![Sni Iso 31000 2018 Manajemen Resiko 83DB1 [PDF]](https://pdfs.asia/img/200x200/sni-iso-31000-2018-manajemen-resiko-83db1.jpg)
4 0 5 MB
DIREKTORAT PENGADAAN JASA KONSTRUKSI OIREKTORAT JENDERAL BINA KONSTRUKSI KEMENTERIAN PEKERJAAN UMUM DAN PERUMAHAN RAKYAT
RESIKO
SNI ISO 31000 :2018
SNI
(Ditetapkan oleh BSN tahun 2018)
Standar Nasional Indonesia
Manajemen risiko -
Pedoman
Risk management- Guidelines (ISO 31000:2018, IDT)
_l_C_S 0~100.01 _~------=Badan Standardisasi Nasional
© ISO 2018- All rights reserved © BSN 2018 untuk kepentingan adopsi standar ©ISO menjadi SNI - Semua hak dilindungi Hak cipta dilindungi undang-undang. Dilarang mengumumkan dan memperbanyak sebagian atau seluruh isi dokumen ini dengan cara dan dalam bentuk apapun serta dilarang mendistribusikan dokumen ini baik secara elektronik maupun tercetak tanpa izin tertulis BSN
BSN Email: [email protected] www.bsn.go.id
Diterbitkan di Jakarta
I
"'
7'
SNI ISO 31000:2018
0
fj
fii OJ
"'
a.
"'
Daftar isi
:::J (JJ
fii
:::J
a.
Daftar isi .. Prakata. Pendahuluan .. 1 Ruang Lingkup ... 2 Acuan normatif. .. 3 lstilah dan definisi. 4 Prinsip .. 5 Kerangka kerja .. 6 Proses ... Bibliografi ..
. . .... .... .... ... .... .... .... .... .... .. .... ..i . ........... ii . .. iii . ...... ·························· 1 ··························· 1
"'a.u;
"'z "'0
~.
VJ
:::J
~
. ......... ························ ... 1 ................. 3
:;
......................................... 4
"'
. ................................... 9 ................. 34 .. . . . .
(JJ
~
:::J (JJ
!ii :::J
a.
'!;
~-
a. 0c ~
0
m :::T OJ (JJ
z
c
:::J
c
7'
g CD
7'
0
?J. -0
ro
:::J
co
"'a. "'"' "' "'7' :::J
'--
VJ
0
:::J
~
2
7'
~.
g CD
7'
0
?J. '--
ro :::J a. ro
iil
© BSN 2018
SNI ISO 31000:2018
Prakata
Standar Nasional Indonesia SNI ISO 31000:2018 Manajemen risiko - Pedoman merupakan adopsi identik dari ISO 31000:2018 , Risk management - Guidelines, dengan metode terjemahan dua bahasa (bilingual) yang ditetapkan oleh BSN pada tahun 2018. SNI ini merupakan revisi dari SNI ISO 31000:2011 Manajemen risiko - Prinsip dan pedoman. Standar ini merupakan bagian dari seri SNI ISO 31000, Manajemen risiko, yang terdiri dari 4 (empat) standar yaitu: SNI ISO 31000:2011 Manajemen risiko- Prinsip dan pedoman; SNI ISO Guide 73:2016 Manajemen risiko SNI ISOfTR 31004:2016 Manajemen risiko 31000;
Kosakata; Panduan untuk implementasi SN/ ISO
SNI ISO/IEC 31010:2016 Manajemen risiko- Teknik penilaian risiko. Standar ISO yang dijadikan sebagai referensi dalam Standar ini telah diadopsi menjadi Standar Nasional Indonesia (SNI), yaitu ISO 31010:2009, Risk management - Risk assessment techniques yang telah diadopsi secara identik menjadi SNI ISO 31010:2016, Manajemen risiko - Teknik penilaian risiko. Standar ini disusun oleh Komite Teknis 03-10, Manajemen Risiko. Standar ini telah dibahas dan disetujui dalam rapat konsensus nasional di Jakarta, pada tanggal 11 Juli 2018. Konsensus ini dihadiri oleh para pemangku kepentingan (stakeholder) terkait, yaitu perwakilan dari peml!!rintah, pelaku usaha, konsumen, pakar. Standar ini telah melalui tahap jajak pendapat pada tanggal 23 Juli 2018 sampai dengan 22 Agustus 2018 dengan hasil akhir disetujui menjadi SNI. Apabila pengguna menemukan keraguan dalam Standar ini maka disarankan untuk melihat standar aslinya, yaitu ISO 31000:2018 dan/atau dokumen terkait lain yang menyertainya. Perlu diperhatikan bahwa kemungkinan beberapa unsur dari Standar ini dapat berupa hak paten. Sadan Standardisasi Nasional tidak bertanggung jawab untuk pengidentifikasian salah satu atau seluruh hak paten ada.
© BSN 2018
ii
I
"'0
7'
SNI ISO 31000:2018
'O
Iii OJ
"'a. "'
Pendahuluan
::l (fJ
Iii ::l
Standar ini untuk digunakan oleh orang yang menciptakan dan melindungi nilai di dalam organisasi dengan mengelola risiko , mengambil keputusan, menetapkan dan mencapai sasaran , serta meningkatkan kinerja . Organisasi dari semua jenis dan ukuran menghadapi faktor dan pengaruh eksternal dan internal yang memberi ketidakpastian terhadap pencapaian sasaran .
a.
"'u;· a. "'!!?.z "'5en · ::l
_!!!. (fJ
Pengelolaan risiko bersifat berulang dan membantu organisasi dalam menetapkan strategi, mencapai sasaran , dan membuat keputusan terinformasi . Pengelolaan risiko adalah bagian dari tata kelola dan kepemimpinan , serta merupakan dasar pengelolaan organisasi pada semua tingkat. Pengelolaan risiko berkontribusi pada peningkatan sistem manajemen. Pengelolaan risiko adalah bagian dari semua aktivitas yang berkaitan dengan organisasi dan mencakup interaksi dengan pemangku kepentingan.
!!!.
:;
"'
::l
~
"'a.
::l
~ ~:
a. O' c
!!!. 0
ro
Pengelolaan risiko mempertimbangkan konteks eksternal dan internal organisasi , termasuk perilaku manusia dan faktor budaya.
:;y
OJ
(fJ
z
c
Pengelolaan risiko didasarkan pada prinsip, kerangka kerja, dan proses yang digariskan pada standar ini , seperti diilustrasikan pada Gambar 1. Komponen tersebut mungkin sudah ada secara lengkap atau sebagian di dalam organisasi , tetapi mungkin perlu disesuaikan atau ditingkatkan agar pengelolaan risiko dapat efektif, efisien , dan konsisten .
_, 'lilt / ~ Ill · --~.. ~ ~nkomlt~
•
-
::l
c
7'
0
~-
s?l -0
::l
; 0
::J
Catatan 1 terhadap entri: Efek adalah penyimpangan dari apa yang diharapkan. Efek dapat positif,
!e.
negatif, atau keduanya, dan dapat berkaitan dengan, menciptakan, atau menghasilkan peluang dan ancaman.
"' !!!.
Catatan 2 terhadap entri: Sasaran dapat memiliki berbagai aspek dan kategori, serta dapat diterapkan
""'0
2 0
~-
pada berbagai tingkat.
~
Catatan 3 terhadap entri: Risiko umumnya dinyatakan dengan mengacu kepada sumber risiko (3.4),
potensi peristiwa (3.5), konsekuensi (3.6), dan kemungkinan-kejadian (3.7).
'Cl>
::J
a. Cl>
!i1. OJ
3.2
:;
manajemen risiko
Ill
aktivitas terkoordinasi untuk mengarahkan dan mengendalikan organisasi dalam kaitannya dengan risiko (3.1)
;;>; 0
::J
!e.
2
"'
~~;;>;
3.3 pemangku kepentingan
Cl>
orang atau organisasi yang dapat memengaruhi, atau dipengaruhi, atau menganggap dirinya dipengaruhi oleh suatu keputusan atau aktivitas
3
Cl>
::J
~-
Ill ::J
© BSN 2018
1 dari 34
-0
c
-0
::0
SNI ISO 31000:2018
Catatan 1 terhadap entri: lstilah "pihak berkepentingan" dapat juga digunakan sebagai alternatif dari "pemang~ kepentingan".
3.4 sumber risiko elemen yang secara mandiri atau dalam kombinasi memiliki potensi untuk menimbulkan risiko (3.1) 3.5 peristiwa kejadian atau perubahan suatu set dari kondisi Catatan 1 terhadap entri: Suatu peristiwa dapat memiliki satu atau lebih kejadian, serta dapat memiliki beberapa penyebab dan beberapa konsekuensi (3.6) Catatan 2 terhadap entri: Suatu peristiwa dapat berupa sesuatu yang diharapkan yang tidak terjadi, atau sesuatu yang tidak diharapkan yang terjadi. Catatan 3 terhadap entri: Suatu peristiwa dapat menjadi sumber risiko.
3.6 konsekuensi hasil keluaran suatu peristiwa (3.5) yang memengaruhi sasaran Catatan 1 terhadap entri: Suatu konsekuensi dapat pasti atau tidak pasti, serta dapat memiliki efek positif atau negatif langsung atau tidak langsung terhadap sasaran. Catatan 2 terhadap entri: Konsekuensi dapat dinyatakan secara kualitatif atau kuantitatif. Catatan 3 terhadap entri: Segala konsekuensi dapat tereskalasi melalui efek beruntun dan kumulatif.
3.7 Kemungkinan-kejadian Kemungkinan sesuatu terjadi Catatan terhadap entri 1: Dalam terminologi manajemen risiko, kata "kemungkinan-kejadian" digunakan untuk merujuk pada kemungkinan terjadinya sesuatu, baik didefinisikan, diukur, atau ditentukan secara objektif maupun subjektif, kualitatif maupun kuantitatif, dan dijelaskan menggunakan istilah umum maupun matematis (seperti probabilitas atau frekuensi selama periode waktu tertentu). Catatan terhadap entri 2: lstilah bahasa lnggris "likelihood" tidak memiliki padanan setara dalam beberapa bahasa; sehingga, istilah yang setara dengan "probability" sering dipakai. Namun, dalam bahasa lnggris, "probability" sering ditafsirkan secara sempit sebagai istilah matematika Oleh karena itu, dalam terminologi manajemen risiko, "kemungkinan-kejadian" digunakan dengan maksud agar kemungkinan-kejadian memiliki interpretasi yang sama luasnya dengan istilah "probability" dalam banyak bahasa lain selain bahasa lnggris.
3.8 pengendalian tindakan yang memelihara dan/atau memodifikasi risiko (3.1)
"
Catatan terhadap entri 1: Pengendalian termasuk, tetapi tidak terbatas pada, semua proses, kebijakan, peranti, praktik, atau kondisi dan/atau tindakan lain yang memelihara dan/atau memodifikasi risiko. Catatan terhadap entri 2: Pengendalian mungkin tidak selalu menghasilkan efek modifikasi yang diharapkan atau diasumsikan.
©BSN 2018
2 dari 34
I
Q)
SNI ISO 31000:2018
"' Q "O iii {)J Q)
a.
4
Q)
Prinsip
::i (fJ
Tujuan manajemen risiko adalah untuk menciptakan dan melindungi nilai . Tujuan manajemen risiko meningkatkan kinerja, mendorong inovasi, dan mendukung pencapaian sasaran . Prinsip yang digambarkan pada Gambar 2 memberikan panduan terhadap karakteristik manajemen risiko yang efektif dan efisien , mengomunikasikan nilainya, serta menjelaskan maksud dan tujuannya . Prinsip adalah fondasi pengelolaan risiko dan sebaiknya dipertimbangkan saat menyiapkan kerangka kerja dan proses manajemen risiko. Prinsip ini sebaiknya memungkinkan organisasi untuk mengelola efek ketidakpastian terhadap sasarannya.
iii ::i
a. Q)
a.iii Q)
~.
z
Q)
(J)
i5
::i
~
(fJ
~
::i Q)
::i (fJ
iii ::i
a. ~ ~:
a. rr c
!!l.
0 Ci) :::T {)J (fJ
z
c
::i
c "' g ro
"' 0
§.
"1J
CD
::i
co Q)
a. Q) Q)
::i
'Q)
(J)
"'
;>; 0
Gambar 2 - Prinsip
::i
!!?-
2
Manajemen risiko yang efektif memerlukan elemen pada Gambar 2 dan dapat dijelaskan lebih lanjut sebagai berikut.
"'
~~ -
0
ai'
"' 0
a) Terintegrasi
§.
Manajemen risiko adalah bagian integral dari semua aktivitas organisasi .
'CD
::i
a. CD
~
b) Terstruktur dan komprehensif
{)J
Pendekatan terstruktur dan komprehensif terhadap manajemen risiko berkontribusi terhadap hasil yang konsisten dan terstruktur.
:;
"'
;>; 0 ::i
!!?-
2
c) Disesuaikan
'A
~.
Kerangka kerja dan proses manajemen risiko disesuaikan dan proporsional dengan konteks eksternal dan internal organisasi yang berkaitan dengan sasarannya.
© BSN 2018
3 dari 34
SNI ISO 31000:2018
d) lnklusif Pelibatan yang sesuai dan tepat waktu dari pemangku kepentingan memungkinkan pengetahuan, pandangan, dan persepsi mereka untuk dipertimbangkan. lni menghasilkan peningkatan kesadaran dan manajemen risiko terinformasi. e) Dinamis Risiko dapat muncul, berubah, atau hilang seiring perubahan konteks eksternal dan internal organisasi. Manajemen risiko mengantisipasi, mendeteksi, mengakui, dan menanggapi perubahan dan peristiwa tersebut secara sesuai dan tepat waktu. f)
lnformasi terbaik yang tersedia Masukan manajemen risiko didasarkan atas informasi historis dan saat ini, dan juga harapan masa depan. Manajemen risiko secara eksplisit memperhitungkan segala batasan dan ketidakpastian yang berkaitan dengan informasi dan harapan tersebut. lnformasi sebaiknya tepat waktu, jelas, dan tersedia bagi pemangku kepentingan yang relevan.
g) Faktor manusia dan budaya Perilaku dan budaya manusia secara signifikan memengaruhi semua aspek manajemen risiko pada semua tingkat dan tahap. h) Perbaikan berkelanjutan Manajemen risiko diperbaiki secara berkelanjutan melalui pelajaran dan pengalaman.
5 5.1
Kerangka kerja Umum
Tujuan kerangka kerja manajemen risiko adalah untuk membantu organisasi dalam mengint9!Jrasikan manajemen risiko ke dalam aktivitas dan fungsi signifikan. Efektivitas manajemen risiko bergantung pada integrasinya ke dalam tata kelola organisasi, termasuk pengambilan keputusan. lni memerlukan dukungan dari pemangku kepentingan, khususnya manajemen puncak. Pengembangan kerangka kerja meliputi integrasi, desain, implementasi, evaluasi, dan peningkatan manajemen risiko di seluruh organisasi. Gambar 3 mengilustrasikan komponen kerangka kerja.
© BSN 2018
4 dari 34
.,I
7'
SNI ISO 31000:2018
()
-6
;
Manajemen puncak dan badan pengawas, sesuai penerapan, sebaiknya memastikan bahwa kewenangan, tanggung jawab, dan akuntabilitas untuk peran yang relevan dalam manajemen risiko telah ditetapkan dan dikomunikasikan pada semua tingkat organisasi, serta sebaiknya: menekankan bahwa manajemen risiko adalah tanggung jawab inti; mengidentifikasi individu yang memiliki akuntabilitas dan kewenangan untuk mengelola risiko (pemilik risiko).
0
:::J
!a.
2
"A
§fl.
~ 3
CD :::J
~
o;· :::J
© BSN 2018
7 dari 34
-0
c
-0 Al
SNI ISO 31000:2018
5.4.4
Alokasi sumber daya
Manajemen puncak dan badan pengawas, sesuai penerapan, sebaiknya memastikan alokasi sumber daya manajemen risiko yang memadai, yang dapat termasuk, tetapi tidak terbatas pada: orang, keterampilan, pengalaman, dan kompetensi; proses, metode, dan ala! yang dipakai organisasi untuk mengelola risiko; pros~
dan prosedur terdokumentasi;
sistem manajemen informasi dan pengetahuan; pengembangan profesional dan kebutuhan pelatihan; Organisasi sebaiknya mempertimbangkan kapabilitas, dan keterbatasan, sumber daya yang ada.
5.4.5
Penyiapan komunikasi dan konsultasi
Organisasi sebaiknya menetapkan pendekatan yang disetujui untuk komunikasi dan konsultasi guna mendukung kerangka kerja dan memfasilitasi penerapan efektif manajemen risiko. Komunikasi melibatkan pembagian informasi dengan audiens yang dituju. Konsultasi juga melibatkan pemberian umpan balik dari partisipan dengan harapan bahwa hal itu dapat berkontribusi dan membentuk keputusan atau aktivitas lain. Metode dan konten komunikasi dan konsultasi sebaiknya mencerminkan harapan pemangku kepentingan, jika relevan. Komunikasi dan konsultasi sebaiknya tepat waktu dan memastikan bahwa informasi yang relevan dikumpulkan, digabungkan, disintesis, dan dibagikan, secara sesuai, serta bahwa umpan balik diberikan dan peningkatan dibuat.
5.5
lmplementasi
Organisasi sebaiknya mengimplementasikan kerangka kerja manajemen risiko dengan: mengembangkan rencana yang sesuai, termasuk waktu dan sumber daya; mengidentifikasi di mana, kapan, bagaimana, dan oleh siapa beragam jenis keputusan dibuat di seluruh organisasi; memodifikasi proses pengambilan keputusan yang sesuai; jika diperlukan; memastikan pengaturan organisasi dalam mengelola risiko dipahami dengan jelas dan dipraktikkan. lmplementasi kerangka kerja yang berhasil memerlukan keterlibatan dan kesadaran pemangku kepentingan. Hal ini memungkinkan organisasi untuk secara eksplisit mengatasi ketidakpastian di dalam pengambilan keputusan, sambil memastikan bahwa ketidakpastian baru atau lanjutan dapat diperhitungkan saat muncul. Ketika didesain dan diimplementasikan dengan baik, kerangka kerja manajemen risiko dapat memastikan proses manajemen risiko menjadi bagian dari semua aktivitas di seluruh © BSN 2048
8 dari 34
SNI ISO 31000:2018
organisasi, termasuk pengambilan keputusan, serta memastikan perubahan konteks eksternal dan internal ditangkap dengan memadai. Evaluasi
5.6
Untuk mengevaluasi efektivitas kerangka kerja manajemen risiko, organisasi sebaiknya: mengukur kinerja kerangka kerja manajemen risiko secara berkala terhadap tujuan, rencana implementasi, indikator, dan perilaku yang diharapkan; menentukan apakah kerangka kerja manajemen risiko tetap sesuai untuk mendukung pencapaian sasaran organisasi. 5.7
Perbaikan
5.7.1
Adaptasi
Organisasi sebaiknya secara berkelanjutan memantau dan mengadaptasi kerangka kerja manajemen risiko untuk mengatasi perubahan eksternal dan internal. Dengan demikian, organisasi dapat meningkatkan nilainya. 5.7.2
Perbaikan sinambung
Organisasi sebaiknya secara sinambung meningkatkan kesesuaian, kecukupan, dan efektivitas kerangka kerja manajemen risiko, serta bagaimana proses manajemen risiko diintegrasikan. Saal kesenjangan atau peluang peningkatan yang relevan diidentifikasi, organisasi sebaiknya mengembangkan rencana dan tugas pengembangan dan menugaskan kepada pihak yang memiliki akuntabilitas terhadap implementasi. Setelah diimplementasikan, perbaikan tersebut sebaiknya berkontribusi pada peningkatan manajemen risiko.
6 6.1
Proses Umum
Proses manajemen risiko melibatkan penerapan sistematis dari kebijakan, prosedur, dan praktik pada aktivitas komunikasi dan konsultasi, penetapan konteks, serta penilaian, perlakuan, pemantauan, peninjauan, pencatatan, dan pelaporan risiko. Proses ini digambarkan pada Gambar 4.
© BSN 2018
9 dari 34
SNI ISO 31000:2018
ldentifikasi risiko Analis: risiko Evaluasi risiko
Gambar 4 -Proses Proses manajemen risiko sebaiknya menjadi bagian integral manajemen dan pengambilan keputusan , serta diintegrasikan ke dalam struktur, operasi , dan proses organisasi . lni dapat diterapkan pada tingkat strategis, operasional , program, atau proyek. Dapat saja ada banyak penerapan proses manajemen risiko di dalam organisasi , yang disesuaikan untuk mencapai sasaran dan menyesuaikan konteks eksternal dan internal tempat proses diterapkan. Sifat dinamis dan variabel dari perilaku dan budaya manusia sebaiknya dipertimbangkan dalam penerapan proses manajemen risiko. Walaupun proses manajemen risiko sering ditampilkan berurutan , dalam praktiknya proses manajemen risiko bersifat berulang .
6.2
Komunikasi dan konsultasi
Tujuan komunikasi dan konsultasi adalah untuk membantu pemangku kepentingan yang relevan dalam memahami risiko , dasar pengambilan keputusan, dan alasan mengapa tindakan tertentu diperlukan . Komunikasi bertujuan mendorong kesadaran dan pemahaman risiko , s~dangkan konsultasi mencakup pencarian umpan balik dan informasi untuk mendukung pengambilan keputusan . Koordinasi erat di antara keduanya akan memfasilitasi pertukaran informasi yang faktual , tepat waktu , relevan , akurat, dan dapat dipahami , dengan mempertimbangkan kerahasiaan dan integritas informasi, dan juga hak privasi individu. Komunikasi dan konsultasi dengan pemangku kepentingan eksternal dan internal yang tepat sebaiknya berlangsung selama dan sepanjang seluruh tahap proses manajemen risiko . Komunikasi dan konsultasi dimaksudkan untuk: -
menyatukan beragam area keahlian pada tiap tahap proses manajemen risiko ;
©BSN 2018
10 dari 34
., I
SNI ISO 31000:2018
"' () -0
iii
.,a.OJ memastikan berbagai pandangan dipertimbangkan dengan memadai saat menentukan kriteria risiko dan saat mengevaluasi risiko; memberikan informasi yang memadai untuk memfasilitasi pengawasan risiko dan pengambilan keputusan; membangun rasa keterlibatan dan kepemilikan di antara pihak yang terpengaruh oleh risiko.
., ::J
(/)
iii
.,a. a. .,iii !!!. .,z ::J
"'0
6.3
Ruang lingkup, konteks, dan kriteria
::J
~
(/)
6.3.1
Umum
.,~ .,(/J ::J ::J
Tujuan penetapan ruang lingkup, konteks, dan kriteria adalah untuk menyesuaikan proses manajemen risiko, mengaktifkan penilaian risiko yang efektif dan perlakuan risiko yang memadai. Ruang lingkup, konteks, dan kriteria mencakup penentuan ruang lingkup proses dan pemahaman konteks eksternal dan internal.
6.3.2
::J
a. ~ ~:
a.
rr c
Penentuan ruang lingkup
~
0
Organisasi sebaiknya menentukan ruang lingkup aktivitas manajemen risikonya.
ro ::r OJ
(/)
Karena proses manajemen risiko dapat diterapkan pada berbagai tingkat (misalnya strategis, operasi, program, proyek, atau aktivitas lain), diperlukan kejelasan tentang ruang lingkup yang menjadi cakupan, sasaran relevan yang perlu dipertimbangkan, dan keselarasannya dengan sasaran organisasi. Saal merencanakan pendekatan, hal yang perlu dipertimbangkan adalah: sasaran dan keputusan yang perlu dibuat; hasil keluaran yang diharapkan dari tiap langkah yang akan diambil dalam proses; waktu, lokasi, serta pencakupan dan pengecualian khusus;
z
c
::J
2"
"' 0
~-
"' 0 ~ -u CD
"'.,.,a. ., ., ::J
::J
'--
alat dan teknik penilaian risiko yang sesuai; sumber daya yang dibutuhkan, tanggung jawab dan catatan yang disimpan;
.,"' ;>; 0
::J
hubungan dengan proyek, proses, dan aktivitas lain.
sa. 2
"'
-~-
6.3.3
Konteks eksternal dan internal
0
~-
Konteks eksternal dan internal adalah lingkungan yang dicari organisasi untuk menentukan dan mencapai sasarannya.
~ 0
~
'CD
Konteks proses manajemen risiko sebaiknya ditetapkan dari pemahaman terhadap lingkungan eksternal dan internal tempat organisasi beroperasi serta sebaiknya merefleksikan lingkungan spesifik dari aktivitas yang menjadi sasaran penerapan manajemen risiko. Pemahaman konteks adalah penting karena: manajemen risiko dilakukan dalam konteks sasaran dan aktivitas organisasi; faktor organisasi dapat menjadi sumber risiko; tujuan dan ruang lingkup proses manajemen risiko mungkin berhubungan dengan sasaran organisasi secara keseluruhan.
::J
a. CD
!i1. OJ
.,:;
;>; 0 ::J
sa. 2
"'
-~-
~
3
CD
::J
~
iii ::J
© BSN 2018
11 dari 34
-u -u c
;:u
SNI ISO 31000:2018
Organisasi sebaiknya menetapkan konteks eksternal dan internal proses manajemen risiko dengan mempertimbangkan faktor yang disebutkan pada 5.4.1. 6.3.4
Pendefinisian kriteria risiko
Organisasi sebaiknya menentukan jumlah dan jenis risiko yang dapat atau tidak dapat diambil, relatif terhadap sasaran. Organisasi juga sebaiknya menentukan kriteria untuk mengevaluasi signifikansi risiko dan untuk mendukung proses pengambilan keputusan. Kriteria risiko sebaiknya selaras dengan kerangka kerja manajemen risiko dan disesuaikan dengan tujuan khusus dan ruang lingkup aktivitas yang dicakup. Kriteria risiko sebaiknya merefleksikan nilai, sasaran, dan sumber daya organisasi serta konsisten dengan kebijakan dan pernyataan tentang manajemen risiko. Kriteria sebaiknya ditentukan dengan mempertimbangkan kewajiban organisasi dan pandangan pemangku kepentingan. Meski kriteria risiko sebaiknya ditetapkan pada awal proses penilaian risiko, kriteria itu dinamis dan sebaiknya selalu ditinjau dan disesuaikan, bila diperlukan. Untuk menetapkan kriteria risiko, hal-hal berikut perlu dipertimbangkan: sifat dan jenis ketidakpastian yang dapat memengaruhi hasil keluaran dan sasaran (baik berwujud maupun tanwujud); bagaimana konsekuensi (baik positif maupun negatif) dan kemungkinan akan ditentukan · dan diukur; faktor terkait waktu; konsistensi penggunaan ukuran; bagaimana tingkat risiko ditentukan; bagaimana kombinasi dan urutan berbagai risiko akan diperhitungkan; kapazitas organisasi. 6.4
Penilaian risiko
6.4.1
Umum
Penilaian risiko adalah proses menyeluruh dari identifikasi risiko, analisis risiko, dan evaluasi risiko. Penilaian risiko sebaiknya dilakukan secara sistematis, berulang, dan kolaboratif, berdasarkan pengetahuan dan pandangan pemangku kepentingan. Penilaian sebaiknya berdasarkan informasi terbaik yang tersedia, dengan ditunjang oleh penelitian lanjutan sesuai kebutuhan. 6.4.2
ldentifikasi risiko
Tujuan identifikasi risiko adalah untuk menemukan, mengenali, dan menguraikan risiko yang dapat membantu atau menghalangi organisasi dalam mencapai sasarannya. lnformasi yang relevan, memadai, dan mutakhir penting dalam mengidentifikasi risiko. Organisasi dapat memakai beragam teknik untuk mengidentifikasi ketidakpastian yang dapat memengaruhi satu atau lebih sasaran. Faktor-faktor berikut, dan hubungan antarfaktor tersebut, sebaiknya dipertimbangkan: -
sumber risiko berwujud dan tanwujud;
© BSN 2018
12 dari 34
I
"'0
O; 0 ::J
!!?.
,,,.2
~-
;>; (1)
3
(1)
::J
~
tindakan yang diusulkan;
o;· ::J
© BSN 2018
15 dari 34
-0
c
-0 ::0
SNI ISO 31000:2018
sumber daya yang dibutuhkan, termasuk kontingensi; ukuran kinerja; batasan; pelaporan dan pemantauan yang diperlukan; kapan tindakan diharapkan dapat dilakukan dan diselesaikan.
6.6
Pemantauan dan tinjauan
Tujuan pemantauan dan tinjauan kembali adalah untuk memastikan dan meningkatkan mutu dan efektivitas desain, implementasi, dan hasil keluaran proses. Pemantauan yang sedang berlangsung dan tinjauan berkala terhadap proses dan hasil keluaran manajemen risiko sebaiknya menjadi bagian terencana dari proses manajemen risiko, dengan tanggung jawab yang ditentukan dengan jelas. Pemantauan dan tinjauan sebaiknya dilaksanakan pada semua tahap proses. Pemantauan dan tinjauan mencakup perencanaan, pengumpulan dan analisis informasi, pencatatan hasil, dan pemberian umpan balik. Hasil pemantauan dan tinjauan sebaiknya disertakan di seluruh aktivitas manajemen, pengukuran, dan pelaporan kinerja organisasi.
6.7
Pencatatan dan pelaporan
Proses dan hasil keluaran manajemen risiko sebaiknya didokumentasikan dan dilaporkan melalui mekanisme yang sesuai. Pencatatan dan pelaporan bertujuan untuk: mengomunikasikan aktivitas manajemen risiko dan hasil keluaran dari manajemen risiko ke seluruh organisasi; memberikan informasi untuk pengambilan keputusan; meningkatkan aktivitas manajemen risiko; membantu interaksi dengan pemangku kepentingan, termasuk pihak yang memiliki tanggung jawab dan akuntabilitas untuk aktivitas manajemen risiko. Keputusan yang berkaitan dengan pembuatan, retensi, dan penanganan informasi terdokumentasi sebaiknya mempertimbangkan, tetapi tidak terbatas pada, penggunaannya, sensitivitas informasi, serta konteks eksternal dan internal. Pelaporan adalah bagian integral dari tata kelola organisasi dan sebaiknya meningkatkan mutu dialog dengan pemangku kepentingan dan mendukung manajemen puncak dan badan pengawas dalam memenuhi tanggung jawab mereka. Faktor yang perlu dipertimbangkan dalam pelaporan mencakup, tetapi tidak terbatas pada: berbagai perbedaan pemangku kepentinganyang persyaratan informasi mereka yang khusus;
berbeda serta kebutuhan dan
biaya, frekuensi, dan ketepatan waktu pelaporan; metode pelaporan; relevansi informasi terhadap sasaran dan pengambilan keputusan organisasi.
© BSN 2018
16 dari 34
I
Dl
SNI ISO 31000:2018
" Q "O iii OJ Dl
a. Dl
::J (/)
iii ::J
a. Dl
a. u;· Dl
!!!.
zDl
(/)
0 !!!. ::J
(/)
!!!.
:;-
"'
::J (/)
iii ::J
a. ~
~·
a.
cr c:: ~
0
ro :;,OJ
(/)
z
Risk management -
Guidelines
c::
::J
c "0
ai·
(ISO 31000:2018, IDT)
"0
§. -a CD
::J
co
Dl
a. Dl Dl
::J
'DJ (/)
Dl
;>; 0 ::J
!a.
2
"
!!!.
0
~·
"0
§. 'CD
::J
a. CD
ii!. OJ sDl ;>; 0 ::J
~
c::
"
!!! ;>; CD
3
CD
::J
.,.~ ::J
© BSN 2018
17 dari 34
-a c -u
;o
SNI ISO 31000:2018
Risk management -
Guidelines
Scope This document provides guidelines on managing risk faced by organizations. The application of these guidelines can be customized to any organization and its context. This document provides a common approach to managing any type of risk and is not industry or sector specific. This document can be used throughout the life of the organization and can be applied to any activity, including decision-making at all levels.
2
Normative references
There are no normative references in this document.
3
Terms and definitions
For the purposes of th is document, the following terms and definitions apply. ISO and IEC maintain terminological databases for use in standardization at the following addresses: ISO Online browsing platform: available at http :/lwww.iso.org/obp IEC Electropedia: available at http:/lwww .electropedia.org
3.1 risk effect of uncertainty on objectives Note 1 to entry: An effect is a deviation from the expected. It can be positive, negative or both, and can address, create or result in opportunities and threats. Note 2 to entry: Objectives can have different aspects and categories, and can be applied at different
levels. Note 3 to entry: Risk is usually expressed in terms of risk sources (3.4), potential events (3.5), their consequences (3.6) and their likelih ood (3.7).
3.2 risk management coordinated activities to direct and control an organization with regard to risk (3.1) 3.3 stakeholder person or organization that can affect, be affected by, or perceive themselves to be affected by a decision or activity Note 1 to entry: The term "interested party" can be used as an alternative to "stakeholder"
© BSN 2018
18 dari 34
.,I SNI ISO 31000:2018
"' ()
-o· Qi
.,CD
.,
0. :J
3.4
(/)
risk source element which alone or in combination has the potential to give rise to risk (3.1)
., a. .,iii' !!!. .,z
3.5 event occurrence or change of a particular set of circumstances Note 1 to entry: An event can have one or more occurrences, and can have several causes and several consequences (3.6).
Qi
:J 0.
(/)
6 :J _!!!. (/)
~
., :J
Note 2 to entry: An event can also be something that is expected which does not happen, or something that is not expected which does happen .
:J (/)
Qi
:J 0.
Note 3 to entry: An event can be a risk source.
~ ~:
3.6 consequence outcome of an event (3.5) affecting objectives
O' c
Note 1 to entry: A consequence can be certain or uncertain and can have positive or negative direct or indirect effects on objectives.
0.
!!l. 0
iD :;y CD
(/)
z
c
:J
Note 2 to entry: Consequences can be expressed qualitatively or quantitatively. Note 3 to entry: Any consequence can escalate through cascading and cumulative effects.
c:
"' 0
a;·
"'0
§.
3.7 likelihood chance of something happening
-0 CD
., .,., ., .,
:J ; 0
::J
!!l.
Evaluation
5.6
2
In order to evaluate the effectiveness of the risk management framework, the organization should: periodically measure risk management framework performance against its purpose, implementation plans, indicators and expected behaviour;
"
.~
0
~-
s §. '(1)
::J
0.
determine whether it remains suitable to support achieving the objectives of the organization.
(1)
el ()J
:; Ql
5.7
Improvement
;>; 0
::J
5.7.1
!!l.
Adapting
2
"
The organization should continually monitor and adapt the risk management framework to address external and internal changes. In doing so, the organization can improve its value.
~~;>; (1)
3
(1)
::J
[
Ql ::J
© BSN 2018
25 dari 34
-0
c
-0 ::0
SNI ISO 31000:2018
5.7.2 Continually improving The organization should continually improve the suitability, adequacy and effectiveness of the risk management framework and the way the risk management process is integrated . As relevant gaps or improvement opportunities are identified , the organization should develop plans and tasks and assign them to those accountable for implementation. Once implemented , these improvements should contribute to the enhancement of risk management.
6 6.1
Process General
The risk management process involves the systematic application of policies, procedures and practices to the activities of communicating and consulting , establishing the context and assessing , treating , monitoring , reviewing , recording and reporting risk . This process is illustrated in Figure 4.
Figure 4 - Process The risk management process should be an integral part of management and decision-making and integrated into the structure, operations and processes of the organization . It can be applied at strategic, operational, programme or project levels. There can be many applications of the risk management process within an organization , customized to achieve objectives and to suit the external and internal context in which they are applied . The dynamic and variable nature of human behaviour and culture should be considered throughout the risk management process.
© BSN 2018
26 dari 34
I
"'
SNI ISO 31000:2018
"" Q
~
CD
Although the risk management process is often presented as sequential, in practice it is iterative.
"'a. "'
::l (/)
iii ::l
a.
Communication and consultation
6.2
The purpose of communication and consultation is to assist relevant stakeholders in understanding risk, the basis on which decisions are made and the reasons why particular actions are required. Communication seeks to promote awareness and understanding of risk, whereas consultation involves obtaining feedback and information to support decision-making. Close coordination between the two should facilitate factual, timely, relevant, accurate and understandable exchange of information, taking into account the confidentiality and integrity of information as well as the privacy rights of individuals. Communication and consultation with appropriate external and internal stakeholders should take place within and throughout all steps of the risk management process.
"'Uia. !!!. "'z "'6 (/)
::l
_!!!. (/)
!!!. :;·
"' S!2 "'a. ::l
::l
!!l
~:
Communication and consultation aims to:
a.
rr c
bring different areas of expertise together for each step of the risk management process;
!!l.
ensure that different views are appropriately considered when defining risk criteria and when evaluating risks;
:J'
0
ro
CD (/)
z c
provide sufficient information to facilitate risk oversight and decision-making; build a sense of inclusiveness and ownership among those affected by risk. Scope, context and criteria
6.3
::l
c ""0 ~·
s?]_ "U CD
6.3.1 General The purpose of establishing the scope, the context and criteria is to customize the risk management process, enabling effective risk assessment and appropriate risk treatment. Scope, context and criteria involve defining the scope of the process, and understanding the external and internal context. 6.3.2
::l
co a.
"' "'"' "' "':;>; ::l
'(/)
0
Defining the scope
::l
!a.
The organization should define the scope of its risk management activities.
2
""
~~-
0
As the risk management process may be applied at different levels (e.g. strategic, operational, programme, project, or other activities), it is important to be clear about the scope under consideration, the relevant objectives to be considered and their alignment with organizational objectives.
~· ~
0
?]_ 'CD
::l
a.
When planning the approach, considerations include:
CD
91. ~
objectives and decisions that need to be made; outcomes expected from the steps to be taken in the process;
::l
"':;>; 0
::l
!a.
2
""'
time, location, specific inclusions and exclusions;
!!!.
appropriate risk assessment tools and techniques;
3
~
CD
~
resources required, responsibilities and records to be kept;
Q!
iii
::l
© BSN 2018
27 dari 34
"U
c
"U
;:o
SNI ISO 31000:2018
-
relationships with other projects, processes and activities.
6.3.3
External and internal context
The external and internal context is the environment in which the organization seeks to define and achieve its objectives. The context of the risk management process should be established from the understanding of the external and internal environment in which the organization operates and should reflect the specific environment of the activity to which the risk management process is to be applied. Understanding the context is important because: risk management takes place in the context of the objectives and activities of the organization; organizational factors can be a source of risk; the purpose and scope of the risk management process may be interrelated with the objeE!ives of the organization as a whole. The organization should establish the external and internal context of the risk management process by considering the factors mentioned in 5.4.1. 6.3.4
Defining risk criteria
The organization should specify the amount and type of risk that it may or may not take, relative to objectives. It should also define criteria to evaluate the significance of risk and to support decision-making processes. Risk criteria should be aligned with the risk management framework and customized to the specific purpose and scope of the activity under consideration. Risk criteria should reflect the organization's values, objectives and resources and be consistent with policies and statements about risk management. The criteria should be defined taking into consideration the organization's obligations and the views of stakeholders. While risk criteria should be established at the beginning of the risk assessment process, they are dynamic and should be continually reviewed and amended, if necessary. To set risk criteria, the following should be considered: the nature and type of uncertainties that can affect outcomes and objectives (both tangible and intangible); how consequences (both positive and negative) and likelihood will be defined and measured; time-related factors; consistency in the use of measurements; how the level of risk is to be determined; how combinations and sequences of multiple risks will be taken into account; the organization's capacity. © BSN 2018
28 dari 34
SNI ISO 31000:2018
6.4
Risk assessment
6.4.1
General
Risk assessment is the overall process of risk identification, risk analysis and risk evaluation. Risk assessment should be conducted systematically, iteratively and collaboratively, drawing on the knowledge and views of stakeholders. It should use the best available information, supplemented by further enquiry as necessary.
6.4.2
Risk identification
The purpose of risk identification is to find, recognize and describe risks that might help or prevent an organization achieving its objectives. Relevant, appropriate and up-to-date information is important in identifying risks The organization can use a range of techniques for identifying uncertainties that may affect one or more objectives. The following factors, and the relationship between these factors, should be considered: tangible and intangible sources of risk; causes and events; threats and opportunities; vulnerabilities and capabilities; changes in the external and internal context; indicators of emerging risks; the nature and value of assets and resources; consequences and their impact on objectives; limitations of knowledge and reliability of information; time-related factors; biases, assumptions and beliefs of those involved. The organization should identify risks, whether or not their sources are under its control. Consideration should be given that there may be more than one type of outcome, which may result in a variety of tangible or intangible consequences.
6.4.3
Risk analysis
The purpose of risk analysis is to comprehend the nature of risk and its characteristics including, where appropriate, the level of risk. Risk analysis involves a detailed consideration of uncertainties, risk sources, consequences, likelihood, events, scenarios, controls and their effectiveness. An event can have multiple causes and consequences and can affect multiple objectives. Risk analysis can be undertaken with varying degrees of detail and complexity, depending on the purpose of the analysis, the availability and reliability of information, and the resources © BSN 2018
29 dari 34
~
3
Ql
ffi~-0
c
-0
::0
SNI ISO 31000:2018
available. Analysis techniques can be qualitative, quantitative or a combination of these, depending on the circumstances and intended use. Risk analysis should consider factors such as: the likelihood of events and consequences; the rfature and magnitude of consequences; complexity and connectivity; time-related factors and volatility; the effectiveness of existing controls; sensitivity and confidence levels. The risk analysis may be influenced by any divergence of opinions, biases, perceptions of risk and judgements. Additional influences are the quality of the information used, the assumptions and exclusions made, any limitations of the techniques and how they are executed. These influences should be considered, documented and communicated to decision makers. Highly uncertain events can be difficult to quantify. This can be an issue when analysing events with severe consequences. In such cases, using a combination of techniques generally provides greater insight. Risk analysis provides an input to risk evaluation, to decisions on whether risk needs to be treated and how, and on the most appropriate risk treatment strategy and methods. The results provide insight for decisions, where choices are being made, and the options involve different types and levels of risk.
6.4.4
Risk evaluation
The purpose of risk evaluation is to support decisions. Risk evaluation involves comparing the results of the risk analysis with the established risk criteria to determine where additional action is required. This can lead to a decision to: do nothing further; consider risk treatment options; undertake further analysis to better understand the risk; maintain existing controls; reconsider objectives. Decisions should take account of the wider context and the actual and perceived consequences to external and internal stakeholders. The outcome of risk evaluation should be recorded, communicated and then validated at appropriate levels of the organization.
© BSN 2018
30 dari 34
.,I SNI ISO 31000:2018
"()
iJ
iii
.,OJa. .,
Risk treatment
6.5 6.5.1
::J (/)
iii
General
., a. .,u;· !!!. .,z ::J
a.
The purpose of risk treatment is to select and implement options for addressing risk. Risk treatment involves an iterative process of: formulating and selecting risk treatment options;
(/)
5· ::J
planning and implementing risk treatment;
_e!. (/)
e!.
assessing the effectiveness of that treatment;
.,5
deciding whether the remaining risk is acceptable;
iii
if not acceptable, taking further treatment. 6.5.2
Selection of risk treatment options
Selecting the most appropriate risk treatment option(s) involves balancing the potential benefits derived in relation to the achievement of the objectives against costs, effort or disadvantages of implementation.
::J (/) ::J
a. ~ ~: a.
rr c
!'!.
Q_ CD
::J"
OJ
(/)
z
c
Risk treatment options are not necessarily mutually exclusive or appropriate in all circumstances. Options for treating risk may involve one or more of the following:
::J
c: "g CD
avoiding the risk by deciding not to start or continue with the activity that gives rise to the risk;
s§. -0 CD
removing the risk source;
., .,.,
changing the likelihood;
.,'.,
changing the consequences;
::J
sharing the risk (e.g. through contracts, buying insurance);
"
retaining the risk by informed decision.
CD
taking or increasing the risk in order to pursue an opportunity;
::J
cc a. ::J
(/)
?" 0
~
2
!!!
g Justification for risk treatment is broader than solely economic considerations and should take into account all of the organization's obligations, voluntary commitments and stakeholder views. The selection of risk treatment options should be made in accordance with the organization's objectives, risk criteria and available resources.
0"
§. 'CD
::J
a. CD
?1. OJ
When selecting risk treatment options, the organization should consider the values, perceptions and potential involvement of stakeholders and the most appropriate ways to communicate and consult with them. Though equally effective, some risk treatments can be more acceptable to some stakeholders than to others.
.,5
s ::J
~
2
"
!!!
Risk treatments, even if carefully designed and implemented might not produce the expected outcomes and could produce unintended consequences. Monitoring and review need to be an integral part of the risk treatment implementation to give assurance that the different forms of treatment become and remain effective.
?"
CD
3
CD
::J
~
iii ::J
© BSN 2018
31 dari 34
-0
c
-0 ::0
SNI ISO 31000:2018
Risk treatment can also introduce new risks that need to be managed. If there are no treatment options available or if treatment options do not sufficiently modify the risk, the risk should be recorded and kept under ongoing review. Decision makers and other stakeholders should be aware of the nature and extent of the remaining risk after risk treatment. The remaining risk should be documented and subjected to monitoring, review and, where appropriate, further treatment.
6.5.3
Preparing and implementing risk treatment plans
The purpose of risk treatment plans is to specify how the chosen treatment options will be implemented, so that arrangements are understood by those involved, and progress against the plan can be monitored. The treatment plan should clearly identify the order in which risk treatment should be implemented. Treatment plans should be integrated into the management plans and processes of the organization, in consultation with appropriate stakeholders. The information provided in the treatment plan should include: the rationale for selection of the treatment options, including the expected benefits to be gained; those who are accountable and responsible for approving and implementing the plan; the proposed actions; the resources required, including contingencies; the performance measures; the constraints; the required reporting and monitoring; when actions are expected to be undertaken and completed.
6.6
Monitoring and review
The purpose of monitoring and review is to assure and improve the quality and effectiveness of process design, implementation and outcomes. Ongoing monitoring and periodic review of the risk management process and its outcomes should be a planned part of the risk management process, with responsibilities clearly defined. Monitoring and review should take place in all stages of the process. Monitoring and review includes planning, gathering and analysing information, recording results and providing feedback. The results of monitoring and review should be incorporated throughout the organization's performance management, measurement and reporting activities.
©BSN 2018
32 dari 34
I
SNI ISO 31000:2018
Ill >; 0 ::J
~
2
"
!!!. ;>; CD
3
CD
::J
~
iii" ::J
"1J
c
"1J
;o
DIR£KTOltAT l'£NOADAAH JASA~ ~RAT JlNDERAL-K~
KDIBfTBtlAN PeXEIUAAH UllUM DAN PERUllAHAN RAKYAT
