Desain implementasi ISO 31000 sebagai pedoman manajemen risiko di Unit Dokumentasi dan Data Standardisasi Pusido BSN memberikan gambaran mengenai proses identifikasi, analisis, evaluasi, dan perlakuan risiko berdasarkan standar tersebut. Kajian ini mengidentifikasi 13 risiko dengan tingkat risiko bervariasi dan memberikan contoh tindakan pengendalian untuk setiap risiko. Kajian ini diharapkan dapat membantu Unit Dokumentasi mengelola risiko secara sistematis sesuai
emka_Slide Recall Modul Melakukan Perencanaan PBJP Level 1 V3.1.pptx
Desain Implementasi ISO 31000 sebagai Pedoman Manajemen Risiko di Unit Dokumentasi dan Data Standardisasi Pusido BSN
1. DESAIN IMPLEMENTASI ISO 31000
SEBAGAI PEDOMAN MANAJEMEN RISIKO
DI UNIT DOKUMENTASI DAN DATA STANDARDISASI
PUSIDO BSN
Muhammad Bahrudin
Pustakawan Pertama
Pusat Informasi dan Dokumentasi, BSN
Bogor, 2 Juni 2016
3. LATAR BELAKANG KAJIAN
Organisasi (berbagai tipe dan level)
tujuan
- Faktor internal
ketidakpastian
- Faktor eksternal
Efek/dampak ketidakpastian
pada tujuan organisasi inilah
yang disebut dengan risiko.
4. Risiko ≠ dampak negatif
Dampak yang dimaksud adalah sebuah
penyimpangan dari yang diharapkan (tujuan), dapat
bersifat positif dan/atau negatif.
Unit Dokdata Pusido BSN
Sebagai unit di BSN yang memiliki tujuan dan fungsi
dalam pelaksanaan dokumentasi dan data
standardisasi juga tidak lepas dari potensi risiko.
Mengelola risiko-risiko = pedoman = ISO 31000
5. TUJUAN KAJIAN
1. Memberikan gambaran mengenai proses manajemen risiko berdasarkan ISO
31000;
2. Memberikan gambaran desain implementasi ISO 31000 di unit Dokumentasi dan
Data Standardisasi, Pusido BSN; dan
3. Menghasilkan rekomendasi bagi unit kerja tentang tindakan pengendalian yang
efektif dan perlakuan yang tepat bagi risiko-risiko yang dihadapinya
6. ISO 31000
ISO 31000:2009 Risk Management – Principles
and Guidelines. (ISO)
SNI ISO 31000:2011 Manajemen Risiko –
Prinsip dan Panduan. (BSN)
7. DEFINISI
Manajemen risiko adalah aktivitas terkoordinasi yang dilakukan untuk mengarahkan
dan mengelola organisasi dalam rangka menangani risiko (ISO 31000)
Manajemen risiko adalah proses mengurangi risiko suatu entitas ke tingkat yang
dapat diterima, dengan menggunakan pengukuran, pengelolaan dan pemantauan
yang sejalan dengan tujuan strategis (Gilbert, 2007)
Manajemen risiko adalah pendekatan sistematis untuk menentukan tindakan terbaik
dalam kondisi ketidakpastian (Peraturan Menteri Keuangan Nomor
191/PMK.09/2008)
8. DEFINISI (LANJUTAN…)
Identifikasi risiko (risk identification); mengidentifikasi risiko apa saja yang dapat mempengaruhi pencapaian
sasaran organisasi.
Analisis risiko (risk analysis); menganalisis kemungkinan/probabilitas (likelihood) dan dampak (consequence) dari
risiko yang telah diidentifikasi. Hasil selanjutnya dari analisis risiko adalah tingkat risiko (level of risk).
Evaluasi risiko (risk evaluation); membandingkan hasil analisis risiko dengan kriteria risiko untuk mengetahui apakah
risiko dan ukurannya dapat diterima dan ditoleransi. Evaluasi risiko akan membantu penentuan perlakuan risiko.
Perlakuan risiko (risk treatment) adalah proses untuk memodifikasi risiko, terdiri atas:
1) menghindari risiko (risk avoidance) dengan memutuskan tidak memulai atau melanjutkan kegiatan yang dapat
meningkatkan
risiko
2) mitigasi risiko (risk mitigation), dapat dilakukan dengan mengurangi kemungkinan (likelihood) atau dampak
(consequence);
3) transfer risiko kepada pihak lain (risk sharing); dan
4) menerima risiko (risk acceptance).
10. MANAJEMEN RISIKO BERBASIS ISO 31000
a)Memberikan nilai tambah dan
melindungi nilai organisasi
b)Bagian terpadu dari seluruh
proses organisasi
c)Bagian dari pengambilan
keputusan
d)Secara khusus menangani
ketidakpastian
e)Sistematis, terstruktur, dan tepat
waktu
f)Berdasarkan informasi terbaik
yang tersedia
g)Disesuaikan dengan kebutuhan
organisasi
h)Mempertimbangkan faktor
budaya dan manusia
i)Transparan dan inklusif
j)Dinamis, berulang, dan responsif
terhadap perubahan
k)Memfasilitasi perbaikan
berkesinambungan dan peningkatan
organisasi
Prinsip (Klausul 3)
Mandate dan
komitmen (4.2)
Desain
kerangka
kerja MR (4.3)
Monitoring dan
Riviu (4.5)
Perbaikan
berkelanjutan
(4.8)
Implementasi
manajemen
risiko (4.4)
Kerangka kerja (Klausul 4)
Komunikasidankonsultasi(5.2)
Monitoringdanriviu(5.6)
Perlakuan risiko (5.5)
Evaluasi risiko (5.4.4)
Analisis risiko (5.4.3)
Identifikasi risiko (5.4.3)
Penetapan konteks (5.3)
Penilaian risiko (5.4)
Proses (Klausul 5)
12. PENENTUAN KONTEKS
Unit Dokdata Pusido BSN, memiliki kegiatan;
1. Mengelola dokumentasi SNI
2. Mengelola database SNI
3. Menyediakan data standardisasi
4. Menyediakan layanan e-file standar (SNI, ISO, ASTM, IEC)
UU No. 20 Tahun 2014, tentang Standardisasi dan Penilaian Kesesuaian
Dokumen Sistem Manajemen Mutu Pusido business process Pusido
SDM di Unit Dokdata = 3 orang
13. KRITERIA RISIKO
Untuk kriteria probabilitas/kemungkinan (likelihood) terdiri atas:
Sementara untuk kriteria dampak (consequence) terdiri atas:
Kriteria Deskripsi
low rendah, probabilitas terjadi <30%),
medium sedang, probabilits terjadi antara 30% s.d. 60%
high tinggi, probabilitas terjadi mencapai >60%
Kriteria Deskripsi
minor dampak kecil pada sebagian kecil tujuan dan fungsi unit kerja
moderate dampak cukup luas pada tujuan dan fungsi unit kerja
major berdampak luas pada tujuan dan fungsi unit kerja
14. IDENTIFIKASI RISIKO
Risk owner : Unit Dokdata
Risk source : faktor internal dan eksternal
Proses identifikasi risiko, melalui:
analisis dokumentasi,
wawancara,
brainstorming,
checklist,
analisis dan pemeriksaan terhadap aktivitas-aktivitas yang terjadi di unit Dokdata
15. ANALISIS DAN EVALUASI RISIKO
No. Deskripsi Risiko
Probabilitas
(likelihood)
Dampak
(consequence)
Tingkat Risiko
(risk level)
Evaluasi Risiko
(risk evaluation)
1 Pelayanan pengguna yang tidak
memuaskan
Rendah (low) Sedang (medium) Rendah (low) A
2 Peraturan kurang jelas dan tegas Sedang (medium) Sedang (medium) Sedang (medium) M/A
3 Pencurian data Rendah (low) Sedang (medium) Rendah (low) A
4 Data hilang/program komputer error Rendah (low) Tinggi (high) Sedang (medium) M/A
5 Jaringan internet tidak stabil Sedang (medium) Tinggi (high) Tinggi (high) N/A
6 Email bermasalah Sedang (medium) Sedang (medium) Sedang (medium) M/A
7 Kuota email tidak mencukupi untuk
mengirimkan e-file standar
Tinggi (high) Tinggi (high) Tinggi (high) N/A
8 Pemadaman listrik Rendah (low) Tinggi (high) Sedang (medium) M/A
9 Kebakaran Rendah (low) Tinggi (high) Sedang (medium) M/A
10 Kerusakan peralatan (komputer,
hardisk eksternal)
Rendah (low) Tinggi (high) Sedang (medium) M/A
11 Data tidak valid/update Sedang (medium) Tinggi (high) Tinggi (high) N/A
12 Dokumen yang dibutuhkan (khususnya
SNI) tidak tersedia di database/arsip
Sedang (medium) Tinggi (high) Tinggi (high) N/A
13 Kerusakan fisik dokumen SNI Sedang (medium) Tinggi (high) Tinggi (high) N/A
17. PERLAKUAN RISIKO
No. Deskripsi Risiko
Tingkat Risiko
(risk level)
Evaluasi Risiko
(risk evaluation)
Perlakuan Risiko
(risk treatment)
1 Pelayanan pengguna yang tidak
memuaskan
Rendah (low) A mitigation
2 Peraturan kurang jelas dan tegas Sedang (medium) M/A mitigation
3 Pencurian data Rendah (low) A mitigation
4 Data hilang/program komputer error Sedang (medium) M/A mitigation
5 Jaringan internet tidak stabil Tinggi (high) N/A sharing
6 Email bermasalah Sedang (medium) M/A sharing, accept
7 Kuota email tidak mencukupi untuk
mengirimkan e-file standar
Tinggi (high) N/A sharing
8 Pemadaman listrik Sedang (medium) M/A sharing, mitigation
9 Kebakaran Sedang (medium) M/A mtigation, avoidance
10 Kerusakan peralatan (komputer,
hardisk eksternal)
Sedang (medium) M/A accept, mitigation
11 Data tidak valid/update Tinggi (high) N/A avoidance, sharing
12 Dokumen yang dibutuhkan (khususnya
SNI) tidak tersedia di database/arsip
Tinggi (high) N/A mitigation
13 Kerusakan fisik dokumen SNI Tinggi (high) N/A mitigation
18. CONTOH TINDAKAN PENGENDALIAN RISIKO (1)
Data tidak valid/update (R11) avoidance, sharing
Unit Dokdata perlu membuat suatu sistem kebijakan validasi data-data yang
dihasilkan. Sistem ini dilakukan oleh orang-orang yang memang kredibel dengan
data tersebut atau dengan suatu sistem terotomasi (aplikasi) yang memudahkan staf
yang bertugas untuk mengelola data-data standardisasi.
Unit Dokdata juga bisa berkoordinasi dengan unit-unit lain yang menghasilkan data
untuk memvalidasi dan juga memperbarui data sehingga data yang dihasilkan bisa
selalu aktual.
19. CONTOH TINDAKAN PENGENDALIAN RISIKO (2)
Kerusakan fisik dokumen SNI (R13) mitigation
Unit Dokdata perlu menyediakan ruang penyimpanan dokumentasi SNI yang sesuai
dengan kondisi kertas. Kondisi ruangan, rak, suhu dan kelembapan perlu
diperhatikan agar dokumen yang disimpan bisa bertahan lama.
Unit Dokdata juga perlu melakukan digitalisasi koleksi SNI sebagai preservasi
dokumen dan mengantisipasi keusangan dokumen karena dimakan usia.
Unit Dokdata juga melakukan aktivitas ketik ulang (re-writting) untuk SNI-SNI
bertahun lama yang tulisannya sudah mulai pudar karena rendahnya kualitas tinta
yang digunakan.
20. CONTOH TINDAKAN PENGENDALIAN RISIKO (3)
Kebakaran (R9) mitigation, avoidance
Melakukan sosialisasi kepada staf di seluruh unit kerja untuk menghindari segala
tindakan yang dapat memicu kebakaran di dalam gedung, seperti merokok di area
terlarang, membuang punting rokok sembarangan dan juga penggunaan peralatan
listrik yang bijak.
Menyiapkan APAR (alat pemadam api ringan) di setiap lokasi yang strategis/mudah
dijangkau. Selain itu APAR yang tersedia juga harus dipelihara dengan baik
sehingga pada keadaan darurat dipastikan berfungsi dengan baik.
Memastikan detektor asap/api (sprinkle) berfungsi dengan baik dengan perawatan
yang berkelanjutan. Untuk melaksanakan tindakan tersebut, unit Dokdata harus
berkoordinasi dengan bagian Tata Usaha dan Rumah Tangga.
21. KESIMPULAN DAN SARAN
1. Unit Dokdata memang belum melakukan penilaian risiko yang mungkin muncul dari
kegiatan operasionalnya sehari-hari. Dengan adanya analisis desain implementasi ini,
diharapkan Unit Dokdata bisa lebih mengetahui secara pasti mengenai risiko-risiko yang
memiliki probabilitas dan dampak mulai dari low, medium dan high bagi manajemen.
2. Unit Dokdata hanya melihat risiko-risiko yang berdampak secara langsung pada
operasional kinerjanya tetapi kurang memperhatikan potensi risiko lainnya. Selain itu
perlakuan terhadap risiko yang ada pun masih kurang tepat sehingga risiko yang muncul
pun tidak terselesaikan/teratasi dengan baik. Misalnya, risiko yang seharusnya bisa
dikelola dengan cara berbagai risiko (risk sharing) tetapi hanya dilakukan tindakan
penerimaan risiko (risk acceptance) atau hanya dengan mitigasi/pengurangan risiko (risk
mitigation) bahkan hanya dengan menghindari risiko (risk avoidance). Dengan adanya
kajian ini, diharapkan Unit Dokdata lebih menyadari bahwa potensi pengelolaan risiko
bisa saja suatu risiko dikelola dengan kombinasi perlakuan risiko tersebut.
22. KESIMPULAN DAN SARAN (LANJUTAN…)
3. Berdasarkan kajian desain implementasi ISO 31000 sebagai pedoman
manajemen risiko, Unit Dokdata dapat menemukan risiko-risiko mulai dari level
low, medium hingga high. Penulis berupaya memberikan cara yang efektif untuk
mengelola risiko-risiko tersebut dengan mempertimbangkan sumberdaya dan
kondisi manajemen yang ada di Unit Dokdata.
4. Selanjutnya perlu dilakukan kembali analisis risiko untuk mengidentifikasi kembali
tingkat risiko yang telah dikelola. Selain itu juga untuk mengidentifkasi apakah
ada risiko yang tersisa setelah dilakukan perlakuan risiko. Risiko ini disebut
sebagai residual risk. Oleh karena itu, perlu adanya monitoring dan review dan
manajemen risiko adalah suatu proses yang berkelanjutan.
23. REFERENSI TAMBAHAN
ISO Guide 73:2009 Risk management - Vocabulary
ISO 31010:2009 Risk management – Risk assessment techniques
ISO/TR 31004:2013 Risk management - Guidance for the implementation of ISO
31000