Bahasan saya kali ini, merujuk pada asesmen manajemen risiko berbasis ISO 31000:2009 yang agaknya

menjadi trending topic di beberapa perusahaan saat ini dan ISO 31000 dianggap bisa mewakili standar
manajemen risiko pada beberapa perusahaan di Indonesia. Sebelum membahas mengenai asesmen
manajemen risiko, ada beberapa hal yang perlu dibedah dari ISO 31000:2009.
Pertama, harus dipahami terlebih dahulu mengenai definisi risiko dan manajemen risiko menurut ISO
31000:2009.

Definisi risiko adalah dampak dari

obyektif. Dampak menurut ISO 31000 adalah deviasi dari apa yang diharapkan, bisa
bersifat positif dan/atau negatif.
Definisi manajemen risiko adalah aktivitas yang terkoordinasi untuk mengarahkan

ketidakpastian

terhadap

pencapaian

dan mengendalikan sebuah organisasi dalam menangani risiko[2].

Definisi memberikan kita pemahaman awal bagaimana ISO 31000 memberikan arti mengenai keluasan
dan kedalaman sebuah risiko yang menjadi obyek sebuah asesmen.
Kedua, pemahaman mengenai pendekatan yang disajikan dalam ISO 31000 terhadap pengelolaan risiko
di dalam sebuah organisasi melalui gambaran relasi antara prinsip, kerangka kerja, dan proses
pengelolaan risiko[3].

Risk Management based on ISO 31000

Prinsip pengelolaan risiko

ISO 31000:2009 mensyaratkan bahwa penerapan manajemen risiko yang efektif harus patuh pada 11
prinsip.
1. Pengelolaan risiko menciptakan dan melindungi
nilai yang dinyatakan dalam obyektif organisasi
2. Pengelolaan risiko merupakan bagian yang
terintegrasi dengan keseluruhan proses dalam

organisasi dan menjadi bagian dari tanggung jawab

manajemen
3. Pengelolaan risiko merupakan bagian dari proses
pengambilan keputusan melalui peranannya dalam
memberikan opsi kepada pengambil keputusan
4. Pengelolaan risiko secara eksplisit seharusnya
memperhitungkan ketidakpastian dan secara sadar
harus berusaha mengurangi ketidakpastian dalam setiap
aktivitasnya dalam memastikan pencapaian obyektif
organisasi
5. Pengelolaan risiko seharusnya dibangun melalui
pendekatan yang sistematis, terstruktur, dan
tepat waktu agar dapat berkontribusi secara efisien
dan secara konsisten menghasilkan keluaran yang dapat
diperbandingkan dan diandalkan
6. Pengelolaan risiko membutuhkan ketersediaan
informasi yang memadai seperti data historis,
pengalaman perusahaan, umpan balik dari pemangku
kepentingan, observasi, dan penilaian ahli sehingga para
pengambil
keputusan
dapat
meyakini
bahwa
keputusannya telah memperhitungan semua informasi
yang tersedia pada waktu keputusan tersebut dibuat
7. Pengelolaan
risiko
membutuhkan
kustomisasi sesuai dengan konteks -baik internal
maupun eksternal- dan profil risiko inheren organisasi
tersebut
8. Pengelolaan risiko seharusnya memperhitungkan
faktor manusia dan budaya yang merupakan bentuk
kapabilitas dari suatu organisasi dalam mencapai
obyektifnya
9. Pengelolaan risiko seharusnya transparan dan
inklusif melibatkan semua pemangku kepentingan
dalam menentukan kriteria risiko
10. Pengelolaan risiko seharusnya dinamis, berulang,
dan respons terhadap perubahan kejadian baik
internal maupun eksternal
11. Pengelolaan risiko seharusnya dapat memfasilitasi
pengembangan
berkelanjutan
dari
sebuah
organisasi diukur dari tingkat maturitasnya.

Kerangka kerja implementasi pengelolaan risiko

Risk Management Framework Based on ISO 31000

ISO 31000 menyediakan kerangka kerja sebagai pedoman dalam implementasi manajemen
risiko yang efektif.
Tujuan dari kerangka kerja implementasi pengelolaan risiko antara lain:

Pemastian bahwa informasi mengenai pengelolaan risiko yang

dihasilkan dari proses pengelolaan risiko telah cukup dilaporkan

dan digunakan sebagai dasar dalam pengambilan keputusan
Pemenuhan akuntabilitas pada setiap tingkatan organisasi yang
relevan

Proses pengelolaan risiko

Proses pengelolaan risiko menurut ISO 31000 seharusnya merupakan bagian yang terintegrasi, melekat
dalam budaya dan praktik manajemen, dan terkustomisasi menurut proses bisnis organisasi.

Risk Management Process Based on ISO 31000

Menurut ISO 31000, asesmen risiko merupakan bagian yang paling penting dan fundamental dalam
proses pengelolaan risiko. Oleh karena itu, organisasi perlu melakukan asesmen risiko yang benar agar

memperoleh laporan profil risiko yang tepat sehingga organisasi dapat secara cermat mengelola
risikonya.
Setelah kita membedah ISO 31000, pertanyaan berikutnya adalah bagaimana metodologi asesmen
manajemen risiko berbasis ISO 31000:2009. Sebagai seorang asesor independen atas sistem
manajemen korporat, jawaban sederhana yang bisa saya bagi adalah asesor akan melakukan penilaian
terhadap kerangka kerja implementasi pengelolaan risiko seperti yang telah dibedah di atas dengan
unsur-unsur penilaian antara lain tanggung jawab, akuntabilitas, strategi, dan praktik manajemen risiko.
Sistem manajemen risiko yang baik seharusnya dapat memberikan keyakinan bahwa dengan penerapan
manajemen risiko, organisasi dapat mengurangi ketidakpastian yang membayangi dalam setiap
pengambilan keputusan namun tetap dapat berinovasi sesuai dengan kapabilitas yang dimiliki.