PENILAIAN TINGKAT KEMATANGAN MANAJEMEN RISIKO DI

ORGANISASI DI INDONESIA

Dewasa ini, organisasi-organisasi di Indonesia sudah mulai menerapkan kerangka

kerja manajemen risiko berbasis ISO 31000: 2009 Risk Management – Principles and
Guidelines sebagai bagian dalam usaha pencapaian tujuan organisasi. Namun
disadari atau tidak, penilaian akan tingkat kematangan dari penerapan menajemen
risiko pun sama pentingnya dengan proses penerapan manajemen risiko itu sendiri,
sebagai bagian dari proses monitoring and control. Usaha yang terus menerus
dijalankan tidak ada artinya tanpa adanya monitoring and control untuk mengetahui
posisi organisasi kita saat ini, apakah proses yang dijalankan telah sesuai dengan
yang direncanakan. Oleh karena itu, dalam artikel kali ini, penulis akan mencoba
memaparkan pentingnya menilai tingkat kematangan dalam penerapan manajemen
risiko di dalam organisasi bagi para praktisi manajemen risiko.

Manajemen risiko adalah proses mengurangi risiko suatu entitas ke tingkat yang
dapat diterima, dengan menggunakan pengukuran, pengelolaan dan pemantauan
yang sejalan dengan tujuan strategis (Gilbert, 2007). Pelaksanaan kerangka
manajemen risiko organisasi atau Enterprise Risk Management (ERM) dalam
organisasi dapat mendukung dan meningkatkan kesadaran risiko di setiap divisi.
ERM tidak dapat dilihat sebagai suatu proses yang bersifat statis, namun sebaiknya
bersifat dinamis sesuai dengan perubahan lingkungan internal dan eksternal
organisasi.

Proses manajemen risiko harus didukung oleh integritas, nilai-nilai etika, tata kelola
organisasi, kompetensi, dan tanggung jawab para pemangku kepentingan organisasi.
Proses ini sebaiknya juga didukung dengan penetapan tujuan organisasi yang
mempertimbangkan dimensi risiko, komunikasi dan aliran informasi yang dinamis,
serta pemantauan yang berkelanjutan terhadap seluruh komponen kerangka
manajemen risiko. Organisasi sebaiknya menerapkan ERM yang efektif karena
memungkinkan organisasi untuk mengoptimalkan manajemen risiko dengan
memberikan evaluasi yang menyeluruh dan sistematis, serta pengendalian risiko.
Tingkat kematangan manajemen risiko atau risk maturity level perlu diukur untuk
mengetahui apakah penerapan manajemen risiko dalam organisasi berhasil atau
tidak. Penilaian tingkat kematangan manajemen risiko sangat penting karena
memungkinkan identifikasi kekuatan dan kelemahan organisasi yang dapat
digunakan untuk meningkatkan tata kelola perusahaan dan manajemen risiko
organisasi.

ERM dalam organisasi merupakan suatu proses yang membutuhkan alat pengukuran
efektivitas penerapan manajemen risiko yang obyektif dan konsisten. Norman Marks,
dalam websitenya bertajuk “Marks on Governance” menyusun model tingkat
kematangan program manajemen risiko ke dalam lima tingkatan, yang ia susun dari
beberapa sumber termasuk dari Chelan County Public Utility District, Washington:

Tabel 1. Tingkat Kematangan Manajemen Risiko

Level
Ad hoc. Berdokumen; dalam keadaan perubahan dinamis; tergantung pada individu perorangan
1

Level Preliminary. Risiko didefinisikan dengan cara yang berbeda dan dikelola dalam silo. Kedisiplinan
2 dalam proses tidak ketat.

Defined. Kerangka penilaian/tanggapan umum terhadap risiko mulai teratur. Pemimpin eksekutif
Level
memberi pandangan terhadap risiko yang dihadapi organisasi secara keseluruhan. Pelaksanaan
3
rencana diimplementasikan dengan memprioritaskan risiko yang tinggi.

Integrated. Aktivitas manajemen risiko organisasi terkoordinasi di seluruh area bisnis.

Level
Menggunakan perangkat manajemen risiko dan proses yang umum apabila diperlukan, dengan
4
pemantauan risiko keseluruhan organisasi, pengukuran dan pelaporan.

Optimized. Mendiskusikan risiko bersama dengan perencanaan strategis, alokasi modal, dan dalam
Level
pengambilan keputusan sehari-hari. Sistem peringatan dini untuk memberitahukan dewan dan
5
manajemen apabila risiko berada diatas batas yang ditetapkan

Sumber: Norman Marks, 2011

Secara konsep, model tingkat kematangan manajemen risiko ini mirip dengan yang
dikeluarkan oleh Risk and Insurance Management Society (RIMS), namun berbeda
pada tingkatan dan istilahnya. RIMS menambahkan tingkat nol, yaitu nonexistent,
dengan tingkat 1 sampai 5 memiliki istilah ad hoc, initial, repeatable, managed, dan
leadership.

RIMS mengeluarkan RIMS Risk Maturity Model (RMM) yang dapat memfasilitasi pengukuran tingkat
kematangan ERM melalui perencanaan, komunikasi, serta panduan monitoring dan pengendalian.
RMM ini memperlengkapi para praktisi ERM dengan cara menggabungkan elemen-elemen terbaik
dari model dan standar yang penting. Model ini dapat diaplikasikan pada seluruh industri dan
berbagai jenis risiko, dan mengukur seberapa baik penerapan manajemen risiko serta seberapa jauh
 kedalamannya dalam organisasi. Tingkat kematangan ditentukan di setiap atribut dan kematangan
penerapan ERM ditentukan dari link terlemahnya. Berikut adalah atribut yang digunakan dalam
pengukuran tingkat kematangan ERM.

No Atribut Keterangan

Tingkat dukungan eksekutif untuk pendekatan berbasis ERM dalam

budaya organisasi. Dukungan mencakup kepatuhan terhadap peraturan
Pendekatan berbasis
1 dalam setiap proses, fungsi, lini bisnis, peran, dan geografi. Tingkat
ERM(ERM-based approach)
integrasi, komunikasi dan koordinasi audit internal, teknologi
informasi, kepatuhan, kontrol dan manajemen risiko.

Tingkat merangkaikan proses ERM kedalam proses bisnis dan

menggunakan proses ERM untuk mengidentifikasi, menilai,
Proses Manajemen ERM(ERM
2 mengevaluasi, memitigasi, dan memantau risiko. Tingkat
Process Management)
penggabungan metode kualitatif yang didukung metode kuantitatif,
analisis, dan model untuk mengevaluasi risiko.

Tingkat pemahaman atas trade–offsantara risiko dengan reward.

Akuntabilitas dalam kepemimpinan dan kebijakan untuk memandu
pengambilan keputusan dan kesenjangan antara risiko yang
Manajemen Risk-Appetite (Risk-
3 dipersepsikan dengan risiko sebenarnya. Selera risiko mendefinisikan
Appetite Management)
batas risiko yang dapat diterima dan toleransi risiko mendefinisikan
variasi pengukuran selera risiko yang dianggap dapat diterima oleh
manajemen.

Tingkat pengetahuan yang diterapkan untuk mengukur akar atau

Pengetahuan akan Akarpenyebab masalah dan mengaitkan kejadian dengan sumber proses
4 Permasalahan(Root Cause untuk mendorong mitigasi, melakukan pengumpulan informasi, dan
Discipline) kontrol pengukuran efektivitas. Mengeksplorasi tingkat risiko para
karyawan, lingkungan eksternal, sistem, proses, dan relasi.

Tingkat kualitas dan penetrasi mencakup kegiatan penilaian risiko

dalam mendokumentasikan risiko dan peluang. Tingkat pengumpulan
Pengungkapan
5 pengetahuan dari keahlian karyawan, database dan file elektronik
Risiko(Uncovering Risks)
lainnya untuk mengungkapkan dependensi dan korelasi di seluruh
organisasi.

Tingkat pelaksanaan visi dan strategi, dari keuangan, pelanggan,

Manajemen
proses bisnis dan perspektif pembelajaran dan pertumbuhan
6 Performa(Performance
(misal: balanced scorecard atau pendekatan lain). Tingkat paparan
Management)
ketidakpastian, atau potensi penyimpangan dari rencana.

Sejauh mana aspek keberlanjutan proses ERM terintegrasi dalam

perencanaan operasional organisasi. Mengevaluasi perencanaan
Ketahanan dan Keberlanjutan
mendukung ketahanan dan nilai organisasi. Tingkat kepemilikan dan
7 Bisnis(Business Resiliency and
perencanaan untuk memulihkan plarform teknologi, misal: gangguan
Sustainability)
rantai pasokan, perubahan harga pasar, volatilitas arus kas, likuiditas
bisnis, dan lainnya.
Sumber: RIMS, 2006

Organisasi atau perusahaan di Indonesia yang telah menerapkan ERM berbasis ISO
31000 dapat menggunakan pendekatan RIMS RMM untuk mengukurtingkat
kematangan penerapan ERM dengan mempertimbangkan atribut-atribut di atas.

Terdapat beberapa perusahaan yang telah menerapkan penilaian terhadap tingkat

kematangan ERM. Salah satu perusahaan Indonesia adalah PT Telkom Indonesia,
dalam Laporan Tahunan tahun 2013, PT Telkom melaporkan bahwa saat ini
implementasi manajemen risiko di perusahaan tersebut telah mencapai tingkatan
dimana manajemen risiko telah diintegrasikan di seluruh entitas perusahaan. PT
Telkom menyusun road map pengembangan Entity Risk Management untuk
memasuki level optimized di tahun 2016. Selain PT Telkom, PT Perkebunan
Nusantara X, di dalam websitenya, menyatakan bahwa Kepala Biro Satuan
Pengawasan Intern selaku Risk Assurance ditunjuk untuk melakukan evaluasi
penerapan Risk Maturity Level (RML) bersama-sama dengan Kepada Bidang PPAB
selaku risk manager. Perkebunan Nusantara X sudah menyadari pentingnya
melakukan analisis terhadap RML untuk mencapai tingkat kematangan pengelolaan
manajemen risiko yang semakin baik walau tidak disebutkan secara eksplisit metode
yang digunakan untuk mengukur tingkat kematangan ERM.

AON, sebagai perusahaan terkemuka secara global sebagai penyedia risk

management, insurance and insurance brokerage, sumberdaya manusia, dan
layanan outsourcing, mengeluarkan survei pada tahun 2013 berjudul “2013 Risk
Maturity Index Report – Building a Robust Framework and Realizing Value from Risk
Management”. Artikel ini akan mencoba memaparkan beberapa hasil dari survei
tersebut untuk memberikan gambaran singkat mengenai tingkat kematangan
manajemen risiko di beberapa negara.

Grafik 1 Distribusi Tingkat Kematangan Manajemen Risiko berdasarkan

Wilayah
Sumber: AON, 2013
Hasil survei ini memperlihatkan bahwa tiap wilayah memiliki pola distribusi bell-
curve yang hampir mirip secara keseluruhan. Aon menyatakan bahwa jumlah sample
yang diperoleh untuk wilayah Amerika lebih banyak dibandingkan oleh wilayah lain,
sehingga sulit untuk memperoleh kesimpulan yang tegas mengenai tingkat
kematangan manajemen risiko untuk beberapa wilayah di dunia.

Selanjutnya Aon juga mengadakan survei untuk membandingkan antara pandangan

perusahaan terhadap tingkat kematangan manajemen risiko mereka dengan industri
lain yang sejenis di wilayahnya. Untuk wilayah Asia Pasifik, diperoleh hasil sebagai
berikut:

Grafik 2 Perbandingan Pandangan Tingkat Kematangan Manajemen Risiko

dengan Industri Sejenis di Wilayahnya

Sumber: Aon, 2013

Berdasarkan grafik di atas, perusahaan di Asia Pasifik yang memiliki tingkat
kematangan menajemen risiko di bawah 3, memandang perusahaannnya belum
cukup dewasa untuk melaksanakan manajemen risiko.
Kedua grafik di atas menggambarkan bahwa tingkat kematangan manajemen risiko,
khususnya di kawasan Asia Pasifik masih terbilang cukup rendah, pengelolaan
manajemen risiko belum sebaik di kawasan lain, misalnya Australia. Berdasarkan
fakta ini, para praktisi manajemen risiko di kawasan Asia Pasifik, termasuk Indonesia
diberikan suatu tantangan untuk mengembangkan tingkat kematangan manajemen
risiko menjadi lebih baik agar perusahaannya dapat lebih bersaing di pasar
internasional.

Menerapkan ERM berbasis ISO 31000: 2009 Risk Management – Principles and
Guidelines dalam organisasi perlu disertai dengan pengawasan dan perbaikan untuk
mampu mencapai tujuan organisasi. Karena itu, perhitungan tingkat kematangan
penerapan ERM perlu untuk dilakukan. Organisasi perlu memiliki pengetahuan yang
cukup akan hal tersebut agar mengetahui tingkat kematangan penerapan
manajemen risiko organisasi dan mampu memperbaiki ERM dalam organisasi secara
terus menerus.

Referensi:
Aon (2013). 2013 Risk Maturity Index Report – Building a Robust Framework and
Realizing Value from Risk Management. Diunduh dari http://ars-
us.aon.com/Global/National/Thought%20Leadership/Reports/PDFs/Risk-Maturity-
Index-Report-041813.pdf
Ciorciari, M. & Blattner, P. (2008). Enterprise risk management maturity-level
assessment tool. Society of Actuaries.
Gilbert, Jiil Barson. (2007). Enterprise Risk Management: The New Imperative.
Houston: Lexicon System, LLC
http://ptpn10.co.id/uploads/pages/gcg/manajemen-resiko.pdf
http://www.telkom.co.id/UHI/CDInteraktif2013/ID/0082_manajemen_risiko.html
Marks, Norman (2011). Marks on governance. Diunduh dari
http://www.theiia.org/blogs/marks/index.cfm/post/Measuring%20the%20Maturity
%20of%20Risk%20Management
Risk and insurance management society, inc. (2006). Diunduh dari
http://www.sec.gov/comments/s7-13-09/s71309-121.pdf
Disusun oleh: Yosefin A. Cintya P. – Associate Researcher of CRMS Indonesia