Penulis: Charles R. Vorst, MM., BCCS, CERG, ERMCP, QCRO, QRGP, CCGO, CGOP – Sekretaris Jenderal IRMAPA.

Mengacu pada SNI ISO 31000, pihak yang mendesain kerangka kerja manajemen risiko perlu memahami organisasi dan konteksnya, khususnya karakteristik bisnis dan atau operasi organisasi maupun kebutuhan organisasi akan bentuk praktik pengelolaan risiko yang sesuai. Selain memahami hal ini, hal penting lainnya yang perlu dipahami oleh pihak pendesain kerangka kerja manajemen risiko, yakni entitas kerja manajemen risiko, adalah komitmen dari para pimpinan organisasi terhadap penerapan manajemen risiko di lingkungan organisasi.

Pada artikel ini, penulis memaparkan pemahaman seperti apa yang dimaksud terhadap komitmen pimpinan di atas. Artikel ini menyajikan pemahaman dan pandangan yang penulis dapatkan melalui keterlibatan sebagai Anggota Komite Teknis 03-10 Tata Kelola, Manajemen Risiko, dan Kepatuhan yang mengadopsi ISO 31000 menjadi SNI ISO 31000, sekaligus bertindak sebagai National Mirror Committee mewakili Indonesia dalam sidang ISO yang diselenggarakan oleh ISO Technical Committee 262 untuk perumusan keluarga standar ISO 31000, mengenai makna dan pengaplikasian sub-komponen ‘Penegasan Komitmen Manajemen Risiko’ dalam komponen ‘Desain’ pada Kerangka Kerja Manajemen Risiko SNI ISO 31000.

 

Disampaikan dalam SNI SIO 31000 pada bagian sub-komponen ‘Penegasan Komitmen Manajemen Risiko’ bahwa:

“Manajemen puncak dan badan pengawas, jika memungkinkan, sebaiknya menunjukkan dan menegaskan komitmen berkelanjutan mereka terhadap manajemen risiko melalui kebijakan, pernyataan, atau bentuk lain yang secara jelas menyampaikan sasaran dan komitmen organisasi terhadap manajemen risiko.”

Dari pernyataan di atas kita paham bahwa:

  1. para pimpinan organisasi diharapkan memiliki komitmen berkesinambungan terhadap penerapan manajemen risiko di lingkungan organisasi;
  2. komitmen tersebut perlu ditunjukkan atau dinyatakan dalam suatu pernyataan tertulis resmi organisasi, baik berupa kebijakan (manajemen risiko, atau yang berkaitan dengan pengendalian atau tindak lanjut risiko), maupun bentuk pernyataan tertulis lainnya (misalnya, antara lain: dalam rumusan rencana bisnis strategis, atau laporan tahunan organisasi);
  3. komitmen yang dimaksud adalah menetapkan arahan strategis mengenai penerapan manajemen risiko di lingkungan organisasi.

Lebih lanjut berkaitan dengan arahan strategis atas penerapan manajemen risiko, disampaikan dalam SNI ISO 31000 bahwa:

“Komitmen sebaiknya termasuk, tetapi tidak terbatas kepada:

  • tujuan pengelolaan risiko organisasi serta kaitan dengan sasaran dan kebijakan lain;
  • penguatan kebutuhan untuk mengintegrasikan manajemen risiko ke dalam keseluruhan budaya organisasi;
  • kepemimpinan dalam integrasi manajemen risiko ke dalam aktivitas bisnis inti dan pengambilan keputusan;
  • kewenangan, tanggung jawab, dan akuntabilitas;
  • penyediaan sumber daya yang diperlukan;
  • cara penanganan konflik kepentingan;
  • pengukuran dan pelaporan dalam indikator kinerja organisasi;
  • tinjauan dan peningkatan.”

 

Paparan yang disampaikan dalam SNI ISO 31000 di atas mengarahkan para pimpinan organisasi untuk menjabarkan ‘komitmen’ mereka terhadap penerapan manajemen risiko secara kongkret tidak hanya dalam pernyataan-pernyataan tertulis, seperti kebijakan manajemen, melainkan juga dalam praktik keseharian pengelolaan risiko di lingkungan organisasi karena tentunya bukan sebuah praktik yang benar apabila pernyataan tertulis yang dikeluarkan oleh pimpinan organisasi kemudian tidak dijalankan oleh individu-individu pimpinan itu sendiri.

 

Selain hal-hal di atas, SNI ISO 31000 juga menyampaikan hal berikut:

“Komitmen manajemen risiko sebaiknya dikomunikasikan di dalam organisasi dan kepada pemangku kepentingannya dengan sesuai.”

Pernyataan ini bermakna bahwa:

  1. Komitmen pimpinan organisasi terhadap penerapan manajemen risiko harus dipahami oleh para pemangku kepentingan organisasi, pertama-tama pemangku kepentingan internal organisasi yaitu para insan organisasi, dan kemudian dilanjutkan dengan pemangku kepentingan eksternal organisasi. Terkait dengan hal ini, ada banyak pemangku kepentingan eksternal dari sebuah organisasi. Yang menjadi pertanyaan, pemangku kepentingan eksternal yang mana yang harus ikut memahami komitmen pimpinan organisasi terhadap penerapan manajemen risiko? Kuncinya adalah hal berikut, (a) terkadang penerapan manajemen risiko maupun praktik pengelolaan risiko yang dijalankan oleh organisasi membutuhkan keterlibatan pemangku kepentingan eksternalnya, contohnya: persetujuan pemegang saham terkait kecukupan rasio pemodalan, rencana aksi mitra operasional, misalnya dalam konteks alihdaya atau sub-con, atau lainnya), atau kesepakatan strategi bisnis bersama mitra pemodal dalam konteks joint venture. (b) Selain itu, sebuah organisasi juga perlu membangun engagement yang efektif dengan para pemangku kepentingan eksternalnya secara relevan dalam rangka membangun dan mempertahankan keyakinan dan dukungan para pemangku kepentingan tersebut terhadap organisasi, contoh: pemegang saham tetap mempertahankan penyertaan modalnya, pelanggan tetap membeli produk yang dihasilkan, regulator tetap memberikan (memperpanjang) ijin usaha organisasi. Berdasarkan dua alasan inilah teridentifikasi siapa saja para pemangku kepentingan eksternal perlu memahami komitmen pimpinan organisasi terhadap penerapan manajemen risiko di organisasinya, dan seperti apa pengomunikasian yang relevan kepada masing-masing pemangku kepentingan tersebut.
  2. Secara khusus bagi entitas kerja manajemen risiko yang mendesain kerangka kerja manajemen risiko, memahami komitmen pimpinan organisasi terhadap penerapan manajemen risiko berarti memahami ekspektasi para pimpinan atas bentuk praktik dan kinerja pengelolaan risiko yang dibutuhkan dalam mendukung bisnis dan atau operasi organisasi.
  3. Berkaitan dengan poin 2, dalam konteks di mana komitmen pimpinan organisasi terhadap penerapan manajemen risiko dinyatakan dalam pernyataan tertulis kebijakan manajemen puncak dan rumusan kebijakan tersebut dirancang oleh entitas kerja manajemen risiko maka konsekuensi dari penjelasan SNI ISO 31000 di atas adalah para pimpinan puncak harus menjadi pihak penentu akhir isi dari kebijakan yang akan ditetapkan. Hal ini dikarenakan: (a) alasan logis bahwa kebijakan ini merupakan kebijakan manajemen, bukan kebijakan entitas kerja manajemen risiko, dan (b) kebijakan ini merupakan arahan strategis dari pimpinan organisasi tentang kerangka kerja manajemen risiko, atau dengan kata lain bagaimana praktik pengelolaan risiko harusnya berlangsung di lingkungan organisasi, yang diberlakukan dan harus dijalankan oleh seluruh pihak terkait, di mana salah satunya adalah entitas kerja manajemen risiko.

Adapun perancangan kerangka kerja manajemen risiko yang didasarkan pada karakteristik kebutuhan organisasi dan apa yang menjadi komitmen pimpinan terhadap penerapan manajemen risiko merupakan wujud pengaplikasian Prinsip Manajemen Risiko SNI SIO 31000 “Disesuaikan”. Namun hendaklah kita juga mengingat ada prinsip lainnya yaitu “Faktor manusia dan Budaya” yang menyampaikan pesan bahwa efektivitas penerapan manajemen risiko akan bergantung dari faktor manusia dan budaya di sekitar penerapan manajemen risiko. Artinya, adalah penting untuk memahami konteks internal dan eksternal organisasi untuk mengidentifikasi kebutuhan dan karakteristik organisasi akan bentuk penerapan manajemen risiko yang dibutuhkan. Namun, komitmen pimpinan organisasi-lah yang kemudian menjadi faktor penentu dalam kelanjutan penerapan manajemen risiko. Hal ini yang menjadikan ‘Kepemimpinan dan Komitmen’ menjadi komponen utama dari Kerangka Kerja Manajemen Risiko SNI ISO 31000. Hal ini jugalah yang menyebabkan mengapa SNI ISO 31000 mengarahkan pihak pendesain kerangka kerja manajemen risiko perlu mendapatkan penegasan komitmen manajemen risiko dari para pimpinan organisasi. Dengan demikian, penting sekali bagi entitas kerja manajemen risiko, serta entitas kerja lainnya yang menjalankan fungsi pengelolaan risiko, untuk memastikan para pimpinan mereka memiliki pemahaman dan kesadaran (awareness) yang memadai akan pentingnya pengelolaan risiko yang efektif, agar kemudian bisa berharap para pimpinan tersebut juga memiliki kepemimpinan dan komitmen yang kuat untuk mendukung penerapan manajemen risiko dalam berbagai hal yang dibutuhkan, baik melalui pernyataan-pernyataan tertulis organisasi yang memuat secara gamblang dan jelas komitmen mereka, maupun dalam praktik nyata pelaksanaan bisnis dan operasi sehari-hari.

 

Semoga artikel ini dapat bermanfaat!