ISO 31000 tentang Manajemen Risiko

Oleh: Afrianto Budi P, SS, MM

Melanjutkan bagian sebelumnya mengenai Risk Manajemen dalam Perspektif Underwriting, ISO 31000 perlu untuk dibahas karena ISO 31000 adalah program standarisasi yang berkaitan dengan Manajemen Risiko. ISO 31000 merupaka npedoman standar, instruksi, dan tuntutan bagi sebuah organisasi untuk membangun sebuah pondasi dan kerangka kerja bagi suatu program manajemen risiko. Pondasi tersebut meliputi aturan, tujuan, dan komitmen untuk membangun suatu program manajemen risiko yang komprehensif. Kerangka kerja meliputi perencanaan, akuntabilitas dari para karyawan, proses dan aktivitas yang digunakan untuk mengelola risiko dalam kinerja perusahaan. Tujuan dari stadarisasi ini adalah untuk menyediakan prinsip-prinsip dan acuan dari program manajemen risiko kepada organisasi.

Pengertian Awal

Setelah disepakati oleh anggota ISO, ISO Technical Management Board Working Group untuk manajemen risiko menerbitkan ISO 31000:2009, Risk Management – Principles and Guidelines pada bulan November 2009. Mereka mendesain standar untuk dapat diterapkan di setiap organisasi dan semua tipe risiko. Meski demikian, berbeda dengan ISO yang lainnya, ISO 31000 tidak bersertifikasi. Artinya, Anda tidak akan pernah mendapatkan sertifikat ISO. Bagaimana ISO 31000 bisa disebut standar jika tidak ada sertifikasi, akan kita pelajari kemudian.

Jika Anda sudah memahami standar yang sering disebut dengan AS/NZS 4360:2004, maka tidak sulit untuk memahami dan mengimplementasikan ISO 31000 (selanjutnya saya sebut dengan “standar”). Dengan mengabaikan berbagai wording standar, ISO 31000 relatif sama dengan pendahulunya tersebut. Lebih dari itu, dokumen pendukung – Risk Management Gudelines Companion dari AS/NZS 4360:2004, menyediakan panduan dari desain dan implementasi dari penilaian risiko dan teknik manajemen. Sama halnya, ISO/IEC 31010:2009 adalah dokumen penunjang yang mendukung standar ISO 31000 yang baru.

Ada dua komponen utama dalam proses manajemen risiko dalam standar ISO 31000, yaitu:

• Kerangka kerja, yang memandu organisasi untuk memahami keseluruhan struktur dan cara kerja dari manajemen risiko suatu organisasi
• Proses, yang menjelaskan metode aktual dalam mengidentifikasi, menganalisa, dan mengelola risiko

Kerangka Kerja

Kerangka kerja ISO 31000 mencerminkan lingkaran Plan, Do, Check, Act (PDCA), yang biasa dikenal dalam seluruh desain sistem manajemen. Standar menyatakan bahwa “Kerangka kerja tidak ditujukan atau diintensikan untuk menentukan suatu sistem manajemen, tetapi lebih pada suatu usaha atau sarana untuk membantu organisasi untuk mengintegrasikan manajemen risiko kepada keseluruhan sistem manajemen risiko.” Pernyataan ini hendak mendorong organisasi untuk lebih fleksibel dalam mengimplementasikan elemen dari kerangka kerja yang dibutuhkan.

Elemen utama dari kerangka kerja ini mencakup:

Acuan dan tata kelola

Menyediakan mandat dan petunjuk komitmen dari organisasi

Desain program

Desain dari keseluruhan kerangka kerja untuk mengelola risiko secara berkelanjutan

Implementasi

Implementasi dari struktur dan program manajemen risiko

Monitoring dan Review

Menampilkan struktur dan kinerja dari sistem manajemen

Improvement yang berkelanjutan

Improvement untuk kinerja dari keseluruhan sistem manajemen


Organisasi, khususnya bagi yang kurang akrab dengan sistem manajemen, harus menyiapkan waktu yang cukup untuk memikirkan kerangka kerja dan menuntut dirinya untuk terjun langsung dalam proses penilaian risiko. Desain proses adalah suatu langkah penting karena Kerangka Kerja memberikan panduan yang tetap dan berkelanjutan dalam menjalankan suatu program dibandingkan dengan hanya menjalankan suatu proyek.

Elemen-elemen kunci yang tidak boleh diabaikan oleh organisasi antara lain:
-  Membangun komitmen dari manajemen, baik selama pelaksanaan maupun dalam jangka panjang, termasuk: 

• pengembangan dan persetujuan kebijakan formal, 
• identifikasi dan alokasi sumber daya yang dibutuhkan ( termasuk tenaga ahli yang memadai dan anggaran untuk menjalankan program berkelanjutan), 
• pembentukan siklus, review berkala, untuk mempertahankan visibilitas program dan 
• memotivasi semua peserta

-    Mengembangkan program yang bekerja dalam organisasi, budaya, dan lingkungan, termasuk: 

• memahami kekuatan eksternal – tren industry, persyaratan peraturan, dan harapan pemangku kepentingan kunci, 
• memahami kekuatan internal – pemerintahan yanga ada, struktur organisasi, budaya, dan kemampuan organisasi.

Sejauh mana sebuah organisasi mempertimbangkan dan menerapkan salah satu elemen ini tergantung pada tujuan dan kebutuhan organisasi. Tujuannya terlihat, yaitu program yang memadai yang dilengkapi budaya yang sesuai dan tujuan organisasi dan berkelanjutan untuk jangka panjang.

Ringkasan

Panduan ISO 31000 secara ringkas dapat dirangkum dalam tiga unit besar, yaitu:
1. Menciptakan rencana dan aktivitas
ISO 31000 menuntut dibentuknya program manajemen risiko yang rutin dan berkala. Standarisasi membantu organisasi dalam menjabarkan semua pilihan yang berkaitan dengan pelaksanaan rencana, kerangka kerja, dan proses. Standariasi ISO 31000 menuntut organisasi untuk mengupayakan terbentuknya suatu proses pelaksanaan rencana dan pilihan apa saja yang tersedia. ISO 31000 menuntut pembentukan proses analisis risiko, solusi, dan pelaksanaan rencana dan juga mengawasan aktivitas manajemen risiko yang berkelanjutann
2. Mengimplementasikan rencana tersebut
ISO 31000 menuntut impantasi dari perencanaan dan proses manajemen risiko. Standar ISO 31000 menyediakan panduan untuk implementasinya. Panduan-panduan tersebut mencakup dokumentasi yang dibutuhkan untuk renacana manajemen risiko dan bagaimana cara mengelola suatu pelaksanaan manajemen risiko
3. Mengawasi dan mengevaluasi
ISO 31000  menuntut organisasi untuk mereview dan memonitor program manajemen risiko yang telah dilakukannya. Standar menuntun organisasi melalui proses review tersebut. Review proses meliputi akuntabilitas, kerangka kerja, dan pengintegrasian dari suatu aktivitas perencanaan, proses, dan analisis dan solusi untuk mengurangi risiko dari organisasi. Standar ISO 31000 juga menginstruksikan bagaimana cara mencatat review dan memonitor status dan hasil sebaik bagaimana laporan tersebut didapatkan.