Pengertian Standar ISO 31000
ISO 31000 adalah standar internasional yang berisi mengenai pedoman penerapan manajemen risiko.
Pedoman didalam standar ini terdiri dari prinsip, kerangka kerja, dan proses manajemen risiko.
Ketiga bagian tersebut digunakan sebagai arsitektur manajemen risiko untuk menjamin penerapan manajemen risiko yang efektif.
Standar ini diterbitkan oleh organisasi standardisasi internasional yaitu ISO (International Organization for Standardization).
Walaupun ISO 31000 ini menyediakan panduan yang generik, namun standar ini tidak ditujukan untuk menyeragamkan manajemen risiko lintas organisasi.
Tujuannya adalah sebagai standar pendukung penerapan manajemen risiko dalam usaha untuk menjamin pencapaian sasaran bagi organisasi.
Pengertian Risiko
Untuk memahami manajemen risiko, sebaiknya kita memahami apa itu risiko.
Kenyatannya, segala hal yang dilakukan manusia di dunia ini pasti memiliki risiko atau akibat.
Begitu pula di dunia perusahaan atau bisnis, pelaku akan menghadapi berbagai macam risiko usaha.
Risiko terbesar di dalam dunia bisnis adalah kerugian serius atau kebangkrutan.
Jadi, salah satu solusi untuk menghadapi resiko dalam bisnis tersebut adalah dengan menerapkan Standar Manajemen Risiko.
Standar ISO 31000 Manajemen Risiko
Standar ini adalah suatu pedoman, standar, instruksi dan tuntunan bagi organisasi yang ingin membangun sebuah pondasi dan kerangka kerja bagi program manajemen risiko.
Pondasi tersebut adalah aturan, tujuan dan komitmen untuk pembentukan suatu program manajemen risiko yang komprehensif.
Kerangka kerja yang dimaksud adalah meliputi perencanaan, akuntabilitas dari para karyawan, proses dan aktivitas yang digunakan untuk mengelola risiko dalam kinerja perusahaan.
Tujuan dari standardisasi ini adalah untuk membantu suatu organisasi dalam rangka menyediakan prinsip-prinsip dan acuan dari program manajemen risiko.
Sejarah Penyusunanan Standar ISO 31000
Standar ini merupakan pengembangan dari standar AS/NZS 4360:2004 yang dikeluarkan oleh Standards Australia.
Pada 13 November 2009, diterbitkan Standar ISO 31000:2009 Risk Management – Principles and Guidelines.
Standar ini merupakan hasil kesepakatan anggota ISO yang diterbitkan oleh ISO Technical Management Board Working Group untuk manajemen risiko.
Standar ini ditujukan untuk dapat diterapkan di seluruh jenis organisasi dan semua tipe risiko.
Konten ISO 31000 relatif sama dengan dokumen pendahulunya yang juga menjadi model pengembangannya yaitu AS/NZS 4360:2004.
Sedangkan ISO/IEC 31010:2009 adalah dokumen penunjang untuk mendukung standar ISO 31000 yang baru.
Dokumen pendahulu dari ISO/IEC 31010:2009 adalah “Risk Management Gudelines Companion” dari AS/NZS 4360:2004.
Fungsinya adalah untuk menyediakan panduan desain dan implementasi dari penilaian risiko dan teknik manajemen.
Pada Februari 2018, ISO menerbitkan revisi Standar ISO 31000:2018 Risk management – Guidelines untuk menggantikan ISO 31000:2009 Risk management – Principles and guidelines.
Struktur Standar ISO 31000
Standar ISO 31000 adalah panduan penerapan risiko yang terdiri dari tiga elemen yaitu prinsip (principle), kerangka kerja (framework), dan proses (process).
Berikut pengertian masing-masing elemen :
Prinsip (principle)
Prinsip manajemen risiko adalah dasar praktik atau filosofi manajemen risiko.
Kerangka kerja (framework)
Kerangka kerja adalah pengaturan sistem manajemen risiko secara terstruktur dan sistematis di seluruh organisasi.
Sebagai panduan bagi organisasi untuk memahami keseluruhan struktur dan cara kerja dari manajemen risiko di suatu organisasi.
Proses (process)
Proses adalah aktivitas pengelolaan risiko yang berurutan dan saling terkait.
Merupakan penjelasan mengenai metode aktual dalam mengidentifikasi, menganalisa, dan mengelola risiko.
Berikut penjelasan detil dari 3 elemen tersebut :
Prinsip Manajemen Risiko Standar ISO 31000
Ada sebelas prinsip dari ISO 31000: 2009 Risk Management – Principles and Guidelines yang perlu dipahami dan diterapkan pada kerangka kerja dan proses manajemen risiko untuk memastikan efektivitasnya.
Berkut penjabaran dari sebelas prinsip tersebut :
1 Memberikan nilai tambah dan melindungi nilai organisasi
Kegiatan manajemen risiko harus dapat meningkatkan kapabilitas organisasi dalam mengendalikan risiko agar organisasi dapat memanfaatkan berbagai peluang yang ada sekarang maupun potensi yang dapat muncul di masa depan sehingga mampu memberikan nilai tambah bagi organisasi.
Kemudian, manajemen risiko juga harus mampu mengantisipasi berbagai risiko dampak buruk yang dapat menghambat pencapaian sasaran organisasi atau dengan kata lain mampu untuk melindungi nilai organisasi.
2 Bagian terpadu dari seluruh proses organisasi
Manajemen risiko harus dilibatkan di seluruh proses organisasi, karena setiap proses didalam organisasi berpeluang untuk menghadapi risiko yang dapat menyebabkan sasaran proses tersebut tidak tercapai.
Prinsip ini juga secara implisit menyatakan bahwa manajemen risiko tidak hanya menjadi tanggung jawab top management dari organisasi, akan tetapi seluruh bagian dari organisasi.
3 Bagian dari pengambilan keputusan
Didalam setiap pengambilan keputusan, sebuah organisasi harus mempertimbangkan unsur risiko yang berpotensi akan muncul.
Pertimbangan tersebut didasarkan pada ketersediaan sumber daya organisasi serta kapabilitas dan toleransi organisasi dalam menyerap risiko.
4 Secara khusus menangani ketidakpastian
Dalam mencapai sasarannya, setiap organisasi akan berhadapan dengan ketidakpastian.
Manajemen risiko dapat membantu mengurangi aspek ketidakpastian dengan menentukan ukuran atau parameter terhadap konsekuensi dari risiko.
Parameter ini akan memperlihatkan ukuran risiko tersebut, sehingga nantinya akan lebih mudah menentukan metode penanganan risiko.
Penanganan risiko diharapkan dapat membantu organisasi mereduksi eksposur risiko dan ketidakpastian yang dihadapi organisasi.
5 Sistematis, terstruktur, dan tepat waktu
Manajemen risiko harus dijalankan secara konsisten dan terintegrasi di seluruh bagian dari organisasi.
Pembentukan risk governance yang berkaitan dengan manajemen risiko dapat memperjelas kewenangan, peran, dan tanggung jawab dari setiap unit organisasi.
Hal ini akan mendukung efektivitas manajemen risiko.
6 Berdasarkan informasi terbaik yang tersedia
Penerapan manajemen risiko harus didukung dengan informasi terbaik yang dapat diperoleh organisasi.
Informasi terbaik terdiri dari tiga aspek, yaitu relevan, terpercaya, dan tepat waktu.
Untuk mendukung perolehan informasi terbaik, organisasi dapat melakukan proses dokumentasi dan membentuk database informasi (misalnya membuat risk register).
Tanpa adanya informasi terbaik, penerapan manajemen risiko dapat menjadi tidak tepat sasaran.
7 Disesuaikan dengan kebutuhan organisasi
Resiko yang dihadapi oleh setiap individu, unit kerja, dan organisasi adalah berbeda beda dan memiliki karakteristik tersendiri.
Standar ISO 31000: 2009 sudah menyediakan standar generik untuk diadaptasi sesuai dengan kebutuhan pemangku risiko dalam mencapai tujuannya masing-masing.
Jadi, setiap pemangku risiko harus menyesuaikan dengan keadaan dan risiko yang dihadapinya masing-masing.
Oleh karenanya, pemangku resiko tidak dapat hanya mengikuti sistem manajemen risiko yang dibentuk oleh unit atau organisasi lain.
8 Mempertimbangkan faktor budaya dan manusia
Penerapan manajemen risiko harus mempertimbangkan kultur, persepsi, dan kapabilitas manusia, termasuk adanya perselisihan kepentingan antara organisasi dengan individu di dalamnya.
Hal ini penting untuk diperhatikan karena penerapan manajemen risiko dilakukan oleh sumber daya manusia dari organisasi.
9 Transparan dan inklusif
Penerapan dan informasi mengenai manajemen risiko harus melibatkan seluruh bagian organisasi, keberadaan suatu risiko tidak boleh disembunyikan atau dilebih-lebihkan.
10 Dinamis, berulang, dan responsif terhadap perubahan
Prinsip ini menyatakan bahwa manajemen risiko harus diimplementasikan secara konsisten dan berulang, serta harus dapat memfasilitasi perubahan pada sisi internal dan eksternal organisasi.
Proses monitoring dan review menjadi aktivitas kunci dalam mendeteksi perubahan dan memfasilitasi penyesuaian pada manajemen risiko.
11 Memfasilitasi perbaikan berkesinambungan dan peningkatan organisasi
Keberadaan manajemen risiko harus diperbaiki dari waktu ke waktu sesuai dengan perkembangan konteks internal dan eksternal organisasi.
Perbaikan berkelanjutan ini diharapkan dapat membawa perbaikan yang signifikan pada organisasi.
Kerangka Kerja
Kerangka kerja manajemen risiko ISO 31000: 2009 Risk Management – Principles and Guidelines dimulai dengan pemberian mandat dan komitmen.
Pemberian mandat dan komitmen merupakan hal yang sangat penting karena menentukan akuntabilitas, kewenangan, dan kapabilitas dari pelaku manajemen risiko.
Hal-hal penting yang harus dilakukan pada saat pemberian mandat dan komitmen adalah:
- Membuat dan menyetujui kebijakan manajemen risiko.
- Menyesuaikan indikator kinerja manajemen risiko dengan indikator kinerja perusahaan.
- Menyesuaikan kultur organisasi dengan nilai-nilai manajemen risiko.
- Menyesuaikan sasaran manajemen risiko dengan sasaran strategis perusahaan.
- Memberikan kejelasan peran dan tanggung jawab.
- Menyesuaikan kerangka kerja manajemen risiko dengan kebutuhan organisasi.
Setelah pemberian mandat dan komitmen, kerangka kerja ISO 31000: 2009 dilanjutkan dengan kerangka implementasi “Plan, Do, Check, Act”, yaitu dengan melakukan :
- perencanaan kerangka kerja manajemen risiko
- penerapan manajemen risiko
- monitoring dan review terhadap kerangka kerja manajemen risiko
- perbaikan kerangka kerja manajemen risiko secara berkelanjutan
Perencanaan kerangka kerja manajemen risiko mencakup :
- pemahaman mengenai organisasi dan konteksnya
- menetapkan kebijakan manajemen risiko
- menetapkan akuntabilitas manajemen risiko
- mengintegrasikan manajemen risiko ke dalam proses bisnis organisasi
- alokasi sumber daya manajemen risiko
- menetapkan mekanisme komunikasi internal dan eksternal
Setelah melakukan perencanaan kerangka kerja, maka dilakukan penerapan proses manajemen risiko.
Dalam penerapan manajemen risiko, perlu dilakukan monitoring dan review terhadap kerangka kerja manajemen risiko.
Setelah itu, kerangka kerja manajemen risiko perlu diperbaiki secara berkelanjutan untuk memfasilitasi perubahan yang terjadi pada konteks internal dan eksternal organisasi.
Proses-proses tersebut kemudian berulang kembali untuk memastikan adanya kerangka kerja manajemen risiko yang mengalami perbaikan berkesinambungan dan dapat menghasilkan penerapan manajemen risiko yang andal.
Proses
Proses manajemen risiko merupakan kegiatan kritikal dalam manajemen risiko, karena merupakan penerapan daripada prinsip dan kerangka kerja yang telah dibangun.
Panduan dari proses manajemen risiko terdiri dari tiga proses besar, yaitu :
1 Penetapan konteks (establishing the context)
Penetapan konteks bertujuan untuk mengidentifikasi dan mengungkapkan sasaran organisasi, lingkungan dimana sasaran hendak dicapai, stakeholders yang berkepentingan, dan keberagaman kriteria risiko, dimana hal-hal ini akan membantu mengungkapkan dan menilai sifat dan kompleksitas dari risiko.
Terdapat empat konteks yang perlu ditentukan dalam penetapan konteks, yaitu :
konteks internal
Konteks internal memperhatikan sisi internal organisasi yaitu struktur organisasi, kultur dalam organisasi, dan hal-hal lain yang dapat mempengaruhi pencapaian sasaran organisasi.
konteks eksternal
Konteks eksternal mendefinisikan sisi eksternal organisasi yaitu pesaing, otoritas, perkembangan teknologi, dan hal lain yang dapat mempengaruhi pencapaian sasaran organisasi.
konteks manajemen risiko
Konteks manajemen risiko memperhatikan bagaimana manajemen risiko diberlakukan dan bagaimana hal tersebut akan diterapkan di masa yang akan datang.
kriteria risiko
Dalam pembentukan manajemen risiko, organisasi perlu mendefinisikan parameter yang disepakati bersama untuk digunakan sebagai kriteria risiko.
2 Penilaian risiko (risk assessment)
Penilaian risiko terdiri dari:
- Identifikasi risiko: mengidentifikasi risiko apa saja yang dapat mempengaruhi pencapaian sasaran organisasi.
- Analisis risiko: menganalisis kemungkinan dan dampak dari risiko yang telah diidentifikasi.
- Evaluasi risiko: membandingkan hasil analisis risiko dengan kriteria risiko untuk menentukan bagaimana penanganan risiko yang akan diterapkan.
3 Penanganan risiko (risk treatment)
Dalam menghadapi risiko terdapat empat penanganan yang dapat dilakukan oleh organisasi :
- Menghindari risiko (risk avoidance)
- Mitigasi risiko (risk reduction), dapat dilakukan dengan mengurangi kemungkinan atau dampak
- Transfer risiko kepada pihak ketiga (risk sharing)
- Menerima risiko (risk acceptance)
Ketiga proses besar tersebut didampingi oleh dua proses yaitu:
Komunikasi dan konsultasi
Komunikasi dan konsultasi merupakan hal yang penting mengingat prinsip manajemen risiko yang kesembilan menuntut manajemen risiko yang transparan dan inklusif.
Dimana manajemen risiko harus dilakukan oleh seluruh bagian organisasi dan memperhitungkan kepentingan dari seluruh stakeholders organisasi.
Adanya komunikasi dan konsultasi diharapkan dapat menciptakan dukungan yang memadai pada kegiatan manajemen risiko dan membuat kegiatan manajemen risiko menjadi tepat sasaran.
Monitoring dan review
Hal ini diperlukan untuk memastikan bahwa implementasi manajemen risiko telah berjalan sesuai dengan perencanaan yang dilakukan.
Hasil monitoring dan review juga dapat digunakan sebagai bahan pertimbangan untuk melakukan perbaikan terhadap proses manajemen risiko.
Perbandingan Standar ISO 31000 terbaru dengan versi lama
ISO melakukan revisi ini sebagai bagian dari proses peninjauan sistematis yang diterapkan pada semua standar yang diterbitkannya.
Perbedaan versi terbaru (2018) dengan versi sebelumnya (2009) secara umum, isi dari standar ISO 31000:2018 menyederhanakan isi dari versi sebelumnya, berikut perbandingannya :
Nama dan Jumlah Halaman
Terdapat perubahan nama “principles and guidelines” menjadi hanya “guidelines”, serta dari berkurangnya jumlah halaman yang sebelumnya 24 menjadi 16 halaman.
Perubahan Diagram
Diagram yang menggambarkan hubungan prinsip, kerangka kerja, dan proses manajemen proses pun berubah.
Pada versi 2009, prinsip, kerangka kerja, dan proses digambarkan sebagai rangkaian unsur yang berurutan.
Sedangkan pada versi 2018 ketiga bagian ini digambarkan sebagai sistem terbuka yang saling berkaitan.
Prinsip manajemen risiko
Perubahan jumlah prinsip manajemen risiko dari 11 prinsip pada versi 2009 menjadi 1 tujuan (purpose) dan 8 prinsip pada versi 2018.
Satu prinsip, yaitu “penciptaan dan pelindungan nilai”, diubah menjadi tujuan manajemen risiko.
Dua prinsip, yaitu “bagian pengambilan keputusan” dan “secara eksplisit menangani ketidakpastian”, dihapus.
Delapan prinsip lain disederhanakan pernyataannya menjadi (1) terintegrasi, (2) terstruktur dan komprehensif, (3) disesuaikan, (4) inklusif, (5) dinamis, (6) informasi terbaik yang tersedia, (7) faktor manusia dan budaya, serta (8) peningkatan sinambung.
Kerangka manajemen risiko
Adanya perubahan kerangka manajemen risiko dari 5 komponen pada versi 2009 menjadi 6 komponen pada versi 2018.
Komponen “mandat dan komitmen” diubah menjadi “kepemimpinan dan komitmen” dan dipindahkan letaknya menjadi di pusat komponen lainnya.
Komponen “integrasi” ditambahkan sebagai komponen yang mengawali komponen lain.
Empat komponen lain disederhanakan pernyataannya menjadi (1) perancangan, (2) implementasi, (3) evaluasi, dan (4) perbaikan.
Proses manajemen risiko
Proses manajemen risiko relatif tidak berubah.
Proses “penetapan konteks” diubah namanya menjadi “lingkup, konteks, dan kriteria”.
Proses “pencatatan dan pelaporan” dicantumkan secara eksplisit di dalam diagram setelah sebelumnya hanya ada pada bagian teks pada versi 2009.
Sumber referensi :
Baca artikel lain :