Pedoman Manajemen Risiko

Transkripsi

1 AK EM PRO PAT I E P R I M F Pedoman Manajemen Risiko Pedoman Manajemen Risiko Berbasis ISO untuk menunjang implementasi manajemen risiko Perusahaan sebagai bagian dari Good Governance dalam rangka meningkatkan kepastian pencapaian sasaran Perusahaan melalui pengelolaan downside risk dan pengoptimalan upside risk H, TI,R AM A H, IK H L A S, MU DA

2 DAFTAR ISI I Pendahuluan a. Latar Belakang 1 b. Profil Perusahaan 2 c. Latar Belakang Pengelolaan Risiko 4 d. Tujuan 6 e. Komponen Pengelolaan Risiko 7 f. Tiga Pilar Manajemen Risiko Perusahaan 8 II Definisi Istilah (ISO GUIDE 73:2009 Risk management Vocabulary) 10 III Prinsip dan Kerangka Manajemen Risiko 22 - Kerangka kerja untuk mengelola risiko 26 - Desain kerangka kerja 26 a. Mandat dan Komitmen 27 b. Perencanaan dan Pengorganisasian 1) Roadmap Manajemen Risiko 2) Risk Governance c. Pengembangan kapabilitas dan kapasitas 40 d. Evaluasi dan Perbaikan berkelanjutan 43 e. Proses pada tingkat operasional 48 IV Proses Manajemen Risiko 51 a. Komunikasi & Konsultasi 52 1) Komunikasi 52 2) Konsultasi 53 3) Matriks RACI 54 b. Penetapan Konteks 55 1) Konteks Eksternal 56 2) Konteks Internal 56 3) Kategori Risiko 58 4) Konteks Manajemen Risiko 59 5) Ruang Lingkup Manajemen Risiko a) Regular Objective Direktorat/Divisi/Cabang b) Specific Objective/khusus 6) Mengembangkan Kriteria Risiko 60 7) Mengembangkan Hirarki Risiko dalam Perusahaan 61 c. Menyusun tabel dampak 63 d. Menyusun tabel kemungkinan

3 e. Mengukur tingkat Keefektifan Kontrol atau Pengendalian saat ini 71 f. Menentukan Tingkat Risiko 72 g. Menentukan Toleransi Risiko 74 V Asesmen dan Perlakuan Risiko 76 a. Asesmen Risiko 77 1) Identifikasi Risiko a) Area Risiko b) Bagaimana Mengidentifikasi Risiko c) Bagaimana Mendeskripsikan Risiko 2) Analisis Risiko a) Analisis Kontrol atau Pengendalian Terkini b) Menentukan Tingkat Risiko 3) Evaluasi Risiko 84 4) Risk Register 85 5) Profil Risiko 87 a) Fungsi profil risiko 87 b) Informasi apa yang harus masuk dalam Profil Risiko? 88 c) Peta Risiko 89 d) Risiko dengan Sasaran 89 e) Peta keefektifan kontrol f) Laporan Pemantauan Status Risiko 91 g) Mendokumentasikan Proses Manajemen Risiko 92 b. Perlakuan Risiko 93 1) Seleksi opsi perlakuan 94 2) Mengembangkan rencana perlakuan risiko 95 VI Mekanisme Monitor dan Tinjau Ulang 97 a. Model Elemen Proses 97 b. Peninjauan proses manajemen risiko 100 c. Mengukur kinerja manajemen risiko

4 1.1. Latar Belakang a. Bahwa dengan telah ditetapkannya Visi dan Misi serta mempertimbangkan perubahan lingkungan baik eksternal maupun internal PT. Jasa Raharja (Persero), selanjutnya disebut Jasa Raharja atau perusahaan, yang berpotensi menimbulkan berbagai jenis risiko, maka ke depan diperlukan pengelolaan semua risiko secara sistematis, terstruktur dan komprehensif dalam rangka meningkatkan kepastian tercapainya tujuan dan sasaran perusahaan baik jangka panjang sebagaimana yang dituangkan dalam Rencana Jangka Panjang Perusahaan (RJPP) maupun jangka pendek sebagaimana tertuang dalam Rencana Kerja Anggaran dan Pendapatan (RKAP). b. Bahwa pengelolaan risiko diperlukan dalam rangka penguatan penerapan prinsipprinsip Good Corporate Governance (GCG) terutama terkait dengan penegakan praktek bisnis yang sehat dan dapat memberikan nilai tambah yang sesuai dengan harapan para pemangku kepentingan (stakeholders). c. Bahwa Jasa Raharja sebagai perusahaan asuransi BUMN mengacu pada Pasal 25 Peraturan Menteri Negara BUMN RI Nomor Per-01/MBU/2011 tentang Tata Kelola Perusahaan Yang Baik (GCG) pada BUMN, wajib memenuhi ketentuan sebagai berikut: 1. Direksi, dalam setiap pengambilan keputusan/tindakan korporasi, harus mempertimbangkan risiko usaha. 2. Direksi wajib membangun dan melaksanakan program manajemen risiko korporasi secara terpadu yang merupakan bagian dari pelaksanaan program GCG. 3. Pelaksanaan program manajemen risiko dapat dilakukan dengan membentuk unit kerja tersendiri yang ada di bawah Direksi; atau memberi penugasan kepada unit kerja yang ada dan relevan untuk menjalankan fungsi manajemen risiko. 4. Direksi wajib menyampaikan laporan profil risiko dan penanganannya bersamaan dengan laporan berkala perusahaan. d. Bahwa Jasa Raharja sebagai Lembaga Jasa Keuangan Non Bank, mengacu pada Pasal 2 ayat 1 Peraturan Otoritas Jasa Keuangan Nomor 10/POJK.05/ tentang Penilaian Tingkat Risiko Lembaga Jasa Keuangan Non Bank, wajib menerapkan prinsip kehati-hatian dan manajemen risiko dalam melakukan kegiatan usahanya. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 1 dari 102

5 e. Bahwa Jasa Raharja sebagai Perusahaan Perasuransian, mengacu pada Pasal 4 ayat (2) butir d Peraturan Otoritas Jasa Keuangan Nomor 2/POJK.05/ tentang Tata Kelola Perusahaan Yang Baik bagi Perusahaan Perasuransian, pelaksanaan prinsip tata kelola perusahaan yang baik paling kurang harus diwujudkan dalam penerapan manajemen risiko termasuk sistem pengendalian intern. f. Bahwa untuk menyesuaikan diri dengan perkembangan standarisasi praktek Enterprise Risk Management (ERM) secara internasional, maka pengembangan sistem Manajemen Risiko Jasa Raharja dilaksanakan dengan mengadopsi standar internasional ISO 31000:2009 Risk Management Principles and Guidelines, yang telah diadopsi menjadi standar nasional SNI ISO 31000: Profil Perusahaan a. Sejarah dan Tujuan Pendirian Perusahaan Sejarah berdirinya Jasa Raharja tidak terlepas dari adanya peristiwa pengambil alihan atau nasionalisasi Perusahaan-Perusahaan Milik Belanda oleh Pemerintah RI. Sesuai dengan Peraturan Pemerintah (PP) No.3 tahun 1960, jo Pengumuman Menteri Urusan Pendapatan, Pembiayaan dan Pengawasan RI No.12631/BUM II tanggal 9 Februari 1960, terdapat 8 (delapan) perusahaan asuransi yang ditetapkan sebagai Perusahaan Asuransi Kerugian Negara (PAKN) dan sekaligus diadakan pengelompokan dan penggunaan nama perusahaan sebagai berikut : Fa. Blom & Van Der Aa, Fa. Bekouw & Mijnssen, Fa. Sluiiters & co, setelah dinasionalisasi digabungkan menjadi satu bernama PAKN Ika Bhakti. NV. Assurantie Maatschappij Djakarta, NV. Assurantie Kantoor Langeveldt- Schroder, setelah dinasionalisasi digabungkan menjadi satu, dengan nama PAKN Ika Dharma. NV. Assurantie Kantoor CWJ Schlencker, NV. Kantor Asuransi "Kali Besar", setelah dinasionalisasi digabungkan menjadi satu, dengan nama PAKN Ika Mulya. PT. Maskapai Asuransi Arah Baru setelah dinasionalisasi diberi nama PAKN Ika Sakti. Perkembangan organisasi perusahaan tidak terhenti sampai disitu saja, karena dengan adanya pengumuman Menteri Urusan Pendapatan, Pembiayaan dan Pengawasan RI No /BUM II tanggal 31 Desember 1960, keempat perusahaan tersebut di atas digabung dalam satu Perusahaan Asuransi Kerugian Negara (PAKN) Ika Karya. Selaniutnya PAKN Ika Karya berubah nama meniadi Perusahaan Negara Asuransi Kerugian (PNAK) Eka Karya. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 2 dari 102

6 Berdasarkan PP No.8 tahun 1965 dengan melebur seluruh kekayaan, pegawai dan segala hutang piutang PNAK Eka Karya, mulai 1 Januari 1965 dibentuk Badan Hukum baru dengan nama 'Perusahaan Negara Asuransi Kerugian Jasa Raharja" dengan tugas khusus mengelola pelaksanaan Undang-Undang (UU) No.33 dan Undang-Undang (UU) No.34 tahun Penunjukkan PNAK Jasa Raharja sebagai pengelola kedua Undang-Undang tersebut ditetapkan berdasarkan Surat Keputusan Menteri Urusan Pendapatan, Pembiayaan dan Pengawasan RI No. BAPN tanggal 30 Maret Pada tahun 1970, PNAK Jasa Raharja diubah statusnya menjadi Perusahaan Umum (Perum) Jasa Raharja. Perubahan status ini dituangkan dalam Surat Keputusan Menteri Keuangan Republik Indonesia No. Kep.750/KMK/IV/II/1970 tanggal 18 November 1970, yang merupakan tindak lanjut dikeluarkannya UU. No.9 tahun 1969 tentang Bentuk- Bentuk Badan Usaha Negara. Pada tahun 1978 yaitu berdasarkan PP No.34 tahun 1978 dan melalui Surat Keputusan Menteri Keuangan Republik Indonesia yang selalu diperpanjang pada setiap tahun dan terakhir No. 523/KMK/013/1989, selain mengelola pelaksanaan UU. No.33 dan UU. No. 34 tahun 1964, Jasa Raharja diberi tugas baru menerbitkan surat jaminan dalam bentuk Surety Bond. Kemudian sebagai upaya pengemban rasa tanggung jawab sosial kepada masyarakat khususnya bagi mereka yang belum memperoleh perlindungan dalam lingkup UU No.33 dan UU No.34 tahun 1964, maka dikembangkan pula usaha Asuransi Aneka. Kemudian dalam perkembangan selanjutnya, mengingat usaha yang ditangani oleh Perum Jasa Raharja semakin bertambah luas, maka pada tahun 1980 berdasarkan pp No.39 tahun 1980 tanggal 6 November 1980, status Jasa Raharja diubah lagi menjadi Perusahaan Perseroan (Persero) dengan nama PT (Persero) Asuransi Kerugian Jasa Raharja, yang kemudian pendiriannya dikukuhkan dengan Akte Notaris Imas Fatimah, SH No.49 tahun 1981 tanggal 28 Februari 1981, yang telah beberapa kali diubah dan ditambah terakhir dengan Akte Notaris Imas Fatimah, SH No.59 tanggal 19 Maret 1998 berikut perbaikannya dengan Akta No.63 tanggal 17 Juni 1998 dibuat dihadapan notaris yang sama. Pada tahun 1994, sejalan dengan diterbitkan UU No.2 tahun 1992 tentang Usaha Perasuransian, yang antara lain mengharuskan bahwa Perusahaan Asuransi yang telah menyelenggarakan program asuransi sosial dilarang menjalankan asuransi lain selain program asuransi sosial, maka terhitung mulai tanggal 1 Januari 1994 Jasa Raharja melepaskan usaha non wajib dan surety bond dan kembali menjalankan program asuransi sosial yaitu mengelola pelaksanaan UU. No.33 tahun 1964 dan UU. No.34 tahun Perkembangan terakhir pada tahun telah diterbitkan UU No. 40 tahun tentang Usaha Perasuransian yang menempatkan Jasa Raharja bukan sebagai DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 3 dari 102

7 asuransi sosial lagi dan menjadi asuransi wajib. Tingkat ketidakpastian cukup besar apabila dikaitkan dengan pencapaian visi Jasa Raharja di masa mendatang, sehingga peran manajemen risiko diharapkan dapat menjawab tantangan ini. b. Bisnis Inti Jasa Raharja Bisnis inti Jasa Raharja adalah Asuransi Kecelakaan Lalu Lintas Jalan dan Penumpang Umum sebagaimana diatur dalam Undang-Undang No 33 dan No.34 Tahun 1964, PMK RI No.36/PMK.010/2008 dan PMK RI No.37/PMK.010/ Latar Belakang Pengelolaan Risiko Awal mula Manajemen Risiko di PT Jasa Raharja (Persero) dilakukan pada akhir tahun Pada saat itu Perusahaan menyadari bahwa Manajemen Risiko merupakan salah satu elemen penting dari Good Corporate Governance dan memiliki fungsi strategis untuk mengenali berbagai macam risiko yang dihadapi atau akan dihadapi oleh Perusahaan. Melalui pelaksanaan Manajemen Risiko, Perusahaan juga bertujuan untuk melindungi manajemen agar tidak menghasilkan kebijakan yang merugikan Perusahaan dimasa masa mendatang. Proses Manajemen Risiko diawali dengan adanya suatu proses untuk membentuk kesadaran pada setiap jenjang organisasi, dengan memberi pemahaman bahwa dalam setiap aktivitas yang dilaksanakan di unit kerja pasti mengandung suatu risiko, atau dengan kata lain tidak ada kegiatan yang tanpa risiko. Oleh karena itu perlu ditetapkan suatu pola untuk pengelolaan risiko, agar risiko tidak menyebabkan kerugian bagi Perusahaan atau bahkan kalau memungkinkan dapat dikelola menjadi suatu peluang yang dapat meningkatkan keuntungan bagi Perusahaan. Perusahaan menyadari bahwa risiko adalah bagian yang tak terpisahkan dari proses organisasi, oleh karena itu Manajemen Risiko bukanlah sesuatu yang terpisahkan dari kegiatan utama organisasi ataupun proses lain organisasi. Manajemen Risiko menjadi bagian yang tak terpisahkan dari tanggung jawab manajemen, dalam memastikan tercapainya sasaran organisasi. Berdasarkan hal tersebut di atas, maka Manajemen Risiko haruslah diintegrasikan sepenuhnya ke dalam governance atau tata kelola Perusahaan untuk lebih memberikan kepastian terhadap pencapaian sasaran Perusahaan dan mewujudkan tata kelola Perusahaan yang baik. a. Pertimbangan Strategis dan Operasional 1. Intisari (essence) dari GCG adalah pencapaian misi dan visi perusahaan melalui pelaksanaan aspek-aspek sbb: a) Menatahubungan yang seimbang (balanced of authority) antar organ perseroan; DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 4 dari 102

8 b) Menata hubungan harmonis (win-win solutions) dengan para pemangku kepentingan; c) Membangun sistem perencanaan perusahaan dan implementasinya yang efektif dan efisien; dan d) Membangun sistem pengendalian internal (internal control system) yang andal. 2. Memperhatikan potensi risiko yang bersumber dari pengaruh lingkungan eksternal dan internal perusahaan, maka penerapan manajemen risiko merupakan kebutuhan yang penting bagi pencapaian sasaran aspek GCG di atas. 3. Karena itu, Direksi telah menyatakan komitmennya untuk menerapkan Manajemen Risiko di lingkungan perusahaan dengan menetapkan kebijakan dalam bentuk Pedoman Manajemen Risiko di Lingkungan Perusahaan. 4. Selanjutnya membentuk struktur manajemen risiko yang mencukupi untuk mendorong serta membantu setiap Unit Kerja dalam implementasi pedoman tersebut. b. Pertimbangan kepatuhan hukum (compliance) 1. Undang-Undang No.40 Tahun 2007 tentang Perseroan Terbatas. 2. Peraturan Menteri Keuangan No.152/PMK/2012 tentang Tata Kelola Yang Baik bagi Perusahaan Perasuransian. 3. Peraturan Menteri BUMN No: Per-01/MBU/2011 tanggal 1 Agustus 2011 tentang Penerapan Tata Kelola Perusahaan Yang Baik Pada BUMN. 4. Keputusan Menteri Keuangan Nomor 168/PMK/2010 Tentang Pemeriksaan Perusahaan Perasuransian. 5. Keputusan Sekretaris Kementerian BUMN No.SK-16/S.MBU/2012 tentag Indikator/Parameter Penilaian dan Evaluasi Atas Penerapan Tata Kelola Perusahaan Yang Baik Pada Badan Usaha Milik Negara. 6. Standar Internasional Manajemen Risiko ISO 31000:2009 Risk Management- Principles and Guidelines. 7. Standar Internasional Manajemen Risiko ISO Guide 73:2009 Risk Management Vocabulary. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 5 dari 102

9 8. Standar Internasional Manajemen Risiko ISO 31010:2009 Risk Assessment Techniques. 9. Standar Internasional Manajemen Risiko HB Delivering assurance based on ISO 31000:2009 Risk Management Principles and guidelines 1.4. Tujuan a. Tujuan Pengelolaan Risiko 1. Meningkatkan kesadaran bahwa semua upaya pencapaian sasaran dan target-target perusahaan mengandung risiko dan karenanya setiap individu, unit kerja (Direktorat/Divisi/Satuan/Cabang/Kantor Perwakilan), harus dapat mengelola risiko sesuai kedudukan dan tanggungjawabnya masing-masing sebagai bagian dari pengelolaan risiko korporat terintegrasi. 2. Meningkatkan kepastian pencapaian sasaran dan target-target perusahaan dengan cara: a) Menurunkan tingkat kemungkinan keterjadian peristiwa-peristiwa berbahaya yang dapat terjadi. b) Meminimalkan potensi kerugian sebagai dampak yang ditimbulkan oleh peristiwa-peristiwa tersebut. b. Tujuan Penyusunan Pedoman Manajemen Risiko 1. Menjadi landasan kebijakan bagi operasionalisasi fungsi dan proses manajemen risiko di Jasa Raharja. 2. Mendefinisikan peran dan tanggung jawab dari masing-masing organ organisasi yang terlibat dalam proses manajemen risiko. 3. Mengatur penerapan manajemen risiko berbasis SNI ISO 31000:2011 di lingkungan Jasa Raharja. 4. Memastikan agar pengelolaan risiko perusahaan dapat berlangsung secara sistematis dan terstruktur, sehingga pada akhirnya perusahaan terhindar dari kerugian yang secara signifikan dapat mempengaruhi nilai dan kekayaan perusahaan. 5. Memberikan kerangka pelaporan untuk memastikan terdapatnya komunikasi atas informasi manajemen risiko yang diperlukan. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 6 dari 102

10 6. Sebagai sarana untuk menumbuhkembangkan kesadaran akan arti penting manajemen risiko di Jasa Raharja. 7. Dengan berlakunya Pedoman Manajemen Risiko ini maka seluruh Pimpinan unit kerjapada setiap tingkatan struktur organisasi wajib menjalankan proses manajemen risiko secara terintegrasi dengan proses bisnis di unit masingmasing dan secara berkala melaporkan perkembangannya kepada Direksi Komponen Pengelolaan Risiko a. Dalam Pedoman ini, sistem manajemen risiko terdiri dari 3 (tiga) komponen yang saling terkait yaitu: 1. Prinsip-prinsip manajemen risiko, 2. Kerangka kerja dalam mengelola risiko, dan 3. Proses pengelolaan risiko. b. Prinsip-prinsip manajemen risiko merupakan pondasi (nilai dasar) bagi pengembangan kerangka kerja pengelolaan risiko yang merupakan pilar-pilar bagi penerapan proses manajemen risiko. Sementara proses manajemen risiko adalah penjabaran dari kerangka kerja pengelolaan risiko dalam rangka mempermudah penerapan prinsip-prinsip pengelolaan risiko, baik di tingkat korporat, di tingkat unit kerja, maupun individu. Skema hubungan ketiga komponen tersebut adalah sebagai berikut: Gambar 1.1. Hubungan 3 Komponen Sistem Manajemen Risiko DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 7 dari 102

11 1.6. Tiga Pilar Manajemen Risiko Perusahaan Model Tiga Pilar Manajemen Risiko Perusahaan mengadopsi pendekatan Three Lines of Defence atau Pertahanan Tiga Lapis (Referensi: The Three Lines of Defense in Effective Risk Management and Control Institute of Internal Auditor), yang membedakan antara fungsi-fungsi bisnis sebagai pemilik risiko terhadap fungsi yang mengelola risiko (managing risks), dan antara fungsi yang mengawasi risiko (overseeing risks) dengan fungsi-fungsi yang menyediakan pemastian independen (independent assurance). 1. Pilar Pertama (managing risks) Unit Kerja Teknis / Risk Taking Unit (RTU) sebagai garis depan atau ujung tombak organisasi, bertanggungjawab untuk : a. Memastikan adanya lingkungan pengendalian (control environment) yang kondusif.. b. Menerapkan kebijakan manajemen risiko yang telah ditetapkan sewaktu menjalankan peran dan tanggung jawabnya c. Mempertimbangkan faktor risiko dalam keputusan-keputusan dan tindakantindakan yang dilakukannya. d. Mampu menunjukkan adanya pengendalian internal yang efektif, dan juga adanya pemantauan dan transparansi terhadap efektifitas pengendalian internal tersebut. 2. Pilar Kedua (overseeing risks) Divisi Manajemen Risiko dan Penelitian Pengembangan bertanggung jawab untuk a. Mengembangkan dan memantau implementasi manajemen risiko perusahaan secara keseluruhan. b. Melakukan pengawasan terhadap bagaimana fungsi bisnis dilaksanakan dalam koridor kebijakan manajemen risiko dan prosedur-prosedur standard operasionalnya yang telah ditetapkan oleh perusahaan. c. Memantau dan melaporkan risiko-risiko perusahaan secara menyeluruh kepada organ yang memiliki akuntabilitas tertinggi di perusahaan. 3. Pilar Ketiga (independent assurance) Satuan Pengawasan Intern adalah bagian internal perusahaan yang bersifat independen terhadap fungsi-fungsi lainnya, bertanggung jawab untuk a. Melakukan reviu dan evaluasi terhadap rancang bangun dan implementasi manajemen risiko secara keseluruhan, dan b. Memastikan bahwa pertahanan lapis pertama dan lapis kedua berjalan sesuai dengan yang diharapkan. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 8 dari 102

12 Gambar di samping menunjukkan bahwa ketiga lapis pertahanan berada di bawah akuntabilitas dan koordinasi langsung Direksi sedangkan Dewan Komisaris - melalui organ komite yang dimiliki Dewan Komisaris memiliki akuntabilitas tidak langsung terhadap pertahanan lapis ketiga. Walaupun Dewan Komisaris hanya memiliki koordinasi dengan auditor internal dan eksternal untuk pertahanan lapis ketiga, mereka juga sebenarnya secara *Forum dapat dibentuk dan bersifat adhoc tidak langsung terlibat dalam pemantauan efektifitas pertahanan Gambar 1.2: Tiga Pilar Manajemen Risiko lapis kedua melalui hasil reviu auditor internal tentang efektifitas kebijakan dan implementasi manajemen risiko di perusahaan secara menyeluruh. Sedangkan Forum Manajemen Risiko dapat dibentuk oleh Direksi untuk memberikan masukan kepada Direksi terkait pelaporan profil risiko dan hasil peninjauan ulang implementasi manajemen risiko yang disampaikan oleh Divisi Manajemen Risiko dan Penelitian Pengembangan. Dengan diterapkannya model ini, semakin besar kemungkinan terbentuknya budaya manajemen risiko yang terintegrasi di seluruh proses dan seluruh lini perusahaan, untuk menuju ke tingkat kematangan pengelolaan manajemen risiko perusahaan yang semakin baik. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 9 dari 102

13 BAB II DEFINISI ISTILAH-ISTILAH Istilah dan definisi yang digunakan dalam Pedoman ini mengacu pada istilah dan definisi yang digunakan pada ISO GUIDE 73:2009 Risk management Vocabulary yang menjadi standar internasional istilah untuk manajemen risiko. Hal ini dimaksudkan untuk menghindari kerancuan dari berbagai macam istilah dan definisi yang digunakan dalam berbagai macam standar yang mungkin sudah dipakai perusahaan. 1. Analisis risiko (risk analysis) Proses untuk memahami sifat risiko dan untuk menentukan peringkat risiko: analisa risiko merupakan dasar untuk evaluasi risiko dan landasan keputusan perlakuan risiko. 2. Area Dampak Jenis Dampak yang dipengaruhi oleh suatu kejadian risiko, misalnya keuangan, reputasi, keselamatan kerja dlsb. 3. Asesmen risiko (risk assessment) Keseluruhan proses yang meliputi identifikasi risiko, analisa risiko, dan evaluasi risiko. 4. Atribut Risiko (risk attributes) Adalah atribut suatu risiko atau kondisi risiko yang digambarkan secara lengkap meliputi: nama risiko, jenis risiko, deskripsi risiko, kategori risiko, kemungkinan, dampak, sumber risiko, ukuran (magnitude) risiko, status risiko dan pemilik risiko. 5. Berbagi risiko (risk sharing) Salah satu bentuk perlakuan risiko adalah mendistribusikan risiko dengan pihak-pihak lain, dimana: - Ketentuan perundang-undangan dapat membatasi atau melarang pembagian risiko ini; - Pembagian risiko dapat dilakukan melalui asuransi atau jenis perjanjian lainnya; - Pembagian risiko dapat menciptakan risiko baru atau mengubah risiko yang ada. 6. Berbahaya (hazard) Sumber potensial yang menyebabkan terjadinya bahaya, dimana kondisi berbahaya ini merupakan salah satu sumber risiko. 7. Daftar risiko (risk register) Rekaman informasi mutakhir dari risiko yang telah teridentifikasi, dimana kadang-kadang digunakan juga istilah risk log. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 10 dari 102

14 BAB II DEFINISI ISTILAH-ISTILAH 8. Dampak (consequence) Akibat dari suatu peristiwa yang mempengaruhi sasaran organisasi, dimana: - Satu peristiwa dapat menimbulkan berbagai dampak; - Satu dampak dapat dipastikan tetapi juga tidak dapat dipastikan, begitu juga dampak ini dapat bersifat positif tetapi juga dapat bersifat negatif; - Dampak dapat dinyatakan secara kuantitatif atau kualitatif. 9. Eksposur Risiko (risk exposure) Adalah besaran risiko yang berpotensi ditanggung oleh satu entitas dimana besaran risiko diukur berdasarkan likelihood dan besarnya kerugian yang akan ditanggung apabila risiko tersebut terjadi (impact). 10. Entitas (entity) Satu perusahaan yang didirikan untuk tujuan tertentu. Entitas dapat berupa perusahaan bisnis, organisasi non-profit, badan pemerintah atau institusi akademik. Entitas juga sinonim dari organisasi dan perusahaan. 11. Evaluasi risiko (risk evaluation) Proses untuk membandingkan hasil analisa risiko dengan kriteria risiko dan kemudian ditentukan apakah peringkat risiko dapat diterima atau ditolerir, dimana evaluasi risiko membantu dalam membuat keputusan terhadap perlakuan risiko. 12. Ex-Ante Satu aktivitas yang dilakukan untuk kepentingan satu event, dimana event tersebut belum, sedang, atau akan terjadi/berlangsung. 13. Ex-Post Satu aktivitas yang dilakukan untuk kepentingan satu event, dimana event tersebut telah terjadi. 14. Fasilitator risiko (risk officer) Pegawai pada setiap Divisi/Kantor Cabang yang ditunjuk untuk menjalankan peran fungsional untuk membantu RTU Divisi/Kantor Cabang dalam menjalankan proses manajemen risiko di unit kerjanya masing-masing. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 11 dari 102

15 BAB II DEFINISI ISTILAH-ISTILAH 15. Frekwensi (frequency) Satu ukuran dari kemungkinan terjadinya peristiwa yang dinyatakan dalam jumlah peristiwa yang terjadi dalam satu periode tertentu. 16. Identifikasi risiko (risk identification) Proses dalam menemukan, mengenali dan/atau menguraikan atribut-atribut risiko. Identifikasi risiko meliputi identifikasi sumber-sumber risiko, peristiwa dan penyebabnya serta dampaknya. Identifikasi risiko juga meliputi data historis, analisa teoritis, pendapat ahli dan persepsi serta kebutuhan pemangku kepentingan. 17. Kebijakan manajemen risiko (risk management policy) Pernyataan arahan dan maksud organisasi terkait dengan manajemen risiko. 18. Keengganan risiko (risk aversion) Sikap enggan untuk menerima /menjalani suatu proses dengan hasil yang tidak pasti ketimbang sesuatu yang lebih pasti. 19. Kelemahan (vulnerability) Suatu kumpulan sifat yang melekat pada sesuatu hal yang membuatnya rentan terhadap sumber risiko, sehingga memudahkan timbulnya dampak. 20. Kemungkinan (likelihood) Kesempatan/kemungkinan bahwa sesuatu akan terjadi, dimana panduan ini menggunakan kata likelihood mengacu pada pengertian bahwa sesuatu diharapkan akan terjadi, dimana harapan ini dinyatakan baik secara obyektif atau subyektif dengan menggunakan ukuran seperti probabilitas, frekwensi terjadinya untuk suatu jangka waktu tertentu, atau model matematik tertentu. Istilah bahasa Inggris likelihood tidak ditemui padanannya yang tepat dalam bahasa lain. Ini berbeda dengan istilah probability yang sering ditafsirkan secara sempit sebagai istilah statistik. Oleh karena itu panduan ini menggunakan istilah likelihood dengan maksud dan pengertian yang lebih luas, yang juga dipunyai oleh bahasa lain. 21. Kerangka kerja manajemen risiko (risk management framework) Seperangkat komponen-komponen yang memberikan landasan dan kerangka kerja untuk merencanakan, menerapkan, memonitor, meninjau ulang, dan secara berkelanjutan memperbaiki proses manajemen risiko pada seluruh bagian organisasi. Yang dimaksudkan sebagai landasan adalah kebijakan, sasaran, mandat dan komitmen manajemen risiko. Termasuk dalam kerangka kerja organisasi adalah rencana, tata hubungan, akuntabilitas, sumber daya, proses dan kegiatan. Kerangka kerja manajemen risiko menyatu ke dalam kebijakan strategis, operasional dan praktik-praktik organisasi. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 12 dari 102

16 BAB II DEFINISI ISTILAH-ISTILAH 22. Ketahanan (resilience) Kemampuan untuk bertahan terhadap pengaruh suatu peristiwa. 23. Keterbatasan Inheren (inherent limitation) Suatu keterbatasan yang melekat pada sistem EWRM (Enterprise Wide Risk Management) terutama dikarenakan keterbatasan pertimbangan (judgement) manusia, keterbatasan sumber daya dan keinginan mengendalikan biaya dalam rangka mencapai tujuan tertentu, dan kemungkinan manajemen menyembunyikan informasi atau berkolusi. 24. Ketidakpastian (uncertainty) Suatu keadaan atau kondisi dimana terdapat kekurangan informasi atau ketidakjelasan informasi terkait dengan kemungkinan dan/atau dampak dari suatu peristiwa. 25. Kondisi Menguntungkan (favorable variance) Adalah suatu kondisi dimana realisasi yang dicapai lebih baik atau melampaui target atau anggaran yang ditetapkan. 26. Komunikasi dan konsultasi (communication and consultation) Proses yang berkelanjutan dan berulang antara organisasi dan para pemangku kepentingan dalam saling memberikan, berbagi dan memperoleh informasi serta melakukan dialog terkait dengan penanganan risiko. Informasi ini dapat berupa adanya sifat, bentuk, kemungkinan terjadinya, kegawatan, evaluasi, dapat diterimanya, perlakuan atau aspek lain dari risiko atau manajemen risiko. Konsultasi adalah proses dialog antara organisasi dengan para pemangku kepentingan, yang berdasarkan informasi tersedia akan menentukan sikap atau arah kebijakan sebelum mengambil keputusan. Konsultasi merupakan suatu proses bukan keluaran yang pengaruhnya pada sebuah keputusan lebih atas dasar pertimbangan dan bukan kekuasaan. Selain itu, konsultasi merupakan masukan untuk proses pengambilan keputusan, dan bukan pengambilan keputusan bersama. Komunikasi internal dan konsultasi hendaknya dibuatkan risalahnya dengan baik. 27. Konteks eksternal (external context) Lingkungan eksternal tempat organisasi berusaha mencapai sasarannya, dimana konteks eksternal meliputi: - Lingkungan budaya, politik, ekonomi, hukum, peraturan-peraturan, teknologi, keuangan, alam dan persaingan usaha. Baik ini secara nasional, internasional, maupun lokal; - Berbagai macam kecenderungan maupun dorongan penting yang dapat mempunyai pengaruh atau dampak terhadap sasaran organisasi; - Persepsi dan nilai-nilai para pemangku kepentingan eksternal. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 13 dari 102

17 BAB II DEFINISI ISTILAH-ISTILAH 28. Konteks internal (internal context) Lingkungan internal organisasi dimana dilakukan upaya untuk mencapai sasarannya. Konteks internal meliputi: - Kemampuan organisasi dalam pengertian sumber daya dan pengetahuan (misalnya modal, waktu, orang, sistem, teknologi, dan lain sebagainya); - Sistem informasi, alur informasi dan proses pengambilan keputusan baik formal maupun informal; - Pemangku kepentingan internal; - Kebijakan, sasaran dan strategi untuk mencapainya; - Persepsi, nilai-nilai dan budaya organisasi-standar dan model acuan yang digunakan oleh organisasi-struktur, misalnya: governance, peran dan akuntabilitas. 29. Kondisi tidak menguntungkan (unfavorable variance) Adalah suatu kondisi dimana realisasi yang dicapai lebih rendah atau tidak mencapai target atau anggaran yang ditetapkan. 30. Kontrol Terkini (existing control) Adalah pengendalian atas suatu risiko yang sudah ada pada saat tertentu yang terkini. 31. Kriteria risiko (risk criteria) Kerangka acuan terhadap suatu besaran dimana risiko akan diukur. Kriteria risiko dibuat berdasarkan konteks internal dan eksternal, serta secara berkala akan ditinjau untuk memastikan relevansinya. Kriteria risiko juga dapat diturunkan dari standar, kebijakan dan peraturan perundangan. 32. Manajemen risiko (risk management) Upaya terkoordinasi untuk mengarahkan dan mengendalikan kegiatan-kegiatan organisasi terkait dengan risiko. 33. Matriks RACI Matriks RACI adalah alat yang sederhana yang berguna untuk menjelaskan dan menegaskan peran dan tanggungjawab lintas fungsi/bagian dalam suatu proyek, program, proses dan pada tiap perubahan organisasi. R=Responsible, A=Accountable, C=Consulted/Contribute, I= Informed. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 14 dari 102

18 BAB II DEFINISI ISTILAH-ISTILAH 34. Mitigasi risiko (risk mitigation) Tindakan untuk mengurangi dampak yang tidak diinginkan. 35. Monitoring (monitoring) Pemeriksaan, supervisi, observasi berkala atau pemeriksaan status dengan tujuan untuk mengetahui dan memastikan apakah terjadi perubahan atau penyimpangan kinerja dari yang telah ditentukan atau direncanakan. Pemantauan dapat dilaksanakan terhadap kerangka kerja manajemen risiko, proses manajemen risiko dan risiko itu sendiri. 36. Paparan risiko (exposure) Suatu keadaan dimana suatu organisasi dan/atau pemangku kepentingan menjadi bagian dari atau terlibat dalam suatu peristiwa. 37. Pelaporan risiko (risk reporting) Suatu bentuk komunikasi untuk menyampaikan informasi mengenai status risiko dan pengelolaannya kepada pemangku kepentingan internal maupun eksternal. 38. Pemangku kepentingan (stakeholders) Setiap orang atau organisasi yang dapat mempengaruhi atau dipengaruhi, atau menganggap dirinya dapat dipengaruhi oleh suatu keputusan atau kegiatan, dimana pengambil keputusan juga dianggap sebagai pemangku kepentingan. 39. Pemangku risiko (risk owner) Orang, bagian, atau organisasi yang mempunyai akuntabilitas dan kewenangan untuk mengelola risiko serta perlakuan risiko yang terkait. 40. Pembiayaan risiko (risk financing) Salah satu bentuk perlakuan risiko yang mencakup rencana kontingensi untuk penyediaan dana guna memenuhi kebutuhan dampak finansial yang mungkin terjadi. 41. Penerimaan risiko (risk acceptence) Keputusan yang matang untuk menerima suatu risiko tertentu, dimana: - Penerimaan risiko dapat terjadi tanpa proses perlakuan risiko atau ketika proses tersebut sedang berjalan. - Penerimaan risiko dapat pula berupa proses. - Risiko yang diterima harus dimonitor dan ditinjau ulang. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 15 dari 102

19 BAB II DEFINISI ISTILAH-ISTILAH 42. Pengendalian (control) Kegiatan untuk mengubah tingkat risiko menjadi lebih rendah. Kegiatan pengendalian adalah hasil dari perlakuan risiko, dimana kegiatan pengendalian meliputi antara lain proses kerja, kebijakan, peralatan, praktek atau tindakan yang untuk mengubah risiko. 43. Pengendalian internal (internal control) Suatu proses yang didesain oleh Dewan Direksi, manajemen dan personil lainnya untuk menghadirkan suatu tingkat keyakinan yang memadai bahwa tujuan-tujuan tercapai dengan optimal seperti: efektifitas dan efisiensi operasi, kehandalan laporan keuangan, dan kepatuhan terhadap hukum dan regulasi yang berlaku. 44. Peninjauan/Kaji ulang (review) Kegiatan yang dilakukan untuk menentukan kecocokan, kecukupan dan efektifitas sesuatu obyek atau sistem dalam mencapai sasaran yang telah ditetapkan, dimana pemantauan dapat dilaksanakan terhadap kerangka kerja manajemen risiko, proses manajemen risiko dan risiko itu sendiri. 45. Penggabungan risiko (risk aggregation) Proses untuk menggabungkan masing-masing risiko untuk memperoleh gambaran dan pemahaman terhadap risiko. 46. Penghindaran risiko (risk avoidance) Keputusan untuk tidak terlibat atau menarik diri dari suatu kegiatan berdasarkan pertimbangan peringkat risiko. Penghindaran risiko dapat merupakan hasil evaluasi risiko atau ketentuan hukum. 47. Peringkat risiko (level of risk) Besarnya atau kegawatan risiko dinyatakan melalui kombinasi besaran dampak dan kemungkinan. 48. Peristiwa (event) Kejadian atau perubahan yang terjadi pada suatu kondisi atau lingkungan tertentu, dimana: - Sifat, kemungkinan dan dampak dari suatu peristiwa tidak selalu dapat diketahui dengan baik; - Sebuah peristiwa dapat terjadi beberapa kali (berulang) dan akibat dari penyebab yang berbeda-beda; DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 16 dari 102

20 BAB II DEFINISI ISTILAH-ISTILAH - Kemungkinan dari sebuah peristiwa dapat diperkirakan; - Sebuah peristiwa dapat terdiri pada satu atau lebih kondisi tertentu; - Sebuah peristiwa yang mempunyai dampak, seringkali disebut sebagai kejadian ; 49. Peristiwa mengandung risiko (risk event) Adalah suatu peristiwa yang terjadi, baik yang telah diantisipasi maupun belum diantisipasi, dimana peristiwa tersebut memenuhi kualitas dan pengertian Risiko. 50. Perlakuan risiko (risk treatment) Proses untuk memodifikasi (mengeksploitasi dan mengendalikan) risiko. Perlakuan risiko meliputi: - Menghindari risiko dengan memutuskan untuk tidak menjalankan pencapaian sasaran yang berisiko tersebut; - Mengambil atau meningkatkan nilai risiko dalam rangka mengeksploitasi peluang; - Menghilangkan atau menurunkan pengaruh dari sumber penyebab risiko; - Mengubah besar dan sifat dari kemungkinan timbulnya risiko; - Mengubah tingkat potensi kerugian sebagai dampak terjadinya risiko; - Berbagi risiko dengan pihak lain; - Mempertahankan tingkat risiko yang sudah aman; - Perlakuan risiko yang ditujukan untuk mengurangi dampak negatif risiko, seringkali disebut juga dengan istilah-istilah: mitigasi risiko, eliminasi risiko, pencegahan risiko dan reduksi risiko. - Perlakuan risiko dapat memodifikasi tingkat risiko yang ada atau menimbulkan risiko baru sebagai efek sampingnya. 51. Persepsi risiko (risk perception) Pandangan atau persepsi pemangku kepentingan terhadap risiko. Persepsi risiko menunjukkan kebutuhan, masalah dan pengetahuan pemangku kepentingan terhadap risiko. Selain itu, persepsi risiko dapat berbeda dengan data obyektif. 52. Peta risiko (risk map) Teknik untuk memperagakan dan menyusun tingkat risiko dengan menggambarkannya pada sumbu dampak dan kemungkinan. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 17 dari 102

21 BAB II DEFINISI ISTILAH-ISTILAH 53. Prinsip prepare for the worst Prinsip yang mempertimbangkan pada kondisi yang paling buruk jika suatu peristiwa yang mengandung risiko terjadi. 54. Probabilitas (probability) Ukuran untuk menyatakan harapan terjadinya suatu peristiwa yang dinyatakan dalam angka 0 sampai dengan 1. Angka 0 menyatakan peristiwa tersebut tidak mungkin terjadi dan angka 1 menyatakan peristiwa tersebut pasti terjadi. 55. Profil risiko (risk profile) Gambaran keseluruhan atau sekumpulan risiko-risiko organisasi. Kumpulan risiko tersebut dapat merupakan kumpulan untuk seluruh organisasi atau untuk bagian tertentu dari organisasi, atau sesuai dengan kebutuhan. 56. Proses manajemen (management process) Serangkaian tindakan yang dilakukan manajemen untuk menjalankan suatu perusahaan. Enterprise Wide Risk Management (EWRM) adalah salah satu bagian dari dan terintegrasi dengan proses manajemen. Proses atau fungsi manajemen klasik adalah merencanakan, mengorganisasikan, melaksanakan, mengarahkan dan mengawasi. 57. Proses manajemen risiko (risk management process) Penerapan secara sistematik kebijakan, prosedur dan praktik manajemen untuk pelaksanaan tugas dalam berkomunikasi dan konsultasi, menetapkan konteks, mengidentifikasi, menganalisa, mengevaluasi, memperlakukan, memonitor dan reviu risiko. 58. Rencana manajemen risiko (risk management plan) Dokumen yang merupakan bagian dari kerangka kerja manajemen risiko, yang berisikan cara-cara pendekatan, cara kerja manajemen, metodologi, teknik dan sumber daya yang akan diterapkan dalam manajemen risiko. Cara kerja manajemen meliputi prosedur, praktik, penugasan dan tanggung jawab, urutan kerja. Rencana manajemen risiko dapat diterapkan pada suatu produk tertentu, proses dan proyek, sebagian atau seluruh organisasi. 59. Rencana perlakuan risiko (risk treatment plan) Penjabaran strategi mitigasi dalam bentuk action plan yang harus menjadi bagian dari Rencana Kerja Operasional baik di tingkat Korporat maupun di tingkat Unit Kerja. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 18 dari 102

22 BAB II DEFINISI ISTILAH-ISTILAH 60. Retensi risiko (risk retention) Kesedian untuk menerima beban kerugian, atau manfaat dari suatu risiko tertentu, dimana retensi risiko termasuk dalam menerima risiko tersisa. Peringkat risiko yang dapat diterima ditentukan oleh kriteria risiko. 61. Risiko (risk) Pengaruh dari ketidakpastian terhadap sasaran/tujuan (objectives). Pengaruh adalah suatu penyimpangan dari yang diharapkan baik positif atau negatif. Sasaran dapat mempunyai beberapa aspek, seperti misalnya aspek keuangan, kesehatan, keselamatan, lingkungan hidup dan juga mempunyai beberapa tingkatan seperti tingkat strategis, seluruh perusahaan, proyek, produk, jasa dan proses. Selain itu, risiko sering dinyatakan dengan mengacu pada suatu peristiwa yang mungkin terjadi, dampak peristiwa tersebut dan bagaimana hal tersebut dapat mempengaruhi pencapaian sasaran. Risiko sering pula dinyatakan dalam bentuk kombinasi dampak dan kemungkinan terjadinya suatu peristiwa, atau perubahan situasi/lingkungan. 62. Risiko inheren/bawaan (inherent risk) Suatu risiko yang melekat pada proses bisnis suatu entitas yang mana apabila tidak dikelola dengan baik akan dapat meningkatkan likelihood dan impact dari risiko tersebut. Nilai Risiko Inheren adalah nilai risiko dengan tidak mempertimbangkan kontrol risiko yang telah ada. 63. Risiko saat ini (current risk) Nilai risiko inheren dengan mempertimbangkan kontrol risiko yang telah ada. 64. Risiko lintas perusahaan (cross-enterprises risks) Risiko yang saling terkait antara satu entitas ke entitas lain atau satu unit usaha ke unit usaha lain di dalam satu holding perusahaan. 65. Risiko tersisa (residual risk) Risiko yang masih ada setelah dilaksanakan perlakuan risiko. Salah satu yang termasuk risiko tersisa adalah risiko yang tidak teridentifikasi. Selain itu, risiko tersisa sering juga disebut sebagai retensi risiko yang ditahan. 66. Selera risiko (risk appetite) Jumlah dan jenis risiko yang siap untuk ditangani atau diterima oleh organisasi. 67. Sikap terhadap risiko (risk attitude) Cara pendekatan organisasi dalam melakukan asesmen risiko, apakah akan mengejar risiko (positif), menahan risiko, mengambil risiko atau justru menjauhi risiko. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 19 dari 102

23 BAB II DEFINISI ISTILAH-ISTILAH 68. Sistem informasi manajemen risiko (risk management information system) Suatu sistem, umumnya berbasis teknologi informasi, yang didesain untuk : - mengklasifikasikan dan menghimpun data berdasarkan kategori, jenis dan sifat; - mengefektifkan dan mengefisienkan proses menghasilkan 69. Sistem pengendalian internal (internal control system) Sinonim untuk pengendalian/pengawasan internal yang diterapkan di dalam suatu entitas. 70. Sumber risiko (risk source) Segala sesuatu baik secara sendiri-sendiri atau bersama-sama dengan lainnya mempunyai potensi melekat (inheren) yang dapat menimbulkan risiko. Risiko tidak akan terjadi bila tidak terjadi interaksi antara sumber risiko dengan orang, organisasi atau benda-benda lainnya. Sumber risiko dapat merupakan sesuatu yang terukur (tangible) atau yang tidak terukur (intangible). 71. Tingkat keuntungan (rate of return) Adalah suatu ukuran tingkat keuntungan dalam persentase yang dihitung dengan formula (Laba : Nilai Investasi). 72. Toleransi risiko (risk tolerance) Kesiapan organisasi dalam menanggung risiko setelah perlakuan risiko dalam upayanya mencapai sasaran organisasi. Ketentuan hukum dan peraturan perundangan dapat pula memberikan batasan terhadap toleransi risiko. 73. Unit kerja Unit-unit pada setiap tingkatan struktur organisasi yaitu Direktorat Divisi Urusan - Seksi, Kantor Cabang Bagian Unit Perwakilan dan setara. 74. Uji kemampuan (stress testing) Adalah suatu pengujian perhitungan risiko yang dilakukan dengan menggunakan asumsi terburuk (worst scenario) yang dimaksudkan untuk mengukur kemampuan entitas menanggung kerugian yang terjadi apabila hal terburuk terjadi. 75. Risk Taking Unit (RTU) adalah suatu entitas yang mempunyai akuntabilitas dan kewenangan untuk mengelola suatu risiko; DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 20 dari 102

24 BAB II DEFINISI ISTILAH-ISTILAH 76. Profil risiko: adalah gambaran atau uraian dari suatu kelompok risiko. (kelompok risiko ini dapat berisikan risiko-risiko yang terkait dengan Korporasi, Divisi, dan Kantor Cabang). 77. Pengendalian Risiko (risk control): adalah proses, kebijakan, alat dan perlengkapan, tindakan, metode atau berbagai pendekatan lainnya yang direncanakan atau yang sudah dilakukan (existing control) dan berimplikasi pada perubahan nilai risiko. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 21 dari 102

25 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO 3.1 Pengantar a. Prinsip adalah dasar untuk berpikir dan bertindak. Dalam konteks penerapan manajemen risiko di Jasa Raharja, prinsip-prinsip manajemen risiko adalah hal-hal yang mendasari pengembangan dan aplikasi sistem manajemen risiko sekaligus sebagai parameter dasar untuk menilai sejauhmana tingkat kematangan sistem dan aplikasinya dalam penerapan manajemen risiko. b. Kerangka adalah rancang bangun konsep sebagai penjabaran dan aplikasi dari prinsip. Dalam konteks penerapan manajemen risiko di Jasa Raharja, kerangka manajemen risiko merupakan siklus tahapan penerapan manajemen yang sistematis berbasis pada PDCA (plan-do-check-action) yang bersifat dinamis, berulang dan responsif terhadap perubahan. c. Proses adalah rangkaian aktifitas yang dikembangkan secara sistematis dan terstruktur agar dapat menghasilkan outcome tertentu. Dalam konteks penerapan manajemen risiko di Jasa Raharja, proses manajemen risiko merupakan rangkaian tahapan efektifitas pengelolaan risiko yang dikembangkan sebagai bentuk penjabaran dari aspek implementasi manajemen risiko pada siklus kerangka manajemen risiko. d. Alur transformasi dari prinsip menjadi kerangka dan kemudian proses manajemen risiko dapat dilihat pada gambar 1.1. Hubungan 3 Komponen Sistem Manajemen Risiko, BAB I halaman 7. e. Dalam BAB III, akan diuraikan Prinsip-prinsip Manajemen Risiko yang kemudian dijabarkan dalam bentuk Kerangka Manajemen Risiko. Sementara Proses Manajemen Risiko akan diuraikan secara lebih rinci pada BAB IV-VI. 3.2 Prinsip Manajemen Risiko Kerangka kerja penerapan manajemen risiko perusahaan berdasarkan prinsip-prinsip sebagai berikut: a. Prinsip-prinsip yang menjadi panduan dasar bagi setiap Risk Taking Unit (RTU), yaitu: 1. Manajemen risiko harus terintegrasi ke dalam proses bisnis; a) Setiap pejabat di semua level organisasi merupakan RTU yang memiliki otoritas dan kewenangan untuk mengelola risiko pada unit kerja yang dipimpinnya. b) Proses manajemen risiko tidak dapat berdiri sendiri dan terpisah dari proses bisnis inti maupun proses penunjangnya, karena itu setiap RTU harus menjadikan manajemen risiko sebagai bagian integral dari setiap proses bisnis yang menjadi tanggung jawabnya. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 22 dari 102

26 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO 2. Manajemen risiko adalah khas untuk penggunanya (tailor made); Setiap RTU di semua level organisasi harus memastikan bahwa risiko yang diidentifikasi dan dikelola pada unit kerja yang dipimpinnya merupakan risiko yang bersumber dari dan diukur berdasarkan kriteria yang relevan dengan konteks unit kerjanya, baik konteks internal maupun eksternal. 3. Manajemen risiko harus memberikan nilai tambah; Setiap RTU di semua level organisasi harus dapat menciptakan dan mempertahankan nilai tambah dengan menggunakan manajemen risiko untuk membantu mencapai setiap sasaran dan sekaligus meningkatkan kinerja. Setiap langkah yang diambil untuk mencapai sasaran dan meningkatkan kinerja, dilakukan dengan mengidentifikasi dan mengelola risiko yang dapat merugikan. Nilai tambah terjadi manakala sasaran tercapai/terlampaui dan kinerja meningkat. 4. Manajemen risiko secara khusus menangani ketidakpastian; Ketidakpastian dan risiko saling terkait. Setiap langkah pencapaian sasaran selalu bersifat tidak pasti, karena selalu ada kemungkinan terjadi kekeliruan. Setiap RTU harus menggunakan manajemen risiko untuk mengidentifikasi dan menetapkan sifat (nature) dan jenis ketidakpastian yang dihadapi oleh unit kerja yang dipimpinnya serta menemukenali apa yang dapat dilakukan guna mengatasi ketidakpastian tersebut. 5. Manajemen risiko adalah bagian dari proses pengambilan keputusan; Proses manajemen risiko merupakan bagian integral dari prosedur pengambilan keputusan yang berlaku formal maupun informal. Setiap RTU harus mempertimbangkan setiap risiko dari keputusan yang akan dibuat dan menyiapkan langkah-langkah antisipasinya. b. Prinsip-prinsip pengelolaan risiko yang menjadi dasar pembentukan infrastruktur penunjang bagi RTU : 6. Manajemen risiko harus transparan, inklusif, dan relevan; a) Pengelolaan risiko harus transparan dalam arti memungkinkan aktifitas proses manajemen risiko dapat dipantau dan diakses oleh para pihak yang berkepentingan; DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 23 dari 102

27 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO b) Pengelolaan risiko harus bersifat inklusif dengan cara: i. Melibatkan peran serta para pemangku kepentingan sesuai kebutuhan (proporsional dan pada saatnya) dan memastikan bahwa pengaruh pemangku kepentingan dipertimbangkan pada saat menetapkan kriteria risiko. ii. Melibatkan peranserta dari semua pejabat pengambil keputusan di semua level dan bagian organisasi secara proposional dan pada saatnya. c) Pengelolaan risiko harus senantiasa relevan dengan kebutuhan dan terkini. 7. Manajemen risiko harus sistematis, terstruktur dan tepat waktu; Perusahaan mengembangkan sistem manajemen risiko yang terstruktur, sistematis dan tepat waktu dalam arti dapat: a) memberikan kontribusi untuk efisiensi perusahaan, b) memberikan hasil(output) yang konsisten dan andal(reliable) sehingga dapat diperbandingkan dengan pihak lain. 8. Manajemen risiko berdasarkan informasi terbaik yang tersedia; a) Perusahaan menjamin input yang digunakan dalam mengelola risiko telah berbasis pada sumber informasi yang terpercaya dengan menggunakan: i. Tenaga ahli terbaik yang tersedia guna mendapatkan penilaian yang terbaik. ii. Pengalaman yang terbaik. iii. Pengamatan yang terbaik. iv. Data historis yang terbaik. v. Teknik peramalan yang terbaik. vi. Umpan balik dari pemangku kepentingan yang terpercaya. b) Perusahaan menjamin setiap RTU dapat memahami dan mempertimbangkan keterbatasan serta kekurangan dari setiap data yang digunakan dalam mengelola risiko dengan cara mempertimbangkan: i. Keterbatasan dan kelemahan dari setiap model analisis yang digunakan. ii. Pendapat berbagai macam ahli dari berbagai sudut pandang. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 24 dari 102

28 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO 9. Manajemen risiko bersifat dinamis, berulang, dan tanggap terhadap perubahan; Perusahaan menjamin penggunaan pendekatan yang dinamis dan responsif dalam mengelola risiko dengan cara: a) Memastikan bahwa proses manajemen risiko yang digunakan dapat mendeteksi perubahan dan meresponsnya secara tepat dengan cara: i. Memantau, mengkaji dan merespons setiap perubahan pada konteks bisnis termasuk timbulnya peristiwa di dalam dan di luar perusahaan yang memiliki pengaruh berbahaya. ii. Memantau, mengkaji dan merespons setiap perubahan pada profil risiko dengan cara mengatasi perubahan risiko maupun risiko baru yang muncul. iii. Memantau, mengkaji dan merespons perkembangan ilmu pengetahuan dan teknologi yang berpengaruh terhadap konteks bisnis perusahaan. b) Memastikan bahwa proses manajemen risiko yang digunakan dapat berulang dalam bentuk siklus agar risiko-risiko yang belum terindentifikasi atau belum muncul pada siklus proses yang pertama kali, dapat ditemukenali dan ditanggulangi pada siklus-siklus berikutnya. 10. Manajemen risiko harus memfasilitasi terjadinya perbaikan dan peningkatan organisasi secara berkelanjutan; Manajemen risiko bermanfat untuk peningkatan perbaikan di semua aspek tata kelola perusahaan. Untuk itu perusahaan menjamin adanya pengembangan dan pelaksanaan berbagai strategi peningkatan sistem manajemen risiko yang digunakan melalui berbagai program peningkatan maturitas penerapan manajemen risiko. 11. Manajemen risiko mempertimbangkan faktor manusia dan budaya; Perusahaan menjamin bahwa sistem manajemen risiko yang digunakan dapat mengenali dan mempertimbangkan faktor manusia dan budaya perusahaan yang dapat mempengaruhi pencapaian sasaran mulai dari level korporat hingga level unit terkecil dengan cara: a) Mempertimbangkan bagaimana kapabilitas orang-orang, baik yang di internal perusahaan maupun dari eksternal dapat menunjang atau menghambat pencapaian sasaran. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 25 dari 102

29 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO b) Mempertimbangkan bagaimana persepsi orang-orang, baik yang di internal perusahaan maupun yang dari eksternal dapat menunjang atau menghambat pencapaian sasaran. c) Mempertimbangkan bagaimana kepedulian orang-orang, baik yang di internal perusahaan maupun yang dari eksternal dapat menunjang atau menghambat pencapaian sasaran. 3.3 Kerangka Kerja Untuk Mengelola Risiko a. Desain Kerangka Kerja Pengelolaan Risiko 1. Kerangka kerja pengelolaan risiko adalah seperangkat komponen yang menunjang dan menopang penerapan manajemen risiko di seluruh area perusahaan. Terdapat dua tipe komponen yaitu: a) Komponen-komponen yang bersifat mendasar yaitu kebijakan manajemen risiko, sasaran pengelolaan risiko, mandat dan komitmen. b) Komponen-komponen yang bersifat penataan organisasional yaitu perencanaan manajemen risiko, tata hubungan, akuntabilitas para pelaku, sumberdaya, proses dan aktifitas yang dilaksanakan untuk mengelola risiko. Seluruh perangkat komponen, baik yang bersifat mendasar maupun yang bersifat penataan organisasional didesain secara sistematis dan terstruktur sebagaimana gambar 3.1. Gambar 3.1. Skema Kerangka Kerja Manajemen Risiko Jasa Raharja DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 26 dari 102

30 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO 2. Gambar 3.1. menunjukkan bahwa kerangka kerja pengelolaan risiko menempatkan proses penerapan manajemen risiko berada pada dua proses tatakelola yaitu: a) Proses strategis di tingkat korporat mencakup: i. Penetapan mandat dan komitmen ii. Perencanaan dan pengorganisasian manajemen risiko iii. Pembangunan kapabilitas organisasi iv. Evaluasi disertai perbaikan berkelanjutan b) Proses operasional di tingkat unit kerja mencakup seluruh rangkaian proses manajemen risiko, mulai dari tahap penetapan konteks, asesmen risiko, sampai perlakuan risiko. Di setiap tahap tersebut terdapat aktifitas penunjang, yaitu: komunikasi & konsultasi serta pemantauan &kaji ulang guna memastikan seluruh proses berjalan secara efektif dan efisien. 3. Rincian penjelasan desain kerangka kerja pengelolaan risiko sebagaimana gambar 3.1 di atas, adalah sebagai berikut Mandat dan Komitmen a) Pengertian i. Mandat adalah seperangkat instruksi disertai kewenangan yang dipercayakan kepada pihak tertentu untuk dilaksanakan secara bertanggungjawab guna mencapai tujuan tertentu. Dalam konteks manajemen risiko, mandat merupakan tugas dan wewenang yang diterima Direksi dan Dewan Komisaris dari Pemegang Saham untuk menjalankan misi dan visi perusahaan dengan cara mengatasi berbagai risiko yang menghambat. ii. iii. Pada gilirannya mandat ini dituangkan dalam bentuk standar, kebijakan dan instruksi pengelolaan risiko yang harus dijalankan oleh RTU dan seluruh karyawan sesuai otoritas dan kewenangannya masing-masing. Komitmen adalah keterikatan moral karena adanya perjanjian untuk melaksanakan sesuatu. Dalam konteks manajemen risiko, komitmen adalah tanggungjawab moral para RTU untuk mengelola risiko sesuai mandat yang diterima. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 27 dari 102

31 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO b) Kebijakan Umum Manajemen Risiko. i. Jasa Raharja menetapkan Kebijakan Umum Manajemen Risiko yang berisi komitmen Direksi dan seluruh Pegawai Jasa Raharja untuk: (1) Menerapkan manajemen risiko secara terpadu dan bersinergi, mengingat risiko merupakan pertimbangan penting pada setiap perencanaan dan pengambilan keputusan dalam mencapai tujuan Perusahaan. (2) Memastikan setiap proses bisnis yang dijalankan di setiap tingkatan organisasi Perusahaan aman dari efek negatif setiap risiko yang melekat pada proses bisnis tersebut dan dapat mengoptimalkan peluang dari efek positif yang ada. (3) Memastikan terkendalinya segala risiko yang dapat mengganggu keselamatan, keamanan dan kenyamanan para pengguna jasa maupun pemangku kepentingan lainnya. (4) Mematuhi peraturan perundangan-undangan yang berlaku sebagai cara mengendalikan risiko legal perusahaan. (5) Menjalankan sistem manajemen risiko yang berbasis pada suatu standar yang diakui dan berlaku di industri asuransi atau lembaga jasa keuangan. (6) Menyadari dan peduli terhadap risiko dalam setiap kegiatan yang dilaksanakan sesuai wewenang dan tanggung jawab masing-masing. ii. Rumusan Kebijakan Umum Manajemen Risiko Jasa Raharja dituangkan dalam selembar piagam yang ditempatkan pada setiap lokasi kerja sebagai artefak budaya sadar risiko Jasa Raharja. c) Standar Manajemen Risiko i. Perusahaan menggunakan standar internasional SNI ISO 31000:2011 beserta alat kelengkapan penunjangnya yang dibuat dan dipublikasikan oleh International Organisation for Standardization (ISO) sebagai dasar dalam penerapan manajemen risiko di lingkungan perusahaan. Pertimbangan yang mendasaripenggunaan standar SNI ISO 31000:2011 antara lain: (1) SNI ISO 31000:2011 memiliki struktur yang lebih lengkap dan lebih sistematis serta lebih mudah diterapkan dibandingkan dengan model atau standar manajemen risiko lainnya. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 28 dari 102

32 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO (2) Komponen kerangka kerja SNI ISO 31000:2011 memberikan kejelasan tugas dan tanggung jawab para risk taking unit dan terutama pada penanggung jawab organisasi dalam bentuk penyusunan Risk Governance; (3) SNI ISO 31000:2011 mempunyai terminologi yang komprehensif dan konsisten, sesuai dengan standar ISO/IEC Guide 73:2009 Risk Management Vocabulary. Hal ini akan mempermudah sistem komunikasi dan pelaporan; (4) SNI ISO 31000:2011 juga menyediakan pilihan teknik-teknik asesmen risiko sebagaimana diuraikan dalam standar IEC/FDIS 31010:2009, Risk Management Risk Assessment Techniques; (5) SNI ISO 31000:2011 menjamin terjadinya pengayaan proses (process enrichment) melalui: Penyediaan kerangka kerja yang lebih umum sehingga dapat menampung semua model manajemen risiko yang ada dalam satu payung, yaitu SNI ISO 31000:2011; Menjadikan proses manajemen risiko menjadi bagian yang tak terpisahkan (sub-proses) dari keseluruhan proses bisnis yang sudah ada. ii. SNI ISO 31000:2011 mempunyai struktur yang menunjang proses manajemen perubahan terkait dengan penerapannya. Divisi Manajamen Risiko dan Penelitian Pengembangan berkoordinasi dengan para risk taking unit memantau dan mengkaji ulang sistem manajemen risiko perusahaan agar senantiasa sesuai dengan tuntutan standar SNI ISO 31000:2011. d) Penetapan Pedoman Manajemen Risiko i. Perusahaan menetapkan pedoman manajemen risiko sebagai panduan dalam melaksanakan kegiatan bisnis perusahaan dan merupakan bagian dari GCG sekaligus meningkatkan nilai perusahaan (corporate value), yang selanjutnya disebut Pedoman Manajemen Risiko berbasis SNI ISO 31000:2011. ii. Perusahaan berkomitmen untuk mewujudkan semua tuntutan/instruksi dan panduan kebijakan dalam Pedoman Manajemen Risiko dengan cara: (1) Menjamin adanya indikator kinerja yang jelas dalam pengelolaan risiko dan diberlakukannya metode/mekanisme pengukuran kinerja DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 29 dari 102

33 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO pengelolaan risiko jajarannya. oleh penanggungjawab RTU dan seluruh (2) Memastikan bahwa setiap sasaran pengelolaan risiko memenuhi syarat SMART (spesific, measurable, achievable, realistic, and timely). (3) Mengalokasikan secara memadai sumberdaya perusahaan bagi efektifitas kelancaran dan keberhasilan proses pengelolaan risiko. (4) Mengkomunikasikan manfaat penerapan manajemen risiko secara berkesinambunganan pada setiap kesempatan. (5) Menjamin adanya tanggungjawab dalam mengelola risiko bagi setiap pimpinan unit kerja (pejabat manajerial) dan pegawai, serta memahami bagaimana memperoleh manfaat manajemen risiko bagi peningkatan kinerjanya. (6) Memastikan bahwa kerangka kerja manajemen risiko sudah sesuai dengan standar dan memadai serta tidak bertentangan dengan hukum yang berlaku. iii. Setiap RTU di setiap tingkatan organisasi bertanggung jawab menerapkan Pedoman Manajemen Risiko sesuai tanggung jawab dan kewenangan yang dimilikinya. iv. Setiap pegawai bertanggungjawab menemukenali/mengidentifikasi risiko yang menghambat pencapaian sasaran kerja dan menanggulanginya sesuai ketentuan dalam Pedoman Manajemen Risiko. v. Divisi Manajemen Risiko dan Penelitian Pengembangan bertanggung jawab mengembangkan, memelihara sistem manajemen risiko dan memastikan bahwa setiap RTU dapat menjalankan tugas dan tanggung jawab pengelolaan risiko sesuai kewenangannya masing-masing. vi. Perusahaan menjamin tersedianya mekanisme pelaporan pengelolaan risiko yang mencakup berbagai informasi dan data penting mengenai setiap jenis risiko yang ditangani. Perencanaan dan Pengorganisasian Kerangka Kerja Pengelolaan Risiko a) Pengenalan Konteks Perusahaan i. Sebelum menyusun perencanaan manajemen risiko, maka RTU harus mengevaluasi dan memahami pengaruh, kecenderungan (trends), dan faktor-faktor kunci dari konteks bisnisnya yang meliputi konteks eksternal dan internal, termasuk pengaruh dan dampaknya terhadap pencapaian sasaran pada unit kerjanya. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 30 dari 102

34 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO ii. iii. Konteks eksternal meliputi: (PESTLE) (1) Kondisi sosial dan budaya. (2) Kondisi politik. (3) Kondisi hukum. (4) Kondisi ekonomi lokal, nasional, regional maupun internasional. (5) Kondisi lingkungan alam. (6) Kondisi persaingan usaha. (7) Tipe para pemangku kepentingan eksternal. Konteks internal meliputi: (1) Tipe para pemangku kepentingan internal. (2) Struktur tata kelola perusahaan. (3) Sasaran dan strategi perusahaan ditingkat korporat dan unitkerja. (4) Kapabilitas perusahaan, termasuk proses dan prosedur. (5) Budaya dan etika perusahaan. (6) Berbagai sistem dan standar manajemen yang dianut perusahaan. (7) Kondisi kontrak manajemen. b) Roadmap Penerapan Manajemen Risiko i. Roadmap penerapan manajemen risiko merupakan rencana tahapan pengembangan penerapan manajemen risiko yang sejalan dengan kebutuhan pertumbuhan perusahaan, sebagai dasar bagi perencanaan pengelolaan risiko per tahun. ii. iii. Roadmap penerapan manajemen risiko perusahaan disusun berdasarkan kerangka maturitas organisasi dalam menerapkan manajemen risiko (Risk Maturity Model) yang terdiri dari beberapa level perkembangan,mulai dari level terendah hingga level tertinggi. Divisi Manajemen Risiko dan Penelitian Pengembangan mengkaji dan merekomendasikan model maturitas risiko untuk kemudian dilakukan asesmen tingkat maturitas pengelolaan risiko secara berkala yang dapat digunakan sebagai dasar penyusunan Roadmap Manajemen Risiko perusahaan. iv. Divisi Manajemen Risiko dan Penelitian Pengembangan bertanggungjawab untuk mengkaji, menyusun, mengevaluasi dan DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 31 dari 102

35 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO menyempurnakan Roadmap Manajemen Risiko perusahaan serta menyampaikan rekomendasi kepada Direksi untuk ditetapkan. c) Struktur Pengelolaan Risiko (risk governance) i. Perusahaan menjamin struktur tata kelola risiko yang memadai sehingga penerapan manajemen risiko secara terintegrasi dapat berjalan lancar. Ruang lingkup struktur tata kelola risiko mencakup seluruh jenjang organisasi termasuk akuntabilitas dari masing-masing pihak. ii. Jasa Raharja membagi area pengelolaan risiko atas tiga bagian besar yaitu: (1) Pengelolaan risiko di tingkat Korporat, (2) Pengelolaan risiko di tingkat Unit Kerja Kantor Pusat, (3) Pengelolaan risiko di tingkat Kantor Cabang Gambar 3.2. Struktur Pengelolaan Risiko iii. Gambar 3.2 menunjukkan bahwa setiap Sasaran di tingkat Korporat/Direktorat harus dijabarkan (cascading) menjadi Sasaran unit kerja di Kantor Pusat dan Kantor Cabang. Sebaliknya, informasi mengenai nilai risiko dari tingkat unit kerjadi Kantor Cabang maupun unit kerja Kantor Pusat, diagregasikan (aggregating) menjadi informasi nilai risiko Korporat/Direktorat. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 32 dari 102

36 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO iv. Setiap pegawai harus menemukenali dan mengendalikan risiko yang menghambat pencapaian sasaran kerja (job objectives) yang menjadi tanggung jawabnya. v. Tanggung jawab setiap pegawai pada huruf iv di atas, menjadi bagian dari sistem manajemen kinerja perusahaan. vi. Berikut adalah penjabaran struktur tata kelola risiko Jasa Raharja : (1) Dewan Komisaris (a) Dewan Komisaris adalah pemegang mandat Rapat Umum Pemegang Saham (RUPS) untuk mengawasi pengelolaan operasional perusahaan oleh Direksi, termasuk di dalamnya memastikan bahwa penerapan manajemen risiko berjalan secara efektif dan efisien. (b) Tanggungjawab dan wewenang Dewan Komisaris meliputi: Mengevaluasi kebijakan manajemen risiko korporat sekurangkurangnya satu kali atau lebih dalam setahun,dalam hal terdapat perubahan faktor-faktor yang mempengaruhi kegiatan usaha perusahaan secara signifikan, Mengevaluasi pertanggungjawaban Direksi atas pelaksanaan kebijakan pengelolaan risiko yang dilakukan minimal satu kali dalam setahun, Mengevaluasi setiap risiko yang melekat pada permohonan atau usulan Direksi yang berkaitan dengan aktifitas usaha perusahaan yang melampaui kewenangan Direksi guna tindaklanjut sesuai ketentuan hukum yang berlaku; Dapat membentuk Komite Manajemen Risiko untuk membantu Dewan Komisaris dalam mengawasi penerapan manajemen risiko oleh Direksi. (2) Komite Manajemen Risiko (a) Dewan Komisaris dapat membentuk Komite Manajemen Risiko untuk membantu mengawasi penerapan manajemen risiko oleh Direksi. (b) Tanggungjawab dan wewenang Komite Manajemen Risiko meliputi: Melakukan evaluasi terhadap kesesuaian antara kebijakan manajemen risiko dan pelaksanaannya serta memberikan rekomendasi terkait hal tersebut kepada Dewan Komisaris, DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 33 dari 102

37 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO (3) Direksi Mengevaluasi berbagai risiko audit (audit risks)yang melekat pada setiap program audit perusahaan, baik oleh SPI maupun auditor eksternal,dan memberi rekomendasinya kepada Dewan Komisaris, Mengkaji risiko melekat pada setiap tugas Dewan Komisaris guna memberi rekomendasi yang tepat bagi pengambilan keputusan maupun setiap tindakan korporasi yang diambil oleh Dewan Komisaris. (a) Direksi merupakan pemegang mandat RUPS dalam hal pengelolaan operasional perusahaan sehingga menjadi penanggungjawab akhir pengelolaan risiko perusahaan. (b) Tanggungjawab dan wewenang Direksi meliputi: Menetapkan kebijakan dan strategi pengelolaan risiko secara tertulis, termasuk penetapan persetujuan kriteria risiko, Bertanggung jawab atas implementasi kebijakan pengelolaan risiko perusahaan, Memastikan kepatuhan terhadap kebijakan pengelolaan risiko perusahaan, Membentuk struktur tatakelola risiko yang proporsional untuk menerapkan manajemen risiko yang efektif dan efisien di tingkat korporat, Menjamin alokasi sumberdaya perusahaan termasuk peningkatan kompetensi SDM sesuai kebutuhan penerapan manajemen risiko, Menjamin terlaksananya mekanisme kaji ulang secara berkala terhadap keandalan sistem pengelolaan risiko, Melaporkan profil risiko perusahaan kepada pihak-pihak yang berkepentingan sesuai ketentuan hukum yang berlaku. (4) Forum Manajemen Risiko (a) Forum Manajemen Risiko adalah forum komunikasi yang dapat dibentuk oleh Direksi, terdiri dari Direksi dan para pimpinan unit kerja Kantor Pusat untuk memantau dan mengevaluasi status profil risiko korporat dalam rangka pelaporan kepada para pemangku kepentingan, agar selaras dengan pengambilan keputusan strategis perusahaan dan ketentuan hukum. Forum DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 34 dari 102

38 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO Manajemen Risiko merupakan wadah untuk membangun kesadaran dan kewaspadaan risiko bagi pimpinan perusahaan yang dalam implementasi pelaksanaan tugasnya dapat mengundang tenaga ahli independen untuk memberikan saran dalam menghadapi masalah pengelolaan risiko secara optimal, (b) Forum Manajemen Risiko bersifat adhoc dengan komposisi yang terdiri dari Direktur Manajemen Risiko dan Teknologi Informasi sebagai Ketua Forum, Kepala Divisi Manajemen Risiko dan Penelitian Pengembangan sebagai Sekretaris dan seluruh pimpinan unit kerja di perusahaan sebagai anggota, (c) Wewenang dan tanggung jawab Forum Manajemen Risiko meliputi: Mengkaji profil risiko korporat yang diajukan oleh Divisi Manajemen Risiko dan Penelitian Pengembangandan menyampaikan rekomendasi kepada Direksi, Mengkaji hambatan-hambatan dalam penerapan sistem manajemen risiko berdasarkan laporan pemantauan dan kaji ulang oleh risk taking unit dan merekomendasikan langkahlangkah penyelesaiannya. (5) Komite Investasi (a) Komite Investasi adalah komite yang dibentuk oleh Direksi, terdiri dari Direksi sebagai Pembina yang untuk kemudian menunjuk Ketua, Wakil Ketua, Sekretaris serta Anggota Komite yang berasal dari pimpinan unit kerja, pejabat dan pegawai di Kantor Pusat. (b) Wewenang dan tanggung jawab Komite Investasi adalah sebagai berikut Membantu Direksi untuk menelaah rancangan komposisi portofolio investasi atau usulan investasi, Memberikan rekomendasi kepada Direksi terhadap penempatan investasi sebagaimana dimaksud pada point (c), Membantu Direksi untuk melakukan pemantauan dan penilaian pelaksanaan penempatan investasi, Jika dipandang perlu, Komite Investasi dapat melakukan koordinasi secara langsung dengan Divisi Investasi untuk melakukan klarifikasi atas perencanaan dan atau pelaksanaan penempatan investasi, serta dapat pula meminta DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 35 dari 102

39 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO pendapat atau kajian risiko dari Divisi Manajemen Risiko dan Penelitian Pengembangan untuk mendapatkan rekomendasi yang lebih akurat dan dapat dipertanggungjawabkan. (c) Penempatan investasi yang harus mendapatkan rekomendasi dari Komite Investasi adalah Penyertaan langsung, Bangunan dengan strata title atau tanah dan bangunan untuk investasi, Penempatan diatas Rp ,- (lima puluh milyar rupiah) per transaksi kecuali Deposito, Sertifikat Deposito, Deposito On Call pada Bank Pemerintah, SBI, dan surat Berharga yang diterbitkan atau dijamin oleh Pemerintah, Atas permintaan Direksi. (6) Divisi Manajemen Risiko dan Penelitian Pengembangan (a) Divisi Manajemen Risiko dan Penelitian Pengembangan menjalankan fungsi pengembangan, pemeliharaan dan evaluasi sistem manajemen risiko. Dalam konteks ini, Divisi Manajemen Risiko dan Penelitian Pengembangan tidak dapat mengambil alih tanggungjawab para RTU dalam mengelola risiko pada unit kerjanya. (b) Wewenang dan tanggungjawab Divisi Manajemen Risiko dan Penelitian Pengembangan meliputi: Mengembangkan, memelihara, mengevaluasi validitas dan kapasitas sistem manajemen risiko perusahaan, Membuat format dan formula kriteria risiko korporat serta kriteria risiko unit kerja,selanjutnya mengusulkan kepada Direksi, Menjadi fasilitator dan katalisator dalam penerapan sistem manajemen risiko terintegrasi yang dilakukan oleh para RTU. Selanjutnya memastikan bahwa para RTU serta jajarannya memiliki kompetensi yang memadai untuk mengelola risiko sesuai ketentuan dalam Pedoman Manajemen Risiko, Mengevaluasi register risiko berikut evidence pengendalian risiko yang dilaporkan RTU dengan membandingkan Laporan Hasil Audit RTU oleh Satuan Pengawasan Intern (SPI), KPI RTU, SPO, Peraturan dan Kebijakan, serta hasil kajian perusahaan terkini. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 36 dari 102

40 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO Memberikan feedback kepada RTU dan hasil evaluasi register risiko kepada SPI sebagai masukan pelaksanaan Audit Berbasis Risiko, Melakukan proses learning from experience melalui manajemen peristiwa kerugian (Loss Event Management) secara berkala dan konsisten, Menyusun, memelihara, memantau dan mengkaji perkembangan status risiko korporat sesuai dinamika perubahan database risiko yang dilaporkan para RTU. Selanjutnya melaporkan kepada Direksi secara menyeluruh dalam bentuk profil/portofolio risiko, Mengevaluasi aplikasi sistem manajemen risiko melalui pemantauan dan kaji ulang terhadap laporan pengelolaan risiko oleh RTU serta merekomendasikan langkah-langkah perbaikan sistem kepada Direksi, Memberikan opini/kajian terhadap semua kebijakan perusahaan, tindakan korporat (corporate action), dan penempatan investasi dari sudut pandang manajemen risiko guna mendukung pengambilan keputusan strategis oleh Direksi. (7) Unit Kerja Teknis atau Risk Taking Unit (RTU) (a) Direktur dan pimpinan unit kerja di setiap tingkatan organisasi merupakan penanggungjawab RTU. (b) Wewenang dan tanggungjawab penanggungjawab RTU meliputi: Menentukan konteks kegiatan pada unit kerja sebagai dasar bagi proses asesmen risiko, Memahami karakteristik setiap risiko yang melekat pada rangkaian kegiatan agar perlakuan risiko (risk treatment) dapat berjalan efektif dalam rangka lebih memastikan pencapaian sasaran dan Key Performace Indicator (KPI) yang telah ditetapkan, Memastikan bahwa perlakuan risiko berlangsung secara tepat-biaya (cost-effective), Pimpinan unit kerja mengusulkan satu orang bawahan kepada Direksi melalui Divisi Manajemen Risiko dan Penelitian Pengembangan, untuk diangkat sebagai risk DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 37 dari 102

41 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO officer guna dilatih secara khusus dan berjenjang agar dapat memberikan bantuan teknis dalam pelaksanaan proses manajemen risiko pada unit kerja masing-masing, Memastikan bahwa proses manajemen risiko terintegrasi ke dalam setiap sistem manajemen atau proses bisnis yang dijalankan oleh unit kerja yang dipimpinnya, Memastikan bahwa pemantauan terhadap dinamika status risiko dapat terlaksana secara reguler melalui rapat koordinasi pada unit kerja yang dipimpinnya, dan melaporkan apabila terjadi kejadian risiko dan tindakannya, Mampu menunjukkan adanya pengendalian risiko yang efektif, dan juga adanya pemantauan dan transparansi terhadap efektifitas pengendalian risiko tersebut, Melaporkan secara berkala profil risiko RTU kepada Divisi Manajemen Risiko dan Penelitian Pengembangan dalam bentuk register risiko, Melaporkan secara sistematis (jelas, wajar, dan tepat waktu) kepada Direksi setiap perubahan konteks (lingkungan) bisnis atau kejadian risiko yang dapat memicu perubahan profil risiko pada unit kerja yang yang dipimpinnya, melalui Divisi Manajemen Risiko dan Penelitian Pengembangan. (8) Peran Individu Pegawai Perusahaan membudayakan proses manajemen risiko dengan cara memasukkan aspek-aspek relevan dari proses manajemen risiko ke dalam uraian pekerjaan, penyusunan rencana kerja dan KPI yang diturunkan dari Dewan Komisaris, Direksi, Pejabat hingga Pelaksana Administrasi, sehingga setiap individu dalam perusahaan dapat memahami: (a) Berbagai risiko yang berhubungan dengan peran dan aktifitas masing-masing, (b) Bagaimana pengelolaan risiko terkait dengan keberhasilan perusahaan, (c) Bagaimana pengelolaan risiko membantu tiap individu dalam mencapai sasaran dan target KPI individu, DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 38 dari 102

42 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO (d) Akuntabilitas individu terkait dengan risiko tertentu dan bagaimana tiap individu mengelolanya, (e) Bagaimana tiap individu dapat berkontribusi kepada perbaikan berkesinambungan dari proses pengelolaan risiko, (f) Bahwa manajemen risiko adalah bagian kunci dari budaya perusahaan, (g) Kebutuhan laporan secara sistematis tentang timbulnya risiko baru atau gagalnya suatu metode perlakuan yang digunakan kepada atasan langsung. (9) Dalam mengelola risiko pada unit kerjanya, penanggungjawab RTU dibantu oleh Risk Officer. (a) Risk Officer membutuhkan kompetensi teknis dalam memfasilitasi proses manajemen risiko pada RTU. Perusahaan dapat menunjuk risk officer di tingkat unit kerja, untuk dilatih secara khusus dalam hal penguasaan teknis proses manajemen risiko agar dapat menjalankan fungsi fasilitator pada unit kerjanya masing-masing. (b) Apabila risk officer dimutasi, maka penanggungjawab RTU dapat menunjuk penggantinya pada unit kerjanya untuk menjalankan peran administratif (pencatatan dan penyimpanan) data risiko pada unit kerjanya masing-masing. (c) Divisi Manajemen Risiko dan Penelitian Pengembangan berkoordinasi dengan Divisi Sumber Daya Manusia, untuk memastikan adanya program pelatihan berjenjang bagi para risk officer guna kelancaran pelaksanaan peran fungsionalnya. (10) Satuan Pengawasan Intern (SPI) menjalankan fungsi assurance atas pelaksanaan manajemen risiko di perusahaan yaitu dengan (a) Melakukan tinjau ulang dan evaluasi bahwa proses manajemen risiko baik rancang bangun dan implementasinya telah berjalan sesuai dengan prinsip dan kerangka manajemen risiko, (b) Memastikan bahwa risiko yang dilaporkan oleh RTU dan yang menjadi isu pada saat dilaksanakan audit telah dikelola dengan baik termasuk menguji efektivitas atas pelaksanaan perlakuan risiko, DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 39 dari 102

43 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO (c) Melakukan verifikasi atas kualitas proses asesmen risiko, status perlakuan risiko, dan pelaporan risiko (11) Alokasi Sumberdaya Pengelolaan Risiko Perusahaan mendukung kebutuhan struktur tatakelola risiko (risk governance) dengan cara mengalokasikan sumberdaya perusahaan secara proporsional dalam bentuk: (a) Penyusunan Rencana Kerja dan Anggaran Perusahaan dengan mempertimbangkan risiko yang dapat mempengaruhi pencapaian sasaran perusahaan, (b) Divisi Manajemen Risiko dan Penelitian Pengembangan berkoordinasi dengan Divisi SDM terkait pengembangan dan penempatan SDM dengan kualifikasi di bidang manajemen risiko dengan jumlah dan penguasaan kompetensi yang memadai sesuai kebutuhan pada tiap tingkatan struktur organisasi, (c) Pengembangan sistem informasi, alat bantu, dan pengelolaan pengetahuan (knowledge management). Pengembangan Kapabilitas dan Kapasitas a) Komunikasi dan Informasi Manajemen Risiko i. Pedoman Manajemen Risiko harus dikomunikasikan kepada seluruh pegawai agar dapat dipahami dan dilaksanakan. Divisi Manajemen Risiko dan Penelitian Pengembangan bertanggungjawab menyusun program sosialisasi yang sistematis dan terstruktur. ii. Setiap informasi yang relevan harus diidentifikasi, disimpan, diolah dan dikomunikasikan dalam bentuk yang informatif, terstruktur serta tepat waktu kepada pihak-pihakyang berkepentingan dengan pengelolaan risiko perusahaan, baik internal maupun eksternal. Sistem manajemen risiko berbasis teknologi informasi perlu dikembangkan secara terusmenerus sesuai kebutuhan efektifitas dan efisiensi pengelolaan risiko. iii. Divisi Manajemen Risiko dan Penelitian Pengembangan mengembangkan mekanisme komunikasi dengan para pemangku kepentingan internal maupun eksternal,dengan tujuan untuk mendapatkan dukungan dan pertukaran informasi yang efektif, DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 40 dari 102

44 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO pemenuhan kecukupan informasi sesuai dengan kebijakan yang berlaku serta kebutuhan tata kelola yang baik sebagaimana gambar 3.3. Gambar 3.3. Mekanisme Komunikasi Pengelolaan Risiko (1) Mekanisme komunikasi tersebut juga mengatur mengenai sumber laporan, proses penyusunan laporan serta distribusi dan publikasi, termasuk kriteria mengenai klasifikasi kerahasiaan (diatur dalam Pedoman Pengendalian Informasi). (2) Khusus untuk publikasi informasi risiko perusahaan kepada pihak eksternal,dilakukan oleh Sekretariat Perusahaan. b) Akuntabilitas Pelaku Manajemen Risiko Perusahaan memastikan bahwa peran dan tanggungjawab harus dikomunikasikan dengan baik, didukung dan dipahami serta dilakukan melalui uraian tugas dan KPI individu yang relevan. Sesuai Gambar 3.4. pembedaan yang jelas diberlakukan bagi mereka yang melakukan: i. Desain atau rancang bangun sistem ii. Implementasi sistem DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 41 dari 102

45 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO iii. iv. Evaluasi sistem Perbaikan berkesinambungan Desain Sistem MR Pengembangan Pemeliharaan Implementasi Sistem Rencana implementasi Pelaksanaan Sumberdaya Pelaku: Divisi MR & Litbang Divisi TIK Pelaku: Risk Owner Risk Officer Pelaku: Divisi MR & Litbang Divisi TIK Risk Owner Pelaku: Divisi MR & Litbang Satuan Pengawasan Internal Perbaikan Perbaikan tingkat kepatuhan terhadap sistem Perbaikan kapasitas sistem Evaluasi Sistem Indiktor kinerja Pemantauan & Reviu Pelaporan Pemeriksaan Gambar 3.4.Kuadran Pembagian Peran & Tanggung Jawab Manajemen Risiko c) Kompetensi Manajemen Risiko Untuk membangun kapabilitas yang mendasar bagi pengintegrasian manajemen risiko ke dalam proses bisnis perusahaan, maka strategi pelatihan dikembangkan dengan cara: i. Menggunakan kerangka manajemen risiko dan proses manajemen risiko untuk mengidentifikasi kompetensi inti yang dipersyaratkan, ii. iii. Konsultasi dengan para pemangku kepentingan untuk memahami harapan mereka terhadap kapabilitas pengelolaan risiko perusahaan, Menyadari berbagai kendala dan kapasitas perusahaan dalam memenuhi harapan para pemangku kepentingan, DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 42 dari 102

46 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO iv. Mempertimbangkan proses yang ada saat ini dan pemahaman terhadap manajemen risiko, v. Membangun sumberdaya secara efektif terkait dengan kapabilitas, SDM, proses dan sistem dalam perusahaan, vi. Melakukan kaji ulang secara reguler terhadap efektifitas strategi pelatihan. Evaluasi dan Perbaikan Berkelanjutan a) Jaminan Pengawasan Efektif Peran Satuan Pengawasan Internal (SPI) (1) SPI akan mengembangkan mekanisme proses audit yang terintegrasi dalam bentuk kerangka kerja pengendalian (control framework) berbasis pada peran inti SPI dalam implementasi manajemen risiko perusahaan,yaitu mengembangkan kontrol yang efektif terhadap pengelolaan risiko, mengevaluasi proses pengelolaan risiko termasuk menguji efektivitas pengendalian dan perlakuan risiko, mengevaluasi laporan profil risiko dengan kategori Tinggi - Ekstrim dan/atau materialyang dianggap perlu penanganan khusus. (2) SPI bekerja sama dengan unit kerja/unit terkait untuk menyediakan sistem kontrol yang efektif, independen dan komprehensif yang dapat mengidentifikasi adanya ketidakpatuhan terhadap berbagai kebijakan dalam Pedoman Manajemen Risikodan juga dapat memberi nilai tambah melalui rekomendasi perbaikan terhadap validitas dan kegunaan dari berbagai kebijakan dalam Pedoman Manajemen Risiko. (3) SPI harus menghindari area yang bukan bidang pekerjaannya seperti, menetapkan kriteria risiko, mengambil alih fungsi RTU di level operasional, dan menentukan tindakan perlakuan risiko bagi RTU di level operasional. (4) Terkait proses risk-based audit,maka (a) Divisi Manajemen Risiko dan Penelitian Pengembangan bertugas menyediakan: Data profil risiko setiap unit kerja untuk digunakan dalam perencanaan audit tahunan SPI. Data rencana pengendalian dan perlakuan risiko setiap unit kerja untuk kebutuhan proses pemeriksaan kesesuaian antara DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 43 dari 102

47 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO rencana dan realisasi (plan versus actual) dalam pengendalian risiko oleh RTU yang menjadi auditee SPI. (b) SPI bertugas menyediakan: Laporan Hasil Audit RTU sebagai bahan evaluasi atas register risiko yang disampaikan RTU kepada Divisi Manajemen Risiko dan Penelitian Pengembangan dan sebagai bahan pengkinian Manajemen Peristiwa Kerugian, Hasil pengujian atas pengendalian internal yang dilakukan oleh SPI terhadap RTU yang menjadi auditee SPI sebagai bahan evaluasi keefektivitasan pengendalian dan perlakuan risiko yang telah dilaporkan RTU. b) Perusahaan mengembangkan proses pemantauan dan tinjau ulang dengan mempertimbangkan apakah: (1) Kerangka dan proses yang digunakan telah menghasilkan output/outcome yang diharapkan; (2) Pemangku kepentingan menerima informasi yang cukup untuk dapat menjalankan peran dan tanggung jawab mereka dalam struktur tatakelola risiko perusahaan; (3) Seluruh pejabat/pegawai perusahaan memiliki keahlian manajemen risiko yang mencukupi sejalan dengan tuntutan tugas dan tanggungjawab pengelolaan risiko yang harus dilaksanakan seharihari; (4) Kerangka dan proses telah sesuai dengan tujuan pengelolaan risiko dan selaras dengan tujuan dan sasaran perusahaan; (5) Sumberdaya untuk mengelola risiko telah dialokasikan dalam jumlah yang memadai. Dalam melaksanakan proses pemantauan dan tinjau ulang, perusahaan meminta umpan balik dari karyawan dan para pemangku kepentingan lainnya agar perusahaan dapat menerapkan manajemen risiko yang lebih baik di masa depan sebagaimana gambar berikut. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 44 dari 102

48 KONDISI AWAL PENGENDALIAN RISIKO PENGENDALIAN RISIKO TER-UPDATE BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO PEMANTAUAN SEHARI-HARI, BERKALA OLEH ATASAN, DAN PIHAK KETIGA Validasi Pengendalian Identifikasi perubahan Identifikasi perubahan Identifikasi perubahan Identifikasi perubahan PERUBAHAN LINGKUNGAN EKSTERNAL DAN INTERNAL Verifikasi Perubahan Gambar 3.5. Mekanisme Pemantauan dan Tinjau Ulang c) Peningkatan Ketahanan dan Kelangsungan Bisnis Divisi MR dan Litbang memastikan bahwa semua risiko yang berpengaruh terhadap ketahanan dan kelangsungan bisnis inti perusahaan (risk-related resilience and sustainability), telah terindentifikasi dan terkelola dengan baik untuk menjamin ketahanan dan kelangsungan bisnis perusahaan. d) Membangun Best Practice dan Networking Perusahaan akan bekerja bersama dengan pihak eksternal yang berkompeten untukmeningkatkan penguasaan metode/teknikmanajemen risiko yang tersedia dan berbagi informasi manajemen risiko dengan khalayak yang lebih luas, melalui berperan aktif pada asosiasi atau forum di bidang manajemen risiko dan industri asuransi, benchmarking atau studi banding, dan sharing atau focus group discussion. e) Indikator Kinerja Jasa Raharja menetapkan outcome dari setiap tahap proses manajemen risiko sebagaimana tabel 3.1. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 45 dari 102

49 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO NO TAHAP PROSES MR HASIL 1. Proses Komunikasi & Konsultasi 2. Proses Penetapan Konteks a. Semua pemangku kepentingan yang dianggap penting, telah dikonsultasikan dan dilibatkan dalam proses. b. Persepsi pemangku kepentingan terhadap risiko telah sesuai dengan harapan. c. Rencana Komunikasi telah dibuat. d. Semua pengelola risiko (RTU) telah memahami peran dan fungsi masingmasing. a. Konteks eksternal b. Konteks internal c. Konteks pengelolaan risiko d. Kriteria risiko untuk setiap tingkatan manajerial 3. Proses Identifikasi Risiko a. Identifikasi risiko telah menjadi bagian dari prosedur perencanaan di level strategis, operasional, proyek, dan individu. b. Identifikasi risiko menjadi bagian dari aktifitas sehari-hari. c. Pengelola risiko (RTU) memahami proses dan aktifitas pada unit kerja dan risiko yang melekat padanya. d. Prosedur pengambilan keputusan menjadi lebih efektif. 4. Proses Analisis Risiko a. Sistem manajemen, teknologi, dan prosedur yang digunakan untuk menjalankan dan mengendalikan operasi bisnis telah teridentifikasi dan diketahui tingkat efektifitasnya. b. Pengendalian risiko tinggi telah teridentifikasi dan diketahui tingkat efektifitasnya. c. Nilai kemungkinan dan dampak yang diperoleh berdasarkan data dan informasi yang mutakhir, wajar, dan berimbang. 5. Proses Evaluasi Risiko a. Evaluasi dan prioritas risiko menggunakan metode yang konsisten. b. Keputusan menolak/menerima risiko telah berdasarkan data yang wajar dan berimbang terkait manfaat dibandingkan dengan kerugiannya. 6. Proses Perlakuan Risiko a. Adanya Rencana Perlakuan Risiko diperuntukkan bagi risiko yang diprioritaskan. b. Rencana Perlakuan Risiko telah memperhitungkan aspek ketersediaan DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 46 dari 102

50 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO NO TAHAP PROSES MR HASIL sumberdaya dan waktu. c. Aktifitas pengendalian dan perlakuan risiko telah menjadi bagian dari proses penyusunan Sasaran Kinerja Kantor Cabang / Divisi / Korporat dan realisasinya. 7. Proses Pemantauan & Kaji Ulang a. Adanya pemantauan dan kaji ulang secara reguler yang mencakup: Manfaat dan kerugian yang diperoleh perusahaan dalam menerima/menolak risiko; implementasi dan efektifitas rencana perlakuan risiko. b. Proses pemantauan dan kaji ulang menjadi bagian dari proses evaluasi pelaksanaan Sasaran Kinerja Kantor Cabang / Divisi / Korporat. c. Proses manajemen risiko telah fokus mengatasi ketidakpastian pencapaian sasaran dan target kinerja di level unit kerja dan individu karyawan. Tabel 3.1 Matrik Kinerja Proses Manajemen Risiko Divisi Manajemen Risiko dan Penelitian Pengembangan merancang dan meninjau format dan formula pengukuran kinerja pengelolaan risiko (risk management performance) yang dilakukan oleh para pengelola risiko (RTU) berdasarkan pencapaian hasil di atas. f) Evaluasi Realisasi Proses Manajemen Risiko i. Kinerja pengelolaan risiko memuat pelaporan yang mencakup pencapaian hasil proses manajemen risiko sebagaimana diuraikan pada bagian terdahulu. ii. Dinamika pencapaian hasil dari setiap tahap proses manajemen risiko senantiasa dikomunikasikan kepada atasan langsung dan bilamana perlu kepada pimpinan yang lebih tinggi. iii. Pelaporan pengelolaan risiko meliputi antara lain: (1) Laporan hasil asesmen risiko yang menjadi bagian dari rancangan RKAP, (2) Laporan rencana perlakuan risiko yang menjadi bagian dari rencana operasional, (3) Laporan Profil Risiko yang menjadi bagian dari laporan pelaksanaan rencana operasional, DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 47 dari 102

51 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO (4) Laporan status portofolio risiko korporat yang menjadi sumber informasi pengambilan keputusan strategi di tingkat korporat, (5) Laporan informasi profil risiko untuk konsumsi eksternal (misalnya Laporan Manajemen), (6) Laporan lainnya yang diminta oleh Direksi, (7) Risk register yang menjadi pusat database informasi manajemen risiko dengan menggunakan teknologi informasi. iv. Divisi Manajemen Risiko dan Penelitian Pengembangan menyampaikan laporan kinerja pengelolaan risiko dari RTU berdasarkan indikator kunci keberhasilan pengelolaan risiko (risk management key performance), secara berkala kepada Direksi. v. Dewan Komisaris, Direksi, dan pimpinan unit kerja di setiap tingkatan manajemen secara reguler menerima laporan untuk memonitor perkembangan realisasi RKAP di bidang manajemen risiko dan efektifitas sistem manajemen risiko. vi. Bilamana perlu sesuai permintaan Direksi, maka laporan risiko sangat tinggi dapat disampaikan oleh RTU langsung kepada Direksi, yang mana risiko tersebut berpotensi mengganggu kegiatan operasional di tingkat korporat. vii. Divisi Manajemen Risiko dan Penelitian Pengembangan berkoordinasi dengan unit kerja terkait selalu memantau dan mengkaji ulang efektifitas mekanisme pelaporan untuk memastikan bahwa informasi manajemen risiko tersebut dapat dipertanggungjawabkan dalam konteks tatakelola perusahaan yang baik (Good Corporate Governance). g) Perbaikan Berkelanjutan Berdasarkan hasil pemantauan dan evaluasi kinerja, perusahaan akan mengambil langkah-langkah meningkatkan mutu kerangka dan proses manajemen risiko secara berkelanjutan. Tindak lanjut ini diharapkan dapat meningkatkan dan memperbaiki sistem manajemen risiko perusahaan dan implementasinya, menuju peningkatan budaya sadar risiko. Proses Pada Tingkat Operasional a) Proses Manajemen Risiko i. Perusahaan menetapkan proses manajemen risiko pada tingkat operasional dengan standar SNI ISO 31000:2011 yang terdiri dari tiga tahap utama yaitu (1) Penetapan konteks, (2) Asesmen risiko dan (3) Perlakuan risiko, DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 48 dari 102

52 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO ii. iii. iv. serta dua tahap penunjang yaitu (1) Komunikasi & konsultasi dan (2) Pemantauan & tinjau ulang. Jasa Raharja juga menetapkan bahwa metode dan teknik asesmen (identifikasi, analisa, dan evaluasi) risiko yang digunakan sesuai standar ISO/IEC 31010:2009: Risk Management - Risk Assessment Technique. Setiap nilai risiko yang diperoleh dari hasil asesmen risiko dan nilai risikonya di atas batas toleransi menurut kriteria risiko yang berlaku, pengendalian dan perlakuan risikonya akan dimasukkan ke dalam RKAP. Untuk meningkatkan efisiensi waktu dan akurasi pengukuran nilai risiko, maka perusahaan membangun sistem informasi manajemen risiko berdasarkan teknologi informasi yang interaktif dan on-line. v. Sistem manajemen risiko berdasarkan teknologi informasi paling tidak mencakup risk register sebagai database, rencana pengendalian atau perlakuan risiko, mekanisme pemantauan dan tinjau ulang, serta format (template) laporan yang digunakan untuk mengkomunikasikan hasil-hasil pemantauan dan tinjau ulang kepada pihak terkait. vi. vii. Divisi Manajemen Risiko dan Penelitian Pengembangan memastikan sistem manajemen risiko berdasarkan teknologi informasi menjadi bagian dari (terintegrasi dengan) sistem informasi terkait penyusunan,pelaksanaan, pemantauan, serta pelaporan RKAP. Uraian lengkap tentang proses manajemen risiko berbasis SNI ISO 31000:2011 dapat dilihat pada Bab IV-VI dari pedoman ini. b) Integrasi Proses Manajemen Risiko ke dalam Proses Bisnis Perusahaan i. Setiap pengambilan keputusan perusahaan di tingkat strategis dan operasional harus menjadikan asesmen risiko sebagai bagian yang tidak terpisahkan dari proses dan prosedur pengambilan keputusan tersebut. ii. iii. Dalam hal investasi bisnis maka asesmen risiko, termasuk rencana perlakuan risikonya (risk treatment plan), merupakan satu kesatuan dengan proses analisis kelayakan bisnis atau investasi sehingga pada saat pengambilan keputusan sudah mempertimbangkan risiko yang berpengaruh terhadap pencapaian sasaran investasi tersebut. Setiap unit kerja wajib melengkapi rancangan program RKAP dengan daftar risiko yang melekat, strategi penanganan risiko, estimasi biaya pengendalian atau perlakuan risiko yang akan digunakan dan dilengkapi informasi tentang CBA ratio (Cost Benefit Analysis ratio) pada setiap program yang diusulkan. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 49 dari 102

53 BABIII PRINSIP-PRINSIP DAN KERANGKA KERJA MANAJEMEN RISIKO iv. Sebelum RJPP/RKAP di sahkan oleh RUPS, maka setiap RTU, wajib menyusun Rencana Pengendalian dan Perlakuan Risiko sebagai bagian dari rencana kerja/kontrak manajemen yang menjadi tanggungjawabnya. v. Pemantauan implementasi Rencana Pengendalian dan Perlakuan Risiko Risiko menjadi bagian dari pemantauan realisasi rencana kerja/kontrak manajemen dengan melakukan pemantauan secara berkala oleh RTU. vi. vii. RTU menyusun dan menyampaikan laporan pemantauan pengelolaan risiko kepada Divisi Manajemen Risiko dan Penelitian Pengembangan, bersamaan dengan pelaporan realisasi rencana kerja/kontrak manajemen terkait. Divisi Manajemen Risiko memantau kebijakan proses manajemen risiko telah terintegrasi dengan proses bisnis perusahaan terkait dengan proses penyusunan dan pelaksanaan RJPP/RKAP. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 50 dari 102

54 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO 4.1 Proses Manajemen Risiko Proses manajemen risiko adalah cara yang sistematis untuk menetapkan konteks di mana setiap RTU dan jajarannya dapat mengidentifikasi, menganalisis, menilai dan mengendalikan risiko mereka, sambil berkomunikasi dan konsultasi dengan para pemangku kepentingan dalam rangka terus memantau serta mengkaji setiap elemen dari proses manajemen risiko itu sendiri. Ada tujuh tahap yang berbeda tapi saling terkait dalam proses manajemen risiko, seperti yang ditunjukkan pada Gambar 4.1. Tahap ini adalah: Gambar 4.1. Proses Manajemen Risiko a. Komunikasi dan konsultasi: bertukar informasi mengenai manajemen risiko dengan para stakeholders internal dan eksternal. b. Menetapkan konteks: menetapkan parameter internal dan eksternal yang harus dipertimbangkan ketika mengelola risiko dan menetapkan ruang lingkup pelaksanaan proses manajemen risiko di setiap tingkatan organisasi perusahaan. c. Asesmen Risiko, terdiri dari tiga fase sebagai berikut: 1. Identifikasi risiko: menemukan, mengenali dan mendeskripsikan risiko. 2. Analisis risiko: memahami sifat dan tingkat risiko sehingga dapat dibuat keputusan tentang apakah risiko perlu ditangani. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 51 dari 102

55 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO 3. Evaluasi Risiko: memutuskan risiko mana saja yang memerlukan penanganan lebih lanjut dengan membandingkan terhadap kriteria risiko yang ditetapkan, dan sesuai urutan proritas. d. Perlakuan atau Mitigasi risiko: mengidentifikasi, memilih dan menerapkan respons terhadap risiko yang berada di atas batas toleransi yang ditetapkan oleh perusahaan. e. Monitoring dan peninjauan ulang: terus memeriksa setiap komponen proses manajemen risiko berkinerja seperti yang diinginkan. Proses manajemen risiko dapat dibagi menjadi dua kelompok, yaitu proses inti dan proses penunjang. Proses inti meliputi tahap penetapan konteks, asesmen risiko, perlakuan risiko, dan pemantauan & peninjauan ulang. Proses penunjang adalah tahap komunikasi & konsultasi. Proses manajemen risiko harus menjadi bagian integral dari seluruh rangkaian operasi perusahaan, terinternalisasi dalam budaya dan praktek organisasional, dan disematkan pada proses bisnis atau kegiatan perusahaan, termasuk pada proses perencanaan strategis, bisnis, dan program kerja. RTU harus menggunakan pendekatan berbasis tim untuk mengembangkan dan menerapkan proses manajemen risiko yang menjadi tanggung-jawabnya. Bekerja sebagai tim memungkinkan penanggung jawab RTU dan jajarannya mengambil manfaat dari keahlian anggota tim yang berbeda, pengalaman, dan perspektif perusahaan ketika mengembangkan dan menerapkan proses manajemen risiko. Agar efektif, pengembangan dan implementasi harus difasilitasi oleh Divisi Manajemen Risiko dan Litbang dan didukung oleh Risk Officer, yang memiliki tanggung jawab mengembangkan desain kerangka kerja (sistem) manajemen risiko perusahaan. 4.2 Komunikasi & Konsultasi Penanggungjawab RTU dan jajaran harus berkomunikasi dan berkonsultasi dengan para stakeholders mereka di semua tahapan proses manajemen risiko. Komunikasi dan konsultasi merupakan mekanisme yang menunjang pelaksanaan proses manajemen risiko yang efektif. RTU dapat melakukan analisis stakeholders untuk mengembangkan pemahaman yang lebih dalam tentang isu-isu yang paling diperhatikan oleh stakeholders, tingkat pengaruh dan dampak perilaku mereka terhadap perusahaan. Divisi Manajemen Risiko dan Penelitian Pengembangan dapat pula melakukan analisis stakeholders untuk seluruh perusahaan, direktorat atau unit kerja tertentu, atau sebagai bagian dari pengembangan dan implementasi program kerja tertentu. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 52 dari 102

56 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO a. Komunikasi Komunikasi yang jelas dan efektif diperlukan untuk memastikan bahwa pihak yang tepat menerima informasi yang tepat pada waktu yang tepat, sehingga mereka dapat membuat keputusan yang terbaik dan melaksanakan tanggung jawab manajemen risiko mereka. Pihak yang berbeda dalam perusahaan akan memiliki kebutuhan informasi yang berbeda. Misalnya, pegawai yang bertanggung jawab untuk melakukan tindakan pengendalian terhadap risiko perlu memahami akuntabilitas mereka, alasan yang rasional dalam mengambil keputusan, dan alasan suatu tindakan diperlukan. Pemangku kepentingan internal lainnya seperti Direksi, Dewan Komisaris, Komite yang dibentuk oleh Dewan Komisaris, dan Manajemen Senior, memiliki kebutuhan yang khas akan informasi, misalnya tentang bagaimana risiko dikelola dan dilaporkan. Diperlukan pula langkah untuk mengkomunikasikan tentang risiko dan bagaimana risiko dikelola kepada para stakeholders eksternal, misalnya melalui laporan tahunan. Komunikasi dengan para pemangku kepentingan harus terus menerus dan mencakup keseluruhan proses manajemen risiko. Divisi Manajemen Risiko dan Penelitian Pengembangan dapat mengembangkan rencana untuk mengidentifikasi apa, bagaimana, kapan dan kepada siapa informasi tentang risiko dan proses manajemen risiko dikomunikasikan. Rencana komunikasi ini dikembangkan sejak awal pelaksanaan proses manajemen risiko, dan ditinjau ulang secara teratur dan direvisi untuk memastikan telah mencerminkan perubahan konteks eksternal, internal, dan konteks manajemen risiko. b. Konsultasi RTU perlu berkonsultasi dengan para stakeholder internal dan eksternal sehingga: 1. Konteks di mana Perusahaan atau Unit kerjanya, dapat sepenuhnya dipahami. 2. Kepentingan stakeholder dipahami dan menjadi pertimbangan. 3. Semua risiko yang bersumber dari stakeholder dapat diidentifikasi. 4. Bidang keahlian berbeda yang terwakili pada saat menganalisis dan mengevaluasi risiko. 5. Sudut pandang yang berbeda turut dipertimbangkan. 6. Ada dukungan bagi penyusunan rencana mitigasi risiko dan implementasinya. Konsultasi dapat bersifat formal atau informal. Proses konsultasi formal dapat dilakukan pada saat penyusunan perencanaan strategis, presentasi kepada para eksekutif, pertimbangan kajian risiko dalam bentuk nota dinas; risalah rapat evaluasi risiko; survei, asesmen, dan diskusi kelompok terfokus. Konsultasi formal memastikan DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 53 dari 102

57 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO kebutuhan stakeholder dan hal yang menjadi perhatian mereka ditindak-lanjuti secara terstruktur, dan membentuk suatu pengambilan keputusan yang siap di-audit. Konsultasi informal dapat mencakup meeting informal, workshop, , social media, update, laporan, briefing dan wawancara. c. Matriks RACI dalam penerapan manajemen risiko Matriks RACI adalah matriks yang menggambarkan peran berbagai pihak dalam penyelesaian suatu pekerjaan dalam suatu proyek atau proses bisnis.dimana matriks ini terutama sangat bermanfaat dalam menjelaskan peran dan tanggungjawab antar bagian didalam suatu proyek atau proses. RACI sendiri merupakan singkatan dari Responsible (pelaksana), Accountable (bertanggungjawab), Consulted/Contribute (konsultasi) dan Informed (terinformasi). Seperti yang terlihat pada tabel berikut ini adalah RACI matriks dalam penerapan proses manajemen risiko: NO Proses Manajemen Risiko BOC Komite Pemantau Risiko* Direksi Divisi MR& Litbang SPI RTU Risk Officer Stake holder 1 Komunikasi & Konsultasi I C/I I C/I I A/R R C/I 2 Penetapan Konteks I C/I I C/I I A/R R C/I 3 Identifikasi Risiko I C/I I C/I I A/R R C/I 4 Analisa Risiko I C/I I C/I I A/R R C/I 5 Evaluasi Risiko I C/I I C/I I A/R R C/I 6 Perlakuan Risiko I C/I I C/I I A/R R C/I 7 Monitor & Peninjauan ulang I C/I I A/R A/R A/R R C/I *apabila telah dibentuk Tabel 4.1 : RACI Matriks penerapan proses manajemen risiko DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 54 dari 102

58 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO 4.3 Penetapan Konteks Menetapkan konteks adalah tentang penetapan parameter eksternal dan internal yang harus dipertimbangkan ketika mengelola risiko dan penetapan ruang lingkup atau batasan-batasan pelaksanaan proses manajemen risiko di perusahaan atau unit tertentu dalam perusahaan. Perusahaan harus menetapkan konteks untuk memahami bisnis atau lingkungan dimana proses manajemen risiko akan dilaksanakan. Pada gilirannya, penetapan konteks akan menginformasikan batasan ruang lingkup dan struktur pelaksanaan tahap selanjutnya dari proses manajemen risiko, termasuk apa saja jenis/kategori risiko yang dipertimbangkan dan bagaimana ini akan diukur atau dinilai serta menetapkan kriteria untuk memutuskan apakah risiko yang terindektifikasi, dapat diterima atau ditolerir. Gambar 4.2 mengilustrasikan langkah-langkah penting dalam membangun konteks untuk proses manajemen risiko. Gambar 4.2. Menetapkan Konteks dalam Proses Manajemen Risiko. Parameter yang harus dipertimbangkan dalam penentuan konteks sama dengan yang dipertimbangkan dalam desain kerangka kerja manajemen risiko. Namun, terdapat perbedaan ketika menentukan konteks proses manajemen risiko, yaitu penjabaran secara lebih rinci khususnya bagaimana parameter yang dimaksud berhubungan dengan ruang lingkup proses manajemen risiko Perusahaan. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 55 dari 102

59 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO Konteks eksternal, internal dan manajemen risiko harus diperiksa secara teratur ketika kerangka kerja manajemen risiko Perusahaan dan proses manajemen risiko ditinjau ulang untuk memastikan bahwa setiap perubahan diidentifikasi secara tepat waktu, sehingga mitigasi risiko dan prioritas mitigasi risiko dapat direvisi jika diperlukan. a. Konteks Eksternal Konteks eksternal adalah lingkungan eksternal di mana Perusahaan beroperasi. Mendefinisikan konteks ini mengharuskan Perusahaan untuk mempertimbangkan dampak yang ditimbulkan oleh faktor eksternal bagi operasi Perusahaan dan kemampuan untuk mencapai sasaran. Faktor-faktor ini dikaji di tingkat lokal, regional, nasional dan internasional. Contohnya PESTLE bawah ini: 1. Political/Politik: pergantian pemerintah, perubahan kebijakan pemerintah 2. Economic/Ekonomi: pertumbuhan ekonomi, harga komoditas, suku bunga, kondisi pasar dalam negeri dan luar negeri 3. Socio-cultural/Sosial Budaya: pertumbuhan penduduk, dampak perubahan demografis terhadap permintaan jasa layanan, perubahan harapan stakeholder, kelompok masyarakat, LSM 4. Technological/Teknologi: perubahan teknologi, biaya memperbarui teknologi, keusangan sistem 5. Laws and regulations/hukum dan peraturan: legislasi, regulasi, dan standar. 6. Environmental/Lingkungan: dampak dari operasi Perusahaan terhadap lingkungan, perubahan iklim. Perusahaan harus mengidentifikasi tren utama dan faktor pemicu yang dapat mempengaruhi kemampuan Perusahaan atau Unit tertentu dalam mencapai sasarannya serta mempertimbangkan persepsi pemangku kepentingan dan nilai-nilai yang dapat mempengaruhi kemampuan untuk pencapaian sasaran. b. Konteks Internal Konteks internal adalah lingkungan internal di mana RTU beroperasi di dalam Perusahaan. Mendefinisikan konteks internal Perusahaan perlu mempertimbangkan tujuan Perusahaan, struktur, kemampuan, proses, sumber daya dan stakeholder. Perusahaan dapat mulai dengan menganalisis setiap tujuan dan target yang ingin dicapai, apakah setiap tujuan dan sasaran telah selaras dengan tujuan dan sasaran pada tingkat yang lebih tinggi atau di tingkat korporasi. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 56 dari 102

60 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO Setelah itu, RTU dapat menganalisis proses bisnis untuk menentukan proses apa yang mereka harus jalankan dalam mencapai tujuan dan sasaran mereka serta proses mana yang bukan merupakan tanggung jawabnya. Informasi ini penting untuk RTU, untuk membantu memastikan bahwa RTU hanya akan mengidentifikasi risiko yang melekat dalam proses bisnis yang dijalankan oleh mereka untuk mencapai tujuan dan sasaran mereka sendiri. Risiko yang melekat dalam proses bisnis lainnya, bukan merupakan tanggung jawab mereka. Gambar 4.3 menggambarkan dua kelompok utama proses bisnis di JASA RAHARJA yang terdiri dari proses operasi, dan proses non-operasi. Gambar 4.3. Proses Bisnis Perusahaan Struktur ini menunjukkan bahwa risiko yang teridentifikasi harus dikelompokkan menjadi beberapa jenis/kategori risiko sesuai dengan kelompok-kelompok pekerjaan yang terkandung dalam proses bisnis. Metode pengelompokan risiko ini dilakukan untuk membantu RTU dalam mengukur nilai agregat risiko pada setiap tingkatan organisasi Perusahaan secara bertahap, mulai dari area operasional/unit sampai tingkat strategis/korporasi. Setiap RTU pada setiap tingkatan organisasi Perusahaan perlu menyusun jenis/kategori risiko untuk satuan kerja mereka masing-masing, sesuai dengan kelompok-kelompok pekerjaan yang ditemukan dalam proses bisnis yang DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 57 dari 102

61 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO menjadi tanggung - jawab mereka. Gambar 4.4 menunjukkan struktur jenis / kategori untuk Jasa Raharja. Gambar 4.4. Struktur Jenis/Kategori Risiko Jasa Raharja Kategori risiko yang digunakan merujuk pada Peraturan Otoritas Jasa Keuangan Nomor 10/POJK.05/ tentang Penilaian Tingkat Risiko Lembaga Jasa Keuangan Non-Bank, dengan penjelasan sebagai berikut 1. Risiko Kepengurusan: Peristiwa/situasi yang dapat muncul sebagai akibat kegagalan perusahaan dalam memelihara komposisi terbaik pengurusnya, yaitu direksi dan dewan komisaris,atau yang setara, yang memiliki kompetensi dan integritas yang tinggi. 2. Risiko Tata Kelola: Peristiwa/situasi yang dapat terjadi karena adanya potensi kegagalan dalam pelaksanaan tata kelola yang baik (good governance), ketidaktepatan gaya manajemen, lingkungan pengendalian, dan perilaku dari setiap pihak yang terlibat langsung atau tidak langsung dengan perusahaan. 3. Risiko Permodalan: Tingkat kecukupan dana/modal yang ada pada perusahaan, termasuk ketersediaan akses tambahan dana/modal dalam menghadapi kerugian atau kebutuhan dana/modal yang tidak terduga. 4. Risiko Strategi: Peristiwa/Situasi yang dapat terjadi sebagai akibat kegagalan penetapan strategi yang tepat dalam rangka pencapaian sasaran dan target utama Lembaga Jasa Keuangan Non-Bank, dan berdampak pada posisi strategis dan reputasi perusahaan. 5. Risiko Operasional: Peristiwa/situasi yang dapat muncul sebagai akibat ketidaklayakan atau kegagalan proses internal, manusia, sistem teknologi informasi dan/atau adanya kejadian-kejadian yang berasal dari luar lingkungan perusahaan, yang dapat mengakibatkan gangguan terhadap bisnis Perusahaan, kecurangan, dan tuntutan hukum. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 58 dari 102

62 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO 6. Risiko Aset & Liabilitas: Peristiwa/situasi yang dapat muncul sebagai akibat kegagalan pengelolaan aset dan liabilitas perusahaan. 7. Risiko Asuransi: Peristiwa/situasi yang dapat timbul sebagai akibat kegagalan perusahaan asuransi memenuhi kewajiban kepada pemegang polis sebagai akibat dari ketidakcukupan proses seleksi risiko (underwriting), penetapan premi (pricing), penggunaan reasuransi dan/atau penanganan klaim. c. Konteks Manajemen Risiko Konteks manajemen risiko mengacu pada parameter yang ditetapkan untuk proses manajemen risiko berdasarkan pertimbangan lingkungan eksternal dan internal. Ini mencakup semua kegiatan dalam proses manajemen risiko. Menetapkan konteks manajemen risiko mengharuskan penanggungjawab RTU untuk mempertimbangkan dan menentukan, misalnya: 1. Tujuan, sasaran, strategi, sumber daya dan akuntabilitas untuk kegiatan proses manajemen risiko pada unit kerja yang dipimpinnya. 2. Metodologi penilaian risiko yang akan digunakan. 3. Kriteria risiko yang akan digunakan untuk mengukur risiko dan menentukan apakah risiko yang diberikan dapat diterima atau ditolerir. 4. Metrik kinerja yang akan digunakan untuk mengevaluasi kinerja manajemen risiko (sesuai tabel 3.1. Matrik Kinerja Proses Manajemen Risiko). d. Ruang Lingkup Manajemen Risiko Ruang lingkup manajemen risiko meliputi pekerjaan-pekerjaan berikut namun tidak terbatas pada: 1. Regular Objective Direktorat/Divisi/Cabang: a) Program kerja sesuai tuntutan Key Performance Indicator (KPI) atau Kontrak Manajemen Direktorat/Divisi/Cabang, b) Investasi diatas Rp 50 milyar (kajian risiko sebagai masukan pembuatan rekomendasi Komite Investasi kepada Direksi), c) Area yang dicakup oleh Key Risk Indicator (KRI) / Indikator Risiko Utama (IRU) d) Pengembangan Layanan. 2. Specific Objective/khusus : a) Kerjasama kemitraan, b) Penyertaan modal pada badan usaha lainnya, c) Mengambil, melepaskan baik sebagian atau seluruhnya penyertaan perusahaan atau ikut serta dalam perusahaan atau badan-badan lain atau menyelenggarakan perusahaan baru atau mendirikan perusahaan patungan, DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 59 dari 102

63 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO d) Pembentukan anak perusahaan, e) Proses pengadaan barang dan jasa melalui mekanisme tender, f) Menghapuskan dari pembukuan piutang macet dan menghapuskan persediaan barang mati, g) Melepaskan atau menjaminkan aktiva tetap (fixed asset) Perusahaan, h) Merger dan Akuisisi (MA) Perusahaan, i) Penghapusan atau pemindahan hak: (1) Menghapuskan aktiva bergerak dengan umur ekonomis yang lazim berlaku dalam industri pada umumnya sampai dengan 5 (lima) tahun. (2) Memindahtangankan aktiva tetap bergerak dengan umur ekonomis yang lazim berlaku dalam industri pada umumnya sampai dengan 5 (lima) tahun. j) Melakukan transaksi lindung nilai (hedging), k) Pengembangan bisnis, l) Transaksi operasional yang dipandang perlu mendapatkan kajian risiko, m) Merubah penggunaan anggaran : (1) Melakukan kajian risiko pada setiap perubahan penggunaan anggaran investasi yang telah ditetapkan dalam RKAP. (2) Melakukan perubahan anggaran dalam RKAP selain anggaran investasi yang melebihi nilai tertentu yang ditetapkan oleh Dewan Komisaris. e. Mengembangkan Kriteria Risiko Salah satu alasan dalam menetapkan konteks adalah membantu Divisi Manajemen Risiko dan Penelitian Pengembangan untuk mengembangkan kriteria risiko bagi Perusahaan serta kriteria spesifik bagi unit kerja. Perusahaan membutuhkan seperangkat kriteria standar sehingga setiap orang dalam Perusahaan memiliki pemahaman umum tentang bagaimana mengevaluasi kegawatan suatu risiko. Informasi tentang kriteria risiko dapat diperoleh dari spesifikasi produk atau jasa tertentu, standar baku industri yang berlaku atau ketentuan hukum. Setelah ditetapkan, kriteria risiko harus didokumentasikan dan dikomunikasikan kepada para stakeholders. Seperti terlihat pada Tabel 4.2 di bawah ini, kriteria risiko terdiri dari skala untuk mengukur dampak, kemungkinan, mengontrol efektivitas dan keseluruhan tingkat risiko, dan untuk menentukan mitigasi terhadap tingkat risiko yang berbeda. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 60 dari 102

64 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO Kriteria Risiko Penggunaan Tingkat Dampak Skala yang akan digunakan untuk menilai risiko Analisa Risiko Tabel Dampak Tabel Kemungkinan Efektifitas Kontrol Matrik Risiko Tindakan manajemen untuk eskalasi tingkat risiko Tabel Toleransi Risiko Matrik dimana tingkat dampak dideskripsikan untuk jenis dampak yang berbeda-beda Skala yang akan dipergunakan untuk menilai suatu risiko Skala yang akan digunakan untuk menilai kontrol yang telah ada Teknik yang digunakan untuk mengkombinasikan Kemungkinan dan Dampak dalam menentukan tingkat risiko Tindakan yang harus dilakukan sesuai dengan tingkat dan prioritas risiko masing-masing. Penentuan Perlakuan Risiko berdasarkan pertimbangan apakah risiko dapat diterima/ ditolerir atau tidak. Analisa Risiko Analisa Risiko Analisa Risiko dan Evaluasi Risiko Analisa Risiko Evaluasi Risiko Evaluasi Risiko Table 4.2 Kriteria Risiko Meskipun kriteria risiko pada awalnya dikembangkan sebagai bagian dari penetapan konteks manajemen risiko, namun harus dikembangkan lebih lanjut dan disempurnakan pada saat risiko tertentu teridentifikasi, dan teknik analisis risiko yang dipilih, atau sebagaimana pertumbuhan tingkat maturitas manajemen risiko di dalam perusahaan. f. Mengembangkan Hirarki Risiko dalam Perusahaan Setiap fungsi atau Unit dalam perusahaan harus mengidentifikasi risiko melalui proses perencanaan dan operasi sehari-hari. Untuk menganalisis dan mengevaluasi risiko fungsional atau Unit tersebut, Divisi Manajemen Risiko dan Litbang harus memfasilitasi RTU dengan mengembangkan tabel dampak dan kemungkinan serta matriks risiko yang sesuai untuk situasi masing-masing. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 61 dari 102

65 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO Risiko yang dinilai Ekstrim pada satu tingkatan manajemen, misalnya Divisi, dapat dinilai sebagai risiko Sedang atau Rendah pada tingkatan manajemen yang lebih tinggi, seperti Direktorat. Eskalasi poin pada setiap matriks risiko harus diatur sehingga risiko dieskalasi ke tingkatan manajemen yang tepat, bergantung pada pendelegasian kewenangan. Gambar 4.5. Risiko Pada Tingkatan Berbeda Pada gambar 4.5, risiko A dan B mengacu pada risiko individu. A dan B dinilai sebagai Ekstrim pada tingkat Divisi namun menjadi Rendah dan Sedang di tingkat Direktorat. Jika risiko program kerja ditangani dengan menggunakan ukuran-ukuran yang sama seperti pengendalian risiko Perusahaan secara keseluruhan, maka dampak dari suatu program kerja tertentu mungkin ditangani secara tidak tepat. Sebagai contoh, jika terjadi overbudget 100% pada sebuah program kerja rutin, maka dampak risikonya dapat dinilai rendah jika diukur menggunakan ukuran-ukuran korporat. Divisi Manajemen Risiko dan Penelitian Pengembangan dalam memfasilitasi RTU pemilik program kerja rutin yang dimaksud, harus merancang kriteria dampak yang khusus dan mengatur tingkat eskalasi untuk memastikan bahwa risiko-risiko program kerja yang lain dengan tingkat Ekstrim juga mendapat perhatian dari Direksi dan Dewan Komisaris. Dalam rangka menganalisis nilai risiko bagi kelompok-kelompok risiko (kategori risiko), Divisi Manajemen Risiko dan Penelitian Pengembangan harus memfasilitasi RTU untuk menggunakan nilai agregat dari semua risiko yang berada dalam satu kelompok (kategori risiko) yang sama. Agregasi risiko adalah kombinasi dari sejumlah risiko DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 62 dari 102

66 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO menjadi satu kategori risiko untuk mengembangkan pemahaman yang lebih tepat dari keseluruhan risiko yang teridentifikasi dalam satu Unit. Tingkat risiko dari kategori risiko, diperoleh dengan menetapkan nilai agregat yaitu nilai rata-rata dari semua risiko dalam kategori yang sama atau mengambil tingkat risiko tertinggi dari risiko-risiko yang tergabung dalam kategori risiko yang sama sebagai nilai agregatnya. Setiap RTU dapat mengembangkan struktur kategori risiko berdasarkan proses bisnis yang dikembangkan dan dilaksanakan untuk mencapai sasaran, menggunakan struktur kategori risiko yang ditunjukkan dalam gambar 4.5 sebagai contoh dan mengelompokkan/menggabungkan sejumlah risiko yang teridentifikasi menurut kategori risiko yang tercantum dalam struktur jenis risiko yang dikembangkan. g. Mengukur Dampak Ada banyak teknik untuk mengukur dampak, mulai dari metode-metode kualitatif yang menggunakan seperangkat deskriptor untuk tingkat risiko (misalnya, Sangat Tinggi, Tinggi, Moderate, Rendah), hingga teknik-teknik kuantitatif yang berbasis pada analisis statistik terhadap data historis yang tersedia. Jika RTU ingin menggunakan teknik kuantitatif dalam mengukur dampak, mereka membutuhkan data historis yang secara sistematis dikumpulkan, disimpan, dan terpelihara dengan baik, atau perkiraan probabilitas kondisional yang berbeda-beda (multitude conditional of probabilities). Pemangku Kepentingan juga memerlukan bantuan tenaga ahli untuk mengaplikasikan teknik-teknik kuantitatif, namun dapat juga mengajukan suatu disiplin teknik tertentu atau kerangka analitis yang sistematis dalam sistem manajemen risiko. Teknik kuantitatif mungkin tidak efektif bagi semua RTU, misalnya RTU yang proses utamanya adalah pekerjaan administratif. Teknik kualitatif memang lebih subyektif, namun lebih mudah dan praktis untuk digunakan. Metode mana yang dipilih, bergantung kepada kebutuhan pengambilan keputusan RTU, jenis dan reliabilitas data yang tersedia pada saat pengukuran risiko dilakukan, dan kapabilitas serta pengalaman dari mereka yang melakukan analisis. Pedoman ini tidak mencakup diskusi yang mendalam tentang berbagai teknik analisis risiko. Namun, menyediakan teknik kualitatif yang lazim digunakan (best practice) dalam pengukuran dampak dalam bentuk Tabel Dampak. 1. Menyusun Tabel Dampak Tabel Dampak membantu untuk pengukuran Dampak menggunakan skala yang telah ditetapkan sebelumnya secara konsisten. Tabel terdiri dari suatu matriks yang menetapkan tingkat Dampak bagi setiap jenis Dampak. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 63 dari 102

67 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO Ada tiga langkah dalam menyusun Tabel dampak yaitu: a) Langkah 1: Identifikasi jenis Dampak yang harus masuk dalam tabel Langkah pertama adalah mengidentifikasi semua jenis Dampak yang berpengaruh terhadap kemampuan RTU mencapai Sasarannya. Tabel Dampak harusnya mencakup jenis Dampak yang paling relevan dengan pengalaman perusahaan sebagaimana yang nampak dalam hasil-hasil penetapan konteks internal maupun eksternal perusahaan atau Unit terkait. Baik jenis Dampak yang terukur (misalnya keuangan) maupun sulit diukur (misalnya reputasi) harus dipertimbangkan. Jenis Dampak yang dipergunakan meliputi dan tidak terbatas pada: 1) Pendapatan: Variasi penyimpangan terhadap target pendapatan perusahaan. 2) Keunggulan Operasi: Variasi penyimpangan terhadap target Keunggulan Operasi. 3) Reputasi: Situasi dalam mana perusahaan dapat kehilangan atau melemahkan potensi bisnis akibat perilaku, lingkungan kerja dan kualitas yang dipertanyakan oleh stakeholders. 4) Imbal Hasil: Keuntungan finansial atau manfaat yang senantiasa menjadi tujuan perusahaan yang dibandingkan dengan tingkat BI rate. 5) Indek Kepuasan Pelanggan: Persepsi pelanggan terhadap nilai pelayanan yang diberikan oleh Perusahaan. 6) Rasio Pengeluaran: Variasi penyimpangan terhadap Pengeluaran dibanding Anggaran yang telah ditetapkan. 7) Skor GCG: Variasi besaran nilai asesmen GCG sesuai sistem yang berlaku. 8) Tingkat Maturitas Manajemen Risiko: Variasi besaran nilai tingkat maturitas penerapan manajemen risiko. 9) Efektifitas KPKU: Variasi besaran nilai dalam sistem Kriteria Penilaian Kinerja Unggul BUMN. 10) Up Time TI: Variasi pencapaian waktu dari standar yang ditentukan dalam pengoperasian sistem TI (Service Level Agreement). 11) Deviasi Target Kinerja: Variasi penyimpangan terhadap Target Kinerja. 12) Fraud: Variasi penyimpangan terhadap pendapatan perusahaan akibat fraud (tindak kecurangan) yang terjadi. 13) Hasil Underwriting / Pencapaian : Variasi terhadap target pencapaian underwriting. 14) Pertumbuhan Premi Bruto: Variasi terhadap pencapaian tingkat pertumbuhan Premi Bruto. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 64 dari 102

68 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO 15) Efektifitas Pelayanan: Variasi penyimpangan terhadap standar waktu pelayanan yang ditetapkan. 16) Rasio Klaim Rawatan: Variasi perbandingan jumlah korban luka-luka yang disantuni dibandingkan dengan jumlah data laka (Laporan Polisi). b) Langkah 2: Penentuan berapa banyak tingkat Dampak yang diperlukan dalam tabel Langkah berikutnya adalah menetapkan jumlah tingkat yang dibutuhkan untuk menjelaskan kegawatan setiap jenis Dampak yang teridentifikasi pada Langkah pertama. Tujuannya adalah untuk menentukan tingkat yang cukup bagi setiap Dampak. Jika menggunakan terlalu banyak tingkat, akan timbul kesulitan memilih tingkat dampak yang benar-benar tepat, terutama di antara tingkat yang saling berdekatan. Hal yang sama juga terjadi jika tingkat Dampak terlalu sedikit, maka timbul kesulitan memastikan tingkat Dampak yang tepat. Pada umumnya organisasi menggunakan tabel Dampak dengan jumlah tingkat antara tiga sampai lima tingkat. Dalam rangka penerapan manajemen risiko, perusahaan menetapkan menggunakan lima tingkat Dampak, sebagaimana terlihat pada Tabel 4.3: Tingkat Dampak Deskripsi 1 Tidak signifikan Dampak yang sangat kecil atau tidak penting atau sangat sedikit butuh perhatian atau bahkan tidak butuh perhatian. 2 Kecil Tidak terlalu penting atau bernilai, tidak terlalu serius, tidak menyebabkan banyak masalah atau kerusakan. 3 Sedang Cukup besar atau punya pengaruh untuk mendapat perhatian. 4 Besar Sangat buruk, serius, atau kerusakan yang tidak dikehendaki. 5 Katastropik Bencana yang pasti menggagalkan pencapaian sasaran. Tabel 4.3 Tingkat Dampak dan Deskripsinya c) Langkah 3: Deskripsikan tingkat Dampak untuk setiap jenis Dampak Langkah berikutnya adalah menjabarkan setiap tingkat Dampak untuk setiap jenis Dampak sehingga mudah dipahami dan membedakan setiap tingkat Dampak dari yang tertinggi hingga yang terendah. Sehingga RTU dapat memahami apa yang ditetapkan sebagai high financial impact dan apa DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 65 dari 102

69 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO bedanya dengan medium financial impact. Deskripsi harus dibuat secara spesifik (tailored) sesuai dengan kondisi perusahaan atau unit kerja dan harus selaras dengan apa yang dipahami RTU terhadap konteks perusahaan/unitnya. Jenis dan tingkat Dampak yang dipilih harus dapat dibedakan secara jelas dengan jenis dan tingkat Dampak lainnya. Contohnya, tingkat Dampak tertinggi untuk Dampak keuangan harus secara tegas berbeda dengan tingkat Dampak tertinggi untuk Dampak pelayanan. Ketika Tabel Dampak kualitatif relatif lebih mudah diaplikasikan, namun hasilnya lebih subyektif dan karena itu harus diinterpretasi sebagai indikatif, bukan defenitif. Juga perlu dipertimbangkan bahwa Tabel Dampak kualitatif tidak dapat digunakan untuk mengukur dampak gabungan dari beberapa risiko yang saling terkait. Untuk kebutuhan praktis di tahap awal penerapan manajemen risiko, RTU hanya perlu mengukur Dampak dalam arti ancaman kerugian bagi proses bisnis dalam rangka pencapaian sasaran-sasarannya, dan belum menjadi suatu keharusan untuk mengukur Dampak dalan konteks peluang/manfaat. Asumsinya adalah jika dampak berbahaya dapat dikendalikan maka otomatis peluang/manfaat bakal diperoleh. Namun, untuk ke depan RTU harus diarahkan untuk mengukur dalam arti ancaman dan peluang/manfaat sekaligus. Tabel berikut mengilustrasikan jenis dan tingkat Dampak untuk kebutuhan analisis risiko tingkat dikembangkan untuk setiap tingkatan Manajemen dalam struktur organisasi perusahaan. KRITERIA DAMPAK PT. JASA RAHARJA (PERSERO) TIDAK SIGNIFIKAN KECIL SEDANG BESAR KATASTROPIK Pendapatan Deviasi < 5% dari target 5% < X < 7% 7% < X < 10% 10% < X < 15% 15% Keunggulan Operasi Reputasi 90% 85% < X < 90% 80% < X < 85% 70% < X < 80% < 70% Publikasi negatif dimuat pada media lokal dan dapat ditangani oleh Kantor Cabang setempat Publikasi negatif dimuat di halaman muka media lokal dan dapat ditangani oleh Kantor Cabang setempat Publikasi negatif dimuat pada media nasional dan dapat ditangani oleh Kantor Pusat Publikasi negatif dimuat pada media nasional kurang dari 5x dalam 7 hari dan harus ditangani oleh Direktur terkait. Publikasi negatif dimuat pada media nasional lebih dari 5x dalam 7 hari dan harus ditangani oleh Direksi Tabel 4.4 Kriteria Dampak Korporat DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 66 dari 102

70 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO KRITERIA DAMPAK PT. JASA RAHARJA (PERSERO) TIDAK SIGNIFIKAN KECIL SEDANG BESAR KATASTROPIK Imbal Hasil > BI Rate + 1,5% BI Rate +1,2%< X <1,5% BI Rate + 1,1%<X<1,2% BI Rate + 1% < BI Rate Indek Kepuasan Pelanggan 25% 23%< X <25% 21%< X <23% 20%< X <21% <20% Rasio Pengeluaran 10% 10%< X <15% 15%< X 25% 25%< X <30% 30% Skor GCG 95 90< X < 95 85< X <90 80< X <85 80 Tingkat Maturitas MR > 3,00 dari 5,00 2,50< X <3,00 2,00< X <2,50 1,50< X <2,00 1,50 dari 5,00 Efektifitas KPKU 95% 90%< X <95% 85%< X < 90% 80%< X <85% 80% Up Time TI 99% 99%< X <97% 97%< X <95% 95%< X <90% 90% Deviasi Target Kinerja 95% 95%< X <93% 93%< X < 90% 90%< X <85% 85% Fraud Kerugian 0,05% dari total pendapatan Kerugian 0,05%-5% dari total pendapatan, dan atau berdampak hukum perdata Kerugian 0,05%-5% dari total pendapatan, dan berdampak hukum perdata Kerugian 5% dari total pendapatan dan atau berdampak hukum pidana Kerugian 5% dari total pendapatan, berdampak hukum pidana, dan publikasi negatif di media Tabel 4.5 Kriteria Dampak Kantor Pusat (Divisi) DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 67 dari 102

71 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO KRITERIA DAMPAK PT. JASA RAHARJA (PERSERO) TIDAK SIGNIFIKAN KECIL SEDANG BESAR KATASTROPIK Hasil Underwriting/Pencapaian 110% 108%< X <110% 103%< X <108% 100%< X <103% 100% Pertumbuhan Premi Bruto 10% 7%< X <10% 5%< X <7% 3%< X <5% 3% Efektifitas Pelayanan < 7 hari kerja 7 hr< X <7,5 hr 7,5 hr< X <8,5 hr 8,5 hr< X <10 hr 10 hari kerja Rasio Klaim Rawatan 50% 50%< X <45% 45%< X <35% 35%< X <30% 30% Up Time TI 99% 99%< X <97% 97%< X <95% 95%< X <90% 90% Deviasi Target Kinerja 95% 95%< X <93% 93%< X < 90% 90%< X <85% 85% Fraud Kerugian 0,05% dari total pendapatan Kerugian 0,05%-5% dari total pendapatan, dan atau berdampak hukum perdata Kerugian 0,05%-5% dari total pendapatan, dan berdampak hukum perdata Kerugian 5% dari total pendapatan dan atau berdampak hukum pidana Kerugian 5% dari total pendapatan, berdampak hukum pidana, dan publikasi negatif di media Tabel 4.6 Kriteria Dampak Kantor Cabang. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 68 dari 102

72 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO 2. Menyusun Tabel Kemungkinan Tabel Kemungkinan digunakan untuk menentukan tingkat Kemungkinan keterjadian suatu peristiwa (risk event) yang dapat dipakai oleh RTU dalam menganalisis risikonya. Kemungkinan dapat ditentukan secara kualitatif maupun kuantitatif. Dapat berbasis pada data statistika, atau prediktif, atau teknik simulasi. Tiga langkah penentuan Kemungkinan sebagai berikut: a) Langkah 1: Tentukan berapa banyak tingkat Kemungkinan yang dibutuhkan dalam tabel. Sebagaimana Dampak, tujuan langkah pertama ini adalah untuk menetapkan tingkat yang mencukupi sehingga setiap risiko dapat ditetapkan pada suatu nilai Kemungkinan yang tepat. Jika menggunakan terlalu banyak tingkat, akan timbul kesulitan memilih nilai Kemungkinan yang benar-benar tepat, terutama jika satu risiko terindikasi memiliki dua tingkat kemungkinan. Hal yang sama juga terjadi jika tingkat Kemungkinan terlalu sedikit, maka timbul kesulitan memastikan tingkat Kemungkinan yang tepat. Pada umumnya organisasi menggunakan tabel Kemungkinan dengan jumlah tingkat antara tiga sampai lima tingkat. b) Langkah 2: Memutuskan diskripsi Kemungkinan Tabel Kemungkinan biasanya menggunakan istilah seperti jarang, mungkin, hampir pasti untuk mendeskripsikan peluang keterjadian suatu peristiwa. Tabel Kemungkinan biasanya menjelaskan setiap istilah ini berdasarkan: 1) frekwensi jumlah keterjadian peristiwa dalam satu periode tertentu, atau 2) probabilitas peluang keterjadian peristiwa dalam skala yang berada dalam jarak antara 0% (peristiwa tidak akan terjadi) sampai 100% (peristiwa akan terjadi). Sebagaimana dengan tabel Dampak, metode yang digunakan akan bergantung kepada tingkat maturitas manajemen risiko yang diterapkan dan sifat bisnis yang dikelola, jenis dan reliabilitas data yang tersedia, dan kapabilitas serta pengalaman mereka yang mengolah dan menganalisis data. Untuk menentukan kemungkinan suatu risiko, RTU perlu mempertimbangkan semua sumber risiko yang berpotensi menimbulkan risiko. Guna menghindari inkonsistensi dalam menyusun tabel Kemungkinan, RTU harus spesifikasikan kerangka waktu yang digunakan dalam membuat keputusan tentang Kemungkinan. Contohnya, jika horison waktu perencanaan strategis DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 69 dari 102

73 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO perusahaan adalah 5 tahun, maka Pemangku Risko harus menspesifikasikan suatu kerangka waktu 5 tahun dalam menetapkan kemungkinan keterjadian suatu peristiwa. RTU juga dapat mendeskripsikan Kemungkinan dalam arti berapa sering suatu risiko akan terjadi dalam satu periode siklus perencanaan, misalnya siklus anggaran tahunan. c) Langkah 3: Deskripsikan tingkat Kemungkinan dalam suatu Tabel. Setiap tingkat pada skala Kemungkinan harus dijabarkan sedemikian rupa sehingga mudah dipahami dan tidak bertendensi, menggunakan metode yang ditetapkan pada langkah kedua. Setiap tingkat Kemungkinan memiliki perbedaan yang jelas dengan tingkat di atas dan di bawahnya. Jika RTU memilih mendeskripsikan tingkat Kemungkinan dalam bentuk tingkat frekwensi dan probabilitas, maka harus dipastikan perbedaan nilai yang tegas di antara tingkat frekwensi maupun tingkat probabilitas. RTU juga harus memastikan keterkaitan antara nilai tingkat frekwensi dengan tingkat probabilitas dalam rangka penentuan tingkat Kemungkinan. Sebagaimana tabel Dampak, tabel Kemungkinan juga harus disusun secara khusus (tailored) sesuai konteks masing-masing RTU. Perusahaan telah menetapkan bagi RTU, tabel Kemungkinan yang ditunjukkan pada Tabel 4.7 berikut ini. NO FREKWENSI KRITERIA RISIKO KRITERIA KUALITATIF RATING SEBUTAN KODE NILAI 1 Kurang dari 1 kali dalam setahun Kemungkinan: 1% - 20% Cenderung tidak mungkin terjadi Sangat kecil SK kali dalam 8-10 bulan Kemungkinan: 21% - 40% Kemungkinan kecil terjadi Kecil K kali dalam 5-8 bulan Kemungkinan: 41% - 60% Sama kemungkinan terjadi & tidak terjadi Sedang S kali dalam 3-5 bulan Kemungkinan: 61% - 80% Kemungkinan besar terjadi Besar B kali dalam 1-3 bulan Kemungkinan: 81% - 99% Sangat mungkin pasti terjadi/sering Sangat besar SB 5 Tabel 4.7 Tingkat Kemungkinan untuk Risiko DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 70 dari 102

74 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO 3. Mengukur tingkat Keefektifan Kontrol atau Pengendalian saat ini RTU perlu menyiapkan kriteria untuk mengukur keefektifan pengendalian risiko yang sudah ada. Ketika akan mengidentifikasi Kontrol Terkini, RTU harus menentukan: a) Apakah kontrol didesain dengan baik misalnya apakah mampu mengendalikan risiko sehingga tetap berada dalam tingkat yang dapat ditolerir? b) Apakah kontrol beroperasi seperti yang diinginkan. Apakah dapat dibuktikan dalam praktek nyata di lapangan? Apakah bersifat cost-effective? Asesmen terhadap Kontrol atau Pengendalian Terkini dapat bersifat kualitatif atau kuantitatif, atau semi-kuantitatif, bergantung pada ketersediaan data. Dalam rangka impiementasi manajemen risiko di perusahaan, suatu deksriptor sederhana dapat digunakan adalah sebagaimana ditunjukkan pada tabel 4.8 berikut ini. Tabel 4.8 Tabel Efektifitas Kontrol atau Pengendalian DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 71 dari 102

75 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO Ketika suatu Kontrol atau Pengendalian Terkini dinyatakan tidak efektif, maka RTU harus dapat mengantisipasi apakah diperbaiki atau menggantinya dengan kontrol yang baru. 4. Menentukan Tingkat Risiko Langkah berikutnya adalah mengembangkan metode untuk mengkombinasikan Dampak dan Kemungkinan untuk menentukan tingkat risiko. Berbagai teknik yang dapat digunakan antara lain: a) Metode kualitatif. b) Metode semi-kuantitatif, yang memakai skala-skala numerik dan kombinasinya dengan menggunakan rumus tertentu. c) Metode kuantitatif untuk estimasi nilai praktis untuk Kemungkinan dan Dampak dan menghasilkan suatu nilai bagi risiko-risiko pada unit tertentu. d) Kombinasi dari beberapa teknik di atas. Sebagaimana Dampak dan Kemungkinan, pilihan teknik untuk mengkombinasikan Dampak dan Kemungkinan bergantung pada tingkat maturitas penerapan manajemen risiko, kapabilitas pegawai dan ketersediaan serta kualitas data. Dalam kondisi awal penerapan manajemen risiko, disarankan RTU menggunakan teknik kualitatif sederhana dan di mana perlu pendalaman maka dapat melakukan teknik kuantitatif. Salah satu teknik kualitatif yang lazim adalah menggunakan matriks risiko. Matriks risiko menyediakan grafis yang merepresentasikan hubungan antara Dampak dan Kemungkinan serta implikasi hubungannya. Setiap kotak dalam matriks merepresentasikan kombinasi pasangan nilai Dampak dan Kemungkinan yang dikenal sebagai Tingkat Risiko. Setiap kotak juga dapat diberi kode dalam bentuk angka yang merepresentasikan prioritas risiko. Dalam Tabel 4.9, matriks risiko didesain tidak hanya untuk menganalisis dampak kerugian (threat atau risiko negatif (downside risk) akan tetapi pendekatan yang sama dapat digunakan untuk menganalisis peluang/manfaat atau risiko positif (upside risk). Untuk menggunakan maktriks risiko dalam menentukan tingkatan suatu risiko tertentu, tentukan tingkat Dampak dan Tingkat Kemungkinan dari risiko tersebut berdasarkan Tabel Dampak dan Tabel Kemungkinan, sehingga kombinasinya dapat dilihat dengan jelas pada matrik risikonya. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 72 dari 102

76 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO D A M P A K K E M U N G K I N A N Tabel 4.9 Matriks Risiko TINGKAT RISIKO NILAI RISIKO Ekstrim Tinggi 9-12 Sedang 6-8 Rendah Tabel 4.10 Matriks Risiko Negatif dengan Tingkat dan Nilai Risiko DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 73 dari 102

77 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO Dalam tabel 4.10, berbagai tingkat risiko telah dikelompokkan menurut kode warna dan menurut kategori Sangat Tinggi, Tinggi, Sedang, Rendah. Setiap pengelompokan terkait dengan aturan pengambilan keputusan misalnya perlakuan risiko (risk treatment) hingga berada dalam tingkat yang dapat ditolerir, atau penanganan risiko hanya pada situasi tertentu, atau diterima dan dimonitor saja. Pengelompokan ini juga menyediakan poin-poin eskalasi untuk pengambilan keputusan, memastikan bahwa risiko senantiasa dalam status terkelola sesuai dengan kewenangan yang dimiliki oleh RTU. Misalnya, pengelompokan merah, kuning, hijau pada matriks risiko dapat diselaraskan dengan poin-poin eskalasi pada tabel 4.11 (Contoh pada Risiko Korporat) TINGKAT RISIKO NILAI RISIKO TINDAKAN MANAJEMEN Ekstrim Perlu perhatian Direksi, penanganan dipimpin oleh Direktur terkait dan didukung dengan rencana rinci. Tinggi 9-12 Perlu perhatian Direktur terkait, penanganan dipimpin oleh Kepala Divisi. Sedang 6-8 Perlu perhatian Kepala Divisi dan Kepala Urusan mempersiapkan rencana mitigasi yang tepat (misalnya membuat prosedur untuk menangani risiko ini). Rendah 1-5 Perlu perhatian dan dimonitor oleh RTU Table 4.11 Kebutuhan Perlakuan Risiko dan Poin Eskalasi Untuk Risiko Korporat Tabel di atas merefleksikan batas-batas toleransi risiko oleh perusahaan. Dalam mendesain matriks risiko bagi perusahaan atau RTU perlu: a) Membagi matrik ke dalam jumlah kelompok minimum yang diperlukan untuk mengeskpresikan tingkat tindakan penanganan risiko b) Spesifikasikan secara jelas tindakan dan eskalasi yang tepat untuk setiap kelompok. 5. Menentukan Toleransi Risiko Semua organisasi terekspose kepada serangkaian risiko (baik ancaman/kerugian maupun peluang/manfaat) dengan kegawatan bervariasi yang timbul dari beberapa sumber risiko baik internal maupun eksternal. Jika RTU perlu menghindari atau memitigasi risiko, maka perlu dipertimbangkan untuk memberi toleransi terhadap tingkat kegawatan risiko hingga tingkat tertentu dalam rangka mendapatkan peluang/manfaat yang ada. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 74 dari 102

78 BABIV PROSES MANAJEMEN RISIKO: LINGKUNGAN MANAJEMEN RISIKO RTU perlu menentukan tingkatan di mana perusahaan atau Unitnya harus menerima atau memberi toleransi terhadap risiko tertentu tanpa mengubah tingkat risiko. Umumnya ini merupakan keputusan Direksi dan bergantung kepada konteks internal dan eksternal perusahaan atau Unit tertentu, termasuk faktor-faktor: a) Natur jasa layanan yang disediakan perusahaan b) Lingkungan operasional perusahaan c) Jenis dampak dari risiko (misalnya reputasi, keuangan, keselamatan) d) Stakeholders internal dan eksternal, persepsinya terhadap risiko dan berapa banyak risiko yang dipersiapkan untuk diterima oleh perusahaan dan Unit-Unit di semua tingkat Manajemen. Penting untuk memastikan bahwa ada kesadaran bersama terhadap tingkat risiko yang ditetapkan sebagai pegangan bagi Perusahaan maupun Unit-Unit dalam memutuskan mengambil atau mentolerir risiko. Hal ini memungkinkan pengambilan keputusan yang konsisten dalam mengelola risiko. Toleransi risiko terekspresikan secara praktis dalam tindakan penanganan risiko dan poin-poin eskalasi dalam matriks risiko. Perusahaan yang memperlihatkan tingkat tinggi dalam maturitas manajemen risiko memahami dan secara tegas menetapkan, di mana keseimbangan antara rugi dan manfaat terletak pada konteks dalam mana perusahaan tersebut beroperasi. Dengan secara jelas mendefinisikan tingkat risiko yang dapat diterima atau ditolerir, RTU dapat memperbaiki kemampuannya untuk memberikan jasa layanan dengan : a) Menyediakan input bagi proses pengambilan keputusan b) Menunjukkan bagaimana strategis alokasi sumber daya yang berbeda dapat menambah atau mengurangi beban total risiko c) Mengidentifikasi area khusus di mana risiko dapat dihapus d) Meningkatkan transparansi dan konsistensi keputusan-keputusan bisnis. Sebagaimana disebutkan di atas, risiko dapat dibagi ke dalam risiko-risiko yang tidak membutuhkan tindakan selanjutnya dan risiko-risiko yang butuh tindak lanjut. Keseluruhan risiko yang dihadapi perusahaan dan unit-unitnya merupakan kombinasi dari seluruh risiko individual yang harus dikendalikan dalam rangka pencapaian sasaransasarannya. Keseluruhan risiko tidak boleh melebihi beban total risiko yang dapat diterima atau ditolerir. Karena itu, penting untuk membuat sudut pandang holistik terhadap semua risiko. Memahami tingkat risiko yang dapat diterima atau ditolerir perusahaan dan unit-unitnya pada dasarnya merupakan proses perkembangan, di mana perubahan terjadi seiring waktu, bersamaan dengan perubahan staff, sistem, ekspektasi komunitas, budaya dan teknologi. Direksi dan Manajemen Senior dapat melaksanakan diskusi reguler dalam suatu forum seperti Forum Manajemen Risiko, guna memastikan bahwa strategi manajemen risiko tetap sesuai yang diharapkan. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 75 dari 102

79 BABV PROSES MANAJEMEN RISIKO: ASESMEN DAN PERLAKUAN RISIKO 5.1 Asesmen dan Perlakuan Risiko Ketika pondasi dari proses manajemen risiko telah dibangun, RTU berada pada posisi yang baik untuk melaksanakan asesmen dan perlakuan risiko. Bab ini akan mengarahkan RTU melalui langkah-langkah pada tahap proses manajemen risiko, sebagaimana dilihat pada gambar 5.1. Gambar 5.1. Asesmen dan Perlakuan Risiko DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 76 dari 102

80 BABV PROSES MANAJEMEN RISIKO: ASESMEN DAN PERLAKUAN RISIKO 5.2 Asesmen Risiko Asesmen risiko adalah pendekatan terstruktur untuk mengidentifikasi dan menganalisis ketidakpastian yang ada dalam pencapaian sasaran organisasi. Asesmen risiko terdiri dari tiga fase terpisah yaitu: identifikasi risiko, analisis risiko, dan evaluasi risiko.asesmen risiko bertujuan untuk menjawab pertanyaan pada Tabel 5.1. Tabel 5.1. Tujuan Asesmen Risiko Pedoman ini diharapkan dapat merefleksikan praktek terbaik saat ini (best practice) dalam menyeleksi dan menggunakan peralatan asesmen risiko yang dapat diterapkan melintasi berbagai sektor dan jenis sistem, dan sebagai salah satu referensi adalah IEC/FDIS : 2009 Risk management Risk assessment techniques. a. Identifikasi Risiko Identifikasi Risiko adalah proses menemukenali, menguraikan, dan mencatat ketidakpastian yang dapat meningkatkan atau sebaliknya menghambat kemampuan organisasi dalam mencapai sasarannya. Risiko-risiko teridentifikasi membentuk basis untuk analisis lebih lanjut, evaluasi, dan perlakuan risiko. Karena itu, identifikasi risiko merupakan aspek kritis dalam proses manajemen risiko yang dijalankan oleh organisasi. Dalam mengidentifikasi risiko, RTU tidak hanya mempertimbangkan ancaman kerugian saja namun juga peluang yang bermanfaat, misalnya berkurangnya kejadian fraud dan bertambahnya kualitas pengendalian internal RTU dengan meningkatkan kompetensi auditor. Pada saat mengindentifikasi risiko, setiap Kontrol atau Pengendalian Terkini juga diidentifikasi sekaligus. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 77 dari 102

81 BABV PROSES MANAJEMEN RISIKO: ASESMEN DAN PERLAKUAN RISIKO Gambar 5.2 Langkah Pertama Asesmen Risiko: Identifikasi Risiko 1. Area Risiko Setiap RTU perlu menentukan risiko-risiko yang paling relevan dengannya. Sebagai bagian dari penetapan konteksnya, maka RTU perlu mengembangkan pemahaman terhadap sasaran organisasinya dan kecenderungan-kecenderungan dan faktor pemicu yang utama yang dapat mempengaruhi kemampuan RTU mencapai sasarannya. Perlu dipikirkan beberapa bahkan semua area di bawah ini, dalam arti apa saja efek positif dan negatifnya terhadap sasaran organisasi a) Governance: kegagalan memenuhi persyaratan kepatuhan dan akuntabilitas, ketidakcukupan dan ketidakjelasan dalam hal peran dan tanggung jawab, kelemahan dalam proses pengambilan keputusan yang transparan dan efektif, ketidakcukupan kerangka sistem dan prosedur kontrol internal, ketahanan sistem dan proses penanganan pihak ketiga. Keterkaitan risiko perlu juga diungkapkan dalam identifikasi, terkait prinsip tata kelola yang baik. b) Fraud / korupsi: potensi kehilangan karena fraud atau perilaku yang bertentangan dengan etika organisasi, hal-hal yang didasari unsur politik, budaya dan sikap masyarakat dan bisnis c) Sumberdaya: keuangan, manusia, aset fisik, sistem, termasuk kecukupan atau ancaman terhadapnya, serta peluang yang tercipta melalui efisiensi d) Kepatuhan legislatif dan kontraktual: kegagalan memenuhi persyaratan legislasi dan kontraktual, atau peluang yang tercipta karena perubahan legislasi e) Kebijakan, program: peristiwa-peristiwa yang dapat melemahkan atau meningkatkan penyelesaian kebijakan, program, dan proyek secara tepat waktu dan anggaran, atau kualitas hasilnya; peristiwa-peristiwa yang dapat merusak aset organisasi atau membahayakan informasi yang bersifat sensitif. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 78 dari 102

82 BABV PROSES MANAJEMEN RISIKO: ASESMEN DAN PERLAKUAN RISIKO f) Resiliensi Perusahaan serta Keberlanjutan operasi dan jasa layanan: peristiwa-peristiwa yang dapat menyebabkan gangguan terhadap operasi dan jasa layanan maupun kelangsungan bisnis perusahaan (sebagai dasar pembuatan Business Continuity Management) g) Kerusakan lingkungan: peristiwa-peristiwa yang dapat merusak lingkungan. h) Kesehatan dan keselamatan kerja: peristiwa-peristiwa yang dapat menimbulkan penyakit berbahaya, kecelakaan atau kematian pegawai, klien, kontraktor, atau pihak lainnya. i) Pengadaan barang dan jasa: kegagalan memenuhi persyaratan terkait, termasuk kejujuran dan manfaat yang diperoleh dari barang/jasa yang dibeli, serta hasil-hasil positif yang berujung penghematan dan efisiensi. j) Pelaporan: reliabilitas dan ketepatan waktu informasi keuangan dan informasi lainnya 2. Bagaimana Mengidentifikasi Risiko Banyak alat dan teknik yang dapat digunakan untuk mengidentifikasi risiko. Pilih suatu metode atau metode terbaik yang cocok dengan sasaran organisasi, kapabilitas, maturitas manajemen risiko, dan natur risiko yang ditemukenali. Beberapa pendekatan untuk mengidentifikasi risiko adalah sebagai berikut: a) Risk self-assessment: setiap Unit meninjau sasaran dan aktifitas pencapaian sasarannya masing-masing, serta kejadian-kejadian yang mempengaruhi pencapaian sasaran. Asesmen risiko dapat dilakukan dalam workshop formal yang difasilitasi oleh Risk Officer atau Divisi Manajemen Risiko dan Penelitian Pengembangan atau fasilitor profesional. b) Commissioned risk review: suatu team dibentuk untuk meninjau operasi dan aktifitas organisasi dalam rangka mengartikulasi sasaran organisasi dan mengidentifikasi kejadian-kejadian yang dapat mempengaruhi pencapaian sasaran. Pendekatan-pendekatan ini tidak terpisah satu dengan lainnya sehingga suatu pendekatan kombinasi dapat juga dilakukan. Kemudian beberapa hal lain yang harus diperhatikan untuk mengidentifikasi risiko adalah a) Mempertimbangkan sumber-sumber risiko bagi organisasi (korporat,unit kerja, kebijakan, program kerja, dan lain-lain) b) Mendiskusikan area risiko dengan para pejabat kunci baik di dalam maupun di luar organisasi, termasuk mereka yang memiliki kompetensi tinggi di area tersebut (contohnya pegawai dan manajemen, stakeholders eksternal dan mitra kerja, dan para pakar di bidangnya); diskusi dapat berbentuk wawancara DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 79 dari 102

83 BABV PROSES MANAJEMEN RISIKO: ASESMEN DAN PERLAKUAN RISIKO terstruktur atau semi-terstruktur, workshop terfasilitasi atau sesi curah pendapat, terinformasi dengan informasi yang relevan dan mutakhir. c) Menemukenali risiko organisasi berdasarkan konsultasi di atas. d) Mendokumentasikan risiko teridentifikasi dan proses identifikasi risiko yang digunakan serta para stakeholders yang terlibat dalam proses. Sejumlah metode lain yang dapat digunakan juga dalam mengidentifikasi risiko antara lain: a) Daftar periksa (daftar hazard, risiko dan kegagalan kontrol, berbasis pengalaman seperti asesmen risiko terdahulu atau kegagalan masa lalu) b) Kuesioner self-assessment c) Metode-metode berbasis bukti, misalnya kajian ulang data historis d) Pendekatan berbasis tim yang melibatkan ahli e) Teknik-teknik yang lebih khusus, misalnya Root Cause Analysis, HAZOP (Hazard and Operability studies), FMEA (Failure Mode and Effect Analysis) f) Audit atau pemeriksaan fisik g) Delphi Technique Risiko juga dapat diidentifikasi melalui proses perencanaan formal dan aktifitas organisasional yang normal, seperti: a) Asesmen standard versus actual b) Pencatatan insiden atau komplain c) Investigasi d) Audit internal atau eksternal atau keduanya e) Rapat-rapat koordinasi rutin tim Setiap metode ini memiliki kelebihan dan kekurangan masing-masing. Contohnya, pengalaman sebelumnya dapat menjadi panduan penting untuk identifikasi potensi risiko. Namun, pengalaman masa lalu ini kurang cocok untuk mengidentifikasi risiko yang terasosiasi dengan proses bisnis atau sistem yang baru atau yang kurang dikuasai dengan baik, atau dengan pengembangan dan implementasi kebijakan, program, dan proyek baru. Karena itu penting bagi RTU mengikuti suatu pendekatan sistematis dan disiplin dalam mengidentifikasi risiko yang tidak terbatas pada pengalaman kejadian masa lalu saja. Tanpa harus bergantung pada teknik yang dipilih organisasi, identifikasi risiko harus menjadi bagian integral dari proses strategis, bisnis, operasional, manajemen perubahan, dan perencanaan proyek. Identifikasi risiko harus menjadi bagian dari aktifitas kerja sehari-hari. Pengetahuan tentang stakeholders juga harus disertakan. Semua risiko harus dikaitkan dengan sasaran organisasi, yang harusnya telah DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 80 dari 102

84 BABV PROSES MANAJEMEN RISIKO: ASESMEN DAN PERLAKUAN RISIKO diidentifikasi pada tahap penentuan konteks (merujuk ke bab IV butir 4.3). Identifikasi risiko haruslah sebuah proses kontinyu untuk menemukenali risiko-risiko baru yang timbul dan sekaligus mengkonfirmasi validitas risiko-risiko terdahulu. 3. Bagaimana Mendeskripsikan Risiko Ketika telah teridentifikasi, risiko harus dideskripsikan dan didokumentasikan sehingga: a) Sumber, kejadian, dan dampaknya terhadap sasaran organisasi ditetapkan dan dibedakan secara konsisten dan jelas. b) Bagi yang terlibat dalam proses asesmen risiko akan dapat lebih mudah memahami data risiko. Satu contoh deskripsi risiko dapat dilihat pada tabel 5.2. karena terjadi sesuatu <sebab>, maka telah terjadi peristiwa <risiko>, sehingga mengakibatkan <dampak pada sasaran>. SEBAB (fakta yang nyata) Akibat service mobil dinas tidak dilakukan secara berkala. Akibat pemilihan konsultan yang ahli dan kompeten RISIKO (suatu peristiwa yang mungkin terjadi). terjadi kerusakan pada mesin mobil dinas.. terjadi peningkatan keahlian internal atas proses tersebut. DAMPAK (dampak langsung pada sasaran) sehingga kegiatan operasional terhambat dan pencapaian kinerja pelayanan tidak tercapai diperoleh nilai tambah yaitu peningkatan kompetensi pegawai disamping tercapainya sasaran program kerja yang dimaksud.. Tabel 5.2. Contoh Deskripsi Risiko Risiko dapat memiliki lebih dari satu penyebab dan dampak, sehingga RTU perlu menentukan apakah lebih baik risiko dideskripsikan dan dianalisis secara terkombinasi atau diidentifikasi secara terpisah. Ketika risiko terindentifikasi, RTU mengklasifikasikan risiko-risiko menurut kategori tertentu, misalnya Strategi, Operasional, dan lain-lain, berdasarkan salah satu dari: a) Sasaran yang terpengaruh. b) Jenis dampak yang terseleksi Kategorisasi risiko membuat informasi/data risiko lebih mudah dicari atau disaring melalui beberapa kriteria (multiple criteria). DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 81 dari 102

85 BABV PROSES MANAJEMEN RISIKO: ASESMEN DAN PERLAKUAN RISIKO b. Analisis Risiko Analisis risiko adalah proses untuk memahami natur dan tingkat risiko sehingga RTU dapat membuat keputusan apakah suatu risiko perlu diberi perlakuan atau tidak. RTU harus mendokumentasikan setiap langkah dalam asesmen risiko untuk setiap risiko. Gambar 5.3. Langkah kedua Asesmen Risiko: Analisis Risiko 1. Analisis Kontrol atau Pengendalian Terkini Ketika RTU telah mengidentifikasi risiko, langkah berikutnya adalah identifikasi kontrol atau pengendalian terkini yang digunakan untuk meminimalkan atau mencegah dampak negatif atau menurunkan kemungkinan keterjadian suatu peristiwa tertentu (atau meningkatkan dampak positif atau kemungkinan keterjadian suatu peluang bermanfaat). RTU kemudian perlu mengukur keefektifan kontrol atau pengendalian terkini menggunakan Kriteria Efektifitas Kontrol Terkini yang sudah ditentukan pada tahap Penetapan Konteks (merujuk ke Tabel 4.8 Tabel Efektifitas Kontrol atau Pengendalian). 2. Menentukan Tingkat Risiko Dampak dan Kemungkinan dari suatu risiko yang teridentifikasi melalui proses identifikasi risiko harus diperkirakan dan dikombinasikan untuk menentukan tingkat risiko.gunakan tabel Dampak dan tabel kemungkinan dan metode untuk mengkombinasikannya (Matriks Risiko) yang dibuat pada tahap Menentukan Konteks. Satu risiko dapat memiliki lebih dari satu jenis Dampak. RTU harus menggunakan prinsip prepare for the worst ketika berhadapan dengan kasus ini, DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 82 dari 102

86 BABV PROSES MANAJEMEN RISIKO: ASESMEN DAN PERLAKUAN RISIKO artinya RTU dapat memutuskan melanjutkan analisis terhadap jenis Dampak dengan potensi kerugian yang paling besar. Dengan sendirinya, tingkat kemungkinan yang relevan dengan jenis Dampak terseleksi akan digunakan untuk analisis lebih lanjut untuk menentukan tingkat risiko. Analisis Dampak dan Kemungkinan serta Tingkat Risiko baik untuk kondisi terburuk (diasumsikan kontrol terkini gagal total atau tidak ada kontrol sama sekali) maupun kondisi riil (diasumsikan kontrol terkini dijalankan dan diketahui tingkat keefektifannya), merupakan suatu praktek yang baik. Tingkat risiko pada kondisi terburuk dapat disebut Inherent Risk atau Risiko Inheren dan tingkat risiko pada kondisi riil dapat disebut Current Risk atau Risiko Riil. 4. Ketidak-pastian dan Kepekaan Karena proses analisis risiko memiliki ketidakpastian yang melekat, maka penting untuk mengidentifikasi dan mendokumentasikan ketidakpastian dan kepekaan pada saat RTU menginterpretasi dan mengkomunikasikan hasil analisis risiko. Informasi ini dapat dimasukkan ke dalam register risiko (risk register). 5. Kekeliruan Interpretasi Keefektifan manajemen risiko bergantung pada kekuatan asesmen risiko. Walaupun organisasi memiliki semua proses, metode, dan alat untuk manajemen risiko yang didesain dengan baik, asesmen risiko pada akhirnya merupakan sebuah aktifitas yang mensyaratkan keputusan subyektif. Walaupun ada banyak hal dapat menyebabkan kesalahan asesmen risiko, namun kekeliruan interpretasi merupakan hal yang paling umum terjadi. Jika tidak diperiksa ulang, berbagai kekeliruan interpretasi ini dapat menimbulkan kesalahan pengambilan keputusan yang sistematis dan kesalahan asesmen risiko. Kekeliruan interpretasi meliputi: a) Wawasan terbatas: bersandar berlebihan atau menjangkar, pada satu aspek atau sepotong informasi saat ambil keputusan. b) Ikut pendapat kebanyakan orang: melakukan (atau meyakini) sesuatu karena banyak orang juga berlaku demikian. c) Keliru konfirmasi: mencari bukti untuk menunjang prasangka keliru d) Keliruan framing effect : berkesimpulan yang pada tampilan informasi. e) Percaya diri berlebihan (over confidence) Menyadari kekeliruan seperti ini maka perlu antisipasi untuk meminimalisasi pengaruh buruknya terhadap asesmen risiko. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 83 dari 102

87 BABV PROSES MANAJEMEN RISIKO: ASESMEN DAN PERLAKUAN RISIKO c. Evaluasi Risiko Evaluasi Risiko adalah proses untuk memutuskan risiko mana yang memerlukan perlakuan lebih lanjut dan dalam rangka apa. Evaluasi risiko berbasis pasa analisis risiko. Hal ini mencakup penentuan suatu risiko tertentu, setelah kontrol terkini dijalankan, dibandingkan dengan tingkat risiko yang dapat diterima atau ditolerir, membutuhkan dan diprioritaskan bagi adanya perlakuan lebih lanjut. Pedoman ini merekomendasikan risiko diperiksa untuk mengidentifikasi mana yang paling signifikan untuk diberikan perlakuan risiko, berdasarkan kriteria risiko yang ditetapkan pada tahap Penentuan Konteks. Penting untuk meninjau ulang kriteria risiko agar lebih tepat dalam pengambilan keputusan. Setidaknya ada dua kriteria yang bisa digunakan dalam hal ini, yaitu: 1. Signifikansi berdasarkan tingkat risiko, dalam hal ini lebih mempertimbangkan tidak hanya tingkat risiko yang tinggi, tetapi juga risiko dengan tingkat Dampak berbahaya. 2. Signifikansi peluang/manfaat yang diperoleh jika risiko ditangani lebih lanjut, terutama untuk kasus di mana tingkat risiko tinggi atau sangat tinggi. Risiko yang berpengaruh terhadap bisnis inti perusahaan, perlu dipertimbangkan untuk ditangani meski tingkat risikonya tinggi atau sangat tinggi. Evaluasi ini berujung pada keputusan untuk: 1. Risiko-risiko yang paling tidak dapat ditoleransi mendapat prioritas tertinggi untuk perlakuan lanjutan. 2. Tangani risiko tanpa analisis lanjutan. 3. Risiko tidak signifikan dan tidak perlu perlakuan lanjutan. 4. Perlu analisis lebih mendalam guna memastikan risiko perlu ditangani atau tidak. Gambar 5.4 Langkah ketiga Asesment Risiko: Evaluasi Risiko DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 84 dari 102

88 BABV PROSES MANAJEMEN RISIKO: ASESMEN DAN PERLAKUAN RISIKO d. Risk Register Untuk mengelola risiko secara efektif, perlu partisipasi stakeholders dan karena itu mereka perlu mendapatkan informasi tentang risiko yang dihadapi perusahaan, termasuk bagaimana risiko mengalami perubahan dari waktu ke waktu dan terasosiasi dengan strategi penanganan risiko. Cara yang paling populer mendokumentasikan informasi ini adalah menggunakan satu atau lebih register risiko atau risk register. Risk register adalah daftar sederhana dari risiko-risiko yang telah diidentifikasi dan dianalisis. Risk register menyediakan informasi holistik mengenai risiko dan memungkinkan stakeholders terkait mengambil keputusan terinformasi (informed decision) terkait risiko dan pengelolaannya. Risk register juga membantu menemukan informasi yang dibutuhkan oleh Direksi, Dewan Komisaris dan Komite, Manajemen Senior, atau stakeholders lainnya yang relevan. RTU harus menggunakan risk register untuk mendokumentasikan dan mengelola semua risiko yang dihadapi oleh organisasinya, termasuk risiko strategis serta risikorisiko yang ditemukan pada proyek-proyek atau program tertentu. Unit kerja yang besar dan kompleks mungkin lebih terbantu jika dikembangkan hirarki risk register untuk menunjang dan merefleksikan kerangka perencanaannya. Tanggung jawab pemeliharaan risk register harus diberikan di setiap tingkat organisasi. Contohnya, risk register di level korporat menjadi tanggung jawab Divisi Manajemen Risiko dan Penelitian Pengembangan. Risk register yang komprehensif biasanya mengandung informasi berikut: 1. ID risiko (berupa seri angka kode yang unik) 2. Tanggal input (ke dalam risk register) 3. Nama Pejabat atau Pegawai yang melakukan asesmen risiko 4. Nama risiko (risk title) 5. Deskripsi risiko 6. Sasaran yang terpengaruh oleh risiko 7. Informasi hasil asesmen risiko, seperti: a) Dampak, Kemungkinan, dan tingkat Risiko Inheren b) Kontrol atau Pengendalian Terkini dan keefektifannya c) Dampak, Kemungkinan, dan tingkat Risiko Riil d) Toleransi Risiko e) Perlakuan Risiko (bila risiko tidak ditolerir) f) Risiko Residu (tingkat risiko) setelah Perlakuan Risiko diterapkan 8. RTU 9. Penanggungjawab Perlakuan Risiko (Risk Control Owner): yang bertanggung jawab terhadap perlakuan risiko DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 85 dari 102

89 BABV PROSES MANAJEMEN RISIKO: ASESMEN DAN PERLAKUAN RISIKO 10. Informasi pemantauan: bagaimana dan kapan risiko dan kontrolnya akan ditinjau ulang dan dilaporkan. 11. Tanggal risk register terakhir kali dimutakhirkan 12. Kategori risiko Informasi yang tercakup dalam risk register dapat membantu organisasi dalam memprioritaskan risiko dan memutuskan yang terbaik bagi penggunaan sumberdaya yang tersedia bagi perlakuan risiko. Risk register organisasi dapat dikembangkan dalam banyak cara. Kandungan isinya harus dibuat sendiri sesuai kebutuhan informasi risiko baik oleh organisasi maupun oleh stakeholders kunci. Gambar 5.5 menunjukkan satu contoh risk register. Gambar 5.5.Contoh Risk Register RTU perlu memutuskan apakah risiko yang tidak relevan harus dihapus dari risk register dan diarsipkan dalam daftar risiko RTU sehingga dapat mengurangi ukuran register yang lebih memudahkan RTU, atau tetap dalam risk register namun diberi tanda sebagai tidak aktif lagi dengan menempatkan risiko di area hijaudengan tujuan untuk membantu memelihara pengetahuan tentang risiko secara komprehensif. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 86 dari 102

90 BABV PROSES MANAJEMEN RISIKO: ASESMEN DAN PERLAKUAN RISIKO Penting untuk diketahui bahwa perubahan pada risk register dapat menjadi temuan audit, karena itu perlu dicatat jika terjadi perubahan bentuk dan isi risk register dan siapa yang mengubahnya. e. Profil Risiko Profil risiko adalah ringkasan yang digunakan untuk menampilkan ikhtisar informasi yang ada dalam risk register.tujuan penyusunan profil risiko adalah untuk membangun pemahaman organisasional yang konsisten terhadap risiko-risiko yang signifikan dan pengendaliannya. 1. Fungsi Profil Risiko adalah sebagai berikut a) Meringkas dan memberi nilai tambah terhadap informasi yang ada dalam risk register bagi RTU, Manajemen, Direksi, Dewan Komisaris dan Komitenya, serta stakeholders terkait lainnya. b) Membantu mengidentifikasi Sasaran yang terasosiasi dengan ketidakpastian yang sangat besar. c) Menyoroti risiko-risiko signifikan dan pengendaliannya. d) Melacak perkembangan implementasi dan keefektifan kontrol terhadap risiko. e) Melacak bagaimana risiko berubah dari waktukewaktu. f) Menginformasikan perbaikan kontinu pada kinerja organisasional. Profil risiko dapat dikembangkan untuk setiap tingkatan organisasi, seperti level korporat, level direktorat, dan seterusnya hingga level individu pegawai, sepanjang pada area tersebut terdapat Sasaran yang terasosiasi dengan Sasaran atau KPI Perusahaan. Selain itu, tidak menutup kemungkinan dapat dikembangkan integrasi profil risiko unit bisnis yang terafiliasi dalam konglomerasi perusahaan. 2. Informasi apa yang harus masuk dalam Profil Risiko? Informasi dalam Profil Risiko terdiri dari dua jenis: a) Informasi yang fokus kepada risiko dan b) Informasi yang fokus pada kontrol risiko. RTU dapat menggunakan campuran diagram dan tabel untuk mengagregasi dan meringkas informasi dan menyoroti area yang memerlukan perhatian. Beberapa cara meringkas informasi risiko ke dalam profil risiko antara lain peta risiko, dan laporan tentang risiko signifikan. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 87 dari 102

91 DAMPAK BABV PROSES MANAJEMEN RISIKO: ASESMEN DAN PERLAKUAN RISIKO 3. Peta Risiko Peta risiko adalah alat yang digunakan untuk menampilkan secara grafis tingkat risiko organisasi dibandingkan dengan toleransi risiko. Peta risiko dibuat dengan menggambarkan posisi setiap risiko teridentifikasi menurut tingkat risikonya dalam sebuah peta grafik berdasarkan matriks level Dampak dan Kemungkinan. Gambar 5.6, setiap huruf mewakili satu risiko. Huruf ini berhubungan dengan nomor kode risiko pada risk register. Setiap risiko yang di-plot pada matrik, berbasis pada nilai Dampak dan Kemungkinan pada risiko pada saat dilakukan proses asesmen risiko. Dalam Gambar 5.6, Risiko Riil di-plot pada sebuah matriks 5x5 dengan lima kelompok risiko. Risiko A dan B mendapat nilai Sangat Tinggi pada skala Dampak dan dapat nilai Sangat Besar pada skala Kemungkinan dan dengan demikian berada pada kelompok merah sebagai sebuah risiko dengan tingkat kegawatan Ekstrim atau Sangat Tinggi (tidak dapat diterima atau ditolerir sehingga butuh perlakuan khusus). KEMUNGKINAN Gambar 5.6 Contoh Peta Risiko RTU juga dapat menambah jumlah informasi yang ditunjukkan dalam Peta Risiko. Contohnya, menggunakan grafis berbeda, sebagai tambahan terhadap nomor identifikasi risiko, guna mengidentifikasi risiko-risiko yang terasosiasi dengan sasaran yang berbeda. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 88 dari 102

92 BABV PROSES MANAJEMEN RISIKO: ASESMEN DAN PERLAKUAN RISIKO 4. Risiko dengan Sasaran Hubungan antara risiko dengan sasaran dapat secara visual ditampilkan dengan menggambarkan nomor risiko yang terkait dengan sasaran. Hal ini memberi organisasi sebuah ikhtisar tingkat ketidakpastian yang terkait dengan sasaran. Pada Gambar 5.7, nomor risiko, sesuai tingkat risikonya, di-plot berbanding dengan setiap sasaran. Dalam hal ini, ketidakpastian terbesar ada pada sasaran 3. Gambar 5.7 Profil dari risiko yang mempengaruhi sasaran strategis 5. Peta keefektifan kontrol RTU dapat secara grafis menunjukkan perubahan tingkat risiko karena adanya kontrol terkini. Setiap kode risiko pada dalam Gambar 5.8 mewakili satu Risiko Inheren dalam risk register dan arah anak panah menunjukkan efek dari kontrol terkini terhadap tingkat Risiko Inheren tersebut. Perlu dicatat bahwa pada contoh matriks risiko 5x5, beberapa risiko ditunjukkan dengan hanya satu simbol tanpa panah. Dalam hal ini, berarti kontrol terkini yang diterapkan tidak efektif atau tidak ada. Profil Risiko seperti ini dapat membantu organisasi mengidentifikasi pada bagian mana diperlukan modifikasi terhadap kontrol terkini. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 89 dari 102

93 BABV PROSES MANAJEMEN RISIKO: ASESMEN DAN PERLAKUAN RISIKO Keterangan:- C = Current Risk Level - I = Inherent Risk Level Gambar 5.8 Peta Keefektifan Kontrol Terkini RTU juga dapat secara grafis menunjukkan bagaimana perkiraan perubahan tingkat risiko saat ini (Risiko Riil) setelah dilaksanakannya suatu perlakuan/penanganan risiko yang baru atau untuk memperkuat kontrol terkini yang dianggap belum efektif. Setiap kode risiko dalam Gambar 5.9 mewakili satu risiko dalam risk register dan arah anak panah menunjukkan efek perlakuan risiko terhadap tingkat risiko saat ini (Risiko Riil). Catat bahwa pada contoh ini beberapa risiko, di mana perlakuan risiko tidak efektif atau belum ada perlakuan sama sekali, hanya ditunjukkan dengan kode risiko tanpa anak panah perubahan. Menggunakan profil risiko seperti ini dapat membantu organisasi mengidentifikasi perlunya modifikasi terhadap perlakuan risiko yang dilaksanakan. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 90 dari 102

94 BABV PROSES MANAJEMEN RISIKO: ASESMEN DAN PERLAKUAN RISIKO Gambar 5.9 Peta Keefektifan Perlakuan Risiko 6. Laporan Pemantauan Status Risiko yang Signifikan Selain penggunaan peta risiko untuk menampilkan informasi risiko pada tingkat korporat dan kaitannya dengan sasaran, korporasi dapat menangkap informasi tentang strategi yang digunakan untuk memonitor risiko signifikan (termasuk risikorisiko baru yang signifikan) serta statusnya. Pada Gambar 5.9, risiko-risiko signifikan adalah risiko-risiko yang berada pada tingkat Tinggi atau Ekstrim di mana nilai Dampaknya Sangat Tinggi. Salah satu cara untuk memperoleh informasi ini adalah dengan meringkasnya dalam sebuah tabel, dengan kolom-kolom sebagai berikut: a) Risiko dan sasaran yang dipengaruhinya b) Risiko-risiko dengan tingkat risiko inheren c) Risiko-risiko dengan tingkat risiko riil DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 91 dari 102

95 BABV PROSES MANAJEMEN RISIKO: ASESMEN DAN PERLAKUAN RISIKO d) Kapan risiko terakhir dianalisis e) RTU / pemilik risiko f) Bagaimana risiko dipantau g) Status pemantauan Satu contoh sebagaimana ditunjukkan pada Tabel 5.3 di bawah ini. Tabel 5.3 Contoh Tabel untuk pemantauan risiko RTU dapat menyertakan indikator warna dalam tabel (misalnya, merah untuk siaga tinggi, oranye untuk peringatan, hijau untuk aman), atau tanda lainnya yang menyaratkan perhatian segera atau pemantauan yang lebih seksama. 7. Mendokumentasikan Proses Manajemen Risiko Asesmen risiko harus didokumentasikan. Semua risiko harus disatukan dalam risk register. RTU juga dapat mendokumentasikan aspek-aspek lainnya dari proses manajemen risiko, antara lain: a) Konteks internal, eksternal, dan manajemen risiko. b) Metodologi identifikasi c) Kriteria risiko, termasuk tabel Dampak, tabel Kemungkinan, matriks risiko, penjelasan tentang istilah-istilah dan tingkatan yang digunakan. d) Sumber-sumber informasi, asumsi-asumsi, dan faktor-faktor pembatas. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 92 dari 102

96 BABV PROSES MANAJEMEN RISIKO: ASESMEN DAN PERLAKUAN RISIKO 5.3 Perlakuan Risiko Perlakuan risiko adalah proses mengidentifikasi, menyeleksi, dan melaksanakan tanggapan terhadap risiko yang berada di atas ambang batas toleransi. Risiko-risiko ini telah ditetapkan pada saat proses evaluasi risiko. Bagian dari proses manajemen risiko ini bertujuan mengendalikan risiko-risiko berbahaya dengan cara mengembangkan perlakuan yang relevan untuk mengendalikan penyebab dan dampak risiko, mengukur keefektifan perlakuan tersebut, dan jika perkiraan nilai Risiko Residu tetap pada tingkat yang tidak bisa ditolerir, maka akan disiapkan perlakuan alternatif. Perlakuan risiko dikembangkan oleh, dan berada di bawah arahan RTU. Sebagaimana asesmen risiko, perlakuan risiko dapat dikembangkan oleh sebuah Tim, bisa saja Tim yang sama dengan saat pelaksanaan asesmen risiko, atau Tim yang berbeda. Evaluasi keefektifan Kontrol Terkini yang telah dilaksanakan sebagai bagian dari proses asesmen risiko, dapat membantu dalam penentuan apakah kontrol terkini perlu dimodifikasi atau menggantikannya dengan perlakuan risiko yang baru. Gambar 5.10 Perlakuan Risiko Sejumlah opsi (yang dapat saja dikombinasikan) yang dapat dipertimbangkan antara lain: - Menolak risiko: Jika tingkat risiko melebihi batas toleransi dan kontrol yang diperlukan tidak ada serta tidak mendatangkan manfaat, sehingga lebih baik menolak risiko, misalnya dengan cara tidak melaksanakan kegiatan yang mengandung risiko seperti ini. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 93 dari 102

97 BABV PROSES MANAJEMEN RISIKO: ASESMEN DAN PERLAKUAN RISIKO - Mengubah Kemungkinan: mengembangkan dan melaksanan langkah-langkah untuk mengubah kemungkinan keterjadian risiko, untuk menurunkan peluang efek negatif maupun meningkatkan peluang efek positif. - Mengubah Dampak: mengembangkan dan melaksanakan langkah-langkah mengurangi kerugian akibat dampak negatif atau meningkatkan manfaat dari dampak positif. - Mengambil peluang: mengembangkan dan melaksanakan langkah-langkah untuk mengenali dan mengambil manfaat dari peluang yang timbul dalam situasi ketidakpastian serta langkah-langkah situasi yang menghadirkan peluang serta langkah-langkah untuk mengeksploitasi manfaat yang mungkin pada saat memitigasi ancaman. - Berbagi risiko:tanggung jawab menangani risiko dapat berupa membagi kepada pihak lain, misalnya mengontrakkan kepada pihak lain, atau pengaturan lain dengan pihak ketiga, seperti agensi atau perusahaan asuransi. Hal ini dapat menjadi opsi yang baik guna menurunkan keterjadian risiko keuangan atau risiko aset. Penting dicatat bahwa, berbagi risiko bukanlah mentransfer semua risiko kepada pihak lain. - Menerima atau mentolerir risiko berdasarkan keputusan rasional: Adalah tepat jika tingkat risiko yang tersisa (residual risk) tidak dapat menjadi alasan bagi perlunya melaksanakan perlakuan risiko tertentu atau dilihat dari segi manfaatbiaya, perlakuan risiko justru hanya pemborosan saja. Perlakuan risiko sendiri dapat menimbulkan risiko sekunder (secondary risk) sebagai efek samping. Contohnya, berbagi risiko meningkatkan risiko baru jika risiko yang dibagi tidak dikelola dengan baik oleh mitra dalam berbagi risiko. Risiko sekunder seperti ini tidak boleh ditangani sebagai risiko baru atau secara terpisah dari risiko primer-nya (primary risk), namun harus sejalan dengan perlakuan bagi risiko primer. Pemantauan secara reguler dan berhati-hati merupakan hal yang mendasar guna memastikan keefektifan dari setiap perlakuan risiko. a. Seleksi opsi perlakuan Menghilangkan semua risiko adalah hal yang tidak mungkin. Perlakuan risiko harus tepat biaya, dapat dilaksanakan dan sepadan dengan tingkat risiko, khususnya ketika menangani risiko yang berada di kelompok kuning (atau moderat) dalam matriks risiko. Dalam seleksi perlakuan risiko yang paling cocokatau kombinasi beberapa perlakuan, RTU perlu menyeimbangkan biaya dan sumberdaya yang diperlukan dengan manfaat yang diharapkan. Baik biaya (keuangan dan non-keuangan) maupun manfaat harus dipertimbangkan dalam melakukan proses penyeleksian ini. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 94 dari 102

98 BABV PROSES MANAJEMEN RISIKO: ASESMEN DAN PERLAKUAN RISIKO Pengelompokan risiko ke dalam kategori, seperti strategi, operasional, atau tata kelola dapat membantu mengembangkan perlakuan risiko yang tepat biaya. Karena suatu perlakuan terpilih dapat mempengaruhi beberapa risiko sekaligus, maka RTU harus meninjau ulang kecocokan perlakuan risiko yang diusulkan dalam mengeliminasi setiap konflik (tumpang-tindih) dan menghilangkan setiap duplikasi. Selain dari analisi manfaat-biaya, hal lain yang perlu dipertimbangkan dalam seleksi perlakuan risko adalah persepsi stakeholders. Stakeholders kunci harus diajak berkonsultasi sehingga Pemangku Kepentingan dapat memahami dan mempertimbangkan persepsi dan pengalaman para stakeholder sebelum memutuskan menggunakan suatu kontrol tertentu. b. Mengembangkan rencana perlakuan risiko Setelah dipilih, perlakuan risiko terpilih harus dikembangkan oleh RTU menjadi rencana perlakuan risiko yang rinci sehingga: 1. Perlakuan risiko dapat diimplementasikan secara efektif dan tepat waktu. 2. Kinerja dan ukuran keberhasilan dapat ditetapkan bagi perlakuan risiko sehingga organisasi dapat memonitor dan meninjau keefektifannya dari waktu ke waktu (ongoing effectiveness). 3. RTU dapat mendemonstrasikan aplikasi dari manajemen risiko dalam organisasi. Informasi yang didokumentasikan dalam rencana perlakuan risiko haruslah antara lain: 1. Rasionalitas dari seleksi perlakuan risiko, dan hasil akhir yang diharapkan dari perlakuan risiko. Hal yang penting adalah bahwa para pengambil keputusan tetap terinformasikan mengenai nilai risiko residual. 2. Akuntabilitas dan responsibilitas: harus bersifat khusus, misalnya akuntabilitas penanganan risiko-risiko strategis adalah Direktur terkait, yang tentunya dapat mendelegasikan responsibilitasnya kepada jajaran di bawahnya. 3. Tindakan yang diambil guna mengimplementasikan perlakuan terseleksi secara praktis. 4. Anggaran dan sumberdaya lainnya yang diperlukan (misalnya, SDM dan saranapra sarana). 5. Ukuran kinerja: ukuran untuk mengevaluasi keefektifan kontrol dan kriteria evaluasi. 6. Jangka waktu dan titik-titik kritis dalam implementasi. 7. Tata cara pelaporan, peninjauan ulang, dan pemantauan. 8. Apabila diperlukan dikembangkan Far Sighted Scenario Analysis. DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 95 dari 102

99 BABV PROSES MANAJEMEN RISIKO: ASESMEN DAN PERLAKUAN RISIKO Gambar 5.11 Membuat dan menerapkan Rencana Perlakuan Risiko (Risk Treatment Plans) DILARANG MEMPERBANYAK TANPA IZIN TERTULIS DARI DIREKSI PT JASA RAHARJA (PERSERO) Hal 96 dari 102