PEDOMAN MANAJEMEN RISIKO

Transkripsi

1

2

3 Pedoman Manajemen Risiko (Code Of Risk Management) PEDOMAN MANAJEMEN RISIKO (CODE OF RISK MANAGEMENT)

4 HALAMAN : 1 dari 27 BAB I: UMUM Manajemen Risiko dapat membantu Perusahaan dalam usaha untuk meminimalkan potensi kerugian, biaya-biaya yang harus dikeluarkan terkait dengan pencapaian Rencana Kerja Anggaran Perusahaan dan Rencana Jangka Panjang Perusahaan. Manajemen Risiko juga dapat memaksimalkan opportunities, mempertahankan lingkungan kerja yang kondusif, membangun kepercayaan dari investor, meningkatkan shareholder value, meningkatkan tata kelola perusahaan yang sehat, mengantisipasi perubahan lingkungan yang pesat dan mengintegrasikan strategi korporat. A. Tujuan Tujuan penetapan Pedoman Manajemen Risiko ini dimaksudkan sebagai dasar pelaksanaan Manajemen Risiko di Perusahaan. B. Ruang Lingkup Pedoman ini berlaku untuk Aktivitas atau Transaksi Usaha yang berkaitan dengan kepentingan Perusahaan. Pedoman ini mencakup Kebijakan Umum, Strategi Penerapan Manajemen Risiko, Kategori Risiko, Peran dan Tanggung Jawab, Proses Manajemen Risiko, Toleransi Risiko, Manajemen Risiko untuk Aktivitas On Going Business dan Manajemen Risiko untuk Pengembangan Bisnis. C. Pengertian 1. Aktivitas adalah kegiatan dalam rangka pencapaian visi dan misi perusahaan yang berupa Aktivitas On-Going Business dan Aktivitas Pengembangan Bisnis (Business Development). 1

5 HALAMAN : 2 dari Aktivitas On-going Business adalah Aktivitas dan atau Transaksi Usaha Perusahaan yang sedang berjalan secara rutin sesuai dengan proses bisnis Perusahaan berdasarkan prinsip kelangsungan usaha (going concern). 3. Aktivitas Pengembangan Bisnis adalah Aktivitas, program, proyek dan atau Transaksi Usaha Perusahaan yang bersifat baru. 4. Compliance Risk (Risiko Kepatuhan) adalah Risiko terkait dengan kegiatan bisnis Perusahaan yang disebabkan oleh kurang atau tidak patuhnya terhadap peraturan. 5. Contingency Plan (Rencana Kontijensi) adalah rencana alternatif yang akan dilaksanakan ketika suatu kejadian Risiko terjadi. 6. Corporate Risk Management (Manajemen Risiko Perusahaan) adalah fungsi yang secara organisasi mempunyai tugas dan tanggung jawab untuk memberikan masukan dan rekomendasi kepada Komite Manajemen Risiko berkaitan dengan penerapan Manajemen Risiko di perusahaan. 7. Dampak adalah akibat dari suatu kejadian yang mempengaruhi tujuan Perusahaan. 8. Exposure (Eksposur) adalah tingkat maksimum kerusakan/kerugian yang diakibatkan oleh suatu kejadian Risiko. 9. Feasibility Study (Studi Kelayakan) adalah kajian menyeluruh secara mendalam terhadap aspek bisnis, ekonomi, keuangan, lingkungan, dan kelembagaan, dengan beberapa justifikasi sehingga rencana Aktivitas Pengembangan Bisnis yang diusulkan sesuai tujuan dan sasaran yang diharapkan. 10. Financial Risk (Risiko Finansial) adalah Risiko terkait dengan kegiatan bisnis yang berdampak pada kerugian keuangan Perusahaan. 11. Fungsi adalah seluruh unit usaha dan satuan kerja di dalam lingkungan Perusahaan yang memiliki Risiko dalam melaksanakan Aktivitasnya. 12. Good Corporate Governance (GCG) adalah suatu proses dan struktur yang digunakan oleh Perusahaan untuk meningkatkan keberhasilan usaha dan akuntabilitas Perusahaan guna mewujudkan nilai pemegang saham dalam jangka panjang dengan tetap memperhatikan kepentingan stakeholder lainnya, berlandaskan peraturan perundangan dan nilai-nilai etika. 2

6 HALAMAN : 3 dari Governance Risk (Risiko Tata Kelola) adalah Risiko yang disebabkan oleh kurang atau tidak patuhnya terhadap aturan Tata Kelola Perusahaan (Good Corporate Governance) dan Etika Bisnis (Business Ethics) dalam pengelolaan Perusahaan. 14. Inherent Risk adalah paparan potensi Risiko sebelum dilakukan Penanganan Risiko (Risk Treatment). 15. Internal Control (Pengendalian Internal) adalah sistem pengelolaan Perusahaan berdasarkan kepatuhan terhadap perundangan, peraturan, kebijakan, rencana, prosedur, serta untuk meminimalkan Risiko terjadinya kerugian dalam mencapai tujuan Perusahaan yang antara lain berupa target keuntungan, tersedianya laporan keuangan, dan manajemen yang handal. 16. Komitmen adalah tekad dari seluruh insan Perusahaan untuk penerapan Manajemen Risiko yang dituangkan secara tertulis. 17. Loss Event (Kejadian Kerugian) adalah suatu peristiwa/kondisi terjadinya kejadian Risiko yang menimbulkan kerugian/kerusakan/kehilangan kesempatan. 18. Mandat adalah instruksi atau wewenang secara tertulis yang diberikan oleh Dewan Direksi kepada pejabat dan personel dalam struktur organisasi Manajemen Risiko untuk menjalankan fungsi Manajemen Risiko di Perusahaan. 19. Near Missed adalah suatu kejadian yang nyaris menimbulkan kerugian/kerusakan/kehilangan kesempatan. 20. Operational & Infrastructure Risk (Risiko Operasional dan Infrastruktur) adalah Risiko terkait dengan kegiatan operasional dan prasarana Perusahaan 21. Penunjang Usaha adalah aktifitas yang mendukung aktifitas utama (aktifitas yang memberikan nilai utama dan aktifitas yang memberikan nilai keunggulan bagi Perusahaan). 22. Person-In-Charge (PIC) Risiko adalah perwakilan Risk Owner yang ditunjuk untuk menyusun Risk Register, memonitor dan melaporkan Penanganan Risiko di masing-masing Divisi. 23. Perusahaan adalah PT Pertamina Training & Consulting 24. Portofolio Bisnis adalah kumpulan Aktivitas bisnis, proyek, program dan Aktivitas usaha lainnya yang dijalankan Perusahaan dalam mencapai sasaran yang telah ditetapkan. 3

7 HALAMAN : 4 dari Probability (Probabilitas) adalah ukuran untuk menyatakan harapan terjadinya suatu peristiwa yang dinyatakan dalam angka 0 sampai dengan 1. Angka 0 menyatakan peristiwa tersebut tidak mungkin terjadi dan angka 1 menyatakan peristiwa tersebut pasti terjadi. 26. Project Risk (Risiko Proyek) adalah suatu kejadian atau suatu kondisi yang jika terjadi memiliki pengaruh negatif sekurang-kurangnya pada salah satu obyektif dari proyek. 27. Qualitative Impact (Dampak Kualitatif) adalah akibat yang ditimbulkan oleh kejadian baik secara langsung ataupun tidak langsung yang tidak dinyatakan dalam besaran nilai finansial. 28. Quantitative Impact (Dampak Kuantitatif) adalah akibat yang ditimbulkan oleh suatu kejadian baik secara langsung ataupun tidak langsung yang dihitung dan dinyatakan dalam besaran nilai finansial. 29. Reporting Risk (Risiko Pelaporan) adalah Risiko terkait dengan kewajiban Perusahaan untuk menyampaikan laporan kepada pihak-pihak yang berkepentingan/shareholder. 30. Residual Risk adalah paparan potensi Risiko setelah dilakukan Penanganan Risiko (Risk Treatment). 31. Risiko adalah kemungkinan terjadinya peristiwa yang merugikan Perusahaan. 32. Risk Agent/Risk Source (Penyebab Risiko) adalah faktor-faktor tertentu, kondisi atau peristiwa yang menyebabkan terjadinya suatu kejadian Risiko. 33. Risk Analysis (Analisis Risiko) adalah suatu proses untuk memahami karakteristik Risiko (Probabilitas dan Dampak) yang dapat dilakukan secara kualitatif ataupun kuantitatif untuk menentukan tingkat Risiko (level of risk). 34. Risk Appetite (Selera Risiko) adalah pernyataan secara korporasi yang menjelaskan jumlah/nilai dan kategori Risiko yang siap untuk diterima dalam rangka mencapai tujuan Perusahaan. 35. Risk Assessment (Penilaian Risiko) merupakan keseluruhan proses atau Aktivitas yang meliputi identifikasi, analisis, dan evaluasi terhadap Risiko-Risiko. 36. Risk Based Audit (Audit Berbasis Risiko) adalah proses dan kegiatan yang dilakukan oleh Internal Audit dengan mempertimbangkan signifikansi Risiko 4

8 HALAMAN : 5 dari 27 untuk memberikan opini kepada manajemen Perusahaan bahwa Risiko tersebut telah dikelola sampai pada batas yang dapat diterima Perusahaan. 37. Risk Criteria (Kriteria Risiko) adalah suatu acuan yang ditetapkan untuk mengevaluasi tingkat (signifikansi) Risiko. 38. Risk Evaluation (Evaluasi Risiko) adalah suatu proses untuk membandingkan hasil dari analisis Risiko dengan kriteria Risiko untuk menentukan apakah Risiko-Risiko tersebut berada pada tingkat yang bisa diterima atau ditoleransi. 39. Risk Event (Kejadian Risiko) adalah suatu potensi kejadian (event) yang memberikan Dampak baik secara langsung (direct impact) maupun tidak langsung (indirect impact) pada Perusahaan dalam suatu periode tertentu. 40. Risk Financing (Pendanaan Risiko) adalah salah satu bentuk dari Penanganan Risiko (Risk Treatment) yang mencakup rencana kontijensi untuk penyediaan dana guna memenuhi kebutuhan Dampak finansial yang mungkin terjadi. 41. Risk Identification (Identifikasi Risiko) adalah suatu proses dalam menemukan, mengenali dan menguraikan karakteristik dari Risiko. 42. Risk Inteligence Map adalah pengkategorian Risiko Perusahaan yang merupakan gambaran unik dari Perusahaan yang menghubungkan dan mengaitkan nature of risk, dimana eksekutif dan manajemen Perusahaan dapat melakukan Identifikasi Risiko dengan mudah. 43. Risk Management (Manajemen Risiko) adalah upaya terkoordinasi untuk mengarahkan dan mengendalikan kegiatan-kegiatan Perusahaan terhadap Risiko-Risiko 44. Risk Management Audit (Audit Manajemen Risiko) adalah suatu proses yang dilakukan oleh Internal Audit secara sistematis, independen dan terdokumentasi dengan baik, dengan tujuan untuk memperoleh bukti guna mengevaluasi secara obyektif perihal efektifitas dan kecukupan pelaksanaan kerangka kerja Manajemen Risiko 45. Risk Management Committee (Komite Manajemen Risiko) adalah komite yang dibentuk dalam rangka menangani hal-hal yang berkaitan dengan Manajemen Risiko di Perusahaan. 5

9 HALAMAN : 6 dari Risk Mapping (Pemetaan Risiko) adalah suatu proses dalam evaluasi Risiko untuk mengkategorikan peringkat Risiko berdasarkan Probabilitas dan Dampak yang mungkin ditimbulkannya. 47. Risk Owner (Pemilik Risiko) adalah orang, bagian atau organisasi yang mempunyai akuntabilitas dan kewenangan untuk mengelola Risiko serta Penanganan Risiko (Risk Treatment) yang terkait. 48. Risk Priority (Prioritas Risiko) adalah daftar Risiko yang telah diperingkat mulai dari yang tertinggi sampai terendah berdasarkan kriteria penentuan yang ditetapkan oleh Komite Manajemen Risiko. 49. Risk Profile (Profil Risiko) adalah gambaran secara menyeluruh atas tingkat Risiko-Perusahaan atau suatu bagian tertentu dari Perusahaan atau Aktivitas/transaksi Perusahaan 50. Risk Register (Daftar Risiko) adalah suatu kertas kerja berbentuk tabel yang merupakan hasil dari proses Manajemen Risiko yang berisi kejadian RIsiko, kodifikasi, Pemilik Risiko (Risk Owner), kategori Risiko, deskripsi kejadian Risiko, penyebab, gejala, Dampak, Probabilitas, rencana tindakan dan biaya Penanganan Risiko, ukuran Inherent Risk dan Residual Risk serta target pelaksanaannya. 51. Risk Tolerance (Toleransi Risiko) adalah jumlah Risiko yang dapat diterima oleh Perusahaan setelah melakukan tindakan Penanganan Risiko (Risk Treatment) yang ditetapkan sesuai dengan situasi dan kondisi Perusahaan. 52. Risk Treatment Cost/Cost of Risk (Biaya Penanganan Risiko) adalah seluruh biaya yang dipergunakan untuk melakukan Penanganan Risiko. 53. Risk Treatment/Risk Response (Penanganan Risiko) adalah suatu proses untuk mengembangkan dan memilih alternatif-alternatif untuk menangani Risiko serta pelaksanaannya. 54. Strategic & Planning Risk (Risiko Perencanaan dan Strategik) adalah Risiko terkait dengan perencanaan strategis Perusahaan. 55. Transaksi Usaha adalah transaksi dalam bentuk pembelian/pengadaan (purchasing) barang/jasa, penjualan (selling) barang/jasa, penempatan dana (fund placement), pencarian dana (fund raising) dan bentuk transaksi lainnya 6

10 HALAMAN : 7 dari 27 D. Referensi Keputusan Menteri BUMN No. KEP-117/M-MBU/2002 tentang Penerapan Praktek Good Corporate Governance Pada Badan Usaha Milik Negara (BUMN). Pedoman Manajemen Risiko PT PERTAMINA (PERSERO) No. A- 001/R00100/201-S0 Akta Pendirian Perusahaan PT Pertamina Training & Consulting beserta perubahannya; Anggaran Dasar PT Pertamina Training & Consulting beserta perubahannya; 7

11 HALAMAN : 8 dari 27 BAB II: KEBIJAKAN A. Umum 1. Manajemen Risiko diterapkan untuk seluruh Aktivitas dan kepentingan usaha Perusahaan. 2. Penerapan Manajemen Risiko mencakup: a. Mandat dan Komitmen dari Dewan Direksi (Board of Directors) Perusahaan b. Pengawasan aktif pemimpin tertinggi di tiap Fungsi. c. Adanya kebijakan, prosedur dan penetapan Risk Appetite dan Risk Tolerance yang mendukung rencana strategis Perusahaan. d. Adanya proses penentuan lingkup Risiko, identifikasi, analisis, evaluasi, penanganan, pemantauan dan pengendalian Risiko serta sistem informasi Manajemen Risiko yang komprehensif dan penyediaan data yang terintegrasi. e. Prosedur dan persyaratan yang memadai dalam melakukan evaluasi dan memberikan persetujuan Aktivitas bisnis baru serta perubahan sistem dan prosedur kerja yang akan dilakukan. f. Sistem Pengendalian Internal yang menyeluruh. g. Peningkatan pemahaman secara komprehensif mengenai Manajemen Risiko, khususnya di tingkat manajemen. 3. Risk Owner bertanggung jawab menerapkan Manajemen Risiko di Divisi-nya terkait dengan Aktivitas dan Transaksi Usaha yang menjadi tanggung jawabnya serta mendokumentasikannya. 4. Risk Register disusun oleh setiap Divisi untuk selanjutnya diagregrasikan menjadi Risk Register perusahaan dan ditandatangani oleh pimpinan tertinggi perusahaan. 8

12 HALAMAN : 9 dari Risk Register Divisi dibuat secara periodik sekurang-kurangnya 1 (satu) kali dalam setahun. 6. Risk Profile Perusahaan dibuat sekurang-kurangnya 1 (satu) kali dalam setahun. 7. Laporan Monitoring Risiko ditandatangani oleh pimpinan tertinggi perusahaan dan dibuat secara periodik sekurang-kurangnya 1 (satu) kali dalam setiap triwulan, mengikuti ketentuan PT PERTAMINA (PERSERO). 8. Divisi harus memasukkan Biaya Penanganan Risikonya (Cost of Risk) ke dalam RKAP, baik operasional maupun investasi. Untuk investasi, Cost of Risk diperhitungkan dalam analisa keekonomian. 9. Perusahaan dapat melakukan Risk Financing sebagai rencana kontijensi apabila dianggap perlu, berdasarkan suatu kajian dan disetujui oleh Dewan Direksi. 10. Perlu dilakukan Risk Management Audit guna memastikan bahwa proses pengelolaan Risiko telah dilaksanakan dengan baik. B. Strategi Penerapan Manajemen Risiko Strategi Penerapan Manajemen Risiko merupakan langkah-langkah implementasi dari Manajemen Risiko untuk mengendalikan Risiko, agar Profil Risiko berada pada batas yang telah ditetapkan. Strategi Manajemen Risiko ditetapkan oleh Komite Manajemen Risiko. Strategi Penerapan Manajemen Risiko mencakup : 1. Penetapan Risk Appetite dan Risk Tolerance. 2. Penetapan rencana Penanganan Risiko (Risk Treatment plan). 3. Profil Risiko sebelum dan setelah dilakukan penanganan. 4. Pembuatan skala prioritas (Prioritas Risiko) dalam Penanganan Risiko. 9

13 HALAMAN : 10 dari Pemantauan terhadap pelaksanaan kebijakan dan kerangka Manajemen Risiko. 6. Pelaporan pelaksanaan pengelolaan Risiko Strategi Manajemen Risiko dapat dievaluasi secara berkala apabila dianggap tidak sejalan atau bertentangan dengan kebijakan Perusahaan. C. Kategori Risiko Kategori Risiko yang dapat mempengaruhi strategi dan tujuan Perusahaan antara lain: 1. Governance Risk, meliputi Corporate Governance dan Ethics. 2. Strategy and Planning Risk, meliputi Corporate Responsibility & Sustainability (CR&S), External Factors, Planning, Project, dan Strategy. 3. Finance Risk, meliputi Accounting, Credit, Liquidity & Finance Intelligence, Financial Market, Planning & Budgeting, dan Operational. 4. Operational/Infrastructure Risk, meliputi Corporate Assets, Human Resources, Information Technology, External Events, Legal, Process Management, Product Development, dan Sales, Marketing and Communications. 5. Compliance Risk 6. Reporting Risk D. Toleransi Risiko (Risk Tolerance) 1. Sepanjang tidak ditetapkan oleh pemegang saham, Perusahaan harus menetapkan Toleransi Risiko sebelum melakukan transaksi bisnis. Untuk itu Perusahaan perlu memiliki sistem penetapan Toleransi Risiko sebagai komponen penting dalam pengelolaan Risiko yang sekurang-kurangnya meliputi: a. Penetapan Toleransi Risiko secara individual (unit bisnis) dan konsolidasi. b. Pengintegrasian Toleransi Risiko maupun Eksposur Risiko dari seluruh kegiatan Perusahaan. 10

14 HALAMAN : 11 dari 27 c. Kemampuan modal Perusahaan untuk menyerap Eksposur Risiko atau kerugian yang timbul. 2. Faktor-faktor yang perlu diperhatikan dalam penetapan Toleransi Risiko sekurang-kurangnya meliputi : a. Kinerja di masa lalu. b. Sistem pengukuran Risiko dan penilaian Eksposur. c. Kualitas Pengendalian Internal. d. Kemampuan sistem dalam penyelesaian transaksi bisnis. 3. Usulan Toleransi Risiko dilakukan oleh Fungsi Manajemen Risiko Perusahaan untuk selanjutnya direkomendasikan kepada Komite Manajemen Risiko untuk mendapat persetujuan. 4. Toleransi Risiko yang telah disetujui oleh Komite Manajemen Risiko selanjutnya diterapkan pada Divisi terkait. 5. Setiap pelampauan Toleransi Risiko pada setiap Divisi harus dapat diidentifikasi dengan segera oleh Person-In-Charge Risiko di masing-masing Divisi dan ditindaklanjuti oleh manajemen di Divisi terkait. Pelampauan batasan ini hanya dapat dilakukan apabila telah mendapat persetujuan dari pimpinan tertinggi Divisi dan dilaporkan kepada Fungsi Manajemen Risiko Perusahaan. 6. Setiap pelampauan batasan Risiko Perusahaan harus dapat diidentifikasi dengan segera oleh Fungsi Manajemen Risiko Perusahaan dan ditindaklanjuti oleh Direktur terkait. Pelampauan batasan ini hanya dapat dilakukan apabila telah mendapat persetujuan dari Komite Manajemen Risiko. 11

15 HALAMAN : 12 dari 27 E. Sumber Daya Manusia 1. Perusahaan harus menempatkan staf yang memadai dan kompeten dalam menangani Manajemen Risiko di organisasi Manajemen Risiko. 2. Pejabat dan staf yang ditempatkan di organisasi Manajemen Risiko sekurang-kurangnya harus memiliki: a. Pemahaman mengenai faktor-faktor yang relevan dan kondisi yang mempengaruhi aktivitas bisnis, serta mampu melakukan estimasi Dampak dari perubahan faktor-faktor tersebut terhadap kelangsungan usaha. b. Pemahaman yang baik mengenai Risiko-risiko yang terkandung dalam setiap Aktivitas bisnis Perusahaan secara umum dan Aktivitas/Transaksi Usaha yang menjadi tanggung jawabnya secara khusus. c. Pengalaman dan kemampuan yang memadai untuk memahami dan mengkomunikasikan implikasi Eksposur Risiko Perusahaan kepada manajemen secara tepat waktu. F. Sistem Informasi Manajemen Risiko 1. Risk Register Perusahaan harus dimasukkan ke dalam Sistem Informasi Manajemen Risiko Pertamina. 2. Risk Register Perusahaan harus di evaluasi dan di-update secara berkala (tiga bulan sekali) dan dimasukkan ke dalam Sistem Informasi Manajemen Risiko Pertamina. 3. Loss Event dan Near Missed yang terjadi di Perusahaan harus dimasukkan ke dalam Sistem Informasi Manajemen Risiko Pertamina dan diperbaharui sesuai kondisi terkini. 12

16 HALAMAN : 13 dari Masing-Masing Divisi menginformasikan Eksposur Risiko yang melekat pada tiap Divisi yang terkait dalam bentuk laporan tertulis kepada Fungsi Manajemen Risiko Perusahaan secara berkala (tiga bulan sekali) sesuai dengan jenis Aktivitas/Transaksi Usaha. 5. Fungsi Manajemen Risiko Perusahaan menyusun laporan tertulis yang menginformasikan Eksposur Risiko Perusahaan (dapat dilengkapi dengan laporan secara elektronik) secara berkala kepada Dewan Direksi. 13

17 HALAMAN : 14 dari 27 BAB III: PERAN DAN TANGGUNG JAWAB Dalam rangka pelaksanaan proses dan sistem Manajemen Risiko yang efektif, dibentuk: Komite Manajemen Risiko Manajemen Risiko Perusahaan A. Komite Manajemen Risiko 1. Komite Manajemen Risiko adalah komite yang beranggotakan Komisaris, Dewan Direksi, dan konsultan, dalam rangka menangani hal-hal yang berkaitan dengan Manajemen Risiko di Perusahaan. 2. Wewenang dan tanggung jawab Komite Manajemen Risiko adalah sebagai berikut: a. Menetapkan kebijakan dan strategi Manajemen Risiko yang komprehensif secara tertulis: 1) Termasuk dalam kebijakan dan strategi Manajemen Risiko adalah penetapan Risk Appetite dan Risk Tolerance baik Risiko secara keseluruhan (composite), per jenis Risiko, maupun per Aktivitas fungsional. 2) Kebijakan dan strategi Manajemen Risiko ditetapkan sekurangkurangnya satu kali dalam satu tahun atau frekuensi yang lebih tinggi dalam hal terdapat perubahan faktor-faktor yang mempengaruhi Aktivitas usaha Perusahaan secara signifikan b. Bertanggung jawab atas pemantauan pelaksanaan kebijakan Manajemen Risiko dan Eksposur Risiko yang diambil oleh Perusahaan secara keseluruhan yang meliputi antara lain mengevaluasi dan memberikan arahan berdasarkan laporan yang disampaikan oleh Fungsi Manajemen 14

18 HALAMAN : 15 dari 27 Risiko Perusahaan dan Internal Audit. c. Mengevaluasi Aktivitas atau Transaksi Usaha yang memerlukan persetujuan Dewan Direksi, antara lain Aktivitas atau Transaksi Usaha yang telah melampaui kewenangan pejabat Perusahaan satu tingkat di bawah Dewan Direksi, sesuai dengan kebijakan dan prosedur yang berlaku. d. Mengevaluasi efektivitas penerapan Manajemen Risiko Perusahaan secara berkala, antara lain berupa: 1) Metodologi pengukuran Risiko. 2) Implementasi sistem informasi manajemen. 3) Ketepatan kebijakan, prosedur dan penetapan Toleransi Risiko. Kaji ulang secara berkala antara lain dimaksudkan untuk mengantisipasi apabila terjadi perubahan situasi, kondisi dan perkembangan eksternal dan internal Perusahaan. e. Penetapan hal-hal yang terkait dengan keputusan bisnis yang menyimpang dari prosedur normal (irregularities). f. Memantau independensi operasi Fungsi Manajemen Risiko Perusahaan. g. Mengembangkan budaya sadar Risiko (risk consciousness) pada seluruh jenjang organisasi, antara lain meliputi komunikasi yang memadai kepada seluruh jenjang organisasi tentang pentingnya Pengendalian Internal yang efektif h. Mengembangkan kompetensi sumber daya manusia yang terkait dengan Manajemen Risiko. 15

19 HALAMAN : 16 dari 27 B. Manajemen Risiko Perusahaan (Corporate Risk Management) 1. Dewan Direksi melalui Direktur yang membawahi Fungsi Manajemen Risiko Perusahaan memberikan wewenang dan tanggung jawab kepada Divisi Pengembangan Program sebagai Fungsi Manajemen Risiko Perusahaan. 2. Fungsi Manajemen Risiko Perusahaan dalam menjalankan tugasnya harus independen terhadap Fungsi. Yang dimaksud dengan pengertian independen antara lain adanya pemisahan fungsi antara Fungsi Manajemen Risiko Perusahaan dengan Fungsi yang melakukan Aktivitas atau Transaksi Usaha. 3. Fungsi Manajemen Risiko Perusahaan bertanggung jawab kepada Direktur yang membawahi Fungsi Manajemen Risiko Perusahaan. 4. Wewenang dan tanggung jawab Fungsi Manajemen Risiko Perusahaan: a. Menyusun laporan Profil Risiko Perusahaan secara berkala dan menyampaikannya kepada Dewan Direksi selaku Komite Manajemen Risiko. b. Memantau posisi Risiko Perusahaan secara korporat, per jenis Risiko dan Risiko per Aktivitas fungsional yang antara lain dapat dituangkan dalam bentuk Pemetaan Risiko (Risk Mapping/Risk Matrix). c. Memberikan masukan kepada Komite Manajemen Risiko mengenai besaran atau maksimum Eksposur Risiko untuk dimasukkan ke dalam Rencana Kerja dan Anggaran Perusahaan. d. Memberikan usulan kepada Komite Manajemen Risiko perihal Risk Appetite dan Risk Tolerance Perusahaan berdasarkan masukan dari masing-masing Divisi. e. Memberikan rekomendasi kepada Komite Manajemen Risiko. f. Melakukan pengkajian terhadap Risiko-risiko pada usulan Aktivitas/Transaksi Usaha tertentu apabila dipandang perlu oleh Dewan Direksi dan Komite Manajemen Risiko. g. Melakukan dokumentasi yang memadai untuk keperluan Pengendalian Internal. 16

20 HALAMAN : 17 dari 27 h. Mengkaji secara berkala kecukupan dan kelayakan dari Kebijakan, Pedoman, dan Strategi Penerapan Manajemen Risiko, serta menyampaikan rekomendasi perubahan kepada Komite Manajemen Risiko. i. Memantau pelaksanaan kebijakan Manajemen Risiko yang telah ditetapkan oleh Komite Manajemen Risiko. j. Melakukan evaluasi terhadap proses Manajemen Risiko guna memastikan bahwa proses pengelolaan Risiko telah dilaksanakan dengan baik k. Mengembangkan kompetensi sumberdaya manusia yang terkait dengan Manajemen Risiko. 5. Prosedur kerja Fungsi Manajemen Risiko Perusahaan ditetapkan oleh Dewan Direksi. C. Fungsi/Risk Owner Fungsi atau Risk Owner dalam melaksanakan Aktivitasnya sekurang-kurangnya memenuhi satu kriteria sebagai berikut: 1. Melaksanakan Transaksi Usaha. 2. Memiliki aset operasional (non inventaris). 3. Melaksanakan Aktivitas produksi barang/jasa. 4. Memiliki Eksposur sekurang-kurangnya satu jenis Risiko. Peran dan dan tanggung jawab Risk Owner adalah sebagai berikut: 1. Menjadi Person-in-Charge yang bertanggungjawab untuk pelaksanaan Risk Treatment sesuai dengan batas waktu yang telah ditetapkan. 2. Melaporkan kemajuan pekerjaan Risk Treatment secara berkala kepada Manajemen Risiko Perusahaan dan memberikan laporan untuk Risk Treatment yang telah ditindaklanjuti kepada Manajemen Risiko Perusahaan. 17

21 HALAMAN : 18 dari Mengembangkan budaya sadar Risiko (risk consciousness) dalam setiap Aktivitas Fungsi. D. Internal Audit Internal Audit dalam kerangka Audit Berbasis Risiko berperan dan bertanggung jawab untuk: 1. Melakukan Risk Management Audit. 2. Melakukan kegiatan consulting atas proses identifikasi, analisis, rencana penanganan (treatment), pengendalian dan pemantauan Risiko. 3. Memberikan masukan kepada Dewan Direksi atas penentuan Risk Appetite dan Risk Tolerance atas kejadian Risiko yang telah diidentifikasi. 4. Memberikan laporan mengenai tingkat kecukupan dan efektifitas atas Pengendalian Internal terhadap Risiko kepada Direktur Utama. 18

22 HALAMAN : 19 dari 27 BAB IV: PROSES MANAJEMEN RISIKO Proses Manajemen Risiko untuk operasional secara umum meliputi: 1. Komunikasi dan Konsultasi (Communication & Consultation) 2. Penentuan Lingkup Pengelolaan Risiko (Establish The Context) 3. Identifikasi Risiko (Risk Identification) 4. Analisis Risiko (Risk Analysis) 5. Evaluasi Risiko (Risk Evaluation) 6. Penanganan Risiko (Risk Treatment) 7. Pemantauan dan Kaji Ulang (Monitoring & Review) Proses Manajemen Risiko untuk proyek baik yang bersifat Pengembangan Bisnis maupun Penunjang Usaha di Perusahaan secara umum meliputi: 1. Perencanaan Manajemen Risiko (Risk Management Planning) 2. Identifikasi Risiko (Risk Identification) 3. Analisis Risiko kualitatif dan kuantitatif (Risk Analysis) 4. Perencanaan Response Risiko (Risk Respond Planning) 5. Pemantauan dan Pengendalian Risiko (Risk Monitoring and Control) A. Proses Manajemen Risiko Operasional 1. Komunikasi dan Konsultasi Komunikasi dan konsultasi adalah proses berkesinambungan dan berulang antara Perusahaan dan para pemangku kepentingan untuk saling memberikan, berbagi dan memperoleh informasi serta melakukan dialog terkait dengan penanganan Risiko. 19

23 HALAMAN : 20 dari Penentuan Lingkup Pengelolaan Risiko Penentuan Lingkup Pengelolaan Risiko adalah penentuan parameter internal dan eksternal yang harus diperhitungkan dalam mengelola Risiko, menentukan lingkup dan kriteria Risiko untuk kebijakan Manajemen Risiko. 3. Identifikasi Risiko a. Identifikasi Risiko (Risk Identification) adalah proses menemukan, mengenali dan menguraikan Risiko yang melekat pada setiap Aktivitas atau transaksi dalam proses bisnis Perusahaan berdasarkan lingkup pengelolaan Risiko yang telah ditentukan pada tahap sebelumnya. Hal-hal yang harus diperhatikan dalam proses Identifikasi Risiko antara lain: 1) Bersifat proaktif dan bukan reaktif. 2) Mencakup seluruh area kegiatan secara sistematis dan menggabungkan seluruh sumber informasi yang tersedia. b. Mengembangkan pemahaman yang jelas dan analisa mengenai Risiko-risiko yang terdapat dalam kegiatan usaha yang lebih kompleks. c. Proses Identifikasi Risiko antara lain dapat didasarkan pada pengalaman kerugian Perusahaan yang pernah terjadi. d. Dalam melakukan Identifikasi Risiko dapat digunakan berbagai pendekatan dan metode. 4. Analisis Risiko Analisis Risiko (Risk Analysis) adalah suatu proses untuk memahami karakteristik Risiko (Probabilitas dan Dampak) yang dapat dilakukan secara kualitatif ataupun kuantitatif untuk menentukan tingkat dari Risiko (level of risk). a. Hasil Analisis Risiko merupakan dasar untuk mengkategorikan peringkat Risiko berdasarkan Dampak yang mungkin ditimbulkannya. b. Untuk mengetahui Profil Risiko Perusahaan dilakukan Pemetaan Risiko (Risk Mapping) berdasarkan tingkat Risiko dan Dampak terhadap Perusahaan. 20

24 HALAMAN : 21 dari 27 c. Pendekatan analisis Profil Risiko Perusahaan digunakan untuk mengukur: 1) Sensitivitas Aktivitas bisnis terhadap perubahan faktor-faktor terkait baik dalam kondisi normal maupun tidak normal. 2) Kecenderungan perubahan faktor-faktor tersebut berdasarkan fluktuasi perubahan yang terjadi di masa lalu dan korelasinya. d. Metode Analisis Risiko harus dikaitkan dengan hal-hal antara lain: 1) Jenis, skala, dan kompleksitas kegiatan usaha. 2) Kemampuan sistem pengumpulan data. 3) Kemampuan manajemen memahami makna dan keterbatasan dari hasil akhir sistem pengukuran Risiko yang digunakan. e. Metode Analisis Risiko harus dipahami secara jelas oleh pihak-pihak yang terkait dalam pengendalian Risiko. 5. Evaluasi Risiko Evaluasi Risiko (Risk Evaluation) adalah suatu proses untuk membandingkan hasil dari Analisis Risiko dengan Kriteria Risiko untuk menentukan apakah Risiko-risiko tersebut berada pada tingkat yang bisa diterima atau ditoleransi. 6. Penanganan Risiko Penanganan Risiko (Risk Treatment) adalah suatu proses untuk mengembangkan, memilih alternatif-alternatif untuk menangani Risiko. a. Alternatif Penanganan Risiko antara lain: 1) Menghindari Risiko (risk avoiding) dengan tidak melakukan Aktivitas atau Transaksi Usaha tertentu. 2) Pengurangan Risiko (risk reducing/risk mitigation), misalnya dengan peningkatan keselamatan kerja, pemeliharaan, peningkatan kompetensi sumber daya manusia, pemutakhiran sistem dan prosedur. 21

25 HALAMAN : 22 dari 27 3) Pembagian Risiko (risk sharing) dengan pihak lain, misalnya kerjasama dengan bentuk joint venture/partnership. 4) Pemindahan Risiko (risk transfer) kepada pihak lain, misalnya penutupan asuransi, hedging. Pemindahan Risiko ini dapat dilakukan untuk Eksposur Risiko yang melampaui toleransi Risiko Perusahaan. 5) Risiko diterima (accept) dengan melaksanakan Aktivitas atau Transaksi Usaha tertentu dengan tanpa usaha untuk mengurangi, membagi ataupun memindahkan Risiko. 6) Kombinasi antara beberapa altematif tersebut di atas. b. Pemilihan penanganan Risiko disesuaikan dengan strategi bisnis Perusahaan dan dengan mempertimbangkan biaya (Risk treatment Cost/Cost of Risk) dan manfaat. c. Penerapan (implementation) adalah proses pelaksanaan pilihan penanganan Risiko (Risk Treatment) yang paling optimal bagi Perusahaan. 7. Pemantauan dan Kaji Ulang Pemantauan atas proses Manajemen Risiko yang diterapkan harus dilakukan secara berkelanjutan. Pemantauan terhadap Risiko mencakup antara lain: a. Memantau pelaksanaan rencana Penanganan Risiko b. Memantau keseluruhan Risiko-risiko Perusahaan yang dilakukan secara berkelanjutan. c. Memastikan bahwa tingkat Risiko tidak melampau toleransi yang telah ditetapkan. d. Mengidentifikasi Risiko dan menganalisis atas Eksposur Risiko tersebut. e. Mendistribusikan hasil analisis tersebut kepada pihak yang berwenang dalam proses pengambilan keputusan. 22

26 HALAMAN : 23 dari 27 Dalam melakukan kaji ulang atas proses Manajemen Risiko secara berkala oleh Komite Manajemen Risiko, perlu diperhatikan hal-hal sebagai berikut: a. Frekuensi, cakupan evaluasi dan kaji ulang disesuaikan dengan Eksposur Risiko yang ditimbulkan oleh Aktivitas bisnis yang dilakukan, serta kecepatan perubahan dalam metode pengukuran dan pengelolaan Risiko. b. Kaji ulang ini dapat dilengkapi dengan kaji ulang oleh pihak lain yang memiliki kualifikasi dalam membuat model dan teknik Manajemen Risiko, jika dianggap perlu. c. Evaluasi dan kaji ulang terhadap pengukuran Risiko sekurang-kurangnya harus mencakup: 1) Metodologi, model, asumsi, dan variabel yang digunakan untuk mengukur Risiko dan menetapkan Toleransi Risiko. 2) Perbandingan antara hasil dari model pengukuran Risiko menggunakan simulasi atau proyeksi di masa mendatang dengan hasil sebenarnya. 3) Perbandingan antara asumsi yang digunakan dalam faktor input model dengan kondisi aktual. 4) Perbandingan antara struktur Toleransi Risiko yang ditetapkan dan Eksposur aktual. d. Pengukuran Eksposur dan Toleransi Risiko harus sejalan dengan strategi bisnis dan Manajemen Risiko Perusahaan dengan memperhatikan kinerja masa lalu dan kondisi keuangan Perusahaan. e. Proses pemantauan dan kaji ulang harus mencakup semua aspek dari proses Manajemen Risiko di atas dengan maksud untuk : 1) Menjamin efektifitas dan efisiensi pengendalian Risiko 2) Memperoleh informasi untuk memperbaiki proses dan hasil Risk Assessment 3) Melakukan analisis dan pembelajaran dari kejadian-kejadian Risiko 23

27 HALAMAN : 24 dari 27 4) Mengidentifikasi Risiko-risiko baru yang timbul (emerging Risk) f. Hasil dari proses pemantauan dan kaji ulang harus didokumentasikan dan dilaporkan secara periodik dan menjadi input untuk mengkaji ulang kerangka Manajemen Risiko. B. Manajemen Risiko Untuk Aktivitas On Going Business 1. Manajemen Risiko dilakukan dalam setiap proses Aktivitas On-going Business yang dilaksanakan oleh Risk Owner sesuai dengan proses bisnis Perusahaan dan tanggung jawab yang telah ditentukan. Proses bisnis Perusahaan meliputi antara lain: a. Training b. Consulting c. Event Organizer d. Pengelolaan Alih Daya / Outsourcing e. Jasa Pengamanan f. Jasa Lainnya 2. Fungsi Manajemen Risiko Perusahaan bertanggung jawab untuk memastikan terlaksananya proses Manajemen Risiko atas setiap proses Aktivitas On-going Business berdasarkan prinsip efisiensi dan efektivitas biaya, pencegahan timbulnya persepsi negatif terhadap citra Perusahaan dan minimalisasi potensi Risiko lainnya serta maksimalisasi keuntungan Perusahaan. 3. Untuk dapat mengetahui Profil Risiko (Risk Profile) dari Aktivitas On-going Business Perusahaan, Fungsi Manajemen Risiko Perusahaan dan Risk Owner harus melakukan Penilaian Risiko (Risk Assessment) yang dituangkan dalam Risk Register dan Pemetaan Risiko (Risk Mapping) dari seluruh Aktivitas dan/atau transaksi Perusahaan. 24

28 HALAMAN : 25 dari 27 C. Manajemen Risiko Untuk Aktivitas Pengembangan Bisnis dan Penunjang Usaha 1. Jenis Aktivitas Pengembangan Bisnis (Business Development) termasuk tetapi tidak terbatas pada: a. Investasi Pengembangan Bisnis pada aktiva/usaha. b. Akuisisi atau pengambilalihan usaha atau paket aset dan kewajiban. c. Kerjasama usaha, termasuk merger, spin-off, dan lain-lain. d. Penghentian atau perubahan proses investasi atau kerjasama dan/atau perikatan dengan pihak lain. e. Divestasi asset, participating interest, dan share. f. Peminjaman dana (borrowing) atau penggalangan dana (fund raising), antara lain penerbitan obligasi, project financing, penerbitan saham baru. g. Penerbitan surat jaminan dan/atau pernyataan menjamin dalam bentuk apapun, baik secara langsung maupun tidak langsung, untuk berbagai tujuan kecuali surat jaminan yang terkait dengan kesehatan karyawan Perusahaan. 2. Jenis Aktivitas Penunjang Usaha: a. Investasi Penunjang Usaha. b. Proses disposal/divestasi aset yang bukan merupakan Aktivitas usaha utama Fungsi atau Perusahaan. 3. Fungsi Manajemen Risiko Perusahaan bertanggung jawab atas pelaksanaan Manajemen Risiko dalam setiap proses Aktivitas Pengembangan Bisnis dan Penunjang Usaha pada Fungsi terkait berdasarkan prinsip efisiensi biaya, pencegahan timbulnya persepsi negatif terhadap reputasi Perusahaan dan minimalisasi potensi Risiko lainnya serta maksimalisasi keuntungan Perusahaan. 25

29 HALAMAN : 26 dari Investasi Proyek a. Setiap usulan investasi proyek, baik yang akan menggunakan dana internal maupun eksternal, disusun sesuai dengan pedoman usulan investasi proyek Pengembangan Bisnis yang berlaku dan mempertimbangkan berbagai kemungkinan Risiko, antara lain Risiko Pemasaran, Risiko Teknologi, Risiko Sumber Daya Manusia, Risiko Operasional, Risiko Lingkungan dan Sosial, Risiko Hukum, dan Risiko Finansial dan Ekonomi. Biaya yang diperlukan untuk Penanganan Risiko (Cost of Risk), harus dimasukkan dalam perhitungan keekonomian investasi. b. Tahapan investasi proyek secara umum meliputi: 1) Studi Pendahuluan (Preliminary Study) 2) Studi Kelayakan (Feasibility Study/conceptual engineering) 3) Persiapan dan pelaksanaan pemilihan pelaksana proyek (selection process) 4) Persiapan dan pelaksanaan proyek (preparation and implementation/construction) 5) Penyelesaian dan serah terima (closing/finishing and hand-over/ acceptance) c. Dalam setiap tahapan proyek, Risk Owner harus melakukan pengukuran Risiko dan menyusun laporan Analisis Risiko untuk setiap jenis Risiko yang dihadapi secara kualitatif dan atau kuantitatif, yang merupakan bagian yang tak terpisahkan dari setiap proposal maupun laporan setiap tahapan perkembangan proyek, dibantu oleh Fungsi Manajemen Risiko Perusahaan sebagai fasilitator, yang disampaikan kepada Direktur terkait. d. Fungsi Manajemen Risiko Perusahaan melakukan Penilaian Risiko (Risk Assessment) atas usulan investasi Pengembangan Bisnis yang memerlukan keputusan Dewan Direksi sesuai dengan tahapan sebagai berikut: 26

30