1

BAB 2
RISIKO DAN MANAJEMEN RISIKO

2.1. Standar Manajemen Risiko

Perusahaan atau organisasi dari semua jenis industri dan ukuran perusahaan menghadapi
faktor internal dan eksternal yang memiliki pengaruh dalam mencapai tujuan perusahaan. Apa
saja yang menghambat dalam pencapaian target perusahaan merupakan risiko. Artinya dampak
dari ketidakpastian dalam mencapao tujuan perusahaan. Semua kegiatan perusahaan memiliki
risiko, sehingga harus mampu mengelola risiko dengan mengidentifikasi, menganalisis dan
kemudian mengevaluasi apakah risiko tersebut perlu dilakukan penanganan risiko dalam rangka
untuk memenuhi kriteria risiko yang telah dibuat. Sepanjang proses risiko di kelola, perlu
dilakukan komunikasi dan konsultasi dengan pemangku kepentingan (stakeholders) dan
memantau dan mengkaji ulang terhadap risiko serta mengendalikan risiko yang telah dilakukan
perlakuan risiko yang bertujuan untuk memastikan bahwa tidak ada perlakuan risiko lebih lanjut
yang diperlukan.
Banyak perusahaan atau organisasi dalam mengelola risiko telah menetapkan standar
dengan sejumlah prinsip yang haarus dipenuhi untuk membuat manajemen risiko menjadi efektif.
Standar ini merekomendasikan bahwa perusahaan atau organisasi melakukan pengembangan dan
menerapkan serta terus meningkatkan kerangka kerja (framework) yang bertujuan untuk
mengintegrasikan proses untuk mengelola risiko ke dalam seluruh perusahaan, strategi dan
perencanaan, manajemen, pelaporan proses, kebijakan, nilai-nilai dan budaya perusahaan.
Manajemen risiko dapat diterapkan untuk seluruh organisasi atau perusahaan dalam berbagai
risiko, baik perusahaan besar atau kecil, perusahaan profit oriented atau nirlaba.
Meskipun penerapan manajemen risiko telah berkembang dari waktu ke waktu dan dalam
berbagai sektor, proses penerapan yang konsisten dalam kerangka kerja yang komprehensif dapat
membantu untuk memastikan risiko yang dikelola secara efektif dan efisien di dalam perusahaan.
Diperlukan standar yang dapat memberikan prinsip-prinsip dan pedoman untuk mengelola segala
bentuk risiko secara sistematis, transparan, dan dapat dipercaya dan dalam setiap lingkup dan
konteks. Masing-masing sektor dalam penerapan manajemen risiko memiliki persepsi dan kriteria
sendiri sehingga bersifat unik walaupun dalam perusahaan atau organisasi yang sama.
Membangun konteks sebagai kegiatan awal pada proses penerapan manajemen risiko dimana
dalam menetapkan konteks akan melihat tujuan organisasi, lingkungan sekitar, kepentingan
stakeholders dan berbagai macam kriteria risiko sehingga dapat diketahui nilai sifat dan
kompleksitas risiko yang akan dihadapi perusahaan.
Tujuan untuk menerapkan standar manajemen risiko, antara lain:
1. Meningkatkan peluang mencapai tujuan/target perusahaan

2
 2. Mendorong manajemen bersifat proaktif. Artinya perusahaan sudah mengantisipasi
dan menyiapkan mitigasi bila terjadi risiko.
3. Telah mengidentifikasi dan menangani risiko di perusahaan
4. Memiliki profil risiko perusahaan
5. Patuh terhadap hukum dan peraturan yang berlaku dan norma-norma internasional
6. Pelaporan wajib dan sukarela menjadi tepat waktu
7. Meningkatkan tata kelola perusahaan atau organisasi
8. Meningkatkan kepercayaan pemangku kepentingan
9. Membangun dasar untuk pengambilan keputusan dan perencanaan
10. Meningkatkan pengendalian
11. Efektif dalam mengalokasikan dan menggunakan sumber daya untuk penanganan
risiko
12. Meningkatkan efektivitas dan efisiensi operasional perusahaan
13. Meningkatkan Health, Safety and Environmental (HSE) dengan lebih baik
14. Meningkatkan kemampuan mengelola risiko dan pencegahan serta meminimalkan
kerugian perusahaan.
15. Meningkatkan ketahanan perusahaan dan pembelajaran bagi perusahaan.
Secara umum, manajemen risiko mengacu pada arsitektur (prinsip, kerangka kerja dan
proses) dalam mengelola risiko secara efektif. Sedangkan pengelolaan risiko mengacu pada
penerapan arsitektur yang mengandung risiko tertentu saja.
Penerapan manajemen risiko membutuhkan analisis stakeholders dimana stakeholders
yang mempunyai pengaruh dan berdampak kuat yang dapat menimbulkan risiko untuk
perusahaan harus menjadi perhatian utama dari manajemen perusahaan. Dengan memperhatikan
kebutuhan stakeholders dalam penerapan manajemen risiko akan memudahkan dalam
mengidentifikasikan risiko dalam analisis tersebut.
Kebutuhan stakeholders, antara lain:
1. Manajemen bertanggung jawab untuk mengembangkan kebijakan manajemen risiko
dalam perusahaan.
2. Manajemen bertanggung jawab untuk memastikan risiko tersebut telah dikelola secara
efektif dalam perusahaan.
3. Manajemen mengevaluasi efektivitas perusaaan dalam mengelola risiko.
4. Manajemen mengembangkan standar, panduan, prosedur, dan kode praktek yang
secara keseluruhan atau sebagian dalam mengelola risiko
Standar internasional manajemen risiko memberikan prinsip-prinsip dan pedoman umum.
Standar internasional ini dapat digunakan oleh setiap masyarakat, perusahaan atau organisasi
swasta atau komunitas, asosiasi, kelompok atau perorangan sehingga standar ini tidak spesifik
untuk setiap industri atau sektor tertentu. Standar ini dapat diterapkan di seluruh kehidupan suatu
organisasi, dan untuk berbagai kegaiatan, termasuk strategi dan keputusan, operasi, proses,
fungsi, proyek, produk, jasa dan aset. Standar ini dapat diterapkan ntuk setiap jenis risiko, apapun
sifatnya, apakah memiliki dampak positif atau negatif. Meskipun standar internasional ini
memberikan pedoman umum, tidak dimaksudkan untuk keseragaman manajemen risiko di

3
perusahaan. Desain dan implementasi dari rencana manajemen risiko dan kerangka kerja akan
perlu mempertimbangkan berbagai kebutuhan organisasi tertentu, tujuan tertentu, konteks,
struktur, operasi, proses, fungsi, proyek, produk atau aset dan praktik tertentu yang digunakan.
Standar internasional ini dugunakan untuk menyelaraskan proses manajemen risiko dalam
standar yang ada dan standar masa depan. Standar internasional ini tidak dimaksudkan untuk
tujuan sertifikasi karena manajemen risiko tidak dapat dipastikan.

2.2. Australia Standard / New Zealand Standard

(AS/NZS 4360:2004)
Standar AS/NZS 4360:2004 (Standards Australia/Standards New Zealand) ini terdiri dari
2 buku, yaitu:
1. Pedoman Umum: Risk Management AS/NZS 4360:2004.
2. Petunjuk Teknis: Handbook, Risk Management Guidelines Companion to AS/NZS
4360:2004.
Ciri khusus dari Standar Australia / New Zealand AS/NZS 4360:2004, antara lain:
1. Dokumen standar terdiri dari 2 buku, yaituL Risk Management AS/NZS 4360:2004
(30 halaman) dan HB 436:2004 Risk Management Guidelines Companion to AS/NZS
4360:2004 (109 halaman)
2. Standar memuat prose manajemen risiko secara umum yang independen bagi setiap
jenis industri atau sektor ekonomi.
3. Dokumen AS/NZS 4360:2004 merevisi dokumen standar sebelumnya yaitu Standar
Manajemen Risiko AS/NZS 4360:1995 dan AS/NZS 4360:1999.
4. Standar memperhatikan Arah dan Tujuan sebagai bagian dalam Komponen Penetapan
Konteks Manajemen Risiko.
5. Standar menekankan perlunya pendekatan sistematis untuk mengidentifikasi risiko,
apakah risiko tersebut termasuk atau tidak termasik dalam pengendalian organisasi.
Standar menjelaskan secara rinci proses identtifikasi risiko, informasi yang
dibutuhkan, pendekatan untuk mengidentifikasi risiko dan dokumentasi identifikasi
risiko.
6. Standar mendefinisikan risiko sebagai kesempatan sesuatu terjadi yang akan
mempunyai dampak terhadap tujuan.
a. Risiko kadang diartikan dengan suatu peristiwa atau kondisi dan konsekuensi yang
mungkin ada
b. Risiko diukur dengan suatu kombinasi dari dampak dan probabilitas.
c. Risiko dapat mempunyai dampak positif atau negatif.
7. Komponen penganalisis risiko menjelaskan estimasi konsekuensi dan kemungkinan
risiko dengan mempertimbangkan pengendalian yang ada. Pendekatan analisis risiko
terbagi menjadi kualitatif, semikuantitatif dan kuantitatif. Standar menjelaskan adanya
definisi risiko residual sebagai risiko tersisa setelah pelaksanaan perlakuan risiko.
Perlakuan risiko dapat meliputi; menghindari, memodifikasi, berbagi risiko atau
menahan risiko.

4
 8. Standar mempertimbangkan komunikasi dan konsultasi pada awal standar
9. Standar memperhatikan opsi-opsi untuk memperlakukan risiko terpisah terhadap
risiko yang mempunyai hasil positif dengan risiko yang mempunyai hasil negatif.
10. Perlakuan risiko dapat meliputi; menghindari, memodifikasi, berbagi risiko atau
menahan risiko.
11. Standar menjelaskan bagaiamana pembentukan manajemen risiko yang efektif,
melalui:
a. Mengevaluasi praktik yang ada, meyakinkan adanya dukunganmanajemen senior
b. Membentuk wewenang dan tanggung jawab dan meyakinkan kecukupan sumber
daya
Tahapan Kerangka kerja Standar AS/NZS 4360:2004, yaitu

Gambar 2.1
Proses Manajemen Risiko

Menentukan Konteks

Risk Assessment
Komunikasi & Konsultasi

Monitoring & Review

Identifikasi Risiko

Analisis Risiko

Evaluasi Risiko

Perlakuan Risiko

Sumber: AS/NZS 4360: 2004

2.2.1. Komunikasi dan Konsultasi

Komunikasi dan konsultasi merupakan langkah penting pada setiap proses manajemen
risiko yang bertujuan menyamakan persepsi agar penerapan manajemen risiko dapat berjalan
efektif dan menghindarkan miscommunication. Komunikasi sangat penting dengan stakeholders
baik internal maupun eksternal. Rencana tersebut harus mengkomunikasikan risiko yang ada dan
proses untuk mengelolanya. Komunikasi dan konsultasi meliputi dialog dua arah diantaranya
para stakeholders dengan upaya yang berfokus pada konsultasi daripada komunikasi satu arah
dari pengambil keputusan kepada para stakeholders lainnya.

5
 Komunikasi internal dan eksternal yang efektif sangat penting untuk menerapkan
manajemen risiko dan pihak-pihak lain yang berkepentingan untuk memahami dasar
pengambilan keputusan dan mengapa tindakan-tindakan tertentu diperlukan.

2.2.2. Menetapkan Konteks

Proses terjadi dalam kerangka kerja konteks strategis, organisasi dan manajemen risiko.
Tahapan ini perlu dilakukan untuk mendefinisikan parameter dasar dimana risiko harus dikelola,
dan untuk menyediakan pedoman bagi keputusan dalam kajian manajemen risiko yang lebih
rinci. Tahapan ini menentukan lingkup bagi keseluruhan proses manajemen risiko. Makna
konteks di sini berarti segala hal yang berkaitan dengan upaya manajemen dalam rangka
mengelola risiko-risikonya.
Proses penetapan konteks mendefinisikan paramater dasar dalam pengelolaan risiko
dengan memberi pemahaman mengenai:
1. Menetapkan Konteks Strategis
2. Menetapkan Konteks Organisasi
3. Menetapkan Konteks Manajemen Risiko
4. Mengembangkan Kriteria Evaluasi Risiko
5. Mendefinisikan Struktur
Ruang lingkup manajemen risiko dalam organisasi, antara lain:
1. Sasaran dan tujuan program manajemen risiko dalam hubungannya dengan organisasi
2. Siapa, Apa, Kapan dan Bagaimanakah Sumber Daya Ditentukan
3. Menentukan kriteria perlakuan risiko
4. Merumuskan tingkat dan dalamnya aktivitas manajemen risiko
5. Merumuskan proyek atau aktivitas yang risikonya akan diidentifikasi
6. Merumuskan kriteria penaksiran risiko
7. Merumuskan kriteria apakah suatu risiko diterima atau tidak

Tabel 2.1. Likelihood/Probabilitas/Frekuensi

No Tingkat Probabilitas Penjelasan
1 Jarang Mungkin terjadi hanya pada kondisi tidak normal
2 Kemungkinan Kecil Mungkin terjadi pad banyak waktu
3 Kemungkinan Sedang Dapat terjadi pada beberapa waktu
4 Kemungkinan Besar Akan mungkin terjadi pada banyak keadaan
5 Hampir Pasti Dapat terjadi pada banyak keadaan

Tabel 2.2. Konsekuensi/Dampak/Severity

No Tingkat Dampak Penjelasan
1 Tidak Signifikan Tidak ada cedera, kerugian finansial yang tidak berarti
2 Rendah Penanganan pertolongan pertama, kerugian finansial
sedang, tingkat politis rendah
3 Menengah Diperlukan penanganan medis, kerugian finansial cukup

6
 besar, tingkat politis sedang
4 Besar Cidera yang meluas, kerugian finansial besar, tingkat
politis yang besar
5 Luar Biasa Kematian, kerugian finansial sangat besar, kekacauan
politis tingkat tinggi

2.2.3. Identifikasi Risiko

Langkah mengidentifikasi risiko-risiko sangat kritikal, karena risiko yang potensial jika
tidak teridentifikasi pada tahapan ini maka tidak akan dianalisis lebih lanjut. Identifikasi
komprehensif dengan mengggunakan proses sistematis yang terstruktut baik, harus mencakup
semua risiko, baik risiko yang berada dalam kendali organisasi maupun risiko yang di luat
kendali organisasi.
Tahap identifikasi risiko bertujuan untuk menghasilkan informasi-informasi mengenai
sumber risiko, bahaya (hazard), faktor risiko, bencana/musibah (perils), dan eksposur terhadap
kerugian. Pengggalian informasi yang dilakukan akan menghasilkan suatu daftar komprehensif
mengenai peristiwa yang dapat mempengaruhi setiap bisnis proses perusahaan. Setelah
mengidentifikasi daftar peristiwa, selanjutnya perlu untuk mempertimbangkan sebab-sebab dan
skenario yang mungkin. Ada banyak cara atas suatu peristiwa dapat terjadi. Yang penting adalah
tidak ada sebab signifikan yang terlewatkan.
Identifikasi risiko dapat dilakukan, melalui:
1. Pengalaman dan catatan-catatan
2. Brainstorming
3. Analisis system
4. Laporan-laporan
5. Audit dan rekomendasi yang lain
6. Apa yang dapat terjadi – daftar peristiwa yang mungkin terjadi
7. Bagaimana dan mengapa peristiwa dapat terjadi – daftar kemungkinan sebab-sebab
dan skenario

2.2.4. Analisis Risiko

Tujuan suatu analisis adalah untuk memisahkan risiko kecil yang dapat diterima dari
risiko-risiko besar, dan menyediakan data untuk membantu dalam mengevaluasi dan perlakuan
risiko. Analisis risiko mencakup pertimbangan mengenai sumber risiko, dampak dan probabilitas.
Faktor-faktor yang mempengaruhi dampak dan probabilitas dapat diidentifikasi. Risiko dianalisis
dengan mengkombinasikan estimasi terhadap dampak dan probabilitas di dalam konteks tindakan
pengendalian yang ada.
Suatu analisis pendahuluan dilaksanakan sehingga risiko-risiko yang sama atau risiko-
risiko berdampak rendah dapat dikecualikan dari kajian mendalam. Risiko-risiko yang
dikecualikan, jika mungkin, harus didaftar untuk memperhatikan kelengkapan analisis risiko.

7
Menentukan Pengendalian yang Ada
Menentukan pengendalian yang ada meliputi; aktivitas-aktivitas identifikasi pengelolaan, sistem
teknik, dan prosedur yang ada untuk mengendalikan risiko dan penaksiran kekuatan dan
kelemahannya. Perangkat yang digunakan dalam menentukan ada tidaknya pengendalian dengan
melakukan review internal-control yang layak digunakan, di samping pendekatan seperti inspeksi
dan teknik Control Self-Assessment (CSA).

Dampak dan Probabilitas

Besaran dampak suatu peristiwa, jika harus terjadi, dan probabilitas peristiwa beserta dampak
terkait, ditaksir di dalam konteks pengendalian yang ada. Dampak dan probabilitas dapat
ditentukan dengan menggunakan analisis statistik dan kalkulasi. Sebagai alternatif, jika tidak
tersedia catatan masa lalu, estimasi subyektif dapat dilakukan untuk mencerminkan tingkat
keyakinan dari individu atau kelompok, bahwa peristiwa atau outcome tertentu akan terjadi.
Untuk menghindari bias subyektif, sumber informasi yang tersedia dan teknik-teknik terbaik
harus digunkan ketika menganalisis dampak dan probabilitas.
Sumber-sumber informasi dapat diketahui dari:
1. Catatan masa lalu
2. Pengalaman yang relevan
3. Praktek dan pengalaman industri
4. Literatur umum yang relevan
5. Uji pemasaran dan riset pasar
6. Eksperimen dan prototype
7. Model ekonomi, rekayasa atau model lainnya
8. Pertimbangan spesialis dan pakar

Jenis-jenis Analisis
Analisis risiko dapat berupa analisis kualitatif, semi kuantitatif, kuantitatif atau kombinasi di
antaranya, tergantung pada informasi risiko dan data yang tersedia. Tingkat kerumitan dan biaya
dari analisis-analisis tersebut dalam urutan atas menaik adalah kualitatif, semi-kuantitatif dan
kuantitatif. Praktiknya, analisis kualitatif sering digunakan pertama kali untuk mendapatkan
indikasi umum mengenai level risiko. Selanjutnya mungkin perlu dilakukan analisis kuantitatif
yang lebih spesisifik. Adapun jenis-jenis analisis tersebut adalah sebagai berikut:
a. Analisis Kualitatif
Analisis kualitatif menggunakan istilah atau skala deskriptif untuk menggambarkan
besaran dampak yang potensial dan probabilitas bahwa dampak akan terjadi. Skala
tersebut dapat diadaptasikan atau disesuaikan dengan keadaan, dan uraian yang berbeda
dapat digunakan untuk risiko yang berbeda.
Analisis kualitatif digunakan:
1) Sebagai suatu aktivitas penyaringan awal untuk mengidentifikasikan risiko-risiko
yang memerlukan analisis yang lebih rinci;

8
 2) Ketika level risiko tidak memungkinkan dilakukannya analisis yang lebih penuh
karena faktor waktu dan sumber daya; atau
3) Ketika data numerik tidak memadai bagi suatu analisis kuantitatif.
b. Analisis Semi-kuantitatif
Dalam analisis semi kuantitatif, skala kualitatif seperti diuraikan di atas diberi nilai
tertentu. Angka yang dialokasikan kepada masing-masing uraian tidak harus
mengandung hubungan yang akurat dengan besaran yang sebenarnya dari dampak dan
probabilitas. Angka-angka dapat dikombinasikan dengan salah satu dari sekian formula
yang disajikan oleh sistem yang digunakan untuk keperluan prioritisasi, dicocokkan
dengan sistem yang dipilih untuk menunjuk angka-angka dan mengkombinasikannya.
Tujuannya untuk memperoleh prioritisasi yang lebih detail daripada yang biasanya
diperoleh dalam analisis kualitatif, tidak untuk memberikan nilai realistis suatu risiko
seperti dihasilkan dalam analisis kuantitatif.
Analisis semi kuantitatif harus digunakan secara cermat, karena angka-angka yang dipilih
dapat merefleksikan hubungan yang tidak wajar, yang dapat menghasilkan outcome yang
tidak konsisten. Analisis semi kuantitatif mungkin tidak mampu membedakan secara
layak risiko-risiko, terutama yang memiliki dampak atau probabilitas yang ekstrim.
Terkadang layak untuk mempertimbangkan bahwa probabilitas terdiri dari dua elemen,
biasanya merujuk kepada probabilitas sebagai frekuensi eksposure dan probabilitas.
Frekuensi eksposure adalah luasnya area dimana sumber risiko terdapat, sementara
probabilitas berarti kesempatan bahwa jika terdapat sumber risiko, dampak akan
mengikuti. Perhatian harus dipusatkan ketika terjadi situasi dimana hubungan antara
kedua elemen tidak seoenuhnya independen, misalnya terdapat hubungan yang kuat
antara frekuensi eksposure dengan probabilitas. Pendekatan ini dapat diaplikasikan dalam
analisis semi kuantitatif dan kuantitatif.
c. Analisis Kuantitatif
Analisis kuantitatif menggunakan nilai angka (daripada menggunakan skala deskriptif
seperti digunakan dalam analisis kualitatif dan semi kuantitatif), baik untuk dampak
maupun probabilitas, dengan menggunakan data dari berbagai sumber. Kualitas analisis
tergantung pada akurasi dan kelengkapan nilai numerik yang digunakan.
Dampak dapat diestimasi dengan pembuatan model outcome dari suatu atau beberapa
pereistiwa, atau dengan ekstrapolasi hasil kajian eksperimen atau data masa lalu. Dampak
dapat dinyatakan dalam satuan moneter (mata uang), kriteria teknik (satuan pengukuran)
atau manusia (kematian/cedera) atau kriteria lainnya. Dalam beberapa kasus, diperlukan
lebih dari satu nilai numerik untuk menentukan dampak pada waktu, tempat, kelompok
atau situasi yang berbeda.
Probabilitas biasanya dinyatakan sebagai frekuensi atau kombinasi antara eksposure dan
probabilitas. Cara menyatakan probabilitas dan dampak serta cara mengkombinasikan
keduanya untuk menyajikan suatu level risiko, akan berbeda sesuai dengan jenis risiko
dan konteks di mana level risiko tersebut digunakan. Apabila beberapa estimasi yang

9
 dibuat dalam analisis kuantitatif tidak tepat, maka analisis sensitivitas harus dilakukan
untuk menguji pengaruh perubahan dalam asumsi dan data.

2.2.5. Evaluasi Risiko

Evaluasi risiko merupakan pembandingan antara level risiko yang ditemukan selama
proses analisis dengan kriteria risiko yang ditetapkan sebelumnya. Di dalam evaluasi risiko, level
risiko, dan kriteria risiko harus diperbandingkan dengan menggunakan basis yang sama. Evaluasi
kualitatif mencakup pembandingan level risiko kualitatif terhadap kriteria kuantitatif, dan
evaluasi kuantitatif mencakup pembandingan level risiko numerik terhadap kriteria yang dapat
dinyatakan dalam angka tertentu, seperti kematian, frekuensi atau nilai uang.
Hasil dari evaluasi risiko adalah daftar prioritas risiko (risk register) untuk tindakan lebih
lanjut. Keputusan harus memperhatikan luasnya konteks risiko dan mencakup pertimbangan
toleransi risiko yang ditanggung oleh pihak-pihak selain organisasi yang mendapatkan manfaat
darinya. Jika hasil risiko-risiko masuk dalam ketegori rendah atau risiko yang dapat diterima,
maka risiko-risiko tersebut diterima dengan sedikit perlakuan lanjutan. Risiko-risiko yang rendah
atau dapat diterima harus dipantau dan ditelaah secara periodik untuk menjamin bahwa risiko-
risiko tersebut tetap dapat diterima. Jika risiko-risiko tidak masuk dalam ketegori rendah atau
risiko yang dapat diterima, risiko-risiko tersebut harus diperlakukan dengan menggunakan sati
opsi atau lebih dalam perlakuan risiko. Perlakuan risiko meliputi pengidentifikasian opsi untuk
memperlakukan risiko, menaksir opsi tersebut, menyiapkan rencana perlakuan risiko dan
mengimplementasikan rencana yang dimaksud. Opsi-opsi perlakuan risiko tersebut tidak bersifat
mutually-exclusive (satu risiko satu opsi) atau satu opsi cocok untuk semua kondisi risiko.

2.2.6. Evaluasi Risiko

Pilihan-pilihan dalam melakukan penanganan risiko, meliputi:
a. Menghindari risiko
Menghindari risiko dapat dilakukan dengan memutuskan untuk tidak melanjutkan aktivitas yang
akan mendatangkan risiko. Penghindaran risiko dapat terpikir secara tidak wajak karena sifat
keengganan risiko, yang merupakan kecenderungan banyak orang (seringkali dipengaruhi oleh
sistem, internal organisasi). menghindari risiko dapat meningkatkan signifikansi risiko lainnya.
Keengganan berisiko dapat mengakibatkan:
1. Keputusan untuk menghindari atau mengabaikan risiko diambil tanpa memperhatikan
informasi yang tersedia dan biaya yang dikeluarkan untuk memperlakukan risiko tersebut.
2. Kegagalan untuk memperlakukan risiko
3. Meninggalkan pilihan kritikal dan atau keputusan yang tergantung pada pihak lain
4. Penangguhan keputusan yang tidak dapat dihindari oleh organiasi, dan
5. Pemilihan opsi karena opsi tersebut menggambarkan risiko secara potensial rendah, tanpa
memperhatikan manfaatnya.

10
b. Mengurangi probabilitas
Opsi mengurangi probabilitas dapat dilakukan dengan;
1. Audit dan program peningkatan ketaatan
2. Persyaratan kontrak yang komprehensif
3. Penelaahan formal terhadap persyaratan, spesifikasi, rancanagan, rekayasa dan operasi
4. Inspeksi dan pengendalian proses
5. Manajemen investasi dan portofolio
6. Manajemen proyek
7. Perawatan yang bersifat preventif
8. Jaminan kualitas, manajemen dan standar
9. Penelitian dan pengembangan, pengembangan teknologi
10. Pelatihan terstruktur
11. Supervisi
12. Pengujian
13. Penyelarasan organisasi dan pengendalian secara teknik

c. Mengurangi Dampak
Opsi mengurangi dampak dapat dilakukan dengan cara, sebagai berikut:
1. Penyelarasan kontrak
2. Persyaratan kontrak yang komprehensif
3. Bentuk rancangan (design features)
4. Rencana pemulihan akibat bencama
5. Rintangan rekayasa dan struktural (engineering and structural barriers)
6. Perencanaan pengendalian kecurangan
7. Meminimalkan eksposure terhadap sumber risiko
8. Perencanaan portofolio
9. Kebijakan dan pengendalian penentuan harga
10. Pemisahan atau relokasi suatu aktivitas atau sumber daya
11. Hubungan masyarakat

d. Memindahkan risiko
Perlakuan ini melibatkan pihak lain untuk menanggung atau membagi beberapa bagian risiko.
Mekanismenya meliputi penggunaan kontrak, penutupan asuransi dan struktur organisasi seperti
kemitraan dan usaha patungan. Memindahkan risiko kepada pihak lain, atau memindahkan risiko
fisik ke tempat lain, akan mengurangi risiko bagi organisasi asal, tetapi mungkin tidak
menurunkan keseluruhan level risiko bagi masyarakat. Ketika risiko dipindahkan seluruhnya atau
sebagian, organisasi atau perusahaan yang memindahkan risiko memdapatkan risiko baru, jika
organisasi atau perusahaan tersebut tidak mengelola risiko secara efektif.

11
e. Menahan risiko
Setelah risiko dikurangi atau dipindahkan, mungkin masih terdapat risiko residual yang tertahan.
Rencana harus disusun untuk mengelola da,pak dari risiko semacam ini jika terjadi, teramasuk
pengidentifikasian cara membiayai risiko. Risiko dapat juga tertahan karena kelalaian, misalnya
terjadi kegagalan dalam mengidentifikasi dan atau memindahkan secara layak atau perlakuan
risiko lainnya.

2.2.7. Menilai Opsi Perlakuan Risiko

Opsi harus dinilai berdasarkan luasnya pengurangan risiko, dan besarnya manfaat
tambahan atau peluang-peluang yang tercipta, dengan mengembangkan kriteria evaluasi risiko.
Sejumlah opsi dapat dipertimbangkan dan diaplikasi baik secara individual atau dalam
kombinasi. Pemilihan opsi yang paling layak meliputi keseimbangan biaya implementasi masing-
masing opsi dengan manfaat yang diperleh darinya. Secara umum, dalam menentukan biaya
perlakuan risiko perlu mempertimbangkan manfaat yang diperoleh. Jika risiko dapat dikurangi
secara signifikan dengan pengeluaran (biaya) yang relatif kecil, maka opsi semacam ini harus
diimplementasikan. Opsi lanjutan untuk penyempurnaan mungkin tidak ekonomis dan
memerlukan pengujian pertimbangan apakah opsi tersebut dapat dibenarkan. Keputusan harus
memperhatikan perlunya pertimbangan yang hati-hati terhadap risiko yang jarang terjadi tetapi
berdampak besar, yang mungkin memerlukan tindakan pengurangan risiko yang tidak dapat
dibenarkan berdasarkan landasan ekonomi yang ketat.
Secara umum, dampak merugikan suatu risiko harus dibuat serendah mungkin dan dapat
dipraktekkan secara memadai, tanpa memperhatikan kriteria absolut. Jika level risiko tinggi,
tetapi peluang-peluang yang dapat dipertimbangkan dapat diperoleh dengan mengambil risiko,
seperti penggunaan teknologi baru, penerimaan terhadap risiko tersebut harus didasarkan pada
suatu penaksiran terhadap biaya perlakuan risiko, dan biaya untuk mengoreksi dampak potensial
dibandingkan peluang yang dihasilkan dengan mengambil risiko.
Dalam banyak kasus, kecil kemungkinan satu opsi perlakuan risiko akan menjadi solusi lengkap
bagi masalah tertentu, sering organisasi atau perusahaan memperoleh manfaat substansial dengan
mengkombinasikan beberapa opsi, misalnya mengurangi probabilitas risiko, mengurangi
dampaknya dan memindahkan atau menahan risiko residual. Contohnya adalah penggunaan
kontrak yang efektif dan pembiayaan risiko yang didukung dengan program pengurangan risiko.
Jika biaya kumulatif pengimplementasian seluruh perlakuan risiko melebihi risiko
anggaran yang tersedia, rencana harus secara jelas mengidentifikasi urutan prioritas perlakuan
masing-masing risiko residual yang harus diimplementasikan. Pengurutan prioritas dapat
ditentukan menggunakan beberapa teknik, termasuk ranking risiko dan analisis biaya-manfaat.
Perlakuan risiko yang tidak dapat diimplementasikan dalam batas anggaran yang tersedia harus
menunggu sampai terjadinya sumber daya keuangan lebih lanjut, atau jika karena alasan beberapa
atau keseluruhan perlakuan yang tersisa di rasa penting, maka suatu alasan harus dibuat untuk
mengamankan pembiayaan tambahan.

12
Opsi perlakuan risiko harus mempertimbangkan bagaimana risiko dirasakan oleh pihak-pihak
yang terpengaruh, dan cara yang paling layak dilakukan adalah berkomunikasi dengan pihak-
pihak tersebut.

2.2.8. Menyiapkan Rencana Perlakukan Risiko

Rencana yang dibuat harus mencakup dokumentasi tentang bagaimana opsi yang terpilih
akan diimplementasi. Rencana perlakuan harus meliputi identifikasi penanggung jawab, jadwal,
outcome yang diharapkan dari perlakuan, anggaran, ukuran kinerja, dan proses penelaahan yang
harus dijalankan. Rencana juga harus mencakup suatu mekanisme untuk menaksir implementasi
perlakuan terhadap kriteria kinerja, pihak yang bertanggung jawab dan tujuan-tujuan lain, dan
untuk memantau tahap-tahap pengimplementasian yang kritikal.
Idealnya, dalam pengimplementasian rencana perlakuan, penanggung jawab terhadap perlakuan
harus dipikul oleh pihak yang paling dapat mengendalikan risiko. Penanggung jawab harus
disepakati di antara para pihak pada kesempatan pertama. Keberhasilan pengimplementasian
rencana perlakuan risiko memerlukan suatu sistem manajemen yang efektif yang merinci metode-
metode yang dipilih, mentukan penanggung jawab dan penanggung gugat terhadap tindakan, dan
memantau sesuai kriteria yang ada. Jika masih terdapat risiko residual, suatu keputusan harus
diambil untuk menentukan apakah akan menahan risiko tersebut, atau mengulangi proses
perlakuan.

Memantau
Sangat penting untuk memantau risiko, efektivitas rencana perlakuan risiko, strategi dan sistem
manajemen yang disusun untuk mengendalikan pengimplementasian. Risiko dan efektivitas
tindakan pengendalian perli dipantau untuk meyakinkan bahwa perubahan kondisi tidak
mengubah prioritas risiko, karena sedikit sekali risiko yang bersifat statis. Pemantauan terus-
menerus sangat penting untuk meyakinkan bahwa rencana manajemen tetap relevan. Faktor-
faktor yang dapat mempengaruhi probabilitas dan dampak suatu outcome mungkin berubah,
sama seperti faktor-faktor yang mempengaruhi kesesuaian dan biaya berbagai opsi perlakuan.
Oleh karena itu perlu secara reguler dilakukan pengulangan siklus manajemen risiko. Penelaahan
merupakan bagian integral rencana perlakuan manajemen risiko.

2.3. Committee of Sponsoring Organizations (COSO): 2004)

Penerapan standar manajemen risiko perusahaan yang umum dan sering digunakan adalah
COSO, ANZ dan ISO 31000. COSO merupakan suatu inisiatif dari sektor swasta yang dibentuk
pada tahun 1985. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang
menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi
kejadian tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan
kriteria internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian. Terkait
dengan manajemen risiko, COSO mengeluarkan Report Enterprise RiskManagement - Integrated

13
Framework tahun 2004 sebagai pengembangan COSO framework. Ada 8 komponen dalam
Enterprise Risk Management, yaitu:
1. Internal Environment
2. Objective Setting
3. Event Identification
4. Risk Assessment
5. Risk Response
6. Control Activities
7. Information and Communication
8. Monitoring
Tujuan perusahaan dapat dilihat dari empat kategori, yaitu:
1. Strategis
2. Operasi
3. Pelaporan
4. Kepatuhan
Sedangkan tingkatan dalam organisasi menurut COSO adalah:
1. Enterprise-level
2. Divisi
3. Subsidiary
4. Unit bisnis
Gambar 2.2

COSO

Ciri khusus dari Standar COSO: 2004, adalah:

1. Dokumen standar terdiri dari 2 buku, yaitu: Executive Summary Framework (125 halaman)
dan Application Techniques (105 halaman)

14
2. Standar memuat proses manajemen risiko dengan penekanan lebih pada risiko bisnis,
penciptaan nilai dan pengendalian internal

3. Dokumen COSO Enterprise Risk Management - Integrated Framework (September 2004)

memperluas tetapi tidak menggantikan dokumen COSO Internal Control - Integrated
Framework (tahun 1992)
4. COSO memperhatihan tujuan sebagai salah satu Komponen Manajemen Risiko, yaitu
Kompenen Penentuan Tujuan, Tujuan terbagi menjadi 4 jenis, yaitu: strategi, operasional,
pelaporam dan kepatuhan
5. COSO mengacu pada peristiwa (internal atau eksternal) yang mempengaruhi pelaksanaan
strategi. COSO menjelaskan secara rinci teknik identifikasi peristiwa
6. COSO mendefinisikan risiko sebagai kemungkinan suatu peristiwa akan terjadi dan berdapak
buruk terhadap pencapaian tujuan. COSO memisahkan pengertian risiko dengan peluang yang
didefinisikan sebagai kemungkinan suatu peristiwa akan terjadi dan mempengaruhi secara
positif pencapaian tujuan
7. Komponen penaksiran risiko menjelaskan risiko inheren dan risiko residual. COSO
mendefinisikan risiko inheren sebagai risiko suatu entitas tanpa adanya setiap tindakan
manajemen yang harus diambil untuk mengubah kemungkinan atau dampak risiko. Sedangkan
definisi risiko residual adalah risiko tersisa setelah manajemen mengambil tindakan untuk
mengubah kemungkinan atau dampak risiko.
8. Respon risiko meliputi penghindaran risiko, mengurangi risiko, berbagi risiko dan menerima
risiko
9. COSO mempertimbangkan informasi dan komunikasi setelah respon risiko dan aktivitas
pengendalian
10. COSO memperhatikan opsi-opsi perlakuan dalam 4 (empat) kategori, yaitu menghindari,
mengurangi, berbagi, dan menerima risiko
11. COSO menjelaskan peran dan tanggung jawanb Dewan Direksi, Manajemen, Risk Officer,
Eksekutif Keuangan, Internal Auditor dan pihak-pihak eksternal.
12. COSO menjelaskan adanya keterbatasan-keterbatasan manajemen risiko perusahaan. COSO
menjelaskan bahwa bagaimanapun baiknya sistem manajemen risiko, manajemen risiko
hanya dapat memberikan keyakinan yang memadai atas pencapaian tujuan dengan adanya
keterbatasan berupa: proses manajemen, kekeliruan/kesalahan manusia, kesengajaan
mengelak dari pengendalian risiko, dan keterbatasan biaya untuk merespon risiko.

2.4. Perbandingan Standar Manajemen Risiko

Standar Australia / New Zealand AS/NZS 4360: 2004 dan COSO Enterprise Risk
Management merupakan standar yang mengatur pendekatan yang sistematis untuk mengelola
risiko untuk mencapai tujuan bagi suatu organisasi. Standar AS/NZS 4360: 2004 berlaku untuk
semua jenis organisasi, sedangkan COSO Enterprise Risk Management menekankan pada
organisasi bisnis. Persamaan dan perbedaan yang terdapat antara kedua standar tersebut memiliki
pengaruh berbeda pada saat penerapan manajemen risiko di suatu organisasi.

15
 Perusahaan yang telah menerapkan standar manajemen risiko AS/NZS 4360: 2004,
memiliki kemiripan antara proses manajemen risiko yang diperkenalkan ISO 31000:2009 dengan
proses manajemen risiko menurut AS/NZS 4360: 2004. Memang demikian karena ISO
mengadopsi proses manajemen risiko AS/NZS 4360: 2004 untuk mendukung kerangka kerja
yang dikembangkannya. ISO 31000 merupakan suatu standar penerapan manajemen risiko yang
komprehensif diterbitkan oleh International Organization for Standardization (ISO) pada tahun
2009. ISO 31000: 2009 merupakan standar yang mengadopsi juga dan meng-update dari Standar
Manajemen Risiko COSO: 2004.
ISO 31000 merupakan standar yang ditujukan untuk dapat diterapkan dan disesuaikan
untuk semua jenis perusahaan dengan memberikan pedoman yang berlaku generik terhadap
semua operasi perusahaan berbagai industri yang terkait dengan penerapan manajemen risiko,
sifatnya generik untuk implementasi manajemen risiko di semua bidang.
Perusahaan yang menerapkan manajemen risiko berbasi ISO 31000:2009 perlu memperhatikan
tiga aspek penting yang perlu diperhatikan.
Pertama, penerapan manajemen risiko harus disertai komitmen yang tinggi dari Dewan Direksi
perusahaan dan Komisaris
Kedua, manajemen risiko harus diintegrasikan ke dalam seluruh proses bisnis dan menjadi
bagian yang tidak terpisahkan dari tanggung jawab risk owner dan manajemen risiko harus
merupakan bagian dari proses pengambilan keputusan manajemen.
Ketiga, perencanaan manajemen risiko harus dimonitoring dan dikendalikan agar penerapan
manajemen risiko dapat berjalan secara efektif. Penerapan manajemen risiko harus dikaitkan
dengan Key Performance Indicator (KPI) dari pemilik risiko (risk owner).

Beberapa keunggulan ISO 31000 dibandingkan dengan COSO, adalah:

1. ISO 31000 sepenuhnya sesuai dengan COSO ERM

2. ISO 31000 lebih praktis

3. Mudah untuk diaplikasikan (kurang dari 30 halaman)

4. Dapat diaplikasikan untuk perusahaan dari semua industri baik perusahaan besar ataupun
perusahaan kecil

5. Lebih jelas dan konkret penulisan dan definisinya

6. Sebagai referensi untuk standar manajemen risiko
7. Tidak perlu merancang ulang sistem manajemen yang telah ada
8. Dapat diterapkan pada semua level dalam perusahaan untuk setiap jenis risiko, baik
berdampak positif atau negatif
9. Terbuka untuk perbaikan standar manajemen risiko yang akan datang
Dengan berbagai keunggulan ISO 31000 dibandingkan dengan standar manajemen risiko
sebelumnya, sehingga banyak perusahaan menerapkan manajemen risiko dengan konsep ISO
31000, karena ISO 31000 melihat risiko dari dampak positif dan negatifnya. Manajemen risiko
menciptakan dan melindungi nilai da harus menjadi bagiam dari semua proses bisnis organisasi
atau perusahaan, sehingga risiko dapat diidentifikasikan. Menggunakan informasi terbaik yang

16
tersedia dam fleksibel. Menurt ISO 31000, risiko adalah efek ketidakpastian pada tujuan, dan
efek adalah penyimpangan positf atau negatif dari apa yang diharapkan. Jadi, risiko adalah
kemungkinan bahwa akan ada deviasi positif atau negatif daro tujuan yang telah ditetapkan,
sedangkan manajemen risiko adalah aktivitas yang terkoordinasi untuk mengarahkan dan
mengendalikan sebuah organisasi dalam menangani risiko.

17