Training Kalibrasi – Risk Opportunity ISO 9001 | Kalau kamu sudah menjalankan ISO 9001, besar kemungkinan kamu juga sudah punya risk register. Masalahnya, di banyak organisasi risk register itu hidupnya hanya saat audit. Setelah audit selesai, file-nya kembali tidur di folder, sementara keputusan harian tetap berjalan seperti biasa.
Padahal, arah penekanan ISO 9001:2026 cenderung membuat risk and opportunity semakin penting sebagai penghubung antara konteks organisasi, kebutuhan stakeholder, target mutu, dan rencana aksi yang benar-benar dijalankan.
Di artikel ini saya bahas kesalahan umum risk based thinking, cara membangun alur yang nyambung dari konteks sampai aksi, metode penilaian risiko yang sederhana, serta bukti efektivitas tindakan yang biasanya disukai auditor.
Kesalahan umum risk based thinking di ISO 9001
Risk based thinking di ISO 9001 seharusnya membantu organisasi bekerja lebih stabil dan mencegah masalah berulang. Tapi di lapangan, sering berubah menjadi aktivitas administrasi: mengisi tabel risiko tanpa dampak nyata ke keputusan.
Risk register ada, tapi tidak menggerakkan aksi
Ini kesalahan paling sering. Tanda-tandanya mudah dikenali:
- Risk register penuh daftar risiko umum, tapi tidak ada prioritas yang jelas
- Kolom tindakan hanya berisi kalimat generik seperti monitoring atau sosialisasi
- Tidak ada PIC, tidak ada due date, tidak ada status
- Risiko tinggi tetap tinggi dari tahun ke tahun, seolah tidak pernah disentuh
- Target mutu dibuat sendiri, tidak terkait risiko dan kebutuhan pelanggan
- Perubahan besar terjadi di proses, tapi tidak pernah memicu update risiko
Kalau auditor melihat pola ini, mereka biasanya tidak hanya menilai risk register, tapi mempertanyakan kematangan sistem: apakah organisasi benar-benar mengendalikan proses atau hanya siap audit.
Cara menyusun alur yang nyambung
Kunci risk and opportunity yang kuat bukan rumus skoring yang rumit, tapi alur logis yang membuat semua orang paham: kenapa risiko ini penting, apa dampaknya, dan apa tindakan nyatanya.
Konteks → stakeholder → risiko/peluang → objective → aksi
Saya sarankan kamu membangun alur dengan urutan berikut:
1) Konteks organisasi
Mulai dari isu internal dan eksternal yang nyata. Contoh: fluktuasi permintaan, perubahan regulasi, gangguan supply chain, ketergantungan pada personel kunci, teknologi baru, atau perubahan iklim jika relevan. Konteks tidak harus panjang, tapi harus jujur dan aktual.
2) Stakeholder
Tuliskan pihak berkepentingan yang memang memengaruhi kualitas: pelanggan, regulator, supplier, karyawan, pemilik, masyarakat sekitar, bahkan mitra logistik. Fokus pada kebutuhan yang berdampak ke mutu: ketepatan waktu, konsistensi spesifikasi, traceability, keamanan data, respons keluhan, atau compliance.
3) Risiko dan peluang
Turunkan konteks dan stakeholder menjadi risiko dan peluang yang spesifik. Hindari risiko yang terlalu umum. Contoh yang spesifik itu seperti:
- Risiko keterlambatan bahan baku dari supplier A menyebabkan keterlambatan pengiriman
- Risiko data inspeksi tidak valid karena input manual tanpa verifikasi
- Peluang memperbaiki layout proses untuk mengurangi rework
Baca juga: Digitalisasi dan AI dalam ISO 9001:2026: Apa Yang Harus Disiapkan di QMS
4) Objective mutu
Objective bukan daftar target terpisah. Objective harus menjawab risiko prioritas dan kebutuhan stakeholder. Misalnya:
- Menurunkan keluhan pelanggan 20 persen dalam 6 bulan
- Meningkatkan on time delivery menjadi 95 persen
- Menurunkan rework rate dari 3 persen menjadi 1,5 persen
5) Aksi dan kontrol
Aksi harus operasional: ada PIC, due date, bukti implementasi, dan cara mengecek efektivitas. Satu risiko minimal punya satu kontrol inti yang jelas. Jangan terlalu banyak, yang penting jalan.
Kalau alur ini nyambung, risk register bukan lagi dokumen QA, tapi alat manajemen.
Metode penilaian risiko yang sederhana
Banyak organisasi terjebak membuat matriks skoring yang rumit, padahal yang dibutuhkan auditor adalah konsistensi penilaian dan alasan logis di balik prioritas.
Skoring dampak dan kemungkinan, kriteria penerimaan
Metode sederhana yang hampir selalu cukup:
1) Skor dampak (Impact) 1–5
Nilai dampak ke:
- kualitas produk/layanan
- kepuasan pelanggan
- kepatuhan/regulasi
- biaya kegagalan atau downtime
Buat definisi singkat untuk tiap angka. Misalnya, skor 5 berarti berpotensi menyebabkan kegagalan besar, recall, atau pelanggaran kepatuhan, skor 3 berarti menyebabkan rework atau keluhan sedang, skor 1 berarti dampak kecil dan mudah diperbaiki.
2) Skor kemungkinan (Likelihood) 1–5
Nilai seberapa sering atau seberapa mungkin terjadi. Gunakan data jika ada: tren keluhan, downtime, keterlambatan supplier, reject rate.
3) Risk rating = Impact x Likelihood
Lalu tentukan kriteria penerimaan:
- 1–6: diterima, monitoring
- 8–12: perlu tindakan terencana
- 15–25: wajib tindakan prioritas dan evaluasi rutin
Kriteria ini boleh berbeda sesuai industri, tapi harus konsisten dan disepakati.
4) Gunakan risk owner
Tentukan pemilik risiko dari process owner, bukan QA. QA berperan sebagai fasilitator, bukan pemilik semua risiko.
Dengan cara ini, risk register menjadi lebih hidup karena pemiliknya jelas.
Bukti efektivitas tindakan
Tindakan untuk risiko sering dibuat, tapi jarang diuji efektivitasnya. Padahal, inilah titik yang paling disukai auditor: bukan hanya kamu melakukan tindakan, tapi kamu membuktikan tindakan itu bekerja.
Indikator, tren, evaluasi, improvement
Bukti efektivitas biasanya kuat jika kamu punya:
Indikator yang terkait langsung
Contoh:
- Risiko keterlambatan supply chain → indikator on time delivery supplier, lead time, backlog
- Risiko data inspeksi tidak valid → indikator error rate input, hasil verifikasi sampling, audit trail
- Risiko rework tinggi → indikator rework rate, scrap cost, first pass yield
Tren sebelum dan sesudah tindakan
Tidak harus statistik rumit. Grafik 3 bulan sebelum dan 3 bulan sesudah sudah cukup untuk menunjukkan perubahan.
Evaluasi berkala
Masukkan ke monthly quality review atau rapat operasional. Di sini terlihat bahwa risiko bukan dokumen, tapi agenda manajemen.
Improvement berulang
Kalau tindakan belum efektif, ada revisi kontrol. Ini menunjukkan sistem belajar, bukan sekadar menutup kolom status: done.
Sebagai penutup, risk and opportunity yang matang itu bukan yang tabelnya paling rapi, tapi yang membuat organisasi lebih stabil, keputusan lebih tajam, dan masalah berulang makin jarang.
Kalau kamu bisa menyambungkan konteks, stakeholder, risiko/peluang, objective, dan aksi secara konsisten, kamu bukan hanya siap ISO 9001:2026, tapi juga membuat QMS benar-benar berguna untuk operasional.
Kalau risk register di tempat kamu masih jadi dokumen audit saja, gunakan Jasa Konsultan ISO dari SPIN Sinergi untuk menyusun alur konteks stakeholder risiko objective aksi, lengkap dengan skoring, action tracker, dan bukti efektivitasnya. Hubungi kami sekarang untuk pendampingan yang paling pas.
