07 Establishing The Context

07
Establishing the context
Scope of the context (Cakupan Konteks)
ISO 31000 states that the first stage in the risk management process is to establish the
context. The former Australian Standard AS 4360 referred to context as having three
components, in addition to the risk management process. These components are the risk
management context, internal context and external context. The relationship between the
three contexts is illustrated in Figure 7.1.
ISO 31000 menyatakan bahwa tahap pertama dalam proses manajemen risiko adalah
menetapkan konteks. Standar Australia AS 4360 yang terdahulu menyebut konteks memiliki
tiga komponen, selain proses manajemen risiko. Komponen-komponen tersebut adalah
konteks manajemen risiko, konteks internal, dan konteks eksternal. Hubungan antara ketiga
konteks tersebut diilustrasikan pada Gambar 7.1.
The three components of context may be considered as follows:
Tiga komponen konteks dapat dipertimbangkan sebagai berikut:
 Risk management context has already been described as the risk architecture, strategy
and protocols or the risk management framework within the organization. This
framework must fulfil two functions: 1) provide support for the risk management
process within the organization; and 2) ensure that the outputs from the risk
management process are communicated to internal and external stakeholders.
Konteks manajemen risiko telah dijelaskan sebagai arsitektur risiko, strategi dan
protokol atau kerangka kerja manajemen risiko dalam organisasi. Kerangka kerja ini
harus memenuhi dua fungsi: 1) memberikan dukungan untuk proses manajemen risiko
dalam organisasi; dan 2) memastikan bahwa output dari proses manajemen risiko
dikomunikasikan kepada para pemangku kepentingan internal dan eksternal.
 Internal context refers to the organization itself, the activities it undertakes, the range
of skills and capabilities available within the organization, and how it is structured.
Internal stakeholders and their expectations are part of the internal context. This may
be considered to be the strengths and weaknesses within the organization.
Konteks internal mengacu pada organisasi itu sendiri, kegiatan yang dilakukannya,
berbagai keterampilan dan kemampuan yang tersedia di dalam organisasi, dan
bagaimana organisasi tersebut terstruktur. Pemangku kepentingan internal dan
ekspektasi mereka adalah bagian dari konteks internal. Hal ini dapat dianggap sebagai
kekuatan dan kelemahan dalam organisasi.
 External context is the environment within which the organization exists. This
environment will include consideration of the business sector within which the
organization operates, external stakeholders and their expectations and the external
financial environment. This may be considered to be the opportunities and threats
facing the organization.
Konteks eksternal adalah lingkungan di mana organisasi berada. Lingkungan ini akan
mencakup pertimbangan sektor bisnis tempat organisasi beroperasi, pemangku
kepentingan eksternal dan ekspektasi mereka, serta lingkungan keuangan eksternal.
Hal ini dapat dianggap sebagai peluang dan ancaman yang dihadapi organisasi.
The nature and extent of the risk management process is a major consideration when
establishing the context for risk management. The key question is what the risk management
process is expected to achieve or the answer to the question of why the organization has risk
management activities in place. The risk management context also includes consideration of
who will be responsible and identifies the resources that will be required in order to fulfil risk
management activities.
Sifat dan luasnya proses manajemen risiko merupakan pertimbangan utama ketika
menetapkan konteks manajemen risiko. Pertanyaan kuncinya adalah apa yang diharapkan
dapat dicapai oleh proses manajemen risiko atau jawaban atas pertanyaan mengapa organisasi
memiliki aktivitas manajemen risiko. Konteks manajemen risiko juga mencakup
pertimbangan siapa yang akan bertanggung jawab dan mengidentifikasi sumber daya yang
akan dibutuhkan untuk memenuhi kegiatan manajemen risiko.
Another important consideration within the risk management context is the establishment of
risk appetite or risk criteria. This will help the organization decide what controls should be
put in place and whether the residual or current level of risk is acceptable. The risk
management context should also provide a means of establishing the overall total risk
exposure so that this can be compared with the risk appetite of the organization and the
capacity of the organization to withstand risk.
Pertimbangan penting lainnya dalam konteks manajemen risiko adalah penetapan risk
appetite atau kriteria risiko. Hal ini akan membantu organisasi untuk memutuskan kontrol apa
yang harus diterapkan dan apakah tingkat risiko residual atau saat ini masih dapat diterima.
Konteks manajemen risiko juga harus menyediakan sarana untuk menetapkan eksposur risiko
total secara keseluruhan sehingga hal ini dapat dibandingkan dengan selera risiko organisasi
dan kapasitas organisasi untuk menahan risiko.
The internal context is about the culture of the organization, the resources that are available,
receiving outputs from the risk management process and ensuring that these influence
behaviours, and supporting and providing governance of risk and risk management. The
internal context concerns objectives, the capacity and capabilities of the organization, as well
as the business core processes that are in place. An important consideration regarding the
internal context is how the organization makes decisions.
Konteks internal adalah tentang budaya organisasi, sumber daya yang tersedia, menerima
output dari proses manajemen risiko dan memastikan bahwa hal ini mempengaruhi perilaku,
serta mendukung dan menyediakan tata kelola risiko dan manajemen risiko. Konteks internal
menyangkut tujuan, kapasitas dan kapabilitas organisasi, serta proses inti bisnis yang ada.
Pertimbangan penting terkait konteks internal adalah bagaimana organisasi mengambil
keputusan.
The external context is about stakeholder expectations, industry regulations and regulators,
the behaviour of competitors and the general economic environment within which the
organization operates. The external context also considers the drivers and trends that can
affect the success of the organization and its ability to achieve objectives.
Konteks eksternal adalah tentang ekspektasi pemangku kepentingan, peraturan dan regulator
industri, perilaku pesaing dan lingkungan ekonomi secara umum tempat organisasi
beroperasi. Konteks eksternal juga mempertimbangkan pendorong dan tren yang dapat
memengaruhi keberhasilan organisasi dan kemampuannya untuk mencapai tujuan.
External context
Risk management standard ISO 31000 identifies ‘establish the context’ as the first stage in
the risk management process. Establishing the context is a fundamentally important aspect of
successful risk management, and it is also identified by other international standards as an
essential early stage in implementing a management system standard. For example, quality
standard ISO 9001:2015 also identifies context as being part of the strategic planning that an
organization must undertake.
Standar manajemen risiko ISO 31000 mengidentifikasi 'menetapkan konteks' sebagai tahap
pertama dalam proses manajemen risiko. Menetapkan konteks adalah aspek penting yang
mendasar dari manajemen risiko yang sukses, dan juga diidentifikasi oleh standar
internasional lainnya sebagai tahap awal yang penting dalam menerapkan standar sistem
manajemen. Sebagai contoh, standar mutu ISO 9001:2015 juga mengidentifikasi konteks
sebagai bagian dari perencanaan strategis yang harus dilakukan oleh organisasi.
There are three components to establishing the context for risk management activity, and
these are related to the external context, internal context and the risk management context.
Establishing the external context must take account of the expectations of external
stakeholders. The critical importance of stakeholder expectations is considered in more detail
in Chapter 29.
Terdapat tiga komponen dalam menetapkan konteks untuk aktivitas manajemen risiko, yaitu
konteks eksternal, konteks internal, dan konteks manajemen risiko. Menetapkan konteks
eksternal harus memperhitungkan ekspektasi pemangku kepentingan eksternal. Pentingnya
ekspektasi pemangku kepentingan dibahas secara lebih rinci dalam Bab 29.
For many organizations, the most important group of external stakeholders will be customers.
The external context for an organization will be significantly influenced by the nature of the
customers and the products or services that they are being offered. Consideration of
customers and the customer offering form an important part of the business model for the
organization and the relevance of the business model to risk management is considered in
more detail in Chapter 20.
Bagi banyak organisasi, kelompok pemangku kepentingan eksternal yang paling penting
adalah pelanggan. Konteks eksternal untuk organisasi akan sangat dipengaruhi oleh sifat
pelanggan dan produk atau layanan yang ditawarkan kepada mereka. Pertimbangan
pelanggan dan penawaran pelanggan merupakan bagian penting dari model bisnis untuk
organisasi dan relevansi model bisnis dengan manajemen risiko dibahas secara lebih rinci
dalam Bab 20.
Having identified the expectations of external stakeholders, including consideration of
customers and the services and products offered to customers, an organization can then view
in more detail the factors that influence the external context for the organization. The FIRM
risk scorecard provides a structure for carrying out a detailed evaluation of the context of the
organization. The reputational and marketplace components of the FIRM risk scorecard are
primarily related to the external context and the finances and infrastructure components are
primarily related to the internal context.
Setelah mengidentifikasi ekspektasi pemangku kepentingan eksternal, termasuk
pertimbangan pelanggan dan layanan serta produk yang ditawarkan kepada pelanggan,
sebuah organisasi kemudian dapat melihat secara lebih rinci faktor-faktor yang
mempengaruhi konteks eksternal organisasi. Kartu penilaian risiko FIRM menyediakan
struktur untuk melakukan evaluasi terperinci terhadap konteks organisasi. Komponen reputasi
dan pasar dari kartu skor risiko FIRM terutama terkait dengan konteks eksternal dan
komponen keuangan dan infrastruktur terutama terkait dengan konteks internal.
Table 14.2 provides a detailed checklist of questions relating to the development of a
riskiness index based on the structure of the FIRM risk scorecard. In summary, the
reputational component of the external context for an organization defines the external
perception of the organization and the desire of customers to trade with the organization and
the level of customer retention. In particular, when evaluating the reputational component of
the external context, the following issues should be addressed:
Tabel 14.2 menyediakan daftar pertanyaan terperinci yang berkaitan dengan pengembangan
indeks risiko berdasarkan struktur kartu skor risiko FIRM. Singkatnya, komponen reputasi
dari konteks eksternal untuk sebuah organisasi mendefinisikan persepsi eksternal organisasi
dan keinginan pelanggan untuk berdagang dengan organisasi dan tingkat retensi pelanggan.
Secara khusus, ketika mengevaluasi komponen reputasi dari konteks eksternal, isu-isu berikut
ini harus ditangani:
 public perception of the industry sector in which the organization operates;
 corporate social responsibility standards achieved by the organization;
 governance standards and whether the sector is highly regulated;
 quality of products or services and/or after-sales service standards.
 persepsi publik tentang sektor industri tempat organisasi beroperasi;

 standar tanggung jawab sosial perusahaan yang dicapai oleh organisasi;
 standar tata kelola dan apakah sektor tersebut sangat diatur;
 kualitas produk atau layanan dan/atau standar layanan purna jual.
The other component of the FIRM risk scorecard relevant to the external environment is the
marketplace and the level of presence of the organization within the marketplace. This will
impact the level of customer trade or expenditure. In particular, when evaluating the
marketplace component of the external environment, the following issues should be
addressed:
Komponen lain dari kartu skor risiko FIRM yang relevan dengan lingkungan eksternal adalah
pasar dan tingkat keberadaan organisasi di pasar. Hal ini akan berdampak pada tingkat
perdagangan atau pengeluaran pelanggan. Secara khusus, ketika mengevaluasi komponen
pasar dari lingkungan eksternal, isu-isu berikut ini harus ditangani:
 level of revenue generation in the marketplace and return on investment;
 presence of aggressive competitors and/or high customer expectations;
 level of economic stability, including exposure to interest rates and foreign exchange
rates;
 complexity of the supply chain and volatility of raw material costs;
 exposure to international disruption because of political risks, war and terrorism.
 tingkat perolehan pendapatan di pasar dan laba atas investasi;

 adanya pesaing yang agresif dan/atau ekspektasi pelanggan yang tinggi;
 tingkat stabilitas ekonomi, termasuk eksposur terhadap tingkat suku bunga dan nilai
tukar mata uang asing;
 kompleksitas rantai pasokan dan volatilitas biaya bahan baku;
 eksposur terhadap gangguan internasional karena risiko politik, perang dan terorisme.
The FIRM risk scorecard offers one mechanism for evaluating the external context of the
organization, but other structures may be employed, such as a strengths, weaknesses,
opportunities and threats (SWOT) analysis or the use of one of the risk classification systems
discussed in Chapter 11. The overall purpose of evaluating the external context is to
determine the level of riskiness associated with the external environment within which the
organization operates. This will enable the organization to validate the existing business
model and develop strategy for the future, together with the tactics for implementing that
strategy.
Kartu penilaian risiko FIRM menawarkan satu mekanisme untuk mengevaluasi konteks
eksternal organisasi, tetapi struktur lain dapat digunakan, seperti analisis kekuatan,
kelemahan, peluang dan ancaman (SWOT) atau penggunaan salah satu sistem klasifikasi
risiko yang dibahas dalam Bab 11. Tujuan keseluruhan dari evaluasi konteks eksternal adalah
untuk menentukan tingkat risiko yang terkait dengan lingkungan eksternal tempat organisasi
beroperasi. Hal ini akan memungkinkan organisasi untuk memvalidasi model bisnis yang ada
dan mengembangkan strategi untuk masa depan, bersama dengan taktik untuk
mengimplementasikan strategi tersebut.
External stakeholders
Good stewardship by the board should not inhibit sensible risk taking that is critical to
growth. However, the assessment of risks as part of the normal business planning process
should support better decision taking, ensure that the board and management respond
promptly to risks when they arise, and ensure that shareholders and other stakeholders are
well informed about the principal risks and prospects of the company. The board’s
responsibility for the organization’s culture is essential to the way in which risk is considered
and addressed within the organization and with external stakeholders.
Penatalayanan yang baik oleh dewan tidak boleh menghambat pengambilan risiko yang
masuk akal yang sangat penting untuk pertumbuhan. Namun, penilaian risiko sebagai bagian
dari proses perencanaan bisnis yang normal harus mendukung pengambilan keputusan yang
lebih baik, memastikan bahwa dewan dan manajemen menanggapi risiko dengan segera
ketika risiko itu muncul, dan memastikan bahwa pemegang saham dan pemangku
kepentingan lainnya mendapat informasi yang memadai tentang risiko utama dan prospek
perusahaan. Tanggung jawab dewan atas budaya organisasi sangat penting untuk cara di
mana risiko dipertimbangkan dan ditangani di dalam organisasi dan dengan pemangku
kepentingan eksternal.
Internal context
Establishing the internal context of an organization must take account of the expectations of
internal stakeholders. There will be a range of internal stakeholders, but the most important
group will be the people on whom the organization directly depends. This will include
members of staff and people providing services on an outsourced, contracted and/or supplier
basis.
Menetapkan konteks internal organisasi harus memperhitungkan ekspektasi pemangku
kepentingan internal. Akan ada berbagai pemangku kepentingan internal, tetapi kelompok
yang paling penting adalah orang-orang yang secara langsung bergantung pada organisasi. Ini
akan mencakup anggota staf dan orang-orang yang menyediakan layanan secara outsourcing,
kontrak dan/atau pemasok.
Having identified the expectations of internal stakeholders, including identification of the
importance of these stakeholders to the operations and compliance activities of the
organization, it will then be possible to view in more detail the factors that influence the
internal context. The FIRM risk scorecard provides a structure for carrying out a detailed
evaluation of the context of the organization. The financial and infrastructure components of
the FIRM risk scorecard are primarily related to the internal context and the reputational and
marketplace components are primarily related to the external context.
Setelah mengidentifikasi harapan para pemangku kepentingan internal, termasuk identifikasi
pentingnya para pemangku kepentingan tersebut terhadap kegiatan operasional dan
kepatuhan organisasi, maka selanjutnya dapat dilihat secara lebih rinci faktor-faktor yang
mempengaruhi konteks internal. Kartu penilaian risiko FIRM menyediakan struktur untuk
melakukan evaluasi rinci terhadap konteks organisasi. Komponen keuangan dan infrastruktur
dari kartu skor risiko FIRM terutama terkait dengan konteks internal dan komponen reputasi
dan pasar terutama terkait dengan konteks eksternal.
Table 14.2 provides a detailed checklist of questions related to the development of a riskiness
index based on the structure of the FIRM risk scorecard. In summary, the financial
component of the internal context of an organization defines the financial procedures and the
means by which money is managed and profitability is achieved. In particular, when
evaluating the financial component of the internal context, the following issues should be
addressed:
Tabel 14.2 menyediakan daftar pertanyaan yang terperinci terkait dengan pengembangan
indeks risiko berdasarkan struktur kartu skor risiko FIRM. Singkatnya, komponen keuangan
dari konteks internal organisasi mendefinisikan prosedur keuangan dan cara-cara yang
digunakan untuk mengelola uang dan mencapai profitabilitas. Secara khusus, ketika
mengevaluasi komponen keuangan dari konteks internal, isu-isu berikut ini harus
diperhatikan:
 availability of adequate funds to fulfil strategic plans;
 existence of robust procedures for correct allocation of funds for investment;
 nature of internal financial control environment to prevent fraud;
 availability of funds to meet historical and anticipated future liabilities.
 Ketersediaan dana yang memadai untuk memenuhi rencana strategis;

 adanya prosedur yang kuat untuk alokasi dana yang tepat untuk investasi;
 sifat lingkungan pengendalian keuangan internal untuk mencegah kecurangan;
 ketersediaan dana untuk memenuhi kewajiban historis dan kewajiban yang
diantisipasi di masa depan.
The other component of the FIRM risk scorecard relevant to the internal context is
infrastructure, as this influences the nature of the processes undertaken within the
organization. Infrastructure risks define the level of inefficiency and dysfunction that may
arise during internal processes. In particular, when evaluating the infrastructure component of
the internal context, the following issues should be addressed:
Komponen lain dari kartu skor risiko FIRM yang relevan dengan konteks internal adalah
infrastruktur, karena hal ini memengaruhi sifat proses yang dilakukan dalam organisasi.
Risiko infrastruktur menentukan tingkat inefisiensi dan disfungsi yang mungkin timbul
selama proses internal. Secara khusus, ketika mengevaluasi komponen infrastruktur dari
konteks internal, isu-isu berikut ini harus ditangani:
 senior management structure and the nature of the risk culture;
 availability of adequate people resources and people skills, including intellectual
property;
 availability of adequate physical assets to support operational activities;
 information technology infrastructure sufficient to achieve resilience and protect data;
 business continuity plans in place to ensure continuity of activities following major
disruption;
 arrangements for service delivery and/or transportation and reliable communication
infrastructure.
 struktur manajemen senior dan sifat budaya risiko;

 Ketersediaan sumber daya manusia yang memadai dan keterampilan sumber daya
manusia, termasuk kekayaan intelektual;
 Ketersediaan aset fisik yang memadai untuk mendukung kegiatan operasional;
 infrastruktur teknologi informasi yang memadai untuk mencapai ketahanan dan
melindungi data;
 adanya rencana keberlangsungan usaha untuk memastikan kelangsungan kegiatan
setelah terjadi gangguan besar;
 pengaturan untuk pemberian layanan dan/atau transportasi dan infrastruktur
komunikasi yang andal.
The FIRM risk scorecard offers one mechanism for evaluating the internal context of an
organization, but other approaches may be employed, including a SWOT analysis. Many
organizations use the political, economic, social, technological, legal and
environmental/ethical (PESTLE) risk classification system. The PESTLE risk classification
system is considered in more detail in Chapter 11. Some components of the PESTLE risk
classification system are related to the external context, some are related to the internal
context and other components are relevant to both external and internal contexts.
Kartu penilaian risiko FIRM menawarkan satu mekanisme untuk mengevaluasi konteks
internal organisasi, tetapi pendekatan lain dapat digunakan, termasuk analisis SWOT. Banyak
organisasi menggunakan sistem klasifikasi risiko politik, ekonomi, sosial, teknologi, hukum
dan lingkungan/etika (PESTLE). Sistem klasifikasi risiko PESTLE dibahas secara lebih rinci
dalam Bab 11. Beberapa komponen dari sistem klasifikasi risiko PESTLE terkait dengan
konteks eksternal, beberapa terkait dengan konteks internal dan komponen lainnya relevan
dengan konteks eksternal dan internal.
There are many checklists available that will enable an organization to identify the nature of
the external and internal context within which it operates. Which classification system or
checklist of questions is used is less important than the need to identify the full range of risk
issues faced by the organization. This will enable the organization to validate the existing
business model, the resources required to deliver the business model, as well as the level of
resilience within the existing business model.
Ada banyak daftar periksa yang tersedia yang akan memungkinkan organisasi untuk
mengidentifikasi sifat dari konteks eksternal dan internal tempat organisasi beroperasi.
Sistem klasifikasi atau daftar pertanyaan mana yang digunakan tidak terlalu penting
dibandingkan dengan kebutuhan untuk mengidentifikasi berbagai macam masalah risiko yang
dihadapi oleh organisasi. Hal ini akan memungkinkan organisasi untuk memvalidasi model
bisnis yang ada, sumber daya yang diperlukan untuk menjalankan model bisnis, serta tingkat
ketahanan dalam model bisnis yang ada.
Risk management context
Chapter 21 considers the risk management context in detail, in terms of the risk architecture,
strategy and protocols (RASP) developed by the organization. The RASP of an organization
defines the structure of the risk management context and how the components of that context
are implemented to achieve the desired benefits from the enterprise risk management
initiative.
Bab 21 membahas konteks manajemen risiko secara rinci, dalam hal arsitektur risiko, strategi
dan protokol (RASP) yang dikembangkan oleh organisasi. RASP suatu organisasi
mendefinisikan struktur konteks manajemen risiko dan bagaimana komponen-komponen dari
konteks tersebut diimplementasikan untuk mencapai manfaat yang diinginkan dari inisiatif
manajemen risiko perusahaan.
It is important that the risk management context of an organization is capable of delivering
the required risk management strategy and develop the necessary risk-aware culture. The
components of a satisfactory risk-aware culture are leadership, involvement, learning,
accountability and communication (LILAC), as considered in more detail in Chapter 24.
Konteks manajemen risiko suatu organisasi harus mampu memberikan strategi manajemen
risiko yang diperlukan dan mengembangkan budaya sadar risiko yang diperlukan.
Komponen-komponen dari budaya sadar risiko yang memuaskan adalah kepemimpinan,
keterlibatan, pembelajaran, akuntabilitas dan komunikasi (LILAC), seperti yang dibahas
secara lebih rinci dalam Bab 24.
An important component of the risk management context is the mandate provided by senior
management that provides the scope and level of authority for undertaking risk management
activities in the organization. The mandate provided to the risk manager, head of internal
audit and others involved in the risk management initiative should be defined in the risk
management policy for the organization.
Komponen penting dari konteks manajemen risiko adalah mandat yang diberikan oleh
manajemen senior yang memberikan ruang lingkup dan tingkat kewenangan untuk
melakukan kegiatan manajemen risiko dalam organisasi. Mandat yang diberikan kepada
manajer risiko, kepala audit internal dan pihak-pihak lain yang terlibat dalam inisiatif
manajemen risiko harus ditetapkan dalam kebijakan manajemen risiko organisasi.
The risk attitude and risk appetite of the organization, as defined by the risk criteria for
different types of risks, helps to define the risk management context of the organization and
to provide the basis for undertaking risk assessments and recording the results in the risk
register. The nature and extent of communication of the information contained in the risk
register throughout the risk architecture of the organization also helps define the risk
management context.
Sikap risiko dan selera risiko organisasi, sebagaimana didefinisikan oleh kriteria risiko untuk
berbagai jenis risiko, membantu mendefinisikan konteks manajemen risiko organisasi dan
memberikan dasar untuk melakukan penilaian risiko dan mencatat hasilnya dalam daftar
risiko. Sifat dan luasnya komunikasi informasi yang terkandung dalam daftar risiko di
seluruh arsitektur risiko organisasi juga membantu mendefinisikan konteks manajemen
risiko.
Perhaps the most important feature of the risk management context that will determine the
success of the enterprise risk management initiative relates to how the initiative is
implemented. Appendix C provides an outline of an implementation guide for an enterprise
risk management initiative in terms of planning, implementing, measuring and learning
(PIML).
Mungkin fitur yang paling penting dari konteks manajemen risiko yang akan menentukan
keberhasilan inisiatif manajemen risiko perusahaan adalah bagaimana inisiatif tersebut
diimplementasikan. Lampiran C memberikan garis besar panduan implementasi untuk
inisiatif manajemen risiko perusahaan dalam hal perencanaan, pelaksanaan, pengukuran dan
pembelajaran (PIML).
The risk management context must contribute to the success of the organization and be
supportive of the delivery of stakeholder expectations, both external and internal. A
requirement of the risk management context is that it should identify emerging risks and
support the response to changes in the external and internal context of the organization. The
nature of emerging risks can be complex and, by definition, highly unpredictable.
Konteks manajemen risiko harus berkontribusi pada keberhasilan organisasi dan mendukung
pemenuhan harapan pemangku kepentingan, baik eksternal maupun internal. Persyaratan dari
konteks manajemen risiko adalah bahwa hal tersebut harus mengidentifikasi risiko yang
muncul dan mendukung respons terhadap perubahan dalam konteks eksternal dan internal
organisasi. Sifat risiko yang muncul dapat bersifat kompleks dan, menurut definisi, sangat
tidak dapat diprediksi.
In helping the organization identify the nature of emerging risks, the risk management
context should provide the mechanism for providing early warning. This has been described
as the ‘risk radar’ of the organization and it must include timely review and evaluation of
information relating to emerging risks. In order to comprehensively determine the specific
impact and consequences for the organization, the mechanism for identifying emerging risks
should also include provision for identifying opportunities that may be exploited in the future.
Dalam membantu organisasi mengidentifikasi sifat risiko yang muncul, konteks manajemen
risiko harus menyediakan mekanisme untuk memberikan peringatan dini. Hal ini telah
digambarkan sebagai 'radar risiko' organisasi dan harus mencakup tinjauan dan evaluasi
informasi yang berkaitan dengan risiko yang muncul secara tepat waktu. Untuk menentukan
secara komprehensif dampak dan konsekuensi spesifik bagi organisasi, mekanisme untuk
mengidentifikasi risiko yang muncul juga harus mencakup ketentuan untuk mengidentifikasi
peluang yang dapat dieksploitasi di masa depan.
In summary, the organization is required to identify each specific external, internal and risk
management context issue that could impact the organization, acquire and evaluate timely
knowledge and information about them, evaluate the risks and opportunities that these
context factors present and take appropriate actions to mitigate the risks and embrace the
opportunities. All of this must be documented within the scope of the risk architecture,
strategy and protocols (RASP).
Singkatnya, organisasi diharuskan untuk mengidentifikasi setiap masalah konteks eksternal,
internal dan manajemen risiko tertentu yang dapat berdampak pada organisasi, memperoleh
dan mengevaluasi pengetahuan dan informasi yang tepat waktu mengenai masalah-masalah
tersebut, mengevaluasi risiko dan peluang yang ditimbulkan oleh faktor-faktor konteks
tersebut, serta mengambil tindakan yang tepat untuk memitigasi risiko dan memanfaatkan
peluang yang ada. Semua ini harus didokumentasikan dalam ruang lingkup arsitektur, strategi
dan protokol risiko (RASP).
Designing a risk register
The use of risk registers has become established practice for many risk managers. There are
disadvantages associated with the use of risk registers, including the danger that the
information recorded in the risk register will not be used in a dynamic way. The risk register
could become a static record of risk status, rather than the risk action plan for the
organization.
Penggunaan register risiko telah menjadi praktik yang mapan bagi banyak manajer risiko.
Ada beberapa kelemahan yang terkait dengan penggunaan daftar risiko, termasuk bahaya
bahwa informasi yang dicatat dalam daftar risiko tidak akan digunakan dengan cara yang
dinamis. Register risiko dapat menjadi catatan statis tentang status risiko, bukannya rencana
tindakan risiko untuk organisasi.
A risk register is defined in the ISO Guide 73 as the ‘document used for recording risk
management process for identified risks’. The guide adds that the purpose of the risk register
is to facilitate ownership and management of each risk. Typically, the risk register will cover
the significant risks facing the organization or the project. It will record the results of the risk
assessment related to the process, operation, location, business unit or project under
consideration.
Daftar risiko didefinisikan dalam Panduan ISO 73 sebagai 'dokumen yang digunakan untuk
mencatat proses manajemen risiko untuk risiko yang teridentifikasi'. Panduan ini
menambahkan bahwa tujuan dari daftar risiko adalah untuk memfasilitasi kepemilikan dan
pengelolaan setiap risiko. Biasanya, daftar risiko akan mencakup risiko signifikan yang
dihadapi organisasi atau proyek. Ini akan mencatat hasil penilaian risiko yang terkait dengan
proses, operasi, lokasi, unit bisnis atau proyek yang sedang dipertimbangkan.
When a risk assessment is undertaken of strategic options, it is more usual for the risk
assessment to be used as part of decision-making activities. Typically, this information will
not be recorded in the format of a risk register, but will be presented to the decision maker as
part of the full range of information available for making that strategic decision.
Ketika penilaian risiko dilakukan terhadap pilihan strategis, biasanya penilaian risiko
digunakan sebagai bagian dari kegiatan pengambilan keputusan. Biasanya, informasi ini tidak
akan dicatat dalam format daftar risiko, tetapi akan disajikan kepada pengambil keputusan
sebagai bagian dari berbagai informasi yang tersedia untuk membuat keputusan strategis
tersebut.
The purpose of the risk register is to form an agreed record of the significant risks that have
been identified. Also, the risk register will serve as a record of the control activities that are
currently undertaken. It will also be a record of the additional actions that are proposed to
improve the control of the particular risk.
Tujuan dari risk register adalah untuk membentuk catatan yang disepakati atas risiko-risiko
signifikan yang telah diidentifikasi. Selain itu, daftar risiko akan berfungsi sebagai catatan
kegiatan pengendalian yang saat ini dilakukan. Ini juga akan menjadi catatan tindakan
tambahan yang diusulkan untuk meningkatkan pengendalian risiko tertentu.
Other information about risks will also be included in the risk register. Although there is no
fixed format for this document, Table 7.1 provides an outline of a basic format for a risk
register. It may not be necessary to include all of the risk description information set out in
the table in the risk register, as this could make it a complex and clumsy document.
Informasi lain tentang risiko juga akan dimasukkan dalam daftar risiko. Meskipun tidak ada
format yang baku untuk dokumen ini, Tabel 7.1 memberikan garis besar format dasar untuk
daftar risiko. Mungkin tidak perlu memasukkan semua informasi deskripsi risiko yang
tercantum dalam tabel ke dalam daftar risiko, karena hal ini dapat menjadikannya dokumen
yang rumit dan tidak praktis.
Risk registers can be compiled in a number of formats, depending on the type of risk
assessment that is being recorded. Table 7.2 provides an example of a partially completed
risk register for a sports club and Table 7.3 provides an example of a risk register for a
hospital.
Daftar risiko dapat disusun dalam beberapa format, tergantung pada jenis penilaian risiko
yang sedang dicatat. Tabel 7.2 memberikan contoh daftar risiko yang telah diisi sebagian
untuk klub olahraga dan Tabel 7.3 memberikan contoh daftar risiko untuk rumah sakit.
At its most simple, the risk register can be stored as a document held on a computer.
However, there are many more sophisticated forms of risk registers, including records of
significant risks held on databases. Where quantification of exposure is required, then a
simple risk register held as a document is unlikely to be sufficient. This is true of systems for
recording operational risks, where quantification of risk exposure is required.
Yang paling sederhana, daftar risiko dapat disimpan sebagai dokumen yang disimpan di
komputer. Namun, ada banyak bentuk register risiko yang lebih canggih, termasuk catatan
risiko signifikan yang disimpan dalam database. Ketika kuantifikasi eksposur diperlukan,
maka daftar risiko sederhana yang disimpan dalam bentuk dokumen tidak akan cukup. Hal ini
berlaku untuk sistem pencatatan risiko operasional, di mana kuantifikasi eksposur risiko
diperlukan.
Using a risk register
A well-constructed and dynamic risk register is at the heart of a successful risk management
initiative. However, there is a danger that the risk register may become a static document that
records the status of risk management activities at a moment in time. The practical
implications of this are that senior management may consider that attending a risk assessment
workshop and producing a risk register fulfils their risk management obligations and no
ongoing actions are required.
Daftar risiko yang disusun dengan baik dan dinamis merupakan inti dari inisiatif manajemen
risiko yang sukses. Namun, ada bahaya bahwa daftar risiko dapat menjadi dokumen statis
yang mencatat status kegiatan manajemen risiko pada suatu saat. Implikasi praktis dari hal ini
adalah bahwa manajemen senior mungkin menganggap bahwa menghadiri lokakarya
penilaian risiko dan membuat daftar risiko telah memenuhi kewajiban manajemen risiko
mereka dan tidak ada tindakan berkelanjutan yang diperlukan.
It is better to think of the risk register as a risk action plan that records the status of the
organization with respect to risk management, but also provides a record of the critical
controls that are in place, together with the details of any additional controls that need to be
introduced. In producing such a risk action plan, the responsibility for undertaking the actions
identified will be clearly established.
Lebih baik menganggap daftar risiko sebagai rencana tindakan risiko yang mencatat status
organisasi sehubungan dengan manajemen risiko, tetapi juga memberikan catatan tentang
kontrol penting yang ada, bersama dengan rincian kontrol tambahan yang perlu
diperkenalkan. Dalam membuat rencana tindakan risiko, tanggung jawab untuk
melaksanakan tindakan yang telah diidentifikasi akan ditetapkan dengan jelas.
Chapter 26 considers the options for the use of a risk management information system
(RMIS) to record the information held in the risk register. Also, the information held in the
risk register may be available on the intranet of the organization, and this will help with risk
understanding and communication. In some organizations, the risk register is given the status
of a controlled document to be used by internal audit as one of the key reference documents
for undertaking an audit of risk management activities.
Bab 26 membahas opsi-opsi penggunaan sistem informasi manajemen risiko (RMIS) untuk
mencatat informasi yang ada dalam daftar risiko. Selain itu, informasi yang ada dalam daftar
risiko mungkin tersedia di intranet organisasi, dan ini akan membantu pemahaman dan
komunikasi risiko. Di beberapa organisasi, daftar risiko diberi status sebagai dokumen
terkontrol yang digunakan oleh audit internal sebagai salah satu dokumen referensi utama
untuk melakukan audit aktivitas manajemen risiko.
Even if this is not the case, the information set out in the risk register should be very carefully
considered and constructed. For example, the risks set out in the register need to be precisely
defined so that the cause, source, event, magnitude and impact of any risk event can be
clearly identified. Also, the existing control activities, together with any additional controls
that are proposed, must be described in precise terms and accurately recorded.
Bahkan jika tidak demikian, informasi yang tercantum dalam daftar risiko harus
dipertimbangkan dan disusun dengan sangat hati-hati. Sebagai contoh, risiko yang ditetapkan
dalam register harus didefinisikan secara tepat sehingga penyebab, sumber, kejadian, besaran
dan dampak dari setiap kejadian risiko dapat diidentifikasi dengan jelas. Selain itu, aktivitas
pengendalian yang ada, bersama dengan pengendalian tambahan yang diusulkan, harus
dijelaskan secara tepat dan dicatat secara akurat.
Risk control activities should be described in sufficient detail for the controls to be auditable.
This is especially important when the risk register relates to the routine operations undertaken
by the organization. Risk registers should also be produced for projects and to support
strategic decisions.
Aktivitas pengendalian risiko harus dijelaskan secara rinci agar pengendalian dapat diaudit.
Hal ini sangat penting terutama jika daftar risiko berhubungan dengan operasi rutin yang
dilakukan oleh organisasi. Daftar risiko juga harus dibuat untuk proyek-proyek dan untuk
mendukung keputusan strategis.
A project risk register has to be a very dynamic document. An example of a project risk
register is provided in Table 7.4. Details of the risks faced by the project, as recorded in the
risk register, should be discussed at every project review meeting. As well as risk registers
being relevant to projects, they should also support business decisions. In this case, the
precise format of a risk register may be less formal. When a strategic decision has to be taken
at board level, the risk assessment of that strategy should be attached to the proposal. This
risk assessment could include both the risks of undertaking the strategy and an analysis of the
risks associated with not undertaking the proposed strategy.
Daftar risiko proyek harus menjadi dokumen yang sangat dinamis. Contoh daftar risiko
proyek diberikan pada Tabel 7.4. Rincian risiko yang dihadapi oleh proyek, seperti yang
dicatat dalam daftar risiko, harus didiskusikan pada setiap pertemuan tinjauan proyek. Selain
daftar risiko harus relevan dengan proyek, daftar risiko juga harus mendukung keputusan
bisnis. Dalam hal ini, format yang tepat dari daftar risiko mungkin tidak terlalu formal.
Ketika keputusan strategis harus diambil di tingkat dewan direksi, penilaian risiko dari
strategi tersebut harus dilampirkan pada proposal. Penilaian risiko ini dapat mencakup risiko
menjalankan strategi dan analisis risiko yang terkait dengan tidak menjalankan strategi yang
diusulkan.
Finally, a risk register should be attached to a business plan as a record of the risks that could
impact the achievement of that plan. Table 7.5 shows a partially completed simple risk
register in a format that could be attached to a business plan. Simple examples of the risks
that could result in the business plan not being achieved are set out in this illustration.
Terakhir, daftar risiko harus dilampirkan pada rencana bisnis sebagai catatan risiko yang
dapat berdampak pada pencapaian rencana tersebut. Tabel 7.5 menunjukkan daftar risiko
sederhana yang telah diisi sebagian dalam format yang dapat dilampirkan pada rencana
bisnis. Contoh sederhana dari risiko yang dapat mengakibatkan rencana bisnis tidak tercapai
dijelaskan dalam ilustrasi ini.
For example, a sports club may wish to record risks to reputation in the risk register. There
could be particular concerns regarding the reputation of the club, so that the board will
require a detailed evaluation of the reputational risks related to:
Sebagai contoh, sebuah klub olahraga mungkin ingin mencatat risiko terhadap reputasi dalam
daftar risiko. Mungkin ada kekhawatiran khusus mengenai reputasi klub, sehingga dewan
direksi akan memerlukan evaluasi terperinci mengenai risiko reputasi yang terkait:
 success on the pitch;
 legal compliance;
 supply of ethical goods at a fair price.
 kesuksesan di lapangan;
 kepatuhan hukum;
 pasokan barang yang etis dengan harga yang wajar.
When considering reputational issues, the level of control that is required will be evaluated,
together with responsibility for managing the brand. The club will also make sure that
existing controls and any additional controls are described in a way that will ensure that
implementation of the controls can be fully audited. The board will probably wish to see the
risk register on at least a quarterly basis, and more frequently if significant changes occur.
This will ensure that the risk register remains a dynamic document and is kept fully up to
date. It will also ensure the necessary actions are taken and reported to the board.
Ketika mempertimbangkan masalah reputasi, tingkat kontrol yang diperlukan akan
dievaluasi, bersama dengan tanggung jawab untuk mengelola merek. Klub juga akan
memastikan bahwa kontrol yang ada dan kontrol tambahan apa pun dijelaskan dengan cara
yang akan memastikan bahwa penerapan kontrol dapat diaudit sepenuhnya. Dewan mungkin
ingin melihat daftar risiko setidaknya setiap tiga bulan, dan lebih sering lagi jika ada
perubahan yang signifikan. Hal ini akan memastikan bahwa daftar risiko tetap menjadi
dokumen yang dinamis dan selalu diperbaharui. Hal ini juga akan memastikan bahwa
tindakan yang diperlukan telah diambil dan dilaporkan kepada dewan.
08
Enterprise risk management
Enterprise-wide approach
In the past few years, there have been important developments in the practice of risk
management. Firstly, there has been the development of specialist branches of risk
management, including project, energy, finance, operational risk and clinical risk
management. Secondly, organizations have embraced the desire to take a broader approach to
the practice of risk management.
Dalam beberapa tahun terakhir, telah terjadi perkembangan penting dalam praktik
manajemen risiko. Pertama, telah terjadi pengembangan cabang-cabang spesialis manajemen
risiko, termasuk manajemen risiko proyek, energi, keuangan, operasional, dan klinis. Kedua,
organisasi-organisasi telah merangkul keinginan untuk mengambil pendekatan yang lebih
luas terhadap praktik manajemen risiko.
Various terms have been used to describe this broader approach, including holistic,
integrated, strategic and enterprise-wide risk management. It is the term enterprise or
enterprise-wide risk management (ERM) that is now the most widely used and generally
accepted terminology for this broader approach. The fundamental idea behind the ERM
approach is to move away from the practice of risk management as the separate management
of individual risks.
Berbagai istilah telah digunakan untuk menggambarkan pendekatan yang lebih luas ini,
termasuk manajemen risiko holistik, terintegrasi, strategis, dan manajemen risiko di seluruh
perusahaan. Istilah manajemen risiko perusahaan atau enterprise-wide risk management
(ERM) adalah istilah yang paling banyak digunakan dan diterima secara umum untuk
pendekatan yang lebih luas ini. Ide dasar di balik pendekatan ERM adalah untuk beralih dari
praktik manajemen risiko sebagai manajemen risiko individual yang terpisah.
ERM takes a unifying, broader and more integrated approach. The ERM approach means that
an organization looks at all the risks that it faces across all of the operations that it
undertakes. ERM is concerned with the management of the risks that can impact the
objectives, key dependencies or core processes of the organization. Also, ERM is concerned
with the management of opportunities, as well as the management of control and hazard risks.
ERM mengambil pendekatan yang menyatukan, lebih luas dan lebih terintegrasi. Pendekatan
ERM berarti bahwa sebuah organisasi melihat semua risiko yang dihadapinya di semua
operasi yang dilakukannya. ERM berkaitan dengan manajemen risiko yang dapat berdampak
pada tujuan, ketergantungan utama, atau proses inti organisasi. Selain itu, ERM juga
berkaitan dengan manajemen peluang, serta manajemen risiko pengendalian dan bahaya.
There has also been consideration of the fact that many risks are interrelated and that
traditional risk management fails to address the relationship between risks. With the ERM
approach, the relationship between risks is identified by the fact that two or more risks can
have an impact on the same activity or objective. The ERM approach is based on looking at
the objective, key dependency or core process and evaluating all of the risks that could
impact the item being evaluated.
Ada juga pertimbangan bahwa banyak risiko yang saling terkait dan bahwa manajemen risiko
tradisional gagal untuk mengatasi hubungan antar risiko. Dengan pendekatan ERM,
hubungan antara risiko diidentifikasi oleh fakta bahwa dua atau lebih risiko dapat berdampak
pada aktivitas atau tujuan yang sama. Pendekatan ERM didasarkan pada melihat tujuan,
ketergantungan utama atau proses inti dan mengevaluasi semua risiko yang dapat berdampak
pada hal yang dievaluasi.
Organizations practise risk management in a number of different ways. However, there are
many common features to most of these approaches. Table 8.1 gives an overview of the
features of enterprise risk management as a comparison to the silo-based approach whereby
risk management tools and techniques are applied to different types of risks independently.
Enterprise risk management has become the established means of undertaking risk
management activities within most organizations. This allows the organization to gain an
overview of all the risks that it faces so that it can take co-ordinated actions to manage these
risks. Nevertheless, the specialist risk management functions, such as health and safety and
business continuity continue to make a valuable contribution.
Organisasi mempraktikkan manajemen risiko dengan berbagai cara. Namun, ada banyak fitur
umum untuk sebagian besar pendekatan ini. Tabel 8.1 memberikan gambaran umum tentang
fitur-fitur manajemen risiko perusahaan sebagai perbandingan dengan pendekatan berbasis
silo di mana alat dan teknik manajemen risiko diterapkan pada berbagai jenis risiko secara
independen. ERP telah menjadi sarana yang mapan untuk melakukan aktivitas manajemen
risiko di sebagian besar organisasi. Hal ini memungkinkan organisasi untuk mendapatkan
gambaran umum tentang semua risiko yang dihadapinya sehingga dapat mengambil tindakan
yang terkoordinasi untuk mengelola risiko-risiko tersebut. Namun demikian, fungsi-fungsi
manajemen risiko spesialis, seperti kesehatan dan keselamatan kerja serta kelangsungan
usaha terus memberikan kontribusi yang berharga.
An example of the ERM approach is to consider a sports club where the core process is to
maximize attendance at games. This process is made up of several activities, including
marketing, advertising, allocation and sale of tickets as well as logistical arrangements to
ensure that the experience at the game is as good as possible. Part of maximizing attendance
at games will be to ensure there are adequate parking and transport arrangements, together
with suitable catering and other welfare arrangements in the ground.
Contoh dari pendekatan ERM adalah dengan mempertimbangkan sebuah klub olahraga di
mana proses intinya adalah memaksimalkan kehadiran di pertandingan. Proses ini terdiri dari
beberapa aktivitas, termasuk pemasaran, periklanan, alokasi dan penjualan tiket serta
pengaturan logistik untuk memastikan bahwa pengalaman menonton pertandingan sebaik
mungkin. Bagian dari memaksimalkan kehadiran di pertandingan adalah untuk memastikan
ada pengaturan parkir dan transportasi yang memadai, bersama dengan katering yang sesuai
dan pengaturan kesejahteraan lainnya di lapangan.
By identifying the key activities that deliver the selected core process, the club is able to
identify the risks that could impact both these activities and the core process. Targets can then
be set for increased attendance at future games, and responsibility for the success of this core
process has been allocated to the commercial director of the club. A consideration of the
opportunities for increasing attendance at games can also be included in this broader
approach.
Dengan mengidentifikasi aktivitas-aktivitas utama yang menghasilkan proses inti yang
dipilih, klub dapat mengidentifikasi risiko-risiko yang dapat berdampak pada aktivitas-
aktivitas ini dan proses inti. Target kemudian dapat ditetapkan untuk meningkatkan jumlah
penonton pada pertandingan-pertandingan di masa mendatang, dan tanggung jawab atas
keberhasilan proses inti ini telah dialokasikan kepada direktur komersial klub. Pertimbangan
mengenai peluang untuk meningkatkan jumlah penonton di pertandingan juga dapat
dimasukkan dalam pendekatan yang lebih luas ini.
Definitions of ERM
Table 8.2 presents a number of suggested definitions of enterprise risk management. There
are three components that are required in a comprehensive definition of the ERM process.
These are: 1) the description of the process that underpins enterprise risk management; 2)
identification of the outputs of that process; and 3) the impact (or benefit) that arises from
those outputs. Many of the definitions concentrate on the process by describing the activities
that make up the ERM approach. This is a good starting point, but the outputs from that
process are more important than the process itself. Some of the definitions do include
reference to the outputs from the process, such as being able to manage risks within the risk
appetite of the organization and provide reasonable assurance regarding the achievement of
objectives.
Tabel 8.2 menyajikan sejumlah definisi yang disarankan untuk manajemen risiko perusahaan.
Ada tiga komponen yang diperlukan dalam definisi yang komprehensif dari proses ERM.
Komponen-komponen tersebut adalah: 1) deskripsi proses yang mendasari manajemen risiko
perusahaan; 2) identifikasi output dari proses tersebut; dan 3) dampak (atau manfaat) yang
muncul dari output tersebut. Banyak definisi yang berkonsentrasi pada proses dengan
menggambarkan aktivitas yang membentuk pendekatan ERM. Ini merupakan titik awal yang
baik, namun output dari proses tersebut lebih penting daripada proses itu sendiri. Beberapa
definisi yang ada menyertakan referensi ke output dari proses, seperti kemampuan untuk
mengelola risiko sesuai dengan risk appetite organisasi dan memberikan jaminan yang wajar
mengenai pencapaian tujuan.
Definitions of enterprise risk management
 RIMS, Enterprise risk management is a strategic business discipline that supports the
achievement of an organization’s objectives by addressing the full spectrum of its
risks and managing the combined impact of those risks as an interrelated risk
portfolio.
RIMS, Manajemen risiko perusahaan adalah disiplin bisnis strategis yang mendukung
pencapaian tujuan organisasi dengan menangani seluruh spektrum risiko dan
mengelola dampak gabungan dari risiko-risiko tersebut sebagai portofolio risiko yang
saling terkait.
 COSO, Enterprise risk management is a process, effected by an entity’s board of
directors, management and other personnel, applied in a strategy setting and across
the enterprise, designed to identify potential events that may affect the entity, manage
risk to be within its risk appetite and to provide reasonable assurance regarding the
achievement of entity objectives.
COSO, Manajemen risiko perusahaan adalah suatu proses, yang dilakukan oleh
dewan direksi, manajemen, dan personil lainnya, yang diterapkan dalam pengaturan
strategi dan di seluruh perusahaan, yang dirancang untuk mengidentifikasi kejadian-
kejadian potensial yang dapat mempengaruhi perusahaan, mengelola risiko agar
sesuai dengan risk appetite-nya, serta memberikan keyakinan yang memadai terkait
pencapaian tujuan perusahaan.
 IIA (Institute of Internal Auditors), A rigorous and co-ordinated approach to
assessing and responding to all risks that affect the achievement of an organization’s
strategic and financial objectives.
IIA (Institute of Internal Auditors), Pendekatan yang ketat dan terkoordinasi dalam
menilai dan merespons semua risiko yang mempengaruhi pencapaian tujuan strategis
dan keuangan organisasi.
 HM Treasury, All the processes involved in identifying, assessing and judging risks,
assigning ownership, taking actions to mitigate or anticipate them and monitoring and
reviewing progress.
HM Treasury, Semua proses yang terlibat dalam mengidentifikasi, menilai dan

menilai risiko, menetapkan kepemilikan, mengambil tindakan untuk memitigasi atau
mengantisipasinya, serta memantau dan meninjau kemajuan.
To be comprehensive, however, the definition must also consider the intended impact of
those outputs. In summary, the intended outputs from ERM are that better decisions will be
taken, improved core processes will be identified and introduced, possibly by way of tactics
that include projects or programmes of work, and operations will be effective, efficient and
free from unplanned disruption. This list of outputs from enterprise risk management can be
described as mandatory obligations fulfilled, assurance obtained, decision making enhanced
and effective and efficient core processes introduced (MADE2).
Namun, agar komprehensif, definisi tersebut juga harus mempertimbangkan dampak yang
diharapkan dari output tersebut. Secara ringkas, keluaran yang diharapkan dari ERM adalah
keputusan yang lebih baik akan diambil, proses inti yang lebih baik akan diidentifikasi dan
diperkenalkan, mungkin melalui taktik yang mencakup proyek atau program kerja, dan
operasi akan menjadi efektif, efisien, dan bebas dari gangguan yang tidak direncanakan.
Daftar keluaran dari manajemen risiko perusahaan dapat digambarkan sebagai kewajiban
wajib yang dipenuhi, jaminan yang diperoleh, pengambilan keputusan yang ditingkatkan, dan
proses inti yang efektif dan efisien yang diperkenalkan (MADE2).
The following is offered by the author as a comprehensive definition of ERM:
Berikut ini adalah definisi komprehensif dari ERM yang ditawarkan oleh penulis:
 ERM involves the identification and evaluation of significant risks, assignment of
ownership, implementation and monitoring of actions to manage these risks within the
risk appetite of the organization.
 The output is the provision of information to management to improve business
decisions, reduce uncertainty and provide reasonable assurance regarding the
achievement of the objectives of the organization.
 The impact of ERM is to improve efficiency and the delivery of services, improve
allocation of resources (capital) to business improvement, create shareholder value
and enhance risk reporting to stakeholders.
 ERM melibatkan identifikasi dan evaluasi risiko-risiko yang signifikan, penugasan
kepemilikan, implementasi dan pemantauan tindakan-tindakan untuk mengelola
risiko-risiko tersebut sesuai dengan risk appetite organisasi.
 Keluarannya adalah penyediaan informasi kepada manajemen untuk meningkatkan
keputusan bisnis, mengurangi ketidakpastian dan memberikan jaminan yang wajar
mengenai pencapaian tujuan organisasi.
 Dampak dari ERM adalah untuk meningkatkan efisiensi dan pemberian layanan,
meningkatkan alokasi sumber daya (modal) untuk peningkatan bisnis, menciptakan
nilai pemegang saham dan meningkatkan pelaporan risiko kepada para pemangku
kepentingan.
ERM in practice
The developing role of the risk manager is discussed in Chapter 22. It was mentioned that the
seniority of the risk manager should be proportionate to the risks that the organization faces.
For many organizations, including those in finance and energy, a board-level risk director is
often appropriate.
Perkembangan peran manajer risiko dibahas dalam Bab 22. Disebutkan bahwa senioritas
manajer risiko harus sebanding dengan risiko yang dihadapi organisasi. Bagi banyak
organisasi, termasuk yang bergerak di bidang keuangan dan energi, direktur risiko di tingkat
dewan direksi sering kali sesuai.
Where it is appropriate and proportionate, the risk manager at board level is often referred to
as a chief risk officer (CRO). To date, these appointments have been almost exclusively in
the energy and finance sectors, although this may change as ERM becomes more clearly
established in a wider range of organizations.
Jika sesuai dan proporsional, manajer risiko di tingkat dewan direksi sering disebut sebagai
chief risk officer (CRO). Sampai saat ini, penunjukan ini hampir secara eksklusif dilakukan
di sektor energi dan keuangan, meskipun hal ini dapat berubah seiring dengan semakin
mapannya ERM di berbagai organisasi.
The seniority of the CRO is just one example of how ERM should be achieved in practice.
The principles of risk management set out as PACED are fully applicable to the practice of
enterprise risk management. The principles of risk management are that it should be
proportionate, aligned, comprehensive, embedded and dynamic (PACED).
Senioritas CRO hanyalah salah satu contoh bagaimana ERM harus dicapai dalam praktiknya.
Prinsip-prinsip manajemen risiko yang ditetapkan sebagai PACED dapat diterapkan
sepenuhnya pada praktik manajemen risiko perusahaan. Prinsip-prinsip manajemen risiko
adalah bahwa manajemen risiko harus proporsional, selaras, komprehensif, melekat dan
dinamis (PACED).
By taking a comprehensive approach to enterprise risk management, a wide range of benefits
can be delivered and these are set out in Table 8.3. It is for each organization to decide how
the enterprise risk management initiative will be structured and how these benefits will be
achieved.
Dengan mengambil pendekatan yang komprehensif terhadap manajemen risiko perusahaan,
berbagai manfaat dapat diberikan dan ini diuraikan dalam Tabel 8.3. Setiap organisasi harus
memutuskan bagaimana inisiatif manajemen risiko perusahaan akan disusun dan bagaimana
manfaat-manfaat ini akan dicapai.
Benefits of enterprise risk management
Financial
 Reduced cost of funding and capital
 Better control of CapEx approvals
 Increased profitability for organization
 Accurate financial risk reporting
 Enhanced corporate governance
 Mengurangi biaya pendanaan dan modal

 Kontrol yang lebih baik atas persetujuan belanja modal
 Peningkatan profitabilitas bagi organisasi
 Pelaporan risiko keuangan yang akurat
 Tata kelola perusahaan yang lebih baik
Infrastructure
 Efficiency and competitive advantage
 Achievement of the state of no disruption
 Improved supplier and staff morale
 Targeted risk and cost reduction
 Reduced operating costs
 Efisiensi dan keunggulan kompetitif

 Pencapaian kondisi tanpa gangguan
 Peningkatan moral pemasok dan staf
 Pengurangan risiko dan biaya yang ditargetkan
 Pengurangan biaya operasional
Reputational
 Regulators satisfied
 Improved utilization of company brand
 Enhanced shareholder value
 Good reputation and publicity
 Improved perception of organization
 Regulator puas
 Peningkatan pemanfaatan merek perusahaan
 Peningkatan nilai pemegang saham
 Reputasi dan publisitas yang baik
 Persepsi yang lebih baik terhadap organisasi
Marketplace
 Commercial opportunities maximized
 Better marketplace presence
 Increased customer spend (and satisfaction)
 Higher ratio of business successes
 Lower ratio of business disasters
 Peluang komersial dimaksimalkan

 Kehadiran pasar yang lebih baik
 Peningkatan belanja pelanggan (dan kepuasan)
 Rasio keberhasilan bisnis yang lebih tinggi
 Rasio bencana bisnis yang lebih rendah
The key feature of ERM is that the full range of significant risks facing the organization is
evaluated. The interrelationship between risks should be identified, so that the total risk
exposure of the organization may be compiled. Having measured the total risk exposure of
the organization, that level of risk exposure can then be compared with the risk appetite of the
board and the risk capacity of the organization itself.
Fitur utama dari ERM adalah bahwa seluruh risiko signifikan yang dihadapi organisasi
dievaluasi. Keterkaitan antar risiko harus diidentifikasi, sehingga total eksposur risiko
organisasi dapat dikompilasi. Setelah mengukur total eksposur risiko organisasi, tingkat
eksposur risiko tersebut kemudian dapat dibandingkan dengan risk appetite dewan dan
kapasitas risiko organisasi itu sendiri.
ERM and business continuity
There is an important relationship between enterprise risk management (ERM) and business
continuity management (BCM). The risk assessment that is required as part of the risk
management process and the business impact analysis that is the basis of business continuity
planning (BCP) are closely related. This can be seen in Table 8.1, which describes the
features of an enterprise-wide approach.
Terdapat hubungan penting antara manajemen risiko perusahaan (ERM) dan manajemen
kelangsungan bisnis (BCM). Penilaian risiko yang diperlukan sebagai bagian dari proses
manajemen risiko dan analisis dampak bisnis yang menjadi dasar perencanaan keberlanjutan
bisnis (BCP) sangat erat kaitannya. Hal ini dapat dilihat pada Tabel 8.1, yang menjelaskan
fitur-fitur dari pendekatan di seluruh perusahaan.
Table 8.1 Features of an enterprise-wide approach
 Encompasses all areas of organizational exposure to risk (financial, operational,
reporting, compliance, governance, strategic, reputational, etc).
 Prioritizes and manages those exposures as an interrelated risk portfolio rather than as
individual ‘silos’ of risk.
 Evaluates the risk portfolio in the context of all significant internal and external
contexts, systems, circumstances and stakeholders.
 Recognizes that individual risks across the organization are interrelated and can create
a combined exposure that differs from the sum of the individual risks.
 Provides a structured process for the management of all risks, whether those risks are
primarily quantitative or qualitative in nature.
 Seeks to embed risk management as a component in all critical decisions throughout
the organization.
 Provides a means for the organization to identify the risks that it is willing to take in
order to achieve strategic objectives.
 Constructs a means of communicating on risk issues, so that there is a common
understanding of the risks faced by the organization, and their importance.
 Supports the activities of internal audit by providing a structure for the provision of
assurance to the board and audit committee.
 Views the effective management of risk as a competitive advantage that contributes to
the achievement of business and strategic objectives.
 Meliputi semua bidang paparan risiko organisasi (keuangan, operasional, pelaporan,
kepatuhan, tata kelola, strategis, reputasi, dan lain-lain).
 Memprioritaskan dan mengelola eksposur tersebut sebagai portofolio risiko yang
saling terkait dan bukan sebagai 'silo' risiko individual.
 Mengevaluasi portofolio risiko dalam konteks semua konteks internal dan eksternal
yang signifikan, sistem, keadaan dan pemangku kepentingan.
 Mengakui bahwa risiko-risiko individual di seluruh organisasi saling terkait dan dapat
menciptakan eksposur gabungan yang berbeda dari jumlah risiko individual.
 Menyediakan proses yang terstruktur untuk pengelolaan semua risiko, baik yang
bersifat kuantitatif maupun kualitatif.
 Berusaha untuk menanamkan manajemen risiko sebagai komponen dalam semua
keputusan penting di seluruh organisasi.
 Menyediakan sarana bagi organisasi untuk mengidentifikasi risiko yang bersedia
diambil untuk mencapai tujuan strategis.
 Membangun sarana untuk mengkomunikasikan isu-isu risiko, sehingga terdapat
pemahaman yang sama mengenai risiko yang dihadapi organisasi dan pentingnya
risiko tersebut.
 Mendukung kegiatan audit internal dengan menyediakan struktur untuk memberikan
asurans kepada Dewan Komisaris dan komite audit.
 Memandang pengelolaan risiko yang efektif sebagai keunggulan kompetitif yang
berkontribusi pada pencapaian tujuan bisnis dan strategis.
The normal approach to risk management is to evaluate objectives and identify the individual
risks that could impact these objectives. The output from a business impact analysis is the
identification of the critical activities that must be maintained for the organization to continue
to function.
Pendekatan normal untuk manajemen risiko adalah mengevaluasi tujuan dan
mengidentifikasi risiko individu yang dapat berdampak pada tujuan tersebut. Keluaran dari
analisis dampak bisnis adalah identifikasi aktivitas kritis yang harus dipertahankan agar
organisasi dapat terus berfungsi.
Based on the definition of ERM set out above and the fact that it should be applied to the
evaluation of core processes, it can be seen that the ERM approach and the business impact
analysis approach are very similar, because both approaches are based on the identification of
the key dependencies and functions that must be in place for the continuity and success of the
business.
Berdasarkan definisi ERM yang telah diuraikan di atas dan fakta bahwa ERM harus
diterapkan pada evaluasi proses inti, dapat dilihat bahwa pendekatan ERM dan pendekatan
analisis dampak bisnis sangat mirip, karena kedua pendekatan tersebut didasarkan pada
identifikasi ketergantungan dan fungsi utama yang harus ada untuk kelangsungan dan
kesuksesan bisnis.
The next activity differs between ERM and BCP, because the former is concerned with the
management of the risks that could impact core processes, whereas business continuity is
concerned with actions that should be taken to maintain the continuity of individual activities.
The business continuity approach, therefore, has the very specific function of identifying
actions that should be taken after the risk has materialized in order to minimize its impact.
BCP relates to the damage-limitation and cost-containment components of loss control, as
described in Chapter 13.
Aktivitas selanjutnya berbeda antara ERM dan BCP, karena ERM berkaitan dengan
manajemen risiko yang dapat berdampak pada proses inti, sedangkan kelangsungan bisnis
berkaitan dengan tindakan yang harus diambil untuk menjaga kelangsungan aktivitas
individu. Oleh karena itu, pendekatan keberlangsungan bisnis memiliki fungsi yang sangat
spesifik untuk mengidentifikasi tindakan yang harus diambil setelah risiko terwujud untuk
meminimalkan dampaknya. BCP berhubungan dengan komponen pembatasan kerusakan dan
pengendalian biaya dari pengendalian kerugian, seperti yang dijelaskan dalam Bab 13.
ERM in energy and finance
Risk management in the energy and finance sectors has become a well-developed specialist
branch of the discipline. In the finance sector, the objective of an ERM initiative is to
enhance shareholder value by:
Manajemen risiko di sektor energi dan keuangan telah menjadi cabang spesialis yang
berkembang dengan baik. Di sektor keuangan, tujuan dari inisiatif ERM adalah untuk
meningkatkan nilai pemegang saham dengan:
 improving capital and efficiency by providing an objective basis for allocating
resources and exploiting natural hedges and portfolio effects;
 supporting financial decision making by considering areas of high potential adverse
impact and by exploiting areas of risk-based advantage;
 building investor confidence by stabilizing results and protecting them from
disturbances and thus demonstrating proactive risk stewardship.
 meningkatkan modal dan efisiensi dengan memberikan dasar yang obyektif untuk
mengalokasikan sumber daya dan mengeksploitasi lindung nilai alamiah dan efek
portofolio;
 mendukung pengambilan keputusan keuangan dengan mempertimbangkan area-area
dengan potensi dampak buruk yang tinggi dan dengan mengeksploitasi area-area yang
memiliki keunggulan berbasis risiko;
 membangun kepercayaan investor dengan menstabilkan hasil dan melindunginya dari
gangguan, dan dengan demikian menunjukkan pengelolaan risiko yang proaktif.
ERM in the energy sector is often dependent on the treasury function and the specialist
expertise of hedging against the price of a barrel of oil. This area of financial risk
management has become well established, with very large departments being set up in many
energy companies. However, the practice of ERM in energy companies still remains very
closely related to the management of treasury risks.
ERM di sektor energi sering kali bergantung pada fungsi perbendaharaan dan keahlian
khusus dalam melakukan lindung nilai terhadap harga barel minyak. Bidang manajemen
risiko keuangan ini telah menjadi mapan, dengan departemen yang sangat besar dibentuk di
banyak perusahaan energi. Namun, praktik ERM di perusahaan energi masih sangat erat
kaitannya dengan manajemen risiko treasury (perbendaharaan).
One of the drivers for risk management in the finance sector is the regulatory environment.
Banks have been subjected to Basel II for some time, and are preparing for implementation of
the Basel III requirements by 2019. The insurance sector in Europe is about to be subjected to
similar requirements, set out in the Solvency II Directive. This gives rise to the obligation on
financial institutions to measure their exposure to operational risk.
Salah satu pendorong manajemen risiko di sektor keuangan adalah lingkungan regulasi.
Bank-bank telah tunduk pada Basel II selama beberapa waktu, dan sedang mempersiapkan
implementasi persyaratan Basel III pada tahun 2019. Sektor asuransi di Eropa akan
dikenakan persyaratan yang sama, yang ditetapkan dalam Petunjuk Solvabilitas II. Hal ini
menimbulkan kewajiban bagi lembaga keuangan untuk mengukur eksposur mereka terhadap
risiko operasional.
The output of operational risk management (ORM) activities in financial institutions is the
ability to calculate the capital that should be held in reserve to cover the consequences of the
identified risks materializing. The impact of these ORM activities is that risks will be better
identified and managed, so that the capital required to meet the consequences of the risks
materializing is lowered. ORM within financial institutions can be seen as a particular
application of the ERM approach.
Output dari aktivitas manajemen risiko operasional (operational risk management/ORM) di
lembaga keuangan adalah kemampuan untuk menghitung modal yang harus dicadangkan
untuk menutup konsekuensi dari risiko yang telah diidentifikasi. Dampak dari kegiatan ORM
ini adalah risiko akan teridentifikasi dan terkelola dengan lebih baik, sehingga modal yang
dibutuhkan untuk memenuhi konsekuensi dari risiko yang terjadi menjadi lebih rendah. ORM
dalam lembaga keuangan dapat dilihat sebagai aplikasi khusus dari pendekatan ERM.
The failure of the world banking system called into question the effectiveness of risk
management activities in banks and, in particular, the effectiveness of operational risk
management. One of the consequences of the world financial crisis is that the news reports
now routinely state that: 1) risk is bad; and 2) risk management has failed. In fact, taking risk
is essential for the success of organizations.
Kegagalan sistem perbankan dunia mempertanyakan efektivitas aktivitas manajemen risiko di
bank, khususnya efektivitas manajemen risiko operasional. Salah satu konsekuensi dari krisis
keuangan dunia adalah bahwa laporan berita sekarang secara rutin menyatakan bahwa: 1)
risiko itu buruk; dan 2) manajemen risiko telah gagal. Padahal, mengambil risiko merupakan
hal yang penting bagi keberhasilan organisasi.
The statement that risk management has failed in banks is more difficult to contradict.
However, the reality is that it was not the failure of risk management principles that caused
the banking crisis. It was the failure to correctly apply those principles. Many banks made
two simultaneous mistakes:
Pernyataan bahwa manajemen risiko telah gagal di bank-bank lebih sulit untuk dibantah.
Namun, kenyataannya bukan kegagalan prinsip-prinsip manajemen risiko yang menyebabkan
krisis perbankan. Melainkan kegagalan dalam menerapkan prinsip-prinsip tersebut dengan
benar. Banyak bank melakukan dua kesalahan secara bersamaan:
 An accurate risk and reward analysis was not undertaken, so that banks made
decisions on the basis of the rewards available, rather than taking a more balanced
view of the risks involved in seeking those higher rewards.
 Quantification of the level of risk involved was not accurate, because the banks were
taking such a risk-aggressive approach that certain events were considered to be so
unlikely that they could be ignored.
 Analisis risiko dan imbalan yang akurat tidak dilakukan, sehingga bank-bank
mengambil keputusan berdasarkan imbalan yang tersedia, daripada mengambil
pandangan yang lebih seimbang terhadap risiko yang terlibat dalam mencari imbalan
yang lebih tinggi tersebut.
 Kuantifikasi tingkat risiko yang terlibat tidak akurat, karena bank-bank mengambil
pendekatan yang agresif terhadap risiko sehingga kejadian-kejadian tertentu dianggap
sangat kecil kemungkinannya sehingga dapat diabaikan.
Detailed analysis of the banking crisis in 2008 is outside the scope of this text. However, it
appears that the crisis was caused by the failure of two different sets of risk analysis models.
Firstly, the banks had assumed that re-packaged debts, including sub-prime mortgages, would
continue to be tradable commodities in the market, but this proved not to be the case.
Analisis terperinci mengenai krisis perbankan pada tahun 2008 berada di luar cakupan tulisan
ini. Namun, tampaknya krisis ini disebabkan oleh kegagalan dua model analisis risiko yang
berbeda. Pertama, bank-bank mengasumsikan bahwa utang yang dikemas ulang, termasuk
sub-prime mortgage, akan terus menjadi komoditas yang dapat diperdagangkan di pasar,
namun hal ini ternyata tidak terjadi.
Secondly, the banks assumed that short-term borrowing on the wholesale money markets
would continue to be available. This short-term money is used by banks so that they can
continue to lend money on a long-term basis, at a more profitable rate. The collapse of the
wholesale money markets was not anticipated by the credit models used by most banks.
Kedua, bank-bank mengasumsikan bahwa pinjaman jangka pendek di pasar uang wholesale
akan terus tersedia. Uang jangka pendek ini digunakan oleh bank-bank agar mereka dapat
terus meminjamkan uang dalam jangka panjang, dengan suku bunga yang lebih
menguntungkan. Runtuhnya pasar uang wholesale tidak diantisipasi oleh model kredit yang
digunakan oleh sebagian besar bank.
Future development of ERM
The COSO ERM cube represents a framework for undertaking enterprise risk management,
although there is insufficient description in the COSO model of the risk management process
itself. However, the COSO approach is becoming more widespread because the recently
updated COSO Internal Control framework (2013) is the preferred approach for compliance
with the requirements of the Sarbanes– Oxley Act. US companies that have subsidiaries
around the world frequently require that their subsidiaries adopt the COSO approach.
Kubus ERM COSO mewakili kerangka kerja untuk melakukan manajemen risiko
perusahaan, meskipun tidak ada penjelasan yang cukup dalam model COSO tentang proses
manajemen risiko itu sendiri. Namun, pendekatan COSO menjadi lebih luas karena kerangka
kerja Pengendalian Internal COSO yang baru saja diperbarui (2013) merupakan pendekatan
yang lebih disukai untuk memenuhi persyaratan Sarbanes-Oxley Act. Perusahaan-perusahaan
AS yang memiliki anak perusahaan di seluruh dunia sering kali mewajibkan anak perusahaan
mereka untuk mengadopsi pendekatan COSO.
Other important developments in risk management are the publication in 2008 of British
Standard BS 31100 and the publication in 2009 of the ISO risk management standard, ISO
31000. ISO 31000 was adopted by Standards Australia to replace the previously available and
well-established Australian Standard AS 4360 (2004), which was first published in 1995. BS
31100 was revised and updated in 2011 to provide greater compatibility with ISO 31000.
Perkembangan penting lainnya dalam manajemen risiko adalah publikasi pada tahun 2008
dari British Standard BS 31100 dan publikasi pada tahun 2009 dari standar manajemen risiko
ISO, ISO 31000. ISO 31000 diadopsi oleh Standards Australia untuk menggantikan Standar
Australia AS 4360 (2004) yang telah ada dan mapan, yang pertama kali diterbitkan pada
tahun 1995. BS 31100 direvisi dan diperbarui pada tahun 2011 untuk memberikan
kompatibilitas yang lebih baik dengan ISO 31000.
Future developments in the practice of ERM are likely to be focused on two key areas: firstly,
ensuring risk management activities are fully embedded in the core business processes of the
organization; and secondly, demonstrating measurable financial benefits associated with the
implementation of an enterprise risk management initiative. The embedding of ERM in the
organization is achieved by leadership, involvement, learning, accountability and
communication (LILAC). Developments in the practice of operational risk management are
probably leading the way in the measurement of the total risk exposure of an organization.
Perkembangan masa depan dalam praktik ERM kemungkinan akan difokuskan pada dua
bidang utama: pertama, memastikan aktivitas manajemen risiko sepenuhnya tertanam dalam
proses bisnis inti organisasi; dan kedua, menunjukkan manfaat finansial yang terukur terkait
dengan penerapan inisiatif manajemen risiko perusahaan. Penanaman ERM dalam organisasi
dicapai melalui kepemimpinan, keterlibatan, pembelajaran, akuntabilitas dan komunikasi
(LILAC). Perkembangan dalam praktik manajemen risiko operasional mungkin menjadi yang
terdepan dalam pengukuran total eksposur risiko organisasi.
Whilst considering the continued development of enterprise risk management, it is also worth
commenting on the strong emergence of resilience as an organizational requirement for the
2010s. The ISO 22300 series of standards will cover business continuity, crisis management
and broader requirements concerned with the resilience of society, in general, and
organizations, in particular. ISO 22301 on business continuity is discussed in Chapter 18 and
the importance of the other standards in the ISO 22300 series is considered in Chapter 9.
Sambil mempertimbangkan perkembangan manajemen risiko perusahaan yang terus
berlanjut, ada baiknya juga untuk mengomentari kemunculan ketahanan yang kuat sebagai
persyaratan organisasi untuk tahun 2010. Rangkaian standar ISO 22300 akan mencakup
kelangsungan bisnis, manajemen krisis, dan persyaratan yang lebih luas yang berkaitan
dengan ketahanan masyarakat, secara umum, dan organisasi, secara khusus. ISO 22301
tentang kelangsungan bisnis dibahas di Bab 18 dan pentingnya standar lain dalam seri ISO
22300 dibahas di Bab 9.
In summary, the discipline of enterprise risk management has become established and is here
to stay, but it has to be able to demonstrate significant and measurable financial benefits.
These financial benefits need to be demonstrated in the form of increased profit in private-
sector organizations and in the form of the enhanced efficiency and/or value-for-money
delivery of services in the public sector. The box below suggests the keys to success in ERM.
Singkatnya, disiplin manajemen risiko perusahaan telah mapan dan akan terus ada, namun
harus mampu menunjukkan manfaat finansial yang signifikan dan terukur. Manfaat finansial
ini perlu ditunjukkan dalam bentuk peningkatan keuntungan dalam organisasi sektor swasta
dan dalam bentuk peningkatan efisiensi dan/atau pemberian layanan yang bernilai uang di
sektor publik. Kotak di bawah ini menunjukkan kunci keberhasilan dalam ERM.
Successful implementation of ERM

Risk managers have the responsibility of selling the value added by risk management to the
organization and its stakeholders, but this is not an easy task. How do risk managers sell the
value they are generating when that value may only be realized when unforeseen events
occur, or if the new control systems are successful, when the risk never occurs?
Manajer risiko memiliki tanggung jawab untuk menjual nilai tambah yang dihasilkan oleh
manajemen risiko kepada organisasi dan para pemangku kepentingannya, namun hal ini
bukanlah tugas yang mudah. Bagaimana manajer risiko menjual nilai yang mereka hasilkan
ketika nilai tersebut hanya dapat direalisasikan ketika kejadian tak terduga terjadi, atau jika
sistem kontrol baru berhasil, ketika risiko tidak pernah terjadi?
Risk managers need to remember that the actual implementation of an ERM programme
generates value in itself. Often risk managers are so focused on successfully managing the
programme that they do not have the time to clearly communicate this value to the
organization. The greatest value coming from the development of a corporate risk
management programme into an ERM system is the development of physical, financial and
cultural resilience in the overall business, while still focusing on achieving overall business
objectives.
Manajer risiko perlu mengingat bahwa implementasi aktual dari program ERM menghasilkan
nilai tersendiri. Seringkali manajer risiko begitu fokus pada keberhasilan mengelola program
sehingga mereka tidak memiliki waktu untuk mengkomunikasikan nilai ini dengan jelas
kepada organisasi. Nilai terbesar yang berasal dari pengembangan program manajemen risiko
perusahaan ke dalam sistem ERM adalah pengembangan ketahanan fisik, keuangan dan
budaya dalam bisnis secara keseluruhan, dengan tetap berfokus pada pencapaian tujuan bisnis
secara keseluruhan.
Risk managers can be their own worst enemies as one of the key elements of a successful
practitioner is a passion to successfully tailor, implement and maintain an ERM programme.
Correspondingly, this passion is a weakness as the practitioner needs to remember that others
do not always share that passion.
Manajer risiko dapat menjadi musuh terburuk bagi mereka sendiri karena salah satu elemen
kunci dari seorang praktisi yang sukses adalah hasrat untuk berhasil menyesuaikan,
mengimplementasikan, dan memelihara program ERM. Sejalan dengan itu, hasrat ini
merupakan kelemahan karena praktisi harus ingat bahwa orang lain tidak selalu memiliki
hasrat yang sama.
One of the major challenges ERM programmes face is the development of an ‘ivory tower’
mentality. In this scenario, all risk knowledge and activities are based in one department.
Risk managers need to devise a system that encourages the migration of risk management
methodologies and tools out into the organization. There is also a balancing act required.
Practitioners must not force the use of risk management processes on operational areas where
there is little value. It is critical to the success of an ERM programme that it has a system that
is flexible enough to work with the organization to capture and manage the critical risks
successfully without adding unnecessary work on managing lower level risks.
Salah satu tantangan utama yang dihadapi program ERM adalah pengembangan mentalitas
'menara gading'. Dalam skenario ini, semua pengetahuan dan aktivitas risiko berada di satu
departemen. Manajer risiko perlu merancang sistem yang mendorong migrasi metodologi dan
alat manajemen risiko ke dalam organisasi. Ada juga tindakan penyeimbangan yang
diperlukan. Praktisi tidak boleh memaksakan penggunaan proses manajemen risiko pada area
operasional yang nilainya kecil. Sangat penting bagi keberhasilan program ERM untuk
memiliki sistem yang cukup fleksibel untuk bekerja dengan organisasi dalam menangkap dan
mengelola risiko kritis dengan sukses tanpa menambahkan pekerjaan yang tidak perlu dalam
mengelola risiko di tingkat yang lebih rendah.
09
Alternative approaches
Changing face of risk management
As with any management initiative that becomes embedded within the way the organization
operates, a successful risk initiative is bound to develop and become more sophisticated.
Developments in the discipline of risk management, especially during the past 10 years, have
been dramatic. Also, the level to which risk management requirements have become
embedded within corporate governance has been extensive.
Seperti halnya inisiatif manajemen yang tertanam dalam cara organisasi beroperasi, inisiatif
risiko yang sukses pasti akan berkembang dan menjadi lebih canggih. Perkembangan dalam
disiplin manajemen risiko, terutama selama 10 tahun terakhir, telah berlangsung secara
dramatis. Selain itu, tingkat di mana persyaratan manajemen risiko telah tertanam dalam tata
kelola perusahaan telah sangat luas.
Many new developments of risk management have appeared during that time. In the 1990s,
risk management practitioners used to talk about integrated or holistic risk management, but
now the universally accepted terminology for the broad application of risk management
across the whole organization is enterprise risk management (ERM). Similarly, operational
risk management (ORM) has been established and developed very substantially during a
shorter time period of perhaps five years.
Banyak perkembangan baru dalam manajemen risiko yang muncul selama masa itu. Pada
tahun 1990-an, para praktisi manajemen risiko biasanya berbicara tentang manajemen risiko
terintegrasi atau holistik, tetapi sekarang terminologi yang diterima secara universal untuk
penerapan manajemen risiko secara luas di seluruh organisasi adalah manajemen risiko
perusahaan (enterprise risk management/ERM). Demikian pula, manajemen risiko
operasional (ORM) telah dibentuk dan dikembangkan secara substansial dalam waktu yang
lebih singkat, mungkin sekitar lima tahun.
In many ways, the fact that the risk management discipline continues to develop and adapt
itself to changing circumstances can be seen as beneficial. However, there is a danger that
risk management practitioners will be seen to be delivering an ever-changing and therefore
inconsistent message.
Dalam banyak hal, fakta bahwa disiplin manajemen risiko terus berkembang dan
menyesuaikan diri dengan perubahan keadaan dapat dilihat sebagai hal yang menguntungkan.
Namun, ada bahaya bahwa praktisi manajemen risiko akan terlihat menyampaikan pesan
yang selalu berubah dan karenanya tidak konsisten.
That is not to say that risk management should become a static discipline, but it is important
to remember that changing the basis on which risk management analysis and advice is offered
and appearing to be changing the very nature of the risk management process, will cause
confusion and lack of interest amongst the senior board members.
Hal ini tidak berarti bahwa manajemen risiko harus menjadi disiplin ilmu yang statis, tetapi
penting untuk diingat bahwa mengubah dasar yang menjadi dasar analisis manajemen risiko
dan saran yang ditawarkan dan terlihat seperti mengubah sifat dasar dari proses manajemen
risiko, akan menyebabkan kebingungan dan kurangnya ketertarikan di antara para anggota
dewan senior.
Any review of the changing face of risk management has to acknowledge the global financial
crisis and the role that risk management played in the development of this situation. As the
global financial crisis developed, newspaper and television reports constantly repeated two
messages: ‘risk is bad’ and ‘risk management has failed’. Neither of these statements is true.
It is essential that organizations take appropriate risks, and the failures that led to the global
financial crisis were failures in the application of risk management, not failures of risk
management itself.
Setiap tinjauan terhadap perubahan wajah manajemen risiko harus mengakui krisis keuangan
global dan peran manajemen risiko dalam perkembangan situasi ini. Ketika krisis keuangan
global berkembang, laporan surat kabar dan televisi terus-menerus mengulang dua pesan:
'risiko itu buruk' dan 'manajemen risiko telah gagal'. Tidak satu pun dari pernyataan ini yang
benar. Sangatlah penting bagi organisasi untuk mengambil risiko yang tepat, dan kegagalan
yang menyebabkan krisis keuangan global adalah kegagalan dalam penerapan manajemen
risiko, bukan kegagalan manajemen risiko itu sendiri.
It is undoubtedly the case that taking too much risk may be inappropriate and can result in
failure of the whole organization. However, the experience of many organizations is that they
almost always get away with it, or (at the very least) manage to survive. A detailed
understanding of the level of risk embedded in the organization is not intended to put a stop
to all bold strategic decisions. Risk awareness should not prevent an organization embarking
on a high-risk strategy, but the decisions will be taken with full awareness of the risks that are
involved.
Tidak diragukan lagi bahwa mengambil terlalu banyak risiko mungkin tidak tepat dan dapat
mengakibatkan kegagalan seluruh organisasi. Namun, pengalaman dari banyak organisasi
adalah bahwa mereka hampir selalu berhasil lolos, atau (paling tidak) berhasil bertahan.
Pemahaman yang rinci mengenai tingkat risiko yang ada di dalam organisasi tidak
dimaksudkan untuk menghentikan semua keputusan strategis yang berani. Kesadaran akan
risiko seharusnya tidak menghalangi sebuah organisasi untuk memulai strategi yang berisiko
tinggi, namun keputusan akan diambil dengan kesadaran penuh akan risiko yang ada.
Organizations should continue to look for opportunities and, from time to time, acknowledge
that there is a good opportunity that looks very risky. The organization may still have an
appetite for embarking on that risky strategy, but the next stage of discussion should be about
how to manage the risks so that they remain within the risk capacity of the organization, and
how to measure the risks so that the board remains aware of the actual risk exposure.
Organisasi harus terus mencari peluang dan, dari waktu ke waktu, mengakui bahwa ada
peluang bagus yang terlihat sangat berisiko. Organisasi mungkin masih memiliki keinginan
untuk memulai strategi berisiko tersebut, tetapi tahap diskusi selanjutnya adalah tentang
bagaimana mengelola risiko sehingga tetap berada dalam kapasitas risiko organisasi, dan
bagaimana mengukur risiko sehingga dewan direksi tetap mengetahui eksposur risiko yang
sebenarnya.
The global financial crisis does not represent a failure of risk management. It represents a
failure to completely and correctly apply risk management procedures and protocols. Figure
25.3 illustrates the risk appetite of a risk-aggressive organization. When an organization is
risk aggressive, it limits the range of risks that the board will consider, as there is limited
scope for identifying risks as high likelihood/ high impact. In other words, the universe of
risk for that organization is severely restricted and will exclude risks that should receive the
board’s attention.
Krisis keuangan global bukan merupakan kegagalan manajemen risiko. Hal tersebut
merupakan kegagalan dalam menerapkan prosedur dan protokol manajemen risiko secara
lengkap dan benar. Gambar 25.3 mengilustrasikan selera risiko dari organisasi yang agresif
terhadap risiko. Ketika sebuah organisasi agresif terhadap risiko, maka organisasi tersebut
membatasi rentang risiko yang akan dipertimbangkan oleh dewan, karena ada ruang lingkup
terbatas untuk mengidentifikasi risiko sebagai kemungkinan besar/dampak besar. Dengan
kata lain, dunia risiko untuk organisasi tersebut sangat terbatas dan akan mengecualikan
risiko-risiko yang seharusnya mendapat perhatian dewan.
If the organization is risk aggressive and operates to a model in line with Figure 25.3 then
very few priority significant risks will be identified. This will result in the organization
creating a ‘closed universe of risk’ for the board that potentially restricts broader discussion
and analysis. However, there is nothing inherently incorrect about an organization being risk
aggressive. If an organization is risk aggressive, there is an increased need to revisit risk
assessments, challenge the scope and results of risk analysis activities, and ensure that a
highly dynamic approach to risk management is maintained at all times and at all levels in the
organization.
Jika organisasi bersifat agresif terhadap risiko dan beroperasi sesuai dengan model pada
Gambar 25.3, maka hanya sedikit risiko signifikan yang akan diidentifikasi. Hal ini akan
mengakibatkan organisasi menciptakan 'alam semesta risiko yang tertutup' bagi dewan yang
berpotensi membatasi diskusi dan analisis yang lebih luas. Namun, tidak ada yang salah
dengan organisasi yang agresif terhadap risiko. Jika sebuah organisasi bersifat agresif
terhadap risiko, maka akan ada kebutuhan yang lebih besar untuk meninjau kembali penilaian
risiko, menantang ruang lingkup dan hasil kegiatan analisis risiko, dan memastikan bahwa
pendekatan yang sangat dinamis terhadap manajemen risiko dipertahankan setiap saat dan di
semua tingkatan dalam organisasi.
In addition to the concerns about risk management raised by the global financial crisis,
certain other challenging issues for risk management exist. The concepts of risk appetite and
the upside of risk are useful ideas, but more development work is required before the
definitions and successful application of these concepts can bring guaranteed benefits.
Selain kekhawatiran tentang manajemen risiko yang ditimbulkan oleh krisis keuangan global,
ada beberapa isu menantang lainnya untuk manajemen risiko. Konsep risk appetite dan
upside of risk merupakan gagasan yang berguna, namun diperlukan lebih banyak
pengembangan sebelum definisi dan penerapan yang sukses dari konsep-konsep ini dapat
memberikan manfaat yang terjamin.
Managing emerging risks (Mengelola Risiko yang Muncul)
All organizations are concerned about changes in the external and internal context that give
rise to new challenges, uncertainties and opportunities. These changes can be considered to
be the emerging risks facing the organization. However, consideration of emerging risks can
be difficult unless the organization clearly understands the nature of the emerging risks that it
faces. Emerging risks can be divided into three categories, as follows:
Semua organisasi mengkhawatirkan perubahan dalam konteks eksternal dan internal yang
memunculkan tantangan, ketidakpastian, dan peluang baru. Perubahan-perubahan ini dapat
dianggap sebagai risiko-risiko baru yang dihadapi organisasi. Namun, pertimbangan terhadap
risiko-risiko yang muncul dapat menjadi sulit kecuali jika organisasi memahami dengan jelas
sifat dari risiko-risiko yang muncul yang dihadapinya. Risiko-risiko yang muncul dapat
dibagi menjadi tiga kategori, sebagai berikut:
 new risks that have emerged in the external environment, but are associated with the
existing strategy of the organization – new risks in known context;
 existing risks that were already known to the organization, but have developed or
changed circumstances have triggered the risk – known risks in new context;
 risks that were not previously faced by the organization, because the risks are
associated with changed core processes – new risks in new context.
 risiko baru yang muncul di lingkungan eksternal, tetapi terkait dengan strategi
organisasi yang sudah ada - risiko baru dalam konteks yang sudah diketahui;
 risiko yang sudah diketahui oleh organisasi, namun perkembangan atau perubahan
keadaan telah memicu risiko tersebut - risiko yang sudah diketahui dalam konteks
yang baru;
 risiko yang sebelumnya tidak dihadapi oleh organisasi, karena risiko tersebut terkait
dengan proses inti yang telah berubah - risiko baru dalam konteks baru.
Several business developments have increased the level of risk faced by organizations in
recent times, including moving into new markets, embracing new technologies and
developing increasingly complex supply chains. Generally, these increasing risks will be
under the control of the organization itself. Additionally, there are many emerging or
developing risks that are not within the control of an individual organization, including:
Beberapa perkembangan bisnis telah meningkatkan tingkat risiko yang dihadapi oleh
organisasi dalam beberapa waktu terakhir, termasuk pindah ke pasar baru, merangkul
teknologi baru dan mengembangkan rantai pasokan yang semakin kompleks. Umumnya,
peningkatan risiko ini berada di bawah kendali organisasi itu sendiri. Selain itu, ada banyak
risiko yang muncul atau berkembang yang tidak berada di bawah kendali organisasi individu,
termasuk:
 climate change;
 sovereign debt;
 national security;
 changing demographics.
 perubahan iklim;
 utang negara;
 keamanan nasional;
 perubahan demografi.
When seeking to manage these emerging risks, an organization should evaluate whether the
risks are to be treated as hazard, control or opportunity risks. Depending on the activities of
the organization, many of these emerging risks may simply be threats to the organization or
represent opportunities for future development. In some cases, the emerging risks will simply
represent additional uncertainties that need to be managed.
Ketika berusaha untuk mengelola risiko-risiko yang muncul ini, sebuah organisasi harus
mengevaluasi apakah risiko-risiko tersebut harus diperlakukan sebagai risiko bahaya, kontrol
atau peluang. Tergantung pada aktivitas organisasi, banyak dari risiko yang muncul ini
mungkin hanya merupakan ancaman bagi organisasi atau mewakili peluang untuk
pengembangan di masa depan. Dalam beberapa kasus, risiko yang muncul hanya akan
mewakili ketidakpastian tambahan yang perlu dikelola.
An important consideration when thinking about emerging risks is the speed at which they
can become significant. Some risk management practitioners refer to the speed of
development and change of risks as the risk velocity.
Pertimbangan penting ketika memikirkan risiko yang muncul adalah kecepatan di mana
risiko tersebut dapat menjadi signifikan. Beberapa praktisi manajemen risiko menyebut
kecepatan perkembangan dan perubahan risiko sebagai kecepatan risiko.
A good example of emerging risk is nanotechnology. Nanotechnology is used extensively in
the medical and, to some extent, cosmetics industry to improve the effectiveness of cosmetic
treatment of skin conditions. Whether any long-term risks will emerge from the use of
nanotechnology has not yet been fully established.
Contoh yang baik dari risiko yang muncul adalah nanoteknologi. Nanoteknologi digunakan
secara luas dalam industri medis dan, sampai batas tertentu, industri kosmetik untuk
meningkatkan efektivitas perawatan kosmetik pada kondisi kulit. Apakah ada risiko jangka
panjang yang akan muncul dari penggunaan nanoteknologi belum sepenuhnya diketahui.
Another good example is that associated with the use of mobile phones. Mobile phones have
become commonplace, but the technology has developed rapidly over the past 25 years.
Mobile phone signals were much more powerful 25 years ago. Therefore, if any health
allegations begin to emerge against the use of mobile phones, these health effects are likely to
be associated with the technology that is no longer used. This will represent significant
challenges in deciding whether any health hazards no longer exist because the technology has
changed, or whether the health hazards are just as significant and will prove to be equally
associated with current technology.
Contoh lain yang bagus adalah yang terkait dengan penggunaan ponsel. Ponsel telah menjadi
hal yang biasa, tetapi teknologinya telah berkembang pesat selama 25 tahun terakhir. Sinyal
ponsel jauh lebih kuat 25 tahun yang lalu. Oleh karena itu, jika ada dugaan kesehatan yang
mulai muncul terhadap penggunaan ponsel, efek kesehatan ini kemungkinan besar terkait
dengan teknologi yang sudah tidak lagi digunakan. Hal ini akan menjadi tantangan yang
signifikan dalam menentukan apakah bahaya kesehatan tidak lagi ada karena teknologinya
sudah berubah, atau apakah bahaya kesehatannya sama signifikannya dan akan terbukti sama-
sama terkait dengan teknologi yang ada saat ini.
Risks of nanotechnology
As nanotechnology is an emerging field, there is great debate regarding the extent that it will
benefit or pose risks for human health. Nanotechnology’s health impact can be split into two
aspects: the potential for medical applications to cure disease, and the potential health hazards
posed by exposure to nano-materials. The extremely small size of nano-materials means that
they are much more readily taken up by the human body than larger-sized particles. How
these nano-particles behave inside the organism is one of the big issues that needs to be
resolved. The behaviour of nanoparticles is a function of their size, shape and surface
reactivity with the surrounding tissue. Apart from what happens if non-degradable or slowly
degradable nano-particles accumulate in organs, another concern is their potential interaction
with biological processes inside the body: because of their large surface, nano-particles on
exposure to tissue and fluids will immediately absorb onto their surface some of the macro-
molecules they encounter. The large number of variables influencing toxicity means that it is
difficult to generalize about health risks associated with exposure to nano-materials; each
new nano-material must be assessed individually and all material properties must be taken
into account. Health and environmental issues combine in the workplace of companies
engaged in producing or using nano-materials and in the laboratories engaged in nano-science
and nanotechnology research. It is safe to say that current workplace exposure standards for
dusts cannot be applied directly to nano-particle dusts.
Karena nanoteknologi merupakan bidang yang masih baru, ada perdebatan besar mengenai
sejauh mana manfaat atau risikonya bagi kesehatan manusia. Dampak kesehatan
nanoteknologi dapat dibagi menjadi dua aspek: potensi aplikasi medis untuk menyembuhkan
penyakit, dan potensi bahaya kesehatan yang ditimbulkan oleh paparan bahan nano. Ukuran
bahan nano yang sangat kecil berarti bahan ini lebih mudah diserap oleh tubuh manusia
daripada partikel berukuran lebih besar. Bagaimana partikel nano ini berperilaku di dalam
tubuh adalah salah satu masalah besar yang perlu diselesaikan. Perilaku partikel nano
merupakan fungsi dari ukuran, bentuk, dan reaktivitas permukaannya dengan jaringan di
sekitarnya. Terlepas dari apa yang terjadi jika partikel nano yang tidak dapat terurai atau
terurai secara perlahan terakumulasi di dalam organ tubuh, kekhawatiran lain adalah potensi
interaksi mereka dengan proses biologis di dalam tubuh: karena permukaannya yang besar,
partikel nano yang terpapar ke jaringan dan cairan akan segera menyerap ke permukaannya
beberapa molekul makro yang mereka temui. Banyaknya variabel yang mempengaruhi
toksisitas berarti sulit untuk menggeneralisasi tentang risiko kesehatan yang terkait dengan
paparan bahan nano; setiap bahan nano baru harus dinilai secara individual dan semua sifat
material harus diperhitungkan. Masalah kesehatan dan lingkungan bergabung di tempat kerja
perusahaan yang terlibat dalam memproduksi atau menggunakan bahan nano dan di
laboratorium yang terlibat dalam penelitian nano-sains dan nanoteknologi. Dapat dikatakan
bahwa standar pemaparan di tempat kerja saat ini untuk debu tidak dapat diterapkan secara
langsung pada debu partikel nano.
Increasing importance of resilience (Semakin pentingnya ketahanan)
In recent years, there has been an increasing interest in the topic of resilience. Perhaps, the
trend started with government and local or municipal authorities. There was recognition
during the 1990s and 2000s that society, in general, and communities, in particular, had to
become more resilient. This developing awareness initially arose in relation to civil
emergencies, as well as natural catastrophes, such as earthquakes, and extreme weather
events. Although the initial concern with resilience may have started with the consideration
of how to respond to wide area events, broader concerns have developed in recent times.
Dalam beberapa tahun terakhir, telah terjadi peningkatan minat terhadap topik ketahanan.
Mungkin, tren ini dimulai dari pemerintah dan otoritas lokal atau kota. Ada pengakuan
selama tahun 1990-an dan 2000-an bahwa masyarakat, secara umum, dan komunitas,
khususnya, harus menjadi lebih tangguh. Kesadaran yang berkembang ini pada awalnya
muncul dalam kaitannya dengan keadaan darurat sipil, serta bencana alam, seperti gempa
bumi, dan peristiwa cuaca ekstrem. Meskipun kepedulian awal terhadap ketangguhan
mungkin telah dimulai dengan pertimbangan bagaimana merespons kejadian-kejadian di
wilayah yang luas, kepedulian yang lebih luas telah berkembang belakangan ini.
The increasing awareness and concern in relation to resilience is clearly demonstrated by the
fact that the replacement for British Standard BS 25999:2006 Part 1 ‘Code of Practice –
Business Continuity Management’ was ISO 22301:2012 ‘Societal Security – Business
Continuity Management Systems – Requirements’. A number of other standards in the ISO
22300 series are being developed and there are moves towards developing resilience
standards in other countries. One of the best established resilience standards is the
Organizational Resilience Standard (ASIS SPC.1-2009) published by the American National
Standards Institute.
Meningkatnya kesadaran dan kepedulian dalam kaitannya dengan ketahanan ditunjukkan
dengan jelas oleh fakta bahwa pengganti Standar Inggris BS 25999:2006 Bagian 1 'Kode
Praktik - Manajemen Kelangsungan Usaha' adalah ISO 22301:2012 'Keamanan Masyarakat -
Sistem Manajemen Kelangsungan Usaha - Persyaratan'. Sejumlah standar lain dalam seri ISO
22300 sedang dikembangkan dan ada gerakan untuk mengembangkan standar ketahanan di
negara lain. Salah satu standar ketahanan terbaik yang sudah ada adalah Standar Ketahanan
Organisasi (ASIS SPC.1-2009) yang diterbitkan oleh American National Standards Institute.
This ASIS standard takes an enterprise-wide view of risk management, enabling an
organization to develop a comprehensive strategy to prevent when possible, prepare for,
mitigate, respond to, and recover from a disruptive incident. This allows integration with ISO
31000. It is also compatible with existing ISO management system standards (such as ISO
9001, ISO 14001, ISO 27001 and ISO 28000). The overall approach is that a resilient
organization needs to ‘prevent, protect and prepare’ in relation to resources and assets and at
the same time be able to ‘respond, recover and review’ when a crisis occurs.
Standar ASIS ini mengambil pandangan manajemen risiko di seluruh perusahaan,
memungkinkan organisasi untuk mengembangkan strategi yang komprehensif untuk
mencegah jika memungkinkan, mempersiapkan diri, memitigasi, merespons, dan pulih dari
insiden yang mengganggu. Hal ini memungkinkan integrasi dengan ISO 31000. Hal ini juga
kompatibel dengan standar sistem manajemen ISO yang ada (seperti ISO 9001, ISO 14001,
ISO 27001 dan ISO 28000). Pendekatan keseluruhannya adalah bahwa organisasi yang
tangguh perlu 'mencegah, melindungi, dan mempersiapkan' dalam kaitannya dengan sumber
daya dan aset dan pada saat yang sama dapat 'merespons, memulihkan, dan meninjau' ketika
terjadi krisis.
When seeking to make an organization more resilient, it is essential to have a definition of the
desired state of resilience that is being sought. ISO 22300:2012 ‘Societal Security –
Terminology’ defines resilience as the ‘adaptive capacity of an organization in a complex and
changing environment’. This is a useful definition, but resilience is often associated with
crisis management, and this definition does not explicitly address the behaviour of an
organization during a crisis. Perhaps a better definition would be the ‘capacity of an
organization to consistently achieve a desired state following a change in circumstances’.
This definition is more inclusive of the management of a crisis, as well as the ability to
successfully respond to less dramatic or disruptive events.
Ketika berusaha untuk membuat organisasi menjadi lebih tangguh, sangat penting untuk
memiliki definisi tentang kondisi ketahanan yang diinginkan yang sedang dicari. ISO
22300:2012 'Keamanan Masyarakat - Terminologi' mendefinisikan ketahanan sebagai
'kapasitas adaptasi organisasi dalam lingkungan yang kompleks dan terus berubah'. Ini adalah
definisi yang berguna, namun ketahanan sering dikaitkan dengan manajemen krisis, dan
definisi ini tidak secara eksplisit membahas perilaku organisasi selama krisis. Mungkin
definisi yang lebih baik adalah 'kapasitas organisasi untuk secara konsisten mencapai kondisi
yang diinginkan setelah terjadi perubahan keadaan'. Definisi ini lebih inklusif dalam hal
manajemen krisis, serta kemampuan untuk berhasil menanggapi peristiwa yang tidak terlalu
dramatis atau mengganggu.
The emergence of resilience is an opportunity for risk management and business continuity
specialists to work together to ensure a more co-ordinated approach to enterprise risk
management, business continuity and crisis management. There are three behaviours that
should be achieved by an organization if it is to achieve increased resilience:
Munculnya ketahanan merupakan peluang bagi spesialis manajemen risiko dan kelangsungan
bisnis untuk bekerja sama dalam memastikan pendekatan yang lebih terkoordinasi terhadap
manajemen risiko perusahaan, kelangsungan bisnis, dan manajemen krisis. Ada tiga perilaku
yang harus dicapai oleh sebuah organisasi jika ingin mencapai peningkatan ketahanan:
 awareness of changes in the external, internal and risk management environments, so
that constant attention to resilience is ensured;
 ‘prevent, protect and prepare’ in relation to all types of resources, including assets,
networks, relationships and intellectual property;
 ‘respond, recover and review’ in relation to disruptive events, including the ability to
respond rapidly, review lessons learnt and adapt.
 kesadaran akan perubahan dalam lingkungan eksternal, internal dan manajemen

risiko, sehingga perhatian yang konstan terhadap ketahanan dapat dipastikan;
 'mencegah, melindungi dan mempersiapkan' dalam kaitannya dengan semua jenis
sumber daya, termasuk aset, jaringan, hubungan dan kekayaan intelektual;
 'merespons, memulihkan dan meninjau' sehubungan dengan peristiwa yang
mengganggu, termasuk kemampuan untuk merespons dengan cepat, meninjau
pelajaran yang dipetik dan beradaptasi.
Finally, it is worth noting that another trend in the structure of risk management and
resilience standards appears to be emerging. Several standards are moving towards the ‘plan–
do–check–act’ (PDCA) structure. This approach is entirely consistent with the plan,
implement, measure, learn (PIML) approach to implementing a risk management initiative
that is set out in Appendix C. The ASIS standard explicitly follows the PDCA format. PIML
is preferred to PDCA because it is a more comprehensive and analytical approach. In fact,
both the framework and the risk management process described in ISO 31000 are aligned
with the PIML approach, once the ‘mandate and commitment’ for the framework and the
‘establish the context’ for the process stages (respectively) have been completed.
Terakhir, perlu dicatat bahwa tren lain dalam struktur manajemen risiko dan standar
ketahanan tampaknya muncul. Beberapa standar bergerak menuju struktur 'rencanakan-
lakukan-periksa-tindak' (PDCA). Pendekatan ini sepenuhnya konsisten dengan pendekatan
rencanakan, laksanakan, ukur, pelajari (PIML) untuk mengimplementasikan inisiatif
manajemen risiko yang ditetapkan dalam Lampiran C. Standar ASIS secara eksplisit
mengikuti format PDCA. PIML lebih disukai daripada PDCA karena merupakan pendekatan
yang lebih komprehensif dan analitis. Faktanya, baik kerangka kerja maupun proses
manajemen risiko yang dijelaskan dalam ISO 31000 selaras dengan pendekatan PIML,
setelah 'mandat dan komitmen' untuk kerangka kerja dan 'membangun konteks' untuk tahap-
tahap proses (masing-masing) telah selesai.
As the increasing importance of resilience is recognized, advice on achieving resilience is
becoming more widespread. For example, the box below summarizes advice provided to
organizations by the Cabinet Office of the UK government.
Seiring dengan semakin pentingnya ketahanan, saran untuk mencapai ketahanan menjadi
semakin meluas. Sebagai contoh, kotak di bawah ini merangkum saran yang diberikan
kepada organisasi oleh Kantor Kabinet pemerintah Inggris.
Increasing importance of resilience
Embedding organizational resilience into governance mechanisms should ensure that the
management of the risks to critical infrastructure posed by natural hazards, major accidents
and other malicious damage is considered by the board. The needs of organizational
resilience would thereby inform strategic investment and procurement decisions, risk
management and discussions with supply chain partners. It would enable infrastructure
owners and operators to improve their understanding of the resilience of their infrastructure,
measure the success of the strategy at regular intervals, and make necessary amendments to
secure delivery or to match changing organizational priorities.
Menanamkan ketahanan organisasi ke dalam mekanisme tata kelola harus memastikan bahwa
pengelolaan risiko terhadap infrastruktur penting yang ditimbulkan oleh bahaya alam,
kecelakaan besar, dan kerusakan berbahaya lainnya dipertimbangkan oleh dewan. Dengan
demikian, kebutuhan ketahanan organisasi akan menginformasikan keputusan investasi dan
pengadaan strategis, manajemen risiko, dan diskusi dengan mitra rantai pasokan. Hal ini akan
memungkinkan pemilik dan operator infrastruktur untuk meningkatkan pemahaman mereka
tentang ketahanan infrastruktur mereka, mengukur keberhasilan strategi secara berkala, dan
membuat amandemen yang diperlukan untuk mengamankan pengiriman atau menyesuaikan
dengan perubahan prioritas organisasi.
Different approaches
The approach adopted by the Canadian Criteria of Control (CoCo) framework (1995)
produced by the Canadian Institute of Chartered Accountants is based on the idea that the risk
culture of the organization is the most important consideration. If the risk culture is correct,
then the successful management of risks should follow. The CoCo framework states that:
Pendekatan yang diadopsi oleh kerangka kerja Canadian Criteria of Control (CoCo) (1995)
yang dibuat oleh Canadian Institute of Chartered Accountants didasarkan pada gagasan
bahwa budaya risiko organisasi adalah pertimbangan yang paling penting. Jika budaya risiko
sudah benar, maka pengelolaan risiko yang sukses akan mengikuti.
Kerangka kerja CoCo menyatakan bahwa:

A person performs a task, guided by an understanding of its purpose (the objective to be
achieved) and supported by capability (information, resources, supplies and skills). The
person will need a sense of commitment to perform the task well over time. The person will
monitor his or her performance and the external environment to learn about how to do the
task better and about changes to be made. The same is true of any team or work group. In
any organization of people, the essence of control is purpose, commitment, capability and
monitoring and learning.
Seseorang melakukan suatu tugas, dipandu oleh pemahaman akan tujuannya (sasaran
yang ingin dicapai) dan didukung oleh kemampuan (informasi, sumber daya,
perlengkapan, dan keterampilan). Orang tersebut akan membutuhkan komitmen untuk
melakukan tugas dengan baik dari waktu ke waktu. Orang tersebut akan memantau
kinerjanya dan lingkungan eksternal untuk belajar tentang bagaimana melakukan tugas
dengan lebih baik dan tentang perubahan yang harus dilakukan. Hal yang sama juga
berlaku untuk tim atau kelompok kerja mana pun. Dalam setiap organisasi yang terdiri
dari orang-orang, esensi dari pengendalian adalah tujuan, komitmen, kemampuan, serta
pemantauan dan pembelajaran.
There are similarities between the CoCo approach and the LILAC measure of risk awareness
or risk culture that has been mentioned previously. The LILAC approach suggests that risk
management activities will be embedded when the risk culture displays leadership,
involvement, learning, accountability and communication. Individual organizations should
decide how they wish to measure the control environment/risk-aware culture within the
organization. Whatever method is used to measure the risk culture, there is no doubt that it is
critical to the successful implementation of risk management.
Terdapat kesamaan antara pendekatan CoCo dengan ukuran kesadaran risiko atau budaya
risiko LILAC yang telah disebutkan sebelumnya. Pendekatan LILAC menunjukkan bahwa
aktivitas manajemen risiko akan tertanam ketika budaya risiko menunjukkan kepemimpinan,
keterlibatan, pembelajaran, akuntabilitas, dan komunikasi. Setiap organisasi harus
memutuskan bagaimana mereka ingin mengukur lingkungan pengendalian/budaya sadar
risiko di dalam organisasi. Apapun metode yang digunakan untuk mengukur budaya risiko,
tidak diragukan lagi bahwa hal ini sangat penting untuk keberhasilan penerapan manajemen
risiko.
The CoCo framework is considered in more detail in Chapter 33. Although there are different
versions of the CoCo questions, the following are the headings that are normally used in
order to evaluate the risk-aware culture within an organization using the CoCo approach:
Kerangka kerja CoCo dibahas secara lebih rinci di Bab 33. Meskipun terdapat beberapa versi
pertanyaan CoCo yang berbeda, berikut ini adalah judul-judul yang biasanya digunakan
untuk mengevaluasi budaya sadar risiko di dalam suatu organisasi dengan menggunakan
pendekatan CoCo:
 purpose, vision and mission;
 commitment to integrity and ethical values;
 capability, authority and responsibilities;
 learning and development of competence.
 tujuan, visi dan misi;
 komitmen terhadap integritas dan nilai-nilai etika;
 kemampuan, wewenang dan tanggung jawab;
 pembelajaran dan pengembangan kompetensi.
In addition to the CoCo approach, there are many other risk management and internal control
standards available throughout the world. The scope and intended purpose of the standards
varies. For example, the Orange Book produced by HM Treasury in the UK is intended as
guidance to central government departments on risk management.
Selain pendekatan CoCo, ada banyak standar manajemen risiko dan pengendalian internal
lainnya yang tersedia di seluruh dunia. Cakupan dan tujuan dari standar-standar tersebut
berbeda-beda. Sebagai contoh, Orange Book yang diterbitkan oleh HM Treasury di Inggris
dimaksudkan sebagai panduan bagi departemen-departemen pemerintah pusat mengenai
manajemen risiko.
An important development in standards is the emergence of the concept of Governance Risk
and Compliance (GRC) and this is considered in more detail in Chapter 35. The approach
underpinning the principle is related to the concept of the three lines of defence whereby
different risk management and internal control responsibilities are allocated to senior
management, specialist risk functions and internal audit. The overall approach to GRC is
based on the separation of functions. Senior management is responsible for governance
within the organization, specialist risk functions are responsible for risk management
activities and assurance on adequate compliance is provided by internal audit.
Perkembangan penting dalam standar adalah munculnya konsep Tata Kelola Risiko dan
Kepatuhan (Governance Risk and Compliance/GRC) dan hal ini dibahas secara lebih rinci
dalam Bab 35. Pendekatan yang mendasari prinsip ini terkait dengan konsep tiga lini
pertahanan dimana tanggung jawab manajemen risiko dan pengendalian internal yang
berbeda dialokasikan kepada manajemen senior, fungsi risiko spesialis, dan audit internal.
Pendekatan keseluruhan terhadap GRC didasarkan pada pemisahan fungsi. Manajemen senior
bertanggung jawab atas tata kelola di dalam organisasi, fungsi risiko spesialis bertanggung
jawab atas aktivitas manajemen risiko dan jaminan atas kepatuhan yang memadai diberikan
oleh audit internal.
In South Africa, the highly influential and detailed King III corporate governance code was
published in 2009. Risk management remains important in the updated code and more
detailed guidance is given on how it is to be accomplished. The board is responsible for the
governance of risk and disclosure and management is responsible for the risk management
design, implementation and monitoring of the risk management plan.
Di Afrika Selatan, kode tata kelola perusahaan King III yang sangat berpengaruh dan
terperinci diterbitkan pada tahun 2009. Manajemen risiko tetap menjadi hal yang penting
dalam kode yang telah diperbaharui dan panduan yang lebih rinci diberikan mengenai
bagaimana hal tersebut harus dicapai. Dewan Komisaris bertanggung jawab atas tata kelola
risiko dan pengungkapan, sedangkan manajemen bertanggung jawab atas desain manajemen
risiko, implementasi dan pemantauan rencana manajemen risiko.
Detailed responsibilities for risk management are set out in King III in relation to the
responsibilities of the board of the company. These are summarized in Table 9.1. In addition
to risk management standards and corporate governance requirements, there are a number of
specialist standards that apply to risk management. In particular, the IT sector has produced a
number of well-regarded and widely used standards. Perhaps the best-known of the standards
is Control Objectives for Information and Related Technology (COBIT). COBIT provides
good practices across a domain and process framework and presents activities in a
manageable and logical structure. The COBIT approach is described in more detail in the box
below.
Tanggung jawab terperinci untuk manajemen risiko ditetapkan dalam King III dalam
kaitannya dengan tanggung jawab dewan perusahaan. Hal ini dirangkum dalam Tabel 9.1.
Selain standar manajemen risiko dan persyaratan tata kelola perusahaan, ada sejumlah standar
khusus yang berlaku untuk manajemen risiko. Secara khusus, sektor TI telah menghasilkan
sejumlah standar yang diakui dan digunakan secara luas. Mungkin standar yang paling
terkenal adalah Control Objectives for Information and Related Technology (COBIT).
COBIT menyediakan praktik-praktik yang baik di seluruh domain dan kerangka kerja proses
serta menyajikan aktivitas dalam struktur yang dapat dikelola dan logis. Pendekatan COBIT
dijelaskan secara lebih rinci dalam kotak di bawah ini.
Control Objectives for Information and Related Technology (COBIT)
The good practices described in COBIT represent the consensus of experts. They are strongly
focused on control, less on execution. These practices will help optimise IT-enabled
investments, ensure service delivery and provide a measure against which to judge when
things do go wrong. For IT to be successful in delivering against business requirements,
management should put an internal control system or framework in place. The COBIT
control framework contributes to these needs by:
Praktek-praktek yang baik yang dijelaskan dalam COBIT mewakili konsensus para ahli.
Mereka sangat fokus pada kontrol, bukan pada eksekusi. Praktik-praktik ini akan membantu
mengoptimalkan investasi TI, memastikan pemberian layanan dan memberikan ukuran untuk
menilai ketika terjadi kesalahan. Agar TI dapat berhasil dalam memenuhi kebutuhan bisnis,
manajemen harus menerapkan sistem atau kerangka kerja pengendalian internal. Kerangka
kerja kontrol COBIT memberikan kontribusi terhadap kebutuhan ini dengan:
 making a link to the business requirements;
 organizing IT activities into a generally accepted process model;
 identifying the major IT resources to be leveraged;
 defining the management control objectives to be considered.
The business orientation of COBIT consists of linking business goals to IT goals, providing
metrics and maturity models to measure their achievement, and identifying the associated
responsibilities of business and IT process owners.
Summary of King III risk requirements
Risk management responsibility
1. Board is responsible for governance of risk.
2. Board is responsible for determining the levels of risk tolerance and risks it is willing
to take (risk appetite).
3. Board should be assisted in carrying out its risk responsibilities by the risk committee
or audit committee.
4. Board should delegate to management the responsibility to design, implement and
monitor the risk management plan.
5. Board should ensure that risk assessments are performed on a continual basis.
6. Board should ensure that frameworks and methodologies are implemented to increase
the probability of anticipating unpredictable risks.
7. Board should ensure that management considers and implements appropriate risk
responses.
8. Board should ensure continuous risk monitoring by management.
9. Board should receive assurance regarding the effectiveness of the risk management
process.
10. Board should ensure that there are processes in place to ensure complete, timely,
relevant, accurate and accessible risk disclosure to stakeholders
Structure of management standards (Struktur standar manajemen)
ISO has produced guidance on the required structure of management system standards. This
guidance is referred to as Annex SL and a number of existing standards have already been
converted to this format, including ISO 14001:2004 ‘Environmental Management Systems –
Requirements with Guidance for Use’. Also, ISO 22301:2012 ‘Societal Security – Business
Continuity Management’, which is discussed in more detail in Chapter 18, has been migrated
to this new structure.
ISO telah menghasilkan panduan tentang struktur standar sistem manajemen yang diperlukan.
Panduan ini disebut sebagai Lampiran SL dan sejumlah standar yang ada telah dikonversi ke
format ini, termasuk ISO 14001:2004 'Sistem Manajemen Lingkungan - Persyaratan dengan
Panduan Penggunaan'. Selain itu, ISO 22301:2012 'Keamanan Sosial - Manajemen
Kesinambungan Bisnis', yang dibahas secara lebih rinci dalam Bab 18, telah dimigrasikan ke
struktur baru ini.
Major clause numbers and titles of all management system standards will become identical,
once Annex SL has been adopted for standards. Following the introduction section,
management system standards that comply with Annex SL will be structured with the
following clauses:
Nomor dan judul klausul utama dari semua standar sistem manajemen akan menjadi identik,
setelah Lampiran SL diadopsi sebagai standar. Mengikuti bagian pendahuluan, standar sistem
manajemen yang sesuai dengan Lampiran SL akan disusun dengan klausul-klausul berikut:
1. Scope
2. Normative references
3. Terms and definitions
4. Context of the organization
5. Leadership
6. Planning
7. Support
8. Operation
9. Performance evaluation
10. Improvement
It is interesting to note that the structure does not explicitly describe framework and process
as separate items, in the way that these are presented in ISO 31000. Perhaps this is part of the
reason that there are currently (November 2016) no plans to convert ISO 31000 into the
Annex SL format. Nevertheless, the Annex SL structure enables organizations developing
their own approach to enterprise risk management to devise an approach that is compatible
with any other ISO standards implemented in the organization, including the most popular of
all ISO standards – ISO 9001 on quality management.
Sangat menarik untuk dicatat bahwa struktur tersebut tidak secara eksplisit menggambarkan
kerangka kerja dan proses sebagai item yang terpisah, seperti yang disajikan dalam ISO
31000. Mungkin ini adalah salah satu alasan mengapa saat ini (November 2016) tidak ada
rencana untuk mengubah ISO 31000 ke dalam format Annex SL. Namun demikian, struktur
Annex SL memungkinkan organisasi yang mengembangkan pendekatan mereka sendiri
terhadap manajemen risiko perusahaan untuk merancang pendekatan yang kompatibel
dengan standar ISO lainnya yang diterapkan dalam organisasi, termasuk yang paling populer
dari semua standar ISO - ISO 9001 tentang manajemen mutu.
Many of the headings used in Annex SL will be familiar to risk professionals, including
Clause 4: Context of the Organization. Clause 4 is intended to identify why the organization
exists. As part of answering this question, the organization needs to identify external and
internal issues that can impact on its intended outcomes, as well as all stakeholders and their
requirements. Clause 5: Leadership and Clause 7: Support work together and can be
considered to be equivalent to the risk architecture, strategy and protocols (RASP) in relation
to Clause 5, and the components of embedded risk management as leadership, involvement,
learning, accountability and communication (LILAC) in relation to Clause 7.
Banyak judul yang digunakan dalam Lampiran SL yang sudah tidak asing lagi bagi para
profesional risiko, termasuk Klausul 4: Konteks Organisasi. Klausul 4 dimaksudkan untuk
mengidentifikasi mengapa organisasi tersebut ada. Sebagai bagian dari menjawab pertanyaan
ini, organisasi perlu mengidentifikasi isu-isu eksternal dan internal yang dapat berdampak
pada hasil yang diharapkan, serta semua pemangku kepentingan dan persyaratan mereka.
Klausul 5: Kepemimpinan dan Klausul 7: Dukungan bekerja bersama dan dapat dianggap
setara dengan arsitektur risiko, strategi dan protokol (RASP) terkait Klausul 5, dan komponen
manajemen risiko yang tertanam sebagai kepemimpinan, keterlibatan, pembelajaran,
akuntabilitas, dan komunikasi (LILAC) terkait Klausul 7.
Clause 6: Planning, Clause 8: Operation, Clause 9: Performance evaluation and Clause 10:
Improvement are exactly equivalent to the plan–implement–measure– learn (PIML) approach
described in this book. The PIML approach is similar to the plan–do–check–act (PDCA)
terminology used by several organizations. An important aspect of Annex SL is that the
planning stage described in Clause 6 sets out two sub-clauses:
Klausul 6: Perencanaan, Klausul 8: Pengoperasian, Klausul 9: Evaluasi kinerja dan Klausul
10: Peningkatan sama persis dengan pendekatan rencanakan-laksanakan-ukur-belajar (PIML)
yang dijelaskan dalam buku ini. Pendekatan PIML mirip dengan terminologi plan-do-check-
act (PDCA) yang digunakan oleh beberapa organisasi. Aspek penting dari Lampiran SL
adalah tahap perencanaan yang dijelaskan dalam Klausul 6 terdiri dari dua sub-klausul:
 actions to address risks and opportunities;
 management system, objectives and planning to achieve them.
 tindakan untuk mengatasi risiko dan peluang;

 sistem manajemen, tujuan dan perencanaan untuk mencapainya.
This means that the requirement to plan and implement actions to address risks and
opportunities is now embedded into ISO 9001 on quality management and will become
embedded into other standards as the Annex SL format is progressively introduced.
Ini berarti bahwa persyaratan untuk merencanakan dan mengimplementasikan tindakan untuk
mengatasi risiko dan peluang sekarang tertanam ke dalam ISO 9001 tentang manajemen mutu
dan akan tertanam ke dalam standar lain seiring dengan diperkenalkannya format Lampiran
SL.
The important lesson for risk professionals, as an increasing number of management system
standards are migrated into the Annex SL format, is to seek to ensure that the enterprise risk
management initiative is fully aligned with the Annex SL approach. This should ensure
greater acceptance of an enterprise risk management initiative within the organization. One
further important point to note is that Clause 8: Operation is described as having the bulk of
the management system requirement, including the overall process and management that will
include adequate criteria to control the processes.
Pelajaran penting bagi para profesional risiko, seiring dengan semakin banyaknya standar
sistem manajemen yang dimigrasikan ke dalam format Annex SL, adalah untuk memastikan
bahwa inisiatif manajemen risiko perusahaan sepenuhnya selaras dengan pendekatan Annex
SL. Hal ini akan memastikan penerimaan yang lebih besar terhadap inisiatif manajemen
risiko perusahaan di dalam organisasi. Satu hal penting lainnya yang perlu diperhatikan
adalah bahwa Klausul 8: Operasi digambarkan sebagai memiliki sebagian besar persyaratan
sistem manajemen, termasuk keseluruhan proses dan manajemen yang akan mencakup
kriteria yang memadai untuk mengendalikan proses.
It is under Clause 8 in the new format that the familiar steps of the risk management process
would be included for organizations that decide to adopt the structure of Annex SL when
implementing an enterprise risk management initiative.
Dalam Klausul 8 dalam format baru ini, langkah-langkah yang sudah dikenal dalam proses
manajemen risiko akan disertakan untuk organisasi yang memutuskan untuk mengadopsi
struktur Lampiran SL ketika menerapkan inisiatif manajemen risiko perusahaan.
Future of risk management
The emerging trends in risk management have been mentioned throughout the book. The
development of international risk management standard ISO 31000 is undoubtedly an
important step forward for risk management practitioners. The emergence of enhanced
corporate governance codes has also added profile to the practice of risk management in
many countries. The effects of the global financial crisis are still being felt and questions are
still being asked of risk management and why it did not contribute more to the avoidance of
this crisis.
Tren-tren yang muncul dalam manajemen risiko telah disebutkan di seluruh buku ini.
Pengembangan standar manajemen risiko internasional ISO 31000 tidak diragukan lagi
merupakan langkah maju yang penting bagi para praktisi manajemen risiko. Munculnya kode
tata kelola perusahaan yang disempurnakan juga telah menambah profil praktik manajemen
risiko di banyak negara. Dampak dari krisis keuangan global masih terasa dan pertanyaan-
pertanyaan masih terus muncul mengenai manajemen risiko dan mengapa manajemen risiko
tidak memberikan kontribusi yang lebih besar dalam mencegah terjadinya krisis.
Other important trends include the development of enhanced reporting requirements that are
being placed on organizations of all types. This is especially true of organizations that are
listed on stock exchanges around the world. Risk management information systems are
becoming more developed and sophisticated and can offer a significant benefit to
organizations that use them. Despite all of these developments and the undoubted increasing
professionalism and competence of risk management practitioners, there is still scope to ask
questions about future developments in risk management.
Tren penting lainnya termasuk pengembangan persyaratan pelaporan yang lebih baik yang
diterapkan pada semua jenis organisasi. Hal ini terutama berlaku bagi organisasi yang
terdaftar di bursa saham di seluruh dunia. Sistem informasi manajemen risiko menjadi
semakin berkembang dan canggih serta dapat memberikan manfaat yang signifikan bagi
organisasi yang menggunakannya. Terlepas dari semua perkembangan ini dan peningkatan
profesionalisme dan kompetensi praktisi manajemen risiko yang tidak diragukan lagi, masih
ada ruang untuk mengajukan pertanyaan tentang perkembangan manajemen risiko di masa
depan.
The emergence of ‘governance, risk and compliance’ (GRC) has been mentioned and it
represents a major step forward in the structure of risk management activities. The emergence
of GRC, together with a better understanding of the benefits of the three lines of defence, has
put organizations in a better position to practise risk management. Risk management
practitioners realize that their discipline makes a major contribution and they are also aware
that risk management activity should be integrated with other management activities. In some
cases, there is every danger that risk management activities will become integrated with audit
activities, and these three lines of defence then become the two lines of defence.
Kemunculan 'tata kelola, risiko dan kepatuhan' (GRC) telah disebutkan dan ini merupakan
langkah maju yang besar dalam struktur kegiatan manajemen risiko. Munculnya GRC,
bersama dengan pemahaman yang lebih baik tentang manfaat dari tiga lini pertahanan, telah
menempatkan organisasi pada posisi yang lebih baik untuk mempraktikkan manajemen
risiko. Para praktisi manajemen risiko menyadari bahwa disiplin ilmu mereka memberikan
kontribusi yang besar dan mereka juga menyadari bahwa aktivitas manajemen risiko harus
diintegrasikan dengan aktivitas manajemen lainnya. Dalam beberapa kasus, terdapat bahaya
bahwa aktivitas manajemen risiko akan terintegrasi dengan aktivitas audit, dan tiga lini
pertahanan ini kemudian menjadi dua lini pertahanan.
There is a need for organizations to integrate risk activities throughout the whole of their
organizations, rather than treating risk management activities as a separate management role
that requires separate management information. Perhaps this is one of the major
disadvantages of the use of the risk register in many organizations. The risk register is a
snapshot of risk management activities in the organization, but the risk is that it is not
reviewed on a continuous basis. The risk register is often a static document that does little to
add benefit to the management of the organization. Perhaps the time of the risk register has
passed, and organizations should now be integrating risk assessment, risk recording and risk
action plans within the management information that is used for the day-to-day management
of the organization.
Ada kebutuhan bagi organisasi untuk mengintegrasikan kegiatan risiko di seluruh organisasi
mereka, daripada memperlakukan kegiatan manajemen risiko sebagai peran manajemen yang
terpisah yang membutuhkan informasi manajemen yang terpisah. Mungkin ini adalah salah
satu kelemahan utama dari penggunaan daftar risiko di banyak organisasi. Daftar risiko
adalah gambaran aktivitas manajemen risiko dalam organisasi, tetapi risikonya adalah tidak
ditinjau secara terus menerus. Daftar risiko sering kali merupakan dokumen statis yang tidak
banyak memberikan manfaat bagi manajemen organisasi. Mungkin waktu dari daftar risiko
telah berlalu, dan organisasi sekarang harus mengintegrasikan penilaian risiko, pencatatan
risiko dan rencana tindakan risiko dalam informasi manajemen yang digunakan untuk
manajemen organisasi sehari-hari.
In summary, the challenge for risk managers and risk management is to keep risk
management activities proportionate, aligned, comprehensive, embedded and dynamic
(PACED). However, the challenges of doing this are becoming greater as boards, executive
management, managers and staff become more familiar with the theory and application of
risk management. The challenge is to ensure integration of these activities, without them
becoming so routine that the importance of risk management is lost. Risk management
activities need to be linked to discussion of strategy, tactics and operations, as well as being
linked to discussion of business delivery, budgets and the business development model.
Singkatnya, tantangan bagi para manajer risiko dan manajemen risiko adalah menjaga agar
aktivitas manajemen risiko tetap proporsional, selaras, komprehensif, melekat dan dinamis
(PACED). Namun, tantangan untuk melakukan hal ini menjadi lebih besar karena dewan
direksi, manajemen eksekutif, manajer dan staf menjadi lebih akrab dengan teori dan
penerapan manajemen risiko. Tantangannya adalah untuk memastikan integrasi kegiatan-
kegiatan ini, tanpa menjadi begitu rutin sehingga pentingnya manajemen risiko menjadi
hilang. Kegiatan manajemen risiko perlu dikaitkan dengan diskusi strategi, taktik dan operasi,
serta dikaitkan dengan diskusi pelaksanaan bisnis, anggaran dan model pengembangan bisnis.
The publication of ISO 31000 in 2009 opens the possibility that there may be international
standardization of risk management standards in due course. British Standard BS 31100 was
originally published in 2008, but was updated in 2011 to provide greater alignment with ISO
31000. BS 31100 provides greater detail on the risk management framework than ISO 31000
and is a useful addition to the available risk management standards and frameworks.
Penerbitan ISO 31000 pada tahun 2009 membuka kemungkinan adanya standarisasi
internasional untuk standar manajemen risiko pada waktunya. British Standard BS 31100
awalnya diterbitkan pada tahun 2008, tetapi diperbarui pada tahun 2011 untuk memberikan
keselarasan yang lebih besar dengan ISO 31000. BS 31100 memberikan rincian yang lebih
baik mengenai kerangka kerja manajemen risiko daripada ISO 31000 dan merupakan
tambahan yang berguna untuk standar dan kerangka kerja manajemen risiko yang tersedia.
Management initiatives often come and go. A particular approach becomes fashionable for a
while and then fades away. It is unlikely that this will happen to risk management, because
the requirement to have risk management procedures in place has become mandatory in many
sectors. Also, the global financial crisis has resulted in a detailed analysis of the benefits that
risk management can bring and how these can be achieved. The brief commentary below
illustrates how risk management is valued around the world and why it is here to stay.
Inisiatif manajemen sering kali datang dan pergi. Pendekatan tertentu menjadi mode untuk
sementara waktu dan kemudian menghilang. Hal ini tidak mungkin terjadi pada manajemen
risiko, karena persyaratan untuk memiliki prosedur manajemen risiko telah menjadi hal yang
wajib di banyak sektor. Selain itu, krisis keuangan global telah menghasilkan analisis rinci
tentang manfaat yang dapat diberikan oleh manajemen risiko dan bagaimana hal ini dapat
dicapai. Ulasan singkat di bawah ini menggambarkan bagaimana manajemen risiko dihargai
di seluruh dunia dan mengapa manajemen risiko akan terus ada.
Risk management is here to stay

Every day, managers and employees practise risk management by making decisions on what
to do, and how and when to do it. Decisions have to be based on factors like does the
organization have the capacity, has the organization set aside the funds and will this impact
other business units. ERM is not just a passing trend. It is here to stay and is being driven by
both governance issues and the demands of society. Companies, charities and public-sector
organizations have successfully embraced ERM. Risk management does not have to be
complex or a heavy resource user. It can be tailored to meet the needs of the organization in
its early stages and modified as the level of sophistication and comfort with the process
grows. It is a systematic and proactive approach to managing risk. This means that high-risk
exposure areas are understood, managed and controlled to an acceptable level of exposure so
that the organization is properly protected to minimize negative consequences. It allows the
organization to focus on what is important to control versus what is easy to control.
Setiap hari, para manajer dan karyawan mempraktikkan manajemen risiko dengan membuat
keputusan tentang apa yang harus dilakukan, serta bagaimana dan kapan melakukannya.
Keputusan harus didasarkan pada faktor-faktor seperti apakah organisasi memiliki kapasitas,
apakah organisasi telah menyisihkan dana dan apakah hal ini akan berdampak pada unit
bisnis lainnya. ERM bukan hanya sebuah tren yang akan berlalu begitu saja. ERM akan terus
ada dan didorong oleh isu-isu tata kelola dan tuntutan masyarakat. Perusahaan, badan amal,
dan organisasi sektor publik telah berhasil menerapkan ERM. Manajemen risiko tidak harus
rumit atau memakan banyak sumber daya. Hal ini dapat disesuaikan untuk memenuhi
kebutuhan organisasi pada tahap awal dan dimodifikasi seiring dengan meningkatnya tingkat
kecanggihan dan kenyamanan dengan proses tersebut. Ini adalah pendekatan yang sistematis
dan proaktif untuk mengelola risiko. Ini berarti bahwa area eksposur berisiko tinggi
dipahami, dikelola, dan dikendalikan pada tingkat eksposur yang dapat diterima sehingga
organisasi terlindungi dengan baik untuk meminimalkan konsekuensi negatif. Hal ini
memungkinkan organisasi untuk fokus pada apa yang penting untuk dikendalikan
dibandingkan dengan apa yang mudah dikendalikan.
Learning outcomes for Part Two

 describe the key stages in the risk management process and the main components of a
risk management framework;
 state the key features of the best-established standards, including ISO 31000, the
COSO ERM cube and the IRM standard;
 describe the scope and importance of establishing the context as the first stage in the
risk management process;
 explain the importance of the relationship between the external context, internal
context and the risk management context;
 discuss the main considerations when designing a risk register and the benefits
associated with using a well-designed risk register and provide examples;
 explain the features of an enterprise-wide approach to risk management and the
various available definitions of ERM;
 outline the steps required in order to achieve successful implementation of an
enterprise risk management initiative;
 consider the changing face of risk management and the increasing importance of
managing emerging risks
 menjelaskan tahapan-tahapan utama dalam proses manajemen risiko dan komponen-

komponen utama kerangka kerja manajemen risiko;
 menyatakan fitur-fitur utama dari standar-standar yang telah ada, termasuk ISO
31000, COSO ERM cube dan standar IRM;
 menjelaskan ruang lingkup dan pentingnya membangun konteks sebagai tahap
pertama dalam proses manajemen risiko;
 menjelaskan pentingnya hubungan antara konteks eksternal, konteks internal dan
konteks manajemen risiko;
 mendiskusikan pertimbangan utama ketika merancang daftar risiko dan manfaat yang
terkait dengan penggunaan daftar risiko yang dirancang dengan baik dan memberikan
contoh;
 menjelaskan fitur-fitur dari pendekatan manajemen risiko di seluruh perusahaan dan
berbagai definisi ERM yang tersedia;
 menguraikan langkah-langkah yang diperlukan untuk mencapai keberhasilan
implementasi inisiatif manajemen risiko perusahaan;
 mempertimbangkan perubahan wajah manajemen risiko dan semakin pentingnya
mengelola risiko yang muncul
Part two case studies
United Utilities: Our risk management framework
We have developed a sophisticated approach to the assessment, management and reporting of

risks, with a process aligned to ISO 31000:2009 and a well-established governance structure for the
group board to review the nature and extent of the risks that the group faces and for the audit
committee to review process effectiveness. Our risk profile currently illustrates around 200 event-
based risks. All event types (strategic, financial, operational, compliance and hazard) are considered
in the context of our strategic themes (best service to customers; lowest sustainable cost; and
responsible manner). For internal or external drivers, each event is assessed for the likelihood of
occurrence and the negative financial or reputational impact on the company and its objectives,
should the event occur. Responsibility for the assessment and management of the risk (including
monitoring and updating) is assigned to the appropriate individual manager who is also responsible
for reporting on assessment, management and control/mitigation at least twice a year, in line with
the reporting to the group board at full- and half-year statutory accounting reporting periods. By
their nature, event-based risks in the context of our strategic themes will include all combinations of
high to low likelihood and high to low impact. Heat maps are typically used in various managerial
and group reports either as a method to collectively evaluate the extent of all risks within a certain
profile or to illustrate the effectiveness of mitigation for a single risk by plotting the gross, current
(net of existing controls) and the selected target position in an individual risk statement.
Birmingham City Council: Scrutiny, accountability and risk management
The Council has had a risk management strategy since July 2002, and this is regularly updated.
Leadership is provided to the risk management process by the director of legal and democratic
services, who is the corporate governance champion and the deputy leader who is designated as the
member corporate governance champion. The Council has approached embedding of risk
management in accordance with best practice guidance as a ‘top-down’ process, with a corporate
risk register supported by directorate and divisional risk registers. Birmingham Audit continues to
give presentations, provide training, facilitate workshops and provide guidance through the
publication of a risk management toolkit which has been produced to give managers at all levels a
better understanding of how to implement risk management in their area of responsibility and to
have some understanding of the process up and down the City Council. The toolkit provides a step-
by-step approach to implementing risk management using the Council’s methodology. The high-level
risk management methodology has been reviewed to provide more focus to member and senior
officer management of risk. The Council’s whistleblowing policy was introduced in the late 1990s and
is well publicized throughout the workforce. The City Council has a strong internal audit function
(Birmingham Audit) and well-established protocols for working with external audit. The Council’s
external auditors have responsibilities under the Code of Audit Practice to review compliance with
policies, procedures, laws and regulations within their remit.
Tsogo Sun: Risk management process
The Tsogo Sun board recognizes that the management of business risk is crucial to our continued
growth and success and this can only be achieved if all three elements of risk – threat, uncertainty
and opportunity – are recognized and managed in an integrated fashion. The audit and risk
committee is mandated by the board to establish, co-ordinate and drive the risk process throughout
the group. It has overseen the establishment of a comprehensive risk management system to
identify and manage significant risks in the operational divisions, business units and subsidiaries. The
systems of internal control are designed to manage rather than eliminate risk, and provide
reasonable but not absolute assurance as to the integrity and reliability of the financial statements,
the compliance with statutory laws and regulations, and to safeguard and maintain accountability of
the group’s assets. In addition to the risk management processes embedded within the group, the
group executive committee identifies, quantifies and evaluates the group’s risks twice a year utilizing
a facilitated risk assessment workshop. The severity of risks is measured in qualitative as well as
quantitative terms, guided by the board’s risk tolerance and risk appetite measures. The risk profiles,
with the risk responses, are reviewed by the audit and risk committee at least once every six months.
In addition to the group risk assessment, risk matrices are prepared and presented to the audit and
risk committee for each operational division. This methodology ensures that risks and opportunities
are prioritized and cost-effective responses are designed and implemented to counter the effects of
risks and take advantage of opportunities.

07 Establishing The Context

Diunggah oleh

Hak Cipta:

Format Tersedia

07 Establishing The Context

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

07 Establishing The Context

Diunggah oleh

Hak Cipta:

Format Tersedia

07

Establishing the context

Scope of the context (Cakupan Konteks)

 persepsi publik tentang sektor industri tempat organisasi beroperasi;

 tingkat perolehan pendapatan di pasar dan laba atas investasi;

 Ketersediaan dana yang memadai untuk memenuhi rencana strategis;

 struktur manajemen senior dan sifat budaya risiko;

Designing a risk register

Using a risk register

HM Treasury, Semua proses yang terlibat dalam mengidentifikasi, menilai dan

 Mengurangi biaya pendanaan dan modal

 Efisiensi dan keunggulan kompetitif

 Peluang komersial dimaksimalkan

ERM and business continuity

ERM in energy and finance

Future development of ERM

Successful implementation of ERM

Changing face of risk management

Managing emerging risks (Mengelola Risiko yang Muncul)

Increasing importance of resilience (Semakin pentingnya ketahanan)

 kesadaran akan perubahan dalam lingkungan eksternal, internal dan manajemen

Kerangka kerja CoCo menyatakan bahwa:

 tindakan untuk mengatasi risiko dan peluang;

Future of risk management

Risk management is here to stay

Learning outcomes for Part Two

 menjelaskan tahapan-tahapan utama dalam proses manajemen risiko dan komponen-

Part two case studies

United Utilities: Our risk management framework

We have developed a sophisticated approach to the assessment, management and reporting of

Tsogo Sun: Risk management process

Anda mungkin juga menyukai