Penulis: Charles R. Vorst, MM., BCCS, CERG, ERMCP, QCRO, QRGP, CCGO, CGOP
Sekretaris Jenderal IRMAPA.
SNI ISO 31000 Manajemen Risiko – Pedoman memaparkan bahwa salah satu prinsip manajemen risiko adalah ‘Informasi terbaik yang tersedia’. Disebutkan bahwa:
“Masukan manajemen risiko didasarkan atas informasi historis dan saat ini, dan juga harapan masa depan. Manajemen risiko secara eksplisit memperhitungkan segala batasan dan ketidakpastian yang berkaitan dengan informasi dan harapan tersebut. Informasi sebaiknya tepat waktu, jelas, dan tersedia bagi pemangku kepentingan yang relevan.”[1]
Sebagai landasan berpikir mengenai seperti apa manajemen risiko yang efektif, prinsip ini mengarahkan kita bahwa agar pengelolaan risiko yang kita jalankan dapat efektif maka kita memerlukan informasi terbaik yang tersedia bagi kita. Namun apakah maknanya, dan hal apa yang perlu kita lakukan sehubungan dengan prinsip ini untuk memastikan bahwa pengelolaan risiko yang kita jalankan dapat berlangsung efektif?
Artikel ini menyajikan pemahaman dan pandangan yang penulis dapatkan melalui keterlibatan sebagai Anggota Komite Teknis 03-10 Tata Kelola, Manajemen Risiko, dan Kepatuhan yang mengadopsi ISO 31000 menjadi SNI ISO 31000, sekaligus bertindak sebagai National Mirror Committee mewakili Indonesia dalam sidang ISO yang diselenggarakan oleh ISO Technical Committee 262 untuk perumusan keluarga standar ISO 31000, mengenai makna dan pengaplikasian Prinsip ‘Informasi terbaik yang tersedia’ dalam penerapan manajemen risiko dan praktiknya.
Merujuk pada penjelasan prinsip ‘Informasi terbaik yang tersedia’ yang terdapat dalam SNI ISO 31000 di atas, beberapa hal berikut dapat menjadi acuan kita dalam mengaplikasikan prinsip ini dalam praktik pengelolaan risiko yang kita jalankan:
I. “Informasi terbaik …”
Disampaikan dalam dokumen SNI ISO 31000 bahwa “Masukan manajemen risiko didasarkan atas informasi historis dan saat ini, dan juga harapan masa depan”. Bila kita kombinasikan dengan judul prinsip, yaitu “Informasi terbaik..” maka penjelasan di atas dapat ditulis ulang menjadi “Masukan manajemen risiko didasarkan atas informasi historis terbaik, informasi terkini terbaik, dan juga informasi terbaik mengenai harapan masa depan”.
Mari kita telaah mengapa informasi yang dipergunakan dalam manajemen risiko perlu merupakan informasi yang terbaik. Untuk dapat mengelola risiko, dalam hal ini menentukan apa yang akan kita lakukan terhadap suatu risiko, maka kita harus terlebih dahulu memahami risiko apa yang mungkin muncul di masa mendatang, memahami apa yang menjadi penyebab dari munculnya risiko, termasuk di dalamnya adalah sumber dari mana risiko berasal, apakah muncul dari suatu situasi atau kondisi pada lingkungan internal, ataukah pada lingkungan eksternal organisasi, serta memahami eksposur risiko tersebut, tentu saja dengan mempertimbangkan efektivitas kendali internal yang kita terapkan terhadap risiko tersebut. Padahal kita ingat bahwa definisi risiko yang disampaikan dalam dokumen SNI ISO 31000, yaitu sebagai sesuatu yang merupakan, atau muncul, sebagai efek adanya elemen ketidakpastian dalam pencapaian sasaran, di mana kata ‘Ketidakpastian’ sendiri, pada pendefinisian yang terpisah, didefinisikan sebagai “Keadaan, meskipun hanya sebagian, kekurangan informasi yang berkaitan dengan, pemahaman atau pengetahuan, kejadian, konsekuensinya, atau kemungkinan-kejadian”[2]. Memahami akan hal ini kita dapat mengerti mengapa manajemen risiko membutuhkan informasi. Risiko bersifat potensial di masa depan, muncul karena situasi kurangnya informasi tentang masa depan, yaitu sesuatu yang belum pasti. Oleh karena itu untuk menanggapinya, kita memerlukan informasi yang pasti, baik dari masa lalu, saat ini, maupun kondisi seperti apa yang kita inginkan di masa mendatang. Dengan adanya informasi yang pasti ini, kita dapat melakukan proyeksi, atau setidaknya prediksi, mengenai risiko dan karakteristiknya yang mungkin terjadi di masa depan yang tidak, atau belum, pasti. Dengan informasi, kita membangun jembatan pemahaman kita untuk menghubungkan sifat deterministic dari kepastian di saat ini dengan randomness yang menjadi sifat ketidakpastian masa depan, sebuah jembatan yang kita kenal dengan probabilitas.
Kita memiliki informasi historis terbaik, informasi terkini terbaik, dan juga informasi terbaik mengenai harapan masa depan terbaik, untuk digunakan sebagai masukan manajemen risiko ketika kita mengombinasikan informasi berupa explicit knowledge, yaitu segala sesuatu yang terekam baik di internal maupun eksternal organisasi (kita dapat melakukan benchmark, riset, atau studi/kajian untuk mendapatkan informasi dari eksternal organisasi), dengan tacid knowledge berupa kompetensi/pemahaman, ide/gagasan/pemikiran, serta pengalaman para pemangku kepentingan yang dilibatkan dalam proses manajemen risiko. Informasi terbaik ini tidak hanya berguna sebagai masukan baik bagi kerangka kerja maupun bagi proses manajemen risiko, melainkan juga sebagai rujukan/acuan, atau setidaknya dasar pertimbangan, untuk memahami/menentukan “segala batasan dan ketidakpastian”, atau dalam hal ini berupa tingkat keyakinan (confidence level), “dari informasi dan harapan”, termasuk di dalamnya proyeksi atau prediksi yang kita buat. Sebagai keluaran, informasi yang bersifat saling mendukung akan memperkuat simpulan, baik terkait dengan risiko, penyebabnya, sumbernya, keefektifan kendali yang kita terapkan, dampak yang ditimbulkan risiko terhadap sasaran yang hendak kita capai, serta kemungkinannya. Sedangkan informasi yang bertentangan perlu terekam dengan baik untuk menjadi masukan pada proses sintesis lebih lanjut, bila diperlukan.
II. “… yang Tersedia”
Manajemen risiko akan efektif bila menggunakan informasi terbaik. Namun kapankah organisasi memiliki informasi terbaik? Apakah pengelolaan risiko harus menunggu hingga kita memiliki informasi yang terbaik? Jawabannya tentu TIDAK. Apabila kita menunda pengelolaan risiko hingga kita memiliki informasi terbaik maka bisa saja risiko yang harusnya kita kelola telah terjadi lebih dahulu dan menimbulkan kerugian. Hal ini yang menjadi alasan mengapa SNI ISO 31000 menyampaikan bahwa salah satu prinsip manajemen risiko adalah “Manajemen risiko berdasarkan informasi terbaik yang tersedia”. Pertanyaan selanjutnya adalah, tersedia pada saat kapan?
SNI ISO 31000 mengarahkan kita untuk menggunakan informasi terbaik yang tersedia pada saat:
a. terkait kerangka kerja manajemen risiko,
yaitu ketika kita hendak menerapkan komponen-komponen kerangka kerja manajemen risiko, yaitu mewujudkan kepemimpinan dan komitmen untuk mendukung penerapan manajemen risiko, mendesain kerangka kerja, termasuk di dalamnya mengintegrasikan manajemen risiko ke dalam proses bisnis organisasi, mengimplementasi kerangka kerja (dalam hal ini menjalankan proses manajemen risiko), mengevaluasi kerangka kerja, serta merumuskan dan melakukan perbaikan berkelanjutan terhadap kerangka kerja;
b. Terkait proses manajemen risiko,
yaitu ketika kita hendak merumuskan lingkup manajemen risiko dan kriteria risiko, serta melaksanakan rangkaian aktivitas lainnya dalam Proses Manajemen Risiko SNI ISO 31000, yaitu menilai risiko, memilih dan melaksanakan perlakuan risiko, melakukan komunikasi dan konsultasi, pemantauan dan tinjauan, maupun pencatatan dan pelaporan.
Lebih lanjut, SNI ISO 31000 juga menyatakan bahwa “Informasi (bagi manajemen risiko) sebaiknya tepat waktu, jelas, dan tersedia bagi pemangku kepentingan yang relevan”. Pernyataan ini mengandung makna bahwa informasi terbaik yang tersedia bagi manajemen risiko hendaknya merupakan informasi yang valid, relevan, mudah dimengerti, dan tersedia secara tepat waktu (merupakan informasi terkini yang tersedia pada saat dibutuhkan), serta dapat diakses oleh para pemangku kepentingan yang membutuhkannya. Sehubungan dengan hal ini, SNI ISO 31000 menyampaikan bahwa komunikasi dan konsultasi, dengan menggunakan informasi terbaik yang tersedia, dengan para pihak yang terlibat dalam manajemen risiko perlu dirumuskan sejak awal proses manajemen risiko. Dengan demikian, pihak yang bertanggung jawab atas desain kerangka kerja manajemen risiko bagi organisasi, Risk Manager ataukah Chief Risk Officer, perlu memahami siapa saja pemangku kepentingan internal dan eksternal yang terlibat dalam proses manajemen risiko, informasi seperti apa yang diperlukan oleh masing-masing pemangku kepentingan, kapan informasi tersebut perlu tersedia bagi pemangku kepentingan yang membutuhkan, serta seperti apa media yang dapat dimanfaatkan agar tiap pemangku kepentingan dapat mengakses informasi yang diperlukan.
Sebagai penutup, pada suatu situasi tertentu kita dapat menunda keputusan dan aktivitas/tindakan dalam penerapan manajemen risiko hingga kita meyakini bahwa informasi yang tersedia merupakan informasi yang terbaik sebagai dasar pengambilan keputusan atau pelaksanaan aktivitas/tindakan, namun pada suatu situasi lainnya, kita tidak dapat menunda dan harus mengambil keputusan dan atau melakukan suatu aktivitas/tindakan dengan berbekal informasi terbaik yang tersedia. Beberapa hal yang dapat memengaruhi apakah sebuah keputusan dan atau aktivitas/tindakan dapat kita tunda atau tidak berdasarkan informasi yang tersedia adalah antara lain:
- tingkat keyakinan atas keandalan informasi yang tersedia, contoh: kemungkinan besar kita akan menunda keputusan atau aktivitas/tindakan bila meyakini bahwa informasi yang menjadi dasar rujukan/acuan tidak valid dan relevan;
- Ekspektasi dan atau tuntutan pemangku kepentingan, contoh: umumnya kita tidak dapat menunda sesuatu yang kita ketahui sudah menjadi kewajiban hukum;
- Ketersediaan sumber daya untuk mendukung keputusan atau aktivitas/tindakan yang akan kita lakukan, contoh: bisa jadi kita memilih sebuah mitigasi yang less effective dibandingkan dengan dengan mitigasi yang kita yakini lebih efektif karena keterbatasan anggaran yang tersedia di tahun berjalan;
- Konsekuensi yang muncul dari keputusan atau aktivitas/tindakan, maupun penundaannya, contoh: sering kali kita memilih untuk melakukan apa yang secara cepat dapat kita lakukan untuk memperkecil potensi kerugian ketika terindikasi adanya potensi peristiwa kerugian yang akan segera terjadi, sembari mencari cara yang lebih optimal untuk mencegah atau mengantisipasi kerugian yang mungkin terjadi;
- Perilaku risiko (risk attitude), di mana seorang risk averse cenderung bersikap ekstra hati-hati dan menunda keputusan atau aktivitas/tindakan sampai memiliki keyakinan yang cukup untuk melakukan, atau menolak, pengambilan keputusan atau aktivitas/tindakan, dan risk taker yang cenderung bersikap sebaliknya. Sehubungan dengan hal ini, kita perlu memastikan tersedianya protokol pengambilan keputusan/tindakan seperti, kebijakan, pedoman, dan prosedur manajemen risiko, termasuk di dalamnya kriteria risiko berupa selera dan toleransi risiko, untuk memperkecil kemungkinan adanya situasi di mana para pihak harus mengambil keputusan/tindakan dengan mengandalkan perilaku risikonya yang subjektif. Selain itu, kita juga perlu memastikan komunikasi dan konsultasi manajemen risiko berlangsung efektif sebagai salah satu sumber informasi yang dapat melengkapi informasi terbaik yang tersedia bagi para pihak yang harus mengambil keputusan/tindakan.
Semoga artikel ini bermanfaat!
Referensi:
- SNI ISO 31000:2018 Manajemen Risiko – Pedoman, hal. 4.
- SNI ISO Guide 73:2016 Manajemen Risiko – Kosa Kata, hal. 1.