RISK MANAGEMENT:

COSO MODEL, AS/NZS, ISO 31000

1
2
3
 1) Creates value
2) Integral part of
4.2
Mandate ISO 31000: 2009
organizational and
processes commitment
3) Part of decision
making
4) Explicitly addresses
4.3
uncertainty
Design of
5) Systematic,
framework
structured and timely
for managing risk
6) Based on the best
available information
7) Tailored 4.6 4.4
8) Takes human and Continual Implementing
cultural factors into improvement risk
account of the management
9) Transparent and framework
inclusive
10) Dynamic, iterative
and responsive to 4.5
change Monitoring
11) Facilitates continual and review
improvement and of the
enhancement of the framework
organization

Principles for Framework for Process for managing

managing risk managing risk risk
(Clause 3) (Clause 4) (Clause 5)

ORMIS April 21, Toronto, ISO 4

 Critical Components of ISO 31000

The principles The The process for

provide the framework managing risk
foundation and manages the focuses on
describe the overall individual or
qualities of process and groups of risks,
effective risk its full their
management in integration identification,
an organization into the analysis,
organization evaluation and
treatment
Monitoring & review, continual
improvement and communication occur
From ANSI/ASSE/ISO 31000 throughout
PRINSIP RESIKO MANAGEMENT ISO 31000

1. Manajemen risiko menciptakan nilai tambah (creates value)

Manajemen risiko berkontribusi terhadap pencapaian nyata objektif dan peningkatan,
antara lain, kesehatan dan keselamatan manusia, kepatuhan terhadap hukum dan
peraturan, penerimaan publik, perlindungan lingkungan, kinerja keuangan, kualitas
produk, efisiensi operasi, serta tata kelola dan reputasi perusahaan.

2. Manajemen risiko adalah bagian integral proses dalam organisasi ( an

integral part of organizational processes)
Manajemen risiko adalah bagian tanggung jawab manajemen dan merupakan suatu
bagian integral dalam proses normal organisasi seperti juga merupakan bagian dari
seluruh proses proyek dan manajemen perubahan. Manajemen risiko bukanlah
merupakan aktivitas yang berdiri sendiri yang terpisah dari aktivitas-aktivitas utama
dan proses dalam organisasi.

3. Manajemen risiko adalah bagian dari pengambilan keputusan (part of

decision making)
Manajemen risiko membantu pengambil keputusan mengambil keputusan dengan
informasi yang cukup. Manajemen risiko dapat membantu memprioritaskan tindakan
dan membedakan berbagai pilihan alternatif tindakan. Pada akhirnya, manajemen
risiko dapat membantu memutuskan apakah suatu risiko dapat diterima atau apakah
suatu penanganan risiko telah memadai dan efektif.

4. Manajemen risiko secara eksplisit menangani ketidakpastian (explicitly

addresses uncertainty)
Manajemen risiko menangani aspek-aspek ketidakpastian dalam pengambilan
keputusan, sifat alami dari ketidakpastian itu, dan bagaimana menanganinya. 6
5. Manajemen risiko bersifat sistematis, terstruktur, dan tepat
waktu (systematic, structured and timely )
Suatu pendekatan sistematis, tepat waktu, dan terstruktur terhadap
manajemen risiko memiliki kontribusi terhadap efisiensi dan hasil yang
konsisten, dapat dibandingkan, serta andal.

6. Manajemen risiko berdasarkan informasi terbaik yang tersedia

(based on the best available information )
Masukan untuk proses pengelolaan risiko didasarkan oleh sumber
informasi seperti pengalaman, umpan balik, pengamatan, prakiraan, dan
pertimbangan pakar. Meskipun demikian, pengambil keputusan harus
terinformasi dan harus mempertimbangkan segala keterbatasan data atau
model yang digunakan atau kemungkinan perbedaan pendapat antar
pakar.

7. Manajemen risiko dibuat sesuai kebutuhan ( tailored)

Manajemen risiko diselaraskan dengan konteks eksternal dan internal
organisasi serta profil risikonya.

8. Manajemen risiko memperhitungkan faktor manusia dan

budaya (takes human and cultural factors into account )
Manajemen risiko organisasi mengakui kapabilitas, persepsi, dan tujuan
pihak- pihak eksternal dan internal yang dapat mendukung atau malah
menghambat pencapaian tujuan organisasi.
7
9. Manajemen risiko bersifat transparan dan inklusif ( transparent
and inclusive)
Pelibatan para pemangku kepentingan, terutama pengambil keputusan,
dengan sesuai dan tepat waktu pada semua tingkatan organisasi,
memastikan manajemen risiko tetap relevan dan mengikuti
perkembangan. Pelibatan ini juga memungkinkan pemangku kepentingan
untuk cukup terwakili dan diperhitungkan sudut pandangnya dalam
menentukan kriteria risiko.

10. Manajemen risiko bersifat dinamis, iteratif, dan responsif

terhadap perubahan (dynamic, iterative and responsive to
change)
Seiring dengan timbulnya peristiwa internal dan eksternal, perubahan
konteks dan pengetahuan, serta diterapkannya pemantauan dan
peninjauan, risiko-risiko baru bermunculan, sedangkan yang ada bisa
berubah atau hilang. Karenanya, suatu organisasi harus memastikan
bahwa manajemen risiko terus menerus memantau dan menanggapi
perubahan.

11. Manajemen risiko memfasilitasi perbaikan dan

pengembangan berkelanjutan organisasi ( facilitates continual
improvement and enhancement of the organization )
Organisasi harus mengembangkan dan mengimplementasikan strategi
untuk memperbaiki kematangan manajemen risiko mereka bersama aspek-
aspek lain dalam organisasi mereka. 8
Commit and Mandate Framework Implementation Communicate & Train
• Policy Statement • Stakeholder analysis
• Standards • Training needs analysis
• Guidelines • Communication strategy
• RM Plan and RM Process • Training strategy
• Assurance Plan Establish context • Roles and Reporting

Communicate and consult

Risk assessment

Monitor and review

Identify risks

Implementation
Framework
Framework Continuous
Improvement Cycle

Analyse risks

Evaluate risks

Treat risks

Process for Managing Risk

Review & Improve Structure & Accountability

• Control assurance • Board RM Committee
Management Information System
• RM Plan progress • Executive RM Group
-Risk Registers -Treatment Plans
• RM Maturity Evaluation • RM Working Group
-Assurance Plan -Reporting templates
• RM KPIs • Facilitator for Risk Management
• Benchmarking • RM Champions
• Governance reporting • Risk and Control Owners
Framework Continuous
Improvement Cycle
KERANGKA KERJA / FRAMEWORK
RISK MANAGEMENT ISO 31000
1. Menciptakan rencana dan aktivitas
ISO 31000 menuntut dibentuknya program manajemen risiko yang rutin dan berkala.
Standarisasi membantu organisasi dalam menjabarkan semua pilihan yang berkaitan dengan
pelaksanaan rencana, kerangka kerja, dan proses. Standariasi ISO 31000 menuntut organisasi
untuk mengupayakan terbentuknya suatu proses pelaksanaan rencana dan pilihan apa saja
yang tersedia. ISO 31000 menuntut pembentukan proses analisis risiko, solusi, dan
pelaksanaan rencana dan juga mengawasan aktivitas manajemen risiko yang berkelanjutan

2. Mengimplementasikan rencana tersebut

ISO 31000 menuntut impantasi dari perencanaan dan proses manajemen risiko. Standar ISO
31000 menyediakan panduan untuk implementasinya. Panduan-panduan tersebut mencakup
dokumentasi yang dibutuhkan untuk renacana manajemen risiko dan bagaimana cara
mengelola suatu pelaksanaan manajemen risiko

3. Mengawasi dan mengevaluasi

ISO 31000  menuntut organisasi untuk mereview dan memonitor program manajemen risiko
yang telah dilakukannya. Standar menuntun organisasi melalui proses review tersebut. Review
proses meliputi akuntabilitas, kerangka kerja, dan pengintegrasian dari suatu aktivitas
perencanaan, proses, dan analisis dan solusi untuk mengurangi risiko dari organisasi. Standar
ISO 31000 juga menginstruksikan bagaimana cara mencatat review dan memonitor status dan
hasil sebaik bagaimana laporan tersebut didapatkan.
10
 The risk management process
Used by every manager for every decision

Establish the context

Communicate and consult

Monitor and review

Identify risks

Analyse risks

Evaluate risks

Treat risks

ORMIS April 21, Toronto, ISO 11

(1) Penetapan konteks (establishing the context)
Penetapan konteks bertujuan untuk mengidentifikasi dan mengungkapkan sasaran
organisasi, lingkungan dimana sasaran hendak dicapai, stakeholders yang
berkepentingan, dan keberagaman kriteria risiko, dimana hal-hal ini akan membantu
mengungkapkan dan menilai sifat dan kompleksitas dari risiko. Terdapat empat
konteks yang perlu ditentukan dalam penetapan konteks, yaitu konteks internal,
konteks eksternal, konteks manajemen risiko, dan kriteria risiko.
(i) Konteks internal memperhatikan sisi internal organisasi yaitu struktur organisasi,
kultur dalam organisasi, dan hal-hal lain yang dapat mempengaruhi pencapaian
sasaran organisasi.
(ii) Konteks eksternal mendefinisikan sisi eksternal organisasi yaitu pesaing, otoritas,
perkembangan teknologi, dan hal-hal lain yang dapat mempengaruhi pencapaian
sasaran organisasi.
(iii) Konteks manajemen risiko memperhatikan bagaimana manajemen risiko
diberlakukan dan bagaimana hal tersebut akan diterapkan di masa yang akan
datang.
(iv) Terakhir, dalam pembentukan manajemen risiko organisasi perlu mendefinisikan
 parameter yang disepakati bersama untuk digunakan sebagai kriteria risiko .

ORMIS April 21, Toronto, ISO 12

(2) Penilaian risiko (risk assessment)

Penilaian risiko terdiri dari:

(i) Identifikasi risiko: mengidentifikasi risiko apa saja yang dapat
mempengaruhi pencapaian sasaran organisasi.
(ii) Analisis risiko: menganalisis kemungkinan dan dampak dari risiko yang
telah diidentifikasi.
(iii) Evaluasi risiko: membandingkan hasil analisis risiko dengan kriteria
risiko untuk menentukan bagaimana penanganan risiko yang akan
diterapkan.

(3) Penanganan risiko (risk treatment)

Dalam menghadapi risiko terdapat empant penanganan yang dapat

dilakukan oleh organisasi:
(i) Menghindari risiko (risk avoidance);
(ii) Mitigasi risiko (risk reduction), dapat dilakukan dengan mengurangi
kemungkinan atau dampak;
(iii) Transfer risiko kepada pihak ketiga (risk sharing);
(iv) Menerima risiko (risk acceptance).
13
Ketiga proses besar tersebut didampingi oleh dua proses yaitu:

(1) Komunikasi dan konsultasi

Komunikasi dan konsultasi merupakan hal yang penting mengingat prinsip
manajemen risiko yang kesembilan menuntut manajemen risiko yang
transparan dan inklusif, dimana manajemen risiko harus dilakukan oleh
seluruh bagian organisasi dan memperhitungkan kepentingan dari seluruh
stakeholders organisasi. Adanya komunikasi dan konsultasi diharapkan
dapat menciptakan dukungan yang memadai pada kegiatan manajemen
risiko dan membuat kegiatan manajemen risiko menjadi tepat sasaran.

(2) Monitoring dan review

Hal ini diperlukan untuk memastikan bahwa implementasi manajemen risiko
telah berjalan sesuai dengan perencanaan yang dilakukan. Hasil monitoring
dan review juga dapat digunakan sebagai bahan pertimbangan untuk
melakukan perbaikan terhadap proses manajemen risiko.

ORMIS April 21, Toronto, ISO 14

Manajemen risiko merupakan proses esensial dalam organisasi untuk
memberikan jaminan yang wajar terhadap pencapaian tujuan organisasi.
ISO 31000: 2009 Risk Management – Principles and Guidelines
 merupakan standar yang dibuat untuk memberikan prinsip dan
panduan generik dalam penerapan manajemen risiko. Standar ini
menyediakan prinsip, kerangka kerja, dan proses manajemen risiko.
Prinsip manajemen risiko merupakan fondasi dari kerangka kerja dan
proses manajemen risiko, sedangkan kerangka kerja manajemen risiko
merupakan struktur pembangun proses manajemen risiko. Proses
manajemen risiko merupakan penerapan inti dari manajemen risiko,
sehingga harus dijalankan secara komprehensif, konsisten, dan terus
diperbaiki sesuai dengan keperluan. Implementasi manajemen risiko
berbasis ISO 31000: 2009 secara mendetail dan menyeluruh pada ketiga
komponen tersebut diharapkan dapat meningkatkan efektivitas
manajemen risiko organisasi.

ORMIS April 21, Toronto, ISO 15