Manajemen resiko tradisional terfokus pada risiko-risiko yang timbul oleh penyebab fisik atau legal seperti bencana alam, tuntutan hukum, kebakaran maupun kematian. Manajemen resiko keuangan pada sisi lainnya, sangatlah fokus pada resiko yang bisa dikelola dengan menggunakan instrumen-instrumen keuangan. Sasaran dari pelaksanaan manajemen resiko adalah untuk mengurangi resiko yang berbeda-beda yang berkaitan dengan bidang yang telah dipilih pada tingkat yang dapat diterima oleh masyarakat.

B. Tahapan dalam Manajemen Resiko

Menetapkan konteks adalah menetapkan parameter dasar dimana suatu resiko harus dikelola dan meyiapkan pedoman untuk membuat keputusan yang lebih rinci dalam proses manajemen resiko. Konteks tersbut termasuk lingkungan internal dan eksternal organisasi dan tujuan aktivitas manajemen resiko. 1. Menetapkan konteks eksternal Langkah ini menentukan lingkungan eksternal dimana organisasi beroperasi dan hubungan antara organisasi dan lingkungannya antara lain: lingkungan sosial budaya, regulasi perkembangan, kompetisi, pasar keuangan dan lingkungan politik serta stakeholder eksternal. 2. Menetapkan konteks internal Sebelum aktivitas manajemen resiko disetiap level dimulai, maka perlu memahami suatu organisasi antara lain meliputi : a. Struktur b. Kapabilitas sumber daya seperti manusia, sisterm, proses, modal. c. Target dan sasaran serta strategi untuk mencapainya. Universitas Sumatera Utara

C. Kebijakan Manajemen Risiko 1.

Framework Manajemen Risiko Proses manajemen risiko yang berlaku di PGN mengacu kepada COSO-ERM Intergrated Framework yang merupaka common practice di dunia bisnis dan industri. COSO-ERM mengaur semua aktivitas yang ada diseluruh tingkat manajemen dari tingkat atas sampai bisnis unit perusahaan yang terdiri dari delapan komponen dari COSO-ERM Intergrated Framework dapatdilihat dalam diagram dan penjelasan sebagai berikut ini : a. Lingkungan internal internal evironment Lingkungan internal mencakup arahan dari perusahaan yang dapat mempengaruhi kesadaran stakeholders akan risiko-risiko yang dihadapi dan juga merupakan dasar bagi pelaksanaan ERM. Faktor lingkungan internal meliputi filosofi manajemen risiko, Risk appetite, pengawsan oleh komisaris, integritas, kode etik dana kopetensi sumber daya manusia, penugasan wewenang dan tanggung jawab, pengaturan dan pengembangan sumber daya manusia. b. Penetapan tujuan objectif Setting Perusahaan menetapkan suatu tujuan pada tingkat strategis, dimana akan menjadi suatu dasar dalam penetapan tujuan yang berhubungan dangan opersional, laporan dan kepatuhan. Penentuan tujuan merupakan suatu prasyarat untuk mengidentifikasi kejadian, penilaian risiko, dan menentukan strategi penanganan trehadap risiko. 4 tujuan harus dipertimbangkan meliputi tujuan strategis, operasional, laporan keuangan dan kepatuhan. Dalam kaitan tersebut, perusahaan menetapkan risk Universitas Sumatera Utara appatite yang menunjukan seberapa besar risiko yang dapat diterima sebagai bahan pertimbangan dalam menentukan stratergi Perusahaan cost vs benefit. c. Pengidentifikasian kejadian Event Idntifikasi Dalam tahapan ini, satuan kerja mengidentifikasi kejadian-kejadian yang berpotensi memperngaruhi perusahaan dalam menjalankan strategi untuk mencapai tujuan. Satuan kerja dapat menggolongkan dan menghubungkan kejadian-kejadian yang trindentifikasi untuk mendapatkan pemahaman yang lebih baik mengenai hubungan antara kejadian-kejadian tersebut dan juga dapat mengidentifikasi peluang dan risiko dengan baik. d. Penilaian risiko Risk Assessment Dalam tahapan ini, satuan kerja melakukan penilaian terhadap risiko yang telah teridentifikasi pada tahap sebelumnya untuk mengetahui seberapa jauh pengaruhnya terhadap usha pencapian tjuuan perusahaan. Satuan kerja menggunkan metode kualitatif, kuantitatif atau kombinasi unutk menilai kejadia-kejadian dari sisi risiko bawaan inherent tisk dan risiko sisa risidual risk dengan mempertimbangkan kemungkinan likelihoode dan dampak impact dari risiko itu. e. Penanganan risiko Risk Response Dalam tahapan ini, Perusahaanmenetapkan bagai mana menangani risiko yang teridenifikasi. Adapun strategi didalam menangani risiko yaitu menghindari risiko, mengurangi risiko, membangi risiko dan menerima risiko. Dalam menentukan strategi, perusahaan harus mempertimbangkan Universitas Sumatera Utara pengaruh dari kemungkinan dan dampak risiko, toleransi risiko dan evaluasi terhadap biaya dan keuntungan dari strategi yang ada. f. Aktivitas pengendalian Control activties Dalam tahapan ini, perusahaan mengidentifikasi aktivitas-aktivtas pengendalian yagn dapat bersifat pencegahan preventive, penemuan detective, manual, komputerisasi dan pengendalian oleh manajemen. Aktivitsa pengendalian dapat dikategorikan berdasarkan tujuan-tujuan perusahan yaitu strategis, opersional, pelaporan dan kepatuhan. Aktivitas pengendalian dapat berupa pemberian persetujuan, kewenangan vertifikasi, rekonsiliasi, pengkajian kinerja operaional, kemaanan asset dan pemisahan tugas. g. Informasi dan komunikasi information communication Informasi yang didapatkan dari internal maupun eksternal akan dikumpulkan dan disebar luaskan dalam Perusahaan. Perusahaan menciptakan suatu alur komunikasi yang efektif didalam lingkungan Perusahaan dimana informasi mengalir dari manajemen atas kebawah, bawah keatas ataupun antar satuan kerja. h. Pemantauan monitoring Pemantauan dan peninjauan secara berkesinambungan perlu dilakukan beriringan dengan tahpan-tahapan manajemen risiko lainnya untuk mengetahui fungsi risiko masish berjalan efektif. Evaluasi awal yang telah dilakukan dapat menjadi tidak relevan kadarluarsa apa bila terdapat perubahan perubahan informasi dan lingkungan bisnis. Pemantauan dapar dilakukan dengan cara pemantauan yang Universitas Sumatera Utara berkelanjutanon goingmonotoring activities atau evaluasi terpisah separate evaluation.

2. Kriteria Penilaian Risiko

Penilaian risiko menggunakan kriteria-kriteria yang berdasarkan dampak risiko dan memungkinan terjadinya risiko yang kemudian menghasilkan Risk Rating yang dapat dipakai untuk menentukan prioritas penanganan risiko. a. Kriteria Dampak Risiko Tabel 3.1 Kriteria Dampak Risiko: Dampak Dampak Kategori ringan Ringanminor Moderatmoderate Beratmajor Fatalcatastrophic 1. Finansial IDR 10 miliyar IDR 10-15 miliyar IDR 50-200 miliyar IDR200 miliyar 2. Reputasi Dampak minimal terhadapatreputasi peruahaan Publisitasnegatif dimedia cetakelektronik skala regional Publisitas negatif dimedia cetakelektronik skala national • Publisitasnegatif pada headline dimedia cetakelektronik skala national • Publisitas negatif pada media 3. Hukum. Perundang- undangan, dan kebijakan internal perusahaan • Pelanggaran ringan yang memerlukan perhatian manajemen • Keterlambatan laporan ke instansi terkait • Pelanggaran berat namun dapat diatasi dalam kondisi normal • Teguranbenda dari regulator • Litigasi oleh pihak ke-3 • Pelanggaran serius yang mengakibatka n penyelidikan oleh regulator • Perijinanuntuk beberapa kegiatan Perusahaan tidak dapat diperoleh • Pelanggaran fatal yang mengakibatkan penyelidikan secara mendalam oleh regulator • Pencabutan ijin usahapenghentian operasi perusahaan 4. Lingkungan Kerusakan lokal dalam radius 1 km 2; weeks impact Kerusakan ringan dalam 1 kejadian radius 1-10 km 2 ; moonths impact Kerusakan berat dalam radius 10- 50 km 2 ; years impact Kerusakan fatal dalam radius 50 km 2 ; permanent impact 5. Keselamatan Terjadi near miss incident Memerlukan penanganan medis Mengakibatkan cacat tetap Mengakibatkan kematian Sumber : PT. PGN Tahun 2009 Universitas Sumatera Utara b. Kriteria Kemungkinan Terjadinya Risiko Kriteria kemungkinan terjadinya risiko ditetapkan sebagaimana pada Tabel 3.2. Tabel 3.2 Kriteria Kemungkinan Terjadinya Risiko Kemunkinan 1. Hampir pasti almost certain 90 akan terjadi dalam satu 1 tahun 2. Sering likely Antara 50-90 akan terjadi dalam waktu satu 1 tahun 3. Mungkin possible Antara 10-50 akan terjadi dalam waktu sati 1 tahun 4. Jarang rare 10 akan terjadi dalam aktu satu 1 tahun Sumber : PT. PGN Tahun 2009 c. Tingkat Prioritas Penanganan Risiko Berdasarkan dampak dan kemungkinan terjadinya suatu risiko, risk raingdapat dibagi menjadi “ekstrim”,”sedang”, dan “rendah” yang selanjutnya kriteria Risk Rating ditetapkan sebagaimana pada Tabel 3.3 dibawah ini: Tabel 3.3 Kriteria Risk Rating Prioritas penganan 1. Ekstrime a Keputusan penanganan risiko oleh direktu terkait dalam waktu 3 hari kerja setalh risiko terinedntifikasi dan disetujui. b Pemantauan pelaksanaan penanganan dilakuka setiap bulan. 2. Tinggi a Keputusan penangnan risiko oleh direktur terkaipejabat satu tingakta dibawah direktur dalam waktu 10 hari kerja setelah risiko terindentifikasi dan disetujuin. b Pemantuan pelaksanan penanganan dilakukan setiap 3 bulan. 3. Sedang a Keputusan penanganan risiko oleh pejabat satu tingkat dibawah Direktur terkait dalam 30 hari kerja setelah teridentifikasi dan disetujui. b Pemantauan pelaksanaan dilakukan setiap 3 bulan 4. Rendah Dimonitor melalui prosedur rutin Sumber : PT. PGN Tahun 2009 Universitas Sumatera Utara

D. Organisasi Manajemen Risiko

1. Prinsip-prinsip satuan kerja manajemen risiko Sesuai dengan kebutuhan, maka satuan kerja manajemen risiko harus memenuhi beberapa persyaratan prinsip sebagai berikut:; a. Bersih Clean, dimana harus terjadi perbedaan yang jelas antara satuan kerja manajemen risiko terhadap unit satuan kerja, maupun antara satuan satuan kerja manajemen risiko terhadap satuan pengawasan intern SPI. Satuan kerja manajemen risiko adalah subyek pengawasan unit audit auditee. Perbedaan ini dijelaskan sebagai berikut : 1 Satuan Kerja Manajemen risiko tidak berfungsi sebagai unit pengawasan oversight dan atau unit audit dalam tata kelolan Perusahaan, dan dengan demikian tidak berhak melakukan Risk-based Audit RBA. 2 Satuan Kerja Manajemen Risiko tidak berfungsi sebagai unit bisnis langsung, dengan demikian tidak berhubungan langsung dengan Pelanggan dan dengan Pihak ketiga lainnya, kecuali pada kondisi tertentu seperti penanganan pinjaman non-tunai yang macet lebih dari batas waktu risiko-risiko kritis apabila menutut adanya hubungan langsung dengan pihak ketiga termasuk Pelanggan; yang keduanya diatur mekanismenya oleh Direksi; 3 Satuan Kerja Manajemen Risiko, sebagai audtie, ikut bertanggung- jawab terhadap konsistensi dan akurasi pelaksana Sistem Manajemen Risiko yang diterapkan, dari waktu-ke-waktu. Universitas Sumatera Utara b. Ramping, efisiensi dan efektif Lean, dimana satuan Kerja Manajemen Risiko menghindarkan diri dari potensi menimbulkan internal yang tidak effisiensi, sember daya manusia yang tidak kompeten, dan adanya masalah lain yang dinilai depersepsikan akan memberikan beban tambahan bagi Perusahaan. 2. Peran dan Tanggung jawab Pihak-pihak yang relative terkait dalam penerapan manajemen risiko sihingga penerapannya dapat berjalan lebih efektif, antara lain meliputi: a. Komisaris, bertanggung jawab memberi pengawasan dan supervise terhadap manajemenrisiko Perusahaan dengan: 1 Meninjau dan memberikan masukan terhadap efektifitas manajemen risiko yang ditetapkan manajemen di Perusahaan; 2 Melakukan evaluasi dan memberi masukan terhadap risk appetite perusahaan; 3 Meninjau gambaran risiko Perusahaan dan membandingkannya risk appetite perusahaan; 4 Melakukan evaluasi terhadap risiko risiko yang segnifikan dan apakah manajemen telah menaggapinya dengan tepat. b. Direksi Manajemen Senior, mempunyai peranan dan tanggung jawab sebagai berikut: 1 Memegang tanggung jawab akuntabeldalam penanganan pengendalian risiko Perusahaan strategic risk serta menetapkan kebijakan manajemen risiko; Universitas Sumatera Utara 2 Memantau, membimbing dan memberikan arahan kepada manajemen dalam penerapan manajemen risiko serta menjamin kecukupan alat bantu, sistem dan sumber daya dalam keberhasilan pelaksana manajemen risiko; 3 Menetapkan dan mengkaji tujuan strategis, strategi, framework, visi dan misi manajemen risiko, struktur organisasi manajemen risiko, risk appetite, risk tolerance, dan budaya risiko serta pengalokasian sumber daya secara periodic; 4 Melakukan monitoring implementasi manajemen risiko dan memfasilitasi mitigasi risiko proses owner serta melakukan evaluasi atas kebijakan-kebijakan manajemen risiko; 5 Memastikan bahwa pelaksanaa framework manajemen risiko telah melalui proses audit intern yang independent, efektif, dan lengkap; c. Satuan Kerja Manajemen Risiko mempunyai peranan dan tanggung jawab sabagai berikut: 1 Menyusun pedoman kebijakan dan strategi Manajemen risiko yang komperhensif secara tertulis. Mengkaji dan memcerikan masukan kepada Direksi Manajemen Risiko terkait kebijakan dan strategi manajemen risiko sekurang-kurangnya satu kali dalam satu tahun atau dalam frekuensi yang lebih tinggi dengan mempetimbangkan perubahan faktor-faktor yang mempengaruhi aktivitas usaha perusahaan secara segnifikan. 2 Meningkatnya awareness kesadaran atau pemahaman terhadap proses manajemen risiko untuk memastikan bahwa aktivitas bisnis Perusahaan Universitas Sumatera Utara sejalan dengan strategi manajemen risiko secara keseluruhan melalui pelatihan yang memadai; 3 Memastikan bahwa Satuan Unit Kerja terlibat secara aktiff dan mendukung pengelolaan risiko yang sejalan dengan frameworak dan kebiajakan yang ditetapkan melalui koordinasi dan fasilitas proses manajemen risiko di setiap Satuan Unit Kerja; 4 Membangun sistem deteksi dini, system respon dan program mitigasi risiko untuk risiko-risiko kritis Perusahaan, berdasarkan kepada temuan risiko kritis critical risk yang ada; 5 Melakukan analisa dan menyelesaikan isu risiko yang tidak biasa dipecahkan pada tingkat Satuan Unit Kerja atau memerlukan otoritas Satuan Kerja Manajemen Risiko untuk penyelesaiannya dan melaporkannya kepada Direksi; 6 Memantau proses pelaporan mengenai hasil dari proses manajemen risiko dari setiap Satuan Unit Kerja; 7 Mengembangkan budaya manajemen risiko pada seluruh jenjang organisasi, anataralain meliputi komunikasi yang memadai tentang frameworkmanajemen risiko Perusahaan; d. Risk Owner mempunyai peranan dan tanggung jawab sebagai berikut: 1 Mengelola risiko-risiko yang berkaitan dengan tujuan SatuanUnit Kerjanya secara berkala. Tanggung jawab ini mencakup identiikasi, penilaian, penanganan, pemantauan, pengendalian danpelaporan risiko yang terkait dengan pencapaian tujan daru Suatu Unit Kerjanya dengan menerapkan teknik-teknik dan metodelogi manajemen risiko. Manajer Universitas Sumatera Utara Senior juga memastiakan kepatuhan terhadap kebiajakan manajemen risiko. 2 Menjaga agar tingkat risiko setelah dikendalikan residual risk selalu berada dibawah batas tolerasni risiko risk tolerance yang ditetapkan sebelumnya. Hal ini dapat dilakukan dengan memastikanpenerapan dan memantau status dari rencana penanganan risiko aktifitas pengendalian, serta melakukan koordinasi dengan pihak-pihak terkait sesuai dengan kebutuhan; 3 Memantau dan menyampaikan laporan profil risiko di Satuan unit kerja secara berkala kepada Satuan Kerja Manajemen Risiko untuk kemudian diteruskan kepada Direksi, termasuk didalamnya hasil pengkajian terhadap usulan aktivitas dan atau produk baru untuk membangun awareness dari Direksi; 4 Pada beberapa Satuan Unit Kerja dimana terdapat posisi middle-level manajemen dengan tanggung jawab yang dinilai cukup besar, maka posisi tersebut dapat menjalankan peran sebegai owner risk. e. Risk Champion Team tim task force manajemen risiko di setiap satuanunit kerja mempunyai peranan dan tanggung jawab sebagai berikut: 1 Menjalankan fungsi manajemen risiko dengan cara melakukan koordinasi, dan memfasilitsi kegiatan manajemen risiko identiikasi, penilaian, penanganan, aktivitas pengendalian mitigasi, komunikasi, dan pemantauan yang dilakukan oleh unit kerja risk owner. 2 Melakukan pemantauan atas besarnya biaya pengendalian risiko cost of risk yang dibuat oleh SatuanUnit Kerja dan menetapkan metode untuk Universitas Sumatera Utara pengukuran efisiensi dan effektifitas biayapengendalian risiko tersebut dibandingkan dengan hasil yang dicapai; 3 Dengan persetujuan dari owner risk, melaporkan pelaksanaan manajemen risiko disatuan unit kerjanya kepada Satuan Manajemen Risiko secara perisodik, untuk kemudian diteruskan kepada Direksi. 4 Dalam pelaksannanya, penugasan RCT bisa dilakukan oleh personel khusus yang merangkap dari tergantung dari beban pekerjaan dan kebutuhan organisasi. f. Satuan Pengawasan Internal SPI mempunyai peranan dan tanggung jawab sebagai berikut: 1 Dalam melaksanakan tugasnya sebagai pengawas internal Perusahaan, SPI melakukan fungsi audit terhadap seluruh komponen Perusahaan dengan menggunakan metode audit berbasis risiko Risk–based Audit berdasarkan hasillaporan dari Satuan Kerja Manajemen Risiko. 2 Melakukan evaluasi dan memberikan usulan perbaikan terhadap kecukupan dari proses manajemen risiko Perusahaan, termasuk didalamnya evaluasi terhadap kewajaran laporan keuangan, efektifitas dan efiensi operasi, dan kepatuhan terhadap hukum dan perundang- undangan. g. Eksternal auditor mempunyai peranan dan tanggung jawab sebagai berikut: 1 Memberikan pendapat yang independent kepada manajemen, Direksi, dan komisaaris perusahaan yang dapat memberikan kontribusi untuk perusahaan dalam pencapaian tujuan pelaporan keuangan eksternal, serta tujuan lainya; Universitas Sumatera Utara 2 Memberitahukan perusahaan atas penemuan audit, informasi analisa dan rekomendasi dan tindakan-tindakan yang diperlukan untuk mencapai tujuan yang telah ditetapkan. 3 Menyampaikan temuan-temuan terkait dengan kelemahan risiko manajemen dan pengendalian yang menjadi perhatian auditor dan memberikan rekomendasi perbaikan.

E. Implementasi Manajemen Risiko Perusahaan