Setiap aktivitas bisnis memiliki beragam risiko yang dapat mempengaruhi kondisi perusahaan, mulai dari kerugian non finansial maupun finansial, bahkan menimbulkan risiko kebangkrutan. Sebagai bentuk antisipasi dan persiapan untuk menghadapi kondisi tersebut, organisasi dituntut untuk mengelola risiko yang dihadapi secara optimal.
Baca juga: Mengenal ISO 9001
Manajemen risiko berbasis ISO 31000:2018
ISO 31000 adalah standar internasional yang digunakan sebagai acuan untuk mengelola dan mengimplementasikan sistem manajemen risiko pada organisasi. Standar ini dibuat dan diperkenalkan oleh International Organization for Standardization pada 2009 melalui ISO 31000:2009 Risk management — Principles and guidelines. Kemudian diperbarui pada 2018 sebagai ISO 31000:2018 Risk Management — Guidelines.
ISO 31000:2018 terdiri atas 3 komponen, yaitu:
- Prinsip memberikan panduan tentang karakteristik sistem manajemen risiko yang efektif dan efisien.
- Kerangka kerja membantu dalam integrasi manajemen risiko ke dalam aktivitas dan fungsi organisasi.
- Proses manajemen risiko melibatkan penerapan kebijakan, prosedur, dan praktik yang sistematis pada aktivitas manajemen risiko.
ISO 31000:2018 digunakan untuk menciptakan dan melindungi nilai Perusahaan melalui pengelolaan risiko dalam setiap perencanaan dan pengambilan keputusan untuk pencapaian sasaran dan tujuan Perusahaan, serta mendukung perbaikan terhadap kinerja perusahaan.
Baca juga: Berkenalan dengan ISO 31000:2018 Sistem Manajemen Risiko
Proses Manajemen Risiko ISO 31000:2018
Proses implementasi manajemen risiko ISO 31000 dimulai dengan komunikasi dan konsultasi di antara para pemangku kepentingan. Selanjutnya dilaksanakan penetapan lingkup, konteks, dan kriteria yang dilanjutkan dengan penilaian risiko dan perlakuan risiko. Dimana menghasilkan keluaran proses manajemen risiko seperti daftar risiko. Kemudian dilakukan pemantauan dan tinjauan serta dokumentasi melalui pencatatan dan pelaporan.
Baca juga: Efektifitas Perlindungan Data dengan ISO 27001
Komunikasi dan Konsultasi
Proses komunikasi dan konsultasi diperlukan dalam menciptakan dukungan yang memadai pada kegiatan manajemen risiko dan membuat kegiatan manajemen risiko menjadi tepat sasaran. Tujuannya adalah untuk membantu stakeholders memahami risiko yang dihadapinya. Komunikasi berguna untuk membangun kesadaran dan pemahaman terhadap risiko-risiko. Sedangkan konsultasi digunakan untuk mendapatkan informasi yang diperlukan dalam rangka pengambilan keputusan.
Baca juga: Mengenal Sistem Manajemen Keamanan Informasi berbasis ISO 27001
Lingkup, Konteks dan Kriteria
Proses manajemen risiko harus diterapkan pada semua tingkatan organisasi dan unit kerja dengan sasaran, proses kerja, dan lingkungan operasional yang berbeda-beda yaitu pada level strategis, operasional, program kerja, proyek dan aktivitas lainnya. Dalam penetapan konteks (establishing the context) terdapat empat konteks yang perlu ditentukan, yaitu: konteks internal, konteks eksternal, konteks manajemen risiko, dan kriteria risiko.
Dalam konteks internal dan eksternal organisasi perlu menetapkan dan mencapai sasaran. Baik organisasi dan pemilik risiko memetakan konteks internal dan konteks eksternal agar dapat mengidentifikasi dan mengetahui lebih jelas tentang kondisi lingkungan bisnis yang ia jalankan. Manajemen risiko diperlukan untuk mencapai sasaran dan memperoleh informasi yang akurat tentang kondisi lingkungan bisnis yang menjadi berisiko mempengaruhi pencapaian sasaran organisasi.
Kriteria risiko merupakan proses dalam menilai tingkat risiko, baik yang berbentuk ancaman kerugian maupun peluang yang bermanfaat bagi pencapaian sasaran organisasi.
Baca juga: Manfaat ISO 27001 bagi Perkembangan Bisnis Perusahaan
Penilaian risiko (risk assessment)
Penilaian risiko terdiri dari:
- Identifikasi risiko merupakan proses dalam mengenali, menerima dan menjabarkan risiko yang dapat menunjang atau menghambat pencapaian sasaran organisasi
- Analisa risiko bertujuan untuk memahami risiko dan tingkatannya dengan mempertimbangkan detail terkait ketidakpastian, sumber risiko, dampak, kemungkinan, peristiwa risiko yang terjadi, skenario, pengendalian risiko dan keefektifannya.
- Evaluasi risiko merupakan tahap perbaikan melalui proses evaluasi dengan tujuan membantu proses pengambilan keputusan. Proses ini dilakukan dengan mempertimbangkan kriteria risiko yang telah ditentukan sebelumnya.
Baca juga: Tujuan ISO 27001 dan kaitannya dengan Pengamanan Aset Informasi Perusahaan
Perlakuan risiko (risk treatment)
Setelah risiko telah dilakukan penilaian risiko, selanjutnya perlu melakukan seleksi terhadap alternatif penanganan risiko yang mencangkup tanggap darurat dan pemulihan, persiapan, dan pelaksanaan rencana perlakuan risiko. Terdapat empat penanganan yang dapat dilakukan oleh organisasi:
- Menghindari risiko (risk avoidance)
- Mitigasi risiko (risk reduction)
- Transfer risiko kepada pihak ketiga (risk sharing)
- Menerima risiko (risk acceptance).
Baca juga: 3 Alasan Perusahaan harus implementasi ISO 27001
Pemantauan dan tinjauan (Monitoring & review)
Tahapan proses ini memastikan implementasi manajemen risiko berjalan sesuai dengan perencanaan yang dilakukan. Baik tahapan proses maupun fungsi manajemen risiko yang berjalan dengan baik dan benar. Hasil monitoring dan review dapat digunakan sebagai bahan pertimbangan untuk melakukan perbaikan terhadap proses manajemen risiko. Tujuan dari pemantauan dan tinjauan adalah untuk menjamin dan memperbaiki kualitas dan efektifitas rencana pelaksanaan proses manajemen risiko, implementasi dan hasil akhir yang diharapkan.
Baca juga: Mengenal ISO 45001:2018 dan penerapannya di Perusahaan
Pencatatan dan pelaporan
Pastikan dokumentasi sistem manajemen risiko dilaksanakan melalui pencatatan dan pelaporan kegiatan selama implementasi sistem dilaksanakan. Pencatatan dan pelaporan bertujuan untuk mengomunikasikan aktivitas proses manajemen risiko, menyediakan informasi bagi pengambil keputusan, memperbaiki aktivitas proses manajemen risiko dan membantu interaksi dengan stakeholders.
Baca juga: Manfaat Penerapan ISO 45001:2018 untuk Bisnis
Terra Solusi mendampingi perusahaan dalam pelaksanaan proses implementasi sistem ISO 31000, mulai dari gap analisis, penyusunan general dokumen serta mandatory dokumen, melakukan internal audit sampai dengan memperoleh sertifikat ISO 31000 yang dibutuhkan. Selain memudahkan perusahaan dalam dalam pengurusan ISO, penggunaan jasa konsultan juga akan mempercepat proses perusahaan mendapatkan sertifikat ISO 31000.
Kami membantu anda memperhitungkan biaya yang efektif dan efisien dalam melaksanakan sertifikasi ISO 31000. Besaran biaya ditentukan sesuai dengan kebutuhan serta kesepakatan bersama Terra Solusi.
Baca juga: ISO 14001 Sistem Manajemen Lingkungan dan Manfaatnya