Penulis: Charles R. Vorst, MM., BCCS, CERG, ERMCP, QCRO, QRGP, CCGO, CGOP
Sekretaris Jenderal IRMAPA.
Pada bagian Prinsip Manajemen Risiko, dokumen SNI ISO 31000 Manajemen Risiko – Pedoman menyebutkan satu dari sekian prinsip yang harus teraplikasikan dalam penerapan manajemen risiko. Prinsip tersebut adalah ‘Disesuaikan’. Diterjemahkan dari ISO 31000 versi bahasa Inggris ‘Tailored’ pada tahun 2009 sebelum berganti istilah pada versi tahun 2018, ‘Customized’, makna prinsip ini sesuai dokumen SNI ISO 31000:2018 adalah “kerangka kerja dan proses manajemen risiko disesuaikan dan proporsional dengan konteks eksternal dan internal organisasi yang berkaitan dengan sasarannya”. Seperti istilah yang digunakan untuk menyatakan salah satu prinsip manajemen risiko, demikian pula pemaknaannya, sangat ringkas. Demikian ringkas sehingga tanpa perumusan yang tepat, pengaplikasian prinsip ini dalam penerapan manajemen risiko pada suatu organisasi dapat terbatasi hanya pada hal-hal yang mudah terlihat saja. Adapun artikel ini menyajikan pemahaman dan pandangan yang penulis dapatkan melalui keterlibatan sebagai Anggota Komite Teknis 03-10 Tata Kelola, Manajemen Risiko, dan Kepatuhan yang mengadopsi ISO 31000 menjadi SNI ISO 31000, sekaligus bertindak sebagai National Mirror Committee mewakili Indonesia dalam sidang ISO yang diselenggarakan oleh ISO Technical Committee 262 untuk perumusan keluarga standar ISO 31000, mengenai makna dan pengaplikasian Prinsip ‘Disesuaikan’ dalam penerapan manajemen risiko dan praktiknya.
Mengacu pada penjelasan yang disampaikan dalam dokumen SNI ISO 31000:2018 mengenai Prinsip ‘Disesuaikan’, bahwa kerangka kerja dan proses manajemen risiko disesuaikan dan proporsional dengan konteks eksternal dan internal organisasi yang berkaitan dengan sasarannya, beberapa hal dapat menjadi pegangan bagi kita untuk memahami Prinsip ‘Disesuaikan’:
I. “Konteks eksternal dan internal organisasi yang berkaitan dengan sasarannya”
Kata ‘sasarannya’ yang dimaksud pada kalimat di atas adalah sasaran organisasi. Hal ini mengandung makna bahwa bagaimana manajemen risiko “bekerja” di organisasi kita harus sesuai, atau disesuaikan, dengan seperti apa yang tuntutan lingkungan di mana organisasi beroperasi dalam mencapai sasarannya.
Seperti yang kita pahami bahwa sasaran organisasi dapat berupa sasaran jangka pendek, umumnya satu tahunan, dan sasaran yang hendak dicapai dalam jangka waktu yang lebih panjang, misalnya lima tahunan. Berdasarkan kurun waktu sasaran ini maka kita perlu mendefinisikan seperti apa manajemen risiko yang diperlukan organisasi di tahun ini yaitu bentuk praktik pengelolaan risiko yang dibutuhkan guna mendukung pencapaian sasaran tahun berjalan, serta seperti apa manajemen risiko yang diperlukan organisasi di tahun kelima, atau tahun ke-x, yaitu manajemen risiko yang mendukung pencapaian sasaran di tahun kelima, atau tahun ke-x tersebut. Di sini terdapat makna penting pertama kata ‘disesuaikan’ dalam prinsip manajemen risiko, bahwa penerapan manajemen risiko, maupun pengembangannya, perlu mengikuti dan diselaraskan dengan kebutuhan organisasi akan praktik pengendalian dan pengelolaan risiko dalam rangka mencapai sasarannya, baik jangka pendek maupun jangka panjang.
Sebagai contoh, dua organisasi dalam satu industri yang bersaing untuk memperebutkan pangsa pasar di tahun ini namun dengan target lima tahun mendatang yang berbeda di mana satu organisasi ingin meraih posisi puncak pangsa pasar di pasar domestik, sedang organisasi yang satunya lagi ingin meraih posisi puncak pangsa pasar di pasar regional, membutuhkan manajemen risiko yang kurang lebih sama di tahun ini namun sangat berbeda di tahun kelima. Perbedaan harusnya tampak pada pembangunan kapasitas internal yang dijalankan masing-masing perusahaan untuk meningkatkan efektivitas praktik pengendalian dan pengelolaan risikonya. Perusahaan yang hendak menguasai pangsa pasar regional harus memahami risiko seperti apa yang harus dihadapi di pasar regional dan dengan demikian perlu menyesuaikan keandalan dan efektivitas praktik pengendalian dan pengelolaan risiko yang dijalankannya berdasarkan tuntutan tersebut.
Namun bagaimana memastikan bahwa pembangunan kapasitas manajemen risiko organisasi dapat sesuai dengan sasaran organisasi, baik jangka pendek maupun jangka panjang? Bagaimana kita bisa mendefinisikan seperti apa manajemen risiko yang diperlukan organisasi di tahun ini, atau tahun ke-x secara kontekstual?
Guna memastikan agar kapasitas manajemen risiko organisasi sesuai dengan, atau dengan kata lain dapat mendukung, sasaran organisasi maka kita perlu mengidentifikasi dan memahami konteks internal dan eksternal seperti apa yang menjadi lingkungan di mana organisasi beroperasi dalam upaya meraih sasarannya, baik pada tahun ini maupun pada tahun ke-x yang menjadi horison waktu sasaran organisasi. Bahwa semakin panjang rentang waktu semakin besar pula ketidakpastian dan semakin menurunnya keandalan kita untuk melakukan sebuah prediksi. Hal ini kerap dialami oleh organisasi dalam mengidentifikasi lingkungan eksternal dan internal organisasi di masa depan ketika menyusun long-term strategic business plan, termasuk di dalamnya ketika mencoba mengidentifikasi konteks internal dan eksternal bagi kerangka kerja dan proses manajemen risiko di masa mendatang. Namun sebagaimana penajaman-penajaman dapat dilakukan melalui revisi rencana strategis bisnis seiring dengan bertambahnya informasi yang kita miliki dari satu tahun ke tahun berikutnya, begitu pula dapat kita lakukan pada rencana penerapan dan pengembangan manajemen risiko. Kuncinya di sini adalah kita perlu memiliki satu pemahaman mengenai:
- seperti apa manajemen risiko yang organisasi butuhkan saat ini, seperti apa gap atau kesenjangan yang ada dengan manajemen risiko yang organisasi miliki saat ini, dan bagaimana cara cepat (quick win) untuk menutup gap yang ada, serta
- seperti apa manajemen risiko yang organisasi butuhkan pada tahun ke-x, seperti apa gap atau kesenjangan yang ada dengan manajemen risiko yang organisasi miliki saat ini, dan bagaimana cara (quick win & gradual) untuk menutup gap yang ada.
II. “Kerangka kerja dan proses manajemen risiko disesuaikan dan proporsional dengan konteks eksternal dan internal organisasi”
Terdapat 2 kelompok terminologi yang penting dalam pemaknaan Prinsip ‘Disesuaikan’ di atas, kerangka kerja dan proses manajemen risiko, serta disesuaikan dan proporsional.
a. Kerangka kerja dan proses manajemen risiko
Dua terminologi ini mengingatkan kita bahwa guna memastikan bahwa manajemen risiko di lingkungan organisasi dapat sesuai dengan kebutuhannya dalam pencapaian sasaran maka kita perlu mendefinisikan bentuk praktik pengendalian dan pengelolaan risiko yang perlu dijalankan, serta bagaimana pengaturannya.
Hal penting yang perlu dipahami di sini adalah SNI ISO 31000 memberikan pedoman generik mengenai penerapan sebuah manajemen risiko yang efektif, bahwa berdasarkan Prinsip-Prinsip Manajemen Risiko, manajemen risiko dijalankan berdasarkan Kerangka Kerja Manajemen Risiko, dalam wujud Proses Manajemen Risiko. Bila dikaitkan dengan pemaknaan Prinsip ‘Disesuaikan’ berarti praktik pengendalian dan pengelolaan risiko maupun pengaturannya harus sesuai dengan kebutuhan organisasi saat ini maupun masa depan dalam rangka pencapaian sasarannya.
Agar praktik maupun pengaturan manajemen risiko dapat sesuai maka selain perlu memahami konteks internal dan eksternal organisasi yang memberi pengaruh terhadap bentuk manajemen risiko yang harus dijalankan organisasi saat ini dan harus dijalankan organisasi di masa depan, secara khusus organisasi perlu memiliki pemahaman, atau setidaknya terus-menerus harus membangun pemahaman mengenai, jenis, bentuk atau wujud, dan besaran atau eksposur risiko yang harus dihadapinya dari waktu ke waktu seiring dengan perkembangan atau perubahan konteks internal dan eksternal yang berkaitan dengan sasaran yang hendak dicapai. Tidak hanya itu, berdasarkan pemahaman mengenai jenis, bentuk, dan eksposur risiko, organisasi perlu terus-menerus menggali pemahaman mengenai cara seperti apa yang paling efektif yang bisa dilakukan untuk mengendalikan dan mengelola risiko-risiko tersebut, serta memastikan bahwa upaya tersebut berlangsung secara konsisten dalam rupa yang paling efektif melalui suatu pengaturan yang diterapkan di lingkungan organisasi. Adapun hal ini yang kemudian diakomodasi pada komponen ‘Evaluasi’ dalam Kerangka Kerja Manajemen Risiko dan aktivitas ‘Pemantauan dan Tinjauan’ dalam Proses Manajemen Risiko SNI ISO 31000.
b. Disesuaikan dan proporsional
Dua terminologi ini mengarahkan kita bahwa dalam upaya menyesuaikan praktik pengendalian dan pengelolaan risiko (Proses Manajemen Risiko) serta bagaimana pengaturannya (Kerangka Kerja Manajemen Risiko), kita tidak hanya perlu menyesuaikan dengan tuntutan kebutuhan organisasi akan manajemen risiko yang muncul dari konteks atau lingkungan internal dan eksternal organisasi melainkan juga perlu menjaga perimbangan di antara keduanya. Hal ini sangat penting ketika kita menemui situasi, dan bahkan hal ini sangat mungkin terjadi, bahwa sumber daya yang dimiliki organisasi terbatas untuk dapat memastikan bahwa manajemen risiko yang dijalankan organisasi dapat memenuhi seluruh tuntutan kebutuhan yang muncul dari konteks internal dan eksternal organisasi.
Sehubungan dengan hal di atas, penerapan manajemen risiko juga memerlukan pemahaman mengenai siapa saja pemangku kepentingan yang perlu terlibat di dalamnya, serta bagaimana persepsi serta, ekspektasi dan tuntutan, mereka terhadap praktik pengendalian dan pengelolaan risiko yang dilaksanakan oleh organisasi, dari waktu ke waktu, serta bagaimana cara yang paling tepat untuk mempertahankan engagement dengan tiap-tiap pemangku kepentingan mengingat peran masing-masing dalam upaya pemastian efektivitas penerapan manajemen risiko. Hal ini penting mengingat bahwa sumber daya yang dimiliki organisasi untuk dialokasikan bagi penerapan manajemen risiko agar dapat sesuai dengan ekspektasi dan tuntutan pemangku kepentingan bisa saja terbatas atau tidak mencukupi, atau baru dapat terpenuhi namun tidak pada waktu yang diharapkan.
Dalam hal ini, manajemen organisasi perlu memastikan bahwa terjadi perimbangan terhadap pemenuhan ekspektasi dan tuntutan pemangku kepentingan akan praktik pengendalian dan pengelolaan risiko organisasi, secara proporsional dengan memperhatikan skala prioritas dari tiap pemangku kepentingan (dapat menggunakan stakeholder analysis) serta kemampuan dari organisasi itu sendiri. Sebagai contoh sederhana, sebuah organisasi pada saat yang sama dapat memiliki kewajiban pelaporan manajemen risiko dari regulator, bahkan bisa lebih dari hanya satu pihak regulator, misal BUMN jasa keuangan berbentuk perusahaan terbuka yang juga beroperasi dan di luar negeri yang memiliki tuntutan pelaporan manajemen risiko dari Kementerian BUMN, Otoritas Jasa Keuangan, Bursa Efek Indonesia, dan otoritas setempat di luar negeri, di luar dari tuntutan pelaporan dari pemegang saham atau dari global office dalam konteks perusahaan joint venture dengan perusahaan multinasional. Bahwa dalam situasi yang ideal, organisasi dalam contoh di atas harus memiliki kemampuan untuk memenuhi seluruh kewajiban pelaporan manajemen risiko dari setiap pemangku kepentingannya. Dalam praktiknya, dapat saja terjadi situasi di mana kondisi organisasi tidak mampu untuk memenuhi kewajibannya.
Kuncinya di sini adalah bagaimana kemudian manajemen organisasi mengalokasikan sumber dayanya dan mendahulukan pemenuhan ekspektasi dan tuntutan pemangku kepentingan yang paling mendesak, dan mencari jalan keluar terbaik yang paling mungkin untuk dilakukan untuk memenuhi ekspektasi dan tuntutan yang belum terpenuhi, serta sedini mungkin mengomunikasikan dan mengonsultasikan kondisi yang ada dengan para pemangku kepentingan terkait untuk mengelola ekspektasi dari tiap pemangku kepentingan tersebut dan mempertahankan keyakinan, keterlibatan, dan dukungan mereka terhadap praktik pengendalian dan pengelolaan risiko yang dijalankan oleh organisasi.
Sebagai ringkasan penutup, Prinsip ‘Disesuaikan’ bermakna bahwa penerapan manajemen risiko harus disesuaikan dengan:
- Kebutuhan organisasi untuk mencapai sasarannya, baik sasaran jangka pendek maupun jangka panjang;
- Risiko yang harus dikelola organisasi, baik saat ini maupun di masa mendatang;
- Ekspektasi dan tuntutan pemangku kepentingan, dan kemampuan (ketersediaan sumber daya) organisasi untuk memenuhinya.
Semoga artikel ini bermanfaat!