Menu
- Enterprise Risk Management Implementation
- Business Continuity Management System
- Risk Maturity Index Assessment
- Risk Dashboard
- Risk Assessment and Profiling
- Risk Early Warning System
- ESG (Environmental, Social, and Governance)
- Business Continuity Plan
- Contingency Plan
- Stress Testing
- Rencana Jangka Panjang Perusahaan (RJPP)
- ICOFR
- Good Corporate Governance
- IT Transformation
- Risk Awareness & Competency Building
- View All Services
Memahami Proses Manajemen Risiko Menurut ISO 31000:2018
RWI Consulting – Menurut ISO 31000:2018 Risk Management Guideline proses manajemen risiko adalah proses sistematis penerapan kebijakan, prosedur, dan praktik terkait aktivitas komunikasi dan konsultasi risiko, penetapan cakupan, konteks, dan kriteria risiko, pelaksanaan penilaian risiko (risk assessment) yang terdiri dari identifikasi risiko, analisis risiko, dan evaluasi risiko, perlakuan risiko (risk treatment), pemantauan dan peninjauan, perekaman, dan pelaporan sebagaimana terlihat pada gambar di bawah ini. ISO 31000 Tahun 2018.
Memahami Proses Manajemen Risiko Menurut ISO 31000:2018
Proses manajemen risiko perlu menyatu dengan manajemen dan pengambilan keputusan. Organisasi perlu mengintegrasikannya ke seluruh struktur, operasi, dan proses kerja, lalu menjalankannya di level strategis, operasional (rutin maupun nonrutin), serta proyek.
Setiap organisasi bisa menerapkan proses manajemen risiko dalam bentuk yang berbeda. Organisasi dapat menyesuaikan desain prosesnya agar selaras dengan tujuan, konteks eksternal, dan konteks internal, sekaligus membantu pencapaian sasaran.
Proses manajemen risiko juga perlu memberi ruang yang cukup untuk dinamika dan ketidakpastian yang muncul dari perilaku manusia dan budaya organisasi. Organisasi perlu mengelola faktor-faktor ini secara memadai dan efektif agar proses tetap berjalan dan keputusan tetap konsisten.
Meskipun gambar di atas menyajikan proses manajemen risiko secara sekuensial (berurutan), dalam penerapannya proses tersebut berjalan secara iteratif (berulang).
1) Komunikasi dan konsultasi
Komunikasi dan konsultasi menjaga proses manajemen risiko tetap kolaboratif, bukan kerja “silo”. Pada tahap ini, tim menyelaraskan pemahaman para pihak terkait tentang tiga hal: risiko apa yang dinilai, metode penilaiannya, dan alasan di balik keputusan yang diambil.
Banyak tim tersandung karena langsung mengisi risk register tanpa menyepakati definisi, skala dampak, serta batas penerimaan risiko. Akibatnya, setiap unit memakai “bahasa” berbeda dan hasil penilaian jadi sulit dibandingkan.
Panduan yang lebih rinci soal siapa yang perlu dilibatkan, kapan dilakukan, dan contoh output bisa kamu baca di Komunikasi dan Konsultasi Manajemen Risiko.
Output yang sebaiknya kamu hasilkan:
- daftar stakeholder kunci
- data yang dibutuhkan (operasional, keuangan, kepatuhan, proyek)
- asumsi yang disepakati
- aturan main penilaian (scoring dan kriteria)
2) Menetapkan cakupan, konteks, dan kriteria risiko
Tahap ini menetapkan “pagar lapangan”. Tanpa pagar yang jelas, tim sering memperluas risk assessment ke terlalu banyak area, lalu kesulitan memakai hasilnya untuk pengambilan keputusan.
Tim perlu menetapkan hal-hal berikut secara eksplisit:
- Cakupan: apakah penilaian mencakup organisasi secara keseluruhan, unit tertentu, proyek tertentu, atau proses tertentu.
- Konteks internal: tujuan, struktur, proses kerja, kapasitas, dan budaya organisasi.
- Konteks eksternal: regulasi, kompetitor, pasar, vendor, serta kondisi ekonomi.
- Kriteria risiko: definisi dampak dan kemungkinan, termasuk cara menentukan prioritas.
Untuk contoh dan cara merumuskan ruang lingkup serta kriteria secara lebih rinci, kamu bisa menyisipkan rujukan ke Menetapkan Ruang Lingkup dan Kriteria Risiko.
Output yang sebaiknya tim hasilkan:
- definisi skala dampak dan kemungkinan
- parameter yang dianggap material
- ambang prioritas (misalnya risiko yang wajib ditreatment lebih dulu)
3) Risk assessment: identifikasi, analisis, evaluasi
Risk assessment menjadi inti proses. Di tahap ini, tim mengubah kekhawatiran menjadi informasi yang siap dipakai untuk memutuskan prioritas, menetapkan pemilik risiko, dan menentukan tindakan berikutnya.
3.1 Identifikasi risiko
Identifikasi berarti menyusun daftar risiko yang relevan terhadap tujuan. Jangan berhenti di “nama risiko”. Tambahkan:
- penyebab
- pemicu
- area terdampak
- kontrol yang sudah ada
Praktik yang lebih rapi: kelompokkan risiko berdasarkan tema, misalnya strategis, operasional, kepatuhan, finansial, reputasi, teknologi.
3.2 Analisis risiko
Analisis membantu memahami tingkat risiko dengan mempertimbangkan dampak, kemungkinan, dan kekuatan kontrol yang sudah ada. Di tahap ini, organisasi biasanya mulai bisa melihat “risiko besar” yang selama ini terasa samar.
3.3 Evaluasi risiko
Evaluasi membandingkan hasil analisis dengan kriteria yang disepakati pada tahap 2. Di sini kamu memutuskan:
- risiko mana yang diterima
- risiko mana yang butuh perlakuan
- urutan prioritas eksekusi
Agar evaluasi tidak berubah menjadi debat tanpa ujung, perusahaan biasanya mengaitkan keputusan ini dengan konsep risk appetite dan risk tolerance. Kalau kamu butuh penjelasan yang lebih tajam soal bedanya dan cara memakainya untuk keputusan, selipkan rujukan kontekstual ke halaman ini: https://rwi.co.id/apa-itu-risk-appetite-dan-risk-tolerance-di-perusahaan/
Output yang sebaiknya ada:
- risk register yang rapi
- peta risiko (heatmap) bila perlu
- daftar prioritas risiko dan alasan prioritasnya
Kalau kamu mau output risk assessment yang siap dipakai untuk keputusan manajemen (bukan sekadar tabel), kamu bisa arahkan pembaca ke layanan Risk Assessment & Profiling di sini: Konsuultan Risk Assesment dan Profiling.
4) Risk treatment: memilih dan menjalankan perlakuan risiko
Risk treatment adalah tahap memilih opsi perlakuan dan mengeksekusi rencananya. Ini bukan sekadar “mitigasi”, tapi cara mengubah level risiko agar sesuai kriteria dan batas penerimaan.
Opsi perlakuan yang umum:
- menghindari risiko (ubah rencana, hentikan aktivitas)
- mengurangi risiko (perkuat kontrol, ubah proses)
- membagi risiko (asuransi, kontrak, outsourcing)
- menerima risiko (dengan alasan jelas dan pengawasan)
Agar perlakuan risiko tidak mengawang, banyak organisasi menetapkan risk limit sebagai batas kuantitatif atau ambang kontrol yang konkret. Untuk pembahasan lengkapnya, kamu bisa menyisipkan referensi ke halaman risk limit dalam manajemen risiko: Risk Limit dalam Manajemen Risiko.
Output yang sebaiknya ada:
- rencana perlakuan risiko (action plan) lengkap dengan PIC, deadline, biaya, dan indikator
- perubahan SOP atau kontrol
- kebutuhan pelatihan atau sistem pendukung
5) Monitoring dan review
Risiko berubah. Kontrol melemah. Konteks bisnis bergerak. Monitoring dan review menjaga program manajemen risiko tetap relevan.
Yang dipantau biasanya:
- status action plan risk treatment
- perubahan profil risiko (naik, turun, risiko baru)
- efektivitas kontrol
- indikator peringatan dini (KRI) bila organisasi sudah matang
Saran praktis: tetapkan ritme review. Misalnya bulanan untuk risiko operasional prioritas tinggi, kuartalan untuk profil risiko perusahaan.
6) Recording dan reporting
Tanpa pencatatan, organisasi kehilangan memori. Recording dan reporting membuat keputusan bisa diaudit, dipelajari, dan dipakai ulang.
Laporan yang sering dibutuhkan:
- ringkasan risiko utama untuk manajemen
- status risk treatment
- perubahan signifikan dan penyebabnya
- rekomendasi keputusan
Kalau perusahaan ingin menaikkan level dari “sekadar risk register” menjadi sistem manajemen yang konsisten lintas unit, biasanya butuh program implementasi yang menyatukan peran, proses, dan governance. Untuk itu, kamu bisa selipkan CTA yang halus ke layanan Enterprise Risk Management Implementation: Konsultan ERM Indonesia.
Mengapa ISO 31000:2018 Itu Penting?
Sebelum masuk ke tahap-tahap prosesnya, kita perlu memahami alasan banyak organisasi menjadikan ISO 31000:2018 sebagai acuan global dalam manajemen risiko. Standar ini tidak memaksa semua organisasi mengikuti satu pola yang kaku. ISO 31000:2018 memberi ruang penyesuaian sehingga organisasi dari berbagai sektor dan skala dapat menerapkannya, dari level lokal sampai internasional.
ISO 31000:2018 membedakan diri dari banyak standar lain lewat pendekatan berbasis prinsip, bukan prosedur teknis. Standar ini tidak menyodorkan daftar perintah langkah demi langkah. ISO 31000:2018 menawarkan kerangka yang dapat organisasi bentuk sesuai kebutuhan, konteks, dan karakter masing-masing.
ISO 31000:2018 juga menempatkan penciptaan dan perlindungan nilai sebagai fokus utama. Organisasi tidak perlu memandang risiko hanya sebagai ancaman. Organisasi dapat memanfaatkan risiko sebagai peluang ketika mereka mengelolanya dengan disiplin dan pertimbangan yang matang. Dengan menerapkan prinsip-prinsip ISO 31000:2018, organisasi bisa:
- mengambil keputusan yang lebih tepat karena organisasi mendasarkan keputusan pada pemahaman yang lebih jernih tentang risiko dan peluang
- meningkatkan ketangguhan organisasi dalam menghadapi guncangan dan ketidakpastian
- menjaga fokus pada tujuan strategis dengan mengidentifikasi dan mengelola risiko penghambat sejak awal
- membangun kepercayaan lewat pengelolaan risiko yang terbuka dan transparan di mata investor, regulator, dan konsumen
- mendorong inovasi yang lebih terukur karena organisasi memahami risiko sebelum mengambil langkah baru
Singkatnya, ISO 31000:2018 berperan sebagai cara berpikir, bukan sekadar alat manajemen. Standar ini membantu organisasi memasukkan pertimbangan risiko ke dalam keputusan sehari-hari, menyelaraskan prioritas lintas unit, dan menjaga arah strategi tetap realistis di tengah perubahan.
Organisasi dapat menerapkan manajemen risiko melalui pendekatan top-down dan bottom-up.
Pada setiap siklus manajemen risiko, tim biasanya memulai dengan diskusi atau wawancara risiko tingkat tinggi bersama organ pengurus organisasi. Di perusahaan, tim melibatkan Direksi dan Dewan Komisaris sebagai narasumber untuk menggali pandangan strategis tentang konteks eksternal dan internal, sasaran organisasi, serta berbagai risk issue yang organisasi hadapi.
Setelah itu, tim menurunkan konteks, sasaran, dan risk issue tersebut ke seluruh rangkaian risk assessment melalui pendekatan bottom-up. Tim melibatkan para pemilik proses agar penilaian menangkap kondisi nyata di lapangan, kontrol yang berjalan, dan risiko yang muncul dari aktivitas sehari-hari.
Kemudian, tim menyelaraskan output dari pendekatan top-down dan bottom-up. Tim merangkum hasilnya menjadi profil risiko perusahaan yang utuh dan komprehensif.
Setelah organ pengurus organisasi menyetujui profil risiko tersebut, organisasi memakai profil itu sebagai panduan pengelolaan risiko pada periode berjalan. Organisasi juga menggunakan profil risiko sebagai bahan komunikasi dan informasi kepada berbagai pemangku kepentingan.
Baca juga Apa itu Tingkat Kematangan Penerapan Manajemen Risiko?
FAQ singkat
1) Apa bedanya risk assessment dan risk treatment?
Risk assessment menilai risiko (identifikasi, analisis, evaluasi). Risk treatment memilih dan menjalankan perlakuan agar level risiko sesuai kriteria.
2) Risk appetite, risk tolerance, dan risk limit itu sama?
Tidak. Risk appetite memberi arah batas “selera” risiko di level tinggi, risk tolerance memberi batas variasi yang diterima untuk tujuan tertentu, risk limit memberi ambang angka atau batas operasional yang konkret. Penjelasan lengkap risk appetite dan risk tolerance bisa kamu rujuk di sini: Apa itu Risk Appetite dan Risk Tolerance dan risk limit di sini: Risk Limit dalam Manajemen Risiko.
3) Kenapa ISO 31000 menekankan proses iteratif?
Karena konteks dan risiko berubah. Monitoring dan review sering memicu penilaian ulang atau perubahan treatment.
Related posts
