Dewasa ini, organisasi-organisasi di Indonesia sudah mulai menerapkan kerangka kerja manajemen risiko berbasis ISO 31000: 2009 Risk Management – Principles and Guidelines sebagai bagian dalam usaha pencapaian tujuan organisasi. Namun disadari atau tidak, penilaian akan tingkat kematangan dari penerapan menajemen risiko pun sama pentingnya dengan proses penerapan manajemen risiko itu sendiri, sebagai bagian dari proses monitoring and control. Usaha yang terus menerus dijalankan tidak ada artinya tanpa adanya monitoring and control untuk mengetahui posisi organisasi kita saat ini, apakah proses yang dijalankan telah sesuai dengan yang direncanakan. Oleh karena itu, dalam artikel kali ini, penulis akan mencoba memaparkan pentingnya menilai tingkat kematangan dalam penerapan manajemen risiko di dalam organisasi bagi para praktisi manajemen risiko.
Manajemen risiko adalah proses mengurangi risiko suatu entitas ke tingkat yang dapat diterima, dengan menggunakan pengukuran, pengelolaan dan pemantauan yang sejalan dengan tujuan strategis (Gilbert, 2007). Pelaksanaan kerangka manajemen risiko organisasi atau Enterprise Risk Management (ERM) dalam organisasi dapat mendukung dan meningkatkan kesadaran risiko di setiap divisi. ERM tidak dapat dilihat sebagai suatu proses yang bersifat statis, namun sebaiknya bersifat dinamis sesuai dengan perubahan lingkungan internal dan eksternal organisasi.
Proses manajemen risiko harus didukung oleh integritas, nilai-nilai etika, tata kelola organisasi, kompetensi, dan tanggung jawab para pemangku kepentingan organisasi. Proses ini sebaiknya juga didukung dengan penetapan tujuan organisasi yang mempertimbangkan dimensi risiko, komunikasi dan aliran informasi yang dinamis, serta pemantauan yang berkelanjutan terhadap seluruh komponen kerangka manajemen risiko. Organisasi sebaiknya menerapkan ERM yang efektif karena memungkinkan organisasi untuk mengoptimalkan manajemen risiko dengan memberikan evaluasi yang menyeluruh dan sistematis, serta pengendalian risiko. Tingkat kematangan manajemen risiko atau risk maturity level perlu diukur untuk mengetahui apakah penerapan manajemen risiko dalam organisasi berhasil atau tidak. Penilaian tingkat kematangan manajemen risiko sangat penting karena memungkinkan identifikasi kekuatan dan kelemahan organisasi yang dapat digunakan untuk meningkatkan tata kelola perusahaan dan manajemen risiko organisasi.
ERM dalam organisasi merupakan suatu proses yang membutuhkan alat pengukuran efektivitas penerapan manajemen risiko yang obyektif dan konsisten. Norman Marks, dalam websitenya bertajuk “Marks on Governance” menyusun model tingkat kematangan program manajemen risiko ke dalam lima tingkatan, yang ia susun dari beberapa sumber termasuk dari Chelan County Public Utility District, Washington:
Tabel 1. Tingkat Kematangan Manajemen Risiko
Level 1
|
Ad hoc. Berdokumen; dalam keadaan perubahan dinamis; tergantung pada individu perorangan
|
Level 2
|
Preliminary. Risiko didefinisikan dengan cara yang berbeda dan dikelola dalam silo. Kedisiplinan dalam proses tidak ketat.
|
Level 3
|
Defined. Kerangka penilaian/tanggapan umum terhadap risiko mulai teratur. Pemimpin eksekutif memberi pandangan terhadap risiko yang dihadapi organisasi secara keseluruhan. Pelaksanaan rencana diimplementasikan dengan memprioritaskan risiko yang tinggi.
|
Level 4
|
Integrated. Aktivitas manajemen risiko organisasi terkoordinasi di seluruh area bisnis. Menggunakan perangkat manajemen risiko dan proses yang umum apabila diperlukan, dengan pemantauan risiko keseluruhan organisasi, pengukuran dan pelaporan.
|
Level 5
|
Optimized. Mendiskusikan risiko bersama dengan perencanaan strategis, alokasi modal, dan dalam pengambilan keputusan sehari-hari. Sistem peringatan dini untuk memberitahukan dewan dan manajemen apabila risiko berada diatas batas yang ditetapkan
|
Sumber: Norman Marks, 2011
Secara konsep, model tingkat kematangan manajemen risiko ini mirip dengan yang dikeluarkan oleh Risk and Insurance Management Society (RIMS), namun berbeda pada tingkatan dan istilahnya. RIMS menambahkan tingkat nol, yaitu nonexistent, dengan tingkat 1 sampai 5 memiliki istilah ad hoc, initial, repeatable, managed, dan leadership.
RIMS mengeluarkan RIMS Risk Maturity Model (RMM) yang dapat memfasilitasi pengukuran tingkat kematangan ERM melalui perencanaan, komunikasi, serta panduan monitoring dan pengendalian. RMM ini memperlengkapi para praktisi ERM dengan cara menggabungkan elemen-elemen terbaik dari model dan standar yang penting. Model ini dapat diaplikasikan pada seluruh industri dan berbagai jenis risiko, dan mengukur seberapa baik penerapan manajemen risiko serta seberapa jauh kedalamannya dalam organisasi. Tingkat kematangan ditentukan di setiap atribut dan kematangan penerapan ERM ditentukan dari link terlemahnya. Berikut adalah atribut yang digunakan dalam pengukuran tingkat kematangan ERM.
No
|
Atribut
|
Keterangan
|
1
|
Pendekatan berbasis ERM(ERM-based approach)
|
Tingkat dukungan eksekutif untuk pendekatan berbasis ERM dalam budaya organisasi. Dukungan mencakup kepatuhan terhadap peraturan dalam setiap proses, fungsi, lini bisnis, peran, dan geografi. Tingkat integrasi, komunikasi dan koordinasi audit internal, teknologi informasi, kepatuhan, kontrol dan manajemen risiko.
|
2
|
Proses Manajemen ERM(ERM Process Management)
|
Tingkat merangkaikan proses ERM kedalam proses bisnis dan menggunakan proses ERM untuk mengidentifikasi, menilai, mengevaluasi, memitigasi, dan memantau risiko. Tingkat penggabungan metode kualitatif yang didukung metode kuantitatif, analisis, dan model untuk mengevaluasi risiko.
|
3
|
Manajemen Risk-Appetite (Risk-Appetite Management)
|
Tingkat pemahaman atas trade–offsantara risiko dengan reward. Akuntabilitas dalam kepemimpinan dan kebijakan untuk memandu pengambilan keputusan dan kesenjangan antara risiko yang dipersepsikan dengan risiko sebenarnya. Selera risiko mendefinisikan batas risiko yang dapat diterima dan toleransi risiko mendefinisikan variasi pengukuran selera risiko yang dianggap dapat diterima oleh manajemen.
|
4
|
Pengetahuan akan Akar Permasalahan(Root Cause Discipline)
|
Tingkat pengetahuan yang diterapkan untuk mengukur akar atau penyebab masalah dan mengaitkan kejadian dengan sumber proses untuk mendorong mitigasi, melakukan pengumpulan informasi, dan kontrol pengukuran efektivitas. Mengeksplorasi tingkat risiko para karyawan, lingkungan eksternal, sistem, proses, dan relasi.
|
5
|
Pengungkapan Risiko(Uncovering Risks)
|
Tingkat kualitas dan penetrasi mencakup kegiatan penilaian risiko dalam mendokumentasikan risiko dan peluang. Tingkat pengumpulan pengetahuan dari keahlian karyawan, database dan file elektronik lainnya untuk mengungkapkan dependensi dan korelasi di seluruh organisasi.
|
6
|
Manajemen Performa(Performance Management)
|
Tingkat pelaksanaan visi dan strategi, dari keuangan, pelanggan, proses bisnis dan perspektif pembelajaran dan pertumbuhan (misal: balanced scorecard atau pendekatan lain). Tingkat paparan ketidakpastian, atau potensi penyimpangan dari rencana.
|
7
|
Ketahanan dan Keberlanjutan Bisnis(Business Resiliency and Sustainability)
|
Sejauh mana aspek keberlanjutan proses ERM terintegrasi dalam perencanaan operasional organisasi. Mengevaluasi perencanaan mendukung ketahanan dan nilai organisasi. Tingkat kepemilikan dan perencanaan untuk memulihkan plarform teknologi, misal: gangguan rantai pasokan, perubahan harga pasar, volatilitas arus kas, likuiditas bisnis, dan lainnya.
|
Sumber: RIMS, 2006
Organisasi atau perusahaan di Indonesia yang telah menerapkan ERM berbasis ISO 31000 dapat menggunakan pendekatan RIMS RMM untuk mengukurtingkat kematangan penerapan ERM dengan mempertimbangkan atribut-atribut di atas.
Terdapat beberapa perusahaan yang telah menerapkan penilaian terhadap tingkat kematangan ERM. Salah satu perusahaan Indonesia adalah PT Telkom Indonesia, dalam Laporan Tahunan tahun 2013, PT Telkom melaporkan bahwa saat ini implementasi manajemen risiko di perusahaan tersebut telah mencapai tingkatan dimana manajemen risiko telah diintegrasikan di seluruh entitas perusahaan. PT Telkom menyusun road map pengembangan Entity Risk Management untuk memasuki level optimized di tahun 2016. Selain PT Telkom, PT Perkebunan Nusantara X, di dalam websitenya, menyatakan bahwa Kepala Biro Satuan Pengawasan Intern selaku Risk Assurance ditunjuk untuk melakukan evaluasi penerapan Risk Maturity Level (RML) bersama-sama dengan Kepada Bidang PPAB selaku risk manager. Perkebunan Nusantara X sudah menyadari pentingnya melakukan analisis terhadap RML untuk mencapai tingkat kematangan pengelolaan manajemen risiko yang semakin baik walau tidak disebutkan secara eksplisit metode yang digunakan untuk mengukur tingkat kematangan ERM.
AON, sebagai perusahaan terkemuka secara global sebagai penyedia risk management, insurance and insurance brokerage, sumberdaya manusia, dan layanan outsourcing, mengeluarkan survei pada tahun 2013 berjudul “2013 Risk Maturity Index Report – Building a Robust Framework and Realizing Value from Risk Management”. Artikel ini akan mencoba memaparkan beberapa hasil dari survei tersebut untuk memberikan gambaran singkat mengenai tingkat kematangan manajemen risiko di beberapa negara.
Hasil survei ini memperlihatkan bahwa tiap wilayah memiliki pola distribusi bell-curve yang hampir mirip secara keseluruhan. Aon menyatakan bahwa jumlah sample yang diperoleh untuk wilayah Amerika lebih banyak dibandingkan oleh wilayah lain, sehingga sulit untuk memperoleh kesimpulan yang tegas mengenai tingkat kematangan manajemen risiko untuk beberapa wilayah di dunia.
Selanjutnya Aon juga mengadakan survei untuk membandingkan antara pandangan perusahaan terhadap tingkat kematangan manajemen risiko mereka dengan industri lain yang sejenis di wilayahnya. Untuk wilayah Asia Pasifik, diperoleh hasil sebagai berikut:
Grafik 2 Perbandingan Pandangan Tingkat Kematangan Manajemen Risiko dengan Industri Sejenis di Wilayahnya
Berdasarkan grafik di atas, perusahaan di Asia Pasifik yang memiliki tingkat kematangan menajemen risiko di bawah 3, memandang perusahaannnya belum cukup dewasa untuk melaksanakan manajemen risiko.
Kedua grafik di atas menggambarkan bahwa tingkat kematangan manajemen risiko, khususnya di kawasan Asia Pasifik masih terbilang cukup rendah, pengelolaan manajemen risiko belum sebaik di kawasan lain, misalnya Australia. Berdasarkan fakta ini, para praktisi manajemen risiko di kawasan Asia Pasifik, termasuk Indonesia diberikan suatu tantangan untuk mengembangkan tingkat kematangan manajemen risiko menjadi lebih baik agar perusahaannya dapat lebih bersaing di pasar internasional.
Menerapkan ERM berbasis ISO 31000: 2009 Risk Management – Principles and Guidelines dalam organisasi perlu disertai dengan pengawasan dan perbaikan untuk mampu mencapai tujuan organisasi. Karena itu, perhitungan tingkat kematangan penerapan ERM perlu untuk dilakukan. Organisasi perlu memiliki pengetahuan yang cukup akan hal tersebut agar mengetahui tingkat kematangan penerapan manajemen risiko organisasi dan mampu memperbaiki ERM dalam organisasi secara terus menerus.
Disusun oleh: Yosefin A. Cintya P. – Associate Researcher of CRMS Indonesia