1 n. bs aa n. st ak er pu s: //p tp ht go.id
2 Manajemen Risiko Berbasis SNI ISO 31000
3 Sanksi Pelanggaran Pasal 113 Undang-undang Nomor 28 Tahun 2014 Tentang Hak Cipta 1. Setiap Orang yang dengan tanpa hak melakukan pelanggaran hak ekonomi sebagaimana dimaksud dalam pasal 9 ayat [1] huruf i untuk Penggunaan Secara Komersial dipidana dengan pidana penjara paling lama 1 [satu] tahun dan/atau pidana denda paling banyak Rp [serratus juta rupiah]. 2. Setiap Orang yang dengan tanpa hak dan/atau tanpa izin Pencipta atau pemegang Hak Cipta melakukan pelanggaran hak ekonomi Pencipta sebagaimana dimaksud dalam Pasal 9 ayat [1] huruf c, huruf d, huruf f, dan/atau huruf h untuk Penggunaan Secara Komersial dipidana dengan pidana penjara paling lama 3 [tiga] tahun dan/atau pidana denda paling banyak Rp ,00 [lima ratus juta rupiah]. 3. Setiap Orang yang dengan tanpa hak dan/atau tanpa izin Pencipta atau pemegang Hak Cipta melakukan pelanggaran hak ekonomi Pencipta sebagaimana dimaksud dalam Pasal 9 ayat [1] huruf a, huruf b, huruf e, dan/atau huruf g untuk Penggunaan Secara Komersial dipidana dengan pidana penjara paling lama 4 [empat] tahun dan/atau pidana denda paling banyak Rp ,00 [satu miliar rupiah]. 4. Setiap Orang yang memenuhi unsur sebagaimana dimaksud pada ayat [3] yang dilakukan dalam bentuk pembajakan, dipidana dengan pidana penjara paling lama 10 [sepuluh] tahun dan/atau pidana denda paling banyak Rp ,00 [empat miliar rupiah].
4 Manajemen Risiko Berbasis SNI ISO Charles R. Vorst D.S. Priyarsono Arif Budiman Badan Standardisasi Nasional Jakarta 2018
5 Manajemen Risiko Berbasis SNI ISO Hak cipta 2018 oleh Badan Standardisasi Nasional [BSN] Penyusun Desain Editor : Charles R. Vorst, D.S. Priyarsono, Arif Budiman : Murdianto, Wiranti Suwarti Sari, Heri Kurniawan : Nasrudin Irawan, Mayastria Yekttiningtyas, Kristiati Andriani, Wiranti Suwarti Sari Hak Cipta dilindungi Undang-undang Dilarang memperbanyak sebagian atau keseluruhan isi buku ini tanpa izin tertulis dari penerbit. Katalog Dalam Terbitan [KDT] Manajemen Risiko Berbasis SNI ISO / BSN - Jakarta: Badan Standardisasi Nasional, xvi hal.: 25 cm ISBN : Manajemen Risiko 2. SNI ISO Edisi Pertama, Cetakan Pertama [2018] Penerbit: Badan Standardisasi Nasional Gedung 1 BPPT Jl. M.H. Thamrin Nomor 8 Jakarta Pusat
6 SAMBUTAN Puji dan syukur kami panjatkan ke hadirat Tuhan yang Maha Esa, karena atas anugerah dan rahmat-nya, Badan Standardisasi Nasional [BSN] bekerjasama dengan Komite Teknis 03-10, Manajemen Risiko, dapat merampungkan buku Manajemen Risiko berbasis SNI ISO yang dapat digunakan sebagai salah satu referensi untuk pendidikan, khususnya pendidikan standardisasi. Risiko yang mempengaruhi organisasi dapat berakibat pada kinerja ekonomi dan reputasi profesional organisasi, selain itu juga dapat berdampak pada lingkungan, keselamatan dan kemasyarakatan. Oleh Karena itu, mengelola risiko secara efektif membantu organisasi untuk bekerja dengan baik di lingkungan yang penuh dengan ketidakpastian. Buku ini memberi gambaran ringkas, padat, dan runut mengenai bagaimana mengelola risiko berdasar standar internasional. Standar Internasional lso 31000, disusun oleh perwakilan negara-negara tergabung dalam ISO Technical Committee untuk Risk Management dan telah diadopsi menjadi SNI ISO Sebagian besar masyarakat umumnya memandang bahwa risiko merupakan ancaman yang sebaiknya dihindari. Dengan memahami prinsip mengelola risiko yang baik, maka risiko dapat menjadi peluang bagi organisasi untuk berkinerja lebih baik, membuka pasar baru, memperluas usaha serta memaksimalkan potensi organisasi dalam mencapai tujuannya. Standar mengenai manajemen risiko ini dapat diterapkan di berbagai sektor dan menjadi salah satu persyaratan hampir di seluruh standar sistem manajemen. Untuk itu, besar harapan kami agar buku ini dapat menjadi salah satu referensi di perguruan tinggi dan dapat memberikan manfaat bagi para pembacanya.
7 Akhir kata, Kami menyampaikan penghargaan yang setinggitingginya kepada tim penyusun dan semua pihak yang telah berkontribusi dalam penyusunan buku Manajemen Risiko berbasis SNI ISO sehingga dapat terselesaikan dengan baik. Kepala Badan Standardisasi Nasional Prof. Dr. Bambang Prasetya, M.Sc. vi I
8 SEKAPUR SIRIH Tiada peradaban bila tidak ada pengetahuan, dan tiada pengetahuan tanpa pembelajaran. Buku adalah teman hidup bagi manusia dalam proses pembelajaran, sekaligus warisan luhur yang diturunkan dari satu generasi ke generasi berikutnya. Buku Manajemen Risiko Berbasis SNI ISO adalah perwujudan komitmen para ahli bidang manajemen risiko untuk memberikan kontribusi luhur mereka sehingga pengetahuan tentang manajemen risiko berbasis SNI ISO dapat tersebar seluas-luasnya di negeri tercinta Indonesia. Karena SNI ISO adalah Standar Nasional Indonesia yang diadopsi sepenuhnya dari standar internasional ISO 31000, membaca buku ini sebenarnya adalah suatu perjalanan intelektual dalam menggali pengetahuan dan membangun kompetensi yang sangat dibutuhkan tidak hanya dalam skala nasional tetapi juga skala global. Dengan semakin banyaknya tantangan ketidakpastian dan risiko di masa depan, mempersiapkan diri untuk memiliki pengetahuan dan kompetensi manajemen risiko menjadi suatu keunggulan insani yang sangat relevan bagi manusia pembelajar. Susunan isi buku disajikan dalam urutan yang sangat apik dan sistematis mulai dari hal mendasar tentang pengertian ketidakpastian, risiko, masalah, krisis, dan bencana, sampai dengan ilustrasi penerapannya dalam berbagai konteks. Oleh karena itu, buku ini dapat dijadikan salah satu rujukan pembelajaran tentang manajemen risiko di perguruan tinggi terutama di
9 tingkat sarjana atau yang setara sehingga pengetahuan dan kompetensi mereka sejalan dengan kebutuhan industri pengguna. Selain itu, buku ini dapat juga dipergunakan oleh para praktisi dengan latar belakang industri dan lingkungan yang berbeda-beda, baik sebagai rujukan awal, maupun sebagai rujukan umum dalam pengembangan penerapannya yang spesifik dan unik. Sebagai akhir kata, adalah suatu berkah bagi kita semua bahwa para penulis yang merupakan anggota Komite Teknis Manajemen Risiko Badan Standardisasi Nasional [BSN] telah menghasilkan buku perdana ini. Besar harapan kita semua agar ada buku susulan dari para penulis sehingga masyarakat pembelajar dapat terbantu untuk terus berkembang menjadi manusia unggulan yang dapat berkontribusi optimal bagi kesinambungan peradaban manusia. Jakarta, Desember 2017 Dr. Antonius Alijoyo, SE, MBA, MM, ERMCP, CERG, QRGP Ketua Komite Teknis Manajemen Risiko Badan Standardisasi Nasional Ketua Umum Indonesia Risk Management Professional Association viii I
10 KATA PENGANTAR When models turn on, brains turn off. Dr. Till Schuermenn, periset & akademisi. Risk management is about people and processes and not about models and technology. Trevor Levine, konsultan. Business people need to understand the psychology of risk more than the mathematics of risk. Paul Gibbons, pengusaha. Sungguh menarik ketika kita mencermati kemiripan pandangan dari ketiga tokoh di atas! Meski berasal dari latar belakang yang berbeda, akademisi, konsultan, dan praktisi ini mengemukakan pandangan senada mengenai manajemen risiko, bahwa keberhasilan praktik pengelolaan risiko lebih banyak dipengaruhi oleh sejauh mana manusia yang terlibat dalam prosesnya memiliki pemahaman, kompetensi, dan kapasitas yang diperlukan. Sesungguhnya pemahaman, teoretis maupun aplikatif, mengenai bagaimana pengelolaan risiko dapat berlangsung secara proaktif, terstruktur, dan sistematis merupakan sebuah kompetensi dasar yang perlu dimiliki oleh siapapun. Terlepas dari disiplin ilmu yang kita dalami, profesi atau jabatan yang kita miliki, maupun bentuk, jenis, ataupun ukuran organisasi tempat kita mengabdi dan berkarya, kita semua perlu mengerti bagaimana, atau setidaknya mengenal seperti apa, manajemen risiko diterapkan secara efektif. Beranjak dari keyakinan di atas, tim penulis, yang juga merupakan anggota Komite Teknis [Komtek] Manajemen Risiko Badan Standardisasi Nasional [BSN], menyambut dengan sangat antusias inisiatif Pusat Pendidikan dan Pemasyarakatan Standardisasi [Pusdikmas] BSN untuk menyusun sebuah buku mengenai manajemen risiko berbasis SNI ISO
11 Adapun buku ini ditujukan untuk menjadi salah satu opsi buku pegangan dalam aktivitas perkuliahan mengenai manajemen risiko pada jenjang Strata 1 akhir atau Strata 2 awal, serta tidak tertutup kemungkinan dapat juga menjadi salah satu referensi bagi para praktisi mula di bidang manajemen risiko untuk menambah wawasannya. Mengacu pada tujuan ini, penyusunan konten buku dimulai dengan sebuah bab Pendahuluan yang berisikan sekilas sejarah manajemen risiko serta pengantar mengenai standar ISO sebagai standar internasional manajemen risiko yang kemudian menjadi Standar Nasional Indonesia [SNI], kemudian dilanjutkan dengan pembahasan mengenai penerapan Prinsip, Kerangka Kerja, dan Proses Manajemen Risiko SNI ISO masing-masing dalam bab-bab yang terpisah, dan ditutup dengan bab terakhir yang berisikan ulasan berikut latihan beberapa teknik penilaian atau asesmen risiko yang mengacu pada SNI ISO Dengan menggunakan buku ini dalam kegiatan perkuliahan, para mahasiswa diharapkan dapat memiliki kompetensi dasar, atau setidaknya mendapatkan referensi, mengenai penerapan manajemen risiko berdasarkan Standar Nasional Indonesia [SNI] yang diadopsi secara identik dari sebuah standar penerapan manajemen risiko yang diakui secara internasional, ISO Akhir kata, tim penulis mengucapkan terima kasih kepada Pusdikmas BSN atas kerja samanya yang telah membuat aktivitas menulis buku menjadi sebuah pengalaman yang menyenangkan. Tim penulis juga mengucapkan terima kasih kepada para anggota Komtek serta berbagai pihak lainnya yang telah memberikan bantuan dan dukungan hingga terbitnya buku ini. Meski menyadari bahwa masih banyak kekurangan pada edisi I ini, besar harapan kita semua bahwa buku ini tetap dapat memberikan manfaat positif, khususnya dalam upaya membentuk generasi muda Indonesia menjadi kaum intelektual yang siap mengelola risiko. Jakarta, Desember 2017 Salam, Tim penulis. x I
12 DAFTAR ISI SAMBUTAN... v SEKAPUR SIRIH... vii KATA PENGANTAR... ix DAFTAR ISI... xi DAFTAR GAMBAR... xiii DAFTAR TABEL... xv BAB 1. MANAJEMEN RISIKO - PENGANTAR Sekilas Sejarah Manajemen Risiko di Indonesia dan Dunia Bentuk-Bentuk Praktik Manajemen Risiko Pada Umumnya Sekilas tentang Badan Standardisasi Nasional dan Standar Nasional Indonesia Sekilas tentang SNI ISO BAB 2. PRINSIP-PRINSIP MANAJEMEN RISIKO Pengertian tentang Prinsip-prinsip Manajemen Risiko Menurut SNI ISO Beberapa Kasus untuk Menjelaskan Makna Kata-kata Kunci dalam Prinsip-prinsip Manajemen Risiko BAB 3. KERANGKA KERJA MANAJEMEN RISIKO Pengertian mengenai Kerangka Kerja Manajemen Risiko Mandat dan Komitmen Rancangan Kerangka Kerja untuk Pengelolaan Risiko Pemahaman organisasi dan konteksnya Penetapan kebijakan manajemen risiko Akuntabilitas Integrasi ke dalam proses organisasi Sumber daya Penetapan mekanisme komunikasi dan pelaporan internal Penetapan mekanisme komunikasi dan pelaporan eksternal..84
13 3.4 Pengimplementasian manajemen risiko Pemantauan dan tinjauan suatu kerangka kerja Perbaikan berkelanjutan terhadap suatu kerangka kerja BAB 4. PROSES MANAJEMEN RISIKO Komunikasi dan Konsultasi Penetapan Konteks Penilaian Risiko Perlakuan Risiko Pemantauan dan Tinjauan BAB 5. TEKNIK PENILAIAN RISIKO BERBASIS SNI ISO 31000: Penjelasan Umum mengenai Teknik Penilaian Manajemen Risiko Memilih Tenik-Teknik Penilaian Risiko Pembahasan Beberapa Teknik Penilaian Risiko Analisis Dampak Bisnis [Business Impact Analysis - BIA] Analisis Sebab-dan-Akibat [Cause-and-effect analysis] Analisis Bahaya dan Titik Pengendalian Kritis [Hazard Analysis and Critical Control Point] Analisis Lapisan-Lapisan Proteksi [Layers of Protection Analysis] Analisis Dasi Kupu-Kupu [Bow Tie Analysis] Analisis Monte Carlo Analisis Markov Analisis Bayes Latihan Soal Teknik Penilaian Risiko Analisis Akar Penyebab [Root Cause Analysis] Analisis Sebab-dan-Akibat [Cause-and-effect analysis] Analisis Dasi Kupu-Kupu [Bow Tie Analysis] CATATAN PENULIS DAFTAR PUSTAKA INDEKS PROFIL PENULIS xii I
14 DAFTAR GAMBAR Gambar 1.1 Sejarah perkembangan manajemen risiko... 1 Gambar 1.2 Manajemen risiko berbasis SNI ISO Gambar 3.1 Siklus PDCA pada kerangka kerja manajemen risiko Gambar 3.2 Hubungan antara komponen dari kerangka kerja bagi pengelolaan risiko Gambar 3.3 Contoh dokumen mandat dan komitmen dalam kebijakan perusahaan Gambar 3.4 Elemen-elemen umum terkait pemahaman organisasi Gambar 3.5 Contoh analisis PESTLE dan SWOT untuk penetapan konteks organisasi Gambar 3.6 Contoh cakupan pengelola risiko berdasarkan evaluasi atas konteks organisasi Gambar 3.7 Penjelasan peran dalam Matriks RACI Gambar 3.8 Ilustrasi model pertahanan tiga lapis pada manajemen risiko Gambar 3.9 Ilustrasi penetapan pemilik risiko di suatu organisasi Gambar 3.10 Contoh akuntabilitas proses manajemen risiko dari para pemangku kepentingan Gambar 3.11 Ilustrasi integrasi manajemen risiko berbasis ISO dengan standar lain Gambar 3.12 Elemen checklist penyediaan sumber daya pada penerapan manajemen risiko Gambar 4.1 Proses manajemen risiko SNI ISO Gambar 4.2 Simulasi efek ketidakpasian terhadap sasaran - kasus Gambar 4.3 Simulasi efek ketidakpasian terhadap sasaran - kasus Gambar 4.4 Contoh analisis pohon kejadian risiko kebakaran karena arus pendek
15 Gambar 4.5 Contoh peta risiko [matriks 3 x 3] Gambar 4.6 Contoh pemetaan risiko Gambar 5.1 Penjelasan RPO dan RTO contoh kasus Gambar 5.2 Daftar prioritas dari aplikasi bank yang kritis Gambar 5.3 Contoh diagram Ishikawa atau Tulang Ikan Gambar 5.4 Contoh pengisian diagram Ishikawa Gambar 5.5 Urutan logis HACCP Gambar 5.6 Contoh pohon keputusan untuk penentuan titik pengendalian kritis HACCP Gambar 5.7 Lapisan-lapisan perlindungan terhadap risiko dalam proses produksi di sebuah pabrik [contoh ilustratif] Gambar 5.8 Lapisan-lapisan perlindungan terhadap risiko bencana dalam gedung pabrik [contoh ilustratif] Gambar 5.9 Diagram dasi kupu-kupu untuk analisis risiko kasus Gambar 5.10 Diagram dasi kupu-kupu untuk analisis risiko kasus Gambar 5.11 Lingkaran dan bujur sangkar dengan titik pusat berimpitan Gambar 5.12 Probabilitas waktu penyelesaian proyek dalam kurun tertentu [bulan] atau kurang Gambar 5.13 Probabilitas situasi mendatang bila seorang pelanggan membeli bensin dari perusahaan P bulan ini Gambar 5.14 Probabilitas situasi mendatang bila seorang pelanggan membeli bensin dari perusahaan N bulan ini Gambar 5.15 Sekatan hipotesis-hipotesis xiv
16 DAFTAR TABEL Tabel 4.1 Contoh Matriks RACI dalam suatu aktivitas identifikasi risiko Tabel 4.2 Contoh rencana komunikasi dan konsultasi pada suatu rangkaian aktivitas Tabel 4.3 Contoh konteks internal dan pengaruhnya terhadap proses manajemen risiko Tabel 4.4 Contoh konteks eksternal dan pengaruhnya terhadap proses manajemen risiko Tabel 4.5 Contoh tingkat eksposur dampak risiko Tabel 4.6 Contoh pengukuran peringkat eksposur kemungkinan risiko secara kualitatif Tabel 4.7 Contoh kategorisasi tingkat kegawatan risiko berdasarkan hasil perhitungan nilai risiko Tabel 4.8 Contoh selera dan toleransi risiko Tabel 4.9 Contoh register risiko Tabel 4.10 Contoh kriteria risiko untuk kemungkinan risiko Tabel 4.11 Contoh hasil analisis risiko Tabel 4.12 Contoh kriteria risiko untuk dampak finansial risiko Tabel 4.13 Contoh kriteria risiko untuk dampak operasional risiko Tabel 4.14 Contoh kriteria risiko untuk dampak K3 risiko Tabel 4.15 Contoh kriteria risiko untuk dampak reputasi Tabel 4.16 Contoh hasil analisis risiko
17 Tabel 4.17 Contoh perhitungan agregat eksposur risiko secara semikuantitatif Tabel 4.18 Contoh rencana perlakuan risiko Tabel 5.1 Penerapan alat bantu yang digunakan untuk penilaian risiko Tabel 5.2 Pengelompokan teknik-teknik penilaian risiko berdasarkan metode Tabel 5.3 Model dasar Tabel 5.4 Model perkiraan dengan kisaran Tabel 5.5 Hasil suatu simulasi Monte-Carlo Tabel 5.6 Probabilitas perpindahan pelanggan per bulan Tabel 5.7 Probabilitas pembelian bensin pada bulan ketiga Tabel 5.8 Kotak Bayes kasus bola Tabel 5.9 Kemungkinan hasil eksperimen dan probabilitasnya Tabel 5.10 Kotak Bayes kasus bola yang sudah dilengkapi Tabel 5.11 Deskripsi hipotesis dan distribusi probabilitas awalnya Tabel 5.12 Kotak Bayes kasus telepon Tabel 5.13 Kotak Bayes [generalisasi] xvi
18 BAB 1 MANAJEMEN RISIKO PENGANTAR 1.1 Sekilas Sejarah Manajemen Risiko di Indonesia dan Dunia Studi keilmuan mengenai manajemen risiko sebenarnya cenderung baru berkembang dibandingkan cabang disiplin ilmu manajemen lainnya. Beberapa literatur mencantumkan bahwa studi mengenai manajemen risiko pertama kali mulai berkembang setelah Perang Dunia II usai. Awalnya, pengertian terminologi manajemen risiko cenderung melekat pada fungsi asuransi bagi korporasi maupun individual. Namun pada perkembangannya, manajemen risiko akhirnya mulai dikenali sebagai aktivitas organisasi untuk mengendalikan dan mengelola risiko secara luas dan tidak hanya terkait dengan aktivitas perasuransian saja. Adapun beberapa tonggak sejarah 1 yang penting sebagai catatan perkembangan manajemen risiko sebagai disiplin ilmu maupun sebagai bagian dari aktivitas organisasi dapat dibagi ke dalam beberapa periode waktu sebagai berikut Gambar 1.1 Sejarah perkembangan manajemen risiko 1 Dikembangkan dari Risk Management: History, Definition and Critique, Goerge Dionee, 2013.
19 Era sebelum tahun 1970 a. Tahun 1932 berdiri American Risk and Insurance Association 2, sebuah asosiasi yang beranggotakan para akademisi dan profesional di bidang asuransi dan manajemen risiko di Amerika Serikat. Saat didirikan, organisasi ini dikenal dengan nama American Association University Teachers of Insurance. Organisasi yang berbasis di Pennsylvania, Amerika Serikat ini, secara rutin hingga kini menerbitkan jurnal akademis The Journal of Risk and Insurance sejak tahun b. Tahun 1950 berdiri Risk and Insurance Management Society 3 di Amerika Serikat. Organisasi ini kini beranggotakan lebih dari organisasi di berbagai belahan dunia dengan individu praktisi di lebih dari 60 negara. Hingga kini, organisasi yang berbasis di New York, Amerika Serikat, secara aktif menyelenggarakan berbagai kegiatan edukasi bagi para anggotanya maupun publik pada umumnya. c. Tahun 1963 terbit buku ajar pertama mengenai manajemen risiko berjudul Risk Management in the Businesss Enterprise karangan R. I. Mehr dan B. A. Hedges. Selanjutnya pada tahun 1964, terbit buku ajar berikutnya berjudul Risk Management and Insurance karangan C. Arthur Williams dan Richard M. Heins. Era tahun 1970-an d. Tahun 1974 muncul default risk model yang dirumuskan oleh Robert C. Merton. Merton, yang pada saat itu merupakan salah seorang tenaga pengajar di Institut Teknologi Massachusetts [MIT], merilis sebuah paper akademis mengenai sebuah model untuk menilai risiko kredit pada hutang sebuah perusahaan. 2 Sumber: 3 Sumber: 2 Manajemen Risiko Berbasis SNI ISO 31000
20 e. Tahun 1976 terbit the Geneva Papers of Risk and insurance yang dirilis oleh the Geneva Association 4. Adapun the Geneva Papers ini merupakan jurnal 3 bulanan yang diterbitkan secara rutin hingga saat ini. The Geneva Association yang berbasis di Zurich, Swiss, beranggotakan CEO dari berbagai perusahaan asuransi dan reasuransi terkemuka di dunia. Hingga kini, organisasi ini aktif berkontribusi melalui beragam studi dan riset di bidang perasuransian dan dalam interaksinya dengan berbagai organisasi terkemuka dunia lainnya seperti, the Financial Stability Board dan International Accounting Standards Board. Era tahun 1980-an f. Tahun 1987 terbentuk sebuah Departemen Manajemen Risiko untuk pertama kalinya pada sebuah bank, Merrill Lynch, yang telah berdiri sejak tahun Adapun bank ini mempelopori keberadaan sebuah unit kerja manajemen risiko dalam struktur organisasi suatu perusahaan. Dalam perkembangannya, Merrill Lynch kemudian diakuisisi oleh Bank of America pada tahun 2009 sebagai akibat dari krisis finansial yang melanda di tahun g. Tahun 1988 terbit Basel I Accord yang dirilis oleh Komite Basel [Basel Committee on Banking Supervision] di Basel, Swiss. Adapun Komite Basel pertama kali dibentuk oleh gubernur bank sentral dari negara-negara yang tergabung dalam G10 dan hingga kini berkantor pusat di Bank for International Settlement [BIS] di Basel. Secara khusus, Basel Iini berisikan kebijakan mengenai persyaratan minimum modal terhadap eksposur risiko kredit, yang kemudian pada tahun 1996 ditambahkan dengan eksposur risiko pasar, yang harus dipenuhi oleh seluruh bank yang aktif dalam settlement internasional pada akhir tahun Sumber: Manajemen Risiko - Pengantar 3
21 Era tahun 1990-an h. Tahun 1992 terbit sebuah karya tulis A Framework for Integrated Risk Management in International Business karangan Kent D. Miller dalam Journal of International Business Studies. Tulisan ini berisikan suatu kategorisasi berbagai potensi ketidakpastian yang dihadapi oleh sebuah perusahaan dalam lingkungan bisnis internasional serta respons perusahaan terhadap ketidakpastian tersebut berupa beragam bentuk pengelolaan risiko finansial dan strategis. i. Tahun 1992 terbit Risk Metrics model, serta Credit Metrics model pada tahun 1997, yang dirilis oleh JP Morgan, sebuah bank komersial dan investasi berbasis di Amerika Serikat yang kemudian berganti nama menjadi JPMorgan Chase & Co. pada tahun 2000 setelah melakukan merger dengan Chase Manhattan Bank. Adapun Risk Metrics merupakan sebuah metodologi untuk melakukan penilaian terhadap eksposur risiko pasar, dan Credit Metrics bagi eksposur risiko kredit, sebuah bank. Publikasi mengenai Risk Metrics ini selanjutnya mendorong meluasnya penggunaan model perhitungan Value-at-Risk [VaR] di berbagai kalangan dalam menghitung kerugian maksimal dari suatu portofolio yang dimiliki sebuah perusahaan di mana model VaR ini kemudian diterapkan dalam Basel II dan Basel III untuk menghitung kebutuhan modal sebuah bank. j. Tahun 1993 istilah Chief Risk Officer [CRO] pertama kali digunakan dalam jabatan C-Level. Adapun GE Capital, sebuah intitusi jasa keuangan milik General Electric Co., mengangkat seorang executive director dengan jabatan CRO yang bertanggung jawab kepada Komite Eksekutif dan Dewan Perusahaan untuk menjaga perimbangan antara risiko dengan hasil dalam bisnis. k. Tahun 1995 terbit Australian/New Zealand Standard [AS/NZS] no mengenai manajemen risiko, dengan judul dokumen AS/NZS 4360:1995 Risk Management. Adapun standar ini berisikan langkahlangkah aktivitas dalam menjalankan proses manajemen risiko. 4 Manajemen Risiko Berbasis SNI ISO 31000
22 Pada perkembangannya, AS/NZS 4360:1995 semakin luas diterima sebagai sebuah rujukan praktik hingga ke luar Australia dan New Zealand, khususnya setelah terbit edisi revisi tahun 2004, yaitu AS/NZS 4360:2004. Standar ini kemudian juga diadopsi ke dalam standar internasional ISO 31000:2009 yang dirilis oleh ISO sebagai rujukan praktik bagi proses manajemen risiko. Tahun 2000-an l. Tahun 2002 terbit Sarbanes-Oxley Act [SOX], sebuah hukum federal Amerika Serikat, di mana salah satu ketetapannya mengharuskan setiap perusahaan terbuka di Amerika melakukan penilaian atas efektivitas kendali internal yang dijalankan terhadap eksposur risiko yang dihadapi perusahaan. Terbitnya SOX memicu meluasnya keberterimaan perusahaan terbuka yang tercatat di New York Stock Exchange [NYSE] terhadap kerangka kerja terintegrasi untuk kendali internal yang dirilis oleh the Committee of Sponsoring Organizations of the Treadway Commission [COSO] pertama kali tahun 1992 dan direvisi pada tahun 1994, berjudul Internal Control Integrated Framework. Adapun COSO selanjutnya juga merilis kerangka kerja terintegrasi untuk manajemen risiko korporat, berjudul Enterprise Risk Management Integrated Framework, pada tahun m. Tahun 2002 terbit Keputusan Menteri [Kepmen] Badan Usaha Milik Negara [BUMN] No. KEP-117/M-MBU/2002 tentang Penerapan Praktek GCG pada BUMN. Kepmen ini mendorong penerapan manajemen risiko di kalangan BUMN sebagaimana dalam salah satu pasalnya mengarahkan direksi BUMN untuk menetapkan sistem pengendalian internal yang efektif melalui pengkajian dan pengelolaan risiko usaha. Adapun selanjutnya pada tahun 2011, Kepmen ini diperbaharui dengan terbitnya Peraturan Menteri Keuangan BUMN No. PER-01/MBU/2011 yang berisikan ketentuan secara eksplisit mengenai manajemen risiko pada salah satu pasalnya dengan kewajiban bagi direksi BUMN untuk Manajemen Risiko - Pengantar 5
23 melaporkan profil risiko perusahaan berikut penanganannya dalam laporan berkala perusahaan. n. Tahun 2003 terbit Peraturan Bank Indonesia [PBI] pertama kali yang secara eksplisit berjudul dan berisikan mengenai penerapan manajemen risiko pada bank di Indonesia. Adapun setelah PBI No. 5/8/PBI/2003 ini dikeluarkan menyusul kemudian serangkaian PBI- PBI lainnya mengenai manajemen risiko perbankan hingga pada akhirnya fungsi pengaturan dan pengawasan sektor perbankan yang dijalankan Bank Indonesia beralih ke Otoritas Jasa Keuangan per akhir tahun o. Tahun 2004 terbit Basel II Accord yang dirilis oleh Komite Basel.Terdapat 3 pilar pengaturan dalam Basel II yaitu i] kalkulasi modal minimum perbankan terhadap eksposur risiko pasar, kredit, dan operasional; ii] validasi oleh pihak pengawas perbankan terhadap metode statistik dan data yang digunakan bank dalam menghitung jumlah modal terhadap eksposur risikonya; serta iii] keterbukaan informasi finansial oleh perbankan dalam menginformasikan eksposur risikonya kepada publik. p. Tahun 2004 terbit dokumen Arsitektur Perbankan Indonesia [API] yang dirilis oleh Bank Indonesia. Adapun arsitektur terdiri atas 6 pilar sistem perbankan Indonesia dengan salah satu sasarannya adalah Menciptakan industri perbankan yang kuat dan memiliki daya saing tinggi serta memiliki ketahanan dalam menghadapi risiko. Lebih lanjut, terdapat beberapa program implementasi API yang terkait dengan manajemen risiko, yaitu mendesain riskbased model untuk pengawasan dengan target pelaksanaan tahun , serta mempersyaratkan sertifikasi manajer risiko dengan target pelaksanaan tahun q. Tahun 2008 terbit Peraturan Pemerintah [PP] No. 60 tahun 2008 mengenai Sistem Pengendalian Intern Pemerintah. Adapun PP No. 60/2008 ini mewajibkan seluruh pimpinan instansi pemerintahan menyelenggarakan pengendalian internal yang efektif dan terpadu 6 Manajemen Risiko Berbasis SNI ISO 31000
24 dengan dilengkapi manajemen risiko yang efektif sebagai elemen di dalamnya. r. Tahun 2009 terbit ISO 31000:2009 Risk Management - Principles and Guideline yang dirilis oleh International Organization for Standardization [ISO]. Bersama dengan standar ini, diterbitkan juga beberapa dokumen standar ISO terkait, yaitu ISO/IEC 31010:2009 Risk Assessment Techniques dan ISO Guide 73:2009 Risk Management - Vocabulary yang merupakan versi revisi dari tahun 2002, serta kemudian ISO/TR 31004:2013 pada tahun 2013 yang berisikan panduan penerapan ISO Adapun pada tahun 2011, Badan Standardisasi Nasional [BSN] mengadopsi ISO 31000:2009 menjadi Standar Nasional Indonesia [SNI] dengan nama SNI ISO 31000:2011. Era setelah tahun 2010 s. Tahun 2010 terbit Basel III Accord yang dirilis oleh Komite Basel. Diterbitkan sebagai respons terhadap krisis finansial yang melanda dunia tahun , Basel III ini berfokus pada penguatan pengaturan mikro dan makroprudensial oleh pengawas perbankan, serta standar likuiditas perbankan untuk jangka pendek dan jangka yang lebih panjang. Adapun diharapkan keseluruhan ketentuan Basel III ini dapat terimplementasikan secara penuh oleh perbankan pada awal tahun t. Tahun 2011 berdiri Otoritas Jasa Keuangan [OJK] di Indonesia berdasarkan Undang-Undang No. 21/2011. Adapun OJK selanjutnya menerbitkan peraturan-peraturan mengenai penerapan manajemen risiko bagi sektor jasa keuangan yang mendorong semakin meluasnya penerapan manajemen risiko pada institusi-institusi keuangan di Indonesia. u. Tahun 2012 terbit Peraturan Menteri Keuangan RI yang memperkenalkan istilah dan penerapan modal minimum berbasis risiko [risk-based capital] kepada perusahaan asuransi dan Manajemen Risiko - Pengantar 7
25 reasuransi di Indonesia. Adapun Permenkeu No. 53/PMK.010/2012 ini merupakan produk hukum terakhir mengenai manajemen risiko dari Kementerian Keuangan sebelum akhirnya fungsi pengaturan dan pengawasan sektor perasuransian dialihkan dari Badan Pengawas Pasar Modal dan Lembaga Keuangan [Bapepam-LK] kepada Otoritas Jasa Keuangan di akhir tahun v. Tahun 2015 merupakan tenggat waktu pelaporan eksposur risiko lembaga jasa keuangan non-bank [LJKNB] di Indonesia kepada Otoritas Jasa Keuangan [OJK] untuk pertama kalinya. Per tanggal 28 Februari 2015, seluruh LJKNB di Indonesia mulai diwajibkan untuk melaporkan hasil penilaian tingkat risiko perusahaan tahun 2014 kepada OJK sebagaimana diatur dalam Peraturan OJK [POJK] No. 10/POJK.05/2014 tentang Penilaian Tingkat Risiko LJKNB. w. Tahun 2015 terbentuk Komite Teknis [Komtek] Perumusan Standar Nasional Indonesia Manajemen Risiko di bawah naungan Badan Standardisasi Nasional [BSN] Indonesia. Beranggotakan 15 orang praktisi dan akademisi dari berbagai unsur masyarakat, Komtek ini selanjutnya melaksanakan berbagai inisiatif pengadopsian standar-standar ISO di bidang manajemen risiko menjadi Standar Nasional Indonesia [SNI] dan perumusan SNI-SNI baru di bidang manajemen risiko. Seiring dengan peningkatan status keanggotaan Indonesia Technical Committee [TC] 262 ISO dari observing menjadi participating member [Pmember] di tahun 2016, Komtek juga berperan aktif sebagai National Mirror Committee dalam sidang-sidang TC 262 dalam rangka pembaharuan dan perumusan standar-standar ISO di bidang manajemen risiko. x. Tahun 2016 penerapan Solvency II mulai dijalankan oleh 28 negara anggota Uni Eropa. Merupakan program legislatif Uni Eropa, Solvency II terdiri atas 3 pilar yang mengarahkan perhitungan kecukupan modal minimum bagi perusahaan asuransi dan reasuransi di negara-negara Uni Eropa, serta praktik 8 Manajemen Risiko Berbasis SNI ISO 31000
26 manajemen risiko dan pengawasannya oleh pihak regulator, serta pelaporan dan keterbukaan informasi oleh perusahaan asuransi dan reasuransi dalam menginformasikan eksposur risikonya kepada publik. Adapun selain serangkaian peristiwa penting di atas, terjadi juga beberapa peristiwa buruk di dunia yang sebenarnya ikut mendorong meningkatnya perhatian dan keseriusan berbagai kalangan terhadap praktik manajemen risiko, seperti: Insiden Three Mile Island, kerusakan reaktor nuklir pada sebuah pembangkit listrik di pulau Three Mile, Amerika Serikat, pada tahun Adapun penanganan dampak dari insiden ini baru dapat terselesaikan pada akhir tahun 1993 dengan total biaya pembersihan material radioaktif hingga 1 milyar Dollar US; Kebangkrutan Barings Bank, sebuah bank besar asal Inggris yang berdiri sejak tahun 1762, di tahun 1995; Kebangkrutan Enron, sebuah perusahaan energi terkemuka asal Amerika Serikat, di tahun 2001 yang sekaligus mengakibatkan tutupnya sebuah kantor akuntan publik Big 5 dunia, Arthur Andersen, yang telah berdiri sejak tahun 1913; Kebangkrutan WorldCom, sebuah perusahaan telekomunikasi kedua terbesar di Amerika Serikat yang berdiri sejak tahun 1983, di tahun 2002; Peristiwa terorisme 911, di Amerika Serikat pada tahun 2001 yang mengakibatkan korban tewas sebanyak jiwa dan lebih lainnya mengalami luka-luka; serta Krisis ekonomi dunia, pada tahun 2008 yang ditandai dengan kebangkrutan sebuah intitusi finansial ke-4 terbesar di Amerika Serikat yang telah berdiri sejak tahun 1850, Lehman Brothers. Manajemen Risiko - Pengantar 9
27 Insiden Three Miles Island Pada tanggal 28 Maret 1979, rektor no. 2 [TMI-2] dari Stasiun Pembangkit Listrik Tenaga Nuklir di Pulau Three Miles, Pennsylvania, Amerika dengan kapasitas produksi 880 megawatt mengalami kegagalan sistem dan kebocoran sehingga melepaskan material radioaktif ke lingkungan sekitar. Insiden pada reaktor nuklir yang dibangun pada tahun serta mulai beroperasi pada bulan Februari 1978 ini, disinyalir disebabkan juga karena kurang andalnya respons yang diberikan oleh operator yang bertugas di ruang kontrol akibat dari kurangnya pelatihan yang diberikan kepada para operator. Gelombang protes anti nuklir atas insiden Pulau Three Miles. [sumber: Wikipedia] Insiden yang terjadi sekitar 7 tahun sebelum terjadinya bencana Chernobyl ini menyebabkan lebih dari penduduk yang tinggal dalam radius 20 mil harus dievakuasi dari tempat tinggalnya dan Presiden Jimmy Carter yang memerintah pada masa itu membentuk sebuah komisi khusus untuk melakukan investigasi melengkapi investigasi yang dilakukan oleh house of representatives negara bagian Pennsylvania. Insiden ini juga memicu gelombang protes masyarakat dalam bentuk demonstrasi anti-nuklir. Tidak kurang dari orang berdemonstrasi di Washington DC, pada bulan Mei 1979 dan orang turun ke jalan di kota New York, Amerika, pada bulan September Selain itu, pihak pengelola juga harus mengeluarkan kompensasi ganti rugi sebesar 82 juta Dollar US kepada masyarakat serta 15 juta Dollar US kepada para orang tua yang anak-anaknya mengalami cacat lahir. Adapun upaya penanganan atas insiden ini secara resmi ditutup pada bulan Desember 1993 di mana pembersihan ratusan ton material terkontaminasi radioaktif rampung pada tahun 1990 dengan total kerugian mencapai 2,4 milyar Dollar US. Hingga kini, reaktor no. 2 tidak pernah difungsikan kembali akibat dari kerusakan yang terlampau parah dan hanya reaktor no.1 [TMI-1] yang dapat berfungsi pada stasiun pembangkit di Pulau Three Miles. Hanya TMI-1 sebelah kanan yang masih berfungsi, TMI-2 sebelah kiri tidak lagi berfungsi kini. [sumber: Wikipedia] 10 Manajemen Risiko Berbasis SNI ISO 31000
28 Kebangkrutan Worldcom [sumber: Lawrence Journal-World] [ Pertama kali didirikan pada tahun 1983 dengan nama Long Distance Discount Service, Inc. di Mississippi, Amerika Serikat, mengalami pertumbuhan pesat di bawah kepemimpinan Bernard Ebbers yang menjadi CEO pada tahun Adapun Ebbers melakukan serangkaian akusisi dan merger di mana pada bulan November 1997, Worldcom mencatatkan rekor merger terbesar dalam sejarah Amerika dengan MCI Communications dengan nilai sebesar 37 milyar Dollar US hingga terbentuk MCI Worldcom. Andaikan rencana merger selanjutnya dengan Sprint Corporation tidak ditentang oleh Kementerian Hukum Amerika dan Uni Eropa karena dikhawatirkan dapat mendorong praktik bisnis monopoli, Ebbers mungkin mencatatkan kembali rekor merger terbesar dengan nilai 129 milyar Dollar US. Namun semenjak pertengahan 1999 hingga Mei 2002, Ebbers MCI Worldcom saat itu melakukan fraud dalam pencatatan akuntansi dengan cara pencatatan biaya sebagai capital expenditures dalam Neraca serta penggelembungan pendapatan. Ketika penyelidikan kasus ini usai di akhir tahun 2003, diperkirakan total aset fiktif MCI Worldcom yang Bernard Ebbers. [sumber: Wikipedia] tercatat dalam pembukuan hingga mencapai 11 milyar Dollar US. Adapun kecurangan ini dilakukan Ebbers untuk menutupi pinjaman pribadi Ebbers kepada MCI Worldcomsebesar 366 juta Dollar US. Hutang ini digunakan Ebbers untuk memenuhi margin calls bank terhadap jaminan hutang pribadi Ebbers bagi bisnis pribadinya pada bank berupa saham MCI Worldcom Ebbers yang nilai pasarnya sedang menurun. Akibat perbuatannya ini, Ebbers dan beberapa anggota manajemen MCI Worldcom harus mempertanggungjawabkannya secara hukum. Pada tahun 2005, Ebbers dihukum 25 tahun penjara yang dijalaninya sejak September Ebbers ketika ditangkap pihak berwajib tahun [sumber: Yahoo!Finance] Manajemen Risiko - Pengantar 11
29 1.2 Bentuk-Bentuk Praktik Manajemen Risiko Pada Umumnya Dalam praktiknya, manajemen risiko umumnya terkelompokkan berdasarkan industri di mana manajemen risiko diterapkan, berdasarkan tingkatan organisasi di mana manajemen risiko dipraktikkan, maupun berdasarkan jenis risiko yang dikelola. Mengacu pada pengelompokkan industri, manajemen risiko lazim dipisahkan dalam 2 [dua] kelompok besar, yaitu manajemen risiko pada institusi keuangan, seperti halnya industri perbankan dengan praktik penggelolaan risiko yang mengadopsi Basel Accord dan industri asuransi yang mengadopsi metodologi risk-based capital dan Solvency II dalam praktik pengelolaan risikonya, serta praktik pengelolaan risiko pada institusi non-keuangan yang mengadopsi standar praktik terbaik yang dirujuk oleh negara ataupun masing-masing industri. Adapun pengelompokkan seperti ini dapat disebut juga dengan pengelompokan sektoral. Pengelompokkan lainnya, yaitu pengelompokkan struktural, mengelompokkan manajemen risiko berdasarkan tingkatan organisasi tempat praktik pengelolaan risiko berlangsung. Pada umumnya, pengelompokkan ini membagi manajemen risiko menjadi pengelolaan risiko di tingkatan strategis, atau dikenal sebagai manajemen risiko strategis, pengelolaan risiko di tingkatan operasional, dikenal sebagai manajemen risiko operasional, serta pengelolaan risiko di tingkatan proyek, disebut juga manajemen risiko proyek. Selain itu pada cakupan yang lebih luas, pengelompokkan secara struktural dapat berupa pengelolaan risiko di tingkat perusahaan sebagai entitas tunggal, maupun pengelolaan risiko di tingkat korporat [enterprise-wide risk management] yang mencakup beberapa entitas bisnis, seperti perusahaan induk dan perusahaan anak [subsidiary]. Adapun pengelompokkan praktik manajemen risiko berdasarkan jenis risiko yang dikelola, atau dapat disebut juga pengelompokkan fungsional, umumnya membagi manajemen risiko ke dalam 2 [dua] kelompok besar, yaitu manajemen risiko finansial, yang antara lain terdiri atas praktik pengelolaan risiko pasar, kredit, investasi, dan likuiditas, serta manajemen 12 Manajemen Risiko Berbasis SNI ISO 31000
30 risiko operasional, antara lain berupa praktik pengelolaan risiko operasi, teknis, hukum dan kepatuhan, reputasi, sosial, serta termasuk di dalamnya adalah praktik pengelolaan risiko strategis dan tata kelola. Meski dapat terbagi ke dalam beberapa pengelompokkan di atas, pada banyak kesempatan bentuk praktik manajemen risiko tidak dapat dilihat hanya dari suatu perspektif pengelompokkan saja. Sebagai contoh pada konteks Indonesia, bentuk praktik dari manajemen risiko pada sektor jasa keuangan mengacu pada ketentuan regulasi yang berlaku spesifik pada suatu industri tertentu [pengelompokkan sektoral], yang di dalamnya regulasi tersebut secara rinci mengatur bentuk-bentuk penggelolaan risiko berdasarkan jenisnya [pengelompokkan fungsional]. Sebut saja misalnya, Peraturan Otoritas Jasa Keuangan [POJK] No. 18/POJK.03/2016 yang berisikan ketentuan bagi bank umum di Indonesia untuk melakukan praktik pengelolaan 8 [delapan] jenis risiko, yaitu risiko kredit, pasar, likuiditas, operasional, hukum, reputasi, strategis, dan kepatuhan. Atau, POJK No. 1/POJK.05/2015 yang mengatur agar perusahaan asuransi dan reasuransi untuk melaksanakan praktik pengelolaan risiko strategi, operasional, aset dan liabilitas, kepengurusan, tata kelola, dukungan dana, dan asuransi, serta bentuk-bentuk praktik pengelolaan risiko yang masing-masing wajib dilakukan oleh tiap tipe lembaga jasa keuangan non-bank di Indonesia. Lebih jauh lagi pada contoh POJK No. 17/POJK.03/2014 tentang Penerapan Manajemen Risiko Terintegrasi Bagi Konglomerasi Keuangan, peraturan ini mengandung sekaligus ketiga perpektif pengelompokkan praktik manajemen risiko. Adapun peraturan ini mewajibkan institusi jasa keuangan [pengelompokkan sektoral] yang menjalankan praktik bisnis konglomerasi keuangan untuk menerapkan manajemen risiko terintegrasi yang mencakup seluruh entitas bisnis jasa keuangan yang dijalankan dalam konglomerasi [pengelompokkan struktural] berupa praktik pengelolaan risiko kredit, pasar, likuiditas, operasional, hukum, reputasi, strategis, kepatuhan, transaksi intragrup, berikut termasuk di dalamnya, bila memiliki bisnis asuransi, risiko asuransi [pengelompokkan fungsional]. Manajemen Risiko - Pengantar 13
31 Memiliki kemiripan dengan contoh di atas, bentuk praktik manajemen risiko pada institusi non-jasa keuangan di Indonesia juga menunjukkan hal yang serupa. Meski banyak tanpa dilandasi oleh ketentuan regulasi dan cederung berdasarkan inisiatif individual organisasi, banyak perusahaan pada sektor riil telah menerapkan manajemen risiko secara enterprise-wide [terintegrasi antara perusahaan induk dengan perusahaan anak, beberapa di antaranya juga telah mengintegrasikan manajemen risiko proyek dengan manajemen risiko perusahaan] dengan melakukan berbagai praktik pengelolaan risiko spesifik industri [seperti, risiko di industri energi, telekomunikasi, manufaktur, dan lainnya]. 1.3 Sekilas tentang Badan Standardisasi Nasional dan Standar Nasional Indonesia Berawal dari sebuah lembaga di bidang standardisasi yang didirikan oleh pemerintah Hindia Belanda di Bandung dengan nama Normalisatie Raad sekitar tahun 1928, fungsi lembaga ini selanjutnya dialihkan oleh pemerintah RI setelah kemerdekaan ke Yayasan Dana Normalisasi Indonesia [YDNI] yang didirikan pada tahun Adapun YDNI inilah yang kemudian untuk pertama kalinya mewakili Indonesia dalam keanggotaannya di International Organization for Standardization [ISO] di tahun 1955 dan di International Electrotechnical Commission [IEC] di tahun Setelah sempat menjadi Pusat Standardisasi dalam Lembaga Ilmu Pengetahuan Indonesia, baru pada tahun 1989 berdasarkan SK Presiden RI No. 7/1989, berdiri sebuah institusi independen yang memiliki kemiripan tugas pokok dan fungsi seperti Badan Standardisasi Nasional [BSN] saat ini, dengan nama Dewan Standardisasi Nasional. Adapun hal ini berlangsung hingga terbitnya SK Presiden RI No. 13 tahun 1997 yang menjadi dasar pembentukan BSN dan bertahan hingga saat ini. Sebagai salah satu lembaga pemerintah non-kementerian [LPNK] di Indonesia di bawah koordinasi Kementerian Riset Teknologi dan Pendidikan Tinggi RI, BSN memiliki tugas pokok untuk membina, mengembangkan, serta mengkoordinasikan kegiatan di bidang standardisasi secara nasional di 14 Manajemen Risiko Berbasis SNI ISO 31000
32 Indonesia. Mengacu pada Peraturan Pemerintah [PP] No. 102 tahun 2002, yang kemudian diperkuat dengan terbitnya Undang-Undang [UU] No. 20 tahun 2014 tentang Standardisasi dan Penilaian Kesesuaian, BSN menyusun kebijakan nasional standardisasi dan penilaian kesesuaian berdasarkan rencana pembangunan nasional serta wajib menjadi acuan bagi kebijakan standardisasi dan penilaian kesesuaian di setiap sektor di tanah air. Berkontribusi secara aktif terhadap pencapaian visi nasional Indonesia jangka panjang, BSN menjalankan berbagai inisiatif di bidang standardisasi dan penilaian kesesuaian di tingkatan nasional dan internasional dalam rangka penguatan sistem pengembangan SNI, penguatan sistem akreditasi dan penilaian kesesuaian yang dijalankan oleh Komite Akreditasi Nasional [KAN], serta penguatan sistem pengelolaan standar nasional satuan ukur yang dilaksanakan oleh Komite Standar Nasional Satuan Ukuran [KSNSU]. Dalam rangka memastikan keterkinian informasi yang dimiliki di bidang standardisasi dan penilaian kesesuaian, maupun keterwakilan kepentingan nasional Indonesia dalam dunia internasional, BSN juga berperan aktif mewakili Indonesia dalam keanggotaannya di lembaga dan institusi internasional, seperti International Organization for Standardization [ISO], International Electrotechnical Commission [IEC], dan Codex Alimentarius Commission, serta dalam sidang-sidang World Trade Organization [WTO], sebagaimana juga KAN yang aktif sebagai anggota pada International Accreditation Forum [IAF], International Laboratory Accreditation [ILAC], Asia Pacific Laboratory Accreditation Cooperation [APLAC], dan Pacific Accreditation Cooperation [PAC], serta KSNSU yang aktif sebagai anggota Asia Pacific Metrology Programme [APMP] dan Bureau International des Poids et Mesures [BIPM]. Adapun keterlibatan BSN di dunia internasional sebagai wakil Indonesia di bidang standardisasi dan penilaian kesesuaian memainkan peran strategis dalam menjaga daya saing Indonesia dalam persaingan global. Dalam era kerja sama zona perdagangan bebas di mana tidak dapat lagi diterapkan proteksi tarif untuk melindungi industri dalam negeri dari tekanan arus pasar bebas, standardisasi menjadi sebuah strategi bersaing non-tarif bagi Indonesia dalam pasar bebas. Manajemen Risiko - Pengantar 15
33 Menyadari peran strategis standardisasi ini, Pemerintah RI menerbitkan UU No. 20/2014 guna memastikan adanya koordinasi, sinkronisasi, dan harmonisasi upaya standardisasi dan penilaian kesesuaian di Indonesia dapat dilakukan secara terpadu dan terorganisasi dengan efektif dan efisien. Di dalamnya, UU No. 20/2014 secara spesifik juga menyatakan bahwa tujuan dari standardisasi dan penilaian kesesuaian adalah: a. meningkatkan jaminan mutu, efisiensi produksi, daya saing nasional, persaingan usaha yang sehat dan transparan dalam perdagangan, kepastian usaha, dan kemampuan Pelaku Usaha, serta kemampuan inovasi teknologi; b. meningkatkan perlindungan kepada konsumen, pelaku usaha, tenaga kerja, dan masyarakat lainnya, serta negara, baik dari aspek keselamatan, keamanan, kesehatan, maupun pelestarian fungsi lingkungan hidup; dan c. meningkatkan kepastian, kelancaran, dan efisiensi transaksi perdagangan barang dan/atau jasa di dalam negeri dan luar negeri. Adapun standardisasi dan penilaian kesesuaian berlaku terhadap barang, jasa, sistem, proses, atau personal. Sehubungan dengan hal di atas, UU No. 20/2014 juga menyampaikan bahwa perumusan dan penetapan Standar Nasional Indonesia [SNI] dilakukan oleh BSN, di mana oleh UU tersebut, SNI didefinisikan sebagai: standar yang ditetapkan oleh BSN dan berlaku di wilayah NKRI dan terminologi standar didefinisikan di dalam UU No. 20/2014 sebagai: persyaratan teknis atau sesuatu yang dibakukan, termasuk tata cara dan metode yang disusun berdasarkan konsensus semua pihak /Pemerintah/keputusan internasional yang terkait dengan memperhatikan syarat keselamatan, keamanan, kesehatan, lingkungan hidup, perkembangan ilmu pengetahuan dan teknologi, pengalaman, serta perkembangan masa kini dan masa depan untuk memperoleh manfaat yang sebesar-besarnya. 16 Manajemen Risiko Berbasis SNI ISO 31000
34 Dalam perumusannya, SNI dirumuskan selaras dengan standar internasional melalui adopsi standar internasional dengan mempertimbangkan kepentingan nasional untuk menghadapi perdagangan global, atau modifikasi standar internasional disesuaikan dengan kondisi spesifik dalam negeri, dan dapat dirumuskan tidak selaras dengan standar internasional demi kepentingan nasional. Sampai dengan bulan Mei 2017, BSN telah menerbitkan standar dengan SNI yang masih aktif saat ini. Adapun penerapan SNI dilakukan dengan cara menerapkan persyaratan SNI n. go.id terhadap barang, jasa, sistem, proses, atau personal, baik secara suka rela oleh pelaku usaha/industri, maupun yang diberlakukan secara wajib melalui n. bs regulasi teknis yang dikeluarkan oleh lembaga pemerintah. 1.4 Sekilas tentang SNI ISO ta ka a International Organization for Standardization [ISO] pertama kali didirikan di London, Inggris, pada tahun Sejak perilisan standar untuk pertama kalinya pada tahun 1951 hingga bulan Mei 2017, telah terbit lebih dari us standar ISO terkait berbagai ragam hal. Adapun dalam dokumen document, established by consensus and approved by a s: //p er p ISO/IEC Guide 2:1996, ISO mendefinisikan standar sebagai: recognized body, that provides, for common and repeated use, rules, tp guidelines or characteristics for activities or their results, aimed at the ht achievement of the optimum degree of order in a given context. Di antara dokumen-dokumen standar ISO tersebut, beberapa standar dikenal secara luas di dunia dengan tingkat keberterimaan yang sangat tinggi dari berbagai kalangan,seperti antara lain ISO 9001 untuk sistem manajemen mutu, ISO untuk sistem manajemen lingkungan, ISO untuk sistem manajemen keamanan informasi, serta ISO untuk manajemen risiko. Pada tahun 2005 sebuah Working Group [WG] yang beranggotakan 25 negara perwakilan dibentuk oleh Technical Management Board ISO. WG ini kemudian berhasil merumuskan sebuah standar manajemen risiko pada tahun Manajemen Risiko - Pengantar 17
35 2009 yang kemudian diratifikasi ISO pada tanggal 15 November 2009 sebagai dokumen ISO 31000:2009 Risk Management Principles and Guideline. Bersama dengan dokumen ini dirilis juga beberapa dokumen masuk kategori keluarga ISO [ISO families], yaitu ISO/IEC 31010:2009 Risk Management Risk Assessment Techniques dan ISO Guide 73:2009 Risk Management Vocabulary. Selanjutnya pada tahun 2011, ISO membentuk Technical Committee 262 yang kemudian merumuskan sebuah dokumen lanjutan dalam keluarga ISO berjudul ISO/TR 31004:2013 Risk Management Guidance for the Implementation of ISO Semenjak pertama kali dirilis oleh ISO, ISO 31000:2009 mendapat sambutan yang sangat positif oleh berbagai kalangan luas. Meskipun ISO 31000:2009 tidak ditujukan untuk keperluan sertifikasi dan hanya menjadi referensi panduan praktik terbaik saja, standar ini diadopsi menjadi standar nasional manajemen risiko di berbagai negara. Hingga Januari 2017 saja, tidak kurang dari 50 negara di dunia yang telah mengadopsi ISO 31000:2009 menjadi standar nasional di negaranya, di mana salah satunya adalah Indonesia. Melalui BSN, ISO 31000:2009 diadopsi pertama kali menjadi Standar Nasional Indonesia [SNI] dengan judul SNI ISO 31000:2011 Manajemen Risiko - Prinsip dan Panduan pada tahun Adapun ketika itu, proses adopsi dilakukan oleh Komite Teknis Sistem Manajemen Mutu dengan metode rep-rep [reprint-republication]. Baru pada tahun 2015 setelah terbentuk Komite Teknis Manajemen Risiko [Komtek 03-10], SNI ISO 31000:2011 kemudian diterjemahkan ke dalam Bahasa Indonesia di mana dokumen SNI tersebut kemudia dicetak dalam versi bilingual [terjemahan Bahasa Indonesia dan versi asli Bahasa Inggris] dengan revisi judul menjadi SNI ISO 31000:2011 Manajemen Risiko - Prinsip dan Pedoman. Tidak hanya itu, beberapa standar ISO yang tergabung dalam keluarga ISO telah juga diadopsi menjadi SNI dan diterjemahkanke dalam Bahasa Indonesia oleh Komtek 03-10, seperti ISO Guide 73:2009 Risk Management Vocabulary menjadi SNI ISO Guide 73:2016 Manajemen Risiko Kosakata dan ISO/TR 31004:2013 Risk Management Guidance for the Implementation of ISO menjadi SNI ISO/TR 31004:2016 Manajemen Risiko Panduan untuk Implementasi SNI ISO 31000, serta ISO/IEC 31010:2009 Risk Assessment 18 Manajemen Risiko Berbasis SNI ISO 31000
36 Techniques yang menjadi SNI ISO/IEC 31010:2016 Manajemen Risiko Teknik Penilaian Risiko. Adapun dokumen SNI ISO 31000:2011, atau selanjutnya disebut SNI ISO 31000, terdiri atas 5 [lima] klausul besar yang menjelaskan prinsip dan pedoman penerapan manajemen risiko: i] klausul 1: Lingkup; ii] klausul 2: Terminologi dan Definisi; iii] klausul 3: Prinsip-Prinsip; iv] klausul 4: Kerangka Kerja; dan v] klausul 5: Proses. Berikut bagan ilustrasi manajemen risiko berbasis SNI ISO a] Menciptakan dan melindungi nilai b] Bagian terpadu dari semua proses dalam organisasi c] Bagian dari pengambilan keputusan d] Secara eksplisit ditujukan pada ketidakpastian e] Sistematik, terstruktur dan tepat waktu f] Berdasarkan informasi terbaik yang tersedia g] Disesuaikan penggunaanya h] Mempertimbangkan faktor manusia dan budaya i] Transparan dan insklusif j] Dinamis, berulang dan responsif terhadap perubahan k] Memfasilitasi perbaikan terusmenerus dari organisasi Prinsip Manajemen Risiko Mandat dan komitmen Rancangan kerangka kerja untuk pengelolaan risiko Perbaikan berkelanjutan terhadap suatu kerangka kerja Kerangka Kerja Manajemen Risiko Pengemplementasian manajemen risiko Pemantauan dan tinjauan suatu kerangka kerja Komunikasi dan konsultasi [5.2] Penetapan suatu konteks [5.3] Penilaian risiko [5.4] Identifikasi risiko [5.4.2] Analisis risiko [5.4.3] Evaluasi risiko [5.4.4] Perlakuan risiko [5.5] Proses Manajemen Risiko Gambar 1.2 Manajemen risiko berbasis SNI ISO Melalui 3 [tiga] bagian besar di atas, Prinsip Kerangka Kerja Proses, manajemen risiko berbasis SNI ISO mengarahkan bahwa pelaksanaan penerapan manajemen risiko harus mengaplikasikan 11 Prinsip Manajemen Risiko, mulai dari Menciptakan dan Melindungi Nilai hingga pada Memfasilitasi Perbaikan Berkelanjutan dari Organisasi, dijalankan melalui sebuah Kerangka Kerja Manajemen Risiko dengan formula Plan-Do-Check-Act yang didasari pada sebuah Mandat & Komitmen yang jelas dan kuat dari manajemen organisasi, khususnya manajemen puncak, dan kemudian dipraktikkan dalam rangkaian Proses Manajemen Risiko yang terdiri atas Penetapan Konteks, Penilaian Risiko, dan Perlakuan Risiko dengan Pemantauan dan tinjauan [5.6] 5 Diadopsi dari: SNI ISO 31000:2011 Manajemen Risiko - Pengantar 19
37 didukung oleh proses Komunikasi dan Konsultasi serta Pemantauan dan Tinjauan. Adapun ketiga bagian manajemen risiko berbasis SNI ISO inilah yang menjadi kekuatan SNI ISO sebagai rujukan praktik terbaik penerapan manajemen risiko bagi para pelaku usaha di berbagai industri, termasuk bagi organisasi di sektor publik, instansi pemerintah, maupun organisasi nirlaba sekalipun. Dengan kesederhanaannya, SNI ISO memiliki daya kompatibilitas yang tinggi untuk diterapkan di berbagai jenis dan ukuran organisasi serta mudah untuk dimengerti dan dijalankan sebagai dasar atau pondasi bagi serangkaian praktik pengelolaan risiko yang dijalankan oleh organisasi sesuai tuntutan dan kebutuhan spesifik industri masing-masing. Adapun beberapa pendefinisian terminologi dalam dokumen SNI ISO 3100 yang penting untuk dipahami, antara lain: Risiko [risk]: Efek dari ketidakpastian pada sasaran ; Manajemen risiko [risk management]: Kegiatan terkoordinasi untuk mengarahkan dan mengendalikan organisasi terkait dengan risiko ; Kerangka kerja manajemen risiko [risk management framework]: Seperangkat komponen yang menyediakan landasan dan pengaturan organisasi untuk perancangan, pelaksanaan, pemantauan, peninjauan dan peningkatan manajemen risiko secara berkala di seluruh organisasi ; Proses manajemen risiko [risk management process]: Penerapan sistematis dari kebijakan manajemen, prosedur dan pelaksanaan untuk kegiatan pengkomunikasian, pengonsultasian, penetapan konteks, pengidentifikasian, penganalisaan, pengevaluasian, perlakuan, pemantauan dan peninjauan risiko ; Penilaian risiko [risk assessment]: Keseluruhan proses dari identifikasi risiko, analisis risiko, serta evaluasi risiko ; Pemilik risiko [risk owner]: Orang atau entitas dengan akuntabilitas dan wewenang untuk mengelola risiko ; Profil risiko [risk profile]: Deskripsi dari sekelompok risiko ; 20 Manajemen Risiko Berbasis SNI ISO 31000
38 Tingkat risiko [level of risk]: Besarnya risiko atau kombinasi risiko, dinyatakan dalam kombinasi konsekuensi dan kemungkinan-kejadian mereka ; Pengendalian [control]: Tindakan yang memodifikasi risiko. Dalam keterkaitannya dengan penerapan ISO lainnya pada sebuah organisasi, hendaknya penerapan manajemen risiko berbasis SNI ISO dapat dilaksanakan secara melekat dan terintegrasi dengan sistem manajemen yang dijalankan oleh organisasi. Sebagai contoh, manajemen risiko hendaknya dapat menjadi yang terpadu dengan penerapan sistem manajemen mutu berbasis SNI ISO 9001, manajemen layanan teknologi informasi berbasis SNI ISO 20000, manajemen keamanan informasi berbasis SNI ISO 27000, manajemen lingkungan berbasis SNI ISO 14000, manajemen kelangsungan bisnis berbasis SNI ISO 22301, audit sistem manajemen berbasis SNI ISO 19011, dan lain sebagainya, termasuk di dalamnya manajemen anti suap berbasis SNI ISO 37001, praktik tanggung jawab sosial berbasis SNI ISO 26000, manajemen aset berbasis ISO 55001, manajemen kepatuhan berbasis ISO 19600, manajemen proyek berbasis ISO 21500, serta manajemen keamanan dan kesehatan kerja berbasis ISO yang hingga buku ini diterbitkan masih dalam proses penyusunan. Integrasi penerapan antar standar ISO ini dimungkinkan melalui strategi high-level structure yang diterapkan ISO pada dokumen-dokumen standar sistem manajemen di mana ISO mengarahkan praktik penerapan standar-standar sistem manajemen dari suatu sudut pandang yang sama: i] setiap organisasi perlu memahami konteksnya dalam penerapan standar, ii] penerapan standar memerlukan kepemimpinan yang kuat, iii] penerapan standar diawali dengan sebuah perencanaan yang matang di awal tahap, iv] penerapan standar membutuhkan dukungan sumber daya, v] penerapan standar berlangsung dalam operasional organisasi, vi] penerapan standar harus dievaluasi efektivitasnya, dan terakhir vii] penerapan standar dijalankan berkelanjutan dengan upaya pengembangan berkesinambungan. Dengan menggunakan sudut pandang yang sama ini maka integrasi antar SNI ISO dan/atau ISO di atas dapat dicapai melalui perumusan bentuk pelaksanaan ketujuh item high Manajemen Risiko - Pengantar 21
39 level structure dari tiap-tiap standar SNI ISO ataupun ISO dan melekatkannya secara relevan, efektif dan efisien dalam praktik bisnis dan operasional yang dijalankan organisasi. Buku ini selanjutnya akan memaparkan dan membahas secara detil mengenai satu persatu bagian dari manajemen risiko berbasis SNI ISO di atas, dimulai dari pembahasan mengenai 11 prinsip dalam penerapan manajemen risiko, dan dilanjutkan kemudian dengan pembahasan mengenai kerangka kerja manajemen risiko dan proses manajemen risiko. Guna melengkapi pemahaman mengenai penerapan manajemen risiko berbasis SNI ISO 31000, buku ini juga memuat beberapa paparan tentang teknik-teknik penilaian risiko dalam dokumen SNI ISO serta ulasan mengenai praktik perencanaan penerapan manajemen risiko beserta mekanisme pemantauan dan evaluasinya. Sebagai salah satu buku acuan dalam mata kuliah Manajemen Risiko Berbasis SNI ISO 31000, buku ini juga menyertakan soalsoal latihan untuk menjadi bahan diskusi kelas sebagai bagian dari upaya internalisasi pemahaman mahasiswa terhadap materi yang disampaikan. 22 Manajemen Risiko Berbasis SNI ISO 31000
40 BAB 2 PRINSIP-PRINSIP MANAJEMEN RISIKO 2.1 Pengertian tentang Prinsip-prinsip Manajemen Risiko Menurut SNI ISO Prinsip Pertama: Manajemen risiko menciptakan dan melindungi nilai. Manajemen risiko berkontribusi pada pencapaian tujuan dan perbaikan kinerja yang dapat didemonstrasikan dalam, misalnya, keselamatan dan kesehatan manusia, keamanan, kepatuhan pada hukum dan perundang-undangan, keberterimaan oleh publik, perlindungan lingkungan, mutu produk, manajemen proyek, efisiensi dalam operasi, tata kelola, dan reputasi. Untuk memahami prinsip itu kita perlu menguraikan kata-kata kunci dalam rumusan itu. Ada dua kata kunci penting dalam rumusan itu, yakni menciptakan nilai dan melindungi nilai. Kata nilai dalam konteks ini adalah nilai perusahaan atau secara lebih umum nilai organisasi. Nilai itu dapat diukur berdasarkan seberapa jauh tujuan organisasi telah tercapai. Apabila organisasi itu berupa perusahaan, maka lazimnya tujuan utamanya adalah perolehan laba [profit]. Laba dapat didefinisikan sebagai penerimaan [revenue, atau secara lebih umum manfaat, benefit] dikurangi biaya [cost]. Dengan demikian, segala sesuatu yang menaikkan manfaat atau mengurangi biaya dapat dianggap meningkatkan nilai perusahaan. Nilai perusahaan dapat bersifat berwujud [tangible], dapat juga tidak berwujud [intangible]. Bila bersifat tangible, maka ukurannya dapat bersifat kuantitatif, misalnya dalam satuan uang [rupiah, dolar, dan sebagainya]. Lebih konkret lagi, nilai sebuah perusahaan yang bersifat tangible dapat diukur berdasarkan aset yang dimiliki oleh perusahaan itu; semakin besar aset sebuah perusahaan, semakin besar pula nilai perusahaan itu. Aset itu adalah harta kekayaan yang dapat berupa gedung, tanah, mesin-mesin, pabrik, 23 Kerangka Kerja Manajemen Risiko
41 kendaraan bermotor, uang tunai, surat-surat berharga, merek dagang, paten teknologi, dan sebagainya. Selain berdasarkan aset, lazim juga nilai perusahaan diukur berdasarkan nilai saham, laba bersih, dan sebagainya. Bila bersifat intangible, maka ukurannya dapat bersifat kualitatif, misalnya tingkat keselamatan dan kesehatan manusia, keamanan, kepatuhan pada hukum dan perundang-undangan, keberterimaan oleh publik, perlindungan lingkungan, mutu produk, manajemen proyek, tata kelola, reputasi, kualitas sumber daya manusia, kematangan budaya organisasi, ketangguhan dalam menghadapi gejolak atau perubahan lingkungan strategis, dan sebagainya. Prinsip pertama manajemen risiko menegaskan bahwa penerapan manajemen risiko haruslah menciptakan dan melindungi nilai. Menciptakan artinya mengubah situasi dari yang sebelumnya tidak ada menjadi ada; dengan kata lain, menciptakan nilai berarti mengadakan nilai atau membuat nilai [dari tidak ada menjadi ada], atau menambah nilai [dari yang semula sedikit menjadi lebih banyak, atau dari yang semula kurang bagus menjadi lebih bagus]. Melindungi berarti menjaga atau menghindarkan dari terjadinya hal-hal yang buruk; dengan kata lain, melindungi nilai berarti memastikan bahwa nilai itu tidak berkurang dan tidak menjadi lebih buruk. Penerapan manajemen risiko pasti membutuhkan dana dan sumbersumber daya lainnya. Artinya, ada biaya untuk penerapan manajemen risiko. Prinsip pertama itu menegaskan bahwa manfaat [benefit] yang dihasilkan oleh manajemen risiko haruslah lebih besar atau lebih bernilai tinggi daripada biaya [cost] yang harus ditanggung. Prinsip pertama dapat ditafsirkan sebagai prinsip terpenting. Oleh karena itu, setiap organisasi harus memastikan bahwa prinsip itu diberlakukan. Dengan cara pandang lain dapat dikatakan bahwa setiap organisasi harus melaksanakan manajemen risiko, karena menurut prinsip pertamanya, manajemen risiko menciptakan dan melindungi nilai organisasi. 24 Manajemen Risiko Berbasis SNI ISO 31000
42 Prinsip Kedua: Manajemen risiko adalah bagian terpadu dari semua proses dalam organisasi. Manajemen risiko bukan kegiatan berdiri sendiri yang terpisah dari kegiatan dan proses utama sebuah organisasi. Manajemen risiko adalah bagian dari tanggung jawab manajemen dan merupakan bagian terpadu dari semua proses organisasi, termasuk perencanaan strategis dan semua proses manajemen proyek dan proses manajemen perubahan. Ada dua kata penting dalam rumusan prinsip kedua tersebut, yakni terpadu dan proses. Terpadu berarti menjadi satu dan tak terpisahkan, sedangkan proses adalah serangkaian langkah-langkah untuk mencapai tujuan tertentu. Dengan demikian prinsip kedua itu mengandaikan bahwa sebuah organisasi dalam mencapai tujuannya melaksanakan serangkaian langkah-langkah; kemudian dalam setiap langkah itu terdapat bagian yang tak dapat dipisahkan, yakni manajemen risiko. Dengan rumusan yang lebih sederhana, tiap langkah dalam mencapai tujuan, manajemen risiko selalu menjadi pokok pertimbangan yang tak terpisahkan dari tiap-tiap langkah untuk mencapai tujuan organisasi. Marilah kita tinjau beberapa contoh kasus untuk mengilustrasikan makna terpadu dalam rumusan prinsip kedua tersebut. Dalam bisnis penerbangan atau pelayaran, persoalan cuaca selalu menjadi pokok pertimbangan dalam proses-proses operasional. Sebuah pesawat terbang atau kapal laut diizinkan berangkat atau tidak diizinkan berangkat menuju pelabuhan lain setelah ada hasil pengkajian tentang situasi cuaca. Dengan demikian, dapat dikatakan bahwa persoalan cuaca adalah bagian terpadu dalam proses-proses operasional dalam bisnis penerbangan dan pelayaran. Sebaliknya, dalam bisnis media seperti televisi atau radio, proses-proses operasionalnya secara relatif hanya sedikit saja mempertimbangkan persoalan cuaca. Bagi bisnis media seperti itu pertimbangan tentang cuaca bukanlah bagian terpadu dalam proses-proses operasional. Perlu diperhatikan bahwa pertimbangan tentang cuaca tidak hanya merupakan bagian terpadu dari proses-proses operasional, melainkan juga Prinsip-Prinsip Manajemen Risiko 25
43 dalam proses-proses lain seperti misalnya dalam proses perencanaan, proses pengendalian internal, proses pengukuran kinerja, dan seterusnya. Sebagai contoh, dalam perencanaan pengadaan kapal atau pemilihan jenis kapal, faktor cuaca [atau faktor iklim secara umum] pasti menjadi pertimbangan penting. Sewaktu kinerja keuangan [misalnya arus pemasukan dana] akan diukur, pasti faktor cuaca [yang bergantung pada iklim dan musim] ikut dipertimbangkan. Manajemen risiko adalah bagian terpadu, bukan hanya dalam prosesproses operasional dan perencanaan, namun dalam semua proses dalam sebuah organisasi untuk mencapai sasarannya, yakni mulai dari proses perencanaan, pengorganisasian, pelaksanaan, pengendalian, evaluasi, pemantauan, perbaikan, dan seterusnya. Tambahan pula, manajemen risiko tidak hanya dibutuhkan oleh sejenis bisnis tertentu, seperti bisnis penerbangan atau pelayaran, melainkan semua jenis bisnis, bahkan lebih luas daripada bisnis, yakni semua organisasi secara umum. Prinsip Ketiga: Manajemen risiko merupakan bagian dari pengambilan keputusan. Manajemen risiko membantu para pengambil keputusan untuk membuat pilihan berdasarkan informasi yang dianggap cukup, prioritas tindakan, dan membedakan di antara berbagai alternatif tindakan. Prinsip ketiga ini erat berkaitan dengan prinsip kedua. Dalam prinsip kedua terdapat kata kunci proses, sedangkan dalam prinsip kedua fokus secara khusus diarahkan pada pengambilan keputusan. Kata kunci proses merujuk pada kegiatan-kegiatan penetapan tujuan organisasi, perencanaan, pengendalian, dan seterusnya seperti yang telah disinggung dalam paragrafparagraf terdahulu. Adapun kata kunci pengambilan keputusan dalam konteks ini bermakna serangkaian kegiatan pengumpulan informasi, penetapan kriteria prioritas, penguraian pilihan-pilihan [opsi-opsi, alternatif-alternatif], dan pemilihan alternatif tindakan terbaik sebagai buah hasil dari pengambilan keputusan. 26 Manajemen Risiko Berbasis SNI ISO 31000
44 Prinsip ketiga ini hendak menegaskan bahwa setiap pengambilan keputusan organisasi mempertimbangkan manajemen risiko. Dengan cara pandang lain, prinsip ini hendak menegaskan bahwa manajemen risiko perlu merasuk ke dalam tiap proses pengambilan keputusan organisasi. Prinsip Keempat: Manajemen risiko secara eksplisit ditujukan pada ketidakpastian. Manajemen risiko secara eksplisit mempertimbangkan ketidakpastian, sifat dari ketidakpastian, dan bagaimana ketidakpastian tersebut disikapi. Kata kunci dalam prinsip keempat ini adalah ketidakpastian. Masa depan selalu diliputi ketidakpastian. Besok pagi mungkin hujan turun, tapi mungkin juga tidak turun. Pekan depan mungkin harga cabe turun, tapi mungkin juga malah naik. Bulan depan harga saham mungkin naik, tapi mungkin juga malah turun. Tahun depan perekonomian mungkin makin bergairah, tapi mungkin juga malah melesu. Perjalanan perusahaan atau organisasi secara umum selalu diliputi dengan ketidakpastian. Persoalannya kemudian adalah bagaimana mengenali sifat-sifat ketidakpastian itu, bagaimana mengukurnya, bagaimana menyikapinya, dan kemudian bagaimana informasi tentang ketidakpastian itu dipertimbangkan di dalam proses-proses organisasi. Prinsip keempat ini menyatakan bahwa manajemen risiko secara eksplisit ditujukan pada ketidakpastian. Manajemen risiko menyediakan seperangkat sistem pendekatan, metode, dan peralatan untuk menghadapi ketidakpastian yang melingkupi proses organisasi. Kata eksplisit di sini harus dipahami sebagai penegasan tentang pentingnya secara nyata melibatkan aspek ketidakpastian dalam pertimbangan - pertimbangan untuk menyelenggarakan proses - proses pengelolaan organisasi. Prinsip-Prinsip Manajemen Risiko 27
45 Prinsip Kelima: Manajemen risiko bersifat sistematik, terstruktur, dan tepat waktu. Manajemen risiko merupakan sebuah pendekatan yang terstuktur, tepat waktu, dan sistematik yang berkontribusi terhadap efisiensi dan hasil yang konsisten, dapat diperbandingkan dan andal. Sistematik berarti bersifat menyerupai sebuah sistem. Dalam sebuah sistem terkandung unsur-unsur yang saling bergantung satu dengan yang lainnya. tertentu. struktur tertentu. Kesalingtergantungan itu mengikuti sebuah pola keteraturan Pola demikian dapat dikatakan terstruktur, artinya mengikuti Kesadaran tentang pentingnya mempertimbangkan faktor ketidakpastian dalam pengelolaan organisasi barangkali sudah ada sejak lama. Namun upaya eksplisit untuk menghadapi ketidakpastian [prinsip keempat] dan upaya membangun seperangkat sistem yang terstruktur [prinsip kelima] baru muncul seiring dengan kemunculan disiplin ilmu yang disebut manajemen risiko. Manajemen risiko bersifat tepat waktu [timely]. Prinsip ini hendak menegaskan bahwa aspek timing atau yang berkaitan dengan waktu sangat penting dalam pengelolaan sebuah organisasi. Sebuah informasi tertentu hanya bermanfaat jika tersedia pada waktu yang tepat. Informasi yang persis sama menjadi sia-sia apabila tersedianya terlambat. Demikian pula halnya dengan manajemen risiko, kehadirannya haruslah tepat waktu. Apabila kehadiran manajemen risiko terlambat, maka perannya menjadi berkurang atau bahkan tidak bermanfaat sama sekali. Sebagai contoh, hari ini mulai pagi hingga sore ada pemadaman aliran listrik dari PLN. Manfaat informasi ini sangat bergantung pada kapan kita mengetahuinya. Bila kita mengetahuinya baru nanti pada malam hari, maka tidak ada tindakan apa pun yang bisa kita lakukan untuk mencegah terjadinya kerugian akibat peristiwa tersebut. Ibaratnya, nasi sudah menjadi bubur, kulkas sepanjang hari ini tidak berfungsi, makanan yang ada di dalamnya mungkin terlanjur rusak. Akuarium atau kolam ikan sepanjang hari ini tidak 28 Manajemen Risiko Berbasis SNI ISO 31000
46 memperoleh pasokan oksigen dari pompa, karena pompa tidak dapat berfungsi. Ikan-ikannya menderita bahkan mati karena kekurangan oksigen. Berbeda sekali seandainya informasi itu kita terima seminggu sebelumnya atau sehari sebelumnya. Mungkin kita masih sempat menyiapkan alat pembangkit listrik [generator set] untuk memasok listrik ke rumah kita. Atau, barangkali kita masih sempat menyelamatkan makanan di dalam kulkas dan ikan-ikan dalam akuarium dengan mengungsikan mereka ke tempat lain atau dengan berbagai cara lainnya. Hal serupa berlaku juga untuk manajemen risiko. Buah dari penyelenggaraan manajemen risiko harus tersedia tepat waktu. Apabila tidak demikian, maka manfaat manajemen risiko menjadi berkurang atau bahkan tidak ada sama sekali. Manajemen risiko dapat bersifat konsisten, dapat diperbandingkan, dan andal, hanya jika hadir dalam pengelolaan organisasi secara tepat waktu. Prinsip Keenam: Manajemen risiko berdasarkan informasi terbaik yang tersedia. Manajemen risiko merupakan masukan pada proses pengelolaan risiko berdasarkan sumber-sumber informasi seperti data historis, pengalaman, umpan baik pemangku kepentingan, observasi, prakiraan, dan penilaian ahli. Namun, para pembuat keputusan harus memiliki informasi yang cukup bagi dirinya dan harus juga memperhitungkan keterbatasan data atau model yang digunakan atau kemungkinan perbedaan pendapat di antara para ahli. Manajemen risiko berdaya guna hanya jika dilaksanakan berdasarkan informasi terbaik yang tersedia. Apabila tidak dilaksanakan berdasarkan informasi terbaik yang tersedia, maka kontribusi manajemen risiko pada pengelolaan organisasi tidak optimal atau malah justru menyesatkan. Misalkanlah hasil kajian manajemen risiko menyarankan perlunya disiapkan alat pembangkit tenaga listrik [generator set] untuk mengantisipasi adanya pemadaman listrik dari PLN. Saran tersebut harus berlandaskan informasi tentang seberapa besar kemungkinan terjadinya peristiwa itu, Prinsip-Prinsip Manajemen Risiko 29
47 misalnya berdasarkan data historis atau catatan pengalaman selama ini. Perlu juga informasi tentang seberapa lama, menurut catatan sejarah, pemadaman listrik itu biasanya berlangsung. Apabila informasi-informasi tersebut tidak lengkap, maka ada kemungkinan alat pembangkit tenaga listrik yang sudah disediakan tidak dilengkapi dengan bahan bakar yang mencukupi untuk mengoperasikan alat itu selama terjadinya pemadaman listrik. Atau sebaliknya, bahan bakar yang disediakan terlalu banyak sehingga mengakibatkan terjadinya pemborosan akibat dari mahalnya biaya penyimpanan bahan bakar. Kita perlu mencermati makna kata-kata terbaik yang tersedia dalam rumusan prinsip keenam ini. Terbaik bermakna paling lengkap, paling akurat, dan paling dapat dipercaya. Tambahan keterangan yang tersedia berarti yang ada pada saat dibutuhkan. Harus disadari bahwa informasi yang digunakan untuk landasan pengambilan keputusan sering kali terbatas dan tidak sempurna. Namun pada saat keputusan harus diambil kita tidak punya waktu lagi untuk mencari tambahan informasi, sehingga yang terbatas dan tidak sempurna itu sudah yang terbaik pada saat itu. Seluruh informasi selengkap-lengkapnya dan serinci mungkin yang ada sewaktu keputusan harus diambil itulah yang dimaksudkan dengan informasi terbaik yang tersedia. Prinsip Ketujuh: Manajemen risiko disesuaikan penggunaannya. Manajemen risiko diselaraskan dengan konteks eksternal dan internal organisasi serta profil risiko. Ada ungkapan dalam Bahasa Inggris one-size-fits-all atau sering disingkat all-size yang barangkali kita dengar dari pramuniaga sewaktu kita membeli pakaian di supermarket. Dalam konteks itu maksud ungkapan tersebut adalah ukuran pakaian yang berlaku untuk [hampir] semua badan manusia. Contoh yang lazim barangkali kaus kaki, kacamata renang, dasi, dan sebagainya. Cukup aman kita beli barang-barang itu tanpa memperhatikan ukurannya. Untuk barang-barang itu barangkali tidak tersedia ukuran L-M-S 30 Manajemen Risiko Berbasis SNI ISO 31000
48 [large-medium-small], semuanya berukuran seragam dan oleh karena itu disebut all size atau lebih tepatnya one-size-fits-all. Makna istilah itu kemudian meluas tidak terbatas pada dunia pakaian saja, melainkan ke persoalan-persoalan lain, misalnya dalam dunia hukum, kebijakan, regulasi, atau peraturan, dan sebagainya. Sebagai contoh, harga tiket kereta api kelas ekonomi Jakarta-Bogor hanya ada satu macam, Rp 6000 per orang, tidak peduli apakah berat badan penumpangnya 40 kilogram atau 90 kilogram. Manajemen risiko bukanlah sekumpulan resep yang berlaku untuk semua organisasi. Sebaliknya, manajemen risiko selalu bersifat khas untuk sebuah organisasi tertentu. Dalam bahasa Inggris kekhasan itu disebut tailored. Tailor berarti penjahit. Sebagaimana pakaian yang berkualitas tinggi [bukan kodian], untuk membuatnya penjahit perlu mengukur dengan cermat badan si calon pemakainya, berapa centimeter lingkar dada, lingkar perut, panjang lengan, dan seterusnya. Apabila pengukuran kurang akurat, maka baju hasil jahitan itu kurang pas, terlalu besar atau terlalu kecil, atau bentuknya tidak sesuai dengan bentuk badan pemakainya. Manajemen risiko, seperti pakaian yang berkualitas tinggi, memerlukan pengukuran-pengukuran atau penyesuaian yang akurat dengan calon pemakainya. Manajemen risiko untuk perusahaan keuangan tentu berbeda dengan manajemen risiko untuk perusahaan manufaktur. Bahkan, perusahaan-perusahaan dalam sektor yang sama, misalnya sama-sama sektor keuangan, membutuhkan manajemen risiko yang berbeda-beda, tergantung pada ciri khas perusahaan masing-masing. Prinsip Kedelapan: Manajemen risiko mempertimbangkan faktor manusia dan budaya. Manajemen risiko mengakui kapabilitas, persepsi, dan intensi dari orang-orang [pihak eksternal dan internal] yang dapat memfasilitasi atau menghambat pencapaian sasaran organisasi. Manajemen risiko adalah kegiatan terkoordinasi untuk mengarahkan dan mengendalikan organisasi yang berkaitan dengan risiko. Yang Prinsip-Prinsip Manajemen Risiko 31
49 melaksanakan kegiatan itu adalah manusia-manusia. Dengan demikian keberhasilan manajemen risiko bergantung pada manusia-manusia yang melaksanakannya. Lebih spesifik lagi, keberhasilan manajemen risiko bergantung pada kemampuan [kapabilitas], cara pandang [persepsi], dan niat [intensi] orang-orang yang melaksanakannya. Perlu diingat juga bahwa keberhasilan manajemen risiko bergantung pula pada orang-orang di sekitar lingkungan organisasi di mana manajemen risiko itu diterapkan. Orang-orang itu bukan saja yang ada di dalam organisasi yang terlibat langsung dengan penerapan manajemen risiko, namun juga orang-orang di luarnya yang secara langsung atau pun tidak langsung berpengaruh terhadap pelaksanaan manajemen risiko. Kumpulan orang-orang boleh jadi membentuk kebiasaan-kebiasaan perilaku, cara bicara untuk mengungkapkan pendapat, dan tata nilai yang melandasi kriteria tentang benar-salah dan baik-buruk, yang secara umum disebut budaya. Dengan demikian jelaslah bahwa keberhasilan manajemen risiko pada akhirnya dipengaruhi juga oleh faktor budaya orang-orang yang melaksanakannya dan faktor budaya orang-orang di sekitar organisasi yang menerapkan manajemen risiko. Prinsip Kesembilan: Manajemen risiko bersifat transparan dan inklusif. Keterlibatan yang layak dan tepat waktu dari para pemangku kepentingan, khususnya pengambil keputusan di semua tingkat organisasi, memastikan bahwa manajemen risiko tetap relevan dan mutakhir. Keterlibatan juga membolehkan pemangku kepentingan untuk diwakili secara tepat serta guna mendapatkan pandangan mereka untuk dipertimbangkan dalam menentukan kriteria risiko. Transparan berarti terbuka sehingga dapat dilihat dengan jelas dari luar. Pelaksanaan langkah-langkah manajemen risiko harus bersifat transparan, artinya langkah yang diambil pada suatu tingkat organisasi diketahui oleh pihak-pihak yang berkepentingan di semua tingkat lainnya. 32 Manajemen Risiko Berbasis SNI ISO 31000
50 Apabila tidak demikian, maka informasi terbaik [Prinsip Keenam] tidak mungkin dapat diperoleh. Inklusif berarti melibatkan dan mencakupi semua pihak yang berkepentingan. Manajemen risiko dapat berhasil dengan baik apabila semua pemangku kepentingan dalam organisasi berpartisipasi dalam penerapannya. Manajemen risiko bukan hanya urusan sebagian orang-orang dalam organisasi. Pada dasarnya tiap orang dalam organisasi adalah pemilik dan pengelola risiko. Oleh karena itu, tiap orang dalam organisasi harus berperanserta dalam manajemen risiko. Inilah yang dimaksudkan dengan prinsip bahwa manajemen risiko bersifat inklusif. Prinsip Kesepuluh: Manajemen risiko bersifat dinamis, berulang, dan responsif terhadap perubahan. Manajemen risiko peka dan responsif secara terus-menerus terhadap perubahan. Pada saat dilakukan pemantauan dan tinjauan risiko, akibat dari terjadinya peristiwa eksternal dan internal, konteks dan pengetahuan berubah maka risiko baru muncul, beberapa berubah, dan lainnya menghilang. Dinamis adalah kebalikan dari statis. Dinamis berarti berubah sepanjang waktu, sedangkan statis berarti tetap tidak berubah. Manajemen risiko bersifat dinamis karena harus selalu tanggap atau responsif terhadap situasi termutakhir yang dihadapi oleh organisasi, sedangkan situasi itu sendiri selalu berubah sepanjang waktu. Manajemen risiko bersifat berulang atau iteratif. Artinya, langkahlangkah dalam manajemen risiko bersifat seperti daur [siklus] yang harus dilaksanakan secara terus-menerus. Rincian tentang hal ini nanti akan dibahas dalam bagian di bawah topik proses manajemen risiko. Intinya, seandainya langkah-langkah manajemen risiko dapat diibaratkan sebagai urutan A-B-C-D, maka setelah langkah D selesai dilaksanakan, kita kembali lagi ke langkah A, dan seterusnya. Prosedur ini dalam manajemen risiko harus dilakukan secara berulang terus-menerus. Prinsip-Prinsip Manajemen Risiko 33
51 Prinsip Kesebelas: 34 Manajemen Risiko Berbasis SNI ISO Manajemen risiko memfasilitasi perbaikan terusmenerus dari organisasi. Organisasi harus mengembangkan dan mengimplementasikan strategi untuk meningkatkan kematangan manajemen risiko bersamaan dengan semua aspek lain dari organisasi mereka. Perbaikan terus-menerus [continuous improvement] adalah keinginan semua organisasi. Semua organisasi ingin agar kinerjanya tahun depan lebih baik daripada kinerjanya tahun ini; demikian pula kinerjanya tahun ini diupayakan agar lebih baik daripada kinerjanya tahun lalu. Prinsip Kesebelas menegaskan bahwa manajemen risiko merupakan bagian dari upaya perbaikan terus-menerus itu. Di pihak lain, organisasi perlu secara terus-menerus mengupayakan perbaikan pelaksanaan manajemen risiko. Ukuran bahwa penerapan manajemen risiko telah melakukan itu didasarkan pada seberapa besar sumbangannya terhadap organisasi dalam mendorong, memudahkan, atau memfasilitasi upayanya melakukan perbaikan secara terus-menerus. 2.2 Beberapa Kasus untuk Menjelaskan Makna Kata-kata Kunci dalam Prinsip-prinsip Manajemen Risiko Kata Kunci dalam Prinsip Pertama: Nilai Sebagaimana telah dijelaskan di muka, makna nilai dalam prinsip pertama manajemen risiko dapat diukur dengan besaran aset, laba, harga saham, reputasi, dan sebagainya. Berikut ini diberikan beberapa kasus empiris untuk mengilustrasikan makna nilai dalam prinsip pertama. Manajemen risiko perlu dipastikan menciptakan [membuat] nilai dan melindungi nilai yakni merawat dan menjaga supaya kuantitas dan kualitasnya tidak berkurang. Aset adalah sumber daya dengan nilai ekonomi yang dimiliki atau dikendalikan oleh perusahaan, negara, atau individu dengan ekspektasi bahwa di masa depan akan memberikan manfaat. Aset dilaporkan dalam
52 neraca perusahaan dan dibeli atau diciptakan untuk meningkatkan nilai perusahaan atau manfaat bagi pengelola perusahaan. Aset lazimnya dianggap dapat membangkitkan arus kas, mengurangi biaya, atau meningkatkan penjualan. Berikut ini kutipan berita tentang aset PT Bank Mandiri 6. PT Bank Mandiri [Persero] Tbk melaporkan total aset konsolidasi per Desember 2016 menembus angka Rp triliun. Corporate Secretary Bank Mandiri Rohan Hafas menyebut, capaian tersebut telah menembus angka psikologis yang dipatok perseroan. Pada akhir 2015 lalu, total aset konsolidasi Bank Mandiri mencapai Rp 910 triliun. Rohan menyatakan, dengan capaian tersebut, maka Bank Mandiri telah masuk dalam kategori Qualified ASEAN Banking [QAB]. Menurut Rohan, kontribusi terbesar peningkatan aset konsolidasi tersebut adalah berasal dari bisnis bank sendiri. Pada 2016, pertumbuhan kredit Bank Mandiri mencapai 19 persen. "Pertumbuhan kredit totalnya 19 persen, khususnya di sektor korporasi dan infrastruktur. Itu mendorong pencapaian angka [total aset] Rp triliun," jelas Rohan di kantornya di Jakarta, Rabu [25/1/2017]. Laba adalah manfaat finansial yang muncul ketika perolehan penerimaan dari kegiatan bisnis melebihi pengeluaran, biaya, dan pajak yang dibutuhkan untuk mempertahankan kegiatan tersebut. Laba menjadi kepunyaan pemilik bisnis yang mungkin memutuskan untuk menggunakannya atau tidak menggunakannya bagi bisnis tersebut. Berikut ini adalah kutipan berita tentang perkembangan laba PT Adhi Karya [Persero] Tbk 7. PT Adhi Karya [Persero] Tbk [ADHI] mencatat kinerja yang kurang cemerlang sepanjang Laba bersih perusahaan tertekan 32,4 persen jika 6 ank.mandiri.tembus.rp triliun 7 Prinsip-Prinsip Manajemen Risiko 35
53 dibandingkan dengan perolehan laba bersih tahun Berdasarkan laporan keuangan yang dirilis hari ini, Jumat [17/2], laba bersih Adhi Karya tercatat sebesar Rp 313,45 miliar pada 2016, lebih rendah dari tahun sebelumnya sebesar Rp 463,68 miliar. Menurut analis Mandiri Sekuritas Gerry Harlan, perolehan laba bersih ini memiliki porsi 108 persen dari prediksi Mandiri Sekuritas dan 89 persen dari prediksi konsensus. Laba bersih tersebut tergerus disebabkan tumbuhnya beban pokok pendapatan hingga 18,23 persen dari Rp 8,41 triliun menjadi Rp9,94 triliun. Hal itu juga diikuti oleh peningkatan jumlah beban usaha menjadi Rp 455,97 miliar atau naik 15,29 persen dari Rp 395,49 miliar. Harga saham dapat menjadi ukuran nilai suatu perusahaan. Saham adalah satuan nilai atau pembukuan dalam berbagai instrumen finansial yang mengacu pada bagian kepemilikan sebuah perusahaan. Dengan menerbitkan saham, perusahaan-perusahaan yang membutuhkan pendanaan jangka panjang dapat 'menjual' kepentingan dalam bisnis - saham [efek ekuitas] - dengan imbalan uang tunai. Ini adalah metode utama untuk meningkatkan modal bisnis selain menerbitkan obligasi. Saham dijual melalui pasar primer [primary market] atau pasar sekunder [secondary market]. Berikut ini adalah kutipan berita tentang perkembangan harga saham PT Indo Beras Unggul 8. Direktur Utama PT Indo Beras Unggul [IBU] telah resmi ditetapkan sebagai tersangka dugaan penjualan beras subsidi. Hal itu membuat harga saham induknya, PT Tiga Pilar Sejahtera Tbk [AISA] anjlok dalam perdagangan hari ini. Berdasarkan data perdagangan Bursa Efek Indonesia [BEI], harga saham Tiga Pilar ditutup melemah 4,26 persen ke level Rp1.235 per lembar pada perdagangan Rabu [2/8/2017]. Pada perdagangan sebelumnya, harga saham masih bertengger di Rp1.290 per lembar.bahkan, pada pukul WIB, harga saham sempat terjun 8,13 persen ke level Rp Manajemen Risiko Berbasis SNI ISO 31000
54 per lembar. Hal itu merupakan respon spontan pelaku pasar pasca penetapan status tersangka sekitar pukul 9.30 WIB. Sejak anak usahanya PT Indo Beras Unggul [PT IBU] terkendala kasus, saham PT Tiga Pilar Sejahtera Food Tbk [AISA] terus merosot. Hari ini pun saham AISA sempat anjlok hingga autoreject bawah, namun bisa kembali rebound. Menurut pemantauan detikfinance, Senin [24/7/2017], saham AISA pagi tadi dibuka langsung anjlok 24,89% dari Rp ke level Rp 905. Saham AISA langsung kena autoreject, atau mencapai batas paling bawah dalam sehari. Namun sekitar pukul 9.50 waktu JATS, saham AISA ke Rp 950. Setelah itu saham AISA langsung melambung, bahkan sekitar pukul waktu JATS sempat kembali ke level Rp Kini saham AISA saat jeda sesi 1 bertengger di level Rp Level itu turun 60 poin atau 4,98% dari level pembukaan awal Rp Reputasi atau citra sebuah entitas sosial [seorang individu, kelompok sosial, sebuah organisasi] adalah pendapat tentang entitas itu, lazimnya merupakan hasil dari evaluasi sosial berdasarkan sejumlah kriteria. Reputasi penting dalam bisnis maupun dalam masyarakat pada umumnya. Oleh karena itu, reputasi dapat pula digunakan untuk mengukur nilai sebuah organisasi. Berikut ini adalah kutipan ulasan Ciu Heny Meiria tentang reputasi kelompok usaha Samsung setelah kejadian meledaknya batere dalam salah satu produk telepon genggamnya 9. Meledaknya baterai Samsung Note 7 dialami oleh beberapa konsumen di berbagai negara, seperti di Florida saat konsumen mengisi baterai di dalam mobil. Lalu di Perth, Australia saat konsumen sedang berada di dalam kamar hotel dan beberapa kasus lainnya. Tercatat ada 35 kasus Galaxy Note 7 yang meledak di seluruh dunia. Selain kekecewaan konsumen, dampak negatif lain dari kasus Galaxy Note 7 ini adalah saham Samsung langsung anjlok 7%. Kerugian finansial 9 Prinsip-Prinsip Manajemen Risiko 37
55 lainnya yaitu berdasarkan perkiraan Credit Suisse AG dan dua lembaga finansial lain, biaya penarikan Galaxy Note 7 di seluruh dunia bisa mencapai 1 miliar dollar AS. Bahkan beberapa maskapai penerbangan internasional mengeluarkan kebijakan larangan bagi penumpang untuk membawa Note 7 ke dalam pesawat. Reputasi Samsung sebagai produsen handphone skala global pun menjadi taruhan. Dengan adanya kejadian tersebut, Presiden Samsung Mobile Business, Koh Dong-jin, meminta maaf dan secara resmi mengumumkan penarikan atau product recall untuk semua Galaxy Note 7. Perusahaan raksasa tersebut tidak hanya sekedar menarik produknya, tetapi mereka memberikan kompensasi kepada konsumen yang telah membeli Note 7. Contoh di Indonesia, Samsung selain mengembalikan uang sesuai harga beli, konsumen juga diberikan sejumlah uang dalam bentukvoucher. SWA Online 24 Oktober Kata Kunci dalam Prinsip Kedua: Proses dan Keterpaduan. Organizational process. Ada beberapa cara untuk menjelaskan makna proses dalam organisasi. Penjelasan berikut ini diberikan dalam laman CliffNotes 10. Organizing, like planning, must be a carefully worked out and applied process. This process involves determining what work is needed to accomplish the goal, assigning those tasks to individuals, and arranging those individuals in a decision making framework [organizational structure]. The end result of the organizing process is an organization a whole consisting of unified parts acting in harmony to execute tasks to achieve goals, both effectively and efficiently. A properly implemented organizing process should result in a work environment where all team members are aware of their responsibilities. If the organizing process is not conducted well, the results may yield confusion, frustration, loss of efficiency, and limited effectiveness. In general, the Manajemen Risiko Berbasis SNI ISO 31000
56 organizational process consists of five steps: Review plans and objectives, Determine the work activities necessary to accomplish objectives, Classify and group the necessary work activities into manageable units, Assign activities and delegate authority, Design a hierarchy of relationships. [Pengorganisasian, seperti halnya perencanaan, pastilah proses yang dikerjakan dan diterapkan secara hati-hati. Proses ini melibatkan penetapan pekerjaan yang dibutuhkan untuk mencapai tujuan, pembagian tugas-tugas pada orang-orang, dan pengaturan orang-orang itu di dalam kerangka pengambilan keputusan [struktur organisasi]. Hasil akhir dari proses pengorganisasian adalah sebuah organisasi keseluruhan yang terdiri atas bagian-bagian yang bersatu bertindak dalam keserasian untuk melaksanakan tugas-tugas untuk mencapai tujuan secara efektif dan efisien. Proses pengorganisasian yang diimplementasikan secara tepat akan menghasilkan suatu lingkungan kerja yang memungkinkan semua anggota kelompok memahami tanggung jawab mereka. Jika proses pengorganisasian tidak dilakukan secara baik, hasilnya mungkin berupa kebingungan, frustrasi, inefisiensi, dan keefektifan yang terbatas. Secara umum, proses organisasional terdiri atas lima langkah: Pengkajian rencana dan tujuan, Penentuan kegiatan kerja yang diperlukan untuk mencapai tujuan, Klasifikasi dan pengelompokan kegiatan-kegiatan kerja yang dibutuhkan menjadi unitunit yang dapat ditangani, pembagian tugas dan pendelegasian wewenang, dan perancangan hirarki hubungan-hubungan.] Keterpaduan. Terpadu berarti lebur menjadi satu sehingga tidak bisa lagi dipisah-pisahkan. Bagian yang terpadu berarti bagian yang tidak bisa dipisahkan dari bagian-bagian lainnya. Prinsip kedua manajemen risiko menegaskan bahwa manajemen risiko merupakan bagian terpadu dari semua proses dalam organisasi. Dengan demikian, pada semua proses dalam organisasi sebagaimana yang dipaparkan di atas terkandung bagian yang tak terpisahkan yakni manajemen risiko. Prinsip-Prinsip Manajemen Risiko 39
57 Kata Kunci dalam Prinsip Ketiga: Pengambilan Keputusan. Upaya untuk mencapai tujuan organisasi terdiri atas serangkaian pengambilan keputusan. Tiap pengambilan keputusan yang besar [melibatkan banyak sumber daya dan berdampak signifikan bagi organisasi] terdiri atas keputusan-keputusan yang lebih kecil. Kajilah kasus PT Bank Rakyat Indonesia yang belum lama ini mengambil keputusan besar, yakni membeli dan mengoperasikan satelit komunikasi 11. Perhatikan bahwa keputusan besar itu terdiri atas keputusan-keputusan yang lebih kecil. Prinsip ketiga manajemen risiko menegaskan bahwa dalam setiap proses pengambilan keputusan, besar ataupun kecil, manajemen risiko selalu berperan. PT Bank Rakyat Indonesia [persero] akan mengoperasikan BRIsat dalam waktu dekat, setelah satelit tersebut diluncurkan ke orbit pada Jumat petang, 17 Juni 2016, di Kourou, Guyana Prancis. BRIsat pun menjadi satelit pertama yang dioperasikan oleh perbankan untuk mendukung layanan keuangan digital. Manajemen BRI pun memiliki ekspektasi yang tinggi terhadap BRIsat. Direktur Utama BRI, Asmawi Syam mengatakan layanan inklusi keuangan, terutama di sektor mikro yang menjadi bisnis inti BRI, bakal kian melesat setelah BRIsat beroperasi. Asmawi juga yakin BRIsat bisa menekan beban operasi sedikitnya Rp 500 miliar per tahun untuk menyewa satelit. "Masyarakat di daerah terpencil pun bisa menikmati layanan keuangan dengan biaya rendah," kata dia di Guyana Space Centre, Kourou, Guyana Prancis, Kamis, 16 Juni 2016, waktu setempat. Direktur Keuangan BRI Haru Koesmahargyo mengatakan BRIsat akan menjadi pendukung utama bisnis BRI di masa mendatang. "Karena BRIsat bisa menciptakan ceruk bisnis baru," kata dia. Haru memberi contoh layanan transaksi online BRILink yang dijalankan nasabah, yang juga bertindak sebagai agen. "Itu akan terus bertambah jumlahnya dan semakin luas jangkauannya," ucapnya. Dalam jangka panjang, kata Haru, BRIsat bisa menjadi kendaraan BRI untuk mengerek kinerjanya secara keseluruhan, salah satunya di sektor Manajemen Risiko Berbasis SNI ISO 31000
58 kredit. Haru yakin, setelah BRIsat beroperasi, pertumbuhan kredit BRI perlahan bakal melampaui 18 persen, seperti sebelum kondisi perekonomian melemah dalam setahun terakhir. "Harus di atas rata-rata pertumbuhan industri perbankan," ujarnya. Rencananya, BRIsat akan diluncurkan di Guyana Space Center, Kourou, Jumat ini, pukul waktu setempat. BRIsat, yang dibawa roket Ariane 5, akan mengorbit di koordinat 150,5 derajat Bujur Timur atau di atas langit Papua. Setelah mengorbit, BRIsat akan dikendalikan di sarana primary satellite control facility di Ragunan, Jakarta Selatan, dan Tabanan, Bali. Kata Kunci dalam Prinsip Keempat: Sifat eksplisit dan Ketidakpastian. Tulisan berikut ini berjudul Grab Indonesia Terancam Diblokir, dikutip dari laman TEMPO 12. Periksalah tulisan berikut ini dengan seksama. Managing Director Grab Indonesia Ridzki Kramadibrata mengatakan perusahaannya bukanlah operator layanan transportasi sehingga tidak memiliki kendaraan atau armada apa pun. "Kami bekerja sama dengan perusahaan penyedia transportasi berupa perorangan dan perusahaan independen. Jadi, tidak punya armada," katanya dalam siaran pers yang diterima Bisnis, Senin [14 Maret 2016]. Selain itu, dia menuturkan Grab telah secara proaktif berkomunikasi dengan pihak pemerintahan maupun pemangku kepentingan [stakeholder] industri untuk dapat menyediakan layanan transportasi yang efisien dan aman bagi masyarakat Indonesia. "Kami juga sudah merupakan entitas legal di Indonesia, kami terdaftar sebagai pembayar pajak. Grab juga berkomitmen untuk menaati semua peraturan dan ketentuan lokal yang berlaku," imbuhnya Prinsip-Prinsip Manajemen Risiko 41
59 Dia menuturkan Grab telah meningkatkan standar transportasi di kota-kota dimana kami beroperasi, seperti Jakarta, Bandung, Padang, Surabaya, dan Bali. Seluruh mitra pengemudi yang tergabung dalam jaringan telah melalui proses seleksi dan pelatihan yang ketat, dimana semua telah memiliki izin mengemudi [SIM]. "Untuk layanan GrabCar, kami hanya mengizinkan mobil-mobil di bawah umur 5 tahun. Kebijakan ini melebihi ketentuan dari Perda No.5 Tahun 2014 yang menetapkan batasan maksimal umur kendaraan yang beroperasi di Jakarta, 10 tahun untuk bis dan 7 tahun untuk taksi," jelasnya. Sebelumnya, sekitar pengemudi angkutan umum Jakarta melakukan demonstrasi di depan Balai Kota DKI Jakarta, Senin [14 Maret 2016]. Para sopir menuntut agar Pemerintah Indonesia memberi larangan operasi pada Uber Taxi dan GrabCar. Menurut Sudirman salah satu supir taxi yang melakokan demonstrasi, angkutan plat hitam seperti taxi Uber dan GrabCar merupakan angkutan ilegal. Keberadaan angkutan plat hitam tersebut membuat pendapatan para sopir menurun lantaran merampas mata pencaharian para sopir angkutan umum."kami menuntut untuk pembubaran aplikasi online seperti Uber dan Grab karena pendapatan kami menurun, bahkan sampai 80%, mereka kan di subsidi oleh perusahaan, jadi mereka lebih murah," katanya. Perhatikanlah konteks waktu terjadinya peristiwa tersebut. Bayangkanlah bahwa pada waktu itu belum ada kepastian tentang nasib taksi daring [online] seperti yang diselenggarakan oleh Grab. Ada kemungkinan bahwa pemerintah waktu itu bakal membela taksi tradisional, [misalnya dengan pertimbangan besarnya pajak yang disumbangkan oleh sektor angkutan umum, atau pertimbangan besarnya jumlah kurban akibat menurunnya permintaan terhadap jasa taksi tradisional, dan sebagainya. Namun pada waktu itu ada juga harapan bahwa pemerintah berlaku adil yaitu membela para pelaku bisnis taksi daring, misalnya dengan pertimbangan bahwa jumlah konsumen yang diuntungkan dari adanya taksi 42 Manajemen Risiko Berbasis SNI ISO 31000
60 daring amat besar. Lagi pula cara baru dalam penyediaan jasa angkutan umum ini membuka kesempatan kerja baru. Intinya, manajemen risiko tampil secara eksplisit mana kala ada situasi ketidakpastian. Eksplisit berarti terungkap secara nyata, kasat mata, tersurat, hitam di atas putih. Artinya, dalam konteks kasus di atas, pengelola Grab harus membuat hitung-hitungan di atas kertas [hitam di atas putih] tentang risiko-risiko terburuk yang berkaitan dengan situasi tersebut di atas. Pengelola Grab perlu menjalankan langkah-langkah dalam proses manajemen risiko sebagaimana yang akan dipaparkan dalam bagian-bagian setelah bab ini. Kata Kunci dalam Prinsip Kelima: Sistematik, Terstruktur, dan Tepat Waktu. Tulisan berikut ini berjudul Pemerintah Targetkan Pemindahan Ibu Kota Dimulai 2018, dikutip dari laman KOMPAS 13. Periksalah tulisan berikut ini dengan saksama. Pemerintah serius untuk memindahkan ibu kota Republik Indonesia dari Provinsi DKI Jakarta. Menteri Perencanaan Pembangunan Nasional atau Kepala Bappenas Bambang Brodjonegoro mengaku telah membahas rencana detail pemindahan ibu kota ini bersama Presiden Republik Indonesia Joko Widodo di Istana Negara, Senin [3/7/2017]. Dalam perbincangan terakhirnya dengan Presiden, Bambang mengatakan kajian pemindahan ibu kota, termasuk skema pendanaan, akan rampung tahun ini. "Maka tahun 2018 atau 2019 sudah mulai ada kegiatan terkait dengan pemindahan pusat administrasi pemerintahan," kata Bambang, di kantor Bappenas, Menteng, Jakarta Pusat. Ada beberapa aspek yang dikaji dalam pemindahan ibu kota ini. Mulai dari penentuan lokasi, estimasi pendanaan, dan tata kota. Nantinya Bappenas yang akan memimpin kementerian dan lembaga lain dalam menjalankan 13 dahan.ibu.kota.dimulai.2018 Prinsip-Prinsip Manajemen Risiko 43
61 rencana ini. "Utamanya Bappenas yang lead bersama Kementerian Pekerjaan Umum. Tentunya dengan kementerian lainnya," kata Bambang. Dasar kajian pemindahan ibu kota yakni fakta bahwa pembangunan ekonomi antara di Pulau Jawa dengan pulau lainnya tidak seimbang. Pembangunan di Pulau Jawa lebih tinggi daripada di pulau lainnya di Indonesia. Jika hasil kajian menunjukkan Ibu Kota dipindahkan ke kota lainnya, maka kantor pemerintahan saja yang dipindahkan ke sana. Di sana juga akan dibangun Kantor Presiden serta kantor kementerian. Sementara, Jakarta akan menjadi pusat bisnis serta keuangan. Beredar kabar sebelumnya ibu kota akan dipindah dari Jakarta ke Palangkaraya, ibu kota Kalimantan Tengah. Wacana pemindahan ibu kota ke Palangkaraya ini digagas pertama kali oleh Presiden pertama Republik Indonesia Soekarno dan dimunculkan kembali oleh Presiden Joko Widodo. Hanya saja, Bambang enggan menyebutkan detail kota mana yang akan menjadi pusat administratif tersebut. Penentuan lokasi menjadi salah satu hal yang dibahas dalam kajian pemindahan ibu kota. Selain itu, permasalahan mengenai estimasi pendanaan dan tata kota juga akan dikaji. Dia menargetkan, kajian selesai tahun ini. "Maka tahun 2018 atau 2019 sudah mulai ada kegiatan terkait dengan pemindahan pusat administrasi pemerintahan," kata Bambang. Nantinya Bappenas yang akan memimpin kementerian dan lembaga lain dalam menjalankan rencana ini. Dia mengatakan, pemerintah memerlukan waktu sekitar tiga tahun untuk menjadikan suatu kota menjadi ibu kota. "Mungkin butuh waktu 3-4 tahun untuk menyelesaikan seluruh infrastruktur dasar maupun gedung-gedung pemerintahnnya," kata Bambang. Tentulah pemerintah tidak sedang bermain-main dengan isu pemindahan ibukota. Ini adalah langkah besar yang melibatkan sangat banyak orang, bahkan seluruh bangsa Indonesia. Oleh karena itu manajemen risiko dilibatkan. Manajemen risiko itu harus bersifat sistematik, terstruktur, dan tepat waktu. 44 Manajemen Risiko Berbasis SNI ISO 31000
62 Sistematik berarti mengikuti sistem tertentu, mengikuti skema yang teratur, patuh pada rambu-rambu yang saling bergantungan satu dengan yang lainnya. Sistem itu adalah organisasi pemerintahan yang bekerja mengikuti mekanisme tertentu. Dalam perencanaan ada langkah-langkah baku yang harus ditempuh. Prosedur baku itulah yang menjamin bahwa manajemen risiko yang diterapkan dalam proses perencanaan ini bersifat sistematik. Manajemen risiko yang diterapkan itu harus pula terstruktur, artinya tunduk pada struktur tertentu. Menurut struktur organisasi pemerintahan, fungsi perencanaan dalam pemerintahan dikelola oleh Menteri Perencanaan Pembangunan Nasional / Kepala Badan Perencanaan Pembangunan Nasional. Oleh karena itu tidaklah mengherankan bahwa Menteri PPN memimpin proses perencanaan ini. Kementerian ini mempunyai struktur organisasi tertentu untuk memastikan bahwa proses perencanaan dapat mencapai sasaran-sasarannya. Manajemen risiko juga harus bekerja secara tepat waktu. Dalam kaitannya dengan wacana pemindahan ibukota, perlu ditetapkan tata waktu yang optimal. Terlalu lama menunggu saat pemindahan ibukota berarti terlalu lama membiarkan Jakarta berkembang sangat cepat hingga melampaui daya dukungnya. Terlalu cepat memindahkan ibu kota dari Jakarta dapat menyebabkan persiapan kurang matang, ibu kota baru belum sanggup berperan sebagai tempat kegiatan pemerintahan nasional. Jadi, ada tata waktu yang optimal. ketepatan waktu tersebut. Manajemen risiko perlu mempertimbangkan Kata Kunci dalam Prinsip Keenam: Informasi Terbaik yang Tersedia. Contoh informasi terbaik yang tersedia: Kasus ancaman Ransomware. Bacalah dengan saksama kutipan berita di bawah ini Prinsip-Prinsip Manajemen Risiko 45
63 Kementerian Komunikasi dan Informatika [Kominfo] mengimbau pengelola Teknologi Informasi [TI] seluruh kementerian dan lembaga untuk mengantisipasi ransomware Petya pada hari pertama masuk kerja usai libur lebaran besok. Hal ini penting mengingat Indonesia terancam menjadi sasaran malware tersebut. "Sebagai antisipasi meluasnya insiden, pada Senin [3/7] mendatang, Id-SIRTII/CC telah menyusun langkah-langkah untuk pencegahan dan mitigasi ransomware tersebut," bunyi pengumuman di laman Indonesia Security Incident Response Team Minggu [2/7/2017]. Langkah yang dimaksud adalah mengantisipasi ransomware berbahaya dengan menonaktifkan sementara LAN/Hotspot dan melakukan back-up data ke penyimpanan yang terpisah. Kominfo meminta langkah-langkah ini perlu diketahui dan dijalankan oleh seluruh divisi TI kementerian dan lembaga. Sebelumnya, Kominfo juga mengimbau masyarakat untuk mewaspadai serta berupaya melakukan tindakan pencegahan terhadap ancaman virus ransomware Petya. Diketahui, saat ini, perusahaan-perusahaan global tengah digempur serangan siber tersebut. Masyarakat diminta untuk selalu menggunakan sistem operasi asli dan update berkala untuk menghindari Petya. Pasang antivirus dan update berkala juga diperlukan. Selain itu, pengguna internet juga diminta memasang password yang aman dan menggantinya secara berkala. Kominfo juga telah memberikan petunjuk melalui laman Id-SIRTII/CC agar masyarakat bisa menangani ransomware Petya yang mirip dengan ransomware Wannacry melalui laman halaman/tentang/faq.html. Serangan virus Petya paling banyak terjadi di Ukraina, kawasan Eropa Timur, dan Asia Selatan. India dilaporkan menjadi negara yang paling banyak menjadi korban virus tersebut. Pada waktu Kominfo menyiarkan himbauan tersebut pastilah banyak pemimpin perusahaan menjadi resah dilanda ketidakpastian. Akankah cyber attack itu menimpa perusahaan kami? Apa yang harus kami lakukan untuk 46 Manajemen Risiko Berbasis SNI ISO 31000
64 mencegahnya? Bila ternyata perusahaan kami memang sudah terkena serangan, apa yang harus kami perbuat? Prinsip keenam manajemen risiko menegaskan bahwa kita harus menggunakan informasi terbaik yang tersedia. Dalam situasi darurat pemimpin harus bergerak cepat. Pedomannya, gunakan informasi terbaik yang tersedia. Jangan menunggu terlalu lama untuk memperoleh informasi yang belum tersedia, gunakanlah informasi yang terbaik yang tersedia. Kata Kunci dalam Prinsip Ketujuh: Tailored. Contoh sifat tailored: Kasus persiapan untuk menghadapi lonjakan permintaan jasa angkutan pada Idul Fitri Bacalah dengan saksama kutipan berita berikut ini 15. Direktur Utama PT Kereta Api Indonesia [Persero] Edi Sukmoro mengikuti apel pengamanan mudik Lebaran 2017 di Stasiun Gambir, Jakarta Pusat, Kamis [15/6/2017]. Apel digelar untuk menyukseskan angkutan Lebaran. "Kami mengharap dukungan dari semua pihak untuk menyukseskan angkutan Lebaran 2017," ujar Edi. Pada mudik tahun ini, KAI menyediakan kursi bagi para pemudik. Selain itu, KAI meningkatkan prasarana guna menunjang kelancaran arus mudik. "Di sisi prasarana, PT KAI menyiagakan pula alat material, seperti bantalan rel, batu balas, dan karung pasir, guna mengantisipasi hal yang tidak diinginkan" imbuhnya. "Kami juga bekerja sama dengan pihak TNI, Polri, dan anggota pencinta KA. Kami harap angkutan Lebaran tahun ini terselenggara dengan aman, lancar, dan terkendali," ujar Edi. Setelah apel, dilakukan juga pengecekan terhadap Polisi Khusus KA [Polsuska] dan masinis. Mereka menjalani uji pengecekan narkotika. Dirjen Kereta Api [KA], Kementerian Perhubungan, Prasetyo Boeditjahjono menjadi inspektur upacara apel pengamanan =&_24nd=TVRjd053PT0= Prinsip-Prinsip Manajemen Risiko 47
65 Disiagakan juga personel di sepanjang lintasan rel yang terdiri atas petugas penilik jalan [PPJ] ekstra sejumlah 633 orang, penjaga lintasan [PJL] ekstra 1098 personel, tenaga daerah rawan 520 personel, ditambah petugas Flying Gank yang disiagakan selama 24 jam. PT KAI juga menyiapkan posko medis di 93 lokasi yang tersebar di Daop Divree. Tenaga medis yang disiapkan antara lain 52 dokter umum, 16 dokter gigi, 205 orang paramedis, dan 21 orang tenaga nonmedis. Tidak hanya itu, fasilitas penunjang kesehatan juga disiapkan, antara lain 14 unit ambulans, 265 unit kursi roda, 262 unit tandu, dan 15 unit perangkat penyelamat jantung. "Bagi para Ibu menyusui juga disediakan fasilitas ruang laktasi yang tersebar di 110 stasiun," papar dia. Sebanyak petugas gabungan juga dikerahkan, terdiri dari petugas TNI dan Polri, dan petugas internal. Selain itu, petugas juga akan dibantu dengan 72 ekor K9 atau anjing pelacak. "Dengan bantuan dari beberapa pihak seperti TNI, Polri, dan komunitas pencinta kereta api, kami harap angkutan lebaran tahun ini dapat terselenggara dengan aman, lancar, dan terkendali," ucap dia. Direktur Utama PT Asuransi Jasa Indonesia [Persero] Solihah, menghibahkan 2 [dua] unit mobil ambulance secara simbolis kepada KAI untuk dapat digunakan pada kegiatan Mudik Lebaran Solihah menjelaskan, hibah Ambulance merupakan realisasi kesepakatan kerjasama Asuransi Jasindo dengan KAI dalam hal penutupan Asuransi asset asset PT. KAI dimana salah satu kesepakatannya adalah Asuransi Jasindo menghibahkan 3 [tiga] unit ambulance kepada KAI. Tiga unit ambulance ini diserahkan secara bertahap selama jangka waktu kerjasama ini berlangsung. Namun mengingat adanya kebutuhan ambulance dalam rangka memfasilitasi kebutuhan mudik lebaran tahun 2017 ini, kata Solihah. Sebagai tahap awal diserahkan dua unit yang diserahterimakan kepada DKAI pada acara Apel Gelar Pasukan Angkutan Lebaran Manajemen risiko dalam banyak kasus bersifat situasional, yakni sangat bergantung pada situasi kini [waktu tertentu] dan di sini [tempat tertentu]. Strategi yang jitu pada tahun lalu belum tentu dapat berlaku untuk tahun ini. Cara yang tepat untuk menghadapi masalah lalu lintas di daerah ini 48 Manajemen Risiko Berbasis SNI ISO 31000
66 mungkin tidak cocok diterapkan untuk daerah lain. Oleh karena itu, manajemen risiko harus disesuaikan penggunaannya menurut tempat dan waktu tertentu. Dengan kata lain, manajemen risiko harus tailor made. Kata Kunci dalam Prinsip Kedelapan: Faktor Manusia dan Budaya. Tulisan berikut ini berjudul Masyarakat Masih Takut dengan Pembangkit Listrik Tenaga Nuklir, bersumber dari Kantor Berita ANTARA 16. Periksalah tulisan berikut ini dengan seksama. Menteri Riset Teknologi dan Pendidikan Tinggi [Menristekdikti] Muhamad Nasir mengatakan kemungkinan pengembangan Pembangkit Listrik Tenaga Nuklir [PLTN] di Indonesia hanya terhambat dari sisi sosial saja. "Kemarin kami ke Bangka-Belitung, kami coba bahas pengembangan PLTN. Orang berpikir tenaga nuklir itu menakutkan, sementara dunia sudah mengarah ke sana semua," kata Menristekdikti di Yogyakarta, Minggu [16/4/2017]. Ia mencontohkan Prancis yang sangat bergantung dengan PLTN. Sedangkan Uni Emirat Arab, negara di Asia dengan cadangan minyak nomor empat terbesar di dunia juga kini mulai mengembangkan PLTN. "Ada empat PLTN yang mereka kembangkan, masing-masing memiliki kapasitas Mega Watt sehingga total energi listrik yang dihasilkan mencapai MW. Kalau yang seperti ini bisa kembangkan, kebutuhan Jawa akan selesai," kata Nasir. Masalah pengembangan PLTN di Indonesia, menurut dia, hanya terletak pada penerimaan masyarakatnya yang masih takut dengan keberadaan pembangkit listrik bertenaga nuklir. Padahal teknologi pembangkit listrik dengan nuklir sudah pada Generasi 4, dengan desain dan teknologi sedemikian rupa reaktor akan otomatis berhenti bekerja ketika terjadi bencana seperti gempa bumi. Generasi 4 yang bernama High Temperature Gas-Cooled Reactor [HTGR] ini, Nasir mengatakan telah 16 Prinsip-Prinsip Manajemen Risiko 49
67 dikembangkan Perancis dan Rusia. "Kalau yang dipakai di Fukushima, Jepang, itu yang generasi pertama," lanjutnya. Sejauh ini Indonesia sudah mempunyai empat reaktor untuk skala laboratorium sejak 1955, yang berlokasi di Yogyakarta, Bandung, Serpong dan Jakarta. Dan itu digunakan untuk bidang pangan dan kesehatan. "Artinya kita punya pengalaman untuk kelola teknologi ini dengan aman. Yang ingin kita inginkan bagaimana risetnya ditingkatkan untuk bisa digunakan ke level energi," ujar Nasir. Kalau urusan komersialnya tentu kewenangannya ada di Kementerian Energi Sumber Daya Mineral [ESDM]. Sedangkan bahan bakunya, ia mengatakan semua tersedia di Indonesia, baik Uranium maupun Thorium. Prinsip manajemen risiko ke delapan menegaskan perlunya mempertimbangkan faktor manusia dan budaya. Pembangkit listrik tenaga nuklir mungkin cukup aman di negara-negara dengan tingkat kedisiplinan tinggi, namun mungkin cukup berbahaya bila dibangun di negara-nagara dengan tingkat kedisiplinan rendah. Kedisiplinan adalah salah satu contoh faktor manusia dan budaya. Faktor-faktor tersebut sangat menentukan cara pendekatan dalam penerapan manajemen risiko. Kata Kunci dalam Prinsip Kesembilan: Transparan dan Inklusif. Contoh sifat transparan dan inklusif: Kasus sengketa antara produsen pizza dan kantor berita. Berikut ini disajikan kutipan berita dari VIVA.co.id dengan judul Pizza Hut Adukan Tempo dan BBC Indonesia ke Dewan Pers. Bacalah dengan saksama uact=8&ved=0ahukewip1dohkrvahvcp48khzndd7wqfgglmaa&url=http%3a%2f%2fnasional.news.viva.co.id %2Fnews%2Fread%2F pizza-hut-adukan-tempo-dan-bbc-indonesia-ke-dewanpers&usg=AFQjCNESGAt8X6AO5FJP_rqs_RwGOM7HjQ 50 Manajemen Risiko Berbasis SNI ISO 31000
68 PT Sarimelati Kencana, penerima waralaba untuk restoran Pizza Hut, Pizza Hut Delivery, dan The Kitchen by Pizza Hut di Indonesia, Jumat 16 September 2016, mengajukan pengaduan resmi ke Dewan Pers terhadap Tempo dan BBC Indonesia. Unsur dari Tempo yang diadukan yaitu PT Tempo Inti Media Tbk, sebagai pengelola Majalah Tempo, Koran Tempo, halaman situs dan Tempo Magazine. Dalam keterangan tertulisnya, PT Sarimelati Kencana menjelaskan, pengaduan ini diajukan sehubungan dengan pemberitaan di Tempo dan BBC Indonesia yang bukan hanya menyudutkan, namun sekaligus mendiskreditkan nama baik perusahaan. Dalam salah satu pemberitaannya, Majalah Tempo versi Bahasa Indonesia edisi 5-11 September 2016 mengangkat judul 'Ada Apa Dengan Pizza' dan memasang gambar sampul keluarga yang terdiri dari seorang ibu dan dua anak menggunakan masker gas sedang memakan pizza. Pengaduan kepada keduanya dilakukan setelah sebelumnya masing-masing pada 6, 9, dan 10 September 2016, PT Sarimelati Kencana telah mengirimkan surat permohonan klarifikasi dan permintaan maaf kepada Tempo dan BBC Indonesia atas seluruh pemberitaan yang tidak akurat tersebut. Adapun Majalah Tempo edisi September 2016 dengan judul artikel utama 'Kredit Jumbo untuk Bakrie' telah memuat hak jawab dari PT Sarimelati Kencana, namun tidak mencantumkan permintaan maaf sebagaimana dimintakan oleh perusahaan. "Oleh karena itu, PT Sarimelati Kencana merasa perlu untuk mengajukan pengaduan terhadap PT Tempo Inti Media Tbk. dan BBC Indonesia ke Dewan Pers," tulis keterangan pers tersebut. PT Sarimelati Kencana berharap melalui proses ini, PT Tempo Inti Media Tbk. dan BBC Indonesia dapat memenuhi permintaan perusahaan, yaitu untuk meminta maaf dan meluruskan pemberitaan yang tidak akurat dan telah merugikan perusahaan. Sebelumnya, kabar Pizza Hut Indonesia diduga menggunakan bahan kedaluwarsa dalam produk mereka muncul pada awal September lalu. Atas kabar tersebut, PT Sarimelati Kencana, menampik kabar itu. Mereka memastikan produk yang dibuat berkualitas dan melewati proses penjaminan kualitas. Untuk itu produk mereka layak dikonsumsi konsumen. Prinsip-Prinsip Manajemen Risiko 51
69 Kalau misalnya manajemen risiko diterapkan pada setiap tahap dalam proses bisnis, maka untuk setiap tahap tersebut perlu diberlakukan prinsip transparansi, artinya kebijakan tersebut perlu diketahui oleh pihak-pihak yang berkepentingan. Ketertutupan atas diberlakukannya suatu kebijakan boleh jadi hanya akan melahirkan bom waktu. Prinsip manajemen risiko yang keenam juga menegaskan pentingnya sifat inklusif. Dalam sifat itu terkandung makna melibatkan semua pihak. Manajemen risiko tidak akan berhasil bila yang melaksanakannya hanya sekelompok kecil orang yang hanya sebagian saja dari keseluruhan anggota organisasi. Kata Kunci dalam Prinsip Kesepuluh: Dinamis, Berulang, dan Responsif terhadap Perubahan. Contoh sifat dinamis, berulang, dan responsif: Kasus pembangunan bandara baru di Yogyakarta. Berikut ini adalah abstrak hasil penelitian Lena Satlita dan Bagus Sukma Pribadi yang berjudul Manajemen Risiko Sosial Pembangunan Bandara di Temon, Kulon Progo, Daerah Istimewa Yogyakarta oleh PTAngkasa Pura I. Bacalah dengan saksama 18. Penelitian ini bertujuan memahami manajemen risiko sosial yang bersangkutan dengan risiko pembebasan lahan milik warga dalam pembangunan bandara baru di Temon, Kulon Progo oleh PT Angkasa Pura I beserta hambatannya. Desain penelitian yang digunakan adalah deskriptif kualitatif. Informan penelitian ini adalah Pimpinan Proyek pembangunan bandara baru, Public Relations and Community Development serta Legal and General Affairs Department Head Proyek pembangunan bandara baru. Sedang dari masyarakat yaitu warga Desa Jangkaran dan Glagah. Instrumen penelitian ialah peneliti sendiri dan teknik pengumpulan data dengan observasi terstruktur, wawancara terstruktur dan juga dokumentasi. Triangulasi sumber dan waktu dipilih sebagai teknik uji keabsahan data Manajemen Risiko Berbasis SNI ISO 31000
70 Analisis data dalam penelitian ini melalui tiga tahap, yakni reduksi data, penyajian data dan penarikan kesimpulan. Hasil penelitian ini menunjukan untuk melancarkan tujuannya membangun bandara yang baru, PT Angkasa Pura I menghadapi berbagai risiko. Salah satu risiko berat yang harus dihadapi oleh perusahaan ialah risiko pembebasan tanah warga, yang diwarnai penolakan warga. Dalam rangka mengurangi kerugian perusahaan secara ekonomi dan turunnya reputasi PTAngkasa Pura I karena adanya penolakan warga, maka PT Angkasa Pura I melakukan manajemen risiko sosial agar masyarakat setuju dengan pembangunan, sehingga melancarkan jalannya pembangunan bandara baru. Risiko perubahan fungsi lahan yang menyebabkan alih fungsi profesi dan risiko perpindahan tempat tinggal penduduk ditanggulangi dengan pemberian ganti rugi uang, tanah, saham, kesempatan bekerja, pengganti pelepasan hak atas tanah, kompensasi masa tunggu, pengadaan perumahan dan CSR/pelatihan untuk alih profesi. Risiko terisolasinya tempat bersejarah ditanggulangi dengan sebisa mungkin menghindari terpotongnya situs bersejarah, namun situs stupa Glagah terpotong akan dipindah ke tempat yang layak, serta didirikannya kampung Jawa. PT Angkasa Pura I sudah punya beberapa pengalaman membangun bandara baru ataupun meningkatkan kapasitas bandara lama, misalnya di Praya [Lombok, NTB], Denpasar, Makasar, Surabaya, Balikpapan, dan sebagainya. Keberhasilan pembangunan seperti itu memerlukan manajemen risiko yang andal. Prinsip kesepuluh manajemen risiko menegaskan adanya sifatnya dinamis, berulang, dan responsif terhadap perubahan. Dinamis berarti tidak statis, tidak bersifat tetap, berubah-ubah di sepanjang waktu sesuai dengan perkembangan keadaan sekitar [lingkungan strategis]. Kadang-kadang perubahan itu bersifat seperti daur, yaitu siklus yang berputar berulang, misalnya langkah 1 langkah 2 langkah 3, kemudian kembali ke langkah 1 lagi, dan seterusnya. Yang pasti, manajemen risiko harus responsif [tanggap] terhadap perubahan. Prinsip-Prinsip Manajemen Risiko 53
71 Kata Kunci dalam Prinsip Kesebelas: Manajemen risiko memfasilitasi perbaikan terus-menerus dari organisasi. Contoh perbaikan terus-menerus: Kasus Commuter Line. Tak bisa dibantah, kualitas pelayanan kereta rel listrik yang menghubungkan Jakarta dengan kota-kota satelitnya [Bogor, Depok, Tangerang, dan Bekasi] mengalami membaik secara sangat signifikan dalam dua dasa warsa terakhir ini. Dua puluh tahun yang lalu, penumpang KRL masih terlihat duduk di atas atap gerbong. Penghalang berupa kawat berduri, dan berbagai macam peralatan, tak mampu menghambat para penumpang memanjati atap gerbong kereta. Pemandangan demikian sekarang sudah tak ada lagi. Dua puluh tahun yang lalu penumpang gelap [tak bayar ongkos] sangat lazim, banyak oknum kondektur dapat disuap oleh penumpang gelap, peron stasiun kotor sekali. Kini, itu semua tinggal cerita sejarah. Walau demikian, tetap saja PT KAI hingga sekarang masih sering menerima kritik. Hal demikian wajar saja, karena perbaikan memang harus dilakukan secara terus menerus. Sejalan dengan itu, manajemen risiko pun harus melayani proses itu. Manajemen risiko harus memfasilitasi [memudahkan] perbaikan terus menerus dari organisasi. Berikut ini adalah kutipan berita dari Koran SINDO yang membahas kritik terhadap pelayanan KRL Commuter Line 19. JAKARTA Buruknya sistem manajemen transportasi kereta rel listrik [KRL] Commuter Line di Jabodetabek membuat jadwal keberangkatan dan kedatangan transportasi massal tersebut kerap terhambat. Akibatnya, banyak pengguna jasa layanan kereta api yang telantar. Direktur Institut Studi Transportasi [Instran], Darmaningtyas, mengakui, berbagai peristiwa kereta anjlok atau keluar rel, insiden kecelakaan dengan kendaraan umum maupun sesama kereta api, hingga gangguan sinyal masih sering terjadi di sejumlah wilayah. Banyaknya insiden yang melibatkan kereta api tersebut, kata Darmaningtyas, lantaran lalu lintas sangat padat seperti di Stasiun Manggarai, 19 Masih_Buruk 54 Manajemen Risiko Berbasis SNI ISO 31000
72 Jakarta Selatan. Selain Commuter Line, stasiun tersebut melayani kereta jarak jauh. Kondisi ini diperparah dengan sistem pemeliharaan yang tidak maksimal. Untuk itu, Darmaningtyas menyarankan pola manajemen yang ada saat ini harus diubah demi meminimalkan gangguan. Salah satunya membagi zona perlintasan. Kereta jarak jauh dipusatkan di pinggir Jakarta seperti membangun stasiun di kawasan Cipinang, Jakarta Timur, katanya kemarin. Perubahan manajemen akan membuat lalu lintas perjalanan kereta menjadi tertata. Selain melakukan perubahan di manajemen dan memeriksa kondisi infrastruktur secara menyeluruh, jalur kereta yang ada sebaiknya ditambah. Dari sistem double track, menjadi double-double track. Artinya akan ada empat jalur kereta di sepanjang Jakarta. Dua jalur buat KRL, dua jalur lagi buat kereta jarak jauh supaya enggak terjadi kepadatan lalu lintas, ujar Darmaningtyas. Target 1,2 juta penumpang KRL pada 2017 membuat PT KCJ harus memutar otak. Meski tidak akan melakukan penambahan terhadap perjalanan kereta, namun kondisi itu membuat rangkaian kereta api ditambah, terutama di sejumlah jalur padat dari delapan gerbong menjadi gerbong, seperti Bogor dan Stasiun Kota. Senior Manager Coorporate Communication PT KCJ, Eva Chairunissa, tak menampik kondisi KRL yang ada saat ini sudah sangat padat. Sekalipun pihaknya telah berupaya untuk meminimalisasi kepadatan dengan menambah rangkaian, rupanya itu tidak berpengaruh banyak. Termasuk saat terjadi gangguan, Eva mengaku, PT KCJ telah melakukan berbagai upaya mengurangi membeludaknya penumpang. Salah satunya dengan mengalihkan perjalanan KRL dan mengupayakan pengembalian atau refund tiket dalam waktu 2x24 jam. Ini dilakukan supaya loket enggak penuh, tuturnya. Eva menyebutkan, saat ini ada sekitar warga di sekitar Jabodetabek yang menggunakan jasa kereta api setiap hari. Perjalanan yang ada hanya mencapai 898 jadwal perjalanan yang tersebar di tujuh perjalanan kereta. Seperti diketahui, KRL 2473 jurusan Prinsip-Prinsip Manajemen Risiko 55
73 Manggarai-Duri anjlok di sekitar Stasiun Manggarai, Rabu [6/4/2017]. Akibat kejadian tersebut, perjalanan kereta menuju Tanah Abang, Jakarta Kota, Bekasi dan Bogor, terganggu dan ribuan penumpang telantar. Senior Manager Humas Daop 1 PT KAI Bambang S Prayitno membantah anggapan mengenai kondisi perjalanan kereta api di ambang batas karena sudah padat. Sekalipun penuh sesak, namun pihaknya telah melakukan berbagai rekayasa agar tak terjadi insiden kecelakaan dan keterlambatan. Manajemen kita sudah baik, enggak ada masalah, jelas Bambang. Selain itu, pemeliharaan juga telah dilakukan secara rutin mulai harian, mingguan, hingga bulanan. Pemeliharaan itu meliputi pengecekan bantalan rel, besi rel, hingga batuan di jalur. Hanya, mengenai masalah amblesnya jalur, Bambang menegaskan saat ini Kementerian Perhubungan dan PT KAI tengah melakukan penyidikan terkait insiden yang terjadi di Manggarai. Namun demikian, dirinya tak menampik kondisi yang ada lantaran adanya pergeseran tanah. Kondisi tanah yang lembek, kata Bambang, membuat kontur tanah menjadi tidak stabil. Menurut dia, permukiman padat dan saluran air yang disalurkan ke jalur kereta, membuat air menjadi tidak stabil. Ini bisa jadi penyebab anjloknya jalur di luar stasiun, jelasnya. Bambang juga tak menampik bila pihak PT KAI dan Kementerian Perhubungan [Kemenhub] telah melakukan kajian terhadap manajemen lalu lintas yang ada. Hasilnya, lalu lintas kereta sewajarnya harus dipisahkan, antara Commuter Line dan kereta jarak jauh. Ini sudah menjadi atensi, tapi kajiannya masih belum rampung, cocok juga kalau memang di luar Jakarta, biar tidak terlalu padat, tutup Bambang. Perbaikan terus-menerus sudah menjadi tuntutan wajar dalam sebuah organisasi modern. Sejalan dengan itu, prinsip kesebelas manajemen risiko menegaskan bahwa kehadirannya harus berperan memfasilitasi perbaikan terus-menerus dari organisasi. 56 Manajemen Risiko Berbasis SNI ISO 31000
74 BAB 3 3. KERANGKA KERJA MANAJEMEN RISIKO O 3.1 Pengertian mengenai Kerangka Kerja Manajemen Risiko Menurut SNI ISO Guide 73:2016 dan SNI ISO 31000:2011, kerangka kerja manajemen risiko didefinisikan sebagai berikut: Seperangkat komponen yang menyediakan landasan dan pengaturan organisasi untuk perancangan, pelaksanaan, pemantauan, peninjauan dan peningkatan manajemen risiko secara berkala di seluruh organisasi. Mengacu pada definisi tersebut, kerangka kerja manajemen risiko menyediakan landasan yang meliputi kebijakan, sasaran, mandat dan komitmen untuk mengelola risiko. Selain itu, kerangka kerja tersebut juga menyediakan pengaturan organisasi yang meliputi rencana, hubungan, akuntabilitas, sumber daya, proses dan berbagai kegiatan. Pemantauan [monitoring] yang dimaksudkan dalam definisi tersebut dapat diartikan sebagai pemeriksaan, pengawasan, pengobservasian atau penentuan secara kritis dan berkelanjutan terhadap suatu status dalam rangka mengidentifikasi perubahan dari tingkat kinerja yang diperlukan atau diharapkan. Sedangkan yang dimaksud dengan peninjauan [review] adalah kegiatan yang dilakukan untuk menentukan kesesuaian, kecukupan dan efektivitas dari pokok persoalan guna mencapai sasaran yang ditetapkan Kerangka kerja manajemen risiko hendaknya menyatu dalam kebijakan operasional dan praktik organisasi secara keseluruhan. Dan tidak dimaksudkan untuk menjelaskan sebuah sistem manajemen, namun lebih untuk membantu organisasi guna mengintegarasikan manajemen risiko ke dalam keseluruhan sistem manajemen. Oleh karena itu kerangka kerja yang digunakan pada manajemen risiko SNI ISO 31000:2011 pada dasarnya mirip 57 Kerangka Kerja Manajemen Risiko
75 dengan metode yang telah populer digunakan dalam ilmu manajemen, yaitu metode PDCA [Plan, Do, Check, Action] yang dipopulerkan oleh W. Edwards Deming 20. Di mana siklus PDCA tersebut sudah umum digunakan dalam proses pengendalian kualitas, dan secara umum telah digunakan di berbagai entitas ataupun individu. Ilustrasi jika pendekatan siklus PDCA diterapkan pada pembuatan kerangka kerja untuk menerapkan manajemen risiko dapat dilihat pada Gambar 3.1 dibawah ini. Plan [Rencanakan] Do [Kerjakan] Merencanakan rancangan kerangka kerja untuk pengelolaan manajemen risiko. Mengimplementasikan proses manajemen risiko. Check [Cek] Action [Tindak Lanjut] Melakukan pemantauan dan tinjauan suatu kerangka kerja manajemen risiko. Melakukan tindak lanjut perbaikan berkelanjutan terhadap suatu kerangka kerja. Gambar 3.1 Siklus PDCA pada kerangka kerja manajemen risiko 20 Sumber: 58 Manajemen Risiko Berbasis SNI ISO 31000
76 Namun khusus untuk kerangka kerja manajemen risiko berdasarkan SNI ISO 31000:2011 ditambahkan satu bagian awal yaitu mandat dan komitmen, sebagai bagian yang cukup penting dalam memastikan komitmen yang kuat dan berkelanjutan dari manajemen organisasi / pimpinan puncak untuk memastikan efektivitas pengelolaan risiko. Adapun kerangka kerja manajemen risiko yang sesuai dengan SNI ISO 31000:2011 diilustrasikan pada 3.2 berikut ini: Perbaikan berkelanjutan terhadap suatu kerangka kerja [3.7] Mandat dan komitmen [3.3] Rancangan kerangka kerja untuk pengelolaan risiko [3.4] Pemahaman organisasi dan konteksnya [3.4.1] Penetapan kebijakan manajemen risiko [3.4.2] Akuntabilitas [3.4.3] Integrasi ke dalam proses organisasi [3.4.4] Sumber daya [3.4.5] Penetapan mekanisme komunikasi dan pelaporan internal [3.4.6] Penetapan mekanisme komunikasi dan pelaporan internal [3.4.7] Pemantauan dan tinjauan suatu kerangka kerja [3.6] Pengimplementasian manajemen risiko [3.5] Pengimplementasian suatu kerangka kerja untuk pengelolaan risiko [3.5.1] Pengimplementasian suatu proses manajemen risiko [3.5.2] Gambar 3.2 Hubungan antara komponen dari kerangka kerja bagi pengelolaan risiko Dalam SNI ISO 31000:2011 dan SNI ISO/TR 31004:2016 dinyatakan bahwa efektifitas kerangka kerja manajemen risiko merupakan salah kunci kesuksesan implementasi manajemen risiko, dimana kerangka kerja tersebut menyediakan landasan dan pengaturan yang akan melekat pada keseluruhan organisasi pada semua tingkatan. Kerangka kerja tersebut juga memastikan bahwa informasi mengenai risiko yang berasal dari proses manajemen risiko dilaporkan secara memadai serta digunakan sebagai dasar pengambilan keputusan dan akuntabilitas pada semua tingkatan organisasi secara relevan. Prinsip-Prinsip Manajemen Risiko 59 Kerangka Kerja Manajemen Risiko
77 3.2 Mandat dan Komitmen Kesuksesan dalam implementasi manajemen risiko akan dipengaruhi oleh komitmen manajemen puncak suatu entitas/organisasi. Oleh karena itu mandat dan komitmen manajemen menjadi salah satu hal yang krusial bagi organisasi dalam menerapkan manajemen risiko. Dengan mengacu kepada beberapa definisi terkait dengan mandat dan komitmen yang ada dalam Kamus Besar Bahasa Indonesia [KBBI]21 dan 22, yang kemudian disesuaikan n. go.id dengan konteks manajemen risiko yang mengacu kepada SNI ISO 31000:2011, maka mandat dan komitmen dapat diartikan sebagai berikut: Mandat adalah perintah atau arahan yg diberikan oleh n. bs manajemen puncak suatu entitas/organisasi dalam rangka pengelolaan risiko kepada seseorang/beberapa orang untuk dilaksanakan sesuai dengan kehendak ta ka a dari pemberi mandat tersebut. Komitmen adalah suatu perjanjian [keterikatan] untuk melakukan us pengelolaan risiko pada suatu entitas/organisasi sesuai dengan er p mandat yang diberikan. s: //p Berdasarkan makna dari mandat dan komitmen tersebut di atas, maka peran manajemen puncak suatu entitas/organisasi menjadi sangat krusial. tp Oleh karena itu SNI ISO 31000:2011 juga menjelaskan mengenai bagaimana ht sebaiknya peran serta dan akuntabilitas dari manajemen puncak suatu entitas/organisasi terkait dengan mandat dan komitmen dalam rangka menerapkan manajemen risiko. Mandat dan komitmen manajemen puncak suatu entitas/organisasi sebaiknya diwujudkan dengan beberapa hal berikut ini: menetapkan dan mengesahkan kebijakan manajemen risiko; memastikan bahwa budaya organisasi dan kebijakan manajemen risiko yang selaras dengan indikator kinerja organisasi; Sumber: Sumber: 60 Manajemen Risiko Berbasis SNI ISO 31000
78 menyelaraskan sasaran manajemen risiko dengan sasaran dan strategi organisasi; memastikan kepatuhan peraturan dan hukum; menetapkan akuntabilitas dan tanggung jawab pada tingkat yang layak dalam organisasi; memastikan bahwa sumber daya yang diperlukan dialokasikan bagi manajemen risiko; mengkomunikasikan manfaat manajemen risiko kepada seluruh pemangku kepentingan; dan memastikan bahwa kerangka kerja untuk pengelolaan risiko selalu tetap layak. Secara umum, terdapat 4 tahapan yang terkait dengan pembuatan mandat dan komitmen pada kerangka kerja manajemen risiko, yaitu: Tahap Pertama: Pengembangan mandat dan komitmen manajemen risiko Dalam melakukan pengembangan mandat dan komitmen, beberapa panduan mengacu kepada SNI ISO berikut ini dapat digunakan, diantaranya: Penetapan mandat bagi manajemen risiko memerlukan pemikiran yang hati-hati, suatu perspektif strategis dan konsultasi antara badan pengawasan dengan manajemen puncak. Hal ini akan membantu memastikan bahwa setelah diadopsi, organisasi akan mengikuti mandat. Ekspresi mandat dan komitmen sebaiknya dipertimbangkan baik pada tingkat taktis maupun tingkat strategis. Organisasi sebaiknya menentukan dan menilai kompetensi untuk memenuhi sasarannya dan menumbuhkan keterampilan dan keahlian yang diperlukan untuk mencapainya. Implikasi dari perubahan yang dibutuhkan oleh suatu mandat akan membutuhkan pertimbangan yang hati-hati. Hal ini termasuk siapa yang akan memimpin perubahan dan siapa yang akan membutuhkan panduan atau dukungan. Kadang-kadang perubahan mungkin cukup radikal secara Prinsip-Prinsip Manajemen Risiko 61 Kerangka Kerja Manajemen Risiko
79 lingkup [misalnya perubahan spesifikasi pekerjaan, pemantauan kinerja dan proses manajemen] dan juga akan menyerap sebagian kapasitas organisasi untuk perubahan. Hal ini perlu dipertimbangkan dalam konteks dari perubahan lain yang sedang dilakukan dan apakah hal tersebut dapat terintegrasi. Orang-orang yang akan dipengaruhi secara signifikan oleh perubahan sebaiknya dikonsultasikan, khususnya petugas dari setiap sekat manajemen risiko dalam organisasi [misalnya kesehatan dan keselamatan, manajemen keamanan], sehingga semua implikasi dari perubahan dapat dipahami. Mandat sebaiknya diartikulasikan dalam suatu pernyataan kebijakan yang akan menunjukkan komitmen organisasi pada mandat tersebut. Selain itu, agar mandat dan komitmen dapat efektif, manajemen puncak dan badan pengawasan dari suatu entitas/organisasi sebaiknya mengekspresikan secara jelas kepada para pemangku kepentingan mengenai pendekatan pengelolaan risiko dan mendokumentasikan serta mengkomunikasikan hal tersebut secara tepat. Mandat untuk manajemen risiko biasanya melibatkan perubahan perilaku, budaya, kebijakan, proses, dan kinerja yang diharapkan dalam pengelolaan risiko di mana akan tercermin dalam kerangka kerja manajemen risiko. Mandat dan komitmen mungkin berbentuk suatu pernyataan kebijakan singkat yang dikomunikasikan secara luas. Pengembangan mandat tersebut akan melibatkan keputusan mengenai tindakan yang diperlukan, serta otorisasi untuk pelaksanaan mandat tersebut. Karena madat tersebut akan memerlukan keterlibatan otoritas untuk membawa perubahan. Selain itu, karena mandat dan komitmen adalah suatu bagian mendasar dari kerangka kerja manajemen risiko, maka selain menjadi bagian dari kerangka kerja manajemen dan tata kelola organisasi, sebaiknya juga mencerminkan sebelas prinsip yang ditetapkan dalam SNI ISO 31000: Manajemen Risiko Berbasis SNI ISO 31000
80 Tahap Kedua: Pengekspresian mandat dan komitmen manajemen risiko Dalam prakt iknya, mandat organisasi, dan komitmen terhadap hal tersebut diekspresikan dan diterima baik secara eksplisit maupun implisit. Ekspresi implisit biasanya memberikan suatu stimulus yang lebih kuat daripada ekspresi eksplisit. Adapun contoh ekspresi implisit yang bisa memberikan stimulus lebih kuat tersebut misalnya tindakan sehari-hari manajemen puncak dan badan pengawasan dalam budaya yang berlaku di organisasi. Sedangkan ekspresi eksplisit tersebut misalnya adalah suatu kebijakan manajemen risiko tertulis. Pada Lampiran C SNI ISO/TR 31004:2016 mengenai panduan untuk implementasi SNI ISO 31000, telah terdapat informasi khusus tentang bagaimana mandat dan komitmen sebaiknya diekspresikan serta dikomunikasikan oleh suatu organisasi kepada seluruh pemangku kepentingan. Di mana pengekspresian mandat dan komitmen untuk pengelolaan risiko sebaiknya memenuhi kriteria berikut: a] Sebaiknya kompatibel dengan rencana strategis, sasaran, kebijakan, gaya komunikasi dan sistem manajemen organisasi; b] Sebaiknya kompatibel dengan kriteria risiko yang ditentukan oleh badan pengawasan; c] Sebaiknya memenuhi prinsip-prinsip SNI ISO dan juga berupaya untuk meraih kesempurnaan dalam manajemen risiko sebagaimana dimaksud dalam SNI ISO 31000: 2011, dan atribut-atribut yang diperkuat yang dijelaskan pada bagian 3.6; d] Sebaiknya mudah dikomunikasikan dan diuji untuk pemahaman di dalam dan luar organisasi; e] Sebaiknya memiliki ekspektasi keberhasilan implementasi yang masuk akal; f] Sebaiknya mengakomodasi tanggung jawab dari pemilik risiko. Dalam pengekspresian mandat, perlu diingat salah satu prinsip manajemen risiko yaitu manajemen risiko adalah disesuaikan penggunaannya. Jika tidak, hal tersebut mungkin tidak dianggap relevan dengan kondisi organisasi dimana mandat tersebut harus dijalankan. Untuk Prinsip-Prinsip Manajemen Risiko 63 Kerangka Kerja Manajemen Risiko
81 organisasi yang lebih besar, penetapan suatu kebijakan biasanya akan menandakan pengembangan suatu pernyataan resmi tentang mandat bagi manajemen risiko yang akan menjadi bagian dari keseluruhan rangkaian kebijakan. Karena itu, kebijakan tersebut akan ditandatangani oleh pihak pengelola dan kemudian dikomunikasikan dan diperkuat melalui sistem manajemen Tahap Ketiga: Penetapan dan pengomunikasian mandat dan komitmen manajemen risiko Salah satu cara untuk mengekspresikan dan mengomunikasikan mandat secara eksplisit adalah melalui penetapan dan kemudian pengomunikasian kebijakan manajemen risiko. Dalam penetapan kebijakan risiko, organisasi sebaiknya tidak hanya membuat jelas kebijakan tentang manajemen risiko, tetapi juga sebaiknya mengomunikasikan hal tersebut, baik di dalam maupun di luar organisasi. Pada saaat penetapan mandat dan komitmen untuk manajemen risiko, organisasi sebaiknya mempertimbangkan pertanyaan-pertanyaan berikut ini: Apakah sasaran strategis organisasi? Apakah sasaran tersebut jelas? Hal eksplisit dan implisit apa yang ada dalam sasaran tersebut? Apakah manajemen puncak paham mengenai sifat dan besaran risiko yang signifikan yang ingin diambil serta peluang ingin dikejar dalam pencapaian sasaran strategis? Apakah manajemen puncak perlu menetapkan tata kelola yang lebih jelas atas sikap terhadap risiko dari organisasi? Langkah-langkah apa yang telah manajemen puncak ambil untuk memastikan pengawasan atas pengelolaan risiko? Apakah manajer pembuat keputusan memahami sejauh mana mereka [secara individual] diizinkan untuk mengekspos organisasi dengan konsekuensi dari suatu kejadian atau situasi? Setiap sikap terhadap risiko perlu dapat dipraktikkan, yang mengarahkan manajer untuk membuat keputusan berbasis risiko. 64 Manajemen Risiko Berbasis SNI ISO 31000
82 Apakah para eksekutif memahami tingkat risiko yang teragregasi dan saling terkait sehingga mereka dapat menentukan tingkat risiko tersebut diterima atau tidak? Apakah kepemimpinan manajemen puncak dan eksekutif memahami tingkat risiko yang teragregasi dan saling terkait bagi organisasi secara keseluruhan? Apakah baik manajer maupun eksekutif paham bahwa sikap terhadap risiko tidak konstan? Ini mungkin berubah sebagaimana perubahan kondisi lingkungan dan bisnis. Apa pun yang disetujui oleh manajemen puncak perlu memiliki beberapa fleksibilitas di dalamnya. Apakah keputusan risiko dibuat dengan penuh pertimbangan atas konsekuensinya? Kerangka kerja risiko tersebut perlu membantu manajer dan eksekutif mengambil tingkat risiko yang sesuai untuk bisnis, dan potensi penghargaan yang diberikan. Apa risiko signifikan yang bersedia diambil dan kesempatan yang ingin dikejar oleh manajemen puncak? Apa risiko signifikan yang tidak bersedia diambil oleh manajemen puncak? Apapun bentuk kebijakan pengelolaan risiko, kebijakan tersebut sebaiknya bersamaan dengan kebijakan lain yang mengarahkan bagaimana organisasi beroperasi. Guna memperkuat pelaksanaan mandat dan komitmen, manajemen puncak dan badan pengawasan sebaiknya mengomunikasikan, menunjukkan dan memperkuat komitmen organisasi pada mandat melalui suatu kombinasi tindakan eksplisit dan implisit termasuk: membuat hal tersebut jelas bahwa sasaran manajemen risiko terkait dengan dan tidak terpisahkan dari sasaran manajemen lainnya; membuat hal tersebut jelas bahwa manajemen risiko adalah mengenai pencapaian efektif dari sasaran organisasi; memastikan jenis aktifitas manajemen risiko yang dibutuhkan oleh mandat terintegrasikan ke dalam proses tata kelola dan manajemen yang ada, serta ke dalam proses strategis, operasional dan proyek; mensyaratkan pemantauan dan pelaporan berkala terhadap kerangka kerja manajemen risiko organisasi dan proses untuk memastikan bahwa pemantauan dan pelaporan tersebut tetap sesuai dan efektif; Prinsip-Prinsip Manajemen Risiko 65 Kerangka Kerja Manajemen Risiko
83 memantau bahwa organisasi memiliki suatu pemahaman komprehensif dan terkini mengenai risikonya dan risiko tersebut berada dalam kriteria risiko yang telah ditentukan serta mengambil tindakan korektif ketika kriteria tersebut tidak terpenuhi; memimpin dengan memberi contoh pada aktifitas mereka sendiri; memperbaharui komitmen pada mandat sesuai perubahan terhadap waktu, peristiwa dan manajemen puncak. Tahap Keempat: Implementasi mandat dan komitmen manajemen risiko Pada implementasinya mandat dan komitmen tersebut dituangkan dalam suatu keputusan manajemen puncak dan juga badan pengawasan, dimana dalam perusahaan secara umum di Indonesia biasanya dilakukan oleh Direksi dan Komisaris dan dituangkan dalam bentuk suatu pernyataan ataupun kebijakan organisasi terkait dengan pengelolaan risiko di organisasi tersebut. Terkait dengan implementasi mandat dan komitmen tersebut, salah satu standar acuan yang dapat digunakan adalah SNI ISO 31004:2016 yang merupakan suatu standar yang dapat dijadikan sebagai referensi panduan untuk implementasi SNI ISO 31000:2011. Dimana pada standar tersebut telah terdapat panduan tambahan bagaimana mengimplementasikan mandat dan komitmen tersebut, dengan mencakupi beberapa hal-hal berikut ini: a] perolehan mandat dan komitmen, jika diperlukan; b] analisis kesenjangan; c] penyesuaian dan membuat skala berdasarkan kebutuhan organisasi, budaya serta penciptaan dan perlindungan nilai; d] pengevaluasian risiko yang terkait dengan transisi; e] pengembangan suatu rencana bisnis: pengaturan sasaran, prioritas dan metrik; penetapan kasus bisnis, termasuk keselarasan dengan sasaran organisasi; penentuan ruang lingkup, akuntabilitas, kerangka waktu dan sumber daya; 66 Manajemen Risiko Berbasis SNI ISO 31000
84 f] pengidentifikasian konteks implementasi, termasuk komunikasi dengan pemangku kepentingan. Dalam pelaksanaannya peranan manajemen puncak dalam menerapkan mandat dan komitmen secara eksplisit dapat dinyatakan dalam beberapa hal, diantaranya adalah dengan menetapkan strategi dan kebijakan manajemen risiko yang selaras dengan sasaran, budaya, dan segala bentuk peraturan yang terkait dengan organisasi. Selain itu kebijakan tersebut juga menetapkan indikator yang dapat mengukur kinerja manajemen risiko yang dapat digunakan dalam proses pemantauan dan tinjauan atas pengelolaan risiko. Selain itu, mandat dan komitmen tersebut harus dikomunikasikan kepada seluruh pihak yang terkait, serta dilakukan tinjauan berkala oleh manajemen puncak untuk dapat dilakukan pengkinian [update] terhadap segala sasaran serta konteks organisasi yang seringkali berubah seiring dengan perkembangan waktu. Pada konteks penerapan pada perusahaan di Indonesia, manajemen puncak yang dimaksud dalam menetapkan mandat dan komitmen ini dapat mengacu kepada Undang-undang no 40 tahun 2007 mengenai Perseroan Terbatas. Dimana manajemen puncak tersebut adalah Direksi dan Komisaris. Untuk itu terkait dengan kewenangan, tugas dan tanggung jawab Direksi dan Komisaris dalam rangka pengelolaan risiko tetap mengacu kepada undangundang tersebut. Namun demikian, regulator sebagai selaku salah satu pemangku kepentingan di bidang/industri tertentu juga seringkali turut serta dalam usaha pemastian pengelolaan risiko dengan cara mengeluarkan beberapa regulasi yang mengatur bagaimana pengelolaan risiko harus dilakukan oleh suatu entitas/organisasi. Contohnya adalah beberapa regulasi di bidang yang spesifik telah menerbitkan peraturan turunan yang spesifik mengatur peran Direksi dan Komisaris dalam implementasi manajemen risiko. Diantaranya adalah pada bidang keuangan, Otoritas Jasa Keuangan [OJK] selaku regulator telah mengatur dalam beberapa regulasi yang terkait dengan Prinsip-Prinsip Manajemen Risiko 67 Kerangka Kerja Manajemen Risiko
85 implementasi manajemen risiko 23, diantaranya adalah sebagai berikut: Direksi dan Dewan Komisaris Entitas Utama berwenang dan bertanggungjawab untuk memastikan penerapan Manajemen Risiko sesuai dengan karakteristik dan kompleksitas usaha. Diantaranya adalah dengan: mengarahkan, menyetujui, dan mengevaluasi kebijakan manajemen risiko, serta mengevaluasi pelaksanaan kebijakan tersebut. Dalam mendukung penerapan manajemen risiko, Direksi dan Dewan Komisaris wajib memast ikan penerapan manajemen risiko pada masingmasing perusahaan. Pada gambar 3.3 berikut ini adalah beberapa contoh mandat & komitmen dalam versi singkat, yang biasanya diterjemahkan lebih lanjut dalam dokumen kebijakan manajemen risiko 24, 25 dan 26. Gambar 3.3 Contoh dokumen mandat dan komitmen dalam kebijakan perusahaan 23 Sumber: POJK 17/POJK.03/2014 tentang Penerapan Manajemen Risiko Terintegrasi bagi Konglomerasi Keuangan. 24 Sumber: 25 Sumber: RM%20Policy%20&%20Guidance.pdf 26 Sumber: Policy_eng.pdf 68 Manajemen Risiko Berbasis SNI ISO 31000
86 3.3 Rancangan Kerangka Kerja Untuk Pengelolaan Risiko Pemahaman organisasi dan konteksnya Pemahaman organisasi merupakan salah satu bagian penting untuk untuk perancangan kerangka kerja dalam pengelolaan risiko, tingkat pemahaman pada organisasi baik pada konteks internal dan eksternal akan mempengaruhi secara signifikan pada implementasi manajemen risiko. Pemahaman organisasi secara umum biasanya meliputi beberapa elemen seperti tertuang pada Gambar , untuk kemudian lebih dikenali kontekskonteks baik internal dan eksternal yang dapat mempengaruhi sasaran dari implementasi manajemen risiko. Hasil pemahaman dan evaluasi atas konteks internal dan ekternal tersebut kemudian akan menjadi bahan pertimbangan dalam pembuatan kerangka kerja manajemen risiko di suatu organisasi, dan juga untuk penetapan suatu konteks. Adapun yang dimaksud dengan penetapan suatu konteks 28 adalah pendefinisian parameter eksternal dan internal yang diperhitungkan pada saat pengelolaan risiko dan penentuan ruang lingkup serta kriteria risiko dalam menyusun kebijakan manajemen risiko. Adapun pada SNI ISO 31000:2011 telah diberikan referensi mengenai apa saja yang menjadi pertimbangan dalam pengevaluasian konteks eksternal dan internal organisasi. Penetapan suatu konteks sangatlah penting, karena perbedaan konteks akan sangat mempengaruhi bagaimana sasaran dapat dicapai, dan tentunya akan menghasilkan profil risiko yang juga berbeda. 27 Sumber: 28 Sumber: SNI ISO Guide 73:2016 Manajemen risiko Kosakata Prinsip-Prinsip Manajemen Risiko 69 Kerangka Kerja Manajemen Risiko
87 Gambar 3.4 Elemen-elemen umum terkait pemahaman organisasi Adapun yang dimaksud dengan konteks eksternal 29 adalah lingkungan eksternal di mana organisasi berusaha untuk mencapai sasarannya. Berdasarkan pemahaman dan evaluasi organisasi yang ada, selanjutnya dilakukan pengevaluasian konteks eksternal organisasi yang dapat meliputi, namun tidak terbatas pada: budaya dan sosial, politik, hukum, peraturan, keuangan, teknologi, ekonomi, alam dan lingkungan kompetitif, baik internasional, nasional, regional atau lokal; pendorong utama dan tren yang memiliki dampak pada sasaran organisasi; dan hubungan terkait, persepsi dan nilai-nilai dari pemangku kepentingan eksternal. 29 Sumber: SNI ISO Guide 73:2016 Manajemen risiko Kosakata 70 Manajemen Risiko Berbasis SNI ISO 31000
88 Sedangkan yang dimaksud dengan konteks internal 30 adalah lingkungan internal di mana organisasi berusaha untuk mencapai sasarannya. Adapun pada pengevaluasian konteks internal organisasi dapat meliputi halhal berikut, tetapi tidak terbatas pada: tata kelola, struktur organisasi, peran dan akuntabilitas; kebijakan, sasaran, dan strategi yang tepat untuk mencapainya; kemampuan, pemahaman dalam hal sumber daya dan pengetahuan [misalnya modal, waktu, orang, proses, sistem dan teknologi]; sistem informasi, arus informasi dan proses membuat keputusan [baik formal maupun informal]; hubungan terkait, persepsi dan nilai-nilai dari pemangku kepentingan internal. budaya organisasi; standar, pedoman dan model yang diadopsi oleh organisasi; dan bentuk dan cakupan hubungan kontraktual. Pada saat penetapan konteks ekternal organisasi, salah satu alat bantu manajemen yang sudah cukup populer adalah dengan metode Analisis PESTLE 31. Yaitu suatu kerangka kerja untuk menganalisa faktor-faktor kunci yang mempengaruhi organisasi dari dari faktor eksternal. Metode ini juga dapat digunakan dalam rangka analisa faktor eksternal saat melakukan suatu analisa strategis, penelitian pasar dan perencanaan organisasi. Biasanya metode ini juga akan dikombinasikan dengan metode Analisa SWOT yang lebih menganalisa pada faktor internal organisasi. Adapun contoh bentuk penggunaan analisis PESTLE [Political Economic Social Technological Legal Environmental] dan SWOT [Strong Weakness Opportunity Threat] dapat dilihat pada Gambar berikut ini. 30 Sumber: SNI ISO Guide 73:2016 Manajemen risiko Kosakata 31 Sumber: 32 Sumber: Prinsip-Prinsip Manajemen Risiko 71 Kerangka Kerja Manajemen Risiko
89 The PESTLE analysis for Garuda Indonesia is Presented below: The SWOT analysis for Garuda Indonesia is Presented below: Political Economical Strengths Weaknesses 1. Being majorly owned by 1. Economic fundamentals favour Garuda; Indonesian government, GDP growth of 4.9% and air travel growth of Garuda enjoys strong backing. 11% in Indonesia. 2. Domestic political turbulence 2. Indonesia being the most populous among is the single biggest risk that ASEAN nations and fourth globally presents a could affect Indonesia and its lucrative aviation market for Garuda. economy in the coming years, 3. Tourism is expected to increase significantly thus impacting Garuda's in the next four years which will be a booster prospects. Garuda. 1. Flag carrier of Indonesia with government backing. 2. Garuda awarded "Indonesia Most Admired Companies"for eight consecutive years and also attained 5-star airlines status 3. Increase in flight network, joining SkyTeam alliance and focus on cargo business driving growth. 1. Lawsuit regarding gender discrimitaion in retirement age for stewardesses by Garuda may incur penalties for the carrier. 2. Citilink, Garuda's LCC [low cost carrier] financial performance straining the group. Social Technological Opportunities Threats 1. Indonesia being an archipelago has an air traffic penetration of just 33%, thus there is significant upside opportunity. 2. Indonesia is a growing economy with increase in average disposable income of an average of 5% annually, which is expected to boost air travel. Legal 1. Ongoing lawsuit regarding gender discrimination in retirement age for stewardesses by Garuda may incur penalties. 1. Implementation of mobility and analytics initiatives across the business units at Gauda airlines will result in efficiency and increased customer satisfaction. 2. Implementation of e-auction has made procurement seamless and efficient and Garuda is able to keep the inventroy cost at minimum. 3. Tie up with Sabre Airline Solutions platform will strengthen Garuda's aircraft tracking, disruption control and prevention and crew operations. Environmental 1. Garuda Indonesia focuses its environment sustainability strategy on the three pillars, People, Planet, and Profit. 2. Increased use of alternative/renewable sources of energy by Garuda to reduce Carbon footprint. 3. Frequent natural catastrophes in Indonesia may subdue the econmic growth. 1. Garuda's shift towards digital sales channels and growing 1. Domestic political turbulance and rise in extremism major reengineered cargo business offers threat that could affect immense potential. Indonesian economy thus 2. Indonesia being the most impacting Garuda's prospects. populous among ASEAN nations 2. Excessive competition with and fourth globally presents a regards to pricing among key lucrative aviation market for competitors of Garuda may Garuda. threaten both yields and load 3. "Excellent Indonesian factors. Hospitality"service by Garuda to improve customer experience. Gambar 3.5 Contoh analisis PESTLE dan SWOT untuk penetapan konteks organisasi Berdasarkan pendekatan metode di atas, secara umum konteks eksternal dan internal akan memberikan gambaran risiko yang harus dikelola oleh suatu organisasi. Risiko yang timbul tersebut dapat berupa risiko yang timbul karena faktor internal maupun faktor eksternal, ataupun kombinasi dari kedua faktor tersebut. Pada Gambar berikut ini adalah salah satu contoh cakupan pengelolaan risiko yang mungkin dihadapi oleh suatu organisasi yang untuk kemudian menjadi bahan pertimbangan dalam pembuatan kerangka kerja pengelolaan risiko di organisasi. 33 Sumber: A-structured-approach-to-ERM.pdf 72 Manajemen Risiko Berbasis SNI ISO 31000
90 n. go.id n. bs Penetapan kebijakan manajemen risiko er p us ta ka a Gambar 3.6 Contoh cakupan pengelola risiko berdasarkan evaluasi atas konteks organisasi Dalam konteks SNI ISO 31000:2011, yang dimaksud dengan kebijakan s: //p manajemen risiko34 adalah: ht tp Pernyataan dari keseluruhan maksud dan arah suatu organisasi yang terkait dengan manajemen risiko. Kebijakan manajemen risiko juga merupakan salah satu media yang digunakan untuk pengomunikasian mandat dan komitmen dari manajemen puncak. Selain itu, kebijakan manajemen risiko juga akan menjadi acuan dalam implementasi manajemen risiko di suatu organisasi yag memberikan landasan bagi para pemangku kepentingan yang terkait untuk melakukan pengelolaan risiko sesuai dengan tugas, wewenang dan tanggung jawab masing-masing. 34 Kebijakan ini akan menjadi media acuan bagi Sumber: SNI ISO Guide 73:2016 Manajemen risiko Kosakata Prinsip-Prinsip ManajemenRisiko Risiko 73 Kerangka Kerja Manajemen
91 entitas/organisasi dalam rangka perencanaan, implementasi, pemantauan dan tinjauan dan perbaikan terus-menerus dalam pengelolaan risiko. Mengacu kepada SNI ISO 31000:2011, kebijakan manajemen risiko sebaiknya menyatakan secara jelas sasaran organisasi bagi manajemen risiko, dan komitmen terhadap manajemen risiko, serta biasanya membahas hal-hal berikut: alasan organisasi untuk mengelola risiko; keterkaitan antara sasaran dan kebijakan organisasi dengan kebijakan manajemen risiko; akuntabilitas dan tanggung jawab untuk pengelolaan risiko; bagaimana cara menangani kepentingan yang bertentangan; komitmen untuk menyediakan sumber daya yang diperlukan untuk membantu mereka yang akuntabel dan bertanggung jawab untuk pengelolaan risiko; bagaimana cara kinerja manajemen risiko akan diukur dan dilaporkan; serta komitmen untuk meninjau dan meningkatkan kerangka kerja dan kebijakan manajemen risiko secara berkala dan dalam merespon suatu peristiwa atau perubahan situasi. Karena kebijakan manajemen risiko ini merupakan salah satu media yang digunakan untuk menjadi acuan dan melakukan pengaturan dalam pengelolaan risiko di seluruh tingkatan dalam organisasi, maka sebaiknya dikomunikasikan secara layak kepada seluruh pemangku kepentingan yang terkait. Pada tahapan pengembangannya, para pemangku kepentingan yang sangat berpengaruh terhadap kesuksesan pengelolaan risiko sebaiknya dilibatkan untuk mengetahui persepsi dari masing-masing pihak dalam pengelolaan risiko, guna memberikan pemastian bahwa kebijakan manajemen risiko tersebut dapat diimplementasikan secara efektif. Komunikasi dan konsultasi perlu menjadi perhatian khusus dalam proses pengembangan maupun implementasi dari kebijakan tersebut. Adapun yang 74 Manajemen Risiko Berbasis SNI ISO 31000
92 dimaksud dengan komunikasi dan konsultasi35 adalah proses terus menerus serta berulang, yang dilakukan oleh organisasi untuk menyediakan, membagi atau memperoleh informasi, dan untuk terlibat dalam dialog dengan para pemangku kepentingan mengenai pengelolaan risiko. Beberapa contohcontoh kebijakan manajemen risiko dapat dilihat pada Gambar 3.3. Namun demikian biasanya kebijakan manajemen pada contoh tersebut diuraikan lebih lanjut dalam sebuah dokumen organisasi yang lebih rinci dan n. go.id komprehensif. Akuntabilitas n. bs Pada saat ini, banyak sekali para ahli yang mendefinisikan mengenai akuntabilitas. Yang mana kata akuntabilitas berasal dari bahasa Inggris accountability yang dapat diartikan sebagai pertanggungjawaban atau ta ka a keadaan untuk dipertanggungjawabkan atau keadaan untuk diminta pertanggunganjawab36. Akuntabilitas sendiri saat ini sudah menjadi menjadi Governance GCG] us salah satu prinsip Tata Kelola Perusahaan yang Baik [Good Corporate yang telah banyak digunakan oleh berbagi er p entitas/organisasi. Dan seiring dengan berkembangnya konsep GCG tersebut, s: //p Lawton and Rose [1994] mendefinisikan akuntabilitas sebagai berikut: Akuntabilitas adalah sebuah proses dimana seorang atau sekelompok orang tp yang diperlukan untuk membuat laporan aktivitas mereka dan dengan cara yang ht mereka sudah atau belum ketahui untuk melaksanakan pekerjaan mereka. Bahwa dalam pengelolaan risiko dibutuhkan suatu tata kelola yang bersifat sistematik, terstruktur dan tepat waktu [prinsip manajemen risiko], maka akuntabilitas menjadi salah satu hal penting dalam pelaksanaan pengelolaan risiko. Mengacu pada definisi risiko sesuai SNI ISO 31000:2011, dimana risiko adalah efek dari ketidakpastian terhadap sasaran. Maka terkait dengan pencapaian sasaran tersebut tentunya harus jelas para pihak yang Sumber: SNI ISO Guide 73:2016 Manajemen risiko Kosakata Sumber: Prinsip-Prinsip ManajemenRisiko Risiko 75 Kerangka Kerja Manajemen
93 terkait pencapaian sasaran ataupun yang akan mengelola risiko. Adapun orang atau entitas dangan akuntabilitas dan wewenang untuk mengelola risiko disebut sebagai Pemilik Risiko [Risk Owner] 37. Sesuai dengan SNI ISO 31000:2011, organisasi sebaiknya memastikan tersedianya akuntabilitas, kewenangan, dan kompetensi yang layak untuk pengelolaan risiko, termasuk pengimplementasian dan pemeliharaan proses manajemen risiko serta memastikan kecukupan, efektivitas, dan efisiensi dari setiap pengendalian. Hal ini dapat difasilitasi dengan: pengidentifikasian pemilik risiko yang memiliki akuntabilitas dan kewenangan untuk mengelola risiko; pengidentifikasian siapa yang akuntabel untuk pengembangan, pengimplementasian, dan pemeliharaan kerangka kerja untuk mengelola risiko; pengidentifikasian tanggung jawab lainnya dari personel pada semua tingkatan organisasi untuk proses manajemen risiko; penetapan ukuran kinerja dan proses eskalasi pelaporan eksternal dan/atau internal; dan pemastian tingkat pengakuan yang layak. Terkait dengan pengelolaan akuntabilitas pada penerapan manajemen risiko, secara praktik biasanya sering menggunakan suatu metode matriks penugasan tanggung jawab [responsibility assignment matrix RAM] atau juga dikenal dengan istilah RACI Matrix 38. Dimana RACI merupakan akronim dari Responsible, Accountable, Consulted, dan Informed. Adapun penjelasan peran dari masing-masing didefinisikan dalam Gambar Akuntabilitas terkait dengan penerapan manajemen risiko yang menggunakan pendekatan Matriks RACI seperti pada tabel tersebut biasanya juga dituangkan dalam kebijakan manajemen risiko. 37 Sumber: Sumber: SNI ISO Guide 73:2016 Manajemen risiko Kosakata 38 Sumber: 39 Sumber: 76 Manajemen Risiko Berbasis SNI ISO 31000
94 Gambar 3.7 Penjelasan peran dalam Matriks RACI Pada praktiknya, pembahasan akuntabilitas pada implementasi manajemen risiko di suatu entitas/ organisasi biasanya akan dibahas mengenai beberapa hal berikut ini: Penerapan prinsip-prinsip Tata Kelola Perusahaan yang Baik [GCG] pada perusahaan, di mana pembahasan akuntabilitas terkait tata kelola implementasi manajemen risiko berkaitan dengan peran dan tanggung jawab serta keterkaitan dengan pengendalian internal. Adapun pendekatan yang sering digunakan adalah model three lines of defense [tiga lini pertahanan]. Adapun lini pertama adalah fungsi yang memiliki dan mengelola risiko [risk owner]. Lini kedua adalah fungsi yang terkait dengan pengawasan risiko atas aktivitas pengelolaan risiko dari lini pertama. Umumnya adalah fungsi manajemen risiko, kepatuhan ataupun fungsi kontrol lainnya. Adapun lini ketiga adalah fungsi yang memberikan penilaian independen atas implementasi risiko, yaitu fungsi auditor internal. Adapun contoh bagan penerapan yang umum dipakai di Indonesia adalah sesuai Gambar Sumber: Antonius Alijoyo, Prinsip-Prinsip Manajemen Risiko 77 Kerangka Kerja Manajemen Risiko
95 Gambar 3.8 Ilustrasi model pertahanan tiga lapis pada manajemen risiko Pembahasan terkait akuntabilitas pada penerapan manajemen berikutnya adalah mengenai akuntabilitas dari para pemilik risiko [Risk Owner]. Di mana secara umum dapat dikatakan bahwa para pemilik sasaran adalah pemilik risiko. Oleh karena itu akuntabilitas pemilik risiko pada tingkatan organisasi biasanya diuraikan mulai dari level tertinggi yang bersifat strategis, taktis, hingga level terendah yang lebih bersifat operasional. Adapun gambaran penetapan pemilik risiko dapat diilustrasikan sesuai pada Gambar Sumber: Arif Budiman, Manajemen Risiko Berbasis SNI ISO 31000
96 Hierarki Sasaran dan Risiko Tingkatan Tingkat Risiko Pemilik Risiko Ruang lingkup Sasaran Strategis Risiko Strategis Direksi / Senior Manajemen Korporasi / Direktorat Sasaran Taktis Risiko Taktis Manajemen Menengah Divisional / Departemental Sasaran Operasional Risiko Operasional Pelaksana Operasional Operasional Gambar 3.9 Ilustrasi penetapan pemilik risiko di suatu organisasi Pembahasan berikutnya adalah mengenai akuntabilitas dari unit manajemen risiko. Di mana pada kebijakan manajemen risiko biasanya diuraikan secara terperinci. Adapun pada implementasinya tugas, wewenang dan tanggung jawab dari fungsi manajemen risiko di setiap organisasi dapat berbeda-beda sesuai dengan karakteristik organisasi tersebut. Berikut ini adalah beberapa contoh dari akuntabilitas dan tanggung jawab dari fungsi manajemen risiko, diantaranya adalah : menyusun dan mengusulkan kebijakan, pedoman serta prosedur manajemen risiko kepada Direksi; menyusun dan mengusulkan selera risiko [Risk Appetite] dan toleransi risiko [Risk Tolerance] yang akan digunakan sebagai ukuran kriteria tingkat risiko; memastikan pelaksanaan proses identifikasi, pengelolaan dan pemantauan risiko di setiap unit kerja/operasional; menyususn profil risiko tingkat perusahaan secara keseluruhan; dan memfasilitasi pelaksanaan proses manajemen risiko. Akuntabilitas para pemangku kepentingan lainnya dalam pengelolaan risiko juga perlu mendapatkan perhatian serta dituangkan dalam kebijakan yang mengatur manajemen risiko. Contoh dari pemangku kepentingan lainnya antara lain fungsi pengendalian internal, komite Prinsip-Prinsip Manajemen Risiko 79 Kerangka Kerja Manajemen Risiko
97 No manajemen risiko, komite pemantau risiko, komite audit dan lain-lain. Pada Gambar 3.10 berikut ini adalah contoh penetapan akuntabilitas pada proses manajemen risiko di suatu organisasi. Tahap Proses Manajemen Risiko Dewan Komisaris Komisaris Pemantau Risiko Direksi Dep. K&MR Risk Owner External Stakeholder 1 Persiapan A R I 2 Komunikasi & I I A R C I Konsultasi 3 Menetukan I C A R C I konteks 4 Asesmen Risiko Identifikasi Risiko I C C R A/R Analisis Risiko I C C R A/R Evaluasi Risiko I C C R A/R I 5 Perlakuan Risiko I C A C E C/I 6 Monitoring dan Reviu 7 Pelaporan Manajemen Risiko I R A R C I C C A R R/C Gambar 3.10 Contoh akuntabilitas proses manajemen risiko dari para pemangku kepentingan Integrasi ke dalam proses organisasi Manajemen risiko sebaiknya menyatu dalam semua proses dan praktik organisasi dengan cara yang relevan, efektif, dan efisien. Proses manajemen risiko sebaiknya menjadi bagian dan tidak terpisahkan dari proses organisasi. Secara khusus, manajemen risiko sebaiknya menyatu dalam pengembangan kebijakan, perencanaan dan tinjauan bisnis dan strategis, serta proses manajemen perubahan. Hal ini merupakan salah satu wujud dari pelaksanaan prinsip manajemen risiko, yaitu manajemen risiko adalah bagian terpadu dari semua proses dalam organisasi dan sedapat mungkin juga menjadi bagian dari pengambilan keputusan. Keterangan: R: Responsible: Siapa yang mengerjakan A: Accountable: Siapa yang membuat keputusan akhir "Ya" atau "Tidak C: Consulted: Siapa yang harus diajak konsultasi sebelum kegiatan dilanjutkan I: Informed: Siapa yang harus diberi informasi Oleh karena itu sebaiknya tersedia suatu rencana manajemen risiko secara luas di organisasi untuk memastikan bahwa kebijakan manajemen risiko diimplementasikan dan manajemen risiko tersebut menyatu dalam 80 Manajemen Risiko Berbasis SNI ISO 31000
98 seluruh praktik dan proses organisasi. Rencana manajemen risiko dapat diintegrasikan ke dalam rencana lainnya dari organisasi, seperti suatu perencanaan strategis. Adapun pada praktiknya, manajemen risiko seharusnya menjadi satu kesatuan pada saat proses perencanaan tahunan ataupun juga menjadi pertimbangan pada saat penyusunan budget, di mana anggaran juga telah mempertimbangkan mitigasi risiko perusahaan yang akan dijalankan. Selain itu tinjauan risiko juga dapat digunakan dalam berbagai pertimbangan terkait dengan pengambilan keputusan di organisasi, n. go.id ataupun dalam proses penilaian kinerja. Integrasi manajemen risiko berdasarkan SNI ISO 31000:2011 juga n. bs dapat diintegrasikan dengan proses organisasi yang juga mengacu kepada beberapa standar lain. Pada Gambar 3.11 dapat dilihat bagaimana contoh- ta ka a contoh integrasi manajemen risiko dengan standar lain Integrasi manajemen risiko berbasis SNI ISO Integrasi manajemen risiko berbasis SNI ISO dengan Project risk management - PMBOK* PMBOK ht tp s: //p er p us dengan standar berbasis ISO lainnya ISO *PMBOK: Project Management Body of Knowledge Gambar 3.11 Ilustrasi integrasi manajemen risiko berbasis ISO dengan standar lain Sumber: Sumber: Nicola Crawford, IRM IPYD ISO 31000, 2009 Prinsip-Prinsip ManajemenRisiko Risiko 81 Kerangka Kerja Manajemen
99 3.3.5 Sumber daya Pengalokasian sumber daya yang tepat dalam melakukan pengelolaan risiko merupakan bagian yang tidak dapat dipisahkan dalam menjamin kesuksesan manajemen risiko. Oleh karena itu manajemen puncak organisasi juga harus menunjukkan komitmen dalam penyediaan sumber daya yang dibutuhkan oleh entitas/organisasi. Mengacu kepada SNI ISO 31000:2011 organisasi sebaiknya mengalokasikan sumber daya yang layak untuk manajemen risiko. Dan pertimbangan sebaiknya diberikan untuk hal berikut ini: orang, keterampilan, pengalaman, dan kompetensi; sumber daya yang dibutuhkan untuk setiap tahapan proses manajemen risiko; berbagai proses, metode, dan alat bantu organisasi untuk digunakan dalam pengelolaan risiko; proses dan prosedur yang terdokumentasi; sistem manajemen informasi dan ilmu pengetahuan; dan program pelatihan. Pada implementasinya komitmen untuk penyediaan sumber daya oleh manajemen puncak biasanya dituangkan dalam suatu mandat dan komitmen dan diatur dalam kebijakan perusahaan secara lebih lanjut. Peningkatan kapabilitas organisasi juga perlu menjadi perhatian khusus. Di mana tingkat kematangan di setiap bagian dalam organisasi terkait dengan pengelolaan risiko bisa berbeda-beda. Oleh karena itu unit manajemen risiko pada praktiknya akan menjadi salah satu agen perubahan yang akan menjadi penggerak dalam pembangunan budaya risiko. Dan karenanya dukungan nyata dari manajemen puncak menjadi sangat krusial. Dukungan tersebut dapat secara eksplisit maupun implisit. Pada Gambar 3.12 berikut ini dijelaskan beberapa elemen yang dapat digunakan sebagai daftar periksa 82 Manajemen Risiko Berbasis SNI ISO 31000
100 [checklist] dalam penyediaan sumber daya pada implementasi manajemen er p us ta ka a n. bs n. go.id risiko44. Penetapan mekanisme komunikasi dan pelaporan internal ht tp s: //p Gambar 3.12 Elemen checklist penyediaan sumber daya pada penerapan manajemen risiko Mengacu kepada SNI ISO 31000:2011, organisasi sebaiknya menetapkan mekanisme komunikasi dan pelaporan internal dalam rangka mendukung dan mendorong akuntabilitas dan kepemilikan risiko. Mekanisme tersebut sebaiknya dengan layak mencakupi berbagai proses untuk mengkonsolidasikan informasi risiko dari berbagai sumber, dan mungkin diperlukan untuk mempertimbangkan sensitivitas dari informasi tersebut. Dan mekanisme tersebut sebaiknya dapat memastikan bahwa: 44 Sumber: Arif Budiman, 2017 Prinsip-Prinsip ManajemenRisiko Risiko 83 Kerangka Kerja Manajemen
101 komponen utama dari kerangka kerja manajemen risiko dan setiap modifikasi yang dilakukan setelahnya, agar dikomunikasikan dengan layak; terdapat pelaporan internal yang cukup mengenai efektivitas dan manfaat keluaran pada kerangka kerja manajemen risiko; informasi relevan yang diturunkan dari pengaplikasian manajemen risiko tersedia pada tingkatan yang layak dan waktu yang tepat; dan terdapat proses konsultasi dengan para pemangku kepentingan internal. Pada proses penerapannya secara khusus organisasi harus memiliki mekanisme komunikasi dan pelaporan formal terkait dengan pengelolaan risiko. Pengomunikasian terkait dengan pengelolaan risiko bisa digolongkan menjadi 2 bagian, yaitu komunikasi yang bersifat eskalasi dan komunikasi yang bersifat sosialisasi/internalisasi. Pada kerangka kerja manajemen risiko kedua hal tersebut harus diatur dalam suatu kebijakan/prosedur formal. Adapun terkait dengan pengaturan mengenai pelaporan pengelolaan dan penerapan manajemen risiko biasanya berisi mengenai sistem pelaporan, jenis pelaporan dan periode pelaporan. Di mana ketiga hal tersebut juga harus diatur dalam kebijakan/prosedur pengelolaan risiko yang ada Penetapan mekanisme komunikasi dan pelaporan eksternal Hampir sama dengan poin sebelumnya, organisasi juga sebaiknya mengembangkan dan mengimplementasikan suatu rencana sebagaimana organisasi akan berkomunikasi dengan pemangku kepentingan eksternal. Di mana hal tersebut sebaiknya melibatkan: pengikutsertaan pemangku kepentingan eksternal yang tepat dan memastikan pertukaran informasi yang efektif; pelaporan ke pihak eksternal dalam memenuhi persyaratan hukum, peraturan, dan kebutuhan tata kelola; penyediaan umpan balik dan pelaporan atas komunikasi dan konsultasi; 84 Manajemen Risiko Berbasis SNI ISO 31000
102 pengunaan komunikasi untuk membangun kepercayaan dalam organisasi; dan pengkomunikasian dengan para pemangku kepentingan pada peristiwa krisis atau kontijensi. Mekanisme tersebut sebaiknya mencakupi berbagai proses yang layak untuk mengkonsolidasikan informasi risiko dari berbagai sumber, dan mungkin diperlukan untuk mempertimbangkan sensitivitas dari informasi tersebut. 3.4 Pengimplementasian Manajemen Risiko Pada SNI ISO 31000:2011 pengimplementasian suatu kerangka kerja untuk pengelolaan risiko diwujudkan dalam suatu proses manajemen risiko. Di mana pembahasan proses manajemen risiko ini akan diuraikan lebih lanjut pada bab selanjutnya. Secara umum, dalam pengimplementasian kerangka kerja tersebut, organisasi sebaiknya: mendefinisikan strategi dan waktu yang tepat untuk pengimplementasian kerangka kerja; menerapkan kebijakan dan proses manajemen risiko pada proses organisasi; mematuhi ketentuan hukum dan peraturan; memastikan bahwa pengambilan keputusan, termasuk pengembangan dan penentuan sasaran, telah diselaraskan dengan manfaat keluaran dari proses manajemen risiko; menyelenggarakan informasi dan sesi pelatihan; dan berkomunikasi dan berkonsultasi dengan para pemangku kepentingan untuk memastikan bahwa kerangka kerja manajemen risiko tetap layak. Manajemen risiko sebaiknya diimplementasikan dengan memastikan bahwa proses manajemen risiko diterapkan melalui suatu rencana manajemen risiko di semua tingkatan dan fungsi yang relevan dari organisasi sebagai bagian dari praktik dan proses organisasi. Sangat disarankan untuk Prinsip-Prinsip Manajemen Risiko 85 Kerangka Kerja Manajemen Risiko
103 dapat pula mengimplementasikan praktik-praktik manajemen perubahan dalam implementasi manajemen risiko ini, hal ini dikarenakan pada saat implementasi manajemen risiko dimungkinkan berdampak pada banyaknya perubahan internal yang harus terjadi. Adapun manajemen perubahan yang dimaksud adalah suatu pendekatan untuk mengubah individu, tim, dan organisasi kepada kondisi masa depan yang diinginkan 45, di mana kondisi yang diinginkan telah diuraikan dalam bentuk sasaran yang ingin dicapai. Dengan adanya manajemen perubahan yang baik maka pada hakekatnya dapat pula mengurangi risiko di kemudian hari yang timbul dari pengelolaan perubahan yang kurang baik dari hasil pengelolaan risiko. 3.5 Pemantauan dan Tinjauan Suatu Kerangka Kerja Mengacu pada SNI ISO 31000:2011, pemantauan dan tinjauan adalah dua kegiatan berbeda yang dimaksudkan untuk menentukan apakah asumsi dan keputusan tetap valid. Teknik yang digunakan baik dalam pemeliharaan suatu kerangka kerja manajemen risiko yang efektif maupun dalam setiap langkah dari proses manajemen risiko. Pemantauan melibatkan surveilen rutin terhadap kinerja aktual dan perbandingannya dengan kinerja yang diharapkan atau disyaratkan. Hal ini melibatkan pemeriksaan terus menerus atau penyelidikan, pengawasan, pengamatan secara kritis, atau penentuan status dalam rangka mengidentifikasi perubahan dari tingkat kinerja yang disyaratkan atau diharapkan, serta perubahan pada konteks. Sedangkan tinjauan melibatkan pemeriksaan berkala atau mendadak dalam situasi saat ini, terhadap perubahan lingkungan, praktik industri, atau praktik organisasi. Hal ini merupakan suatu kegiatan yang dilakukan untuk menentukan kesesuaian, kecukupan, dan efektivitas dari kerangka kerja dan proses untuk mencapai sasaran yang telah ditetapkan. Tinjauan sebaiknya mempertimbangkan keluaran dari kegiatan pemantauan. Berbeda dengan definisi audit, di mana audit adalah proses berbasis bukti, tinjauan sistematis 45 Kottler, J.P [2011]. Change Management vs. Change Leadership -- What's the Difference? Forbes online 86 Manajemen Risiko Berbasis SNI ISO 31000
104 terhadap kriteria yang telah ditentukan. Sementara setiap audit adalah merupakan suatu tinjauan, tidak setiap tinjauan adalah audit. Bersama-sama, pemantauan dan tinjauan menyediakan pemastian bahwa kinerja manajemen risiko seperti yang diharapkan, apakah kinerja tersebut dapat diperbaiki dan apakah perubahan yang telah terjadi memerlukan penyesuaian atau revisi baik kerangka kerja maupun beberapa aspek dari proses. Pemantauan dan tinjauan bertujuan untuk menyediakan pemastian yang masuk akal bahwa risiko dikelola secara memadai, untuk mengidentifikasikan kekurangan dalam manajemen risiko, dan untuk mengidentifikasikan kesempatan untuk mengembangkan pengelolaan risiko. Keduanya diperlukan dalam rangka untuk memastikan organisasi mempertahankan suatu pemahaman saat ini mengenai risiko terkait dengan kriteria risikonya, konsisten dengan sikap terhadap risiko. Keduanya membutuhkan pendekatan sistematik terpadu pada sistem manajemen umum organisasi. Aktivitas pemantauan dan tinjauan serta tindakan yang diambil dalam menanggapi temuan sering dicirikan sebagai suatu sistem pemastian karena aktivitas tersebut memiliki potensi untuk mendeteksi dan memperbaiki kelemahan sebelum efek yang tidak diharapkan terjadi atau untuk membangun keyakinan bahwa risiko masih sesuai dengan kriteria organisasi. Kegiatan ini juga dapat digunakan untuk meyediakan kepada para pemangku kepentingan internal dan eksternal pemastian yang masuk akal bahwa risiko dikelola secara efektif. Sebagaimana faktor dalam konteks internal dan eksternal berubah, demikian juga akan risiko. Demikian pula, pemantauan terhadap konteks eksternal dapat mengingatkan organisasi terhadap perubahan yang mungkin memberikan suatu kesempatan untuk memperbaiki kinerja atau suatu aktivitas baru. Dengan mempertahankan kewaspadaan terhadap perubahan, terhadap kinerja, terhadap ketidaksesuaian, dan terhadap peristiwa yang nyaris terjadi, organisasi akan mampu untuk mengidentifikasi kesempatan Prinsip-Prinsip Manajemen Risiko 87 Kerangka Kerja Manajemen Risiko
105 untuk peningkatan kerangka kerja manajemen risiko dan keseluruhan kinerja organisasi. Sebaiknya tersedia suatu program yang komprehensif untuk memantau dan merekam indikator kinerja risiko yang selaras dengan indikator kinerja organisasi. Program tersebut sebaiknya memberikan peringatan dini terhadap tren yang tidak diharapkan yang mungkin memerlukan tindakan pencegahan dan intervensi. Suatu kegiatan tunggal dari pemantauan atau tinjauan mungkin dapat diarahkan pada risiko individual atau sejumlah risiko yang saling terkait. Hal tersebut mungkin fokus pada risiko atau terhadap pengendalian yang ditujukan pada risiko tersebut. Dalam rangka memastikan bahwa manajemen risiko berjalan efektif dan terus mendukung kinerja organisasi, maka organisasi tersebut sebaiknya: mengukur kinerja manajemen risiko terhadap berbagai indikator, yang ditinjau secara berkala untuk kelayakannya; secara berkala mengukur kemajuan, dan penyimpangan atas rencana manajemen risiko; secara berkala dilakukan tinjauan apakah kerangka kerja, kebijakan, dan rencana manajemen risiko masih layak, berdasarkan konteks eksternal dan internal organisasi; melaporkan mengenai risiko, kemajuan rencana manajemen risiko, dan sejauh mana kebijakan manajemen risiko diikuti; dan melakukan tinjauan efektivitas dari kerangka kerja manajemen risiko. 3.6 Perbaikan Berkelanjutan Terhadap Suatu Kerangka Kerja Berdasarkan hasil pemantauan dan tinjauan, keputusan sebaiknya dibuat mengenai bagaimana kerangka kerja, kebijakan, dan rencana manajemen risiko dapat ditingkatkan. Keputusan ini sebaiknya menuntun untuk perbaikan pada pengelolaan risiko organisasi serta budaya manajemen risiko organisasi. Jika di dalam praktik dan proses manajemen organisasi yang sudah ada telah melibatkan komponen-komponen dari manajemen risiko, atau jika organisasi telah mengadopsi suatu proses manajemen risiko formal 88 Manajemen Risiko Berbasis SNI ISO 31000
106 pada beberapa jenis risiko atau situasi, maka hal tersebut sebaiknya dinilai dan ditinjau secara kritis dalam rangka menentukan efektivitas dan kecukupannya dengan mengacu kepada SNI ISO tersebut. Berdasarkan Lampiran A pada SNI ISO 31000:2011 terdapat beberapa atribut-atribut yang dapat diberikan indikator nyata untuk digunakan membantu organisasi dalam pengukuran kinerja untuk perbaikan berkelanjutan. Atribut-atribut tersebut adalah sebagai berikut ini: Perbaikan terus-menerus, titik berat perbaikan terus-menerus dalam manajemen risiko adalah dengan melalui pengaturan tujuan kinerja organisasi, pengukuran kinerja organisasi, tinjauan kinerja organisasi serta modifikasi atas proses, sistem, sumber daya, kapabilitas dan keterampilan selanjutnya. Untuk itu tujuan kinerja secara eksplisit perlu dipublikasikan, diukur dan dikomunikasikan, dan ditinjau secara periodik. Untuk selanjutnya dilakukan revisi pembaharuan terhadap proses dan sasaran kinerja yang untuk periode selanjutnya dengan menetapkan sasaran kinerja yang lebih baik. Penilaian kinerja manajemen risiko juga merupakan bagian terpadu dari sistem penilaian kinerja keseluruhan organisasi serta menjadi sistem pengukuran bagi masing-masing departemen dan individu. Akuntabilitas penuh atas risiko, diperlukan individu yang ditunjuk menerima akuntabilitas sepenuhnya untuk pengendalian risiko dan memiliki tugas untuk melakukan perlakuan risiko, individu tersebut juga memiliki keterampilannya layak, serta memiliki sumber daya yang mencukupi untuk memeriksa pengendalian, memantau risiko, meningkatkan pengendalian serta komunikasi secara efektif dengan para pemangku kepentingan eksternal dan internal tentang risiko dan pengelolaannya. Definisi dari peran, akuntabilitas dan tanggung jawab manajemen risiko sebaiknya menjadi bagian dari keseluruhan program induksi organisasi. Sehingga organisasi dapat memastikan bahwa individu yang akuntabel telah dibekali secara cukup untuk dapat memenuhi perannya dan memberikan kepada mereka kewenangan, waktu, pelatihan, sumber Prinsip-Prinsip Manajemen Risiko 89 Kerangka Kerja Manajemen Risiko
107 daya, dan ketrampilan untuk melaksanakan akuntabilitas mereka secara layak. Aplikasi manajemen risiko dalam setiap pengambilan keputusan, setiap pengambilan keputusan dalam organisasi melibatkan pertimbangan eksplisit atas risiko serta aplikasi manajemen risiko pada tingkatan tertentu yang sesuai, hal ini berlaku untuk tingkat kepentingan dan signifikansi apapun. Dilengkapi dengan rekaman pertemuan dan rekaman keputusan untuk menunjukkan bahwa diskusi eksplisit mengenai risiko telah dilakukan. Komunikasi berkesinambungan, manajemen risiko yang diperkuat memiliki komunikasi berkesinambungan dengan para pemangku kepentingan eksternal dan internal, termasuk pelaporan yang komprehensif dan rutin mengenai kinerja manajemen risiko, sebagai bagian dari tata kelola yang baik. Komunikasi dipandang secara tepat sebagai suatu proses dua arah, sedemikian rupa sehingga keputusan tentang tingkat suatu risiko dan kebutuhan dari perlakuan risiko dapat dibuat berdasarkan informasi cukup memadai. Pelaporan eksternal dan internal yang komprehensif dan rutin, baik mengenai risiko signifikan dan mengenai kinerja manajemen risiko akan berkontribusi secara substansial pada tata kelola yang efektif dalam organisasi tersebut. Integrasi penuh dalam struktur tata kelola suatu organisasi, manajemen risiko dipandang sebagai pusat dari proses manajemen suatu organisasi, sedemikian rupa sehingga risiko dipertimbangkan dalam konteks efek mengenai ketidakpastian dari sasaran. 90 Manajemen Risiko Berbasis SNI ISO 31000
108 BAB 4 4. PROSES MANAJEMEN RISIKO Seperti yang telah disampaikan pada bagian sebelumnya, SNI ISO mendefinisikan proses manajemen risiko sebagai: Penerapan secara sistematis dari kebijakan manajemen, prosedur dan praktik pada kegiatan komunikasi, konsultasi, penetapan konteks, identifikasi, analisis, evaluasi, perlakuan, pemantauan dan tinjauan risiko. Mengacu pada definisi di atas maka proses manajemen risiko merupakan serangkaian aktivitas/kegiatan [komunikasi & konsultasi, penetapan konteks, penilaian, perlakuan, serta pemantauan dan tinjauan risiko] yang tertata menurut suatu rancangan mekanisme kerja tertentu [lihat bagian Rancangan Kerangka Kerja untuk Pengelolaan Risiko ] dan dipraktikkan berdasarkan kebijakan yang ditetapkan manajemen [puncak, lihat bagian Mandat dan Komitmen ] dan prosedur [menjadi keluaran dari konteks manajemen risiko dalam penetapan konteks]. Adapun diagram alur yang mengilustrasikan rangkaian aktivitas di dalam proses manajemen risiko sesuai SNI ISO adalah sebagai berikut.
109 Gambar 4.1 Proses manajemen risiko SNI ISO Berikut adalah penjelasan dari masing-masing aktivitas di dalam proses manajemen risiko. 46 Diadopsi dari SNI ISO 31000: Manajemen Risiko Berbasis SNI ISO 31000
110 4.1 Komunikasi dan Konsultasi Menurut SNI ISO 31000, komunikasi dan konsultasi dijalankan di tiap aktivitas dalam proses manajemen risiko. Adapun komunikasi dan konsultasi ini dilaksanakan kepada baik pemangku kepentingan eksternal, khususnya internal, dengan tujuan agar masing-masing pihak paham apa yang harus dilakukan dalam proses manajemen risiko serta paham alasan mengapa aktivitas tersebut harus terlaksanakan. Sehubungan dengan pentingnya peran komunikasi dan konsultasi dalam memastikan kelancaran pelaksanaan proses lainnya, SNI ISO mengarahkan organisasi agar komunikasi dan konsultasi ini dapat dilakukan oleh setiap pihak terkait secara relevan dan sesuai dengan kapasitasnya masing-masing secara terencana berdasarkan suatu perencanaan di tahap awal pelaksanaan proses manajemen risiko itu sendiri. Pada dasarnya, komunikasi merupakan pertukaran informasi antara lebih dari 1 [satu] pihak, sedangkan konsultasi merupakan komunikasi yang memiliki tujuan untuk mencari suatu solusi. Dalam rangka menyusun rencana komunikasi dan konsultasi tersebut, organisasi dapat memanfaat suatu alat bantu yang dikenal sebagai Matriks RACI [Responsible-Accountable-Consulted- Informed]. Adapun alat bantu ini kerap digunakan di dalam manajemen proyek dan dikenal juga sebagai responsible assignment matrix [RAM] 47, dapat membantu organisasi dalam menentukan peran masing-masing pemangku kepentingan di dalam tiap aktivitas dalam proses manajemen risiko, yang terdiri atas Responsible yaitu pihak pelaksana, Accountable sebagai pihak yang bertanggung jawab atas pelaksanaan dan hasil dari aktivitas, Consulted adalah pihak yang diajak komunikasi dan konsultasi dalam aktivitas atau dalam memastikan keluaran dari aktivitas sesuai dengan ekspektasi awal, dan Informed sebagai pihak yang mendapatkan informasi, atau menerima laporan, atas aktivitas dan hasil yang menjadi keluaran aktivitas tersebut. 47 Project Management Institute, A Guide to The project Management Bodu of Knowledge [PMBOK Guide], 5th Ed., 2013, hal Proses Manajemen Risiko 93
111 Contoh berikut menunjukkan penggunaan matriks RACI pada suatu rancangan pelaksanaan lokakarya identifikasi risiko untuk membentuk register risiko yang harus dilaporkan kepada pihak regulator. Tabel 4.1 Contoh Matriks RACI dalam suatu aktivitas identifikasi risiko No. Aktivitas Unit 1. Identifikasi risiko 1.1 Penetapan tgl pelaksanaan 1.2 Penetapan undangan 1.3 Pendistribusian undangan 1.4 Penyiapan fasilitas & perangkat 1.5 Pelaksanaan lokakarya identifikasi risiko MR Manajer MR Ka. Dept. Direksi R A, C C I R A, C C I R A, C I I R, A C, I R A, C R, C I 1.6 Perumusan hasil R A, C R, C I 1.7 Pelaporan register risiko internal 1.8 Pelaporan risk register ekternal R A, C I Regulator R A, C I Mengacu pada contoh di atas, matriks RACI dapat dibuat secara mendetil pada tiap aktivitas dalam proses manajemen risiko, bahkan terhadap rangkaian aktivitas yang dilakukan pada tiap komponen kerangka kerja manajemen risiko [lihat bab mengenai kerangka kerja manajemen risiko]. Dari 94 Manajemen Risiko Berbasis SNI ISO 31000
112 matriks RACI ini pula organisasi mendapatkan daftar pemangku kepentingan, internal maupun eksternal organisasi, yang perlu diajak berkomunikasi dan konsultasi dalam tiap aktivitas dalam proses manajemen risiko [maupun dalam tiap komponen kerangka kerja manajemen risiko]. Berdasarkan daftar pemangku kepentingan dan aktivitas inilah kemudian organisasi dapat membuat rencana pelaksanaan komunikasi dan konsultasi yang lebih rinci sebagaimana berikut. Merujuk pada contoh Matriks RACI di atas, sebuah rencana komunikasi dan konsultasi atas seluruh aktivitas yang ada dapat dibuat sebagai berikut: Proses Manajemen Risiko 95
113 96 Manajemen Risiko Berbasis SNI ISO No. Aktivitas Jenis 1.1 Penetapan tgl. pelaksanaa n 1.2 Penetapan undangan 1.3 Pendistribu sian undangan 1.4 Penyiapan fasilitas & perangkat Tabel 4.2 Contoh rencana komunikasi dan konsultasi pada suatu rangkaian aktivitas KM/KS* Media yg digunakan Penerima pesan KS Rapat/diskusi Manajer MR KS Rapat/diskusi Manajer MR KS Rapat/diskusi Direktur MR KM , telepon, WA Group Ka. Dept., cc. Direksi KM Rapat/diskusi Manajer MR Konten Tujuan Penyiap pesan Opsi tanggal [& lokasi] pelaksanaan lokakarya identifikasi risiko Opsi para pihak terundang pada lokakarya identifikasi risiko Tanggal [& lokasi] + pihak terundang lokakarya identifikasi risiko Tanggal & lokasi lokakarya identifikasi risiko Daftar fasilitas & perangkat yang dibutuhkan untuk pelaksanaan lokakarya identifikasi risiko Tersedia 1 tanggal yang ditetapkan untuk pelaksanaan lokakarya identifikasi risiko Tersedia daftar pihak terundang sebagai pihak yang diharapkan hadir saat lokakarya berlangsung Direksi mengetahui [& menyetujui] rencana pelaksanaan lokakarya Pihak terundang mendapatkan informasi dan undangan lokakarya Terdata fasilitas & perangkat lokakarya untuk dipastikan ketersediaannya saat lokakarya Kabag. MR Operasional Kabag. MR Operasional Kabag. MR Operasional Kabag. MR Operasional Kabag. MR Operasional Penyampai pesan Kabag. MR Operasional Kabag. MR Operasional Tgl. Q1 Feb 18 Q1 Feb 18 Manajer MR Q1 Feb 18 Manajer MR Q1 Feb 18 Kabag. MR Operasional Q1 Feb Manajemen Risiko Berbasis SNI ISO Manajemen Risiko Berbasis SNI ISO 31000
114 Proses Manajemen Risiko 97 No. Aktivitas Jenis 1.5 Pelaksanaan lokakarya identifikasi risiko 1.6 Perumusan hasil 1.7 Pelaporan register risiko internal 1.8 Pelaporan register risiko eksternal * ] KM = Komunikasi; KS = Konsultasi. KM/KS* Media yg digunakan Penerima pesan KS Lokakarya Ka. Dept. Pendekatan & metodologi serta teknik identifikasi risiko KS Rapat/diskusi Manajer MR Register risiko hasil lokakarya para Ka. Dept KM Pelaporan Direktur MR Register risiko organisasi KM Pelaporan Regulator Register risiko organisasi Konten Tujuan Penyiap pesan Identifikasi risiko dapat terlaksanakan secara efektif oleh para Ka. Dept. Register risiko hasil lokakarya mendapat acc dari Manajer MR untuk dilaporkan ke Direksi dan regulator Register risiko organisasi mendapat acc dari Direktur MR untuk dilaporkan ke regulator Pelaporan register risiko organisasi terlaksanakan sesuai peraturan yang berlaku Kabag. MR Operasional Kabag. MR Operasional Kabag. MR Operasional Penyampai pesan Tgl. Manajer MR Q1 Mar 18 Kabag. MR Operasional Q1 Mar 18 Manajer MR Q1 Mar 18 Manajer MR Direktur MR Q2 Apr 18 Proses Manajemen Risiko 97
115 Adapun matriks RACI dan rencana komunikasi dan konsultasi di atas dapat disusun tidak hanya bagi suatu aktivitas yang bersifat proyek, atau dilaksanakan hanya pada suatu waktu tertentu saja melainkan juga bagi aktivitas-aktivitas yang bersifat rutin dengan menambahkan kolom keterangan Frekuensi pelaksanaan aktivitas pada contoh tabel 4.2 di atas. Sebagai tambahan, SNI ISO juga mengarahkan agar persepsi pemangku kepentingan yang dapat mempengaruhi suatu pengambilan keputusan perlu diindentifikasikan, dicatat, dan dipertimbangkan dalam proses pengambilan keputusan tersebut. Selain itu, informasi yang dilibatkan dalam komunikasi dan konsultasi hendaknya disampaikan secara jujur dan bersifat relevan, akurat, dan mudah dipahami di mana aspek integritas individu yang terlibat dalam proses maupun aspek kerahasiaan informasi tetap harus diperhatikan. 4.2 Penetapan Konteks Serupa ketika hendak merancang kerangka kerja manajemen risiko [lihat bagian Rancangan Kerangka Kerja untuk Pengelolaan Risiko ], suatu organisasi perlu memahami konteks internal dan eksternalnya pada saat hendak melakukan proses manajemen risiko. Bedanya adalah proses manajemen risiko tidak hanya memerlukan penetapan konteks internal dan eksternal melainkan juga konteks manajemen risiko serta kriteria risiko. Konteks Internal dan Eksternal Adapun yang dimaksud dengan konteks adalah segala hal yang ada pada lingkungan internal [konteks internal] dan eksternal [konteks eksternal] di mana organisasi berupaya mencapai sasarannya, yang perlu mempengaruhi kualitas, dan oleh karenanya perlu diperhatikan dalam pelaksanaan proses manajemen risiko. Beberapa contoh konteks internal beserta pengaruhnya terhadap proses manajemen risiko yang akan dilaksanakan organisasi adalah antara lain: 98 Manajemen Risiko Berbasis SNI ISO 31000
116 Tabel 4.3 Contoh konteks internal dan pengaruhnya terhadap proses manajemen risiko No. Konteks Internal Pengaruh terhadap proses manajemen risiko 1. Struktur organisasi Penetapan para pihak yang terlibat dalam proses MR berdasarkan peran dan akuntabilitas-nya masing-masing [sesuai yang telah didefinisikan dalam desain kerangka kerja MR] 2. Kondisi keuangan Penetapan selera & toleransi risiko finansial, ketersediaan pilihan perlakuan risiko 3. Kompetensi SDM Pemilihan teknik penilaian risiko, tingkat ekspektasi kualitas hasil penilaian dan perlakuan risiko, bentuk media komunikasi & konsultasi 4. Sasaran organisasi Penetapan kriteria risiko, fokus penilaian risiko, pemilihan kendali dan perlakuan risiko 5. Dsb. Sedangkan beberapa contoh konteks eksternal beserta pengaruhnya terhadap proses manajemen risiko yang akan dilaksanakan organisasi adalah antara lain: Tabel 4.4 Contoh konteks eksternal dan pengaruhnya terhadap proses manajemen risiko No. Konteks Eksternal Pengaruh terhadap proses manajemen risiko 1. Ketentuan hukum & peraturan Penetapan kriteria risiko [termasuk di dalamnya selera & toleransi risiko], frekuensi dan bentuk penilaian risiko, serta pelaporan manajemen risiko 2. Kondisi ekonomi Penetapan selera & toleransi risiko 3. Situasi politik Cakupan kriteria dan penilaian risiko 4. Pemangku kepentingan 5. Dlsb. Cakupan komunikasi & konsultasi, serta sumber risiko Proses Manajemen Risiko 99
117 Konteks Manajemen Risiko Penetapan konteks manajemen risiko merupakan pendefinisian batasanbatasan yang menjadi acuan dalam pelaksanaan proses manajemen risiko. Adapun contoh konteks manajemen risiko yang dimaksud adalah antara lain: a. Tujuan yang hendak dicapai dalam proses manajemen risiko; b. Jenis risiko yang dikelola organisasi; c. Para pihak yang terlibat dalam proses pengelolaan risiko [masingmasing jenis risiko di atas]; d. Cakupan dan kedalaman proses manajemen risiko [untuk tiap jenis pengelolaan risiko], termasuk di dalamnya frekuensi dan waktu pelaksanaannya; e. Rincian aktivitas, berikut waktu, perangkat, teknik, alat bantu yang digunakan; f. Keluaran dan metode evaluasi efektivitasnya, dsb. Berdasarkan penetapan konteks manajemen risiko ini maka organisasi dapat merumuskan prosedur kerja manajemen risiko sebagai salah satu keluaran dari proses ini. Kriteria Risiko Kriteria risiko merupakan kriteria yang digunakan dalam menghitung dan mengevaluasi eksposur sebuah risiko terhadap organisasi. Adapun kriteria risiko ini perlu diselaraskan dengan sasaran yang hendak diraih oleh organisasi. Hal ini bertujuan untuk memudahkan organisasi untuk memantau seberapa besar suatu sasaran terpapar oleh risiko, atau dengan sudut pandang yang berbeda, seberapa besar eksposur risiko terhadap suatu sasaran tertentu. Sebagai contoh: sebuah organisasi memiliki sasaran terkait kepuasan pelanggan yang menggunakan indeks kepuasan pelanggan [atau customer satisfaction index, disingkat CSI] sebagai parameternya, misalnya target CSI untuk tahun ini adalah 90, maka organisasi tersebut perlu menetapkan kriteria risiko terkait kepuasan pelanggan secara 100 Manajemen Risiko Berbasis SNI ISO 31000
118 selaras, yaitu dengan menggunakan parameter yang sama. Contoh: risiko rendah = menyebabkan capaian CSI hanya 85 sd. < 90, risiko sedang = menyebabkan capaian CSI hanya 80 sd. < 85, dan risiko besar = menyebabkan capaian CSI < 80. Apabila organisasi ini menetapkan kriteria risiko yang tidak selaras, misalnya dengan menggunakan parameter yang berbeda seperti nilai Rupiah penjualan, maka akan sulit bagi organisasi tersebut untuk memantau sejauh mana sasaran kepuasan pelanggan terpapar oleh risiko karena tingkat penjualan tidak hanya bergantung dari tingkat kepuasan pelanggan saja. Adapun setidaknya beberapa hal yang perlu ditentukan dalam penetapan kriteria risiko adalah antara lain: a. Kriteria yang diperlukan mengukur eksposur risiko. Mengacu pada proses analisis risiko, diperlukan suatu kriteria kemungkinan dan dampak untuk mengukur eksposur suatu risiko; b. Kriteria yang diperlukan untuk menentukan tingkat kegawatan risiko mengacu pada eksposurnya terhadap organisasi; c. Kriteria yang diperlukan untuk menentukan apakah suatu risiko dapat diterima atau masih dapat ditoleransi, yaitu yang lebih dikenal sebagai selera dan toleransi risiko organisasi. Ketiga kriteria di atas dapat ditetapkan dan digunakan nantinya dalam proses analisis dan evaluasi risiko secara kualitatif dan kuantitatif. Melengkapi ketiga kriteria risiko ini umumnya juga ditetapkan kriteria yang diperlukan untuk menentukan efektivitas kendali risiko, serta standar respons dan eskalasinya yang dilakukan oleh para pemangku kepentingan internal terhadap eksposur risiko yang ditemukan. Terkadang, kriteria risiko juga dilengkapi dengan kriteria yang digunakan untuk mengukur eksposur suatu risiko yang memperhitungkan berbagai jenis dampak yang dapat muncul dari kejadian risiko tersebut, termasuk di dalamnya kriteria yang akan digunakan untuk mengukur eksposur dari sekumpulan risiko. Proses Manajemen Risiko 101
119 Kriteria Risiko Dalam praktiknya, kriteria risiko dapat berupa antara lain: Kriteria yang diperlukan mengukur eksposur risiko: a. Kriteria dampak [yang dapat ditimbulkan dari kejadian suatu peristiwa risiko terhadap pencapaian sasaran], contoh: Untuk mengukur eksposur dampak suatu risiko terhadap sebuah sasaran pencapaian nilai penjualan Rp. 1 T,- maka dapat digunakan suatu kriteria dengan pemeringkatan dan parameter kuantitatif sebagai berikut. Tabel 4.5 Contoh tingkat eksposur dampak risiko Peringkat Tingkat Eksposur Dampak Risiko Indikator 1 Sangat Kecil Risiko menyebabkan penjualan hanya mencapai Rp. 950 M,- sd. < Rp. 1 T,-, atau terdeviasi 5% dari target yang diinginkan 2 Kecil Risiko menyebabkan penjualan hanya mencapai Rp. 900 M,- sd. < Rp. 950 M,-,, atau terdeviasi > 5-10% dari target yang diinginkan 3 Sedang Risiko menyebabkan penjualan hanya mencapai Rp. 850 M,- sd. < Rp. 900 M,-,, atau terdeviasi > 10-15% dari target yang diinginkan 4 Besar Risiko menyebabkan penjualan hanya mencapai Rp. 800 M,- sd. < Rp. 850 M,-,, atau terdeviasi > 15-20% dari target yang diinginkan 5 Sangat Besar Risiko menyebabkan penjualan hanya mencapai < Rp. 800 M,-,, atau terdeviasi > 20% dari target yang diinginkan 102 Manajemen Risiko Berbasis SNI ISO 31000
120 b. Kriteria kemungkinan [berikut dengan rentang waktunya, contoh: 1 tahun] Sebenarnya dalam SNI ISO 31000, khususnya pada bagian Analisis Risiko, disampaikan bahwa analsis eksposur kemungkinan dilakukan pada kemungkinan terjadinya dampak yang dapat muncul dari sebuah kejadian peristiwa risiko. Namun dalam praktiknya, penyederhanaan kerap dilakukan oleh organisasi di mana analisis eksposur kemungkinan dilakukan terhadap kemungkinan kejadian dari peristiwa risiko dan bukan terhadap dampak risiko yang dapat ditimbulkannya, contoh: Untuk mengukur eksposur kemungkinan suatu risiko maka dapat digunakan suatu kriteria dengan pemeringkatan kualitatif sebagai berikut. Tabel 4.6 Contoh pengukuran peringkat eksposur kemungkinan risiko secara kualitatif Peringkat Tingkat Eksposur Kemungkinan Risiko Indikator 1 Rendah Risiko sangat kecil kemungkinannya untuk terjadi dalam 1 tahun ke depan 2 Sedang Risiko bisa saja terjadi dalam waktu 1 tahun ke depan 3 Tinggi Risiko sangat besar kemungkinannya untuk terjadi dalam waktu 1 tahun ke depan Kriteria yang diperlukan untuk menentukan tingkat kegawatan risiko mengacu pada eksposurnya terhadap organisasi, umumnya berupa suatu nilai tertentu yang dihitung secara semi-kuantitatif maupun kuantitatif yang merepresentasikan tingkat kegawatan peristiwa risiko. Proses Manajemen Risiko 103
121 Contoh: a. Nilai risiko yang terbentuk dari hasil kali peringkat eksposur dampak dan kemungkinannya. Misalnya, berdasarkan suatu kriteria dampak dan kemungkinan yang sama-sama menggunakan 5 peringkat untuk menunjukkan tingkat eksposur risiko, maka rentang nilai suatu risiko yang muncul sebagai hasil analisis risiko dapat berupa 1 x 1 = 1 sebagai nilai risiko terkecil [tingkat kegawatan terendah] sampai dengan 5 x 5 = 25 sebagai nilai risiko terbesar [tingkat kegawatan risiko tertinggi]. Umumnya metode semi-kuantitatif ini dilengkapi dengan: a.1. suatu matriks, dikenal dengan nama Matriks Risiko atau Peta Risiko yang menunjukkan posisi relatif antar peritiwa risiko berdasarkan peringkat eksposur dampak dan kemungkinan risiko tersebut. Dengan menggunakan kriteria dampak dan kemungkinan dengan 5 peringkat seperti contoh di atas maka matriks yang digunakan adalah matriks 5 x 5; a.2. Suatu kategorisasi tingkat kegawatan risiko berdasarkan hasil perhitungan nilai risiko. Tabel 4.7 Contoh kategorisasi tingkat kegawatan risiko berdasarkan hasil perhitungan nilai risiko Nilai Risiko 104 Manajemen Risiko Berbasis SNI ISO Kategori Tingkat Kegawatan Risiko 1 6 Risiko Rendah 8-12 Risiko Tinggi Risiko Bahaya Adapun dalam dokumen SNI ISO 31010, pendekatan pelaksanaan di atas diterapkan dalam teknik penilaian risiko Matriks Dampak/Probabilitas. b. Nilai risiko yang terbentuk dari hasil perhitungan suatu model matematis dengan menggunakan pendekatan statistik. Misalnya, tingkat kegawatan suatu risiko yang ditentukan dari seberapa proyeksi besar nilai Rupiah kerugian terbesar, yang
122 mungkin terjadi dalam suatu kurun waktu tertentu berdasarkan suatu tingkat keyakinan tertentu yang telah ditetapkan, dapat ditutupi oleh dana pemodalan yang dicadangkan oleh organisasi untuk menutupi kerugian risiko [dikenal juga dengan nama Modal Ekonomis]. Adapun perhitungan nilai kerugian tersebut di atas menggunakan sebuah analisis simulasi berulang yang melibatkan faktor acak yang dikenal dalam dokumen SNI ISO sebagai teknik penilaian risiko Simulasi Monte-Carlo. Kriteria yang diperlukan untuk menentukan apakah suatu risiko dapat diterima atau masih dapat ditoleransi. Serupa dengan kedua kriteria di atas, kriteria yang dapat digunakan dalam menentukan selera dan toleransi risiko juga dapat bersifat kualitatif atau kuantitatif. Kualitatif Tabel 4.8 Contoh selera dan toleransi risiko Jenis Selera Risiko Kriteria Toleransi Kuantitatif Publikasi negatif pada media massa lokal/daerah Timbul kerugian sd. Rp. 50jt Reputasi Publikasi negatif pada media massa nasional Profitabilitas Timbul kerugian sd. Rp. 250jt Selera & Toleransi Risiko Menurut SNI ISO Guide 73:2016 Manajemen Risiko Kosakata, Selera Risiko adalah: Besaran dan tipe risiko yang siap dikejar atau diambil oleh sebuah organisasi. Sedangkan Toleransi Risiko adalah: Kesiapan organisasi untuk menanggung risiko setelah perlakuan risiko dalam rangka meraih sasaran organisasi. Proses Manajemen Risiko 105
123 Namun apa yang sesungguhnya dimaksud dengan kedua pendefinisian di atas? Sekarang, bayangkan Anda sedang mengendarai sepeda motor. Umumnya untuk sepeda motor bermesin 125cc, kecepatan maksimum yang dapat ditempuh adalah 160 km/jam, setidaknya angka tersebutlah yang tampil pada speedometer motor. 160 Km/jam untuk sepeda motor 125cc merepresentasikan kapasitas risiko, atau total kemampuan motor tersebut untuk dipacu dengan kencang. Meski motor yang Anda kendarai tersebut memiliki potensi untuk dipacu hingga 160 km/jam, dalam kondisi normal Anda mungkin hanya memacu motor tersebut di kisaran km/jam. Kecepatan tersebut menunjukkan selera risiko Anda dalam hal berkendaraan sepeda motor. Meski demikian, ketika jalanan kebetulan sedang sepi, mungkin sesaat Anda akan memacu motor yang Anda kendarai lebih kencang dari kecepatan yang biasa, katakanlah hingga 120 km/jam. Kecepatan inilah yang mencerminkan toleransi risiko Anda. Tentu saja ketika Anda memacu motor lebih cepat Anda akan melakukan tambahan kendali agar Anda tetap dapat mengendalikan kendaraan dan menurunkan kecepatan sepeda motor kembali sesuai dengan kecepatan normal sehingga Anda merasa aman dan yakin untuk tiba di tujuan. Sama halnya dengan organisasi, setiap organisasi memiliki kapasitas risiko, atau total kemampuan untuk menanggung risiko, katakanlah sebesar total asetnya senilai Rp. 1 M,-. Meski memiliki kapasitas risiko Rp. 1 M,-, manajemen puncak organisasi umumnya memiliki selera risiko yang lebih rendah dari kapasitas risiko yang dimiliki organisasi, yaitu misalnya hanya sebesar Rp, 50jt. Artinya, meski memahami bahwa organisasi yang dipimpinnya sanggup menanggung total kerugian hingga Rp. 1 M,-, manajemen puncak menginginkan bahwa kalaupun ada potensi terjadi kerugian maka nilai kerugian tersebut hanya berada di kisaran Rp. 50jt,- saja. 106 Manajemen Risiko Berbasis SNI ISO 31000
124 Kapasitas risiko Toleransi risiko Profil/eksposur risiko yang masih diperkenankan Selera risiko Profil/eksposur risiko yang diharapkan Dengan kendali risiko yang efektif maka organisasi dapat mempertahankan eksposur risiko yang dikelolanya sesuai selera risiko yang telah ditetapkan. Namun terkadang, adanya perubahan pada konteks internal maupun eksternal dapat membuat profil risiko yang dikelola organisasi meningkat eksposurnya melebihi selera risiko yang ada. Dalam situasi seperti ini maka organisasi memerlukan toleransi risiko, yaitu sebuah batasan peningkatan eksposur risiko yang masih diperkenankan untuk dikelola lebih lanjut oleh organisasi, semisal Rp. 200jt serta tambahan kendali untuk memastikan organisasi tetap berjalan secara aman dan menurunkan eksposur risiko hingga sesuai dengan selera risiko kembali. Perilaku Risiko Meski berada dalam industri yang sama dan menawarkan produk atau jasa yang sama, sebuah organisasi sangat mungkin memiliki kapasitas, selera, dan toleransi risiko yang berbeda dengan organisasi lainnya. Bahkan dengan kapasitas risiko yang sama sekalipun, potensi suatu organisasi memiliki selera dan toleransi risiko yang berbeda dengan organisasi lainnya masih sangat besar. Fenomena ini terjadi karena adanya perbedaan perilaku risiko dari masingmasing organisasi, atau dalam hal ini, dari manajemen puncak masing Proses Manajemen Risiko 107
125 masing organisasi yang menetapkan selera dan toleransi risiko bagi organisasi. Menurut SNI ISO Guide 73:2016, perilaku risiko adalah: pendekatan organisasi untuk menilai, dan pada akhirnya, mengejar, mengambil, atau menolak risiko. Adapun perilaku risiko yang paling umum dan dikenal secara luas adalah penolak risiko [risk averse] dan pengambil risiko [risk taker]. Bagi organisasi [dengan manajemen puncak] yang berperilaku penolak risiko, umumnya memiliki selera dan toleransi risiko yang saling berjauhan lebih rendah dari kapasitas risiko yang ada. Sebaliknya, organisasi [dengan manajemen puncak] dengan perilaku pengambil risiko memiliki kecenderungan untuk menetapkan selera dan toleransi risiko yang saling berdekatan dengan kapasitas risiko yang dimiliki organisasi. Kapasitas risiko Toleransi risiko Selera risiko Kapasitas risiko Toleransi risiko Selera risiko Pengambil risiko Penolak risiko Sebenarnya ada satu lagi perilaku risiko yang dikenal secara luas, yaitu spekulan, atau pihak yang melakukan aktivitas spekulatif dengan mengambil risiko demi merealisasikan peluang, atau mengejar keuntungan, atau mendapatkan manfaat yang jauh lebih besar. Sering kali spekulan disejajarkan dengan perilaku pengambil risiko, atau dengan kata lain, hanya 108 Manajemen Risiko Berbasis SNI ISO 31000
126 pihak dengan perilaku pengambil risiko sajalah yang dapat menjadi spekulan. Hal ini tidak sepenuhnya benar karena pada prinsipnya penolak risiko juga berpotensi melakukan spekulasi. Adapun aktivitas spekulasi dapat dilakukan secara konservatif, moderat, maupun agresif, baik oleh pengambil ataupun penolak risiko. Bedanya terletak pada seberapa besar eksposur risiko yang diambil. Secara umum: a. penolak risiko akan memilih eksposur risiko yang cenderung lebih rendah dari yang dipilih oleh pengambil risiko, dan b. pengambil risiko cenderung untuk melakukan spekulasi secara lebih agresif ketimbang penolak risiko yang lebih konservatif, bahkan dapat melebihi kapasitas risiko yang dimilikinya [contoh: berjudi]. 4.3 Penilaian Risiko Penilaian risiko terdiri dari rangkaian proses yang diawali dengan identifikasi risiko, yaitu aktivitas menemu-kenali risiko-risiko yang secara relevan dihadapi atau harus dikelola oleh organisasi, kemudian dilanjutkan dengan proses analisis risiko, berupa aktivitas pengukuran eksposur risikorisiko yang telah teridentifikasi, dan ditutup dengan proses evaluasi risiko, di Proses Manajemen Risiko 109
127 mana hasil dari analisis risiko dibandingkan dengan kriteria risiko yang telah ditetapkan [dalam hal ini adalah selera risiko] guna menentukan risiko-risiko mana saja yang perlu mendapatkan tindakan lebih lanjut [masuk ke dalam proses Perlakuan Risiko ]. Dalam dokumen SNI ISO 31010:2017 Teknik Penilaian Risiko dijelaskan 31 teknik penilaian risiko yang dapat menjadi pilihan bagi organisasi dalam rangka melaksanakan proses penilaian risiko ini. Adapun tidak semua dari 31 teknik yang tersedia dapat digunakan secara aplikatif untuk keseluruhan aktivitas identifikasi, analisis baik dampak maupun kemungkinan risiko, serta evaluasi risiko. Sehubungan dengan hal ini, SNI ISO juga menyediakan panduan bagi organisasi untuk memilih teknik mana saja yang dapat diaplikasikan pada masing-masing aktivitas dalam proses penilaian risiko di atas. Identifikasi Risiko Menurut SNI ISO 31000, identifikasi risiko merupakan proses menemukan, mengenali dan memberikan gambaran risiko. Tidak hanya peristiwa risiko saja, SNI ISO juga mengarahkan proses identifikasi risiko untuk mengidentifikasi sumber risiko baik yang terkendali maupun yang tidak, area dampak yang membantu untuk menentukan kriteria dampak apa saja yang relevan untuk digunakan saat melakukan analisis risiko pada proses selanjutnya, penyebab [munculnya] peristiwa risiko, serta dampak potensial apa yang mungkin timbul [ketika peristiwa risiko terjadi]. Selain itu, SNI ISO juga mengarahkan agar organisasi memeriksa hubungan keterkaitan kausal antar satu peristiwa risiko dengan peristiwa risiko lainnya [dikenal dengan istilah knock-on effect di mana aktivitas analisis hubungan antar risiko kerap disebut sebagai analisis keterkaitan antar risiko atau risk interrelationship analysis]. Selain itu, diingatkan juga bahwa penting agar organisasi dapat melakukan identifikasi risiko secara komprehensif karena risiko yang 110 Manajemen Risiko Berbasis SNI ISO 31000
128 tidak teridentifikasi otomatis tidak akan terikutsertakan dalam proses selanjutnya. Dalam praktiknya, proses identifikasi risiko menghasilkan suatu daftar peristiwa risiko dengan informasi pendukungnya yang dikenal dengan nama register risiko [risk register]. Contoh: Pada sebuah universitas dilakukan penilaian risiko terkait risiko kebakaran. Pada proses identifikasi risiko, hasil yang didapat dapat berupa: Tabel 4.9 Contoh register risiko No Sasaran Risiko Penyeba b 1. Aktivitas perkuliahan berlangsung dengan lancar, tertib, dan aman Kebakaran Arus pendek Sumber Area Dampak Dampak Potensial Teknikal Operasional Gangguan pada kegiatan perkuliahan Teknikal Finansial Kerugian finansial akibat kerusakan aset K3 Reputasi Timbulnya korban Publikasi negatif tentang insiden kebakaran Memahami risiko Pemahaman mengenai apa yang dimaksud dengan risiko akan memudahkan pelaksanaan proses identifikasi risiko, selain dari meningkatkan kualitas register risiko sebagai keluaran proses. Menurut SNI ISO 31000, risiko adalah: efek ketidakpastian terhadap sasaran. Proses Manajemen Risiko 111
129 Bagaimana membangun pemahaman yang lebih lugas mengenai risiko berdasarkan definisi di atas? Mari kita telaah satu persatu! Kata efek pada definisi di atas mengandung makna sesuatu yang timbul dari pemicunya. Pada definisi di atas dapat kita lihat bahwa risiko sebagai efek, muncul karena dipicu oleh apa yang disebut ketidakpastian. Mengacu pada SNI ISO 31000, ketidakpastian adalah: suatu keadaan, meskipun sebagian, di mana terdapat kekurangan informasi terkait pemahaman atau pengetahuan tentang suatu peristiwa, dampaknya, beserta kemungkinannya. Dalam hal ini, dapat kita pahami bahwa ketidakpastian bukanlah risiko itu sendiri karena risiko justru muncul sebagai efek dari hadirnya unsur ketidakpastian, dalam pencapaian sasaran. Sekarang bayangkan Anda berada dalam sebuah ruangan yang tidak terlalu luas dan terang benderang di mana di dalamnya terdapat sebuah meja dengan sebuah gelas di atasnya, satu buah kursi, dan sebuah lemari. Sasaran yang hendak Anda capai adalah mengambil gelas yang berada di atas meja. Mudah bukan? Mengapa? Dalam ruangan tersebut tidak terlalu banyak perabot, kondisi ruangan yang terang membuat Anda dapat melihat dengan jelas apa saja yang ada di sekeliling Anda, serta anggota tubuh Anda dapat berfungsi dengan baik sehingga Anda dapat melangkah maju menuju meja tempat gelas yang Anda ingin ambil berada. Situasi di atas menunjukkan bahwa tingkat kepastian Anda dalam mencapai sasaran sangat tinggi sekali. Gambar 4.2 Simulasi efek ketidakpasian terhadap sasaran - kasus Manajemen Risiko Berbasis SNI ISO 31000
130 Sekarang, situasinya berubah. Anda masih berada di dalam ruangan yang sama, namun kini kondisi di dalam ruangan gelap gulita sehingga Anda nyaris tidak dapat melihat apapun selama di dalam ruangan. Tidak hanya itu, kini posisi perabot di dalam ruangan tersebut telah diubah tanpa sepengetahuan Anda. Apakah masih sama mudahnya bagi Anda untuk meraih sasaran Anda yaitu mengambil gelas yang terletak di atas meja? Gambar 4.3 Simulasi efek ketidakpasian terhadap sasaran - kasus 2 Dalam situasi yang baru, tidak lagi mudah bagi Anda untuk berjalan menuju meja dan mengambil gelas yang menjadi sasaran Anda. Mengapa demikian? Ketika lampu ruangan tersebut dipadamkan sehingga ruangan menjadi gelap gulita, ditambah lagi dengan posisi perabot di dalam ruagan tersebut ikut berubah secara acak, maka hadir faktor ketidakpastian bagi Anda untuk mencapai sasaran Anda. Ketimbang tiba di meja tempat tujuan Anda dan mengambil gelas yang ada di atasnya, Anda mungkin malah menabrak lemari, kursi, atau dinding, sesuatu yang muncul karena telah hadir unsur ketidakpastian di atas. Dan ketika Anda menabrak lemari, kursi, atau dinding maka sasaran Anda untuk mengambil gelas di atas meja menjadi terhambat, atau setidaknya tertunda. Bahkan lebih daripada itu, tanpa disengaja Anda bisa mendapatkan cidera karena menabrak perabot yang ada, sehingga Anda tidak dapat lagi meneruskan upaya Anda untuk mencari dan mengambil gelas yang Anda inginkan, dan artinya sasaran gagal Anda raih. Proses Manajemen Risiko 113
131 Berdasarkan ilustrasi ini, dapat disimpulkan bahwa risiko juga dapat diartikan sebagai hal-hal yang bila terjadi maka dapat menghambat atau menggagalkan pencapaian sasaran, di mana hal-hal ini muncul sebagai efek, atau karena dipicu oleh hadirnya faktor ketidakpastian [ketika lampu padam dan posisi perabot berubah] ketika, atau dalam rangka, Anda hendak mencapai sasaran, yaitu mengambil gelas di atas meja. Dengan demikian, risiko atas suatu sasaran, misalkan nilai penjualan mencapai Rp. 1 T,- maka yang menjadi peristiwa risiko bukanlah penjualan tidak mecapai Rp. 1 T,- melainkan hal apa yang membuat penjualan Rp. 1 T,- dapat tidak tercapai atau terganggu pencapaiannya, contoh perubahan tren/selera pasar yang tidak terantisipasi, ketersediaan barang jadi yang tidak memenuhi target, munculnya pesaing baru dengan program pemasaran yang agresif, dan sebagainya. Adapun pemaknaan terminologi risiko seperi ini berbeda dengan pemaknaan kata risiko yang kerap kita jumpai dalam kehidupan sehari-hari, di mana apa yang disebut risiko lebih cenderung mengacu pada dampak yang ditimbulkan dari suatu aktivitas atau hal yang berisiko. Bila Anda kebetulan mengendarai sepeda motor untuk pergi-pulang kuliah, mungkin Anda pernah mendengar orang tua Anda mengingatkan, Jangan lupa pakai helm, risikonya besar kalau naik motor tidak pakai helm. Sebagai tambahan, definisi risiko yang diberikan SNI ISO di atas juga menunjukkan suatu hubungan keterkaitan yang sangat erat antara risiko dengan sasaran. Dalam hal ini, sasaran yang berbeda dapat mengandung faktor ketidakpastian yang juga berbeda, dan dengan demikian dapat memunculkan risiko-risiko yang berbeda juga. Sehubungan dengan hal ini, penting bagi kita untuk memahami secara benar apa yang sesungguhnya menjadi sasaran sebelum mencoba melakukan proses identifikasi risiko yang melekat pada suatu sasaran tertentu. Analisis Risiko Aktivitas analsis risiko mengacu pada serangkaian kegiatan pengukuran eksposur dampak risiko dan kemungkinannya yang dapat dilakukan secara kualitatif, semi-kuantitatif, maupun kuantitatif. SNI ISO juga mengingatkan bahwa suatu peristiwa risiko dapat menimbulkan 114 Manajemen Risiko Berbasis SNI ISO 31000
132 beberapa dampak sekaligus yang dapat mempengaruhi beberapa sasaran organisasi. Selain itu, hendaknya efektivitas kendali yang diterapkan terhadap risiko ikut diperhitungkan ketika menganalisis eksposur risiko [dikenal dengan istilah eksposur inheren]. Hal ini berarti, organisasi perlu mengidentifikasikan kendali apa saja yang dijalankan atas tiap risiko teridentifikasi dan mengevaluasi efektivitas tiap-tiap kendali terhadap risiko yang ada. Tidak hanya itu, organisasi hendaknya juga melakukan analisis dengan memperkirakan atau memperhitungkan efektivitas perlakuan risiko [dikenal dengan istilah eksposur residual]. Dalam praktiknya, tersedia beberapa panduan analsis risiko berupa rujukan praktik yang dikeluarkan suatu institusi tertentu, seperti halnya Basel Accord sebagai rujukan praktik analsis eksposur risiko perbankan yang dikeluarkan oleh Komite Basel, maupun berupa regulasi, seperti halnya yang diterbitkan oleh Otoritas jasa Keuangan bagi perusahaan perasuransian serta konglomerasi jasa keuangan. Adapun selain diketahui atau terhitungnya eksposur risiko, proses analisis risiko juga menghasilkan keluaran suatu daftar nilai risiko yang umumnya merupakan kombinasi dari eksposur dampak maupun kemungkinannya, berikut dengan pemeringkatan risiko yang dilakukan berdasarkan nilai risiko yang didapat. Seperti halnya yang telah dikemukakan sebelumnya, dalam praktiknya terdapat juga penyederhanaan aktivitas analisis risiko di mana eksposur yang dihitung dari suatu risiko adalah seberapa besar dampak yang ditimbulkan bagi [pencapaian sasaran] organisasi bilamana risiko terjadi serta seberapa tinggi kemungkinan kejadian peristiwa risiko tersebut. Contoh: Dengan melanjutkan contoh pada bagian proses Identifikasi Risiko di atas maka hasil analisis risiko dapat berupa: Proses Manajemen Risiko 115
133 [1] Kemungkinan terjadinya kebakaran dianalisis dengan menggunakan salah satu teknik dalam SNI ISO yaitu analisis pohon kejadian, atau dalam Bahasa Inggris dikenal dengan event tree analysis. Asumsi: [a] Air tidak dapat digunakan untuk memadamkan api yang bersumber dari arus pendek sehingga tidak ikut diperhitungkan dalam analisis; [b] Analisis tidak membedakan apakah arus pendek dan munculnya api terjadi pada hari perkuliahan atau tidak dan hanya memperhitungkan situasi di mana apakah munculnya api diketahui oleh seseorang atau tidak; [c] Berdasarkan prediksi Dept. TI universitas, terjadinya arus pendek dalam setahun hanya 1% mengingat kendali yang efektif telah dilakukan, seperti instalasi kabel listrik yang rapih dan aman; [d] Dept. TI juga meyakini bahwa hanya terdapat peluang 30% kemungkinan munculnya api [kebakaran ringan] setelah terjadinya arus pendek mengingat material di sekeliling instalasi kabel listrik dan stop kontak yang tidak terlalu mudah untuk tersulut api; [e] Dept. Keamanan meyakini bahwa 90% timbulnya api akan segera diketahui oleh petugas keamanan dengan mempertimbangkan jadwal kontrol yang dilakukan petugas setiap 30 menit ke sekeliling area kampus sehingga hanya tersisa peluang 10% bahwa timbulnya api tidak diketahui hingga membesar; [f] Dept. Keamanan juga meyakini bahwa ketika petugas mengetahui adanya api maka dengan segera petugas dapat memadamkan api dengan menggunakan alat pemadam api ringan [APAR]. Hanya saja perangkat APAR tidak selalu tersedia di seluruh lokasi kampus. Dalam hal ini, Dept. Keamanan memprediksi bahwa hanya terdapat kemungkinan 30% petugas tidak dapat segera menemukan APAR untuk memadamkan api; 116 Manajemen Risiko Berbasis SNI ISO 31000
134 [g] Dept. K3 meyakini bahwa sistem pemadam api otomatis [water sprinkler] akan berfungsi ketika terdapat api yang membesar mengingat pemeliharaan sistem pemadam api otomatis yang selalu dilakukan secara rutin dan tepat waktu sehingga memprediksi bahwa hanya terdapat kemungkinan 5% sistem tidak akan berfungsi sebagaimana mestinya; Berdasarkan asumsi di atas, dilakukan analisis pohon kejadian seperti di bawah ini: Gambar 4.4 Contoh analisis pohon kejadian risiko kebakaran karena arus pendek Mengacu pada hasil analisis diketahui bahwa, kemungkinan terjadinya kebakaran berkisar antara 0,0015 0,0041% dalam setahun, atau sekitar 2 hari dalam setahun terdapat kemungkinan terjadi kebakaran yang diakibatkan oleh arus pendek. Apabila oleh Dept. Manajemen Risiko universitas ditetapkan bahwa kriteria kemungkinan risiko seperti berikut ini: Proses Manajemen Risiko 117
135 Tabel 4.10 Contoh kriteria risiko untuk kemungkinan risiko Peringkat Tingkat Eksposur Kemungkinan Risiko Indikator 1 Rendah Sangat kecil kemungkinan terjadi, kemungkinan kejadian kurang dari setiap semester sekali 2 Sedang Mungkin bisa terjadi, kemungkinan kejadian antara setiap semester hingga setiap bulan sekali 3 Tinggi Sangat besar kemungkinan terjadi, kemungkinan kejadian lebih dari setiap bulan sekali maka hasil analisis risiko kebakaran di atas dapat berupa: Tabel 4.11 Contoh hasil analisis risiko No. Risiko PK* Area Dampak Dampak Potensial 1. Kebakaran 1 Operasional Gangguan pada kegiatan perkuliahan Finansial Kerugian finansial akibat kerusakan aset K3 Timbulnya korban Reputasi Publikasi negatif tentang insiden kebakaran PD* * ] PK = Peringkat kemungkinan; PD = Peringkat dampak. [2] Dampak terjadinya kebakaran dianalisis secara kualitatif dengan menggunakan asumsi sebagai berikut. [a] Dept. Keamanan memprediksi bahwa kebakaran dapat meluas pada lebih dari 1 lantai gedung sebelum mobil pemadam kebakaran datang. Mengingat universitas memiliki beberapa 118 Manajemen Risiko Berbasis SNI ISO 31000
136 gedung terpisah sebagai tempat perkuliahan masing-masing fakultas yang ada di universitas maka bila risiko kebakaran terjadi hanya akan mengganggu kegiatan perkuliahan 1 fakultas saja [efektivitas kendali: medium]; [b] Dept. Keuangan meyakini bahwa universitas dapat mengklaim ganti rugi akibat kebakaran kepada pihak asuransi sehingga memprediksi bahwa dampak finansial apabila terjadi risiko kebakaran adalah terhitung minim [efektivitas kendali: kuat]; [c] Dept. K3 memprediksi bahwa bila kebakaran terjadi pada saat kegiatan perkuliahan sedang berlangsung maka dapat timbul kepanikan sehingga berpotensi menimbulkan hingga pada celaka berat di mana korban dapat memerlukan perawatan intensif di rumah sakit [efektivitas kendali: lemah]; [d] Dept. Humas memprediksi bahwa bila terjadi kebakaran maka kejadian akan cepat tersebar melalui media sosial dan pemberitaan buruk dapat muncul di TV [efektivitas kendali: lemah]; Apabila oleh Dept. Manajemen Risiko universitas ditetapkan bahwa kriteria dampak risiko seperti berikut ini: Tabel 4.12 Contoh kriteria risiko untuk dampak finansial risiko Peringkat Tingkat Eksposur Dampak Risiko Indikator [Finansial] 1 Kecil Kerugian Rp. 10jt,-/tahun 2 Sedang Kerugian > Rp. 10jt,- sd. Rp. 100jt,-/tahun 3 Besar Kerugian > Rp. 100jt,-/tahun Proses Manajemen Risiko 119
137 Tabel 4.13 Contoh kriteria risiko untuk dampak operasional risiko Peringkat Tingkat Eksposur Dampak Risiko Indikator [Operasional] 1 Kecil Gangguan perkuliahan pada 1 kelas 2 Sedang Gangguan perkuliahan pada > 1 kelas sd. 1 fakultas 3 Besar Gangguan perkuliahan pada > 1 fakultas Tabel 4.14 Contoh kriteria risiko untuk dampak K3 risiko Peringkat Tingkat Eksposur Dampak Risiko Indikator [K3] 1 Kecil Celaka ringan, dapat ditangani dengan pertolongan pertama 2 Sedang Celaka medium, dapat ditangani dengan pertolongan RS [rawat jalan] 3 Besar Celaka berat, dapat ditangani dengan pertolongan RS [rawat inap] Tabel 4.15 Contoh kriteria risiko untuk dampak reputasi Peringkat Tingkat Eksposur Dampak Risiko Indikator [Reputasi] 1 Kecil Publikasi negatif pada media cetak lokal 2 Sedang Publikasi negatif pada media cetak nasional 3 Besar Publikasi negatif pada TV dan viral melalui sosmed Maka hasil analisis risiko selengkapnya untuk risiko kebakaran di atas dapat berupa: 120 Manajemen Risiko Berbasis SNI ISO 31000
138 Tabel 4.16 Contoh hasil analisis risiko No. Risiko PK * Are Dampak Dampak Potensial PD* 1. Kebakaran 1 Operasional Gangguan pada kegiatan perkuliahan 2 Finansial Kerugian finansial akibat kerusakan aset K3 Timbulnya korban 3 Reputasi Publikasi negatif tentang insiden kebakaran * ] PK = Peringkat kemungkinan; PD = Peringkat dampak. [3] Guna membentuk suatu laporan profil risiko maka Dept. Manajemen Risiko universitas melengkapi hasil analisis risiko dengan sebuah peta risiko berupa matriks 3 x 3 sebagai berikut. Dalam memetakan risiko kebakaran berdasarkan hasil analisis risiko di atas, Dept. Manajemen Risiko mencoba menghitung agregat eksposur dampak risiko dari beberapa dampak yang dapat ditimbulkan dengan menggunakan suatu pendekatan semi 1 3 Gambar 4.5 Contoh peta risiko [matriks 3 x 3] Proses Manajemen Risiko 121
139 kuantitatif, yaitu metode perhitungan rata-rata peringkat dampak dengan pembobotan [weighted average] di bawah ini. Tabel 4.17 Contoh perhitungan agregat eksposur risiko secara semikuantitatif No. Kriteria Peringkat Bobot Nilai 1. Operasional 2 0,3 0,6 2. Finansial 1 0,2 0,2 3. K3 3 0,2 0,6 4, Reputasi 3 0,3 0,9 Nilai Dampak 2, Kemungkinan Bow Berdasarkan perhitungan di atas maka hasil analisis risiko kebakaran dapat dipetakan pada peta risiko sebagaimana berikut. Gambar 4.6 Contoh pemetaan risiko Adapun tanpa memperhitungkan agregat eksposur risiko di atas, risiko kebakaran dapat juga dipetakan secara langsung pada 4 peta risiko yang berbeda-beda sesuai dampak yang dapat ditimbulkannya [operasional, finansial, K3, dan reputasi]. 122 Manajemen Risiko Berbasis SNI ISO 31000
140 Evaluasi Risiko Berdasarkan hasil analisis risiko, organisasi kemudian melakukan evaluasi risiko, yaitu menentukan risiko mana saja yang perlu mendapatkan perlakuan kebih lanjut, atau diikutsertakan dalam proses Perlakuan Risiko selanjutnya, dengan cara membandingkan hasil dari aktivitas analisis risiko dengan kriteria risiko [dalam hal ini adalah selera risiko organisasi] yang telah ditetapkan. Dalam praktiknya, bisa saja aktivitas evaluasi risiko mengarahkaan organisasi untuk melakukan analisis risiko secara lebih mendalam guna mendapatkan gambaran yang lebih lengkap mengenai eksposur suatu risiko. Dengan terlaksanakannya aktivitas evaluasi risiko maka keseluruhan proses penilaian telah terselesaikan dengan keluaran berupa profil risiko. Mengacu pada isi dokumen SNI ISO Guide 73, profil risiko didefinisikan secara sederhana sebagai gambaran dari serangkaian risiko. Dalam praktiknya, profil risiko berupa suatu laporan yang menunjukkan eksposur risiko-risiko teridentifikasi, di mana yang kerap didahulukan dalam pelaporannya adalah risiko-risiko dengan nilai atau peringkat teratas, yang sedang dihadapi organisasi saat ini atau dalam suatu kurun waktu tertentu. Contoh: Melanjutkan contoh sebelumnya maka risiko kebakaran dinilai memerlukan perlakuan risiko, khususnya bagi potensi dampak operasional, K3, dan reputasi. Sedangkan terkait dampak finansial, risiko kebakaran sudah dapat diterima karena kendali yang ada saat ini dinilai sudah efektif. Proses Manajemen Risiko 123
141 4.4 Perlakuan Risiko Menurut SNI ISO 31000, perlakuan risiko merupakan proses untuk memodifikasi risiko, khususnya dalam hal menurunkan eksposur risiko. Adapun perlakuan risiko dapat berupa beberapa bentuk aktivitas sebagai berikut. Tolak [atau Hindari ], dengan cara tidak melanjutkan aktivitas atau mengejar sasaran di mana risiko yang ingin ditolak atau dihindari melekat; Turunkan, dengan cara melakukan aktivitas tertentu dalam rangka meningkatkan efektivitas kendali risiko yang kita miliki atau jalankan saat ini, baik untuk menurunkan eksposur dampak maupun eksposur kemungkinan risiko; Transfer [atau Berbagi ] dengan cara berbagi eksposur risiko dengan pihak lain; Terima, dilakukan dengan cara tidak melakukan suatu perlakuan tertentu terhadap risiko karena eksposur risiko telah sesuai dengan selera risiko organisasi. Umumnya perlakuan risiko dengan bentuk seperti ini mengarah cukup pada aktivitas pemantauan yang perlu dilakukan terhadap pergerakan atau perubahan eksposur risiko tersebut. Dalam praktiknya, bisa saja ditemukan beberapa opsi perlakuan risiko bagi suatu risiko tertentu. Dalam situasi seperti ini maka sebuah analisis biayamanfaat dapat dilakukan untuk memilih suatu bentuk perlakuan risiko tertentu dari sekian banyak opsi perlakuan risiko yang tersedia. Terhadap risiko-risiko dengan eksposur yang signifikan, organisasi diharap dapat membuat suatu perencanaan perlakuan risiko yang detil dan matang yang dapat mengikutsertakan beberapa informasi, antara lain: Rangkaian aktivitas yang akan dilakukan dalam menerapkan perlakuan risiko yang telah dipilih; 124 Manajemen Risiko Berbasis SNI ISO 31000
142 Siapa yang menjadi pihak yang akuntabel atas pelaksanaan maupun hasil dari perlakuan risiko; Biaya pelaksanaan perlakuan risiko [bila memang dibutuhkan atau tersedia dananya], berikut dengan sumber daya lainnya yang mungkin diperlukan dalam rangka menerapkan rencana perlakuan yang telah disusun, Waktu, atau jadwal, berikut durasi pelaksanaan; Metode evaluasi atas keberhasilan perlakuan risiko; serta [bilamana perlu] rencana cadangan bila rencana perlakuan risiko yang telah dipilih tidak dapat dilaksanakan ataupun menunjukkan hasil yang tidak sesuai dengan ekspektasi para pemangku kepentingan. Adapun bagi risiko-risiko yang tidak terlalu signifikan, rencana perlakuan risiko dapat memuat informasi yang lebih sederhana. Contoh: Masih menggunakan contoh pada bagian sebelumnya, rencana perlakuan risiko bagi risiko kebakaran dapat berupa: Tabel 4.18 Contoh rencana perlakuan risiko No. Risiko Dampak Perlakuan Aktivitas PiC Waktu 1. Kebakaran Operasional Turunkan Meminjam ruangan yang tersedia pada fakultas lain K3 Turunkan Melaksanakan fire drill bagi mahasiswa secara berkala Pembantu Dekan IV Reputasi Turunkan Menyusun protokol kehumasan untuk situasi bencana Dept. K3 Dept. Humas Q2 [table top simulation dengan pejabat fakultas terkait] Q2 [kemudian dilakukan secara rutin 2x/tahun] Q3 Q4 Proses Manajemen Risiko 125
143 Golden Rules for Risk Treatment Beberapa hal yang perlu diingat atau diperhatikan ketika kita sedang melaksanakan perlakuan risiko antara lain: a. Perlakuan risiko merupakan proses yang teramat penting dalam proses manajemen risiko yang perlu dipastikan efektivitas pelaksanaan maupun hasilnya. Tanpa realisasi rencana perlakuan risiko maka sebenarnya risikorisiko yang tengah dihadapi organisasi belum terkelola; b. Tidak dapat dibenarkan bila rencana perlakuan risiko berupa aktivitas yang bertentangan atau melanggar norma hukum dan etika; c. Ada dua tipe risiko yang tidak dapat kita tolak: [1] risiko yang melekat pada core business, contoh: sebuah bank tidak akan bisa menolak atau menghindar dari risiko perbankan, dan [2] risiko bawaan yang melekat pada aset, contoh barang tiruan cenderung tidak tahan lama dan lebih cepat rusak ketimbang barang orisinil; d. Syarat keberhasilan berbagi risiko adalah dengan cara berbagi eksposur risiko kepada pihak yang lebih mampu untuk mengelola risiko ketimbang diri kita sendiri, contoh: outsource, subcon, joint operation, joint venture. e. Prinsip analisis biaya-manfaat adalah memilih opsi perlakuan risiko dengan ongkos pelaksanaan yang lebih murah ketimbang kerugian atau biaya kerugian yang harus ditanggung organisasi bila risiko terjadi. Pada pendekatan lainnya, opsi perlakuan risiko yang dipilih adalah perlakuan risiko dengan ongkos yang lebih kecil dari penurunan eksposur finansial risiko yang dihasilkan melalui pelaksanaan perlakuan risiko tersebut. f. Terkadang, kita tidak, atau belum, menemukan perlakuan risiko dengan ongkos yang lebih murah dari biaya kerugian yang ditimbulkan oleh risiko. Terhadap risiko-risiko seperti ini maka opsi yang dapat dipilih organisasi adalah [selain daripada tolak dan berbagi]: menerima risiko untuk sementara waktu hingga ditemukannya opsi perlakuan risiko yang sama efektifnya dengan ongkos yang lebih reasonable; g. Masih terkait dengan poin c di atas, tidak dalam setiap kesempatan ongkos perlakuan risiko menjadi pertimbangan utama, seperti pada perlakuan risiko yang mengancam reputasi organisasi serta risiko yang terkait dengan kepatuhan organisasi terhadap hukum dan peraturan; h. Buatlah rencana perlakuan risiko secara spesifik dan jelas. Seperti rencana pada umumnya, rencana perlakuan risiko yang tidak spesifik dan tidak jelas 126 Manajemen Risiko Berbasis SNI ISO 31000
144 berpotensi mengarahkan kita pada perlakuan risiko yang tidak tepat sasaran dan atau tidak efektif, bila tidak gagal dalam pelaksanaaannya. Contoh rencana perlakuan risiko yang perlu dihindari: Meningkatkan intensitas pemantauan, sedangkan contoh perlakuan risiko yang baik: Menambah frekuensi review meeting dari 1 bulan sekali menjadi setiap minggu di hari Senin. i. Pihak yang mendapat pengaruh dari perlakuan risiko yang akan kita jalankan perlu mendapatkan informasi yang cukup mengenai rencana perlakuan risiko tersebut melalui proses komunikasi dan konsultasi; j. Pihak yang kita butuhkan untuk melaksanakan perlakuan risiko yang akan kita jalankan perlu mendapatkan informasi yang cukup mengenai ekspektasi yang kita miliki melalui proses komunikasi dan konsultasi; k. Risiko baru yang muncul dari pelaksanaan perlakuan risiko yang kita jalankan hendaknya diperlakukan sama seperti halnya risiko lainnya. 4.5 Pemantauan dan Tinjauan Adapun beberapa hal yang menjadi objek pemantauan dan tinjauan adalah antara lain: Perubahan konteks internal dan eksternal organisasi yang dapat menimbulkan kebutuhan untuk melakukan perubahan atau pengkinian konteks manajemen risiko, kriteria risiko, maupun hal-hal lainnya dalam pelaksanaan proses manajemen risiko; Perubahan eksposur risiko; Pelaksanaan dan efektivitas kendali serta perlakuan risiko [maupun rangkaian aktivitas lainnya dalam proses manajemen risiko]; Kesesuaian pelaksanaan proses manajemen risiko dengan pengaturan proseduralnya; Munculnya risiko baru. Dalam rangka memastikan bahwa pemantauan dan tinjauan dapat terlaksana secara efektif maka diperlukan keterlibatan masing-masing pihak secara relevan sesuai kapasitasnya masing-masing, antara lain: Pemilik risiko, yaitu orang atau entitas dengan akuntabilitas dan kewenangan untuk mengelola risiko sesuai definisi dalam SNI ISO 31000, Proses Manajemen Risiko 127
145 terhadap kelancaran dan efektivitas dari pelaksanaan proses manajemen risiko pada area tanggung jawabnya, termasuk di dalamnya efektivitas kendali dalam aktivitas organisasi sehari-hari; Para atasan pemilik risiko, terhadap kelancaran dan efektivitas pelaksanaan proses manajemen risiko yang dilakukan oleh pemilik risiko, termasuk efektivitas kendali kunci dalam aktivitas organisasi sehari-hari; Manajemen puncak, terhadap profil risiko, efektivitas kendali dan perlakuan risiko kunci, efektivitas pelaksanaan proses manajemen risiko, serta budaya risiko yang terbentuk di tingkatan organisasi; Unit kerja manajemen risiko, terhadap kecukupan, efektivitas, dan kesesuaian dengan karakteristik kebutuhan organisasi, baik pelaksanaan proses manajemen risiko, pengaturan proseduralnya, hasil maupun efektivitasnya, beserta perangkat pendukung, kompetensi SDM, dan budaya risiko yang terbentuk; Unit kerja audit internal, terhadap kesesuaian pelaksanaan proses manajemen risiko dengan pengaturan proseduralnya [dikenal sebagai audit manajemen risiko / audit internal berbasis risiko], beserta efektivitas kendali dan perlakuan risiko yang dijalankan oleh pemilik. Adapun selain beberapa hal di atas, SNI ISO juga memberikan arahan mengenai bagaimana dokumentasi proses manajemen risiko perlu dilaksanakan dengan mempertimbangkan kebutuhan pembelajaran bagi organisasi, kegunaannya dalam pengambilan keputusan manajemen, biaya dan upaya yang dibutuhkan untuk membuat dan memelihara data, ketentuan hukum dan peraturan terkait penyimpanan arsip, jangka waktu penyimpanan dan pemeliharaan data, metode akses terhadap informasi beserta media penyimpanannya, termasuk di dalamnya adalah sensitivitas informasi. Sehubungan dengan sensitivitas informasi manajemen risiko di atas, dokumentasi mengenai pelaksanaan maupun keluarannya masing-masing aktivitas dalam proses manajemen risiko hendaknya diperlakukan sebagai informasi rahasia organisasi. 128 Manajemen Risiko Berbasis SNI ISO 31000
146 BAB 5 5. TEKNIK PENILAIAN RISIKO BERBASIS SNI ISO 31010: Penjelasan Umum mengenai Teknik Penilaian Manajemen Risiko Seperti telah dijelaskan pada bab sebelumnya, penilaian risiko adalah bagian dari manajemen risiko yang menyediakan suatu proses terstruktur yang mengidentifikasi bagaimana sasaran mungkin akan dipengaruhi, dan analisis risiko dalam hal konsekuensi dan probabilitasnya sebelum pengambilan keputusan apakah diperlukan perlakuan lebih lanjut. Sehingga tersedia informasi berbasis bukti dan analisis untuk membuat keputusan berdasarkan informasi yang dianggap cukup tentang bagaimana memperlakukan risiko tertentu dan bagaimana memilih di antara berbagai opsi dalam menangani risiko. Efektifitas komunikasi dan konsultasi dengan para pemangku kepentingan juga menjadi hal yang penting dalam penilaian risiko ini, karena dengan sudut pandang kepentingan yang berbeda juga akan memberikan suatu persepsi atas risiko yang berbeda pula. Sehingga para pemangku kepentingan sebaiknya berkontribusi dalam proses penilaian risiko dengan membawa berbagai disiplin ilmu yang terkait, termasuk juga di dalamnya dibahas mengenai manajemen perubahan yang juga dapat memberikan sisi pandang dan persepsi risiko yang baru. Pada proses penilaian risiko diawali dengan identifikasi risiko, di mana proses identifikasi risiko adalah proses penemuan, pengenalan dan pendeskripsian risiko 48. Sesuai dengan SNI ISO/IEC 31010:2016, tujuan dari identifikasi risiko adalah untuk mengidentifikasi apa yang mungkin terjadi atau situasi apa yang mungkin mempengaruhi pencapaian sasaran dari sistem atau organisasi. Setelah risiko diidentifikasi, organisasi sebaiknya 48 Sumber : SNI ISO Guide 73:2016 Manjemen Risiko-Kosakata
147 mengidentifikasi setiap pengendalian yang ada seperti fitur rancangan, orang, proses dan sistem. Proses identifikasi risiko mencakup pengidentifikasian penyebab dan sumber risiko [potensi bahaya dalam konteks kerusakan fisik], kejadian, situasi atau keadaan yang bisa memiliki dampak material pada sasaran dan sifat dampak itu. Adapun metode identifikasi risiko dapat mencakupi: metode berbasis bukti, contohnya daftar periksa dan tinjauan dari data historis; pendekatan tim yang sistematis di mana tim ahli mengikuti suatu proses sistematis untuk mengidentifikasi risiko dengan sarana suatu himpunan terstruktur dari gagasan atau pertanyaan; teknik penalaran induktif seperti HAZOP. Berbagai teknik pendukung dapat digunakan untuk meningkatkan akurasi dan kelengkapan dalam identifikasi risiko, termasuk curah pendapat, dan metodologi Delphi. Dari hasil proses identifikasi tersebut, kemudian dilakukan analisis risiko, analisis risiko adalah tentang pengembangan suatu pemahaman tentang risiko. Hal ini memberikan masukan untuk penilaian risiko dan keputusan tentang apakah risiko perlu diberi perlakuan dan tentang strategi dan metode perlakuan yang paling tepat. Analisis risiko terdiri dari penentuan konsekuensi dan probabilitasnya untuk mengidentifikasi kejadian risiko, dengan memperhitungkan keberadaan [atau ketidakberadaan] dan efektivitas dari setiap pengendalian yang ada. Konsekuensi dan probabilitas risiko tersebut kemudian dikombinasikan untuk menentukan tingkat risiko. Metode yang digunakan dalam penganalisaan risiko dapat berupa kualitatif, semikuantitatif atau kuantitatif. Tingkat kerincian yang diperlukan akan tergantung pada aplikasi tertentu, ketersediaan data yang dapat dipercaya dan kebutuhan pengambilan keputusan organisasi. Beberapa metode dan tingkat kerincian dari analisis dapat dipersyaratkan oleh peraturan perundangan. Penilaian kualitatif mendefinisikan konsekuensi, probabilitas dan tingkat risiko dengan tingkat signifikansi seperti "tinggi", "menengah" dan 130 Manajemen Risiko Berbasis SNI ISO 31000
148 "rendah", dapat juga menggabungkan konsekuensi dan probabilitas, serta mengevaluasi tingkat risiko yang dihasilkan terhadap kriteria kualitatif. Berdasarkan dari analisis kemungkinan-kejadian dan konsekuensinya, maka selanjutnya dilakukan evaluasi risiko. Di mana pada proses ini dapat dilakukan analisa biaya dan manfaat yang untuk kemudian menjadi sebuah masukan untuk sebuah keputusan terkait dengan risiko, yang secara umum biasanya adalah sebagai berikut : apakah risiko memerlukan perlakuan; prioritas untuk perlakuan risiko; apa saja kegiatan yang sebaiknya dilakukan; 5.2 Memilih Tenik-Teknik Penilaian Risiko Mengacu kepada SNI ISO/IEC 31010:2016, secara umum teknik yang dapat dipilih sebaiknya yang sesuai dengan karakteristik sebagai berikut ini: teknik tersebut sebaiknya dapat dijustifikasi dan sesuai dengan situasi atau berdasarkan pertimbangan organisasi; teknik tersebut sebaiknya memberikan hasil dalam bentuk yang meningkatkan pemahaman tentang sifat dari risiko dan bagaimana hal itu dapat diperlakukan; teknik tersebut sebaiknya mampu digunakan dengan cara yang dapat ditelusuri, berulang dan dapat diverifikasi. Begitu keputusan telah dibuat untuk melakukan penilaian risiko dan sasaran serta ruang lingkup telah didefinisikan, teknik sebaiknya dipilih, berdasarkan faktor-faktor yang berlaku seperti: Sasaran studi. Sasaran dari penilaian risiko akan memiliki pengaruh langsung pada teknik yang digunakan. Misalnya, jika studi banding antara pilihan yang berbeda sedang dilakukan, mungkin dapat Teknik Penilaian Risiko Berbasis SNI ISO 31010:
149 diterima untuk menggunakan model konsekuensi kurang rinci untuk bagian dari sistem yang tidak terpengaruh oleh perbedaan; Kebutuhan pengambil keputusan. Dalam beberapa kasus rincian tingkat tinggi dibutuhkan untuk membuat keputusan yang baik, dalamhal lain suatu pemahaman yang lebih umum sudah mencukupi; Jenis dan berbagai risiko yang dianalisis; Besarnya potensi konsekuensi. Keputusan dimana kedalaman penilaian risiko dilakukan sebaiknya mencerminkan konsekuensi persepsi awal [meskipun ini mungkin harus diubah setelah suatu evaluasi pendahuluan telah dilengkapi]; Tingkat keahlian, sumber daya manusia dan lainnya yang dibutuhkan. Suatu metode sederhana, dilakukan dengan baik, dapat memberikan hasil yang lebih baik daripada prosedur yang lebih canggih dilakukan dengan buruk, asalkan memenuhi sasaran dan ruang lingkup penilaian. Biasanya, upaya yang dimasukkan ke penilaian sebaiknya konsisten dengan tingkat potensi risiko yang dianalisis; Ketersediaan informasi dan data. Beberapa teknik memerlukan informasi lebih lanjut dan data daripada yang lain; Kebutuhan untuk modifikasi / pengkinian penilaian risiko. Penilaian mungkin perlu dimodifikasi/ dikinikan di masa mendatang dan beberapa teknik lebih bisa diperbaiki dari yang lain dalam hal ini; persyaratan peraturan dan kontrak. Untuk setiap langkah dalam proses penilaian risiko, penerapan metode digambarkan sebagai sangat aplikatif, aplikatif atau tidak aplikatif [lihat Tabel 5.1] berikut ini: 132 Manajemen Risiko Berbasis SNI ISO 31000
150 Tabel 5.1 Penerapan alat bantu yang digunakan untuk penilaian risiko Alat bantu danteknik Identifikasi risiko Proses Penilaian Risiko Analisis Risiko Konsekuensi Probabilitas Tingkat risiko Teknik Penilaian Risiko Berbasis SNI ISO 31010: Evaluasi Risiko Curah pendapat SA 1] NA 2] NA NA NA Wawancara terstruktur atau semi-terstruktur SA NA NA NA NA Delphi SA NA NA NA NA Daftar periksa SA NA NA NA NA Analisis pendahuluan potensi bahaya SA NA NA NA NA Studi potensi bahaya dan operabilitas [HAZOP] Analisis potensi bahaya dan titik kendali kritis [HACCP] Penilaian risiko lingkungan Struktur apa-jika [SW IFT] SA SA A 3] A A SA SA NA NA SA SA SA SA SA SA SA SA SA SA SA Analisis skenario SA SA A A A Analisis dampak bisnis A SA A A A Analisis akar penyebab NA SA SA SA SA Analisis modus kegagalan dan dampak SA SA SA SA SA Analisis pohon kesalahan A NA SA A A Analisis pohon kejadian A SA A A NA Analisis sebab dan konsekuensi A SA SA A A Analisis sebab-dan-akibat SA SA NA NA NA Analisis lapisan proteksi A SA A A NA Pohon keputusan NA SA SA A A Analisi keandalan manusia SA SA SA SA A Analisis dasi kupu-kupu NA A SA SA A Pemeliharaan yang terpusat pada keandalan SA SA SA SA SA
151 Alat bantu danteknik Identifikasi risiko Proses Penilaian Risiko Analisis Risiko Konsekuensi Probabilitas Tingkat risiko Evaluasi Risiko Analisis rangkaian selinap A NA NA NA NA Analisis Markov A SA NA NA NA Simulasi Monte carlo NA NA NA NA SA Statistik Bayesian dan jaring Bayes NA SA NA NA SA Kurva FN A SA SA A SA Indeks risiko A SA SA A SA Matriks Konsekuensi/probabilitas SA SA SA SA A Analisis biaya/manfaat A SA A A A Analisis keputusan multikriteria [MCDA] A SA A SA A 1] SA = Sangat dapat diterapkan. 2] NA = Tidak dapat diterapkan 3] A = Dapat diterapkan Adapun faktor-faktor yang mempengaruhi pemilihan teknik-teknik penilaian risiko dapat dipertimbangkan dengan mengacu atribut dibawah ini: kompleksitas masalah dan metode yang diperlukan untuk menganalisis hal itu, sifat dan tingkat ketidakpastian dari penilaian risiko berdasarkan pada jumlah informasi yang tersedia dan apa yang diperlukan untuk memenuhi sasaran, tingkat sumber daya yang diperlukan dalam hal waktu dan tingkat keahlian, kebutuhan data atau biaya, apakah metode ini dapat memberikan keluaran kuantitatif. Pada Tabel 5.2 berikut ini adalah pengelompokan teknik-teknik penilaian risiko berdasarkan metode, di mana setiap metode diperingkatkan sebagai tinggi menengah atau rendah dalam hal sesuai dengan atribut tersebut di atas. 134 Manajemen Risiko Berbasis SNI ISO 31000
152 Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010: Jenis teknik penilaian risiko Tabel 5.2 Pengelompokan teknik-teknik penilaian risiko berdasarkan metode Deskripsi METODE PENCARIAN Suatu bentuk sederhana dari identifikasi risiko. Suatu teknik yang menyediakan daftar ketidakpastian khas yang Daftar periksa perlu dipertimbangkan. Pengguna mengacu pada daftar, kode atau standar yang disusun sebelumnya. Analisis pendahuluan potensi bahaya METODE PENDUKUNG suatu metode analisis induktif sederhana yang sasarannya untuk mengidentifikasi potensi bahaya dan situasi serta kejadian berpotensi bahaya yang dapat menyebabkan kerugian untuk suatu kegiatan, fasilitas atau sistem. Suatu cara pengumpulan sekelompok besar ide dan Wawancara dan evaluasi, pemeringkatan hal tersebut oleh suatu tim. Curah curah pendapat pendapat dapat distimulasi dengan cara diminta atau terstruktur teknik wawancara satu dengan satu dan satu dengan banyak orang. Penilaian kehandalan manusia [HRA] berkaitan dengan Analisis dampak manusia pada kinerja sistem dan dapat Keandalan digunakan untuk mengevaluasi pengaruh kesalahan Manusia [HRA] manusia terhadap sistem. Relevansi dari faktor yang mempengaruhi Sumber daya dan kapabilitas Sifat dan tingkat ketidakpastian Kompleksitas Dapat menyediakan keluaran kuantitatif Rendah Rendah Rendah Tidak Rendah Tinggi Sedang Tidak Rendah Rendah Rendah Tidak Sedang Sedang Sedang Ya
153 136 Manajemen Risiko Berbasis SNI ISO Jenis teknik penilaian risiko Deskripsi ANALISIS SKENARIO Suatu kerugian tunggal yang telah terjadi dianalisis dalam rangka untuk memahami penyebab yang berkontribusi Analisis akar dan bagaimana sistem atau proses dapat ditingkatkan penyebab untuk menghindari kerugian semacam itu di masa [Analisis kerugian mendatang. Analisis tersebut harus mempertimbangkan tunggal] kendali apa yang ada pada waktu kerugian terjadi dan bagaimana kendali dapat di tingkatkan. Analisis skenario Penilaian risiko terkait racun Skenario masa depan yang mungkin diidentifikasikan melalui imajinasi atau ekstrapolasi dari risiko pada saat ini dan yang berbeda mempertimbangankan asumsi bahwa setiap skenario mungkin terjadi. Analisis ini dapat dikerjakan dengan formal atau informal secara kualitatif atau kuantitatif. Potensi bahaya diidentifikasi dan dianalisis serta jalur yang mungkin di mana target tertentu dapat terekspos pada potensi bahaya diidentifikasi. Informasi mengenai tingkat paparan dan sifat bahaya yang disebabkan oleh suatu tingkat paparan yang ada dikombinasikan untuk memberikan suatu ukuran probabilitas bahaya tertentu akan terjadi. Relevansi dari faktor yang mempengaruhi Sumber daya dan kapabilitas Sifat dan tingkat ketidakpastian Kompleksitas Dapat menyediakan keluaran kuantitatif Sedang Rendah Sedang Tidak Sedang Tinggi Sedang Tidak Tinggi Tinggi Sedang Ya 136 Manajemen Risiko Berbasis SNI ISO 31000
154 Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010: Jenis teknik penilaian risiko Analisis dampak bisnis Analisis pohon kesalahan Analisis pohon kejadian Analisis sebabakibat Deskripsi Menyediakan suatu analisis tentang bagaimana risikorisiko kunci yang mengganggu dapat mempengaruhi operasi sebuah organisasi dan mengidentifikasi serta mengkuantifikasi kemampuan yang dibutuhkan untuk mengelolanya. Suatu teknik yang dimulai dengan kejadian yang tidak diinginkan [kejadian puncak] dan menentukan seluruh jalan di mana kejadian tersebut dapat terjadi. Jalan tersebut ditampilkan berbentuk grafik dalam suatu diagram pohon logis. Ketika pohon kesalahan telah dibangun, pertimbangan sebaiknya diberikan pada cara untuk mengurangi dan mengeliminasi penyebab/sumber potensial. Menggunakan pemikiran induktif untuk menterjemahkan probabilitas kejadian awal yang berbeda menjadi hasil keluaran yg mungkin. Suatu kombinasi analisis pohon kesalahan dan kejadian yang melibatkan keterlambatan waktu. Kedua sebab dan konsekuensi dari suatu kejadian awal dipertimbangkan. Relevansi dari faktor yang mempengaruhi Sumber daya dan kapabilitas Sifat dan tingkat ketidakpastian Kompleksitas Teknik Penilaian Risiko Berbasis SNI ISO 31010: Dapat menyediakan keluaran kuantitatif Sedang Sedang Sedang Tidak Tinggi Tinggi Sedang Ya Sedang Sedang Sedang Ya Tinggi Sedang Tinggi Ya
155 138 Manajemen Risiko Berbasis SNI ISO Jenis teknik penilaian risiko FMEA dan FMECA Pemeliharaan yang terpusat pada keandalan Deskripsi FMEA [Analisis modus kegagalan dan efek] adalah suatu teknik yang mengidentifikasi modus dan mekanisme kegagalan, dan efeknya. Ada beberapa jenis dari FMEA: Rancangan [atau produk] FMEA yang digunakan untuk komponen dan produk, sistem FMEA yang digunakan untuk sistem, proses FMEA yang digunakan untuk manufaktur dan proses perakitan, layanan FMEA dan Perangkat lunak FMEA. FMEA dapat diikuti dengan suatu analisis kekritisan yang mendefinisikan signifikansi setiap modus kegagalan, secara kualitatif, semi-kuantitatif, atau kuantitatif [FMECA]. Analisis kekritisan dapat didasarkan pada probabilitas di mana modus kegagalan akan menghasilkan kegagalan sistem, atau tingkat yang terasosiasikan dengan modus kegagalan, atau jumlah prioritas risiko. Suatu metode untuk mengidentifikasi kebijakan yang harus dilaksanakan untuk mengelola kegagalan sehingga dapat dicapai efisien dan efektif yang memerlukan keselamatan, ketersediaan dan keekonomisan operasi untuk semua jenis peralatan. Relevansi dari faktor yang mempengaruhi Sumber daya dan kapabilitas Sifat dan tingkat ketidakpastian Kompleksitas Dapat menyediakan keluaran kuantitatif Sedang Sedang Sedang Ya Sedang Sedang Sedang Ya 138 Manajemen Risiko Berbasis SNI ISO 31000
156 Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010: Jenis teknik penilaian risiko Analisis selinap [Analisis rangkaian selinap] HAZOP Hazard and operability studies Deskripsi Suatu metodologi untuk mengidentifikasi kesalahan rancangan. Kondisi selinap adalah kondisi laten perangkat keras, kondisi laten perangkat lunak atau kondisi laten terintegrasi yang dapat menyebabkan suatu kejadian yang tidak diinginkan terjadi atau dapat menghambat kejadian yang diinginkan dan tidak disebabkan oleh kegagalan komponen. Kondisi ini ditandai dengan sifat acak mereka dan kemampuan untuk menghindar pada saat deteksi paling ketat dari tes sistem terstandar. Kondisi selinap dapat menyebabkan operasi yang tidak benar, hilangnya ketersediaan sistem, keterlambatan program, atau bahkan kematian atau cedera untuk personel. Suatu proses umum dari identifikasi risiko untuk mendefinisikan deviasi yang mungkin dari kinerja yang diinginkan atau diupayakan.hal ini menggunakan suatu sistem berbasis kata-kata panduan kekritisan deviasi dinilai. Relevansi dari faktor yang mempengaruhi Sumber daya dan kapabilitas Sifat dan tingkat ketidakpastian Kompleksitas Teknik Penilaian Risiko Berbasis SNI ISO 31010: Dapat menyediakan keluaran kuantitatif Sedang Sedang Sedang Tidak Sedang Tinggi Tinggi Tidak
157 140 Manajemen Risiko Berbasis SNI ISO Jenis teknik penilaian risiko HACCP Hazard analysis and critical control points Deskripsi Suatu sistem yang sistematis proaktif dan preventif untuk memastikan kualitas produk, keandalan dan keselamatan proses dengan pengukuran dan pemantauan karakteristik spesifik yang dipersyaratkan untuk berada dalam batas yang ditentukan. PENILAIAN KENDALI LOPA [Analisis [Mungkin juga disebut sebagai analisis hambatan]. lapisan proteksi] Analisis ini memungkinkan kendali dan efektifitasnya di evaluasi. Analisis dasi kupu-kupu METODE STATISTIK Analisis Markov Suatu cara diagram sederhana yang menggambarkan dan menganalisis jalur risiko dari penyebab ke konsekuensi. Hal ini dapat dianggap sebagai kombinasi dari pemikiran analisis pohon kesalahan penyebab dari suatu kejadian [diwakili oleh simpul pada dasi kupu-kupu] dan konsekuensi analisis pohon kejadian Relevansi dari faktor yang mempengaruhi Sumber daya dan kapabilitas Sifat dan tingkat ketidakpastian Kompleksitas Sedang Sedang Sedang Analisis Markov, terkadang disebut juga analisis ruangkeadaan, biasanya digunakan dalam analisis sistem kompleks yang dapat diperbaiki dan dapat muncul dalam berbagai keadaan, termasuk keadaan terdegradasi. Dapat menyediakan keluaran kuantitatif Tidak Sedang Sedang Sedang Ya Medium High Medium Yes High Low High Yes 140 Manajemen Risiko Berbasis SNI ISO 31000
158 Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010: Jenis teknik penilaian risiko Analisis Carlo Monte- Deskripsi Simulasi monte carlo digunakan untuk menetapkan variasi agregat dalam suatu sistem yang dihasilkan dari berbagai variasi dalam sistem, untuk sejumlah masukan, di mana tiap masukan memiliki suatu distribusi yang terdefinisi dan masukan terkait dengan keluaran melalui hubungan yang terdefinisikan. Analisis tersebut dapat digunakan untuk suatu model spesifik di mana interaksi berbagai masukan secara matematis dapat di definisikan. Masukan tersebut dapat berdasarkan suatu variasi tipe distribusi menurut sifat ketidakpastian yang ingin ditampilkan. Untuk penilaian risiko, distribusi berbentuk segitiga atau distribusi beta umum digunakan. Analisis Bayesian Suatu prosedur statistik yang menggunakan data distribusi awal untuk menilai probabilitas hasil tertentu. Analisis Bayesian bergantung pada akurasi distribusi awal untuk mendeduksi suatu hasil yang akurat. Jejaring keyakinan Bayesian memodelkan sebab-dan-efek dalam berbagai ranah dengan menangkap hubungan probabilistik dari masukan variabel untuk membuahkan suatu hasil Relevansi dari faktor yang mempengaruhi Dapat Sumber daya dan kapabilitas Sifat dan tingkat ketidakpastian Kompleksitas menyediaka n keluaran kuantitatif High Low High Yes High Low High Yes Teknik Penilaian Risiko Berbasis SNI ISO 31010:
159 5.3 Pembahasan Beberapa Teknik Penilaian Risiko Analisis Dampak Bisnis 49 [Business Impact Analysis - BIA] Analisis dampak bisnis, yang juga dikenal sebagai penilaian dampak bisnis, menganalisis bagaimana risiko-risiko kunci yang mengganggu dapat mempengaruhi operasi sebuah organisasi dan mengidentifikasi serta mengkuantifikasi kemampuan yang dibutuhkan untuk mengelolanya. Secara khusus, BIA menyediakan suatu pengertian yang sama atas: Identifikasi dan kekritisan dari proses kunci bisnis, fungsi dan sumbersumber terkait serta interdependensi kunci yang ada untuk suatu organisasi; bagaimana kejadian yang mengganggu akan mempengaruhi kapasitas dan kemampuan dalam pencapaian sasaran bisnis yang kritis; kapasitas dan kemampuan yang dibutuhkan untuk mengelola dampak dari suatu gangguan dan memulihkan organisasi pada tingkat operasi yang disetujui. BIA digunakan untuk menentukan kekritisan dan jangka waktu pemulihan dari proses dan sumber-sumber terkait [orang, peralatan, teknologi informasi] untuk memastikan pencapaian sasaran yang berkelanjutan. Sebagai tambahan, BIA membantu dalam penentuan interdependensi dan hubungan timbal-balik antar proses, pihak internal dan eksternal serta setiap hubungan rantai pasokan. BIA merupakan proses yang dilakukan sebelum membuat Disaster Recovery Plan [DRP] melalui proses identifikasi dampak bisnis, identifikasi aktivitas yang kritikal, penentuan target waktu pemulihan dan pengukuran standar minimal yang dibutuhkan 50. Masukan [input] Masukan mencakupi: 49 Diringkaskan dari SNI ISO Teknik Penilaian Risiko 50 Susan Snedaker [2007], Business Continuity and Disaster Recovery Planning for IT Professionals 142 Manajemen Risiko Berbasis SNI ISO 31000
160 sebuah tim yang melakukan analisis dan mengembangkan suatu rencana; informasi tentang sasaran, lingkungan, operasi dan interdependensi dari organisasi; rincian aktifitas dan operasi organisasi, termasuk proses, sumber pendukung, hubungan dengan organisasi lain, pengaturan alih daya, pemangku kepentingan; konsekuensi kerugian dari proses kritis finansial dan operasional; daftar pertanyaan yang disiapkan; daftar orang yang diwawancara dari area yang relevan dari organisasi dan/atau pemangku kepentingan yang akan dihubungi; Proses BIA dapat dilakukan dengan menggunakan daftar pertanyaan, wawancara, lokakarya terstruktur atau kombinasi dari ketiganya, untuk memperoleh suatu pengertian dari proses kritis, efek kerugian dari proses tersebut dan jangka waktu pemulihan yang diperlukan serta sumber-sumber pendukung. Langkah-langkah kunci mencakupi: berdasarkan pada penilaian risiko dan kerentanan, konfirmasi terhadap proses kunci dan keluaran dari organisasi untuk menentukan kekritisan dari proses; penentuan konsekuensi dari suatu gangguan pada proses kritis yang teridentifikasi dalam istilah finansial dan/atau operasional, sepanjang periode yang ditetapkan; identifikasi terhadap interdependensi dengan pemangku kepentingan internal dan eksternal. Hal ini dapat mencakup pemetaan sifat dari interdependensi melalui rantai pasokan; penentuan sumber-sumber yang saat ini tersedia dan tingkatan penting dari sumber-sumber yang dibutuhkan untuk melanjutkan operasi pada tingkat minimum yang dapat diterima setelah terjadinya suatu gangguan; Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:
161 identifikasi solusi alternatif dan proses yang dipakai saat ini atau direncanakan untuk dikembangkan. Solusi alternatif dan proses mungkin butuh untuk dikembangkan dimana sumber-sumber atau kemampuan tidak dapat diakses atau tidak cukup selama terjadinya gangguan; penentuan waktu kegagalan maksimal yang dapat diterima [Maximum Acceptable Outage Time - MAO] untuk setiap proses berdasarkan pada konsekuensi yang teridentifikasi dan faktor-faktor kesuksesan yang kritis untuk fungsi tersebut. MAO merepresentasikan periode waktu maksimal organisasi dapat mentolerir hilangnya kapabilitas proses tersebut; Penentuan sasaran waktu pemulihan [Recovery Time Objective - RTO] untuk setiap peralatan khusus atau teknologi informasi. RTO merepresentasikan waktu dimana organisasi bertujuan untuk memulihkan peralatan khusus atau kemampuan informasi teknologi; Konfirmasi dari tingkat kesiapan saat ini dari proses kritis untuk mengelola suatu gangguan. Hal ini dapat mencakupi evaluasi tingkat pengulangan dalam proses [seperti suku cadang peralatan] atau eksistensi pemasok yang berganti-ganti. Keluaran [output] Keluarannya adalah sebagai berikut: daftar prioritas dari proses kritis dan saling ketergantungannya; dampak finansial dan operasional yang terdokumentasikan dari suatu proses kritis yang hilang; sumber daya pendukung yang dibutuhkan untuk proses kritis yang teridentifikasi; kerangka waktu penghentian sementara untuk proses kritis dan kerangka waktu pemulihan informasi teknologi yang terkait. Contoh kasus Pada sebuah bank bisa terjadi kondisi-kondisi gangguan pada kelangsungan bisnis dan layanan yang tidak direncanakan serta berpotensi menimbulkan 144 Manajemen Risiko Berbasis SNI ISO 31000
162 kerugian yang cukup besar bagi bank ataupun nasabahnya. Maka guna mengukur toleransi risiko yang dimungkinkan, perlu dilakukan penetapan nilai MAO. Adapun MAO yang dimaksud adalah berapa lama waktu layanan aplikasi bank tersebut boleh tidak berfungsi dan bisa ditoleransi oleh bank dan nasabahnya. Selanjutnya dari sudut bank penyedia layanan perlu memperhitungkan waktu yang dibutuhkan terkait dengan upaya pemulihan layanan aplikasi tersebut. Ada 2 sasaran yang harus diperhitungkan, yaitu: Recovery Time Objective [RTO] adalah lama waktu yang dibutuhkan untuk pemulihan layanan aplikasi bank tersebut. Dalam contoh kasus ini, bank tersebut menyatakan bahwa dalam waktu 5 jam maka layanan aplikasi tersebut harus bisa kembali pulih, ini berarti RTO = 5 jam. Recovery Point Objective [RPO] adalah ambang berapa banyak data yang boleh hilang sejak terakhir backup dilakukan. Dalam contoh kasus ini, backup data dilakukan setiap 1 jam sekali, sementara kerusakan yang berdampak pada sistem/storage dapat terjadi beberapa menit sebelum proses backup dijalankan, oleh karena itu nilai RPO adalah mendekati 1 jam [RPO = 1 Jam]. Dengan kata lain, suatu informasi/data boleh hilang maksimum 1 jam. Mengacu kepada RTO dan RPO tersebut, maka waktu kegagalan maksimal yang dapat diterima oleh bank dapat didefinisikan dengan jelas dan menjadi sasaran yang harus dicapai. Gambar 5.1 berikut ini memperlihatkan gambaran mengenai RTO dan RPO yang harus dicapai. Gambar 5.1 Penjelasan RPO dan RTO contoh kasus Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:
163 Berdasarkan hasil BIA untuk sistem aplikasi di sebuah bank diperoleh daftar prioritas dari aplikasi bank yang kritis beserta dengan dampak keuangan dan tingkat kekritisannya seperti Gambar 5.2 di bawah ini. Dan berdasarkan dari hasil BIA tersebut maka kemudian disusun Disaster Recovery Plan [DRP] sebagai sebuah rencana untuk pemulihan jika bahaya terjadi dengan sasaran sesuai dengan MAO, RPO dan RTO yang ditargetkan. Gambar 5.2 Daftar prioritas dari aplikasi bank yang kritis Kekuatan dari BIA meliputi: suatu pengertian dari proses kritis yang mempersiapkan organisasi dengan kemampuan untuk melanjutkan pencapaian sasaran mereka; suatu pengertian dari sumber daya yang diperlukan; suatu kesempatan untuk mendefinisikan kembali proses operasional dari suatu organisasi untuk membantu ketangguhan organisasi. Adapun keterbatasan dari analisis ini mencakupi: kekurangan pengetahuan dari partisipan yang terlibat dalam melengkapi daftar pertanyaan, wawancara atau lokakarya; 146 Manajemen Risiko Berbasis SNI ISO 31000
164 dinamika kelompok dapat mempengaruhi analisis yang lengkap dari proses kritis; ekspektasi yang menggampangkan atau terlalu optimis dari syarat pemulihan; kesulitan dalam mendapatkan tingkat pengertian yang cukup terhadap operasi dan aktifitas organisasi Analisis Sebab-dan-Akibat 51 [Cause-and-effect analysis] Analisis sebab-dan-akibat adalah metode terstruktur untuk mengidentifikasi kemungkinan penyebab dari suatu kejadian atau masalah yang tidak diinginkan. Analisis ini mengatur faktor kontribusi yang mungkin masuk ke dalam kategori yang luas sehingga semua kemungkinan hipotesis dapat dipertimbangkan. Akan tetapi, analisis ini tidak dengan sendirinya menunjuk pada penyebab sebenarnya, karena analisis ini hanya dapat ditentukan oleh bukti nyata dan pengujian hipotesis secara empiris. Informasi tersebut disusun baik dalam Diagram Tulang Ikan [juga disebut Ishikawa] atau kadang-kadang suatu diagram pohon. Analisis sebab dan akibat memberikan suatu tampilan bergambar terstruktur dari suatu daftar penyebab efek tertentu. Efeknya mungkin positif [suatu sasaran] atau negatif [suatu masalah] tergantung konteksnya. Analisis ini digunakan untuk memungkinkan pertimbangan semua skenario yang mungkin dan sebab yang dihasilkan oleh suatu tim ahli dan memperbolehkan konsensus untuk ditetapkan mengenai penyebab paling mungkin yang kemudian dapat diuji secara empiris atau dengan evaluasi dari data yang ada. Hal ini paling berharga pada awal suatu analisis untuk memperluas pemikiran tentang kemungkinan penyebab dan kemudian menetapkan hipotesis potensial yang dapat dianggap lebih formal. Analisis sebab-dan-akibat dapat digunakan sebagai suatu metode dalam melakukan analisis akar masalah. Membangun suatu diagram sebab dan akibat dapat dilakukan bila ada kebutuhan untuk: 51 Diringkaskan dari SNI ISO Teknik Penilaian Risiko Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:
165 Mengidentifikasi kemungkinan akar masalah, alasan dasar, untuk suatu efek, masalah atau kondisi tertentu; Memilah dan menghubungkan beberapa interaksi di antara faktor yang mempengaruhi suatu proses tertentu; Menganalisis permasalahan yang ada sehingga tindakan korektif dapat dilakukan. Manfaat dari membangun suatu diagram sebab dan akibat mencakupi: mengkonsentrasikan perhatian pada tinjauan anggota terhadap suatu masalah tertentu; untuk membantu menentukan akar suatu masalah dengan menggunakan suatu pendekatan terstruktur; mendorong partisipasi kelompok dan memanfaatkan pengetahuan kelompok untuk produk atau proses; menggunakan suatu format yang tersusun, mudah dibaca untuk menggambarkan hubungan sebab-dan-akibat dalam bentuk diagram; mengindikasikan variasi kemungkinan penyebab dalam suatu proses; mengidentifikasi area dimana data sebaiknya dikumpulkan untuk studi lebih lanjut. Masukan [input] Masukan pada analisis sebab-akibat bisa berasal dari keahlian dan pengalaman dari peserta atau suatu model yang dikembangkan sebelumnya yang telah digunakan di masa lalu. Proses Analisis sebab dan akibat harus dilakukan oleh suatu tim ahli yang berpengetahuan dengan masalah yang membutuhkan resolusi. Langkah dasar dalam melakukan suatu analisis sebab dan akibat adalah sebagai berikut: Tetapkan efek untuk dianalisis dan tempatkan dalam suatu kotak. Efeknya mungkin bisa positif [suatu sasaran] atau negatif [suatu masalah] tergantung pada keadaannya; 148 Manajemen Risiko Berbasis SNI ISO 31000
166 Tentukan kategori penyebab utama yang direpresentasikan oleh kotak dalam diagram tulang ikan [fishbone]. Untuk suatu masalah sistem, kategori-kategori yang digunakan dapat berupa manusia, peralatan, lingkungan, metode, material dan lainlain. Bagaimanapun, kategori tersebut dipilih sesuai dengan konteks terkait; Isilah dengan kemungkinan penyebab untuk setiap kategori utama dengan cabang dan sub-cabang untuk menggambarkan hubungan di antara mereka; Teruslah bertanya "mengapa?" atau "apa yang menyebabkan hal tersebut?" untuk menghubungkan dengan penyebabnya; Tinjau semua cabang untuk memverifikasi konsistensi dan kelengkapan serta memastikan bahwa penyebabnya berkaitan dengan efek utamanya; Identifikasi penyebab yang paling mungkin berdasarkan pendapat dari tim dan bukti yang ada tersebut. Hasilnya biasa ditampilkan baik sebagai suatu diagram tulang ikan atau Ishikawa atau sebagai diagram pohon. Diagram tulang ikan disusun dengan memisahkan penyebab ke dalam kategori utama [ditunjukkan oleh garis dari tulang punggung ikan] dengan cabang dan sub-cabang yang menggambarkan penyebab yang lebih spesifik dalam kategori tersebut. Gambar 5.3 Contoh diagram Ishikawa atau Tulang Ikan Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:
167 Bagaimanapun, hal ini tidak dapat dikuantifikasi untuk menghasilkan suatu probabilitas kejadian utama karena faktor penyumbang yang menyebabkan kejadian tersebut masih berupa suatu kemungkinan dibandingkan dengan suatu kegagalan yang memiliki probabilitas kejadian yang sudah diketahui. Diagram sebab-dan-akibat biasanya digunakan secara kualitatif. Hal itu dimungkinkan untuk diasumsikan bahwa probabilitas masalahnya adalah 1 dan menetapkan probabilitas untuk penyebab umum, dan kemudian pada sub-penyebab, berdasarkan tingkat kepercayaan tentang relevansinya. Keluaran [output] Keluaran dari suatu analisis sebab-dan-akibat adalah suatu diagram tulang ikan atau diagram pohon yang menampilkan penyebab yang mungkin dan lebih mungkin terjadi. Keluaran ini kemudian diverifikasi dan diuji secara empiris sebelum rekomendasi dibuat. Contoh kasus Sebuah rumah makan pizza menambahkan layanan pesan antar untuk produk pizza. Sasaran dari layanan pesan antar tersebut adalah diterimanya pizza masih dalam keadaan hangat dan tidak lebih dari 15 menit sejak selesai dimasak. Jika lebih dari 15 menit maka rumah makan akan memberikan potongan harga 15%, sehingga rumah makan bisa tidak mendapatkan keuntungan dari penjualannya. Pengantaran saat ini menggunakan sepeda motor. Dan selama 10 hari pertama lebih dari 35% pengantaran terlambat karena berbagai penyebab terjadinya hal tersebut, termasuk diantaranya adalah kemacetan yang sulit diprediksi. Diagram tulang ikan dapat digunakan untuk membantu mencari kemungkinan penyebab terjadinya risiko keterlambatan tersebut. 150 Manajemen Risiko Berbasis SNI ISO 31000
168 Gambar 5.4 Contoh pengisian diagram Ishikawa Dari contoh diagram tersebut maka terdapat beberapa penyebab risiko yang ditangani oleh rumah makan tersebut, diantaranya adalah perbaikan proses verifikasi alamat pengantaran, penambahan pengantar pada jam-jam tertentu, antisipasi terhadap hujan dan perbaikan jalan, mitigasi masalah jauhnya POM Bensin. Sehingga rumah makan bisa mulai mencari mitigasi risiko yang tepat untuk mengurangi risiko keterlambatan pengantaran pizza yang berdampak pada kurangnya keuntungan. Kesimpulan Kekuatan dari analisis ini mencakupi: keterlibatan dari ahli terapan yang bekerja dalam suatu lingkungan tim; analisis terstruktur; pertimbangan semua kemungkinan hipotesis; hasil berupa ilustrasi grafis yang mudah dibaca; area yang teridentifikasi untuk kebutuhan data lebih lanjut; dapat digunakan untuk mengidentifikasi efek faktor kontribusi baik yang diinginkan maupun yang tidak diinginkan. Mengambil suatu fokus positif pada suatu isu dapat mendorong rasa memiliki dan partisipasi yang lebih besar. Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:
169 Adapun keterbatasan dari analisis ini mencakupi: tim mungkin tidak memiliki keahlian yang dibutuhkan; analisis ini bukan suatu proses yang lengkap dan perlu menjadi bagian dari suatu analisis akar masalah untuk menghasilkan rekomendasi; analisis ini adalah suatu teknik tampilan untuk curah pendapat daripada sekedar suatu teknik analisis yang terpisah; pemisahan faktor penyebab ke dalam kategori utama pada awal analisis berarti bahwa interaksi antar kategori mungkin tidak dipertimbangkan secara memadai, misalnya ketika kegagalan peralatan disebabkan oleh kesalahan manusia, atau masalah manusia disebabkan oleh rancangan yang buruk Analisis Bahaya dan Titik Pengendalian Kritis [Hazard Analysis and Critical Control Point] Analisis Bahaya dan Pengendalian Titik Kritis [Hazard Analysis and Ctitical Control Point, HACCP] adalah salah satu teknik penilaian risiko yang ikut diulas dalam SNI ISO 31010:2016 Teknik Penilaian Risiko. Masuk dalam kategori Function Analysis bersama-sama dengan teknik penilaian risiko Failure Mode & Effect Analysis [FMEA], Reliability-centred Maintenance, Sneak Analysis, dan Hazard & Operability Studies [HAZOP], HACCP sangat aplikatif untuk digunakan dalam proses identifikasi risiko, analisis dampak risiko, maupun evaluasi risiko. Adapun teknik penilaian risiko ini umum digunakan dalam sektor industri pangan dan telah diadopsi oleh Komisi Codex Alimentarius [CAC], sebuah komisi yang didirikan oleh salah satu organisasi di bawah naungan PBB, Food and Agriculture Organization [FAO], menjadi salah satu rujukan metode penilaian risiko terkait keamanan pangan. Mengacu pada definisi yang dibuat oleh CAC, HACCP merupakan suatu pendekatan ilmiah yang sistematik yang membantu dalam mengidentifikasikan suatu bahaya tertentu dan mengukur kendali yang 152 Manajemen Risiko Berbasis SNI ISO 31000
170 diterapkan untuk memastikan keamanan pangan. Adapun terdapat 7 [tujuh] prinsip HACCP menurut CAC, yaitu 52 : [a] Melakukan analisis bahaya, [b] Menentukan titik pengendalian kritis, [c] Menentukan ambang batas kritis, [d] Menentukan suatu sistem untuk memantau kendali terhadap titik kritis, [e] Menentukan tindakan perbaikan yang akan dilakukan ketika pemantauan mengindikasikan suatu titik kritis tidak terkendali, [f] Menetapkan prosedur verifikasi untuk mengkonfirmasi bahwa sistem HACCP berfungsi secara efektif, [g] Membuat dokumentasi mengenai seluruh prosedur dan rekaman yang sesuai dengan prinsip-prinsip di atas beserta pengaplikasiannya. Proses Untuk memahami teknik penilaian risiko HACCP, bayangkan seorang supir truk pengangkut es krim yang bertugas mengantarkan es krim dari pabrik pembuatan es krim ke sebuah pasar swalayan. Tentunya, pabrik es krim maupun pasar swalayan tidak menginginkan es krim tiba dalam kondisi telah mencair, bukan? Situasi ini menimbulkan tantangan bagi supir truk untuk memastikan ruang pendingin truk bekerja secara baik selama dalam perjalanan di mana akan sangat merepotkan bila supir truk harus menepikan truknya, katakanlah setiap 15 menit sekali sepanjang perjalanan, untuk memeriksa apakah ruang pendingin truk yang dikemudikannya tetap bekerja dan suhu di dalam ruangan tidak melebihi titik cair es krim. Menyikapi situasi ini, supir truk dapat memasang alat pengukur suhu ruang pendingin yang dapat dipantau dari kabin pengemudi. Dengan demikian, supir truk akan tahu kapanpun ruang pendingin truknya mengalami gangguan dan terjadi peningkatan suhu di dalam ruang pendingin melebihi titik cair es krim. Melalui mekanisme ini, supir truk hanya perlu memastikan bahwa ruang pendingin truknya berfungsi dengan baik, serta indikator suhu dalam ruang pendingin yang dipantau melalui kabin pengemudi juga berfungsi dengan benar agar ia 52 Codex Alimentarius Commission, General Principles of Food Hygene CAC/RCP , Rev. 4, Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:
171 dapat memantau suhu dalam ruang pendingin dari kabin pengemudi selama di perjalanan, dan melakukan tindakan pencegahan lebih lanjut bila indikator suhu ruang pendingin menunjukkan peningkatan suhu agar tidak sampai melebihi titik cair es krim. Guna memastikan pengoperasian HACCP berlangsung secara efektif, CAC memberikan rujukan urutan logis dalam pengaplikasian HACCP sebagaimana yang ditunjukkan pada diagram berikut. Gambar 5.5 Urutan logis HACCP Ibid. 154 Manajemen Risiko Berbasis SNI ISO 31000
172 Adapun dalam penentuan titik pengendalian kritis, CAC juga menyediakan sebuah contoh pohon keputusan [decision tree] sebagaimana berikut. [Gambar 5.6 Contoh pohon keputusan untuk penentuan titik pengendalian kritis HACCP Ibid. Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:
173 Kesimpulan Adapun menurut SNI ISO 31010, HACCP memiliki kekuatan dan keterbatasan sebagai berikut: Kekuatan: Merupakan sebuah proses terstruktur yang menyediakan bukti terdokumentasi atas kendali mutu, pengidentifikasian dan upaya penurunan eksposur risiko; Menyediakan sebuah fokus pada praktik-praktik mengenai bagaimana dan di mana atau pada saat apa dalam suatu proses sebuah bahaya dapat dicegah dan risiko dikendalikan; Menyediakan kendali risiko yang lebih baik di sepanjang proses ketimbang hanya mengandalkan inspeksi akhir produk; Memampukan pengguna untuk mengidentifikasi bahaya yang berasal dari aktivitas manusia serta bagaimana bahaya ini dapat dikendalikan di tahap awal bahaya muncul atau pada tahap selanjutnya. Keterbatasan: HACCP membutuhkan sebagai masukan dalam prosesnya, bahaya dapat teridentifikasi, risiko yang muncul dari bahaya tersebut dapat terdefinisikan, dengan tingkat signifikansinya yang diketahui, agar kemudian dapat menentukan titik pengendalian kritis dan parameter kendali ang diperlukan. Melaksanakan suatu tindakan bila parameter kendali mengindikasikan ambang batas kritis telah terlampaui dapat menyebabkan pengguna kurang memperhatikan hal-hal yang dapat dilakukan ketika umumnya indikator meningkat secara bertahap. 156 Manajemen Risiko Berbasis SNI ISO 31000
174 5.3.4 Analisis Lapisan-Lapisan Proteksi 55 [Layers of Protection Analysis] Analisis Lapisan-lapisan Proteksi [Layers of Protection Analysis, LOPA] adalah metode semi-kuantitatif untuk mengestimasi risiko-risiko yang terkait dengan kejadian atau skenario yang tak diinginkan. Metode ini menelaah cara-cara yang memadai untuk mengendalikan atau memitigasi risiko. Untuk itu dipilih pasangan sebab-akibat dan diidentifikasi lapisan-lapisan perlindungan yang mencegah terjadinya penyebab yang mengarah pada terjadinya akibat [konsekuensi]. Selanjutnya dilakukan kalkulasi untuk menentukan apakah perlindungan cukup memadai untuk mengurangi risiko hingga pada taraf yang dapat ditoleransi. LOPA dapat digunakan secara kualitatif untuk meninjau-ulang lapisan-lapisan perlindungan di antara suatu bencana atau kejadian penyebab dan sebuah akibat. LOPA menggunakan masukan berupa informasi dasar tentang risiko beserta faktor-faktor penyebab berikut akibat-akibatnya. Analisis ini juga membutuhkan informasi tentang alat-alat kendali yang sudah digunakan atau yang sudah direncanakan. Informasi yang berkaitan dengan probabilitas dan tingkat keparahan kejadian risiko juga dibutuhkan, berikut definisi tentang risiko yang dapat ditoleransi. LOPA dilakukan dengan menggunakan sekelompok ahli dengan prosedur sebagai berikut. Identifikasikan penyebab awal suatu akibat yang tidak diinginkan dan cari data tentang frekuensi dan konsekuensinya. Pilihlah pasangan sebab-akibat tunggal. Identifikasikan dan analisis efektivitas lapisan-lapisan perlindungan yang mencegah proses yang mengarah pada terjadinya konsekuensi yang tidak diinginkan. 55 Diringkaskan dari ISO Teknik Penilaian Risiko Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:
175 Identifikasikan lapisan-lapisan perlindungan independen [independent protection layers, IPL] Estimasikan probabilitas kegagalan tiap IPL Frekuensi penyebab awal dikombinasikan dengan probabilitas kegagalan tiap IPL dan probabilitas sebarang pengubah kondisional, misalnya apakah seseorang akan hadir untuk terkena dampak, untuk menentukan frekuensi kemunculan konsekuensi yang tidak diinginkan. Urutan besaran digunakan untuk frekuensi dan pobabilitas. Taraf risiko yang dikalkulasi dibandingkan dengan taraf toleransi risiko untuk menentukan apakah apakah perlindungan lebih lanjut dibutuhkan. LOPA menghasilkan output berupa rekomendasi untuk pengendalian lebih lanjut dan efektivitas pengendalian itu untuk mengurangi risiko. LOPA adalah salah satu teknik untuk penilaian safety integrity level [SIL]. Gambar 5.7 Lapisan-lapisan perlindungan terhadap risiko dalam proses produksi di sebuah pabrik [contoh ilustratif] Manajemen Risiko Berbasis SNI ISO 31000
176 Community Response Emergency Response Physical Protection Gambar 5.8 Lapisan-lapisan perlindungan terhadap risiko bencana dalam gedung pabrik [contoh ilustratif] 57 LOPA mempunyai beberapa kekuatan, yakni: Membutuhkan waktu dan sumber daya lebih sedikit daripada analisis pohon kesalahan [fault tree analysis] atau penilaian risiko yang sepenuhnya kuantitatif, namun lebih ketat [rigorous] daripada penilaian subjektif kualitatif; Membantu mengidentifikasikan dan memfokuskan sumber daya pada lapisan perlindungan yang paling kritikal; Mengidentifikasikan operasi, sistem, dan proses dengan pelindung kurang memadai; Automated Safely Alarms and Manual Intervention Basic Controls Design Berfokus pada konsekuensi yang paling parah. LOPA mempunyai beberapa keterbatasan, yakni: LOPA berfokus pada satu pasangan penyebab-konsekuensi dan satu skenario pada suatu waktu. Interaksi-interaksi yang rumit di antara risiko-risiko atau di antara kendali-kendali tidak tercakup Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:
177 Risiko-risiko yag terkuantifikasi mungkin tidak ikut diperhitungkanpada kegagalan cara yang umum; LOPA tidak cocok untuk skenario-skenario yang amat rumit dengan banyak pasangan penyebab-konsekuensi ataupun untuk skenaroskenario dengan konsekuensi-konsekuensi beragam yang berpengaruh pada pemangku-pemangku kepentingan yang berbeda Analisis Dasi Kupu-Kupu 58 [Bow Tie Analysis] Analisis Dasi Kupu-kupu adalah cara sederhana menguraikan dan menganalisis jalur risiko dari penyebab hingga konsekuensi dengan bantuan diagram. Cara ini dapat dipandang sebagai kombinasi antara pendekatan pohon kesalahan untuk menelusuri asal-muasal penyebab suatu kejadian [diwakili oleh simpul suatu dasi kupu-kupu] dan pohon kejadian yang menganalisis konsekuensi dari suatu kejadian. Namun fokus analisis dasi kupu-kupu adalah pada serangkaian penangkal di antara penyebab-penyebab dan suatu risiko, dan di antara suatu risiko dan konsekuensi-konsekuensi. Diagram dasi kupu-kupu dapat dibangun mulai dari pohon kesalahan dan pohon kejadian, tapi sering langsung dibangun dari sesi curah pendapat [brainstorming]. Analisis dasi kupu-kupu digunakan untuk menggambarkan suatu risiko dengan secara terinci menguraikan kemungkinan-kemungkinan penyebab-penyebabnya dan konsekuensi-konsekuensinya. Analisis ini digunakan ketika situasi tidak memungkinan dilakukannya analisis pohon kesalahan secara lengkap atau ketika fokusnya lebih pada pemastian adanya penangkal atau kendali untuk tiap jalur kegagalan. Analisis ini berguna ketika jalur-jalur menuju kegagalan secara jelas bersifat saling bebas [independen, tidak saling bergantungan]. 58 Diringkaskan dari ISO Teknik Penilaian Risiko 160 Manajemen Risiko Berbasis SNI ISO 31000
178 Input atau prasyarat bagi penerapan analisis ini adalah pemahaman tentang informasi penyebab-penyebab dan konsekuensi-konsekuensi suatu risiko serta penangkal dan pengendali yang dapat mencegah, memitigasi, atau merangsangnya. Proses analisis ini terdiri atas beberapa langkah sebagai berikut: Tentukan risiko tertentu untuk dianalisis, tempatkan pada simpul tengah dasi kupu-kupu. Penyebab-penyebab kejadian risiko itu didaftar dengan mempertimbangkan sumber risiko. Mekanisme bagaimana sumber risiko mengarah pada kejadian kritis diidentifikasi. Tarik garis antara tiap penyebab dan kejadian sedemikian sehingga membentuk sayap kiri dasi kupu-kupu. Faktor-faktor yang mungkin memicu eskalasi dapat diidentifikasi dan disertakan ke dalam diagram. Penangkal yang dapat mencegah tiap penyebab yang mengarah pada terjadinya konsekuensi yang tidak diinginkan dapat disajikan dengan pita tegak melintang pada garis penghubung tersebut di atas. Bila ada faktor-faktor yang mungkin dapat memicu eskalasi, penangkal eskalasi itu dapat juga disajikan. Pendekatan ini dapat digunakan untuk konsekuensi-konsekuensi positif, dalam hal ini pita tegak mencerminkan kendali yang merangsang timbulnya kejadian. Pada sisi kanan dasi kupu-kupu disajikan konsekuensi-konsekuensi potensial dari risiko. Garis-garis memancar dari simpul pusat menuju ke setiap konsekuensi. Penangkal terjadinya konsekuensi disajikan dengan pita-pita tegak melintang pada garis-garis yang memancar dari simpul pusat. Pendekatan ini dapat digunakan untuk konsekuensi-konsekuensi positif, dalam hal ini pita tegak mencerminkan kendali yang mendukung pembangkitan konsekuensi. Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:
179 Fungsi manajemen yang mendukung kendali [misalnya pelatihan dan inspeksi] dapat disajikan di bawah dasi kupu-kupu dihubungkan dengan kendali yang terkait. Output dari analisis ini adalah diagram sederhana yang menyajikan jalur-jalur utama risiko dan penangkal-penangkal untuk mencegah atau memitigasi konsekuensi-konsekuensi yang tidak diinginkan atau merangsang dan mendorong terjadinya konsekuensi-konsekuensi yang diinginkan. Contoh Kasus Kasus 1. Sebuah perusahaan jasa boga [catering and restaurant] sedang menjajaki kemungkinan mengembangkan usaha pengantaran makanan langsung ke lokasi pelanggan dengan menggunakan kendaraan [sepeda motor dan mobil]. Perusahaan ini sedang berfokus pada risiko terjadinya kecelakaan lalu lintas yang dialami oleh kendaraan pengangkutan tersebut. Diagram dasi kupu-kupu berikut ini dapat menggambarkan hasil analisis risiko tersebut [Gambar 5.9]. Kasus 2. Sebuah perguruan tinggi mencatat kejadian-kejadian serangan jantung yang semakin sering terjadi pada tenaga pengajarnya. Risiko ini dapat dianalisis dengan hasil seperti yang disajikan pada diagram dasi kupukupu berikut ini [Gambar 5.10]. Gambar 5.9 Diagram dasi kupu-kupu untuk analisis risiko kasus Manajemen Risiko Berbasis SNI ISO 31000
180 Gambar 5.10 Diagram dasi kupu-kupu untuk analisis risiko kasus 2 Kita dapat mengembangkan diagram tersebut dengan menambahkan cabang-cabang baru di kedua sisi dasi kupu-kupu tersebut. Demikian juga, pita-pita tegak yang melintang pada tiap cabang itu dapat pula diperbanyak lagi. Sebagai contoh, untuk Kasus 1, pita-pita itu dapat mewakili [sesuai dengan nomornya], [1] pemeriksaan kendaraan secara rutin berkala, [2] lulus ujian mengemudi sebagai prasyarat, [3] membatasi jam kerja per hari, [4] asuransi kesehatan, [5] asuransi kendaraan, [6] kendaraan dan pengemudi cadangan. Untuk Kasus 2, dapat didefinisikan makna pita-pita bernomor itu sebagai [1] sosialisasi tentang gaya hidup sehat, [2] penetapan jumlah jam kerja maksimum per hari, [3] pengetatan kriteria seleksi pegawai baru, [4] santunan untuk pegawai yang meninggal dalam tugas, [5] asuransi kesehatan, [6] peningkatan upaya rekrutmen. Analisis ini mempunyai beberapa kekuatan sebagai berikut: Analisis ini sederhana sehingga mudah dipahami dan secara jelas memberikan gambaran visual yang menyajikan permasalahan yang dihadapi. Analisis ini berfokus pada kendali yang dapat dianggap merupakan titik pusat pencegahan dan mitigasi berikut efektivitasnya. Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:
181 Hal yang serupa dengan butir di atas dapat diterapkan untuk konsekuensi-konsekuensi yang diharapkan. Analisis ini tidak membutuhkan keahlian tingkat tinggi. Adapun keterbatasan-keterbatasannya adalah sebagai berikut: Analisis ini tidak mampu diterapkan pada kasus dengan penyebabpenyebab ganda yang secara serentak menjadi penyebab terjadinya konsekuensi. Analisis ini mungkin terlalu menyederhanakan masalah pada situasisituasi yang rumit, khususnya bila diinginkan penerapan analisis yang bersifat kuantitatif Analisis Monte Carlo 59 Analisis Monte-Carlo sering juga disebut simulasi Monte-Carlo adalah teknik yang sangat ampuh untuk evaluasi risiko. Teknik ini digunakan untuk menggambarkan mekanisme kerja sebuah sistem yang terdiri atas unsurunsur yang saling berhubungan antara satu dan lainnya dengan bentuk hubungan tertentu [didefinisikan]. Tiap unsur itu diberi nilai berdasarkan distribusi statistik tertentu. Analisis ini dapat digunakan untuk model spesifik yang melibatkan interaksi-interaksi berbagai input yang dapat didefinisikan secara matematis. Input-input itu dapat mengambil nilai dari berbagai distribusi statistik sesuai dengan sifat ketidakpastian yang diwakilinya. Contoh Kasus Untuk memahami analisis Monte-Carlo, baiklah kita mulai dengan membahas sebuah contoh sederhana berikut ini. Sewaktu belajar matematika di sekolah menengah dulu, kita diberi tahu bahwa rumus untuk menghitung keliling [K] sebuah lingkaran yang berjari-jari r, atau dengan kata lain berdiameter D = 2r, adalah K = 2πr = πd. Dengan kata lain, sesungguhnya π adalah perbandingan [ratio, nisbah] antara keliling dan diameter, yaitu π = 59 Diringkaskan dari ISO Teknik Penilaian Risiko 164 Manajemen Risiko Berbasis SNI ISO 31000
182 K/D. Contohnya, keliling lingkaran yang berdiameter satu meter adalah π meter. Memang, kita diajari bahwa nilai π adalah 22/7, namun sesungguhnya itu hanya pendekatan [aproksimasi]. Prosedur analisis Monte-Carlo dapat dijelaskan dengan contoh bagaimana mengaproksimasi nilai π berikut ini 60. Perhatikanlah Gambar berikut ini. Luas bujur sangkar pada Gambar itu adalah B = 2 x 2 = 4. Sedangkan luas lingkaran di dalamnya adalah L = πr 2 = π 1 2 = π. Dengan demikian L/B = π/4 atau π = 4 [L/B]. 1-1 y 0 x 1-1 r A Gambar 5.11 Lingkaran dan bujur sangkar dengan titik pusat berimpitan Masuklah kita ke pembahasan metode simulasi Monte-Carlo. Kalau saja pada Gambar itu kita taburkan butiran-butiran pasir secara merata memenuhi bujur sangkar itu, maka kita dapat memperoleh pendekatan 60 Wikipedia menguraikan makna π dan cara mengaproksimasikannya dengan metode simulasi Monte-Carlo. Tersedia juga daftar bahan bacaan yang mengulas topik itu. Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:
183 [aproksimasi] nilai L/B dengan membagi banyaknya butir pasir dalam lingkaran [L] dengan banyaknya pasir banyaknya butir pasir dalam bujur sangkar [B]. Kita dapat mensimulasikan hal itu dengan bantuan program komputer yang menyediakan pembangkit bilangan acak [random number generator]. Misalkanlah bilangan acak itu secara statistik terdistribusi secara seragam, maka definisikanlah pasangan bilangan nyata [x, y] dengan x ϵ [-1, 1] dan y ϵ [- 1, 1]. Artinya, x dan y adalah bilangan nyata, masing-masing terambil secara acak dari selang [-1, 1]. Perhatikan titik A[x, y]. Sesuai dengan Hukum Pythagoras, tiap titik pada kurva lingkaran itu memenuhi persamaan x 2 + y 2 = r 2. Oleh karena itu, maka tiap pasangan [x, y] yang memenuhi x 2 + y 2 < 1 mewakili sebutir pasir yang jatuh di dalam lingkaran. Sebaliknya bila pasangan [x, y] yang terambil itu tidak memenuhi syarat x 2 + y 2 < 1, maka pasangan itu mewakili sebutir pasir yang jatuh tidak di dalam lingkaran namun tetap di dalam bujur sangkar. Perintahkanlah komputer untuk melakukan hal itu berulang-ulang untuk memperoleh jumlah butir pasir, yaitu pasangan [x, y], yang cukup banyak. Menurut contoh yang diilustrasikan dalam Wikipedia, bila proses itu diulang hingga 30 ribu kali atau lebih, maka kita peroleh nilai yang cukup bagus untuk mengaproksimasi nilai π, yaitu dengan menggunakan rumus π = 4 [L/B], dengan L adalah banyaknya butir pasir di dalam lingkaran, sedangkan B adalah banyaknya keseluruhan butir pasir yang ada di dalam bujur sangkar itu. Secara umum metode simulasi Monte-Carlo cenderung mengikuti langkah-langkah berikut ini: [1] Definisikan domain, yaitu himpunan bilangan untuk input nilai-nilai yang mungkin terambil. Dalam contoh ilustrasi tadi langkah ini menentukan kisaran bilangan nyata yang dimungkinkan terambil untuk nilai x dan y, yaitu x ϵ [-1, 1] dan y ϵ [-1, 1]. [2] Bangkitkan input secara acak dari distribusi probabilitas pada domain tersebut. Dalam ilustrasi di atas distribusi probabilitas itu adalah distribusi seragam. Maknanya, tiap titik pada selang [-1, 1] mempunyai probabilitas yang sama untuk terambil sebagai input. [3] Lakukan komputasi deterministik pada input yang terpilih. Dalam ilustrasi tadi komputasi itu berupa pencacahan, yaitu menentukan jumlah 166 Manajemen Risiko Berbasis SNI ISO 31000
184 butir pasir yang jatuh di dalam lingkaran dan jumlah butir pasir yang jatuh di dalam bujur sangkar. [4] Agregasikan hasilnya. Dalam ilustrasi tadi agregasi itu itu berupa penghitungan nilai L/B, kemudian penerapan rumus π = 4 [L/B]. Agak jarang orang melakukan aproksimasi nilai π untuk tujuan-tujuan praktis, kecuali dalam dunia astronomi misalnya sewaktu dibutuhkan pendugaan atas panjang lintasan orbit benda luar angkasa yang mengikuti rumus matematika yang melibatkan nilai π. Di luar itu, barangkali matematikawan melakukan itu dalam studi mereka. Agar lebih realistis, marilah kita bahas kasus berikut ini 61. Misalkanlah kita ingin mengestimasi waktu total untuk menyelesaikan suatu proyek. Katakanlah ini proyek pembangunan gedung yang terdiri atas tiga bagian. Bagian-bagian itu harus diselesaikan satu per satu secara berturutan, sehingga jumlah keseluruhan waktu yang dibutuhkan untuk menyelesaikan proyek ini adalah jumlah dari waktu-waktu yang dibutuhkan untuk menyelesaikan bagian-bagian itu. Tabel 5.3 Model dasar Tugas Bagian 1 Bagian 2 Bagian 3 Perkiraan Waktu Penyelesaian [Bulan] Total 14 Dalam kasus yang paling sederhana, kita buat estimasi tunggal untuk tiap bagian dalam proyek tersebut. Model ini memberikan perkiraan waktu total untuk penyelesaian proyek selama 14 bulan. Namun nilai ini didasarkan pada tiga estimasi, masing-masing sebenarnya merupakan nilai yang tidak kita ketahui. Mungkin nilai itu merupakan hasil proses estimasi yang baik, namun model seperti ini tidak bisa banyak berguna untuk penilaian risiko. 61 Kasus ini disadur dari tulisan dalam laman Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:
185 Bagaimana memperkirakan kemungkinan bahwa proyek ini dapat diselesaikan tepat waktu? Kita dapat menjawab pertanyaan itu dengan sebuah model dengan menggunakan simulasi Monte-Carlo. Kita ciptakan tiga estimasi untuk tiap bagian dalam proyek itu. Untuk tiap bagian, kita perkirakan waktu minimum dan waktu maksimum berdasarkan pengalaman, saran ahli, atau data historis. Tabel 5.4 Model perkiraan dengan kisaran Tugas Minimum Bagian 1 Bagian 2 Bagian Perkiraan Waktu Penyelesaian [Bulan] Kemungkinan Maksimum Terbesar 5 7 Total Model pada Tabel 5.4 memberikan tambahan informasi, yaitu kisaran waktu yang dibutuhkan yang mungkin terjadi, minimum 11 bulan dan maksimum 19 bulan. Dalam simulasi Monte-Carlo, dengan bantuan program komputer kita secara acak membangkitkan nilai-nilai untuk tiap bagian tugas, kemudian mengkalkulasi waktu total penyelesaian. Kita lakukan prosedur itu berkali-kali, misalnya 500 kali. Berdasarkan hasil simulasi itu, kita dapat mendeskripsikan beberapa karakteristik risiko dalam model itu. Untuk menguji distribusi kemungkinan dari suatu hasil simulasi, kita hitung berapa kali model itu memberikan hasil berdasarkan simulasi itu. Dalam hal ini, kita ingin mengetahui berapa kali hasil simulasi itu lebih kecil daripada atau sama dengan jumlah bulan tertentu seperti yang disajikan dalam Tabel 5.5 berikut ini Manajemen Risiko Berbasis SNI ISO 31000
186 Waktu [bulan] Tabel 5.5 Hasil suatu simulasi Monte-Carlo Jumlah Kemunculan [dari 500 percobaan] Persentase dari Total [dibulatkan] Aslinya, perkiraan total jumlah bulan untuk Kemungkinan Terbesar adalah 14 bulan. Namun, hasil simulasi Monte-Carlo menunjukkan bahwa dari 500 percobaan dengan bilangan acak, ternyata hasil 14 bulan atau kurang hanya muncul dalam 34% kasus. Dengan kata lain, dalam simulasi ini peluangnya hanya 34% [sekitar 1 dari 3] bahwa suatu percobaan menghasilkan total waktu 14 bulan atau kurang. Di pihak lain, ada peluang sebesar 79% bahwa proyek itu diselesaikan dalam 15 bulan. Lebih lanjut, model ini menunjukkan bahwa kemungkinannya sangat kecil, dalam simulasi ini, bahwa kita menemui nilai total minimum atau maksimum mutlak. Temuan-temuan itu menunjukkan risiko dalam model. Berdasarkan informasi ini, kita dapat membuat pilihan-pilihan yang berbeda-beda sewaktu merencanakan proyek tersebut. Dalam proyek pembangunan konstruksi, misalnya, informasi ini dapat berdampak pada pengaturan keuangan, asuransi, perizinan, dan kebutuhan sewa-menyewa. Dengan demikian, informasi yang lebih baik pada tahap awal dapat memperbaiki kualitas perencanaan. Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:
187 Gambar 5.12 Probabilitas waktu penyelesaian proyek dalam kurun tertentu [bulan] atau kurang Seperti model peramalan pada umumnya, kualitas simulasi ini bergantung pada kualitas estimasi yang kita berikan. Perlu diingat bahwa simulasi ini hanya memberikan probabilitas dan bukan kepastian. Namun demikian, simulasi Monte-Carlo dapat menjadi alat yang berguna sewaktu kita meramalkan masa depan yang tidak kita ketahui. Dalam praktik manajemen risiko simulasi Monte-Carlo lazimnya digunakan untuk memperoleh dasar bagi penghitungan probabilitas terjadinya peristiwa risiko dalam sebuah sistem yang sedemikian rumit sehingga mustahil atau terlalu sulit untuk dipecahkan secara analitis. Sistem yang sangat rumit itu dalam simulasi Monte-Carlo dievaluasi dengan input yang didefinisikan sebagai variabel acak. Nilai input tersebut diambilkan dari pembangkit bilangan acak yang didefinisikan mengikuti fungsi distribusi probabilitas tertentu. Selanjutnya dilakukan prosedur simulasi, yakni memproses nilai input dari pembangkit bilangan acak secara berulang-ulang [bisa hingga ribuan atau bahkan ratusan ribu kali] sehingga menghasilkan distribusi probabilitas variabel-variabel output. Bila sistemnya cukup 170 Manajemen Risiko Berbasis SNI ISO 31000
188 sederhana, maka program-program komputer jenis spread sheet sudah cukup memadai untuk digunakan sebagai alat bantu simulasi. Bila sistemnya lebih rumit, maka perlu digunakan program-program komputer yang lebih canggih yang kini sudah cukup banyak beredar di pasar Analisis Markov 62 Analisis Markov dapat digunakan sebagai teknik untuk identifikasi risiko dan analisis risiko khususnya untuk mengukur aspek konsekuensinya. Analisis ini, sering disebut juga sebagai analisis ruang situasi [state space analysis], umumnya digunakan dalam analisis sistem-sistem kompleks yang dapat diperbaiki [repairable complex systems] yang ada dalam situasi-situasi majemuk [multiple states], termasuk situasi-situasi yang memburuk. Menurut SNI ISO Teknik Penilaian Risiko, teknik ini tergolong rumit dan membutuhkan sumber daya dan kapabilitas yang tinggi, namun dapat diandalkan dalam arti tingkat ketidakpastian keberhasilannya rendah. Teknik ini juga dapat menghasilkan simpulan yang bersifat kuantitatif. Analisis Markov digunakan pada kasus di mana situasi mendatang suatu sistem semata-mata bergantung pada situasi kini. Analisis ini lazim digunakan untuk analisis sistem-sistem yang dapat diperbaiki yang ada dalam situasi majemuk [multiple states] dan situasi di mana penggunaan analisis blok reliabilitas tidak cocok untuk menganalisis sistem secara memadai. Metode ini dapat diperluas ke sistem-sistem yang lebih rumit dengan menggunakan proses Markov dengan ordo lebih tinggi. Kemampuan analisis Markov dalam memecahkan sistem-sistem yang rumit hanya dibatasi oleh model, komputasi matematis dan asumsi-asumsi. Artinya, sejauh kita mampu menerjemahkan sistem-sistem itu menjadi sebuah model matematis dengan asumsi-asumsi yang masuk akal dan kemampuan komputasi dalam pemrograman komputer cukup memadai, maka analisis Markov umumnya dapat diandalkan. Proses analisis Markov adalah teknik kuantitatif, dapat bersifat diskret [menggunakan probabilitas perubahan di antara situasi-situasi] atau kontinu 62 Diringkaskan dari ISO Teknik Penilaian Risiko Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:
189 [menggunakan laju perubahan di antara stituasi-situasi]. Analisis Markov dapat dikerjakan secara manual, namun lazimnya teknik ini diterapkan dengan bantuan program komputer yang banyak beredar di pasaran. Contoh Kasus Untuk memahami analisis Markov, baiklah kita mulai dengan membahas sebuah contoh kasus 63. Dalam sebuah kota kecil hanya ada dua stasiun pengisian bahan bakar umum [SPBU], yaitu sebuah milik perusahaan P dan sebuah lagi milik perusahaan N. Asumsikanlah bahwa penduduk kota itu membeli bahan bakar [bensin] sebulan sekali pada salah satu dari kedua SPBU itu. Berdasarkan hasil survei yang dilakukan oleh perusahaan P, ternyata pembeli bensin di kota itu tidak sepenuhnya loyal pada salah satu SPBU. Pembeli bersedia pindah ke SPBU lain bila mereka mencermati iklan, kualitas layanan, dan faktor-faktor lainnya. Hasil survei itu menyebutkan bahwa jika seseorang membeli bensin dari perusahaan P pada suatu bulan, maka dia akan membeli lagi bensin di perusahaan itu pada bulan berikutnya dengan probabilitas 0.60 dan akan membeli di perusahaan N pada bulan berikutnya dengan probabilitas Di pihak lain, bila seseorang membeli bensin dari perusahaan N pada suatu bulan, maka dia akan membeli lagi bensin di perusahaan itu pada bulan berikutnya dengan probabilitas 0.80 dan akan membeli bensin di perusahaan P pada bulan berikutnya dengan probabilitas Distribusi probabilitas itu disajikan dalam tabel berikut ini. Tabel 5.6 Probabilitas perpindahan pelanggan per bulan Bulan ini Bulan depan Perusahaan P Perusahaan N Perusahaan P Perusahaan N Uraian pada bagian ini mengikuti tulisan yang dapat diunduh pada laman taylor_ims11_module_f.pdf 172 Manajemen Risiko Berbasis SNI ISO 31000
190 Dalam contoh ini ada beberapa asumsi penting. Pertama, seperti yang terlihat dalam Tabel 5.6, jumlah probabilitas tiap baris adalah satu, karena kejadian-kejadiannya bersifat saling asing [mutually exclusive] dan mencakupi secara menyeluruh [collectively exhaustive]. Artinya, jika seseorang membeli bensin dari perusahaan P pada suatu bulan, maka orang itu pada bulan berikutnya harus membeli bensin dari perusahaan P ataukah dari perusahaan N. Dengan kata lain, orang itu pada bulan berikutnya tidak akan berhenti membeli bensin dan tidak pula membeli dari perusahaanperusahaan itu kedua-duanya sekaligus. Kedua, distribusi probabilitas itu berlaku untuk tiap orang yang membeli bensin di kota itu. Ketiga, distribusi probabilitas itu tidak berubah dari waktu ke waktu. Dengan kata lain, kapan pun pelanggan beli bensin di kota itu, probabilitasnya untuk membeli bensin dari salah satu dari dua perusahaan itu tetap seperti yang disajikan dalam tabel tersebut. Sejauh tidak ada kondisi yang berubah, distribusi probabilitas dalam tabel itu tidak berubah juga. Sifat-sifat itulah yang membuat contoh tersebut digolongkan sebagai proses Markov. Dalam istilah Markov, SPBU itu disebut situasi sistem [states of the system]. Dengan demikian, contoh ini mempunyai dua situasi sistem, seorang pelanggan membeli bensin mungkin di P atau mungkin juga di N, pada suatu bulan tertentu. Probabilitas berbagai situasi yang disajikan dalam tabel itu disebut probabilitas transisi. Dengan kata lain, nilai-nilai itu menunjukkan probabilitas seorang pelanggan membuat transisi dari satu situasi ke situasi lain dalam suatu periode waktu. Sifat-sifat dalam contoh SPBU ini merupakan ciri-ciri proses Markov, yaitu [1] jumlah probabilitas transisi untuk situasi awal adalah satu, [2] probabilitas-probablitas itu berlaku untuk semua peserta dalam sistem, [3] probabilitas transisi bersifat konstan sepanjang waktu, dan [4] situasi-situasi di sepanjang waktu bersifat saling bebas [independen] satu terhadap yang lain. Informasi apa yang dapat dihasilkan dari analisis Markov? Yang paling jelas adalah informasi tentang probabilitas terjadinya situasi pada suatu periode di masa mendatang, mirip dengan informasi yang kita peroleh dari pohon keputusan. Misalnya, pengelola SPBU ingin tahu probabilitas bahwa Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:
191 seorang pelanggan akan membeli bensin di SPBU itu pada bulan ketiga, apabila diketahui bahwa pelanggan itu pada bulan ini membeli bensin dari SPBU itu. Gambar 5.13 dan 5.14 menjawab masalah tersebut, yaitu dengan menjumlahkan nilai probabilitas pada dua kedua cabang yang bersesuaian dengan nama perusahaan. Misalkanlah pada bulan 1 seorang pembeli membeli bensin dari perusahaan P. Pada bulan ketiga, probabilitas ia membeli dari perusahaan P adalah = 0.44; sedangkan probabilitas untuk membeli dari perusahaan N adalah = Bulan 1 Bulan 2 Bulan Gambar 5.13 Probabilitas situasi mendatang bila seorang pelanggan membeli bensin dari perusahaan P bulan ini Bulan 1 Bulan 2 Bulan Gambar 5.14 Probabilitas situasi mendatang bila seorang pelanggan membeli bensin dari perusahaan N bulan ini Manajemen Risiko Berbasis SNI ISO 31000
192 Analisis serupa dapat dilakukan untuk kondisi awal di mana pelanggan membeli bensin dari perusahaan N, seperti yang disajikan dalam Gambar Bila perusahaan N memulai proses pada bulan 1, maka probabilitas bahwa pelanggan membeli bensin dari perusahaan N pada bulan ketiga adalah = 0.72; sedangkan probabilitas bahwa pelanggan membeli dari perusahaan P adalah = Perhatikan bahwa jumlah probabilitas adalah satu, baik dalam kasus pertama [ = 1.00] maupun kasus kedua ini [ = 1.00]. Tabel 5.7 Probabilitas pembelian bensin pada bulan ketiga Situasi awal Perusahaan P Bulan ketiga Perusahaan N Jumlah Perusahaan P Perusahaan N Walaupun penggunaan pohon keputusan sepenuhnya logis untuk analisis ini, dalam praktiknya biasanya cara ini terlalu banyak makan waktu dan ruwet. Bayangkan, betapa ruwetnya pohon keputusan yang dibutuhkan untuk menghasilkan nilai-nilai probabilitas untuk bulan ke-10. Oleh karena itu, yang lebih lazim digunakan adalah teknik-teknik yang menggunakan aljabar matriks 64. Dalam aljabar matriks tersedia konsep dan teknik untuk memenuhi kebutuhan penghitungan nilai-nilai probabilitas tersebut. Dengan teknik aljabar matriks dapat dengan lebih mudah dihitung nilai-nilai probabilitas untuk masa depan yang jauh. Dapat ditunjukkan bahwa akan terjadi proses konvergensi, artinya nilai-nilai probabilitas itu menuju ke nilai tertentu yang akhirya konstan, sejalan dengan bertambahnya waktu ke masa depan. Dalam contoh kasus di atas, untuk bulan ke 8, 9, 10, dan seterusnya, nilai-nilai probabilitas untuk perusahaan P dan perusahaan N adalah berturut-turut [0.33, 0.67]. Situasi yang telah mencapai konvergensi ini disebut sebagai situasi mantap [steady state]. 64 Aljabar matriks lazimnya dibahas dalam mata kuliah Matematika Dasar tingkat perguruan tinggi. Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:
193 Nilai-nilai probabilitas dalam steady state menunjukkan tidak hanya probabilitas pelanggan membeli bensin dari perusahaan tertentu di masa depan dalam jangka panjang melainkan jugapersentase pelanggan yang akan membeli dari perusahaan tertentu pada suatu bulan di masa mendatang. Misalnya, di kota kecil itu ada 3000 pelanggan yang akan membeli bensin, maka dalam jangka panjang dapat diekspektasikan jumlah pembeli di tiap SPBU pada bulan tertentu, yaitu untuk P = [0.33] [3000] = 990 pelanggan, dan untuk N = [0.67] [3000] = 2010 pelanggan. Kesimpulan Metode Markov dapat digunakan untuk meramalkan probabilitas situasi-situasi di masa mendatang sejauh semua asumsi yang melandasinya cukup terpenuhi. Dengan demikian metode ini dapat menjadi alat analisis yang bermanfaat dalam penilaian risiko sebagai tahap yang sangat penting dalam proses manajemen risiko. Dewasa ini paket program komputer untuk membantu penerapan metode Markov sudah banyak beredar di pasaran. Prinsip kerjanya pada dasarnya didasarkan pada teknik-teknik aljabar matriks. Dengan bantuan paket program komputer penerapan analisis Markov untuk keperluan analisis risiko menjadi lebih mudah Analisis Bayes 65 Analisis Bayes adalah prosedur statistika yang memanfaatkan data distribusi awal untuk mengases probabilitas hasil. Kualitas analisis Bayes bergantung pada akurasi distribusi awal untuk dapat mendeduksi hasil yang akurat. Jejaring kepercayaan Bayes [Bayesian belief networks] memodelkan fenomena sebab-akibat [cause-and-effect] dalam berbagai ranah dengan memotretkan hubungan probabilistik di antara input-input variabel untuk menyajikan hasil. Menurut SNI ISO Teknik Penilaian Risiko, teknik ini tergolong rumit dan membutuhkan sumber daya dan kapabilitas yang tinggi, 65 Diringkaskan dari ISO Teknik Penilaian Risiko 176 Manajemen Risiko Berbasis SNI ISO 31000
194 namun dapat diandalkan dalam arti tingkat ketidakpastian keberhasilannya rendah. Teknik ini juga dapat menghasilkan simpulan yang bersifat kuantitatif. Contoh kasus Untuk memahami analisis Bayes, baiklah kita bahas beberapa contoh kasus 66. Misalkanlah dalam sebuah kantong ada dua buah bola. Dari awal sudah kita ketahui, bahwa sekurang-kurangnya satu di antara kedua bola itu berwarna hitam [black, B], namun kita tidak tahu dengan pasti apakah keduanya berwarna hitam, ataukah sebuah hitam dan sebuah lagi putih. Marilah kita definisikan notasi, BB adalah kejadian bahwa kedua bola itu berwarna hitam, sedangkan BW adalah kejadian bahwa satu bola itu hitam dan satu lagi putih [white, W]. Dengan demikian ada satu dan hanya satu pernyataan yang benar di antara kedua hipotesis di berikut ini: [1] BB, kedua bola itu berwarna hitam, dan [2] BW, satu bola berwarna hitam, dan satu lagi berwarna putih. Misalkanlah kita lakukan eksperimen, untuk membantu kita menentukan manakah di antara kedua hipotesis itu yang benar. Eksperimen dilakukan dengan mengambil sebuah bola dari dalam kantong itu kemudian mengamati warnanya. Katakanlah hasil eksperimen itu ternyata bahwa warna bola yang terambil adalah hitam. Kita katakan, D: hasil eskperimen adalah bahwa bola yang terambil berwarna hitam. Huruf D, singkatan dari data. Sekarang kita siap melakukan analisis Bayes, yaitu mengestimasi distribusi probabilitas isi kantong itu, yaitu probabilitas untuk BB dan BW berdasarkan hasil eksperimen tersebut. Adapun distribusi probabilitas sebelum eksperimen tersebut di atas dilakukan disebut sebagai distribusi probabilitas awal [prior probability distribution], yaitu P[BB] = 0.5 dan P[BW] = 0.5. Dengan kata lain, tanpa informasi tambahan tentang hasil eksperimen itu kita memperkirakan bahwa probabilitas BB sama dengan probabilitas BW, 66 Kasus-kasus ini disadur secara bebas dari catatan kuliah Introduction to Bayesian Statistics dari Prof. Brendon J. Brewer, The University of Auckland. Kunjungilah Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:
195 yaitu masing-masing adalah setengah. Perhatikan bahwa kejadian BB dan BW bersifat mutually exclusive, artinya bersifat saling asing [tidak mungkin BB dan BW terjadi bersamaan dua-duanya sekaligus], dan exhaustive, artinya tidak mungkin ada kejadian lain di luar kedua kejadian itu, sehingga jumlah probabilitas keduanya adalah satu. Hipotesis BB BW Prof. Brewer memperkenalkan konsep kotak Bayes berikut ini: Distribusi awal [Prior] Jumlah 1 Tabel 5.8 Kotak Bayes kasus bola Kemungkinan [Likelihood] h = Prior x Likelihood Distribusi akhir [Posterior] Kolom yang berjudul Kemungkinan [Likelihood] sangat penting dan perlu penjelasan khusus. Maknanya, kalau saja hipotesis benar, maka berapakah probabilitas munculnya hasil eksperimen? Untuk baris yang di atas, kalau saja hipotesis BB benar, berapakah probabilitas bahwa hasil eksperimen itu adalah D: bola yang terambil berwarna hitam. Tentu saja, kalau BB benar, hasil eksperimen [bola yang terambil berwarna hitam] sudah dapat dipastikan, probabilitasnya satu. Untuk baris yang di bawah, kalau saja hipotesis BW benar, yaitu di dalam kantong itu ada satu bola hitam dan satu bola putih, maka probabilitas bahwa hasil eksperimen itu adalah D: bola yang terambil berwarna hitam, adalah setengah. Fakta ini dapat diuraikan di dalam tabel berikut. Tabel 5.9 Kemungkinan hasil eksperimen dan probabilitasnya Hipotesis BB BW Data hasil eksperimen yang mungkin muncul Bola hitam Bola putih Bola hitam Bola putih Probabilitas Manajemen Risiko Berbasis SNI ISO 31000
196 Kini kita dapat mengisi kolom-kolom yang masih kosong pada Tabel 5.8, seperti yang dapat dilihat pada tabel berikut ini: Hipotesis BB BW Tabel 5.10 Kotak Bayes kasus bola yang sudah dilengkapi Distribusi awal [Prior] Kemungkinan [Likelihood] h = Prior x Likelihood Distribusi akhir [Posterior] Jumlah Perhatikan baik-baik bahwa kolom ketiga pada Tabel 5.10 berasal dari kolom ketiga Tabel 5.9 yang berhuruf cetak tebal. Jelaslah, penjumlahan ke bawah kedua nilai pada kolom itu tidak punya makna, oleh karena itu baris terakhir pada kolom itu pada Tabel 3 dibiarkan kosong. Kolom keempat berisi nilai hasil kali Prior dengan Likelihood. Kolom ini sesungguhnya menggambarkan distribusi probabilitas yang belum dinormalkan [dinormalkan berarti diubah sedemikian rupa sehingga jumlah probabilitas menjadi sama dengan satu, namun perbandingannya tidak berubah]. Untuk menormalkannya, maka tiap nilai probabilitas itu [0.50 dan 0.25] dibandingkan secara relatif terhadap jumlah keduanya [0.75], dan hasilnya diberikan pada kolom paling kanan, yakni kolom Posterior. Kolom Posterior inilah hasil akhir dari estimasi Bayesian terhadap distribusi probabilitas pada BB dan BW. Dengan kata lain, tujuan analisis Bayes adalah menghasilkan distribusi probabilitas posterior. Bandingkanlah kolom Prior dengan kolom Posterior. Sebelum ada informasi dari data hasil eksperimen kita mengestimasi bahwa probabilitas kebenaran hipotesis BB dan BW bernilai sama, yakni sama-sama setengah. Sesudah ada informasi dari hasil eksperimen bahwa yang terambil dari kantong adalah bola hitam, maka estimasi diperbaiki dengan metode Bayes, yakni menjadi P[BB] = dan P[BW] = Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:
197 Apabila kasus di atas kita generalisasikan, maka kita peroleh Aturan Bayes berikut ini: P[H D] = P[H D] adalah probabilitas posterior, artinya probabilitas bahwa hipotesis H benar apabila diketahui bahwa hasil eksperimennya adalah data D. Ruas kanan aturan itu menggambarkan proses normalisasi untuk membuat jumlah probabilitas sama dengan satu. Pembilangnya bermakna sama dengan kolom h pada Tabel 3, yaitu probabilitas prior P[H] kali probabilitas kemunculan data kalau saja hipotesis benar, P[D H]. Penyebutnya, P[D], adalah probabilitas bahwa eksperimen menghasilkan data D, untuk hipotesis yang mana pun yang benar. Dengan kata lain, P[D] adalah nilai pada kolom h untuk baris paling bawah [Jumlah]. Sekarang marilah kita tinjau contoh kasus kedua. Misalkanlah kita baru saja pindah ke rumah baru yang sudah dilengkapi dengan saluran telepon [wired fixed phone]. Kita tidak begitu yakin nomornya, namun sepertinya Untuk menguji hipotesis ini, kita lakukan eksperimen, yaitu mencoba telepon itu dan memutar nomor tersebut. Jika ingatan kita benar perihal nomor telepon tersebut, maka di telepon itu akan terdengar nada sibuk, karena kita menelepon diri sendiri. Jika ingatan kita tidak benar [nomor sesungguhnya bukan ], probabilitas mendengar nada sibuk adalah 1/100. Namun, semua itu berlaku hanya bila pesawat telepon itu tidak rusak, padahal mungkin saja pesawat telepon itu sedang rusak. Bila pesawat telepon itu sedang rusak, tentu saja akan selalu memberikan nada sibuk. Sewaktu kita melakukan eksperimen itu, hasilnya adalah data bahwa nada yang terdengar adalah nada sibuk [D = nada sibuk]. Kita perlu mempertimbangkan empat hipotesis berikut ini dan mengkalkulasi probabilitas posteriornya. Perhatikan Gambar 5.15 yang menunjukkan 180 Manajemen Risiko Berbasis SNI ISO 31000
198 bahwa keempat hipotesis tersebut bersifat saling asing [mutually exclusive] dan mencakupi semua kemungkinan secara keseluruhan [exhaustive]. Tabel 5.11 Deskripsi hipotesis dan distribusi probabilitas awalnya Hipotesis Deskripsi Probabilitas awal [Prior probability] H 1 H 2 H 3 H 4 Pesawat telepon baik, benar Pesawat telepon baik, salah Pesawat telepon rusak, benar Pesawat telepon rusak, H salah Telepon Baik H1 H3 Nomor Benar H Gambar 5.15 Sekatan hipotesis-hipotesis Analisis Bayes dapat dilakukan dengan bantuan Tabel Kolom pertama dan kedua berasal dari Tabel 5.11, yaitu hipotesis-hipotesis berikut distribusi probabilitas awalnya [nilai-nilai pada kolom kedua diberikan berdasarkan keyakinan kita]. Adapun pada kolom Likelihood, nilai baris pertama menyatakan bahwa jika H 1 benar [yaitu pesawat telepon baik, 555- Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:
199 3226 benar] maka eksperimen pastilah menghasilkan data bahwa D = nada sibuk, atau P[D/H 1] = 1. Pada baris kedua kolom Likelihood, tertulis bahwa P[D/H 2] = 0.01, sesuai dengan asumsi yang telah kita sebutkan di atas. Ada pun dua baris berikutnya menunjukkan bahwa P[D/H 3] = 1, yaitu bila H 3 benar [pesawat telepon rusak, benar], pastilah terdengar nada sibuk. Demikian pula P[D/H 4] = 1, yaitu bila H 3 benar [pesawat telepon rusak, salah], pastilah terdengar nada sibuk. Selanjutnya, kolom h dan kolom posterior diisi dengan prosedur seperti yang telah kita bahas untuk Tabel Hipotesis Tabel 5.12 Kotak Bayes kasus telepon Distribusi awal [Prior] Kemungkinan [Likelihood] 182 Manajemen Risiko Berbasis SNI ISO h = Prior x Likelihood Distribusi akhir [Posterior] H 1 H 2 H 3 H Jumlah Demikianlah, adanya data hasil eksperimen [bahwa terdengar nada sibuk] telah mengubah distribusi probabilitas awal [prior] menjadi distribusi probabilitas akhir [posterior]. Sekali lagi, tujuan analisis Bayes adalah menghasilkan distribusi probabilitas akhir [posterior probability distribution]. Kita dapat menggeneralisasi Tabel 5.12 menjadi Tabel 5.13 berikut ini. Distribusi awal berasal dari keyakinan subjektif sebelum mempertimbangkan data hasil eksperimen. Nilai likelihood diperoleh berdasarkan penalaran, yaitu bila H i benar, berapakah probabilitas bahwa eksperimen menghasilkan data D. Kolom h berisi nilai-nilai probabilitas sekatan-sekatan kejadian D, sehingga bila dijumlahkan, maka hasilnya adalah P[D]. Kolom paling kanan adalah hasil akhir dari analisis Bayes, yakni distribusi probabilitas akhir [posterior], yakni distribusi probabilitas yang telah mempertimbangkan data hasil eksperimen D.
200 Hipotesis H 1 H 2.. Tabel 5.13 Kotak Bayes [generalisasi] Distribusi awal [Prior] P[H 1] P[H 2].. Kemungkinan [Likelihood] P[D/H 1] P[D/H 2].. h = Prior x Likelihood P[H 1] x P[D/H 1] P[H 2] x P[D/H 2].. Distribusi akhir [Posterior] P[H 1/D] P[H 1/D].. Jumlah 1 P[D] 1 Analisis Bayes membantu kita memperbaiki pendugaan distribusi probabilitas dari yang awalnya ditentukan secara a priori berdasarkan intuisi subjektif atau data historis menjadi distribusi probabilitas a posteriori, yakni pendugaan yang sudah mempertimbangkan informasi baru atau data eksperimen termutakhir. Hasil pendugaan distribusi probabilitas berdasarkan analisis Bayes secara a posteriori tersebut selanjutnya dapat digunakan dalam analisis risiko. 5.4 Latihan Soal Teknik Penilaian Risiko Analisis Akar Penyebab [Root Cause Analysis] Ada beberapa metode yang berbeda-beda untuk menerapkan analisis ini. Berikut ini adalah langkah-langkah dasar yang biasanya digunakan: Membentuk satuan tugas. Menetapkan ruang lingkup dan tujuan analisis. Mengumpulkan data dan bukti dari kegagalan atau kerugian. Melakukan analisis secara terstruktur untuk menentukan akar penyebab. Merumuskan solusi dan membuat rekomendasi. Menerapkan rekomendasi. Memverifikasi keberhasilan penerapan rekomendasi. Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:
201 Soal untuk Latihan [1] Sebuah grup perusahaan yang terdiri dari perusahaan-perusahaan di berbagai sektor [properti, finansial, retail, dan hospitality] sedang mengantisipasi risiko kekurangan tenaga-tenaga berpengalaman untuk jabatan-jabatan strategis di dalam Grup tersebut. Terapkanlah langkahlangkah dasar tersebut di atas. Secara lebih terinci uraikanlah daftar pertanyaan untuk memperlancar pelaksanaan langkah keempat [melakukan analisis secara terstruktur untuk menentukan akar penyebab]. Soal untuk Latihan [2] Pemerintah Daerah sebuah provinsi memiliki dan mengelola beberapa pasar, baik yang tradisional maupun yang modern. Salah satu kerugian besar yang sering terjadi dalam pengelolaan itu disebabkan oleh kejadian kebakaran. Oleh karena itu perlu dilakukan analisis atas risiko tersebut. Terapkanlah langkah-langkah dasar tersebut di atas. Secara lebih terinci uraikanlah daftar pertanyaan untuk memperlancar pelaksanaan langkah keempat [melakukan analisis secara terstruktur untuk menentukan akar penyebab] Analisis Sebab-dan-Akibat [Cause-and-effect analysis] Instruksi Gunakanlah analisis sebab-dan-akibat dalam rangka penilaian risiko untuk soal dibawah ini. Gunakan diagram tulang ikan ataupun diagram pohon, dan tentukan perlakuan risiko yang mungkin dilakukan. Bentuklah kelompok kecil 3-5 orang dan pelajari berbagai pengetahuan tambahan yang dapat memperkaya pemahaman yang terkait dengan contoh soal. Soal Sebuah koperasi di desa Kebon Naga memberikan fasilitas pinjaman modal kerja untuk para petani di desa tersebut. Adapun dana yang dipinjamkan kepada para petani berasal dari uang simpanan para anggota koperasi dan juga pinjaman dari Bank Aman. Dan hasil keuntungan dari bagi 184 Manajemen Risiko Berbasis SNI ISO 31000
202 hasil pinjaman akan digunakan sebagai bagi hasil dari para anggotanya dan juga membayar kewajiban kepada Bank Aman. Jika pinjaman dari tidak dapat dibayarkan, maka Bank Aman dan perbankan lain tidaak dapat lagi mendukung koperasi tersebut. Koperasi akan mengalami kesulitan keuangan jika 10% pinjaman petani tersebut macet. Saat ini banyak petani yang meminjam uang untuk membeli pupuk untuk menanam sayur mayur yang setiap 2 bulan sudah bisa panen. Apa saja yang harus diantisipasi untuk menghindarkan Risiko Reputasi di mata perbankan. Perlakuan Risiko apa saja yang mungkin diambil? Analisis Dasi Kupu-Kupu [Bow Tie Analysis] Instruksi Kelas dibagi ke dalam beberapa kelompok untuk mengerjakan soal. Masing-masing kelompok kemudian memaparkan hasil kerja kelompok dan membandingkan kelengkapan hasil kerjanya dengan paparan kelompok lainnya. Soal 9 Kendaraan Tabrakan Beruntun di Tol Purbaleunyi 67 Patroli, Jawa Barat - Tabrakaan beruntun yang melibatkan 9 kendaraan terjadi di ruas Tol Purbaleunyi arah Pasteur, Kota Cimahi, Jawa Barat, Rabu pagi 4 Oktober Kecelakaan terjadi karena kendaraan sedan yang berada paling depan mengerem secara mendadak sehingga 8 kendaran di belakangnya tidak bisa menghindari tabrakan. Seperti ditayangkan Patroli Siang Indosiar, Rabu [04/10/2017], tabrakan beruntun ini menyebabkan kemacetan sepanjang 3 km dari arah Jakarta menuju Gerbang Tol Pasteur Kota Bandung. Tabrakan yang 67 sebagaimana dikutip pada tanggal 15 November Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:
203 melibatkan sembilan kendaraan jenis sedan dan minibus terjadi sekitar pukul 7 Rabu pagi. Seluruh kendaraan mengalami kerusakan di bagian depan dan belakang, bahkan ada kendaraan yang jendelanya pecah. Menurut salah satu korban, tabrakan terjadi karena mobil sedan yang melaju kencang di posisi paling depan tiba-tiba mengerem secara mendadak. Hal itu mengakibatkan delapan kendaraan di belakangnya tidak bisa menghindar sehingga terjadi tabrakan. Beruntung tabrakan ini tidak menyebabkan korban jiwa. Petugas tol mengerahkan empat unit mobil Derek untuk mengevakuasi seluruh kendaraan. Berdasarkan kejadian di atas, pihak Polres Cimahi meminta Anda untuk melakukan analisis dasi kupu-kupu terhadap risiko tabrakan beruntun yang dapat terulang kembali di seputar lokasi yang sama. Dengan melakukan analisis ini pihak kepolisian berharap dapat menentukan kendali risiko apa saja yang perlu terjaga efektivitasnya, baik terhadap rangkaian penyebab maupun dampak risiko, untuk selanjutnya disosialisasikan kepada kepada seluruh petugas kepolisian yang bertugaas menjaga ketertiban lalu-lintas dan kepada para pengguna jalan melalui media-media komunikasi masyarakat yang tersedia. 186 Manajemen Risiko Berbasis SNI ISO 31000
204 CATATAN TIM PENULIS: ISO 31000:2018 Dalam proses penerbitan buku ini, ISO merilis ISO 31000:2018 Risk Management - Guidelines sebagai bentuk komitmen Technical Committee 262 ISO dalam melaksanakan tinjauan reguler 5 tahunan terhadap standar ISO sesuai proses tinjauan sistematis yang diatur oleh ISO. Adapun perubahan ISO 31000:2018 dari versi tahun 2009 tidak terletak pada esensi penerapan manajemen risiko, di mana ISO 31000:2018 tetap mempertahankan keberadaan 3 unsur penting dalam penerapan manajemen risiko: 1] bahwa penerapan manajemen risiko harus mengacu atau berdasarkan serangkaian Prinsip Manajemen Risiko, yang 2] pengaturan pelaksanaannya tertuang dalam Kerangka Kerja Manajemen Risiko, dan kemudian 3] diwujudkan dalam serangkaian aktivitas dalam Proses Manajemen Risiko. Perubahan pada versi 2018 tertuju pada atributatribut yang melekat pada 3 unsur di atas, dengan ringkasan sebagai berikut: 1] Prinsip Manajemen Risiko: a] Prinsip Menciptakan dan melindungi nilai tujuan utama dari penerapan manajemen risiko; b] Prinsip Merupakan bagian dari pengambilan keputusan dan Secara eksplisit ditujukan pada ketidakpastian dikeluarkan dari daftar prinsip dan disampaikan secara implisit dalam penjelasan bagian Ruang Lingkup, Prinsip-Prinsip, serta Proses ; c] Prinsip-prinsip manajemen risiko lainnya tetap dipertahankan namun disampaikan dengan bentuk penamaan dan substansi yang lebih ringkas. 2] Kerangka Kerja Manajemen Risiko: a] Memberikan sorotan pada kepemimpinan manajemen puncak organisasi dengan mengubah penamaan komponen Mandat dan Komitmen menjadi Kepemimpinan dan Komitmen, berikut dengan penjelasannya;
205 b] Memberikan sorotan pada integrasi manajemen risiko yang bermula pada tata kelola organisasi dan menambahkannya sebagai komponen kerangka kerja manajemen risiko dengan penamaan Pengintegrasian ; c] Komponen-komponen lainnya dalam Kerangka Kerja Manajemen Risiko tetap dipertahankan dengan bentuk penamaan yang lebih ringkas berikut dengan beberapa perubahan dalam penjelasannya. 3] Proses Manajemen Risiko: a] Memberikan sorotan pada sifat pelaksanaan proses manajemen risiko yang dilaksanakan secara iteratif; b] Terdapat aktivitas baru yang secara eksplisit ditampilkan dalam bagan ilustrasi Proses Manajemen Risiko, yaitu Perekaman & Pelaporan ; c] Aktivitas-aktivitas lainnya dalam Proses Manajemen Risiko tetap dipertahankan dengan bentuk penamaan baru pada bagian Penetapan Konteks menjadi Ruang Lingkup, Konteks, Kriteria serta beberapa perubahan dalam penjelasannya. 4] Perubahan-perubahan di atas, berikut dengan perubahan bagan ilustrasi Prinsip Kerangka Kerja Proses Manajemen Risiko, difokuskan untuk menjelaskan bahwa penerapan manajemen risiko mengikuti pengaplikasian sebuah model sistem terbuka yang berkesinambungan. Mengingat bahwa perubahan yang terdapat pada versi tahun 2018 dan 2009 tidak pada tataran esensi melainkan pada atribut masing-masing 3 unsur esensial penerapan manajemen risiko, serta bahwa ISO yang diadopsi dan ditetapkan sebagai Standar Nasional Indonesia sejauh ini adalah ISO 31000:2009, maka tim penulis dan Badan Standardisasi Nasional [BSN] meyakini bahwa buku ini tetap dapat menjadi salah satu pilihan literatur rujukan atau referensi akademis dalam dunia profesional maupun pendidikan tinggi. 188 Manajemen Risiko Berbasis SNI ISO 31000
206 DAFTAR PUSTAKA Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:
207
208 DAFTAR PUSTAKA Alijoyo, A. [n.d.]. Pertahanan 3 Lapis [The 3 Lines of Defence] - Konteks ERM Perusahaan Publik di Indonesia. < publications/pertahanan-3-lapis-the-3-lines-of-defence-konteks-ermperusahaan-publik-di-indonesia/> American Risk and Insurance Association. [2017]. < Audriene, D. [2017]. Laba Adhi Karya Anjlok 32,4 Persen Sepanjang < /laba-adhi-karya-anjlok-324-persen-sepanjang-2016/> Ayuwuragil, K. [2017]. Hindari Petya, Kominfo Minta Semua Kementerian Matikan LAN. < /hindari-petya-kominfo-minta-semuakementerian-matikan-lan/> Aziza, K. S. [2017]. Pemerintah Targetkan Pemindahan Ibu Kota Dimulai < Badan Standardisasi Nasional. [2011]. SNI ISO 31000:2011 Manajemen Risiko - Prinsip dan Panduan. Jakarta: Badan Standardisasi Nasional. Badan Standardisasi Nasional. [2016]. SNI ISO/IEC 31010:2016 Manajemen Risiko - Teknik Penilaian Risiko. Jakarta: Badan Standardisasi Nasional. Badan Standardisasi Nasional. [2016]. SNI ISO Guide 73:2016 Manajemen Risiko - Kosakata. [2016]. Jakarta: Badan Standardisasi Nasional. Brewer, B. J. [n.d.]. Introduction to Bayesian Statistics. < Budiman, A. [2017]. Implementasi Manajemen Risiko. Bandung, Jawa Barat, Indonesia. 191
209 CAH. [2017]. Menristekdikti: Masyarakat Masih Takut dengan Pembangkit Listrik Tenaga Nuklir. < menristekdikti-masyarakat-masih-takut-dengan-pembangkit-listriktenaga-nuklir.html> Crawford, N. [2009]. ISO Opportunities & Implications for Turkish Organisations & Projects. Istanbul: Business Resilience Group. Definisi dan Pengertian Akuntabilitas [Konsep Pendidikan]. < 2015/04/definisi-pengertianakuntabilitas-konsep.html> Dionee, G. [2013]. Risk Management: History, Definition, and Critiqu. Kanada: CIRRELT. Enterprise Risk Management Policy. < media/pdf/enterprise-risk-management-policy_eng.pdf> Firmansyah, F. [2016]. Satelit BRIsat mengorbit, Seperti Apa Target Bisnis BRI? < Huda, L. [2016]. Terancam Diblokir, Ini Rencana Cadangan Grab Indonesia. < Markov Analysis. < objects/14127/ /online_modules/taylor_ims11_module_F.pdf> ISMS: Context of the organization. < Kotter, J. [2011]. Change Management vs. Change Leadership -- What's the Difference?. < change-management-vs-change-leadership-whats-thedifference/#2cf7d8014cc6 Meiria, C. H. [2016]. Raih Kembali Reputasi Perusahaan dengan Manajemen Krisis. < 192
210 Pasopati, G. [2017]. Dirut PT IBU Tersangka, Saham Tiga Pilar Melorot. < / dirut-pt-ibu-tersangka-saham-tiga-pilar-melorot/> PEST Analysis. < Pribadi, B. S., & Satlita, L. [2016]. Manajemen risiko sosial pembangunan bandara di Temon, Kulonprogo, DIY oleh PT. Angkasa Pura 1. < Project Management Institute. [2013]. A Guide to the Project Management Body of Knowledge [PMBOK Guide] [5th ed.]. Project Management Institute. RACI Matrix. < Responsibility assignment matrix. < Responsibility_assignment_matrix> Risk Management Society. [2011]. Rims Unveils New Look. < Brand%20Press%20Release.pdf> Setiawan, S. R. [2017]. Akhir 2016, Aset Konsolidasi Bank Mandiri Tembus Rp Triliun. < /akhir.2016.aset.konsolidasi.bank.%20mandiri.tembus.rp triliun> Snedaker, S. [2007]. Business Continuity and Disaster Recovery Planning for IT Professionals. Syngress. The Association of Insurance and Risk Managers. [n.d.]. A structured approach to Enterprise Risk Management [ERM] and the requirements of ISO < Airmic-Alarm-IRM-2010-A-structured-approach-to-ERM.pdf> The Geneva Association. [2017]. The Geneva Papers on Risk and Insurance - Issues and Practice. < geneva-papers/geneva-papers-risk-and-insurance-issues-andpractice> 193
211 The Organizational Process. < Tim Viva. [2016]. Pizza Hut Adukan Tempo dan BBC Indonesia ke Dewan Pers. < Yusuf, Y. [2016]. Manajemen Commuter Line Masih Buruk. < Line_Masih_Buruk Sekilas GCG. Retrieved from Pupuk Kaltim. < ina/pkt-management-system-kebijakan-tata-kelola/#benturankepentingan> Kebijakan Umum Manajemen Risiko PT. Mitra Pinasthika Mustika, Tbk. < p-rm%20policy%20&%20guidance.pdf> [n.d.]. [2017]. Garuda Indonesia SWOT & PESTLE Analysis. [2017].: 194
212 INDEKS 195
213 196
214 INDEKS KATA HALAMAN A Analisis risiko 22, 111, 113, 114, 120, 121, 126, 127, 129, 132, 133, 134, 142, 143, 145, 176, 177, 186, 192, 199 Analisis Keputusan Multi Kriteria 147 Analisis Markov 146, 153, 186, 187, 188, 192 Analisis Monte-Carlo 154, 179 AS/NZS 5 B Bayesian Statistics 192 Benefit 16, 27 Bobot 133 Bow Tie Analysis 174, 201 Brainstorming 174 Business Impact Analysis 155 C Capital 5, 8, 12, 13 Cause and Effect Analysis 160, 192, 200 Check 22, 64, 65 Checklist 89, 90 Control 6, 23, 44, 153, 166, 173 COSO 6 Cost 26, 27 D Decision Tree 168 Delphi 143, 145 Deteksi 94, 152 Deviasi 112, 152
215 KATA HALAMAN Disaster Recovery Plan 155, 159 Do 21, 64, 65 E Efektivitas 5, 23, 64, 65, 83, 90, 93, 95, 110, 111, 126, 130, 135, 137, 138, 139, 143, 172, 178, 202 Efisiensi 17, 18, 26, 30, 42, 83 Enterprise Risk Management 6 Entitas bisnis 14, 15 Evaluasi risiko 22, 111, 120, 121, 134, 143, 145, 166, 179 Event Tree Analysis 127 Eksposur 4, 5, 6, 7, 8, 9, 110, 111, 112, 113, 114, 117, 118, 119, 120, 126, 129, 130, 131, 133, 134, 135, 137, 138, 170 F Failure Mode and Effect Analysis 166 Fault Tree Analysis 173 Frekuensi 107, 109, 138, 171, 172 G Good Corporate Governance 82 H HACCP 146, 153, 166, 167, 168, 169, 170 Hazard Analysis and Critical 153, 166 Control Points Hazard and Operability Studies 152 HAZOP 143, 146, 152, 166 I Identifikasi risiko 22, 102, 104, 105, 120, 121, 122, 125, 127, 142, 143, 145, 198
216 KATA HALAMAN 148, 152, 166, 186 Indikator 67, 74, 94, 95, 96, 112, 113, 129, 130, 131, 167, 170, Inovasi 18 Input 156, 162, 175, 179, 181, 185, 192 Instalasi 127 Intangible 26, 27 Internalisasi 24, 91 Internal control 6 J Justifikasi 144 K Kebijakan manajemen risiko 67, 70, 71, 74, 75, 76, 80, 81, 82, 83, 86, 87, 95 Kerangka kerja manajemen risiko 21, 22, 24, 63, 64, 65, 66, 68, 69, 72, 76, 90, 91, 92, 93, 94, 95, 99, 103, 107 Ketidakpastian 4, 22, 30, 31, 44, 46, 50, 82, 97, 122, 123, 124, 125, 147, 148, 149, 150, 151, 152, 153, 154, 179, 186, 192 Konteks eksternal 33, 76, 77, 79, 94, 95, 107, 109, Konteks internal 76, 78, 94, 107, 108, 117, 138 Kontrol 10, 84, 127 Korektif 73, 161 Kriteria risiko 35, 70, 72, 76, 94, 107, 108, 199
217 KATA HALAMAN 109, 110, 111, 120, 129, 130, 131, 134, 138 L Layers of Protection Analysis 171 LOPA 171 Loss of efficiency 42 M Metodologi 4, 13, 105, 143, 152 Mitigasi risiko 88, 165, 171 Monitoring 64 Multiple States 186 N Normalisasi 16, 196 O Objectives 42 Observasi 32, 57, 64 Operasional 6, 14, 15, 23, 24, 28, 29, 64, 72, 85, 86, 104, 105, 106, 122, 129, 131, 131, 132, 133, 134, 136, 156, 158, 160 Otoritas Jasa Keuangan 6, 8, 14, 74, 126 P Pemantauan risiko 86 PESTLE 78, 79 Plan 21, 64, 65 Probability 193, 197, 198 Profil risiko 6, 23, 33, 76, 86, 117, 132, 134, 139 Q Qualified 38 R Reliability-Centered Maintenance 166 Residual 126 Risiko reputasi
218 KATA HALAMAN Risk Appetite 86 Risk Assesment Techniques 7, 20, 21 Risk Register 102, 121 Risk Tolerance 86 Root Cause Analysis 199 S Selera risiko 86, 115, 116, 117, 118, 120, 134, 135 Sneak Analysis 166 Stakeholder 45 Sumber risiko 109, 121, 142, 175 SWOT 78, 79 T Tata kelola 14, 15, 26, 27, 69, 71, 72, 78, 82, 84, 91, 97 U Unit 4, 42, 51, 52, 86, 89, 102, 139, 202 V Value-at-Risk 5 W Wewenang 22, 42, 80, 83, 86 Y Yield 42 Z Zona 17,
219 202
220 PROFIL PENULIS Charles R. Vorst adalah Seorang Technical Adviser pada Center for Risk Management Studies [CRMS] Indonesia, memiliki keahlian tersertifikasi di bidang Good Governance, Risk Management dan Business Continuity Mangement dengan sertifikasi profesi dalam dan luar negeri. Selain itu, ia juga memiliki pengalaman lebih dari 10 tahun sebagai konsultaan yang telah mendampingi banyak perusahaan dan lembaga negara. Saat ini, ia sedang menyelesaikan studi magister di salah satu universitas terkemuka, serta aktif sebagai Sekretaris Jenderal Indonesia Risk Management Professional Association [IRMAPA], anggota Komite Teknis Manajemen Risiko, Badan Standardisasi Nasional serta Certified Master Trainer dan Asessor Kompetensi pada LSP manajemen risiko berlisensi BNSP di Indonesia serta LSP di luar negeri. D. S. Priyarsono adalah Guru Besar Tetap pada Fakultas Ekonomi dan Manajemen, Institut Pertanian Bogor. Ia berlatar belakang pendidikan di bidang Statistika [lulus S1 dan S2 dari IPB] dan Ilmu Ekonomi [lulus S3 dari The University of Tsukuba, Jepang]. Bidang Manajemen Risiko ditekuninya sejak bertugas sebagai Komisaris dan Ketua Komite Pemantau Risiko di PT Angkasa Pura I yang mengelola 13 bandara di Indonesia. Ia juga lulus sertifikasi Enterprise Risk Management Certified Professional dan Certified Enterprise Risk Governance dan diangkat sebagai Assesor Kompetensi Bidang Manajemen Risiko oleh Badan Nasional Sertifikasi Profesi. Sejak 2015 hingga sekarang aktif sebagai anggota Komisi Teknis 03-10, Manajamen Risiko, BSN. Arif Budiman adalah seorang praktisi di bidang manajemen risiko lebih dari 10 tahun. Ia merupakan lulusan Teknik Industri Universitas Trisakti, serta pemegang bebearpa sertifikasi terkait manajemen risiko dari lembaga sertifikasi dalam dan luar negeri, diantaranya Enterpirse Risk Management Associate Professional, Risk Governance Professional, dan Enterprise Risk Governance. Memiliki pengalaman kerja di sektor perdagangan, pertambangan dan keuangan. Pernah bekerja di beberapa perusahaan anak usaha PT Astra Internasional, Tbk dan saat ini bekerja di anak usaha PT Tiara Marga Trakindo. Saat ini menjabat sebagai senior manajemen, anggota komite manajemen risiko serta komisaris. Ia juga aktif sebagai anggota Komite Teknis Manajemen Risiko BSN, anggota National Mirror Committee ISO/TC 262 Risk Management, Wakil Ketua Komisi Manajemen Risiko Asosiasi Perusahaan Pembiayaan Indonesia [APPI], dan Asesor Kompetensi BNSP. 203
221 204
222