Friday, March 19, 2010

ISO 31000:2009 Risk Management

ISO 31000:2009 Risk Management
Apa yang Ingin Dicapai dan Manfaatnya bagi Organisasi Kita?


Pada bulan Desember 2009 lalu badan standar dunia ISO (International Standard Organization) mengeluarkan ISO 31000:2009 (non-certification standard) untuk manajemen risiko setelah melalui proses uji yang panjang, kurang lebih 3 tahun. Peristiwa penting ini menandai semakin luasnya penggunaan manajemen risiko di dalam organisasi non-keuangan. Kenyataannya risiko dan manajemen risiko kini bukan lagi domain lembaga-lembaga keuangan seperti bank dan asuransi. Berbagai organisasi termasuk lembaga pemerintah dan organisasi nirlaba seperti Lembaga Swadaya Masyarakat (LSM) semakin sering berbicara tentang risiko dan manajemen risiko. Mengingat hal tersebut sebuah uraian mengenai tujuan dan manfaat penerapan ISO 31000:2009 non-sertifikasi ini akan berguna bagi pembaca.
Ada dua isi yang terkait dengan dikeluarkannya ISO 31000:2009. Pertama, terminologi risiko (common risk terminology), dan kedua, kerangka kerja (risk management framework) dan proses manajemen risiko (risk management process).

Terminologi Risiko
ISO 31000:2009 dimaksudkan untuk diterapkan di berbagai organisasi baik yang berorientasi laba, nirlaba, swasta maupun publik, keuangan maupun non-keuangan. Penerapan yang luas ini menumbuhkan kebutuhan akan terminologi risiko yang cakupan dan pengertiannya sama bagi setiap organisasi. Penulis sendiri sering menemukan penggunaan istilah-istilah manajemen risiko dengan pemahaman yang berbeda-beda di setiap organisasi atau sektor. Istilah ‘risiko’ itu sendiri, misalnya bagi banyak orang bisa diartikan ‘permasalahan’, ‘ancaman’, ‘ketidakpastian’, ‘kerugian’, atau pengertian lainnnya. Sementara itu ISO 31000:2009 memberikan batasan risiko sebagai “the effect of uncertainty on objectives” (Klausul 3), di mana dampak dari ketidakpastian terhadap (pencapaian) sasaran ini bisa bersifat positif atau negatif. Dengan batasan yang diberikan ISO tersebut maka sewajarnya organisasi kita sekarang memiliki paradigma baru yang sama mengenai risiko; bahwa risiko adalah efek dari ketidakpastian terhadap pencapaian sasaran organisasi dan bahwa risiko tidaklah selalu bersifat negatif. Ini hanya salah satu contoh. Ada banyak istilah lainnya yang oleh ISO diberi batasan yang jelas seperti events, issues, risk profile, risk appetite, risk tolerance, dan lain-lain.
Dengan terminologi yang sama komunikasi risiko intra dan antar organisasi akan menjadi lebih mudah dan efektif.

Standarisasi Kerangka dan Proses Manajemen Risiko
ISO juga memperkenalkan kerangka kerja dan proses manajemen risiko yang jika diadopsi oleh berbagai organisasi akan mendorong diterapkannya praktik manajemen risiko yang relatif sama di berbagai organisasi di seluruh dunia. Seperti apakah kerangka kerja manajemen risiko yang dimaksud?
Menurut ISO 31000:2009, kerangka kerja manajemen risiko yang efektif sedikitnya harus mencakup dua aspek yakni aspek implementasi dan aspek perbaikan berkelanjutan. Elemen-elemen pada aspek implementasi mencakup: (1) komitmen dan mandat (commitment and mandate); (2) komunikasi dan pelatihan (communicate and train); (3) struktur dan tangung jawab (structure and responsibilities). Sementara itu elemen-elemen pada aspek perbaikan berkelanjutan mencakup: (1) struktur dan tanggung jawab; (2) reviu dan perbaikan (review and improve); (3) komiment dan mandat. Dengan demikian, framework ini bersifat iteratif dari adanya komitmen dan mandat dan kembali kepada perbaikan komitmen dan mandat, dan seterusnya.
Selanjutnya, kerangka kerja di atas didukung dengan proses manajemen risiko (risk management process) yang terdiri dari tujuh elemen yang bersifat sekuensial yakni (1) communication and consult; (2) establish the context; risk assessment mencakup: (3) risk identification, (4) risk analysis, (5) risk evaluation; (6) risk treatment dan (7) monitoring and review.

Proses Manajemen Risiko Menurut ISO 31000:2009

Organisasi yang telah mengimplementasikan AS/NZS 4360:2004 Risk Management Standard (standar manajemen risiko dari Australia) akan langsung melihat kemiripan antara proses manajemen risiko yang diperkenalkan ISO 31000:2009 di atas dengan proses manajemen risiko menurut AS/NZS 4360:2004. Memang demikian karena ISO mengadopsi proses manajemen risiko AS/NZS 4360:2004 untuk mendukung kerangka kerja yang dikembangkannya. Dengan demikian, jika Anda telah menerapkan AS/NZS 4360:2004 maka migrasi ke ISO akan relatif lebih cepat, untuk tidak mengatakan lebih mudah karena masih ada berbagai komponen ISO lainnya yang tidak dicakup dalam AS/NZS 4360:2004, terutama dalam hal ini kerangka kerja ISO.

Manfaat dan Tantangan Strategik
Organisasi yang berminat menerapkan manajemen risiko berbasis ISO 31000:2009 perlu memperhatikan tiga aspek penting yang ditekankan dalam standar ini yakni, pertama, penerapan manajemen risiko harus disertai komitmen yang tinggi dari pengurus organisasi (corporate boards), dalam perusahaan berarti Direksi dan Komisaris; kedua, manajemen risiko harus diintegrasikan ke dalam seluruh proses organisasi dan menjadi bagian yang tidak terpisahkan dari core responsibilities para pemilik/penanggung jawab proses (dalam perusahaan adalah para manajer dan staf di setiap departemen), dan manajemen risiko harus merupakan bagian dari proses pengambilan keputusan baik pada tingkat governance maupun manajerial.
Bagi banyak organisasi penekanan ini merupakan tantangan strategik tersendiri karena kebanyakan pemilik/penanggung jawab proses (process owners) merasa bahwa penerapan manajemen risiko sebagai beban tambahan terhadap “kegiatan utama” yang menjadi tanggung jawab mereka. Kenyataan ini diperburuk oleh komitmen yang rendah dan pemahaman yang terbatas mengenai manajemen risiko di antara pengurus perusahaan dan manajemen. Akibatnya tidak jarang kita temukan organisasi yang kemudian membentuk dan menugaskan unit manajemen risiko untuk melakukan seluruh proses risk assessment sekaligus merancang risk treatment-nya. Sebuah jalan pintas yang akan berakhir sia-sia karena manajemen risiko tidak mungkin diemban oleh sebuah unit. Pendekatan yang demikian akan gagal terutama sekali karena manajemen risiko berjalan secara parsial dan terfragmentasi dan organisasi tidak pernah akan melihat tumbuhnya rasa tanggung jawab terhadap risiko dan pengelolaannya (risk awareness dan risk ownership).
Dengan mengadopsi ISO 31000:2009 organisasi kita diharapkan dapat menerapkan pendekatan enterprise risk management, dengan komitmen dan pemahaman yang memadai dari pengurus organisasi (di perusahaan berarti Direksi dan Komisaris) terhadap manajemen risiko dan implementasinya. Dengan mengintegrasikan manajemen risiko ke dalam proses organisasi dan pengambilan keputusan maka kualitas keputusan diharapkan akan meningkat, kecelakaan dan kejutan yang tidak diinginkan (bad surprises) dari kegiatan operasional organisasi akan menurun, penanggung jawab proses memiliki rasa tanggung jawab yang sehat atas risiko dan pengendaliannya. Jika ini terwujud, maka pengurus organisasi memiliki “kepastian yang wajar” (reasonable assurance) tentang kemungkinan tercapainya sasaran-sasaran organisasi, tanpa dibayangi kekuatiran yang tidak perlu mengenai potensi munculnya kejutan (bad suprises) yang tidak menyenangkan di kemudian hari. Penerapan manajemen risiko berbasis ISO 31000:2009 juga menghendaki adanya dokumentasi yang memadai untuk setiap prosesnya sehingga meningkatkan transparansi dan akuntabilitas serta perlindungan bagi penanggung jawab proses (pejabat, petugas dan karyawan) di setiap level. Dengan adanya perlindungan dan akuntabilitas yang jelas, maka penanggung jawab dan pelaksana proses dapat bekerja dengan lebih tenang sekalipun jika pendapat dan rekomendasi mereka diabaikan pejabat yang lebih tinggi. Sebuah manfaat yang sangat layak untuk diwujudkan.