BAB VI: IMPLEMENTASI MANAJEMEN RISIKO PERUSAHAAN
7. Asesmen Risiko
Proses asesmen risiko merupakan proses untuk mengidentifikasi risiko-risiko apa saja yang mungkin terjadi, kemudian masing-masing risiko tersebut akan diberi atribut sesuai dengan analisis yang dilakukan terhadap setiap risiko itu dengan menggunakan kriteria risiko yang ditentukan pada tahap sebelumnya. Setelah risiko-risiko tersebut telah mendapatkan atributnya, maka akan dilakukan evaluasi untuk menentukan peringkat risiko, sehingga dapat ditentukan tingkat prioritas risiko yang akan memerlukan perlakuan risiko ditahap berikutnya. Dengan demikian maka dalam tahap ini akan dilakukan pembahasan mengenai Identifikasi risiko, Analisis risiko, dan Evaluasi risiko.
Tinggi Tinggi Rendah Rendah D A M P A K KEMUNGKINAN Di luar Selera Risiko Di dalam Selera Risiko
a. Identifikasi Risiko
Tahapan ini bertujuan untuk mengidentifikasi risiko yang harus dikelola perusahaan melalui proses yang sistematis dan terstruktur. Proses ini sangat penting karena risiko yang tidak teridentifikasi pada proses ini tidak akan ditangani pada proses-proses selanjutnya. Proses ini juga harus mengupayakan untuk mengidentifikasikan risiko-risiko, baik dalam kendali maupun di luar kendali organisasi perusahaan (eksternal).
Proses tersebut dimulai dengan mengidentifikasikan secara komprehensif, ekstensif, dan intensif mengenai risiko apa saja yang dapat terjadi, di mana, dan situasi apa risiko dapat terjadi. Setelah diperoleh daftar risiko yang dapat terjadi, maka mulai dianalisis mengapa hal tersebut dapat terjadi dan bagaimana terjadinya. Penting untuk diperhatikan bahwa risiko yang tidak teridentifikasi pada tahap ini tidak akan masuk dalam perhatian penanganan proses selanjutnya.
Sasaran identifikasi risiko adalah mengembangkan daftar sumber risiko dan kejadian yang komprehensif serta memiliki dampak terhadap pencapaian sasaran dan target (atau elemen kunci) yang teridentifikasi. Dokumen utama yang dihasilkan dalam proses ini adalah daftar risiko (risk register).
Risiko dalam manajemen risiko bukan sekadar suatu kejadian, peristiwa, atau kondisi yang dapat berkembang/terjadi, namun mencakup pula berbagai informasi yang terkait dengan kejadian, peristiwa, atau kondisi tersebut. Oleh karena itu dalam proses identifikasi risiko, informasi yang dikumpulkan antara lain mencakup:
1) Sumber risiko: stakeholders, benda, atau kondisi lingkungan yang dapat memicu timbulnya risiko.
2) Kejadian: peristiwa yang dapat terjadi dan berdampak terhadap pencapaian sasaran dan target.
4) Pemicu (apa dan mengapa): faktor-faktor yang menjadi pemicu timbulnya suatu peristiwa berisiko. Ini terkait dengan kemungkinan terjadinya risiko.
5) Pengendalian: langkah-langkah antisipasi dan pencegahan awal yang dapat dilaksanakan.
6) Perkiraan kapan risiko terjadi dan di mana risiko itu dapat terjadi.
Elemen-elemen kunci di atas dapat bertambah atau berkurang, tergantung kebutuhan pada saat menetapkan konteks manajemen risiko.
Untuk mengembangkan daftar risiko yang komprehensif, digunakan suatu proses sistematis dan terstruktur yang sudah dilakukan sejak penentuan konteks manajemen risiko. Proses identifikasi risiko yang efektif dapat ditunjukkan bila menggunakan tahapan yang terstruktur pada proses, proyek, dan kegiatan sesuai dengan kriteria yang telah digunakan ketika menetapkan konteks manajemen risiko. Hal ini untuk memastikan bahwa proses identifikasi risiko telah berlangsung komprehensif dan tidak ada proses atau isu penting yang terlewatkan.
Ada banyak teknik untuk melakukan proses identifikasi risiko, namun secara umum teknik tersebut dapat dikategorikan sebagai berikut:
1) Berdasarkan teknik Brainstorming antara lain, adalah Brainstorming, Delphi Method, RCSA (Risk Control Self-Assessment), dan lain-lain.;
2) Berdasarkan persepsi para pihak terkait, misalnya antara lain Document Review, Stakeholders Analysis, Expert Judgement, dan lain-lain.;
3) Berdasarkan proses bisnis, misalnya FMEA (Failure Mode & Effect Anlysis);
4) Berdasarkan struktur organisasi atau struktur pekerjaan (workbreakdown structure), misalnya RBS (Risk Breakdown Structure).
Dalam praktiknya proses indentifikasi risiko dapat saja dilakukan dengan kombinasi dari berbagai macam teknik di atas untuk memastikan bahwa semua risiko telah dapat diidentifikasi. Hasil akhir dari proses identifikasi risiko adalah pembuatan daftar risiko.
Daftar risiko adalah suatu rekaman data mengenai riwayat risiko dan perkembangan perlakuannya. Dengan demikian, daftar risiko merupakan data dasar dalam proses manajemen risiko yang harus selalu dimutakhirkan sesuai dengan perkembangan dan dinamika proses, serta konteks organisasi. Namun tidak terdapat suatu format baku dalam penyusunan daftar risiko.
Secara umum, struktur isi dari daftar risiko meliputi tiga hal; yaitu bagian pertama untuk pengendalian dokumen; bagian kedua untuk identitas risiko; dan bagian ketiga adalah riwayat risiko.
Bagian pertama yang merupakan pengendalian dokumen berisikan hal-hal sebagai berikut:
1) Judul dokumen; 2) Nomor dokumen;
3) Nomor pemutakhiran /revisi; 4) Nama risiko;
5) Lokasi proses / bagian tempat risiko; 6) Tanggal pembuatan;
7) Lembar pengesahan, yang memuat:
a) Pihak yang membuat /pemangku risiko;
b) Pihak yang memeriksa/ atasan pemangku risiko; c) Pihak yang menyetujui;
Bagian kedua yang merupakan identitas risiko berisikan hal-hal sebagai berikut: 1) Uraian rinci mengenai risiko;
2) Perkiraan sumber risiko dan pemicu terjadinya risiko;
3) Pemangku kepentingan yang terkait dengan risiko tersebut (partisipan terhadap risiko tersebut);
5) Uraian kemungkinan terjadinya risiko tersebut dan peringkat nilai kemungkinannya;
6) Tingkat kegawatan risiko, yaitu nilai dampak dikalikan dengan nilai kemungkinan; 7) Status risiko dan informasi perkembangannya, apakah risiko tersebut masih aktif
atau sudah tidak aktif, atau bahkan berkembang menjadi lebih besar; 8) Catatan hasil monitoring dan review.
Bagian ketiga dari daftar risiko merupakan riwayat dari perlakuan yang sudah dilakukan terhadap risiko tersebut. Bagian ini berisikan hal-hal sebagai berikut:
1) Nomor perlakuan risiko;
2) Penanggung jawab perlakuan risiko;
3) Jenis dan uraian perlakuan risiko secara umum; 4) Jadwal perlakuan risiko yang direncanakan;
5) Target perlakuan risiko yang dapat meliputi penurunan dampak risiko dan/atau kemungkinan timbulnya risiko;
6) Pemeriksaan hasil perlakuan risiko sesuai dengan target perlakuan risiko, yaitu nilai dampak dan nilai kemungkinan;
7) Keputusan terhadap hasil perlakuan risiko, apakah diterima ataukah memerlukan perlakuan risiko lebih lanjut.
Tabel risiko merupakan tabel yang berisikan kumpulan risiko-risiko yang sudah dibuatkan daftar risikonya. Keduanya merupakan hasil keluaran proses identifikasi risiko.
b. Analisis Risiko
Analisis risiko adalah upaya untuk memahami risiko lebih dalam. Hasil analisis risiko ini akan menjadi masukan dalam proses evaluasi risiko dan yang nantinya digunakan untuk proses pengambilan keputusan mengenai perlakuan terhadap risiko tersebut. Selain itu analisis risiko dapat diartikan juga sebagai cara dan strategi yang tepat dalam memperlakukan risiko tersebut.
Proses analisis seringkali dimulai dengan pendekatan kualitatif sederhana guna memberikan pemahaman umum. Ketika pemahaman lebih rinci dibutuhkan maka diperlukan investigasi yang lebih terarah dan handal. Namun, kurang tepat jika berasumsi bahwa analisis kuantitatif lebih superior daripada analisis kualitatif. Karena yang penting adalah kesesuaian penggunaan pendekatan analisis dengan kebutuhan berdasarkan situasi yang berkembang saat itu.
Analisis risiko dapat dilaksanakan dengan tingkat kerincian yang bervariasi, tergantung dari jenis risiko, sasaran analisis risiko, informasi, data, dan sumber daya yang tersedia. Analisis dapat dilakukan secara kuantitatif, semi kuantitatif, kualitatif, atau kombinasi dari cara-cara ini, tergantung dari kondisi yang ada. Dalam praktik biasanya dilakukan analisis kualitatif terlebih dahulu untuk mendapatkan indikasi umum tingkat risiko dan mengetahui peta risiko serta risiko-risiko yang patut mendapat perhatian. Setelah itu, sesuai dengan keperluan, harus dilaksanakan langkah berikutnya dengan melakukan analisis yang lebih spesifik dan secara kuantitatif.
Tujuan dari analisis risiko adalah melakukan analisis dampak dan kemungkinan semua risiko yang dapat menghambat tercapainya sasaran organisasi, juga semua peluang yang mungkin dihadapi organisasi. Kondisi ini dicapai antara lain bila beberapa hal berikut dapat dipenuhi:
1) Proses analisis risiko dilaksanakan secara komprehensif dan mencakup semua risiko serta peluang yang ditemui dalam proses identifikasi risiko sebelumnya dan telah masuk ke dalam daftar risiko;
2) Semua yang terkait dengan risiko tersebut (para pemangku risiko) telah terlibat dalam proses analisis dan melakukan analisis berdasarkan informasi, data, serta pengetahuan yang mereka miliki dengan baik;
3) Proses analisis ini didampingi atau ditunjang dengan pengetahuan mengenai manajemen risiko yang memadai;
5) Ukuran kemungkinan dan dampak yang digunakan harus konsisten dan sesuai dengan organisasi tersebut. Apabila digunakan tabel kemungkinan dan dampak, besaran dan pengelompokan nilai yang digunakan hendaknya tidak terlalu lebar dan juga tidak terlalu sempit, tetapi sesuai dengan organisasi tersebut.
Pilihan metode analisis ditentukan oleh konteks, sasaran, dan sumber daya yang tersedia. Sebagai contoh, pada tingkat strategis, kategori risiko yang lebih luas dapat diidentifikasi dan dianalisis untuk memeroleh profil risiko organisasi. Profil ini akan menunjukkan isu-isu penting mengenai sistem manajemen dan perlakuan risiko yang perlu dibangun. Pada tingkat unit bisnis atau proyek, para Manajer perlu mengidentifikasi dan memprioritaskan risiko-risiko spesifik yang mengancam pencapaian sasaran/target yang ditetapkan.
Beberapa risiko perlu diuji lebih rinci lagi. Berikut ini adalah alasan-alasan diperlukannya analisis risiko secara kuantitatif, yaitu:
1) Untuk memperoleh lebih banyak informasi tentang konsekuensi atau kemungkinan sehingga keputusan mengenai prioritas risiko dapat berbasis data dan informasi daripada menduga-duga;
2) Untuk lebih memahami risiko dan penyebabnya sehingga rencana penanganan dapat diarahkan pada akar penyebab sebenarnya daripada gejala dari suatu permasalahan;
3) Di mana kriteria keputusan memerlukan analisis yang lebih mendalam, karena kriteria tersebut dinyatakan secara kualitatif;
4) Membantu setiap orang memilih opsi-opsi yang memiliki perbedaan dalam hal biaya dan manfaat serta potensi peluang dan ancaman;
5) Menyediakan pemahaman yang lebih baik tentang risiko kepada individu yang harus bekerja dengan menghadapi risiko;
6) Menyediakan pemahaman mengenai risiko tersisa setelah strategi penanganan risiko diterapkan.
Gambar 7: Peringkat Risiko
Berdasarkan formulasi hubungan dampak dan kemungkinan yang dapat dijadikan ukura pe eri gkata kega ata risiko aka aka diperoleh ga a ra hasil analisis risiko yang secara sederhana dapat ditampilkan pada gambar 7 di atas.
Setiap risiko berdasarkan hasil perkalian dampak dan kemungkinannya akan mendapatkan peringkat sesuai dengan posisinya dalam peta tersebut di atas. Mengingat bahwa pengertian risiko juga mempunyai pengertian positif, maka dampak pada gambar juga dapat diartikan peluang dan tidak hanya ancaman belaka.
c. Evaluasi risiko
Tujuan dari evaluasi risiko adalah membantu proses pengambilan keputusan berdasarkan hasil analisis risiko. Proses evaluasi risiko akan menentukan risiko-risiko mana yang memerlukan perlakuan dan bagaimana prioritas perlakuan atas risiko-risiko tersebut. Dengan kata lain hasil dari evaluasi risiko menunjukkan peringkat risiko yang memerlukan penanganan lebih lanjut atas dasar risiko yang tersisa dan efektifitas
Kecil Besar
D A M P A K
R e nd a h T in g g iK
E
M
U
N
G
K
I
N
A
N
Risiko Menengah Risiko Menengah Risiko Tinggi Risiko Rendahpengendalian risiko yang ada. Kemudian hasil evaluasi risiko tersebut akan menjadi masukan bagi proses perlakuan risiko.
Hasil analisis risiko menjadi masukan untuk dievaluasi lebih lanjut menjadi urutan prioritas perlakuan risiko, sekaligus menyaring risiko-risiko tertentu untuk tidak ditindaklanjuti atau diperlakukan khusus. Keputusan tindak lanjut tersebut mencakup: 1) Apakah suatu risiko butuh penanganan?
2) Apakah suatu tindakan penanganan perlu dilakukan? 3) Bagaimanakah prioritas perlakuan risiko disusun?
Sifat dari keputusan yang perlu diambil dan kriteria yang akan digunakan dalam pengambilan keputusan telah ditetapkan pada tahap penyusunan konteks, tetapi perlu ditinjau kembali secara lebih rinci pada tahap ini. Hal ini diperlukan karena telah diperoleh informasi lebih banyak mengenai risiko-risiko tersebut dari tahap analisis risiko.
Kriteria risiko yang paling sederhana hanya memisahkan antara risiko yang perlu ditangani dengan yang tidak perlu ditangani. Kesederhanaan ini menarik, tapi tidak menggambarkan unsur ketidakpastian dalam memperkirakan risiko dan menetapkan batasan yang jelas antara risiko yang butuh penanganan dengan yang tidak.
Saat ini, kebanyakan pihak membagi risiko ke dalam tiga kelompok:
1) Kelompok Atas (High Risks): adalah kelompok di mana terdapat risiko-risiko yang berbahaya dan tidak bisa ditolerir, apapun manfaat yang dikandung dalam kegiatan tersebut. Oleh karena itu, langkah-langkah mitigasi risiko (risk reduction) harus diambil, berapapun biayanya.
2) Kelompok Tengah (Medium Risks): adalah kelompok risiko di mana perlu ada analisis manfaat-biaya guna mengukur perbandingan antara peluang serta dampak buruknya.
3) Kelompok Bawah (Low Risk): adalah kelompok risiko di mana aspek positif atau negatif risiko tersebut sangat sepele atau terlalu kecil sehingga tidak butuh penanganan risiko secara khusus.
Contoh risiko jenis pertama di atas biasanya adalah risiko yang terkait dengan keselamatan dan kesehatan. Hal tersebut diperkuat apabila risiko ini dapat berubah menjadi pandemi yang melanda seluruh negara. Contoh untuk hal tersebut misalnya adalah untuk industri penerbangan, risiko terbesar adalah keselamatan penerbangan. Risiko jenis kedua biasanya risiko bisnis, di mana setiap peluang atau investasi atau suatu program peningkatan usaha harus dihitung terlebih dahulu manfaat versus biayanya. Sedangkan jenis risiko yang ketiga banyak kita jumpai dalam kehidupan sehari-hari, misalnya risiko salah tulis, salah makan, dsb. Yang perlu diperhatikan adalah bahwa risiko dari kesalahan kecil ini tidak membawa kejutan berupa dampak besar dan tidak diinginkan.
Dalam menentukan ke tiga kriteria risiko tersebut di atas maka pengertian pengendalian risiko harus ikut diperhatikan. Karena dapat saja hasil kriteria risiko berdasarkan analisis risiko masuk kriteria risiko tinggi, tetapi karena pengendalian risikonya efektif, maka risiko tersisa menjadi kecil, sehingga kategorinya menjadi risiko rendah. Dalam kondisi semacam ini perhatian akan difokuskan pada keberadaan pengendalian risiko dan apakah pengendalian risiko tersebut cukup efektif atau tidak.