Pilihan Standar Manajemen Risiko di Indonesia

Setiap organisasi tidak dapat lepas dari risiko pada saat menjalankan aktivitas pencapaian tujuannya. Risiko merupakan sesuatu yang tidak dapat terhindarkan. Sebagai solusinya, organisasi perlu menerapkan manajemen risiko dalam mengelola proses bisnis. Manajemen risiko diperlukan agar risiko-risiko yang dihadapi oleh organisasi dapat dikelola sedemikian rupa sehingga berada pada level yang aman bagi organisasi. Untuk dapat menerapkan manajemen risiko dengan baik, setiap organisasi perlu memilih kerangka/standar yang paling sesuai dengan kebutuhannya. Sebenarnya ada beberapa kerangka/standar manajemen risiko di dunia ini yang dapat menjadi acuan seperti AIRMIC/ALARM/IRM:2002; CAN/CSA-Q850-97 (R2009); GRC Capability Model; COSO ERM Integrated Framework 2004; ISO 31000:2009 Risk Management-Principles and Guidelines.

Bagi organisasi di Indonesia, standar ISO 31000:2009 layak untuk menjadi alternatif pilihan utama. Kenapa demikian? Standar tersebut telah diadopsi oleh Badan Standarisasi Nasional (BSN) Indonesia. BSN mengadopsi standar tersebut dengan menerbitkan “SNI ISO 31000:2011 Manajemen Risiko–Prinsip dan Panduan” pada 20 Oktober 2011. SNI ISO 31000:2011 diambil sepenuhnya dari ISO 31000:2009 yang dikeluarkan oleh Organisasi Internasional untuk Standardisasi atau disebut ISO (International Organization for Standardization). ISO 31000:2009 merupakan sebuah standar internasional yang disusun dengan tujuan memberikan prinsip dan panduan generik untuk penerapan manajemen risiko. Standar internasional yang diterbitkan pada 13 November 2009 ini dapat digunakan oleh segala jenis organisasi dalam menghadapi berbagai risiko yang melekat pada aktivitas mereka.

Sebelum melangkah jauh, perlu dipahami terlebih dulu terminologi risiko dan manajemen risiko sesuai dengan ISO 31000:2009. Pemahaman tersebut diperlukan agar terdapat keselarasan persepsi kita dengan apa yang diatur di dalam standar sehingga tidak terjadi salah pengertian dan penerapan. Risiko dan manajemen risiko didefinisikan sebagai berikut:
Risiko adalah dampak/akibat yang muncul dari adanya suatu ketidakpastian dalam upaya pencapaian tujuan organisasi. Dampak tersebut merupakan deviasi/penyimpangan dari tujuan yang diharapkan, bisa bersifat positif ataupun negatif.
Manajemen risiko adalah sebuah rangkaian aktivitas yang dilakukan secara terintegrasi dalam upaya mengendalikan serta mengarahkan sebuah organisasi dalam menghadapi risiko yang ada.
Selanjutnya, setelah memiliki pemahaman terkait definisi risiko dan manajemen risiko, maka perlu dipahami tentang bagaimana pendekatan yang digunakan oleh ISO 31000:2009 dalam mengelola sebuah risiko yang dihadapi oleh suatu organisasi. Untuk mendorong penerapan manajemen risiko yang efektif, standar ISO 31000: 2009 menyediakan tiga unsur utama sebagai arsitektur manajemen risiko yaitu berupa prinsip-prinsip, kerangka kerja, dan proses manajemen risiko.

Prinsip-Prinsip Manajemen Risiko

Menurut ISO 31000:2009, terdapat sebelas prinsip dasar yang harus diikuti oleh organisasi agar dapat melaksanakan manajemen risiko secara efektif.
  1. Manajemen risiko menciptakan dan melindungi nilai (creates and protects value): manajemen risiko berkontribusi terhadap pencapaian tujuan dan peningkatan kinerja yang nyata, seperti kesehatan dan keselamatan manusia, kepatuhan terhadap hukum dan peraturan, penerimaan publik, perlindungan lingkungan, kualitas produk, efisiensi operasi, tata kelola dan reputasi.
  2. Manajemen risiko adalah bagian integral proses organisasi (an integral part of organizational processes): manajemen risiko bukanlah aktivitas yang berdiri sendiri yang terpisah dari aktivitas-aktivitas utama dan proses dalam organisasi. Manajemen risiko adalah bagian tanggung jawab manajemen dan merupakan suatu bagian integral dalam proses normal organisasi. 
  3. Manajemen risiko adalah bagian dari pengambilan keputusan (part of decision making): manajemen risiko membantu pengambil keputusan menentukan pilihan, memprioritaskan tindakan dan membedakan berbagai pilihan alternatif tindakan.
  4. Manajemen risiko secara eksplisit menangani ketidakpastian (explicitly addresses uncertainty): manajemen risiko secara eksplisit mempertimbangkan aspek-aspek ketidakpastian, sifat alami dari ketidakpastian itu, dan bagaimana menanganinya.
  5. Manajemen risiko bersifat sistematis, terstruktur, dan tepat waktu (systematic, structured and timely): pendekatan sistematis, tepat waktu, dan terstruktur terhadap manajemen risiko memiliki kontribusi terhadap efisiensi dan hasil yang andal, konsisten, dan dapat dibandingkan.
  6. Manajemen risiko berdasarkan informasi terbaik yang tersedia (based on the best available information): masukan untuk proses pengelolaan risiko didasarkan oleh sumber informasi seperti pengalaman, umpan balik, pengamatan, prakiraan, dan pertimbangan pakar. Meskipun demikian, pengambil keputusan harus terinformasi dan harus mempertimbangkan segala keterbatasan data atau model yang digunakan atau kemungkinan perbedaan pendapat antar pakar.
  7. Manajemen risiko dibuat sesuai kebutuhan (tailored): manajemen risiko diselaraskan dengan konteks eksternal dan internal organisasi serta profil risikonya.
  8. Manajemen risiko memperhatikan faktor manusia dan budaya (takes human and cultural factors into account): manajemen risiko menyadari adanya kapabilitas, persepsi, dan tujuan pihak-pihak eksternal dan internal baik yang mendukung ataupun menghambat pencapaian tujuan organisasi.
  9. Manajemen risiko bersifat transparan dan inklusif (transparent and inclusive): pelibatan para pemangku kepentingan yang sesuai dan tepat waktu, terutama pengambil keputusan pada semua tingkatan organisasi, memastikan manajemen risiko tetap relevan dan mengikuti perkembangan. Pelibatan ini juga memungkinkan pemangku kepentingan terwakili dan diperhitungkan sudut pandangnya dalam menentukan kriteria risiko.
  10. Manajemen risiko bersifat dinamis, iteratif, dan responsif terhadap perubahan (dynamic, iterative and responsive to change): seiring dengan timbulnya peristiwa internal dan eksternal, perubahan konteks dan pengetahuan, serta diterapkannya pemantauan dan peninjauan, risiko-risiko baru bermunculan, sedangkan yang ada bisa berubah atau hilang. Karenanya, suatu organisasi harus memastikan bahwa manajemen risiko terus menerus memantau dan menanggapi perubahan.
  11. Manajemen risiko memfasilitasi perbaikan dan pengembangan berkelanjutan organisasi (facilitates continual improvement and enhancement of the organization): organisasi harus mengembangkan dan menerapkan strategi untuk meningkatkan kematangan manajemen risiko bersama aspek-aspek lain dalam organisasi.
Dari sebelas prinsip tersebut, prinsip pertama penting untuk mengingatkan bahwa organisasi harus mampu mengelola risiko mereka secara cermat, sistematis dan efektif sehingga memiliki kapasitas cukup dalam mengantisipasi risiko. Penerapan manajemen risiko yang konsisten dan menyeluruh akan lebih memperkuat daya tahan organisasi dalam menghadapi risiko ekstrim yang bila gagal diantisipasi dapat menyebabkan krisis dan kehancuran. Prinsip-prinsip selanjutnya penting untuk dijadikan dasar pertimbangan dalam penerapan manajemen risiko di suatu organisasi, dan harus dilihat sebagai kesatuan utuh yang saling mengisi antara satu prinsip dengan prinsip lainnya.

Kerangka Kerja Manajemen Risiko

Prinsip-prinsip di atas merupakan landasan untuk menjalankan kerangka kerja (framework) manajemen risiko. Kerangka kerja di dalam ISO 31000:2009 bertujuan membantu pengelolaan risiko pada organisasi secara efektif melalui penerapan proses manajemen risiko pada berbagai level dan konteks organisasi. Kerangka kerja tersebut mencerminkan lingkaran Plan-Do-Check-Act (PDCA) yang biasa dikenal dalam desain sistem manajemen. Namun demikian, kerangka kerja tersebut tidak ditujukan untuk menentukan suatu sistem manajemen, tetapi lebih pada upaya untuk membantu organisasi mengintegrasikan manajemen risiko ke dalam keseluruhan sistem manajemen organisasi. Oleh karena itu, tiap organisasi perlu menyesuaikan elemen dari kerangka kerja sesuai dengan kebutuhannya.

kerangka kerja manajemen risiko ISO 31000
Sumber: ISO 31000:2009

Elemen utama dari kerangka kerja manajemen risiko mencakup:
  • Mandat dan komitmen (mandate and commitment).
  • Desain kerangka kerja untuk mengelola risiko (design of framework for managing risk) =Plan.
  • Implementasi manajemen risiko (implementing risk management) =Do.
  • Monitoring dan reviu kerangka kerja (monitoring and review of the framework) =Check.
  • Perbaikan kerangka kerja secara berkelanjutan (continual improvement of the framework) =Act.

Proses Manajemen Risiko

proses manajemen risiko ISO 31000
Sumber: ISO 31000:2009

Proses manajemen risiko harus menjadi bagian integral dari manajemen; melekat di dalam budaya dan praktik; dan disesuaikan dengan proses bisnis organisasi. Proses manajemen risiko terdiri dari tiga proses utama yaitu:
  • Penetapan konteks (establishing the context), untuk memberikan gambaran secara jelas terkait tujuan proses bisnis organisasi sebagai landasan dalam melakukan risk assessment yang sesuai dengan konteks bisnis organisasi.
  • Penilaian risiko (risk assessment), terdiri dari risk identification, risk analysis, dan risk evaluation. Risk identification adalah proses mengidentifikasi setiap risiko yang dapat mempengaruhi terhadap tujuan proses bisnis . Risk analysis adalah proses menganalisis segala dampak serta kemungkinan yang muncul akibat dari risiko yang ada. Risk evaluation adalah proses mengevaluasi dengan mencocokkan hasil dari analisis risiko dengan kriteria risiko sebagai masukan dalam menentukan aksi yang akan diterapkan untuk menangani risiko.
  • Penanganan risiko (risk treatment), berisi aksi yang dapat dilakukan untuk menghadapi risiko yaitu: menghindari risiko; mitigasi risiko (mengurangi kemungkinan atau dampak); transfer risiko; dan/atau menerima risiko.
Selain tiga proses utama tersebut, terdapat dua proses pendukung yaitu:
  • Komunikasi dan konsultasi (communication and consultation) dengan para pemangku kepentingan risiko, terutama untuk memahami sensitivitas, harapan, dan toleransi risiko dari pemangku kepentingan yang utama bagi organisasi. Adanya komunikasi dan konsultasi diharapkan dapat menciptakan dukungan yang memadai bagi proses manajemen risiko dan membuat proses manajemen risiko menjadi tepat sasaran.
  • Monitoring dan reviu (monitoring and review) terhadap semua proses utama manajemen risiko. Hal ini diperlukan untuk memastikan bahwa penerapan manajemen risiko telah berjalan sesuai dengan rencana yang telah ditetapkan. Hasil monitoring dan reviu juga dapat digunakan sebagai bahan pertimbangan untuk melakukan perbaikan terhadap proses manajemen risiko.
Demikian gambaran mengenai ISO 31000:2009 yang telah diadopsi sebagai standar penerapan manajemen risiko di Indonesia. Contoh penerapan standar ISO 31000:2009 pada organisasi pemerintahan di Indonesia adalah di Kementerian Keuangan sebagaimana diulas pada artikel Kemenkeu Melakukan Update Peraturan Manajemen Risiko. Semoga bermanfaat.

Referensi:
  • ISO 31000:2009 Risk Management-Principles and Guidelines.
Load comments

Comments