Revisi ini merupakan bagian dari proses peninjauan sistematis yang diterapkan pada semua standar ISO. Tulisan ini secara ringkas mengulas perubahan yang diterapkan ISO 31000 versi 2018 terhadap versi 2009.
ISO 31000 adalah panduan penerapan risiko yang terdiri atas tiga elemen: prinsip (principle), kerangka kerja (framework), dan proses (process). Prinsip manajemen risiko adalah dasar praktik atau filosofi manajemen risiko. Kerangka kerja adalah pengaturan sistem manajemen risiko secara terstruktur dan sistematis di seluruh organisasi. Proses adalah aktivitas pengelolaan risiko yang berurutan dan saling terkait.
Secara umum, ISO 31000:2018 menyederhanakan versi 2009. Hal itu langsung terlihat antara lain dari nama yang berubah dari “principles and guidelines” menjadi hanya “guidelines” serta dari jumlah halaman yang menyusut dari 24 halaman menjadi 16 halaman. Diagram yang menggambarkan hubungan prinsip, kerangka kerja, dan proses manajemen proses pun berubah. Pada versi 2009, prinsip, kerangka kerja, dan proses digambarkan sebagai rangkaian unsur yang berurutan, sedangkan pada versi 2018 ketiga bagian ini digambarkan sebagai sistem terbuka yang saling berkaitan.
Prinsip manajemen risiko berubah dari 11 prinsip pada versi 2009 menjadi 1 tujuan (purpose) dan 8 prinsip pada versi 2018.
- Satu prinsip, yaitu “penciptaan dan pelindungan nilai”, diubah menjadi tujuan manajemen risiko.
- Dua prinsip, yaitu “bagian pengambilan keputusan” dan “secara eksplisit menangani ketidakpastian”, dihapus.
- Delapan prinsip lain disederhanakan pernyataannya menjadi
- terintegrasi,
- terstruktur dan komprehensif,
- disesuaikan,
- inklusif,
- dinamis,
- informasi terbaik yang tersedia,
- faktor manusia dan budaya, serta
- peningkatan sinambung. Gambar lebih detail proses manajemen risiko ISO 31000:2018 dapat dilihat di sini.
Kerangka manajemen risiko berubah dari 5 komponen pada versi 2009 menjadi 6 komponen pada versi 2018. Komponen “mandat dan komitmen” diubah menjadi “kepemimpinan dan komitmen” dan dipindahkan letaknya menjadi di pusat komponen lainnya. Komponen “integrasi” ditambahkan sebagai komponen yang mengawali komponen lain.
Empat komponen lain disederhanakan pernyataannya menjadi
- perancangan,
- implementasi,
- evaluasi, dan
- perbaikan. Gambar lebih detail kerangka kerja manajemen risiko ISO 31000:2018 dapat dilihat di sini.
Proses manajemen risiko relatif tidak berubah. Proses “penetapan konteks” diubah namanya menjadi “lingkup, konteks, dan kriteria”. Proses “pencatatan dan pelaporan” dicantumkan secara eksplisit di dalam diagram setelah sebelumnya hanya ada pada bagian teks pada versi 2009. Gambar lebih detail proses manajemen risiko ISO 31000:2018 dapat dilihat di sini.
Pelatihan Terkait:
ISO 31000:2018 menekankan tujuan manajemen risiko, yaitu menciptakan dan melindungi nilai. Tujuan itu diwujudkan dengan (1) meningkatkan kinerja, (2) mendorong inovasi, dan (3) mendukung pencapaian sasaran. Manajemen risiko adalah bagian dari tata kelola (governance) dan harus terintegrasi di dalam proses organisasi. Penerapan manajemen risiko memerlukan kepemimpinan dan komitmen dari manajemen puncak, serta keterlibatan aktif dari semua anggota organisasi.
Sumber: Ivan Lanin, Direktur Proxsis Banking and GRC
//www.linkedin.com/pulse/standar-baru-manajemen-risiko-iso-310002018-ivan-lanin/
by HSP,
Manajemen risiko mulai diperkenalkan di bidang keselamatan dan kesehatan kerja pada era tahun 1980-an setelah berkembangnya teori accident model dari ILCI dan juga semakin maraknya isu lingkungan dan kesehatan. Manajemen risiko bertujuan untuk minimisasi kerugian dan meningkatkan kesempatan ataupun peluang. Bila dilihat terjadinya kerugian dengan teori accident model dari ILCI, maka manajemen risiko dapat memotong mata rantai kejadian kerugian tersebut, sehingga efek dominonya tidak akan terjadi. Pada dasarnya manajemen risiko bersifat pencegahan terhadap terjadinya kerugian maupun ‘accident’.
Ruang lingkup proses manajemen risiko terdiri dari:
- Penentuan konteks kegiatan yang akan dikelola risikonya
- Identifikasi risiko,
- Analisis risiko,
- Evaluasi risiko,
- Pengendalian risiko,
- Pemantauan dan telaah ulang,
- Koordinasi dan komunikasi.
Pelaksanaan manajemen risiko haruslah menjadi bagian integral dari pelaksanaan sistem manajemen perusahaan/ organisasi. Proses manajemen risiko Ini merupakan salah satu langkah yang dapat dilakukan untuk terciptanya perbaikan berkelanjutan (continuous improvement). Proses manajemen risiko juga sering dikaitkan dengan proses pengambilan keputusan dalam sebuah organisasi.
Manajemen risiko adalah metode yang tersusun secara logis dan sistematis dari suatu rangkaian kegiatan: penetapan konteks, identifikasi, analisa, evaluasi, pengendalian serta komunikasi risiko. Proses ini dapat diterapkan di semua tingkatan kegiatan, jabatan, proyek, produk ataupun asset. Manajemen risiko dapat memberikan manfaat optimal jika diterapkan sejak awal kegiatan. Walaupun demikian manajemen risiko seringkali dilakukan pada tahap pelaksanaan ataupun operasional kegiatan.
Terdapat empat prasyarat utama manajemen resiko, yaitu:
1. Kebijakan Manajemen Risiko
Eksekutif organisasi harus dapat mendefinisikan dan membuktikan kebenaran dari kebijakan manajemen risikonya, termasuk tujuannya untuk apa, dan komitmennya. Kebijakan manjemen risiko harus relevan dengan konteks strategi dan tujuan organisasi, objektif dan sesuai dengan sifat dasar bisnis (organisasi) tersebut. Manejemen akan memastikan bahwa kebijakan tersebut dapat dimengerti, dapat diimplementasikan di setiap tingkatan organisasi.
2. Perencanaan Dan Pengelolaan Hasil
1. Komitmen Manajemen; Organisasi harus dapat memastikan bahwa:
- Sistem manejemen risiko telah dapat dilaksanakan, dan telah sesuai dengan standar
- Hasil/ performa dari sistem manajemen risiko dilaporkan ke manajemen organisasi, agar dapat digunakan dalam meninjau (review) dan sebagai dasar (acuan) dalam pengambilan keputusan.
2. Tanggung jawab dan kewenangan; Tanggung jawab, kekuasaan dan hubungan antar anggota yang dapat menunjukkan dan membedakan fungsi kerja didalam manajemen risiko harus terdokumentasikan khususnya untuk hal-hal sebagai berikut:
- Tindakan pencegahan atau pengurangan efek dari risiko.
- Pengendalian yang akan dilakukan agar faktor risiko tetap pada batas yang masih dapat diterima.
- Pencatatan faktor-faktor yang berhubungan dengan kegiatan manajemen risiko.
- Rekomendasi solusi sesuai cara yang telah ditentukan.
- Memeriksa validitas implementasi solusi yang ada.
- Komunikasi dan konsultasi secara internal dan eksternal.
3. Sumber Daya Manusia; Organisasi harus dapat mengidentifikasikan persyaratan kompetensi sumber daya manusia (SDM) yang diperlukan. Oleh karena itu untuk meningkatkan kualifikasi SDM perlu untuk mengikuti pelatihan-pelatihan yang relevan dengan pekerjaannya seperti pelatihan manajerial, dan lain sebagainya.
3. Implementasi Program
Sejumlah langkah perlu dilakukan agar implementasi sistem manajemen risiko dapat berjalan secara efektif pada sebuah organisasi. Langkah-langkah yang akan dilakukan tergantung pada filosofi, budaya dan struktur dari organisasi tersebut.
4. Tinjauan Manajemen
Tinjauan sistem manajemen risiko pada tahap yang spesifik, harus dapat memastikan kesesuaian kegiatan manajemen risiko yang sedang dilakukan dengan standar yang digunakan dan dengan tahap-tahap berikutnya.
Manajemen risiko adalah bagian yang tidak terpisahkan dari manajemen proses. Manajemen risiko adalah bagian dari proses kegiatan didalam organisasi dan pelaksananya terdiri dari mutlidisiplin keilmuan dan latar belakang, manajemen risiko adalah proses yang berjalan terus menerus.
Elemen utama dari proses manajemen risiko, seperti yang terlihat pada gambar meliputi:
- Penetapan tujuan; Menetapkan strategi, kebijakan organisasi dan ruang lingkup manajemen risiko yang akan dilakukan.
- Identifkasi risiko; Mengidentifikasi apa, mengapa dan bagaimana faktor-faktor yang mempengaruhi terjadinya risiko untuk analisis lebih lanjut.
- Analisis risiko; Dilakukan dengan menentukan tingkatan probabilitas dan konsekuensi yang akan terjadi. Kemudian ditentukan tingkatan risiko yang ada dengan mengalikan kedua variabel tersebut (probabilitas X konsekuensi).
- Evaluasi risiko; Membandingkan tingkat risiko yang ada dengan kriteria standar. Setelah itu tingkatan risiko yang ada untuk beberapa hazards dibuat tingkatan prioritas manajemennya. Jika tingkat risiko ditetapkan rendah, maka risiko tersebut masuk ke dalam kategori yang dapat diterima dan mungkin hanya memerlukan pemantauan saja tanpa harus melakukan pengendalian.
- Pengendalian risiko; Melakukan penurunan derajat probabilitas dan konsekuensi yang ada dengan menggunakan berbagai alternatif metode, bisa dengan transfer risiko, dan lain-lain.
- Monitor dan Review; Monitor dan review terhadap hasil sistem manajemen risiko yang dilakukan serta mengidentifikasi perubahan-perubahan yang perlu dilakukan.
- Komunikasi dan konsultasi; Komunikasi dan konsultasi dengan pengambil keputusan internal dan
eksternal untuk tindak lanjut dari hasil manajemen risiko yang dilakukan.
Manajemen risiko dapat diterapkan di setiap level di organisasi. Manajemen risiko dapat diterapkan di level strategis dan level operasional. Manajemen risiko juga dapat diterapkan pada proyek yang spesifik, untuk membantu proses pengambilan keputusan ataupun untuk pengelolaan daerah dengan risiko yang spesifik.
Beberapa Istilah Penting Dalam Manajemen Risiko
1. Konsekuensi
Akibat dari suatu kejadian yang dinyatakan secara kualitatif atau kuantitatif, berupa kerugian, sakit, cedera, keadaan merugikan atau menguntungkan. Bisa juga berupa rentangan akibat-akibat yang mungkin terjadi dan berhubungan dengan suatu kejadian.
2. Biaya
Dari suatu kegiatan, baik langsung dan tidak langsung, meliputi berbagai dampak negatif, termasuk uang, waktu, tenaga kerja, gangguan, nama baik, politik dan kerugian-kerugian lain yang tidak dinyatakan secara jelas.
3. Kejadian
Suatu peristiwa (insiden) atau situasi, yang terjadi pada tempat tertentu selama interval waktu tertentu.
4. Analisis Urutan Kejadian
Suatu teknik yang menggambarkan rentangan kemungkinan dan rangkaian akibat yang bisa timbul dari proses suatu kejadian.
5. Analisis Urutan Kesalahan
Suatu metode sistem teknik untuk menunjukkan kombinasi-kombinasi yang logis dari berbagai keadaan sistem dan penyebab-penyebab yang mungkin bisa berkontribusi terhadap kejadian tertentu (disebut kejadian puncak).
6. Frekuensi
Ukuran angka dari peristiwa suatu kejadian yang dinyatakan sebagai jumlah peristiwa suatu kejadian dalam waktu tertentu. Terlihat juga seperti kemungkinan dan peluang.
7. Bahaya (hazard)
Faktor intrinsik yang melekat pada sesuatu dan mempunyai potensi untuk menimbulkan kerugian.
8. Monitoring/ Pemantauan
Pengecekan, Pengawasan, Pengamatan secara kritis, atau Pencatatan kemajuan dari suatu kegiatan, tindakan, atau sistem untuk mengidentifikasi perubahan-perubahan yang mungkin terjadi.
9. Probabilitas
Digunakan sebagai gambaran kualitatif dari peluang atau frekuensi.
Kemungkinan dari kejadian atau hasil yang spesifik, diukur dengan rasio dari kejadian atau hasil yang spesifik terhadap jumlah kemungkinan kejadian atau hasil. Probabilitas dilambangkan dengan angka dari 0 dan 1, dengan 0 menandakan kejadian atau hasil yang tidak mungkin dan 1 menandakan kejadian atau hasil yang pasti.
10. Risiko Ikutan
Tingkat risiko yang masih ada setelah manajemen risiko dilakukan.
11. Risiko
Peluang terjadinya sesuatu yang akan mempunyai dampak terhadap sasaran. Ini diukur dengan hukum sebab akibat. Variabel yang diukur biasanya probabilitas, konsekuensi dan juga pemajanan.
12. Penerimaan Risiko (acceptable risk)
Keputusan untuk menerima konsekuensi dan kemungkinan risiko tertentu.
13. Analisis risiko
Sebuah sistematika yang menggunakan informasi yang didapat untuk menentukan seberapa sering kejadian tertentu dapat terjadi dan besarnya konsekuensi tersebut.
14. Penilaian risiko
Proses analisis risiko dan evalusi risiko secara keseluruhan.
15. Penghindaran risiko
Keputusan yang diberitahukan tidak menjadi terlibat dalam situasi risiko.
16. Pengendalian risiko
Bagian dari manajemen risiko yang melibatkan penerapan kebijakan, standar, prosedur perubahan fisik untuk menghilangkan atau mengurangi risiko yang kurang baik.
17. Evaluasi risiko
Proses yang biasa digunakan untuk menentukan manajemen risiko dengan membandingkan tingkat risiko terhadap standar yang telah ditentukan, target tingkat risiko dan kriteria lainnya.
18. Identifikasi Risiko
Proses menentukan apa yang dapat terjadi, mengapa dan bagaimana.
19. Pengurangan Risiko
Penggunaan/ penerapan prinsip-prinsip manajemen dan teknik-teknik yang tepat secara selektif, dalam rangka mengurangi kemungkinan terjadinya suatu kejadian atau konsekuensinya, atau keduanya.
20. Pemindahan Risiko (risk transfer)
Mendelegasikan atau memindahkan suatu beban kerugian ke suatu kelompok/ bagian lain melalui jalur hukum, perjanjian/ kontrak, asuransi, dan lain-lain. Pemindahan risiko mengacu pada pemindahan risiko fisik dan bagiannya ke tempat lain.