project, dan Strategy. 3. Finance Risk, meliputi Accounting, Credit, Liquidity & Finance Intelligence, Financial Market, Planning & Budgeting, dan Operational. 4. Operational/Infrastructure Risk, meliputi Corporate Assets, Human Resources, Information Technology, External Events, Legal, Process Management, Product Development, dan Sales, Marketing and Communications. 5. Compliance Risk 6. Reporting Risk D. TOLERANSI RISIKO (RISK TOLERANCE) 1. Perusahaan harus menetapkan Toleransi Risiko sebelum melakukan transaksi bisnis. Untuk itu Perusahaan perlu memiliki sistem penetapan Toleransi Risiko sebagai komponen penting dalam pengelolaan Risiko yang sekurang-kurangnya meliputi: a. Penetapan Toleransi Risiko secara individual (unit bisnis) dan konsolidasi. b. Pengintegrasian Toleransi Risiko maupun Eksposur Risiko dari seluruh kegiatan Perusahaan.

9 c. Kemampuan modal Perusahaan untuk menyerap Eksposur Risiko atau kerugian yang timbul. 2. Faktor-faktor yang perlu diperhatikan dalam penetapan toleransi Risiko sekurangkurangnya meliputi : a. Kinerja di masa lalu. b. Sistem pengukuran Risiko dan penilaian Eksposur. c. Kualitas Pengendalian Internal. d. Kemampuan sistem dalam penyelesaian transaksi bisnis. 3. Usulan Toleransi Risiko dilakukan oleh Fungsi Manajemen Risiko Korporat untuk selanjutnya direkomendasikan kepada Direksi untuk mendapat persetujuan. 4. Toleransi Risiko yang telah disetujui oleh Direksi selanjutnya diterapkan pada Fungsi / Unit Usaha terkait. 5. Setiap pelampauan Toleransi Risiko pada Korporat/Unit Usaha harus dapat diidentifikasi dengan segera oleh Fungsi Manajemen Risiko Korporat / Unit Usaha dan ditindaklanjuti oleh manajemen di Korporat / Unit Usaha terkait. Pelampauan batasan ini hanya dapat dilakukan apabila telah mendapat persetujuan dari Direksi dan dilaporkan kepada Fungsi Manajemen Risiko Korporat. 6. Setiap pelampauan batasan Risiko Perusahaan harus dapat diidentifikasi dengan segera oleh Fungsi Manajemen Risiko Korporat. Pelampauan batasan ini hanya dapat dilakukan apabila telah mendapat persetujuan dari Direksi. E. SUMBER DAYA MANUSIA 1. Perusahaan harus menempatkan staf yang memadai dan kompeten dalam menangani Manajemen Risiko di organisasi Manajemen Risiko. 2. Pejabat dan staf yang ditempatkan di organisasi Manajemen Risiko sekurang-kurangnya harus memiliki : a. Pemahaman mengenai faktor-faktor yang relevan dan kondisi yang mempengaruhi Aktivitas bisnis, serta mampu melakukan estimasi Dampak dari perubahan faktorfaktor tersebut terhadap kelangsungan usaha. b. Pemahaman yang baik mengenai Risiko-risiko yang terkandung dalam setiap Aktivitas bisnis Perusahaan secara umum dan Aktivitas/Transaksi Usaha yang menjadi tanggung jawabnya secara khusus. c. Pengalaman dan kemampuan yang memadai untuk memahami dan mengkomunikasikan implikasi Eksposur Risiko Perusahaan kepada manajemen secara tepat waktu.

10 F. SISTEM INFORMASI MANAJEMEN RISIKO 1. Setiap Risk Register di tingkat Korporat dan Unit Usaha harus dimasukkan ke dalam sistem informasi Manajemen Risiko. 2. Risk Register di tingkat Korporat dan Unit Usaha harus di evaluasi dan di-update secara berkala dan dimasukkan ke dalam sistem informasi Manajemen Risiko. 3. Loss Event dan Near Missed yang terjadi di tingkat Korporat dan Unit Usaha harus dimasukkan ke dalam sistem informasi Manajemen Risiko dan diperbaharui sesuai kondisi terkini. 4. Unit Usaha menginformasikan Eksposur Risiko yang melekat dalam bentuk laporan tertulis kepada Direksi dengan tembusan kepada fungsi Manajemen Risiko Korporat secara berkala sesuai dengan jenis Aktivitas/Transaksi Usaha. 5. Manajemen Risiko Korporat menyusun laporan tertulis yang menginformasikan Eksposur Risiko Perusahaan (dapat dilengkapi dengan laporan secara elektronik) secara berkala kepada Direksi. 6. Beberapa hal yang perlu diperhatikan agar penerapan sistem informasi Manajemen Risiko dapat dilakukan secara efektif antara lain: a. Tersedianya sistem komunikasi yang memungkinkan alur informasi berlangsung secara efektif. b. Sistem informasi manajemen yang mendukung proses Manajemen Risiko dan proses pengambilan keputusan oleh manajemen. c. Sistem informasi manajemen dapat menghasilkan informasi yang tepat waktu, akurat, konsisten, komprehensif, relevan, serta mudah dipahami oleh pihak-pihak tertentu yang mungkin tidak memiliki spesialisasi dan pengetahuan Manajemen Risiko secara teknis.

11 BAB III PERAN DAN TANGGUNG JAWAB Dalam rangka pelaksanaan proses dan sistem Manajemen Risiko yang efektif, dibentuk: 1. Manajemen Risiko Korporat 2. Penanggung Jawab Manajemen Risiko Unit Usaha A. MANAJEMEN RISIKO KORPORAT 1. Direksi memberikan wewenang dan tanggung jawab kepada Fungsi Manajemen Risiko Korporat. 2. Manajemen Risiko Korporat dalam menjalankan tugasnya harus independen. Yang dimaksud dengan pengertian independen antara lain adanya pemisahan fungsi antara Manajemen Risiko Korporat dengan Fungsi yang melakukan Aktivitas atau Transaksi Usaha. 3. Manajemen Risiko Korporat bertanggung jawab kepada Direksi yang membawahi fungsi Manajemen Risiko Korporat. 4. Wewenang dan tanggung jawab Manajemen Risiko Korporat: a. Menyusun laporan Profil Risiko Perusahaan secara berkala dan menyampaikannya kepada Direksi. b. Memantau posisi Risiko Perusahaan secara korporat, per jenis Risiko dan Risiko per Aktivitas fungsional yang antara lain dapat dituangkan dalam bentuk Pemetaan Risiko (Risk Mapping/Risk Matrix). c. Memberikan masukan kepada Direksi mengenai besaran atau maksimum Eksposur Risiko untuk dimasukkan ke dalam Rencana Kerja dan Anggaran Perusahaan. d. Memberikan usulan kepada Direksi perihal Risk Appetite dan Risk Tolerance Perusahaan berdasarkan masukan dari pimpinan Tertinggi Fungsi / Unit Usaha. e. Memberikan rekomendasi kepada Direksi. f. Melakukan pengkajian terhadap Risiko-risiko pada usulan Aktivitas/Transaksi Usaha tertentu apabila dipandang perlu oleh Direksi. g. Melakukan dokumentasi yang memadai untuk keperluan Pengendalian Internal. h. Mengkaji secara berkala kecukupan dan kelayakan dari Kebijakan, Pedoman, dan Strategi Penerapan Manajemen Risiko, serta menyampaikan rekomendasi perubahan kepada Direksi.

12 i. Memantau pelaksanaan kebijakan Manajemen Risiko yang telah ditetapkan oleh Direksi. j. Melakukan evaluasi terhadap proses Manajemen Risiko guna memastikan bahwa proses pengelolaan Risiko telah dilaksanakan dengan baik oleh Korporat / Unit Usaha. k. Mengembangkan kompetensi sumber daya manusia yang terkait dengan Manajemen Risiko. 5. Prosedur kerja Manajemen Risiko Korporat ditetapkan oleh Direksi. B. PENANGGUNG JAWAB MANAJEMEN RISIKO UNIT USAHA 1. Direksi melalui Direktur Unit Usaha memberikan wewenang dan tanggung jawab kepada Penanggung Jawab Manajemen Risiko Unit Usaha, untuk mengkoordinasikan pelaksanaan Manajemen Risiko di masing-masing Unit Usaha. Penanggung Jawab minimal setingkat Wakil Direktur Unit Usaha. 2. Penanggung Jawab Manajemen Risiko Unit Usaha bertanggung jawab kepada Direktur Unit Usaha. 3. Wewenang dan tanggung jawab Penanggung Jawab Manajemen Risiko Unit Usaha: a. Melaksanakan kebijakan Manajemen Risiko yang ditetapkan oleh Direksi. b. Melakukan koordinasi dengan Fungsi terkait untuk mendapatkan masukan tentang Risk Appetite dan Risk Tolerance Unit Usaha yang akan diusulkan kepada Direktur Unit Usaha. c. Menyampaikan laporan secara berkala kepada Direktur Unit Usaha dengan tembusan kepada Fungsi Manajemen Risiko Korporat, yang antara lain berisi penyajian Eksposur Risiko terkait dengan prinsip full disclosure. d. Memantau posisi Risiko portofolio bisnis di Unit Usaha dan melakukan evaluasi atas model yang dibuat untuk mengetahui Dampaknya terhadap Unit Usaha. e. Menggunakan model pengukuran Risiko dan data yang valid. f. Memantau pelaksanaan Risk Treatment yang dilakukan oleh Risk Owner di Unit Usaha. g. Memelihara data dan informasi mengenai Loss Event dan Near Missed yang terjadi di Unit Usaha dan memasukkannya ke dalam sistem informasi Manajemen Risiko. h. Menyediakan informasi yang berkaitan dengan Unit Usaha yang diperlukan oleh Direksi dan Fungsi Manajemen Risiko Korporat.

13 i. Menyusun tata kerja Manajemen Risiko Unit Usaha untuk ditetapkan oleh Direktur Unit Usaha. j. Melakukan evaluasi terhadap proses Manajemen Risiko guna memastikan bahwa proses pengelolaan Risiko telah dilaksanakan dengan baik oleh Fungsi/Risk Owner. k. Mengembangkan budaya sadar Risiko (risk consciousness) dalam setiap Aktivitas Fungsi di Unit Usaha. C. FUNGSI/RISK OWNER Fungsi dalam melaksanakan Aktivitasnya yang sekurang-kurangnya memenuhi satu kriteria sebagai berikut: 1. Melaksanakan Transaksi Usaha. 2. Memiliki aset operasional (non inventaris). 3. Melaksanakan Aktivitas produksi barang/jasa. 4. Memiliki Eksposur sekurang-kurangnya satu jenis Risiko. Peran dan tanggung jawab Risk Owner adalah sebagai berikut: 1. Menjadi Person-in-Charge (PIC) yang bertanggungjawab untuk pelaksanaan Risk Treatment sesuai dengan batas waktu yang telah ditetapkan. 2. Melaporkan kemajuan pekerjaan Risk Treatment secara berkala dan memberikan laporan untuk Risk Treatment yang telah ditindaklanjuti kepada Penanggung Jawab Manajemen Risiko Unit Usaha. 3. Mengembangkan budaya sadar Risiko (risk consciousness) dalam setiap Aktivitas Fungsi. D. INTERNAL AUDIT Internal Audit dalam kerangka Audit Berbasis Risiko berperan dan bertanggung jawab untuk : 1. Melakukan Risk Management Audit. 2. Melakukan kegiatan consulting atas proses identifikasi, analisis, rencana penanganan (treatment), pengendalian dan pemantauan Risiko. 3. Memberikan masukan kepada Direksi atas penentuan Risk Appetite dan Risk Tolerance atas kejadian Risiko yang telah diidentifikasi. 4. Memberikan laporan mengenai tingkat kecukupan dan efektifitas atas Pengendalian Internal terhadap Risiko kepada Direksi.

14 BAB IV PROSES MANAJEMEN RISIKO Proses Manajemen Risiko untuk operasional secara umum meliputi: 1. Komunikasi dan Konsultasi (Communication & Consultation) 2. Penentuan Lingkup Pengelolaan Risiko (Establish The Context) 3. Identifikasi Risiko (Risk Identification) 4. Analisis Risiko (Risk Analysis) 5. Evaluasi Risiko (Risk Evaluation) 6. Penanganan Risiko (Risk Treatment) 7. Pemantauan dan Kaji Ulang (Monitoring & Review) Proses Manajemen Risiko untuk proyek baik yang bersifat Pengembangan Bisnis maupun Penunjang Usaha di di Perusahaan secara umum meliputi: 1. Perencanaan Manajemen Risiko (Risk Management Planning) 2. Identifikasi Risiko (Risk Identification) 3. Analisis Risiko kualitatif dan kuantitatif (Risk Analysis) 4. Perencanaan Response Risiko (Risk Respond Planning) 5. Pemantauan dan Pengendalian Risiko (Risk Monitoring and Control) A. PROSES MANAJEMEN RISIKO OPERASIONAL 1. Komunikasi dan Konsultasi Komunikasi dan konsultasi adalah proses berkesinambungan dan berulang antara Perusahaan dan para pemangku kepentingan untuk saling memberikan, berbagi dan memperoleh informasi serta melakukan dialog terkait dengan penanganan Risiko. 2. Penentuan Lingkup Pengelolaan Risiko Penentuan Lingkup Pengelolaan Risiko adalah penentuan parameter internal dan eksternal yang harus diperhitungkan dalam mengelola Risiko, menentukan lingkup dan kriteria Risiko untuk kebijakan Manajemen Risiko. 3. Identifikasi Risiko a. Identifikasi Risiko (Risk Identification) adalah proses menemukan, mengenali dan menguraikan Risiko yang melekat pada setiap Aktivitas atau transaksi dalam proses bisnis Perusahaan berdasarkan lingkup pengelolaan Risiko yang telah ditentukan pada tahap sebelumnya. Hal-hal yang harus diperhatikan dalam proses Identifikasi Risiko antara lain: 1) Bersifat proaktif dan bukan reaktif. 2) Mencakup seluruh area kegiatan secara sistematis dan menggabungkan seluruh sumber informasi yang tersedia.

15 b. Mengembangkan pemahaman yang jelas dan analisa mengenai Risiko-risiko yang terdapat dalam kegiatan usaha yang lebih kompleks. c. Proses Identifikasi Risiko antara lain dapat didasarkan pada pengalaman kerugian Perusahaan yang pernah terjadi. d. Dalam melakukan Identifikasi Risiko dapat digunakan berbagai pendekatan dan metode. 4. Analisis Risiko Analisis Risiko (Risk Analysis) adalah suatu proses untuk memahami karakteristik Risiko (Probabilitas dan Dampak) yang dapat dilakukan secara kualitatif ataupun kuantitatif untuk menentukan tingkat dari Risiko (level of risk). a. Hasil Analisis Risiko merupakan dasar untuk mengkategorikan peringkat Risiko berdasarkan Dampak yang mungkin ditimbulkannya. b. Untuk mengetahui Profil Risiko Perusahaan dilakukan Pemetaan Risiko (Risk Mapping) berdasarkan tingkat Risiko dan Dampak terhadap Perusahaan. c. Pendekatan analisis Profil Risiko Perusahaan digunakan untuk mengukur: 1) Sensitivitas Aktivitas bisnis terhadap perubahan faktor-faktor terkait baik dalam kondisi normal maupun tidak normal. 2) Kecenderungan perubahan faktor-faktor tersebut berdasarkan fluktuasi perubahan yang terjadi di masa lalu dan korelasinya. d. Metode Analisis Risiko harus dikaitkan dengan hal-hal antara lain: 1) Jenis, skala, dan kompleksitas kegiatan usaha. 2) Kemampuan sistem pengumpulan data. 3) Kemampuan manajemen memahami makna dan keterbatasan dari hasil akhir sistem pengukuran Risiko yang digunakan. e. Metode Analisis Risiko harus dipahami secara jelas oleh pihak-pihak yang terkait dalam pengendalian Risiko. 5. Evaluasi Risiko Evaluasi Risiko (Risk Evaluation) adalah suatu proses untuk membandingkan hasil dari Analisis Risiko dengan Kriteria Risiko untuk menentukan apakah Risiko-risiko tersebut berada pada tingkat yang bisa diterima atau ditoleransi. 6. Penangangan Risiko (Risk Treatment) Penanganan Risiko (Risk Treatment) adalah suatu proses untuk mengembangkan, memilih alternatif-alternatif untuk menangani Risiko.

16 a. Alternatif Penanganan Risiko antara lain : 1) Menghindari Risiko (risk avoiding) dengan tidak melakukan Aktivitas atau Transaksi Usaha tertentu. 2) Pengurangan Risiko (risk reducing/risk mitigation), misalnya dengan peningkatan keselamatan kerja, pemeliharaan, peningkatan kompetensi sumber daya manusia, pemutakhiran sistem dan prosedur. 3) Pembagian Risiko (risk sharing) dengan pihak lain, misalnya kerjasama dengan bentuk joint venture/partnership. 4) Pemindahan Risiko (risk transfer) kepada pihak lain, misalnya penutupan asuransi, hedging. Pemindahan Risiko ini dapat dilakukan untuk Eksposur Risiko yang melampaui toleransi Risiko Perusahaan. 5) Risiko diterima (accept) dengan melaksanakan Aktivitas atau Transaksi Usaha tertentu dengan tanpa usaha untuk mengurangi, membagi ataupun memindahkan Risiko. 6) Kombinasi antara beberapa alternatif tersebut di atas. b. Pemilihan penanganan Risiko disesuaikan dengan strategi bisnis Perusahaan dan dengan mempertimbangkan biaya (Risk treatment Cost/Cost of Risk) dan manfaat. c. Penerapan (implementation) adalah proses pelaksanaan pilihan penanganan Risiko (Risk Treatment) yang paling optimal bagi Perusahaan. 7. Pemantauan dan Kaji Ulang Pemantauan atas proses Manajemen Risiko yang diterapkan harus dilakukan secara berkelanjutan. Pemantauan terhadap Risiko mencakup antara lain : a. Memantauan pelaksanaan rencana Penanganan Risiko b. Memantau keseluruhan Risiko-risiko Perusahaan yang dilakukan secara berkelanjutan. c. Memastikan bahwa tingkat Risiko tidak melampau toleransi yang telah ditetapkan. d. Mengidentifikasi Risiko dan menganalisis atas Eksposur Risiko tersebut. e. Mendistribusikan hasil analisis tersebut kepada pihak yang berwenang dalam proses pengambilan keputusan. Dalam melakukan kaji ulang atas proses Manajemen Risiko secara berkala oleh Direksi, perlu diperhatikan hal-hal sebagai berikut: a. Frekuensi, cakupan evaluasi dan kaji ulang disesuaikan dengan Eksposur Risiko yang ditimbulkan oleh Aktivitas bisnis yang dilakukan, serta kecepatan perubahan dalam metode pengukuran dan pengelolaan Risiko. b. Kaji ulang ini sebaiknya juga dilengkapi dengan kaji ulang oleh pihak lain yang memiliki kualifikasi dalam membuat model dan teknik Manajemen Risiko. c. Evaluasi dan kaji ulang terhadap pengukuran Risiko sekurang-kurangnya harus mencakup :

17 1) Metodologi, model, asumsi, dan variabel yang digunakan untuk mengukur Risiko dan menetapkan Toleransi Risiko. 2) Perbandingan antara hasil dari model pengukuran Risiko menggunakan simulasi atau proyeksi di masa mendatang dengan hasil sebenarnya. 3) Perbandingan antara asumsi yang digunakan dalam faktor input model dengan kondisi aktual. 4) Perbandingan antara struktur Toleransi Risiko yang ditetapkan dan Eksposur aktual. d. Pengukuran Eksposur dan Toleransi Risiko harus sejalan dengan strategi bisnis dan Manajemen Risiko Perusahaan dengan memperhatikan kinerja masa lalu dan kondisi keuangan Perusahaan. e. Proses pemantauan dan kaji ulang harus mencakup semua aspek dari proses Manajemen Risiko di atas dengan maksud untuk : 1) Menjamin efektifitas dan efisiensi pengendalian Risiko 2) Memperoleh informasi untuk memperbaiki proses dan hasil Risk Assessment 3) Melakukan analisis dan pembelajaran dari kejadian-kejadian Risiko 4) Mengidentifikasi Risiko-risiko baru yang timbul (emerging Risk) f. Hasil dari proses pemantauan dan kaji ulang harus didokumentasikan dan dilaporkan secara periodik dan menjadi input untuk mengkaji ulang kerangka Manajemen Risiko. B. MANAJEMEN RISIKO UNTUK AKTIVITAS ON GOING BUSINESS 1. Manajemen Risiko dilakukan dalam setiap proses Aktivitas On-going Business yang dilaksanakan oleh Risk Owner sesuai dengan proses bisnis Perusahaan dan tanggung jawab yang telah ditentukan. Proses bisnis Perusahaan meliputi antara lain: a. Rawat Jalan b. Rawat Inap c. Penunjang Medis d. Aktivitas pendukung untuk masing-masing proses bisnis 2. Direktur Unit Usaha dan Fungsi Manajemen Risiko Korporat bertanggung jawab untuk memastikan terlaksananya proses Manajemen Risiko atas setiap proses Aktivitas Ongoing Business pada Fungsi terkait berdasarkan prinsip efisiensi dan efektivitas biaya, pencegahan timbulnya persepsi negatif terhadap citra Perusahaan dan minimalisasi potensi Risiko lainnya serta maksimalisasi keuntungan Perusahaan. 3. Untuk dapat mengetahui Profil Risiko (Risk Profile) dari Aktivitas On-going Business Perusahaan, Penanggung Jawab Manajemen Risiko Unit Usaha dan Risk Owner harus melakukan Penilaian Risiko (Risk Assessment) yang dituangkan dalam Risk Register dan Pemetaan Risiko (Risk Mapping) dari seluruh Aktivitas dan/atau transaksi Perusahaan.

18 C. MANAJEMEN RISIKO UNTUK AKTIVITAS PENGEMBANGAN BISNIS DAN PENUNJANG USAHA 1. Jenis Aktivitas Pengembangan Bisnis (Business Development) termasuk tetapi tidak terbatas pada: a. Investasi Pengembangan Bisnis pada aktiva/usaha. b. Akuisisi atau pengambilalihan usaha atau paket aset dan kewajiban. c. Kerjasama usaha, termasuk merger, spin-off, dan lain-lain. d. Penghentian atau perubahan proses investasi atau kerjasama dan/atau perikatan dengan pihak lain. e. Divestasi asset, participating interest, dan share. f. Peminjaman dana (borrowing) atau penggalangan dana (fund raising), antara lain penerbitan obligasi, project financing, penerbitan saham baru. g. Penempatan atau penyerahan aset Perusahaan sebagai jaminan (collateral) atau gadai atau pertukaran aset atau penyewaan yang bukan merupakan Aktivitas usaha utama/rutin Fungsi atau Perusahaan. h. Penerbitan surat jaminan dan/atau pernyataan menjamin dalam bentuk apapun, baik secara langsung maupun tidak langsung, untuk berbagai tujuan kecuali surat jaminan yang terkait dengan kesehatan karyawan Perusahaan. i. Komitmen Perusahaan memasok produk antara (goods in process) yang bukan merupakan aktivtas penjualan normal, untuk tujuan dan dengan alasan apapun. 2. Jenis Aktivitas Penunjang Usaha: a. Investasi Penunjang Usaha. b. Proses disposal/divestasi aset yang bukan merupakan Aktivitas usaha utama Fungsi atau Perusahaan. 3. Penanggung Jawab Manajemen Risiko Unit Usaha dan Fungsi Manajemen Risiko Korporat bertanggung jawab atas pelaksanaan Manajemen Risiko dalam setiap proses Aktivitas Pengembangan Bisnis dan Penunjang Usaha pada Fungsi terkait berdasarkan prinsip efisiensi biaya, pencegahan timbulnya persepsi negatif terhadap reputasi Perusahaan dan minimalisasi potensi Risiko lainnya serta maksimalisasi keuntungan Perusahaan. 4. Investasi Proyek a. Setiap usulan investasi proyek, baik yang akan menggunakan dana internal maupun eksternal, disusun sesuai dengan pedoman usulan investasi proyek Pengembangan Bisnis yang berlaku dan mempertimbangkan berbagai kemungkinan Risiko, antara lain Risiko pemasaran, Risiko teknologi, Risiko sumber daya manusia, Risiko operasional, Risiko lingkungan dan sosial, Risiko hukum, dan Risiko finansial dan ekonomi. Biaya yang diperlukan untuk Penanganan Risiko (Cost of Risk), harus dimasukkan dalam perhitungan keekonomian investasi.

19 b. Tahapan investasi proyek secara umum meliputi: 1) Studi Pendahuluan (Preliminary Study) 2) Studi Kelayakan (Feasibility Study/conceptual engineering) 3) Persiapan dan pelaksanaan pemilihan pelaksana proyek (selection process) 4) Persiapan dan pelaksanaan proyek (preparation and implementation/ construction) 5) Penyelesaian dan serah terima (closing/finishing and hand-over/acceptance) c. Dalam setiap tahapan proyek, Risk Owner harus melakukan pengukuran Risiko dan menyusun laporan Analisis Risiko untuk setiap jenis Risiko yang dihadapi secara kualitatif dan atau kuantitatif, yang merupakan bagian yang tak terpisahkan dari setiap proposal maupun laporan setiap tahapan perkembangan proyek, dibantu oleh Penanggung Jawab Manajemen Risiko Unit Usaha dan Fungsi Manajemen Risiko Korporat sebagai fasilitator, yang disampaikan kepada Direktur Unit Usaha dan Direksi. d. Fungsi Manajemen Risiko Korporat melakukan Penilaian Risiko (Risk Assessment) atas usulan investasi Pengembangan Bisnis yang memerlukan keputusan Direksi sesuai dengan tahapan sebagai berikut: 1) Melakukan Analisis Risiko pendahuluan (preliminary Risk Analysis) atas Studi Pendahuluan (Preliminary Study) yang disusun oleh Fungsi / Unit Usaha. 2) Melakukan penelaahan (review) atas Penilaian Risiko (Risk Assessment) yang telah dilakukan oleh Fungsi dan Penanggung Jawab Manajemen Risiko Unit Usaha. Penelaahan dan pengukuran Risiko terutama dilakukan terhadap kelayakan usulan investasi dan kemungkinan terjadinya hal-hal yang memiliki Dampak negatif terhadap Perusahaan. 3) Melakukan penaksiran Risiko secara berkala atas pelaksanaan proyek bekerjasama dengan Fungsi terkait. Manajer Kontroler & Manajemen Risiko Disiapkan oleh : Disetujui oleh : VP Keuangan Direktur Keuangan Yoyon Suryono Bachtiar Novianto Desandri Tgl : Tgl : Tgl :