Manajemen Risiko: Tak Cukup Hanya Bermodal Regulasi

Manajemen risiko semakin populer ‘diterapkan’ di berbagai organisasi, mulai dari  perusahaan baik sektor privat maupun plat merah, sampai sektor pemerintah seperti Kementerian, Lembaga, dan Pemerintah Daerah. 

Mungkin pembaca bertanya mengapa ada tanda petik dalam kata diterapkan?
Karena untuk dapat meyakini klaim penerapan tersebut, masih perlu dilakukan berbagai pembuktian. Namun, paling tidak dalam tiga tahun terakhir, implementasi manajemen risiko makin digenjot dengan lahirnya beberapa peraturan yang mendasarinya. 

Misal, di tahun 2021, Otoritas Jasa Keuangan (OJK) merilis Peraturan OJK Nomor 6/POJK.04/2021 tentang penerapan manajemen risiko bagi perusahaan efek yang melakukan kegiatan usaha sebagai penjamin emisi efek dan perantara pedagang efek yang merupakan anggota bursa efek. 

Lalu, setahun berikutnya, Kementerian BUMN merilis PER-5/MBU/09/2022 yang mengatur tentang manajemen risiko pada BUMN. 

Di tahun ini, Peraturan Presiden (PERPRES) Nomor 39 Tahun 2023 tentang Manajemen Risiko Pembangunan Nasional ditandatangani oleh Presiden Jokowi sebagai penegasan dalam bentuk landasan dan kepastian hukum, guna mengatur dan mengintegrasikan penyelenggaraan manajemen risiko di kementerian/lembaga/pemerintah daerah/pemerintah desa, badan usaha, dan badan lainnya (KLPBU).

Tak Cukup Hanya Bermodal Regulasi

Simpulan pembaca? Regulator merasa bahwa manajemen risiko adalah suatu keharusan yang harus diimplementasikan di organisasi. Namun, selesaikah tantangan implementasi manajemen risiko dengan adanya regulasi-regulasi tersebut? 

Nah, ini yang perlu benar-benar dicermati. Mungkin akan muncul pertanyaan, bukankah hal yang sederhana, dengan diatur di regulasi, maka mau tidak mau, organisasi yang menjadi bagian dari ruang lingkup regulasi-regulasi tersebut akan menerapkan manajemen risiko? 

Jawabannya benar, jika yang dilihat adalah penerapan dari sisi (mungkin) membentuk struktur manajemen risikonya, atau dari sisi pendokumentasian risk registernya, atau hal-hal lain yang bersinggungan dengan infrastruktur manajemen risiko. 

Jika itu alat ukurnya, ya, organisasi telah menerapkan manajemen risiko. Tetapi, sudah jelas digambarkan dalam definisi manajemen risiko, bahwa inti dari manajemen risiko adalah memberikan nilai tambah bagi organisasi dalam pencapaian tujuan dengan meminimalkan (bagi risiko negatif) dan memaksimalkan (bagi risiko positif) dampak dari ketidakpastian yang dapat berpengaruh pada pencapaian tujuan.

Dalam berbagai pembahasan di berbagai sektor,
penerapan manajemen risiko yang terlalu condong pada implementasi atas tuntutan regulasi
tidak banyak dapat memberi nilai tambah, bahkan sering dilabeli dengan
istilah compliance-based risk management, karena pemenuhan peraturan tidak berjalan beriringan dengan proses bisnis sehari-hari organisasi dalam kinerjanya. 

Comply terhadap regulasi tentu saja bukan hal yang negatif sebenarnya, tetapi dengan pendekatan ini, pihak yang diuntungkan hanyalah pihak-pihak yang berkepentingan atau terkait dengan sukses atau tidaknya regulasi-regulasi tersebut. 

Sedangkan, seharusnya pertanyaan utama dari implementasi manajemen risiko ini adalah apakah organisasi akan mendapatkan manfaat dari manajemen risiko? 

Beruntung bagi penulis yang telah merasakan beberapa point of view (POV) implementasi manajemen risiko ini, baik dari POV sebagai internal auditor, POV sebagai akademisi manajemen risiko yang meneliti spesifik tentang efek dari penerapan ERM pada kinerja perusahaan di Indonesia, POV sebagai founder Pakar Risiko (platform sharing terkait manajemen risiko di Instagram) yang banyak berdiskusi dengan para RiskMate (pegiat manajemen risiko dari berbagai kalangan), dan saat ini sebagai praktisi manajemen risiko yang sehari-hari bertugas di memastikan manajemen risiko terimplementasi di organisasi. 

Dengan bekal berbagai POV tersebut, penulis dapat melihat adanya satu benang merah mengapa mungkin akan ada resistensi dari organisasi, termasuk individu-individu di dalamnya untuk menerapkan manajemen risiko yang embedded dengan aktivitas organisasi.

Ubah Perspektif Guna Melihat Adanya Urgensi

Resistensi untuk tidak menerapkan manajemen risiko tentu dilatarbelakangi oleh berbagai hal, terutama masih banyak organisasi yang belum memahami secara nyata manfaat dari pengadopsian manajemen risiko tersebut. 

Salah satu faktor fundamental adalah masih besarnya gap pemahaman anggota organisasi tentang apa manfaat menerapkan manajemen risiko bagi proses bisnis yang mereka lakukan? 

Kondisi ini tentu perlu menjadi perhatian, jika Anda datang dari sisi pihak yang mendorong regulasi terimplementasi, maka Anda perlu memperkaya perspektif dengan sesekali memosisikan diri sebagai pihak yang diminta melakukan implementasi. 

Pertanyaan kuncinya adalah “apa ada urgensi?” Nah, hal itu bisa dimulai dengan tiga pertanyaan yang sangat mendasari perlu atau tidaknya suatu organisasi mengimplementasikan manajemen risiko. 

Pembaca siap? Secara singkat, terdapat tiga pertanyaan yang bisa pembaca jawab untuk menentukan apakah organisasi pembaca membutuhkan manajemen risiko atau tidak. 

1) Apakah Organisasi Anda Memiliki Tujuan yang Ingin Dicapai? 

Pertanyaan pertama adalah apakah organisasi Anda memiliki tujuan yang ingin dicapai? Sekilas pertanyaan ini mungkin terkesan konyol, namun pertanyaan sederhana ini justru merupakan pertanyaan yang mendasar dan fundamental. 

Jika Anda tidak memahami apa tujuan dari organisasi Anda, atau setelah Anda melakukan berbagai penelaahan, Anda tetap tidak menemukan adanya suatu pernyataan tujuan yang ingin dicapai organisasi Anda, khususnya tujuan yang dapat diukur, maka Anda tidak perlu mengadopsi manajemen risiko.

George Doran sejak tahun 1981 silam menyarankan bahwa dalam sebuah rumusan tujuan sebaiknya merujuk pada indikator Specific, Measurable, Assignable, Realistic, dan Time-related (SMART).

Tujuan yang terukur ini menjadi acuan bagi seluruh pihak di dalam organisasi untuk mengetahui apakah kinerja mereka telah berhasil mendukung organisasi tempat mereka bernaung.

Jika tidak bisa dijawab yang mana tujuan terukur tersebut, maka tidak perlu risau menerapkan manajemen risiko. Kenapa? Karena tanpa adanya tujuan yang akan dicapai, tidak ada risiko yang muncul yang dapat mengakibatkan kegagalan pencapaian tujuan. Make sense-kan?

2) Apakah Kegagalan Mencapai Tujuan Mengancam Keberlanjutan Organisasi Anda?

Lalu, jika pertanyaan pertama tersebut dijawab dengan jawaban ‘ya’ maka akan dilanjutkan dengan pertanyaan kedua, yaitu, apakah kegagalan pencapaian tujuan dapat mengancam keberlanjutan organisasi Anda? 

Secara ringkas dapat dipahami bahwa sebuah organisasi memiliki tujuan strategis yang ingin dicapai, tetapi kegagalan atas pencapaian tujuan tersebut tidak memiliki dampak apapun terhadap organisasi, maka dengan kata lain tidak ada risiko yang perlu dikelola. 

Sebagai gambaran, setelah berbagai risiko telah diidentifikasi dan dinilai, akan muncul sebuah profil risiko yang terkait dengan pencapaian tujuan. Idealnya, risiko-risiko tersebut akan dimitigasi guna menjaga agar tujuan organisasi tetap bisa dicapai. 

Jika suatu organisasi tidak terpengaruh dengan ketidaktercapaian tujuannya, maka tentu secara logis tidak perlu ada risiko-risiko yang harus dikelola. Sehingga, jika jawaban dari pertanyaan kedua tersebut adalah ‘tidak’ maka manajemen risiko tidak perlu diimplementasikan. 

Atau, sudah bukan rahasia lagi jika dalam penjabaran dari tujuan, terdapat sasaran dan indikator-indikatornya, plus target-target yang harus dicapai, baik dalam bentuk jumlah, rasio, persentase, dan ukuran lainnya. 

Tidak ada yang salah dengan hal ini, justru sudah benar karena artinya tercapai atau tidaknya tujuan dapat diukur secara kuantitatif sehingga hasilnya objektif. 

Namun, yang mungkin terjadi (jika tidak mau dikatakan sering), indikator-indikator ini cenderung indikator yang berada pada tingkatan output dan pengolahan datanya dilakukan secara internal. 

Artinya, dari sisi validitas dan kredibilitas hasil perhitungannya tentu bisa dibilang lemah. Lalu apa hubungannya dengan jawaban pertanyaan kedua? Jelas ada, jika organisasi Anda bisa melakukan penyesuaian atas hasil pencapaian target, maka kekhawatiran bahwa target gagal dicapai tentu sangat minim kan? 

To be fair, mungkin saat ini organisasi sudah mulai beranjak ke indikator pada tingkatan outcome, tetapi jumlahnya masih sangat minim. 

Jadi, jika organisasi Anda tidak masalah jika tujuan tidak tercapai, atau bisa melakukan penyesuaian hasil capaian agar tetap (terlihat) tercapai, maka organisasi Anda tidak memerlukan manajemen risiko.

3) Apakah Sudah Pasti Tujuan Organisasi Anda Tercapai?

Sebaliknya, jika jawaban atas pertanyaan “Apakah kegagalan pencapaian tujuan dapat mengancam keberlanjutan organisasi Anda?” adalah ‘ya’ maka organisasi perlu menjawab pertanyaan ketiga. 

Pertanyaan ketiga, “Apakah terdapat kepastian tentang keberhasilan pencapaian tujuan organisasi dan seluruh aktivitas yang dilakukan oleh organisasi untuk mencapai tujuan tersebut (asumsi organisasi tidak bisa mengutak-atik hasil capaian atas tujuan ya)?” 

Jika Anda mampu memastikan bahwa seluruh aktivitas yang dilakukan akan berjalan sesuai rencana 100%, dan mencapai hasil yang diharapkan, maka organisasi Anda tidak sedikit pun memerlukan manajemen risiko. 

Atas pertanyaan ketiga tersebut, Anda cukup menjawab ‘tidak’ dan manajemen risiko sama sekali tidak Anda perlukan. 

Namun, fakta berbicara, tidak ada hal yang pasti di dunia ini. Ketidakpastian bahkan dapat muncul tidak hanya dari internal organisasi, melainkan (bahkan kebanyakan) juga datang dari luar organisasi. 

Ketidakpastian tersebutlah yang melahirkan berbagai risiko, yang mau tidak mau harus dihadapi oleh organisasi. Bagaimana cara terbaik untuk menghadapi risiko-risiko tersebut? 

Tentu saja dengan mengelolanya, memahami setiap risiko yang ada baik penyebab dan akibatnya, termasuk mengukur seberapa besar kemungkinan risiko tersebut terjadi dan dampaknya, untuk membuat prioritas risiko. 

Prioritas sangat penting karena sumber daya organisasi memiliki batasan sehingga tidak semua risiko tersebut dapat dimitigasi.

Pentingnya Penguatan Urgensi Implementasi dari Dua Sisi

Artinya, jika tiga pertanyaan tersebut ditelaah, semuanya bermuara pada satu hal yang sama yaitu tujuan organisasi. Tanpa adanya tujuan organisasi yang jelas dan terukur, tidak ada gunanya menerapkan manajemen risiko. 

Berdasarkan tujuan organisasi itulah pengelolaan risiko dilakukan. Jika organisasi Anda selalu menjawab ‘tidak’ pada tiga pertanyaan di atas, maka Anda tidak perlu repot-repot memelajari: 

• bagaimana kerangka manajemen risiko, 
• bagaimana membangun tata kelola pengelolaan risiko, dan
• bagaimana membangun kebijakan pengelolaan risiko dan penanaman budaya sadar risiko di seluruh level organisasi. 

Namun, Anda tidak bisa kemudian berkata, “enak ya tidak perlu menerapkan manajemen risiko”. Karena sesungguhnya kalimat yang lebih tepat adalah “ternyata organisasi saya tidak perlu ada, karena tidak ada tujuan jelasnya.”

Sebaliknya, jika pertanyaan pertama, kedua, dan ketiga menghasilkan jawaban ‘ya’, maka Anda perlu menyegerakan untuk menerapkan manajemen risiko, seandainya organisasi Anda belum menerapkannya. 

Implementasi manajemen risiko yang efektif bukan hanya didasari oleh adanya regulasi yang mewajibkan penerapannya. Justru, jika hanya ditujukan untuk memenuhi kepentingan peraturan perundangan, manajemen risiko tidak akan memberikan manfaat yang sesungguhnya. 

Pondasi pertama untuk menerapkan manajemen risiko yang efektif adalah memahami bahwa organisasi Anda memang memerlukan pengelolaan risiko guna mencapai tujuan organisasi. 

Dengan demikian, pengelolaan risiko akan selalu melekat pada proses bisnis organisasi, sejak penetapan strategi sampai pada day-to-day activities organisasi, bukan didasari oleh compliance approach. 

Jadi, sudah tahu kan untuk mengimplementasikan manajemen risiko yang memberikan nilai tambah, dimulai dari mana?