Menghadapi kondisi lingkungan bisnis yang semakin tidak menentu, penuh ketidakpastian, dan kompleksitas, manajemen risiko menjadi salah satu alat yang diharapkan dapat berperan efektif untuk mengatasinya. Penerapan manajemen risiko bukan sekadar pemenuhan kewajiban peraturan yang ditentukan oleh regulator, namun sudah menjadi kebutuhan organisasi untuk mengelola ketidakpastian yang dihadapi.
Dalam praktiknya, terkadang organisasi masih mengalami kesulitan dalam menerapkan manajemen risiko yang efektif. Salah satu kendala yang dihadapi adalah tidak terintegrasinya kegiatan manajemen risiko dengan proses bisnis yang dijalankan. Pelaksanaan manajemen risiko masih dianggap sebagai pekerjaan tambahan yang terpisah dari pekerjaan inti unit kerja. Pemilik proses bisnis terkadang melihat manajemen risiko hanya sebagai pekerjaan administratif berupa pengisian kertas kerja risk register seperti identifikasi risiko, analisis dampak, pencatatan kendali yang ada, dan pelaporan sesuai batas waktu, tanpa menyadari bahwa manajemen risiko sebenarnya lebih dari sekadar proses administratif pencatatan dan pelaporan.
Akibatnya, masih ditemukan kejadian yang tidak diinginkan dalam menjalankan proses bisnis, seperti keluhan (complaint) dari pelanggan, keterlambatan proses, layanan yang kurang baik, kehilangan bisnis, tuntutan hukum, kecelakaan kerja, hingga berita viral negatif.
Lalu, bagaimana cara agar manajemen risiko bisa menjadi alat yang efektif bagi organisasi dalam mengelola ketidakpastian? Mengacu pada SNI ISO 31000 sebagai panduan praktik terbaik pengelolaan risiko, salah satu prinsip penting dalam mendukung efektivitas penerapan manajemen risiko adalah prinsip terintegrasi. Prinsip ini mengingatkan kita untuk melekatkan manajemen risiko agar menjadi bagian integral dalam semua aktivitas organisasi. Yang dimaksud dengan aktivitas organisasi tidak hanya high-level activity yang dilaksanakan oleh pimpinan perusahaan, tetapi juga aktivitas turunan yang dilaksanakan oleh manajemen menengah, lini, hingga staf pelaksana dalam keseharian proses bisnis. Seluruh aktivitas tersebut perlu dikawal dengan manajemen risiko yang sesuai dengan tahapan aktivitas dan sasarannya.
Integrasi Manajemen Risiko di Level Korporasi
Penerapan manajemen risiko yang terintegrasi pada level ini menjadi kunci sukses pertama yang mendorong efektivitas penerapan manajemen risiko di seluruh perusahaan. Perusahaan perlu membuat langkah nyata dalam mengintegrasikan manajemen risiko di level korporasi, dimulai dengan membuat kebijakan tertulis terkait manajemen risiko.
Kebijakan manajemen risiko perusahaan idealnya tidak hanya berupa dokumen formal yang menyatakan bahwa pimpinan perusahaan berkomitmen menjalankan manajemen risiko dan ditandatangani oleh Direksi serta Dewan Komisaris. Namun, kebijakan ini harus menjadi panduan utama yang menunjukkan arah pengelolaan risiko secara menyeluruh. Kebijakan ini perlu dibuat secara komprehensif, menyebutkan sasaran yang ingin dicapai perusahaan, keterkaitan manajemen risiko dalam mencapai sasaran, fokus dan jenis risiko yang perlu dikelola, kejelasan struktur tata kelola, rencana kerja, rencana pelatihan, rencana pengembangan manajemen risiko, hingga ukuran kinerja yang disepakati.
Untuk mendukung kejelasan akuntabilitas para pihak dalam menjalankan manajemen risiko, perlu dibuat struktur tata kelola risiko yang menggambarkan interaksi para pihak. Salah satu konsep yang mendukung integrasi para pihak dalam manajemen risiko adalah three-line model (sebelumnya dikenal sebagai three lines of defense). Konsep ini secara efektif menggambarkan peran ketiga lini sehingga risiko dapat dikelola sejak awal oleh lini pertama, yaitu pemilik risiko yang merupakan pemilik proses bisnis. Lini kedua adalah unit manajemen risiko yang mempersiapkan rancangan dan metode pengelolaan risiko, serta bertindak sebagai koordinator yang membantu lini pertama mengelola risikonya. Lini ketiga adalah internal audit yang berfungsi sebagai assurance independen untuk memastikan pelaksanaan manajemen risiko sesuai aturan yang telah ditentukan.
Integrasi pada level ini juga perlu terlihat dalam aktivitas rutin yang dilaksanakan oleh pimpinan perusahaan, seperti proses perencanaan strategis (strategic planning) dengan mempertimbangkan faktor risiko, penganggaran berbasis risiko (risk-based budgeting), pengambilan keputusan berdasarkan analisis risiko, hingga pembahasan manajemen risiko dalam setiap rapat dan diskusi.
Integrasi Manajemen Risiko di Level Manajemen Menengah dan Lini
Manajemen menengah dan lini memegang peranan penting dalam efektivitas penerapan manajemen risiko. Kehadiran tim manajemen ini dalam interaksi sehari-hari proses bisnis memberikan pengaruh besar kepada para karyawan sebagai pelaksana.
Penerapan manajemen risiko akan menjadi efektif jika aturan pelaksanaannya mendorong unit pelaksana untuk mengelola risiko dalam aktivitas proses bisnisnya. Salah satu cara mengintegrasikan manajemen risiko di tahapan ini adalah dengan memasukkan proses kontrol/kendali risiko ke dalam standard operating procedure (SOP) pada tiap fungsi dan unit kerja. Oleh karena itu dalam pembuatan SOP perlu melibatkan proses identifikasi risiko pada setiap level sasaran unit kerja guna mempersiapkan kontrol yang tepat.
SOP yang telah ada juga perlu mempertimbangkan perubahan lingkungan internal maupun eksternal perusahaan. Sebagai contoh, penggunaan sistem teknologi menggantikan fungsi manual perlu dikawal dengan pembaruan SOP untuk mengantisipasi perubahan eksposur risiko dari proses manual ke proses berbasis teknologi. Dalam hal ini proses identifikasi risiko, analysis dan perlakuan risiko yang bersifat dinamis menjadi penting untuk memastikan semua risiko baru telah diantisipasi dan kendali dalam SOP unit kerja diperbarui.
Integrasi Manajemen Risiko pada Aktivitas Kerja
Pelaksanaan aktivitas kerja bersifat sangat spesifik sesuai bidang pekerjaan dan sasaran kinerja operasional yang hendak dicapai. Hal ini berkaitan langsung dengan jenis risiko yang juga bersifat spesifik dan operasional. Penerapan manajemen risiko perlu melekat pada aktivitas kerja tersebut.
Perusahaan yang telah mendokumentasikan proses kerja sehari-hari dalam dokumen seperti petunjuk teknis (juknis) perlu memastikan bahwa kontrol atas risiko yang telah teridentifikasi sebelumnya tetap efektif dan efisien. Pemantauan hasil kinerja juga dapat dilakukan dengan memastikan berjalannya mekanisme maker-checker sebagai bagian dari four eyes principle.
Key Risk Indicator sebagai Dashboard Early Warning System
Untuk memastikan penerapan manajemen risiko terintegrasi berjalan secara efektif pada setiap tahapan proses bisnis, perlu dikembangkan indikator atau parameter yang memberikan alert/alarm sebagai early warning system. Dengan adanya Key Risk Indicator (KRI), diharapkan langkah antisipatif dapat diambil agar risiko utama yang tidak diinginkan dapat dicegah, dihindari, atau diminimalkan sedini mungkin.
Indikator terhadap risiko utama ini juga perlu dikembangkan untuk setiap level risiko di setiap tahapan dan tingkatan proses bisnis. Perusahaan perlu menyiapkan KRI yang bersifat leading indicator maupun lagging indicator. Keduanya berfungsi untuk membantu organisasi mengamati potensi kejadian risiko utama dengan data historis yang relevan. Perbedaan utama antara kedua jenis KRI ini adalah pada jenis indikator yang digunakan, di mana leading indicator berfokus pada data yang dapat memprediksi potensi kejadian dalam bentuk ukuran aktivitas kegiatan, sementara lagging indicator berfokus pada data atas kejadian yang telah terjadi untuk memprediksi kejadian serupa atau kejadian lain mengarah ke risiko utama. Biasanya, indikator yang bersifat lagging cenderung lebih mudah ditemukan karena sudah terjadi.
Sebagai contoh, perusahaan memiliki risiko utama berupa kehilangan nasabah yang dapat berdampak negatif pada pendapatan perusahaan. Salah satu indikatornya adalah keluhan (complaint) dari nasabah. Keluhan yang terjadi dan dicatat dalam satu periode waktu tertentu dapat menjadi indikator yang bersifat lagging dan penting untuk mengawal tingkat kualitas layanan. Namun, kejadian keluhan nasabah tersebut sudah terjadi dan mungkin saja secara langsung menimbulkan risiko utama. Oleh karena itu, perusahaan juga perlu mempersiapkan indikator yang bersifat leading. Dalam kasus ini, ukuran kinerja terkait layanan dapat digunakan, antara lain jumlah presentase ketepatan waktu layanan yang dituangkan dalam bentuk Service Level Agreement (SLA), atau jumlah banyaknya kunjungan ke tempat nasabah sebagai bentuk engagement hubungan kerjasama.
Dengan berfokus pada indikator risiko utama dan mengintegrasikannya dalam proses bisnis sebagai dashboard yang memberikan early warning system, diharapkan perusahaan dapat secara proaktif mengantisipasi potensi penyimpangan dari ukuran yang diharapkan. Selanjutnya dengan integrasi menyeluruh manajemen risiko pada setiap tahapan aktivitas organisasi, penerapan manajemen risiko diharapkan menjadi lebih menyatu dalam proses bisnis, tidak lagi dianggap sebagai kegiatan terpisah (silo). Pada akhirnya, manajemen risiko dapat membantu organisasi mengelola risiko, baik upside risk maupun downside risk, untuk mencapai sasaran yang telah ditetapkan.
Penulis
Cipto Hartono SE As, M.M
Ketua Bidang Keanggotaan Indonesia Risk Management Professional Association (IRMAPA)
