Penulis: Charles R. Vorst, MM., BCCS, CERG, ERMCP, QCRO, QRGP, CCGO, CGOP
Sekretaris Jenderal IRMAPA.
Kata ‘prinsip’ sering kita jumpai dalam kehidupan sehari-hari. Memiliki makna ‘asas’ atau ‘dasar’ sesuai KBBI, kata ini memberikan pengaruh yang sangat luas dalam kehidupan manusia. Mulai dari sebuah senyuman, hadiah Nobel, perang dunia, hingga pendaratan di bulan, terjadi, atau setidaknya dipicu, karena kata yang satu ini. Kata yang muncul di akhir abad 14 dalam bahasa latin ini juga bahkan dikenal dan digunakan dalam segala bidang keilmuan yang pernah ada dalam sejarah manusia, dan besar kemungkinan akan terus demikian sampai berakhirnya peradaban manusia.
SNI ISO 31000:2018 Manajemen Risiko – Pedoman, yang diadopsi dari ISO 31000:2018, juga mengenal dan menggunakan kata ‘prinsip’ dalam memberikan panduan praktik terbaik penerapan manajemen risiko, bahwa manajemen risiko dijalankan dalam wujud Proses Manajemen Risiko, diatur dalam Kerangka Kerja Manajemen Risiko, dan diterapkan berdasarkan Prinsip Manajemen Risiko. Ketiga komponen mendasar dari manajemen risiko ini yaitu, Prinsip, Kerangka Kerja, dan Proses, juga sudah diperkenalkan sejak pertama kali ISO 31000 dirilis tahun 2009 sebagai sebuah prasyarat untuk membuat manajemen risiko menjadi efektif. Pernyataan ini kemudian diperjelas dalam ISO 31000:2018 di mana Prinsip Manajemen Risiko merupakan sesuatu yang harus dipertimbangkan ketika menyiapkan kerangka kerja, dan menjadi fondasi bagi praktik pengelolaan risiko. Sederhananya, Prinsip Manajemen Risiko SNI ISO 31000 adalah dasar praktik penerapan manajemen risiko. Pemahaman tentang Prinsip Manajemen Risiko SNI ISO 31000 menjadi landasan paradigma kita akan manajemen risiko yang benar dan efektif.
Sehubungan dengan hal di atas, SNI ISO 31000:2018 menyampaikan dua aspek penting terkait Prinsip Manajemen Risiko:
- Tujuan manajemen risiko yaitu untuk menciptakan dan melindungi nilai;
- 8 Prinsip yang membentuk karakteristik manajemen risiko yang efisien dan efektif.
I. Tujuan manajemen risiko: menciptakan dan melindungi nilai.
Penerapan manajemen risiko tidak hanya ditujukan untuk memenuhi ekspektasi dan harapan satu atau beberapa pemangku kepentingan, termasuk di dalamnya tuntutan kepatuhan, melainkan demi sesuatu yang bersifat lebih mendasar bagi sebuah organisasi: NILAI. Bahwa manajemen risiko ditujukan untuk menciptakan dan melindungi nilai, baik nilai bagi organisasi maupun nilai yang hendak disediakan atau diberikan organisasi kepada para pemangku kepentingannya.
Tujuan di atas hendaknya menjadi koridor berpikir kita akan keberhasilan penerapan manajemen risiko, yaitu ketika fungsi manajemen risiko mampu mendukung upaya organisasi dalam penciptaan dan perlindungan nilai. Bahwa hasil-keluaran (outcome) yang pantas terekspektasi oleh manajemen suatu organisasi dari penerapan manajemen risiko adalah target sasaran organisasi dapat tercapai, kinerja organisasi menunjukkan peningkatan, dan inovasi-inovasi boleh tercipta di lingkungan organisasi.
II. 8 Prinsip yang membentuk karakteristik manajemen risiko yang efisien dan efektif.
Pemahaman yang benar mengenai tujuan dari penerapan manajemen risiko di atas kemudian memandu kesadaran kita akan dasar logika dan pentingnya 8 (delapan) prinsip manajemen risiko yang disampaikan dalam klausul 4 SNI ISO 31000:2018 untuk dapat teraplikasikan dalam praktik penerapan manajemen risiko yang kita jalankan. Disampaikan dalam dokumen bahwa selain tujuan manajemen risiko, terdapat prinsip-prinsip yang memandu atau membentuk karakteristik manajemen risiko yang efisien dan efektif, yang terdiri atas: Terintegrasi, Terstruktur dan Komprehensif, Disesuaikan, Inklusif, Dinamis, Informasi Terbaik yang Tersedia, Faktor Manusia dan Budaya, serta Perbaikan Berkelanjutan.
Sebagai contoh, prinsip Terintegrasi yang menyatakan bahwa manajemen risiko merupakan bagian integral dari semua aktivitas organisasi. Hal ini merupakan sebuah persyaratan logis agar manajemen risiko dapat mendukung pencapaian sasaran, atau peningkatan kinerja, atau mendorong inovasi. Mari kita kaji sejenak contoh berikut, mana yang lebih ampuh untuk mencegah terjadinya fraud di lingkungan organisasi? Fungsi pemeriksaan masif yang dijalankan unit kerja audit internal, ataukah fungsi pengawasan efektif yang dilakukan oleh setiap pimpinan unit kerja? Tentunya pertanyaan kajian ini tidak bermaksud “mengecilkan” peran audit sebagai penyedia assurance secara independen, bahwa fungsi audit tetap akan dibutuhkan terlepas dari seberapa efektif kendali manajemen. Adapun pertanyaan kajian ini menunjukkan dasar logika perlunya praktik pengendalian dan pengelolaan risiko yang melekat pada proses bisnis yang dijalankan oleh masing-masing pemilik risiko dalam rangka perlindungan nilai yang dilakukan organisasi.
Contoh lainnya, prinsip Informasi Terbaik yang Tersedia. Prinsip ini menyatakan bahwa manajemen risiko menggunakan informasi historis, dan saat ini, serta harapan masa depan sebagai masukan. Dasar logika yang paling sederhana mengenai prinsip ini adalah bagaimana mungkin manajemen risiko dapat ditujukan untuk menciptakan (dan melindungi) nilai bila kita dalam konteks organisasi tidak mampu mendefinisikan secara jelas apa yang menjadi “nilai” yang ingin kita raih atau ciptakan? Misalnya dalam menawarkan produk ke pasar, tanpa adanya kejelasan value proposition yang hendak kita tawarkan maka besar kemungkinan kita akan “terombang-ambing” dalam ketidakpastian perang tarif dalam persaingan.
Sebagai penutup, sering kita dapati bahwa pernyataan suatu prinsip pada berbagai bidang keilmuan atau sistem manajemen dirumuskan dalam sebuah kalimat singkat, bahkan tidak jarang dalam sebuah kata tunggal yang disertai dengan sebuah penjelasan ringkas, seperti halnya pada Prinsip Manajemen Risiko SNI ISO 31000. Sehubungan dengan hal ini, sangat dianjurkan bagi para praktisi manajemen risiko untuk merumuskan penjelasan Prinsip Manajemen Risiko SNI ISO 31000 secara lebih detil dalam dokumen manual atau pedoman manajemen risiko, khususnya penjelasan mengenai bentuk pengaplikasian masing-masing prinsip.
Keberadaan penjelasan di atas sangat bermanfaat sebagai panduan dalam perancangan kerangka kerja manajemen risiko maupun praktik dari proses manajemen risiko:
- untuk memastikan tidak ada Prinsip Manajemen Risiko SNI ISO 31000 yang tidak teraplikasikan dalam penerapan manajemen risiko,
- untuk memastikan tidak ada rancangan pengaturan tentang bagaimana manajemen risiko akan diberlakukan dalam lingkungan organisasi, maupun bentuk praktik dalam proses manajemen risiko yang akan dijalankan oleh organisasi, yang melanggar atau bertentangan dengan prinsip manajemen risiko yang ada, serta
- untuk membentuk pemahaman yang sama di antara para pihak yang dilibatkan dalam penerapan manajemen risiko (atau praktik pengendalian/pengelolaan risiko) mengenai bagaimana organisasi memaknai, dan akan mengaplikasikan, tiap Prinsip Manajemen Risiko SNI ISO 31000, ketika dokumen manual atau pedoman manajemen risiko tersebut disosialisasikan.
Mengingat prinsip Dinamis dalam Prinsip Manajemen Risiko SNI ISO 31000 maka bentuk pengaplikasian dari masing-masing prinsip dapat berkembang seiring dengan peningkatan maturitas penerapan manajemen risiko, berkembangnya kebutuhan organisasi akan praktik pengendalian/pengelolaan risikonya, maupun pembaruan konten dokumen SNI ISO 31000. Hal ini mengingatkan kita selaku praktisi manajemen risiko untuk melakukan kajian dan evaluasi secara berkala terhadap rumusan pengaplikasian Prinsip Manajemen Risiko SNI ISO 31000 yang kita buat guna memastikan bahwa rumusan tersebut tetap relevan. Dan ketika terdapat revisi yang perlu diterapkan maka perubahan tersebut perlu kembali disosialisasikan kepada para pihak yang dilibatkan dalam manajemen risiko. Dengan demikian kita dapat meyakini bahwa praktik pengelolaan risiko maupun pengaturannya yang diberlakukan di lingkungan organisasi tetap berlangsung berdasarkan prinsip-prinsip manajemen risiko yang ada.