9 Manajemen-Resiko-ISO-3001-2009 PDF
9 Manajemen-Resiko-ISO-3001-2009 PDF
:
:
I. PENDAHULUAN
1.1
Latar Belakang
Kantor Perburuhan Internasional (ILO) pada tahun 2005 memperkirakan bahwa diseluruh dunia
setiap tahun 2.2 juta orang meninggal karena kecelakaan-kecelakaan dan penyakit-penyakit akibat kerja.
dan diperkirakan bahwa setiap tahun terjadi 270 juta kecelakaan-kecelakaan yang akibat kerja, dan 160
juta penyakit-penyakit baru akibat kerja.
Untuk itu berbagai pendekatan dilakukan dalam menghadapi risiko dalam organisasi atau
perusahaan, seperti Framework Qualiti (ISO 9001), AS NZS 4804-2001 Occupational Health and Safety
Management, EMS ( ISO 14001) dan Manajemen Risiko ISO 31000:2009 menggunakan prinsip PDCA
atau Plan Do Check Action, untuk perbaikan berkelanjutan (continual improvement) sebagai basis
framework dan proses manajemen risiko. PDCA ini digambarkan secara jelas pada gambar di bawah.
Salah satu pendekatan sering dilakukan dalam menghadapi risiko dalam organisasi atau
perusahaan salah satunya yaitu menerapkan konsep manajemen risiko mulai diperkenalkan di bidang
keselamatan dan kesehatan kerja pada era tahun 1980-an setelah berkembangnya teori Accident
Model dari ILCI dan juga semakin maraknya isu lingkungan dan keseselamtan dan kesehatan keja.
Tujuan dari manajemen risiko adalah minimalisasi kerugian dan meningkatkan kesempatan
ataupun peluang. Bila dilihat terjadinya kerugian dengan teori accident model dari ILCI, maka
manajemen risiko dapat memotong mata rantai kejadian kerugian tersebut, sehingga efek dominonya
tidak akan terjadi. Pada dasarnya manajemen risiko bersifat pencegahan terhadap terjadinya kerugian
maupun accident.
The International Organization for Standardization (ISO) 31000: 2009 Risk Management
Principles and Guidelines merupakan sebuah standar internasional yang disusun dengan tujuan
memberikan prinsip dan panduan generik untuk penerapan manajemen risiko. Standar internasional
yang diterbitkan pada 13 November 2009 ini dapat digunakan oleh segala jenis organisasi dalam
menghadapi berbagai risiko yang melekat pada aktivitas mereka. Walau ISO 31000: 2009 menyediakan
panduan generik, standar ini tidak ditujukan untuk menyeragamkan manajemen risiko lintas organisasi,
tetapi ditujukan untuk memberikan standar pendukung penerapan manajemen risiko dalam usaha
memberikan jaminan terhadap pencapaian sasaran organisasi. ISO 31000: 2009 menyediakan prinsip,
kerangka kerja, dan proses manajemen risiko yang dapat digunakan sebagai arsitektur manajemen risiko
dalam usaha menjamin penerapan manajemen risiko yang efektif.
1.2.
Ruang Lingkup
Menurut Smith (1990 dikutip dalam Anonim 2009) Manajemen Resiko didefinisikan sebagai proses
identifikasi, pengukuran,dan kontrol keuangan dari sebuah resiko yang mengancam aset dan
penghasilan dari sebuah perusahaan atau proyek yang dapat menimbulkan kerusakan atau
kerugian pada perusahaan tersebut.
2.
Menurut Clough and Sears (1994 dikutip dalam Anonim 2009), Manajemen risiko didefinisikan
sebagai suatu pendekatan yang komprehensif untuk menangani semua kejadian yang
menimbulkan kerugian.
3.
Menurut William, et.al (1995 dikutip dalam Anonim 2009) Manajemen risiko juga merupakan suatu
aplikasi dari manajemen umum yang mencoba untuk mengidentifikasi, mengukur, dan menangani
sebab dan akibat dari ketidakpastian pada sebuah organisasi.
4.
Dorfman (1998 dikutip dalam Anonim 2009) Manajemen risiko dikatakan sebagai suatu proses
logis dalam usahanya untuk memahami eksposur terhadap suatu kerugian.
2.
3.
Risk is Uncertainty,
risiko adalah ketidakpastian,
4.
5.
Risk is the probability of any outcome different from the one expected,
risiko adalah probabilitas atas sesuatu outcome berbeda dengan outcome yang diharapkan.
6.
Risiko,
Peluang terjadinya sesuatu yang akan mempunyai dampak terhadap sasaran. Ini diukur dengan
hukum sebab akibat. Variabel yang diukur biasanya probabilitas, konsekuensi dan juga
pemajanan.
7.
8.
Analisis risiko.
Sebuah sistematika yang menggunakan informasi yang didapat untuk menentukan seberapa
sering kejadian tertentu dapat terjadi dan besarnya konsekuensi tersebut.
9.
Penilaian risiko,
Proses analisis risiko dan evalusi risiko secara keseluruhan.
10.
Penghindaran risiko,
Keputusan yang diberitahukan tidak menjadi terlibat dalam situasi risiko.
11.
Pengendalian risiko,
Bagian dari manajemen risiko yang melibatkan penerapan kebijakan, standar, prosedur
perubahan fisik untuk menghilangkan atau mengurangi risiko yang kurang baik.
12.
Evaluasi risiko,
Proses yang biasa digunakan untuk menentukan manajemen risiko dengan membandingkan
tingkat risiko terhadap standar yang telah ditentukan, target tingkat risiko dan kriteria lainnya.
13.
Identifikasi Risiko,
Proses menentukan apa yang dapat terjadi, mengapa dan bagaimana.
14.
Pengurangan Risiko,
Penggunaan/ penerapan prinsip-prinsip manajemen dan teknik-teknik yang tepat secara selektif,
dalam rangka mengurangi kemungkinan terjadinya suatu kejadian atau konsekuensinya, atau
keduanya.
15.
16.
Konsekuensi ;
Akibat dari suatu kejadian yang dinyatakan secara kualitatif atau kuantitatif, berupa kerugian, sakit,
cedera, keadaan merugikan atau menguntungkan. Bisa juga berupa rentangan akibat-akibat yang
mungkin terjadi dan berhubungan dengan suatu kejadian.
17.
Kejadian ;
Suatu peristiwa (insiden) atau situasi, yang terjadi pada tempat tertentu selama interval waktu
tertentu.
18.
19.
20.
Frekuensi ;
Ukuran angka dari peristiwa suatu kejadian yang dinyatakan sebagai jumlah peristiwa suatu
kejadian dalam waktu tertentu. Terlihat juga seperti kemungkinan dan peluang.
21.
Bahaya (hazard);
Faktor intrinsik yang melekat pada sesuatu dan mempunyai potensi untuk menimbulkan kerugian.
22.
Monitoring/ Pemantauan ;
Pengecekan, Pengawasan, Pengamatan secara kritis, atau Pencatatan kemajuan dari suatu
kegiatan, tindakan, atau sistem untuk mengidentifikasi perubahan-perubahan yang mungkin
terjadi.
23.
Probabilitas ;
Digunakan sebagai gambaran kualitatif dari peluang atau frekuensi.Kemungkinan dari kejadian
atau hasil yang spesifik, diukur dengan rasio dari kejadian atau hasil yang spesifik terhadap jumlah
kemungkinan kejadian atau hasil. Probabilitas dilambangkan dengan angka dari 0 dan 1, dengan
0 menandakan kejadian atau hasil yang tidak mungkin dan 1 menandakan kejadian atau hasil
yang pasti.
Manajemen risiko dapat diterapkan di setiap level di organisasi. Manajemen risiko dapat
diterapkan di level strategis dan level operasional. Manajemen risiko juga dapat diterapkan pada proyek
yang spesifik, untuk membantu proses pengambilan keputusan ataupun untuk pengelolaan daerah
dengan risiko yang spesifik.
1.4. Kebijakan Manajemen Risiko
Kebijakan manjemen risiko harus relevan dengan konteks strategi dan tujuan organisasi, objektif
dan sesuai dengan sifat dasar bisnis (organisasi) tersebut. Manejemen akan memastikan bahwa
kebijakan tersebut dapat dimengerti, dapat diimplementasikan di setiap tingkatan organisasi.
a.
1.
Komitmen Manajemen.
Organisasi harus dapat memastikan bahwa:
a.
Sistem manejemen risiko telah dapat dilaksanakan, dan telah sesuai dengan standar
b.
Hasil/ performa dari sistem manajemen risiko dilaporkan ke manajemen organisasi, agar
dapat digunakan dalam meninjau (review) dan sebagai dasar (acuan) dalam pengambilan
keputusan.
2.
3.
Sumber
Organisasi harus dapat mengidentifikasikan persyaratan kompetensi sumber daya manusia
(SDM) yang diperlukan. Oleh karena itu untuk meningkatkan kualifikasi SDM perlu untuk mengikuti
pelatihan-pelatihan yang relevan dengan pekerjaannya seperti pelatihan manajerial, dan lain
sebagainya.
b.
II.
2.1
Asesmen manajemen risiko berbasis ISO 31000:2009 yang agaknya menjadi trending topic di
beberapa perusahaan saat ini dan ISO 31000 dianggap bisa mewakili standar manajemen risiko pada
beberapa perusahaan di Indonesia. Sebelum membahas mengenai asesmen manajemen risiko, ada
beberapa hal yang perlu dibedah dari ISO 31000:2009.
Organisasi yang telah mengimplementasikan AS/NZS 4360:2004 Risk Management Standard
(standar manajemen risiko dari Australia) akan langsung melihat kemiripan antara proses manajemen
risiko yang diperkenalkan ISO 31000:2009 di atas dengan proses manajemen risiko menurut AS/NZS
4360:2004. Memang demikian karena ISO mengadopsi proses manajemen risiko AS/NZS 4360:2004
untuk mendukung kerangka kerja yang dikembangkannya
Organisasi yang berminat menerapkan manajemen risiko berbasis ISO 31000:2009 perlu
memperhatikan tiga aspek penting yang ditekankan dalam standar ini yakni, pertama, penerapan
manajemen risiko harus disertai komitmen yang tinggi dari pengurus organisasi (corporate boards),
dalam perusahaan berarti Direksi dan Komisaris; kedua, manajemen risiko harus diintegrasikan ke dalam
seluruh proses organisasi dan menjadi bagian yang tidak terpisahkan dari core responsibilities para
pemilik/penanggung jawab proses (dalam perusahaan adalah para manajer dan staf di setiap
departemen), dan manajemen risiko harus merupakan bagian dari proses pengambilan keputusan baik
pada tingkat governance maupun manajerial
Defenisi
Perlu dipahami terlebih dahulu mengenai definisi risiko dan manajemen risiko menurut ISO 31000:2009.
Definisi risiko adalah dampak dari ketidakpastian terhadap pencapaian obyektif. Dampak
menurut ISO 31000 adalah deviasi dari apa yang diharapkan, bisa bersifat positif dan/atau
negatif.
Definisi manajemen risiko adalah aktivitas yang terkoordinasi untuk mengarahkan dan
mengendalikan sebuah organisasi dalam menangani risiko
Definisi memberikan kita pemahaman awal bagaimana ISO 31000 memberikan arti mengenai keluasan
dan kedalaman sebuah risiko yang menjadi obyek sebuah asesmen.
2.2.
Menurut ISO 31000:2009, manajemen risiko suatu organisasi harus mengikuti 11 prinsip dasar agar
dapat dilaksanakan secara efektif. Berikut penjabaran prinsip-prinsip tersebut.
1.
2.
Manajemen risiko adalah bagian integral proses dalam organisasi (an integral part of
organizational processes)
Manajemen risiko adalah bagian tanggung jawab manajemen dan merupakan suatu bagian
integral dalam proses normal organisasi seperti juga merupakan bagian dari seluruh proses proyek
dan manajemen perubahan. Manajemen risiko bukanlah merupakan aktivitas yang berdiri sendiri
yang terpisah dari aktivitas-aktivitas utama dan proses dalam organisasi.
3.
Manajemen risiko adalah bagian dari pengambilan keputusan (part of decision making)
Manajemen risiko membantu pengambil keputusan mengambil keputusan dengan informasi yang
cukup. Manajemen risiko dapat membantu memprioritaskan tindakan dan membedakan berbagai
pilihan alternatif tindakan. Pada akhirnya, manajemen risiko dapat membantu memutuskan
apakah suatu risiko dapat diterima atau apakah suatu penanganan risiko telah memadai dan
efektif.
4.
5.
Manajemen risiko bersifat sistematis, terstruktur, dan tepat waktu (systematic, structured
and timely)
Suatu pendekatan sistematis, tepat waktu, dan terstruktur terhadap manajemen risiko memiliki
kontribusi terhadap efisiensi dan hasil yang konsisten, dapat dibandingkan, serta andal.
6.
Manajemen risiko berdasarkan informasi terbaik yang tersedia (based on the best available
information)
Masukan untuk proses pengelolaan risiko didasarkan oleh sumber informasi seperti pengalaman,
umpan balik, pengamatan, prakiraan, dan pertimbangan pakar. Meskipun demikian, pengambil
keputusan harus terinformasi dan harus mempertimbangkan segala keterbatasan data atau model
yang digunakan atau kemungkinan perbedaan pendapat antar pakar.
7.
8.
Manajemen risiko memperhitungkan faktor manusia dan budaya (takes human and cultural
factors into account)
Manajemen risiko organisasi mengakui kapabilitas, persepsi, dan tujuan pihak- pihak eksternal
dan internal yang dapat mendukung atau malah menghambat pencapaian tujuan organisasi.
9.
10.
Manajemen risiko bersifat dinamis, iteratif, dan responsif terhadap perubahan (dynamic,
iterative and responsive to change)
Seiring dengan timbulnya peristiwa internal dan eksternal, perubahan konteks dan pengetahuan,
serta diterapkannya pemantauan dan peninjauan, risiko-risiko baru bermunculan, sedangkan yang
ada bisa berubah atau hilang. Karenanya, suatu organisasi harus memastikan bahwa manajemen
risiko terus menerus memantau dan menanggapi perubahan.
11.
Framework Manajemen Risiko ISO 31000:2009 dalam klausul 4 (lihat gambar 03 di bawah)
Mandat (pemberian wewenang) dan komitmen (amanah) di klausul 4.2.
1.
2.
3.
4.
Setelah pemberian mandat dan komitmen, kerangka kerja ISO 31000: 2009 dilanjutkan dengan
kerangka implementasi Plan, Do, Check, Act, yaitu dengan melakukan:
(1)
perencanaan kerangka kerja manajemen risiko;
(2)
penerapan manajemen risiko;
(3)
monitoring dan review terhadap kerangka kerja manajemen risiko;
(4)
perbaikan kerangka kerja manajemen risiko secara berkelanjutan
Plan mendefinisikan dan analisis suatu masalah serta mengidentifikasi akar masalahnya
Mengkomunikasikan dan melatih.
Rencana komunikasi dan pelaporan.
Strategi training.
Jaringan manajemen risiko.
Do melaksanakan solusi, membuat rencana kerja secara terinci dan menarapkannya secara
sistematis.
Yang masuk dalam Do ini antara lain :
RM Champions.
Penyedia asuransi/penjaminannya.
Check Memeriksa hasil kerja dibandingkan dengan rencananya dan mengidentifikasi
penyimpangannya serta masalah-masalahnya.
Yang masuk dalam Check ini antara lain :
Mengendalikan asuransi/penjaminannya.
Komitmen dan Mandat dari atasan kepada bawahannya, mulai dari pemegang saham,
Komisaris, Direksi, sampai dengan karyawan level terendah dalam masalah manajemen
risiko.
Secara lebih detail klausul 4 dengan PDCA nya digambarkan dengan gambar 05,berikut ini :
Framework Manajemen Risiko ISO 31000:2009 dalam klausul 5 (lihat gambar 06 di bawah) terdiri atas
Kerangka kerja manajemen risiko ISO 31000: 2009 Risk Management Principles and Guidelines
dimulai dengan pemberian mandat dan komitmen. Pemberian mandat dan komitmen merupakan hal
yang sangat penting karena menentukan akuntabilitas, kewenangan, dan kapabilitas dari pelaku
manajemen risiko
.Hal-hal penting yang harus dilakukan pada pemberian mandat dan komitmen adalah:
Sumber: Broadleaf Capital International. Strategic, Enterprise and Project Risk Management.
Gbr -06 , Framework Manajemen Risiko ISO 31000:2009 dalam klausul 5
Pemastian bahwa informasi mengenai pengelolaan risiko yang dihasilkan dari proses
pengelolaan risiko telah cukup dilaporkan dan digunakan sebagai dasar dalam pengambilan
keputusan
Pemenuhan akuntabilitas pada setiap tingkatan organisasi yang relevan
Sumber: Asesmen Risiko Berbasis ISO 31000: 2009. Diane Christina, 2012.
Gbr -07 , Risk Management Process Based on ISO 31000
Proses manajemen risiko merupakan kegiatan kritikal dalam manajemen risiko, karena merupakan
penerapan dari pada prinsip dan kerangka kerja yang telah dibangun. Proses manajemen risiko terdiri
dari tiga proses besar, yaitu:
(1)
Penetapan konteks (establishing the context)
Penetapan konteks bertujuan untuk mengidentifikasi dan mengungkapkan sasaran organisasi,
lingkungan dimana sasaran hendak dicapai, stakeholders yang berkepentingan, dan
keberagaman kriteria risiko, dimana hal-hal ini akan membantu mengungkapkan dan menilai sifat
dan kompleksitas dari risiko. Terdapat empat konteks yang perlu ditentukan dalam penetapan
konteks, yaitu konteks internal, konteks eksternal, konteks manajemen risiko, dan kriteria risiko.
(i)
(ii)
(iii)
(iv)
Konteks internal memperhatikan sisi internal organisasi yaitu struktur organisasi, kultur
dalam organisasi, dan hal-hal lain yang dapat mempengaruhi pencapaian sasaran
organisasi.
Konteks eksternal mendefinisikan sisi eksternal organisasi yaitu pesaing, otoritas,
perkembangan teknologi, dan hal-hal lain yang dapat mempengaruhi pencapaian sasaran
organisasi.
Konteks manajemen risiko memperhatikan bagaimana manajemen risiko diberlakukan dan
bagaimana hal tersebut akan diterapkan di masa yang akan datang.
Terakhir,
dalam
pembentukan
manajemen
risiko
organisasi
perlu
mendefinisikan parameter yang disepakati bersama untuk digunakan sebagai kriteria risiko.
(2)
(3)
dan menyeluruh pada ketiga komponen tersebut diharapkan dapat meningkatkan efektivitas
manajemen risiko organisasi.
Setelah kita membedah ISO 31000, pertanyaan berikutnya adalah bagaimana metodologi asesmen
manajemen risiko berbasis ISO 31000:2009. Sebagai seorang asesor independen atas sistem
manajemen korporat, jawaban sederhana yang bisa saya bagi adalah asesor akan melakukan penilaian
terhadap kerangka kerja implementasi pengelolaan risiko seperti yang telah dibedah di atas dengan
unsur-unsur penilaian antara lain tanggung jawab, akuntabilitas, strategi, dan praktik manajemen risiko.
Sistem manajemen risiko yang baik seharusnya dapat memberikan keyakinan bahwa dengan penerapan
manajemen risiko, organisasi dapat mengurangi ketidakpastian yang membayangi dalam setiap
pengambilan keputusan namun tetap dapat berinovasi sesuai dengan kapabilitas yang dimiliki.
Penetapan konteks ini menunjukkan hubungan antara masalah atau hal yang akan dikelola risikonya
dengan lingkungan organisasi (eksternal & internal), proses manajemen risiko dan ukuran atau kriteria
risiko yang dijadikan standar
Kriteria risiko atau Risk Criteria adalah ukuran standar seberapa besar dampak atau konsekwensi yang
mungkin akan terjadi dan seberapa besar kemungkinan atau frekeunsi atau likelihood risiko akan terjadi.
Gambar di bawah semoga dapat dijadikan contoh kriteria risiko itu.
Dalam penetapan konteks ini ditetapkan pula sumber daya, struktur organisasi (tanggung jawab dan
wewenang) yang diperlukan dalam pengeloaan risiko. Dalam dokumen rencana risk manajemen (Risk
Management Plan), penetapan konteks ini dapat dijadikan bab Latar Belakang Masalah, bab struktur
organisasi pengeloaan risiko dan bab Kriteria Risiko.
Proses kedua adalah Risk Identification atau identifikasi risiko, yaitu melakukan identifikasi risiko-risiko
yang dapat terjadi di masa yang akan datang (yaitu : risiko apa, kapan, di mana, bagaimana, mengapa
suatu risiko bisa terjadi). Identifikasi ini termasuk pengidentifikasian poses-proses/tugas-tugas/aktifitasaktifitas kritikal atau kunci, pengenalan area-area risiko dan katagorinya.
Proses ketiga adalah Risk Analysis atau analisis risiko-risiko, yaitu proses menentukan berapa besar
dampak (impact atau consequences) dan kemungkinan (frequency atau likelihood) risiko-risiko yang
akan terjadi, serta menghitung berapa besar level risikonya dengan mengalikan antara besar dampak
dan besar kemungkinan (Risk = Consequences x Likelihood).
Proses keempat adalah Risk Evaluation atau membandingkan risiko-risiko yang sudah dihitung diatas
dengan Kriteria Risiko yang sudah distandarkan (menempatkan posisi risiko-risiko pada gambar kriteria
risiko), apakah risiko-risiko itu acceptable/dapat diterima, menjadi issue/diwaspadai, atau
unacceptable/tidak diterima, serta memprioritaskan mitigasi atau penangannya. Lihat gambar di bawah
ini, risiko nomor 1 dan 5 terletak di daerah warna merah Unacceptable Risk dan menjadi prioritas untuk
dilakukan penanganan atau mitigasinya.
Proses kelima adalah Risk Treatment atau mitigasi risiko-risiko. Mitigasi risiko-risiko harus direncanakan
sebaik-baiknya dan dipertimbangkan semua alternatif solusinya, sebelum dilaksanakan
mitigasinya, agar mendapatkan hasil yang diharapkan ecara efektif dan efisien. Beberapa alternatif bisa
dipertimbangkan untuk digunakan, seperti :
membagi risiko,
mengurangi likeliihood dan/atau mengurangi konsekwensi,
menghindari risiko atau membatalkan aktifitas yg berisiko tinggi,
menerima risiko.
Proses keenam adalah Monitor & Review (Pemantauan & Pengkajian Ulang). Pemantauan &
Pengkajian Ulang dilaksanakan terhadap seluruh proses manajemen risiko termasuk konteksnya
(lingkungan, proses, organisasi, strategi, stakeholder dsb.). Catatan-catatan hasil Pemantauan &
Pengkajian Ulang disimpan sebagai bukti dan laporna bahwa aktifitas itu telah dilaksanakan dan sebagai
masukan bagi Risk Management Framework yang telah disiapkan sebelumnya.
Selama melaksanakan ke enam proses manajemen risiko itu Communication & Consultation
(komunikasi dan konsultasi) selalu dilaksanakan kepada semua stakeholder, secara kontinyu dan
iterative.
Skema lain yang menambah kejelasan mengenai langkah-langkah penerapan proses manajemen risiko
ISO 31000:2009 dapat dilihat pada gambar di bawah.
Referensi :
1.
COSO ERM Executive
Summary (http://www.coso.org/documents/coso_erm_executivesummary.pdf ).
2.
International Organization for Standardization (ISO). ISO 13000:2009Risk
Management: Principles and Guidelines. Geneva,
2009. (http://www.iso.org/iso/home/standards/iso31000.htm).
3.
Kevin W Knight AM Applying ISO 31000:2009 in Regulatory Work.
4.
Diane Christina Asesmen Manajemen Risiko berbasis COSO ERM.
5.
Diane Christina Asesmen Manajemen Risiko berbasis ISO 31000:2009.
ISO 31000:2009