Penerimaan Risiko Formal
OperasiPernyataan Kontrol
Organisasi telah menerapkan proses formal untuk penerimaan risiko yang diukur, dilacak, dan dilaporkan.
Deskripsi
Penerimaan risiko adalah keputusan yang disengaja untuk mempertahankan risiko tertentu tanpa penanganan lebih lanjut, biasanya karena biaya mitigasi melebihi dampak potensial, atau karena risiko tersebut berada dalam selera risiko yang dinyatakan organisasi. Proses penerimaan risiko formal memastikan bahwa keputusan-keputusan ini dibuat oleh individu dengan wewenang yang tepat, didasarkan pada pemahaman lengkap tentang risiko, serta didokumentasikan, dilacak, dan dilaporkan kepada badan tata kelola. Tanpa proses formal, penerimaan risiko dapat menjadi hasil bawaan dari kelambanan, bukan keputusan yang sadar dan terinformasi.
Aktivitas Implementasi Utama
- 1 Mendefinisikan proses penerimaan risiko formal termasuk persyaratan pengajuan, analisis yang diperlukan, tingkat wewenang persetujuan berdasarkan tingkat keparahan risiko residual, dan standar dokumentasi
- 2 Mewajibkan penerimaan risiko mencakup penilaian risiko lengkap, justifikasi penerimaan, kontrol kompensasi (jika ada), dan tanggal tinjauan atau kedaluwarsa yang ditetapkan
- 3 Memastikan wewenang penerimaan risiko diberikan kepada individu yang sepadan dengan besarnya risiko yang diterima (risiko lebih tinggi memerlukan wewenang lebih tinggi)
- 4 Memelihara daftar penerimaan risiko yang melacak semua risiko yang diterima, tanggal tinjauannya, dan kondisi atau kontrol kompensasi apa pun
- 5 Melaporkan penerimaan risiko kepada badan tata kelola, termasuk metrik tentang volume, tingkat risiko, usia, dan penerimaan yang telah melampaui tanggal tinjauan
Contoh Bukti
- Dokumen kebijakan atau prosedur penerimaan risiko yang mendefinisikan proses, tingkat wewenang, dan persyaratan dokumentasi
- Formulir penerimaan risiko yang telah diselesaikan menunjukkan analisis risiko, justifikasi, kontrol kompensasi, dan tanda tangan persetujuan
- Daftar penerimaan risiko yang menunjukkan semua penerimaan saat ini dengan tanggal tinjauan dan status
- Pelaporan tata kelola yang menunjukkan metrik penerimaan risiko (volume, tingkat risiko, usia, tinjauan yang terlambat)
- Bukti tinjauan penerimaan risiko dan keputusan untuk memperbarui, meremediasi, atau mengeskalasi
Tingkat Kematangan
Risiko diterima secara implisit melalui kelambanan atau kurangnya kesadaran. Tidak ada proses penerimaan formal. Risiko yang diterima tidak dilacak atau ditinjau.
Proses penerimaan risiko formal telah ditetapkan dan diikuti. Penerimaan didokumentasikan, disetujui oleh wewenang yang tepat, dan dilacak dalam daftar dengan tanggal tinjauan. Pelaporan berkala kepada badan tata kelola dilakukan.
Penerimaan risiko dipantau secara terus-menerus terhadap perubahan tingkat risiko atau konteks. Peringatan otomatis memberi tahu pemangku kepentingan tentang tanggal tinjauan yang mendekat. Tren penerimaan dianalisis untuk mengidentifikasi masalah sistemik. Proses terintegrasi dengan manajemen risiko perusahaan.
Templat Dokumen
Persyaratan Bukti Lihat semua bukti
| Jenis | Item Bukti | Frekuensi | Level |
|---|---|---|---|
| Dokumen | Kebijakan atau prosedur penerimaan risiko yang mendefinisikan proses, tingkat wewenang, dan standar dokumentasi | Ditinjau setiap tahun | Wajib |
| Catatan | Formulir penerimaan risiko yang telah diselesaikan dengan analisis, justifikasi, kontrol kompensasi, dan persetujuan | Setiap penerimaan | Wajib |
| Catatan | Daftar Penerimaan Risiko yang menunjukkan semua penerimaan saat ini dengan tanggal tinjauan dan status | Dipelihara secara berkelanjutan | Wajib |
| Catatan | Pelaporan tata kelola yang menunjukkan metrik penerimaan (volume, tingkat risiko, usia, tinjauan yang terlambat) | Setiap kuartal | Wajib |
| Catatan | Catatan tinjauan penerimaan risiko yang menunjukkan keputusan pembaruan, remediasi, atau eskalasi | Setiap tanggal tinjauan | Wajib |
| Catatan | Bukti bahwa wewenang penerimaan selaras dengan tingkat risiko residual sesuai matriks wewenang | Setiap penerimaan | Diharapkan |