Add to collection(s) Add to saved
  1. Bisnis
  2. Manajemen

2.2.2. Pengertian Manajemen Risiko

advertisement 
BAB 2
Landasan Teori
2.1
Teori Umum
2.1.1
Pengertian Sistem Informasi
Menurut Laudon dan Laudon (2010), sistem informasi merupakan
komponen yang saling bekerja sama untuk mengumpulkan, mengolah,
menyimpan dan menyebarkan informasi untuk mendukung pengambilan
keputusan, koordinasi, pengendalian, analisis masalah dan visualisasi dalam
sebuah organisasi.
R. Kelly Rainer, Casey G (2010: 65) mengatakan bahwa Sistem
Informasi adalah proses yang mengumpulkan, memproses, menyimpan,
menganalisa dan menyebarkan informasi untuk tujuan yang spesifik; kebanyakan
IS terkomputerisasi.
Menurut Raid Moh’d Al-adeileh, (2009:226) sistem adalah “The
Information System is a system that has inputs, processing, and outputs. By
processing of inputs we add value to them. This added value enables the
organization to achieve its goals.” Dari kutipan tersebut dapat diterjemahkan
sebagai berikut: Sistem Informasi merupakan suatu system yang mempunyai
Input, Process dan output. Dengan mengelola input maka kita menambahkan
nilai kepadanya. Nilai tambah inilah yang membantu perusahaan untuk mencapai
tujuannya.
O’Brien & Marakas (2010:4) mendefinisikan sistem informasi, sebagai
berikut : “An Information system can be any organized combination of people,
hardware, software, communications networks, data resources, and policies and
procedures that stores, retrieves, transforms, and disseminates informationin in
an organization.” Dari kutipan tersebut dapat diterjemahkan sebagai berikut :
sistem informasi dapat berupa kombinasi terorganisir dari orang, perangkat
keras, perangkat lunak, jaringan komunikasi, sumber data, kebijakan dan
7
8
prosedur yang menyimpan, mengambil, mengubah, dan menyebarluaskan
informasi di dalam organisasi.
2.1.2.
Teknologi Informasi
Menurut William dan Sawyer (2010:4) “Information technology is a
general term that describes any technology that helps to produce, menupulate,
store, cimmunicate, and/or disseminate information”. Definisi tersebut dapat
diartikan teknologi informasi adalah istilah umum untuk mendeskripsikan
teknologi apapun yang membantu menghasilkan, memanipulasi, menyimpan,
mengkomunikasikan, dan/atau menyebarkan informasi.
Sedangkan menurut Hamidah, Arifin dan Suhatman (2009:1) teknologi
informasi
adalah
teknologi
yang
berhubungan
dengan
pengumpulan,
penyimpanan, pengolahan dan penyebaran informasi.
Sehingga dapat disimpulkan bahwa teknologi informasi merupakan
sebuah bentuk yang menggambarkan fungsi teknologi dalam mengumpulkan,
menyimpan, mengelola, dan menyebarkan informasi.
2.1.3
Infrastruktur Teknologi Informasi
Haag, Cummings, & McCubbrey, (2012: 15) mengatakan bahwa ada dua
kategori dasar dalam teknologi informasi, yaitu hardware (perangkat keras) dan
software (perangkat lunak).
2.1.3.1
Hardware
Menurut O’Brien (2007,p6), hardware mencakup semua peralatan fisik
yang digunakan dalam pemrosesan informasi. Hardware berkaitan dengan
peralatan keras dengan media komunikasi, yang menghubungkan berbagai
jaringan dan pemrosesan paket-paket data sehingga tranmisi data lebih efektif.
Hardware adalah semua mesin peralatan di komputer yang juga sering
dikenal sebagai sistem komputer. Ada 6 kategori dasar dalam sistem komputer,
yaitu :
9
1. Input device. berkaitan dengan peralatan, proses, atau saluran yang
dilibatkan dalam pemasukan data ke sistem pemrosesan data. Alat input
komputer mencakup keyboard, touch screen, pena, mouse dan lain-lain.
Alat-alat tersebut mengonversi data ke dalam bentuk elektronik dengan
entri langsung atau melalui jaringan telekomunikasi ke dalam sistem
komputer.
2. Proses. Central Processing Unit (CPU) adalah komponen pemrosesan
utama dari sistem komputer.
3. Storage device. Fungsi storage dari sistem komputer berada pada sirkuit
penyimpanan dari unit penyimpanan primer (primary storage unit) atau
memori, yang didukung oleh alat penyimpanan sekunder (secondaru
storage), seperti disket, magnetis, dan disk drive optical, memory card,
flashdisk dan lain sebagainya.
4. Output device. Berkaitan dengan peralatan, proses, atau saluran yang
dilibatkan dalam transfer data atau informasi ke luar dari sistem
pemrosesan informasi. Alat output dari sistem mencakup unit tampilan
visual, printer, unit respons audio, dan lain-lain. Alat-alat ini mengubah
informasi elektronik yang dihasilkan oleh sistem komputer menjadi
bentuk yang dapat dipresentasi ke pemakai, seperti monitor, printer,
speaker.
5. Communicating device. Berkaitan dengan pengiriman informasi dan
meneriman informasi dari orang atau komputer lain dalam satu jaringan.
Contohnya, modem.
6. Connecting hardware. Termasuk hal-hal seperti terminal pararel yang
menghubungkan printer, kabel penghubung yang menghubungkan printer
ke terminal pararel dan peralatan penghubung internal yang sebagian
besar termasuk alat pengantar untuk perjalanan informasi dari satu bagian
hardware ke bagian lainnya.
10
2.1.3.2
Software
Menurut Rainer (2013:12), Software adalah program atau kumpulan
program yang memungkinkan hardware untuk memproses data.
Menurut Turban & Volonino (2012:9), “Software is a set of applications
or programs that instruct the hardware to process data or other inputs such as
voice commands.” Dari kutipan tersebut dapat diterjemahkan sebagai berikut:
Software adalah seperangkat aplikasi atau program yang menginstruksikan
perangkat keras untuk memproses data atau masukan lain seperti perintah suara.
Sehingga dari kedua kutipan tersebut dapat disimpulkan bahwa
pengertian dari software adalah sekumpulan program atau seperangkat aplikasi
yang memberikan perintah kepada hardware untuk memproses data.
2.1.4
Jaringan Komputer
Menurut Williams dan Sawyer (2005,p5) jaringan merupakan system
yang saling terhubung dari berbagai komputer, terminal, dan saluran serta
peralatan komunikasi.
Jaringan komputer menjadi penting bagi manusia dan organisasinya
karena jaringan komputer mempunyai tujuan yang menguntungkan bagi mereka.
Beberapa manfaat jaringan komputer adalah :
1. Pembagian perangkat peripheral : perangkat perferal seperti printer laser,
disk driver, dan scanner biasanya sangat mahal. Akibatnya, penggunaan
mereka.
Biasanya,
cara
terbaik
untuk
melakukan
ini
adalah
menghubungkan ke jaringan peripheral yang melayani beberapa
pengguna komputer.
2. Pembagian Program dan Data: seluruh program, peralatan dan data yang
dapat digunakan oleh setiap orang yang ada dijaringan tanpa dipengaruhi
lokasi sumber dan pemakai.
11
3. Komunikasi yang baik : memungkinkan kerjasama antar orang-orang
yang saling berjauhan melalui jaringan komputer baik untuk bertukar data
maupun berkomunikasi.
4. Keamanan Informasi: sebelum jaringan menjadi hal yang umum, bisa
saja sebuah data informasi hanya dilimiki oleh satu karyawan saja, yang
disimpan di komputer yang bersangkutan. Apabila karyawan tersebut
diberhentikan, atau kantor yang bersangkutan mengalami bencana
kebakaran atau banjir, maka kantor tersebut akan kehilangan data
informasi tersebut. Sekarang ini data-data tersebut dibuat cadangan atau
digandakan pada perangkat penyimpanan jaringan yang dapat diakses
oleh karyawan lain.
5. Akses ke dalam database : jaringan memungkinkan pengguna untuk
memanfaatkan berbagai database, apapun database perusahaan swasta
atau database public secara online melalui internet tersedia.
Berdasarkan tinjauan dari rentang geografis yang dicakup oleh suatu
jaringan, jaringan komputer terbagi menjadi 5 jenis, yaitu WAN (Wide Area
Network), MAN (Metropolitan Area Network), LAN (Local Area Network),
HAN (Home Area Network), PAN (Personal Area Network).
2.1.4.1
WAN (Wide Area Network)
WAN adalah jaringan komunikasi yang mencakup area geografis yang
luas. Contohnya jaringan komputer antar wilayah, antarkota, atau bahkan
antarnegara. WAN digunakan untuk menghubungkan jaringan jaringan lokal
yang satu dengan jaringan lokal yang lain sehingga pengguna atau komputer di
lokasi yang satu dapat berkomunikasi dengan pengguna komputer di lokasi lain.
Menurut McLeod dan Schell (2007,p117) WAN digunakan untuk
menghubungkan berbagai komputer dan perlatan lain bila jaraknya melalui
batasan LAN dan MAN. Sistem telepon publik, digunakan untuk jaringan
luas.Keuntungan utama penggunaan telepon publik adalah penurunan kecepatan
transmisi.Kecepatan yang terbatas ini disebabkan oleh protokol untuk peralatan
telepon. Sebagian besar data saat ini ditransimisikan melalui system telepon
12
public dengan kecepatan antara 9.600 bit perdetik (kecepatan mesin faks) sampai
1Mbps. Namun, keunggulan jaringan luas adalah tidak seperti LAN, banyak
protokol jaringan dapat digunakan dalam suatu WAN.
2.1.4.2
MAN (Metropolitan Area Network)
Jaringan komunikasi yang mencakup sebuah kota atau pinggiran kota.
Jangkauan dari MAN ini antara 10 hingga 50 km. MAN ini merupakan jaringan
yang tepat untuk membangun jaringan antar kantor-kantor dalam satu kota,
anrata pabrik atau instansi, dan kantor pusat yang berada dalam jangkauannya.
Menurut McLeod dan Schell (2007, p117), MAN merupakan jaringan
metropolitan atau yang sering dikenal dengan sebutan MAN (Metropolitan
Arean Network) adalah jaringan dengan arean yang cukup luas mencakup suatu
kota secara keseluruhan atau beberapa kota kecil yang berdekatan, jarak fisiknya
sekitar 30 mil. MAN muncul ketika kebutuhan untuk menghubungkan beberapa
komputer melampaui batas jarak LAN. Menhubungkan beberapa gedung dalam
suatu organisasi seperti beberapa gedung dikampus, merupakan aplikasi yang
paling umum. MAN merupakan topologi LAN dan beberapa protokol yang
berkaitan dengan jaringan luas. Bedanya dengan LAN, MAN tidak menggunakan
sistem telepon publik untuk mentransfer data. MAN yang umum mentransfer
data dengan kecepatan 100Mbps karena medium komunikasi yang biasa
digunakan sebagai serat optik.
2.1.4.3
LAN (Local Area Netwaork)
Menurut McLeod dan Schell (2007,p117), LAN merupakan jaringan
komputer yang mencakup area dalam satu ruangan, satu gedung, atau beberapa
gedung yang berdekatan, sebagai contoh : jaringan dalam satu kampus yang
terpadu atau disebuah lokasi perusahaan yang tergolong sebagai LAN.
LAN
menghubungkan
komputer
dan
alat
di
daerah
geografis
terbatas.Sebagai contoh, jaringan dalam satu kampus yang terpadu atau di sebuah
lokasi perusahaan.LAN pada umumnya menggunakan media transisi berupa
kabel (UTP atau serat optik), tetapi ada juga yang tidak meggunakan kabel dan
13
disebut dengan Wireless LAN (WLAN).Kecepatan LAN berkisar anatara
10Mbps – 1Gbps.
2.1.4.4
VPN (Virtual Private Network)
Hall (2011 : 525) mengatakan bahwa “A Virtual Private Networks is
private network within a public network.” Dari kutipan tersebut dapat
diterjemahkan sebagai berikut: Sebuah Virtual Private Networks adalah jaringan
pribadi di dalam sebuah jaringan publik.
Brown, DeHayes, Hoffer, Martin, Perkins, (2012 : 52) mengatakan
bahwa “A Virtual Private Networks (VPN) provides the equivalent of a private
packet-switched network using the public Internet.” Dari kutipan tersebut dapat
diterjemahkan sebagai berikut: Sebuah Virtual Private Networks (VPN)
Menyediakan
setara
dengan
sebuah
private
packet-switched
network
menggunakan Internet publik.
Sehingga dari kedua kutipan tersebut dapat disimpulkan bahwa
pengertian dari Virtual Private Networks (VPN) adalah sebuah jaringan pribadi
yang menggunakan internet publik.
2.1.4.5
Intranet, Internet, dan Ekstranet
Menurut McLeod dan Schell (2007,p117), Internet adalah jaringan
komputer yang tumbuh cepat dan terdiri dari jutaan jaringan perusahaan,
pendidikan, serta pemerintah yang menghubungkan ratusan juta komputer dan
pemakaiannya di lebih dari dua ratus Negara didunia.
Menurut McLeod dan Schell (2007,p117), Intranet adalah jaringan yang
terdapat didalam organisasi yang menggunakan teknologi internet (seperti server,
browser web, protocol jaringan, TCP/IP, database publikasi dokumen
Hipermedia HTML, dan lain lain) untuk menyediakan lingkungan yang mirip
dengan internet didalam perusahaan yang memungkinkan saling berbagi
informasi, komunikasi, kerjasama dan dukungan bai proses bisnis.
14
Menurut McLeod dan Schell (2007,p117), Ekstranet adalah hubungan
jaringan yang menggunakan teknologi internet untuk saling menghubungkan
intranet bisnis dengan intranet pelanggannya, supplier dan mitra bisnis lainnya.
2.1.4.6
Server
Menurut O’brien (2007, p190), server diartikan sebagai komputer yang
mendukung aplikasi dan telekomunikasi dalam
jaringan, serta pembagian
peralatan perifreal, software dan database di antara berbagai terminal kerja
dalam jaringan, dan yang kedua diartikan sebagai versi software untuk
pemasangan server jaringan uang di desain untuk mengendalikan dan
mendukung aplikasi pada mikro komputer klien dalam jaringan klien/server
2.1.4.7
Switch
Switch jaringan (atau switch untuk singkatnya) adalah sebuah alat
jaringan yang melakukan bridging transparan (penghubung segementasi banyak
jaringan dengan forwarding berdasarkan alamat MAC).
Switch
merupakan
penghubung beberapa alat untuk membentuk suatu Local Area Network (LAN).
Switch jaringan dapat digunakan sebagai penghubung komputer atau router pada
satu area yang terbatas, switch juga bekerja pada lapisan data link, cara kerja
switch hampir sama seperti
bridge, tetapi switch memiliki sejumlah port
sehingga sering dinamakan multi-port bridge.
2.1.4.8
Router
Router adalah sebuah alat jaringan komputer yang mengirimkan paket
data melalui sebuah jaringan atau internet menuju tujuannya, melalui sebuah
proses yang dikenal sebagai routing. Router berfungsi sebagai penghubung antar
dua atau lebih jaringan untuk meneruskan data dari satu jaringan ke jaringan
lainnya.
15
2.1.4.9
Virus
Menurut O’Brien (2007, p446), salah satu contoh kejahatan komputer
yang paling bersifat merusak adalah virus komputer atau yang biasa disebut
dengan worm. Virus adalah istilah yang paling popular, secara teknis, virus
adalah kode program yang tidak dapat bekerja tanpa disertai atau dimasukkan ke
dalam program yang lainnya.Worm sendiri merupakan program yang berbeda
yang dapat berjalan tanpa bantuan.
Dapat disimpulkan bahwa virus adalah program yang bersifat merusak
dan akan aktif dengan bantuan orang dan tidak dapat mereplikasi sendiri,
penyebarannya karena dilakukan oleh orang, seperti copy file, biasanya melalui
attachement email, game, program bajakan dan lain-lain.
2.1.4.10
Firewall
Menurut O’Brien (2007, p.458), firewall adalah sebuah sistem atau
perangkat yang mengizinkan pergerakan
lalu lintas jaringan yang dianggap
aman untuk dilalui dan mencegah lalu lintas jaringan yang tidak aman. Metode
penting yang digunakan untuk mengendalikan dan mengamankan internet dan
berbagai macam jaringan merupakan kegunaan dari Firewall.Firewall dapat
disebut sebagai “gatekeeper” atau penjaga pintu gerbang, yang melindungi
intranet perusahaan dan jaringan komputer lainnya dari intrusi atau penyusup.
Firewall pada umumnya juga digunakan untuk mengontrol akses terhadap
siapapun yang memiliki akses terhadap jaringan pribadi dari pihak luar.
2.1.4.11
Prosedur
Menurut O’Brien (2007, p.564), prosedur adalah satu set yang terdiri dari
berbagai instruksi yang digunakan oleh orang-orang untuk menyelesaikan suatu
tugas. Menurut Steve Flick dalam artikel Writing Policies and Procedures
(2011), prosedur adalah proses yang didokumentasikan. Jadi, dapat disimpulkan
bahwa prosedur adalah serangkaian aksi yang spesifik, tindakan, atau operasi
yang harus dijalankan atau dieksekusi dengan cara yang sama dari keadaan yang
16
sama.Lebih tepatnya, kata ini dapat mengidentifikasikan rangkaian aktifitas,
tugas-tugas, langkah-langkah, dan proses-proses yang dijalankan.
2.1.5.
Risiko Teknologi Informasi
Menurut Hughes (2006:36), dalam penggunaan teknologi informasi
berisiko terhadap kehilangan informasi dan pemulihannya yang tercakup dalam 6
kategori, yaitu :
1. Keamanan
Risiko dimana informasi diubah atau digunakan oleh orang yang tidak
berwenang. Misalnya saja kejahatan komputer, kebocoran internal
dan terorisme cyber.
2. Ketersediaan
Risiko dimana data tidak dapat diakses, misalnya setelah kegagalan
sistem,
karena
kesalahan
manusia
(human
error),perubahan
konfigurasi, dan kurangnya penggunaan arsitektur.
3. Daya pulih
Risiko dimana informasi yang diperlukan tidak dapat dipulihkan
dalam waktu yang cukup setelah terjadinya kegagalan dalam software
atau hardware, ancaman eksternal dan bencana alam.
4. Performa
Risiko dimana informasi tidak tersedia saat diperlukan, yang
diakibatkan oleh arsitektur terdistribusi, permintaan yang tinggi dan
topografi informasi teknologi yang beragam.
5. Daya Skala
Risiko dimana perkembangan bisnis, pengaturan kemacetan dan
bentuk arsitektur membuat tidak mungkin menangani banyak aplikasi
baru dan biaya bisnis secara efektif.
6. Ketaatan
17
Risiko dimana manajemen atau penggunaan informasi melanggar
keperluan dari pihak pengatur. Hal ini mencakup aturan pemerintah,
panduan pengaturan perusahaan dan kebijakan internal.
2.1.5.1.
Kelas-kelas Risiko Teknologi Informasi
Menurut Jordan & Silcock (2005:49), risiko-risiko sistem, didefinisikan
dalam 7 kelas, dimana pada setiap kasus, sistem informasi dapat juga melakukan
kesalahan, tetapi konsekuensi-konsekuensinya dapat berakibat negatif bagi
bisnis. Kelas-kelas risiko yaitu:
1. Projects-failing to deliver
Risiko ini bersangkutan dengan gagalnya suatu proyek TI. Beberapa
contoh dari gagalnya penyampaian proyek adalah menyelesaikan
proyek yang ada telat atau tidak pada waktunya, sumber daya dan
biaya yang di konsumsi dalam penyelesaian proyek besar sehingga
tidak efisien, mengganggu proses bisnis selama proses implementasi,
dan juga fungsi dari proyek tidak sesuai dengan keinginan dari yang
diharapkan user.
2. IT service continuity-when business operations go off the air
Risiko ini berhubungan dengan pelayanan TI yang ketinggalan jaman
dan tidak dapat diandalkan sehingga mengganggu proses bisnis yang
sedang berjalan. Biasanya berhubungan dengan sistem operasional
dan
produksi
perusahaan
serta
kemampuan
mereka
untuk
menyediakan kebutuhan dari user.
3. Information assets-failing to protect and preserve
Risiko ini berhubungan khusus dengan kerusakan, kehilangan dan
eksploitasi aset informasi yang ada dalam sistem. Dampaknya bisa
sangat fatal bagi perusahaan, contohnya informasi yang penting bisa
dicuri oleh perusahaan competitor. Detail dari kartu kredit dapat
dilihat oleh pihak yang tidak berwenang, sehingga dengan demikian
18
akan merusak hubungan antara pelanggan dengan perusahaan. Ini
tentunya akan sangat merugikan perusahaan.
4. Service providers and vendors-breaks in the IT value chain
Risiko ini berhubungan dengan kemampuan dari provider dan vendor.
Bila mereka gagal dalam menyediakan pelayanan yang baik bagi kita,
maka akan berdampak signifikan bagi sistem TI perusahaan. Dampak
lainnya berhubungan dengan dampak jangka panjang seperti
kekurangan dalam penyediaan layanan TI bagi user perusahaan
tersebut.
5. Applications-flaky systems
Risiko ini berhubungan dengan kegagalan aplikasi TI yang
diterapkan. Aplikasi biasanya berinteraksi dengan user dan dalam
suatu perusahaan biasanya terdapat kombinasi antara software paket
dan software buatan yang diintegrasikan menjadi satu.
6. Infrastructure-shaky foundations
Risiko ini berhubungan dengan kegagalan dalam infrastruktur TI.
Infrastuktur adalah suatu nama yang umum bagi komputer maupun
jaringan yang sedang dipakai dan berjalan di perusahaan tersebut.
Didalam infrastuktur juga termasuk software, seperti Operation
System dan Database Management System. Kegagalan infrastuktur TI
bisa bersifat permanen, ketika suatu komponen terbakar, dicuri, rusak
maupun koneksi jaringannya sedang putus, maka dampak dari
kegagalan tersebut tergantung dari ketahanan sistem yang ada.
Apabila terdapat sistem yang sudah tidak kompatibel dengan model
yang baru, maka sistem tersebut perlu diganti. Apabila risiko ini dapat
ditangani secara rutin, maka itu merupakan suatu perencanaan jangka
panjang yang baik.
19
7. Strategic and energent-disabled by IT
Risiko
ini
berhubungan
dengan
kemampuan
TI
untuk
memberitahukan strategi bisnis yang dilakukan. Dampak-dampak
yang tidak langsung tetapi sangat signifikan dalam pelaksanaan bisnis
secara luas. Risiko merupakan kemampuan dari perusahaan untuk
terus bergerak maju ke arah visi strategi, untuk tetap kompetitif
diperlukan kemajuan TI untuk dipahami dan dicocokan dengan
potensi kesempatan eksploitasi bagi bisnis.
2.2.
Teori – Teori Khusus
2.2.1.
Pengertian Risiko
Menurut Knechel, Salterio, & Ballou (2008:29), Risiko merupakan suatu
ancaman bagi organisasi yang menyebabkan menurunnya kemungkinan
organisasi dalam mencapai tujuan. Menurut Rittenberg, Schwieger, & Johnstone
(2008:118), Risiko merupakan konsep mengenai ketidakpastian suatu kejadian
dan/ atau dampak ketidakpastian yang menyebabkan kerugian material bagi
organisasi.
Peltier (2005:325) mengatakan bahwa, “Risk is the probability that a
particular critical infrastructure’s vulnerability is being exploited by a particular
threat weighted by the impact of that exploitation.” Dari kutipan tersebut dapat
diterjemahkan sebagai berikut : Risiko adalah kemungkinan bahwa kerentanan
suatu infrastruktur yang bersifat kritis sedang dieksploitasi oleh ancaman tertentu
tertimbang dengan dampak dari eksploitasi tersebut.
Berdasarkan definisi di atas, dapat disimpulkan bahwa Risiko adalah
ketidakpastian mengenai suatu kejadian yang tidak diinginkan dan berdampak
negatif bagi organisasi, dan menghambat organisasi tersebut dalam mencapai
tujuannya.
20
2.2.1.1.
Jenis - Jenis Risiko
Menurut Rittenberg, Schwieger, & Johnstone (2008:93) terdapat 4 jenis
risiko, yaitu :
1. Enterprise risk, adalah risiko yang berpotensi mempengaruhi kegiatan
operasional.
2. Engagement risk, adalah risiko yang dihadapi auditor ketika
berhubungan dengan pihak lainnya, misalnya: kehilangan reputasi,
ketidakmampuan klien untuk membayar auditor, ataupun kerugian
finansial.
3. Financial reporting risk, adalah risiko yang terkait dengan transaksi
dan data finansial yang terdapat pada laporan keuangan organisasi.
4. Audit risk, adalah risiko auditor dalam memberikan informasi yang
tidak sesuai misalnya pernyataan finansial yang tidak tepat.
2.2.1.2
Ancaman Risiko
Menurut Gondodiyoto, (2007: 303) ancaman utama terhadap keamanan
dapat bersifat karena alam, manusia, yang bersifat kelalaian atau kesenjangan,
antara lain:
1. Ancaman kebakaran
Beberapa pelaksanaan keamanan untuk ancaman kebakaran, yaitu:
a. Memiliki alat pemadam kebakaran otomatis dan tabung pemadam
kebakaran.
b. Memiliki pintu / tangga darurat.
c. Melakukan pengecekan rutin dan pengujian terhadap sistem
perlindungan
kebakaran
untuk
dapat
memastikan
sesuatunya telah dirawat dengan baik.
2. Ancaman banjir
Beberapa pelaksanaan keamanan untuk ancaman banjir, yaitu:
a. Usahakan untuk atap, dinding, dan lantai yang tahan air.
segala
21
b. Semua material aset sistem informasi diletakkan di tempat yang
tinggi.
c. Perubahan tegangan sumber energi.
d. Pelaksanaan
pengamanan
untuk
mengantisipasi
perubahan
tegangan sumber energi listrik, misalnya dengan menggunakan
stabilizer atau uninterruptible power supply (UPS).
3. Kerusakan struktural
Pelaksanaan pengamanan untuk mengantisipasi kerusakan struktural,
misalnya dengan memilih lokasi perusahaan yang jarang terjadi
gempa, angin ribut, banjir, dan sebagainya.
4. Penyusup
Pelaksanaan keamanan untuk mengantisipasi penyusup adalah
penempatan penjaga dan penggunaan alarm ataupun kamera
pengawas.
5. Virus
Pelaksanaan keamanan untuk mengantisipasi virus, antara lain:
a. Preventive,
seperti
menginstal
antivirus
dan
melakukan
updateantivirus secara rutin.
b. Detective, misalnya melakukan scanfile sebelum digunakan.
c. Corrective, misalnya memastikan backup data bebas virus,
pemakaian antivirus terhadap file yang terinfeksi.
6. Hacking
Beberapa pelaksanaan keamanan untuk mengantisipasi hacking,
yaitu:
a. Penggunaan logical control, seperti penggunaan password yang
sulit ditebak.
b. Petugas keamanan secara teratur memonitor sistem yang
digunakan.
22
2.2.2.
Pengertian Manajemen Risiko
Menurut
Jones
(2008:193),
manajemen
risiko
adalah
kegiatan
pemimpinan puncak identifikasi, mengevaluasi, menangani dan memonitor risiko
bisnis yang dihadapi perusahaan mereka di masa yang akan datang.
Menurut Blokdijk (2008:82), tugas manajemen risiko adalah mengelola
risiko suatu proyek untuk risiko. Tujuannya adalah untuk mengelola risiko bahwa
dengan melakukan tindakan untuk menjaga hubungan ke tingkat yang dapat
diterima dengan cara yang hemat biaya. Manajemen risiko meliputi, akses yang
bisa dipercaya, tentang risiko yang terbaru, proses pengambilan keputusan
didukung oleh kerangka analisis risiko dan proses evaluasi, memantau risiko,
pengendalian yang tepat untuk menghadapi risiko.
2.2.3
Analisa Risiko
Peltier (2005:8) menyatakan bahwa Analisa Risiko adalah, “A technique
to identify and assess factors that may jeopardize the success of a project or
achieving a goal. This technique also helps define preventive measures to reduce
the probability of these factors from occurring and identify countermeasures to
successfully deal with these constraints when they develop.” Dari kutipan
tersebut diartikan sebagai berikut : Analisa Risiko adalah sebuah teknik untuk
mengidentifikasi
dan
menilai faktor-faktor yang dapat
membahayakan
kesuksesan suatu proyek atau suatu tujuan. Teknik ini juga membantu
menentukan langkah-langkah pencegahan untuk mengurangi kemungkinan
faktor-faktor dapat terjadi dan mengidentifikasi tindakan untuk menanganinya
ketika faktor-faktor tersebut terus berkembang.
2.2.4
Penilaian Risiko
Organisasi menggunakan penilaian risiko untuk menentukan ancaman
apa yang terdapat pada suatu aset dan tingkat risiko yang terkait pada ancaman
tersebut. Prioritas pada ancaman (penentuan tingkat risiko) memberikan
informasi yang dibutuhkan oleh organisasi untuk memilih langkah yang tepat
23
dalam mengendalikan, melindungi, atau melakukan tindakan untuk menurunkan
risiko ke tingkat yang dapat diterima (Peltier, 2005 : 16).
Menurut Peltier (2005 : 16), penilaian risiko dibagi menjadi enam
langkah yaitu :
i.
Definisi Aset
Tim penilaian risiko dan pemilik perusahaan akan mendefinisikan
proses, aplikasi, sistem, atau aset yang sedang ditinjau. Pada
penilaian risiko sebuah proyek, definisi aset harus sesuai dengan
ruang lingkup dan hasil yang diinginkan. Seperti setiap proyek,
penyampaian dari langkah definisi aset adalah untuk mencapai
kesepakatan dengan pemilik perusahaan pada apa yang dinilai dan
penggunaan semua parameter yang relevan.
ii.
Identifikasi Ancaman
Ancaman merupakan suatu peristiwa yang tidak diinginkan yang
dapat mempengaruhi tujuan atau misi dari unit bisnis atau perusahaan
bisnis. Terdapat tiga kategori utama dari sumber ancaman :
‒
Natural Threat : seperti banjir, gempa bumi, tornado, tanah
longsor.
‒
Human Threat : ancaman yang disebabkan oleh manusia
seperti tindakan yang tidak disengaja (kesalahan dan
kelalaian)
atau
tindakan
yang
disengaja
(melakukan
kecurangan, instalasi perangkat lunak yang berbahaya, akses
yang tidak sah).
‒
Environmental Threat : seperti pemadaman listrik
jangka
panjang, polusi, tumpahan bahan kimia, kebocoran cairan.
24
iii.
Menentukan Probabilitas Kejadian
Setelah daftar ancaman telah selesai dan tim telah menyepakati
definisi dari setiap ancaman, maka diperlukan untuk menentukan
seberapa besar kemungkinan ancaman dapat terjadi. Berikut ini
adalah definisi dari probabilitas atau kemungkinan ancaman yang
mungkin terjadi:
‒
Probability : kemungkinan bahwa ancaman akan terjadi
‒
High probability : Sangat mungkin bahwa ancaman akan
terjadi dalam tahun berikutnya.
‒
Medium probability : Kemungkinan bahwa ancaman mungkin
terjadi selama tahun berikutnya.
‒
Low probability : Sangat tidak mungkin bahwa ancaman akan
terjadi selama tahun berikutnya.
Tabel 2.1 – Definisi Tingkat Kemungkinan
Deskripsi
Probabilitas
Sumber dari ancaman memiliki motivasi tinggi
High
dalam merusak sistem dan pengendalian yang
diterapkan untuk mencegah kerentanan tidak
efektif.
Sumber dari ancaman memiliki motivasi merusak,
Medium
namun pengendalian yang ada mampu
menghambat kerentanan yang terjadi.
Sumber dari ancaman kurang memiliki pengaruh
merusak terhadap sistem, atau pengendalian yang
Low
ada mampu mencegah, atau setidaknya dapat
menghambat terjadinya kerentanan secara
signifikan.
25
iv.
Menentukan Dampak Dari Ancaman
Setelah menentukan kemungkinan ancaman yang terjadi, maka
diperlukan untuk menentukan dampak dari ancaman pada organisasi.
Penilaian risiko akan memerlukan definisi dari dampak tersebut serta
tabel matriks yang akan memungkinkan tim untuk menetapkan
tingkat risiko. Berikut ini adalah definisi dari dampak yang dapat
digunakan untuk menentukan tingkat risiko :
‒ Impact - Ukuran besarnya kerugian atau kerusakan pada nilai
aset.
‒ High Impact : penutupan pada unit bisnis yang bersifat
penting. Dampak ini mengarah pada kerugian yang signifikan
pada bisnis, perusahaan, atau keuntungan.
‒ Medium Impact : gangguan jangka pendek pada proses bisnis
atau sistem yang menyebabkan kerugian pada sebagian
bidang keuangan pada unit bisnis tunggal.
‒ Low Impact : tidak menyebabkan kehilangan atau kerugian
pada bidang keuangan.
Tabel 2.2 – Definisi Tingkat Dampak
Tingkat Dampak
Deskripsi
Terjadinya kerentanan dapat mengakibatkan (1) tingginya
kemungkinan untuk kehilangan aset berharga dan sumber
High
daya organisasi. (2) terjadinya pelanggaran, kerusakan,
hambatan terhadap misi, reputasi, dan kepentingan
organisasi secara signifikan. (3) dapat menyebabkan
kematian atau cedera serius terhadap manusia.
26
Terjadinya kerentanan dapat mengakibatkan (1) adanya
kemungkinan untuk kehilangan aset berharga dan sumber
Medium
daya organisasi. (2) terjadinya pelanggaran, kerusakan,
hambatan terhadap misi, reputasi, dan kepentingan
organisasi. (3) dapat menyebabkan cedera terhadap
manusia.
Terjadinya kerentanan dapat mengakibatkan (1) adanya
kemungkinan untuk kehilangan beberapa aset berwujud
Low
dan sumber daya organisasi. (2) sedikit hambatan
terhadap misi, reputasi, dan kepentingan organisasi.
2.2.4.1
Deskripsi Tingkat Risiko
Tabel 2.3 menjelaskan tentang tingkat risiko yang ditunjukan pada
gambar 2.1. Skala risiko berikut, dengan penilaian tinggi (high), sedang
(medium), atau rendah (low) merupakan tingkatan risiko terhadap sistem TI,
fasilitas, ataupun prosedur yang terkontaminasi oleh kerentanan. Skala risiko
juga menyajikan tindakan yang sebaiknya dilakukan oleh manajemen senior, dan
pemilik bisnis.
Tabel 2.3 Probability-Impact Matrix
Impact
Probability
High
Medium
Low
High
High
High
Mediun
Medium
High
Medium
Low
Low
Medium
Low
Low
Keterangan :
High
: Tindakan korektif harus diterapkan.
Medium
: Tindakan korektif sebaiknya diterapkan.
Low
: Tidak ada tindakan yang diperlukan
27
Tabel 2.4 – Skala Risiko dan Tindakan Yang Dibutuhkan
Tingkat Risiko
Deskripsi dan Tindakan Yang Dibutuhkan
Jika observasi atau temuan dievaluasi sebagai risiko
tinggi, terdapat kebutuhan yang tinggi terhadap
High
tindakan perbaikan. Sistem yang ada mungkin terus
beroperasi, namun rencana tindakan korektif harus
dilakukan secepat mungkin.
Jika observasi atau temuan dievaluasi sebagai risiko
Medium
menengah, rencana dan tindakan perbaikan
diperlukan pengembangan untuk menyertakan
tindakan ini dalam jangka waktu yang wajar.
Jika observasi atau temuan dievaluasi sebagai risiko
Low
rendah, DAA sistem harus menentukan apakah
tindakan perbaikan masih diperlukan atau
diputuskan untuk menerima risiko tersebut.
v.
Kontrol yang Direkomendasikan
Setelah tingkat risiko telah ditetapkan, tim akan mengidentifikasi
kontrol atau perlindungan yang mungkin dapat
menghilangkan
risiko, atau setidaknya mengurangi risiko ke tingkat yang dapat
diterima. Ketika memilih jenis pengendalian, maka diperlukan untuk
mengukur dampak operasional untuk organisasi. Tujuan dari daftar
kontrol yang direkomendasikan adalah untuk mengidentifikasi
kategori kontrol yang akan mengarahkan tim untuk menentukan
kontrol khusus yang diperlukan.
vi.
Dokumentasi
Setelah analisis risiko selesai dilakukan, hasil analisa risiko perlu
didokumentasikan dalam format standar dan laporan yang ditujukan
28
kepada pemilik aset. Laporan ini akan membantu perusahaan untuk
membuat keputusan tentang kebijakan, prosedur, anggaran, sistem,
dan perubahan manajemen. Laporan analisis risiko harus disajikan
secara sistematis dan analitis sehingga perusahaan akan memahami
risiko dan mengalokasikan sumber daya untuk mengurangi risiko ke
tingkat yang dapat diterima.
2.2.4.2
Mitigasi Risiko
Mitigasi risiko adalah suatu metodologi sistematis yang digunakan oleh
manajemen untuk mengurangi risiko. mitigasi risiko dapat dicapai melalui salah
satu dari pilihan berikut :
a. Risk Assumption
Menerima risiko potensial dan terus mengoperasikan sistem TI atau
untuk menerapkan kontrol untuk menurunkan risiko ke tingkat yang
dapat diterima.
b. Risk Avoidance
Menghindari risiko dengan menghilangkan penyebab risiko dan / atau
konsekuensi
(misalnya,
mematikan
sistem
ketika
risiko
diidentifikasi).
c. Risk Limitation
Membatasi risiko dengan menerapkan kontrol yang meminimalkan
dampak merugikan dari ancaman yang berlangsung.
d. Risk Planning
Mengelola risiko dengan membangun suatu rencana mitigasi risiko
yang memprioritaskan, menerapkan, dan memelihara kontrol.
e. Research and Acknowledgment
Untuk mengurangi risiko kerugian dengan menyadari kelemahan atau
cacat dan meneliti sebuah kontrol untuk memperbaiki kerentanan.
f. Risk Transference
Melakukan transfer risiko dengan menggunakan pilihan lain atau
pihak ketiga untuk mengganti kerugian, seperti pembelian asuransi.
29
Tujuan dan misi perusahaan harus dipertimbangkan dalam memilih salah
satu opsi mitigasi risiko. Hal ini mungkin tidak praktis untuk menangani semua
risiko yang teridentifikasi, jadi prioritas harus diberikan kepada ancaman dan
kerentanan yang memiliki potensi untuk menimbulkan dampak yang signifikan
atau membahayakan misi perusahaan. Karena setiap organisasi memiliki
lingkungan yang unik dan tujuan yang berbeda, pilihan yang digunakan untuk
mengurangi risiko dan metode yang digunakan untuk menerapkan kontrol akan
bervariasi.
2.2.5
SE BI No: 9/30/DPNP
Merupakan
pokok-pokok
penerapan
manajemen
risiko
dalam
penggunaan TI yang harus diterapkan oleh Bank untuk memitigasi risiko yang
berhubungan dengan penyelenggaraan TI. Bank dengan ukuran dan kompleksitas
usaha besar hendaknya menggunakan parameter yang lebih ketat sebagai
tambahan dari hal-hal yang dikemukakan dalam pedoman. Sementara itu Bank
dengan ukuran dan kompleksitas usaha yang relatif kecil dapat menggunakan
parameter yang lebih ringan dari hal-hal yang dikemukakan dalam pedoman
sepanjang Bank telah mempertimbangkan hasil penilaian terhadap risiko dalam
aktivitas bisnis Bank, profil keamanan TI maupun hasil analisis atas cost and
benefit. Bank juga diharapkan mengimplementasikan kerangka manajemen risiko
ini dengan memperhatikan ketentuan perundangan yang berlaku, standar nasional
dan internasional serta best practices untuk memastikan bahwa manajemen risiko
yang memadai telah diterapkan.
2.2.5.1
Ruang lingkup SE BI No: 9/30/DPNP
a. pengawasan aktif dewan Komisaris dan Direksi;
b. kecukupan kebijakan dan prosedur penggunaan Teknologi Informasi;
c. kecukupan
proses
identifikasi,
pengukuran,
pemantauan
pengendalian risiko penggunaan Teknologi Informasi; dan
dan
30
d. sistem pengendalian intern atas penggunaan Teknologi Informasi.
2.2.5.2
Langkah-langkah pengendalian pada SE BI No: 9/30/DPNP
Dalam melakukan pengembangan dan pengadaan Teknologi Informasi
Bank wajib melakukan langkah-langkah pengendalian untuk menghasilkan
sistem dan data yang terjaga kerahasiaan dan integritasnya serta mendukung
pencapaian tujuan Bank, antara lain mencakup:
a. menetapkan dan menerapkan prosedur dan metodologi pengembangan
dan pengadaan Teknologi Informasi secara konsisten;
b. menerapkan manajemen proyek dalam pengembangan sistem;
c. melakukan testing yang memadai pada saat pengembangan dan
pengadaan suatu sistem, termasuk uji coba bersama satuan kerja
pengguna, untuk memastikan keakuratan dan berfungsinya sistem sesuai
kebutuhan pengguna serta kesesuaian satu sistem dengan sistem yang
lain;
d. melakukan
dokumentasi
sistem
yang
dikembangkan
dan
pemeliharaannya;
e. memiliki manajemen perubahan sistem aplikasi.
2.2.6.
Fungsi Manajemen Risiko TI menurut SE BI NO: 9/30/DPNP
Bank perlu memiliki fungsi penerapan manajemen risiko penggunaan TI
dalam organisasi Bank yang melibatkan pihak-pihak yang memiliki risiko dan
yang memantau (oversee) risiko serta yang melakukan test dan verifikasi.
Bank perlu memiliki kebijakan bahwa identifikasi, pengukuran dan
pemantauan risiko setiap aktivitas/bisnis secara periodik dilakukan oleh Satuan
Kerja Manajemen Risiko bekerja sama dengan satuan kerja penyelenggara TI
dan satuan kerja pengguna TI. Selain itu untuk fungsi tertentu seperti fungsi
pengamanan informasi dan fungsi Business Continuity Plan (BCP), pelaksanaan
pengelolaan risiko tetap merupakan tanggung jawab dari tim kerja atau petugas
31
yang melaksanakan fungsi-fungsi tersebut. Oleh karena itu manajemen Bank
wajib memastikan pemantauan yang memadai dan pelaporan mengenai aktivitas
terkait TI dan risikonya. Agar proses pemantauan dan pelaporan berfungsi
optimal, maka audit internal maupun eksternal harus dapat melaksanakan fungsi
test dan verifikasi dalam setiap pemeriksaan TI.
Untuk dapat menerapkan manajemen risiko pengamanan informasi secara
optimal, Bank selain perlu memiliki fungsi yang melaksanakan prosedur
pengamanan informasi sehari-hari juga perlu memiliki fungsi pengelola program
pengamanan informasi dan pemantauan pengamanan secara bank-wide. Fungsi
pertama hanya dapat melaksanakan prosedur yang telah ditetapkan dan tidak
dapat mengambil keputusan untuk melakukan pengecualian atau mengubah
prosedur dan standar pengamanan yang telah ditetapkan tersebut. Idealnya Bank
perlu memisahkan kedua fungsi tersebut sehingga fungsi pengelola program
pengamanan
informasi
(Information
Security
Officer)
tersebut
tidak
bertanggungjawab terhadap satuan kerja TI melainkan kepada direksi. Dalam
pelaksanaannya, Bank dapat menetapkan kebijakan dalam pelaksanaan kedua
fungsi tersebut di atas yang disesuaikan dengan struktur organisasi dan
kompleksitas usaha serta teknologi pendukung yang digunakan Bank.
2.2.7
MANAJEMEN RISIKO TERKAIT TEKNOLOGI INFORMASI
Kemampuan Bank memitigasi risiko TI tergantung dari hasil identifikasi,
pengukuran, pengendalian dan pemantauan risiko-risiko terkait TI yang
berpotensi mengancam keamanan dan operasional Bank.
Proses manajemen risiko terkait TI yang harus dilakukan setiap Bank
mencakup empat hal penting yaitu:
a. merencanakan penggunaan TI;
b. menilai risiko terkait TI;
c. menetapkan
proses
pengukuran
penyelenggaraan dan penggunaan TI;
d. implementasi pengendalian TI.
dan
pemantauan
risiko
terkait
32
2.2.7.1
Perencanaan Penggunaan TI
Sebagaimana dijelaskan di atas bahwa Bank wajib memiliki Rencana
Strategis Teknologi Informasi (Information Technology Strategic Plan) yang
mendukung rencana strategis kegiatan usaha Bank. Selanjutnya Rencana
Strategis Teknologi Informasi yang akan diimplementasikan dalam satu tahun
kedepan diungkapkan dalam Rencana Bisnis Bank yaitu dalam bagian Kebijakan
dan Strategi Manajemen. Disamping itu apabila terdapat bagian dari Rencana
Strategis TI tersebut yang terkait pengembangan produk dan aktivitas baru serta
perubahan jaringan kantor bank maka harus diungkapkan pula pada bagian
Pengembangan Produk dan Aktivitas Baru serta sub bab Perubahan Jaringan
Kantor Bank. Setiap rencana pengeluaran terkait Rencana Strategis TI yang akan
diimplementasikan pada tahun yang bersangkutan harus dimasukkan dalam
proyeksi neraca di Rencana Bisnis.
Mengingat rencana strategis TI bersifat jangka panjang, maka untuk
menjaga kesesuaian dengan perkembangan usaha Bank dan perkembangan TI
maka Bank sebaiknya melakukan evaluasi secara berkala yang mencakup antara
lain kinerja TI Bank serta tercapainya sasaran dan anggaran yang telah
ditetapkan. Dengan demikian proyeksi neraca di Rencana Bisnis dapat lebih
realistis dan berkesinambungan dari tahun ke tahun.
2.2.7.2
Penilaian Risiko
Dalam menggunakan teknologi, manajemen Bank harus menggunakan
proses
analisis
yang
ketat,
menyeluruh,
hati-hati
&
akurat,
untuk
mengidentifikasi dan mengkuantifikasi risiko serta memastikan pengendalian
risiko diterapkan. Untuk itu penilaian risiko yang dilakukan Bank perlu
dilakukan secara berkesinambungan dengan suatu siklus yang minimal
mencakup empat langkah penting sebagai berikut:
33
a. Pengumpulan data/dokumen atas aktivitas terkait TI yang berpotensi
menimbulkan atau meningkatkan risiko baik dari kegiatan yang akan
maupun sedang berjalan termasuk namun tidak terbatas pada:
1) Aset TI yang kritikal, dalam rangka mengidentifikasi titik-titik akses
dan penyimpangan terhadap informasi nasabah yang bersifat rahasia;
2) Hasil review rencana strategis bisnis, khususnya review terhadap
penilaian risiko potensial;
3) Hasil due dilligence dan pemantauan terhadap kinerja pihak penyedia
jasa;
4) Hasil review atas laporan atau keluhan yang disampaikan oleh nasabah
dan atau pengguna TI ke Call Center dan atau Help Desk;
5) Hasil Self Assessment yang dilakukan seluruh satuan kerja terhadap
pengendalian yang dilakukan terkait TI;
6) Temuan-temuan audit terkait penyelenggaraan dan penggunaan TI.
b. Analisis risiko berkaitan dengan dampak potensial dari tiap-tiap risiko,
misalnya dari fraud di pemrograman, virus komputer, kegagalan sistem,
bencana alam, kesalahan pemilihan teknologi yang digunakan, masalah
pengembangan
dan
implementasi
sistem,
kesalahan
prediksi
perkembangan bisnis Bank.
c. Penetapan prioritas pengendalian dan langkah mitigasi yang didasarkan
pada hasil penilaian risiko Bank secara keseluruhan. Untuk itu Bank harus
membuat peringkat risiko berdasarkan kemungkinan kejadian dan
besarnya dampak yang dapat ditimbulkan serta mitigasi risiko yang dapat
dilakukan untuk menurunkan eksposure risiko tersebut.
d. Pemantauan kegiatan pengendalian dan mitigasi yang telah dilakukan
atas risiko yang diidentifikasi dalam periode penilaian risiko sebelumnya,
yang antara lain mencakup rencana tindak lanjut perbaikan, kejelasan
akuntabilitas dan tanggung jawab, sistem pelaporan, pengendalian kualitas
termasuk compensating control.
34
2.2.7.3
Proses Pengukuran Dan Pemantauan Risiko
Seperti telah diuraikan sebelumnya terdapat beberapa jenis risiko yang
terkait dengan penggunaan TI namun yang terbesar potensinya adalah risiko
operasional. Hal ini perlu mendapat perhatian mengingat risiko operasional sulit
dikuantifikasi. Bank perlu memperhatikan signifikansi dampak risiko yang telah
diidentifikasi oleh Bank terhadap kondisi bank serta frekuensi terjadinya risiko.
Metode yang dapat digunakan Bank dapat berupa kuantitatif maupun kualitatif
tergantung kompleksitas usaha dan teknologi yang digunakan. Dalam metode
kualitatif, besarnya dampak dan sering tidaknya kejadian (likelihood) dapat
dijelaskan secara naratif atau dengan pemberian ranking. Contoh metode
pengukuran yang sederhana antara lain dengan menggunakan check list atau
menggunakan subjective risk rating seperti High, Medium atau Low.
Bank harus menetapkan kriteria High, Medium atau Low dalam risk
rating tersebut dan menerapkannya secara konsisten. Agar dapat memberikan
hasil pengukuran risiko yang lebih sensitif, Bank dapat meningkatkan metode
pemeringkatan risikonya dari 3x3 menjadi 4x4 sampai dengan 10x10. Contoh
dari pemeringkatan menggunakan matriks risiko 5x5 adalah seperti dalam tabel
berikut:
Tabel 2.5 Risk Matrix
IMPACT/ CONSEQUENCES /
LOSS
RATE OF
OCCURRENC
E/
Insignificant
Minor
Moderate
Major
Catastrophi
c
Almost certain
Low
Medium
High
Very high
Very high
Likely
Low
Medium
High
Very high
Very high
Possible
Very low
Low
Medium
High
High
Unlikely
Very low
Very low
Low
Medium
Medium
Rare
Very low
Very low
Low
Low
Medium
LIKELIHOOD
35
Terdapat banyak program aplikasi pengukuran risiko yang menggunakan
metode kuantitatif. Dalam metode ini digunakan data 35 eriodic 35 mengenai
kejadian dan besarnya dampak. Risiko diukur berdasarkan rata-rata tingkat
kejadian (rate of occurance) dan besarnya dampak dari kejadian (the severity of
the consequences/impact). Beberapa bank menggunakan VAR untuk pengukuran
risiko dengan metode kuantifikasi yang menganalisa database likelihood dan
dampak dari kejadian-kejadian yang telah lalu.
Apabila Bank menggunakan paket 35eriod informasi manajemen risiko
yang mencakup aplikasi pengukuran risiko sebagai alat bantu penerapan
manajemen risiko dalam penggunaan TI, maka Bank harus memperhatikan
asumsi yang digunakan dalam 35 eriod tersebut, serta pertimbangan bisnis
(business commonsense) dan pertimbangan profesi ( 35 eriodic 35 35 al
35eriodic35).
Agar risiko yang telah diidentifikasi dan dinilai atau diukur dapat
dipantau oleh manajemen maka Bank perlu memiliki dokumentasi risiko (Risk
Documentation) atau yang sering disebut sebagai Risk Register. Contoh
pembuatan Risk Register tersebut dapat dilihat pada Lampiran 1.1. Contoh
Penilaian Risiko. Bank dapat menetapkan komponen Risk Register yang berbeda
dengan di Lampiran 1.1. namun paling kurang mencakup hal-hal sebagai berikut:
a.
penetapan 35 erio,
proses,
produk,
atau
kejadian
yang
mengandung risiko;
b.
pengukuran atau pemeringkatan kemungkinan kejadian dan
dampak (Inherent Risk Assessment);
c.
langkah-langkah penanganan terhadap risiko potensial (potential
risk treatment) misalnya Accept, Control, Avoid atau Transfer
(ACAT);
d.
pengukuran atau pemeringkatan kemungkinan kejadian dan
dampak setelah ACAT
(Residual Risk Assesment).
36
Dalam dokumentasi potential risk treatment tersebut Bank perlu memperhatikan
antara lain risk appetite dari manajemen, fasilitas yang dapat digunakan sebagai
preventive control atau corrective control, dan kesesuaian rencana mitigasi risiko
dengan kondisi keuangan Bank. Dokumentasi risiko ini perlu dikinikan secara
36eriodic.
Langkah-langkah penanganan risiko potensial yang dapat diambil Bank sesuai
butir c di atas adalah sebagai berikut:
a. Manajemen memutuskan untuk menerima risiko jika besarnya dampak dan
tingkat kecenderungan masih dalam batas toleransi organisasi (Accept)
Contohnya adalah
1) Dengan menetapkan Kriteria Penerimaan Risiko terkait dengan
evaluasi dan penanganan risiko misalnya Nilai Risiko Akhir “ Low”.
Tabel 2.6 Risk Rating
5
Medium Medium
High
High
High
4
Low
Medium
High
High
High
3
Low
Medium
Medium
High
High
2
Low
Medium
Medium Medium High
Low
Low
Medium Medium High
1
2
1
3
4
5
2) Nilai Risiko Akhir “ Medium” atau “ High“, namun telah diputuskan untuk
diterima oleh Manajemen dan dibuat suatu sistem prosedur untuk
memantau risiko tersebut misalnya dengan menyediakan tambahan modal
sesuai besarnya potensi risiko.
b. Organisasi memutuskan untuk tidak melakukan suatu aktivitas atau memilih
alternatif aktivitas lain yang menghasilkan output yang sama untuk
menghindari terjadinya risiko (Avoid risk).
Contohnya hak privilege administrator pada user yang menggunakan PC yang
mengandung risiko akan adanya malicious code pada PC. Risiko ini dapat
37
dihindari dengan tidak memberikan hak privilege pada user sehingga user
tidak bisa merubah konfigurasi dan meng-install software pada PC.
c. Organisasi
memutuskan
mengurangi
dampak
maupun
kemungkinan
terjadinya risiko (Control / Mitigate).
Contohnya penggunaan PC untuk mendukung proses bisnis organisasi
mengandung risiko terjadinya hacking pada PC. Pengendalian risiko
dilakukan dengan pemasangan fasilitas firewall untuk mencegah akses yang
tidak terotorisasi.
d. Organisasi memutuskan untuk mengalihkan seluruh atau sebagian tanggung
jawab pelaksanaan suatu proses kepada pihak ketiga (Transfer).
Contohnya Penggunaan fasilitas ruangan atau gedung mengandung risiko
terjadi kebakaran. Risiko ini ditangani dengan memindahkan risiko ke
perusahaan asuransi yaitu dengan mengasuransikan fasilitas ruangan atau
gedung.
2.2.8.
Implementasi Pengendalian Teknologi Informasi
Manajemen harus menerapkan praktek-praktek pengendalian yang
memadai sebagai bagian dari strategi mitigasi risiko TI secara keseluruhan.
Praktek-praktek pengendalian antara lain:
a. Penerapan kebijakan, prosedur, struktur organisasi termasuk alur
kerjanya;
b. Pengendalian intern yang efektif yang dapat memitigasi risiko dalam
proses TI. Cakupan dan kualitas pengendalian intern adalah kunci utama
dalam
proses
mengidentifikasi
manajemen
persyaratan
risiko
sehingga
spesifik
manajemen
pengendalian
intern
harus
yang
diperlukan dalam setiap kebijakan dan prosedur yang diterapkan;
c. Manajemen wajib menetapkan kebijakan dan prosedur serta standar
(sistem pengelolaan pengamanan informasi) yang diperlukan Bank untuk
melakukan
pengamanan
aset-aset
terkait
penyelenggaraan
dan
penggunaan TI termasuk didalamnya data atau informasi.
d. Manajemen harus mengevaluasi hasil kaji ulang (review) dan pengujian
38
atas BCP untuk setiap bagian operasional yang kritis.
e. Manajemen wajib memastikan terdapat kebijakan dan prosedur mengenai
penggunaan pihak penyedia jasa. direksi harus memiliki pemahaman
secara
menyeluruh atas risiko yang berhubungan dengan penggunaan jasa pihak
penyedia jasa untuk sebagian atau semua operasional TI.
Untuk itu satuan kerja TI harus melakukan evaluasi kemampuan penyedia
jasa untuk menjaga tingkat keamanan paling tidak sama atau lebih ketat
dari yang diterapkan oleh pihak intern Bank baik dari sisi kerahasiaan,
integritas data dan ketersediaan informasi. Pengawasan dan pemantauan
yang ketat harus dilakukan karena tanggung jawab manajemen Bank
tidak hilang atau menjadi berkurang dengan melakukan outsourcing
operasional TI kepada pihak penyedia jasa TI.
f. Selain menerapkan bentuk pengendalian tersebut di atas, asuransi dapat
digunakan sebagai pelengkap upaya memitigasi potensi kerugian dalam
penyelenggaraan TI. Risiko yang perlu diasuransikan adalah residual
risk. Bank hendaknya melakukan review secara periodik atas kebutuhan,
cakupan dan nilai asuransi yang ditutup.
Related documents
perusahaan dan manajemen global ti
perusahaan dan manajemen global ti
Local Area Network biasa disingkat LAN adalah
Local Area Network biasa disingkat LAN adalah
Perancangan Software
Perancangan Software
komdat danang santoso
komdat danang santoso
Soal Ujian Jaringan Komputer I
Soal Ujian Jaringan Komputer I
Kontrak Perkuliahan SIM
Kontrak Perkuliahan SIM
IMPLIKASI BASEL II
IMPLIKASI BASEL II
tugas resume chapter 12 o`brien
tugas resume chapter 12 o`brien
Efek pemanasan global dan Perubahan Iklim
Efek pemanasan global dan Perubahan Iklim
Contoh proposal skripsi
Contoh proposal skripsi
PERTEMUAN 5 KERENTANAN TERHADAP KRISIS EKONOMI
PERTEMUAN 5 KERENTANAN TERHADAP KRISIS EKONOMI
KOMUNIKASI DATA Oleh A. Yani Ranius
KOMUNIKASI DATA Oleh A. Yani Ranius
pengembangan kerangka kerja manajemen keamanan informasi
pengembangan kerangka kerja manajemen keamanan informasi
SISTEM INFORMASI MANAJEMEN Raymond McLeod Jr. dan
SISTEM INFORMASI MANAJEMEN Raymond McLeod Jr. dan
Sistem operasi - sy yuliani informatic
Sistem operasi - sy yuliani informatic
Computer Security Database Security Kesimpulan
Computer Security Database Security Kesimpulan
korban bencana/konflik
korban bencana/konflik
Diskusi
Diskusi
Kajian Iklim dan Kerentanan Kota Bandung
Kajian Iklim dan Kerentanan Kota Bandung
Adaptasi dan Pembangunan
Adaptasi dan Pembangunan
Manajemen Pengadaan
Manajemen Pengadaan
icctf-proposal-format_mitigasi_bahasa-indonesia-1
icctf-proposal-format_mitigasi_bahasa-indonesia-1
Download
advertisement