6 BAB 2 LANDASAN TEORI 2.1. Manajemen Proyek Teknologi

BAB 2
LANDASAN TEORI
2.1.
Manajemen Proyek Teknologi Informasi
Dalam setiap perusahaan pasti memiliki suatu usaha yang bersifat sementara
untuk memajukan perusahaan tersebut, hal itu dinamakan proyek. Sebuah proyek yang
ada di perusahaan harus memiliki manajemen yang baik sehingga proyek tersebut dapat
sukses dilakukan. Proyek tersebut memiliki batasan-batasan sendiri, di mana seorang
Project Manager wajib membuat batasan itu.
2.1.1.
Proyek
Menurut Schwalbe (2002, p4), proyek adalah suatu usaha temporer yang
dilakukan untuk mencapai suatu tujuan tertentu. Dalam setiap proyek ada 3 jenis
batasan yaitu ruang lingkup, waktu, dan biaya.
1. Ruang Lingkup
Merupakan batasan mengenai apa yang ingin dicapai dan produk atau jasa tertentu
yang diharapkan oleh konsumen atau sponsor dari proyek.
2. Waktu
Merupakan
batasan
mengenai
berapa
lama
waktu
yang
diperlukan
untuk
menyelesaikan suatu proyek.
3. Biaya
Merupakan batasan mengenai berapa biaya yang diperlukan untuk menyelesaikan suatu
proyek.
2.1.2. Manajemen Proyek
6
7 Menurut Schwalbe (2002,p7), manajemen proyek adalah aplikasi dari
pengetahuan, keterampilan, alat bantu, dan teknik untuk aktivitas proyek dalam rangka
memenuhi kebutuhan proyek.
2.1.3. Critical Success Factor (CSF)
Menurut Olson (2003,p10), CSF adalah suatu bagian terpenting yang harus
dilaksanakan agar suatu kegiatan (proyek) dapat berjalan dengan baik. Kesuksesan
suatu proyek dapat dilihat dari apakah proyek tersebut sudah sesuai dengan spesifikasi,
biaya dan waktu yang diinginkan.
Menurut Olson (2003, p12), tiga faktor yang diyakini sebagai faktor
keberhasilan suatu proyek adalah (1) keikutsertaan klien dalam proyek; (2) dukungan
dari manajemen tingkat atas; (3) objektifitas dari proyek yang jelas.
Menurut Rakos (1990,p2), di dalam sebuah proyek piranti lunak ada masalahmasalah yang menyebabkan proyek piranti lunak mengalami kegagalan, yaitu:
1. kegagalan di saat suatu proyek dimulai
Terkadang banyak proyek yang dijalankan tanpa mengetahui gambaran yang jelas
tentang mengapa sebuah proyek harus dimulai dan tujuan akhir proyek yang telah
diselesaikan. Sehingga sering terjadi penyimpangan di dalam aktivitas proyek
dikarenakan tidak adanya arah yang jelas dari proyek tersebut. Itu disebabkan kurang
baiknya dalam perencanaan proyek atau tidak adanya suatu rencana dalam suatu
proyek.
2. kegagalan saat pembuatan
8 Setelah melakukan perencanaan yang baik, akan dilakukan sebuah analisis masalah
yang terjadi pada sistem yang lama dan melakukan desain untuk sistem yang baru
kemudian dimulailah tahap pembuatan sesuai desain yang telah dibuat. Kegagalan
dapat terjadi bila hasil dari analisis dan desain tidak digambarkan dengan jelas, maka
akan terjadi salah perkiraan dalam tahap pembuatan sistem yang baru.
3. kegagalan pada saat akhir proyek
Kegagalan terjadi dikarenakan pada saat batas waktu yang telah ditentukan telah tiba,
produk yang dijanjikan masih belum selesai atau produk sudah selesai, lalu diserahkan
aplikasi yang dihasilkan kepada user tanpa adanya pengujian terlebih dahulu untuk
mengetahui kegagalan yang akan terjadi dari aplikasi yang telah dihasilkan tersebut
atau aplikasi tersebut tidak sesuai dengan kebutuhan dan kinerja yang telah dijanjikan
kepada user.
2.2.
Sistem Informasi
Dalam ilmu komputer, sistem informasi memiliki beberapa komponen penting
di dalamnya seperti hardware, software, jaringan, data, serta informasi yang saling
berintegrasi dan terorganisir dengan baik. Karena cakupan sistem informasi yang luas,
maka hal-hal yang dijelaskan di bawah ini hanya mencakup pengertian data dan
informasi, sistem, serta sistem informasi.
2.2.1. Data
Menurut Williams dan Sawyer (2005, p12), data adalah fakta dan gambaran
mentah yang diproses untuk menjadi informasi, sedangkan menurut McLeod et al
(2001, p11), data adalah fakta-fakta dan angka-angka yang secara relatif kurang berarti
9 bagi penerimanya. Di sisi lain, menurut O’Brien (2003, p38), data adalah fakta atau
observasi mentah, yang biasanya mengenai fenomena fisik atau transaksi bisnis.
Kesimpulan menurut kami, data adalah fakta berupa gambaran mentah,
observasi mentah, dan angka-angka, yang biasanya tentang transaksi bisnis dan pada
umumnya kurang berarti bagi penerimanya sehingga harus diproses menjadi informasi
agar berguna bagi pemakainya.
2.2.2.
Informasi
Menurut Williams dan Sawyer (2005, p12), informasi adalah data yang telah
dirangkum atau dimanipulasi yang digunakan untuk pengambilan keputusan,
sedangkan menurut McLeod et al (2001, p12), informasi didefinisikan sebagai data
yang telah diproses ke dalam bentuk yang berarti bagi penerimanya dan memiliki nilai
yang real maupun yang dipersepsikan dalam mengambil tindakan dan keputusan pada
saat kini maupun yang akan datang.
Kesimpulan menurut kami, informasi dapat didefinisikan sebagai data yang
telah didapat oleh penerima dan telah diproses, dirangkum, atau dimanipulasi sehingga
berarti bagi penerimanya serta dapat digunakan sebagai bahan pengambilan tindakan
dan keputusan untuk saat ini maupun saat yang akan datang.
2.2.3.
Sistem
Menurut Williams dan Sawyer (2005, p457), sistem adalah kumpulan dari
komponen-komponen yang berhubungan yang berinteraksi untuk menampilkan hal-hal
atau tugas untuk menyelesaikan tujuan, sedangkan menurut McLeod et al (2001, p9),
atau tugas untuk menyelesaikan tujuan, sedangkan menurut McLeod et al (2001, p9),
10 sistem adalah sekelompok elemen-elemen yang terintegrasi dengan maksud yang sama
untuk mencapai suatu tujuan.
Di sisi lain, menurut Hall (2001, p5), sistem adalah sekelompok dua atau lebih
komponen-komponen yang saling berkaitan atau subsistem-subsistem yang bersatu,
untuk mencapai tujuan yang sama. Kesimpulan menurut kami, sistem merupakan
kumpulan atau sekelompok elemen-elemen berupa subsistem-subsistem yang
terintegrasi dan berhubungan untuk menampilkan hal atau tugas dengan tujuan sama
yang ingin dicapai.
2.2.4.
Sistem Informasi
Menurut Laudon (2002, p7), sistem informasi adalah sekumpulan komponen
yang saling berhubungan yang bekerjasama mengumpulkan (mengambil), memproses,
menyimpan, dan menyebarkan informasi untuk mendukung pengambilan keputusan,
koordinasi, dan pengawasan dalam suatu organisasi, sedangkan menurut O’Brien
(2003, p5), sistem informasi dapat berupa penggabungan terorganisasi dari manusia,
hardware, software, jaringan komputer, dan sumber data yang mengumpulkan,
mengubah, dan menyebarkan informasi dalam sebuah organisasi.
Di sisi lain, menurut Whitten et al (2001, p8), sistem informasi adalah susunan
dari orang, data, proses, penyajian informasi, dan teknologi informasi yang berinteraksi
untuk mendukung dan mengembangkan pengoperasian sehingga dapat membantu
dalam penyelesaian masalah dan pembuatan keputusan yang dibutuhkan oleh
manajemen dan pengguna.
Kesimpulan menurut kami, sistem informasi adalah sekumpulan komponen
yang saling bergabung dan berhubungan seperti manusia, hardware, software, jaringan,
11 dan sumber data yang mengumpulkan, memproses, menyimpan, dan menyebarkan
informasi untuk mendukung pengambilan keputusan, koordinasi, dan pengawasan
dalam suatu perusahaan.
2.3.
Teknologi Informasi
Era modernisasi ini teknologi semakin maju dan berkembang, di mana pada
dasarnya arsitektur teknologi informasi itu sendiri mencakup tentang hardware,
software, jaringan. Setiap arsitektur memiliki cakupan yang luas dan digunakan untuk
mengembangkan sistem yang pada umumnya memakai pendekatan sistem berupa
System Development Life Cycle (Siklus Hidup Pengembangan Sistem).
2.3.1.
Teknologi Informasi
Menurut Williams dan Sawyer (2005, p3), teknologi informasi adalah
teknologi
yang
membantu
untuk
memproduksi,
memanipulasi,
menyimpan,
mengkomunikasikan informasi, sedangkan menurut Post dan Anderson (2006, p4),
teknologi informasi menunjukkan berbagai tipe dari hardware dan software yang
digunakan dalam sistem informasi, mencakup komputer dan peralatan jaringan.
Di sisi lain, menurut Turban, Rainer, dan Potter (2003, p36), teknologi
informasi adalah koleksi sumber daya informasi, pemakainya dan manajemen yang
mengawasi dalam sebuah perusahaan, termasuk infrastruktur teknologi informasi dan
sistem informasi lainnya. Kesimpulan menurut kami, teknologi informasi adalah
kumpulan berbagai tipe dari hardware dan software yang digunakan dalam sistem
informasi untuk memproduksi, memanipulasi, menyimpan, dan mengkomunikasikan
informasi.
12 2.3.2.
Hardware
Menurut Williams dan Sawyer (2005, p12), perangkat keras (hardware)
adalah seluruh mesin dan perlengkapan di dalam sistem komputer. Dalam setiap
hardware terdapat 4 operasi standar dan 1 operasi tambahan, di antaranya yaitu input,
processing, storage, output, dan communication.
1. Input Operation, adalah apapun yang dimasukkan ke dalam sistem komputer, dapat
berupa macam-macam data (angka, huruf, simbol, warna, dll) atau fakta mentah
yang perlu diproses. Alat yang termasuk dalam input hardware adalah keyboard
dan mouse.
2. Processing Operation, adalah manipulasi yang dilakukan sebuah komputer untuk
mengubah data menjadi informasi. Alat yang termasuk dalam processing hardware
adalah processor chip, memory chips, dan motherboard.
3. Storage Operation, terbagi menjadi 2 macam yaitu primary storage dan secondary
storage. Contohnya adalah floppy-disk, hard-disk drive, dan CD/DVD drive.
4. Output Operation, adalah apapun yang berupa keluaran dari sistem komputer –
hasil dari pemrosesan, biasanya informasi. Yang termasuk output hardware adalah
video card, sound card, monitor, printer dan speakers.
5. Communications Operation, saat ini hampir semua komputer memiliki kemampuan
berkomunikasi, misalnya melalui modem.
2.3.3.
Software
Menurut Williams dan Sawyer (2005, p12), perangkat lunak (software) adalah
instruksi tahapan demi tahapan yang diberikan kode secara elektronikal yang
memberitahu perangkat keras komputer untuk menampilkan tugas. Secara umum,
13 software dibagi menjadi 2 tipe, yaitu system software dan application software. System
software membantu komputer untuk menjalankan tugas-tugas operasi yang penting dan
mengijinkan software aplikasi untuk dijalankan, contohnya yaitu Windows XP, Linux.
Sedangkan application software memberikan pengguna untuk dapat menjalankan hal
spesifik – memecahkan masalah atau menampilkan pekerjaan, contohnya yaitu Adobe
Photoshop, Microsoft Word, dll.
2.3.4.
Jaringan
Menurut Williams dan Sawyer (2005, p319), jaringan atau yang disebut
jaringan komunikasi adalah sebuah sistem yang menginterkoneksikan komputer,
telepon, dan alat komunikasi lainnya yang dapat mengkomunikasikan dengan satu yang
lainnya serta membagi aplikasi dan data.
2.3.5.
Macam-macam Jaringan
Jaringan yang terdiri dari banyak kombinasi komputer, alat penyimpanan dan alat
komunikasi, dapat dibagi menjadi 3 kategori berdasarkan jangkauan geografi, yaitu
LAN, MAN, dan WAN.
1. Jaringan Setempat (Local Area Network – LAN)
LAN adalah sekumpulan komputer dan umumnya menghubungkan komputerkomputer yang dekat secara fisik, misalnya di ruang atau gedung yang sama.
2. Jaringan Metropolitan (Metropolitan Area Network – MAN)
MAN adalah jaringan dengan area yang cukup luas untuk mencakup suatu kota secara
keseluruhan atau beberapa kota kecil yang berdekatan. Jarak fisiknya sekitar 30 mil.
14 MAN muncul ketika kebutuhan untuk menghubungkan beberapa komputer melampaui
batas jarak LAN.
3. Jaringan Luas (Wide Area Network)
WAN digunakan untuk menghubungkan berbagai komputer dan peralatan lain bila
jaraknya melampaui batas LAN dan MAN.
2.3.5.1. Topologi Jaringan LAN
Untuk menghubungkan komputer dan peralatan lainnya, jaringan LAN menggunakan 3
macam konfigurasi, yaitu bus, ring, dan star.
a. Bus Network adalah suatu kabel tunggal dengan panjang terbatas;
b. Ring Network adalah satu di mana seluruh mikrokomputer dan alat komunikasi
lainnya dihubungkan dalam sebuah pengulangan yang berkelanjutan;
c. Star Network adalah satu di mana seluruh mikrokomputer dan alat komunikasi
lainnya dihubungkan secara langsung ke pusat server.
15 Gambar 2.1 Bus Network
(Sumber : Williams dan Sawyer, 2005, p324)
Gambar 2.2 Ring Network
(Sumber : Williams dan Sawyer, 2005, p324)
16 Gambar 2.3 Star Network
(Sumber : Williams dan Sawyer, 2005, p324)
2.3.5.2. Internet dan Wi Fi
Menurut Williams dan Sawyer (2005, p6), internet adalah jaringan komputer
yang mendunia yang menghubungkan ratusan dari ribuan jaringan komputer yang lebih
kecil yang digunakan untuk pengetahuan, akademik, komersial serta kepentingan
individu. Menurut Williams dan Sawyer (2005, p308), WiFi yang merupakan singkatan
dari wireless fidelity merupakan wireless digital standar jangka pendek yang bertujuan
membantu komputer portable dan alat handheld wireless untuk mengkomunikasikan
pada kecepatan tinggi dan membagi koneksi internet pada jarak sekitar 300 kaki. WiFi
menghubungkan melalui akses poin ke LAN.
17 2.3.6.
Siklus Hidup Pengembangan Sistem
Siklus hidup pengembangan sistem (System Development Life Cycle – SDLC)
adalah aplikasi penerapan pendekatan sistem untuk pengembangan sistem atau
subsistem informasi berbasis komputer (McLeod et al, 2001, p133).
Tahapan dalam siklus hidup digambarkan sebagai suatu pola serupa roda dalam
Gambar 2.4. Empat tahap yang utama adalah perencanaan, analisis, rancangan dan
penerapan.
Tahap-tahap
ini
secara
bersama-sama
dinamakan
siklus
hidup
pengembangan sistem. Tahap kelima adalah penggunaannya, yang berlangsung sampai
sudah waktunya untuk merancang sistem itu kembali. Proses merancang kembali
mengakibatkan siklus itu akan diulangi lagi.
Gambar 2.4 Siklus Hidup Pengembangan Sistem
(Sumber : McLeod, R Jr. dan Schell G., 2001)
18 Tahapan-tahapan siklus sistem tersebut yaitu :
1. Tahap Perencanaan, terdiri dari :
a.
Menyadari masalah yang biasanya dirasakan oleh manajer, non-manajer dan
elemen dalam lingkungan perusahaan;
b.
Mendefinisikan masalah, dalam tahap ini manajer mengidentifikasikan di mana
letak permasalahan dan penyebabnya yang dibantu oleh analis sistem;
c.
Menentukan tujuan sistem, di mana manajer dan analis sistem mengembangkan
daftar tujuan sistem yang harus dipenuhi untuk memuaskan pemakai;
d.
Mengidentifikasi kendala-kendala sistem;
e.
Membuat studi kelayakan, seperti kelayakan teknis, pengembalian ekonomis, nonekonomis, hukum dan etika, operasional serta jadwal;
f.
Mempersiapkan usulan penelitian sistem;
g.
Menyetujui atau menolak penelitian proyek;
h.
Menetapkan mekanisme pengendalian.
2. Tahap Analisis
Analisis sistem adalah penelitian atas sistem yang telah ada dengan tujuan untuk
merancang sistem yang baru atau diperbarui yang terdiri dari :
a.
Mengumumkan penelitian sistem;
b.
Mengorganisasikan kebutuhan informasi;
c.
Mendefinisikan kebutuhan informasi;
d.
Mendefinisikan kriteria kinerja sistem;
e.
Menyiapkan usulan rancangan;
f.
Menyetujui atau menolak rancangan proyek.
19 3. Tahap Rancangan
Rancangan sistem adalah penentuan proses dan data yang diperlukan oleh sistem baru,
yang terdiri dari :
a.
Menyiapkan rancangan sistem yang terinci;
b.
Mengidentifikasikan berbagai alternatif konfigurasi sistem;
c.
Mengevaluasi berbagai alternatif konfigurasi sistem;
d.
Memilih konfigurasi yang terbaik;
e.
Menyiapkan usulan penerapan;
f.
Menyetujui atau menolak penerapan sistem.
4. Tahap Penerapan, yang terdiri dari :
a.
Merencanakan penerapan;
b.
Mengumumkan penerapan;
c.
Mendapatkan sumber daya perangkat keras;
d.
Mendapatkan sumber daya perangkat lunak;
e.
Menyiapkan database;
f.
Menyiapkan fasilitas fisik;
g.
Mendidik peserta dan pemakai;
h.
Menyiapkan usulan cutover;
i.
Menyetujui atau menolak masuk ke sistem baru;
j.
Masuk ke sistem baru.
5. Tahap Penggunaan, yang terdiri dari :
a.
Menggunakan sistem;
b.
Audit sistem;
c.
Memelihara sistem;
20 d.
Menyiapkan usulan rekayasa ulang;
e.
Menyetujui atau menolak rekayasa ulang sistem.
2.4.
Manajemen Risiko
Pola pembangunan suatu proses bisnis pada perusahaan terkadang
mengindahkan faktor risiko yang dapat menyebabkan perusahaan mengalami
kegagalan yang dapat menghambat proses pencapaian misi perusahaan. Konsep
manajemen risiko berikut mencakup tentang pengertian risiko, pengukuran risiko,
jenis-jenis risiko serta bagaimana pengendalian risiko.
2.4.1.
Risiko
Menurut Emmet J. Vaughan dan Curtis M. Elliot dalam bukunya
Fundamentals of Risk and Insurance, istilah risiko telah dirumuskan dalam berbagai
definisi (Kertonegoro, 1996, p1) yaitu (1) risiko adalah kans kerugian (the chances of
loss); (2) risiko adalah kemungkinan kerugian (the possibility of loss); (3) risiko adalah
ketidakpastian (uncertainty); (4) risiko adalah penyimpangan kenyataan dari hasil yang
diharapkan (the dispersion of actual from expected result); (5) risiko adalah
probabilitas bahwa suatu hasil berbeda dari yang diharapkan (the probability of any
outcome different from the one expected).
Sedangkan menurut Peltier (2001, p21), risiko adalah kemungkinan suatu
ancaman tertentu akan memunculkan sebuah kelemahan tertentu. Kesimpulan menurut
kami, risiko adalah suatu kemungkinan ancaman yang dapat merugikan karena terjadi
suatu penyimpangan dari hasil yang diharapkan.
21 2.4.2.
Ancaman
Menurut Peltier (2001, p21), ancaman adalah sebuah kejadian dengan potensi
yang menyebabkan akses yang tidak terotorisasi, modifikasi, perusakan dari sumber
daya informasi, aplikasi atau sistem.
2.4.3.
Elemen Ancaman
Ketika menentukan ancaman, para ahli mengidentifikasi 3 elemen yang berhubungan
dengan ancaman (Peltier, 2001, p8) yaitu agent, motive, dan results.
1. Agent adalah yang memunculkan ancaman. Agen dapat berupa manusia, mesin,
atau alam;
2. Motive adalah sesuatu yang menyebabkan agen untuk melakukan tindakan;
3. Results adalah hasil dari ancaman yang diaplikasikan. Contohnya : hilangnya akses,
akses tak terotorisasi, perubahan, perusakan dari aset informasi.
2.4.4.
Manajemen Risiko
Menurut Djojosoedarso (2005, p4), manajemen risiko adalah “pelaksanaan
fungsi-fungsi manajemen dalam penanggulangan risiko, terutama risiko yang dihadapi
oleh organisasi/ perusahaan, keluarga, dan masyarakat. Jadi mencakup kegiatan
merencanakan, mengorganisir, menyusun, memimpin/ mengkoordinir dan mengawasi
(termasuk mengawasi) program penanggulangan risiko”, sedangkan menurut
Kertonegoro (1996, p15), manajemen risiko adalah “proses untuk mengenali dan
menilai risiko, memilih metode yang paling efisien untuk menangani eksposur
kerugian, dan memonitor hasil-hasilnya secara berkelanjutan”.
22 Program manajemen risiko dengan demikian mencakup tugas-tugas, seperti
mengidentifikasi risiko-risiko yang dihadapi, mengukur atau menentukan besarnya
risiko tersebut, mencari jalan untuk menghadapi atau menanggulangi risiko, menyusun
strategi untuk memperkecil ataupun mengendalikan risiko, dan mengkoordinir
pelaksanaan penanggulangan risiko serta mengevaluasi program penanggulangan risiko
yang telah dibuat. Kesimpulan menurut kami, manajemen risiko adalah suatu proses
mengetahui risiko yang ada untuk ditanggulangi dengan cara menggunakan metode
yang paling efisien.
2.4.5.
Analisis Risiko
Menurut Peltier (2001, p21), analisis risiko adalah proses mengidentifikasi
asset dan ancaman, memprioritaskan kelemahan ancaman dan mengidentifikasi
perlindungan yang tepat.
2.4.6.
Pengukuran Risiko
Menurut Darmawi (1994, p44), sesudah manajer risiko mengidentifikasikan
berbagai jenis risiko yang dihadapi perusahaan, maka selanjutnya risiko itu harus
diukur. Tujuan perlunya risiko untuk diukur adalah (1) untuk menentukan relativitas
pentingnya; (2) untuk memperoleh informasi yang akan menolong untuk menetapkan
kombinasi peralatan manajemen risiko yang cocok untuk menanganinya.
2.4.7.
Dimensi yang Harus Diukur
Menurut Darmawi (1994, p44), informasi yang diperlukan berkenaan dengan
dua dimensi risiko yang perlu diukur, yaitu frekuensi atau jumlah kerugian yang akan
23 terjadi dan keparahan dari kerugian itu. Paling sedikit untuk masing-masing dimensi
itu, yang ingin diketahui adalah (1) rata-rata nilainya dalam periode anggaran; (2)
variasi nilai itu, dari satu periode anggaran ke periode anggaran sebelum dan
berikutnya; (3) dampak keseluruhan dari kerugian-kerugian itu jika seandainya
kerugian itu ditanggung sendiri, harus dimasukkan dalam analisis, jadi tidak hanya
nilainya dalam rupiah saja.
2.4.8.
Klasifikasi Risiko
Menurut Sentanoe Kertonegoro (1996, p7), risiko dapat diklasifikasikan dalam
beberapa kategori tertentu:
1. Risiko yang dapat diukur dan risiko yang tidak dapat diukur
Risiko yang dapat diukur adalah risiko yang dapat diukur melalui analisis kuantitatif
atau statistik, seperti tingkat kematian pada berbagai golongan umur manusia. Risiko
yang tidak dapat diukur adalah risiko yang tidak dapat dikuantifikasi, seperti kegagalan
suatu usaha.
2. Risiko finansial dan risiko non finansial
Dalam setiap aspek dari kehidupan manusia, selalu terdapat unsur risiko. Istilah risiko
termasuk setiap situasi yang mengandung eksposur terhadap sesuatu yang negatif.
Dalam beberapa hal, sesuatu yang negatif itu menyangkut kerugian finansial, dan
dalam hal-hal lain tidak menyangkut konsekuensi finansial. Dalam pembahasan ini,
risiko yang dimaksud adalah yang menyangkut kerugian finansial.
24 3. Risiko statis dan risiko dinamis
Risiko dinamis adalah risiko yang diakibatkan dari perubahan-perubahan dalam
perekonomian. Risiko statis menyangkut kerugian-kerugian yang terjadi meskipun
tidak ada perubahan dalam perekonomian.
4. Risiko fundamental dan risiko khusus
Risiko fundamental menyangkut kerugian-kerugian yang sebab dan konsekuensinya
bersifat nonpribadi. Risiko khusus menyangkut kerugian yang timbul dari peristiwa
individual, dan yang dirasakan oleh individu daripada oleh seluruh kelompok.
5. Risiko murni dan risiko spekulatif
Risiko murni menunjukkan situasi yang menyangkut kemungkinan antara kerugian
atau tidak ada kerugian. Risiko murni dapat diklasifikasikan:
a. Risiko personal, menyangkut kemungkinan hilangnya penghasilan atau kekayaan
sebagai akibat hilangnya kemampuan bekerja;
b. Risiko properti, menyangkut kemungkinan kehilangan: fisik benda-milik,
penggunaan benda-milik, atau penghasilan benda-milik;
c. Risiko liabilitas, menyangkut kemungkinan hilangnya kekayaan/ milik atau
penghasilan mendatang yang diderita pihak lain baik disengaja maupun tidak
disengaja, atau kewajiban hukum yang timbul dari kekerasan atas hak orang lain;
d. Risiko karena kesalahan pihak lain, yaitu kegagalan pihak lain untuk memenuhi
kewajibannya kepada kita sehingga menimbulkan kerugian finansial.
Risiko spekulatif menunjukkan situasi di mana terdapat kemungkinan kerugian juga
kemungkinan laba.
25 2.4.9.
Peranan Manajemen Risiko
Menurut Mark S. Dorfman dalam bukunya Introduction to Risk Management
and Insurance, manajemen risiko merupakan pendekatan logis untuk menangani
masalah-masalah yang dihadapi perusahaan karena terekspos terhadap kemungkinan
kerugian (Kertonegoro, 1996, p15). Metode perencanaan dan penanganan kerugian
dalam manajemen risiko menggunakan cara yang sistematis, logis, dan rasional
sehingga bersifat ilmiah, yaitu melalui tiga langkah utama : (1) mengenali dan
mengukur eksposur terhadap kerugian; (2) menyusun dan melaksanakan rencana untuk
menangani potensi kerugian; (3) memonitor dan meninjau secara periodik program
manajemen risiko.
2.4.10. Pengendalian Risiko
Menurut McLeod dan Schell (2007, p219), pengendalian adalah sebuah
mekanisme yang diimplementasikan untuk melindungi perusahaan dari risiko atau
meminimalisir dampak dari risiko pada perusahaan.
2.4.10.1. Tipe-tipe Pengendalian Risiko
Menurut McLeod dan Schell (2007, p219-222), ada 3 tipe pengendalian risiko yaitu
pengendalian teknis, formal, dan informal.
1. Pengendalian Teknis
Pengendalian teknis adalah pengendalian yang dibangun pada sistem oleh pengembang
sistem selama siklus hidup pengembangan sistem.
26 2. Pengendalian Formal
Pengendalian formal mencakup penetapan kode yang kerja, dokumentasi dari prosedur
dan praktik yang diharapkan, mengawasi dan mencegah perilaku yang beragam dari
pedoman yang ditetapkan.
3. Pengendalian Informal
Pengendalian informal mencakup pendidikan dan program latihan dan program
pembinaan manajemen. Pengendalian ini dilakukan untuk memastikan bahwa para
karyawan memahami dan mendukung program keamanan perusahaan.
2.4.10.2. Metode Pengendalian Risiko
Setelah manajer risiko mengidentifikasikan dan mengukur risiko yang
dihadapi perusahaannya, maka ia harus memutuskan bagaimana menangani risiko
tersebut. Ada dua pendekatan dasar untuk itu yaitu pengendalian risiko (risk control)
dan pembiayaan risiko (risk financing). Pengendalian risiko, dijalankan dengan metode
berikut: (1) menghindari risiko; (2) mengendalikan risiko; (3) pemisahan: (4) kombinasi
atau pooling; (5) pemindahan risiko, sedangkan pembiayaan risiko (risk financing)
meliputi pemindahan risiko melalui pembelian asuransi dan menanggung risiko
(retention).
Masing-masing peralatan itu dapat dan biasanya sebaiknya dipergunakan
dalam kombinasi dengan 1 atau lebih peralatan tersebut. Jika exposure tidak
dihilangkan, maka tidak ada alternatif lain, selain dari mempergunakan teknik financing.
Dalam membahas masing-masing teknik perhatian akan dicurahkan pada karakteristik
dasarnya, pertimbangan yang mempengaruhi penggunaannya, dan pengamatan-
27 pengamatan atas bagaimana mengimplementasikannya serta bagaimana mengevaluasi
hasilnya.
2.5.
Manajemen Risiko Teknologi Informasi
Konsep manajemen risiko teknologi informasi mencakup tentang risiko
pemakaian teknologi informasi di perusahaan, keamanan informasi, ancaman terhadap
komputer, di mana hal-hal tersebut harus diidentifikasi dengan menggunakan suatu
metode pengukuran risiko teknologi informasi, sehingga pada akhirnya dapat diberikan
suatu rekomendasi atas risiko-risiko yang teridentifikasi tersebut.
2.5.1.
Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005, p48), risiko teknologi informasi adalah
suatu kemungkinan kesalahan dengan teknologi informasi dan menyebabkan suatu
dampak negatif pada bisnis.
2.5.2.
Kelas-kelas Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005, p 49-52), ada 7 kelas risiko TI, di mana dalam
setiap kelasnya teknologi informasinya dapat salah, dan menyebabkan konsekuensi
negatif untuk perusahaan. Tujuh kelas tersebut yaitu:
1. Proyek – kegagalan untuk menyampaikan
Kelas ini berfokus pada kegagalan proyek TI, mempertimbangkan penunjukan proyek
TI dan proyek bisnis dengan suatu komponen TI yang kritis dan penting.
28 2. Kesinambungan pelayanan TI – ketika operasi bisnis terhenti
Kelas ini berkaitan dengan ketidakandalan pelayanan TI sehingga menyebabkan
gangguan kepada bisnis.
3. Aset-aset informasi – kegagalan untuk melindungi
Kelas ini berhubungan secara khusus pada kerusakan, kehilangan atau eksploitasi dari
aset informasi yang ada pada sistem TI.
4. Penyedia jasa layanan dan vendor – kerusakan pada rantai nilai TI
Dewasa ini penyedia jasa layanan dan vendor memegang peranan yang penting dalam
pengiriman proyek TI dan operasi sehari - hari. Ketika sebuah penyedia jasa layanan
gagal mengirimkan, maka akan muncul potensi dampak yang segera dan signifikan
pada sistem TI dan layanan. Vendor dipercayakan untuk banyak aplikasi yang
mengendalikan bisnis saat ini, bila ada kesalahan pada produk mereka, maka
penyelesaian sengketa dengan penengahan kembali yang mereka ajukan bisa mungkin
adalah setengah – setengah dan mereka boleh memilih untuk menghapuskan setahap
demi setahap aplikasi kunci perusahaan.
5. Aplikasi – system flaky
Kelas ini berhubungan dengan kagagalan aplikasi TI. Aplikasi adalah sistem khusus
yang berinteraksi dengan user dan dalam kebanyakan organisasi merupakan kombinasi
dari software paket dan software khusus yang tujuannya sampai tahap tertentu
terintegrasi bersama-sama.
6. Infrastruktur – fondasi yang rapuh
Kelas ini berhubungan dengan kegagalan dalam infrastruktur TI. Infrastruktur adalah
nama umum untuk berbagai komputer dan sumber daya jaringan terpusat dan
terdistribusi di mana aplikasi dijalankan.
29 7. Strategis dan emergent – dilumpuhkan oleh TI
Kelas ini berhubungan dengan kemampuan TI membiarkan eksekusi menurun dari
strategi bisnis. Dampaknya tidak segera terasa tetapi akan menjadi signifikan dalam
perencanaan bisnis strategis.
2.5.3.
Ancaman terhadap Komputer dan Sistem Komunikasi
Isu terhadap keamanan komputer sering ditemui sehari-hari khususnya dalam
sebuah perusahaan. Ancaman-ancaman tersebut dapat dibagi menjadi 7 macam
kategori, di mana setiap kategori dibagi menjadi beberapa tipe ancaman yang dapat
dilihat pada Tabel 2.1.
Tabel 2.1 Ancaman terhadap Komputer dan Sistem Komunikasi
(Sumber : Brian K. Williams dan Stacey C. Sawyer, 2005, p385)
Kategori Ancaman
Tipe Ancaman
ƒ Kesalahan manusia (human
Kesalahan dan kecelakaan (Errors
and Accidents)
errors)
ƒ Kesalahan prosedural (procedural
errors)
ƒ Kesalahan perangkat lunak
(software errors)
ƒ Masalah elekromagnetik
(electromagnetic problems)
ƒ Masalah data tidak benar (dirty
data problems)
30 Bencana alam (Natural Hazards)
Kerusuhan dan terorisme (Civil unrest
and Terorism)
ƒ Pencurian perangkat keras (theft
Kejahatan melawan komputer dan
komunikasi (Crimes against
of hardware)
ƒ Pencurian perangkat lunak dan
computers and communications)
data (theft of software and data)
ƒ Pencurian waktu dan layanan
(theft of time and services)
ƒ Pencurian informasi (theft of
information)
ƒ Kejahatan atas dendam dan
penghancuran (crimes of malice
and destruction)
Kejahatan menggunakan komputer
dan komunikasi (Crimes using
computers and communications)
Worms dan Virus
Kejahatan
komputer
(Computer ƒ Hackers dan Crackers
31 ƒ Karyawan (employees)
Criminals)
ƒ Pemakai luar (outside users)
ƒ Kejahatan profesional
(professional criminals)
2.5.3.1. Virus, Worm, Hackers dan Crackers
Menurut Williams dan Sawyer (2005, p390), virus adalah program yang
“menyimpang”, yang disimpan ke dalam komputer floopy drive, hard drive, atau CD
yang dapat menyebabkan efek yang tidak diharapkan, seperti menghancurkan data.
Menurut Williams dan Sawyer (2005, p390), worm adalah program yang mengkopi
dirinya sendiri secara berulang-ulang ke dalam memori komputer atau ke dalam disk
drive.
Menurut Williams dan Sawyer (2005, p393), hackers memiliki 2 arti dari sisi
positif dan negatif. Dalam arti positif, hacker adalah orang yang menyukai belajar
bahasa program dan sistem komputer. Sedangkan dalam arti negatif, hacker adalah
orang yang ingin mendapatkan akses yang tidak terotorisasi ke dalam sistem komputer
atau telekomunikasi, lebih sering digunakan untuk menantang. Menurut Williams dan
Sawyer (2005, p393), crackers adalah orang yang secara ilegal masuk ke dalam
komputer dengan tujuan yang jahat – untuk mendapat informasi dengan tujuan
keuangan, mematikan hardware, membajak software, atau menghancurkan data.
2.5.4.
Keamanan Informasi
Menurut Alberts dan Dorofee (2004, p5), keamanan informasi adalah
menentukan apa yang perlu untuk dilindungi dan alasannya, dilindungi dari apa, dan
32 bagaimana melindungi selama informasi tersebut ada, sedangkan menurut McLeod dan
Schell (2007, p212), keamanan informasi adalah perlindungan pada komputer dan
peralatan non-komputer, fasilitas, data, dan informasi dari penyalahgunaan oleh pihakpihak yang tidak berhak. Kesimpulan menurut kami, keamanan informasi adalah suatu
penentuan untuk melakukan perlindungan terhadap segala sesuatu data informasi yang
bersifat penting dari suatu penyalahgunaan oleh pihak-pihak yang tidak berhak.
2.5.4.1. Elemen Keamanan Informasi
Menurut McLeod dan Schell (2007, p212), keamanan informasi terdiri dari
perlindungan terhadap 3 aspek yaitu kerahasiaan, ketersediaan, dan integritas.
1. Kerahasiaan
Perusahaan berusaha untuk melindungi kerahasiaan data dan informasi mereka dari
orang-orang yang tidak berkepentingan.
2. Ketersediaan
Tujuan dari infrastruktur informasi perusahaan adalah untuk membuat data dan
informasi mereka tersedia untuk pihak-pihak yang sah untuk menggunakan data dan
informasi tersebut.
3. Integritas
Semua sistem informasi seharusnya menyediakan sebuah penyajian yang akurat dari
sistem fisik yang mereka sajikan.
33 2.5.4.2. Ancaman Keamanan Informasi
Menurut McLeod dan Schell (2007, p213), ancaman keamanan informasi
adalah orang, organisasi, mekanisme, atau peristiwa, yang memiliki potensi untuk
menimbulkan kerusakan pada sumber daya informasi perusahaan.
2.5.4.3. Risiko Keamanan Informasi
Menurut McLeod dan Schell (2007, p215), risiko keamanan informasi adalah
potensi hasil yang tidak diinginkan dari pelanggaran keamanan informasi oleh sebuah
ancaman keamanan informasi.
2.5.4.4. Jenis-jenis Risiko Keamanan Informasi
Tabel 2.2 Jenis-jenis Risiko Keamanan Informasi
(Sumber : McLeod dan Schell, 2004, p212)
Deskripsi Risiko
Unauthorized
(Pengungkapan
Disclosure
dan
Keterangan
and
Pencurian
Theft Ketika
database
dan
perpustakaan
Tak software juga terbuka untuk orang-orang
Terotorisasi)
yang tidak diberi hak (unauthorized),
maka hasilnya adalah hilangnya informasi
atau uang.
Unauthorized
Use
(Penggunaan
Tak Penggunaan oleh yang tidak berhak
Terotorisasi)
(unauthorized use) terjadi ketika orang
yang
biasanya
tidak
berhak
untuk
34 menggunakan sumber daya perusahaan,
juga bisa untuk menggunakanya.
Unauthorized Destruction and Denial of Seseorang bisa merusak hardware atau
Service (Perusakan dan Penolakan Servis software, menyebabkan operasi komputer
Tak Terotorisasi)
perusahaan mati.
Unauthorized Modification (Perubahan Perubahan
bisa
Tak Teotorisasi)
dan
informasi,
dibuat
software
pada
data,
perusahaan.
Beberapa perubahan tidak ketahuan dan
menyebabkan
pengguna
hasil
sistem
membuat keputusan yang salah.
2.5.5.
Pengendalian Risiko Teknologi Informasi
Menurut Gallegos et al (1987, p24), pengendalian (control) adalah prosedur – prosedur
dan pola- pola organisatoris yang dapat memastikan keandalan informasi yang dibuat
oleh sistem informasi berbasis komputer. Jenis – jenis pengendalian:
1. Berdasarkan tujuannya:
a. Preventive
Pengendalian yang bertujuan menghentikan sementara pemrosesan ketika sebuah eror
atau kondisi perkecualian muncul atau terjadi. Merupakan pengendalian yang termahal
namun juga yang paling handal. Karena pengendalian preventive harus diaplikasikan ke
seluruh bagian yang sedang diproses dan usaha pengembangan memerlukan
pengendalian yang menyeluruh.
35 b. Detective
Pengendalian yang dirancang untuk melacak eror dan melaporkan eror yang terlacak
serta informasi yang terkait. Secara umum merupakan pengendalian yang paling
murah. Karena bisa diaplikasikan pada sebuah sampling basis atau exception basis.
c. Corrective
Pengendalian yang bertujuan melakukan pelacakan eror dan sekaligus melakukan
tindakan perbaikan. Merupakan pengendalian yang lebih mahal daripada pengendalian
detective, karena selain melacak juga melakukan tindakan perbaikan. Namun lebih
murah dari preventive karena bisa diaplikasikan pada sebuah sampling basis atau
exception basis.
2. Berdasarkan ruang lingkup:
a. General Control
Pengendalian yang diterapkan pada seluruh bagian dalam fasilitas Sistem Informasi
berbasis komputer.
b. Application Control
Pengendalian yang beroperasi hanya di dalam 1 program aplikasi spesifik saja. Tipetipe utama dari application control :
1) Input control
Mengelola persiapan data, pergerakan data, dan konversi data.
2) Programmed control
Mengelola penggunaan komputer untuk mengubah input dalam sebuah pemrosesan
yang sedang berjalan. Mencakup pengecekan label, perlindungan library, dan
perlindungan memory.
36 3) Output control
Mengelola keakuratan dan kelengkapan dari informasi yang dihasilkan, pendistribusian
terotorisasi, dan pelacakan & re-entry eror.
4) Transmission Control
Bertujuan memastikan bahwa data tidak diubah selama proses komunikasi.
2.5.6.
Metode Standar Analisis Risiko
Apapun proses analisis risiko yang digunakan, metodenya tetap sama,
diantaranya yaitu (1) identifikasi aset yang akan direview; (2) mengetahui dengan pasti
ancaman, risiko, perhatian atau isu yang ada pada aset; (3) memprioritaskan risiko atau
menentukan kelemahan ancaman terhadap aset; (4) implementasikan pengukuran yang
tepat, mengontrol, melindungi atau menerima risiko; (5) memonitor efektivitas
pengendalian dan menaksir efektivitasnya.
2.6.
Manajemen Risiko Proyek
Menurut Schwalbe (2002, p302), manajemen risiko proyek adalah suatu seni
dan ilmu untuk mengidentifikasi, menganalisa, dan merespon risiko yang muncul
selama hidup suatu proyek sehingga dapat mencapai sasaran proyek.
37 2.6.1. Faktor Risiko Proyek Teknologi Informasi
Tabel 2.3 Risiko Proyek Teknologi Informasi
(Sumber : Zhang Xian Lu dan Lee Jia Pei, 2008, p8 )
Level
Risiko Ekonomi
Kategori
Definisi Risiko
Risiko Ukuran
•
Ukuran dan keragaman tim
•
Ukuran dan keragaman user
•
Ukuran
proyek
(waktu,
biaya,
departemen, pemasok)
Risiko Sumber Daya
Risiko Organisasi Risiko Perubahan
•
Ketidakcukupan sumber daya
•
Perubahan prosedur
•
Perubahan keorganisasian
•
Perubahan
sumber
daya
proyek
karena prioritas organisasi
•
Perubahan tugas user
•
Perubahan yang sering dilakukan
dalam tim proyek
Intensitas Konflik
•
Konflik antara user
•
Konflik antara sistem
•
Konflik antara anggota-anggota tim
pengembangan
Kompleksitas
•
Ketiadaan kejelasan batasan peranan
Lingkungan Kerja
•
Kompleksitas tugas
•
Komunikasi yang tidak efektif
•
Politik
perusahaan
yang
menimbulkan efek negatif pada
pengerjaan proyek
•
Ketidakstabilan
Lingkungan Kerja
stabil
•
Lingkungan organisatoris yang tidak
Ketergantungan terhadap pemasok
38 dari luar
Kurangnya
•
Komitmen konsumen (user)
Komitmen
•
Komitmen manajemen puncak
•
Komitmen diantara anggota tim
pengembang
Risiko Teknologi
Kurangnya Keahlian
•
Anggota tim yang kurang terlatih
•
Pengetahuan tim SI terhadap tool
dan metodologi pengembangan
•
Pengetahuan
tim
SI
terhadap
aplikasi
•
Pengetahuan tim SI terhadap tugas
•
Pengetahuan user dalam SI &
aplikasi
Risiko Kepegawaian
Pembaharuan
•
Kepegawaian yang tidak tepat
•
Kepegawaian yang tidak cukup
•
Pembaharuan
Teknologi
Perangkat
Keras
Perangkat
Lunak
(Hardware)
•
Pembaharuan
(Software)
•
Kompleksitas
Teknologi
Jumlah penghubung ke sistem yang
berjalan
•
Jumlah penghubung ke sistem di
masa depan
•
Kesulitan
dalam
mendefinisikan
input & output sistem
•
Banyaknya pemasok hardware dan
software
Risiko User
•
Keterlibatan user
•
Sikap / perilaku user
39 Risiko Ekonomi
1. Risiko Pengukuran
Pembagian pengukuran risiko ini dimasukkan ke dalam tiga dimensi: ukuran tim,
ukuran user, dan ukuran proyek. Pengukuran risiko tim berhubungan dengan
keanekaragaman manusia dalam tim. Semakin besar suatu tim tersebut, maka akan
semakin sulit dan berisiko untuk menangani orang-orang yang memiliki latar belakang
dan kemampuan yang berbeda-beda tersebut. Sama halnya dengan ukuran user, faktor
risiko ini berhubungan dengan jumlah dan keanekaragaman dari user yang terlibat
dengan proyek TI. Ukuran risiko suatu proyek berkaitan dengan ketidakpastian yang
muncul dari lamanya waktu implementasi proyek, jumlah departemen yang terlibat,
alokasi budjet kepada proyek, dan banyaknya pemasok eksternal yang terlibat dalam
proyek.
2. Risiko Sumber Daya
Risiko sumber daya dihubungkan dengan ketersediaan sumber daya tersebut. Jika
proyek tidak memiliki sumber daya yang cukup, maka proyek tersebut tidak akan dapat
selesai tepat waktu.
Risiko Organisasi
3. Risiko Perubahan
Terdapat 5 kemungkinan perubahan yang dapat menjadi risiko terhadap proyek TI. (1)
Perubahan prosedur, yang berarti adanya perubahan pada prosedur operasional dari
departemen yang disebabkan karena adanya proyek TI. (2) Perubahan keorganisasian,
yang mencakup suatu tingkat perubahan pada struktur organisasi, departemen, atau
yang melibatkan fungsi dalam proyek TI. (3) Perubahan sumber daya proyek karena
40 prioritas organisasi. (4) Perubahan tugas user, yang mencakup suatu modifikasi dari
tugas user yang dibutuhkan oleh proyek TI. (5) Frekuensi perubahan dalam tim proyek,
yang akan mempengaruhi produktivitas dari tim dalam kaitannya untuk mendapatkan
kembali kemampuan dan pengetahuan.
4. Intensitas Konflik
Terdapat 3 macam konflik yang akan muncul di antara user, sistem, dan anggota tim
pengembangan. User mungkin memiliki opini yang berlawanan selama pengembangan
proyek TI; sistem akan tidak sesuai antara yang satu dengan yang lainnya; konflik
dapat juga terjadi antar anggota tim pengembangan dalam kaitannya dengan perbedaan
latar belakang mereka, sifat, dan metode pengembangan yang dikuasai.
5. Kompleksitas Lingkungan Kerja
Ada beberapa risiko yang berhubungan dengan kompleksitas dalam lingkungan kerja.
Yang pertama adalah ketiadaan kejelasan batasan peranan. Kalau peranan dari anggota
tim dalam proyek tidak jelas maka anggota tim tidak akan memahami tanggung jawab
mereka dan membuat pimpinan tim sulit mengontrol kualitas proyek. Risiko yang
kedua berhubungan dengan kerumitan tugas. Semakin rumit tugas, maka akan semakin
beresiko pula proyek tersebut. Risiko yang ketiga adalah komunikasi yang tidak efektif.
Apabila komunikasi diantara pengguna, anggota tim, atau manajemen puncak tidak
efektif, maka proyek akan memiliki resiko yang tinggi.
6. Ketidakstabilan Lingkungan Kerja
Ada dua risiko yang berhubungan dengan ketidakstabilan lingkungan organisasi. Risiko
dapat datang dari lingkungan organisatoris yang tidak stabil seperti cepatnya perubahan
keinginan pelanggan dan kompetisi. Ketergantungan kepada pemasok dapat juga
41 menyebabkan risiko ketika pemasok memegang kendali yang berlebihan, menaikkan
harga, diganti, atau menjadi tidak stabil atau tidak terkendali.
7. Kurangnya Komitmen
Kurangnya komitmen dapat meningkatkan penolakan pemakaian sistem, kesulitan
mendapatkan sumber daya dan kekuatan yang diperlukan untuk mendukung proyek.
Ada tiga macam komitmen disini: (1) kurangnya komitmen pengguna, (2) kurangnya
komitmen manajemen puncak , dan (3) kurangnya komitmen di antara anggota tim.
Risiko Teknologi
8. Kurangnya Keahlian
Ada lima risiko yang berhubungan dengan kurangnya keahlian. Yang pertama, risiko
dapat datang dari anggota tim yang kurang terlatih. Anggota tim harus dilatih untuk
mendapatkan pengetahuan yang diperlukan untuk menyelesaikan tugas. Risiko yang
kedua berhubungan dengan pengetahuan tim sistem informasi terhadap tool dan
metodologi pengembangan. Risiko dapat juga muncul ketika tim sistem informasi tidak
memiliki pengetahuan yang cukup mengenai aplikasi yang digunakan. Risiko dapat
juga muncul ketika tim sitem informasi tidak mempunyai pengetahuan yang cukup
mengenai tugas. Yang terakhir kurangnya pengetahuan pengguna dalam sistem
informasi dan aplikasi dapat juga membawa risiko. Tidak hanya tim pengembang yang
memerlukan pengetahuan profesional, pengguna juga. Apabila pengguna tidak
memiliki pengetahuan yang cukup mereka tidak akan mengidentifikasi kebutuhan yang
jelas mengenai proyek, mempertimbangan perubahan prosedural yang perlu dibuat,
atau mengumpulkan data yang akan dipergunakan dalam proyek.
42 9. Risiko Kepegawaian
Ketidakcukupan atau ketidakjelasan dalam kepegawaian dapat menyebabkan risiko TI.
Kepegawaian yang tidak tepat berarti penempatan peranan, tanggung jawab, atau
persyaratan dalam tim proyek tidak tepat, sehingga performa tidak mencapai hasil yang
baik. Kepegawaian yang tidak cukup berarti dalam tim tidak ada staf yang cukup untuk
menjalankan tugas dan mencapai sasaran, yang dapat menyebabkan meningkatnya
risiko-risiko.
10. Pembaharuan Teknologi
Terdapat 2 risiko yang berkaitan dengan risiko ini, yaitu pembaharuan hardware dan
pembaharuan software. Dalam proyek TI melibatkan hardware dan software baru, serta
teknologi baru yang dibutuhkan untuk mendukung dalam penyelesaian masalah
teknologi, oleh karena itu membutuhkan waktu dan sumber daya yang lebih dan
membawa lebih banyak risiko dibandingkan proyek yang menggunakan teknologi yang
sedang dipakai.
11. Kompleksitas Teknologi
Ada 4 risiko yang berhubungan dengan kompleksitas teknologi, yaitu (1) beberapa
penghubung ke sistem yang berjalan, menghubungkan sistem yang berjalan melibatkan
banyak isu seperti bagaimana untuk mengintegrasikan dengan sistem yang sedang
berjalan, bagaimana menjalankan sistem baru tanpa mempengaruhi sistem yang lama,
fungsi apa saja yang tidak ubah dari sistem lama; (2) beberapa penghubung ke sistem di
masa depan, proyek akan jauh lebih berisiko bila juga harus mampu menampung
fleksibilitas sistem di masa depan, karena itu artinya arsitektur dasarnya harus didesain
lebih hati-hati dibandingkan proyek yang didesain hanya untuk keperluan saat ini; (3)
kesulitan dalam mendefinisikan input dan output sistem, penjelasan yang jelas tentang
43 input dan output dibutuhkan untuk menyiapkan data dan desain sistem, dan juga
menyediakan pengukuran yang jelas untuk fungsi manajemen proyek; (4) banyaknya
pemasok hardware / software, jumlah pemasok hardware / software secara langsung
berhubungan dengan kerumitan dalam mengintegrasikan sistem dan menyebabkan
risiko muncul. Semakin banyak pemasok hardware dan software, maka semakin
banyak interface yang perlu untuk dikembangkan sehingga proyek akan semakin sulit
dan berisiko.
12. Risiko User
Ada 2 macam risiko yaitu keterlibatan user dan sikap / perilaku user. Sebuah proyek
tidak akan berhasil jika user tidak terlibat khusus dalam proyek tersebut. Dalam hal
lain, user yang memiliki pengertian dan sikap puas akan membantu proyek berjalan
dengan lancar. Performa akan membawa pengaruh positif bagi keberhasilan proyek.
2.6.2. Proses-proses Manajemen Risiko Proyek
Menurut Schwalbe (2002, p305), terdapat beberapa langkah dalam manajemen risiko
proyek, antara lain:
1.
Perencanaan Manajemen Risiko
Mencakup menentukan pendekatan yang digunakan dan merencanakan aktivitas
manajemen risiko untuk proyek. Hasil dari perencanaan manajemen risiko adalah
rencana manajemen risiko yang mendokumentasikan prosedur untuk mengelola risiko
pada proyek.
2.
Identifikasi risiko
Mencakup menentukan risiko mana yang akan mempengaruhi proyek dan
mendokumentasi karakteristik dari masing-masing risiko tersebut dalam sebuah risk
44 register. Risk Register adalah sebuah dokumen yang berisi hasil dari berbagai prosesproses manajemen risiko, yang sering ditampilkan dalam sebuah tabel atau format
spreadsheet.
Tabel 2.4 Format Risk Register
Rating
Dampak
Kecenderungan
Pengendalian yang Ada
Rating
Dampak
Kecenderungan
Faktor Penyebab
Deskripsi Risiko
Kategori Risiko
No
(Sumber : Schwalbe, 2002, p463)
Dalam Risk Register, terdapat beberapa langkah yang dapat digunakan untuk mengisi
setiap kolom yang ada di risk register, diantaranya :
a. Identifikasi kategori risiko berdasarkan level
Langkah ini mengidentifikasikan kategori risiko yang ditemukan termasuk ke dalam
kategori risiko yang mana, berdasarkan pada faktor risiko proyek teknologi informasi
yang telah dicantumkan pada Tabel 2.1, Tabel 2.2, dan Tabel 2.3.
b. Identifikasi risiko yang terkait dengan kategori risiko
Langkah ini mengidentifikasikan deskripsi dari risiko yang dapat muncul berdasarkan
kategori risiko yang telah teridentifikasi. Deskripsi risiko ini menjelaskan kelemahan
dari proyek yang dapat mempengaruhi keberhasilan suatu proyek.
45 c. Analisa faktor penyebab risiko
Dalam langkah ini dianalisa faktor penyebab timbulnya risiko-risiko yang dapat
mempengaruhi jalannya proyek.
d. Pengukuran probabilitas munculnya risiko
Dalam langkah ini, dijelaskan kecenderungan atas kemungkinan munculnya risiko yang
dapat mempengaruhi keberhasilan proyek. Pengukuran ini didasarkan pada frekuensi
munculnya risiko. Hal ini dijelaskan dalam Tabel 2.5.
Tabel 2.5 Kecenderungan Munculnya Risiko
(Sumber : Audittindo Education, 2006, p26)
Level
Kecenderungan Munculnya
Keterangan
Risiko
5
Sangat sering
Selalu terjadi
4
Sering
Hampir selalu terjadi
3
Cukup sering
Dapat terjadi
2
Jarang
Mungkin terjadi
1
Sangat jarang
Hampir tidak mungkin terjadi
e. Pengukuran dampak risiko
Dalam langkah ini, dilakukan analisa pengukuran dampak dari munculnya suatu risiko.
Tingkat kerusakan ini dimulai dari yang berdampak kecil dalam keberhasilan proyek
sampai dengan dampak besar yang menyebabkan proyek gagal. Tingkatan tersebut
dijelaskan dalam Tabel 2.6.
46 Tabel 2.6 Dampak Risiko
(Sumber : Audittindo Education, 2006, p26)
Level
Dampak dari Kemunculan
Keterangan
Risiko
5
Bencana
Proses bisnis mengalami kegagalan
total
4
Mayor
Mengalami gangguan yang
menyebabkan seluruh proses bisnis
terhambat
3
Moderate
Mengalami gangguan sehingga
sebagian proses bisnis terhambat
2
Minor
Mengalami gangguan namun proses
bisnis tetap dapat berjalan
1
Tidak signifikan
Tidak menyebabkan gangguan
terhadap proses bisnis
f. Menentukan rating risiko
Penentuan rating didasarkan pada perbandingan dampak risiko terhadap kecenderungan
munculnya risiko. Rating risiko memiliki 4 tingkatan yaitu Low, Medium, High, dan
Extreme. Hal tersebut dijelaskan dalam Tabel 2.7.
47 Tabel 2.7 Rating Risiko
(Sumber : Audittindo Education, 2006, p26)
Dampak
Kecenderungan
1
2
3
4
5
5
H H
E
E E 4
M H H E E 3
L M H E E 2
L L
M H E 1
L L M H H Keterangan :
L = Low Risk; risiko yang dapat diterima;
M = Medium Risk; memerlukan penanganan dari manajemen;
H = High Risk; memerlukan perhatian dan penanganan dari Manajemen Senior;
E = Extreme Risk; memerlukan tindakan yang secepatnya.
g. Identifikasi pengendalian yang ada
Dalam langkah ini dilakukan identifikasi terhadap pengendalian yang telah
diimplementasikan dalam perusahaan dalam menangani risiko yang muncul.
3.
Analisa risiko kualitatif
Analisa risiko kualitatif mencakup perkiraan kecenderungan dan dampak dari risiko
yang teridentifikasi untuk menentukan tingkat kepentingan atau prioritasnya. Dalam
48 analisa ini dapat digunakan beberapa cara seperti matriks probabilitas-dampak untuk
menghasilkan tabel daftar prioritas risiko.
4.
Analisa risiko kuantitatif
Biasanya analisa risiko kuantitatif merupakan kelanjutan dari analisa risiko kualitatif,
di mana kedua proses dapat dikerjakan secara bersamaan, atau secara terpisah. Namun
pada beberapa proyek dapat dilakukan analisa risiko kualitatif saja tanpa diikuti analisa
risiko kuantitatif. Analisa risiko kuantitatif mencakup pengukuran kemungkinan dan
konsekuensi dari risiko secara numerik dan mengestimasi dampaknya pada tujuan
proyek.
5.
Perencanaan penanggulangan risiko
Mencakup pengambilan langkah-langkah untuk meningkatkan kesempatan dan
mengurangi
ancaman
untuk
mencapai
tujuan
proyek.
Setelah
organisasi
mengidentifikasi dan menghitung risiko-risiko, maka harus membangun sebuah respon
yang tepat terhadap risiko-risiko tersebut. Ada 4 strategi respon dasar yaitu risk
avoidance, risk acceptance, risk transference, dan risk mitigation.
a. risk avoidance yaitu menghilangkan sebuah ancaman spesifik, yang biasanya
dengan menghilangkan penyebab ancaman tersebut;
b. risk acceptance yaitu menerima konsekuensi jika risiko muncul;
c. risk tranference yaitu memindahkan konsekuensi dari sebuah risiko dan tanggung
jawab manajemen kepada pihak ketiga;
49 d. risk mitigation yaitu mengurangi dampak dari sebuah risiko dengan mengurangi
kecenderungan munculnya risiko tersebut.
6.
Pengendalian dan pengawasan risiko
Mencakup pengawasan risiko yang telah diketahui, mengidentifikasi risiko baru,
memastikan diterapkannya perencanaan penanggulangan risiko, dan mengevaluasi
keefektifan dari pengurangan risiko yang muncul selama hidup proyek. Hasil dari
proses ini yaitu perubahan yang diminta, rekomendasi perbaikan dan tindakan
pencegahan, dan meng-update risk register, dan perencanaan manajemen proyek.