Rabu, 04 April 2012

Budaya Manajemen Risiko Dan Pengawasan Pengelolaan Risiko


Tuntutan masyarakat yang semakin besar terhadap transparansi, mendorong setiap orang dalam perusahaan untuk selalu peduli dan waspada terhadap risiko dalam aktivitas yang dijalankan oleh perusahaan. Budaya peduli terhadap risiko pada sektor publik merupakan sesuatu yang penting, dan hal yang sulit dihindari oleh pejabat dilingkungan perusahaan, karena apabila manajemen salah dalam menetapkan langkah dan keliru dalam mengambil keputusan akan berdampak fatal bagi perusahaan yang dipimpinnya. Oleh karena itu, risk management culture mendorong para pembuat kebijakan untuk menerapkan manajemen risiko yang proaktif. Risiko selalu menjadi fokus yang penting, dievaluasi secara periodik, serta diukur dampaknya terhadap tujuan entitas. Mulai dari karyawan pelaksana, karyawan pimpinan hingga top manajemen, serta  pemangku kepentingan, hingga regulator harus memahami bahwa risiko adalah suatu faktor penting yang perlu dipertimbangkan dalam tiap tindakan dan pengambilan keputusan.
Manajemen risiko yang efektif adalah salah satu elemen penting dari tata kelola perusahaan yang baik (Good Governance). Manajemen harus secara proaktif memastikan dapat dicapainya kesinambungan, pelayanan dan pengembangan tujuan perusahaan yang sejalan dengan visi dan misi dalam perspektif memenuhi ekspektasi para stakeholder-nya. Untuk mewujudkan hal tersebut, manajemen perlu secara terus menerus mengenali risiko-risiko tata kelola yang dapat mempengaruhi kemampuan dalam mencapai tujuan yang sudah ditetapkan.
Secara umum, risiko didefinisikan sebagai segala kejadian dalam setiap aktivitas pemerintah yang timbul akibat faktor eksternal maupun internal, yang mengandung potensi menghambat/ menghalangi pencapaian tujuan yang telah ditetapkan.
Manajemen risiko dirancang untuk dapat mengidentifikasi, menganalisa dan mengendalikan risiko yang mungkin terjadi pada setiap proses aktivitas yang dijalankan. Apabila bagian/unit telah memiliki dan menjalankan manajemen risiko yang efektif maka risiko yang dihadapi oleh perusahaan telah diidentifikasi dan dikelola sedemikian rupa sampai dengan tingkatan tertentu yang dapat diterima.



Manajemen Risiko merupakan suatu proses yang sistematik dan berkelanjutan yang dirancang dan dijalankan manajemen di seluruh level dan seluruh personil perusahaan, guna memberikan keyakinan yang memadai bahwa semua risiko yang berpotensi menghambat pencapaian tujuan telah diidentifikasi dan dikelola sedemikian rupa sehingga risiko dimaksud berada dalam batas-batas yang dapat diterima.
Tujuan pokok manajemen risiko antara lain sebagai berikut:
- Memastikan risiko-risiko yang ada di pemerintah telah diidentifikasi/ dikenali dan
  dinilai tingkat signifikansinya, serta telah dibuatkan rencana tindakan untuk
  meminimalisasi dampak dan kemungkinan terjadinya risiko tersebut.
- Memastikan bahwa jika rencana tindakan dilaksanakan secara efektif, maka tindakan
  dimaksud dapat meminimalisasi dampak dan kemungkinan terjadinya risiko.
- Memberikan rekomendasi kepada manajemen mengenai risiko-risiko yang mungkin
  terjadi serta usulan penanganannya.
Hampir di semua area/ unit memiliki risiko dengan bentuk yang berbeda-beda. Oleh karena itu manajemen risiko yang efektif harus menjadi bagian integral dari praktik manajemen  

Proses Manajemen Risiko terdiri dari beberapa tahapan:
1. Identifikasi Risiko (Risk Identification);
2. Penilaian Risiko (Risk Assessment);
3. Penentuan Risk Response;
4. Pemantauan dan Pelaporan Risiko
Tahapan identifikasi risiko merupakan tahapan mengenali terhadap seluruh aktivitas  yang sedang maupun yang baru akan berjalan. Identifikasi risiko dilaksanakan dengan tujuan untuk mengenali faktor-faktor risiko yang dapat menghambat pencapaian tujuan, menyebabkan kerugian atau bahkan merusak reputasi perusahaan. Identifikasi risiko secara menyeluruh yang ada di dalam pemerintah akan menghasilkan suatu daftar risiko (risk register). Seluruh risiko yang telah teridentifikasi kemudian dikelompokkan ke dalam kategori-kategori tertentu seperti risiko strategis, risiko gangguan operasional, risiko finansial, risiko reputasi, risiko kepegawaian dan lain-lain. Aktivitas identifikasi risiko merupakan tanggung jawab masing-masing risk owner untuk proses dan unit terkait.
Tahapan Penilaian Risiko, merupakan aktivitas yang dilaksanakan untuk menilai besarnya pengaruh dari risiko-risiko yang telah diidentifikasi terhadap pencapaian tujuan dan sasaran yang telah ditetapkan. Pengukuran risiko akan dilihat dari 2 (dua) perspektif yaitu kemungkinan keterjadian (likelihood) dan besarnya pengaruh risiko kepada perusahaan (impact). Risiko dinilai dengan mengacu kepada tabel kriteria yang terkait dengan keterjadian maupun impact. Kriteria sebagai acuan penilaian dimaksud akan terus berkembang dan berubah untuk disesuaikan dengan perkembangan aktivitas dan perubahan risk appetite manajemen. Hasil penilaian seluruh risiko tersebut kemudian dipetakan/ diplot ke dalam suatu kwadran Peta Risiko (Risk Map). Peta Risiko (Risk Map) merupakan penggambaran secara visual tingkat masing-masing individual risiko yang telah teridentifikasi dengan diberi warna-warna menurut tinggi-rendahnya. Risiko-risiko yang sangat tinggi (Very High) diindikasikan dengan warna merah dan masuk dalam kategori risiko yang memerlukan perhatian Manajemen. Risiko-risiko ini memerlukan perhatian segera dari Manajemen karena membutuhkan mitigasi/rencana aksi yang segera untuk dapat mengurangi besarnya pengaruh dampak dan/atau kemungkinan keterjadian risiko tersebut. Risiko-risiko tinggi (High) dan menengah (Medium) secara berturut-turut diindikasikan dengan warna oranye dan kuning. Risiko- risiko yang masuk dalam kwadran tinggi dan medium (oranye dan kuning), bersama-sama dengan risiko- risiko dengan katagori sngat tinggi merupakan risiko perusahaan yang harus 2 menjadi pertimbangan Internal Audit dalam menentukan focus dan Rencana Kerja Internal Audit. Risiko-risiko rendah (Low) dan sangat rendah (Very Low)
Diindikasikan dengan warna biru dan hijau. Risiko-risiko ini harus dikelola melalui tindakan pemantauan (monitoring) untuk meyakinkan dampak dan kemungkinan tetap berada di kwadran rendah dan sangat rendah, atau dapat dikurangi ke tingkat minimum secara ideal. Tahapan Penentuan Risk Response, rencana tindakan/aktivitas yang akan dilakukan oleh manajemen dengan tujuan untuk mengurangi, membagi, menghindar dan/atau menerima risiko-risiko tersebut. Setelah risiko diidentifikasi dan diukur, maka Manajemen menentukan risk response untuk risiko-risiko tersebut. Setiap risk response yang ditetapkan harus mampu membuat tingkat pengaruh (impact) dan tingkat keterjadian (likelihood) dari risiko-risiko yang teridentifikasi masuk dalam rentang tingkat risiko yang dapat diterima  (Risk Tolerance).


4. Tahapan Pemantauan dan Pelaporan Risiko Pemantauan dan Pelaporan Risiko adalah aktivitas untuk mendapatkan informasi up to date dan akurat mengenai risiko guna memungkinkan pengambilan keputusan yang lebih baik. Manfaat dari melakukan pemantauan dan pelaporan risiko adalah untuk mendapatkan pemahaman dari sifat dan cakupan risiko-risiko eksisting, untuk mencegah risiko muncul dan untuk menganalisa kerugian historis. Pemantauan dan pelaporan risiko memiliki tujuan utama memotivasi pemilik risiko (risk owner) untuk mengambil tanggung jawab manajemen risiko dengan menjadikannya sebagai bagian penting dari aktivitas bisnis normal yang menjadi tanggung jawab mereka. Seluruh informasi yang relevan dengan proses manajemen risiko perusahaan dikumpulkan dan dikomunikasikan dalam format dan waktu yang tepat melalui mekanisme pelaporan risiko yang efektif kepada Risk Owner terkait.
Dalam membangun budaya peduli risiko, terdapat beberapa hambatan dalam menerapkan risk management culture, diantaranya:
• Risiko pada sektor public seringkali masih dipandang sebagai sesuatu yang negatif,
   jadi jika ditampilkan dikhawatirkan akan memberi kesan buruk. Padahal, jika risiko
   tersebut benar terjadi, maka dampaknya bisa jadi lebih buruk.
• Risiko dipandang sebagai sumber pemborosan biaya. Meskipun pada umumnya
  pimpinan instansi menyadari bahwa biaya/kerugian yang timbul akibat .kegagalan dalam
   mengatasi/memitigasi risiko yang harus ditanggung mungkin lebih besar.
• Daya tarik terhadap potensi untuk melakukan penyimpangan yang menjurus kepada
   perbuatan fraud dianggap lebih memberikan keuntungan yang besar, sehingga mereka
   cenderung mengabaikan peringatan terhadap dampak risiko. Contohnya adalah risiko
   penunjukkan langsung dalam pemilihan penyedia barang dan jasa mempunyai risiko
   terjadinya kecurangan yang tinggi, namun justru cara penunjukkan langsung banyak
   dipilih oleh pembuat keputusan.
• Tata Kelola Perusahaan yang lemah, karena control dari unit pengawasan baik internal
   maupun eksternal masih sangat lemah dan mudah dikompromikan.
Risiko dapat timbul dimana saja di dalam organisasi – dalam proses, aktivitas, direktorat/unit bisnis dan lokasi geografis yang berbeda. Manajemen pada tingkat direktorat/unit bisnis menghadapi risiko dalam aktivitas mereka sendiri dan untuk itu harus mengetahui risiko-risiko yang mempengaruhi tujuan dan sasaran unit bisnis yang menjadi tanggung jawab mereka. Terdapat pengertian yang salah di hampir setiap organisasi bahwa manajemen risiko adalah tanggung jawab pimpinan tertinggi semata.
Konsep 3, dalam COSO framework memandang bahwa untuk setiap unit/ setiap level harus dapat mengenali risiko yang bisa menghambat pencapaian tujuan unit. Proses mengenali dan menilai risiko pada masing-masing unit dilakukan dengan pendekatan risk self assessment. Filosofi yang melatar belakangi konsep risk self-assessment, bahwa setiap individu memiliki peran dan tanggung jawab dalam manajemen risiko dan masing-masing risk owner (pemilik risiko) seyogyanya mengidentifikasi dan menilai kecukupan manajemen risiko di masing-masing area yang menjadi tanggung jawabnya.
Walaupun Manajemen bertanggung jawab penuh atas efektivitas proses Manajemen Risiko dan pengendalian intern, dalam hal ini Internal Audit sebagaimana ditetapkan di dalam standard profesinya dapat memberikan nilai tambah dengan menjalankan fungsi “konsultan“ bagi Manajemen, antara lain dengan memberikan masukan dan rekomendasi kepada Manajemen dalam hal identifikasi, evaluasi dan implementasi metodologi Manajemen Risiko dan sistem pengendalian yang efektif untuk menangani risiko-risiko.
Hubungan antara kegiatan manajemen risiko dan internal audit merupakan hubungan yang timbal balik dan tak terpisahkan. Sebagaimana telah dikemukakan di atas, manajemen dan risk owner (pemilik risiko) berperan dalam mengidentifikasi, mengkaji, dan mengelola risiko. Internal audit di sisi lain mempunyai peran untuk memberikan keyakinan (assurance) kepada Pimpinan, Komite Manajemen Risiko, dan unit- unit terkait atas efektivitas sistem manajemen risiko, guna meyakinkan bahwa risiko bisnis utama telah dikelola secara baik dan sistem pengendalian internal telah berjalan dengan efektif.
Standard for Professional Practice of Internal Auditing menyatakan bahwa Internal Audit, dalam kaitan penggunaan metodologi audit berbasis risiko, harus mempertimbangkan penilaian risiko di tingkat:
1. Makro Risk Assessment: Kepala Internal Auditor harus menggunakan hasil penilaian
    risiko dalam penyusunan aktivitas audit tahunan;
2. Mikro Risk Assessment: Internal Auditor harus menggunakan teknik penilaian risiko
    dalam merencanakan setiap penugasan audit;
Dalam manajemen risiko terdapat proses penilaian risiko (risk assessment) yang bertujuan untuk mengidentifikasi, mengukur dan menentukan tingkat signifikansi dari risiko. Penilaian risiko makro (Makro Risk Assessment) akan menghasilkan Daftar Risiko (Risk Register) dan Peta Risiko (Risk Map). Peta Risiko (Risk Map) merupakan acuan bagi Internal Audit dalam menyusun rencana Program Kerja Audit Tahunan (PKAT), sehingga fokus audit menjadi lebih terarah dan sumber daya yang terbatas dapat diarahkan ke area layak audit dengan bobot risiko tinggi. Proses manajemen risiko harus mendapat pengawasan yang memadai untuk memastikan efektivitas dari proses tersebut. Sesuai dengan tata kerja organ unit, fungsi pengawasan terhadap efektivitas pelaksanaan manajemen risiko merupakan tanggung jawab dari pimpinan instansi, dalam hal ini dibantu oleh Komite Manajemen Risiko. Pelaksanaan pengawasan terhadap efektivitas pelaksanaan manajemen risiko dilaksanakan oleh fungsi Internal Audit dengan melakukan evaluasi yang obyektif dan memberikan opini yang independen atas pelaksanaan manajemen risiko.
Practice Guide yang dikeluarkan oleh The Institue of Internal Auditors, bahwa peran utama internal audit dalam memberikan keyakinan yang memadai (assurance) kepada pimpinan instansi terhadap:
1. Memberikan penilaian yang obyektif dan memberikan assurance terhadap proses
    Manajemen Risiko;
2. Memberikan penilaian yang obyektif dan memberikan assurance bahwa risiko telah
    dievaluasi secara benar;
3. Mengevaluasi pelaksanaan proses manajemen risiko;
4. Mengevaluasi laporan atas risiko-risiko utama/ signifikan;
5. Mengulas pengelolaan risiko-risiko utama/ signifikan Untuk menjalankan perannya
      sebagaimana dimaksud di atas.
Dalam menjalankan tugas dan tanggung jawab terkait dengan memberikan assurance atas proses manajemen risiko di atas, maka hal-hal yang perlu diperhatikan Internal Auditor adalah sebagai berikut:
1. Sumber daya (waktu, tenaga, biaya) yang digunakan untuk menjalankan tanggung jawab
    tersebut di atas, tidak boleh menyebabkan tugas utama Internal Audit, yaitu memberikan
    penilaian yang obyektif / keyakinan (assurance) akan efektivitas proses manajemen
    risiko dan pengendalian intern menjadi terabaikan.
2. Internal Audit harus dapat menjunjung tinggi sikap dan perilaku independen dan
    obyektivitas.
3. Internal Audit harus selalu mensosialisasikan pemahaman bahwa Manajemen adalah
    pemilik dan penanggung jawab atas risiko dan pengendalian. Fungsi Internal Audit
    bertanggung jawab melakukan pemantauan untuk memastikan bahwa proses manajemen
    risiko dan pengendalian internal telah memenuhi ketentuan dan praktik yang baik.
4. Hal-hal yang tidak boleh dilakukan oleh Internal Audit adalah sebagai berikut:
·         Penentuan risk appetite atas risiko-risiko;
·         Penentuan proses manajemen risiko;
·         Pengambilan keputusan atas tindak lanjut terhadap risiko;
·         Menindaklanjuti risiko dengan mengatasnamakan Manajemen;
·         Memegang tanggungjawab terhadap manajemen risiko
Sebagaimana telah digambarkan di atas, untuk membangun budaya peduli risiko diperlukan suatu keterpaduan langkah antara pihak manajemen/pimpinan dengan unit internal auditor. Langkah-langkah yang dapat diambil, dalam rangka menciptakan budaya peduli risiko mencakup:
1. Komitmen Pimpinan untuk menciptakan satu irama yang sama (tone at the top),
    sebelum penerapan risk management culture akan diimplementasikan, maka harus ada
    komitmen bersama dari para pemimpin (eksekutif). Pemimpinlah yang menjadi
    pendorong utama utama untuk memulai budaya peduli risiko. Selanjutnya, manajer-
    manajer dan pimpinan level menengah berperan penting dalam mengkomunikasikan dan
    mempengaruhi perilaku karyawan/pegawai dalam upaya untuk mengimplementasikan
    manajemen risiko.
2. Berikan edukasi kepada seluruh stakeholder mengenai pentingnya melakukan
    manajemen risiko. Sampaikan pemahaman kepada mereka, bagaimana potensi kerugian
    jika tanpa manajemen risiko. Lakukan workshop dan training manajemen risiko untuk
    manajer di berbagai level organisasi, bahkan stakeholder lainnya seperti supplier dan
    partner. Hal ini supaya stakeholder yang terkait dengan bisnis kita dapat melakukan
    manajemen risiko dengan standar yang sama.
3. Lakukan kegiatan-kegiatan bersifat knowledge sharing mengenai manajemen risiko,
   dimana karyawan dapat saling berbagi pengetahuan dan pengalaman mengenai
   manajemen risiko.
4. Sesuatu menjadi culture jika dilakukan secara terus menerus dan konsisten dalam jangka
    waktu yang panjang,. Oleh karena itu, supaya risk management culture tercipta, maka
    harus terdapat komunikasi yang konsisten mengenai pentingnya manajemen risiko
    dalam aktivitas keseharian. Sehingga orang akan konsisten dalam melakukan
    manajemen risiko dalam aktivitasnya.
5. Jika organisasi mengekspektasikan supaya orang-orang di dalamnya melakukan manajemen
    risiko, maka harus diciptakan suatu pendekatan yang jelas terhadap manajemen risiko.
    Prosedur harus didokumentasikan, disosialisasikan, untuk kemudian diimplementasikan dalam
    keseharian pengambilan keputusan. Hal ini supaya jelas, dan
    tidak terjadi kebingungan mengenai langkah apa yang harus diambil.
Meskipun risk management culture begitu penting, namun kebanyakan orang berada dalam kondisi tidak terlalu peduli terhadap pentingnya risk management culture. Kecenderungan secara umum memperlihatkan bahwa pejabat public lebih terpukau pada kakulasi potensi keuntungan jangka pendek yang dapat mereka nikmati dibandingkan dengan kepedulian terhadap ancaman risiko. Berangkat dari kondisi tidak terlalu peduli tadi, maka perlu dilakukan 5 langkah diatas, untuk menciptakan suatu risk management awareness.
Lima tahapan kepedulian risiko kemudian dilakukan secara berulang-ulang, sehingga menjadi risk management habit. Risk management habit, jika dilakukan berulang-ulang dalam jangka waktu yang panjang, maka kemudian menjadi suatu risk management culture. Dalam proses menjadi culture untuk kaitan pengelolaan seluruh risiko dengan baik.

Tidak ada komentar:

Poskan Komentar

Entri Populer