PEDOMAN PENERAPAN MANAJEMEN RISIKO

Transkripsi

1 Buku I PEDOMAN PENERAPAN MANAJEMEN RISIKO PT PEMBANGUNAN JAYA ANCOL, Tbk FEBRUARI 2014

2 Buku I PEDOMAN PENERAPAN MANAJEMEN RISIKO PT PEMBANGUNAN JAYA ANCOL, Tbk FEBRUARI 2014

3 DAFTAR ISI Halaman Bab I Pendahuluan Pokok Pokok Pertimbangan Manfaat Pedoman Penerapan Manajemen Risiko Landasan Perundangan Manajemen Risiko Prinsip Dasar dan Kerangka Manajemen Risiko Ruang Lingkup Penerapan Manajemen Risiko Definisi Istilah Yang Digunakan 8 Bab II Bab II Kebijakan Manajemen Risiko Proses Dasar Manajemen Risiko Proses Inti Manajemen Risiko Proses Penunjang Manajemen Risiko Hirarki Penyusunan Manajemen Risiko Komitmen 18 Bab III Panduan Penerapan Manajemen Risiko Tahapan Identifikasi Risiko Langkah langkah Identifikasi Risiko Penerapan Analisis dan Evaluasi / Pengukuran Risiko Penyusunan Daftar Risiko Menyusun Prioritas Risiko Strategis Perusahaan Tanggapan / Perlakuan Risiko... 34

4 Halaman Bab IV Proses Penunjang Manajemen Risiko Pemantauan Kaji ulang Penilaian Mandiri dan Penilaian Eksternal Komunikasi dan pelaporan Konsultasi Penyusunan dokumen manajemen risiko 41 Bab V Penutup 42 Tim Manajemen Risiko PT. Pembangunan Jaya Ancol 43 DAFTAR TABEL Tabel 1 Contoh Kuesioner Indikasi Risiko. 23 Tabel 2 Kelompok Penomoran Identifikasi Risiko Tabel 3 Pembobotan Nilai Kemungkinan dan Dampak Risiko Tabel 4 Contoh Pembobotan Nilai Kemungkinan dan Nilai Dampak.. 30 Tabel 5 Rating Dampak Risiko Pelaksanaan Proyek / Investasi.. 31 Tabel 6 Rating Dampak Tabel 7 Contoh Daftar Risiko Tabel 8 Contoh Daftar Risiko Strategis Perseroan Tabel 9 Scoring Penerapan Manajemen Risiko Tabel 10 Rencana Tindak Lanjut Pengendalian dan Tanggapan Risiko Tabel 11 Kertas Kerja Koreksi Rencana Tindakan Tabel 12 Kertas Kerja Laporan Pemutakhiran Risiko... 40

5 DAFTAR GAMBAR Halaman Gambar 1 Proses pengelolaan Risiko.. 3 Gambar 2 Tahapan Penyusunan Identifikasi Risiko Gambar 3 Identifikasi Risiko Berdasarkan Proses.. 21 Gambar 4 Skema Siklus Pengambilan Keputusan Perlakuan Risiko

6

7 Pedoman Penerapan Manajemen Risiko PT Pembangunan Jaya Ancol Tbk I. Pendahuluan 1. Pokok Pokok Pertimbangan Perseroan Terbatas Pembangunan Jaya Ancol, Tbk, selanjutnya disebut ( Perseroan ) merupakan Badan Usaha Milik Daerah Khusus Istimewa Jakarta, yang pada awal berdirinya berstatus sebagai Badan Pelaksana Pembangunan (BPP) Proyek Ancol. Pada tahun 1992 BPP Ancol diubah menjadi PT. Pembangunan Jaya Ancol sesuai dengan Akte Perubahan Nomor 33 Tanggal 10 Juli Tahun Saat tersebut, komposisi kepemilikan saham adalah 80% milik Pemerintah Propinsi DKI Jakarta dan 20% milik PT Pembangunan Jaya. Pada tanggal 2 Juli 2004, Perseroan melakukan go public menjadi PT. Pembangunan Jaya Ancol, Tbk, dengan komposisi kepemilikan saham 72% Pemda DKI, 18% PT Pembangunan Jaya dan 10% dimiliki masyarakat. Sejalan dengan meningkatnya kebutuhan masyarakat terhadap rekreasi, saat ini Perseroan mengembangkan unit-unit operasional yang berada dibawah koordinasi Direktorat Rekreasi yang meliputi : Departemen Taman Impian, Dunia Fantasi, Retail & Sponsorship dan Dufan Ocean. Disamping itu, untuk memenuhi permintaan masyarakat terhadap pemukiman, telah dikembangkan usaha properti yang meliputi: Departemen Properti 1, Properti 2, Properti 3 dan Pengelolaan Properti dibawah koordinasi Direktorat Properti. Untuk mendukung pengembangan kegiatan bisnis Perseroan yang terus meningkat, juga telah dibentuk Departemen Pengembangan Bisnis dan Anak Usaha dibawah koordinasi Direktorat Resor dan Pengembangan Bisnis. Sebagai pengawas pelaksanaan proyek baru, telah dibentuk Departemen Pembangunan Proyek Baru dibawah koordinasi Direktorat Teknik. 1

8 Dengan adanya pengembangan bisnis diatas, tentu terdapat tugas-tugas baru yang didukung unit-unit baru atau fungsional tertentu, disamping tugas-tugas lama untuk mempertahankan bisnis yang sudah ada. Dari tugas-tugas di atas, yang didalamnya mengandung perubahan, penambahan dan pengurangan tugas-tugas yang lama, serta mencakup wilayah operasi yang luas, tentu akan menimbulkan beberapa perubahan proses kegiatan. Perubahan proses kegiatan sering menimbulkan risiko-risiko baru di samping risiko-risiko lama yang melekat pada tugas-tugas sebelumnya. Oleh karena itu perlu adanya upaya untuk mengantisipasi terjadinya risiko yang dapat mengganggu pelaksanan tugas dan pencapaian tujuan Perseroan. Untuk mencapai hasil yang efisien dan efektif dalam mengantisipasi risiko lama maupun risiko baru, perlu didasari suatu persepsi yang sama terhadap pengelolaan risiko. Konsekuensinya, perlu disusun suatu pedoman penerapan pengelolaan risiko secara tertulis dalam bentuk Buku Pedoman Penerapan Manajemen Risiko. 2. Manfaat Pedoman Penerapan Manajemen Risiko Risiko secara umum merupakan kemungkinan terjadinya peristiwa yang membawa akibat yang tidak diinginkan atas tujuan, strategi dan target. Risiko mengandung dua elemen dominan, yaitu tingkat kemungkinan terjadinya risiko serta dampak bila risiko tersebut terjadi. Oleh karena itu, risiko merupakan sesuatu yang belum terjadi sehingga dapat diantisipasi atau dimitigasi kemungkinan terjadinya maupun dampak yang timbul bila peristiwa risiko benar-benar terjadi. Untuk mengantisipasi risiko diperlukan proses pengelolaan risiko, yang meliputi komunikasi dan konsultasi, penentuan konteks risiko, penilaian risiko, perlakuan risiko serta pemantauan dan kaji ulang. 1 1 ISO 31000, tahun

9 Gambar 1 Proses Pengelolaan Risiko PENENTUAN KONTEKS Gambar 1 K O M U N I K A S I & K O N S U L T A S I R I S I K O Konteks Proses Eksternal Pengelolaan Risiko Konteks Internal Konteks Proses Risiko Manajemen Kriteria Pengembangan Risiko MENGIDENTIFIKASI RISIKO Apa yang akan terjadi? Kapan? Dimana? Bagaimana? Mengapa? MENGANALISIS RISIKO Mengkaji Sistem Pengendalian Yang Ada Penentuan Kemungkinan Penentuan Dampak Mengestimasi Tingkat Risiko EVALUASI RISIKO - Membandingkan dengan Kriteria - Penentuan dan Penilaian - Memutuskan Pemilihan Tindakan terhadap Risiko - Menetapkan Prioritas PERLAKUAN RISIKO - Menyeleksi berbagai pilihan Perlakuan Risiko - Menyiapkan dan Melaksanakan Rencana Perlakuan Risiko P E N I L A I A N P E M A N T A U A N & P E N I N J A U A N 3

10 Dari kegiatan penyusunan identifikasi risiko, Perseroan dapat lebih awal memprediksi risiko yang mungkin timbul dengan melihat sumber-sumber risiko serta penyebab risiko yang merupakan proses dari kegiatan sumber-sumber tersebut. Dengan mengetahui risiko serta penyebabnya, Perseroan dapat memperoleh manfaat sebagai berikut: A. Mencegah peristiwa risiko yang pernah terjadi di suatu unit kerja agar tidak terulang di unit kerja tersebut maupun di unit kerja lainnya yang sejenis. B. Peristiwa risiko yang belum pernah terjadi yang diakibatkan adanya perubahan pada kondisi internal maupun eksternal mungkin dapat terjadi di Perseroan, sehingga dapat disiapkan cara perlakuan risiko lebih awal, apakah risiko tersebut dimitigasi, ditransfer, ditolak atau diterima. C. Bila diupayakan mitigasi atau transfer terhadap risiko yang telah diidentifikasi, Perseroan dapat lebih mudah mempertimbangkan perlu tidaknya rencana tindakan dengan memperhitungkan analisa manfaat dan biaya. D. Pengelolaan risiko yang baik akan lebih memudahkan penyusunan rencana dan anggaran, dikaitkan dengan penetapan kinerja yang harus dicapai serta upayaupaya rencana tindakan untuk mengatasi hambatan peristiwa risiko terhadap pencapaian kinerja unit operasional dan unit kantor pusat. E. Pengelolaan risiko yang baik dapat mengurangi hambatan-hambatan yang muncul dari masalah yang bersifat insidentil. 3. Landasan Perundangan Manajemen Risiko Undang-Undang Republik Indonesia Nomor 14 Tahun 2009 tentang Keterbukaan Informasi Publik maka pengelolaan risiko perlu mulai diterapkan untuk mengantisipasi adanya permintaan dari publik terhadap keterbukaan transformasi atas risiko Perseroan. 4. Prinsip Dasar dan Kerangka Manajemen Risiko A. Manajemen risiko melindungi dan menciptakan nilai tambah. Manajemen risiko memberikan kontribusi melalui peningkatan kemungkinan pencapaian sasaran Perseroan secara nyata. Selain itu, juga memberikan perbaikan dalam aspek keselamatan, kesehatan kerja, kepatuhan terhadap 4

11 peraturan perundang-undangan, perlindungan lingkungan hidup, persepsi publik, kualitas produk, reputasi, tata-kelola perusahaan, efisiensi operasi dan lain-lain. B. Manajemen risiko adalah bagian terpadu dari proses organisasi. Manajemen risiko merupakan bagian dari tanggung jawab manajemen dan merupakan bagian yang tidak terpisahkan dari proses organisasi, proyek, dan manajemen perubahan. Manajemen risiko bukanlah suatu kegiatan yang berdiri sendiri atau terpisah dari kegiatan serta proses organisasi dalam mencapai sasaran. C. Manajemen risiko adalah bagian dari proses pengambilan keputusan. Manajemen risiko membantu pengambilan keputusan secara benar atas dasar pilihan-pilihan yang tersedia dengan informasi yang selengkap mungkin. Manajemen risiko dapat membantu menentukan prioritas rencana tindakan dan membedakan berbagai alternatif rencana tindakan. Manajemen risiko dapat membantu menunjukkan semua risiko yang ada, mana risiko yang dapat diterima dan mana risiko yang memerlukan perlakuan lebih lanjut. Manajemen risiko juga memantau apakah perlakuan risiko yang diambil memadai dan cukup efektif atau tidak. Informasi ini merupakan bagian dari proses pengambilan keputusan. D. Manajemen risiko secara khusus menangani aspek ketidakpastian. Manajemen risiko secara khusus menangani aspek ketidakpastian dalam proses pengambilan keputusan. Ia memperkirakan bagaimana sifat ketidakpastian dan bagaimanakah hal tersebut harus ditangani. E. Manajemen risiko bersifat sistematik, terstruktur, dan tepat waktu. Sifat sistematik, terstruktur dan tepat waktu yang digunakan dalam pendekatan manajemen risiko inilah yang memberikan kontribusi terhadap efisiensi dan konsistensi manajemen risiko. Dengan demikian, hasilnya dapat dibandingkan dan memberikan hasil serta perbaikan. F. Manajemen risiko berdasarkan pada informasi terbaik yang tersedia. Masukan dan informasi yang digunakan dalam proses manajemen risiko didasarkan pada sumber informasi yang tersedia, seperti pengalaman, observasi, perkiraan, penilaian ahli, dan data lainnya yang tersedia. Namun tetap harus disadari bahwa semua informasi tersebut memiliki keterbatasan yang harus dipertimbangkan dalam proses pengambilan keputusan, baik dalam 5

12 membuat model risiko maupun perbedaan pendapat yang mungkin terjadi diantara para ahli. G. Manajemen risiko adalah khas untuk penggunaannya. Manajemen risiko harus diselaraskan dengan konteks internal dan eksternal organisasi, serta sasaran organisasi dan profil risiko yang dihadapi organisasi tersebut. Mengingat dalam entitas organisasi memiliki bebarapa fungsi organisasi yang memiliki tugas dan tanggung jawab yang berbeda-beda namun dengan satu tujuan yang sama yakni pencapaian keberhasilan sasaran dan tujuan entitas organisasi. Dengan demikian masing-masing fungsi dan tiap orang-orangnya haruslah berupaya memahami apa yang menjadi penghambat atau hal hal yang menjadi kunci keberhasilan pencapaian sasaran tugas dan tanggung jawabnya. H. Manajemen risiko mempertimbangan faktor manusia dan budaya. Penerapan manajemen risiko haruslah mengenali kapabilitas organisasi, persepsi dan tujuan masing-masing individu di dalam dan di luar organisasi, khususnya yang menunjang atau menghambat pencapaian sasaran organisasi. I. Manajemen risiko harus transparan dan inklusif. Untuk memastikan bahwa manajemen risiko tetap relevan dan terkini, para pemangku kepentingan dan pengambil keputusan di setiap tingkatan organisasi harus dilibatkan secara efektif. Keterlibatan ini juga harus memungkinkan para pemangku kepentingan terwakili dengan baik dan mendapatkan kesempatan untuk menyampaikan pendapat serta kepentingannya, terutama dalam merumuskan kriteria. J. Manajemen risiko bersifat dinamis, berulang dan tanggap terhadap perubahan. Ketika terjadi peristiwa baru, baik didalam maupun diluar organisasi, konteks manajemen risiko dan pemahaman yang ada juga mengalami perubahan. Dalam situasi semacam inilah tahapan pemantauan dan kaji ulang berperan memberikan kontribusi. Risiko baru pun muncul, ada yang berubah, ada juga yang menghilang. Oleh karena itu, menjadi tugas manajemen untuk memastikan bahwa manajemen risiko senantiasa memperhatikan, merasakan, dan tanggap terhadap perubahan. 6

13 K. Manajemen risiko harus memfasilitasi terjadinya perbaikan dan peningkatan organisasi secara berlanjut. Manajemen organisasi harus senantiasa mengembangkan dan menerapkan perbaikan strategi manajemen risiko serta meningkatkan kematangan pelaksanaan manajemen risiko, sejalan dengan aspek lain dari organisasi. 5. Ruang Lingkup Penerapan Manajemen Risiko Penerapan manajemen risiko di Perseroan, meliputi pengelolaan risiko secara umum yang terdiri dari pengorganisasian, proses kegiatan dan pendokumentasian: A. Pernyataan atau komitmen untuk menerapkan manajemen risiko Perseroan dari seluruh jajaran Perseroan. B. Sosialisasi manajemen risiko kepada unit-unit pemilik risiko, sampai dua tingkat dibawah Direksi, di lokasi kerja unit-unit dan/atau di kantor pusat, sebagai para pemilik risiko. C. Penyusunan tim pendamping, yang memahami kegiatan operasional/aktivitas unit-unit Perseroan. D. Penyusunan identifikasi risiko di unit-unit Perseroan, dengan mengurai aktivitas berdasarkan pendekatan diskripsi jabatan, proses bisnis dan unsur-unsur Indikator Kinerja Utama. E. Analisis dan evaluasi risiko, baik secara semi kuantitatif dengan metode pembobotan/skala rating maupun secara kuantitatif dengan menilai risiko dalam satuan nilai uang. F. Penyusunan buku daftar risiko sesuai identifikasi risiko yang terdapat di unit-unit Perseroan. G. Penyusunan risiko strategis Perseroan, yang merupakan risiko strategis yang bernilai relatif tinggi, biasanya diurut dalam daftar top risk, yang memuat nilai risiko yang dapat diterima oleh manajemen Perseroan (risk appetite). H. Penyusunan rencana tindakan untuk menghadapi risiko, khususnya risiko strategis Perseroan. I. Kegiatan yang terkait dengan proses penunjang, meliputi pemantauan dan kaji ulang, komunikasi dan pelaporan, serta pendokumentasian. 7

14 J. Pemutakhiran buku daftar risiko dan daftar risiko strategis setiap awal semester dua sebagai bahan penyusunan Rencana Kerja dan Anggaran Perseroan (RKAP). 6. Definisi Istilah Yang Digunakan Istilah-istilah yang digunakan dalam buku pedoman ini mempunyai pengertian sebagai berikut : A. Perseroan adalah Perseroan Terbatas (PT) Pembangunan Jaya Ancol, Tbk. B. Dewan Komisaris adalah Dewan Komisaris PT. Pembangunan Jaya Ancol, Tbk. C. Unit Operasional adalah semua unit berbasis pendapatan/profit yang ada di Perseroan meliputi unit-unit di Direktorat Properti, Rekreasi, Resor dan Direktorat Pengembangan Bisnis, serta anak Usaha. D. Unit Servis adalah seluruh Direktorat dan Fungsi-fungsi dibawahnya yang merupakan unit-unit berbasis biaya. E. Risiko (Risk) adalah suatu ukuran kemungkinan terjadinya peristiwa yang dapat menghasilkan dampak sehingga mempengaruhi pencapaian tujuan Perseroan. F. Risiko Strategis (Strategic Risk/Top Risk) adalah risiko utama yang dampak negatifnya secara signifikan dapat menggagalkan tujuan jangka pendek maupun jangka panjang Perseroan. G. Daftar Risiko (Risk Register) adalah alat manajemen yang memungkinkan suatu organisasi memahami profil resiko secara menyeluruh. Ini merupakan sebuah tempat penyimpanan untuk semua informasi resiko. (Risk Register Working Group 2002) H. Toleransi Risiko (Risk Tolerance) adalah sejumlah dampak negatif yang bersedia diterima atau ditoleri dalam upaya mencapai return tertentu. I. Pemetaan Risiko (Risk Mapping) adalah penyusunan risiko berdasarkan kelompok-kelompok tertentu sehingga manajemen dapat mengidentifikasi karakter dari masing-masing risiko dan menetapkan tindakan yang sesuai terhadap masing-masing risiko. 8

15 J. Rencana Tindakan (Action Plan) adalah berbagai cara yang ditentukan untuk mengatasi gangguan kelancaran proses Perseroan yang dapat meminimalisasi dampak dan kemungkinan terjadinya risiko. K. Dampak Risiko (Exposure) adalah tingkat risiko yang harus dihadapi sebagai akibat dari suatu aksi dan atau non-aksi. L. Risiko Potensial (Risk Potential) adalah sifat atau karakteristik yang dapat menimbulkan kerugian terhadap Perseroan pada saat risiko itu terjadi. M. Pemindahan Risiko (Risk Transfer) adalah keputusan untuk mendelegasikan atau memindahkan suatu beban kerugian ke suatu kelompok/bagian lain melalui jalur hukum,perjanjian/ kontrak,asuransi,dan lain-lain. Pemindahan risiko mengacu pada pemindahan risiko fisik dan bagiannya ke tempat lain. N. Risiko Yang Dapat Diterima (Acceptable Risk) adalah keputusan untuk menerima konsekuensi dan kemungkinan risiko tertentu. O. Risk Appetite adalah batas besaran risiko maksimal yang dapat terima organisasi dalam usahanya mencapai sasaran. P. Risiko Awal/Melekat (Inherent Risk) adalah risiko awal terhadap organisasi jika manajemen tidak mengambil tindakan apapun untuk mengubah kemungkinan terjadi risiko dalam kegiatan sehari-hari. Q. Risiko Residual (Expected Residual Risk) yang diharapkan adalah harapan perkiraan risiko sisa setelah manajemen mengambil tindakan (action plan) untuk mengubah kemungkinan terjadinya risiko atau dampak dari risiko, atau keduanya sekaligus, terhadap risiko awal. R. Risiko Kepatuhan (Compliance Risk) adalah risiko yang timbul akibat ketidakpatuhan terhadap peraturan, perundangan dan norma yang berlaku. S. Risiko Operasional (Operational Risk) adalah risiko yang timbul dalam pelaksanaan kegiatan operasional yang mencakup infrastruktur, sistem, proses, personel, teknologi atau faktor lainnya. T. Tanggapan/Perlakuan Risiko (Risk Treatment) adalah tindakan manajemen terhadap perkiraan risiko yang ada, meliputi tindakan menghindari risiko, mitigasi risiko, mentransfer risiko dan menerima risiko. U. Menghindari Risiko (Risk Avoidance) adalah tanggapan risiko dengan cara menghindari untuk tidak melakukan kegiatan yang dapat menimbulkan risiko. 9

16 V. Mitigasi risiko (Risk Reduction) adalah tanggapan risiko dengan cara memperkecil kemungkinan (likelihood) dan dampak (impact) yang berada dalam kisaran limit risiko. W. Berbagi Risiko (Risk Sharing) adalah tanggapan risiko dengan cara mengalihkan sebagian risiko untuk memperkecil risiko organisasi. X. Menerima Risiko (Risk Acceptance) adalah tanggapan risiko dengan cara menerima kemungkinan (likelihood) dan dampak (impact) yang berada dalam kisaran limit risiko. Y. Pemilik Risiko (Risk Owner) adalah unit-unit yang bertanggung jawab terhadap tugas-tugas operasional Perseroan, satu sampai dua tingkat dibawah Direksi, yang dalam kegiatan pengelolaan risiko unitnya, dikoordinasi oleh atasan langsung. Z. Dampak Beruntun (Domino Effect) adalah dampak kegagalan suatu kegiatan/fungsi yang berpengaruh signifikan dan mengakibatkan dampak kegagalan beberapa kegiatan/fungsi lanjutan/berikutnya. AA. Penilaian Eksternal (External Assessment) adalah penilaian status penerapan manajemen risiko oleh pihak luar yang independen dengan memberikan rekomendasi perbaikan dan peningkatan penerapan manajemen risiko di Perseroan. BB. Pengkajian Internal (Internal Review) adalah pengkajian ulang oleh tim internal yang dibentuk oleh Perseroan, sejauh mana rekomendasirekomendasi yang telah diberikan oleh penilai ekternal dilaksanakan oleh Perseroan secara keseluruhan. CC. Committee of Sponsoring Organizations of the Treadway Commission (COSO) adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985 yang telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal. 10

17 II. Kebijakan Manajemen Risiko Kebijakan manajemen risiko merupakan kebijakan yang mengatur rangkaian proses dasar manajemen risiko, tahapan proses inti manajemen risiko, serta proses penunjang manajemen risiko agar kegiatan manajemen risiko berjalan efisien dan efektif. 1. Proses Dasar Manajemen Risiko Proses dasar manajemen risiko meliputi kegiatan membangun lingkungan intern yang kondusif untuk berlangsungnya proses risiko berikutnya, serta menyusun konteks untuk menempatkan proses inti manajemen risiko. A. Dalam membangun lingkungan manajemen risiko, Direksi menetapkan kebijakan/pedoman manajemen risiko, membangkitkan dan memelihara budaya sadar risiko melalui sosialisasi kepada para pemilik risiko 2, menyiapkan organisasi/fungsi yang menangani manajemen risiko serta menyediakan sumberdaya yang menangani manajemen risiko. Bila organisasi/fungsi yang menangani manajemen risiko belum terbentuk, maka untuk pelaksanaan kegiatan manajemen risiko dibentuk tim manajemen risiko. B. Dalam penyusunan konteks risiko, fungsi yang menangani risiko dan atau pemilik risiko akan menyusun dan mempelajari hubungan peristiwa risiko yang mungkin terjadi terhadap sasaran kegiatan rutin maupun kegiatan non-rutin seperti proyek/investasi sebagai dasar kegiatan identifikasi risiko. C. Risiko kegiatan rutin yang mempunyai kaitan dengan strategi Perseroan dan perlu pengelolaan secara berlanjut terhadap kemungkinan terjadinya, dampak, serta pengaruhnya signifikan bagi kelangsungan usaha Perseroan, dikelompokkan dalam risiko strategis. D. Risiko kegiatan rutin yang mempunyai kaitan dengan proses kegiatan tertentu dari operasional tahunan Perseroan dan pengelolaannya diperlakukan sesuai dengan tingkat kualitas nilai risikonya, dikelompokkan dalam risiko operasional. E. Risiko non operasional maupun risiko operasional, secara tertulis dikompilasi dalam Dokumen Buku Daftar Risiko. F. Konteks risiko dapat bersifat strategis maupun operasional. Risiko yang bersifat strategis artinya memiliki dampak jangka panjang, berasal dari luar Perseroan dan signifikan, berpengaruh kepada kelangsungan hidup Perseroan. Sedangkan 2 ISO 31000, tahun

18 risiko yang bersifat operasional artinya dilakukan dalam jangka pendek, dapat dikendalikan dan memiliki dampak ringan maupun signifikan. 2. Proses Inti Manajemen Risiko Proses inti manajemen risiko secara garis besar meliputi: kegiatan mengidentifikasi risiko, menganalisis risiko dan mengevaluasi risiko serta memberi tanggapan atau perlakuan terhadap risiko. Kemudian dilanjutkan dengan tahap analisis dan evaluasi risiko. Setelah itu, perlu disusun rencana tindakan untuk memitigasi risiko yang nilainya tinggi dan mengacu pada daftar risiko serta risiko strategis Perseroan. Rencana tindakan ini digunakan sebagai bahan analisis manfaat dan biaya sebelum manajemen memutuskan memberikan tanggapan atau perlakuan terhadap risiko. A. Pelaksanaan Identifikasi Risiko : 1) Identifikasi risiko dilaksanakan oleh pemilik risiko dengan mengamati indikasi risiko, sumber dan penyebab terjadinya risiko, jenis kegiatan yang terpengaruh risiko, akibat dan konsekuensi bila terjadi risiko tersebut, serta pendokumentasian risiko. 2) Indikasi risiko dideteksi dari masalah yang timbul di masa lalu atau selama periode berjalan, baik kasus-kasus internal maupun kasus eksternal yang sejenis, tingkat kerumitan proses suatu kegiatan, adanya perubahan peraturan atau perubahan proses kegiatan, serta opini pakar dan masyarakat. 3) Sumber risiko secara garis besar dapat berasal dari risiko lingkungan, risiko proses dan risiko informasi untuk pengambilan keputusan 3. Risiko proses dan risiko informasi merupakan risiko internal Perseroan yang umumnya masih dalam kendali manajemen. Risiko lingkungan sebagian besar berasal dari eksternal yang umumnya bersifat diluar kendali manajemen. 4) Risiko yang sifatnya dapat dikendalikan segera disusun rencana tindakannya nya secara langsung, sedangkan risiko yang sifatnya tidak dapat dikendalikan perlu dilaporkan atau dikoordinasikan dengan pejabat eksternal yang terkait. 3 Enterprise Risk Management dari COSO, USA

19 5) Risiko yang diidentifikasi adalah risiko awal yang belum ditindaklanjuti dengan rencana tindakan. B. Analisis Risiko dan Evaluasi Risiko 1) Analisis Risiko dan Evaluasi Risiko disusun oleh pemilik risiko, digunakan untuk mengetahui tingkat besarnya risiko yang dapat menunjukkan besarnya pengaruh risiko terhadap tujuan Perseroan, serta untuk menyusun prioritas risiko yang memerlukan perlakuan tertentu. 2) Besaran nilai risiko merupakan hasil perkalian antara tingkat kemungkinan terjadinya risiko dengan taksiran besarnya nilai dampak. 3) Penilaian risiko dilaksanakan oleh pemilik risiko, dihitung secara nominal dalam nilai rupiah yang dapat diukur, juga taksiran nilai dampak terjadinya risiko, baik dampak tunggal maupun dampak beruntun. 4) Bila risiko dinilai secara nominal, maka tingkat kemungkinan risiko, yang merupakan taksiran frekuensi kejadian, harus dinyatakan dalam prosentase. Nilai prosentase dapat diperoleh secara konsensus antar tim atau antar pejabat fungsional melalui berbagai metode, maupun secara perhitungan statistik bila terdapat data historis yang terkait dengan terjadinya risiko. 5) Pengukuran risiko dilaksanakan oleh pemilik risiko, secara ordinal (semi kuantitatif, berdasarkan angka indeks) dengan pembobotan skala penilaian, bila taksiran nilai dampak terjadinya risiko sulit dinyatakan dalam nilai uang. 6) Bila risiko diukur secara ordinal, maka tingkat/frekuensi kemungkinan terjadinya risiko maupun taksiran nilai dampak harus diurutkan dalam bentuk berjenjang antara satu kontinum sampai lima kontinum. 7) Jenjang terbesar dari tingkat kemungkinan merupakan kemungkinan yang hampir pasti terjadi atau sering sekali terjadi, sedangkan jenjang terkecil dari tingkat kemungkinan adalah kemungkinan yang hampir pasti tidak tarjadi atau jarang sekali terjadi. 8) Jenjang terbesar dari dampak merupakan predikat bencana, sedangkan jenjang terkecil dari dampak adalah predikat yang dapat diabaikan/kecil sekali. 9) Dalam menetapkan posisi frekuensi kemungkinan terjadinya maupun tingkat besarnya dampak pada nilai kontinum, harus didasari kertas kerja uraian 13

20 kriteria kualitatif tiap kontinum, yang disusun secara berjenjang sesuai konteks risikonya. C. Rencana tindakan 1) Rencana tindakan merupakan rencana kegiatan mitigasi yang disusun pemilik risiko dan atau fungsi manajemen risiko yang ditujukan untuk memperkecil tingkat kemungkinan terjadinya risiko atau tingkat dampak atau tingkat kemungkinan dan dampak dari risiko awal. 2) Rencana tindakan harus fokus, terukur, dapat diterima, realistis dan ada batas. 3) Setelah rencana tindakan terhadap risiko awal, nilai sisa yang diharapkan harus lebih rendah atau sama dengan batas nilai risiko yang dapat diterima. 4) Dalam memperkirakan rencana tindakan, para pemilik risiko dan atau fungsi manajemen risiko harus mempertimbangkan azas manfaat dan biaya. 5) Risiko yang telah teridentifikasi, dianalisis, dievaluasi serta disusun rencana tindakannya, merupakan data untuk menyusun Dokumen Daftar Risiko Perseroan. Dari dokumen tersebut, dipilih risiko-risiko yang bernilai tinggi dan bersifat strategis, yang dihimpun dalam Dokumen Risiko Strategis, yang merupakan risiko prioritas Perseroan. 6) Rencana tindakan divalidasi dan disahkan oleh koordinator pemilik risiko. Rencana tindakan terhadap risiko strategis disahkan oleh Direksi. 7) Rencana tindakan harus dapat dihitung nilai biayanya untuk salah satu bahan penyusunan anggaran Perseroan. 8) Risk Appetite yang merupakan nilai risiko yang dapat diterima Perseroan disahkan oleh Dewan Direksi. 9) Risk Appetite dihitung berdasarkan beban yang mengurangi laba yang diharapkan yang secara agregat dapat ditoleransi dan dinyatakan dalam RKAP. D. Tanggapan atau perlakuan terhadap risiko 1) Berdasarkan data daftar risiko, data prioritas risiko, penetapan batas toleransi risiko, pertimbangan keuangan dan modal Perseroan, serta usulan pemilik risiko dan fungsi lainnya yang terkait, Direksi menetapkan/memutuskan perlakuan atau tanggapan risiko. 14

21 2) Direksi dapat memutuskan untuk menerima risiko, bila level risiko rendah atau sedang, tetapi diperkirakan biaya penurunan level risiko relatif besar; serta diperkirakan Perseroan dapat mempertahankan level risiko yang rendah tidak meningkat selama periode tertentu. 3) Direksi dapat memutuskan memitigasi risiko secara mandiri, bila risiko tersebut berasal dari dalam Perseroan, levelnya sedang atau tinggi, biaya mitigasi rendah dan setelah mitigasi perkiraan nilai risiko residual masih dibawah nilai toleransi Perseroan. Mitigasi risiko dapat dilaksanakan melalui kebijakan pengendalian internal maupun kegiatan fisik. 4) Direksi dapat memutuskan mitigasi secara transfer risiko kepada pihak lain bila pertimbangan dari segi manfaat dan biaya, mitigasi akan lebih efisien bila dilakukan pihak lain dari pada dilaksanakan sendiri. 5) Direksi dapat memutuskan untuk menghindari risiko dengan meninggalkan atau menghindari tujuan, karena level risikonya relatif tinggi, sumber risikonya berasal dari eksternal dan diluar kendali Perseroan, serta biaya mitigasinya sulit diukur. 6) Keputusan mengenai perlakuan risiko dievaluasi ulang setiap tahun, dengan mempertimbangkan perubahan internal dan eksternal Perseroan yang mempengaruhi risiko. E. Nomor Kode Risiko Setiap risiko yang terdapat pada buku daftar risiko maupun risiko strategis harus diberi nomor kode yang dapat menjelaskan departemen tempat terjadinya risiko serta nomor urut yang dapat menunjukkan jumlah risiko di setiap bagian organisasi. 3. Proses Penunjang Manajemen Risiko Proses penunjang manajemen risiko meliputi kegiatan pemantauan & pengkajian ulang/reviu, komunikasi, konsultasi dan pendokumentasian. A. Pemantauan & Kaji Ulang / Monitoring & Review 1. Pemantauan terhadap risiko yang berprioritas tinggi harus dievaluasi lebih sering. 15

22 2. Pemantauan atas efektifitas penerapan implementasi pengelolaan risiko pada unit-unit fungsional organisasi harus dilakukan secara mandiri oleh pimpinan unit yang bertanggung jawab. 3. Pengkajian ulang risiko secara semesteran meliputi pengkajian perubahan status tingkat dampak dan tingkat kemungkinan terjadinya risiko dikaitkan dengan perubahan kondisi internal dan eksternal, hilangnya risiko yang sudah ada dan timbulnya risiko baru, termasuk perubahan rencana tindakan. 4. Pelaporan pemantauan monitoring dan pengkajian ulang disampaikan kepada Direksi, paling tidak dilaksanakan tiap tahun, mencakup efektifitas rencana tindakan, analisa manfaat dan biaya mitigasi, perubahan prioritas risiko, risiko yang sudah ada yang hilang dan risiko baru yang muncul serta posisi nilai total risiko saat ini dibandingkan periode yang lalu. 5. Evaluasi penerapan manajemen risiko Perseroan dapat dilakukan secara mandiri atau oleh pihak eksternal. 6. Evaluasi penerapan manajemen risiko secara mandiri dapat dilakukan dengan menggunakan check list, kuesioner atau diagram alur 4. B. Komunikasi dan Pelaporan 1) Penerapan manajemen risiko harus disampaikan kepada karyawan operasional meliputi sosialisasi untuk membangkitkan dan memelihara budaya sadar risiko, meliputi pemahaman secara bertahap, membangkitkan partisipasi pengamatan indikasi risiko serta partisipasi dalam usulan rencana tindakan. 2) Kegiatan sosialisasi meliputi penyiapan buku panduan sosialisasi untuk unit operasional dan unit staf di kantor pusat. 3) Komunikasi internal manajemen risiko antar pemilik risiko meliputi kemungkinan terjadinya risiko yang sama, kejadian pengulangan atau risiko baru termasuk rencana tindakannya, pembandingan nilai dampak dari risiko yang sejenis serta pelaporan kepada atasan dan Direksi untuk memperoleh pertimbangan rencana tindakan dan keputusan perlakuan risiko. 4) Komunikasi internal manajemen risiko kepada Satuan Pengawasan Intern, meliputi proses inti manajemen risiko, sebagai alat pemantauan dan sarana 4 Enterprise Risk Management dari COSO, USA

23 pengembangan manajemen risiko serta daftar risiko dan risiko potensial sebagai bahan pelaksanaan audit berbasis risiko. 5) Komunikasi eksternal manajemen risiko kepada Dewan Komisaris meliputi pelaporan risiko-risiko strategis dalam daftar prioritas risiko Perseroan, rencana tindakan serta keputusan perlakuan risiko oleh Direksi. 6) Komunikasi eksternal manajemen risiko kepada Dewan Komisaris meliputi pelaporan risiko-risiko strategis dalam daftar prioritas risiko Perseroan, rencana tindakan serta keputusan perlakuan risiko oleh Direksi. 7) Dalam hal keterbukaan informasi penerapan manajemen risiko, Direksi harus memperhatikan komunikasi kepada publik, sesuai dengan Undang-Undang Nomor 15 Tahun 2009 tentang Keterbukaan Informasi Kepada Publik. C. Konsultasi 1) Konsultasi dilakukan untuk membantu unit-unit pemilik risiko, terutama dalam mengidentifikasi dan menilai risiko. 2) Konsultasi internal dilakukan oleh unit pembina/staf ahli manajemen risiko atau unit Satuan Pengawasan Intern. Bila unit pembina/staf ahli manajemen risiko belum dibentuk, konsultasi dilaksanakan oleh tim manajemen risiko. 3) Untuk pertama kali saat Perseroan merancang sistem manajemen risiko, pelaksanaan penilaian internal serta pengembangan konsep manajemen risiko lebih lanjut misalnya audit internal berbasis risiko, maka konsultasi dapat dilaksanakan oleh konsultan eksternal atau pakar bidang khusus yang terkait. D. Pendokumentasian 1) Pendokumentasian manajemen risiko dilaksanakan oleh pemilik risiko dan fungsi manjemen risiko perseroan. 2) Pemilik risiko mendokumentasikan identifikasi risiko di unitnya masingmasing, paling tidak meliputi uraian indikasi risiko, sumber, penyebab dan akibat risiko serta kertas kerja penetapan kriteria skala rating tingkat kemungkinan, tingkat dampak risiko secara ordinal, dan uraian perhitungan secara nominal. 3) Fungsi manajemen risiko mendokumentasikan rekapitulasi risiko, kertas kerja penggabungan dan eliminasi risiko, daftar risiko, risiko potensial, keputusan 17

24 Direksi tentang perlakuan risiko, pelaporan/surat-surat internal dan eksternal yang terkait dengan kegiatan manajemen risiko. 4. Hirarki Penyusunan Manajemen Risiko Hirarki penyusunan manajemen risiko melalui tahapan berikut: A. Identifikasi risiko disusun para pejabat manajer unit atau pejabat lain dua tingkat dibawah Direksi, sebagai pemilik risiko. B. Risiko para manajer unit dikompilasi, dikonsolidasi, dan divalidasi oleh general manajer terkait menjadi daftar risiko departemen. C. Daftar risiko milik divisi dikompilasi, dikonsolidasi dan divalidasi oleh Rapat Pleno Para General Manajer bersama koordinator risiko Perseroan menjadi draft buku daftar risiko Perseroan. Untuk tahap awal penerapan manajemen risiko, koordinator manajemen risiko Perseroan dapat dijabat oleh Kepala SPI (Satuan Pengawasan Intern) atau GM lain yang ditunjuk oleh Direksi. D. Dari draft buku daftar risiko disusun draft buku risiko potensial oleh Rapat Pleno Para General Manager dengan Kepala SPI. E. Draft buku daftar risiko dan draft risiko potensial dan risiko strategis divalidasi dan disahkan oleh Dewan Direksi. F. Risiko potensial dikirim kepada Dewan Komisaris untuk mendapatkan koreksi dan persetujuan dengan dokumen lembar persetujuan. G. Risiko potensial dimuat dalam RKAP dan diadakan pemutakhiran oleh para manajer unit setiap semester sebagai bahan siklus pemutakhiran risiko Perseroan secara tahunan. 5. Komitmen A. Bila fungsi manajemen risiko tidak dikoordinasi secara struktural oleh salah satu Direktorat, Dewan Direksi menunjuk salah satu Direksi sebagai pembina administrasi penerapan manajemen risiko. B. Untuk meningkatkan komitmen harus dibuat satu piagam yang ditandatangani Direktur Utama dan Komisaris Utama tentang pernyataan Perseroan untuk menerapkan manajemen risiko. 18

25 C. Kegiatan antisipasi manajemen risiko yang berdampak pada pengeluaran biaya harus tercakup dalam RKAP Perseroan. D. Perlu adanya peniliaian eksternal yang independen dan tim internal penilaian mandiri terhadap penerapan manajemen risiko secara periodik. E. Direksi perlu membentuk fungsi manajemen risiko baik struktural maupun fungsional dan mengadakan pelatihan kepada petugas fungsi manajemen risiko serta mengadakan lokakarya formal yang optimal bagi Perseroan. 19

26 III. Panduan Penerapan Manajemen Risiko Panduan penerapan manajemen risiko merupakan penerapan dari kebijakan yang diuraikan pada butir II, meliputi penyusunan identifikasi risiko, teknik-teknik evaluasi kuantitatif dan semi kuantitatif, penyusunan daftar risiko, penyusunan prioritas risiko serta kegiatan-kegiatan penunjang. 1. Tahapan Identifikasi Risiko Berdasarkan kebijakan manajemen risiko yang disusun dalam butir II serta sosialisasi manajemen risiko Perseroan yang bersifat umum, maka perumusan identifikasi risiko secara rinci di Perseroan dipisahkan atas risiko yang dapat terjadi di unit-unit operasional dan di unit-unit servis. Perumusan kegiatan identifikasi risiko ditujukan untuk memudahkan kompilasi maupun eliminasi risiko sejenis terutama risiko di divisi operasional. Setelah identifikasi risiko di unit operasional dan unit servis, diadakan validasi risiko tingkat unit dengan memperhatikan risiko-risiko sejenis. Dari daftar risiko yang telah divalidasi diadakan kompilasi dan pengolahan data tambahan untuk penyusunan daftar risiko. Secara skematik tahapan penyusunan identifikasi risiko menjadi daftar risiko dapat digambarkan sebagai berikut : Gambar 2 Tahapan Penyusunan Identifikasi Risiko di PT Pembangunan Jaya Ancol, Tbk Sosialisasi Umum Manajemen Risiko Kepada Identifikasi Risiko di Unit Servis (Risiko Non Operasional : Risiko Finansial, Legal, Kepatuhan dan Kebijakan) Identifikasi Risiko di Unit Operasional (Risiko Operasional) Penyusunan Risiko di Departemen dan Anak Usaha (Properti, Rekreasi, Resort dan Anak Usaha) Penyusunan nilai di Departemen (SDM, Hukum, Corporate Plan, Perencanaan, SIM, Pengembangan Bisnis, Pelelangan, Keuangan dan SPI) Validasi Risiko Operasional Validasi Risiko Non Operasional Validasi Risiko Perseroan oleh Tim Pendamping dan Para GM Dokumen Daftar Risiko Dokumen Risiko Strategis dan Pemetaan Risiko Perseroan 20 20

27 2. Langkah Langkah Identifikasi Risiko Langkah langkah identifikasi risiko meliputi kegiatan: A. Mengenali Indikasi Risiko Untuk mengenali indikasi risiko dapat digunakan kuesioner yang terkait dengan perubahan, masalah dari kegiatan masa lalu, tingkat kerumitan proses kegiatan, pendapat para ahli, informasi kejadian eksternal dari Perseroan sejenis dan analisis diagram alur. Contoh mengamati kemungkinan adanya risiko dan bentuk kuesioner dari kegiatan pengadaan dapat dilihat pada Gambar 3 dan Tabel 1. Gambar 3 Identifikasi Risiko Berdasarkan Proses PROSES DOKUMEN PIC/KETERANGAN BATASAN WAKTU Mulai Pembentukan Tim Manajemen Risiko Melakukan pertemuan dgn Tim Manajemen Risiko Surat Tugas Absen dan Format Daftar Risiko, Konsep & Cara Kerja Ketua tim (dari unit MR), anggota tim perwakilan tiap unit Unit MR, Anggota tim perwakilan tiap unit 1 Hari 1 Hari Penyusunan Daftar Risiko unit level Manager disetujui Ka. Dept/GM Penyusunan Risiko Potensial 2 Per Unit Daftar Risiko Risiko 2 Per Unit Unit MR, Ka. Dept/GM dan manajer seluruh unit Unit MR, Ka. Dept/GM seluruh unit 21 Hari 1 Hari Penyusunan Risiko Strategis (10/20 Risiko Korporat) Risiko Strategis (10/20 Risiko Korporat) Unit MR, Ka. Dept/GM seluruh unit 1 Hari A A Risiko Strategik (Pareto: nominal 21 dan ordinal)

28 PROSES DOKUMEN PIC/KETERANGAN BATASAN WAKTU A Pembuatan Ranking Berdasarkan Nilai Tingkat Risiko Risiko Strategis (Pareto: nominal dan ordinal) Unit MR, Ka. Dept/GM seluruh unit 1 Hari Pembuatan Pemetaan Risiko Pemetaan Risiko Unit MR 1 Hari Presentasi Risiko Strategis dan Pemetaan Risiko ke BOD & Keputusan Selera Risiko Risiko Strategis & Pemetaan Risiko Unit MR, BOD 1 Hari Pembuatan Rencana Tindakan untuk Kontrol/Mitigasi Risiko Strategik oleh GM Rencana Tindakan & Risiko Strategis Unit MR, Ka. Dept/GM seluruh unit 5 Hari Daftar Risiko Final (Risiko Awal/Melekat dan Risiko Residual) Daftar Risiko Final Unit MR 1 Hari Pelaporan Ke Direksi Daftar Risiko Final Unit MR 3 hari Pemantauan Daftar Risiko tiap 6 Bulan Form Pemantauan Daftar Risiko Unit MR, Ka. Dept/GM seluruh unit 21 hari Pembuatan/Evaluasi Daftar Risiko Laporan Daftar Risiko Termutakhir Unit MR 10 Hari 22

29 Indikasi Masalah Tigkat Kerumitan Perubahan Tabel 1 Contoh Kuesioner Indikasi Risiko Pertanyaan Pendapat Pakar Apakah ada hal-hal yang diidentifikasi oleh para pakar yang mengindikasikan keberadaan suatu risiko pada peride berjalan? Informasi Kejadian Eksternal dari Perusahaan Sejenis Apakah terdapat masalah di masa lalu atau selama periode berjalan yang mengindikasikan keberadaan suatu risiko pada peride berjalan? Apakah terdapat suatu proses yang memiliki tingkat pelaksanaan yang rumit? Apakah terdapat perubahan selama peride berjalan yang mengindikasikan keberadaan suatu risiko pada periode berjalan? Apakah terdapat kejadian ekstrem perusahaan sejenis yang mungkin dapat terjadi di perusahaan sendiri (bendungan yang runtuh dinegara lain), bending-bendung yang rusak, sabotase dan lain-lain? Keterangan Pertimbangkan masalah-masalah signifikan yang terjadi dimasa lalu atau selama peride berjalan, termasuk : - Risiko-risiko yang terindikasi yang terjadi dimasa lampau - Kelemahan pengendalian risiko - Tindakan pelanggaran hukum - Pertimbangkan proses yang memiliki tingkat pelaksanaan yang rumit - Pertimbangkan terjadinya kegagalan pelaksanaan tugas/target Pertimbangkan perubahan-perubahan yang terjadi pada : - Kondisi, transaksi dan proses dalam kegiatan operasi - Efektifitas kegiatan proses pengolahan informasi atau pegendalian risiko - Transaksi signifikan yang tidak biasa/hanya satu kali - Standar atau peraturan yang berlaku - Anggaran dasar (Peraturan Pemerintah), perubahan organisasi, dll Pertimbangkan risiko-risiko yang terjadi diidentifikasi ole para pakar dan praktisi yang menyangkut : - Masalah (misal: risiko-risiko melekat tertentu yang ada pada suatu industri) - Perubahan standar atau peraturan yang berlaku (misal : perubahan standar prosedur operasi) - Tingkat kerumitan Pertimbangkan risiko bila kejadian-kejadian yang menimpa perusahaan sejenis terjadi diperusahaan sendiri serta kondisi internal eksternal yang mempengaruhi timbulnya risiko tersebut. 23

30 B. Menentukan Sumber Risiko dan Penyebab Terjadinya Risiko Sumber risiko dapat berasal dari internal yang biasanya dapat dikendalikan maupun eksternal yang umumnya bersifat tidak dapat dikendalikan. Sumber risiko internal antara lain: karyawan, sarana prasarana, keputusan Direksi, prosedur-prosedur, keuangan, proses pengolahan data dan pelaporan dan ketepatan pengambilan keputusan. Bentuk penyebab risikonya dapat berupa pemogokan karyawan, demotivasi karyawan, kelalaian karyawan, ketidakmampuan karyawan, kerusakan alat kerja atau sarana, keusangan sarana, ketidakhandalan sarana, kerusakan prasarana seperti pemipaan, jaringan listrik dan jaringan serat optic, kelemahan alat pemantau, kebijakan dan prosedur-prosedur yang telah kadaluarsa, cara kerja dan organisasi yang sudah tidak sesuai, kelemahan perencanaan, pengadaan yang terlambat, ketidakakuratan informasi, ketidak efektifan pengamanan asset. Sumber risiko eksternal misalnya anomali musim, bencana alam, peraturan pemerintah, ekonomi Negara, perubahan sistem nilai masyarakat, teknologi dan lingkungan. Bentuk risikonya dapat berupa curah hujan yang berlebihan, banjir pasang laut, gelombang tinggi, sampah akibat siklus musim, petir, gempa bumi, perubahan kebijakan pemerintah pusat dan daerah, perubahan kurs mata uang, kenaikan suku bunga pinjaman, kebijakan perpajakan, resesi, tidak tersedianya komponen teknologi lama, kelemahan isi perjanjian dan hubungan yang kurang harmonis dari masyarakat sekitar. Penyebab risiko merupakan dasar untuk menyusun perkiraan rencana tindakan untuk menghadapi risiko. Oleh karena itu, dalam pengisian dokumen daftar risiko pengisian kolom rencana tindakan harus terkait dengan kolom penyebab risiko. C. Memformulasikan Akibat Risiko Formulasi akibat terjadinya peristiwa risiko merupakan uraian mengenai konsekuensi yang harus ditanggung Perseroan untuk menghadapi risiko, sehingga menimbulkan beban atau kerugian Perseroan. Sebagai contoh, gelombang tinggi dan musim angin barat dapat mengakibatkan pengunjung pantai dan pengunjung hotel berkurang sehingga potensi pendapatan menurun, keluhan pelanggan, dan pengeluaran biaya untuk penggantian alat. Dari faktorfaktor diatas dapat dihitung atau diperkirakan kerugian yang akan membebani 24

31 Perseroan baik secara nilai rupiah maupun kompensasi kegiatan antisipasi. Dalam pengisian dokumen daftar risiko, kolom akibat akan terkait dengan kolom besarnya dampak risiko. D. Nomor Identifikasi Risiko Risiko yang telah diidentifikasi sumber, penyebab, dan akibatnya, perlu diberi nomor identifikasi risiko untuk memudahkan penyusunan tindakan maupun tindak lanjutnya. Nomor identifikasi risiko di Perseroan dikelompokkan berdasarkan departemen dibawah koordinasi Direksi terkait. Penetapan nomor identifikasi risiko sesuai dengan tabel 2. 25

32 Tabel 2 Kelompok Penomoran Identifikasi Risiko Direktorat Nomor Identifikasi Unit Direktorat utama MR 20/01 SPI MR 11/01 Corporate Plan Direktorat Properti MR 29/01 Properti 1 MR 32/01 Properti 2 MR 33/01 Properti 3 MR 34/01 Pengelolaan Properti Direktorat Rekreasi MR 47/01 Retail dan sponsorship MR 61/01 Dufan MR 89/01 Dufan Ocean MR 58/01 Taman Impian Direktorat Resor dan MR 100/01 Resor Pengembangan Bisnis MR 22/01 Pengembangan bisnis MR-SB 42/01 Anak usaha - PT. Seabrezz Indonesia MR-ST 42/01 Anak usaha - PT. Sarana Tirta Utama Direktorat SDM dan Hukum MR 21/01 SDM & umum MR 25/01 Hukum Direktorat Teknik MR 14/01 Perencanaan MR 76/01 Pelelangan MR 18/01 Pembangunan proyek baru MR 19/01 Reklamasi Direktorat Keuangan MR 77/01 Treasure MR 17/01 Akunting MR 24/01 SIM 26

33 3. Penerapan Analisis dan Evaluasi / Pengukuran Risiko Kegiatan analisis risiko merupakan lanjutan dari kegiatan memformulasi akibat risiko. Formulasi akibat risiko digunakan untuk mengurai konsekuensi yang dapat merugikan Perseroan. Konsekuensi tersebut merupakan dampak dari suatu peristiwa risiko yang kemungkinan terjadinya risiko perlu dievaluasi untuk menetapkan tingkat signifikansi akibat risiko tersebut. A. Mencari/memperkirakan besarnya dampak dan kemungkinan Ciri dari dampak suatu peristiwa risiko biasanya mempunyai karakter yang merugikan Perseroan jangka pendek maupun jangka panjang, bersifat kualitatif maupun dapat dinominasikan dalam nilai uang. Untuk memudahkan prediksi besarnya dampak dalam nilai rupiah maka perlu diadakan uraian konsekuensi logis dari suatu dampak. Sebagai contoh dari dampak kecelakaan kerja diurai dalam konsekuensi biaya pengobatan karyawan, nilai jam kerja yang hilang, biaya kaderisasi/pelatihan karyawan pengganti. Bila suatu dampak mengakibatkan dampak lain yang beruntun, maka semua dampak dari internal yang beruntun yang dapat diindikasi harus dihitung menjadi nilai dampak Perseroan, misalnya: dampak dari kurang optimalnya fungsi ticketing dapat menimbulkan konsekueansi antrian terlalu panjang, frekuensi kunjungan pelanggan berkurang dan jam kerja karyawan tidak optimal. Untuk mempermudah mengurai peristiwa risiko serta dampaknya, dapat dilihat lampiran 1. B. Pendekatan Kuantitatif dalam Pengukuran Dampak Untuk mengukur besarnya dampak dapat digunakan pendekatan kuantitatif bila peristiwa risiko yang diidentifikasi pernah terjadi di Perseroan, sehingga dapat diperkirakan nilai historis dampak risiko yang akan terjadi. Bila nilai dampak dapat diperkirakan dalam nilai uang maka nilai kemungkinan harus dinyatakan dalam prosentase (%), sehingga nilai risiko dapat dihitung dengan mengalikan nilai prosentase kemungkinan dengan nilai dampak. Besarnya prosentase kemungkinan dapat dihitung dengan kesepakatan (bila data historis tidak lengkap) serta dengan pendekatan statistik (bila n / data historis < 30 digunakan distribusi Poisson, bila n > 30 digunakan distribusi normal). 27

34 Contoh: Dari data tahun , disimpulkan rata-rata terjadinya gangguan pasokan air terhadap perumahan adalah 5%, dengan rata-rata jumlah rumah sebanyak 60 unit. Menurut perhitungan, bila terjadi satu kali gangguan suplai air, rata-rata kerugian Perseroan mencapai Rp ,-. Karena adanya perubahan budaya penghuni perumahan serta tidak jelasnya sanksi terhadap kelalaian petugas suplai air, maka diperkirakan pada tahun 2011 akan terjadi gangguan suplai air sebanyak lima kali. Perhitungan risiko dengan pendekatan nominal, menggunakan teori kemungkinan / distribusi Poisson dapat dilakukan sebagai berikut. Rata-rata (µ) = 5% * 60 = 3 Diperkirakan tahun 2011 terjadi gangguan kabel 5 kali maka : P (5), µ = 3, pada distribusi Poisson diperoleh angka 0,1003 Jadi P (Kemungkinan) = 10,03% (dibulatkan menjadi 10%) Nilai risiko = 10% * 5 * Rp = Rp C. Pendekatan Semi Kuantitatif (Skala Ordinal) 1) Pada peristiwa risiko yang dampaknya sulit dinilai dengan uang, maka penentuan signifikansi peristiwa risiko dinilai secara semi kuantitatif (skala ordinal) dengan metode skala rating. Contoh peristiwa ini seperti masalah hukum, reputasi, hasil audit dengan opini ditolak atau tidak wajar, manajemen Perseroan terkena kasus KPK dan lain-lain. Skala rating untuk kolom kemungkinan terjadinya dan kolom dampak dari peristiwa risiko yang paling kecil dimulai dengan level 1 sedangkan yang paling besar dinilai dengan level 5. Karena rumus/notasi risiko yang dipilih adalah nilai dampak dikalikan nilai kemungkinan maka nilai peristiwa risiko berkisar antara 1 s/d

35 Pembobotan secara umum tingkat kemungkinan terjadinya dan dampak risiko disajikan dalam tabel berikut: Tabel 3 Pembobotan Nilai Kemungkinan dan Dampak Risiko Bobot Skala Rating Kemungkinan Terjadinya Risiko Dampak Risiko 1 Jarang Sekali Terjadi Ringan/Kecil Sekali 2 Jarang Terjadi Ringan 3 Kadang-Kadang Terjadi Sedang 4 Sering Terjadi Berat 5 Sering Sekali terjadi Berat Sekali (Catasthropic) Setiap kasus uraian dampak dan kemungkinan risiko harus disusun lebih dahulu kertas kerja terkait dengan karakter kemungkinan dan karakter dampak dari kasus risiko tersebut. Materialitas dampak dapat dikaitkan dengan prosentase tertentu dari pendapatan, biaya, atau tujuan strategis Perseroan sesuai dengan level organisasinya. Bila dampak risiko menyebabkan pendapatan Perseroan turun / biaya naik > 10%, maka dampak tersebut dinyatakan dengan predikat berat sekali dan diberi bobot 5. Bila dampak risiko menyebabkan tujuan strategis Perseroan tidak tercapai, maka nilai dampak dapat dinyatakan dengan predikat berat sekali. Sebagai panduan dapat digunakan contoh matrik kertas kerja matrik Departemen Pengelolaan Properti, sebagai berikut: 29