Risk Treatment antara menghindarkan dan meningkatkan pengambilan risiko

Menggunakan pendekatan prinsip, boleh dikatakan bahwa ISO 31000 adalah konsep yang dituliskan dengan model penyajian pada tingkatan yang tinggi (high level concept). Hal ini berarti bahwa ISO 31000 memiliki tingkat kesulitan yang lebih tinggi untuk dimengerti, jika dibandingkan dengan standar manajemen risiko yang dikonsepkan dengan pendekatan proses atau berbasis peraturan.

Sayangnya, ISO 31000 justru menjadi standar yang banyak dirujuk oleh korporasi di Indonesia. Nama besar International Organization for Standardization mendorong Indonesia untuk meratifkasi ISO 31000 menjadi Standar Nasional Indonesia (SNI) ISO 31000. Untungnya, proses manajemen risiko yang lebih tegas, yang distandarkan oleh COSO, menyebar juga di Indonesia oleh kepeloporan Badan Pengawasan Keuangan dan Pembangunan (BPKP). Sebagai pembina tatakelola sektor publik dan sebagian sektor privat (khusus Badan Usaha Milik Negara dan Milik Daerah/ BUMN/D), BPKP masih menggunakan COSO Internal Control Integrated Framework (COSO ICIF) dan ERM COSO sebagai rujukan. Bertemunya konsep ISO 31000 dan ERM COSO di lapangan melalui pertemuan para praktisinya, tentu akan membentuk proses Manajemen Risiko yang Indonesia.

ISO 31000 menstandarkan bahwa proses manajemen risiko berpuncak pada perlakuan risiko (risk treatment). Sebagai standar, ISO 31000 memberikan rincian perlakuan risiko yang terdiri atas langkah (respon) seperti: (1). menghindarkan risiko; (2). mengambil atau meningkatkan risiko untuk mengambil kesempatan; (3). menghilangkan sumber risiko; (4). mengubah likelihood atau (5). Mengubah dampak dan (6). berbagi dengan pihak lain, termasuk pendanaan risiko. Rincian perlakuan yang berwujud respon ini, telah mencakup seluruh yindakan yang mungkin, karena sudah merupakan suatu continuum, yang berujung disatu ekstrim adalah menghindarkan dan diujung ekstrim lainnya adalah meningkatkan pengambilan risiko.

Menghindarkan risiko lebih mudah dikaitkan dengan risiko negatif, sementara meningkatkan pengambilan risiko dapat dikaitkan dengan risiko positif. Penganjur manajemen risiko lebih menyarankan organisasi untuk menitik beratkan pada pengelolaan risiko positif. Hal ini sejalan dengan pemahaman umum bahwa risiko adalah sumber hasil lebih (premium) karena high risk selalu high return. Risiko positif adalah risiko yang jika dikelola akan dapat bernilai positif. Risiko positif adalah kontras dari risiko negatif.

Risiko negatif adalah risiko yang pertama-tama dibahas sebagai obyek manajemen risiko. Dengan bergeraknya obyek pembahasan manajemen risiko menuju risiko positif, beberapa orang masih belum bisa meninggalkan pemahaman bahwa risiko adalah bencana. Hingga hari ini, tidak kurang orang yang jika membicarakan risiko, asosiasinya adalah hal buruk. Mengambil sejumlah risiko, belum masuk dalam opsi tindakan yang harus mereka lakukan, dalam ketidak-pastian. Sementara, mengambil sejumlah risiko adalah konsep terpenting dalam manajemen risiko, yang kemudian disebut sebagai menetapkan selera risiko (risk appetite).

Penetapan selera risiko adalah dasar yang digunakan untuk merancang pengendalian (control). Selera risiko bergerak secara inversi dengan pengendalian. Mereka yang mengambil risiko lebih banyak atau menetapkan selera risiko yang tinggi, akan merancang pengendalian dengan keluasan dan kedalaman yang lebih rendah. Sebaliknya, mereka yang menetapkan selera risiko yang lebih rendah, akan merancang pengendalian yang lebih kuat.

Diletakkan dalam konsep manajemen risiko, ukuran rancangan pengendalian yang lebih kuat atau lebih sederhana, adalah soal menetapkan bauran pengendalian (control mix). Disamping konsep selera risiko, Manajemen Risiko juga memperbaharui konsep tentang pengendalian. Aktivitas pengendalian yang datar, yang tidak selalu memenuhi kebutuhan organisasi oleh manajemen risiko diubah agar cocok dengan lingkungan ketidak-pastian.

Manajemen risiko memodifikasi pengendalian sedemikian sehingga terdapat mekanisme penyesuaian yang dinamis oleh Existing Control dan Mitigation Plan yang saling berkomplementer. Menghindarkan risiko dapat dengan mudah dilakukan dengan memperkuat pengendalian. Sebaliknya mengambil risiko lebih banyak dengan mudah dapat dilakukan dengan menyederhanakan pengendalian.

ISO 31000 tidak mengenal istilah Existing Control, tetapi hanya “risk mitigation” yang dipersamakan dengan “risk elimination”, “risk prevention” and “risk reduction”. Ketiga tindakan dikatakan ISO 31000 sebagai risk treatment yang terkait dengan dampak negatif dari risiko. Jika dalam Register Risiko kita mengenal bauran pengendalian, duo Existing Control dan Mitigation Plan, sangat mungkin adalah dari para praktisi yang merujuk ERM COSO.

Sebagai standar yang juga menjadi standar utama (main stream), COSO memilih menggunakan pendekatan proses. Dari kelima elemen ERM COSO: Integrating Strategy with Performance, tiga diantaranya adalah kelompok proses. Dua eleman lainnya, salah satunya adalah platform, dan elemen lainnya adalah infrastruktur. Dengan pendekatan proses, produk-produk COSO, sering disertai dengan buku kerja (workbook) dan juga model evaluasi penerapannya.

Existing Control: Pengendalian yang Selalu Ada

Existing control adalah salah satu terminologi untuk menyebut elemen pengendalian yang ada dalam konsep manajemen risiko. Fakta ini mengingatkan kembali kepada kita, bahwa Manajemen Risiko adalah serangkaian pengendalian. Dibedakan misalnya dari Pengendalian Internal, Manajemen Risiko adalah model pengendalian yang dirancang agar efektif untuk membantu pencapaian sasaran dalam lingkungan ketidak pastian. Bersama dengan rencana mitigasi (mitigation plan), existing control digunakan oleh manajemen risiko dalam memodifikasi model pengendalian yang pernah ada dan digunakan perusahaan atau organisasi bentuk lain.

Manajemen risiko adalah manajemen sasaran dalam ketidak pastian. Sebagai subyek manajemen risiko, ketidak pastian diukur dalam dimensi keterjadian dan dampak, yang bermuara pada simpangan/ deviasi (deviation) pada sasaran. Deviasi ini langsung atau tidak langsung terkait dengan volume kegiatan yang tidak selalu tetap, tetapi mengikuti pola variablitas. Menggunakan ciri variabilitas ini, manajemen risiko memodifikasi secara cerdas pemodelan pengendalian agar ia juga memiliki sifat berubah-ubah (variable), sehingga menjadi pengendalian yang luwes (flexible).

Permodelan pengendalian luwes yang dikembang oleh manajemen risiko, berhasil memikat pengurus banyak organisasi baik yang berorientasi laba maupun sosial untuk menerapkannya. Bagaimana tidak, manajemen risiko memformulasikan pengendalian yang dapat luwes, yang dapat disesuaikan mengikuti variabilitas kegiatan yang terdampak risiko. Dengan demikian pengendalian selalu cukup untuk mencapai sasaran, tetapi tidak pernah berlebihan. Menjadi tidak berlebihan pula jika manajemen risiko dipromosikan sebagai metodologi yang dapat menciptakan atau mempertahankan nilai.

Standar manajemen risiko utama saat ini terkutub menjadi 2 (dua) standar utama. Yang pertama adalah ISO 31000 yang dikonsepkan di Eropa Barat. Kecenderungan di Indonesia, perusahaan atau organisasi memilih ISO 31000ini. Sementara standar utama manajemen risiko yang kedua adalah ERM COSO yang dikonsepkan di Amerika Utara. Jika diahami dengan benar, mestinya kedua standar utama ini tidak berbeda, kecuali cara penyajiannya. Dalam mengkonseptualkan standar, baik COSO mapupun ISO tentu melaksanakannya melalui suatu metode yang dapat dipertanggung jawabkan. Keduanya adalah konsep descriptive, yang tidak memformulasikan sesuatu, tetapi sekedar menggambarkan praktik manajemen risiko yang dilakukan para pengurus perusahaan atau organisasi bentuk lain.

Sebagai konsep yang menggambarkan bagaimana pengurus organisasi berhasil mencapai sasaran-sasaran mereka dalam lingkungan ketidak pastian, untuk diterapkan manajemen risiko tentu harus melalui proses interpretasi. Standar manjemen risiko umumnya juga kurang menggambarkan praktik, tetapi lebih banyak menguraikan prinsip. Oleh karena itu, model inplementasi praktik, justru banyak disajikan oleh buku-buku teks manajemen yang menggunakan standar manajemen risiko sebagai salah satu rujukan atau bahkan sumber utama pembahasan.

Menjadi kendala pemahaman adalah bahwa buku teks manajemen risiko menggunakan lingkungan pengorganisasian bisnis dan terminologi negeri penulisnya. Sementara tidak semua istilah yang dituliskan dalam teks atau standar memiliki padanan yang tepat dalam Bahasa Indonesia. Salah satu terminologi yang tidak tersedia padanan Indonesia yang tepat barangkali adalah existing control. Kekeliruan menginterpretasi existing control menjadi sangat menyesatkan dalam upaya penerapan manajemen risiko, mengingat ia adalah satu dari sedikit ciri yang membedakan manajemen risiko dari sistem pengendalian lain.

Dalam Bahasa Indonesia existing control diinterpretasikan dengan istilah, yang kurang tepat menggambarkan maksudnya. Interpretasi menyamakannya dengan Pengendalian yang Ada, atau Pengendalian yang Sudah Ada. Menjadi masalah adalah bahwa, pengendalian yang (sudah) ada ini kemudian dikontraskan dengan Pengendalian yang Masih Belum Ada atau Pengendalian yang Harus Ada atau Pengendalian yang Masih Dibutuhkan. Interpretasi ini menyebabkan timbulnya kewajiban (utang) pengendalian bagi pemilik kegiatan, yang adalah pemilik risiko.

Munculnya utang pengendalian menyebabkan pemilik kegiatan kemudian membuat rencana untuk mengadakan (melunasi) utang pengendalian. Aktivitas pemilik risiko untuk melakukan penusan pengendalian tersebut menafikan prinsip bahwa risiko adalah ketidak pastian. Aktivitas manajemen risiko akhirnya hanya menjadi sebatas proses inventarisasi pengendalian, yang terjebak pada penilaian deterministic risiko, sementara mestinya risiko harus dipandang sebagai kejadian yang tetap probabilistic.

Untuk mengembalikan kepada konsep bahwa manajemen risiko adalah model pengendalian flexible, harus dicari frasa agar dapat menggambarkan dengan tepat arti existing control. Titik tolaknya adalah bahwa ia bagian tetap dari pengendalian yang bersama-sama dengan rencana mitigasi membentuk bauran pengendalian yang flexible. Sebagai komponen tetap, existing control adalah Pengendalian yang Sudah Ada dan Akan Ada atau Pengendalian yang Akan Selalu Ada, kemarin, hari ini dan besok. Kondisi ini mungkin dapat digambarkan oleh existing control bagi mereka yang menggunakan Bahasa Inggris sebagai bahasa ibu, akan tetapi akan disalah artikan bagi kita yang menggunakan Bahasa Indonesia.

Peran dan Akuntabilitas Pengurus Perusahaan

Pengurus adalah orang dan kelompok orang yang diharapkan dapat membawa organisasi, termasuk perusahaan untuk mencapai tujuannya. Oleh karena itu, wajar jika kepengurusan organisasi, merupakan daya tarik bagi pemangku kepentingan untuk bergabung kedalamnya. Banyak pemangku kepentingan ingin dan mau bergabung dalam perusahaan karena satu atau lebih figure yang ada dalam kepengurusan. Banyak bukti bahwa ketika figure pengurus tersebut tidak lagi dalam struktur kepengurusan, pemangku kepentingan secara beramai-ramai menarik dukungan mereka kepada perusahaan. Dapat dikatakan bahwa struktur kepengurusan perusahaan dan juga organisasi lainnya, menjadi modal utama (enabler) terciptanya kepercayaan (trust) di kalangan pemangku kepentingan untuk bersedia bersama-sama berusaha mencapai visi dan misinya.

Akuntabilitas yang pertama dan terpenting, yang dituntut dari pengurus perusahaan sebagai pihak yang dipercaya, adalah memerankan pemangku kepentingan secara proporsional. Pemangku kepentingan harus didudukkan sedemikian sesuai dengan kepentingan dan harapan mereka. Dengan demikian, mereka akan berkontribusi optimal pada kelangsungan dan pertumbuhan perusahaan.

Meskipun terhimpun dalam satu wadah yang sama, para pemangku kepentingan perusahaan atau organisasi tidak selalu memiliki tujuan yang sama. Kesetaraan tujuan sangat mungkin hanya dapat dipastikan pada saat pertama seorang pemangku kepentingan bergabung. Seiring dengan berjalannya waktu, akan mungkin terdapat perbedaan kepentingan diantara pemangku kepentingan. Pembahasan tentang masalah keagenan (agency problem), membuktikan ketidak selarasan tujuan diantara para pemangku kepentingan dalam perusahaan.

Diskusi tentang rumitnya hubungan pemangku kepentingan perusahaan, tampaknya tidak akan berkurang dengan berjalannya waktu. Pengembangan konsep tatakelola perusahaan yang baik, selalu mengubah komposisi pemangku kepentingan dan definisi kepentingannya. Saat ini, pemangku kepentingan perusahaan telah meluas hingga pihak yang terdampak oleh operasi perusahaan. Luas dan dalamnya definisi pemangku kepentingan dan kepentingannya, membuat penugasan pengurus perusahan untuk memerankan mereka menjadi keputusan stratejik. Oleh karena itu keputusan pemeranan dan pemantauan efektivitasnya ini, kemudian disebut sebagai Governance Oversight.

Keberhasilan Governance Oversight tentu tidak dapat dilepaskan dari muatan kebijakan pengurus yang akan diatribusikan kepada setiap peran. Kebijakan ini tentu harus dapat mengakomosasi setiap kepentingan yang terkait, atau akan terdapat penarikan dukungan Sebagian pemangku kepentingan. Penugasan ini adalah soal internalisasi tujuan. Tujuan perusahaan harus mencerminkan seluruh tujuan pemangku kepentingan yang teridentifikasi, menjadi tujuan Bersama. Hasil dari penetapan tujuan bersama ini menjadi tujuan utama/ pokok yang mungkin terlacak dalam visi dan misi perusahaan.

Pada saat perusahaan dan operasinya masih sederhana, tujuan pendirian perusahaan juga terdefinisi sederhana sebagai meningkatkan kesejahteraan pemegang saham. Seiring dengan perkembangan konsep tatakelola perusahaan yang baik, tujuan dan operasi perusahaan menjadi jauh lebih kompleks, karena keragaman pemangku kepentingan dan kepentingannya yang harus diakomodasi. Mengarahkan keragaman tujuan menjadi satu tujuan yang dapat diterima oleh seluruh pemangku kepentingan metrupakan penugasan kedua pengurus perusahaan. Ruang lingkupnya yang luas, namun pada tingkatan yang tinggi, menjadikan penugasan pengurus ini disebut sebagai Strategic Direction. Muatan strategic direction perusahaan pada saat ini, disamping kemampuannya mencetak laba, juga kontribisi perusahaan terhadap martabat manusia, dan kualitas lingkungan hidup. Ketiganya menjadi obyek dalam laporan berkesinambungan dengan bottom line profit, people & planet (3P).

Pengurusan Manajemen Risiko oleh Direktur Perusahaan Enabler ERM

Sejak tahun buku 2021, terdapat kebijakan Menteri BUMN sebagai wakil pemegang saham Badan Usaha Milik Negara (BUMN) yang meningkatkan urusan manajemen risiko menjadi setingkat direksi. Langkah kementerian BUMN Ini merupakan lompatan yang menempatkan manajemen risiko sebagai sistem manajemen yang melibatkan pengurus perusahaan. Permasalah yang terjadi, secara keseluruhan adalah pemeranan yang tidak inklusif. Kepemilikan risiko kurang rendah, sementara kepengurusan manajemen risiko tidak melibatkan direksi, apalagi dewan komisaris, tetapi terbatas pada unit kerja manajemen risiko.

Disamping posisinya dalam struktur yang rendah, letak unit kerja manajemen risiko ini dalam organisasi perusahaan juga sangat berbeda-beda. Beberapa perusahaan meletakkan unit kerja manajemen risiko dalam koordinasi Direktur Utama, bersama-sama Sekretaris Perusahaan dan unit kerja Audit Internal. Manajemen risiko dipandang merupakan metode yang dibutuhkan oleh seluruh unit kerja perusahaan, sehingga peletakkan dalam koordinasi Direktur Utama akan memudahkan akses dan koordinasi. Sebuah perusahaan mungkin menempatkan manajemen risiko dalam koordinasi Direktur Investasi, karena kegiatan intinya pada investasi. Beberapa perusahaan jasa public, menempatkan manajemen risiko dalam koordinasi Direktur Teknologi Informasi, mengingat kerentanannya ada pada data-data pelanggan/ nasabah. Tidak kurang pula yang menempatkannya dalam koordinasi Direktur SDM, karena manajemen risiko menyangkut kapabilitas orang dalam mencapai sasaran. Pada hari ini manajemen risiko BUMN kebanyakan diletakkan sebagai kewajiban Direktur Keuangan dan Manajemen Risiko.

Manajemen Risiko adalah sistem manajemen yang digunakan perusahaan untuk meyakinkan pencapaian kinerja dalam lingkungan ketidak pastian. Konsep terpenting yang mendasari manajemen risiko adalah keberanian untuk mengambil sejumlah risiko dalam rangka mencapai sasaran. Pengambilan risiko yang disebut selera risiko (risk appetite), ini teraktualisasi dalam penyediaan pengendalian (control). Mekanisme ini sekaligus membuktikan bahwa manajemen risiko adalah pengendalian yang dimodifikasi agar cocok dengan ketidak-pastian lingkungan usaha/ organisasi.

Keputusan penetapan selera risiko, adalah keputusan berisiko. Terlalu besar mengambil risiko akan berakibat tidak efektifnya system operasi untuk pencapaian tujuan. Sebaliknya, terlalu sedikit mengambil risiko, sangat mungkin bermuara pada pemborosan dari terlalu berlebihannya pengendalian. Oleh karena itu, penetapan selera risiko pada system operasi harus dikoordinasikan agar tidak justru kontra-produktif dengan maksud penerapan manajemen risiko, untuk mengoptimalkan pencapaian tujuan. Sangat mungkin bahwa koordinasinya harus dilakukan oleh seorang direktur perusahaan.

Dokumen-dokumen yang secara autoritative mengatur penerapan manajemen risiko, sebelum tahun 2021, meletakkan hanya penugasan pengawasan kepada Direksi dan Dewan Komisaris. Pengaturan ini dapat diamati dalam Peraturan Bank Indonesia No. 11/25/PBI/2009 tentang Perubahan atas Peraturan Bank Indonesia No. 5/8/PBI/2003 tentang Penerapan Manajemen Risiko bagi Bank Umum, dan POJK RI No. 44/POJK.05/2020 tentang Penerapan Manajemen Risiko bagi Lembaga Jasa Keuangan Nonbank. Pengaturan-pengaturan ini, mengesankan bahwa penugasan pengurusan manajemen risiko berada pada manajemen perusahaan, tidak termasuk Direksi. Praktik di perbankan dan lembaga jasa keuangan nonbank ini akhirnya dijadikan rujukan industry lainnya, karena ketiadaan pengaturan otoritatif yang setara.

Interpretasi atas pengaturan otoritatif ini terwujud dalam penetapan kepemilikan risiko, dan peletakkan unit kerja manajemen risiko sebagai fungsi support & guidance. Pemilik risiko umumnya adalah level direksi -1, yang di beberapa perusahaan disebut divisi, dan pimpinan cabang, jika perusahaan memilikinya. Penempatan unit kerja manajemen risiko ada yang sangat rendah, karena hanya pada petugas adhoc/ desk). Setinggi-tingginya manajemen risiko diletakkan pada tingkat divisi.

Kepemilikan risiko yang hanya sampai tingkat divisi ini, juga mengarahkan praktik manajemen risiko setempat (siloed). Tidak diperankannya direksi sebagai pemilik risiko utama (ultimate risk owner), membuat agregasi risiko hingga tingkat korporasi menjadi tidak relevan dilakukan. Oleh karena itu, penugasan kepengurusan manajemen risiko kepada direksi perusahaan, adalah pendorong (enabler) yang memungkinkan dilaksanakan proses manajemen risiko berlingkup korporasi (Enterprise-wide Risk Management).

Pengurusan dan Pengelolaan Manajemen Risiko

Peraturan Menteri BUMN RI No. PER-5/MBU/09/2022 tentang Penerapan Manajemen Risiko pada Badan Usaha Milik Negara mengenalkan istilah “pengurusan” untuk digunakan dalam penerapan manajemen risiko. Dalam PER-5 ini, terkait penerapan manajemen risiko, Direksi diharuskan melakukan pengurusan aktif, sementara Dewan Komisaris atau Dewan Pengawas diharuskan melakukan pengawasan aktif. Kewajiban yang diletakkan peraturan ini akan mengubah pemeranan dan akuntabilitas pemangku kepentingan dalam pencapaian sasaran perusahaan milik negara. Bagaimana kesiapan organ BUMN untuk melaksanakan tatakelola manajemen risiko baru ini?

Pertanyaan tentang kesiapan menerapkan tatakelola (baru) manajemen risiko ini, mungkin menjadi pertanyaan bagi setiap organisasi, tidak hanya BUMN. Dengan mengingat besaran dan ruang lingkup BUMN, praktik tatakelola baru ini sangat mungkin akan menjadi kecenderungan/ trend dalam penerapan manajemen risiko. Oleh karena itu akan sangat membantu, jika pemeranan dan akuntabilitas para pemangku kepentingan terkait penerapan manajemen risiko ini mulai didiskusikan secara luas, tidak terbatas pada pemangku kepentingan BUMN.

Terminologi pengurusan dan pengurus yang dimaksud PER-5, sangat mungkin dapat disetarakan dengan governance dan governing body. Sebutan ini dapat dikontraskan dengan pengelolaan atau management. Kepengurusan perusahaan adalah corporate governance, dan pengelolaan kegiatan perusahaan adalah corporate management. Dengan mengkontraskan keduanya, secara selintas sudah terlihat perbedaannya. Untuk masuk dalam konteks peran dan akuntabilitas pemangku kepentingan perusahaan, tentu harus dilihat praktik yang sudah melembaga.

Pengenalan atau pemahaman masyarakat akan perusahaan, dapat disetarakan dengan umur peradaban saat orang mengenal organisasi, dimana beberapa orang berkumpul untuk mengejar tujuan yang sama. Oleh karena itu, prinsip-prinsip mengelola kebersamaan ini sebagin besar telah terkodifikasi dalam dokumen tertulis yang mengikat (autoritative) misalnya undang-undang dan peraturan pelaksanaannya. Terdapat berbagai bentuk perusahaan di Indonesia. Agar dapat fokus pada permasalahan, bahasan ini akan dibatasi pada bentuk perseroan terbatas (PT). Kelembagaan ini adalah yang paling luas dipergunakan sebagai wadah kebersamaan. Bentuk usaha lain, akan dapat dengan mudah dibuatkan analogi, jika tatakelola manajemen risiko dalam PT ini dapat dipolakan.

Perseroan terbatas (“PT”) adalah organisasi kepentingan. Melihat sebuah PT, yang pertama kali terlihat adalah komposisi dan/ atau proporsi saham yang mencerminkan kepentingan, dan bukan siapa yang ada didalamnya. Pada titik ini, sudah dapat dilihat, bahwa PT adalah wadah bersama para pemegang saham, untuk mendapatkan nilai tambah, berupa pertumbuhan kekayaan/ kesejahteraan. Pemegang saham adalah mereka yang menyerahkan sejumlah sumber daya untuk dikelola didalam PT, untuk mencapai tujuan bersama. Ciri menonjol dari pemegang saham adalah bahwa kepadanya tidak diperjanjikan jumlah dan saat pengembalian sumber daya yang diserahkannya, sehingga risikonya tidak terbatas.

Pada perkembangannya, kebersamaan ini tercipta tidak hanya bagi pemegang saham. Untuk menjamin keberlangsungan dan percepatan pertumbuhannya, PT mengakomodasi kehadiran dan kepentingan kreditur dan setara kreditur. Mereka ini yang menyerahkan sumber daya kepada perusahaan, yang jumlah dan saat pengembaliannya ditetapkan dimuka. Diantara mereka adalah pemegang surat utang pada berbagai tenor, pemasok barang dan jasa, pegawai dan pihak lain dengan ciri penyerahan dan pengembalian demikian. Kreditur memiliki risiko yang lebih terbatas. Perimbangan kepentingan antara pemegang saham dengan kreditur dan setara kreditur ini, telah tercapai melalui berbagai metode untuk mengurangi masalah keagenan (agency problem), yang telah lama menjadi pembahasan dalam perumusan prinsip-prinsip Tatakelola Perusahaan yang Baik (Good Corporate Governance/ GCG).

Seiring dengan pengembangan GCG, konsep kebersamaan dalam perusahaan semakin lama semakin meluas, hingga menyentuh pada mereka yang terdampak oleh operasi perusahaan. Dalam konsep ini, nilai tambah yang dihasilkan oleh perusahaan sebagian bersumber pada pengorbanan pihak terdampak. Pihak terdampak ini merelakan beberapa kenyamanan dan menurunnya kualitas kehidupan (quasi cost) oleh adanya operasi perusahaan. Prinsip tatakelola perusahaan yang baik, memandatkan bahwa quasi cost ini juga layak untuk mendapatkan atribusi atas apa yang diperoleh perusahaan. Lebih jauh lagi, kebersamaan dalam perusahaan ini, bahkan diperluas hingga pada mereka yang akan memberi dampak dan terdampak pada operasi perusahaan dimasa mendatang.

Gambaran di atas menunjukkan luas dan semakin meluasnya pemangku kepentingan perusahaan yang harus dikelola. Secara sendiri-sendiri atau bersama-sama, para pemangu kepentingan perusahaan ini membentuk rantai pasok (supply chain) yang mendukung operasi perusahaan. Dukungan pemangku kepentingan yang optimal, akan meyakinkan diperolehnya hak untuk tumbuh dan berkembangnya sebuah perusahaan.

Tatakelola manajemen risiko menghendaki setiap keputusan dan upaya untuk mencapai sasaran atau tujuan harus mempertimbangkan risiko. Konsep terdasar dari manajemen risiko adalah penetapan jumlah risiko yang dapat diterima untuk setiap jenis risiko dalam rangka mencapai sasaran. Mengingat banyak dan beragamnya pemangku kepentingan yang harus diakomodasi, penetapan jenis dan jumlah risiko (risk appetite) ini jelas tidak mudah.

Sangat mungkin bahwa penetapan selera risiko ini adalah penugasan kepengurusan yang dibebankan kepada direksi. Menjadi pekerjaan para praktisi adalah untuk memberi batasan, aktivitas apa yang terdapat dalam kepengurusan. Tanpa pembatasan yang jelas, kepengurusan sebagai terminologi baru akan tercampur dengan pengelolaan. Pembatasan ini juga untuk meletakkan aspek manajemen risiko sedemikian agar corporate governance tetap dapat dibedakan dari corporate management.

Tatakelola (Baru) bagi Percepatan Perolehan Manfaat Manajemen Risiko

Sebagai metodologi untuk membantu pencapaian, manajemen risiko dikembangkan oleh banyak pihak, dengan berbagai pandangan. Tidak mengherankan jika praktik di lapangan dijumpai amat bervariasi. Sering dianggap sebagai bukan pengendalian (internal), manajemen risiko diposisikan hanya terkait aspek strategis perusahaan, sehingga tidak menyentuh kebutuhan seluruh jabatan dan staf. Ironinya, justru puncak strategis (strategic apex) perusahaan, justru tidak banyak terlibat.

Keterasingan puncak strategis ini dapat dilacak pada beberapa dokumen otoritatif yang mengatur penerapan manajemen risiko. Seharusnya penerapan pengendalian adalah mandiri (suka rela) karena kebutuhan untuk meyakinkan pencapaian, sehingga disebut pengendalian internal. Sifat “sistemik” bisnis, terutama perusahaan dengan jumlah pemangku kepentingan yang sangat banyak, menyebabkan pengendalian, juga manejemen risiko menjadi keharusan.

Industri yang pertama-tama mengatur penerapan manajemen risiko mungkin adalah perbankan. Hal ini dilakukan dengan Peraturan Bank Indonesia No. 11/25/PBI/2009 tentang Perubahan atas Peraturan Bank Indonesia No. 5/8/PBI/2003 tentang Penerapan Manajemen Risiko bagi Bank Umum. Industri dengan derajad “sistemik” berikutnya yang memerlukan manajemen risiko adalah Lembaga keuangan nonbank. Penerapan manajemen risiko diatur dengan POJK RI No. 44/POJK.05/2020 tentang Penerapan Manajemen Risiko bagi Lembaga Jasa Keuangan Nonbank.

Kedua dokumen otoritataif ini “hanya” mengharuskan Direksi dan Dewan Komisaris sebagai puncak stratejik untuk melakukan pengawasan aktif. Dengan demikian dapat ditafsirkan bahwa ada pihak lain yang melaksakan maanjemen risiko dan diawasi. Jika yang melaksanakan manajemen risiko tersebut tidak ada unsur direksi dan dewan komisarisnya, maka boleh dikatakan manajemen risiko tidak terkait dengan hal yang strategis. Sistem tatakelola perusahaan di Indonesia menganut sistem kepengurusan two tier. Dalam sistem two tier ini, kepengurusan perusahaan dilakukan bersama-sama oleh dewan komisaris dan direksi.

Terbitnya Peraturan Menteri BUMN RI No. PER-5/MBU/09/2022 tentang Penerapan Manajemen Risiko pada Badan Usaha Milik Negara adalah perubahan mendasar dalam tatakelola manajemen risiko. PER-5 BUMN ini meletakkan sistem tatakelola baru manajemen risiko dengan mengharuskan Direksi untuk melakukan pengurusan aktif dan Dewan Komisaris untuk melakukan pengawasan aktif.

Dengan terbitnya PER-5 BUMN, salah satu kesenjangan tatakelola perusahaan dengan tatakelola manajemen risiko diperbaiki. Menjadi sangat berarti juga karena peraturan yang bersifat otoritatif ini ditujukan kepada badan usaha milik negara. Diletakkannya BUMN sebagai trend-setter dalam penerapaan manajemen risiko, diharapkan dapat menjadi sumber best practices manajemen risiko, yang tujuan utamanya adalah menciptakan atau menjaga nilai (create or preserve value). Ukuran BUMN yang rata-rata relatif besar, menjadikan nilai tambah yang tercipta dari manajemen risiko akan dapat teramati dengan jelas.

Ruang lingkup bisnis BUMN yang juga sangat luas, akan menghasilkan teknik-tenik manajemen risiko yang specific untuk bidang-bidang yang berbeda-beda. Dengan demikian akan dapat segera tersedia model manajemen risiko yang dapat diadaptasi oleh perusahaan-perusahaan non BUMN.

Kepeloporan BUMN seperti penerbitan PER-5 BUMN akan menjadi sumber percepatan penerapan manajemen risiko. Terhitung sudah hampir seperempat abad penerapan manajemen risiko, sementara belum banyak perusahaan yang dapat dengan tegas menyatakan risikonya terkelola (managed). Kelahiran manajemen risiko ditandai dengan terbitnya standar manajemen risiko AS/NZS 4360:1999 – Risk Management.

Risiko: Aset atau Liabilitas?

Kalimat: “Setiap insan perusahaan/ organisasi adalah manajer risiko” menjadi slogan standar dalam setiap sosialisasi Manajemen Risiko. Akan tetapi implementasinya tidak semudah pengucapan slogannya. Jika dilakukan survey, dapat dipastikan bahwa status sebagai pemilik risiko (risk owner) masih diberikan hanya pada jabatan yang terletak pada hirarki yang tinggi pada struktur organisasi perusahaan. Di banyak perusahaan, status pemilik risiko hanya diberikan kepada kepala divisi (satu tingkat dibawah direksi) atau kepala cabang.

Penempatan status kepemilikan risiko yang terletak pada struktur yang tinggi, juga terjadi pada sector public. Di kementerian, pemilik risiko adalah kepala direktorat atau mereka yang menduduki jabatan eselon dua. Jika terdapat unit kerja di daerah, maka kepala kantor perwakilan atau kepala kantor wilayahlah yang menyandang status sebagai pemilik risiko.

Masih banyaknya orang yang memandang risiko sebagai hal yang negative, praktik pemberian status kepemilikan risiko dalam jenjang tinggi ini menguntungkan para staf. Tidak menyandang status pemilik risiko, bahkan menjadi harapan setiap orang, termasuk pemangku jabatan yang sekarang menyandang status sebagai pemilik risiko. Lebih banyak orang memandang bahwa risiko adalah kewajiban/ liabilitas atau bahkan bencana.

Salah satu standar manajemen risiko utama menyatakan bahwa: “Risiko adalah dampak ketidak pastian pada sasaran/ Efect of uncertainty on objective”. Siapapun yang memiliki sasaran sangat mungkin akan terdampak. Harus dikatakan sangat mungkin, karena kedalaman (intencity) serta luasan (extensivity) semakin hari semakin besar. Hampir tidak ada aspek dalam kehidupan manusia yang tidak bersentuhan dengan risiko, yang pada hakekatnya adalah ketidak-pastian.

Manajemen risiko adalah soal mengelola dampak ketidak pastian pada sasaran. Manajemen risiko merumuskan pemulihan ketidak tercapaian sasaran yang terdampak risiko. Bertitik tolak bahwa risiko adalah ketidak-pastian, para pemilik kegiatan yang tidak berhasil mencapai sasaran akibat ketidak pastian, tidak layak untuk terhukum. Sepanjang dapat dibuktikan bahwa ketidak tercapaian sasarannya adalah karena risiko, bagi merak tersedia kesempatan pemulihan melalui mekanisme yang disebut (aktivasi rencana) mitigasi.

Mitigasi risiko dibedakan dari kegagalan (existing) control. Sebagaimana ketidak tercapaian akibat terdampak risiko harus dipulihkan, komitmen pemilik risiko kepada “pelanggan”nya pun mengharuskan adalanya pemulihan terhadap ketidak tercapaian sasaran, Yang perlu ditekankan adalah bahwa para pemilik kegiatan dengan pengendalian yang gagal (control failure) ini, sebetulnya justru layak dihukum.

Agar tidak menimbulkan penyalahgunaan anggaran pemulihan oleh para pemilik kegitan yang tidak dapat mencapai target kinerjanya, harus terdapat mekanisme penganggaran berbasis risiko (risk based budgeting/ RBB). RBB membedakan perlakuan pemulihan sasaran yang tidak tercapai, antara yang dikarenakan kelalaian dan yang dikarenakan ketidak-pastian (risiko).

Menggunakan anggaran rencana mitigasi, memulihkan pencapaian sasaran pemilik kegiatan yang terdampak risiko. Oleh karena itu menjadi pemilik kegiatan sekaligus pemilik risiko, adalah hak. Hak ini memungkinkan setiap pemilik kegiatan yang terdampak oleh risiko untuk selalu dapat mencapai target kinerjanya. Target mungkin tercapai pada kesempatan pertama oleh existing control yang kuat. Target mungkin dicapai pada kesempatan berikutnya, setelah ditambhakan satu atau serangkaian rencana mitigasi pada existing control. Dengan demikian menjadi jelas bahwa kepemilikan risiko adalah peluang untuk selalu mencapai target kinerja. Status sebagai pemilik risiko memiliki nilai sehingga layak disebut sebagai asset.

Integrasi Audit dalam Manajemen Risiko

Manajemen Risiko dikembangkan sebagai sistem manajemen untuk menyempurnakan mekanisme Internal Control, yang tidak mampu mengakomodasi ketidak pastian dalam bisnis yang semakin menguat. Tetap berintikan pengendalian (control), Manajemen Risiko menyediakan fleksibilitas pengendalian, sehingga lebih mampu membawa perusahaan efektif mencapai tujuan, sasaran dan target-targetnya dalam koridor biaya yang lebih efisien. Dengan menyarankan untuk merancang pengendalian jaga (existing control) dan rencana mitigasi (mitigation plan), perusahaan akan selalu memiliki sumber daya yang cukup, namun tidak berlebihan untuk mencapai setiap sasaran.

Sebagai unit kerja dengan fungsi lini ketiga unit kerja audit internal selayaknya menggunakan prinsip-prinsip Manajemen Risiko sebagai kriteria dalam melaksanakan review dan evaluasi kinerja perusahaan. Dengan demikian kesenjangan antara metode pelaksanaan kegiatan yang berbasis manajemen risiko dan kriteria auditnya yang berbasis internal control/ (internal) control based audit dapat dihilangkan.

Asesmen risiko, bukanlah metodologi baru bagi sebagian besar unit kerja audit internal perusahaan. Setidaknya, internal auditor telah menyusun perencanaan audit dengan menggunakan basis risiko. Pada maturitas penerapan manajemen risiko yang rendah, auditor melakukan asesmen berdasarkan faktor risiko. Sementara itu, dalam penerapan majemen risiko bermaturitas tinggi, register risiko dogunakan sebagai basis penyusunan rencana kerja audit. Melalui metode ini, internal auditor mengases kinerja dan pentingnya auditee bagi keseluruhan kinerja perusahaan.

Audit berbasis risiko akan paripurna ketika pendekatan audit memiliki keterhubungan penuh dengan kerangka kerja manajemen risiko perusahaan. Pada tahapan ini audit berbasis risiko diarahkan pada penilaian atas respon perusahaan terhadap risiko, jika risiko tersebut terjadi. Implementasi Audit Berbasis Risiko berintikan penyelarasan pandangan unit kerja internal audit dengan metode pengelolaan kegiatan untuk mencapai sasaran dalam lingkungan ketidak pastian (manajemen risiko) yang selama ini digunakan oleh staf operasional.

Keselarasan pandangan ini akan memudahkan tercapainya kesepakatan tentang ruang lingkup dan kriteria, bagaimana Perusahaan dan kegiatannya dievaluasi. Audit berbasis risiko akan menciptakan pandangan tunggal tentang strategi mencapai tujuan perusahaan dengan memperhitungkan ketidak-pastian diantara auditor dan auditee. Dan yang paling penting penerapan audit berbasis risiko adalah upaya untuk meyakinkan bahwa perusahaan akan dapat mencapai tujuan dalam lingkungan ketidak-pastian/ berisiko.

Pemulihan Sasaran dalam Penganggaran Berbasis Risiko

Dipahami sebagai “Dampak Ketidakpastian pada Sasaran/Effect of Uncertainty on Objectives”, terjadinya risiko (insiden) akan merusak nilai kegiatan. Oleh karena itu, kegiatan telah menjadi unit atau satuan pembatas yang digunakan dalam pembahasan manajemen risiko. Mengelola kegiatan untuk mencapai sasaran, harus diartikan juga sebagai mengelola risiko. Risiko yang terkelola akan meyakinkan dapat dicapainya sasaran kegiatan pemilik risiko. Sebaliknya risiko yang tidak terkelola akan menyebabkan tidak tercapainya sasaran pemilik kegiatan yang sekaligus pemilik risiko.

Dalam lingkungan bisnis saat ini, risiko akan menjadi obyek bahasan semua mereka yang berkegiatan dan dibebani sasaran/tujuan. Mereka yang dibebani pencapaian sasaran dengan suatu target, akan menyusun rencana kegiatan beserta kebutuhan sumber dayanya. Agregasi rencana kegiatan beserta kebutuhan sumber dayanya, membentuk Rencana Kerja dan Anggaran Perusahaan (RKAP). Dengan demikian, pencapaian tujuan (kinerja) perusahaan, merupakan agregasi dari keberhasilan pencapaian kegiatan-kegiatan yang menyusunnya. Jika seluruh pemilik kegiatan menyusun rencana kerja dan anggarannya dengan memperhatikan ketidak pastian, maka akan dihasilkan Anggaran Berbasis Risiko (Risk Based Budget) dan oleh karena itu RKAP Perusahaan akan berbasis risiko.

Ciri yang menonjol dari risiko adalah ketidak-pastian. Ciri ini membawa implikasi penting dalam perencanaan dan pelaksanaan kegiatan. Akibat ketidak pastian, tidak mudah bagi pemilik kegiatan untuk menetapkan kebuituhan sumber daya dan pengendalian kegiatannya pada setiap saat. Demikian pula, akibat ketidak pastian pencapaian sasaran kegiatan juga tidak dapat mudah untuk dipastikan. Akan tetapi semua orang tahu, bahwa manajemen risiko dikonsepkan agar setiap pemilik kegiatan dapat mengelola kegiatannya, dan mencapai sasaran yang ditetapkan, meskipun dalam lingkungan ketidak pastian. Manajemen risiko memberi kesempatan kepada pemilik kegiatan untuk memulihkan sasaran yang tidak tercapai akibat terdampak risiko. Mekanisme pemulihan ini hanya dapat dilakukan dengan mudah anggaran kegiatan disusun dengan berbasis risiko, sehingga akan tersedia anggaran pemulihan atas kegagalan pencapaian akibat dampak risiko.

Kompleksitas yang terjadi pada manajemen risiko dan anggaran berbasis risiko, adalah meyakinkan bahwa ketidak tercapaian sasaran pemilik kegiatan adalah karena terdampak risiko. Disamping oleh risiko, simpangan pencapaian sasaran dapat terjadi oleh masalah (problem) dan kegagalan pengendalian (control failure). Untuk akuntabilitas kinerja, simpangan yang disebabkan oleh bukan risiko, harus dipisahkan dan diperlakukan dengan metode yang berbeda.

Kapasitas dan Maturitas dalam Kapabilitas Manajemen Risiko

Maturitas diterjemahkan sebagai kematangan yaitu tahapan dalam suatu kontinum pengembangan. Dalam bahasan manajemen risiko, maturitas adalah salah satu penyusun kapabilitas disamping kapasitas. Sementara itu kapabilitas adalah salah satu dari variabel yang manajemen risiko disamping budaya dan praktik-praktik. Untuk sekedar mengingatkan bahwa: “Manajemen Risiko adalah budaya, kapabilitas, dan praktik-praktik yang terintegrasi dengan strategi dan pelaksanaan, yang digunakan organisasi untuk mengelola risiko dalam menciptakan, memelihara dan merealisasikan nilai”.

Dari definisi tersebut tampak peta yang menunjukkan pentingnya maturitas sebagai komplemen dari kapasitas. Persenjataan, baik yang klasik seperti pedang dan keris, atau yang modern seperti sejata api atau meriam, dibuat dengan kapasitas “membunuh” yang kira-kira setara. Ketrampilan penggunanya menambahkan unsur yang membuat tampilnya seorang pemenang sebuah pertempuran atau pertandingan.

Dalam suatu pertandingan, panitia pertandingan tentu akan menyediakan pedang yang identik untuk masing-masing pemain. Yang kemudian membuat seseorang memenangkan pertarungan pedang tersebut, adalah maturitas pemainnya, yang ukurannya biasanya karena lebih terlatih. “Kesaktian” keris atau pedang “Excalibur” menjadi legenda, karena keris atau pedang tersebut, selalu berada di tangan mereka yang “mature”, yang trampil menggunakannya untuk memenangkan pertempuran.

Manajemen risiko memberi kesempatan setiap orang atau entitas untuk menjadi pemenang dengan cara yang tetap efisien. Konsep selera risiko yang diajarkan manajemen risiko menyediakan pilihan strategi yang hampir tak terbatas untuk memenangkan “peperangan”. Yang diperlukan adalah menetapkan selera risiko, yang selaras dengan kapabilitasnya. Akan selalu tersedia segmen pasar untuk setiap capaian kombinasi kapasitas dan maturitas.

Kapasitas terkait dengan kemampuan menyediakan sumber daya. Tidak semua organisasi memiliki kesempatan demikian yang cukup luas. Baik organisasi bisnis ataupun publik, memiliki keterbatasan dalam penyediaan anggaran. Dengan demikian ruang bergerak yang tersedia adalah menyakinkan tingkat maturitas yang dapat menarik kapasitas agar diperoleh kapabilitas yang tinggi. Memiliki kapabilitas yang tinggi diperlukan semua organisasi, agar dapat mengambil kegiatan dengan risiko yang tinggi. Pasar atau lingkungan organisasi memberikan insentif demikian, melalui terdapatnya keadilan yang digambarkan sebagai “High Risk High Return”.

Pengembangan kapabilitas manajemen risiko kadang-kadang tidak dapat dilakukan dengan bebas. Terdapat kaidah yang mengharuskan organisasi untuk lebih focus pada salah satu diantara kapasitas dan maturitas. Mereka yang bergerak didalam industri keuangan, semisal bank dan asuransi, “dipaksa” untuk menerima risiko yang sangat rendah. Strategi ini dipilih untuk mendapatkan operasi yang selaras dengan prinsip “prudential”. Manuver melalui serangkaian rencana mitigasi yang semakin bervariasi dan kompleks, yang dapat disediakan melalui tingginya maturitas, oleh karenanya amat sulit untuk didaya gunakan. Besaran kapasitas yang diukur dengan Capital Adequacy Ratio (CAR), Risk Based Capital (RBC) atau Modal Kerja Bersih Disesuaikan (MKBD) menjadi aspek utama dalam kapabilitas untuk mengelola risiko.

Tanpa analisa yang mendalam, penetapan CAR, RBC dan MKBD oleh Otoritas Jasa Keuangan (OJK) tampak menyalahi tata kelola manajemen risiko (risk management governance). Penetapan besaran permodalan ini seolah menghapuskan hak manajemen lembaga keuangan untuk menetapkan selera risiko yang menjadi ranah mereka yang terdasar, agar dapat menciptakan atau memelihara nilai. Kesan ini mestinya tidak akan ada, jika mengingat sistemiknya industri keuangan. Kegagalan sebuah bank, asuransi atau perusahaan manajemen investasi biasanya akan berdampak pada banyak sekali orang (nasabah) dan jumlah uang yang sangat besar. Tidak ada pilihan bagi industri ini untuk menerima selera risiko yang sangat rendah.

Mendapatkan kebebasan menetapkan selera risiko, adalah harapan semua pemilik risiko, yang adalah pemilik kegiatan yang dinilai berdasarkan capaian indikator kinerja utama (KPI)nya. Hal baiknya adalah bahwa selera risiko bukan variable tunggal yang ditetapkan untuk semua kegiatan organisasi. Manajemen organisasi diijinkan untuk memiliki portofolio kegiatan dengan selera risiko yang berbeda-beda. Dengan demikian organisasi tetap memiliki keunikan yang menjadi bagian dari strateginya untuk memenangkan persaingan.

Perusahaan penerbangan, adalah contoh tergamblang, dimana perbedaan selera risiko diterapkan per segmen. Untuk keselamatan penerbangan umumnya ditetapkan selera risiko nol. Tidak boleh ada kesalahan (no room for error) untuk aktivitas yang terkait dengan keselamatan penumpang. Akan tetapi kegiatan yang tekait aksesoris, kebanyakan airline justru menetapkan selera risiko yang sangat tinggi.

Dengan sistem reservasi yang berlaku umum, manajemen airline tidak ragu untuk menjual tiket sebuah penerbangan hingga 200% dari tempat duduk. Mereka juga tidak ragu untuk meninggalkan sebagian bagasi penumpang jika batasan bobot untuk terbang telah terlampaui. Model kompensasi bagi mereka yang akhirnya gagal terbang atau bagasinya tertunda, merupakan mitigasi yang cerdas, yang tidak membuat airline ditinggalkan pelanggannya.

Pembayaran nilai kompensasi yang fantastis, sehingga penumpang serasa mendapatkan undian (lottery) tidak membuat airline merugi. Risiko membayar kompensasi yang hanya sekali-sekali terjadi ini, dan hanya satu atau sedikit penumpang, nilainya tidak seberapa dibandingkan dengan jika terdapat kursi kosong dalam beberapa penerbangan. Pengambilan (selera) risiko yang lebih tinggi selalu memberikan pemanfaatan asset/ sumber daya (utilisasi/deployment) yang lebih tinggi yang memberikan pendapatan ekstra bagi yang melakukannya.