Update Your Risk Register
“Jika dibiarkan, potensi kejadian tersebut bisa mengancam bisnis kita, harus segera diambil tindakan pengendalian dan ambil langkah proaktif untuk mencegahnya”, petikan ucapan seorang direktur perusahaan perihal adanya temuan baru mengenai potensi kejadian yang berpengaruh negatif pada target-target perusahaannya. Tentu teridentifikasinya potensi kejadian baru tersebut bukan merupakan “sesuatu” yang kebetulan, tetapi buah dari penerapan manajemen risiko yang selama ini telah dilaksanakan dengan penuh komitmen di perusahaan tersebut.
Ilustrasi di atas sungguhan terjadi ketika saya mendampingi perusahaan tersebut melakukan suatu kegiatan penting yang menjadi bagian dari penerapan manajemen risiko korporat pada organisasi. Risk Register Update, begitu sebutan untuk kegiatan tersebut.
Pernah kita bahas pada solusi keuangan beberapa waktu lalu, Risk Register adalah dokumen (biasanya berupa tabel) yang berisi daftar potensi kejadian kejadian risiko yang telah didentifikasi beserta dengan penyebabnya (risk agent) dan gejala-gejalanya, probabilitas dan dampak dari setiap kejadian risiko tersebut bagi organisasi, pemilik risiko (risk owner), ukuran risiko inherent (risiko sebelum tindakan respons dilaksanakan), rencana tindakan respons yang akan dilakukan (risk treatment plan) serta ukuran risiko residual (risiko tersisa setelah tindakan respons dilaksanakan).
Risk register merupakan hasil dari penerapan manajemen risiko, yang terdiri dari proses-proses yang harus dilakukan secara berkesimabungan. Dimulai dengan identifikasi potensi kejadian-kejadian risiko yang berpengaruh terhadap target bisnis dan akar penyebabnya (root cause) dengan disertai dokumentasi terhadap karakteristik dari risiko-risiko tersebut. Kemudian dilanjutkan dengan melakukan skala prioritas terhadap risiko-risiko untuk dianalisis lebih lanjut dengan memperkirakan dan menggabungkan probabilitas dan dampak untuk menghasilkan status risiko (seberapa berbahanya suatu kejadian risiko bagi organisasi). Tidak berhenti sampai disini, harus dilakukan perencanaan tindakan respons risiko dengan mengembangkan alternatif tindakan-tindakan yang akan dilakukan untuk mengurangi ancaman (threats) terhadap target-target organisasi. Selanjutnya harus ditentukan pihak internal yang bertanggung jawab terhadap potensi kejadian risiko tersebut dan bertanggung jawab untuk melakukan pemantauan dan pengendalian. Pihak ini selanjutnya disebut dengan pemilik risiko (risk owner).
Mungkin organisasi Anda, telah memiliki risk register yang dicetak rapi dan tebal. Namun risk register ini tidak akan ada artinya jika tidak dilakukan proses pemantauan dan pengendalian atas kejadian – kejadian risiko yang tercatat di dalamnya. Pemantauan dilakukan untuk memastikan bahwa rencana tindakan respons telah dilakukan secara efektif sembari mengamati setiap perubahan yang terjadi. Intinya Pemantauan dilakukan untuk memastikan apakah terdapat pengendalian internal yang cukup dari setiap potensi kejadian risiko di dalam risk register. Nah hasil dari proses pemantauan dan pengendalian risiko inilah yang akan melahirkan keperluan untuk melakukan pembaruan (update) atas risk register pada suatu organisasi.
Intinya proses melakukan update atas risk register dilakukan denga mengulangi proses proses manajemen risiko secara berkesinambungan. Update atas risk register harus dilakukan secara periodik, biasanya setiap 3 bulan sekali. Semakin frekuentif akan semakin baik, namun paling tidak 1 tahun sekali harus dilakukan. So, apakah perusahaan Anda telah melakukan update atas risk register di tahun 2014 ini ? Berikut beberapa petunjuk untuk melaksanakannya.
Pertama, buat dokumentasi perihal potensi kejadian-kejadian risiko yang telah terjadi selama setahun belakangan, hitung berapa besar dampaknya bagi organisasi dan jelaskan tindakan pengendalian apa yang telah dilakukan. Hal ini penting untuk pembelajaran bagaimana proses terjadinya kejadian risiko tersebut. Apakah selama ini tindakan respons terhadap potensi kejadian risiko tidak dilakukan ? atau tindakan yang diambil kurang efektif ? Atau justru kejadian kejadian risiko tersebut tidak teridentifikasi dalam proses identifikasi risiko pada periode sebelumnya? Temukan jawabannya.
Kedua, lakukan identifikasi atas potensi kejadian-kejadian risiko baru (new risk events) yang mempengaruhi pencapaian sasaran organisasi. Lengkapi dengan akar penyebabnya (root cause) dengan disertai dokumentasi terhadap karakteristik dari risiko-risiko tersebut. Pastikan bahwa setiap fungsi dalam organisasi bisa menginformasikan potensi kejadian risiko baru walaupun bukan berasal dari fungsinya sendiri.
Ketiga, lakukan identifikasi terhadap potensi-potensi kejadian risiko yang sudah tidak relevan lagi bagi organisasi (retired risk). Tentu harus dikemukan dengan alasan-alasan pendukung yang tepat dan akurat. Suatu potensi kejadian risiko bisa menjadi retired, karena tindakan respons yang dilakukan, atau karena perubahan-perubahan kondisi bisnis atau perubahan kebijakan dalam organisasi. Risiko yang telah retired jangan dibuang dari dalam risk register, karena bisa saja sewaktu-waktu menjadi aktif kembali karena perubahan atau untuk alasan pembelajaran.
Keempat, dapatkan informasi apakah terdapat perubahan perihal probabilitas dan dampak pada kejadian-kejadian risiko tertentu. Minta para risk owner untuk memberikan alasan perihal perubahan tersebut.
Kelima, lakukan evaluasi atas pelaksanaan rencana respons atas kejadian-kejadian risiko dalam risk register. Harus dipastikan apakah risk owner telah melakukan tindakan respons yang menjadi tanggungjawabhnya. Nah dalam hal ini, evaluasi harus dilakukan oleh pihak yang independen, bisanya diwakil fungsi Satuan Pengendalian Intern (SPI) dalam organisasi. SPI akan memberikan status pengendalian terhadap setiap kejadian risiko yang ada dalam risk register. Misalkan dengan menggunakan visualisasi, seperti jika pengendalian yang ada sudah menyeluruh (diberi warna hijau), jika pengendalian baru dilakukan sebagian (kuning), dan jika tidak terdapat pengendalian diberikan warna merah. Pada tahap ini sekaligus dilakukan identifikasi apakah terdapat perubahan atau tambahan dari tindakan rencana respons risiko untuk kejadian-kejadian risiko tertentu.
Hasil dari langkah-langkah di atas, berupa update atas risk profile dari organisasi sesuai dengan kondisi terkini. Pendek kata, semakin lengkap dan akurat isi dari risk register, akan semakin jernih organisasi untuk mengambil keputusan-keputusan strategis dan akan semakin besar peluang untuk tercapainya target-target bisnis. Tidak hanya itu, risk register bagi proyek-proyek yang dilaksanakan organisasi juga harus di update secara periodik, namun harus lebih frekuentif dibanding risk register atas fungsi korporat
Lantas, bagaimana membuat agar proses update atas risk register ini berlangsung dengan lancar dan efektif ? Proses ini bisa dilakukan dengan mendistribusikan kuesioner kepada semua fungsi dalam organisasi dan proyek-proyek. Kemudian lakukan workshop yang dihadiri oleh wakil setiap fungsi dan proyek untuk bersama-sama melakukan update atas risk register. Lakukan brainstorming dan buat challenge session dalam workshop tersebut untuk mendapatkan hasil yang lebih obyektif. Mumpung masih di awal tahun, jika belum dilakukan saatnya untuk segera melakukan update atas risk register organisasi atau proyek Anda. Bad things happen that can have serious consequences. With effective risk management procedures in place, you can reduce the number of unsavory surprises that you might encounter in the course of business. So update your risk register ! Salam
Category: Articles