Baik ISO 9001:2015 maupun ISO 31000:2009 adalah sistem manajemen yang memiliki siklus dasar sama yaitu PDCA (Plan-Do-Control-Act). Untuk kepentingan praktis tulisan, maka ISO 31000:2009 (yang saat ini sudah diadaptasi menjadi Standar Nasional Indonesia Manajemen Risiko – SNI ISO 31000:2011) akan disebut ISO 31000 saja, sedangkan ISO 9001:2015 akan disebut ISO 9001 saja.
Langkah pertama sebelum bahasan lebih lanjut adalah mengulang kembali pemahaman kita tentang siklus PDCA dalam ISO 31000 yang secara sederhana digambarkan sebagai berikut:
– Plan:
adalah seluruh langkah-langkah perencanaan untuk menentukan bagaimana bentuk organisasi akan melakukan pengelolaan risiko, baik untuk pengelolaan risiko sisi bawah (catatan: risiko sisi bawah adalah risiko terjadinya hal-hal negatif yang membuat kerusakan nilai organisasi kita), maupun risiko sisi atas (catatan: risiko sisi atas adalah risiko tidak terjadinya hal-hal positif untuk peningkatan nilai organisasi kita, walaupun ada kesempatan) mereka.
– Do:
Integrasi dan implementasi langkah-langkah pengelolaan risiko berbasis ISO31000, baik untuk pengelolaan risiko sisi bawah maupun risiko sisi atas, ke dalam proses dari suatu sistem manajemen lain yang digunakan oleh organisasi.
Catatan: bila organisasi memiliki sistem manajemen mutu berbasis ISO 9001, maka proses pengelolaan risiko sebagaimana yang dideskripsikan di dalam ISO 31000 perlu diintegrasikan dengan proses QMS (Quality Management System = Sistem Manajemen Mutu) tersebut.
– Control:
Evaluasi terhadap efektivitas langkah-langkah pengelolaan risiko, baik pengelolaan risiko sisi bawah maupun sisi atas organisasi.
Catatan: evaluasi dilakukan melalui pemantauan, yang kemudian digunakan untuk melakukan analisis terhadap kerangka kerja manajemen risiko yang dipakai – apakah sudah efektif atau belum, dan bagaimana pelaksanaan proses pengelolaan risiko dijalankan – apakah sudah dijalankan secara disiplin dan konsisten.
– Act:
Adalah langkah-langkah perbaikan atau peningkatan pengelolaan risiko organisasi – baik pengelolaan risiko sisi bawah dan maupun risiko atas mereka.
Catatan: hasil evaluasi di atas akan menjadi masukan untuk melakukan langkah-langkah perbaikan dan/atau peningkatanyang diperlukan.
Di sisi lain, bila kita melihat siklus PDCA ISO 9001, ada satu klausula yang mengharuskan adanya (provisi) langkah-langkah pengeloalan atau manajemen risiko dalam tiap proses QMS (Quality Management System). Provisi ini tertulis dengan jelas dalam klausul 4.4.1.f., yang didukung dengan klausul 6.1., yaitu klausula yang menyediakan beberapa rincian tentang bagaimana melaksanakan pengelolaan risiko tersebut. Bila dipelajari dengan seksama, maka penjabaran dalam klausul 6.1., diambil dari proses pengelolaan atau manajemen risiko menurut ISO 31000.
Karena klausul 4.4.1.f. terkait dengan pelaksanaan proses sistem manajemen mutu atau tahapan ‘DO’ dalam siklus PDCA ISO 9001, maka persyaratan mengenai manajemen risiko dalam ISO 9001 difokuskan pada tahapan “DO” saja dari keseluruhan siklus PDCA mereka.
Dari keberadaan di klausul 4.4.1.f. tersebut, timbul pertanyaan tentang bagaimana integrasi dan implementasi langkah-langkah untuk mengelola risiko, baik risiko sisi bawah maupun sisi atas organisasi sebagaimana disarankan dalam ISO 31000 ke dalam proses QMS berbasis ISO 9001 organisasi tersebut?
Ada dua pilihan bentuk program integrasi tersebut, yaitu integrasi dengan skala penuh (full scale) atau dengan skala kecil (small scale).
A. Program Skala Penuh
Untuk program skala penuh, mutlak diperlukan langkah pengembangan dan penerapan sistem manajemen risiko ISO31000 secara menyeluruh sebagai bagian dari Sistem Pengendalian Mutu organisasi. Dalam hal ini, langkah-langkah di bawah dapat dipakai sebagai rujukan:
  1. Ciptakan struktur organisasi yang memastikan bahwa tanggung jawab pengelolaan risiko berada di tangan para pemilik risiko (Risk Owner). Contoh: direksi dan dewan komisaris menerapkan konsep three lines of defense dimana para pemilik risiko adalah lapis pertama (the first line of defense) dari keseluruhan pertahanan organisasi terhadap risiko.
  2. Distribusikan tanggung jawab dan otoritas ke dalam peran dan tanggung jawab para karyawan.Contoh: memasukkan tanggung jawab pengelolaan risiko ke dalam job descriptions karyawan, didukung dengan SOP (standard operating procedure) yang relevan sebagai rujukan mereka di tingkat pelaksanaan.
  3. Identifikasi interaksi antara suatu fungsi/proses bisnis dengan fungsi lain/proses bisnis lain terutama dalam kaitan pengelolaan risiko bersama antar fungsi/proses bisnis tersebut.
    Contoh: memastikan adanya sinkronisasi antar proses bisnis yang satu dengan proses bisnis lainnya sehingga shared risks (risiko bersama) dapat terlihat oleh semua fungsi dalam organisasi, dan shared control (kontrol bersama) yang diperlukan juga dapat terlihat jelas menjadi tanggung jawab fungsi mana saja dalam organisasi tersebut. Laksanakan pelatihan manajemen risiko di setiap tingkatan perusahaan agar setiap karyawan memiliki pengetahuan dan kompetensi cukup untuk melakukan integrasi proses manajemen risiko ke dalam proses pengendalian mutu yang menjadi tanggung jawab mereka.Contoh: ada baiknya setiap individu yang bertanggung jawab dalam proses manajemen mutu diberikan pelatihan dasar tentang SNI ISO 31000 sehingga mereka memiliki persepsi dan pengetahuan yang sama tentang proses manajemen risiko dan akan terbiasa menggunakan terminologi yang baku sehingga dapat terjadi standarisasi proses yang terintegrasi penuh.
  4.  Kembangkan panduan sistem manajemen risiko dengan menggunakan format yang sudah dianggap sebagai good practice.
    Contoh: dalam hal ini, sebaiknya menggunakan sistem yang memiliki ‘pondasi’ dan ‘filosofi’ yang sama yaitu berbasis pada ISO. Bila menggunakana SNI ISO 9001 untuk sistem manajemen mutu organisasi, maka sebaiknya menggunakan SNI ISO 31000 sebagai dasar rujukan pengembangan panduan sistem manajemen risiko organisasi tersebut.
  5. Integrasikan prinsip-prinsip manajemen risiko sebagai bagian dari Kebijakan Mutu (Quality Policy),
    Contoh: dalam mengintegrasikan salah satu prinsip manajemen risiko dalam ISO31000 yang mengatakan bahwa “Manajemen risiko adalah bagian dari pengambilan keputusan”, maka orgnisasi dapat memastikannya melalui suatu kebijakan yang mengharuskan semua usulan atau pengambilan keputusan/kebijakan didasarkan pada suatu kajian risiko yang relevan. Misal: usulan investasi, usulan produk/jasa baru, usulan penggunaan tipe dan mitra outsourcing, dsb.
  6. Sebisa mungkin sertakan pernyataan eksplisit langkah-langkah perlakuan risiko dalam quality objectives. Bila tidak memungkinkan, maka sertakan pernyataan tersebut secara implisit.
    Contoh: bila sebelumnya pernyataan quality objective misal sebagai berikut: “jumlah keluhan pelanggan yang ditindaklanjuti adalah minimum 98%”, maka dapat diperkaya menjadi sebagai berikut: “Keluhan pelanggan 98% ditindaklanjuti maksimum dua hari kerja dari keluhan tersebut diperoleh dan kontrol dilakukan juga oleh pelanggan.”
    Catatan: pernyataan sasaran ini diperkaya dengan adanya dua lapis pengendalian atau kontrol. Dalam hal ini, kontrol lapis pertama adalah data internal yang berasal dari register kegiatan tim pelayanan pelanggan dan kontrol lapis kedua adalah data eksternal yang berasal dari umpan balik pelanggan.
  7. Ikutkan semua persyaratan dari klausula 6.1. SNI ISO 9001:2015 yaitu tindakan untuk menangani risiko dan peluang.Contoh: dipastikan bahwa dalam setiap langkah penanganan risiko diarahkan baik untuk pengelolaan risiko sisi bawah maupun pengelolaan risiko sisi atas sehingga organisasi dapat selalu menjaga/melindungi nilai organisasi dari hal-hal buruk, sekaligus mampu mengeksploitasi kesempatan untuk meningkatkan nilai organisasi tersebut.
B. Program Skala Kecil
Implementasi dapat dibatasi pada persyaratan ISO 31000 dalam tahapan siklus “DO saja yaitu integrasi dan implementasi untuk bagaimana menangani risiko dan kesempatan ke dalam proses QMS di setiap tahapan proses QMS tersebut.
Dalam hal ini, cukup bagi organisasi tersebut mengembangkan suatu metodologi manajemen risiko dalam proses QMS yang ada. Setidaknya mencakup keempat tahapan proses di bawah ini:
1. Identifikasi risiko
2. Analisis risiko
3. Evaluasi risiko
4. Perlakuan risiko
Menurut hemat penulis, sebaiknya bagi organisasi yang berukuran besar dan/atau berada di dalam industri yang memiliki sensitivitas tinggi terhadap pengelolaan risiko, misal perbankan, asuransi, dan pasar modal, sebaiknya menerapkan skala penuh integrasi. Sedangkan bagi organisasi yang berukuran kecil dan/atau industrinya tidak terlalu sensitifi terhadap risiko, bisa menggunakan pendekatan program integrasi skala kecil saja.
Penulis: Dr. Antonius Alijoyo, ERMCP, CERG, CGEIT, CCSA, CRMA, CFSA, CFE