Gairah untuk mendiskusikan manajemen risiko, pada tahun 2020 dan semester I tahun 2021 ini terasa agak meredup. Sangat mungkin bahwa “kepercayaan” pemilik risiko terhadap manajemen risiko terkikis oleh pandemi yang tidak teridentifikasi oleh sistem manajemen risiko perusahaan. Dapat pula karena permasalahan di sekitar manajemen risiko adalah tidak lagi mendapatkan prioritas anggaran akibat kinerja yang buruk, yang dialami banyak perusahaan saat pandemi. Jelas bahwa keduanya berkaitan, dan akarnya tentu saja kegagalan identifikasi risiko, sehingga kemudian juga menjadi penyebab kegagalan mitigasi sehingga dampak buruknya kembali pada perkembangan manajemen risiko.
Proses identifikasi risiko memang menjadi langkah awal proses manajemen risiko. Disamping menjadi awal identifikasi risiko dapat dipandang juga sebagai langkah terpenting, karena menjadi dasar dari langkah-langkah selanjutnya dalam proses manajemen risiko. Kegagalan mengidentifikasi, tidak akan mendorong kebutuhan mitigasi. Kesalahan identifikasi akan menyebabkan kesalahan pengukuran dan selanjutnya kesalahan tindakan mitigasi, dan seterusnya.
Beragam metode yang dapat dilakukan dalam identifikasi risiko dibahas oleh banyak literatur manajemen risiko. Ciri industri dimana perusahaan berada, umumnya menjadi pembeda diantara banyak metode tersebut. Akan tetapi, secara umum dapat disebut bahwa metode-metode yang ada, dapat digolongkan menjadi 2 model pendekatan, yaitu identifikasi secara top-down atau secara bottom up.
Apakah keduanya memiliki daya kenal yang sama? Kemudian apakah pemilik risiko memiliki kebebasan untuk memilih salah satunya? Dalam praktik jawaban atas kedua pertanyaan adalah “ya”. Karena pendekatan top-down lebih terlihat, maka identifikasi risiko yang praktiknya menggunakan media diskusi terarah (Focus Group Discussion/ FGD) ini menjadi pendekatan utama dalam kegiatan pengkinian profil risiko di banyak organisasi. Pada intinya pendekatan top-down mengidentifikasi risiko dari dokumen atau kegiatan perencanaan.
Pada pengenalan awal manajemen risiko, kegiatan penyusunan register risiko melalui FGD ini, merupakan kegiatan yang mengesankan bagi banyak personil di perusahaan. Akan tetapi dalam perjalanannya, FGD ini juga dapat dilacak menjadi salah satu sebab memudarnya gairah melaksanakan proses manajemen risiko. Beberapa pemilik risiko mulai memberikan arti lebih rendah pada produk sistem manajemen risiko, karena dilahirkan melalui FGD. Mereka merasa bahwa register atau profil risiko akhirnya hanya berupa hasil kesepakatan banyak orang, dan tidak banyak membantu pengelolaan risiko sebagaimana seharusnya.
Bagi perusahaan yang proses manajemen risikonya masih berada pada tahapan maturitas Initial dan Repeatable, menyusun register risiko melalui FGD merupakan pendekatan yang paling praktis. Sangat mungkin bahwa FGD menjadi satu-satunya metode untuk mengembangkan profil risiko, karena pada maturitas tersebut struktur sistem belum terbentuk. Kondisi ini mengharuskan dilakukannya identifikasi risiko secara khusus atau melalui proses yang terpisah.
Pada maturitas manajemen risiko Defined dan seterusnya, struktur sistem telah terbentuk. Identifikasi risiko akan terjadi secara otomatis dari analisa yang dilakukan oleh pemilik risiko atas capaian kinerjanya. Proses ini pasti terjadi, karena langkah terakhir dalam proses manajemen risiko adalah pemantauan dan pelaporan. Proses identifikasi risiko melalui langkah pemantauan hanya akan terganggu pada saat dilakukan peningkatan kapasitas sistem manajemen risiko. Pada situasi demikian, terdapat efek ganda yang linier (collinearity), bahwa risiko memang terjadi atau karena tidak lagi terkenali dan terukur karena peningkatan kapasitas.
Pada banyak kasus, risiko tereskalasi (atau terkontraksi) secara bertahap. Konsep manajemen risiko mengakomodasi fakta ini dengan membuka bahasan selera risiko. Pada kasus demikan, kepemilikan key risks indicator, memungkinkan organisasi untuk dapat lebih awal mengenali terjadinya risiko. Kondisi ini yang kemudian menempatkan sistem manajemen risiko sebagai mekanisme sistem peringatan dini (early warning system) akan terjadinya risiko. Key risk indicator juga menjadi salah satu tanda bahwa perusahaan berada pada tahapan maturitas Managed.
Ditilik dari prosesnya, pengenalan risiko yang dilakukan otomatis melalui sistem ini menjadi bagian dari kelompok pendekatan pengenalan risiko bottom up, karena risiko dikenali dari proses operasi. Jika proses pengenalan risiko ini dapat terlaksana, pengkinian profil risiko, dan kemungkinan semua proses dalam manajemen risiko dapat dilakukan tanpa usaha khusus. Risiko akan terkenali otomatis (effortless) pada saat laporan kinerja menunjukkan nilai yang berbeda dari target yang menjadi rujukannya. Produk yang dirancang untuk tujuan manajemen risiko menjadi hasil bersama dari sistem operasi untuk mencapai kinerja. Dengan demikian, perusahaan akan mampu merealisasikan satu lagi prinsip manajemen risiko bahwa manajemen risiko adalah bagian tak terpisahkan dari proses organisasi (integral part of organization process).
Jika tahapan demikian telah dicapai, apakah risiko dengan besaran setara pandemi akan dapat dipastikan identifikasinya? Untuk menjawabnya harus dikembalikan ke konsep dasar yang menjelaskan apa itu risiko. Risiko tetap merupakan ketidak pastian, baik keterjadiannya maupun besaran ukurannya. Sistem manajemen risiko berkerja berdasarkan informasi terbaik yang tersedia. Akan tetapi, struktur sistem manajemen risiko dengan rancangan dan prudential yang cukup sangat mungkin akan mampu mengurangi beban insiden akibat keterlambatan pengidentifikasian risiko.