Sering dijumpai dua terminologi di atas digunakan secara bergantian oleh para praktisi manajemen risiko. Seakan-akan mereka memiliki makna yang sama. Sejatinya, dua terminologi tersebut memiliki arti dan dasar konsep yang sangat berbeda. Di bawah ini adalah penjelasan dari masing-masing terminologi tersebut dan kaitan keduanya dari perspektif SNI:ISO 31000:2011 Pedoman dan Petunjuk Manajemen Risiko – sebagai standar nasional bangsa Indonesia.
A. Selera risiko adalah tingkatan umum risiko yang ingin diambil atau diterima.
Menentukan suatu selera risiko, terutama bagi direksi atau pengurus suatu organisasi, adalah hal krusial dalam penerapan suatu Enterprise Risk Management (ERM). Penentuan selera risiko membantu kita menetapkan jumlah risiko yang kita inginkan untuk nyaman hidup di dalamnya. Juga tentang penentuan berapa banyak risiko yang perlu dikelola organisasi secara umum. Sementara dalam dokumen induk SNI ISO 31000 tidak memberikan definisi rinci, baik selera risiko maupun toleransi risiko. Dokumen lain yang terkait dengan hal ini yaitu SNI ISO 73:2011 – Kosa Kata Manajemen Risiko menyatakan bahwa selera risiko adalah ‘jumlah dan tipe risiko dimana suatu organisasi nyaman untuk mengambil atau mempertahankannya’.
Berbagai definisi lain tentang selera risiko juga banyak ditemukan dalam khasanah teori manajemen risiko terintegrasi atau manajemen risiko entitas yang kerap dikenal sebagai ERM. Dari semua definisi yang ditemukan, intisari pemaknaan dari selera risiko kurang lebih sama dengan di atas. Hanya perlu dicatat bahwa ada satu tambahan elemen yang signifikan yaitu elemen tentang ‘pencapaian tujuan organisasi’.
Oleh karena itu, umumnya definisi lengkap selera risiko sering dikutip sebagai berikut “Selera risiko adalah jumlah dan tipe risiko dimana suatu organisasi nyaman untuk mengambil dan/atau mempertahankannya dalam rangka mencapai tujuan organisasi tersebut”.
Sejalan dengan beragam definisi, dapat dikatakan bahwa penentuan selera risiko sebenarnya didasarkan pada beberapa faktor, terutama faktor-faktor di bawah ini:
1. Industri – terutama regulasi yang terkait dengan industri
2. Budaya perusahaan
3. Pesaing dan persaingan
4. Sifat dari tujuan yang akan diraih
5. Kekuatan keuangan dan kapabilitas umum organisasi (pengetahuan, keterampilan, dan lain-lain).
Perlu dicatat bahwa selera risiko dapat berubah dari waktu ke waktu, sejalan dengan dinamika ke lima faktor di atas. Oleh karena itu, akan sangat baik bagi organisasi untuk selalu melakukan asesmen risiko yang dihadapi mereka terhadap kriteria risiko secara periodik dan berkesinambungan, tergantung pada dinamika dari lingkungan dan situasi bisnis, sumber daya yang tersedia, keterampilan, teknologi atau sistem, dan lain sebagainya yang relevan bagi organisasi.
B. Toleransi risiko – diterapkan untuk pengelolaan risiko spesifik
Dua rujukan utama untuk definisi toleransi risiko adalah yang terkait dengan SNI ISO 31000:2011 dan kombinasi dari berbagai rujukan lain di antaranya COSO dan CoCo.
Sementara SNI ISO 31000:2011 sendiri tidak menyediakan definisi baku, dokumen standar ikutan dari SNI ISO 31000:2011 yaitu SNI ISO 73:2011 Kosa Kata Manajemen Risiko memberikan definisi tentang toleransi risiko sebagai berikut “Toleransi risiko adalah kesiapan organisasi atau pemangku kepentingan dari organisasi tersebut untuk menanggung suatu risiko – setelah adanya perlakuan risiko – dalam rangka mencapai tujuan mereka”.
Sebagai tambahan, COSO menyatakan bahwa toleransi risiko mencerminkan variasi dari manfaat yang masih dapat diterima dalam ukuran kinerja spesifik yang dikaitkan dengan tujuan yang hendak dicapati oleh organisasi tersebut. Demikian juga CoCo yang merupakan rujukan utama di Kanada.
C. Hubungan antara toleransi risiko dan selera risiko
Secara praktis dua hal di bawah ini perlu dipahami terlebih dahulu:
- Toleransi risiko adalah tingkatan atau jumlah suatu risiko untuk dapat diterima oleh organisasi per satuan risiko secara spesifik. Sedangkan, selera risiko adalah tingkatan atau jumlah risiko secara total dimana suatu organisasi nyaman untuk menanggungnya (catatan: dalam suatu kondisi profil risiko tertentu dari organisasi mereka secara keseluruhan).
- Toleransi risiko terkait dengan penerimaan dan keluaran manfaat dari pengambilan suatu risiko spesifik dan memiliki sumber daya dan pengendalian yang tepat dalam rangka mentolerir risiko tersebut. Umumnya diekspresikan dalam kriteria kualitatif dan/atau kuantitatif.
Selera risiko terkait dengan strategi jangka panjang organisasi terutama mengenai apa yang hendak mereka capai dan sumber daya apa yang tersedia untuk mencapainya, umumnya diekspresikan dalam kriteria kualitatif.
Sebagaimana disampaikan sebelumnya, SNI ISO 31000:2011 tidak memberikan definisi baku untuk kedua terminologi yaitu ‘selera risiko’ dan ‘toleransi risiko’.
Sebagai standar, SNI ISO 31000:2011 menyarankan penggunaan kata ‘sikap risiko’ (risk attitude), dimana definisi yang diberikan oleh SNI ISO31000:2011 tersebut adalah sebagai berikut yaitu “sikap risiko adalah pendekatan organisasi untuk melakukan asesmen risiko, dan kemudian mengejar, mempertahankan, mengambil atau menjauhi risiko tersebut”.
Dalam dokumen yang sekeluarga dengan SNI:ISO31000:2011 yaitu SNI:ISO31004:2011 (catatan: dokumen ini adalah dokumen pelengkap dari standar yang memberikan rujukan untuk implementasi SNI ISO 31000:2011) memberikan ulasan lebih jauh lagi tentang pentingnya kriteria risiko dalam pengukuran suatu sikap risiko dari suatu organisasi. Pada saat kita menerapkan suatu kerangka kerja risiko, dinyatakan bahwa kriteria risiko yang patut dan tepat harus ditetapkan/didirikan/dibangun. Kriteria risiko harus konsisten dengan tujuan organiasi dan disejajarkan dengan sikap risiko organisasi tersebut. Bila tujuan organisasi berubah, kriteria risiko perlu disesuaikan. Oleh karena itu penting untuk manajemen risiko yang efektif bahwa kriteria risiko dikembangkan untuk merefleksikan sikap risiko dan tujuan organisasi tersebut.
Penulis: Dr. Antonius Alijoyo, SE., MM., MBA., ERMCP., CERG., CCSA., CSFA., CRMA., CGEIT., CFE.