ISO 31000:2018 - Framework
 
 
Kerangka Kerja ISO 31000:2018 
1. Umum
Kerangka kerja manajemen risiko bertujuan untuk membantu organisasi dalam mengintegrasikan manajemen risiko ke dalam aktivitas dan fungsi yang signifikan. Efektivitas manajemen risiko akan bergantung pada integrasinya ke dalam tata kelola organisasi, termasuk pengambilan keputusan. Ini membutuhkan dukungan dari para pemangku kepentingan, terutama kalangan Top Manajemen.

Pengembangan kerangka kerja mencakup:
  • Pengintegrasian
  • Perancangan
  • Penerapan
  • Evaluasi
  • Peningkatan manajemen risiko di seluruh organisasi.
Gambar diatas mengilustrasikan komponen kerangka kerja.

Organisasi harus mengevaluasi praktik dan proses manajemen risiko yang ada, mengevaluasi setiap kesenjangan yang ada, kemudian mengatasi kesenjangan tersebut dalam kerangka kerja.

Komponen kerangka kerja dan cara mereka bekerja bersama harus disesuaikan dengan kebutuhan organisasi.
 
 
2. Komitmen dan Kepemimpinan
Badan manajemen dan badan pengawas, harus memastikan bahwa manajemen risiko diintegrasikan ke dalam semua aktivitas organisasi dan harus menunjukkan kepemimpinan dan komitmen dengan:
  • Menyesuaikan dan menerapkan semua komponen kerangka kerja;
  • Mengeluarkan pernyataan atau kebijakan yang menetapkan pendekatan, rencana, atau tindakan manajemen risiko;
  • Memastikan bahwa sumber daya yang diperlukan dialokasikan untuk mengelola risiko;
  • Menetapkan wewenang, tanggung jawab dan akuntabilitas pada tingkat yang sesuai dalam organisasi.
 
Hal tersebut akan membantu organisasi untuk:
  • Menyelaraskan manajemen risiko dengan tujuan, strategi dan budaya organisasi;
  • Mengenali dan menangani semua kewajiban, serta komitmen sukarelanya;
  • Menetapkan jumlah dan jenis risiko yang mungkin atau tidak mungkin diambil, untuk digunakan sebagai acuan dalam pengembangan kriteria risiko, memastikan bahwa mereka dikomunikasikan kepada organisasi dan pemangku kepentingannya (Stakeholder);
  • Mengkomunikasikan nilai manajemen risiko kepada organisasi dan pemangku kepentingannya;
  • Mempromosikan pemantauan risiko secara sistematis;
  • Memastikan bahwa kerangka kerja manajemen risiko tetap sesuai dengan konteks organisasi.
 
Top Manajemen bertanggung jawab untuk mengelola risiko sementara badan pengawas bertanggung jawab untuk mengawasi manajemen risiko. Badan pengawas sering diharapkan atau diminta untuk:
  • Memastikan bahwa risiko-risiko masuk dalam pertimbangan ketika menetapkan tujuan organisasi;
  • Memahami risiko yang dihadapi organisasi dalam usaha mewujudkan tujuannya;
  • Memastikan bahwa sistem untuk mengelola risiko tersebut diterapkan dan beroperasi secara efektif;
  • Memastikan bahwa risiko tersebut sesuai dengan konteks tujuan organisasi;
  • Memastikan bahwa informasi tentang risiko tersebut dan pengelolaannya dikomunikasikan dengan benar.
 
 
3. Integrasi
Integrasi manajemen risiko bergantung pada pemahaman tentang struktur dan konteks organisasi. Struktur organisasi berbeda-beda tergantung pada tujuan, sasaran, dan kompleksitas organisasinya. Risiko dikelola di setiap bagian struktur organisasi. Setiap orang dalam organisasi memiliki tanggung jawab untuk mengelola risiko.

Tata kelola yang diterapkan berguna untuk memandu jalannya organisasi, hubungan eksternal dan internalnya, serta aturan, proses, dan praktik yang diperlukan untuk mencapai tujuannya. Struktur manajemen menerjemahkan arah tata kelola, ke dalam strategi dan tujuan terkait yang diperlukan untuk mencapai tingkat kinerja berkelanjutan dan kelangsungan hidup jangka panjang yang diinginkan. Menentukan akuntabilitas manajemen risiko dan peran pengawasan dalam organisasi merupakan bagian integral dari tata kelola organisasi.
 
Mengintegrasikan manajemen risiko ke dalam organisasi adalah proses yang dinamis dan berulang, dan harus disesuaikan dengan kebutuhan dan budaya organisasi. Manajemen risiko harus menjadi bagian dari, dan tidak terpisah dari: tujuan organisasi, tata kelola, kepemimpinan dan komitmen, strategi, sasaran dan operasi.
 
 
4. Desain 
4.1. Memahami organisasi dan konteksnya
Saat merancang kerangka kerja untuk mengelola risiko, organisasi harus memeriksa dan memahami konteks eksternal dan internalnya.

Memeriksa konteks eksternal organisasi mungkin termasuk, tetapi tidak terbatas pada:
  • Faktor sosial, budaya, politik, hukum, peraturan, keuangan, teknologi, ekonomi dan lingkungan, baik internasional, nasional, regional atau lokal;
  • Pendorong utama dan tren yang mempengaruhi tujuan organisasi;
  • Hubungan, persepsi, nilai, kebutuhan, dan harapan pemangku kepentingan eksternal;
  • Hubungan dan komitmen kontraktual;
  • Kompleksitas jaringan dan ketergantungan.
 
Memeriksa konteks internal organisasi mungkin termasuk, tetapi tidak terbatas pada:
  • Visi, misi dan nilai;
  • Tata kelola, struktur organisasi, peran dan akuntabilitas;
  • Strategi, tujuan dan kebijakan;
  • Budaya organisasi;
  • Standar, pedoman dan model yang diadopsi oleh organisasi;
  • Kapabilitas, dipahami dalam istilah sumber daya dan pengetahuan (misalnya modal, waktu, orang, kekayaan intelektual, proses, sistem, dan teknologi);
  • Data, sistem informasi dan arus informasi;
  • Hubungan dengan pemangku kepentingan internal, dengan mempertimbangkan persepsi dan nilai mereka;
  • Hubungan dan komitmen kontraktual;
  • Saling ketergantungan dan interkoneksi.
 
 
4.2. Mengartikulasikan komitmen manajemen risiko
Top manajemen dan Badan pengawas, jika memungkinkan, harus menunjukkan dan mengartikulasikan komitmen berkelanjutan mereka terhadap manajemen risiko melalui kebijakan, pernyataan, atau bentuk lain yang secara jelas menyampaikan tujuan dan komitmen organisasi terhadap manajemen risiko. Komitmen tersebut harus mencakup, tetapi tidak terbatas pada:
  • Tujuan organisasi untuk mengelola risiko dan kaitannya dengan tujuan dan kebijakan lainnya;
  • Memperkuat kebutuhan untuk mengintegrasikan manajemen risiko ke dalam budaya organisasi secara keseluruhan;
  • Memimpin integrasi manajemen risiko ke dalam aktivitas bisnis inti dan pengambilan keputusan;
  • Otoritas, tanggung jawab dan akuntabilitas;
  • Menyediakan sumber daya yang diperlukan;
  • Cara menangani tujuan yang bertentangan;
  • Pengukuran dan pelaporan dalam indikator kinerja organisasi;
  • Review dan perbaikan.
Komitmen manajemen risiko harus dikomunikasikan dalam organisasi dan pemangku kepentingan, jika sesuai.

4.3. Menetapkan peran organisasi, wewenang, tanggung jawab dan akuntabilitas
Badan manajemen dan pengawas puncak, jika memungkinkan, harus memastikan bahwa wewenang, tanggung jawab, dan akuntabilitas untuk peran yang relevan terkait dengan manajemen risiko ditetapkan dan dikomunikasikan di semua tingkat organisasi, dan harus:
  • Tekankan bahwa manajemen risiko adalah tanggung jawab inti;
  • Mengidentifikasi individu yang memiliki akuntabilitas dan kewenangan untuk mengelola risiko (pemilik risiko).
 
4.4 Mengalokasikan sumber daya
Badan manajemen dan pengawas puncak, jika memungkinkan, harus memastikan alokasi sumber daya yang sesuai untuk manajemen risiko, yang dapat mencakup, tetapi tidak terbatas pada:
  • Orang, keterampilan, pengalaman dan kompetensi;
  • Proses, metode, dan alat organisasi yang akan digunakan untuk mengelola risiko;
  • Proses dan prosedur yang terdokumentasi;
  • Sistem informasi dan manajemen pengetahuan;
  • Pengembangan profesional dan kebutuhan pelatihan.
Organisasi harus mempertimbangkan kapabilitas, dan kendala, sumber daya yang ada.

4.5 Menjalin komunikasi dan konsultasi
Organisasi harus menetapkan pendekatan komunikasi dan konsultasi yang disetujui untuk mendukung kerangka kerja dan memfasilitasi penerapan manajemen risiko yang efektif. Komunikasi melibatkan berbagi informasi dengan audiens yang ditargetkan. Konsultasi juga melibatkan peserta yang memberikan umpan balik dengan harapan umpan balik akan berkontribusi dan membentuk keputusan atau kegiatan lain. Metode dan konten komunikasi dan konsultasi harus mencerminkan harapan para pemangku kepentingan, jika relevan.

Komunikasi dan konsultasi harus tepat waktu dan memastikan bahwa informasi yang relevan dikumpulkan, disusun, disintesiskan dan dibagikan, sebagaimana mestinya, dan bahwa umpan balik diberikan dan perbaikan dilakukan.


5. Implementasi
Organisasi harus menerapkan kerangka manajemen risiko dengan:
  • Mengembangkan rencana yang sesuai termasuk waktu dan sumber daya;
  • Mengidentifikasi di mana, kapan dan bagaimana berbagai jenis keputusan dibuat di seluruh organisasi, dan oleh siapa;
  • Memodifikasi proses pengambilan keputusan yang berlaku jika perlu;
  • Memastikan bahwa pengaturan organisasi untuk mengelola risiko dipahami dan dipraktikkan dengan jelas.
Implementasi kerangka kerja yang berhasil membutuhkan keterlibatan dan kesadaran para pemangku kepentingan. Hal ini memungkinkan organisasi untuk secara eksplisit mengatasi ketidakpastian dalam pengambilan keputusan, sambil juga memastikan bahwa setiap ketidakpastian baru atau selanjutnya dapat diperhitungkan saat muncul.

Dirancang dan diterapkan dengan benar, kerangka kerja manajemen risiko akan memastikan bahwa proses manajemen risiko adalah bagian dari semua aktivitas di seluruh organisasi, termasuk pengambilan keputusan, dan bahwa perubahan dalam konteks eksternal dan internal akan ditangkap secara memadai.
 
 
6. Evaluasi
Untuk mengevaluasi efektivitas kerangka manajemen risiko, organisasi harus:
  • Mengukur kinerja kerangka kerja manajemen risiko secara berkala terhadap tujuannya, rencana implementasi, indikator dan perilaku yang diharapkan;
  • Menentukan apakah tetap sesuai untuk mendukung pencapaian tujuan organisasi.

7. Peningkatan
7.1 Beradaptasi
Organisasi harus terus memantau dan menyesuaikan kerangka kerja manajemen risiko untuk mengatasi perubahan eksternal dan internal. Dengan demikian, organisasi dapat meningkatkan nilainya.

7.2 Peningkatan secara terus-menerus
Organisasi harus terus meningkatkan kesesuaian, kecukupan dan efektivitas kerangka manajemen risiko dan cara proses manajemen risiko terintegrasi.
Saat celah yang relevan atau peluang peningkatan diidentifikasi, organisasi harus mengembangkan rencana dan tugas dan menugaskannya kepada mereka yang bertanggung jawab untuk implementasi. Setelah diterapkan, perbaikan ini akan berkontribusi pada peningkatan manajemen risiko.
 
***
Baca juga:
ISO 31000 2018 - Daftar Istilah Dan Definisi
ISO 31000:2018 Prinsip-Prinsip Manajemen Risiko


Sumber: ISO 31000:2018

 

Prinsip-Prinsip Manajemen Risiko

Prinsip-Prinsip Management Risiko Menurut ISO 31000:2018
Tujuan dari manajemen risiko adalah menciptakan dan melindungi nilai. Penerapan Manajemen Risiko meningkatkan kinerja, mendorong inovasi dan mendukung pencapaian tujuan.

Prinsip-prinsip yang diuraikan pada gambar di atas memberikan panduan tentang karakteristik manajemen risiko yang efektif dan efisien, mengkomunikasikan nilainya dan menjelaskan maksud dan tujuannya. Prinsip-prinsip tersebut adalah dasar untuk mengelola risiko dan harus dipertimbangkan saat menetapkan kerangka kerja dan proses manajemen risiko organisasi. Prinsip-prinsip ini harus memungkinkan organisasi untuk mengelola efek ketidakpastian pada tujuannya.

Manajemen risiko yang efektif membutuhkan elemen-elemen pada gambar diatas dan selanjutnya dapat dijelaskan sebagai berikut:

  1. Terintegrasi
    Manajemen risiko merupakan bagian integral dari semua aktivitas organisasi.
  2. Terstruktur dan komprehensif
    Pendekatan terstruktur dan komprehensif untuk manajemen risiko berkontribusi pada hasil yang konsisten dan dapat dibandingkan.
  3. Disesuaikan
    Kerangka dan proses manajemen risiko disesuaikan dan proporsional dengan konteks eksternal dan internal organisasi terkait dengan tujuannya.
  4. Inklusif
    Keterlibatan pemangku kepentingan yang tepat dan tepat waktu memungkinkan pengetahuan, pandangan dan persepsi mereka dipertimbangkan. Ini menghasilkan peningkatan kesadaran dan manajemen risiko yang terinformasi.
  5. Dinamis
    Risiko dapat muncul, berubah, atau menghilang saat konteks eksternal dan internal organisasi berubah. Manajemen risiko mengantisipasi, mendeteksi, mengakui, dan menanggapi perubahan dan peristiwa tersebut dengan cara yang tepat dan tepat waktu.
  6. Informasi terbaik yang tersedia
    Masukan untuk manajemen risiko didasarkan pada informasi historis dan terkini, serta ekspektasi masa depan. Manajemen risiko secara eksplisit mempertimbangkan segala keterbatasan dan ketidakpastian yang terkait dengan informasi dan ekspektasi tersebut. Informasi harus tepat waktu, jelas dan tersedia untuk pemangku kepentingan terkait.
  7. Faktor manusia dan budaya
    Perilaku dan budaya manusia secara signifikan mempengaruhi semua aspek manajemen risiko pada setiap level dan tahapan.
  8. Perbaikan berkelanjutan
    Manajemen risiko terus ditingkatkan melalui pembelajaran dan pengalaman. 

***
Baca juga:

ISO 31000 2018 - Daftar Istilah Dan Definisi

ISO 31000:2018 - Kerangka Kerja

Sumber: ISO 31000:2018

ISO 31000:2018

Bismillah, saat ini saya sedang mempelajari GRC (Governance, Risk, Compliance), khususnya bagian Risk-nya.

Adapun yang dipelajari pertama-tama adalah standar ISO 31000:2018 tentang Risk Management Guidelines

Untuk postingan kali ini, adalah tentang istilah dan definisi yang digunakan dalam panduan ISO 31000:2018.

Berikut daftarnya:

-----

Risk = Risiko
Efek ketidakpastian terhadap tujuan

Catatan 1: Efek adalah penyimpangan dari yang diharapkan. Ini bisa positif, negatif atau keduanya, dan dapat mengatasi, menciptakan atau menghasilkan peluang dan ancaman.

Catatan 2: Tujuan dapat memiliki aspek dan kategori yang berbeda, dan dapat diterapkan pada tingkat yang berbeda.

Catatan 3: Risiko biasanya dinyatakan dalam istilah sumber risiko, peristiwa potensial, konsekuensi dan kemungkinannya

--
Risk Management = Manajemen Risiko
Kegiatan terkoordinasi untuk mengarahkan dan mengendalikan organisasi yang berkaitan dengan risiko

--
Stakeholder = Pemangku Kepentingan
Orang atau organisasi yang dapat mempengaruhi, dipengaruhi oleh, atau mempersepsikan diri mereka sendiri dipengaruhi oleh suatu keputusan atau aktivitas

Catatan 1: Istilah "pihak yang berkepentingan" (interested parties) dapat digunakan sebagai alternatif dari "pemangku kepentingan" (stakeholder).

--
Risk Source = Sumber Risiko
Elemen yang sendiri atau dalam kombinasi berpotensi menimbulkan risiko

--
Event = Peristiwa
Kejadian atau perubahan dari serangkaian keadaan tertentu
 

Catatan 1: Suatu peristiwa dapat memiliki satu atau lebih kejadian, dan dapat memiliki beberapa penyebab dan beberapa konsekuensi.

Catatan 2: Suatu peristiwa juga bisa menjadi sesuatu yang diharapkan yang tidak terjadi, atau sesuatu yang tidak diharapkan yang terjadi.

Catatan 3: Suatu peristiwa dapat menjadi sumber risiko.

--
Consequence = Konsekuensi
Hasil dari suatu peristiwa yang mempengaruhi tujuan
 

Catatan 1: Sebuah konsekuensi bisa jadi pasti atau tidak pasti dan bisa memiliki efek langsung atau tidak langsung positif atau negatif pada tujuan.

Catatan 2: Konsekuensi dapat dinyatakan secara kualitatif atau kuantitatif.

Catatan 3: Setiap konsekuensi dapat meningkat melalui efek berjenjang dan kumulatif.

--
Likelihood = Kemungkinan
Kemungkinan sesuatu terjadi
 

Catatan 1: Dalam terminologi manajemen risiko, kata "kemungkinan" digunakan untuk merujuk pada peluang terjadinya sesuatu, baik didefinisikan, diukur atau ditentukan secara obyektif atau subyektif, kualitatif atau kuantitatif, dan dijelaskan menggunakan istilah umum atau matematis (seperti probabilitas atau frekuensi selama periode waktu tertentu).

Catatan 2: Istilah bahasa Inggris "likelihood" tidak memiliki padanan langsung dalam beberapa bahasa; sebaliknya, istilah "probabilitas" sering digunakan. Namun, dalam bahasa Inggris, "probabilitas" sering diartikan secara sempit sebagai istilah matematika. Oleh karena itu, dalam terminologi manajemen risiko, “kemungkinan” digunakan dengan maksud bahwa istilah tersebut harus memiliki interpretasi luas yang sama seperti istilah “probabilitas” dalam banyak bahasa selain bahasa Inggris.

--
Control = Kontrol
tindakan yang mempertahankan dan / atau mengubah risiko (3.1)
Catatan 1: Kontrol termasuk, tetapi tidak terbatas pada, proses, kebijakan, perangkat, praktik, atau kondisi dan / atau tindakan lain yang mempertahankan dan / atau mengubah risiko.

Catatan 2: Kontrol mungkin tidak selalu menggunakan efek modifikasi yang diinginkan atau diasumsikan.

***

Baca juga:

ISO 31000:2018 Prinsip-Prinsip Manajemen Risiko
ISO 31000:2018 - Kerangka Kerja
 

 

Sumber: ISO 31000:2018

Copyright © 2018 - irpanisme.com. Diberdayakan oleh Blogger.

About

photo

Hi, my name is Irpan. I live in Indonesia. This blog is to provide you with my trip stories, my ideas and some other things.

Jadwal Sholat

Facebook

Daftar Tulisan

Follow by Email

Connect with me