ERM dan ISO 31000: Metode Manajemen Risiko yang Penting bagi Perusahaan

Masih bingung memilih antara ERM dan ISO 31000? Simak perbedaan kedua metode manajemen risiko tersebut.
—

Saat ini risiko bisnis semakin kompleks dan terus berubah. Ketidakpastian ekonomi, perubahan regulasi dan ancaman siber menjadi tantangan yang harus dihadapi setiap perusahaan. Tanpa sistem manajemen risiko yang solid, perusahaan rentan mengalami kerugian yang seharusnya bisa dicegah.

Dalam praktiknya, ada berbagai metode yang bisa digunakan perusahaan untuk mengelola risiko secara sistematis. Dua di antaranya dan paling banyak diimplementasikan adalah Enterprise Risk Management (ERM) dan ISO 31000. Keduanya memberikan pendekatan yang terstruktur dan komprehensif dalam mengelola risiko di berbagai level organisasi.

Pengertian Manajemen Risiko

Sebelum membahas metodenya, penting untuk memahami terlebih dahulu apa itu manajemen risiko.

Manajemen risiko menurut para ahli adalah proses terstruktur dan sistematis dalam mengidentifikasi, mengukur, memetakan, mengembangkan alternatif penanganan risiko, dan memonitor dan mengendalikan penanganan risiko.

Jika dalam konteks perusahaan, manajemen risiko berarti upaya untuk mengenali, mengevaluasi, dan mengatasi potensi ancaman terhadap aset, pendapatan, dan kegiatan operasional bisnis. Ancaman tersebut berasal dari berbagai faktor, seperti ketidakpastian finansial, kewajiban hukum, kendala teknologi, kegagalan perencanaan strategis, dan kejadian tak terduga seperti kecelakaan dan bencana alam.

Metode Manajemen Risiko

Sebenarnya ada banyak metode yang bisa dilakukan perusahaan untuk mengelola risiko. Namun, di antara berbagai pendekatan tersebut, Enterprise Risk Management (ERM) dan ISO 31000 adalah dua metode yang paling banyak diadaptasi oleh berbagai industri. Mari kita bahas satu per satu.

Apa itu Enterprise Risk Management (ERM)?

Secara sederhana, Enterprise Risk Management adalah pendekatan manajemen risiko yang dirancang untuk mengidentifikasi, menilai, dan menyiapkan diri menghadapi berbagai potensi risiko yang dapat menghambat perusahaan dalam mencapai tujuannya.

ERM bersifat firm-wide atau menyeluruh. Jika manajemen risiko tradisional menangani masalah secara terpisah di tiap departemen seperti risiko keuangan dan hukum saja, ERM mengintegrasikan pendekatan ini ke seluruh level organisasi. Fokus utamanya mencakup mitigasi kerugian sekaligus pemanfaatan risiko sebagai peluang untuk meningkatkan nilai perusahaan.

Komponen ERM

Salah satu pendekatan paling populer adalah Enterprise Risk Management (ERM) yang dikembangkan oleh Committee of Sponsoring Organizations of the Treadway Commission (COSO). Enterprise Risk Management framework menekankan lima komponen utama, yaitu:

1. Governance and Culture

Komponen ini menjadi dasar dari seluruh proses ERM. Mencakup penetapan tone at the top, struktur pengawasan risiko, dan pembentukan budaya sadar risiko di seluruh level organisasi.

2. Strategy and Objective-Setting

Manajemen risiko harus selaras dengan strategi bisnis perusahaan. Pada tahap ini, perusahaan menganalisis konteks bisnis, mendefinisikan risk appetite, dan memastikan tujuan organisasi mempertimbangkan faktor risiko.

3. Performance

Komponen ini mencakup proses identifikasi, penilaian, dan prioritas risiko yang dapat memengaruhi pencapaian tujuan perusahaan. Risiko yang telah diprioritaskan kemudian direspons dengan tindakan yang sesuai.

4. Review and Revision

Perusahaan perlu secara berkala mengevaluasi efektivitas penerapan ERM dan melakukan penyesuaian jika diperlukan, terutama saat terjadi perubahan signifikan dalam lingkungan bisnis.

5. Information, Communication, and Reporting

ERM membutuhkan informasi yang transparan dan terstruktur di seluruh organisasi. Komponen ini memastikan data risiko dikomunikasikan secara tepat kepada pihak yang berwenang untuk mendukung pengambilan keputusan.

Baca Juga: Mengenal Bisnis Model Canvas dan Manfaatnya bagi Perusahaan

Contoh Penerapan Enterprise Risk Management (ERM)

Berikut adalah contoh implementasi Enterprise Risk Management di perusahaan.

1. Pertamina (Indonesia)

Sebagai perusahaan energi milik negara, Pertamina menghadapi beberapa risiko, antara lain fluktuasi harga minyak dunia, risiko operasional di lapangan, serta risiko regulasi dan lingkungan.

Pertamina menerapkan ERM secara menyeluruh dengan membentuk fungsi manajemen risiko yang terintegrasi di seluruh lini bisnis. Beberapa langkah konkret yang dilakukan antara lain:

• Membentuk Risk Management Committee di tingkat korporat.
• Mengembangkan risk register yang mencakup seluruh unit bisnis.
• Menetapkan risk appetite dan risk tolerance yang selaras dengan strategi perusahaan.
• Melakukan review risiko secara berkala sebagai bagian dari siklus perencanaan bisnis.

Hasilnya, Pertamina mampu mengelola ketidakpastian bisnis dengan lebih terstruktur dan menjaga keberlangsungan operasional meski di tengah tekanan eksternal yang tinggi.

2. Microsoft (Global)

Microsoft adalah salah satu contoh perusahaan global yang menerapkan ERM secara baik. Dengan skala bisnis yang mencakup ratusan negara, risiko yang dihadapi pun sangat beragam, seperti risiko keamanan siber, perubahan regulasi, dan risiko reputasi.

Microsoft mengintegrasikan ERM ke dalam proses pengambilan keputusan strategis perusahaan melalui beberapa pendekatan, di antaranya:

• Membentuk Chief Risk Officer (CRO) yang bertanggung jawab langsung kepada dewan direksi.
• Mengidentifikasi risiko secara menyeluruh melalui pendekatan top-down dan bottom-up.
• Mengintegrasikan manajemen risiko ke dalam siklus perencanaan strategis tahunan.
• Melaporkan eksposur risiko secara transparan kepada publik melalui laporan tahunan.

Pendekatan ERM yang diterapkan Microsoft memungkinkan perusahaan untuk tetap inovatif sekaligus terlindungi dari berbagai ancaman yang dapat mengganggu operasional dan reputasi bisnisnya.

Nah, setelah membahas ERM, sekarang kita bahas metode berikutnya yaitu ISO 31000 Risk Management Guidelines. Jika ERM sering dianggap sebagai filosofi atau strategi, ISO 31000 adalah standar internasional yang memberikan panduan praktis agar manajemen risiko tersebut bisa berjalan secara sistematis.

Pengertian ISO 31000

ISO 31000 adalah standar internasional yang berisi guidelines untuk mengelola risiko yang dihadapi organisasi. ISO 31000 PDF bisa Anda unduh di situs ISO sebagai referensi implementasi di perusahaan.

Berbeda dengan standar ISO lainnya, seperti ISO 9001, ISO 31000 bersifat panduan dan tidak ditujukan untuk sertifikasi. Standar ini dirancang agar fleksibel sehingga dapat diterapkan oleh perusahaan apa pun, terlepas dari ukuran, sektor, dan jenis industrinya.

ISO 31000 memberikan panduan global mengenai:

• Prinsip manajemen risiko
• Kerangka kerja implementasi
• Proses identifikasi, analisis, dan evaluasi risiko

Manfaat ISO 31000

Penerapan ISO 31000 memberikan berbagai manfaat bagi organisasi, di antaranya:

• Meningkatkan Pengambilan Keputusan

ISO 31000 membantu membuat keputusan yang lebih baik dan terinformasi dengan mempertimbangkan risiko secara sistematis dalam setiap proses pengambilan keputusan.

• Meningkatkan Kepercayaan Pemangku Kepentingan

Dengan menerapkan standar manajemen risiko yang diakui secara internasional, perusahaan menunjukkan komitmennya terhadap tata kelola yang baik, sehingga meningkatkan kepercayaan investor, klien, dan mitra bisnis.

• Meningkatkan Efisiensi Operasional

Dengan mengidentifikasi dan mengelola risiko sejak awal, perusahaan dapat menghindari kerugian yang tidak perlu dan mengalokasikan sumber daya secara lebih efektif.

• Memastikan Kepatuhan Regulasi

ISO 31000 membantu perusahaan mengidentifikasi risiko kepatuhan terhadap regulasi yang berlaku, sehingga meminimalkan potensi sanksi hukum dan denda.

• Berlaku Universal untuk Semua Jenis Organisasi

ISO 31000 dapat diterapkan oleh organisasi dari berbagai skala dan sektor, seperti perusahaan swasta, BUMN, lembaga pemerintah, dan organisasi nirlaba.

Baca Juga: Jenis-Jenis Training dalam Perusahaan untuk Karyawan

Prinsip ISO 31000

ISO 31000:2018 menetapkan delapan prinsip utama yang menjadi landasan manajemen risiko. Tujuan akhirnya adalah penciptaan dan perlindungan nilai (Value Creation and Protection).

1. Integrated: Manajemen risiko harus menjadi bagian yang tidak terpisahkan dari seluruh aktivitas dan proses organisasi, bukan berdiri sendiri sebagai fungsi yang terpisah.
2. Structured and Comprehensive: Pendekatan yang terstruktur dan menyeluruh dalam mengelola risiko akan menghasilkan output yang konsisten dan dapat dibandingkan.
3. Customized: Framework dan proses manajemen risiko harus disesuaikan dengan konteks eksternal dan internal organisasi, termasuk tujuan dan budaya perusahaan.
4. Inclusive: Keterlibatan pemangku kepentingan yang tepat dan tepat waktu memungkinkan pengetahuan, sudut pandang, dan persepsi mereka dipertimbangkan dalam proses manajemen risiko.
5. Dynamic: Risiko dapat muncul, berubah, atau menghilang seiring perubahan konteks organisasi. Manajemen risiko harus mampu mengantisipasi dan merespons perubahan tersebut secara tepat.
6. Best Available Information: Proses manajemen risiko harus didasarkan pada informasi yang paling relevan dan terkini, dengan tetap mempertimbangkan keterbatasan dan ketidakpastian data yang ada.
7. Human and Cultural Factors: Perilaku manusia dan budaya organisasi sangat memengaruhi efektivitas manajemen risiko di setiap tingkatan organisasi.
8. Continual Improvement: Manajemen risiko harus terus disempurnakan melalui pembelajaran dan pengalaman, sehingga semakin matang dan efektif dari waktu ke waktu.

Framework ISO 31000

Framework ISO 31000:2018 terdiri dari 6 komponen utama yang saling berkaitan dan membentuk siklus yang berkelanjutan. Bagi Anda yang ingin mempelajari lebih detail standar ini, dokumen resmi ISO 31000 risk management pdf dapat diakses melalui situs resmi ISO di iso.org.

• Leadership and Commitment (Kepemimpinan dan Komitmen)

Keberhasilan penerapan manajemen risiko sangat bergantung pada komitmen dari pimpinan dan dewan direksi. Mereka bertanggung jawab memastikan manajemen risiko terintegrasi ke dalam seluruh strategi dan operasional organisasi.

• Integration (Integrasi)

Manajemen risiko tidak boleh berdiri sendiri, melainkan harus diintegrasikan ke dalam seluruh struktur, proses, dan fungsi organisasi, termasuk dalam pengambilan keputusan di semua level.

• Design (Perancangan)

Pada tahap ini, organisasi merancang framework manajemen risiko yang sesuai dengan konteks internal dan eksternalnya. Design mencakup pemahaman terhadap organisasi, penetapan kebijakan risiko, serta penentuan peran dan tanggung jawab.

• Implementation (Implementasi)

Organisasi menerapkan framework dan proses manajemen risiko yang telah dirancang ke dalam praktik sesungguhnya. Keberhasilan implementasi sangat bergantung pada pemahaman dan keterlibatan seluruh anggota organisasi.

• Evaluation (Evaluasi)

Organisasi secara berkala mengevaluasi kinerja framework manajemen risiko untuk memastikan efektivitasnya dan mengidentifikasi area yang perlu diperbaiki.

• Improvement (Peningkatan)

Berdasarkan hasil evaluasi, organisasi melakukan penyesuaian dan peningkatan secara berkelanjutan agar framework manajemen risiko tetap relevan dan efektif seiring perkembangan bisnis.

Baca Juga: Pengertian, Contoh & Proses Manajemen Inventaris Perusahaan

Contoh Implementasi ISO 31000 di Perusahaan

Misalnya PLN (Perusahaan Listrik Negara) ingin menerapkan ISO 31000 untuk menghadapi risiko operasional infrastruktur, risiko keuangan, dan risiko bencana alam yang dapat mengganggu pasokan listrik.

Untuk mengelola risiko tersebut secara terstruktur, PLN mengadopsi ISO 31000 sebagai standar manajemen risikonya. Beberapa langkah implementasi yang dilakukan antara lain:

• Menyusun kebijakan manajemen risiko yang mengacu pada prinsip dan framework ISO 31000
• Membentuk unit manajemen risiko di tingkat korporat maupun regional untuk memastikan pengelolaan risiko berjalan di seluruh lini organisasi
• Mengembangkan risk register yang mencakup identifikasi, analisis, dan rencana mitigasi risiko di setiap unit bisnis
• Melakukan pemantauan dan pelaporan risiko secara berkala kepada direksi dan dewan komisaris
• Mengintegrasikan manajemen risiko ke dalam proses perencanaan strategis dan anggaran tahunan

Dengan menerapkan ISO 31000, PLN mampu mengelola risiko secara lebih proaktif, meningkatkan keandalan pasokan listrik, serta memperkuat akuntabilitas dan transparansi kepada pemangku kepentingan.

—

Manajemen risiko adalah investasi strategis perusahaan yang menentukan ketahanan dan keberlangsungan bisnis jangka panjang. Metode ERM dan ISO 31000 masing-masing memberikan pendekatan yang terstruktur dan komprehensif dalam mengelola risiko.

ERM sebagai framework menyeluruh yang mengintegrasikan manajemen risiko ke dalam strategi bisnis perusahaan, sementara ISO 31000 memberikan standar dan panduan internasional yang fleksibel dan dapat disesuaikan dengan kebutuhan organisasi dari berbagai skala dan industri.

Keduanya bukan pendekatan yang saling bertentangan, bahkan banyak perusahaan yang menggabungkan keduanya untuk membangun sistem manajemen risiko yang lebih efektif.

Jika perusahaan Anda masih bingung menentukan metode mana yang paling sesuai dengan kebutuhan bisnis, Ruang Kerja dapat membantu Anda untuk menemukan pendekatan yang tepat. Yuk, coba tanyakan pada konsultan Ruang Kerja sekarang!

Referensi:

Adam Hayes. April 10, 2025. Enterprise Risk Management (ERM): What It Is and How It Works [Daring]. Tautan: https://www.investopedia.com/terms/e/enterprise-risk-management.asp. Diakses 17 Maret 2026.

IAS. Sertifikasi ISO 31000 [Daring]. Tautan: https://ias-indonesia.org/sertifikasi-iso-31000/. Diakses 17 Maret 2026.

ISO. ISO 31000:2018 Risk management — Guidelines [Daring]. Tautan: https://www.iso.org/standard/65694.html. Diakses 17 Maret 2026.

LMS SPADA INDONESIA. Pemahaman Manajemen Risiko: Arti manajemen risiko menurut ahli [Daring]. Tautan: https://lmsspada.kemdiktisaintek.go.id/mod/forum/discuss.php?d=3429. Diakses 17 Maret 2026.