BAB II. PRINSIP-PRINSIP DAN PEDOMAN MANAJEMEN RISIKO

B. ISO 31000 Tahun 2018 Tentang Pedoman Implementasi Manajemen Risiko

organisasi, suatu lingkungan dimana organisasi tersebut mengejar sasarannya, para pemangku kepentingan organisasi dan keanekaragaman kriteria risiko - semua yang akan membantu dalam mengungkapkan dan menilai sifat serta kompleksitas risiko tersebut.

Gambar II.1. Arsitektur Manajemen Risiko ISO 31000:2009

Sumber: DJBC, 2016

Hubungan antara prinsip-prinsip untuk pengelolaan risiko, suatu kerangka kerja dimana prinsip tersebut terjadi, dan proses manajemen resiko dalam ISO 31000:2009 dapat ditunjukkan pada Diagram 1.

Dalam standar ini, ungkapan manajemen risiko (risk management) dan pengelolaan risiko (managing risk) keduanya digunakan. Dalam istilah umum manajemen risiko mengacu pada arsitektur (prinsip, kerangka kerja dan proses) dalam pengelolaan risiko secara efektif, sementara pengelolaan risiko mengacu pada penetapan arsitektur tersebut untuk risiko tertentu.

B. ISO 31000 Tahun 2018 Tentang Pedoman Implementasi Manajemen Risiko

ISO (International Standard for Organization) adalah federasi seluruh dunia dari badan standar nasional (badan anggota ISO). Tugasnya mempersiapkan Standar

Mandat &

PRINSIP-PRINSIP MR KERANGKA MR PROSES MR

1. Nilai tambah 2. Bagian terpadu dari proses

organisasi

6. Berdasarkan informasi terbaik yang ada

7. Khas dan unik untuk pemakaianya (tailored)

8. Mempertimbangkan factor manusia dan budaya 9. Transparan dan inklusif 10. Dinamis, berulang dan responsive

thd perubahan

11. Memfasilitasi perbaikan sinambung dan peningkatan organisasi

Internasional biasanya dilakukan melalui komite teknis ISO. Setiap badan anggota yang tertarik pada subjek yang telah ditentukan oleh komite teknis, memiliki hak untuk terlibat dalam komite tersebut. Organisasi internasional, pemerintah dan non-pemerintah, dalam hubungan dengan ISO, juga mengambil bagian dalam pekerjaan ini. ISO bekerja sama erat dengan International Electrotechnic Commision (IEC) dalam semua hal standardisasi elektroteknik.

Edisi kedua ini membatalkan dan menggantikan edisi pertama (ISO 31000: 2009) yang telah direvisi secara teknis. Perubahan utama dibandingkan dengan edisi sebelumnya adalah sebagai berikut:

a. peninjauan kembali prinsip-prinsip manajemen risiko, yang merupakan kriteria utama untuk keberhasilannya;

b. menyoroti kepemimpinan oleh manajemen puncak dan integrasi manajemen risiko, dimulai dengan tata kelola organisasi;

c. penekanan yang lebih besar pada sifat berulang manajemen risiko, mencatat bahwa pengalaman baru, pengetahuan dan analisis dapat mengarah pada revisi elemen proses, tindakan dan kontrol pada setiap tahap proses;

d. perampingan konten dengan fokus yang lebih besar pada upaya mempertahankan sistem terbuka agar sesuai dengan berbagai kebutuhan dan konteks.

Dokumen ini untuk digunakan oleh orang-orang yang menciptakan dan melindungi nilai dalam organisasi dengan mengelola risiko, membuat keputusan, menetapkan dan mencapai tujuan serta meningkatkan kinerja.

Organisasi dari semua jenis dan ukuran menghadapi faktor dan pengaruh eksternal dan internal yang membuatnya tidak pasti apakah mereka akan mencapai tujuannya. Mengelola risiko adalah pengulangan dalam membantu organisasi untuk menetapkan strategi, mencapai tujuan, dan membuat keputusan berdasarkan informasi.

Mengelola risiko adalah bagian dari tata kelola dan kepemimpinan, dan merupakan hal mendasar bagaimana organisasi dikelola di semua tingkatan. Hal ini akan memberikan kontribusi pada peningkatan sistem manajemen. Mengelola risiko adalah bagian dari semua kegiatan yang terkait dengan suatu organisasi dan termasuk interaksi dengan para pemangku kepentingan.

Dalam mengelola risiko perlu mempertimbangkan konteks eksternal dan internal organisasi, termasuk perilaku manusia dan faktor budaya. Mengelola risiko didasarkan pada prinsip-prinsip, kerangka kerja dan proses yang diuraikan dalam dokumen ini, seperti yang diilustrasikan dalam Diagram 2. Komponen-komponen ini mungkin sudah ada secara penuh atau sebagian dalam organisasi, akan tetapi perlu kiranya diadaptasi dan dikembangkan agar manajemen risiko menjadi efektif, efisien, dan konsisten.

Gambar II.2. Prinsip, Kerangka kerja, dan Proses Manajemen Risiko berdasarkan ISO 31000:2018

Sumber: DJBC, 2016

Pembahasan selanjutnya manajemen risiko akan diuraikan berdasarkan ISO 31000:2018.

1. Ruang Lingkup

Dokumen ini menyediakan panduan untuk mengelola risiko yang dihadapi oleh organisasi. Penerapan pedoman ini dapat disesuaikan untuk organisasi apapun dan dan pada konteks masing-masing. Dokumen ini memberikan pendekatan umum untuk mengelola segala jenis risiko dan tidak spesifik untuk industri atau sektor. Dokumen ini dapat digunakan sepanjang kehidupan organisasi dan dapat diterapkan untuk aktivitas apapun, termasuk pengambilan keputusan di semua tingkatan.

2. Referensi normatif

Tidak ada referensi normatif dalam dokumen ini.

3. Istilah dan definisi

Untuk keperluan dokumen ini, istilah dan definisi berikut berlaku. ISO dan IEC memelihara basis data terminologis untuk digunakan dalam standardisasi di alamat berikut: Platform browsing ISO Online: tersedia di http://www.iso.org/obp dan IEC Electropedia: tersedia di http://www.electropedia.org.

a. Risiko

Adalah Efek Ketidakpastian pada Tujuan.

Catatan 1: Efek adalah penyimpangan dari yang diharapkan. Ini bisa positif, negatif atau keduanya, dan dapat mengatasi, menciptakan, atau menghasilkan peluang dan ancaman.

Catatan 2: Tujuan dapat memiliki aspek dan kategori yang berbeda, dan dapat diterapkan pada tingkat yang berbeda.

Catatan 3: Risiko biasanya dinyatakan dalam sumber risiko, peristiwa potensial, konsekuensinya, dan kemungkinannya.

b. Manajemen Risiko

Merupakan kegiatan terkoordinasi untuk mengarahkan dan mengendalikan suatu organisasi berkenaan dengan risiko.

c. Pemangku Kepentingan/ Stakeholder

Adalah orang atau organisasi yang dapat mempengaruhi, dipengaruhi oleh, atau menganggap diri mereka dipengaruhi oleh keputusan atau kegiatan.

Catatan 1: Istilah “pihak yang berkepentingan” dapat digunakan sebagai alternatif untuk “pemangku kepentingan”.

d. Sumber Risiko/ Source of Risk

Adalah elemen yang sendiri atau secara bersama memiliki potensi untuk menimbulkan risiko.

e. Kejadian/ Event

Adalah peristiwa atau perubahan dari serangkaian keadaan tertentu.

Catatan 1: Suatu peristiwa dapat memiliki satu atau lebih kejadian, dan dapat memiliki beberapa penyebab dan beberapa konsekuensi.

Catatan 2: Suatu peristiwa juga bisa menjadi sesuatu yang diharapkan yang tidak terjadi, atau sesuatu yang tidak diharapkan yang memang terjadi.

Catatan 3: Suatu peristiwa bisa menjadi sumber risiko.

f. Konsekuensi/ Consequence

Adalah hasil dari suatu peristiwa yang mempengaruhi tujuan.

Catatan 1: Konsekuensi dapat pasti atau tidak pasti dan dapat memiliki efek langsung atau tidak langsung positif atau negatif pada tujuan.

Catatan 2: Konsekuensi dapat dinyatakan secara kualitatif atau kuantitatif.

Catatan 3: Konsekuensi apa pun dapat meningkat melalui efek cascade dan kumulatif.

g. Kemungkinan/ likelihood

Adalah peluang terjadinya sesuatu.

Catatan 1: Dalam terminologi manajemen risiko, kata "kemungkinan"

digunakan untuk merujuk pada peluang sesuatu terjadi, apakah didefinisikan, diukur atau ditentukan secara obyektif atau subyektif, secara kualitatif atau kuantitatif, dan dijelaskan menggunakan istilah umum atau secara matematis (seperti probabilitas atau frekuensi selama periode waktu tertentu).

Catatan 2: Istilah "kemungkinan" tidak memiliki padanan langsung dalam beberapa bahasa; alih-alih, ekuivalen dari istilah “probabilitas” sering digunakan. Namun, dalam bahasa Inggris, "probabilitas" sering ditafsirkan secara sempit sebagai istilah matematika. Oleh karena itu, dalam terminologi manajemen risiko, "kemungkinan" digunakan dengan maksud untuk itu.

h. Kontrol/ Pengendalian

Adalah tindakan yang mempertahankan dan/atau mengubah risiko.

Catatan 1: Kontrol mencakup, tetapi tidak terbatas pada, proses, kebijakan, perangkat, praktik, atau kondisi lain dan/atau tindakan yang mempertahankan dan/atau memodifikasi risiko.

Catatan 2: Kontrol mungkin tidak selalu menggunakan efek modifikasi yang dimaksudkan atau diasumsikan.

4. Prinsip-Prinsip

Tujuan manajemen risiko adalah penciptaan dan perlindungan nilai. Ini meningkatkan kinerja, mendorong inovasi dan mendukung pencapaian tujuan.

Prinsip-prinsip yang diuraikan dalam Gambar II.3. memberikan panduan tentang karakteristik manajemen risiko yang efektif dan efisien, mengkomunikasikan nilainya dan menjelaskan maksud dan tujuannya.

Prinsip-prinsip tersebut adalah dasar untuk mengelola risiko dan harus dipertimbangkan pada saat menetapkan kerangka dan proses manajemen risiko organisasi. Prinsip-prinsip seharusnya dapat membantu organisasi untuk mengelola efek ketidakpastian dari sasaran. Manajemen risiko yang efektif membutuhkan elemen-elemen pada Gambar II.3. dan dapat dijelaskan lebih lanjut sebagai berikut:

Gambar II.3. Prinsip-Prinsip Manajemen Risiko

Sumber: ISO 31000:2018

a. Terintegrasi, Manajemen risiko adalah bagian integral dari semua kegiatan organisasi.

b. Terstruktur dan komprehensif, Pendekatan terstruktur dan komprehensif untuk manajemen risiko berkontribusi pada hasil yang konsisten dan dapat diperbandingkan.

c. Disesuaikan, Kerangka kerja dan proses manajemen risiko disesuaikan dan proporsional dengan organisasi. konteks eksternal dan internal yang terkait dengan tujuannya.

d. Inklusif, Keterlibatan pemangku kepentingan yang tepat dan tepat waktu memungkinkan pengetahuan, pandangan dan persepsi mereka

dipertimbangkan. Hal ini menghasilkan peningkatan kesadaran dan manajemen risiko yang terinformasi

e. Dinamis, Risiko dinamis, dapat muncul, berubah atau menghilang ketika konteks eksternal dan internal organisasi berubah. Manajemen risiko mengantisipasi, mendeteksi, mengakui, dan merespons perubahan dan perstiwa tersebut dengan cara yang tepat dan tepat waktu.

f. Informasi Terbaik yang Tersedia, Masukan untuk manajemen risiko didasarkan pada informasi historis dan terkini, serta harapan masa depan.

Manajemen risiko secara eksplisit memperhitungkan segala batasan dan ketidakpastian. Informasi harus tepat waktu, jelas, dan tersedia bagi pemangku kepentingan yang relevan.

g. Faktor Manusia dan Budaya, Perilaku dan budaya manusia secara signifikan mempengaruhi semua aspek manajemen risiko pada setiap tingkat dan tahap. h) Peningkatan berkelanjutan Manajemen risiko terus ditingkatkan melalui pembelajaran dan pengalaman.

h. Perbaikan Terus Menerus, Manajemen risiko terus ditingkatkan melalui pembelajaran dan pengalaman.

5. Kerangka Kerja

Tujuan kerangka kerja manajemen risiko adalah untuk membantu organisasi dalam mengintegrasikan manajemen risiko ke dalam kegiatan dan fungsi yang signifikan. Efektivitas manajemen risiko akan tergantung pada integrasinya ke dalam tata kelola organisasi, termasuk pengambilan keputusan. Ini membutuhkan dukungan dari para pemangku kepentingan, terutama manajemen puncak. Pengembangan kerangka kerja mencakup pengintegrasian, desain, implementasi, evaluasi, dan peningkatan manajemen risiko lintas organisasi.

Organisasi harus mengevaluasi praktik dan proses manajemen risiko yang ada, mengevaluasi setiap kesenjangan dan mengatasi kesenjangan tersebut dalam kerangka kerja. Komponen kerangka kerja dan cara mereka bekerja bersama harus disesuaikan dengan kebutuhan organisasi.

Pada Gambar II.4. menjelaskan komponen kerangka kerja manajemen risiko.

Gambar II.4. Kerangka Kerja

Sumber: ISO 31000:2018

a. Kepemimpinan dan Komitmen

Struktural manajemen dan manajemen puncak, jika berlaku, harus memastikan bahwa manajemen risiko terintegrasi ke dalam semua kegiatan organisasi dan harus menunjukkan kepemimpinan dan komitmen dengan:

1) menyesuaikan dan mengimplementasikan semua komponen kerangka kerja;

2) mengeluarkan pernyataan atau kebijakan yang menetapkan pendekatan, rencana, atau tindakan tindakan manajemen risiko;

3) memastikan bahwa sumber daya yang diperlukan dialokasikan untuk mengelola risiko;

4) menugaskan otoritas, tanggung jawab dan akuntabilitas pada tingkat yang sesuai dalam organisasi.

Hal ini akan membantu organisasi untuk:

1) menyelaraskan manajemen risiko dengan tujuan, strategi dan budaya;

2) mengakui dan menangani semua kewajiban, serta komitmen sukarela;

3) menetapkan jumlah dan jenis risiko yang mungkin atau mungkin tidak diambil untuk memandu pengembangan kriteria risiko, memastikan bahwa mereka dikomunikasikan kepada organisasi dan para pemangku kepentingannya

4) mengkomunikasikan nilai manajemen risiko kepada organisasi dan para pemangku kepentingannya; mempromosikan pemantauan risiko secara sistematis;

5) memastikan bahwa kerangka kerja manajemen risiko tetap sesuai dengan konteks organisasi.

Manajemen puncak bertanggung jawab untuk mengelola risiko sementara badan pengawas bertanggung jawab untuk mengawasi manajemen risiko.

Unit pengawasan sering diharapkan atau diminta untuk:

1) memastikan bahwa risiko dipertimbangkan secara memadai ketika menetapkan tujuan organisasi;

2) memahami risiko yang dihadapi organisasi dalam mengejar tujuannya;

3) memastikan bahwa sistem untuk mengelola risiko tersebut diterapkan dan beroperasi secara efektif;

4) memastikan bahwa risiko tersebut sesuai dalam konteks tujuan organisasi;

5) memastikan bahwa informasi tentang risiko tersebut dan manajemennya dikomunikasikan dengan benar.

b. Integrasi

Mengintegrasikan manajemen risiko bergantung pada pemahaman tentang struktur dan konteks organisasi. Struktur berbeda tergantung pada tujuan, sasaran, dan kompleksitas organisasi. Risiko dikelola di setiap bagian dari struktur organisasi. Setiap orang dalam suatu organisasi memiliki tanggung jawab untuk mengelola risiko.

Tata kelola memandu jalannya organisasi, hubungan eksternal dan internal, dan aturan, proses dan praktik yang diperlukan untuk mencapai tujuannya.

Struktur manajemen menerjemahkan arah tata kelola ke dalam strategi dan tujuan terkait yang diperlukan untuk mencapai tingkat kinerja berkelanjutan yang diinginkan dan kelayakan jangka panjang. Menentukan akuntabilitas manajemen risiko dan peran pengawasan dalam organisasi adalah bagian integral dari tata kelola organisasi.

Mengintegrasikan manajemen risiko ke dalam organisasi adalah proses yang dinamis dan berulang, dan harus disesuaikan dengan kebutuhan dan budaya organisasi. Manajemen risiko harus menjadi bagian dari, dan tidak terpisah dari, tujuan organisasi, tata kelola, kepemimpinan dan komitmen, strategi, tujuan, dan operasi.

c. Desain

1) Memahami organisasi dan konteksnya

Ketika merancang kerangka kerja untuk mengelola risiko, organisasi harus memeriksa dan memahami konteks eksternal dan internalnya. Meneliti konteks eksternal organisasi dapat mencakup, tetapi tidak terbatas pada:

a) faktor sosial, budaya, politik, hukum, peraturan, keuangan, teknologi, ekonomi dan lingkungan, baik internasional, nasional, regional atau lokal;

b) pendorong utama dan tren yang mempengaruhi tujuan organisasi;

c) hubungan pemangku kepentingan eksternal, persepsi, nilai-nilai, kebutuhan dan harapan;

d) hubungan dan komitmen kontrak;

e) kompleksitas jaringan dan ketergantungan.

Meneliti konteks internal organisasi dapat mencakup, tetapi tidak terbatas pada:

a) visi, misi dan nilai-nilai;

b) pemerintahan, struktur organisasi, peran dan akuntabilitas;

c) strategi, tujuan dan kebijakan;

d) budaya organisasi;

e) standar, pedoman dan model yang diadopsi oleh organisasi;

f) kemampuan, dipahami dalam hal sumber daya dan pengetahuan (misalnya modal, waktu, orang, kekayaan intelektual, proses, sistem dan teknologi);

g) data, sistem informasi dan aliran informasi;

h) hubungan dengan pemangku kepentingan internal, dengan mempertimbangkan persepsi dan nilai-nilai mereka ;

i) hubungan dan komitmen kontraktual;

j) saling ketergantungan dan interkoneksi.

2) Mengartikulasikan komitmen manajemen risiko

Manajemen struktural dan manajemen puncak, jika berlaku, harus menunjukkan dan mengartikulasikan komitmen berkelanjutan mereka untuk manajemen risiko melalui kebijakan, pernyataan atau bentuk lain yang dengan jelas menyampaikan tujuan dan komitmen organisasi terhadap manajemen risiko. Komitmen tersebut harus mencakup, tetapi tidak terbatas pada:

a) tujuan organisasi untuk mengelola risiko dan tautan ke tujuan dan kebijakan lainnya;

b) memperkuat kebutuhan untuk mengintegrasikan manajemen risiko ke dalam budaya organisasi secara keseluruhan;

c) memimpin integrasi manajemen risiko ke dalam kegiatan bisnis inti dan pengambilan keputusan;

d) otoritas, tanggung jawab dan akuntabilitas;

e) menyediakan sumber daya yang diperlukan;

f) cara di mana tujuan yang saling bertentangan ditangani;

g) pengukuran dan pelaporan dalam indikator kinerja organisasi;

h) reviu dan peningkatan.

Komitmen manajemen risiko harus dikomunikasikan dalam suatu organisasi dan kepada para pemangku kepentingan yang sesuai.

3) Menetapkan peraturan organisasi, otoritas, tanggung jawab, dan akuntabilitas

Manajemen puncak dan badan pengawas, jika berlaku, harus memastikan bahwa otoritas, tanggung jawab, dan akuntabilitas untuk peran yang relevan sehubungan dengan manajemen risiko ditugaskan dan dikomunikasikan di semua tingkat organisasi, dan harus:

a) menekankan bahwa manajemen risiko adalah tanggung jawab inti;

b) mengidentifikasi individu yang memiliki akuntabilitas dan wewenang untuk mengelola risiko (pemilik risiko).

4) Mengalokasikan sumber daya

Manajemen puncak dan badan pengawas, jika ada, harus memastikan alokasi sumber daya yang tepat untuk manajemen risiko, yang dapat mencakup, tetapi tidak terbatas pada:

a) orang, keterampilan, pengalaman dan kompetensi;

b) proses, metode, dan alat organisasi yang akan digunakan untuk mengelola risiko;

c) proses dan prosedur yang terdokumentasi;

d) sistem manajemen informasi dan pengetahuan;

e) pengembangan profesional dan kebutuhan pelatihan.

Organisasi harus mempertimbangkan kemampuan, dan kendala pada, sumber daya yang ada.

5) Membangun komunikasi dan konsultasi

Organisasi harus menetapkan pendekatan yang disetujui untuk komunikasi dan konsultasi untuk mendukung kerangka kerja dan memfasilitasi penerapan manajemen risiko yang efektif. Komunikasi melibatkan berbagi informasi dengan audiens yang ditargetkan. Konsultasi juga melibatkan peserta yang memberikan umpan balik dengan harapan bahwa hal itu berkontribusi dan membentuk keputusan atau kegiatan lainnya. Metode dan konten komunikasi dan konsultasi harus mencerminkan harapan para pemangku kepentingan, jika relevan.

Komunikasi dan konsultasi harus tepat waktu dan memastikan bahwa informasi yang relevan dikumpulkan, disusun, disintesis, dan dibagikan, jika perlu, dan bahwa umpan balik diberikan dan perbaikan dilakukan.

d. Implementasi

Organisasi harus mengimplementasikan kerangka kerja manajemen risiko dengan:

1) mengembangkan rencana yang sesuai termasuk waktu dan sumber daya;

2) mengidentifikasi di mana, kapan dan bagaimana berbagai jenis keputusan dibuat di seluruh organisasi, dan oleh siapa;

3) memodifikasi proses pengambilan keputusan yang berlaku di mana diperlukan;

4) memastikan bahwa pengaturan organisasi untuk mengelola risiko dipahami dan dipraktekkan dengan jelas.

Keberhasilan implementasi kerangka kerja membutuhkan keterlibatan dan kesadaran para pemangku kepentingan. Hal ini memungkinkan organisasi untuk secara eksplisit mengatasi ketidakpastian dalam pengambilan keputusan, sambil juga memastikan bahwa setiap ketidakpastian baru atau berikutnya dapat diperhitungkan ketika hal itu muncul.

Dirancang dan diimplementasikan dengan benar, kerangka kerja manajemen risiko harus memastikan bahwa proses manajemen risiko adalah bagian dari semua kegiatan di seluruh organisasi, termasuk pengambilan keputusan, dan bahwa perubahan dalam konteks eksternal dan internal akan ditangkap secara memadai.

e. Evaluasi

Untuk mengevaluasi efektivitas kerangka kerja manajemen risiko, organisasi harus:

1) secara berkala mengukur kinerja kerangka kerja manajemen risiko terhadap tujuannya, rencana implementasi, indikator, dan perilaku yang diharapkan;

2) menentukan apakah masih cocok untuk mendukung pencapaian tujuan organisasi.

f. Perbaikan/improvement 1) Penyesuaian

Organisasi harus terus memantau dan mengadaptasi kerangka kerja manajemen risiko untuk mengatasi perubahan eksternal dan internal.

Dengan demikian, organisasi dapat meningkatkan nilainya.

2) Perbaikan berkelanjutan

Organisasi harus terus meningkatkan kesesuaian, kecukupan, dan efektivitas kerangka kerja manajemen risiko dan cara proses manajemen risiko terintegrasi. Ketika celah yang relevan atau peluang peningkatan diidentifikasi, organisasi harus mengembangkan rencana dan tugas dan menugaskan mereka yang bertanggung jawab untuk implementasi.

Setelah diimplementasikan, peningkatan ini seharusnya memberikan kontribusi pada perbaikan manajemen risiko.

6. Proses Manajemen Risiko a. Tinjauan Umum

Proses manajemen risiko melibatkan penerapan kebijakan, prosedur, dan praktik yang sistematis pada kegiatan komunikasi dan konsultasi, menetapkan konteks serta penilaian, perlakuan, monitoring, reviu, perekaman, dan pelaporan risiko. Proses ini diilustrasikan pada Gambar II.5.

Proses manajemen risiko harus menjadi bagian integral dari manajemen dan pengambilan keputusan dan diintegrasikan ke dalam struktur, operasi, dan proses organisasi. Ini dapat diterapkan pada level strategis, operasional, program atau proyek. Mungkin ada banyak aplikasi dari proses manajemen risiko dalam suatu organisasi, disesuaikan untuk mencapai tujuan dan agar sesuai dengan konteks eksternal dan internal di mana mereka diterapkan. Sifat dinamis dan variabel dari perilaku dan budaya manusia harus dipertimbangkan selama proses manajemen risiko.

Meskipun proses manajemen risiko sering disajikan secara berurutan, dalam praktiknya itu berulang.

b. Komunikasi dan konsultasi

Tujuan komunikasi dan konsultasi adalah untuk membantu para pemangku kepentingan yang relevan dalam memahami risiko, dasar pengambilan keputusan dan alasan mengapa tindakan tertentu diperlukan. Komunikasi berupaya untuk meningkatkan kesadaran dan pemahaman tentang risiko, sedangkan konsultasi melibatkan memperoleh umpan balik dan informasi untuk mendukung pengambilan keputusan. Koordinasi yang erat antara keduanya harus memfasilitasi pertukaran informasi faktual, tepat waktu, relevan, akurat

dan dapat dipahami, dengan mempertimbangkan kerahasiaan dan integritas informasi serta hak privasi individu.

Komunikasi dan konsultasi dengan pemangku kepentingan eksternal dan internal yang sesuai harus dilakukan di dalam dan di seluruh langkah proses manajemen risiko.

Komunikasi dan konsultasi bertujuan untuk:

1) menyatukan bidang keahlian yang berbeda untuk setiap langkah proses manajemen risiko;

2) memastikan bahwa pandangan yang berbeda dipertimbangkan dengan tepat ketika mendefinisikan kriteria risiko dan ketika mengevaluasi risiko;

3) memberikan informasi yang cukup untuk memfasilitasi pengawasan risiko dan pengambilan keputusan;

4) membangun rasa inklusif dan kepemilikan di antara mereka yang terkena dampak risiko.

Gambar II.5. Proses Manajemen Risiko

Sumber: ISO 31000:2018

c. Lingkup, Konteks dan Kriteria 1) Tinjauan Umum

Tujuan menetapkan ruang lingkup, konteks dan kriteria adalah untuk menyesuaikan proses manajemen risiko, memungkinkan penilaian risiko yang efektif dan perlakuan risiko yang tepat. Lingkup, konteks dan kriteria melibatkan mendefinisikan ruang lingkup proses, dan memahami konteks eksternal dan internal.

2) Mendefinisikan Ruang Lingkup

Organisasi harus mendefinisikan ruang lingkup kegiatan manajemen risikonya. Karena proses manajemen risiko dapat diterapkan pada tingkat yang berbeda (misalnya strategis, operasional, program, proyek, atau kegiatan lainnya), penting untuk menjadi jelas tentang ruang lingkup yang dipertimbangkan, tujuan yang relevan untuk dipertimbangkan dan keselarasannya dengan tujuan organisasi .

Saat merencanakan pendekatan, pertimbangan meliputi:

a) tujuan dan keputusan yang perlu dibuat;

b) hasil yang diharapkan dari langkah-langkah yang akan diambil dalam proses;

c) waktu, lokasi, inklusi dan pengecualian khusus;

d) alat dan teknik penilaian risiko yang tepat;

e) sumber daya yang dibutuhkan, tanggung jawab dan catatan untuk disimpan;

f) hubungan dengan proyek, proses dan kegiatan lain.

3) Konteks Eksternal dan Internal

Konteks eksternal dan internal adalah lingkungan di mana organisasi berusaha untuk mendefinisikan dan mencapai tujuannya. Konteks proses manajemen risiko harus ditetapkan dari pemahaman lingkungan eksternal dan internal di mana organisasi beroperasi dan harus mencerminkan lingkungan spesifik dari kegiatan yang akan diterapkan proses manajemen risiko.

Memahami konteks itu penting karena:

a) manajemen risiko terjadi dalam konteks tujuan dan kegiatan organisasi;

b) faktor organisasi dapat menjadi sumber risiko;

c) tujuan dan ruang lingkup proses manajemen risiko dapat saling terkait dengan tujuan organisasi secara keseluruhan.

Organisasi harus menetapkan konteks eksternal dan internal dari proses

Organisasi harus menetapkan konteks eksternal dan internal dari proses