Penerapan Key Risk Indicators (KRI) menjadi bagian yang sangat penting dalam penerapan proses manajemen risiko di suatu perusahaan. Artikel ini mencoba menjelaskan konsep dari pentingnya penggunaan KRI dan memberikan sedikit gambaran atau contoh bagaimana penggunaannya di perusahaan-perusahaan yang ada di Indonesia. Tulisan ini dibuat berdasarkan materi pelatihan intensif mengenai KRI yang diadakan oleh CRMS Indonesia dan wawancara dengan 3 narasumber, yaitu Victor Riwu Kaho (Direktur dari WIM Consult sekaligus Technical Advisor CRMS Indonesia), Deddie Yunawan Drajat, MM., CRMP., BCMCP. (Risk Management Specialist PT XL Axiata), dan Tjahjanto Budisatrio, PhD. (Anggota Komite Manajemen Risiko PT Pelindo II).
KONSEP KEY RISK INDICATORS
KRI berdasarkan COSO (Committee of Sponsoring Organizations) merupakan ukuran yang digunakan oleh suatu organisasi sebagai indikator yang menjadi sebuah pemberitahuan dini apabila terjadi suatu perubahan dari risk exposures untuk beberapa aspek pada sebuah perusahaan. Dengan kata lain, KRI dapat menjadi sebuah indikator dari kemungkinan munculnya suatu dampak berupa kerugian di masa yang akan datang (Fiduciary Investment Risk Management Association). Sejalan dengan hal tersebut, Tjahjanto Budisatrio mengartikan KRI sebagai indikator untuk mengetahui sebuah kejadian yang sangat signifikan yang berdampak pada perusahaan. Dampak inilah yang akan dilihat menjadi suatu indikator supaya bisa dimitigasi dan tidak terjadi hal yang dapat menyebabkan kegagalan dalam bisnis.
Konsep penerapan KRI di perusahaan lebih lanjut dijelaskan oleh Victor Riwu Kaho pada acara pelatihan KRI. Beliau menjelaskan bahwa untuk menemukenali KRI harus ada tahapan prosesnya. Yang pertama, orang harus tahu apa sasaran perusahaannya. Setelah itu, harus diketahui juga apa risiko yang berpotensi menghambat pencapaian sasaran. Setelah tahu risikonya, perlu didapatkan mana yang termasuk risiko kunci, yaitu risiko yang paling signifikan dan paling menentukan pencapaian sasaran. Jika risiko kunci sudah diketahui, tahap berikutnya yaitu dengan mencari root cause atau akar penyebab/pemicu munculnya risiko kunci tersebut. Kemudian langkah berikutnya adalah mencari tahu indikator-indikator apa yang bisa digunakan untuk dijadikan alat ukur dalam menilai/memonitor seberapa besar pengaruh penyebab risiko ini terhadap timbulnya risiko kunci yang ada. Jika sudah ditemukan indikator-indikator risiko tersebut, tahap berikutnya harus memilih dari sekian banyak indikator risiko itu mana yang dianggap kunci, mana yang paling tersedia datanya, dan yang paling relevan terhadap risk cause tadi. Jika semua hal itu sudah dilakukan maka tetapkan lah itu sebagai KRI.
KRI sebagai salah satu indikator dalam proses manajemen risiko juga memiliki keterkaitan dengan indikator-indikator lainnya. Hal ini sesuai dengan perlunya mengintegrasikan manajemen risiko dengan performance management di suatu perusahaan. Dalam manajemen risiko, terdapat dua jenis indicator, yaitu lagging indicator dan leading indicator. Lagging indicator merupakan indikator dari suatu kejadian yang telah terjadi beserta dampak dari kejadian itu sendiri. Sedangkan leading indicator merupakan indikator dari suatu kegiatan yang berupa sebuah proses dan dilakukan untuk memprediksi kejadian di masa depan serta dapat mengubah kejadian tersebut. Contohnya adalah kurangnya aktivitas mencuci tangan (leading indicator) dapat menyebabkan gangguan pencernaan hingga infeksi (lagging indicator).
Terdapat indikator-indikator yang dikategorikan sebagai lagging indicator dan leading indicator. KRI termasuk ke dalam leading indicator karena fungsinya yang memberikan informasi risiko yang akan terjadi di awal waktu. KCI (Key Control Indicators) termasuk ke dalam leading indicator, tetapi banyak orang juga menyebutnya sebagai current indicator atau indikator-indikator untuk mengukur pencapaian-pencapaian saat ini. Indikator lainnya yang berhubungan dengan KRI yaitu KPI (Key Performance Indicators), yang dapat digunakan untuk menilai atau mengukur pencapaian hasil akhir dan termasuk kedalam lagging indicator.
Secara teoritis, dalam dokumen COSO juga sudah dijelaskan definisi dari KCI dan KPI. KCI (Key Control Indicators) merupakan sebuah indikator yang digunakan untuk menentukan pengendalian dan pengawasan secara penuh terhadap pencapaian beberapa tujuan dari perusahaan. Dalam konteks ini, para manajer akan menetapkan batasan toleransi dari suatu indikator sebelum melakukan pengukuran. Sedangkan, KPI (Key Performance Indicators) merupakan indikator yang menyediakan gambaran mengenai performa dan unit operasi perusahaan pada periode tertentu dan biasanya berfokus pada data historis organisasi (COSO, 2010). Ketiga indikator tersebut diterapkan oleh para praktisi manajemen risiko dalam pencapaian tujuan perusahaan.
Dalam proses manajemen risiko yang baik sesuai dengan ISO 31000, urutan yang digunakan yaitu KRI, KCI, dan kemudian KPI. Jika ketiga indikator ini sudah dipraktikkan dengan baik sesuai urutan yang benar, suatu perusahaan setidaknya memiliki peluang untuk berhasil mencapai sasaran yang dituju atau bahkan dapat melampaui target. Hal ini juga sesuai dengan yang diutarakan oleh Tjahjanto Budisatrio dan Deddie Yunawan dimana dalam wawancara yang dilakukan dengan mereka, didapatkan pula pengalaman mengenai praktik penggunaan KRI di perusahaan-perusahaan di Indonesia, khususnya di PT Pelindo II dan PT XL Axiata yang akan lebih lanjut dijelaskan di bagian berikutnya.
PENERAPAN KEY RISK INDICATORS DI INDONESIA
“Penerapan ERM (Enterprise Risk Management) di sektor keuangan Indonesia memiliki kesadaran yang jauh lebih tinggi dibandingkan untuk sektor non-keuangan. Kesadaran mereka akan manfaat ERM dapat dikatakan masih sangat rendah. Diharapkan terdapat peningkatan kesadaran mengenai pentingnya ERM bagi perusahaan, agar tidak terlambat menyadari hal tersebut setelah timbul suatu kejadian yang dapat mengganggu aktivitas bisnis organisasi. Dengan adanya identifikasi risiko, kita dapat mengambil langkah mitigasi yang tepat guna menjaga keberlangsungan perusahaan.” (Tjahjanto Budisatrio, 2014).
Tjahjanto Budisatrio menilai penerapan ERM bagi industri non-keuangan masih sangat minim dibandingkan industri keuangan seperti perbankan. Salah satu hal yang menjadi penting untuk diterapkan dalam konteks ERM adalah penerapan KRI. Beliau mengemukakan bahwa KRI menjadi indikator untuk mengetahui sebuah kejadian yang sangat signifikan yang berdampak pada perusahaan. Dampak yang ditimbulkan akan diubah menjadi suatu indikator bagi perusahaan dalam usaha memitigasi, sehingga tidak terjadi hal yang dapat menyebabkan kegagalan dalam bisnis.
Pada presentasi Simulation of Key Risk Indicators, dijelaskan bahwa perusahaan dapat mengalami suatu kejadian risiko yang dapat mengganggu proses pencapaian tujuan. Agar implementasi KRI menjadi efektif, tujuan dari organisasi harus berdasarkan kriteria SMART (Specific, Measurable, Assignable, Realistic, Time-Related). Secara sederhana para praktisi manajemen risiko harus dapat memaparkan dan menganalisis berbagai macam kejadian risiko yang dapat timbul, serta KRI apa yang tepat digunakan dalam konteks kejadian risiko tersebut. Dalam hal ini dibutuhkan suatu parameter yang jelas untuk suatu kejadian risiko dan menentukan threshold (batasan baik maksimum maupun minimum) dari target suatu kegiatan yang dapat ditoleransi oleh organisasi. Untuk menunjang kriteria SMART, analisis harus didasari oleh data perusahaan yang berasal dari sumber yang memiliki kredibilitas tinggi dan terdapat penanggung jawab untuk pengambilan masing-masing data. Selanjutnya, dari data yang dianalisis, didapatkan beberapa pertimbangan kegiatan untuk mengantisipasi suatu risiko. Pada akhirnya beberapa pertimbangan tersebut akan dilaporkan kepada otoritas yang khusus menangani bidang yang berkenaan dengan kejadian risiko tersebut dengan output sebuah keputusan dalam rangka mengantisipasi risiko.
“KRI merupakan indikator untuk menentukan suatu risiko itu dapat berbahaya bagi perusahaan atau tidak. Jadi, KRI merupakan salah satu indikator yang dapat kita tentukan untuk diukur supaya kita tahu mengenai performa perusahaan kita akan terkena risiko itu atau tidak.” (Deddie Yunawan, 2014).
Deddie Yunawan memandang bahwa penggunaan KRI sangat penting di dalam perusahaan berbasis teknologi informasi (IT), yang memiliki bisnis yang cepat dan dinamis terhadap perubahan. Hal ini menjadi tantangan tersendiri, sebab dengan adanya perubahan suatu strategi perusahaan pada aspek tertentu, membuat alat ukur yang digunakan akan menjadi berbeda. Kondisi yang dipaparkan ini membuat perusahaan yang bergerak di bidang IT membutuhkan penentuan KRI yang tepat untuk menangani permasalah tersebut.
Pada dasarnya, implementasi dari KRI membutuhkan suatu komitmen dari para risk owner agar KRI dapat digunakan secara efektif. Hal ini dapat mempermudah timbulnya kesepakatan dalam penentuan indikator yang digunakan untuk mengukur serta pengawasannya. Selain itu, dibutuhkan pengawasan secara berkala untuk menilai apakah kegiatan manajemen risiko sudah berjalan dengan baik atau belum. Permasalahan pada umumnya timbul pada kurang atau bahkan belum terciptanya pemahaman atas KRI. Dibutuhkan sosialisasi rutin agar penerapan KRI menjadi efektif sehingga dapat menjadi pertimbangan dalam pengambilan keputusan.
Menurut kedua peserta pelatihan yang penulis wawancara sebelumnya, para praktisi manajemen risiko masih harus memberikan kesadaran dan pemahaman mengenai ERM, khususnya penerapan KRI. Pentingnya komitmen menjadi perhatian khusus dalam penerapan KRI agar proses mitigasi risiko-risiko yang dapat mengganggu keberlangsungan perusahaan berjalan efektif.
Daftar Pustaka
(2014, Februari 20-21). Workshop: Simulation of Key Risk Indicators Based on ISO 31000. CRMS: Indonesia
Yodi Izharivan dan Arya Baskoro – Associate Researcher CRMS Indonesia