Pedoman Manajemen Resiko PT Kawasan Industri Gresik

I. PENDAHULUAN
Berdasarkan Peraturan Menteri BUMN No.1/M-MBU/2011 tanggal 1 November 2011, manajemen risiko merupakan bagian yang tidak terpisahkan dari penerapan Good Corporate Governance (GCG). Pengelolaan risiko yang dilakukan dengan tepat dan optimal akan meningkatkan kepastian Perusahaan dalam mencapai sasaran, serta memberikan keyakinan bahwa Perusahaan dapat merealisasikan peluang bisnis yang ada dengan meminimalisir potensi risiko dan kerugian yang mungkin terjadi. Oleh karena itu, manajemen memiliki komitmen untuk menerapkan

Manajemen Risiko (MR) secara berkesinambungan di seluruh proses pengelolaan Perusahaan dan Proyek yang akan dan sedang dijalankan Perusahaan. Manajemen berupaya untuk membangun lingkungan internal yang dapat mendukung terciptanya budaya risiko (risk culture) guna tercapainya tujuan Perusahaan serta peningkatan nilai tambah bagi pemangku kepentingan (Stakeholders).

Kebijakan Manajemen Risiko Perusahaan merupakan dasar bagi penyusunan pedoman/prosedur serta pengambilan keputusan yang terkait dengan pengelolaan risiko Perusahaan. Pengelolaan risiko Perusahaan didasarkan pada proses bisnis yang terdiri proses inti dan proses penunjang.

TUJUAN DAN RUANG LINGKUP KEBIJAKAN
II.1. Tujuan Kebijakan Manajemen Risiko Perusahaan adalah :
1. Memberikan suatu kerangka kerja (framework) untuk memenuhi praktik manajemen risiko sebagai bagian yang tidak terpisahkan dari kerangka tata kelola Perusahaan yang baik (Good Corporate Governance).
2. Mengembangkan dan mengawal implementasi manajemen risiko untuk mencapai tujuan dan sasaran Perusahaan.
3. Mendorong penerapan manajemen risiko secara terus menerus (continuous improvement) serta meningkatkan nilai tambah kepada pemangku kepentingan.
II.2. Ruang Lingkup Kebijakan Manajemen Risiko :
1. kebijakan ini diterapkan pada seluruh proses pengelolaan Perusahaan dan proyek yang akan dan sedang dikerjakan, serta seluruh unit kerja yang mempunyai dan bertanggung jawab atas pengelolaan risiko serta pihak-pihak dan individu yang bekerja untuk dan/atau atas nama Perusahaan baik secara langsung maupun tidak langsung yang berpengaruh terhadap pencapaian tujuan dan sasaran Perusahaan.
2. Semua pihak dalam Perusahaan bertanggung jawab untuk memastikan bahwa seluruh risiko telah diidentifikasi dan dikelola dengan tepat sesuai dengan kebijakan yang telah ditetapkan sehingga manajemen risiko dapat dilaksanakan, dikelola serta membudaya di seluruh organisasi Perusahaan.

II. PENGERTIAN & ISTILAH
1. Perusahaan adalah PT. Kawasan Industri Gresik.
2. Budaya Risiko merupakan cara pandang Perusahaan untuk menyadari risiko pada seluruh aktivitas.
3. Black Swan Event adalah efek negatif dari peristiwa yang tidak terduga (yang sangat tidak mungkin terjadi) dengan dampak yang menyebabkan kerugian sangat tinggi dan dapat mengancam keberlangsungan perusahaan (Katastropik).
4. Blind Spot adalah potensi kegagalan untuk mengidentifikasi risiko-risiko yang ada dengan pendekatan dan teknik yang dimiliki atau risiko-risiko baru yang mungkin terjadi namun belum pernah dihadapi sebelumnya.
5. Dampak Risiko adalah konsekuensi yang ditimbulkan oleh adanya risiko.
6. Kebijakan Manajemen Risiko merupakan komitmen Perusahaan yang digunakan sebagai dasar penerapan manajemen risiko, mencakup Tujuan dan Ruang Lingkup Kebijakan, Pengertian Istilah, Prinsip Manajemen Risiko, Kerangka Kerja Manajemen Risiko, dan Proses Manajemen Risiko.
7. Kerangka Kerja Manajemen Risiko (Risk Management Framework) adalah kerangka yang mengintegrasikan seluruh proses manajemen risiko dalam tata kelola risiko perusahaan secara keseluruhan, strategi dan perencanaan manajemen risiko, proses pelaporan, prinsip-prinsip, dan budaya risiko.
8. Key Control Indicator (KCI) adalah factor-faktor yang digunakan untuk mengukur efektivitas pengendalian (Internal Control) dalam mendukung pencapaian KPI.
9. Key Perfomance Indicator (KPI) adalah faktor-faktor kunci yang mempengaruhi pencapaian dan kinerja Perusahaan.
10. Key Risk Indicator (KRI) adalah faktor-faktor yang dapat digunakan untuk mengestimasi terjadinya peristiwa-peristiwa yang dapat mempengaruhi pencapaian KPI, standar-standar atau rencana mutu.
11. Manajemen Risiko adalah suatu proses dan aktivitas yang terpadu, terstruktur dan membudaya yang diarahkan untuk merealisasikan peluang potensial dan sekaligus mengelola dampak yang merugikan.
12. Manajemen Risiko Perusahaan adalah proses manajemen risiko yang diterapkan pada seluruh kegiatan, proses, dan prosedur yang digunakan di seluruh Unit Kerja Perusahaan serta pihak-pihak yang bekerja untuk dan atas nama Perusahaan, baik secara langsung maupun tidak langsung yang berpengaruh terhadap pencapain tujuan dan sasaran Perusahaan.
13. Panduan Penerapan Proses Manajemen Risiko merupakan penjabaran yang lebih lanjut dari Kebijakan Manajemen Risiko dan memberikan penjelasan yang lebih rinci atas proses pengelolaan risiko Perusahaan yang berisi struktur organisasi manajemen risiko, wewenang dan tanggung jawab serta proses manajemen risiko.
14. Prisnsip Manejemen Risiko adalah kaidah atau norma dasar yang dianut Perusahaan dalam mengembangkan, menerapkan, mengelola dan mengevaluasi penerapan manajemen risiko.
15. Proses Manejemen Risiko adalah penerapan sistematis dari kebijakan manajemen, prosedur dan praktik untuk melakukan komunikasi, penetapan konteks, identifikasi risiko, analisa risiko, evaluasi risiko, penanganan risiko, serta monitoring dan tinjauan atas penerapan manajemen risiko.
16. Risk Appetite adalah batasan tingkat risiko maksimal yang dapat diterima jika tujuan dan sasaran Perusahaan tidak tercapai.
17. Risk Attitude adalah pendekatan yang digunakan oleh perusahaan untuk menilai risiko dan selanjutnya memutuskan apakah akan mengambi, mempertahankan, atau menghindari risiko. Istilah ini digunakan secara bergantian dengan risk appetite.
18. Risiko adalah dampak/konsekuensi berupa deviasi dari yang diharapkan baik positif maupun negatif terhadap pencapaian sasaran yang diakibatkan oleh adanya ketidakpastian.
19. Risiko Perusahaan adalah risiko dengan tingkat risiko yang tinggi dan dapat mempengaruhi pencapaian sasaran Perusahaan.
20. Risiko Unit Kerja adalah risiko yang melekat pada setiap proses dan aktivitas yang dilakukan oleh setiap unit kerja termasuk proyek.
21. Risk Maturity Level adalah tingkat penerapan manajemen risiko Perusahaan.
22. Sumber Risiko adalah sesuatu yang baik secara sendiri maupun bersama-sama berpotensi menimbulkan risiko.

III. PRINSIP MANAJEMEN RISIKO
Kebijakan ini dijiwai oleh prinsip-prinsip manajemen risiko yang merupakan filosofi yang harus dipatuhi dalam penerapan manajemen risiko. Prinsip-prinsip yang dimaksud adalah bahwa manajemen risiko harus:
1. Diarahkan pada penciptaan dan perlindungan nilai :
Manajemen Risiko harus memberikan kontribusi terhadap pencapaian sasaran-sasaran perusahaan melalui proses tinjauan dan pengembangan berkelanjutan terhadap proses dan system di dalam perusahaan.
2. Menjadi bagian yang tidak terpisahkan dari proses bisnis perusahaan :
Seluruh proses baik yang bersifat strategic maupun operasional memiliki elemen-elemen proses manajemen risiko di dalamnya.
3. Dipertimbangkan dalam pengambilan keputusan:
Manajemen Risiko memberikan informasi, opsi/alternatif, prioritas, dan tindakan yang paling tepat dalam proses pengambilan keputusan.
4. Secara eksplisit mengidentifikasi dan menangani berbagai ketidakpastian yang dihadapi perusahaan:
Dengan mengidentifikasi berbagai potensi risiko, perusahaan dapat mengembangkan berbagai langkah pengendalian dan penanganan yang tepat untuk mengawal keberahsilan dan mencegah kegagalan perusahaan mencapai sasaran-sasarannya.
5. Sistematis, terstruktur, dan tepat waktu:
Proses manajemen risiko harus diterapkan secara konsisten di seluruh perusahaan agar efisien, konsistensi, dan keandalan hasilnya dapat diwujudkan.
6. Didasarkan pada informasi andal yang dapat diperoleh:
Adalah penting untuk mempertimbangkan semua informasi relevan yang ada dan menyadari adanya kemungkinan keterbatasan informasi dan bagaimana pengaruhnya terhadap hasil dari proses manajemen risiko.
7. Disesuaikan dengan kondisi atau konteks internal dan eksternal perusahaan:
Kerangka kerja manajemen risiko harus senantia ditinjau dan dimodifikasi kembali sesuai dinamika internal dan eksternal perusahaan.
8. Mempertimbangkan factor manusia dan budaya:
Proses manajemen risiko perlu selalu mengkaji kontribusi/pengaruh dari faktor manusia dan budaya terhadap pencapaian sasaran-sasaran perusahaan.
9. Bersifat transparan dan inklusif:
Manajemen Risiko perlu selalu dikomunikasikan dan dikonsultasikan dengan para pemangku kepentingan utama perusahaan baik internal maupun eksternal.
10. Dinamis, interaktif, dan responsif terhadap perubahan:
Proses manajemen risiko perusahaan perlu bersifat fleksibel, mengidentifikasi risiko-risiko baru yang mungin terjadi.
11. Memfasilitasi pengembangan berkelanjutan dan peningkatan kapabilitas perusahaan:
Manajemen risiko mendorong pengembangan dan peningkatan kapabilitas perusahaan melalui proses asesmen teradap keandalan pengendalian internal dan perbaikan yang perlu dilakukan.

IV. KERANGKA KERJA MANAJEMEN RISIKO
Perusahaan menetapkan Kebijakan Manajemen Risiko sebagai komponen yang tak terpisahkan dari Kebijakan Perusahaan di dalam Sistem Manajemen Perusahaan untuk memenuhi prinsip-prinsip tata kelola Perusahaan yang baik (Good Corporate Governance). Kebijakan Manajemen Risiko digunakan sebagai dasar dan acuan dalam penerapan dan pengelolaan risiko, yang didasarkan pada kerangka kerja manajemen risiko (sesuai ISO 31000 : 2009 Risk Management Principles and Guidelines) sebagai berikut:

Kerangka Manajemen Risiko
Penjelasan kerangka kerja di atas adalah bahwa manajemen risiko di perusahaan mencakup proses strategis dan proses taktis. Komponen-komponen pada proses strategis secara berurutan adalah sebagai berikut:
1. Komitmen dan Mandat;
2. Komunikasi dan Latihan;
3. Struktur dan Akuntabilitas;
4. System Informasi Manajemen;
5. Tinjauan dan Pengembangan;
Adapun komponen-komponen proses taktis manajemen risiko secara berurutan adalah sebagai berikut:
1. Komunikasi dan Konsultasi;
2. Penetapan Konteks;
3. Asesmen Risiko: Identifikasi, Analisis, dan Evaluasi Risiko;
4. Penanganan Risiko; dan
5. Pemantauan dan Tinjauan.
Penjelasan lebih terperinci untuk setiap komponen dijabarkan sebagai berikut:

A. Komitmen dan Mandat
Dalam rangka mewujudkan komitmen terhadap manajemen risiko, maka Perusahaan akan:
1. Menjadikan manajemen risiko sebagai bagian yang terintegrasi dan membudaya dalam praktik bisnis dan pengambilan keputusan Perusahaan sehingga secara berkesinambungan mampu mendukung tercapainya sasaran Perusahaan melalui pengelolaan risiko.
2. Melakukan monitoring secara aktif atas kondisi lingkungan internal dan eksternal Perusahaan dengan melakukan identifikasi dan analisis terhadap potensi risiko serta penanganannya sesuai dengan batas risiko yang dapat diterima Perusahaan (risk tolerance).
3. Melakukan konsultasi dan komunikasi secara proaktif dan efektif mengenai penerapan manajemen risiko yang dilakukan Perusahaan.

Strategi Penerapan Manajemen Risiko
Strategi yang dilakukan Perusahaan untuk menerapkan manajemen risiko secara efektif adalah sebagai berikut:
1. Membentuk unit/fungsi Pengelola GCG dan Manajemen Risiko yang memantau penerapan manajemen risiko di dalam Perusahaan dan melaporkan secara langsung kepada Direksi.
2. Membangun system manajemen risiko yang handal dan terintegrasi untuk meminimalkan semua risiko yang mungkin timbul.
3. Menyusun Panduan Penerapan Proses Manajemen Risiko sebagai penjabaran lebih lanjut dari Kebijakan Manajemen Risiko yang memberikan penjelasan yang lebih rinci atas proses pengelolaan risiko mulai dari tahap komunikasi dan konsultasi hingga pemantauan dan tinjauan.
4. Melakukan sosialisasi manajemen risiko secara berkesinambungan agar tercipta budaya risiko bagi seluruh pegawai/karyawan.
5. Mengimplementasikan pengelolaan risiko agar tujuan dan sasaran perusahaan tercapai.
6. Melakukan penyempurnaan terhadap prosedur seluruh proses bisnis dengan memperhatikan faktor risiko dan pengendalian internal sehingga dapat mengindari potensi risiko yang dapat merugikan Perusahaan.
7. Melakukan koordinasi dan melaporkan hasil evaluasi penerapan manajemen risiko secara berkala.
Pola Penerapan Berjenjang
Penerapan dan pengelolaan risiko Perusahaan dilakukan pada:
1. Risiko Unit Kerja, yaitu pengelolaan risiko yang dilakukan pada setiap aktivitas yang dilakukan oleh setiap unit kerja termasuk proyek.
2. Risiko Perusahaan, yaitu pengelolaan risiko dengan tingkat risiko tinggi dan dapat mempengaruhi pencapaian tujuan dan sasaran perusahaan.
Penerapan dan pengelolaan risiko Perusahaan dilakukan dengan menggunakan pola pengelolaan risiko yang dilakukan melalui beberapa tahap berikut :
a. Mengidentifikasi potensi risiko di unit kerja serta menyusunnya menjadi risiko tingkat Departemen.
b. Mengelompokkan risiko Departemen menurut proses bisnis Perusahaan.
c. Mengerucutkan risiko Departemen menjadi risiko Perusahaan dengan menggunakan kriteria tertentu (untuk tingkat risiko TR ≥9) dan menggabungkan risiko beserta prioritasnya.
Rencana dan Proses Manajemen Risiko
Secara teratur sedikitnya setahun sekali, Pengurus Perusahaan (Direksi) melalui unit/fungsi pengelola GCG dan Manajemen Risiko menyetujui dan memantau Rencana Kerja penyusunan risk register dan profil risiko untuk tahun berikutnya.
Pelaksanaan rencana kerja tersebut diterapkan dalam proses manajemen risiko di unit-unit kerja dengan difasilitasi oleh unit/fungsi pengelola GCG dan Manajemen Risiko perusahaan.
Assurance Plan
Pelaksanaan Rencana Kerja dan penerapan proses manajemen risiko perlu dipantau dan ditinjau secara teratur sedikitnya setahun sekali oleh risk control (SPI) perusahaan.
Untuk itu, rencana pemantauan dan tinjauan (assurance plan) terhadap pelaksanaan Rencana Kerja dan penerapan proses manajemen risiko perlu disusun dan menjadi bagian integral proses audit oleh fungsi Internal Audit.
Risk Appetite/ Risk Attitude
Perusahaan menetapkan risk appetite sebagai acuan dalam menentukan opsi atau pilihan yang akan diambil dalam pengelolaan risiko dengan menetapkan batasan tingkat risiko maksimal yang dapat diterima jika tujuan dan sasaran Perusahaan tidak tercapai.
Risk Appetitude Perusahaan terdiri dari 3 hal, yaitu:
1. Kriteria Risiko
Diperlukan untuk melakukan pengukuran terhadap risiko-risiko yang telah terindentifikasi. Kriteria yang digunakan dalam pengukuran tingkat risiko merupakan kriteria untuk menentukan nilai kemungkinan (likelihood) dan dampak yang ditimbulkan (consequences).
Kriteria nilai kemungkinan (likelihood) meliputi kriteria kemungkinan secara kualitatif, semi kuaitatif, dan kemungkinan berdasarkan frekuensi keterjadian. Kriteria dampak (consequences) meliputi dampak keuangan, operasioanal, sasaran Perusahaan, citra Perusahaan, hukum, lingkungan, dan dampak keselamatan.
Adapun kriteria risiko yang digunakan Perusahaan adalah sebagaimana terdapat dalam Panduan Penerapan Proses Manajemen Risiko Perusahaan.

2. Tingkat Risiko
Merupakan hasil peniaian risiko yang dilakukan dengan mnggunakan Kriteria Risiko yang telah ditetapkan Perusahaan.
Nilai Tingkat Risiko diperoleh dengan mengalikan nilai kemungkinan (likelihood) dengan nilai dampak (consequences).
Dengan diperolehnya nilai Tingkat Risiko maka akan diketahui risiko-risiko yang memerlukan perhatian dan penanganan risiko lebih lanjut.

3. Risk Tolerance
Perusahaan menetapkan risk tolerance sebagai batas tingkat maksimal yang dapat diterima jika tujuan dan sasaran Perusahaan tidak tercapai.
Perusahaan mentapkan risk tolerance sebagi berikut.
 Risiko yang mempunyai nilai Tingkat Risiko (TR≥9) ditetapkan sebagai risiko yang membutuhkan penanganan risiko lebih lanjut di tingkat Perusahaan.
 Risiko yang mempunyai nilai Tingkat Risiko (TR) 5≤TR<9 dilakukan pemantauan atau monitoring secara berkala dengan dilakukan penanganan risiko (mitigasi) di tingkat unit kerja masing-masing.
 Risiko yang mempunyai nilai Tingkat Risiko (TR) <5 dilakukan pemantauan atau monitoring secara berkala dengan melakukan pengendalian internal di tingkat unit kerja masing-masing.

B. Komunikasi Risiko dan Latihan
Perusahaan mengkomunikasikan profil risiko secara periodik kepada pemangku kepentingan sesuai kebutuhan. Perusahaan menerapkan analisis pemangku kepentingan dan strategi komunikasi yang tepat untuk memastikan bahwa tidak ada pemangku kepentingan utama yang tertinggal atau sasaran komunikasi tidak tercapai. Pemanfaatan berbagai media/sarana komunikasi secara optimum dilakukan untuk membangun kesadaran, dukungan, dan kerjasama dari para pemangku kepentingan.

C. Peran dan Tanggung Jawab
Peran dan tanggungjawab terkait penerapan manajemen risiko Perusahaan adalah sebagai berikut:

Peran, Tugas, dan Tanggung Jawab Penerapan Manajemen Risiko
Peran, tugas dan tanggung jawab penerapan manajemen risiko sebagaimana tercermin dalam gambar di atas adalah:
a. Risk Sponsor (Direksi)
• Menetapkan kebijakan manajemen risiko;
• Merumuskan, memelihara, dan meninjau penerapan manajemen risiko secara periodik;
• Memberikan arahan stratejik secara efektif;
• Melakukan management review terhadap penerapan manajemen risiko di perusahaan;
• Memastikan bahwa penerapan manajemen risiko berjalan efektif;
• Mengkomunikasikan dan melaporkan proses penerapan manajemen risiko kepada Dewan Komisaris.

b. Risk Manager (Unit/fungsi pengelola GCG & MR) :
• Mengkoordinasikan penetapan konteks risiko;
• Meningkatakan kesadaran akan manfaat penerapan manajemen risiko;
• Memfalitasi kegiatan-kegiatan penerapan manajemen risiko;
• Mengintegrasikan penerapan manajemen risiko lintas fungsi;
• Mengkoordinasikan pengelolaan Risiko Perusahaan dan risiko operasional yang berdampak signifikan bagi Perusahaan dengan risk owner;
• Melakukan evaluasi penerapan Risk Maturity Level (RML) bersama Internal Audit (Risk Control/Audit);
• Melaporkan dan mengkomunikasikan secara periodik penerapan manajemen risiko kepada direksi;
• Memberikan saran kepada Direksi dan Kepala Departemen yang melaksanakan manajemen risiko yang menjadi tanggung jawabnya;
• Memelihara dan memastikan manajemen risiko diterapkan secara konsisten dan efektif.
• Memfalitasi kegiatan-kegiatan penerapan manajemen risiko di unit kerja;
• Melakukan monitoring atas penerapan proses manajemen risiko di unit kerja;
• Sebagai counterpart dalam penerapan manajemen risiko;
• Mensosialisasikan penerapan manajemen risiko secara efektif;
• Memfalisitasi pengembangan kompetensi Risk Officer (para Manajer dan staff)
• Meninjau dan mengusulkan penyempurnaan kerangka kerja dan proses manajemen risiko perusahaan.

c. Risk Control (SPI)
• Melakukan evaluasi penerapan Risk Maturity Level (RML) bersama Risk Manager;
• Melakukan pemantauan pengendalian internal (internal control) dan rencana penanganan risiko pada level unit kerja hingga korporasi;
• Melakukan audit berbasis risiko dalam perencanaan dan pelaksanaan audit;

d. Risk Coordinator (Para Manajer)
• Mengkoordinir dan bertanggung jawab terhadap penerapan manajemen risiko secara konsisten dan efektif terhadap pencapaian sasaran dan tujuan Perusahaan di Departemen dan unit-unit kerja di bawahannya ;
• Mengkomunikasikan penerapan Manajemen Risiko kepada Risk Manager (Unit/Fungsi Pengelola GCG dan MR);
• Melakukan pemantauan (monitoring) dan tinjauan (review) atas proses manajemen risiko di Departemen dan unit kerja jajarannya;
• Memberikan saran dan usulan atas penanganan risiko yang lebih efektif.

e. Risk Officer (Staff)
• Melakukan risk assessment yang meliputi identifikasi risiko, analisis risiko, dan evaluasi risiko;
• Melakukan penanganan terhadap risiko yang menjadi tanggung jawab di jajaran unit kerjanya;
• Melakukan pemantauan (monitoring) dan tinjauan atas penerapan manajemen risiko serta melakukan analisis potensi terjadinya risiko baru;
• Mengkomunikasikan penerapan manajemen risiko kepada Manajer di Departemennya;
• Mendokumentasikan dan menjaga data pengelolaan risiko.

f. Risk Owner (Para Manajer dan Staff)
• Menerapkan manajemen risiko secara efektif terhadap pencapaian sasaran dan tujuan Perusahaan di unit kerjanya;
• Melakukan risk assessment yang meliputi identifikasi risiko, analisis risiko, dan evaluasi risiko.
• Melakukan penanganan terhadap risiko yang menjadi tanggung jawab unit kerjanya;
• Melakukan pemantauan (monitoring) dan tinjauan atas penerapan manajemen risiko serta melakukan analisis potensi terjadinya risiko baru;
• Mengkomunikasikan hasil penerapan manajemen risiko kepada Risk Officer;
• Mendokumentasikan dan mengelola informasi manajemen risiko.

D. Sistem Informasi Manajemen
Dalam rangka mewujudkan penerapan manajemen risiko secara terpadu/terintegrasi dengan proses bisnis perusahaan, maka sistem informasi manajemen harus mencakup sistem informasi terkait manajemen risiko, antara lain risk register, rencana tindak lanjut, dan laporan profil risiko.

E. Tinjauan dan Pengembangan Berkesinambungan
Sistem dan efektivitas manajemen risiko perusahaan harus secara teratur dan berkala ditinjau dan disempurnakan sesuai dengan dinamika dan kebutuhan Perusahaan. Langkah-langkah yang perlu dilakukan mencakup: pemantauan perkembangan penerapan rencana manajemen risiko, evaluasi Risk Maturity Level, benchmarking, dan tata kelola pelaporan manajemen risiko.

V. PROSES MANAJEMEN RISIKO

Proses Manajemen Risiko Perusahaan berbasis pada ISO 31000:2009 Risk Management Principles and Guidelines terdiri dari tujuh tahapan, dan masing-masing tahapan terdiri dari beberapa kegiatan seperti terdapat dalam gamber berikut:

Proses Manajemen Risiko

1. Tahap Komunikasi dan Konsultasi
Proses yang dilakukan untuk merencanakan, mengkomunikasikan dan mengelola proses manajemen risiko yang sedang berjalan.
2. Tahap Penetapan Konteks
Proses untuk mendefinisikan parameter dasar dalam pengelolaan risiko dengan memberikan pemahaman mengenai lingkungan internal & eksternal dalam penerapan manajemen risiko.
3. Tahap Identifikasi Risiko
Proses sistematis untuk menjaring setiap risiko yang berpotensi menghambat atau mendukung pencapaian tujuan dan sasaran Perusahaan.

4. Tahap Analisis Risiko
Proses peniaian risiko yang dilakukan untuk memastikan bahwa semua risiko telah dinilai kemungkinan (likelihood) dan konsekuensinya (consequences).
5. Tahap Evaluasi Risiko
Proses yang dilakukan untuk membandingkan tingkat risiko dengan batas risiko yang dapat ditoleransi Perusahaan (risk tolerance) sehingga diketahui risiko-risiko yang memerlukan penanganan lebih lanjut.
6. Tahap Penanganan Risiko
Proses untuk menentukan opsi penanganan risiko yang paling tepat, efektif, efisien, dan dapat diimplementasikan.
7. Tahap Pemantauan dan Tinjauan Risiko
Proses yang digunakan untuk melakukan tinjauan atas pengelolaan risiko, evaluasi efektivitas penanganan risiko, dan pemantauan terhadap rencana penerapan manajemen risiko.

VI. PENUTUP
Agar Kebijakan Manajemen Risiko ini dapat dipahami oleh seluruh personil Perusahaan, maka Kebijakan Manajemen Risiko Perusahaan dikomunikasikan kepada seluruh pegawai/karyawan. Dengan ditetapkannya Kebijakan Manajemen Risiko ini, maka dapat dijadikan dasar bagi semua pihak untuk selalu melaksanakan tugas dan tanggung jawabnya dengan berorientasi kepada pengelolaan risiko secara tepat dan optimal guna mencapai tujuan Perusahaan.