-
ASESMEN MANAJEMEN RISIKO
BERBASIS ISO 31000:2009 Disampaikan pada kuliah online : Kedua
(kuliah ke-6) Mata kuliah : IKK-363 - Manajemen Risiko dan
Pencegahan Kerugian
I. PENDAHULUAN 1.1 Latar Belakang
Kantor Perburuhan Internasional (ILO) pada tahun 2005
memperkirakan bahwa diseluruh dunia setiap tahun 2.2 juta orang
meninggal karena kecelakaan-kecelakaan dan penyakit-penyakit akibat
kerja. dan diperkirakan bahwa setiap tahun terjadi 270 juta
kecelakaan-kecelakaan yang akibat kerja, dan 160 juta
penyakit-penyakit baru akibat kerja.
Untuk itu berbagai pendekatan dilakukan dalam menghadapi risiko
dalam organisasi atau perusahaan, seperti Framework Qualiti (ISO
9001), AS NZS 4804-2001 Occupational Health and Safety Management,
EMS ( ISO 14001) dan Manajemen Risiko ISO 31000:2009 menggunakan
prinsip PDCA atau Plan Do Check Action, untuk perbaikan
berkelanjutan (continual improvement) sebagai basis framework dan
proses manajemen risiko. PDCA ini digambarkan secara jelas pada
gambar di bawah.
Salah satu pendekatan sering dilakukan dalam menghadapi risiko
dalam organisasi atau perusahaan salah satunya yaitu menerapkan
konsep manajemen risiko mulai diperkenalkan di bidang keselamatan
dan kesehatan kerja pada era tahun 1980-an setelah berkembangnya
teori Accident Model dari ILCI dan juga semakin maraknya isu
lingkungan dan keseselamtan dan kesehatan keja.
Tujuan dari manajemen risiko adalah minimalisasi kerugian dan
meningkatkan kesempatan
ataupun peluang. Bila dilihat terjadinya kerugian dengan teori
accident model dari ILCI, maka manajemen risiko dapat memotong mata
rantai kejadian kerugian tersebut, sehingga efek dominonya tidak
akan terjadi. Pada dasarnya manajemen risiko bersifat pencegahan
terhadap terjadinya kerugian maupun ‘accident’.
The International Organization for Standardization (ISO) 31000:
2009 Risk Management – Principles and Guidelines merupakan sebuah
standar internasional yang disusun dengan tujuan memberikan prinsip
dan panduan generik untuk penerapan manajemen risiko. Standar
internasional yang diterbitkan pada 13 November 2009 ini dapat
digunakan oleh segala jenis organisasi dalam menghadapi berbagai
risiko yang melekat pada aktivitas mereka. Walau ISO 31000: 2009
menyediakan panduan generik, standar ini tidak ditujukan untuk
menyeragamkan manajemen risiko lintas organisasi, tetapi ditujukan
untuk memberikan standar pendukung penerapan manajemen risiko dalam
usaha memberikan jaminan terhadap pencapaian sasaran organisasi.
ISO 31000: 2009 menyediakan prinsip,
-
kerangka kerja, dan proses manajemen risiko yang dapat digunakan
sebagai arsitektur manajemen risiko dalam usaha menjamin penerapan
manajemen risiko yang efektif.
1.2. Ruang Lingkup
Ruang lingkup proses manajemen risiko terdiri dari: a. Penentuan
konteks kegiatan yang akan dikelola risikonya b. Identifikasi
risiko, c. Analisis risiko, d. Evaluasi risiko, e. Pengendalian
risiko, f. Pemantauan dan telaah ulang, g. Koordinasi dan
komunikasi.
Pelaksanaan manajemen risiko haruslah menjadi bagian integral
dari pelaksanaan sistem manajemen perusahaan/ organisasi. Proses
manajemen risiko Ini merupakan salah satu langkah yang dapat
dilakukan untuk terciptanya perbaikan berkelanjutan (continuous
improvement). Proses manajemen risiko juga sering dikaitkan dengan
proses pengambilan keputusan dalam sebuah organisasi. Manajemen
risiko adalah metode yang tersusun secara logis dan sistematis dari
suatu rangkaian kegiatan: penetapan konteks, identifikasi, analisa,
evaluasi, pengendalian serta komunikasi risiko.
Proses ini dapat diterapkan di semua tingkatan kegiatan,
jabatan, proyek, produk ataupun asset. Manajemen risiko dapat
memberikan manfaat optimal jika diterapkan sejak awal kegiatan.
Walaupun demikian manajemen risiko seringkali dilakukan pada tahap
pelaksanaan ataupun operasional kegiatan. 1.3. Pengertian :
Manajemen Risiko didefinisikan
1. Menurut Smith (1990 dikutip dalam Anonim 2009) Manajemen
Resiko didefinisikan sebagai proses identifikasi, pengukuran,dan
kontrol keuangan dari sebuah resiko yang mengancam aset dan
-
penghasilan dari sebuah perusahaan atau proyek yang dapat
menimbulkan kerusakan atau kerugian pada perusahaan tersebut.
2. Menurut Clough and Sears (1994 dikutip dalam Anonim 2009),
Manajemen risiko didefinisikan sebagai suatu pendekatan yang
komprehensif untuk menangani semua kejadian yang menimbulkan
kerugian.
3. Menurut William, et.al (1995 dikutip dalam Anonim 2009)
Manajemen risiko juga merupakan suatu aplikasi dari manajemen umum
yang mencoba untuk mengidentifikasi, mengukur, dan menangani sebab
dan akibat dari ketidakpastian pada sebuah organisasi.
4. Dorfman (1998 dikutip dalam Anonim 2009) Manajemen risiko
dikatakan sebagai suatu proses logis dalam usahanya untuk memahami
eksposur terhadap suatu kerugian.
Beberapa definisi tentang risiko, sebagai berikut::
1. Risk is the change of loss,
risiko diartikan sebagai kemungkinan akan terjadinya
kerugian,
2. Risk is the possibility of loss,
risiko adalah kemungkinan kerugian,
3. Risk is Uncertainty,
risiko adalah ketidakpastian,
4. Risk is the dispersion of actual from expected result,
risiko merupakan penyebaran hasil actual dari hasil yang
diharapkan,
5. Risk is the probability of any outcome different from the one
expected,
risiko adalah probabilitas atas sesuatu outcome berbeda dengan
outcome yang diharapkan.
6. Risiko,
Peluang terjadinya sesuatu yang akan mempunyai dampak terhadap
sasaran. Ini diukur dengan hukum sebab akibat. Variabel yang diukur
biasanya probabilitas, konsekuensi dan juga pemajanan.
7. Penerimaan Risiko (acceptable risk),
Keputusan untuk menerima konsekuensi dan kemungkinan risiko
tertentu.
8. Analisis risiko.
Sebuah sistematika yang menggunakan informasi yang didapat untuk
menentukan seberapa sering kejadian tertentu dapat terjadi dan
besarnya konsekuensi tersebut.
9. Penilaian risiko,
Proses analisis risiko dan evalusi risiko secara
keseluruhan.
10. Penghindaran risiko,
Keputusan yang diberitahukan tidak menjadi terlibat dalam
situasi risiko.
11. Pengendalian risiko,
Bagian dari manajemen risiko yang melibatkan penerapan
kebijakan, standar, prosedur perubahan fisik untuk menghilangkan
atau mengurangi risiko yang kurang baik.
-
12. Evaluasi risiko,
Proses yang biasa digunakan untuk menentukan manajemen risiko
dengan membandingkan tingkat risiko terhadap standar yang telah
ditentukan, target tingkat risiko dan kriteria lainnya.
13. Identifikasi Risiko,
Proses menentukan apa yang dapat terjadi, mengapa dan
bagaimana.
14. Pengurangan Risiko,
Penggunaan/ penerapan prinsip-prinsip manajemen dan
teknik-teknik yang tepat secara selektif, dalam rangka mengurangi
kemungkinan terjadinya suatu kejadian atau konsekuensinya, atau
keduanya.
15. Pemindahan Risiko (risk transfer),
Mendelegasikan atau memindahkan suatu beban kerugian ke suatu
kelompok/ bagian lain melalui jalur hukum, perjanjian/ kontrak,
asuransi, dan lain-lain. Pemindahan risiko mengacu pada pemindahan
risiko fisik dan bagiannya ke tempat lain.
16. Konsekuensi ;
Akibat dari suatu kejadian yang dinyatakan secara kualitatif
atau kuantitatif, berupa kerugian, sakit, cedera, keadaan merugikan
atau menguntungkan. Bisa juga berupa rentangan akibat-akibat yang
mungkin terjadi dan berhubungan dengan suatu kejadian.
17. Kejadian ;
Suatu peristiwa (insiden) atau situasi, yang terjadi pada tempat
tertentu selama interval waktu tertentu.
18. Analisis Urutan Kejadian ;
Suatu teknik yang menggambarkan rentangan kemungkinan dan
rangkaian akibat yang bisa timbul dari proses suatu kejadian.
19. Analisis Urutan Kesalaha ;
Suatu metode sistem teknik untuk menunjukkan kombinasi-kombinasi
yang logis dari berbagai keadaan sistem dan penyebab-penyebab yang
mungkin bisa berkontribusi terhadap kejadian tertentu (disebut
kejadian puncak).
20. Frekuensi ;
Ukuran angka dari peristiwa suatu kejadian yang dinyatakan
sebagai jumlah peristiwa suatu kejadian dalam waktu tertentu.
Terlihat juga seperti kemungkinan dan peluang.
21. Bahaya (hazard);
Faktor intrinsik yang melekat pada sesuatu dan mempunyai potensi
untuk menimbulkan kerugian.
22. Monitoring/ Pemantauan ;
Pengecekan, Pengawasan, Pengamatan secara kritis, atau
Pencatatan kemajuan dari suatu kegiatan, tindakan, atau sistem
untuk mengidentifikasi perubahan-perubahan yang mungkin
terjadi.
23. Probabilitas ;
Digunakan sebagai gambaran kualitatif dari peluang atau
frekuensi.Kemungkinan dari kejadian atau hasil yang spesifik,
diukur dengan rasio dari kejadian atau hasil yang spesifik terhadap
jumlah kemungkinan kejadian atau hasil. Probabilitas dilambangkan
dengan angka dari 0 dan 1, dengan
-
0 menandakan kejadian atau hasil yang tidak mungkin dan 1
menandakan kejadian atau hasil yang pasti.
Manajemen risiko dapat diterapkan di setiap level di organisasi.
Manajemen risiko dapat diterapkan di level strategis dan level
operasional. Manajemen risiko juga dapat diterapkan pada proyek
yang spesifik, untuk membantu proses pengambilan keputusan ataupun
untuk pengelolaan daerah dengan risiko yang spesifik. 1.4.
Kebijakan Manajemen Risiko
Kebijakan manjemen risiko harus relevan dengan konteks strategi
dan tujuan organisasi, objektif dan sesuai dengan sifat dasar
bisnis (organisasi) tersebut. Manejemen akan memastikan bahwa
kebijakan tersebut dapat dimengerti, dapat diimplementasikan di
setiap tingkatan organisasi. a. Perencanaan Dan Pengelolaan
Hasil
1. Komitmen Manajemen. Organisasi harus dapat memastikan bahwa:
a. Sistem manejemen risiko telah dapat dilaksanakan, dan telah
sesuai dengan standar b. Hasil/ performa dari sistem manajemen
risiko dilaporkan ke manajemen organisasi, agar
dapat digunakan dalam meninjau (review) dan sebagai dasar
(acuan) dalam pengambilan keputusan.
2. Tanggung jawab dan kewenangan Tanggung jawab, kekuasaan dan
hubungan antar anggota yang dapat menunjukkan dan membedakan fungsi
kerja didalam manajemen risiko harus terdokumentasikan khususnya
untuk hal-hal sebagai berikut: a. Tindakan pencegahan atau
pengurangan efek dari risiko. b. Pengendalian yang akan dilakukan
agar faktor risiko tetap pada batas yang masih dapat
diterima. c. Pencatatan faktor-faktor yang berhubungan dengan
kegiatan manajemen risiko. d. Rekomendasi solusi sesuai cara yang
telah ditentukan. e. Memeriksa validitas implementasi solusi yang
ada. f. Komunikasi dan konsultasi secara internal dan
eksternal.
3. Sumber Organisasi harus dapat mengidentifikasikan persyaratan
kompetensi sumber daya manusia (SDM) yang diperlukan. Oleh karena
itu untuk meningkatkan kualifikasi SDM perlu untuk mengikuti
pelatihan-pelatihan yang relevan dengan pekerjaannya seperti
pelatihan manajerial, dan lain sebagainya.
b. Elemen Utama Manjemen Riseko
Elemen utama dari proses manajemen risiko, meliputi:
a. Penetapan tujuan
Menetapkan strategi, kebijakan organisasi dan ruang lingkup
manajemen risiko yang akan dilakukan.
b. Identifkasi risiko
-
Mengidentifikasi apa, mengapa dan bagaimana faktor-faktor yang
mempengaruhi terjadinya risiko untuk analisis lebih lanjut.
c. Analisis risiko
Dilakukan dengan menentukan tingkatan probabilitas dan
konsekuensi yang akan terjadi. Kemudian ditentukan tingkatan risiko
yang ada dengan mengalikan kedua variabel tersebut (probabilitas X
konsekuensi).
d. Evaluasi risiko
Membandingkan tingkat risiko yang ada dengan kriteria standar.
Setelah itu tingkatan risiko yang ada untuk beberapa hazards dibuat
tingkatan prioritas manajemennya. Jika tingkat risiko ditetapkan
rendah, maka risiko tersebut masuk ke dalam kategori yang dapat
diterima dan mungkin hanya memerlukan pemantauan saja tanpa harus
melakukan pengendalian.
e. Pengendalian risiko
Melakukan penurunan derajat probabilitas dan konsekuensi yang
ada dengan menggunakan berbagai alternatif metode, bisa dengan
transfer risiko, dan lain-lain.
f. Monitor dan Review
Monitor dan review terhadap hasil sistem manajemen risiko yang
dilakukan serta mengidentifikasi perubahan-perubahan yang perlu
dilakukan.
g. Komunikasi dan konsultasi
Komunikasi dan konsultasi dengan pengambil keputusan internal
dan eksternal untuk tindak lanjut dari hasil manajemen risiko yang
dilakukan.
II. ASESMEN MANAJEMEN RISIKO BERBASIS ISO 31000:2009
2.1 Pengantar
Asesmen manajemen risiko berbasis ISO 31000:2009 yang agaknya
menjadi trending topic di beberapa perusahaan saat ini dan ISO
31000 dianggap bisa mewakili standar manajemen risiko pada beberapa
perusahaan di Indonesia. Sebelum membahas mengenai asesmen
manajemen risiko, ada beberapa hal yang perlu dibedah dari ISO
31000:2009.
Organisasi yang telah mengimplementasikan AS/NZS 4360:2004 Risk
Management Standard (standar manajemen risiko dari Australia) akan
langsung melihat kemiripan antara proses manajemen risiko yang
diperkenalkan ISO 31000:2009 di atas dengan proses manajemen risiko
menurut AS/NZS 4360:2004. Memang demikian karena ISO mengadopsi
proses manajemen risiko AS/NZS 4360:2004 untuk mendukung kerangka
kerja yang dikembangkannya
Organisasi yang berminat menerapkan manajemen risiko berbasis
ISO 31000:2009 perlu memperhatikan tiga aspek penting yang
ditekankan dalam standar ini yakni, pertama, penerapan manajemen
risiko harus disertai komitmen yang tinggi dari pengurus organisasi
(corporate boards), dalam perusahaan berarti Direksi dan Komisaris;
kedua, manajemen risiko harus diintegrasikan ke dalam seluruh
proses organisasi dan menjadi bagian yang tidak terpisahkan dari
core responsibilities para pemilik/penanggung jawab proses (dalam
perusahaan adalah para manajer dan staf di setiap departemen), dan
manajemen risiko harus merupakan bagian dari proses pengambilan
keputusan baik pada tingkat governance maupun manajerial
-
Gbr- 01, Ketidakpastian
Defenisi
Perlu dipahami terlebih dahulu mengenai definisi risiko dan
manajemen risiko menurut ISO 31000:2009.
Definisi risiko adalah dampak dari ketidakpastian terhadap
pencapaian obyektif. Dampak menurut ISO 31000 adalah deviasi dari
apa yang diharapkan, bisa bersifat positif dan/atau negatif.
Definisi manajemen risiko adalah aktivitas yang terkoordinasi
untuk mengarahkan dan mengendalikan sebuah organisasi dalam
menangani risiko
Definisi memberikan kita pemahaman awal bagaimana ISO 31000
memberikan arti mengenai keluasan dan kedalaman sebuah risiko yang
menjadi obyek sebuah asesmen.
2.2. Prinsip Pengelolaan Risiko
Menurut ISO 31000:2009, manajemen risiko suatu organisasi harus
mengikuti 11 prinsip dasar agar dapat dilaksanakan secara efektif.
Berikut penjabaran prinsip-prinsip tersebut.
1. Manajemen risiko menciptakan nilai tambah (creates value)
Manajemen risiko berkontribusi terhadap pencapaian nyata
objektif dan peningkatan, antara lain, kesehatan dan keselamatan
manusia, kepatuhan terhadap hukum dan peraturan, penerimaan publik,
perlindungan lingkungan, kinerja keuangan, kualitas produk,
efisiensi operasi, serta tata kelola dan reputasi perusahaan.
2. Manajemen risiko adalah bagian integral proses dalam
organisasi (an integral part of organizational processes)
Manajemen risiko adalah bagian tanggung jawab manajemen dan
merupakan suatu bagian integral dalam proses normal organisasi
seperti juga merupakan bagian dari seluruh proses proyek dan
manajemen perubahan. Manajemen risiko bukanlah merupakan aktivitas
yang berdiri sendiri yang terpisah dari aktivitas-aktivitas utama
dan proses dalam organisasi.
3. Manajemen risiko adalah bagian dari pengambilan keputusan
(part of decision making)
-
Manajemen risiko membantu pengambil keputusan mengambil
keputusan dengan informasi yang cukup. Manajemen risiko dapat
membantu memprioritaskan tindakan dan membedakan berbagai pilihan
alternatif tindakan. Pada akhirnya, manajemen risiko dapat membantu
memutuskan apakah suatu risiko dapat diterima atau apakah suatu
penanganan risiko telah memadai dan efektif.
4. Manajemen risiko secara eksplisit menangani ketidakpastian
(explicitly addresses uncertainty)
Manajemen risiko menangani aspek-aspek ketidakpastian dalam
pengambilan keputusan, sifat alami dari ketidakpastian itu, dan
bagaimana menanganinya.
5. Manajemen risiko bersifat sistematis, terstruktur, dan tepat
waktu (systematic, structured and timely)
Suatu pendekatan sistematis, tepat waktu, dan terstruktur
terhadap manajemen risiko memiliki kontribusi terhadap efisiensi
dan hasil yang konsisten, dapat dibandingkan, serta andal.
6. Manajemen risiko berdasarkan informasi terbaik yang tersedia
(based on the best available information)
Masukan untuk proses pengelolaan risiko didasarkan oleh sumber
informasi seperti pengalaman, umpan balik, pengamatan, prakiraan,
dan pertimbangan pakar. Meskipun demikian, pengambil keputusan
harus terinformasi dan harus mempertimbangkan segala keterbatasan
data atau model yang digunakan atau kemungkinan perbedaan pendapat
antar pakar.
7. Manajemen risiko dibuat sesuai kebutuhan (tailored)
Manajemen risiko diselaraskan dengan konteks eksternal dan
internal organisasi serta profil risikonya.
8. Manajemen risiko memperhitungkan faktor manusia dan budaya
(takes human and cultural factors into account)
Manajemen risiko organisasi mengakui kapabilitas, persepsi, dan
tujuan pihak- pihak eksternal dan internal yang dapat mendukung
atau malah menghambat pencapaian tujuan organisasi.
9. Manajemen risiko bersifat transparan dan inklusif
(transparent and inclusive)
Pelibatan para pemangku kepentingan, terutama pengambil
keputusan, dengan sesuai dan tepat waktu pada semua tingkatan
organisasi, memastikan manajemen risiko tetap relevan dan mengikuti
perkembangan. Pelibatan ini juga memungkinkan pemangku kepentingan
untuk cukup terwakili dan diperhitungkan sudut pandangnya dalam
menentukan kriteria risiko.
10. Manajemen risiko bersifat dinamis, iteratif, dan responsif
terhadap perubahan (dynamic, iterative and responsive to
change)
Seiring dengan timbulnya peristiwa internal dan eksternal,
perubahan konteks dan pengetahuan, serta diterapkannya pemantauan
dan peninjauan, risiko-risiko baru bermunculan, sedangkan yang ada
bisa berubah atau hilang. Karenanya, suatu organisasi harus
memastikan bahwa manajemen risiko terus menerus memantau dan
menanggapi perubahan.
11. Manajemen risiko memfasilitasi perbaikan dan pengembangan
berkelanjutan organisasi (facilitates continual improvement and
enhancement of the organization)
Organisasi harus mengembangkan dan mengimplementasikan strategi
untuk memperbaiki kematangan manajemen risiko mereka bersama
aspek-aspek lain dalam organisasi mereka.
-
2.3. Pola Kerja Manajemen Risiko ISO 31000 : 2009 Pemahaman
mengenai pendekatan yang disajikan dalam ISO 31000 terhadap
pengelolaan risiko di dalam sebuah organisasi melalui gambaran
relasi antara prinsip, kerangka kerja, dan proses pengelolaan
risiko
Sumber: ISO 31000: 2009 Risk Management – Principles and
Guidelines
Gbr-02 , Framework (Pola kerja ) Manajemen Risiko ISO
31000:2009
Framework Manajemen Risiko ISO 31000:2009 dalam klausul 4 (lihat
gambar 03 di bawah)
Mandat (pemberian wewenang) dan komitmen (amanah) di klausul
4.2.
1. Rancangan Pola kerja untuk mengelola risiko di klausul 4.3.
2. Penerapan manajemen risiko di klausul 4.4. 3. Pemantauan dan
review terhadap framework di klausul 4.5. 4. Perbaikan framework
berkelanjutan di klausul 4.2.
-
Gbr-03 , Framework Manajemen Risiko ISO 31000:2009 dalam klausul
4
Setelah pemberian mandat dan komitmen, kerangka kerja ISO 31000:
2009 dilanjutkan dengan kerangka implementasi “Plan, Do, Check,
Act”, yaitu dengan melakukan: (1) perencanaan kerangka kerja
manajemen risiko; (2) penerapan manajemen risiko; (3) monitoring
dan review terhadap kerangka kerja manajemen risiko; (4) perbaikan
kerangka kerja manajemen risiko secara berkelanjutan
Plan – mendefinisikan dan analisis suatu masalah serta
mengidentifikasi akar masalahnya
Mengkomunikasikan dan melatih.
Rencana komunikasi dan pelaporan.
Strategi training.
Jaringan manajemen risiko.
https://idrismadjidi.files.wordpress.com/2013/03/framework-rm-iso31000.jpg
-
Gbr – 04 , kerangka implementasi “Plan, Do, Check, Act”,
Do – melaksanakan solusi, membuat rencana kerja secara terinci
dan menarapkannya secara sistematis. Yang masuk dalam Do ini antara
lain :
Mengelola dan mengalokasikan
Komite manajemen risiko komisaris/dewan pengawas.
Komite manajemen risiko eksekutif /direksi.
Manajer manajemen risiko.
RM Champions.
Risiko, pengendaliannya, ownernya.
Penyedia asuransi/penjaminannya. Check – Memeriksa hasil kerja
dibandingkan dengan rencananya dan mengidentifikasi penyimpangannya
serta masalah-masalahnya. Yang masuk dalam Check ini antara lain
:
Mengukur dan mengkaji.
Mengendalikan asuransi/penjaminannya.
Kemajuan rencana manajemen risiko.
Pelaporan taka kelola.
Benchmarking / study banding.
Kriteria unjuk kerja. Act – Menstandarisasi solusi. Mengkaji
ulang dan mendefinisikan masalah-masalah yang akan datang. Yang
masuk dalam Act ini antara lain :
Komitmen dan Mandat dari atasan kepada bawahannya, mulai dari
pemegang saham, Komisaris, Direksi, sampai dengan karyawan level
terendah dalam masalah manajemen risiko.
Pernyataan kebijakan manajemen risiko.
-
Rencana manajemen risiko.
Rencana Asuransi.
Standar-standar manajemen risiko.
Prosedur dan petunjuk-petunjuk kerja.
Secara lebih detail klausul 4 dengan PDCA nya digambarkan dengan
gambar 05,berikut ini :
Gbr – 05, detail klausul 4 dengan PDCA
Framework Manajemen Risiko ISO 31000:2009 dalam klausul 5 (lihat
gambar 06 di bawah) terdiri atas Kerangka kerja manajemen risiko
ISO 31000: 2009 Risk Management – Principles and Guidelines dimulai
dengan pemberian mandat dan komitmen. Pemberian mandat dan komitmen
merupakan hal yang sangat penting karena menentukan akuntabilitas,
kewenangan, dan kapabilitas dari pelaku manajemen risiko .Hal-hal
penting yang harus dilakukan pada pemberian mandat dan komitmen
adalah: • Membuat dan menyetujui kebijakan manajemen risiko; •
Menyesuaikan indikator kinerja manajemen risiko dengan indikator
kinerja perusahaan; • Menyesuaikan kultur organisasi dengan
nilai-nilai manajemen risiko; • Menyesuaikan sasaran manajemen
risiko dengan sasaran strategis perusahaan; • Memberikan kejelasan
peran dan tanggung jawab; • Menyesuaikan kerangka kerja manajemen
risiko dengan kebutuhan organisasi.
Gambar. Komponen-komponen Kerangka Kerja Manajemen Risiko ISO
31000:2009 dalam klausul 5
https://idrismadjidi.files.wordpress.com/2013/03/pdca-iso31000.jpg
-
Sumber: Broadleaf Capital International. Strategic, Enterprise
and Project Risk Management.
Gbr -06 , Framework Manajemen Risiko ISO 31000:2009 dalam
klausul 5
2.4. Kerangka Kerja Implementasi Manajemen Risiko
Risk Management Framework Based on ISO 31000
Perencanaan kerangka kerja manajemen risiko mencakup pemahaman
mengenai organisasi dan konteksnya, menetapkan kebijakan manajemen
risiko, menetapkan akuntabilitas manajemen risiko, mengintegrasikan
manajemen risiko ke dalam proses bisnis organisasi, alokasi sumber
daya manajemen risiko, dan menetapkan mekanisme komunikasi internal
dan eksternal. Setelah melakukan perencanaan kerangka kerja, maka
dilakukan penerapan proses manajemen risiko. Dalam penerapan
manajemen risiko, perlu dilakukan monitoring dan review terhadap
kerangka kerja manajemen risiko. Setelah itu, kerangka kerja
manajemen risiko perlu diperbaiki secara berkelanjutan untuk
memfasilitasi perubahan yang terjadi pada konteks internal dan
eksternal organisasi. Proses-proses tersebut kemudian berulang
kembali untuk memastikan adanya kerangka kerja manajemen risiko
yang mengalami perbaikan berkesinambungan dan dapat menghasilkan
penerapan manajemen risiko yang andal. ISO 31000 menyediakan
kerangka kerja sebagai pedoman dalam implementasi manajemen risiko
yang efektif.
Tujuan dari kerangka kerja implementasi pengelolaan risiko
antara lain:
Pemastian bahwa informasi mengenai pengelolaan risiko yang
dihasilkan dari proses pengelolaan risiko telah cukup dilaporkan
dan digunakan sebagai dasar dalam pengambilan keputusan
Pemenuhan akuntabilitas pada setiap tingkatan organisasi yang
relevan
http://crmsindonesia.org/files/Untitled3_0.png
-
2.5. Proses pengelolaan risiko Risk Management Process Based on
ISO 31000 Proses pengelolaan risiko menurut ISO 31000 seharusnya
merupakan bagian yang terintegrasi, melekat dalam budaya dan
praktik manajemen, dan terkustomisasi menurut proses bisnis
organisasi. Menurut ISO 31000, asesmen risiko merupakan bagian yang
paling penting dan fundamental dalam proses pengelolaan risiko.
Oleh karena itu, organisasi perlu melakukan asesmen risiko yang
benar agar memperoleh laporan profil risiko yang tepat sehingga
organisasi dapat secara cermat mengelola risikonya.
Sumber: Asesmen Risiko Berbasis ISO 31000: 2009. Diane
Christina, 2012.
Gbr -07 , Risk Management Process Based on ISO 31000
Proses manajemen risiko merupakan kegiatan kritikal dalam
manajemen risiko, karena merupakan penerapan dari pada prinsip dan
kerangka kerja yang telah dibangun. Proses manajemen risiko terdiri
dari tiga proses besar, yaitu: (1) Penetapan konteks (establishing
the context)
Penetapan konteks bertujuan untuk mengidentifikasi dan
mengungkapkan sasaran organisasi, lingkungan dimana sasaran hendak
dicapai, stakeholders yang berkepentingan, dan keberagaman kriteria
risiko, dimana hal-hal ini akan membantu mengungkapkan dan menilai
sifat dan kompleksitas dari risiko. Terdapat empat konteks yang
perlu ditentukan dalam penetapan konteks, yaitu konteks internal,
konteks eksternal, konteks manajemen risiko, dan kriteria
risiko.
http://crmsindonesia.org/files/Untitled4.png
-
(i) Konteks internal memperhatikan sisi internal organisasi
yaitu struktur organisasi, kultur dalam organisasi, dan hal-hal
lain yang dapat mempengaruhi pencapaian sasaran organisasi.
(ii) Konteks eksternal mendefinisikan sisi eksternal organisasi
yaitu pesaing, otoritas, perkembangan teknologi, dan hal-hal lain
yang dapat mempengaruhi pencapaian sasaran organisasi.
(iii) Konteks manajemen risiko memperhatikan bagaimana manajemen
risiko diberlakukan dan bagaimana hal tersebut akan diterapkan di
masa yang akan datang.
(iv) Terakhir, dalam pembentukan manajemen risiko organisasi
perlu mendefinisikan parameter yang disepakati bersama untuk
digunakan sebagai kriteria risiko.
(2) Penilaian risiko (risk assessment)
Penilaian risiko terdiri dari: (i) Identifikasi risiko:
mengidentifikasi risiko apa saja yang dapat mempengaruhi
pencapaian
sasaran organisasi. (ii) Analisis risiko: menganalisis
kemungkinan dan dampak dari risiko yang telah diidentifikasi. (iii)
Evaluasi risiko: membandingkan hasil analisis risiko dengan
kriteria risiko untuk
menentukan bagaimana penanganan risiko yang akan diterapkan. (3)
Penanganan risiko (risk treatment)
Dalam menghadapi risiko terdapat empant penanganan yang dapat
dilakukan oleh organisasi: (i) Menghindari risiko (risk avoidance);
(ii) Mitigasi risiko (risk reduction), dapat dilakukan dengan
mengurangi kemungkinan atau
dampak; (iii) Transfer risiko kepada pihak ketiga (risk
sharing); (iv) Menerima risiko (risk acceptance).
Ketiga proses besar tersebut didampingi oleh dua proses yaitu:
(1) Komunikasi dan konsultasi
Komunikasi dan konsultasi merupakan hal yang penting mengingat
prinsip manajemen risiko yang kesembilan menuntut manajemen risiko
yang transparan dan inklusif, dimana manajemen risiko harus
dilakukan oleh seluruh bagian organisasi dan memperhitungkan
kepentingan dari seluruh stakeholders organisasi. Adanya komunikasi
dan konsultasi diharapkan dapat menciptakan dukungan yang memadai
pada kegiatan manajemen risiko dan membuat kegiatan manajemen
risiko menjadi tepat sasaran.
(2) Monitoring dan review
Hal ini diperlukan untuk memastikan bahwa implementasi manajemen
risiko telah berjalan sesuai dengan perencanaan yang dilakukan.
Hasil monitoring dan review juga dapat digunakan sebagai bahan
pertimbangan untuk melakukan perbaikan terhadap proses manajemen
risiko. Manajemen risiko merupakan proses esensial dalam organisasi
untuk memberikan jaminan yang wajar terhadap pencapaian tujuan
organisasi. ISO 31000: 2009 Risk Management – Principles and
Guidelines merupakan standar yang dibuat untuk memberikan prinsip
dan panduan generik dalam penerapan manajemen risiko. Standar ini
menyediakan prinsip, kerangka kerja, dan proses manajemen risiko.
Prinsip manajemen risiko merupakan fondasi dari kerangka kerja dan
proses manajemen risiko, sedangkan kerangka kerja manajemen risiko
merupakan struktur pembangun proses manajemen risiko. Proses
manajemen risiko merupakan penerapan inti dari manajemen risiko,
sehingga harus dijalankan secara komprehensif, konsisten, dan terus
diperbaiki sesuai dengan keperluan. Implementasi manajemen risiko
berbasis ISO 31000: 2009 secara mendetail
-
dan menyeluruh pada ketiga komponen tersebut diharapkan dapat
meningkatkan efektivitas manajemen risiko organisasi.
Setelah kita membedah ISO 31000, pertanyaan berikutnya adalah
bagaimana metodologi asesmen manajemen risiko berbasis ISO
31000:2009. Sebagai seorang asesor independen atas sistem manajemen
korporat, jawaban sederhana yang bisa saya bagi adalah asesor akan
melakukan penilaian terhadap kerangka kerja implementasi
pengelolaan risiko seperti yang telah dibedah di atas dengan
unsur-unsur penilaian antara lain tanggung jawab, akuntabilitas,
strategi, dan praktik manajemen risiko. Sistem manajemen risiko
yang baik seharusnya dapat memberikan keyakinan bahwa dengan
penerapan manajemen risiko, organisasi dapat mengurangi
ketidakpastian yang membayangi dalam setiap pengambilan keputusan
namun tetap dapat berinovasi sesuai dengan kapabilitas yang
dimiliki.
2.6. Proses Manajemen Risiko ISO 31000:2009 Proses Manajemen
Risiko ISO 31000:2009 digambarkan kembali secara lebih detail
sebagaimana gambar di bawah ini. Proses pertama adalah Establishing
The Context (Menetapkan Konteks).
Gbr-08, Gambar detail Proses Manajemen Risiko ISO 31000:2009
Dalam proses manajemen risiko langkah awal yang sangat penting
adalah Establishing The Context . Menetapkan konteks ini meliputi
penetapan tujuan, strategi, ruang lingkup dan parameter-parameter
lain yang berhubungan dengan proses pengelolaan risiko suatu
organisasi..
https://idrismadjidi.files.wordpress.com/2013/03/iso31000-rm-detail-process.jpgUserRectangle
UserRectangle
-
Penetapan konteks ini menunjukkan hubungan antara masalah atau
hal yang akan dikelola risikonya dengan lingkungan organisasi
(eksternal & internal), proses manajemen risiko dan ukuran atau
kriteria risiko yang dijadikan standar Kriteria risiko atau Risk
Criteria adalah ukuran standar seberapa besar dampak atau
konsekwensi yang mungkin akan terjadi dan seberapa besar
kemungkinan atau frekeunsi atau likelihood risiko akan terjadi.
Gambar di bawah semoga dapat dijadikan contoh kriteria risiko itu.
Dalam penetapan konteks ini ditetapkan pula sumber daya, struktur
organisasi (tanggung jawab dan wewenang) yang diperlukan dalam
pengeloaan risiko. Dalam dokumen rencana risk manajemen (Risk
Management Plan), penetapan konteks ini dapat dijadikan bab Latar
Belakang Masalah, bab struktur organisasi pengeloaan risiko dan bab
Kriteria Risiko.
Gbr-09 , Risk = Consequences x Likelihood).
Proses kedua adalah Risk Identification atau identifikasi
risiko, yaitu melakukan identifikasi risiko-risiko yang dapat
terjadi di masa yang akan datang (yaitu : risiko apa, kapan, di
mana, bagaimana, mengapa suatu risiko bisa terjadi). Identifikasi
ini termasuk pengidentifikasian
poses-proses/tugas-tugas/aktifitas-aktifitas kritikal atau kunci,
pengenalan area-area risiko dan katagorinya. Proses ketiga adalah
Risk Analysis atau analisis risiko-risiko, yaitu proses menentukan
berapa besar dampak (impact atau consequences) dan kemungkinan
(frequency atau likelihood) risiko-risiko yang
https://idrismadjidi.files.wordpress.com/2013/03/risk-criteria.jpg
-
akan terjadi, serta menghitung berapa besar level risikonya
dengan mengalikan antara besar dampak dan besar kemungkinan (Risk =
Consequences x Likelihood). Proses keempat adalah Risk Evaluation
atau membandingkan risiko-risiko yang sudah dihitung diatas dengan
Kriteria Risiko yang sudah distandarkan (menempatkan posisi
risiko-risiko pada gambar kriteria risiko), apakah risiko-risiko
itu acceptable/dapat diterima, menjadi issue/diwaspadai, atau
unacceptable/tidak diterima, serta memprioritaskan mitigasi atau
penangannya. Lihat gambar di bawah ini, risiko nomor 1 dan 5
terletak di daerah warna merah Unacceptable Risk dan menjadi
prioritas untuk dilakukan penanganan atau mitigasinya.
Gbr- 10, Risk Management Framework
Proses kelima adalah Risk Treatment atau mitigasi risiko-risiko.
Mitigasi risiko-risiko harus direncanakan sebaik-baiknya dan
dipertimbangkan semua alternatif solusinya, sebelum dilaksanakan
mitigasinya, agar mendapatkan hasil yang diharapkan ecara efektif
dan efisien. Beberapa alternatif bisa dipertimbangkan untuk
digunakan, seperti :
membagi risiko, mengurangi likeliihood dan/atau mengurangi
konsekwensi, menghindari risiko atau membatalkan aktifitas yg
berisiko tinggi, menerima risiko.
https://idrismadjidi.files.wordpress.com/2013/03/risks-vs-risk-criteria.jpg
-
Proses keenam adalah Monitor & Review (Pemantauan &
Pengkajian Ulang). Pemantauan & Pengkajian Ulang dilaksanakan
terhadap seluruh proses manajemen risiko termasuk konteksnya
(lingkungan, proses, organisasi, strategi, stakeholder dsb.).
Catatan-catatan hasil Pemantauan & Pengkajian Ulang disimpan
sebagai bukti dan laporna bahwa aktifitas itu telah dilaksanakan
dan sebagai masukan bagi Risk Management Framework yang telah
disiapkan sebelumnya. Selama melaksanakan ke enam proses manajemen
risiko itu Communication & Consultation (komunikasi dan
konsultasi) selalu dilaksanakan kepada semua stakeholder, secara
kontinyu dan iterative. Skema lain yang menambah kejelasan mengenai
langkah-langkah penerapan proses manajemen risiko ISO 31000:2009
dapat dilihat pada gambar di bawah.
Gbr -11, Skema langkah-langkah penerapan proses manajemen
risiko
Referensi :
1. COSO ERM Executive Summary
(http://www.coso.org/documents/coso_erm_executivesummary.pdf ).
2. International Organization for Standardization (ISO). “ISO
13000:2009—Risk Management: Principles and Guidelines.” Geneva,
2009. (http://www.iso.org/iso/home/standards/iso31000.htm).
3. Kevin W Knight AM “Applying ISO 31000:2009 in Regulatory
Work”. 4. Diane Christina “Asesmen Manajemen Risiko berbasis COSO
ERM“. 5. Diane Christina “Asesmen Manajemen Risiko berbasis ISO
31000:2009“. ISO 31000:2009
http://www.coso.org/documents/coso_erm_executivesummary.pdfhttp://www.iso.org/iso/home/standards/iso31000.htmhttps://idrismadjidi.files.wordpress.com/2013/03/steps-rm-process-iso31000.jpg