Bila kita melihat maraknya isu sertifikasi manajemen risiko di Indonesia, wajar bila kita bertanya apa manfaat hakiki dari sertifikasi manajemen risiko tersebut? Apakah memang benar-benar akan memberikan manfaat nyata bagi organisasi dalam penciptaan nilai pemegang saham (shareholder value) maupun nilai pemangku-kepentingan (stakeholder value) secara langsung? Atau hanya sekedar bersifat atribut saja tanpa memberikan nilai tambah substansial bagi organisasi yang mengharuskan profesional di tempat mereka bekerja untuk memperoleh sertifikasi manajemen risiko?
Pertanyaan di atas tidak dapat dijawab dalam bentuk pembuktian matematis karena variabel penentu keberhasilan suatu organisasi – terutama organisasi perusahaan – untuk menciptakan nilai, adalah sangat banyak dan variatif serta dinamis dalam konteks yang selalu berkembang secara interaktif dengan lingkungan bisnis mereka yang penuh dengan ketidakpastian. Tetapi satu hal yang pasti adalah dengan adanya profisiensi yang mumpuni tentang manajemen risiko di tingkat pimpinan perusahaan serta adanya kompetensi yang memadai di tingkat pelaksana, dapat diharapkan suatu organisasi akan menjadi lebih tangguh secara keseluruhan dalam menghadapi ketidakpastian dan risiko-risiko yang menghadang.
Hal ini dapat terwujud karena dengan adanya profisiensi dan kompetensi manajemen risiko yang tepat guna di tingkat individual, budaya manajemen risiko yang sehat akan lebih mudah tercipta dan berkembang subur sebagai budaya umum perusahaan yang pada saatnya akan membangun ketangguhan organisasi dalam menghadapi ketidakpastian dan risiko-risiko bisnis mereka. Sulit membayangkan bahwa suatu budaya manajemen risiko dapat tumbuh dan bersemai dengan subur bila tidak ada profisiensi dan kompetensi yang memadai di tingkat individual tersebut.
Bila budaya manajemen risiko tercipta, akan mudah bagi perusahaan untuk menerapkan implementasi Manajemen Risiko Terintegrasi (MRT) yang sekarang menjadi tuntutan bagi banyak perusahaaan agar tetap dapat patuh terhadap aturan dan peraturan dan juga sekaligus tangguh menghadapi tantangan bisnis. Ketangguhan tersebut diperlukan sebagai dasar atau fondasi bagi perusahaan untuk dapat bertumbuh-kembang secara berkesinambungan dalam era penuh ketidakpastian yang akan semakin tajam dan ekstensif.
Apa saja sertifikasi manajemen risiko yang diperlukan? Dan siapa saja yang perlu mengambil sertifikasi? Bila inisiatif mengambil sertifikasi manajemen risiko didasarkan motivasi untuk sekedar patuh saja (compliance) terhadap peraturan, maka kecil harapan untuk memperoleh manfaat optimal bagi perusahaan. Sebaiknya pengambilan sertifikasi manajemen risiko didasari suatu pemetaan strategik pengembangan Manajemen Risiko Terintegrasi (MRT) yang mengambil konsep pembangunan Pertahanan Tiga Lapis (PTL) atau yang sering dikenal sebagai ‘Three Lines of Defense’.
Pertahanan Tiga Lapis dimulai dari pertahanan pertama (first line of defense) yang terdiri dari para pemilik proses bisnis perusahaan (business process owner) yang juga berperan sebagai pemilik risiko (riskowner) yang terkait dengan proses bisnis yang menjadi tanggung jawab mereka; yang diikuti oleh pertahanan kedua (second line of defense) yang terdiri dari para profesional manajemen risiko yang bernaung di bawah departemen atau unit manajemen risiko korporasi; dan pertahanan ketiga (third line of defense) adalah pihak-pihak yang berperan sebagai oversight atau assurance di perusahaan yang terdiri dari audit internal serta komite audit dan komite pemantau risiko di tingkat Dewan Komisaris.
Profesional yang berada di lini pertahanan pertama memerlukan sertifikasi profisiensi dan kompetensi tentang dasar-dasar MRT dan pelaksanaan metode yang dikenal sebagai Risk and Control Self-Assessment (RCSA –
www.theiia.org). Untuk itu mereka dapat mengambil sertifikasi dari berbagai institusi di antaranya adalah Enterprise Risk Management Academy (ERM Academy –
www.erm-academy.org) yang memberikan sertifikasi bergelar Enterprise Risk Management Associate Professional (ERMAP –
www.erm-academy.org) untuk pemahaman dan penguasaan dasar-dasar MRT, serta The Institute of Internal Auditor (IIA –
www.theiia.org) yang memberikan sertifikasi bergelar Certified in Control Self Assessment (CCSA) untuk penguasaan metode RCSA.
Profesional yang berada di lini pertahanan kedua memerlukan sertifikasi kompetensi tentang tiga hal mendasar mengenai Manajemen Risiko Terintegrasi yaitu:
- Dasar-dasar Manajemen Risiko Terintegrasi,
- Teknik-teknik asesmen risiko dalam konteks Manajemen Risiko Terintegrasi, dan
- Implementasi Manajemen Risiko Terintegrasi.
Untuk itu mereka dapat mengambil sertifikasi dari berbagai institusi di antaranya adalah ERM Academy yang memberikan sertifikasi bergelar Enterprise Risk Management Certified Professional (ERMCP –
www.erm-academy.org) untuk penguasaan tiga hal utama yang merujuk atau berdasar ISO 31000 yaitu:
- Dasar-dasar Manajemen Risiko Terintegrasi – ISO 31000,
- Teknik-teknik Asesmen Risiko – ISO 31010, dan
- Implementasi Manajemen Risiko Terintegrasi – ISO 31004.
Bagi profesional yang berada di lini pertahanan ketiga memerlukan sertifikasi kompetensi baik dalam penguasaan Manajemen Risiko Terintegrasi itu sendiri maupun teknik-teknik audit yang diperlukan. Untuk itu mereka dapat mengambil sertifikasi dari berbagai institusi di antaranya adalah ERM Academy yang memberikan sertifikasi bergelar ERMCP di atas untuk penguasaan konsep dan keahlian Manajemen Risiko Terintegrasi, serta sertifikasi bergelar Certified in Enterprise Risk Governance (CERG –
www.erm-academy.org) bagi para anggota komite audit dan pemantau risiko perusahaan. Untuk profesional di tingkat pelaksana audit internal, mereka dapat mengambil sertifikasi bergelar Certified Risk Management Auditor (CRMA –
www.theiia.org) dari IIA.
Bila semua pihak yang berperan utama di lini pertama, kedua dan ketiga memiliki profisiensi dan kompetensi di atas, kita akan dapat berharap bahwa kekuatan dan kebersamaan tiga lini tersebut akan membangun keunggulan daya tahan perusahaan terhadap berbagai ketidakpastian dan risiko-risiko yang timbul dari ketidakpastian tersebut, baik untuk masa sekarang maupun masa yang akan datang. Memang semua hal tidak ada jaminan seperti misalnya berolah-raga teratur atau menggosok gigi teratur.
Bila kita berolah-raga teratur tetap saja tidak ada jaminan bahwa kita tidak akan pernah sakit, sama dengan bila kita teratur menggosok gigi tetap saja tidak ada jaminan bahwa kita tidak akan pernah sakit gigi. Tetapi, dengan olah-raga teratur atau menggosok gigi teratur, kita akan memiliki daya tahan yang lebih tinggi untuk menghindarkan sakit dibanding bila tidak melakukannya. Hal ini berlaku sama dengan suatu perusahaan dimana penerapan Manajemen Risiko Terintegrasi tidak memberikan jaminan bahwa perusahaan tidak akan pernah menghadapi atau mengalami risiko, tetapi mereka akan lebih siap menghadapinya dibandingkan yang tidak menerapkan MRT, dan dengan persiapan yang lebih baik akan lahir daya tahan yang lebih tinggi dalam menghadapi ketidakpastian dan risiko-risiko ikutan yang menyertainya. Selamat mempertimbangkan pengambilan sertifikasi manajemen risiko bagi para profesional Indonesia.
Ditulis oleh: Stefiany Norimarna – Direktur CRMS Indonesia
