ISO 31000:2018 - Proses

0 Comments

 


1. Umum
Proses manajemen risiko melibatkan penerapan sistematis kebijakan, prosedur, dan praktik untuk kegiatan komunikasi dan konsultasi, menetapkan konteks dan menilai, menangani, memantau, meninjau, mencatat, dan melaporkan risiko. Proses ini diilustrasikan pada gambar diatas.

Proses manajemen risiko harus menjadi bagian integral dari manajemen dan pengambilan keputusan dan diintegrasikan ke dalam struktur, operasi dan proses organisasi. Ini dapat diterapkan pada tingkat strategis, operasional, program atau proyek. Ada banyak penerapan proses manajemen risiko dalam suatu organisasi, yang disesuaikan untuk mencapai tujuan dan agar sesuai dengan konteks eksternal dan internal di mana mereka diterapkan. Sifat dinamis dan variabel dari perilaku dan budaya manusia harus dipertimbangkan selama proses manajemen risiko. Meskipun proses manajemen risiko sering disajikan secara berurutan, dalam praktiknya proses ini berulang.

2. Komunikasi dan konsultasi
Tujuan komunikasi dan konsultasi adalah untuk membantu pemangku kepentingan terkait dalam memahami risiko, dasar pengambilan keputusan, dan alasan mengapa tindakan tertentu diperlukan. Komunikasi berusaha untuk meningkatkan kesadaran dan pemahaman tentang risiko, sedangkan konsultasi melibatkan perolehan umpan balik dan informasi untuk mendukung pengambilan keputusan. Koordinasi yang erat antara keduanya harus memfasilitasi pertukaran informasi yang faktual, tepat waktu, relevan, akurat dan dapat dimengerti, dengan mempertimbangkan kerahasiaan dan integritas informasi serta hak privasi individu.


Komunikasi dan konsultasi dengan pemangku kepentingan eksternal dan internal yang sesuai harus dilakukan di dalam dan di seluruh langkah proses manajemen risiko.
Komunikasi dan konsultasi bertujuan untuk:

  • Menyatukan berbagai bidang keahlian untuk setiap langkah proses manajemen risiko;
  • Memastikan bahwa pandangan yang berbeda dipertimbangkan dengan tepat saat mendefinisikan kriteria risiko dan saat mengevaluasi risiko;
  • Memberikan informasi yang memadai untuk memfasilitasi pengawasan risiko dan pengambilan keputusan;
  • Membangun rasa inklusivitas dan kepemilikan di antara mereka yang terkena risiko.


3. Ruang lingkup, konteks dan kriteria
3.1 Umum

Tujuan menetapkan ruang lingkup, konteks dan kriteria adalah untuk menyesuaikan proses manajemen risiko, memungkinkan penilaian risiko yang efektif dan perlakuan risiko yang sesuai. Ruang lingkup, konteks dan kriteria melibatkan pendefinisian ruang lingkup proses, dan pemahaman konteks eksternal dan internal.

3.2 Mendefinisikan ruang lingkup
Organisasi harus menentukan ruang lingkup aktivitas manajemen risikonya. Karena proses manajemen risiko dapat diterapkan pada tingkat yang berbeda (misalnya strategis, operasional, program, proyek, atau kegiatan lain), penting untuk memperjelas ruang lingkup yang dipertimbangkan, tujuan yang relevan untuk dipertimbangkan dan keselarasannya dengan tujuan organisasi. 


Saat merencanakan pendekatan, pertimbangannya meliputi:

  • Tujuan dan keputusan yang perlu dibuat;
  • Hasil yang diharapkan dari langkah-langkah yang akan diambil dalam proses;
  • Waktu, lokasi, inklusi dan pengecualian tertentu;
  • Alat dan teknik penilaian risiko yang tepat;
  • Sumber daya yang dibutuhkan, tanggung jawab dan catatan yang harus disimpan;
  • Hubungan dengan proyek, proses, dan aktivitas lain.


3.3. Konteks eksternal dan internal
Konteks eksternal dan internal adalah lingkungan di mana organisasi berusaha untuk mendefinisikan dan mencapai tujuannya. Konteks proses manajemen risiko harus ditetapkan dari pemahaman tentang lingkungan eksternal dan internal di mana organisasi beroperasi dan harus mencerminkan lingkungan spesifik dari aktivitas di mana proses manajemen risiko akan diterapkan.


Memahami konteks itu penting karena:

  • Manajemen risiko terjadi dalam konteks tujuan dan aktivitas organisasi;
  • Faktor organisasi dapat menjadi sumber risiko;
  • Tujuan dan ruang lingkup proses manajemen risiko mungkin saling terkait dengan tujuan organisasi secara keseluruhan.

Organisasi harus menetapkan konteks eksternal dan internal dari proses manajemen risiko dengan mempertimbangkan faktor-faktor yang disebutkan dalam Kerangka Kerja ISO 31000:2018 bagian 4.1 "Memahami Organisasi dan Konteksnya".

3.4. Mendefinisikan kriteria risiko
Organisasi harus menentukan jumlah dan jenis risiko yang mungkin diambil atau tidak, relatif terhadap tujuan. Ini juga harus menetapkan kriteria untuk mengevaluasi signifikansi risiko dan untuk mendukung proses pengambilan keputusan. Kriteria risiko harus diselaraskan dengan kerangka kerja manajemen risiko dan disesuaikan dengan tujuan spesifik dan ruang lingkup aktivitas yang sedang dipertimbangkan. Kriteria risiko harus mencerminkan nilai, tujuan dan sumber daya organisasi dan konsisten dengan kebijakan dan pernyataan tentang manajemen risiko. Kriteria harus ditetapkan dengan mempertimbangkan kewajiban organisasi dan pandangan pemangku kepentingan.

Meskipun kriteria risiko harus ditetapkan pada awal proses penilaian risiko, kriteria tersebut bersifat dinamis dan harus terus ditinjau dan diubah, jika perlu.

Untuk menetapkan kriteria risiko, hal-hal berikut harus dipertimbangkan:

  • Sifat dan jenis ketidakpastian yang dapat mempengaruhi hasil dan tujuan (baik berwujud maupun tidak berwujud);
  • Bagaimana konsekuensi (baik positif maupun negatif) dan kemungkinan akan didefinisikan dan diukur;
  • Faktor terkait waktu;
  • Konsistensi dalam penggunaan pengukuran;
  • Bagaimana tingkat risiko akan ditentukan;
  • Bagaimana kombinasi dan urutan dari berbagai risiko akan diperhitungkan;
  • Kapasitas organisasi.


4. Penilaian risiko
4.1. Umum

Penilaian risiko adalah keseluruhan proses identifikasi risiko, analisis risiko dan evaluasi risiko.
Penilaian risiko harus dilakukan secara sistematis, iteratif dan kolaboratif, berdasarkan pengetahuan dan pandangan para pemangku kepentingan. Ini harus menggunakan informasi terbaik yang tersedia, dilengkapi dengan penyelidikan lebih lanjut jika diperlukan.

4.2. Identifikasi risiko
Tujuan dari identifikasi risiko adalah untuk menemukan, mengenali dan menggambarkan risiko yang mungkin membantu atau mencegah organisasi mencapai tujuannya. Informasi yang relevan, sesuai dan terkini penting dalam mengidentifikasi risiko.
Organisasi dapat menggunakan berbagai teknik untuk mengidentifikasi ketidakpastian yang dapat mempengaruhi satu atau lebih tujuan. Faktor-faktor berikut, dan hubungan antara faktor-faktor ini, harus dipertimbangkan:

  • Sumber risiko yang berwujud dan tidak berwujud;
  • Penyebab dan peristiwa;
  • Ancaman dan peluang;
  • Kerentanan dan kemampuan;
  • Perubahan dalam konteks eksternal dan internal;
  • Indikator risiko yang muncul;
  • Sifat dan nilai aset dan sumber daya;
  • Konsekuensi dan dampaknya terhadap tujuan;
  • Keterbatasan pengetahuan dan keandalan informasi;
  • Faktor terkait waktu;
  • Bias, asumsi dan keyakinan mereka yang terlibat.

Organisasi harus mengidentifikasi risiko, apakah sumbernya berada di bawah kendalinya atau tidak. Pertimbangan harus diberikan bahwa mungkin ada lebih dari satu jenis hasil, yang dapat mengakibatkan berbagai konsekuensi yang berwujud atau tidak berwujud.

4.3. Analisis risiko
Tujuan dari analisis risiko adalah untuk memahami sifat risiko dan karakteristiknya termasuk, jika sesuai, tingkat risikonya. Analisis risiko melibatkan pertimbangan rinci tentang ketidakpastian, sumber risiko, konsekuensi, kemungkinan, peristiwa, skenario, pengendalian, dan keefektifannya. Suatu peristiwa dapat memiliki banyak penyebab dan konsekuensi dan dapat memengaruhi berbagai tujuan.
Analisis risiko dapat dilakukan dengan berbagai tingkat detail dan kompleksitas, tergantung pada tujuan analisis, ketersediaan dan keandalan informasi, serta sumber daya yang tersedia. Teknik analisis dapat bersifat kualitatif, kuantitatif atau kombinasi dari semuanya, tergantung pada keadaan dan tujuan penggunaan.


Analisis risiko harus mempertimbangkan faktor-faktor seperti:

  • Kemungkinan kejadian dan konsekuensi;
  • Sifat dan besarnya konsekuensi;
  • Kompleksitas dan konektivitas;
  • Faktor dan volatilitas terkait waktu;
  • Efektivitas pengendalian yang ada;
  • Tingkat sensitivitas dan kepercayaan diri.

Analisis risiko dapat dipengaruhi oleh perbedaan pendapat, bias, persepsi risiko dan penilaian. Pengaruh tambahan adalah kualitas informasi yang digunakan, asumsi dan pengecualian yang dibuat, segala batasan teknik dan bagaimana mereka dieksekusi. Pengaruh ini harus dipertimbangkan, didokumentasikan dan dikomunikasikan kepada pengambil keputusan.


Peristiwa yang sangat tidak pasti bisa sulit diukur. Ini bisa menjadi masalah saat menganalisis peristiwa dengan konsekuensi yang parah. Dalam kasus seperti itu, menggunakan kombinasi teknik umumnya memberikan wawasan yang lebih luas.

Analisis risiko memberikan masukan untuk evaluasi risiko, untuk keputusan tentang apakah risiko perlu ditangani dan bagaimana, dan tentang strategi dan metode penanganan risiko yang paling tepat. Hasilnya memberikan wawasan untuk keputusan, di mana pilihan dibuat, dan opsi melibatkan berbagai jenis dan tingkat risiko.

4.4. Evaluasi risiko
Tujuan evaluasi risiko adalah untuk mendukung pengambilan keputusan. Evaluasi risiko melibatkan perbandingan hasil analisis risiko dengan kriteria risiko yang ditetapkan untuk menentukan di mana tindakan tambahan diperlukan. Ini dapat mengarah pada keputusan untuk:

  • Tidak melakukan apa-apa lebih jauh;
  • Pertimbangkan pilihan penanganan risiko;
  • Melakukan analisis lebih lanjut untuk lebih memahami risiko;
  • Mempertahankan kendali yang ada;
  • Pertimbangkan kembali tujuan.

Keputusan harus mempertimbangkan konteks yang lebih luas dan konsekuensi aktual serta yang dirasakan oleh pemangku kepentingan eksternal dan internal.

Hasil evaluasi risiko harus dicatat, dikomunikasikan, dan kemudian divalidasi pada tingkat organisasi yang sesuai.

5. Perawatan risiko
5.1. Umum

Tujuan dari perlakuan risiko adalah untuk memilih dan menerapkan opsi untuk menangani risiko.
Penanganan risiko melibatkan proses berulang dari:

  • Merumuskan dan memilih opsi perlakuan risiko;
  • Merencanakan dan menerapkan perlakuan risiko;
  • Menilai keefektifan pengobatan itu;
  • Memutuskan apakah risiko yang tersisa dapat diterima;
  • Jika tidak dapat diterima, lakukan pengobatan lebih lanjut.


5.2. Pemilihan opsi penanganan risiko
Memilih opsi perlakuan risiko yang paling tepat melibatkan keseimbangan manfaat potensial yang diperoleh dalam kaitannya dengan pencapaian tujuan terhadap biaya, upaya, atau kerugian penerapan.

Pilihan perlakuan risiko tidak selalu eksklusif atau sesuai dalam semua keadaan. Pilihan untuk menangani risiko mungkin melibatkan satu atau lebih hal berikut ini:

  • Menghindari risiko dengan memutuskan untuk tidak memulai atau melanjutkan aktivitas yang menimbulkan risiko;
  • Mengambil atau meningkatkan risiko untuk mengejar peluang;
  • Menghilangkan sumber risiko;
  • Mengubah kemungkinan;
  • Mengubah konsekuensinya;
  • Berbagi risiko (misalnya melalui kontrak, membeli asuransi);
  • Mempertahankan risiko dengan keputusan yang tepat.

Justifikasi untuk perlakuan risiko lebih luas dari sekadar pertimbangan ekonomi dan harus mempertimbangkan semua kewajiban organisasi, komitmen sukarela, dan pandangan pemangku kepentingan. Pemilihan opsi perlakuan risiko harus dibuat sesuai dengan tujuan organisasi, kriteria risiko dan sumber daya yang tersedia.

Saat memilih opsi perlakuan risiko, organisasi harus mempertimbangkan nilai, persepsi dan potensi keterlibatan pemangku kepentingan dan cara yang paling tepat untuk berkomunikasi dan berkonsultasi dengan mereka. Meskipun sama efektifnya, beberapa perlakuan risiko bisa lebih diterima oleh beberapa pemangku kepentingan daripada yang lain.


Perlakuan risiko, bahkan jika dirancang dan diterapkan dengan hati-hati mungkin tidak menghasilkan hasil yang diharapkan dan dapat menghasilkan konsekuensi yang tidak diinginkan. Pemantauan dan peninjauan perlu menjadi bagian integral dari penerapan perlakuan risiko untuk memberikan jaminan bahwa berbagai bentuk perlakuan menjadi dan tetap efektif.


Perlakuan risiko juga dapat menimbulkan risiko baru yang perlu dikelola.

Jika tidak ada pilihan pengobatan yang tersedia atau jika pilihan pengobatan tidak cukup mengubah risiko, risiko harus dicatat dan terus ditinjau.
Pengambil keputusan dan pemangku kepentingan lainnya harus menyadari sifat dan tingkat risiko yang tersisa setelah perlakuan risiko. Risiko yang tersisa harus didokumentasikan dan menjadi sasaran pemantauan, tinjauan dan, jika sesuai, penanganan lebih lanjut.

5.3. Mempersiapkan dan menerapkan rencana perlakuan risiko
Tujuan rencana perlakuan risiko adalah untuk menentukan bagaimana opsi perlakuan yang dipilih akan diterapkan, sehingga pengaturan dipahami oleh mereka yang terlibat, dan kemajuan rencana dapat dipantau. Rencana perawatan harus secara jelas mengidentifikasi urutan di mana perlakuan risiko harus diterapkan.


Rencana perawatan harus diintegrasikan ke dalam rencana dan proses manajemen organisasi, dengan berkonsultasi dengan pemangku kepentingan yang sesuai.
Informasi yang diberikan dalam rencana perawatan harus mencakup:

  • Alasan pemilihan opsi pengobatan, termasuk manfaat yang diharapkan akan diperoleh;
  • Mereka yang bertanggung jawab dan bertanggung jawab untuk menyetujui dan melaksanakan rencana;
  • Tindakan yang diusulkan;
  • Sumber daya yang dibutuhkan, termasuk kemungkinan;
  • Ukuran kinerja;
  • Kendala;
  • Pelaporan dan pemantauan yang diperlukan;
  • Saat tindakan diharapkan dilakukan dan diselesaikan.


6. Pemantauan dan tinjauan
Tujuan dari pemantauan dan tinjauan adalah untuk memastikan dan meningkatkan kualitas dan efektivitas desain proses, implementasi dan hasil. Pemantauan berkelanjutan dan tinjauan berkala dari proses manajemen risiko dan hasilnya harus menjadi bagian yang direncanakan dari proses manajemen risiko, dengan tanggung jawab yang ditentukan dengan jelas.


Pemantauan dan peninjauan harus dilakukan di semua tahapan proses. Pemantauan dan peninjauan mencakup perencanaan, pengumpulan dan analisis informasi, pencatatan hasil dan pemberian umpan balik.


Hasil pemantauan dan tinjauan harus dimasukkan ke seluruh kegiatan manajemen, pengukuran dan pelaporan kinerja organisasi.

7. Pencatatan dan pelaporan
Proses manajemen risiko dan hasilnya harus didokumentasikan dan dilaporkan melalui mekanisme yang sesuai. Pencatatan dan pelaporan bertujuan untuk:

  • Mengkomunikasikan aktivitas dan hasil manajemen risiko di seluruh organisasi;
  • Memberikan informasi untuk pengambilan keputusan;
  • Meningkatkan aktivitas manajemen risiko;
  • Membantu interaksi dengan pemangku kepentingan, termasuk mereka yang memiliki tanggung jawab dan akuntabilitas untuk kegiatan manajemen risiko.

Keputusan mengenai pembuatan, penyimpanan dan penanganan informasi terdokumentasi harus mempertimbangkan, tetapi tidak terbatas pada: penggunaannya, kepekaan informasi dan konteks eksternal dan internal.

Pelaporan merupakan bagian integral dari tata kelola organisasi dan harus meningkatkan kualitas dialog dengan pemangku kepentingan serta mendukung manajemen puncak dan badan pengawas dalam memenuhi tanggung jawab mereka. Faktor yang perlu dipertimbangkan untuk pelaporan termasuk, tetapi tidak terbatas pada:

  • Pemangku kepentingan yang berbeda serta kebutuhan dan persyaratan informasi spesifik mereka;
  • Biaya, frekuensi dan ketepatan waktu pelaporan;
  • Metode pelaporan;
  • Relevansi informasi dengan tujuan organisasi dan pengambilan keputusan.

***

Baca juga:
- Daftar Istilah Dan Definisi
- Prinsip-Prinsip Manajemen Risiko
- Kerangka Kerja

 

***

Photo Credit:
- iso.org



You may also like

Tidak ada komentar:

Copyright © 2018 - irpanisme.com. Diberdayakan oleh Blogger.