Sebuah perusahaan karoseri di Ungaran, Jawa tengah yang telah berdiri sejak tahun 1967 mengklaim bahwa mereka adalah perusahaan pembuat bis terbesar di Indonesia dengan kapasitas produk sebanyak 1.000 unit per tahun. Karena telah berkecimpung dalam bisnis tersebut sejak lama maka mereka tahu apa yang harus mereka lakukan untuk memberikan pelayanan yang terbaik. Mereka bekerja dengan memperhatikan detail sekecil apapun dalam rangka meningkatkan keselamatan dan kepuasan pelanggan juga penumpang. Namun kesuksesannya pun tidak terlepas dari masalah, karena terbiasa menggunakan cara lama maka mereka cukup tertinggal dengan perkembangan jaman. Dalam perkembangan teknologi informasi pada perusahaan tersebut masalah terdapat pada bidang IT nya. Saat proses bisnis sedang berjalan sering terdapat gangguan seperti padamnya listrik secara tiba-tiba sehingga berdampak pada server yang sedang beroperasi sehingga sering terjadi error pada server tersebut. Lalu kurangnya Sumber Daya Manusia (SDM) yang berkompeten pun masih cukup kurang untuk menangani masalah tersebut sehingga muncullah risiko-risiko yang dapat mengganggu kelangsungan bisnis.
Dari kisah diatas kita dapat mengambil kesimpulan bahwa tata kelola risiko atau manajemen risiko sangat perlu diterapkan dalam sebuah unit organisasi besar, apalagi organisasi yang memiliki peran penting dalam masyarakat. Berbicara tentang manajemen risiko, ada baiknya kita lebih mengetahui apa yang dimaksud dengan risiko. Secara sederhana, definisi risiko yakni suatu kondisi yang belum pasti, tetapi mengandung unsur bahaya sebagai konsekuensi atau akibat dari sesuatu. Sesuatu ini dapat berarti usaha, bisnis, aktivitas, maupun keputusan yang diambil. Risiko adalah hal yang tidak pasti dan terkadang mempunyai dampak positif ataupun negatif terhadap suatu tujuan atau keinginan yang akan dicapai. Benar, risiko tidak hanya bersifat negatif, namun ada juga yang bersifat positif. Seluruh risiko baik yang berdampak negatif dan positif harus dikelola dengan baik, risiko yang berdampak positif harus dikelola sehingga dapat meningkatkan pencapaian sasaran organisasi dengan memanfaatkan peluang (opportunity) dan risiko yang berdampak negatif dikelola agar tidak menghambat pencapaian sasaran organisasi. Pengelolaan risiko inilah yang disebut dengan manajemen risiko.
Di dunia ini, kita pasti menghadapi yang namanya ketidakpastian. Unsur ketidakpastian ini seringkali menimbulkan suatu kerugian. Ini merupakan sifat yang universal, hampir selalu ada pada semua aspek kehidupan manusia. Kerugian atas unsur ketidakpastian ini dapat disebut sebaga risiko. Risiko dapat berwujud dalam berbagai hal, contohnya adalah sebuah aktivitas. Baik itu dalam aktivitas ekonomi, sosial, maupun aktivitas hukum. Untuk itu, agar dapat menanggulangi segala risiko yang mungkin terjadi diperlukan sebuah proses yang dinamakan sebagai manajemen risiko. Manajemen risiko merupakan kegiatan manajemen yang dilakukan pada tingkatan pimpinan pelaksana, yaitu kegiatan penemuan dan analisis sistematis kerugian yang mungkin dihadapi perusahaan akibat suatu risiko serta metode yang paling tepat untuk menangani kerugian yang dihubungkan dengan tingkat profitabilitas perusahaan.
Dalam praktiknya, manajemen risiko umumnya dikelompokkan berdasarkan industri di mana manajemen risiko diterapkan, berdasarkan tingkatan organisasi di mana manajemen risiko dipraktikkan, ataupun berdasarkan jenis risiko yang dikelola. Mengacu pada pengelompokkan industri, manajemen risiko umumnya dipisahkan dalam 2 (dua) kelompok besar, yaitu manajemen risiko pada institusi keuangan, seperti halnya industri perbankan dan institusi non-keuangan. Pengelompokkan lainnya, yaitu pengelompokkan struktural, mengelompokkan manajemen risiko berdasarkan tingkatan organisasi tempat praktik pengelolaan risiko berlangsung. Pada umumnya, pengelompokkan ini membagi manajemen risiko menjadi pengelolaan risiko di tingkatan strategis, atau dikenal sebagai manajemen risiko strategis, pengelolaan risiko di tingkatan operasional, dikenal sebagai manajemen risiko operasional, serta pengelolaan risiko di tingkatan proyek, disebut juga manajemen risiko proyek. Selain itu pada cakupan yang lebih luas, pengelompokkan secara struktural dapat berupa pengelolaan risiko di tingkat perusahaan sebagai entitas tunggal, maupun pengelolaan risiko di tingkat korporat (enterprise-wide risk management) yang mencakup beberapa entitas bisnis, seperti perusahaan induk dan perusahaan anak (subsidiary).
Membahas tentang manajemen risiko mungkin terbenak dalam pikiran kita, apakah ada standar khusus yang membahas tentang manajemen risiko? Seperti yang kita tau International Organization for Standardization (ISO) telah menerbitkan lebih dari 21.000 standar ISO terkait berbagai macam hal, tak terkecuali dengan manajemen risiko. Pada 15 November 2009 ISO merilis dokumen ISO 31000:2009 Risk Management – Principles and Guideline. Bersama dengan dokumen ini dirilis juga beberapa dokumen yang masuk kedalam kategori “keluarga ISO 31000” (ISO 31000 families), yaitu ISO/IEC 31010:2009 Risk Management – Risk Assessment Techniques dan ISO Guide 73:2009 Risk Management – Vocabulary. Semenjak pertama kali dirilis oleh ISO, ISO 31000:2009 mendapat sambutan yang sangat positif oleh berbagai kalangan luas. Meskipun ISO 31000:2009 tidak ditujukan untuk keperluan sertifikasi dan hanya menjadi referensi panduan praktik terbaik saja, standar ini diadopsi menjadi standar nasional manajemen risiko di berbagai negara. Hingga Januari 2017 saja, lebih dari 50 negara di dunia yang telah mengadopsi ISO 31000:2009 sebagai standar nasional di negaranya, di mana salah satunya adalah Indonesia. hingga pada bulan Februari tahun 2018 kemarin, ISO merilis versi terbaru standar manajemen risiko yaitu ISO 31000:2018. Pada ISO 31000:2018 tidak terdapat perubahan yang signifikan dengan standar-standar sebelumnya. ISO 31000:2018 tetap mempertahankan keberadaan 3 unsur penting dalam penerapan manajemen risiko, yaitu bahwa bahwa penerapan manajemen risiko harus mengacu atau berdasarkan serangkaian Prinsip Manajemen Risiko, yang kedua pengaturan pelaksanaannya tertuang dalam Kerangka Kerja Manajemen Risiko, dan yang ketiga semua hal tersebut harus diwujudkan dalam serangkaian aktivitas dalam Proses Manajemen Risiko.
Dalam ISO 31000:2018 dijelaskan bahwa prinsip-prinsip manajemen risiko berperan penting dalam praktiknya. Terdapat 11 prinsip yang harus dipahami, prinsip-prinsip tersebut meliputi: Prinsip Pertama: Manajemen risiko menciptakan dan melindungi nilai. Manajemen risiko berkontribusi pada pencapaian tujuan dan perbaikan kinerja yang dapat didemonstrasikan dalam, misalnya, keselamatan dan kesehatan manusia, keamanan, kepatuhan pada hukum dan perundang-undangan, keberterimaan oleh publik, perlindungan lingkungan, mutu produk, manajemen proyek, efisiensi dalam operasi, tata kelola, dan reputasi; Prinsip Kedua: Manajemen risiko adalah bagian terpadu dari semua proses dalam organisasi. Manajemen risiko bukan kegiatan berdiri sendiri yang terpisah dari kegiatan dan proses utama sebuah organisasi. Manajemen risiko adalah bagian dari tanggung jawab manajemen dan merupakan bagian terpadu dari semua proses organisasi, termasuk perencanaan strategis dan semua proses manajemen proyek dan proses manajemen perubahan; Prinsip Ketiga: Manajemen risiko merupakan bagian dari pengambilan keputusan. Manajemen risiko membantu para pengambil keputusan untuk membuat pilihan berdasarkan informasi yang dianggap cukup, prioritas tindakan, dan membedakan di antara berbagai alternatif Tindakan; Prinsip Keempat: Manajemen risiko secara eksplisit ditujukan pada ketidakpastian. Manajemen risiko secara eksplisit mempertimbangkan ketidakpastian, sifat dari ketidakpastian, dan bagaimana ketidakpastian tersebut disikapi; Prinsip Kelima: Manajemen risiko bersifat sistematik, terstruktur, dan tepat waktu. Manajemen risiko merupakan sebuah pendekatan yang terstuktur, tepat waktu, dan sistematik yang berkontribusi terhadap efisiensi dan hasil yang konsisten, dapat diperbandingkan dan andal; Prinsip Keenam: Manajemen risiko berdasarkan informasi terbaik yang tersedia. Manajemen risiko merupakan masukan pada proses pengelolaan risiko berdasarkan sumber-sumber informasi seperti data historis, pengalaman, umpan baik pemangku kepentingan, observasi, prakiraan, dan penilaian ahli. Namun, para pembuat keputusan harus memiliki informasi yang cukup bagi dirinya dan harus juga memperhitungkan keterbatasan data atau model yang digunakan atau kemungkinan perbedaan pendapat di antara para ahli; Prinsip Ketujuh: Manajemen risiko disesuaikan penggunaannya. Manajemen risiko diselaraskan dengan konteks eksternal dan internal organisasi serta profil risiko; Prinsip Kedelapan: Manajemen risiko mempertimbangkan faktor manusia dan budaya. Manajemen risiko mengakui kapabilitas, persepsi, dan intensi dari orang-orang (pihak eksternal dan internal) yang dapat memfasilitasi atau menghambat pencapaian sasaran organisasi; Prinsip Kesembilan: Manajemen risiko bersifat transparan dan inklusif. Keterlibatan yang layak dan tepat waktu dari para pemangku kepentingan, khususnya pengambil keputusan di semua tingkat organisasi, memastikan bahwa manajemen risiko tetap relevan dan mutakhir. Keterlibatan juga membolehkan pemangku kepentingan untuk diwakili secara tepat serta guna mendapatkan pandangan mereka untuk dipertimbangkan dalam menentukan kriteria risiko; Prinsip Kesepuluh: Manajemen risiko bersifat dinamis, berulang, dan responsif terhadap perubahan. Manajemen risiko peka dan responsif secara terus-menerus terhadap perubahan. Pada saat dilakukan pemantauan dan tinjauan risiko, akibat dari terjadinya peristiwa eksternal dan internal, konteks dan pengetahuan berubah maka risiko baru muncul, beberapa berubah, dan lainnya menghilang; Prinsip Kesebelas: Manajemen risiko memfasilitasi perbaikan terusmenerus dari organisasi. Organisasi harus mengembangkan dan mengimplementasikan strategi untuk meningkatkan kematangan manajemen risiko bersamaan dengan semua aspek lain dari organisasi mereka.
Berdasarkan pemahaman prinsip-prinsip diatas kita dapat menggunakannya sebagai metode untuk mengelola manajemen risiko dalam organisasi. Lantas apa tujuan dari pengelolaan manajemen risiko? Tujuannya meliputi: pertama, sebagaimana dijelaskan diatas salah satu tujuan manajemen risiko yaitu untuk meningkatkan kemungkinan pencapaian sasaran organisasi dan peningkatan kinerja. Manajemen risiko melindungi organisasi dari tingkat risiko signifikan yang dapat menghambat pencapaian sasaran organisasi dan meningkatkan kinerja organisasi melalui penyediaan informasi tingkat risiko yang dituangkan dalam profil risiko yang berguna bagi manajemen dalam pengembangan strategi dan perbaikan proses manajemen risiko secara berkesinambungan dan terus-menerus; kedua, meningkatkan efektivitas alokasi dan efisiensi penggunaan sumber daya organisasi, hal ini sesuai dengan prinsip “mencegah lebih baik dari pada mengobati” karena dengan diterapkannya manajemen risiko pada sebuah organisasi maka penggunaan sumber daya organisasi akan lebih efisien dan efektif, dimana jika risiko-risiko tersebut tidak dikelola akan berdampak besar terhadap penggunaan sumber daya yang berlebih, sebagaimana ilustrasi contoh diatas apabila lebih mengikuti perkembangan teknologi dan memperhatikan kinerja staf IT nya sehingga risiko-risiko yang berhubungan dengan pemadaman listrik dan error pada server tidak akan terjadi; ketiga, meningkatkan kepercayaan para pemangku kepentingan, dengan adanya tata kelola terhadap risiko-risiko yang dihadapai organisasi maka dapat dipastikan tingkat kepercayaan para pemangku kepentingan meningkat, hal ini karena kejadian/peristiwa yang menghambat pencapian sasaran organisasi telah ditangani dengan baik dan kesempatan yang diharapkan telah termanfaatkan; ke-empat, meningkatkan ketahanan dan nilai tambah organisasi. Manajemen risiko berkontribusi terhadap pencapaian tujuan perusahaan dan dibuktikan dengan terjadinya peningkatan kinerja, misalnya efisiensi dalam operasional organisasi, keamanan, kesehatan dan keselamatan kerja, ketaatan terhadap hukum dan peraturan, lingkungan hidup, kualitas layanan, tata kelola organisasi dan reputasi. Misalnya Kejadian Risiko “Terjadinya Gangguan Pada Server Perusahaan Karoseri ‘Terbesar’ di Indonesia” apabila dikelola dan dimitigasi dengan baik akan meningkatkan reputasi organisasi; kelima, memberikan dasar yang kuat dalam pengambilan keputusan dan perencanaan. Manajemen risiko dapat membantu menunjukkan semua risiko yang ada, mana risiko yang dapat diterima dan mana risiko yang memerlukan perlakuan lebih lanjut. Manajemen risiko juga memantau apakah perlakuan risiko yang telah diambil memadai dan cukup efektif atau tidak. Informasi ini merupakan bagian dari proses pengambilan keputusan.
Dari tulisan diatas, dapat diambil kesimpulan bahwa risiko itu adalah kemungkinan terjadinya suatu peristiwa yang berdampak terhadap pencapaian sasaran organisasi, baik berdampak negatif (sesuatu yang tidak diharapkan namun terjadi) maupun berdampak positif (sesuatu yang diharapkan namun tidak terjadi). Adapun alasan utama mengapa risiko perlu dikelola yaitu untuk meningkatkan kemungkinan pencapaian sasaran organisasi melalui penanganan terhadap risiko-risiko yang berdampak negatif dan meningkatkan kinerja melalui pemanfaatan risiko yang berdampak positif (oppurtinity).
Semoga bermanfaat