manajemen resiko iso 3001 2009

8/18/2019 Manajemen Resiko ISO 3001 2009

1/19


2/19

kerangka kerja, dan proses manajemen risiko yang dapat digunakan sebagai arsitektur manajemen risikodalam usaha menjamin penerapan manajemen risiko yang efektif.

1.2. Ruang Lingkup

Ruang lingkup proses manajemen risiko terdiri dari:a. Penentuan konteks kegiatan yang akan dikelola risikonyab. Identifikasi risiko,

c. Analisis risiko,d. Evaluasi risiko,e. Pengendalian risiko,f. Pemantauan dan telaah ulang,g. Koordinasi dan komunikasi.

Pelaksanaan manajemen risiko haruslah menjadi bagian integral dari pelaksanaan sistemmanajemen perusahaan/ organisasi. Proses manajemen risiko Ini merupakan salah satu langkah yangdapat dilakukan untuk terciptanya perbaikan berkelanjutan (continuous improvement). Prosesmanajemen risiko juga sering dikaitkan dengan proses pengambilan keputusan dalam sebuahorganisasi. Manajemen risiko adalah metode yang tersusun secara logis dan sistematis dari suatu

rangkaian kegiatan: penetapan konteks, identifikasi, analisa, evaluasi, pengendalian serta komunikasirisiko.

Proses ini dapat diterapkan di semua tingkatan kegiatan, jabatan, proyek, produk ataupun asset.Manajemen risiko dapat memberikan manfaat optimal jika diterapkan sejak awal kegiatan. Walaupundemikian manajemen risiko seringkali dilakukan pada tahap pelaksanaan ataupun operasional kegiatan.

1.3. Pengertian :

Manajemen Risiko didefinisikan

1. Menurut Smith (1990 dikutip dalam Anonim 2009) Manajemen Resiko didefinisikan sebagai proses

identifikasi, pengukuran,dan kontrol keuangan dari sebuah resiko yang mengancam aset dan


3/19

penghasilan dari sebuah perusahaan atau proyek yang dapat menimbulkan kerusakan ataukerugian pada perusahaan tersebut.

2. Menurut Clough and Sears (1994 dikutip dalam Anonim 2009), Manajemen risiko didefinisikansebagai suatu pendekatan yang komprehensif untuk menangani semua kejadian yangmenimbulkan kerugian.

3. Menurut William, et.al (1995 dikutip dalam Anonim 2009) Manajemen risiko juga merupakan suatuaplikasi dari manajemen umum yang mencoba untuk mengidentifikasi, mengukur, dan menanganisebab dan akibat dari ketidakpastian pada sebuah organisasi.

4. Dorfman (1998 dikutip dalam Anonim 2009) Manajemen risiko dikatakan sebagai suatu proseslogis dalam usahanya untuk memahami eksposur terhadap suatu kerugian.

Beberapa definisi tentang risiko, sebagai berikut::

1. Risk is the change of loss,

risiko diartikan sebagai kemungkinan akan terjadinya kerugian,

2. Risk is the possibility of loss,

risiko adalah kemungkinan kerugian,

3. Risk is Uncertainty,

risiko adalah ketidakpastian,

4. Risk is the dispersion of actual from expected result,

risiko merupakan penyebaran hasil actual dari hasil yang diharapkan,

5. Risk is the probability of any outcome different from the one expected,

risiko adalah probabilitas atas sesuatu outcome berbeda dengan outcome yang diharapkan.

6. Risiko,

Peluang terjadinya sesuatu yang akan mempunyai dampak terhadap sasaran. Ini diukur denganhukum sebab akibat. Variabel yang diukur biasanya probabilitas, konsekuensi dan jugapemajanan.

7. Penerimaan Risiko (acceptable risk),

Keputusan untuk menerima konsekuensi dan kemungkinan risiko tertentu.

8. Analisis risiko.Sebuah sistematika yang menggunakan informasi yang didapat untuk menentukan seberapasering kejadian tertentu dapat terjadi dan besarnya konsekuensi tersebut.

9. Penilaian risiko,

Proses analisis risiko dan evalusi risiko secara keseluruhan.

10. Penghindaran risiko,

Keputusan yang diberitahukan tidak menjadi terlibat dalam situasi risiko.

11. Pengendalian risiko,

Bagian dari manajemen risiko yang melibatkan penerapan kebijakan, standar, prosedurperubahan fisik untuk menghilangkan atau mengurangi risiko yang kurang baik.


4/19

12. Evaluasi risiko,

Proses yang biasa digunakan untuk menentukan manajemen risiko dengan membandingkantingkat risiko terhadap standar yang telah ditentukan, target tingkat risiko dan kriteria lainnya.

13. Identifikasi Risiko,

Proses menentukan apa yang dapat terjadi, mengapa dan bagaimana.

14. Pengurangan Risiko,

Penggunaan/ penerapan prinsip-prinsip manajemen dan teknik-teknik yang tepat secara selektif,dalam rangka mengurangi kemungkinan terjadinya suatu kejadian atau konsekuensinya, ataukeduanya.

15. Pemindahan Risiko (risk transfer),

Mendelegasikan atau memindahkan suatu beban kerugian ke suatu kelompok/ bagian lain melalui jalur hukum, perjanjian/ kontrak, asuransi, dan lain-lain. Pemindahan risiko mengacu padapemindahan risiko fisik dan bagiannya ke tempat lain.

16. Konsekuensi ;

Akibat dari suatu kejadian yang dinyatakan secara kualitatif atau kuantitatif, berupa kerugian, sakit,cedera, keadaan merugikan atau menguntungkan. Bisa juga berupa rentangan akibat-akibat yangmungkin terjadi dan berhubungan dengan suatu kejadian.

17. Kejadian ;

Suatu peristiwa (insiden) atau situasi, yang terjadi pada tempat tertentu selama interval waktutertentu.

18. Analisis Urutan Kejadian ;

Suatu teknik yang menggambarkan rentangan kemungkinan dan rangkaian akibat yang bisatimbul dari proses suatu kejadian.

19. Analisis Urutan Kesalaha ;

Suatu metode sistem teknik untuk menunjukkan kombinasi-kombinasi yang logis dari berbagaikeadaan sistem dan penyebab-penyebab yang mungkin bisa berkontribusi terhadap kejadiantertentu (disebut kejadian puncak).

20. Frekuensi ;

Ukuran angka dari peristiwa suatu kejadian yang dinyatakan sebagai jumlah peristiwa suatukejadian dalam waktu tertentu. Terlihat juga seperti kemungkinan dan peluang.

21. Bahaya (hazard );

Faktor intrinsik yang melekat pada sesuatu dan mempunyai potensi untuk menimbulkan kerugian.

22. Monitoring / Pemantauan ;

Pengecekan, Pengawasan, Pengamatan secara kritis, atau Pencatatan kemajuan dari suatukegiatan, tindakan, atau sistem untuk mengidentifikasi perubahan-perubahan yang mungkinterjadi.

23. Probabilitas ;

Digunakan sebagai gambaran kualitatif dari peluang atau frekuensi.Kemungkinan dari kejadian

atau hasil yang spesifik, diukur dengan rasio dari kejadian atau hasil yang spesifik terhadap jumlahkemungkinan kejadian atau hasil. Probabilitas dilambangkan dengan angka dari 0 dan 1, dengan


5/19

0 menandakan kejadian atau hasil yang tidak mungkin dan 1 menandakan kejadian atau hasilyang pasti.

Manajemen risiko dapat diterapkan di setiap level di organisasi. Manajemen risiko dapatditerapkan di level strategis dan level operasional. Manajemen risiko juga dapat diterapkan pada proyekyang spesifik, untuk membantu proses pengambilan keputusan ataupun untuk pengelolaan daerahdengan risiko yang spesifik.

1.4. Kebijakan Manajemen Risiko

Kebijakan manjemen risiko harus relevan dengan konteks strategi dan tujuan organisasi, objektifdan sesuai dengan sifat dasar bisnis (organisasi) tersebut. Manejemen akan memastikan bahwakebijakan tersebut dapat dimengerti, dapat diimplementasikan di setiap tingkatan organisasi.

a. Perencanaan Dan Pengelolaan Hasil

1. Komitmen Manajemen.Organisasi harus dapat memastikan bahwa:a. Sistem manejemen risiko telah dapat dilaksanakan, dan telah sesuai dengan standarb. Hasil/ performa dari sistem manajemen risiko dilaporkan ke manajemen organisasi, agar

dapat digunakan dalam meninjau (review ) dan sebagai dasar (acuan) dalam pengambilankeputusan.

2. Tanggung jawab dan kewenanganTanggung jawab, kekuasaan dan hubungan antar anggota yang dapat menunjukkan danmembedakan fungsi kerja didalam manajemen risiko harus terdokumentasikan khususnya untuk

hal-hal sebagai berikut:a. Tindakan pencegahan atau pengurangan efek dari risiko.b. Pengendalian yang akan dilakukan agar faktor risiko tetap pada batas yang masih dapat

diterima.c. Pencatatan faktor-faktor yang berhubungan dengan kegiatan manajemen risiko.d. Rekomendasi solusi sesuai cara yang telah ditentukan.e. Memeriksa validitas implementasi solusi yang ada.f. Komunikasi dan konsultasi secara internal dan eksternal.

3. SumberOrganisasi harus dapat mengidentifikasikan persyaratan kompetensi sumber daya manusia

(SDM) yang diperlukan. Oleh karena itu untuk meningkatkan kualifikasi SDM perlu untuk mengikuti

pelatihan-pelatihan yang relevan dengan pekerjaannya seperti pelatihan manajerial, dan lainsebagainya.

b. Elemen Utama Manjemen Riseko

Elemen utama dari proses manajemen risiko, meliputi:a. Penetapan tujuan

Menetapkan strategi, kebijakan organisasi dan ruang lingkup manajemen risiko yang akandilakukan.

b. Identifkasi risiko


6/19

Mengidentifikasi apa, mengapa dan bagaimana faktor-faktor yang mempengaruhi terjadinyarisiko untuk analisis lebih lanjut.

c. Analisis risiko

Dilakukan dengan menentukan tingkatan probabilitas dan konsekuensi yang akan terjadi.

Kemudian ditentukan tingkatan risiko yang ada dengan mengalikan kedua variabel tersebut(probabilitas X konsekuensi).

d. Evaluasi risiko

Membandingkan tingkat risiko yang ada dengan kriteria standar. Setelah itu tingkatan risikoyang ada untuk beberapa hazards dibuat tingkatan prioritas manajemennya. Jika tingkatrisiko ditetapkan rendah, maka risiko tersebut masuk ke dalam kategori yang dapat diterimadan mungkin hanya memerlukan pemantauan saja tanpa harus melakukan pengendalian.

e. Pengendalian risiko

Melakukan penurunan derajat probabilitas dan konsekuensi yang ada dengan

menggunakan berbagai alternatif metode, bisa dengan transfer risiko, dan lain-lain.f. Monitor dan Review

Monitor dan review terhadap hasil sistem manajemen risiko yang dilakukan sertamengidentifikasi perubahan-perubahan yang perlu dilakukan.

g. Komunikasi dan konsultasi

Komunikasi dan konsultasi dengan pengambil keputusan internal dan eksternal untuk tindaklanjut dari hasil manajemen risiko yang dilakukan.

II. ASESMEN MANAJEMEN RISIKO BERBASIS ISO 31000:2009

2.1 Pengantar

Asesmen manajemen risiko berbasis ISO 31000:2009 yang agaknya menjadi trending topic dibeberapa perusahaan saat ini dan ISO 31000 dianggap bisa mewakili standar manajemen risiko padabeberapa perusahaan di Indonesia. Sebelum membahas mengenai asesmen manajemen risiko, adabeberapa hal yang perlu dibedah dari ISO 31000:2009.

Organisasi yang telah mengimplementasikan AS/NZS 4360:2004 Risk Management Standard(standar manajemen risiko dari Australia) akan langsung melihat kemiripan antara proses manajemenrisiko yang diperkenalkan ISO 31000:2009 di atas dengan proses manajemen risiko menurut AS/NZS4360:2004. Memang demikian karena ISO mengadopsi proses manajemen risiko AS/NZS 4360:2004untuk mendukung kerangka kerja yang dikembangkannya

Organisasi yang berminat menerapkan manajemen risiko berbasis ISO 31000:2009 perlumemperhatikan tiga aspek penting yang ditekankan dalam standar ini yakni, pertama, penerapanmanajemen risiko harus disertai komitmen yang tinggi dari pengurus organisasi (corporate boards),dalam perusahaan berarti Direksi dan Komisaris; kedua, manajemen risiko harus diintegrasikan ke dalamseluruh proses organisasi dan menjadi bagian yang tidak terpisahkan dari core responsibilities parapemilik/penanggung jawab proses (dalam perusahaan adalah para manajer dan staf di setiap

departemen), dan manajemen risiko harus merupakan bagian dari proses pengambilan keputusan baikpada tingkat governance maupun manajerial


7/19

Gbr- 01, Ketidakpastian

DefenisiPerlu dipahami terlebih dahulu mengenai definisi risiko dan manajemen risiko menurut ISO 31000:2009.

Definisi risiko adalah dampak dari ketidakpastian terhadap pencapaian obyektif. Dampakmenurut ISO 31000 adalah deviasi dari apa yang diharapkan, bisa bersifat positif dan/ataunegatif.

Definisi manajemen risiko adalah aktivitas yang terkoordinasi untuk mengarahkan danmengendalikan sebuah organisasi dalam menangani risiko

Definisi memberikan kita pemahaman awal bagaimana ISO 31000 memberikan arti mengenai keluasan

dan kedalaman sebuah risiko yang menjadi obyek sebuah asesmen.

2.2. Prinsip Pengelolaan Risiko

Menurut ISO 31000:2009, manajemen risiko suatu organisasi harus mengikuti 11 prinsip dasar agardapat dilaksanakan secara efektif. Berikut penjabaran prinsip-prinsip tersebut.

1. Manajemen risiko menciptakan nilai tambah (creates value)

Manajemen risiko berkontribusi terhadap pencapaian nyata objektif dan peningkatan, antara lain,

kesehatan dan keselamatan manusia, kepatuhan terhadap hukum dan peraturan, penerimaanpublik, perlindungan lingkungan, kinerja keuangan, kualitas produk, efisiensi operasi, serta tatakelola dan reputasi perusahaan.

2. Manajemen risiko adalah bagian integral proses dalam organisasi (an integral part oforganizational processes)

Manajemen risiko adalah bagian tanggung jawab manajemen dan merupakan suatu bagianintegral dalam proses normal organisasi seperti juga merupakan bagian dari seluruh proses proyekdan manajemen perubahan. Manajemen risiko bukanlah merupakan aktivitas yang berdiri sendiriyang terpisah dari aktivitas-aktivitas utama dan proses dalam organisasi.

3. Manajemen risiko adalah bagian dari pengambilan keputusan ( part of decision making )


8/19

Manajemen risiko membantu pengambil keputusan mengambil keputusan dengan informasi yangcukup. Manajemen risiko dapat membantu memprioritaskan tindakan dan membedakan berbagaipilihan alternatif tindakan. Pada akhirnya, manajemen risiko dapat membantu memutuskanapakah suatu risiko dapat diterima atau apakah suatu penanganan risiko telah memadai danefektif.

4. Manajemen risiko secara eksplisit menangani ketidakpastian (explicitly addressesuncertainty )

Manajemen risiko menangani aspek-aspek ketidakpastian dalam pengambilan keputusan, sifatalami dari ketidakpastian itu, dan bagaimana menanganinya.

5. Manajemen risiko bersifat sistematis, terstruktur, dan tepat waktu (systematic, structuredand timely )

Suatu pendekatan sistematis, tepat waktu, dan terstruktur terhadap manajemen risiko memilikikontribusi terhadap efisiensi dan hasil yang konsisten, dapat dibandingkan, serta andal.

6. Manajemen risiko berdasarkan informasi terbaik yang tersedia (based on the best availableinformation)

Masukan untuk proses pengelolaan risiko didasarkan oleh sumber informasi seperti pengalaman,umpan balik, pengamatan, prakiraan, dan pertimbangan pakar. Meskipun demikian, pengambilkeputusan harus terinformasi dan harus mempertimbangkan segala keterbatasan data atau modelyang digunakan atau kemungkinan perbedaan pendapat antar pakar.

7. Manajemen risiko dibuat sesuai kebutuhan (tailored )

Manajemen risiko diselaraskan dengan konteks eksternal dan internal organisasi serta profilrisikonya.

8. Manajemen risiko memperhitungkan faktor manusia dan budaya (takes human and cultural

factors into account )

Manajemen risiko organisasi mengakui kapabilitas, persepsi, dan tujuan pihak- pihak eksternaldan internal yang dapat mendukung atau malah menghambat pencapaian tujuan organisasi.

9. Manajemen risiko bersifat transparan dan inklusif (transparent and inclusive)

Pelibatan para pemangku kepentingan, terutama pengambil keputusan, dengan sesuai dan tepatwaktu pada semua tingkatan organisasi, memastikan manajemen risiko tetap relevan danmengikuti perkembangan. Pelibatan ini juga memungkinkan pemangku kepentingan untuk cukupterwakili dan diperhitungkan sudut pandangnya dalam menentukan kriteria risiko.

10. Manajemen risiko bersifat dinamis, iteratif, dan responsif terhadap perubahan (dynamic,

iterative and responsive to change)

Seiring dengan timbulnya peristiwa internal dan eksternal, perubahan konteks dan pengetahuan,serta diterapkannya pemantauan dan peninjauan, risiko-risiko baru bermunculan, sedangkan yangada bisa berubah atau hilang. Karenanya, suatu organisasi harus memastikan bahwa manajemenrisiko terus menerus memantau dan menanggapi perubahan.

11. Manajemen risiko memfasilitasi perbaikan dan pengembangan berkelanjutan organisasi(facilitates continual improvement and enhancement of the organization)

Organisasi harus mengembangkan dan mengimplementasikan strategi untuk memperbaiki kematanganmanajemen risiko mereka bersama aspek-aspek lain dalam organisasi mereka.


9/19

2.3. Pola Kerja Manajemen Risiko ISO 31000 : 2009

Pemahaman mengenai pendekatan yang disajikan dalam ISO 31000 terhadap pengelolaan risiko didalam sebuah organisasi melalui gambaran relasi antara prinsip, kerangka kerja, dan proses pengelolaanrisiko

Sumber: ISO 31000: 2009 Risk Management – Principles and Guidelines

Gbr-02 , Framework (Pola kerja ) Manajemen Risiko ISO 31000:2009

Framework Manajemen Risiko ISO 31000:2009 dalam klausul 4 (lihat gambar 03 di bawah)

Mandat (pemberian wewenang) dan komitmen (amanah) di klausul 4.2.

1. Rancangan Pola kerja untuk mengelola risiko di klausul 4.3.2. Penerapan manajemen risiko di klausul 4.4.3. Pemantauan dan review terhadap framework di klausul 4.5.4. Perbaikan framework berkelanjutan di klausul 4.2.


10/19

Gbr-03 , Framework Manajemen Risiko ISO 31000:2009 dalam klausul 4

Setelah pemberian mandat dan komitmen, kerangka kerja ISO 31000: 2009 dilanjutkan dengankerangka implementasi “Plan, Do, Check, Act”, yaitu dengan melakukan: (1) perencanaan kerangka kerja manajemen risiko;(2) penerapan manajemen risiko;(3) monitoring dan review terhadap kerangka kerja manajemen risiko;(4) perbaikan kerangka kerja manajemen risiko secara berkelanjutan

Plan – mendefinisikan dan analisis suatu masalah serta mengidentifikasi akar masalahnya

Mengkomunikasikan dan melatih.

Rencana komunikasi dan pelaporan.

Strategi training.

Jaringan manajemen risiko.

https://idrismadjidi.files.wordpress.com/2013/03/framework-rm-iso31000.jpg


11/19

Gbr – 04 , kerangka implementasi “Plan, Do, Check, Act”,

Do – melaksanakan solusi, membuat rencana kerja secara terinci dan menarapkannya secarasistematis.Yang masuk dalam Do ini antara lain :

Mengelola dan mengalokasikan

Komite manajemen risiko komisaris/dewan pengawas. Komite manajemen risiko eksekutif /direksi.

Manajer manajemen risiko.

RM Champions.

Risiko, pengendaliannya, ownernya.

Penyedia asuransi/penjaminannya.

Check – Memeriksa hasil kerja dibandingkan dengan rencananya dan mengidentifikasipenyimpangannya serta masalah-masalahnya.Yang masuk dalam Check ini antara lain :

Mengukur dan mengkaji. Mengendalikan asuransi/penjaminannya.

Kemajuan rencana manajemen risiko.

Pelaporan taka kelola.

Benchmarking / study banding.

Kriteria unjuk kerja.

Act – Menstandarisasi solusi. Mengkaji ulang dan mendefinisikan masalah-masalah yang akan datang.Yang masuk dalam Act ini antara lain :

Komitmen dan Mandat dari atasan kepada bawahannya, mulai dari pemegang saham,Komisaris, Direksi, sampai dengan karyawan level terendah dalam masalah manajemen

risiko. Pernyataan kebijakan manajemen risiko.


12/19

Rencana manajemen risiko.

Rencana Asuransi.

Standar-standar manajemen risiko.

Prosedur dan petunjuk-petunjuk kerja.

Secara lebih detail klausul 4 dengan PDCA nya digambarkan dengan gambar 05,berikut ini :

Gbr – 05, detail klausul 4 dengan PDCA

Framework Manajemen Risiko ISO 31000:2009 dalam klausul 5 (lihat gambar 06 di bawah) terdiri atas Kerangka kerja manajemen risiko ISO 31000: 2009 Risk Management – Principles and Guidelinesdimulai dengan pemberian mandat dan komitmen. Pemberian mandat dan komitmen merupakan halyang sangat penting karena menentukan akuntabilitas, kewenangan, dan kapabilitas dari pelaku

manajemen risiko

.Hal-hal penting yang harus dilakukan pada pemberian mandat dan komitmen adalah:• Membuat dan menyetujui kebijakan manajemen risiko;• Menyesuaikan indikator kinerja manajemen risiko dengan indikator kinerja perusahaan;• Menyesuaikan kultur organisasi dengan nilai-nilai manajemen risiko;• Menyesuaikan sasaran manajemen risiko dengan sasaran strategis perusahaan;• Memberikan kejelasan peran dan tanggung jawab;• Menyesuaikan kerangka kerja manajemen risiko dengan kebutuhan organisasi.

Gambar. Komponen-komponen Kerangka Kerja Manajemen Risiko ISO 31000:2009 dalam klausul 5

https://idrismadjidi.files.wordpress.com/2013/03/pdca-iso31000.jpg


13/19

Sumber: Broadleaf Capital International. Strategic, Enterprise and Project Risk Management.

Gbr -06 , Framework Manajemen Risiko ISO 31000:2009 dalam klausul 5

2.4. Kerangka Kerja Implementasi Manajemen Risiko

Risk Management Framework Based on ISO 31000

Perencanaan kerangka kerja manajemen risiko mencakup pemahaman mengenai organisasi dankonteksnya, menetapkan kebijakan manajemen risiko, menetapkan akuntabilitas manajemen risiko,mengintegrasikan manajemen risiko ke dalam proses bisnis organisasi, alokasi sumber daya manajemenrisiko, dan menetapkan mekanisme komunikasi internal dan eksternal. Setelah melakukan perencanaankerangka kerja, maka dilakukan penerapan proses manajemen risiko.Dalam penerapan manajemen risiko, perlu dilakukan monitoring dan review terhadap kerangka kerjamanajemen risiko. Setelah itu, kerangka kerja manajemen risiko perlu diperbaiki secara berkelanjutanuntuk memfasilitasi perubahan yang terjadi pada konteks internal dan eksternal organisasi. Proses-

proses tersebut kemudian berulang kembali untuk memastikan adanya kerangka kerja manajemen risikoyang mengalami perbaikan berkesinambungan dan dapat menghasilkan penerapan manajemen risikoyang andal.ISO 31000 menyediakan kerangka kerja sebagai pedoman dalam implementasi manajemen risiko yangefektif.

Tujuan dari kerangka kerja implementasi pengelolaan risiko antara lain:

Pemastian bahwa informasi mengenai pengelolaan risiko yang dihasilkan dari prosespengelolaan risiko telah cukup dilaporkan dan digunakan sebagai dasar dalam pengambilankeputusan

Pemenuhan akuntabilitas pada setiap tingkatan organisasi yang relevan

http://crmsindonesia.org/files/Untitled3_0.png


14/19

2.5. Proses pengelolaan risiko

Risk Management Process Based on ISO 31000

Proses pengelolaan risiko menurut ISO 31000 seharusnya merupakan bagian yang terintegrasi, melekatdalam budaya dan praktik manajemen, dan terkustomisasi menurut proses bisnis organisasi.Menurut ISO 31000, asesmen risiko merupakan bagian yang paling penting dan fundamental dalamproses pengelolaan risiko. Oleh karena itu, organisasi perlu melakukan asesmen risiko yang benar agarmemperoleh laporan profil risiko yang tepat sehingga organisasi dapat secara cermat mengelolarisikonya.

Sumber: Asesmen Risiko Berbasis ISO 31000: 2009. Diane Christina, 2012.

Gbr -07 , Risk Management Process Based on ISO 31000

Proses manajemen risiko merupakan kegiatan kritikal dalam manajemen risiko, karena merupakanpenerapan dari pada prinsip dan kerangka kerja yang telah dibangun. Proses manajemen risiko terdiridari tiga proses besar, yaitu:(1) Penetapan konteks (establishing the context)

Penetapan konteks bertujuan untuk mengidentifikasi dan mengungkapkan sasaran organisasi,lingkungan dimana sasaran hendak dicapai, stakeholders yang berkepentingan, dankeberagaman kriteria risiko, dimana hal-hal ini akan membantu mengungkapkan dan menilai sifatdan kompleksitas dari risiko. Terdapat empat konteks yang perlu ditentukan dalam penetapan

konteks, yaitu konteks internal, konteks eksternal, konteks manajemen risiko, dan kriteria risiko.

http://crmsindonesia.org/files/Untitled4.png


15/19

(i) Konteks internal memperhatikan sisi internal organisasi yaitu struktur organisasi, kulturdalam organisasi, dan hal-hal lain yang dapat mempengaruhi pencapaian sasaranorganisasi.

(ii) Konteks eksternal mendefinisikan sisi eksternal organisasi yaitu pesaing, otoritas,perkembangan teknologi, dan hal-hal lain yang dapat mempengaruhi pencapaian sasaran

organisasi.(iii) Konteks manajemen risiko memperhatikan bagaimana manajemen risiko diberlakukan dan

bagaimana hal tersebut akan diterapkan di masa yang akan datang.(iv) Terakhir, dalam pembentukan manajemen risiko organisasi perlu

mendefinisikan parameter yang disepakati bersama untuk digunakan sebagai kriteria risiko.

(2) Penilaian risiko (risk assessment)Penilaian risiko terdiri dari:(i) Identifikasi risiko: mengidentifikasi risiko apa saja yang dapat mempengaruhi pencapaian

sasaran organisasi.(ii) Analisis risiko: menganalisis kemungkinan dan dampak dari risiko yang telah diidentifikasi.

(iii) Evaluasi risiko: membandingkan hasil analisis risiko dengan kriteria risiko untukmenentukan bagaimana penanganan risiko yang akan diterapkan.

(3) Penanganan risiko (risk treatment)Dalam menghadapi risiko terdapat empant penanganan yang dapat dilakukan oleh organisasi:(i) Menghindari risiko (risk avoidance);(ii) Mitigasi risiko (risk reduction), dapat dilakukan dengan mengurangi kemungkinan atau

dampak;(iii) Transfer risiko kepada pihak ketiga (risk sharing);(iv) Menerima risiko (risk acceptance).

Ketiga proses besar tersebut didampingi oleh dua proses yaitu:(1) Komunikasi dan konsultasi

Komunikasi dan konsultasi merupakan hal yang penting mengingat prinsip manajemen risiko yangkesembilan menuntut manajemen risiko yang transparan dan inklusif, dimana manajemen risikoharus dilakukan oleh seluruh bagian organisasi dan memperhitungkan kepentingan dari seluruhstakeholders organisasi. Adanya komunikasi dan konsultasi diharapkan dapat menciptakandukungan yang memadai pada kegiatan manajemen risiko dan membuat kegiatan manajemenrisiko menjadi tepat sasaran.

(2) Monitoring dan review

Hal ini diperlukan untuk memastikan bahwa implementasi manajemen risiko telah berjalan sesuaidengan perencanaan yang dilakukan. Hasil monitoring dan review juga dapat digunakan sebagaibahan pertimbangan untuk melakukan perbaikan terhadap proses manajemen risiko.Manajemen risiko merupakan proses esensial dalam organisasi untuk memberikan jaminan yangwajar terhadap pencapaian tujuan organisasi. ISO 31000: 2009 Risk Management – Principlesand Guidelines merupakan standar yang dibuat untuk memberikan prinsip dan panduan generikdalam penerapan manajemen risiko. Standar ini menyediakan prinsip, kerangka kerja, dan prosesmanajemen risiko. Prinsip manajemen risiko merupakan fondasi dari kerangka kerja dan prosesmanajemen risiko, sedangkan kerangka kerja manajemen risiko merupakan struktur pembangunproses manajemen risiko. Proses manajemen risiko merupakan penerapan inti dari manajemenrisiko, sehingga harus dijalankan secara komprehensif, konsisten, dan terus diperbaiki sesuai

dengan keperluan. Implementasi manajemen risiko berbasis ISO 31000: 2009 secara mendetail


16/19

dan menyeluruh pada ketiga komponen tersebut diharapkan dapat meningkatkan efektivitasmanajemen risiko organisasi.

Setelah kita membedah ISO 31000, pertanyaan berikutnya adalah bagaimana metodologi asesmen

manajemen risiko berbasis ISO 31000:2009. Sebagai seorang asesor independen atas sistemmanajemen korporat, jawaban sederhana yang bisa saya bagi adalah asesor akan melakukan penilaianterhadap kerangka kerja implementasi pengelolaan risiko seperti yang telah dibedah di atas denganunsur-unsur penilaian antara lain tanggung jawab, akuntabilitas, strategi, dan praktik manajemen risiko.Sistem manajemen risiko yang baik seharusnya dapat memberikan keyakinan bahwa dengan penerapanmanajemen risiko, organisasi dapat mengurangi ketidakpastian yang membayangi dalam setiappengambilan keputusan namun tetap dapat berinovasi sesuai dengan kapabilitas yang dimiliki.

2.6. Proses Manajemen Risiko ISO 31000:2009

Proses Manajemen Risiko ISO 31000:2009 digambarkan kembali secara lebih detail sebagaimanagambar di bawah ini. Proses pertama adalah Establishing The Context (Menetapkan Konteks).

Gbr-08, Gambar detail Proses Manajemen Risiko ISO 31000:2009

Dalam proses manajemen risiko langkah awal yang sangat penting adalah Establishing The Context .

Menetapkan konteks ini meliputi penetapan tujuan, strategi, ruang lingkup dan parameter-parameter lain yangberhubungan dengan proses pengelolaan risiko suatu organisasi..

https://idrismadjidi.files.wordpress.com/2013/03/iso31000-rm-detail-process.jpg


17/19

Penetapan konteks ini menunjukkan hubungan antara masalah atau hal yang akan dikelola risikonyadengan lingkungan organisasi (eksternal & internal), proses manajemen risiko dan ukuran atau kriteriarisiko yang dijadikan standarKriteria risiko atau Risk Criteria adalah ukuran standar seberapa besar dampak atau konsekwensi yang

mungkin akan terjadi dan seberapa besar kemungkinan atau frekeunsi atau likelihood risiko akan terjadi.Gambar di bawah semoga dapat dijadikan contoh kriteria risiko itu.Dalam penetapan konteks ini ditetapkan pula sumber daya, struktur organisasi (tanggung jawab danwewenang) yang diperlukan dalam pengeloaan risiko. Dalam dokumen rencana risk manajemen (RiskManagement Plan), penetapan konteks ini dapat dijadikan bab Latar Belakang Masalah, bab strukturorganisasi pengeloaan risiko dan bab Kriteria Risiko.

Gbr-09 , Risk = Consequences x Likelihood ).

Proses kedua adalah Risk Identification atau identifikasi risiko, yaitu melakukan identifikasi risiko-risikoyang dapat terjadi di masa yang akan datang (yaitu : risiko apa, kapan, di mana, bagaimana, mengapasuatu risiko bisa terjadi). Identifikasi ini termasuk pengidentifikasian poses-proses/tugas-tugas/aktifitas-aktifitas kritikal atau kunci, pengenalan area-area risiko dan katagorinya.

Proses ketiga adalah Risk Analysis atau analisis risiko-risiko, yaitu proses menentukan berapa besardampak (impact atau consequences) dan kemungkinan (frequency atau likelihood ) risiko-risiko yang

https://idrismadjidi.files.wordpress.com/2013/03/risk-criteria.jpg


18/19

akan terjadi, serta menghitung berapa besar level risikonya dengan mengalikan antara besar dampakdan besar kemungkinan (Risk = Consequences x Likelihood ).Proses keempat adalah Risk Evaluation atau membandingkan risiko-risiko yang sudah dihitung diatasdengan Kriteria Risiko yang sudah distandarkan (menempatkan posisi risiko-risiko pada gambar kriteriarisiko), apakah risiko-risiko itu acceptable/dapat diterima, menjadi issue/diwaspadai, atau

unacceptable/tidak diterima, serta memprioritaskan mitigasi atau penangannya. Lihat gambar di bawahini, risiko nomor 1 dan 5 terletak di daerah warna merah Unacceptable Risk dan menjadi prioritas untukdilakukan penanganan atau mitigasinya.

Gbr- 10, Risk Management Framework

Proses kelima adalah Risk Treatment atau mitigasi risiko-risiko. Mitigasi risiko-risiko harus direncanakansebaik-baiknya dan dipertimbangkan semua alternatif solusinya, sebelum dilaksanakanmitigasinya, agar mendapatkan hasil yang diharapkan ecara efektif dan efisien. Beberapa alternatif bisadipertimbangkan untuk digunakan, seperti :

membagi risiko, mengurangi likeliihood dan/atau mengurangi konsekwensi, menghindari risiko atau membatalkan aktifitas yg berisiko tinggi,

menerima risiko.

https://idrismadjidi.files.wordpress.com/2013/03/risks-vs-risk-criteria.jpg


19/19

Proses keenam adalah Monitor & Review (Pemantauan & Pengkajian Ulang). Pemantauan &Pengkajian Ulang dilaksanakan terhadap seluruh proses manajemen risiko termasuk konteksnya(lingkungan, proses, organisasi, strategi, stakeholder dsb.). Catatan-catatan hasil Pemantauan &Pengkajian Ulang disimpan sebagai bukti dan laporna bahwa aktifitas itu telah dilaksanakan dan sebagaimasukan bagi Risk Management Framework yang telah disiapkan sebelumnya.

Selama melaksanakan ke enam proses manajemen risiko itu Communication & Consultation(komunikasi dan konsultasi) selalu dilaksanakan kepada semua stakeholder, secara kontinyu daniterative.

Skema lain yang menambah kejelasan mengenai langkah-langkah penerapan proses manajemen risikoISO 31000:2009 dapat dilihat pada gambar di bawah.

Gbr -11, Skema langkah-langkah penerapan proses manajemen risiko

Referensi :

1. COSO ERM ExecutiveSummary (http://www.coso.org/documents/coso_erm_executivesummary.pdf ).

2. International Organization for Standardization (ISO). “ISO 13000:2009— Risk Management: Principles and Guidelines.” Geneva,

2009. (http://www.iso.org/iso/home/standards/iso31000.htm).

3. Kevin W Knight AM “Applying ISO 31000:2009 in Regulatory Work”. 4. Diane Christina “Asesmen Manajemen Risiko berbasis COSO ERM“. 5. Diane Christina “Asesmen Manajemen Risiko berbasis ISO 31000:2009“. ISO 31000:2009
http://www.coso.org/documents/coso_erm_executivesummary.pdfhttp://www.iso.org/iso/home/standards/iso31000.htmhttps://idrismadjidi.files.wordpress.com/2013/03/steps-rm-process-iso31000.jpghttp://www.iso.org/iso/home/standards/iso31000.htmhttp://www.coso.org/documents/coso_erm_executivesummary.pdf

manajemen resiko iso 3001 2009

Documents