Artikel

Pada bulan September 2022, Kementerian BUMN menetapkan peraturan mengenai penerapan manajemen risiko pada Badan Usaha Milik Negara Nomor PER-5/MBU/09/2022 yang bertujuan untuk melindungi dan menciptakan nilai bagi BUMN. Apabila dilihat dari isi peraturan BUMN tersebut, aturan ini akan sangat membantu dan memudahkan para praktisi manajemen risiko yang berkarya di BUMN sebagai dasar hukum bagi peningkatan penerapan manajemen risiko yang lebih terstruktur dan sistematis di organisasinya.

Namun, agar tujuan dari diberlakukannya peraturan ini dapat benar-benar melindungi dan menciptakan nilai, BUMN kiranya jangan sampai terjebak pada arti sempit dari diberlakukannya peraturan menteri ini yaitu hanya berfokus pada tujuan pelaporan semata namun sebaiknya dalam melaksanakan aturan ini lebih fokus pada tujuan mengapa peraturan ini dibuat, yaitu melindungi dan menciptakan nilai bagi BUMN. Manajemen risiko dapat melindungi dan menciptakan nilai apabila manajemen risiko bukan dianggap sekedar prosedur dan bentuk pelaporan di atas kertas saja, tetapi sebagai budaya manajemen risiko yang mengakar di tiap insan BUMN. Oleh karena itu, untuk membangun budaya manajemen risiko dengan baik di BUMN, diperlukan peran aktif DIrektur, Komisaris, dan organ pengelola risiko lainnya yang tercantum dalam pasal 12 PER-5/MBU/09/2022.

Selain peran aktif dari pimpinan BUMN, membangun budaya manajemen risiko di suatu organisasi memerlukan komitmen secara berkesinambungan dari pimpinan serta pengalokasian sumber daya yang memadai untuk membangun dan merawat budaya manajemen risiko yang telah terbentuk. Hal ini diperlukan karena dalam teori transformasi organisasi, perilaku individu dalam organisasi hanya baru akan mulai membentuk budaya organisasi yang diharapkan ketika sekitar 5%-25% dari insan organisasi memiliki pemahaman yang sesuai. Untuk itu, bagaimana cara agar insan organisasi memiliki pemahaman yang sesuai terkait manajemen risiko? Dalam salah satu tulisannya, Organization for Economic Cooperation and Development (OECD) menggambarkan pentingnya meningkatkan kompetensi dari insan organisasi yang terdiri dari pengetahuan, keterampilan, dan sikap dalam membentuk perilaku yang akhirnya dapat membentuk budaya organisasi yang diharapkan, dalam konteks ini adalah budaya manajemen risiko.

Di dalam PER-5/MBU/09/2022 pasal 15 ayat 2, hal ini juga telah secara eksplisit disebutkan, dimana Direksi BUMN memiliki wewenang, tugas, dan tanggung jawab untuk mengembangkan budaya manajemen risiko pada seluruh jenjang organisasi (butir c) dan melaksanakan peningkatan kompetensi sumber daya manusia yang terkait dengan manajemen risiko. Hal ini diperkuat juga di pasal 19 PER-5/MBU/09/2022, bahwa direktur yang membidangi pengelolaan risiko memiliki wewenang, tugas, dan tangung jawab untuk melaksanakan penyusunan dan penetapan rencana kerja, rencana pengembangan, dan sumber daya manusia di bidang pengelolaan risiko yang menjadi tanggung jawabnya untuk kepentingan BUMN dalam mencapai maksud dan tujuan perusahaan.

Sebagai kesimpulan, pemberlakuan PER-5/MBU/09/2022 adalah suatu momentum yang sangat berharga untuk dapat meningkatkan efektifitas dan kematangan penerapan manajemen risiko di BUMN. Terkait hal tersebut, peran para praktisi bidang Governansi, Manajemen Risiko, dan Kepatuhan juga menjadi sangat penting untuk memanfaatkan momentum yang terbentuk ini dengan memastikan agar tujuan aturan untuk melindungi dan menciptakan nilai bagi BUMN tetap menjadi fokus utama dalam membangun manajemen risiko terintegrasi, dengan Bersama-sama membudayakan pentingnya manajemen risiko dalam upaya melindungi dan menciptakan nilai, karena dengan hal itulah maka penerapan peraturan ini baru dapat benar-benar bermanfaat bagi BUMN dan kesejahteraan bangsa.

–**–

Artikel ini juga terbit pada website ICoPI

Awal bulan September 2022, Kementerian BUMN menerbitkan Peraturan Menteri (Permen) BUMN No. PER-5/MBU/09/2022 tentang Penerapan Manajemen Risiko Pada BUMN. Peraturan ini berlaku bagi BUMN konglomerasi dengan jumlah pendapatan dari anak perusahaan terkonsolidasi lebih besar atau sama dengan 20% dari pendapatan BUMN, memiliki investasi pada anak perusahaan dengan total investasi lebih besar atau sama dengan 5% dari modal BUMN, dan atau memiliki anak perusahaan dengan saham seri A, serta BUMN individu yang tidak memenuhi kriteria di atas. Dengan kata lain, Permen BUMN ini tidak hanya berlaku bagi BUMN melainkan juga bagi anak perusahaan BUMN, khususnya perseroan terbatas yang dikendalikan oleh BUMN. Berkaitan dengan hal ini, Permen BUMN mewajibkan BUMN untuk menerapkan model tata kelola risiko yang terdiri atas model 3 lini dan tata kelola terintegrasi.

Permen BUMN ini mengatur klasifikasi BUMN dan anak perusahaan berdasarkan intensitas risiko yang mengacu pada ukuran dan kompleksitas BUMN dan anak perusahaan menjadi empat kategori: Sistemik A, untuk BUMN dan anak perusahaan yang memiliki ukuran besar dan kompleksitas tinggi; Sistemik B, untuk BUMN dan anak  perusahaan yang memiliki ukuran tidak besar namun dengan kompleksitas tinggi; Signifikan, untuk BUMN dan anak perusahaan yang memiliki ukuran besar namun dengan kompleksitas tidak tinggi; dan Netral, untuk BUMN dan anak perusahaan yang memiliki ukuran tidak besar dan kompleksitas tidak tinggi. Kategorisasi ini menjadi penentu bagi BUMN dan anak perusahaan dalam hal organ pengelola risiko yang harus dimiliki serta pelaporan risiko yang harus dijalankan. Permen BUMN di atas juga mensyaratkan agar BUMN, dan anak perusahaannya, mengadopsi taksonomi risiko sesuai arahan Kementerian BUMN, memenuhi kecukupan kebijakan manajemen risiko, proses manajemen risiko, dan sistem pengendalian internal, serta melakukan perencanaan, penerapan, monitoring, dan evaluasi manajemen risiko, berikut pelaporannya.

IRMAPA menyambut positif Permen BUMN tentang manajemen risiko ini dan mengajak profesional bidang manajemen risiko di BUMN dan anak perusahaan BUMN untuk meresponsnya dengan melakukan kajian kesesuaian praktik penerapan manajemen risiko yang dijalankan dengan ketentuan-ketentuan yang ada di dalam Permen BUMN tersebut sehingga kesenjangan dapat segera teridentifikasi dan rencana pemenuhannya dapat segera diusulkan kepada manajemen puncak. Pada rapat sosialisasi Permen BUMN yang dilaksanakan oleh Kementerian BUMN pada hari Jumat, 7 Oktober 2022 lalu, tiap BUMN diarahkan untuk melaksanakan self-assessment intensitas risiko untuk mengidentifikasi pada kategori apa entitas berada. Walaupun Kementerian BUMN akan menerbitkan Keputusan Menteri sebagai petunjuk pelaksanaan Permen BUMN di atas, masing-masing BUMN dan anak perusahaan hendaknya mengantisipasi kebutuhan untuk mengembangkan struktur organisasi, kebijakan, serta prosedur manajemen risiko sesuai Permen BUMN.

Berkaitan dengan hal tersebut, SNI ISO 31000 sebagai standar praktik terbaik nasional penerapan manajemen risiko yang diadopsi dari standar praktik terbaik dunia, tidak bertentangan, bahkan mendukung, isi ketentuan Permen BUMN di atas. Baik perancangan desain kerangka kerja manajemen risiko berbasis SNI ISO 31000, yang dalam istilah yang digunakan dalam Permen BUMN yaitu tata kelola risiko, maupun proses manajemen risiko berbasis SNI ISO 31000, mengarahkan organisasi, dalam hal ini BUMN dan anak perusahaannya, untuk menyesuaikannya manajemen risikonya dengan konteks internal dan eksternalnya masing-masing, di mana Permen BUMN merupakan salah satu konteks eksternal yang harus ditaati. Selain itu, BUMN dan atau anak perusahaan BUMN yang telah mengadopsi SNI ISO 31000 dalam penerapan manajemen risikonya juga akan lebih cepat beradaptasi dalam melaksanakan isi ketentuan Permen BUMN di atas karena telah terbiasa dengan prinsip “Perbaikan Sinambung” dalam SNI ISO 31000 yang dijalankan melalui pelaksanaan komponen ‘Evaluasi’ dan ‘Perbaikan’ pada kerangka kerja manajemen risiko serta aktivitas ‘Pemantauan dan Tinjauan’ dalam proses manajemen risiko SNI ISO 31000. Lebih jauh lagi, SNI ISO 31000 bahkan mengarahkan rangkaian praktik manajemen risiko spesifik berdasarkan regulasi dan standar industri ke dalam suatu sistematika manajemen risiko yang holistik bagi organisasi (enterprise risk management).

Sebagai penutup, IRMAPA berpesan kepada para profesional bidang manajemen risiko di BUMN maupun anak-anak perusahaannya untuk melihat keberadaan Permen BUMN tentang penerapan manajemen risiko sebagai kesempatan untuk meningkatkan efektivitas praktik pengendalian dan pengelolaan risiko yang dijalankan perusahaan.

Teruslah semangat mengelola risiko, dan amankan kiprah BUMN bagi kemajuan negeri..!

-o0o-

Driven by SDGs (Sustainable Development Goals), organizations around the world and across industries are pursuing their credentials of implementing ESG (Environmental, Social, & Governance). SDGs are global goals set out by the United Nations, whereas ESG is a rating system used by companies to measure their environmental, social, and governance credentials (https://crmsindonesia.org/publications/sdgs-and-esg-overcoming-the-sustainability-risks/) The goal of organizations to implement ESG is to be an organization of integrity to ensure that the values, ethics, statements, commitments, relationships, and transactions are a reality in practice.

However, understanding ESG is complex. Some focus on the E for the environment, others are focused on the S, and others on the G. Despite this, all three are critical and intersect with each other, whereby:

• Environment: It covers and addresses the organization’s credentials of environmental performance, such as climate change, natural resource utilization, pollution and waste, biodiversity, carbon footprint, or emissions.
• Social, it covers and addresses the organization’s credentials of social performance such as child labor, forced labor, socio-economic inequality, privacy, personal data use, diversity and inclusion, working conditions, health and safety, and product liability.
• Governance covers and addresses the organization’s credentials of governance performance and practices, such as anti-fraud, anti-bribery and corruption, anti-money laundering, internal controls over financial reporting, security, corporate conduct and behavior, anti-competitive practices, tax transparency, ownership, and structure.

Although there is no single global standard for ESG, some reporting guidelines could help the organization provide more visibility of their ESG performance and credential to their stakeholders. The most popular is the Global Reporting Initiative (GRI) which was introduced at an early stage, and what is now widely used, the Value Reporting Foundation ((the merger of the International Integrated Reporting Council (IIRC) and the Sustainability Accounting Standards Board (SASB)). Despite their best efforts, however, nothing is complete as they each have their different perspectives.

Therefore, organizations must develop a strategy and process that delivers what they need to report to their respective and/or interested stakeholder groups. In that situation, organizations need more structured guidance on delivering on ESG strategy and processes across the diverse areas of ESG. As such, they need capabilities to perform ESG, hence to gain the credentials accordingly. As such, taking the capabilities, GRC comes up to the surface.

As originally introduced by OCEG, the definition of GRC is the integrated collection of capabilities that enable an organization to achieve objectives reliably, address uncertainty, and act with integrity (https://www.oceg.org/about/what-is-grc/). We start with the objectives (Governance) of the organization, which could be an entity, division, department, process, project, or asset level objectives, and from there, we have the context to manage the risks as the effect of uncertainties (Risk Management), and then acting with integrity (Compliance).

Organizations must set objectives for ESG overall, each component or area of ESG, and varying sub-elements. Once objectives are established, the organization can assess, monitor, and manage uncertainty to those ESG objectives. From there, the organization can provide assurance and report that it is operating with integrity in the context of stated ESG statements, commitments, and obligations.

In short, ESG is a rating system used by companies to measure their environmental, social, and governance credentials, whereas GRC is a set of capabilities to bring about such credentials into reality as the base of measurement and reporting.

Talking about capabilities, we could use the two most widely used references, i.e., the OCEG GRC Capability Model ( https://go.oceg.org/grc-capability-model-red-book) and the Integrated GRC using ISO-based series of standards and/or guidelines (http://theigrca.org/2021/08/05/integrated-grc-using-iso-based-series-of-standards-and-or-guidelines/).

The GRC Capability Model has four components: Learn, Align, Perform, Review, explicitly applied to ESG:

1. LEARN: To understand the context and map the reporting requirements and relationships
2. ALIGN: To document ESG objectives and related risks and design the overall program with appropriate policies, processes, monitoring, issue reporting, and assurance.
3. PERFORM: To perform the designed program into operational, communicate and educate the stakeholder groups on their role and responsibilities in ESG.
4. REVIEW: conduct ongoing monitoring and reporting on ESG to various stakeholders and continuously improve ESG in the organizations context and its broader objectives and operations.

Whilst the GRC Capability Model above emphasizes the fundamental cycle and logic of Learn-Align-Perform-Review in the ESG process, ISO-based GRC refers to a more practical reference and traceable process encapsulated into a standard-form alike. Both are worth considering, as OCEG GRC Capability Model refers to a more generic and fundamental approach, whereas the ISO Standards refer to more traceable and consistent practices. In short, both will help the organization accomplish their credentials of ESG performance.

GRC is something organizations do and not something they purchase. No one technology solution does everything needed for GRC, and there is certainly none that does everything for ESG. Performance and objectives did through actions, behaviors, and transactions of the organization. There can be a core reporting and monitoring platform, but it requires integration with other business systems internally and content providers externally

Hope this short article is useful.

Dr. Antonius Alijoyo, founder of Center for Risk Management and Sustainability (CRMS Indonesia) and Chair of supervisory board of Indonesia Risk Management Professionals Association (IRMAPA)

The topic of SDGs (Sustainable Development Goals) and ESG (Environmental, Social, Governance) are rising trends and have become the agenda of generations. In short, SDGs are global goals set out by the United Nations, whereas ESG is a rating system used by companies to measure their environmental, social, and governance credentials (www.safety4sea.com), which matters to their stakeholders, particularly the investors.

The Sustainable Development Goals (SDGs), also known as the Global Goals, were adopted by the United Nations in 2015 as a universal call to action to end poverty, protect the planet, and ensure that by 2030 all people enjoy peace and prosperity (www.undp.org). The 17 goals that have been defined address the root causes of poverty and pledge to leave no one behind, including vulnerable and minority groups. They also emphasize the need to tackle climate change urgently and protect the environment through a shift to sustainable consumption and production (source: world economic forum).

The 17 SDGs are intended to be universal, applying to all countries, organizations, and every human being rather than just the particular ones. The Sustainable Development Goals (SDGs) are the fundamental cornerstone to secure future economic and business growth by inclusively eradicating poverty while protecting the environment. They recognize the private sector’s key role in pursuing and financing sustainable development in partnership with governments and civil society. The business has the unique opportunity to embrace the SDG agenda and recognize it as a driver of business strategies, innovation, and investment decisions since it is impossible to have a strong, functioning business in a world of increasing inequality, poverty, and climate change. Sustainability risk will eventually become a sustainability crisis for the company if they don’t take part or make efforts to embrace the SDGs agenda.

A question is arising: “How does the private sector and/or business play their role in taking participation and then place a contribution towards SDGs? Further, how doing so makes business sense and will give them an edge over their competitors?”

To answer the question, the followings are worth considering:

1. Addressing sustainability risk properly

Companies may be unable to continue to create capital over the long term if natural, social, financial, and capital are at risk and being eroded elsewhere. Each SDG represents a risk area already presenting challenges to businesses and society, and these risks are likely only to continue and grow if not well and effectively addressed. For example, supply chains are particularly exposed to the effects of climate change and depletion of natural resources (SDG No: 12, 13, 14, and 15), geopolitical instability (SDG No. 16), inequality (SDG No. 10), and lack of development in some regions (SDG Nos. 1, 2, 3 and 4) that limit the potential of emerging markets.

2. Understanding the expectation of stakeholders

The capital provisions are made by the investors seeking sustainability of the organizations. Addressing these and other risks can make good business sense as stakeholders hold companies accountable for their role in creating or exacerbating these risks and, therefore, are able to maintain their social license to operate. As such, Investors are increasingly paying attention to environmental, social, and governance (ESG) risks when making investment decisions into particular businesses or companies and trying to see the organization’s credentials in dealing with them effectively.

According to the third EY Investor Survey (2017), weak corporate governance, poor environmental performance, resource scarcity, climate change, and human rights risks are likely indicators that could alter investors’ decisions.

3. Building a strong and meaningful ESG program

An ESG program creates a valuable impact on our organization, our community, and the planet for years to come. A strong and meaningful ESG program can set a vision for an organization’s environmental and societal influence, providing value both internally and externally. Establishing environmental goals can help reduce our carbon footprint, determine our sourcing strategy, and set a foundation for eliminating unnecessary waste. From a social impact lens, we can build a meaningful diversity program, enhance employee health and make lasting changes in our community. And by building a strong governance foundation, we can diversify our board, enhance business ethics, increase stakeholder transparency and protect privacy.

To ensure the adoption and success of an ESG program, it’s critical to align an ESG vision to our organization’s existing strategy and purpose. Establishing and communicating this foundation will allow our organization to be authentic in its actions, avoid “greenwashing,” and align the roadmap to core business objectives. As such, ESG has emerged as an opportunity (rather than just a responsibility) to build a more sustainable business and a key differentiator to enhance relevancy and trust with the organization’s stakeholders, now and in the future.

Hope this short article is useful.

Dr. Antonius Alijoyo, founder of Center for Risk Management and Sustainability (CRMS Indonesia) and Chair of supervisory board of Indonesia Risk Management Professionals Association (IRMAPA).

Managing risk is managing the effect of uncertainties on our objectives. It could be related to the objectives of our strategy, financials, operations, compliance, etc. As it starts from the decision-making, we need some indicators at that stage. As such, we need to consider both relevant lagging and leading indicators. The following questions are then asked to risk professionals: ‘what exactly are the differences, and why does it matter?

Leading indicators are described as inputs. They define actions necessary to achieve the goals and objectives with measurable outcomes, hence they lead to successfully meeting the organization’s goals and objectives. Whereas a lagging indicator is sometimes described as output that’s already occurred to gain insight into an organization’s future success.

In essence, leading indicators are about trying to predict the future, and lagging indicators are about understanding what has already happened. Both are important for a risk-based decision-making purpose related to measuring an organization’s performance. As such, both indicators are equally needed for an organization to understand its performance and identify proper ways to improve them in the future.

Another thing worth considering for risk professionals is to be aware of the challenges of using the leading indicators and the downsides of using the lagging indicators. Such awareness is important to help organizations not be trapped into one indicator due to one-sided preference or limitations, especially those that might lead to an organization’s focus and leniency.

What are the challenges of using leading indicators?

They are important for building a broad understanding of performance because they provide information on likely future outcomes. Some examples are the increased portion of younger generations that consume our product or services, the increased portion of new products or services of a new market segment that contribute to our sales portfolio, and the more productive innovation cycle of an organization or the index of future-fit of people competencies. Hence, leading indicators are much more likely to be unique to the organization, making them harder to build, measure and benchmark. In such a situation, many organizations could be tempted not consciously and cautiously develop their leading indicators due to many reasons. As a result, they might gradually lose the foresight and horizon of the future relevant contextualization, which disables organizations from making quality risk-based decisions.

What is the downside of using lagging indicators?

They’re typically easy to identify, measure and compare against elsewhere in our industry, such as actual revenue, profit, etc., which makes lagging indicators very useful. However, the obvious downside of backward-looking indicators is they may provide insights too late to do anything about it. Even if it’s not too late, the lagging indicator is probably not telling us why this trend is happening and what you can do to stop it. Another downside is that lagging indicators encourage a focus on outputs (a number-based measure of what has happened) rather than outcomes (what we wanted to achieve).

Hope this short article is useful.

Dr. Antonius Alijoyo, founder of Center for Risk Management and Sustainability (CRMS Indonesia) and Chair of supervisory board of Indonesia Risk Management Professionals Association (IRMAPA).

The topic above is the rising trends and become the agenda of generations. Whilst no question about the importance of those agendas, what do we need to know in this respect? And what considerations need to be taken into account when we are making decisions and actions in the firm’s best interest? Such questions are critical, especially to the risk professional who must consider the aspect of sustainability in the organization’s decision-making process.

Let us start with some concepts and fundamentals that underlie the importance of sustainability. In this regard, United Nations (UN) say that sustainability meets the needs of the present without compromising the ability of future generations to meet their own needs. While so many other definitions and/or sayings about sustainability, they all converged on the understanding that sustainability deals with how to ‘avoid the depletion of our natural resources to maintain a balanced ecosystem and preserve natural capital.’

One word is underlined here “natural capital.” What does it mean? And why does it matter to us? Natural capital, in short, can be defined as the world’s stocks of natural assets, which include geology, soil, air, water, and all living things. From this natural capital, humans derive a wide range of services, often called ecosystem services, which make human life possible.

The most obvious ecosystem services include the food we eat, the water we drink, and the plant materials we use for fuel, building materials, and medicines. There are also many less visible ecosystem services such as the climate regulation and natural flood defenses provided by forests, the billions of tonnes of carbon stored by peatlands, or the pollination of crops by insects. Even less visible are cultural ecosystem services, such as the inspiration we take from wildlife and the natural environment

Nevertheless, if we talk about sustainability, it is about the interdependencies between the three things: environment, society, and economy. Talking about the environment takes place when we use to grow our food, the air we breathe, the water we drink, the soil we use, and the energy we consume. Talking about society takes place when it comes to making decisions amongst individuals and the interaction amongst individuals and groups in towns, villages, and particular organizations. And when we think about the economy, we think about the efficient allocation of scarce resources in response to our unlimited wants.

All of the above concepts and thrusts are then encapsulated into a calling about the new concept founded in 1994 by social entrepreneur John Elkington to measure and evaluate a business’ increasing interest in climate and social justice. Put simply, the triple bottom line (TBL) uses the power of three – people, planet, and profit – to measure the health and quality of a business impact. Twenty-five years on, it has given rise to a plethora of responsible business models, frameworks, and operational methodologies from Social Return on Investment (SRoI) to Environmental, Social and Corporate Governance (ESG), as well as proving an early inspiration for the rise of the sharing and circular economies.

How do triple bottom lines work, and what are the business benefits?

A business that operates using the TBL philosophy, therefore, not only measures the worth of its output using these ‘3 Ps’ but also – crucially – constructs and executes its short-and long-term business goals around them. It’s commitment, for sure, but the benefits of implementing a triple bottom line are threefold:

• Firstly from a ‘people’ perspective, companies that place equal importance on all three categories enjoy stronger, more cohesive teams, improved recruitment, higher employee morale, and increased brand loyalty than those run from a profit-first one.
• Secondly, when you treat the environment as an equal stakeholder, the planetary benefits are clear for all to see; the rewards are evidenced in the long-term sustainability of both our natural and business ecosystems.
• And finally, a business that practices what they preach and embeds the TBL framework into every aspect of its models enjoys a range of financial boosts – and often significant cost savings, too. The World Wildlife Fund’s 2013 report ‘The 3% Solution’ put the potential monetary gain of curbing US carbon emissions by 3% at $780 billion a year. In many countries, government and state financial incentives exist for implementing environmentally-friendly business practices.

It is important to remember that because of the co-dependence between the three ‘bottom-lines,’ making improvements in one area will nearly always positively impact your efforts in another – and is why the TBL is often referred to as a ‘win-win-win’ business strategy. And with that in mind, TBL thinking should be applied to strategic decision-making in every aspect of your business. As such, it requires both buy-in and action from stakeholders at all levels — from suppliers to the shop floor. Practically, departmental heads and executives will need to ensure that all measures of success are tied to the overarching people-planet-profit objectives. On a truly granular level, personal performance and employee development goals must also be reassessed in confluence with the new sustainability criteria.

To summarize, using the language of tech: a triple bottom line framework works best when embraced as a new operating system rather than a patch add-on.

Dr. Antonius Alijoyo

Founder of Center for Risk Management and Sustainability Indonesia

Terminologi “integrated GRC” dewasa ini kian populer baik di Indonesia maupun di seluruh dunia. Jika hari ini Anda ketik istilah ini sebagai kata kunci pada mesin pencari Google maka Anda bisa mendapatkan lebih dari 8 juta entry. Memang hasil pencarian ini masih jauh lebih sedikit dibandingkan misalnya dengan hasil pencarian istilah “risk management” yang menampilkan 3,6 milyar entry. Namun, hasil yang sangat berbeda mungkin akan Anda dapatkan tahun depan sampai dengan 5 tahun lagi dari sekarang. Istilah “manajemen risiko” butuh 100 tahun untuk menjadi terkenal seperti sekarang ini sejak pertama kali dikenal sekitar tahun 1920-an, dibandingkan istilah “GRC” yang kini populer sejak tercetus pertama kali 20 tahun lalu.

Popularitas GRC terintegrasi ini didorong oleh meluasnya keyakinan para pengelola organisasi di dunia akan perlu dan pentingnya untuk mengubah penerapan G, R, dan C yang tadinya berjalan sendiri-sendiri menjadi suatu penerapan yang terintegrasi guna mengurangi aktivitas yang mubazir (redundant) dalam mendukung pencapaian sasaran organisasi. Sehubungan dengan hal ini, berbagai pendekatan dan metode diupayakan oleh organisasi untuk mewujudkan praktik GRC terintegrasi, salah satunya dengan memanfaatkan perkembangan teknologi informasi agar integrasi antara G, R, dan C dapat berlangsung secara mulus (seamless).

Meski demikian, efektivitas praktik GRC terintegrasi tetap bergantung pada seperti apa kualitas dari keterlibatan tiap individu organisasi yang menjalankannya. Walau didukung dengan alat bantu yang paling canggih sekalipun, praktik GRC tetap belum tentu akan memberikan hasil yang optimal bagi organisasi jika para personil tidak melaksanakannya dengan sungguh-sungguh dan serius. Di sini kita melihat pentingnya peran kompetensi SDM organisasi yang menyeluruh tentang G, R, dan C, serta bagaimana mengintegrasikannya menjadi GRC terintegrasi untuk mewujudkan manfaat penerapan bagi organisasi. Bahkan tanpa kompetensi yang memadai, rasanya sulit bagi penerapan apapun untuk bisa membudaya, termasuk penerapan GRC terintegrasi ini. Dan yang paling tidak kita harapkan adalah tanpa membudaya, besar kemungkinan penerapan GRC terjebak dalam serangkaian praktik administratif belaka yang dijalankan oleh para personil sebatas untuk mengugurkan kewajiban dari peraturan internal atau eksternal yang berlaku.

Sehubungan dengan hal ini, IRMAPA menyambut dengan sangat positif lisensi Badan nasional Sertifikasi Profesi (BNSP) yang berhasil didapat oleh Lembaga Sertifikasi Profesi Governansi Risiko Kepatuhan (LSP GRK) untuk skema-skema sertifikasi profesi di bidang GRC, Certified GRC Oversight Professional (CGRCOP), Certified GRC Executive Professional (CGRCEP), dan Certified GRC Professional (CGRCP). Dengan skema-skema sertifikasi ini, para praktisi dan profesional didorong untuk mendapatkan pengakuan atas kompetensi yang holistik di bidang G, R, dan C dalam satu kesatuan GRC, dan bukan pemahaman silo pada salah satu atau sebagian dari komponen GRC. Bagi organisasi yang memiliki para personil dengan sertifikasi profesi bidang GRC tidak hanya berarti bahwa organisasi tersebut memiliki SDM yang kompetensinya di bidang GRC diakui secara nasional, melainkan juga organisasi ini sekaligus memiliki kapasitas yang memadai untuk mempraktikkan GRC secara utuh dan menyeluruh serta untuk mengintegrasikan ketiganya sesuai konteks karakteristik dan kebutuhan organisasi.

Besar harapan IRMAPA dan seluruh anggota komunitas profesional manajemen risiko di Indonesia bahwa LSP GRK akan terus meningkatkan mutu pelayanan serta inovasi sehingga keberadaan LSP GRK di tanah air ikut berkontribusi dalam akselerasi peningkatan kesadaran nasional akan praktik GRC terintegrasi yang efektif. Selamat bagi LSP GRK atas lisensi BNSP yang telah diperoleh, teruslah berkiprah bagi negeri..!

-o0o-

Berdasarkan hasil survei yang baru saja dikeluarkan oleh IRMAPA tentang Top 10 Risks Konteks Indonesia Tahun 2022, diketahui bahwa kapasitas internal organisasi yang paling penting dan perlu ditingkatkan dalam pengelolaan risiko adalah Kapasitas SDM sebesar 45%, diikuti Penguatan Kerangka Kerja/Proses sebesar 39% dan Keandalan Teknologi sebesar 16%. Terlihat bahwa kapasitas dari pelaksana manajemen risiko telah disadari menjadi faktor yang sangat penting dalam mendukung pengelolaan risiko.

Selanjutnya, survei juga mengidentifikasi tantangan terbesar apa saja yang mempengaruhi peningkatan kapasitas internal. Didapati dua hasil survei tertinggi yakni keterbatasan kompetensi internal untuk melakukan pengembangan, di mana pada saat yang sama organisasi masih memiliki isu permasalahan lain yang lebih mendesak.

Di skala internasional, salah satu risiko yang mencuat ke dalam daftar World 10 Top Operational Risks 2022 yang di rilis Risk.net adalah Talent Risk. Tidak tanggung-tanggung, dari sebelumnya tidak tercantum pada daftar yang sama di tahun 2021, risiko ini langsung menduduki posisi tiga tahun ini.

Apa yang menyebabkan Talent Risk ini menjadi penting?

Kondisi dunia yang sangat tidak menentu dimasa dan paska pandemi telah membuat perubahan besar pada banyak sektor. Akselerasi penggunaan teknologi yang masif, digitalisasi, remote working, otomasi, merupakan beberapa contoh perubahan yang kita semua alami. Perubahan tersebut akhirnya membuat pergeseran kebutuhan akan sumberdaya manusia dan kompetensinya. Pengetahuan dan pengalaman yang sebelumnya dimiliki oleh karyawan di sebuah organisasi, terkadang menjadi tidak lagi relevan untuk melaksanakan proses aktivitas bisnis yang sudah berubah.

Munculnya banyak perusahaan start-up yang memiliki cara kerja bertempo cepat, mengandalkan teknologi dan talent muda, juga mendorong permintaan sumberdaya dengan kompetensi yang spesifik menjadi besar. Sesuai hukum demand and supply di mana pada saat permintaan sedang tinggi sementara tidak diiringi suplai yang mencukupi maka harga akan naik. Demikian pula yang dialami oleh banyak organisasi pada saat ingin merekrut calon karyawan. Terbatasnya talent yang kompeten untuk mengisi posisi tertentu menyebabkan tingginya harga yang harus ditawarkan untuk menarik calon karyawan terbaik. Kondisi ini tentunya menimbulkan risiko terkait talent yang perlu mendapat perhatian. Kebutuhan yang cepat akan talent tertentu terkadang menyebabkan proses pemilihan kandidat menjadi terbatas. Organisasi sering kali akhirnya menerima talent dengan kualifikasi dan kompetensi yang sebenarnya tidak mencukupi atau tidak terlalu cocok dengan yang diharapkan.

Demikian pula dengan karyawan yang sudah ada, meskipun secara jumlah tenaga kerja mencukupi namun terkadang ditemui adanya kesenjangan antara kompetensi yang dimiliki dengan kebutuhan teknis terkait jenis pekerjaan dan proses kerja yang baru. Di sisi lain, organisasi juga perlu memastikan bahwa talent terbaiknya akan tetap bersama mereka dengan memberikan paket remunerasi yang tetap menarik ditengah kondisi yang masih tidak stabil ini.

Jika dikaitkan dengan pengelolaan risiko, konsep pertahanan tiga lini atau biasa disebut three lines of defense, menekankan pentingnya pengendalian risiko dilaksanakan ditahap awal oleh pemilik risiko (risk owner). Salah satu kunci keberhasilan penerapan three lines of defense adalah kecukupan kompetensi pemilik risiko. Sebagai pihak yang pertama kali menghadapi risiko didalam proses aktivitas bisnis, seorang pemilik risiko perlu dibekali dengan pemahaman dan pengetahuan atas risiko dan bagaimana cara untuk mengelolanya. Selanjutnya seiring waktu ia perlu melaksanakannya dengan terstruktur agar secara bertahap muncul sikap kerja yang tepat dan pengalaman serta keterampilan mengelola risiko yang baik.

Bicara tentang kompetensi, setidaknya ada 3 dimensi yang perlu dimiliki seseorang untuk dapat dikatakan kompeten yakni Pengetahuan (Knowledge), Ketrampilan (Skill) dan Sikap Kerja (Attitude). Pengetahuan didapatkan dari pendidikan maupun pelatihan baik formal dan informal, selanjutnya keahlian dan keterampilan akan terbentuk dari pengalaman dan jam terbang, sementara sikap kerja adalah cara pandang seseorang yang mendorong tindakan dan pelaksanaan proses kerja yang tepat. Dengan demikian organisasi perlu senantiasa memastikan karyawannya memiliki kompetensi yang mencukupi dan sesuai dengan konteks pekerjaan terkini yang sedang dijalani sebagai bagian dari talent management.

Dengan memahami pentingnya pengelolaan talent risk, diharapkan organisasi dapat menyiapkan langkah-langkah antisipatif yang tepat, baik berupa peningkatan kapasitas SDM yang ada maupun strategi yang perlu dilakukan pada saat proses perekrutan.

Dalam kehidupan sehari-hari, masih banyak orang yang enggan dan “alergi” membicarakan risiko. Risiko digambarkan sebagai sesuatu yang tidak menyenangkan, menyusahkan, dan merugikan. Pandangan ini tidak sepenuhnya salah karena selama ini risiko memang dipersepsikan seperti itu. Namun, apa benar risiko hanya akan membuat kita susah?

Menurut definisi ISO 31000:2018, risiko adalah efek dari ketidakpastian pada sasaran. Jika ketidakpastian adalah keadaan di mana kita kurang memahami suatu kondisi atau peristiwa yang biasanya terkait masa depan, efek didefinisikan sebagai penyimpangan dari apa yang diharapkan, dapat berupa efek positif, negatif, atau keduanya, serta dapat berkaitan dengan proses menciptakan atau menghasilkan peluang sekaligus ancaman.

Dari definisi tersebut terlihat bahwa risiko tidak terbatas sebagai efek negatif berupa ancaman saja, melainkan juga memiliki sisi sebaliknya. Efek negatif ini disebut sebagai risiko sisi bawah (downside risk), yang jika terjadi akan merugikan atau menyusahkan. Sebagai contoh adalah kebakaran, kehilangan harta benda, kematian, kehilangan pelanggan, dan lain-lain. Sementara itu, risiko sisi atas (upside risk) adalah risiko yang jika dikelola dengan baik akan memberikan efek positif berupa terciptanya peluang. Sebagai contoh adalah kondisi pandemi COVID-19. Keadaan pandemi ini dipergunakan oleh beberapa organisasi untuk melakukan perubahan proses bisnis dengan penggunaan teknologi yang terakselerasi secara cepat.

Untuk mencapai sasaran, tentu kita akan berusaha dengan segala macam cara. Semua upaya, tenaga, dan pikiran tercurah guna memastikan sasaran dan tujuan dapat terpenuhi. Selanjutnya, untuk bisa terus bertahan dan bertumbuh, kita perlu melakukan perbaikan, pengembangan, dan terobosan dalam bentuk inovasi.

Inovasi sejatinya dilakukan sebagai upaya untuk meningkatkan nilai suatu produk atau layanan bagi kepentingan dan kepuasan pelanggan. Mengacu ke beberapa sumber, inovasi didefinisikan sebagai berikut:

• Peraturan Pemerintah RI No Tahun 2007

Inovasi ialah kegiatan penelitian, pengembangan, dan ataupun perekayasaan yang dilakukan dengan tujuan melakukan pengembangan penerapan praktis nilai dan konteks ilmu pengetahuan yang baru, ataupun cara baru untuk menerapkan ilmu pengetahuan dan teknologi yang sudah ada ke dalam produk ataupun proses produksinya.

• Undang-Undang RI No 11 Tahun 2019

Inovasi adalah hasil pemikiran, Penelitian, Pengembangan, Pengkajian, dan/atau Penerapan, yang mengandung unsur kebaruan dan telah diterapkan serta memberikan kemanfaatan ekonomi dan/ atau sosial.

• Sa’ud 2014

Inovasi adalah pilihan kreatif, pengaturan dan seperangkat manusia dan sumber-sumber material baru atau menggunakan cara unik yang akan menghasilkan peningkatan pencapaian tujuan-tujuan yang diharapkan.

• Green, Howells & Miles (dalam Zulfa Nurdin) 2016 mendefinisikan inovasi sebagai sesuatu yang baru, yaitu dengan memperkenalkan dan melakukan praktek atau proses baru (barang atau layanan) atau bisa juga dengan mengadopsi pola baru yang berasal dari organisasi lain.

Dari beberapa definisi di atas, dapat kita simpulkan bahwa inovasi sangat dibutuhkan bagi semua organisasi untuk bisa terus mengembangkan diri dan usahanya, baik berupa produk maupun layanan.

Bagaimana manajemen risiko dapat membantu inovasi?

Lebih lanjut, ISO 31000 menyebutkan bahwa tujuan dari penerapan manajemen risiko adalah untuk penciptaan dan perlindungan nilai, di mana nilai-nilai tersebut mencakup semua tujuan dan sasaran yang ingin diraih sebuah organisasi. Bukan hanya tujuan yang tercermin pada visi dan misi, tujuan yang dimaksud juga merujuk pada sasaran atau target kinerja yang bersifat strategis dan operasional, baik berkaitan dengan aspek finansial maupun tidak.

Sebagai bagian dari upaya mencapai sasaran, organisasi akan melakukan berbagai aktivitas proses bisnis untuk menghasilkan produk maupun layanan. Seiring waktu, pengembangan serta inovasi menjadi bagian yang penting untuk tetap bertahan dalam kompetisi pasar.

Inovasi memiliki kaitan erat dengan risiko mengingat keduanya sama-sama berfokus pada masa depan. Semua kegiatan inovasi bertujuan untuk meningkatkan kualitas produk ataupun layanan yang akan dihasilkan di masa mendatang. Bentuknya bisa berupa produk yang lebih murah, lebih awet, lebih canggih, atau layanan yang lebih cepat, lebih tepat waktu, lebih otomatis dan lain-lain.

Manajemen risiko memberikan metodologi yang dapat dipergunakan untuk “melihat dan mengelola masa depan” dengan pendekatan yang ilmiah, terstruktur, dan komprehensif. Proses identifikasi risiko dapat dijadikan tahapan kunci di awal untuk mengembangkan inovasi yang sedang dilaksanakan. Dengan pemahaman yang tepat bahwa risiko bukan hanya risiko sisi bawah dalam bentuk ancaman, tentu organisasi dapat melakukan identifikasi risiko sisi atas yang dapat mendukung terciptanya peluang, serta memastikan peluang tersebut digunakan untuk mendukung inovasi.

Proses identifikasi risiko sisi atas terkait peluang pada dasarnya sama dengan proses identifikasi risiko sisi bawah terkait ancaman. Yang membedakan adalah fokus yang ingin ditemukan. Dalam identifikasi risiko sisi bawah, kita berfokus pada ancaman atau bahaya yang bisa mengganggu serta merusak nilai organisasi, sedangkan pada identifikasi risiko sisi atas, fokusnya adalah pada peluang apa yang bisa mendukung dan dimanfaatkan oleh organisasi, serta menentukan bagaimana peluang tersebut secara nyata dapat dipergunakan dan tidak terlewat begitu saja.

Risiko sisi atas terkait peluang selanjutnya perlu dianalisa untuk dapat ditentukan besaran dampak dan kemungkinannya. Ada kalanya kita menemukan peluang yang kemungkinan terjadinya kecil atau dampaknya bagi pengembangan dan inovasi produk maupun layanan tidak signifikan. Peluang seperti ini bisa kita simpan untuk acuan di masa mendatang. Sementara itu, jika kita menemukan peluang yang memiliki dampak serta kemungkinannya besar bagi pengembangan, kita perlu menindaklanjutinya agar bisa mendukung inovasi yang sedang atau akan dilaksanakan.

Sebagai contoh, sebuah organisasi membuat produk elektronik. Mereka memiliki sasaran ingin menghasilkan produk yang terbaik bagi pelanggan. Proses identifikasi risiko yang memiliki efek positif dalam bentuk peluang tentu akan membantu organisasi tersebut. Identifikasi yang dilakukan memungkinkan organisasi menemukan teknologi, baik software maupun hardware yang akan berguna dan tersedia di masa mendatang. Teknologi tersebut diharapkan dapat memberikan peluang dan kesempatan bagi organisasi untuk membuat inovasi produk yang lebih baik, lebih murah, lebih canggih, yang secara signifikan akan menjadikan pembeda dari pesaing. Proses ini juga membantu organisasi untuk melakukan identifikasi mengenai tindakan apa yang perlu diambil dalam upaya mendapatkan dan memastikan peluang tersebut dapat diraih.

Di satu sisi, organisasi itu juga bisa melakukan identifikasi risiko lain terkait teknologi yang berfokus pada analisis tren dan perilaku pelanggan (customer behavior). Misalnya: Apakah di masa mendatang pelanggan masih akan mempergunakan jenis produk elektronik yang saat ini diproduksi perusahaan? Atau, akankah ada perubahan gaya hidup atau substitusi produk yang mungkin lebih dipilih oleh pelanggan?

Ini adalah proses identifikasi risiko dari ketidakpastian terkait teknologi di masa depan. Dengan memahami keadaan masa depan lebih awal, maka organisasi memiliki cukup waktu untuk mempersiapkan diri dan membuat antisipasi. Dalam contoh di atas, inovasi yang dilakukan terhadap produk elektronik menjadi lebih terfokus sesuai dengan hasil analisis risiko dan peluang yang sudah teridentifikasi. Dengan memanfaatkan metodologi yang terstruktur dan sistematis dalam manajemen risiko, organisasi pun dapat lebih terbantu dalam melaksanakan pengembangan dan inovasi bisnis, produk, maupun layanan secara berkesinambungan.

Kegiatan operasional di sebuah organisasi dengan organisasi lainnya tentu berbeda dan bersifat khas, tergantung dari konteks organisasi itu sendiri. Konteks didefinisikan sebagai lingkungan di mana sebuah organisasi berusaha untuk mencapai sasarannya (ISO 31000). Ada organisasi yang memiliki kegiatan operasional sederhana, tetapi ada pula yang kegiatan operasionalnya sangatlah kompleks. Hal ini dipengaruhi oleh banyak faktor, antara lain skala organisasi, cakupan layanan operasional, teknologi yang dipergunakan, sumber daya manusia yang terlibat, baik jumlah maupun kualitasnya, dan sebagainya.

Kegiatan operasional sendiri merupakan upaya nyata organisasi untuk mencapai sasaran yang ingin diraih. Hal terakhir yang diinginkan sebuah organisasi adalah menemui kegagalan operasional yang berdampak langsung pada kualitas dan hasil kinerjanya, serta berpotensi menggagalkan pencapaian sasaran. Dengan demikian, organisasi harus selalu memastikan kegiatan operasional dapat berjalan dengan stabil tanpa adanya gangguan yang tidak dapat dikendalikan.

Sementara itu, risiko operasional didefinisikan sebagai risiko akibat ketidakcukupan dan/atau tidak berfungsinya proses internal, kesalahan manusia, kegagalan sistem, dan/atau adanya kejadian eksternal yang memengaruhi kegiatan operasional (POJK 44 tahun 2020). Sebagai bagian dari upaya pengendalian risiko, organisasi perlu mempersiapkan berbagai langkah persiapan maupun pencegahan. Hal utama yang perlu dilakukan adalah melakukan identifikasi area yang kritikal dan rentan terhadap gangguan pada operasional proses bisnis organisasi.

Secara umum, berikut ini adalah beberapa hal yang perlu diperhatikan oleh setiap organisasi:

1. Alur Kerja Proses Bisnis Organisasi

Kegiatan operasional yang dilakukan sebuah organisasi tercermin pada alur kerja proses bisnis di masing-masing tahapan aktivitas. Alur kerja yang efektif dan efisien memberikan kemudahan bagi organisasi untuk menunjukan hasil kerjanya dalam bentuk produk maupun jasa.

Namun, ada kalanya alur kerja justru menjadi sumber risiko operasional ketika tidak didesain secara sederhana dan justru memiliki banyak tahapan berulang serta panjangnya birokrasi. Atau sebaliknya: alur kerja yang terlalu singkat dapat menimbulkan kelemahan kendali karena tidak terbentuknya mekanisme maker-checker maupun pengawasan berlapis/four eyes principle. Jika ini terjadi, akan ada kesempatan lebih besar untuk terjadinya tindak kecurangan (fraud) dari kegiatan aktivitas proses bisnis internal.

Menghadapi hal itu, organisasi perlu secara rutin melakukan peninjauan atas alur kerja proses bisnisnya. Bersamaan dengan itu, organisasi juga perlu mengidentifikasi jenis proses bisnis yang rentan dan yang memiliki kelemahan serta berpotensi gagal. Dengan demikian, organisasi dapat menganalisis penyebab dan dampak serta menyiapkan solusi utama sekaligus solusi alternatif untuk mengantisipasi potensi kegagalan tersebut. Perubahan alur kerja proses bisnis terkadang menjadi pilihan yang paling ideal untuk mencegah risiko operasional terjadi.

2. Kesiapan dan Kecukupan Sumber Daya Manusia (SDM)

Kegiatan operasional sangat bergantung pada SDM yang melaksanakannya. Maka, organisasi hendaknya mempertimbangkan faktor lingkungan, baik internal maupun external untuk melihat apakah SDM saat ini masih mencukupi dan sesuai dengan kebutuhan. Perubahan lingkungan yang cepat perlu diantisipasi dengan menyiapkan SDM secara tepat. Dengan demikian, kapasitas dan kapabilitas SDM menjadi penting untuk terus dimonitor dan dikembangkan.

Sebagai contoh, perubahan proses bisnis karena pemanfaatan teknologi tentunya membawa banyak manfaat bagi organisasi. Namun, hal ini perlu diimbangi dengan kemampuan manusia untuk menggunakan teknologi baru tersebut. Jangan sampai manusia sebagai pengguna tidak memiliki kompetensi terkini sehingga justru menjadi sumber risiko. Untuk itu, diperlukan upaya rutin guna memastikan kualitas SDM tetap terjaga, antara lain dalam bentuk kegiatan pelatihan dan pendampingan.

Selain kualitas SDM, kuantitasnya pun perlu mendapat porsi perhatian yang sama besarnya. Bicara tentang kecukupan jumlah SDM dalam suatu aktivitas proses bisnis tak bisa lepas dari analisis beban kerja dan produktivitas. Contoh sederhananya dapat dilihat dalam penggunaan teknologi yang berkontribusi terhadap efisiensi tenaga kerja. Pekerjaan yang awalnya harus dikerjakan beberapa orang kini bisa dikerjakan dengan lebih sedikit orang—atau bahkan hilang sama sekali—dengan proses yang otomatis, seperti pemanfaatan robotic process automation. Hal ini akan menimbulkan kelebihan kapasitas SDM yang ada, maupun ketidakcocokan antara jumlah dengan kompetensi yang dibutuhkan.

Namun, di sisi lain, jika jumlah SDM tidak mencukupi, akan terjadi beban kerja yang berlebihan. Kondisi ini juga tidak ideal karena dapat menimbulkan risiko operasional berupa tidak tercapainya hasil kinerja yang diharapkan. Contoh risiko yang paling mungkin terjadi adalah faktor kelelahan akibat beban kerja yang tinggi yang dapat menimbulkan kesalahan dalam pelaksanaan proses bisnis.

Jika hal-hal di atas tidak diantisipasi dengan baik, risiko baru berupa demotivasi, kesenjangan beban kerja, rendahnya produktivitas, maupun banyaknya ketidakefisiensian dalam organisasi bisa saja muncul.

3. Keandalan Sistem Teknologi

Kondisi pandemi yang telah dan masih berlangsung merupakan faktor pendorong utama atas percepatan penggunaan sistem teknologi yang masif. Bagaimanapun, penggunaan sistem teknologi telah menjadi bagian tidak terpisahkan dari proses operasional bisnis sebuah organisasi. Bahkan, di beberapa tempat, ketergantungan terhadap sistem teknologi menjadi sangat tinggi hingga kegagalan sistem dapat melumpuhkan seluruh aktivitas bisnis.

Dalam organisasi, sistem teknologi perlu disesuaikan dengan kondisi aktivitas proses bisnis terkini. Kemampuan sistem perlu selalu diuji guna memastikan apakah masih mumpuni. Contoh nyata yang sering dijumpai adalah terkait perubahan akses sistem di masa pandemi.

Sebelum masa pandemi, semua karyawan bekerja dari kantor di mana semua sistem pendukung sudah dipersiapkan. Di masa pandemi, semua orang dipaksa bekerja jarak jauh, khususnya dari rumah. Akibatnya, sistem teknologi menjadi sangat rentan untuk mengalami gangguan. Kecukupan keamanan jaringan, kapasitas bandwidth maupun kecukupan storage dan ancaman virus merupakan beberapa hal mendasar yang perlu diperhatikan organisasi.

Selain itu, organisasi juga perlu mempersiapkan rencana pemulihan bencana yang dikaitkan dengan kesiapan sistem teknologi. Tujuannya adalah untuk memastikan sistem dapat kembali berfungsi dengan cepat pada saat mengalami kejadian bencana.

4. Kejadian Eksternal

Selain risiko operasional yang berasal dari internal organisasi, faktor eksternal juga dapat memengaruhi kegiatan operasional. Salah satu tantangan utama terkait faktor eksternal adalah terkadang ia tidak dapat dikendalikan kemungkinan kejadiannya.

Sebuah organisasi perlu mengidentifikasi seluruh kejadian utama yang berasal dari eksternal, termasuk—namun tidak terbatas pada—bencana alam, pandemi, perubahan teknologi, perubahan tren pasar, dan lain-lain. Organisasi juga dapat melakukan analisis yang lebih menyeluruh terhadap faktor eksternal, antara lain menggunakan metode PESTEL analysis yang merupakan singkatan dari Politic, Economy, Social, Technology, Environment, Legal.

Dengan melakukan penilaian risiko yang menyeluruh untuk setiap faktor eksternal, diharapkan organisasi dapat lebih memahami dan memperkirakan kejadian apa yang mungkin muncul di masa mendatang. Dengan demikian, organisasi dapat mempersiapkan rencana mitigasi untuk memperkuat pengendalian agar kegiatan operasional dapat terus berjalan.