Artikel

Di tengah perubahan bisnis yang cepat, Key Risk Indicators (KRIs) harus selalu akurat dan sesuai dengan kondisi terbaru. KRIs yang usang bisa membuat keputusan jadi kurang tepat. Gunakan checklist rekomendasi dari CRMS Indonesia ini untuk memastikan KRIs tetap efektif:

1. Evaluasi Relevansi

• Masihkah KRIs sesuai dengan risiko strategis dan operasional?
• Sudah mencakup risiko baru seperti regulasi, teknologi, atau geopolitik?

2. Kualitas Data

• Apakah sumber data terpercaya?
• Apakah ada jeda waktu yang mempengaruhi keakuratan KRIs?

3. Performa KRIs

• Apakah KRIs efektif dalam memprediksi atau mendeteksi risiko?
• Masihkah ambang batas (threshold) sesuai dengan toleransi risiko?

4. Teknologi & Monitoring

• Bisa dipantau otomatis dengan sistem yang ada?
• Dapat divisualisasikan secara real-time?

5. Respons terhadap Perubahan

• Sudah mencerminkan kondisi pasar dan tren eksternal?
• Mampu mengantisipasi risiko baru yang belum terlihat?

6. Keterlibatan Tim

• Apakah tim lintas fungsi ikut berkontribusi dalam menentukan KRIs?
• Apakah hasilnya dikomunikasikan dengan jelas kepada manajemen?

7. Pembaruan Berkala

• Apakah KRIs ditinjau dan diperbarui secara rutin?
• Sudah diuji dengan skenario terbaru?

8. Leading vs Lagging Indicators

• Apakah KRIs cukup untuk mendeteksi risiko lebih awal?
• Apakah KRIs juga mencerminkan performa masa lalu?

9. Pelatihan & Dokumentasi

• Apakah tim memahami cara kerja dan interpretasi KRIs?
• Apakah ada audit untuk memastikan konsistensi dengan strategi risiko?

Gunakan checklist ini untuk menjaga KRIs tetap relevan dan mendukung keputusan bisnis yang lebih baik!

Artikel ini telah diterbitkan oleh CRMS Indonesia dengan judul Checklist untuk Risk Manager: Memastikan KRIs Tetap Relevan dan Efektif. Artikel selengkapnya dapat dibaca di sini.

Perubahan regulasi dan legislasi adalah salah satu dari lima risiko terbesar yang dihadapi bisnis saat ini dan diperkirakan akan tetap menjadi tantangan utama hingga 2026. Pemerintah atau badan regulator sering kali memperbarui aturan untuk menanggapi isu-isu seperti keselamatan publik, tren pasar, serta tantangan sosial dan lingkungan.

Misalnya, bisnis mungkin perlu berinvestasi dalam teknologi baru atau menambah tenaga kerja untuk memenuhi aturan baru, yang meningkatkan biaya operasional. Dalam beberapa kasus, aturan ini bisa menjadi hambatan bagi pertumbuhan atau mengubah dinamika persaingan di industri tertentu.

Mengapa Perubahan Regulasi Menjadi Risiko Besar?

Aturan baru bisa bersifat spesifik untuk sektor tertentu atau berlaku secara luas. Contohnya:

• Keamanan Siber: Perusahaan kini harus melaporkan insiden peretasan dan menunjukkan upaya perlindungan data.
• Privasi Data: Regulasi di Eropa dan berbagai undang-undang di AS menuntut perlindungan ketat terhadap data pribadi.
• Transparansi Gaji: Regulasi di Eropa dan beberapa negara bagian AS mengharuskan perusahaan mengungkap rentang gaji dalam lowongan kerja.
• Keberlanjutan dan Iklim: Banyak negara memperkenalkan aturan baru terkait emisi dan keberlanjutan bisnis.
• Kecerdasan Buatan (AI): Uni Eropa berencana menerapkan denda besar bagi pelanggaran aturan AI.
• Biometrik: Penggunaan teknologi pengenalan wajah dan sidik jari semakin diatur ketat.

Menurut survei Aon 2023, 26% perusahaan mengalami kerugian akibat perubahan regulasi, dan 50% telah memiliki strategi mitigasi risiko.

Bagaimana Perusahaan Bisa Beradaptasi?

1. Pantau dan Pahami Regulasi – Bentuk tim internal atau gunakan sistem pemantauan regulasi.
2. Berkolaborasi dengan Industri – Bergabung dengan asosiasi industri dan kelompok advokasi untuk mempengaruhi kebijakan.
3. Edukasi Karyawan – Pastikan aturan baru dikomunikasikan dengan jelas untuk mencegah pelanggaran.

Dengan pendekatan yang tepat, perusahaan dapat mengurangi dampak perubahan regulasi dan tetap kompetitif dalam lingkungan bisnis yang terus berkembang.

Artikel ini telah diterbitkan oleh AON dengan judul Regulatory or Legislative Changes. Artikel selengkapnya dapat dibaca di sini.

Hampir semua lembaga keuangan berkomitmen untuk berlaku adil terhadap pelanggan dan mitra bisnisnya. Namun, masih banyak karyawan yang bingung dengan standar perilaku yang diharapkan perusahaan. Ketidaksesuaian antara perilaku karyawan dan nilai perusahaan ini bisa memicu risiko perilaku yang berpotensi merugikan.

Apa Itu Risiko Perilaku?

Risiko perilaku adalah kemungkinan kerugian yang dialami perusahaan akibat tindakan atau kelalaian karyawan, kontraktor, atau mitra bisnis. Risiko ini dapat muncul di berbagai bagian bisnis, seperti penjualan, transparansi informasi, atau penanganan keluhan pelanggan.

Mengapa Risiko Perilaku Perlu Dikelola?

Gagal mengelola risiko perilaku bisa berdampak besar, seperti denda besar, kehilangan kepercayaan pelanggan, hingga kerusakan reputasi. Setelah krisis keuangan global, regulator di berbagai negara menerapkan aturan ketat untuk mengawasi perilaku perusahaan keuangan, seperti Dodd-Frank Act di AS dan Senior Managers and Certification Regime (SMCR) di Inggris.

Mengukur dan Mengelola Risiko Perilaku dengan Data

Salah satu cara terbaik untuk mengelola risiko ini adalah dengan mengumpulkan dan menganalisis data. Beberapa indikator yang dapat digunakan untuk menilai risiko perilaku meliputi:

• Keluhan pelanggan
• Pelanggaran kebijakan internal
• Pelatihan karyawan yang terlewat
• Jam kerja berlebihan
• Laporan transaksi mencurigakan

Dengan mengolah data ini, perusahaan dapat lebih cepat mengidentifikasi masalah sebelum menjadi krisis besar. Salah satu contoh sukses adalah perusahaan jasa keuangan di Eropa yang menggunakan “Protiviti Risk Index” untuk memantau dan mengukur risiko perilaku. Dengan alat ini, mereka bisa lebih proaktif dalam mengambil keputusan dan memperbaiki budaya perusahaan.

Langkah-Langkah untuk Mengelola Risiko Perilaku

Agar pengelolaan risiko perilaku lebih efektif, perusahaan sebaiknya:

1. Memahami kewajiban kepatuhan di negara tempat beroperasi.
2. Mengembangkan kebijakan dan prosedur mitigasi risiko.
3. Memantau metrik risiko secara berkala untuk intervensi cepat.
4. Melibatkan dewan direksi dan manajemen senior dalam diskusi risiko.
5. Membangun struktur tata kelola yang fokus pada risiko perilaku.

Mengelola risiko perilaku dapat membangun budaya perusahaan yang sehat. Dengan data yang tepat dan alat pengukuran yang efektif, perusahaan dapat mencegah pelanggaran dan menciptakan lingkungan bisnis yang lebih transparan, etis, dan berkelanjutan.

Artikel ini telah diterbitkan oleh Protiviti dengan judul Managing Conduct Risk: How Aggregating and Assessing Data Can Drive Culture-Changing Decisions. Artikel selengkapnya dapat dibaca di sini.

Laporan Risiko Global 2025 mengungkap bahwa dunia menghadapi berbagai tantangan besar dalam jangka pendek hingga panjang. Dari konflik geopolitik hingga perubahan iklim, tren ini memicu ketidakpastian dan perpecahan sosial.

Risiko Utama di Tahun 2025

1. Konflik Bersenjata
   • Ketegangan di Ukraina, Timur Tengah, dan potensi konflik terkait Taiwan semakin meningkat.
   • Konflik ini menjadi ancaman terbesar bagi stabilitas global.
2. Cuaca Ekstrem
   • Perubahan iklim menyebabkan lebih banyak banjir, badai, dan kebakaran hutan.
   • Contoh nyata adalah gelombang panas di Asia dan kebakaran besar di Kanada.
3. Disinformasi dan Polarisasi Sosial
   • Teknologi AI generatif mempercepat penyebaran berita palsu.
   • Ketidakpercayaan terhadap pemerintah dan institusi semakin meningkat.
4. Ketimpangan Ekonomi
   • Perbedaan kekayaan yang tajam memperburuk ketegangan sosial.
   • Masyarakat semakin terpecah akibat kesenjangan ekonomi.
5. Kemerosotan Ekonomi
   • Risiko resesi global terus mengancam, terutama bagi generasi muda.
   • Ketidakpastian ekonomi membuat kehidupan semakin sulit.

Dampak Besar pada Stabilitas Global

• Konflik bersenjata dan ketegangan geopolitik semakin mendominasi dunia.
• Krisis biaya hidup dan ketidakpuasan sosial meningkat di banyak negara.
• Multilateralisme melemah, negara-negara lebih mengutamakan kepentingan sendiri.

Menuju 2027: Apa yang Akan Terjadi?

1. Disinformasi makin berbahaya dengan AI yang semakin canggih.
2. Polusi dan dampak lingkungan makin parah, mengancam kesehatan global.
3. Ketegangan ekonomi meningkat, terutama dalam perang dagang dan kontrol sumber daya strategis.

Risiko Global 2035: Titik Kritis

1. Dunia semakin terpecah secara politik, ekonomi, dan sosial.
2. Polusi mencapai titik kritis, mengancam kesehatan dan ekosistem.
3. Teknologi bioteknologi bisa disalahgunakan jika tidak diatur dengan baik.
4. Masyarakat menua, menyebabkan krisis tenaga kerja dan ekonomi.

Dunia sedang berada di persimpangan besar. Jika tidak ada upaya serius dalam mengelola risiko global, maka masa depan akan semakin penuh ketidakpastian. Para pemimpin dunia perlu bekerja sama untuk menyelesaikan konflik dan menjaga keberlanjutan bumi dan kesejahteraan manusia.

Artikel ini telah diterbitkan oleh World Economic Forum dengan judul The Global Risks Report 2025. Artikel selengkapnya dapat dibaca di sini.

Regulator di Uni Eropa dan Inggris semakin menyoroti manajemen risiko perbankan terkait eksposur mereka terhadap ekuitas swasta. Bank memiliki berbagai hubungan dengan sektor ini, mulai dari memberikan pinjaman untuk akuisisi hingga mendanai perusahaan yang dimiliki dana ekuitas swasta. Oleh karena itu, transparansi dalam manajemen risiko menjadi semakin penting.

Peningkatan Pengawasan Regulasi

Regulator menekankan perlunya praktik manajemen risiko yang lebih baik dalam ekuitas swasta. Sementara itu, Bank Sentral Eropa mengidentifikasi pertumbuhan pesat lembaga keuangan non-bank sebagai ancaman stabilitas finansial.

Risiko Akibat Manajemen yang Buruk

Tanpa manajemen risiko yang memadai, ekuitas swasta menghadapi berbagai ancaman, termasuk:

• Serangan siber yang dapat menyebabkan kerugian finansial dan reputasi.
• Kesalahan investasi yang berujung pada biaya yang bisa dihindari.
• Penurunan valuasi akibat kurangnya transparansi risiko dan potensi sanksi regulator.

Prioritas Manajemen Risiko

Untuk memperkuat manajemen risiko, ekuitas swasta perlu:

1. Membangun kerangka manajemen risiko terpusat untuk seluruh portofolio.
2. Mengembangkan strategi manajemen krisis agar dapat merespons situasi darurat dengan cepat.
3. Menerapkan strategi lindung nilai makroekonomi guna menghadapi risiko inflasi dan suku bunga.
4. Melakukan evaluasi risiko strategis dalam setiap keputusan investasi.

Menuju Masa Depan yang Lebih Tangguh

Meningkatnya pengawasan regulator menjadi dorongan bagi ekuitas swasta untuk meningkatkan transparansi dan ketahanan mereka. Dengan strategi manajemen risiko yang lebih baik, mereka dapat mengamankan pendanaan sekaligus melindungi kinerja keuangan dan reputasi mereka dalam menghadapi tantangan di masa depan.

Artikel ini telah diterbitkan oleh Oliver Wyman dengan judul Why Private Equity Needs Better Risk Management Now. Artikel selengkapnya dapat dibaca di sini.

Di tengah ketidakstabilan global, CEO perlu mengelola risiko dengan baik. Dalam lima tahun ke depan, AI dapat menangani lebih dari 25% tugas mereka, mengubah cara perusahaan mengelola risiko. Namun, potensi ini juga membawa risiko baru yang perlu diantisipasi.

Membangun Kerangka Kerja AI yang Bertanggung Jawab
Pemimpin perlu menerapkan Responsible AI (RAI) untuk memastikan kepatuhan etika, privasi data, dan regulasi. Dengan pendekatan yang tepat, peluang sukses AI bisa meningkat hingga tiga kali lipat. Generative AI (GenAI) sudah terbukti meningkatkan efisiensi, misalnya mengurangi tugas pembuatan laporan risiko hingga 50%.

Mengelola Risiko AI
Tiga risiko utama AI yang harus dikendalikan:

• Kualitas: Memastikan AI menghasilkan output akurat dan relevan.
• Keamanan: Melindungi AI dari kebocoran data dan manipulasi.
• Keselamatan: Menghindari bias atau konten berbahaya.

Regulasi seperti EU AI Act membagi sistem AI ke dalam empat tingkat risiko, di mana kategori berisiko tinggi memerlukan audit ketat. Perusahaan perlu memiliki inventaris AI dan strategi mitigasi yang jelas.

Transformasi Manajemen Risiko dengan AI
AI dapat mengotomatisasi tugas berulang dalam manajemen risiko, meningkatkan efisiensi hingga 50%, dan menyederhanakan kepatuhan, seperti verifikasi pelanggan di sektor keuangan. Selain efisiensi, AI juga meningkatkan kualitas pengambilan keputusan dan pertumbuhan bisnis.

AI dalam Pengambilan Keputusan Berbasis Risiko
AI membantu perusahaan dalam perencanaan skenario berbasis risiko, memungkinkan respons cepat terhadap krisis seperti pandemi atau konflik geopolitik.

Masa Depan R&C dalam Era AI
Peran Risk & Compliance (R&C) harus berkembang dari sekadar kepatuhan menjadi mitra strategis bisnis. Dengan keterampilan analitik data, validasi AI, dan etika AI, R&C dapat membantu CEO mengadopsi AI secara aman dan inovatif. Sehingga AI bukan sekadar alat otomatisasi, tetapi juga pendorong transformasi bisnis berkelanjutan.

Artikel ini telah diterbitkan oleh BCG dengan judul Managing Risks to Accelerate the AI Transformation. Artikel selengkapnya dapat dibaca di sini.

Melanjutkan diskursus pentingnya keselarasan antara kapasitas dan kapabilitas risiko untuk mewujudkan organisasi yang resilient (tangguh) sekaligus agile (lincah) yang disampaikan oleh Bapak Antonius Alijoyo pada artikelnya berjudul kapasitas dan kapabilitas mengelola risiko: manakan yang harus dibangun terlebih dahulu? artikel ini akan melakukan refleksi atas konsepsi kapasitas dan kapabilitas risiko, khususnya dalam lingkup organisasi sektor publik yang bertujuan untuk dapat menggali potensi pengembangannya ke depan. Kesimpulannya, organisasi sektor publik menghadapi kapabilitas risiko yang sebenarnya tinggi, namun belum di dukung kapasitas birokrasi yang memadai, sehingga pengelolaan risiko belum sepenuhnya optimal. 

Kapasitas dapat diibaratkan seperti kemampuan mesin dalam beroperasi, misalnya mobil berkapasitas 300 tenaga kuda, pompa air berkapasitas 100 liter per detik, dan sebagainya. Sedangkan kapabilitas lebih mengarah pada kemampuan sumber daya untuk dapat mengoperasikan mesin tersebut, khususnya kemampuan sumber daya manusia sebagai input utama menjalankan sebuah organisasi. Kapasitas organisasi yang besar, jika tidak diimbangi dengan kapabilitas yang cukup akan menghasilkan idle capacity. Sebaliknya, kapabilitas yang tinggi, tidak difasilitasi dengan kapasitas yang cukup akan menghasilkan keputus-asaan. Idealnya terdapat keselarasan diantara keduanya sehingga menjadikan organisasi lebih optimal dalam mengelola risiko.

Sayangnya kondisi di sektor publik menunjukkan adanya kapabilitas risiko yang tinggi, namun kapasitas birokrasi masih rendah. Beberapa bukti yang dapat menguatkan kapabilitas risiko yang tinggi, antara lain setiap rekrutmen calon Aparat Sipil Negara (ASN) pesertanya selalu membludak, artinya yang terpilih menjadi ASN semestinya adalah yang terbaik dari jutaan calon yang mendaftar. Konsepsi manajemen risiko bukanlah sesuatu yang sulit, karena baik di sadari atau tidak, seluruh pegawai telah menerapkan manajemen risiko sesuai bidag pekerjaannya, misalnya risiko keterlambatan, risiko kesalahan pekerjaan dan lain sebagainya. Di sisi lain, kondisi kapasitas birokrasi yang rendah ditunjukkan dengan masih banyaknya keluhan tentang layanan publik, struktur ASN yang gemuk, serta tata kelola yang belum efisien, contohnya pemerintah daerah yang sebagian besar anggaran digunakan untuk membayar gaji pegawai, padahal idealnya anggaran pendukung maksimal hanya 20 persen sedangkan subatansinya 80 persen. 

Kapasitas birokrasi yang masih rendah belum menyadari adanya risiko baik di tataran strategis maupun operasional. Pemerintah masih disibukkan dengan pemenuhan kepatuhan (compliance) terhadap regulasi, sehingga instansi yang berwenang menerbitkan regulasi dan perizinan dianggap sebagai instansi yang basah karena lebih menjanjikan kesejahteraan daripada instansi lainnya. Kesenjangan antar instansi ini akhirnya membuat lingkungan birokrasi yang tidak kondusif yang akhirnya membuat sumber daya yang pada saat masuk memiliki kapabilitas yang tinggi, namun tidak dapat ter eksploitasi dengan optimal. Ditambah dengan sistem remunerasi yang belum sepadan, akhirnya membuat banyak ASN muda yang mengalami cultural shock saat pertama kali bergabung menjadi ASN.

Idealnya kapabilitas dan kapasitas risiko organisasi sektor publik dapat berjalan secara beriringan sehingga memampukannya untuk dapat berkineja optimal. Ketika kapabilitas SDM tidak difasilitasi dengan kapasitas birokrasi yang sebanding, maka yang terjadi adalah penurunan semangat kerja yang ketika dibiarkan dalam jangka panjang akan membentuk lingkungan kerja toxic yang sangat merugikan baik bagi organisasi maupun SDM sendiri. Pemikiran ini sejalan dengan kajian Anton dan Fisabillillah (2021) yang menyimpulkan bahwa penerapan manajemen risiko di sektor publik masih terkendala masalah tata kelola dan SDM. Artikel ini melengkapi bahwa variable tata kelola terwakili dengan kondisi kapasitas birokrasi, sedangkan variabel SDM terwakili dengan kondisi kapabilitas organisasi.      

Pertanyaan berikutnya, bagaimana solusi atas kapasitas birokrasi yang masih rendah tersebut? Kembali menggunakan analogi mesin, maka perlu upaya upgrading dari kapasitas lama menjadi kapasitas baru. Berbagai program dalam kerangka reformasi birokrasi sudah digulirkan pemerintah, termasuk membangun Zona Integritas, Wilayah Bebas Korupsi (WBK), Wilayah Birokrasi Bersih Melayani (WBBM). Namun dari semua program reformasi birokrasi tersebut, perlu menekankan pada tiga aspek penting:

1. Aspek Perencanaan

Semua kegiatan pemerintah dimulai dengan perencanaan, dari level strategis sampai dengan operasional. Aspek risiko perlu dipertimbangkan dalam perencanaan untuk memperkuat aspek pencegahan dan antisipasi permasalahan kedepan. Terbitnya Manajemen Risiko Pembangunan Nasional (MRPN) merupakan salah satu upaya perbaikan perencanaan Pembangunan Nasional yang kolaboratif dan sinergis antar Kementarian/Lembaga/Pemda/Badan Usaha/Badan Lainnya. Tantangannya adalah bagaimana mengintegrasikan MRPN dalam perencanaan dan pengambilan Keputusan strategis pemerintah.

2. Aspek Pelaksanaan

Pelaksanaan operasional pemerintah harus menekankan aspek efisiensi di semua bidang. Penghematan anggaran sangat baik untuk diterapkan, namun perampingan struktur juga tidak kalah penting untuk menciptakan efisiensi. Organisasi yang gemuk merupakan pemborosan, apalagi ditengah perkembangan teknologi yang semakin pesat, sehingga kebutuhan sumber daya manusia dapat dikurangi secara signifikan.  Sayangnya, manajemen ASN belum secara tegas mengatur pemutusan hubungan kerja yang dikaitkan dengan kinerja yang rendah. Hal inilan yang menciptakan zona nyaman bagi ASN, namun di sisi lain merupakan pemborosan bagi pemerintah.

3. Aspek Pengukuran Hasil 

Pengukuran hasil dapat dibagi setidaknya dalam tiga kategori, hasil yang langsung bisa dirasakan (immediate outcome), hasil berupa perbaikan jangka menengah (medium term outcome), dan perbaikan berkelanjutan (long term outcome). Kecenderungan pengukuran hanya pada immediate outcome seringkali menyesatkan, karena pemerintah sudah berpuas diri kinerjanya tercapai, padahal sifatnya hanya sementara. Reformasi pengukuran kinerja mutlak untuk dilaksanakan agar kinerja pemerintah dapat terukur sekaligus berdampak bagi masyarakat.

Peningkatan kapasitas birokrasi melalui tiga area di atas (perencanaan, pelaksanaan, dan pengukuran hasil) menjadi kunci keberhasilan organisasi sektor publik menuju organisasi yang tangguh dan lincah dalam menghadapi ketidakpatian, yang akhirnya akan bermuara pada meningkatnya kesejahteraan rakyat.

Referensi:

Alijoyo, A, 2025, “Kapasitas dan Kapabilitas Mengelola Risiko: Manakah yang harus dibangun terlebih dahulu?”, Diakses 29 Januari 2025, https://crmsindonesia.org/publications/kapasitas-dan-kapabilitas-mengelola-risiko-manakah-yang-harus-dibangun-terlebih-dahulu. 

Alijoyo and Fisabilillah, 2021. “Risk Management Implementation in Public Sector Organizations: A Case Study of Indonesia”. Organizational Cultures: An International Journal 22 (1): 1-23. doi:10.18848/2327-8013/CGP/v22i01/1-23.

Tempo, 2023, “Banyak Peminat Menjadi PNS Tapi Ribuan CPNS Mundur, Ini Penyebabnya”, diakses 28 Januari 2025, https://www.tempo.co/ekonomi/banyak-peminat-menjadi-pns-tapi-ribuan-cpns-mundur-ini-penyebabnya-158037.

Menghadapi kondisi lingkungan bisnis yang semakin tidak menentu, penuh ketidakpastian, dan kompleksitas, manajemen risiko menjadi salah satu alat yang diharapkan dapat berperan efektif untuk mengatasinya. Penerapan manajemen risiko bukan sekadar pemenuhan kewajiban peraturan yang ditentukan oleh regulator, namun sudah menjadi kebutuhan organisasi untuk mengelola ketidakpastian yang dihadapi.

Dalam praktiknya, terkadang organisasi masih mengalami kesulitan dalam menerapkan manajemen risiko yang efektif. Salah satu kendala yang dihadapi adalah tidak terintegrasinya kegiatan manajemen risiko dengan proses bisnis yang dijalankan. Pelaksanaan manajemen risiko masih dianggap sebagai pekerjaan tambahan yang terpisah dari pekerjaan inti unit kerja. Pemilik proses bisnis terkadang melihat manajemen risiko hanya sebagai pekerjaan administratif berupa pengisian kertas kerja risk register seperti identifikasi risiko, analisis dampak, pencatatan kendali yang ada, dan pelaporan sesuai batas waktu, tanpa menyadari bahwa manajemen risiko sebenarnya lebih dari sekadar proses administratif pencatatan dan pelaporan.

Akibatnya, masih ditemukan kejadian yang tidak diinginkan dalam menjalankan proses bisnis, seperti keluhan (complaint) dari pelanggan, keterlambatan proses, layanan yang kurang baik, kehilangan bisnis, tuntutan hukum, kecelakaan kerja, hingga berita viral negatif.

Lalu, bagaimana cara agar manajemen risiko bisa menjadi alat yang efektif bagi organisasi dalam mengelola ketidakpastian? Mengacu pada SNI ISO 31000 sebagai panduan praktik terbaik pengelolaan risiko, salah satu prinsip penting dalam mendukung efektivitas penerapan manajemen risiko adalah prinsip terintegrasi. Prinsip ini mengingatkan kita untuk melekatkan manajemen risiko agar menjadi bagian integral dalam semua aktivitas organisasi. Yang dimaksud dengan aktivitas organisasi tidak hanya high-level activity yang dilaksanakan oleh pimpinan perusahaan, tetapi juga aktivitas turunan yang dilaksanakan oleh manajemen menengah, lini, hingga staf pelaksana dalam keseharian proses bisnis. Seluruh aktivitas tersebut perlu dikawal dengan manajemen risiko yang sesuai dengan tahapan aktivitas dan sasarannya.

Integrasi Manajemen Risiko di Level Korporasi

Penerapan manajemen risiko yang terintegrasi pada level ini menjadi kunci sukses pertama yang mendorong efektivitas penerapan manajemen risiko di seluruh perusahaan. Perusahaan perlu membuat langkah nyata dalam mengintegrasikan manajemen risiko di level korporasi, dimulai dengan membuat kebijakan tertulis terkait manajemen risiko.

Kebijakan manajemen risiko perusahaan idealnya tidak hanya berupa dokumen formal yang menyatakan bahwa pimpinan perusahaan berkomitmen menjalankan manajemen risiko dan ditandatangani oleh Direksi serta Dewan Komisaris. Namun, kebijakan ini harus menjadi panduan utama yang menunjukkan arah pengelolaan risiko secara menyeluruh. Kebijakan ini perlu dibuat secara komprehensif, menyebutkan sasaran yang ingin dicapai perusahaan, keterkaitan manajemen risiko dalam mencapai sasaran, fokus dan jenis risiko yang perlu dikelola, kejelasan struktur tata kelola, rencana kerja, rencana pelatihan, rencana pengembangan manajemen risiko, hingga ukuran kinerja yang disepakati.

Untuk mendukung kejelasan akuntabilitas para pihak dalam menjalankan manajemen risiko, perlu dibuat struktur tata kelola risiko yang menggambarkan interaksi para pihak. Salah satu konsep yang mendukung integrasi para pihak dalam manajemen risiko adalah three-line model (sebelumnya dikenal sebagai three lines of defense). Konsep ini secara efektif menggambarkan peran ketiga lini sehingga risiko dapat dikelola sejak awal oleh lini pertama, yaitu pemilik risiko yang merupakan pemilik proses bisnis. Lini kedua adalah unit manajemen risiko yang mempersiapkan rancangan dan metode pengelolaan risiko, serta bertindak sebagai koordinator yang membantu lini pertama mengelola risikonya. Lini ketiga adalah internal audit yang berfungsi sebagai assurance independen untuk memastikan pelaksanaan manajemen risiko sesuai aturan yang telah ditentukan.

Integrasi pada level ini juga perlu terlihat dalam aktivitas rutin yang dilaksanakan oleh pimpinan perusahaan, seperti proses perencanaan strategis (strategic planning) dengan mempertimbangkan faktor risiko, penganggaran berbasis risiko (risk-based budgeting), pengambilan keputusan berdasarkan analisis risiko, hingga pembahasan manajemen risiko dalam setiap rapat dan diskusi.

Integrasi Manajemen Risiko di Level Manajemen Menengah dan Lini

Manajemen menengah dan lini memegang peranan penting dalam efektivitas penerapan manajemen risiko. Kehadiran tim manajemen ini dalam interaksi sehari-hari proses bisnis memberikan pengaruh besar kepada para karyawan sebagai pelaksana.

Penerapan manajemen risiko akan menjadi efektif jika aturan pelaksanaannya mendorong unit pelaksana untuk mengelola risiko dalam aktivitas proses bisnisnya. Salah satu cara mengintegrasikan manajemen risiko di tahapan ini adalah dengan memasukkan proses kontrol/kendali risiko ke dalam standard operating procedure (SOP) pada tiap fungsi dan unit kerja. Oleh karena itu dalam pembuatan SOP perlu melibatkan proses identifikasi risiko pada setiap level sasaran unit kerja guna mempersiapkan kontrol yang tepat.

SOP yang telah ada juga perlu mempertimbangkan perubahan lingkungan internal maupun eksternal perusahaan. Sebagai contoh, penggunaan sistem teknologi menggantikan fungsi manual perlu dikawal dengan pembaruan SOP untuk mengantisipasi perubahan eksposur risiko dari proses manual ke proses berbasis teknologi. Dalam hal ini proses identifikasi risiko, analysis dan perlakuan risiko yang bersifat dinamis menjadi penting untuk memastikan semua risiko baru telah diantisipasi dan kendali dalam SOP unit kerja diperbarui.

Integrasi Manajemen Risiko pada Aktivitas Kerja

Pelaksanaan aktivitas kerja bersifat sangat spesifik sesuai bidang pekerjaan dan sasaran kinerja operasional yang hendak dicapai. Hal ini berkaitan langsung dengan jenis risiko yang juga bersifat spesifik dan operasional. Penerapan manajemen risiko perlu melekat pada aktivitas kerja tersebut.

Perusahaan yang telah mendokumentasikan proses kerja sehari-hari dalam dokumen seperti petunjuk teknis (juknis) perlu memastikan bahwa kontrol atas risiko yang telah teridentifikasi sebelumnya tetap efektif dan efisien. Pemantauan hasil kinerja juga dapat dilakukan dengan memastikan berjalannya mekanisme maker-checker sebagai bagian dari four eyes principle.

Key Risk Indicator sebagai Dashboard Early Warning System

Untuk memastikan penerapan manajemen risiko terintegrasi berjalan secara efektif pada setiap tahapan proses bisnis, perlu dikembangkan indikator atau parameter yang memberikan alert/alarm sebagai early warning system. Dengan adanya Key Risk Indicator (KRI), diharapkan langkah antisipatif dapat diambil agar risiko utama yang tidak diinginkan dapat dicegah, dihindari, atau diminimalkan sedini mungkin.

Indikator terhadap risiko utama ini juga perlu dikembangkan untuk setiap level risiko di setiap tahapan dan tingkatan proses bisnis. Perusahaan perlu menyiapkan KRI yang bersifat leading indicator maupun lagging indicator. Keduanya berfungsi untuk membantu organisasi mengamati potensi kejadian risiko utama dengan data historis yang relevan. Perbedaan utama antara kedua jenis KRI ini adalah pada jenis indikator yang digunakan, di mana leading indicator berfokus pada data yang dapat memprediksi potensi kejadian dalam bentuk ukuran aktivitas kegiatan, sementara lagging indicator berfokus pada data atas kejadian yang telah terjadi untuk memprediksi kejadian serupa atau kejadian lain mengarah ke risiko utama. Biasanya, indikator yang bersifat lagging cenderung lebih mudah ditemukan karena sudah terjadi.

Sebagai contoh, perusahaan memiliki risiko utama berupa kehilangan nasabah yang dapat berdampak negatif pada pendapatan perusahaan. Salah satu indikatornya adalah keluhan (complaint) dari nasabah. Keluhan yang terjadi dan dicatat dalam satu periode waktu tertentu dapat menjadi indikator yang bersifat lagging dan penting untuk mengawal tingkat kualitas layanan. Namun, kejadian keluhan nasabah tersebut sudah terjadi dan mungkin saja secara langsung menimbulkan risiko utama. Oleh karena itu, perusahaan juga perlu mempersiapkan indikator yang bersifat leading. Dalam kasus ini, ukuran kinerja terkait layanan dapat digunakan, antara lain jumlah presentase ketepatan waktu layanan yang dituangkan dalam bentuk Service Level Agreement (SLA), atau jumlah banyaknya kunjungan ke tempat nasabah sebagai bentuk engagement hubungan kerjasama.

Dengan berfokus pada indikator risiko utama dan mengintegrasikannya dalam proses bisnis sebagai dashboard yang memberikan early warning system, diharapkan perusahaan dapat secara proaktif mengantisipasi potensi penyimpangan dari ukuran yang diharapkan. Selanjutnya dengan integrasi menyeluruh manajemen risiko pada setiap tahapan aktivitas organisasi, penerapan manajemen risiko diharapkan menjadi lebih menyatu dalam proses bisnis, tidak lagi dianggap sebagai kegiatan terpisah (silo). Pada akhirnya, manajemen risiko dapat membantu organisasi mengelola risiko, baik upside risk maupun downside risk, untuk mencapai sasaran yang telah ditetapkan.

Penulis

Cipto Hartono SE As, M.M

Ketua Bidang Keanggotaan Indonesia Risk Management Professional Association (IRMAPA)

Teknologi kecerdasan buatan (AI) sedang mengalami pertumbuhan pesat dan membawa peluang besar untuk meningkatkan efisiensi, produktivitas, dan inovasi. Namun, kemajuan ini juga menghadirkan risiko, seperti kompleksitas teknologi, ancaman keamanan siber, dan kelangkaan talenta. Berikut adalah tiga langkah untuk mengelola risiko teknologi di era AI.

1. Perkuat Tata Kelola Teknologi

Tata kelola yang baik sangat penting untuk memastikan bahwa investasi teknologi sejalan dengan prioritas bisnis. Kolaborasi antara berbagai pihak, termasuk bisnis, fungsi risiko, dan vendor, membantu menyelaraskan kebutuhan teknologi dengan kontrol keamanan data, kepatuhan, dan strategi organisasi. Selain itu, perusahaan dapat mengotomatisasi tata kelola untuk memantau kinerja teknologi dan melakukan pengujian secara terus-menerus.

2. Kuasai Teknologi yang Digunakan

Tim teknologi harus selalu mengikuti perkembangan terkini untuk mendorong inovasi. Hal ini melibatkan penguatan fungsi data, menjadikan data sebagai aset strategis, dan meningkatkan keterampilan karyawan secara berkelanjutan. Dengan memahami teknologi, perusahaan dapat menghadapi tantangan kompleksitas dan menyatukan berbagai komponen teknologi yang tersebar.

3. Mulai Perjalanan AI Anda

AI kini menjadi bagian penting dari perusahaan. Untuk memanfaatkan AI secara optimal, organisasi perlu meningkatkan literasi AI, mempelajari manfaat serta risikonya, dan mengimplementasikan pengamanan yang jelas untuk penggunaan AI secara etis. Salah satu langkah awal adalah melakukan inventarisasi AI untuk menghindari penggunaan AI tanpa pengawasan (“shadow AI”) dan memastikan model AI berbasis informasi yang dapat dipercaya.

Menghindari Risiko Teknologi yang Menghambat Peluang

Perusahaan tidak bisa mengabaikan potensi besar AI, tetapi juga harus berhati-hati terhadap investasi teknologi yang salah atau penggunaan AI yang tidak etis. Dengan pendekatan yang tepat, seperti tata kelola yang kuat, penguasaan teknologi, dan literasi AI, perusahaan dapat menghadapi risiko teknologi sambil tetap memanfaatkan peluangnya.

Untuk sukses di era AI, perusahaan perlu memahami data sebagai aset utama. Perusahaan perlu melibatkan bisnis dalam penggunaan AI dan memastikan teknologi yang diadopsi dapat diandalkan. Dengan langkah ini, risiko teknologi dapat diminimalkan tanpa mengorbankan inovasi.

Artikel ini telah diterbitkan oleh KPMG, dengan judul Three Steps To Improve The Management Of Technology Risk In The Context Of AI. Artikel selengkapnya dapat dibaca di sini.

Menjelang awal tahun 2025, ada diskusi menarik tentang ‘Risk Capacity’ (Kapasitas Risiko) dan ‘Risk Capability’ (Kapabilitas Risiko). Salah satu pendiskusi mengemukakan pendapat bahwa ‘Risk Capability’ merupakan serapan penggabungan antara ‘Risk Capacity’ dan ‘Ability’ yang kemudian terpadu menjadi satu yaitu ‘Risk Capability’. Berdasarkan pandangan ini, suatu organisasi perlu membangun kapasitas risiko mereka terlebih dahulu, baru kemudian dapat membangunnya menjadi kapabilitas dalam pengelolaan risiko organisasi.

Di sisi lain ada pendiskusi yang mangatakan bahwa harus ada ‘Risk Capability’ dahulu, baru bisa menjadi ‘Risk Capacity’ yang nantinya dipakai sebagai dasar dalam penentuan Selera Risiko (Risk Appetite), Toleransi Risiko (Risk Tolerance), dan atau Limit Risiko (Risk Limit) dan lain sebagainya yang terkait dengan penentuan batasan parameter dan metrik acuan pengelolaan risiko di suatu organisasi. Berdasarkan pandangan ini, organisasi perlu membangun kapabilitas dalam mengelola risiko terlebih dahulu, baru kemudian dapat membangun kapasitas mereka dalam hal tersebut.

Diskusi menjadi menarik, karena ada hal esensial bagi praktisi manajemen risiko dalam menyikapinya, mana yang harus lebih dahulu dibangun? Kapasitas atau kapabilitas? 

Berdasarkan pertanyaan di atas, artikel disusun bukan untuk mendukung salah satu pemahaman, yaitu ‘apakah Kapasitas Risiko yang perlu didahulukan baru membangun Kapabilitas Risiko atau sebaliknya.’ Artikel akan lebih menekankan sudut pandang untuk bagaimana melihat dan memaknai kedua hal tersebut dalam membangun ketangguhan dan efektivitas pengelolaan manajemen risiko di suatu organisasi. Keduanya saling berkaitan dan saling menguatkan satu sama lain terlepas dari mana yang harus didahulukan dalam penerapannya.

Makna Kapasitas Risiko dan Kapabilitas Risiko

Kapasitas Risiko adalah kemampuan organisasi untuk menanggung konsekuensi suatu kejadian risiko. Dalam hal ini, Kapasitas Risiko menunjukkan tingkat besaran dampak kejadian risiko atau tingkat risiko maksimum yang dapat ditangani oleh organisasi, yang umum dinyatakan dalam dimensi stabilitas keuangan, atau bisa juga dinyatakan dalam dimensi yang terkait dengan tujuan utama lain dari organisasi, berdasarkan faktor obyektif misal pendapatan organisasi, jumlah aset, jumlah kewajiban dan hutang, jumlah dan cakupan asuransi, serta kadang dinyatakan dalam dimensi horizon waktu.

Kapabilitas Risiko adalah kemampuan organisasi dalam melakukan mitigasi risiko baik dalam penanganan sisi dampak (Risk Impact) maupun sisi tingkat kemungkinan-kejadiannya (Risk Likelihood) yang teridentifikasi sewaktu asesmen risiko, ke tingkat yang dapat diterima. Kapabilitas Risiko organisasi tercermin pada kemampuan mereka dalam mengidentifikasi, mengartikulasikan, mengases, dan melakukan agregasi risiko, serta dalam melakukan pemonitoran, berkomunikasi, dan mengendalikan situasi. Contoh pengendalian situasi untuk penanganan risiko sisi bawah (downside risk) adalah pengambilan keputusan untuk bertindak: apakah akan menerima risiko, dan/atau mengurangi paparan negatif risiko dan/atau mencegah risiko, dan/atau mentransfer risiko. Contoh pengendalian situasi untuk penanganan risiko sisi atas (upside risk) adalah pengendalian risiko untuk mempercepat dan/atau memperbesar paparan positif risiko yang ada.

Keselarasan Kapasitas Risiko dan Kapabilitas Risiko

Organisasi perlu memiliki keduanya sehingga dapat membangun Ketangguhan Risiko (Risk Resilience) yang terdiri dari dua elemen yaitu “Preparedness” yang berarti kesiapsiagaan sehingga bila terjatuh akan bangkit lagi (dan bahkan bisa menjadi lebih kuat ) serta lincah dalam beradaptasi (cepat menyesuaikan) dalam mengambil keputusan dan melakukan tindakan yang diperlukan. Kondisi selalu siap-siaga dan lincah bertindak akan sangat tergantung pada kapasitas dan kapabilitas risiko organisasi dalam menghadapi baik dampak maupun tingkat kemungkinan-kejadian peristiwa risiko yang dihadapi oleh mereka. Karena keselarasan kapasitas risiko dan kapabilitas risiko akan menentukan tingkat ketangguhan risiko organisasi, perlu adanya usaha menyelaraskan kedua hal tersebut secara dinamis dari waktu ke waktu sejalan dengan tantangan pelaksanaan Manajemen Risiko.

Di bawah ini adalah matriks gambar ilustrasi berisikan empat kuadran keselarasan yang membutuhkan tindakan berbeda satu sama lain secara kontekstual bila organisasi bersangkutan berada dalam situasi menghadapi ketidak selarasan yang terjadi.

Gambar: Keselarasan Kapasitas Risiko dan Kapabilitas Risiko

Keterangan Gambar:

Kuadran I : Kapasitas Risiko Tinggi, Kapabilitas Risiko Rendah

Adanya kesenjangan antara rendahnya pengetahuan, keterampilan dan keahlian yang ada (low risk capability) dibandingkan dengan tingginya ketersediaan sumber daya dan infrastruktur yang berkelebihan (high risk capacity).

Contoh: Organisasi memiliki peralatan atau mesin super canggih tetapi staf yang tersedia tidak terlatih dalam menggunakannya secara efisien dan efektif sehingga berbagai fitur dan kegunaan mesin tersebut sia-sia belaka dan bahkan menimbulkan biaya perawatan tinggi yang tidak sesuai dengan produktivitas yang dihasilkannya.

Kuadran 2: Kapasitas Risiko Tinggi dan selaras dengan Kapabilitas Risiko yang juga tinggi.

Terjadi keselarasan antara tingginya sumber daya dan infrastruktur yang tersedia (high risk capacity) dengan tingginya tingkat pengetahuan dan keterampilan serta keahlian yang ada (high risk capability) sehingga pencapaian tujuan organisasi dapat dilakukan secara efisien dan efektif. Keselarasan yang ada akan membangun ketangguhan risiko karena kegiatan organisasi dapat terjaga walau banyak dinamika pencetus kejadian dan paparan risiko baik risiko sisi bawah (negatif) maupun risiko sisi atas (positif). 

Contoh:  Organisasi memiliki kapasitas tinggi dalam bentuk kemampuan perusahaan untuk dapat meluncurkan produk baru secara lebih cepat dari pesaing dan industri sejenis, mulai dari pengembangan ide, pembuatan dan waktu peluncuran produk baru, yang dikombinasikan dengan kapabilitas tinggi organisasi dalam menganalisis dinamika dan aspek sosiologis pasar. Keselarasan dari kombinasi keduanya, akan membuat organisasi dapat melakukan peluncuran produk baru tepat waktu serta dapat diterima dengan baik oleh pasar, sehingga memberikan hasil optimal bagi organisasi.

Kuadran 3: Kapasitas Risiko Rendah, Kapabilitas Risiko Tinggi

Adanya kesenjangan antara rendahnya infrastruktur, sumber daya, dan peralatan yang ada (low risk capacity) dibandingkan dengan tingginya tingkat keterampilan, pengetahuan serta keahlian (high risk capability). 

Contoh: Sebuah restoran memiliki juru masak yang terampil dan ahli tetapi peralatan memasak yang tersedia masih berkualitas rendah dan buruk. Restoran tersebut memang masih mampu menyediakan hidangan berkualitas tinggi dalam saat-saat tertentu karena juru masak bekerja dengan keras dan memang berketerampilan tinggi, tetapi dia akan kesulitan menjaga konsistensi dan daya tahan bila harus terus menerus memasak makanan berkualitas tinggi tanpa dukungan memadai dari sumber daya dan infrastruktur yang ada.

Kuadran 4: Kapasitas Risiko rendah, Kapabilitas Risiko juga rendah

Terjadi bila sumber daya dan infrastruktur yang tersedia masih rendah (low risk capacity) dan pada saat yang sama tingkat pengetahuan serta keterampilan dan keahlian yang ada juga masih rendah (low risk capability). Dalam kondisi ini, organisasi akan sulit untuk dapat memenuhi kebutuhan pengelolaan risiko mereka dalam pencapaian tujuan organisasi.

Contoh: Sekolah di pedesaan tertinggal yang selain tidak memiliki kecukupan materi pembelajaran dan infrastruktur memadai, juga pada saat yang sama tidak dapat menyediakan guru berkualitas. Kondisi akan membuat sekolah tersebut sulit untuk dapat menyediakan edukasi berkualitas tinggi bagi anak yang tinggal di pedesaan bersangkutan.

Dari bahasan dan contoh matrik di atas, dapat dipahami bahwa seorang profesional manajemen risiko perlu terlebih dahulu mengetahui kondisi sekarang yang sedang dihadapi oleh organisasi, lebih tepatnya di kuadran manakah? Dari kondisi saat ini , baru ditentukan langkah lebih lanjut untuk ditingkatkan ke arah kuadran dua. Dan bila organisasi sudah di kuadran dua, maka langkah lebih lanjut adalah meningkatkan postur keduanya secara selaras, sehingga tingkat ketangguhan risiko organisasi dapat naik ke tingkat lebih tangguh lagi baik dalam kemampuan mengkapitalisasi kesempatan yang ada atau pengelolaan risiko sisi atas (upside risk) dan menghadapi ancaman atau pengelolaan risiko sisi bawah (downside risk) yang mungkin menghadang.

Mudah-mudahan tulisan ini bermanfaat, Salam.