ISO 31000:2009 Risk Management - Apa yang Ingin Dicapai dan Manfaatnya

bagi Organisasi Kita?

Pada bulan Desember 2009 lalu badan standar dunia ISO (International Standard Organization)
mengeluarkan ISO 31000:2009 (non-certification standard) untuk manajemen risiko setelah
melalui proses uji yang panjang, kurang lebih 3 tahun. Peristiwa penting ini menandai semakin
luasnya penggunaan manajemen risiko di dalam organisasi non-keuangan. Kenyataannya risiko
dan manajemen risiko kini bukan lagi domain lembaga-lembaga keuangan seperti bank dan
asuransi. Berbagai organisasi termasuk lembaga pemerintah dan organisasi nirlaba seperti
Lembaga Swadaya Masyarakat (LSM) semakin sering berbicara tentang risiko dan manajemen
risiko. Mengingat hal tersebut sebuah uraian mengenai tujuan dan manfaat penerapan ISO
31000:2009 non-sertifikasi ini akan berguna bagi pembaca.
Ada dua isi yang terkait dengan dikeluarkannya ISO 31000:2009. Pertama, terminologi risiko
(common risk terminology), dan kedua, kerangka kerja (risk management framework) dan proses
manajemen risiko (risk management process).

Terminologi Risiko
ISO 31000:2009 dimaksudkan untuk diterapkan di berbagai organisasi baik yang berorientasi
laba, nirlaba, swasta maupun publik, keuangan maupun non-keuangan. Penerapan yang luas ini
menumbuhkan kebutuhan akan terminologi risiko yang cakupan dan pengertiannya sama bagi
setiap organisasi. Penulis sendiri sering menemukan penggunaan istilah-istilah manajemen risiko
dengan pemahaman yang berbeda-beda di setiap organisasi atau sektor. Istilah ‘risiko’ itu
sendiri, misalnya bagi banyak orang bisa diartikan ‘permasalahan’, ‘ancaman’, ‘ketidakpastian’,
‘kerugian’, atau pengertian lainnnya. Sementara itu ISO 31000:2009 memberikan batasan risiko
sebagai “the effect of uncertainty on objectives” (Klausul 3), di mana dampak dari ketidakpastian
terhadap (pencapaian) sasaran ini bisa bersifat positif atau negatif. Dengan batasan yang
diberikan ISO tersebut maka sewajarnya organisasi kita sekarang memiliki paradigma baru yang
sama mengenai risiko; bahwa risiko adalah efek dari ketidakpastian terhadap pencapaian sasaran
organisasi dan bahwa risiko tidaklah selalu bersifat negatif. Ini hanya salah satu contoh. Ada
banyak istilah lainnya yang oleh ISO diberi batasan yang jelas seperti events, issues, risk profile,
risk appetite, risk tolerance, dan lain-lain.
Dengan terminologi yang sama komunikasi risiko intra dan antar organisasi akan menjadi lebih
mudah dan efektif.

Standarisasi Kerangka dan Proses Manajemen Risiko

ISO juga memperkenalkan kerangka kerja dan proses manajemen risiko yang jika diadopsi oleh
berbagai organisasi akan mendorong diterapkannya praktik manajemen risiko yang relatif sama
di berbagai organisasi di seluruh dunia. Seperti apakah kerangka kerja manajemen risiko yang
dimaksud?
Menurut ISO 31000:2009, kerangka kerja manajemen risiko yang efektif sedikitnya harus
mencakup dua aspek yakni aspek implementasi dan aspek perbaikan berkelanjutan. Elemen-
elemen pada aspek implementasi mencakup: (1) komitmen dan mandat (commitment and
mandate); (2) komunikasi dan pelatihan (communicate and train); (3) struktur dan tangung jawab
(structure and responsibilities). Sementara itu elemen-elemen pada aspek perbaikan
berkelanjutan mencakup: (1) struktur dan tanggung jawab; (2) reviu dan perbaikan (review and
improve); (3) komiment dan mandat. Dengan demikian, framework ini bersifat iteratif dari
adanya komitmen dan mandat dan kembali kepada perbaikan komitmen dan mandat, dan
seterusnya.
Selanjutnya, kerangka kerja di atas didukung dengan proses manajemen risiko (risk management
process) yang terdiri dari tujuh elemen yang bersifat sekuensial yakni (1) communication and
consult; (2) establish the context; risk assessment mencakup: (3) risk identification, (4) risk
analysis, (5) risk evaluation; (6) risk treatment dan (7) monitoring and review.

Proses Manajemen Risiko Menurut ISO 31000:2009

Organisasi yang telah mengimplementasikan AS/NZS 4360:2004 Risk Management Standard

(standar manajemen risiko dari Australia) akan langsung melihat kemiripan antara proses
manajemen risiko yang diperkenalkan ISO 31000:2009 di atas dengan proses manajemen risiko
menurut AS/NZS 4360:2004. Memang demikian karena ISO mengadopsi proses manajemen
risiko AS/NZS 4360:2004 untuk mendukung kerangka kerja yang dikembangkannya. Dengan
demikian, jika Anda telah menerapkan AS/NZS 4360:2004 maka migrasi ke ISO akan relatif
lebih cepat, untuk tidak mengatakan lebih mudah karena masih ada berbagai komponen ISO
lainnya yang tidak dicakup dalam AS/NZS 4360:2004, terutama dalam hal ini kerangka kerja
ISO.

Manfaat dan Tantangan Strategik

Organisasi yang berminat menerapkan manajemen risiko berbasis ISO 31000:2009 perlu
memperhatikan tiga aspek penting yang ditekankan dalam standar ini yakni, pertama, penerapan
manajemen risiko harus disertai komitmen yang tinggi dari pengurus organisasi (corporate
boards), dalam perusahaan berarti Direksi dan Komisaris; kedua, manajemen risiko harus
diintegrasikan ke dalam seluruh proses organisasi dan menjadi bagian yang tidak terpisahkan
dari core responsibilities para pemilik/penanggung jawab proses (dalam perusahaan adalah para
manajer dan staf di setiap departemen), dan manajemen risiko harus merupakan bagian dari
proses pengambilan keputusan baik pada tingkat governance maupun manajerial.
Bagi banyak organisasi penekanan ini merupakan tantangan strategik tersendiri karena
kebanyakan pemilik/penanggung jawab proses (process owners) merasa bahwa penerapan
manajemen risiko sebagai beban tambahan terhadap “kegiatan utama” yang menjadi tanggung
jawab mereka. Kenyataan ini diperburuk oleh komitmen yang rendah dan pemahaman yang
terbatas mengenai manajemen risiko di antara pengurus perusahaan dan manajemen. Akibatnya
tidak jarang kita temukan organisasi yang kemudian membentuk dan menugaskan unit
manajemen risiko untuk melakukan seluruh proses risk assessment sekaligus merancang risk
treatment-nya. Sebuah jalan pintas yang akan berakhir sia-sia karena manajemen risiko tidak
mungkin diemban oleh sebuah unit. Pendekatan yang demikian akan gagal terutama sekali
karena manajemen risiko berjalan secara parsial dan terfragmentasi dan organisasi tidak pernah
akan melihat tumbuhnya rasa tanggung jawab terhadap risiko dan pengelolaannya (risk
awareness dan risk ownership).
Dengan mengadopsi ISO 31000:2009 organisasi kita diharapkan dapat menerapkan pendekatan
enterprise risk management, dengan komitmen dan pemahaman yang memadai dari pengurus
organisasi (di perusahaan berarti Direksi dan Komisaris) terhadap manajemen risiko dan
implementasinya. Dengan mengintegrasikan manajemen risiko ke dalam proses organisasi dan
pengambilan keputusan maka kualitas keputusan diharapkan akan meningkat, kecelakaan dan
kejutan yang tidak diinginkan (bad surprises) dari kegiatan operasional organisasi akan menurun,
penanggung jawab proses memiliki rasa tanggung jawab yang sehat atas risiko dan
pengendaliannya. Jika ini terwujud, maka pengurus organisasi memiliki “kepastian yang wajar”
(reasonable assurance) tentang kemungkinan tercapainya sasaran-sasaran organisasi, tanpa
dibayangi kekuatiran yang tidak perlu mengenai potensi munculnya kejutan (bad suprises) yang
tidak menyenangkan di kemudian hari. Penerapan manajemen risiko berbasis ISO 31000:2009
juga menghendaki adanya dokumentasi yang memadai untuk setiap prosesnya sehingga
meningkatkan transparansi dan akuntabilitas serta perlindungan bagi penanggung jawab proses
(pejabat, petugas dan karyawan) di setiap level. Dengan adanya perlindungan dan akuntabilitas
yang jelas, maka penanggung jawab dan pelaksana proses dapat bekerja dengan lebih tenang
sekalipun jika pendapat dan rekomendasi mereka diabaikan pejabat yang lebih tinggi. Sebuah
manfaat yang sangat layak untuk diwujudkan.

by : Drs. Deddy Jacobus, CCSA