Peraturan Badan Nomor per-13-1-01-ppatk-10-12 Tahun 2012 tentang PENYELENGGARAAN MANAJEMEN RISIKO

Dalam Peraturan ini, yang dimaksud dengan:

1. Pusat Pelaporan dan Analisis Transaksi yang selanjutnya disingkat dengan PPATK adalah lembaga yang bertugas mencegah dan memberantas tindak pidana pencucian uang sebagaimana dimaksud UNDANG-UNDANG Nomor 8 Tahun 2010 tentang Pencegahan dan Pemberantasan Tindak Pidana Pencucian Uang.

2. Manajemen Risiko adalah pengelolaan Risiko terintegrasi untuk mencapai tujuan PPATK.
3. Pimpinan Unit Organisasi adalah pejabat eselon I, eselon II, eselon III, dan eselon IV.
4. Organisasi adalah entitas yang dipimpin oleh Kepala PPATK, Wakil Kepala PPATK, pejabat eselon I, eselon II, eselon III, dan eselon IV.
5. Pemangku Kepentingan adalah pihak yang terkait dengan pelaksanaan tugas, fungsi, dan kewenangan PPATK termasuk lembaga pengawas dan pengatur, pihak pelapor sebagaimana dimaksud UNDANG-UNDANG Nomor 8 Tahun 2010 tentang Pencegahan dan Pemberantasan Tindak Pidana Pencucian Uang, serta penegak hukum.
6. Risiko adalah suatu kombinasi antara probabilitas terjadinya suatu peristiwa dan dampaknya baik yang bersifat negatif maupun positif dimana dalam Manajemen Risiko fokus utamanya berupa dampak negatif suatu perisitiwa.
7. Risiko Stratejik adalah Risiko kerugian suatu Organisasi terkait dengan pencapaian tujuan Organisasi jangka panjang baik dalam pengambilan keputusan startejik maupun implementasi yang tidak sesuai atas keputusan stratejik.
8. Risiko Keuangan adalah Risiko atas ketidakcukupan pendanaan dalam penganggaran dan likuiditas terkait dengan penyelenggaraan kegiatan Organisasi.
9. Risiko Operasional adalah Risiko atas kerugian akibat sistem monitoring atau pemantauan yang tidak memadai, kegagalan manajemen, pengendalian yang tidak berfungsi, kecurangan, kesalahan manusia, dan faktor atau kejadian internal atau eksternal.
10. Risiko Reputasi adalah Risiko kerugian akibat keterlibatan manajemen dalam pelanggaran terhadap moral dan etika serta ketidakpatuhan dan pelanggaran terhadap peraturan perundang-undangan sehingga publik memberikan opini negatif terhadap Organisasi.
11. Risiko Hukum adalah Risiko kerugian akibat permasalahan hukum atau regulasi, meliputi pemberlakuan UNDANG-UNDANG baru, perubahan atau amandemen UNDANG-UNDANG, dan risiko lain terkait hukum.
12. Ancaman adalah potensi suatu kondisi, kejadian atau rangkaian kejadian atau peristiwa suatu sumber Ancaman, baik disengaja maupun tidak disengaja dieksploitasi, untuk mengeksploitasi suatu Kerawanan tertentu.
13. Kerawanan adalah kelemahan dari suatu kondisi, peraturan perundang-undangan, sistem dan prosedur, rancang bangun,

implementasi, dan pengendalian intern yang dapat terjadi secara tidak sengaja atau dieksploitasi secara sengaja sehingga dapat mengakibatkan Risiko kerugian.
14. Pengendalian Risiko adalah proses manajemen dalam seleksi atas opsi rekomendasi asesmen Risiko dan implementasinya dalam rangka memodifikasi Risiko.
15. Rencana Kontijensi adalah rencana aksi yang disusun untuk melimitasi dampak dari terjadinya Risiko jika rencana aksi mitigasi yang utama terbukti tidak terlaksana secara efektif.
16. Pemilik Risiko adalah unit organisasi atau individu yang mendapat penugasan untuk melaksanakan pengendalian Risiko dan bertanggung jawab dalam proses identifikasi, mitigasi, penelusuran pendekatan, dan tindakan mitigasi Risiko.
17. Pernyataan Ancaman adalah suatu deksripsi tentang definisi kondisi saat ini atau kemungkinan kondisi suatu Ancaman Risiko dan dampak yang tidak diinginkan dan disusun dalam format kondisi dan akibat atau dampak, yang harus merupakan fakta atau dapat dipersepsikan menjadi fakta, didasarkan atas kenyataan yang terjadi dan dapat diaplikasikan suatu tindakan.
18. Profil Risiko adalah deskripsi komprehensif tentang gambaran Risiko dan dinyatakan dalam bentuk Ancaman dan probabilitasnya, Kerawanan pengendalian dan dampaknya berdasarkan peringkat dan kecenderungan Risiko.

Pelaksanaan Manajemen Risiko harus berdasarkan asas meliputi:
a. kesadaran;
b. akuntabilitas;
c. transparansi dan dinamis;
d. etika;
e. demokratis;
f. asesmen Risiko dan reasesmen; dan
g. terstruktur dan terintegrasi secara sistematis.

Penyelenggaraan Manajemen Risiko dimaksudkan untuk memberikan acuan bagi Kepala, Wakil Kepala, Pimpinan Unit Organisasi, dan Pegawai

serta Pemangku Kepentingan dalam melaksanakan Manajemen Risiko secara komprehensif dan terpadu sehingga terjadi peningkatan terhadap Profil Risiko PPATK untuk menciptakan dan memberikan kontribusi nilai tambah dalam rangka memaksimalkan nilai ekonomi dan manfaat organisasi melalui penyediaan layanan prima.

Tujuan Penyelenggaraan Manajemen Risiko meliputi:
a. memberikan arahan berkenaan dengan perencanaan, pengelolaan, dan implementasi kebijakan Manajemen Risiko;
b. menyediakan kerangka kerja yang memungkinkan kegiatan masa mendatang dilaksanakan secara konsisten dan mampu dikendalikan;
c. meningkatkan kualitas dalam pengambilan keputusan, perencanaan, dan prioritas secara komprehensif dan terstruktur berkaitan dengan pelaksanaan tugas dan fungsi organisasi, volatilitas, peluang, Ancaman, dan Kerawanan suatu kegiatan;
d. memberikan kontribusi dalam alokasi dan penggunaan sumber daya yang lebih efisien dalam pengelolaan organisasi;
e. mengurangi volatilitas kegiatan yang bukan merupakan tugas dan fungsi organisasi;
f. melindungi dan meningkatkan nilai aset dan citra organisasi;
g. mengembangkan dan mendukung sumber daya manusia dan organisasi berbasis pengetahuan;
h. melaksanakan optimalisasi dan efesiensi kegiatan operasional; dan
i. mendorong pelaksanaan manajemen secara proaktif guna meningkatkan efektivitas good public governance, pengendalian intern, serta kinerja Kepala, Wakil Kepala, Pimpinan Unit Organisasi, dan pegawai PPATK.

(1) Kerangka kerja Manajemen Risiko meliputi:
a. komitmen Kepala, Wakil Kepala, dan Pimpinan Unit Organisasi;
b. desain Manajemen Risiko;
c. proses Manajemen Risiko;
d. monitoring dan reviu kerangka kerja; dan
e. penyempurnaan berkelanjutan.

(2) Kerangka kerja Manajemen Risiko menghasilkan informasi mengenai Risiko pada setiap proses Organisasi.
(3) Kerangka kerja Manajemen Risiko dilaporkan oleh Biro Sumber Daya Manusia dan Organisasi Tata Laksana kepada Kepala PPATK untuk digunakan sebagai salah satu dasar pertimbangan dalam pengambilan keputusan.
(4) Kerangka kerja Manajemen Risiko harus ditatausahakan dan disimpan paling sedikit 5 (lima) tahun.

Komitmen Kepala, Wakil Kepala, dan Pimpinan Unit Organisasi sebagaimana dimaksud dalam Pasal 5 ayat (1) huruf a meliputi mempromosikan, mengkomunikasikan, memantau implementasi, dan penyempurnaan berkelanjutan Manajemen Risiko.

Desain Manajemen Risiko sebagaimana dimaksud dalam Pasal 5 ayat (1) huruf b meliputi:
a. pemahaman tugas, fungsi dan wewenang PPATK;
b. pemahaman terhadap lingkungan internal dan eksternal PPATK;
c. kebijakan Manajemen Risiko;
d. integrasi Manajemen Risiko pada proses manajemen;
e. sumber daya; dan
f. komunikasi dan mekanisme pelaporan Manajemen Risiko.

Jenis Risiko dalam proses Manajemen Risiko meliputi:
a. Risiko Stratejik;
b. Risiko Keuangan;
c. Risiko Operasional;
d. Risiko Reputasi; dan
e. Risiko Hukum.

(1) Proses Manajemen Risiko sebagaimana dimaksud dalam Pasal 5 ayat
(1) huruf c meliputi:
a. penetapan konteks Risiko;
b. asesmen Risiko; dan
c. Pengendalian Risiko.
(2) Pada setiap proses Manajemen Risiko sebagaimana dimaksud pada ayat (1), harus melalui mekanisme:
a. komunikasi dan konsultasi; dan
b. monitoring dan reviu.

Penetapan konteks Risiko sebagaimana dimaksud dalam Pasal 9 ayat (1) huruf a meliputi:
a. penetapan konteks internal dan eksternal;
b. penetapan konteks proses Manajemen Risiko; dan
c. pengembangan kriteria Risiko.

(1) Penetapan konteks internal sebagaimana dimaksud dalam Pasal 10 huruf a meliputi:
a. struktur organisasi;
b. sistem, prosedur, dan teknologi;
c. sumber daya manusia;
d. keuangan;
e. kompetensi;
f. arus dan aliran informasi;
g. proses pengambilan keputusan;
h. persepsi, nilai dan budaya Organisasi; dan
i. rencana stratejik Organisasi.

(2) Penetapan konteks eksternal sebagaimana dimaksud dalam Pasal 10 huruf a meliputi:
a. politik;
b. hukum dan regulasi;
c. ekonomi dan sistem keuangan;
d. budaya;
e. hubungan dengan pemangku kepentingan; dan
f. keanggotaan pada fora atau organisasi internasional.

(1) Penetapan konteks proses Manajemen Risiko sebagaimana dimaksud dalam Pasal 10 huruf b dilaksanakan dalam bentuk penetapan tujuan, rencana stratejik, lingkup, dan parameter dari kegiatan PPATK.
(2) Penetapan konteks proses Manajemen Risiko meliputi:
a. penetapan tanggung jawab terhadap tugas, fungsi, dan wewenang;
b. penetapan luasnya cakupan dan kompleksitas akitivitas Manajemen Risiko yang dilaksanakan, termasuk hal-hal yang bersifat inklusif dan eksklusif;
c. penetapan tingkatan fungsi, kegiatan, proses, atau program dalam bentuk waktu dan lokasi;
d. penetapan tujuan dan sasaran, fungsi, kegiatan, proses, atau program;
e. penetapan hubungan antara kegiatan atau program tertentu dengan kegiatan atau program lainnya;
f. penetapan metodologi asesmen Risiko;
g. penetapan cara atau metode evaluasi kinerja pada Manajemen Risiko;
h. identifikasi dan spesifikasi keputusan yang harus dibuat; dan
i. identifikasi lingkup dan kerangka studi yang diperlukan, tingkatan dan luasnya, tujuan, dan sumber daya yang diperlukan.

Pengembangan kriteria Risiko sebagaimana dimaksud dalam Pasal 10 huruf c harus mempertimbangkan faktor-faktor meliputi:
a. probabilitas Risiko dan penentuan tingkatan Risiko;
b. dampak Risiko;
c. penentuan Risiko;
d. toleransi Risiko;
e. Risiko sisa; dan
f. Pengendalian Risiko.

(1) Probabilitas Risiko sebagaimana dimaksud dalam Pasal 13 huruf a harus ditentukan dengan mempertimbangkan faktor Ancaman dan Kerawanan.
(2) Ancaman dan Kerawanan sebagaimana dimaksud pada ayat (1) harus dilakukan pengukuran dengan dikelompokkan berdasarkan peringkat.
(3) Hasil pengukuran Ancaman dan Kerawanan sebagaimana dimaksud pada ayat (2) digunakan untuk menyusun matriks padanan yang menggambarkan hubungan antara peringkat Ancaman dan Kerawanan.
(4) Hasil matriks padanan Ancaman dan Kerawanan sebagaimana dimaksud pada ayat (3) digunakan untuk penentuan probabilitas Risiko dikelompokkan berdasarkan peringkat.

(1) Dampak Risiko sebagaimana dimaksud dalam Pasal 13 huruf b harus ditentukan dengan mempertimbangkan faktor:
a. sifat dan jenis;
b. informasi mengenai misi atau tujuan kegiatan;
c. asesmen terhadap aset-aset penting;
d. data penting; dan
e. sensitivitas informasi.
(2) Dampak Risiko harus dilakukan pengukuran dengan metode kuantitatif dan kualitatif.
(3) Hasil pengukuran dampak Risiko sebagaimana dimaksud pada ayat
(2) dikelompokkan berdasarkan peringkat.

(1) Penentuan Risiko sebagaimana dimaksud dalam Pasal 13 huruf c harus dilakukan dalam rangka penilaian tingkat Risiko atas suatu kegiatan.
(2) Penentuan Risiko dilakukan melalui pengukuran dengan cara menyusun suatu matriks tingkat Risiko dan dikelompokkan berdasarkan peringkat.

(1) Toleransi Risiko sebagaimana dimaksud dalam Pasal 13 huruf d harus ditetapkan oleh Kepala, Wakil Kepala, dan Pimpinan Unit Organisasi sebagai pedoman bagi pengelola Risiko dalam membandingkan antara hasil pemeringkatan atas Risiko yang terjadi dengan toleransi Risiko.

(2) Toleransi Risiko harus menunjukkan suatu tingkat atau kondisi dimana Risiko berada dalam rentang atau kisaran Risiko yang dapat diterima oleh Kepala, Wakil Kepala, dan Pimpinan Unit Organisasi.

(1) Risiko sisa sebagaimana dimaksud dalam Pasal 13 huruf e digunakan untuk menganalisis perbedaan kriteria Risiko antara peringkat Risiko dan toleransi Risiko untuk mengetahui:
a. potensi terjadinya Ancaman dalam bentuk eksploitasi Kerawanan serta sistem kendali yang ada;
b. informasi sebagai dasar evaluasi untuk menentukan tindakan atau opsi rekomendasi yang diperlukan dalam rangka memitigasi atau mencegah terjadinya Risiko dan menentukan Risiko Sisa.
(2) Risiko sisa harus menunjukkan Risiko yang terjadi sebelum, saat, atau setelah pelaksanaan pengendalian Risiko.
(3) Risiko sisa diperoleh melalui estimasi atas tingkat Risiko sebelum dilakukan tindakan mitigasi Risiko dibandingkan tingkat Risiko pada saat dilakukan tindakan mitigasi Risiko maupun setelah perbaikan sistem kendali atas Kerawanan yang terjadi.
(4) Hasil estimasi Risiko sisa dibandingkan dengan toleransi Risiko digunakan sebagai dasar pelaksanaan Pengendalian Risiko.

(1) Pengendalian Risiko sebagaimana dimaksud dalam Pasal 13 huruf e dilaksanakan apabila Risiko memperoleh peringkat berdasarkan hasil evaluasi Risiko.
(2) Pengendalian Risiko harus dilakukan untuk mengurangi tingkat Risiko sampai dengan toleransi Risiko yang telah ditetapkan.
(3) Pengendalian Risiko dilaksanakan dalam bentuk rekomendasi dan alternatif solusi untuk meminimalkan Risiko dengan memperhatikan faktor:
a. efektivitas opsi rekomendasi;
b. peraturan perundang-undangan;
c. kebijakan Organisasi;
d. dampak operasional; dan
e. keamanan dan keandalan pengendalian.

Asesmen Risiko sebagaimana dimaksud Pasal 9 ayat (1) huruf b mencakup tahapan kegiatan terintegrasi meliputi:

a. identifikasi Risiko;
b. analisis Risiko; dan
c. evaluasi Risiko.

Identifikasi Risiko sebagaimana dimaksud dalam Pasal 20 huruf a meliputi:
a. pemahaman yang memadai terhadap kondisi internal dan eksternal yang dapat mempengaruhi tujuan Organisasi baik yang bersifat stratejik maupun operasional;
b. identifikasi Risiko yang relevan terhadap tujuan Organisasi baik yang bersifat stratejik maupun operasional;
c. identifikasi konteks Risiko;
d. identifikasi sumber Risiko, peristiwa atau rangkaian peristiwa, dan potensi dampak, termasuk Risiko yang berada di dalam maupun di luar pengendalian Organisasi; dan
e. identifikasi Risiko jika menghentikan, menunda, atau tidak melanjutkan kegiatan.

Ruang lingkup identifikasi Risiko sebagaimana dimaksud dalam Pasal 20 huruf a meliputi:
a. identifikasi Ancaman;
b. identifikasi Kerawanan; dan
c. identifikasi pengendalian yang sedang dilaksanakan.

(1) Identifikasi Ancaman sebagaimana dimaksud dalam Pasal 22 huruf a memerlukan input:
a. data historis terjadinya Ancaman;
b. data Ancaman yang berasal dari instansi berwenang;
c. publikasi ilmiah; dan
d. media masa.
(2) Identifikasi Ancaman menghasilkan output dalam bentuk Pernyataan Ancaman menurut jenis Risiko.
(3) Bentuk Pernyataan Ancaman sebagaimana dimaksud pada ayat (2) dikatagorikan menurut sumbernya sebagai berikut:
a. Ancaman alam;
b. Ancaman manusia; dan
c. Ancaman lingkungan.

(1) Identifikasi Kerawanan sebagaimana dimaksud dalam Pasal 22 huruf b memerlukan input:
a. laporan asesmen Risiko periode sebelumnya;
b. rekomendasi audit;
c. klausula persyaratan untuk pelaksanaan kegiatan; dan
d. hasil pengujian terhadap keandalan pengendalian intern suatu kegiatan.
(2) Identifikasi Kerawanan sebagaimana dimaksud pada ayat
(1) menghasilkan output dalam bentuk daftar potensi Kerawanan menurut jenis Risiko.
(3) Potensi Kerawanan sebagaimana dimaksud pada ayat (2) harus dikaji secara berkelanjutan melalui:
a. kuesioner;
b. interviu lapangan;
c. reviu dokumen; dan
d. penggunaan alat otomatisasi scanning.

(1) Identifikasi pengendalian yang sedang dilaksanakan sebagaimana dimaksud dalam Pasal 22 huruf c memerlukan input berupa Pengendalian Risiko yang sedang atau akan dilaksanakan.
(2) Identifikasi pengendalian yang sedang dilaksanakan sebagaimana dimaksud pada ayat (1) menghasilkan output dalam bentuk daftar Pengendalian Risiko yang sedang dilaksanakan dan rencana Pengendalian Risiko yang akan diimplementasikan.
(3) Identifikasi pengendalian yang sedang dilaksanakan sebagaimana dimaksud pada ayat (2) dilakukan menurut metode dan katagori pengendalian.

(1) Analisis Risiko sebagaimana dimaksud dalam Pasal 20 huruf b diukur dengan menggunakan metode kualitatif dan/atau kuantitatif.
(2) Hal yang perlu dipertimbangkan dalam melakukan analisis Risiko meliputi:
a. sebab dan sumber Risiko;
b. dampak Risiko yang bersifat negatif maupun positif;
c. Pengendalian Risiko yang sedang dilaksanakan;

d. probabilitas terjadinya dampak Risiko;
e. tingkat keyakinan dalam estimasi Risiko; dan
f. sensitivitas atas asumsi dan prasyarat analisis Risiko yang telah ditentukan.

Analisis Risiko sebagaimana dimaksud dalam Pasal 20 huruf b meliputi tahapan:
a. penentuan probabilitas Risiko;
b. analisis dampak Risiko; dan
c. penentuan Risiko.

(1) Penentuan probabilitas Risiko sebagaimana dimaksud dalam Pasal 27 huruf a memerlukan input yang berasal dari tahapan identifikasi Risiko berupa:
a. Pernyataan Ancaman;
b. daftar potensi Kerawanan; dan
c. daftar Pengendalian Risiko yang sedang dilaksanakan dan rencana Pengendalian Risiko yang akan diimplementasikan.
(2) Penentuan probabilitas Risiko dilaksanakan melalui:
a. analisis Ancaman berdasarkan motivasi Ancaman dan kemampuan Ancaman untuk mengeksploitasi Kerawanan;
b. pemeringkatan atas potensi Ancaman;
c. analisis Kerawanan yang ada terhadap Pengendalian Risiko yang sedang dilaksanakan dan potensi Kerawanan terhadap pengendalian yang akan diimplementasikan;
d. pemeringkatan terhadap Kerawanan yang ada; dan
e. penyusunan matriks padanan Ancaman dan Kerawanan serta pengelompokan berdasarkan peringkat.
(3) Penentuan probabilitas Risiko menghasilkan output berupa peringkat dan probabilitas Risiko.

(1) Analisis dampak Risiko sebagaimana dimaksud dalam Pasal 27 huruf b memerlukan input:
a. jenis dan probabilitas Risiko,
b. analisis dampak terhadap misi dan tujuan kegiatan dan/atau Organisasi;

c. asesmen aset penting;
d. informasi penting; dan
e. sensitivitas data.
(2) Analisis dampak Risiko dilaksanakan melalui:
a. pelaksanaan analisis dampak dari Risiko yang telah diberi peringkat yang dihasilkan dari tahapan penentuan Risiko; dan
b. pemeringkatan dan pembobotan nilai terhadap dampak Risiko dan mendeskripsikan dampak Risiko.
(3) Analisis dampak Risiko menghasilkan output dalam bentuk dampak yang telah diberi peringkat dan pembobotan nilai.

(1) Penentuan Risiko sebagaimana dimaksud dalam Pasal 27 huruf c dilaksanakan melalui:
a. penyusunan matriks padanan antara Ancaman Risiko dan dampaknya dan memberikan peringkat Risiko berdasarkan hasil pada tahapan penentuan probabilitas Risiko dan analisis dampak Risiko;
b. pendeskripsian peringkat Risiko dan dampaknya terhadap Organisasi seperti stratejik, operasional, aset, keuangan, hukum, perlindungan informasi, reputasi, dan lainnya; dan
c. penentuan Risiko yang akan dipergunakan sebagai dasar pada tahapan evaluasi Risiko.
(2) Penentuan Risiko dilakukan dengan menggunakan matriks pengukuran tingkat Risiko.
(3) Hasil pengukuran sebagaimana dimaksud pada ayat (2) memuat deskripsi tingkat probabilitas Risiko yang berkaitan dengan sistem pengendalian dan tindakan yang diperlukan.

(1) Evaluasi Risiko sebagaimana dimaksud dalam Pasal 20 huruf c dilaksanakan dengan cara membandingkan penentuan tingkat Risiko dengan toleransi Risiko yang telah ditentukan.
(2) Evaluasi Risiko dilaksanakan melalui:
a. perolehan output dari tahapan penentuan probabilitas Risiko, analisis dampak, dan penentuan Risiko;
b. reviu pemenuhan persyaratan pada masing-masing tahapan;
c. pembandingan output penentuan Risiko dengan tingkat Toleransi Risiko yang telah ditetapkan terlebih dahulu;

d. reviu tingkat kecenderungan Risiko yang terukur terutama terhadap jenis dan karakteristik Risiko yang relatif sama dengan Risiko yang terjadi periode sebelumnya atau Risiko dimaksud bersifat terjadi berulang;
e. reviu implementasi pengendalian terhadap Risiko berulang;
f. penyusunan opsi atau skenario rekomendasi pengendalian Risiko;
g. penyusunan Rencana Kontijensi atas Risiko yang berpengaruh signifikan terhadap Organisasi;
h. pelaksanaan analisis biaya dan manfaat atas masing-masing opsi pengendalian;
i. penyusunan jadwal waktu pemenuhan tindak lanjut Pengendalian Risiko;
j. penentuan Risiko Sisa terhadap Risiko setelah Pengendalian Risiko yang direncanakan untuk diimplementasikan;
k. penyusunan prioritas pengendalian dan usulan penyempurnaan pengendalian berikut deskripsinya; dan
l. komunikasi dengan atasan langsung Pimpinan Unit Organisasi eselon II berkoordinasi dengan Biro Sumber Daya Manusia dan Organisasi Tata Laksana untuk estimasi dan pelaksanaan tindak lanjut atas hasil asesmen Risiko.
(3) Evaluasi Risiko menghasilkan bahan pengambilan keputusan berupa:
a. Risiko yang ada dapat diterima; atau
b. Risiko yang ada harus dilakukan pengendalian.
(4) Dalam hal tingkat Risiko yang dihasilkan tidak memenuhi tingkat toleransi Risiko yang telah ditetapkan, maka Risiko yang ada harus dilakukan Pengendalian sebagaimana dimaksud ayat (3) huruf b.
(5) Dalam hal suatu Risiko harus dilakukan Pengendalian sebagaimana dimaksud pada ayat (4), maka Pimpinan Unit Organisasi eselon II harus:
a. menyusun opsi rekomendasi Pengendalian Risiko dengan didasarkan pada analisis biaya–manfaat terhadap rekomendasi yang disampaikan guna menghasilkan rekomendasi yang efektif dan efisien;
b. menyusun opsi rekomendasi berupa opsi keputusan untuk tidak melakukan pengendalian dalam bentuk apapun atau menjaga dan memelihara Pengendalian Risiko yang ada; dan
c. menyusun jadwal waktu pelaksanaan tindak lanjut sesuai dengan tingkat Risiko.

(1) Pengendalian Risiko sebagaimana dimaksud dalam Pasal 9 ayat (1) huruf c dilakukan dalam bentuk memitigasi, menghindarkan, menunda, menerima, dan transfer Risiko, serta melakukan asesmen terhadap dampak Pengendalian Risiko sampai Risiko tersebut mencapai tingkat toleransi Risiko.
(2) Pengendalian Risiko mencakup:
a. penentuan atas opsi rekomendasi Pengendalian Risiko yang dihasilkan pada tahapan evaluasi Risiko;
b. rencana tindak lanjut dan implementasi rekomendasi; dan
c. asesmen terhadap pelaksanaan Pengendalian Risiko untuk mengetahui pencapaian tindak lanjut pelaksanaan Pengendalian Risiko terhadap tingkatan toleransi Risiko.
(3) Pengendalian Risiko dilakukan dalam rangka mencapai:
a. efektivitas dan efisiensi operasi;
b. efektivitas pengendalian intern; dan
c. kepatuhan terhadap peraturan perundang-undangan.
(4) Pengendalian Risiko dilaksanakan melalui:
a. pemilihan opsi rekomendasi Pengendalian Risiko yang merupakan output tahapan evaluasi Risiko;
b. penyusunan rencana dan jadwal waktu implementasi Pengendalian Risiko baik untuk Risiko yang harus ditindak lanjuti segera maupun berdasarkan prioritas waktu tindak lanjut;
c. komunikasi rencana Pengendalian Risiko dengan atasan langsung Pimpinan Unit Organisasi;
d. persetujuan implementasi Pengendalian Risiko dari atasan langsung Pimpinan Unit Organisasi;
e. penunjukan pejabat atau pegawai PPATK yang bertanggung jawab untuk pelaksanaan Pengendalian Risiko;
f. penentuan dan pengoordinasian sumber daya yang diperlukan untuk pelaksanaan Pengendalian Risiko;
g. implementasi Pengendalian Risiko;
h. reviu dan evaluasi selama periode waktu Pengendalian Risiko diimplementasikan;

i. penerapan Rencana Kontijensi jika pengendalian kunci tidak terlaksana secara efektif; dan
j. pencatatan proses asesmen dan Pengendalian Risiko secara tertib dan akurat untuk digunakan sebagai bahan reviu, evaluasi, dan pelaporan
(5) Pengendalian Risiko untuk seleksi atas opsi rekomendasi sebagaimana dimaksud pada ayat (2) huruf a berupa rekomendasi bersifat mutual eksklusif pada suatu kasus atau kegiatan tertentu, atau diberlakukannya rekomendasi pada semua kondisi.
(6) Rekomendasi sebagaimana dimaksud pada ayat
(5) harus mempertimbangkan cakupan:
a. menghindari Risiko dengan MEMUTUSKAN tidak memulai atau melanjutkan kegiatan yang berisiko;
b. mencari suatu peluang dengan MEMUTUSKAN untuk memulai atau melanjutkan suatu kegiatan yang menciptakan, menjaga, atau memelihara Risiko;
c. mengubah probabilitas Risiko;
d. mengubah dampak Risiko;
e. menanggung Risiko bersama dengan pihak lainnya; dan
f. menerima dan menanggung Risiko, baik melalui keputusan atau karena kegagalan.

Monitoring dan reviu meliputi:
a. monitoring;
b. reviu kerangka kerja Manajemen Risiko yang diberlakukan dan implementasinya; dan
c. pelaporan penyelenggaraan Manajemen Risiko.

(1) Monitoring atas pelaksanaan Manajemen Risiko harus dilakukan secara berkala dan berkelanjutan.

(2) Monitoring Manajemen Risiko harus dilakukan oleh pengelola Manajemen Risiko.
(3) Proses monitoring Manajemen Risiko harus menentukan:
a. pengukuran yang digunakan telah menghasilkan output atau outcome yang diharapkan;
b. prosedur yang dilaksanakan dan informasi yang dikumpulkan untuk tujuan asesmen Risiko telah sesuai, mutakhir, dan relevan;
dan
c. peningkatan pengetahuan dan pemahaman atas Risiko yang telah terjadi guna meningkatkan kualitas pengambilan keputusan dan telah diidentifikasikan untuk dapat digunakan pada pelaksanaan asesmen dan Manajemen Risiko selanjutnya.

(1) Kerangka kerja Manajemen Risiko yang diberlakukan dan implementasinya harus dilaksanakan reviu secara berkala dan berkelanjutan paling kurang 3 (tiga) tahun sekali atau sewaktu-waktu apabila diperlukan.
(2) Kepala PPATK dapat menugaskan Inspektorat dan/atau pihak ketiga yang independen dan kompeten untuk melakukan reviu kerangka kerja Manajemen Risiko yang diberlakukan dan implementasinya.
(3) Pelaksanaan reviu sebagaimana dimaksud pada ayat (2) wajib disampaikan secara tertulis kepada Kepala PPATK paling lambat 30 (tiga puluh) hari kerja setelah selesainya pekerjaan lapangan reviu.
(4) Pelaksanaan reviu sebagaimana dimaksud pada ayat (2) yang dilaksanakan oleh pihak ketiga yang independen dan kompeten wajib memenuhi ketentuan peraturan perundang-undangan mengenai pengadaan barang/jasa pemerintah.

(1) Pelaporan Penyelenggaraan Manajemen Risiko harus dilaksanakan oleh pengelola Manajemen Risiko sebagai bentuk perwujudan akuntabilitas.
(2) Pelaporan Penyelenggaraan Manajemen Risiko harus didukung dengan kertas kerja asesmen Risiko dan pencatatan yang memadai serta harus dapat ditrasir kembali.

(3) Pelaporan Penyelenggaraan Manajemen Risiko harus mencakup paling kurang mengenai tujuan, lingkup, pendekatan asesmen Risiko, konteks Risiko, Pernyataan Ancaman atau Risiko, hasil asesmen Risiko, dan ikhtisar.

(1) Manajemen Risiko harus dilakukan penyempurnaan berkelanjutan.
(2) Pelaksanaan penyempurnaan berkelanjutan dilakukan oleh pengelola Risiko.
(3) Pelaksanaan penyempurnaan berkelanjutan harus dilakukan berdasarkan pelaksanaan monitoring, reviu kerangka kerja Manajemen Risiko yang diberlakukan dan implementasinya, perubahan peraturan perundang-undangan, perubahan struktur organisasi, dan/atau hal lain yang berdampak strategis terhadap PPATK.
(4) Pelaksanaan penyempurnaan berkelanjutan mencakup kebijakan, asas, sistem dan prosedur, metode, serta pelatihan peningkatan kapasitas kepada seluruh pegawai PPATK.
(5) Pelaksanaan penyempurnaan berkelanjutan sebagaimana dimaksud harus didokumentasikan dan disosialisasikan kepada seluruh pegawai PPATK.

(1) Pengelolaan Manajemen Risiko merupakan tanggung jawab semua pihak di lingkungan PPATK yang meliputi Kepala, Wakil Kepala, Pimpinan Unit Organisasi, dan pegawai PPATK.
(2) Pengelolaan Manajemen Risiko dilaksanakan oleh pengelola Manajemen Risiko di lingkungan PPATK yang meliputi:
a. komite Manajemen Risiko;
b. penanggung jawab Manajemen Risiko;
c. unit Pemilik Risiko; dan
d. reviu independen.

(1) Komite Manajemen Risiko sebagaimana dimaksud dalam Pasal 38 ayat
(2) huruf a beranggotakan Deputi, Sekretaris Utama, dan Pejabat eselon II yang memimpin unit organisasi.
(2) Komite Manajemen Risiko dipimpin oleh Sekretaris Utama.
(3) Komite Manajemen Risiko memiliki tugas melakukan koordinasi dan pembinaan di bidang Manajemen Risiko serta mengusulkan rekomendasi yang meliputi:
a. pembentukan kebijakan, strategi, dan metodologi Manajemen Risiko;
b. pemeringkatan probabilitas Risiko, penentuan tingkatan Risiko, dampak Risiko, penentuan Risiko, dan toleransi Risiko;
c. pengembangan Manajemen Risiko;
d. komunikasi dengan Pemangku Kepentingan;
e. pendelegasian wewenang;
f. mekanisme dan format laporan penyelenggaraan Manajemen Risiko;
g. komunikasi internal maupun eksternal; dan
h. peningkatan kompetensi sumber daya manusia di bidang Manajemen Risiko.
(4) Komite Manajemen Risiko menyelenggarakan rapat koordinasi Manajemen Risiko yang dilakukan secara berkala paling sedikit 1 (satu) kali dalam 6 (enam) bulan atau sewaktu-waktu apabila diperlukan.
(5) Rapat koordinasi sebagaimana dimaksud pada ayat (4) harus ditatausahakan dan dilaporkan kepada Kepala PPATK.
(6) Susunan keanggotaan komite Manajemen Risiko ditetapkan dalam Keputusan Kepala PPATK.

(1) Penanggung jawab Manajemen Risiko sebagaimana dimaksud dalam Pasal 38 ayat (2) huruf b yaitu Deputi dan Sekretaris Utama.

(2) Penanggung jawab Manajemen Risiko memiliki tugas sebagai berikut:
a. MENETAPKAN kebijakan Manajemen Risiko pada unit organisasi binaannya;
b. melaksanakan pembinaan dan pengawasan implementasi integrasi Manajemen Risiko pada tugas utama unit organisasi binaannya;
c. MENETAPKAN akuntabilitas Manajemen Risiko;
d. MENETAPKAN mekanisme komunikasi dan pelaporan unit Pemilik Risiko; dan
e. melakukan koordinasi dengan komite Manajemen Risiko dan Biro Sumber Daya Manusia dan Organisasi Tata Laksana.
(3) Penanggung jawab Manajemen Risiko berwenang:
a. mengembangkan kebijakan dan implementasi kebijakan operasional Manajemen Risiko pada unit Organisasi; dan
b. melakukan reviu, validasi, dan pemantauan proses Manajemen Risiko pada unit Pemilik Risiko.
(4) Penanggung jawab Manajemen Risiko menyelenggarakan rapat koordinasi dengan unit Pemilik Risiko yang dilakukan secara berkala paling sedikit 1 (satu) kali dalam 3 (tiga) bulan atau sewaktu-waktu apabila diperlukan.

(1) Unit Pemilik Risiko sebagaimana dimaksud dalam Pasal 38 ayat (2) huruf c adalah unit organisasi yang dipimpin oleh pejabat eselon II di lingkungan PPATK.
(2) Pengelola Risiko pada unit Pemilik Risiko meliputi:
a. Pemilik Risiko; dan
b. manajer Risiko.
(3) Pemilik Risiko sebagaimana dimaksud pada ayat (2) huruf a yaitu pejabat eselon II yang merupakan Pimpinan unit Pemilik Risiko.
(4) Pemilik Risiko sebagaimana dimaksud pada ayat (2) huruf a memiliki tugas:
a. melakukan pembinaan dan pengawasan untuk memastikan bahwa proses Manajemen Risiko telah dilaksanakan sesuai dengan kebijakan, sistem dan prosedur yang telah ditetapkan;
b. melaksanakan pengendalian Risiko, terutama jika ada Risiko yang berpengaruh signifikan terhadap unit Organisasi serta implementasi Rencana Kontijensi;

c. menyampaikan usulan indikator kinerja manajemen Risiko;
d. menyampaikan laporan penyelenggaraan Manajemen Risiko unit Pemilik Risiko kepada penanggung jawab Manajemen Risiko; dan
e. melakukan koordinasi dengan komite Manajemen Risiko dan Biro Sumber Daya Manusia dan Organisasi Tata Laksana.
(5) Pemilik Risiko sebagaimana dimaksud pada ayat (2) huruf a berwenang:
a. MENETAPKAN Profil Risiko; dan
b. menunjuk manajer Risiko.
(6) Manajer Risiko sebagaimana dimaksud pada ayat (2) huruf b adalah pejabat eselon III atau yang setara, atau pejabat fungsional yang ditunjuk oleh Pemilik Risiko.
(7) Manajer Risiko sebagaimana dimaksud pada ayat (2) huruf b memiliki tugas:
a. melakukan koordinasi pengelolaan Risiko di unit Pemilik Risiko yang mencakup identifikasi, analisis, evaluasi, dan Pengendalian Risiko;
b. memantau penerapan program Manajemen Risiko di unit masing- masing;
c. menyusun laporan penyelenggaraan Manajemen Risiko; dan
d. menatausahakan dan menyimpan dokumen penyelenggaraan Manajemen Risiko.
(8) Pengelola Risiko pada unit Pemilik Risiko sebagaimana dimaksud pada ayat (2) menyelenggarakan rapat koordinasi yang dilakukan secara berkala paling sedikit 1 (satu) kali dalam 3 (tiga) bulan atau sewaktu- waktu apabila diperlukan.

(1) Reviu independen sebagaimana dimaksud dalam Pasal 38 ayat (2) huruf d harus dilakukan untuk memastikan efektivitas Manajemen Risiko.
(2) Reviu independen dilaksanakan oleh Inspektorat dan dilaporkan secara tertulis kepada Kepala PPATK.
(3) Reviu independen dilakukan secara berkala 1 (satu) kali dalam 1 (satu) tahun atau sewaktu-waktu apabila diperlukan.

(4) Dalam hal diperlukan keahlian tertentu, Kepala PPATK dapat menunjuk pihak ketiga yang independen dan kompeten untuk melakukan reviu independen terhadap Manajemen Risiko.

Peraturan ini mulai berlaku pada tanggal ditetapkan.
Agar setiap orang mengetahuinya, memerintahkan pengundangan Peraturan ini dengan penempatannya dalam Berita Negara Republik INDONESIA.

Ditetapkan di Jakarta pada tanggal 04 Oktober 2012 KEPALA PUSAT PELAPORAN DAN ANALISIS TRANSAKSI KEUANGAN,

MUHAMMAD YUSUF

Diundangkan di Jakarta pada tanggal 10 Oktober 2012 MENTERI HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA,

AMIR SYAMSUDIN