Artikel

Otoritas Jasa Keuangan (OJK) serius membenahi manajemen risiko industri financial technology (fintech). Dalam beleid baru pada industri fintech peer-to-peer (P2P) lending, diatur tentang manajemen risiko penyelenggara/platform P2P lending.

Dalam Peraturan OJK (POJK) Nomor 10/POJK.05/2022 tentang Layanan Pendanaan Bersama Berbasis Teknologi Informasi (LPBBTI), ada pasal tentang manajemen risiko. Dalam Pasal 35 (Manajemen Risiko oleh Penyelenggara), diatur singkat tentang manajemen risiko platform P2P lending.

 Disebutkan dalam di Pasal 35 bahwa platform P2P lending wajib menerapkan manajemen risiko secara efektif. Penerapan manajemen risiko tersebut paling sedikit mencakup: (1) pengawasan aktif direksi, dewan komisaris, dan dewan pengawas syariah; (2) kecukupan kebijakan dan prosedur manajemen risiko serta penetapan limit risiko; (3) kecukupan proses identifikasi, pengukuran, pengendalian, dan pemantauan risiko, serta sistem informasi manajemen risiko; dan (4) sistem pengendalian internal yang menyeluruh.

Manajemen risiko dalam ketentuan di atas adalah manajemen risiko pada platform P2P lending itu sendiri. Ada risiko-risiko yang dihadapi platform seperti risiko operasional, risiko strategis, risiko kepatuhan, risiko fraud, dan lainnya.

Platform P2P lending tidak menanggung risiko kredit atas dana yang disalurkan. Hal ini dikarenakan fungsi perusahaan P2P lending hanya sebagai platform, yakni penghubung antara pemberi dana (lender) dengan peneriman dana (borrower). Yang melakukan transaksi utang-piutang adalah antara lender dengan borrower.

Transaksi dalam P2P lending berbeda dengan bank atau lembaga pembiayaan. Pada bank, kredit yang disalurkan kepada debitur adalah dana yang diakui sebagai aset bank. Jika debitur macet, maka yang rugi adalah bank. Pemiliki risiko kredit adalah bank. Sementara itu, dalam transaksi P2P lending, jika borrower macet, maka yang menanggung risiko adalah lender.

Meskipun risiko pinjaman macet ada pada lender, platform P2P lending diwajibkan OJK untuk membantu memfasilitasi mitigasi risiko, khususnya risiko lender yang uangnya dipinjamkan. Disebutkan dalam ayat (4) Pasal 35 bahwa kegiatan memfasilitasi mitigasi risiko bagi paling sedikit berupa: (1) analisis risiko pendanaan yang diajukan oleh borrower; (2) melakukan verifikasi identitas pengguna dan keaslian dokumen; (3) melakukan penagihan; (4) memfasilitasi pengalihan risiko (misalnya melalui asuransi); dan (5) memfasilitasi pengalihan risiko atas objek jaminan, jika ada objek jaminan. 

Dalam praktik, proses credit scoring atas calon borrower adalah bagian dari analisis risiko pendanaan. Jika calon borrower tidak layak didanai, maka platform P2P lending tidak seharusnya menawarkan kepada lender. Calon borrower diberikan hasil scoring dan ditampilkan atau diinformasikan kepada lender untuk dipilih. Hasil credit scoring umumnya bervariasi tiap calon borrower dan keputusan ditentukan secara independen oleh lender apakah akan memberikan pinjaman/pendanaan atau tidak.

Beberapa ketentuan yang menguatkan manajemen risiko dapat dijumpai dalam beberapa pasal di POJK 10/2022. Misalnya di Pasal 46 disebutkan bahwa platform P2P lending wajib memiliki sertifikat sistem manajemen keamanan informasi dengan cakupan menyeluruh (terkait risiko operasional). Hal yang sama juga terkait dengan akses dan pengamanan data pribadi (Pasal 47) yang harus dipatuhi (terkait risiko kepatuhan), terlebih sejak ditetapkannya UU No. 27/2022 tentang Pelindungan Data Pribadi.

Ketentuan manajemen risiko untuk industri P2P lending dalam POJK 10/2022 memang tidak dalam, namun sudah memadai. Hal ini memang disesuaikan dengan industri yang masih baru (6 tahun) hadir di Indonesia. Secara bertahap, kualitas manajemen risiko industri harus terus ditingkatkan, seiring dengan maturitas yang (diharapkan) semakin baik.

***

Peraturan Menteri BUMN Nomor Per- 5/MBU/09/2022 tentang Manajemen Risiko pada BUMN (PerMen No:5) merupakan tonggak penting dalam pengelolaan BUMN yang merupakan salah satu pilar pembangunan ekonomi di Indonesia. Dengan kehadiran PerMen No:5 tersebut, langkah dan koridor penerapan manajemen risiko di tingkat organisasi BUMN menjadi jelas, terarah, dan sedikit banyak terstandarisasi. Terkait dengan hal ini, ada satu tantangan tersendiri dalam penerapannya terutama bagi mereka yang diberikan amanah sebagai anggota direksi dan atau dewan Komisaris, yaitu ‘apakah atau bagaimana PerMen No: 05 tersebut dapat meningkatkan keunggulan daya saing BUMN dalam kancah persaingan global di era digital?’

Walau jawaban bisa beragam tergantung sudut pandang, pengalaman, kompetensi dan berbagai faktor lainnya, penulis berharap artikel pendek ini dapat menjadi salah satu sandaran pokok pikiran tentang bagaimana penerapan manajemen risiko terutama ERM (Enterprise Risk Management) di suatu organisasi (baik BUMN maupun privat) secara fundamental dapat meningkatkan daya saing dan ketangguhan mereka.

Risiko adalah efek dari ketidakpastian terhadap pencapaian sasaran organisasi (SNI ISO 31000), dan upaya manajemen risiko adalah aktivitas terkoordinasi untuk pengelolaan risiko organisasi tersebut, mulai dari tingkat strategis sampai pada operasional dan administratif. Oleh karena itu, perlu disimak bahwa organisasi tidak akan pernah efektif dalam pengelolaan risiko bila tidak memiliki atau menetapkan sasaran mereka terlebih dahulu, yang jelas dan spesifik, kompetitif dan menantang, terukur dan tertelusur, serta dengan target waktu yang eksplisit. Setelah adanya sasaran yang ditetapkan – terutama sasaran strategis (catatan: yang kemudian diikuti dengan penetapan sasaran operasional dan fungsional pendukung sasaran strategis tersebut) yang sejatinya untuk menciptakan dan melindungi nilai organisasi (create and protect value) baik jangka pendek maupun panjang.

Untuk hal tersebut, tiap BUMN perlu bertanya dan sekaligus mencari jawaban terhadap tiga pertanyaan fundamental sebelum penerapan ERM di suatu organisasi:

• “Are we taking the right risk?”: Apakah risiko, terutama risiko strategis yang diambil sudah tepat dan relevan dalam mendukung pencapaian sasaran strategis BUMN, yang secara inheren berisikan peningkatan daya saing atau pengelolaan risiko sisi-atas dalam penciptaan nilai organisasi (upside risk) dan membangun ketangguhan atau pengelolaan risiko sisi-bawah dalam upaya menjaga atau memberikan perlindungan terhadap nilai organisasi (downside risk).
• “Are we taking the right amount of risk?”: Apakah jumlah risiko strategis yang diambil BUMN tersebut sudah tepat, terukur dan terjaga jumlah paparan risiko-nya, baik yang berbentuk spesifik maupun agregat. Perlu dibangun suatu kesepakatan di tingkat direksi dan dewan komisaris beberapa hal fundamental misal selera risiko (Risk Appetite), kapasitas risiko (Risk Capacity) dan toleransi risiko (Risk Tolerance) yang menjadi pijakan BUMN secara entitas dalam pengelolaan risiko mereka.
• “Do we have the right infrastructure and process?”: Apakah infrastruktur dan proses manajemen risiko yang ada atau akan ada sudah tepat guna dan tepat sasaran sehingga turunan dari risiko strategis ke risiko operasional dan fungsional jelas keterkaitannya bahkan sampai pada tingkat proses bisnis terdepan. Pertanyaan mencakup juga tentang sejauh apa teknologi dan metodologi diadopsi dan digunakan secara efektif dan efisien untuk memastikan bahwa dalam pengelolaan risiko di organisasi – direksi dan dewan komisaris dapat memperoleh informasi tepat waktu dan bernas sehingga termampukan untuk mengambil keputusan berdasar pada koridor dan pertimbangan risiko yang menyertai misal: penentuan limit risiko dan Key Risk Indicators (KRI).

Setelah ketiga pertanyaan di atas terjawab oleh direksi dan dewan komisaris, BUMN perlu membangun kapasitas dan kapabilitas secara menyeluruh sehingga penerapan manajemen risiko mereka tidak berhenti pada kepatuhan semata tetapi meresap sampai menjadi budaya sadar dan tanggap risiko yang tidak hanya responsif tetapi pro-aktif dan inovatif. Untuk itu, perlu dibangun kesadaran dan ketertarikan kolektif dari semua insan yang ada di BUMN sehingga mereka akan tergerak, terpimpin dan terbentuk menjadi unsur dasar pembentukan budaya organisasi dengan tahapan sebagai berikut:

• Bangun kapasitas dan kapabilitas organisasi melalui sejumlah individu yang kompeten secara fundamental dalam bidang manajemen risiko sehingga titik kritis minimum tercapai yaitu sekitar 15-25% di berbagai jenjang organisasi mulai dari organ direksi dan dewan komisaris sampai pada semua insan yang berperan dalam proses bisnis yang diperlukan. Hal ini mencakup baik pengetahuan (knowledge), ketrampilan (skills) dan sikap kerja (attitude).
• Setelah hal di atas tercipta, organisasi dapat memulai pembentukan budaya organisasi dengan konsep konsep ABC (Attitude, Behaviour, Culture) dimana sikap kerja individu yang kompeten menjadi dasar pembentukan perilaku kolektif, dan kemudian menjadi basis kuat dalam pembentukan budaya sadar dan tanggap risiko organisasi secara keseluruhan.

Sebagai penutup, mari kita ulang pertanyaan di awal artikel yaitu “apakah atau bagaimana PerMen No: 05 tersebut dapat meningkatkan keunggulan daya saing BUMN dalam kancah persaingan global di era digital?” , yang disusuli jawaban ringkas dari pertanyaan tersebut:

• Keunggulan daya saing BUMN dapat ditingkatkan?: Yah, karena BUMN harus menentukan terlebih dahulu risiko strategis mereka yang merupakan cerminan dari adanya suatu sasaran strategis organisasiterlebih dahulu – yang sejatinya berdimensi penciptaan atau peningkatan keunggulan bersaing yang terukur dan tertelusur, sehingga mampu menciptakan nilai (create value or value creation) organisasi baik jangka pendek maupun panjang. Dalam era digital, pembangunan kapasitas serta kapabilitas pengelolaan risiko untuk dapat mengelola risiko strategis tidak akan dapat terlepas dari pengaruh dan dampak perkembangan teknologi digital, yang oleh karena itu perlu menjadi bagian esensial dalam penetapan konteks manajemen risiko BUMN. Lebih jauh lagi, organisasi juga perlu mempertimbangkan tren, isu dan tantangan masa depan yaitu SDGs (Sustainable Development Goals) dan ESG (Environmental, Social, and Governance).
• Ketangguhan BUMN dapat ditingkatkan?: Ya, karena risiko strategis perlu diturunkan dan dipadukan pada keseluruhan proses di tingkat operasional dan fungsional sehingga pengendalian terhadap risiko entitas BUMN terjaga efektivitasnya. Dengan pemaduan tersebut, BUMN dapat proaktif, antisipatif dan selalu siaga dalam melindungi nilai organisasi terhadap risiko destruktif (protect value or value protection) baik yang berasal dari internal maupun eksternal. Hal ini akan semakin solid dan berdaya tahan tinggi bila mereka mengadopsi juga berbagai turunan dari ERM yaitu BCM (Business Continuity Management) dan DR (Disaster Recovery) sehingga ketangguhan dan kelincahan organisasi dapat ditingkatkan dalam era VUCA – Volatility, Uncertainty, Complexity, and Ambiguity.

Kedua hal di atas akan menjadi keniscayaan – hanya dan bila ada pembangunan kompetensi terstruktur dan sistematis di bidang manajemen risiko secara fundamental, mulai dari tingkat individu sampai pada entitas secara keseluruhan. (https://crmsindonesia.org/programs/risk-management-series/erm-fundamentals-with-dual-certification/) Selain itu, penggunaan standar internasional atau nasional sebaiknya diadopsi oleh BUMN untuk mengoperasionalisasikan penerapan PerMen No: 05 yaitu:

• SNI ISO 31000 Manajemen Risiko – Prinsip dan panduan yang identik dengan Standar Internasional ISO 31000 dan selaras dengan Permen 05 (https://irmapa.org/permen-bumn-nomor-per-5-mbu-09-2022-tentang-manajemen-risiko-pada-bumn-2
• SNI 8848:2019 Manajemen risiko – Panduan implementasi SNI ISO 31000 di sektor publik. SNI 8848 adalah turunan dari SNI ISO 31000 yang sudah disesuaikan dengan kebutuhan dan konteks manajemen risiko sektor publik.
• SNI 8849:2019 Manajemen Risiko – Kompetensi sumber daya manusia dalam implementasi SNI ISO 31000. SNI 8849 adalah turunan dari SNI ISO 31000 yang sudah disesuaikan dengan sistem nasional pembangunan kompetensi vokasi di bidang manajemen risiko.

Mudah-mudahan artikel pendek ini bermanfaat, salam secinta Indonesia.

Dr. Antonius Alijoyo

• Pendiri CRMS Indonesia (Center for Risk Management and Sustainability)
• Ketua Komite Teknis 03/10 BSN: Governansi, Manajemen Risiko, dan Kepatuhan.

Perubahan terjadi setiap detik setiap waktu, termasuk tuntutan yang semakin besar terhadap Badan Usaha Milik Negara (BUMN) agar dapat mengelola risikonya dalam mendukung kinerja pelayanan publik (public service obligation) dan pada saat yang sama harus memastikan keberlanjutan organisasi mereka dalam menghadapi banyak ketidakpastian. Peristiwa black-out listrik pada akhir 2019 menjadi bukti nyata pentingnya pengelolaan risiko BUMN.

Faktanya, kompleksitas dan ukuran BUMN yang beragam menyebabkan pengelolaan risiko BUMN belum memiliki standar yang sama sampai dikeluarkannya Peraturan Menteri BUMN Nomor Per-5/BUMN/09/2022 (PerMen) awal September 2022 yang lalu.

Dalam hal ini, Peraturan Menteri BUMN Nomor Per-5/MBU/09/2022 telah memberikan panduan umum pengelolaan risiko BUMN, namun keberhasilan penerapannya pada tataran operasional memerlukan kejelasan lingkup melalui definisi yang tepat. Hal itulah yang melatarbelakangi artikel ini untuk membahas sejauh mana standar ISO 31000 (Yang telah diadopsi menjadi SNI ISO 31000) mampu mendukung penerapan manajemen risiko BUMN, berangkat dari aspek paling esensial namun sering terabaikan, yaitu definisi risiko dan manajemen risiko.

1. Definisi Risiko

Secara ringkas perbandingan definisi risiko disajikan sebagai berikut:

Gambar 1.1.

Ilustrasi Perbandingan Definisi Risiko

Sebagaimana ilustrasi di atas, antara SNI ISO 31000 dan Pemen BUMN telah sejalan dalam memahami risiko sebagai suatu ketidakpastian di masa depan, namun Permen BUMN membatasi dampak dari ketidakpastian tersebut hanya pada tujuan strategis organisasi. Sehingga dapat ditafsirkan bahwa risiko yang relevan bagi BUMN hanyalah risiko strategis saja. Sedangkan SNI ISO 31000 membuka kemungkinan lingkup dampak yang lebih luas, yaitu pada pencapaian sasaran organisasi, yang dijelaskan lebih lanjut bahwa sasaran organisasi terdiri dari sasaran strategis, dijabarkan lebih lanjut dalam sasaran program, dan sasaran kegiatan/sub kegiatan di level operasional. Oleh karena itu, lingkup risiko dalam SNI ISO 31000 lebih luas, dimana lingkup risiko dalam Permen BUMN merupakan bagian di dalamnya.

Selain itu, SNI ISO 31000 lebih memilih menggunakan istilah ‘sasaran’ daripada ‘tujuan’. Hal ini dilandasi pemikiran bahwa tujuan diturunkan dari kata ‘goal’ yang cenderung masih umum, sedangkan sasaran diturunkan dari kata ‘objective’ yang sudah SMART (Specific, Measurable, Attainable, Relevant, Timebound). Ilustrasinya, sama-sama memiliki tujuan ke Bandung, tetapi risikonya akan jauh berbeda ketika sasarannya adalah ke Bandung tepat waktu, dibandingkan dengan sasarannya ke Bandung dengan selamat. Risiko untuk sasaran ke Bandung tepat waktu berkaitan dengan ketidakpastian yang mempengaruhi waktu tempuh, sedangkan sasaran ke Bandung dengan selamat, lebih berkaitan dengan ketidakpastian yang mempengaruhi keamanan perjalanan.

1. Definisi Manajemen Risiko

Kementerian BUMN secara eksplisit menempatkan manajemen risiko sebagai bagian yang tidak terpisahkan dari pengendalian intern dan tata kelola terintegrasi (Pasal 1 Ayat 9). Definisi ini lebih luas dari SNI ISO 31000 karena lingkup manajemen risiko (risk management) merupakan satu kesatuan dengan tata kelola (governance) dan pengendalian intern (internal control) atau sering disingkat dengan GRC (Governance-Risk-Control). Apabila disandingkan dengan standar ISO, maka ilustrasinya adalah sebagai berikut:

Gambar 1.2

Ilustrasi Perbandingan Definisi Manajemen Risiko

Sebagaimana ilustrasi di atas, mengikuti definisi manajemen risiko pada Permen BUMN, setidaknya terdapat tiga standar ISO yang dapat mendukung operasionalisasi manajemen risiko BUMN, yaitu ISO 37000 tentang tata kelola organisasi atau ‘Governance’, SNI ISO 31000 tentang manajemen risiko atau ‘Risk Management’, dan ISO 37301 tentang sistem manajemen kepatuhan atau ‘Compliance”. Untuk pengendalian intern (internal control), tidak menjadi satu standar ISO tersendiri, melainkan menjadi satu kesatuan dengan SNI ISO 31000 berupa tahapan penanganan risiko dalam proses manajemen risiko. Pengendalian intern dimulai dengan menilai efektivitas pengendalian yang sudah ada (existing control) serta memutuskan opsi penanganan risiko tambahan agar risiko dapat diturunkan sampai pada level yang dapat diterima organisasi (risk appetite).

Implementasi ISO 37301 tentang sistem manajemen kepatuhan penting karena area bisnis BUMN pada umumnya highly regulated karena menyangkut hajat hidup orang banyak. Batasan tersebut dapat bersifat regulasi (regulatory boundaries), maupun nilai-nilai organisasi (voluntary boundaries). Ibarat perjalanan kereta api, BUMN perlu memastikan agar operasinya berjalan sesuai rel/koridor yang ada, sehingga mampu berjalan lancar selamat sampai tujuan.

Secara ringkas dapat disimpulkan bahwa SNI ISO 31000 relevan untuk mendukung implementasi manajemen risiko BUMN mulai dari penerapan di level strategis sampai dengan level operasional. Keuntungan lainnya, standar ISO telah diakui secara internasional, sehingga memiliki bahasa dan protokol yang sama mengenai apa itu risiko dan manajemen risiko, yang tentunya hal ini sangat penting jika BUMN berinteraksi dengan mitra mereka di tingkat internasional atau berencana melakukan ekspansi ke luar negeri. Tidak hanya terkait definisi, SNI ISO 31000 (https://irmapa.org/bumn-indonesia-penerapan-manajemen-risiko-berbasis-peraturan-menteri-bumn-no-5-mbu-09-2022/ ) juga relevan untuk mendukung struktur dan proses manajemen risiko BUMN , yang akan dikupas pada artikel berikutnya.

Inspired by the theme of the Risk Beyond Conference, which will be held on 8-9th December 2022, titled “The Perception: Managing It or being drifted away” – https://www.riskbeyond.com, the author is pondering the meaning and influence of perception on an organization process and about risk perception to decision making process in particular. And, what could be the impact if the risk perception is not well cultivated throughout the organization, henceforth, in addressing and dealing with corporate risks, including at their governing boards.

Perception affects the organizational process because if people cannot properly perceive the given goal or the aim of the organization, then they might not be working towards it. And, if they are not working towards It, then that organization faces a gap between what is required of the people and what is actually being done by them. As such, the gap could cause an organization fails to accomplish their goals/objectives, which might bring them down to crisis and event disaster. On the contrary, having the right dimensional of perception/risk perception will help people fine-tune and shape the judgment to make about the characteristics and severity of a risk. Understanding and cultivating risk perception, therefore, become critical and important as organizations face potential economic recession that comes to their doorstep in the midst of VUCA – Volatility, Uncertainty, Complexity, and Ambiguity. By cultivating perception, we may expect that the ripple effects of bias due to uncultivated perception are minimized.

Perception and risk perception

Perception refers to our sensory experience of the world. It is through experience that we gain information about the environment and or circumstances. However, people do not solely respond to the stimuli in their environment and or circumstances, but they pay selective attention to some aspects and ignore other elements that may be immediately more apparent to other people. Based on this, perception may be defined as the process by which individuals detect and interpret environmental stimuli upon which they formulate responses and act accordingly.

Risk perception is the subjective judgment that people make about the characteristics and severity of a risk. Risk perceptions are affected by four factors: affective, cognitive, contextual, and individual. Therefore, understanding the wide range of respective factors is important and cultivated. Several theories have been proposed to explain why different people estimate the dangerousness of risks upon which three major families of theory have been developed, i.e., Psychology approaches, sociology approaches, and interdisciplinary approaches.

• Psychology approaches: People use cognitive heuristics in sorting and simplifying information, leading to biases in comprehension. This approach assumes that individuals behave rationally by weighing information before making a decision and that individuals have exaggerated fears due to inadequate or incorrect information, which may lead to biased risk identification, analysis, and evaluation. Implied in this assumption is the need to cultivate risk perception through additional information that can help people understand true risk and lessen the ripple effects of the sensation of danger.
• Anthropology/sociology approaches: It posits risk perceptions as produced by and supporting social institutions. In this view, perceptions are socially constructed by institutions, cultural values, and ways of life. Group refers to the extent to which individuals are bounded by feelings of belonging or solidarity. The greater the bonds, the less individual choice are subject to personal control. Implied in this assumption is the need to cultivate a group’s risk perception through effective communication and consultation that can help an organization avoid misperception among and within groups.
• Interdisciplinary approaches:The Social Amplification of Risk Framework (SARF), which combines research in psychology, sociology, anthropology, and communications theory, outlines how communications of risk events pass from the sender through intermediate stations to a receiver and, in the process, serve to amplify or attenuate perceptions of risk. The main thesis of SARF states that risk events interact with individual psychological, social, and other cultural factors in ways that either increase or decrease public perceptions of risk. Implied in this assumption is the need to cultivate risk perception by comparing responses from different groups in a single event or analyzing the same risk issue in multiple events. In so doing, an organization may have a better balance and or calibration on viewing and weighing their risks.

Ripple effects and improving the perception

Biased or overly biased perception/risk perception, particularly if they are not cultivated, will generate ripple effects that lead to a wrong decision and or action in addressing and managing risks. These ripple effects are caused primarily by the amplification of risk that will lead to the secondary-order impacts, which are then perceived and reacted by individuals and groups, resulting in third-order impacts, and so on. As each higher-order impact is reacted to, they may ripple to other parties and locations.

Cultivating perception/risk perception is therefore needed and critically important to avoid the ripple effects. As such, we come to the question, “How to cultivate and improve perception?”. To answer that question, we need to understand the two sides of the coin: self-perception and perception of others, and then employ perception checking to improve both of them toward cultivating our risk perception continuously and cautiously:

• Improving self-perception: Since self-concept and self-esteem are so subjective and personal, it would be inaccurate to say that someone’s self-concept is “right” or “wrong.” Instead, we can identify negative and positive aspects of self-perceptions as well as discuss common barriers to forming accurate and positive self-perceptions and then work cautiously on getting them improved. Working on it tirelessly.
• Avoid reliance on rigid schemata:Since we rely on schemata almost constantly to help us make sense of the world around us, they become so familiar that we use them as scripts, which prompts mindless communication and can lead us to overlook new information that may need to be incorporated into the schema. So it’s important to remain mindful of new or contradictory information that may warrant revision of a schema. Keep yourself mindful.
• Be critical of socializing forces: We learned that family, friends, sociocultural norms, and the media are just some of the socializing forces that influence our thinking and therefore influence our self-perception. These powerful forces serve positive functions but can also set into motion negative patterns of self-perception. Be critical, then.
• Beware of Self-fulfilling prophecies:Self-fulfilling prophecies are thought and action patterns in which a person’s false belief triggers a behavior that makes the initial false belief actually or seemingly come true. Don’t let us be trapped into it.
• Beware of Distorted Patterns of Thinking and Acting: Since we all have perceptual biases that could distort our thinking, beware of some distorted patterns of thinking and acting. Keep learning about some typical negative patterns of thinking and acting that may help us acknowledge and intervene in them. One such pattern involves self-esteem and overcompensation.
• Create and Maintain Supporting Interpersonal Relationships: Most people have their social cycle in their lives, either friends, family, romantic partners, or colleagues. When people find themselves in negative relational cycles, it is difficult to break out of those cycles. However, we can make choices to be around people that will help us be who we want to be and not be around people who hinder our self-progress. This notion can also be taken to the extreme, however. It would not be wise to surround yourself with people who only validate you and do not constructively challenge you because this, too, could lead to distorted self-perceptions.

Hope this short article is useful.

Dr. Antonius Alijoyo, founder of Center for Risk Management and Sustainability (CRMS Indonesia) and Chair of supervisory board of Indonesia Risk Management Professionals Association (IRMAPA).

First of all, I would like to congratulate the organizer (the Indonesia Life Insurance Association, AAJI) for hosting this very important conference. Thank you very much for inviting me to deliver my brief speech. I am very honored. I am very grateful.

In this session we will discuss two big topics. Firstly, global economic prospect. Secondly, the role of insurance industry. Please allow me to discuss the topics from the point of view of Indonesian context.

In preparing my speech, I read several reports published by prominent institutions like the World Bank, the International Monetary Fund, the Asian Development Bank, as well as private consulting companies like McKinsey, EY, PwC, Deloitte, and others. In general, they report very similar information and message on the prospect of the global economy, especially in the context of Indonesian economy. To summarize the reports, let me use the framework provided by the World Bank. 

In this diagram, it is perceived that a country economic performance is shaped by global as well as domestic situations. Two global phenomena, namely the COVID19 pandemic and the war in Ukraine, are significantly influencing the global economy. The WHO has not declared the end of the pandemic yet. But in most countries, including Indonesia, we have seen good signs of the ending of the pandemic. Naturally, this will be followed by an increase in the consumers’ confidence and in turn it will significantly increase the demand for commodities.

On the other hand, China, from which many East Asian countries, including Indonesia, import important commodities, has not been completely recovered from the pandemic. As a result, the countries experience supply shortage in several important commodities at least in the next few months. This situation has been worsened by the war in Ukraine that significantly creates supply disruptions. The prices of food and energy have increased and it will certainly trigger global inflation. Financial authorities of major countries respond the inflation by increasing interest rates. The combination of the phenomena will lead to a slower global economic growth.

Most, if not all, reports on global economic outlook mentioned that Indonesia rightfully responded the global economic situations with prudent economic and financial policies. Thank to these prudent public policies, the reports forecast that the Indonesian economic growth rate will reach 5.1% for this year and the coming year. The figure is even better than the growth rate in pre-pandemic year which was 5.0% in 2019. Therefore, it is safe enough to conclude, that despite the probable global recession in the coming few years, Indonesian economy is forecasted to be able to survive with a moderate growth rate.

Let me now proceed to our second topic which is about the role of insurance industry, again, in the context of Indonesian economy. I am very fortunate that last July I attended an international conference in Lombok in which Mr. Budi Tampubolon (the Chairman of Indonesia Life Insurance Association) delivered his speech on “Market Updates & Current Issues in Indonesia Life Insurance Industry”. What I need to do now is to cite the important points of his speech and add some comments and opinion of mine, based on my own observation.

I would like to use this table as an approach to discuss the role of insurance industry. I divide the topic into two parts, one is the social and economic development aspect and the other is the sustainable development aspect. Each aspect will be discussed in two perspectives, which are the current existing condition and the expectation toward the development of insurance industry.

My main point is that the insurance industry has been very instrumental as a catalyst to economic growth of this country just like the one in advanced developed economies. It provides protection so that households and firms can better manage their risks. This role is increasingly important in the world that is full of volatilities, uncertainties, complexities, and ambiguities. The insurance industry is a vital thread in the fabric of a strong Indonesian economy.

Absolutely, insurance industry creates employment and mobilizes fund for productive investments. However, as the case in many other industries in the financial sector, the relative contribution of insurance industry to the Indonesian economy is small. The penetration rate of life insurance industry is only 1.2% of the Indonesian GDP, whereas the density is only USD 54 per capita. These figures are much less than the figures in neighboring comparable countries like Malaysia, Thailand, India, or Vietnam.

Considering the fact that the Indonesian economy grows steadily, I can predict confidently that the penetration rate and the density of life insurance industry will soon increase significantly, under certain conditions such as the improvement of insurance literacy among Indonesian people and the capability of the industry in creating innovative products.

Recent news about corruption cases in some insurance firms in Indonesia do not help the efforts to increase the contribution of insurance industry to the economy. In my quick observation, several insurance firms still need to improve their governance, risk management, and compliance (GRC) initiatives.

My last point is related with the role of insurance industry in sustainable development. This issue is important and will become increasingly important in the years to come. The Government of Indonesia, including the Ministry of National Development Planning (Bappenas), Ministry of Finance, as well as the Financial Service Authority (OJK) have prepared and issued regulations to pursue the targets of Green Economy initiatives that have been internationally established. On the other hand, in my quick observation, the signs of relevant actions taken by insurance firms have not been widely seen in the media, except those from a very small number of big international players. I would like to stress one point regarding the contribution of the Insurance Industry to sustainable development, that is, the green economy initiative, anywhere in the world, need collaboration among all parties, the government, the private sector, the people or the households within the economy. The government must lead the initiative through creating and enforcing good regulations effectively. The government must be the leader in creating green economy. In other words, it is not rational to assume that private sector alone could autonomously execute efforts to create green economy. I should not talk much about this issue, because we will exclusively discuss this topic in the next session this afternoon.

It is not easy to draw conclusion or implication from my speech. One reason for that is the high diversity of membership of AAJI. Some members are big companies, while the others are medium or small companies. Some members have long experience, while the others have only short history. The corporate cultures and the organizational maturity levels are also very diverse. As a result, the problems they are facing are also very heterogeneous.

To end my presentation, I would like to express my optimism regarding the development of insurance industry in Indonesia. The size of the economy and the steady growth rates of the GDP will sufficiently guarantee the potential rapid development of insurance industry in Indonesia. I wish you all the best.  Thank you very much.

_______________________________

Bogor, 8 October 2022

Artikel ini dipaparkan oleh penulis pada acara Insurance Forum 2022 di Bali tanggal 16-18 Oktober 2022.

Prepared for Insurance Forum, hosted by the Indonesia Life Insurance Association in Bali, 17-18 October 2022.

Merujuk pada Peraturan Menteri BUMN Nomor Per- 5/MBU/09/2022 tentang Manajemen Risiko pada BUMN (PerMen No:5) yang dikeluarkan pada awal September 2022, dan mencermati berbagai komentar, ulasan, analisis, serta harapan yang berpendar, penulis tergerak untuk berbagi pandangan dengan tajuk tulisan di atas.

Dalam era penuh ketidakpastian, BUMN maupun privat diharapkan dapat mengelola risiko mereka sedemikian rupa sehingga dapat secara efektif menangani dampak dari ketidakpastian terhadap pencapaian tujuan dan sasaran organisasi. Dalam hal ini, PerMen No:5 dapat membantu BUMN dalam membangun kepatuhan, kapasitas dan kapabilitas mereka dalam penerapan manajemen risiko organisasi yang sistematis, terstruktur, dan terukur serta tertelusur.

Pertanyaan pertama yang kemudian timbul adalah ‘apakah bila BUMN sudah menerapkan PerMen No:5 tersebut, mereka akan lebih tangguh dan lincah dalam menghadapi ketidakpastian dan risiko yang menyertainya?’ Jawaban bisa ‘Ya’ dan juga bisa ‘Tidak’ tergantung bagaimana BUMN terkait menyikapi pelaksanaan PerMen No:5 ini, dan bagaimana BUMN tersebut mampu mengoptimalkannya.

Menurut hemat penulis yang kebetulan juga adalah ketua komite teknis 03/10 BSN (Badan Standarisasi Nasional) yang mendapat amanah untuk pengembangan standar nasional terkait Governansi, Manajemen Risiko, dan Kepatuhan di BSN yang merupakan representasi Indonesia di Technical Committe ISO dunia (TC 309, dan TC 262), perlu adanya suatu kerendahan hati dan kearifan profesional untuk melihat sejauh apa kesesuaian regulasi dengan dasar dan standar nasional serta internasional sehingga hasil yang diperoleh dapat optimal. Hal ini penting kita cermati, karena dunia persaingan – dan juga daya saing organisasi agar tangguh dan lincah – tidak terbatas dan tidak dapat dibatasi hanya pada regulasi suatu negara semata, tetapi mengarah dan mendasar pada berbagai standarisasi internasional termasuk penerapan manajemen risiko, yaitu ISO 31000 (Standar Manajemen Risiko Internasional) yang identik dengan SNI ISO 31000 (Standar Nasional Indonesia).

Pertanyaan kedua yang kemudian timbul adalah ‘sejauh apa kesesuaian PerMen No:5 dengan ISO 31000 ?’

Untuk ini, kita semua patut memberikan apresiasi karena PerMen No:5 sinkron dan memiliki dasar serta nafas sejalan dengan ISO 31000 yang dikenal dan digunakan di banyak negara dan bahkan telah menjadi standar nasional negara mereka masing-masing. Lebih jauh lagi, PerMen No:5 juga beririsan (https://crmsindonesia.org/publications/analisis-bumn-dan-iso-31000/) dengan SNI 8848 (Manajemen Risiko Sektor Publik) dan juga ISO 37000 (Standar Governansi) serta ISO 37301 (standar Manajemen Kepatuhan). Oleh karena itu, sudah saatnya bagi setiap BUMN untuk menterjemahkan penerapan PerMen No:5 ke tingkat operasionalisasi yang bersandar pada kepatuhan terhadap regulasi, dan sekaligus membangun ketangguhan dan daya saing melalui standarisasi

Beberapa hal di bawah ini dapat dijadikan pertimbangan dalam pembuatan pedoman operasionalisasi PerMen No:5 di tingkat organisasi BUMN itu sendiri:

1. Memastikan dalam pedoman manajemen risiko, secara eksplisit dinyatakan bahwa berlandaskan PerMen No:5, praktik terbaik harus konsisten dengan standar nasional/internasional yang dikenal dan diakui oleh Republik Indonesia yaitu SNI ISO 31000 (yang identik dengan standar internasional ISO 31000). Hal ini diperlukan agar dapat mendorong BUMN untuk terus terikutkan dalam proses pengkinian penerapan manajemen risiko mereka seiring dan sejalan dengan kompetisi dan pergaulan dunia yang berbasis pada standarisasi.
2. Memastikan terbangunnya kompetensi manajemen risiko di keseluruhan jajaran BUMN, mulai dari dewan governansi mereka yaitu direksi/pengurus dan dewan komisaris/pengawas sampai kepada tingkat pelaksana terdepan organisasi. Dalam hal ini, sebaiknya jangan hanya melalui pelatihan yang bersifat pembangunan pengetahuan (knowledge) saja – tetapi dengan pembangunan kompetensi person yang merupakan bauran terpadu dari pengembangan pengetahuan (knowledge), keterampilan (skills), dan sikap (attitude). Hal ini diperlukan agar penerapan manajemen risiko dapat terus bertumbuh-kembang menjadi budaya sadar dan tanggap risiko yang semakin pro-aktif dan inovatif.
3. Memastikan dukungan teknologi dan metodologi serta sistem informasi dan manajemen data yang tepat guna dan efektif, misal kompetensi penggunaan RCSA (Risk – Control – Self Assesement) yang didukung oleh aplikasi berbasis AI (Artificial Intelligence), manajemen data yang berbasis penggunaan teknologi blockchain, ERM Dashboard yang dapat memberikan analisis KRIs (Key Risk Indicators). Hal ini diperlukan agar informasi berbasis data akan semakin tepat waktu dan akurat sehingga pengambilan keputusan dapat dibuat lebih cepat, tanggap, dan menyeluruh.
4. Memastikan bahwa maturitas manajemen risiko terus terasah dan ditingkatkan dari waktu ke waktu. Hal ini diperlukan sehingga penerapan manajemen risiko bukan hanya ad-hoc tergantung kepemimpinan saat ini semata, tetapi menjadi tarikan nafas dan kebiasaan sehat seluruh insan organisasi untuk selalu waspada, tangguh, serta lincah. Hanya dengan lebih dewasa dan matang dalam pengelolaan risiko, BUMN dapat bertahan dalam era VUCA (Volatility, Uncertainty, Complexity, and Ambiguity), dan sekaligus mampu menciptakan terobosan-terobosan inovatif dalam menciptakan nilai tambah yang bermanfaat, baik bagi organisasi BUMN itu sendiri maupun masyarakat Indonesia secara berkelanjutan.

Mudah-mudahan tulisan ini bermanfaat.

Dr. Antonius Alijoyo

• Pendiri CRMS Indonesia (Center for Risk Management and Sustainability)
• Ketua Komite Teknis 03/10 BSN: Governansi, Manajemen Risiko, dan Kepatuhan.

Pada awal September 2022, Kementerian BUMN menerbitkan Peraturan Menteri BUMN Nomor Per- 5/MBU/09/2022 tentang Manajemen Risiko pada BUMN. Karena kebijakan tersebut bersifat umum, organisasi memerlukan penjabaran lebih lanjut pada tataran operasional terutama kebutuhan untuk pembuatan dan/atau penyempurnaan pedoman risiko mereka. Dari sudut pandang penulis, pedoman risiko BUMN sebaiknya juga sejalan dengan standar nasional manajemen risiko SNI ISO 31000 yang identik dengan standar internasional ISO 31000 itu sendiri. Hal ini dipandang baik, karena akan membuat BUMN lebih mudah dalam menjalin protokol manajemen risiko mereka dengan mitra dan pemangku kepentingan internasional yang juga mengadopsi ISO 31000. Pertanyaan yang timbul dan kemudian menjadi bahan pemikirian penulis adalah ‘sejauhmana relevansi SNI ISO 31000:2018 (Standar Nasional Indonesia) dan turunannya untuk Sektor Publik yaitu SNI 8848:2019 dalam mendukung penerapan manajemen risiko pada BUMN sebagai penjabaran dari Peraturan Menteri tersebut’ ?. Lebih lanjut, artikel ini akan membahasnya dalam tiga kelompok besar, yaitu definisi, struktur, dan proses manajemen risiko.

Definisi

Definisi adalah hal esensial karena menentukan arah kebijakan serta implementasi manajemen risiko suatu organisasi. Kementerian BUMN secara eksplisit menempatkan manajemen risiko sebagai bagian tidak terpisahkan dari pengendalian intern dan tata kelola terintegrasi (Pasal 1 Ayat 9). Hal ini sangat relevan dengan prinsip pertama manajemen risiko SNI ISO 31000:2018 dan SNI 8848:2019 yaitu terintegrasi, dimana manajemen risiko bukanlah sistem yang berdiri sendiri, namun harus terintegrasi dengan proses dan tata kelola organisasi secara keseluruhan. Jika tidak terintegrasi, manajemen risiko akan hanya dilihat sebagai tambahan beban tugas administrasi yang tidak memberikan nilai tambah bagi organisasi tersebut. Perspektif bandingan definisi ‘risiko’ disajikan dalam tabel berikut:

Terkait definisi ‘Risiko’ di atas, beberapa hal yang perlu dipertimbangkan dan/atau diatur lebih lanjut dalam pedoman manajemen risiko adalah sebagai berikut:

• Batasan yang lebih jelas antara definisi ‘risiko’ dan ‘masalah’, karena keduanya sama-sama mempengaruhi pencapaian sasaran, namun menurut SNI ISO 31000, masalah sudah terjadi sedangkan risiko belum terjadi;
• Batasan yang lebih jelas mengenai level pencapaian tujuan/sasaran. Jika PerMen BUMN hanya membatasi pada tujuan strategis perusahaan, maka risiko yang relevan akan hanya untuk risiko strategis saja, padahal SNI ISO 31000 memberikan panduan bahwa risiko ada pada setiap level organisasi, mulai dari level strategis sampai level operasional, sejak penetapan sasaran strategis, sasaran program, sampai pada sasaran kegiatan/aktivitas;
• Batasan yang jelas antara tujuan dan sasaran. SNI ISO 31000 menekankan pada pencapaian sasaran karena lebih terukur dan SMART[1]***), sedangkan tujuan organisasi masih abstrak sehingga identifikasi risikonya cenderung tidak spesifik.

Perspektif bandingan definisi ‘manajemen risiko’ disajikan dalam tabel berikut:

Untuk definisi ‘Manajemen Risiko’, beberapa hal perlu dipertimbangkan dan/atau diatur lebih lanjut dalam pedoman manajemen risiko, sebagai berikut:

• Integrasi antara manajemen risiko dengan sistem manajemen lainnya terutama pengendalian intern dan tata kelola. Dalam hal ini, organisasi dapat mengadopsi standar berbasis ISO, antara lain SNI ISO 31000 (Manajemen Risiko), ISO 37000 (Governance), dan ISO 37301 (Compliance Management System);
• Sebelum proses manajemen risiko dijalankan (identifikasi, mengukur, mengendalikan, dan memantau), perlu disepakati terlebih dahulu adanya ‘prinsip manajemen risiko’ yang eksplisit, serta ‘kerangka kerja manajemen risiko’ yang menjadi landasan organisasi secara keseluruhan. Untuk hal ini, SNI ISO 31000 telah menyediakan arsitektur implementasi manajemen risiko yang sudah terdiri dari tiga pilar yaitu prinsip manajemen risiko, kerangka kerja manajemen risiko, dan proses manajemen risiko;
• Sebelum proses manajemen risiko, organisasi perlu memahami konteks internal dan eksternalnya, kemudian menetapkan ruang lingkup risiko yang akan dikelola, termasuk merumuskan kriteria sebelum pengukuran risiko. Untuk hal ini, SNI ISO 31000 sangat sejalan karena langkah pertama dalam proses pengelolaan risiko berbasis SNI ISO 31000 adalah penetapan lingkup, konteks, dan kriteria.

Struktur

Berkaitan dengan struktur manajemen risiko, Peraturan Menteri BUMN telah mengadopsi three lines model dari IIA dan ini merupakan hal yang baik, karena sudah sejalan dengan SNI 8848:2019 bahwa penerapan manajemen risiko dapat mengadopsi model tiga lini, yang terdiri dari lini pertama sebagai pemilik risiko, lini kedua sebagai pemantau, koordinator, dan edukasi risiko, dan lini ketiga sebagai asurans internal yang independen terhadap penerapan manajemen risiko. Perspektif bandingan ‘struktur manajemen risiko’ disajikan dalam tabel berikut:

Terkait ‘Struktur Manajemen Risiko’ di atas, beberapa hal yang perlu dipertimbangkan dan/atau diatur lebih lanjut dalam pedoman manajemen risiko adalah sebagai berikut:

• Kejelasan komite tersebut (komite audit, komite pemantau risiko, komite tata kelola terintegrasi) menjadi bagian dari lini berapa (1, 2 atau 3) dan berada dibawah Direksi atau Dekom karena SNI 8848:2019 memberikan contoh bahwa Komite Manajemen Risiko adalah komite di bawah Direksi dan Komite Pemantau Risiko adalah komite di bawah Dewan Komisaris;
• Kejelasan struktur manajemen risiko di level unit pemilik risiko, misalnya di anak perusahaan, unit bisnis, dan unit mandiri lainnya;
• Kejelasan operasionalisasi direktur yang membidangi keuangan yang dapat merangkap sebagai direktur yang membidangi pengelolaan risiko, karena SNI 8848:2019 memberikan contoh direktur pengelolaan risiko sebaiknya memiliki independensi terbatas terhadap unit pemilik risiko. Ada potensi benturan kepentingan ketika direktur keuangan harus memantau pengelolaan risiko keuangan yang menjadi tugas dan tanggungjawabnya.

Proses

Proses pengelolaan risiko merupakan inti dari manajemen risiko, sehingga penguatannya merupakan suatu keharusan. Perspektif bandingan proses manajemen risiko disajikan dalam tabel berikut:

Merujuk tabel di atas, beberapa hal yang perlu dipertimbangkan dan/atau diatur lebih lanjut dalam pedoman manajemen risiko adalah sebagai berikut:

• Kebijakan manajemen risiko di tingkat operasional sebaiknya tidak hanya membahas struktur manajemen risiko saja, tetapi termasuk di dalamnya prinsip, kerangka kerja, dan proses manajemen risiko, yang dapat mengacu pada SNI ISO 31000:2018;
• Perencanaan, Penerapan, Monitoring dan Evaluasi Manajemen Risiko secara lebih terperinci dapat mengacu pada kerangka kerja manajemen risiko berbasis SNI ISO 31000:2018 yang di dalamnya secara eksplisit memasukkan peran ‘kepemimpinan dan komitmen’ dalam manajemen risiko, serta integrasi manajemen risiko dengan proses bisnis organisasi;
• Siklus proses manajemen risiko dapat mengacu pada SNI ISO31000:2018 yang dimulai dari Komunikasi dan Konsultasi, Penetapan Lingkup, Konteks dan Kriteria Risiko, Penilaian Risiko, Penanganan Risiko, Pemantauan dan Evaluasi, serta Pencatatan dan Pelaporan.

Sebagai penutup, penulis menggaris bawahi pasal 32 PerMen BUMN Nomor Per- 5/MBU/09/2022 yang menyatakan bahwa masih diperlukan pedoman lebih lanjut mengenai pengukuran tingkat kematangan risiko BUMN, tata Kelola terintegrasi, kriteria ukuran kompleksitas BUMN, penempatan BUMN dalam kuadran risiko, kualifikasi organ pengelola risiko, taksonomi risiko, serta mekanisme pelaporan risiko. Untuk kesemua hal tersebut, pemenuhannya dapat didukung oleh SNI ISO 31000:2018 dan SNI 4484:2019.

Mudah-mudahan artikel singkat ini bermanfaat bagi BUMN dalam mengembangkan pedoman manajemen risiko yang berbasis PerMen BUMN Nomor Per-5/MBU/09/2022, dan sekaligus sejalan dengan SNI ISO 31000 (yang identik dengan Standar Internasional ISO 31000) sehingga BUMN Indonesia dapat lebih gesit dan tangguh untuk tidak hanya bersandar pada regulasi pokok nasional, tetapi juga fasih dan tangguh dalam pergaulan/persaingan internasional yang berbasis pada standarisasi.

________________________________

*) Manajemen Risiko – Pedoman

**) Panduan Implementasi SNI ISO 31000:2018 di Sektor Publik

***) “Specific, Measurable, Attainable, Relevant, Timebound”

Pada bulan September 2022, Kementerian BUMN menetapkan peraturan mengenai penerapan manajemen risiko pada Badan Usaha Milik Negara Nomor PER-5/MBU/09/2022 yang bertujuan untuk melindungi dan menciptakan nilai bagi BUMN. Apabila dilihat dari isi peraturan BUMN tersebut, aturan ini akan sangat membantu dan memudahkan para praktisi manajemen risiko yang berkarya di BUMN sebagai dasar hukum bagi peningkatan penerapan manajemen risiko yang lebih terstruktur dan sistematis di organisasinya.

Namun, agar tujuan dari diberlakukannya peraturan ini dapat benar-benar melindungi dan menciptakan nilai, BUMN kiranya jangan sampai terjebak pada arti sempit dari diberlakukannya peraturan menteri ini yaitu hanya berfokus pada tujuan pelaporan semata namun sebaiknya dalam melaksanakan aturan ini lebih fokus pada tujuan mengapa peraturan ini dibuat, yaitu melindungi dan menciptakan nilai bagi BUMN. Manajemen risiko dapat melindungi dan menciptakan nilai apabila manajemen risiko bukan dianggap sekedar prosedur dan bentuk pelaporan di atas kertas saja, tetapi sebagai budaya manajemen risiko yang mengakar di tiap insan BUMN. Oleh karena itu, untuk membangun budaya manajemen risiko dengan baik di BUMN, diperlukan peran aktif DIrektur, Komisaris, dan organ pengelola risiko lainnya yang tercantum dalam pasal 12 PER-5/MBU/09/2022.

Selain peran aktif dari pimpinan BUMN, membangun budaya manajemen risiko di suatu organisasi memerlukan komitmen secara berkesinambungan dari pimpinan serta pengalokasian sumber daya yang memadai untuk membangun dan merawat budaya manajemen risiko yang telah terbentuk. Hal ini diperlukan karena dalam teori transformasi organisasi, perilaku individu dalam organisasi hanya baru akan mulai membentuk budaya organisasi yang diharapkan ketika sekitar 5%-25% dari insan organisasi memiliki pemahaman yang sesuai. Untuk itu, bagaimana cara agar insan organisasi memiliki pemahaman yang sesuai terkait manajemen risiko? Dalam salah satu tulisannya, Organization for Economic Cooperation and Development (OECD) menggambarkan pentingnya meningkatkan kompetensi dari insan organisasi yang terdiri dari pengetahuan, keterampilan, dan sikap dalam membentuk perilaku yang akhirnya dapat membentuk budaya organisasi yang diharapkan, dalam konteks ini adalah budaya manajemen risiko.

Di dalam PER-5/MBU/09/2022 pasal 15 ayat 2, hal ini juga telah secara eksplisit disebutkan, dimana Direksi BUMN memiliki wewenang, tugas, dan tanggung jawab untuk mengembangkan budaya manajemen risiko pada seluruh jenjang organisasi (butir c) dan melaksanakan peningkatan kompetensi sumber daya manusia yang terkait dengan manajemen risiko. Hal ini diperkuat juga di pasal 19 PER-5/MBU/09/2022, bahwa direktur yang membidangi pengelolaan risiko memiliki wewenang, tugas, dan tangung jawab untuk melaksanakan penyusunan dan penetapan rencana kerja, rencana pengembangan, dan sumber daya manusia di bidang pengelolaan risiko yang menjadi tanggung jawabnya untuk kepentingan BUMN dalam mencapai maksud dan tujuan perusahaan.

Sebagai kesimpulan, pemberlakuan PER-5/MBU/09/2022 adalah suatu momentum yang sangat berharga untuk dapat meningkatkan efektifitas dan kematangan penerapan manajemen risiko di BUMN. Terkait hal tersebut, peran para praktisi bidang Governansi, Manajemen Risiko, dan Kepatuhan juga menjadi sangat penting untuk memanfaatkan momentum yang terbentuk ini dengan memastikan agar tujuan aturan untuk melindungi dan menciptakan nilai bagi BUMN tetap menjadi fokus utama dalam membangun manajemen risiko terintegrasi, dengan Bersama-sama membudayakan pentingnya manajemen risiko dalam upaya melindungi dan menciptakan nilai, karena dengan hal itulah maka penerapan peraturan ini baru dapat benar-benar bermanfaat bagi BUMN dan kesejahteraan bangsa.

–**–

Artikel ini juga terbit pada website ICoPI

Awal bulan September 2022, Kementerian BUMN menerbitkan Peraturan Menteri (Permen) BUMN No. PER-5/MBU/09/2022 tentang Penerapan Manajemen Risiko Pada BUMN. Peraturan ini berlaku bagi BUMN konglomerasi dengan jumlah pendapatan dari anak perusahaan terkonsolidasi lebih besar atau sama dengan 20% dari pendapatan BUMN, memiliki investasi pada anak perusahaan dengan total investasi lebih besar atau sama dengan 5% dari modal BUMN, dan atau memiliki anak perusahaan dengan saham seri A, serta BUMN individu yang tidak memenuhi kriteria di atas. Dengan kata lain, Permen BUMN ini tidak hanya berlaku bagi BUMN melainkan juga bagi anak perusahaan BUMN, khususnya perseroan terbatas yang dikendalikan oleh BUMN. Berkaitan dengan hal ini, Permen BUMN mewajibkan BUMN untuk menerapkan model tata kelola risiko yang terdiri atas model 3 lini dan tata kelola terintegrasi.

Permen BUMN ini mengatur klasifikasi BUMN dan anak perusahaan berdasarkan intensitas risiko yang mengacu pada ukuran dan kompleksitas BUMN dan anak perusahaan menjadi empat kategori: Sistemik A, untuk BUMN dan anak perusahaan yang memiliki ukuran besar dan kompleksitas tinggi; Sistemik B, untuk BUMN dan anak  perusahaan yang memiliki ukuran tidak besar namun dengan kompleksitas tinggi; Signifikan, untuk BUMN dan anak perusahaan yang memiliki ukuran besar namun dengan kompleksitas tidak tinggi; dan Netral, untuk BUMN dan anak perusahaan yang memiliki ukuran tidak besar dan kompleksitas tidak tinggi. Kategorisasi ini menjadi penentu bagi BUMN dan anak perusahaan dalam hal organ pengelola risiko yang harus dimiliki serta pelaporan risiko yang harus dijalankan. Permen BUMN di atas juga mensyaratkan agar BUMN, dan anak perusahaannya, mengadopsi taksonomi risiko sesuai arahan Kementerian BUMN, memenuhi kecukupan kebijakan manajemen risiko, proses manajemen risiko, dan sistem pengendalian internal, serta melakukan perencanaan, penerapan, monitoring, dan evaluasi manajemen risiko, berikut pelaporannya.

IRMAPA menyambut positif Permen BUMN tentang manajemen risiko ini dan mengajak profesional bidang manajemen risiko di BUMN dan anak perusahaan BUMN untuk meresponsnya dengan melakukan kajian kesesuaian praktik penerapan manajemen risiko yang dijalankan dengan ketentuan-ketentuan yang ada di dalam Permen BUMN tersebut sehingga kesenjangan dapat segera teridentifikasi dan rencana pemenuhannya dapat segera diusulkan kepada manajemen puncak. Pada rapat sosialisasi Permen BUMN yang dilaksanakan oleh Kementerian BUMN pada hari Jumat, 7 Oktober 2022 lalu, tiap BUMN diarahkan untuk melaksanakan self-assessment intensitas risiko untuk mengidentifikasi pada kategori apa entitas berada. Walaupun Kementerian BUMN akan menerbitkan Keputusan Menteri sebagai petunjuk pelaksanaan Permen BUMN di atas, masing-masing BUMN dan anak perusahaan hendaknya mengantisipasi kebutuhan untuk mengembangkan struktur organisasi, kebijakan, serta prosedur manajemen risiko sesuai Permen BUMN.

Berkaitan dengan hal tersebut, SNI ISO 31000 sebagai standar praktik terbaik nasional penerapan manajemen risiko yang diadopsi dari standar praktik terbaik dunia, tidak bertentangan, bahkan mendukung, isi ketentuan Permen BUMN di atas. Baik perancangan desain kerangka kerja manajemen risiko berbasis SNI ISO 31000, yang dalam istilah yang digunakan dalam Permen BUMN yaitu tata kelola risiko, maupun proses manajemen risiko berbasis SNI ISO 31000, mengarahkan organisasi, dalam hal ini BUMN dan anak perusahaannya, untuk menyesuaikannya manajemen risikonya dengan konteks internal dan eksternalnya masing-masing, di mana Permen BUMN merupakan salah satu konteks eksternal yang harus ditaati. Selain itu, BUMN dan atau anak perusahaan BUMN yang telah mengadopsi SNI ISO 31000 dalam penerapan manajemen risikonya juga akan lebih cepat beradaptasi dalam melaksanakan isi ketentuan Permen BUMN di atas karena telah terbiasa dengan prinsip “Perbaikan Sinambung” dalam SNI ISO 31000 yang dijalankan melalui pelaksanaan komponen ‘Evaluasi’ dan ‘Perbaikan’ pada kerangka kerja manajemen risiko serta aktivitas ‘Pemantauan dan Tinjauan’ dalam proses manajemen risiko SNI ISO 31000. Lebih jauh lagi, SNI ISO 31000 bahkan mengarahkan rangkaian praktik manajemen risiko spesifik berdasarkan regulasi dan standar industri ke dalam suatu sistematika manajemen risiko yang holistik bagi organisasi (enterprise risk management).

Sebagai penutup, IRMAPA berpesan kepada para profesional bidang manajemen risiko di BUMN maupun anak-anak perusahaannya untuk melihat keberadaan Permen BUMN tentang penerapan manajemen risiko sebagai kesempatan untuk meningkatkan efektivitas praktik pengendalian dan pengelolaan risiko yang dijalankan perusahaan.

Teruslah semangat mengelola risiko, dan amankan kiprah BUMN bagi kemajuan negeri..!

-o0o-

Driven by SDGs (Sustainable Development Goals), organizations around the world and across industries are pursuing their credentials of implementing ESG (Environmental, Social, & Governance). SDGs are global goals set out by the United Nations, whereas ESG is a rating system used by companies to measure their environmental, social, and governance credentials (https://crmsindonesia.org/publications/sdgs-and-esg-overcoming-the-sustainability-risks/) The goal of organizations to implement ESG is to be an organization of integrity to ensure that the values, ethics, statements, commitments, relationships, and transactions are a reality in practice.

However, understanding ESG is complex. Some focus on the E for the environment, others are focused on the S, and others on the G. Despite this, all three are critical and intersect with each other, whereby:

• Environment: It covers and addresses the organization’s credentials of environmental performance, such as climate change, natural resource utilization, pollution and waste, biodiversity, carbon footprint, or emissions.
• Social, it covers and addresses the organization’s credentials of social performance such as child labor, forced labor, socio-economic inequality, privacy, personal data use, diversity and inclusion, working conditions, health and safety, and product liability.
• Governance covers and addresses the organization’s credentials of governance performance and practices, such as anti-fraud, anti-bribery and corruption, anti-money laundering, internal controls over financial reporting, security, corporate conduct and behavior, anti-competitive practices, tax transparency, ownership, and structure.

Although there is no single global standard for ESG, some reporting guidelines could help the organization provide more visibility of their ESG performance and credential to their stakeholders. The most popular is the Global Reporting Initiative (GRI) which was introduced at an early stage, and what is now widely used, the Value Reporting Foundation ((the merger of the International Integrated Reporting Council (IIRC) and the Sustainability Accounting Standards Board (SASB)). Despite their best efforts, however, nothing is complete as they each have their different perspectives.

Therefore, organizations must develop a strategy and process that delivers what they need to report to their respective and/or interested stakeholder groups. In that situation, organizations need more structured guidance on delivering on ESG strategy and processes across the diverse areas of ESG. As such, they need capabilities to perform ESG, hence to gain the credentials accordingly. As such, taking the capabilities, GRC comes up to the surface.

As originally introduced by OCEG, the definition of GRC is the integrated collection of capabilities that enable an organization to achieve objectives reliably, address uncertainty, and act with integrity (https://www.oceg.org/about/what-is-grc/). We start with the objectives (Governance) of the organization, which could be an entity, division, department, process, project, or asset level objectives, and from there, we have the context to manage the risks as the effect of uncertainties (Risk Management), and then acting with integrity (Compliance).

Organizations must set objectives for ESG overall, each component or area of ESG, and varying sub-elements. Once objectives are established, the organization can assess, monitor, and manage uncertainty to those ESG objectives. From there, the organization can provide assurance and report that it is operating with integrity in the context of stated ESG statements, commitments, and obligations.

In short, ESG is a rating system used by companies to measure their environmental, social, and governance credentials, whereas GRC is a set of capabilities to bring about such credentials into reality as the base of measurement and reporting.

Talking about capabilities, we could use the two most widely used references, i.e., the OCEG GRC Capability Model ( https://go.oceg.org/grc-capability-model-red-book) and the Integrated GRC using ISO-based series of standards and/or guidelines (http://theigrca.org/2021/08/05/integrated-grc-using-iso-based-series-of-standards-and-or-guidelines/).

The GRC Capability Model has four components: Learn, Align, Perform, Review, explicitly applied to ESG:

1. LEARN: To understand the context and map the reporting requirements and relationships
2. ALIGN: To document ESG objectives and related risks and design the overall program with appropriate policies, processes, monitoring, issue reporting, and assurance.
3. PERFORM: To perform the designed program into operational, communicate and educate the stakeholder groups on their role and responsibilities in ESG.
4. REVIEW: conduct ongoing monitoring and reporting on ESG to various stakeholders and continuously improve ESG in the organizations context and its broader objectives and operations.

Whilst the GRC Capability Model above emphasizes the fundamental cycle and logic of Learn-Align-Perform-Review in the ESG process, ISO-based GRC refers to a more practical reference and traceable process encapsulated into a standard-form alike. Both are worth considering, as OCEG GRC Capability Model refers to a more generic and fundamental approach, whereas the ISO Standards refer to more traceable and consistent practices. In short, both will help the organization accomplish their credentials of ESG performance.

GRC is something organizations do and not something they purchase. No one technology solution does everything needed for GRC, and there is certainly none that does everything for ESG. Performance and objectives did through actions, behaviors, and transactions of the organization. There can be a core reporting and monitoring platform, but it requires integration with other business systems internally and content providers externally

Hope this short article is useful.

Dr. Antonius Alijoyo, founder of Center for Risk Management and Sustainability (CRMS Indonesia) and Chair of supervisory board of Indonesia Risk Management Professionals Association (IRMAPA)