Penulis: Charles R. Vorst, MM., BCCS, CERG, ERMCP, QCRO, QRGP, CCGO, CGOP – Sekretaris Jenderal IRMAPA.
Dalam dokumen SNI ISO 31000 baik versi tahun 2018 maupun yang terdahulu, siapa pun pihak yang bertanggung jawab atas perancangan kerangka kerja manajemen risiko untuk suatu organisasi, yaitu mereka yang menjadi pimpinan tertinggi entitas kerja manajemen risiko di organisasi, apakah manajer risiko (risk manager), ataukah direktur risiko (risk director, atau chief risk officer, disingkat CRO), hendaknya membangun pemahaman mengenai organisasi dan konteksnya sebelum memutuskan suatu bentuk rancangan kerangka kerja manajemen risiko untuk diberlakukan dan diterapkan di lingkungan organisasi tersebut. Hal ini sebagai langkah lanjutan setelah memastikan keberadaan kepemimpinan dan komitmen yang kuat ataxs penerapan manajemen risiko dari para anggota manajemen puncak, sekaligus menjadi langkah pertama ketika selanjutnya hendak merancang kerangka kerja manajemen risiko sebagai dasar mekanisme kerja bagaimana nantinya manajemen risiko dipraktikkan oleh organisasi.
Melalui artikel ini, penulis menyampaikan hal apa saja yang perlu dipahami tentang pemahaman organisasi dan konteksnya oleh pihak yang merancang kerangka kerja manajemen risiko untuk kemudian diajukan kepada para pimpinan puncak organisasi agar ditinjau dan diterapkan. Artikel ini menyajikan pemahaman dan pandangan yang penulis dapatkan melalui keterlibatan sebagai Anggota Komite Teknis 03-10 Tata Kelola, Manajemen Risiko, dan Kepatuhan yang mengadopsi ISO 31000 menjadi SNI ISO 31000, sekaligus bertindak sebagai National Mirror Committee mewakili Indonesia dalam sidang ISO yang diselenggarakan oleh ISO Technical Committee 262 untuk perumusan keluarga standar ISO 31000, mengenai makna dan pengaplikasian sub-komponen ‘Pemahaman Organisasi dan Konteksnya’ dalam komponen ‘Desain’ pada Kerangka Kerja Manajemen Risiko SNI ISO 31000.
SNI SIO 31000 mengarahkan agar para perancang bentuk pengelolaan risiko di suatu organisasi memahami konteks internal dan eksternal dari organisasi tersebut. Disampaikan dalam dokumen SNI ISO 31000 bahwa:
“Ketika mendesain kerangka kerja pengelolaan risiko, organisasi sebaiknya memeriksa dan memahami konteks eksternal dan internalnya.”
Kemudian disampaikan juga bahwa yang termasuk dalam konteks eksternal dapat berupa namun tidak terbatas pada:
- “faktor sosial, budaya, politik, hukum, regulasi, keuangan, teknologi, ekonomi, dan lingkungan, baik internasional, nasional, regional, maupun lokal;
- penggerak dan tren utama yang memengaruhi sasaran organisasi;
- hubungan, persepsi, nilai, kebutuhan, dan harapan pemangku kepentingan eksternal;
- hubungan dan komitmen kontraktual;
- kompleksitas dan dependensi jaringan.”
Sedangkan yang dimaksud dengan konteks internal organisasi yang perlu dipahami dalam merancang kerja kerja manajemen risiko adalah sebagai berikut namun tidak terbatas pada:
- “visi, misi, dan nilai;
- tata kelola, struktur organisasi, peran, dan akuntabilitas;
- strategi, sasaran, dan kebijakan;
- budaya organisasi;
- standar, panduan, dan model yang diadopsi oleh organisasi;
- kapabilitas, ditinjau dari sumber daya dan pengetahuan (misalnya modal, waktu, orang, kekayaan intelektual, proses, sistem, dan teknologi);
- data, sistem informasi, dan alir informasi;
- hubungan dengan pemangku kepentingan internal, dengan mempertimbangkan persepsi dan nilai mereka;
- hubungan dan komitmen kontraktual;
- interdependensi dan interkoneksi.”
Memahami apa yang disampaikan dalam dokumen SNI ISO 31000 di atas maka beberapa upaya untuk memahami organisasi dan konteksnya yang hendaknya dilakukan oleh para perancang kerangka kerja manajemen risiko antara lain, namun tidak terbatas pada:
- Mengidentifikasi jenis risiko apa saja yang dihadapi oleh organisasi. Hal ini antara lain dapat dilakukan dengan cara:
- melakukan benchmark, atau studi banding, ke organisasi sejenis,
- cara paling cepat dan mudah untuk memahami jenis risiko apa saja yang perlu dihadapi dan dikelola oleh organisasi adalah dengan mendapatkan informasi dari organisasi sejenis. Umumnya informasi ini tersedia dalam bentuk informasi sekunder, namun tidak tertutup kemungkinan untuk mendapatkan informasi primer, misalnya melalui pengalaman kerja atau berinteraksi sebelumnya. Contoh: jenis risiko yang memiliki kemiripan antar bank sesuai klasifikasi buku 1 sampai dengan buku 4;
- Memahami karakteristik sektor/industri di mana organisasi berada,
- selain studi banding, para perancang kerangka kerja manajemen risiko juga dapat membangun pemahaman mengenai jenis risiko yang perlu dikelola oleh organisasi melalui pelaksanaan studi, kajian, maupun observasi. Contoh: salah satu jenis risiko perusahaan asuransi berkaitan dengan proses underwriting, klaim, dan atau reasuransi;
- Memahami ketentuan regulasi yang berlaku bagi organisasi,
- para perancang kerangka kerja manajemen risiko juga perlu membangun pemahaman mengenai jenis risiko yang dihadapi atau perlu dikelola oleh organisasi dengan cara meninjau rangkaian ketentuan regulasi yang berlaku bagi organisasi. Khususnya bagi organisasi di sektor jasa keuangan, jenis risiko yang perlu dikelola oleh organisasi umumnya telah didefinisikan secara eksplisit oleh regulator melalui ketentuan regulasi. Contoh: POJK tentang risiko LJKNB;
- Memahami rantai nilai dan pasokan bisnis organisasi,
- melalui pemahaman akan rantai nilai organisasi, para perancang kerangka kerja manajemen risiko juga diharapkan mendapatkan pemahaman tentang jenis-jenis risiko yang dapat mengganggu rantai nilai atau pasokan organisasi, baik yang berasal dari dalam maupun luar organisasi. Contoh: risiko biaya overhead pada manufaktur, atau keandalan saluran distribusi pada FMCG;
- Memahami karakteristik produk atau layanan yang ditawarkan organisasi,
- para perancang kerangka kerja manajemen risiko juga hendaknya memahami produk dan atau layanan yang disampaikan organisasi kepada pasar yang dilayani guna mendapatkan gambaran tentang jenis-jenis risiko spesifik yang melekat pada karakteristik produk dan atau layanan organisasi. Contoh: risiko cuaca untuk agribisnis, atau deviasi biaya-mutu-waktu pada organisasi berbasis proyek;
- Memahami struktur pendapatan dan biaya organisasi,
- jenis-jenis risiko yang harus dikelola oleh suatu organisasi juga dapat diidentifikasi dengan memahami struktur pendapatan dan biaya organisasi. Contoh: risiko kredit macet pada penjualan kredit, atau kenaikan harga BBM pada bisnis transportasi;
- Memahami model dan proses bisnis organisasi,
- jenis risiko yang harus dikelola oleh suatu organisasi juga dapat teridentifikasi dari pemahaman tentang bagaimana organisasi menjalankan bisnisnya, termasuk di dalamnya berkaitan dengan ketersediaan sistem dan infrastruktur pendukung. Contoh: risiko siber pada bisnis P2PL, atau turnover SDM pada organisasi padat karya;
- Memahami rencana strategis pengembangan bisnis,
- Para perancang kerangka kerja manajemen risiko suatu organisasi tidak hanya perlu memahami seperti apa dan bagaimana bisnis dan operasi dijalankan oleh organisasi saat ini melainkan juga perlu memiliki pemahaman mengenai seperti apa dan bagaimana rancangan strategis pengembangan bisnis dan operasi organisasi akan dijalankan dalam waktu dekat, khususnya dalam rangka mengantisipasi risiko baru yang mungkin muncul ketika rancangan pengembangan bisnis tersebut direalisasikan. Sehubungan dengan hal ini, mereka yang merancang kerangka kerja manajemen risiko perlu mengakses dan memahami rencana kerja organisasi tahunan, serta rencana kerja jangka menengah maupun panjang, beserta inisiatif-inisiatif dan sasaran-sasaran strategis yang hendak dicapai organisasi di tiap fase atau tahapan;
- Memahami struktur organisasi dan masing-masing fungsi yang dijalankan,
- berikut dengan memahami kompetensi SDM dan gaya kepemimpinan di suatu organisasi juga dapat memberikan gambaran mengenai jenis-jenis risiko yang perlu dikelola oleh organisasi tersebut. Contoh: risiko birokrasi pada organisasi yang terlalu berjenjang, atau pengawasan lemah pada struktur organisasi yang terlampau lebar;
- Memahami struktur dan proses tata kelola organisasi,
- jenis-jenis risiko yang dimiliki oleh suatu organisasi juga mengikuti bagaimana tata kelola organisasi diatur dan dijalankan. Contoh: risiko tata kelola induk-anak pada grup konglomerasi, atau penyalahgunaan kewenangan pada sistem desentralisasi kantor cabang;
- Memahami pasar yang dilayani organisasi,
- pasar yang dilayani juga memberikan kontribusi pada jenis risiko yang perlu dihadapi oleh organisasi. Contoh: risiko penolakan produk baik oleh pasar yang belum teredukasi, maupun oleh pasar yang sangat teredukasi;
- Memahami karakteristik persaingan yang dihadapi organisasi,
- selain pasar, karakteristik persaingan juga berkontribusi mengikutsertakan suatu jenis risiko pada keseluruhan risk universe organisasi. Contoh: risiko brand loyalty rendah dan perang tarif pada persaingan bebas, atau biaya penetrasi tinggi pada persaingan monopolistik; serta
- memahami para pemangku kepentingan organisasi,
- baik pemangku kepentingan utama, hingga siapa yang menjadi stakewatchers, apa yang menjadi ekspektasi masing-masing, serta bagaimana organisasi berinteraksi dengan mereka dalam rangka mengelola ekspektasi-ekspektasi tersebut, juga ikut membantu membangun pemahaman akan jenis-jenis risiko yang dihadapi oleh suatu organisasi. Contoh: penetapan harga BBM dan TDL yang harus mendapatkan persetujuan DPR menjadi risiko spesifik Pertamina dan PLN.
- melakukan benchmark, atau studi banding, ke organisasi sejenis,
- Memahami bentuk praktik pengelolaan masing-masing jenis risiko yang saat ini telah dijalankan oleh organisasi, serta mengidentifikasi bentuk pengembangan mekanisme kerja pengelolaan risiko yang diperlukan agar manajemen risiko di lingkungan organisasi dapat menjadi lebih efektif. Hal ini antara lain dapat dilakukan dengan cara:
- bagi CRO yang baru bergabung, dapat berdiskusi dengan manajer risiko, atau bagi manajer risiko yang baru bergabung, dapat berdiskusi dengan staf senior dari entitas kerja manajemen risiko maupun direktur yang membidangi penerapan manajemen risiko di lingkungan organisasi, guna mendapatkan pemahaman awal,
- termasuk di dalamnya berdiskusi dengan anggota komite risiko, atau komite pemantau risiko di lingkungan organisasi, maupun komite serupa pada perusahaan induk (bila ada dan memungkinkan);
- Hendaknya pemahaman awal ini kemudian dikembangkan dengan meninjau berbagai regulasi yang berlaku bagi organisasi (khususnya yang secara eksplisit mengatur bagaimana penerapan manajemen risiko harus dilakukan, maupun yang berkaitan dengan beragam bentuk praktik pengelolaan risiko yang disyaratkan oleh regulator), serta meninjau seluruh kebijakan, pedoman, dan prosedur terkait yang telah diberlakukan di lingkungan organisasi, termasuk tentunya kerangka kerja manajemen risiko yang saat ini diterapkan (bila telah ada);
- Tinjauan di atas hendaknya dilengkapi dengan tinjauan atas akta organisasi, termasuk boards’ manual, piagam (charter), pakta, hingga perjanjian kerja sama (contractual agreement), misalnya kontrak-kontrak penting yang berkaitan dengan pelanggan maupun mitra strategis (bila diperlukan);
- Meninjau capaian kinerja dan hasil tinjauan manajemen pada periode-periode sebelumnya guna mendapatkan pemahaman mengenai keberhasilan dan kegagalan organisasi dalam mencapai target kinerja yang sekaligus juga mencerminkan efektivitas kendali maupun keberhasilan maupun kegagalan dalam mengelola risiko dan peluang, serta pembelajaran yang dimanfaatkan sebagai tindakan perbaikan dan atau pengembangan yang mencerminkan tindakan untuk meningkatkan efektivitas kendali terhadap risiko;
- Mendapatkan informasi mengenai praktik pengelolaan risiko yang berlangsung di ‘lapangan’ saat ini oleh para pemilik risiko melalui diskusi dengan masing-masing fungsi terkait. Terkait dengan hal ini, sangat disarankan untuk menggunakan pendekatan piloting, atau kombinasi antara survei dan diskusi langsung atau wawancara, pada organisasi berukuran besar;
- Meninjau register dan profil risiko yang telah ada sebelumnya (bila ada);
- Meninjau laporan insiden, laporan temuan pemeriksaan kepatuhan, dan laporan temuan audit internal dan atau eksternal (termasuk di dalamnya pemeriksaan atau asesmen yang dilakukan oleh regulator maupun pihak eksternal independen), berikut dengan bentuk dan besaran kerugian finansial dan atau non-finansial yang ditimbulkan, serta rumusan tindakan perbaikan dan atau pengembangan yang diterapkan, beserta keberhasilan atau pun kegagalan masing-masing fungsi terkait dalam menerapkan tindakan perbaikan dan atau pengembangan tersebut, melalui koordinasi dengan fungsi Kepatuhan dan Audit Internal organisasi, serta fungsi-fungsi terkait lainnya;
- Menggunakan standar maupun pedoman yang dikeluarkan oleh badan standarisasi, regulator, dan atau asosiasi, serta sumber informasi sekunder lainnya (bila ada) sebagai rujukan, maupun studi banding dengan organisasi sejenis atau yang memiliki kemiripan karakteristik, atau pun
- memanfaatkan asistensi pihak eksternal independen (bila diperlukan).
Berdasarkan pemahaman tentang organisasi dan konteksnya secara komprehensif pada poin No. 1 & 2 di atas maka diharapkan para pihak perancang kerangka kerja manajemen risiko kemudian mampu untuk merumuskan suatu bentuk mekanisme kerja pengelolaan risiko untuk tiap jenis risiko yang ada serta selanjutnya diberlakukan dan diterapkan sebagai kerangka kerja manajemen risiko. Melalui berbagai pemahaman ini tentunya juga diharapkan bahwa kerangka kerja manajemen risiko yang diberlakukan dan diterapkan di lingkungan organisasi dapat sesuai dengan kebutuhan dan karakteristik spesifik organisasi tersebut. Namun perlu diingat bahwa upaya untuk membangun pemahaman yang lengkap dapat membutuhkan suatu kurun waktu tertentu dan pada saat yang sama kita perlu untuk tetap mengelola ekspektasi dan menjaga tingkat keyakinan dari anggota manajemen puncak terhadap kinerja manajemen risiko. Berkaitan dengan hal ini, penting bagi pihak yang sedang merancang kerangka kerja manajemen risiko untuk menyusun suatu rencana kerja penerapan manajemen risiko yang di dalamnya mengikutsertakan upaya-upaya untuk membangun pemahaman yang memadai tentang organisasi dan konteksnya serta, yang lebih penting lagi adalah, mengomunikasikan rencana tersebut dengan anggota manajemen puncak, khususnya direktur yang membidangi penerapan manajemen risiko di lingkungan organisasi, untuk mendapatkan tanggapan, masukan, dan atau persetujuan. Sebagai alternatif, penerapan manajemen risiko juga dapat dilakukan secara gradual berdasarkan suatu peta jalan (roadmap), misalnya memberi fokus terlebih dahulu pada pembangunan kerangka kerja manajemen risiko untuk suatu jenis risiko tertentu yang paling signifikan atau menjadi prioritas organisasi, sebelum kemudian secara bertahap kerangka kerja manajemen risiko tersebut dikembangkan lebih luas hingga mencakup jenis-jenis risiko lainnya yang bersifat less prioritized. Tentu saja, opsi rencana perumusan kerangka kerja manajemen risiko secara gradual ini pun perlu dikonsultasikan terlebih dahulu dengan anggota manajemen puncak organisasi sebelum ditentukan sebagai strategi penerapan oleh entitas kerja manajemen risiko.
Semoga artikel ini bermanfaat bagi para profesional maupun praktisi manajemen risiko di Indonesia!
-o0o-