MATA KULIAH AUDIT TEKNOLOGI SISTEM
INFORMASI
Dosen : Qomariyah
Nama : Riya Ayuning Tiyas
NPM : 16115095
Kelas : 4KA23
Tugas : Audit Teknologi Sistem Informasi (Tugas Ke 3)
AUDIT
TEKNOLOGI SISTEM INFORMASI
(
SOFTSKILL )
PERBANDINGAN
FRAMEWORK
COSO
ERM, ISO31000, dan NIST SP 800 -30
Disusun
Oleh :
Ayu Fitriana (11115183)
Nadhifa Irbah (14115906)
Riya Ayuning Tiyas (16115095)
Kelas
: 4KA23
BAB
I
PENDAHULUAN
Tidak dapat dipungkiri bahwa saat ini terdapat dua
rujukan besar yang dijadikan kiblat penerapan manajemen risiko. Kedua rujukan
tersebut adalah Committee of Sponsoring Organizations of the Treadway
Commission (COSO) Enterprise Risk Management (ERM) – Integrated Framework dan
The International Organization for Standardization (ISO) 31000: 2009 Risk
Management – Principles and Guidelines. COSO ERM dan ISO 31000: 2009 merupakan
rujukan manajemen risiko yang telah banyak diadopsi oleh perusahaan-perusahaan
dari berbagai belahan dunia. Kedua rujukan tersebut menyediakan panduan
penerapan manajemen risiko dengan tujuan mendukung efektivitas manajemen risiko
bagi para penggunanya. Walau disusun dengan tujuan serupa, kedua standar
tersebut memiliki perbedaan dalam berbagai aspek dan komponennya.
Keberadaan standar-standar manajemen risiko yang
beragam ini melahirkan perdebatan mengenai standar mana yang lebih baik.
“Standar manakah yang lebih baik dalam mendukung efektivitas penerapan
manajemen risiko? Apakah COSO ERM atau ISO31000:2009?” Untuk menjawab
pertanyaan tersebut kita perlu memahami terlebih dahulu isi dari kedua standar
tersebut.
ISO 31000
ISO 31000 adalah keluarga
standar internasional pedoman penerapan manajemen risiko yang diterbitkan oleh
International Organization for Standardization. Standar yang diterbitkan pada
13 November 2009 ini merupakan pengembangan standar AS/NZS 4360:2004 yang
dikeluarkan oleh Standards Australia. ISO 31000 tidak dikembangkan untuk tujuan
sertifikasi.
Tujuan ISO 31000: 2009 adalah
untuk memberikan prinsip-prinsip dan pedoman umum tentang manajemen risiko. ISO
31000 berusaha memberikan paradigma yang diakui secara universal bagi para
praktisi dan perusahaan yang menggunakan proses manajemen risiko untuk
menggantikan berbagai standar, metodologi, dan paradigma yang ada yang berbeda
antara industri, subjek dan daerah.
The International Organization for Standardization
(ISO) 31000: 2009 Risk Management – Principles and Guidelines merupakan sebuah
standar international yang disusun dengan tujuan memberikan prinsip dan panduan
generic untuk penerapan manajeman resiko. Standar international yang
diterbitkan pada 13 november 2009 ini dapat digunakan oleh segala jenis
organisasi dalam menghadapi berbagai resiko yang melekat pada aktivitas
organisasi tersebut. Namun standar ini tidak ditujukan untuk menyeragamkan
manajemen resiko lintas organisasi.
Saat ini, keluarga ISO 31000 diharapkan
meliputi:
·
ISO 31000: 2009 - Prinsip
dan Pedoman Pelaksanaan [1]
·
ISO / IEC 31010: 2009 -
Manajemen Risiko - Teknik Penilaian Risiko
·
Panduan ISO 73: 2009 -
Manajemen Resiko – Kosakata
·
ISO juga merancang
Pedoman ISO 21500 pada standar Manajemen Proyek untuk menyelaraskan dengan ISO
31000: 2009.
Ø Prinsip Dasar Menurut ISO
31000
Menurut ISO 31000,
manajemen risiko suatu organisasi harus mengikuti 11 prinsip dasar agar dapat
dilaksanakan secara efektif. Berikut penjabaran prinsip-prinsip tersebut:
§ Manajemen
risiko menciptakan nilai tambah (creates value)
Manajemen risiko
berkontribusi terhadap pencapaian nyata objektif dan peningkatan, antara lain,
kesehatan dan keselamatan manusia, kepatuhan terhadap hukum dan peraturan,
penerimaan publik, perlindungan lingkungan, kinerja keuangan, kualitas produk,
efisiensi operasi, serta tata kelola dan reputasi perusahaan.
§ Manajemen
risiko adalah bagian integral proses dalam organisasi (an integral part of organizational
processes)
Manajemen risiko adalah
bagian tanggung jawab manajemen dan merupakan suatu bagian integral dalam
proses normal organisasi seperti juga merupakan bagian dari seluruh proses
proyek dan manajemen perubahan. Manajemen risiko bukanlah merupakan aktivitas
yang berdiri sendiri yang terpisah dari aktivitas-aktivitas utama dan proses
dalam organisasi.
§ Manajemen
risiko adalah bagian dari pengambilan keputusan (part of decision making)
Manajemen risiko membantu
pengambil keputusan mengambil keputusan dengan informasi yang cukup. Manajemen
risiko dapat membantu memprioritaskan tindakan dan membedakan berbagai pilihan
alternatif tindakan. Pada akhirnya, manajemen risiko dapat membantu memutuskan
apakah suatu risiko dapat diterima atau apakah suatu penanganan risiko telah
memadai dan efektif.
§ Manajemen
risiko secara eksplisit menangani ketidakpastian (explicitly addresses
uncertainty)
Manajemen risiko
menangani aspek-aspek ketidakpastian dalam pengambilan keputusan, sifat alami
dari ketidakpastian itu, dan bagaimana menanganinya.
§ Manajemen
risiko bersifat sistematis, terstruktur, dan tepat waktu (systematic,
structured and timely)
Suatu pendekatan
sistematis, tepat waktu, dan terstruktur terhadap manajemen risiko memiliki
kontribusi terhadap efisiensi dan hasil yang konsisten, dapat dibandingkan,
serta andal.
§ Manajemen
risiko berdasarkan informasi terbaik yang tersedia (based on the best
available information)
Masukan untuk proses
pengelolaan risiko didasarkan oleh sumber informasi seperti pengalaman, umpan
balik, pengamatan, prakiraan, dan pertimbangan pakar. Meskipun demikian,
pengambil keputusan harus terinformasi dan harus mempertimbangkan segala
keterbatasan data atau model yang digunakan atau kemungkinan perbedaan pendapat
antar pakar.
§ Manajemen
risiko dibuat sesuai kebutuhan (tailored)
Manajemen risiko
diselaraskan dengan konteks eksternal dan internal organisasi serta profil
risikonya.
§ Manajemen
risiko memperhitungkan faktor manusia dan budaya (takes human and cultural
factors into account)
Manajemen risiko
organisasi mengakui kapabilitas, persepsi, dan tujuan pihak- pihak eksternal
dan internal yang dapat mendukung atau malah menghambat pencapaian tujuan
organisasi.
§ Manajemen
risiko bersifat transparan dan inklusif (transparent and inclusive)
Pelibatan para pemangku
kepentingan, terutama pengambil keputusan, dengan sesuai dan tepat waktu pada
semua tingkatan organisasi, memastikan manajemen risiko tetap relevan dan
mengikuti perkembangan. Pelibatan ini juga memungkinkan pemangku kepentingan untuk
cukup terwakili dan diperhitungkan sudut pandangnya dalam menentukan kriteria
risiko.
§ Manajemen
risiko bersifat dinamis, iteratif, dan responsif terhadap perubahan (dynamic,
iterative and responsive to change)
Seiring dengan timbulnya
peristiwa internal dan eksternal, perubahan konteks dan pengetahuan, serta
diterapkannya pemantauan dan peninjauan, risiko-risiko baru bermunculan,
sedangkan yang ada bisa berubah atau hilang. Karenanya, suatu organisasi harus
memastikan bahwa manajemen risiko terus menerus memantau dan menanggapi
perubahan.
§ Manajemen
risiko memfasilitasi perbaikan dan pengembangan berkelanjutan organisasi (facilitates
continual improvement and enhancement of the organization)
Organisasi harus
mengembangkan dan mengimplementasikan strategi untuk memperbaiki kematangan
manajemen risiko mereka bersama aspek-aspek lain dalam organisasi mereka
Ø
Kerangka Kerja
Manajemen Resiko
Gambar Komponen – Komponen Kerangka Kerja Manajemen
Resiko
Kerangka kerja manajemen risiko ISO 31000: 2009 Risk
Management – Principles and Guidelines dimulai dengan pemberian mandat dan
komitmen. Pemberian mandat dan komitmen merupakan hal yang sangat penting
karena menentukan akuntabilitas, kewenangan, dan kapabilitas dari pelaku
manajemen risiko. Hal-hal penting yang harus dilakukan pada pemberian mandat
dan komitmen adalah:
·
Membuat dan menyetujui kebijakan manajemen risiko;
·
Menyesuaikan indikator kinerja manajemen risiko dengan
indikator kinerja perusahaan;
·
Menyesuaikan kultur organisasi dengan nilai-nilai
manajemen risiko;
·
Menyesuaikan sasaran manajemen risiko dengan sasaran
strategis perusahaan;
·
Memberikan kejelasan peran dan tanggung jawab;
·
Menyesuaikan kerangka kerja manajemen risiko dengan
kebutuhan organisasi.
Setelah pemberian mandat dan komitmen, kerangka kerja
ISO 31000: 2009 dilanjutkan dengan kerangka implementasi “Plan, Do, Check,
Act”, yaitu dengan melakukan:
1) Perencanaan
kerangka kerja manajemen risiko;
2) Penerapan
manajemen risiko;
3) Monitoring dan
review terhadap kerangka kerja manajemen risiko;
4) Perbaikan kerangka
kerja manajemen risiko secara berkelanjutan.
Perencanaan kerangka kerja manajemen risiko mencakup
pemahaman mengenai organisasi dan konteksnya, menetapkan kebijakan manajemen
risiko, menetapkan akuntabilitas manajemen risiko, mengintegrasikan manajemen
risiko ke dalam proses bisnis organisasi, alokasi sumber daya manajemen risiko,
dan menetapkan mekanisme komunikasi internal dan eksternal. Setelah melakukan
perencanaan kerangka kerja, maka dilakukan penerapan proses manajemen risiko.
Dalam penerapan manajemen risiko, perlu dilakukan
monitoring dan review terhadap kerangka kerja manajemen risiko. Setelah itu,
kerangka kerja manajemen risiko perlu diperbaiki secara berkelanjutan untuk
memfasilitasi perubahan yang terjadi pada konteks internal dan eksternal
organisasi. Proses-proses tersebut kemudian berulang kembali untuk memastikan
adanya kerangka kerja manajemen risiko yang mengalami perbaikan
berkesinambungan dan dapat menghasilkan penerapan manajemen risiko yang andal.
Ø
Proses Manajemen
Resiko
Gambar Komponen – Komponen Proses Management Resiko
Proses manajemen risiko
merupakan kegiatan kritikal dalam manajemen risiko, karena merupakan penerapan
daripada prinsip dan kerangka kerja yang telah dibangun. Proses manajemen
risiko terdiri dari tiga proses besar, yaitu:
1) Penetapan konteks
(establishing the context)
Penetapan konteks bertujuan untuk mengidentifikasi dan
mengungkapkan sasaran organisasi, lingkungan dimana sasaran hendak dicapai,
stakeholders yang berkepentingan, dan keberagaman kriteria risiko, dimana
hal-hal ini akan membantu mengungkapkan dan menilai sifat dan kompleksitas dari
risiko. Terdapat empat konteks yang perlu ditentukan dalam penetapan konteks,
yaitu:
·
Konteks internal memperhatikan sisi internal
organisasi yaitu struktur organisasi, kultur dalam organisasi, dan hal-hal lain
yang dapat mempengaruhi pencapaian sasaran organisasi.
·
Konteks eksternal mendefinisikan sisi eksternal
organisasi yaitu pesaing, otoritas, perkembangan teknologi, dan hal-hal lain
yang dapat mempengaruhi pencapaian sasaran organisasi.
·
Konteks manajemen risiko memperhatikan bagaimana
manajemen risiko diberlakukan dan bagaimana hal tersebut akan diterapkan di
masa yang akan datang.
·
Dalam pembentukan manajemen risiko organisasi perlu
mendefinisikan parameter yang disepakati bersama untuk digunakan sebagai
kriteria risiko.
2) Penilaian risiko
(risk assessment)
Penilaian risiko terdiri dari:
·
Identifikasi risiko: mengidentifikasi risiko apa saja
yang dapat mempengaruhi pencapaian sasaran organisasi.
·
Analisis risiko: menganalisis kemungkinan dan dampak
dari risiko yang telah diidentifikasi.
·
Evaluasi risiko: membandingkan hasil analisis risiko
dengan kriteria risiko untuk menentukan bagaimana penanganan risiko yang akan
diterapkan.
3) Penanganan risiko
(risk treatment)
Dalam menghadapi risiko terdapat empant penanganan
yang dapat dilakukan oleh organisasi:
·
Menghindari risiko (risk avoidance);
·
Mitigasi risiko (risk reduction), dapat dilakukan
dengan mengurangi kemungkinan atau dampak;
·
Transfer risiko kepada pihak ketiga (risk sharing);
·
Menerima risiko (risk acceptance).
Ketiga proses besar tersebut didampingi oleh dua
proses yaitu:
1. Komunikasi dan
konsultasi
Komunikasi dan konsultasi merupakan hal yang penting
mengingat prinsip manajemen risiko yang kesembilan menuntut manajemen risiko
yang transparan dan inklusif, dimana manajemen risiko harus dilakukan oleh
seluruh bagian organisasi dan
memperhitungkan kepentingan dari seluruh stakeholders organisasi. Adanya
komunikasi dan konsultasi diharapkan dapat menciptakan dukungan yang memadai
pada kegiatan manajemen risiko dan membuat kegiatan manajemen risiko menjadi
tepat sasaran.
2. Monitoring dan
review
Hal ini diperlukan untuk memastikan bahwa implementasi
manajemen risiko telah berjalan sesuai dengan perencanaan yang dilakukan. Hasil
monitoring dan review juga dapat digunakan sebagai bahan pertimbangan untuk
melakukan perbaikan terhadap proses manajemen risiko.
Manajemen risiko merupakan proses esensial dalam
organisasi untuk memberikan jaminan yang wajar terhadap pencapaian tujuan
organisasi. ISO 31000: 2009 Risk Management – Principles and Guidelines
merupakan standar yang dibuat untuk memberikan prinsip dan panduan generik
dalam penerapan manajemen risiko. Standar ini menyediakan prinsip, kerangka
kerja, dan proses manajemen risiko.
Prinsip manajemen risiko merupakan fondasi dari
kerangka kerja dan proses manajemen risiko, sedangkan kerangka kerja manajemen
risiko merupakan struktur pembangun proses manajemen risiko. Proses manajemen
risiko merupakan penerapan inti dari manajemen risiko, sehingga harus
dijalankan secara komprehensif, konsisten, dan terus diperbaiki sesuai dengan
keperluan. Implementasi manajemen risiko berbasis ISO 31000: 2009 secara
mendetail dan menyeluruh pada ketiga komponen tersebut diharapkan dapat meningkatkan
efektivitas manajemen risiko organisasi.
COSO ERM – Integrated Framework 2004
Pada tahun 2004, COSO
mengembangkan internal control integrated framework dengan menambahkan cakupan
tentang manajemen dan strategi risiko yang selanjutnya dikenal dengan
pendekatan interprise risk management (ERM). COSO ERM merupakan pengembangan
dari kerangka kerja COSO untuk pengendalian internal yang diterbitkan pada
tahun 1992. COSO Enterprise Risk Management — Integrated Framework (COSO ERM)
adalah kerangka kerja manajemen risiko korporasi (MRK) yang diterbitkan oleh
Committee of Sponsoring Organizations of the Treadway Commission Amerika
Serikat pada tahun 2004. Kerangka kerja COSO ERM terdiri atas delapan komponen
dan empat kategori sasaran yang divisualisasikan dalam bentuk kubus.
Pada tahun 2001, COSO bekerjasama dengan
Pricewaterhouse Coopers memulai proyek untuk mengembangkan sebuah kerangka
kerja manajemen risiko yang dapat digunakan untuk mengevaluasi dan meningkatkan
efektivitas ERM. Kerjasama ini membuahkan hasil pada tahun 2004 dengan
dirilisnya COSO ERM – Integrated Framework, yang mendefinisikan manajemen
risiko sebagai:
“ Proses yang dipengaruhi oleh Board of Directors,
manajemen, dan personil lain dalam entitas, diaplikasikan pada pembentukan
strategi dan pada seluruh bagian perusahaan, dirancang untuk mengidentifikasi
kejadian potensial yang dapat mempengaruhi entitas, dan mengelola risiko
selaras dengan risk appetite entitas, untuk menyediakan jaminan yang wajar
terhadap pencapaian sasaran dari entitas ”.
Dalam kerangka manajemen risikonya, COSO ERM menuntut
perusahaan untuk dapat menentukan terlebih dahulu sasaran perusahaannya, yang
terdiri dari empat kategori yaitu:
Strategis: sasaran yang mendukung dan selaras dengan misi perusahaan.
Operasi: efektivitas dan efisiensi dari penggunaan sumber daya
perusahaan.
Pelaporan: keterpercayaan dari pelaporan.
Pemenuhan: pemenuhan terhadap hukum dan regulasi yang berlaku.
Dalam kerangka manajemen risikonya, COSO ERM menuntut perusahaan untuk
dapat menentukan terlebih dahulu sasaran perusahaannya, yang terdiri dari empat
kategori yaitu:
·
Strategis: sasaran yang mendukung dan selaras dengan
misi perusahaan.
·
Operasi: efektivitas dan efisiensi dari penggunaan
sumber daya perusahaan.
·
Pelaporan: keterpercayaan dari pelaporan.
·
Pemenuhan: pemenuhan terhadap hukum dan regulasi yang
berlaku.
Dalam COSO ERM, manajemen risiko terdiri dari delapan komponen yang
saling terkait, yaitu:
1. Lingkungan
internal
Mengidentifikasi kondisi internal perusahaan, meliputi
kekuatan dan kelemahannya, serta pandangan entitas terhadap risiko dan
manajemen risiko.
2. Penetapan sasaran
Sasaran kegiatan manajemen risiko harus sejalan dengan
sasaran dari perusahaan, serta konsisten dengan risk appetite perusahaan.
3. Identifikasi
kejadian
Kejadian internal dan eksternal yang dapat
mempengaruhi pencapaian sasaran perusahaan harus diidentifikasi, meliputi
risiko dengan kesempatan yang dapat muncul.
4. Penilaian risiko
Risiko dianalisis berdasarkan kemungkinan dan
dampaknya. Hasil analisis risiko akan dijadikan dasar untuk menentukan
perlakuan risiko.
5. Perlakuan risiko
Terdapat empat alternatif pada perlakuan risiko, yaitu
menghindari (avoidance), menerima (acceptance), mengurangi (reduction), dan
membagi risiko (sharing). Pemilihan perlakuan risiko dilakukan dengan
membandingkan hasil analisis risiko dengan risk appetite dan risk tolerance.
6. Aktivitas
pengendalian
Membangun dan mengimplementasikan kebijakan dan
prosedur untuk memastikan perlakuan risiko diterapkan dengan efektif.
7. Informasi dan
komunikasi
Informasi yang relevan diidentifikasi, diperoleh, dan
dikomunikasikan dalam bentuk dan waktu yang tepat agar personil dapat melakukan
tanggung jawabnya dengan baik.
8. Pemantauan
Seluruh kegiatan ERM harus dipantau, dievaluasi dan
dikembangkan.
Gambar Ilustrasi
Keterkaitan Sasaran, Komponen ERM, dan Unit Kerja Perusahaan
COSO ERM – Integrated Framework juga mendeskripsikan
peran dan tanggung jawab dari unit-unit kerja perusahaan dalam penerapan
manajemen risiko. Satu prinsip dasar yang ditanamkan COSO ERM adalah bahwa
“semua bagian di dalam perusahaan memiliki tanggung jawab terhadap ERM”, yang
artinya implementasi manajemen risiko harus mencakup entity-level, division,
business unit, hingga subsidiary, dan mencakup seluruh seluruh sumber daya
manusia di dalamnya. Walau begitu, terdapat pembagian peran dan tanggung jawab
dalam penerapan ERM. Berikut adalah pembagian peran dan tanggung jawab yang
dijelaskan COSO ERM:
·
Board of Directors (BoD) memiliki tanggung jawab
penting dalam melakukan pemantauan terhadap penerapan manajemen risiko, dengan
turut memperhitungkan risk appetite dari entitas;
·
Chief Executive Officer (CEO) memiliki tanggung jawab
untuk memastikan berjalannya ERM yang efektif pada keseluruhan perusahaan;
·
Manajer memiliki tanggung jawab dalam mendukung
penerapan prinsip ERM perusahaan, memastikan pemenuhan ERM dengan risk
appetite, dan mengelola risiko di ranah kewenangannya agar konsisten dengan
risk tolerance yang dimilikinya;
·
Risk officer, financial officer, dan internal audit
memiliki peran kunci dalam mendukung efektivitas penerapan manajemen risiko
perusahaan;
·
Petugas operasional (atau biasa disebut risk coordinator)
bertanggung jawab dalam menerapkan manajemen risiko perusahaan sejalan dengan
prosedur dan kebijakan manajemen risiko perusahaan;
·
Pihak eksternal (seperti pelanggan, kompetitor,
otoritas, dan pihak yang berperan dalam value chain perusahaan) tidak memiliki
tanggung jawab dalam memastikan efektivitas ERM dari entitas, tetapi
pihak-pihak tersebut berperan penting dalam menyediakan informasi yang dapat
mendukung efektivitas manajemen risiko.
NIST
SP 800 – 30
1.
Management Resiko
Manajemen risiko
didefinisikan sebagai proses, mengidentifikasi, mengukur dan memastikan risiko
dan mengembangkan strategi untuk mengelola risiko tersebut. Dalam hal ini
manajemen risiko akan melibatkan proses-proses, metode dan teknik yang membantu
manajer proyek maksimumkan probabilitas dan konsekuensi event yang berlawanan.
Dalam manajemen proyek, yang dimaksud dengan manajemen risiko proyek adalah
seni dan ilmu untuk mengidentifikasi, menganalisis, dan merespon risiko selama
umur dan tetap menjamin tercapainya tujuan proyek.
2.
Pengertian Ancaman,
Kemungkinan dan Dampak
a. Ancaman
Menurut NIST SP 800-30
(2012). Ancaman adalah setiap keadaan atau peristiwa yang berpotensi
menimbulkan dampak merugikan terhadap operasi aset, individu dan organisasi
lain melalui akses yang tidak sah, perusakan, pengungkapan atau modifikasi
informasi. Peristiwa ancaman yang disesbabkan oleh sumber - sumber ancaman.
b. Kemungkinan
Menurut NIST SP 800-30
(2012). Kemungkinan kejadian adalah faktor risiko bertimbang berdasarkan
analisis probabilitas bahwa ancaman yang diberikan mampu memanfaatkan
kerentanan yang diberikan (atau serangakaian kerentanan). Faktor risiko
kemungkinan menggabungkan perkiraan kemungkinan bahwa peristiwa ancaman akan
mulai dengan perkiraan kemungkinan dampak yaitu : kemungkinan bahwa hasil
kejadian ancaman dampak yang meruginkan.
c. Dampak
Dampak menurut KBBI
adalah benturan, pengaruh yang mendatangkan akibat baik positf maupun negatif.
Pengaruh adalah daya yang ada dan timbul dari sesuatu (orang benda) yang ikut
membentuk watak, kepercayaan atau perbuatan seseorang pengaruh adalah suatu
keadaan dimana ada hubungan timbal balik atau hubungan sebab akibat antara apa
yang mempengaruhi dengan apa yang dipengaruhi. (KBBI Online, 2010).
d. Penanganan
Risiko
Penanganan risiko adalah
proses yang dilakukan untuk meminimalisasi tingkat risiko yang dihadapi sampai
pada batas yang dapat diterima. Secara kuantitatif upaya untuk meminimalisasi
risiko ini dilakukan dengan menerapkan langkah-langkah yang diarahkan pada
turunnya (angka) hasil ukur yang diperoleh dari proses analisa risiko.
Pemilihan penanganan risiko yang terbaik akan diperlukan.
e. Teknik
Menangani Risiko
Ø Menghindari
Risiko
Cara ini dilakukan dengan
tidak melakukan aktifitas yang mendatangkan risiko. Dalam hal pengerjaan proyek
bisa dilakukan dengan cara merubah rencana proyek untuk menghilangkan risiko.
Meskipun tidak semua risiko bisa dihindari, beberapa risiko masih mungkin
menghindar. Beberapa risiko yang mungkin terjadi di tahap awal proyek bisa dihindari
dengan mengklarifikasi keburuhan proyek, mengumpulkan informasi, memperbaiki
komunikasi atau memperbaiki kemampuan.
Ø Reduksi
Risiko
Meliputi
langkah-langkah untuk mengurangi peluang terjadinya risiko. Melakukan tindakan
awal untuk mengurangi peluang terjandinya risiko pada proyek akan lebih efektif
daripada memperbaiki setelah suatu kejadian berisiko terjadi.
Ø Menerima
Risiko
Menerima
kerugian jika kejadian yang berisiko terjadi. Ini bisa dilakukan jika risiko
yang ditimbulkan kecil. Atau tidak ada cara lain lagi untuk menangani.
Penerimaan risiko secara aktif bisa diwujudkan dengan menyiapkan rencana
contingency atau cadangan jika risiko yang diperkirakan terjadi.
Ø Transfer
Risiko
Mengalihkan
risiko ke pihak lain. Cara yang umum dalam bisnis adalah membeli asurasi.
Dengan asuransi, kita berusaha mengalihkan risiko ke pihak lain. Bisa saja
penganganan suatu risiko jatuh ke beberapa kategori. Misalnya mengurangi risiko
sekaligus mengalihkan risiko.
f.
Penilaian Risiko
Menurut Soehatman Ramli
(2010) di dalam bukunya menyatakan hasil identifikasi bahaya selanjutnya
dianalisa dan dievaluasi untuk menentukan besarnya risiko serta tingkat risiko
dan menentukan apakah risiko tersebut dapat diterima atau tidak.
3.
Metode Pengukuran Risiko
Teknologi Informasi
Dalam melakukan proses
pengukuran risiko teknologi informasi penulis membutuhkan metode yang dapat
dijadikan pedoman. Berikut adalah beberapa metode yang tersedia dalam melakukan
pengukuran risiko keamanan teknologi informasi. Diantaranya metode NIST SP 800-30,
OCTAVE- S, dan COBIT untuk perbandingan. 2.7.1 Pengukuran Risiko Teknologi
Berdasarkan NIST (National Institute of Standard and Technology ) Special
Publication 800-30 NIST ( National Institute of Standard and Technology )
mengeluarkan rekomendasi melalui publikasi khusus 800 – 30, panduan manajemen
risiko untuk sistem teknologi informasi yang merupakan standar pemerintah
federal US. Metodologi ini terutama dirancang untuk menjadi suatu perhituangan
kualitatif. Proses ini sangat komprehensif, meliputi segala sesuatu dari sumber
ancaman identifikasi untuk evaluasi berkelanjutan dan penilaian. Metodologi
NIST proses penilaian risiko terdiri dari 9 langkah sebagai berikut: HIPAA
(2012) menjelaskan mengenai panduan dalam menggunakan metode NIST (National Institute
of Standard and Technology) Special Publication (SP) 800-30. Berikut adalah
penjelasan lebih rinci mengenai sembilan langkah pada metode NIST.
1. Karakterisasi
sistem
2. Identifikasi
ancaman
3. Identifikasi
kerentanan
4. Analisis
pengendalian
5. Penentuan
kemungkinan
6. Analisis
dampak
7. Penentuan
resiko
8. Rekomendasi
kontrol
9. Dokumentasi
hasil
BAB
II
PERBANDINGAN
3 FRAMEWORK
Keunggulan dan Kelemahan dari COSO ERM – Integrated
Framework dan ISO 31000: 2009 Risk Management – Principles and Guidelines
Menyadari perbedaan yang ada pada COSO ERM –
Integrated Framework dan ISO 31000: 2009 Risk Management – Principles and
Guidelines, tentunya terdapat keunggulan dan kelemahan tersendiri dari kedua
standar ini. Berikut adalah tabel yang menggambarkan perbedaan serta keunggulan
dan kelemahan dari kedua standar tersebut.
Perbedaan
|
COSO
ERM
|
ISO
31000
|
NIST
SP 800 - 30
|
Definisi resiko
|
“Kemungkinan
terjadinya sebuah event yang dapat mempengaruhi pencapaian sasaran entitas.”
Menurut
Grant Purdy, seorang praktisi manajemen risiko veteran di Melbourne, definisi
ini gagal menangkap potensi risiko yang dapat muncul akibat perubahan kondisi
yang terjadi secara perlahan.
|
“Efek
dari ketidakpastian terhadap pencapaian sasaran organisasi.”
|
“Suatu
ketidakpastian dimasa yang akan datang tentang kerugian yang harus dipikul
sbuah organisasi”
|
Definisi manajemen resiko
|
“Proses
yang dipengaruhi oleh Board of Directors, manajemen, dan personil lain dalam
entitas, diaplikasikan pada pembentukan strategi dan pada seluruh bagian
perusahaan, dirancang untuk mengidentifikasi kejadian potensial yang dapat
mempengaruhi entitas, dan mengelola risiko selaras dengan risk appetite
entitas, untuk menyediakan jaminan yang wajar terhadap pencapaian sasaran
dari entitas.”
|
“Aktivitas-aktivitas
terkoordinasi yang dilakukan dalam rangka mengelola dan mengontrol sebuah
organisasi terkait dengan risiko yang dihadapinya.”
|
“Proses
yang memungkinkan pemimpin organisasi untuk dapat menyeimbangkan biaya
operasional dan ekonomi yang dikeluarkan untuk mengurangi resiko dan mencapai
keuntungan dengan melindungi sistem teknologi informasi dan data yang
mendukung misi atau tujuan organisasi.”
|
Komponen manajemen resiko
|
Proses
dan kerangka kerja manajemen risiko tidak dipaparkan secara terpisah. Menurut
Grant Purdy hal ini dapat menimbulkan kebingungan dan inefektivitas terhadap
manajemen risiko, dimana kerangka kerja seharusnya dirancang pada top level
management, sedangkan proses manajemen risiko seharusnya diterapkan pada
proses-proses organisasi. Standar ini menekankan pada pengembangan
pengendalian internal sebagai upaya perusahaan dalam mengelola risiko.
|
Memaparkan
kerangka kerja dan proses manajemen risiko secara terpisah. ISO 31000: 2009
juga menyediakan prinsip manajemen risiko yang harus diterapkan dalam
kerangka kerja dan proses untuk mendukung efektivitas manajemen risiko.
Standar ini menekankan penerapan manajemen risiko sebagai alat penciptaan dan
pelindung nilai organisasi.
|
|
Awal proses manajemen resiko
|
Dimulai
dengan menetapkan sasaran perusahaan yang terdiri dari empat kategori yaitu
strategis, operasi, pelaporan, dan pemenuhan.
|
Dimulai
dengan membangun konteks untuk mengidentifikasi kondisi internal, kondisi
eksternal, konteks manajemen risiko, dan kriteria risiko.
|
Dimulai
dengan menentukan ruang lingkup usaha.
|
Identifikasi konteks eksternal
|
Sedikit
dilakukan
|
Dilakukan
secara menyeluruh
|
|
Komponen proses manajemen resiko
|
Terdiri
dari 8 komponen, yaitu:
1) Identifikasi
lingkungan internal;
2) Penetapan
sasaran manajemen risiko;
3) Identifikasi
kejadian;
4) Penilaian
risiko, perlakuan risiko;
5) Aktivitas
pengendalian;
6) Informasi
dan komunikasi;
7) Pemantauan.
|
Terdiri
dari lima komponen besar, yaitu:
1. Komunikasi
dan konsultasi;
2. Membangun
konteks;
3. Penilaian
risiko;
4. Perlakuan
risiko;
5. Monitoring
dan review.
|
Terdiri
dari 3 komponen yaitu:
1) Karakterisasi
sistem
2) Identifikasi
ancaman
3) Identifikasi
kerentanan
4) Analisis
pengendalian
5) Penentuan
kemungkinan
6) Analisis
dampak
7) Penentuan
resiko
8) Rekomendasi
kontrol
9) Dokumentasi
hasil
|
Pengertian inherent risk
|
Inherent
risk diartikan sebagai eksposur perusahaan terhadap risiko secara utuh.
(dampak dari existing control tidak diperhitungkan)
|
Inherent
risk diartikan sebagai eksposur perusahaan terhadap risiko setelah dilakukan
pengendalian internal.
|
|
Prinsip manajeman resiko
|
Tidak
ada
|
Tersedia
dan menjadi hal yang harus diterapkan pada kerangka kerja dan proses
manajemen risiko untuk mendukung efektivitas penerapan manajemen risiko.
|
|
Perbaikan berkelanjutan
|
Perbaikan
hanya dilakukan apabila diperlukan, berdasarkan hasil pemantauan.
|
Memfasilitasi
perbaikan berkelanjutan pada keseluruhan kerangka kerja dan proses manajemen
risiko, sesuai dengan kebutuhan organisasi dan perkembangan konteks.
|
|
Penyaluran informasi
|
Informasi
hanya dikomunikasikan kepada pelaku manajemen risiko untuk mendukung
pencapaian sasaran unit-unit tersebut. Keterlibatan stakeholders eksternal
tidak diungkapkan pada standar ini.
|
Informasi
mengenai risiko dan manajemen risiko dikomunikasikan dan dikonsultasikan
dengan seluruh stakeholders perusahaan, baik internal maupun eksternal
(sesuai prinsip “transparan dan inklusif”). Keterlibatan stakeholders
diperlukan untuk mengidentifikasi kepentingan seluruh pihak agar menjadi
bahan pertimbangan pengambilan keputusan.
|
|
Aspek manusia dan budaya
|
Aspek
manusia disebutkan sebagai batasan dari manajemen risiko dalam memberikan
jaminan terhadap pencapaian sasaran organisasi.
|
Memperhitungkan
aspek manusia dan budaya ke dalam manajemen risiko (prinsip “mempertimbangkan
faktor budaya dan manusia”). Penerapan manajemen risiko turut
mempertimbangkan kultur, persepsi, dan kapabilitas manusia, termasuk
memperhitungkan perselisihan kepentingan antara organisasi dengan individu di
dalamnya.
|
BAB
III
ANALISIS STUDI
KASUS
A. Study
Kasus
Terdapat beberapa jenis
bank yang berdiri di Indonesia, salah satunya adalah Bank Perkreditan Rakyat
(BPR). BPR adalah salah satu jenis bank yang dikenal melayani golongan
pengusaha mikro, kecil dan menengah dengan lokasi yang pada umumnya dekat
dengan tempat masyarakat yang membutuhkan.
BPR merupakan lembaga
perbankan resmi yang diatur berdasarkan Undang - Undang No. 7 tahun 1992
tentang Perbankan dan sebagaimana telah diubah dengan Undang-Undang No. 10
tahun 1998. Dalam undang-undang tersebut secara jelas disebutkan bawah ada dua
jenis bank, yaitu Bank Umum dan BPR. Fungsi BPR tidak hanya sekedar menyalurkan
kredit kepada para pengusaha mikro, kecil dan menengah, tetapi juga menerima
simpanan dari masyarakat. BPR adalah lembaga keuangan bank yang menerima
simpanan dalam bentuk deposito berjangka, tabungan, atau bentuk lainnya yang
dipersamakan dengan itu dan menyalurkan dana sebagai usaha BPR.
Salah satu BPR terbesar
yang berdiri di Indonesia adalah BPR X yang berlokasi di Jln. Abdulrachman
Saleh No. 2 Bandung (Kantor Pusat). Menurut laporan dari MediaBPR.com BPR X
menduduki peringkat aset terbesar diantara BPR lainnya. Total Asset BPR X pada
akhir tahun 2012 sebesar Rp 2.956.520.623.040.
BPR X dalam penyaluran
kredit kepada masyarakat, menggunakan prinsip 3T yaitu TepatWaktu, Tepat
Jumlah, dan Tepat Sasaran. Selain itu, proses kredit di BPR X relatif cepat,
dengan persyaratan lebih sederhana, dan sangat mengerti akan kebutuhan Nasabah.
Jenis-jenis layanan yang diberikan oleh BPR X yaitu menghimpun dana masyarakat
dalam bentuk deposito berjangka, tabungan dan atau bentuk lain yang
dipersamakan dengan itu, kemudian memberikan kredit dalam bentuk Kredit Modal
Kerja, Kredit Investasi, maupun Kredit Konsumsi.
Visi BPR X yaitu menjadi
BPR yang sehat dan kuat dengan aset terbesar melalui jaringan terluas didukung
layanan terbaik. Poin pertama dan utama dalam ungkapan visi tersebut bahwa BPR
X ingin menjadi suatu bank yang sehat dan kuat. Sehat disini bisa diartikan
bahwa BPR X ingin memiliki tingkat kesehatan bank yang baik, yang sesuai dengan
standar Bank Indonesia. Hal ini bisa diwujudkan dengan pengukuran dan
pengelolaan risiko kredit agar rasio-rasio kredit sesuai dengan ketentuan dan
masuk kategori sehat.
Aktivitas utama BPR X
adalah pemberian kredit. BPR X sendiri memiliki banyak jenis-jenis pemberian
kredit, seperti: Kredit Mikro (KM), Kredit Angsuran Berjangka Mini (KABM),
Kredit Pemilikan Mobil (KPM), Kredit Pemilikan Sepeda Motor Honda (KPSMH),
Kredit Fleksibel, Small Medium Enterprise, dll. Misi BPR X adalah memberikan
layanan perbankan melalui Sistem Managemen Mutu, Service Quality, SDM
berkompeten dan infrastruktur yang sesuai untuk menciptakan loyalitas nasabah
dalam rangka tumbuh berkembangnya perusahaan.
Pada BPR X pengelolaan
risiko yang mereka lakukan berupa audit internal perusahaan yang berfungsi
sebagai kontrol agar BPR X berjalan sesui dengan aturan, baik peraturan
perusahaan terlebih lagi perturan dari Bank Indonesia.
Tugas internal audit sebagai badan
pemeriksa operasional BPR X, dan melakukan pelaporan kepada direktur utama BPR
X mengenai efektivitas dan efisiensi kerja setiap bagian.
B. Hasil
Analisis
Pengelolaan Risiko Berbasis
ISO 31000 (Diambil dari salah
satu Perbandingan Framework) dan untuk analisa Studi Kasus.
Pada
umumnya ISO 31000 diterapkan pada jenis usaha non perbankan,
namun dalam penelitian ini ISO 31000 akan diterapkan
pada usaha perbankan
yaitu BPR X. Karena seperti diketahui bahwa pengelolaaan risiko dengan ISO 31000 melihat
perusahaan beserta risiko secara
lebih menyeluruh
dan dengan tahapan yang jelas.
Penerapan
ISO 31000 dalam melakukan manajemen resiko lebih menyeluruh dan dengan tahapan
yang jelas. Pada proses pengelolaan resiko langkah awal yang dilakukan adalah
menentukan tujuan perusahaan. Pada BPR X memiliki tujuan untuk mengumpulkan
dana dari masyarakat dan menyalurkan kembali ke masyarakat.
Penerapan ISO 31000 dalam melakukan pengelolaan risiko pada BPR X diawali dengan menetukan konteks yaitu target yang ingin dicapai.
Strategi yang berkaitan
dengan pencapaian target tesebut, berkaitan dengan usaha BPR X yaitu menghimpun dana dari masyarakat, dan menyalurkan
kredit.
Selama ini BPR X melakukan pengelolaam risiko berdiri
sendiri di setiap
divisi bisnisnya, dengan penerapan ISO 31000 maka BPR X dapat mengetahui risiko secara keseluruhan yang dapat mendukung tercapainya target perusahaan.
Dengan pengelolaan risiko
berbasis ISO 31000, maka BPR X dapat
mengtahui risiko apa saja yang dihadapi,
dan tindakan yang tepat yang harus diambil dalam menghadapi risiko-risiko
yang muncul. Dan dengan melakukan pengelolaan risiko berbasis ISO 31000 risiko dapat dilekola secara terintegrasi. Dengan adanya peta
risiko BPR X mengetahui risiko apa saja yang berdampak buruk bagi perusahaan.
Diperlukan langkah
ini, karena kegiatan
operasional berkaitan dengan kepuasan
nasabah, bisa sistem sering mengalami
kegagalan maka pelayanan akan terhambat
dan nasabah akan kecewa.
Daftar
Pustaka
1) International
Standard for Organization. (2009). Risk Management – Principles and Guidelines.
2) Susilo, L.J, &
Kaho, V.R. Manajemen Risiko Berbasis ISO 31000 untuk Industri Nonperbankan
(edisi revisi). Indonesia: Ppm manajemen.
3) Christina, D.
(2012). Asesmen Risiko Berbasis ISO31000:2009. Diunduh dari http://dianechristina.wordpress.com/2012/10/22/asesmen-manajemen-risiko-berbasis-iso-310002009/
4) Broadleaf Capital
International. (2014). Strategic, enterprise, and risk management. Diunduh dari
http://www.broadleaf.co.nz/erm/index.html
5) COSO Enterprise
Risk Management (ERM) – Integrated Framework (Executive Summary). Diunduh dari http://www.coso.org/publications/erm/coso_erm_executivesummary.pdf
6) 10 Reasons not to
Like the COSO ERM Framework. Norman Marks on Governance, Risk Management, and
Audit. http://normanmarks.wordpress.com/2011/02/21/10-reasons-not-to-like-the-c…
7) Comparing the COSO
ERM Framework with ISO31000. Linkedin Discussion (dimulai oleh Alex Dali,
President at Global Institute for Risk Management Standards – G31000). Diunduh
dari http://www.linkedin.com/groups/Comparing-COSO-ERM-Framework-ISO-1834592….
9) https://isoindonesiacenter.com/iso-31000-standar-manajemen-risiko/
10) http://crmsindonesia.org/publications/perbandingan-coso-erm-integrated-framework-dengan-iso-31000-2009-risk-management-principles-and-guidelines/
10) http://crmsindonesia.org/publications/perbandingan-coso-erm-integrated-framework-dengan-iso-31000-2009-risk-management-principles-and-guidelines/
