PERBAN

Peraturan Badan Nomor per-13-1-01-ppatk-10-12 Tahun 2012 tentang PENYELENGGARAAN MANAJEMEN RISIKO

PERBAN Nomor per-13-1-01-ppatk-10-12 Tahun 2012

Konten ini bukan nasihat hukum. Selalu rujuk sumber resmi untuk kepastian hukum.

BAB I

KETENTUAN UMUM

Pasal 1

Dalam Peraturan ini, yang dimaksud dengan: 1. Pusat Pelaporan dan Analisis Transaksi yang selanjutnya disingkat dengan PPATK adalah lembaga yang bertugas mencegah dan memberantas tindak pidana pencucian uang sebagaimana dimaksud UNDANG-UNDANG Nomor 8 Tahun 2010 tentang Pencegahan dan Pemberantasan Tindak Pidana Pencucian Uang. 2. Manajemen Risiko adalah pengelolaan Risiko terintegrasi untuk mencapai tujuan PPATK. 3. Pimpinan Unit Organisasi adalah pejabat eselon I, eselon II, eselon III, dan eselon IV. 4. Organisasi adalah entitas yang dipimpin oleh Kepala PPATK, Wakil Kepala PPATK, pejabat eselon I, eselon II, eselon III, dan eselon IV. 5. Pemangku Kepentingan adalah pihak yang terkait dengan pelaksanaan tugas, fungsi, dan kewenangan PPATK termasuk lembaga pengawas dan pengatur, pihak pelapor sebagaimana dimaksud UNDANG-UNDANG Nomor 8 Tahun 2010 tentang Pencegahan dan Pemberantasan Tindak Pidana Pencucian Uang, serta penegak hukum. 6. Risiko adalah suatu kombinasi antara probabilitas terjadinya suatu peristiwa dan dampaknya baik yang bersifat negatif maupun positif dimana dalam Manajemen Risiko fokus utamanya berupa dampak negatif suatu perisitiwa. 7. Risiko Stratejik adalah Risiko kerugian suatu Organisasi terkait dengan pencapaian tujuan Organisasi jangka panjang baik dalam pengambilan keputusan startejik maupun implementasi yang tidak sesuai atas keputusan stratejik. 8. Risiko Keuangan adalah Risiko atas ketidakcukupan pendanaan dalam penganggaran dan likuiditas terkait dengan penyelenggaraan kegiatan Organisasi. 9. Risiko Operasional adalah Risiko atas kerugian akibat sistem monitoring atau pemantauan yang tidak memadai, kegagalan manajemen, pengendalian yang tidak berfungsi, kecurangan, kesalahan manusia, dan faktor atau kejadian internal atau eksternal. 10. Risiko Reputasi adalah Risiko kerugian akibat keterlibatan manajemen dalam pelanggaran terhadap moral dan etika serta ketidakpatuhan dan pelanggaran terhadap peraturan perundang-undangan sehingga publik memberikan opini negatif terhadap Organisasi. 11. Risiko Hukum adalah Risiko kerugian akibat permasalahan hukum atau regulasi, meliputi pemberlakuan UNDANG-UNDANG baru, perubahan atau amandemen UNDANG-UNDANG, dan risiko lain terkait hukum. 12. Ancaman adalah potensi suatu kondisi, kejadian atau rangkaian kejadian atau peristiwa suatu sumber Ancaman, baik disengaja maupun tidak disengaja dieksploitasi, untuk mengeksploitasi suatu Kerawanan tertentu. 13. Kerawanan adalah kelemahan dari suatu kondisi, peraturan perundang-undangan, sistem dan prosedur, rancang bangun, implementasi, dan pengendalian intern yang dapat terjadi secara tidak sengaja atau dieksploitasi secara sengaja sehingga dapat mengakibatkan Risiko kerugian. 14. Pengendalian Risiko adalah proses manajemen dalam seleksi atas opsi rekomendasi asesmen Risiko dan implementasinya dalam rangka memodifikasi Risiko. 15. Rencana Kontijensi adalah rencana aksi yang disusun untuk melimitasi dampak dari terjadinya Risiko jika rencana aksi mitigasi yang utama terbukti tidak terlaksana secara efektif. 16. Pemilik Risiko adalah unit organisasi atau individu yang mendapat penugasan untuk melaksanakan pengendalian Risiko dan bertanggung jawab dalam proses identifikasi, mitigasi, penelusuran pendekatan, dan tindakan mitigasi Risiko. 17. Pernyataan Ancaman adalah suatu deksripsi tentang definisi kondisi saat ini atau kemungkinan kondisi suatu Ancaman Risiko dan dampak yang tidak diinginkan dan disusun dalam format kondisi dan akibat atau dampak, yang harus merupakan fakta atau dapat dipersepsikan menjadi fakta, didasarkan atas kenyataan yang terjadi dan dapat diaplikasikan suatu tindakan. 18. Profil Risiko adalah deskripsi komprehensif tentang gambaran Risiko dan dinyatakan dalam bentuk Ancaman dan probabilitasnya, Kerawanan pengendalian dan dampaknya berdasarkan peringkat dan kecenderungan Risiko.

BAB III

KERANGKA KERJA MANAJEMEN RISIKO

Pasal 5

Koreksi

(1) Kerangka kerja Manajemen Risiko meliputi: a. komitmen Kepala, Wakil Kepala, dan Pimpinan Unit Organisasi; b. desain Manajemen Risiko; c. proses Manajemen Risiko; d. monitoring dan reviu kerangka kerja; dan e. penyempurnaan berkelanjutan. (2) Kerangka kerja Manajemen Risiko menghasilkan informasi mengenai Risiko pada setiap proses Organisasi. (3) Kerangka kerja Manajemen Risiko dilaporkan oleh Biro Sumber Daya Manusia dan Organisasi Tata Laksana kepada Kepala PPATK untuk digunakan sebagai salah satu dasar pertimbangan dalam pengambilan keputusan. (4) Kerangka kerja Manajemen Risiko harus ditatausahakan dan disimpan paling sedikit 5 (lima) tahun.

Pasal 6

Komitmen Kepala, Wakil Kepala, dan Pimpinan Unit Organisasi sebagaimana dimaksud dalam Pasal 5 ayat (1) huruf a meliputi mempromosikan, mengkomunikasikan, memantau implementasi, dan penyempurnaan berkelanjutan Manajemen Risiko.

Pasal 7

Desain Manajemen Risiko sebagaimana dimaksud dalam Pasal 5 ayat (1) huruf b meliputi: a. pemahaman tugas, fungsi dan wewenang PPATK; b. pemahaman terhadap lingkungan internal dan eksternal PPATK; c. kebijakan Manajemen Risiko; d. integrasi Manajemen Risiko pada proses manajemen; e. sumber daya; dan f. komunikasi dan mekanisme pelaporan Manajemen Risiko.

Pasal 37

(1) Manajemen Risiko harus dilakukan penyempurnaan berkelanjutan. (2) Pelaksanaan penyempurnaan berkelanjutan dilakukan oleh pengelola Risiko. (3) Pelaksanaan penyempurnaan berkelanjutan harus dilakukan berdasarkan pelaksanaan monitoring, reviu kerangka kerja Manajemen Risiko yang diberlakukan dan implementasinya, perubahan peraturan perundang-undangan, perubahan struktur organisasi, dan/atau hal lain yang berdampak strategis terhadap PPATK. (4) Pelaksanaan penyempurnaan berkelanjutan mencakup kebijakan, asas, sistem dan prosedur, metode, serta pelatihan peningkatan kapasitas kepada seluruh pegawai PPATK. (5) Pelaksanaan penyempurnaan berkelanjutan sebagaimana dimaksud harus didokumentasikan dan disosialisasikan kepada seluruh pegawai PPATK.

BAB 2

Ruang Lingkup

Pasal 9

Koreksi

(1) Proses Manajemen Risiko sebagaimana dimaksud dalam Pasal 5 ayat (1) huruf c meliputi: a. penetapan konteks Risiko; b. asesmen Risiko; dan c. Pengendalian Risiko. (2) Pada setiap proses Manajemen Risiko sebagaimana dimaksud pada ayat (1), harus melalui mekanisme: a. komunikasi dan konsultasi; dan b. monitoring dan reviu.

Pasal 10

Koreksi

Penetapan konteks Risiko sebagaimana dimaksud dalam Pasal 9 ayat (1) huruf a meliputi: a. penetapan konteks internal dan eksternal; b. penetapan konteks proses Manajemen Risiko; dan c. pengembangan kriteria Risiko.

Pasal 11

(1) Penetapan konteks internal sebagaimana dimaksud dalam Pasal 10 huruf a meliputi: a. struktur organisasi; b. sistem, prosedur, dan teknologi; c. sumber daya manusia; d. keuangan; e. kompetensi; f. arus dan aliran informasi; g. proses pengambilan keputusan; h. persepsi, nilai dan budaya Organisasi; dan i. rencana stratejik Organisasi. (2) Penetapan konteks eksternal sebagaimana dimaksud dalam Pasal 10 huruf a meliputi: a. politik; b. hukum dan regulasi; c. ekonomi dan sistem keuangan; d. budaya; e. hubungan dengan pemangku kepentingan; dan f. keanggotaan pada fora atau organisasi internasional.

Pasal 12

(1) Penetapan konteks proses Manajemen Risiko sebagaimana dimaksud dalam Pasal 10 huruf b dilaksanakan dalam bentuk penetapan tujuan, rencana stratejik, lingkup, dan parameter dari kegiatan PPATK. (2) Penetapan konteks proses Manajemen Risiko meliputi: a. penetapan tanggung jawab terhadap tugas, fungsi, dan wewenang; b. penetapan luasnya cakupan dan kompleksitas akitivitas Manajemen Risiko yang dilaksanakan, termasuk hal-hal yang bersifat inklusif dan eksklusif; c. penetapan tingkatan fungsi, kegiatan, proses, atau program dalam bentuk waktu dan lokasi; d. penetapan tujuan dan sasaran, fungsi, kegiatan, proses, atau program; e. penetapan hubungan antara kegiatan atau program tertentu dengan kegiatan atau program lainnya; f. penetapan metodologi asesmen Risiko; g. penetapan cara atau metode evaluasi kinerja pada Manajemen Risiko; h. identifikasi dan spesifikasi keputusan yang harus dibuat; dan i. identifikasi lingkup dan kerangka studi yang diperlukan, tingkatan dan luasnya, tujuan, dan sumber daya yang diperlukan.

Pasal 13

Pengembangan kriteria Risiko sebagaimana dimaksud dalam Pasal 10 huruf c harus mempertimbangkan faktor-faktor meliputi: a. probabilitas Risiko dan penentuan tingkatan Risiko; b. dampak Risiko; c. penentuan Risiko; d. toleransi Risiko; e. Risiko sisa; dan f. Pengendalian Risiko.

Pasal 14

(1) Probabilitas Risiko sebagaimana dimaksud dalam Pasal 13 huruf a harus ditentukan dengan mempertimbangkan faktor Ancaman dan Kerawanan. (2) Ancaman dan Kerawanan sebagaimana dimaksud pada ayat (1) harus dilakukan pengukuran dengan dikelompokkan berdasarkan peringkat. (3) Hasil pengukuran Ancaman dan Kerawanan sebagaimana dimaksud pada ayat (2) digunakan untuk menyusun matriks padanan yang menggambarkan hubungan antara peringkat Ancaman dan Kerawanan. (4) Hasil matriks padanan Ancaman dan Kerawanan sebagaimana dimaksud pada ayat (3) digunakan untuk penentuan probabilitas Risiko dikelompokkan berdasarkan peringkat.

Pasal 15

(1) Dampak Risiko sebagaimana dimaksud dalam Pasal 13 huruf b harus ditentukan dengan mempertimbangkan faktor: a. sifat dan jenis; b. informasi mengenai misi atau tujuan kegiatan; c. asesmen terhadap aset-aset penting; d. data penting; dan e. sensitivitas informasi. (2) Dampak Risiko harus dilakukan pengukuran dengan metode kuantitatif dan kualitatif. (3) Hasil pengukuran dampak Risiko sebagaimana dimaksud pada ayat (2) dikelompokkan berdasarkan peringkat.

Pasal 16

(1) Penentuan Risiko sebagaimana dimaksud dalam Pasal 13 huruf c harus dilakukan dalam rangka penilaian tingkat Risiko atas suatu kegiatan. (2) Penentuan Risiko dilakukan melalui pengukuran dengan cara menyusun suatu matriks tingkat Risiko dan dikelompokkan berdasarkan peringkat.

Pasal 17

(1) Toleransi Risiko sebagaimana dimaksud dalam Pasal 13 huruf d harus ditetapkan oleh Kepala, Wakil Kepala, dan Pimpinan Unit Organisasi sebagai pedoman bagi pengelola Risiko dalam membandingkan antara hasil pemeringkatan atas Risiko yang terjadi dengan toleransi Risiko. (2) Toleransi Risiko harus menunjukkan suatu tingkat atau kondisi dimana Risiko berada dalam rentang atau kisaran Risiko yang dapat diterima oleh Kepala, Wakil Kepala, dan Pimpinan Unit Organisasi.

Pasal 18

(1) Risiko sisa sebagaimana dimaksud dalam Pasal 13 huruf e digunakan untuk menganalisis perbedaan kriteria Risiko antara peringkat Risiko dan toleransi Risiko untuk mengetahui: a. potensi terjadinya Ancaman dalam bentuk eksploitasi Kerawanan serta sistem kendali yang ada; b. informasi sebagai dasar evaluasi untuk menentukan tindakan atau opsi rekomendasi yang diperlukan dalam rangka memitigasi atau mencegah terjadinya Risiko dan menentukan Risiko Sisa. (2) Risiko sisa harus menunjukkan Risiko yang terjadi sebelum, saat, atau setelah pelaksanaan pengendalian Risiko. (3) Risiko sisa diperoleh melalui estimasi atas tingkat Risiko sebelum dilakukan tindakan mitigasi Risiko dibandingkan tingkat Risiko pada saat dilakukan tindakan mitigasi Risiko maupun setelah perbaikan sistem kendali atas Kerawanan yang terjadi. (4) Hasil estimasi Risiko sisa dibandingkan dengan toleransi Risiko digunakan sebagai dasar pelaksanaan Pengendalian Risiko.

Pasal 19

(1) Pengendalian Risiko sebagaimana dimaksud dalam Pasal 13 huruf e dilaksanakan apabila Risiko memperoleh peringkat berdasarkan hasil evaluasi Risiko. (2) Pengendalian Risiko harus dilakukan untuk mengurangi tingkat Risiko sampai dengan toleransi Risiko yang telah ditetapkan. (3) Pengendalian Risiko dilaksanakan dalam bentuk rekomendasi dan alternatif solusi untuk meminimalkan Risiko dengan memperhatikan faktor: a. efektivitas opsi rekomendasi; b. peraturan perundang-undangan; c. kebijakan Organisasi; d. dampak operasional; dan e. keamanan dan keandalan pengendalian.

BAB 3

Penetapan Konteks Risiko

Pasal 10

Koreksi

Pasal 11

Koreksi

Pasal 12

Pasal 13

Pasal 14

Pasal 15

Pasal 16

Pasal 17

Pasal 18

Pasal 19

Pasal 20

Asesmen Risiko sebagaimana dimaksud Pasal 9 ayat (1) huruf b mencakup tahapan kegiatan terintegrasi meliputi: a. identifikasi Risiko; b. analisis Risiko; dan c. evaluasi Risiko.

Pasal 21

Identifikasi Risiko sebagaimana dimaksud dalam Pasal 20 huruf a meliputi: a. pemahaman yang memadai terhadap kondisi internal dan eksternal yang dapat mempengaruhi tujuan Organisasi baik yang bersifat stratejik maupun operasional; b. identifikasi Risiko yang relevan terhadap tujuan Organisasi baik yang bersifat stratejik maupun operasional; c. identifikasi konteks Risiko; d. identifikasi sumber Risiko, peristiwa atau rangkaian peristiwa, dan potensi dampak, termasuk Risiko yang berada di dalam maupun di luar pengendalian Organisasi; dan e. identifikasi Risiko jika menghentikan, menunda, atau tidak melanjutkan kegiatan.

Pasal 22

Ruang lingkup identifikasi Risiko sebagaimana dimaksud dalam Pasal 20 huruf a meliputi: a. identifikasi Ancaman; b. identifikasi Kerawanan; dan c. identifikasi pengendalian yang sedang dilaksanakan.

Pasal 23

(1) Identifikasi Ancaman sebagaimana dimaksud dalam Pasal 22 huruf a memerlukan input: a. data historis terjadinya Ancaman; b. data Ancaman yang berasal dari instansi berwenang; c. publikasi ilmiah; dan d. media masa. (2) Identifikasi Ancaman menghasilkan output dalam bentuk Pernyataan Ancaman menurut jenis Risiko. (3) Bentuk Pernyataan Ancaman sebagaimana dimaksud pada ayat (2) dikatagorikan menurut sumbernya sebagai berikut: a. Ancaman alam; b. Ancaman manusia; dan c. Ancaman lingkungan.

Pasal 24

(1) Identifikasi Kerawanan sebagaimana dimaksud dalam Pasal 22 huruf b memerlukan input: a. laporan asesmen Risiko periode sebelumnya; b. rekomendasi audit; c. klausula persyaratan untuk pelaksanaan kegiatan; dan d. hasil pengujian terhadap keandalan pengendalian intern suatu kegiatan. (2) Identifikasi Kerawanan sebagaimana dimaksud pada ayat (1) menghasilkan output dalam bentuk daftar potensi Kerawanan menurut jenis Risiko. (3) Potensi Kerawanan sebagaimana dimaksud pada ayat (2) harus dikaji secara berkelanjutan melalui: a. kuesioner; b. interviu lapangan; c. reviu dokumen; dan d. penggunaan alat otomatisasi scanning.

Pasal 25

(1) Identifikasi pengendalian yang sedang dilaksanakan sebagaimana dimaksud dalam Pasal 22 huruf c memerlukan input berupa Pengendalian Risiko yang sedang atau akan dilaksanakan. (2) Identifikasi pengendalian yang sedang dilaksanakan sebagaimana dimaksud pada ayat (1) menghasilkan output dalam bentuk daftar Pengendalian Risiko yang sedang dilaksanakan dan rencana Pengendalian Risiko yang akan diimplementasikan. (3) Identifikasi pengendalian yang sedang dilaksanakan sebagaimana dimaksud pada ayat (2) dilakukan menurut metode dan katagori pengendalian.

Pasal 26

(1) Analisis Risiko sebagaimana dimaksud dalam Pasal 20 huruf b diukur dengan menggunakan metode kualitatif dan/atau kuantitatif. (2) Hal yang perlu dipertimbangkan dalam melakukan analisis Risiko meliputi: a. sebab dan sumber Risiko; b. dampak Risiko yang bersifat negatif maupun positif; c. Pengendalian Risiko yang sedang dilaksanakan; d. probabilitas terjadinya dampak Risiko; e. tingkat keyakinan dalam estimasi Risiko; dan f. sensitivitas atas asumsi dan prasyarat analisis Risiko yang telah ditentukan.

Pasal 27

Analisis Risiko sebagaimana dimaksud dalam Pasal 20 huruf b meliputi tahapan: a. penentuan probabilitas Risiko; b. analisis dampak Risiko; dan c. penentuan Risiko.

Pasal 28

(1) Penentuan probabilitas Risiko sebagaimana dimaksud dalam Pasal 27 huruf a memerlukan input yang berasal dari tahapan identifikasi Risiko berupa: a. Pernyataan Ancaman; b. daftar potensi Kerawanan; dan c. daftar Pengendalian Risiko yang sedang dilaksanakan dan rencana Pengendalian Risiko yang akan diimplementasikan. (2) Penentuan probabilitas Risiko dilaksanakan melalui: a. analisis Ancaman berdasarkan motivasi Ancaman dan kemampuan Ancaman untuk mengeksploitasi Kerawanan; b. pemeringkatan atas potensi Ancaman; c. analisis Kerawanan yang ada terhadap Pengendalian Risiko yang sedang dilaksanakan dan potensi Kerawanan terhadap pengendalian yang akan diimplementasikan; d. pemeringkatan terhadap Kerawanan yang ada; dan e. penyusunan matriks padanan Ancaman dan Kerawanan serta pengelompokan berdasarkan peringkat. (3) Penentuan probabilitas Risiko menghasilkan output berupa peringkat dan probabilitas Risiko.

Pasal 29

(1) Analisis dampak Risiko sebagaimana dimaksud dalam Pasal 27 huruf b memerlukan input: a. jenis dan probabilitas Risiko, b. analisis dampak terhadap misi dan tujuan kegiatan dan/atau Organisasi; c. asesmen aset penting; d. informasi penting; dan e. sensitivitas data. (2) Analisis dampak Risiko dilaksanakan melalui: a. pelaksanaan analisis dampak dari Risiko yang telah diberi peringkat yang dihasilkan dari tahapan penentuan Risiko; dan b. pemeringkatan dan pembobotan nilai terhadap dampak Risiko dan mendeskripsikan dampak Risiko. (3) Analisis dampak Risiko menghasilkan output dalam bentuk dampak yang telah diberi peringkat dan pembobotan nilai.

Pasal 30

(1) Penentuan Risiko sebagaimana dimaksud dalam Pasal 27 huruf c dilaksanakan melalui: a. penyusunan matriks padanan antara Ancaman Risiko dan dampaknya dan memberikan peringkat Risiko berdasarkan hasil pada tahapan penentuan probabilitas Risiko dan analisis dampak Risiko; b. pendeskripsian peringkat Risiko dan dampaknya terhadap Organisasi seperti stratejik, operasional, aset, keuangan, hukum, perlindungan informasi, reputasi, dan lainnya; dan c. penentuan Risiko yang akan dipergunakan sebagai dasar pada tahapan evaluasi Risiko. (2) Penentuan Risiko dilakukan dengan menggunakan matriks pengukuran tingkat Risiko. (3) Hasil pengukuran sebagaimana dimaksud pada ayat (2) memuat deskripsi tingkat probabilitas Risiko yang berkaitan dengan sistem pengendalian dan tindakan yang diperlukan.

Pasal 31

BAB 4

Asesmen Risiko

Pasal 20

Koreksi

Asesmen Risiko sebagaimana dimaksud Pasal 9 ayat (1) huruf b mencakup tahapan kegiatan terintegrasi meliputi: a. identifikasi Risiko; b. analisis Risiko; dan c. evaluasi Risiko.

Pasal 21

Koreksi

Pasal 22

Ruang lingkup identifikasi Risiko sebagaimana dimaksud dalam Pasal 20 huruf a meliputi: a. identifikasi Ancaman; b. identifikasi Kerawanan; dan c. identifikasi pengendalian yang sedang dilaksanakan.

Pasal 23

Pasal 24

Pasal 25

Pasal 26

Pasal 27

Analisis Risiko sebagaimana dimaksud dalam Pasal 20 huruf b meliputi tahapan: a. penentuan probabilitas Risiko; b. analisis dampak Risiko; dan c. penentuan Risiko.

Pasal 28

Pasal 29

Pasal 30

Pasal 31

Pasal 32

BAB 5

Pengendalian Risiko

Pasal 32

Koreksi

(1) Pengendalian Risiko sebagaimana dimaksud dalam Pasal 9 ayat (1) huruf c dilakukan dalam bentuk memitigasi, menghindarkan, menunda, menerima, dan transfer Risiko, serta melakukan asesmen terhadap dampak Pengendalian Risiko sampai Risiko tersebut mencapai tingkat toleransi Risiko. (2) Pengendalian Risiko mencakup: a. penentuan atas opsi rekomendasi Pengendalian Risiko yang dihasilkan pada tahapan evaluasi Risiko; b. rencana tindak lanjut dan implementasi rekomendasi; dan c. asesmen terhadap pelaksanaan Pengendalian Risiko untuk mengetahui pencapaian tindak lanjut pelaksanaan Pengendalian Risiko terhadap tingkatan toleransi Risiko. (3) Pengendalian Risiko dilakukan dalam rangka mencapai: a. efektivitas dan efisiensi operasi; b. efektivitas pengendalian intern; dan c. kepatuhan terhadap peraturan perundang-undangan. (4) Pengendalian Risiko dilaksanakan melalui: a. pemilihan opsi rekomendasi Pengendalian Risiko yang merupakan output tahapan evaluasi Risiko; b. penyusunan rencana dan jadwal waktu implementasi Pengendalian Risiko baik untuk Risiko yang harus ditindak lanjuti segera maupun berdasarkan prioritas waktu tindak lanjut; c. komunikasi rencana Pengendalian Risiko dengan atasan langsung Pimpinan Unit Organisasi; d. persetujuan implementasi Pengendalian Risiko dari atasan langsung Pimpinan Unit Organisasi; e. penunjukan pejabat atau pegawai PPATK yang bertanggung jawab untuk pelaksanaan Pengendalian Risiko; f. penentuan dan pengoordinasian sumber daya yang diperlukan untuk pelaksanaan Pengendalian Risiko; g. implementasi Pengendalian Risiko; h. reviu dan evaluasi selama periode waktu Pengendalian Risiko diimplementasikan; i. penerapan Rencana Kontijensi jika pengendalian kunci tidak terlaksana secara efektif; dan j. pencatatan proses asesmen dan Pengendalian Risiko secara tertib dan akurat untuk digunakan sebagai bahan reviu, evaluasi, dan pelaporan (5) Pengendalian Risiko untuk seleksi atas opsi rekomendasi sebagaimana dimaksud pada ayat (2) huruf a berupa rekomendasi bersifat mutual eksklusif pada suatu kasus atau kegiatan tertentu, atau diberlakukannya rekomendasi pada semua kondisi. (6) Rekomendasi sebagaimana dimaksud pada ayat (5) harus mempertimbangkan cakupan: a. menghindari Risiko dengan MEMUTUSKAN tidak memulai atau melanjutkan kegiatan yang berisiko; b. mencari suatu peluang dengan MEMUTUSKAN untuk memulai atau melanjutkan suatu kegiatan yang menciptakan, menjaga, atau memelihara Risiko; c. mengubah probabilitas Risiko; d. mengubah dampak Risiko; e. menanggung Risiko bersama dengan pihak lainnya; dan f. menerima dan menanggung Risiko, baik melalui keputusan atau karena kegagalan.

BAB IV

PENGELOLAAN MANAJEMEN RISIKO

Pasal 38

Koreksi

(1) Pengelolaan Manajemen Risiko merupakan tanggung jawab semua pihak di lingkungan PPATK yang meliputi Kepala, Wakil Kepala, Pimpinan Unit Organisasi, dan pegawai PPATK. (2) Pengelolaan Manajemen Risiko dilaksanakan oleh pengelola Manajemen Risiko di lingkungan PPATK yang meliputi: a. komite Manajemen Risiko; b. penanggung jawab Manajemen Risiko; c. unit Pemilik Risiko; dan d. reviu independen.

Pasal 39

(1) Komite Manajemen Risiko sebagaimana dimaksud dalam Pasal 38 ayat (2) huruf a beranggotakan Deputi, Sekretaris Utama, dan Pejabat eselon II yang memimpin unit organisasi. (2) Komite Manajemen Risiko dipimpin oleh Sekretaris Utama. (3) Komite Manajemen Risiko memiliki tugas melakukan koordinasi dan pembinaan di bidang Manajemen Risiko serta mengusulkan rekomendasi yang meliputi: a. pembentukan kebijakan, strategi, dan metodologi Manajemen Risiko; b. pemeringkatan probabilitas Risiko, penentuan tingkatan Risiko, dampak Risiko, penentuan Risiko, dan toleransi Risiko; c. pengembangan Manajemen Risiko; d. komunikasi dengan Pemangku Kepentingan; e. pendelegasian wewenang; f. mekanisme dan format laporan penyelenggaraan Manajemen Risiko; g. komunikasi internal maupun eksternal; dan h. peningkatan kompetensi sumber daya manusia di bidang Manajemen Risiko. (4) Komite Manajemen Risiko menyelenggarakan rapat koordinasi Manajemen Risiko yang dilakukan secara berkala paling sedikit 1 (satu) kali dalam 6 (enam) bulan atau sewaktu-waktu apabila diperlukan. (5) Rapat koordinasi sebagaimana dimaksud pada ayat (4) harus ditatausahakan dan dilaporkan kepada Kepala PPATK. (6) Susunan keanggotaan komite Manajemen Risiko ditetapkan dalam Keputusan Kepala PPATK.

Pasal 40

(1) Penanggung jawab Manajemen Risiko sebagaimana dimaksud dalam Pasal 38 ayat (2) huruf b yaitu Deputi dan Sekretaris Utama. (2) Penanggung jawab Manajemen Risiko memiliki tugas sebagai berikut: a. MENETAPKAN kebijakan Manajemen Risiko pada unit organisasi binaannya; b. melaksanakan pembinaan dan pengawasan implementasi integrasi Manajemen Risiko pada tugas utama unit organisasi binaannya; c. MENETAPKAN akuntabilitas Manajemen Risiko; d. MENETAPKAN mekanisme komunikasi dan pelaporan unit Pemilik Risiko; dan e. melakukan koordinasi dengan komite Manajemen Risiko dan Biro Sumber Daya Manusia dan Organisasi Tata Laksana. (3) Penanggung jawab Manajemen Risiko berwenang: a. mengembangkan kebijakan dan implementasi kebijakan operasional Manajemen Risiko pada unit Organisasi; dan b. melakukan reviu, validasi, dan pemantauan proses Manajemen Risiko pada unit Pemilik Risiko. (4) Penanggung jawab Manajemen Risiko menyelenggarakan rapat koordinasi dengan unit Pemilik Risiko yang dilakukan secara berkala paling sedikit 1 (satu) kali dalam 3 (tiga) bulan atau sewaktu-waktu apabila diperlukan.

Pasal 41

Pasal 42

(1) Reviu independen sebagaimana dimaksud dalam Pasal 38 ayat (2) huruf d harus dilakukan untuk memastikan efektivitas Manajemen Risiko. (2) Reviu independen dilaksanakan oleh Inspektorat dan dilaporkan secara tertulis kepada Kepala PPATK. (3) Reviu independen dilakukan secara berkala 1 (satu) kali dalam 1 (satu) tahun atau sewaktu-waktu apabila diperlukan. (4) Dalam hal diperlukan keahlian tertentu, Kepala PPATK dapat menunjuk pihak ketiga yang independen dan kompeten untuk melakukan reviu independen terhadap Manajemen Risiko.

BAB Keempat

Unit Pemilik Risiko

Pasal 41

Koreksi

(1) Unit Pemilik Risiko sebagaimana dimaksud dalam Pasal 38 ayat (2) huruf c adalah unit organisasi yang dipimpin oleh pejabat eselon II di lingkungan PPATK. (2) Pengelola Risiko pada unit Pemilik Risiko meliputi: a. Pemilik Risiko; dan b. manajer Risiko. (3) Pemilik Risiko sebagaimana dimaksud pada ayat (2) huruf a yaitu pejabat eselon II yang merupakan Pimpinan unit Pemilik Risiko. (4) Pemilik Risiko sebagaimana dimaksud pada ayat (2) huruf a memiliki tugas: a. melakukan pembinaan dan pengawasan untuk memastikan bahwa proses Manajemen Risiko telah dilaksanakan sesuai dengan kebijakan, sistem dan prosedur yang telah ditetapkan; b. melaksanakan pengendalian Risiko, terutama jika ada Risiko yang berpengaruh signifikan terhadap unit Organisasi serta implementasi Rencana Kontijensi; c. menyampaikan usulan indikator kinerja manajemen Risiko; d. menyampaikan laporan penyelenggaraan Manajemen Risiko unit Pemilik Risiko kepada penanggung jawab Manajemen Risiko; dan e. melakukan koordinasi dengan komite Manajemen Risiko dan Biro Sumber Daya Manusia dan Organisasi Tata Laksana. (5) Pemilik Risiko sebagaimana dimaksud pada ayat (2) huruf a berwenang: a. MENETAPKAN Profil Risiko; dan b. menunjuk manajer Risiko. (6) Manajer Risiko sebagaimana dimaksud pada ayat (2) huruf b adalah pejabat eselon III atau yang setara, atau pejabat fungsional yang ditunjuk oleh Pemilik Risiko. (7) Manajer Risiko sebagaimana dimaksud pada ayat (2) huruf b memiliki tugas: a. melakukan koordinasi pengelolaan Risiko di unit Pemilik Risiko yang mencakup identifikasi, analisis, evaluasi, dan Pengendalian Risiko; b. memantau penerapan program Manajemen Risiko di unit masing- masing; c. menyusun laporan penyelenggaraan Manajemen Risiko; dan d. menatausahakan dan menyimpan dokumen penyelenggaraan Manajemen Risiko. (8) Pengelola Risiko pada unit Pemilik Risiko sebagaimana dimaksud pada ayat (2) menyelenggarakan rapat koordinasi yang dilakukan secara berkala paling sedikit 1 (satu) kali dalam 3 (tiga) bulan atau sewaktu- waktu apabila diperlukan.

(1) Evaluasi Risiko sebagaimana dimaksud dalam Pasal 20 huruf c dilaksanakan dengan cara membandingkan penentuan tingkat Risiko dengan toleransi Risiko yang telah ditentukan. (2) Evaluasi Risiko dilaksanakan melalui: a. perolehan output dari tahapan penentuan probabilitas Risiko, analisis dampak, dan penentuan Risiko; b. reviu pemenuhan persyaratan pada masing-masing tahapan; c. pembandingan output penentuan Risiko dengan tingkat Toleransi Risiko yang telah ditetapkan terlebih dahulu; d. reviu tingkat kecenderungan Risiko yang terukur terutama terhadap jenis dan karakteristik Risiko yang relatif sama dengan Risiko yang terjadi periode sebelumnya atau Risiko dimaksud bersifat terjadi berulang; e. reviu implementasi pengendalian terhadap Risiko berulang; f. penyusunan opsi atau skenario rekomendasi pengendalian Risiko; g. penyusunan Rencana Kontijensi atas Risiko yang berpengaruh signifikan terhadap Organisasi; h. pelaksanaan analisis biaya dan manfaat atas masing-masing opsi pengendalian; i. penyusunan jadwal waktu pemenuhan tindak lanjut Pengendalian Risiko; j. penentuan Risiko Sisa terhadap Risiko setelah Pengendalian Risiko yang direncanakan untuk diimplementasikan; k. penyusunan prioritas pengendalian dan usulan penyempurnaan pengendalian berikut deskripsinya; dan l. komunikasi dengan atasan langsung Pimpinan Unit Organisasi eselon II berkoordinasi dengan Biro Sumber Daya Manusia dan Organisasi Tata Laksana untuk estimasi dan pelaksanaan tindak lanjut atas hasil asesmen Risiko. (3) Evaluasi Risiko menghasilkan bahan pengambilan keputusan berupa: a. Risiko yang ada dapat diterima; atau b. Risiko yang ada harus dilakukan pengendalian. (4) Dalam hal tingkat Risiko yang dihasilkan tidak memenuhi tingkat toleransi Risiko yang telah ditetapkan, maka Risiko yang ada harus dilakukan Pengendalian sebagaimana dimaksud ayat (3) huruf b. (5) Dalam hal suatu Risiko harus dilakukan Pengendalian sebagaimana dimaksud pada ayat (4), maka Pimpinan Unit Organisasi eselon II harus: a. menyusun opsi rekomendasi Pengendalian Risiko dengan didasarkan pada analisis biaya–manfaat terhadap rekomendasi yang disampaikan guna menghasilkan rekomendasi yang efektif dan efisien; b. menyusun opsi rekomendasi berupa opsi keputusan untuk tidak melakukan pengendalian dalam bentuk apapun atau menjaga dan memelihara Pengendalian Risiko yang ada; dan c. menyusun jadwal waktu pelaksanaan tindak lanjut sesuai dengan tingkat Risiko.

Peraturan Badan Nomor per-13-1-01-ppatk-10-12 Tahun 2012 tentang PENYELENGGARAAN MANAJEMEN RISIKO

BAB I

Pasal 1

BAB I

Pasal 1

BAB II

Pasal 2

Pasal 3

Pasal 4

BAB III

Pasal 5

Pasal 6

Pasal 7

Pasal 37

BAB Kesatu

Pasal 5

BAB Kedua

Pasal 6

BAB Ketiga

Pasal 7

BAB Keempat

Pasal 8

BAB 1

Pasal 8

Pasal 9

BAB 2

Pasal 9

Pasal 10

Pasal 11

Pasal 12

Pasal 13

Pasal 14

Pasal 15

Pasal 16

Pasal 17

Pasal 18

Pasal 19

BAB 3

Pasal 10

Pasal 11

Pasal 12

Pasal 13

Pasal 14

Pasal 15

Pasal 16

Pasal 17

Pasal 18

Pasal 19

Pasal 20

Pasal 21

Pasal 22

Pasal 23

Pasal 24

Pasal 25

Pasal 26

Pasal 27

Pasal 28

Pasal 29

Pasal 30

Pasal 31

BAB 4

Pasal 20

Pasal 21

Pasal 22

Pasal 23

Pasal 24

Pasal 25

Pasal 26

Pasal 27

Pasal 28

Pasal 29

Pasal 30

Pasal 31

Pasal 32

BAB 5

Pasal 32

BAB Kelima

Pasal 33

BAB 1

Pasal 33