Artikel

/Artikel
Artikel2021-01-27T19:01:07+07:00

Pengelolaan Risiko Operasional untuk Dukung Pencapaian Sasaran

Penulis: Cipto Hartono SE As, AAIK, ANZIIF (Snr Associate), AIIS, APAI, QCRO, QRGP, CERG, Ketua Bidang Keanggotaan IRMAPA

Editor: Aprilia Kumala

Kegiatan operasional di sebuah organisasi dengan organisasi lainnya tentu berbeda dan bersifat khas, tergantung dari konteks organisasi itu sendiri. Konteks didefinisikan sebagai lingkungan di mana sebuah organisasi berusaha untuk mencapai sasarannya (ISO 31000). Ada organisasi yang memiliki kegiatan operasional sederhana, tetapi ada pula yang kegiatan operasionalnya sangatlah kompleks. Hal ini dipengaruhi oleh banyak faktor, antara lain skala organisasi, cakupan layanan operasional, teknologi yang dipergunakan, sumber daya manusia yang terlibat, baik jumlah maupun kualitasnya, dan sebagainya.

Kegiatan operasional sendiri merupakan upaya nyata organisasi untuk mencapai sasaran yang ingin diraih. Hal terakhir yang diinginkan sebuah organisasi adalah menemui kegagalan operasional yang berdampak langsung pada kualitas dan hasil kinerjanya, serta berpotensi menggagalkan pencapaian sasaran. Dengan demikian, organisasi harus selalu memastikan kegiatan operasional dapat berjalan dengan stabil tanpa adanya gangguan yang tidak dapat dikendalikan.

Sementara itu, risiko operasional didefinisikan sebagai risiko akibat ketidakcukupan dan/atau tidak berfungsinya proses internal, kesalahan manusia, kegagalan sistem, dan/atau adanya kejadian eksternal yang memengaruhi kegiatan operasional (POJK 44 tahun 2020). Sebagai bagian dari upaya pengendalian risiko, organisasi perlu mempersiapkan berbagai langkah persiapan maupun pencegahan. Hal utama yang perlu dilakukan adalah melakukan identifikasi area yang kritikal dan rentan terhadap gangguan pada operasional proses bisnis organisasi.

Secara umum, berikut ini adalah beberapa hal yang perlu diperhatikan oleh setiap organisasi:

  1. Alur Kerja Proses Bisnis Organisasi

Kegiatan operasional yang dilakukan sebuah organisasi tercermin pada alur kerja proses bisnis di masing-masing tahapan aktivitas. Alur kerja yang efektif dan efisien memberikan kemudahan bagi organisasi untuk menunjukan hasil kerjanya dalam bentuk produk maupun jasa.

Namun, ada kalanya alur kerja justru menjadi sumber risiko operasional ketika tidak didesain secara sederhana dan justru memiliki banyak tahapan berulang serta panjangnya birokrasi. Atau sebaliknya: alur kerja yang terlalu singkat dapat menimbulkan kelemahan kendali karena tidak terbentuknya mekanisme maker-checker maupun pengawasan berlapis/four eyes principle. Jika ini terjadi, akan ada kesempatan lebih besar untuk terjadinya tindak kecurangan (fraud) dari kegiatan aktivitas proses bisnis internal.

Menghadapi hal itu, organisasi perlu secara rutin melakukan peninjauan atas alur kerja proses bisnisnya. Bersamaan dengan itu, organisasi juga perlu mengidentifikasi jenis proses bisnis yang rentan dan yang memiliki kelemahan serta berpotensi gagal. Dengan demikian, organisasi dapat menganalisis penyebab dan dampak serta menyiapkan solusi utama sekaligus solusi alternatif untuk mengantisipasi potensi kegagalan tersebut. Perubahan alur kerja proses bisnis terkadang menjadi pilihan yang paling ideal untuk mencegah risiko operasional terjadi.

  1. Kesiapan dan Kecukupan Sumber Daya Manusia (SDM)

Kegiatan operasional sangat bergantung pada SDM yang melaksanakannya. Maka, organisasi hendaknya mempertimbangkan faktor lingkungan, baik internal maupun external untuk melihat apakah SDM saat ini masih mencukupi dan sesuai dengan kebutuhan. Perubahan lingkungan yang cepat perlu diantisipasi dengan menyiapkan SDM secara tepat. Dengan demikian, kapasitas dan kapabilitas SDM menjadi penting untuk terus dimonitor dan dikembangkan.

Sebagai contoh, perubahan proses bisnis karena pemanfaatan teknologi tentunya membawa banyak manfaat bagi organisasi. Namun, hal ini perlu diimbangi dengan kemampuan manusia untuk menggunakan teknologi baru tersebut. Jangan sampai manusia sebagai pengguna tidak memiliki kompetensi terkini sehingga justru menjadi sumber risiko. Untuk itu, diperlukan upaya rutin guna memastikan kualitas SDM tetap terjaga, antara lain dalam bentuk kegiatan pelatihan dan pendampingan.

Selain kualitas SDM, kuantitasnya pun perlu mendapat porsi perhatian yang sama besarnya. Bicara tentang kecukupan jumlah SDM dalam suatu aktivitas proses bisnis tak bisa lepas dari analisis beban kerja dan produktivitas. Contoh sederhananya dapat dilihat dalam penggunaan teknologi yang berkontribusi terhadap efisiensi tenaga kerja. Pekerjaan yang awalnya harus dikerjakan beberapa orang kini bisa dikerjakan dengan lebih sedikit orang—atau bahkan hilang sama sekali—dengan proses yang otomatis, seperti pemanfaatan robotic process automation. Hal ini akan menimbulkan kelebihan kapasitas SDM yang ada, maupun ketidakcocokan antara jumlah dengan kompetensi yang dibutuhkan.

Namun, di sisi lain, jika jumlah SDM tidak mencukupi, akan terjadi beban kerja yang berlebihan. Kondisi ini juga tidak ideal karena dapat menimbulkan risiko operasional berupa tidak tercapainya hasil kinerja yang diharapkan. Contoh risiko yang paling mungkin terjadi adalah faktor kelelahan akibat beban kerja yang tinggi yang dapat menimbulkan kesalahan dalam pelaksanaan proses bisnis.

Jika hal-hal di atas tidak diantisipasi dengan baik, risiko baru berupa demotivasi, kesenjangan beban kerja, rendahnya produktivitas, maupun banyaknya ketidakefisiensian dalam organisasi bisa saja muncul.

  1. Keandalan Sistem Teknologi

Kondisi pandemi yang telah dan masih berlangsung merupakan faktor pendorong utama atas percepatan penggunaan sistem teknologi yang masif. Bagaimanapun, penggunaan sistem teknologi telah menjadi bagian tidak terpisahkan dari proses operasional bisnis sebuah organisasi. Bahkan, di beberapa tempat, ketergantungan terhadap sistem teknologi menjadi sangat tinggi hingga kegagalan sistem dapat melumpuhkan seluruh aktivitas bisnis.

Dalam organisasi, sistem teknologi perlu disesuaikan dengan kondisi aktivitas proses bisnis terkini. Kemampuan sistem perlu selalu diuji guna memastikan apakah masih mumpuni. Contoh nyata yang sering dijumpai adalah terkait perubahan akses sistem di masa pandemi.

Sebelum masa pandemi, semua karyawan bekerja dari kantor di mana semua sistem pendukung sudah dipersiapkan. Di masa pandemi, semua orang dipaksa bekerja jarak jauh, khususnya dari rumah. Akibatnya, sistem teknologi menjadi sangat rentan untuk mengalami gangguan. Kecukupan keamanan jaringan, kapasitas bandwidth maupun kecukupan storage dan ancaman virus merupakan beberapa hal mendasar yang perlu diperhatikan organisasi.

Selain itu, organisasi juga perlu mempersiapkan rencana pemulihan bencana yang dikaitkan dengan kesiapan sistem teknologi. Tujuannya adalah untuk memastikan sistem dapat kembali berfungsi dengan cepat pada saat mengalami kejadian bencana.

  1. Kejadian Eksternal

Selain risiko operasional yang berasal dari internal organisasi, faktor eksternal juga dapat memengaruhi kegiatan operasional. Salah satu tantangan utama terkait faktor eksternal adalah terkadang ia tidak dapat dikendalikan kemungkinan kejadiannya.

Sebuah organisasi perlu mengidentifikasi seluruh kejadian utama yang berasal dari eksternal, termasuk—namun tidak terbatas pada—bencana alam, pandemi, perubahan teknologi, perubahan tren pasar, dan lain-lain. Organisasi juga dapat melakukan analisis yang lebih menyeluruh terhadap faktor eksternal, antara lain menggunakan metode PESTEL analysis yang merupakan singkatan dari Politic, Economy, Social, Technology, Environment, Legal.

Dengan melakukan penilaian risiko yang menyeluruh untuk setiap faktor eksternal, diharapkan organisasi dapat lebih memahami dan memperkirakan kejadian apa yang mungkin muncul di masa mendatang. Dengan demikian, organisasi dapat mempersiapkan rencana mitigasi untuk memperkuat pengendalian agar kegiatan operasional dapat terus berjalan.

By |

GOVERNANCE and MANAGEMENT: In the context of a two-board system

29th April 2022

By Dr. Antonius Alijoyo

5 minutes reading

What are the differences and interlinks between governance and management? Whereas this simple question is an easy one for the corporations’ practitioners at the board level and/or senior management, it still, somehow, remains hard to figure out by public and entry-level professionals, especially when they study the understanding of governance versus management from the Anglo-Saxon’s literature which base on the one-board system whilst they live and observe the practice in Indonesia which base on the two-board system. Let us examine what the international standard ISO 37000:2021 (Governance of Organizations – Guidance) says and how it is described in Indonesia company law which recognizes the two-board system.

ISO 37000:2021 has provided a working understanding between governance and management. It said that “Governance” and “Management” are distinct, necessary and complementary activities that interact and influence one another. Governance involves setting and being accountable for the organization’s fulfillment of its purpose within the parameters set for the organization, whereas management is about fulfilling the associated objectives by making choices within those parameters. The governing body should ensure the clarity of roles and responsibilities of all involved and hold accountable those to whom they delegate (ISO 37000:2021).

ISO 37000:2021 further said that “The degree of separation of duties between the governing body and managers varies according to organizational needs and circumstances. In certain circumstances, such as an executive member of the governing body, an individual can be required to fulfill both governance and management responsibilities. In such cases, it is important for that person to be able to distinguish when they are fulfilling the different responsibilities and act and behave accordingly”.

Using the understanding above, let us turn our attention to governance and management in the context of a two-board system bounded by the Indonesian company law. As such, we recognize three organs: General Meetings of Shareholders (GMoS), Board of Commissioners (BOC), and Board of Directors (BOD). In bahasa Indonesia, GMoS is understood as “rapat pemegang saham” which consists of two types “rapat umum pemegang saham’ (RUPS) and “rapat umum pemegang saham luar biasa (RUPSLB), whereas BOC is understood as Dewan Komisaris and BOD is understood as Direksi or Dewan Direktur. Let us review their respective roles and duties as regards governance and management.

GMoS is the supreme organ in Indonesian corporation, they appoint both BOC and BOD on behalf of the shareholders and also dismiss them when their term is due or if dismissal is necessary required. BOC is accountable for oversight duties which are merely governance domain, whereas BOD is accountable for the executive duties, which are partly governance and mostly management.

Later in this article, if we use governing body, it means BOC, and if we use governing bodies, it means BOC and BOD of the company.

BOC as a governing body

AGMS appoints BOC members, and their name is stipulated in the company’s article of the association, respectively. Their role and duties are to assure that the governance principles and practices are carried out properly by the organization for the best interest of the firm. Some are held fully by BOC, and some are jointly held together with BOD in the two-context board system in Indonesia.

Governance is the practice of the BOC coming together to make decisions about the company’s direction. Duties such as oversight are fully held by BOC, whereas other governance activities, i.e., strategic planning, strategic decision-making, and financial planning and reporting, are jointly held together with BOD. As such, BOC should refrain from getting directly involved in daily executive matters. BOC allows directors and one level below director to develop their operational strategies, and BOC reviews the strategy to make sure they’re in keeping with the overall planning. In this case, BOC must take action when necessary for the firm’s best interest, especially with regard to unexpected crises. BOC has collective accountability, meaning its decision is only valid if made on behalf of BOC as a whole governing body.

BOD as a governing body and top management

Besides some governance duties jointly held by BOC above, BOD is accountable for the management of the company based on Vision-Mission and Values of the organization to realize the strategies into actions for the firm’s best interest. AGMS appoints BOD members, and their respective name is stipulated in the company’s article of association. BOD could assign their specific individual duties among themselves, e.g., finance, marketing, human capital, technology, etc. However, they are accountable jointly and severally, hence collective and collegial.

Is BOD top management? Yes, they are. Is BOD a governing body? Yes, in a way, jointly with BOC.

In this case, top management could consist only of BOD or add some non-BOD called Non-BOD C-Level. In this case, they could appoint some non-BOD C-level such as Chief Finance Officer (CFO), Chief Marketing Officer (CMO), Chief Technology Officer (CTO), Chief Compliance Officer (CCO), and Chief Operations Officer (COO). Those non-BOD C level names are not stipulated in the company’s article of association. As far as accountability is concerned, BOD could not delegate its accountability to the non-BOD C-Level. They can appoint them and share the authority but not the accountability.

One thing to note: whereas the accountability of BOC is collective accountability, the BOD accountability is collegial and collective. It means they are accountable and liable severally and jointly among BOD members. In other words, any agreement between one BOD member with external parties will bind all BOD members to be held accountable. Therefore, checks and balances among themselves are critical.

Governance vs. Good Corporate Governance

In a perfect corporate world, all the managers and employees know their duties and responsibilities and act on them responsibly. They’re honest and hardworking people with a solid commitment to ethics and integrity. Unfortunately, that isn’t always the case. The governing bodies are intended to be the check and balance that oversees employees and all aspects of the company’s operations. How do they do it? Through implementing Good Corporate Governance Principles: Transparency, Accountability, Responsibility, Independence, and Fairness in all aspects of the corporation.

Since the governing board is ultimately responsible for all related company’s performance and conduct, they are supposed to discharge their fiduciary duties, which covers at least Duty of Loyalty – making decision and action always for the best interest of the firm, Duty of Skill – making decision and action always with appropriate skills and Duty of Care – making decision and action always with due care.

I hope this article is useful for future board members and risk professionals.

Dr. Antonius Alijoyo

Founder of Center for Risk Management and Sustainability Indonesia

By |

Pentingnya Integrasi sebagai Kunci Keberhasilan Proses Manajemen Risiko

Penulis: Cipto Hartono, Ketua Bidang Keanggotaan IRMAPA

Editor: Aprilia Kumala

Banyak organisasi mengeluhkan penerapan manajemen risiko di organisasinya yang dirasa tidak berjalan dengan efektif. Hal ini ditunjukkan dengan banyaknya karyawan, sebagai pemilik risiko, yang menganggap pengelolaan risiko tidaklah penting. Mereka terkesan tak acuh terhadap risiko yang dihadapi, tidak merasa memiliki atas risiko yang ada pada unit kerjanya, dan bahkan merasa terbebani pada saat sesi diskusi, baik pelaporan maupun pembahasan tentang risiko.

Hasilnya dapat terlihat dari kualitas kinerja yang  biasa-biasa saja atau bahkan menurun. Keterlambatan proses bisnis masih terjadi, keluhan nasabah/klien masih banyak, rate turnover karyawan tinggi, dan berbagai masalah lain muncul akibat tidak adanya pengelolaan risiko yang baik.

Apa yang menyebabkan ini terjadi? Bagaimana cara mengubah pola pikir karyawan agar memahami pentingnya manajemen risiko?

Harus kita sadari bahwa manajemen risiko merupakan salah satu cabang ilmu manajemen yang lahir dan dikembangkan belakangan setelah banyaknya ilmu manajemen lainnya, seperti manajemen pemasaran, manajemen keuangan, manajemen strategi, manajemen sumberdaya, dan sebagainya. Dengan demikian, wajar jika sampai saat ini belum banyak orang yang memiliki pemahaman secara menyeluruh mengenai manajemen risiko, apalagi menggunakan manajemen risiko sebagai alat bantu dalam mencapai sasarannya.

Dalam praktek keseharian, beberapa orang mungkin saja telah melakukan proses pengelolaan risiko dalam bentuk sederhana tanpa disadari. Namun, pengelolaan risiko tersebut sering kali belum dilakukan secara terstruktur, tidak konsisten, dan tidak menyeluruh. Dengan kata lain, pengelolaan risiko sangat bergantung pada orang yang melaksanakannya, terlebih jika tanpa diiringi dengan peningkatan kapasitas pelaksana maupun panduan yang memadai.

Untuk itulah pendekatan yang taktis diperlukan. Gunanya tentu untuk memastikan semua orang di dalam organisasi dapat melaksanakan manajemen risiko secara aktif, terstruktur, dan komprehensif. Salah satu metode yang paling efektif adalah dengan cara mengintegrasikan proses manajemen risiko ke dalam proses bisnis.

Contoh Aplikasi Pengelolaan risiko yang Terintegrasi dalam Proses Bisnis (Penjualan)

Tiap tingkatan proses bisnis memiliki sasaran, target, maupun tujuan yang berbeda.  Usaha serta cara mencapai sasaran tersebut juga berbeda-beda. Dengan demikian, risiko yang dihadapi pemilik bisnis juga beragam, sesuai dengan situasi dan kondisi yang dihadapi.

Kendala yang muncul adalah pihak pemilik terkadang tidak menyadari bahwa risiko itu sebenarnya melekat dengan proses bisnis yang sedang dijalani.  Yang kerap terjadi, banyak yang menganggap bahwa risiko selalu berada di luar proses bisnis sehingga bukan merupakan tanggung jawabnya. Akibatnya, tidak muncul rasa memiliki atas pengelolaan risiko yang perlu dilakukan sebagai bagian dari aktivitas proses bisnis sehari-hari. Lebih parah lagi, banyak orang yang menganggap pengelolaan risiko sebagai beban tambahan atau hanya sekadar pekerjaan administratif yang tidak memberikan nilai lebih bagi diri dan unit kerjanya.

Dengan demikian, isu utama yang perlu mendapat perhatian masing-masing organisasi adalah kepentingan untuk memastikan paradigma serta pola pikir yang tepat atas kepemilikan risiko.

ISO 31000 memberikan definisi yang jelas atas pemilik risiko (risk owner), yakni “orang atau entitas yang memiliki akuntabilitas dan wewenang untuk mengelola risiko”. Dengan kata lain, pemilik risiko adalah orang yang memiliki tanggung jawab dan wewenang untuk mengelola risiko. Terlebih, mengingat risiko melekat pada proses bisnis dalam upaya pencapaian sasaran, maka menjadi jelas bahwa pemilik risiko dan orang yang memiliki sasaran sekaligus melaksanakan proses bisnis adalah pihak yang sama.

Pemahaman ini menjadi krusial sebagai dasar pengelolaan risiko lanjutan. Seseorang yang menyadari bahwa ia adalah pemilik sasaran yang juga pemilik proses bisnis sekaligus pemilik risiko akan melakukan langkah-langkah yang dirasa perlu untuk memastikan sasarannya tercapai. Dengan pemahaman yang sama, ia akan berupaya menangani risiko yang mungkin ada dalam proses bisnisnya.

Setelah adanya pemahaman serta paradigma yang tepat, langkah berikutnya yang perlu dipersiapkan adalah memastikan bahwa pemilik risiko mempunyai kemampuan yang cukup untuk pengelolaan risiko yang efektif. Pemilik risiko mula-mula perlu diajak memahami bahwa pengelolaan risiko yang efektif adalah pengelolaan risiko yang melekat dan terintegrasi, serta tidak terpisah dari aktivitas proses bisnis yang dilakukan.

Sebagai contoh, seorang Sales Leader yang memiliki sasaran mencapai target penjualan tertentu akan menyusun rencana aktivitas penjualan, lengkap dengan alokasi sumber daya, timeline, budget, produk, penentuan harga, saluran pemasaran, dan lain-lain. Bersamaan dengan aktivitas bisnis tersebut, maka ia perlu juga melakukan identifikasi, analisis, dan antisipasi sebagai bentuk pengelolaan risiko yang dihadapinya di setiap tahapan proses bisnis tersebut.

Kondisi pandemi yang masih dihadapi memaksa perlu adanya alternatif aktivitas penjualan menggunakan cara online atau digital. Hal ini dapat menjadi risiko berupa ancaman, tetapi juga memberikan peluang baru yang perlu diperhatikan.

Risiko yang bersifat negatif perlu diupayakan agar tidak terjadi, misal kehilangan calon nasabah/klien karena proses penjualan online yang tidak efektif. Sementara itu, risiko yang bersifat positif dalam bentuk kemampuan untuk mengakses lebih banyak calon nasabah/klien dalam satu waktu via online, perlu juga mendapat porsi perhatian lebih untuk dimaksimalkan. Secara sederhana, semua hal tersebut perlu dikelola bersamaan dengan pelaksanaan aktivitas proses bisnis, serta oleh pemilik proses bisnis itu sendiri.

Dengan integrasi di atas, pihak yang melaksanakannya tidak akan merasa terbebani atas pengelolaan risiko yang secara melekat telah dilakukannya. Bahkan, ia akan mendapatkan banyak manfaat karena memiliki waktu untuk mempelajari sekaligus memahami apa yang akan ia hadapi di masa mendatang. Selain itu, cara ini juga memungkinkan adanya cukup waktu untuk mempersiapkan rencana mitigasi dan antisipasi sebagai bagian dari pengelolaan dan manajemen risiko terintegrasi.

By |

Peranan Key Risk Indicator dalam Penerapan Manajemen Risiko yang Efektif

Penulis: Cipto Hartono, Ketua Bidang Keanggotaan IRMAPA

Editor: Aprilia Kumala

Dalam upaya mencapai sasaran yang ingin diraih, sebuah organisasi tentu akan berusaha untuk mengelola risiko yang dihadapi dengan melakukan berbagai tindakan pengendalian. Namun, ada kalanya pengendalian risiko yang sudah dipersiapkan, yang awalnya dianggap mencukupi, tidak berjalan seperti yang diharapkan. Penyebabnya beragam, termasuk karena kendali tersebut tidak cukup kuat untuk menahan exposure risiko. Faktor penyebab lainnya juga bisa berhubungan dengan kedislipinan dalam pelaksanaan kendali yang dimaksud.

Sering kali, pengendalian risiko dilakukan hanya dengan berfokus pada hasil akhir dari kinerja yang diharapkan dalam pemantauan Indikator Kinerja Utama (Key Perfomance Indicator/KPI). Hal ini wajar, mengingat pencapaian target di masing-masing lini organisasi menjadi penting bagi beberapa pihak. Namun, sering kali pemantauan pencapaian target kinerja ini tidak diiringi dengan pemantauan aktivitas proses bisnis. Padahal, pemantauan aktivitas itu sendiri adalah penopang utama dari upaya pencapaian kinerja yang diinginkan. Akibatnya, bukan tak mungkin jika organisasi tersebut justru menghadapi kejadian-kejadian yang tidak terduga di tengah proses bisnis, yang menimbulkan gangguan serta menghambat upaya mencapai sasaran.

Bagaimana Indikator Risiko Utama (Key Risk Indicators/KRI) dapat membantu organisasi mengendalikan risiko secara efektif?

Proses bisnis dalam sebuah organisasi memiliki tahapan hierarki sesuai tingkatan akuntabilitas di dalamnya. Semakin ke atas garis jabatan, maka proses bisnis yang dihadapi akan semakin bersifat strategis. Hal ini misalnya dapat diwujudkan dalam bentuk penentuan rencana strategis maupun alokasi sumber daya. Sementara itu, semakin ke bawah garis jabatan, maka proses bisnisnya akan semakin bersifat operasional, yakni berhubungan dengan pelaksanaan rencana sesuai tahapan proses bisnis keseharian.

Di setiap tahapan hierarki, setiap orang/jabatan memiliki target atau sasaran yang ingin diraih. Umumnya, mereka dapat dengan mudah menentukan dan mendefinisikan KPI terkait sasarannya, seperti target harian, bulanan, tiga bulanan, dan lain-lain. Namun, banyak di antara mereka yang justru tidak mempersiapkan KRI terkait proses bisnis yang dijalaninya tersebut.

KRI merupakan alat bantu yang perlu dipertimbangkan bagi setiap organisasi dalam hal pemantauan aktivitas pada setiap tingkatan proses bisnis. Dengan adanya KRI, sebuah organisasi dapat secara lebih cepat mendeteksi kondisi yang menyimpang dari standar maupun pola kesehariannya. Tujuannya adalah untuk membentuk mekanisme early warning system (sistem peringatan awal) sebagai bagian dari pengendalian risiko yang efektif sehingga dapat mencegah peristiwa risiko (risk event).

Yang dimaksud sebagai peristiwa risiko adalah keadaan di mana risiko yang sebelumnya diidentifikasi ternyata benar-benar terjadi dalam keadaan yang umumnya tidak diharapkan. Kebakaran, sakit, kehilangan nasabah, dan kecelakaan kendaraan adalah beberapa contoh dari peristiwa risiko. Semua peristiwa risiko tersebut menimbulkan dampak, baik kecil maupun besar bagi sasaran organisasi di setiap tingkatan.

Hingga munculnya peristiwa risiko, setiap organisasi umumnya melalui tahapan dengan gejala (symptom) yang bisa dikenali. Gejala ini tidak muncul di hasil akhir kinerja yang terkena dampak dari peristiwa risiko, melainkan pada aktivitas proses bisnis yang sedang dilakukan. Berikut disampaikan sebagai contoh:

“Dalam sebuah peristiwa risiko berupa sakit, sebelumnya tentu ada diagnosis atas penyakit/rasa sakit tertentu, yang biasanya didahului dengan beberapa gejala umum, seperti peningkatan suhu badan, rasa nyeri, pusing, dan lain-lain. Gejala-gejala inilah yang harus dipahami oleh seseorang sebagai peringatan awal bahwa tubuhnya sedang mengalami kelainan. Jika tidak segera ditindaklanjuti, misalnya dengan beristirahat atau meminum obat pereda sakit, peristiwa risiko berupa sakit tentu akan benar-benar terjadi.”

Begitulah gambaran atas apa yang mungkin dihadapi oleh sejumlah organisasi. Kehilangan satu nasabah atau satu klien saja selalu memiliki kemungkinan membawa pengaruh negatif pada pencapaian sasaran. Hal inilah yang dijelaskan sebagai peristiwa risiko. Jika ditelaah ke belakang, tentu akan terlihat gejala yang berhubungan dengan peristiwa risiko tersebut, misalnya keluhan pelanggan yang tidak segera ditanggapi, keterlambatan proses di internal organisasi, kurangnya kunjungan ke nasabah sebagai upaya menjaga hubungan bisnis, dan lain-lain.

Itulah sebabnya, sebuah organisasi perlu menentukan indikator apa yang merupakan kunci dari keberhasilan atas pencapaian kinerja. Indikator-indikator utama inilah yang perlu dikawal dalam aktivitas bisnis organisasi untuk memastikan seluruhnya tidak terlampaui dalam upaya mencegah risiko utama terjadi.

Contoh aplikasi sederhana KRI adalah penentuan Service Level Agreement (SLA) untuk masing-masing tahapan proses bisnis dengan kesepakatan mengenai durasi waktu pemenuhannya. Misalnya, jika satu aktivitas disepakati akan diselesaikan dalam waktu 1 jam dengan target pencapaian SLA minimal 99%, artinya pihak organisasasi hanya memiliki toleransi kurang dari 1% untuk SLA yang tidak tercapai/terlampaui.

Dengan memasukkan target pemenuhan SLA 99% ke dalam salah satu KRI, suatu organisasi akan bisa fokus dalam upaya memantau dan memastikan bahwa semua aktivitas penunjang proses bisnis dapat mendukung upaya pencapaian target. Dengan fokus yang sama, organisasi akan lebih cepat tahu dan menyadari jika terjadi deviasi/penyimpangan pada pemenuhan SLA tersebut. Maka, seperti yang telah disebutkan di atas, indikator risiko ini sesungguhnya berguna sebagai early warning system. Sistem deteksi dini semacam ini memudahkan organisasi untuk mempersiapkan tindakan perbaikan lebih awal di tengah tahapan proses bisnis sebelum penyimpangan berdampak ke hasil akhir kinerja.

Dengan memantau seluruh KRI di setiap tahapan proses bisnis dan memastikan bahwa indikator tersebut tidak melewati toleransi yang ditentukan, maka secara langsung sebuah organisasi telah melakukan pengendalian melekat yang efektif dan berkontribusi positif pada ketercapaian target kinerja organisasi tersebut.

By |

The Triple (Digital) Revolution – Riding Through The “Metaverse Continuum.”

25th January 2022

By: Dr. Antonius Alijoyo

This article is inspired by two underlying reports made by MIT (Massachusetts Institute of Technology) on “A Triple Revolution” and Accenture on the “Metaverse Continuum.”

The triple digital revolution talks about the implications of digital, exponential, and combinatorial as new ways of allocating decision making between mind and machine, which are mainly driven by artificial intelligence (AI), new ways of organizing products and platforms which are primarily driven by the Internet of Things (IoT), and new ways of connecting the core and the crowd which is mainly driven by blockchain technologies. One of the very important phenomena due to this revolution is the ‘metaverse.’ As the evolution of the internet, it will be a continuum of rapidly emerging capabilities driven by technologies and experiences.

The metaverse continuum is a spectrum of digitally enhanced worlds that applies across all areas of a business enterprise, from consumers to employees, from real to virtual, and from the cloud and artificial intelligence to extended reality, blockchain, digital twins, edge technologies beyond. The Metaverse Continuum will transform how enterprises interact with customers, how work is done, what products and services companies offer, how they make and distribute them, and how they operate their organizations.

Where the new worlds are taking shape, and what would be of worth-considering steps for board members and risk professionals to anticipate its impacts?

Like the beginning of the digital era, enterprises that accelerate through this wave of technology disruption maybe those who are better positioned for the future. In this article, let us explore how today’s technology innovations are the building blocks of our future. What are the relevant trends that matter and need to be watched out.

As a result, board members and risk professionals in the corporation need to investigate some trends that are relevant and taking, from there, consider the spectrum in their strategic risk management framework, gaining some foresight to turn this technology innovation not as disruptions but as an opportunity to lead their business ventures.

In this regard, Accenture shares their report about four trends that are worth to put into consideration by decision-makers in the corporations:

  • Trend 01 WebMe: Putting the Me in Metaverse
  • Trend 02 Programmable World: Our Planet, Personalized
  • Trend 03 The Unreal Making Synthetic, Authentic
  • Trend 04 Computing the Impossible: New Machines, New Possibilities

Trend 01 WebMe.
WebMe explores how the internet is being reimagined. The metaverse is emerging as a natural evolution that reconciles how the internet is designed today with what we will demand from it going forward. As such, the advent of the metaverse, and underlying efforts to reimagine how data shapes our digital experiences, will challenge businesses to rethink their presence online and become a part of shaping the next platform revolution as they build new ways to connect to customers, partners, and their digital workforce.

Trend 02 Programmable World: Our Planet, Personalized.
The Programmable World tracks how technology is threaded through our physical environments in increasingly sophisticated ways. As technology becomes part of the fabric of our environment, it allows us to treat our environment more like technology—unlocking an unprecedented fidelity of control, automation, and personalization.

Trend 03 The Unreal Making Synthetic, Authentic
The Unreal is a trend where our environments and businesses are increasingly filled with passably human machines. “Unreal” qualities are becoming intrinsic to AI, and the data enterprises aspire to integrate into mission-critical functions. Like it or not, enterprises have been thrust into the forefront of a world questioning what’s real, what isn’t, and if the line between those two matters.

Trend 04 Computing the Impossible: New Machines, New Possibilities
We are on the precipice of resetting the boundaries of traditional industries as we begin Computing the Impossible. The outer limit of computationally possible is being disrupted as a new class of machines emerges. As problems once considered impossible become ever more solvable, business leaders will be pushed to reimagine how to harness the next generation of computing power.

I hope this article is useful for board members, risk oversight committee, and risk professionals

Dr. Antonius Alijoyo
Founder of Center for Risk Management and Sustainability Indonesia

By |

A Triple (Digital) Revolution – Opportunities or Threats

Artificial Intelligence (Machine), IoT (Platform), and Blockchain (Crowd)

By: Dr. Antonius Alijoyo

April 18th, 2022

Whilst technology shifting tremendously in the last decade, which has impacted and redefined industries’ environment, ecosystem, jobs, and even daily life, some questions remain whether such shifting would lead to a new uncertainty and whether the effect of such uncertainties brings us opportunities or threats?.

There is no day without technology-related news around us, including the use of automation, robotic advancement, start-ups initiative, blockchain technologies, cryptocurrencies, smart contracts, quantum computing, artificial intelligence, virtual reality, and societal dynamics – through social media. How are these seemingly disparate technologies interrelated? And most importantly, how can business and corporate leaders make these far-reaching concepts work for their business model.?

MIT (Massachusetts Institute of Technology) IDE Director Erik Brynjolfsson and Co-director Andrew McAfee offer answers in their latest book, Harnessing Our Digital Future, Machines, Platform, Crowd (June, W.W. Norton). According to them, business leaders and executives need to understand key concepts about technology and economics to master and scale the next digital-driven transformation. They can “rethink the integration of minds and machines, of products and platforms, and the core and the crowd,” as they write in the book A Triple Revolution. Further, they said that such a Triple Revolution affects every part of the economy. It doesn’t make sense for executives to exclusively delegate this to their CIOs (Chief Information Officers) or CTOs (Chief Technology Officers). Likewise, the same suggestion is also applied to the board members to understand the principles of such A Triple Revolution and how to assure executives embed them into the fabric of organizations, harnessing their digital future.

The triple revolution: Machine, platform, and crowd, actually link back to some underlying fundamental technologies that have been much discussed in the Second Machine Age that involves the automation of a lot of cognitive tasks that make humans and software-driven machines substitutes, rather than complements. The revolution took the discussion to the next level and said that the implications of digital, exponential, and combinatorial are new ways of allocating decision making between mind and machine, which are mainly driven by artificial intelligence (AI), new ways of organizing products and platform which are primarily driven by the Internet of Things (IoT), and new ways of connecting the core and the crowd which is mainly driven by blockchain technologies.

What does this mean for business? How is this going to change the way we make decisions? How does distributed expertise change how we interact with our customers, suppliers, and partners. The answers can be seen from three perspectives of economics as follow:

  • Behavioral economics, to understand how the mind and machines work and change the way we make a decision more optimal.
  • The economics of information, to understand how the digital platform serves the new ways of organizing products and services among the players.
  • The theory of the firm and transaction-cost economics, to understand how the new ways of connecting the core and the crowd are established.

Understanding the underlying economics above helps us set some boundaries on what’s realistic versus unrealistic. If business leaders and executives can understand not only what’s possible but what’s not possible, or at least not likely, they’ll have a better chance to make effective use of these new technologies. Hence, it offers ideas for entrepreneurs interested in building businesses or plugging into established, incumbent companies.

For example, there is an exciting ecosystem of small, young start-up businesses that build the bridge of their platform economy and help them make the most of their data that bring together minds and machines through the core and the crowd. Whereas many big companies try to embed the new technologies to intensively build, expand, and/or sustain their ecosystem that supports their product and services more effectively in the new economic environments.

Nevertheless, the traditional dichotomy between executives in big companies and entrepreneurs working in startups is becoming less and less relevant. Both groups need to work with each other, think like each other, and coordinate much more. These revolutions require everyone to think more like an entrepreneur, and entrepreneurs need to think more about how they can leverage big platforms on a larger scale and wider landscape. However, successful adoption depends on both the awareness and the mindset of the people leading the organization. The biggest pitfall is that leaders are going to continue to think in the old ways, preserve the status quo, and not face the changes.

Many people have really deep knowledge of the components of a triple revolution, but few have pulled together the big picture to understand how the components fit together. The result is that many people see the turbulence and chaos in the economy as being unpredictable and the benefits as unattainable.

As we go deep in economics, we could have the right lens to view many of these changes and the most productive way to think through what’s going on and how a business needs to change to profit from these changes– as opposed to being overwhelmed by them. What we don’t want to see are some bottlenecks of success that are still happening right now: Whilst technologists are rushing ahead with breathtaking accomplishments, business leaders, executives, entrepreneurs, however, aren’t taking advantage of these technologies to meet the business challenges and to do a better job for their customers, suppliers, and employees.

Therefore, it is important and critical that board members, executives, and entrepreneurs see such principles of underlying economics that are very important to machine, platform, and crowd. By understanding those economic principles, we will have a more comprehensive view of the tech-driven changes that are coming to the business world, upon which we build our preparedness to embrace the prevailing uncertainties and turn them up as opportunities rather than threats.

I hope this article is useful for GRC professionals.

Dr. Antonius Alijoyo

Founder of Center for Risk Management and Sustainability Indonesia

By |

URGENSI DAN STRATEGI IMPLEMENTASI MANAJEMEN RISIKO DI SEKTOR PUBLIK

By: D.S. Priyarsono

Guru Besar, Departemen Ilmu Ekonomi, Fakultas Ekonomi dan Manajemen, Institut Pertanian Bogor
Ketua, Tim Manajemen Risiko, Institut Pertanian Bogor
Anggota, Komite Teknis Standardisasi Manajemen Risiko, Badan Standardisasi Nasional
Chairman, Academic Advisory Board, Center for Risk Management and Sustainability

priyarsono@apps.ipb.ac.id, priyarsono@gmail.com, priyarsono@yahoo.com

ISU UTAMA:

  • Berbagai studi lintas negara dan lintas sektor industri telah mengonfirmasi temuan bahwa implementasi Manajemen Risiko (MR) terbukti secara signifikan berkontribusi positif bagi peningkatan kinerja organisasi.
  • Di Indonesia temuan tersebut ditanggapi dengan berbagai regulasi yang mewajibkan implementasi MR khususnya di sektor keuangan, misalnya dalam subsektor perbankan, asuransi, dan pasar modal. Lebih lanjut, Menteri BUMN telah mewajibkan implementasi MR di semua perusahaan milik negara.
  • Di sektor publik (pemerintahan) implementasi MR sudah dimulai di beberapa kementerian/lembaga namun perkembangannya jauh lebih lambat daripada perkembangan implementasi MR di dunia korporasi.
  • Policy Brief ini menguraikan argumentasi tentang urgensi implementasi MR, mengidentifikasi beberapa faktor penghambat implementasi MR, berikut strategi untuk mengakselerasi implementasi MR di organisasi-organisasi publik.
  • Strategi yang diusulkan meliputi pendekatan top-down melalui kepemimpinan dan regulasi, pengembangan sumber daya manusia MR melalui pelatihan dan sertifikasi kompetensi, serta penerapan standar dan pengukuran kematangan (risk management maturity level).

RINGKASAN:

Studi pustaka atas artikel-artikel berbagai negara tentang pengalaman implementasi MR mengonfirmasi simpulan bahwa MR secara signifikan berkontribusi positif terhadap pencapaian kinerja organisasi, bukan hanya korporasi, melainkan juga organisasi nirlaba dan sektor publik. Fakta ini disadari juga oleh pimpinan berbagai kementerian/lembaga di Indonesia yang terbukti dengan terbitnya berbagai keputusan yang mendorong bahkan mewajibkan implementasi MR di lembaga-lembaga yang bersangkutan. Namun, survei termutakhir menunjukkan bahwa implementasi MR di sektor publik di Indonesia ternyata tidak berkembang secepat yang diharapkan. Policy brief ini secara ringkas memaparkan urgensi implementasi MR di sektor publik, menjabarkan faktor-faktor penghambatnya, serta menyarankan strategi untuk mengatasi hambatan tersebut serta beberapa prasyarat untuk mempercepat laju implementasi MR untuk meningkatkan kinerja organisasi-organisasi sektor publik.

PENDAHULUAN

Studi literatur di berbagai negara lintas sektoral berkesimpulan bahwa MR telah terbukti memberikan sumbangan positif signifikan terhadap kinerja organisasi. Negara-negara itu tidak terbatas pada yang berperekonomian maju melainkan juga di negara-negara yang sedang berkembang. Survei nasional yang melibatkan 309 responden pemimpin korporasi di Indonesia juga memberikan simpulan serupa. Secara lebih khusus, ada simpulan bahwa MR telah meningkatkan daya saing ekonomi organisasi korporasi (Priyarsono & Munawar 2020).

Berdasarkan sektor-sektor industri yang dikaji, memang secara historis sektor keuangan tergolong yang paling intensif menerapkan MR. Namun, akhir-akhir ini secara internasional praktis semua sektor telah menerapkan MR, termasuk lembaga-lembaga publik (1) , organisasi-organisasi nirlaba, bahkan lembaga
pendidikan tinggi (Priyarsono, Widhiani, Sari 2019).

Di luar dugaan, sektor publik di Indonesia tidak mengikuti trend tersebut di atas. Alijoyo dan Fisabilillah (2021) melakukan survei dan wawancara mendalam terhadap 25 narasumber pemimpin sektor publik di Indonesia. Mereka mengidentifikasi faktor-faktor penghambat implementasi MR di sektor publik di
Indonesia. Policy brief ini dimaksudkan untuk menjabarkan implikasi kebijakan dari tiga hasil kajian sebagaimana tercantum dalam daftar pustaka. Secara khusus akan dijabarkan beberapa faktor penghambat implementasi MR di sektor publik, berikut strategi untuk mengakselerasi implementasi MR di organisasi-organisasi publik.

HASIL DAN PEMBAHASAN

Menurut standar ISO 31000:2018, MR adalah aktivitas-aktivitas terkoordinasi untuk mengarahkan dan mengendalikan organisasi dalam kaitannya dengan risiko. Alasan khas mengapa MR berkontribusi positif bagi pencapaian kinerja organisasi adalah daya paksanya pada pengelola organisasi untuk secara eksplisit, terstruktur, dan sistematis mengantisipasi kemungkinan-kemungkinan kejadian di masa mendatang. Perilaku pengelola yang bersifat demikian meningkatkan probabilitas bahwa kejadian-kejadian di masa mendatang yang berdampak buruk pada organisasi dapat dikelola secara tepat, dan di pihak lain,
kesempatan yang berdampak baik pada organisasi dapat lebih mudah diraih.

Pernyataan teoretis tentang manfaat implementasi MR tersebut di atas secara empiris terbukti pula kebenarannya. Relevansi dan urgensi implementasi MR semakin menguat pada situasi dewasa ini yang kental diwarnai ciri-ciri volatile, uncertain, complex, dan ambiguous (VUCA) terlebih akibat seringnya
terjadi disrupsi teknologi dan masih belum selesainya pandemi COVID-19.

Untuk konteks pengelolaan organisasi-organisasi publik, MR menjadi semakin urgent untuk diterapkan, karena ranah publik bukan hanya berciri VUCA, melainkan secara langsung berkaitan dengan risiko-risiko gawat yang bila tidak dikelola dengan baik berpotensi mengancam eksistensi bangsa dan negara.

Beberapa contoh risiko yang harus dikelola oleh organisasi publik misalnya maraknya korupsi dan ancaman krisis ekonomi, baik selama penanganan maupun setelah pandemi COVID-19 berakhir. Sebenarnya, di luar konteks pandemi pun organisasi publik sudah harus mengelola risiko-risiko besar, misalnya terkait dengan kejahatan cyber yang mengiringi transformasi digital dalam pengelolaan urusan publik, ancaman separatisme dan terorisme, polarisasi politik yang mengancam keutuhan bangsa, bencana alam yang diramalkan bakal sering terjadi akibat pengelolaan lingkungan hidup yang kurang memadai, dan sebagainya. Di pihak lain, ada berbagai peluang yang bila dimanfaatkan secara tepat dapat berdampak positif bagi organisasi publik, misalnya fenomena bonus demografi, akses mobilitas yangsemakin maju seiring dengan keberhasilan pembangunan infrastruktur, dan sebagainya.

Berbagai upaya pemerintah Indonesia telah dilakukan untuk mendorong implementasi MR di sektor publik (2). Beberapa lembaga yang paling menonjol dalam upaya itu dapat disebut, misalnya BI, OJK, Kemenkeu, BPK, BPKP, Kementerian BUMN, dan sebagainya. Di antara lembaga-lembaga pendidikan tinggi, tercatat antara lain bahwa UI, IPB, dan ITB telah menerapkan MR dengan tingkat maturitasnya masing-masing. Secara umum, jumlah organisasi publik yang sudah menerapkan MR relatif sangat kecil dan tingkat maturitasnya jauh tertinggal dibandingkan dengan yang terjadi di sektor swasta.

Mengapa perkembangan implementasi MR di sektor publik di Indonesia tidak secepat yang diharapkan? (3)

Sifat dasar organisasi publik, misalnya dalam proses pengambilan keputusan, tidak selentur organisasi swasta. Dalam organisasi publik kepatuhan pada hukum/peraturan resmi lebih diprioritaskan daripada keutamaan berprakarsa (berinisiatif). Sifat berhati-hati lebih diutamakan daripada sifat proaktif kreatif.
Dengan latar belakang itu, prakarsa baru seperti implementasi MR tidak disambut secara cepat seperti yang terjadi dalam sektor swasta. Karena adopsi prakarsa itu terlambat, maka pada umumnya organisasi sektor publik belum berhasil mengintegrasikan sistem insentif, sistem kinerja, dan sistem pengelolaan
risiko. Dengan demikian, dapat dikatakan bahwa pengelolaan risiko dalam organisasi sektor publik sudah ada, namun secara umum masih bertingkat maturitas relatif rendah dengan ciri-ciri terfragmentasi (siloed), belum terintegrasi, bahkan dalam beberapa kasus masih seperti aksesori.

Berdasarkan hasil kajian teoretis maupun pengalaman empiris, dapat disarankan beberapa butir strategi untuk mempercepat implementasi sebagai berikut:

  • Top-down approach. Implementasi MR tidak mungkin dalam waktu singkat membuahkan hasil yang terasakan oleh semua level pengurus organisasi. Bagi pengurus level menengah ke bawah, implementasi MR boleh jadi dipersepsikan sebagai tambahan beban kerja yang tidak bermanfaat. Oleh sebab itu, prakarsa implementasi MR harus dimulai dari pucuk pimpinan dan diselenggarakan dengan pendekatan top-down.
  • Kepemimpinan dan komitmen. Selanjutnya, prakarsa awal implementasi MR perlu diikuti dengan tekad kuat pucuk pimpinan untuk menerapkan MR dengan komitmen yang dapat didemonstrasikan (demostratable commitment) kepada semua warga organisasi.
  • Regulasi. Sesuai dengan ciri birokrasi, perlu ada peraturan resmi tertulis tentang implementasi MR yang dapat menjadi payung hukum bagi penyelenggaraan prakarsa tersebut.
  • Pengembangan SDM. Salah satu langkah bagi implementasi MR adalah penciptaan critical mass, yakni sejumlah minimum orang yang mempunyai pengetahuan, sikap, perilaku, dan keterampilan yang dibutuhkan untuk melaksanakan implementasi MR. Untuk itu program pelatihan dan sertifikasi kompetensi MR menjadi sangat penting.
  • Standardisasi. Implementasi MR memerlukan standar yang sudah terbukti mampu menjadi panduan implementasi MR di berbagai negara lintas sektoral. ISO 31000 yang telah berstatus sebagai Standar Nasional Indonesia dapat dinilai sebagai standar yang paling tepat.
  • Pengembangan budaya risiko. Sesuai dengan standar itu, pengembangan budaya risiko menjadi salah satu kunci keberhasilan implementasi MR. Pengukuran maturitas. Secara periodik pengukuran tingkat kematangan implementasi MR perlu dilakukan, antara lain untuk memastikan apakah langkah-langkah implementasi MR sudah pada jalur yang benar dan untuk merencanakan langkah-langkah perbaikan di masa mendatang.
  • Perbaikan terus-menerus. Sebagaimana berlaku juga dalam berbagai sistem manajemen, implementasi MR memerlukan continuous improvement.

KESIMPULAN DAN REKOMENDASI

Sebagai penutup, untuk memicu dan memacu prakarsa impelemetasi MR di sektor publik diperlukan demonstration effects, yakni pimpinan organisasi publik yang berprakarsa menerapkan MR perlu melihat secara langsung keberhasilan implementasi MR di berbagai organisasi. Untuk itu komunikasi dan studi
banding (benchmarking), dan berbagi pengalaman tentang MR (risk management experience sharing) melalui berbagai forum/komunitas perlu terus didorong.

DAFTAR PUSTAKA

Alijoyo A, Fisabilillah AFMS. 2021. Risk Management Implementation in Public Sector Organizations: A Case Study of Indonesia. Organizational Cultures 22(1).

Priyarsono DS, Widhiani AP, Sari DL. 2019. Starting The Implementation of Risk Management in a Higher Education Institution: The Case of IPB University. IOP Conference Series: Materials Science and Engineering 598 012107.

Priyarsono, DS, Munawar Y. 2020. Pengembangan SDM untuk Implementasi Manajemen Risiko: Perspektif Baru dari Sudut Pandang Pengguna. Jurnal Aplikasi Bisnis dan Manajemen 6(3): 478- 488

BEBERAPA DOKUMEN STANDAR MANAJEMEN RISIKO

International Organization for Standardization 2009. ISO GUIDE 73:2009 Risk Management Vocabulary.

International Organization for Standardization 2018. ISO 31000:2018 Risk Management Guidelines.

International Organization for Standardization 2019. IEC 31010:2019 Risk Management, Risk Assessment Techniques


Footnotes:

(1) World Development Report tahun 2014 menyatakan bahwa pengelolaan risiko dalam konteks pelayanan publik sudah menjadi suatu keharusan dalam rangka meningkatkan taraf kesejahteraan suatu negara

(2) Tata kelola pemerintahan yang akuntabel, efektif, dan efisien dalam mendukung peningkatan kinerja seluruh dimensi pembangunan antara lain diukur dengan indikator penerapan MR dalam pengelolaan kinerja instansi (Bappenas, Rancangan Teknokratik RPJMN 2020-2024).

(3) BPK melihat salah satu masalah utama dalam penerapan Sistem Pengendalian Intern Pemerintah dan banyaknya temuan terkait Sistem Pengendalian Intern adalah adanya kelemahan dalam penerapan unsur penilaian risiko (Pidato Ketua BPK dalam acara Expert Talk di Jakarta, 18 Oktober 2021).

-o0o-

Artikel pertama terbit pada Statistical/Policy Brief BPS dan akan diunggah juga di website Direktorat Publikasi Ilmiah dan Informasi Strategis IPB.
By |

Dealing with Complex Risk or Complicated Risk? Let us Avoid ‘Complicated Risk Syndrome’

By: Dr. Antonius Alijoyo

November, 30th 2021

People use the word ‘complex’ and ‘complicated’ interchangeably in many cases, and so does in a discussion of risk management. Do they have the same meaning or different ones? If they have different meanings, under which circumstances should we and would use ‘complex risk’ and/or ‘complicated risk.’?

Let us see what the dictionary says about the respective word. According to Cambridge Dictionary, complexity has many parts and is difficult to understand or find an answer to. Whereas the word ‘complicated’ refers to a situation that is not easy to deal with or understand. Although the descriptions of both sound similar as they intersect one another, they bring different profound meanings. Complexity is the phenomenon itself, while complicated is the elements of the mental standing of a person in dealing with such a phenomenon.

From a risk management perspective, we could say that complexity refers to the situation or the risk object itself, whereas complicated refers to the subject supposed to deal with such a risk object. In this regard, complexity brings some challenges to be sorted out, and therefore if we talk about complexity in the risk management universe, we call it complex risk. For example, cyber risks due to the rising of new technology may cause higher interconnectedness risk among concerned parties (as a result of much wider and numerous nodes). As it is a complex issue, hence we refer to it as ‘complexity.’

On the other hand, Complicated reflects the mental standing of the person dealing with a certain risk phenomenon. In this regard, the person tends to judge that the phenomenon is ‘complicated,’ either real or non-complex. Such a mental standing could happen because there is a gap between the capacity and capability of the person and the level of the phenomena they are dealing with. Unfortunately, such a gap may lead the person’s lens to be slipped into ‘complicated risk syndrome’ (CRS) if there are no cautious efforts to avoid otherwise. Moreover, since this syndrome is contagious, it could be widespread throughout the organization and may create an unhealthy risk culture later.

What actually can go wrong if this particular situation happens?

If such a situation happens, there is a possibility that people in the organization will be easily trapped to see all risks as ‘downside risks’ and therefore, they will allocate all the energy to reduce the likelihood of risk events and mitigate the impact to protect the value of the organization. If that happens, it will become a blind spot as the organization is not stimulated to explore their upside risk nor preparedness. As a result, their attention is blinded by downside risk. No or little energy will be allocated to exploit or capitalize upside risk to create value for the organization sustainably.

What should be done to avoid ‘complicated syndrome’?

Build healthy and conducive risk culture throughout the organization by having a higher risk management maturity level. Along with that initiative, develop risk management competency at the high and medium levels of the organization up to its critical mass. As such, they would be encouraged to see beyond their current horizon and do not fall into the trap of seeing complexity as a threat or downside risk. Instead, they could see complexity as an opportunity and then drive them up as upside-risk challenges.

The way onward?

Entering a new frontier Post Covid-19 Pandemic, we have seen many phenomena characterized by the origin of VUCA (Volatility, Uncertainty, Complexity, and Ambiguity). As such, the existence of complicated syndrome would hinder us from having a clear vision beyond boundaries and existing horizon lines, barely understanding and clarity over the VUCA.

On the way onward, there is a suggested approach to overcome such an originating VUCA, which is also called VUCA (Vision, Understanding, Clarity, and Agility). The VUCA (Vision, Understanding, Clarity, and Agility) can be established, developed, and institutionalized if no complicated syndrome is left throughout the organization. Therefore, let us begin to switch our mental standing whenever we face certain risk events. Risk due to ‘complexity’ is fine as we can always sort it out. Still, risk due to ‘’complicated’’ should not be tolerated as it will hinder us from progressing and capitalizing on opportunities that come with uncertainties.

I hope this article is helpful for risk management practitioners.

 

Dr. Antonius Alijoyo
Founder of Center for Risk Management and Sustainability Indonesia

-0O0-

Artikel ini juga diterbitkan dan di publikasi pada https://crmsindonesia.org/publications/dealing-with-complex-risk-or-complicated-risk/

By |

Organizational Resilience Through ISO 22316 Standard: It is not a Matter of “Why” but “How”

By: Dr. Antonius Alijoyo

26th October 2021

Organizational Resilience (OR) is important because it gives an organization the strength needed to process and overcome hardship. Many organizations have experienced hard lessons during pandemic Covid-19, as the world is still dealing with a deadly pandemic that negatively influences our social and business world. Those lacking resilience get easily overwhelmed and may turn to ineffective and unhealthy coping mechanisms. Whereas resilient organizations tap into their strengths and support systems to overcome challenges, work through problems, and even turn them into opportunities.

Question: What does it mean organizational resilience?

That is “the ability of an organization to anticipate, prepare for, respond and adapt to incremental change and sudden disruptions to survive and prosper” (Denyer, 2017). Resilience plays a crucial role in the survival of organizations as it is the ability to anticipate, survive in and recover from a turbulent environment with the ability to return to an original or an improved state (Chowdhury and Quaddus 2017; Brusset and Teller 2017; Pettit et al.2021/01/2). In that regard, resilience helps the organization recover control rapidly in unexpected change and maintain a general sense of comfort when managing several changes simultaneously without being affected.

Question: If organizational resilience is so important, why not all organizations take precautions and actions to build them up?

There are many reasons that organizations do not prepare and build their organizational resilience intentionally and systematically. One of them is the lack of enterprise risk management (ERM) practices, leading to the absence or insufficient risk assessment process. Therefore they don’t have a sufficient and comprehensive longer-term view of risk identification, analysis, and evaluation. As a result, they could probably fail to figure out their risk universe beyond the current horizon. Therefore they do not see any need or urgency to raise organizational resilience capability and make their organization future-ready at its earliest. Another reason is lacking standards or references that could help organizations establish their organizational resilience practically and effectively. In many cases, they found that establishing organizational resiliency is quite complex and requires a lot of resources and time-consuming exercise, whereas no such visible output and outcome could be expected and urgently needed.

Question: Is it complicated to build organizational resilience capacity and capability?

The illusion that drives many organizations about complexity in establishing and sustaining organizational resilience could be mixed up between the complexity of the object or the matter that we need to resolve and the approach of how to deal with it. In this case, the matter that drives the need of having organizational resilience could be due to the VUCA (Volatility, Uncertainty, Complexity, and Ambiguity) of the future, which is quite complex to figure out. Therefore, it might drive the opinion that the ‘how’ to deal with them is also complex and complicated. This opinion is ubiquitous as most organizational leaders recognize the VUCA issues but are not certain how to deal with them.

Question: Is there any standard or reference that organizations can use to establish and sustain their organizational leadership?

In this context, a new standard, ISO 22316, Security and resilience – Organizational resilience – Principles and attributes, has been issued to provide a framework to help organizations build and improve their resiliency effectively and practically.

Question: As a standard, what is the detail about ISO 22316, Security and resilience – Organizational resilience – Principles and attributes?

The standard contains some details of key principles, attributes, and activities. As such, James Crask, Convenor of ISO/TC 292’s working group WG 2, the group of experts that developed the standard, says improving the resilience of organizations ensures they are not only better placed for anticipating and responding to potential risks but can harness opportunities as well. Further, he also said that “The standard takes a wide view of the things that can drive resilience in an organization; many of these are behavioral and have historically been overlooked. This is why one of the key principles of the standard is to help them develop a culture that supports resilience”. Lastly, he said a very strong encouragement: “It also involves building upon existing forms of risk management, having shared values and an awareness of changing contexts, all the while underpinned by strong and empowered leadership.”

The existence of this standard would provide a tangible tool to simplify the process of building organizational resilience. As a standard, it brings a lot of help for organization’s leaders to lead, build and sustain organizational resilience more practical, simpler, and measurable. Further, it would also bring international reference and protocol organizations, which help them communicate their resilience approach to their international partners. As such, they use the same protocol, similar PDCA (Plan, Do, Check, Action) cycle. In short, resilience is rooted due to rising complexities in the business world. Therefore, it needs a practical approach rather than making the complexities we face more complex due to the use of a complex approach. Standard ISO 22316 serves the proposition and is therefore worth taking and be adopted for the organization to embrace their future by turning challenges to turn them out as opportunity, as it could turn out as threats if otherwise.

Question: How does this ISO 22316 interlink with ISO 31000 Risk Management Guidelines?

It fits and complements each other. The use of ISO 31000 and ISO 22316 help organizations not to deal with the ‘why’ risk management and organizational resilience are important but to deal effectively with ‘how’ to implement risk management and organization resilience simply and practically. As a closing, let us read together with the following citation: “The research on organizational resiliency suggests that successful firms are prepared for adversity and yet are also proactive and flexible when encountering a crisis. Resilient firms prepare for difficult situations and show a “generalized capacity to investigate, to learn, and to act, without knowing in advance what one will be called to act upon.” (Wildavsky, 1988).”

-o0o-

Dr. Antonius Alijoyo
Chair of National Mirror Committee Indonesia TC 262 – Risk Management and TC 309 –
Governance, Badan Standarisasi Nasional (BSN) Indonesia
Founder of Center for Governance, Risk Management, Compliance and Sustainability Studies
(www.crmsindonesia.org)

By |

Risk Management and Decision-Making Theory

By: Dr. Antonius Alijoyo

18th October 2021

Academicians often discuss the underlying theory of risk management, especially those related to the concept of Enterprise Risk Management (ERM). One of the underlying theories is the ‘decision-making theory,’ which was first introduced by Herbert A. Simon, the Nobel Prize winner for Economics in 1978. He is best known for his work on corporate decision-making, also called behaviorism. Decision-making theory is a theory of how rational individuals should behave under risk and uncertainty. The theory suggests that decision-making means the adoption and application of rational choice for the management of a private, business, or governmental organization in an efficient manner. The theorist argued that making a decision is choosing between alternative courses of action. It can even mean choosing between action and non-action.

Mulai Membaca

By |