Organisasi menghadapi dua permasalahan utama terkait risiko. Pertama, agen penerima amanah yang mungkin bias dalam mengambil keputusan dan berperilaku. Hal ini mengakibatkan pengelolaan risiko tidak optimal di mana seorang pemimpin suatu unit kerja dapat terlalu ketat mengelola risiko tertentu (over-management) atau membiarkannya tidak terkelola (under-management).
Kedua, pimpinan organisasi tidak mempunyai akses sepenuhnya terhadap informasi mengenai risiko suatu unit kerja dan tindakan penanganannya. Akibatnya adalah organisasi tidak dapat menilai keseluruhan profil risiko. Untuk mengatasi kedua permasalahan ini, organisasi memerlukan manajemen risiko. (Jankensgård, 2019)
Permasalahan utamanya adalah pengelolaan yang tidak optimal yaitu over-management atau under-management dan pimpinan organisasi yang tidak mempunyai cukup informasi untuk dapat menilai keseluruhan profil risiko.
Pendekatan Silo dan Pendekatan Komprehensif
Terdapat sedikitnya dua pendekatan dalam mengelola risiko:
- pendekatan silo, dan
- pendekatan komprehensif.
Rerangka pendekatan komprehensif dalam mengelola risiko terbangun, berkembang dan diimplementasikan dalam beberapa nama seperti enterpises risk management, holistic risk management, atau organizational risk management. Dengan pendekatan ini organisasi secara proaktif mengelola risiko, memantaunya, dan menjaga keterpaduannya dengan strategi organisasi. Adanya pendekatan komprehensif tidak berarti pendekatan silo, serta merta berhenti dipraktikkan. Pendekatan silo menjadikan risiko sebagai tanggung jawab unit kerja yang sedang terancam, misalnya fungsi keamanan, keselamatan kerja, unit pemeliharaan aset, atau unit keuangan dan investasi. Dalam pendekatan silo, tidak terdapat sistem saling berbagi informasi pun sinergi dalam teknik dan metode penilaian dan mitigasi risiko.
Dengan pendekatan silo, agregrasi risiko akan sulit dilakukan dan gambaran makro stratejiknya tidak akan tertangkap
Organisasi semakin kompleks dengan sistem yang terkait erat dan saling mengunci. Pendekatan silo tentunya tidak akan memadai. Risiko di organisasi saling terkait, kejadian risiko di suatu unit dapat menjadi sumber risiko di unit lain, dan dapat pula menjadi dampak dari risiko lainnya. Pengelolaan risiko yang terpisah tidak akan berjalan efisien dan efektif. Risiko yang mungkin timbul karena interaksi dari dua unit kerja yang terpisah mungkin tidak teridentifikasi dan terabaikan. Agregrasi risiko akan sulit dilakukan dan gambaran makro stratejiknya tidak akan tertangkap. Manajemen risiko yang komprehensif perlu mempunyai struktur yang mampu memadukan strategi, proses, orang, teknologi, dan pengetahuan dengan sasaran dan tujuan organisasi. Dengan pendekatan ini, fungsi manajemen risiko dalam organisasi bertanggung jawab dalam perumusan kebijakan manajemen risiko organisasi, koordinasi dengan fungsi lain dalam organisasi, serta mendesain dan menyelenggarakan manajemen risiko.
Perbedaan penting antara kedua pendekatan adalah:
- pendekatan silo bersifat terfragmentasi, reaktif, fokus pada ancaman, tidak berkelanjutan, dan penilaian risiko dilakukan secara informal,
- pendekatan komprehensif bersifat integratif, proaktif, dan berkelanjutan dengan proses yang logis dan penilaian risiko dilakukan secara formal, berulang dan antisipatif, budaya risiko dan komunikasi risiko dilakukan di keseluruhan organisasi. (Lam, 2014) (Spikin, 2013) (Padovani & Tugnoli, 2005)
Pendekatan komprehensif dalam mengelola manajemen risiko terwujud dalam standar manajemen risiko yang diakui dan diplikasikan secara luas, antara lain adalah ISO 31000, British Standard BS 31100 dan kerangka COSO ERM, serta standar IRM. Terdapat beberapa standar manajemen risiko lainnya seperti AS/NZS 4360: 2004 (Australia dan New Zealand), CAN/CSA Q850-97 (Canada), dan JIS Q2001 (Jepang). Standar–standar tersebut mendefinisikan manajemen risiko sebagai aktivitas atau proses yang mempunyai karakteristik tertentu.
Definisi manajemen risiko korupsi
Manajemen risiko adalah proses atau aktivitas terkoordinasi, bukan fungsi, unit kerja atau departemen
Pada umumnya, manajemen risiko dengan pendekatan komprehensif didefinisikan sebagai proses atau aktivitas terkoordinasi dan bukan sebagai suatu fungsi, unit kerja, atau departemen. Manajemen risiko merupakan budaya, kapabilitas, dan praktik yang diintegrasikan dengan perumusan strategi dan diaplikasikan dengan maksud untuk mengarahkan dan mengendalikan organisasi terkait dengan risiko dalam rangka menciptakan, memelihara dan mempertahankan, serta merealisasikan nilai (COSO, 2017) (ISO31000, 2018).
Sebelumnya manajemen risiko dalam konteks korporasi dipandang sebagai proses yang mengandung lima karakteristik, yaitu (a) dipengaruhi oleh dewan komisaris, manajemen dan pegawai lainnya, (b) diterapkan dalam penyusunan strategi di seluruh organisasi (enterprise), (c) didesain untuk mengidentifikasi kejadian potensial yang mungkin berdampak pada entitas dan (d) mengelola risiko sampai pada cakupan selera risiko, serta (e) memberikan keyakinan yang memadai atas tercapainya tujuan entitas. (COSO, 2004). Dalam mendefinisikan manajemen risiko lingkup enterprise, IIA menambahkan tiga karateristik, yaitu terstruktur, konsisten, dan proses yang berkelanjutan dan mengartikan risiko sebagai kesempatan (risiko positif) dan ancaman (risiko negatif) (IIA, 2009). Manajemen risiko juga dapat diselenggarakan tidak untuk keseluruhan organisasi (enterprise wide) dan tidak secara berkelanjutan, namun parsial, dan dalam jangka waktu tertentu, misalnya dalam konteks manajemen risiko proyek.
Sebagaimana tergambar pada Tabel 1, literatur manajemen risiko pada umumnya menguraikan definisi manajemen risiko dalam empat elemen, yaitu:
- komponen yang terkandung di dalamnya antara lain kebijakan, prosedur, dan praktik,
- kegiatan, yaitu identifikasi, penilaian, mitigasi, pemantauan dan komunikasi, serta penanganan kerentanan,
- karakteristik dari kegiatan tersebut, misalnya proaktif, sistematis, integratif, metodologis, dan
- maksud dan tujuan manajemen risiko (COSO, 2004) (Zamli, 2018) (Škrbec, 2016) (Johnsøn J. S., 2015) (Selinšek, 2015).
Dalam konteks yang spesifik, misalnya risiko kebencanaan dan risiko lingkungan, definisi manajemen risiko mencakup upaya untuk meningkatkan pemahaman mengenai bencana, melakukan perbaikan secara berkelanjutan untuk kesiapan tanggap darurat dan pemulihan dari bencana (IPCC, 2012). Manajemen risiko juga dipandang sebagai proses pengambilan keputusan, yaitu melakukan evaluasi dan memilih alternatif respons terhadap suatu kejadian dan dampaknya (EEA, 2017).
Dalam konteks fraud, manajemen risiko fraud didefinisikan secara cukup beragam. Pada umumnya manajemen risiko fraud dideskripsikan sebagai keseluruhan kegiatan, kebijakan, dan dokumen yang diarahkan pada upaya mitigasi risiko fraud (CAQ, 2019).
Dalam rangka mengaplikasikan konsep manajemen risiko yang integratif, interaksionis, dan prosesual terhadap korupsi yang tidak hanya ilegal, namun juga immoral dan niretik, manajemen risiko korupsi dapat definisikan sebagai keseluruhan upaya menurunkan tingkat risiko korupsi secara integratif, interaksionis, dan prosesual untuk dapat menciptakan, mempertahankan dan melindungi nilai para pemangku kepentingan organisasi.
KBBI mengartikan upaya sebagai usaha atau ikhtiar untuk mencapai suatu tujuan. Kata upaya tersebut mengandung makna adanya cara, alat, dan aktivitas untuk mencapai tujuan. Dalam manajemen risiko korupsi, cara, alat, atau aktivitas tersebut terkandung dalam tiga komponen manajemen risiko korupsi, yaitu:
- prinsip,
- kerangka kerja, dan
- proses manajemen risiko korupsi.
Cara, alat, atau aktivitas mengelola korupsi terkandung di dalam prinsip, kerangka kerja, dan proses manajemen risiko korupsi
Prinsip manajemen risiko dan kerangka dan proses manajemen risiko dibahas di tulisan terpisah.
Tujuan manajemen risiko korupsi
Maksud dan tujuan manajemen risiko korupsi tentunya harus mendukung dan berkesesuaian dengan maksud dan tujuan manajemen risiko secara umum. Manajemen risiko korupsi mempunyai maksud dan tujuan yang sama dengan manajemen risiko lainnya seperti risiko strategis, risiko operasional, risiko hukum, ataupun risiko reputasi. Pada dasarnya, maksud dan tujuan manajemen risiko adalah menciptakan, menambah, dan melindungi nilai secara berkelanjutan. Secara konseptual, tujuan dari penerapan manajemen risiko adalah membantu dan mendukung tercapainya tujuan organisasi dengan meningkatkan kemungkinan keberhasilan dan menurunkan kemungkinan kegagalan pencapaian sasaran organisasi. Untuk dapat mewujudkannya, manajemen risiko berupaya menurunkan tingkat risiko sampai pada tingkat yang dapat diterima. Tujuan tersebut diwujudkan dengan mengidentifikasi dan menangani risiko agar tidak terjadi dan tidak berdampak terhadap sasaran organisasi, baik sasaran strategis, operasional, pelaporan, maupun kepatuhan lihat Diagram 1)
Pemangku kepentingan organisasi menetapkan, membangun dan mengembangkan tujuan, sasaran, dan nilai-nilai luhur organisasi. Di dalam tujuan, sasaran, dan nilai-nilai luhur organisasi tersebut terkandung risiko korupsi yang disebabkan oleh adanya kerentanan organisasi. Risiko tersebut perlu direspons antara lain dengan melakukan pengendalian dalam bentuk mencegah kerentanan, menggentarkan calon pelaku, dan mengarahkan proses agar tidak terjadi korupsi. Pengendalian korupsi juga dilakukan dengan deteksi dini, menegakkan peraturan antikorupsi untuk yang telah terdeteksi, dan kemudian melakukan perbaikan dan pemulihan akibat korupsi.
Nilai yang diberikan oleh manajemen risiko korupsi kepada organisasi dapat terwujud apabila tercapai empat tujuan spesifik, yaitu tujuan kepatuhan, kinerja, pengambilan keputusan, dan pengendalian (lihat Tabel 2).
Ketidakpatuhan merupakan elemen kunci dalam perbuatan korupsi sehingga salah satu tujuan manajemen risiko korupsi adalah meyakini kepatuhan. Korupsi didefinisikan bukan hanya perbuatan ilegal semata, namun juga perbuatan immoral dan perilaku niretik. Dengan demikian, kepatuhan tidak hanya terhadap peraturan formal, namun juga prinsip dan nilai–nilai luhur yang relevan dengan proses bisnis dan kegiatan organisasi. Kepatuhan tersebut diharapkan menghasilkan kegiatan yang ekonomis, efisien, dan efektif dalam rangka mendukung kinerja organisasi.
Dengan semangat untuk mematuhi regulasi dan nilai–nilai tersebut, manajemen risiko korupsi didesain dan diselenggarakan dengan tujuan menyediakan informasi risiko mengenai hal–hal yang terkait dengan:
- Kerentanan organisasi terhadap korupsi,
- Kemungkinan kejadian korupsi, dan
- Dampaknya.
Pemberian informasi risiko korupsi dalam proses pengambilan keputusan bersifat masukan kepada pemilik risiko dalam rangka memberikan peringatan dini mengenai risiko korupsi. Dengan masukan tersebut diharapkan risiko korupsi dalam setiap pengambilan keputusan dapat ditangani secara memadai.
Selain berkontribusi pada proses pengambilan keputusan, manajemen risiko korupsi juga bertujuan untuk menguatkan pengendalian intern. Pelemahan pengendalian intern antara lain bersumber dari intervensi, pengabaian, dan kolusi. Ketiga hal tersebut juga merupakan faktor risiko korupsi. Dengan menerapkan manajemen risiko korupsi, diharapkan faktor risiko korupsi tidak berkontribusi terhadap lemahnya pengendalian intern yang dapat menimbulkan risiko–risiko non korupsi.
Sasaran manajemen risiko korupsi
Sasaran manajemen risiko korupsi mencakup sasaran pra-kejadian dan sasaran pasca-kejadian
Kejadian korupsi bersifat prosesual dari bahaya korupsi, ancaman korupsi, dan kemudian menjadi kejadian korupsi. Proses eskalatif tersebut terjadi melalui adanya niat, rencana, eksploitasi dan aksi, serta penyembunyian dan konversi hasil korupsi. Manajemen risiko korupsi bertujuan agar proses tersebut tidak terjadi dan kalaupun terjadi organisasi dapat memulihkan kerugian dan kerusakan yang terjadi, serta melakukan perbaikan. Untuk mewujudkannya, sasaran manajemen risiko korupsi perlu mencakup sasaran pra-kejadian dan sasaran pasca-kejadian.
Sebagaimana tergambar pada Tabel 3 dan Diagram 2, sasaran manajemen risiko korupsi mencakup keseluruhan proses kejadian korupsi mulai dari adanya (i) niat, rencana dan rancangan korupsi, (ii) proses aksi, eksploitasi dan perbuatan korupsi (iii) penyembunyian aksi dan konversi hasil korupsi, (iv) terjadinya kerugian dan kegagalan pencapaian tujuan dan sasaran organisasi, serta perusakan terhadap nilai luhur organisasi.
Melalui manajemen risiko korupsi organisasi berupaya agar tidak timbul niat melakukan korupsi, dan apabila ada niat, diupayakan agar niat tersebut tidak bermanifestasi menjadi aksi. Kalaupun aktor korupsi berhasil melancarkan aksinya maka organisasi perlu sedini mungkin melakukan deteksi dan pengungkapan untuk kemudian berupaya memulihkan kerugian dan kerusakan yang terjadi, serta melakukan aksi korektif. Keempat sasaran tersebut merupakan satu rangkaian yang saling terkait dan saling memengaruhi. Kegagalan (keberhasilan) mencapai suatu sasaran manajemen risiko akan memperberat (memperingan) upaya pencapaian sasaran manajemen risiko berikutnya.