RISK MANAGEMENT

ISO 31000:2018
INTRODUCTION
SEJARAH ISO
 SEJARAH ISO
 ISO bukan singkatan, pada awalnya, singkatan dari nama lembaga tersebut adalah
IOS dalam bahasa Inggris (International Organization for Standardization) atau
OIN dalam bahasa Perancis (Organisation internationale de normalisation)
sebelum akhirnya ditetapkan menggunakan nama ISO, diambil dari bahasa
Yunani ISOS yang berarti sama.
 Pengembang Standar Internasional terbesar dunia.
 Standar Internasional memberi spesifikasi mutakhir untuk produk, jasa, dan praktek
terbaik.
 Membantu menjadikan organisasi/industri lebih efisien & efektif.
 Standar ini dikembangkan melalui konsensus global.
 Standar ini menghilangkan hambatan perdagangan internasional.
 Indonesia BSN (Badan Standardisasi Nasional).
 SEJARAH ISO
 1926 - ISA (International Federation of the National Standardizing Associations)
didirikan di New York.
 1944 - UNSCC (United Nations Standards Coordinating Committee) didirikan.
 1946 - Delegasi 25 negara di London membangun organisasi baru koordinasi dan kesatuan
internasional di bidang standar industri.
 23-02-1947 berdirilah ISO di Geneva, Swiss.
 Anggota ISO 165 negara.
 Sekarang > 21.000 standar telah terbit & terpopuler ISO seri 9000 dan ISO seri 14000.
 Dari keamanan pangan, laboratorium sampai komputer, dan pertanian hingga pemeliharaan
kesehatan, keamanan jalan & lalin
PENERAPAN ISO DI ASEAN
 SEJARAH ISO 31000

1. 1995- Australia dan Selandia Baru menerbitkan standar manajemen

risiko yang pertama kali di dunia.
2. 1997- Kanada juga menerbitkan standar manajemen risiko.
3. 2001- Jepang menyusul menerbitkan standar manajemen risiko.
4. 2002- Beberapa asosiasi profesi manajemen risiko di Inggris
menerbitkan panduan manajemen risiko (AIRMIC, IRM, ALARM).
 SEJARAH ISO 31000
5. 2004- COSO menerbitkan Panduan mengenai Integrated Risk
Management Framework, terbit di Amerika Serikat.
6. 2009- ISO menerbitkan Standar Internasional ISO 31000:2009 Risk
Management – Principles and Guidelines.
7. 2017- COSO menerbitkan revisi panduan mengenai manajemen
risiko dengan judul Enterprise Risk Management – Integrating With
Strategy and Performance.
8. 2018- Revisi Standar ISO 31000 yang pertama sejak diterbitkan
tahun 2009 menjadi ISO 31000:2018.
 ISO 31000:2018
Dokumen ISO 31000:2018 digunakan oleh organisasi untuk menciptakan dan melindungi
nilai organisasi dengan cara pengelolaan risiko dalam setiap perencanaan dan pengambilan
keputusan untuk pencapaian sasaran dan tujuan organisasi serta mendukung perbaikan
terhadap kinerja organisasi.

Pengelolaan risiko dalam organisasi adalah:

1. Kegiatan berulang dan rutin dilakukan untuk membantu organisasi dalam
merencanakan strategi (baik jangka panjang maupun jangka pendek), mencapai sasaran
dan tujuan organisasi serta memberikan informasi dalam pengambilan keputusan.
2. Bagian dari tata kelola dan kepemimpinan dan sangat penting bagaimana organisasi
memastikan pengelolaanya di setiap level dalam organisasi.
3. Bagian dari proses perbaikan dari sistem manajemen organisasi yang sudah ada.
4. Sebagian dari keseluruhan aktifitas yang berkaitan dengan organisasi termasuk
didalamnya berinteraksi dengan pemangku kepentingan.
 CONTOH PERISTIWA RISIKO DI DUNIA
YANG TELAH TERJADI
http://simakpro.widyamataram.ac.id/files/Kasus%20ENRON%20dan%20KA
1. ENRON CASE P%20Arthur%20Andersen.pdf

Enron adalah sebuah perusahaan energi Amerika yang berbasis di Houston, Texas, Amerika Serikat.
Perusahaan ini didirikan pada tahun 1930 sebagai Northern Natural Gas.
Enron Corporation adalah sebuah perusahaan energi Amerika yang berbasis di Houston, Texas, Amerika
Serikat. Sebelum bangkrutnya pada akhir 2001, Enron sebelum tahun 2001 mempekerjakan sekitar 21.000
orang pegawai dan merupakan salah satu Perusahaan terkemuka di dunia dalam bidang listrik, gas alam,
bubur kertas dan kertas, serta komunikasi.Enron mengaku penghasilannya pada tahun 2000 berjumlah
$101 milyar.
Fortune menamakan Enron "Perusahaan Amerika yang Paling Inovatif" selama enam tahun berturut-
turut. Enron menjadi sorotan masyarakat luas pada akhir 2001, ketika terungkapkan bahwa kondisi
keuangan yang dilaporkannya didukung terutama oleh penipuan akuntansi yang sistematis, terlembaga,
dan direncanakan secara kreatif. Operasinya di Eropa melaporkan kebangkrutannya pada 30 November
2001, dan dua hari kemudian, pada 2 Desember, di AS Enron mengajukan permohonan perlindungan
Chapter 11. Saat itu, kasus itu merupakan kebangkrutan terbesar dalam sejarah AS dan menyebabkan
4.000 pegawai kehilangan pekerjaan mereka.
 CONTOH PERISTIWA RISIKO DI DUNIA
YANG TELAH TERJADI
2. VOLKSWAGEN CASE – “Dieselgate emission”
https://www.cnnindonesia.com/teknologi/20180614143522-384-306074/volkswagen-didenda-rp167-triliun-a
tas-kasus-dieselgate?
 CONTOH PERISTIWA RISIKO DI DUNIA
YANG TELAH TERJADI
2. VOLKSWAGEN CASE – “Dieselgate emission”
 CONTOH PERISTIWA RISIKO DI DUNIA
YANG TELAH TERJADI
3. TAKATA CASE https://oto.detik.com/mobil/d-2921429/kronologi-penarikan-34-juta-mobil-gara-g
ara-airbag-takata
 CONTOH PERISTIWA RISIKO DI DUNIA
YANG TELAH TERJADI
3. TAKATA CASE https://oto.detik.com/mobil/d-2921429/kronologi-penarikan-34-juta-mobil-gara-g
ara-airbag-takata
 CONTOH PERISTIWA RISIKO DI DUNIA
YANG TELAH TERJADI
3. TAKATA CASE https://oto.detik.com/mobil/d-2921429/kronologi-penarikan-34-juta-mobil-gara-g
ara-airbag-takata
 DEFINISI RISIKO - ISO 31000:2018
“effect of uncertainty on objectives”
(pengaruh ketidakpastian pada tujuan)
 An effect is a deviation from the expected. It can be positive, negative or both, and
can address, create or result in opportunities and threats. (Efeknya adalah
penyimpangan dari yang diharapkan. Ini bisa positif, negatif atau keduanya, dan
dapat mengatasi, menciptakan, atau menghasilkan peluang dan ancaman)
 Objectives can have different aspects and categories, and can be applied at
different levels.(Tujuan dapat memiliki aspek dan kategori yang berbeda, dan dapat
diterapkan pada tingkat yang berbeda.)
 Risk is usually expressed in terms of risk sources, potential events, their
consequences and their likelihood.(Risiko biasanya dinyatakan dalam sumber risiko,
peristiwa potensial, konsekuensi dan kemungkinannya).
 DEFINISI MANAJEMEN RISIKO
Definisi Manajemen Risiko menurut AS/NZS 4360: 2004 :

The culture, processes, structures that are directed towards realizing potential
opportunities while managing adverse effects /Budaya, proses, struktur yang diarahkan
untuk mewujudkan peluang potensial sambil mengelola efek yang merugikan

Definisi Manajemen Risiko menurut Enterprise Risk Management – COSO:

A process , effected by an entity’s board of directors, management and other personnel, applied in strategy-
setting and across enterprise, designed to identify potential events that may affect the entity, and manage risk
to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives
(COSO) - Suatu proses, yang dilakukan oleh dewan direksi, manajemen, dan personel yang lain, yang
diterapkan dalam penetapan strategi dan lintas perusahaan, yang dirancang untuk mengidentifikasi
peristiwa potensial yang dapat memengaruhi entitas, dan mengelola risiko agar sesuai dengan selera risiko,
untuk memberikan jaminan yang wajar mengenai pencapaian tujuan entitas (COSO )
 DEFINISI MANAJEMEN RISIKO

Definisi Manajemen Risiko menurut ISO 31000:2018:

coordinated activities to direct and control an organization with regard to risk -

kegiatan terkoordinasi untuk mengarahkan dan mengendalikan organisasi terkait
dengan risiko
ISO 31000:2018 VS ANNEX SL
ISO 31000:2018 VS ANNEX SL
ISO 31000:2018 VS ANNEX SL
ISO 31000:2018 VS ANNEX SL
 ISO 31000:2009 VS ISO 31000:2018
1. Secara umum, ISO 31000:2018 menyederhanakan versi 2009. Hal itu langsung terlihat antara lain dari
nama yang berubah dari “principles and guidelines” menjadi hanya “guidelines” serta dari jumlah halaman
yang menyusut dari 24 halaman menjadi 16 halaman.
2. Diagram yang menggambarkan hubungan prinsip, kerangka kerja, dan proses manajemen proses pun
berubah. Pada versi 2009, prinsip, kerangka kerja, dan proses digambarkan sebagai rangkaian unsur yang
berurutan, sedangkan pada versi 2018 ketiga bagian ini digambarkan sebagai sistem terbuka yang saling
berkaitan.
3. Prinsip manajemen risiko berubah dari 11 prinsip pada versi 2009 menjadi 1 tujuan (purpose) dan 8 prinsip
pada versi 2018. Satu prinsip, yaitu “penciptaan dan pelindungan nilai”, diubah menjadi tujuan manajemen
risiko. Dua prinsip, yaitu “bagian pengambilan keputusan” dan “secara eksplisit menangani
ketidakpastian”, dihapus.
4. Kerangka manajemen risiko berubah dari 5 komponen pada versi 2009 menjadi 6 komponen pada versi
2018. Komponen “mandat dan komitmen” diubah menjadi “kepemimpinan dan komitmen” dan
dipindahkan letaknya menjadi di pusat komponen lainnya. Komponen “integrasi” ditambahkan sebagai
komponen yang mengawali komponen lain. Empat komponen lain disederhanakan pernyataannya menjadi
(1) perancangan, (2) implementasi, (3) evaluasi, dan (4) perbaikan.
 ISO 31000:2009 VS ISO 31000:2018

5. Proses manajemen risiko relatif tidak berubah. Proses “penetapan konteks” diubah namanya menjadi
“lingkup, konteks, dan kriteria”. Proses “pencatatan dan pelaporan” dicantumkan secara eksplisit di
dalam diagram setelah sebelumnya hanya ada pada bagian teks pada versi 2009.

6. ISO 31000:2018 menekankan tujuan manajemen risiko, yaitu menciptakan dan melindungi nilai.
Tujuan itu diwujudkan dengan (1) meningkatkan kinerja, (2) mendorong inovasi, dan (3) mendukung
pencapaian sasaran. Manajemen risiko adalah bagian dari tata kelola (governance) dan harus terintegrasi
di dalam proses organisasi. Penerapan manajemen risiko memerlukan kepemimpinan dan komitmen dari
manajemen puncak, serta keterlibatan aktif dari semua anggota organisasi.
Diagram yang menggambarkan hubungan prinsip, kerangka kerja, dan proses

2009 2018
 Prinsip manajemen risiko

2009 2018
 Proses manajemen risiko

2009 2018
 HAL BARU DALAM ISO 31000:2018

1. Tujuan dari pengelolaan risiko adalah penciptaan nilai dan

perlindungan nilai.

Dapat dicapai dengan mengelola risiko dalam proses pengambilan keputusan,

proses penetapan dan kegiatan pencapaian sasaran, serta perbaikan kinerja.
Pengelolaan risiko merupakan bagian terpadu dari seluruh kegiatan dan proses
organisasi. Proses ini dikenal sebagai proses integrase, yang nanti disebut
sebagai risk based strategic planning, risk based budgeting, risk based internal
audit, risk based performance measurement, dan lain-lain.
 HAL BARU DALAM ISO 31000:2018

2. Pengelolaan risiko adalah bagian tak terpisahkan dari kepemimpinan dan

tata kelola organisasi.

Menjadi landasan pengelolaan aktifitas organisasi di seluruh tingkatan, termasuk interaksi

dengan pihak-pihak yang berkepentingan dengan organisasi pada masing-masing tingkat,
menjelaskan peran dan tanggungjawab masing-masing posisi dalam pengelolaan dan
pengawasan risiko dan pembentukan unit-unit kerja dalam struktur organisasi. Dan
selanjutnya proses ini dikenal dengan istilah dari governance, risk management and
compliance (GRC).
 HAL BARU DALAM ISO 31000:2018
3. Pengelolaan risiko harus mempertimbangkan konteks penerapannya, yaitu
konteks eksternal dan internal organisasi.
Penerapan manajemen risiko harus disesuaikan secara khas dan spesifik bagi
setiap organisasi ataupun penggunanya.
Penerapan manajemen risiko harus mempertimbangkan para pemangku
kepentingan eksternal dan situasi eksternal organisasi, juga mempertimbangkan
struktur tata kelola internal organisasi, kapabilitas organisasi ( teknologi,
kompetensi, keuangan, manusia, dll) sebelum menerapkan dengan baik.
 HAL BARU DALAM ISO 31000:2018

4. Pengelolaan risiko harus mempertimbangkan faktor perilaku manusia

dan budaya.

Proses penerapan manajemen risiko dipengaruhi oleh pemahaman perilaku,

kompetensi, persepsi terhadap risiko dan juga penerimaan budaya mengenai risiko.
Pembinaan budaya sadar risiko harus dilaksanakan sejalan dengan dengan
penerapan manajemen risiko.
PRINSIP PENGELOLAAN RISIKO
 FRAMEWORK PENGELOLAAN RISIKO
Risk Management
Memastikan Peningkatan terintegrasi pada sistem
Berkelanjutan Risk manajemen, strategi, objektif
Management secara Efektif dan operasional organisasi.

Dalam Merancang Risk Manajemen :

1. Pertimbangkan Konteks Organisasi
internal & Eksternal.
2. Top Manajemen mendomenstrasikan
komitmennya dengan pernyataan.
3. Penugasan Peran, tanggung jawab dan
wewenang.
4. Alokasi Sumber daya.
5. Menetapkan Komunikasi dan Konsultasi
Metodologi.
Mengukur pencapaian kinerja
terhadap perencanaan,
penerapan dan efektivitas
Menerapkan risk
management dengan efektif
Top Management dan Badan Pengawas
harus memastikan Risk Management
Terintegrasi dan mendemonstrasikan
Komitmennya pada penerapan framework
PROSES PENGELOLAAN RISIKO
ACTION PLAN – FUTURE OPPORTUNITY FOR RISK TREATMENT
RISK OWNER
Risk management —
Guidelines
2018-02-15
1. SCOPE / RUANG LINGKUP
Dokumen ini memberikan panduan untuk mengelola risiko yang
dihadapi oleh organisasi. Penerapan pedoman ini dapat disesuaikan
untuk organisasi apa pun dan konteksnya.
Dokumen ini memberikan pendekatan umum untuk mengelola segala
jenis risiko dan bukan untuk industri atau sector tertentu.
Dokumen ini dapat digunakan sepanjang kehidupan organisasi dan
dapat diterapkan untuk aktivitas apa pun, termasuk pengambilan
keputusan di semua tingkatan.
2. Normative references/ Referensi Normatif

Tidak ada referensi normatif dalam dokumen ini.

3. Terms and definitions/Istilah dan definisi

Untuk keperluan dokumen ini, istilah dan definisi berikut berlaku.

ISO dan IEC memelihara basis data terminologis untuk digunakan dalam standardisasi
di alamat berikut:
- Platform penelusuran ISO Online: tersedia di http://www.iso.org/obp
- IEC Electropedia: tersedia di http://www.electropedia.org
3.1 risk/risiko
pengaruh ketidakpastian pada tujuan

3.2 risk management/manajemen risiko

kegiatan terkoordinasi untuk mengarahkan dan mengendalikan organisasi
terkait dengan risiko (3.1)

3.3 stakeholder/pemangku kepentingan

orang atau organisasi yang dapat mempengaruhi, dipengaruhi oleh, atau
menganggap diri mereka dipengaruhi oleh keputusan atau kegiatan

Istilah "pihak yang berkepentingan" dapat digunakan sebagai alternatif untuk

"pemangku kepentingan".
3.4 risk source / sumber risiko
elemen yang sendirian atau dalam kombinasi memiliki potensi untuk
menimbulkan risiko (3.1)

3.5 event/peristiwa

terjadinya atau perubahan serangkaian keadaan tertentu.

 Suatu peristiwa dapat memiliki satu atau lebih kejadian, dan dapat memiliki
beberapa penyebab dan beberapa konsekuensi (3.6).
 Suatu peristiwa juga bisa menjadi sesuatu yang diharapkan yang tidak terjadi,
atau sesuatu yang tidak diharapkan yang terjadi.
 Suatu peristiwa bisa menjadi sumber risiko.
3.6 consequence/ konsekuensi
hasil dari suatu kejadian (3.5) yang mempengaruhi tujuan

 Konsekuensi dapat pasti atau tidak pasti dan dapat memiliki efek langsung atau
tidak langsung positif atau negatif pada tujuan.
 Konsekuensi dapat dinyatakan secara kualitatif atau kuantitatif.
 Konsekuensi apa pun dapat meningkat melalui efek kaskade dan kumulatif.
3.7 likelihood/ kemungkinan
Kemungkinan sesuatu terjadi

 Dalam terminologi manajemen risiko (3.2), kata "kemungkinan" digunakan untuk merujuk
pada peluang sesuatu terjadi, apakah didefinisikan, diukur atau ditentukan secara obyektif
atau subyektif, kualitatif atau kuantitatif, dan dijelaskan menggunakan istilah umum atau
secara matematis (seperti probabilitas atau frekuensi selama periode waktu tertentu).

 Istilah bahasa Inggris "kemungkinan" tidak memiliki padanan langsung dalam beberapa
bahasa; alih-alih, ekivalen dari istilah "probabilitas" sering digunakan. Namun, dalam
bahasa Inggris, "probabilitas" sering ditafsirkan secara sempit sebagai istilah matematika.
Oleh karena itu, dalam terminologi manajemen risiko, "kemungkinan" digunakan dengan
maksud bahwa ia harus memiliki interpretasi luas yang sama dengan istilah "probabilitas"
miliki dalam banyak bahasa selain bahasa Inggris.
3.8 control / kontrol
ukuran yang mempertahankan dan / atau memodifikasi risiko (3.1)

o Kontrol mencakup, tetapi tidak terbatas pada, proses, kebijakan, perangkat, praktik, atau
kondisi dan / atau tindakan lain apa pun yang mempertahankan dan / atau memodifikasi
risiko.
o Kontrol mungkin tidak selalu menggunakan efek modifikasi yang dimaksudkan atau
diasumsikan.
4 Principles / Prinsip
Tujuan manajemen risiko adalah penciptaan dan perlindungan nilai. Ini
meningkatkan kinerja, mendorong inovasi dan mendukung pencapaian tujuan

Prinsip-prinsip yang diuraikan dalam Gambar 2 memberikan panduan tentang

karakteristik manajemen risiko yang efektif dan efisien, mengkomunikasikan
nilainya dan menjelaskan maksud dan tujuannya. Prinsip-prinsip tersebut
adalah dasar untuk mengelola risiko dan harus dipertimbangkan ketika
menetapkan kerangka kerja dan proses manajemen risiko organisasi. Prinsip-
prinsip ini harus memungkinkan organisasi untuk mengelola dampak
ketidakpastian pada tujuannya.
Prinsip Manajemen risiko :

a) Terintegrasi
Manajemen risiko adalah bagian integral dari semua kegiatan organisasi.

b) Terstruktur dan komprehensif

Pendekatan terstruktur dan komprehensif untuk manajemen risiko berkontribusi pada hasil yang konsisten dan dapat
dibandingkan.

c) Disesuaikan
Kerangka kerja dan proses manajemen risiko disesuaikan dan proporsional dengan konteks eksternal dan
internal organisasi terkait dengan tujuannya.

d) Inklusif
Keterlibatan pemangku kepentingan yang tepat dan tepat waktu memungkinkan pengetahuan, pandangan,
dan persepsi mereka dipertimbangkan. Ini menghasilkan peningkatan kesadaran dan manajemen risiko
informasi
e) Dinamis

Risiko dapat muncul, berubah atau menghilang ketika konteks eksternal dan internal organisasi berubah.
Manajemen risiko mengantisipasi, mendeteksi, mengakui dan merespons perubahan dan peristiwa tersebut
secara tepat dan tepat waktu.

f) Informasi terbaik yang tersedia

Input untuk manajemen risiko didasarkan pada informasi historis dan saat ini, serta harapan masa depan.
Manajemen risiko secara eksplisit memperhitungkan segala batasan dan ketidakpastian yang terkait
dengan informasi dan harapan tersebut. Informasi harus tepat waktu, jelas, dan tersedia untuk pemangku
kepentingan terkait.

g) Faktor manusia dan budaya

Perilaku dan budaya manusia secara signifikan mempengaruhi semua aspek manajemen risiko di setiap
tingkatan dan tahap.

h) Peningkatan berkelanjutan
Manajemen risiko terus ditingkatkan melalui pembelajaran dan pengalaman.
5 Framework/ Kerangka Kerja

5.1 General / Umum

 Tujuan dari kerangka kerja manajemen risiko adalah untuk membantu organisasi dalam
mengintegrasikan manajemen risiko ke dalam kegiatan dan fungsi yang signifikan.
 Efektivitas manajemen risiko akan tergantung pada integrasinya ke dalam tata kelola
organisasi, termasuk pengambilan keputusan.
 Membutuhkan dukungan dari para pemangku kepentingan, terutama manajemen puncak.
 Pengembangan kerangka kerja mencakup pengintegrasian, desain, implementasi, evaluasi,
dan peningkatan manajemen risiko di seluruh organisasi.
 Gambar 3 mengilustrasikan komponen kerangka kerja.
 RINGKASAN
 Kerangka kerja manajemen risiko adalah risk governance yang meliputi kepemimpinan,
akuntabilitas, dan pengawasan yang merupakan bagian dari tata Kelola perusahaan secara
keseluruhan, perlu diperhatikan bahwa tata Kelola perusahaan tunduk pada yurisdiksi
hukum dan perundangan negara setempat.
 Risk Governance juga meliputi pengembangan budaya sadar risiko dan praktek terbaik
perusahaan terutama model three lines of defence ( pertahanan tiga lapis).
 Integrasi manajemen risiko ke dalam proses perencanaan perusahaan merupakan bagian
yang penting dalam tata Kelola perusahaan dalam pencapaian sasaran dan peningkatan
kinerja perusahaan.
 Dalam penerapan, manajemen organisasi perlu menyesuaikan mekanisme dan aktifitas
dalam komponen kerangka kerja manajemen risiko dengan kebutuhannya.
5.2 Leadership and commitment/Kepemimpinan dan Komitmen

Manajemen puncak dan komite pengawas, jika ada, harus memastikan bahwa manajemen
risiko terintegrasi ke dalam semua kegiatan organisasi dan harus memberikan contoh
kepemimpinan dan komitmen yang konsisten dengan cara :

 Melakukan penyesuaian dan implementasi keseluruhan komponen dari kerangka kerja.

 Menerbitkan kebijakan beserta produk turunan lainnya termasuk rencana kerja untuk
pengembangan Manajemen Risiko.
 Memastikan teralokasinya sumber daya yang dibutuhkan untuk mengelola risiko dan
pengembangannya.
 Menentukan dan memastikan adanya kejelasan wewenang, tanggung jawab dan
 akuntabilitas pada setiap level jabatan di organisasi.
Hal ini akan membantu organisasi untuk:

 Menyelaraskan manajemen risiko dengan tujuan, strategi, dan budaya;

 Mengakui dan menangani semua kewajiban, serta komitmen sukarela;
 Membangun sejumlah tipe risiko yang mungkin atau tidak untuk diambil dalam rangka
pengembangan kriteria risiko, memastikan bahwa hal tersebut terkomunikasikan ke
seluruh organisasi dan setiap pemangku kepentingan terkait
 Mengomunikasikan nilai manajemen risiko kepada organisasi dan para pemangku
kepentingannya;
 Mempromosikan pemantauan risiko secara sistematis;
 Memastikan bahwa kerangka kerja manajemen risiko tetap sesuai dengan konteks
organisasi.
Manajemen puncak bertanggung jawab untuk mengelola risiko, sementara Komite/badan pengawas
bertanggung jawab untuk mengawasi manajemen risiko.

Komite/Badan pengawas seringkali diharapkan atau diminta untuk:

a) Memastikan bahwa risiko sudah dipertimbangkan secara cukup dalam

merumuskan tujuan dan target organisasi.
b) Memahami bahwa risiko merupakan hal yang harus dihadapi dalam rangka
organisasi mencapai tujuan dan targetnya.
c) Memastikan bahwa ada sistem yang tersedia telah beroperasi dalam rangka
mengelola risiko yang ada.
d) Memastikan bahwa risiko yang ada telah sesuai dengan konteks dari tujuan
organisasi.
e) Memastikan bahwa setiap informasi terkait dengan risiko dan pengelolaanya
secara tepat terkomunikasikan ke pihak terkait.
 TIPS PENERAPAN

 Direksi dan Dewan Komisaris hendaknya menyamakan persepsi dan pemahaman ISO
31000:2018.
 Menentukan diantara anggota Direksi siapa yang menjadi Risk Leader yang akan
menjabarkan lebih lanjut strategi penerapan manajemen risiko dan rencana keseluruhan
penerapan manajemen risiko untuk disepakati Bersama oleh Direksi dan Dewan
Komisaris.
 Membentuk Unit Kerja Manajemen Risiko dan menunjuk beberapa staf untuk menjadi
anggotanya.
 Anggota Direksi yang ditunjuk menjadi Risk Leader ini selanjutnya mempunyai
akuntabilitas dan kewenangan sebagaimana diatur dalam standar atau manual
Manajemen Risiko yang akan disetujui Direksi dan Dewan Komisaris.
 Direksi dan Dewan Komisaris hendaknya melaksanakan apa yang diminta oleh standar.
5.3 Integration / Integrasi
Secara umum integrasi ini ialah proses dan upaya dalam memastikan bahwa
Manajemen Risiko menjadi proses yang tidak terpisahkan dari seluruh proses bisnis
yang ada didalam organisasi.

Hal yang dapat diperhatikan terkait dengan integrasi ini adalah :

o Mengintegrasikan proses Manajemen Risiko kedalam organisasi adalah proses yang dinamis dan
berkesinambungan serta disesuaikan dengan kebutuhan dan Budaya organisasi.
o Manajemen Risiko harus menjadi bagian yang tidak terpisahkan dari tujuan organisasi, tata kelola,
kepemimpinan dan komitmen, strategi, tujuan dan sasaran, serta kegiatan operasional.
o Mengintegrasikan Manajemen Risiko sangat bergantung kepada pemahaman terhadap struktur
organisasi dan konteksnya. Struktur tersebut dapat berbeda, bergantung ke tujuan, sasaran dan
kompleksitasnya, dan risiko di kelola di setiap bagian struktur organisasi.
o Menentukan akuntabilitas dan peran pengawasan Manajemen Risiko merupakan bagian tak
terpisahkan dari tata kelola yang dibutuhkan.
o Dengan adannya integrasi maka secara umum setiap insan organisasi mempunyai tanggung jawab
dalam mengelola risiko.
 TIPS PENERAPAN

 Melakukan pemetaan konteks eksternal organisasi dengan detail.

 Dari konteks eksternal ini, temukan potensi risiko yang mungkin dihadapi organisasi
dalam proses mencapai sasaran.
 Melakukan pemetaan proses bisnis organisasi secara makro untuk mendapatkan peta
konteks internal.
 Melakukan identifikasi potensi risiko yang dihadapi organisasi dengan menggunakan
Teknik yang sesuai.
 Mengintegrasikan hasil identifikasi potensi risiko dari konteks eksternal dan internal
organisasi tersebut.
5.4 Design / Disain
5.4.1 Understanding the organization and its context / Memahami organisasi
dan konteksnya

Ketika merancang kerangka kerja untuk mengelola risiko, organisasi harus memeriksa dan memahami
konteks eksternal dan internalnya.

Meneliti konteks eksternal organisasi dapat mencakup, tetapi tidak terbatas pada:
 faktor sosial, budaya, politik, hukum, peraturan, keuangan, teknologi, ekonomi dan lingkungan,
baik internasional, nasional, regional atau lokal;
 pendorong dan tren utama yang mempengaruhi tujuan organisasi;
 hubungan, persepsi, nilai, kebutuhan, dan harapan pemangku kepentingan eksternal;
 hubungan dan komitmen kontraktual;
 kompleksitas jaringan dan ketergantungan.
Meneliti konteks internal organisasi dapat mencakup, tetapi tidak terbatas pada:

 visi, misi dan nilai-nilai;

 pemerintahan, struktur organisasi, peran dan akuntabilitas;
 strategi, tujuan dan kebijakan;
 budaya organisasi;
 standar, pedoman dan model yang diadopsi oleh organisasi;
 kemampuan, dipahami dalam hal sumber daya dan pengetahuan (mis. modal, waktu, orang,
kekayaan intelektual, proses, sistem dan teknologi);
 data, sistem informasi, dan arus informasi;
 hubungan dengan pemangku kepentingan internal, dengan mempertimbangkan persepsi dan
nilai-nilai mereka;
 hubungan dan komitmen kontraktual;
 saling ketergantungan dan interkoneksi.
 TIPS PENERAPAN

 Membuat Kebijakan Manajemen Risiko yang merupakan pernyataan niat dan komitmen
Direksi dan Dewan Komisaris untuk menerapkan manajemen risiko dan berisikan
gambaran umum uraian penerapannya sesuai dengan tuntutan srandar ISO 31000.
 Bentuk Kebijakan Manajemen Risiko :
 Sebuah pernyataan dan didukung oleh buku Panduan Manajemen Risiko yang terpisah.
 Sebuah buku yang berisikan pernyataan kebijakan manajemen risiko dan diikuti dengan
perincian prosedur dan tata Kelola manajemen risiko.
 Mensosialisasikan Kebijakan Manajemen Risiko ke seluruh jajaran manajemen dan
karyawan organisasi, serta ke seluruh pemangku kepentingan terkait.
5.4.2 Articulating risk management commitment / Mengartikulasikan komitmen
manajemen risiko
Manajemen puncak dan badan pengawas, jika ada, harus menunjukkan dan mengartikulasikan komitmen
berkelanjutan mereka terhadap manajemen risiko melalui kebijakan, pernyataan atau bentuk lain yang dengan jelas
menyampaikan tujuan dan komitmen organisasi terhadap manajemen risiko.

Komitmen tersebut harus mencakup, tetapi tidak terbatas pada:

 tujuan organisasi untuk mengelola risiko dan tautan ke tujuan dan kebijakan lainnya;
 memperkuat kebutuhan untuk mengintegrasikan manajemen risiko ke dalam budaya organisasi secara
keseluruhan;
 memimpin integrasi manajemen risiko ke dalam kegiatan bisnis inti dan pengambilan keputusan;
 otoritas, tanggung jawab dan akuntabilitas;
 menyediakan sumber daya yang diperlukan;
 cara di mana tujuan yang saling bertentangan ditangani;
 pengukuran dan pelaporan dalam indikator kinerja organisasi;
 review dan peningkatan.
Komitmen manajemen risiko harus dikomunikasikan dalam suatu organisasi dan kepada para pemangku
kepentingan, yang sesuai.
5.4.3 Assigning organizational roles, authorities, responsibilities and
accountabilities / Menugaskan peran, wewenang, tanggung jawab, dan
akuntabilitas organisasi

Manajemen puncak dan badan pengawas, jika ada, harus memastikan bahwa otoritas, tanggung
jawab, dan akuntabilitas untuk peran yang relevan sehubungan dengan manajemen risiko
ditugaskan dan dikomunikasikan di semua tingkatan organisasi, dan harus:

 Menekankan bahwa manajemen risiko adalah tanggung jawab inti;

 Mengidentifikasi individu yang memiliki akuntabilitas dan wewenang untuk mengelola
risiko (pemilik risiko).
5.4.4 Allocating resources / Mengalokasikan sumber daya

Manajemen puncak dan badan pengawas, jika ada, harus memastikan alokasi sumber daya
yang tepat untuk manajemen risiko, yang dapat mencakup, tetapi tidak terbatas pada:

 orang, keterampilan, pengalaman dan kompetensi;

 proses, metode, dan alat organisasi yang akan digunakan untuk mengelola risiko;
 proses dan prosedur yang terdokumentasi;
 sistem manajemen informasi dan pengetahuan;
 pengembangan profesional dan kebutuhan pelatihan.

Organisasi harus mempertimbangkan kemampuan, dan kendala pada, sumber daya yang ada.
5.4.5 Establishing communication and consultation / Membangun komunikasi dan konsultasi

 Organisasi harus menetapkan pendekatan yang disetujui untuk komunikasi dan konsultasi
untuk mendukung kerangka kerja dan memfasilitasi penerapan manajemen risiko yang
efektif.
 Komunikasi melibatkan berbagi informasi dengan audiens yang ditargetkan. Konsultasi
juga melibatkan peserta yang memberikan umpan balik dengan harapan bahwa hal itu akan
berkontribusi dan membentuk keputusan atau kegiatan lainnya.
 Metode dan konten komunikasi dan konsultasi harus mencerminkan harapan para
pemangku kepentingan, jika relevan.
 Komunikasi dan konsultasi harus tepat waktu dan memastikan bahwa informasi yang
relevan dikumpulkan, disusun, disintesis, dan dibagikan, jika perlu, dan bahwa umpan balik
diberikan dan perbaikan dilakukan.
5.5 Implementation / Implementasi
Organisasi harus menerapkan kerangka kerja manajemen risiko dengan:

 mengembangkan rencana yang sesuai termasuk waktu dan sumber daya;

 mengidentifikasi di mana, kapan dan bagaimana berbagai jenis keputusan dibuat di seluruh
organisasi, dan oleh siapa;
 memodifikasi proses pengambilan keputusan yang berlaku jika perlu;
 memastikan bahwa pengaturan organisasi untuk mengelola risiko dipahami dan dipraktikkan
dengan jelas.

Keberhasilan implementasi kerangka kerja membutuhkan keterlibatan dan kesadaran para pemangku
kepentingan. Hal ini memungkinkan organisasi untuk secara eksplisit mengatasi ketidakpastian dalam
pengambilan keputusan, sambil juga memastikan bahwa setiap ketidakpastian baru atau selanjutnya
dapat diperhitungkan ketika hal itu muncul. Dirancang dan diimplementasikan dengan benar, kerangka
kerja manajemen risiko akan memastikan bahwa proses manajemen risiko adalah bagian dari semua
kegiatan di seluruh organisasi, termasuk pengambilan keputusan, dan bahwa perubahan dalam konteks
eksternal dan internal akan ditangkap secara memadai.
5.6 Evaluation / Evaluasi

Untuk mengevaluasi efektivitas kerangka kerja manajemen risiko, organisasi harus:

 secara berkala mengukur kinerja kerangka manajemen risiko terhadap tujuannya, rencana
implementasi, indikator dan perilaku yang diharapkan;
 menentukan apakah tetap cocok untuk mendukung pencapaian tujuan organisasi.

5.7 Improvement / Peningkatan

5.7.1 Adapting / Adaptasi

Organisasi harus terus memantau dan mengadaptasi kerangka kerja manajemen risiko untuk
mengatasi perubahan eksternal dan internal. Dengan demikian, organisasi dapat meningkatkan
nilainya.
 5.7.2 Continually improving / Perbaikan Sinambung

 Organisasi harus terus meningkatkan kesesuaian, kecukupan, dan efektivitas kerangka kerja
manajemen risiko dan cara proses manajemen risiko terintegrasi.
 Ketika celah yang relevan atau peluang peningkatan diidentifikasi, organisasi harus
mengembangkan rencana dan tugas dan menugaskan mereka yang bertanggung jawab untuk
implementasi.
 Setelah diimplementasikan, perbaikan ini harus berkontribusi pada peningkatan manajemen
risiko
6 Process / Proses

6.1 General / Umum

 Proses manajemen risiko melibatkan penerapan kebijakan, prosedur, dan praktik

yang sistematis terhadap kegiatan komunikasi dan konsultasi, menetapkan konteks
dan menilai, memperlakukan, memantau, meninjau, mencatat, dan melaporkan
risiko.
 Proses ini diilustrasikan pada Gambar 4.
 Proses manajemen risiko harus menjadi bagian integral dari manajemen dan pengambilan
keputusan dan diintegrasikan ke dalam struktur, operasi, dan proses organisasi. Ini dapat
diterapkan pada level strategis, operasional, program atau proyek.

 Mungkin ada banyak aplikasi dari proses manajemen risiko dalam suatu organisasi,
disesuaikan untuk mencapai tujuan dan agar sesuai dengan konteks eksternal dan internal di
mana mereka diterapkan.

 Sifat dinamis dan variabel perilaku dan budaya manusia harus dipertimbangkan selama proses
manajemen risiko.

 Meskipun proses manajemen risiko sering disajikan secara berurutan, dalam praktiknya ini
berulang.
 6.2 Communication and consultation / Komunikasi dan Konsultasi
 Tujuan dari komunikasi dan konsultasi adalah untuk membantu para pemangku kepentingan yang relevan
dalam memahami risiko, dasar pengambilan keputusan dan alasan mengapa tindakan tertentu diperlukan.
 Komunikasi berupaya untuk meningkatkan kesadaran dan pemahaman tentang risiko, sedangkan konsultasi
melibatkan memperoleh umpan balik dan informasi untuk mendukung pengambilan keputusan.
 Koordinasi erat antara keduanya harus memfasilitasi pertukaran informasi yang faktual, tepat waktu, relevan,
akurat, dan dapat dipahami, dengan mempertimbangkan kerahasiaan dan integritas informasi serta hak
privasi masing-masing individu.
 Komunikasi dan konsultasi dengan pemangku kepentingan eksternal dan internal yang sesuai harus
dilakukan di dalam dan di seluruh langkah proses manajemen risiko.
 Komunikasi dan konsultasi bertujuan untuk:
 menyatukan bidang keahlian yang berbeda untuk setiap langkah proses manajemen risiko;
 memastikan bahwa pandangan yang berbeda dipertimbangkan dengan tepat ketika mendefinisikan kriteria
risiko dan ketika mengevaluasi risiko;
 memberikan informasi yang memadai untuk memfasilitasi pengawasan risiko dan pengambilan keputusan;
 membangun rasa inklusif dan kepemilikan di antara mereka yang terkena dampak risiko
6.2 Communication and consultation / Komunikasi dan Konsultasi

Komunikasi dan Konsultasi adalah urat nadi proses manajemen risiko dan
oleh karena itu harus selalu diperhatikan dalam setiap tahapan proses
manajemen risiko. Ketika proses memasuki tahap pertama, yaitu
“membangun konteks”maka langkah pertama yang dilaksanakan ialah
membangun hubungan dengan para pihak yang berkepentingan untuk
menginformasikan hal-hal yang penting bagi kelancaran proses manajemen
risiko dan sekaligus memperoleh komitmen dukungan dari pihak tersebut.

Beberapa teknik dan metode yang dapat digunakan antara lain Matriks
Penugasan Tanggungjawab atau dikenal dengan Responsibility Assigment
Matrix ( RAM ) atau biasa dikenal dengan Matriks RACI.
6.2 Communication and consultation / Komunikasi dan Konsultasi

RACI
R  Responsibility
A  Accountable
C  Consulted/Contributed
I  Informed
6.2 Communication and consultation / Komunikasi dan Konsultasi

RACI
6.2 Communication and consultation / Komunikasi dan Konsultasi

RACI
 6.3 Scope, context and criteria / Lingkup, konteks dan kriteria

6.3.1 General / Umum

 Tujuan membangun ruang lingkup, konteks dan kriteria adalah untuk menyesuaikan proses
manajemen risiko, memungkinkan penilaian risiko yang efektif dan perlakuan risiko yang tepat.
 Lingkup, konteks dan kriteria melibatkan mendefinisikan ruang lingkup proses, dan memahami
konteks eksternal dan internal.
6.3.2 Defining the scope / Menentukan ruang lingkup

 Organisasi harus menetapkan ruang lingkup kegiatan manajemen risikonya.

 Karena proses manajemen risiko dapat diterapkan pada tingkat yang berbeda (misalnya strategis,
operasional, program, proyek, atau kegiatan lainnya), penting untuk menjadi jelas tentang ruang
lingkup yang dipertimbangkan, tujuan yang relevan untuk dipertimbangkan dan keselarasannya
dengan tujuan organisasi .

 Saat merencanakan pendekatan, pertimbangan meliputi:

 tujuan dan keputusan yang perlu dibuat;

 hasil yang diharapkan dari langkah-langkah yang akan diambil dalam proses;
 waktu, lokasi, inklusi dan pengecualian khusus;
 alat dan teknik penilaian risiko yang tepat;
 sumber daya yang dibutuhkan, tanggung jawab dan catatan untuk disimpan;
 hubungan dengan proyek lain, proses dan kegiatan.
6.3.3 External and internal context / Konteks eksternal dan internal

 Konteks eksternal dan internal adalah lingkungan di mana organisasi berusaha untuk
mendefinisikan dan mencapai tujuannya.
 Konteks proses manajemen risiko harus dibangun dari pemahaman lingkungan eksternal dan
internal di mana organisasi beroperasi dan harus mencerminkan spesifik
 lingkungan aktivitas tempat proses manajemen risiko diterapkan.
 Memahami konteks itu penting karena:

 manajemen risiko terjadi dalam konteks tujuan dan kegiatan organisasi;

 faktor organisasi dapat menjadi sumber risiko;
 tujuan dan ruang lingkup proses manajemen risiko dapat saling terkait dengan tujuan organisasi
secara keseluruhan.

Organisasi harus menetapkan konteks eksternal dan internal dari proses manajemen risiko dengan
mempertimbangkan faktor-faktor yang disebutkan dalam 5.4.1.
 6.3.4 Defining risk criteria / Menentukan kriteria risiko

 Organisasi harus menentukan jumlah dan jenis risiko yang mungkin atau mungkin tidak diambilnya,
relatif terhadap sasaran.
 Ini juga harus mendefinisikan kriteria untuk mengevaluasi signifikansi risiko dan untuk mendukung
proses pengambilan keputusan.
 Kriteria risiko harus diselaraskan dengan kerangka kerja manajemen risiko dan disesuaikan dengan
tujuan spesifik dan ruang lingkup kegiatan yang sedang dipertimbangkan.
 Kriteria risiko harus mencerminkan nilai-nilai, tujuan dan sumber daya organisasi dan konsisten dengan
kebijakan dan pernyataan tentang manajemen risiko.
 Kriteria harus didefinisikan dengan mempertimbangkan kewajiban organisasi dan pandangan para
pemangku kepentingan.
 Sementara kriteria risiko harus ditetapkan pada awal proses penilaian risiko, mereka dinamis dan harus
terus ditinjau dan diamandemen, jika perlu.
Untuk menetapkan kriteria risiko, berikut ini harus dipertimbangkan:

o sifat dan jenis ketidakpastian yang dapat mempengaruhi hasil dan tujuan (baik
berwujud maupun tidak berwujud);
o bagaimana konsekuensi (baik positif maupun negatif) dan kemungkinan akan
ditentukan dan diukur;
o faktor terkait waktu;
o konsistensi dalam penggunaan pengukuran;
o bagaimana tingkat risiko ditentukan;
o bagaimana kombinasi dan urutan berbagai risiko akan diperhitungkan;
o kapasitas organisasi.
6.4 Risk assessment / Penilaian Risiko

6.4.1 General / Umum

 Penilaian risiko adalah keseluruhan proses identifikasi risiko, analisis risiko dan evaluasi
risiko.
 Penilaian risiko harus dilakukan secara sistematis, iteratif, dan kolaboratif, dengan
memanfaatkan pengetahuan dan pandangan para pemangku kepentingan.
 Harus menggunakan informasi terbaik yang tersedia, ditambah dengan penyelidikan lebih
lanjut sebagaimana diperlukan.
 6.4.2 Risk identification / Identifikasi Risiko
 Tujuan dari identifikasi risiko adalah untuk menemukan, mengenali dan menggambarkan risiko yang
dapat membantu atau mencegah suatu organisasi mencapai tujuannya.
 Informasi yang relevan, tepat, dan terkini penting dalam mengidentifikasi risiko. Organisasi dapat
menggunakan berbagai teknik untuk mengidentifikasi ketidakpastian yang dapat memengaruhi satu
atau lebih tujuan.
 Faktor-faktor berikut, dan hubungan antara faktor-faktor ini, harus dipertimbangkan:

 sumber risiko nyata dan tidak berwujud;

 penyebab dan peristiwa;
 ancaman dan peluang;
 kerentanan dan kemampuan;
 perubahan dalam konteks eksternal dan internal;
 indikator risiko yang muncul;
 sifat dan nilai aset dan sumber daya;
 konsekuensi dan dampaknya terhadap tujuan;
 keterbatasan pengetahuan dan keandalan informasi;
 faktor terkait waktu;
 bias, asumsi dan kepercayaan dari mereka yang terlibat.
 6.4.3 Risk analysis / Analisa Risiko
 Tujuan dari analisis risiko adalah untuk memahami sifat risiko dan karakteristiknya termasuk, jika sesuai,
tingkat risiko.
 Analisis risiko melibatkan pertimbangan terperinci tentang ketidakpastian, sumber risiko, konsekuensi,
kemungkinan, peristiwa, skenario, kontrol, dan efektivitasnya.
 Suatu peristiwa dapat memiliki banyak penyebab dan konsekuensi dan dapat mempengaruhi banyak
tujuan.
 Analisis risiko dapat dilakukan dengan berbagai tingkat detail dan kompleksitas, tergantung pada tujuan
analisis, ketersediaan dan keandalan informasi, dan sumber daya yang tersedia.
 Teknik analisis dapat kualitatif, kuantitatif atau kombinasi dari ini, tergantung pada keadaan dan tujuan
penggunaan.

Analisis risiko harus mempertimbangkan faktor-faktor seperti:

 kemungkinan kejadian dan konsekuensi;
 sifat dan besarnya konsekuensi;
 kompleksitas dan konektivitas;
 faktor terkait waktu dan volatilitas;
 efektivitas kontrol yang ada;
 tingkat sensitivitas dan kepercayaan diri.
 Analisis risiko dapat dipengaruhi oleh perbedaan pendapat, bias, persepsi risiko dan penilaian.
 Pengaruh tambahan adalah kualitas informasi yang digunakan, asumsi dan pengecualian yang
dibuat, segala keterbatasan teknik dan bagaimana mereka dieksekusi.
 Pengaruh-pengaruh ini harus dipertimbangkan, didokumentasikan dan dikomunikasikan
kepada para pembuat keputusan.
 Kejadian yang sangat tidak pasti bisa sulit untuk diukur.
 Ini bisa menjadi masalah ketika menganalisis peristiwa dengan konsekuensi parah.
 Dalam kasus seperti itu, menggunakan kombinasi teknik umumnya memberikan wawasan
yang lebih besar.
 Analisis risiko memberikan masukan untuk evaluasi risiko, untuk keputusan apakah risiko
perlu diperlakukan dan bagaimana, dan pada strategi dan metode perawatan risiko yang paling
tepat.
 Hasilnya memberikan wawasan untuk keputusan, di mana pilihan sedang dibuat, dan pilihan
melibatkan berbagai jenis dan tingkat risiko.
6.4.4 Risk evaluation / Evaluasi Risiko

 Tujuan evaluasi risiko adalah untuk mendukung keputusan.

 Evaluasi risiko melibatkan membandingkan hasil analisis risiko dengan kriteria risiko yang
ditetapkan untuk menentukan di mana tindakan tambahan diperlukan.
 Hal Ini dapat mengarah pada keputusan untuk:

 - jangan melakukan apa-apa lagi;

 - pertimbangkan opsi perlakuan risiko;
 - melakukan analisis lebih lanjut untuk lebih memahami risiko;
 - memelihara kontrol yang ada;
 - Mempertimbangkan kembali tujuan.

 Keputusan harus mempertimbangkan konteks yang lebih luas dan konsekuensi aktual dan yang
dirasakan oleh pemangku kepentingan eksternal dan internal.

 Hasil evaluasi risiko harus dicatat, dikomunikasikan dan kemudian divalidasi pada tingkat organisasi
yang sesuai.
6.5 Risk treatment / Perlakuan Risiko

6.5.1 General / Umum

 Tujuan dari perawatan risiko adalah untuk memilih dan menerapkan opsi untuk
mengatasi risiko.
 Perlakuan risiko melibatkan proses berulang dari:

 merumuskan dan memilih opsi perlakuan risiko;

 merencanakan dan menerapkan perlakuan risiko;
 menilai efektivitas perlakuan itu;
 memutuskan apakah risiko yang tersisa dapat diterima;
 jika tidak dapat diterima, mengambil perlakuan lebih lanjut.
6.5.2 Selection of risk treatment options / Pemilihan opsi perlakuan risiko
 Memilih opsi perlakuan risiko yang paling tepat melibatkan menyeimbangkan manfaat
potensial yang diperoleh sehubungan dengan pencapaian tujuan terhadap biaya, upaya atau
kerugian implementasi.
 Opsi-opsi perlakuan risiko tidak harus saling eksklusif atau sesuai dalam semua keadaan.
 Opsi untuk perlakuan risiko dapat melibatkan satu atau lebih hal berikut ini:

 menghindari risiko dengan memutuskan untuk tidak memulai atau melanjutkan kegiatan yang
menimbulkan risiko;
 mengambil atau meningkatkan risiko untuk mengejar peluang;
 menghapus sumber risiko;
 mengubah kemungkinan;
 mengubah konsekuensinya;
 berbagi risiko (mis. Melalui kontrak, membeli asuransi);
 mempertahankan risiko dengan keputusan berdasarkan informasi.
6.5.2 Selection of risk treatment options / Pemilihan opsi perlakuan risiko
Secara umum, 4 perlakukan terhadap suatu risiko :

 Menghindari Risiko (Risk Avoidance) – tidak melaksanakan atau meneruskan kegiatan yang
menimbulkan risiko.
 Bergai Risiko (Risk Sharing/Transfer) – Suatu Tindakan untuk mengurangi kemungkinan timbulnya
risiko/dampak risiko. Misalnya melalui asuransi, outsourcing, subcontracting, tindak lindung transaksi
nilai mata uang asing, dll.
 Mitigasi (Mitigation) – Melakukan perlakuan risiko untuk mengurangi kemungkinan timbulnya risiko,
atau mengurangi dampak risiko bila terjadi, atau mengurangi keduanya, kemungkinan dan dampak.
 Menerima risiko (Risk Acceptance) – Tidak melakukan perlakuan apapun terhadap risiko tersebut.
 Justifikasi untuk perlakuan risiko lebih luas daripada pertimbangan ekonomi semata dan harus
memperhitungkan semua kewajiban organisasi, komitmen sukarela, dan pandangan pemangku
kepentingan.
 Pemilihan opsi perlakuan risiko harus dibuat sesuai dengan tujuan organisasi, kriteria risiko dan
sumber daya yang tersedia.
 Ketika memilih opsi perlakuan risiko, organisasi harus mempertimbangkan nilai-nilai, persepsi dan
potensi keterlibatan para pemangku kepentingan dan cara-cara yang paling tepat untuk berkomunikasi
dan berkonsultasi dengan mereka.
 Meskipun sama-sama efektif, beberapa perlakuan risiko dapat lebih diterima oleh beberapa pemangku
kepentingan daripada yang lain.
 Perlakuan risiko, bahkan jika dirancang dan diimplementasikan dengan hati-hati mungkin tidak
menghasilkan hasil yang diharapkan dan dapat menghasilkan konsekuensi yang tidak diinginkan.
 Pemantauan dan peninjauan perlu menjadi bagian integral dari pelaksanaan perlakuan risiko untuk
memberikan jaminan bahwa berbagai bentuk perlakuan menjadi dan tetap efektif.
 Perlakuan risiko juga dapat menimbulkan risiko baru yang perlu dikelola.
 Jika tidak ada pilihan perlakuan yang tersedia atau jika opsi perlakuan tidak cukup
memodifikasi risiko, risiko harus dicatat dan disimpan di bawah tinjauan yang sedang
berlangsung.
 Pembuat keputusan dan pemangku kepentingan lainnya harus menyadari sifat dan tingkat
risiko yang tersisa setelah perlakuan risiko.
 Risiko yang tersisa harus didokumentasikan dan dikenakan pemantauan, peninjauan dan, jika
sesuai, perlakuan lebih lanjut.
6.5.3 Preparing and implementing risk treatment plans/ Mempersiapkan
dan mengimplementasikan rencana perlakuan risiko

 Tujuan dari rencana perlakuan risiko adalah untuk menentukan bagaimana opsi perlakuan yang
dipilih akan diimplementasikan, sehingga pengaturan dipahami oleh mereka yang terlibat, dan
kemajuan terhadap rencana dapat dipantau.
 Rencana perlakuan harus secara jelas mengidentifikasi urutan perlakuan risiko yang harus
dilaksanakan.
 Rencana perlakuan harus diintegrasikan ke dalam rencana manajemen dan proses organisasi,
dengan berkonsultasi dengan pemangku kepentingan yang tepat.
Informasi yang disediakan dalam rencana perlakuan harus mencakup:

o dasar pemikiran untuk pemilihan opsi perlakuan, termasuk manfaat yang diharapkan untuk
diperoleh;
o mereka yang bertanggung jawab dan bertanggung jawab untuk menyetujui dan
mengimplementasikan rencana;
o tindakan yang diusulkan;
o sumber daya yang dibutuhkan, termasuk kemungkinan;
o ukuran kinerja;
o kendala;
o pelaporan dan pemantauan yang diperlukan;
o ketika tindakan diharapkan akan dilakukan dan diselesaikan.
6.6 Monitoring and review / Pemantauan dan peninjauan

 Tujuan pemantauan dan peninjauan adalah untuk memastikan dan meningkatkan kualitas dan
efektivitas desain proses, implementasi dan hasil.
 Pemantauan yang sedang berlangsung dan tinjauan berkala dari proses manajemen risiko dan
hasilnya harus menjadi bagian yang direncanakan dari proses manajemen risiko, dengan
tanggung jawab yang jelas.
 Pemantauan dan peninjauan harus dilakukan di semua tahap proses.
 Pemantauan dan peninjauan mencakup perencanaan, pengumpulan dan analisis informasi,
pencatatan hasil, dan pemberian umpan balik.
 Hasil pemantauan dan tinjauan harus dimasukkan ke seluruh kegiatan manajemen kinerja,
pengukuran dan pelaporan organisasi.
6.7 Recording and reporting / Pencatatan dan Pelaporan

 Proses manajemen risiko dan hasilnya harus didokumentasikan dan dilaporkan melalui mekanisme
yang tepat.
 Pencatatan dan pelaporan bertujuan untuk:

 mengomunikasikan kegiatan dan hasil manajemen risiko di seluruh organisasi;

 memberikan informasi untuk pengambilan keputusan;
 meningkatkan kegiatan manajemen risiko;
 membantu interaksi dengan para pemangku kepentingan, termasuk mereka yang memiliki
tanggung jawab dan akuntabilitas untuk kegiatan manajemen risiko.
 Keputusan mengenai pembuatan, penyimpanan dan penanganan informasi yang
terdokumentasi harus mempertimbangkan, tetapi tidak terbatas pada: penggunaannya,
kepekaan informasi dan konteks eksternal dan internal.
 Pelaporan adalah bagian integral dari tata kelola organisasi dan harus meningkatkan kualitas
dialog dengan pemangku kepentingan dan mendukung manajemen puncak dan badan
pengawas dalam memenuhi tanggung jawab mereka.
 Faktor-faktor yang perlu dipertimbangkan untuk pelaporan termasuk, tetapi tidak terbatas
pada:

 pemangku kepentingan yang berbeda dan kebutuhan serta persyaratan informasi spesifik
mereka;
 biaya, frekuensi dan ketepatan waktu pelaporan;
 metode pelaporan;
 relevansi informasi dengan tujuan organisasi dan pengambilan keputusan.
 Skema Manajemen Risiko pada ISO 31000:2018

1. Penciptaan dan perlindungan nilai (value creation and protection) ini

dalam elemen Prinsip (Principles).
2. Kepemimpinan dan komitmen (leadership and commitment) ini dalam
elemen Kerangka Kerja (Framework).
3. Pencatatan dan pelaporan (recording and reporting) ini masuk dalam
elemen Process (Process).
Q&A