IT RISK MANAGEMENT

 

Steven Ciputra dan Benfano Soewito

Apa itu IT Risk Management?

          Risiko didefinisikan sebagai hasil kemungkinan atas kejadian dan dampak dari sebuah kejadian yang dapat terjadi. Dalam teknologi informasi, risiko didefinisikan sebagai hasil dari nilai asset dan kerentanan sistem terhadap risiko dan ancaman yang ditimbulkannya bagi organisasi.

IT Risk Management adalah penerapan dari prinsip-prinisip manajemen risiko terhadap perusahaan yang memanfaatkan teknologi informasi dengan tujuan untuk dapat mengelola risiko-risiko yang berhubungan dengan perusahaan tersebut. Risiko-risiko yang dikelola meliputi kepemilikan, operasional, keterkaitan, dampak, dan penggunaan dari teknologi informasi pada sebuah perusahaan. Penerapan ini dibutuhkan karena dengan mengidentifikasi suatu ancaman, dapat memahami risiko yang akan terjadi dan meminimalisir kerugian yang akan terjadi terhadap suatu perusahaan.

Siapa yang melalukan IT Risk Management?

Pihak yang bertanggung jawab untuk mengidentifikasi risiko adalah seorang risk management officer, berdasarkan Glassdor dan Robert Half  yang dilakukan oleh seorang risk management officer yaitu:

  • Mengindentifikasi risiko keselamatan, finansial, dan kemanan yang mungkin dihadapi oleh perusahaan
  • Menyiapkan sebuah rencana dan tidakan untuk mengurangi faktor risiko
  • Mengumpulkan sebuah informasi dari klien seperti pendapatan, asset dan utang
  • Mengelola kebijakan asuransi perusahaan
  • Melakukan risk evaluation (memberikan penilaian terhadap cara perusahaan menangani risiko yang sebelumnya)
  • Melakukan audit terhadap kebijakan dan kepatuhan pengambilan risiko
  • Mendokumentasikan catatan kebijakan dan klain asuransi perusahaan
  • Membangun kesadaran mengenai risiko pada staf perusahaan dengan memberikan penyuluhan atau pelatihan.

Kualifikasi yang harus dimiliki oleh seorang risk management officer :

  • Problem solving, keahlian yang membutuhkan banyak strategi untuk dapat menganalisa dan merencanakan berbagai tindakan dalam penyelesaian masalah/
  • Analisis yang baik, keahlian yang dibutuhkan untuk dapat menemukan kemungkinan risiko dan dapat menemukan solusi terbaik untuk mencegahnya.
  • Memahami bisnis, keahlian yang dibutuhkan untuk memahami cara kerja bisnis serta semua faktor inter dan eksternalnya.
  • Komunikasi/negosiasi/diplomasi, keahlian yang dibutuhkan untuk dapat berkomunikasi yang baik dengan petinggi dan staff di kantor, berkomunikasi untuk memutuskan rencana yang terbaik, menyakinkan staf untuk mulai sadar akan ragamnya risiko dan dapat berkomunikasi untuk menyakinkan seseorang atau para petinggi perusahaan.
  • Menguasai numerik, keahlian yang dibutuhkan untuk menganalisis yang melibatkan banyak angka dan biaya, perkiraan risiko, probabilitas.
  • Dapat bekerja dibawah tekanan, risiko dapat berubah dalam sekejap Ketika suatu risiko terjadi dan harus memperbaharui stategi dan bereaksi pada saat itu juga untuk menyelesaikan masalah. Dalam mengambil keputusan harus memerlukan ketenangan, dan tidak salah mengambil keputusan.

 

Apa keuntungan menerapkan IT Risk Management?

Berdasarkan dari Ramli Manfaat dalam menerapkan manajemen risiko antara lain

  • Menjamin kelangsungan usaha dengan mengurangi risiko dari setiap kegiatan yang mengandung risiko
  • Menekan biaya untuk penanggulangan kejadian yang tidak diinginkan
  • Menimbulkan rasa aman dikalangan pemegang saham mengenai kelangsungan dan keamanan investasinya
  • Meningkatkan pemahaman dan kesadaran mengenai risiko operasi bagi setiap unsur dalam organisasi/ perusahaan
  • Memenuhi persyaratan perundangan yang berlaku

(Ramli, Soehatman.“Pedoman Praktis Manajemen Risiko Dalam Perspektif K3 OHS Risk Management – hal 4”. Jakarta : PT.Dian Rakyat. 2010)

         

Berdasarkan Osler, memiliki manfaat khusus dari menerapkan risk management program, seperti:

  • Melihat risiko yang tidak terlihat, program management risiko merupakan pencegahan yang komprehensif dengan memanfaatkan tim ahli untuk mengidentifikasi dan memberikan pemahanan yang lebih dalam tetang semua jenis risiko
  • Memberikan wawasan dan dukungan kepada direksi, anggota dewan akan merasa sulit untuk mengidentifikasi risiko dikarenakan diluar bidang keahlian dan pengalamannya. Sehingga dengan menyediakan sumber daya dan layanan konsultasi untuk lebih memahami potensi-potensi risiko yang dapat terjadi
  • Mengurangi kewajiban bisnis, pemegang saham semakin melihat risiko litigasi sebagai kewajiban bisnis. Maka dengan mengurangi risiko litigasi di tahap awal membuat perusahaan menjadi investasi yang lebih menarik.
  • Membatu perusahaan untuk meminimalisir permasalahan finansial perusahaan.
  • Meningkatkan kualitas pelayanan dengan berkurangnya risiko yang terjadi.

 

Apa Penyebab terjadinya Risiko?

          Mayoritas terjadinya  sebuah risiko bukan dikarenakan hal teknis, melainkan kegagalan  dalam proses pengawasan dan tatakelola organisasi seperti mengabaikan secara sengaja atau tidak sengaja dalam  proses mengambil keputusan saat mengindentifikasi suatu bisnis proses terhadap resikonya. Tatakekola IT  yang tidak efektif, atau kompleksitas  yang tidak terkedali dan kurangnya kesadaran  terhadap risiko juga menjadi penyebab munculnya risiko terjadi.

Tahapan Menetapkan Manajemen Risiko

  1. Plan Risk Management

Merencanakan secara menyeluruh untuk sebuah project seperti menerapkan informasi penting yang diperukan untuk melakukan proses selanjutnya. Daftar sebagian dari beberapa item yang tercakup seperti anggaran, kategori risiko, toleransi risiko, definisi probabilitas dan dampak risiko.sebagai contoh memutuskan risiko terhadap dampak proyek seperti

 

Tabel 1: Nilai tingkat kemungkinan

Kemungkinan Nilai probabilitas
Almost certain 5 > 90%
Likely 4 61 – 89%
Moderate 3 40 – 60%
Unlikely 2 10 – 39%
Rare 1 < 10%

 

Tabel 2: Nilai dampak dari risiko, yang berdampak terhadap asset, nama baik perusahaan, dsb.

Kemungkinan Nilai
Catastrophic 5
Major 4
Moderate 3
Minor 2
Insignificant 1

 

 

Tabel 3: Level risiko

  1. Indentify Risk

Mengindentifikasi sebanyak mungkin ancaman yang dapat terjadi dan dampak secara spesifik.
Teknik yang dapat digunakan:
– Delphi : Sebuah teknik yang digunakan untuk membuat keputusan tentang isu-isu kompleks dengan memanfaatkan keahlian individu. Teknik ini kadang-kadang disebut sebagai teknik “Wide-band Delphi”. Sebuah teknik yang biasa digunakan untuk memperkirakan probabilitas dan hasil dari peristiwa masa depan.

– Analisis SWOT,  adalah singkatan dari Strengths (kekuatan), Weaknesses (kelemahan), Opportunities (peluang), dan Threats (ancaman)Analisis SWOT mengatur kekuatan, kelemahan, peluang, dan ancaman utama Anda ke dalam daftar yang terorganisir dan biasanya disajikan dalam bilah kisi-kisi yang sederhana.

  1. Qualify risks
    Memutuskan risiko yang memiliki prioritas tertinggi dan memberikan peringkat, dengan cara membuat matriks probabilitas/dampak(P/I)
  2. Quantify risks
    Merupakan analisis numerik dari risiko yang diprioritaskan yang mungkin paling berdampak besar pada tujuan proyek.
    terdapat 4 teknik yang dapat digunakan:
    – Expected Monetary Value: mengalikan probabilitas setiap risiko dengan dampaknya dalam satuan uang atau hari
    – Decision Tree Analysis: pengambilan keputusan yang menggabungkan probabilitas
    – Sensitivity Analysis: sebuah metode untuk menentukan risiko mana yang paling berdampak pada proyek yang diukur dengan berapa tujuan seperti menaikkan atau menurunkan biaya proyek
    – Monte Carlo Simulation: Simulasi proyek untuk memastikan kemungkinan pencapaian target tertentu.

 

  1. Plan risk responses

Mengidentifikas, memprioritaskan dan menganalisis risiko secara numerik, ada emapat kemungkinan respons terhadap ancaman
– Avoid: menghilangkan ancaman sepenuhnya atau melindungi proyek dari dampaknya
– Transfer: risiko dan kepemilikan respons dialihkan ke pihak ketiga.

 

  1. Monitor and control risks
    Melakukan risk management dan respons, mengevaluasi seberapa efektif respons risiko.

 

 

Bagaimana cara menghitung Risiko?

Menghitung risiko dengan memasukkan komponen likelihood, value, control dan uncertainty. Dengan rumus:

Risk = (likelihood x value) x (1 – % risk already controlled + uncertainty)

  • Likelihood di mempunyai nilai 0.1 – 1.0. Value yang menunjukan seberapa besar tingkat risiko yang sudah di indentifikasikan, atau di dapat dilihat dari segi tinggi rendahnya nilai dari sebuah asset.
  • Risk already controlled adalah bagaimana perusahaan dapat mengendalikan risiko tersebut.
  • Uncertainty adalah berdasarkan pengetahuan tentang risiko tersebut.

 

Sebagai contoh:

Database mati pada sebuah perusahaan penjualan online, memiliki Likelihood  1, karena database merupakah hal penting dalam suatu perusahaan online, memiliki value 90 dengan pertimbangkan dapat berdampak pada nama baik perusahaan, Risk already controlled memiliki nilai 0.5 dikarenakan dapat di handle oleh tim database.

Risk = (1 x 90) x (1 – 0.5 + 0.1)

Risk =  90  x 0.6

Risk =  54

 

Parameter apa saja yang diperlukan untuk menghitung resiko?

Dalam penilaian risiko harus dilakukan secara sistematis, iteratif, dan kolaboratif, dengan memanfaatkan pengetahuan dan pandangan para pemangku kepentingan.
Proses penilaian risiko terdiri dari tiga unsur yaitu:

a. Identifikasi Risiko
Dilakukan untuk menggali kejadian dalam pelaksanaan tindak dan kegiatan yang mungkin dapat menghambat tujuan , identifikasi risiko menurpakan proses menetapkan apa, dimana, kapan , mengapa dan bagaimana suatu dapat terjadi, sehingga dapat berdampak negative terhadap pencapaian tujuan.
Output identifikasi risiko berupa profil risiko yang terdiri dari daftar risiko yang memuat informasi tentang peristiwa risiko, pemilik risiko, penyebab risiko, kegiatan pengendalian risiko yang sudah ada, dan sisa risiko setiap tindakan atau kegiatan yang dinilai risikonya.

b. Analisis Risiko
Proses yang sistematis untuk menentukan seberapa sering suatu peristiwa dan dampak risiko mungkin terjadi dan sebarapa besar konsekuensi yang di timbulkan dari pertistiwa tersebut.
Level risiko ditentukan oleh dua hal yaitu level frekuensi dan level konsekuensi. Level risiko yaitu level besar kecilnya atau tingkatan suatu risiko. Level frekuensi (probabilitas) adalah besar kecilnya kemungkinan terjadinya risiko atau kekerapan kejadian suatu risiko.

c. Evaluasi Risiko
Proses untuk membantu pengambilan keputusan berdasarkan analisis risiko atau membandingan antara level risiko yang ditemukan selama proses analisis dengan kriteria risiko yang ditetapkan sebelumnya.

Referensi:

https://sis.binus.ac.id/2019/04/08/it-risk-management/

https://www.glassdoor.com/Job-Descriptions/Risk-Manager.htm

https://www.roberthalf.com.au/employers/financial-services/risk-management-jobs

https://www.brightnetwork.co.uk/career-path-guides/insurance-risk-management/skills-you-need-risk-management/

https://www.osler.com/en/resources/governance/2014/risk-management/6-benefits-of-a-risk-management-program

https://slideplayer.info/slide/12281517/72/images/5/Penyebab+Risiko+TI.jpg

https://cpssoft.com/blog/bisnis/pengertian-analisis-swot/

https://www.projectmanagement.com/contentPages/wiki.cfm?ID=233600&thisPageURL=/wikis/233600/Delphi-Technique#_=_

https://projectmanagementacademy.net/articles/risk-management/

https://mti.binus.ac.id/2016/03/24/menghitung-resiko/

Sistem Manajemen Pemeliharaan Kapal Berbasis Manajemen Risiko: Aplikasi Manajemen Risiko Dalam Pemeliharaan Kapal Bagian Ke 5 (smpemeliharaankapal.blogspot.com)

Benfano Soewito, M.Sc., Ph.D