INTERNATIONAL ISO

31000
STANDARD

Second edition
2018-02

==========================================================================

Risk management — Guidelines

Manajemen risiko - Panduan
1. Cakupan
Dokumen ini memberikan pedoman untuk mengelola risiko yang dihadapi oleh organisasi.
Aplikasi panduan ini dapat dikustomisasi untuk organisasi dan konteksnya.
Dokumen ini memberikan pendekatan umum untuk mengelola semua jenis risiko dan tidak
secara khusus industri atau industri apa pun.
Dokumen ini dapat digunakan di sepanjang kehidupan organisasi dan diterapkan untuk
kegiatan apa pun, termasuk pengambilan keputusan di semua tingkatan.
2. Acuan normatif
Tidak ada referensi normatif dalam dokumen ini.
3. Istilah dan definisi
Untuk keperluan dokumen ini, istilah dan definisi berikut berlaku.
ISO dan IEC memelihara database terminologi untuk digunakan dalam standardisasi di alamat
berikut:
- Platform Perambanan Online ISO: tersedia di http://www.iso.org/obp
- IEC Electropedia: tersedia di http://www.electropedia.org
3.1 risiko
efek ketidakpastian pada tujuan
Catatan 1: Efeknya adalah penyimpangan dari yang diharapkan. Ini bisa positif, negatif atau
keduanya, dan dapat mengatasi, membuat atau menghasilkan peluang dan ancaman.
Catatan 2: Sasaran mungkin memiliki aspek dan kategori yang berbeda, dan dapat diterapkan
dalam level yang berbeda.
Catatan 3: Risiko biasanya dinyatakan dalam sumber sumber risiko (3.4), kejadian potensial (3.5)
konsekuensinya (3.6) dan probabilitasnya (3.7).
3.2 manajemen risiko
kegiatan terkoordinasi untuk mengarahkan dan mengendalikan organisasi terkait dengan risiko
(3.1)
3.3 pihak yang berkepentingan
orang atau organisasi yang dapat mempengaruhi, terpengaruh atau merasa terpengaruh oleh
keputusan atau kegiatan
Catatan 1: Istilah "pihak yang berkepentingan" dapat digunakan sebagai alternatif untuk
"pemangku kepentingan".
3.4 sumber risiko
yang secara individu atau dalam kombinasi memiliki potensi untuk menimbulkan risiko (3.1)
3.5 peristiwa
kejadian atau perubahan dalam keadaan tertentu
Catatan 1: Suatu peristiwa dapat terdiri dari satu atau lebih kejadian dan mungkin memiliki
beberapa penyebab dan beberapa konsekuensi (3.6).
Catatan 2: Suatu kejadian juga mungkin sesuatu yang diharapkan tetapi tidak terjadi, atau
sesuatu yang tidak diharapkan, tetapi itu terjadi.
Catatan 3: Suatu kejadian dapat menjadi sumber risiko.
3.6 konsekuensi
hasil dari suatu peristiwa (3.5) yang mempengaruhi tujuan
Catatan 1: Konsekuensi mungkin pasti atau tidak pasti dan mungkin memiliki efek positif atau
negatif, langsung atau tidak langsung, dalam tujuan.
Catatan 2: Konsekuensi dapat diekspresikan secara kualitatif atau kuantitatif.
Catatan 3: Konsekuensi apa pun dapat meningkat dengan menggunakan kaskade dan efek
kumulatif.
3.7 kemungkinan
kemungkinan sesuatu terjadi
Catatan 1 entri: Dalam terminologi manajemen risiko (3.2), kata "probabilitas" digunakan untuk
merujuk pada kemungkinan sesuatu terjadi, terlepas dari apakah itu didefinisikan, diukur atau
ditentukan, bahkan jika obyektif atau subyektif, kualitatif atau kuantitatif, dan dijelaskan
menggunakan istilah umum atau matematika (seperti probabilitas atau frekuensi selama jangka
waktu tertentu).
Catatan 2 entri: Istilah bahasa Inggris "likelihood" tidak memiliki padanan langsung dalam
beberapa bahasa; sebaliknya, ekuivalen dengan istilah "kemungkinan" sering digunakan.
Namun, dalam bahasa Inggris, "probabilitas" sering ditafsirkan secara ketat sebagai ekspresi
matematis. Oleh karena itu, dalam terminologi manajemen risiko, "kemungkinan" harus
digunakan dengan interpretasi luas yang sama dengan istilah "Probabilitas" dalam banyak
bahasa selain Inggris.
3.8 kontrol
mengukur yang mempertahankan dan / atau memodifikasi risiko (3.1)
Catatan 1: Kontrol mencakup, tetapi tidak terbatas pada, setiap proses, kebijakan, perangkat,
praktik, atau kondisi dan / atau tindakan lain yang mempertahankan dan / atau memodifikasi
risiko.
Catatan 2: Kontrol mungkin tidak selalu menggunakan efek modifikasi yang diinginkan atau
diduga.
4. Prinsip
Tujuan manajemen risiko adalah untuk menciptakan dan melindungi nilai. Ini meningkatkan
kinerja, mendorong inovasi dan mendukung pencapaian tujuan.
Prinsip-prinsip yang dijelaskan pada Gambar 2 memberikan panduan tentang karakteristik
manajemen risiko yang efektif dan efisien, mengkomunikasikan nilainya dan menjelaskan
maksud dan tujuannya. Prinsip-prinsip tersebut merupakan dasar untuk manajemen risiko dan
harus dipertimbangkan ketika menetapkan dan proses manajemen risiko organisasi. Prinsip-
prinsip ini harus organisasi untuk mengelola efek ketidakpastian pada tujuannya.

Gambar 2 – Prinsip
Manajemen risiko yang efektif membutuhkan unsur-unsur Gambar 2 dan dapat dijelaskan
sebagai berikut.
a) Terintegrasi
Manajemen risiko merupakan bagian integral dari semua kegiatan organisasi.
b) Terstruktur dan komprehensif
Pendekatan yang terstruktur dan komprehensif terhadap manajemen risiko memberikan
kontribusi yang konsisten dan dapat dibandingkan.
c) Kustom
Struktur dan proses manajemen risiko dipersonalisasi dan proporsional dengan konteks
organisasi eksternal dan internal yang terkait dengan tujuannya.
d) Inklusif
Keterlibatan pemangku kepentingan yang tepat dan tepat waktu memungkinkan persepsi
mereka dipertimbangkan. Ini menghasilkan manajemen yang lebih baik dan berisiko.
e) Dinamika
Risiko dapat muncul, berubah atau hilang ketika konteks eksternal dan internal dari suatu
organisasi berubah. Manajemen risiko mengantisipasi, mendeteksi, mengenali dan
menanggapi perubahan dan peristiwa ini dengan cara yang tepat dan tepat waktu.
f) Informasi terbaik yang tersedia
Entri untuk manajemen risiko didasarkan pada informasi historis dan terkini, serta harapan.
Manajemen risiko secara eksplisit mempertimbangkan setiap ketidakpastian pembatasan
yang terkait dengan informasi dan harapan ini. Tepat waktu, jelas dan tersedia untuk
pemangku kepentingan yang relevan.
g) Faktor manusia dan budaya
Perilaku dan budaya manusia memiliki pengaruh signifikan pada semua aspek risiko
manusia di setiap tingkat dan tahap.
h) Perbaikan berkelanjutan
Manajemen risiko terus ditingkatkan melalui pembelajaran dan pengalaman.

5. Kerangka
5.1 Umum
Tujuan kerangka manajemen risiko adalah untuk mendukung organisasi dalam
mengintegrasikan manajemen risiko dalam kegiatan dan fungsi yang berarti. Efektivitas
manajemen risiko akan tergantung pada tata kelola dan semua kegiatan organisasi, termasuk
pengambilan keputusan. Ini membutuhkan dukungan dari para pemangku kepentingan,
khususnya manajemen senior.
Pengembangan struktur meliputi integrasi, desain, implementasi, evaluasi dan peningkatan
manajemen risiko melalui organisasi. Gambar 3 mengilustrasikan komponen struktur.
 Gambar 3 - Kerangka
Organisasi harus mengevaluasi praktik dan proses manajemen risiko yang ada, setiap
kesenjangan dan mengatasi kesenjangan ini dalam kerangka kerja.
Komponen-komponen struktur dan bagaimana mereka bekerja bersama harus disesuaikan
untuk kebutuhan organisasi.
5.2 Kepemimpinan dan komitmen
Badan manajemen dan pengawasan senior, jika memungkinkan, harus memastikan bahwa
manajemen diintegrasikan ke dalam semua kegiatan organisasi, dan harus menunjukkan
kepemimpinan dan komitmen dengan:
- Menyesuaikan dan mengimplementasikan semua komponen struktur;
- menerbitkan pernyataan atau kebijakan yang menetapkan pendekatan, rencana atau
arah tindakan manajemen risiko;
- memastikan bahwa sumber daya yang diperlukan dialokasikan untuk mengelola risiko;
- menetapkan otoritas, tanggung jawab dan akuntabilitas pada tingkat yang sesuai dalam
organisasi;
Ini akan membantu organisasi untuk:
- menyelaraskan manajemen risiko dengan tujuan, strategi dan budayanya;
- mengenali dan menangani semua kewajiban serta komitmen sukarela;
- menetapkan kuantitas dan jenis risiko yang mungkin atau tidak mungkin diambil untuk
memandu kriteria, memastikan bahwa organisasi dan yang bersangkutan;
- mengkomunikasikan nilai manajemen risiko kepada organisasi dan pemangku
kepentingannya;
- mempromosikan pemantauan risiko sistematis;
- memastikan bahwa kerangka manajemen risiko tetap sesuai dengan konteks organisasi.
Manajemen puncak bertanggung jawab untuk mengelola risiko, sementara badan pengawas
bertanggung jawab untuk bertanggung jawab untuk mengawasi manajemen risiko. Sering
diperlukan atau diharapkan bahwa badan pengawas:
- memastikan bahwa risiko dipertimbangkan secara memadai dalam menetapkan tujuan
organisasi;
- memahami risiko yang dihadapi organisasi dalam mencapai tujuannya;
- memastikan bahwa sistem untuk mengelola risiko ini diimplementasikan dan
beroperasi secara efektif;
- memastikan bahwa risiko ini sesuai dalam konteks tujuan organisasi;
- memastikan bahwa informasi tentang risiko-risiko ini dan manajemen mereka
dikomunikasikan dengan tepat.
5.3 Integrasi
Integrasi manajemen risiko didasarkan pada pemahaman tentang struktur organisasi dan
tingkat nasional. Struktur berbeda tergantung pada tujuan, sasaran, dan kompleksitas
organisasi. Risiko dikelola di semua bagian struktur organisasi. Setiap orang dalam organisasi
memiliki kemampuan untuk mengelola risiko.
Tata kelola memandu arah organisasi, hubungan eksternal dan internal, serta aturan, proses,
dan praktik yang diperlukan untuk mencapai tujuannya. Struktur manajemen mencerminkan
arahan dari tata kelola ke strategi dan sasaran terkait yang diperlukan untuk mencapai tingkat
yang diinginkan, kinerja yang berkelanjutan dan kelangsungan hidup jangka panjang.
Menentukan akuntabilitas untuk peran manajemen dan pengawasan dalam suatu organisasi
merupakan bagian integral dari organisasi tata kelola perusahaan.
Mengintegrasikan manajemen risiko ke dalam suatu organisasi adalah proses yang dinamis dan
berulang, dan itu harus disesuaikan untuk kebutuhan dan budaya organisasi. Manajemen risiko
harus menjadi bagian, dan tidak terpisah, dari tujuan organisasi, pemerintahan, kepemimpinan
dan komitmen, strategi, tujuan dan operasi.
5.4 Desain
5.4.1 Memahami organisasi dan konteksnya
Dalam merancang kerangka kerja manajemen risiko, organisasi harus memeriksa dan
memahami konteks eksternal dan internal.
Memeriksa konteks eksternal organisasi dapat termasuk, tetapi tidak terbatas pada:
- faktor sosial, budaya, politik, hukum, peraturan, keuangan, teknologi, ekonomi dan
sosial. tingkat internasional, nasional, regional atau lokal;
- Pendorong utama dan tren yang mempengaruhi tujuan organisasi;
- hubungan pemangku kepentingan, persepsi, nilai, kebutuhan dan harapan faktor
eksternal;
- hubungan dan komitmen kontraktual;
- kompleksitas jaringan dan ketergantungan hubungan.
Memeriksa konteks internal organisasi mungkin termasuk, tetapi tidak terbatas pada:
- visi, misi, dan nilai-nilai organisasi;
- pemerintahan, struktur organisasi, peran dan akuntabilitas;
- strategi, tujuan, dan kebijakan;
- budaya organisasi;
- standar, pedoman, dan model yang diadopsi oleh organisasi;
- kemampuan dipahami dalam hal sumber daya dan pengetahuan (misalnya modal,
waktu, orang, kekayaan intelektual, proses, sistem dan teknologi);
- data, sistem informasi dan arus informasi;
- hubungan dengan pemangku kepentingan internal, dengan mempertimbangkan
persepsi dan nilai-nilai mereka;
- hubungan dan komitmen kontraktual;
- interdependensi dan interkoneksi.
5.4.2 Komitmen artikulasi terhadap manajemen risiko
Badan manajemen dan pengawasan senior, jika memungkinkan, harus menunjukkan dan
mengartikulasikan komitmen mereka terhadap manajemen risiko melalui kebijakan, bentuk
lain yang secara jelas menyampaikan tujuan dan komitmen terhadap manajemen risiko suatu
organisasi. Komitmen harus mencakup, tetapi tidak terbatas pada:
- tujuan organisasi untuk mengelola risiko dan keterkaitan dengan tujuan dan kebijakan
lainnya;
 - memperkuat kebutuhan untuk mengintegrasikan manajemen risiko ke dalam budaya
keseluruhan organisasi;
- memimpin integrasi manajemen risiko ke dalam kegiatan bisnis utama dan
pengambilan keputusan;
- otoritas, tanggung jawab dan akuntabilitas;
- membuat sumber daya yang diperlukan tersedia;
- cara tujuan yang saling bertentangan ditangani;
- pengukuran dan pelaporan dalam indikator kinerja organisasi;
- analisis dan perbaikan kritis.
Komitmen terhadap manajemen risiko harus dikomunikasikan kepada organisasi dan kepada
pihak yang berkepentingan, yang sesuai.
5.4.3 Menetapkan peran, otoritas, tanggung jawab dan akuntabilitas organisasi
Manajemen senior dan badan pengawas, jika berlaku, harus memastikan bahwa peran dan
tanggung jawab untuk manajemen risiko ditugaskan dan dikomunikasikan ke semua tingkat
organisasi, dan harus:
- menekankan bahwa manajemen risiko adalah tanggung jawab utama;
- mengidentifikasi individu yang bertanggung jawab dan memiliki wewenang untuk
mengelola risiko.
5.4.4 Mengalokasikan sumber daya
Badan manajemen dan pengawasan tingkat tinggi, jika memungkinkan, harus memastikan
alokasi sumber daya yang sesuai untuk manajemen risiko, yang mungkin termasuk, tetapi tidak
terbatas pada:
- orang, keterampilan, pengalaman, dan kompetensi;
- proses, metode dan alat organisasi yang akan digunakan dalam manajemen risiko;
- proses dan prosedur yang terdokumentasi;
- sistem informasi dan manajemen pengetahuan;
- pelatihan dan kebutuhan pengembangan profesional.
Organisasi harus mempertimbangkan kemampuan dan kendala sumber daya yang ada.
5.4.5 Membangun komunikasi dan konsultasi
Organisasi harus menetapkan pendekatan yang disetujui untuk komunikasi dan konsultasi
untuk mendukung struktur dan memfasilitasi penerapan manajemen risiko yang efektif.
Komunikasi melibatkan berbagi informasi dengan audiens target. Konsultasi juga melibatkan
peserta yang kembali, dengan harapan bahwa ini akan berkontribusi pada keputusan dan
formulasi atau kegiatan lainnya. Metode dan isi komunikasi dan konsultasi harus
mencerminkan harapan pemangku kepentingan, jika relevan.
Komunikasi dan konsultasi harus tepat waktu dan memastikan bahwa informasi yang relevan
dikumpulkan, dikonsolidasi, disintesiskan dan dibagikan, sebagaimana mestinya, dan bahwa
pengembalian diberikan dan perbaikan dilaksanakan.
5.5 Implementasi
Organisasi harus menerapkan kerangka kerja manajemen risiko melalui:
- pengembangan rencana yang tepat, termasuk tenggat waktu dan sumber daya;
- identifikasi di mana, kapan dan bagaimana berbagai jenis keputusan dibuat oleh
organisasi, dan oleh siapa;
- modifikasi prosedur pengambilan keputusan yang berlaku, jika diperlukan;
- memastikan bahwa pengaturan organisasi untuk manajemen risiko dipahami dan
dipraktekkan dengan jelas.
Keberhasilan penerapan struktur membutuhkan keterlibatan dan kesadaran para pemangku
kepentingan. prihatin. Hal ini memungkinkan organisasi untuk secara eksplisit mengatasi
ketidakpastian dalam keputusan, sementara juga memastikan bahwa ketidakpastian baru atau
lebih baru dapat diperhitungkan saat muncul.
Dirancang dengan tepat dan diimplementasikan, kerangka manajemen risiko akan memastikan
bahwa proses merupakan bagian dari semua kegiatan organisasi, dan bahwa perubahan dalam
konteks eksternal dan internal akan ditangkap dengan baik.
5.6 Evaluasi
Untuk menilai efektivitas kerangka manajemen risiko, organisasi harus:
- secara berkala mengukur kinerja struktur manajemen risiko dalam kaitannya dengan
tujuan, rencana implementasi, indikator dan perilaku yang diharapkan;
- Menentukan apakah tetap memadai untuk mendukung pencapaian tujuan organisasi.
5.7 Peningkatan
5.7.1 Adaptasi
Organisasi harus terus memantau dan menyesuaikan kerangka kerja manajemen risiko untuk
perubahan eksternal dan internal. Dengan demikian, organisasi dapat meningkatkan nilainya.
5.7.2 Peningkatan berkelanjutan
Organisasi harus terus meningkatkan kecukupan, kecukupan dan proses manajemen risiko dan
bagaimana proses manajemen risiko terintegrasi.
Karena celah atau peluang yang relevan untuk perbaikan diidentifikasi, kembangkan rencana
dan tugas dan tetapkan kepada mereka yang bertanggung jawab untuk implementasi. Setelah
diimplementasikan, peningkatan ini harus berkontribusi pada manajemen risiko.

6. Proses
6.1 Umum
Proses manajemen risiko melibatkan penerapan kebijakan, prosedur, dan praktik sistematis
untuk kegiatan komunikasi dan konsultasi, penetapan konteks dan evaluasi, perawatan,
pemantauan, analisis kritis, pencatatan dan pelaporan risiko. Proses ini diilustrasikan pada
Gambar 4.

Gambar 4 - Proses
Proses manajemen risiko harus menjadi bagian integral dari manajemen dan pengambilan
keputusan, dan diintegrasikan ke dalam struktur, operasi, dan proses organisasi. Dapat
diterapkan pada level strategis, operasional, program atau tingkat proyek.
Mungkin ada banyak aplikasi dari proses manajemen risiko dalam suatu organisasi, yang
disesuaikan untuk mencapai tujuan dan untuk beradaptasi dengan konteks eksternal dan
internal di mana mereka dilaksanakan.
Sifat dinamis dan variabel dari perilaku dan budaya manusia harus dianggap sebagai seluruh
proses manajemen risiko.
Meskipun proses manajemen risiko sering disajikan secara berurutan, dalam praktiknya bersifat
iteratif.
6.2 Komunikasi dan konsultasi
Tujuan komunikasi dan konsultasi adalah untuk membantu para pemangku kepentingan yang
relevan dalam memahami dasar di mana keputusan dibuat dan alasan mengapa tindakan
tertentu diambil. wajib. Komunikasi berusaha untuk meningkatkan kesadaran dan pemahaman
tentang risiko, sementara konsultasi melibatkan memperoleh umpan balik dan informasi untuk
membantu pengambilan keputusan. Koordinasi antara keduanya memfasilitasi pertukaran
informasi faktual, tepat waktu, relevan, akurat dan mudah dipahami, dengan
mempertimbangkan kerahasiaan dan integritas informasi, serta hak privasi individu.
Komunikasi dan konsultasi dengan eksternal yang sesuai dalam setiap tahap dan sepanjang
proses manajemen risiko.
- Komunikasi dan konsultasi bertujuan untuk:
- menyatukan bidang keahlian yang berbeda untuk setiap tahap proses manajemen risiko;
- memastikan bahwa sudut pandang yang berbeda dipertimbangkan secara tepat ketika
mendefinisikan kriteria dan penilaian risiko;
- memberikan informasi yang cukup untuk memfasilitasi pemantauan risiko dan
pengambilan keputusan;
- membangun rasa inklusi dan kepemilikan di antara mereka yang terkena risiko.
6.3 Ruang lingkup, konteks dan kriteria
6.3.1 Umum
Tujuan pembentukan ruang lingkup, konteks, dan kriteria adalah untuk menyesuaikan proses
penilaian risiko proses manajemen, memungkinkan proses penilaian risiko yang efektif dan
manajemen risiko yang tepat. Ruang lingkup, konteks, dan kriteria melibatkan mendefinisikan
ruang lingkup proses, memahami konteks eksternal dan internal.
6.3.2 Menentukan ruang lingkup
Organisasi harus menentukan ruang lingkup kegiatan manajemen risiko.
Bagaimana proses manajemen risiko dapat diterapkan pada tingkat yang berbeda (misalnya
operasional, program, proyek atau kegiatan lain), adalah penting untuk menjadi jelas tentang
ruang lingkup ke dalam akun, tujuan yang relevan untuk dipertimbangkan dan keselarasannya
dengan organisasi sasaran.
Ketika merencanakan pendekatan, pertimbangan meliputi:
- tujuan dan keputusan yang perlu diambil;
- hasil yang diharapkan dari langkah-langkah yang harus diambil dalam proses;
- waktu, lokasi, inklusi dan pengecualian tertentu;
- alat dan teknik yang tepat untuk proses penilaian risiko;
- sumber daya, tanggung jawab, dan catatan yang dibutuhkan untuk dipelihara;
- hubungan dengan proyek, proses dan kegiatan lain.
6.3.3 Konteks eksternal dan internal
Konteks eksternal dan internal adalah lingkungan di mana organisasi berusaha mendefinisikan
dan mencapai tujuan.
Konteks proses manajemen risiko harus dibentuk dari pemahaman tentang lingkungan
eksternal dan internal di mana organisasi beroperasi, dan harus mencerminkan lingkungan
spesifik dari kegiatan di mana proses manajemen risiko diterapkan.
Memahami konteks itu penting karena:
- manajemen risiko terjadi dalam konteks tujuan dan kegiatan organisasi;
- faktor organisasi dapat menjadi sumber risiko;
- tujuan dan ruang lingkup proses manajemen risiko dapat terkait dengan tujuan
organisasi secara keseluruhan;
Adalah tepat bagi organisasi untuk menetapkan konteks eksternal dan internal dari
mempertimbangkan faktor-faktor yang disebutkan dalam 5.4.1.
6.3.4 Mendefinisikan Kriteria Risiko
Organisasi harus menentukan jumlah dan jenis risiko yang mungkin atau tidak dapat dianggap
sebagai tujuan. Juga perlu menetapkan kriteria untuk menilai signifikansi risiko dan untuk
mendukung proses pengambilan keputusan. Kriteria risiko harus selaras dengan kerangka
manajemen risiko dan disesuaikan dengan tujuan dan ruang lingkup kegiatan tertentu. Kriteria
risiko harus mencerminkan nilai, tujuan dan konsisten dengan kebijakan dan pernyataan
manajemen risiko. Ini adalah kriteria risiko yang ditetapkan dengan mempertimbangkan
kewajiban organisasi dan pandangan pemangku kepentingan.
Meskipun diinginkan bahwa kriteria risiko ditetapkan pada awal proses evaluasi risiko, mereka
bersifat dinamis; dan mereka harus terus ditinjau secara kritis dan jika perlu.
Untuk menetapkan kriteria risiko, adalah tepat untuk mempertimbangkan:
- sifat dan jenis ketidakpastian yang dapat mempengaruhi hasil dan tujuan (baik aset
berwujud maupun tidak berwujud);
- bagaimana konsekuensinya (baik positif maupun negatif) dan probabilitas akan
ditentukan dan diukur;
- faktor yang terkait dengan waktu;
- konsistensi dalam penggunaan tindakan;
- bagaimana tingkat risiko akan ditentukan;
- bagaimana kombinasi dan urutan berbagai risiko akan diperhitungkan;
- kapasitas organisasi.
6.4 Proses penilaian risiko
6.4.1 Umum
Proses penilaian risiko adalah keseluruhan proses identifikasi risiko, analisis risiko dan
penilaian risiko.
Proses penilaian risiko harus dilakukan secara sistematis, iteratif dan kolaboratif berdasarkan
pengetahuan dan pandangan para pemangku kepentingan. Anda harus menggunakan
informasi terbaik yang tersedia, ditambah dengan penelitian tambahan, jika diperlukan.
6.4.2 Identifikasi risiko
Tujuan identifikasi risiko adalah untuk menemukan, mengenali, dan menggambarkan risiko
yang dapat membantu atau mencegah organisasi mencapai tujuannya. Informasi yang relevan
dan relevan dan penting dalam mengidentifikasi risiko.
Organisasi dapat menggunakan berbagai teknik untuk mengidentifikasi ketidakpastian yang
dapat mempengaruhi sasaran atau lebih. Faktor-faktor berikut dan hubungan antara faktor-
faktor ini harus dipertimbangkan:
- sumber-sumber risiko yang nyata dan tidak berwujud;
- Penyebab dan kejadian;
- Ancaman dan peluang;
- kerentanan dan kemampuan;
- perubahan dalam konteks eksternal dan internal;
- indikator risiko yang muncul;
- sifat dan nilai aset dan sumber daya;
- konsekuensi dan dampaknya pada tujuan;
- keterbatasan pengetahuan dan keandalan informasi;
- faktor temporal;
- bias, hipotesis dan keyakinan dari mereka yang terlibat.
Organisasi harus mengidentifikasi risiko, terlepas dari apakah sumber mereka berada di bawah
kendali Anda atau tidak. Harus dipertimbangkan bahwa mungkin ada lebih dari satu jenis hasil,
yang dapat mengakibatkan berbagai konsekuensi yang nyata atau tidak nyata.
6.4.3 Analisis risiko
Tujuan analisis risiko adalah untuk memahami sifat risiko dan karakteristiknya, termasuk
tingkat risikonya, jika diperlukan. Analisis risiko melibatkan pertimbangan rinci
ketidakpastian, sumber risiko, konsekuensi, kemungkinan, peristiwa, skenario, kontrol dan
keefektifannya. Peristiwa dapat memiliki banyak penyebab dan konsekuensi dan dapat
memengaruhi beberapa sasaran.
Analisis risiko dapat dilakukan dengan berbagai tingkat detail dan kompleksitas, tergantung
pada tujuan analisis, ketersediaan dan keandalan informasi, dan sumber daya yang tersedia.
Teknik analisis mungkin kualitatif, kuantitatif atau kombinasi dari ini tergantung pada keadaan
dan penggunaan yang dimaksudkan.
Analisis risiko harus mempertimbangkan faktor-faktor seperti:
- kemungkinan kejadian dan konsekuensi;
- sifat dan besarnya konsekuensi;
- kompleksitas dan konektivitas;
- faktor temporal dan volatilitas;
- Efektivitas pengendalian yang ada;
- Tingkat sensitivitas dan kepercayaan diri.
Analisis risiko dapat dipengaruhi oleh perbedaan pendapat, bias, persepsi risiko dan penilaian.
Pengaruh tambahan adalah kualitas informasi yang digunakan, dan pengecualian yang dibuat,
segala keterbatasan teknik dan bagaimana mereka dilakukan. Adalah tepat pengaruh-pengaruh
ini dipertimbangkan, didokumentasikan dan dikomunikasikan kepada pengambil keputusan.
Peristiwa yang sangat tidak pasti bisa sulit dihitung. Ini bisa menjadi masalah ketika
menguraikan peristiwa dengan konsekuensi yang berat. Dalam kasus ini, menggunakan
kombinasi teknik memberikan wawasan yang lebih luas.
Analisis risiko memberikan masukan untuk penilaian risiko untuk keputusan tentang apakah
risiko perlu ditangani dan bagaimana, serta pada strategi dan metode yang paling tepat untuk
perlakuan risiko. Hasilnya memberikan ketajaman untuk keputusan, di mana pilihan sedang
dibuat dan pilihan melibatkan berbagai jenis dan tingkat risiko.
6.4.4 Evaluasi risiko
Tujuan dari penilaian risiko adalah untuk mendukung keputusan. Pengkajian risiko melibatkan
perbandingan hasil analisis risiko dengan risiko yang mapan yang diperlukan tindakan
tambahan. Ini dapat menyebabkan keputusan untuk:
- tidak melakukan apa pun;
- pertimbangkan opsi perlakuan risiko;
- Lakukan analisis tambahan untuk lebih memahami risiko;
- memelihara kontrol yang ada;
- Mempertimbangkan kembali tujuan.
Keputusan harus mempertimbangkan konteks yang lebih luas dan yang nyata dan dirasakan
oleh pemangku kepentingan eksternal dan internal.
Adalah tepat bahwa hasil dari penilaian risiko dicatat, dikomunikasikan dan kemudian
divalidasi di tingkat organisasi.
6.5 Perlakuan berisiko
6.5.1 Umum
Tujuan manajemen risiko adalah memilih dan menerapkan opsi untuk mengatasi risiko.
Perlakuan terhadap risiko melibatkan proses berulang:
- Merumuskan dan memilih opsi untuk manajemen risiko;
- merencanakan dan menerapkan manajemen risiko;
- evaluasi efektivitas perawatan ini;
- putuskan apakah risiko yang tersisa dapat diterima;
- jika tidak dapat diterima, lakukan perawatan tambahan.
6.5.2 Pemilihan opsi perlakuan risiko
Memilih opsi perawatan risiko yang paling tepat (s) melibatkan menyeimbangkan manfaat
derivatif potensial dalam hubungan untuk mencapai dua tujuan, menghadapi biaya, usaha atau
kerugian implementasi.
Pilihan penanganan risiko tidak selalu saling eksklusif atau sesuai dalam semua keadaan.
Pilihan untuk menangani risiko dapat melibatkan satu atau lebih hal berikut:
- hindari risiko dengan memutuskan untuk tidak memulai atau melanjutkan aktivitas
yang menimbulkan risiko;
- mengasumsikan atau meningkatkan risiko dengan cara mengejar peluang;
- hilangkan sumber risikonya;
- mengubah probabilitas;
- mengubah konsekuensinya;
- berbagi risiko (misalnya melalui kontrak, pembelian asuransi);
- Mempertahankan risiko dengan keputusan yang beralasan.
Pembenaran untuk penanganan risiko lebih luas dari sekadar pertimbangan ekonomi, dan
harus mempertimbangkan semua kewajiban organisasi, komitmen sukarela dan pandangan
pemangku kepentingan. Adalah tepat bahwa pemilihan risiko dilakukan sesuai dengan tujuan
organisasi, kriteria risiko dan sumber daya yang tersedia.
Ketika memilih opsi manajemen risiko, organisasi harus mempertimbangkan nilai, persepsi dan
keterlibatan pemangku kepentingan potensial, dan cara yang paling tepat untuk berkomunikasi
dan berkonsultasi. Meskipun sama efektifnya, beberapa risiko dapat diterima oleh beberapa
pemangku kepentingan dibandingkan dengan yang lain.
Meskipun dirancang dan diimplementasikan dengan hati-hati, risiko hasil yang diharapkan dan
mungkin memiliki konsekuensi yang tidak diinginkan. Pemantauan dan analisis perlu menjadi
bagian integral dari penerapan manajemen risiko, untuk memastikan bahwa berbagai bentuk
perlakuan menjadi dan tetap efektif.
Manajemen risiko juga dapat memperkenalkan risiko baru yang perlu dikelola. Jika tidak ada
pilihan pengobatan yang tersedia atau jika pilihan pengobatan tidak mengubah risiko, harus
dicatat dan disimpan di bawah tinjauan kritis terus menerus.
Pengambil keputusan dan pemangku kepentingan lainnya harus menyadari sifat dan tingkat
risiko yang tersisa setelah perawatan risiko. Risiko yang tersisa harus didokumentasikan dan
dilakukan pemantauan, analisis kritis dan, bila perlu, perawatan tambahan.
6.5.3 Mempersiapkan dan Menerapkan Rencana Manajemen Risiko
Tujuan rencana manajemen risiko adalah untuk menentukan bagaimana opsi-opsi perawatan
yang dipilih akan dilaksanakan dengan cara yang pengaturannya dipahami oleh mereka yang
terlibat, dan kemajuan menuju rencana dapat dipantau. Rencana perawatan harus
mengidentifikasi urutan di mana perlakuan risiko akan dilaksanakan.
Rencana perawatan harus diintegrasikan ke dalam rencana dan prosedur pengelolaan dari
konsultasi dengan pemangku kepentingan yang tepat.
Informasi yang disediakan dalam rencana perawatan harus mencakup:
- pembenaran untuk pemilihan opsi perawatan, termasuk manfaat yang diharapkan
untuk diperoleh;
- mereka yang bertanggung jawab dan bertanggung jawab untuk menyetujui dan
mengimplementasikan rencana tersebut;
- tindakan yang diusulkan;
- sumber daya yang dibutuhkan, termasuk kontinjensi;
- ukuran performa;
- pembatasan;
- laporan dan pemantauan yang diperlukan;
- ketika tindakan diharapkan akan diambil dan diselesaikan.
6.6 Pemantauan dan tinjauan kritis
Tujuan pemantauan dan tinjauan kritis adalah untuk memastikan dan meningkatkan kualitas
dan desain, implementasi dan hasil proses. Adalah tepat bahwa pemantauan berkelanjutan dan
analisis kritis berkala dari proses manajemen risiko dan hasilnya adalah bagian yang
direncanakan dari proses manajemen risiko, dengan tanggung jawab yang jelas.
Pemantauan dan tinjauan kritis harus dilakukan di semua tahapan proses. Pemantauan dan
analisis kritis termasuk perencanaan, pengumpulan dan analisis informasi, pencatatan hasil dan
penyediaan semen.
Hasil pemantauan dan analisis kritis harus dimasukkan ke dalam semua manajemen kinerja,
pengukuran dan pelaporan.
6.7 Perekaman dan pelaporan
Adalah tepat bahwa proses manajemen risiko dan hasilnya didokumentasikan dan dilaporkan
melalui mekanisme yang tepat. Catatan dan laporan bertujuan untuk:
- mengkomunikasikan kegiatan manajemen risiko dan hasil di seluruh organisasi;
- memberikan informasi untuk pengambilan keputusan;
- meningkatkan kegiatan manajemen risiko;
 - untuk memfasilitasi interaksi dengan para pemangku kepentingan, termasuk mereka
yang memiliki tanggung jawab dan dengan akuntabilitas untuk kegiatan manajemen
risiko.
Keputusan yang berkaitan dengan pembuatan, retensi dan penanganan informasi yang
didokumentasikan harus tetapi tidak terbatas pada, penggunaannya, sensitivitas informasi dan
konteks eksternal dan internal.
Laporan ini merupakan bagian integral dari tata kelola organisasi dan harus meningkatkan
kualitas dengan para pemangku kepentingan dan mendukung Manajemen Senior dan badan
pengawas untuk mematuhi tanggung jawab mereka. Faktor-faktor yang perlu dipertimbangkan
untuk pelaporan termasuk, tetapi tidak terbatas pada:
- pemangku kepentingan yang berbeda dan kebutuhan dan persyaratan informasi khusus
mereka;
- biaya, frekuensi, dan ketepatan waktu laporan;
- metode pelaporan;
- Relevansi informasi dengan tujuan organisasi dan pengambilan keputusan.