Manajemen risiko, mendengar dua kata ini sekarang, tentu pembaca sudah jauh lebih familiar dibandingkan satu atau dua dekade yang lalu. Apalagi tidak hanya menjadi sebuah ilmu pengetahuan saja, manajemen risiko sudah diimplementasikan di berbagai sektor termasuk sektor pemerintah.
Lalu bagaimana manajemen risiko diimplementasikan sejauh ini? Dalam survei yang dilakukan oleh PwC pada tahun 2018 dengan judul “The State of Risk Oversight: An Overview of Enterprise Risk Management Practices”, ditemukan fakta bahwa organisasi cenderung mengadopsi pendekatan compliance-based dalam implementasi manajemen risikonya.
Compliance-Based dan Document-Based
49% responden dalam survei tersebut mengatakan bahwa kepatuhan hukum dan regulasi merupakan faktor utama yang mempengaruhi manajemen risiko di organisasi mereka.
Pada survei lainnya, Allianz melakukan survei pada tahun 2019 dengan judul “Risk Management in the Era of Digitalization” yang menunjukkan bahwa sebagian besar organisasi (55% responden) masih mengadopsi pendekatan document-based dalam manajemen risiko.
Mereka lebih fokus pada pengumpulan data dan pembuatan laporan daripada pada tindakan yang sesuai dengan risiko yang diidentifikasi.
Di sektor publik pun, survei yang membahas manajemen risiko pada sektor publik juga telah dilakukan dengan hasil yang hampir sama. Misalnya, merujuk pada Global Risk Management Survey for the Public Sector yang dilakukan oleh AoN pada tahun 2019.
Dalam survei yang melibatkan lebih dari 500 responden dari berbagai sektor publik di seluruh dunia tersebut, ditunjukkan bahwa sektor publik (lebih dari 70% responden) cenderung mengadopsi pendekatan compliance-based dalam manajemen risiko.
Fokus utamanya adalah memenuhi persyaratan peraturan atau standar tertentu. Selain itu, survei tersebut juga menunjukkan bahwa sektor publik masih menghadapi berbagai tantangan dalam mengelola risiko, seperti kurangnya sumber daya dan keterbatasan dalam teknologi informasi.
Secara keseluruhan, survei-survei tersebut menunjukkan bahwa manajemen risiko masih banyak dianggap sebagai suatu keharusan atau kewajiban untuk memenuhi persyaratan peraturan atau standar tertentu. Dengan demikian pendekatan yang diambil masih cenderung compliance-based atau document-based.
Namun, survei-survei ini juga menunjukkan bahwa organisasi yang mengadopsi pendekatan ERM yang lebih matang, lebih mampu mengintegrasikan manajemen risiko ke dalam strategi bisnis mereka dan lebih fokus pada pemahaman tentang risiko dan dampaknya pada organisasi.
Hal ini menunjukkan bahwa masih diperlukan upaya untuk meningkatkan pemahaman dan kesadaran mengenai manajemen risiko yang berorientasi pada nilai (value-based) bagi organisasi, termasuk di sektor publik.
Menengok Swissgrid Mengelola Risiko
Lalu, bagaimana menggeser pendekatan compliance-based atau document-based menjadi value-based?
Artikel yang ditulis oleh Anette Mikes and Robert F. Bruner yang berjudul “When Every Employee Is a Risk Manager” pada tahun 2021 yang dirilis oleh Harvard Business Review dapat memberi insight guna menjawab pertanyaan tersebut.
Duo penulis tersebut memperkenalkan dan mendokumentasikan bagaimana Swissgrid, operator jaringan listrik yang menjadi andalan Negara Swiss, memperkenalkan dua proses manajemen risiko paralel dalam sistem manajemen risiko perusahaannya untuk mengidentifikasi dan memitigasi risiko strategis, risiko eksternal, bahkan risiko yang baru.
Pertama, mereka mengadakan lokakarya (workshop) risiko yang interaktif dan berulang kali untuk setiap unit bisnis, tim eksekutif, dan dewan direksi. Dalam lokakarya tersebut, para peserta meninjau risiko yang sebelumnya sudah diidentifikasi dan juga mengidentifikasi risiko baru.
Kemudian, mereka mengevaluasi setiap risiko dengan menggunakan skala yang terstruktur dan menetapkan prioritas dengan mempertimbangkan sumber daya yang ada untuk memilih tindakan mengurangi kemungkinan dan dampaknya.
Kedua, Swissgrid melengkapi sesi intimate dalam lokakarya tersebut dengan aplikasi pelaporan yang mudah digunakan (yang disebut RiskTalk, dibuat oleh Kurt Meyer dan Anette Mikes) yang mudah diakses oleh para pegawai karena berbentuk aplikasi yang ter-install di ponsel masing-masing.
RiskTalk memudahkan pegawai untuk melaporkan masalah atau hambatan apa pun yang dapat berdampak buruk pada prioritas strategis atau operasional perusahaan.
Melalui platform ini, mampu menjadi penghubung observasi dan/atau kekhawatiran pegawai kepada manajemen Swissgrid.
Kedua proses manajemen risiko ini telah diterima dan dipertahankan oleh manajemen senior Swissgrid bahkan setelah pendiri mereka, chief risk officer pertama, meninggalkan organisasi.
Manfaatkan Waktu Setiap Orang secara Efisien
Setiap proses manajemen risiko dalam sistem ERM Swissgrid dirancang untuk meminimalkan waktu yang diperlukan oleh manajemen. Risk officer, yang berada di setiap unit bisnis dalam organisasi, yang memutuskan frekuensi lokakarya untuk unit masing-masing.
Mereka, karena aktivitas day-to-day nya berada di dalam unit tersebut, secara berkala dapat memperbarui penilaian risiko melalui face-to-face discussions dengan para manajer di unit masing-masing, dan berbagai informasi yang dialirkan dari bawah melalui para pegawai via RiskTalk.
RiskTalk sendiri dirancang untuk meminimalkan waktu pengguna. Pegawai, dalam waktu kurang dari satu menit, dapat mengirimkan pesan yang diberi geo-tagged, date-stamped, dan dengan opsi untuk melampirkan foto situasi yang berpotensi berbahaya.
Pegawai dapat menggunakan bahasa sehari-hari, bukan jargon manajemen risiko, dan tidak diharuskan mengklasifikasikan atau menetapkan prioritas untuk masalah yang mereka laporkan. Tim triase yang akan melakukan meta-analisis untuk menilai prioritas risiko yang dilaporkan dan potensi dampaknya.
Selain itu, perlu diciptakan keamanan psikologis seputar pelaporan risiko, bahwa pentingnya membangun budaya speak-up yang merupakan oksigen dari manajemen risiko.
Sebelum dua proses manajemen risiko diperkenalkan, Swissgrid rentan terhadap kecenderungan organisasi untuk melakukan “shooting the messenger” kepada si pembawa informasi tidak baik.
Proses risiko membantu mengubah budaya tersebut dan membuat pegawai merasa aman untuk melakukan pelaporan. Sejak diperkenalkan, tidak ada manajer atau pegawai yang dihukum karena melaporkan masalah dan/atau kesalahan.
Fokuskan Manajer pada Risiko yang Paling Relevan
Risk officer mendengarkan semua kekhawatiran, baik yang disuarakan oleh eksekutif dalam lokakarya risiko atau yang dilaporkan melalui RiskTalk.
Bisa saja, mereka mengadakan lokakarya risiko khusus, dengan seorang ahli dari dalam atau luar organisasi, untuk membahas masalah yang muncul tetapi kurang dipahami. Para eksekutif juga bersedia menghadiri lokakarya ini karena mereka menganggapnya sebagai kesempatan untuk belajar.
Rancangan RiskTalk menampilkan isu-isu yang paling relevan untuk prioritas operasional dan strategis perusahaan, termasuk keselamatan, pemberian layanan, keunggulan proses, dan efisiensi biaya.
Aplikasi meminta pegawai untuk menandai masalah yang dilaporkan dengan prioritas yang paling mungkin terpengaruh.
Dengan penandaan prioritas, manajemen dapat melihat seberapa banyak masalah yang terkait dengan prioritas tertentu yang masih belum terselesaikan, mendorong pertanyaan lanjutan, seperti, “Jika keselamatan adalah prioritas nomor satu kita, mengapa tiga masalah terkait keselamatan masih belum terselesaikan selama enam bulan?”
Tanggapan selanjutnya memerangi patologi yang paling ditakuti oleh manajer risiko, yang mereka gambarkan sebagai “inkubasi risiko”.
Masalah yang dilaporkan dalam RiskTalk terkadang sangat tidak mencolok, bahkan sepele, sehingga banyak manajer secara naluriah mengabaikan atau mengabaikannya.
Swissgrid mengompensasi bias perilaku manusia untuk meremehkan kemungkinan dan konsekuensi dari peristiwa yang tidak biasa dengan meminta tim triase multidisiplin khusus untuk secara sengaja khawatir, bahkan paranoid, tentang semua kemungkinan dan konsekuensi dari setiap peristiwa yang dilaporkan.
Tetapkan Tone of the Top untuk Visibilitas dan Akuntabilitas Risiko
Chief Risk Officer (CRO) mengadakan dan memfasilitasi lokakarya risiko manajemen semi-tahunan bagi para kepala unit bisnis dan CEO. Di lokakarya tersebut, setiap peserta membuat presentasi tentang profil risiko unitnya, diikuti dengan tantangan dan klarifikasi.
Melalui pertemuan tersebut dapat menciptakan visibilitas tentang kapan risiko yang dilaporkan oleh satu unit bisnis mungkin juga dialami oleh unit bisnis lain, terkadang dengan cara yang tidak terduga.
Hasil lokakarya ini akan dianalisis dan disusun dalam bentuk laporan yang akan disampaikan kepada top management sebagai bagian dari penegasan bahwa risiko dikelola secara serius.
Mengidentifikasi dan mengelola risiko strategis dan yang muncul sangat berbeda dengan mengelola fungsi audit dan kepatuhan. Identifikasi, penilaian, dan mitigasi risiko memerlukan aliran informasi dan pemantauan yang berkelanjutan oleh manajer di atas, bawah, dan di seluruh organisasi.
Berkat pendekatan barunya, Swissgrid telah berhasil mengubah fungsi manajemen risikonya dari latihan check-lists menjadi proses manajemen terintegrasi di mana semua pegawai, manajer, dan eksekutif bersatu padu mengelola risiko yang menjadi bagian dari kehidupan sehari-hari mereka.
Apresiasi tulisannya….. Sepertinya untuk kita bahkan compliance and document base saja bila diperdalam masih terdapat permasalahan adanya pemenuhan yg bersifat rekayasa belaka…. picture of pipe … bukan pipa yg sesungguhnya namun hanya gambar saja seolah olah pipa itu hadir … tantangan bagi CRO untuk lebih semangat menerapkan value base risk management …
Seharusnya ada riset yg dilakukan di negara asia, karena compliance-based pun belum terterap dengan baik.
Pencang-terapan WBK/WBBM yg dilakukan di Indonesia hanya sebatas pemenuhan persyaratan semata. Kunci utamanya adalah optimalisasi WBS pada organisasi dan tiada atau sedikit laporan dari WBS.
Apalagi melihat fenomena yg terjadi saat ini. Dapat disimpulkan bahwa penerapan SPIP terintegrasi MR, WBK atau WBS hanyalah dianggap sebuah proyek kegiatan semata.
What a wonderful thought…terima kasih sharingnya….value based risk mgt, risk talk, bantuan IT, memperkuat risk mgt maturity level
Bagus artikelnya.