Mengenal Risko IT Governance



Tulisan kali memperkenalkan skala risk atau resiko. Ada tiga resiko atau risk dalam organisasi di dalam ilmu management yaitu Risk Appetite, Risk Tolerance, dan Risk Attitude. Berikut ini dijelaskan secara sederhanas sebagai berikut;

  • Risk Appetite (harafiah: selera/nafsu) adalah suatu keadaan di mana organisasi memilih untuk menerima, memantau, mempertahankan diri, atau memaksimalkan diri melalui peluang-peluang yang ada. Berbeda dengan risk tolerance dan attitude, risk appetite ini ada dalam perspektif perusahaan.
  • Risk Tolerance adalah sejumlah dampak negatif yang berani diambil oleh suatu organisasi untuk mencapai tujuan mereka.
  • Risk Attitude adalah opsi-opsi umum dan keseluruhan gaya manajemen dari suatu organisasi untuk menerapkan suatu cara dalam mengalihkan risiko mereka.Dalam upaya mencapai tujuan, suatu organisasi pasti menghadapi risiko setiap harinya. Dalam tanggung jawabnya sebagai pimpinan puncak organisasi, Board (di Indonesia sering dikenal dengan Dewan Direksi) harus berurusan dengan pertanyaan mendasar: risiko apa yang dapat diterima dalam mencapai tujuan organisasi tersebut? Kemudian, seberapa banyak dan seberapa besar risiko tersebut diterima?

 Risiko yang dapat diterima, dalam dunia manajemen risiko lebih populer dikenal dengan istilah Risk Appetite. Bukan sebuah istilah yang akrab di telinga masyarakat umum memang, hal itulah yang melandasi saya untuk mencoba memberikan ‘perkenalan’ kepada khalayak tentang istilah ini. Apakah Risk Appetite itu? Menurut Oxford Dictionaries, appetite memiliki arti ‘A natural desire to satisfy a bodily need, especially for food’. Tak jauh berbeda dari arti secara harfiah tersebut, dalam keilmuan Risk Management, istilah appetite diartikan sebagai selera board dalam memandang risiko organisasi. Menurut COSO ERM, Risk Appetite adalah sejumlah risiko, pada tingkatan manajemen/board, di mana sebuah organisasi bersedia menerima risiko tersebut.
Sampai saat ini, masih banyak organisasi melihat risk appetite sebagai subyek diskusi teoritis menarik tentang risiko dan manajemen risiko, tetapi tidak pernah secara efektif mengintegrasikan konsep tersebut dalam perencanaan strategis atau pengambilan keputusan sehari-hari, terlebih dalam penerapan manajemen risiko. Padahal, jika risk appetite dikomunikasikan dengan baik, risk appetite memberikan batas yang jelas tentang jumlah risiko suatu organisasi yang dapat diterima, sehingga mampu memberikan arahan yang jelas kepada manajemen selaku pelaksana. Sebuah organisasi dengan risk appetite yang agresif atau tinggi maka mungkin menetapkan tujuan yang agresif, sementara sebuah organisasi yang menghindari risiko, biasanya risk appetite akan ditetapkan rendah dan mungkin menetapkan tujuan yang konservatif. Ketika dikomunikasikan dengan baik, risk appetite dapat dijadikan sebagai panduan manajemen dalam menetapkan tujuan dan membuat keputusan sehingga organisasi lebih mungkin untuk mencapai tujuannya.
Sebuah organisasi harus mempertimbangkan risk appetite-nya bersamaan dengan ditetapkannya tujuan organisasi dan taktik operasional untuk mencapai tujuan tersebut. Nah, untuk menentukan risk appetite, manajemen dengan reviu dan persetujuan dari board, harus mengambil tiga langkah:
  1. Mengembangkan risk appetite
  2. Mengkomunikasikan risk appetite
  3. Memantau dan memperbarui risk appetite
Pertama, mengembangkan risk appetite bukan berarti menghindarkan risiko sebagai bagian dari inisiatif strategi organisasi. Justru sebaliknya, ketika organisasi menetapkan tujuan yang berbeda maka mereka akan mengembangkan risk appetite yang berbeda pula, mengikuti tujuan yang ditetapkan. Sebagai catatan, manajemen dan board harus sangat paham trade-off dari risk appetite yang ditetapkan, baik risk appetite tinggi maupun rendah, sehingga tidak salah langkah. Ini penting!
Kedua, mengkomunikasikan risk appetite. Ada banyak pendekatan dalam mengkomunikasikan risk appetite. Salah satunya adalah menetapkan seluruh risk appetite dalam bentuk pernyataan dari board yang dideskripsikan dengan jelas dan dapat dipahami oleh unit-unit di dalam organisasi guna mengelola risiko masing-masing unit yang sejalan dengan risk appetite tersebut.
Terakhir, memantau dan memperbarui risk appetite. Ketika risk appetite telah dikomunikasikan, maka manajemen dibantu oleh board perlu melihat lagi dan menguatkan lagi risk appetite tersebut. Artinya, risk appetite tidak boleh diperlakukan semena-mena, tidak hanya sebuah dokumen formalitas semata, ditetapkan lalu ditinggalkan sendirian begitu saja tanpa perhatian lebih lanjut. Kebalikannya, risk appetite harus direviu dan disinergikan dengan kinerja operasional organisasi, terutama jika terjadi perubahan-perubahan yang besar di dalam organisasi. Kegiatan ini dapat juga dibantu oleh auditor internal. Sebagai tambahan, ketika melakukan pemantauan risk appetite, harus difokuskan pada penciptaan kultur risk-aware dan konsisten dengan tujuan organisasi.
Nah, seperti yang sudah dijelaskan sebelumnya, yang diperlukan dalam risk appetite adalah membuat pernyataan risk appetite. Terdapat lima karakteristik membuat pernyataan risk appetite yang efektif, diantaranya:
  1. Menyatu dengan tujuan organisasi,
  2. Adanya sarana untuk memonitor risiko,
  3. Ditetapkan dengan kecermatan/ ketelitian yang cukup,
  4. Dukungan SDM, proses, dan infrastruktur untuk mencapai tujuan dengan range risiko yang diterima,
  5. Menetapkan risiko toleransi yang diterima, dengan mengidentifikasi parameter dari risiko yang diterima.
Berbicara tentang risk appetite, tak dapat dilepaskan dari istilah lain yang tak kalah terkenalnya, risk tolerance. Risk tolerance berhubungan dengan risk appetite namun terpisah oleh hal yang fundamental, risk tolerance merepresentasikan penerapan risk appetite dari suatu tujuan. Nah, risk appetite seperti yang sudah saya jelaskan sebelumnya, ditetapkan oleh board. Sedangkan risk tolerance lebih praktikal dan operasional. Risk tolerance harus diekspresikan dengan cara:
  1. Dilakukan mapping dengan ukuran yang sama dengan ukuran kesuksesan yang digunakan oleh organisasi.
  2. Diaplikasikan pada keempat kategori tujuan yaitu stratejik, operasional, pelaporan, dan kepatuhan.
  3. Diimplementasikan oleh personil operasional di dalam organisasi.
Risk tolerance adalah tingkatan yang diterima dari adanya variasi dalam pencapaian tujuan organisasi yang spesifik dan biasanya diukur dengan ukuran yang sama dengan ukuran yang digunakan untuk mengukur tujuan terkait. Sebagai gambaran untuk memudahkan pembaca memahami yang mana risk appetite dan yang mana risk tolerance, dapat digambarkan dengan contoh berikut:


Referensi utama: Kristina Narvaez, Risk Appetite and Risk Tolerance – Critical Component of Effective ERM Program, ERM Strategies, LLC

Sumber gambar: readmt.com
http://tatakelola.co/manajemen-risiko/mengenal-risk-appetite-kemudian-terapkan-di-organisasi-anda/

Komentar

Posting Komentar

Postingan Populer