Dalam roda perjalanan usaha suatu organisasi atau perusahaan selalu ada risiko yang harus dihadapi. Risiko adalah faktor dari luar maupun dalam yang dapat menyebabkan ketidakpastian dalam usaha untuk mencapai suatu tujuan. Dalam sebuah organisasi atau perusahaan, risiko tidak selalu merupakan hal yang bersifat negatif. Namun risiko harus dihadapi sehingga tidak menimbulkan risiko tambahan. Cara menghadapi risiko adalah dengan mengidentifikasi risiko tersebut, melakukan analisa terhadap risiko, dan melakukan evaluasi apakah risiko tersebut harus diatasi atau dikelola. Manajemen resiko dapat dilakukan dengan memindahkan risiko kepada pihak lain, menghindari risiko, mengurangi efek negatif risiko, dan menamping risiko tersebut, baik sebagian maupun seluruh dampak negatif dari risiko tersebut. Penentuan pengelolaan risiko dilakukan berdasarkan kriteria risiko yang telah ditetapkan sebelumnya. Dalam proses manajemen risiko, organisasi atau perusahaan harus berkomunikasi dan berkonsultasi dengan penanggung jawab risiko. Organisasi atau perusahaan dan penanggung jawab resiko melakukan pengawasan dan peninjauan risiko serta kendali yang mengubah risiko yang ada, untuk memastikan tidak dibutuhkan penanganan risiko lebih lanjut.
Salah satu panduan untuk melakukan manajemen risiko adalah ISO 31000:2009 Risk Management – Principles and Guidelines yang merupakan sebuah standar internasional yang disusun dengan tujuan memberikan prinsip dan panduan umum untuk penerapan manajemen risiko. Standar internasional yang diterbitkan pada 13 November 2009 ini dapat digunakan oleh semua jenis organisasi atau perusahaan dalam menghadapi berbagai risiko yang melekat pada aktivitas mereka. Walau ISO 31000: 2009 menyediakan panduan umum, namun standar ini tidak ditujukan untuk menyeragamkan manajemen risiko lintas organisasi atau perusahaan, tetapi ditujukan untuk memberikan standar pendukung penerapan manajemen risiko dalam usaha memberikan jaminan terhadap pencapaian sasaran organisasi atau perusahaan. ISO 31000:2009 menyediakan prinsip, kerangka kerja, dan proses manajemen risiko yang dapat digunakan sebagai arsitektur manajemen risiko dalam usaha menjamin penerapan manajemen risiko yang efektif. Meski demikian, berbeda dengan ISO yang lainnya, ISO 31000 tidak bersertifikasi. Artinya, anda tidak akan pernah mendapatkan sertifikat ISO.
ISO 31000: 2009 Risk Management – Principles and Guidelines menentukan sebelas prinsip yang perlu dipahami dan diterapkan pada kerangka kerja dan proses manajemen risiko untuk memastikan keefektivitasannya. Kesebelas prinsip tersebut adalah :
Prinsip pertama, memberikan nilai tambah dan melindungi nilai organisasi atau perusahaan. Prinsip ini menyatakan bahwa kegiatan manajemen risiko harus dapat meningkatkan kapabilitas organisasi atau perusahaan dalam menyerap risiko agar organisasi atau perusahaan dapat memanfaatkan peluang-peluang yang ada sekarang dan dapat muncul di masa depan (memberikan nilai tambah bagi organisasi). Selain itu, manajemen risiko juga harus dapat mengantisipasi risiko-risiko berdampak buruk yang dapat membahayakan pencapaian sasaran organisasi (melindungi nilai organisasi).
Prinsip kedua, bagian terpadu dari seluruh proses organisasi atau perusahaan. Manajemen risiko harus melekat pada seluruh proses organisasi atau perusahaan karena setiap proses organisasi atau perusahaan menghadapi risiko yang dapat menyebabkan sasaran proses tersebut tidak tercapai. Prinsip ini juga secara implisit menyatakan bahwa manajemen risiko tidak hanya menjadi tanggung jawab top management dari organisasi atau perusahaan, tetapi seluruh bagian dari organisasi atau perusahaan.
Prinsip ketiga, bagian dari pengambilan keputusan. Harus diingat bahwa setiap alternatif keputusan mengandung risiko tersendiri. Untuk itu dalam memilih alternatif keputusan, organisasi atau perusahaan harus mempertimbangkan unsur risiko dari setiap alternatif, ketersediaan sumber daya organisasi atau perusahaan, serta kapabilitas dan toleransi organisasi atau perusahaan dalam menyerap risiko.
Prinsip keempat, secara khusus menangani ketidakpastian. Setiap organisasi atau perusahaan tentu menghadapi ketidakpastian dalam perjalanannya mencapai sasaran mereka. Manajemen risiko membantu mengurangi aspek ketidakpastian dengan memberi ukuran (parameter) terhadap konsekuensi dari risiko. Parameter ini menunjukkan eksposur organisasi atau perusahaan terhadap risiko tersebut, yang nantinya akan menentukan penanganan risiko. Penanganan risiko diharapkan dapat membantu organisasi atau perusahaan mereduksi eksposur risiko dan ketidakpastian yang dihadapi organisasi atau perusahaan.
Prinsip kelima, sistematis, terstruktur, dan tepat waktu. Prinsip ini menyatakan bahwa manajemen risiko harus dijalankan secara konsisten dan terintegrasi pada seluruh organisasi atau perusahaan. Pembentukan risk governance yang memperjelas kewenangan, peran, dan tanggung jawab dari setiap unit organisasi atau perusahaan berkaitan dengan manajemen risiko juga diperlukan untuk mendukung efektivitas manajemen risiko.
Prinsip keenam, berdasarkan informasi terbaik yang tersedia. Penerapan manajemen risiko harus didukung dengan informasi terbaik yang dapat diperoleh organisasi atau perusahaan. Informasi terbaik terdiri dari tiga aspek, yaitu relevan, terpercaya, dan tepat waktu. Untuk mendukung perolehan informasi terbaik, organisasi atau perusahaan dapat melakukan proses dokumentasi dan membentuk database informasi (misalnya membuat risk register). Tanpa adanya informasi terbaik, penerapan manajemen risiko bisa menjadi tidak tepat sasaran.
Prinsip ketujuh, disesuaikan dengan kebutuhan organisasi atau perusahaan. Setiap individu, unit kerja, dan organisasi atau perusahaan tentu memiliki karakteristik tersendiri dan menghadapi risiko yang berbeda – beda. Salah satu keunggulan dari ISO 31000: 2009 adalah menyediakan standar generik yang dapat diadaptasi sesuai dengan kebutuhan pemangku risiko dalam usaha mencapai tujuannya masing – masing. Untuk itu, setiap pemangku risiko tidak dapat hanya mengikuti sistem manajemen risiko yang dibentuk oleh unit atau organisasi lain, tapi harus menyesuaikan dengan keadaan dan risiko yang dihadapinya.
Prinsip kedelapan, mempertimbangkan faktor budaya dan manusia. Penerapan manajemen risiko harus mempertimbangkan kultur, persepsi, dan kapabilitas manusia, termasuk memperhitungkan perselisihan kepentingan antara organisasi atau perusahaan dengan individu di dalamnya. Hal ini penting untuk diperhatikan karena penerapan manajemen risiko dilakukan oleh sumber daya insani dari organisasi atau perusahaan.
Prinsip kesembilan , transparan dan inklusif . Penerapan dan informasi mengenai manajemen risiko harus melibatkan seluruh bagian organisasi atau perusahaan. Keberadaan suatu risiko juga tidak boleh disembunyikan atau dilebih – lebihkan.
Prinsip kesepuluh, dinamis, berulang, dan responsif terhadap perubahan. Prinsip ini menyatakan bahwa manajemen risiko harus diimplementasikan secara konsisten dan berulang, serta harus dapat memfasilitasi perubahan pada sisi internal dan eksternal organisasi atau perusahaan. Proses monitoring dan review menjadi aktivitas kunci dalam mendeteksi perubahan dan memfasilitasi penyesuaian pada manajemen risiko.
Prinsip kesebelas, memfasilitasi perbaikan berkesinambungan dan peningkatan organisasi atau perusahaan. Keberadaan manajemen risiko harus diperbaiki dari waktu ke waktu sesuai dengan perkembangan konteks internal dan eksternal organisasi atau perusahaan. Perbaikan berkelanjutan ini diharapkan dapat membawa perbaikan yang signifikan pada organisasi atau perusahaan
Kerangka kerja manajemen risiko ISO 31000:2009 Risk Management – Principles and Guidelines diawali dengan pemberian mandat dan komitmen. Pemberian mandat dan komitmen tersebut merupakan hal yang sangat penting karena menentukan akuntabilitas, kewenangan, dan kapabilitas dari pelaku manajemen risiko. Berikut ini hal – hal penting yang harus dilakukan pada pemberian mandat dan komitmen, antara lain membuat dan menyetujui kebijakan manajemen risiko, menyesuaikan indikator kinerja manajemen risiko dengan indikator kinerja organisasi atau perusahaan, menyesuaikan kultur organisasi dengan nilai – nilai manajemen risiko, menyesuaikan sasaran manajemen risiko dengan sasaran strategis organisasi atau perusahaan, memberikan kejelasan peran dan tanggung jawab, menyesuaikan kerangka kerja manajemen risiko dengan kebutuhan organisasi atau perusahaan.
Sesudah diawali dengan pemberian mandat dan komitmen, kerangka kerja ISO 31000: 2009 dilanjutkan dengan kerangka implementasi “Plan, Do, Check, Act”, antara lain dengan melakukan perencanaan kerangka kerja manajemen risiko, penerapan manajemen risiko, pengawasan dan peninjauan terhadap kerangka kerja manajemen risiko, dan perbaikan kerangka kerja manajemen risiko secara berkesinambungan. Perencanaan kerangka kerja manajemen risiko mencakup pemahaman mengenai organisasi atau perusahaan dan konteksnya, menetapkan kebijakan manajemen risiko, menetapkan akuntabilitas manajemen risiko, mengintegrasikan manajemen risiko ke dalam proses bisnis organisasi atau perusahaan, alokasi sumber daya manajemen risiko, dan menetapkan mekanisme komunikasi internal dan eksternal. Setelah melakukan perencanaan kerangka kerja, maka dilakukan penerapan proses manajemen risiko. Dalam penerapan manajemen risiko, perlu dilakukan monitoring dan review terhadap kerangka kerja manajemen risiko. Setelah itu, kerangka kerja manajemen risiko perlu diperbaiki secara berkelanjutan untuk memfasilitasi perubahan yang terjadi pada konteks internal dan eksternal organisasi atau perusahaan. Proses – proses tersebut kemudian berulang kembali untuk memastikan adanya kerangka kerja manajemen risiko yang mengalami perbaikan berkesinambungan dan dapat menghasilkan penerapan manajemen risiko yang andal.
Proses manajemen risiko merupakan kegiatan kritikal dalam manajemen risiko, karena merupakan penerapan prinsip dan kerangka kerja yang telah dibangun. Proses manajemen risiko itu sendiri terdiri dari tiga proses besar, yaitu :
Proses pertama, penetapan konteks (establishing the context). Proses ini bertujuan untuk mengidentifikasi dan mengungkapkan sasaran organisasi, lingkungan dimana sasaran hendak dicapai, stakeholders yang berkepentingan, dan keberagaman kriteria risiko, dimana hal – hal ini akan membantu mengungkapkan dan menilai sifat dan kompleksitas dari risiko. Terdapat empat konteks yang perlu ditentukan dalam penetapan konteks, yaitu konteks internal, konteks eksternal, konteks manajemen risiko, dan kriteria risiko. Dimana konteks internal memperhatikan sisi internal organisasi yaitu struktur organisasi, kultur dalam organisasi, dan hal – hal lain yang dapat mempengaruhi pencapaian sasaran organisasi. Konteks eksternal mendefinisikan sisi eksternal organisasi yaitu pesaing, otoritas, perkembangan teknologi, dan hal – hal lain yang dapat mempengaruhi pencapaian sasaran organisasi. Konteks manajemen risiko memperhatikan bagaimana manajemen risiko diberlakukan dan bagaimana hal tersebut akan diterapkan di masa yang akan datang. Terakhir, dalam pembentukan manajemen risiko organisasi perlu mendefinisikan parameter yang disepakati bersama untuk digunakan sebagai kriteria risiko.
Proses kedua, penilaian risiko (risk assessment), terdiri dari identifikasi risiko, yaitu mengidentifikasi risiko apa saja yang dapat mempengaruhi pencapaian sasaran organisasi. Analisis risiko, yaitu menganalisis kemungkinan dan dampak dari risiko yang telah diidentifikasi. Dan evaluasi risiko, yaitu membandingkan hasil analisis risiko dengan kriteria risiko untuk menentukan bagaimana penanganan risiko yang akan diterapkan.
Proses ketiga, penanganan risiko (risk treatment). Dalam menghadapi risiko terdapat empat penanganan yang dapat dilakukan oleh organisasi atau perusahaan, antara lain menghindari risiko (risk avoidance), mitigasi risiko (risk reduction), dapat dilakukan dengan mengurangi kemungkinan atau dampak. Transfer risiko kepada pihak ketiga (risk sharing) dan terakhir menerima risiko (risk acceptance).
Keberhasilan penerapan manajemen risiko bergantung pada keefektifan kerangka kerja manajemen untuk menyediakan dasar yang dapat diterapkan pada keseluruhan organisasi atau perusahaan pada seluruh tingkatan. Kerangka kerja membantu menangani risiko secara efektif melalui penerapan proses manajemen risiko pada berbagai tingkatan dan dalam konteks spesifik organisasi atau perusahaan. Kerangka kerja memastikan informasi tentang risiko yang diturunkan dari proses manajemen risiko dilaporkan secara layak dan digunakan sebagai dasar pengambilan keputusan serta akuntabilitas pada seluruh tingkatan organisasi atau perusahaan. Semoga bermanfaat.