See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/326681811

Desain Implementasi ISO 31000 sebagai Panduan Manajemen Risiko di Unit

Dokumentasi dan Data Standardisasi, Pusido BSN

Conference Paper · June 2016

CITATIONS READS

0 9,021

1 author:

Muhammad Bahrudin
Badan Standardisasi Nasional
14 PUBLICATIONS   1 CITATION   

SEE PROFILE

Some of the authors of this publication are also working on these related projects:

Assessing the impact of libraries using ISO 16439 View project

All content following this page was uploaded by Muhammad Bahrudin on 30 July 2018.

The user has requested enhancement of the downloaded file.

 DESAIN IMPLEMENTASI ISO 31000 SEBAGAI PANDUAN MANAJEMEN RISIKO
DI UNIT DOKUMENTASI DAN DATA STANDARDISASI PUSIDO BSN
Implementation of ISO 31000 as a Risk Management Guide at Documentation and Data of
Standardization Unit, PUSIDO BSN

Muhammad Bahrudin

Pusat Informasi dan Dokumentasi - Badan Standardisasi Nasional

Gedung BPPT I, Lantai 11, Jalan M.H. Thamrin No. 8, Kebon Sirih, Jakarta Pusat 10340
email: m.ambar@live.com

ABSTRAK

Kajian ini bertujuan untuk melakukan analisis dan memberikan gambaran desain
implementasi manajemen risiko berbasis ISO 31000 yang mengacu pada risiko
suatu organisasi. Proses manajemen risiko diperlukan untuk mengurangi dampak
dari adanya risiko yang ditimbulkan dari kegiatan operasional dan memberikan
evaluasi serta perlakuan yang tepat bagi semua risikonya. Kajian ini dilakukan
dengan metode kualitatif deskriptif untuk menganalisis dan mengungkapkan
implementasi ISO 31000 sebagai panduan manajemen risiko mulai dari analisis
konteks, penilaian risiko hingga perlakuan risiko di unit Dokumentasi dan Data
Standardisasi Pusido BSN. Unit ini mengelola dokumentasi SNI dan standar asing,
melayankannya kepada pengguna internal serta menyediakan data terkait
standardisasi. Hasil kajian menyebutkan bahwa masih terdapat risiko yang
berlevel high sebanyak 5 risiko, 6 risiko berlevel medium dan 2 risiko berlevel low.
Dari ketiga tingkat risiko tersebut, telah dilakukan adanya suatu perlakuan risiko
oleh unit Dokdata yang secara umum menggunakan metode mitigasi risiko yaitu
mengurangi dampak dan kemungkinan dari suatu risiko. Perlakuan risiko dan
tindakan risiko yang telah dilakukan oleh unit Dokdata sebagian besar masih
kurang efektif sehingga penulis melakukan analisis dan desain implementasi ISO
31000 untuk memberikan rekomendasi bagi unit kerja tentang tindakan
pengendalian yang efektif dan perlakuan yang tepat bagi risiko-risiko yang
dihadapinya.

Kata kunci: manajemen risiko, ISO 31000, unit dokumentasi

PENDAHULUAN
Semua organisasi dengan berbagai jenis dan ukurannya menghadapi faktor internal dan
eksternal serta pengaruhnya yang membuat adanya ketidakpastian apakah dan kapan mereka
akan mencapai tujuan organisasi. Efek ketidakpastian pada tujuan organisasi inilah yang disebut
dengan risiko. Di era sekarang ini, semua kegiatan organisasi melibatkan risiko. Suatu organisasi
mengelola risiko dengan cara mengidentifikasi, menganalisis dan kemudian mengevaluasi
apakah risiko tersebut harus dikelola dengan suatu metode perlakuan risiko (risk treatment)
yang telah ditetapkan sebelumnya. Dalam proses ini, suatu organisasi akan berkomunikasi dan
berkonsultasi dengan pemangku kepentingan (stakeholder), memantau kemudian meninjau
risiko dan kontrol yang memodifikasi risiko untuk memastikan bahwa tidak diperlukan
penanganan risiko lebih lanjut.

Kondisi demikian itu juga terjadi di unit Dokumentasi dan Data Standardisasi
(selanjutnya disebut Unit Dokdata) yang berada di Pusat Informasi dan Dokumentasi, Badan
Standardisasi Nasional (selanjutnya disebut Pusido BSN). Unit Dokdata merupakan salah satu
unit kerja di bawah Pusido BSN, khususnya Bidang Dokumentasi dan Perpustakaan
Standardisasi. Unit kerja ini melaksanakan fungsi dokumentasi koleksi Standar Nasional
Indonesia (SNI), dan juga penyediaan dokumen standar (baik nasional maupun
asing/mancanegara) dalam rangka mendukung kegiatan perumusan, pengembangan,
penelitian, sosialisasi dan promosi SNI serta kegiatan bimbingan bagi Usaha Mikro, Kecil dan
Menengah (UMKM). Selain itu juga mengelola input database SNI untuk kemudian diolah
menjadi data-data statistik terkait standardisasi.

Dalam menjalankan proses bisnis tersebut, unit Dokdata tentunya menghadapi faktor-
faktor baik internal dan eksternal yang berpotensi sebagai risiko yang dapat memengaruhi
pencapaian tujuan. Karena ketika membicarakan risiko pasti akan berhubungan dengan suatu
ketidakpastian, sehingga perlu adanya suatu kerangka kerja yang tujuannya adalah untuk
mengelola risiko ke dalam tata kelola secara keseluruhan unit kerja. Dalam rangka
mengakomodir kebutuhan itu, unit Dokdata mengimplementasikan SNI ISO 31000:2011
Manajemen Risiko – Prinsip dan Panduan yang merupakan adopsi dari ISO 31000:2009 Risk
management – Principles and guidelines (selanjutnya dua publikasi standar ini disebut ISO
31000).

RUMUSAN MASALAH
Pada dasarnya manajemen risiko dapat diterapkan untuk seluruh organisasi, di berbagai
segmentasi, tingkatan manajemen, fungsi tertentu, proyek dan kegiatan. Meskipun praktek
manajemen risiko telah dikembangkan dari waktu ke waktu dan dalam berbagai sektor untuk
memenuhi berbagai kebutuhan, adopsi proses yang konsisten dalam kerangka kerja yang
komprehensif dapat membantu untuk memastikan risiko yang dikelola secara efektif, efisien
dan koheren di seluruh organisasi. Kajian ini akan membahas mengenai proses manajemen
risiko sesuai ISO 31000 dan secara spesifik tentang gambaran desain implementasinya di unit
Dokdata, Pusido BSN mulai dari analisis konteks, penilaian risiko hingga perlakuan risiko.

TUJUAN PENELITIAN
Kajian ini bertujuan untuk:
1. Memberikan gambaran mengenai proses manajemen risiko berdasarkan ISO 31000;
2. Memberikan gambaran desain implementasi ISO 31000 di unit Dokumentasi dan Data
Standardisasi, Pusido BSN; dan
3. Menghasilkan rekomendasi bagi unit kerja tentang tindakan pengendalian yang efektif
dan perlakuan yang tepat bagi risiko-risiko yang dihadapinya.

TINJAUAN PUSTAKA
ISO 31000
The International Organization for Standardization pada 13 November 2009
menerbitkan suatu standar yang disusun dengan tujuan memberikan prinsip dan panduan
generik untuk penerapan manajemen risiko. Standar tersebut ialah ISO 31000:2009 Risk
Management – Principles and Guidelines. Walaupun ISO 31000:2009 menyediakan panduan
generik, standar ini tidak ditujukan untuk menyeragamkan manajemen risiko lintas organisasi,
tetapi ditujukan untuk memberikan standar pendukung penerapan manajemen risiko dalam
usaha memberikan jaminan terhadap pencapaian sasaran organisasi. ISO 31000: 2009
menyediakan prinsip, kerangka kerja, dan proses manajemen risiko yang dapat digunakan
sebagai arsitektur manajemen risiko dalam usaha menjamin penerapan manajemen risiko yang
efektif.
ISO 31000:2009 dapat diterapkan pada berbagai jenis usaha publik maupun swasta,
asosiasi, grup atau perorangan, atau komunitas selama usaha tersebut legal. Hal ini dapat
menjadi rujukan yang sesuai bagi perusahaan dalam mengelola risiko. Untuk saat ini, praktik
dan proses manajemen risiko di berbagai organisasi pada dasarnya sudah menerapkan proses
manajemen risiko secara formal untuk risiko-risiko dengan tipe atau kondisi tertentu. Dalam
beberapa kasus, organisasi dapat memutuskan untuk melakukan tinjauan kritis terhadap
praktik dan proses manajemen risiko melalui standar internasional ini.
Indonesia melalui Badan Standardisasi Nasional mengadopsi secara identik ISO
31000:2009 menjadi “SNI ISO 31000:2011 Manajemen Risiko – Prinsip dan Panduan”. Standar
ini disusun oleh Panitia Teknis 03-02 – Sistem Manajemen Mutu – yang bersekretariat di Badan
Standardisasi Nasional. Standar ini telah dikonsensuskan di Jakarta pada tanggal 7 April 2011.
Konsensus ini dihadiri oleh para pemangku kepentingan (stakeholder) terkait yaitu perwakilan
dari produsen, konsumen, pakar dan pemerintah (BSN, 2011).
Manajemen Risiko
Sebelum menuju ke manajemen risiko, kita harus memahami lebih detail mengenai
risiko itu sendiri. Risiko adalah dampak ketidakpastian terhadap tujuan (ISO, 2009). Dampak
yang dimaksud adalah sebuah penyimpangan dari yang diharapkan. Dampak tersebut dapat
bersifat positif dan/atau negatif.
Manajemen risiko adalah proses mengurangi risiko suatu entitas ke tingkat yang dapat
diterima, dengan menggunakan pengukuran, pengelolaan dan pemantauan yang sejalan
dengan tujuan strategis (Gilbert, 2007). Sedangkan menurut ISO 31000:2009, manajemen risiko
adalah aktivitas terkoordinasi yang dilakukan untuk mengarahkan dan mengelola organisasi
dalam rangka menangani risiko (ISO, 2009).
Sementara itu berdasarkan Peraturan Menteri Keuangan Nomor 191/PMK.09/2008,
manajemen risiko adalah pendekatan sistematis untuk menentukan tindakan terbaik dalam
kondisi ketidakpastian (Kementerian Keuangan, 2008).
Prinsip Manajemen Risiko
ISO 31000:2009 Risk Management – Principles and Guidelines menentukan 11 (sebelas)
prinsip yang perlu dipahami dan diterapkan pada kerangka kerja dan proses manajemen risiko
untuk memastikan efektivitasnya. Sebelas prinsip tersebut adalah sebagai berikut (Kusuma,
2014):
- Memberikan nilai tambah dan melindungi nilai organisasi
- Bagian terpadu dari seluruh proses organisasi
- Bagian dari pengambilan keputusan
- Secara khusus menangani ketidakpastian
- Sistematis, terstruktur, dan tepat waktu
- Berdasarkan informasi terbaik yang tersedia
- Disesuaikan dengan kebutuhan organisasi
- Mempertimbangkan faktor budaya dan manusia
- Transparan dan inklusif
- Dinamis, berulang, dan responsif terhadap perubahan
 - Memfasilitasi perbaikan berkesinambungan dan peningkatan organisasi.
Kerangka Kerja Manajemen Risiko
Gambar 1. Komponen-Komponen Kerangka Kerja Manajemen Risiko (Broadleaf, 2010)

Kerangka kerja manajemen risiko berdasarkan ISO 31000 dimulai dengan pemberian
mandat dan komitmen. Pemberian mandat dan komitmen merupakan hal yang sangat penting
karena menentukan akuntabilitas, kewenangan, dan kapabilitas dari pelaku manajemen risiko.
Hal-hal penting yang harus dilakukan pada pemberian mandat dan komitmen adalah:
- membuat dan menyetujui kebijakan manajemen risiko;
- menyesuaikan indikator kinerja manajemen risiko dengan indikator kinerja perusahaan;
- menyesuaikan kultur organisasi dengan nilai-nilai manajemen risiko;
- menyesuaikan sasaran manajemen risiko dengan sasaran strategis perusahaan;
- memberikan kejelasan peran dan tanggung jawab; dan
- menyesuaikan kerangka kerja manajemen risiko dengan kebutuhan organisasi.
Setelah pemberian mandat dan komitmen, kerangka kerja ISO 31000: 2009 dilanjutkan
dengan kerangka implementasi “Plan, Do, Check, Act”, yaitu dengan melakukan:
- perencanaan kerangka kerja manajemen risiko;
- penerapan manajemen risiko;
- monitoring dan review terhadap kerangka kerja manajemen risiko; dan
- perbaikan kerangka kerja manajemen risiko secara berkelanjutan.
Perencanaan kerangka kerja manajemen risiko mencakup pemahaman mengenai
organisasi dan konteksnya, menetapkan kebijakan manajemen risiko, menetapkan akuntabilitas
manajemen risiko, mengintegrasikan manajemen risiko ke dalam proses bisnis organisasi,
alokasi sumber daya manajemen risiko, dan menetapkan mekanisme komunikasi internal dan
eksternal. Setelah melakukan perencanaan kerangka kerja, maka dilakukan penerapan proses
manajemen risiko. Dalam penerapan manajemen risiko, perlu dilakukan monitoring dan review
terhadap kerangka kerja manajemen risiko. Setelah itu, kerangka kerja manajemen risiko perlu
diperbaiki secara berkelanjutan untuk memfasilitasi perubahan yang terjadi pada konteks
internal dan eksternal organisasi. Proses-proses tersebut kemudian berulang kembali untuk
memastikan adanya kerangka kerja manajemen risiko yang mengalami perbaikan
berkesinambungan dan dapat menghasilkan penerapan manajemen risiko yang andal.
Proses Manajemen Risiko
Gambar 2. Komponen-Komponen Proses Manajemen Risiko (Christina, 2012)

Berdasarkan ISO 31000:2009, proses manajemen risiko merupakan kegiatan kritikal

dalam manajemen risiko, karena merupakan penerapan daripada prinsip dan kerangka kerja
yang telah dibangun. Proses manajemen risiko terdiri dari tiga proses besar, yaitu:

1. Penetapan konteks (establishing the context)

Penetapan konteks bertujuan untuk mengidentifikasi dan mengungkapkan sasaran
organisasi, lingkungan dimana sasaran hendak dicapai, stakeholders yang berkepentingan, dan
keberagaman kriteria risiko, dimana hal-hal ini akan membantu mengungkapkan dan menilai
sifat dan kompleksitas dari risiko. Terdapat dua konteks yang perlu ditentukan dalam
penetapan konteks, yaitu konteks internal dan konteks eksternal. Dalam penetapan konteks
juga dikenal istilah kriteria risiko (risk criteria) yaitu kerangka acuan yang menyatakan
signifikansi risiko untuk dievaluasi (ISO, 2009). Kriteria risiko didasarkan pada tujuan organisasi,
konteks eksternal dan internal. Kriteria risiko dapat diturunkan dari standar, hukum, kebijakan,
dan persyaratan lainnya.
2. Penilaian risiko (risk assessment)
 Penilaian risiko merupakan proses menyeluruh yang terdiri dari:
- Identifikasi risiko; mengidentifikasi risiko apa saja yang dapat mempengaruhi
pencapaian sasaran organisasi.
- Analisis risiko; menganalisis kemungkinan/probabilitas (likelihood) dan dampak
(consequence) dari risiko yang telah diidentifikasi. Hasil selanjutnya dari analisis risiko
adalah tingkat risiko (level of risk)
- Evaluasi risiko; membandingkan hasil analisis risiko dengan kriteria risiko untuk
mengetahui apakah risiko dan ukurannya dapat diterima dan ditoleransi. Evaluasi risiko
akan membantu penentuan perlakuan risiko.
3. Perlakuan risiko (risk treatment)
Perlakuan risiko adalah proses untuk memodifikasi risiko. Perlakuan risiko menggunakan
hasil dari evaluasi risiko. Berdasarkan hal tersebut, perlakuan risiko untuk mengelola risiko yang
muncul dapat meliputi:
- menghindari risiko (risk avoidance);
- mitigasi risiko (risk mitigation), dapat dilakukan dengan mengurangi kemungkinan
(likelihood) atau dampak (consequence);
- transfer risiko kepada pihak lain (risk sharing);
- menerima risiko (risk acceptance).
Ketiga proses besar tersebut didampingi oleh dua proses yaitu:
a) Komunikasi dan konsultasi
Komunikasi dan konsultasi merupakan hal yang penting mengingat prinsip manajemen
risiko yang kesembilan menuntut manajemen risiko yang transparan dan inklusif, dimana
manajemen risiko harus dilakukan oleh seluruh bagian organisasi dan memperhitungkan
kepentingan dari seluruh stakeholder organisasi. Adanya komunikasi dan konsultasi diharapkan
dapat menciptakan dukungan yang memadai pada kegiatan manajemen risiko dan membuat
kegiatan manajemen risiko menjadi tepat sasaran.
b) Pemantauan dan riviu (monitoring and review)
Hal ini diperlukan untuk memastikan bahwa implementasi manajemen risiko telah
berjalan sesuai dengan perencanaan yang dilakukan. Hasil monitoring dan review juga dapat
digunakan sebagai bahan pertimbangan untuk melakukan perbaikan terhadap proses
manajemen risiko.
 Tahap selanjutnya dari proses manajemen risiko adalah mencatat seluruh aktivitas dari
proses manajemen risiko. Catatan ini akan dilaporkan kepada pihak-pihak eksternal dan
internal yang terkait serta digunakan sebagai masukan bagi kerangka kerja manajemen risiko.

METODE PENELITIAN
Desain Kajian
Kajian ini menggunakan metode kualitatif (qualitative research). Metode penelitian
kualitatif sebagaimana diungkapkan Bogdan dan Taylor ialah prosedur penelitian yang
menghasilkan data deskriptif berupa kata-kata tertulis atau lisan dari orang-orang dan perilaku
yang dapat diamati (Moleong, 2011). Sedangkan menurut Nana Syaodih Sukmadinata,
penelitian kualitatif adalah cara untuk mendeskripsikan dan menganalisis fenomena, peristiwa,
aktivirtas sosial, sikap kepercayaan, persepsi, pemikiran orang secara individual maupun
kelompok (Sukmadinata, 2007).

Kajian ini dilakukan untuk menganalisis dan mengungkapkan implementasi ISO

31000:2009 sebagai panduan manajemen risiko mulai dari kerangka kerja hingga prosesnya di
unit Dokdata Pusido BSN. Dalam mengumpulkan, mengungkapkan berbagai masalah dan tujuan
yang hendak dicapai, kajian ini menggunakan pendekatan studi deskriptif analitis. Penelitian
kualitatif deskriptif adalah metode penelitian yang berlandaskan pada filsafat postpositivisme
yang biasanya digunakan untuk meneliti pada kondisi objektif yang alamiah dimana peneliti
berperan sebagai instrument kunci (Sugiyono, 2014). Deskripsi lain menyatakan bahwa metode
deskriptif ialah metode yang menggambarkan suatu keadaan obyektif atau peristiwa tertentu
berdasarkan fakta-fakta yang tampak atau sebagaimana mestinya yang kemudian diiringi
dengan upaya pengambilan kesimpulan umum berdasarkan fakta-fakta historis tersebut
(Nawawi & Martini, 1994).

Metode Pengumpulan Data

Obyek penelitian dalam kajian ini adalah aktivitas manajemen risiko di unit Dokdata
Pusido BSN. Guna menemukan hasil kajian, maka peneliti melakukan beberapa langkah mulai
dari pengumpulan data, pengolahan data atau analisis data hingga penarikan kesimpulan.
Proses pengumpulan data dilakukan dengan cara observasi, wawancara dan studi dokumentasi.
Observasi yang dilakukan adalah observasi partisipan. Dalam observasi ini, peneliti terlibat
dengan kegiatan sehari-hari orang yang sedang diamati atau yang digunakan sebagai sumber
data penelitian. Sementara wawancara dilakukan secara informal dengan subyek penelitian ini,
yaitu Kepala Subbidang Dokumentasi dan Data Standardisasi Pusido BSN. Proses wawancara
didasarkan sepenuhnya pada berkembangnya pertanyaan-pertanyaan secara spontan dalam
interaksi alamiah (Poerwandari, 2001).

Studi dokumentasi dilakukan terhadap dokumen-dokumen terkait dengan kebijakan

manajemen risiko di unit kerja Dokdata. Dalam kajian ini, dokumen dapat dijadikan bahan
triangulasi untuk mengecek kesesuaian data. Adapun perolehan data dalam kajian ini dilakukan
melalui berbagai dokumen tentang Sistem Manajemen Mutu di Pusat Informasi dan
Dokumentasi BSN, instruksi kerja, Undang-Undang No. 20 Tahun 2014 tentang Standardisasi
dan Penilaian Kesesuaian dan hal-hal terkait dengan kajian ini.

Metode Analisa Data

Kegiatan ini dilakukan untuk memberi makna terhadap data dan informasi yang telah
dikumpulkan yang dilaksanakn secara nyata dari awal sampai akhir penelitian. Analisis dan
interpretasi atau penafsiran ini dlakukan dengan merujuk kepada landasan teoritis yang
berhubungan dengan masalah penelitian dan berdasarkan “consensus judgment”. Pelaksanaan
analisis data dalam penelitian ini belum ada prosedur baku yang dijadikan pedoman para ahli.
Hal ini terungkap dalam pernyataan yang dikemukakan oleh Subino Hadisubroto berikut ini:

… bahwa dalam analisis data kuantitatif itu metodenya sudah jelas dan pasti.
Sedangkan dalam analisis data kualitatif metode seperti itu belum tersedia.
Penelitilah yang berkewajiban menciptakan sendiri. Oleh sebab itu ketajaman dan
ketepatan analisis data kualitatif ini sangat tergantung pada ketajaman melihat
data oleh peneliti serta kekayaan pengalaman dan pengetahuan yang telah dimiliki
peneliti (Hadisubroto, 1988).

Namun demikian dalam penelitian ini, peneliti mengikuti langkah-langkah seperti yang
dianjurkan oleh Miles dan Huberman (Sugiyono, 2014) yaitu: reduksi data, display data, dan
pengambilan kesimpulan dan verifikasi.

Data yang digunakan dalam kajian ini adalah mengenai prosedur kegiatan operasional
Unit Dokdata. Sedangkan untuk proses manajemen risiko berbasis ISO 31000, penulis hanya
menjalankan dari tahap 1 (identifikasi risiko) sampai tahap 5 (perlakuan risiko). Tahap ke 6
(monitoring dan review) serta tahap 7 (dokumentasi sistem manajemen risiko) tidak
dilaksanakan oleh penulis dikarenakan fokus pada desain implementasi manajemen risiko
berbasis ISO 31000 di Unit Dokdata. Selain itu, untuk menjalankan monitoring, review dan
dokumentasi sistem manajemen risiko juga membutuhkan waktu yang cukup lama.

HASIL DAN PEMBAHASAN

a. Analisis Konteks Unit Dokumentasi dan Data Standardisasi, Pusido BSN
Unit Dokumentasi dan Data Standardisasi (Dokdata) merupakan salah satu unit kerja di
Badan Standardisasi Nasional. Unit ini berada di bawah koordinasi Bidang Dokumentasi dan
Perpustakaan yang dinaungi oleh Pusat Informasi dan Dokumentasi. Unit ini memiliki kegiatan
sebagai berikut:
1. Mengelola dokumentasi SNI
2. Mengelola database SNI
3. Menyediakan data standardisasi
4. Menyediakan layanan e-file standar (SNI, ISO, ASTM, IEC)
Kegiatan tersebut merupakan pengejawantahan dari Undang-Undang Nomor 20 Tahun
2014 tentang Standardisasi dan Penilaian Kesesuaian, khususnya pada pasal-pasal berikut:
Pasal 27 butir (d):
Menjamin ketersediaan SNI.
Pasal 59 Ayat 2:
BSN dalam mengelola sistem informai standardisasi dan penilaian kesesuaian
sebagaimana dimaksud pada ayat (1) dapat meminta data dan/atau informasi
di bidang standardisasi dan penilaian kesesuaian kepada pemangku
kepentingan.
Pasal 59 Ayat 3:
Pemangku kepentingan menyampaikan data dan/atau informasi sebagaimana
dimaksud pada ayat (2) melalui sistem informasi standardisasi dan penilaian
kesesuaian.
Pasal 61:
Data dan informasi standardisasi dan penilaian kesesuaian yang dipublikasikan
melalui sistem informasi standardisasi dan penilaian kesesuaian bersifat terbuka
dan transparan sesuai dengan peraturan perundang-undangan, kecuali
ditentukan lain oleh Kepala BSN (BSN, 2014).

Berdasarkan sumber tersebut, unit Dokdata memiliki fungsi spesifik yaitu menjamin
ketersediaan dokumen SNI, baik yang masih berlaku maupun SNI yang telah diabolisi (tidak
berlaku). Fungsi Unit Dokdata juga tertuang dalam dokumen Sistem Manajemen Mutu Pusido
BSN, terutama dalam business process. Unit Dokdata mendokumentasikan SNI baik dalam
bentuk fisik (tercetak) maupun bentuk elektronik (e-file). Dokumentasi ini nantinya digunakan
dalam berbagai keperluan mulai dari perumusan SNI, kaji ulang SNI, promosi dan sosialisasi,
pendidikan dan pelatihan, penelitian serta bimbingan kepada UMKM.

Selain itu, unit Dokdata memegang peranan penting dalam hal pengelolaan dan
penyediaan data standardisasi. Data yang dikelola oleh unit kerja ini antara lain terkait dengan
statistik SNI dengan berbagai klasifikasi (ICS – International Classification for Standard, 12
Sektor Prioritas ASEAN, dan lain-lain sesuai kebutuhan), statistik ketersediaan SNI berdasarkan
statusnya (berlaku, tidak berlaku). Data-data ini penting bagi manajemen dalam
mengembangkan kebijakan standardisasi di Indonesia.

Unit Dokdata menyediakan layanan e-file standar untuk pengguna internal dengan
berbagai tujuan penggunaan. E-file standar yang tersedia antara lain SNI, ISO, ASTM dan IEC.
Semua unit kerja di BSN yang membutuhkan standar-standar tersebut dapat melakukan
permohonan permintaan e-file standar dengan mengisi formulir yang ada di unit Dokdata.
Dalam proses perumusan SNI, peranan unit Dokdata adalah menyediakan referensi
standardisasi dalam bentuk layanan penyediaan e-file dokumen standar.

Dalam rangka melaksanakan tugas pokok dan fungsinya, unit Dokdata didukung oleh
sumberdaya manusia sebanyak 3 orang. Satu orang pejabat structural yang menjabat sebagai
kepala subbidang (kasubid/kepala subdivisi) dan 2 orang staf dengan jabatan fungsional
pustakawan. Dari sisi kualifikasi pendidikan, 1 orang bergelar S2 (strata 2) dan 2 orang lainnya
bergelas S1 (strata 1), khususnya bidang ilmu perpustakaan dan informasi. Namun demikian,
pada tahun 2016 ini 1 dari 2 staf yang tersedia diantaranya sedang melaksanakan tugas belajar
di luar negeri sehingga SDM yang aktif bertugas di unit kerja Dokdata hanya 2 orang.
b. Penilaian Risiko (Risk Assessment) Berbasis ISO 31000
1. Identifikasi Risiko
Dalam kajian ini pemilik risiko (risk owner) adalah unit Dokdata. Sumber risiko yang
muncul di unit Dokdata dapat berasal dari internal maupun eksternal. Proses identifikasi risiko
dilakukan melalui analisis dokumentasi, wawancara, brainstorming dan checklist dengan staf di
unit Dokdata. Selain itu, peneliti juga melakukan analisis dan pemeriksaan terhadap aktivitas-
aktivitas yang terjadi di unit Dokdata.
 Sebelum melakukan analisis risiko lebih jauh, terlebih dahulu menentukan kriteria risiko
yang ada berdasarkan kemungkinan/probabilitas (likelihood) dan dampak (consequence) dari
risiko yang ditimbulkan. Untuk kriteria probabilitas terdiri atas: low (rendah, probabilitas terjadi
<30%), medium (sedang, probabilits terjadi antara 30% s.d. 60%) dan high (tinggi, probabilitas
terjadi mencapai >60%). Sementara untuk kriteria dampak terdiri atas:
- minor, dampak kecil pada sebagian kecil tujuan unit kerja,
- moderate, dampak cukup luas pada tujuan unit kerja, dan
- major, berdampak luas pada tujuan unit kerja.
2. Analisis dan Evaluasi Risiko
Tabel 1. Analisis dan Evaluasi Risiko
Probabilitas Dampak Tingkat Risiko Evaluasi Risiko
No. Deskripsi Risiko
(likelihood) (consequence) (risk level) (risk evaluation)
1 Pelayanan pengguna Rendah (low) Sedang Rendah (low) A
yang tidak memuaskan (medium)
2 Peraturan kurang jelas Sedang Sedang Sedang M/A
dan tegas (medium) (medium) (medium)
3 Pencurian data Rendah (low) Sedang Rendah (low) A
(medium)
4 Data hilang/program Rendah (low) Tinggi (high) Sedang M/A
komputer error (medium)
5 Jaringan internet tidak Sedang Tinggi (high) Tinggi (high) N/A
stabil (medium)
6 Email bermasalah Sedang Sedang Sedang M/A
(medium) (medium) (medium)
7 Kuota email tidak Tinggi (high) Tinggi (high) Tinggi (high) N/A
mencukupi untuk
mengirimkan e-file
standar
8 Pemadaman listrik Rendah (low) Tinggi (high) Sedang M/A
(medium)
9 Kebakaran Rendah (low) Tinggi (high) Sedang M/A
(medium)
10 Kerusakan peralatan Rendah (low) Tinggi (high) Sedang M/A
(komputer, hardisk (medium)
eksternal)
11 Data tidak valid/update Sedang Tinggi (high) Tinggi (high) N/A
(medium)
12 Dokumen yang Sedang Tinggi (high) Tinggi (high) N/A
dibutuhkan (khususnya (medium)
SNI) tidak tersedia di
database/arsip
13 Kerusakan fisik dokumen Sedang Tinggi (high) Tinggi (high) N/A
SNI (medium)
Keterangan:
A : acceptable (dapat diterima)
M/A : moderately acceptable (cukup dapat diterima)
N/A : not acceptable (tidak dapat diterima)
 Gambar 3. Matriks Risiko

major R4, R8, R9, R10 R5, R11, R12, R13 R7

Dampak
moderate R1, R3 R2, R6
(consequence)

minor

low medium high

Probabilitas (likelihood)

c. Perlakuan Risiko (Risk Treatment)

Berikut ini adalah rekomendasi mengenai bentuk proses pengelolaan risiko yang ideal
untuk risiko-risiko yang ada di Unit Dokdata berdasarkan tingkat risiko.

1. High Level Risks (R7, R5, R11, R12, R13)

a. Kuota email tidak mencukupi untuk mengirimkan e-file standar (R7)
Perlakuan risiko yang tepat untuk hal ini adalah dengan berbagi risiko (risk sharing). Cara
yang lebih efektif untuk mengelola risiko ini yaitu berkoordinasi dengan unit jaringan untuk
meningkatkan kuota data email layanan Dokdata. Hal ini bisa dilakukan juga tentunya dengan
memastikan email pengguna penerima layanan ditingkatkan kuotanya sehingga memastikan
layanan transfer data/dokumen via email berjalan lancar.

b. Jaringan internet tidak stabil (R5)

Perlakuan risiko yang tepat untuk hal ini adalah berbagi risiko (risk sharing). Cara yang
lebih efektif adalah dengan selalu berkoordinasi dengan bidang IT khususnya unit jaringan
informasi apabila kondisi internet tidak stabil (down) apalagi pada saat sedang operasional
layanan. Selain itu juga dapat dengan mengusulkan jaringan internet yang spesifik untuk
layanan Dokdata sehingga tidak terganggu dengan traffic jaringan lainnya di instansi.

c. Data tidak valid/update (R11)

Perlakuan risiko yang tepat untuk hal ini adalah dengan menghindari risiko (risk
avoidance) dan berbagi risiko (risk sharing). Cara yang lebih efektif untuk mengelola risiko ini
adalah sebagai berikut.

- Unit Dokdata perlu membuat suatu sistem kebijakan validasi data-data yang dihasilkan.
Sistem ini dilakukan oleh orang-orang yang memang kredibel dengan data tersebut atau
 dengan suatu sistem terotomasi (aplikasi) yang memudahkan staf yang bertugas untuk
mengelola data-data standardisasi.
- Unit Dokdata juga bisa berkoordinasi dengan unit-unit lain yang menghasilkan data
untuk memvalidasi dan juga memperbarui data sehingga data yang dihasilkan bisa selalu
aktual.
d. Dokumen yang dibutuhkan (khususnya SNI) tidak tersedia di database/arsip (R12)
Perlakuan risiko yang tepat untuk hal ini adalah dengan mitigasi risiko (risk mitigation).
Cara yang lebih efektif untuk mengelola risiko tersebut adalah dengan mendata SNI-SNI yang
tidak tersedia dalam format e-file maupun fisiknya kemudian melakukan tracking dokumentasi
ke instansi teknis yang merumuskan SNI tersebut. Unit Dokdata juga perlu berkoordinasi
dengan unit kerja lain yang terkait (Pusat Perumusan Standar) untuk memastikan komite teknis
(instansi teknis) yang merumuskan SNI tersebut sehingga proses tracking dokumen bisa tepat
sasaran.

e. Kerusakan fisik dokumen SNI (R13)

Perlakuan risiko yang tepat untuk hal tersebut adalah dengan mitigasi risiko (risk
mitigation). Cara yang lebih efektif untuk mengelola risiko ini adalah sebagai berikut.

- Unit Dokdata perlu menyediakan ruang penyimpanan dokumentasi SNI yang sesuai
dengan kondisi kertas. Kondisi ruangan, rak, suhu dan kelembapan perlu diperhatikan
agar dokumen yang disimpan bisa bertahan lama.
- Unit Dokdata juga perlu melakukan digitalisasi koleksi SNI sebagai preservasi dokumen
dan mengantisipasi keusangan dokumen karena dimakan usia.
- Unit Dokdata juga melakukan aktivitas ketik ulang (re-writting) untuk SNI-SNI bertahun
lama yang tulisannya sudah mulai pudar karena rendahnya kualitas tinta yang
digunakan.
2. Medium Level Risks (R2, R6, R4, R8, R9, R10)
a. Peraturan kurang jelas dan tegas (R2)
Perlakuan risiko yang bisa dilakukan adalah mitigasi risiko (risk mitigation). Cara yang
lebih efektif untuk mengelola risiko tersebut adalah sebagai berikut.

- Mereviu ulang peraturan yang ada dan berkoordinasi dengan manajemen terkait aturan
yang jelas untuk proses kerja staf di unit kerja.
 - Memberikan peraturan tertulis bagi staf dan memberikan sanksi atau teguran yang jelas
apabila staf melanggar peraturan tersebut.
- Melakukan sosialisasi yang berkelanjutan mengenai aturan tersebut kepada semua staf.
b. Email bermasalah (R6)
Terkait dengan risiko R5, perlakuan risiko yang tepat untuk hal ini adalah berbagi risiko
(risk sharing) dan penerimaan risiko (risk acceptance). Cara yang lebih efektif adalah
memastikan koordinasi dengan bidang IT khususnya unit jaringan informasi apabila email
bermasalah saat sedang operasional layanan sehingga dapat segera ditangani dengan baik.
Selain itu juga dapat dilakukan dengan menyediakan backup layanan secara offline, misal
dengan USB/flashdrive untuk transfer data kepada pengguna.
c. Data hilang/program komputer error (R4)
Perlakuan risiko dari adanya hal tersebut adalah dengan mitigasi risiko (risk mitigation).
Cara yang lebih efektif untuk mengelola risiko tersebut antara lain.
- Memberitahukan kepada staf untuk melakukan backup data secara berkala, misal
mingguan atau bulanan. Hal ini untuk mencegah dan meminimalkan risiko kehilangan
data tersebut.
- Staf juga perlu memberikan pembatasan akses terhadap data-data tersebut. Tidak
membiarkan sembarang orang yang tidak berkepentingan atau berwenang untuk
mengambil, mengubah atau menghapus data yang ada.
- Untuk menangani program komputer yang error, unit bisa melakukan kebijakan
pembatasan akses penggunaan komputer agar terhindar dari virus/malware yang dapat
mengganggu program-program yang ada di dalamnya. Unit Dokdata dapat bekerjasama
dengan bidang IT untuk menangani masalah tersebut. Dengan adanya kerjasama
tersebut, penanganan risiko komputer error dapat segera teratasi dan biayanya juga
relatif murah.
d. Pemadaman listrik (R8)
Perlakuan risiko yang bisa diterapkan adalah berbagi risiko (risk sharing) dan mitigasi
risiko (risk mitigation). Cara yang lebih efektif untuk mengelola risiko ini adalah sebagai berikut.
Unit Dokdata perlu berkoordinasi ke bagian Rumah Tangga untuk pengadaan genset sebagai
pengganti daya listrik. Hal ini lebih efisien karena persiapan penggunaan genset bisa cepat
dilakukan dan juga tidak membutuhkan biaya yang besar dalam pengelolaannya (cukup
menyediakan bahan bakar). Selain itu, untuk menghindari kehilangan data pada saat
pengolahan terjadi pemadaman listrik, maka perlu disosialisasikan kepada staf agar melakukan
backup data secara kontinyu.
e. Kebakaran (R9)
Perlakuan risiko yang tepat untuk hal ini adalah mitigasi risiko (risk mitigation) dan
menghindari risiko (risk avoidance). Cara yang lebih efektif dalam mengelola risiko ini adalah
sebagai berikut.

- Melakukan sosialisasi kepada staf di seluruh unit kerja untuk menghindari segala
tindakan yang dapat memicu kebakaran di dalam gedung, seperti merokok di area
terlarang, membuang punting rokok sembarangan dan juga penggunaan peralatan listrik
yang bijak.
- Menyiapkan APAR (alat pemadam api ringan) di setiap lokasi yang strategis/mudah
dijangkau. Selain itu APAR yang tersedia juga harus dipelihara dengan baik sehingga
pada keadaan darurat dipastikan berfungsi dengan baik.
- Memastikan detektor asap/api (sprinkle) berfungsi dengan baik dengan perawatan yang
berkelanjutan. Untuk melaksanakan tindakan tersebut, unit Dokdata harus
berkoordinasi dengan bagian Tata Usaha dan Rumah Tangga.
f. Kerusakan peralatan (komputer, hardisk eksternal) (R10)
Perlakuan risiko yang tepat adalah dengan penerimaan risiko (risk acceptance) dan
mitigasi risiko (risk mitigation). Cara yang lebih efektif untuk mengelola risiko tersebut adalah
sebagai berikut.

- Segera melakukan perbaikan apabila ada komputer atau peralatan lain rusak agar tidak
mengganggu kegiatan operasional.
- Unit Dokdata juga perlu memberikan tanggung jawab bagi pengguna komputer agar
menjaga dan menggunakan komputernya dengan cara yang baik dan benar.
3. Low Level Risks (R1, R3)
a. Pelayanan pengguna yang tidak memuaskan (R1)
Meskipun risiko ini berada pada level rendah tetapi terkait kepuasan pengguna pada
layanan unit Dokdata tetap harus diperhatikan. Perlakuan risiko yang dilakukan terhadap hal
tersebut adalah mitigasi risiko (risk mitigation). Cara yang lebih efektif untuk mengelola risiko
tersebut antara lain:
 - Memberikan training bagi staf agar dapat memahami pengguna dan dapat melayani
pengguna dengan baik. Training bisa dilakukan secara berkelanjutan sebagai bentuk
penyegaran (refreshment) bagi staf yang bertugas.
- Memberikan reward and punishment yang dinilai secara obyektif dengan ketentuan
formal sehingga staf lebih termotivasi dalam melakukan kinerjanya melayani para
pengguna. Sistem ini belum dilaksanakan oleh unit Dokdata. Adanya reward dan
punishment ini selain membuat staf lebih termotivasi juga secara obyektif dapat
memberi keadilan bagi staf maksudnya staf yang memiliki kinerja lebih baik tentu akan
mendapatkan reward yang lebih besar daripada staf lainnya.
b. Pencurian data (R3)
Risiko ini juga perlu menjadi perhatian karena terkait dengan ketersediaan dan
integritas unit kerja. Perlakuan risiko yang tepat adalah mitigasi risiko (risk mitigation). Cara
yang lebih efektif untuk mengelola risiko tersebut adalah sebagai berikut.

- Mengoptimalkan penggunaan CCTV untuk mengawasi kegiatan operasional dan

keamanan di komputer operasional staf.
- Mewajibkan staf yang bertugas untuk mengunci komputer operasional apabila tidak
digunakan atau ditinggalkan. Kebijakan ini terkait dengan hak akses pada komputer
operasional staf yang bertugas dengan menggunakan username dan password.

KESIMPULAN DAN SARAN

Berdasarkan hasil kajian mengenai desain implementasi ISO 31000 sebagai pedoman
manajemen risiko di Unit Dokumentasi dan Data Standardisasi Pusido BSN, penulis
menyimpulkan beberapa hal sebagai berikut.
Proses implementasi manajemen risiko berbasis ISO 31000 di Unit Dokdata dimulai
dengan melakukan analisis konteks internal dan eksternal, melakukan identifikasi risiko, analisis
dan evaluasi risiko serta perlakuan risiko yang muncul berdasarkan analisis sebelumnya. Unit
Dokdata memang belum melakukan penilaian risiko yang mungkin muncul dari kegiatan
operasionalnya sehari-hari. Dengan adanya analisis desain implementasi ini, diharapkan Unit
Dokdata bisa lebih mengetahui secara pasti mengenai risiko-risiko yang memiliki probabilitas
dan dampak mulai dari low, medium dan high bagi manajemen.
Selama ini, Unit Dokdata hanya melihat risiko-risiko yang berdampak secara langsung
pada operasional kinerjanya tetapi kurang memperhatikan potensi risiko lainnya. Selain itu
perlakuan terhadap risiko yang ada pun masih kurang tepat sehingga risiko yang muncul pun
tidak terselesaikan/teratasi dengan baik. Misalnya, risiko yang seharusnya bisa dikelola dengan
cara berbagai risiko (risk sharing) tetapi hanya dilakukan tindakan penerimaan risiko (risk
acceptance) atau hanya dengan mitigasi/pengurangan risiko (risk mitigation) bahkan hanya
dengan menghindari risiko (risk avoidance). Dengan adanya kajian ini, diharapkan Unit Dokdata
lebih menyadari bahwa potensi pengelolaan risiko bisa saja suatu risiko dikelola dengan
kombinasi perlakuan risiko tersebut.
Berdasarkan kajian desain implementasi ISO 31000 sebagai pedoman manajemen risiko,
Unit Dokdata dapat menemukan risiko-risiko mulai dari level low, medium hingga high. Risiko
yang berada pada level high, antara lain yaitu jaringan internet tidak stabil (R5), kuota email
tidak mencukupi untuk mengirimkan e-file standar (R7), data tidak valid/update (R11),
dokumen yang dibutuhkan (khususnya SNI) tidak tersedia di database/arsip (R12) dan
kerusakan fisik dokumen SNI (R13). Sementara risiko yang berada pada level medium antara
lain: peraturan kurang jelas dan tegas (R2), data hilang/program komputer error (R4), email
bermasalah (R6), pemadaman listrik (R8), kebakaran (R9), dan kerusakan peralatan (komputer,
hardisk eksternal) (R10). Risiko yang berada pada level low yaitu pelayanan pengguna yang
tidak memuaskan (R1) dan pencurian data (R3). Penulis berupaya memberikan cara yang efektif
untuk mengelola risiko-risiko tersebut dengan mempertimbangkan sumberdaya dan kondisi
manajemen yang ada di Unit Dokdata. Selanjutnya perlu dilakukan kembali analisis risiko untuk
mengidentifikasi kembali tingkat risiko yang telah dikelola. Selain itu juga untuk mengidentifkasi
apakah ada risiko yang tersisa setelah dilakukan perlakuan risiko. Risiko ini disebut sebagai
residual risk. Oleh karena itu, perlu adanya monitoring dan review dan manajemen risiko adalah
suatu proses yang berkelanjutan.

Daftar Pustaka
Bank Indonesia. (2003). Peraturan Bank Indonesia Nomor 5/8/PBI/2003 tentang Penerapan manajemen
risiko bagi bank umum. Jakarta: Bank Indonesia.

Broadleaf. (2010, Juni). Retrieved Mei 10, 2016, from Broadleaf:

http://broadleaf.com.au/?s=risk+management+framework

BSN. (2011). SNI ISO 31000:2009 Manajemen Risiko - Prinsip dan Panduan. Jakarta: Badan Standardisasi
Nasional.

BSN. (2014). Undang-Undang Nomor 20 Tahun 2014 tentang Standardisasi dan Penilaian Kesesuaian.
Jakarta: Badan Standardisasi Nasional.
 Christina, D. (2012, Oktober). Asesmen Manajemen Risiko Berbasis ISO 31000:2009. Retrieved Mei 10,
2016, from https://dianechristina.wordpress.com/2012/10/22/asesmen-manajemen-risiko-
berbasis-iso-310002009/

COSO. (2004). Enterprise Risk Management - Integrated Framework. Retrieved Mei 15, 2016, from
Committee of Sponsoring Organizations of the Treadway Commission (COSO):
http://www.coso.org/ERM-IntegratedFramework.htm

Gilbert, J. B. (2007). Enterprise Risk Management: The New Imperative. Houston: Lexicon System, LLC.

Hadisubroto, S. (1988). Pokok-pokok pengumpulan data, analisis data, penafsiran data dan rekomendasi
dalam penelitian kualitatif. Jakarta: Departemen Pendidikan dan Kebudayaan RI.

ISO. (2009). ISO 31000:2009 Risk Management - Principles and Guidelines. Switzerland: International
Organization for Standardization.

ISO. (2009). ISO Guide 73:2009 Risk Management - Vocabulary. Switzerland: International Organization
for Standardization.

Kementerian Keuangan. (2008). Peraturan Menteri Keuangan Nomor 191/PMK.09/2008 tentang

Penerapan manajemen risiko di lingkungan Departemen Keuangan. Jakarta: Kementerian
Keuangan.

Kusuma, C. (2014, Juli). Retrieved Mei 17, 2016, from CRMS Indonesia:
http://crmsindonesia.org/knowledge/crms-articles/membedah-anatomi-iso-31000-2009-risk-
management-%E2%80%93-principles-and-guidelines

Moleong, L. J. (2011). Metode penelitian kualitatif. Bandung: Remaja Rosdakarya.

Nawawi, H. H., & Martini, H. M. (1994). Penelitian terapan. Yogyakarta: Gadjah Mada University Press.

Poerwandari, E. K. (2001). Pendekatan kualitatif untuk penelitian perilaku manusia. Jakarta: LPSP3 -
Fakultas Psikologi Universitas Indonesia.

Sugiyono. (2014). Metode penelitian manajemen: Pendekatan kuantitatif, kualitatif, kombinasi,

penelitian tindakan dan penelitian evaluasi. Bandung: Alfabeta.

Sukmadinata, N. S. (2007). Metode penelitian pendidikan. Bandung: Remaja Rosdakarya.

View publication stats