Asesmen Manajemen Risiko berbasis ISO 31000:2009

“Take calculated risks. That is quite different from being rash.” 
General George Patton
 

Bahasan saya kali ini, merujuk pada asesmen manajemen risiko berbasis ISO 31000:2009 yang agaknya menjadi trending topic di beberapa perusahaan saat ini dan ISO 31000 dianggap bisa mewakili standar manajemen risiko pada beberapa perusahaan di Indonesia. Sebelum membahas mengenai asesmen manajemen risiko, ada beberapa hal yang perlu dibedah dari ISO 31000:2009.

Pertama, harus dipahami terlebih dahulu mengenai definisi risiko dan manajemen risiko menurut ISO 31000:2009.

  • Definisi risiko adalah dampak dari ketidakpastian terhadap pencapaian obyektif. Dampak menurut ISO 31000 adalah deviasi dari apa yang diharapkan, bisa bersifat positif dan/atau negatif.
  • Definisi manajemen risiko adalah aktivitas yang terkoordinasi untuk mengarahkan dan mengendalikan sebuah organisasi dalam menangani risiko[2].

Definisi memberikan kita pemahaman awal bagaimana ISO 31000 memberikan arti mengenai keluasan dan kedalaman sebuah risiko yang menjadi obyek sebuah asesmen.

Kedua, pemahaman mengenai pendekatan yang disajikan dalam ISO 31000 terhadap pengelolaan risiko di dalam sebuah organisasi melalui gambaran relasi antara prinsip, kerangka kerja, dan proses pengelolaan risiko[3].

Risk Management based on ISO 31000

Prinsip pengelolaan risiko

ISO 31000:2009 mensyaratkan bahwa penerapan manajemen risiko yang efektif harus patuh pada 11 prinsip.

          1. Pengelolaan risiko menciptakan dan melindungi nilai yang dinyatakan dalam obyektif organisasi
          2. Pengelolaan risiko merupakan bagian yang terintegrasi dengan keseluruhan proses dalam organisasi dan menjadi bagian dari tanggung jawab manajemen
          3. Pengelolaan risiko merupakan bagian dari proses pengambilan keputusan melalui peranannya dalam memberikan opsi kepada pengambil keputusan
          4. Pengelolaan risiko secara eksplisit seharusnya memperhitungkan ketidakpastian dan secara sadar harus berusaha mengurangi ketidakpastian dalam setiap aktivitasnya dalam memastikan pencapaian obyektif organisasi
          5. Pengelolaan risiko seharusnya dibangun melalui pendekatan yang sistematis, terstruktur, dan tepat waktu agar dapat berkontribusi secara efisien dan secara konsisten menghasilkan keluaran yang dapat diperbandingkan dan diandalkan
          6. Pengelolaan risiko membutuhkan ketersediaan informasi yang memadai seperti data historis, pengalaman perusahaan, umpan balik dari pemangku kepentingan, observasi, dan penilaian ahli sehingga para pengambil keputusan dapat meyakini bahwa keputusannya telah memperhitungan semua informasi yang tersedia pada waktu keputusan tersebut dibuat
          7. Pengelolaan risiko membutuhkan kustomisasi sesuai dengan konteks -baik internal maupun eksternal- dan profil risiko inheren organisasi tersebut
          8. Pengelolaan risiko seharusnya memperhitungkan faktor manusia dan budaya yang merupakan bentuk kapabilitas dari suatu organisasi dalam mencapai obyektifnya
          9. Pengelolaan risiko seharusnya transparan dan inklusif melibatkan semua pemangku kepentingan dalam menentukan kriteria risiko
          10. Pengelolaan risiko seharusnya dinamis, berulang, dan respons terhadap perubahan kejadian baik internal maupun eksternal
          11. Pengelolaan risiko seharusnya dapat memfasilitasi pengembangan berkelanjutan dari sebuah organisasi  diukur dari tingkat maturitasnya.

Kerangka kerja implementasi pengelolaan risiko

Risk Management Framework Based on ISO 31000

ISO 31000 menyediakan kerangka kerja sebagai pedoman dalam implementasi manajemen risiko yang efektif.

Tujuan dari kerangka kerja implementasi pengelolaan risiko antara lain:

        • Pemastian bahwa informasi mengenai pengelolaan risiko yang dihasilkan dari proses pengelolaan risiko telah cukup dilaporkan dan digunakan sebagai dasar dalam pengambilan keputusan
        • Pemenuhan akuntabilitas pada setiap tingkatan organisasi yang relevan

Proses pengelolaan risiko

Proses pengelolaan risiko menurut ISO 31000 seharusnya merupakan bagian yang terintegrasi, melekat dalam budaya dan praktik manajemen, dan terkustomisasi menurut proses bisnis organisasi.

Risk Management Process Based on ISO 31000

Menurut ISO 31000, asesmen risiko merupakan bagian yang paling penting dan fundamental dalam proses pengelolaan risiko. Oleh karena itu, organisasi perlu melakukan asesmen risiko yang benar agar memperoleh laporan profil risiko yang tepat sehingga organisasi dapat secara cermat mengelola risikonya.

Setelah kita membedah ISO 31000, pertanyaan berikutnya adalah bagaimana metodologi asesmen manajemen risiko berbasis ISO 31000:2009. Sebagai seorang asesor independen atas sistem manajemen korporat, jawaban sederhana yang bisa saya bagi adalah asesor akan melakukan penilaian terhadap kerangka kerja implementasi pengelolaan risiko seperti yang telah dibedah di atas dengan unsur-unsur penilaian antara lain tanggung jawab, akuntabilitas, strategi, dan praktik manajemen risiko. Sistem manajemen risiko yang baik seharusnya dapat memberikan keyakinan bahwa dengan penerapan manajemen risiko, organisasi dapat mengurangi ketidakpastian yang membayangi dalam setiap pengambilan keputusan namun tetap dapat berinovasi sesuai dengan kapabilitas yang dimiliki.

DC|2012


Referensi:

  • ISO Guide 73:2009
  • ISO 31000:2009

 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s