Dalam upaya pencapaian visinya, perusahaan harus memiliki kapabilitas dalam mengelola risiko yang melekat (inherent risks) pada kegiatan usaha mereka. Manajemen risiko perusahaan merupakan kegiatan esensial untuk mengelola risiko tersebut agar perusahaan tetap sehat dan berkembang. Menurut ISO 31000:9000, “manajemen risiko merupakan bagian dari tanggung jawab manajemen dan integral dari seluruh proses organisasi, termasuk perencanaan strategis, seluruh proyek, dan perubahan-perubahan pada proses manajemen.” Merujuk kepada definisi tersebut, kegiatan manajemen risiko tidak terlepas dari praktik corporate governance yang merupakan komponen penentu dari pengambilan keputusan, tanggung jawab, dan kewenangan pada unit-unit perusahaan, dalam konteks ini adalah hal-hal terkait dengan kegiatan manajemen risiko perusahaan. Untuk itu, perlu bagi perusahaan untuk mengelola Enterprise Risk Governance (ERG) yang merupakan praktik kepemimpinan pada manajemen risiko yang diterapkan perusahaan.
Berdasarkan Monetary Authority of Singapore (MAS), “risk governance adalah arsitektur dari operasi manajemen risiko perusahaan. Hal ini akan menentukan cara perusahaan menerapkan manajemen risiko, dimulai dari menjelaskan mengenai apa itu risiko dan bagaimana cara mengelolanya. Risk governance juga akan menyediakan pedoman untuk pengambilan keputusan berdasarkan informasi terbaik dan mendukung alokasi sumber daya yang efektif”. Sejalan dengan praktik good corporate governance perusahaan, praktik ERG sangat ditentukan dari kualitas sistem dan sumber daya insani yang bertanggung jawab dalam penerapan manajemen risiko perusahaan. ERG menentukan kepemimpinan, kewenangan, tanggung jawab, dan pengalokasian sumber daya pada proses manajemen risiko perusahaan yang nantinya akan berimplikasi pada efektivitas Enterprise Risk Management (ERM). ERG juga akan berperan dalam membangun ERM framework yang menyeluruh dan mendetil, serta menciptakan kontrol internal yang secara efektif dapat mengidentifikasi, menilai, mengelola, dan memitigasi risiko.
Menurut Information Systems Audit and Control Association (ISACA), terdapat 3 baris pertahanan pada risk governance suatu perusahaan, yaitu:
- Komite manajemen risiko. Komite ini merupakan lini pertahanan pertama pada kerangka risk governance, yang diberikan tanggung jawab dan akuntabilitas dalam perencanaan, pembentukan, pelaksanaan, dan pemantauan kegiatan manajemen risiko. Komite ini juga memberikan saran dan pengarahan pada respon terhadap risiko yang melewati batas toleransi risiko perusahaan.
- Fungsi pemenuhan dan pemantauan manajemen risiko dalam perusahaan. Fungsi ini akan membantu perusahaan dalam melakukan pemantauan terhadap aktivitas manajemen risiko yang dilakukan oleh komite dan unit-unit manajemen risiko untuk memastikan berjalannya aktivitas manajemen risiko yang sesuai dalam perusahaan. Lini pertahanan kedua ini juga bertanggung jawab dalam memastikan pemenuhan perusahaan terhadap peraturan-peraturan yang ditetapkan otoritas industri.
- Auditor internal dan eksternal. Auditor internal dan eksternal akan turut berpartisipasi dalam memantau risiko yang dihadapi perusahaan berdasarkan pengamatannya pada proses internal dan kondisi keuangan perusahaan. Pada beberapa perusahaan, auditor juga bertanggung jawab untuk mengawasi aktivitas manajemen risiko dari lini pertahanan pertama dan kedua, serta melaporkannya hasil pengawasannya kepada Direksi.
- First line of defense : Operational management. Barisan pertahanan pertama berperan sebagai risk owner dalam melakukan manajemen risiko. Manajemen operasional bertanggung jawab dalam memastikan berjalannya kontrol internal yang efektif, melakukan penanganan risiko, dan melakukan prosedur kontrol harian.
- Second line of defense : Risk management and compliance function. Baris pertahanan kedua terdiri dari fungsi manajemen risiko dan pemenuhan yang bertugas memfasilitasi dan memantau implementasi dari manajemen risiko yang dilakukan manajemen operasional. Fungsi pemenuhan juga bertugas memastikan pemenuhan tanggung jawab perusahaan berkaitan dengan regulasi dan hukum yang berlaku.
- Third line of defense: Internal audit. Divisi internal audit akan berperan dalam mengawasi penerapan manajemen risiko yang dilakukan oleh baris pertahanan pertama dan kedua, serta melaporkannya kepada governing body dan senior management. Hal ini dilakukan untuk menjamin pelaksanaan manajemen risiko yang efektif dan tepat sasaran.
- Terbentuk kultur manajemen risiko yang baik pada seluruh lini perusahaan;
- Adanya awareness dan concern terhadap risiko dan pengelolaannya pada setiap proses perusahaan, digambarkan dengan pengalokasian resource yang memadai untuk kepentingan aktivitas manajemen risiko;
- Adanya kebijakan dan prosedur manajemen risiko yang jelas dan telah dikomunikasikan secara komprehensif dengan stakeholders;
- Adanya kejelasan peran dan tanggung jawab unit-unit perusahaan terkait dengan kegiatan manajemen risiko perusahaan;
- Adanya perkembangan yang berkelanjutan pada manajemen risiko perusahaan.
- Information Systems Audit and Control Association. Diunduh dari http://www.isaca.org/Journal/Past-Issues/2011/Volume-5/Pages/The-Three-Lines-of-Defence-Related-to-Risk-Governance.aspx
- Chartered Institute of Internal Auditors. Diunduh dari https://na.theiia.org/standards-guidance/Public%20Documents/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control.pdf
- Monetary Authority of Singapore. Diunduh dari http://www.mas.gov.sg/~/media/resource/fin_development/corporate_governance/RiskGovernanceGuidanceforListedBoards.ashx
- Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan. Peta Jalan Jaminan Kesehatan Nasional 2012-2019.