Manajemen
Risiko

Manajemen Risiko adalah suatu proses sistematis untuk mengidentifikasi, menganalisis, mengevaluasi, dan mengendalikan risiko yang dapat memengaruhi pencapaian tujuan organisasi. Tujuan utamanya adalah untuk meminimalkan dampak negatif dari ketidakpastian dan memaksimalkan peluang yang dapat dimanfaatkan. (Referensi: ISO 31000:2018)

Arsitektur Manajemen Risiko

ISO 31000:2018 menyediakan kerangka kerja yang terstruktur dan universal untuk mengelola risiko di organisasi mana pun. Standar tersebut menjabarkan prinsip-prinsip, kerangka kerja, dan proses untuk manajemen risiko yang efektif.

Kerangka

1. Umum

Tujuan dari kerangka kerja manajemen risiko adalah untuk membantu organisasi dalam mengintegrasikan manajemen risiko ke dalam kegiatan dan fungsi yang signifikan. Efektivitas manajemen risiko akan bergantung pada integrasinya ke dalam tata kelola organisasi, termasuk pengambilan keputusan. Hal ini memerlukan dukungan dari para pemangku kepentingan, terutama manajemen puncak.

Pengembangan kerangka kerja mencakup pengintegrasian, perancangan, penerapan, evaluasi, dan peningkatan manajemen risiko di seluruh organisasi.

Organisasi harus mengevaluasi praktik dan proses manajemen risiko yang ada, mengevaluasi setiap kesenjangan, dan mengatasi kesenjangan tersebut dalam kerangka kerja.

Komponen-komponen kerangka kerja dan cara kerjanya harus disesuaikan dengan kebutuhan organisasi.

2. Kepemimpinan dan Komitmen

Manajemen puncak dan badan pengawas, jika ada, harus memastikan bahwa manajemen risiko terintegrasi ke dalam semua kegiatan organisasi dan harus menunjukkan kepemimpinan serta komitmen dengan:

  • Menyesuaikan dan menerapkan semua komponen kerangka kerja;
  • Menerbitkan pernyataan atau kebijakan yang menetapkan pendekatan, rencana, atau serangkaian tindakan manajemen risiko;
  • Memastikan bahwa sumber daya yang diperlukan dialokasikan untuk mengelola risiko;
  • Memberikan wewenang, tanggung jawab, dan akuntabilitas pada tingkat yang sesuai di dalam organisasi.

Hal ini akan membantu organisasi untuk:

  • Menyelaraskan manajemen risiko dengan tujuan, strategi, dan budayanya;
  • Mengakui dan menangani semua kewajiban, serta komitmen sukarelanya;
  • Menetapkan jumlah dan jenis risiko yang boleh atau tidak boleh diambil untuk memandu pengembangan kriteria risiko, memastikan bahwa kriteria tersebut dikomunikasikan kepada organisasi dan pemangku kepentingannya;
  • Mengomunikasikan nilai manajemen risiko kepada organisasi dan pemangku kepentingannya;
  • Mendorong pemantauan risiko secara sistematis;
  • Memastikan bahwa kerangka kerja manajemen risiko tetap sesuai dengan konteks organisasi.

Manajemen puncak bertanggung jawab untuk mengelola risiko, sementara badan pengawas bertanggung jawab untuk mengawasi manajemen risiko. Badan pengawas sering kali diharapkan atau diharuskan untuk:

  • Manajemen puncak bertanggung jawab untuk mengelola risiko, sementara badan pengawas bertanggung jawab untuk mengawasi manajemen risiko. Badan pengawas sering kali diharapkan atau diharuskan untuk:
  • Memastikan bahwa risiko dipertimbangkan secara memadai saat menetapkan tujuan organisasi;
  • Memahami risiko yang dihadapi organisasi dalam mencapai tujuannya;
  • Memastikan bahwa sistem untuk mengelola risiko tersebuut diterapkan dan beroperasi secara efektif;
  • Memastikan bahwa risiko tersebut sesuai dalam konteks tujuan organisasi;
  • Memastikan bahwa informasi tentang risiko tersebut dan pengelolaannya dikomunikasikan dengan baik.

3. Integrasi

Mengintegrasikan manajemen risiko bergantung pada pemahaman tentang struktur dan konteks organisasi. Struktur berbeda-beda tergantung pada tujuan, sasaran, dan kompleksitas organisasi. Risiko dikelola di setiap bagian dari struktur organisasi. Setiap orang dalam organisasi memiliki tanggung jawab untuk mengelola risiko.

Tata kelola memandu arah organisasi, hubungan eksternal dan internalnya, serta aturan, proses, dan praktik yang diperlukan untuk mencapai tujuannya. Struktur manajemen menerjemahkan arahan tata kelola menjadi strategi dan tujuan terkait yang diperlukan untuk mencapai tingkat kinerja berkelanjutan dan viabilitas jangka panjang yang diinginkan. Penentuan akuntabilitas manajemen risiko dan peran pengawasan di dalam organisasi merupakan bagian integral dari tata kelola organisasi.

Mengintegrasikan manajemen risiko ke dalam suatu organisasi adalah proses yang dinamis dan berulang (iteratif), dan harus disesuaikan dengan kebutuhan dan budaya organisasi. Manajemen risiko harus menjadi bagian dari, dan tidak terpisah dari, tujuan, tata kelola, kepemimpinan dan komitmen, strategi, tujuan, dan operasi organisasi.

4. Perancangan

4.1 Memahami Organisasi dan Konteksnya

Saat merancang kerangka kerja untuk mengelola risiko, organisasi harus memeriksa dan memahami konteks eksternal dan internalnya.

Memeriksa konteks eksternal organisasi dapat mencakup, namun tidak terbatas pada:

  • Faktor sosial, budaya, politik, hukum, peraturan, keuangan, teknologi, ekonomi, dan lingkungan, baik internasional, nasional, regional, maupun lokal;
  • Penggerak utama dan tren yang mempengaruhi tujuan organisasi;
  • Hubungan, persepsi, nilai, kebutuhan, dan harapan pemangku kepentingan eksternal;
  • Hubungan dan komitmen kontraktual;
  • Kompleksitas jaringan dan ketergantungan.

Memeriksa konteks internal organisasi dapat mencakup, namun tidak terbatas pada:

  • Visi, misi, dan nilai-nilai;
  • Tata kelola, struktur organisasi, peran, dan akuntabilitas;
  • Strategi, tujuan, dan kebijakan;
  • Budaya organisasi;
  • Standar, pedoman, dan model yang diadopsi oleh organisasi;
  • Kemampuan, yang dipahami dalam hal sumber daya dan pengetahuan (misalnya, modal, waktu, orang, kekayaan intelektual, proses, sistem, dan teknologi);
  • Data, sistem informasi, dan alur informasi;
  • Hubungan dengan pemangku kepentingan internal, dengan mempertimbangkan persepsi dan nilai-nilai mereka;
  • Hubungan dan komitmen kontraktual;
  • Saling ketergantungan dan keterkaitan.

4.2 Mengartikulasikan Komitmen Manajemen Risiko5

Manajemen puncak dan badan pengawas, jika ada, harus menunjukkan dan mengartikulasikan komitmen berkelanjutan mereka terhadap manajemen risiko melalui kebijakan, pernyataan, atau bentuk lain yang dengan jelas menyampaikan tujuan dan komitmen organisasi terhadap manajemen r6isiko. Komitmen tersebut harus mencakup, namun tidak terbatas pada:

  • Tujuan organisasi dalam mengelola risiko dan kaitannya dengan tujuan serta kebijakan lainnya;
  • Menegaskan kembali perlunya mengintegrasikan manajemen risiko ke dalam budaya organisasi secara keseluruhan;
  • Memimpin integrasi manajemen risiko ke dalam kegiatan bisnis inti dan pengambilan keputusan;
  • Wewenang, tanggung jawab, dan akuntabilitas;
  • Menyediakan sumber daya yang diperlukan;
  • Cara penanganan tujuan yang saling bertentangan;
  • Pengukuran dan pelaporan dalam indikator kinerja organisasi;
  • Tinjauan dan perbaikan.

Komitmen manajemen risiko harus dikomunikasikan di dalam organisasi dan kepada para pemangku kepentingan, sebagaimana mestinya.

4.3 Menetapkan Peran, Wewenang, Tanggung Jawab, dan Akuntabilitas Organisasi

Manajemen puncak dan badan pengawas, jika ada, harus memastikan bahwa wewenang, tanggung jawab, dan akuntabilitas untuk peran yang relevan sehubungan dengan manajemen risiko ditetapkan dan dikomunikasikan di semua tingkat organisasi, dan harus:

  • Menekankan bahwa manajemen risiko adalah tanggung jawab inti;
  • Mengidentifikasi individu yang memiliki akuntabilitas dan wewenang untuk mengelola risiko (pemilik risiko).

4.4 Mengalokasikan Sumber Daya

Manajemen puncak dan badan pengawas, jika ada, harus memastikan alokasi sumber daya yang tepat untuk manajemen risiko, yang dapat mencakup, namun tidak terbatas pada:

  • Orang, keterampilan, pengalaman, dan kompetensi;
  • Proses, metode, dan alat organisasi yang akan digunakan untuk mengelola risiko;
  • Proses dan prosedur yang terdokumentasi;
  • Sistem manajemen informasi dan pengetahuan;
  • Kebutuhan pengembangan profesional dan pelatihan.

Organisasi harus mempertimbangkan kemampuan, dan batasan, dari sumber daya yang ada.

4.5 Membangun Komunikasi dan Konsultasi

Organisasi harus menetapkan pendekatan yang disetujui untuk komunikasi dan konsultasi guna mendukung kerangka kerja dan memfasilitasi penerapan manajemen risiko yang efektif. Komunikasi melibatkan berbagi informasi dengan audiens yang dituju. Konsultasi juga melibatkan partisipan yang memberikan umpan balik dengan harapan bahwa hal itu akan berkontribusi dan membentuk keputusan atau kegiatan lainnya. Metode dan konten komunikasi dan konsultasi harus mencerminkan harapan para pemangku kepentingan, jika relevan.

Komunikasi dan konsultasi harus tepat waktu dan memastikan bahwa informasi yang relevan dikumpulkan, disusun, disintesis, dan dibagikan, sebagaimana mestinya, serta umpan balik diberikan dan perbaikan dilakukan.

5. Implementasi

Organisasi harus menerapkan kerangka kerja manajemen risiko dengan:

  • Mengembangkan rencana yang sesuai termasuk waktu dan sumber daya;
  • Mengidentifikasi di mana, kapan, dan bagaimana berbagai jenis keputusan dibuat di seluruh organisasi, dan oleh siapa;
  • Memodifikasi proses pengambilan keputusan yang berlaku jika diperlukan;
  • Memastikan bahwa pengaturan organisasi untuk mengelola risiko dipahami dengan jelas dan dipraktikkan.

Implementasi kerangka kerja yang berhasil memerlukan keterlibatan dan kesadaran dari para pemangku kepentingan. Hal ini memungkinkan organisasi untuk secara eksplisit mengatasi ketidakpastian dalam pengambilan keputusan, sekaligus memastikan bahwa setiap ketidakpastian baru atau berikutnya dapat diperhitungkan saat muncul.

Jika dirancang dan diimplementasikan dengan benar, kerangka kerja manajemen risiko akan memastikan bahwa proses manajemen risiko menjadi bagian dari semua kegiatan di seluruh organisasi, termasuk pengambilan keputusan, dan bahwa perubahan dalam konteks eksternal dan internal akan ditangkap secara memadai.

6. Evaluasi

Untuk mengevaluasi efektivitas kerangka kerja manajemen risiko, organisasi harus:

  • Secara berkala mengukur kinerja kerangka kerja manajemen risiko terhadap tujuan, rencana implementasi, indikator, dan perilaku yang diharapkan;
  • Menentukan apakah kerangka kerja tersebut tetap sesuai untuk mendukung pencapaian tujuan organisasi.

7. Peningkatan

7.1 Menyesuaikan Diri (Adaptasi)

Organisasi harus terus memantau dan menyesuaikan kerangka kerja manajemen risiko untuk mengatasi perubahan eksternal dan internal. Dengan melakukan itu, organisasi dapat meningkatkan nilainya.

7.2 Meningkatkan secara Berkelanjutan

Organisasi harus terus meningkatkan kesesuaian, kecukupan, dan efektivitas kerangka kerja manajemen risiko dan cara proses manajemen risiko diintegrasikan.

Ketika kesenjangan yang relevan atau peluang perbaikan teridentifikasi, organisasi harus mengembangkan rencana dan tugas serta menugaskannya kepada mereka yang bertanggung jawab atas implementasinya. Setelah diimplementasikan, perbaikan ini harus berkontribusi pada peningkatan manajemen risiko.

Prinsip

Tujuan dari manajemen risiko adalah penciptaan dan perlindungan nilai. Hal ini meningkatkan kinerja, mendorong inovasi, dan mendukung pencapaian tujuan.

Prinsip-prinsip yang diuraikan dalam gambar memberikan panduan tentang karakteristik manajemen risiko yang efektif dan efisien, mengomunikasikan nilainya, serta menjelaskan maksud dan tujuannya. Prinsip-prinsip ini adalah fondasi untuk mengelola risiko dan harus dipertimbangkan saat membangun kerangka kerja dan proses manajemen risiko organisasi. Prinsip-prinsip ini harus memungkinkan organisasi untuk mengelola dampak ketidakpastian terhadap tujuannya.

Manajemen risiko yang efektif memerlukan elemen-elemen dari gambar tersebut dan dapat dijelaskan lebih lanjut sebagai berikut:

a) Terintegrasi
Manajemen risiko adalah bagian tak terpisahkan dari seluruh aktivitas organisasi.

b) Terstruktur dan komprehensif
Pendekatan yang terstruktur dan komprehensif terhadap manajemen risiko berkontribusi pada hasil yang konsisten dan dapat dibandingkan.1

c) Disesuaikan2
Kerangka kerja dan proses manajemen risiko disesuaikan dan proporsional dengan konteks eksternal dan interna3l organisasi yang terkait dengan tujuannya.

d) Inklusif
Keterlibatan pemangku kepentingan yang tepat dan tepat waktu memungkinkan pengetahuan, pandangan, dan persepsi mereka untuk dipertimbangkan. Hal ini menghasilkan peningkatan kesadaran dan manajemen risiko yang terinformasi.

e) Dinamis
Risiko dapat muncul, berubah, atau hilang seiring dengan perubahan konteks eksternal dan internal organisasi. Manajemen risiko mengantisipasi, mendeteksi, mengakui, dan merespons perubahan dan peristiwa tersebut secara tepat dan tepat waktu.

f) Informasi terbaik yang tersedia
Masukan untuk manajemen risiko didasarkan pada informasi historis dan terkini, serta ekspektasi di masa depan. Manajemen risiko secara eksplisit memperhitungkan setiap keterbatasan dan ketidakpastian yang terkait dengan informasi dan ekspektasi tersebut. Informasi harus tepat waktu, jelas, dan tersedia bagi pemangku kepentingan yang relevan.

g) Faktor manusia dan budaya
Perilaku dan budaya manusia secara signifikan mempengaruhi semua aspek manajemen risiko di setiap tingkat dan tahapan.

h) Perbaikan berkelanjutan
Manajemen risiko terus ditingkatkan melalui pembelajaran dan pengalaman.

Proses

1. Umum

Proses manajemen risiko melibatkan penerapan kebijakan, prosedur, dan praktik secara sistematis pada kegiatan berkomunikasi dan berkonsultasi, menetapkan konteks, serta menilai, menangani, memantau, meninjau, mencatat, dan melaporkan risiko. Proses ini diilustrasikan di sebelah kiri (merujuk pada ilustrasi yang tidak disertakan dalam teks).

Proses manajemen risiko harus menjadi bagian integral dari manajemen dan pengambilan keputusan serta terintegrasi ke dalam struktur, operasi, dan proses organisasi. Proses ini dapat diterapkan pada tingkat strategis, operasional, program, atau proyek.

Ada banyak penerapan proses manajemen risiko dalam suatu organisasi, yang disesuaikan untuk mencapai tujuan dan sesuai dengan konteks eksternal dan internal di mana proses tersebut diterapkan.

Sifat dinamis dan variabel dari perilaku dan budaya manusia harus dipertimbangkan di seluruh proses manajemen risiko.

Meskipun proses manajemen risiko sering disajikan secara berurutan, dalam praktiknya proses ini bersifat iteratif.

2. Komunikasi dan Konsultasi

Tujuan dari komunikasi dan konsultasi adalah untuk membantu pemangku kepentingan yang relevan dalam memahami risiko, dasar pengambilan keputusan, dan alasan mengapa tindakan tertentu diperlukan. Komunikasi bertujuan untuk mempromosikan kesadaran dan pemahaman tentang risiko, sedangkan konsultasi melibatkan perolehan umpan balik dan informasi untuk mendukung pengambilan keputusan. Diperlukan koordinasi yang erat antara keduanya.

Komunikasi dan konsultasi dengan pemangku kepentingan eksternal dan internal yang tepat harus dilakukan di dalam dan di seluruh langkah proses manajemen risiko. Komunikasi dan konsultasi bertujuan untuk:

  • Menyatukan berbagai bidang keahlian untuk setiap langkah proses manajemen risiko;
  • Memastikan bahwa pandangan yang berbeda dipertimbangkan secara tepat saat mendefinisikan kriteria risiko dan saat mengevaluasi risiko;
  • Menyediakan informasi yang cukup untuk memfasilitasi pengawasan risiko dan pengambilan keputusan;
  • Membangun rasa inklusivitas dan kepemilikan di antara mereka yang terkena dampak risiko.

3. Ruang Lingkup, Konteks, dan Kriteria

3.1 Umum

Tujuan dari penetapan ruang lingkup, konteks, dan kriteria adalah untuk menyesuaikan proses manajemen risiko, memungkinkan penilaian risiko yang efektif dan perlakuan risiko yang tepat. Ruang lingkup, konteks, dan kriteria melibatkan pendefinisian ruang lingkup proses, serta pemahaman terhadap konteks eksternal dan internal.

3.2 Mendefinisikan Ruang Lingkup

Organisasi harus mendefinisikan ruang lingkup kegiatan manajemen risikonya. Karena proses manajemen risiko dapat diterapkan pada berbagai tingkatan (misalnya, strategis, operasional, program, proyek, atau kegiatan lainnya), penting untuk menjelaskan ruang lingkup yang dipertimbangkan, tujuan relevan yang akan dipertimbangkan, dan keselarasan mereka dengan tujuan organisasi. Saat merencanakan pendekatan, pertimbangan meliputi:

  • Tujuan dan keputusan yang perlu dibuat;
  • Hasil yang diharapkan dari langkah-langkah yang akan diambil dalam proses;
  • Waktu, lokasi, inklusi dan eksklusi spesifik;
  • Alat dan teknik penilaian risiko yang sesuai;
  • Sumber daya yang dibutuhkan, tanggung jawab, dan catatan yang harus disimpan;
  • Hubungan dengan proyek, proses, dan kegiatan lain.

3.3 Konteks Eksternal dan Internal

Konteks eksternal dan internal adalah lingkungan di mana organisasi berupaya untuk mendefinisikan dan mencapai tujuannya. Konteks proses manajemen risiko harus ditetapkan dari pemahaman lingkungan eksternal dan internal tempat organisasi beroperasi dan harus mencerminkan lingkungan spesifik dari kegiatan di mana proses manajemen risiko akan diterapkan. Memahami konteks itu penting karena:

  • Manajemen risiko berlangsung dalam konteks tujuan dan kegiatan organisasi;
  • Faktor-faktor organisasi dapat menjadi sumber risiko;
  • Tujuan dan ruang lingkup proses manajemen risiko mungkin saling terkait dengan tujuan organisasi secara keseluruhan.

Organisasi harus menetapkan konteks eksternal dan internal dari proses manajemen risiko.

3.4 Mendefinisikan Kriteria Risiko

Organisasi harus menentukan jumlah dan jenis risiko yang boleh atau tidak boleh diambil, relatif terhadap tujuan. Organisasi juga harus mendefinisikan kriteria untuk mengevaluasi signifikansi risiko dan untuk mendukung proses pengambilan keputusan. Kriteria risiko harus selaras dengan kerangka kerja manajemen risiko dan disesuaikan dengan tujuan dan ruang lingkup spesifik dari kegiatan yang dipertimbangkan. Kriteria risiko harus mencerminkan nilai-nilai, tujuan, dan sumber daya organisasi serta konsisten dengan kebijakan dan pernyataan tentang manajemen risiko. Kriteria harus didefinisikan dengan mempertimbangkan kewajiban organisasi dan pandangan para pemangku kepentingan.

Meskipun kriteria risiko harus ditetapkan pada awal proses penilaian risiko, kriteria tersebut bersifat dinamis dan harus ditinjau dan diubah secara berkelanjutan, jika perlu.

Untuk menetapkan kriteria risiko, hal-hal berikut harus dipertimbangkan:

  • Sifat dan jenis ketidakpastian yang dapat mempengaruhi hasil dan tujuan (baik yang berwujud maupun tidak berwujud);
  • Bagaimana konsekuensi (baik positif maupun negatif) dan kemungkinan akan didefinisikan dan diukur;
  • Faktor-faktor yang berkaitan dengan waktu;
  • Konsistensi dalam penggunaan pengukuran;
  • Bagaimana tingkat risiko akan ditentukan;
  • Bagaimana kombinasi dan urutan berbagai risiko akan diperhitungkan;
  • Kapasitas organisasi.

4. Penilaian Risiko

4.1 Umum

Penilaian risiko adalah proses keseluruhan dari identifikasi risiko, analisis risiko, dan evaluasi risiko. Penilaian risiko harus dilakukan secara sistematis, iteratif, dan kolaboratif, dengan memanfaatkan pengetahuan dan pandangan para pemangku kepentingan. Penilaian ini harus menggunakan informasi terbaik yang tersedia, yang dilengkapi dengan penyelidikan lebih lanjut jika diperlukan.

4.2 Identifikasi Risiko

Tujuan dari identifikasi risiko adalah untuk menemukan, mengenali, dan mendeskripsikan risiko yang dapat membantu atau menghalangi organisasi mencapai tujuannya. Informasi yang relevan, tepat, dan terkini penting dalam mengidentifikasi risiko. Organisasi dapat menggunakan berbagai teknik untuk mengidentifikasi ketidakpastian yang dapat mempengaruhi satu atau lebih tujuan. Faktor-faktor berikut, dan hubungan antara faktor-faktor ini, harus dipertimbangkan:

  • Sumber risiko yang berwujud dan tidak berwujud;
  • Penyebab dan peristiwa;
  • Ancaman dan peluang;
  • Kerentanan dan kapabilitas;
  • Perubahan dalam konteks eksternal dan internal;
  • Indikator risiko yang muncul;
  • Sifat dan nilai aset serta sumber daya;
  • Konsekuensi dan dampaknya terhadap tujuan;
  • Keterbatasan pengetahuan dan keandalan informasi;
  • Faktor-faktor yang berkaitan dengan waktu;
  • Bias, asumsi, dan keyakinan dari mereka yang terlibat.

Organisasi harus mengidentifikasi risiko, baik sumbernya berada di bawah kendalinya atau tidak. Perlu dipertimbangkan bahwa mungkin ada lebih dari satu jenis hasil, yang dapat mengakibatkan berbagai konsekuensi yang berwujud atau tidak berwujud.

4.3 Analisis Risiko

Tujuan dari analisis risiko adalah untuk memahami sifat risiko dan karakteristiknya termasuk, jika sesuai, tingkat risiko. Analisis risiko melibatkan pertimbangan rinci tentang ketidakpastian, sumber risiko, konsekuensi, kemungkinan, peristiwa, skenario, pengendalian, dan efektivitasnya. Suatu peristiwa dapat memiliki beberapa penyebab dan konsekuensi serta dapat mempengaruhi beberapa tujuan.

Analisis risiko dapat dilakukan dengan berbagai tingkat detail dan kompleksitas, tergantung pada tujuan analisis, ketersediaan dan keandalan informasi, serta sumber daya yang tersedia. Teknik analisis dapat bersifat kualitatif, kuantitatif, atau kombinasi keduanya, tergantung pada keadaan dan tujuan penggunaan.

Analisis risiko harus mempertimbangkan faktor-faktor seperti:

  • Kemungkinan peristiwa dan konsekuensi;
  • Sifat dan besarnya konsekuensi;
  • Kompleksitas dan konektivitas;
  • Faktor-faktor yang berkaitan dengan waktu dan volatilitas;
  • Efektivitas pengendalian yang ada;
  • Tingkat sensitivitas dan kepercayaan.

Analisis risiko dapat dipengaruhi oleh perbedaan pendapat, bias, persepsi risiko, dan penilaian. Pengaruh tambahan adalah kualitas informasi yang digunakan, asumsi dan pengecualian yang dibuat, keterbatasan teknik, dan bagaimana teknik tersebut dijalankan. Pengaruh-pengaruh ini harus dipertimbangkan, didokumentasikan, dan dikomunikasikan kepada para pengambil keputusan.

Peristiwa yang sangat tidak pasti bisa sulit untuk dikuantifikasi. Hal ini bisa menjadi masalah saat menganalisis peristiwa dengan konsekuensi yang parah. Dalam kasus seperti itu, menggunakan kombinasi teknik umumnya memberikan wawasan yang lebih besar.

Analisis risiko memberikan masukan untuk evaluasi risiko, untuk keputusan apakah risiko perlu ditangani dan bagaimana caranya, serta strategi dan metode perlakuan risiko yang paling tepat. Hasilnya memberikan wawasan untuk keputusan, di mana pilihan sedang dibuat, dan opsi-opsi tersebut melibatkan berbagai jenis dan tingkat risiko.

4.4 Evaluasi Risiko

Tujuan dari evaluasi risiko adalah untuk mendukung pengambilan keputusan. Evaluasi risiko melibatkan perbandingan hasil analisis risiko dengan kriteria risiko yang telah ditetapkan untuk menentukan di mana tindakan tambahan diperlukan. Ini dapat mengarah pada keputusan untuk:

  • Tidak melakukan apa-apa lagi;
  • Mempertimbangkan opsi perlakuan risiko;
  • Melakukan analisis lebih lanjut untuk lebih memahami risiko;
  • Mempertahankan pengendalian yang ada;
  • Mempertimbangkan kembali tujuan.

Keputusan harus mempertimbangkan konteks yang lebih luas serta konsekuensi aktual dan yang dirasakan oleh pemangku kepentingan eksternal dan internal. Hasil evaluasi risiko harus dicatat, dikomunikasikan, dan kemudian divalidasi pada tingkat yang sesuai di organisasi.

5. Perlakuan Risiko

5.1 Umum

Tujuan dari perlakuan risiko adalah untuk memilih dan menerapkan opsi untuk mengatasi risiko. Perlakuan risiko melibatkan proses iteratif dari:

  • Merumuskan dan memilih opsi perlakuan risiko;
  • Merencanakan dan menerapkan perlakuan risiko;
  • Menilai efektivitas perlakuan tersebut;
  • Memutuskan apakah risiko yang tersisa dapat diterima;
  • Jika tidak dapat diterima, mengambil perlakuan lebih lanjut.

5.2 Pemilihan Opsi Perlakuan Risiko

Memilih opsi perlakuan risiko yang paling tepat melibatkan penyeimbangan antara manfaat potensial yang diperoleh dalam kaitannya dengan pencapaian tujuan terhadap biaya, upaya, atau kerugian dari implementasi. Opsi perlakuan risiko tidak selalu saling eksklusif atau sesuai dalam semua keadaan. Opsi untuk menangani risiko dapat mencakup satu atau lebih dari yang berikut:

  • Menghindari risiko dengan memutuskan untuk tidak memulai atau melanjutkan kegiatan yang menimbulkan risiko;
  • Mengambil atau meningkatkan risiko untuk mengejar peluang;
  • Menghilangkan sumber risiko;
  • Mengubah kemungkinan (likelihood);
  • Mengubah konsekuensi;
  • Berbagi risiko (misalnya, melalui kontrak, membeli asuransi);
  • Menahan risiko dengan keputusan yang terinformasi.

Justifikasi untuk perlakuan risiko lebih luas daripada pertimbangan ekonomi semata dan harus mempertimbangkan semua kewajiban organisasi, komitmen sukarela, dan pandangan pemangku kepentingan. Pemilihan opsi perlakuan risiko harus dilakukan sesuai dengan tujuan organisasi, kriteria risiko, dan sumber daya yang tersedia. Saat memilih opsi perlakuan risiko, organisasi harus mempertimbangkan nilai-nilai, persepsi, dan keterlibatan potensial dari pemangku kepentingan serta cara yang paling tepat untuk berkomunikasi dan berkonsultasi dengan mereka. Meskipun sama efektifnya, beberapa perlakuan risiko bisa lebih dapat diterima oleh beberapa pemangku kepentingan daripada yang lain. Perlakuan risiko, bahkan jika dirancang dan diterapkan dengan hati-hati, mungkin tidak menghasilkan hasil yang diharapkan dan dapat menghasilkan konsekuensi yang tidak diinginkan. Pemantauan dan tinjauan perlu menjadi bagian integral dari implementasi perlakuan risiko untuk memberikan jaminan bahwa berbagai bentuk perlakuan menjadi dan tetap efektif. Perlakuan risiko juga dapat menimbulkan risiko baru yang perlu dikelola. Jika tidak ada opsi perlakuan yang tersedia atau jika opsi perlakuan tidak cukup memodifikasi risiko, risiko tersebut harus dicatat dan terus dipantau. Pengambil keputusan dan pemangku kepentingan lainnya harus menyadari sifat dan tingkat risiko yang tersisa setelah perlakuan risiko. Risiko yang tersisa harus didokumentasikan dan dikenai pemantauan, tinjauan, dan, jika perlu, perlakuan lebih lanjut.

5.3 Mempersiapkan dan Menerapkan Rencana Perlakuan Risiko

Tujuan dari rencana perlakuan risiko adalah untuk menentukan bagaimana opsi perlakuan yang dipilih akan diimplementasikan, sehingga pengaturan dipahami oleh mereka yang terlibat, dan kemajuan terhadap rencana dapat dipantau. Rencana perlakuan harus dengan jelas mengidentifikasi urutan di mana perlakuan risiko harus diimplementasikan. Rencana perlakuan harus diintegrasikan ke dalam rencana dan proses manajemen organisasi, dengan berkonsultasi dengan pemangku kepentingan yang tepat. Informasi yang diberikan dalam rencana perlakuan harus mencakup:

  • Alasan pemilihan opsi perlakuan, termasuk manfaat yang diharapkan akan diperoleh;
  • Mereka yang akuntabel dan bertanggung jawab untuk menyetujui dan melaksanakan rencana;
  • Tindakan yang diusulkan;
  • Sumber daya yang dibutuhkan, termasuk kontingensi;
  • Ukuran kinerja;
  • Kendala;
  • Pelaporan dan pemantauan yang diperlukan;
  • Kapan tindakan diharapkan akan dilakukan dan diselesaikan.

6. Pemantauan dan Tinjauan

Tujuan dari pemantauan dan tinjauan adalah untuk menjamin dan meningkatkan kualitas serta efektivitas desain, implementasi, dan hasil proses. Pemantauan berkelanjutan dan tinjauan berkala terhadap proses manajemen risiko dan hasilnya harus menjadi bagian yang terencana dari proses manajemen risiko, dengan tanggung jawab yang didefinisikan dengan jelas. Pemantauan dan tinjauan harus dilakukan di semua tahap proses. Pemantauan dan tinjauan mencakup perencanaan, pengumpulan dan analisis informasi, pencatatan hasil, dan pemberian umpan balik. Hasil pemantauan dan tinjauan harus dimasukkan ke dalam kegiatan manajemen kinerja, pengukuran, dan pelaporan organisasi.

7. Pencatatan dan Pelaporan

Proses manajemen risiko dan hasilnya harus didokumentasikan dan dilaporkan melalui mekanisme yang sesuai. Pencatatan dan pelaporan bertujuan untuk:

  • Mengomunikasikan kegiatan dan hasil manajemen risiko di seluruh organisasi;
  • Menyediakan informasi untuk pengambilan keputusan;
  • Meningkatkan kegiatan manajemen risiko;
  • Membantu interaksi dengan pemangku kepentingan, termasuk mereka yang memiliki tanggung jawab dan akuntabilitas untuk kegiatan manajemen risiko.

Keputusan mengenai pembuatan, penyimpanan, dan penanganan informasi yang terdokumentasi harus mempertimbangkan, tetapi tidak terbatas pada: penggunaannya, sensitivitas informasi, serta konteks eksternal dan internal. Pelaporan merupakan bagian integral dari tata kelola organisasi dan harus meningkatkan kualitas dialog dengan pemangku kepentingan serta mendukung manajemen puncak dan badan pengawas dalam memenuhi tanggung jawab mereka. Faktor-faktor yang perlu dipertimbangkan untuk pelaporan meliputi, tetapi tidak terbatas pada:

  • Pemangku kepentingan yang berbeda serta kebutuhan dan persyaratan informasi spesifik mereka;
  • Biaya, frekuensi, dan ketepatan waktu pelaporan;
  • Metode pelaporan;
  • Relevansi informasi dengan tujuan organisasi dan pengambilan keputusan.

Implementasi Dasar Sistem Manajemen Risiko

PT. Gapura Angkasa mengintegrasikan manajemen risiko ke dalam strategi bisnisnya untuk memastikan pencapaian target kinerja dan untuk memaksimalkan nilai bagi pemegang saham (shareholders) dan pemangku kepentingan (stakeholders). Hal ini mencakup identifikasi, evaluasi, dan pengelolaan yang efektif terhadap ketidakpastian internal dan eksternal yang dapat memengaruhi tujuan perusahaan.

Praktik manajemen risiko Perusahaan berpedoman pada panduan internal, yang selaras dengan standar regulasi dan internasional utama, khususnya Peraturan Menteri Badan Usaha Milik Negara Nomor PER-2/MBU/03/2023.

Komitmen Manajemen Risiko

Dalam komitmennya untuk menerapkan praktik Tata Kelola Perusahaan yang Baik (GCG), PT Gapura Angkasa berpedoman pada Peraturan Menteri Badan Usaha Milik Negara Nomor PER-2/MBU/03/2023 tentang Pedoman Tata Kelola dan Kegiatan Korporasi Signifikan Badan Usaha Milik Negara. Sebagai anak perusahaan dari PT Integrasi Aviasi Solusi dan PT Garuda Indonesia, Perusahaan secara konsisten mengedepankan prinsip kehati-hatian dalam menerapkan manajemen risiko perusahaan dan mengelola seluruh jenis risiko.

Pertanggungjawaban tertinggi atas implementasi manajemen risiko Perusahaan berada pada Dewan Komisaris, yang berfungsi sebagai badan pengawas, dan Direksi, yang memegang tanggung jawab operasional. Tanggung jawab ini kemudian diturunkan ke seluruh jenjang organisasi; semua tingkatan manajemen dan karyawan baik di Kantor Pusat maupun Kantor Cabang bertindak sebagai pemilik risiko (risk owner) untuk unit masing-masing. Mereka diwajibkan untuk secara berkala melaporkan dan memantau Profil Risiko (Risk Profile) unitnya kepada Direksi.

Sebagai perwujudan komitmen terhadap GCG melalui kerangka kerja dan tata kelola manajemen risiko yang terstruktur, PT Gapura Angkasa mengadopsi Model Tiga Lini (Three Lines Model). Hal ini juga tercermin dalam Piagam Manajemen Risiko.

Model Tiga Lini Pertahanan

Prinsip Tiga Lini Pertahanan (3LoD) adalah kerangka kerja yang diterapkan pada manajemen risiko dan hubungan organisasional, yang membagi tanggung jawab ke dalam tiga “lini pertahanan” yang berbeda di dalam suatu organisasi.

Organ Pengelola Risiko

Taksonomi Risiko

Terdapat 20 taksonomi risiko atau klasifikasi risiko PT. Gapura Angkasa yang bersumber dari InJourney Group dan PERATURAN MENTERI BADAN USAHA MILIK NEGARA REPUBLIK INDONESIA NOMOR PER-2/MBU/03/2023 beserta turunannya mengenai klasifikasi BUMN industri umum.

Pernyataan Selera Risiko

Pernyataan Selera Risiko ditetapkan sesuai dengan yang berlaku di PT Gapura Angkasa, sebagai berikut:

Penetapan Kapasitas, Selera, Toleransi, dan Batas Risiko untuk Tahun 2025

Mengacu pada Strategi Risiko tahun 2025 PT Gapura Angkasa yang ditetapkan tertanggal 17 Februari 2025, Strategi Risiko (meliputi kapasitas risiko, selera risiko, toleransi risiko, dan batas risiko).

Pedoman – Entreprise Risk Management (ERM)

PT Gapura Angkasa merupakan salah satu Anak Perusahaan PT Integrasi Aviasi Solusi (IAS) dan PT Garuda Indonesia yang bergerak dalam layanan terlengkap di sektor penerbangan yang meliputi pelayanan jasa Ground Handling, Cargo & Logistics, dan Hospitality, yang diresmikan pada tanggal 26 Januari 1998. Dalam pelaksanaan aktivitas atau kegiatan bisnis tersebut, PT Gapura Angkasa berpotensi menghadapi risiko-risiko yang dapat menghambat pencapaian tujuan atau target Perusahaan yang telah ditetapkan, sehingga Perusahaan harus produktif untuk menerapkan Manajemen Risiko secara efisien dan efektif agar mampu beradaptasi dengan perkembangan usaha dan menjaga kelangsungan bisnis Perusahaan. Penerapan Manajemen Risiko di PT Gapura Angkasa menggunakan kerangka standar ISO31000:2018

Manajemen Risiko – Pedoman yang mengacu pada organisasi internasional untuk standarisasi, serta mempertimbangkan penyelarasan peraturan atau ketentuan yang ditetapkan secara group (IAS Group) sehingga diharapkan tercapainya optimalisasi implementasi Manajemen Risiko. Manajemen risiko merupakan upaya terkoordinasi untuk mengarahkan dan mengendalikan Perusahaan terhadap risiko-risiko yang ditetapkan dalam menjalani kegiatan usaha. Dengan penerapan Manajemen Risiko, diharapkan potensi kerugian dapat ditekan serendah mungkin atau bahkan dapat memanfaatkan risiko menjadi peluang yang dapat meningkatkan keuntungan dan mendatangkan manfaat bagi PT Gapura Angkasa. Penjabaran dari pelaksanaan Manajemen Risiko di PT Gapura Angkasa ditetapkan dalam suatu pedoman Manajemen Risiko yang bertujuan memberikan arah dan batasan serta tanggung jawab yang jelas terhadap pelaksanaan Manajemen Risiko di PT Gapura Angkasa. Tujuan penerapan Manajemen Risiko ini dimaksudkan sebagai panduan bagi seluruh jajaran di Perusahaan dalam pelaksanaan Manajemen Risiko dan ditujukan sebagai suatu dasar untuk:

  1. Penerapan Manajemen Risiko di PT Gapura Angkasa dapat berjalan secara efektif dan efisien.
  2. Monitoring agar penerapan Manajemen Risiko di PT Gapura Angkasa dapat berjalan secara terstruktur, sistematis dan berkesinambungan untuk meningkatkan nilai Perusahaan.

Download Dokumen

Kebijakan Manajemen Risiko

PT Gapura Angkasa menetapkan Kebijakan Manajemen Risiko sebagai wujud komitmen Perusahaan dalam menerapkan tata kelola perusahaan yang baik (Good Corporate Governance) serta prinsip kehati-hatian dalam menjalankan seluruh kegiatan usaha. Kebijakan ini mengacu pada standar ISO 31000 dan ketentuan yang berlaku bagi Badan Usaha Milik Negara.

Penerapan Manajemen Risiko dilaksanakan secara terintegrasi melalui pendekatan Three Lines Model, dengan akuntabilitas tertinggi berada pada Dewan Komisaris dan Direksi, serta didukung oleh seluruh jajaran manajemen dan unit kerja di lingkungan Perusahaan. Setiap unit kerja bertanggung jawab dalam mengelola risiko sesuai dengan kewenangannya dan secara berkala melaporkan profil risiko kepada manajemen.

Melalui Kebijakan Manajemen Risiko ini, PT Gapura Angkasa bertujuan untuk memastikan risiko dikelola secara efektif, mendukung pengambilan keputusan, meningkatkan kinerja Perusahaan, serta menjaga pencapaian tujuan dan keberlangsungan usaha secara berkelanjutan.

Documentation

Stay informed with the latest activity

View All
Awareness Risk Management

Risk Management Unit

View More

Awareness
Risk Management

9 Mei, 3 & 4 Juni 2025

Sebagai bagian dari komitmen dan upaya menjaga keberlanjutan operasional, Divisi Risk Management PT Gapura Angkasa telah sukses menyelenggarakan acara “Sosialisasi Awareness Risk Management” pada 9 Mei, 3 & 4 Juni 2025.

Melalui sosialisasi ini, setiap risk owner diharapkan mampu mengidentifikasi, menganalisis, dan memitigasi potensi risiko yang mungkin timbul di area kerja masing-masing.

Penguatan pemahaman manajemen risiko di seluruh lini organisasi diharapkan akan menjadi fondasi yang kokoh untuk mencapai kinerja unggul dan pertumbuhan bisnis yang berkelanjutan.

Focus Group Discussion Profil Risk

Risk Management Unit

View More

Awareness
Focus Group Discussion Profil Risk

Periode Juli 2025

Dalam rangka memperkuat kerangka kerja manajemen risiko dan memastikan pengambilan keputusan yang berbasis data, Unit Risk Management PT Gapura Angkasa secara konsisten menyelenggarakan Focus Group Discussion (FGD) untuk pengisian dan pembaruan profil risiko.

Kegiatan ini merupakan bagian integral dari siklus manajemen risiko perusahaan, yang dirancang untuk secara proaktif mengidentifikasi, menganalisis, dan mengevaluasi potensi risiko yang relevan dengan setiap fungsi bisnis.

Inisiatif yang digelar secara rutin ini melibatkan partisipasi aktif dari seluruh unit kerja di lingkungan perusahaan.

Training Certification
Risk Management BOD – 1

Risk Management Unit

View More

Training Certification Risk Management BOD – 1

11-12 Juni 2025

Jajaran pimpinan senior (level BOD-1) PT Gapura Angkasa telah berhasil menyelesaikan program Pelatihan dan Sertifikasi Manajemen Risiko Profesional

Program intensif ini dirancang khusus untuk membekali para pemimpin puncak dengan kompetensi mendalam dalam mengintegrasikan manajemen risiko ke dalam pengambilan keputusan strategis.