Manajemen Risiko Prinsip Dan Pedoman Risk Management .
SNI ISO 31000:2011Standar Nasional IndonesiaManajemen risiko — Prinsip dan pedomanRisk management — Principles and guidelines(ISO 31000:2009, IDT)ICS 03.100.01Badan Standardisasi Nasional
SNI ISO 31000:2011Daftar isiDaftar isi . iPrakata . iiPendahuluan . iii1 Ruang Lingkup . 12 Istilah dan definisi . 13 Prinsip . 84 Kerangka kerja . 94.1 Umum . 94.2 Mandat dan komitmen . 104.3 Rancangan kerangka kerja untuk pengelolaan risiko . 114.3.1 Pemahaman organisasi dan konteksnya . 114.3.2 Penetapan kebijakan manajemen risiko . 114.3.3 Akuntabilitas. 124.3.4 Integrasi ke dalam proses organisasi . 124.3.5 Sumber daya. 124.3.6 Penetapan mekanisme komunikasi dan pelaporan internal . 134.3.7 Penetapan mekanisme komunikasi dan pelaporan eksternal . 134.4 Pengimplementasian manajemen risiko . 144.4.1 Pengimplementasian suatu kerangka kerja untuk pengelolaan risiko . 144.4.2 Pengimplementasian suatu proses manajemen risiko . 144.5 Pemantauan dan tinjauan suatu kerangka kerja . 144.6 Perbaikan berkelanjutan terhadap suatu kerangka kerja . 145 Proses . 155.1 Umum . 155.2 Komunikasi dan konsultasi . 155.3 Penetapan suatu konteks . 165.3.1 Umum . 165.3.2 Penetapan suatu konteks eksternal . 165.3.3 Penetapan suatu konteks internal . 175.3.4 Penetapan suatu konteks dari proses manajemen risiko . 185.3.5 Pendefinisian kriteria risiko. 185.4 Penilaian risiko . 195.4.1 Umum . 195.4.2 Identifikasi risiko . 195.4.3 Analisis risiko . 195.4.4 Evaluasi risiko . 205.5 Perlakuan risiko . 215.5.1 Umum . 215.5.2 Pemilihan opsi perlakuan risiko . 215.5.3 Persiapan dan pengimplementasian rencana perlakuan risiko . 225.6 Pemantauan dan tinjauan . 225.7 Perekaman suatu proses manajemen risiko . 23Annex A (informatif) Atribut manajemen risiko yang diperkuat . 54Bibliografi . 54i
SNI ISO 31000:2011PrakataStandar Nasional Indonesia (SNI) ISO 31000:2011, dengan judul Manajemen Risiko –Prinsip dan pedoman, merupakan adopsi identik dari ISO 31000:2009 (E), Risk management– Principles and guidelines, dengan metode terjemahan dua bahasa (bilingual). Standar inisebagai pengganti dari publikasi standar terbitan tahun 2011 yang menggunakan metoderepublikasi-reprint.Standar ini disusun oleh Komite Teknis 03-10, Manajemen Risiko. Standar ini telah dibahasdan disetujui dalam rapat konsensus nasional di Jakarta, pada tanggal 19 Mei 2016.Konsensus ini dihadiri oleh para pemangku kepentingan (stakeholder) terkait, yaituperwakilan dari produsen, konsumen, pakar dan pemerintah.Standar ini merupakan bagian dari seri SNI ISO 31000, Manajemen risiko, yang terdiri dari 4standar yaitu:-SNI ISO 31000:2011 Manajemen risiko — Prinsip dan pedoman;-SNI ISO Guide 73:2016 Manajemen risiko — Kosakata;-SNI ISO/TR 31004:2016 Manajemen risiko — Panduan untuk implementasi SNI ISO31000;-SNI ISO/IEC 31010:2016 Manajemen risiko — Teknik penilaian risiko.Dalam Standar ini istilah ”this International Standard” diganti menjadi ”this Standard”, danditerjemahkan menjadi “Standar ini”.Beberapa standar ISO yang dijadikan sebagai referensi dalam Standar ini telah diadopsimenjadi Standar Nasional Indonesia (SNI), yaitu:1)ISO Guide 73:2009, Risk management - Vocabulary, telah diadopsi secara identikmenjadi SNI ISO Guide 73:2016, Manajemen risiko - Kosakata.2)ISO 31010:2009, Risk management – Risk assessment techniques, telah diadopsisecara identik menjadi SNI ISO 31010:2016, Manajemen risiko – Teknik penilaian risiko.Untuk diketahui oleh pengguna Standar ini bahwa terdapat penulisan yang tidak lengkappada standar yang di adopsi, ISO 31000:2009, yaitu: pada Figure-1 dari poin “a s/d k” hanyaditulis secara singkat dan berbeda dengan yang tercantum di batang tubuh standar padapasal 3 Principles poin “a s/d k”; contoh: a) creates value, seharusnya tertulis seperti yangtercantum di batang tubuh standar yaitu a) Risk management creates and protects value.Oleh karena Standar ini merupakan adopsi identik dengan metode terjemahan maka carapenulisan mengikuti sebagaimana yang tertulis pada standar aslinya.Apabila pengguna menemukan keraguan dalam standar ini maka disarankan untuk melihatstandar aslinya yaitu ISO 31000:2009 (E) dan/atau dokumen terkait lain yang menyertainya.ii
SNI ISO 31000:2011PendahuluanSemua jenis dan ukuran organisasi menghadapi faktor dan pengaruh internal dan eksternalyang membuat organisasi tidakpasti apakah dan kapan mereka akan mencapai tujuannya.Efek ketidakpastian ini pada sasaran organisasi adalah "risiko".Semua kegiatan dari suatu organisasi melibatkan risiko. Organisasi mengelola risiko denganpengidentifikasian, analisis, dan kemudian pengevaluasian apakah risiko sebaiknyadimodifikasi dengan perlakuan risiko guna memenuhi kriteria risiko organisasi. Sepanjangproses ini, organisasi berkomunikasi dan berkonsultasi dengan para pemangku kepentingandan memantau serta meninjau suatu risiko beserta pengendalian yang memodifikasi risikoguna memastikan bahwa perlakuan risiko lebih lanjut tidak dibutuhkan. Standar inimenguraikan secara sistematis dan logis dari proses tersebut secara rinci.Ketika semua organisasi mengelola risiko pada tingkatan tertentu, Standar ini menetapkansejumlah prinsip yang harus dipenuhi untuk membuat manajemen risiko menjadi efektif.Standar ini merekomendasikan suatu organisasi mengembangkan, mengimplementasikan,dan meningkatkan secara terus-menerus suatu kerangka kerja yang bertujuan untukmengintegrasikan suatu proses untuk pengelolaan risiko dalam keseluruhan tata kelola,stategi dan perencanaan, manajemen, proses pelaporan, kebijakan, nilai-nilai serta budayaorganisasi.Manajemen risiko dapat diterapkan pada seluruh organisasi, pada banyak wilayah dantingkatan organisasi, pada setiap waktu, dan juga untuk fungsi, proyek dan kegiatan yangbersifat spesifik.Meskipun praktik manajemen risiko telah dikembangkan dari waktu ke waktu dan dalambanyak sektor agar memenuhi beragam kebutuhan, suatu adopsi dari proses yang konsistendalam suatu kerangka kerja yang komprehensif dapat membantu untuk memastikan bahwarisiko dikelola secara efektif, efisien dan koheren lintas organisasi. Suatu pendekatan umumyang digambarkan dalam Standar ini menyediakan prinsip-prinsip dan pedoman untukpengelolaan segala bentuk risiko secara sistematis, transparan dan kredibel serta didalamsetiap ruang lingkup dan konteks.Setiap sektor spesifik atau aplikasi manajemen risiko yang spesifik membawa sertakebutuhan individual, khalayak, persepsi dan kriteria tersendiri. Oleh karena itu, suatu fiturkunci dari Standar ini adalah pencantuman tentang "penetapan suatu konteks " sebagaikegiatan pada awal suatu proses manajemen risiko umum ini. Penetapan suatu konteksakan menangkap sasaran dari suatu organisasi, suatu lingkungan di mana organisasitersebut mengejar sasarannya, para pemangku kepentingan organisasi dankeanekaragaman kriteria risiko - semua yang akan membantu dalam mengungkapkan danmenilai sifat serta kompleksitas risiko tersebut.Hubungan antara prinsip-prinsip untuk pengelolaan risiko, suatu kerangka kerja di manaprinsip tersebut terjadi dan proses manajemen risiko yang digambarkan dalam Standar iniditunjukkan pada Gambar 1.Ketika diimplementasikan dan dipelihara sesuai dengan Standar ini, pengelolaan risikomemungkinkan organisasi untuk, misalnya:-meningkatkan kemungkinan-kejadian dalam pencapaian sasaran;-mendorong manajemen proaktif;iii
SNI ISO 31000:2011-menyadari kebutuhan untuk mengidentifikasikeseluruhan organisasi;dan memperlakukanrisikodi-meningkatkan suatu pengidentifikasian peluang dan ancaman;-mematuhi persyaratan hukum dan peraturan yang relevan serta norma-normainternasional;-meningkatkan pelaporan wajib dan sukarela;-meningkatkan tata kelola;-meningkatkan keyakinan dan kepercayaan pemangku kepentingan;-menetapkan suatu dasar yang handal untuk pengambilan keputusan danperencanaan;-meningkatkan pengendalian;-mengalokasikan dan menggunakan sumber daya secara efektifrisiko;-meningkatkan efektivitas dan efisiensi operasional;-menguatkan kinerja kesehatan dan keselamatan, serta perlindungan lingkungan;-meningkatkan pencegahan kerugian dan pengelolaan insiden;-meminimalkan kerugian;-meningkatkan pembelajaran organisasi; dan-meningkatkan ketangguhan organisasi.untuk perlakuanStandar ini dimaksudkan untuk memenuhi kebutuhan pemangku kepentingan secara luas,termasuk:a) mereka yang bertanggung jawab dalam pengembangan kebijakan manajemen risikodalam organisasi mereka;b) mereka yang akuntabel dalam pemastian bahwa risiko dikelola secara efektif dalamorganisasi sebagai sebuah kesatuan atau dalam suatu area tertentu, proyek ataukegiatan;c) mereka yang membutuhkan untuk mengevaluasi efektivitas suatu organisasi dalampengelolaan risiko, dand) pengembang standar, panduan, prosedur dan kode praktik yang, secara keseluruhanatau sebagian, mengatur bagaimana risiko akan dikelola dalam konteks spesifikdokumen ini.Praktik dan proses manajemen dari banyak organisasi saat ini mencakupi komponenmanajemen risiko, dan banyak organisasi telah mengadopsi suatu proses manajemen risikoformal untuk jenis tertentu dari risiko atau keadaan. Dalam kasus tersebut, suatu organisasidapat memutuskan untuk melakukan suatu tinjauan kritis terhadap praktik dan prosesorganisasi tersebut saat ini berlandaskan Standar ini.Dalam Standar ini, ungkapan "manajemen risiko" dan "pengelolaan risiko" keduanyadigunakan. Dalam istilah umum, "manajemen risiko" mengacu pada arsitektur (prinsip,kerangka kerja dan proses) dalam pengelolaan risiko secara efektif, sementara "pengelolaanrisiko" mengacu pada penerapan arsitektur tersebut untuk risiko tertentu.iv
vPrinsip(Pasal 3)k) memfasilitasiperbaikan berkelanjutandari organisasij) dinamis, berulang danresponsif terhadapperubahani) transparan dan inklusifh) mempertimbangkanfaktor manusia danbudayag) disesuaikanpenggunaannyaf) berdasarkan informasiterbaik yang tersediae) sistematik, terstrukturdan tepat waktud) eksplisit ditujukanpada ketidakpastianc) bagian daripengambilan keputusanb) bagian terpadu darisemua proses dalamorganisasia) Menciptakan nilaiPemantauandan tinjauansuatukerangkakerja (4.5)Kerangka kerja(Pasal 4)PerbaikanBerkelanjutanterhadapsuatukerangkakerja (4.6)Pengimplementasianmanajemenrisiko (4.4)Rancangankerangka kerjauntukpengelolaanrisiko (4.3)Mandat dankomitmen(4.2)(Pasal 5)ProsesPerlakuan risiko (5.5)Evaluasi risiko (5.4.4)Analisis risiko (5.4.3)Identifikasi Risiko(5.4.2)Penilaian risiko (5.4)Penetapan suatu konteks(5.3)SNI ISO 31000:2011Pemantauan dan tinjauan (5.6)Komunikasi dan konsultasi (5.2)Gambar 1 — Hubungan antara prinsip-prinsip, kerangka kerja dan proses manajemenrisiko
SNI ISO 31000:2011Manajemen risiko - Prinsip dan pedoman1Ruang LingkupStandar ini menyediakan prinsip dan panduan generik mengenai manajemen risiko.Standar ini dapat digunakan oleh perusahaan publik, swasta atau organisasikemasyarakatan, asosiasi, kelompok ataupun individu manapun. Oleh karena itu Standar initidak dikhususkan untuk industri atau sektor tertentu.CATATAN Untuk kenyamanan, semua pengguna yang berbeda-beda dari Standar ini secara umumdisebut “organisasi”.Standar ini dapat diterapkan pada sepanjang usia sebuah organisasi dan pada beragamkegiatan termasuk strategi dan keputusan, operasi, proses, fungsi, proyek, produk, layanandan aset. Standar ini dapat diterapkan pada sebarang jenis risiko, apapun sifatnya, baikyang memiliki konsekuensi positif maupun negatif.Walaupun Standar ini menyediakan panduan generik, hal ini tidak dimaksudkan untukmendukung keseragaman manajemen risiko antar organisasi. Rancangan danpengimplementasian rencana manajemenrisikodankerangka kerjaperlumempertimbangkan berbagai kebutuhan organisasi tertentu dengan tujuan khususnya,konteks, struktur, operasi, proses, fungsi, proyek, produk, jasa atau aset dan praktik spesifikyang digunakan.Standar ini dimaksudkan untuk dimanfaatkan bagi penyelarasan proses manajemen risikopada standar yang telah ada dan yang akan datang. Standar ini menyediakan pendekatanumum guna menunjang standar yang berkaitan dengan risiko spesifik dan atau sektor, sertatidak menggantikan standar-standar tersebut.Standar ini tidak dimaksudkan untuk tujuan sertifikasi.2Istilah dan definisiDalam dokumen ini, diberlakukan istilah dan definisi berikut .2.1risikoefek dari ketidakpastian pada sasaranCATATAN 1Efek merupakan penyimpangan dari apa yang diharapkan – positif dan/atau negatifCATATAN 2Sasaran bisa mempunyai berbagai aspek (seperti keuangan, kesehatan dankeselamatan, serta tujuan lingkungan) dan dapat diterapkan pada berbagai tingkatan (sepertistrategis, organisasi secara luas, proyek, produk, dan proses)CATATAN 3 Risiko sering dinyatakan dengan mengacu pada potensi kejadian (2.17) potensial dankonsekuensi (2.18), atau kombinasi dari keduanyaCATATAN 4Risiko sering dinyatakan dalam kombinasi dari konsekuensi dari suatu kejadian(termasuk perubahan keadaan) dan dikaitkan dengan kemungkinan-kejadian (2.19) terjadinyaperistiwa tersebut.1 dari 54
SNI ISO 31000:2011CATATAN 5 Ketidakpastian merupakan keadaan, meskipun hanya sebagian, kekurangan informasiyang berkaitan dengan, pemahaman atau pengetahuan, kejadian, konsekuensinya, ataukemungkinan-kejadian.[ISO Guide 73:2009, definisi 1.1]2.2manajemen risikokegiatan terkoordinasi untuk mengarahkan dan mengendalikan organisasi terkait denganrisiko (2.1)[ISO Guide 73:2009, definisi 2.1]2.3kerangka kerja manajemen risikoseperangkat komponen yang menyediakan landasan dan pengaturan organisasi untukperancangan, pelaksanaan, pemantauan (2.28), peninjauan dan peningkatan manajemenrisiko (2.2) secara berkala di seluruh organisasiCATATAN 1(2.1).Landasan meliputi kebijakan, sasaran, mandat dan komitmen untuk mengelola risikoCATATAN 2Perangkat organisasi termasuk rencana, hubungan, akuntabilitas, sumber daya,proses dan berbagai kegiatan.CATATAN 3 Kerangka kerja manajemen risiko menyatu dalam kebijakan operasional dan praktikorganisasi secara keseluruhan.[ISO Guide 73:2009, definisi 2.1.1]2.4kebijakan manajemen risikopernyataan dari keseluruhan maksud dan arah suatu organisasi yang terkait denganmanajemen risiko (2.2)[ISO Guide 73:2009, definisi 2.1.2]2.5sikap terhadap risikopendekatan dari suatu organisasi untuk menilai risiko dan akhirnya memutuskan untukmengejar, mempertahankan, mengambil atau berpaling dari risiko (2.1)[ISO Guide 73:2009, definition 3.7.1.1]2.6rencana manajemen risikoskema dalam kerangka kerja manajemen risiko (2.3) dalam penetapan suatu pendekatan,komponen manajemen dan sumber daya untuk diterapkan pada pengelolaan risiko (2.1)CATATAN 1Komponen manajemen biasanya meliputi prosedur, praktik, pembagian tanggungjawab, urutan dan waktu kegiatan.CATATAN 2Rencanaan manajemen risiko dapat diterapkan untuk produk tertentu, proses danproyek, serta sebagian atau keseluruhan organisasi.2 dari 54
SNI ISO 31000:2011[ISO Guide 73:2009, definisi 2.1.3]2.7pemilik risikoorang atau entitas dengan akuntabilitas dan wewenang untuk mengelola risiko (2.1)[ISO Guide 73:2009, definition 3.5.1.5]2.8proses manajemen risikopenerapan sistematis dari kebijakan manajemen, prosedur dan pelaksanaan untuk kegiatanpengkomunikasian, pengkonsultasian, penetapan konteks, dan pengidentifikasian,penganalisaan, pengevaluasian, perlakuan, pemantauan (2.28) dan peninjauan risiko (2.1)[ISO Guide 73:2009, definisi 3.1]2.9penetapan suatu kontekspendefinisian parameter eksternal dan internal yang diperhitungkan pada saat pengelolaanrisiko, dan penentuan ruang lingkup serta kriteria risiko (2.22) dalam menyusun kebijakanmanajemen risiko (2.4)[ISO Guide 73:2009, definisi 3.3.1]2.10konteks eksternallingkungan eksternal di mana organisasi berusaha untuk mencapai sasarannyaCATATANKonteks eksternal dapat mencakupi:-budaya, sosial, politik, hukum, peraturan, keuangan, teknologi, ekonomi, alam dan lingkungankompetitif, baik internasional, nasional, regional atau lokal;-pendorong utama dan tren yang memiliki dampak pada sasaran organisasi; dan-hubungan terkait, persepsi dan nilai-nilai dari pemangku kepentingan (2.13) eksternal.[ISO Guide 73:2009, definisi 3.3.1.1]2.11konteks internallingkungan internal di mana organisasi berusaha untuk mencapai sasarannyaCATATANKonteks internal mencakupi:-tata kelola, struktur organisasi, peran dan akuntabilitas;-kebijakan, sasaran, dan strategi yang tepat untuk mencapainya;-kemampuan, pemahaman dalam hal sumber daya dan pengetahuan (misalnya modal, waktu,orang, proses, sistem dan teknologi);-sistem informasi, arus informasi dan proses membuat keputusan (baik formal maupuninformal);-hubungan terkait, persepsi dan nilai-nilai dari pemangku kepentingan internal.-budaya organisasi;-standar, pedoman dan model yang diadopsi oleh organisasi; dan3 dar
Manajemen risiko dapat diterapkan pada seluruh organisasi, pada banyak wilayah dan tingkatan organisasi, pada setiap waktu, dan juga untuk fungsi, proyek dan kegiatan yang bersifat spesifik. Meskipun praktik manajemen risiko
Tata Kelola Risiko 30 4. Sumber Daya Penerapan Manajemen Risiko 36 BAB III ASPEK OPERASIONAL 38 1. Pengantar 38 2. Manajemen Perubahan 40 3. Panduan Manajemen Risiko 42 4. Implementasi Manajemen Risiko 44 5. Komunikasi dan Konsultasi 45 6. Menentukan Konteks 46 7. Asesmen Risiko 51 8. Perlakuan Risiko 60 9. Monitoring dan Review 62 10.
mengelola risiko. 4. Proses atau tahapan dalam pengelolaan risiko. 5. Enterprise Risk Management (pengelolaan risiko dalam suatu . sebagian besar instrumen keuangan atau komoditas di dunia. Dengan . risiko: risiko murni dan risiko spekulatif, risiko subjektif dan objektif, dan dinamis dan statis. Gambar 1.2.
Tim Pembimbingan dan Konsultasi Manajemen Risiko Kementerian Keuangan Formulir 1.0 Piagam Manajemen Risiko 33 9. Selera Risiko Ditetapkan oleh Komite Manajemen Risiko Persepsi UPR terhadap tinggi rendahnya risiko Tingkat risiko yang bersedia diambil oleh sebuah organisasi (instansi) da
tetap diadakan analisis risiko. 2.3 Manajemen Risiko 2.3.1 Pengertian Manajemen Risiko Definisi tentang manajemen risiko banyak sekali pendapat dari berbagai pakar, seperti: 1. Menurut Darmawi, (2000). Manajemen risiko adalah proses pengukuran atau penilaian risiko serta pengembangan
4. Prinsip-Prinsip Manajemen Sekolah . Teori yang digunakan Manajemen Sekolah untuk mengelola sekolah didasarkan pada empat prinsip, yaitu prinsip ekuifinalitas, prinsip desentralisasi, prinsip sistem pengelolaan mandiri, dan prinsip inisiatif sumber daya manusia. a. Prinsip Ekuifinalitas (Principle of Equifinality)
Pedoman Prinsip-Prinsip Bisnis / CoBP Mengamalkan Pedoman Konsultasi Hukum Manajemen Risiko yang Bertanggung jawab. 4 . penjelasan sederhana tentang etika kita dalam beroperasi. Pedoman ini kita inform
manajemen risiko adalah tentang cara menghindari, mengurangi, menyerap atau mentransfer risiko dan memanfaatkan peluang potensial. Menurut Thompson dan Perry (1991), proses manajemen risiko ini sebenarnya dibagi menjadi dua yaitu analisis risiko dan manajemen risiko. Anal
dikelola. Manajemen risiko bertujuan untuk mengelola risiko sehingga proyek tersebut dapat bertahan, atau barangkali mengoptimalkan risiko.(Hanafi, 2006) Manajemen risiko proyek mencakup proses melakukan perencanaan manajemen risiko, identifikasi, analisa, perencanaan respon, dan pemantauan dan pengendalia
