2.2.2. Pengertian Manajemen Risiko
advertisement
BAB 2 Landasan Teori 2.1 Teori Umum 2.1.1 Pengertian Sistem Informasi Menurut Laudon dan Laudon (2010), sistem informasi merupakan komponen yang saling bekerja sama untuk mengumpulkan, mengolah, menyimpan dan menyebarkan informasi untuk mendukung pengambilan keputusan, koordinasi, pengendalian, analisis masalah dan visualisasi dalam sebuah organisasi. R. Kelly Rainer, Casey G (2010: 65) mengatakan bahwa Sistem Informasi adalah proses yang mengumpulkan, memproses, menyimpan, menganalisa dan menyebarkan informasi untuk tujuan yang spesifik; kebanyakan IS terkomputerisasi. Menurut Raid Moh’d Al-adeileh, (2009:226) sistem adalah “The Information System is a system that has inputs, processing, and outputs. By processing of inputs we add value to them. This added value enables the organization to achieve its goals.” Dari kutipan tersebut dapat diterjemahkan sebagai berikut: Sistem Informasi merupakan suatu system yang mempunyai Input, Process dan output. Dengan mengelola input maka kita menambahkan nilai kepadanya. Nilai tambah inilah yang membantu perusahaan untuk mencapai tujuannya. O’Brien & Marakas (2010:4) mendefinisikan sistem informasi, sebagai berikut : “An Information system can be any organized combination of people, hardware, software, communications networks, data resources, and policies and procedures that stores, retrieves, transforms, and disseminates informationin in an organization.” Dari kutipan tersebut dapat diterjemahkan sebagai berikut : sistem informasi dapat berupa kombinasi terorganisir dari orang, perangkat keras, perangkat lunak, jaringan komunikasi, sumber data, kebijakan dan 7 8 prosedur yang menyimpan, mengambil, mengubah, dan menyebarluaskan informasi di dalam organisasi. 2.1.2. Teknologi Informasi Menurut William dan Sawyer (2010:4) “Information technology is a general term that describes any technology that helps to produce, menupulate, store, cimmunicate, and/or disseminate information”. Definisi tersebut dapat diartikan teknologi informasi adalah istilah umum untuk mendeskripsikan teknologi apapun yang membantu menghasilkan, memanipulasi, menyimpan, mengkomunikasikan, dan/atau menyebarkan informasi. Sedangkan menurut Hamidah, Arifin dan Suhatman (2009:1) teknologi informasi adalah teknologi yang berhubungan dengan pengumpulan, penyimpanan, pengolahan dan penyebaran informasi. Sehingga dapat disimpulkan bahwa teknologi informasi merupakan sebuah bentuk yang menggambarkan fungsi teknologi dalam mengumpulkan, menyimpan, mengelola, dan menyebarkan informasi. 2.1.3 Infrastruktur Teknologi Informasi Haag, Cummings, & McCubbrey, (2012: 15) mengatakan bahwa ada dua kategori dasar dalam teknologi informasi, yaitu hardware (perangkat keras) dan software (perangkat lunak). 2.1.3.1 Hardware Menurut O’Brien (2007,p6), hardware mencakup semua peralatan fisik yang digunakan dalam pemrosesan informasi. Hardware berkaitan dengan peralatan keras dengan media komunikasi, yang menghubungkan berbagai jaringan dan pemrosesan paket-paket data sehingga tranmisi data lebih efektif. Hardware adalah semua mesin peralatan di komputer yang juga sering dikenal sebagai sistem komputer. Ada 6 kategori dasar dalam sistem komputer, yaitu : 9 1. Input device. berkaitan dengan peralatan, proses, atau saluran yang dilibatkan dalam pemasukan data ke sistem pemrosesan data. Alat input komputer mencakup keyboard, touch screen, pena, mouse dan lain-lain. Alat-alat tersebut mengonversi data ke dalam bentuk elektronik dengan entri langsung atau melalui jaringan telekomunikasi ke dalam sistem komputer. 2. Proses. Central Processing Unit (CPU) adalah komponen pemrosesan utama dari sistem komputer. 3. Storage device. Fungsi storage dari sistem komputer berada pada sirkuit penyimpanan dari unit penyimpanan primer (primary storage unit) atau memori, yang didukung oleh alat penyimpanan sekunder (secondaru storage), seperti disket, magnetis, dan disk drive optical, memory card, flashdisk dan lain sebagainya. 4. Output device. Berkaitan dengan peralatan, proses, atau saluran yang dilibatkan dalam transfer data atau informasi ke luar dari sistem pemrosesan informasi. Alat output dari sistem mencakup unit tampilan visual, printer, unit respons audio, dan lain-lain. Alat-alat ini mengubah informasi elektronik yang dihasilkan oleh sistem komputer menjadi bentuk yang dapat dipresentasi ke pemakai, seperti monitor, printer, speaker. 5. Communicating device. Berkaitan dengan pengiriman informasi dan meneriman informasi dari orang atau komputer lain dalam satu jaringan. Contohnya, modem. 6. Connecting hardware. Termasuk hal-hal seperti terminal pararel yang menghubungkan printer, kabel penghubung yang menghubungkan printer ke terminal pararel dan peralatan penghubung internal yang sebagian besar termasuk alat pengantar untuk perjalanan informasi dari satu bagian hardware ke bagian lainnya. 10 2.1.3.2 Software Menurut Rainer (2013:12), Software adalah program atau kumpulan program yang memungkinkan hardware untuk memproses data. Menurut Turban & Volonino (2012:9), “Software is a set of applications or programs that instruct the hardware to process data or other inputs such as voice commands.” Dari kutipan tersebut dapat diterjemahkan sebagai berikut: Software adalah seperangkat aplikasi atau program yang menginstruksikan perangkat keras untuk memproses data atau masukan lain seperti perintah suara. Sehingga dari kedua kutipan tersebut dapat disimpulkan bahwa pengertian dari software adalah sekumpulan program atau seperangkat aplikasi yang memberikan perintah kepada hardware untuk memproses data. 2.1.4 Jaringan Komputer Menurut Williams dan Sawyer (2005,p5) jaringan merupakan system yang saling terhubung dari berbagai komputer, terminal, dan saluran serta peralatan komunikasi. Jaringan komputer menjadi penting bagi manusia dan organisasinya karena jaringan komputer mempunyai tujuan yang menguntungkan bagi mereka. Beberapa manfaat jaringan komputer adalah : 1. Pembagian perangkat peripheral : perangkat perferal seperti printer laser, disk driver, dan scanner biasanya sangat mahal. Akibatnya, penggunaan mereka. Biasanya, cara terbaik untuk melakukan ini adalah menghubungkan ke jaringan peripheral yang melayani beberapa pengguna komputer. 2. Pembagian Program dan Data: seluruh program, peralatan dan data yang dapat digunakan oleh setiap orang yang ada dijaringan tanpa dipengaruhi lokasi sumber dan pemakai. 11 3. Komunikasi yang baik : memungkinkan kerjasama antar orang-orang yang saling berjauhan melalui jaringan komputer baik untuk bertukar data maupun berkomunikasi. 4. Keamanan Informasi: sebelum jaringan menjadi hal yang umum, bisa saja sebuah data informasi hanya dilimiki oleh satu karyawan saja, yang disimpan di komputer yang bersangkutan. Apabila karyawan tersebut diberhentikan, atau kantor yang bersangkutan mengalami bencana kebakaran atau banjir, maka kantor tersebut akan kehilangan data informasi tersebut. Sekarang ini data-data tersebut dibuat cadangan atau digandakan pada perangkat penyimpanan jaringan yang dapat diakses oleh karyawan lain. 5. Akses ke dalam database : jaringan memungkinkan pengguna untuk memanfaatkan berbagai database, apapun database perusahaan swasta atau database public secara online melalui internet tersedia. Berdasarkan tinjauan dari rentang geografis yang dicakup oleh suatu jaringan, jaringan komputer terbagi menjadi 5 jenis, yaitu WAN (Wide Area Network), MAN (Metropolitan Area Network), LAN (Local Area Network), HAN (Home Area Network), PAN (Personal Area Network). 2.1.4.1 WAN (Wide Area Network) WAN adalah jaringan komunikasi yang mencakup area geografis yang luas. Contohnya jaringan komputer antar wilayah, antarkota, atau bahkan antarnegara. WAN digunakan untuk menghubungkan jaringan jaringan lokal yang satu dengan jaringan lokal yang lain sehingga pengguna atau komputer di lokasi yang satu dapat berkomunikasi dengan pengguna komputer di lokasi lain. Menurut McLeod dan Schell (2007,p117) WAN digunakan untuk menghubungkan berbagai komputer dan perlatan lain bila jaraknya melalui batasan LAN dan MAN. Sistem telepon publik, digunakan untuk jaringan luas.Keuntungan utama penggunaan telepon publik adalah penurunan kecepatan transmisi.Kecepatan yang terbatas ini disebabkan oleh protokol untuk peralatan telepon. Sebagian besar data saat ini ditransimisikan melalui system telepon 12 public dengan kecepatan antara 9.600 bit perdetik (kecepatan mesin faks) sampai 1Mbps. Namun, keunggulan jaringan luas adalah tidak seperti LAN, banyak protokol jaringan dapat digunakan dalam suatu WAN. 2.1.4.2 MAN (Metropolitan Area Network) Jaringan komunikasi yang mencakup sebuah kota atau pinggiran kota. Jangkauan dari MAN ini antara 10 hingga 50 km. MAN ini merupakan jaringan yang tepat untuk membangun jaringan antar kantor-kantor dalam satu kota, anrata pabrik atau instansi, dan kantor pusat yang berada dalam jangkauannya. Menurut McLeod dan Schell (2007, p117), MAN merupakan jaringan metropolitan atau yang sering dikenal dengan sebutan MAN (Metropolitan Arean Network) adalah jaringan dengan arean yang cukup luas mencakup suatu kota secara keseluruhan atau beberapa kota kecil yang berdekatan, jarak fisiknya sekitar 30 mil. MAN muncul ketika kebutuhan untuk menghubungkan beberapa komputer melampaui batas jarak LAN. Menhubungkan beberapa gedung dalam suatu organisasi seperti beberapa gedung dikampus, merupakan aplikasi yang paling umum. MAN merupakan topologi LAN dan beberapa protokol yang berkaitan dengan jaringan luas. Bedanya dengan LAN, MAN tidak menggunakan sistem telepon publik untuk mentransfer data. MAN yang umum mentransfer data dengan kecepatan 100Mbps karena medium komunikasi yang biasa digunakan sebagai serat optik. 2.1.4.3 LAN (Local Area Netwaork) Menurut McLeod dan Schell (2007,p117), LAN merupakan jaringan komputer yang mencakup area dalam satu ruangan, satu gedung, atau beberapa gedung yang berdekatan, sebagai contoh : jaringan dalam satu kampus yang terpadu atau disebuah lokasi perusahaan yang tergolong sebagai LAN. LAN menghubungkan komputer dan alat di daerah geografis terbatas.Sebagai contoh, jaringan dalam satu kampus yang terpadu atau di sebuah lokasi perusahaan.LAN pada umumnya menggunakan media transisi berupa kabel (UTP atau serat optik), tetapi ada juga yang tidak meggunakan kabel dan 13 disebut dengan Wireless LAN (WLAN).Kecepatan LAN berkisar anatara 10Mbps – 1Gbps. 2.1.4.4 VPN (Virtual Private Network) Hall (2011 : 525) mengatakan bahwa “A Virtual Private Networks is private network within a public network.” Dari kutipan tersebut dapat diterjemahkan sebagai berikut: Sebuah Virtual Private Networks adalah jaringan pribadi di dalam sebuah jaringan publik. Brown, DeHayes, Hoffer, Martin, Perkins, (2012 : 52) mengatakan bahwa “A Virtual Private Networks (VPN) provides the equivalent of a private packet-switched network using the public Internet.” Dari kutipan tersebut dapat diterjemahkan sebagai berikut: Sebuah Virtual Private Networks (VPN) Menyediakan setara dengan sebuah private packet-switched network menggunakan Internet publik. Sehingga dari kedua kutipan tersebut dapat disimpulkan bahwa pengertian dari Virtual Private Networks (VPN) adalah sebuah jaringan pribadi yang menggunakan internet publik. 2.1.4.5 Intranet, Internet, dan Ekstranet Menurut McLeod dan Schell (2007,p117), Internet adalah jaringan komputer yang tumbuh cepat dan terdiri dari jutaan jaringan perusahaan, pendidikan, serta pemerintah yang menghubungkan ratusan juta komputer dan pemakaiannya di lebih dari dua ratus Negara didunia. Menurut McLeod dan Schell (2007,p117), Intranet adalah jaringan yang terdapat didalam organisasi yang menggunakan teknologi internet (seperti server, browser web, protocol jaringan, TCP/IP, database publikasi dokumen Hipermedia HTML, dan lain lain) untuk menyediakan lingkungan yang mirip dengan internet didalam perusahaan yang memungkinkan saling berbagi informasi, komunikasi, kerjasama dan dukungan bai proses bisnis. 14 Menurut McLeod dan Schell (2007,p117), Ekstranet adalah hubungan jaringan yang menggunakan teknologi internet untuk saling menghubungkan intranet bisnis dengan intranet pelanggannya, supplier dan mitra bisnis lainnya. 2.1.4.6 Server Menurut O’brien (2007, p190), server diartikan sebagai komputer yang mendukung aplikasi dan telekomunikasi dalam jaringan, serta pembagian peralatan perifreal, software dan database di antara berbagai terminal kerja dalam jaringan, dan yang kedua diartikan sebagai versi software untuk pemasangan server jaringan uang di desain untuk mengendalikan dan mendukung aplikasi pada mikro komputer klien dalam jaringan klien/server 2.1.4.7 Switch Switch jaringan (atau switch untuk singkatnya) adalah sebuah alat jaringan yang melakukan bridging transparan (penghubung segementasi banyak jaringan dengan forwarding berdasarkan alamat MAC). Switch merupakan penghubung beberapa alat untuk membentuk suatu Local Area Network (LAN). Switch jaringan dapat digunakan sebagai penghubung komputer atau router pada satu area yang terbatas, switch juga bekerja pada lapisan data link, cara kerja switch hampir sama seperti bridge, tetapi switch memiliki sejumlah port sehingga sering dinamakan multi-port bridge. 2.1.4.8 Router Router adalah sebuah alat jaringan komputer yang mengirimkan paket data melalui sebuah jaringan atau internet menuju tujuannya, melalui sebuah proses yang dikenal sebagai routing. Router berfungsi sebagai penghubung antar dua atau lebih jaringan untuk meneruskan data dari satu jaringan ke jaringan lainnya. 15 2.1.4.9 Virus Menurut O’Brien (2007, p446), salah satu contoh kejahatan komputer yang paling bersifat merusak adalah virus komputer atau yang biasa disebut dengan worm. Virus adalah istilah yang paling popular, secara teknis, virus adalah kode program yang tidak dapat bekerja tanpa disertai atau dimasukkan ke dalam program yang lainnya.Worm sendiri merupakan program yang berbeda yang dapat berjalan tanpa bantuan. Dapat disimpulkan bahwa virus adalah program yang bersifat merusak dan akan aktif dengan bantuan orang dan tidak dapat mereplikasi sendiri, penyebarannya karena dilakukan oleh orang, seperti copy file, biasanya melalui attachement email, game, program bajakan dan lain-lain. 2.1.4.10 Firewall Menurut O’Brien (2007, p.458), firewall adalah sebuah sistem atau perangkat yang mengizinkan pergerakan lalu lintas jaringan yang dianggap aman untuk dilalui dan mencegah lalu lintas jaringan yang tidak aman. Metode penting yang digunakan untuk mengendalikan dan mengamankan internet dan berbagai macam jaringan merupakan kegunaan dari Firewall.Firewall dapat disebut sebagai “gatekeeper” atau penjaga pintu gerbang, yang melindungi intranet perusahaan dan jaringan komputer lainnya dari intrusi atau penyusup. Firewall pada umumnya juga digunakan untuk mengontrol akses terhadap siapapun yang memiliki akses terhadap jaringan pribadi dari pihak luar. 2.1.4.11 Prosedur Menurut O’Brien (2007, p.564), prosedur adalah satu set yang terdiri dari berbagai instruksi yang digunakan oleh orang-orang untuk menyelesaikan suatu tugas. Menurut Steve Flick dalam artikel Writing Policies and Procedures (2011), prosedur adalah proses yang didokumentasikan. Jadi, dapat disimpulkan bahwa prosedur adalah serangkaian aksi yang spesifik, tindakan, atau operasi yang harus dijalankan atau dieksekusi dengan cara yang sama dari keadaan yang 16 sama.Lebih tepatnya, kata ini dapat mengidentifikasikan rangkaian aktifitas, tugas-tugas, langkah-langkah, dan proses-proses yang dijalankan. 2.1.5. Risiko Teknologi Informasi Menurut Hughes (2006:36), dalam penggunaan teknologi informasi berisiko terhadap kehilangan informasi dan pemulihannya yang tercakup dalam 6 kategori, yaitu : 1. Keamanan Risiko dimana informasi diubah atau digunakan oleh orang yang tidak berwenang. Misalnya saja kejahatan komputer, kebocoran internal dan terorisme cyber. 2. Ketersediaan Risiko dimana data tidak dapat diakses, misalnya setelah kegagalan sistem, karena kesalahan manusia (human error),perubahan konfigurasi, dan kurangnya penggunaan arsitektur. 3. Daya pulih Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam waktu yang cukup setelah terjadinya kegagalan dalam software atau hardware, ancaman eksternal dan bencana alam. 4. Performa Risiko dimana informasi tidak tersedia saat diperlukan, yang diakibatkan oleh arsitektur terdistribusi, permintaan yang tinggi dan topografi informasi teknologi yang beragam. 5. Daya Skala Risiko dimana perkembangan bisnis, pengaturan kemacetan dan bentuk arsitektur membuat tidak mungkin menangani banyak aplikasi baru dan biaya bisnis secara efektif. 6. Ketaatan 17 Risiko dimana manajemen atau penggunaan informasi melanggar keperluan dari pihak pengatur. Hal ini mencakup aturan pemerintah, panduan pengaturan perusahaan dan kebijakan internal. 2.1.5.1. Kelas-kelas Risiko Teknologi Informasi Menurut Jordan & Silcock (2005:49), risiko-risiko sistem, didefinisikan dalam 7 kelas, dimana pada setiap kasus, sistem informasi dapat juga melakukan kesalahan, tetapi konsekuensi-konsekuensinya dapat berakibat negatif bagi bisnis. Kelas-kelas risiko yaitu: 1. Projects-failing to deliver Risiko ini bersangkutan dengan gagalnya suatu proyek TI. Beberapa contoh dari gagalnya penyampaian proyek adalah menyelesaikan proyek yang ada telat atau tidak pada waktunya, sumber daya dan biaya yang di konsumsi dalam penyelesaian proyek besar sehingga tidak efisien, mengganggu proses bisnis selama proses implementasi, dan juga fungsi dari proyek tidak sesuai dengan keinginan dari yang diharapkan user. 2. IT service continuity-when business operations go off the air Risiko ini berhubungan dengan pelayanan TI yang ketinggalan jaman dan tidak dapat diandalkan sehingga mengganggu proses bisnis yang sedang berjalan. Biasanya berhubungan dengan sistem operasional dan produksi perusahaan serta kemampuan mereka untuk menyediakan kebutuhan dari user. 3. Information assets-failing to protect and preserve Risiko ini berhubungan khusus dengan kerusakan, kehilangan dan eksploitasi aset informasi yang ada dalam sistem. Dampaknya bisa sangat fatal bagi perusahaan, contohnya informasi yang penting bisa dicuri oleh perusahaan competitor. Detail dari kartu kredit dapat dilihat oleh pihak yang tidak berwenang, sehingga dengan demikian 18 akan merusak hubungan antara pelanggan dengan perusahaan. Ini tentunya akan sangat merugikan perusahaan. 4. Service providers and vendors-breaks in the IT value chain Risiko ini berhubungan dengan kemampuan dari provider dan vendor. Bila mereka gagal dalam menyediakan pelayanan yang baik bagi kita, maka akan berdampak signifikan bagi sistem TI perusahaan. Dampak lainnya berhubungan dengan dampak jangka panjang seperti kekurangan dalam penyediaan layanan TI bagi user perusahaan tersebut. 5. Applications-flaky systems Risiko ini berhubungan dengan kegagalan aplikasi TI yang diterapkan. Aplikasi biasanya berinteraksi dengan user dan dalam suatu perusahaan biasanya terdapat kombinasi antara software paket dan software buatan yang diintegrasikan menjadi satu. 6. Infrastructure-shaky foundations Risiko ini berhubungan dengan kegagalan dalam infrastruktur TI. Infrastuktur adalah suatu nama yang umum bagi komputer maupun jaringan yang sedang dipakai dan berjalan di perusahaan tersebut. Didalam infrastuktur juga termasuk software, seperti Operation System dan Database Management System. Kegagalan infrastuktur TI bisa bersifat permanen, ketika suatu komponen terbakar, dicuri, rusak maupun koneksi jaringannya sedang putus, maka dampak dari kegagalan tersebut tergantung dari ketahanan sistem yang ada. Apabila terdapat sistem yang sudah tidak kompatibel dengan model yang baru, maka sistem tersebut perlu diganti. Apabila risiko ini dapat ditangani secara rutin, maka itu merupakan suatu perencanaan jangka panjang yang baik. 19 7. Strategic and energent-disabled by IT Risiko ini berhubungan dengan kemampuan TI untuk memberitahukan strategi bisnis yang dilakukan. Dampak-dampak yang tidak langsung tetapi sangat signifikan dalam pelaksanaan bisnis secara luas. Risiko merupakan kemampuan dari perusahaan untuk terus bergerak maju ke arah visi strategi, untuk tetap kompetitif diperlukan kemajuan TI untuk dipahami dan dicocokan dengan potensi kesempatan eksploitasi bagi bisnis. 2.2. Teori – Teori Khusus 2.2.1. Pengertian Risiko Menurut Knechel, Salterio, & Ballou (2008:29), Risiko merupakan suatu ancaman bagi organisasi yang menyebabkan menurunnya kemungkinan organisasi dalam mencapai tujuan. Menurut Rittenberg, Schwieger, & Johnstone (2008:118), Risiko merupakan konsep mengenai ketidakpastian suatu kejadian dan/ atau dampak ketidakpastian yang menyebabkan kerugian material bagi organisasi. Peltier (2005:325) mengatakan bahwa, “Risk is the probability that a particular critical infrastructure’s vulnerability is being exploited by a particular threat weighted by the impact of that exploitation.” Dari kutipan tersebut dapat diterjemahkan sebagai berikut : Risiko adalah kemungkinan bahwa kerentanan suatu infrastruktur yang bersifat kritis sedang dieksploitasi oleh ancaman tertentu tertimbang dengan dampak dari eksploitasi tersebut. Berdasarkan definisi di atas, dapat disimpulkan bahwa Risiko adalah ketidakpastian mengenai suatu kejadian yang tidak diinginkan dan berdampak negatif bagi organisasi, dan menghambat organisasi tersebut dalam mencapai tujuannya. 20 2.2.1.1. Jenis - Jenis Risiko Menurut Rittenberg, Schwieger, & Johnstone (2008:93) terdapat 4 jenis risiko, yaitu : 1. Enterprise risk, adalah risiko yang berpotensi mempengaruhi kegiatan operasional. 2. Engagement risk, adalah risiko yang dihadapi auditor ketika berhubungan dengan pihak lainnya, misalnya: kehilangan reputasi, ketidakmampuan klien untuk membayar auditor, ataupun kerugian finansial. 3. Financial reporting risk, adalah risiko yang terkait dengan transaksi dan data finansial yang terdapat pada laporan keuangan organisasi. 4. Audit risk, adalah risiko auditor dalam memberikan informasi yang tidak sesuai misalnya pernyataan finansial yang tidak tepat. 2.2.1.2 Ancaman Risiko Menurut Gondodiyoto, (2007: 303) ancaman utama terhadap keamanan dapat bersifat karena alam, manusia, yang bersifat kelalaian atau kesenjangan, antara lain: 1. Ancaman kebakaran Beberapa pelaksanaan keamanan untuk ancaman kebakaran, yaitu: a. Memiliki alat pemadam kebakaran otomatis dan tabung pemadam kebakaran. b. Memiliki pintu / tangga darurat. c. Melakukan pengecekan rutin dan pengujian terhadap sistem perlindungan kebakaran untuk dapat memastikan sesuatunya telah dirawat dengan baik. 2. Ancaman banjir Beberapa pelaksanaan keamanan untuk ancaman banjir, yaitu: a. Usahakan untuk atap, dinding, dan lantai yang tahan air. segala 21 b. Semua material aset sistem informasi diletakkan di tempat yang tinggi. c. Perubahan tegangan sumber energi. d. Pelaksanaan pengamanan untuk mengantisipasi perubahan tegangan sumber energi listrik, misalnya dengan menggunakan stabilizer atau uninterruptible power supply (UPS). 3. Kerusakan struktural Pelaksanaan pengamanan untuk mengantisipasi kerusakan struktural, misalnya dengan memilih lokasi perusahaan yang jarang terjadi gempa, angin ribut, banjir, dan sebagainya. 4. Penyusup Pelaksanaan keamanan untuk mengantisipasi penyusup adalah penempatan penjaga dan penggunaan alarm ataupun kamera pengawas. 5. Virus Pelaksanaan keamanan untuk mengantisipasi virus, antara lain: a. Preventive, seperti menginstal antivirus dan melakukan updateantivirus secara rutin. b. Detective, misalnya melakukan scanfile sebelum digunakan. c. Corrective, misalnya memastikan backup data bebas virus, pemakaian antivirus terhadap file yang terinfeksi. 6. Hacking Beberapa pelaksanaan keamanan untuk mengantisipasi hacking, yaitu: a. Penggunaan logical control, seperti penggunaan password yang sulit ditebak. b. Petugas keamanan secara teratur memonitor sistem yang digunakan. 22 2.2.2. Pengertian Manajemen Risiko Menurut Jones (2008:193), manajemen risiko adalah kegiatan pemimpinan puncak identifikasi, mengevaluasi, menangani dan memonitor risiko bisnis yang dihadapi perusahaan mereka di masa yang akan datang. Menurut Blokdijk (2008:82), tugas manajemen risiko adalah mengelola risiko suatu proyek untuk risiko. Tujuannya adalah untuk mengelola risiko bahwa dengan melakukan tindakan untuk menjaga hubungan ke tingkat yang dapat diterima dengan cara yang hemat biaya. Manajemen risiko meliputi, akses yang bisa dipercaya, tentang risiko yang terbaru, proses pengambilan keputusan didukung oleh kerangka analisis risiko dan proses evaluasi, memantau risiko, pengendalian yang tepat untuk menghadapi risiko. 2.2.3 Analisa Risiko Peltier (2005:8) menyatakan bahwa Analisa Risiko adalah, “A technique to identify and assess factors that may jeopardize the success of a project or achieving a goal. This technique also helps define preventive measures to reduce the probability of these factors from occurring and identify countermeasures to successfully deal with these constraints when they develop.” Dari kutipan tersebut diartikan sebagai berikut : Analisa Risiko adalah sebuah teknik untuk mengidentifikasi dan menilai faktor-faktor yang dapat membahayakan kesuksesan suatu proyek atau suatu tujuan. Teknik ini juga membantu menentukan langkah-langkah pencegahan untuk mengurangi kemungkinan faktor-faktor dapat terjadi dan mengidentifikasi tindakan untuk menanganinya ketika faktor-faktor tersebut terus berkembang. 2.2.4 Penilaian Risiko Organisasi menggunakan penilaian risiko untuk menentukan ancaman apa yang terdapat pada suatu aset dan tingkat risiko yang terkait pada ancaman tersebut. Prioritas pada ancaman (penentuan tingkat risiko) memberikan informasi yang dibutuhkan oleh organisasi untuk memilih langkah yang tepat 23 dalam mengendalikan, melindungi, atau melakukan tindakan untuk menurunkan risiko ke tingkat yang dapat diterima (Peltier, 2005 : 16). Menurut Peltier (2005 : 16), penilaian risiko dibagi menjadi enam langkah yaitu : i. Definisi Aset Tim penilaian risiko dan pemilik perusahaan akan mendefinisikan proses, aplikasi, sistem, atau aset yang sedang ditinjau. Pada penilaian risiko sebuah proyek, definisi aset harus sesuai dengan ruang lingkup dan hasil yang diinginkan. Seperti setiap proyek, penyampaian dari langkah definisi aset adalah untuk mencapai kesepakatan dengan pemilik perusahaan pada apa yang dinilai dan penggunaan semua parameter yang relevan. ii. Identifikasi Ancaman Ancaman merupakan suatu peristiwa yang tidak diinginkan yang dapat mempengaruhi tujuan atau misi dari unit bisnis atau perusahaan bisnis. Terdapat tiga kategori utama dari sumber ancaman : ‒ Natural Threat : seperti banjir, gempa bumi, tornado, tanah longsor. ‒ Human Threat : ancaman yang disebabkan oleh manusia seperti tindakan yang tidak disengaja (kesalahan dan kelalaian) atau tindakan yang disengaja (melakukan kecurangan, instalasi perangkat lunak yang berbahaya, akses yang tidak sah). ‒ Environmental Threat : seperti pemadaman listrik jangka panjang, polusi, tumpahan bahan kimia, kebocoran cairan. 24 iii. Menentukan Probabilitas Kejadian Setelah daftar ancaman telah selesai dan tim telah menyepakati definisi dari setiap ancaman, maka diperlukan untuk menentukan seberapa besar kemungkinan ancaman dapat terjadi. Berikut ini adalah definisi dari probabilitas atau kemungkinan ancaman yang mungkin terjadi: ‒ Probability : kemungkinan bahwa ancaman akan terjadi ‒ High probability : Sangat mungkin bahwa ancaman akan terjadi dalam tahun berikutnya. ‒ Medium probability : Kemungkinan bahwa ancaman mungkin terjadi selama tahun berikutnya. ‒ Low probability : Sangat tidak mungkin bahwa ancaman akan terjadi selama tahun berikutnya. Tabel 2.1 – Definisi Tingkat Kemungkinan Deskripsi Probabilitas Sumber dari ancaman memiliki motivasi tinggi High dalam merusak sistem dan pengendalian yang diterapkan untuk mencegah kerentanan tidak efektif. Sumber dari ancaman memiliki motivasi merusak, Medium namun pengendalian yang ada mampu menghambat kerentanan yang terjadi. Sumber dari ancaman kurang memiliki pengaruh merusak terhadap sistem, atau pengendalian yang Low ada mampu mencegah, atau setidaknya dapat menghambat terjadinya kerentanan secara signifikan. 25 iv. Menentukan Dampak Dari Ancaman Setelah menentukan kemungkinan ancaman yang terjadi, maka diperlukan untuk menentukan dampak dari ancaman pada organisasi. Penilaian risiko akan memerlukan definisi dari dampak tersebut serta tabel matriks yang akan memungkinkan tim untuk menetapkan tingkat risiko. Berikut ini adalah definisi dari dampak yang dapat digunakan untuk menentukan tingkat risiko : ‒ Impact - Ukuran besarnya kerugian atau kerusakan pada nilai aset. ‒ High Impact : penutupan pada unit bisnis yang bersifat penting. Dampak ini mengarah pada kerugian yang signifikan pada bisnis, perusahaan, atau keuntungan. ‒ Medium Impact : gangguan jangka pendek pada proses bisnis atau sistem yang menyebabkan kerugian pada sebagian bidang keuangan pada unit bisnis tunggal. ‒ Low Impact : tidak menyebabkan kehilangan atau kerugian pada bidang keuangan. Tabel 2.2 – Definisi Tingkat Dampak Tingkat Dampak Deskripsi Terjadinya kerentanan dapat mengakibatkan (1) tingginya kemungkinan untuk kehilangan aset berharga dan sumber High daya organisasi. (2) terjadinya pelanggaran, kerusakan, hambatan terhadap misi, reputasi, dan kepentingan organisasi secara signifikan. (3) dapat menyebabkan kematian atau cedera serius terhadap manusia. 26 Terjadinya kerentanan dapat mengakibatkan (1) adanya kemungkinan untuk kehilangan aset berharga dan sumber Medium daya organisasi. (2) terjadinya pelanggaran, kerusakan, hambatan terhadap misi, reputasi, dan kepentingan organisasi. (3) dapat menyebabkan cedera terhadap manusia. Terjadinya kerentanan dapat mengakibatkan (1) adanya kemungkinan untuk kehilangan beberapa aset berwujud Low dan sumber daya organisasi. (2) sedikit hambatan terhadap misi, reputasi, dan kepentingan organisasi. 2.2.4.1 Deskripsi Tingkat Risiko Tabel 2.3 menjelaskan tentang tingkat risiko yang ditunjukan pada gambar 2.1. Skala risiko berikut, dengan penilaian tinggi (high), sedang (medium), atau rendah (low) merupakan tingkatan risiko terhadap sistem TI, fasilitas, ataupun prosedur yang terkontaminasi oleh kerentanan. Skala risiko juga menyajikan tindakan yang sebaiknya dilakukan oleh manajemen senior, dan pemilik bisnis. Tabel 2.3 Probability-Impact Matrix Impact Probability High Medium Low High High High Mediun Medium High Medium Low Low Medium Low Low Keterangan : High : Tindakan korektif harus diterapkan. Medium : Tindakan korektif sebaiknya diterapkan. Low : Tidak ada tindakan yang diperlukan 27 Tabel 2.4 – Skala Risiko dan Tindakan Yang Dibutuhkan Tingkat Risiko Deskripsi dan Tindakan Yang Dibutuhkan Jika observasi atau temuan dievaluasi sebagai risiko tinggi, terdapat kebutuhan yang tinggi terhadap High tindakan perbaikan. Sistem yang ada mungkin terus beroperasi, namun rencana tindakan korektif harus dilakukan secepat mungkin. Jika observasi atau temuan dievaluasi sebagai risiko Medium menengah, rencana dan tindakan perbaikan diperlukan pengembangan untuk menyertakan tindakan ini dalam jangka waktu yang wajar. Jika observasi atau temuan dievaluasi sebagai risiko Low rendah, DAA sistem harus menentukan apakah tindakan perbaikan masih diperlukan atau diputuskan untuk menerima risiko tersebut. v. Kontrol yang Direkomendasikan Setelah tingkat risiko telah ditetapkan, tim akan mengidentifikasi kontrol atau perlindungan yang mungkin dapat menghilangkan risiko, atau setidaknya mengurangi risiko ke tingkat yang dapat diterima. Ketika memilih jenis pengendalian, maka diperlukan untuk mengukur dampak operasional untuk organisasi. Tujuan dari daftar kontrol yang direkomendasikan adalah untuk mengidentifikasi kategori kontrol yang akan mengarahkan tim untuk menentukan kontrol khusus yang diperlukan. vi. Dokumentasi Setelah analisis risiko selesai dilakukan, hasil analisa risiko perlu didokumentasikan dalam format standar dan laporan yang ditujukan 28 kepada pemilik aset. Laporan ini akan membantu perusahaan untuk membuat keputusan tentang kebijakan, prosedur, anggaran, sistem, dan perubahan manajemen. Laporan analisis risiko harus disajikan secara sistematis dan analitis sehingga perusahaan akan memahami risiko dan mengalokasikan sumber daya untuk mengurangi risiko ke tingkat yang dapat diterima. 2.2.4.2 Mitigasi Risiko Mitigasi risiko adalah suatu metodologi sistematis yang digunakan oleh manajemen untuk mengurangi risiko. mitigasi risiko dapat dicapai melalui salah satu dari pilihan berikut : a. Risk Assumption Menerima risiko potensial dan terus mengoperasikan sistem TI atau untuk menerapkan kontrol untuk menurunkan risiko ke tingkat yang dapat diterima. b. Risk Avoidance Menghindari risiko dengan menghilangkan penyebab risiko dan / atau konsekuensi (misalnya, mematikan sistem ketika risiko diidentifikasi). c. Risk Limitation Membatasi risiko dengan menerapkan kontrol yang meminimalkan dampak merugikan dari ancaman yang berlangsung. d. Risk Planning Mengelola risiko dengan membangun suatu rencana mitigasi risiko yang memprioritaskan, menerapkan, dan memelihara kontrol. e. Research and Acknowledgment Untuk mengurangi risiko kerugian dengan menyadari kelemahan atau cacat dan meneliti sebuah kontrol untuk memperbaiki kerentanan. f. Risk Transference Melakukan transfer risiko dengan menggunakan pilihan lain atau pihak ketiga untuk mengganti kerugian, seperti pembelian asuransi. 29 Tujuan dan misi perusahaan harus dipertimbangkan dalam memilih salah satu opsi mitigasi risiko. Hal ini mungkin tidak praktis untuk menangani semua risiko yang teridentifikasi, jadi prioritas harus diberikan kepada ancaman dan kerentanan yang memiliki potensi untuk menimbulkan dampak yang signifikan atau membahayakan misi perusahaan. Karena setiap organisasi memiliki lingkungan yang unik dan tujuan yang berbeda, pilihan yang digunakan untuk mengurangi risiko dan metode yang digunakan untuk menerapkan kontrol akan bervariasi. 2.2.5 SE BI No: 9/30/DPNP Merupakan pokok-pokok penerapan manajemen risiko dalam penggunaan TI yang harus diterapkan oleh Bank untuk memitigasi risiko yang berhubungan dengan penyelenggaraan TI. Bank dengan ukuran dan kompleksitas usaha besar hendaknya menggunakan parameter yang lebih ketat sebagai tambahan dari hal-hal yang dikemukakan dalam pedoman. Sementara itu Bank dengan ukuran dan kompleksitas usaha yang relatif kecil dapat menggunakan parameter yang lebih ringan dari hal-hal yang dikemukakan dalam pedoman sepanjang Bank telah mempertimbangkan hasil penilaian terhadap risiko dalam aktivitas bisnis Bank, profil keamanan TI maupun hasil analisis atas cost and benefit. Bank juga diharapkan mengimplementasikan kerangka manajemen risiko ini dengan memperhatikan ketentuan perundangan yang berlaku, standar nasional dan internasional serta best practices untuk memastikan bahwa manajemen risiko yang memadai telah diterapkan. 2.2.5.1 Ruang lingkup SE BI No: 9/30/DPNP a. pengawasan aktif dewan Komisaris dan Direksi; b. kecukupan kebijakan dan prosedur penggunaan Teknologi Informasi; c. kecukupan proses identifikasi, pengukuran, pemantauan pengendalian risiko penggunaan Teknologi Informasi; dan dan 30 d. sistem pengendalian intern atas penggunaan Teknologi Informasi. 2.2.5.2 Langkah-langkah pengendalian pada SE BI No: 9/30/DPNP Dalam melakukan pengembangan dan pengadaan Teknologi Informasi Bank wajib melakukan langkah-langkah pengendalian untuk menghasilkan sistem dan data yang terjaga kerahasiaan dan integritasnya serta mendukung pencapaian tujuan Bank, antara lain mencakup: a. menetapkan dan menerapkan prosedur dan metodologi pengembangan dan pengadaan Teknologi Informasi secara konsisten; b. menerapkan manajemen proyek dalam pengembangan sistem; c. melakukan testing yang memadai pada saat pengembangan dan pengadaan suatu sistem, termasuk uji coba bersama satuan kerja pengguna, untuk memastikan keakuratan dan berfungsinya sistem sesuai kebutuhan pengguna serta kesesuaian satu sistem dengan sistem yang lain; d. melakukan dokumentasi sistem yang dikembangkan dan pemeliharaannya; e. memiliki manajemen perubahan sistem aplikasi. 2.2.6. Fungsi Manajemen Risiko TI menurut SE BI NO: 9/30/DPNP Bank perlu memiliki fungsi penerapan manajemen risiko penggunaan TI dalam organisasi Bank yang melibatkan pihak-pihak yang memiliki risiko dan yang memantau (oversee) risiko serta yang melakukan test dan verifikasi. Bank perlu memiliki kebijakan bahwa identifikasi, pengukuran dan pemantauan risiko setiap aktivitas/bisnis secara periodik dilakukan oleh Satuan Kerja Manajemen Risiko bekerja sama dengan satuan kerja penyelenggara TI dan satuan kerja pengguna TI. Selain itu untuk fungsi tertentu seperti fungsi pengamanan informasi dan fungsi Business Continuity Plan (BCP), pelaksanaan pengelolaan risiko tetap merupakan tanggung jawab dari tim kerja atau petugas 31 yang melaksanakan fungsi-fungsi tersebut. Oleh karena itu manajemen Bank wajib memastikan pemantauan yang memadai dan pelaporan mengenai aktivitas terkait TI dan risikonya. Agar proses pemantauan dan pelaporan berfungsi optimal, maka audit internal maupun eksternal harus dapat melaksanakan fungsi test dan verifikasi dalam setiap pemeriksaan TI. Untuk dapat menerapkan manajemen risiko pengamanan informasi secara optimal, Bank selain perlu memiliki fungsi yang melaksanakan prosedur pengamanan informasi sehari-hari juga perlu memiliki fungsi pengelola program pengamanan informasi dan pemantauan pengamanan secara bank-wide. Fungsi pertama hanya dapat melaksanakan prosedur yang telah ditetapkan dan tidak dapat mengambil keputusan untuk melakukan pengecualian atau mengubah prosedur dan standar pengamanan yang telah ditetapkan tersebut. Idealnya Bank perlu memisahkan kedua fungsi tersebut sehingga fungsi pengelola program pengamanan informasi (Information Security Officer) tersebut tidak bertanggungjawab terhadap satuan kerja TI melainkan kepada direksi. Dalam pelaksanaannya, Bank dapat menetapkan kebijakan dalam pelaksanaan kedua fungsi tersebut di atas yang disesuaikan dengan struktur organisasi dan kompleksitas usaha serta teknologi pendukung yang digunakan Bank. 2.2.7 MANAJEMEN RISIKO TERKAIT TEKNOLOGI INFORMASI Kemampuan Bank memitigasi risiko TI tergantung dari hasil identifikasi, pengukuran, pengendalian dan pemantauan risiko-risiko terkait TI yang berpotensi mengancam keamanan dan operasional Bank. Proses manajemen risiko terkait TI yang harus dilakukan setiap Bank mencakup empat hal penting yaitu: a. merencanakan penggunaan TI; b. menilai risiko terkait TI; c. menetapkan proses pengukuran penyelenggaraan dan penggunaan TI; d. implementasi pengendalian TI. dan pemantauan risiko terkait 32 2.2.7.1 Perencanaan Penggunaan TI Sebagaimana dijelaskan di atas bahwa Bank wajib memiliki Rencana Strategis Teknologi Informasi (Information Technology Strategic Plan) yang mendukung rencana strategis kegiatan usaha Bank. Selanjutnya Rencana Strategis Teknologi Informasi yang akan diimplementasikan dalam satu tahun kedepan diungkapkan dalam Rencana Bisnis Bank yaitu dalam bagian Kebijakan dan Strategi Manajemen. Disamping itu apabila terdapat bagian dari Rencana Strategis TI tersebut yang terkait pengembangan produk dan aktivitas baru serta perubahan jaringan kantor bank maka harus diungkapkan pula pada bagian Pengembangan Produk dan Aktivitas Baru serta sub bab Perubahan Jaringan Kantor Bank. Setiap rencana pengeluaran terkait Rencana Strategis TI yang akan diimplementasikan pada tahun yang bersangkutan harus dimasukkan dalam proyeksi neraca di Rencana Bisnis. Mengingat rencana strategis TI bersifat jangka panjang, maka untuk menjaga kesesuaian dengan perkembangan usaha Bank dan perkembangan TI maka Bank sebaiknya melakukan evaluasi secara berkala yang mencakup antara lain kinerja TI Bank serta tercapainya sasaran dan anggaran yang telah ditetapkan. Dengan demikian proyeksi neraca di Rencana Bisnis dapat lebih realistis dan berkesinambungan dari tahun ke tahun. 2.2.7.2 Penilaian Risiko Dalam menggunakan teknologi, manajemen Bank harus menggunakan proses analisis yang ketat, menyeluruh, hati-hati & akurat, untuk mengidentifikasi dan mengkuantifikasi risiko serta memastikan pengendalian risiko diterapkan. Untuk itu penilaian risiko yang dilakukan Bank perlu dilakukan secara berkesinambungan dengan suatu siklus yang minimal mencakup empat langkah penting sebagai berikut: 33 a. Pengumpulan data/dokumen atas aktivitas terkait TI yang berpotensi menimbulkan atau meningkatkan risiko baik dari kegiatan yang akan maupun sedang berjalan termasuk namun tidak terbatas pada: 1) Aset TI yang kritikal, dalam rangka mengidentifikasi titik-titik akses dan penyimpangan terhadap informasi nasabah yang bersifat rahasia; 2) Hasil review rencana strategis bisnis, khususnya review terhadap penilaian risiko potensial; 3) Hasil due dilligence dan pemantauan terhadap kinerja pihak penyedia jasa; 4) Hasil review atas laporan atau keluhan yang disampaikan oleh nasabah dan atau pengguna TI ke Call Center dan atau Help Desk; 5) Hasil Self Assessment yang dilakukan seluruh satuan kerja terhadap pengendalian yang dilakukan terkait TI; 6) Temuan-temuan audit terkait penyelenggaraan dan penggunaan TI. b. Analisis risiko berkaitan dengan dampak potensial dari tiap-tiap risiko, misalnya dari fraud di pemrograman, virus komputer, kegagalan sistem, bencana alam, kesalahan pemilihan teknologi yang digunakan, masalah pengembangan dan implementasi sistem, kesalahan prediksi perkembangan bisnis Bank. c. Penetapan prioritas pengendalian dan langkah mitigasi yang didasarkan pada hasil penilaian risiko Bank secara keseluruhan. Untuk itu Bank harus membuat peringkat risiko berdasarkan kemungkinan kejadian dan besarnya dampak yang dapat ditimbulkan serta mitigasi risiko yang dapat dilakukan untuk menurunkan eksposure risiko tersebut. d. Pemantauan kegiatan pengendalian dan mitigasi yang telah dilakukan atas risiko yang diidentifikasi dalam periode penilaian risiko sebelumnya, yang antara lain mencakup rencana tindak lanjut perbaikan, kejelasan akuntabilitas dan tanggung jawab, sistem pelaporan, pengendalian kualitas termasuk compensating control. 34 2.2.7.3 Proses Pengukuran Dan Pemantauan Risiko Seperti telah diuraikan sebelumnya terdapat beberapa jenis risiko yang terkait dengan penggunaan TI namun yang terbesar potensinya adalah risiko operasional. Hal ini perlu mendapat perhatian mengingat risiko operasional sulit dikuantifikasi. Bank perlu memperhatikan signifikansi dampak risiko yang telah diidentifikasi oleh Bank terhadap kondisi bank serta frekuensi terjadinya risiko. Metode yang dapat digunakan Bank dapat berupa kuantitatif maupun kualitatif tergantung kompleksitas usaha dan teknologi yang digunakan. Dalam metode kualitatif, besarnya dampak dan sering tidaknya kejadian (likelihood) dapat dijelaskan secara naratif atau dengan pemberian ranking. Contoh metode pengukuran yang sederhana antara lain dengan menggunakan check list atau menggunakan subjective risk rating seperti High, Medium atau Low. Bank harus menetapkan kriteria High, Medium atau Low dalam risk rating tersebut dan menerapkannya secara konsisten. Agar dapat memberikan hasil pengukuran risiko yang lebih sensitif, Bank dapat meningkatkan metode pemeringkatan risikonya dari 3x3 menjadi 4x4 sampai dengan 10x10. Contoh dari pemeringkatan menggunakan matriks risiko 5x5 adalah seperti dalam tabel berikut: Tabel 2.5 Risk Matrix IMPACT/ CONSEQUENCES / LOSS RATE OF OCCURRENC E/ Insignificant Minor Moderate Major Catastrophi c Almost certain Low Medium High Very high Very high Likely Low Medium High Very high Very high Possible Very low Low Medium High High Unlikely Very low Very low Low Medium Medium Rare Very low Very low Low Low Medium LIKELIHOOD 35 Terdapat banyak program aplikasi pengukuran risiko yang menggunakan metode kuantitatif. Dalam metode ini digunakan data 35 eriodic 35 mengenai kejadian dan besarnya dampak. Risiko diukur berdasarkan rata-rata tingkat kejadian (rate of occurance) dan besarnya dampak dari kejadian (the severity of the consequences/impact). Beberapa bank menggunakan VAR untuk pengukuran risiko dengan metode kuantifikasi yang menganalisa database likelihood dan dampak dari kejadian-kejadian yang telah lalu. Apabila Bank menggunakan paket 35eriod informasi manajemen risiko yang mencakup aplikasi pengukuran risiko sebagai alat bantu penerapan manajemen risiko dalam penggunaan TI, maka Bank harus memperhatikan asumsi yang digunakan dalam 35 eriod tersebut, serta pertimbangan bisnis (business commonsense) dan pertimbangan profesi ( 35 eriodic 35 35 al 35eriodic35). Agar risiko yang telah diidentifikasi dan dinilai atau diukur dapat dipantau oleh manajemen maka Bank perlu memiliki dokumentasi risiko (Risk Documentation) atau yang sering disebut sebagai Risk Register. Contoh pembuatan Risk Register tersebut dapat dilihat pada Lampiran 1.1. Contoh Penilaian Risiko. Bank dapat menetapkan komponen Risk Register yang berbeda dengan di Lampiran 1.1. namun paling kurang mencakup hal-hal sebagai berikut: a. penetapan 35 erio, proses, produk, atau kejadian yang mengandung risiko; b. pengukuran atau pemeringkatan kemungkinan kejadian dan dampak (Inherent Risk Assessment); c. langkah-langkah penanganan terhadap risiko potensial (potential risk treatment) misalnya Accept, Control, Avoid atau Transfer (ACAT); d. pengukuran atau pemeringkatan kemungkinan kejadian dan dampak setelah ACAT (Residual Risk Assesment). 36 Dalam dokumentasi potential risk treatment tersebut Bank perlu memperhatikan antara lain risk appetite dari manajemen, fasilitas yang dapat digunakan sebagai preventive control atau corrective control, dan kesesuaian rencana mitigasi risiko dengan kondisi keuangan Bank. Dokumentasi risiko ini perlu dikinikan secara 36eriodic. Langkah-langkah penanganan risiko potensial yang dapat diambil Bank sesuai butir c di atas adalah sebagai berikut: a. Manajemen memutuskan untuk menerima risiko jika besarnya dampak dan tingkat kecenderungan masih dalam batas toleransi organisasi (Accept) Contohnya adalah 1) Dengan menetapkan Kriteria Penerimaan Risiko terkait dengan evaluasi dan penanganan risiko misalnya Nilai Risiko Akhir “ Low”. Tabel 2.6 Risk Rating 5 Medium Medium High High High 4 Low Medium High High High 3 Low Medium Medium High High 2 Low Medium Medium Medium High Low Low Medium Medium High 1 2 1 3 4 5 2) Nilai Risiko Akhir “ Medium” atau “ High“, namun telah diputuskan untuk diterima oleh Manajemen dan dibuat suatu sistem prosedur untuk memantau risiko tersebut misalnya dengan menyediakan tambahan modal sesuai besarnya potensi risiko. b. Organisasi memutuskan untuk tidak melakukan suatu aktivitas atau memilih alternatif aktivitas lain yang menghasilkan output yang sama untuk menghindari terjadinya risiko (Avoid risk). Contohnya hak privilege administrator pada user yang menggunakan PC yang mengandung risiko akan adanya malicious code pada PC. Risiko ini dapat 37 dihindari dengan tidak memberikan hak privilege pada user sehingga user tidak bisa merubah konfigurasi dan meng-install software pada PC. c. Organisasi memutuskan mengurangi dampak maupun kemungkinan terjadinya risiko (Control / Mitigate). Contohnya penggunaan PC untuk mendukung proses bisnis organisasi mengandung risiko terjadinya hacking pada PC. Pengendalian risiko dilakukan dengan pemasangan fasilitas firewall untuk mencegah akses yang tidak terotorisasi. d. Organisasi memutuskan untuk mengalihkan seluruh atau sebagian tanggung jawab pelaksanaan suatu proses kepada pihak ketiga (Transfer). Contohnya Penggunaan fasilitas ruangan atau gedung mengandung risiko terjadi kebakaran. Risiko ini ditangani dengan memindahkan risiko ke perusahaan asuransi yaitu dengan mengasuransikan fasilitas ruangan atau gedung. 2.2.8. Implementasi Pengendalian Teknologi Informasi Manajemen harus menerapkan praktek-praktek pengendalian yang memadai sebagai bagian dari strategi mitigasi risiko TI secara keseluruhan. Praktek-praktek pengendalian antara lain: a. Penerapan kebijakan, prosedur, struktur organisasi termasuk alur kerjanya; b. Pengendalian intern yang efektif yang dapat memitigasi risiko dalam proses TI. Cakupan dan kualitas pengendalian intern adalah kunci utama dalam proses mengidentifikasi manajemen persyaratan risiko sehingga spesifik manajemen pengendalian intern harus yang diperlukan dalam setiap kebijakan dan prosedur yang diterapkan; c. Manajemen wajib menetapkan kebijakan dan prosedur serta standar (sistem pengelolaan pengamanan informasi) yang diperlukan Bank untuk melakukan pengamanan aset-aset terkait penyelenggaraan dan penggunaan TI termasuk didalamnya data atau informasi. d. Manajemen harus mengevaluasi hasil kaji ulang (review) dan pengujian 38 atas BCP untuk setiap bagian operasional yang kritis. e. Manajemen wajib memastikan terdapat kebijakan dan prosedur mengenai penggunaan pihak penyedia jasa. direksi harus memiliki pemahaman secara menyeluruh atas risiko yang berhubungan dengan penggunaan jasa pihak penyedia jasa untuk sebagian atau semua operasional TI. Untuk itu satuan kerja TI harus melakukan evaluasi kemampuan penyedia jasa untuk menjaga tingkat keamanan paling tidak sama atau lebih ketat dari yang diterapkan oleh pihak intern Bank baik dari sisi kerahasiaan, integritas data dan ketersediaan informasi. Pengawasan dan pemantauan yang ketat harus dilakukan karena tanggung jawab manajemen Bank tidak hilang atau menjadi berkurang dengan melakukan outsourcing operasional TI kepada pihak penyedia jasa TI. f. Selain menerapkan bentuk pengendalian tersebut di atas, asuransi dapat digunakan sebagai pelengkap upaya memitigasi potensi kerugian dalam penyelenggaraan TI. Risiko yang perlu diasuransikan adalah residual risk. Bank hendaknya melakukan review secara periodik atas kebutuhan, cakupan dan nilai asuransi yang ditutup.
