Tahapan pertama dari mengelola risiko pada ISO 31000:2018 adalah menentukan 3 hal yaitu ; lingkup, konteks, dan kriteria risiko. Ketiga hal ini sering diabaikan padahal sering menjadi senjata pamungkas saat ada auditor mengutak atik dokumen risiko anda
Lingkup Risiko (ISO 31000:2018)
Pada tahapan dari ISO 31000:2018 ini kita perlu mengidentifikasi kebutuhan dari pengelolaan risiko kita. Kalau misalnya anda membuat manajemen risiko karena dipaksa standar, maka pastikan bahwa anda memahami konteks standar tersebut dalam mengidentifikasi risiko yang dilakukan sesuai dengan objek ISO yang anda kerjakan.
contoh :
a. anda menggunakan standar ISO 9001, maka lihat klausul 6.1 dan perhatikan bahwa anda harus mempertimbangkan klausul 4.1 dan 4.2 dalam mengidentifikasi risiko
b. anda menggunakan standar ISO 14001:2015, maka lihat klausul 6.1.1 dan perhatikan bahwa anda harus mempertimbangkan klausul 4.1. ; 4.2 ; 6.1.2 dan 6.1.3
begitu juga dengan standar lainnya, perhatikan bahwa yang menjadi persyaratan adalah yang ada di standar (yang biasanya ada dalam urutan no 1 di seri standarnya mis : 9001, 14001 dst). Dan setiap standar menganjurkan anda menggunakan ISO 31000 (dalam hal ini adalah ISO 31000:2018 sebagai standar terbaru) sebagai panduan. Jadi perlu saya garis bawahi ISO 31000:2018 adalah sebuah panduan bukan sebuah standar. Dengan demikian,
- lingkupnya ada di standar
- panduan lengkapnya ada di ISO 31000:2018
- anda boleh menggunakan panduannya secara lengkap atau sebagian, tapi anda tidak bisa memotong lingkup yang dibuat oleh standar.
Point diatas dapat dijadikan dalil bila auditor ternyata terlalu jauh menilai dokumen risiko anda dengan meminta pengelolaan risiko sesuai dengan ISO 31000:2018 secara keseluruhan, padahal ada beberapa standar yang tidak mensyaratkan pengelolaan hingga tahapan penentuan kriteria risiko. Contoh adalah ISO 9001:2015 yang hanya meminta risiko, peluang, dan tindakan untuk mengatasi risiko.
Konteks Risiko
Bagaimana cara menentukan konteks risiko? jawabannya di STANDAR. Perhatikan bahwa ketika anda diminta menentukan tindakan terhadap risiko (pada klausul 6 di ISO apapun kecuali ISO 17025) maka terdapat persyaratan untuk mempertimbangkan klausul 4.1 dan 4.2 pada persyaratan klausul 4 Konteks organisasi. Jadi konteks risiko sesuai dengan konteks organisasi yang di identifikasi pada saat penentuan isu internal , isu eksternal serta pihak terkait dari organisasi.
Dengan demikian maka klo anda membuat dokumen risiko, pastikan risiko yang di identifikasi sesuai dengan isu internal, isu eksternal serta pihak terkait yang telah di identifikasi pada dokumen tsb.
Kriteria Risiko
Bagaimana membuat kriteria risiko? nah ini yang paling banyak variasinya karena sangat banya teori yang dapat digunaan untuk membuat kriteria.
3.1 Risiko
..
Catatan 3 terhadap entri: Risiko umumnya dinyatakan dengan mengacu kepada sumber risiko (3.4), potensi peristiwa (3.5), konsekuensi (3.6), dan kemungkinan-kejadian (3.7).
Langkah pertama
Panduan standar ISO 31000:2018 mengatakan bahwa risiko / peluang terdiri dari 2 faktor yaitu
- Dampak dari risiko bila risiko itu terjadi (konsekuensi)
- kemungkinan risiko tersebut terjadi (kemungkinan kejadian)
Langkah kedua
Jadi yang paling sederhana adalah membuat kriteria risiko berdasarkan 2 hal diatas, misalnya
- kriteria konsekuensi
Dengan sederhana kita bisa membuat menjadi 3 kriteria konsekuensi yaitu konsekuensi rendah, konsekuensi sedang, konsekuensi tinggi
- kriteria kemungkinan kejadian
Dengan sederhana kita bisa membuat menjadi 3 kriteria kemungkinan kejadian, kemungkinan rendah, kemungkinan sedang, kemungkinan tinggi
Langkah ketiga
Beri definisi / penjelasan / parameter terhadap kriteria yang anda buat (konsekuensi rendah dst serta kemungkinan rendah dst) misal
konsekuensi rendah = tidak berdampak pada operasional
konsekuensi sedang = terganggunya operasional selama 0 – 2 jam
konsekuensi tinggi = terganggunya operasional selama > 2 jam
lalu untuk kriteria kemungkinan
kemungkinan rendah = kemungkinan kejadian 1 bulan sekali
kemungkinan sedang = kemungkinan kejadian 2/lebih kali dalam sebulan
kemungkinan tinggi = kemungkinan kejadian setiap hari
Karena kriteria diatas sangat sederhana maka disarankan anda bisa menyesuaikannya dengan kondisi di perusahaan anda, atau dampak yang lebih signifikan pada perusahaan anda
Penentuan kriteria risiko SANGAT PENTING (sengaja gw bold dan huruf besar biar lo merhatiin ini hehehe) karena akan berdampak pada analisa risiko serta penentuan tindakan atas risiko (mitigasi) yang akan anda buat
Tahapan awal pengelolaan risiko untuk lingkup, konteks dan kriteria risiko ini sangat penting dipahami dengan baik untuk memastikan anda memahami proses pengelolaan risiko yang akan dilakukan.
baca juga tentang ISO 31000:2018 Panduan Manajemen Risiko