Krisis keuangan global yang terjadi satu dekade yang lalu bisa dikatakan menjadi suatu titik awal pemahaman masif bahwa penerapan manajemen risiko merupakan suatu hal yang sangat penting bagi pencapaian tujuan organisasi.
Bisa dikatakan bahwa selama sepuluh tahun ini organisasi dari berbagai sektor di berbagai belahan dunia berlomba-lomba membangun manajemen risikonya. Kondisi yang tak berbeda juga terjadi di Indonesia.
Menariknya, tak hanya di swasta, di sektor pemerintah pun mulai serentak dilakukan hal yang sama. Tentu saja, pasca menjamurnya organisasi yang telah membangun manajemen risikonya, akan segera tiba di suatu titik munculnya pertanyaan,
“Apakah manajemen risiko yang telah dibangun telah diimplementasikan dalam aktivitas organisasi sehari-hari?”
Atau lebih jauh lagi,
“Apakah implementasi manajemen risiko tersebut dapat memberikan nilai tambah dalam upaya pencapaian organisasi? Bagaimana mengukurnya?”
Mengukur Maturitas Manajemen Risiko
Karen Hardy, dalam bukunya berjudul “Enterprise Risk Management – A Guide for Government Professionals” menjelaskan bahwa dalam implementasi manajemen risiko, khususnya di fase-fase awal, dukungan dan pengembangan yang optimal sangat dibutuhkan guna memastikan bahwa manajemen risiko bukanlah sebuah proses yang stagnan melainkan terus berkembang setiap waktu.
Organisasi tentu perlu memperhatikan apakah seluruh komponen manajemen risiko telah dibangun, atau ada komponen yang masih belum dikembangkan secara optimal?
Oleh karena itu, maturitas manajemen risiko merupakan pengukuran yang tepat untuk memastikan seberapa matang manajemen risiko yang telah dibangun sampai dengan saat dilakukan pengukuran.
Maturitas manajemen risiko merupakan suatu alat benchmarking untuk mengukur sejauh mana organisasi mampu mengimplementasikan manajemen risiko, dibandingkan dengan best practice-nya.
Tujuan mengukur maturitas adalah untuk dapat mengevaluasi secara komprehensif apakah manajemen risiko organisasi telah sesuai dengan kriteria best practice, sehingga akan dapat teridentifikasi area perbaikan dan peluang untuk meningkatkan kematangan manajemen risikonya secara terencana dan memadai.
Sejauh ini, beberapa lembaga, baik profit maupun non-profit, telah membangun kerangka atau model pengukuran tingkat maturitas manajemen risiko. Terdapat tiga model yang mengemuka, yakni RMM, RMI, dan RM Simple Model, yang dijelaskan pada uraian berikut.
RIMS Risk Maturity Model (RMM), menekankan bahwa kunci sukses manajemen risiko bergantung pada tingkat maturitas organisasi dalam mendemonstrasikan tujuh atribut.
RMM adalah alat ukur yang digunakan untuk mengetahui apakah ada bagian yang perlu ditingkatkan guna membentuk manajemen risiko yang kompeten di suatu organisasi.
RMM memberikan kriteria yang terstandarisasi, dimana organisasi dapat mengidentifikasi tingkat kematangan, kekuatan, dan kelemahan manajemen risikonya, dan langkah peningkatannya ke depan.
RMM terdiri dari enam puluh delapan indikator kesiapan kunci yang menggambarkan dua puluh lima pendorong kompetensi bagi tujuh atribut yang dapat menciptakan nilai dan utilitas manajemen risiko bagi organisasi.
Tingkatannya, dari “ad hoc” ke “leadership”. Fitur unik dari model ini adalah penerapannya terlepas dari kerangka kerja dan standar khusus yang digunakan organisasi, baik itu ISO 31000, ERM COSO, COBIT, Standard & Poor’s ERM, ataupun Sarbanes-Oxley.
Risk Maturity Index (RMI) yang dikembangkan oleh AON, merupakan opsi lain guna mengukur tingkat maturitas manajemen risiko. RMI adalah alat diagnostik inovatif yang memungkinkan para pimpinan organisasi menilai sendiri kerangka kerja manajemen risiko organisasi mereka secara efisien, menerima umpan balik segera, dan saran untuk meningkatkan kemampuan mereka.
RMI secara objektif menilai praktik dan struktur yang dapat diamati yang terkait dengan tata kelola organisasi, proses pengambilan keputusan manajemen, dan manajemen risikonya.
Guna mengukur maturitasnya, organisasi perlu menjawab sepuluh karakteristik maturitas risiko mulai dari bagaimana komitmen pimpinan sampai dengan memastikan apakah manajemen risiko telah difokuskan untuk penciptaan nilai bagi organisasi.
Adapun Ayse Nordal dan Ole Martin Kjorstad dari Norwegia melalui IIA Norwegia, merilis sebuah pendekatan atau model baru dalam pengukuran maturitas manajemen risiko pada tahun 2017, yang dinamakan RM Simpel Model.
Mereka berargumen bahwa model yang ada sampai dengan saat ini kebanyakan mengasumsikan bahwa kemajuan berkelanjutan ke tingkatan maturitas yang lebih tinggi dari waktu ke waktu, dan kenaikan tingkatan harus dilakukan secara berurutan.
Model-model tersebut tidak mengenali bahwa setiap area sangat mungkin memiliki tingkat maturitas yang berbeda. Oleh karena itu, Nordal dan Kjorstad lebih memfokuskan pada tujuan maturitas dibandingkan tingkatan maturitas.
Melalui lima dimensi yang ditetapkan, masing-masing dimensi menjawab tujuan maturitasnya sendiri. Pengukuran inipun menjadi lebih detail. Dalam setiap dimensinya terdiri dari 10 kriteria, sehingga total kriterianya adalah 60 kriteria.
Berdasarkan pengukuran tersebut, nantinya akan ditentukan tingkatannya untuk masing-masing dimensi, sehingga hasil yang didapatkan adalah lima tingkatan maturitas dari lima dimensi.
Perbandingan ketiga model tersebut terlihat dari tabel berikut:
Setelah memahami tentang tingkat maturitas manajemen risiko di atas, apakah sudah bisa menjawab tentang efektivitas implementasi manajemen risiko di dalam organisasi? Jawaban singkatnya, belum.
Berdasarkan supplemental guidance yang baru saja dirilis oleh IIA Global pada tahun 2019 berjudul “Assesing the Risk Management Process”, tingkat maturitas organisasi sangat bergantung dengan karakteristik, ekspektasi, dan kebutuhan organisasinya.
Pada praktiknya, organisasi tidak harus mencapai level tertinggi maturitas jika memang diketahui bahwa untuk saat ini, level 3 dari maksimal 5 sudah merupakan tingkatan optimal bagi organisasi.
Kembali lagi pada tujuan manajemen risiko yaitu memberikan nilai tambah bagi upaya pencapaian tujuan organisasi, apakah dengan maturitas yang tinggi secara otomatis segala risiko yang dapat menghambat pencapaian tujuan organisasi telah dikelola dengan memadai?.
Menilai Efektivitas Manajemen Risiko
Oleh karena itu, perlu dilakukan penilaian lain guna mengukur apakah proses manajemen risiko telah dilakukan secara efektif. Sesuai dengan tugasnya, auditor internal harus mengevaluasi efektivitas proses manajemen risiko organisasinya dan memberikan masukan perbaikan.
Fokus penilaiannya adalah memastikan:
- apakah tujuan organisasi sejalan dengan visinya,
- apakah manajemen telah mengukur risiko-risiko yang signifikan,
- apakah respon yang dilakukan oleh manajemen telah sejalan dengan selera risiko organisasi, dan
- apakah informasi risiko yang relevan telah dikumpulkan dan diinformasikan secara berkala kepada seluruh pihak di dalam organisasi.
Secara sederhana, manajemen risiko merupakan ‘bahasa’ yang memudahkan organisasi untuk mengenali sebuah risiko dan ketidakpastian. Oleh karena itu, salah satu cerminan efektivitas manajemen risiko adalah apabila risiko telah menjadi ‘bahasa’ sehari-hari yang digunakan dalam aktivitas organisasi.
Pada level optimalnya, bahasa yang digunakan manajemen organisasi berarti dapat dipahami dan dimengerti oleh para pemangku kepentingannya. Sebagai contoh, penggunaan Value at Risk, nilai yang akan hilang saat risiko terjadi.
Sebagai gambaran di perusahaan, bahasa ini dipahami oleh manajemen untuk menyusun langkah mitigasi risiko-risikonya. Oleh pemilik risiko bahasa ini digunakan untuk mengambil keputusan strategis, dan oleh manajemen operasi digunakan untuk menjaga operasi berjalan sesuai prosedurnya.
Kembali lagi, mengukur efektivitas manajemen risiko tentu harus masuk ke dalam proses bisnis organisasi, proses pengelolaan risikonya, bukan hanya melihat struktur atau kepatuhan terhadap standar atau best practice-nya.
Lalu bagaimana melakukannya? Mungkin sulit untuk menilai keseluruhan proses manajemen risiko dalam satu waktu. Oleh karena itu, ruang lingkup dapat ditetapkan menggunakan kriteria yang memenuhi tujuan spesifik yang dipilih.
Misalnya, ruang lingkup dapat ditetapkan berdasarkan unit organisasi, lokasi, tujuan strategis, atau dengan kriteria lain yang diprioritaskan oleh organisasi. Dalam supplemental guidance IIA Global di atas, dijelaskan bahwa auditor internal dapat berfokus pada tiga atribut yaitu risk management culture, risk management governance, dan risk management process.
Tentu saja dalam implementasinya, auditor internal perlu membuat analisis yang lebih rinci dan langkah-langkah pengujian yang disesuaikan dengan kebijakan dan prosedur yang spesifik dan relevan bagi organisasi.
Untuk penilaian lengkap dari proses manajemen risiko, auditor internal mungkin juga perlu membuat program kerja khusus untuk bidang yang relevan misal berfokus pada risiko hukum, risiko kepatuhan, risiko perencanaan strategis, atau risiko-risiko lainnya.
Penutup
Berdasarkan penjelasan di atas, pembaca dapat memiliki gambaran pemahaman dasar yang utuh tentang bagaimana mengukur dan menilai efektivitas manajemen risiko di dalam organisasi.
Langkah awalnya tentu memahami tentang apa itu tingkat maturitas dan efektivitas manajemen risiko, dan perbedaan keduanya. Keduanya penting namun memiliki tujuan yang berbeda.
Berbicara maturitas manajemen risiko artinya berbicara tentang kematangan struktur tata kelola manajemen risiko organisasi. Namun, bagi organisasi yang sudah matang manajemen risikonya belum tentu telah optimal dalam menyusun risk register, yakni telah mengidentifikasi risiko-risiko kunci, dan telah mengelolanya dengan baik.
Sedangkan jika ingin memastikan efektivitas tersebut, maka perlu dilakukan assurance terhadap proses manajemen risikonya, lebih substansi berbicara risiko kunci, analisis, dan mitigasi risikonya.
Seorang alumnus ASN yang sedang menikmati dunia yang penuh uncertainty, dengan mempelajari keilmuan risiko dan komunikasi.
Selamat pagi …
Menurut bapak, apakah hasil penilaian maturitas SPIP (versi BPKP) sama atau bisa menggantikan hasil penilaian maturitas manajemen risiko. Sehingga nilai tsb dapat dimanfaatkan dalam perencanaan kegiatan pengawasan dan pendekatan audit yg katanya hrs berbasis risiko.
Jika jawabannya tidak, lalu dari RMM, RMI, RM Simple Model, manakah yg terbaik untuk dimplementasikan di K/L/D/I ….
Hatur nuhun pisan ….