Proses membuat agregasi risiko diperlukan agar manajemen risiko dapat seharusnya dilaksanakan secara menyeluruh dalam organisasi. Dengan penerapan yang menyeluruh, penggunaan sumber daya dan kapasitas akan dapat dioptimalkan, sehingga diperoleh operasi yang efisien dan hemat. Dari proses inilah manajemen risiko dapat menciptakan nilai.
Akan sangat ideal jika sumber risiko, pengendalian dan mitigasi serta risiko sisa (residual risk) nya berada dalam satu pemilik risiko atau risk owner. Akan tetapi kondisi ideal ini justru jarang terjadi. Proses produksi dalam organisasi umumnya membentuk sistem yang kontinum. Keluaran suatu bagian organisasi akan menjadi masukan bagi bagian organisasi yang lain. Demikian sambung menyambung sehingga terjadi proses konversi bahan baku menjadi produk dan jasa yang menciptakan nilai ekonomi. Kontinum yang berisi banyak proses ini tidak bebas dari dampak ketidak pastian yang kemudian disebut risiko. Kegagalan sebuah proses dapat terjadi karena kegagalan bagian organisasi yang lain menyediakan masukan yang tepat.
Terdapatnya kebutuhan manajemen risiko lintas pemilik risiko ini atau lintas sektor, jika tidak ditangani secara menyeluruh atau agregasi risiko justru akan menyebabkan efek kontraksi dalam penerapan manajemen risiko. Teknik yang terbanyak dipakai dalam manajemen risiko adalah menggunakan model pencadangan. Oleh karena itu, pendekatan per bagian organisasi, atau yang disebut dengan pendekatan silo membutuhkan banyak sumber daya dan aktivitas yang hanya membentuk penyangga (buffer) operasi.
Integrasi manajemen risiko dalam proses produktif organisasi menjadi sangat penting untuk menangani risiko-risiko, utamanya yang melintas bagian organisasi. Integrasi manajemen risiko dalam proses bisnis akan berdampak positif sangat besar. Karena menggabungkan konsep selera risiko dan penyangga untuk mendapatkan proses produksi yang konstan. Oleh karena itu, integrasi merupakan prasyarat agar organisasi mendapatkan sistem manajemen yang pantas disebut sebagai Enterprise (Wide) Risk Management.
Kepemilikan Proses dan Risiko
Pendekatan penerapan manajemen risiko pada tahapan awal (initial) yang disarankan adalah dengan menggunakan pendekatan penerapan sebagian-sebagian, pada awal penerapan. Skala kecil ini digunakan untuk inventarisasi proses, praktik dan budaya dalam organisasi yang telah ada yang dapat dikapitalisasi untuk mendukung penerapan manajemen risiko. Dengan demikian pada saat penerapan sebenarnya pada seluruh bagian organisasi, maturitas kedua (repeatable) tidak membututuhkan waktu pematangan yang panjang. Organisasi dapat segera membentuk sistem manajemen risiko menyeluruh sehingga akan langsung diperoleh maturitas manajemen risiko yang ketiga (defined).
Sayangnya, kebanyakan organisasi tidak melakukan penerapan manajemen risiko dengan cara demikian. Implementasi dilakukan secara menyeluruh pada semua bagian organisasi pada tahapan inisiasi. Lemahnya koordinasi dan pengawasan yang sebetulnya adalah kewajaran dalam maturitas initial, diatasi dengan meletakkan status pemilik risiko yang tinggi dalam hirarki organisasi dan membentuk unit kerja manajemen risiko.
Kedua cara yang dilakukan untuk mengatasi masalah pada tahapan inisiasi ini, keduanya membawa masalah baru. Meletakkan status kepemilikan risiko yang terlalu tinggi, menciptakan proses manajemen risiko menjadi terpisah dari proses produktif organisasi. Akibatnya kepemilikan risiko tidak dapat disetarakan dengan kepemilikan proses/ kegiatan. Demikian juga championship yang dilakukan oleh unit kerja manajemen risiko makin mengaburkan kepemilikan risiko. Pada banyak kasus, para staf di organisasi menganggap bahwa manajemen risiko adalah urusan unit kerja manajemen risiko.
Pengembangan Profil Risiko
Tidak dapat disetarakannya kepemilikan proses dengan kepemilikan risiko menyebabkan sistem manajemen risiko menjadi proses yang terpisah dari proses organisasi. Risiko tidak dapat dilacak karena ketiadaan dasar keterhubungan (audit trail), akibat tidak semua pemilik proses adalah pemilik risiko. Profil risiko yang seharusnya merupakan hasil bersama (by-product) dari proses organisasi, terpaksa harus diproduksi dengan niatan. Konsekuensinya besaran risiko tidak dapat direlasikan secara tepat dengan hasil kegiatan atau proses, karena keduanya dihasilkan melalui sistem yang berbeda.
Terdapat berbagai cara, profil risiko organisasi dapat dihasilkan. Akan tetapi, profil ini tidak akan menggambarkan kerentanan nyata organisasi terhadap risiko. Agregasi risiko untuk mendapatkan profil risiko organisasi dapat dilakukan dengan pendekatan pemilihan top risks untuk dieskalasi ke bagian organisasi pada hirarki yang lebih tinggi. Umumnya di lapangan digunakan 10 risiko, sehingga dikenal dengan sebutan top ten risks. Demikian seterusnya hingga pada ujung yang tertinggi dari hirarki organisasi akan diperoleh top ten corporate risk, yang dianggap mewakili risiko-risiko utama yang menyusun profil risiko organisasi.
Demikian juga jenis risiko sering tidak diambil dari pengamatan hasil operasi, tetapi digali melalui persepsi. Sebagai gantinya identifikasi risiko dilakukan melalui persepsi yang dijaring melalui kegiatan diskusi terpimpin (focus group discussion/ FGD). Hasil FGD kemudian diolah oleh unit manajemen risiko menjadi profil risiko yang merupakan opini bersama anggota organisasi tentang kerentanan yang mereka hadapi.
Kelemahan utama yang teridentifikasi dalam penyusunan profil risiko dengan pendekatan top ten risks, adalah hilangnya banyak risiko karena tercatat sebagai risiko dengan urutan ke sebelas dan seterusnya dalam register risiko pemilik risiko. Dalam pendekatan ini, risiko kesebelas dan seterusnya diabaikan karena tidak perlu dilaporkan ke bagian organisasi yang lebih tinggi hirarkinya.
Tidak tersambungnya risiko secara hirarkikal akibat diabaikannya risiko nomor sebelas dan seterusnya, mencirikan pendekatan silo dalam penerapan manajemen risiko. Variabilitas hasil suatu bagian organisasi yang dapat dijelaskan oleh besaran nilai risiko hanya bagian organisasi pada tingkatan hirarki yang paling bawah. Begitu risiko dieskalasi ke bagian organisasi dengan hirarki yang lebih tinggi terdapat beberapa risiko yang diabaikan karena menempati urutan besar. Kondisi ini akan bermuara pada tidak dapat dijelaskannya penyimpangan hasil suatu bagian organisasi yang memiliki sub bagian, oleh besaran risiko yang dilaporkan menyertai pelaporan kegiatan dan hasil-hasilnya.
Metode agregasi risiko dengan menyertakan hanya top ten risks dalam penyusunan profil risiko, mengindikasikan maturitas manajemen risiko repeatable atau level 2. Proses manajemen risiko dapat diulang, karena seluruh bagian organisasi telah mampu mengenali dan mengukur risiko bagiannya. Akan tetapi bagian organisasi dengan hirarki lebih tinggi gagal mengukur dengan tepat risiko agregat yang dilaporkan oleh unit organisasi yang dibawahinya.
Kuantifikasi Risiko
Dalam pengukuran maturitas manajemen risiko, kuantifikasi nilai dijadikan ciri maturitas 4 terkelola (managed). Sangat mungkin bahwa pertimbangannya adalah kuatifikasi diperlukan untuk penetapan indikator risiko utama (key risk indicator /KRI). Kepemilikan KRI memang membuktikan bahwa risiko menjadi terkelola. Apalagi jika KRInya berupa indikator pendahulu (leading indicator). Terbacanya indikator risiko, memungkinkan dilaksanakannya rencana mitigasi secara tepat waktu.
Akan lebih memudahkan jika kuantifikasi dalam manajemen risiko dilakukan untuk pecepatan terbentuknya sistem manajemen risiko, yang menjadi ciri maturitas 3 terdefinisi (defined). Untuk sebuah pemilik risiko, sepuluh risiko utama memang dapat menjadi terlalu banyak, dapat pula terlalu sedikit. Akan sangat sayang kalau ternyata sepuluh adalah terlalu sedikit yang dikaburkan dengan pengukuran yang keliru. Akibat pengukuran yang didasarkan pada pendapat (persepsi) risiko yang penting justru mendapatkan urutan yang lebih akhir.
Akurasi pengukuran risiko boleh jadi adalah salah satu kelemahan dalam penerapan manajemen risiko berpendekatan silo. Putusnya keterhubungan antar bagian organisasi, membolehkan para pemilik risiko untuk tidak melaporkan nilai risiko dengan akurasi yang tinggi. Untuk melaksanakan agregasi dengan pendekatan top ten risk tidak diperlukan pengukuran obyektif hingga derajad ratio. Penilaian subyektif yang dapat digunakan untuk sekedar mengurutkan (ordinal) sudah mencukupi. Sementara itu, perasaan dan subyektivitas dapat mendorong tertukarnya yang terdahulu dengan yang lebih belakangan.
Proses agregasi risiko yang mendorong terbentuknya sistem
Risiko adalah pengganggu yang membuat capaian-capaian meleset dari target tujuan. Manajemen risiko mencerminkan kemampuan mengembangkan kapabilitas yang dikaitkan dengan strategi pencapaian tujuan atau sasaran. Kegiatan inti manajemen risiko adalah menetapkan aktivitas pengendalian dan rencana mitigasi untuk mencapai selera risiko yang tertentu atas capaian organisasi.
Logikanya, jika peristiwa risiko banyak terjadi maka variabilitas pencapaian hasil akan lebar. Sebalinya jika risikonya mengecil maka simpangan capaian terhadap target akan terukur kecil. Oleh karena itu, variabel target, capaian dan risiko merupakan unsur penting yang membentuk profil risiko.
Dalam agregasi risiko, untuk dapat memasukkan ketiga variabel tersebut dalam profil risiko, keberadaan dan besarannya harus mulai dijaga sejak pengembangan daftar risiko (risk register). Usulan daftar risiko dimaksud, dapat dicermati dalam gambar berikut:
Pembuatan daftar risiko ini akan mudah kalau dilekatkan menjadi penugasan pemilik kegiatan. Dengan muatan informasi yang demikian, daftar risiko bukanlah produk yang ditambahkan karena organisasi menerapkan manajemen risiko. Daftar risiko adalah kewajaran karena merupakan alat pemantauan atas target-target pemilik kegiatan. Setiap pemiliki kegiatan dapat melengkapi seluruh informasi yang diperlukan tanpa bantuan siapapun. Sehingga tidak lagi diperlukan proses FGD hanya untuk sekedar memperbaharui profil risiko.
Besaran risiko merupakan aturan keputusan (decision rule) yang diturunkan dari selera risiko. Nilai ini dapat dapat dihitung berdasarkan peluang untuk mencapai target-target dalam kerangka waktu dan kapasitas yang tersedia. Jika peluang untuk mencapai target kecil, maka nilai risiko akan terhitung besar. Sebaliknya jika peluang untuk mencapai target adalah besar, maka risiko akan terhtung kecil.
Karena berpendekatan kuantitatif, maka agregasi risiko juga dapat dilaksanakan dengan cara yang obyektif dan mudah. Dengan menggunakan struktur penetapan tanggung jawab pencapaian kontrak manajemen, akan diperoleh model agregasi risiko yang setara dengan kaskading indikator kinerja, seperti gambar berikut:
Usulan metode agregasi risiko ini akan menyediakan banyak audit trail untuk evaluasi penerapan manajemen risiko. Setiap kegagalan atau keberhasilan akan dapat dilacak penyebab dan tempat terjadinya. Agregasi risiko menjadi akurat, karena dihitung secara kuantitatif pada keterhubungan yang jelas, dan bobot yang tepat. Gambaran agregasi risiko akan seperti gambar berikut:
Menggunakan contoh dalam gambar, penyimpangan hasil fungsi dapat dilacak apakah semata-mata risiko dari pemilik fungsi atau ada sumbangan risiko agregat dari pemilk kegiatan yang menjadi subsetnya. Demkian juga, risiko yang mempengaruhi hasil kegiatan, dapat diuraikan menjadi risiko asli kegiatan dan risiko agregatyang dibawa dari kejadian-kejadian. Sebutan untuk kepemilikan risiko ini barangkali yang memerlukan konsensus penyebutannya.
Tergantung struktur pengorganisasiannya, agregasi risiko mungkin harus dilakukan dengan urutan proses atau bagian organisasi. Urutan proses akan digunakan jika produksi distruktur fungsional, seperti halnya value chain. Sementara itu, agregasi risiko ke bagian organisasi akan diperlukan jika produksi distruktur secara divisional.
sumber: https://bengkelgrc.id/2020/08/09/agregasi-risiko/