Sisi Lain Manajemen Risiko yang Dapat Dioptimalkan

Warta Ekonomi, Jakarta -

Saya tergugah dengan tulisan Norman Marks pada tanggal 4 September 2018 berjudul Uniting Risk Management with Strategic Management yang memunculkan sudut pandang lain tentang manajemen risiko. Pada kebanyakan pelaku bisnis, khususnya praktisi dan profesional di manajemen risiko selalu menekankan risiko sebagai ancaman, hambatan, potensi kegagalan, kelemahan yang berkonotasi negatif, sehingga harus diambil langkah mitigasi risiko atau pengendalian intern dan tata kelola tepat.

Praktisi dan profesional manajemen risiko termasuk auditor intern akan menggambarkannya dalam wujud profil risiko yang berupa persandingan antara hasil penilaian atau pengukuran atas risiko dengan pengendalian intern yang didesain atau berupa pemetaan risiko dan heat map komponen-komponen yang terpapar risiko sesuai gradasi kerentanan.

Praktik di atas tentu tidak salah dan masih relevan dijalankan, namun dalam pandangan Norman Marks hal itu belum memberikan manfaat maksimal sebab eksekutif juga membutuhkan informasi untuk pengambilan keputusan tentang apa yang akan terjadi kemudian atau risiko lain yang dapat dieksplorasi dan dikelola guna membawa peluang bisnis atau memaksimalkan bisnis.

Mindset garda pengawal organisasi yakni auditor intern dan profesional manajemen risiko serta kepatuhan masih memikirkan dan memandang bahaya atau ancaman yang menerpa dan menghadang organisasi sehingga dikesankan sebagai stopper (pengganjal), menakut-nakuti, historis masa lampau, dan menekankan pada pengawasan.

Bagi Norman Marks rutinitas yang dilakukan dengan membuat profil risiko dan heat map relevan untuk pemenuhan kepatuhan dan assurance agar risiko terjaga pada ambang batas penerimaan risiko. Yang paling penting adalah bagaimana membuat informasi risiko menjadi bermanfaat untuk pengambilan keputusan yang cerdas.

Itulah sebabnya COSO menerbitkan framework baru tentang Enterprise Risk Management (ERM) yang menggantikan framework lama. Pada framework baru, organisasi yang ingin menerapkan manajemen risiko haruslah terintegrasi yakni mengonsolidasi seluruh risiko pada setiap jenjang mulai dari tingkat unit kerja terkecil dan fungsi terbawah sampai dengan korporasi yang dikaitkan dengan tujuan dan sasaran organisasi serta manajemen strateginya termasuk mengaitkan risiko dengan kinerja baik ukuran kinerja yang direncanakan maupun yang direalisasikan.

Jika kita memperhatikan substansi ERM dari COSO tersebut, sebenarnya pola manajemen risiko yang lama masih berjalan yaitu menghadirkan pemetaan risiko dalam format persandingan antara risiko yang dapat ditolerir/diterima dengan risiko yang terealisir di setiap tingkatan pencapaian kinerja. Manajemen dapat meningkatkan kinerja bisnisnya dengan lebih berani menerima risiko sepanjang risiko tersebut masih dalam ambang batas dan kapasitas risiko.

Tentu agar dapat menghadirkan tampilan pemetaan risiko tersebut yang dikehendaki COSO ERM membutuhkan sistem informasi manajemen risiko yang terintegrasi dan metodologi pengukuran risiko pada setiap rencana strategis. Risiko yang diukur semestinya untuk berbagai dimensi risiko, bukan hanya risiko stratejik atau risiko finansial.

Namun, yang menarik dari kritikan Norman Marks adalah ERM framework yang dibuat COSO masih bersifat backward yakni organisasi menentukan dulu tujuan dan sasaran organisasi, manajemen strategik yang tepat untuk mencapai tujuan dan sasaran organisasi tersebut serta indikator kinerja, kemudian ditentukanlah risiko yang menyertainya.

Menurut Norman Marks, yakni bagaimana manajemen risiko juga dapat lebih forward thinking yakni meletakkan suatu risiko yang dapat diolah menjadi strategi, baik strategi mengurangi kerugian, strategi mempertahankan posisi organisasi, maupun strategi untuk mengambil peluang bisnis. Dengan kata lain, menjadikan identifikasi risiko di depan lalu sasaran organisasi, manajemen strategik, dan indikator kinerja mengikuti.

Norman Marks memberikan contoh bagaimana bila manajemen risiko (dan auditor intern) mampu memberkan informasi mengenai tren yang menggembirakan dalam demografi, profil, dan perilaku konsumen dan pola belanja, peluang perbaikan harga dari vendor, atau peningkatan sektor ekonomi. Apabila potensi ini diabaikan tentu menjadi risiko seperti kehilangan potensi pasar atau kehilangan pelanggan.

Dari sisi auditor intern, apakah sisi pandang ini dapat diterapkan dalam pelaksanaan auditnya. Apakah organisasi secara keseluruhan yang menjadi klien audit telah memiliki kemampuan mengidentifikasi semua risiko yang positif, mengeskalasi informasinya untuk memanfaatkan risiko positif menjadi peluang bisnis? Tentu auditor intern tetap mempertahankan pendekatan audit yang mengawal organisasi dari risiko negatif.