Minggu, 02 Desember 2018

PERBANDINGAN FRAMEWORK COSO ERM, ISO31000, NIST SP 800 -30


MATA KULIAH AUDIT TEKNOLOGI SISTEM INFORMASI
Dosen : Qomariyah

Nama : Riya Ayuning Tiyas
NPM  : 16115095
Kelas  : 4KA23
Tugas : Audit Teknologi Sistem Informasi (Tugas Ke 3)




AUDIT TEKNOLOGI SISTEM INFORMASI
( SOFTSKILL )



PERBANDINGAN FRAMEWORK
COSO ERM, ISO31000, dan NIST SP 800 -30

Disusun Oleh :

Ayu Fitriana                    (11115183)
Nadhifa Irbah                  (14115906)
Riya Ayuning Tiyas        (16115095)

Kelas : 4KA23




BAB I
PENDAHULUAN

Tidak dapat dipungkiri bahwa saat ini terdapat dua rujukan besar yang dijadikan kiblat penerapan manajemen risiko. Kedua rujukan tersebut adalah Committee of Sponsoring Organizations of the Treadway Commission (COSO) Enterprise Risk Management (ERM) – Integrated Framework dan The International Organization for Standardization (ISO) 31000: 2009 Risk Management – Principles and Guidelines. COSO ERM dan ISO 31000: 2009 merupakan rujukan manajemen risiko yang telah banyak diadopsi oleh perusahaan-perusahaan dari berbagai belahan dunia. Kedua rujukan tersebut menyediakan panduan penerapan manajemen risiko dengan tujuan mendukung efektivitas manajemen risiko bagi para penggunanya. Walau disusun dengan tujuan serupa, kedua standar tersebut memiliki perbedaan dalam berbagai aspek dan komponennya.
Keberadaan standar-standar manajemen risiko yang beragam ini melahirkan perdebatan mengenai standar mana yang lebih baik. “Standar manakah yang lebih baik dalam mendukung efektivitas penerapan manajemen risiko? Apakah COSO ERM atau ISO31000:2009?” Untuk menjawab pertanyaan tersebut kita perlu memahami terlebih dahulu isi dari kedua standar tersebut.


ISO 31000
ISO 31000 adalah keluarga standar internasional pedoman penerapan manajemen risiko yang diterbitkan oleh International Organization for Standardization. Standar yang diterbitkan pada 13 November 2009 ini merupakan pengembangan standar AS/NZS 4360:2004 yang dikeluarkan oleh Standards Australia. ISO 31000 tidak dikembangkan untuk tujuan sertifikasi.
Tujuan ISO 31000: 2009 adalah untuk memberikan prinsip-prinsip dan pedoman umum tentang manajemen risiko. ISO 31000 berusaha memberikan paradigma yang diakui secara universal bagi para praktisi dan perusahaan yang menggunakan proses manajemen risiko untuk menggantikan berbagai standar, metodologi, dan paradigma yang ada yang berbeda antara industri, subjek dan daerah.
The International Organization for Standardization (ISO) 31000: 2009 Risk Management – Principles and Guidelines merupakan sebuah standar international yang disusun dengan tujuan memberikan prinsip dan panduan generic untuk penerapan manajeman resiko. Standar international yang diterbitkan pada 13 november 2009 ini dapat digunakan oleh segala jenis organisasi dalam menghadapi berbagai resiko yang melekat pada aktivitas organisasi tersebut. Namun standar ini tidak ditujukan untuk menyeragamkan manajemen resiko lintas organisasi.


Saat ini, keluarga ISO 31000 diharapkan meliputi:
·         ISO 31000: 2009 - Prinsip dan Pedoman Pelaksanaan [1]
·         ISO / IEC 31010: 2009 - Manajemen Risiko - Teknik Penilaian Risiko
·         Panduan ISO 73: 2009 - Manajemen Resiko – Kosakata
·         ISO juga merancang Pedoman ISO 21500 pada standar Manajemen Proyek untuk menyelaraskan dengan ISO 31000: 2009.
Ø  Prinsip Dasar Menurut ISO 31000
Menurut ISO 31000, manajemen risiko suatu organisasi harus mengikuti 11 prinsip dasar agar dapat dilaksanakan secara efektif. Berikut penjabaran prinsip-prinsip tersebut:
§  Manajemen risiko menciptakan nilai tambah (creates value)
Manajemen risiko berkontribusi terhadap pencapaian nyata objektif dan peningkatan, antara lain, kesehatan dan keselamatan manusia, kepatuhan terhadap hukum dan peraturan, penerimaan publik, perlindungan lingkungan, kinerja keuangan, kualitas produk, efisiensi operasi, serta tata kelola dan reputasi perusahaan.
§  Manajemen risiko adalah bagian integral proses dalam organisasi (an integral part of organizational processes)
Manajemen risiko adalah bagian tanggung jawab manajemen dan merupakan suatu bagian integral dalam proses normal organisasi seperti juga merupakan bagian dari seluruh proses proyek dan manajemen perubahan. Manajemen risiko bukanlah merupakan aktivitas yang berdiri sendiri yang terpisah dari aktivitas-aktivitas utama dan proses dalam organisasi.
§  Manajemen risiko adalah bagian dari pengambilan keputusan (part of decision making)
Manajemen risiko membantu pengambil keputusan mengambil keputusan dengan informasi yang cukup. Manajemen risiko dapat membantu memprioritaskan tindakan dan membedakan berbagai pilihan alternatif tindakan. Pada akhirnya, manajemen risiko dapat membantu memutuskan apakah suatu risiko dapat diterima atau apakah suatu penanganan risiko telah memadai dan efektif.
§  Manajemen risiko secara eksplisit menangani ketidakpastian (explicitly addresses uncertainty)
Manajemen risiko menangani aspek-aspek ketidakpastian dalam pengambilan keputusan, sifat alami dari ketidakpastian itu, dan bagaimana menanganinya.
§  Manajemen risiko bersifat sistematis, terstruktur, dan tepat waktu (systematic, structured and timely)
Suatu pendekatan sistematis, tepat waktu, dan terstruktur terhadap manajemen risiko memiliki kontribusi terhadap efisiensi dan hasil yang konsisten, dapat dibandingkan, serta andal.
§  Manajemen risiko berdasarkan informasi terbaik yang tersedia (based on the best available information)
Masukan untuk proses pengelolaan risiko didasarkan oleh sumber informasi seperti pengalaman, umpan balik, pengamatan, prakiraan, dan pertimbangan pakar. Meskipun demikian, pengambil keputusan harus terinformasi dan harus mempertimbangkan segala keterbatasan data atau model yang digunakan atau kemungkinan perbedaan pendapat antar pakar.
§  Manajemen risiko dibuat sesuai kebutuhan (tailored)
Manajemen risiko diselaraskan dengan konteks eksternal dan internal organisasi serta profil risikonya.
§  Manajemen risiko memperhitungkan faktor manusia dan budaya (takes human and cultural factors into account)
Manajemen risiko organisasi mengakui kapabilitas, persepsi, dan tujuan pihak- pihak eksternal dan internal yang dapat mendukung atau malah menghambat pencapaian tujuan organisasi.
§  Manajemen risiko bersifat transparan dan inklusif (transparent and inclusive)
Pelibatan para pemangku kepentingan, terutama pengambil keputusan, dengan sesuai dan tepat waktu pada semua tingkatan organisasi, memastikan manajemen risiko tetap relevan dan mengikuti perkembangan. Pelibatan ini juga memungkinkan pemangku kepentingan untuk cukup terwakili dan diperhitungkan sudut pandangnya dalam menentukan kriteria risiko.
§  Manajemen risiko bersifat dinamis, iteratif, dan responsif terhadap perubahan (dynamic, iterative and responsive to change)
Seiring dengan timbulnya peristiwa internal dan eksternal, perubahan konteks dan pengetahuan, serta diterapkannya pemantauan dan peninjauan, risiko-risiko baru bermunculan, sedangkan yang ada bisa berubah atau hilang. Karenanya, suatu organisasi harus memastikan bahwa manajemen risiko terus menerus memantau dan menanggapi perubahan.
§  Manajemen risiko memfasilitasi perbaikan dan pengembangan berkelanjutan organisasi (facilitates continual improvement and enhancement of the organization)
Organisasi harus mengembangkan dan mengimplementasikan strategi untuk memperbaiki kematangan manajemen risiko mereka bersama aspek-aspek lain dalam organisasi mereka

     Ø  Kerangka Kerja Manajemen Resiko

Gambar Komponen – Komponen Kerangka Kerja Manajemen Resiko

Kerangka kerja manajemen risiko ISO 31000: 2009 Risk Management – Principles and Guidelines dimulai dengan pemberian mandat dan komitmen. Pemberian mandat dan komitmen merupakan hal yang sangat penting karena menentukan akuntabilitas, kewenangan, dan kapabilitas dari pelaku manajemen risiko. Hal-hal penting yang harus dilakukan pada pemberian mandat dan komitmen adalah:
·         Membuat dan menyetujui kebijakan manajemen risiko;
·         Menyesuaikan indikator kinerja manajemen risiko dengan indikator kinerja perusahaan;
·         Menyesuaikan kultur organisasi dengan nilai-nilai manajemen risiko;
·         Menyesuaikan sasaran manajemen risiko dengan sasaran strategis perusahaan;
·         Memberikan kejelasan peran dan tanggung jawab;
·         Menyesuaikan kerangka kerja manajemen risiko dengan kebutuhan organisasi.

Setelah pemberian mandat dan komitmen, kerangka kerja ISO 31000: 2009 dilanjutkan dengan kerangka implementasi “Plan, Do, Check, Act”, yaitu dengan melakukan:
1)      Perencanaan kerangka kerja manajemen risiko;
2)      Penerapan manajemen risiko;
3)      Monitoring dan review terhadap kerangka kerja manajemen risiko;
4)      Perbaikan kerangka kerja manajemen risiko secara berkelanjutan.

Perencanaan kerangka kerja manajemen risiko mencakup pemahaman mengenai organisasi dan konteksnya, menetapkan kebijakan manajemen risiko, menetapkan akuntabilitas manajemen risiko, mengintegrasikan manajemen risiko ke dalam proses bisnis organisasi, alokasi sumber daya manajemen risiko, dan menetapkan mekanisme komunikasi internal dan eksternal. Setelah melakukan perencanaan kerangka kerja, maka dilakukan penerapan proses manajemen risiko.
Dalam penerapan manajemen risiko, perlu dilakukan monitoring dan review terhadap kerangka kerja manajemen risiko. Setelah itu, kerangka kerja manajemen risiko perlu diperbaiki secara berkelanjutan untuk memfasilitasi perubahan yang terjadi pada konteks internal dan eksternal organisasi. Proses-proses tersebut kemudian berulang kembali untuk memastikan adanya kerangka kerja manajemen risiko yang mengalami perbaikan berkesinambungan dan dapat menghasilkan penerapan manajemen risiko yang andal.

     Ø  Proses Manajemen Resiko
Gambar Komponen – Komponen Proses Management Resiko

Proses manajemen risiko merupakan kegiatan kritikal dalam manajemen risiko, karena merupakan penerapan daripada prinsip dan kerangka kerja yang telah dibangun. Proses manajemen risiko terdiri dari tiga proses besar, yaitu:
1)      Penetapan konteks (establishing the context)
Penetapan konteks bertujuan untuk mengidentifikasi dan mengungkapkan sasaran organisasi, lingkungan dimana sasaran hendak dicapai, stakeholders yang berkepentingan, dan keberagaman kriteria risiko, dimana hal-hal ini akan membantu mengungkapkan dan menilai sifat dan kompleksitas dari risiko. Terdapat empat konteks yang perlu ditentukan dalam penetapan konteks, yaitu:
·         Konteks internal memperhatikan sisi internal organisasi yaitu struktur organisasi, kultur dalam organisasi, dan hal-hal lain yang dapat mempengaruhi pencapaian sasaran organisasi.
·         Konteks eksternal mendefinisikan sisi eksternal organisasi yaitu pesaing, otoritas, perkembangan teknologi, dan hal-hal lain yang dapat mempengaruhi pencapaian sasaran organisasi.
·         Konteks manajemen risiko memperhatikan bagaimana manajemen risiko diberlakukan dan bagaimana hal tersebut akan diterapkan di masa yang akan datang.
·         Dalam pembentukan manajemen risiko organisasi perlu mendefinisikan parameter yang disepakati bersama untuk digunakan sebagai kriteria risiko.
2)      Penilaian risiko (risk assessment)
Penilaian risiko terdiri dari:
·         Identifikasi risiko: mengidentifikasi risiko apa saja yang dapat mempengaruhi pencapaian sasaran organisasi.
·         Analisis risiko: menganalisis kemungkinan dan dampak dari risiko yang telah diidentifikasi.
·         Evaluasi risiko: membandingkan hasil analisis risiko dengan kriteria risiko untuk menentukan bagaimana penanganan risiko yang akan diterapkan.
3)      Penanganan risiko (risk treatment)
Dalam menghadapi risiko terdapat empant penanganan yang dapat dilakukan oleh organisasi:
·         Menghindari risiko (risk avoidance);
·         Mitigasi risiko (risk reduction), dapat dilakukan dengan mengurangi kemungkinan atau dampak;
·         Transfer risiko kepada pihak ketiga (risk sharing);
·         Menerima risiko (risk acceptance).

Ketiga proses besar tersebut didampingi oleh dua proses yaitu:
1.      Komunikasi dan konsultasi
Komunikasi dan konsultasi merupakan hal yang penting mengingat prinsip manajemen risiko yang kesembilan menuntut manajemen risiko yang transparan dan inklusif, dimana manajemen risiko harus dilakukan oleh seluruh bagian organisasi dan  memperhitungkan kepentingan dari seluruh stakeholders organisasi. Adanya komunikasi dan konsultasi diharapkan dapat menciptakan dukungan yang memadai pada kegiatan manajemen risiko dan membuat kegiatan manajemen risiko menjadi tepat sasaran.
2.      Monitoring dan review
Hal ini diperlukan untuk memastikan bahwa implementasi manajemen risiko telah berjalan sesuai dengan perencanaan yang dilakukan. Hasil monitoring dan review juga dapat digunakan sebagai bahan pertimbangan untuk melakukan perbaikan terhadap proses manajemen risiko.

Manajemen risiko merupakan proses esensial dalam organisasi untuk memberikan jaminan yang wajar terhadap pencapaian tujuan organisasi. ISO 31000: 2009 Risk Management – Principles and Guidelines merupakan standar yang dibuat untuk memberikan prinsip dan panduan generik dalam penerapan manajemen risiko. Standar ini menyediakan prinsip, kerangka kerja, dan proses manajemen risiko.
Prinsip manajemen risiko merupakan fondasi dari kerangka kerja dan proses manajemen risiko, sedangkan kerangka kerja manajemen risiko merupakan struktur pembangun proses manajemen risiko. Proses manajemen risiko merupakan penerapan inti dari manajemen risiko, sehingga harus dijalankan secara komprehensif, konsisten, dan terus diperbaiki sesuai dengan keperluan. Implementasi manajemen risiko berbasis ISO 31000: 2009 secara mendetail dan menyeluruh pada ketiga komponen tersebut diharapkan dapat meningkatkan efektivitas manajemen risiko organisasi.


COSO ERM – Integrated Framework 2004
Pada tahun 2004, COSO mengembangkan internal control integrated framework dengan menambahkan cakupan tentang manajemen dan strategi risiko yang selanjutnya dikenal dengan pendekatan interprise risk management (ERM). COSO ERM merupakan pengembangan dari kerangka kerja COSO untuk pengendalian internal yang diterbitkan pada tahun 1992. COSO Enterprise Risk Management — Integrated Framework (COSO ERM) adalah kerangka kerja manajemen risiko korporasi (MRK) yang diterbitkan oleh Committee of Sponsoring Organizations of the Treadway Commission Amerika Serikat pada tahun 2004. Kerangka kerja COSO ERM terdiri atas delapan komponen dan empat kategori sasaran yang divisualisasikan dalam bentuk kubus.
Pada tahun 2001, COSO bekerjasama dengan Pricewaterhouse Coopers memulai proyek untuk mengembangkan sebuah kerangka kerja manajemen risiko yang dapat digunakan untuk mengevaluasi dan meningkatkan efektivitas ERM. Kerjasama ini membuahkan hasil pada tahun 2004 dengan dirilisnya COSO ERM – Integrated Framework, yang mendefinisikan manajemen risiko sebagai:
“ Proses yang dipengaruhi oleh Board of Directors, manajemen, dan personil lain dalam entitas, diaplikasikan pada pembentukan strategi dan pada seluruh bagian perusahaan, dirancang untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan mengelola risiko selaras dengan risk appetite entitas, untuk menyediakan jaminan yang wajar terhadap pencapaian sasaran dari entitas ”.
Dalam kerangka manajemen risikonya, COSO ERM menuntut perusahaan untuk dapat menentukan terlebih dahulu sasaran perusahaannya, yang terdiri dari empat kategori yaitu:
Strategis: sasaran yang mendukung dan selaras dengan misi perusahaan.
Operasi: efektivitas dan efisiensi dari penggunaan sumber daya perusahaan.
Pelaporan: keterpercayaan dari pelaporan.
Pemenuhan: pemenuhan terhadap hukum dan regulasi yang berlaku.
Dalam kerangka manajemen risikonya, COSO ERM menuntut perusahaan untuk dapat menentukan terlebih dahulu sasaran perusahaannya, yang terdiri dari empat kategori yaitu:
·         Strategis: sasaran yang mendukung dan selaras dengan misi perusahaan.
·         Operasi: efektivitas dan efisiensi dari penggunaan sumber daya perusahaan.
·         Pelaporan: keterpercayaan dari pelaporan.
·         Pemenuhan: pemenuhan terhadap hukum dan regulasi yang berlaku.

Dalam COSO ERM, manajemen risiko terdiri dari delapan komponen yang saling terkait, yaitu:
1.      Lingkungan internal
Mengidentifikasi kondisi internal perusahaan, meliputi kekuatan dan kelemahannya, serta pandangan entitas terhadap risiko dan manajemen risiko.
2.      Penetapan sasaran
Sasaran kegiatan manajemen risiko harus sejalan dengan sasaran dari perusahaan, serta konsisten dengan risk appetite perusahaan.
3.      Identifikasi kejadian
Kejadian internal dan eksternal yang dapat mempengaruhi pencapaian sasaran perusahaan harus diidentifikasi, meliputi risiko dengan kesempatan yang dapat muncul.
4.      Penilaian risiko
Risiko dianalisis berdasarkan kemungkinan dan dampaknya. Hasil analisis risiko akan dijadikan dasar untuk menentukan perlakuan risiko.
5.      Perlakuan risiko
Terdapat empat alternatif pada perlakuan risiko, yaitu menghindari (avoidance), menerima (acceptance), mengurangi (reduction), dan membagi risiko (sharing). Pemilihan perlakuan risiko dilakukan dengan membandingkan hasil analisis risiko dengan risk appetite dan risk tolerance.
6.      Aktivitas pengendalian
Membangun dan mengimplementasikan kebijakan dan prosedur untuk memastikan perlakuan risiko diterapkan dengan efektif.
7.      Informasi dan komunikasi
Informasi yang relevan diidentifikasi, diperoleh, dan dikomunikasikan dalam bentuk dan waktu yang tepat agar personil dapat melakukan tanggung jawabnya dengan baik.
8.      Pemantauan
Seluruh kegiatan ERM harus dipantau, dievaluasi dan dikembangkan.


Gambar Ilustrasi Keterkaitan Sasaran, Komponen ERM, dan Unit Kerja Perusahaan

COSO ERM – Integrated Framework juga mendeskripsikan peran dan tanggung jawab dari unit-unit kerja perusahaan dalam penerapan manajemen risiko. Satu prinsip dasar yang ditanamkan COSO ERM adalah bahwa “semua bagian di dalam perusahaan memiliki tanggung jawab terhadap ERM”, yang artinya implementasi manajemen risiko harus mencakup entity-level, division, business unit, hingga subsidiary, dan mencakup seluruh seluruh sumber daya manusia di dalamnya. Walau begitu, terdapat pembagian peran dan tanggung jawab dalam penerapan ERM. Berikut adalah pembagian peran dan tanggung jawab yang dijelaskan COSO ERM:
·         Board of Directors (BoD) memiliki tanggung jawab penting dalam melakukan pemantauan terhadap penerapan manajemen risiko, dengan turut memperhitungkan risk appetite dari entitas;
·         Chief Executive Officer (CEO) memiliki tanggung jawab untuk memastikan berjalannya ERM yang efektif pada keseluruhan perusahaan;
·         Manajer memiliki tanggung jawab dalam mendukung penerapan prinsip ERM perusahaan, memastikan pemenuhan ERM dengan risk appetite, dan mengelola risiko di ranah kewenangannya agar konsisten dengan risk tolerance yang dimilikinya;
·         Risk officer, financial officer, dan internal audit memiliki peran kunci dalam mendukung efektivitas penerapan manajemen risiko perusahaan;
·         Petugas operasional (atau biasa disebut risk coordinator) bertanggung jawab dalam menerapkan manajemen risiko perusahaan sejalan dengan prosedur dan kebijakan manajemen risiko perusahaan;
·         Pihak eksternal (seperti pelanggan, kompetitor, otoritas, dan pihak yang berperan dalam value chain perusahaan) tidak memiliki tanggung jawab dalam memastikan efektivitas ERM dari entitas, tetapi pihak-pihak tersebut berperan penting dalam menyediakan informasi yang dapat mendukung efektivitas manajemen risiko.


NIST SP 800 – 30
1.        Management Resiko
Manajemen risiko didefinisikan sebagai proses, mengidentifikasi, mengukur dan memastikan risiko dan mengembangkan strategi untuk mengelola risiko tersebut. Dalam hal ini manajemen risiko akan melibatkan proses-proses, metode dan teknik yang membantu manajer proyek maksimumkan probabilitas dan konsekuensi event yang berlawanan. Dalam manajemen proyek, yang dimaksud dengan manajemen risiko proyek adalah seni dan ilmu untuk mengidentifikasi, menganalisis, dan merespon risiko selama umur dan tetap menjamin tercapainya tujuan proyek.
2.        Pengertian Ancaman, Kemungkinan dan Dampak
a.       Ancaman
Menurut NIST SP 800-30 (2012). Ancaman adalah setiap keadaan atau peristiwa yang berpotensi menimbulkan dampak merugikan terhadap operasi aset, individu dan organisasi lain melalui akses yang tidak sah, perusakan, pengungkapan atau modifikasi informasi. Peristiwa ancaman yang disesbabkan oleh sumber - sumber ancaman.
b.      Kemungkinan
Menurut NIST SP 800-30 (2012). Kemungkinan kejadian adalah faktor risiko bertimbang berdasarkan analisis probabilitas bahwa ancaman yang diberikan mampu memanfaatkan kerentanan yang diberikan (atau serangakaian kerentanan). Faktor risiko kemungkinan menggabungkan perkiraan kemungkinan bahwa peristiwa ancaman akan mulai dengan perkiraan kemungkinan dampak yaitu : kemungkinan bahwa hasil kejadian ancaman dampak yang meruginkan.
c.       Dampak
Dampak menurut KBBI adalah benturan, pengaruh yang mendatangkan akibat baik positf maupun negatif. Pengaruh adalah daya yang ada dan timbul dari sesuatu (orang benda) yang ikut membentuk watak, kepercayaan atau perbuatan seseorang pengaruh adalah suatu keadaan dimana ada hubungan timbal balik atau hubungan sebab akibat antara apa yang mempengaruhi dengan apa yang dipengaruhi. (KBBI Online, 2010).
d.      Penanganan Risiko
Penanganan risiko adalah proses yang dilakukan untuk meminimalisasi tingkat risiko yang dihadapi sampai pada batas yang dapat diterima. Secara kuantitatif upaya untuk meminimalisasi risiko ini dilakukan dengan menerapkan langkah-langkah yang diarahkan pada turunnya (angka) hasil ukur yang diperoleh dari proses analisa risiko. Pemilihan penanganan risiko yang terbaik akan diperlukan.
e.       Teknik Menangani Risiko
Ø  Menghindari Risiko
Cara ini dilakukan dengan tidak melakukan aktifitas yang mendatangkan risiko. Dalam hal pengerjaan proyek bisa dilakukan dengan cara merubah rencana proyek untuk menghilangkan risiko. Meskipun tidak semua risiko bisa dihindari, beberapa risiko masih mungkin menghindar. Beberapa risiko yang mungkin terjadi di tahap awal proyek bisa dihindari dengan mengklarifikasi keburuhan proyek, mengumpulkan informasi, memperbaiki komunikasi atau memperbaiki kemampuan.
Ø  Reduksi Risiko
Meliputi langkah-langkah untuk mengurangi peluang terjadinya risiko. Melakukan tindakan awal untuk mengurangi peluang terjandinya risiko pada proyek akan lebih efektif daripada memperbaiki setelah suatu kejadian berisiko terjadi.
Ø  Menerima Risiko
Menerima kerugian jika kejadian yang berisiko terjadi. Ini bisa dilakukan jika risiko yang ditimbulkan kecil. Atau tidak ada cara lain lagi untuk menangani. Penerimaan risiko secara aktif bisa diwujudkan dengan menyiapkan rencana contingency atau cadangan jika risiko yang diperkirakan terjadi.
Ø  Transfer Risiko
Mengalihkan risiko ke pihak lain. Cara yang umum dalam bisnis adalah membeli asurasi. Dengan asuransi, kita berusaha mengalihkan risiko ke pihak lain. Bisa saja penganganan suatu risiko jatuh ke beberapa kategori. Misalnya mengurangi risiko sekaligus mengalihkan risiko.
f.        Penilaian Risiko
Menurut Soehatman Ramli (2010) di dalam bukunya menyatakan hasil identifikasi bahaya selanjutnya dianalisa dan dievaluasi untuk menentukan besarnya risiko serta tingkat risiko dan menentukan apakah risiko tersebut dapat diterima atau tidak.
3.        Metode Pengukuran Risiko Teknologi Informasi
Dalam melakukan proses pengukuran risiko teknologi informasi penulis membutuhkan metode yang dapat dijadikan pedoman. Berikut adalah beberapa metode yang tersedia dalam melakukan pengukuran risiko keamanan teknologi informasi. Diantaranya metode NIST SP 800-30, OCTAVE- S, dan COBIT untuk perbandingan. 2.7.1 Pengukuran Risiko Teknologi Berdasarkan NIST (National Institute of Standard and Technology ) Special Publication 800-30 NIST ( National Institute of Standard and Technology ) mengeluarkan rekomendasi melalui publikasi khusus 800 – 30, panduan manajemen risiko untuk sistem teknologi informasi yang merupakan standar pemerintah federal US. Metodologi ini terutama dirancang untuk menjadi suatu perhituangan kualitatif. Proses ini sangat komprehensif, meliputi segala sesuatu dari sumber ancaman identifikasi untuk evaluasi berkelanjutan dan penilaian. Metodologi NIST proses penilaian risiko terdiri dari 9 langkah sebagai berikut: HIPAA (2012) menjelaskan mengenai panduan dalam menggunakan metode NIST (National Institute of Standard and Technology) Special Publication (SP) 800-30. Berikut adalah penjelasan lebih rinci mengenai sembilan langkah pada metode NIST.
1.      Karakterisasi sistem
2.      Identifikasi ancaman
3.      Identifikasi kerentanan
4.      Analisis pengendalian
5.      Penentuan kemungkinan
6.      Analisis dampak
7.      Penentuan resiko
8.      Rekomendasi kontrol
9.      Dokumentasi hasil



BAB II
PERBANDINGAN 3 FRAMEWORK

Keunggulan dan Kelemahan dari COSO ERM – Integrated Framework dan ISO 31000: 2009 Risk Management – Principles and Guidelines     
Menyadari perbedaan yang ada pada COSO ERM – Integrated Framework dan ISO 31000: 2009 Risk Management – Principles and Guidelines, tentunya terdapat keunggulan dan kelemahan tersendiri dari kedua standar ini. Berikut adalah tabel yang menggambarkan perbedaan serta keunggulan dan kelemahan dari kedua standar tersebut.
Perbedaan
COSO ERM
ISO 31000
NIST SP 800 - 30
Definisi resiko
“Kemungkinan terjadinya sebuah event yang dapat mempengaruhi pencapaian sasaran entitas.”
Menurut Grant Purdy, seorang praktisi manajemen risiko veteran di Melbourne, definisi ini gagal menangkap potensi risiko yang dapat muncul akibat perubahan kondisi yang terjadi secara perlahan.
“Efek dari ketidakpastian terhadap pencapaian sasaran organisasi.”
“Suatu ketidakpastian dimasa yang akan datang tentang kerugian yang harus dipikul sbuah organisasi”
Definisi manajemen resiko
“Proses yang dipengaruhi oleh Board of Directors, manajemen, dan personil lain dalam entitas, diaplikasikan pada pembentukan strategi dan pada seluruh bagian perusahaan, dirancang untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan mengelola risiko selaras dengan risk appetite entitas, untuk menyediakan jaminan yang wajar terhadap pencapaian sasaran dari entitas.”
“Aktivitas-aktivitas terkoordinasi yang dilakukan dalam rangka mengelola dan mengontrol sebuah organisasi terkait dengan risiko yang dihadapinya.”
“Proses yang memungkinkan pemimpin organisasi untuk dapat menyeimbangkan biaya operasional dan ekonomi yang dikeluarkan untuk mengurangi resiko dan mencapai keuntungan dengan melindungi sistem teknologi informasi dan data yang mendukung misi atau tujuan organisasi.”
Komponen manajemen resiko
Proses dan kerangka kerja manajemen risiko tidak dipaparkan secara terpisah. Menurut Grant Purdy hal ini dapat menimbulkan kebingungan dan inefektivitas terhadap manajemen risiko, dimana kerangka kerja seharusnya dirancang pada top level management, sedangkan proses manajemen risiko seharusnya diterapkan pada proses-proses organisasi. Standar ini menekankan pada pengembangan pengendalian internal sebagai upaya perusahaan dalam mengelola risiko.
Memaparkan kerangka kerja dan proses manajemen risiko secara terpisah. ISO 31000: 2009 juga menyediakan prinsip manajemen risiko yang harus diterapkan dalam kerangka kerja dan proses untuk mendukung efektivitas manajemen risiko. Standar ini menekankan penerapan manajemen risiko sebagai alat penciptaan dan pelindung nilai organisasi.

Awal proses manajemen resiko
Dimulai dengan menetapkan sasaran perusahaan yang terdiri dari empat kategori yaitu strategis, operasi, pelaporan, dan pemenuhan.
Dimulai dengan membangun konteks untuk mengidentifikasi kondisi internal, kondisi eksternal, konteks manajemen risiko, dan kriteria risiko.
Dimulai dengan menentukan ruang lingkup usaha.
Identifikasi konteks eksternal
Sedikit dilakukan
Dilakukan secara menyeluruh

Komponen proses manajemen resiko
Terdiri dari 8 komponen, yaitu:
1)      Identifikasi lingkungan internal;
2)      Penetapan sasaran manajemen risiko;
3)      Identifikasi kejadian;
4)      Penilaian risiko, perlakuan risiko;
5)      Aktivitas pengendalian;
6)      Informasi dan komunikasi;
7)      Pemantauan.
Terdiri dari lima komponen besar, yaitu:
1.      Komunikasi dan konsultasi;
2.      Membangun konteks;
3.      Penilaian risiko;
4.      Perlakuan risiko;
5.      Monitoring dan review.
Terdiri dari 3 komponen yaitu:
1)      Karakterisasi sistem
2)      Identifikasi ancaman
3)      Identifikasi kerentanan
4)      Analisis pengendalian
5)      Penentuan kemungkinan
6)      Analisis dampak
7)      Penentuan resiko
8)      Rekomendasi kontrol
9)      Dokumentasi hasil
Pengertian inherent risk
Inherent risk diartikan sebagai eksposur perusahaan terhadap risiko secara utuh. (dampak dari existing control tidak diperhitungkan)
Inherent risk diartikan sebagai eksposur perusahaan terhadap risiko setelah dilakukan pengendalian internal.

Prinsip manajeman resiko
Tidak ada
Tersedia dan menjadi hal yang harus diterapkan pada kerangka kerja dan proses manajemen risiko untuk mendukung efektivitas penerapan manajemen risiko.

Perbaikan berkelanjutan
Perbaikan hanya dilakukan apabila diperlukan, berdasarkan hasil pemantauan.
Memfasilitasi perbaikan berkelanjutan pada keseluruhan kerangka kerja dan proses manajemen risiko, sesuai dengan kebutuhan organisasi dan perkembangan konteks.

Penyaluran informasi
Informasi hanya dikomunikasikan kepada pelaku manajemen risiko untuk mendukung pencapaian sasaran unit-unit tersebut. Keterlibatan stakeholders eksternal tidak diungkapkan pada standar ini.
Informasi mengenai risiko dan manajemen risiko dikomunikasikan dan dikonsultasikan dengan seluruh stakeholders perusahaan, baik internal maupun eksternal (sesuai prinsip “transparan dan inklusif”). Keterlibatan stakeholders diperlukan untuk mengidentifikasi kepentingan seluruh pihak agar menjadi bahan pertimbangan pengambilan keputusan.

Aspek manusia dan budaya
Aspek manusia disebutkan sebagai batasan dari manajemen risiko dalam memberikan jaminan terhadap pencapaian sasaran organisasi.
Memperhitungkan aspek manusia dan budaya ke dalam manajemen risiko (prinsip “mempertimbangkan faktor budaya dan manusia”). Penerapan manajemen risiko turut mempertimbangkan kultur, persepsi, dan kapabilitas manusia, termasuk memperhitungkan perselisihan kepentingan antara organisasi dengan individu di dalamnya.







BAB III
ANALISIS STUDI KASUS

     A.    Study Kasus
Terdapat beberapa jenis bank yang berdiri di Indonesia, salah satunya adalah Bank Perkreditan Rakyat (BPR). BPR adalah salah satu jenis bank yang dikenal melayani golongan pengusaha mikro, kecil dan menengah dengan lokasi yang pada umumnya dekat dengan tempat masyarakat yang membutuhkan.
BPR merupakan lembaga perbankan resmi yang diatur berdasarkan Undang - Undang No. 7 tahun 1992 tentang Perbankan dan sebagaimana telah diubah dengan Undang-Undang No. 10 tahun 1998. Dalam undang-undang tersebut secara jelas disebutkan bawah ada dua jenis bank, yaitu Bank Umum dan BPR. Fungsi BPR tidak hanya sekedar menyalurkan kredit kepada para pengusaha mikro, kecil dan menengah, tetapi juga menerima simpanan dari masyarakat. BPR adalah lembaga keuangan bank yang menerima simpanan dalam bentuk deposito berjangka, tabungan, atau bentuk lainnya yang dipersamakan dengan itu dan menyalurkan dana sebagai usaha BPR.
Salah satu BPR terbesar yang berdiri di Indonesia adalah BPR X yang berlokasi di Jln. Abdulrachman Saleh No. 2 Bandung (Kantor Pusat). Menurut laporan dari MediaBPR.com BPR X menduduki peringkat aset terbesar diantara BPR lainnya. Total Asset BPR X pada akhir tahun 2012 sebesar Rp 2.956.520.623.040.
BPR X dalam penyaluran kredit kepada masyarakat, menggunakan prinsip 3T yaitu TepatWaktu, Tepat Jumlah, dan Tepat Sasaran. Selain itu, proses kredit di BPR X relatif cepat, dengan persyaratan lebih sederhana, dan sangat mengerti akan kebutuhan Nasabah. Jenis-jenis layanan yang diberikan oleh BPR X yaitu menghimpun dana masyarakat dalam bentuk deposito berjangka, tabungan dan atau bentuk lain yang dipersamakan dengan itu, kemudian memberikan kredit dalam bentuk Kredit Modal Kerja, Kredit Investasi, maupun Kredit Konsumsi.
Visi BPR X yaitu menjadi BPR yang sehat dan kuat dengan aset terbesar melalui jaringan terluas didukung layanan terbaik. Poin pertama dan utama dalam ungkapan visi tersebut bahwa BPR X ingin menjadi suatu bank yang sehat dan kuat. Sehat disini bisa diartikan bahwa BPR X ingin memiliki tingkat kesehatan bank yang baik, yang sesuai dengan standar Bank Indonesia. Hal ini bisa diwujudkan dengan pengukuran dan pengelolaan risiko kredit agar rasio-rasio kredit sesuai dengan ketentuan dan masuk kategori sehat.
Aktivitas utama BPR X adalah pemberian kredit. BPR X sendiri memiliki banyak jenis-jenis pemberian kredit, seperti: Kredit Mikro (KM), Kredit Angsuran Berjangka Mini (KABM), Kredit Pemilikan Mobil (KPM), Kredit Pemilikan Sepeda Motor Honda (KPSMH), Kredit Fleksibel, Small Medium Enterprise, dll. Misi BPR X adalah memberikan layanan perbankan melalui Sistem Managemen Mutu, Service Quality, SDM berkompeten dan infrastruktur yang sesuai untuk menciptakan loyalitas nasabah dalam rangka tumbuh berkembangnya perusahaan.
Pada BPR X pengelolaan risiko yang mereka lakukan berupa audit internal perusahaan yang berfungsi sebagai kontrol agar BPR X berjalan sesui dengan aturan, baik peraturan perusahaan terlebih lagi perturan dari Bank Indonesia.
Tugas internal audit sebagai badan pemeriksa operasional BPR X, dan melakukan pelaporan kepada direktur utama BPR X mengenai efektivitas dan efisiensi kerja setiap bagian.


      B.     Hasil Analisis

     Pengelolaan Risiko Berbasis ISO 31000 (Diambil dari salah satu Perbandingan Framework) dan untuk analisa Studi Kasus.

               Pada umumnya ISO 31000 diterapkan pada jenis usaha non perbankan, namun dalam penelitian ini ISO 31000 akan diterapkan pada usaha perbankan yaitu BPR X. Karena seperti diketahui bahwa pengelolaaan risiko dengan ISO 31000 melihat perusahaan beserta risiko secara lebih menyeluruh dan dengan tahapan yang jelas.
               Penerapan ISO 31000 dalam melakukan manajemen resiko lebih menyeluruh dan dengan tahapan yang jelas. Pada proses pengelolaan resiko langkah awal yang dilakukan adalah menentukan tujuan perusahaan. Pada BPR X memiliki tujuan untuk mengumpulkan dana dari masyarakat dan menyalurkan kembali ke masyarakat.  

Penerapan ISO 31000 dalam melakukan pengelolaan risiko pada BPR X diawali dengan menetukan konteks yaitu target yang ingin dicapai. Strategi yang berkaitan dengan pencapaian target tesebut, berkaitan dengan usaha BPR X yaitu menghimpun dana dari masyarakat, dan menyalurkan kredit.

Selama ini BPR X melakukan pengelolaam risiko berdiri sendiri di setiap divisi bisnisnya, dengan penerapan ISO 31000 maka BPR X dapat mengetahui risiko secara keseluruhan yang dapat mendukung tercapainya target perusahaan.
Dengan pengelolaan risiko berbasis ISO 31000, maka BPR X dapat mengtahui risiko apa saja yang dihadapi, dan tindakan yang tepat yang harus diambil dalam menghadapi risiko-risiko yang muncul. Dan dengan melakukan pengelolaan risiko berbasis ISO 31000 risiko dapat dilekola secara terintegrasi. Dengan adanya peta risiko BPR X mengetahui risiko apa saja yang berdampak buruk bagi perusahaan.
Diperlukan langkah ini, karena kegiatan operasional berkaitan dengan kepuasan nasabah, bisa sistem sering mengalami kegagalan maka pelayanan akan terhambat dan nasabah akan kecewa.
 


Daftar Pustaka
1)      International Standard for Organization. (2009). Risk Management – Principles and Guidelines.
2)      Susilo, L.J, & Kaho, V.R. Manajemen Risiko Berbasis ISO 31000 untuk Industri Nonperbankan (edisi revisi). Indonesia: Ppm manajemen.
3)      Christina, D. (2012). Asesmen Risiko Berbasis ISO31000:2009. Diunduh dari http://dianechristina.wordpress.com/2012/10/22/asesmen-manajemen-risiko-berbasis-iso-310002009/
4)      Broadleaf Capital International. (2014). Strategic, enterprise, and risk management. Diunduh dari http://www.broadleaf.co.nz/erm/index.html
5)      COSO Enterprise Risk Management (ERM) – Integrated Framework (Executive Summary). Diunduh dari http://www.coso.org/publications/erm/coso_erm_executivesummary.pdf
6)      10 Reasons not to Like the COSO ERM Framework. Norman Marks on Governance, Risk Management, and Audit. http://normanmarks.wordpress.com/2011/02/21/10-reasons-not-to-like-the-c…
7)      Comparing the COSO ERM Framework with ISO31000. Linkedin Discussion (dimulai oleh Alex Dali, President at Global Institute for Risk Management Standards – G31000). Diunduh dari http://www.linkedin.com/groups/Comparing-COSO-ERM-Framework-ISO-1834592….

Tidak ada komentar:

Posting Komentar