ISO 31000:2018
INTRODUCTION
SEJARAH ISO
SEJARAH ISO
ISO bukan singkatan, pada awalnya, singkatan dari nama lembaga tersebut adalah
IOS dalam bahasa Inggris (International Organization for Standardization) atau
OIN dalam bahasa Perancis (Organisation internationale de normalisation)
sebelum akhirnya ditetapkan menggunakan nama ISO, diambil dari bahasa
Yunani ISOS yang berarti sama.
Pengembang Standar Internasional terbesar dunia.
Standar Internasional memberi spesifikasi mutakhir untuk produk, jasa, dan praktek
terbaik.
Membantu menjadikan organisasi/industri lebih efisien & efektif.
Standar ini dikembangkan melalui konsensus global.
Standar ini menghilangkan hambatan perdagangan internasional.
Indonesia BSN (Badan Standardisasi Nasional).
SEJARAH ISO
1926 - ISA (International Federation of the National Standardizing Associations)
didirikan di New York.
1944 - UNSCC (United Nations Standards Coordinating Committee) didirikan.
1946 - Delegasi 25 negara di London membangun organisasi baru koordinasi dan kesatuan
internasional di bidang standar industri.
23-02-1947 berdirilah ISO di Geneva, Swiss.
Anggota ISO 165 negara.
Sekarang > 21.000 standar telah terbit & terpopuler ISO seri 9000 dan ISO seri 14000.
Dari keamanan pangan, laboratorium sampai komputer, dan pertanian hingga pemeliharaan
kesehatan, keamanan jalan & lalin
SEJARAH ISO
Terdapat 2 ( Dua ) Standar sistem manajemen ISO yang tidak untuk sertifikasi :
The culture, processes, structures that are directed towards realizing potential
opportunities while managing adverse effects
5. Proses manajemen risiko relatif tidak berubah. Proses “penetapan konteks” diubah namanya menjadi
“lingkup, konteks, dan kriteria”. Proses “pencatatan dan pelaporan” dicantumkan secara eksplisit di
dalam diagram setelah sebelumnya hanya ada pada bagian teks pada versi 2009.
6. ISO 31000:2018 menekankan tujuan manajemen risiko, yaitu menciptakan dan melindungi nilai.
Tujuan itu diwujudkan dengan (1) meningkatkan kinerja, (2) mendorong inovasi, dan (3) mendukung
pencapaian sasaran. Manajemen risiko adalah bagian dari tata kelola (governance) dan harus terintegrasi
di dalam proses organisasi. Penerapan manajemen risiko memerlukan kepemimpinan dan komitmen dari
manajemen puncak, serta keterlibatan aktif dari semua anggota organisasi.
Diagram yang menggambarkan hubungan prinsip, kerangka kerja, dan proses
2009 2018
Prinsip manajemen risiko
2009 2018
Proses manajemen risiko
2009 2018
HAL BARU DALAM ISO 31000:2018
3.5 event/peristiwa
Suatu peristiwa dapat memiliki satu atau lebih kejadian, dan dapat memiliki
beberapa penyebab dan beberapa konsekuensi (3.6).
Suatu peristiwa juga bisa menjadi sesuatu yang diharapkan yang tidak terjadi,
atau sesuatu yang tidak diharapkan yang terjadi.
Suatu peristiwa bisa menjadi sumber risiko.
3.6 consequence/ konsekuensi
hasil dari suatu kejadian (3.5) yang mempengaruhi tujuan
Konsekuensi dapat pasti atau tidak pasti dan dapat memiliki efek langsung atau
tidak langsung positif atau negatif pada tujuan.
Konsekuensi dapat dinyatakan secara kualitatif atau kuantitatif.
Konsekuensi apa pun dapat meningkat melalui efek kaskade dan kumulatif.
3.7 likelihood/ kemungkinan
Kemungkinan sesuatu terjadi
Dalam terminologi manajemen risiko (3.2), kata "kemungkinan" digunakan untuk merujuk
pada peluang sesuatu terjadi, apakah didefinisikan, diukur atau ditentukan secara obyektif
atau subyektif, kualitatif atau kuantitatif, dan dijelaskan menggunakan istilah umum atau
secara matematis (seperti probabilitas atau frekuensi selama periode waktu tertentu).
Istilah bahasa Inggris "kemungkinan" tidak memiliki padanan langsung dalam beberapa
bahasa; alih-alih, ekivalen dari istilah "probabilitas" sering digunakan. Namun, dalam
bahasa Inggris, "probabilitas" sering ditafsirkan secara sempit sebagai istilah matematika.
Oleh karena itu, dalam terminologi manajemen risiko, "kemungkinan" digunakan dengan
maksud bahwa ia harus memiliki interpretasi luas yang sama dengan istilah "probabilitas"
miliki dalam banyak bahasa selain bahasa Inggris.
3.8 control / kontrol
ukuran yang mempertahankan dan / atau memodifikasi risiko (3.1)
o Kontrol mencakup, tetapi tidak terbatas pada, proses, kebijakan, perangkat, praktik, atau
kondisi dan / atau tindakan lain apa pun yang mempertahankan dan / atau memodifikasi
risiko.
o Kontrol mungkin tidak selalu menggunakan efek modifikasi yang dimaksudkan atau
diasumsikan.
4 Principles / Prinsip
Tujuan manajemen risiko adalah penciptaan dan perlindungan nilai. Ini
meningkatkan kinerja, mendorong inovasi dan mendukung pencapaian tujuan
a) Terintegrasi
Manajemen risiko adalah bagian integral dari semua kegiatan organisasi.
c) Disesuaikan
Kerangka kerja dan proses manajemen risiko disesuaikan dan proporsional dengan konteks eksternal dan
internal organisasi terkait dengan tujuannya.
d) Inklusif
Keterlibatan pemangku kepentingan yang tepat dan tepat waktu memungkinkan pengetahuan, pandangan,
dan persepsi mereka dipertimbangkan. Ini menghasilkan peningkatan kesadaran dan manajemen risiko
informasi
e) Dinamis
Risiko dapat muncul, berubah atau menghilang ketika konteks eksternal dan internal organisasi berubah.
Manajemen risiko mengantisipasi, mendeteksi, mengakui dan merespons perubahan dan peristiwa tersebut
secara tepat dan tepat waktu.
h) Peningkatan berkelanjutan
Manajemen risiko terus ditingkatkan melalui pembelajaran dan pengalaman.
5 Framework/ Kerangka Kerja
Tujuan dari kerangka kerja manajemen risiko adalah untuk membantu organisasi dalam
mengintegrasikan manajemen risiko ke dalam kegiatan dan fungsi yang signifikan.
Efektivitas manajemen risiko akan tergantung pada integrasinya ke dalam tata kelola
organisasi, termasuk pengambilan keputusan.
Membutuhkan dukungan dari para pemangku kepentingan, terutama manajemen puncak.
Pengembangan kerangka kerja mencakup pengintegrasian, desain, implementasi, evaluasi,
dan peningkatan manajemen risiko di seluruh organisasi.
Gambar 3 mengilustrasikan komponen kerangka kerja.
Organisasi harus mengevaluasi praktik dan proses manajemen risiko yang ada, mengevaluasi setiap
kesenjangan dan mengatasi kesenjangan tersebut dalam kerangka kerja.
Manajemen puncak dan badan pengawas, jika ada, harus memastikan bahwa manajemen risiko
terintegrasi ke dalam semua kegiatan organisasi dan harus menunjukkan kepemimpinan dan komitmen
dengan:
Ketika merancang kerangka kerja untuk mengelola risiko, organisasi harus memeriksa dan memahami
konteks eksternal dan internalnya.
Meneliti konteks eksternal organisasi dapat mencakup, tetapi tidak terbatas pada:
faktor sosial, budaya, politik, hukum, peraturan, keuangan, teknologi, ekonomi dan lingkungan,
baik internasional, nasional, regional atau lokal;
pendorong dan tren utama yang mempengaruhi tujuan organisasi;
hubungan, persepsi, nilai, kebutuhan, dan harapan pemangku kepentingan eksternal;
hubungan dan komitmen kontraktual;
kompleksitas jaringan dan ketergantungan.
Meneliti konteks internal organisasi dapat mencakup, tetapi tidak terbatas pada:
tujuan organisasi untuk mengelola risiko dan tautan ke tujuan dan kebijakan lainnya;
memperkuat kebutuhan untuk mengintegrasikan manajemen risiko ke dalam budaya organisasi secara
keseluruhan;
memimpin integrasi manajemen risiko ke dalam kegiatan bisnis inti dan pengambilan keputusan;
otoritas, tanggung jawab dan akuntabilitas;
menyediakan sumber daya yang diperlukan;
cara di mana tujuan yang saling bertentangan ditangani;
pengukuran dan pelaporan dalam indikator kinerja organisasi;
review dan peningkatan.
Komitmen manajemen risiko harus dikomunikasikan dalam suatu organisasi dan kepada para pemangku
kepentingan, yang sesuai.
5.4.3 Assigning organizational roles, authorities, responsibilities and
accountabilities / Menugaskan peran, wewenang, tanggung jawab, dan
akuntabilitas organisasi
Manajemen puncak dan badan pengawas, jika ada, harus memastikan bahwa otoritas, tanggung
jawab, dan akuntabilitas untuk peran yang relevan sehubungan dengan manajemen risiko
ditugaskan dan dikomunikasikan di semua tingkatan organisasi, dan harus:
Manajemen puncak dan badan pengawas, jika ada, harus memastikan alokasi sumber daya
yang tepat untuk manajemen risiko, yang dapat mencakup, tetapi tidak terbatas pada:
Organisasi harus mempertimbangkan kemampuan, dan kendala pada, sumber daya yang ada.
5.4.5 Establishing communication and consultation / Membangun komunikasi dan konsultasi
Organisasi harus menetapkan pendekatan yang disetujui untuk komunikasi dan konsultasi
untuk mendukung kerangka kerja dan memfasilitasi penerapan manajemen risiko yang
efektif.
Komunikasi melibatkan berbagi informasi dengan audiens yang ditargetkan. Konsultasi
juga melibatkan peserta yang memberikan umpan balik dengan harapan bahwa hal itu akan
berkontribusi dan membentuk keputusan atau kegiatan lainnya.
Metode dan konten komunikasi dan konsultasi harus mencerminkan harapan para
pemangku kepentingan, jika relevan.
Komunikasi dan konsultasi harus tepat waktu dan memastikan bahwa informasi yang
relevan dikumpulkan, disusun, disintesis, dan dibagikan, jika perlu, dan bahwa umpan balik
diberikan dan perbaikan dilakukan.
5.5 Implementation / Implementasi
Organisasi harus menerapkan kerangka kerja manajemen risiko dengan:
Keberhasilan implementasi kerangka kerja membutuhkan keterlibatan dan kesadaran para pemangku
kepentingan. Hal ini memungkinkan organisasi untuk secara eksplisit mengatasi ketidakpastian dalam
pengambilan keputusan, sambil juga memastikan bahwa setiap ketidakpastian baru atau selanjutnya
dapat diperhitungkan ketika hal itu muncul. Dirancang dan diimplementasikan dengan benar, kerangka
kerja manajemen risiko akan memastikan bahwa proses manajemen risiko adalah bagian dari semua
kegiatan di seluruh organisasi, termasuk pengambilan keputusan, dan bahwa perubahan dalam konteks
eksternal dan internal akan ditangkap secara memadai.
5.6 Evaluation / Evaluasi
secara berkala mengukur kinerja kerangka manajemen risiko terhadap tujuannya, rencana
implementasi, indikator dan perilaku yang diharapkan;
menentukan apakah tetap cocok untuk mendukung pencapaian tujuan organisasi.
Organisasi harus terus memantau dan mengadaptasi kerangka kerja manajemen risiko untuk
mengatasi perubahan eksternal dan internal. Dengan demikian, organisasi dapat meningkatkan
nilainya.
5.7.2 Continually improving / Terus Meningkatkan
Organisasi harus terus meningkatkan kesesuaian, kecukupan, dan efektivitas kerangka kerja
manajemen risiko dan cara proses manajemen risiko terintegrasi.
Ketika celah yang relevan atau peluang peningkatan diidentifikasi, organisasi harus
mengembangkan rencana dan tugas dan menugaskan mereka yang bertanggung jawab untuk
implementasi.
Setelah diimplementasikan, perbaikan ini harus berkontribusi pada peningkatan manajemen
risiko
6 Process / Proses
Mungkin ada banyak aplikasi dari proses manajemen risiko dalam suatu organisasi,
disesuaikan untuk mencapai tujuan dan agar sesuai dengan konteks eksternal dan internal di
mana mereka diterapkan.
Sifat dinamis dan variabel perilaku dan budaya manusia harus dipertimbangkan selama proses
manajemen risiko.
Meskipun proses manajemen risiko sering disajikan secara berurutan, dalam praktiknya ini
berulang.
6.2 Communication and consultation / Komunikasi dan Konsultasi
Tujuan dari komunikasi dan konsultasi adalah untuk membantu para pemangku kepentingan yang relevan
dalam memahami risiko, dasar pengambilan keputusan dan alasan mengapa tindakan tertentu diperlukan.
Komunikasi berupaya untuk meningkatkan kesadaran dan pemahaman tentang risiko, sedangkan konsultasi
melibatkan memperoleh umpan balik dan informasi untuk mendukung pengambilan keputusan.
Koordinasi erat antara keduanya harus memfasilitasi pertukaran informasi yang faktual, tepat waktu, relevan,
akurat, dan dapat dipahami, dengan mempertimbangkan kerahasiaan dan integritas informasi serta hak
privasi masing-masing individu.
Komunikasi dan konsultasi dengan pemangku kepentingan eksternal dan internal yang sesuai harus
dilakukan di dalam dan di seluruh langkah proses manajemen risiko.
Komunikasi dan konsultasi bertujuan untuk:
menyatukan bidang keahlian yang berbeda untuk setiap langkah proses manajemen risiko;
memastikan bahwa pandangan yang berbeda dipertimbangkan dengan tepat ketika mendefinisikan kriteria
risiko dan ketika mengevaluasi risiko;
memberikan informasi yang memadai untuk memfasilitasi pengawasan risiko dan pengambilan keputusan;
membangun rasa inklusif dan kepemilikan di antara mereka yang terkena dampak risiko
6.3 Scope, context and criteria / Lingkup, konteks dan kriteria
Tujuan membangun ruang lingkup, konteks dan kriteria adalah untuk menyesuaikan proses
manajemen risiko, memungkinkan penilaian risiko yang efektif dan perlakuan risiko yang tepat.
Lingkup, konteks dan kriteria melibatkan mendefinisikan ruang lingkup proses, dan memahami
konteks eksternal dan internal.
6.3.2 Defining the scope / Menentukan ruang lingkup
Konteks eksternal dan internal adalah lingkungan di mana organisasi berusaha untuk
mendefinisikan dan mencapai tujuannya.
Konteks proses manajemen risiko harus dibangun dari pemahaman lingkungan eksternal dan
internal di mana organisasi beroperasi dan harus mencerminkan spesifik
lingkungan aktivitas tempat proses manajemen risiko diterapkan.
Memahami konteks itu penting karena:
Organisasi harus menetapkan konteks eksternal dan internal dari proses manajemen risiko dengan
mempertimbangkan faktor-faktor yang disebutkan dalam 5.4.1.
6.3.4 Defining risk criteria / Menentukan kriteria risiko
Organisasi harus menentukan jumlah dan jenis risiko yang mungkin atau mungkin tidak diambilnya,
relatif terhadap sasaran.
Ini juga harus mendefinisikan kriteria untuk mengevaluasi signifikansi risiko dan untuk mendukung
proses pengambilan keputusan.
Kriteria risiko harus diselaraskan dengan kerangka kerja manajemen risiko dan disesuaikan dengan
tujuan spesifik dan ruang lingkup kegiatan yang sedang dipertimbangkan.
Kriteria risiko harus mencerminkan nilai-nilai, tujuan dan sumber daya organisasi dan konsisten dengan
kebijakan dan pernyataan tentang manajemen risiko.
Kriteria harus didefinisikan dengan mempertimbangkan kewajiban organisasi dan pandangan para
pemangku kepentingan.
Sementara kriteria risiko harus ditetapkan pada awal proses penilaian risiko, mereka dinamis dan harus
terus ditinjau dan diamandemen, jika perlu.
Untuk menetapkan kriteria risiko, berikut ini harus dipertimbangkan:
o sifat dan jenis ketidakpastian yang dapat mempengaruhi hasil dan tujuan (baik
berwujud maupun tidak berwujud);
o bagaimana konsekuensi (baik positif maupun negatif) dan kemungkinan akan
ditentukan dan diukur;
o faktor terkait waktu;
o konsistensi dalam penggunaan pengukuran;
o bagaimana tingkat risiko ditentukan;
o bagaimana kombinasi dan urutan berbagai risiko akan diperhitungkan;
o kapasitas organisasi.
6.4 Risk assessment / Penilaian Risiko
Penilaian risiko adalah keseluruhan proses identifikasi risiko, analisis risiko dan evaluasi
risiko.
Penilaian risiko harus dilakukan secara sistematis, iteratif, dan kolaboratif, dengan
memanfaatkan pengetahuan dan pandangan para pemangku kepentingan.
Harus menggunakan informasi terbaik yang tersedia, ditambah dengan penyelidikan lebih
lanjut sebagaimana diperlukan.
6.4.2 Risk identification / Identifikasi Risiko
Tujuan dari identifikasi risiko adalah untuk menemukan, mengenali dan menggambarkan risiko yang
dapat membantu atau mencegah suatu organisasi mencapai tujuannya.
Informasi yang relevan, tepat, dan terkini penting dalam mengidentifikasi risiko. Organisasi dapat
menggunakan berbagai teknik untuk mengidentifikasi ketidakpastian yang dapat memengaruhi satu
atau lebih tujuan.
Faktor-faktor berikut, dan hubungan antara faktor-faktor ini, harus dipertimbangkan:
Keputusan harus mempertimbangkan konteks yang lebih luas dan konsekuensi aktual dan yang
dirasakan oleh pemangku kepentingan eksternal dan internal.
Hasil evaluasi risiko harus dicatat, dikomunikasikan dan kemudian divalidasi pada tingkat organisasi
yang sesuai.
6.5 Risk treatment / Perlakuan Risiko
Tujuan dari perawatan risiko adalah untuk memilih dan menerapkan opsi untuk
mengatasi risiko.
Perlakuan risiko melibatkan proses berulang dari:
menghindari risiko dengan memutuskan untuk tidak memulai atau melanjutkan kegiatan yang
menimbulkan risiko;
mengambil atau meningkatkan risiko untuk mengejar peluang;
menghapus sumber risiko;
mengubah kemungkinan;
mengubah konsekuensinya;
berbagi risiko (mis. Melalui kontrak, membeli asuransi);
mempertahankan risiko dengan keputusan berdasarkan informasi.
Justifikasi untuk perlakuan risiko lebih luas daripada pertimbangan ekonomi semata dan harus
memperhitungkan semua kewajiban organisasi, komitmen sukarela, dan pandangan pemangku
kepentingan.
Pemilihan opsi perlakuan risiko harus dibuat sesuai dengan tujuan organisasi, kriteria risiko dan
sumber daya yang tersedia.
Ketika memilih opsi perlakuan risiko, organisasi harus mempertimbangkan nilai-nilai, persepsi dan
potensi keterlibatan para pemangku kepentingan dan cara-cara yang paling tepat untuk berkomunikasi
dan berkonsultasi dengan mereka.
Meskipun sama-sama efektif, beberapa perlakuan risiko dapat lebih diterima oleh beberapa pemangku
kepentingan daripada yang lain.
Perlakuan risiko, bahkan jika dirancang dan diimplementasikan dengan hati-hati mungkin tidak
menghasilkan hasil yang diharapkan dan dapat menghasilkan konsekuensi yang tidak diinginkan.
Pemantauan dan peninjauan perlu menjadi bagian integral dari pelaksanaan perlakuan risiko untuk
memberikan jaminan bahwa berbagai bentuk perlakuan menjadi dan tetap efektif.
Perlakuan risiko juga dapat menimbulkan risiko baru yang perlu dikelola.
Jika tidak ada pilihan perlakuan yang tersedia atau jika opsi perlakuan tidak cukup
memodifikasi risiko, risiko harus dicatat dan disimpan di bawah tinjauan yang sedang
berlangsung.
Pembuat keputusan dan pemangku kepentingan lainnya harus menyadari sifat dan tingkat
risiko yang tersisa setelah perlakuan risiko.
Risiko yang tersisa harus didokumentasikan dan dikenakan pemantauan, peninjauan dan, jika
sesuai, perlakuan lebih lanjut.
6.5.3 Preparing and implementing risk treatment plans/ Mempersiapkan
dan mengimplementasikan rencana perlakuan risiko
Tujuan dari rencana perlakuan risiko adalah untuk menentukan bagaimana opsi perlakuan yang
dipilih akan diimplementasikan, sehingga pengaturan dipahami oleh mereka yang terlibat, dan
kemajuan terhadap rencana dapat dipantau.
Rencana perlakuan harus secara jelas mengidentifikasi urutan perlakuan risiko yang harus
dilaksanakan.
Rencana perlakuan harus diintegrasikan ke dalam rencana manajemen dan proses organisasi,
dengan berkonsultasi dengan pemangku kepentingan yang tepat.
Informasi yang disediakan dalam rencana perlakuan harus mencakup:
o dasar pemikiran untuk pemilihan opsi perlakuan, termasuk manfaat yang diharapkan untuk
diperoleh;
o mereka yang bertanggung jawab dan bertanggung jawab untuk menyetujui dan
mengimplementasikan rencana;
o tindakan yang diusulkan;
o sumber daya yang dibutuhkan, termasuk kemungkinan;
o ukuran kinerja;
o kendala;
o pelaporan dan pemantauan yang diperlukan;
o ketika tindakan diharapkan akan dilakukan dan diselesaikan.
6.6 Monitoring and review / Pemantauan dan peninjauan
Tujuan pemantauan dan peninjauan adalah untuk memastikan dan meningkatkan kualitas dan
efektivitas desain proses, implementasi dan hasil.
Pemantauan yang sedang berlangsung dan tinjauan berkala dari proses manajemen risiko dan
hasilnya harus menjadi bagian yang direncanakan dari proses manajemen risiko, dengan
tanggung jawab yang jelas.
Pemantauan dan peninjauan harus dilakukan di semua tahap proses.
Pemantauan dan peninjauan mencakup perencanaan, pengumpulan dan analisis informasi,
pencatatan hasil, dan pemberian umpan balik.
Hasil pemantauan dan tinjauan harus dimasukkan ke seluruh kegiatan manajemen kinerja,
pengukuran dan pelaporan organisasi.
6.7 Recording and reporting / Perekaman dan Pelaporan
Proses manajemen risiko dan hasilnya harus didokumentasikan dan dilaporkan melalui mekanisme
yang tepat.
Perekaman dan pelaporan bertujuan untuk:
pemangku kepentingan yang berbeda dan kebutuhan serta persyaratan informasi spesifik
mereka;
biaya, frekuensi dan ketepatan waktu pelaporan;
metode pelaporan;
relevansi informasi dengan tujuan organisasi dan pengambilan keputusan.
Skema Manajemen Risiko pada ISO 31000:2018