Pada bulan Desember 2009 lalu badan standar dunia ISO (International Standard Organization)
mengeluarkan ISO 31000:2009 (non-certification standard) untuk manajemen risiko setelah
melalui proses uji yang panjang, kurang lebih 3 tahun. Peristiwa penting ini menandai semakin
luasnya penggunaan manajemen risiko di dalam organisasi non-keuangan. Kenyataannya risiko
dan manajemen risiko kini bukan lagi domain lembaga-lembaga keuangan seperti bank dan
asuransi. Berbagai organisasi termasuk lembaga pemerintah dan organisasi nirlaba seperti
Lembaga Swadaya Masyarakat (LSM) semakin sering berbicara tentang risiko dan manajemen
risiko. Mengingat hal tersebut sebuah uraian mengenai tujuan dan manfaat penerapan ISO
31000:2009 non-sertifikasi ini akan berguna bagi pembaca.
Ada dua isi yang terkait dengan dikeluarkannya ISO 31000:2009. Pertama, terminologi risiko
(common risk terminology), dan kedua, kerangka kerja (risk management framework) dan proses
manajemen risiko (risk management process).
Terminologi Risiko
ISO 31000:2009 dimaksudkan untuk diterapkan di berbagai organisasi baik yang berorientasi
laba, nirlaba, swasta maupun publik, keuangan maupun non-keuangan. Penerapan yang luas ini
menumbuhkan kebutuhan akan terminologi risiko yang cakupan dan pengertiannya sama bagi
setiap organisasi. Penulis sendiri sering menemukan penggunaan istilah-istilah manajemen risiko
dengan pemahaman yang berbeda-beda di setiap organisasi atau sektor. Istilah ‘risiko’ itu
sendiri, misalnya bagi banyak orang bisa diartikan ‘permasalahan’, ‘ancaman’, ‘ketidakpastian’,
‘kerugian’, atau pengertian lainnnya. Sementara itu ISO 31000:2009 memberikan batasan risiko
sebagai “the effect of uncertainty on objectives” (Klausul 3), di mana dampak dari ketidakpastian
terhadap (pencapaian) sasaran ini bisa bersifat positif atau negatif. Dengan batasan yang
diberikan ISO tersebut maka sewajarnya organisasi kita sekarang memiliki paradigma baru yang
sama mengenai risiko; bahwa risiko adalah efek dari ketidakpastian terhadap pencapaian sasaran
organisasi dan bahwa risiko tidaklah selalu bersifat negatif. Ini hanya salah satu contoh. Ada
banyak istilah lainnya yang oleh ISO diberi batasan yang jelas seperti events, issues, risk profile,
risk appetite, risk tolerance, dan lain-lain.
Dengan terminologi yang sama komunikasi risiko intra dan antar organisasi akan menjadi lebih
mudah dan efektif.