Manajemen risiko yang sering ditugaskan kepada manajer risiko menjadi cara berpikir dan pengambilan keputusan mendasar di seluruh organisasi. Untuk mencapai sertifikasi ISO, bisnis harus menunjukkan pemikiran berbasis risiko di semua tingkatan, mulai dari tujuan dan strategi bisnis, hingga sistem, proses, serta produk.
Mari kita lihat lebih dekat pemikiran berbasis risiko dalam ISO 9001. Kita akan mulai dengan meninjau cara mengidentifikasi risiko, lalu mempelajari beberapa teknik yang digunakan dalam manajemen risiko. Terakhir, kami akan menunjukkan cara menggunakan teknik ini dan memasukkannya ke dalam sistem manajemen mutu (SMM) Anda untuk mencapai pemikiran berbasis risiko.
Mengidentifikasi Risiko
Cara organisasi menetapkan identifikasi risiko sangat bergantung pada konteks organisasi, persyaratan pemangku kepentingannya, ukurannya, budayanya, dan sifat produk atau layanannya. Beberapa klausul ISO 9001:2015 secara eksplisit menyebutkan identifikasi risiko.
Model bisa sangat berguna untuk mengidentifikasi risiko. Analisis SWOT, misalnya, adalah alat sederhana namun ampuh yang digunakan untuk membantu organisasi mengidentifikasi kekuatan, kelemahan, peluang, dan ancaman internal dan eksternal mereka. Model yang efektif untuk menentukan risiko eksternal adalah analisis PESTEL (political, economic, social, technological, environmental and legal) untuk mengidentifikasi adanya risiko.
Menilai Risiko
Penilaian risiko melibatkan penentuan probabilitas risiko dan tingkat keparahannya jika terjadi. Penting untuk diingat bahwa tidak ada korelasi antara probabilitas dan tingkat keparahan, dan risiko belum tentu merupakan bencana besar hanya karena kemungkinan besar akan terjadi. Untuk sebagian besar, kita dikelilingi oleh risiko, yang sebagian besar kecil atau tidak signifikan.
Probabilitas risiko adalah kemungkinan kejadian risiko benar-benar terjadi. Probabilitas dapat diberi peringkat dari ‘jauh’ (atau ‘sangat tidak mungkin’) hingga ‘sangat mungkin’.
Dalam hal tingkat keparahan, risiko dapat dinilai dari tidak signifikan hingga katastropik. Keparahan mengacu pada dampak jika risiko terjadi. Gangguan tergantung pada ukuran dan sifat organisasi. Misalnya, sementara perusahaan yang lebih kecil mungkin menganggap kebakaran gudang sebagai bencana, organisasi yang lebih besar mungkin memandang bencana sebagai armada pesawat yang dilarang terbang karena penguncian global.
Matriks di bawah memplot tingkat keparahan risiko terhadap kemungkinan terjadinya. Semakin “hangat” selnya, semakin besar ancamannya. Sel darah merah menunjukkan tingkat risiko yang umumnya tidak dapat diterima, sedangkan yang berwarna kuning dianggap membawa risiko yang ALARP (As Low As Reasonably Practical). Sel hijau mewakili risiko yang dapat ditoleransi atau diabaikan.
Baca juga : peranan auditor dalam ISO
Berurusan dengan Risiko
Menerapkan konsep penilaian risiko untuk setiap risiko yang teridentifikasi memungkinkan organisasi untuk memprioritaskan risiko. Semakin “hangat” klasifikasi risiko, semakin tinggi prioritasnya. Respons terhadap risiko sering disebut sebagai Proses 4 T: Tolerate, Treat, Transfer, Terminate.
- Tolerate. Menoleransi risiko adalah di mana tidak ada tindakan yang diambil untuk mengurangi risiko. Ini bisa jadi karena mengurangi atau menghilangkan risiko tidak efektif dari segi biaya, atau karena kemungkinannya sangat jauh sehingga dianggap dapat diterima. Contohnya mungkin termasuk hotel yang dibangun di zona tsunami. Risiko juga dapat ditoleransi jika tingkat keparahannya cukup rendah sehingga dapat diabaikan, atau jika disertai manfaat yang melebihi dampak negatifnya.
- Treat. Mengobati risiko berarti menanganinya secara langsung. Strategi yang perlu dipertimbangkan termasuk mengurangi risiko untuk meminimalkan dampaknya (keparahan), atau mengurangi kemungkinan terjadinya. Jika hotel Anda dibangun di Patahan San Andreas, misalnya, Anda dapat mempertimbangkan untuk memperkuatnya guna mengurangi kerusakan yang parah jika terjadi gempa. Dan untuk mengurangi kemungkinan kebakaran gudang, Anda dapat membuang semua bahan yang mudah terbakar di sekitarnya.
- Transfer. Risiko dapat ditransfer dalam beberapa cara, yang paling umum mungkin adalah asuransi. Opsi ini sangat efektif untuk mengelola risiko keuangan atau risiko terhadap aset (kebakaran atau pencurian, misalnya). Pengabaian kewajiban juga dapat digunakan untuk mentransfer risiko. Pilihan lain termasuk menyiapkan struktur perusahaan di mana perusahaan yang beroperasi tanpa aset mengambil risiko sementara perusahaan yang memiliki aset adalah langkah yang dihilangkan.
- Terminate. Mengakhiri risiko seringkali merupakan pilihan yang paling sederhana namun paling sering diabaikan. Jika risiko dapat dihilangkan tanpa mempengaruhi organisasi secara material, maka opsi ini harus dipertimbangkan terlebih dahulu. Risiko dapat dihilangkan dengan mengubah proses yang berisiko atau menghentikan produk yang berisiko. Dalam contoh hotel yang dibangun di Patahan San Andreas, penjualan dan relokasi akan menghilangkan risiko.
Setelah risiko diidentifikasi dan diprioritaskan, Proses 4 T menjadi alat yang sangat berguna. Tetapi manajemen risiko dalam ISO 9001 tidak statis. Organisasi perlu terus-menerus memantau, mengukur, dan mengevaluasi keefektifan tindakan yang mereka ambil untuk mengatasi risiko, dan harus menilai ulang risiko secara berkala dan pendekatan mereka untuk melawannya.

Dari Manajemen Risiko ke Pemikiran Berbasis Risiko
Sejauh ini, kita telah membahas konsep utama manajemen risiko. Tapi bagaimana manajemen risiko berbeda dari pemikiran berbasis risiko di ISO 9001?
Pertama, pemikiran berbasis risiko dalam ISO 9001 mempertimbangkan risiko dan peluang. Peluang pada dasarnya kebalikan dari risiko dan dapat dikelola dengan menggunakan teknik yang sama. Saat memprioritaskan, Anda akan mencari kombinasi kemungkinan dan dampak positif. Dan tindakan Anda akan berusaha untuk menumbuhkan peluang.
Kedua, pemikiran berbasis risiko berarti bahwa organisasi sepenuhnya mengintegrasikan konsep manajemen risiko (dan peluang) dalam operasi mereka. Ada banyak persyaratan dalam standar yang menyerukan pertimbangan risiko dan peluang. Seringkali proses formal, termasuk dokumentasi, diperlukan untuk menangani risiko dan peluang ini.
Ketiga, pemikiran berbasis risiko berarti bahwa pengambil keputusan tidak hanya memahami konsep manajemen risiko, tetapi memiliki konsep ini tertanam dalam pemikiran mereka dan menggunakannya sebagai landasan pengambilan keputusan. Ini sering dilakukan tanpa proses manajemen risiko yang formal dan terdokumentasi. Seperti disebutkan sebelumnya, kita selalu dikelilingi oleh risiko. Mengatasi masing-masing melalui proses formal dan terdokumentasi akan membuat kegiatan lain terhenti. Tetapi memiliki pemahaman mendasar tentang probabilitas dan tingkat keparahan, serta cara menghadapi risiko (4 T), memungkinkan pembuat keputusan menangani manajemen risiko dengan cepat. Inilah yang kami sebut pemikiran berbasis risiko.
Kesimpulan
Seiring dengan Pendekatan Proses dan Metodologi Plan-Do-Check-Act (PDCA), pemikiran berbasis risiko merupakan komponen integral dari ISO 9001 dan salah satu yang perlu dipahami oleh para eksekutif puncak dan manajer departemen. Ingat juga bahwa ketika saatnya untuk mendapatkan sertifikasi, auditor eksternal akan berharap untuk melihat bukti pendekatan organisasi Anda terhadap risiko.