ISO 31000:2018
INTRODUCTION
SEJARAH ISO
SEJARAH ISO
ISO bukan singkatan, pada awalnya, singkatan dari nama lembaga tersebut adalah
IOS dalam bahasa Inggris (International Organization for Standardization) atau
OIN dalam bahasa Perancis (Organisation internationale de normalisation)
sebelum akhirnya ditetapkan menggunakan nama ISO, diambil dari bahasa
Yunani ISOS yang berarti sama.
Pengembang Standar Internasional terbesar dunia.
Standar Internasional memberi spesifikasi mutakhir untuk produk, jasa, dan praktek
terbaik.
Membantu menjadikan organisasi/industri lebih efisien & efektif.
Standar ini dikembangkan melalui konsensus global.
Standar ini menghilangkan hambatan perdagangan internasional.
Indonesia BSN (Badan Standardisasi Nasional).
SEJARAH ISO
1926 - ISA (International Federation of the National Standardizing Associations)
didirikan di New York.
1944 - UNSCC (United Nations Standards Coordinating Committee) didirikan.
1946 - Delegasi 25 negara di London membangun organisasi baru koordinasi dan kesatuan
internasional di bidang standar industri.
23-02-1947 berdirilah ISO di Geneva, Swiss.
Anggota ISO 165 negara.
Sekarang > 21.000 standar telah terbit & terpopuler ISO seri 9000 dan ISO seri 14000.
Dari keamanan pangan, laboratorium sampai komputer, dan pertanian hingga pemeliharaan
kesehatan, keamanan jalan & lalin
PENERAPAN ISO DI ASEAN
SEJARAH ISO 31000
Enron adalah sebuah perusahaan energi Amerika yang berbasis di Houston, Texas, Amerika Serikat.
Perusahaan ini didirikan pada tahun 1930 sebagai Northern Natural Gas.
Enron Corporation adalah sebuah perusahaan energi Amerika yang berbasis di Houston, Texas, Amerika
Serikat. Sebelum bangkrutnya pada akhir 2001, Enron sebelum tahun 2001 mempekerjakan sekitar 21.000
orang pegawai dan merupakan salah satu Perusahaan terkemuka di dunia dalam bidang listrik, gas alam,
bubur kertas dan kertas, serta komunikasi.Enron mengaku penghasilannya pada tahun 2000 berjumlah
$101 milyar.
Fortune menamakan Enron "Perusahaan Amerika yang Paling Inovatif" selama enam tahun berturut-
turut. Enron menjadi sorotan masyarakat luas pada akhir 2001, ketika terungkapkan bahwa kondisi
keuangan yang dilaporkannya didukung terutama oleh penipuan akuntansi yang sistematis, terlembaga,
dan direncanakan secara kreatif. Operasinya di Eropa melaporkan kebangkrutannya pada 30 November
2001, dan dua hari kemudian, pada 2 Desember, di AS Enron mengajukan permohonan perlindungan
Chapter 11. Saat itu, kasus itu merupakan kebangkrutan terbesar dalam sejarah AS dan menyebabkan
4.000 pegawai kehilangan pekerjaan mereka.
CONTOH PERISTIWA RISIKO DI DUNIA
YANG TELAH TERJADI
2. VOLKSWAGEN CASE – “Dieselgate emission”
https://www.cnnindonesia.com/teknologi/20180614143522-384-306074/volkswagen-didenda-rp167-triliun-a
tas-kasus-dieselgate?
CONTOH PERISTIWA RISIKO DI DUNIA
YANG TELAH TERJADI
2. VOLKSWAGEN CASE – “Dieselgate emission”
CONTOH PERISTIWA RISIKO DI DUNIA
YANG TELAH TERJADI
3. TAKATA CASE https://oto.detik.com/mobil/d-2921429/kronologi-penarikan-34-juta-mobil-gara-g
ara-airbag-takata
CONTOH PERISTIWA RISIKO DI DUNIA
YANG TELAH TERJADI
3. TAKATA CASE https://oto.detik.com/mobil/d-2921429/kronologi-penarikan-34-juta-mobil-gara-g
ara-airbag-takata
CONTOH PERISTIWA RISIKO DI DUNIA
YANG TELAH TERJADI
3. TAKATA CASE https://oto.detik.com/mobil/d-2921429/kronologi-penarikan-34-juta-mobil-gara-g
ara-airbag-takata
DEFINISI RISIKO - ISO 31000:2018
“effect of uncertainty on objectives”
(pengaruh ketidakpastian pada tujuan)
An effect is a deviation from the expected. It can be positive, negative or both, and
can address, create or result in opportunities and threats. (Efeknya adalah
penyimpangan dari yang diharapkan. Ini bisa positif, negatif atau keduanya, dan
dapat mengatasi, menciptakan, atau menghasilkan peluang dan ancaman)
Objectives can have different aspects and categories, and can be applied at
different levels.(Tujuan dapat memiliki aspek dan kategori yang berbeda, dan dapat
diterapkan pada tingkat yang berbeda.)
Risk is usually expressed in terms of risk sources, potential events, their
consequences and their likelihood.(Risiko biasanya dinyatakan dalam sumber risiko,
peristiwa potensial, konsekuensi dan kemungkinannya).
DEFINISI MANAJEMEN RISIKO
Definisi Manajemen Risiko menurut AS/NZS 4360: 2004 :
The culture, processes, structures that are directed towards realizing potential
opportunities while managing adverse effects /Budaya, proses, struktur yang diarahkan
untuk mewujudkan peluang potensial sambil mengelola efek yang merugikan
A process , effected by an entity’s board of directors, management and other personnel, applied in strategy-
setting and across enterprise, designed to identify potential events that may affect the entity, and manage risk
to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives
(COSO) - Suatu proses, yang dilakukan oleh dewan direksi, manajemen, dan personel yang lain, yang
diterapkan dalam penetapan strategi dan lintas perusahaan, yang dirancang untuk mengidentifikasi
peristiwa potensial yang dapat memengaruhi entitas, dan mengelola risiko agar sesuai dengan selera risiko,
untuk memberikan jaminan yang wajar mengenai pencapaian tujuan entitas (COSO )
DEFINISI MANAJEMEN RISIKO
5. Proses manajemen risiko relatif tidak berubah. Proses “penetapan konteks” diubah namanya menjadi
“lingkup, konteks, dan kriteria”. Proses “pencatatan dan pelaporan” dicantumkan secara eksplisit di
dalam diagram setelah sebelumnya hanya ada pada bagian teks pada versi 2009.
6. ISO 31000:2018 menekankan tujuan manajemen risiko, yaitu menciptakan dan melindungi nilai.
Tujuan itu diwujudkan dengan (1) meningkatkan kinerja, (2) mendorong inovasi, dan (3) mendukung
pencapaian sasaran. Manajemen risiko adalah bagian dari tata kelola (governance) dan harus terintegrasi
di dalam proses organisasi. Penerapan manajemen risiko memerlukan kepemimpinan dan komitmen dari
manajemen puncak, serta keterlibatan aktif dari semua anggota organisasi.
Diagram yang menggambarkan hubungan prinsip, kerangka kerja, dan proses
2009 2018
Prinsip manajemen risiko
2009 2018
Proses manajemen risiko
2009 2018
HAL BARU DALAM ISO 31000:2018
3.5 event/peristiwa
Suatu peristiwa dapat memiliki satu atau lebih kejadian, dan dapat memiliki
beberapa penyebab dan beberapa konsekuensi (3.6).
Suatu peristiwa juga bisa menjadi sesuatu yang diharapkan yang tidak terjadi,
atau sesuatu yang tidak diharapkan yang terjadi.
Suatu peristiwa bisa menjadi sumber risiko.
3.6 consequence/ konsekuensi
hasil dari suatu kejadian (3.5) yang mempengaruhi tujuan
Konsekuensi dapat pasti atau tidak pasti dan dapat memiliki efek langsung atau
tidak langsung positif atau negatif pada tujuan.
Konsekuensi dapat dinyatakan secara kualitatif atau kuantitatif.
Konsekuensi apa pun dapat meningkat melalui efek kaskade dan kumulatif.
3.7 likelihood/ kemungkinan
Kemungkinan sesuatu terjadi
Dalam terminologi manajemen risiko (3.2), kata "kemungkinan" digunakan untuk merujuk
pada peluang sesuatu terjadi, apakah didefinisikan, diukur atau ditentukan secara obyektif
atau subyektif, kualitatif atau kuantitatif, dan dijelaskan menggunakan istilah umum atau
secara matematis (seperti probabilitas atau frekuensi selama periode waktu tertentu).
Istilah bahasa Inggris "kemungkinan" tidak memiliki padanan langsung dalam beberapa
bahasa; alih-alih, ekivalen dari istilah "probabilitas" sering digunakan. Namun, dalam
bahasa Inggris, "probabilitas" sering ditafsirkan secara sempit sebagai istilah matematika.
Oleh karena itu, dalam terminologi manajemen risiko, "kemungkinan" digunakan dengan
maksud bahwa ia harus memiliki interpretasi luas yang sama dengan istilah "probabilitas"
miliki dalam banyak bahasa selain bahasa Inggris.
3.8 control / kontrol
ukuran yang mempertahankan dan / atau memodifikasi risiko (3.1)
o Kontrol mencakup, tetapi tidak terbatas pada, proses, kebijakan, perangkat, praktik, atau
kondisi dan / atau tindakan lain apa pun yang mempertahankan dan / atau memodifikasi
risiko.
o Kontrol mungkin tidak selalu menggunakan efek modifikasi yang dimaksudkan atau
diasumsikan.
4 Principles / Prinsip
Tujuan manajemen risiko adalah penciptaan dan perlindungan nilai. Ini
meningkatkan kinerja, mendorong inovasi dan mendukung pencapaian tujuan
a) Terintegrasi
Manajemen risiko adalah bagian integral dari semua kegiatan organisasi.
c) Disesuaikan
Kerangka kerja dan proses manajemen risiko disesuaikan dan proporsional dengan konteks eksternal dan
internal organisasi terkait dengan tujuannya.
d) Inklusif
Keterlibatan pemangku kepentingan yang tepat dan tepat waktu memungkinkan pengetahuan, pandangan,
dan persepsi mereka dipertimbangkan. Ini menghasilkan peningkatan kesadaran dan manajemen risiko
informasi
e) Dinamis
Risiko dapat muncul, berubah atau menghilang ketika konteks eksternal dan internal organisasi berubah.
Manajemen risiko mengantisipasi, mendeteksi, mengakui dan merespons perubahan dan peristiwa tersebut
secara tepat dan tepat waktu.
h) Peningkatan berkelanjutan
Manajemen risiko terus ditingkatkan melalui pembelajaran dan pengalaman.
5 Framework/ Kerangka Kerja
Tujuan dari kerangka kerja manajemen risiko adalah untuk membantu organisasi dalam
mengintegrasikan manajemen risiko ke dalam kegiatan dan fungsi yang signifikan.
Efektivitas manajemen risiko akan tergantung pada integrasinya ke dalam tata kelola
organisasi, termasuk pengambilan keputusan.
Membutuhkan dukungan dari para pemangku kepentingan, terutama manajemen puncak.
Pengembangan kerangka kerja mencakup pengintegrasian, desain, implementasi, evaluasi,
dan peningkatan manajemen risiko di seluruh organisasi.
Gambar 3 mengilustrasikan komponen kerangka kerja.
RINGKASAN
Kerangka kerja manajemen risiko adalah risk governance yang meliputi kepemimpinan,
akuntabilitas, dan pengawasan yang merupakan bagian dari tata Kelola perusahaan secara
keseluruhan, perlu diperhatikan bahwa tata Kelola perusahaan tunduk pada yurisdiksi
hukum dan perundangan negara setempat.
Risk Governance juga meliputi pengembangan budaya sadar risiko dan praktek terbaik
perusahaan terutama model three lines of defence ( pertahanan tiga lapis).
Integrasi manajemen risiko ke dalam proses perencanaan perusahaan merupakan bagian
yang penting dalam tata Kelola perusahaan dalam pencapaian sasaran dan peningkatan
kinerja perusahaan.
Dalam penerapan, manajemen organisasi perlu menyesuaikan mekanisme dan aktifitas
dalam komponen kerangka kerja manajemen risiko dengan kebutuhannya.
5.2 Leadership and commitment/Kepemimpinan dan Komitmen
Manajemen puncak dan komite pengawas, jika ada, harus memastikan bahwa manajemen
risiko terintegrasi ke dalam semua kegiatan organisasi dan harus memberikan contoh
kepemimpinan dan komitmen yang konsisten dengan cara :
Direksi dan Dewan Komisaris hendaknya menyamakan persepsi dan pemahaman ISO
31000:2018.
Menentukan diantara anggota Direksi siapa yang menjadi Risk Leader yang akan
menjabarkan lebih lanjut strategi penerapan manajemen risiko dan rencana keseluruhan
penerapan manajemen risiko untuk disepakati Bersama oleh Direksi dan Dewan
Komisaris.
Membentuk Unit Kerja Manajemen Risiko dan menunjuk beberapa staf untuk menjadi
anggotanya.
Anggota Direksi yang ditunjuk menjadi Risk Leader ini selanjutnya mempunyai
akuntabilitas dan kewenangan sebagaimana diatur dalam standar atau manual
Manajemen Risiko yang akan disetujui Direksi dan Dewan Komisaris.
Direksi dan Dewan Komisaris hendaknya melaksanakan apa yang diminta oleh standar.
5.3 Integration / Integrasi
Secara umum integrasi ini ialah proses dan upaya dalam memastikan bahwa
Manajemen Risiko menjadi proses yang tidak terpisahkan dari seluruh proses bisnis
yang ada didalam organisasi.
o Mengintegrasikan proses Manajemen Risiko kedalam organisasi adalah proses yang dinamis dan
berkesinambungan serta disesuaikan dengan kebutuhan dan Budaya organisasi.
o Manajemen Risiko harus menjadi bagian yang tidak terpisahkan dari tujuan organisasi, tata kelola,
kepemimpinan dan komitmen, strategi, tujuan dan sasaran, serta kegiatan operasional.
o Mengintegrasikan Manajemen Risiko sangat bergantung kepada pemahaman terhadap struktur
organisasi dan konteksnya. Struktur tersebut dapat berbeda, bergantung ke tujuan, sasaran dan
kompleksitasnya, dan risiko di kelola di setiap bagian struktur organisasi.
o Menentukan akuntabilitas dan peran pengawasan Manajemen Risiko merupakan bagian tak
terpisahkan dari tata kelola yang dibutuhkan.
o Dengan adannya integrasi maka secara umum setiap insan organisasi mempunyai tanggung jawab
dalam mengelola risiko.
TIPS PENERAPAN
Ketika merancang kerangka kerja untuk mengelola risiko, organisasi harus memeriksa dan memahami
konteks eksternal dan internalnya.
Meneliti konteks eksternal organisasi dapat mencakup, tetapi tidak terbatas pada:
faktor sosial, budaya, politik, hukum, peraturan, keuangan, teknologi, ekonomi dan lingkungan,
baik internasional, nasional, regional atau lokal;
pendorong dan tren utama yang mempengaruhi tujuan organisasi;
hubungan, persepsi, nilai, kebutuhan, dan harapan pemangku kepentingan eksternal;
hubungan dan komitmen kontraktual;
kompleksitas jaringan dan ketergantungan.
Meneliti konteks internal organisasi dapat mencakup, tetapi tidak terbatas pada:
Membuat Kebijakan Manajemen Risiko yang merupakan pernyataan niat dan komitmen
Direksi dan Dewan Komisaris untuk menerapkan manajemen risiko dan berisikan
gambaran umum uraian penerapannya sesuai dengan tuntutan srandar ISO 31000.
Bentuk Kebijakan Manajemen Risiko :
Sebuah pernyataan dan didukung oleh buku Panduan Manajemen Risiko yang terpisah.
Sebuah buku yang berisikan pernyataan kebijakan manajemen risiko dan diikuti dengan
perincian prosedur dan tata Kelola manajemen risiko.
Mensosialisasikan Kebijakan Manajemen Risiko ke seluruh jajaran manajemen dan
karyawan organisasi, serta ke seluruh pemangku kepentingan terkait.
5.4.2 Articulating risk management commitment / Mengartikulasikan komitmen
manajemen risiko
Manajemen puncak dan badan pengawas, jika ada, harus menunjukkan dan mengartikulasikan komitmen
berkelanjutan mereka terhadap manajemen risiko melalui kebijakan, pernyataan atau bentuk lain yang dengan jelas
menyampaikan tujuan dan komitmen organisasi terhadap manajemen risiko.
tujuan organisasi untuk mengelola risiko dan tautan ke tujuan dan kebijakan lainnya;
memperkuat kebutuhan untuk mengintegrasikan manajemen risiko ke dalam budaya organisasi secara
keseluruhan;
memimpin integrasi manajemen risiko ke dalam kegiatan bisnis inti dan pengambilan keputusan;
otoritas, tanggung jawab dan akuntabilitas;
menyediakan sumber daya yang diperlukan;
cara di mana tujuan yang saling bertentangan ditangani;
pengukuran dan pelaporan dalam indikator kinerja organisasi;
review dan peningkatan.
Komitmen manajemen risiko harus dikomunikasikan dalam suatu organisasi dan kepada para pemangku
kepentingan, yang sesuai.
5.4.3 Assigning organizational roles, authorities, responsibilities and
accountabilities / Menugaskan peran, wewenang, tanggung jawab, dan
akuntabilitas organisasi
Manajemen puncak dan badan pengawas, jika ada, harus memastikan bahwa otoritas, tanggung
jawab, dan akuntabilitas untuk peran yang relevan sehubungan dengan manajemen risiko
ditugaskan dan dikomunikasikan di semua tingkatan organisasi, dan harus:
Manajemen puncak dan badan pengawas, jika ada, harus memastikan alokasi sumber daya
yang tepat untuk manajemen risiko, yang dapat mencakup, tetapi tidak terbatas pada:
Organisasi harus mempertimbangkan kemampuan, dan kendala pada, sumber daya yang ada.
5.4.5 Establishing communication and consultation / Membangun komunikasi dan konsultasi
Organisasi harus menetapkan pendekatan yang disetujui untuk komunikasi dan konsultasi
untuk mendukung kerangka kerja dan memfasilitasi penerapan manajemen risiko yang
efektif.
Komunikasi melibatkan berbagi informasi dengan audiens yang ditargetkan. Konsultasi
juga melibatkan peserta yang memberikan umpan balik dengan harapan bahwa hal itu akan
berkontribusi dan membentuk keputusan atau kegiatan lainnya.
Metode dan konten komunikasi dan konsultasi harus mencerminkan harapan para
pemangku kepentingan, jika relevan.
Komunikasi dan konsultasi harus tepat waktu dan memastikan bahwa informasi yang
relevan dikumpulkan, disusun, disintesis, dan dibagikan, jika perlu, dan bahwa umpan balik
diberikan dan perbaikan dilakukan.
5.5 Implementation / Implementasi
Organisasi harus menerapkan kerangka kerja manajemen risiko dengan:
Keberhasilan implementasi kerangka kerja membutuhkan keterlibatan dan kesadaran para pemangku
kepentingan. Hal ini memungkinkan organisasi untuk secara eksplisit mengatasi ketidakpastian dalam
pengambilan keputusan, sambil juga memastikan bahwa setiap ketidakpastian baru atau selanjutnya
dapat diperhitungkan ketika hal itu muncul. Dirancang dan diimplementasikan dengan benar, kerangka
kerja manajemen risiko akan memastikan bahwa proses manajemen risiko adalah bagian dari semua
kegiatan di seluruh organisasi, termasuk pengambilan keputusan, dan bahwa perubahan dalam konteks
eksternal dan internal akan ditangkap secara memadai.
5.6 Evaluation / Evaluasi
secara berkala mengukur kinerja kerangka manajemen risiko terhadap tujuannya, rencana
implementasi, indikator dan perilaku yang diharapkan;
menentukan apakah tetap cocok untuk mendukung pencapaian tujuan organisasi.
Organisasi harus terus memantau dan mengadaptasi kerangka kerja manajemen risiko untuk
mengatasi perubahan eksternal dan internal. Dengan demikian, organisasi dapat meningkatkan
nilainya.
5.7.2 Continually improving / Perbaikan Sinambung
Organisasi harus terus meningkatkan kesesuaian, kecukupan, dan efektivitas kerangka kerja
manajemen risiko dan cara proses manajemen risiko terintegrasi.
Ketika celah yang relevan atau peluang peningkatan diidentifikasi, organisasi harus
mengembangkan rencana dan tugas dan menugaskan mereka yang bertanggung jawab untuk
implementasi.
Setelah diimplementasikan, perbaikan ini harus berkontribusi pada peningkatan manajemen
risiko
6 Process / Proses
Mungkin ada banyak aplikasi dari proses manajemen risiko dalam suatu organisasi,
disesuaikan untuk mencapai tujuan dan agar sesuai dengan konteks eksternal dan internal di
mana mereka diterapkan.
Sifat dinamis dan variabel perilaku dan budaya manusia harus dipertimbangkan selama proses
manajemen risiko.
Meskipun proses manajemen risiko sering disajikan secara berurutan, dalam praktiknya ini
berulang.
6.2 Communication and consultation / Komunikasi dan Konsultasi
Tujuan dari komunikasi dan konsultasi adalah untuk membantu para pemangku kepentingan yang relevan
dalam memahami risiko, dasar pengambilan keputusan dan alasan mengapa tindakan tertentu diperlukan.
Komunikasi berupaya untuk meningkatkan kesadaran dan pemahaman tentang risiko, sedangkan konsultasi
melibatkan memperoleh umpan balik dan informasi untuk mendukung pengambilan keputusan.
Koordinasi erat antara keduanya harus memfasilitasi pertukaran informasi yang faktual, tepat waktu, relevan,
akurat, dan dapat dipahami, dengan mempertimbangkan kerahasiaan dan integritas informasi serta hak
privasi masing-masing individu.
Komunikasi dan konsultasi dengan pemangku kepentingan eksternal dan internal yang sesuai harus
dilakukan di dalam dan di seluruh langkah proses manajemen risiko.
Komunikasi dan konsultasi bertujuan untuk:
menyatukan bidang keahlian yang berbeda untuk setiap langkah proses manajemen risiko;
memastikan bahwa pandangan yang berbeda dipertimbangkan dengan tepat ketika mendefinisikan kriteria
risiko dan ketika mengevaluasi risiko;
memberikan informasi yang memadai untuk memfasilitasi pengawasan risiko dan pengambilan keputusan;
membangun rasa inklusif dan kepemilikan di antara mereka yang terkena dampak risiko
6.2 Communication and consultation / Komunikasi dan Konsultasi
Komunikasi dan Konsultasi adalah urat nadi proses manajemen risiko dan
oleh karena itu harus selalu diperhatikan dalam setiap tahapan proses
manajemen risiko. Ketika proses memasuki tahap pertama, yaitu
“membangun konteks”maka langkah pertama yang dilaksanakan ialah
membangun hubungan dengan para pihak yang berkepentingan untuk
menginformasikan hal-hal yang penting bagi kelancaran proses manajemen
risiko dan sekaligus memperoleh komitmen dukungan dari pihak tersebut.
Beberapa teknik dan metode yang dapat digunakan antara lain Matriks
Penugasan Tanggungjawab atau dikenal dengan Responsibility Assigment
Matrix ( RAM ) atau biasa dikenal dengan Matriks RACI.
6.2 Communication and consultation / Komunikasi dan Konsultasi
RACI
R Responsibility
A Accountable
C Consulted/Contributed
I Informed
6.2 Communication and consultation / Komunikasi dan Konsultasi
RACI
6.2 Communication and consultation / Komunikasi dan Konsultasi
RACI
6.3 Scope, context and criteria / Lingkup, konteks dan kriteria
Tujuan membangun ruang lingkup, konteks dan kriteria adalah untuk menyesuaikan proses
manajemen risiko, memungkinkan penilaian risiko yang efektif dan perlakuan risiko yang tepat.
Lingkup, konteks dan kriteria melibatkan mendefinisikan ruang lingkup proses, dan memahami
konteks eksternal dan internal.
6.3.2 Defining the scope / Menentukan ruang lingkup
Konteks eksternal dan internal adalah lingkungan di mana organisasi berusaha untuk
mendefinisikan dan mencapai tujuannya.
Konteks proses manajemen risiko harus dibangun dari pemahaman lingkungan eksternal dan
internal di mana organisasi beroperasi dan harus mencerminkan spesifik
lingkungan aktivitas tempat proses manajemen risiko diterapkan.
Memahami konteks itu penting karena:
Organisasi harus menetapkan konteks eksternal dan internal dari proses manajemen risiko dengan
mempertimbangkan faktor-faktor yang disebutkan dalam 5.4.1.
6.3.4 Defining risk criteria / Menentukan kriteria risiko
Organisasi harus menentukan jumlah dan jenis risiko yang mungkin atau mungkin tidak diambilnya,
relatif terhadap sasaran.
Ini juga harus mendefinisikan kriteria untuk mengevaluasi signifikansi risiko dan untuk mendukung
proses pengambilan keputusan.
Kriteria risiko harus diselaraskan dengan kerangka kerja manajemen risiko dan disesuaikan dengan
tujuan spesifik dan ruang lingkup kegiatan yang sedang dipertimbangkan.
Kriteria risiko harus mencerminkan nilai-nilai, tujuan dan sumber daya organisasi dan konsisten dengan
kebijakan dan pernyataan tentang manajemen risiko.
Kriteria harus didefinisikan dengan mempertimbangkan kewajiban organisasi dan pandangan para
pemangku kepentingan.
Sementara kriteria risiko harus ditetapkan pada awal proses penilaian risiko, mereka dinamis dan harus
terus ditinjau dan diamandemen, jika perlu.
Untuk menetapkan kriteria risiko, berikut ini harus dipertimbangkan:
o sifat dan jenis ketidakpastian yang dapat mempengaruhi hasil dan tujuan (baik
berwujud maupun tidak berwujud);
o bagaimana konsekuensi (baik positif maupun negatif) dan kemungkinan akan
ditentukan dan diukur;
o faktor terkait waktu;
o konsistensi dalam penggunaan pengukuran;
o bagaimana tingkat risiko ditentukan;
o bagaimana kombinasi dan urutan berbagai risiko akan diperhitungkan;
o kapasitas organisasi.
6.4 Risk assessment / Penilaian Risiko
Penilaian risiko adalah keseluruhan proses identifikasi risiko, analisis risiko dan evaluasi
risiko.
Penilaian risiko harus dilakukan secara sistematis, iteratif, dan kolaboratif, dengan
memanfaatkan pengetahuan dan pandangan para pemangku kepentingan.
Harus menggunakan informasi terbaik yang tersedia, ditambah dengan penyelidikan lebih
lanjut sebagaimana diperlukan.
6.4.2 Risk identification / Identifikasi Risiko
Tujuan dari identifikasi risiko adalah untuk menemukan, mengenali dan menggambarkan risiko yang
dapat membantu atau mencegah suatu organisasi mencapai tujuannya.
Informasi yang relevan, tepat, dan terkini penting dalam mengidentifikasi risiko. Organisasi dapat
menggunakan berbagai teknik untuk mengidentifikasi ketidakpastian yang dapat memengaruhi satu
atau lebih tujuan.
Faktor-faktor berikut, dan hubungan antara faktor-faktor ini, harus dipertimbangkan:
Keputusan harus mempertimbangkan konteks yang lebih luas dan konsekuensi aktual dan yang
dirasakan oleh pemangku kepentingan eksternal dan internal.
Hasil evaluasi risiko harus dicatat, dikomunikasikan dan kemudian divalidasi pada tingkat organisasi
yang sesuai.
6.5 Risk treatment / Perlakuan Risiko
Tujuan dari perawatan risiko adalah untuk memilih dan menerapkan opsi untuk
mengatasi risiko.
Perlakuan risiko melibatkan proses berulang dari:
menghindari risiko dengan memutuskan untuk tidak memulai atau melanjutkan kegiatan yang
menimbulkan risiko;
mengambil atau meningkatkan risiko untuk mengejar peluang;
menghapus sumber risiko;
mengubah kemungkinan;
mengubah konsekuensinya;
berbagi risiko (mis. Melalui kontrak, membeli asuransi);
mempertahankan risiko dengan keputusan berdasarkan informasi.
6.5.2 Selection of risk treatment options / Pemilihan opsi perlakuan risiko
Secara umum, 4 perlakukan terhadap suatu risiko :
Menghindari Risiko (Risk Avoidance) – tidak melaksanakan atau meneruskan kegiatan yang
menimbulkan risiko.
Bergai Risiko (Risk Sharing/Transfer) – Suatu Tindakan untuk mengurangi kemungkinan timbulnya
risiko/dampak risiko. Misalnya melalui asuransi, outsourcing, subcontracting, tindak lindung transaksi
nilai mata uang asing, dll.
Mitigasi (Mitigation) – Melakukan perlakuan risiko untuk mengurangi kemungkinan timbulnya risiko,
atau mengurangi dampak risiko bila terjadi, atau mengurangi keduanya, kemungkinan dan dampak.
Menerima risiko (Risk Acceptance) – Tidak melakukan perlakuan apapun terhadap risiko tersebut.
Justifikasi untuk perlakuan risiko lebih luas daripada pertimbangan ekonomi semata dan harus
memperhitungkan semua kewajiban organisasi, komitmen sukarela, dan pandangan pemangku
kepentingan.
Pemilihan opsi perlakuan risiko harus dibuat sesuai dengan tujuan organisasi, kriteria risiko dan
sumber daya yang tersedia.
Ketika memilih opsi perlakuan risiko, organisasi harus mempertimbangkan nilai-nilai, persepsi dan
potensi keterlibatan para pemangku kepentingan dan cara-cara yang paling tepat untuk berkomunikasi
dan berkonsultasi dengan mereka.
Meskipun sama-sama efektif, beberapa perlakuan risiko dapat lebih diterima oleh beberapa pemangku
kepentingan daripada yang lain.
Perlakuan risiko, bahkan jika dirancang dan diimplementasikan dengan hati-hati mungkin tidak
menghasilkan hasil yang diharapkan dan dapat menghasilkan konsekuensi yang tidak diinginkan.
Pemantauan dan peninjauan perlu menjadi bagian integral dari pelaksanaan perlakuan risiko untuk
memberikan jaminan bahwa berbagai bentuk perlakuan menjadi dan tetap efektif.
Perlakuan risiko juga dapat menimbulkan risiko baru yang perlu dikelola.
Jika tidak ada pilihan perlakuan yang tersedia atau jika opsi perlakuan tidak cukup
memodifikasi risiko, risiko harus dicatat dan disimpan di bawah tinjauan yang sedang
berlangsung.
Pembuat keputusan dan pemangku kepentingan lainnya harus menyadari sifat dan tingkat
risiko yang tersisa setelah perlakuan risiko.
Risiko yang tersisa harus didokumentasikan dan dikenakan pemantauan, peninjauan dan, jika
sesuai, perlakuan lebih lanjut.
6.5.3 Preparing and implementing risk treatment plans/ Mempersiapkan
dan mengimplementasikan rencana perlakuan risiko
Tujuan dari rencana perlakuan risiko adalah untuk menentukan bagaimana opsi perlakuan yang
dipilih akan diimplementasikan, sehingga pengaturan dipahami oleh mereka yang terlibat, dan
kemajuan terhadap rencana dapat dipantau.
Rencana perlakuan harus secara jelas mengidentifikasi urutan perlakuan risiko yang harus
dilaksanakan.
Rencana perlakuan harus diintegrasikan ke dalam rencana manajemen dan proses organisasi,
dengan berkonsultasi dengan pemangku kepentingan yang tepat.
Informasi yang disediakan dalam rencana perlakuan harus mencakup:
o dasar pemikiran untuk pemilihan opsi perlakuan, termasuk manfaat yang diharapkan untuk
diperoleh;
o mereka yang bertanggung jawab dan bertanggung jawab untuk menyetujui dan
mengimplementasikan rencana;
o tindakan yang diusulkan;
o sumber daya yang dibutuhkan, termasuk kemungkinan;
o ukuran kinerja;
o kendala;
o pelaporan dan pemantauan yang diperlukan;
o ketika tindakan diharapkan akan dilakukan dan diselesaikan.
6.6 Monitoring and review / Pemantauan dan peninjauan
Tujuan pemantauan dan peninjauan adalah untuk memastikan dan meningkatkan kualitas dan
efektivitas desain proses, implementasi dan hasil.
Pemantauan yang sedang berlangsung dan tinjauan berkala dari proses manajemen risiko dan
hasilnya harus menjadi bagian yang direncanakan dari proses manajemen risiko, dengan
tanggung jawab yang jelas.
Pemantauan dan peninjauan harus dilakukan di semua tahap proses.
Pemantauan dan peninjauan mencakup perencanaan, pengumpulan dan analisis informasi,
pencatatan hasil, dan pemberian umpan balik.
Hasil pemantauan dan tinjauan harus dimasukkan ke seluruh kegiatan manajemen kinerja,
pengukuran dan pelaporan organisasi.
6.7 Recording and reporting / Pencatatan dan Pelaporan
Proses manajemen risiko dan hasilnya harus didokumentasikan dan dilaporkan melalui mekanisme
yang tepat.
Pencatatan dan pelaporan bertujuan untuk:
pemangku kepentingan yang berbeda dan kebutuhan serta persyaratan informasi spesifik
mereka;
biaya, frekuensi dan ketepatan waktu pelaporan;
metode pelaporan;
relevansi informasi dengan tujuan organisasi dan pengambilan keputusan.
Skema Manajemen Risiko pada ISO 31000:2018