Pada Februari 2018 lalu, Organisasi Standar Internasional ISO menerbitkan ISO 31000:2018 Risk management — Guidelines.

 Standar ini menggantikan ISO 31000:2009 Risk management — Principles and guidelines yang diterbitkan pada November 2009. Revisi ini merupakan bagian dari proses peninjauan sistematis yang diterapkan pada semua standar ISO.

 

Untuk memastikan bahwa prinsip dan pedoman standar tetap relevan pada pengguna, ISO 31000 dan ISO Guide 73 yang mengandung terminologi operasi telah direvisi pada 2015, dan revisi pada 2018 ini adalah langkah selanjutnya untuk membuat manajemen resiko menjadi lebih mudah dan jelas serta tetap simpel. Teksnya pun telah disederhanakan menjadi konsep – konsep fundamental untuk menciptakan sebuah dokumen yang lebih pendek, jelas, dan ringkas yang lebih mudah untuk dipahami dan tetap berlaku secara luas.

 

ISO 31000 adalah panduan penerapan resiko yang terdiri atas tiga elemen: prinsip (principle), kerangka kerja (framework), dan proses (process). Prinsip manajemen resiko adalah dasar praktik atau filosofi manajemen resiko. Kerangka kerja adalah pengaturan sistem manajemen resiko secara terstruktur dan sistematis di seluruh organisasi. Proses adalah aktivitas pengelolaan resiko yang berurutan dan saling terkait.

 

Secara umum, ISO 31000:2018 menyederhanakan versi 2009. Hal itu langsung terlihat antara lain dari nama yang berubah dari “principles and guidelines” menjadi hanya “guidelines” serta dari jumlah halaman yang menyusut dari 24 halaman menjadi 16 halaman. Diagram yang menggambarkan hubungan prinsip, kerangka kerja, dan proses manajemen proses pun berubah. Pada versi 2009, prinsip, kerangka kerja, dan proses digambarkan sebagai rangkaian unsur yang berurutan, sedangkan pada versi 2018 ketiga bagian ini digambarkan sebagai sistem terbuka yang saling berkaitan.

 

Didalam 16 halaman ISO 31000: 2018 merupakan panduan ringkas dan terkonsentrasi untuk membantu organisasi meningkatkan cara mereka mengelola resikonya. Dokumen, yang dapat dibaca dalam waktu sekitar satu jam, terdiri dari empat bagian utama : 1). Definisi istilah – Istilah utama seperti resiko, manajemen resiko, pemangku kepentingan, sumber resiko, peristiwa, konsekuensi, kemungkinan dan kontrol; 2). Prinsip – prinsip manajemen resiko, bahwa manajemen resiko terintegrasi, dilaksanakan melalui pendekatan yang terstruktur dan komprehensif, disesuaikan, inklusif, dinamis, berdasarkan pada informasi terbaik yang tersedia mengenai faktor manusia dan budaya, dan terus ditingkatkan; 3). Kerangka kerja untuk memastikan bahwa manajemen resiko diterapkan dengan benar, terintegrasi dengan baik di seluruh organisasi, dirancang dengan cermat, ditinjau ulang secara berkala, dan terus diadaptasi dan ditingkatkan; dan 4). Bagian tentang proses manajemen resiko itu sendiri, termasuk unsur – unsur tradisional identifikasi resiko, analisis, evaluasi dan perawatan, yang didukung oleh elemen pemantauan dan tinjauan serta elemen komunikasi dan konsultasi – yang pertama untuk meningkatkan efektivitas dan kualitas resiko. proses manajemen, dan yang terakhir untuk memastikan bahwa informasi resiko “faktual, tepat waktu, relevan, akurat dan mudah dipahami” sedang dikomunikasikan dan digunakan untuk pengambilan keputusan.

 

Perubahan yang signifikan dari  ISO 31000 versi 2009 ke versi 2018 adalah : pertama, prinsip manajemen resiko disederhanakan dari sebelas menjadi sembilan prinsip dengan “menciptakan dan melindungi nilai” sebagai prinsip utama. Kedua, kerangka kerja manajemen resiko ditambahkan unsur “integrasi” dengan “kepemimpinan dan komitmen” (pada versi sebelumnya adalah “mandat dan komitmen”) menjadi unsur inti. Dan yang ketiga, proses manajemen resiko ditambahkan “pencatatan dan pelaporan” secara eksplisit dan proses “penetapan konteks” diperluas menjadi “lingkup, konteks, dan kriteria”.

 

Kesembilan prinsip tersebut adalah satu tujuan (purpose) dan delapan prinsip pada versi 2018. Satu prinsip, yaitu “penciptaan dan pelindungan nilai”, diubah menjadi tujuan manajemen resiko. Dua prinsip, yaitu “bagian pengambilan keputusan” dan “secara eksplisit menangani ketidakpastian”, dihapus. Delapan prinsip lain disederhanakan pernyataannya menjadi (1) terintegrasi, (2) terstruktur dan komprehensif, (3) disesuaikan, (4) inklusif, (5) dinamis, (6) informasi terbaik yang tersedia, (7) faktor manusia dan budaya, serta (8) peningkatan berkesinambungan.

 

Kerangka manajemen resiko berubah dari lima komponen pada versi 2009 menjadi enam komponen pada versi 2018. Komponen “mandat dan komitmen” diubah menjadi “kepemimpinan dan komitmen” dan dipindahkan letaknya menjadi di pusat komponen lainnya. Komponen “integrasi” ditambahkan sebagai komponen yang mengawali komponen lain. Empat komponen lain disederhanakan pernyataannya menjadi perancangan, implementasi, evaluasi, dan perbaikan.

 

Proses manajemen resiko relatif tidak berubah. Proses “penetapan konteks” diubah namanya menjadi “lingkup, konteks, dan kriteria”. Proses “pencatatan dan pelaporan” dicantumkan secara eksplisit di dalam diagram setelah sebelumnya hanya ada pada bagian teks pada versi 2009. ISO 31000:2018 menekankan tujuan manajemen resiko, yaitu menciptakan dan melindungi nilai. Tujuan itu diwujudkan dengan meningkatkan kinerja, mendorong inovasi, dan mendukung pencapaian sasaran. Manajemen resiko adalah bagian dari tata kelola (governance) dan harus terintegrasi di dalam proses organisasi. Penerapan manajemen resiko memerlukan kepemimpinan dan komitmen dari manajemen puncak, serta keterlibatan aktif dari semua anggota organisasi.

 

Pada ISO 31000 versi terbaru di 2018 ini terdapat tiga perubahan mendasar, pertama, Tata Kelola Resiko Menjadi Bagian Terintegrasi, dimana tata kelola resiko (risk governance) yang sebelumnya hanya menjadi inisiator dalam membangun kerangka manajemen resiko, kini menjadi bagian yang berkelanjutan dan tidak terpisahkan dalam proses integrasi manajemen resiko ke dalam seluruh bagian perusahaan. Kedua, Manajemen Resiko Dipandang Iteratif, bahwa ISO 31000:2018 menekankan sifat manajemen resiko yang iteratif. Hal ini berarti manajemen resiko perusahaan mengalami penyempurnaan bersamaan dengan berjalannya proses manajemen resiko. Dan yang ketiga, Sistem Diperkaya Konteks Eksternal, standar baru ini mengatur sistem manajemen resiko untuk menjadi jauh lebih terbuka terhadap input dari konteks eksternal perusahaan. Hal ini bertujuan agar sistem manajemen resiko dapat memenuhi berbagai tuntutan dari industri yang beragam.

 

Seiring dengan dunia yang memasuki era “pintar”, teknologi juga menghadirkan sebuah paket resiko baru, dari robotik, kecerdasan buatan dan machine learning, hingga Internet of Things. Dalam hal ini respon pada tantangan juga telah membawa pada solusi – solusi inovatif. Sebagai contoh teknologi blockchain, sebuah set algoritma kompleks yang mengizinkan mata uang kripto untuk diperdagangkan secara elektronik. Walaupun mata uang digital bersifat tidak stabil dan rawan penipuan, namun bank sekarang mengeksploitasi teknologi tersebut untuk mempercepat sistem penyelesaian pada back office.

Untuk mencapai tantangan yang beragam tersebut, organisasi besar dan kecil di seluruh dunia telah menyadari betapa pentingnya mengintegrasikan manajemen resiko pada strategi bisnis mereka. Sejalan dengan hal ini cakupan umum pada ISO 31000 sebagai standar pertama pada keluarga manajemen resiko tidak hanya dikembangkan untuk kelompok industri tertentu saja, tapi ditujukan juga untuk menyediakan panduan dan struktur penerapan terbaik pada semua jenis operasi yang membutuhkan manajemen resiko.

 

Sebagai contoh, Thales Group, organisasi terdepan di bidang sekuriti ini menyatakan bahwa mengelola resiko lingkungan dan sosial serta mengembangkan standar dan prosedur baru adalah kunci untuk pencegahan resiko. Jason Brown, Direktur Keamanan Nasional Thales Australia dan New Zealand, adalah ketua komite teknikal ISO manajemen resiko ISO/TC 262. Dia berkata tentang ISO 31000: ”Standar ini sekarang digunakan untuk membantu perencanaan dan pembuatan keputusan di area yang sangat beragam seperti finance, engineering, penerbangan luar angkasa, dan keamanan internasional.”

 

Brown menyoroti fakta bahwa terdapat beberapa hal yang memastikan bahwa standar ini bersifat relevan pada berbagai disiplin ilmu, yakni model yang berbasiskan prinsip, pendekatan sistem terbuka pada ISO 31000, dan penegasan yang diperbarui pada sifat berulang penilaian resiko. “Pemerintahan, bisnis besar dan kecil, dan pada faktanya siapapun yang punya tujuan yang hendak dicapai pada dunia kita yang semakin kompleks ini akan mendapatkan keuntungan dengan menggunakan 31000 sebagai panduan mengelola resiko pada usaha mereka.

 

Brown juga menginformasikan bahwa versi baru menyederhanakan dan menyempurnakan elemen-elemen kunci dan menekankan sifat berulang dari proses tersebut. “Isu penting dari model rekursif dan berulang adalah relevansinya untuk mengurangi ketidakpastian pada lingkungan operasi yang sangat tidak stabil dan tidak pasti, dimana persyarataan untuk pemantauan dan penilaian resiko yang berkesinambungan sering didorong oleh kejadian eksternal.”

 

ISO 31000:2018 menekankan tujuan manajemen resiko, yaitu menciptakan dan melindungi nilai. Tujuan itu diwujudkan dengan meningkatkan kinerja, mendorong inovasi, dan mendukung pencapaian sasaran. Manajemen resiko adalah bagian dari tata kelola (governance) dan harus terintegrasi di dalam proses organisasi. Penerapan manajemen resiko memerlukan kepemimpinan dan komitmen dari manajemen puncak, serta keterlibatan aktif dari semua anggota organisasi.

 

Sementara ISO 31000:2018 jauh dari satu – satunya dokumen yang mencakup manajemen resiko perusahaan, seseorang akan mengalami kesulitan untuk mendapatkan serangkaian prinsip yang lebih ringkas untuk menerapkan dan mengevaluasi proses manajemen resiko, berikut ini lima top takeaways dari ISO 31000:2018 untuk dewan direksi dan manajemen puncak, antara lain :

1). Eksekutif adalah kunci, dokumen ini mencakup bahasa yang jelas tentang pentingnya kepemimpinan yang kuat dan komitmen terhadap program manajemen resiko. Eksekutif harus memastikan bahwa proses manajemen resiko sepenuhnya terintegrasi di semua tingkat organisasi dan sangat selaras dengan tujuan, strategi dan budaya


2).
Pertimbangkan resiko dalam keputusan bisnis, ISO 31000: 2018 juga mencakup pengingat bahwa dewan bertanggung jawab untuk memastikan bahwa resiko diberikan pertimbangan yang memadai ketika keputusan dibuat, karena resiko tersebut dapat memengaruhi kemampuan organisasi untuk memberikan nilai,


3)
Tekankan implementasi yang tepat, dewan juga perlu memastikan bahwa proses manajemen resiko dilaksanakan dengan benar dan bahwa kontrol memiliki efek yang diinginkan. Dewan direksi mungkin tidak memiliki keahlian domain yang memadai untuk sepenuhnya memahami signifikansi dan dampak resiko cyber yang ada pada organisasi.Dalam kasus seperti itu, mereka harus mendatangkan konsultan eksternal untuk memberikan konteks dan memastikan bahwa tindakan manajemen sejalan dengan kepentingan strategis dari domain cyber


4).
Manajemen resiko bukan satu ukuran cocok untuk semua, dokumen ini memiliki artikulasi manajemen risiko yang jelas sebagai proses siklus dengan banyak ruang untuk kustomisasi dan perbaikan. Namun alih-alih meresepkan pendekatan satu ukuran cocok untuk semua, dokumen ISO menyarankan pimpinan puncak untuk menyesuaikan rekomendasinya untuk organisasi – khususnya, profil risikonya, budaya dan selera risiko,


5)
Jadilah proaktif, meskipun dokumen tersebut tidak membahas risiko dunia maya secara khusus, dokumen ini memberikan panduan yang kuat untuk membantu eksekutif mengambil sikap proaktif terhadap risiko dan memastikan bahwa manajemen risiko terintegrasi dengan semua aspek pengambilan keputusan di semua tingkat organisasi. Ini termasuk kontinuitas bisnis, kepatuhan, manajemen krisis, SDM, TI dan ketahanan organisasi.

 

Kerjasama dan kolaborasi adalah hal yang penting. Walaupun mengembangkan sebuah budaya yang kohesif bukanlah tugas sederhana, ISO 31000 adalah sebuah langkah besar pada tujuan tersebut. Tentu saja akan membutuhkan lebih dari sekadar implementasi dari ISO 31000 yang telah direvisi untuk menghindari bencana finansial dunia lainnya, tapi implementasinya akan membantu dalam mengetahui penyebab – penyebabnya dan mengidentifikasikan perawatan yang dibutuhkan untuk mengurangi ketidakpastian pada masa depan finansial kita. Jason Brown berkata: “Bagaimanapun juga ini akan membutuhkan kesediaan dari semua rekanan untuk mengambil tindakan – tindakan yang dibutuhkan untuk mengurangi ketidakpastian. Beberapa dari tindakan ini harus mencakup tranparansi dari operasi finansial, peraturan dan kepatuhan yang baik, integritas dan tanggung jawab, dan yang tak kalah penting, tata pemerintahan yang baik.”

 

Apakah Anda siap untuk menerapkan proses manajemen resiko pertama Anda atau mencari untuk meningkatkan yang sudah ada, pedoman ISO 31000: 2018 dapat membantu mengelola ketidakpastian sekaligus melindungi nilai.  SEMOGA BERMANFAAT.