05 Resiko Audit SI. ppt
AUDIT SISTEM INFORMASI
(AUDSI)
Ir. Sumijan,
M.Sc
Pengertian Risiko
Menurut Peltier dalam Gondodiyoto (2007 :
110), risiko adalah sesuatu yang dapat
menciptakan atau menimbulkan bahaya.
Menurut Peltier (2005: 325), “Risk is the
probability
that
a
particular
critical
infrastructure’s vulnerability is being exploited
by a particular threat weighted by the impact
of that exploitation.” Yang diterjemahkan
“Risiko adalah kemungkinan adanya kelemehan
infrastruktur yang kemudian dimanfaatkan oleh
ancaman tertentu yang dipengaruhi eksploitasi
tersebut.”
Jenis Risiko
Menurut Gondodiyoto (2007 : 112), dari berbagai sudut pandang,
risiko dapat dibedakan dalam beberapa jenis, diantaranya :
Risiko Bisnis (Business Risk)
Risiko bisnis adalah risiko yang dapat disebabkan oleh faktorfaktor intern maupun ekstern yang berakibat kemungkinan
tidak tercapainya tujuan organisasi (business goal objectives).
Risiko Bawaan (Inherent Risk)
Risiko bawaan ialah potensi kesalahan atau penyalahgunaan
yang melekat pada suatu kegiatan jika tidak ada pengendalian
internal.
Risiko Pengendalian (Control Risk)
Dalam suatu organisasi yang baik seharusnya sudah ada risk
assessment, dan dirancang pengendalian internal secara
optimal terhadap setiap potensi risiko. Risiko pengendalian ialah
masih adanya risiko meskipun sudah ada pengendalian.
Jenis Risiko
Risiko Deteksi (Detection Risk)
Risiko deteksi adalah risiko yang terjadi karena
prosedur audit yang dilakukan mungkin tidak
dapat mendeteksi adanya error yang cukup
matrealitas atau adanya kemungkinan fraud.
Risiko Audit (Audit Risk)
Risiko audit sebenarnya adalah kombinasi dari
inherent risk, control risk, dan detection risk.
Risiko audit adalah risiko bahwa pemeriksaan
auditor ternyata belum dapat mencerminkan
keadaan yang sesungguhnya.
Penetapan Penilaian Risiko dan
Pengendalian
Menurut
Gondodiyoto (2007 : 559),
penilaian risiko dan pengendalian internal
dapat dilakukan dengan menggunakan :
Matriks Penilaian Risiko
Matriks Penilaian Pengendalian
Matriks Penilaian Risiko
Matriks penilaian risiko adalah metoda analisis
dengan menghitung aspek risiko (dampak) dan
tingkat keterjadian risiko tersebut, dengan nilai
: L (Low) nilai -1, M (Medium) nilai -2, H (High)
nilai -3.
Teknik perhitungan nilai risiko menggunakan
rasio antara dampak dengan keterjadian :
Risiko kecil (Low) nilainya berkisar antara -1 dan -2,
Risiko sedang (Medium) nilainya antara -3 dan -4,
Risiko tinggi (High) nilainya antara -6 dan -9
Risiko kecil (Low)
Jika dampak Low (-1) dan keterjadian Low (-1),
maka nilai risiko adalah -1. Artinya nilai risiko
dari dampak dan keterjadian adalah kecil.
Jika dampak Low (-1) dan keterjadian Medium
(-2), maka nilai risiko adalah -2. Artinya nilai
risiko dari dampak dan keterjadian adalah
kecil.
Jika dampak Medium (-2) dan keterjadian Low
(-1), maka nilai risiko adalah -2. Artinya nilai
risiko dari dampak dan keterjadian adalah
kecil.
Risiko sedang (Medium)
Jika dampak Low (-1) dan keterjadian High (-3),
maka nilai risiko adalah -3. Artinya nilai risiko
dari dampak dan keterjadian adalah sedang.
Jika dampak Low (-2) dan keterjadian Medium
(-2), maka nilai risiko adalah -4. Artinya nilai
risiko dari dampak dan keterjadian adalah
sedang.
Jika dampak High (-3) dan keterjadian Low (-1),
maka nilai risiko adalah -3. Artinya nilai risiko
dari dampak dan keterjadian adalah sedang.
Risiko tinggi (High)
Jika dampak Medium (-2) dan keterjadian High
(-3), maka nilai risiko adalah -6. Artinya nilai
risiko dari dampak dan keterjadian adalah
tinggi.
Jika dampak High (-3) dan keterjadian Medium
(-2), maka nilai risiko adalah -6. Artinya nilai
risiko dari dampak dan keterjadian adalah
tinggi.
Jika dampak High (-3) dan keterjadian High (-3),
maka nilai risiko adalah -9. Artinya nilai risiko
dari dampak dan keterjadian adalah tinggi.
Matriks Penilaian
Pengendalian
Matrik penilaian pengendalian adalah metoda analisis
desain
(rancangan)
dan
tingkat
efektifitas
pengendalian internal. Besarnya tingkatan efektifitas
dan desain (rancangan) dinyatakan dengan : L (Low)
nilai 1, M (Medium) nilai 2, H (High) nilai 3.
Teknik
perhitungan
dalam
matriks
penilaian
pengendalian menggunakan fungsi perkalian anatara
efektifitas dengan desain (rancangan). Kriteria
penilaian dalam matriks pengendalian terdiri dari :
Pengendalian kecil (Low) nilainya berkisar antara -1
Pengendalian sedang (Medium) nilainya antara 3
dan 4,
Pengendalian tinggi (High) nilainya antara 6 dan 9,
Pengendalian kecil (Low)
Jika efektifitas Low (1) dan desain Low (1), maka
nilai pengendalian adalah 1. Artinya nilai
pengendalian dari efektifitas dan desain adalah
kecil.
Jika efektifitas Low (1) dan desain Medium (2),
maka nilai pengendalian adalah 2. Artinya nilai
pengendalian dari efektifitas dan desain adalah
kecil.
Jika efektifitas Medium (2) dan desain Low (1),
maka nilai pengendalian adalah 2. Artinya nilai
pengendalian dari efektifitas dan desain adalah
kecil.
Pengendalian sedang
(Medium)
Jika efektifitas Low (-1) dan desain High (-3),
maka nilai pengendalian adalah -3. Artinya nilai
pengendalian dari efektifitas dan desain adalah
sedang.
Jika efektifitas Low (2) dan desain Medium (2),
maka nilai pengendalian adalah 4. Artinya nilai
pengendalian dari efektifitas dan desain adalah
sedang.
Jika efektifitas High (3) dan desain Low (1),
maka nilai pengendalian adalah 3. Artinya nilai
pengendalian dari efektifitas dan desain adalah
sedang.
Pengendalian tinggi (High)
Jika efektifitas Medium (2) dan desain High (3),
maka nilai pengendalian adalah 6. Artinya nilai
pengendalian dari efektifitas dan desain adalah
tinggi.
Jika efektifitas High (3) dan desain Medium (2),
maka nilai pengendalian adalah 6. Artinya nilai
pengendalian dari efektifitas dan desain adalah
tinggi.
Jika efektifitas High (3) dan desain High (3),
maka nilai pengendalian adalah 9. Artinya nilai
pengendalian dari efektifitas dan desain adalah
tinggi.
Penilaian Risiko
Penetapan
tingkat efektifitas antara risiko dan
pengendalian adalah sebagai berikut :
Jika jumlah penilaian risiko dan pengendalian 0, maka
tingkat pengendalian dan risiko adalah standar, artinya
setiap risiko yang terjadi dapat ditanggulangi oleh
pengendalian yang ada.
Jika jumlah penilaian risiko dan pengendalian positif, maka
pengendalian baik. Tetapi jika nilai pengendalian terlalu
tinggi dibanding risiko, maka kemungkinan akan terjadi
kelebihan pengendalian (over control) yang menyebabkan
terjadinya pemborosan dalam operasional.
Jika jumlah penilaian risiko dan pengendalian negatif, maka
pengendalian adalah buruk. Sehingga perlu dilakukan
peningkatan terhadap pengendalian karena risiko yang
dihadapi besar.
Teknik Penilaian Risiko dan
Pengendalian
Menurut
Griffiths, David M (2007: 18), setelah
memperoleh bukti audit yang cukup beserta temuannya
dengan menggunkan instrumen pengumpulan bukti,
audit dilanjutkan dengan menggunakan matriks
penilaian risiko guna merumuskan dan mempertajam
analisa terhadap bukti evaluasi dan temuan agar dapat
merumuskan
dan
menyimpulkan
opini
dengan
melakukan perbandingan dan penilaian terhadap tingkat
risiko dan pengendalian yang ada.
Matriks penilaian risiko adalah suatu cara untuk
menganalisa seberapa besar risiko yang ada dari suatu
temuan audit. Hal ini dilakukan dengan cara
menganalisa risiko yang ada (inherent rsik) dan risiko
setelah adanya pengendalian (residual risk).
Upaya Penanggulangan Risiko
(1)
Menurut Djojosoedarso (2005, hal. 4) upaya-upaya untuk menanggulangi
risiko harus selalu dilakukan, sehingga kerugian dapat dihindari atau
diminimumkan. Sesuai dengan sifat dan objek yang terkena risiko, ada
beberapa cara yang dapat dilakukan (perusahaan) untuk meminimumkan
risiko kerugian, antara lain:
Melakukan pencegahan dan pengurangan terhadap kemungkinan
terjadinya peristiwa yang menimbulkan kerugian, misalnya membangun
gedung dengan bahan-bahan yang antiterbakar untuk mencegah
bahaya
kebakaran,memagari
mesin-masin
untuk
menghindari
kecelakaan kerja, melakukan pemeliharaan dan penyimpanan yang baik
terhadap bahan dan hasil produksi untuk menghindari risiko kecurian
dan kerusakan, mengadakan pendekatan kemanusiaan untuk
mencegah terjadinya pemogokan, sabotase dan pengacauan.
Melakukan retensi, artinya mentolerir membiarkan terjadinya kerugian,
dan untuk mencegah terganggunya operasi perusahaan akibat kerugian
tersebut disediakan sejumlah dana untuk menaggulanginya (contoh:
pos biaya lain-lain atau tak terduga dalam anggaran perusahaan).
Upaya Penanggulangan Risiko
(2)
Melakukan
pengendalian terhadap risiko, contohnya
melakukan hedging (perdagangan berjangka) untuk
menanggulangi risiko kelangkaan dan fluktasi harga bahan
baku pembantu yang diperlukan,
Mengalihkan/memindahkan risiko kepada pihak lain, yaitu
dengan
cara
mengadakan
kontrak
pertanggungan
(asuransi) dengan perusahaan asuransi terhadap risiko
tertentu, dengan membayar sejumlah premi asuransi yang
telah ditetapkan, sehingga perusahaan asuransi akan
mengganti kerugian bila betul-betul terjadi kerugian yang
sesuai dengan perjanjian.
Tugas dari seorang manajer risiko adalah berkaitan erat
dengan upaya memilih dan menentukan cara-cara/metode
yang paling efisien dalam penanggulangan risiko yang
dihadapi perusahaan.
Macam-Macam Risiko
Menurut Djojosoedarso (2005, p3), risiko
dibedakan dengan berbagai macam cara,
antara lain:
Menurut sifatnya risiko
Dapat tidaknya risiko tersebut dialihkan
kepada pihak lain
Menurut sumber atau penyebab timbulnya
Menurut sifatnya risiko
Risiko yang tidak disengaja (risiko murni) adalah risiko yang apabila terjadi
tentu menimbulkan kerugian dan terjadinya tanpa disengaja, misalnya: risiko
terjadinya kebakaran, bencana alam, pencurian, penggelapan, pengacauan,
dan sebagainya.
Risiko
yang disengaja (risiko spekulatif) adalah risiko yang sengaja
ditimbulkan oleh yang bersangkutan, agar terjadinya ketidakpastian
memberikan keuntungan kepadanya, misalnya: risiko utang-piutang,
perjudian, perdagangan berjangka (hedging), dan sebagainya.
Risiko fundamental adalah risiko yang penyebabnya tidak dapat dilimpahkan
kepada seseorang dan yang menderita tidak hanya satu atau beberapa
orang saja, tetapi banyak orang, seperti: banjir, angin topan dan sebagainya.
Risiko khusus adalah risiko yang bersumber pada peristiwa yang mandiri dan
umumnya mudah diketahui penyebabnya, seperti: kapal kandas, pesawat
jatuh, tabrakan mobil, dan sebagainya.
Risiko
dinamis adalah risiko yang timbul karena perkembangan dan
kemajuan (dinamika) masyarakat dibidang ekonomi, ilmu dan teknologi,
seperti: risiko keuangan, risiko penerbangan luar angkasa. Kebalikannya
disebut risiko statis, seperti: risiko hari tua, risiko kematian dan sebagainya.
Dapat tidaknya risiko tersebut
dialihkan kepada pihak lain
Risiko yang dapat dialihkan kepada pihak
lain, dengan mempertanggungkan suatu
objek yang akan terkena risiko kepada
perusahaan asuransi, dengan membayar
sejumlah premi asuransi, sehingga semua
kerugian
menjadi
tanggungan
pihak
perusahaan asuransi.
Risiko yang tidak dapat dialihkan kepada
pihak lain (tidak dapat diasuransikan);
umumnya meliputi semua jenis spekulatif.
Risiko intern, yaitu risiko yang berasal dari
dalam perusahaan itu sendiri, seperti:
kerusakan aktiva karena ulah karyawan
sendiri, kecelakaan kerja, kesalahan
manajemen dan sebagainya.
Risiko ekstern, yaitu risiko yang berasal
luar perusahaan, seperti: risiko pencurian,
penipuan, persaingan, fluktuasi harga,
perubahan kebijakan pemerintah, dan
sebagainya.
Kategori Risiko Tesknologi
Informasi
Menurut
Hughes (2006, p36), dalam
penggunaan teknologi informasi berisiko
terhadap
kehilangan
informasi
dan
pemulihannya yang tercakup dalam 6
kategori, yaitu:
Keamanan
Ketersediaan
Daya Pulih
Performa
Daya Skala
Ketaatan
Kategori Risiko Tesknologi Informasi (1)
Keamanan
Risiko yang informasinya diubah atau digunakan oleh
orang yang tidak berwenang. Misalnya saja kejahatan
komputer, kebocoran internal dan terorisme cyber.
Ketersediaan
Risiko yang datanya tidak dapat diakses setelah kegagalan
sistem, karena kesalahan manusia (human error),
perubahan konfigurasi, dan kurangnya penggunaan
arsitektur.
Daya Pulih
Risiko dimana informasi yang diperlukan tidak dapat
dipulihkan dalam waktu yang cukup, setelah terjadinya
kegagalan dalam perangkat lunak atau keras,ancaman
eksternal, atau bencana alam.
Kategori Risiko Tesknologi Informasi (2)
Performa
Risiko dimana informasi tidak tersedia saat diperlukan, yang
diakibatkan oleh arsitektur terdistribusi, permintaan yang
tinggi dan topografi informasi teknologi yang beragam.
Daya Skala
Risiko yang perkembangan bisnis, pengaturan bottleneck,
dan bentuk arsitekturnya membuatnya tidak mungkin
menangani banyak aplikasi baru dan biaya bisnis secara
efektif.
Ketaatan
Risiko yang manajemen atau penggunaan informasinya
melanggar
keperluan dari pihak pengatur. Yang
dipersalahkan dalam hal ini mencakup aturan pemerintah,
panduan pengaturan perusahaan dan kebijakan internal.
Kelas-kelas Risiko Teknologi
Informasi
Menurut
Jordan & Silcock (2005, p49), risiko-risiko
teknologi didefinisikan dalam 7 kelas, dimana pada setiap
kasus, teknologi informasi dapat juga melakukan
kesalahan, tetapi konsekuensi-konsekuensinya dapat
berakibat negatif bagi bisnis. Kelas-kelas risiko yaitu :
Projects-failing to deliver
IT service continuity-when business operations go off
the air
Information assets-failing to protect and preserve
Service providers and vendors-breaks in the IT value
chain
Applications-flaky systems
Infrastructure-shaky foundations
Strategic and energent-disabled by IT
(AUDSI)
Ir. Sumijan,
M.Sc
Pengertian Risiko
Menurut Peltier dalam Gondodiyoto (2007 :
110), risiko adalah sesuatu yang dapat
menciptakan atau menimbulkan bahaya.
Menurut Peltier (2005: 325), “Risk is the
probability
that
a
particular
critical
infrastructure’s vulnerability is being exploited
by a particular threat weighted by the impact
of that exploitation.” Yang diterjemahkan
“Risiko adalah kemungkinan adanya kelemehan
infrastruktur yang kemudian dimanfaatkan oleh
ancaman tertentu yang dipengaruhi eksploitasi
tersebut.”
Jenis Risiko
Menurut Gondodiyoto (2007 : 112), dari berbagai sudut pandang,
risiko dapat dibedakan dalam beberapa jenis, diantaranya :
Risiko Bisnis (Business Risk)
Risiko bisnis adalah risiko yang dapat disebabkan oleh faktorfaktor intern maupun ekstern yang berakibat kemungkinan
tidak tercapainya tujuan organisasi (business goal objectives).
Risiko Bawaan (Inherent Risk)
Risiko bawaan ialah potensi kesalahan atau penyalahgunaan
yang melekat pada suatu kegiatan jika tidak ada pengendalian
internal.
Risiko Pengendalian (Control Risk)
Dalam suatu organisasi yang baik seharusnya sudah ada risk
assessment, dan dirancang pengendalian internal secara
optimal terhadap setiap potensi risiko. Risiko pengendalian ialah
masih adanya risiko meskipun sudah ada pengendalian.
Jenis Risiko
Risiko Deteksi (Detection Risk)
Risiko deteksi adalah risiko yang terjadi karena
prosedur audit yang dilakukan mungkin tidak
dapat mendeteksi adanya error yang cukup
matrealitas atau adanya kemungkinan fraud.
Risiko Audit (Audit Risk)
Risiko audit sebenarnya adalah kombinasi dari
inherent risk, control risk, dan detection risk.
Risiko audit adalah risiko bahwa pemeriksaan
auditor ternyata belum dapat mencerminkan
keadaan yang sesungguhnya.
Penetapan Penilaian Risiko dan
Pengendalian
Menurut
Gondodiyoto (2007 : 559),
penilaian risiko dan pengendalian internal
dapat dilakukan dengan menggunakan :
Matriks Penilaian Risiko
Matriks Penilaian Pengendalian
Matriks Penilaian Risiko
Matriks penilaian risiko adalah metoda analisis
dengan menghitung aspek risiko (dampak) dan
tingkat keterjadian risiko tersebut, dengan nilai
: L (Low) nilai -1, M (Medium) nilai -2, H (High)
nilai -3.
Teknik perhitungan nilai risiko menggunakan
rasio antara dampak dengan keterjadian :
Risiko kecil (Low) nilainya berkisar antara -1 dan -2,
Risiko sedang (Medium) nilainya antara -3 dan -4,
Risiko tinggi (High) nilainya antara -6 dan -9
Risiko kecil (Low)
Jika dampak Low (-1) dan keterjadian Low (-1),
maka nilai risiko adalah -1. Artinya nilai risiko
dari dampak dan keterjadian adalah kecil.
Jika dampak Low (-1) dan keterjadian Medium
(-2), maka nilai risiko adalah -2. Artinya nilai
risiko dari dampak dan keterjadian adalah
kecil.
Jika dampak Medium (-2) dan keterjadian Low
(-1), maka nilai risiko adalah -2. Artinya nilai
risiko dari dampak dan keterjadian adalah
kecil.
Risiko sedang (Medium)
Jika dampak Low (-1) dan keterjadian High (-3),
maka nilai risiko adalah -3. Artinya nilai risiko
dari dampak dan keterjadian adalah sedang.
Jika dampak Low (-2) dan keterjadian Medium
(-2), maka nilai risiko adalah -4. Artinya nilai
risiko dari dampak dan keterjadian adalah
sedang.
Jika dampak High (-3) dan keterjadian Low (-1),
maka nilai risiko adalah -3. Artinya nilai risiko
dari dampak dan keterjadian adalah sedang.
Risiko tinggi (High)
Jika dampak Medium (-2) dan keterjadian High
(-3), maka nilai risiko adalah -6. Artinya nilai
risiko dari dampak dan keterjadian adalah
tinggi.
Jika dampak High (-3) dan keterjadian Medium
(-2), maka nilai risiko adalah -6. Artinya nilai
risiko dari dampak dan keterjadian adalah
tinggi.
Jika dampak High (-3) dan keterjadian High (-3),
maka nilai risiko adalah -9. Artinya nilai risiko
dari dampak dan keterjadian adalah tinggi.
Matriks Penilaian
Pengendalian
Matrik penilaian pengendalian adalah metoda analisis
desain
(rancangan)
dan
tingkat
efektifitas
pengendalian internal. Besarnya tingkatan efektifitas
dan desain (rancangan) dinyatakan dengan : L (Low)
nilai 1, M (Medium) nilai 2, H (High) nilai 3.
Teknik
perhitungan
dalam
matriks
penilaian
pengendalian menggunakan fungsi perkalian anatara
efektifitas dengan desain (rancangan). Kriteria
penilaian dalam matriks pengendalian terdiri dari :
Pengendalian kecil (Low) nilainya berkisar antara -1
Pengendalian sedang (Medium) nilainya antara 3
dan 4,
Pengendalian tinggi (High) nilainya antara 6 dan 9,
Pengendalian kecil (Low)
Jika efektifitas Low (1) dan desain Low (1), maka
nilai pengendalian adalah 1. Artinya nilai
pengendalian dari efektifitas dan desain adalah
kecil.
Jika efektifitas Low (1) dan desain Medium (2),
maka nilai pengendalian adalah 2. Artinya nilai
pengendalian dari efektifitas dan desain adalah
kecil.
Jika efektifitas Medium (2) dan desain Low (1),
maka nilai pengendalian adalah 2. Artinya nilai
pengendalian dari efektifitas dan desain adalah
kecil.
Pengendalian sedang
(Medium)
Jika efektifitas Low (-1) dan desain High (-3),
maka nilai pengendalian adalah -3. Artinya nilai
pengendalian dari efektifitas dan desain adalah
sedang.
Jika efektifitas Low (2) dan desain Medium (2),
maka nilai pengendalian adalah 4. Artinya nilai
pengendalian dari efektifitas dan desain adalah
sedang.
Jika efektifitas High (3) dan desain Low (1),
maka nilai pengendalian adalah 3. Artinya nilai
pengendalian dari efektifitas dan desain adalah
sedang.
Pengendalian tinggi (High)
Jika efektifitas Medium (2) dan desain High (3),
maka nilai pengendalian adalah 6. Artinya nilai
pengendalian dari efektifitas dan desain adalah
tinggi.
Jika efektifitas High (3) dan desain Medium (2),
maka nilai pengendalian adalah 6. Artinya nilai
pengendalian dari efektifitas dan desain adalah
tinggi.
Jika efektifitas High (3) dan desain High (3),
maka nilai pengendalian adalah 9. Artinya nilai
pengendalian dari efektifitas dan desain adalah
tinggi.
Penilaian Risiko
Penetapan
tingkat efektifitas antara risiko dan
pengendalian adalah sebagai berikut :
Jika jumlah penilaian risiko dan pengendalian 0, maka
tingkat pengendalian dan risiko adalah standar, artinya
setiap risiko yang terjadi dapat ditanggulangi oleh
pengendalian yang ada.
Jika jumlah penilaian risiko dan pengendalian positif, maka
pengendalian baik. Tetapi jika nilai pengendalian terlalu
tinggi dibanding risiko, maka kemungkinan akan terjadi
kelebihan pengendalian (over control) yang menyebabkan
terjadinya pemborosan dalam operasional.
Jika jumlah penilaian risiko dan pengendalian negatif, maka
pengendalian adalah buruk. Sehingga perlu dilakukan
peningkatan terhadap pengendalian karena risiko yang
dihadapi besar.
Teknik Penilaian Risiko dan
Pengendalian
Menurut
Griffiths, David M (2007: 18), setelah
memperoleh bukti audit yang cukup beserta temuannya
dengan menggunkan instrumen pengumpulan bukti,
audit dilanjutkan dengan menggunakan matriks
penilaian risiko guna merumuskan dan mempertajam
analisa terhadap bukti evaluasi dan temuan agar dapat
merumuskan
dan
menyimpulkan
opini
dengan
melakukan perbandingan dan penilaian terhadap tingkat
risiko dan pengendalian yang ada.
Matriks penilaian risiko adalah suatu cara untuk
menganalisa seberapa besar risiko yang ada dari suatu
temuan audit. Hal ini dilakukan dengan cara
menganalisa risiko yang ada (inherent rsik) dan risiko
setelah adanya pengendalian (residual risk).
Upaya Penanggulangan Risiko
(1)
Menurut Djojosoedarso (2005, hal. 4) upaya-upaya untuk menanggulangi
risiko harus selalu dilakukan, sehingga kerugian dapat dihindari atau
diminimumkan. Sesuai dengan sifat dan objek yang terkena risiko, ada
beberapa cara yang dapat dilakukan (perusahaan) untuk meminimumkan
risiko kerugian, antara lain:
Melakukan pencegahan dan pengurangan terhadap kemungkinan
terjadinya peristiwa yang menimbulkan kerugian, misalnya membangun
gedung dengan bahan-bahan yang antiterbakar untuk mencegah
bahaya
kebakaran,memagari
mesin-masin
untuk
menghindari
kecelakaan kerja, melakukan pemeliharaan dan penyimpanan yang baik
terhadap bahan dan hasil produksi untuk menghindari risiko kecurian
dan kerusakan, mengadakan pendekatan kemanusiaan untuk
mencegah terjadinya pemogokan, sabotase dan pengacauan.
Melakukan retensi, artinya mentolerir membiarkan terjadinya kerugian,
dan untuk mencegah terganggunya operasi perusahaan akibat kerugian
tersebut disediakan sejumlah dana untuk menaggulanginya (contoh:
pos biaya lain-lain atau tak terduga dalam anggaran perusahaan).
Upaya Penanggulangan Risiko
(2)
Melakukan
pengendalian terhadap risiko, contohnya
melakukan hedging (perdagangan berjangka) untuk
menanggulangi risiko kelangkaan dan fluktasi harga bahan
baku pembantu yang diperlukan,
Mengalihkan/memindahkan risiko kepada pihak lain, yaitu
dengan
cara
mengadakan
kontrak
pertanggungan
(asuransi) dengan perusahaan asuransi terhadap risiko
tertentu, dengan membayar sejumlah premi asuransi yang
telah ditetapkan, sehingga perusahaan asuransi akan
mengganti kerugian bila betul-betul terjadi kerugian yang
sesuai dengan perjanjian.
Tugas dari seorang manajer risiko adalah berkaitan erat
dengan upaya memilih dan menentukan cara-cara/metode
yang paling efisien dalam penanggulangan risiko yang
dihadapi perusahaan.
Macam-Macam Risiko
Menurut Djojosoedarso (2005, p3), risiko
dibedakan dengan berbagai macam cara,
antara lain:
Menurut sifatnya risiko
Dapat tidaknya risiko tersebut dialihkan
kepada pihak lain
Menurut sumber atau penyebab timbulnya
Menurut sifatnya risiko
Risiko yang tidak disengaja (risiko murni) adalah risiko yang apabila terjadi
tentu menimbulkan kerugian dan terjadinya tanpa disengaja, misalnya: risiko
terjadinya kebakaran, bencana alam, pencurian, penggelapan, pengacauan,
dan sebagainya.
Risiko
yang disengaja (risiko spekulatif) adalah risiko yang sengaja
ditimbulkan oleh yang bersangkutan, agar terjadinya ketidakpastian
memberikan keuntungan kepadanya, misalnya: risiko utang-piutang,
perjudian, perdagangan berjangka (hedging), dan sebagainya.
Risiko fundamental adalah risiko yang penyebabnya tidak dapat dilimpahkan
kepada seseorang dan yang menderita tidak hanya satu atau beberapa
orang saja, tetapi banyak orang, seperti: banjir, angin topan dan sebagainya.
Risiko khusus adalah risiko yang bersumber pada peristiwa yang mandiri dan
umumnya mudah diketahui penyebabnya, seperti: kapal kandas, pesawat
jatuh, tabrakan mobil, dan sebagainya.
Risiko
dinamis adalah risiko yang timbul karena perkembangan dan
kemajuan (dinamika) masyarakat dibidang ekonomi, ilmu dan teknologi,
seperti: risiko keuangan, risiko penerbangan luar angkasa. Kebalikannya
disebut risiko statis, seperti: risiko hari tua, risiko kematian dan sebagainya.
Dapat tidaknya risiko tersebut
dialihkan kepada pihak lain
Risiko yang dapat dialihkan kepada pihak
lain, dengan mempertanggungkan suatu
objek yang akan terkena risiko kepada
perusahaan asuransi, dengan membayar
sejumlah premi asuransi, sehingga semua
kerugian
menjadi
tanggungan
pihak
perusahaan asuransi.
Risiko yang tidak dapat dialihkan kepada
pihak lain (tidak dapat diasuransikan);
umumnya meliputi semua jenis spekulatif.
Risiko intern, yaitu risiko yang berasal dari
dalam perusahaan itu sendiri, seperti:
kerusakan aktiva karena ulah karyawan
sendiri, kecelakaan kerja, kesalahan
manajemen dan sebagainya.
Risiko ekstern, yaitu risiko yang berasal
luar perusahaan, seperti: risiko pencurian,
penipuan, persaingan, fluktuasi harga,
perubahan kebijakan pemerintah, dan
sebagainya.
Kategori Risiko Tesknologi
Informasi
Menurut
Hughes (2006, p36), dalam
penggunaan teknologi informasi berisiko
terhadap
kehilangan
informasi
dan
pemulihannya yang tercakup dalam 6
kategori, yaitu:
Keamanan
Ketersediaan
Daya Pulih
Performa
Daya Skala
Ketaatan
Kategori Risiko Tesknologi Informasi (1)
Keamanan
Risiko yang informasinya diubah atau digunakan oleh
orang yang tidak berwenang. Misalnya saja kejahatan
komputer, kebocoran internal dan terorisme cyber.
Ketersediaan
Risiko yang datanya tidak dapat diakses setelah kegagalan
sistem, karena kesalahan manusia (human error),
perubahan konfigurasi, dan kurangnya penggunaan
arsitektur.
Daya Pulih
Risiko dimana informasi yang diperlukan tidak dapat
dipulihkan dalam waktu yang cukup, setelah terjadinya
kegagalan dalam perangkat lunak atau keras,ancaman
eksternal, atau bencana alam.
Kategori Risiko Tesknologi Informasi (2)
Performa
Risiko dimana informasi tidak tersedia saat diperlukan, yang
diakibatkan oleh arsitektur terdistribusi, permintaan yang
tinggi dan topografi informasi teknologi yang beragam.
Daya Skala
Risiko yang perkembangan bisnis, pengaturan bottleneck,
dan bentuk arsitekturnya membuatnya tidak mungkin
menangani banyak aplikasi baru dan biaya bisnis secara
efektif.
Ketaatan
Risiko yang manajemen atau penggunaan informasinya
melanggar
keperluan dari pihak pengatur. Yang
dipersalahkan dalam hal ini mencakup aturan pemerintah,
panduan pengaturan perusahaan dan kebijakan internal.
Kelas-kelas Risiko Teknologi
Informasi
Menurut
Jordan & Silcock (2005, p49), risiko-risiko
teknologi didefinisikan dalam 7 kelas, dimana pada setiap
kasus, teknologi informasi dapat juga melakukan
kesalahan, tetapi konsekuensi-konsekuensinya dapat
berakibat negatif bagi bisnis. Kelas-kelas risiko yaitu :
Projects-failing to deliver
IT service continuity-when business operations go off
the air
Information assets-failing to protect and preserve
Service providers and vendors-breaks in the IT value
chain
Applications-flaky systems
Infrastructure-shaky foundations
Strategic and energent-disabled by IT