RISK MANAGEMENT

ISO 31000:2018
INTRODUCTION
SEJARAH ISO
 SEJARAH ISO
 ISO bukan singkatan, pada awalnya, singkatan dari nama lembaga tersebut adalah
IOS dalam bahasa Inggris (International Organization for Standardization) atau
OIN dalam bahasa Perancis (Organisation internationale de normalisation)
sebelum akhirnya ditetapkan menggunakan nama ISO, diambil dari bahasa
Yunani ISOS yang berarti sama.
 Pengembang Standar Internasional terbesar dunia.
 Standar Internasional memberi spesifikasi mutakhir untuk produk, jasa, dan praktek
terbaik.
 Membantu menjadikan organisasi/industri lebih efisien & efektif.
 Standar ini dikembangkan melalui konsensus global.
 Standar ini menghilangkan hambatan perdagangan internasional.
 Indonesia BSN (Badan Standardisasi Nasional).
 SEJARAH ISO
 1926 - ISA (International Federation of the National Standardizing Associations)
didirikan di New York.
 1944 - UNSCC (United Nations Standards Coordinating Committee) didirikan.
 1946 - Delegasi 25 negara di London membangun organisasi baru koordinasi dan kesatuan
internasional di bidang standar industri.
 23-02-1947 berdirilah ISO di Geneva, Swiss.
 Anggota ISO 165 negara.
 Sekarang > 21.000 standar telah terbit & terpopuler ISO seri 9000 dan ISO seri 14000.
 Dari keamanan pangan, laboratorium sampai komputer, dan pertanian hingga pemeliharaan
kesehatan, keamanan jalan & lalin
 SEJARAH ISO

Terdapat 2 ( Dua ) Standar sistem manajemen ISO yang tidak untuk sertifikasi :

1. ISO 26000:2011 GUIDANCE ON SOCIAL RESPONSIBILITY

2. ISO 31000:2009 RISK MANAGEMENT – PRINCIPLES AND GUIDELINES
Dimana sudah direvisi menjadi ISO 31000:2018
PENERAPAN ISO DI ASEAN
 SEJARAH ISO 31000

1. 1995- Australia dan Selandia Baru menerbitkan standar manajemen

risiko yang pertama kali di dunia.
2. 1997- Kanada juga menerbitkan standar manajemen risiko.
3. 2001- Jepang menyusul menerbitkan standar manajemen risiko.
4. 2002- Beberapa asosiasi profesi manajemen risiko di Inggris
menerbitkan panduan manajemen risiko (AIRMIC, IRM, ALARM).
 SEJARAH ISO 31000
5. 2004- COSO menerbitkan Panduan mengenai Integrated Risk
Management Framework, terbit di Amerika Serikat.
6. 2009- ISO menerbitkan Standar Internasional ISO 31000:2009 Risk
Management – Principles and Guidelines.
7. 2017- COSO menerbitkan revisi panduan mengenai manajemen
risiko dengan judul Enterprise Risk Management – Integrating With
Strategy and Performance.
8. 2018- Revisi Standar ISO 31000 yang pertama sejak diterbitkan
tahun 2009 menjadi ISO 31000:2018.
 DEFINISI RISIKO

Menurut ISO 31000:2018

“effect of uncertainty on objectives”

Menurut AS/NZS 4360:2004

"the chance of something happening that will have an impact on
objectives”

Menurut Enterprise Risk Management - COSO :

"Events with a negative impact represent risks, which can prevent value creation or
erode existing value"
 DEFINISI RISIKO - ISO 31000:2018

“effect of uncertainty on objectives”

 An effect is a deviation from the expected. It can be positive,

negative or both, and can address, create or result in
opportunities and threats.
 Objectives can have different aspects and categories, and can be
applied at different levels.
 Risk is usually expressed in terms of risk sources, potential events,
their consequences and their likelihood.
 DEFINISI MANAJEMEN RISIKO
Definisi Manajemen Risiko menurut AS/NZS 4360: 2004 :

The culture, processes, structures that are directed towards realizing potential
opportunities while managing adverse effects

Definisi Manajemen Risiko menurut Enterprise Risk Management – COSO:

A process , effected by an entity’s board of directors, management and other

personnel, applied in strategy-setting and across enterprise, designed to identify
potential events that may affect the entity, and manage risk to be within its risk
appetite, to provide reasonable assurance regarding the achievement of entity
objectives (COSO)
 DEFINISI MANAJEMEN RISIKO

Definisi Manajemen Risiko menurut ISO 31000:2018:

coordinated activities to direct and control an organization with regard to risk

ISO 31000:2018 VS ANNEX SL
ISO 31000:2018 VS ANNEX SL
ISO 31000:2018 VS ANNEX SL
ISO 31000:2018 VS ANNEX SL
 ISO 31000:2009 VS ISO 31000:2018
1. Secara umum, ISO 31000:2018 menyederhanakan versi 2009. Hal itu langsung terlihat antara lain dari
nama yang berubah dari “principles and guidelines” menjadi hanya “guidelines” serta dari jumlah halaman
yang menyusut dari 24 halaman menjadi 16 halaman.
2. Diagram yang menggambarkan hubungan prinsip, kerangka kerja, dan proses manajemen proses pun
berubah. Pada versi 2009, prinsip, kerangka kerja, dan proses digambarkan sebagai rangkaian unsur yang
berurutan, sedangkan pada versi 2018 ketiga bagian ini digambarkan sebagai sistem terbuka yang saling
berkaitan.
3. Prinsip manajemen risiko berubah dari 11 prinsip pada versi 2009 menjadi 1 tujuan (purpose) dan 8 prinsip
pada versi 2018. Satu prinsip, yaitu “penciptaan dan pelindungan nilai”, diubah menjadi tujuan manajemen
risiko. Dua prinsip, yaitu “bagian pengambilan keputusan” dan “secara eksplisit menangani
ketidakpastian”, dihapus.
4. Kerangka manajemen risiko berubah dari 5 komponen pada versi 2009 menjadi 6 komponen pada versi
2018. Komponen “mandat dan komitmen” diubah menjadi “kepemimpinan dan komitmen” dan
dipindahkan letaknya menjadi di pusat komponen lainnya. Komponen “integrasi” ditambahkan sebagai
komponen yang mengawali komponen lain. Empat komponen lain disederhanakan pernyataannya menjadi
(1) perancangan, (2) implementasi, (3) evaluasi, dan (4) perbaikan.
 ISO 31000:2009 VS ISO 31000:2018

5. Proses manajemen risiko relatif tidak berubah. Proses “penetapan konteks” diubah namanya menjadi
“lingkup, konteks, dan kriteria”. Proses “pencatatan dan pelaporan” dicantumkan secara eksplisit di
dalam diagram setelah sebelumnya hanya ada pada bagian teks pada versi 2009.

6. ISO 31000:2018 menekankan tujuan manajemen risiko, yaitu menciptakan dan melindungi nilai.
Tujuan itu diwujudkan dengan (1) meningkatkan kinerja, (2) mendorong inovasi, dan (3) mendukung
pencapaian sasaran. Manajemen risiko adalah bagian dari tata kelola (governance) dan harus terintegrasi
di dalam proses organisasi. Penerapan manajemen risiko memerlukan kepemimpinan dan komitmen dari
manajemen puncak, serta keterlibatan aktif dari semua anggota organisasi.
Diagram yang menggambarkan hubungan prinsip, kerangka kerja, dan proses

2009 2018
 Prinsip manajemen risiko

2009 2018
 Proses manajemen risiko

2009 2018
 HAL BARU DALAM ISO 31000:2018

1. Tujuan dari pengelolaan risiko adalah penciptaan nilai dan

perlindungan nilai.

Dapat dicapai dengan mengelola risiko dalam proses pengambilan keputusan,

proses penetapan dan kegiatan pencapaian sasaran, serta perbaikan kinerja.
Pengelolaan risiko merupakan bagian terpadu dari seluruh kegiatan dan proses
organisasi. Proses ini dikenal sebagai proses integrase, yang nanti disebut
sebagai risk based strategic planning, risk based budgeting, risk based internal
audit, risk based performance measurement, dan lain-lain.
 HAL BARU DALAM ISO 31000:2018

2. Pengelolaan risiko adalah bagian tak terpisahkan dari kepemimpinan dan

tata kelola organisasi.

Menjadi landasan pengelolaan aktifitas organisasi di seluruh tingkatan, termasuk interaksi

dengan pihak-pihak yang berkepentingan dengan organisasi pada masing-masing tingkat,
menjelaskan peran dan tanggungjawab masing-masing posisi dalam pengelolaan dan
pengawasan risiko dan pembentukan unit-unit kerja dalam struktur organisasi. Dan
selanjutnya proses ini dikenal dengan istilah dari governance, risk management and
compliance (GRC).
 HAL BARU DALAM ISO 31000:2018
3. Pengelolaan risiko harus mempertimbangkan konteks penerapannya, yaitu
konteks eksternal dan internal organisasi.
Penerapan manajemen risiko harus disesuaikan secara khas dan spesifik bagi
setiap organisasi ataupun penggunanya.
Penerapan manajemen risiko harus mempertimbangkan para pemangku
kepentingan eksternal dan situasi eksternal organisasi, juga mempertimbangkan
struktur tata kelola internal organisasi, kapabilitas organisasi ( teknologi,
kompetensi, keuangan, manusia, dll) sebelum menerapkan dengan baik.
 HAL BARU DALAM ISO 31000:2018

4. Pengelolaan risiko harus mempertimbangkan faktor perilaku manusia

dan budaya.

Proses penerapan manajemen risiko dipengaruhi oleh pemahaman perilaku,

kompetensi, persepsi terhadap risiko dan juga penerimaan budaya mengenai risiko.
Pembinaan budaya sadar risiko harus dilaksanakan sejalan dengan dengan
penerapan manajemen risiko.
Risk management —
Guidelines
2018-02-15
1. SCOPE / RUANG LINGKUP
Dokumen ini memberikan panduan untuk mengelola risiko yang
dihadapi oleh organisasi. Penerapan pedoman ini dapat disesuaikan
untuk organisasi apa pun dan konteksnya.
Dokumen ini memberikan pendekatan umum untuk mengelola segala
jenis risiko dan bukan untuk industri atau sector tertentu.
Dokumen ini dapat digunakan sepanjang kehidupan organisasi dan
dapat diterapkan untuk aktivitas apa pun, termasuk pengambilan
keputusan di semua tingkatan.
2. Normative references/ Referensi Normatif

Tidak ada referensi normatif dalam dokumen ini.

3. Terms and definitions/Istilah dan definisi

Untuk keperluan dokumen ini, istilah dan definisi berikut berlaku.

ISO dan IEC memelihara basis data terminologis untuk digunakan dalam standardisasi
di alamat berikut:
- Platform penelusuran ISO Online: tersedia di http://www.iso.org/obp
- IEC Electropedia: tersedia di http://www.electropedia.org
3.1 risk/risiko
pengaruh ketidakpastian pada tujuan

3.2 risk management/manajemen risiko

kegiatan terkoordinasi untuk mengarahkan dan mengendalikan organisasi
terkait dengan risiko (3.1)

3.3 stakeholder/pemangku kepentingan

orang atau organisasi yang dapat mempengaruhi, dipengaruhi oleh, atau
menganggap diri mereka dipengaruhi oleh keputusan atau kegiatan

Istilah "pihak yang berkepentingan" dapat digunakan sebagai alternatif untuk

"pemangku kepentingan".
3.4 risk source / sumber risiko
elemen yang sendirian atau dalam kombinasi memiliki potensi untuk
menimbulkan risiko (3.1)

3.5 event/peristiwa

terjadinya atau perubahan serangkaian keadaan tertentu.

 Suatu peristiwa dapat memiliki satu atau lebih kejadian, dan dapat memiliki
beberapa penyebab dan beberapa konsekuensi (3.6).
 Suatu peristiwa juga bisa menjadi sesuatu yang diharapkan yang tidak terjadi,
atau sesuatu yang tidak diharapkan yang terjadi.
 Suatu peristiwa bisa menjadi sumber risiko.
3.6 consequence/ konsekuensi
hasil dari suatu kejadian (3.5) yang mempengaruhi tujuan

 Konsekuensi dapat pasti atau tidak pasti dan dapat memiliki efek langsung atau
tidak langsung positif atau negatif pada tujuan.
 Konsekuensi dapat dinyatakan secara kualitatif atau kuantitatif.
 Konsekuensi apa pun dapat meningkat melalui efek kaskade dan kumulatif.
3.7 likelihood/ kemungkinan
Kemungkinan sesuatu terjadi

 Dalam terminologi manajemen risiko (3.2), kata "kemungkinan" digunakan untuk merujuk
pada peluang sesuatu terjadi, apakah didefinisikan, diukur atau ditentukan secara obyektif
atau subyektif, kualitatif atau kuantitatif, dan dijelaskan menggunakan istilah umum atau
secara matematis (seperti probabilitas atau frekuensi selama periode waktu tertentu).

 Istilah bahasa Inggris "kemungkinan" tidak memiliki padanan langsung dalam beberapa
bahasa; alih-alih, ekivalen dari istilah "probabilitas" sering digunakan. Namun, dalam
bahasa Inggris, "probabilitas" sering ditafsirkan secara sempit sebagai istilah matematika.
Oleh karena itu, dalam terminologi manajemen risiko, "kemungkinan" digunakan dengan
maksud bahwa ia harus memiliki interpretasi luas yang sama dengan istilah "probabilitas"
miliki dalam banyak bahasa selain bahasa Inggris.
3.8 control / kontrol
ukuran yang mempertahankan dan / atau memodifikasi risiko (3.1)

o Kontrol mencakup, tetapi tidak terbatas pada, proses, kebijakan, perangkat, praktik, atau
kondisi dan / atau tindakan lain apa pun yang mempertahankan dan / atau memodifikasi
risiko.
o Kontrol mungkin tidak selalu menggunakan efek modifikasi yang dimaksudkan atau
diasumsikan.
4 Principles / Prinsip
Tujuan manajemen risiko adalah penciptaan dan perlindungan nilai. Ini
meningkatkan kinerja, mendorong inovasi dan mendukung pencapaian tujuan

Prinsip-prinsip yang diuraikan dalam Gambar 2 memberikan panduan tentang

karakteristik manajemen risiko yang efektif dan efisien, mengkomunikasikan
nilainya dan menjelaskan maksud dan tujuannya. Prinsip-prinsip tersebut
adalah dasar untuk mengelola risiko dan harus dipertimbangkan ketika
menetapkan kerangka kerja dan proses manajemen risiko organisasi. Prinsip-
prinsip ini harus memungkinkan organisasi untuk mengelola dampak
ketidakpastian pada tujuannya.
Prinsip Manajemen risiko :

a) Terintegrasi
Manajemen risiko adalah bagian integral dari semua kegiatan organisasi.

b) Terstruktur dan komprehensif

Pendekatan terstruktur dan komprehensif untuk manajemen risiko berkontribusi pada hasil yang konsisten dan dapat
dibandingkan.

c) Disesuaikan
Kerangka kerja dan proses manajemen risiko disesuaikan dan proporsional dengan konteks eksternal dan
internal organisasi terkait dengan tujuannya.

d) Inklusif
Keterlibatan pemangku kepentingan yang tepat dan tepat waktu memungkinkan pengetahuan, pandangan,
dan persepsi mereka dipertimbangkan. Ini menghasilkan peningkatan kesadaran dan manajemen risiko
informasi
e) Dinamis

Risiko dapat muncul, berubah atau menghilang ketika konteks eksternal dan internal organisasi berubah.
Manajemen risiko mengantisipasi, mendeteksi, mengakui dan merespons perubahan dan peristiwa tersebut
secara tepat dan tepat waktu.

f) Informasi terbaik yang tersedia

Input untuk manajemen risiko didasarkan pada informasi historis dan saat ini, serta harapan masa depan.
Manajemen risiko secara eksplisit memperhitungkan segala batasan dan ketidakpastian yang terkait
dengan informasi dan harapan tersebut. Informasi harus tepat waktu, jelas, dan tersedia untuk pemangku
kepentingan terkait.

g) Faktor manusia dan budaya

Perilaku dan budaya manusia secara signifikan mempengaruhi semua aspek manajemen risiko di setiap
tingkatan dan tahap.

h) Peningkatan berkelanjutan
Manajemen risiko terus ditingkatkan melalui pembelajaran dan pengalaman.
5 Framework/ Kerangka Kerja

5.1 General / Umum

 Tujuan dari kerangka kerja manajemen risiko adalah untuk membantu organisasi dalam
mengintegrasikan manajemen risiko ke dalam kegiatan dan fungsi yang signifikan.
 Efektivitas manajemen risiko akan tergantung pada integrasinya ke dalam tata kelola
organisasi, termasuk pengambilan keputusan.
 Membutuhkan dukungan dari para pemangku kepentingan, terutama manajemen puncak.
 Pengembangan kerangka kerja mencakup pengintegrasian, desain, implementasi, evaluasi,
dan peningkatan manajemen risiko di seluruh organisasi.
 Gambar 3 mengilustrasikan komponen kerangka kerja.
Organisasi harus mengevaluasi praktik dan proses manajemen risiko yang ada, mengevaluasi setiap
kesenjangan dan mengatasi kesenjangan tersebut dalam kerangka kerja.

5.2 Leadership and commitment/Kepemimpinan dan Komitmen

Manajemen puncak dan badan pengawas, jika ada, harus memastikan bahwa manajemen risiko
terintegrasi ke dalam semua kegiatan organisasi dan harus menunjukkan kepemimpinan dan komitmen
dengan:

 menyesuaikan dan mengimplementasikan semua komponen kerangka kerja;

 mengeluarkan pernyataan atau kebijakan yang menetapkan pendekatan, rencana, atau tindakan
tindakan manajemen risiko;
 memastikan bahwa sumber daya yang diperlukan dialokasikan untuk mengelola risiko;
 menugaskan otoritas, tanggung jawab dan akuntabilitas pada tingkat yang sesuai dalam organisasi.
Hal ini akan membantu organisasi untuk:

 menyelaraskan manajemen risiko dengan tujuan, strategi, dan budaya;

 mengakui dan menangani semua kewajiban, serta komitmen sukarela;
 menetapkan jumlah dan jenis risiko yang mungkin atau mungkin tidak diambil untuk
memandu pengembangan kriteria risiko, memastikan bahwa mereka dikomunikasikan
kepada organisasi dan pemangku kepentingannya;
 mengomunikasikan nilai manajemen risiko kepada organisasi dan para pemangku
kepentingannya;
 mempromosikan pemantauan risiko secara sistematis;
 memastikan bahwa kerangka kerja manajemen risiko tetap sesuai dengan konteks
organisasi.
Manajemen puncak bertanggung jawab untuk mengelola risiko, sementara badan pengawas bertanggung
jawab untuk mengawasi manajemen risiko.

Badan pengawas seringkali diharapkan atau diminta untuk:

 memastikan bahwa risiko dipertimbangkan secara memadai ketika menetapkan tujuan organisasi;
 memahami risiko yang dihadapi organisasi dalam mengejar tujuannya;
 memastikan bahwa sistem untuk mengelola risiko tersebut diterapkan dan beroperasi secara efektif;
 memastikan bahwa risiko tersebut sesuai dalam konteks tujuan organisasi;
 memastikan bahwa informasi tentang risiko tersebut dan manajemennya dikomunikasikan dengan
benar.
5.3 Integration / Integrasi
 Mengintegrasikan manajemen risiko bergantung pada pemahaman tentang struktur dan konteks
organisasi.
 Struktur berbeda tergantung pada tujuan, sasaran, dan kompleksitas organisasi. Risiko dikelola di setiap
bagian dari struktur organisasi.
 Setiap orang dalam suatu organisasi memiliki tanggung jawab untuk mengelola risiko.
 Tata kelola memandu jalannya organisasi, hubungan eksternal dan internal, dan aturan, proses dan
praktik yang diperlukan untuk mencapai tujuannya.
 Struktur manajemen menerjemahkan arah tata kelola ke dalam strategi dan tujuan terkait yang
diperlukan untuk mencapai tingkat kinerja berkelanjutan yang diinginkan dan kelayakan jangka
panjang.
 Menentukan akuntabilitas manajemen risiko dan peran pengawasan dalam organisasi adalah bagian
integral dari tata kelola organisasi.
 Mengintegrasikan manajemen risiko ke dalam organisasi adalah proses yang dinamis dan berulang, dan
harus disesuaikan dengan kebutuhan dan budaya organisasi.
 Manajemen risiko harus menjadi bagian dari, dan tidak terpisah dari, tujuan organisasi, tata kelola,
kepemimpinan dan komitmen, strategi, tujuan, dan operasi.
5.4 Design / Disain
5.4.1 Understanding the organization and its context / Memahami organisasi
dan konteksnya

Ketika merancang kerangka kerja untuk mengelola risiko, organisasi harus memeriksa dan memahami
konteks eksternal dan internalnya.

Meneliti konteks eksternal organisasi dapat mencakup, tetapi tidak terbatas pada:
 faktor sosial, budaya, politik, hukum, peraturan, keuangan, teknologi, ekonomi dan lingkungan,
baik internasional, nasional, regional atau lokal;
 pendorong dan tren utama yang mempengaruhi tujuan organisasi;
 hubungan, persepsi, nilai, kebutuhan, dan harapan pemangku kepentingan eksternal;
 hubungan dan komitmen kontraktual;
 kompleksitas jaringan dan ketergantungan.
Meneliti konteks internal organisasi dapat mencakup, tetapi tidak terbatas pada:

 visi, misi dan nilai-nilai;

 pemerintahan, struktur organisasi, peran dan akuntabilitas;
 strategi, tujuan dan kebijakan;
 budaya organisasi;
 standar, pedoman dan model yang diadopsi oleh organisasi;
 kemampuan, dipahami dalam hal sumber daya dan pengetahuan (mis. modal, waktu, orang,
kekayaan intelektual, proses, sistem dan teknologi);
 data, sistem informasi, dan arus informasi;
 hubungan dengan pemangku kepentingan internal, dengan mempertimbangkan persepsi dan
nilai-nilai mereka;
 hubungan dan komitmen kontraktual;
 saling ketergantungan dan interkoneksi.
5.4.2 Articulating risk management commitment / Mengartikulasikan komitmen
manajemen risiko
Manajemen puncak dan badan pengawas, jika ada, harus menunjukkan dan mengartikulasikan komitmen
berkelanjutan mereka terhadap manajemen risiko melalui kebijakan, pernyataan atau bentuk lain yang dengan jelas
menyampaikan tujuan dan komitmen organisasi terhadap manajemen risiko.

Komitmen tersebut harus mencakup, tetapi tidak terbatas pada:

 tujuan organisasi untuk mengelola risiko dan tautan ke tujuan dan kebijakan lainnya;
 memperkuat kebutuhan untuk mengintegrasikan manajemen risiko ke dalam budaya organisasi secara
keseluruhan;
 memimpin integrasi manajemen risiko ke dalam kegiatan bisnis inti dan pengambilan keputusan;
 otoritas, tanggung jawab dan akuntabilitas;
 menyediakan sumber daya yang diperlukan;
 cara di mana tujuan yang saling bertentangan ditangani;
 pengukuran dan pelaporan dalam indikator kinerja organisasi;
 review dan peningkatan.
Komitmen manajemen risiko harus dikomunikasikan dalam suatu organisasi dan kepada para pemangku
kepentingan, yang sesuai.
5.4.3 Assigning organizational roles, authorities, responsibilities and
accountabilities / Menugaskan peran, wewenang, tanggung jawab, dan
akuntabilitas organisasi

Manajemen puncak dan badan pengawas, jika ada, harus memastikan bahwa otoritas, tanggung
jawab, dan akuntabilitas untuk peran yang relevan sehubungan dengan manajemen risiko
ditugaskan dan dikomunikasikan di semua tingkatan organisasi, dan harus:

 Menekankan bahwa manajemen risiko adalah tanggung jawab inti;

 Mengidentifikasi individu yang memiliki akuntabilitas dan wewenang untuk mengelola
risiko (pemilik risiko).
5.4.4 Allocating resources / Mengalokasikan sumber daya

Manajemen puncak dan badan pengawas, jika ada, harus memastikan alokasi sumber daya
yang tepat untuk manajemen risiko, yang dapat mencakup, tetapi tidak terbatas pada:

 orang, keterampilan, pengalaman dan kompetensi;

 proses, metode, dan alat organisasi yang akan digunakan untuk mengelola risiko;
 proses dan prosedur yang terdokumentasi;
 sistem manajemen informasi dan pengetahuan;
 pengembangan profesional dan kebutuhan pelatihan.

Organisasi harus mempertimbangkan kemampuan, dan kendala pada, sumber daya yang ada.
5.4.5 Establishing communication and consultation / Membangun komunikasi dan konsultasi

 Organisasi harus menetapkan pendekatan yang disetujui untuk komunikasi dan konsultasi
untuk mendukung kerangka kerja dan memfasilitasi penerapan manajemen risiko yang
efektif.
 Komunikasi melibatkan berbagi informasi dengan audiens yang ditargetkan. Konsultasi
juga melibatkan peserta yang memberikan umpan balik dengan harapan bahwa hal itu akan
berkontribusi dan membentuk keputusan atau kegiatan lainnya.
 Metode dan konten komunikasi dan konsultasi harus mencerminkan harapan para
pemangku kepentingan, jika relevan.
 Komunikasi dan konsultasi harus tepat waktu dan memastikan bahwa informasi yang
relevan dikumpulkan, disusun, disintesis, dan dibagikan, jika perlu, dan bahwa umpan balik
diberikan dan perbaikan dilakukan.
5.5 Implementation / Implementasi
Organisasi harus menerapkan kerangka kerja manajemen risiko dengan:

 mengembangkan rencana yang sesuai termasuk waktu dan sumber daya;

 mengidentifikasi di mana, kapan dan bagaimana berbagai jenis keputusan dibuat di seluruh
organisasi, dan oleh siapa;
 memodifikasi proses pengambilan keputusan yang berlaku jika perlu;
 memastikan bahwa pengaturan organisasi untuk mengelola risiko dipahami dan dipraktikkan
dengan jelas.

Keberhasilan implementasi kerangka kerja membutuhkan keterlibatan dan kesadaran para pemangku
kepentingan. Hal ini memungkinkan organisasi untuk secara eksplisit mengatasi ketidakpastian dalam
pengambilan keputusan, sambil juga memastikan bahwa setiap ketidakpastian baru atau selanjutnya
dapat diperhitungkan ketika hal itu muncul. Dirancang dan diimplementasikan dengan benar, kerangka
kerja manajemen risiko akan memastikan bahwa proses manajemen risiko adalah bagian dari semua
kegiatan di seluruh organisasi, termasuk pengambilan keputusan, dan bahwa perubahan dalam konteks
eksternal dan internal akan ditangkap secara memadai.
5.6 Evaluation / Evaluasi

Untuk mengevaluasi efektivitas kerangka kerja manajemen risiko, organisasi harus:

 secara berkala mengukur kinerja kerangka manajemen risiko terhadap tujuannya, rencana
implementasi, indikator dan perilaku yang diharapkan;
 menentukan apakah tetap cocok untuk mendukung pencapaian tujuan organisasi.

5.7 Improvement / Peningkatan

5.7.1 Adapting / Adaptasi

Organisasi harus terus memantau dan mengadaptasi kerangka kerja manajemen risiko untuk
mengatasi perubahan eksternal dan internal. Dengan demikian, organisasi dapat meningkatkan
nilainya.
 5.7.2 Continually improving / Terus Meningkatkan

 Organisasi harus terus meningkatkan kesesuaian, kecukupan, dan efektivitas kerangka kerja
manajemen risiko dan cara proses manajemen risiko terintegrasi.
 Ketika celah yang relevan atau peluang peningkatan diidentifikasi, organisasi harus
mengembangkan rencana dan tugas dan menugaskan mereka yang bertanggung jawab untuk
implementasi.
 Setelah diimplementasikan, perbaikan ini harus berkontribusi pada peningkatan manajemen
risiko
6 Process / Proses

6.1 General / Umum

 Proses manajemen risiko melibatkan penerapan kebijakan, prosedur, dan praktik

yang sistematis terhadap kegiatan komunikasi dan konsultasi, menetapkan konteks
dan menilai, memperlakukan, memantau, meninjau, mencatat, dan melaporkan
risiko.
 Proses ini diilustrasikan pada Gambar 4.
 Proses manajemen risiko harus menjadi bagian integral dari manajemen dan pengambilan
keputusan dan diintegrasikan ke dalam struktur, operasi, dan proses organisasi. Ini dapat
diterapkan pada level strategis, operasional, program atau proyek.

 Mungkin ada banyak aplikasi dari proses manajemen risiko dalam suatu organisasi,
disesuaikan untuk mencapai tujuan dan agar sesuai dengan konteks eksternal dan internal di
mana mereka diterapkan.

 Sifat dinamis dan variabel perilaku dan budaya manusia harus dipertimbangkan selama proses
manajemen risiko.

 Meskipun proses manajemen risiko sering disajikan secara berurutan, dalam praktiknya ini
berulang.
 6.2 Communication and consultation / Komunikasi dan Konsultasi
 Tujuan dari komunikasi dan konsultasi adalah untuk membantu para pemangku kepentingan yang relevan
dalam memahami risiko, dasar pengambilan keputusan dan alasan mengapa tindakan tertentu diperlukan.
 Komunikasi berupaya untuk meningkatkan kesadaran dan pemahaman tentang risiko, sedangkan konsultasi
melibatkan memperoleh umpan balik dan informasi untuk mendukung pengambilan keputusan.
 Koordinasi erat antara keduanya harus memfasilitasi pertukaran informasi yang faktual, tepat waktu, relevan,
akurat, dan dapat dipahami, dengan mempertimbangkan kerahasiaan dan integritas informasi serta hak
privasi masing-masing individu.
 Komunikasi dan konsultasi dengan pemangku kepentingan eksternal dan internal yang sesuai harus
dilakukan di dalam dan di seluruh langkah proses manajemen risiko.
 Komunikasi dan konsultasi bertujuan untuk:
 menyatukan bidang keahlian yang berbeda untuk setiap langkah proses manajemen risiko;
 memastikan bahwa pandangan yang berbeda dipertimbangkan dengan tepat ketika mendefinisikan kriteria
risiko dan ketika mengevaluasi risiko;
 memberikan informasi yang memadai untuk memfasilitasi pengawasan risiko dan pengambilan keputusan;
 membangun rasa inklusif dan kepemilikan di antara mereka yang terkena dampak risiko
 6.3 Scope, context and criteria / Lingkup, konteks dan kriteria

6.3.1 General / Umum

 Tujuan membangun ruang lingkup, konteks dan kriteria adalah untuk menyesuaikan proses
manajemen risiko, memungkinkan penilaian risiko yang efektif dan perlakuan risiko yang tepat.
 Lingkup, konteks dan kriteria melibatkan mendefinisikan ruang lingkup proses, dan memahami
konteks eksternal dan internal.
6.3.2 Defining the scope / Menentukan ruang lingkup

 Organisasi harus menetapkan ruang lingkup kegiatan manajemen risikonya.

 Karena proses manajemen risiko dapat diterapkan pada tingkat yang berbeda (misalnya strategis,
operasional, program, proyek, atau kegiatan lainnya), penting untuk menjadi jelas tentang ruang
lingkup yang dipertimbangkan, tujuan yang relevan untuk dipertimbangkan dan keselarasannya
dengan tujuan organisasi .

 Saat merencanakan pendekatan, pertimbangan meliputi:

 tujuan dan keputusan yang perlu dibuat;

 hasil yang diharapkan dari langkah-langkah yang akan diambil dalam proses;
 waktu, lokasi, inklusi dan pengecualian khusus;
 alat dan teknik penilaian risiko yang tepat;
 sumber daya yang dibutuhkan, tanggung jawab dan catatan untuk disimpan;
 hubungan dengan proyek lain, proses dan kegiatan.
6.3.3 External and internal context / Konteks eksternal dan internal

 Konteks eksternal dan internal adalah lingkungan di mana organisasi berusaha untuk
mendefinisikan dan mencapai tujuannya.
 Konteks proses manajemen risiko harus dibangun dari pemahaman lingkungan eksternal dan
internal di mana organisasi beroperasi dan harus mencerminkan spesifik
 lingkungan aktivitas tempat proses manajemen risiko diterapkan.
 Memahami konteks itu penting karena:

 manajemen risiko terjadi dalam konteks tujuan dan kegiatan organisasi;

 faktor organisasi dapat menjadi sumber risiko;
 tujuan dan ruang lingkup proses manajemen risiko dapat saling terkait dengan tujuan organisasi
secara keseluruhan.

Organisasi harus menetapkan konteks eksternal dan internal dari proses manajemen risiko dengan
mempertimbangkan faktor-faktor yang disebutkan dalam 5.4.1.
 6.3.4 Defining risk criteria / Menentukan kriteria risiko

 Organisasi harus menentukan jumlah dan jenis risiko yang mungkin atau mungkin tidak diambilnya,
relatif terhadap sasaran.
 Ini juga harus mendefinisikan kriteria untuk mengevaluasi signifikansi risiko dan untuk mendukung
proses pengambilan keputusan.
 Kriteria risiko harus diselaraskan dengan kerangka kerja manajemen risiko dan disesuaikan dengan
tujuan spesifik dan ruang lingkup kegiatan yang sedang dipertimbangkan.
 Kriteria risiko harus mencerminkan nilai-nilai, tujuan dan sumber daya organisasi dan konsisten dengan
kebijakan dan pernyataan tentang manajemen risiko.
 Kriteria harus didefinisikan dengan mempertimbangkan kewajiban organisasi dan pandangan para
pemangku kepentingan.
 Sementara kriteria risiko harus ditetapkan pada awal proses penilaian risiko, mereka dinamis dan harus
terus ditinjau dan diamandemen, jika perlu.
Untuk menetapkan kriteria risiko, berikut ini harus dipertimbangkan:

o sifat dan jenis ketidakpastian yang dapat mempengaruhi hasil dan tujuan (baik
berwujud maupun tidak berwujud);
o bagaimana konsekuensi (baik positif maupun negatif) dan kemungkinan akan
ditentukan dan diukur;
o faktor terkait waktu;
o konsistensi dalam penggunaan pengukuran;
o bagaimana tingkat risiko ditentukan;
o bagaimana kombinasi dan urutan berbagai risiko akan diperhitungkan;
o kapasitas organisasi.
6.4 Risk assessment / Penilaian Risiko

6.4.1 General / Umum

 Penilaian risiko adalah keseluruhan proses identifikasi risiko, analisis risiko dan evaluasi
risiko.
 Penilaian risiko harus dilakukan secara sistematis, iteratif, dan kolaboratif, dengan
memanfaatkan pengetahuan dan pandangan para pemangku kepentingan.
 Harus menggunakan informasi terbaik yang tersedia, ditambah dengan penyelidikan lebih
lanjut sebagaimana diperlukan.
 6.4.2 Risk identification / Identifikasi Risiko
 Tujuan dari identifikasi risiko adalah untuk menemukan, mengenali dan menggambarkan risiko yang
dapat membantu atau mencegah suatu organisasi mencapai tujuannya.
 Informasi yang relevan, tepat, dan terkini penting dalam mengidentifikasi risiko. Organisasi dapat
menggunakan berbagai teknik untuk mengidentifikasi ketidakpastian yang dapat memengaruhi satu
atau lebih tujuan.
 Faktor-faktor berikut, dan hubungan antara faktor-faktor ini, harus dipertimbangkan:

 sumber risiko nyata dan tidak berwujud;

 penyebab dan peristiwa;
 ancaman dan peluang;
 kerentanan dan kemampuan;
 perubahan dalam konteks eksternal dan internal;
 indikator risiko yang muncul;
 sifat dan nilai aset dan sumber daya;
 konsekuensi dan dampaknya terhadap tujuan;
 keterbatasan pengetahuan dan keandalan informasi;
 faktor terkait waktu;
 bias, asumsi dan kepercayaan dari mereka yang terlibat.
 6.4.3 Risk analysis / Analisa Risiko
 Tujuan dari analisis risiko adalah untuk memahami sifat risiko dan karakteristiknya termasuk, jika sesuai,
tingkat risiko.
 Analisis risiko melibatkan pertimbangan terperinci tentang ketidakpastian, sumber risiko, konsekuensi,
kemungkinan, peristiwa, skenario, kontrol, dan efektivitasnya.
 Suatu peristiwa dapat memiliki banyak penyebab dan konsekuensi dan dapat mempengaruhi banyak
tujuan.
 Analisis risiko dapat dilakukan dengan berbagai tingkat detail dan kompleksitas, tergantung pada tujuan
analisis, ketersediaan dan keandalan informasi, dan sumber daya yang tersedia.
 Teknik analisis dapat kualitatif, kuantitatif atau kombinasi dari ini, tergantung pada keadaan dan tujuan
penggunaan.

Analisis risiko harus mempertimbangkan faktor-faktor seperti:

 kemungkinan kejadian dan konsekuensi;
 sifat dan besarnya konsekuensi;
 kompleksitas dan konektivitas;
 faktor terkait waktu dan volatilitas;
 efektivitas kontrol yang ada;
 tingkat sensitivitas dan kepercayaan diri.
 Analisis risiko dapat dipengaruhi oleh perbedaan pendapat, bias, persepsi risiko dan penilaian.
 Pengaruh tambahan adalah kualitas informasi yang digunakan, asumsi dan pengecualian yang
dibuat, segala keterbatasan teknik dan bagaimana mereka dieksekusi.
 Pengaruh-pengaruh ini harus dipertimbangkan, didokumentasikan dan dikomunikasikan
kepada para pembuat keputusan.
 Kejadian yang sangat tidak pasti bisa sulit untuk diukur.
 Ini bisa menjadi masalah ketika menganalisis peristiwa dengan konsekuensi parah.
 Dalam kasus seperti itu, menggunakan kombinasi teknik umumnya memberikan wawasan
yang lebih besar.
 Analisis risiko memberikan masukan untuk evaluasi risiko, untuk keputusan apakah risiko
perlu diperlakukan dan bagaimana, dan pada strategi dan metode perawatan risiko yang paling
tepat.
 Hasilnya memberikan wawasan untuk keputusan, di mana pilihan sedang dibuat, dan pilihan
melibatkan berbagai jenis dan tingkat risiko.
6.4.4 Risk evaluation / Evaluasi Risiko

 Tujuan evaluasi risiko adalah untuk mendukung keputusan.

 Evaluasi risiko melibatkan membandingkan hasil analisis risiko dengan kriteria risiko yang
ditetapkan untuk menentukan di mana tindakan tambahan diperlukan.
 Hal Ini dapat mengarah pada keputusan untuk:

 - jangan melakukan apa-apa lagi;

 - pertimbangkan opsi perlakuan risiko;
 - melakukan analisis lebih lanjut untuk lebih memahami risiko;
 - memelihara kontrol yang ada;
 - Mempertimbangkan kembali tujuan.

 Keputusan harus mempertimbangkan konteks yang lebih luas dan konsekuensi aktual dan yang
dirasakan oleh pemangku kepentingan eksternal dan internal.

 Hasil evaluasi risiko harus dicatat, dikomunikasikan dan kemudian divalidasi pada tingkat organisasi
yang sesuai.
6.5 Risk treatment / Perlakuan Risiko

6.5.1 General / Umum

 Tujuan dari perawatan risiko adalah untuk memilih dan menerapkan opsi untuk
mengatasi risiko.
 Perlakuan risiko melibatkan proses berulang dari:

 merumuskan dan memilih opsi perlakuan risiko;

 merencanakan dan menerapkan perlakuan risiko;
 menilai efektivitas perlakuan itu;
 memutuskan apakah risiko yang tersisa dapat diterima;
 jika tidak dapat diterima, mengambil perlakuan lebih lanjut.
6.5.2 Selection of risk treatment options / Pemilihan opsi perlakuan risiko
 Memilih opsi perlakuan risiko yang paling tepat melibatkan menyeimbangkan manfaat
potensial yang diperoleh sehubungan dengan pencapaian tujuan terhadap biaya, upaya atau
kerugian implementasi.
 Opsi-opsi perawatan risiko tidak harus saling eksklusif atau sesuai dalam semua keadaan.
 Opsi untuk mengobati risiko dapat melibatkan satu atau lebih hal berikut ini:

 menghindari risiko dengan memutuskan untuk tidak memulai atau melanjutkan kegiatan yang
menimbulkan risiko;
 mengambil atau meningkatkan risiko untuk mengejar peluang;
 menghapus sumber risiko;
 mengubah kemungkinan;
 mengubah konsekuensinya;
 berbagi risiko (mis. Melalui kontrak, membeli asuransi);
 mempertahankan risiko dengan keputusan berdasarkan informasi.
 Justifikasi untuk perlakuan risiko lebih luas daripada pertimbangan ekonomi semata dan harus
memperhitungkan semua kewajiban organisasi, komitmen sukarela, dan pandangan pemangku
kepentingan.
 Pemilihan opsi perlakuan risiko harus dibuat sesuai dengan tujuan organisasi, kriteria risiko dan
sumber daya yang tersedia.
 Ketika memilih opsi perlakuan risiko, organisasi harus mempertimbangkan nilai-nilai, persepsi dan
potensi keterlibatan para pemangku kepentingan dan cara-cara yang paling tepat untuk berkomunikasi
dan berkonsultasi dengan mereka.
 Meskipun sama-sama efektif, beberapa perlakuan risiko dapat lebih diterima oleh beberapa pemangku
kepentingan daripada yang lain.
 Perlakuan risiko, bahkan jika dirancang dan diimplementasikan dengan hati-hati mungkin tidak
menghasilkan hasil yang diharapkan dan dapat menghasilkan konsekuensi yang tidak diinginkan.
 Pemantauan dan peninjauan perlu menjadi bagian integral dari pelaksanaan perlakuan risiko untuk
memberikan jaminan bahwa berbagai bentuk perlakuan menjadi dan tetap efektif.
 Perlakuan risiko juga dapat menimbulkan risiko baru yang perlu dikelola.
 Jika tidak ada pilihan perlakuan yang tersedia atau jika opsi perlakuan tidak cukup
memodifikasi risiko, risiko harus dicatat dan disimpan di bawah tinjauan yang sedang
berlangsung.
 Pembuat keputusan dan pemangku kepentingan lainnya harus menyadari sifat dan tingkat
risiko yang tersisa setelah perlakuan risiko.
 Risiko yang tersisa harus didokumentasikan dan dikenakan pemantauan, peninjauan dan, jika
sesuai, perlakuan lebih lanjut.
6.5.3 Preparing and implementing risk treatment plans/ Mempersiapkan
dan mengimplementasikan rencana perlakuan risiko

 Tujuan dari rencana perlakuan risiko adalah untuk menentukan bagaimana opsi perlakuan yang
dipilih akan diimplementasikan, sehingga pengaturan dipahami oleh mereka yang terlibat, dan
kemajuan terhadap rencana dapat dipantau.
 Rencana perlakuan harus secara jelas mengidentifikasi urutan perlakuan risiko yang harus
dilaksanakan.
 Rencana perlakuan harus diintegrasikan ke dalam rencana manajemen dan proses organisasi,
dengan berkonsultasi dengan pemangku kepentingan yang tepat.
Informasi yang disediakan dalam rencana perlakuan harus mencakup:

o dasar pemikiran untuk pemilihan opsi perlakuan, termasuk manfaat yang diharapkan untuk
diperoleh;
o mereka yang bertanggung jawab dan bertanggung jawab untuk menyetujui dan
mengimplementasikan rencana;
o tindakan yang diusulkan;
o sumber daya yang dibutuhkan, termasuk kemungkinan;
o ukuran kinerja;
o kendala;
o pelaporan dan pemantauan yang diperlukan;
o ketika tindakan diharapkan akan dilakukan dan diselesaikan.
6.6 Monitoring and review / Pemantauan dan peninjauan

 Tujuan pemantauan dan peninjauan adalah untuk memastikan dan meningkatkan kualitas dan
efektivitas desain proses, implementasi dan hasil.
 Pemantauan yang sedang berlangsung dan tinjauan berkala dari proses manajemen risiko dan
hasilnya harus menjadi bagian yang direncanakan dari proses manajemen risiko, dengan
tanggung jawab yang jelas.
 Pemantauan dan peninjauan harus dilakukan di semua tahap proses.
 Pemantauan dan peninjauan mencakup perencanaan, pengumpulan dan analisis informasi,
pencatatan hasil, dan pemberian umpan balik.
 Hasil pemantauan dan tinjauan harus dimasukkan ke seluruh kegiatan manajemen kinerja,
pengukuran dan pelaporan organisasi.
6.7 Recording and reporting / Perekaman dan Pelaporan

 Proses manajemen risiko dan hasilnya harus didokumentasikan dan dilaporkan melalui mekanisme
yang tepat.
 Perekaman dan pelaporan bertujuan untuk:

 mengomunikasikan kegiatan dan hasil manajemen risiko di seluruh organisasi;

 memberikan informasi untuk pengambilan keputusan;
 meningkatkan kegiatan manajemen risiko;
 membantu interaksi dengan para pemangku kepentingan, termasuk mereka yang memiliki
tanggung jawab dan akuntabilitas untuk kegiatan manajemen risiko.
 Keputusan mengenai pembuatan, penyimpanan dan penanganan informasi yang
terdokumentasi harus mempertimbangkan, tetapi tidak terbatas pada: penggunaannya,
kepekaan informasi dan konteks eksternal dan internal.
 Pelaporan adalah bagian integral dari tata kelola organisasi dan harus meningkatkan kualitas
dialog dengan pemangku kepentingan dan mendukung manajemen puncak dan badan
pengawas dalam memenuhi tanggung jawab mereka.
 Faktor-faktor yang perlu dipertimbangkan untuk pelaporan termasuk, tetapi tidak terbatas
pada:

 pemangku kepentingan yang berbeda dan kebutuhan serta persyaratan informasi spesifik
mereka;
 biaya, frekuensi dan ketepatan waktu pelaporan;
 metode pelaporan;
 relevansi informasi dengan tujuan organisasi dan pengambilan keputusan.
 Skema Manajemen Risiko pada ISO 31000:2018

1. Penciptaan dan perlindungan nilai (value creation and protection) ini

dalam elemen Prinsip (Principles).
2. Kepemimpinan dan komitmen (leadership and commitment) ini dalam
elemen Kerangka Kerja (Framework).
3. Pencatatan dan pelaporan (recording and reporting) ini masuk dalam
elemen Process (Process).
Q&A