Selamat datang di dunia manajemen risiko, salah satu topik hangat terkait tata kelola dan manajemen organisasi yang paling populer dan terlalu sering disalahpahami. Kesalahpamaan organisasi itu biasanya terletak pada masalah manajemen risiko yang dianggap sebagai sebuah pekerjaan administratif.
Padahal, menerapkan manajemen risiko tidak berelasi secara langsung dengan kebutuhan biaya yang besar. Sebaliknya, jika manajemen risiko dilakukan dengan benar, justru dapat menambah nilai bagi organisasi.
Kebanyakan organisasi sampai saat ini masih berkutat pada hal-hal yang tidak tepat. Hal itu terbukti dari masih banyaknya organisasi yang belum menyatakan diri memperoleh keuntungan dari upaya yang telah dilakukan dengan mengimplementasikan manajemen risiko. Masih alfanya budaya risiko ternyata menjadi alasan utama kegagalan manajemen risiko tersebut.
Budaya Risiko Sebagai Katalisator
Robert R. Moeller dalam bukunya berjudul “COSO Enterprise Risk Management: Establishing Effective Governance, Risk, and Compliance Processes”, tahun 2011, menjelaskan bahwa tanpa terbangunnya budaya risiko maka manajemen risiko hanya akan menjadi sebuah compliance-based process yang tidak memberi nilai tambah bagi organisasi.
Budaya risiko dapat menjadi katalisator bagi seluruh pihak di dalam organisasi untuk dapat memahami risk management policy (kebijakan manajemen risiko) dan mengintegrasikan kebijakan tersebut dalam aktivitas operasional organisasi sehari-hari.
Budaya risiko dapat diartikan kebiasaan praktik organisasi dalam mengelola dan merespons risiko. Dengan demikian, budaya risiko yang kuat menggambarkan kondisi di mana telah tercipta sebuah lingkungan yang memandang risiko organisasi sebagai risiko bagi seluruh pihak di dalam organisasi.
Hal itu didapat terutama karena adanya pemahaman bersama atas risk appetite (selera risiko) yang telah ditetapkan oleh organisasi. Artinya, segala keputusan bisnis organisasi yang dilakukan dari level strategis sampai level operasional selalu merujuk pada selera risiko yang telah ditetapkan tersebut serta mengambil risiko yang sesuai dengan kapasitas organisasi.
Budaya risiko yang kuat memberikan keunggulan kompetitif karena dapat mendukung organisasi dalam memanfaatkan peluang-peluang tanpa menggiring organisasi pada tingkat risiko yang tidak dapat diterima.
Sebaliknya, organisasi dengan budaya risiko yang lemah dapat membawa organisasi pada tingkat risiko yang berlebihan, yang mampu mengancam keberlanjutan organisasi.
Perbedaan RM1 dan RM2
Berbagai pemikiran tentang bagaimana seharusnya manajemen risiko diterapkan oleh organisasi, muncul di berbagai literatur. Salah satu pakar manajemen risiko asal Rusia, Alex Sidorenko, memperkenalkan penggambaran menarik tentang hal tersebut, yakni mengangkat tema tentang Risk Management 1 vs Risk Management 2.
Alex berpendapat bahwa selama ini ia secara naif menilai bahwa dengan menerapkan manajemen risiko dengan baik maka ia akan mampu memuaskan seluruh pemangku kepentingan.
Sedangkan dalam realitanya, ia berargumen bahwa satu pemangku kepentingan melihat implementasi manajemen risiko secara berbeda dengan pemangku kepentingan lainnya.
Ia menjelaskan bahwa Risk Management 1 (RM1) merupakan manajemen risiko yang dibangun untuk pemangku kepentingan eksternal seperti Dewan Komisaris, Auditor Eksternal, Legislatif, Pemerintah, Lembaga Pemeringkatan Kredit, Perusahaan Asuransi, dan Bank.
Sedangkan Risk Management 2 (RM2) adalah manajemen risiko yang digunakan untuk memberikan dukungan pada pengambilan keputusan di dalam organisasi. Berbedakah? Mari kita sama-sama telusuri perbedaannya.
Perbedaan Dalam Selera Risiko
Hal pertama yang disoroti adalah selera risiko. Selera risiko merupakan pernyataan yang disampaikan oleh top management dalam organsiasi, yang akan menjadi panduan bagi keseluruhan proses manajemen risiko.
Selera risiko mengidentifikasi tingkat risiko optimal untuk memperoleh potensi hasil yang lebih tinggi, yang dapat menjadi pedoman bagi penetapan strategi, perencanaan, dan taktik organisasi.
Dalam penetapan selera risiko tersebut, tantangan bagi pimpinan adalah perlunya pemahaman atas seberapa jauh organisasi dapat menanggung risiko-risikonya. Jika risiko yang diambil lebih besar dari kapasitas organisasi, maka hal tersebut dapat mengancam keberlanjutan organisasi itu sendiri.
Alex menjelaskan bahwa organisasi tidak perlu memiliki pernyataan selera risiko yang terpisah karena semua batasan seharusnya sudah terkandung dalam kebijakan tingkat pimpinan organisasi.
Jika pembuat regulasi, auditor, ataupun pihak eksternal lainnya bersikeras bahwa organisasi harus memilikinya, maka Alex mengungkapkan bahwa betapa bodohnya permintaan itu. Karena jika semua ataupun sebagian kebijakan yang ada tidak memiliki selera risiko, maka yang akan dilakukan adalah memperbarui kebijakan yang ada.
Memiliki pernyataan selera risiko yang terpisah menggambarkan penerapan dari RM1. Sebaliknya, memiliki kebijakan yang didalamnya sudah terkandung pernyataan selera risiko sebagai acuan dalam pelaksanaan proses bisnis organisasi sehari-hari menunjukkan organisasi telah membangun RM2.
Perbedaan Dalam Kerangka Kerja
Kemudian, terkait kerangka kerja manajemen risiko. RM1 adalah organisasi memiliki dokumen kerangka kerja manajemen risiko secara khusus dan terpisah, sedangkan RM2 adalah organisasi mengintegrasikan elemen-elemen manajemen risiko ke dalam kebijakan dan prosedur yang ada.
Peran dan tanggung jawab manajemen risiko juga dapat dialihkan dari dokumen kerangka kerja menjadi terintegrasi ke dalam job description masing-masing level di dalam organisasi.
Alex berargumen bahwa alih-alih menulis kerangka kerja manajemen risiko yang terpisah, organisasi lebih baik memperbaharui kebijakan dan prosedur yang ada untuk memasukkan unsur-unsur manajemen risiko yang sesuai.
Ia mencontohkan satu perusahaan investasi yang diwawancarai mendokumentasikan metodologi manajemen risiko dalam prosedur manajemen investasi, alih-alih membuat dokumen manajemen risiko baru.
Hal ini pada dasarnya adalah mengubah cara proses investasi dilakukan, yaitu menjadikan manajemen risiko sebagai langkah penting dalam pengambilan keputusan investasi. Memberi manajer investasi merupakan bagian dari implementasi manajemen risiko, dan memiliki dampak positif yang signifikan pada budaya risiko organisasi.
Perbedaan Dalam Register Risiko
Indikator lain yang diungkapkan oleh Alex tentang apakah organisasi menerapkan RM1 atau RM2 adalah risk register atau register risiko. Alex berargumen bahwa register risiko merupakan suatu hal yang sangat umum dimiliki organisasi tetapi keberadaannya ‘sangat RM1’ sekali.
Ia berseloroh, “Dapatkah Anda bayangkan seorang auditor tidak meminta daftar risiko pada saat mengaudit? Kenapa itu menjadi sangat penting dan seolah otomatis harus diminta? Beberapa auditor yang sangat buruk bahkan mungkin meminta daftar risiko plus peluang.”
Register risiko yang terpusat di level organisasi tidak membantu pihak berwenang dalam membuat keputusan. Sangat naif untuk berpikir bahwa metodologi tunggal dan kriteria risiko tunggal mampu mengatasi seluruh risiko yang dihadapi oleh suatu organisasi.
Hal ini karena organisasi yang beralih ke RM2 telah menemukan fakta bahwa keputusan yang berbeda memerlukan metodologi analisis risiko dan kriteria yang berbeda pula.
Artinya, register risiko harusnya menyatu dengan segala dokumen proses bisnis setiap level unit organisasi, bukan dibuat terpisah.
Bagaimana Dengan Framework Terbaru?
Sebagai tambahan penjelasan tentang perbedaan RM 1 dan RM2, dalam tiga tahun terakhir, framework dan standar manajemen risiko sama-sama mengalami perubahan. COSO menerbitkan COSO ERM Framework terbaru pada tahun 2017. Kemudian, ISO merilis edisi revisi dari ISO 31000 pada tahun 2018.
Keduanya sama-sama menekankan bahwa penerapan manajemen risiko harus embedded dengan aktivitas bisnis sehari-hari organisasi. Apakah artinya sudah menjadi RM2?
Eits..tunggu dulu! Dalam kedua dokumen tersebut, tidak ada penjelasan lebih lanjut tentang apa yang perlu dilakukan untuk bagaimana sebenarnya mengintegrasikan manajemen risiko dengan aktivitas sehari-hari organisasi secara detail.
Bagaimana mememulainya, apa yang harus dihindari, tidak ada penjelasan tentang hal itu. Jadi, dalam pandangan saya, kendatipun sudah ada revisi atas kerangka kerja dan standar yang ada, tidak kemudian secara otomatis mengubah RM1 menjadi RM2.
Epilog
Meskipun demikian, Alex juga menjelaskan bahwa penjelasan di atas bukan berarti menunjukkan pilihan antara RM1 dan RM2. Karena sayangnya, keduanya perlu dilakukan, selama pemangku kepentingan eksternal masih melihat manajemen risiko sebagai RM1.
Artinya, ini lebih merupakan pilihan tentang berapa banyak sumber daya yang harus dialokasikan untuk masing-masing, di mana Alex menakar seharusnya organisasi menggunakan sumber dayanya maksimal 10% untuk RM1 dan 90% untuk RM2, meskipun faktanya justru yang terjadi saat ini adalah kebalikannya.
Banyak organisasi berpendapat, bahwa RM1 memakan banyak waktu, sehingga tidak ada waktu tersisa untuk RM2. Selain itu, berbicara hal-hal di atas tidak lepas dari bagaimana beberapa pihak melihat maturitas manajemen risiko organisasi. Beberapa indikator penilaian maturitas manajemen risiko antara lain keberadaan dokumen selera risiko, kebijakan manajemen risiko, hingga register risiko.
Jika organisasi telah mengalihkannya ke RM2 dan ternyata berhasil menambah nilai bagi organisasi, tetapi saat auditor menilai maturitas tidak melihat dokumen-dokumen tersebut dibuat secara terpisah, tentu simpulan yang akan mereka buat adalah tingkat maturitas manajemen risiko organisasi tersebut rendah.
Adilkah?
Semoga tulisan ini memberikan sedikit gambaran bagi berbagai pihak, termasuk dalam melakukan penilaian maturitas manajemen risiko: mengingatkan kembali bahwa substansi lebih penting daripada pengemasan. Benar bukan?
Salam Sadar Risiko!
Hubungannya akan nampak di balanced scorecard masing-masing entitas.
Ini tulisannya keren…
Tulisan Bapak: “Jika organisasi telah mengalihkannya ke RM2 dan ternyata berhasil menambah nilai bagi organisasi, tetapi saat auditor menilai maturitas tidak melihat dokumen-dokumen tersebut dibuat secara terpisah, tentu simpulan yang akan mereka buat adalah tingkat maturitas manajemen risiko organisasi tersebut rendah.”
Ini kami alami ketika melakukan penilaian maturitas SPIP. BPKP mengeluarkan pedoman penilaian maturitas SPIP, yang menurut pendapat saya ini lebih ke arah RM1.