Pada awal September 2022, Kementerian BUMN menerbitkan Peraturan Menteri BUMN Nomor Per- 5/MBU/09/2022 tentang Manajemen Risiko pada BUMN. Karena kebijakan tersebut bersifat umum, organisasi memerlukan penjabaran lebih lanjut pada tataran operasional terutama kebutuhan untuk pembuatan dan/atau penyempurnaan pedoman risiko mereka. Dari sudut pandang penulis, pedoman risiko BUMN sebaiknya juga sejalan dengan standar nasional manajemen risiko SNI ISO 31000 yang identik dengan standar internasional ISO 31000 itu sendiri. Hal ini dipandang baik, karena akan membuat BUMN lebih mudah dalam menjalin protokol manajemen risiko mereka dengan mitra dan pemangku kepentingan internasional yang juga mengadopsi ISO 31000. Pertanyaan yang timbul dan kemudian menjadi bahan pemikirian penulis adalah ‘sejauhmana relevansi SNI ISO 31000:2018 (Standar Nasional Indonesia) dan turunannya untuk Sektor Publik yaitu SNI 8848:2019 dalam mendukung penerapan manajemen risiko pada BUMN sebagai penjabaran dari Peraturan Menteri tersebut’ ?. Lebih lanjut, artikel ini akan membahasnya dalam tiga kelompok besar, yaitu definisi, struktur, dan proses manajemen risiko.
Definisi
Definisi adalah hal esensial karena menentukan arah kebijakan serta implementasi manajemen risiko suatu organisasi. Kementerian BUMN secara eksplisit menempatkan manajemen risiko sebagai bagian tidak terpisahkan dari pengendalian intern dan tata kelola terintegrasi (Pasal 1 Ayat 9). Hal ini sangat relevan dengan prinsip pertama manajemen risiko SNI ISO 31000:2018 dan SNI 8848:2019 yaitu terintegrasi, dimana manajemen risiko bukanlah sistem yang berdiri sendiri, namun harus terintegrasi dengan proses dan tata kelola organisasi secara keseluruhan. Jika tidak terintegrasi, manajemen risiko akan hanya dilihat sebagai tambahan beban tugas administrasi yang tidak memberikan nilai tambah bagi organisasi tersebut. Perspektif bandingan definisi ‘risiko’ disajikan dalam tabel berikut:
Terkait definisi ‘Risiko’ di atas, beberapa hal yang perlu dipertimbangkan dan/atau diatur lebih lanjut dalam pedoman manajemen risiko adalah sebagai berikut:
- Batasan yang lebih jelas antara definisi ‘risiko’ dan ‘masalah’, karena keduanya sama-sama mempengaruhi pencapaian sasaran, namun menurut SNI ISO 31000, masalah sudah terjadi sedangkan risiko belum terjadi;
- Batasan yang lebih jelas mengenai level pencapaian tujuan/sasaran. Jika PerMen BUMN hanya membatasi pada tujuan strategis perusahaan, maka risiko yang relevan akan hanya untuk risiko strategis saja, padahal SNI ISO 31000 memberikan panduan bahwa risiko ada pada setiap level organisasi, mulai dari level strategis sampai level operasional, sejak penetapan sasaran strategis, sasaran program, sampai pada sasaran kegiatan/aktivitas;
- Batasan yang jelas antara tujuan dan sasaran. SNI ISO 31000 menekankan pada pencapaian sasaran karena lebih terukur dan SMART[1]***), sedangkan tujuan organisasi masih abstrak sehingga identifikasi risikonya cenderung tidak spesifik.
Perspektif bandingan definisi ‘manajemen risiko’ disajikan dalam tabel berikut:
Untuk definisi ‘Manajemen Risiko’, beberapa hal perlu dipertimbangkan dan/atau diatur lebih lanjut dalam pedoman manajemen risiko, sebagai berikut:
- Integrasi antara manajemen risiko dengan sistem manajemen lainnya terutama pengendalian intern dan tata kelola. Dalam hal ini, organisasi dapat mengadopsi standar berbasis ISO, antara lain SNI ISO 31000 (Manajemen Risiko), ISO 37000 (Governance), dan ISO 37301 (Compliance Management System);
- Sebelum proses manajemen risiko dijalankan (identifikasi, mengukur, mengendalikan, dan memantau), perlu disepakati terlebih dahulu adanya ‘prinsip manajemen risiko’ yang eksplisit, serta ‘kerangka kerja manajemen risiko’ yang menjadi landasan organisasi secara keseluruhan. Untuk hal ini, SNI ISO 31000 telah menyediakan arsitektur implementasi manajemen risiko yang sudah terdiri dari tiga pilar yaitu prinsip manajemen risiko, kerangka kerja manajemen risiko, dan proses manajemen risiko;
- Sebelum proses manajemen risiko, organisasi perlu memahami konteks internal dan eksternalnya, kemudian menetapkan ruang lingkup risiko yang akan dikelola, termasuk merumuskan kriteria sebelum pengukuran risiko. Untuk hal ini, SNI ISO 31000 sangat sejalan karena langkah pertama dalam proses pengelolaan risiko berbasis SNI ISO 31000 adalah penetapan lingkup, konteks, dan kriteria.
Struktur
Berkaitan dengan struktur manajemen risiko, Peraturan Menteri BUMN telah mengadopsi three lines model dari IIA dan ini merupakan hal yang baik, karena sudah sejalan dengan SNI 8848:2019 bahwa penerapan manajemen risiko dapat mengadopsi model tiga lini, yang terdiri dari lini pertama sebagai pemilik risiko, lini kedua sebagai pemantau, koordinator, dan edukasi risiko, dan lini ketiga sebagai asurans internal yang independen terhadap penerapan manajemen risiko. Perspektif bandingan ‘struktur manajemen risiko’ disajikan dalam tabel berikut:
Terkait ‘Struktur Manajemen Risiko’ di atas, beberapa hal yang perlu dipertimbangkan dan/atau diatur lebih lanjut dalam pedoman manajemen risiko adalah sebagai berikut:
- Kejelasan komite tersebut (komite audit, komite pemantau risiko, komite tata kelola terintegrasi) menjadi bagian dari lini berapa (1, 2 atau 3) dan berada dibawah Direksi atau Dekom karena SNI 8848:2019 memberikan contoh bahwa Komite Manajemen Risiko adalah komite di bawah Direksi dan Komite Pemantau Risiko adalah komite di bawah Dewan Komisaris;
- Kejelasan struktur manajemen risiko di level unit pemilik risiko, misalnya di anak perusahaan, unit bisnis, dan unit mandiri lainnya;
- Kejelasan operasionalisasi direktur yang membidangi keuangan yang dapat merangkap sebagai direktur yang membidangi pengelolaan risiko, karena SNI 8848:2019 memberikan contoh direktur pengelolaan risiko sebaiknya memiliki independensi terbatas terhadap unit pemilik risiko. Ada potensi benturan kepentingan ketika direktur keuangan harus memantau pengelolaan risiko keuangan yang menjadi tugas dan tanggungjawabnya.
Proses
Proses pengelolaan risiko merupakan inti dari manajemen risiko, sehingga penguatannya merupakan suatu keharusan. Perspektif bandingan proses manajemen risiko disajikan dalam tabel berikut:
Merujuk tabel di atas, beberapa hal yang perlu dipertimbangkan dan/atau diatur lebih lanjut dalam pedoman manajemen risiko adalah sebagai berikut:
- Kebijakan manajemen risiko di tingkat operasional sebaiknya tidak hanya membahas struktur manajemen risiko saja, tetapi termasuk di dalamnya prinsip, kerangka kerja, dan proses manajemen risiko, yang dapat mengacu pada SNI ISO 31000:2018;
- Perencanaan, Penerapan, Monitoring dan Evaluasi Manajemen Risiko secara lebih terperinci dapat mengacu pada kerangka kerja manajemen risiko berbasis SNI ISO 31000:2018 yang di dalamnya secara eksplisit memasukkan peran ‘kepemimpinan dan komitmen’ dalam manajemen risiko, serta integrasi manajemen risiko dengan proses bisnis organisasi;
- Siklus proses manajemen risiko dapat mengacu pada SNI ISO31000:2018 yang dimulai dari Komunikasi dan Konsultasi, Penetapan Lingkup, Konteks dan Kriteria Risiko, Penilaian Risiko, Penanganan Risiko, Pemantauan dan Evaluasi, serta Pencatatan dan Pelaporan.
Sebagai penutup, penulis menggaris bawahi pasal 32 PerMen BUMN Nomor Per- 5/MBU/09/2022 yang menyatakan bahwa masih diperlukan pedoman lebih lanjut mengenai pengukuran tingkat kematangan risiko BUMN, tata Kelola terintegrasi, kriteria ukuran kompleksitas BUMN, penempatan BUMN dalam kuadran risiko, kualifikasi organ pengelola risiko, taksonomi risiko, serta mekanisme pelaporan risiko. Untuk kesemua hal tersebut, pemenuhannya dapat didukung oleh SNI ISO 31000:2018 dan SNI 4484:2019.
Mudah-mudahan artikel singkat ini bermanfaat bagi BUMN dalam mengembangkan pedoman manajemen risiko yang berbasis PerMen BUMN Nomor Per-5/MBU/09/2022, dan sekaligus sejalan dengan SNI ISO 31000 (yang identik dengan Standar Internasional ISO 31000) sehingga BUMN Indonesia dapat lebih gesit dan tangguh untuk tidak hanya bersandar pada regulasi pokok nasional, tetapi juga fasih dan tangguh dalam pergaulan/persaingan internasional yang berbasis pada standarisasi.
________________________________
*) Manajemen Risiko – Pedoman
**) Panduan Implementasi SNI ISO 31000:2018 di Sektor Publik
***) “Specific, Measurable, Attainable, Relevant, Timebound”