 |
| ISO 31000:2018 - Framework |
Kerangka Kerja ISO 31000:2018
1. Umum
Kerangka kerja manajemen risiko bertujuan untuk membantu organisasi dalam mengintegrasikan manajemen risiko ke dalam aktivitas dan fungsi yang signifikan. Efektivitas manajemen risiko akan bergantung pada integrasinya ke dalam tata kelola organisasi, termasuk pengambilan keputusan. Ini membutuhkan dukungan dari para pemangku kepentingan, terutama kalangan Top Manajemen.
Pengembangan kerangka kerja mencakup:
Organisasi harus mengevaluasi praktik dan proses manajemen risiko yang ada, mengevaluasi setiap kesenjangan yang ada, kemudian mengatasi kesenjangan tersebut dalam kerangka kerja.
Komponen kerangka kerja dan cara mereka bekerja bersama harus disesuaikan dengan kebutuhan organisasi.
Kerangka kerja manajemen risiko bertujuan untuk membantu organisasi dalam mengintegrasikan manajemen risiko ke dalam aktivitas dan fungsi yang signifikan. Efektivitas manajemen risiko akan bergantung pada integrasinya ke dalam tata kelola organisasi, termasuk pengambilan keputusan. Ini membutuhkan dukungan dari para pemangku kepentingan, terutama kalangan Top Manajemen.
Pengembangan kerangka kerja mencakup:
- Pengintegrasian
- Perancangan
- Penerapan
- Evaluasi
- Peningkatan manajemen risiko di seluruh organisasi.
Organisasi harus mengevaluasi praktik dan proses manajemen risiko yang ada, mengevaluasi setiap kesenjangan yang ada, kemudian mengatasi kesenjangan tersebut dalam kerangka kerja.
Komponen kerangka kerja dan cara mereka bekerja bersama harus disesuaikan dengan kebutuhan organisasi.
2. Komitmen dan Kepemimpinan
Badan manajemen dan badan pengawas, harus memastikan bahwa manajemen risiko diintegrasikan ke dalam semua aktivitas organisasi dan harus menunjukkan kepemimpinan dan komitmen dengan:
Badan manajemen dan badan pengawas, harus memastikan bahwa manajemen risiko diintegrasikan ke dalam semua aktivitas organisasi dan harus menunjukkan kepemimpinan dan komitmen dengan:
- Menyesuaikan dan menerapkan semua komponen kerangka kerja;
- Mengeluarkan pernyataan atau kebijakan yang menetapkan pendekatan, rencana, atau tindakan manajemen risiko;
- Memastikan bahwa sumber daya yang diperlukan dialokasikan untuk mengelola risiko;
- Menetapkan wewenang, tanggung jawab dan akuntabilitas pada tingkat yang sesuai dalam organisasi.
Hal tersebut akan membantu organisasi untuk:
- Menyelaraskan manajemen risiko dengan tujuan, strategi dan budaya organisasi;
- Mengenali dan menangani semua kewajiban, serta komitmen sukarelanya;
- Menetapkan jumlah dan jenis risiko yang mungkin atau tidak mungkin diambil, untuk digunakan sebagai acuan dalam pengembangan kriteria risiko, memastikan bahwa mereka dikomunikasikan kepada organisasi dan pemangku kepentingannya (Stakeholder);
- Mengkomunikasikan nilai manajemen risiko kepada organisasi dan pemangku kepentingannya;
- Mempromosikan pemantauan risiko secara sistematis;
- Memastikan bahwa kerangka kerja manajemen risiko tetap sesuai dengan konteks organisasi.
Top Manajemen bertanggung jawab untuk mengelola risiko sementara badan pengawas bertanggung jawab untuk mengawasi manajemen risiko. Badan pengawas sering diharapkan atau diminta untuk:
- Memastikan bahwa risiko-risiko masuk dalam pertimbangan ketika menetapkan tujuan organisasi;
- Memahami risiko yang dihadapi organisasi dalam usaha mewujudkan tujuannya;
- Memastikan bahwa sistem untuk mengelola risiko tersebut diterapkan dan beroperasi secara efektif;
- Memastikan bahwa risiko tersebut sesuai dengan konteks tujuan organisasi;
- Memastikan bahwa informasi tentang risiko tersebut dan pengelolaannya dikomunikasikan dengan benar.
3. Integrasi
Integrasi manajemen risiko bergantung pada pemahaman tentang struktur dan konteks organisasi. Struktur organisasi berbeda-beda tergantung pada tujuan, sasaran, dan kompleksitas organisasinya. Risiko dikelola di setiap bagian struktur organisasi. Setiap orang dalam organisasi memiliki tanggung jawab untuk mengelola risiko.
Tata kelola yang diterapkan berguna untuk memandu jalannya organisasi, hubungan eksternal dan internalnya, serta aturan, proses, dan praktik yang diperlukan untuk mencapai tujuannya. Struktur manajemen menerjemahkan arah tata kelola, ke dalam strategi dan tujuan terkait yang diperlukan untuk mencapai tingkat kinerja berkelanjutan dan kelangsungan hidup jangka panjang yang diinginkan. Menentukan akuntabilitas manajemen risiko dan peran pengawasan dalam organisasi merupakan bagian integral dari tata kelola organisasi.
Integrasi manajemen risiko bergantung pada pemahaman tentang struktur dan konteks organisasi. Struktur organisasi berbeda-beda tergantung pada tujuan, sasaran, dan kompleksitas organisasinya. Risiko dikelola di setiap bagian struktur organisasi. Setiap orang dalam organisasi memiliki tanggung jawab untuk mengelola risiko.
Tata kelola yang diterapkan berguna untuk memandu jalannya organisasi, hubungan eksternal dan internalnya, serta aturan, proses, dan praktik yang diperlukan untuk mencapai tujuannya. Struktur manajemen menerjemahkan arah tata kelola, ke dalam strategi dan tujuan terkait yang diperlukan untuk mencapai tingkat kinerja berkelanjutan dan kelangsungan hidup jangka panjang yang diinginkan. Menentukan akuntabilitas manajemen risiko dan peran pengawasan dalam organisasi merupakan bagian integral dari tata kelola organisasi.
Mengintegrasikan manajemen risiko ke dalam organisasi adalah proses yang dinamis dan berulang, dan harus disesuaikan dengan kebutuhan dan budaya organisasi. Manajemen risiko harus menjadi bagian dari, dan tidak terpisah dari: tujuan organisasi, tata kelola, kepemimpinan dan komitmen, strategi, sasaran dan operasi.
4. Desain
4.1. Memahami organisasi dan konteksnya
Saat merancang kerangka kerja untuk mengelola risiko, organisasi harus memeriksa dan memahami konteks eksternal dan internalnya.
Memeriksa konteks eksternal organisasi mungkin termasuk, tetapi tidak terbatas pada:
Saat merancang kerangka kerja untuk mengelola risiko, organisasi harus memeriksa dan memahami konteks eksternal dan internalnya.
Memeriksa konteks eksternal organisasi mungkin termasuk, tetapi tidak terbatas pada:
- Faktor sosial, budaya, politik, hukum, peraturan, keuangan, teknologi, ekonomi dan lingkungan, baik internasional, nasional, regional atau lokal;
- Pendorong utama dan tren yang mempengaruhi tujuan organisasi;
- Hubungan, persepsi, nilai, kebutuhan, dan harapan pemangku kepentingan eksternal;
- Hubungan dan komitmen kontraktual;
- Kompleksitas jaringan dan ketergantungan.
Memeriksa konteks internal organisasi mungkin termasuk, tetapi tidak terbatas pada:
- Visi, misi dan nilai;
- Tata kelola, struktur organisasi, peran dan akuntabilitas;
- Strategi, tujuan dan kebijakan;
- Budaya organisasi;
- Standar, pedoman dan model yang diadopsi oleh organisasi;
- Kapabilitas, dipahami dalam istilah sumber daya dan pengetahuan (misalnya modal, waktu, orang, kekayaan intelektual, proses, sistem, dan teknologi);
- Data, sistem informasi dan arus informasi;
- Hubungan dengan pemangku kepentingan internal, dengan mempertimbangkan persepsi dan nilai mereka;
- Hubungan dan komitmen kontraktual;
- Saling ketergantungan dan interkoneksi.
4.2. Mengartikulasikan komitmen manajemen risiko
Top manajemen dan Badan pengawas, jika memungkinkan, harus menunjukkan dan mengartikulasikan komitmen berkelanjutan mereka terhadap manajemen risiko melalui kebijakan, pernyataan, atau bentuk lain yang secara jelas menyampaikan tujuan dan komitmen organisasi terhadap manajemen risiko. Komitmen tersebut harus mencakup, tetapi tidak terbatas pada:
Top manajemen dan Badan pengawas, jika memungkinkan, harus menunjukkan dan mengartikulasikan komitmen berkelanjutan mereka terhadap manajemen risiko melalui kebijakan, pernyataan, atau bentuk lain yang secara jelas menyampaikan tujuan dan komitmen organisasi terhadap manajemen risiko. Komitmen tersebut harus mencakup, tetapi tidak terbatas pada:
- Tujuan organisasi untuk mengelola risiko dan kaitannya dengan tujuan dan kebijakan lainnya;
- Memperkuat kebutuhan untuk mengintegrasikan manajemen risiko ke dalam budaya organisasi secara keseluruhan;
- Memimpin integrasi manajemen risiko ke dalam aktivitas bisnis inti dan pengambilan keputusan;
- Otoritas, tanggung jawab dan akuntabilitas;
- Menyediakan sumber daya yang diperlukan;
- Cara menangani tujuan yang bertentangan;
- Pengukuran dan pelaporan dalam indikator kinerja organisasi;
- Review dan perbaikan.
4.3. Menetapkan peran organisasi, wewenang, tanggung jawab dan akuntabilitas
Badan manajemen dan pengawas puncak, jika memungkinkan, harus memastikan bahwa wewenang, tanggung jawab, dan akuntabilitas untuk peran yang relevan terkait dengan manajemen risiko ditetapkan dan dikomunikasikan di semua tingkat organisasi, dan harus:
Badan manajemen dan pengawas puncak, jika memungkinkan, harus memastikan bahwa wewenang, tanggung jawab, dan akuntabilitas untuk peran yang relevan terkait dengan manajemen risiko ditetapkan dan dikomunikasikan di semua tingkat organisasi, dan harus:
- Tekankan bahwa manajemen risiko adalah tanggung jawab inti;
- Mengidentifikasi individu yang memiliki akuntabilitas dan kewenangan untuk mengelola risiko (pemilik risiko).
4.4 Mengalokasikan sumber daya
Badan manajemen dan pengawas puncak, jika memungkinkan, harus memastikan alokasi sumber daya yang sesuai untuk manajemen risiko, yang dapat mencakup, tetapi tidak terbatas pada:
Badan manajemen dan pengawas puncak, jika memungkinkan, harus memastikan alokasi sumber daya yang sesuai untuk manajemen risiko, yang dapat mencakup, tetapi tidak terbatas pada:
- Orang, keterampilan, pengalaman dan kompetensi;
- Proses, metode, dan alat organisasi yang akan digunakan untuk mengelola risiko;
- Proses dan prosedur yang terdokumentasi;
- Sistem informasi dan manajemen pengetahuan;
- Pengembangan profesional dan kebutuhan pelatihan.
4.5 Menjalin komunikasi dan konsultasi
Organisasi harus menetapkan pendekatan komunikasi dan konsultasi yang disetujui untuk mendukung kerangka kerja dan memfasilitasi penerapan manajemen risiko yang efektif. Komunikasi melibatkan berbagi informasi dengan audiens yang ditargetkan. Konsultasi juga melibatkan peserta yang memberikan umpan balik dengan harapan umpan balik akan berkontribusi dan membentuk keputusan atau kegiatan lain. Metode dan konten komunikasi dan konsultasi harus mencerminkan harapan para pemangku kepentingan, jika relevan.
Komunikasi dan konsultasi harus tepat waktu dan memastikan bahwa informasi yang relevan dikumpulkan, disusun, disintesiskan dan dibagikan, sebagaimana mestinya, dan bahwa umpan balik diberikan dan perbaikan dilakukan.
Organisasi harus menetapkan pendekatan komunikasi dan konsultasi yang disetujui untuk mendukung kerangka kerja dan memfasilitasi penerapan manajemen risiko yang efektif. Komunikasi melibatkan berbagi informasi dengan audiens yang ditargetkan. Konsultasi juga melibatkan peserta yang memberikan umpan balik dengan harapan umpan balik akan berkontribusi dan membentuk keputusan atau kegiatan lain. Metode dan konten komunikasi dan konsultasi harus mencerminkan harapan para pemangku kepentingan, jika relevan.
Komunikasi dan konsultasi harus tepat waktu dan memastikan bahwa informasi yang relevan dikumpulkan, disusun, disintesiskan dan dibagikan, sebagaimana mestinya, dan bahwa umpan balik diberikan dan perbaikan dilakukan.
5. Implementasi
Organisasi harus menerapkan kerangka manajemen risiko dengan:
Dirancang dan diterapkan dengan benar, kerangka kerja manajemen risiko akan memastikan bahwa proses manajemen risiko adalah bagian dari semua aktivitas di seluruh organisasi, termasuk pengambilan keputusan, dan bahwa perubahan dalam konteks eksternal dan internal akan ditangkap secara memadai.
Organisasi harus menerapkan kerangka manajemen risiko dengan:
- Mengembangkan rencana yang sesuai termasuk waktu dan sumber daya;
- Mengidentifikasi di mana, kapan dan bagaimana berbagai jenis keputusan dibuat di seluruh organisasi, dan oleh siapa;
- Memodifikasi proses pengambilan keputusan yang berlaku jika perlu;
- Memastikan bahwa pengaturan organisasi untuk mengelola risiko dipahami dan dipraktikkan dengan jelas.
Dirancang dan diterapkan dengan benar, kerangka kerja manajemen risiko akan memastikan bahwa proses manajemen risiko adalah bagian dari semua aktivitas di seluruh organisasi, termasuk pengambilan keputusan, dan bahwa perubahan dalam konteks eksternal dan internal akan ditangkap secara memadai.
6. Evaluasi
Untuk mengevaluasi efektivitas kerangka manajemen risiko, organisasi harus:
Untuk mengevaluasi efektivitas kerangka manajemen risiko, organisasi harus:
- Mengukur kinerja kerangka kerja manajemen risiko secara berkala terhadap tujuannya, rencana implementasi, indikator dan perilaku yang diharapkan;
- Menentukan apakah tetap sesuai untuk mendukung pencapaian tujuan organisasi.
7. Peningkatan
7.1 Beradaptasi
Organisasi harus terus memantau dan menyesuaikan kerangka kerja manajemen risiko untuk mengatasi perubahan eksternal dan internal. Dengan demikian, organisasi dapat meningkatkan nilainya.
Organisasi harus terus memantau dan menyesuaikan kerangka kerja manajemen risiko untuk mengatasi perubahan eksternal dan internal. Dengan demikian, organisasi dapat meningkatkan nilainya.
7.2 Peningkatan secara terus-menerus
Organisasi harus terus meningkatkan kesesuaian, kecukupan dan efektivitas kerangka manajemen risiko dan cara proses manajemen risiko terintegrasi.
Saat celah yang relevan atau peluang peningkatan diidentifikasi, organisasi harus mengembangkan rencana dan tugas dan menugaskannya kepada mereka yang bertanggung jawab untuk implementasi. Setelah diterapkan, perbaikan ini akan berkontribusi pada peningkatan manajemen risiko.
Organisasi harus terus meningkatkan kesesuaian, kecukupan dan efektivitas kerangka manajemen risiko dan cara proses manajemen risiko terintegrasi.
Saat celah yang relevan atau peluang peningkatan diidentifikasi, organisasi harus mengembangkan rencana dan tugas dan menugaskannya kepada mereka yang bertanggung jawab untuk implementasi. Setelah diterapkan, perbaikan ini akan berkontribusi pada peningkatan manajemen risiko.
***
Baca juga:
ISO 31000 2018 - Daftar Istilah Dan Definisi
ISO 31000:2018 Prinsip-Prinsip Manajemen Risiko
Sumber: ISO 31000:2018
Posting Komentar
Posting Komentar