KONSEP MANAJEMEN RESIKO RISK MANAGEMENT (1)
KONSEP MANAJEMEN RESIKO (RISK MANAGEMENT)
DALAM PROJEK PENULISAN MANUAL PENGAMANAN ASSET INDUSTRI HULU MIGAS
DI INDONESIA
A. PENDAHULUAN
Tahapan dalam pembuatan rencana keamanan dapat disusun berdasarkan
gangguan yang pernah terjadi, lokasi penyimpanan aset, atau pemilihan
system pengamanan yang sesuai dengan dana User (SKK Migas). Terkadang
pula Rencana Pengamanan dituliskan dengan format dan isi yang berbedabeda, sehingga perlu dilakukan pengkajian tentang bagaimana rencana
pengamanan yang bukan saja secara efektif menurunkan risiko, juga secara
efisien dalam implementasinya.
Proses penyusunan ini perlu diawali dengan pemahaman terhadap rencana
pengamanan yang lengkap, dan dukungan hasil analisis risiko dan mitigasi.
Rencana Pengamanan (security planning) merupakan susunan strategi yang
diterapkan untuk mengurangi kelemahan dan menurunkan potensial
ancaman dan risiko yang terkait dengan system pengamanan yang berjalan,
sehingga kemudian dapat dilakukan proses untuk meredakan risiko (risk
mitigation), dan melakukan kontrol dan evaluasi Komponen dari rencana
keamanan meliputi: kebijakan, standard dan prosedur pengamanan (policy),
kontrol pengelolaan Sumber Daya Manusia (SDM) untuk keamanan (people),
kontrol teknologi keamanan (technology) dan keamanan informasi
(Information Security).
Kontrol yang dimaksud adalah langkah implementasi yang spesifik dan
prosedural. Sedangkan yang menjadi kebutuhan penting rencana ini adalah
permintaan level pengamanan yang diinginkan.
Sebuah rencana keamanan harus dapat mengkombinasikan peran dari
kebijakan, orang dan teknologi/peralatan, dimana manusia (people), yang
menjalankan proses membutuhkan dukungan kebijakan dan prosedur (policy
and procedures),sebagai petunjuk untuk melakukannya, dan membutuhkan
teknologi (technology) merupakan alat(tools), mekanisme atau fasilitas untuk
melakukan proses kegiatan pengamanan
Berdasarkan uraian di atas, maka rencana pengamanan akan berisi tentang
penentuan kombinasi kontrol keamanan yang digunakan, serta prioritas
dalam melakukan implementasinya. Isi/ konten dasar pada dokumen rencana
Pengamanan (security plan), antara lain:
1. Ancaman dan kelemahan (Threat and Vulnerability), merupakan proses
untuk mereview hasil tahapan penilaian risiko, dengan mengambil
informasi mengenai sesuatu yang dapat menganggu kegiatan organisasi.
2. Tujuan dan sasaran (Scope and Objectives), merupakan proses
menentukan target dan lingkup keamanan yang ingin dicapai, sehingga
dapat fokus pada aspek keamanan yang akan diselesaikan. Sasaran
keamanan menggambarkan spesifik hasil, kejadian atau manfaat yang
ingin di capai sesuai dengan tujuan keamanan yang ditetapkan.
3. Aturan dan tanggungjawab (Regulatory and Responsibility), merupakan
proses menyusun aturan dan penanggungjawab, yang mengatur kegiatan
C H AR ACT E R
•
C OM P E T E N C E
•
C ON F I D E N C E
sebagai upaya untuk menurunkan risiko keamanan yang bersumber dari
ancaman dan kelemahan
4. Strategi dan kontrol keamanan, merupakan proses untuk memberikan
prioritas aksi yang akan dilakukan untuk mencapai tujuan dan sasaran
keamanan yang telah ditetapkan.
B. PENILAIAN ANCAMAN DAN KELEMAHAN (Risk & Vulnerability Assessment)
Pelaksanaan Risk Assessment dijalankan menggunakan 7 (tujuh) langkah
yaitu antara lain :
1. Menetapkan konteks Resiko
2. Mengidentifkasi Resiko
3. Menganalisa/ mengukur resiko
4. Menilai Resiko
5. Memperlakukan resiko
6. Monitoring and review
7. Komunikasi dan konsultasi
TAHAPAN MANAJEMEN RISIKO
Selanjutnya akan dielaborasikan tahapan-tahapan tersebut sebagai berikut:
C H AR ACT E R
•
C OM P E T E N C E
•
C ON F I D E N C E
1. Menetapkan Konteks
Identifikasi risiko seringkali dianggap sebagai tahapan utama dalam proses
manajemen risiko, namun seperti terlihat dalam gambar di atas maka untuk
dapat mengenali risiko terlebih dahulu harus diperoleh pemahaman
mengenai what is at risk. Untuk memastikan bahwa semua risiko signifikan
sudah terekam maka harus dipahami dengan baik tujuan-tujuan organisasi
dimana risiko tersebut dikelola.
a. Ruang Lingkup
Ruang lingkup penetapan konteks mencakup:
1) Kebijakan, fungsi, proses dan aktivitas organisasi
2) Kekuatan dan kelemahan organisasi
3) Tujuan utama organisasi ancaman dan peluang terbesar yang dihadapi
organisasi
4) Stakeholder dan kepentingannya
5) Tanggung jawab organisasi terhadap stakeholder
6) Faktor lingkungan internal dan eksternal
b. Teknik
Teknik yang dapat digunakan dalam penetapan konteks adalah:
Mengumpulkan dan menelaah dokumen-dokumen organisasi
1) Mereview struktur dan bagan organisasi
2) Melakukan wawancara dengan pihak terkait
3) Benchmarking
4) Control and Risk Self Assessment
c. Tahapan
1) Menetapkan konteks strategis
Dilakukan dengan memahami faktor internal dan eksternal organisasi,
membuat Analisis hubungan antara aktivitas organisasi dengan
lingkungan, mengidentifikasi stakeholders (manajemen, pemegang
saham, pegawai, pelanggan, rekanan, masyarakat, pemerintah dan
pemuka masyarakat), mengembangkan Analisis SWOT (strenght,
weakness, opportunity, threat).
2) Menetapkan konteks organisasi
Dilakukan dengan menilai aktivitas dan kemampuan organisasi untuk
mencapai tujuan yang telah ditetapkan. Sejumlah aspek yang harus
dinilai adalah:
a) Budaya risiko (sikap, nilai-nilai dan praktik-praktik yang
mencerminkan bagaimana suatu organisasi mempertimbangkan
risiko dalam aktivitas sehari-hari)
b) Hasrat risiko/risk appetite (tingkat risiko yang dapat diterima oleh
organisasi dalam mencapai tujuan)
c) Toleransi risiko (tingkatan variasi relatif yang dapat diterima
terhadap pencapaian tujuan).
C H AR ACT E R
•
C OM P E T E N C E
•
C ON F I D E N C E
3) Menetapkan konteks manajemen risiko
Dilakukan dengan menentukan sasaran, tujuan, strategi, lingkup dan
parameter aktivitas atau bagian organisasi dimana proses manajemen
risiko diaplikasikan, sumber daya yang diperlukan.
4) Mengembangkan kriteria penilaian risiko
Dilakukan dengan mempertimbangan tingkat risiko yang dapat diterima
oleh organisasi dalam hubungannya dengan berbagai aspek kegiatan.
Kriteria yang dikembangkan harus memenuhi atribut:
a) Concise (jelas) - memberikan sejumlah ukuran tertentu yang
memungkinkan penilaian atas seluruh dampak yang signifikan
b) Mencakup seluruh aspek kegiatan
c) Merumuskan bagaimana ukuran-ukuran dibuat, apakah dalam
bentuk kualitatif atau kuantitatif
5) Mendefinisikan struktur manajemen risiko
Dilakukan dengan merumuskan struktur yang meliputi pemisahan
aktivitas dalam suatu perangkat elemen-elemen yang menyediakan
kerangka yang logis untuk kepentingan identifikasi dan Analisis yang
memberi keyakinan bahwa risiko-risiko yang signifikan.
2. Mengidentifikasi Risiko
a. Tujuan
Merupakan tahapan yang sangat kritikal dalam proses manajemen risiko
yaitu merekam semua risiko baik yang sudah maupun belum dikendalikan
melalui pengendalian inten.
Proses yang dilakukan dalam tahap identifikasi risiko adalah:
1) Menginventarisasi
data
kejadian/peristiwa
komprehensif
yang
mempengaruhi organisasi
2) Menentukan sumber-sumber risiko, antara lain hubungan bisnis dan
hukum, lingkungan ekonomi, perilaku manusia, kejadian alam,
lingkungan politik, isu teknologi, aktivitas manajemen dan aktivitas
individu.
3) Menentukan area yang terkena pengaruh risiko, antara lain aset dan
sumber daya, pendapatan, biaya, pegawai, masyarakat, kinerja, waktu
dan jadual aktivitas, lingkungan.
4) Menentukan penyebab dan skenario risiko.
b. Teknik
Teknik dan alat bantu yang dapat digunakan untuk mengidentifikasi risiko
antara lain adalah checklist, justifikasi berdasarkan pengalaman dan
catatan historis, flowchart, brrainstorming, analisis sistem, dan analisis
skenario.
C H AR ACT E R
•
C OM P E T E N C E
•
C ON F I D E N C E
c. Model Risiko
Sebagai bagian dari tahapan identifikasi risiko, dibuat model risiko untuk
memberi gambaran secara komprehensif mengenai peristiwa dan kondisi
yang mungkin terjadi, baik yang bersumber dari perubahan di dalam
lingkungan eksternal maupun dari unsur proses bisnis internal organisasi.
Model risiko dibuat dengan tujuan untuk memberi acuan mengenai
peristiwa dan kondisi yang mungkin terjadi serta bagaimana dan mengapa
terjadi yang selanjutnya akan digunakan sebagai bahan Analisis.
3. Menganalisis/Mengukur Risiko
a. Tujuan
Merupakan tahapan untuk memisahkan risiko minor dan risiko mayor serta
mengidentifikasi pengendalian intern yang ada (melalui inspeksi dan
control self assessment) serta menentukan dampak dan likelihood.
Sumber data dan informasi yang digunakan untuk menentukan
konsekuensi dan likelihood adalah catatan masa lalu, justifikasi
berdasarkan pengalaman yang relevan, praktik dan pengalaman industri,
literatur-literatur, riset pasar, pengujian dan prototype, model ekonomi,
pertimbangan ahli dan spesialis.
b. Metode
Analisis risiko terbagi menjadi beberapa jenis, yaitu:
1) Analisis Kualitatif
Analisis kualitatif digunakan:
a) Untuk memperoleh indikasi umum atas suatu risiko sebelum
dilakukan Analisis lebih rinci.
b) Apabila waktu dan usaha tidak memungkinkan untuk dilakukan
Analisis lebih rinci.
c) Apabila data numerik tidak memadai untuk dilakukan Analisis
kuantitatif.
Yang perlu diperhatikan dalam melakukan Analisis dan mengukur
risiko adalah faktor-faktor risiko, pengaruhnya serta pemicu (driver)
dari masing -masing risiko.
2) Analisis Semi Kuantitatif
Dalam Analisis semi kuantitatif, skala kualitatif diberi nilai dan angka.
3) Analisis Kuantitatif
Dalam Analisis kuantitatif, digunakan angka yang didasarkan pada
data dari berbagai macam sumber dan Analisis yang dilakukan
C H AR ACT E R
•
C OM P E T E N C E
•
C ON F I D E N C E
tergantung pada tingkat keakuratan data. Konsekuensi diekspresikan
dalam nilai uang/kriteria teknis/kriteria manusia, sedangkan Probralility
atau Likelihood diekspresikan dalam probabilitas/ frekuensi/kombinasi
antara probabilitas dan frekuensi.
4. Menilai Risiko
Dalam tahapan penilaian risiko, dilakukan proses membandingkan tingkat
risiko dengan kriteria risiko pada basis yang sama. Hasil penilaian risiko
adalah berupa daftar prioritas risiko dimana area yang dinilai berisiko tinggi
ditindaklanjuti dan yang berisiko rendah dipantau.
Penilaian risiko pada akhirnya akan memberikan hasil identifikasi risiko,
beserta rekomendasi control keamanan yang terkait dengan upaya
menurunkan risiko terserbut. Tahapan tersebut dinamakan rekomendasi
kontrol. Control recommendation akan menjadi hasil dari proses risk
assessment dan akan menjadi input bagi proses risk mitigation, serta
menjadi rekomendasi prosedur dan teknik dalam perencanaan pengamanan
yang diimplementasikan ke depan.
Adapun rekomendasi yang dihasilkan dari atau analisis risiko, sebagai
berikut:
a. Risiko yang terkategori pada level “Low”, dengan rangking 1 sampai 4,
bernilai risiko rendah, sehingga yang dapat diterima.
b. Risiko yang terkategori pada level “Medium”, dengan ranking 5 sampai 12
bernilai menengah, dengan rekomendasi risiko tidak dapat diterima,
sehingga risiko tersebut harus dihilangkan, dikurangi atau dipindahkan.
c. Risiko yang terkategori pada level “High”, dengan ranking 15 sampai 25
bernilai tinggi, dengan rekomendasi risiko tidak dapat diterima, sehingga
risiko tersebut harus dihilangkan, dikurangi atau dipindahkan.
RISK MATRIX
C H AR ACT E R
•
C OM P E T E N C E
•
C ON F I D E N C E
PROBABILITY
REMARKS
IMPACT
REMARKS
5
Very Likely (hampir pasti)
1
Trivial/ Low (relative tidak
berdampak)
4
Likely (mungkin terjadi)
2
Minor (dampak kecil)
3
Moderate (sedang)
3
Moderate (dampak sedang)
2
Unlikely (kemungkinan kecil
terjadi)
Rare ( sangat jarang terjadi)
4
Major (dampak besar)
5
Extreme (dampak sangat besar)
1
5. Memperlakukan Risiko
Dalam tahapan perlakuan risiko, ditempuh langkah-langkah sebagai berikut:
a. Identifikasi opsi perlakuan
Terdapat 5 (lima) opsi yang dapat dipilih, yaitu:
C H AR ACT E R
•
C OM P E T E N C E
•
C ON F I D E N C E
1)
2)
3)
4)
5)
Menghindari risiko
Menghindari risiko dapat mengakibatkan kegagalan memperlakukan
risiko, meninggalkan pilihan kritis kepada pihak lain, menangguhkan
keputusan yang tidak dapat dihindari oleh organisasi, memilih opsi
yang memiliki risiko lebih rendah tanpa mempertimbangkan
manfaatnya.
Mengurangi likelihood (kemungkinan)
Langkah yang dapat ditempuh adalah melakukan audit, penelaahan
formal terhadap spesifikasi dan rancangan operasi, pengendalian
proses, manajemen investasi dan portofolio, manajemen proyek,
manajemen dan standar kualitas, penelitian dan pengembangan
teknologi, supervisi dan pengendalian teknik.
Mengurangi konsekuensi
Langkah yang dapat ditempuh adalah perencanaan kontinjensi,
rencana
pemulihan
bencana,
pengendalian
kecurangan,
meminimalkan eksposur terhadap sumber risiko, perencanaan
portofolio, kebijakan dan pengendalian penentuan harga, pemisahan
atau relokasi suatu aktivitas atau sumberdaya, hubungan masyarakat.
Mentransfer risiko (risk transfer)
Menahan risiko (risk acceptance)
b. Menilai opsi perlakuan
Penilaian opsi didasarkan pada luas pengurangan risiko dan besarnya
manfaat/kesempatan yang tercipta.
1) Mempersiapkan rencana perlakuan
Menentukan penanggung jawab, jadwal, outcome yang diharapkan,
anggaran, ukuran kinerja dan penelaahan.
2) Implementasi rencana perlakuan
Apabila masih ada risiko residual, harus diputuskan apakah akan
menahan risiko atau mengulangi proses perlakuan.
6. Monitoring dan Review
Monitoring dan review atas risiko dan efektifitas pengendalian dilakukan
untuk meyakinkan apakah perubahan kondisi tidak mengubah prioritas dan
apakah rencana manajemen tetap relevan.
7. Komunikasi dan Konsultasi
Dilakukan komunikasi mengenai risiko dan cara mengelolanya kepada setiap
stakeholder dan harus dilakukan pada setiap tahapan manajemen risiko.
C. ANALISA EFEKTIFITAS DAN EFISIENSI
Dalam tahap mitigasi resiko juga merupakan upaya dalam menilai kontrol
keamanan yang secara efektif dan efisien dapat menurunkan risiko
C H AR ACT E R
•
C OM P E T E N C E
•
C ON F I D E N C E
keamanan yang berpotensi terjadi. Tahapan pada mitigasi risiko antara lain
adalah tahap analisis effectivenessccost dan costcbreneft analysis
Pada tahap analisis effectivenesss cost kontrol keamanan akan dilakukan
berdasarkan tahapan, sebagai berikut:
1. Melakukan identifikasi investasi dalam rangka implementasi kontrol
keamanan yang telah direkomendasikan pada tahapan sebelumnya
2. Menghitung nilai prioritas, setiap investasi
3. Menentukan rangking prioritas investasi.
Tahap pertama ialah mengidentifikasi investasi dalam rangka implementasi
kontrol keamanan, yang telah direkomendasikan.
Tahap kedua ialah menghitung nilai prioritas, dengan membandingkan
efektivitas antar control keamanan satu dengan lainnya, berdasarkan
kemampuannya untuk mencapai tujuan sistem pengamanan.
Adapun hasil dari identifikasi dan perbandingan data ini diharapkan dapat
menjadi bahan pertimbangan dalam perencanaan keamanan, sehingga dapat
diketahui prioritas impelementasi kontrol agar dapat efektif dalam mencapai
tujuan dan sasaran keamanan.
Berdasarkan hasil dari costcbreneft analysis,pihak manajemen menentukan
beberapa rekomendasi yang memiliki costceffectiveness untuk mampu
mengurangi dan menghilangkan risiko, maka rekomendasi kontrol yang
dipilih untuk digunakan.
C H AR ACT E R
•
C OM P E T E N C E
•
C ON F I D E N C E
Pemilihan kontrol telah menyajikan hasil evaluasi, yang menyatakan bahwa
seluruh control telah sesuai dengan kerawanan/kelemahan yang akan
dikurangi dan mampu menurunkan risiko di bawah maksimum risiko.
Sedangkan analisis costcbreneft, yang menyatakan bahwa kontrol yang
direkomendasikan dapat mengurangi minimum resiko dengan biaya
implementasi yang lebih kecil dibanding biaya (nilai risiko) jika tidak
dimplementasi
Analisis
cost
effectiveness
memberikan
prioritas
dalam
mengimplementasikan kontrol-kontrol tersebut, berdasarkan efektvitasnya
dalam mencapai tujuan pengamanan. Sehingga sampai pada kesimpulan
berdasarkan hasil evaluasi dan analisis, control dipilih dapat ntuk
diimplementasikan.
Tindakan
selanjutnya
setelah
rekomendasi
kontrol
dipilih
untuk
diimplementasikan ialah menugaskan orang dengan deskripsi tugas tertentu,
sebagai orang yang bertanggungjawab pada pengendalian tugas dan
mekanisme untuk mengurangi dan menghilangkan risiko.
Rencana tersebut berisi informasi hasilhasil tahapan risk mitigation
sebelumnya, yaitu antara lain:
1. Pilihan kontrol (selected planned control)
2. Prioritas aksi (prioritize action)
3. Kebutuhan sumber daya untuk implementasi kontrol (required resources
for implementing the selected planned control)
4. Penugasan personil yang bertanggungjawab (list of responsibrle team and
staff)
C H AR ACT E R
•
C OM P E T E N C E
•
C ON F I D E N C E
DALAM PROJEK PENULISAN MANUAL PENGAMANAN ASSET INDUSTRI HULU MIGAS
DI INDONESIA
A. PENDAHULUAN
Tahapan dalam pembuatan rencana keamanan dapat disusun berdasarkan
gangguan yang pernah terjadi, lokasi penyimpanan aset, atau pemilihan
system pengamanan yang sesuai dengan dana User (SKK Migas). Terkadang
pula Rencana Pengamanan dituliskan dengan format dan isi yang berbedabeda, sehingga perlu dilakukan pengkajian tentang bagaimana rencana
pengamanan yang bukan saja secara efektif menurunkan risiko, juga secara
efisien dalam implementasinya.
Proses penyusunan ini perlu diawali dengan pemahaman terhadap rencana
pengamanan yang lengkap, dan dukungan hasil analisis risiko dan mitigasi.
Rencana Pengamanan (security planning) merupakan susunan strategi yang
diterapkan untuk mengurangi kelemahan dan menurunkan potensial
ancaman dan risiko yang terkait dengan system pengamanan yang berjalan,
sehingga kemudian dapat dilakukan proses untuk meredakan risiko (risk
mitigation), dan melakukan kontrol dan evaluasi Komponen dari rencana
keamanan meliputi: kebijakan, standard dan prosedur pengamanan (policy),
kontrol pengelolaan Sumber Daya Manusia (SDM) untuk keamanan (people),
kontrol teknologi keamanan (technology) dan keamanan informasi
(Information Security).
Kontrol yang dimaksud adalah langkah implementasi yang spesifik dan
prosedural. Sedangkan yang menjadi kebutuhan penting rencana ini adalah
permintaan level pengamanan yang diinginkan.
Sebuah rencana keamanan harus dapat mengkombinasikan peran dari
kebijakan, orang dan teknologi/peralatan, dimana manusia (people), yang
menjalankan proses membutuhkan dukungan kebijakan dan prosedur (policy
and procedures),sebagai petunjuk untuk melakukannya, dan membutuhkan
teknologi (technology) merupakan alat(tools), mekanisme atau fasilitas untuk
melakukan proses kegiatan pengamanan
Berdasarkan uraian di atas, maka rencana pengamanan akan berisi tentang
penentuan kombinasi kontrol keamanan yang digunakan, serta prioritas
dalam melakukan implementasinya. Isi/ konten dasar pada dokumen rencana
Pengamanan (security plan), antara lain:
1. Ancaman dan kelemahan (Threat and Vulnerability), merupakan proses
untuk mereview hasil tahapan penilaian risiko, dengan mengambil
informasi mengenai sesuatu yang dapat menganggu kegiatan organisasi.
2. Tujuan dan sasaran (Scope and Objectives), merupakan proses
menentukan target dan lingkup keamanan yang ingin dicapai, sehingga
dapat fokus pada aspek keamanan yang akan diselesaikan. Sasaran
keamanan menggambarkan spesifik hasil, kejadian atau manfaat yang
ingin di capai sesuai dengan tujuan keamanan yang ditetapkan.
3. Aturan dan tanggungjawab (Regulatory and Responsibility), merupakan
proses menyusun aturan dan penanggungjawab, yang mengatur kegiatan
C H AR ACT E R
•
C OM P E T E N C E
•
C ON F I D E N C E
sebagai upaya untuk menurunkan risiko keamanan yang bersumber dari
ancaman dan kelemahan
4. Strategi dan kontrol keamanan, merupakan proses untuk memberikan
prioritas aksi yang akan dilakukan untuk mencapai tujuan dan sasaran
keamanan yang telah ditetapkan.
B. PENILAIAN ANCAMAN DAN KELEMAHAN (Risk & Vulnerability Assessment)
Pelaksanaan Risk Assessment dijalankan menggunakan 7 (tujuh) langkah
yaitu antara lain :
1. Menetapkan konteks Resiko
2. Mengidentifkasi Resiko
3. Menganalisa/ mengukur resiko
4. Menilai Resiko
5. Memperlakukan resiko
6. Monitoring and review
7. Komunikasi dan konsultasi
TAHAPAN MANAJEMEN RISIKO
Selanjutnya akan dielaborasikan tahapan-tahapan tersebut sebagai berikut:
C H AR ACT E R
•
C OM P E T E N C E
•
C ON F I D E N C E
1. Menetapkan Konteks
Identifikasi risiko seringkali dianggap sebagai tahapan utama dalam proses
manajemen risiko, namun seperti terlihat dalam gambar di atas maka untuk
dapat mengenali risiko terlebih dahulu harus diperoleh pemahaman
mengenai what is at risk. Untuk memastikan bahwa semua risiko signifikan
sudah terekam maka harus dipahami dengan baik tujuan-tujuan organisasi
dimana risiko tersebut dikelola.
a. Ruang Lingkup
Ruang lingkup penetapan konteks mencakup:
1) Kebijakan, fungsi, proses dan aktivitas organisasi
2) Kekuatan dan kelemahan organisasi
3) Tujuan utama organisasi ancaman dan peluang terbesar yang dihadapi
organisasi
4) Stakeholder dan kepentingannya
5) Tanggung jawab organisasi terhadap stakeholder
6) Faktor lingkungan internal dan eksternal
b. Teknik
Teknik yang dapat digunakan dalam penetapan konteks adalah:
Mengumpulkan dan menelaah dokumen-dokumen organisasi
1) Mereview struktur dan bagan organisasi
2) Melakukan wawancara dengan pihak terkait
3) Benchmarking
4) Control and Risk Self Assessment
c. Tahapan
1) Menetapkan konteks strategis
Dilakukan dengan memahami faktor internal dan eksternal organisasi,
membuat Analisis hubungan antara aktivitas organisasi dengan
lingkungan, mengidentifikasi stakeholders (manajemen, pemegang
saham, pegawai, pelanggan, rekanan, masyarakat, pemerintah dan
pemuka masyarakat), mengembangkan Analisis SWOT (strenght,
weakness, opportunity, threat).
2) Menetapkan konteks organisasi
Dilakukan dengan menilai aktivitas dan kemampuan organisasi untuk
mencapai tujuan yang telah ditetapkan. Sejumlah aspek yang harus
dinilai adalah:
a) Budaya risiko (sikap, nilai-nilai dan praktik-praktik yang
mencerminkan bagaimana suatu organisasi mempertimbangkan
risiko dalam aktivitas sehari-hari)
b) Hasrat risiko/risk appetite (tingkat risiko yang dapat diterima oleh
organisasi dalam mencapai tujuan)
c) Toleransi risiko (tingkatan variasi relatif yang dapat diterima
terhadap pencapaian tujuan).
C H AR ACT E R
•
C OM P E T E N C E
•
C ON F I D E N C E
3) Menetapkan konteks manajemen risiko
Dilakukan dengan menentukan sasaran, tujuan, strategi, lingkup dan
parameter aktivitas atau bagian organisasi dimana proses manajemen
risiko diaplikasikan, sumber daya yang diperlukan.
4) Mengembangkan kriteria penilaian risiko
Dilakukan dengan mempertimbangan tingkat risiko yang dapat diterima
oleh organisasi dalam hubungannya dengan berbagai aspek kegiatan.
Kriteria yang dikembangkan harus memenuhi atribut:
a) Concise (jelas) - memberikan sejumlah ukuran tertentu yang
memungkinkan penilaian atas seluruh dampak yang signifikan
b) Mencakup seluruh aspek kegiatan
c) Merumuskan bagaimana ukuran-ukuran dibuat, apakah dalam
bentuk kualitatif atau kuantitatif
5) Mendefinisikan struktur manajemen risiko
Dilakukan dengan merumuskan struktur yang meliputi pemisahan
aktivitas dalam suatu perangkat elemen-elemen yang menyediakan
kerangka yang logis untuk kepentingan identifikasi dan Analisis yang
memberi keyakinan bahwa risiko-risiko yang signifikan.
2. Mengidentifikasi Risiko
a. Tujuan
Merupakan tahapan yang sangat kritikal dalam proses manajemen risiko
yaitu merekam semua risiko baik yang sudah maupun belum dikendalikan
melalui pengendalian inten.
Proses yang dilakukan dalam tahap identifikasi risiko adalah:
1) Menginventarisasi
data
kejadian/peristiwa
komprehensif
yang
mempengaruhi organisasi
2) Menentukan sumber-sumber risiko, antara lain hubungan bisnis dan
hukum, lingkungan ekonomi, perilaku manusia, kejadian alam,
lingkungan politik, isu teknologi, aktivitas manajemen dan aktivitas
individu.
3) Menentukan area yang terkena pengaruh risiko, antara lain aset dan
sumber daya, pendapatan, biaya, pegawai, masyarakat, kinerja, waktu
dan jadual aktivitas, lingkungan.
4) Menentukan penyebab dan skenario risiko.
b. Teknik
Teknik dan alat bantu yang dapat digunakan untuk mengidentifikasi risiko
antara lain adalah checklist, justifikasi berdasarkan pengalaman dan
catatan historis, flowchart, brrainstorming, analisis sistem, dan analisis
skenario.
C H AR ACT E R
•
C OM P E T E N C E
•
C ON F I D E N C E
c. Model Risiko
Sebagai bagian dari tahapan identifikasi risiko, dibuat model risiko untuk
memberi gambaran secara komprehensif mengenai peristiwa dan kondisi
yang mungkin terjadi, baik yang bersumber dari perubahan di dalam
lingkungan eksternal maupun dari unsur proses bisnis internal organisasi.
Model risiko dibuat dengan tujuan untuk memberi acuan mengenai
peristiwa dan kondisi yang mungkin terjadi serta bagaimana dan mengapa
terjadi yang selanjutnya akan digunakan sebagai bahan Analisis.
3. Menganalisis/Mengukur Risiko
a. Tujuan
Merupakan tahapan untuk memisahkan risiko minor dan risiko mayor serta
mengidentifikasi pengendalian intern yang ada (melalui inspeksi dan
control self assessment) serta menentukan dampak dan likelihood.
Sumber data dan informasi yang digunakan untuk menentukan
konsekuensi dan likelihood adalah catatan masa lalu, justifikasi
berdasarkan pengalaman yang relevan, praktik dan pengalaman industri,
literatur-literatur, riset pasar, pengujian dan prototype, model ekonomi,
pertimbangan ahli dan spesialis.
b. Metode
Analisis risiko terbagi menjadi beberapa jenis, yaitu:
1) Analisis Kualitatif
Analisis kualitatif digunakan:
a) Untuk memperoleh indikasi umum atas suatu risiko sebelum
dilakukan Analisis lebih rinci.
b) Apabila waktu dan usaha tidak memungkinkan untuk dilakukan
Analisis lebih rinci.
c) Apabila data numerik tidak memadai untuk dilakukan Analisis
kuantitatif.
Yang perlu diperhatikan dalam melakukan Analisis dan mengukur
risiko adalah faktor-faktor risiko, pengaruhnya serta pemicu (driver)
dari masing -masing risiko.
2) Analisis Semi Kuantitatif
Dalam Analisis semi kuantitatif, skala kualitatif diberi nilai dan angka.
3) Analisis Kuantitatif
Dalam Analisis kuantitatif, digunakan angka yang didasarkan pada
data dari berbagai macam sumber dan Analisis yang dilakukan
C H AR ACT E R
•
C OM P E T E N C E
•
C ON F I D E N C E
tergantung pada tingkat keakuratan data. Konsekuensi diekspresikan
dalam nilai uang/kriteria teknis/kriteria manusia, sedangkan Probralility
atau Likelihood diekspresikan dalam probabilitas/ frekuensi/kombinasi
antara probabilitas dan frekuensi.
4. Menilai Risiko
Dalam tahapan penilaian risiko, dilakukan proses membandingkan tingkat
risiko dengan kriteria risiko pada basis yang sama. Hasil penilaian risiko
adalah berupa daftar prioritas risiko dimana area yang dinilai berisiko tinggi
ditindaklanjuti dan yang berisiko rendah dipantau.
Penilaian risiko pada akhirnya akan memberikan hasil identifikasi risiko,
beserta rekomendasi control keamanan yang terkait dengan upaya
menurunkan risiko terserbut. Tahapan tersebut dinamakan rekomendasi
kontrol. Control recommendation akan menjadi hasil dari proses risk
assessment dan akan menjadi input bagi proses risk mitigation, serta
menjadi rekomendasi prosedur dan teknik dalam perencanaan pengamanan
yang diimplementasikan ke depan.
Adapun rekomendasi yang dihasilkan dari atau analisis risiko, sebagai
berikut:
a. Risiko yang terkategori pada level “Low”, dengan rangking 1 sampai 4,
bernilai risiko rendah, sehingga yang dapat diterima.
b. Risiko yang terkategori pada level “Medium”, dengan ranking 5 sampai 12
bernilai menengah, dengan rekomendasi risiko tidak dapat diterima,
sehingga risiko tersebut harus dihilangkan, dikurangi atau dipindahkan.
c. Risiko yang terkategori pada level “High”, dengan ranking 15 sampai 25
bernilai tinggi, dengan rekomendasi risiko tidak dapat diterima, sehingga
risiko tersebut harus dihilangkan, dikurangi atau dipindahkan.
RISK MATRIX
C H AR ACT E R
•
C OM P E T E N C E
•
C ON F I D E N C E
PROBABILITY
REMARKS
IMPACT
REMARKS
5
Very Likely (hampir pasti)
1
Trivial/ Low (relative tidak
berdampak)
4
Likely (mungkin terjadi)
2
Minor (dampak kecil)
3
Moderate (sedang)
3
Moderate (dampak sedang)
2
Unlikely (kemungkinan kecil
terjadi)
Rare ( sangat jarang terjadi)
4
Major (dampak besar)
5
Extreme (dampak sangat besar)
1
5. Memperlakukan Risiko
Dalam tahapan perlakuan risiko, ditempuh langkah-langkah sebagai berikut:
a. Identifikasi opsi perlakuan
Terdapat 5 (lima) opsi yang dapat dipilih, yaitu:
C H AR ACT E R
•
C OM P E T E N C E
•
C ON F I D E N C E
1)
2)
3)
4)
5)
Menghindari risiko
Menghindari risiko dapat mengakibatkan kegagalan memperlakukan
risiko, meninggalkan pilihan kritis kepada pihak lain, menangguhkan
keputusan yang tidak dapat dihindari oleh organisasi, memilih opsi
yang memiliki risiko lebih rendah tanpa mempertimbangkan
manfaatnya.
Mengurangi likelihood (kemungkinan)
Langkah yang dapat ditempuh adalah melakukan audit, penelaahan
formal terhadap spesifikasi dan rancangan operasi, pengendalian
proses, manajemen investasi dan portofolio, manajemen proyek,
manajemen dan standar kualitas, penelitian dan pengembangan
teknologi, supervisi dan pengendalian teknik.
Mengurangi konsekuensi
Langkah yang dapat ditempuh adalah perencanaan kontinjensi,
rencana
pemulihan
bencana,
pengendalian
kecurangan,
meminimalkan eksposur terhadap sumber risiko, perencanaan
portofolio, kebijakan dan pengendalian penentuan harga, pemisahan
atau relokasi suatu aktivitas atau sumberdaya, hubungan masyarakat.
Mentransfer risiko (risk transfer)
Menahan risiko (risk acceptance)
b. Menilai opsi perlakuan
Penilaian opsi didasarkan pada luas pengurangan risiko dan besarnya
manfaat/kesempatan yang tercipta.
1) Mempersiapkan rencana perlakuan
Menentukan penanggung jawab, jadwal, outcome yang diharapkan,
anggaran, ukuran kinerja dan penelaahan.
2) Implementasi rencana perlakuan
Apabila masih ada risiko residual, harus diputuskan apakah akan
menahan risiko atau mengulangi proses perlakuan.
6. Monitoring dan Review
Monitoring dan review atas risiko dan efektifitas pengendalian dilakukan
untuk meyakinkan apakah perubahan kondisi tidak mengubah prioritas dan
apakah rencana manajemen tetap relevan.
7. Komunikasi dan Konsultasi
Dilakukan komunikasi mengenai risiko dan cara mengelolanya kepada setiap
stakeholder dan harus dilakukan pada setiap tahapan manajemen risiko.
C. ANALISA EFEKTIFITAS DAN EFISIENSI
Dalam tahap mitigasi resiko juga merupakan upaya dalam menilai kontrol
keamanan yang secara efektif dan efisien dapat menurunkan risiko
C H AR ACT E R
•
C OM P E T E N C E
•
C ON F I D E N C E
keamanan yang berpotensi terjadi. Tahapan pada mitigasi risiko antara lain
adalah tahap analisis effectivenessccost dan costcbreneft analysis
Pada tahap analisis effectivenesss cost kontrol keamanan akan dilakukan
berdasarkan tahapan, sebagai berikut:
1. Melakukan identifikasi investasi dalam rangka implementasi kontrol
keamanan yang telah direkomendasikan pada tahapan sebelumnya
2. Menghitung nilai prioritas, setiap investasi
3. Menentukan rangking prioritas investasi.
Tahap pertama ialah mengidentifikasi investasi dalam rangka implementasi
kontrol keamanan, yang telah direkomendasikan.
Tahap kedua ialah menghitung nilai prioritas, dengan membandingkan
efektivitas antar control keamanan satu dengan lainnya, berdasarkan
kemampuannya untuk mencapai tujuan sistem pengamanan.
Adapun hasil dari identifikasi dan perbandingan data ini diharapkan dapat
menjadi bahan pertimbangan dalam perencanaan keamanan, sehingga dapat
diketahui prioritas impelementasi kontrol agar dapat efektif dalam mencapai
tujuan dan sasaran keamanan.
Berdasarkan hasil dari costcbreneft analysis,pihak manajemen menentukan
beberapa rekomendasi yang memiliki costceffectiveness untuk mampu
mengurangi dan menghilangkan risiko, maka rekomendasi kontrol yang
dipilih untuk digunakan.
C H AR ACT E R
•
C OM P E T E N C E
•
C ON F I D E N C E
Pemilihan kontrol telah menyajikan hasil evaluasi, yang menyatakan bahwa
seluruh control telah sesuai dengan kerawanan/kelemahan yang akan
dikurangi dan mampu menurunkan risiko di bawah maksimum risiko.
Sedangkan analisis costcbreneft, yang menyatakan bahwa kontrol yang
direkomendasikan dapat mengurangi minimum resiko dengan biaya
implementasi yang lebih kecil dibanding biaya (nilai risiko) jika tidak
dimplementasi
Analisis
cost
effectiveness
memberikan
prioritas
dalam
mengimplementasikan kontrol-kontrol tersebut, berdasarkan efektvitasnya
dalam mencapai tujuan pengamanan. Sehingga sampai pada kesimpulan
berdasarkan hasil evaluasi dan analisis, control dipilih dapat ntuk
diimplementasikan.
Tindakan
selanjutnya
setelah
rekomendasi
kontrol
dipilih
untuk
diimplementasikan ialah menugaskan orang dengan deskripsi tugas tertentu,
sebagai orang yang bertanggungjawab pada pengendalian tugas dan
mekanisme untuk mengurangi dan menghilangkan risiko.
Rencana tersebut berisi informasi hasilhasil tahapan risk mitigation
sebelumnya, yaitu antara lain:
1. Pilihan kontrol (selected planned control)
2. Prioritas aksi (prioritize action)
3. Kebutuhan sumber daya untuk implementasi kontrol (required resources
for implementing the selected planned control)
4. Penugasan personil yang bertanggungjawab (list of responsibrle team and
staff)
C H AR ACT E R
•
C OM P E T E N C E
•
C ON F I D E N C E