Perubahan terjadi setiap detik setiap waktu, termasuk tuntutan yang semakin besar terhadap Badan Usaha Milik Negara (BUMN) agar dapat mengelola risikonya dalam mendukung kinerja pelayanan publik (public service obligation) dan pada saat yang sama harus memastikan keberlanjutan organisasi mereka dalam menghadapi banyak ketidakpastian. Peristiwa black-out listrik pada akhir 2019 menjadi bukti nyata pentingnya pengelolaan risiko BUMN.
Faktanya, kompleksitas dan ukuran BUMN yang beragam menyebabkan pengelolaan risiko BUMN belum memiliki standar yang sama sampai dikeluarkannya Peraturan Menteri BUMN Nomor Per-5/BUMN/09/2022 (PerMen) awal September 2022 yang lalu.
Dalam hal ini, Peraturan Menteri BUMN Nomor Per-5/MBU/09/2022 telah memberikan panduan umum pengelolaan risiko BUMN, namun keberhasilan penerapannya pada tataran operasional memerlukan kejelasan lingkup melalui definisi yang tepat. Hal itulah yang melatarbelakangi artikel ini untuk membahas sejauh mana standar ISO 31000 (Yang telah diadopsi menjadi SNI ISO 31000) mampu mendukung penerapan manajemen risiko BUMN, berangkat dari aspek paling esensial namun sering terabaikan, yaitu definisi risiko dan manajemen risiko.
- Definisi Risiko
Secara ringkas perbandingan definisi risiko disajikan sebagai berikut:
Gambar 1.1.
Ilustrasi Perbandingan Definisi Risiko
Sebagaimana ilustrasi di atas, antara SNI ISO 31000 dan Pemen BUMN telah sejalan dalam memahami risiko sebagai suatu ketidakpastian di masa depan, namun Permen BUMN membatasi dampak dari ketidakpastian tersebut hanya pada tujuan strategis organisasi. Sehingga dapat ditafsirkan bahwa risiko yang relevan bagi BUMN hanyalah risiko strategis saja. Sedangkan SNI ISO 31000 membuka kemungkinan lingkup dampak yang lebih luas, yaitu pada pencapaian sasaran organisasi, yang dijelaskan lebih lanjut bahwa sasaran organisasi terdiri dari sasaran strategis, dijabarkan lebih lanjut dalam sasaran program, dan sasaran kegiatan/sub kegiatan di level operasional. Oleh karena itu, lingkup risiko dalam SNI ISO 31000 lebih luas, dimana lingkup risiko dalam Permen BUMN merupakan bagian di dalamnya.
Selain itu, SNI ISO 31000 lebih memilih menggunakan istilah ‘sasaran’ daripada ‘tujuan’. Hal ini dilandasi pemikiran bahwa tujuan diturunkan dari kata ‘goal’ yang cenderung masih umum, sedangkan sasaran diturunkan dari kata ‘objective’ yang sudah SMART (Specific, Measurable, Attainable, Relevant, Timebound). Ilustrasinya, sama-sama memiliki tujuan ke Bandung, tetapi risikonya akan jauh berbeda ketika sasarannya adalah ke Bandung tepat waktu, dibandingkan dengan sasarannya ke Bandung dengan selamat. Risiko untuk sasaran ke Bandung tepat waktu berkaitan dengan ketidakpastian yang mempengaruhi waktu tempuh, sedangkan sasaran ke Bandung dengan selamat, lebih berkaitan dengan ketidakpastian yang mempengaruhi keamanan perjalanan.
- Definisi Manajemen Risiko
Kementerian BUMN secara eksplisit menempatkan manajemen risiko sebagai bagian yang tidak terpisahkan dari pengendalian intern dan tata kelola terintegrasi (Pasal 1 Ayat 9). Definisi ini lebih luas dari SNI ISO 31000 karena lingkup manajemen risiko (risk management) merupakan satu kesatuan dengan tata kelola (governance) dan pengendalian intern (internal control) atau sering disingkat dengan GRC (Governance-Risk-Control). Apabila disandingkan dengan standar ISO, maka ilustrasinya adalah sebagai berikut:
Gambar 1.2
Ilustrasi Perbandingan Definisi Manajemen Risiko
Sebagaimana ilustrasi di atas, mengikuti definisi manajemen risiko pada Permen BUMN, setidaknya terdapat tiga standar ISO yang dapat mendukung operasionalisasi manajemen risiko BUMN, yaitu ISO 37000 tentang tata kelola organisasi atau ‘Governance’, SNI ISO 31000 tentang manajemen risiko atau ‘Risk Management’, dan ISO 37301 tentang sistem manajemen kepatuhan atau ‘Compliance”. Untuk pengendalian intern (internal control), tidak menjadi satu standar ISO tersendiri, melainkan menjadi satu kesatuan dengan SNI ISO 31000 berupa tahapan penanganan risiko dalam proses manajemen risiko. Pengendalian intern dimulai dengan menilai efektivitas pengendalian yang sudah ada (existing control) serta memutuskan opsi penanganan risiko tambahan agar risiko dapat diturunkan sampai pada level yang dapat diterima organisasi (risk appetite).
Implementasi ISO 37301 tentang sistem manajemen kepatuhan penting karena area bisnis BUMN pada umumnya highly regulated karena menyangkut hajat hidup orang banyak. Batasan tersebut dapat bersifat regulasi (regulatory boundaries), maupun nilai-nilai organisasi (voluntary boundaries). Ibarat perjalanan kereta api, BUMN perlu memastikan agar operasinya berjalan sesuai rel/koridor yang ada, sehingga mampu berjalan lancar selamat sampai tujuan.
Secara ringkas dapat disimpulkan bahwa SNI ISO 31000 relevan untuk mendukung implementasi manajemen risiko BUMN mulai dari penerapan di level strategis sampai dengan level operasional. Keuntungan lainnya, standar ISO telah diakui secara internasional, sehingga memiliki bahasa dan protokol yang sama mengenai apa itu risiko dan manajemen risiko, yang tentunya hal ini sangat penting jika BUMN berinteraksi dengan mitra mereka di tingkat internasional atau berencana melakukan ekspansi ke luar negeri. Tidak hanya terkait definisi, SNI ISO 31000 (https://irmapa.org/bumn-indonesia-penerapan-manajemen-risiko-berbasis-peraturan-menteri-bumn-no-5-mbu-09-2022/ ) juga relevan untuk mendukung struktur dan proses manajemen risiko BUMN , yang akan dikupas pada artikel berikutnya.