Menetapkan Kriteria Efektivitas Kontrol Risiko, Apa itu dan Bagaimana Caranya?
RWI Consulting – Berbagai risiko yang mungkin berpengaruh terhadap pelaksanaan strategi dan pencapaian sasaran organisasi harus diidentifikasi dan dikaji (assess).
Kriteria Efektivitas Kontrol Risiko
Risiko-risiko tersebut dievaluasi dan diberikan skala prioritas sesuai bobot strategi, sasaran, dan risk appetite organisasi.
Selanjutnya, organisasi menetapkan upaya-upaya pengendalian (kontrol) untuk menjaga tingkat risiko berada pada level yang dapat diterima.
Jika eksposur risiko lebih tinggi dari level yang dapat diterima, maka organisasi harus melakukan penanganan atas risiko-risiko tersebut dengan pendekatan portfolio view berbasis process clustering, untuk menghindari silo thinking. (Kriteria Efektivitas Kontrol Risiko)
Upaya-upaya pengendalian (kontrol) yang ditetapkan perlu diukur efektivitasnya dalam proses penilaian risiko. Sistem pengendalian berpengaruh langsung terhadap tingkat risiko residual dan opsi tindak lanjut (mitigasi risiko) yang diperlukan.
Sistem pengendalian yang efektif akan mampu menurunkan atau menjaga tingkat risiko residual pada level yang dapat diterima, sehingga tidak dibutuhkan sumber daya organisasi yang besar untuk penanganan risiko.
Sebaliknya, sistem pengendalian yang tidak efektif akan meninggalkan risiko pada level yang berbahaya bagi organisasi dan menuntut alokasi sumber daya yang besar untuk penanganannya.
Untuk itu, organisasi perlu memastikan bahwa sistem pengendalian yang ada diukur efektivitasnya secara berkala dengan menggunakan kriteria terstandar.
Kriteria yang digunakan dalam Efektivitas Kontrol Risiko
Kriteria yang ditetapkan dan digunakan dalam menilai tingkat efektivitas sistem pengendalian (internal control system) yang digunakan organisasi. Misalnya, dapat dibagi ke dalam 5 tingkatan/level mulai dari “sangat efektif”, “efektif”, “cukup efektif”, “tidak efektif”, dan “sangat tidak efektif”.
Kontrol dapat dikatakan “sangat efektif” apabila sistem pengendalian yang dikembangkan organisasi telah dirumuskan secara tertulis dan memadai, dijalankan berbasis sistem (otomasi), dengan pengawasan berjenjang, adanya segregation of duties (SOD) atau memenuhi 4 eyes principle (4EP), telah dinyatakan lulus independent test of control (IToC), dan diperbaharui secara berkala.
Sebaliknya, kontrol dinyatakan “sangat tidak efektif” apabila sistem pengendalian yang dikembangkan organisasi belum dirumuskan secara tertulis dan memadai, dijalankan secara manual, tidak ada pengawasan berjenjang, tidak ada segregation of duties (SOD), dan belum pernah diaudit.
Baca juga Pertanyaan yang Sering Ditanyakan tentang BCP.