Manajemen Risiko: Tanggung Jawab Setiap Orang.

Ketika kita berpikir tentang manajemen risiko, banyak dari kita secara naluriah membayangkan tim keamanan spesialis, petugas kepatuhan, atau auditor keuangan. Tetapi kenyataannya adalah bahwa manajemen risiko adalah tanggung jawab semua orang. Baik Anda mengelola orang, proses, operasi, keuangan, atau teknologi, Anda juga mengelola risiko yang terkait dengannya.

Sebuah organisasi tidak hanya mengharapkan Anda untuk kompeten secara teknis di bidang keahlian Anda, tetapi juga mengharapkan Anda untuk mengelola risiko secara efektif atas nama bisnis. Itu berarti memahami risiko dan konsep terkaitnya, bukan memperlakukannya sebagai renungan-renungan atau latihan kertas untuk membuat anggota dewan senang.

Kesalahpahaman umum lainnya adalah kebingungan antaraManajemen risikodanPenilaian risiko. Manajemen risiko adalah proses berkelanjutan yang selaras dengan tujuan bisnis. Penilaian risiko, di sisi lain, adalah salah satu alat dalam proses itu yang membantu kita mengidentifikasi, mengevaluasi, dan terus menilai kembali risiko.

Pada artikel ini, kita akan mengeksplorasi beberapa konsep utama dan kesalahpahaman yang sering mencairkan nilai tanggung jawab risiko dalam organisasi.

“It is better to be roughly right than precisely wrong.” (John Maynard Keynes)

Terminologi Risiko: Menghilangkan Kebingungan

Risiko adalah salah satu istilah yang paling banyak disalahgunakan dalam percakapan bisnis. Menurut ISO 31000, risiko didefinisikan sebagai "efek ketidakpastian pada tujuan." Perhatikan bahwa ini tidak terbatas pada hasil negatif, ini tentang ketidakpastian, yang dapat menciptakan ancaman dan peluang.

Sayangnya, banyak yang masih menggunakan "risiko" yang identik dengan "masalah" atau "ancaman". Pandangan sempit ini mengabaikan fakta bahwa mengelola risiko secara efektif juga tentang memungkinkan kesuksesan, bukan hanya mencegah kegagalan.

Perlu juga dipertimbangkan bagaimana kita menggunakan istilah "risiko" dalam kehidupan sehari-hari, seringkali dengan santai, dan dengan arti yang berbeda. Meskipun tidak ada yang salah dengan itu, organisasi harus membangun kejelasan tentang apa arti "risiko" dalam konteks spesifik mereka. Tanpa ini, komunikasi dan pengambilan keputusan menjadi tidak konsisten.

“Risk comes from not knowing what you’re doing.”  (Warren Buffett)

Tanggung Jawab Pelabelan Risiko

Masalah yang sering terjadi dalam penilaian risiko adalah kesalahan pelabelan, ketika orang menggambarkanmasalahatauhasilalih-alih yang sebenarnyarisiko.

Ambil keamanan fisik sebagai contoh. Sebuah laporan mungkin mengatakan, "risiko masuk tanpa izin ke dalam gedung.”Tapi itulah hasilnya, bukan risiko itu sendiri. Risiko sebenarnya bisa seperti:“Kontrol akses yang tidak memadai meningkatkan kemungkinan individu yang tidak berwenang memasuki area terlarang yang mengakibatkan kegagalan kepatuhan."

Mengapa ini penting? Karena jika kita hanya fokus pada hasilnya, respons kita menjadi terbatas dan kita mungkin default menggunakan patroli ekstra atau lebih banyak kamera CCTV. Tetapi dengan mendefinisikan risiko yang mendasarinya, kami membuka berbagai solusi yang lebih luas: mendesain ulang titik masuk, meningkatkan sistem akses, atau merevisi protokol pengunjung.

Singkatnya, ketika kita salah memberi label pada risiko, kita mengelola gejala, bukan penyebab dan itu mempersempit kemampuan organisasi untuk bertindak secara efektif.

Metrik Dapat Membuat atau Menghancurkan:

Cara kita mengukur risiko harus selaras dengan toleransi dan selera spesifik organisasi untuk risiko. Metrik standar satu ukuran untuk semua akan gagal karena tidak mencerminkan realitas bisnis.

Misalnya, perusahaan energi global mungkin melihat kerugian finansial sebesar £ 50.000 sebagai hal yang tidak signifikan, sedangkan toko roti jalanan tinggi mungkin menganggap kerugian yang sama sebagai bencana. Menggunakan metrik yang sama untuk keduanya akan mendistorsi gambaran risiko yang sebenarnya. Oleh karena itu, metrik harus dirancang sesuai dengan organisasi (dan bahkan departemen) toleransi, memastikan mereka secara akurat mencerminkan dampak dan relevansi risiko.

“Not everything that counts can be counted, and not everything that can be counted counts.” (William Bruce Cameron)

Masalah dengan Probabilitas

Probabilitas adalah salah satu bagian tersulit dari penilaian risiko dan sering dikaburkan oleh bahasa yang tidak jelas. Kami melemparkan kata-kata sepertikemungkinan, kesempatan,danprobabilitasseolah-olah mereka memiliki arti yang sama. Mereka tidak melakukannya dan kecuali organisasi mendefinisikan dan menyetujui bagaimana istilah-istilah ini digunakan, percakapan risiko dengan cepat menjadi tidak konsisten dan membingungkan.

Tantangan lainnya adalah ketergantungan yang berlebihan pada data historis. Hanya karena sesuatu tidak pernah terjadi tidak berarti itu tidak akan terjadi. Mendasarkan perkiraan hanya pada peristiwa masa lalu membutakan organisasi terhadap risiko baru dan muncul, sebuah kesalahan yang telah mendahului banyak insiden besar. Selanjutnya, ketika peristiwa risiko telah diidentifikasi dan kondisi yang tepat ada (kontrol lemah, paparan ancaman yang diketahui, kerentanan tinggi), probabilitas terjadinya peristiwa itu dapat meningkat seiring waktu. Dengan kata lain, tidak adanya insiden masa lalu tidak sama dengan tidak adanya risiko di masa depan.

Probabilitas harus didekati dengan kejelasan, konteks, dan pandangan ke depan dan bukan hanya spreadsheet data historis atau jari basah pepatah di udara!

Dampak sebagai Skala Bergerak, Bukan Hasil Biner

Terlalu sering, dampak disederhanakan ke dalam kategori seperti "rendah, sedang, atau tinggi". Namun pada kenyataannya, dampak peristiwa risiko ada pada skala bergerak dengan berbagai dimensi.

Pertimbangkan pelanggaran keamanan: konsekuensinya dapat berkisar dari gangguan kecil hingga kerusakan keuangan dan berulang yang parah. Dampaknya dapat menyentuh keuangan, operasi, kepatuhan, budaya, dan merek dan seringkali dengan cara yang saling berhubungan. Pendekatan penilaian risiko yang kuat mengakui lapisan ini dan menghindari penyederhanaan yang berlebihan.

Menerima Risiko Bukanlah Permainan Akhir:

Risiko terkadang diterima oleh departemen atau individu ketika mereka melebihi wewenang mereka. Hal ini sering terjadi karena kebijakan manajemen risiko yang tidak didefinisikan dengan baik yang gagal mengklarifikasi kriteria penerimaan.

Sebagai aturan, risiko hanya boleh diterima pada tingkat di mana keuangan (atau operasional) otoritas selaras dengan dampak potensial. Apa pun di luar itu harus ditingkatkan. Menerima risiko tidak sama dengan menutupnya. Ini berarti mengakuinya, mendokumentasikannya, dan memastikannya terlihat pada tingkat pengambilan keputusan yang tepat. Penerimaan informal menciptakan titik buta bagi kepemimpinan dan membuat organisasi rentan terhadap risiko yang tidak pernah mereka ketahui ada.

Dalam pengalaman saya, risiko yang telah diterima adalah risiko yang membuat Anda tertanggung. Risiko dari waktu ke waktu dapat berkurang atau meningkat dan oleh karena itu masih memerlukan tinjauan rutin untuk memastikannya masih dianggap dapat diterima.

Pemilik Risiko Apa Mereka dan Bukan Mereka

Menugaskan pemilik risiko bukan tentang melepaskan tanggung jawab. Pemilik risiko bertanggung jawab untuk memantau, melaporkan, dan memastikan langkah-langkah mitigasi diterapkan.

Tetapi pemilik risiko bukanlah pekerja ajaib, mereka tidak dapat menghilangkan ketidakpastian sendirian. Peran mereka adalah untuk mendorong kesadaran, menanamkan akuntabilitas, dan bertindak sebagai penjaga postur risiko organisasi. Kepemilikan risiko yang efektif masih bergantung pada kolaborasi dan tanggung jawab kolektif di seluruh bisnis.

Kesimpulan

Jika penilaian risiko adalah bagian penting dari pengambilan keputusan bisnis, mengapa begitu banyak dari kita tidak memiliki kompetensi untuk melakukannya secara efektif? Mengapa begitu sering direduksi menjadi latihan kotak centang? Jika memahami profil risiko organisasi sangat penting untuk membuat keputusan yang tepat, mengapa organisasi tidak mendapatkan perhatian dan dukungan yang layak?

Jawabannya terletak pada pola pikir. Manajemen risiko tidak dapat diperlakukan sebagai kegiatan kepatuhan atau sesuatu yang didelegasikan kepada spesialis. Itu harus dijalin ke dalam cara setiap karyawan mendekati tanggung jawab mereka.

Ketahanan sejati dibangun ketika setiap orang tidak hanya memahami peran mereka, tetapi juga ketidakpastian dan konsekuensi potensial yang menyertainya. Karena pada intinya, manajemen risiko bukan tentang menghindari kegagalan, ini tentang memungkinkan keputusan yang lebih baik dan lebih percaya diri.

“An ounce of prevention is worth a pound of cure.” (Benjamin Franklin)