konsep pedoman penerapan manajemen risiko berbasis governance

advertisement
KONSEP
PEDOMAN
PENERAPAN MANAJEMEN RISIKO
BERBASIS GOVERNANCE
DITERBITKAN OLEH
KOMITE NASIONAL KEBIJAKAN GOVERNANCE
2011
1
DAFTAR ISI
BAB I
PENDAHULUAN
1. Latar Belakang
2. Ruang Lingkup, Maksud, dan Tujuan
3. Peraturan dan Pedoman Terkait
serta Aspek Penerapan Manajemen Risiko
4. Istilah dan Definisi
3
3
13
BAB II
ASPEK STRUKTURAL
1. Pengantar
2. Prinsip,Kerangka Kerja dan Proses Manajemen Risiko
3. Tata Kelola Risiko
4. Sumber Daya Penerapan Manajemen Risiko
20
20
21
30
36
BAB III
ASPEK OPERASIONAL
1. Pengantar
2. Manajemen Perubahan
3. Panduan Manajemen Risiko
4. Implementasi Manajemen Risiko
5. Komunikasi dan Konsultasi
6. Menentukan Konteks
7. Asesmen Risiko
8. Perlakuan Risiko
9. Monitoring dan Review
10. Dokumentasi Manajemen Risiko
38
38
40
42
44
45
46
51
60
62
66
BAB IV
ASPEK PERAWATAN
1. Pengantar
2. Risk Governance
3. Budaya Risiko
4. Pengembangan Manajemen Risiko
71
71
71
73
76
15
16
TIM PENYUSUN PEDOMAN
79
ANGGOTA KNKG
80
2
BAB I
PENDAHULUAN
1.
LATAR BELAKANG
Manajemen risiko adalah salah satu disiplin yang menjadi popular menjelang akhir abad
ke dua puluh. Disiplin ini mengajak kita untuk secara logis, konsisten, dan sistematis
untuk melakukan pendekatan terhadap ketidakpastian di masa depan. Dengan demikian,
kita dapat lebih berhati-hati dan produktif menghindari hal-hal yang tidak perlu dan
mencegah hal-hal yang merugikan atau tidak bermanfaat.
Kegiatan ini dilakukan tidak hanya berdasarkan keyakinan dan keberuntungan, namun
juga dengan mempelajari kemungkinan terjadinya suatu peristiwa serta bagaimana cara
mengatasi dampaknya. Hal tersebut juga didukung dengan kemampuan untuk
mempelajari dan memahami penyebab suatu terjadinya peristiwa (source of risk).
Sesuatu hal yang hanya didasarkan atas keberuntungan membuat pelaksanaan
manajemen risiko menjadi tidak efektif, bahkan dapat mengaburkan kebenaran dari
penyebab terjadinya suatu peristiwa.
Manajemen risiko berkembang seiring dengan perkembangan pembelajaran manusia.
Dalam satu abad terakhir ini, terdapat beberapa peristiwa politik, ekonomi, dan
perkembangan teknologi yang turut membantu perkembangan manajemen risiko, di
antaranya penggunaan bom atom dalam Perang Dunia ke-II, perkembangan teknologi
otomotif, alat transportasi, peluru kendali, komputer, dll. Selain itu, juga terdapat
beberapa peristiwa lainnya, misalnya kasus bocornya reaktor nuklir di Rusia, bencana
industri Bhopal di India, tenggelamnya kapal Titanic, pencemaran Teluk Minamata di
Jepang, tragedi kapal tanker Exxon Valdez, kasus Enron, kasus Nick Leeson dengan Baring
Bank di Singapura, kasus terorisme yang menghancurkan Twin Tower di New York,
hingga krisis finansial yang dialami Indonesia tahun 1997/1998, kasus bank Global, kasus
Bank Century dan kasus-kasus lainnya. Semua peristiwa tersebut memberikan stimulus
terhadap perkembangan manajemen risiko untuk lebih memahami sebab-akibat, berikut
3
prediksi tentang kemungkinan terjadinya suatu peristiwa yang merupakan bagian tak
terpisahkan dari proses evolusi manajemen risiko.
a. Sejarah Singkat Perkembangan Manajemen Risiko
Felix Kloman dalam “Enterprise Risk Management: Today’s Leading Research and
Best Practices for Tomorrow’s Executives” (2010) menuliskan secara ringkas
beberapa tonggak sejarah yang terkait dengan perkembangan manajemen risiko
selama 100 tahun terakhir ini. Adapun uraian kronologis sejarah perkembangan
manajemen risiko adalah sebagai berikut:
1) 1914 : di Amerika Serikat perkumpulan dari para credit & lending officers dengan
nama Robert Martin Association terbentuk di Philadelphia, kemudian berganti
nama menjadi Risk Management Association pada tahun 2000, dan pada tahun
2008 anggotanya telah mencapai 3.000 lembaga keuangan dan 35.000 anggota
perorangan;
2) 1928: Kongres Amerika Serikat menerbitkan Glass-Steagal Act yang melarang
kepemilikan yang sama atas bank umum, investment bank dan perusahaan
asuransi. Undang-Undang ini dicabut pada tahun 1999, karena dianggap
menghambat perkembangan lembaga keuangan. Namun, beberapa peristiwa
bencana di bidang keuangan setelah tahun 2000 mempertanyakan kembali
kebijakan pencabutan Undang-Undang ini;
3) 1945: Kongres Amerika Serikat menerbitkan McCarren-Ferguson Act yang
menyerahkan kewenangan pengaturan industri asuransi kepada negara bagian
dan tidak lagi menjadi kewenangan nasional federal. Hal ini agak menghambat
perkembangan manajemen risiko karena mengurangi kemampuan industri
asuransi dalam menghadapi risiko-risiko dalam perspektif yang lebih luas.;
4) 1966: The Insurance Institute of America mengembangkan satu set ujian yang
terdiri dari tiga bagian yang memberikan gelar “Associate in Risk Management”.
Ini adalah sertifikasi pertama yang diberikan dalam disiplin manajemen risiko.
Walaupun isinya masih sangat didominasi oleh konsep perusahaan asuransi,
4
tetapi pengenal konsep risiko yang lebih luas mulai diperkenalkan, dan ini setiap
tahun selalu dimutakhirkan sesuai dengan tuntutan perubahan.;
5) 1975: The American Society of Insurance Management mengubah namanya
menjadi Risk & Insurance Management Society (RIMS) yang pada tahun 2008
jumlah anggotanya di Amerika Utara telah mencapai 11.000 orang. Di negara lain,
RIMS mempunyai asosiasi dengan The International Federation of Risk and
Insurance Management Association (IFRIMA).;
6) 1980: mulai didirikan Society for Risk Analysis (SRA) di Washington, terutama
oleh mereka yang bergerak dalam kebijakan publik, lingkungan hidup dan para
akademisi terkait. Pada tahun 2008, SRA telah mempunyai anggota sebanyak
2.500 orang dan mempunyai afiliasi di Eropa dan Jepang. Kelompok ini yang mulai
memperkenalkan manajemen risiko pada produk-produk legislasi.;
7) 1986: The Institute for Risk Management didirikan di London, beberapa tahun
kemudian mulai memperkenalkan ujian yang dapat diikuti secara international
untuk mendapatkan sertifikasi sebagai “Fellow of the Institute of Risk
Management”, yang merupakan program pelatihan berkelanjutan terkait dengan
manajemen risiko dalam berbagai macam aspeknya. Pada saat yang bersamaan
Kongres Amerika Serikat juga meloloskan revisi dari The Risk Retention Act yang
disahkan pada tahun 1982.;
8) 1990: Perserikatan Bangsa-Bangsa (PBB) memulai program the International
Decade for Natural Disaster Recovery (IDNDR), suatu program kajian 10 tahun
untuk mempelajari alam dan dampak bencana alam, khususnya pada negaranegara yang terbelakang serta membangun suatu upaya mitigasi pada tingkat
dunia. Program ini berakhir pada tahun 1999 dan dilanjutkan dengan nama baru
the International Strategy for Disaster Reduction (ISDR). Hasil dari kajian tersebut
dapat dilihat dalam buku Natural Disaster Management yang diterbitkan oleh
PBB.;
9) 1992: The Cadbury Committee di Inggris menerbitkan laporan yang menyarankan
agar Dewan Direksi (Governing Boards) bertanggung jawab atas kebijakan
5
manajemen risiko perusahaan dan memastikan bahwa seluruh anggota
perusahaan memahami semua aspek risiko yang dihadapi perusahaan. Selain itu
merekomendasikan bahwa Dewan Direksi juga bertanggung jawab atas
pengawasan proses pelaksanaan manajemen risiko tersebut. Hempel & Turnbull
Committee yang melanjutkan tugas Cadbury Committee, memperluas dan
memperbarui mandate untuk penerapan manajemen risiko bagi seluruh
perusahaan. Kondisi semacam ini juga diikuti oleh beberapa negara antara lain
Kanada, Amerika Serikat, Inggris, Afrika Selatan, Jerman dan Perancis. Pada tahun
yang sama the Bank for International Settlement (BIS) yang berkedudukan di
Swiss, menerbitkan ketentuan yang disebut sebagai Basel I bagi dunia perbankan
international yang terkait dengan kecukupan modal, ketentuan tentang risiko
kredit dan risiko pasar.;
10) 1993: Jabatan “Chief Risk Officer (CRO)” pertama kali digunakan oleh James Lam,
dari GE Capital, untuk menggambarkan suatu jabatan yang bertanggung jawab
atas pengelolaan semau aspek risiko perusahaan, termasuk manajemen risiko
secara umum, risiko operasi, risiko usaha, risiko keuangan, dll. Saat ini sudah lebih
dari 150 CRO yang bertanggung jawab atas penanganan berbagai macam risiko
yang dihadapi perusahaan.;
11) 1995: Suatu kelompok kerja multi disiplin yang dibentuk oleh Standard Australia
dan Standard New Zealand menerbitkan standar manajemen risiko yang pertama
di dunia yaitu AS/NZS 4360:1995 Risk Management Standard (Standar ini
kemudian direvisi setiap 5 tahun, dan telah mengalami revisi pada tahun 1999
dan tahun 2004). Penerbitan standar ini segera diikuti oleh beberapa negara
antara lain Canada, Jepang dan Inggris. Sementara itu beberapa pengamat
mengatakan bahwa tindakan ini premature karena manajemen risiko masih
dalam proses evolusi, akan tetapi mayoritas pengamat menghargai upaya ini
karena standar ini merupakan langkah awal untuk dapat membuat suatu
kerangka referensi global atas manajemen risiko, terlebih aspek multi disiplin dari
manajemen risiko memperoleh tempat yang layak.;
6
12) 1996: The Global Association of Risk Professionals (GARP) didirikan di New York
dan London. Pada tahun 2008 jumlah anggotanya sudah mencapai lebih dari
74.000 orang. GARP juga memberikan berbagai macam program sertifikasi untuk
manajemen risiko.;
13) 2000: kekhawatiran atas kemungkinan terjadinya bencana akibat “virus” Y2K
tidak terjadi. Secara umum ini dapat dikatakan karena keberhasilan pengerahan
upaya dan dana yang sangat masif untuk melakukan perbaikan program guna
mengatasi kemungkinan terjadinya bencana tersebut. Kejadian ini sering disebut
sebagai salah satu keberhasilan manajemen risiko dalam mengantisipasi
bencana.;
14) 2001: The Professional Risk Manager’s International Association (PRMIA) didirikan
di Amerika Serikat dan Inggris. Pada tahun 2008, jumlah keanggotaannya
mencapai sekitar 2.500 anggota penuh (paid members) dan 48.000 anggota
afiliasi (associate members). Pada tahun yang sama juga terjadi tragei 11
September 2001, yaitu serangan teroris pada Tein Tower di New York. Selain itu
kebangkrutan Enron karena bad governance juga terjadi pada tahun ini.
15) 2002: Kongres Amerika Serikat meloloskan Sarbanes-Oxley Act (SOA) untuk
merespons kebangkrutan Enron dan skandal di bidang keuangan lainnya.
Ketentuan SOA diberlakukan untuk semua perusahaan publik yang tercatat di
bursa efek Amerika Serikat. Sementara pengamat memandang bahwa ini adalah
awal dari penggabungan unsur kepatuhan dengan manajemen risiko. Ada pula
yang berpendapat bahwa penggabungan ini adalah suatu kemunduran karena
memandang risiko hanya pada sisi negatifnya saja, sedangkan yang lain
berpendapat bahwa ini adalah langkah nyata penerapan manajemen risiko pada
tingkat Dewan Direksi.;
16) 2004: The Basel Committee on Banking Supervision dari BIS menerbitkan the
Basel II Accord, yang memperluas cakupan pedoman yang telah dikeluarkan
sebelumnya (Basel I) yang meliputi ratio kecukupan modal, risiko kredit, risiko
pasar dengan tambahan risiko operasional perbankan. Beberapa pengamat
7
berkomentar bahwa penerapan pedoman ini secara global akan mengurangi
kebebasan masing-masing individu lembaga keuangan. Kesepakatan global
sejenis Basel II ini diperkirakan juga menjadi alasan untuk menerbitkan
kesepakatan serupa untuk industri non-finansial.
17) 2005: The International Organization for Standarization (ISO) membentuk
International Working Group (Technical Committee) untuk mempersiapkan suatu
panduan global terkait dengan definisi manajemen risiko, panduan penerapan,
dan praktik-praktik manajemen risiko, dan ditargetkan selesai pada tahun 2009.;
18) 2009: ISO menerbitkan ISO 31000:2009 Risk Management – Principles and
Guidelines. Penerbitan standar internasional ini segera diikuti dengan diadopsinya
oleh beberapa negara antara lain Australia, New Zealand, dan Jepang pada tahun
2010. Mereka mengadopsi ISO 31000 ke dalam standar manajemen risiko
negaranya.
Felix Kloman tidak memasukkan Committee of Sponsoring Organization of
the
Treadway Commission (COSO) Enterprise Risk Management (ERM) – Integrated
Framework (2004) dalam tonggak sejarah perkembangan manajemen risiko tanpa
menjelaskan alasannya. Namun, dari beberapa tulisan pengamat lainnya dapat
disimpulkan bahwa kemungkinan tidak dimasukkannya COSO Enterprise Risk
Management – Integrated Framework, karena beberapa hal sebagai berikut:
1) COSO merupakan suatu unit organisasi privat yang disponsori oleh lima asosiasi
profesi bidang keuangan di Amerika Serikat (American Accounting Association,
American Institute fo Certified Public Accountants, Financial Executive
International, Institute of Management Accountants dan Institute of Internal
Auditors). Dengan demikian COSO lebih merupakan “Opinion Leader” dan bukan
suatu asosiasi profesi. Hasil karyanya juga tidak disepakati (endorsed) menjadi
panduan yang mengikat oleh asosiasi yang mensponsorinya. Oleh karena itu
istilah yang digunakan adalah “Framework” dan bukan “Guideline” ataupun
“Standard”.;
8
2) Dalam posisi demikian, walaupun publikasi COSO diakui sebagai “valuable tools
and offers detailed guidance on how company may implement enterprise risk
management"(Beasley & Frigo, 2010), tetapi sifatnya tidaklah berbeda dengan
karya-karya ilmiah lain di bidang manajemen risiko. Selain itu COSO ERM
Framework memberikan peluang untuk diinterpretasikan secara luas dan bebas
sesuai dengan kepentingan pengguna. Hal ini tentu berbeda dengan standar, yang
memuat kriteria dan norma aturan yang pasti dan harus diikuti, walaupun
memberikan kebebasan interpretasi, tetapi tetap dalam koridor yang telah
ditetapkan oleh standar tersebut.
3) Sponsor dari COSO adalah asosiasi organisasi profesi akuntan/auditor/keuangan,
sehingga dapat menimbulkan interpretasi terhadap kemungkinan adanya
benturan kepentingan apakah kerangka kerja yang dipublikasikan ini memang
untuk memenuhi kebutuhan publik atau untuk memenuhi kebutuhan para
praktisi dari asosiasi profesi tersebut? (S.J. Root, 1998).
4) Proses penerbitan pada COSO tidaklah serumit dengan proses penerbitan standar
yang harus melalui beberapa proses dengar pendapat dengan para pihak terkait
(public hearing/roundtable discussion) sebelum akhirnya disahkan menjadi
standar (S.J. Root, 1998).
5) COSO bukan suatu otoritas yang mempunyai kewenangan untuk menetapkan
produknya menjadi suatu standar. Dengan demikian COSO Enterprise Risk
Management Integrated Framework (2004) bukanlah suatu standar untuk
manajemen risiko.
b. Keterkaitan Manajemen Risiko dengan Strategi dan Proses Organisasi
Setiap organisasi mempunyai visi dan misi. Visi adalah sasaran dan kondisi tertentu
yang ingin dicapai oleh organisasi dalam waktu yang ditentukan. Misi merupakan
alasan mengapa organisasi didirikan dan pada misi tersebut dapat diidentifikasi
proses utama organisasi dalam memenuhi kebutuhan pelanggan utamanya. Strategi
9
adalah cara untuk mencapai visi organisasi yang lebih baik dari pesaing-pesaing
organisasi tersebut.
Proses utama organisasi adalah proses yang menghasilkan apa yang dibutuhkan
pelanggan organisasi tersebut. Dalam organisasi bisnis, proses utama ini disebut
dengan “cash generating process”. Untuk dapat bersaing dalam memenuhi
kebutuhan pelanggan, maka setiap organisasi harus mengupayakan proses utama
mereka lebih efektif dan efisien, serta menghasilkan produk dan jasa yang juga lebih
baik dari pesaing-pesaingnya. Disinilah perumusan strategi dalam mencapai visi
organisasi berperan.
Dalam perumusan visi dan strategi terdapat konteks eksternal dan internal
organisasi, sedangkan dalam proses utama organisasi hanya terdapat konteks
internal organisasi. Konteks internal adalah lingkungan internal organisasi dimana
organisasi tersebut berusaha untuk mencapai sasarannya. Konteks internal ini terdiri
dari kapabilitas, struktur, proses, budaya, personalia, dan sumber daya organisasi.
Konteks internal ini relatif lebih dapat dikendalikan dibandingkan dengan konteks
eksternal yang lebih banyak dipengaruhi faktor di luar organisasi.
Konteks eksternal organisasi adalah lingkungan eksternal organisasi dimana
organisasi tersebut berupaya untuk mencapai sasaran organisasi, yaitu visinya.
Konteks ini meliputi kondisi makro, antara lain kondisi ekonomi, sosial, politik,
budaya, geografis, dan jenis industri organisasi tersebut. Selain itu, juga terkait
dengan para pemangku kepentingan (stakeholders) dari organisasi tersebut,
pelanggan, pemasok, kreditur, karyawan, regulator, pengamat industri, media massa,
dll. Dalam konteks eksternal ini faktor luar organisasi lebih dominan.
Risiko adalah sesuatu yang dapat mempengaruhi sasaran organisasi. Salah satu
atribut risiko adalah ketidakpastian, baik dari sesuatu yang sudah diketahui maupun
dari sesuatu yang belum diketahui. Dengan demikian strategi yang baik haruslah juga
memperhatikan risiko-risiko yang mungkin terjadi dalam konteks internal maupun
eksternal organisasi, dan melakukan antisipasi perlakukan risiko bila memang risiko
tersebut menjadi kenyataan. Untuk risiko-risiko eksternal perlu diperhatikan harapan
10
dari tiap pemangku kepentingan yang bila tidak dipenuhi akan menimbulkan konflik
dan mempengaruhi pencapaian sasaran organisasi. Begitu pula risiko yang mungkin
terjadi akibat perubahan situasi politik, ekonomi, sosial atau lainnya. Semua hal
tersebut harus diperhatikan dalam perumusan strategi.
Proses utama organisasi merupakan kunci realisasi strategi dalam mencapai sasaran
perusahaan. Kegagalan proses utama perusahaan dan proses pendukung lainnya
akan mempengaruhi pencapaian sasaran organisasi. Semua kemungkinan yang dapat
mengganggu
proses
organisasi
haruslah
diidentifikasi
dan
diantisipasi
pencegahannya. Teknik yang paling sering digunakan dalam proses identifikasi risiko
adalah diagram tulang ikan (Ishikawa diagram) yang mengidentifikasi penyebab
kegagalan dengan metoda sebab-akibat. Teknik lainnya adalah FailureMode and
Effect Analysis, yang juga mengidentifikasi kegagalan apa saja yang mungkin terjadi
pada setiap tahapan proses, serta mencoba mencari kemungkinan deteksi dini dari
penyebab kegagalan tersebut sebelum terjadi.
c. Mengapa perlu Pedoman Manajemen Risiko berbasis Governance?
Berdasarkan Surat Keputusan Menteri BUMN (2002), OECD (2004), serta Pedoman
Umum GCG yang dikeluarkan oleh KNKG (2006), corporate governance mengandung
pengertian tentang pencapaian keberhasilan usaha dan cara untuk memantau kinerja
pencapaian sasaran keberhasilan usaha tersebut. Adapun prinsip dari corporate
governance yang berpengaruh dalam pelaksanaan manajemen risiko adalah
transparansi, akuntabilitas, tanggung jawab (responsibilitas) dan independensi.
Dengan mengacu pada pengertian dan prinsip-prinsip corporate governance di atas
maka jelaslah mengapa manajemen risiko yang berbasis governance menjadi sangat
diperlukan.
Pertama, manajemen risiko adalah bagian yang tidak terpisahkan dari pelaksanaan
corporate governance karena peran manajemen risiko dalam memberikan jaminan
yang wajar atas pencapaian sasaran keberhasilan usaha tidak tergantikan.
11
Kedua, pelaksanaan manajemen risiko yang baik memerlukan prinsip-prinsip
governance sebagai berikut:
1) Transparansi: pengelolaan risiko haruslah transparan, karena dampak risiko tidak
hanya pada satu unit atau bagian saja, tetapi juga pada bagian lain. Dengan kata
lain pengelolaan risiko haruslah bersifat inklusif dan transparan artinya
melibatkan semua pihak yang terkait dengan risiko tersebut, baik dalam
penanganan sumber risiko, maupun perlakuan terhadap dampak risiko;
2) Akuntabilitas:
harus terdapat akuntabilitas yang jelas dalam penerapan
manajemen risiko dalam organisasi. Untuk seluruh perusahaan, akuntabilitas
tertinggi dalam penerapan manajemen risiko terletak pada Direksi dan
akuntabilitas pengawasan penerapan manajemen risiko terletak pada Dewan
Komisaris. Selain itu, akuntabilitas pengelolaan risiko tersebut juga harus jelas di
setiap tingkatannya, bahkan hingga ke tiap proses bisnis;
3) Responsibilitas:
penjabaran
akuntabilitas
penerapan
manajemen
risiko
memerlukan uraian tanggung jawab yang lebih jelas dalam pengelolaan risiko
pada masing-masing tingkatan, bahkan hingga ke pengelolaan risiko dalam
proses organisasi. Oleh karena itu setiap pemangku risiko (risk owner) harus
dapat memamahi tugas dan tanggung jawabnya terkait dengan pengelolaan risiko
dalam lingkup tugas dan kewenangannya;
4) Independensi: ini adalah konsekuensi logis dari prinsip akuntabilitas dan
responsibilitas, dimana unit atau individu yang dibebani dengan akuntabilitas dan
responsibilitas untuk mengelola risiko yang masuk dalam lingkup tugas dan
kewenangannya, haruslah diberi kebebasan dalam merumuskan cara menangani
risiko tersebut.
Ketiga, risiko adalah bagian yang tak terpisahkan dari proses organisasi. Oleh karena
itu manajemen risiko tidak dapat dipisahkan dari kegiatan utama ataupun proses lain
dalam organisasi. Manajemen risiko juga menjadi bagian yang tak terpisahkan dari
tanggung jawab manajemen dalam memastikan tercapainya sasaran organisasi.
12
Berdasarkan hal tersebut, maka manajemen risiko haruslah diintegrasikan
sepenuhnya ke dalam governance organisasi agar dapat memberikan kepastian
terhadap pencapaian sasaran organisasi. Dengan manajemen yang effektif, maka
akan lebih memberikan jaminan terhadap pencapaian sasaran organisasi.
2.
Ruang Lingkup, Maksud dan Tujuan
a. Ruang lingkup
Pedoman ini akan menguraikan aspek-aspek dan elemen-elemen yang diperlukan
untuk membangun dan menerapkan manajemen risiko pada suatu organisasi. Aspek
dan elemen yang diuraikan pada dasarnya bersifat generik dan dapat digunakan baik
pada organisasi nirlaba, organisasi publik ataupun perusahaan yang berorientasi laba.
Selain itu, pedoman ini juga dapat digunakan pada proyek, proses organisasi atau
keperluan khusus lainnya yang disesuaikan menurut tujuan spesifiknya.
Penerapan manajemen risiko tidak dapat dipisahkan dengan governance dari suatu
organisasi, dan governance suatu organisasi tidak terlepas dari peraturan perundangundangan yang berlaku. Untuk organisasi publik, nirlaba baik yang termasuk di
dalamnya yayasan, organisasi kemasyarakatan, dll, peraturan perundang-undangan
yang berlaku berbeda untuk masing-masing organisasi tersebut. Oleh karena itu demi
kemudahan penulisan, pedoman ini akan menggunakan latar belakang UndangUndang No. 40 tahun 2007 tentang Perseroan Terbatas. Alasannya sederhana,
karena Perseroan Terbatas merupakan peraturan perundangan yang menjadi dasar
organisasi yang bergerak dalam bidang perekonomian dan paling banyak melibatkan
kegiatan ekonomi masyarakat.
Dengan demikian bagi pengguna yang bukan bergerak dalam organisasi Perseroan
Terbatas, haruslah menginterpretasikan ulang posisi-posisi Direksi dan Dewan
Komisaris dengan posisi yang mempunyai tugas dan kewenangan serupa dalam
organisasinya.
b. Maksud dan Tujuan
Penerapan manajemen risiko yang baik antara lain dapat:
13
1) Mengurangi kejutan yang kurang menyenangkan. Ini dapat diperoleh karena melalui
penerapan manajemen risiko yang baik semua hal yang berakibat pada pencapaian
sasaran perusahaan telah diidentifikasikan sebelumnya berikut langkah perlakuan
terhadap hal tersebut telah diantisipasi. Hal ini berlaku untuk peristiwa yang positif
maupun negatif;
2) Meningkatkan hubungan dengan para pemangku kepentingan. Hal ini diperoleh
karena dalam menerapkan manajemen risiko wajib untuk menemukenali para
pemangku kepentingan dan harapannya. Melalui komunikasi timbal balik yang
cukup intens maka dapat digalang kesamaan persepsi dan kepentingan bersama,
dengan demikian dapat diperoleh hubungan yang lebih baik;
3) Meningkatkan reputasi perusahaan. Dengan adanya komunikasi yang baik dengan
para pemangku kepentingan, mereka dapat mengetahui bahwa perusahaan mampu
untuk menangani risiko-risiko yang dihadapi dengan baik. Akibatnya kepercayaan
pelanggan, pemasok, kreditor, komunitas bisnis serta masyarakat juga meningkat;
4) Meningkatkan efektifitas dan efisiensi manajemen. Semua risiko yang dapat
menghambat proses organisasi telah diidentifikasikan dengan baik. Kemudian
gangguan kelancaran proses organisasi tersebut juga telah diantisipasi sebelumnya.
Karenanya, bila gangguan tersebut memang terjadi, maka organisasi telah siap
untuk menanganinya dengan baik;
5) Lebih memberikan jaminan yang wajar atas pencapaian sasaran perusahaan karena
terselenggaranya manajemen yang lebih efektif dan efisien, hubungan dengan
pemangku kepentingan yang semakin membaik, kemampuan menangani risiko
perusahaan yang juga meningkat, termasuk risiko kepatuhan dan hukum.
Berdasarkan hal-hal di atas, pedoman ini dapat dikatakan sebagai panduan bagi
pimpinan perusahaan untuk membangun dan menerapkan manajemen risiko sesuai
dengan peraturan yang berlaku. Dikarenakan kriteria setiap perusahaan berbeda satu
sama lainnya, maka pimpinan perusahaan harus dapat menyesuaikan pedoman ini
dengan kebutuhan perusahaannya masing-masing.
Secara garis besar, tujuan dari penyusunan pedoman ini adalah sebagai berikut:
14
1) Sebagai
panduan
untuk
mengembangkan,
membangun
dan
menerapkan
manajemen risiko yang baik;
2) Sebagai sarana untuk melakukan peninjauan ulang terhadap proses penerapan
manajemen risiko yang telah dilakukan sebelumnya;
3) Sebagai sarana untuk memastikan kejelasan governance structure manajemen risiko
dan juga sebaliknya bahwa manajemen risiko sudah terintegrasi sepenuhnya dengan
governance perusahaan.
3.
Peraturan dan Pedoman Terkait serta Aspek Penerapan Manajemen Risiko
a. Peraturan dan Pedoman Terkait
Peraturan perundang-undangan yang terkait dengan penerapan manajemen risiko
antara lain:
1) Undang-Undang No. 8 tahun 1995 tentang Pasar Modal;
2) Undang-Undang No.19 tahun 1995 tentang badan Usaha Milik Negara;
3) Undang-Undang No.40 tahun 2007 tentang Perseroan Terbatas;
4) Peraturan Pemerintah No. 60 tahun 2008 tentang Pengendaliann intern
Pemerintah;
5) Peraturan Bank Indonesia No. 11/25/PBI/2009 tentang Penerapan Manajemen
Risiko bagi Bank Umum; dan
6) Surat Keputusan Menteri BUMN Nomor KEP-117/M-MBU/2002 tentang Praktik
Penerapan Good Corporate Governance pada Badan Usaha Milik Negara.
Pedoman Komite Nasional Kebijakan Governance yang juga terkait dengan penerapan
manajemen risiko adalah sebagai berikut:
1) Pedoman Umum Good Corporate Governance Indonesia (2006);
2) Pedoman Umum Good Public Governance Indonesia (2008);
3) Pedoman Sistem Pelaporan Pelanggaran – SPP/WBS (2008); dan
4) Pedoman Etika Bisnis Perusahaan (2010)
15
Selain peraturan perundang-undangan dan pedoman di atas, masih terdapat pedoman
internal perusahaan yang terkait dengan peraturan di bidang industri, keuangan,
ketenagakerjaan, dll yang juga perlu diperhatikan dalam penerapan manajemen risiko
perusahaan.
b. Aspek Penerapan Manajemen Risiko
Proses penerapan manajemen risiko yang disarankan dalam Pedoman ini terdiri dari
tiga aspek yaitu:
1) Aspek struktural yaitu aspek yang memastikan arah penerapan, struktur
organisasi penerapan dan akuntabilitas pelaksanaan manajemen risiko dalam
organisasi, penyediaan sumber daya, dsb.;
2) Aspek operasional, yakni aspek yang menunjukkan tahapan proses implementasi
yang sistematis dan terarah, mulai dari pernyataan komitmen Direksi dan Dewan
Komisaris, penyusunan Pedoman Manajemen Risiko Perusahaan, briefing untuk
Komisaris dan Direktur, pelatihan para pemangku risiko, hingga penerapannya.
3) Aspek perawatan, yakni aspek yang memastikan adanya upaya menjaga
efektifitas penerapan dan perbaikan yang berkesinambungan melalui, monitoring
dan review serta audit manajemen risiko.
4.
Istilah dan Definisi
Istilah dan definisi manajemen risiko yang digunakan dalam Pedoman ini mengacu pada
ISO GUIDE 73:2009
Risk management – Vocabulary. Hal ini dimaksudkan untuk
menghindari kerancuan dari berbagai macam istilah dan definisi yang digunakan dalam
berbagai macam standar.
Berikut beberapa istilah dan definisi manajemen risiko yang diadopsi, yakni:
a. Risiko adalah dampak ketidakpastian pada sasaran.( ISO GUIDE 73:2009 definisi 1.1);
b. Manajemen risiko adalah upaya organisasi yang terkoordinasi untuk mengarahkan
dan mengendalikan risiko (ISO GUIDE 73:2009 definisi 2.1);
c. Kerangka kerja manajemen risiko adalah sekumpulan perangkat organisasi yang
menyediakan landasan bagi perencanaan, penerapan, monitor dan review serta
16
perbaikan sinambung manajemen risiko bagi seluruh organisasi (ISO GUIDE 73:2009
definisi 2.1.1);
d. Kebijakan manajemen risiko adalah pernyataan Direksi dan Dewan Komisaris terkait
dengan arah dan tujuan penerapan manajemen risiko (ISO GUIDE 73:2009 definisi
2.1.2);
e. Rencana manajemen risiko adalah pola atau skema dalam kerangka manajemen
risiko yang menunjukkan pendekatan yang akan diterapkan dalam mengelola risiko
antara lain, pendekatan yang digunakan, komponen-komponen manajemen
termasuk teknik manajemen risiko yang digunakan, sumber daya yang akan dipakai
dalam mengelola risiko (ISO GUIDE 73:2009 definisi 2.1.3);
f. Pemangku Risiko(risk owner): adalah orang atau suatu entitas yang mempunyai
akuntabilitas dan kewenangan untuk mengelola suatu risiko (ISO GUIDE 73:2009
definisi 3.5.1.5);
g. Proses manajemen risiko: adalah penerapan secara sistematik kebijakan
manajemen, prosedur dan praktik manajemen dalam pelaksanaan tugas untuk
melakukan komunikasi dan konsultasi; menetapkan konteks; melakukan identifikasi;
menganalisa; mengevaluasi; memperlakukan, memantau dan mengkaji risiko (ISO
GUIDE 73:2009 definisi 3.1.);
h. Menetapkan konteks: adalah proses untuk menentukan batasan dan parameter
eksternal dan internal yang harus dipertimbangkan dalam mengelola risiko dan
menentukan lingkup serta kriteria risiko dalam kebijakan manajemen risiko (ISO
GUIDE 73:2009 definisi 2.4);
i.
Komunikasi dan konsultasi: adalah proses yang berulang dan berkelanjutan antara
organisasi dan para pemangku kepentingannya (stakeholders) dalam saling
memberikan, berbagi informasi serta melakukan dialog terkait dengan pengelolaan
risiko (ISO GUIDE 73:2009 definisi 3.2.1);
j.
Pemangku kepentingan: adalah setiap orang atau organisasi yang dapat
mempengaruhi atau dipengaruhi, atau menganggap dirinya dapat dipengaruhi oleh
suatu keputusan atau kegiatan (ISO GUIDE 73:2009 definisi 3.2.1.1);
17
k. Asesmen risiko: adalah keseluruhan proses yang meliputi identifikasi risiko, analisa
risiko dan evaluasi risiko (ISO GUIDE 73:2009 definisi 3.4.1);
l.
Sumber risiko : adalah segala sesuatu yang baik sendiri ataupun bersama-sama
mempunyai potensi yang melekat (intrinsic) untuk menimbulkan terjadinya risiko
(ISO GUIDE 73:2009 definisi 3.5.1.2);
m. Peristiwa (event): adalah suatu kejadian atau perubahan yang terjadi pada suatu
kondisi atau lingkungan tertentu (ISO GUIDE 73:2009 definisi 3.5.1.3);
n. Dampak (consequence): adalah akibat dari suatu peristiwa yang mempengaruhi
sasaran (ISO GUIDE 73:2009 definisi 3.6.1.3);
o. Kemungkinan (likelihood): adalah kesempatan/kemungkinan sesuatu terjadi.
Catatan : Perlu dibedakan antara likelihood dengan probability. Terminologi
probabilitas adalah istilah matematik, terutama statistic, sehingga dalam
menggunakannya perlu diperhatikan kaidah-kaidah matematik terkait.
Istilah likelihood atau kemungkinan adalah istilah yang lebih umum dan
tidak terkait dengan kaidah matematik, sehingga dalam menentukan
ukurannya dapat lebih bebas, baik subyektif, kualitatif ataupun kuantitatif,
frekuensi atau juga dengan probabilitas (selama kaidah matematiknya
dipenuhi. (ISO GUIDE 73:2009 definisi 3.6.1.1);
p. Profil risiko: adalah gambaran atau uraian dari suatu kelompok risiko.
Catatan : kelompok risiko ini dapat berisikan risiko-risiko yang terkait dengan
seluruh organisasi, hanya sebagian dari organisasi, atau dari suatu
proyek/proses)(ISO GUIDE 73:2009 definisi 3.8.2.5);
q. Kriteria risiko: adalah kerangka acuan untuk mengukur besaran risiko yang akan
dievaluasi (ISO GUIDE 73:2009 definisi 3.3.1.3);
r. Perlakuan
risiko:
adalah
proses
untuk
merubah
risiko.
(Catatan: pada dasarnya upaya perlakuan risiko dilakukan melalui menguruangi
kemungkinan terjadinya risiko atau/dan mengurangi dampak risiko, bila risiko
tersebut terjadi) (ISO GUIDE 73:2009 definisi 2.1);
18
s. Pengendalian: adalah upaya-upaya untuk merubah risiko (ISO GUIDE 73:2009 definisi
3.8.1.1);
t. Risiko tersisa: adalah risiko yang masih tersisa setelah dilakukan perlakuan risiko (ISO
GUIDE 73:2009 definisi 3.8.1.6);
u. Pemantauan (monitoring): adalah suatu proses yang dilakukan secara terus menerus
untuk memeriksa, mengawasi, melakukan pengamatan secara kritis untuk dapat
mengidentifikasi terjadinya perubahan dari tingkat kinerja atau sasaran yang ingin
dicapai dari pelaksanaan pengelolaan risiko (ISO GUIDE 73:2009 definisi 3.8.2.1);
v. Pengkajian (review): adalah suatu kegiatan yang dilakukan untuk menentukan suatu
kesesuaian, kecukupan, dan efektifitas suatu obyek, proses atau cara yang digunakan
dalam mencapai sasaran (Catatan: review dapat dilakukan terhadap kerangka kerja
manajemen risiko, proses manajemen risiko, perlakuan risiko ataupun pengendalian
risiko) (ISO GUIDE 73:2009 definisi 3.8.2.2);
w. Selera risiko (risk appetite) adalah jumlah dan jenis risiko yang siap ditangani atau
diterima oleh organisasi. (ISO GUIDE 73:2009 definisi 3.7.1.2);
x. Toleransi risiko (risk tolerance) adalah kesiapan organisasi atau pemangku
kepentingan( (3.2.1.1) untuk menanggung risiko (1.1) setelah perlakuan risiko (3.8.1)
dalam upaya mencapai sasaran. (ISO GUIDE 73:2009 definisi 3.7.1.3). Catatan:
Toleransi risiko dapat dipengaruhi oleh persyaratan hukum dan peraturan
perundangan.
y. Struktur tata kelola risiko (Risk governance structure) struktur organisasi dalam
pengelolaan manajemen risiko perusahaan,
z. Risk Champion adalah karyawan pada masing-masing bagian yang ditunjuk menjadi
fasilitator dalam penerapan manajemen risiko pada bagian tersebut.
19
BAB II
ASPEK STRUKTURAL
1.
Pengantar
Sebagaimana telah diuraikan pada Bab I, Aspek Struktural merupakan aspek yang
memastikan struktur organisasi penerapan, arah penerapan, dan akuntabilitas pelaksanaan
manajemen risiko dalam organisasi, serta penyediaan sumber daya. Ini berarti bahwa aspek
ini akan menjadi fondasi bagi penerapan manajemen risiko pada suatu organisasi. Hal-hal
yang dibahas dalam aspek ini adalah
bagaimana tata kelola risiko (risk governance)
termasuk di dalamnya kejelasan akuntabilitas para pemangku risiko (risk owner).
Selanjutnya dibahas mengenai pedoman penerapan manajemen risiko yang berupa
prinsip-prinsip yang harus diacu untuk memastikan dan sekaligus memfasilitasi terjadinya
budaya sadar risiko, sehingga meningkatkan daya tahan dan keliatan (resilience) organisasi
dalam menghadapi tantangan perubahan yang mengandung risiko.
Pelaksanaan tata kelola manajemen risiko tidak dapat dilakukan secara terpisah dengan
struktur organisasi entitas. Padahal struktur organisasi suatu entitas sangat tergantung pada
system hukum yang dianut dalam negara dimana entitas tersebut berada dan juga terhadap
jenis kegiatan organisasi tersebut. Suatu organisasi swasta tentu akan berbeda dengan
suatu organisasi publik, karena acuan hukum dipakai berbeda. Organisasi yang mengejar
laba tentu berbeda juga dengan organisasi nirlaba, karena peraturan perundangan yang
digunakan sebagai acuan juga berbeda. Pedoman ini, walaupun diupayakan untuk bersifat
generik, akan tetapi tidak mungkin mencakup segala macam jenis organisasi. Untuk
kepentingan praktis mengenai struktur organisasi entitas, pedoman ini akan mengacu pada
Undang-Undang No.40 tahun 2007 tentang Perseroan Terbatas yaitu Undang-Undang
tentang perusahaan swasta pada umumnya, termasuk juga Badan Usaha Milik Negara
(BUMN). Alasannya sederhana, karena jenis entitas inilah yang jumlahnya paling banyak dan
juga sekaligus menjadi tumpuan perputaran roda ekonomi sektor riil.
Untuk entitas lain yang mempunyai bentuk bukan Perseroan Terbatas, maka dia harus
mencari padanan organ apa yang setara tugas dan kewajibannya dengan organ Perseroan
20
Terbatas, yaitu Rapat Umum Pemegang Saham, Direksi dan Dewan Komisaris. Organisasi
lain, terutama organisasi publik, organisasi nirlaba, hendaknya melihat dan mengacu pada
peraturan perundangan yang terkait.
Perbedaan peraturan perundangan yang digunakan akan mempengaruhi bentuk kerangka
kerja penerapan manajemen risiko dan juga akuntabilitas penerapan manajemen risiko bagi
organisasi tersebut.
2.
Prinsip,Kerangka Kerja dan Proses Manajemen Risiko
Pada awal penerapan manajemen risiko, fokus lebih tertuju hanya pada bagaimana
menangani risiko tersebut dan secara parsial, bukan bagaimana menangani berbagai
macam risiko yang mungkin dihadapi oleh organisasi. Merubah cara penanganan risiko yang
semula secara parsial (silo) menjadi terintegrasi seluruh organisasi, memerlukan suatu
pendekatan yang berbeda. Perlu dibangun suatu pemahaman yang sama tentang prinsipprinsip penanganan risiko, suatu landasan kerangka kerja yang akan menjadi dasar bagi
penanganan setiap risiko, urutan proses penanganan risiko, pemahaman tentang teknik dan
metoda penanganan risiko dan proses pelaporan serta monitoring dan review untuk seluruh
proses penanganan risiko dalam suatu organisasi. Penerapan manajemen risiko untuk
seluruh organisasi ini sering disebut sebagai ERM (Enterprise Risk Management).
a. Prinsip-Prinsip Manajemen Risiko
Merujuk pada standar manajemen risiko terbaru yaitu ISO 31000:2009 –Risk
Management – Principles and guidelines, manajemen risiko suatu organisasi hanya
dapat efektif bila mampu menganut dan menerapkan prinsip-prinsip sebagai berikut:
1) Manajemen risiko melindungi dan menciptakan nilai tambah
Manajemen risiko memberikan kontribusi melalui peningkatan kemungkinan
pencapaian sasaran perusahaan secara nyata. Selain itu, juga memberikan perbaikan
dalam aspek keselamatan, kesehatan kerja, kepatuhan terhadap peraturan
perundang-undangan, perlindungan lingkungan hidup, persepsi publik, kualitas
produk, reputasi, corporate governance, efisiensi operasi, dan lain-lain.
2) Manajemen risiko adalah bagian terpadu dari proses organisasi
21
Manajemen risiko merupakan bagian dari tanggung jawab manajemen dan
merupakan bagian tak terpisahkan dari proses organisasi, proyek, dan manajemen
perubahan. Manajemen risiko bukanlah suatu aktivitas yang berdiri sendiri dan
terpisah dari kegiatan serta proses organisasi dalam mencapai sasaran.
3) Manajemen risiko adalah bagian dari proses pengambilan keputusan
Manajemen risiko membantu para pengambil keputusan untuk mengambil
keputusan atas dasar pilihan-pilihan yang tersedia dengan informasi yang selengkap
mungkin. Manajemen risiko dapat membantu menentukan prioritas tindakan dan
membedakan berbagai alternatif tindakan. Manajemen risiko dapat membantu
menunjukkan semua risiko yang ada, mana risiko yang dapat diterima dan mana
risiko yang memerlukan perlakuan lebih lanjut. Manajemen risiko juga memantau
apakah perlakuan risiko yang telah diambil memadai dan cukup efektif atau tidak.
Informasi ini merupakan bagian dari proses pengambilan keputusan.
4) Manajemen risiko secara khusus menangani aspek ketidakpastian
Manajemen risiko secara khusus menangani aspek ketidakpastian dalam proses
pengambilan keputusan. Ia memperkirakan bagaimana sifat ketidakpastian dan
bagaimanakah hal tersebut harus ditangani.
5) Manajemen risiko bersifat sistematik, terstruktur, dan tepat waktu
Sifat sistematik, terstruktur, dan tepat waktu yang digunakan dalam pendekatan
manajemen
risiko inilah yang memberikan kontribusi terhadap efisiensi dan
konsistensi manajemen risiko. Dengan demikian, hasilnya dapat dibandingkan dan
memberikan hasil serta perbaikan.
6) Manajemen risiko berdasarkan pada informasi terbaik yang tersedia
Masukan dan informasi yang digunakan dalam proses manajemen risiko didasarkan
pada sumber informasi yang tersedia, seperti pengalaman, observasi, perkiraan,
penilaian ahli, dan data lain yang tersedia. Akan tetapi, tetap harus disadari bahwa
semua informasi ini mempunyai keterbatasan yang harus dipertimbangkan dalam
proses pengambilan keputusan, baik dalam
membuat model risiko maupun
perbedaan pendapat yang mungkin terjadi di antara para ahli.
22
7) Manajemen risiko adalah khas untuk penggunanya (tailored)
Manajemen risiko harus diselaraskan dengan konteks internal dan eksternal
organisasi, serta sasaran organisasi dan profil risiko yang dihadapi organisasi
tersebut.Termasuk dalam pengertian ini adalah disesuaikan dengan kebutuhan dari
para pemangku risiko dalam organisasi tersebut.
8) Manajemen risiko mempertimbangkan faktor manusia dan budaya
Penerapan manajemen risiko haruslah menemukenali kapabilitas organisasi, persepsi
dan tujuan masing-masing individu di dalam serta di luar organisasi, khususnya yang
menunjang atau menghambat pencapaian sasaran organisasi.
9) Manajemen risiko harus transparan dan inklusif
Untuk memastikan bahwa manajemen risiko tetap relevan dan terkini, para
pemangku kepentingan dan pengambil keputusan di setiap tingkatan organisasi
harus dilibatkan secara efektif. Keterlibatan ini juga harus memungkinkan para
pemangku kepentingan terwakili dengan baik dan mendapatkan kesempatan untuk
menyampaikan pendapat serta kepentingannya, terutama dalam merumuskan
kriteria risiko.
10) Manajemen risiko bersifat dinamis, berulang, dan tanggap terhadap perubahan
Ketika terjadi peristiwa baru, baik di dalam maupun di luar organisasi, konteks
manajemen risiko dan pemahaman yang ada juga mengalami perubahan. Dalam
situasi semacam inilah tahapan monitoring dan review berperan
memberikan
kontribusi. Risiko baru pun muncul, ada yang berubah, ada juga yang menghilang.
Oleh karena itu, menjadi tugas manajemen untuk memastikan bahwa manajemen
risiko senantiasa memperhatikan, merasakan, dan tanggap terhadap perubahan.
11) Manajemen risiko harus memfasilitasi terjadinya perbaikan dan peningkatan
organisasi secara berlanjut
Manajemen organisasi harus senantiasa mengembangkan dan menerapkan
perbaikan strategi manajemen risiko serta meningkatkan kematangan dan
kecanggihan pelaksanaan manajemen risiko, sejalan dengan aspek lain dari
organisasi.
23
b. Kerangka Kerja Manajemen Risiko
Agar dapat berhasil dengan baik, manajemen risiko harus diletakkan dalam suatu
kerangka manajemen risiko. Kerangka kerja ini akan menjadi dasar dan penataan yang
mencakup seluruh kegiatan manajemen risiko di segala tingkatan organisasi. Kerangka
kerja ini akan membantu organisasi mengelola risiko secara efektif melalui penerapan
proses manajemen risiko dalam berbagai tingkatan organisasi dan dalam konteks
spesifik organisasi tersebut. Kerangka kerja ini akan memastikan bahwa informasi risiko
yang lengkap dan memadai yang diperoleh dari proses manajemen
risiko akan
dilaporkan serta digunakan sebagai landasan untuk pengambilan keputusan. Hal ini
dilakukan sesuai dengan kejelasan akuntabilitas pada setiap tingkatan organisasi.
MANDAT &
KOMITMEN
Perencanaan
Kerangka Kerja
Manajemen Risiko
Perbaikan sinambung
Kerangka Kerja MR
Penerapan
Manajemen Risiko
Monitoring & review
penerapan Kerangka
Kerja MR
Gambar 1: Kerangka kerja manajemen risiko
(Sumber: ISO 31000:2009 Risk management – Guideline and principle)
Skema pada gambar 1 di atas memperjelas gambaran umum mengenai kerangka kerja
manajemen risiko sebagai induk dari proses manajemen risiko yang lebih bersifat teknis.
24
Kerangka kerja ini tidak dimaksudkan untuk menggambarkan sebuah sistem manajemen
baru, tetapi lebih ditujukan untuk membantu organisasi dalam mengintegrasikan
manajemen risiko ke dalam sistem manajemen organisasi keseluruhan, khususnya
melalui sikolus manajemen sederhana PDCA (Plan-Do-Check-Action). Selain itu, skema di
atas menunjukkan gambaran mengenai bagaimana seharusnya tata kelola risiko (risk
governance) harus dilaksanakan, dimana dalam tata kelola risiko ini, sebagaimana
diutarakan dalam Bab I, terdiri dari aspek struktural, aspek operasional dan aspek
perawatan. Secara lebih rinci, ketiga aspek tersebut memuat unsur-unsur sebagai
berikut:
1) Aspek struktural dari tata kelola manajemen risiko antara lain terdiri dari:
a) Komitmen;
b) Kebijakan manajemen risiko;
c) Akuntabilitas dan kepemimpinan;
d) Pembentukan unit kerja manajemen risiko;
e) Champion manajemen risiko pada masing-masing unit kerja; serta
f) Penyediaan sumber daya yang diperlukan untuk pelaksanaan manajemen risiko.
2) Aspek operasional dari tata kelola manajemen risiko antara lain terdiri dari:
a) Penyusunan buku Panduan Manajemen Risiko;
b) Peluncuran, sosialisasi, dan pelatihan manajemen risiko;
c) Teknik dan metoda untuk implementasi proses manajemen risiko;
d) Sistem pelaporan internal dan eksternal;
e) Monitoring dan pengukuran kinerja; serta
f) Tata usaha dan administrasi data serta informasi manajemen risiko.
g) Aspek perawatan dari tata kelola manajemen risiko antara lain terdiri dari:
h) Pendidikan dan pelatihan berlanjut;
i) Komunikasi dan publikasi;
j) Review dan audit tata kelola manajemen risiko; serta
k) Benchmarking.
25
c. Mandat dan Komitmen
Mandat dan komitmen dalam kerangka kerja manajemen risiko mempunyai arti sentral.
Dari mandat dan komitmen itulah segala sesuatun yang terkait dengan manajemen
risiko berasal sesuai dengan peraturan yang menjadi dasar hukum entitas atau
organisasi. Dalam peraturan perundang-undangan terkait, akan terlihat secara jelas
siapa yang memperoleh mandat dan apa jenis mandat yang diterima dan komitmen
apakah yang akan terkait secara langsung dengan penerapan manajemen risiko pada
organisasi tersebut.
Pedoman ini menggunakan Undang-Undang No.40 tahun 2007 tentang Perseroan
Terbatas (UUPT) sebagai acuannya, maka akan ditelaah bagaimanakah “Mandat dan
Komitmen” dalam peraturan perundangan tersebut terkait dengan penerapan
manajemen risiko.
Dalam UUPT yang menjadi alter ego perusahaan adalah Direksi dan Dewan Komisaris,
dan mandat yang mereka terima adalah sebagai berikut:
1) Direksi adalah Organ Perseroan yang berwenang dan bertanggung jawab penuh
atas pengurusan Perseroan untuk kepentingan Perseroan, sesuai dengan maksud
dan tujuan Perseroan serta mewakili Perseroan, baik di dalam maupun di luar
pengadilan sesuai dengan ketentuan anggaran dasar.
2) Dewan Komisaris adalah Organ Perseroan yang bertugas melakukan pengawasan
secara umum dan/atau khusus sesuai dengan anggaran dasar serta memberi
nasihat kepada Direksi.
Dari mandat tersebut di atas terlihat jelas bahwa Direksi mempunyai tugas pengurusan
dan perwakilan untuk kepentingan Perseroan, sesuai dengan maksud dan tujuan
Perseroan. Sebagai konsekuensi logis dari tugas tersebut maka Direksi memikul
tanggung jawab kepada:
1) Perseroan;
2) Pemegang saham; dan
3) Kreditur serta pemangku kepentingan lainnya.
26
Sedangkan Dewan Komisaris mempunyai tugas pengawasan dan pemberian nasehat
kepada Direksi. Dewan Komisaris harus memerhatikan kepentingan perseroan dan
sesuai dengan maksud serta tujuan perseroan dan Anggaran Dasar perseroan. Tugas
dan tanggung jawab Dewan Komisaris lebih bersifat internal sehingga Dewan Komisaris
bertanggung jawab kepada:
1) Perseroan; dan
2) Pemegang saham.
Jadi Direksi dan Dewan Komisaris wajib memastikan
bahwa maksud, tujuan dan
kepentingan Perseroan harus diupayakan untuk tercapai dan tidak terganggu oleh
kepentingan. Pernyataan ini sebetulnya tidak lain dan tidak bukan adalah penerapan
manajemen risiko pada perseroan (lihat definisi “risiko” dan “manajemen risiko”).
Dengan demikian terkait dengan penerapan manajemen risiko maka Direksi adalah
Penanggungjawab Utama: penerapan manajemen risiko pada Perseroan, sedangkan
Dewan Komisaris adalah Pengawas Tertinggi dalam pelaksanaan pengawasan
(monitoring dan review) pelaksanaan penerapan manajemen risiko pada Perseroan.
Oleh karena itu, tugas Direksi antara lain wajib untuk:
1) Menciptakan situasi yang kondusif untuk melaksanakan manajemen risiko melalui
penetapan prinsip, strategi umum, dan kebijakan penerapan manajemen risiko;
2) Menyusun dan menetapkan risk governance structure yang sesuai dengan organisasi
yang dipimpinnya, serta menetapkan struktur akuntabilitas hingga level yang
terendah;
3) Menetapkan “bahasa dan terminologi” manajemen risiko baku yang akan digunakan
di dalam organisasi, antara lain dengan menetapkan jenis standar manajemen risiko
yang akan digunakan;
4) Menyediakan sumber daya yang diperlukan dalam arti tenaga ahli, pelatihan, dana,
sarana fisik, peralatan, dan waktu yang diperlukan untuk melaksanakan manajemen
risiko dengan baik;
5) Memastikan keselarasan program manjemen risiko dengan strategi perusahaan,
sekaligus menentukan ukuran kinerja pencapaian sasaran manajemen risiko;
27
6) Mengartikulasikan dan mengomunikasikan manfaat manajemen risiko dalam
pencapaian sasaran perusahaan;
7) Menetapkan model potensi risiko utama dan risiko utama nyata yang dihadapi
perusahaan untuk memfokuskan sasaran penanganan manjemen risiko.
Dewan Komisaris adalah organ perseroan yang bertugas untuk melakukan pengawasan,
oleh karena itu perlu diperhatikan bahwa pengawasan bukan berarti campur tangan,
karena kalau terjadi campur tangan maka akuntabilitas akan menjadi kabur. Karena itu
disarankan pola pengawasan Dewan Komisaris dilaksanakan sebagai berikut:
1) Apa yang dapat membuat perusahaan ini bangkrut atau rugi besar? Pertanyaan ini
membuat kita fokus pada risiko-risiko utama. Risiko utama ini dapat diidentifikasi
antara lain melalui:
a) Siapa saja pemangku kepentingan utama dan apa kebutuhannya;
b) Rencana strategis perusahaan dan pelaksanaannya;
c) Risiko kegiatan utama, baik finansial, operasional, maupun kepatuhan kepada
peraturan perundangan yang dapat membahayakan kelangsungan hidup
perusahaan;
d) Bagaimanakah toleransi risiko ditetapkan dan bagaimanakah toleransi risiko
tersebut bila dibandingkan dengan kapabilitas perusahaan ataupun rencana
strategi perusahaan;
e) Apakah Anda merasa nyaman dengan profil risiko yang dilaporkan?
2) Fokus pada perubahan apakah yang terjadi. Hal ini terkait dengan unsur
ketidakpastian dari risiko. Perubahan apapun yang terjadi harus diperhatikan.
Bagaimana
dampaknya
terhadap
organisasi,
perubahan
pasar/persaingan,
perubahan peraturan, perubahan kurs mata uang, perubahan politik, dan lain-lain.
3) Uji dan bandingkan dengan apa yang telah terjadi. Kita tidak boleh berpuas diri
dengan apa yang sudah berjalan dengan baik. Ada baiknya kita mempertanyakan
kemampuan manajemen risiko yang ada: Mungkinkah apa yang terjadi di Union
Carbide, Bhopal, India, dapat juga terjadi disini? Mungkinkan kecerobohan sistem
pengendalian internal yang terjadi pada Baring Bank, Singapore, dapat juga terjadi
28
di sini? Mungkinkah kecerobohan manajemen yang dialami Adam Air juga mungkin
terjadi di sini?; dan seterusnya.
4) Menemu kenali hubungan antar-risiko. Sebuah risiko besar seringkali tidak terjadi
tiba-tiba, tetapi akibat dari interaksi dari berbagai risiko kecil. Risiko yang dialami
oleh pesawat terbang Adam Air yang terjun ke laut diakibatkan oleh berbagai hal,
mulai dari upaya penghematan, komponen navigasi yang tidak berfungsi dengan
baik, sampai kecerobohan manajemen.
Selain keempat hal di atas, Dewan Komisaris juga perlu mempertanyakan bagaimanakah
proses komunikasi risiko dilaksanakan; bagaimanakah pembinaan budaya sadar risiko
diselenggarakan; bagaimanakah penciptaan situasi yang kondusif untuk penerapan
manajemen risiko diciptakan; dan bagaimanakah pembentukan “tone at the top”
(perilaku keteladanan) terlaksana. Organisasi dengan penerapan manajemen risiko yang
baik akan menunjang pelaksanaan good corporate governance dan akan meningkatkan
nilai perusahaan.
d. Proses Manajemen Risiko
Proses manajemen risiko adalah penerapan secara sistematik kebijakan manajemen,
prosedur dan praktik manajemen dalam
pelaksanaan
tugas untuk
melakukan
komunikasi dan konsultasi; menetapkan konteks; melakukan asesmen risiko. Proses
manajemen risiko meliputi identifikasi, analisa, dan evaluasi risiko, kemudian perlakuan
risiko, dan diakhiri dengan pemantauan dan pengkajian risiko. Proses manajemen
risiko secara singkat merupakan penerapan kerangka kerja manajemen risiko pada tiaptiap jenis risiko yang secara spesifik mempunyai karakter yang berbeda-beda sesuai
dengan konteksnya. Ini sesuai dengan prinsip ke tujuh manajemen
risiko yang
menyatakan bahwa manajemen risiko adalah khas bagi penggunanya (tailored).
Walaupun penerapan proses manajemen risiko khas untuk masing-masing risiko, tetapi
secara metodologis, penerapannya sesuai dengan sistem yang digambarkan pada
gambar 2 di bawah ini.
29
MENENTUKAN KONTEKS
ASESMEN RISIKO
IDENTIFIKASI RISIKO
ANALISA RISIKO
EVALUASI RISIKO
PERLAKUAN RISIKO
Gambar 2: Proses manajemen risiko
(Sumber: AS/NZS 4360:2004 Risk Management)
Sebagaimana ditegaskan di atas, proses manajemen risiko ini adalah khas dan unik
untuk tiap proses bisnis, bagian dan bahkan untuk tiap risiko. Ini karena tidak ada
proses, bagian ataupun risiko yang 100% identik. Masing-masing mempunyai hal yang
spesifik , walaupun terdapat beberapa kesamaan.
3.
Tata Kelola Risiko
Tata kelola risiko ini meliputi unsur-unsur kebijakan manajemen risiko, akuntabilitas
pelaksanaan, perencanaan manajemen risiko terpadu, penyediaan sumber daya yang
memadai, dan mekanisme komunikasi serta pelaporan pelaksanaan manajemen risiko,
baik internal maupun eksternal. Satu hal lagi yang biasanya penting dalam tata kelola
manajemen risiko adalah “kesamaan bahasa”, yaitu penggunaan istilah-istilah dalam
penerapan manajemen risiko. Hal ini diatasi dengan menggunakan istilah dan definisi yang
ditentukan dalam ISO Guide 173:2009 – Risk Management Vocabulary.
a. Kebijakan Manajemen Risiko
Kebijakan manajemen risiko merupakan pernyataan komitmen secara tertulis oleh
Direksi dan Dewan Komisaris untuk menerapkan manajemen risiko dalam organisasi. Hal
penting terkait Kebijakan ini dinyatakan secara singkat dan jelas yang meliputi antara
lain:
1) Alasan mengapa harus menerapkan manajemen risiko;
30
2) Penjelasan keterkaitan antara pencapaian sasaran organisasai dan kebijakan
manajemen risiko;
3) Kejelasan akuntabilitas pelaksanaan manajemen risiko, termasuk infrastruktur
pelaksanaannya;
4) Penyediaan sumber daya untuk menerapkan manajemen risiko;
5) Penentuan standar atau metode manajemen risiko yang akan digunakan;
6) Komitmen untuk melakukan review dan verifikasi secara berkala terhadap
efektivitas penerapan manajemen risiko.
Penetapan komitmen manajemen ini harus diikuti dengan langkah-langkah nyata untuk
lebih mempertegas bahwa komitmen tersebut tidak hanya di atas kertas. Secara
keseluruhan, langkah nyata tersebut adalah penyusunan tata kelola manajemen risiko
yang akan mengawali proses penerapan manajemen risiko ke seluruh organisasi.
b. Akuntabilitas Penerapan Manajemen Risiko
Akuntabilitas tertinggi untuk penerapan manajemen risiko pada dasarnya berada pada
Direksi, secara lebih khusus pada Direktur Utama atau anggota Direksi lainnya yang
ditunjuk. Secara umum, hal penting yang perlu diperhatikan antara lain:
1) Penunjukan Champion yang bertanggung jawab untuk mendorong pelaksanaan
penerapan manajemen risiko secara meluas ke seluruh organisasi (enterprise
wide risk management). Champion ini dapat berupa penunjukan fungsi
Manajemen Risiko tersendiri dan juga para individu pada setiap divisi dengan
penugasan khusus untuk menjadi fasilitator penerapan manajemen risiko pada
divisinya;
2) Penetapan secara jelas bahwa akuntabilitas pengelolaan risiko tetap berada pada
para pemangku risiko (risk owner) dan bukan ke para Champion..Untuk itu maka
pada setiap kepala divisi merupakan pemangku risiko pada divisi tersebut dan juga
menjadi Penanggung Jawab dalam melakukan pengelolaan risiko pada divisinya.
Demikian secara berjenjang hingga sampai pada penanggungjawab proses. Tugas
para Champion lebih sebagai fasilitator untuk penerapan manajemen risiko;
31
3) Penyusunan infrastruktur organisasi sebagai unit untuk mendorong penerapan
manajemen
risiko ke seluruh organisasi, termasuk di dalamnya akuntabilitas
penerapan tersebut pada setiap tingkatan dalam organisasi;
4) Penyusunan mekanisme organisasi untuk penerapan manajemen risiko, termasuk
penyusunan manual penerapan manajemen risiko, mekanisme pelaporan
pelaksanaan manajemen risiko, pengukuran efektivitas penerapan manajemen
risiko, atau pengukuran kinerja manajemen risiko.
5) Proses untuk menimbulkan budaya sadar risiko ke seluruh organisasi.
a. Infra Struktur Manajemen Risiko
Tidak terdapat model atau panduan baku dalam penyusunan infrastruktur organisasi
dalam pengelolaan
manajemen risiko. Hal yang terpenting adalah kejelasan dari
akuntabilitas dan tanggung jawab untuk mendorong pelaksanaan manajemen risiko ini
bertumpu pada suatu fungsi yang ditunjuk secara tegas dan jelas. Setiap organisasi
harus
menyusun
infrastruktur
organisasi
manajemen
risiko
sesuai
dengan
kebutuhannya dan jenis-jenis risiko yang dihadapinya.
Dalam gambar 3 ditampilkan suatu model yang merupakan contoh dan bukan
merupakan model baku. Contoh ini lebih tepat untuk organisasi yang cukup besar,
sedangkan untuk organisasi yang berskala kecil dan menengah, harus menyesuaikan
dengan kemampuan organisasinya.
32
DEWAN
KOMISARIS
Komite Pemantau
Risiko
Pengawasan
KOMITE RISIKO
(Lintas Fungsi)
DIREKSI
INTERNAL
AUDITOR
MANAJEMEN
OPERASI
MANAJEMEN
KEUANGAN
HUKUM &
KEPATUHAN
MANAJEMEN SDM
& UMUM
MANAJEMEN
RISIKO
Gambar 3: Infra struktur manajemen risiko
Komite Pemantau Risiko adalah organ Dewan Komisaris yang membantu melakukan
pengawasan dan pemantauan pelaksanaan penerapan manajemen risiko pada
perusahaan. Komite Risiko adalah Komite yang dipimpin oleh Direktur Utama atau
Direktur yang ditunjuk untuk itu, dan berfungsi untuk menetapkan kebijakan, strategi
penerapan manajemen
risiko untuk seluruh perusahaan. Selain itu Komite ini
mempunyai anggota dari masing-masing Direktorat, untuk melakukan pemantauan
dari pelaksanaan penerapan manajemen risiko dan mengambil keputusan terhadap
usulan perlakuan risiko yang berdampak bagi seluruh perusahaan. Semua pengesahan
manual, prosedur dan tata laksana penerapan manajemen risiko dilaksanakan melalui
Komite Risiko ini.
Fungsi Manajemen Risiko adalah unit yang menjadi Champion dalam penerapan
manajemen risiko perusahaan dan menyusun segala manual dan prosedur serta tata
laksana dan pelaporan penerapan manajemen risiko perusahaan. Unit ini juga
melakukan komunikasi berkala dan pelaporan penerapan manajemen risiko
perusahaan. Unit ini juga menyelenggarakan pelatihan bagi para champion yang
berada pada tiap divisi atau departemen dalam perusahaan.
33
b. Tata Laksana, Komunikasi dan Pelaporan
Proses manajemen risiko melibatkan banyak pihak dalam organisasi, terlebih lagi
pada awal penerapannya. Oleh karena itu, perlu kejelasan akuntabilitas untuk
memastikan bahwa semua proses dapat berjalan dengan baik. Salah satu metode
yang sering digunakan untuk melakukan hal tersebut adalah RACI Matrix. RACI adalah
singkatan dari Responsible, Accountable, Consulted, dan Informed.
Secara sederhana, RACI Matrix akan menjelaskan atau menentukan dalam setiap
kegiatan:
1) “R” siapa yang responsible, artinya siapa yang mengerjakan kegiatan tersebut;
2) “A” siapa yang accountable, artinya siapa yang berhak membuat keputusan akhir
“ya” atau “tidak” atas kegiatan tersebut, serta menjawab pertanyaan-pertanyaan
pihak lain;
3) “C” siapa yang harus consulted, artinya harus diajak konsultasi atau dilibatkan
sebelum atau saat kegiatan tersebut dilaksanakan atau dilanjutkan; serta
4) “I” siapa yang harus informed, artinya siapa yang harus diberi informasi mengenai
apa yang sedang terjadi atau sedang dilakukan tanpa harus menghentikan
kegiatan tersebut.
Direksi dan Dewan Komisaris harus memastikan bahwa pada setiap tahapan proses
manajemen
risiko
terdapat
kejelasan
akuntabilitas
dan
tanggung
jawab
pelaksanaannya.
RACI Matrix pada tabel 1 memperlihatkan gambaran umum mengenai hal tersebut di
atas. Gambaran ini masih sangat kasar dan memerlukan penjabaran lebih lanjut dalam
bentuk proses bisnis yang sesuai dengan sasaran di tiap tahapan. Kedalaman
penjabaran sangat ditentukan oleh keperluan organisasi, tetapi keberhasilan
penjabaran proses akan mempermudah dan memperjelas proses penerapannya.
Dari RACI Matrix pada tabel 1 terlihat secara tidak langsung bagaimana metode
komunikasi dan pelaporan harus dilaksanakan. Secara sederhana dapat dikatakan
bahwa pihak yang dalam tabel tersebut mendapatkan huruf “A” berarti ia harus
34
mendapatkan laporan lengkap untuk dapat mengambil keputusan. Ia seolah-olah
menjadi “pelanggan” dari seluruh kegiatan tersebut. Sedangkan yang menjadi “process
owner” adalah mereka yang memperoleh huruf “R”. Dialah yang harus mempersiapkan
laporan dan melakukan komunikasi dengan pihak-pihak terkait. Laporan disampaikan
kepada pemilik huruf “A”, sedangkan komunikasi dilakukan kepada mereka-mereka
yang memperoleh huruf “C” dan “I”.
Direksi
Fungsi
Manajemen
Risiko
Divisi
Operasional
External
Stakeholeder
A
R
I
-
I
A
R
C
I
I
C
A
R
C
I
a. Identifikasi
Risiko
I
I
C
R
A/R
-
b. Analisis Risiko
I
I
C
R
A/R
-
c. EvaluasiRisiko
I
I
A
C
R
I
5.
Perlakuan Risiko
I
I
A
C
R
C/I
6.
Monitoring dan
Review
I
R
A
R
C
I
7.
Pelaporan
Manajemen Risiko
C
C
A
R
R/C
-
No
Tahap Proses
Manajemen Risiko
Dewan
Komisaris
1.
Persiapan
I
2.
Komunikasi dan
Konsultasi
I
3.
Menentukan
konteks
4.
Asesmen Risiko
Komite
Pemantau
Risiko
Tabel 1: Contoh RACI Matriks
Komunikasi dan pelaporan eksternal dilakukan dengan menambahkan satu kolom
“Stakeholders” pada bagian paling kanan matriks RACI di atas. Bila dalam kolom
stakeholders terdapat huruf “I” atau “C” maka kita wajib memberikan informasi
(informed) atau melibatkan (consulted) mereka dalam kegiatan manajemen risiko yang
sedang dilaksanakan.
Melalui proses di atas diharapkan bahwa manajemen organisasi mampu membangun
mekanisme sistem tata laksana, komunikasi dan pelaporan internal maupun eksternal
guna memastikan bahwa
1) Komponen kunci kerangka kerja manajemen risiko dan setiap perubahan yang
terjadi dapat dikomunikasikan dengan baik ke seluruh pihak terkait;
2) Tersedianya cukup laporan tentang efektivitas kerangka kerja manajemen risiko
dan hasil dari proses manajemen risiko;
35
3) Informasi hasil penerapan manajemen risiko selalu tersedia di tiap tingkatan yang
memerlukan dan pada waktu yang diperlukan;
4) Terselenggaranya proses konsultasi dengan para pemangku kepentingan internal
maupun eksternal;
5) Pelaporan ke pihak eksternal sesuai dengan tuntutan kepatuhan hukum serta
penerapan good corporate governance;
6) Melaksanakan pengungkapan informasi sesuai dengan peraturan perundangan
yang berlaku;
7) Berkomunikasi dengan seluruh pemangku kepentingan, terutama pada saat terjadi
krisis atau keadaan darurat.
8) Menggunakan komunikasi untuk membina dan meningkatkan kepercayaan kepada
organisasi;
4.
Sumber Daya Penerapan Manajemen Risiko
Penyediaaan sumber daya yang memadai adalah indicator lain dari komitmen Direksi dalam
menerapkan manajemen risiko dalam organisasi yang dipimpinnya. Tanpa adanya sumber
daya yang memadai, hal ini serupa dengan “penolakan” diam-diam terhadap penerapan
manajemen
risiko. Manajemen organisasi harus mengalokasikan sumber daya yang
memadai untuk pelaksanaan manajemen risiko antara lain terhadap hal-hal berikut:
a. Personalia dengan pengalaman, ketrampilan, dan kemampuan yang memadai serta
jumlah yang sesuai dengan kebutuhan;
b. Sumber dana dan sumber daya yang diperlukan untuk setiap tahapan penerapan
manajemen risiko;
c. Proses dan prosedur yang terdokumentasi dengan baik dan sistem dokumentasinya,
termasuk perangkat penunjangnya;
d. Sistem informasi dan manajemen pengetahuan (knowledge management system).
RACI matrix tersebut di atas memberikan
indikasi untuk kebutuhan sumber daya.
Kebutuhan pelatihan atau peningkatan kompetensi dalam melaksanakan manajemen risiko
diperlukan bagi mereka yang mendapatkan
penugasan “R”. Bagi yang mendapatkan
36
penugasan” I” dan “C” memerlukan sosialisasi dan komunikasi agar dapat memahami apa
dan mengapa manjemen risiko, serta bagaimana dampaknya terhadap unit kerja dan
tanggung jawabnya. Bagi yang mendapatkan penugasan “A”, pada dasarnya sama dengan
yang mendapatkan penugasan “I” dan “C”, tetapi derajatnya lebih tinggi karena harus
memikirkan dampaknya terhadap keseluruhan organisasi dan memutuskan apa yang harus
dilakukan terhadap risiko tersebut atau jenis perlakuan risiko yang harus diambil.
Kebutuhan sumber daya lain untuk mengelola penerapan manajemen risiko menjadi salah
satu faktor
penting
yang
menentukan berjalan dan berhasilnya proses penerapan
manajemen risiko. Untuk ini komitmen Direksi dalam memenuhi kebutuhan tersebut akan
sangat menentukan.
37
BAB III
ASPEK OPERASIONAL
1.
Pengantar
Sebagaimana yang telah dijelaskan pada bagian sebelumnya, aspek struktural merupakan
landasan yang digunakan dalam penerapan manajemen risiko secara menyeluruh pada
organisasi. Hal tersebut juga berlaku pada aspek operasional, namun aspek operasional
dapat pula sebagai aspek spesifik bagi masing-masing bagian atau bahkan spesifik untuk
tiap-tiap risiko.
Aspek operasional yang menjadi bagian dari proses penerapan manajemen risiko secara
menyeluruh dalam organisasi adalah penyusunan manual manajemen risiko, metodologi
penanganan manajemen risiko atau lebih dikenal dengan proses manajemen risiko dan
penanganan manajemen perubahan. Pada penanganan manajemen perubahan, prosesnya
meliputi peluncuran, sosialisasi dan pelatihan hingga penerapan manajemen risiko sehingga
nantinya tumbuh budaya sadar risiko.
Sedangkan aspek spesifik bagi masing-masing bagian dan bahkan tiap-tiap risiko adalah
penerapan proses manajemen risiko itu sendiri pada tiap-tiap risiko. Setiap risiko dan proses
bisnis mempunyai konteks yang spesifik sehingga memerlukan teknik yang spesifik pula.
Sesuai dengan prinsip ke dua pada prinsip-prinsip manajemen risiko yang dijelaskan di Bab
II, manajemen risiko merupakan bagian terpadu dari proses organisasi, maka proses
manajemen risiko hendaknya merupakan bagian yang tak terpisahkan dari manajemen
umumnya. Ia harus masuk dan menjadi bagian dari budaya organisasi, praktik terbaik
organisasi, dan proses bisnis organisasi. Proses manajemen risiko meliputi lima kegiatan,
yaitu komunikasi dan konsultasi; menentukan konteks; asesmen risiko; perlakuan risiko;
serta monitoring dan review, sebagaimana ditunjukkan pada gambar 2 dalam Bab II.
Dalam aspek operasional ini perlu dijelaskan lingkup tugas mana yang menjadi bagian pada
level organisasi keseluruhan (korporasi) dan yang menjadi wilayah para pemangku risiko
(divisi, departemen, proses bisnis,dll.). Untuk itu digunakan pendekatan seperti
digambarkan pada gambar 4 di bawah ini.
38
MANDAT & KOMITMEN
• Kebijakanan
• Standar
• Sumber daya
• Manual Manajemen Risiko
• Lingkup & konteksMR
organisasi
PROSESSPROCESS
TRATEGIS
STRATEGIC
STRUKTUR & AKUNTABILITAS
• Unit Manajemen Risiko
• Komite Manajemen Risiko
• Komite Pemantau Risiko
• Risk Owners& Champios MR
• MR Plan & Roadmap
Analisa risiko
Evaluasi risiko
STRATEGIC PROCESS
Identifikasi risiko
PROSES STRATEGIS
PROCESS
STRATEGIC
ES STRATEGIS
PROS
Menentukan
konteks
Perlakuan risiko
REVIEW & PERBAIKAN
• Review kemajuan
penerapan RM Plan & KPI
• RM Audit
• Control assurance
• Governance reporting
• Benchmarking
Management information System
•Risk Register
•Assurance Plan
•Treatment plan
•Reporting system
PROSESSTRATEGIS
STRATEGIC
PROCESS
KOMUNIKASI & PELATIHAN
(Manajemen perubahan)
• Analisis Stakeholders
• Strategi & proseskomunikasi
• Strategi & prosespelatiha
• Networking
Gambar 4: Operasionalisasi kerangka kerja dan proses manajemen risiko
(Sumber: diadopsi dari Broadleaf Capital International Pty, Ltd.(2008))
Proses manajemen risiko yang berada di bagian tengah adalah “domain kegiatan” para
pemangku risiko (risk owner) sedangkan kegiatan lainnya adalah “domain kegiatan
organisasi”. Atau dengan kata lain, tugas khusus fungsi manajemen risiko organisasi adalah
menyediakan fondasi bagi kegiatan para pemangku risiko dalam menerapkan manajemen
risiko. Pemangku risiko dalam pengertian ini adalah para Kepala Divisi/Biro, Kepala Bagian,
Kepala Seksi atau penanggung jawab proses organisasi.
Dalam aspek operasional pada Bab ini akan diuraikan proses implementasi manajemen
risiko yang meliputi antara lain pelaksanaan manajemen perubahan; penyusunan buku
Panduan Manajemen Risiko; Implementasi proses manajemen risiko; sistem pelaporan
internal dan eksternal; monitoring dan pengukuran kinerja; serta tata usaha dan
administrasi data serta informasi manajemen risiko.
39
2.
Manajemen Perubahan
Setiap introduksi program baru dalam organisasi, terdapat beberapa tahapan transisi,
sebelum program tersebut dapat berfungsi secara efektif. Tahap pertama adalah
penolakan; dalam tahap ini semua orang mempertanyakan kegunaannya, karena sudah
merasa nyaman dengan kondisi yang ada. Tahap kedua adalah perlawanan; dalam tahap ini
mereka mulai melihat manfaatnya tetapi masih ragu dan enggan untuk melaksanakannya.
Sebaiknya orang lain dulu dan jangan saya. Tahap ketiga adalah tahap eksplorasi; dimana
orang sudah melihat dengan jelas manfaat dan kegunaannya dan mulai timbul keinginan
untuk memahami dan melakukan eksplorasi lebih jauh. Tahap terakhir adalah komitmen
untuk melakukan perubahan tersebut; pada tahap ini proses perubahan akan berlangsung
dengan baik.
Tahap transisi
Manajemen Puncak
& Senior
Komitmen
Eksplorasi
Perlawanan
Manajemen menengah
& lini pertama
Seluruh
karyawan
Penolakan
Bulan
1 2 3 4 5 6 7 8 9
Pengumuman
perubahan
Manajemen Puncak harus kommit sebelum perubahan diluncurkan
Sumber: S Price & D Holmes, Managing Change from Theory to Practice, New Jersey: Ministry of Health British Columbia, 2007
Gambar 5: Tahapan manajemen perubahan
Proses perubahan ini dialami oleh Manajemen Puncak, Manajemen Menegah dan Lini
Pertama, dan seluruh karyawan (lihat Gambar 5). Oleh karena itu tahapan proses
perubahan tersebut harus dimulai dari Manajemen Puncak terlebih dahulu, sehingga
mereka dapat berperan sebagai Change Leader yang akan diikuti oleh Manajemen
40
Menengah. Kemudian Manajemen Menengah akan menjadi Change Leader yang akan
diikuti oleh Manajemen Lini Pertama. Proses yang sama akan dilakukan oleh Manajemen
Lini Pertama yang akan berfungsi sebagai Change Leader bagi seluruh karyawan.
Berdasarkan pemahaman seperti di atas, maka proses penerapan manajemen risiko
perusahaan haruslah direncanakan dan disusun, sedemikian rupa sehingga penolakan dan
perlawanan dapat diatasi secara baik. Untuk itu disarankan untuk melaksanakan tahapan
penerapan manajemen risiko perusahaan sebagai berikut;
a.
Tahap persiapan awal, adalah mendapatkan komitmen Direksi dan Dewan Komisaris
untuk penerapan manajemen risiko perusahaan dan kemudian diikuti dengan
penunjukan pejabat yang bertanggung jawab untuk mempersiapkan pelaksanaannya
serta pelatihan yang memadai bagi mereka;
b. Melaksanakan Executive Briefing untuk Direksi, Dewan Komisari, Sekretaris
Perusahaan, Kepala Internal Audit (SPI/SKAI) mengenai penerapan manajemen risiko
perusahaan dan tanggung jawab Direksi dan Dewan Komisaris dalam penerapan
tersebut. Hal ini kemudian langsung dilanjutkan dengan Seminar Sehari untuk para
pejabat setingkat Kepala Divisi/ Kepala Cabang tentang peran dan tanggung jawab
mereka dalam penerapan manajemen risiko perusahaan.
c.
Tahap persiapan selanjutnya adalah menyusun strategi dan rencana penerapan
manajemen risiko perusahaan secara lebih menyeluruh.yang antara lain berisikan halhal sebagai berikut:
1) Melakukan audit manajemen risiko (bila diperlukan)
2) Menyusun Master Plan penerapan Manajemen Risiko termasuk budget dan
jadwalnya
3) Menyusun Buku Panduan Manajemen Risiko atau Manual Manajemen Risiko,
Instruksi Kerja dan Prosedur Pelaporannya;
4) Penetapan kriteria risiko dan ukuran kinerja manajemen risiko
5) Penunjukan Risk Management Governance Structure dan penujukan para
Champions
41
d. Tahap berikutnya adalah tahap persiapan untuk peluncuran manajemen risiko
perusahaan dengan aktivitas antara lain:
1) Pelatihan intensif untuk para Champion mengenai teknik dan metode manajemen
risiko
2) Pelatihan untuk para Manajer Menengah mengenai manajemen risiko perusahaan
dan peran mereka dalam penerapan
3) Penetapan Risk Owner untuk tiap Divisi dan Department
e.
Tahap selanjutnya adalah peluncuran penerapan manajemen risiko perusahaan. Hal
tersebut dapat dilakukan terlebih dahulu melalui pilot project penerapan manajemen
risiko perusahaan sebagai uji coba, sehingga rencana awal yang kurang lengkap atau
masih kurang sempurna dapat segera diperbaiki guna penerapannya di seluruh
perusahaan;
f.
Melakukan Monitoring & Review proses penerapan manajemen risiko perusahaan
secara berkala. Dari proses monitoring
and review
ini dapat ditentukan kapan
penerapan manajemen risiko perusahaan ini mulai dikaitkan dengan penilaian kinerja
masing-masing karyawan yang berdampak pada remunerasi dan promosi.
3.
Panduan Manajemen Risiko
Panduan Manajemen Risiko, atau Manual Manajemen Risiko merupakan alat utama dalam
operasionalisasi manajemen risiko ke seluruh organisasi. Melalui Panduan ini istilah dan
definisi yang ada dapat diseragamkan sehingga tidak terdapat multi interpretasi, tahapan
penerapan manajemen risiko dan proses manajemen risiko dilaksanakan sesuai dengan
standar yang telah dipilih dan ditentukan oleh Direksi. Melalui Panduan ini juga cara
menangani risiko ditentukan, pelaporan hasil perlakuan risiko dilaksanakan dan kriteriakriteria risiko ditetapkan sehingga terdapat kesamaan persepsi tentang besaran risiko.
Dapat disimpulkan bahwa, Panduan atau Manual Manajemen Risiko adalah fondasi untuk
penerapan manajemen risiko.
Siapakah yang bertanggung jawab untuk menyusun Panduan Manajemen Risiko ini?
Tanggung jawab penyusunan berada pada Direksi dan biasanya didelegasikan kepada
42
pemangku fungsi Manajemen Risiko, tetapi pengesahannya tetap dilakukan oleh Direksi,
sebagai penangggung jawab utama penerapan manajemen risiko dan juga oleh Dewan
Komisaris, sebagai penanggung jawab utama pengawasan penerapan manajemen risiko.
Panduan Manajemen Risiko ini pada dasarnya unik untuk tiap perusahaan, akan tetapi
secara umum terdapat beberapa aspek yang sama, terutama menyangkut penggunaan
standar yang menjadi acuan dalam pedoman tersebut dan juga istilah umum yang dipakai.
Isi dan struktur Panduan Manajemen Risiko tersebut antara lain:
BAB I: PENDAHULUAN
Bagian ini pada umumnya menjelaskan mengenai latar belakang dan alasan mengapa
diterapkan manajemen risiko untuk seluruh perusahaan (ERM), maksud dan tujuan penerapan
ERM, serta maksud dan tujuan penyusunan Panduan ini. Selain itu disampaikan juga landasan
hukum penyusunan Panduan ini, acuan standar yang akan digunakan dalam Panduan, istilah
dan definisi. Bila definisi terlalu banyak, dapat juga dibuat dalam lampiran tersendiri. Sangat
disarankan juga dalam bagian ini disampaikan rencana tahapan penerapan manajemen risiko
untuk seluruh perusahaan, mulai dari persiapan, penyusunan infra struktur, sosialisasi,
penerapan hingga tahap monitoring dan review.
BAB II: PRINSIP-PRINSIP MANAJEMEN RISIKO
Berisikan uraian dan penjelasan prinsip-prinsip manajemen risiko yang menggunakan bahasa
yang seusai dengan perusahaan. Selain itu juga diberikan saran dan penjelasan bagaimana
prinsip tersebut dapat diaplikasikan dalam perusahaan. Salah satu saran yang diberikan adalah
menentukan prinsip-prinsip mana yang harus digunakan sebagai Risk Owner dan prinsipprinsip mana yang diperlukan untuk menyusun infrastruktur manajemen risiko perusahaan.
BAB III: KERANGKA KERJA MANAJEMEN RISIKO
Bagian ini menguraikan secara rinci infrastruktur pengelolaan manajemen risiko (risk
governance structure), tugas dan kewenangannya mulai dari Dewan Komisaris, Direksi, para
Risk Owner mulai dari Kepala Divisi, Kepala Bagian hingga Pemangku Proses. Selain itu juga
dijelaskan tugas dan kewenangan dari unit Manajemen Risiko, Auditor Internal dan Eksternal
dalam penerapan manajemen risiko perusahaan.
Selanjutnya, pada bagian ini juga diuraikan kebijakan operasional manajemen risiko
perusahaan yang antara lain berisikan tata laksana, komunikasi dan pelaporan manajemen
risiko, monitoring dan review secara menyeluruh, dan bagaimana melakukan upaya perbaikan
dan peningkatan kerangka kerja manajemen risiko perusahaan.
BAB IV: PROSES MANAJEMEN RISIKO
Dalam bagian ini diuraikan secara rinci apa saja yang harus dilakukan pada setiap tahapan
proses manajemen risiko. Tahapan proses manajemen risiko tersebut secara berurutan adalah
pertama Komunikasi dan Konsultasi; ke dua Menentukan Konteks; ke tiga Asesmen Risiko
dimana tahapan ini terdiri dari tiga sub-tahapan yaitu Identifikasi Risiko, Analisis Risiko dan
Evaluasi Risiko; ke empat Perlakuan Risiko dan ke lima adalah Monitoring dan Review.
43
Seperti yang telah diuraikan pada awal dari Bab III ini, pelaku proses manajemen risiko adalah
para Risk Owner, sehingga perlu dipastikan para risk owner tersebut memiliki kompoetensi
yang memadai dalam menangani risiko sesuai tanggung jawabnya.
BAB V: KONTEKS MANAJEMEN RISIKO PERUSAHAAN
Bab ini merupakan bagian yang penting, karena pada bagian ini aturan-aturan normatif
diletakkan pada praktek nyata di perusahaan. Hal ini dimulai, pertama dengan penguraian Visi,
Misi, Sasaran dan Strategi perusahaan dalam mencapai sasaran tersebut. Kemudian yang
kedua diuraikan
mengenai lingkungan eksternal perusahaan, terutama pemahaman
terhadap para pemangku perusahaan (stakeholders) yang utama. Ketiga dengan menguraikan
mengenai lingkungan internal perusahaan, terutama pemahaman proses bisnis utama
perusahaan. Selanjutnya yang kelima, menguraikan konteks manajemen risiko pada
perusahaan, kriteria risiko yang digunakan dan akhirnya risiko utama yang dihadapi oleh
perusahaan berdasarkan pendekatan proses bisnis utama dan keluarannya (outcome) yang
menentukan kinerja atau going concern perusahaan tersebut.
BAB VI: IMPLEMENTASI MANAJEMEN RISIKO PERUSAHAAN
Bagian ini menjelaskan persiapan penerapan manajemen risiko secara menyeluruh di
perusahaan dan memastikan bahwa semua infrastruktur penerapan manajemen risiko telah
siap, proses manajemen perubahan dan pelatihan telah dilaksanakan dengan baik, dll. Selain
itu juga memberikan Panduan penerapan pada tingkat individu dan tingkat kelompok kerja,
Panduan penerapan tingkat unit kerja dan tingkat unit bisnis serta panduan penerapan risiko
tingkat perusahaan.
Untuk pelaksanaannya, masing-masing unit kerja bersama dengan fungsi/unit Manajemen
Risiko harus membuat Instruksi Kerja terkait dengan penerapan manajemen risiko pada daerah
lingkup kerjanya masing-masing.
4.
Implementasi Manajemen Risiko
Implementasi manajemen risiko perusahaan pada dasarnya adalah implementasi Kerangka
Kerja Manajemen Risiko dan implementasi Proses Manajemen Risiko. Implementasi
Kerangka Kerja manajemen risiko telah diuraikan pada Bab II – Aspek Struktural penerapan
manajemen risiko perusahaan. Dalam hal tersebut yang perlu diingat adalah Kerangka
Kerja manajemen risiko perusahaan hanya satu dan berlaku untuk seluruh perusahaan.
Sedangkan proses manajemen risiko, walaupun metoda dan sistematika dasarnya serupa
tetapi konteks dan isinya, terutama alat dan metodanya dapat berbeda-beda untuk tiap
risiko yang akan ditangani.Sesuai dengan uraian di atas, maka pada bagian ini hanya akan
dibahas implementasi proses manajemen risiko saja.
Tahapan proses manajemen risiko adalah seperti yang ditampilkan pada Bab II hal 30
gambar 2, terdiri dari Komunikasi & Konsultasi, Penentuan Konteks, Asesmen Risiko (yang
44
terdiri dari Identifikasi Risiko, Analisis Risiko dan Evaluasi Risiko), Perlakuan Risiko dan
Monitoring and Review. Untuk beberapa perusahaan dapat saja melakukan perubahan
terhadap sistematika proses manajemen risiko sesuai dengan. Dalam beberapa hal dapat
juga dilakukan suatu survey mengenai tingkat kematangan kondisi manajemen risiko saat
ini (existing of risk management implementation) guna mengetahui kesenjangan yang ada
sehingga rencana penerapan manajemen risiko menjadi lebih terarah. Apabila tingkat
kematangan pengelolaan manajemen risiko sudah cukup tinggi, maka dapat langsung
dilakukan perencanaan pelaksanaan proses manajemen risiko.Akan tetapi sangat
disarankan untuk melakukan survey tingkat kematangan penerapan manajemen risiko (risk
maturity survey) terlebih dahulu sebelum melakukan penerapannya.
Tahapan-tahapan proses manajemen risiko tersebut di atas akan diuraikan secara lebih luas
pada bagian-bagian berikut di bawah ini.
5.
Komunikasi dan Konsultasi
Pada dasarnya proses yang dilakukan sama dengan yang dilakukan pada kerangka kerja
manajemen risiko, tetapi karena konteks yang ditangani berbeda, maka proses ini harus
dilakukan secara lebih fokus.
Komunikasi dan konsultasi dengan pemangku kepentingan internal maupun eksternal
harus dilaksanakan sesering mungkin sesuai dengan kebutuhan dan pada setiap tahapan
proses manajemen risiko. Oleh karena itu, sejak awal harus disusun suatu rencana
komunikasi dan konsultasi dengan para pemangku kepentingan. Rencana ini harus merujuk
pada risiko yang mungkin terjadi, dampaknya, dan apa yang perlu dilakukan untuk
mengatasinya, serta hal-hal lain yang terkait.
Komunikasi dan konsultasi yang efektif, baik internal maupun eksternal, haruslah
menghasilkan kejelasan bagi pihak-pihak yang bertanggung jawab untuk menerapkan
proses manajemen risiko dan para pemangku kepentingan terkait. Mereka harus
memahami dengan baik kriteria pengambilan keputusan serta mengapa suatu tindakan
perlu diambil.
45
Pendekatan konsultasi secara kelompok sangat disarankan untuk menghasilkan hal-hal
berikut antara lain(tetapi tidak terbatas):
a.
Penentuan konteks yang benar;
b. Memastikan bahwa kepentingan para pemangku kepentingan telah dimengerti dan
dipertimbangkan dengan baik;
c.
Memperoleh manfaat dari berbagai keahlian yang ada untuk menganalisis risiko
(multidisiplin);
d. Memastikan bahwa semua risiko telah diidentifikasikan dengan baik;
e.
Memastikan bahwa berbagai pandangan telah dipertimbangkan dalam melakukan
evaluasi risiko;
f.
Meningkatkan proses manajemen perubahan ketika pelaksanaan proses manajemen
risiko;
g.
Memperoleh persetujuan dan dukungan untuk tindakan perlakuan risiko; serta
h. Mengembangkan rencana komunikasi dan konsultasi internal maupun eksternal.
Pengenalan siapa saja pemangku kepentingan risiko yang terkait, baik internal maupun
eksternal harus dilakukan dengan baik. Ini penting karena akan menentukan strategi
komunikasi dan konsultasi yang akan dilaksanakan. Teknik “Stakeholders Analysis”, akan
sangat membantu dalam melaksanakan proses ini.
Komunikasi dan konsultasi dengan para pemangku kepentingan sangat penting karena
mereka memberikan pertimbangan dan penilaian terhadap risiko yang didasarkan atas
persepsi mereka terhadap risiko tersebut. Persepsi terhadap risiko ini sangat berbeda bagi
masing-masing pemangku kepentingan, baik dari segi nilai, konsep, kebutuhan, maupun
kepentingan mereka. Apabila pandangan mereka mempunyai pengaruh yang menentukan
dalam pengambilan keputusan maka menjadi sangat penting untuk dapat mengidentifikasi
persepsi mereka. Hal tersebut perlu dicatat dan dijadikan bahan pertimbangan dalam
proses pengambilan keputusan.
Rencana komunikasi dan konsultasi hendaknya:
a.
Merupakan forum untuk bertukar informasi di antara para pemangku kepentingan;
46
b. Tempat untuk menyampaikan pesan secara jujur, akurat, mudah dimengerti, dan
didasarkan pada fakta yang ada;
c.
6.
Bermanfaat dan besar kontribusinya harus dapat dinilai.
Menentukan Konteks
Menentukan konteks berarti manajemen organisasi menentukan batasan atau parameter
internal dan eksternal yang akan dijadikan pertimbangan dalam pengelolaan risiko,
menentukan lingkup kerja, dan kriteria risiko untuk proses-proses selanjutnya. Konteks yang
ditetapkan haruslah meliputi semua parameter internal dan eksternal yang relevan dan
penting bagi organisasi. Dalam menetapkan konteks akan banyak ditemui kesamaan
parameter dengan proses sebelumnya, yaitu ketika merencanakan kerangka kerja
manajemen risiko. Akan tetapi, dalam proses manajemen risiko, parameter ini akan ditelaah
jauh lebih rinci, khususnya yang terkait dengan lingkup suatu proses manajemen risiko
tertentu. Dalam proses ini akan ditetapkan :
a.
Konteks Eksternal
Konteks eksternal adalah lingkungan eksternal di mana organisasi tersebut
mengupayakan pencapaian sasaran yang ditetapkannya. Memahami konteks eksternal
penting untuk memastikan siapa saja pemangku kepentingan eksternal; apa saja
kepentingan dan sasarannya sehingga dapat dipertimbangkan dalam menentukan
kriteria
risiko.
Proses
penentuan
kriteria
risiko
ini
dilakukan
dengan
mempertimbangkan konteks organisasi secara luas, tetapi dengan memperhatikan
ketentuan hukum dan peraturan perundangan secara lebih rinci, persepsi para
pemangku kepentingan, dan aspek lain yang spesifik dari risiko tertentu pada proses
manajemen risiko.
Konteks eksternal dapat meliputi antara lain (tetapi tidak terbatas):
1) Lingkungan politik, sosial, ekonomi, budaya, keuangan, hukum, teknologi, dan
keadaan alam, baik nasional, regional maupun international yang berpengaruh
terhadap pencapaian sasaran organisasi;
47
2) Faktor-faktor pendorong dan kecenderungan yang mempunyai dampak terhadap
pencapaian sasaran organisasi;
3) Persepsi dan nilai-nilai para pemangku kepentingan eksternal.
b. Konteks Internal
Konteks
internal
adalah
lingkungan
internal
di
mana
organisasi
tersebut
mengupayakan pencapaian sasaran yang ditetapkannya. Proses manajemen risiko
haruslah diselaraskan dengan budaya, proses, dan struktur organisasi. Konteks internal
adalah segala sesuatu di dalam organisasi yang dapat memengaruhi cara organisasi
dalam mengelola risiko. Hal ini harus ditetapkan karena:
1) Proses manajemen risiko dilaksanakan dalam konteks pencapaian sasaran
organisasi;
2) Sasaran dan kriteria dalam suatu proses atau proyek harus dipertimbangkan
dengan memerhatikan sasaran organisasi secara keseluruhan;
3) Salah satu risiko terbesar adalah kegagalan organisasi dalam mencapai sasaran
strategis, sasaran proyek, dan/atau sasaran binis. Risiko kegagalan ini
mempengaruhi kemampuan organisasi dalam memenuhi kewajibannya dan dapat
berakibat pada kredibilitas, kepercayaan, serta nilai organisasi.
Penting untuk memahami konteks internal ini dalam pengertian misalnya sebagai
berikut:
1) Kapabilitas organisasi dalam pengertian sumber daya dan sumber pengetahuan
yang dimiliki (misalnya modal, waktu, orang, sistem, proses, dan teknologi);
2) Sistem informasi, alur komunikasi, dan proses pengambilan keputusan, baik yang
formal maupun informal;
3) Para pemangku kepentingan internal;
4) Kebijakan, sasaran, dan strategi untuk mencapainya;
5) Persepsi, nilai-nilai dan budaya organisasi;
6) Standar dan model acuan yang diadopsi organisasi; serta
7) Struktur (governance, peran dan akuntabilitas).
48
c.
Konteks Proses Manajemen Risiko
Konteks proses manajemen risiko adalah konteks di mana proses manajemen risiko
diterapkan. Hal ini meliputi sasaran organisasi, strategi, lingkup, parameter kegiatan
organisasi, atau bagian lain di mana manajemen risiko diterapkan. Penerapan
manajemen risiko dilaksanakan dengan mempertimbangkan biaya dan manfaat dalam
pelaksanaannya. Sumber daya, tanggung jawab, akuntabilitas, kewenangan, dan
pencatatan/dokumentasi proses yang diperlukan, harus ditentukan dengan baik.
Konteks proses manajemen risiko akan berubah sesuai dengan kebutuhan organisasi.
Hal ini dapat meliputi antara lain (tetapi tidak terbatas):
1) Penetapan tanggung jawab untuk proses manajemen risiko;
2) Penetapan lingkup kegiatan manajemen risiko, baik dari luas maupun
kedalamannya, termasuk bila ada hal-hal khusus yang harus diperhatikan atau
tidak dicakup;
3) Penentuan tujuan, sasaran, lokasi, maupun tempat dari kegiatan, proses, fungsi,
proyek, produk jasa dan harta yang terkena kegiatan manajemen risiko;
4) Penentuan hubungan dari proyek atau kegiatan khusus organisasi dengan proyek
dan kegiatan lain organisasi;
5) Penentuan metode untuk melakukan asesmen risiko;
6) Penentuan kriteria penilaian kinerja manajemen risiko;
7) Melakukan identifikasi dan spesifikasi keputusan-keputusan yang harus diambil;
8) Melakukan identifikasi, lingkup, ataupun kerangka kajian studi yang diperlukan,
termasuk luas dan sasarannya serta sumber daya yang diperlukan untuk
melakukan kajian tersebut.
Faktor-faktor di atas dapat membantu mengetahui apakah pendekatan proses
manajemen risiko yang digunakan sesuai dengan kebutuhan organisasi dan dampaknya
terhadap risiko-risiko yang dapat mempengaruhi pencapaian sasaran organisasi.
49
d. Mengembangkan Kriteria Risiko
Organisasi harus menyusun kriteria risiko yang akan digunakan untuk mengevaluasi
tingkat bahaya suatu risiko. Kriteria ini dapat merupakan cerminan nilai-nilai
organisasi, sasaran organisasi, dan dampak terhadap sumber daya yang dimiliki
organisasi. Beberapa kriteria lain yang memungkinkan untuk ditambahkan dapat
berasal dari aspek hukum dan peraturan perundangan serta peraturan lain yang terkait
dengan kegiatan perusahaan, misalnya standar industri terkait. Kriteria ini harus
konsisten dengan kebijakan manajemen risiko yang telah ditetapkan perusahaan.
Kriteria risiko harus disusun pada awal penerapan proses manajemen risiko dan harus
ditinjau ulang secara berkala.
Beberapa faktor yang perlu diperhatikan pada saat menyusun kriteria risiko antara
lain:
1) Jenis dan sifat dari dampak yang mungkin terjadi serta bagaimana mengukurnya;
2) Bagaimana menetapkan kemungkinan terjadinya;
3) Kerangka waktu pengukuran kemungkinan dan dampak;
4) Bagaimana menentukan peringkat risiko;
5) Pada peringkat manakah risiko dapat diterima atau dapat ditolerir;
6) Pada peringkat manakah risiko memerlukan perlakuan;
7) Apakah kombinasi dari berbagai macam risiko perlu mendapatkan pertimbangan
khusus.
Penyusunan kriteria ini terutama diperlukan pada tahap berikutnya, yaitu asesmen
risiko. Kriteria yang perlu dipertimbangkan antara lain:
1) Kriteria dampak (consequences), yaitu dampak apa saja yang perlu dijadikan
kriteria untuk penilaian akibat timbulnya risiko, misalnya dampak finansial,
dampak terhadap kesehatan dan nyawa, dampak hukum, dll.;
2) Bagaimana cara mengukur kemungkinan terjadinya risiko (likelihood)? Apakah
dengan menggunakan statistik (probabilitas), frekuensi kejadian per satuan waktu
(hari, minggu, bulan, tahun), atau dengan expert judgement?
50
3) Bagaimana cara menyusun kriteria tingkatan risiko (risklevel)? Pada peringkat
risiko yang bagaimanakah sebuah risiko memerlukan perlakuan lebih lanjut dan
pada peringkat mana dapat kita terima begitu saja? Hal ini diperlukan untuk
menyusun prioritas perlakuan risiko.
4) Bagaimana cara untuk menentukan selera risiko yang dapat ditanggung oleh
organisasi dalam mencapai sasaran organisasi dan secara berjenjang diturunkan
menjadi toleransi risiko untuk setiap kegiatan utama organisasi ataupun pada unitunit dalam organisasi tersebut.
Setiap organisasi adalah unik, mempunyai karakter, sifat, sasaran bisnis, dan
stakeholders yang tidak sama. Oleh karena itu, setiap organisasi harus menyusun
sendiri kriteria risiko yang paling sesuai dengan dirinya. Selain itu, organisasi juga harus
menyusun kriteria keberhasilan penerapan proses manajemen risiko untuk memahami
keberhasilan penerapannya.
Pada tahap ini, proses penyusunan kriteria risiko cukup dengan indikasi macam-macam
kriteria yang akan digunakan. Pembahasan kriteria risiko yang lebih komprehensif dan
ukuran-ukurannya akan dilakukan pada tahap analisis dan evaluasi risiko.
Khusus untuk kriteria dampak risiko, perlu diperhatikan korelasi kriteria dampak risiko
tersebut dengan kriteria sasaran. Ini diperlukan agar terjadi “kesamaan bahasa” dalam
menyatakan dampak risiko terhadap sasaran yang telah ditetapkan. Sebagai contoh,
dalam proyek manajemen kriteria umum, keberhasilan proyek dinyatakan dalam biaya,
mutu, dan waktu. Penerapan proses manajemen risiko pada proyek juga harus
menggunakan kriteria dampak terhadap biaya, mutu, dan waktu.
7.
Asesmen Risiko
Proses asesmen risiko merupakan proses untuk mengidentifikasi risiko-risiko apa saja yang
mungkin terjadi, kemudian masing-masing risiko tersebut akan diberi atribut sesuai dengan
analisis yang dilakukan terhadap setiap risiko itu dengan menggunakan kriteria risiko yang
ditentukan pada tahap sebelumnya. Setelah risiko-risiko tersebut telah mendapatkan
atributnya, maka akan dilakukan evaluasi untuk menentukan peringkat risiko, sehingga
51
dapat ditentukan tingkat prioritas risiko yang akan memerlukan perlakuan risiko ditahap
berikutnya. Dengan demikian maka dalam tahap ini akan dilakukan pembahasan mengenai
Identifikasi risiko, Analisis risiko, dan Evaluasi risiko.
a.
Identifikasi Risiko
Tahapan ini bertujuan untuk mengidentifikasi risiko yang harus dikelola perusahaan
melalui proses yang sistematis dan terstruktur. Proses ini sangat penting karena risiko
yang tidak teridentifikasi pada proses ini tidak akan ditangani pada proses-proses
selanjutnya. Proses ini juga harus mengupayakan untuk mengidentifikasikan risikorisiko, baik yang dalam kendali maupun di luar kendali organisasi perusahaan
(eksternal).
Proses tersebut dimulai dengan mengidentifikasikan secara komprehensif, ekstensif,
dan intensif mengenai risiko apa saja yang dapat terjadi, di mana, dan situasi apa risiko
dapat terjadi. Setelah diperoleh daftar risiko yang dapat terjadi, maka mulai dianalisis
mengapa hal tersebut dapat terjadi dan bagaimana terjadinya. Penting untuk
diperhatikan bahwa risiko yang tidak teridentifikasi pada tahap ini tidak akan masuk
dalam perhatian penanganan proses selanjutnya.
Sasaran identifikasi risiko adalah mengembangkan daftar sumber risiko dan kejadian
yang komprehensif serta memiliki dampak terhadap pencapaian sasaran dan target
(atau elemen kunci) yang teridentifikasi. Dokumen utama yang dihasilkan dalam proses
ini adalah daftar risiko (risk register).
Risiko dalam manajemen risiko bukan sekadar suatu kejadian, peristiwa, atau kondisi
yang dapat berkembang/terjadi, namun mencakup pula berbagai informasi yang
terkait dengan kejadian, peristiwa, atau kondisi tersebut. Oleh karena itu dalam
proses identifikasi risiko, informasi yang dikumpulkan antara lain mencakup:
1) Sumber risiko:stakeholders, benda, atau kondisi lingkungan yang dapat memicu
timbulnya risiko.
2) Kejadian: peristiwa yang dapat terjadi dan berdampak terhadap pencapaian
sasaran dan target.
3) Konsekuensi: dampak terhadap aset organisasi atau stakeholders.
52
4) Pemicu (apa dan mengapa): faktor-faktor yang menjadi pemicu timbulnya suatu
peristiwa berisiko. Ini terkait dengan kemungkinan terjadinya risiko.
5) Pengendalian: langkah-langkah antisipasi dan pencegahan awal yang dapat
dilaksanakan.
6) Perkiraan kapan risiko terjadi dan di mana risiko itu dapat terjadi.
Elemen-elemen kunci di atas dapat bertambah atau malah berkurang, tergantung
kebutuhan pada saat menetapkan konteks manajemen risiko.
Untuk mengembangkan daftar risiko yang komprehensif, digunakan suatu proses
sistematis dan terstruktur yang sudah dilakukan sejak penentuan konteks manajemen
risiko. Proses identifikasi risiko yang efektif dapat ditunjukkan bila menggunakan
tahapan yang terstruktur pada proses, proyek, dan kegiatan sesuai dengan kriteria
yang telah digunakan ketika menetapkan konteks manajemen risiko. Hal ini untuk
memastikan bahwa proses identifikasi risiko telah berlangsung komprehensif dan tidak
ada proses atau isu penting yang terlewatkan
Ada banyak teknik untuk melakukan proses identifikasi risiko, namun secara umum
teknik tersebut dapat dikategorikan sebagai berikut:
1) Berdasarkan teknik Brainstorming
antara lain, adalah Brainstorming, Delphi
Method, RCSA (Risk Control Self-Assessment), dll.;
2) Berdasarkan persepsi para pihak terkait, misalnya antara lain DocumentReview,
Stakeholders Analysis, Expert Judgement, dll.;
3) Berdasarkan proses bisnis, misalnya FMEA (Failure Mode & Effect Anlysis);
4) Berdasarkan struktur organisasi atau struktur pekerjaan (workbreakdown
structure), misalnya RBS (Risk Breakdown Structure).
Dalam praktiknya proses indentifikasi risiko dapat saja dilakukan dengan kombinasi
dari berbagai macam teknik di atas untuk memastikan bahwa semua risiko telah dapat
diidentifikasi. Hasil akhir dari proses identifikasi risiko adalah dibuatnya daftar risiko.
Daftar risiko adalah suatu rekaman data mengenai riwayat risiko dan perkembangan
perlakuannya. Dengan demikian, daftar risiko merupakan data dasar dalam proses
53
manajemen risiko yang harus selalu dimutakhirkan sesuai dengan perkembangan dan
dinamika proses, serta konteks organisasi. Namun tidak terdapat suatu format baku
dalam penyusunan daftar risiko.
Secara umum, struktur isi dari daftar risiko meliputi tiga hal; yaitu bagian pertama
untuk pengendalian dokumen; bagian kedua untuk identitas risiko; dan bagian ketiga
adalah riwayat risiko. Bagian pertama yang merupakan pengendalian dokumen
berisikan hal-hal sebagai berikut:
1) Judul dokumen;
2) Nomor dokumen;
3) Nomor pemutakhiran /revisi;
4) Nama risiko;
5) Lokasi proses / bagian tempat risiko;
6) Tanggal pembuatan;
7) Lembar pengesahan, yang memuat:
a) Pihak yang membuat /pemangku risiko;
b) Pihak yang memeriksa/ atasan pemangku risiko;
c)
Pihak yang menyetujui;
Bagian kedua yang merupakan identitas risiko berisikan hal-hal sebagai berikut:
1) Uraian rinci mengenai risiko;
2) Perkiraan sumber risiko dan pemicu terjadinya risiko;
3) Pemangku kepentingan yang terkait dengan risiko tersebut (partisipan terhadap
risiko tersebut);
4) Uraian dampak risiko dan peringkat nilai dampak tersebut;
5) Uraian
kemungkinan
terjadinya
risiko
tersebut
dan
peringkat
nilai
kemungkinannya;
6) Tingkat kegawatan risiko, yaitu nilai dampak dikalikan dengan nilai kemungkinan;
7) Status risiko dan informasi perkembangannya, apakah risiko tersebut masih aktif
atau sudah tidak aktif, atau bahkan berkembang menjadi lebih besar;
8) Catatan hasil monitoring dan review.
54
Bagian ketiga dari daftar risiko merupakan riwayat dari perlakuan yang sudah
dilakukan terhadap risiko tersebut. Bagian ini berisikan hal-hal sebagai berikut:
1) Nomor perlakuan risiko;
2) Penanggung jawab perlakuan risiko;
3) Jenis dan uraian perlakuan risiko secara umum;
4) Jadwal perlakuan risiko yang direncanakan;
5) Target perlakuan risiko yang dapat meliputi penurunan dampak risiko dan/atau
kemungkinan timbulnya risiko;
6) Pemeriksaan hasil perlakuan risiko sesuai dengan target perlakuan risiko, yaitu
nilai dampak dan nilai kemungkinan;
7) Keputusan terhadap hasil perlakuan risiko, apakah diterima ataukah memerlukan
perlakuan risiko lebih lanjut.
Tabel risiko merupakan tabel yang berisikan kumpulan risiko-risiko yang sudah
dibuatkan daftar risikonya. Keduanya merupakan hasil keluaran proses identifikasi
risiko.
b.
Analisis Risiko
Analisis risiko adalah upaya untuk memahami risiko lebih dalam. Hasil analisis risiko ini
akan menjadi masukan dalam proses evaluasi risiko dan yang nantinya digunakan
untuk proses pengambilan keputusan mengenai perlakuan terhadap risiko tersebut.
Selain itu analisis risiko dapat diartikan juga sebagai cara dan strategi yang tepat dalam
memperlakukan risiko tersebut.
Proses analisis seringkali dimulai dengan pendekatan kualitatif sederhana guna
memberikan pemahaman umum. Ketika pemahaman lebih rinci dibutuhkan maka
diperlukan investigasi yang lebih terarah dan handal. Namun, kurang tepat jika
berasumsi bahwa analisis kuantitatif lebih superior daripada analisis kualitatif. Karena
yang penting adalah kesesuaian penggunaan pendekatan analisis dengan kebutuhan
berdasarkan situasi yang berkembang saat itu.
Analisis risiko dapat dilaksanakan dengan tingkat kerincian yang bervariasi, tergantung
dari jenis risiko, sasaran analisis risiko, informasi, data, dan sumber daya yang tersedia.
55
Analisis dapat dilakukan secara kuantitatif, semi kuantitatif, kualitatif, atau kombinasi
dari cara-cara ini, tergantung dari kondisi yang ada. Dalam praktik biasanya dilakukan
analisis kualitatif terlebih dahulu untuk mendapatkan indikasi umum tingkat risiko dan
mengetahui peta risiko serta risiko-risiko yang patut mendapat perhatian. Setelah itu,
sesuai dengan keperluan, harus dilaksanakan langkah berikutnya dengan melakukan
analisis yang lebih spesifik dan secara kuantitatif.
Tujuan dari analisis risiko adalah melakukan analisis dampak dan kemungkinan semua
risiko yang dapat menghambat tercapainya sasaran organisasi, juga semua peluang
yang mungkin dihadapi organisasi. Kondisi ini dicapai antara lain bila beberapa hal
berikut dapat dipenuhi:
1) Proses analisis risiko dilaksanakan secara komprehensif dan mencakup semua
risiko serta peluang yang ditemui dalam proses identifikasi risiko sebelumnya dan
telah masuk ke dalam daftar risiko;
2) Semua yang terkait dengan risiko tersebut (para pemangku risiko) telah terlibat
dalam proses analisis dan melakukan analisis berdasarkan informasi, data, serta
pengetahuan yang mereka miliki dengan baik;
3) Proses analisis ini didampingi atau ditunjang dengan pengetahuan mengenai
manajemen risiko yang memadai;
4) Waktu yang dialokasikan untuk proses ini cukup memadai;
5) Ukuran kemungkinan dan dampak yang digunakan harus konsisten dan sesuai
dengan organisasi tersebut. Apabila digunakan tabel kemungkinan dan dampak,
besaran dan pengelompokan nilai yang digunakan hendaknya tidak terlalu lebar
dan juga tidak terlalu sempit, tetapi sesuai dengan organisasi tersebut.
Pilihan metode analisis ditentukan oleh konteks, sasaran, dan sumber daya yang
tersedia. Sebagai contoh, pada tingkat strategis, kategori risiko yang lebih luas dapat
diidentifikasi dan dianalisis untuk memeroleh profil risiko organisasi. Profil ini akan
menunjukkan isu-isu penting mengenai sistem manajemen dan perlakuan risiko yang
perlu dibangun. Pada tingkat unit bisnis atau proyek, para Manajer perlu
56
mengidentifikasi dan memprioritaskan risiko-risiko spesifik yang mengancam
pencapaian sasaran/target yang ditetapkan.
Beberapa risiko perlu diuji lebih rinci lagi. Berikut ini adalah alasan-alasan
diperlukannya analisis risiko secara kuantitatif, yaitu:
1) Untuk memeroleh lebih banyak informasi tentang konsekuensi atau kemungkinan
sehingga keputusan mengenai prioritas risiko dapat berbasis data dan informasi
daripada menduga-duga;
2) Untuk lebih memahami risiko dan penyebabnya sehingga rencana penanganan
dapat diarahkan pada akar penyebab sebenarnya daripada gejala dari suatu
permasalahan;
3) Di mana kriteria keputusan memerlukan analisis yang lebih mendalam, karena
kriteria tersebut dinyatakan secara kualitatif;
4) Membantu setiap orang memilih opsi-opsi yang memiliki perbedaan dalam hal
biaya dan manfaat serta potensi peluang dan ancaman;
5) Menyediakan pemahaman yang lebih baik tentang risiko kepada individu yang
harus bekerja dengan menghadapi risiko;
6) Menyediakan pemahaman mengenai risiko tersisa setelah strategi penanganan
Tinggi
Risiko
Menengah
Risiko
Tinggi
Rendah
KEM UN GK I NAN
risiko diterapkan.
Risiko
Rendah
Risiko
Menengah
Kecil
Besar
DAM PAK
Gambar 6: Peringkat risiko
57
Berdasarkan formulasi hubungan dampak dan kemungkinan yang dapat dijadikan
“ukuran” pemeringkatan kegawatan risiko maka akan diperoleh gamabran hasil
analisis risiko yang secara sederhana dapat ditampilkan pada gambar 6 di atas.
Setiap risiko berdasarkan hasil perkalian dampak dan kemungkinannya akan
mendapatkan peringkatnya sesuai dengan posisinya dalam peta tersebut di atas.
Mengingat bahwa pengertian risiko juga mempunyai pengertian positif, maka dampak
pada gambar juga dapat diartikan peluang dan tidak hanya ancaman belaka.
c.
Evaluasi risiko
Tujuan dari evaluasi risiko adalah membantu proses pengambilan keputusan
berdasarkan hasil analisis risiko. Proses evaluasi risiko akan menentukan risiko-risiko
mana yang memerlukan perlakuan dan bagaimana prioritas perlakuan atas risiko-risiko
tersebut. Dengan kata lain hasil dari evaluasi risiko menunjukkan peringkat risiko yang
memerlukan penanganan lebih lanjut atas dasar risiko yang tersisa dan efektifitas
pengendalian risiko yang ada. Kemudian hasil evaluasi risiko tersebut akan menjadi
masukan bagi proses perlakuan risiko.
Hasil analisis risiko menjadi masukan untuk dievaluasi lebih lanjut menjadi urutan
prioritas perlakuan risiko, sekaligus menyaring risiko-risiko tertentu untuk tidak
ditindaklanjuti atau diperlakukan khusus. Keputusan tindak lanjut tersebut mencakup:
1) Apakah suatu risiko butuh penanganan?
2) Apakah suatu tindakan penanganan perlu dilakukan?
3) Bagaimanakah prioritas perlakuan risiko disusun?
Sifat dari keputusan yang perlu diambil dan kriteria yang akan digunakan dalam
pengambilan keputusan telah ditetapkan pada tahap penyusunan konteks, tetapi perlu
ditinjau kembali secara lebih rinci pada tahap ini. Hal ini diperlukan karena telah
diperoleh informasi lebih banyak mengenai risiko-risiko tersebut dari tahap analisis
risiko.
Kriteria risiko yang paling sederhana hanya memisahkan antara risiko yang perlu
ditangani dengan yang tidak perlu ditangani. Kesederhanaan ini menarik, tapi tidak
58
menggambarkan unsur ketidakpastian dalam memperkirakan risiko dan menetapkan
batasan yang jelas antara risiko yang butuh penanganan dengan yang tidak.
Saat ini, kebanyakan pihak membagi risiko ke dalam tiga kelompok:
1) Kelompok Atas (High Risks): adalah kelompok di mana terdapat risiko-risiko yang
berbahaya dan tidak bisa ditolerir, apapun manfaat yang dikandung dalam
kegiatan tersebut. Oleh karena itu, langkah-langkah mitigasi risiko (risk reduction)
harus diambil, berapapun biayanya.
2) Kelompok Tengah (Medium Risks): adalah kelompok risiko di mana perlu ada
analisis manfaat-biaya guna mengukur perbandingan antara peluang serta dampak
buruknya.
3) Kelompok Bawah (Low Risk): adalah kelompok risiko di mana aspek positif atau
negatif risiko tersebut sangat sepele atau terlalu kecil sehingga tidak butuh
penanganan risiko secara khusus.
Contoh risiko jenis pertama di atas biasanya adalah risiko yang terkait dengan
keselamatan dan kesehatan. Hal tersebut diperkuat apabila risiko ini dapat berubah
menjadi pandemi yang melanda seluruh negara. Contoh untuk hal tersebut misalnya
adalah untuk industri penerbangan, risiko terbesar adalah keselamatan penerbangan.
Risiko jenis kedua biasanya risiko bisnis, di mana setiap peluang atau investasi atau
suatu program peningkatan usaha harus dihitung terlebih dahulu manfaat versus
biayanya. Sedangkan jenis risiko yang ketiga banyak kita jumpai dalam kehidupan
sehari-hari, misalnya risiko salah tulis, salah makan, dsb. Yang perlu diperhatikan
adalah bahwa risiko dari kesalahan kecil ini tidak membawa kejutan berupa dampak
besar dan tidak diinginkan.
Dalam menentukan ke tiga kriteria risiko tersebut di atas maka pengertian
pengendalian risiko harus ikut diperhatikan. Karena dapat saja hasil kriteria risiko
berdasarkan analisis risiko masuk kriteria risiko tinggi, tetapi karena pengendalian
risikonya efektif, maka risiko tersisa menjadi kecil, sehingga kategorinya menjadi risiko
rendah. Dalam kondisi semacam ini perhatian akan difokuskan pada keberadaan
pengendalian risiko dan apakah pengendalian risiko tersebut cukup efektif atau tidak.
59
8.
Perlakuan Risiko
Oleh karena hasil dari evaluasi risiko adalah suatu daftar yang berisi peringkat risiko yang
memerlukan perlakuan lebih lanjut, maka manajemen organisasi harus melakukan kajian
dan menentukan jenis serta bentuk perlakuan risiko yang diperlukan. Perlakuan risiko ini
tidak harus bersifat khusus untuk satu situasi tertentu dan tidak harus berlaku umum. Hal
ini berarti setiap risiko memerlukan bentuk perlakuan yang khas untuk tiap risiko itu
sendiri.
Untuk setiap risiko yang memerlukan perlakuan lebih lanjut, maka perlu dilakukan
pemeriksaan ulang yang cukup komprehensif terhadap informasi dan data hasil analisis
risiko. Hal ini diperlukan untuk memahami sumber atau penyebab risiko, apa pemicu
timbulnya risiko, bagaimana besar kemungkinan terjadinya, serta seberapa besar
dampaknya. Selain itu, perlu juga dipahami kondisi lingkungan (hukum, sosial, politik,
ekonomi, dll.) serta siapa saja yang terlibat dalam kegiatan yang berisiko tersebut.
Pengkajian awal yang cukup mendalam seringkali membuahkan satu pilihan perlakuan risiko
yang tidak hanya bermanfaat untuk satu risiko, tetapi juga untuk risiko-risiko lainnya.
Artinya, satu perlakuan risiko untuk beberapa risiko. Di lain pihak, mungkin untuk satu
macam risiko diperlukan beberapa macam perlakuan risiko.
Secara umum, perlakuan terhadap suatu risiko dapat berupa salah satu dari empat
perlakuan sebagai berikut:
1) Menghindari risiko (risk avoidance), berarti tidak melaksanakan atau meneruskan
kegiatan yang menimbulkan risiko tersebut.
2) Berbagi risiko (risk sharing/transfer), yaitu suatu tindakan untuk mengurangi
kemungkinan timbulnya risiko atau dampak risiko. Hal ini dilaksanakan antara lain
melalui asuransi, outsourcing, subcontracting, tindak lindung transaksi nilai mata uang
asing, dll.
3) Mitigasi (mitigation), yaitu melakukan perlakuan risiko untuk mengurangi kemungkinan
timbulnya risiko, atau mengurangi dampak risiko bila terjadi, atau mengurangi
keduanya, yaitu kemungkinan dan dampak. Perlakuan ini sebetulnya adalah bagian dari
kegiatan organisasi sehari-hari.
60
4) Menerima risiko (risk acceptance), yaitu tidak melakukan perlakuan apapun terhadap
risiko tersebut.
Sesuai dengan penjelasan di atas maka dalam menentukan pilihan perlakuan risiko, perlu
diperhatikan beberapa hal, yaitu:
1) Bagaimana pengaruh perlakuan risiko yang dipilih terhadap kemungkinan terjadinya
risiko atau dampak yang ditimbulkan oleh risiko tersebut. Pengaruh dari perlakuan ini
juga harus dipertimbangkan dengan toleransi atau selera risiko organisasi.
2) Pertimbangan biaya dengan manfaat dari perlakuan risiko yang dipilih.
3) Bagaimanakah kemungkinan pencapaian sasaran organisasi dengan adanya perlakuan
risiko tersebut?
Melihat berbagai macam variabel dan opsi pemilihan perlakuan risiko maka perlu
dikembangkan suatu strategi untuk memilih jenis perlakuan.
Strategi yang perlu diterapkan dapat dijelaskan sebagai berikut, pertama-tama tentu bila
tidak perlu maka tidak usah kita melakukan tindakan yang berisiko. Hal ini akan menjadi
lain kalau tindakan/kegiatan ini memang diperlukan untuk pencapaian sasaran dan tujuan
organisasi. Bila demikian maka pertanyaannya adalah bagaimana kita mereduksi risiko ini?
Ada dua cara mereduksi risiko ini, yaitu mitigasi atau berbagi risiko. Pilihan pertama adalah
berbagi risiko karena ini akan memberikan kita ruang dan waktu untuk menangani hal lain
yang penting, juga menghemat penggunaan sumber daya manusia. Bila pengkajian
penggunaan modus berbagi risiko tidak memungkinkan maka pilihannya adalah melakukan
mitigasi.
Mitigasi risiko terdiri dari dua macam cara pula, yaitu pertama mengurangi kemungkinan
terjadinya risiko melalui penanganan pada sumber risiko dan pemicu terjadinya peristiwa
yang berisiko. Kedua adalah emngurangi dampak bila risiko tersebut terjadi. Hal ini
dilakukan dengan menganalisa dampak apa saja yang dapa terjadi dan dilakukan persiapan
penanggulangan dampak pada saat risiko tersebut terjadi. Dengan demikian dampak
negative yang terjadi diharapkan dapat direduksi.
61
Pilihan terakhir adalah menerima risiko ini, karena memang menjadi bagian yang tak
terpisahkan dari proses pencapaian sasaran organisasi. Jika pilihan ini terpaksa diambil
maka proses monitoring dan review harus dilakukan dengan ketat.
9.
Monitoring dan Review
Monitoring dan review harus menjadi bagian yang sudah direncanakan dalam proses
manajemen risiko. Petugas yang bertanggung jawab untuk melaksanakan proses
monitoring dan review harus ditentukan secara tegas.
Proses monitoring dan review harus mencakup semua aspek dari proses manajemen risiko
dengan tujuan agar:
1) Terdapat proses pembelajaran dan analisis dari setiap peristiwa, perubahan, dan
kecenderungan (trends) yang terjadi;
2) Terdeteksi perubahan dalam lingkup internal maupun eksternal, termasuk perubahan
risiko itu sendiri yang memerlukan perubahan atau revisi perlakuan risiko, atau bahkan
perubahan prioritas risiko;
3) Memastikan bahwa pengendalian risiko dan perlakuan risiko masih tetap efektif, baik
secara desain maupun pelaksanaannya;
4) Mengidentifikasikan terjadinya risiko-risiko yang baru.
Kemajuan dalam penerapan rencana perlakuan risiko dapat menjadi ukuran kinerja
organisasi dan dapat disatukan dengan keseluruhan pengukuran kinerja organisasi. Hal ini
merupakan bagian dari manajemen kinerja dan sistem pelaporan internal serta eksternal
organisasi.
Monitoring dan review bisa berupa pemeriksaan biasa atau pengamatan terhadap apa
yang sudah ada, baik secara berkala maupun secara khusus. Kedua bentuk ini harus
dilakukan secara terencana.
Hasil monitoring dan review harus didokumentasikan dengan baik serta sesuai dengan
kebutuhan. Harus juga dilaporkan, baik internal maupun eksternal. Ini juga merupakan
bagian dalam proses review kerangka manajemen risiko
Dalam menerapkan proses monitoring dan review yang mampu memenuhi fungsi yang
diinginkan, manajemen organisasi harus mempertimbangkan beberapa pertanyaan dasar
62
dalam menyusun proses monitoring dan review ini. Beberapa pertanyaan dasar tersebut
adalah:
1) Siapa yang harus melakukan monitoring dan review?
2) Apa yang perlu dipantau dan ditinjau?
3) Informasi yang bagaimana yang harus dievaluasi?
4) Prosedur bagaimana yang harus digunakan dan seberapa sering?
5) Bagaimanakah proses pelaporannya dan siapa yang berhak membacanya?
a.
Siapa yang melakukan monitoring dan review?
Meninjau kembali tanggung jawab Direksi dan Dewan Komisaris, sebagaimana telah
dibahas pada Bab II, maka Direksi dan Dewan Komisaris sangat berperan dalam
menciptakan situasi yang kondusif untuk penerapan sistem manajemen risiko. Dewan
Komisaris adalah penanggung jawab utama dalam pelaksanaan monitoring dan review
terhadap keseluruhan operasi perusahaan, termasuk terhadap penerapan sistem
manajemen risiko ini. Direksi bertanggung jawab untuk mengarahkan dan
mengendalikan operasi perusahaan, termasuk di dalamnya penerapan sistem
manajemen risiko. Oleh karena itu, ia juga wajib melaksanakan proses monitoring dan
review ini.
Secara umum, terdapat dua macam pelaksanaan monitoring, yaitu pemantauan
berkelanjutan (on-going monitoring) dan pemantauan terpisah (separate monitoring).
Pemantauan berkelanjutan dilaksanakan oleh pelaksana pekerjaan (self review atau
continous monitoring) dan atasan pekerja (line management monitoring). Sedangkan
pemantauan terpisah adalah pemantauan yang dilakukan oleh pihak ketiga, yaitu oleh
internal ataupun eksternal auditor (third party audit) dan hasilnya dilaporkan kepada
Direksi dan Dewan Komisaris.
b. Apa yang perlu dimonitor dan direview?
Pada dasarnya yang perlu mendapatkan perhatian dan harus selalu dimonitori dan
direview adalah:
1) Pemantauan terhadap perubahan: proses manajemen risiko hendaknya menjadi
bagian yang tak terpisahkan dengan proses organisasi lainnya. Dengan demikian,
63
dinamika manajemen risiko akan mengikuti dinamika perubahan yang terjadi pada
proses organisasi dan lingkungan organisasi itu sendiri;
2) Pemantauan kinerja manajemen risiko: pemantauan khususnya ditujukan pada
risiko-risiko yang tinggi dan risiko-risiko yang kritis. Pemantauan difokuskan pada
efektifitas pengendalian risikonya. Harus selalu dipantau bagaimana keandalan
operasi pengendalian tersebut, bagaimana kerentanannya terhadap perubahan
yang mungkin terjadi, bagaimanakah kemungkinan deteksi dini terhadap risiko
tersebut, baik keandalan operasi maupun kerentanannya, dll.
3) Kemungkinan timbulnya risiko-risiko baru akibat dilaksanakannya suatu tindakan
perlakuan risiko yang baru. Ini karena suatu risiko dapat mempunyai dampak
menimbulkan risiko yang lainnya (chainreaction).
c.
Informasi yang bagaimana yang harus dipantau?
Informasi yang dapat digunakan dalam proses monitoring dan review pada dasarnya
adalah informasi yang “sesuai dan berkecukupan”. Pengertian “sesuai” adalah
informasi yang relevan, dapat dipercaya, dan tepat waktu (lihat Gambar 7). Sedangkan
informasi yang berkecukupan merupakan ukuran dari jumlah informasi yang
dibutuhkan. Artinya, apakah jumlah data tersebut sudah cukup untuk mengambil
kesimpulan.
RELEVAN
Perlu info
ketepatan
waktu
v
Perlu info
reliabilitas
Relevan,
dipercaya &
tepat waktu
v
DIPERCAYA
Perlu info
relevansi
TEPAT
WAKTU
Gambar 7: Elemen kualitas informasi
(Sumber: Guidance on Monitoring Internal Control System- Vol.II, COSO, 2009, p.30)
64
Kesesuaian informasi merupakan ukuran kualitas informasi yang dapat digunakan.
Oleh karena itu, ketiga elemen di atas harus dipenuhi secara bersama-sama.
Kekurangan dari salah satu elemen memerlukan informasi lebih lanjut dari elemen
tersebut.
Kecukupan informasi dapat ditentukan secara statistik, seberapa besar sampling
informasi dinyatakan cukup untuk suatu jumlah tertentu. Kecukupan ini juga
ditentukan dengan selera risiko atau toleransi risiko yang ditetapkan.
d. Prosedur bagaimana yang harus digunakan dan seberapa sering?
Ini merupakan pengembangan dari pertanyaan pertama terkait dengan pemantauan
berkelanjutan, pemantauan oleh atasan dan pemantauan oleh pihak pihak ketiga.
Pemantauan berkelanjutan dilakukan oleh pelaksana proses, dan pada dasarnya ia
akan melaksanakan pemantauan terhadap input, proses transformasi, dan output.
Artinya, pemantauan dilakukan menggunakan indikator kinerja proses dan kinerja
hasil. Untuk memudahkan pelaksana atau pemangku risiko maka harus dibuat
prosedur terkait dengan apa yang harus dipantau (control points) dan frekuensi
pemantauannya. Ini diperlukan agar produktivitas kerja tidak terganggu, tetapi
efektivitas pengendalian risiko tetap terjaga. Teknik dan metode yang digunakan
sangat tergantung pada input, proses, dan output yang dihasilkan.
Pemantauan oleh atasan pada dasarnya sama, hanya pemantauan lebih ditekankan
pada hasil proses. Prosedur pemantauan ini juga harus ditetapkan jangka waktu dan
pelaporannya secara berjenjang hingga ke tingkat Direksi dan Dewan Komisaris.
Keseluruhan prosedur pemantauan berkelanjutan dan dilakukan oleh atasan ini harus
dituangkan dalam suatu prosedur tertulis yang akan menjadi prosedur baku. Prosedur
inilah yang nantinya akan ditinjau oleh pihak ketiga yang independen untuk diperiksa
efektivitasnya, termasuk kepatuhan dalam pelaksanaannya.
Pemantauan oleh pihak ketiga atau audit pihak ketiga lebih bertujuan untuk
memastikan kepatuhan terhadap standar, peraturan perundangan, peraturan internal
yang digunakan, sekaligus memeriksa efektivitas penerapan sistem manajemen risiko.
65
e.
Bagaimanakah proses pelaporannya dan siapa yang berhak membacanya?
Pelaporan hasil monitoring dan review secara keseluruhan menjadi tanggung jawab
dari fungsi manajemen risiko, khususnya laporan audit manajemen risiko yang
dilakukan oleh pihak ke tiga. Akan tetapi, laporan untuk pelaksanaan pemantauan
berlanjut dan berkala berada pada masing-masing unit kerja.
Laporan hasil monitoring dan review bertujuan untuk memastikan bahwa proses
manajemen
risiko
memang
memenuhi
sasaran
yang
ditetapkan,
atau
mengidentifikasikan kelemahan yang masih ada sehingga dapat dilakukan perbaikan
sebagaimana mestinya. Bila ditemukan kelemahan sistem manajemen risiko maka
terdapat tiga bentuk laporan sebagai berikut:
1) Laporan hasil temuan audit: adalah laporan kelemahan pengendalian risiko yang
ditemukan. Laporan ini akan disampaikan pertama kepada pemangku risiko (risk
owner) dan pihak yang bertanggung jawab untuk melakukan perbaikan
pengendalian risiko tersebut; dan kedua kepada atasan dari pemangku risiko
tersebut dan/atau atasan dari atasan unit tersebut.
2) Laporan kelemahan sistem: adalah laporan mengenai kelemahan sistem
pengendalian risiko yang kritis untuk dikomunikasikan kepada Direksi dan Komite
Pemantau Risiko dari Dewan Komisaris.
3) Laporan tindak lanjut masalah: adalah laporan tindak lanjut bila diperoleh laporan
adanya kelemahan pengendalian risiko, baik dari internal maupun eksternal.
Perbaikan kelemahan pengendalian risiko ini harus segera dilaksanakan.
10.
Dokumentasi Manajemen Risiko
Dokumentasi suatu proses manajemen secara umum mempunyai tiga macam fungsi, yaitu:
a. Rekaman proses pelaksanaan kegiatan yang sekaligus menjadi sumber informasi atas
proses yang terjadi dan dapat menjadi dasar pengambilan keputusan untuk masalah
yang sama di masa depan;
b. Menjadi bukti hukum atas apa yang telah diputuskan dan dilaksanakan, khususnya bila
terjadi sengketa hukum;
66
c. Sarana untuk preservasi pengetahuan sebagai bagian dari proses pengembangan
knowledge management dalam suatu organisasi.
Sesuai dengan fungsi di atas maka dokumentasi proses manajemen risiko harus disusun
sedemikian rupa sehingga akses informasi mudah dilaksanakan, dokumen yang memerlukan
keabsahan hukum harus dipastikan persyaratannya terpenuhi dengan baik, misalnya risalah
rapat ditandatangani secara lengkap, keputusan pelaksanaan jelas akuntabilitasnya, uraian
metode pelaksanaan suatu keputusan haruslah jelas tahapannya, dll. Kemudian perlu
diperhatikan mengenai masalah penyimpanan dokumen asli dan masa retensinya. Selain
itu, perlu juga dipertimbangkan sensitivitas informasi yang terkandung dalam dokumendokumen tersebut, baik dari aspek legal maupun kompetisi bisnis.
Dari segi penyimpanan secara fisik, pengarsipan dokumen-dokumen proses manajemen
risiko juga harus tertata dengan baik, tersimpan dengan aman, selalu terjaga dari
kemungkinan pencurian atau akses yang tidak berwenang, dan terkendali serta
termutakhirkan dengan baik. Khusus untuk keperluan preservasi pengetahuan, keputusan
tentang media penyimpanan perlu diperhatikan, baik dari segi aksesabilitas, kemampuan
untuk diduplikasi, serta daya tahannya. Bentuk penyimpanan dapat dalam bentuk
elektronik/digital atau dokumen kertas.
a.
Struktur Dokumentasi Manajemen Risiko
Struktur dokumen manajemen risiko dibedakan menjadi:
1) Dokumen rencana manajemen risiko (Risk Management Plan) dan;
2) Dokumentasi manajemen risiko (Risk Management documentation).
Rencana manajemen risiko merupakan dasar untuk pelaksanaan manajemen risiko
dan biasanya disusun oleh fungsi manajemen risiko. Dokumentasi manajemen risiko
adalah dokumen-dokumen yang diperlukan untuk mengelola proses penerapan
manajemen risiko, baik oleh fungsi manajemen risiko ataupun para pemangku risiko.
Tidak terdapat suatu pengaturan formal atas kedua macam dokumentasi ini.
b. Dokumentasi rencana manajemen risiko
Dokumen rencana manajemen risiko pada umumnya berisi hal-hal berikut:
67
1) Struktur tata kelola risiko (risk governance structure) yang antara lain meliputi:
a) Kebijakan manajemen risiko;
b) Peran dan tanggung jawab pelaksanaan manajemen risiko, baik yang harus
memimpin, melaksanakan, maupun mendukung/membantu setiap kegiatan
manajemen risiko, lengkap dengan kejelasan tanggung jawab dan
akuntabilitasnya;
c)
Alur pengambilan keputusan dan batasan kewenangannya serta alur
pelaporan internal maupun eksternal, termasuk format pelaporannya;
d) Keterangan mengenai kecukupan sumber daya, baik orang, dana, waktu,
sarana ruangan, maupun administrasi, dll;
e) Metodologi untuk melakukan proses monitoring dan review serta ketentuan
pelaksanaan audit pihak ketiga.
2) Ketentuan mengenai metode dan teknik yang digunakan untuk tiap tahapan
serta ketentuan-ketentuan baku lain, mencakup hal-hal antara lain:
a) Metode, pendekatan, dan sumber-sumber informasi yang akan digunakan
dalam proses manajemen risiko, misalnya penggunaan RBS, FMEA, CRSA,
stakeholders analysis, dll.;
b) Ketentuan mengenai jenis kemungkinan (likelihood) yang akan digunakan
dan ukuran kuantitatifnya;
c) Ketentuan ukuran dampak yang akan digunakan, a.l. dampak finansial dan
dampak non-finansial beserta ukuran kuantitatifnya;
d) Ketentuan mengenai selera risiko;
e) Format-format dokumen manajemen risiko yang akan digunakan selama
penerapan proses manajemen risiko.
c.
Dokumentasi proses manajemen risiko
Dokumentasi proses manajemen risiko, diperlukan untuk mengelola proses
penerapan manajemen risiko oleh para pemangku risiko dan fungsi manajemen
risiko. Dokumentasi ini antara lain meliputi hal-hal berikut:
1) Tahap komunikasi dan konsultasi:
68
a) Daftar stakeholders dan kepentingannya;
b) Hasil proses analisis stakeholders;
c)
Rencana proses komunikasi dan konsultasi
2) Tahap identifikasi risiko:
a) Daftar risiko (risk register)
3) Tahap analisis dan evaluasi risiko:
a) Dokumentasi proses pelaksanaan analisis dan evaluasi risiko;
b) Peringkat risiko, pengelompokan risiko, dan profil risiko;
c)
Prioritas risiko yang perlu mendapatkan perlakuan;
d) Pemutakhiran daftar risiko.
4) Tahap perlakuan risiko:
a) Rincian rencana perlakuan risiko untuk masing-masing risiko yang
memerlukan perlakuan risiko dan berisi antara lain:
(1) Jenis perlakuan risiko dan sasarannya;
(2) Penanggung jawab pelaksanaan perlakuan risiko;
(3) Jadwal dan biaya pelaksanaannya;
(4) Proses dan hasil analisis manfaat & biaya;
(5) Mekanisme monitoring dan review-nya.
b) Laporan monitoring pelaksanaan perlakuan risiko.
5) Tahap monitoring dan review:
a) Laporan monitoring oleh pelaksana dan atasan;
b) Laporan audit pihak ketiga:
(1) Laporan temuan hasil audit;
(2) Laporan kelemahan sistem manajemen risiko;
(3) Laporan hasil audit dan rekomendasi tindak lanjut;
(4) Laporan tinjauan hasil tindak lanjut.
6) Dokumentasi pasca-terjadinya risiko:
a) Uraian lengkap mengenai kasus yang terjadi;
69
b) Analisis penyebab terjadinya risiko tersebut dan analisis mengapa tindakan
pengendalian tidak efektif;
c)
Upaya untuk mencegah terjadinya kesalahan serupa dan rekomendasi untuk
pemeriksaan terhadap keadaan sejenis lainnya.
Dokumen-dokumen di atas merupakan dokumen yang sangat penting dan
berkelanjutan, khususnya daftar risiko, sehingga harus selalu dimutakhirkan sesuai
dengan perkembangan dan perubahan konteks, modus operasi, personalia, struktur
organisasi, dll.
70
Bab IV
ASPEK PERAWATAN
1.
Pengantar
Sebagaimana diuraikan pada Bab I Pendahuluan, aspek perawatan merupakan aspek yang
memastikan adanya upaya menjaga efektifitas penerapan dan perbaikan yang
berkesinambungan melalui, monitoring dan review serta audit manajemen risiko.
Pelaksanaan aspek ini dalam penerapan manajemen risiko akan dipengaruhi oleh beberapa
unsur.
Unsur pertama adalah Risk Governance dibutuhkan uraian jelas mengenai akuntabilitas
dalam melakukan monitoring dan review serta macam dan jenis pelaksanaan monitoring
dan review itu sendiri. Unsur kedua adalah penyebaran penerapan manajemen risiko ke
seluruh jajaran perusahaan dan menjadikannya bagian yang tidak terpisahkan dari proses
organisasi, sehingga menjadi suatu budaya “sadar risiko”. Unsur ketiga adalah
pengembangan pemahaman dan teknologi terkait dengan penerapan manajemen risiko
perusahaan.
Hal-hal tersebut di atas akan dibahas lebih lanjut pada bagian-bagian di bawah ini.
2.
Risk Governance
a. Akuntabilitas
Dewan Komisaris merupakan penanggung jawab tertinggi dalam pelaksanaan
pengawasan kegiatan strategis dan operasional perusahaan. Dengan demikian mereka
juga menjadi penanggung jawab tertinggi dalam memastikan bahwa manajemen risiko
perusahaan memang dilaksanakan dengan baik dan efektif serta efisien. Untuk itu
Dewan Komisaris dapat membentuk Komite Pemantau Risiko untuk memastikan bahwa
pelaksanaan manajemen risiko berjalan dengan baik. Apabila pembentukan Komite
Pemantau Risiko dirasakan terlalu berlebihan, maka tugas pengawasan ini dapat
71
diserahkan kepada Komite Audit, akan tetapi harus dipastikan bahwa tugas pengawasan
ini memang tercantum dalam Piagam Komite Audit.
Direksi merupakan penanggung jawab dalam menjalankan operasional perusahaan dan
pencapaian sasaran perusahaan sebagaimana ditetapkan oleh pemegang saham dalam
Rapat Umum Pemegang Saham. Oleh karena itu, semua ancaman yang mengganggu
pencapaian sasaran perusahaan haruslah diatasi, dan sebaliknya, semua peluang yang
mendukung pencapaian sasaran perusahaan haruslah dieksplotasi secara optimal. Hal
ini merupakan penerapan manajemen risiko perusahaan. Untuk memastikannya maka ia
harus mendapatkan gambaran yang tepat dari status dan posisi pelaksanaan
manajemen risiko perusahaan. Konsekuensi logis dari hal ini adalah Direksi harus
melakukan pemantauan secara berkala terhadap kinerja manajemen risiko. Selain itu, ia
juga harus menciptakan “Tone at the Top” (perilaku keteladanan) sehingga seluruh
jajaran perusahaan yakin bahwa penerapan manajemen risiko memang menciptakan
nilai tambah dan berguna dalam memberikan jaminan yang wajar atas pencapaian
sasaran perusahaan.
Akuntabilitas Direksi dalam pelaksanaan dan perawatan penerapan manajemen risiko
perusahaan dilakukan dalam dua hal yaitu:
1) Pembentukan Fungsi Manajemen Risiko yang mandiri, dan;
2) Menghadiri dan melakukan review atas kinerja penerapan manajemen risiko
perusahaan secara berkala, minimal setiap tiga (3) bulan sekali.
Fungsi manajemen risiko adalah kepanjangan tangan Direksi dalam memastikan bahwa
manajemen risiko diterapkan dengan efektif dan efisien serta memberikan nilai tambah
melalui jaminan yang wajar dalam pencapaian sasaran perusahaan. Untuk itu fungsi
manajemen risiko perusahaan mempunyai akuntabilitas setidak-tidaknya untuk
memastikan bahwa:
1) Prinsip, kerangka kerja, dan proses manajemen risiko perusahaan telah dipahami
dan diterapkan dengan baik di seluruh perusahaan;
2) Pelaporan status Profil Risiko Perusahaan (Company Risk Profile) dilaksanakan secara
berkala tiap kwartal, tepat waktu, dengan status terkini;
72
3) Semua risiko yang “tidak mempunyai Risk Owner” telah tertangani dengan baik.
Menurut Hampton (2009), risiko yang “tidak mempunyai Risk Owner” adalah risikorisiko yang sering kali “terlupakan” misalnya risiko kelemahan strategi yang
dikembangkan, risiko kelemahan kepemimpinanan organisasi, risiko hambatan
budaya organisasi, risiko siklus kehidupan (life cycle) perusahaan dan produknya,
serta risiko cakrawala wawasan usaha.
b. Jenis Monitoring dan Review
Pada Bab III Aspek Operasional telah diuraikan mengenai jenis-jenis monitoring dan
review, oleh karena itu hanya akan disampaikan penekanan ulang atas pelaksanaannya,
yaitu:
1) Audit manajemen risiko harus dilaksanakan minimal satu kali dalam setahun. Audit
ini mempunyai tugas untuk memeriksa efektifitas dan kinerja manajemen risiko
sesuai dengan tujuan pembentukannya. Penunjukan auditor manajemen risiko
haruslah ditentukan oleh Dewan Komisaris atas usulan minimal tiga (3) auditor dari
Direksi;
2) Laporan fungsi manajemen risiko setiap triwulan terhadap Direksi dengan tembusan
kepada Dewan Komisaris atas:
a. Status profil risiko perusahaan terkini dan kecenderungannya (trend);
b. Efektifitas pengendalian risiko besar dan risiko kritis;
c. Hasil mitigasi risiko yang dilakukan dalam periode laporan tersebut;
d. Perubahan lingkungan eksternal dan internal yang mempunyai potensi risiko
bagi perusahaan;
e. Observasi kemampuan para Risk Owners perusahaan dalam menangani
risiko-risiko yang menjadi tanggung jawabnya.
3.
Budaya Risiko
Secara sederhana dapat dikatakan bahwa sasaran dari pengembangan budaya risiko dalam
setiap pengambilan keputusan, baik keputusan strategis hingga keputusan yang sederhana
dalam operasi sehari-hari, turut dipengaruhi potensi risiko yang ada saat ini maupun di
masa yang akan datang. Dengan demikian setiap keputusan akan diambil dengan hati-hati
73
dan penuh pertimbangan (informed decfision making). Perilaku hati-hati dan tidak ceroboh
serta penuh pertimbangan atas informasi yang ada inilah yang menjadi tujuan terciptanya
budaya (sadar) risiko.
Dengan tercapainya budaya (sadar) risiko dapat diharapkan timbulnya perilaku yang
menunjukkan pemahaman bahwa:
a. Pentingnya proses identifikasi dan asesmen risiko dalam setiap kegiatan proses
bisnis perusahaan saat ini maupun yang direncanakan;
b. Pentingnya mengkomunikasikan dan mengkonsultasikan semua potensi risiko yang
mungkin terjadi;
c. Perlunya memperhitungkan keseimbangan antara risiko dan manfaat dalam setiap
pengambilan keputusan bisnis, baik dalam tingkat strategis maupun dalam operasi
sehari-hari.
a. “Tone from the Top”
Budaya adalah perilaku. Oleh karena itu bila budaya risiko dianggap penting bagi
perusahaan maka perilaku ini juga harus nampak pada Pimpinan Puncak perusahaan,
misalnya dengan menyediakan sumber daya untuk penerapan manajemen risiko
perusahaan. Sebagaimana disebutkan dalam Bab III tentang Manajemen Perubahan,
peran Pimpinan Puncak dalam memimpin perubahan sangat vital. Jenis kepemimpinan
dan perilaku bagaimana yang akan ditunjukkan dalam mendukung perilaku budaya
risiko yang diinginkan dan mencegah serta mempersulit perilaku budaya risiko yang
tidak diinginkan, tergantung pada Pimpinan Puncak.
b. Strategi Pengembangan Budaya Risiko
1) Penciptaan ”critical mass”
Kesadaran akan pentingnya manajemen risiko harus tersebar luas ke seluruh
karyawan dan tidak terbatas pada tingkatan manajemen saja. Kesadaran ini harus
dikembangkan hingga menjadi budaya risiko yang intinya adalah perilaku sadar
risiko dalam kegiatan operasional perusahaan.
74
Oleh karena itu diperlukan sosialisasi dan pelatihan yang ekstensif ke seluruh
jajaran perusahaan sehingga seluruh karyawan menjadi tahu apa itu risiko dan
sadar apa artinya manajemen risiko dalam kegiatan operasional perusahaan dan
akhirnya melalui pelatihan yang tepat mereka menjadi mampu dalam menerapkan
manajemen risiko tersebut.
Merujuk pada prinsip-prinsip manajemen risiko perusahaan yang diuraikan pada
Bab II Aspek Struktural, strategi ini menganjurkan agar prinsip-prinsip tersebut
dibagi untuk menentukan mana prinsip yang merupakan “milik” para pemangku
risiko dan mana yang merupakan “milik” perusahaan untuk mengembangkannya.
Proses pelaksanaannya dilakukan menurut gambar 8 di bawah ini.
Tataran organisasi
GOVERNANCE
STRUCTURE
Tataran
individu
“Risk Owner”
TAHU
SOSIALISASI
SADAR
MANFAAT &
BAHAYA
MAMPU
PELATIHAN &
DUKUNGAN
MAU
INSENTIF & SANKSI
PERUBAHAN
PERILAKU
Gambar 8: Strategi pengembangan budaya risiko.
(Sumber: Leo J. Susilo & Victor Riwu Kaho, Manajemen Risiko berbasis ISO 31000,
Jakarta: PPM, 2010)
75
Bagian yang merupakan “milik” para pemangku risiko adalah prinsip-prinsip ke 7, 1,
2, 4, 3 ,dan 9, sedangkan yang merupakan “milik” perusahaan adalah prinsip-prinsip
ke 5, 6, 10, 11 dan 8.
Pencapaian critical mass penting untuk penciptaan “bahasa” yang sama dan
pemahaman yang serupa tentang risiko, serta membuat proses perubahan dapat
mandiri dan berkelanjutan (sustainable).
2) Penyelarasan dengan insentif dan sanksi
Unsur terpenting dalam mendukung terciptanya budaya risiko adalah insentif dan
sanksi. Ini adalah upaya untuk merangsang, mendorong dan mendukung perilaku
budaya risiko yang diinginkan dan mencegah serta mempersulit perilaku budaya
risiko yang tidak diinginkan. Untuk itu perlu penyelarasan antara pencapaian
sasaran perusahaan dengan perilaku yang diinginkan, karena perilaku inilah yang
layak untuk mendapatkan insentif.
Hal yang perlu diperhatikan bahwa insentif tidak hanya semata-mata diberikan
karena hasil mitigasi risiko saja tetapi harus lebih pada penerapan proses
manajemen risiko yang baik dan benar, serta sesuai dengan prinsip-prinsip
manajemen risiko yang telah dicanangkan. Insentif terhadap kompensasi karyawan
merupakan salah satu saran yang efektif dalam merubah perilaku, tetapi pemberian
penghargaan lainnya juga perlu diperhatikan dalam mendorong perubahan menuju
budaya risiko yang diinginkan.
Untuk proses penerapan insentif dan sanksi, haruslah dilaksanakan dengan prinsip
keterbukaan untuk lebih mendorong terciptanya budaya risiko yang diinginkan.
4.
Pengembangan Manajemen Risiko
a. Pengembangan Sistem, Metoda dan Teknik
Penerapan manajemen risiko perusahaan merupakan perjalanan bagaimana perusahaan
menciptakan nilai tambah dalam situasi ketidakpastian. Hal ini direalisasikan dalam
bentuk prinsip, kerangka kerja dan proses manajemen risiko. Dinamika perkembangan
bisnis dan perubahan situasi eksternal tidak dapat dipastikan, sehingga diperlukan
76
secara terus menerus untuk mengembangkan teknologi, metoda dan alat yang mampu
untuk mengikuti perkembangan tersebut guna meningkatkan daya tahan dan keliatan
(resilience) perusahaan.
Penerapan teknologi informasi sebagai enabler, haruslah dibarengi dengan pemahaman
yang memadai terhadap apa yang ingin dicapai serta penggunaan teknologi dan
informasi yang tepat dan akurat sebagai landasan untuk penerapannya. Bila tidak
penerapan ini hanya bersifat gimmick saja, atau bahkan seperti kata pemeo GIGO
(garbage in – garbage out).
Penggunaan teknik kuantitatif juga merupakan persyaratan yang harus dipahami,
terutama terkait dengan penggunaan probabilitas, dimana untuk penentuannya
memerlukan data historis yang memadai. Selain itu penggunaan teknik kuantitaif
haruslah sesuai dengan tujuan penciptaan teknik tersebut dan perlu dikaji ulang bila
akan diterapkan pada bidang yang lain. Misalnya teknik-teknik manajemen risiko dari
sektor keuangan seperti VAR (value at risk), Stresstesting, dll., apakah cocok bila
diterapkan di bidang lainnya.
Setiap perusahaan haruslah mengkaji dan mencari teknik yang paling cocok untuk
meningkatkan penerapan manajemen risiko perusahaannya sendiri. Kegiatan ini
dilakukan dengan mengacu pada proses bisnis utamanya dan bagaimana caranya
meningkatkan kemungkinan pencapaian sasaran perusahaan. Hal ini merupakan acuan
utama dalam mengembangkan teknik manajemen risiko, karena konteksnya adalah khas
untuk perusahaan tersebut. Dua hal yang dibahas sebelumnya, yaitu risk governance
dan budaya risiko perusahaan juga turut menentukan kemampuan perusahaan dalam
mengembangkan kapabilitas manajemen risikonya.
b. Benchmarking
Bechmarking adalah salah satu upaya untuk membandingkan kapabilitas dan efektifitas
penerapan manajemen risiko perusahaan yang sudah dilaksanakan dengan kapabilitas
dan efektifitas perusahaan lain. Dengan melakukan benchmarking kita dapat saling
belajar dan bertukar pengalaman dengan perusahaan lainnya, baik dalam industri
sejenis maupun dari sektorindustri lainnya.
77
Melalui benchmarking, kita dapat memperbaiki dan bahkan mungkin menemukan suatu
teknik yang lebih cocok dengan kondisi kita atau memodifikasi suatu teknik yang unggul
untuk disesuaikan dengan kondisi perusahaan.
Selain benchmarking juga dapat diusahakan untuk dibentuk suatu “Forum Manajemen
Risiko” atau bergabung dengan suatu asosiasi profesional manajemen risiko untuk tetap
mengikuti perkembangan manajemen risiko yang terkini. Informasi tentang teknik
manajemen risiko terkini yang diperoleh melalui forum ini dapat dipelajari lebih lanjut
dan dikaji kesesuaiannya untuk diterapkan diperusahaan kita.
78
TIM PENYUSUNAN
PEDOMAN PENERAPAN MANAJEMEN RISIKO BERBASIS GOVERNANCE
1.
Antonius Alijoyo
Ketua
2.
Irwan Habsjah
Wakil Ketua
3.
Leo J. Susilo
Anggota
4.
A. Pandu Djajanto
Anggota
5.
Subarto Zaini
Anggota
6.
Roy Sembel
Anggota
7.
Muhartono
Anggota
8.
Mas Slamet Susanto
Anggota
9.
Wawan Yulianto
Anggota
10. Supriyadi
Anggota
11. Ronny Agandhi
Anggota
12. G. Suprayitno
Anggota
13. I Nyoman Konongpani
Anggota
14. Miryam Wijaya
Anggota
15. Diane Christina
Anggota
16. Ridwan Hendra
Anggota
17. Roy Urich
Anggota
18. Fajar Proboseno
Anggota
19. Nuraini Yuanita
Anggota
20. Fransisca
Anggota
21. Dwi Ayu
Anggota
22. Hendy Fakhruddin
Sekretariat
79
ANGGOTA KOMITE NASIONAL KEBIJAKAN GOVERNANCE
Pengarah :
Sri Mulyani Indrawati
Sofyan A. Djalil
Taufik Effendi
Jusuf Anwar
Mar’ie Muhammad
Ketua :
Wakil Ketua/Sekretaris
Mas Achmad Daniri
Hoesein Wiriadinata
Sub Komite Kebijakan Publik
Yunus Husein (Ketua)
Waluyo (Wakil Ketua)
Bambang Widjojanto
I Gede Raka
Sahala Lumban Gaol
Soenarno
Maulana Ibrahim
Safri Nugraha
Tedi Pawitra
Komaruddin
Kemal Stamboel
Martiono Hadianto
A. Pandu Djajanto
Sub Komite Bidang Korporasi
Jos Luhukay (Ketua)
Binhadi (Wakil Ketua)
Anis Baridwan
Fred BG Tumbuan
Suwartini
Hotbonar Sinaga
Irwan Habsjah
Noke Kiroyan
Ratna Djanuarita
Roy Sembel
Subarto Zaini
Antonius Alijoyo
John A. Prasetio
Harry Wiguna
80
Download