Tuntutan masyarakat yang semakin
besar terhadap transparansi, mendorong setiap orang dalam perusahaan untuk
selalu peduli dan waspada terhadap risiko dalam aktivitas yang dijalankan oleh perusahaan.
Budaya peduli terhadap risiko pada sektor publik merupakan sesuatu yang
penting, dan hal yang sulit dihindari oleh pejabat dilingkungan perusahaan,
karena apabila manajemen salah dalam menetapkan langkah dan keliru dalam
mengambil keputusan akan berdampak fatal bagi perusahaan yang dipimpinnya. Oleh
karena itu, risk management culture mendorong para pembuat kebijakan untuk
menerapkan manajemen risiko yang proaktif. Risiko selalu menjadi fokus yang
penting, dievaluasi secara periodik, serta diukur dampaknya terhadap tujuan
entitas. Mulai dari karyawan pelaksana, karyawan pimpinan hingga top manajemen,
serta pemangku kepentingan, hingga
regulator harus memahami bahwa risiko adalah suatu faktor penting yang perlu
dipertimbangkan dalam tiap tindakan dan pengambilan keputusan.
Manajemen risiko yang efektif
adalah salah satu elemen penting dari tata kelola perusahaan yang baik (Good
Governance). Manajemen harus secara proaktif memastikan dapat dicapainya
kesinambungan, pelayanan dan pengembangan tujuan perusahaan yang sejalan dengan
visi dan misi dalam perspektif memenuhi ekspektasi para stakeholder-nya. Untuk
mewujudkan hal tersebut, manajemen perlu secara terus menerus mengenali
risiko-risiko tata kelola yang dapat mempengaruhi kemampuan dalam mencapai
tujuan yang sudah ditetapkan.
Secara umum, risiko didefinisikan
sebagai segala kejadian dalam setiap aktivitas pemerintah yang timbul akibat
faktor eksternal maupun internal, yang mengandung potensi menghambat/
menghalangi pencapaian tujuan yang telah ditetapkan.
Manajemen risiko dirancang untuk
dapat mengidentifikasi, menganalisa dan mengendalikan risiko yang mungkin
terjadi pada setiap proses aktivitas yang dijalankan. Apabila bagian/unit telah
memiliki dan menjalankan manajemen risiko yang efektif maka risiko yang
dihadapi oleh perusahaan telah diidentifikasi dan dikelola sedemikian rupa
sampai dengan tingkatan tertentu yang dapat diterima.
Manajemen Risiko merupakan suatu
proses yang sistematik dan berkelanjutan yang dirancang dan dijalankan
manajemen di seluruh level dan seluruh personil perusahaan, guna memberikan
keyakinan yang memadai bahwa semua risiko yang berpotensi menghambat pencapaian
tujuan telah diidentifikasi dan dikelola sedemikian rupa sehingga risiko
dimaksud berada dalam batas-batas yang dapat diterima.
Tujuan pokok manajemen risiko
antara lain sebagai berikut:
- Memastikan risiko-risiko yang
ada di pemerintah telah diidentifikasi/ dikenali dan
dinilai tingkat signifikansinya, serta telah dibuatkan rencana tindakan
untuk
meminimalisasi dampak dan kemungkinan terjadinya risiko tersebut.
- Memastikan bahwa jika rencana
tindakan dilaksanakan secara efektif, maka tindakan
dimaksud dapat meminimalisasi dampak dan kemungkinan terjadinya risiko.
- Memberikan rekomendasi kepada
manajemen mengenai risiko-risiko yang mungkin
terjadi serta usulan penanganannya.
Hampir di semua area/ unit
memiliki risiko dengan bentuk yang berbeda-beda. Oleh karena itu manajemen
risiko yang efektif harus menjadi bagian integral dari praktik manajemen
Proses Manajemen Risiko terdiri
dari beberapa tahapan:
1.
Identifikasi Risiko (Risk Identification);
2.
Penilaian Risiko (Risk Assessment);
3.
Penentuan Risk Response;
4.
Pemantauan dan Pelaporan Risiko
Tahapan identifikasi risiko
merupakan tahapan mengenali terhadap seluruh aktivitas yang sedang maupun yang baru akan berjalan.
Identifikasi risiko dilaksanakan dengan tujuan untuk mengenali faktor-faktor
risiko yang dapat menghambat pencapaian tujuan, menyebabkan kerugian atau
bahkan merusak reputasi perusahaan. Identifikasi risiko secara menyeluruh yang
ada di dalam pemerintah akan menghasilkan suatu daftar risiko (risk register).
Seluruh risiko yang telah teridentifikasi kemudian dikelompokkan ke dalam
kategori-kategori tertentu seperti risiko strategis, risiko gangguan
operasional, risiko finansial, risiko reputasi, risiko kepegawaian dan
lain-lain. Aktivitas identifikasi risiko merupakan tanggung jawab masing-masing
risk owner untuk proses dan unit terkait.
Tahapan Penilaian Risiko,
merupakan aktivitas yang dilaksanakan untuk menilai besarnya pengaruh dari
risiko-risiko yang telah diidentifikasi terhadap pencapaian tujuan dan sasaran
yang telah ditetapkan. Pengukuran risiko akan dilihat dari 2 (dua) perspektif
yaitu kemungkinan keterjadian (likelihood) dan besarnya pengaruh risiko kepada perusahaan
(impact). Risiko dinilai dengan mengacu kepada tabel kriteria yang terkait
dengan keterjadian maupun impact. Kriteria sebagai acuan penilaian dimaksud
akan terus berkembang dan berubah untuk disesuaikan dengan perkembangan
aktivitas dan perubahan risk appetite manajemen. Hasil penilaian seluruh risiko
tersebut kemudian dipetakan/ diplot ke dalam suatu kwadran Peta Risiko (Risk
Map). Peta Risiko (Risk Map) merupakan penggambaran secara visual tingkat
masing-masing individual risiko yang telah teridentifikasi dengan diberi
warna-warna menurut tinggi-rendahnya. Risiko-risiko yang sangat tinggi (Very
High) diindikasikan dengan warna merah dan masuk dalam kategori risiko yang
memerlukan perhatian Manajemen. Risiko-risiko ini memerlukan perhatian segera
dari Manajemen karena membutuhkan mitigasi/rencana aksi yang segera untuk dapat
mengurangi besarnya pengaruh dampak dan/atau kemungkinan keterjadian risiko
tersebut. Risiko-risiko tinggi (High) dan menengah (Medium) secara
berturut-turut diindikasikan dengan warna oranye dan kuning. Risiko- risiko
yang masuk dalam kwadran tinggi dan medium (oranye dan kuning), bersama-sama
dengan risiko- risiko dengan katagori sngat tinggi merupakan risiko perusahaan
yang harus 2 menjadi pertimbangan Internal Audit dalam menentukan focus dan
Rencana Kerja Internal Audit. Risiko-risiko rendah (Low) dan sangat rendah
(Very Low)
Diindikasikan dengan warna biru
dan hijau. Risiko-risiko ini harus dikelola melalui tindakan pemantauan
(monitoring) untuk meyakinkan dampak dan kemungkinan tetap berada di kwadran
rendah dan sangat rendah, atau dapat dikurangi ke tingkat minimum secara ideal.
Tahapan Penentuan Risk Response, rencana tindakan/aktivitas yang akan dilakukan
oleh manajemen dengan tujuan untuk mengurangi, membagi, menghindar dan/atau
menerima risiko-risiko tersebut. Setelah risiko diidentifikasi dan diukur, maka
Manajemen menentukan risk response untuk risiko-risiko tersebut. Setiap risk
response yang ditetapkan harus mampu membuat tingkat pengaruh (impact) dan
tingkat keterjadian (likelihood) dari risiko-risiko yang teridentifikasi masuk
dalam rentang tingkat risiko yang dapat diterima (Risk Tolerance).
4. Tahapan Pemantauan dan
Pelaporan Risiko Pemantauan dan Pelaporan Risiko adalah aktivitas untuk
mendapatkan informasi up to date dan akurat mengenai risiko guna memungkinkan
pengambilan keputusan yang lebih baik. Manfaat dari melakukan pemantauan dan
pelaporan risiko adalah untuk mendapatkan pemahaman dari sifat dan cakupan
risiko-risiko eksisting, untuk mencegah risiko muncul dan untuk menganalisa
kerugian historis. Pemantauan dan pelaporan risiko memiliki tujuan utama
memotivasi pemilik risiko (risk owner) untuk mengambil tanggung jawab manajemen
risiko dengan menjadikannya sebagai bagian penting dari aktivitas bisnis normal
yang menjadi tanggung jawab mereka. Seluruh informasi yang relevan dengan
proses manajemen risiko perusahaan dikumpulkan dan dikomunikasikan dalam format
dan waktu yang tepat melalui mekanisme pelaporan risiko yang efektif kepada
Risk Owner terkait.
Dalam membangun budaya peduli
risiko, terdapat beberapa hambatan dalam menerapkan risk management culture,
diantaranya:
• Risiko pada sektor public
seringkali masih dipandang sebagai sesuatu yang negatif,
jadi jika ditampilkan dikhawatirkan akan memberi kesan buruk. Padahal,
jika risiko
tersebut benar terjadi, maka dampaknya bisa jadi lebih buruk.
• Risiko dipandang sebagai sumber
pemborosan biaya. Meskipun pada umumnya
pimpinan instansi menyadari bahwa biaya/kerugian yang timbul akibat .kegagalan
dalam
mengatasi/memitigasi risiko yang
harus ditanggung mungkin lebih besar.
• Daya tarik terhadap potensi
untuk melakukan penyimpangan yang menjurus kepada
perbuatan fraud dianggap lebih memberikan keuntungan yang besar,
sehingga mereka
cenderung mengabaikan peringatan terhadap dampak risiko. Contohnya
adalah risiko
penunjukkan langsung dalam pemilihan penyedia barang dan jasa mempunyai
risiko
terjadinya kecurangan yang tinggi, namun justru cara penunjukkan
langsung banyak
dipilih oleh pembuat keputusan.
• Tata Kelola Perusahaan yang
lemah, karena control dari unit pengawasan baik internal
maupun eksternal masih sangat lemah dan mudah dikompromikan.
Risiko dapat timbul dimana saja
di dalam organisasi – dalam proses, aktivitas, direktorat/unit bisnis dan
lokasi geografis yang berbeda. Manajemen pada tingkat direktorat/unit bisnis
menghadapi risiko dalam aktivitas mereka sendiri dan untuk itu harus mengetahui
risiko-risiko yang mempengaruhi tujuan dan sasaran unit bisnis yang menjadi
tanggung jawab mereka. Terdapat pengertian yang salah di hampir setiap
organisasi bahwa manajemen risiko adalah tanggung jawab pimpinan tertinggi
semata.
Konsep 3, dalam COSO framework
memandang bahwa untuk setiap unit/ setiap level harus dapat mengenali risiko
yang bisa menghambat pencapaian tujuan unit. Proses mengenali dan menilai
risiko pada masing-masing unit dilakukan dengan pendekatan risk self
assessment. Filosofi yang melatar belakangi konsep risk self-assessment, bahwa
setiap individu memiliki peran dan tanggung jawab dalam manajemen risiko dan
masing-masing risk owner (pemilik risiko) seyogyanya mengidentifikasi dan
menilai kecukupan manajemen risiko di masing-masing area yang menjadi tanggung
jawabnya.
Walaupun Manajemen bertanggung
jawab penuh atas efektivitas proses Manajemen Risiko dan pengendalian intern,
dalam hal ini Internal Audit sebagaimana ditetapkan di dalam standard
profesinya dapat memberikan nilai tambah dengan menjalankan fungsi “konsultan“
bagi Manajemen, antara lain dengan memberikan masukan dan rekomendasi kepada
Manajemen dalam hal identifikasi, evaluasi dan implementasi metodologi
Manajemen Risiko dan sistem pengendalian yang efektif untuk menangani
risiko-risiko.
Hubungan antara kegiatan
manajemen risiko dan internal audit merupakan hubungan yang timbal balik dan
tak terpisahkan. Sebagaimana telah dikemukakan di atas, manajemen dan risk
owner (pemilik risiko) berperan dalam mengidentifikasi, mengkaji, dan mengelola
risiko. Internal audit di sisi lain mempunyai peran untuk memberikan keyakinan
(assurance) kepada Pimpinan, Komite Manajemen Risiko, dan unit- unit terkait
atas efektivitas sistem manajemen risiko, guna meyakinkan bahwa risiko bisnis
utama telah dikelola secara baik dan sistem pengendalian internal telah
berjalan dengan efektif.
Standard for Professional
Practice of Internal Auditing menyatakan bahwa Internal Audit, dalam kaitan
penggunaan metodologi audit berbasis risiko, harus mempertimbangkan penilaian
risiko di tingkat:
1. Makro Risk Assessment: Kepala
Internal Auditor harus menggunakan hasil penilaian
risiko dalam penyusunan aktivitas
audit tahunan;
2. Mikro Risk Assessment:
Internal Auditor harus menggunakan teknik penilaian risiko
dalam merencanakan setiap penugasan
audit;
Dalam manajemen risiko terdapat
proses penilaian risiko (risk assessment) yang bertujuan untuk
mengidentifikasi, mengukur dan menentukan tingkat signifikansi dari risiko.
Penilaian risiko makro (Makro Risk Assessment) akan menghasilkan Daftar Risiko
(Risk Register) dan Peta Risiko (Risk Map). Peta Risiko (Risk Map) merupakan
acuan bagi Internal Audit dalam menyusun rencana Program Kerja Audit Tahunan
(PKAT), sehingga fokus audit menjadi lebih terarah dan sumber daya yang terbatas
dapat diarahkan ke area layak audit dengan bobot risiko tinggi. Proses
manajemen risiko harus mendapat pengawasan yang memadai untuk memastikan
efektivitas dari proses tersebut. Sesuai dengan tata kerja organ unit, fungsi
pengawasan terhadap efektivitas pelaksanaan manajemen risiko merupakan tanggung
jawab dari pimpinan instansi, dalam hal ini dibantu oleh Komite Manajemen
Risiko. Pelaksanaan pengawasan terhadap efektivitas pelaksanaan manajemen
risiko dilaksanakan oleh fungsi Internal Audit dengan melakukan evaluasi yang
obyektif dan memberikan opini yang independen atas pelaksanaan manajemen risiko.
Practice Guide yang dikeluarkan
oleh The Institue of Internal Auditors, bahwa peran utama internal audit dalam
memberikan keyakinan yang memadai (assurance) kepada pimpinan instansi
terhadap:
1. Memberikan penilaian yang
obyektif dan memberikan assurance terhadap proses
Manajemen Risiko;
2. Memberikan penilaian yang
obyektif dan memberikan assurance bahwa risiko telah
dievaluasi secara benar;
3. Mengevaluasi pelaksanaan
proses manajemen risiko;
4. Mengevaluasi laporan atas
risiko-risiko utama/ signifikan;
5. Mengulas pengelolaan
risiko-risiko utama/ signifikan Untuk menjalankan perannya
sebagaimana dimaksud di atas.
Dalam menjalankan tugas dan
tanggung jawab terkait dengan memberikan assurance atas proses manajemen risiko
di atas, maka hal-hal yang perlu diperhatikan Internal Auditor adalah sebagai
berikut:
1. Sumber daya (waktu, tenaga,
biaya) yang digunakan untuk menjalankan tanggung jawab
tersebut di atas, tidak boleh
menyebabkan tugas utama Internal Audit, yaitu memberikan
penilaian yang obyektif / keyakinan
(assurance) akan efektivitas proses manajemen
risiko dan pengendalian intern menjadi terabaikan.
2. Internal Audit harus dapat
menjunjung tinggi sikap dan perilaku independen dan
obyektivitas.
3. Internal Audit harus selalu
mensosialisasikan pemahaman bahwa Manajemen adalah
pemilik dan penanggung jawab atas risiko
dan pengendalian. Fungsi Internal Audit
bertanggung jawab melakukan pemantauan
untuk memastikan bahwa proses manajemen
risiko dan pengendalian internal
telah memenuhi ketentuan dan praktik yang baik.
4. Hal-hal yang tidak boleh
dilakukan oleh Internal Audit adalah sebagai berikut:
·
Penentuan
risk appetite atas risiko-risiko;
·
Penentuan
proses manajemen risiko;
·
Pengambilan
keputusan atas tindak lanjut terhadap risiko;
·
Menindaklanjuti
risiko dengan mengatasnamakan Manajemen;
·
Memegang
tanggungjawab terhadap manajemen risiko
Sebagaimana telah digambarkan di
atas, untuk membangun budaya peduli risiko diperlukan suatu keterpaduan langkah
antara pihak manajemen/pimpinan dengan unit internal auditor. Langkah-langkah
yang dapat diambil, dalam rangka menciptakan budaya peduli risiko mencakup:
1. Komitmen Pimpinan untuk
menciptakan satu irama yang sama (tone at the top),
sebelum penerapan risk management
culture akan diimplementasikan, maka harus ada
komitmen bersama dari para pemimpin
(eksekutif). Pemimpinlah yang menjadi
pendorong utama utama untuk memulai budaya
peduli risiko. Selanjutnya, manajer-
manajer dan pimpinan level menengah
berperan penting dalam mengkomunikasikan dan
mempengaruhi perilaku
karyawan/pegawai dalam upaya untuk mengimplementasikan
manajemen risiko.
2. Berikan edukasi kepada seluruh
stakeholder mengenai pentingnya melakukan
manajemen risiko. Sampaikan
pemahaman kepada mereka, bagaimana potensi kerugian
jika tanpa manajemen risiko.
Lakukan workshop dan training manajemen risiko untuk
manajer di berbagai level
organisasi, bahkan stakeholder lainnya seperti supplier dan
partner. Hal ini supaya
stakeholder yang terkait dengan bisnis kita dapat melakukan
manajemen risiko dengan standar
yang sama.
3. Lakukan kegiatan-kegiatan
bersifat knowledge sharing mengenai manajemen risiko,
dimana karyawan dapat saling
berbagi pengetahuan dan pengalaman mengenai
manajemen risiko.
4. Sesuatu menjadi culture jika
dilakukan secara terus menerus dan konsisten dalam jangka
waktu yang panjang,. Oleh karena
itu, supaya risk management culture tercipta, maka
harus terdapat komunikasi yang
konsisten mengenai pentingnya manajemen risiko
dalam aktivitas keseharian.
Sehingga orang akan konsisten dalam melakukan
manajemen risiko dalam
aktivitasnya.
5. Jika organisasi
mengekspektasikan supaya orang-orang di dalamnya melakukan manajemen
risiko, maka harus diciptakan suatu
pendekatan yang jelas terhadap manajemen risiko.
Prosedur harus didokumentasikan,
disosialisasikan, untuk kemudian diimplementasikan dalam
keseharian pengambilan keputusan.
Hal ini supaya jelas, dan
tidak terjadi kebingungan
mengenai langkah apa yang harus diambil.
Meskipun risk management culture
begitu penting, namun kebanyakan orang berada dalam kondisi tidak terlalu
peduli terhadap pentingnya risk management culture. Kecenderungan secara umum
memperlihatkan bahwa pejabat public lebih terpukau pada kakulasi potensi
keuntungan jangka pendek yang dapat mereka nikmati dibandingkan dengan
kepedulian terhadap ancaman risiko. Berangkat dari kondisi tidak terlalu peduli
tadi, maka perlu dilakukan 5 langkah diatas, untuk menciptakan suatu risk
management awareness.
Lima tahapan kepedulian risiko
kemudian dilakukan secara berulang-ulang, sehingga menjadi risk management
habit. Risk management habit, jika dilakukan berulang-ulang dalam jangka waktu
yang panjang, maka kemudian menjadi suatu risk management culture. Dalam proses
menjadi culture untuk kaitan pengelolaan seluruh risiko dengan baik.