DRAFT PEDOMAN PENERAPAN MANAJEMEN RISIKO BERBASIS GOVERNANCE

DITERBITKAN OLEH KOMITE NASIONAL KEBIJAKAN GOVERNANCE 2011

Daftar Isi

Daftar Isi ..................................................................................................................................... i KATA PENGANTAR .............................................................................................................. iv BAGIAN I: PENDAHULUAN ................................................................................................. 5 1. Latar belakang .................................................................................................................... 5 Sejarah singkat perkembangan manajemen risiko ......................................................... 6 Keterkaitan manajemen risiko dengan strategi dan proses organisasi. ........................ 10 Mengapa perlu Pedoman Manajemen Risiko berbasis Governance? .......................... 11 2. Ruang lingkup, maksud dan tujuan .................................................................................. 13 Ruang lingkup .............................................................................................................. 13 Maksud dan tujuan ....................................................................................................... 13 3. Peraturan dan pedoman terkait dan aspek penerapan manajemen risiko ......................... 15 Peraturan dan pedoman terkait..................................................................................... 15 Aspek penerapan manajemen risiko ............................................................................ 16 4. Istilah dan definisi ............................................................................................................ 16 BAGIAN II ASPEK STRUKTURAL ..................................................................................... 19 1. Pengantar.......................................................................................................................... 19 2. Prinsip, kerangka kerja dan proses manajemen risiko ..................................................... 20 Prinsip-prinsip manajemen risiko ................................................................................ 20 Kerangka kerja manajemen risiko ............................................................................... 22 Mandat dan komitmen ................................................................................................. 24 Proses manajemen risiko.............................................................................................. 27 3. Tata kelola manajemen risiko .......................................................................................... 28 Kebijakan manajemen risiko........................................................................................ 28 Akuntabilitas penerapan manajemen risiko ................................................................. 29

Infra struktur manajemen risiko ................................................................................... 30 Tata laksana, komunikasi dan pelaporan ..................................................................... 31 4. Sumber daya penerapan manajemen risiko...................................................................... 33 BAGIAN III ASPEK OPERASIONAL.................................................................................. 35 1. Pengantar.......................................................................................................................... 35 2. Manajemen Perubahan ..................................................................................................... 37 3. Panduan Manajemen Risiko ............................................................................................ 39 4. Implementasi Manajemen Risiko .................................................................................... 41 5. Komunikasi dan konsultasi .............................................................................................. 42 6. Menentukan konteks ........................................................................................................ 44 Konteks eksternal ......................................................................................................... 44 Konteks Internal ........................................................................................................... 45 Konteks Proses Manajemen Risiko ............................................................................. 45 Mengembangkan Kriteria Risiko ................................................................................. 46 7. Asesmen risiko ................................................................................................................. 48 Identifikasi risiko ......................................................................................................... 48 Analisis risiko .............................................................................................................. 51 Evaluasi risiko .............................................................................................................. 54 8. Perlakuan risiko ............................................................................................................... 56 9. Monitoring dan review ..................................................................................................... 58 10. Dokumentasi manajemen risiko ..................................................................................... 63 Struktur dokumentasi manajemen risiko ..................................................................... 63 BAGIAN IV ASPEK PERAWATAN .................................................................................... 67 1. Pengantar.......................................................................................................................... 67 2. Risk Governance .............................................................................................................. 67 Akuntabilitas ................................................................................................................ 67 Jenis monitoring dan review ........................................................................................ 69

ii

3. Budaya risiko ................................................................................................................... 69 Tone from the Top .................................................................................................... 70 Strategi pengembangan budaya risiko ......................................................................... 70 4. Pengembangan manajemen risiko.................................................................................... 72 Pengembangan sistem, metoda dan teknik .................................................................. 72 Benchmarking .............................................................................................................. 73 LAMPIRAN ............................................................................. Error! Bookmark not defined. Tim Penyusun ...................................................................... Error! Bookmark not defined. Anggota Komite Nasional Kebijakan Governance .............................................................. 74

iii

KATA PENGANTAR

iv

BAGIAN I

PENDAHULUAN

1. Latar belakang Manajemen risiko adalah salah satu disiplin yang menjadi popular menjelang akhir abad ke dua puluh. Disiplin ini mengajak kita untuk secara logis, konsisten dan sistematis melakukan pendekatan terhadap ketidakpastian masa depan, sehingga memungkinkan kita untuk secara lebih hati-hati (prudent) dan produktif menghindari hal-hal yang tidak berguna karena membuang sumber daya secara tidak perlu dan mencegah hal-hal yang merugikan atau bahkan meraup dan mengejar hal-hal yang bermanfaat. Ini semua dilakukan lebih dari sekedar berdasarkan keyakinan dan keberuntungan, karena dalam mengelola masa depan, kita harus mulai dengan mempelajari kemungkinan terjadinya suatu peristiwa (event), dan bila terjadi bagaimana dampaknya (consequences). Hal ini ditunjang dengan kemampuan untuk mempelajari dan lebih memahami apa yang menjadi penyebab terjadinya peristiwa (source of risk) tersebut. Karena bila dasarnya hanya keberuntungan, maka manajemen risiko menjadi tidak ada artinya, dan bahkan mengaburkan suatu kebenaran dan sekaligus memisahkan makna penyebab dari suatu peristiwa. Manajemen risiko dapat dikatakan berkembang dengan perkembangan pembelajaran manusia. Beberapa peristiwa politik, ekonomi dan perkembangan teknologi telah membantu evolusi dari perkembangan manajemen risiko selama kurang lebih se abad terakhir ini. Sebutkan saja beberapa peristiwa misalnya Perang Dunia ke II, diciptakannya bom atom yang digunakan pada perang tersebut, perkembangan teknologi otomotif dan juga pesawat terbang hingga peluru kenadali, penemuan komputer dan lain-lain. Ini semua telah ikut membantu perkembangan manajemen risiko. Dalam beberapa peristiwa yang lebih kecil, misalnya kasus bocornya reaktor nuklir Chernobyl di Rusia, bencana industri Bhopal di India, tenggelamnya kapal Titanic, pencemaran Teluk Minamata di Jepang, tragedy kapal tanker Exxon Valdez, kasus Enron, kasus Nick Leeson dengan Baring Bank di Singapura, kasus terorisme yang menghancurkan Twin Tower di New York pada tanggal 11 September 2001, hingga krisis finansial yang dialami Indonesia tahun 1997/1998, kasus bank Global, kasus Bank Century dan kasus-kasus lainnya. Ini semua telah memberikan stimulus terhadap perkembangan

manajemen risiko untuk lebih mendalami kajian tentang sebab-akibat, dan prediksi tentang kemungkinan terjadinya suatu peristiwa dan merupakan bagian yang tak terpisahkan dari proses evolusi manajemen risiko.

Sejarah Singkat Perkembangan Manajemen Risiko Felix Kloman dalam Enterprise Risk Management: Todays Leading Research and Best Practices for Tomorrows Executives (2010) menuliskan secara ringkas beberapa tonggak sejarah yang terkait dengan perkembangan manajemen risiko selama 100 tahun terakhir ini. Sebagai catatan dalam uraian kronologis di bawah ini tidak dituliskan ulang karya-karya ilmiah yang mempengaruhi perkembangan manajemen risiko. Uraian kronologis sejarah perkembangan manajemen risiko adalah sebagai berikut: 1914 : di Amerika Serikat perkumpulan dari para credit & lending officers dengan nama Robert Martin Association terbentuk di Philadelphia, dan kemudian berganti nama menjadi Risk Management Association pada tahun 2000, dan anggotanya pada tahun 2008 telah mencapai 3.000 lembaga keuangan dan 35.000 anggota perorangan. 1928: Konggres Amerika Serikat memutuskan Glass-Steagal Act yang melarang kepemilikan yang sama atas bank umum, investment bank dan perusahaan asuransi. Undang-Undang ini dicabut pada tahun 1999, karena dianggap menghambat perkembangan lembaga keuangan. Beberapa peristiwa bencana di bidang keuangan setelah tahun 2000 mempertanyakan kembali kebijakan pencabutan Undang-Undang ini. 1945: Konggres Amerika Serikat memutuskan McCarren-Ferguson Act yang menyerahkan kewenangan pengaturan industri asuransi kepada Negara bagian dan tidak lagi menjadi kewenangan nasional Federal. Hal ini agak menghambat perkembangan manajemen risiko karena mengurangi kemampuan industri asuransi dalam menghadapi risiko-risiko dalam perspektif yang lebih luas. 1966: The Insurance Institute of America mengembangkan satu set ujian yang terdiri dari tiga bagian yang memberikan gelar Associate in Risk Management. Ini adalah sertifikasi pertama yang diberikan dalam disiplin manajemen risiko. Walaupun isinya masih sangat didominasi oleh konsep perusahaan asuransi, tetapi pengenal konsep risiko yang lebih luas mulai diperkenalkan, dan ini setiap tahun selalu dimutakhirkan sesuai dengan tuntutan perubahan.

1975: The American Society of Insurance Management mengubah namanya nenjadi Risk & Insurance Management Society (RIMS) yang jumlah anggotanya di Amerika Utara pada tahun 2008 telah mencapai jumlah sekitar 11.000 orang. Di Negara-negara lain di dunia RIMS mempunyai asosiasi dengan IFRIMA (The International Federation of Risk and Insurance Management Association). 1980: mulai didirikan Society for Risk Analysis di Washington, terutama oleh mereka yang bergerak dalam kebijakan public, lingkungan hidup dan para akademisi terkait. Pada tahun 2008, SRA telah mempunyai anggota sebanyak 2.500 orang dan mempunyai afiliasi di Eropa dan Jepang. Kelompok ini yang mulai memperkenalkan manajemen risiko pada produk-produk legislasi. 1986: The Institute for Risk Management didirikan di London, beberapa tahun kemudian mulai memperkenalkan ujian yang dapat diikuti secara international untuk mendapatkan sertifikasi sebagai Fellow of the Institute of Risk Management, yang merupakan program pelatihan berkelanjutan terkait dengan manajemen risiko dalam berbagai macam aspeknya. Pada saat yang bersamaan Kongres Amerika Serikat juga meloloskan revisi dari The Risk Retention Act yang disahkan pada tahun 1982. 1990: Perserikatan Bangsa-Bangsa (PBB) memulai program IDNDR (the International Decade for Natural Disaster Recovery) suatu program kajian 10 tahun untuk mempelajari alam dan dampak bencana alam, khususnya pada negara-negara yang terbelakang serta membangun suatu upaya mitigasi pada tingkat dunia. Program ini berakhir pada tahun 1999 dan dilanjutkan dengan nama baru ISDR (the International Strategy for Disaster Reduction). Hasil dari kajian tersebut dapat dilihat dalam buku Natural Disaster Management yang diterbitkan oleh PBB. 1992: The Cadbury Committee di Inggris menerbitkan laporan yang menyarankan agar Dewan Direksi (Governing Boards), bertanggung jawab atas kebijakan manajemen risiko perusahaan dan memastikan bahwa seluruh anggota perusahaan memahami semua aspek risiko yang dihadapi perusahaan. Selain itu

merekomendasikan bahwa Dewan Direksi juga bertanggung jawab atas pengawasan proses pelaksanaan manajemen risiko tersebut. Hempel & Turnbull Committee yang melanjutkan tugas Cadbury Committee, memperluas dan memperbarui mandat untuk penerapan manajemen risiko bagi seluruh perusahaan.

Kondisi semacam ini juga diikuti oleh beberapa Negara antara lain Kanada, Amerika Serikat, Inggris, Afrika Selatan, Jerman dan Perancis. Pada tahun yang sama the Bank for International Settlement (BIS) yang berkedudukan di Swiss, menerbitkan ketentuan yang disebut sebagai Basel I bagi dunia perbankan international yang terkait dengan kecukupan modal, ketentuan tentang risiko kredit dan risiko pasar. 1993: Jabatan Chief Risk Officer (CRO) pertama kali digunakan oleh James Lam, dari GE Capital, untuk menggambarkan suatu jabatan yang bertanggung jawab atas pengelolaan semua aspek risiko perusahaan, termasuk manajemen risiko secara umum, risiko operasi, risiko usaha, risiko keuangan, dll. Saat ini sudah lebih dari 150 CRO yang bertanggung jawab atas penanganan berbagai macam risiko yang dihadapi perusahaan. 1995: Suatu kelompok kerja multi disiplin yang dibentuk oleh Standard Australia dan Standard New Zealand menerbitkan standar manajemen risiko yang pertama di dunia yaitu AS/NZS 4360:1995 Risk Management Standard (Standar ini kemudian direvisi setiap 5 tahun, dan telah mengalami revisi pada tahun 1999 dan tahun 2004). Penerbitan standar ini segera diikuti oleh beberapa negara antara lain Canada, Jepang dan Inggris. Sementara itu beberapa pengamat mengatakan bahwa tindakan ini prematur karena manajemen risiko masih dalam proses evolusi, akan tetapi mayoritas pengamat menghargai upaya ini karena standar ini merupakan langkah awal untuk dapat membuat suatu kerangka referensi global atas manajemen risiko, terlebih aspek multi disiplin dari manajemen risiko memperoleh tempat yang layak. 1996: The Global Association of Risk Professionals (GARP) didirikan di New York dan London. Pada tahun 2008 jumlah anggotanya sudah mencapai lebih dari 74.000 orang. GARP juga memberikan berbagai macam program sertifikasi untuk manajemen risiko. 2000: kekhawatiran atas kemungkinan terjadinya bencana akibat virus Y2K tidak terjadi. Secara umum ini dapat dikatakan karena keberhasilan pengerahan upaya dan dana yang sangat masif untuk melakukan perbaikan program guna mengatasi kemungkinan terjadinya bencana tersebut. Kejadian ini sering disebut sebagai salah satu keberhasilan manajemen risiko dalam mengantisipasi bencana.

2001: The Professional Risk Managers International Association (PRMIA) didirikan di Amerika Serikat dan Inggris. Pada tahun 2008, jumlah keanggotaannya mencapai sekitar 2.500 anggota penuh (paid members) dan 48.000 anggota afiliasi (associate members). Pada tahun yang sama juga terjadi tragedi 11 September 2001, yaitu serangan teroris pada Twin Tower di New York. Selain itu kebangkrutan Enron karena bad governance juga terjadi pada tahun ini. 2002: Konggres Amerika Serikat meloloskan Sarbanes-Oxley Act (SOA) untuk merespons kebangkrutan Enron dan skandal di bidang keuangan lainnya. Ketentuan SOA diberlakukan untuk semua perusahaan public yang tercatat di bursa saham Amerika Serikat. Sementara pengamat memandang bahwa ini adalah awal dari penggabungan unsure kepatuhan dengan manajemen risiko. Ada pula yang berpendapat bahwa penggabungan ini adalah suatu kemunduran karena memandang risiko hanya pada sisi negatifnya saja; sedangkan yang lain berpendapat bahwa ini adalah langkah nyata penerapan manajemen risiko pada tingkat Dewan Direksi. 2004: The Basel Committee on Banking Supervision dari BIS menerbitkan the Basel II Accord, yang memperluas cakupan pedoman yang telah dikeluarkan sebelumnya (Basel I) yang meliputi ratio kecukupan modal, risiko kredit, risiko pasar dengan tambahan risiko operasional perbankan. Beberapa pengamat berkomentar bahwa penerapan pedoman ini secara global akan mengurangi kebebasan masing-masing individu lembaga keuangan. Kesepakatan global sejenis Basel II ini diperkirakan juga menjadi alasan untuk menerbitkan kesepakatan serupa untuk industri non-finansial. 2005: The International Organization for Standarization (ISO) membentuk International Working Group (Technical Committee) untuk mempersiapkan suatu panduan global terkait dengan definisi manajemen risiko, panduan penerapan, dan praktik-praktik manajemen risiko, dan ditargetkan selesai pada tahun 2009. 2009: ISO menerbitkan ISO 31000:2009 Risk management Principles and guidelines. Penerbitan standar internasional ini segera diikuti dengan adopsi oleh beberapa negara antara lain Australia, New Zealand, dan Jepang pada tahun 2010. Mereka mengadopsi ISO 31000 ke dalam standar manajemen risiko negaranya.

Keterkaitan Manajemen Risiko dengan Strategi dan Proses Organisasi Setiap organisasi mempunyai visi dan misi. Misi merupakan alasan mengapa organisasi tersebut didirikan dan pada misi tersebut dapat diidentifikasi proses utama organisasi dalam memenuhi kebutuhan pelanggan utamanya. Visi adalah sasaran dan kondisi tertentu yang ingin dicapai oleh organisasi tersebut dalam waktu yang ditentukan. Strategi adalah cara untuk mencapai visi organisasi yang lebih baik dari pesaing-pesaing organisasi tersebut. Proses utama organisasi adalah proses yang menghasilkan apa yang dibutuhkan pelanggan organisasi tersebut. Proses utama ini untuk organisasi bisnis sering disebut sebagai cash generating process. Untuk dapat bersaing dalam memenuhi kebutuhan pelanggan, maka setiap organisasi harus berupaya agar proses utama mereka lebih efektif dan lebih efisien dari pesaing-pesaingnya, serta menghasilkan produk dan jasa yang juga lebih baik dari pesaingpesaingnya. Disinilah perumusan strategi dalam mencapai visi organisasi berperan. Dalam perumusan visi dan strategi terdapat konteks eksternal dan internal organisasi, sedangkan dalam proses utama organisasi terdapat konteks internal organisasi. Konteks eksternal organisasi adalah lingkungan eksternal organisasi dimana organisasi tersebut berupaya untuk mencapai sasaran organisasi, yaitu visinya. Konteks ini meliputi kondisi makro, antara lain kondisi ekonomi, sosial, politik, budaya, geografis, dan jenis industri organisasi tersebut. Selain itu perlu juga diperhatikan para pemangku kepentingan (stakeholders) dari organisasi tersebut, pelanggan, pemasok, kreditur, karyawan, regulator, pengamat industri, mass media, dan lain-lain. Konteks internal adalah lingkungan internal organisasi dengan mana organisasi tersebut berusaha untuk mencapai sasarannya. Konteks internal ini terdiri dari kapabilitas organisasi, struktur organisasi, proses organisasi, budaya organisasi, personalia, sumber daya organisasi, dll. Konteks internal ini relatif lebih dapat dikendalikan dibandingkan dengan konteks eksternal yang lebih banyak dipengaruhi faktor di luar organisasi. Risiko adalah sesuatu yang dapat mempengaruhi sasaran organisasi. Salah satu atribut risiko adalah ketidakpastian, baik dari sesuatu yang sudah diketahui maupun dari sesuatu yang belum diketahui. Dengan demikian strategi yang baik haruslah juga memperhatikan risikorisiko yang mungkin terjadi dalam konteks eksternal organisasi maupun konteks internal organisasi, dan melakukan antisipasi perlakuan risiko bila memang risiko tersebut menjadi kenyataan. Untuk risiko-risiko eksternal perlu diperhatikan antara lain harapan dari tiap-tiap pemangku kepentingan terhadap organisasi yang bila tidak dipenuhi akan menimbulkn

10

konflik dan mempengaruhi pencapaian sasaran organisasi. Begitu pula risiko yang mungkin terjadi akibat perubahan situasi politik, ekonomi, sosial atau lainnya. Ini semua harus diperhatikan dalam perumusan strategi. Proses utama organisasi merupakan kunci realisasi strategi dalam mencapai sasaran perusahaan. Kegagalan proses utama perusahaan dan proses pendukung lainnya akan mempengaruhi pencapaian sasaran organisasi. Semua kemungkinan yang dapat mengganggu proses organisasi haruslah diidentifikasi dan diantisipasi pencegahannya. Teknik yang paling sering dalam proses identifikasi risiko-risiko yang mengganggu proses organisasi adalah diagram tulang ikan (Ishikawa diagram) yang mengidentifikasi penyebab kegagalan dengan metoda sebab akibat. Teknik lainnya adalah FailureMode and Effect Analysis, yang juga mengidentifikasi kegagalan apa saja yang mungkin terjadi pada setiap tahapan proses, serta mencoba untuk mencari kemungkinan deteksi dini dari penyebab kegagalan tersebut sebelum terjadi.

Mengapa perlu Pedoman Manajemen Risiko berbasis Governance? Pengertian corporate governance dari Surat Keputusan Menteri BUMN (2002) dan dari OECD (2004) serta Pedoman Umum GCG dari KNKG (2006) mengandung pengertian tentang pencapaian keberhasilan usaha dan juga cara untuk memantau kinerja pencapaian sasaran keberhasilan usaha tersebut. Prinsip dari corporate governance yang mempunyai pengaruh dalam pelaksanaan manajemen risiko adalah transparansi, akuntabilitas, tanggung jawab (responsibilitas) dan independensi Dengan mengacu pada pengertian dan juga prinsip-prinsip corporate governance di atas maka jawaban mengapa perlu manajemen risiko yang berbasis governance menjadi sangat jelas. Pertama, manajemen risiko adalah bagian yang tidak terpisahkan dari pelaksanaan corporate governance karena peran manajemen risiko dalam memberikan jaminan yang wajar atas pencapaian sasaran keberhasilan usaha, tidak tergantikan. Kedua, pelaksanaan manajemen risiko yang baik memerlukan prinsip-prinsip governance sebagai berikut: Transparansi: pengelolaan risiko haruslah transparan, karena dampak risiko tidak hanya pada satu unit atau bagian saja, tetapi mungkin juga punya

11

dampak pada bagian lain. Dengan perkataan lain pengelolaan risiko haruslah bersifat inklusif dan transparan artinya melibatkan semua pihak yang terkait dengan risiko tersebut, baik dalam penanganan sumber risiko, maupun perlakuan terhadap dampak risiko; Akuntabilitas: harus terdapat akuntabilitas yang jelas dalam penerapan

manajemen risiko dalam organisasi. Untuk seluruh perusahaan, akuntabilitas tertinggi penerapan manajemen risiko terletak pada Direksi dan akuntabilitas pengawasan penerapan manajemen risiko terletak pada Dewan Komisaris. Akan tetapi secara berjenjang, haruslah jelas akuntabilitas pengelolaan risiko pada tiap tingkatan, bahkan hingga ke tiap proses bisnis organisasi; Responsibilitas: penjabaran akuntabilitas penerapan manajemen risiko kejenjang yang lebih rendah memerlukan kejelasan terhadap uraian dari tanggung jawab tersebut. Dalam situasi ini, maka haruslah jelas tanggung jawab pengelolaan risiko pada masing-masing tingkatan, bahkan hingga ke pengelolaan risiko pada proses organisasi. Oleh karena itu setiap pemangku risiko (risk owner) haruslah paham tugas dan tanggung jawabnya terkait dengan pengelolaan risiko pada lingkup tugas dan kewenangannya; Independensi: ini adalah konsekuensi logis dari prinsip akuntabilitas dan responsibilitas, dimana unit atau individu yang dibebani dengan akuntabilitas dan responsibilitas untuk mengelola risiko yang masuk dalam lingkup tugas dan kewenangannya, haruslah diberi cukup kebebasan untuk merumuskan cara menangani risiko tersebut. Ketiga, risiko adalah bagian yang tak terpisahkan dari proses organisasi, oleh karena itu manajemen risiko bukanlah sesuatu yang terpisahkan dari kegiatan utama organisasi ataupun proses lain organisasi. Manajemen risiko menjadi bagian yang tak terpisahkan dari tanggung jawab manajemen, dalam memastikan tercapainya sasaran organisasi. Berdasarkan hal tersebut di atas, maka manajemen risiko haruslah diintegrasikan sepenuhnya ke dalam governance organisasi untuk lebih memberikan kepastian terhadap pencapaian sasaran organisasi. Ini karena manajemen yang effektif lebih memberikan jaminan terhadap pencapaian sasaran organisasi.

12

2. Ruang Lingkup, Maksud dan Tujuan

Ruang lingkup Pedoman ini akan menguraikan aspek-aspek dan elemen-elemen yang diperlukan untuk membangun dan menerapkan manajemen risiko pada suatu organisasi. Aspek dan elemen yang diuraikan pada dasarnya bersifat generik dan dapat digunakan baik pada organisasi nirlaba, organisasi publik ataupun perusahaan yang berorientasi laba. Selain itu, pedoman ini juga dapat digunakan pada proyek, proses organisasi atau keperluan khusus lainnya disesuaikan menurut tujuan spesifiknya. Penerapan manajemen risiko tidak dapat dipisahkan dengan governance dari suatu

organisasi, sedangkan governance suatu organisasi tidak terlepas dari peraturan perundangan yang mengaturnya. Untuk organisasi publik terdapat beberapa peraturan perundangan tersendiri, sedangkan untuk organisasi nirlaba, terdapat beberapa peraturan perundangan baik untuk Yayasan, Organisasi Kemasyarakatan, dll. Oleh karena, itu demi kemudahan penulisan, pedoman ini akan menggunakan latar belakang Undang-Undang No. 40 tahun 2007 tentang Perseroan Terbatas. Alasannya sederhana, karena Perseroan Terbatas merupakan peraturan perundangan yang menjadi dasar organisasi yang bergerak dalam bidang perekonomian, dan paling banyak melibatkan kegiatan ekonomi masyarakat. Dengan demikian bagi pengguna yang bukan bergerak dalam organisasi Perseroan Terbatas, haruslah menginterpretasikan ulang posisi-posisi Direksi dan Dewan Komisaris dengan posisi serupa yang mempunyai tugas dan kewenangan serupa dengan posisi tersebut dalam organisasinya.

Maksud dan Tujuan Penerapan manajemen risiko yang baik antara lain dapat: Mengurangi kejutan-kejutan yang kurang menyenangkan. Ini dapat diperoleh karena melalui penerapan manajemen risiko yang baik semua hal yang berakibat pada pencapaian sasaran perusahaan telah diidentifikasikan sebelumnya dan juga langkah perlakuan terhadap hal tersebut telah diantisipasi. Hal ini berlaku untuk peristiwa positif maupun yang negatif;

13

Meningkatkan hubungan dengan para pemangku kepentingan menjadi semakin baik. Hal ini diperoleh karena dalam menerapkan manajemen risiko wajib untuk menemukenali para pemangku kepentingan dan harapannya. Melalui komunikasi timbal balik yang cukup intens maka dapat digalang kesamaan persepsi dan kesamaan kepentingan bersama, dengan demikian dapat diperoleh hubungan yang lebih baik; Meningkatkan reputasi perusahaan, karena komunikasi yang baik dengan para pemangku kepentingan dan mereka mengetahui bahwa perusahaan mampu untuk menangani risiko-risiko yang dihadapi dengan baik. Akibatnya kepercayaan pelanggan, pemasok, kreditor, komunitas bisnis serta masyarakat juga meningkat; Meningkatkan efektifitas dan efisiensi manajemen, karena semua risiko yang dapat menghambat proses organisasi telah diidentifikasikan dengan baik, maka cara untuk mengatasi gangguan kelancaran proses organisasi telah diantisipasi sebelumnya, sehingga bila gangguan tersebut memang terjadi, maka organisasi telah siap untuk menanganinya dengan baik; Lebih memberikan jaminan yang wajar atas pencapaian sasaran perusahaan karena terselenggaranya manajemen yang lebih efektif dan efisien, hubungan dengan pemangku kepentingan yang semakin membaik, kemampuan menangani risiko perusahaan yang juga meningkat, termasuk risiko kepatuhan dan hukum. Berdasarkan hal-hal diatas, maka maksud dari penyusunan pedoman ini adalah menyediakan bagi para pimpinan perusahaan suatu panduan untuk membangun dan menerapkan manajemen risiko sesuai dengan norma dan standar yang berlaku. Karena setiap perusahaan adalah khas, maka para pimpinan perusahaan haruslah menyesuaikan dengan kebutuhannya yang spesifik tersebut. Dengan demikian tujuan dari penyusunan pedoman ini adalah: Memberikan panduan untuk mengembangkan, membangun dan menerapkan manajemen risiko yang baik; Memberikan sarana untuk melakukan peninjauan ulang terhadap proses penerapan manajemen risiko yang telah dilakukan sebelumnya;

14

Memastikan kejelasan governance structure manajemen risiko dan juga sebaliknya bahwa manajemen risiko sudah terintegrasi sepenuhnya dengan governance perusahaan.

3. Peraturan dan Pedoman Terkait dan Aspek Penerapan Manajemen Risiko

Peraturan dan Pedoman Terkait Peraturan perundangan yang terkait dengan penerapan manajemen risiko antara lain: 1. Undang-Undang No.40 tahun 2007 tentang Perseroan Terbatas; 2. Undang-Undang No.19 tahun 1995 tentang Badan Usaha Milik Negara; 3. Undang-Undang No. 8 tahun 1995 tentang Pasar Modal; 4. Peraturan Bank Indonesia No. 11/25/PBI/2009 tentang Penerapan Manajemen Risiko bagi Bank Umum 5. Peraturan Pemerintah No. 60 tahun 2008 tentang Sistem Pengendalian Intern Pemerintah 6. Surat Keputusan Menteri BUMN Nomor KEP-117/M-MBU/2002 tentang Praktik Penerapan Good Corporate Governance pada Badan Usaha Milik Negara; Pedoman Komite Nasional Kebijakan Governance yang juga terkait dengan penerapan manajemen risiko adalah: 1. Pedoman Umum Good Corporate Governance Indonesia (2006); 2. Pedoman Umum Good Public Governance Indonesia (2008) 3. Pedoman Sistem Pelaporan Pelanggaran SPP/WBS (2008) 4. Pedoman Etika Bisnis Perusahaan (2010) Selain pedoman-pedoman di atas juga pedoman internal perusahaan terkait dengan peraturan perundangan industri terkait dan peraturan di bidang keuangan, ketenagakerjaan dll. juga perlu diperhatikan dalam penerapan manajemen risiko di perusahaan.

15

Aspek Penerapan Manajemen Risiko Proses penerapan manajemen risiko yang disarankan dalam Pedoman ini terdiri dari tiga aspek yaitu: 1. Aspek struktural: yaitu aspek yang memastikan arah penerapan, struktur organisasi penerapan dan akuntabilitas pelaksanaan manajemen risiko dalam organisasi, penyediaan sumber daya, dan sebagainya. 2. Aspek operasional adalah aspek yang menunjukkan tahapan proses implementasi yang sistematis dan terarah, mulai dari pernyataan komitmen Direksi dan Dewan Komisaris, penyusunan Pedoman Manajemen Risiko Perusahaan, briefing untuk Komisaris dan Direktur, pelatihan para pemangku risiko, hingga penerapannya. 3. Aspek perawatan: adalah aspek yang memastikan adanya upaya menjaga efektifitas penerapan dan perbaikan yang berkesinambungan melalui, monitoring dan review serta audit manajemen risiko.

4. Istilah dan Definisi Istilah dan definisi yang digunakan dalam Pedoman ini mengacu pada istilah dan definisi yang digunakan pada ISO GUIDE 73:2009 Risk management Vocabulary yang menjadi standar internasional istilah untuk manajemen risiko. Hal ini dimaksudkan untuk menghindari kerancuan dari berbagai macam istilah dan definisi yang digunakan dalam berbagai macam standar yang mungkin sudah dipakai perusahaan. Dalam pedoman ini tidak semua istilah yang tercantum dalam ISO GUIDE 73:2009 akan dituliskan secara lengkap, tetapi terbatas sesuai dengan kebutuhan penggunaan dalam pedoman ini saja. 4.1. Risiko adalah dampak ketidakpastian pada sasaran.( ISO GUIDE 73:2009 definisi 1.1); 4.2. Manajemen risiko adalah upaya organisasi yang terkoordinasi untuk mengarahkan dan mengendalikan risiko (ISO GUIDE 73:2009 definisi 2.1); 4.3. Kerangka kerja manajemen risiko adalah sekumpulan perangkat organisasi yang menyediakan landasan bagi perencanaan, penerapan, monitor dan review serta perbaikan sinambung manajemen risiko bagi seluruh organisasi (ISO GUIDE 73:2009 definisi 2.1.1);
16

4.4. Kebijakan manajemen risiko adalah pernyataan Direksi dan Dewan Komisaris terkait dengan arah dan tujuan penerapan manajemen risiko (ISO GUIDE 73:2009 definisi 2.1.2); 4.5. Rencana manajemen risiko adalah pola atau skema dalam kerangka

manajemen risiko yang menunjukkan pendekatan yang akan diterapkan dalam mengelola risiko antara lain, pendekatan yang digunakan, komponen-komponen manajemen termasuk teknik manajemen risiko yang digunakan, sumber daya yang akan dipakai dalam mengelola risiko (ISO GUIDE 73:2009 definisi 2.1.3); 4.6. Pemangku Risiko (risk owner): adalah orang atau suatu entitas yang mempunyai akuntabilitas dan kewenangan untuk mengelola suatu risiko (ISO GUIDE 73:2009 definisi 3.5.1.5); 4.7. Proses manajemen risiko: adalah penerapan secara sistematik kebijakan manajemen, prosedur dan praktik manajemen dalam pelaksanaan tugas untuk melakukan komunikasi dan konsultasi; menetapkan konteks; melakukan identifikasi; menganalisa; mengevaluasi; memperlakukan, memantau dan mengkaji risiko (ISO GUIDE 73:2009 definisi 3.1.); 4.8. Menetapkan konteks: adalah proses untuk menentukan batasan dan parameter eksternal dan internal yang harus dipertimbangkan dalam mengelola risiko dan menentukan lingkup serta kriteria risiko dalam kebijakan manajemen risiko (ISO GUIDE 73:2009 definisi 2.4); 4.9. Komunikasi dan konsultasi: adalah proses yang berulang dan berkelanjutan antara organisasi dan para pemangku kepentingannya (stakeholders) dalam saling memberikan, berbagi informasi serta melakukan dialog terkait dengan pengelolaan risiko (ISO GUIDE 73:2009 definisi 3.2.1); 4.10. Pemangku kepentingan: adalah setiap orang atau organisasi yang dapat mempengaruhi atau dipengaruhi, atau menganggap dirinya dapat dipengaruhi oleh suatu keputusan atau kegiatan (ISO GUIDE 73:2009 definisi 3.2.1.1); 4.11. Asesmen risiko: adalah keseluruhan proses yang meliputi identifikasi risiko, analisa risiko dan evaluasi risiko (ISO GUIDE 73:2009 definisi 3.4.1); 4.12. Sumber risiko : adalah segala sesuatu yang baik sendiri ataupun bersama-sama mempunyai potensi yang melekat (intrinsic) untuk menimbulkan terjadinya risiko (ISO GUIDE 73:2009 definisi 3.5.1.2); 4.13. Peristiwa (event): adalah suatu kejadian atau perubahan yang terjadi pada suatu kondisi atau lingkungan tertentu (ISO GUIDE 73:2009 definisi 3.5.1.3);
17

4.14. Dampak (consequence): adalah akibat dari suatu peristiwa yang mempengaruhi sasaran (ISO GUIDE 73:2009 definisi 3.6.1.3); 4.15. Kemungkinan (likelihood): adalah kesempatan/kemungkinan sesuatu terjadi.
Catatan : Perlu dibedakan antara likelihood dengan probability. Terminologi probabilitas adalah istilah matematik, terutama statistic, sehingga dalam menggunakannya perlu diperhatikan kaidah-kaidah matematik terkait. Istilah likelihood atau kemungkinan adalah istilah yang lebih umum dan tidak terkait dengan kaidah matematik, sehingga dalam menentukan ukurannya dapat lebih bebas, baik subyektif, kualitatif ataupun kuantitatif, frekwensi atau juga dengan probabilitas (selama kaidah matematiknya dipenuhi).

(ISO GUIDE 73:2009 definisi 3.6.1.1); 4.16. Profil risiko: adalah gambaran atau uraian dari suatu kelompok risiko. (Catatan:
kelompok risiko ini dapat berisikan risiko-risiko yang terkait dengan seluruh organisasi, hanya sebagian dari organisasi, atau dari suatu proyek/proses)

(ISO GUIDE 73:2009 definisi

3.8.2.5); 4.17. Kriteria risiko: adalah kerangka acuan untuk mengukur besaran risiko yang akan dievaluasi (ISO GUIDE 73:2009 definisi 3.3.1.3); 4.18. Perlakuan risiko: adalah proses untuk merubah risiko (Catatan: pada dasarnya
upaya perlakuan risiko dilakukan melalui mengurangi kemungkinan terjadinya risiko atau/dan mengurangi dampak risiko, bila risiko tersebut terjadi)

(ISO GUIDE 73:2009 definisi

2.1); 4.19. Pengendalian: adalah upaya-upaya untuk merubah risiko (ISO GUIDE 73:2009 definisi 3.8.1.1); 4.20. Risiko tersisa: adalah risiko yang masih tersisa setelah dilakukan perlakuan risiko (ISO GUIDE 73:2009 definisi 3.8.1.6); 4.21. Pemantauan (monitoring): adalah suatu proses yang dilakukan secara terus menerus untuk memeriksa, mengawasi, melakukan pengamatan secara kritis untuk dapat mengidentifikasi terjadinya perubahan dari tingkat kinerja atau sasaran yang ingin dicapai dari pelaksanaan pengelolaan risiko (ISO GUIDE 73:2009 definisi 3.8.2.1); 4.22. Pengkajian (review): adalah suatu kegiatan yang dilakukan untuk menentukan suatu kesesuaian, kecukupan, dan efektifitas suatu obyek, proses atau cara yang digunakan dalam mencapai sasaran (Catatan: review dapat dilakukan terhadap kerangka
kerja manajemen risiko, proses manajemen risiko, perlakuan risiko ataupun pengendalian risiko)

(ISO GUIDE 73:2009 definisi 3.8.2.2);

18

BAGIAN II

ASPEK STRUKTURAL
1. Pengantar Sebagaimana telah diuraikan pada Bagian I, Aspek Struktural: adalah aspek yang memastikan arah penerapan, struktur organisasi penerapan, akuntabilitas pelaksanaan manajemen risiko dalam organisasi, dan penyediaan sumber daya. Ini berarti bahwa aspek ini akan menjadi fondasi bagi penerapan manajemen risiko pada suatu organisasi. Dalam aspek ini akan diatur bagaimana tata kelola risiko (risk governance) termasuk di dalamnya kejelasan akuntabilitas para pemangku risiko (risk owner). Juga akan dibahas pedoman penerapan manajemen risiko yang berupa prinsip-prinsip yang harus diacu untuk memastikan dan sekaligus memfasilitasi terjadinya budaya sadar risiko, sehingga meningkatkan daya tahan dan keliatan (resilience) organisasi dalam menghadapi tantangan perubahan yang mengandung risiko. Pelaksanaan tata kelola manajemen risiko tidak dapat dilakukan secara terpisah dengan struktur organisasi entitas tersebut. Padahal struktur organisasi suatu entitas sangat tergantung pada sistem hukum yang dianut dalam negara dimana entitas tersebut berada dan juga terhadap jenis kegiatan organisasi tersebut. Suatu organisasi swasta tentu akan berbeda dengan suatu organisasi publik, karena acuan hukum yang akan dipakai juga berbeda. Organisasi yang mengejar laba tentu berbeda juga dengan organisasi nirlaba, karena peraturan perundangan yang digunakan sebagai acuan juga berbeda. Pedoman ini, walaupun diupayakan untuk bersifat generik, akan tetapi tidak mungkin mencakup segala macam jenis organisasi. Untuk kepentingan praktis mengenai struktur organisasi entitas, pedoman ini akan mengacu pada Undang-Undang No.40 tahun 2007 tentang Perseroan Terbatas yaitu undangundang tentang perusahaan swasta pada umumnya, termasuk juga perusahaan milik Negara (BUMN). Alasannya sederhana, karena jenis entitas inilah yang jumlahnya paling banyak dan juga sekaligus menjadi tumpuan perputaran roda ekonomi sektor riil. Untuk entitas lain yang mempunyai bentuk bukan Perseroan Terbatas, maka dia harus mencari padanan organ apa yang setara tugas dan kewajibannya dengan organ Perseroan Terbatas, yaitu Rapat Umum Pemegang Saham, Direksi dan Dewan Komisaris. Organisasi lain, terutama organisasi publik, organisasi nirlaba, hendaknya melihat dan mengacu pada peraturan perundangan yang terkait.

19

Perbedaan peraturan perundangan yang digunakan akan mempengaruhi bentuk kerangka kerja penerapan manajemen risiko dan juga akuntabilitas penerapan manajemen risiko bagi organisasi tersebut.

2. Prinsip, Kerangka Kerja, Mandat dan Komitmen, dan Proses Manajemen Risiko Pada awal penerapan manajemen risiko, fokus lebih tertuju hanya pada bagaimana menangani risiko tersebut dan secara parsial, bukan bagaimana menangani berbagai macam risiko yang mungkin dihadapi oleh organisasi. Merubah cara penanganan risiko yang semula secara parsial (silo) menjadi terintegrasi seluruh organisasi, memerlukan suatu pendekatan yang berbeda. Perlu dibangun suatu pemahaman yang sama tentang prinsip-prinsip penanganan risiko, suatu landasan kerangka kerja yang akan menjadi dasar bagi penanganan setiap risiko, urutan proses penanganan risiko, pemahaman tentang teknik dan metoda penanganan risiko dan tak ketinggalan suatu proses pelaporan serta monitoring & review untuk keseluruhan proses penanganan risiko di seluruh organisasi. Penerapan manajemen risiko untuk seluruh organisasi ini sering disebut sebagai ERM (Enterprise Risk Management).

Prinsip-Prinsip Manajemen Risiko Merujuk pada standar manajemen risiko terbaru yaitu ISO 31000:2009 Risk Management Principles and guidelines, maanajemen risiko suatu organisasi hanya dapat efektif bila mampu menganut dan menerapkan prinsip-prinsip sebagai berikut: 1). Manajemen risiko melindungi dan menciptakan nilai tambah. Manajemen risiko memberikan kontribusi melalui peningkatan kemungkinan

pencapaian sasaran perusahaan secara nyata. Selain itu, juga memberikan perbaikan dalam aspek keselamatan, kesehatan kerja, kepatuhan terhadap peraturan perundangan, perlindungan lingkungan hidup, persepsi publik, kualitas produk, reputasi, corporate governance, efisiensi operasi, dan lain-lain. 2). Manajemen risiko adalah bagian terpadu dari proses organisasi. Manajemen risiko merupakan bagian dari tanggung jawab manajemen dan merupakan bagian tak terpisahkan dari proses organisasi, proyek, dan manajemen perubahan. Manajemen risiko bukanlah suatu aktivitas yang berdiri sendiri dan terpisah dari kegiatan serta proses organisasi dalam mencapai sasaran.
20

3).

Manajemen risiko adalah bagian dari proses pengambilan keputusan. Manajemen risiko membantu para pengambil keputusan untuk mengambil keputusan atas dasar pilihan-pilihan yang tersedia dengan informasi yang selengkap mungkin. Manajemen risiko dapat membantu menentukan prioritas tindakan dan membedakan berbagai alternatif tindakan. Manajemen risiko dapat membantu menunjukkan semua risiko yang ada, mana risiko yang dapat diterima dan mana risiko yang memerlukan perlakuan lebih lanjut. Manajemen risiko juga memantau apakah perlakuan risiko yang telah diambil memadai dan cukup efektif atau tidak. Informasi ini merupakan bagian dari proses pengambilan keputusan.

4).

Manajemen risiko secara khusus menangani aspek ketidakpastian. Manajemen risiko secara khusus menangani aspek ketidakpastian dalam proses pengambilan keputusan. Ia memperkirakan bagaimana sifat ketidakpastian dan bagaimanakah hal tersebut harus ditangani.

5).

Manajemen risiko bersifat sistematik, terstruktur, dan tepat waktu. Sifat sistematik, terstruktur, dan tepat waktu yang digunakan dalam pendekatan manajemen risiko inilah yang memberikan kontribusi terhadap efisiensi dan konsistensi manajemen risiko. Dengan demikian, hasilnya dapat dibandingkan dan memberikan hasil serta perbaikan.

6).

Manajemen risiko berdasarkan pada informasi terbaik yang tersedia. Masukan dan informasi yang digunakan dalam proses manajemen risiko didasarkan pada sumber informasi yang tersedia, seperti pengalaman, observasi, perkiraan, penilaian ahli, dan data lain yang tersedia. Akan tetapi, tetap harus disadari bahwa semua informasi ini mempunyai keterbatasan yang harus dipertimbangkan dalam proses pengambilan keputusan, baik dalam membuat model risiko maupun perbedaan pendapat yang mungkin terjadi di antara para ahli.

7).

Manajemen risiko adalah khas untuk penggunanya (tailored). Manajemen risiko harus diselaraskan dengan konteks internal dan eksternal organisasi, serta sasaran organisasi dan profil risiko yang dihadapi organisasi tersebut.Termasuk dalam pengertian ini adalah disesuaikan dengan kebutuhan dari para pemangku risiko dalam organisasi tersebut.

8).

Manajemen risiko mempertimbangkan faktor manusia dan budaya.

21

Penerapan manajemen risiko haruslah menemukenali kapabilitas organisasi, persepsi dan tujuan masing-masing individu di dalam serta di luar organisasi, khususnya yang menunjang atau menghambat pencapaian sasaran organisasi. 9). Manajemen risiko harus transparan dan inklusif. Untuk memastikan bahwa manajemen risiko tetap relevan dan terkini, para pemangku kepentingan dan pengambil keputusan di setiap tingkatan organisasi harus dilibatkan secara efektif. Keterlibatan ini juga harus memungkinkan para pemangku kepentingan terwakili dengan baik dan mendapatkan kesempatan untuk menyampaikan pendapat serta kepentingannya, terutama dalam merumuskan kriteria risiko. 10). Manajemen risiko bersifat dinamis, berulang, dan tanggap terhadap perubahan. Ketika terjadi peristiwa baru, baik di dalam maupun di luar organisasi, konteks manajemen risiko dan pemahaman yang ada juga mengalami perubahan. Dalam situasi semacam inilah tahapan monitoring dan review berperan memberikan kontribusi. Risiko baru pun muncul, ada yang berubah, ada juga yang menghilang. Oleh karena itu, menjadi tugas manajemen untuk memastikan bahwa manajemen risiko senantiasa memerhatikan, merasakan, dan tanggap terhadap perubahan. 11). Manajemen risiko harus memfasilitasi terjadinya perbaikan dan peningkatan organisasi secara berlanjut. Manajemen organisasi harus senantiasa mengembangkan dan menerapkan perbaikan strategi manajemen risiko serta meningkatkan kematangan dan kecanggihan pelaksanaan manajemen risiko, sejalan dengan aspek lain dari organisasi.

Kerangka Kerja Manajemen Risiko

Agar dapat berhasil dengan baik, manajemen risiko harus diletakkan dalam suatu kerangka manajemen risiko. Kerangka kerja ini akan menjadi dasar dan penataan yang mencakup seluruh kegiatan manajemen risiko di segala tingkatan organisasi. Kerangka kerja ini akan membantu organisasi mengelola risiko secara efektif melalui penerapan proses manajemen risiko dalam berbagai tingkatan organisasi dan dalam konteks spesifik organisasi tersebut. Kerangka kerja ini akan memastikan bahwa informasi risiko yang lengkap dan memadai yang diperoleh dari proses manajemen risiko akan dilaporkan serta digunakan sebagai landasan

22

untuk pengambilan keputusan. Hal ini dilakukan sesuai dengan kejelasan akuntabilitas pada setiap tingkatan organisasi

MANDAT & KOMITMEN

Perencanaan Kerangka Kerja Manajemen Ris iko

Perbaikan s inambung Kerangka Kerja MR

Penerapan Manajemen Ris iko

Monitoring & review penerapan Kerangka Kerja MR

Gambar 1: Kerangka kerja manajemen risiko (diadopsi dari ISO : 31000 -2009)

Skema pada gambar 1 di atas memperjelas gambaran umum mengenai kerangka kerja manajemen risiko sebagai induk dari proses manajemen risiko yang lebih bersifat teknis. Kerangka kerja ini tidak dimaksudkan untuk menggambarkan sebuah sistem manajemen baru, tetapi lebih ditujukan untuk membantu organisasi dalam mengintegrasikan manajemen risiko ke dalam sistem manajemen organisasi keseluruhan, khususnya melalui siklus manajemen sederhana PDCA (Plan-Do-Check-Action). Selain itu, skema di atas menunjukkan gambaran mengenai bagaimana seharusnya tata kelola risiko (risk governance) harus dilaksanakan, dimana dalam tata kelola risiko ini, sebagaimana diutarakan dalam Bagian I, terdiri dari aspek struktural, aspek operasional dan aspek perawatan. Secara lebih rinci, ketiga aspek tersebut memuat unsur-unsur sebagai berikut: Aspek struktural dari tata kelola manajemen risiko antara lain terdiri dari: Komitmen;

23

Kebijakan manajemen risiko; Akuntabilitas dan kepemimpinan; Pembentukan unit kerja manajemen risiko; Champion manajemen risiko pada masing-masing unit kerja; serta Penyediaan sumber daya yang diperlukan untuk pelaksanaan manajemen risiko. Aspek operasional dari tata kelola manajemen risiko antara lain terdiri dari: Penyusunan buku Panduan Manajemen Risiko; Peluncuran, sosialisasi, dan pelatihan manajemen risiko; Teknik dan metoda untuk implementasi proses manajemen risiko; Sistem pelaporan internal dan eksternal; Monitoring dan pengukuran kinerja; serta Tata usaha dan administrasi data serta informasi manajemen risiko. Aspek perawatan dari tata kelola manajemen risiko antara lain terdiri dari: Pendidikan dan pelatihan berlanjut; Komunikasi dan publikasi; Review dan audit tata kelola manajemen risiko; serta Benchmarking.

Mandat dan Komitmen Mandat dan komitmen dalam kerangka kerja manajemen risiko mempunyai arti sentral, artinya dari sanalah segala sesuatunya berasal sesuai dengan peraturan yang menjadi dasar hukum entitas atau organisasi tersebut. Dalam peraturan perundangan terkait, akan terlihat secara jelas siapa yang memperoleh mandat dan apa jenis mandat yang diterima dan komitmen apakah yang akan terkait secara langsung dengan penerapan manajemen risiko pada organisasi tersebut. Pedoman ini menggunakan Undang-Undang No.40 tahun 2007 tentang Perseroan Terbatas (UUPT) sebagai acuannya, maka akan ditelaah bagaimanakah Mandat dan Komitmen dalam peraturan perundangan tersebut terkait dengan penerapan manajemen risiko. Dalam UUPT yang menjadi alter ego perusahaan adalah Direksi dan Dewan Komisaris, dan mandat yang mereka terima adalah sebagai berikut: Direksi adalah Organ Perseroan yang berwenang dan bertanggung jawab penuh atas pengurusan Perseroan untuk kepentingan Perseroan, sesuai dengan maksud dan tujuan
24

Perseroan serta mewakili Perseroan, baik di dalam maupun di luar pengadilan sesuai dengan ketentuan anggaran dasar.

Dewan Komisaris adalah Organ Perseroan yang bertugas melakukan pengawasan

secara umum dan/atau khusus sesuai dengan anggaran dasar serta memberi nasihat kepada Direksi. Dari mandat tersebut di atas terlihat jelas bahwa Direksi mempunyai tugas pengurusan dan perwakilan untuk kepentingan Perseroan, sesuai dengan maksud dan tujuan Perseroan. Sebagai konsekuensi logis dari tugas tersebut maka Direksi memikul tanggung jawab kepada: 1). Perseroan; 2). Pemegang saham; dan 3). Kreditur serta pemangku kepentingan lainnya lainnya. Sedangkan Dewan Komisaris mempunyai tugas pengawasan dan pemberian nasehat kepada Direksi, Dewan Komisaris harus memerhatikan kepentingan perseroan dan sesuai dengan maksud serta tujuan perseroan dan Anggaran Dasar perseroan. Tugas dan tanggung jawab Dewan Komisaris lebih bersifat internal sehingga Dewan Komisaris bertanggung jawab kepada: 1). Perseroan; dan 2). Pemegang saham. Dari uraian di atas jelas bahwa Direksi dan Dewan Komisaris wajib memastikan bahwa maksud, tujuan dan kepentingan Perseroan harus diupayakan untuk tercapai dan tidak terganggu oleh peristiwa apapun. Pernyataan ini sebetulnya tidak lain dan tidak bukan adalah penerapan manajemen risiko pada perseroan (lihat definisi risiko dan manajemen risiko). Dengan demikian terkait dengan penerapan manajemen risiko maka Direksi adalah penanggungjawab utama penerapan manajemen risiko pada Perseroan, sedangkan Dewan Komisaris adalah Pengawas Tertinggi dalam pelaksanaan pengawasan (monitoring dan review) pelaksanaan penerapan manajemen risiko pada Perseroan. Oleh karena itu, tugas Direksi antara lain wajib untuk: Menciptakan situasi yang kondusif untuk melaksanakan manajemen risiko melalui penetapan prinsip, strategi umum, dan kebijakan penerapan manajemen risiko;

25

Menyusun dan menetapkan risk governance structure yang sesuai dengan organisasi yang dipimpinnya, serta menetapkan struktur akuntabilitas hingga level yang terendah; Menetapkan bahasa dan terminologi manajemen risiko baku yang akan digunakan di dalam organisasi, antara lain dengan menetapkan jenis standar manajemen risiko yang akan digunakan; Menyediakan sumber daya yang diperlukan dalam arti tenaga ahli, pelatihan, dana, sarana fisik, peralatan, dan waktu yang diperlukan untuk melaksanakan manajemen risiko dengan baik; Memastikan keselarasan program manjemen risiko dengan strategi perusahaan, sekaligus menentukan ukuran kinerja pencapaian sasaran manajemen risiko; Mengartikulasikan dan mengomunikasikan manfaat manajemen risiko dalam pencapaian sasaran perusahaan; Menetapkan model potensi risiko utama dan risiko utama nyata yang dihadapi perusahaan untuk memfokuskan sasaran penanganan manjemen risiko.

1) Apa yang dapat membuat perusahaan ini bangkrut atau rugi besar? Pertanyaan ini membuat kita fokus pada risiko-risiko utama. Risiko utama ini dapat diidentifikasi antara lain melalui: Siapa saja pemangku kepentingan utama dan apa kebutuhannya; Rencana strategis perusahaan dan pelaksanaannya; Risiko kegiatan utama, baik finansial, operasional, maupun kepatuhan kepada peraturan perundangan yang dapat membahayakan kelangsungan hidup perusahaan; Bagaimanakah toleransi risiko ditetapkan dan bagaimanakah toleransi risiko tersebut bila dibandingkan dengan kapabilitas perusahaan ataupun rencana strategi perusahaan; Apakah Anda merasa nyaman dengan profil risiko yang dilaporkan? 2) Fokus pada perubahan apakah yang terjadi. Hal ini terkait dengan unsur ketidakpastian dari risiko. Perubahan apapun yang terjadi harus diperhatikan. Bagaimana dampaknya terhadap organisasi, perubahan pasar/persaingan, perubahan peraturan, perubahan kurs mata uang, perubahan politik, dan lain-lain.

26

3) Uji dan bandingkan dengan apa yang telah terjadi. Kita tidak boleh berpuas diri dengan apa yang sudah berjalan dengan baik. Ada baiknya kita mempertanyakan kemampuan manajemen risiko yang ada: Mungkinkah apa yang terjadi di Union Carbide, Bhopal, India, dapat juga terjadi disini? Mungkinkan kecerobohan sistem pengendalian internal yang terjadi pada Baring Bank, Singapore, dapat juga terjadi di sini? Mungkinkah kecerobohan manajemen yang dialami Adam Air juga mungkin terjadi di sini?; dan seterusnya. 4) Menemu kenali hubungan antar-risiko. Sebuah risiko besar seringkali tidak terjadi tiba-tiba, tetapi akibat dari interaksi dari berbagai risiko kecil. Risiko yang dialami oleh pesawat terbang Adam Air yang terjun ke laut diakibatkan oleh berbagai hal, mulai dari upaya penghematan, komponen navigasi yang tidak berfungsi dengan baik, sampai kecerobohan manajemen Selain keempat hal di atas, Dewan Komisaris juga perlu mempertanyakan bagaimanakah proses komunikasi risiko dilaksanakan; bagaimanakah pembinaan budaya sadar risiko diselenggarakan; bagaimanakah penciptaan situasi yang kondusif untuk penerapan manajemen risiko diciptakan; dan bagaimanakah pembentukan tone at the top (perilaku keteladanan) terlaksana. Organisasi dengan penerapan manajemen risiko yang baik akan menunjang pelaksanaan good corporate governance dan akan meningkatkan nilai perusahaan.

Proses Manajemen Risiko

Proses manajemen risiko adalah penerapan secara sistematik kebijakan manajemen, prosedur dan praktik manajemen dalam pelaksanaan tugas untuk melakukan komunikasi dan konsultasi; menetapkan konteks; melakukan asesmen risiko yang meliputi identifikasi; analisa dan evaluasi risiko; kemudian perlakuan risiko, dan diakhiri dengan pemantauan dan pengkajian risiko. Proses manajemen risiko secara singkat adalah penerapan kerangka kerja manajemen risiko pada tiap-tiap jenis risiko yang secara spesifik mempunyai karakter yang berbeda-beda sesuai dengan konteksnya. Ini sesuai dengan prinsip ke tujuh manajemen risiko yang menyatakan bahwa manajemen risiko adalah khas bagi penggunanya (tailored) Walaupun penerapan proses manajemen risiko khas untuk masing-masing risiko, tetapi secara metodologis, penerapannya sesuai dengan sistem yang digambarkan pada gambar 2 di bawah ini

27

MENENTUKAN KONTEKS

ASESMEN RISIKO
IDENTIFIKASI RISIKO

ANALISA RISIKO

EVALUASI RISIKO

PERLAKUAN RISIKO

Gambar 2: Proses manajemen risiko (diadopsi dari AS/NZS 4360:2004) Sebagaimana ditegaskan diatas, proses manajemen risiko ini adalah khas dan unik untuk tiap proses bisnis, bagian dan bahkan untuk tiap risiko. Ini karena tidak ada proses, bagian ataupun risiko yang 100% identik. Masing-masing mempunyai hal yang spesifik , walaupun terdapat beberapa kesamaan.

3. Tata Kelola Risiko Tata kelola risiko ini meliputi unsur-unsur kebijakan manajemen risiko, akuntabilitas pelaksanaan, perencanaan manajemen risiko terpadu, penyediaan sumber daya yang memadai, dan mekanisme komunikasi serta pelaporan pelaksanaan manajemen risiko, baik internal maupun eksternal. Satu hal lagi yang biasanya penting dalam tata kelola manajemen risiko adalah kesamaan bahasa, yaitu penggunaan istilah-istilah dalam penerapan manajemen risiko. Hal ini diatasi dengan menggunakan istilah dan definisi yang ditentukan dalam ISO Guide 173:2009 Risk Management Vocabulary.

Kebijakan Manajemen Risiko Kebijakan manajemen risiko merupakan pernyataan komitmen secara tertulis oleh Direksi dan Dewan Komisaris untuk menerapkan manajemen risiko pada organisasi. Dalam pernyataan ini dikemukakan secara singkat alasan dan tujuan penerapan manajemen risiko. Hal penting yang perlu disampaikan dalam pernyataan kebijakan manajemen ini adalah:

28

Alasan mengapa harus menerapkan manajemen risiko Penjelasan keterkaitan antara pencapaian sasaran organisasai dan kebijakan manajemen risiko Kejelasan akuntabilitas pelaksanaan manajemen risiko, termasuk infrastruktur pelaksanaannya; Penyediaan sumber daya untuk menerapkan manajemen risiko; Penentuan standar atau metode manajemen risiko yang akan digunakan; Komitmen untuk melakukan review dan verifikasi secara berkala terhadap efektivitas penerapan manajemen risiko. Penetapan komitmen manajemen risiko ini harus diikuti dengan langkah-langkah nyata untuk lebih mempertegas bahwa komitmen tersebut tidak hanya di atas kertas. Secara keseluruhan, langkah nyata tersebut adalah penyusunan tata kelola manajemen risiko yang akan mengawal proses penerapan manajemen risiko ke seluruh organisasi.

Akuntabilitas Penerapan Manajemen Risiko Akuntabilitas tertinggi untuk penerapan manajemen risiko pada dasarnya berada pada Direksi, secara lebih khusus pada Direktur Utama atau anggota Direksi lainnya yang ditunjuk. Secara umum, hal penting yang perlu diperhatikan antara lain: Penunjukan Champion yang bertanggung jawab untuk mendorong pelaksanaan penerapan manajemen risiko secara meluas ke seluruh organisasi (enterprise wide risk management). Champion ini dapat berupa penunjukan fungsi Manajemen Risiko tersendiri dan juga para individu pada setiap divisi dengan penugasan khusus untuk menjadi fasilitator penerapan manajemen risiko pada divisinya;; Penetapan secara jelas bahwa akuntabilitas pengelolaan risiko tetap berada pada para pemangku risiko (risk owner) dan bukan ke para Champion..Untuk itu maka pada setiap Kepala Divisi, adalah pemangku risiko pada divisi tersebut dan juga menjadi Penanggung Jawab dalam melakukan pengelolaan risiko pada divisinya. Demikian secara berjenjang hingga sampai pada penanggungjawab proses. Tugas para Champion lebih sebagai fasilitator untuk penerapan manajemen risiko; Penyusunan infrastruktur organisasi sebagai unit untuk mendorong penerapan manajemen risiko ke seluruh organisasi, termasuk di dalamnya akuntabilitas penerapan tersebut pada setiap tingkatan dalam organisasi;

29

Penyusunan mekanisme organisasi untuk penerapan manajemen risiko, termasuk penyusunan manual penerapan manajemen risiko, mekanisme pelaporan pelaksanaan manajemen risiko, pengukuran efektivitas penerapan manajemen risiko, atau pengukuran kinerja manajemen risiko. Proses untuk menimbulkan budaya sadar risiko ke seluruh organisasi.

Infra Struktur Manajemen Risiko Tidak terdapat model atau panduan baku dalam penyusunan infrastruktur organisasi dalam pengelolaan manajemen risiko. Hal yang terpenting adalah kejelasan dari akuntabilitas dan tanggung jawab untuk mendorong pelaksanaan manajemen risiko ini bertumpu pada suatu fungsi yang ditunjuk secara tegas dan jelas. Setiap organisasi harus menyusun infrastruktur organisasi manajemen risiko sesuai dengan kebutuhannya dan jenis-jenis risiko yang dihadapinya. Model yang ditampilkan disini hanyalah merupakan contoh dan bukan merupakan model baku, Contoh ini lebih tepat untuk organisasi yang cukup besar; untuk organisasi dengan skala kecil dan menengah, harus menyesuaikan dengan kemampuan organisasinya.

DEWAN KOMISARIS
Pengawasan

Komite Pemantau Risiko

INTERNAL AUDITOR

DIREKSI

KOMITE RISIKO (Lintas Fungsi)

MANAJEMEN OPERASI

MANAJEMEN KEUANGAN

HUKUM & KEPATUHAN

MANAJEMEN SDM & UMUM

MANAJEMEN RISIKO

Gambar3: Infra struktur manajemen risiko (diadopsi dari berbagai sumber)

30

Komite Pemantau Risiko adalah organ Dewan Komisaris yang membantu melakukan pengawasan dan pemantauan pelaksanaan penerapan manajemen risiko pada perusahaan.. Komite Risiko adalah Komite yang dipimpin oleh Direktur Utama atau Direktur yang ditunjuk untuk itu, dan berfungsi untuk menetapkan kebijakan, strategi penerapan manajemen risiko untuk seluruh perusahaan. Selain itu Komite ini mempunyai anggota dari masingmasing Direktorat, untuk melakukan pemantauan dari pelaksanaan penerapan manajemen risiko dan mengambil keputusan terhadap usulan perlakuan risiko yang berdampak bagi seluruh perusahaan. Semua pengesahan manual, prosedur dan tata laksana penerapan manajemen risiko dilaksanakan melalui Komite Risiko ini. Fungsi Manajemen Risiko adalah unit yang menjadi Champion dalam penerapan manajemen risiko perusahaan dan menyusun segala manual dan prosedur serta tata laksana dan pelaporan penerapan manajemen risiko perusahaan. Unit ini juga melakukan komunikasi berkala dan pelaporan penerapan manajemen risiko perusahaan. Unit ini juga menyelenggarakan pelatihan bagi para champion perusahaan. yang berada pada tiap divisi atau departemen dalam

Tata Laksana, Komunikasi dan Pelaporan

Proses manajemen risiko melibatkan banyak pihak dalam organisasi, terlebih lagi pada awal penerapannya. Oleh karena itu, perlu kejelasan akuntabilitas untuk memastikan bahwa semua proses dapat berjalan dengan baik. Salah satu metode yang sering digunakan untuk melakukan hal tersebut adalah RACI Matrix. RACI adalah singkatan dari Responsible, Accountable, Consulted, dan Informed. Secara sederhana, RACI Matrix akan menjelaskan atau menentukan dalam setiap kegiatan: R siapa yang responsible, artinya siapa yang mengerjakan kegiatan tersebut; A siapa yang accountable, artinya siapa yang berhak membuat keputusan akhir ya atau tidak atas kegiatan tersebut, serta menjawab pertanyaan-pertanyaan pihak lain; C siapa yang harus consulted, artinya harus diajak konsultasi atau dilibatkan sebelum atau saat kegiatan tersebut dilaksanakan atau dilanjutkan; serta I siapa yang harus informed, artinya siapa yang harus diberi informasi mengenai apa yang sedang terjadi atau sedang dilakukan tanpa harus menghentikan kegiatan tersebut.

31

Direksi dan Dewan Komisaris harus memastikan bahwa pada setiap tahapan proses manajemen risiko terdapat kejelasan akuntabilitas dan tanggung jawab pelaksanaannya. RACI Matrix pada tabel 1 memperlihatkan gambaran umum mengenai hal tersebut di atas. Gambaran ini masih sangat kasar dan memerlukan penjabaran lebih lanjut dalam bentuk proses bisnis yang sesuai dengan sasaran di tiap tahapan. Kedalaman penjabaran sangat ditentukan oleh keperluan organisasi, tetapi keberhasilan penjabaran proses akan mempermudah dan memperjelas proses penerapannya. Dari RACI Matrix pada tabel 1 terlihat secara tidak langsung bagaimana metode komunikasi dan pelaporan harus dilaksanakan. Secara sederhana dapat dikatakan bahwa pihak yang dalam tabel tersebut mendapatkan huruf A berarti ia harus mendapatkan laporan lengkap untuk dapat mengambil keputusan. Ia seolah-olah menjadi pelanggan dari seluruh kegiatan tersebut. Sedangkan yang menjadi process owner adalah mereka yang memperoleh huruf R. Dialah yang harus mempersiapkan laporan dan melakukan komunikasi dengan pihakpihak terkait. Laporan disampaikan kepada pemilik huruf A, sedangkan komunikasi dilakukan kepada mereka-mereka yang memperoleh huruf C dan I.
Tahap Proses Manajemen Risiko Persiapan Komunikasi dan Konsultasi Menentukan konteks Asesmen Risiko a. Identifikasi Risiko b. Analisis Risiko c. Evaluasi Risiko 5. 6. Perlakuan Risiko Monitoring dan Review Pelaporan Manajemen Risiko I I I I I I I I I R C C A A A R R C C R A/R A/R R R C I C/I I Komite Pemantau Risiko Fungsi Manajemen Risiko R R R

No 1. 2. 3. 4.

Dewan Komisaris I I I

Direksi A

Divisi Operasional I C C

External Stakeholeder I I

I C

A A

7.

R/C

Tabel 1: Contoh RACI Matriks

32

Komunikasi dan pelaporan eksternal dilakukan dengan menambahkan satu kolom Stakeholders pada bagian paling kanan matriks RACI di atas. Bila dalam kolom stakeholders terdapat huruf I atau C maka kita wajib memberikan informasi (informed) atau melibatkan (consulted) mereka dalam kegiatan manajemen risiko yang sedang dilaksanakan. Melalui proses di atas diharapkan bahwa Manajemen organisasi mampu membangun mekanisme sistem tata laksana, komunikasi dan pelaporan internal maupun eksternal guna memastikan bahwa Komponen kunci kerangka kerja manajemen risiko dan setiap perubahan yang terjadi dapat dikomunikasikan dengan baik ke seluruh pihak terkait; Tersedianya cukup laporan tentang efektivitas kerangka kerja manajemen risiko dan hasil dari proses manajemen risiko; Informasi hasil penerapan manajemen risiko selalu tersedia di tiap tingkatan yang memerlukan dan pada waktu yang diperlukan; Terselenggaranya proses konsultasi dengan para pemangku kepentingan internal maupun eksternal; Pelaporan ke pihak eksternal sesuai dengan tuntutan kepatuhan hukum serta penerapan good corporate governance; Melaksanakan pengungkapan informasi sesuai dengan peraturan perundangan yang berlaku; Berkomunikasi dengan seluruh pemangku kepentingan, terutama pada saat terjadi krisis atau keadaan darurat. Menggunakan komunikasi untuk membina dan meningkatkan kepercayaan kepada organisasi;

4. Sumber Daya Penerapan Manajemen Risiko Penyediaaan sumber daya yang memadai adalah indikator lain dari komitmen Direksi dalam menerapkan manajemen risiko dalam organisasi yang dipimpinnya. Tanpa adanya sumber daya yang memadai, hal ini serupa dengan penolakan diam-diam terhadap penerapan manajemen risiko. Manajemen organisasi harus mengalokasikan sumber daya yang memadai untuk pelaksanaan manajemen risiko antara lain terhadap hal-hal berikut: Personalia dengan pengalaman, ketrampilan, dan kemampuan yang memadai serta jumlah yang sesuai dengan kebutuhan;

33

Sumber dana dan sumber daya yang diperlukan untuk setiap tahapan penerapan manajemen risiko; Proses dan prosedur yang terdokumentasi dengan baik dan sistem

dokumentasinya, termasuk perangkat penunjangnya; Sistem informasi dan manajemen pengetahuan (knowledge management system). RACI matrix tersebut di atas memberikan indikasi untuk kebutuhan sumber daya. Kebutuhan pelatihan atau peningkatan kompetensi dalam melaksanakan manajemen risiko diperlukan bagi mereka yang mendapatkan penugasan R. Bagi yang mendapatkan penugasan I dan C memerlukan sosialisasi dan komunikasi agar dapat memahami apa dan mengapa manajemen risiko, serta bagaimana dampaknya terhadap unit kerja dan tanggung jawabnya. Bagi yang mendapatkan penugasan A, pada dasarnya sama dengan yang mendapatkan penugasan I dan C, tetapi derajatnya lebih tinggi karena harus memikirkan dampaknya terhadap keseluruhan organisasi dan memutuskan apa yang harus dilakukan terhadap risiko tersebut atau jenis perlakuan risiko yang harus diambil. Kebutuhan sumber daya lain untuk mengelola penerapan manajemen risiko menjadi salah satu faktor penting yang menentukan berjalan dan berhasilnya proses penerapan manajemen risiko. Untuk ini komitmen Direksi dalam memenuhi kebutuhan tersebut akan sangat menentukan.

34

BAGIAN III

ASPEK OPERASIONAL

1. Pengantar Aspek struktural adalah landasan untuk penerapan manajemen risiko di seluruh organisasi, sedangkan aspek operasional merupakan aspek operasionalisasi bagi manajemen risiko di seluruh organisasi tetapi juga spesifik bagi masing-masing bagian atau bahkan bagi masingmasing pemilik risiko. Aspek operasional yang menjadi bagian dari proses penerapan manajemen risiko adalah penyusunan manual manajemen risiko, metodologi penanganan manajemen risiko atau lebih dikenal dengan proses manajemen risiko dan penanganan manajemen perubahan. Proses manajemen perubahan ini meliputi peluncuran, sosialisasi dan pelatihan hingga penerapan manajemen risiko dan akhirnya tumbuh budaya sadar risiko. Sedangkan aspek yang menyentuh spesifik masing-masing bagian dan bahkan tiap-tiap jenis risiko adalah penerapan proses manajemen risiko itu sendiri pada tiap-tiap risiko. Setiap risiko, setiap proses bisnis mempunyai konteks yang spesifik dan memerlukan teknik yang spesifik pula. Sesuai dengan prinsip ke dua bahwa manajemen risiko adalah bagian terpadu dari proses organisasi, maka proses manajemen risiko hendaknya merupakan bagian yang tak terpisahkan dari manajemen umumnya. Ia harus masuk dan menjadi bagian dari budaya organisasi, praktik terbaik organisasi, dan proses bisnis organisasi. Proses manajemen risiko meliputi lima kegiatan, yaitu komunikasi dan konsultasi; menentukan konteks; asesmen risiko; perlakuan risiko; serta monitoring dan review, sebagaimana ditunjukkan pada gambar 2 dalam Bagian II. Dalam aspek operasional in perlu dijelaskan lingkup tugas mana yang menjadi bagian pada level organisasi keseluruhan (korporasi) dan yang mana menjadi wilayah para pemangku risiko (divisi, departemen, proses bisnis,dll.).Untuk itu digunakan pendekatan seperti digambarkan pada gambar 4 di bawah ini.

35

MANDAT & KOMITMEN Kebijakanan S tandar S umber daya Manual Manajemen Ris iko Lingkup & konteksMR organis i as

STRATEGIC PROCESS

S TRUKTUR & AKUNTABILITAS Unit Manajemen Ris iko Komite Manajemen Ris iko Komite Pemantau Ris iko Ris Owners& Champios MR k MR Plan & Roadmap

Menentukan konteks

STRATEGIC PROCESS

Identifikasi risiko

Analisa risiko

Evaluasi risiko

Perlakuan risiko

REVIEW & PERBAIKAN Review kemajuan penerapan RM Plan & KPI RM Audit Control as urance s Governance reporting Benchmarking

Management information System Risk Register Assurance Plan Treatment plan Reporting system

STRATEGIC PROCESS

KOMUNIKAS & PELATIHAN I (Manajemen perubahan) Analis S is takeholders S trategi & pros eskomunikas i S trategi & pros espelatiha Networking

Gambar 4: Operasionalisasi kerangka kerja dan proses manajemen risiko

(Sumber: diadopsi dari Broadleaf Capital International Pty, Ltd.(2008))

Proses manajemen risiko yang berada ditengah pada gambar 4 adalah domain kegiatan para pemilik risiko (risk owner) sedangkan kegiatan lainnya adalah domain kegiatan organisasi, atau dengan perkataan lain merupakan tugas khusus fungsi manajemen risiko organisasi untuk menyediakan pondasi bagi kegiatan para pemangku risiko dalam menerapkan manajemen risiko. Pemilik risiko dalam pengertian ini adalah para Kepala Divisi/Biro, Kepala Bagian, Kepala Seksi atau penanggung jawab proses organisasi. Dalam aspek operasional akan diuraikan proses implementasi manajemen risiko yang meliputi penyusunan buku Panduan Manajemen Risiko; pelaksanaan manajemen perubahan; implementasi proses manajemen risiko; sistem pelaporan internal dan eksternal; monitoring dan pengukuran kinerja; serta tata usaha dan administrasi data serta informasi manajemen risiko.

STRATEGIC PROCESS

36

2. Manajemen Perubahan Setiap introduksi program baru dalam organisasi, terdapat beberapa tahapan transisi, sebelum program tersebut dapat berfungsi secara efektif. Tahap pertama adalah penolakan; dalam tahap ini semua orang mempertanyakan kegunaannya, karena sudah merasa nyaman dengan kondisi yang ada. Tahap kedua adalah perlawanan; dalam tahap ini mereka mulai melihat manfaatnya tetapi masih ragu dan enggan untuk melaksanakannya. Sebaiknya orang lain dulu dan jangan saya. Tahap ketiga adalah tahap eksplorasi; dimana orang sudah melihat dengan jelas manfaat dan kegunaannya dan mulai timbul keinginan untuk memahami dan melakukan eksplorasi lebih jauh. Tahap terakhir adalah komitmen untuk melakukan perubahan tersebut; pada tahap ini proses perubahan akan berlangsung dengan baik.

Tahap transisi
Komitmen Eksplorasi Perlawanan Penolakan Bulan
Manajemen menengah & lini pertama Seluruh karyawan Manajemen Puncak & Senior

1 2 3 4 5 6 7 8 9
Pengumuman perubahan

Manajemen Puncak harus kommit sebelum perubahan diluncurkan

Sumber: S Price & D Holmes, Managing Change from Theory to Practice, New Jersey: Ministry of Health British Columbia, 2007

Gambar 5: Tahapan manajemen perubahan

Proses tersebut juga dialami oleh Top Management, Line Management dan seluruh karyawan. Oleh karena itu proses perubahan tersebut harus dimulai dari Top Management terlebih dahulu, sehingga mereka dapat berperan sebagai Change Leader yang akan diikuti oleh Middle Management. Kemudian Middle Management akan menjadi Change Leader yang akan diikuti oleh Line Management. Proses yang sama akan dilakukan oleh Line Management yang akan berfungsi sebagai Change Leader bagi seluruh karyawan. Berdasarkan pemahaman seperti di atas, maka proses penerapan manajemen risiko perusahaan haruslah direncanakan dan disusun, sedemikian rupa sehingga penolakan dan

37

perlawanan dapat diatasi secara baik. Untuk itu disarankan untuk melaksanakan tahapan penerapan manajemen risiko perusahaan sebagai berikut; a. Mendapatkan komitmen Direksi dan Dewan Komisaris untuk penerapan manajemen risiko perusahaan dan kemudian diikuti dengan penunjukan pejabat yang bertanggung jawab untuk mempersiapkan pelaksanaannya serta pelatihan yang memadai bagi mereka; b. Melaksanakan Executive Briefing untuk Direksi, Dewan Komisari, Sekretaris Perusahaan, Kepala Internal Audit (SPI/SKAI) mengenai penerapan manajemen risiko perusahaan dan tanggung jawab Direksi dan Dewan Komisaris dalam penerapan tersebut. Hal ini kemudian langsung dilanjutkan dengan Seminar Sehari untuk para pejabat setingkat Kepala Divisi/ Kepala Cabang tentang peran dan tanggung jawab mereka dalam penerapan manajemen risiko perusahaan. c. Menyusun strategi dan rencana penerapan manajemen risiko perusahaan secara lebih menyeluruh yang antara lain berisikan hal-hal sebagai berikut: Melakukan audit manajemen risiko (bila diperlukan) Menyusun Road Map penerapan Manajemen Risiko termasuk budget dan jadwalnya Menyusun Pedoman Manajemen Risiko, Prosedur Manajemen Risiko, dan Instruksi Kerja penerapan manajemen risiko; Menetapkan kriteria risiko dan ukuran kinerja penerapan manajemen risiko; Menunjuk struktur tata kelola risiko dan penunjukan para risk champion. d. Persiapan peluncuran manajemen risiko perusahaan dengan aktivitas antara lain: Pelatihan intensif untuk para Champion mengenai teknik dan metoda manajemen risiko Pelatihan untuk para Manajer Menengah mengenai manajemen risiko perusahaan dan peran mereka dalam penerapan Penetapan Risk Owner untuk tiap Divisi dan Departemen e. Peluncuran penerapan manajemen risiko perusahaan ke seluruh perusahaan. Bila kurang yakin dapat dilakukan melalui pilot project penerapan manajemen risiko perusahaan sebagai uji coba, sehingga rencana awal yang kurang lengkap atau masih kurang sempurna dapat segera diperbaiki guna penerapannya di seluruh perusahaan; f. Melakukan monitoring dan reviu proses penerapan manajemen risiko perusahaan secara berkala. Dari proses monitoring dan reviu ini dapat ditentukan kapan
38

penerapan manajemen risiko perusahaan ini mulai dikaitkan dengan penilaian kinerja masing-masing karyawan. Pengkaitan ini mempunyai dampak pada remunerasi dan promosi.

3. Panduan Manajemen Risiko Buku Panduan Manajemen Risiko, atau Manual Manajemen Risiko merupakan alat utama dalam operasionalisasi manajemen risiko ke seluruh organisasi. Melalui buku Panduan ini istilah dan definisi diseragamkan, sehingga tidak terdapat multi interpretasi. Melalui Panduan ini tahapan penerapan manajemen risiko dan proses manajemen risiko dilaksanakan sesuai dengan standar yang telah dipilih dan ditentukan oleh Direksi. Melalui Panduan ini cara menangani risiko ditentukan, dan juga pelaporan hasil perlakuan risiko dilaksanakan. Melalui Panduan ini kriteria-kriteria risiko ditetapkan sehingga terdapat kesamaan persepsi tentang besaran risiko. Dapat disimpulkan bahwa Panduan atau Manual Manajemen Risiko merupakan batu pondasi dalam penerapan manajemen risiko. Siapakah yang bertanggung jawab untuk menyusun Panduan Manajemen Risiko ini? Tanggung jawab penyusunan berada pada pundak Direksi dan biasanya didelegasikan kepada pemangku fungsi Manajemen Risiko, tetapi pengesahannya dilakukan oleh Direksi, sebagai penangggung jawab utama penerapan manajemen risiko dan juga oleh Dewan Komisaris, sebagai penanggung jawab utama pengawasan penerapan manajemen risiko. Panduan Manajemen Risiko ini pada dasarnya unik untuk tiap perusahaan, akan tetapi secara umum terdapat beberapa aspek yang sama, terutama bila menyangkut penggunaan standar yang menjadi acuan dalam pedoman tersebut dan juga istilah umum yang dipakai. Secara umum, struktur Panduan Manajemen Risiko terdiri dari beberapa bagian sebagai berikut: BAB I: PENDAHULUAN Bagian ini biasanya berisikan latar belakang dan alasan mengapa diterapkan manajemen risiko untuk seluruh perusahaan (ERM), maksud dan tujuan penerapan ERM, maksud dan tujuan penyusunan panduan ini. Selain itu juga disampaikan landasan hukum penyusunan panduan ini, acuan standar yang akan digunakan dalam panduan, istilah dan definisi. Bila definisi terlalu banyak, dapat juga dibuat dalam lampiran tersendiri. Sangat disarankan juga dalam bagian ini disampaikan rencana tahapan penerapan manajemen risiko

39

untuk seluruh perusahaan, mulai dari persiapan, penyusunan infra struktur, sosialisasi, penerapan hingga tahap monitoring dan review. BAB II: PRINSIP-PRINSIP MANAJEMEN RISIKO Berisikan uraian prinsip-prinsip manajemen risiko dan penjelasannya dalam bahasa yang sesuai dengan perusahaan. Selain itu juga disarankan bagaimana membuat prinsip tersebut berlaku dalam perusahaan. Salah satu saran yang diberikan adalah memberikan prinsip-prinsip mana yang harus digunakan sebagai Risk Owner dan prinsip-prinsip mana yang diperlukan untuk menyusun infra struktur manajemen risiko perusahaan. BAB III: KERANGKA KERJA MANAJEMEN RISIKO Bagian ini menguraikan secara rinci infra struktur pengelolaan manajemen risiko (risk governance structure), secara lengkap dengan tugas dan kewenangannya, mulai dari Direksi, Dewan Komisaris, para Risk Owner mulai dari Kepala Divisi, Kepala Bagian hingga Pemangku Proses. Selain itu juga dijelaskan tugas dan kewenangan dari unit Manajemen Risiko, Auditor Internal dan Eksternal dalam penerapan manajemen risiko perusahaan. Selain dari infra struktur organisasi, juga diuraikan kebijakan operasional manajemen risiko perusahaan yang antara lain berisikan tata laksana, komunikasi dan pelaporan manajemen risiko, monitoring dan review secara menyeluruh, dan juga bagaimana melakukan upaya perbaikan dan peningkatan kerangka kerja manajemen risiko perusahaan. BAB IV: PROSES MANAJEMEN RISIKO Dalam bagian ini diuraikan secara lebih rinci apa saja yang harus dilakukan pada setiap tahapan proses manajemen risiko. Tahapan proses manajemen risiko sesuai dengan urutannya adalah pertama Komunikasi dean Konsultasi; ke dua Menentukan Konteks; ke tiga Asesmen Risiko dimana tahapan ini terdiri dari tiga sub-tahapan yaitu Identifikasi Risiko, Analisis Risiko dan Evaluasi Risiko; ke empat Perlakuan Risiko dan ke lima adalah Monitoring dan Review.

40

Seperti telah diuraikan pada awal dari Bagian III ini, proses manajemen risiko merupakan proses yang pada dasarnya pelakunya adalah para Risk Owner, sehingga perlu dipastikan bahwa para Risk Owner memiliki kompetensi yang memadai dalam menangani risiko yang menjadi tanggung jawabnya. BAB V: KONTEKS MANAJEMEN RISIKO PERUSAHAAN Bagian ini merupakan bagian yang penting karena pada bagian ini aturanaturan normatif diletakkan pada praktek nyata di perusahaan. Hal ini dimulai dengan penguraian Visi, Misi, Sasaran dan Strategi perusahaan dalam mencapai sasaran tersebut. Kemudian diuraikan lingkungan eksternal perusahaan, terutama pemahaman terhadap para pemangku perusahaan (stakeholders) yang utama. Lingkungan internal perusahaan, terutama menemukenali proses bisnis utama perusahaan. Konteks manajemen risiko pada perusahaan tersebut, kriteria risiko yang digunakan dan akhirnya risiko utama yang dihadapi oleh perusahaan berdasarkan pendekatan proses bisnis utama dan keluarannya (outcome) yang menentukan kinerja atau bahkan matihidupnya perusahaan tersebut. BAB VI: IMPLEMENTASI MANAJEMEN RISIKO PERUSAHAAN Bagian ini berisikan persiapan untuk penerapan manajemen risiko secara menyeluruh di perusahaan dan memastikan bahwa semua infra struktur penerapan manajemen risiko telah siap, proses manajemen perubahan dan pelatihan telah dilaksanakan dengan baik, dll. Selain itu juga memberikan panduan untuk penerapan pada tingkat individu dan tingkat kelompok kerja, panduan penerapan untuk tingkat unit kerja dan tingkat unit bisnis serta panduan penerapan untuk risiko tingkat perusahaan.

4. Implementasi Manajemen Risiko Implementasi manajemen risiko perusahaan pada dasarnya adalah implementasi Kerangka Kerja Manajemen Risiko dan implementasi Proses Manajemen Risiko. Implementasi Kerangka Kerja manajemen risiko telah diuraikan pada Bagian II Aspek Struktural penerapan manajemen risiko perusahaan. Yang perlu diingat adalah Kerangka Kerja manajemen risiko perusahaan hanya satu dan berlaku untuk seluruh perusahaan. Sedangkan proses manajemen risiko, walaupun metoda dan sistematika dasarnya serupa tetapi konteks
41

dan isinya, terutama alat dan metodanya dapat berbeda-beda untuk tiap risiko yang akan ditangani.Sesuai dengan uraian di atas, maka pada bagian ini hanya akan dibahas implementasi proses manajemen risiko saja. Tahapan proses manajemen risiko adalah seperti yang ditampilkan pada Bagian II hal 26 gambar 2., terdiri dari Komunikasi & Konsultasi, Penentuan Konteks, Asesmen Risiko (yang terdiri dari Identifikasi Risiko, Analisis Risiko dan Evaluasi Risiko), Perlakuan Risiko dan Monitoring & Review. Untuk beberapa perusahaan dapat saja melakukan perubahan terhadap sistematika proses manajemen risiko sesuai dengan kebutuhan mereka yang lebih spesifik. Dalam beberapa hal dapat juga dilakukan suatu survey mengenai tingkat kematangan kondisi manajemen risiko saat ini (existing of risk management implementation) guna mengetahui kesenjangan yang ada sehingga rencana penerapan manajemen risiko menjadi lebih terarah. Apabila tingkat kematangan pengelolaan manajemen risiko sudah cukup tinggi, maka dapat langsung dilakukan perencanaan pelaksanaan proses manajemen risiko. Akan tetapi sangat disarankan untuk melakukan survey tingkat kematangan penerapan manajemen risiko (risk maturity survey) terlebih dahulu sebelum melakukan penerapannya. Tahapan-tahapan proses manajemen risiko tersebut di atas akan diuraikan secara lebih luas pada bagian-bagian berikut di bawah ini.

5. Komunikasi dan Konsultasi Pada dasarnya proses yang dilakukan sama dengan yang dilakukan pada kerangka kerja manajemen risiko, tetapi karena konteks yang ditangani berbeda, maka proses ini harus dilakukan secara lebih fokus. Komunikasi dan konsultasi dengan pemangku kepentingan internal maupun eksternal harus dilaksanakan se-ekstensif mungkin sesuai dengan kebutuhan dan pada setiap tahapan proses manajemen risiko. Oleh karena itu, sejak awal harus disusun suatu rencana komunikasi dan konsultasi dengan para pemangku kepentingan. Rencana ini harus merujuk pada risiko yang mungkin terjadi, dampaknya, dan apa yang perlu dilakukan untuk mengatasinya, serta hal-hal lain yang terkait. Komunikasi dan konsultasi yang efektif, baik internal maupun eksternal, haruslah membuahkan kejelasan bagi pihak-pihak yang bertanggung jawab untuk menerapkan proses

42

manajemen risiko dan para pemangku kepentingan terkait. Mereka harus memahami dengan baik kriteria pengambilan keputusan serta mengapa suatu tindakan perlu diambil. Pendekatan konsultasi secara kelompok sangat disarankan untuk menghasilkan hal-hal berikut, tetapi tidak terbatas pada: Penentuan konteks yang benar; Memastikan bahwa kepentingan para pemangku kepentingan telah dimengerti dan dipertimbangkan dengan baik; Memperoleh manfaat dari berbagai keahlian yang ada untuk menganalisis risiko (multidisiplin); Memastikan bahwa semua risiko telah diidentifikasikan dengan baik; Memastikan bahwa berbagai pandangan telah dipertimbangkan dalam melakukan evaluasi risiko; Meningkatkan proses manajemen perubahan ketika pelaksanaan proses manajemen risiko; Memperoleh persetujuan dan dukungan untuk tindakan perlakuan risiko; serta Mengembangkan rencana komunikasi dan konsultasi internal maupun eksternal. Pengenalan siapa saja pemangku kepentingan risiko yang terkait, baik internal maupun eksternal harus dilakukan dengan baik. Ini penting karena akan menentukan strategi komunikasi dan konsultasi yang akan dilaksanakan. Teknik Stakeholders Analysis, akan sangat membantu dalam melaksanakan proses ini. Komunikasi dan konsultasi dengan para pemangku kepentingan sangat penting karena mereka memberikan pertimbangan dan penilaian terhadap risiko yang didasarkan atas persepsi mereka terhadap risiko tersebut. Persepsi terhadap risiko ini sangat berbeda bagi masing-masing pemangku kepentingan, baik dari segi nilai, konsep, kebutuhan, maupun kepentingan mereka. Apabila pandangan mereka mempunyai pengaruh yang menentukan dalam pengambilan keputusan maka menjadi sangat penting untuk dapat mengidentifikasi persepsi mereka. Hal tersebut perlu dicatat dan dijadikan bahan pertimbangan dalam proses pengambilan keputusan. Rencana komunikasi dan konsultasi hendaknya: Merupakan forum untuk bertukar informasi di antara para pemangku kepentingan;

43

Tempat untuk menyampaikan pesan secara jujur, akurat, mudah dimengerti, dan didasarkan pada fakta yang ada; Bermanfaat dan besar kontribusinya harus dapat dinilai. 6. Menentukan Konteks Menentukan konteks berarti manajemen organisasi menentukan batasan atau parameter internal dan eksternal yang akan dijadikan pertimbangan dalam pengelolaan risiko, menentukan lingkup kerja, dan kriteria risiko untuk proses-proses selanjutnya. Konteks yang ditetapkan haruslah meliputi semua parameter internal dan eksternal yang relevan dan penting bagi organisasi. Dalam menetapkan konteks akan banyak ditemui kesamaan parameter dengan proses sebelumnya, yaitu ketika merencanakan kerangka kerja manajemen risiko. Akan tetapi, dalam proses manajemen risiko, parameter ini akan ditelaah jauh lebih rinci, khususnya yang terkait dengan lingkup suatu proses manajemen risiko tertentu. Dalam proses ini akan ditetapkan : 1. Konteks eksternal; 2. Konteks internal; 3. Konteks manajemen risiko, dan; 4. Kriteria risiko

Konteks Eksternal Konteks eksternal adalah lingkungan eksternal di mana organisasi tersebut mengupayakan pencapaian sasaran yang ditetapkannya. Memahami konteks eksternal penting untuk memastikan siapa saja pemangku kepentingan eksternal; apa saja kepentingan dan sasarannya sehingga dapat dipertimbangkan dalam menentukan kriteria risiko. Proses penentuan kriteria risiko ini dilakukan dengan mempertimbangkan konteks organisasi secara luas, tetapi dengan memerhatikan ketentuan hukum dan peraturan perundangan secara lebih rinci, persepsi para pemangku kepentingan, dan aspek lain yang spesifik dari risiko tertentu pada proses manajemen risiko. Konteks eksternal dapat meliputi, tetapi tidak terbatas pada hal-hal berikut: Lingkungan politik, sosial, ekonomi, budaya, keuangan, hukum, teknologi, dan keadaan alam, baik nasional, regional maupun international yang berpengaruh terhadap pencapaian sasaran organisasi;

44

Faktor-faktor pendorong dan kecenderungan yang mempunyai dampak terhadap pencapaian sasaran organisasi; Persepsi dan nilai-nilai para pemangku kepentingan eksternal.

Konteks Internal Konteks internal adalah lingkungan internal di mana organisasi tersebut mengupayakan pencapaian sasaran yang ditetapkannya. Proses manajemen risiko haruslah diselaraskan dengan budaya, proses, dan struktur organisasi. Konteks internal adalah segala sesuatu di dalam organisasi yang dapat memengaruhi cara organisasi dalam mengelola risiko. Hal ini harus ditetapkan karena: Proses manajemen risiko dilaksanakan dalam konteks pencapaian sasaran organisasi; Sasaran dan kriteria dalam suatu proses atau proyek harus dipertimbangkan dengan memerhatikan sasaran organisasi secara keseluruhan; Salah satu risiko terbesar adalah kegagalan organisasi dalam mencapai sasaran strategis, sasaran proyek, dan/atau sasaran binis. Risiko kegagalan ini memengaruhi kemampuan organisasi dalam memenuhi kewajibannya dan dapat berakibat pada kredibilitas, kepercayaan, serta nilai organisasi. Penting untuk memahami konteks internal ini dalam pengertian misalnya sebagai berikut: Kapabilitas organisasi dalam pengertian sumber daya dan sumber pengetahuan yang dimiliki (misalnya modal, waktu, orang, sistem, proses, dan teknologi); Sistem informasi, alur komunikasi, dan proses pengambilan keputusan, baik yang formal maupun informal; Para pemangku kepentingan internal; Kebijakan, sasaran, dan strategi untuk mencapainya; Persepsi, nilai-nilai dan budaya organisasi; Standar dan model acuan yang diadopsi organisasi; serta Struktur (governance, peran dan akuntabilitas).

Konteks Proses Manajemen Risiko Konteks proses manajemen risiko adalah konteks di mana proses manajemen risiko diterapkan. Hal ini meliputi sasaran organisasi, strategi, lingkup, parameter kegiatan

45

organisasi, atau bagian lain di mana manajemen risiko diterapkan. Penerapan manajemen risiko dilaksanakan dengan mempertimbangkan biaya dan manfaat dalam pelaksanaannya. Sumber daya, tanggung jawab, akuntabilitas, kewenangan, dan pencatatan/dokumentasi proses yang diperlukan, harus ditentukan dengan baik. Konteks proses manajemen risiko akan berubah sesuai dengan kebutuhan organisasi. Hal ini dapat meliputi, tetapi tidak terbatas pada hal-hal sebagai berikut: Penetapan tanggung jawab untuk proses manajemen risiko; Penetapan lingkup kegiatan manajemen risiko, baik dari luas maupun kedalamannya, termasuk bila ada hal-hal khusus yang harus diperhatikan atau tidak dicakup; Penentuan tujuan, sasaran, lokasi, maupun tempat dari kegiatan, proses, fungsi, proyek, produk jasa dan harta yang terkena kegiatan manajemen risiko; Penentuan hubungan dari proyek atau kegiatan khusus organisasi dengan proyek dan kegiatan lain organisasi; Penentuan metode untuk melakukan asesmen risiko; Penentuan kriteria penilaian kinerja manajemen risiko; Melakukan identifikasi dan spesifikasi keputusan-keputusan yang harus diambil; Melakukan identifikasi, lingkup, ataupun kerangka kajian studi yang diperlukan, termasuk luas dan sasarannya serta sumber daya yang diperlukan untuk melakukan kajian tersebut. Faktor-faktor di atas dan juga faktor lain yang relevan dapat membantu mengetahui apakah pendekatan proses manajemen risiko yang digunakan sesuai dengan kebutuhan organisasi dan dampaknya terhadap risiko-risiko yang dapat memengaruhi pencapaian sasaran organisasi.

Mengembangkan Kriteria Risiko Organisasi harus menyusun kriteria risiko yang akan digunakan untuk mengevaluasi tingkat bahaya suatu risiko. Kriteria ini dapat merupakan cerminan nilai-nilai organisasi, sasaran organisasi, dan dampak terhadap sumber daya yang dimiliki organisasi. Beberapa kriteria lain dapat ditambahkan dari aspek hukum dan peraturan perundangan serta peraturan lain yang terkait dengan kegiatan perusahaan, misalnya standar industri terkait. Kriteria ini harus konsisten dengan kebijakan manajemen risiko yang telah ditetapkan. Kriteria risiko harus

46

disusun pada awal penerapan proses manajemen risiko dan harus ditinjau ulang secara berkala. Beberapa faktor yang perlu diperhatikan pada saat menyusun kriteria risiko antara lain: Jenis dan sifat dari dampak yang mungkin terjadi serta bagaimana mengukurnya; Bagaimana menetapkan kemungkinan terjadinya; Kerangka waktu pengukuran kemungkinan dan dampak; Bagaimana menentukan peringkat risiko; Pada peringkat manakah risiko dapat diterima atau dapat ditolerir; Pada peringkat manakah risiko memerlukan perlakuan; Apakah kombinasi dari berbagai macam risiko perlu mendapatkan pertimbangan khusus. Penyusunan kriteria ini terutama diperlukan pada tahap berikutnya, yaitu asesmen risiko. Kriteria yang perlu dipertimbangkan antara lain: Kriteria dampak (consequences), yaitu dampak apa saja yang perlu dijadikan kriteria untuk penilaian akibat timbulnya risiko, misalnya dampak finansial, dampak terhadap kesehatan dan nyawa, dampak hukum, dll.; Bagaimana cara mengukur kemungkinan terjadinya risiko (likelihood)? Apakah dengan menggunakan statistik (probabilitas), frekuensi kejadian per satuan waktu (hari, minggu, bulan, tahun), atau dengan expert judgement? Bagaimana cara menyusun kriteria tingkatan risiko (risk level)? Pada peringkat risiko yang bagaimanakah sebuah risiko memerlukan perlakuan lebih lanjut dan pada peringkat mana dapat kita terima begitu saja? Hal ini diperlukan untuk menyusun prioritas perlakuan risiko. Setiap organisasi adalah unik, mempunyai karakter, sifat, sasaran bisnis, dan stakeholders yang tidak sama. Oleh karena itu, setiap organisasi harus menyusun sendiri kriteria risiko yang paling sesuai dengan dirinya. Selain itu, organisasi juga harus menyusun kriteria keberhasilan penerapannya. penerapan proses manajemen risiko untuk memahami keberhasilan

47

Pada tahap ini, proses penyusunan kriteria risiko cukup dengan indikasi macam-macam kriteria yang akan digunakan. Pembahasan kriteria risiko yang lebih komprehensif dan ukuran-ukurannya akan dilakukan pada tahap analisis dan evaluasi risiko. Khusus untuk kriteria dampak risiko, perlu diperhatikan korelasi kriteria dampak risiko tersebut dengan kriteria sasaran. Ini diperlukan agar terjadi kesamaan bahasa dalam menyatakan dampak risiko terhadap sasaran yang telah ditetapkan. Sebagai contoh, dalam proyek manajemen kriteria umum, keberhasilan proyek dinyatakan dalam biaya, mutu, dan waktu. Penerapan proses manajemen risiko pada proyek juga harus menggunakan kriteria dampak terhadap biaya, mutu, dan waktu.

7. Asesmen Risiko Proses asesmen risiko merupakan proses untuk mengidentifikasi risiko-risiko apa saja yang mungkin terjadi, kemudian masing-masing risiko akan diberi atribut sesuai dengan analisis yang dilakukan terhadap setiap risiko itu dengan menggunakan criteria kriteria risiko yang ditentukan pada tahap sebelumnya. Setelah setiap risiko telah mendapatkan atributnya, maka akan dilakukan evaluasi untuk menentukan peringkat risiko, sehingga dapat ditentukan tingkat prioritas risiko yang akan memerlukan perlakuan risiko ditahap berikutnya. Dengan demikian maka dalam tahap ini akan dilakukan pembahasan mengenai: 1. Identifikasi risiko; 2. Analisis risiko, dan; 3. Evaluasi risiko.

Identifikasi Risiko Tahapan ini bertujuan untuk mangidentifikasi risiko yang harus dikelola organisasi melalui proses yang sistematis dan terstruktur. Proses ini sangat penting karena risiko yang tidak teridentifikasi pada proses ini tidak akan ditangani pada proses-proses selanjutnya. Proses ini juga harus mengupayakan untuk mengidentifikasikan risiko-risiko, baik yang dalam kendali organisasi maupun di luar kendali organisasi (eksternal). Proses tersebut dimulai dengan mengidentifikasikan secara komprehensif, ekstensif, dan intensif mengenai risiko apa saja yang dapat terjadi, di mana, dan bilamana. Setelah diperoleh daftar risiko yang dapat terjadi maka mulai dianalisis mengapa hal tersebut dapat terjadi dan

48

bagaimana terjadinya.Penting untuk diperhatikan bahwa risiko yang tidak teridentifikasi pada tahap ini tidak akan masuk dalam perhatian penanganan proses selanjutnya. Sasaran identifikasi risiko adalah mengembangkan daftar sumber risiko dan kejadian yang komprehensif serta memiliki dampak terhadap pencapaian sasaran dan target (atau elemen kunci) yang teridentifikasi dari konteks. Dokumen utama yang dihasilkan dalam proses ini adalah daftar risiko (risk register). Risiko dalam manajemen risiko bukan sekadar suatu kejadian, peristiwa, atau kondisi yang dapat berkembang/terjadi, namun mencakup pula berbagai informasi yang terkait dengan kejadian, peristiwa, atau kondisi tersebut. Oleh karena itu, dalam proses identifikasi risiko, informasi yang dikumpulkan antara lain mencakup: (1). Sumber risiko: stakeholders, benda, atau kondisi lingkungan yang dapat memicu timbulnya risiko. (2). Kejadian: peristiwa yang dapat terjadi dan berdampak terhadap pencapaian sasaran dan target. (3). Konsekuensi: dampak terhadap aset organisasi atau stakeholders. (4). Pemicu (apa dan mengapa): faktor-faktor yang menjadi pemicu timbulnya suatu peristiwa berisiko. Ini terkait dengan kemungkinan terjadinya risiko. (5). Pengendalian: langkah-langkah antisipasi dan pencegahan awal yang dapat dilaksanakan. (6). Perkiraan kapan risiko terjadi dan di mana risiko itu dapat terjadi. Elemen-elemen kunci di atas dapat bertambah atau malah berkurang, tergantung kebutuhan pada saat menetapkan konteks manajemen risiko. Untuk mengembangkan daftar risiko yang komprehensif, digunakan suatu proses sistematis dan terstruktur yang sudah dilakukan sejak penentuan konteks manajemen risiko. Proses identifikasi risiko yang efektif dapat ditunjukkan bila menggunakan tahapan yang terstruktur pada proses, proyek, dan kegiatan sesuai dengan kriteria yang telah digunakan ketika menetapkan konteks manajemen risiko. Hal ini untuk memastikan bahwa proses identifikasi risiko telah berlangsung komprehensif dan tidak ada proses atau isu penting yang terlewatkan Ada banyak teknik untuk melakukan proses identifikasi risiko, akan tetapi secara umum dapat dikategorikan sebagai berikut:

49

Berdasarkan teknik Brainstorming antara lain, adalah Brainstorming, Delphi Method, RCSA (Risk Control Self-Assessment), focus group discussion; Berdasarkan persepsi para pihak terkait, misalnya antara lain Document Review, Stakeholders Analysis, Expert Judgement; Berdasarkan proses bisnis, misalnya FMEA (Failure Mode & Effect Analysis, fish bone diagram); Berdasarkan struktur organisasi atau struktur pekerjaan (workbreakdown structure), misalnya RBS (Risk Breakdown Structure). Berdasarkan contoh model risiko bisnis perusahaan sejenis (Bussiness Risk Model). Dalam praktek dapat saja dilakukan kombinasi dari berbagai macam teknik di atas untuk memastikan bahwa semua risiko telah dapat diidentifikasi. Hasil akhir dari proses identifikasi risiko adalah dibuatnya daftar risiko Daftar risiko adalah suatu rekaman data mengenai riwayat risiko dan perkembangan perlakuannya. Dengan demikian, daftar risiko merupakan data dasar dalam proses manajemen risiko yang harus selalu dimutakhirkan sesuai dengan perkembangan dan dinamika proses, serta konteks organisasi. Tidak terdapat suatu format baku dalam penyusunan daftar risiko. Secara umum, struktur isi dari daftar risiko meliputi tiga hal; yaitu bagian pertama untuk pengendalian dokumen; bagian kedua untuk identitas risiko; dan bagian ketiga adalah riwayat risiko. Bagian pertama yang merupakan pengendalian dokumen berisikan hal-hal sebagai berikut: Judul dokumen; Nomor dokumen; Nomor pemutakhiran /revisi; Nama risiko; Lokasi proses / bagian tempat risiko; Tanggal pembuatan; Lembar pengesahan yang berisikan: o Dibuat oleh/pemangku risiko; o Diperiksa atasan pemangku risiko;; o Disetujui;

50

Bagian kedua yang merupakan identitas risiko berisikan hal-hal sebagai berikut: Uraian rinci mengenai risiko; Perkiraan sumber risiko dan pemicu terjadinya risiko; Pemangku kepentingan yang terkait dengan risiko tersebut (partisipan terhadap risiko tersebut); Uraian dampak risiko dan peringkat nilai dampak tersebut; Uraian kemungkinan terjadinya risiko tersebut dan peringkat nilai kemungkinannya; Tingkat kegawatan risiko, yaitu nilai dampak dikalikan dengan nilai kemungkinan; Status risiko dan informasi perkembangannya, apakah risiko tersebut masih aktif atau sudah tidak aktif, atau bahkan berkembang menjadi lebih besar; Catatan hasil monitoring dan review. Bagian ketiga dari daftar risiko merupakan riwayat dari perlakuan yang sudah dilakukan terhadap risiko tersebut. Bagian ini berisikan hal-hal sebagai berikut: Nomor perlakuan risiko; Penanggung jawab perlakuan risiko; Jenis dan uraian perlakuan risiko secara umum; Jadwal perlakuan risiko yang direncanakan; Target perlakuan risiko yang dapat meliputi penurunan dampak risiko dan/atau kemungkinan timbulnya risiko; Pemeriksaan hasil perlakuan risiko sesuai dengan target perlakuan risiko, yaitu nilai dampak dan nilai kemungkinan; Keputusan terhadap hasil perlakuan risiko, apakah diterima ataukah memerlukan perlakuan risiko lebih lanjut. Tabel risiko merupakan tabel yang berisikan kumpulan risiko-risiko yang sudah dibuatkan daftar risikonya. Keduanya merupakan hasil keluaran proses identifikasi risiko.

Analisis Risiko Analisis risiko adalah upaya untuk memahami risiko lebih dalam. Hasil analisis risiko ini akan menjadi masukan bagi evaluasi risiko dan untuk proses pengambilan keputusan

51

mengenai perlakuan terhadap risiko tersebut. Termasuk dalam pengertian ini adalah cara dan strategi yang tepat dalam memperlakukan risiko tersebut. Proses analisis seringkali dimulai dengan pendekatan kualitatif sederhana guna memberikan pemahaman umum. Ketika pemahaman lebih rinci dibutuhkan maka diperlukan investigasi yang lebih terarah dan handal. Namun, kurang tepat jika berasumsi bahwa analisis kuantitatif lebih superior daripada analisis kualitatif. Karena yang penting adalah kesesuaian penggunaan pendekatan analisis dengan kebutuhan berdasarkan situasi yang berkembang saat itu. Analisis risiko dapat dilaksanakan dengan tingkat kerincian yang bervariasi, tergantung dari jenis risiko, sasaran analisis risiko, informasi, data, dan sumber daya yang tersedia. Analisis dapat dilakukan secara kuantitatif, semi kuantitatif, kualitatif, atau kombinasi dari cara-cara ini, tergantung dari kondisi yang ada. Dalam praktik biasanya dilakukan analisis kualitatif terlebih dahulu untuk mendapatkan indikasi umum tingkat kegawatan risiko dan mengetahui peta risiko serta risiko-risiko yang gawat. Setelah itu, sesuai dengan keperluan, harus dilaksanakan langkah berikutnya dengan melakukan analisis yang lebih spesifik dan secara kuantitatif. Tujuan dari analisis risiko adalah melakukan analisis dampak dan kemungkinan semua risiko yang dapat menghambat tercapainya sasaran organisasi, juga semua peluang yang mungkin dihadapi organisasi. Kondisi ini dicapai antara lain bila beberapa hal berikut dapat dipenuhi: Proses analisis risiko dilaksanakan secara komprehensif dan mencakup semua risiko serta peluang yang ditemui dalam proses identifikasi risiko sebelumnya dan telah masuk ke dalam daftar risiko; Semua yang terkait dengan risiko tersebut (para pemangku risiko) telah terlibat dalam proses analisis dan melakukan analisis berdasarkan informasi, data, serta pengetahuan yang mereka miliki dengan baik; Proses analisis ini didampingi atau ditunjang dengan pengetahuan mengenai manajemen risiko yang memadai; Waktu yang dialokasikan untuk proses ini cukup memadai; Ukuran kemungkinan dan dampak yang digunakan harus konsisten dan sesuai dengan organisasi tersebut. Apabila digunakan tabel kemungkinan dan dampak, besaran dan

52

pengelompokan nilai yang digunakan hendaknya tidak terlalu lebar dan juga tidak terlalu sempit, tetapi sesuai dengan organisasi tersebut. Pilihan metode analisis ditentukan oleh konteks, sasaran, dan sumber daya yang tersedia. Sebagai contoh, pada tingkat strategis, kategori risiko yang lebih luas dapat diidentifikasi dan dianalisis untuk memeroleh profil risiko organisasi. Profil ini akan menunjukkan isu-isu penting mengenai sistem manajemen dan perlakuan risiko yang perlu dibangun. Pada tingkat unit bisnis atau proyek, para Manajer perlu mengidentifikasi dan memprioritaskan risikorisiko spesifik yang mengancam pencapaian sasaran/target yang ditetapkan. Beberapa risiko perlu diuji lebih rinci lagi. Berikut ini adalah alasan-alasan diperlukannya analisis risiko secara kuantitatif, yaitu: (1). Untuk memeroleh lebih banyak informasi tentang konsekuensi atau kemungkinan sehingga keputusan mengenai prioritas risiko dapat berbasis data dan informasi daripada menduga-duga; (2). Untuk lebih memahami risiko dan penyebabnya sehingga rencana penanganan dapat diarahkan pada akar penyebab sebenarnya daripada gejala dari suatu permasalahan; (3). Di mana kriteria keputusan memerlukan analisis yang lebih mendalam, karena kriteria tersebut dinyatakan secara kualitatif; (4). Membantu setiap orang memilih opsi-opsi yang memiliki perbedaan dalam hal biaya dan manfaat serta potensi peluang dan ancaman; (5). Menyediakan pemahaman yang lebih baik tentang risiko kepada individu yang harus bekerja dengan menghadapi risiko; (6). Menyediakan pemahaman mengenai risiko tersisa setelah strategi penanganan risiko diterapkan.

53

KEM UN GK I NAN

Tinggi

Risiko Menengah

Risiko Tinggi

Rendah

Risiko Rendah

Risiko Menengah

Kecil

Besar

DAM PAK
Gambar 6: Peringkat risiko

Berdasarkan formulasi hubungan dampak dan kemungkinan yang dapat dijadikan ukuran pemeringkatan kegawatan risiko maka akan diperoleh gambaran hasil analisis risiko yang secara sederhana dapat ditampilkan pada gambar 6 di atas. Setiap risiko berdasarkan hasil perkalian dampak dan kemungkinannya akan mendapatkan peringkatnya sesuai dengan posisinya dalam peta tersebut di atas. Mengingat bahwa pengertian risiko juga mempunyai pengertian positif, maka dampak pada gambar juga dapat diartikan peluang dan tidak hanya ancaman belaka.

Evaluasi risiko Tujuan dari evaluasi risiko adalah membantu proses pengambilan keputusan berdasarkan hasil analisis risiko. Proses evaluasi risiko akan menentukan risiko-risiko mana yang memerlukan perlakuan dan bagaimana prioritas perlakuan atas risiko-risiko tersebut. Hasil evaluasi risiko akan menjadi masukan bagi proses perlakuan risiko. Hasil analisis risiko menjadi masukan untuk dievaluasi lebih lanjut menjadi urutan prioritas perlakuan risiko, sekaligus menyaring risiko-risiko tertentu untuk tidak ditindaklanjuti atau diperlakukan khusus. Keputusan tindak lanjut tersebut mencakup: (1). Apakah suatu risiko butuh penanganan?

54

(2). Apakah suatu tindakan penanganan perlu dilakukan? (3). Bagaimanakah prioritas perlakuan risiko disusun? Sifat dari keputusan yang perlu diambil dan kriteria yang akan digunakan dalam pengambilan keputusan telah ditetapkan pada tahap penyusunan konteks, tetapi perlu ditinjau kembali secara lebih rinci pada tahap ini. Ini perlu karena telah diperoleh informasi lebih banyak mengenai risiko-risiko tersebut dari tahap analisis risiko. Kriteria risiko yang paling sederhana hanya memisahkan antara risiko yang perlu ditangani dengan yang tidak perlu ditangani. Kesederhanaan ini menarik, tapi tidak menggambarkan unsur ketidakpastian dalam memperkirakan risiko dan menetapkan batasan yang jelas antara risiko yang butuh penanganan dengan yang tidak. Saat ini, kebanyakan pihak membagi risiko ke dalam tiga kelompok: (1). Kelompok Risiko Tinggi (High Risks): adalah kelompok di mana terdapat risikorisiko yang berbahaya dan tidak bisa ditolerir, apapun manfaat yang dikandung dalam kegiatan tersebut. Oleh karena itu, langkah-langkah mitigasi risiko (risk reduction) harus diambil, berapapun biayanya. (2). Kelompok Risiko Menengah (Medium Risks): adalah kelompok risiko di mana perlu ada analisis manfaat-biaya guna mengukur perbandingan antara peluang serta dampak buruknya. (3). Kelompok Risiko Rendah (Low Risk): adalah kelompok risiko di mana aspek positif atau negatif risiko tersebut sangat sepele atau terlalu kecil sehingga tidak butuh penanganan risiko secara khusus. Contoh risiko jenis pertama di atas biasanya adalah risiko yang terkait dengan keselamatan dan kesehatan. Apalagi kalau risiko ini dapat berubah menjadi pandemi yang melanda seluruh negara. Untuk industri penerbangan, risiko terbesar adalah keselamatan penerbangan. Risiko jenis kedua biasanya risiko bisnis, di mana setiap peluang atau investasi atau suatu program peningkatan usaha harus dihitung terlebih dahulu manfaat versus biayanya. Sedangkan jenis risiko yang ketiga banyak kita jumpai dalam kehidupan sehari-hari, misalnya risiko salah tulis, salah makan, dsb. Yang perlu diperhatikan adalah bahwa risiko dari kesalahan kecil ini tidak membawa kejutan berupa dampak besar dan tidak diinginkan.

55

Dalam menentukan ke tiga kriteria risiko tersebut di atas maka pengertian pengendalian risiko harus ikut diperhatikan. Karena dapat saja hasil kriteria risiko berdasarkan analisis risiko masuk kriteria risiko tinggi, tetapi karena pengendalian risikonya efektif, maka risiko tersisa menjadi kecil, sehingga kategorinya menjadi risiko rendah. Dalam kondisi semacam ini perhatian akan difokuskan pada keberadaan pengendalian risiko dan apakah pengendalian risiko tersebut cukup efektif atau tidak. Hasil dari evaluasi risiko adalah menunjukkan peringkat risiko yang memerlukan penanganan lebih lanjut atas dasar risiko yang tersisa dan efektifitas pengendalian risiko yang ada.

8. Perlakuan Risiko Hasil dari evaluasi risiko adalah suatu daftar yang berisi peringkat risiko yang memerlukan perlakuan lebih lanjut. Manajemen organisasi harus melakukan kajian dan menentukan jenis serta bentuk perlakuan risiko yang diperlukan. Perlakuan risiko ini tidak harus bersifat khusus untuk satu situasi tertentu, juga tidak harus berlaku umum. Ini berarti, setiap risiko memerlukan bentuk perlakuan yang khas untuk tiap risiko itu sendiri. Untuk setiap risiko yang memerlukan perlakuan risiko, perlu dilakukan pemeriksaan ulang yang cukup komprehensif terhadap informasi dan data hasil analisis risiko. Hal ini diperlukan untuk memahami sumber atau penyebab risiko, apa pemicu timbulnya risiko, bagaimana besar kemungkinan terjadinya, serta seberapa besar dampaknya. Selain itu, perlu juga dipahami kondisi lingkungan (hukum, sosial, politik, ekonomi, dll.) serta siapa saja yang terlibat dalam kegiatan yang berisiko tersebut. Pengkajian awal yang cukup mendalam seringkali membuahkan satu pilihan perlakuan risiko yang tidak hanya bermanfaat untuk satu risiko, tetapi juga untuk risiko-risiko lainnya. Artinya, satu perlakuan risiko untuk beberapa risiko. Di lain pihak, mungkin untuk satu macam risiko diperlukan beberapa macam perlakuan risiko. Secara umum, perlakuan terhadap suatu risiko dapat berupa salah satu dari empat perlakuan sebagai berikut:
(1)

Menghindari risiko (risk avoidance), berarti tidak melaksanakan atau meneruskan kegiatan yang menimbulkan risiko tersebut.

56

(2)

Berbagi risiko (risk sharing/transfer), yaitu suatu tindakan untuk mengurangi kemungkinan timbulnya risiko atau dampak risiko. Hal ini dilaksanakan antara lain melalui asuransi, outsourcing, subcontracting, tindak lindung transaksi nilai mata uang asing, dan lain-lain.

(3)

Mitigasi (mitigation), yaitu melakukan perlakuan risiko untuk mengurangi kemungkinan timbulnya risiko, atau mengurangi dampak risiko bila terjadi, atau mengurangi keduanya, yaitu kemungkinan dan dampak. Perlakuan ini sebetulnya adalah bagian dari kegiatan organisasi sehari-hari.

(4)

Menerima risiko (risk acceptance), yaitu tidak melakukan perlakuan apapun terhadap risiko tersebut.

Sesuai dengan penjelasan di atas maka dalam menentukan pilihan perlakuan risiko, perlu diperhatikan beberapa hal, yaitu: Bagaimana pengaruh perlakuan risiko yang dipilih terhadap kemungkinan terjadinya risiko atau dampak yang ditimbulkan oleh risiko tersebut. Pengaruh dari perlakuan ini juga harus dipertimbangkan dengan toleransi atau selera risiko organisasi. Pertimbangan biaya dengan manfaat dari perlakuan risiko yang dipilih. Bagaimanakah kemungkinan pencapaian sasaran organisasi dengan adanya perlakuan risiko tersebut? Melihat berbagai macam variabel dan opsi pemilihan perlakuan risiko maka perlu dikembangkan suatu strategi untuk memilih jenis perlakuan. Strategi yang perlu diterapkan dapat dijelaskan sebagai berikut, pertama-tama tentu bila tidak perlu maka tidak usah kita melakukan tindakan yang berisiko. Hal ini akan menjadi lain kalau tindakan/kegiatan ini memang diperlukan untuk pencapaian sasaran dan tujuan organisasi. Bila demikian maka pertanyaannya adalah bagaimana kita mereduksi risiko ini? Ada dua cara mereduksi risiko ini, yaitu mitigasi atau berbagi risiko. Pilihan pertama adalah berbagi risiko karena ini akan memberikan kita ruang dan waktu untuk menangani hal lain yang penting, juga menghemat penggunaan sumber daya manusia. Bila pengkajian penggunaan modus berbagi risiko tidak memungkinkan maka pilihannya adalah melakukan mitigasi.

57

Mitigasi risiko terdiri dari dua macam cara pula, yaitu pertama mengurangi kemungkinan terjadinya risiko melalui penanganan pada sumber risiko dan pemicu terjadinya peristiwa yang berisiko. Kedua adalah mengurangi dampak bila risiko tersebut terjadi. Hal ini dilakukan dengan menganalisa dampak apa saja yang dapat terjadi dan dilakukan persiapan penanggulangan dampak pada saat risiko tersebut terjadi. Dengan demikian dampak negatif yang terjadi diharapkan dapat direduksi. Pilihan terakhir adalah menerima risiko ini, karena memang menjadi bagian yang tak terpisahkan dari proses pencapaian sasaran organisasi. Jika pilihan ini terpaksa diambil maka proses monitoring dan review harus dilakukan dengan ketat.

9. Monitoring dan Review Monitoring dan review harus menjadi bagian yang sudah direncanakan dalam proses manajemen risiko. Petugas yang bertanggung jawab untuk melaksanakan proses monitoring dan review harus ditentukan secara tegas. Proses monitoring dan review harus mencakup semua aspek dari proses manajemen risiko dengan tujuan agar: Terdapat proses pembelajaran dan analisis dari setiap peristiwa, perubahan, dan kecenderungan (trends) yang terjadi; Terdeteksi perubahan dalam lingkup internal maupun eksternal, termasuk perubahan risiko itu sendiri yang memerlukan perubahan atau revisi perlakuan risiko, atau bahkan perubahan prioritas risiko; Memastikan bahwa pengendalian risiko dan perlakuan risiko masih tetap efektif, baik secara desain maupun pelaksanaannya; Mengidentifikasikan terjadinya risiko-risiko yang baru. Kemajuan dalam penerapan rencana perlakuan risiko dapat menjadi ukuran kinerja organisasi dan dapat disatukan dengan keseluruhan pengukuran kinerja organisasi. Hal ini merupakan bagian dari manajemen kinerja dan sistem pelaporan internal serta eksternal organisasi. Monitoring dan review bisa berupa pemeriksaan biasa atau pengamatan terhadap apa yang sudah ada, baik secara berkala maupun secara khusus. Kedua bentuk ini harus dilakukan secara terencana.

58

Hasil monitoring dan review harus didokumentasikan dengan baik serta sesuai dengan kebutuhan. Harus juga dilaporkan, baik internal maupun eksternal. Ini juga merupakan bagian dalam proses review kerangka manajemen risiko Dalam menerapkan proses monitoring dan review yang mampu memenuhi fungsi yang diinginkan, manajemen organisasi harus mempertimbangkan beberapa pertanyaan dasar dalam menyusun proses monitoring dan review ini. Beberapa pertanyaan dasar tersebut adalah: (1). Siapa yang harus melakukan monitoring dan review? (2). Apa yang perlu dipantau dan ditinjau? (3). Informasi yang bagaimana yang harus dievaluasi? (4). Prosedur bagaimana yang harus digunakan dan seberapa sering? (5). Bagaimanakah proses pelaporannya dan siapa yang berhak membacanya?

Siapa yang melakukan monitoring dan review?

Meninjau kembali tanggung jawab Direksi dan Dewan Komisaris, sebagaimana telah dibahas pada Bagian II, maka Direksi dan Dewan Komisaris sangat berperan dalam menciptakan situasi yang kondusif untuk penerapan sistem manajemen risiko. Dewan Komisaris adalah penanggung jawab utama dalam pelaksanaan monitoring dan review terhadap keseluruhan operasi perusahaan, termasuk terhadap penerapan sistem manajemen risiko ini. Direksi bertanggung jawab untuk mengarahkan dan mengendalikan operasi perusahaan, termasuk di dalamnya penerapan sistem manajemen risiko. Oleh karena itu, ia juga wajib melaksanakan proses monitoring dan review ini. Secara umum, terdapat dua macam pelaksanaan monitoring, yaitu pemantauan berkelanjutan (on-going monitoring) dan pemantauan terpisah (separate monitoring). Pemantauan berkelanjutan dilaksanakan oleh pelaksana pekerjaan (self review atau continous monitoring) dan atasan pekerja (line management monitoring). Sedangkan pemantauan terpisah adalah pemantauan yang dilakukan oleh pihak ketiga, yaitu oleh internal ataupun eksternal auditor (third party audit) dan hasilnya dilaporkan kepada Direksi dan Dewan Komisaris.

59

Apa yang perlu dimonitor dan direview?

Pada dasarnya yang perlu mendapatkan perhatian dan harus selalu dimonitori dan direview adalah: Pemantauan terhadap perubahan: proses manajemen risiko hendaknya menjadi bagian yang tak terpisahkan dengan proses organisasi lainnya. Dengan demikian, dinamika manajemen risiko akan mengikuti dinamika perubahan yang terjadi pada proses organisasi dan lingkungan organisasi itu sendiri; Pemantauan kinerja manajemen risiko: pemantauan khususnya ditujukan pada risikorisiko yang tinggi dan risiko-risiko yang kritis. Pemantauan difokuskan pada efektifitas pengendalian risikonya. Harus selalu dipantau bagaimana keandalan operasi pengendalian tersebut, bagaimana kerentanannya terhadap perubahan yang mungkin terjadi, bagaimanakah kemungkinan deteksi dini terhadap risiko tersebut, baik keandalan operasi maupun kerentanannya, dll. Kemungkinan timbulnya risiko-risiko baru akibat dilaksanakannya suatu tindakan perlakuan risiko yang baru. Ini karena suatu risiko dapat mempunyai dampak menimbulkan risiko yang lainnya (chain reaction).

Informasi yang bagaimana yang harus dipantau?

Informasi yang dapat digunakan dalam proses monitoring dan review pada dasarnya adalah informasi yang sesuai dan berkecukupan. Pengertian sesuai adalah informasi yang relevan, dapat dipercaya, dan tepat waktu. Sedangkan informasi yang berkecukupan merupakan ukuran dari jumlah informasi yang dibutuhkan. Artinya, apakah jumlah data tersebut sudah cukup untuk mengambil kesimpulan.

60

RELEVAN

Perlu info ketepatan waktu

v
Relevan, dipercaya & tepat waktu

Perlu info reliabilitas

v
DIPERCAYA
Perlu info relevansi

TEPAT WAKTU

Gambar 7: Elemen kualitas informasi (Sumber: Guidance on Monitoring Internal Control System- Vol.II, COSO, 2009, p.30)

Kesesuaian informasi merupakan ukuran kualitas informasi yang dapat digunakan. Oleh karena itu, ketiga elemen di atas harus dipenuhi secara bersama-sama. Kekurangan dari salah satu elemen memerlukan informasi lebih lanjut dari elemen tersebut. Kecukupan informasi dapat ditentukan secara statistik, seberapa besar sampling informasi dinyatakan cukup untuk suatu jumlah tertentu. Kecukupan ini juga ditentukan dengan selera risiko atau toleransi risiko yang ditetapkan.

Prosedur bagaimana yang harus digunakan dan seberapa sering?

Ini merupakan pengembangan dari pertanyaan pertama terkait dengan pemantauan berkelanjutan, pemantauan oleh atasan dan pemantauan oleh pihak pihak ketiga. Pemantauan berkelanjutan dilakukan oleh pelaksana proses, dan pada dasarnya ia akan melaksanakan pemantauan terhadap input, proses transformasi, dan output. Artinya, pemantauan dilakukan menggunakan indikator kinerja proses dan kinerja hasil. Untuk memudahkan pelaksana atau pemangku risiko maka harus dibuat prosedur terkait dengan apa yang harus dipantau (control points) dan frekuensi pemantauannya. Ini diperlukan agar produktivitas kerja tidak terganggu, tetapi efektivitas pengendalian risiko tetap terjaga.

61

Teknik dan metode yang digunakan sangat tergantung pada input, proses, dan output yang dihasilkan. Pemantauan oleh atasan pada dasarnya sama, hanya pemantauan lebih ditekankan pada hasil proses. Prosedur pemantauan ini juga harus ditetapkan jangka waktu dan pelaporannya secara berjenjang hingga ke tingkat Direksi dan Dewan Komisaris. Keseluruhan prosedur pemantauan berkelanjutan dan dilakukan oleh atasan ini harus dituangkan dalam suatu prosedur tertulis yang akan menjadi prosedur baku. Prosedur inilah yang nantinya akan ditinjau oleh pihak ketiga yang independen untuk diperiksa efektivitasnya, termasuk kepatuhan dalam pelaksanaannya. Pemantauan oleh pihak ketiga atau audit pihak ketiga lebih bertujuan untuk memastikan kepatuhan terhadap standar, peraturan perundangan, peraturan internal yang digunakan, sekaligus memeriksa efektivitas penerapan sistem manajemen risiko.

Bagaimanakah proses pelaporannya dan siapa yang berhak membacanya?

Pelaporan hasil monitoring dan review secara keseluruhan menjadi tanggung jawab dari fungsi manajemen risiko, khususnya laporan audit manajemen risiko yang dilakukan oleh pihak ke tiga. Akan tetapi, laporan untuk pelaksanaan pemantauan berlanjut dan berkala berada pada masing-masing unit kerja. Laporan hasil monitoring dan review bertujuan untuk memastikan bahwa proses manajemen risiko memang memenuhi sasaran yang ditetapkan, atau mengidentifikasikan kelemahan yang masih ada sehingga dapat dilakukan perbaikan sebagaimana mestinya. Bila ditemukan kelemahan sistem manajemen risiko maka terdapat tiga bentuk laporan sebagai berikut: Laporan hasil temuan audit: adalah laporan kelemahan pengendalian risiko yang ditemukan. Laporan ini akan disampaikan pertama kepada pemangku risiko (risk owner) dan pihak yang bertanggung jawab untuk melakukan perbaikan pengendalian risiko tersebut; dan kedua kepada atasan dari pemangku risiko tersebut dan/atau atasan dari atasan unit tersebut. Laporan kelemahan sistem: adalah laporan mengenai kelemahan sistem pengendalian risiko yang kritis untuk dikomunikasikan kepada Direksi dan Komite Pemantau Risiko dari Dewan Komisaris.

62

Laporan tindak lanjut masalah: adalah laporan tindak lanjut bila diperoleh laporan adanya kelemahan pengendalian risiko, baik dari internal maupun eksternal. Perbaikan kelemahan pengendalian risiko ini harus segera dilaksanakan.

10. Dokumentasi Manajemen Risiko Dokumentasi suatu proses manajemen secara umum mempunyai tiga macam fungsi, yaitu: (1). Rekaman proses pelaksanaan kegiatan yang sekaligus menjadi sumber informasi atas proses yang terjadi dan dapat menjadi dasar pengambilan keputusan untuk masalah yang sama di masa depan; (2). Menjadi bukti hukum atas apa yang telah diputuskan dan dilaksanakan, khususnya bila terjadi sengketa hukum; (3). Sarana untuk preservasi pengetahuan sebagai bagian dari proses pengembangan knowledge management dalam suatu organisasi. Sesuai dengan fungsi di atas maka dokumentasi proses manajemen risiko harus disusun sedemikian rupa sehingga akses informasi mudah dilaksanakan, dokumen yang memerlukan keabsahan hukum harus dipastikan persyaratannya terpenuhi dengan baik, misalnya risalah rapat ditandatangani secara lengkap, keputusan pelaksanaan jelas akuntabilitasnya, uraian metode pelaksanaan suatu keputusan haruslah jelas tahapannya, dll. Dari segi penyimpanan secara fisik, pengarsipan dokumen-dokumen proses manajemen risiko juga harus tertata dengan baik, tersimpan dengan aman, selalu terjaga dari kemungkinan pencurian atau akses yang tidak berwenang, dan terkendali serta termutakhirkan dengan baik. Khusus untuk keperluan preservasi pengetahuan, keputusan tentang media penyimpanan perlu diperhatikan, baik dari segi aksesabilitas, kemampuan untuk diduplikasi, serta daya tahannya. Bentuk penyimpanan dapat dalam bentuk elektronik/digital atau dokumen kertas. Pertimbangan dari segi hukum adalah masalah penyimpanan dokumen orisinil dan masa retensinya. Selain itu, perlu juga dipertimbangkan sensitivitas informasi yang terkandung dalam dokumen-dokumen tersebut, baik dari aspek legal maupun kompetisi bisnis.

Struktur Dokumentasi Manajemen Risiko Struktur dokumentasi manajemen risiko dibedakan menjadi:

63

(1). Dokumentasi rencana manajemen risiko (Risk Management Plan) dan; (2). Dokumentasi manajemen risiko (Risk Management documentation). Rencana manajemen risiko merupakan dasar untuk pelaksanaan manajemen risiko dan biasanya disusun oleh fungsi manajemen risiko. Dokumentasi manajemen risiko adalah dokumen-dokumen yang diperlukan untuk mengelola proses penerapan manajemen risiko, baik oleh fungsi manajemen risiko ataupun para pemangku risiko. Tidak terdapat suatu pengaturan formal atas kedua macam dokumentasi ini.

Dokumentasi rencana manajemen risiko

Dokumen rencana manajemen risiko pada umumnya berisi hal-hal berikut: Struktur tata kelola risiko (risk governance structure) yang antara lain meliputi: o Kebijakan manajemen risiko; o Peran dan tanggung jawab pelaksanaan manajemen risiko, baik yang harus memimpin, melaksanakan, maupun mendukung/membantu setiap kegiatan manajemen risiko, lengkap dengan kejelasan tanggung jawab dan

akuntabilitasnya; o Alur pengambilan keputusan dan batasan kewenangannya serta alur pelaporan internal maupun eksternal, termasuk format pelaporannya; o Keterangan mengenai kecukupan sumber daya, baik orang, dana, waktu, sarana ruangan, maupun administrasi, dll; o Metodologi untuk melakukan proses monitoring dan review serta ketentuan pelaksanaan audit pihak ketiga. Ketentuan mengenai metode dan teknik yang digunakan untuk tiap tahapan serta ketentuan-ketentuan baku lain, mencakup hal-hal antara lain: o Metode, pendekatan, dan sumber-sumber informasi yang akan digunakan dalam proses manajemen risiko, stakeholders analysis, dll.; o Ketentuan mengenai jenis kemungkinan (likelihood) yang akan digunakan dan ukuran kuantitatifnya; o Ketentuan ukuran dampak yang akan digunakan, a.l. dampak finansial dan dampak non-finansial beserta ukuran kuantitatifnya; o Ketentuan mengenai selera risiko; misalnya penggunaan RBS, FMEA, CRSA,

64

o Format-format dokumen manajemen risiko yang akan digunakan selama penerapan proses manajemen risiko.

Dokumentasi proses manajemen risiko

Dokumentasi proses manajemen risiko, diperlukan untuk mengelola proses penerapan manajemen risiko oleh para pemangku risiko dan fungsi manajemen risiko. Dokumentasi ini antara lain meliputi hal-hal berikut: Tahap komunikasi dan konsultasi: o Daftar stakeholders dan kepentingannya; o Hasil proses analisis stakeholders; o Rencana proses komunikasi dan konsultasi Tahap identifikasi risiko: o Daftar risiko (risk register) Tahap analisis dan evaluasi risiko: o Dokumentasi proses pelaksanaan analisis dan evaluasi risiko; o Peringkat risiko, pengelompokan risiko, dan profil risiko; o Prioritas risiko yang perlu mendapatkan perlakuan; o Pemutakhiran daftar risiko. Tahap perlakuan risiko: o Rincian rencana perlakuan risiko untuk masing-masing risiko yang memerlukan perlakuan risiko dan berisi antara lain: Jenis perlakuan risiko dan sasarannya; Penanggung jawab pelaksanaan perlakuan risiko; Jadwal dan biaya pelaksanaannya; Proses dan hasil analisis manfaat & biaya; Mekanisme monitoring dan review-nya. o Laporan monitoring pelaksanaan perlakuan risiko. Tahap monitoring dan review: o Laporan monitoring oleh pelaksana dan atasan; o Laporan audit pihak ketiga: Laporan temuan hasil audit; Laporan kelemahan sistem manajemen risiko;

65

 Laporan hasil audit dan rekomendasi tindak lanjut; Laporan tinjauan hasil tindak lanjut. o Laporan evaluasi penerapan manajemen risiko Dokumentasi pasca-terjadinya risiko: o Uraian lengkap mengenai kasus yang terjadi; o Analisis penyebab terjadinya risiko tersebut dan analisis mengapa tindakan pengendalian tidak efektif; o Upaya untuk mencegah terjadinya kesalahan serupa dan rekomendasi untuk pemeriksaan terhadap keadaan sejenis lainnya. Dokumen-dokumen di atas merupakan dokumen yang hidup, khususnya daftar risiko, sehingga harus selalu dimutakhirkan sesuai dengan perkembangan dan perubahan konteks, modus operasi, personalia, struktur organisasi, dll.

66

BAGIAN IV ASPEK PERAWATAN

1. Pengantar Sebagaimana diutarakan pada Bagian I: Pendahuluan, aspek perawatan: adalah aspek yang memastikan adanya upaya menjaga efektifitas penerapan dan perbaikan yang

berkesinambungan melalui, monitoring dan review serta audit manajemen risiko, maka dalam bagian ini akan dibahas lebih rinci unsur-unsur apa sajakah yang akan mempengaruhi pelaksanaan aspek perawatan dalam penerapan manajemen risiko perusahaan. Unsur pertama adalah unsur Risk Governance dimana dipastikan kejelasan akuntabilitas dalam melakukan monitoring dan review serta macam dan jenis pelaksanaan monitoring dan review itu sendiri. Unsur kedua adalah penyebaran penerapan manajemen risiko keseluruh jajaran perusahaan dan menjadikannya bagian yang tidak terpisahkan dari proses organisasi, sehingga timbul menjadi suatu budaya sadar risiko. Unsur ke tiga adalah pengembangan pemahaman dan teknologi terkait dengan penerapan manajemen risiko perusahaan. Hal-hal tersebut di atas akan dibahas lebih lanjut pada bagian-bagian di bawah ini,

2. Risk Governance

Akuntabilitas Dewan Komisaris merupakan penanggung jawab tertinggi dalam pelaksanaan pengawasan kegiatan strategis dan operasional perusahaan, dengan demikian mereka juga menjadi penanggung jawab tertinggi dalam memastikan bahwa manajemen risiko perusahaan memang dilaksanakan dengan baik dan efektif serta efisien. Untuk itu Dewan Komisaris harus membentuk Komite Pemantau Risiko untuk memastikan bahwa pelaksanaan manajemen risiko berjalan dengan baik. Apabila pembentukan Komite Pemantau Risiko dirasakan terlalu berlebihan, maka tugas pengawasan ini dapat diserahkan kepada Komite Audit, akan tetapi harus dipastikan bahwa tugas pengawasan ini memang tercantum dalam Piagam Komite Audit.

67

Direksi adalah penanggung jawab pengurusan perusahaan dan pencapaian sasaran perusahaan sebagaimana ditetapkan oleh pemegang saham dalan Rapat Umum Pemegang Saham. Oleh karena itu semua ancaman yang mengganggu pencapaian sasaran perusahaan haruslah diatasi, dan sebaliknya, semua peluang yang mendukung pencapaian sasaran perusahaan haruslah diekploitasi seoptimal mungkin. Ini adalah penerapan manajemen risiko perusahaan. Untuk memastikan ini semua maka ia harus mendapatkan gambaran yang tepat dari status dan posisi pelaksanaan manajemen risiko perusahaan. Konsekwensi logis dari hal ini adalah Direksi haruslah melakukan pemantauan secara berkala terhadap kinerja manajemen risiko. Selain itu ia juga harus menciptakan tone at the Top (perilaku keteladanan) sehingga seluruh jajaran perusahaan yakin bahwa penerapan manajemen risiko memang menciptakan nilai tambah dan berguna dalam memberikan jaminan yang wajar atas pencapaian sasaran perusahaan. Akuntabilitas Direksi dalam pelaksanaan dan perawatan penerapan manajemen risiko perusahaan dilakukan dalam dua hal yaitu: (1). Pembentukan Fungsi Manajemen Risiko yang mandiri, dan; (2). Menghadiri dan melakukan review atas kinerja penerapan manajemen risiko perusahaan secara berkala, minimal setiap tiga (3) bulan sekali. Fungsi manajemen risiko adalah kepanjangan tangan Direksi dalam memastikan bahwa manajemen risiko diterapkan dengan efektif dan efisien serta memberikan nilai tambah melalui jaminan yang wajar dalam pencapaian sasaran perusahaan. Untuk itu fungsi manajemen risiko perusahaan mempunyai akuntabilitas setidak-tidaknya untuk memastikan bahwa: (1). Prinsip, kerangka kerja dan proses manajemen risiko perusahaan telah dipahami dan diterapkan dengan baik di seluruh perusahaan; (2). Pelaporan status Profil Risiko Perusahaan (Company Risk Profile) dilaksanakan secara berkala, tepat waktu, dengan status terkini; (3). Semua risiko yang teridentifikasi telah dapat ditangani dengan baik.

68

Jenis Monitoring dan Review Pada bagian III: Aspek Operasional telah dibahas secara mendalam mengenai jenis-jenis monitoring dan review, oleh karena itu hanya akan disampaikan penekanan ulang atas pelaksanaannya, yaitu: (1). Evaluasi penerapan manajemen risiko harus dilaksanakan minimal satu kali dalam satu tahun. Evaluasi ini untuk memeriksa efektifitas, tingkat kematangan penerapan manajemen risiko, dan kinerja manajemen risiko sesuai dengan tujuan

pembentukannya; (2). Laporan fungsi manajemen risiko setiap triwulan terhadap Direksi dengan tembusan ke Dewan Komisaris atas: a. Status profil risiko perusahaan terkini dan kecenderungannya (trend); b. Efektifitas pengendalian risiko-risiko besar dan risiko-risiko kritis; c. Hasil mitigasi-mitigasi risiko yang dilakukan dalam periode laporan tersebut; d. Perubahan lingkungan eksternal dan internal yang mempunyai potensi risiko bagi perusahaan; e. Observasi kemampuan para Risk Owners dalam perusahaan dalam menangani risiko-risiko yang menjadi tanggung jawabnya.

3. Budaya Risiko Sasaran dari pengembangan budaya risiko secara sederhana dapat dikatakan bahwa dalam setiap pengambilan keputusan, baik keputusan strategis hingga keputusan yang sederhana dalam operasi sehari-hari, para pengambil keputusan selalu sadar akan potensi risiko yang ada saat ini maupun potensi risiko dalam masa yang lebih panjang. Dengan demikian setiap keputusan akan diambil dengan hati-hati dan penuh pertimbangan (informed decfision making). Perilaku hati-hati dan tidak ceroboh serta penuh pertimbangan atas informasi yang ada inilah yang menjadi tujuan terciptanya budaya (sadar) risiko. Dengan tercapainya budaya (sadar) risiko dapat diharapkan timbulnya perilaku yang menunjukkan pemahaman bahwa: Pentingnya proses identifikasi dan asesmen risiko dalam setiap kegiatan proses bisnis perusahaan saat ini maupun yang direncanakan; Pentingnya mengkomunikasikan dan mengkonsultasikan semua potensi risiko yang mungkin terjadi;
69

Perlunya memperhitungkan keseimbangan antara risiko dan manfaat dalam setiap pengambilan keputusan bisnis, baik dalam tingkat strategis maupun dalam operasi sehari-hari.

Tone from the Top Budaya adalah perilaku. Oleh karena itu bila budaya risiko dianggap penting bagi perusahaan maka perilaku ini juga harus nampak pada Pimpinan Puncak perusahaan. Perilaku ini juga harus nampak dari dukungan Pimpinan dalam menyediakan sumber daya untuk penerapan manajemen risiko perusahaan. Sebagaimana ditunjukan dalam Bagian III tentang Manajemen Perubahan, peran Pimpinan Puncak dalam memimpin perubahan sangat vital. Tergantung pada Pimpinan Puncak, jenis kepemimpinan apa yang akan dilakukan dan perilaku bagaimana yang akan ditunjukkan dalam mendorong dan mendukung perilaku budaya risiko yang diinginkan dan mencegah serta mempersulit perilaku budaya risiko yang tidak diinginkan.

Strategi Pengembangan Budaya Risiko

Penciptaan critical mass

Kesadaran akan pentingnya manajemen risiko harus tersebar luas ke seluruh karyawan dan tidak terbatas pada tingkatan manajemen saja. Kesadaran ini harus dikembangkan hingga menjadi budaya risiko yang intinya adalah perilaku sadar risiko dalam kegiatan operasional perusahaan. Oleh karena itu perlu sosialisasi dan pelatihan yang ekstensif ke seluruh jajaran perusahaan sehingga seluruh karyawan menjadi tahu apa itu risiko dan sadar apa artinya manajemen risiko dalam kegiatan operasional sehari-hari dalam perusahaan dan akhirnya melalui pelatihan yang tepat mereka menjadi mampu dalam menerapkan manajemen risiko tersebut. Merujuk pada prinisp-prinsip manajemen risiko perusahaan yang diuraikan pada Bagian II: Aspek Struktural, strategi ini menganjurkan agar prinsip-prinsip tersebut dibagi mana yang lebih milik para pemangku risiko dan mana yang menjadi milik perusahaan untuk mengembangkannya. Proses pelaksanaannya dilakukan menurut gambar 8 di bawah ini.

70

Tataran organisasi

Tataran individu Risk Owner TAHU

GOVERNANCE STRUCTURE

SOSIALISASI

SADAR

MANFAAT & BAHAYA

MAMPU

PELATIHAN & DUKUNGAN

MAU

INSENTIF & SANKSI

PERUBAHAN PERILAKU

Gambar 8: Strategi pengembangan budaya risiko.

(Sumber: Leo J. Susilo & Victor Riwu Kaho, Manajemen Risiko berbasis ISO 31000, Jakarta: PPM, 2010)

Bagian yang menjadi milik para pemangku risiko adalah prinsip-prinsip ke 1,2,3,4,7, dan 9, sedangkan yang menjadi tugas perusahaan adalah prinsip-prinsip ke 5,6,8, 10, dan 11. Pencapaian critical mass penting untuk penciptaan bahasa yang sama dan pemahaman yang serupa tentang risiko, serta membuat proses perubahan dapat mandiri dan berkelanjutan (sustainable).

Penyelarasan dengan insentif dan sanksi

Unsur terpenting dalam mendukung terciptanya budaya risiko adalah insentif dan sanksi. Ini adalah upaya untuk merangsang, mendorong dan mendukung perilaku budaya risiko yang diinginkan dan mencegah serta mempersulit perilaku budaya risiko yang tidak diinginkan. Untuk ini perlu penyelarasan antara pencapaian sasaran perusahaan dengan perilaku yang diinginkan, karena perilaku inilah yang layak untuk mendapatkan insentif. Selain itu perlu
71

menentukan dan mencantumkan Key Performance Indicator (KPI) terkait manajemen risiko pada setiap fungsi perusahaan. Hal yang perlu diperhatikan bahwa insentif tidak hanya semata-mata diberikan karena hasil mitigasi risiko saja tetapi harus lebih pada penerapan proses manajemen risiko yang baik dan benar, serta sesuai dengan prinsip-prinsip manajemen risiko yang telah dicanangkan. Insentif terhadap kompensasi karyawan merupakan salah satu saran yang efektif dalam merubah perilaku, tetapi pemberian penghargaan lainnya juga perlu diperhatikan dalam mendorong perubahan menuju budaya risiko yang diinginkan. Untuk proses penerapan insentif dan sanksi, haruslah dilaksanakan dengan prinsip keterbukaan (prinsip ke 9) untuk lebih mendorong terciptanya budaya risiko yang diinginkan.

4. Pengembangan Manajemen Risiko

Pengembangan Sistem, Metoda dan Teknik Penerapan manajemen risiko perusahaan merupakan perjalanan bagaimana perusahaan menciptakan nilai tambah dalam situasi ketidakpastian. Hal ini direalisasikan dalam bentuk prinsip, kerangka kerja dan proses manajemen risiko. Dinamika perkembangan bisnis dan perubahan situasi eksternal sangatlah penuh ketidakpastian, sehingga diperlukan secara terus menerus untuk mengembangkan teknologi, metoda dan alat yang mampu untuk mengikuti perkembangan tersebut guna meningkatkan daya tahan dan keliatan (resilience) perusahaan. Penerapan teknologi informasi sebagai enabler, haruslah dibarengi dengan pemahaman yang memadai terhadap apa yang ingin dicapai dengan penggunaan teknologi tersebut serta penggunaan informasi yang tepat dan akurat sebagai landasan untuk penerapannya. Bila tidak penerapan ini hanya bersifat gimmick saja, atau bahkan seperti kata pemeo GIGO (garbage in garbage out). Penggunaan teknik-teknik kuantitatif juga harus dipahami persyaratan yang dituntut oleh teknik tersebut, terutama terkait dengan penggunaan probabilitas, dimana untuk penentuannya memerlukan data historis yang memadai. Selain itu penggunaan teknik kuantitatif haruslah sesuai dengan tujuan penciptaan teknik tersebut dan perlu dikaji ulang bila akan diterapkan pada bidang yang lain. Misalnya teknik-teknik manajemen risiko dari

72

sektor keuangan seperti VAR (value at risk), Stress testing, dll., apakah cocok bila diterapkan di bidang lainnya. Setiap perusahaan haruslah mengkaji dan mencari teknik yang paling cocok untuk meningkatkan penerapan manajemen risiko perusahaannya sendiri. Ini dilakukan dengan mengacu pada proses bisnis utamanya dan bagaimana caranya meningkatkan kemungkinan pencapaian sasaran perusahaan. Ini adalah acuan utama dalam mengembangkan teknik manajemen risiko, karena konteksnya adalah khas untuk perusahaan tersebut. Dua hal yang dibahas sebelumnya, yaitu risk governance dan budaya risiko perusahaan akan turut

menentukan kemampuan perusahaan dalam mengembangkan kapabilitas manajemen risikonya.

Benchmarking Bechmarking adalah salah satu upaya untuk membandingkan kapabilitas dan efektifitas penerapan manajemen risiko perusahaan yang sudah dilaksanakan dengan kapabilitas dan efektifitas perusahaan lain. Dengan melakukan benchmarking kita dapat saling belajar dan bertukar pengalaman dengan perusahaan lainnya, baik dalam industri sejenis maupun dari sektor industri lainnya. Melalui benchmarking, kita dapat memperbaiki dan bahkan mungkin menemukan suatu teknik yang lebih cocok dengan kondisi kita atau memodifikasi suatu teknik yang unggul untuk disesuaikan dengan kondisi perusahaan. Selain benchmarking juga dapat diusahakan untuk dibentuk suatu Forum Manajemen Risiko atau bergabung dengan suatu asosiasi profesional manajemen risiko untuk tetap mengikuti perkembangan manajemen risiko yang terkini. Informasi tentang teknik manajemen risiko terkini yang diperoleh melalui forum ini dapat dipelajari lebih lanjut dan dikaji kesesuaiannya untuk diterapkan di perusahaan.

73

Anggota Komite Nasional Kebijakan Governance

Pengarah :

Dr. Sri Mulyani Indrawati Dr. Sofyan A. Djalil Drs. Taufik Effendi, MBA Dr. Jusuf Anwar Drs. Marie Muhammad

Ketua : Wakil Ketua/Sekretaris :

Drs. Mas Achmad Daniri, M.Ec Hoesein Wiriadinata, SH, LL.M

Sub Komite Kebijakan Publik : Dr. Yunus Husein (Ketua) Waluyo (Wakil Ketua) Bambang Widjojanto, SH.LL.M Prof Dr. I Gede Raka Dr. Sahala Lumban Gaol Soenarno, SH, M.Sc Maulana Ibrahim, SE. Akt., MA Prof Dr. Safri Nugraha Prof Dr. Tedi Pawitra Dr. Komaruddin, MBA, APU Kemal Stamboel, MBA Ir. Martiono Hadianto A. Pandu Djajanto

Sub Komite Bidang Korporasi : Dr. Jos Luhukay (Ketua) Drs. Binhadi (Wakil Ketua) Drs. Anis Baridwan, MBA Fred BG Tumbuan, SH, L.Ph Suwartini, MBA Hotbonar Sinaga, SE Drs. Irwan Habsjah, MA Drs. Noke Kiroyan Ratna Djanuarita, SH, LL.M, MH Prof Dr. Roy Sembel Drs. Subarto Zaini Antonius Alijoyo Drs. John A. Prasetio Drs. Harry Wiguna

74