Docstoc

Identifikasi Risiko

Document Sample
Identifikasi Risiko Powered By Docstoc
					                                  IDENTIFIKASI RISIKO




    1. Pendahuluan
       Tahapan ini bertujuan untuk mengindentifikasi risiko yang harus dikelola
       organisasi melalui proses yang sistematis dan terstruktur. Proses ini sangat
       penting karena risiko yang tidak terindentifikasi pada proses ini tidak akan
       ditangani pada proses-proses selanjutnya. Proses ini juga harus mengupayakan
       untuk mengindentifikasikan risiko-risiko baik yang dalam kendali organisasi
       maupun di luar kendali organisasi (eksternal).

        Proses tersebut dimulai dengan mengindentifikasikan secara komperehensif,
        ekstensif dan intensif mengenai risiko apa saja yang dapat terjadi, dimana dan
        bilamana. Setelah memperoleh daftar risiko yang dapat terjadi maka dimulai
        analisis mengapa hal tersebut dapat terjadi dan bagaimana terjadinya.

        Sasaran indentifikasi risiko adalah mengembangkan daftar sumber risiko dan
        kejadian yang komperehensif serta memiliki dampak terhadap pencapaian
        sasaran dan target (atau elemen kunci) yang terindentifikasi dari konteks.
        Dokumen utama yang dihasilkan dalam proses ini adalah daftar risiko (risk
        register).

    2. Komponen risiko
       Risiko dalam manajemen risiko bukan sekedar suatu kejadian, peristiwa atau
       kondisi yang dapat berkembang/terjadi, namun mencakup pula berbagai
       informasi yang terkait dengan kejadian, peristiwa atau kondisi tersebut. Oleh
       karena itu dalam proses identifikasi risiko, informasi yang dikumpulkan antara
       lain mencakup :
            Sumber risiko ; stakeholder, benda atau kondisi lingkungan yang dapat
              memicu timbulnya risiko
            Kejadian : peristiwa yang dapat terjadi dan berdampak terhadap
              pencapaian sasaran dan target.
            Konsekuensi : dampak terhadap asset organisasi atau stakeholder
            Pemicu (apa dan mengapa) : faktor-faktor yang menjadi pemicu timbulnya
              suatu peristiwa berisiko
            Pengendalian : langkah-langkah antisipasi dan pencegahan awal yang
              dapat dilaksanakan
            Perkiraan kapan risiko terjadi dan dimana risiko itu dapat terjadi.


property@DinoRimantho/Identifikasi Risiko/Des/2010
                                                                                         1
        Elemen-elemen kunci di atas dapat bertambah atau malah berkurang tergantung
        kebutuhan pada saat menetapkan konteks manajemen risiko.

    3. Proses identifikasi
       Untuk mengembangkan daftar risiko yang komperehensih digunakan suatu
       proses sistematis dan terstruktur yang sudah dilakukan sejak penentuan konteks
       manajemen risiko. proses identifikasi risiko yang efektif dapat ditunjukkan bila
       menggunakan tahapan yang terstruktur pada proses, proyek dan kegiatan sesuai
       dengan kriteria yang telah digunakan ketika menetapkan konteks manajemen
       risiko. Hal ini untuk memastkan bahwa proses identifikasi risiko telah
       berlangsung komprehensif dan tidak ada proses atau isu yang terlewatkan.
       Sebagai tuntutan pelaksanaan proses identifikasi yang sistematis dan terstruktur,
       pertanyaan-pertanyaan berikut dapat dipertimbangkan :
           a. Apa sumber dari setiap risiko?
           b. Apa yang mungkin dapat terjadi :
               Meningkatkan atau mengurangi efektifitas pencapaian sasaran/target
               Membuat pencapaian sasaran (finansial, manusia, waktu, dll) lebih
                 atau tidak efisien
               Menyebabkan stakeholders bertindak yang meningkatkan atau
                 mengurangi pencapaian sasaran atau target
               Menimbulkan manfaat tambahan.
           c. Apakah efeknya bagi sasaran atau target organisasi
           d. Kapan, dimana, mengapa dan bagaimana risiko-risiko ini (negatif/positif)
              dapat terjadi
           e. Siapa yang berkepentingan atau terkena dampaknya
           f. Apakah ada pengendalian yang dilakukan ini
           g. Apa yang menyebabkan pengendalian yang ada pada saat ini tidak
              efektif?

        Setelah mengkaji setiap elemen di atas maka pertanyaan-pertanyaan berikut
        dapat dipertimbangkan ;
           a. Bagaimana dengan keandalan informasinya
           b. Bagaimana kita yakin daftar risiko yang terindentifikasi sudah benar-benar
              komperehensif
           c. Apakah ada beberapa risiko tertentu yang perlu diselidiki lebih jauh
           d. Apakah sasaran atau target dan cakupan yang dikaji sudah mencukupi
           e. Apakah semua pihak-pihak yang terkait sudah dilibatkan dalam proses
              identiffikasi risiko.




property@DinoRimantho/Identifikasi Risiko/Des/2010
                                                                                           2
    4. Informasi yang dikumpulkan
       Informasi dengan kualitas yang baik merupakan keharusan dalam suatu proses
       identifikasi risiko. titik awal untuk identifikasi merupakan pengumpulan histori
       informasi baik yang berasal dari dalam organisasi atau jika tidak tersedia dapat
       juga dari organisasi-organisasi sejenis a(industrial benchmark) yang kemudian
       dimatangkan melalui diskusi dengan pihak-pihak terkait. Isu yang didiskusikan ini
       dapat berupa isu-isu histori, masa kini dan yang terus berkembang, contohnya
       sebagai berikut :
            Pengalaman lokal atau internasional
            Informasi menurut para ahli
            Informasi hasil wawancara terstruktur
            Informasi dari Focus Group Discussion
            Rencana jangka panjang, rencana kerja dan anggaran perusahaan
               lengkap dengan analisis SWOT atau analisa lingkungan bisnis lainnya.
            Laporan klaim asuransi dan mitra kerja lainnya, pelanggan dan
               stakeholders lainnya
            Laporan-laporan manajemen
            Laporan-laporan auditor dan pemeriksa lainnya
            Hasil-hasil survey internal maupun eksternal
            Hasil-hasil self asessment
            Data-data historis, database insiden, analisis kegagalan misalnya Failure
               Mode & Effect Analysis, risk register yang sudah ada (jika pernah dibuat)
            Data-data lain yang dianggap penting dan berhubungan dengan proses
               identifikasi risiko.



    5. Metode identifikasi risiko
       Metode dan pendekatan yang digunakan untuk mengidentifikasi risiko tergantung
       pada proses penentuan konteks manajemen risiko. proses identifikasi risiko
       dapat menggunakan berbagai metode, antara lain metode yang berbasis
       brainstorming, check list, flowcharting dan lain-lain. Metode yang akan digunakan
       untuk mengindentifikasikan risiko merupakan lanjutan dari metode yang
       digunakan pada tahapan menentukan konteks manajemen risiko dan bila
       diperlukan diperlengkap atau diperdalam dengan metode lain. Kesinambungan
       ini perlu dipertahankan sehingga tidak terjadi kerancuan dalam keseluruhan
       proses manajemen risiko.



property@DinoRimantho/Identifikasi Risiko/Des/2010
                                                                                           3
        Beberapa metode yang dapat digunakan antara lain :
           Pengujian dokumen (document review), dokumen yang diuji terutama
              dokumen pada saat penyusunan rencana bisnis organisasi dan dengan
              fokus terhadap potensi risiko yang dapat menghalangi pencapaian
              sasaran jangka panjang dan jangka pendek organisasi. Hasilnya dalah
              daftar risiko, baik internal maupun eksternal.
           Analisis pemangku kepentingan (stakeholders analysis) bertujuan untuk
              mengindentifikasikan dan memahami potensi risiko atau potensi
              dukungan dari para pemangku kepentingan. Potensi ini terjadi akibat
              interaksi para pemangku kepentingan dengan organisasi dimana masing-
              masing pihak mempunyai kepentingan dan sasaran yang berbeda-beda.
              Proses ini juga menghasilkan daftar potensi risiko yang berbeda-beda.
              Proses ini juga dapat menghasilkan daftar potensi risiko dan peluang.
           Risk Breakdown Structure (RBS), menyusun risiko-risiko yang
              teridentifikasi dalam kelompok atau kategori yang sesuai dengan susunan
              hierarkhis organisasi, proyek atau proses. Melalui kategorisasi dan
              pengelompokan ini kejelasan atas siapa pemangku risiko terkait menjadi
              lebih jelas, yaitu sesuai dengan posisinya dalam hierarkhis organisasi
              ataupun proyek tersebut. Metode ini juga dapat dieksplorasi lebih lanjut
              menggunakan CRSA (Controlled Risk Self Assessment). CRSA sering
              juga disingkat dengan CSA.
           Metode pemetaan proses bisnis (Bussiness Process Mapping) yang
              digunakan untuk penerapan kerangka manajemen risiko. metode ini dapat
              digali lebih lanjut dengan menggunakan teknik FMEA (Failure Mode and
              Effect Analysis).

        a. Risk Breakdown Structure (RBS)
           RBS digunakan terutama dalam upaya untuk melakukan kategorisasi masing-
           masing risiko. RBS adalah pengelompokan risiko dalam suatu komposisi
           hirarkis risiko organisasi yang logis, sistematis dan terstruktur secara alami
           sesuai dengan struktur organisasi atau proyek. Sasaran penerapan RBS
           adalah kejelasan pemangku risiko dan peningkatan pemahaman risiko
           organisasi atau proyek dalam konteks kerangka kerja yang logis serta
           sistematis.
           RBS sendiri terdiri dari 2 (dua) tahapan yaitu pengembangan RBS dan tahap
           penerapannya. Pada tahap pengembangan meliputi penyusunan hierarki
           yang didasarkan pada struktur organisasi atau struktur proyek yang ada atau
           berdasarkan pengalaman masa lalu. Bila terjadi perubahan struktur



property@DinoRimantho/Identifikasi Risiko/Des/2010
                                                                                            4
            organisasi atau struktur pekerjaan proyek (work breakdown structure) maka
            RBS perlu disusun ulang untuk disesuaikan dengan struktur yang baru.
            Hasil pengembangan RBS pada tahap pertama akan berfungsi sebagai
            sumber informasi pada tahap berikutnya untuk proses identifikasi risiko,
            analisis risiko dan pelaporan risiko. secara keseluruhan RBS ini mirip dengan
            aplikasi dari pengembangan risk taxonomy hanya lebih mengacu pada
            struktur organisasi yang berbeda atau WBS (Work Breakdown Structure)
            yang telah dikembangkan.
                 Tahapan pelaksanaan RBS
                   Bila RBS akan diterapkan pada proyek maka proses pengembangan
                   RBS menggunakan WBS (Work Breakdown Structure). WBS ini
                   adalah struktur pembagian kerja proyek secara hirarki yang khusus
                   dikembangkan untuk keperluan proyek tersebut. Pada penerapannya
                   untuk organisasi, selain proses bisnis juga didasarkan pada struktur
                   organisasi yang ada. Sebagai input untuk proses penyusunan RBS
                   adalah risiko-risiko yang pernah dialami dan hamper selalu berulang.
                   Begitu pula dengan sumberr-sumber risiko yang tidak diketahui. Hasil
                   proses pengembangan RBS ini dapat berbentuk hirarki potensi sumber
                   risiko bagi organisasi dan seringkali mempunyai tampilan seperti
                   bagan organisasi.
                   Proses pengembangan RBS merupakan suatu kegiatan yang sampai
                   berguna untuk melakukan tinjauan terhadap area-area yang menjadi
                   perhatian dan potensi keterkaitan diantara area-area tersebut.
                   Pelaksanaan pengembangan RBS ini dapat dilakukan dengan
                   pendekatan top-down atau bottom-up, sama seperti pengembangan
                   Work Breakdown Structure. Perhatikan tentang perlunya pemahaman
                   yang cukup mengenai peringkat dari sumber-sumber risiko yang
                   terdapat dalam organisasi.
                   Tahapan utama dalam menyusun RBS dengan pendekatan top-bottom
                   adalah sebagai berikut ;
                    Identifikasi kelompok-kelompok besar sumber risiko. cara termudah
                        adalah dengan memperhatikan struktur organisasi yang ada.
                        Secara sederhana, struktur organisasinya terdiri dari bagian
                        manufacturing atau produksi, bagian pemasaran, bagian keuangan
                        serta bagian SDM (Sumber Daya Manusia) dan umum. Dengan
                        demikian, kelompok besar sumber risiko dapat diidentifikasi dengan
                        pengelompokkan organisasi ini, yaitu risiko manufacturing, risiko
                        pemasaran, risiko financial dan risiko organisasi atau aorang.
                    Jabarkan kelompok besar sumber risiko tadi menjadi tingkatan
                        risiko yang lebih kecil lagi, misalnya untuk risiko manufacturing



property@DinoRimantho/Identifikasi Risiko/Des/2010
                                                                                             5
                        dipecah lagi menjadi risiko mutu (quality risk), risiko proses
                        produksi (production process risk), risiko kerusakan peralatan
                        produksi (maintenance risk), risiko supply utilititas (listrik, air, angin
                        bertekanan, oli dan sebagainya), risiko bahan baku (kelangsungan
                        pasokan, keajegan mutu dan lain-lain), risiko bahan pendukung,
                        risiko pencemaran lingkungan dan lain-lain.
                       Hasil penjabaran di atas masih juga harus dijabarkan lagi menjadi
                        sub-kelompok yang lebih kecil dan dilakukan secara berulang
                        hingga proses dekomposisi ini mencapai tahapan yang
                        memungkinkan penanganan risiko dalam tataran yang
                        memuaskan. Artinya dapat diketahui dengan jelas pemangku
                        risikonya (risk owner) dan dapat dirumuskan perlakuan terhadap
                        potensi risiko yang ada pada level yang cukup rendah.


                                                 RISIKO ORGANISASI




            RISIKO                       RISIKO                   RISIKO               RISIKO
         MANUFAKTURING                 PEMASARAN                KEUANGAN           SDM&ORGANISASI


          RISIKO PRODUKSI           RISIKO PASAR DAN              RISIKO                 RISIKO
            PLANNING &                  PENJUALAN               LIKUIDITAS            KECURANGAN
           CONTROLLING                                                                  (FRAUD)

                                      RISIKO SUPPLY             RISIKO NILAI
           RISIKO PROSES                  CHAIN                    TUKAR             RISIKO HUKUM
             PRODUKSI                                                               DAN KEPATUHAN


                                         RISIKO                RISIKO KREDIT
             RISIKO                                                                  RISIKO PROSES
                                       PENAGIHAN                DAN BUNGA
          PENGENDALIAN                                                                ORGANISASI
             MUTU
                                                                   RISIKO
              RISIKO                                             INVESTASI
           MAINTENANCE


                                           Gambar Contoh Sederhana RBS

 Sumber : Leo J. Susilo dan Victor Riwu Kaho, Manajemen Risiko berbasis ISO 31000
            untuk industri non perbankan, Penerbit PPM, Jakarta, 2010


property@DinoRimantho/Identifikasi Risiko/Des/2010
                                                                                                     6
                   Persyaratan dan Aplikasi
                    Dalam menyusun RBS diperlukan partisipasi yang cukup dari anggota
                    organisasi terkait, terutama dari mereka yang memahami proses
                    organisasi dan dapat membedakan dengan rinci potensi dari masing-
                    masing risiko yang ditemukan. Selain itu ketersediaan struktur
                    organisasi dengan kejelasan sasaran dan fungsi akan sangat
                    membantu. Bila dipergunakan pada proyek maka ketersediaan Work
                    Breakdown Structure proyek akan sangat membantu dalam menyusun
                    RBS.

                    Penyusunan RBS pada dasarnya tidak memerlukan peralatan khusus
                    karena lebih bersifat administratif. Yang diperlukan adalah kreativitas
                    dan partisipasi anggota organisasi yang memahami proses organisasi
                    dan dapat membedakan secara rinci potensi risiko yang ada. Hal ini
                    ditunjang dengan fasilitas ruangan dan peralatan rapat yang memadai.
                    Dengan demikian, biaya yang diperlukan adalah biaya fasilitas
                    ruangan dan perlengkapannya serta biaya orang yang terpaksa
                    ,menyisihkan waktunya dalam proses penyusunan RBS ini. Waktu
                    yang diperlukan akan sebanding dengan volume potensi risiko yang
                    ditemukan. Begitu juga dalam penerapannya kelak.

                    Hasil yang diharapkan melalui proses RBS adalah struktur hirarkis
                    risiko-risiko organisasi dan informasi rinci risiko yang tercantum dalam
                    struktur, yang diperoleh melalui analisis terhadap masing-masing risiko
                    yang tercantum pada diagram tersebut. RBS akan sangat membantu
                    dalam proses perencanaan manajemen risiko untuk mengindentifikasi
                    potensi risiko telah dapat diindentifikasi. Sekaligus keterkaitannya
                    dengan para pemangku risiko dalam organisasi. Selain itu RBS juga
                    akan membantu pelaksanaan seleksi metode dan sumber daya untuk
                    menangani potensi risiko yang telah terindentifikasi. Hal lain yang
                    dapat memanfaatkan hasil RBS adalah rekayasa proses. Ini terjadi
                    karena dengan mengetahui potensi risiko yang akan terjadi maka
                    dapat direncanakan suatu bentuk lain yang akan mengurangi
                    penyebab terjadinya risiko tersebut.

                    Hal yang kurang terlihat dalam penggunaan RBS adalah identifikasi
                    risiko eksternal (dampak dari kondisi ekonomi, politik, sosial, hukum
                    dan lain-lain) untuk hal ini, perlu kewaspadaan pimpinan organisasi




property@DinoRimantho/Identifikasi Risiko/Des/2010
                                                                                               7
                    dalam memetakan potensi risiko yang mungkin terjadi dan
                    mengalokasikannya kepada pemangku risiko terkait secara tepat.


        b. Failure Mode and Effect Analysis (FMEA)
           Metode ini dikembangkan sekitar tahun 1960-an, ketika gerakan mutu mulai
           timbul. Pemakaian secara formal dimulai di industri dirgantara sekitar tahun
           itu, dimana kepedulian terhadap keselamatan penerbangan sangat tinggi.
           Sasaran awal FMEA adalah mencegah terjadinya kecelakaan yang dapat
           membahayakan nyawa orang. Sasaran ini juga masih berlaku hingga saat
           ini., hanya sasaran penggunaan FMEA saat ini sudah sangat luas. Namun
           pada intinya adalah mencegah terjadinya kegagalan dan dampaknya
           sebelum terjadi.

            Istilah-istilah yang digunakan dalam FMEA berbeda dengan yang digunakan
            dalam standar manajemen risiko, tetapi pengertiannya sama. Istilah-istilah
            tersebut adalah :
                  Kesalahan (failure) adalah kegagalah proses atau produk
                  Kegawatan (severity) adalah dampak yang timbul apabila suatu
                    kesalahan (failure) terjadi
                  Kejadian (occurance) adalah kemungkinan atau probabilitas atau
                    frekuensi terjadinya kesalahan
                  Deteksi (detection) adalah kemungkinan untuk mendeteksi suatu
                    kesalahan akan terjadi atau sebelum dampak kesalahan tersebut
                    terjadi
                  Tingkat prioritas risiko (Risk Priority Number-RPN) adalah hasil
                    perkalian dari masing-masing tingkat kegawatan kejadian dan deteksi.

            Dari uraian pengertian di atas maka dapat diidentikkan hal-hal sebagai
            berikut :
                Kesalahan identik dengan risiko
                Kegawatan identik dengan dampak risiko
                Kejadian identik dengan kemungkinan terjadinya risiko
                Deteksi identik dengan pemahaman sumber risiko dan atau
                   pemahaman terhadap pengendalian yang ada pada proses yang
                   diamati
                RPN identik dengan tingkat kegawatan (risk severity) yaitu hasil
                   perkalian dari masing-masing nilai dampak dan kemungkinan.




property@DinoRimantho/Identifikasi Risiko/Des/2010
                                                                                           8
            Secara umum dikenal 2 (dua) macam FMEA, yaitu proses FMEA dan desain
            FMEA. Penerapan FMEA dilakukan melalui suatu tim yang dibentuk khusus
            untuk itu. Untuk proses manufacturing, biasanya FMEA dilakukan untuk
            keseluruhan proses. Oleh karena itu perlu diadakan pembatasan tugas bagi
            masing-masing tim agar tidak terjadi kegiatan yang saling tumpang tindih.
            Terdapat sepuluh langkah dalam penerapan FMEA, yaitu ;
            1. Langkah ke-1 : Peninjauan Proses
               Tim FMEA harus meninjau ulang peta proses bisnis atau bagan alir yang
               ada untuk di analisis. Ini perlu dilakukan untuk mendapatkan kesalahan
               paham terhadap proses tersebut. Dengan menggunakan peta atau bagan
               alir tersebut, seluruh anggota tim haruslah melakukan peninjauan
               lapangan (process walk-through) untuk meningkatkan pemahaman
               terhadap proses yang dianalisa. Bila peta proses atau bagan alir belum
               ada maka tim harus menyusun peta proses atau bagan alir tersebut
               sebelum memulai proses FMEA itu sendiri.

            2. Langkah ke-2 : Brainstorming berbagai bentuk kemungkinan kesalahan
               atau kegagalan proses
               Setelah melakukan peninjauan lapangan terhadap proses yang akan di
               analisis maka setiap anggota tim akan melakukan brainstorming terhadap
               kemungkinan kesalahan atau kegagalan yang dapat terjadi dalam proses
               tersebut. Proses brainstorming ini dapat berlangsung lebih dari satu kali
               untuk memperoleh satu daftar yang komperehensif terhadap segala
               kemungkinan kesalahan yang dapat terjadi. Hasil brainstorming ini
               kemudian dikelompokkan menjadi beberapa penyebab kesalahan seperti
               manusia, mesin/peralatan, material, metode kerja dan lingkungan kerja.
               Cara lain untuk mengelompokkan adalah menurut jenis kesalahan itu
               sendiri, misalnya kesalahan pada proses welding, kesalahan elektrik,
               kesalahan mekanis dan lain-lain. Pengelompokkan ini akan
               mempermudah proses analisis nantinya dan untuk mengetahui dampak
               satu kesalahan yang mungkin menimbulkan kesalahan yang lain.

            3. Langkah ke-3 ; membuat daftar dampak tiap-tiap kesalahan
               Setelah diketahui semua daftar kesalahan yang mungkin terjadi maka
               dimulai menyusun dampak dari masing-masing kesalahan tersebut. Untuk
               setiap kesalahan, dampak yang terjadi bisa hanya satu, tetapi mungkin
               juga bisa lebih dari satu. Bila lebih dari satu maka semuanya harus
               ditampilkan. Proses ini harus dilaksanakan dengan cermat dan teliti,
               karena apa yang terlewat dari proses ini tidak akan mendapatkan
               perhatian untuk ditangani.



property@DinoRimantho/Identifikasi Risiko/Des/2010
                                                                                           9
                Kriteria dampak, kemungkinan dan deteksi ini harus ditetapkan terlebih
                dahulu. Kriteria mula-mula secara kualitatif dan kemudian dibuat secara
                kuantitatif. Apabila bias langsung dibuat secara kuantitatif akan lebih baik.
                Skala kriteria untuk ketiga jenis penilaian ini juga harus sama, misalnya
                terbagi dalam skala 5 atau skala 10. Nilai 1 terendah dam nilai 5 atau 10
                tertinggi. Penilaian peringkat dari ketiga variabel yang dinilai dilakukan
                secara konsensus dan disepakati oleh seluruh anggota tim.

            4. Langkah ke-4 : menilai tingkat dampak (severity) kesalahan
               Penilaian terhadap tingkat dampak adalah perkiraan besarnya dampak
               negatif yang diakibatkan apabila kesalahan terjadi. Bila pernah terjadi
               maka penilaian akan lebih mudah, tetapi bila belum pernah maka
               penilaian dilakukan berdasarkan perkiraan.

            5. Langkah ke-5 : menilai tingkat kemungkinan terjadinya (occurance)
               kesalahan
               Sama dengan langkah keempat, bila tersedia cukup data maka dapat
               dihitung probabilitas atau frekuensi kemungkinan terjadinya kesalahan
               tersebut. Bila tidak tersedia maka harus digunakan estimasi yang
               didasarkan pada pendapat ahli (expert judgement) atau metode lainnya.

            6. Langkah ke-6 : menilai tingkat kemungkinan deteksi dari tiap kesalahan
               atau dampaknya
               Penilaian yang diberikan menunjukkan seberapa jauh kita dapat
               mendeteksi kemungkinan terjadinya kesalahan atau timbulnya dampak
               dari suatu kesalahan. Hal ini dapat diukur dengan seberapa jauh
               pengendalian atau indikator terhadap hal tersebut tersedia. Bila tidak ada
               makan nilainya rendah, tetapi bila indicator sehingga kecil kemungkinan
               tidak terdeteksi maka nilainya tinggi.

            7. Langkah ke-7 : hitung tingkat prioritas risiko (RPN) dari masing-masing
               kesalahan dan dampaknya
               Nilai prioritas risiko (RPN) merupakan perkalian dari :


                       RPN = (NILAI DAMPAK) X (NILAI KEMUNGKINAN) X (NILAI DETEKSI)


                Total nilai RPN ini dihitung untuk tiap-tiap kesalahan yang mungkin terjadi.
                Bila proses tersebut terdiri dari kelompok-kelompok tertentu maka jumlah



property@DinoRimantho/Identifikasi Risiko/Des/2010
                                                                                                10
                keseluruhan RPN pada kelompok tersebut dapat menunjukkan bahwa
                betapa gawatnya kelompok proses tersebut bila suatu kesalahan terjadi.
                Jadi terdapat tingkat prioritas tertinggi untuk jenis kesalahan dan jenis
                kelompok proses.

            8. Langkah ke-8 : urutkan prioritas kesalahan yang memerlukan penanganan
               lanjut
               Setelah dilakukan perhitungan RPN untuk masing-masing potensi
               kesalahan maka dapat disusun prioritas berdasarkan nilai RPN tersebut.
               Apabila digunakan skala 10 untuk masing-masing variable maka nilai
               tertinggi RPN adalah = 10 x 10 x 10 = 1000. Bila digunakan skala 5, maka
               nilai tertinggi adalah = 5 x 5 x 5 =125. Terhadap nilai RPN tersebut
               dapatdibuat klasifikasi tinggi, sedang dan rendah atau ditentukan secara
               umum bahwa untuk nilai RPN di atas 250 (cut-off points) harus dilakukan
               penanganan untuk memperkecil kemungkinan terjadinya kesalahan dan
               dampaknya serta pengendalian deteksinya. Penentuan klasifikasi atau
               nilai batas penanganan ditentukan oleh kepala tim atau oleh manajemen
               sesuai dengan jenis proses yang dianalisis.

            9. Langkah ke-9 : lakukan tindak mitigasi terhadap kesalahan tersebut
               Idealnya semua kesalahan yang menimbulkan dampak tinggi harus
               dihilangkan sepenuhnya. Penanganan dilakukan secara serentak untuk
               ketiga aspek, yaitu meningkatkan kemampuan untuk mendeteksi
               kesalahan, mengurangi dampak kesalahan bila terjadi. Salah satu contoh
               untuk mendeteksi adanya kesalahan adalah adanya indikator panas pada
               mesin mobil bila terjadi overheating. Kesalahan ini dapat disebabkan oleh
               berbagai hal ; misalnya kipas radiator tidak bekerja, kebocoran pipa air
               pendingin, pompa air radiator tidak bekerja dan lain-lain. Sedangkan cara
               untuk mencegah dampak kesalahan bila sudah terjadi adalah dengan
               memasang kontak pemutus aliran listrik ke mesin sehingga mesin mati
               bila terjadi overheating. Dengan demikian, mesin tidak akan rusak karena
               overheating berlanjut. Untuk mengurangi terjadinya kesalahan, caranya
               adalah dengan menyusun suatu prosedur pemeriksaan berkala terhadap
               semua peralatan tersebut : kipas radiator, pompa air radiator, pengisian
               air radiator dengan cairan yang khusus untuk itu dan lain-lain.

            10. Langkah ke-10 : hitung ulang RPN yang tersisa untuk mengetahui hasil
               dari tindak lindung yang dilakukan.
               Segera setelah tindak lindung risiko dilaksanakan, harus dilakukan
               pengukuran ulang atau perkiraan nilai deteksi, nilai dampak dan nilai



property@DinoRimantho/Identifikasi Risiko/Des/2010
                                                                                            11
                kemungkinan timbulnya kesalahan. Setelah itu dilakukan perhitungan nilai
                tingkat prioritas risiko kesalahan tadi. Hasil tindak lindung tadi harus
                menghasilkan penurunan nilai RPN yang cukup signifikan ke tingkat yang
                cukup aman. Bila belum tercapai maka tetap perlu dilakukan tindak
                lindung lebih lanjut. Contohnya dengan menggunakan ilustrasi pada
                langkah ke-9 terkait dengan overheating. Berapa kira-kira penurunan RPN
                bila dibandingkan dengan kondisi awal, yaitu tanpa indicator panas dan
                tanpa pemutus otomatis untuk overheating dengan sesudah dilakukan
                tindak lindung melalui pemasangan indicator panas mesin dan pemutus
                otomatis untuk overheating.


        c. Controlled Rsik Self-Assessment (CRSA)
           CRSA merupakan proses yang dibantu oleh fasilitator di mana manajemen
           dan karyawan pada masing-masing tingkatan serta kelompok secara
           bersama-sama ;
               Mengindentifikasikan dan mengevaluasi risiko yang menghambat
                 pencapaian sasaran perusahaan
               Mengevaluasi pengendalian yang ada terhadap risiko-risiko tersebut
               Merumuskan tindakan yang diperlukan
               Memastikan tercapainya sasaran perusahaan.

            Pelaksanaan CRSA biasanya dilakukan melalui sebuah lokakarya yang
            dipandu oleh seorang fasilitator untuk memandu seluruh proses. Dalam
            keseluruhan proses, melalui kerangka kerja CRSA akan diupayakan agar
            peserta lokakarya dapat :
                Mengindentifikasi dan melakukan prioritas sasaran bisnis
                Melakukan asessmen dan mengelola risiko-risiko pada proses bisnis
                  kunci
                Melakukan evaluasi terhadap kecukupan pengendalian risiko yang ada
                  (existing control)
                Mengembangkan rencana perlakuan risiko
                Memastikan bahwa seluruh proses identifikasi, pemahaman dan
                  evaluasi sasaran bisnis serta risikonya berlangsung selaras dan
                  konsisten pada setiap tingkatan organisasi.

            Salah satu sasaran CRSA adalah keterlibatan karyawan pada setiap unit
            untuk memahami dan mengindentifikasi paparan risiko yang ada pada unit
            kerjanya. Kemudian secara bersama-sama pula merancang dan



property@DinoRimantho/Identifikasi Risiko/Des/2010
                                                                                           12
            melaksanakan pengendalian serta menentukan tindak lindung lain yang
            diperlukan.

            Untuk melaksanakan lokakarya CRSA diperlukan beberapa tahapan
            termasuk persiapan bagi fasilitator, persiapan peralatan lokakarya,
            penyelenggaraan dan pelaporan hasilnya. Pelaksanaan masing-masing
            tahapan tersebut diuraikan secara ringkas di bawah ini ;
            a. Persiapan lokakarya CRSA, lokakarya diselenggarakan untuk berbagai
               tingkatan dalam organisasi. Oleh karena itu perumusan sasaran dan
               lingkup lokakarya penting terutama dalam menjaga keselarasan dan
               konsistensi untuk seluruh organisasi. Untuk itu perlu perencanaan secara
               seksama. Perencanaan ini meliputi empat hal yang saling terkait, yaitu :
                    Sasaran bisnis, fokus ditujukan pada kegiatan dan cara terbaik
                      untuk mencapai sasaran bisnis tersebut. Lokakarya ini akan
                      diusahakan tercapai pemahaman yang sama atas sasaran bisnis
                      unit kerja dalam konteks keseluruhan organisasi. Kemudian akan
                      dilakukan identifikasi pengendalian yang ada saat ini dan
                      kecukupannya untuk memastikan pencapaian sasaran bisnis.
                    Risiko bisnis, fokus diskusi akan diarahkan terutama pada
                      identifikasi risiko yang mungkin menghambat pencapaian sasaran
                      bisnis unit kerja atau organisasi. Perencanaan lokakarya harus
                      difokuskan pada metode penggalian proses identifikasi risiko ini.
                      Hasil identifikasi dihadapkan pada pengendalian yang ada dan
                      ditinjau kecukupannya, serta dilihat apa saja risiko yang risiko yang
                      tersisa. Risiko tersisa ini perlu dievaluasi apakah dapat
                      menghambat pencapaian sasaran bisnis atau tidak. Ketersediaan
                      taksonomi risiko yang generic akan membantu proses ini.
                    Pengendalian internal, fokus mula-mula ditujukan untuk
                      mengindentifikasi system pengendalian yang ada dan menilai
                      apakah pengendalian tersebut bekerja dengan baik untuk
                      meredakan risiko bisnis dan meningkatkan kepastian pencapaian
                      sasaran bisnis. Lokakarya ini akan menghasilkan analisis
                      kesejangan antara tujuan pengendalian dan hasil pelaksanaan
                      pengendalian.
                    Proses bisnis, lokakarya dimulai dengan menilai apa saja proses-
                      proses bisnis kunci dan apakah proses-proses tersebut telah
                      memberikan hasil sesuai dengan sasaran, terutama terkait dengan
                      sasaran bisnis organisasi. Apabila output proses dianggap belum
                      memenuhi sasaran yang diinginkan maka harus diperiksa




property@DinoRimantho/Identifikasi Risiko/Des/2010
                                                                                              13
                        bagaimanakah hasil kerja pengendalian proses tersebut dan apa
                        penyebab terjadinya penyimpangan tersebut.

                Lokakarya dapat dimulai dengan mendiskusikan salah satu dari keempat
                topik di atas. Karena semuanya akan bermuara pada akhir yang sama.
                Untuk persiapan, fasilitator harus mendapatkan cukup informasi tentang
                kegiatan, sasaran, pengendalian yang ada dan risiko terkait dengan unit
                kerja atau area kerja yang menjadi pemilik proses CRSA. Juga diperlukan
                informasi yang terkait dengan factor eksternal seperti peraturan
                perundang-undangan yang terkait, praktik terbaik dalam industri, dampak
                ekonomi, social, politik terhadap industri terkait dan lain-lain. Semua
                informasi ini akan memudahkan fasilitator dalam mengelola jalannya
                lokakarya CRSA tersebut.

            b. Menentukan peserta lokakarya CRSA, peserta yang terpilih adalah para
               pemilik atau penanggung jawab proses bisnis beserta staff terkait. Perlu
               juga dipertimbangkan untuk mengikutsertakan pihak lain yang menjadi
               input dan output proses tersebut. Selain itu, perlu dibatasi jumlah peserta
               dengan tujuan efektifitas penyelenggaraan CRSA. Untuk keperluan
               persiapan di atas, untuk peserta yang terpilih dapat dilakukan survey awal
               melalui pengisian kuesioner sebelum lokakarya dilaksanakan. Kuesioner
               tersebut berisikan pertanyaan atau materi terkait dengan persepsi peserta
               atas keempat hal di atas.

            c. Persiapan lokakarya, lakukan komunikasi yang cukup dengan
               manajemen, atasan, peserta dan para peserta mengenai pelaksanaan
               CRSA ini. Mereka harus mendapatkan informasi yang cukup mengenai
               tujuan, manfaat, proses CRSA ini. Dengan demikian meraka dapat
               mempersiapkan diri dan menyediakan waktu yang cukup serta
               memberikan komitmen terhadap pelaksanaan CRSA. Perlu juga
               dipersiapkan dengan baik metodologi identifikasi dan penilaian risiko yang
               akan digunakan. Begitu juga cara mengatasi perbedaan pendapat atau
               bahkan konflik bila terjadi selama proses CRSA.


            d. Teknik dan sarana untuk lokakarya, untuk memperoleh kesamaan bahasa
               dan persepsi maka diperlukan adanya definisi dan terminolofi yang baku
               mengenai manajemen risiko. untuk itu ISO/TEC Guide 173 dapat
               digunakan sebagai acuan. Ketersediaan taksonomi risiko dan kriteria
               risiko yang dihasilkan pada proses penentuan konteks manajemen risiko



property@DinoRimantho/Identifikasi Risiko/Des/2010
                                                                                             14
                akan sangat membantu mengurangi perdebatan yang tidak perlu. Terlebih
                lagi hal ini akan sangat membantu bila dilengkapi dengan contoh-contoh
                nyata dari taksonomi dan kriteria risiko tersebut.
                Persiapan berikutnya adalah bagaimana mengelola proses evaluasi,
                pengambilan keputusan, pemantauan proses, pencatatan dan
                pendokumentasian serta pelaporan hasil CRSA. Ketersediaan sarana
                seperti computer, screen projector (in-focus), flip chart, papan tulis, ATK
                (alat tulis kantor) serta dukungan secretariat akan membantu kelancaran
                proses. Selain itu dapat pula dipertimbangkan penggunaan perangkat
                lunak untuk meningkatkan kualitas proses CRSA.

            e. Pelaksanaan lokakarya, lokakarya CRSA adalah salah satu cara yang
               efektif untuk mengenalkan manajemen risiko sekaligus menanganinya,
               kepada penganggung jawab dan staf dari suatu unit kerja atau suatu
               proses bisnis. Mereka akan melakukan proses evaluasi awal, identifikasi
               risiko, pengendaliannya dan melakukan upaya untuk menangani risiko
               tersisa. Keahlia yang diperoleh dapat diintegrasikan dalam proses bisnis
               yang mereka lakukan sehari-hari. Urutan pelaksanaan lokakarya CRSA
               sebagai berikut :
                    Melakukan tinjauan terhadap sasaran unit kerja dan keterkaitannya
                       dengan sasaran organisasi sehingga diperoleh pemahaman
                       kontribusi dan arti strategis unit kerja dalam pencapaian sasaran
                       organisasi.
                    Bila telah diperoleh kesepakatan tentang sasaran unit kerja,
                       lakukan pengurutan prioritas dari sasaran tersebut.
                    Lakukan proses identifikasi risiko terhadap setiap sasaran unit kerja
                       yang telah disepakati. Terhadap risiko yang telah diindentifikasi
                       lakukan pemeringkatan dampak dan kemungkinan terjadinya.
                       Selain itu harus dilakukan identifikasi sumber risiko serta
                       pemicunya. Dalam proses ini definisi dan terminology manajemen
                       risiko, taksonomi risiko serta criteria risiko yang telah disiapkan
                       harus digunakan untuk memperoleh kesamaan bahasa. Perlu
                       diperhatikan bahwa pelaksanaan proses ini harus cukup
                       “demokratis” dan dihindari dominasi oleh salah satu atau beberapa
                       peserta lokakarya. Metode brainstorming dan diskusi yang
                       dilaksanakan harus dikendalikan oleh fasilitator dengan baik.
                    Melakukan evaluasi dan penilaian terhadap pengendalian yang
                       ada. Salah satu teknik yang bermanfaat untuk melakukan hal ini
                       adalah menggunakan model-model pengendalian. Model untuk
                       mengendalikan risiko terdiri dari beberapa macam, dari yang paling



property@DinoRimantho/Identifikasi Risiko/Des/2010
                                                                                              15
                        sederhana yaitu model kepatuhan sampai model pengawasan.
                        Model kepatuhan adalah pengendalian dengan menggunakan SOP
                        sedangkan model yang menggunakan pengawasan adalah
                        terdapatnya inspeksi dan sistem jaminan mutu terhadap output
                        proses. Yang lebih lengkap lagi adalah menggunakan perencanaan
                        pengendalian dimana seluruh aspek dan jenis pengendalian
                        digunakan. Pada tahapan ini peserta diajak untuk melihat model
                        pengendalian apa saja yang sudah tersedia untuk memastikan
                        tercapainya sasaran unit kerja yang terkait dan bagaimana
                        efektifitas pengendalian tersebut.
                       Tahap berikutnya adalah menilai risiko tersisa setelah
                        pengendalian yang ada memang diterapkan. Pada tahap ini harus
                        mulai diindentifikasikan secara jelas siapa para pemangku risiko
                        (risk owner) yang bertanggung jawab untuk mengelola risiko tersisa
                        atau bahkan risiko yang memerlukan penanganan khusus. Para
                        pemangku risiko inilah yang menentukan seberapa jauh risiko
                        tersisa dapat diterima dan menentukan apakah perlakuan risiko
                        tambahan diperlukan.
                       Tahap terakhir adalah menentukan strategi dan jadwal untuk
                        melaksanakan tindakan perlindungan terhadap risiko tersisa.
                        Pemangku risiko bertanggung jawab untuk melaksanakan tindakan
                        perlindungan yang telah disepakati secara bersama.

            f. Validasi hasil lokakarya
               Hasil lokakarya CRSA merupakan bagian yang penting dari proses
               manajemen risiko dan merupakan dokumen yang hidup. Oleh karena itu
               terhadap hasil lokakarya CRSA ini perlu dilakukan validasi. Validasi ini
               dapat dilakukan melalui berbagai cara, antara lain review ulang bersama
               seluruh peserta lokakarya, pengumpulan data dan survey ulang atau
               diskusi dengan manajemen puncak. Semua ini bertujuan agar hasil
               lokakarya CRSA ini jika diterapkan akan dapat meningkatkan kepastian
               pencapaian sasaran unit kerja dan memberikan kontribusi positif terhadap
               pencapaian sasaran bisnis organisasi.

            g. Pelaporan hasil lokakarya
               Setelah divalidasi, maka laporan akhir hasil lokakarya CRSA mulai
               disusun. Laporan ini berisikan antara lain risiko-risiko yang terindentifikasi,
               temuan kelemahan pengendalian risiko yang masih ada, dan rekomendasi
               untuk mengatasi kelamahan tersebut. Selain itu, dilaporkan juga isu lain
               yang timbul dalam lokakarya tersebut. Dalam laporan ini juga disebutkan



property@DinoRimantho/Identifikasi Risiko/Des/2010
                                                                                                 16
                penganggungg jawab pelasana tindak perlindungan yang diusulkan dan
                jadwal pelaksanaannya. Sangat disarankan untuk membuat format
                standar pelaporan ini sehingga konsistensi dan keselarasan dengan
                keseluruhan manajemen risiko organisasi dapat terjaga.

            h. Pemantauan lanjut, seperti yang telah dikemukakan pada langkah
               keenam, hasil lokakarya merupakan dokumen hidup dan berisi rencana
               untuk diterapkan. Karena itu hasil penerapan haruslah dipantau dan
               ditinjau ulang secara berkala, seberapa jauh efektifitasnya dalam
               menurunkan tingkat risiko yang terkait. Peninjauan ulang berkala ini dapat
               dilakukan di antara pelaksana dan penanggung jawab tindakan
               perlindungan tersebut, tetapi juga dapat dimasukkan ke dalam program
               audit internal organisasi

    6. Hasil proses identifikasi risiko
       Selain metode dan teknik yang telah diuraikan di atas, masih terdapat teknik
       serta metode lain yang dapat digunakan seperti Delphi Scenario, Fault Tree
       Analysis, Diagram Sebab-Akibat dan lain-lain. Semua metode yang digunakan
       tadi pada akhirnya harus dikompilasi untuk menghasilkan apa yang menjadi
       tujuan proses identifikasi risiko yaitu daftar risiko (risk register).

        Daftar risiko adalah suatu rekaman data mengenai riwayat risiko dan
        perkembangan perlakuannya. Dengan demikian daftar risiko merupakan data
        dasar dalam proses manajemen risiko yang harus selalu dimutakhirkan sesuai
        dengan perkembangan dan dinamika proses serta konteks organisasi. Tidak
        terdapat suatu format baku dalam penyusunan daftar risiko.

        Secara umum, struktur isi dari daftar risiko meliputi 3 (tiga) hal, yaitu :
           a. Bagian pertama untuk pengendalian dokumen, berisikan hal-hal seperti :
                  Judul dokumen
                  Nomer dokumen
                  Nomor pemutakhiran/revisi
                  Nama risiko
                  Lokasi proses atau bagian tempat risiko
                  Tanggal pembuatan
                  Lembar pengesahan yang berisi ; dibuat oleh pemangku risiko,
                    diperiksa atasan pemangku risiko dan disetujui.

            b. Bagian kedua untuk identitas risiko, berisikan hal-hal seperti :
                  Uraian rinci mengenai risiko


property@DinoRimantho/Identifikasi Risiko/Des/2010
                                                                                            17
                       Perkiraan sumber risiko dan pemicu terjadinya risiko
                       Pemangku kepentingan yang terkait dengan risiko tersebut
                        (partisipasi terhadap risiko tersebut)
                       Uraian dampak risiko dan peringkat nilai dampak tersebut
                       Uraian kemungkinan terjadinya risiko tersebut dan peringkat nilai
                        kemungkinannya
                       Tingkat kegawatan risiko yaitu nilai dampak dikalikan nilai
                        kemungkinan
                       Status risiko dan informasi perkembangannya, apakah risiko
                        tersebut masih aktif atau sudah tidak aktif atau bahkan
                        berkembang menjadi lebih besar
                       Catatan hasil monitoring dan review


            c. Bagian ketiga adalah riwayat risiko, berisikan hal-hal seperti :
                  Nomor perlakuan risiko
                  Penanggung jawab perlakuan risiko
                  Jadwal dan uraian perlakuan risiko yang direncanakan
                  Target perlakuan risiko yang dapat meliputi penurunan dampak
                     risiko dan atau kemungkinan timbulnya risiko
                  Pemeriksaan hasil perlakuan risiko sesuai dengan target perlakuan
                     risiko, yaitu nilai dampak dan nilai kemungkinan
                  Keputusan terhadap hasil perlakuan risiko apakah diterima ataukah
                     memerlukan perlakuan risiko lebih lanjut.




Sumber Pustaka :
 Leo J. Susilo dan Victor Riwu Kaho., 2010., Manajemen Risiko berbasis ISO 31000
untuk industri non perbankan, Penerbit PPM, Jakarta.




property@DinoRimantho/Identifikasi Risiko/Des/2010
                                                                                            18