Bagian tersulit dalam penerapan manajemen risiko di Indonesia adalah mengubah budaya “bagaimana nanti” menjadi “nanti bagaimana”. Kita lebih terbiasa menangani masalah ketika terjadi ketimbang mengurangi kemungkinan risiko atau bersiap menghadapi dampaknya. Padahal, mencegah lebih baik daripada mengobati. Ketika kita ingin menggapai suatu tujuan, kita perlu melakukan hal-hal guna menjamin pencapaian tujuan tersebut. Itulah esensi dari manajemen risiko, yaitu bagaimana mengelola ketidakpastian di dalam pencapaian sasaran.
ISO 31000:2018
Sama seperti pengelolaan proses bisnis lain, pengelolaan risiko untuk suatu organisasi perlu dilakukan dengan sistematis. Sistem manajemen, apalagi yang sudah diterapkan secara luas di dunia internasional, merupakan kumpulan praktik yang telah diuji dan dipolakan. Salah satu standar internasional untuk sistem manajemen risiko adalah ISO 31000. Standar itu pertama kali diterbitkan oleh International Organization for Standardization (ISO) pada 2009 dan direvisi pada 2018. ISO 31000:2018 sudah diadopsi di Indonesia oleh Badan Standardisasi Nasional (BSN) melalui Standar Nasional Indonesia 8615:2018 ISO 31000:2018 Manajemen risiko – Pedoman (SNI ISO 31000:2018). Saya salah satu anggota konseptor standar itu yang berada di bawah Komite Teknis 03-10 Manajemen Risiko.
SNI ISO 31000:2018 terdiri atas tiga komponen, yaitu prinsip, kerangka kerja, dan proses manajemen risiko. Prinsip memberikan panduan tentang karakteristik manajemen risiko yang efektif dan efisien. Kerangka kerja membantu integrasi manajemen risiko ke dalam aktivitas dan fungsi organisasi. Proses melibatkan penerapan sistematis kebijakan, prosedur, dan praktik pada aktivitas manajemen risiko. Dengan kata lain, prinsip adalah fondasi dasar manajemen risiko, kerangka kerja adalah sistem manajemen risiko dengan siklus PDCA, sedangkan proses adalah kegiatan nyata pengelolaan risiko.
Prinsip Manajemen Risiko
Delapan prinsip manajemen risiko adalah (1) terintegrasi, (2) terstruktur dan komprehensif, (3) disesuaikan, (4) inklusif, (5) dinamis, (6) informasi terbaik yang tersedia, (7) faktor manusia dan budaya, dan (8) perbaikan sinambung. Kedelapan prinsip ini menyokong tujuan manajemen risiko, yaitu penciptaan dan pelindungan nilai. Nilai suatu organisasi diwujudkan dengan meningkatkan kinerja, mendorong inovasi, dan mendukung pencapaian sasaran. Penerapan manajemen risiko baru dapat dikatakan berhasil apabila nilai organisasi meningkat setelah itu.
Kerangka Kerja Manajemen Risiko
Enam unsur kerangka manajemen risiko pada dasarnya adalah siklus Deming (PDCA) yang mengelilingi “Kepemimpinan dan Komitmen” dan dengan tambahan “Integrasi” di antara “Perbaikan” (act/A) dan “Desain” (plan/P). Siklus diawali dengan kepemimpinan dan komitmen dari manajemen puncak dan badan pengawas. Perintisan itu dilanjutkan dengan integrasi dengan sistem lain di dalam organisasi karena manajemen risiko bukan suatu sistem yang dapat berdiri sendiri. Hasil integrasi diwujudkan di dalam desain kerangka kerja manajemen risiko untuk selanjutnya diterapkan dalam implementasi. Terakhir, efektivitas sistem dinilai dengan evaluasi dan ditingkatkan dengan perbaikan.
Proses Manajemen Risiko
Unsur “Implementasi” (do/D) dari kerangka kerja manajemen risiko dilaksanakan dengan proses manajemen risiko. Enam tahap proses terdiri atas tiga tahap inti (penetapan lingkup, konteks, dan kriteria; penilaian risiko; serta perlakuan risiko) dan tiga tahap payung (komunikasi dan konsultasi; pemantauan dan tinjauan; serta pencatatan dan pelaporan). Proses diawali dengan komunikasi dan konsultasi di antara pemangku kepentingan. Selanjutnya, penetapan lingkup, konteks, dan kriteria yang diikuti dengan penilaian risiko dan perlakuan risiko menghasilkan keluaran proses manajemen risiko seperti register risiko. Keluaran proses ini ditindaklanjuti dengan pemantauan dan tinjauan serta direkam dengan pencatatan dan pelaporan.
Penutup
Manajemen risiko tidak dapat berdiri sendiri dan merupakan bagian dari tata kelola organisasi. Fungsi manajemen risiko bukan bagian dari proses operasi inti organisasi, tetapi diperlukan untuk keberlanjutan (sustainability) organisasi, khususnya di tengah kondisi VUCA (volatilitas, uncertainty/ketidakpastian, kompleksitas, dan ambiguitas).
Nan Tak (Kalah) Penting 
Pak Ivan, terima kasih atas pembahasan materi ini. Mohon penjelasan lebih lanjut mengenai pengukuran tingkat kematangan risiko berdasarkan ISO 31000:2018. Parameter apa saja yang akan dinilai? Apa perbedaan dengan pengukuran tingkat kematangan risiko berdasarkan COSO-ERM? Terima kasih atas jawaban yang akan diberikan.