RISK MANAGEMENT DAN PENGARUHNYA TERHADAP ROI (RISK OF INVESTMENT)
Robertus Andi dan Benfano Soewito
Introduction:
Sebelum berbicara jauh tentang Risk Management, kita harus tau apa itu Risk Management atau dalam Bahasa Indonesia dikenal sebagai Management Resiko. Risk Management merupakan suatu proses pemetaan resiko, dimana didalamnya kita mengumpulkan berbagai informasi dan data yang berhubungan langsung dan tidak langsung terhadap suatu entitas tersebut. Adapun proses Risk Management dibagi menjadi beberapa bagian penting yaitu antara lain :
- Determined the Framework
Tahap ini merupakan fundamental dari proses Risk Management itu sendiri, guna menentukan aturan mendasar kapan Risk Management harus dilakukan, siapa yang melakukan, scope dari Risk Management itu sendiri dan Risk Appetite dari entitas tersebut.
- Risk Identification
Tahapan ini merupakan suatu komponen penting untuk dalam Risk Management sebab di tahapan ini kita bisa melihat seberapa dalam dan kompleks dari suatu aset / bisnis proses yang kita jadikan acuan dari scope Risk Management itu sendiri. Dengan menggunakan pendekatan Information Security secara fundamental (CIA: Confidentiality, Integrity, dan Availability) Risk Identification akan menjadi lebih komprehensif dalam menentukan kemungkinan resiko atau celah yang terjadi dalam suatu aset/bisnis proses tersebut.
- Risk Assessment
Tahap ini, kita sudah dituntut untuk bisa menentukan komponen komponen penting dalam menghitung Level Resiko (Risk Level) dari setiap aset/bisnis proses yang didalamnya terkandung :
– Risk – Vulnerability
– Likelihood Level
– Impact Level
– Current Control
- Risk Evaluation
Tahap ini kita sudah bisa menentukan level dari resiko itu sendiri berdasarkan dari informasi yang kita sudah kumpulkan di tahap-tahap sebelumnya. Adapun level dari resiko itu sendiri dibagi menjadi 4 yaitu :
– Very High
– High
– Medium
– Low
- Risk Treatment Plan
Tahap terakhir dari Risk Management, dan merupakan tahap penentu dari implementasi Risk Management itu sendiri, karena di sini kita harus menentukan mitigasi atau remediasi yang perlu dilakukan dari setiap risk yang terjadi didalam suatu aset/bisnis process tersebut, berdasarkan dari informasi terkandung di dalam Risk Assessment Report.
Risk Management membantu proses Return of Investment:
Apa itu ROI (Return of Investment), ROI merupakan suatu pengukuran untuk menghitung besar laba yang akan didapatkan dari jumlah modal yang sudah atau pernah dikeluarkan perusahaan pada suatu periode waktu tertentu.
Perhitungan ROI akan menjadi lebih akurat jika pendekatannya ditunjang oleh proses Risk Management itu sendiri. Mengapa demikian ? Karena dari Risk Management itu sendiri kita bisa mengetahui asset-asset mana saja yang bernilai kritikal beserta dengan kemungkinan dan impact dari asset tersebut berdasarkan tingkat resiko, sehingga kita bisa dengan akurat dan tepat untuk menginvestasikan sesuatu hal yang memang dari sisi resiko bernilai cukup tinggi untuk dimitigasi dan dari sudut pandang bisnis, sesuatu hal yang kita investasikan tersebut dapat benar-benar mencapai ROI yang telah disepakati oleh perusahaan tersebut, sehingga objective, visi misi dan bisnis proses dari perusahaan / entitas dapat berbanding lurus dengan risk appetite yang dimiliki oleh perusahaan tersebut.
Contoh: Perusahaan akhirnya memutuskan untuk menginvestasikan 5% dari budget pertahunnya untuk perangkat security, karena setelah laporan risk management keluar, terlihat dengan jelas bahwa trend dalam 5 tahun terakhir sangat massive sekali serangan cyber diwebsite core dari perusahaan tersebut, sehingga ditaksir jika tahun ini terjadi hal yang serupa, maka perusahaan akan merugi sekitar 10-15% dari total revenue tahun lalu. Seorang CISO (Chief information Security Officer) dalam hal ini menyarankan kepada steering comitee pada saat communication planning untuk menginvestasikan firewall guna melindungi website core dari perusahaan tersebut. Oleh sebab itu ROI disini lebih kearah tangible yang bersifat “Cost Avoidance” artinya biaya yang dapat dihindari dari terjadinya suatu incident, dan itu termasuk sebagai laba dari perusahaan tersebut secara tidak langsung.
References :
– https://www.isms.online/iso-27001/requirements-controls/
– https://www.clearrisk.com/what-is-risk-management