Manajemen Risiko TI PDF

Summary

This document discusses information technology risk management. It introduces the concept of risk and various definitions, including perspectives from different authorities.  It further explores the different types of IT risk, and factors that affect risk.

Full Transcript

Manajemen Risiko TI

BAB II MANAJEMEN RISIKO TI

2.1 Uraian Materi
A. Risiko TI
Istilah risiko merupakan kata yang sering kita dengar dan seringkali
kata tersebut mempunyai konotasi yang negatif, sesuatu yang tidak
disukai dan ingin dihindari. Banyak contoh kejadian risiko yang
mungkin terjadi, yang biasanya digambarkan sebagai sesuatu yang
negatif, misalnya kebakaran, kecelakaan, dan sebagainya.

Semua aktivitas individu maupun organisasi pasti mengandung risiko
di dalamnya karena mengandung unsur ketidakpastian. Risiko bisa
terjadi karena tidak ada atau kurangnya informasi tentang hal yang
akan terjadi kemudian, baik itu hal yang menguntungkan atau
merugikan.

Banyak definisi atau pengertian dapat ditemukan tentang apa itu risiko.
Untuk lebih memahami arti risiko, berikut beberapa pendapat ahli
tentang definisi risiko:
§ Menurut COSO ERM 2004, pengertian resiko adalah kemungkinan
terjadinya sebuah peristiwa yang dapat mempengaruhi
pencapaian tujuan organisasi.
§ PP No. 60/2008 tentang Sistem Pengendalian Intern Pemerintah
mendefinisikan risiko sebagai suatu kejadian yang mungkin terjadi
dan apabila terjadi akan memberikan dampak negatif pada
pencapaian tujuan instansi pemerintah.
§ Menurut Arthur Williams dan Richard, M.H, resiko adalah suatu
variasi dari hasil-hasil yang dapat terjadi selama periode tertentu.
§ Menurut Hanafi (2009), pengertian resiko adalah bahaya, akibat
atau konsekuensi yang dapat terjadi akibat sebuah proses yang
sedang berlangsung atau kejadian yang akan datang.

4
Manajemen Risiko TI

§ Standard internasional ISO 31000:2018 mendefinisikan risiko
sebagai “the effect of uncertainty on objectives”.
§ Menurut Prof. Dr. Ir. Soemarno, MS, pengertian resiko adalah suatu
kondisi yang timbul karena ketidakpastian dengan seluruh
konsekuensi tidak menguntungkan yang mungkin terjadi.
§ Pengertian risiko menurut KBBI adalah segala kemungkinan
terjadinya peristiwa yang dapat merugikan perusahaan.
§ PermenPAN-RB Nomor 5 Tahun 2020 tentang Pedoman
Manajemen Risiko SPBE mendefinisikan risiko sebagai peluang
terjadinya suatu peristiwa yang akan mempengaruhi keberhasilan
terhadap pencapaian tujuan.

Dari berbagai definisi tersebut, risiko selalu dihubungkan dengan
kemungkinan terjadinya atau ketidakpastian dan pencapaian tujuan.
Secara sederhana Risiko dapat digambarkan pada gambar 2.1.

Gambar 2.1. Konsep Risiko

Pada gambar 2.1 terdapat beberapa konsep, yaitu:
§ Ketidakpastian merupakan kurangnya informasi (tidak jelas)
mengenai suatu peristiwa, seberapa besar tingkat kemungkinan
terjadinya (likelihood) dan berapa besar dampaknya (effect) pada
sasaran.
§ Dampak merupakan penyimpangan (deviasi) dari sasaran yang
diharapkan. Dapat negatif atau positif atau keduanya.

5
Manajemen Risiko TI

§ Sasaran dapat mempunyai berbagai bentuk/kategori : finasial,
penjualan, produksi, jasa dan bentuk lainnya.

Dapat disimpulkan bahwa pengertian risiko yaitu adanya
ketidakpastian atau peluang terjadinya suatu peristiwa yang
berdampak pada tercapainya tujuan yang diinginkan. Dalam konteks
bidang Teknologi Informasi (TI), risiko TI sendiri dapat dikatakan
merupakan ketidakpastian atau peluang terjadinya suatu peristiwa
yang berdampak pada pencapaian tujuan di bidang TI.

Berdasarkan pada gambar 2.1, terdapat penyimpangan dari sasaran
atau tujuan yang diharapkan, baik yang bersifat positif maupun negatif.
Oleh karena itu risiko juga terbagi menjadi:
§ Risiko positif
Risiko positif merupakan ketidakpastian atau peluang terjadinya
suatu peristiwa yang akan meningkatkan keberhasilan terhadap
pencapaian tujuan yang diinginkan. Misalnya tersedianya tenaga
programmer yang mencukupi, adanya teknologi interoperabilitas
data, big data, kebijakan pimpinan yang mendukung pelaksanaan
TI di lingkungan organisasi, dan sebagainya.
§ Risiko negatif
Risiko negatif merupakan ketidakpastian atau peluang terjadinya
suatu peristiwa yang akan menurunkan keberhasilan terhadap
pencapaian tujuan yang diinginkan. Misalnya jaringan internet
tidak stabil, perangkat TI tidak mencukupi, adanya serangan
virus/malware, harga berbayar piranti lunak yang tinggi, dan
sebagainya.

B. Manajemen Risiko TI
Manajemen risiko menurut PermenPAN-RB Nomor 5 Tahun 2020
merupakan pendekatan sistematis yang meliputi proses, pengukuran,
struktur, dan budaya untuk menentukan tindakan terbaik terkait

6
Manajemen Risiko TI

risiko. Dalam peraturan tersebut, manajemen risiko yang dibahas yaitu
yang terkait dengan pelaksanaan Sistem Pemerintahan Berbasis
Elektronik (SPBE), dimana hal tersebut sesuai dengan materi modul ini
yang sedang dibahas yaitu tentang Manajemen Risiko TI.

Menurut James Essinger dan Joseph Rosen, terdapat lima konsep dasar
dalam Manajemen Risiko yang harus terlebih dahulu dipahami oleh
para pejabat organisasi yang terlibat dalam proses Manajemen Risiko,
yaitu:
1. Manajemen risiko hanyalah sebuah pendekatan. Ada banyak
pendekatan dalam menilai risk and return dari setiap transaksi
atau instrumen. Manajemen risiko lebih efektif untuk portfolio
yang besar dan kompleks. Di sisi lain, manajemen risiko juga
merupakan strategi yang fleksibel, karena tidak hanya diterapkan
untuk portfolio yang besar, tetapi juga dapat menjadi pendekatan
yang rinci bagi portfolio yang kecil.
2. Sifat dari instrumen yang digunakan akan menentukan parameter
dari sebuah strategi manajemen risiko. Secara relatif tidak ada satu
strategi manajemen risiko yang dapat diterapkan pada semua jenis
kegiatan atau semua instrumen.
3. Sistem manajemen risiko haruslah sistematis dan diikuti secara
konsisten tetapi tidak kaku dan fleksibel.
4. Manajemen risiko bukan merupakan alat sulap yang secara ajaib
akan meningkatkan return/kinerja organisasi dan sekaligus
mengurangi risiko. Peter L. Berstein berpendapat bahwa
manajemen risiko sendiri bisa menghasilkan risiko baru, yaitu
berkurangnya kewaspadaan manajemen Organisasi terhadap
seluruh risiko Organisasi yang ada. Ibarat pengemudi mobil yang
menggunakan tali pinggang pengaman, akan mengemudikan mobil
secara kurang berhati-hati dibandingkan apabila ia tidak
menggunakan ikat pinggang pengaman.

7
Manajemen Risiko TI

5. Lingkungan organisasi saat ini telah menyebabkan kompleksitas
manajemen risiko menjadi sangat tinggi dan merupakan proses
yang semakin sulit. Kecenderungan kompleksitas kegiatan dan
perkembangan-perkembangan baru dalam teknologi informasi
dan telekomunikasi telah semakin mempersulit pengelolaan risiko
organisasi.

Tujuan diterapkannya manajemen risiko dalam suatu organisasi adalah
sebagai berikut :
§ Meningkatkan kemungkinan pencapaian sasaran organisasi dan
peningkatan kinerja. Melindungi organisasi dari tingkat risiko
signifikan yang dapat menghambat pencapaian tujuan organisasi.
§ Mendorong manajemen yang proaktif dan antisipatif. Mendorong
menajemen untuk bertindak proaktif mengurangi risiko kerugian,
menjadikan pengelolaan risiko sebagai sumber keunggulan
bersaing, dan keunggulan kinerja organisasi.
§ Memberikan dasar yang kuat dalam pengambilan keputusan dan
perencanaan.
§ Meningkatkan efektivitas alokasi dan efisiensi penggunaan sumber
daya organisasi. Mendorong setiap insan organisasi untuk
bertindak hati-hati dalam menghadapi risiko organisasi, sebagai
upaya memaksimalkan nilai organisasi demi mencapai tujuan yang
diinginkan bersama.
§ Meningkatkan kepatuhan kepada regulasi.
§ Meningkatkan kepentingan dan kepercayaan para pemangku
kepentingan.
§ Meningkatkan ketahanan organisasi.
§ Membangun kemampuan mensosialisasikan pemahaman
mengenai risiko dan pentingnya pengelolaan risiko.
§ Meningkatkan kinerja organisasi melalui penyediaan informasi
tingkat risiko yang dituangkan dalam peta risiko/risk map yang

8
Manajemen Risiko TI

berguna bagi manajemen dalam pengembangan strategi dan
perbaikan proses manajemen risiko secara berkesinambungan dan
terus-menerus.

Secara umum, dengan diterapkannya Manajemen Risiko terdapat
beberapa manfaat yang diperoleh organisasi terutama pada sektor
publik, yaitu:
§ Dalam hal pelayanan publik, manajemen risiko membantu
memperkirakan dampak risiko untuk dapat memastikan bahwa
risiko telah dikelola, dan pengelolaan diarahkan untuk mengurangi
dampak risiko negatif dan mengoptimalkan dampak risiko positif
yang timbul.
§ Dalam hal efisiensi penggunaan sumber daya, manajemen risiko
membantu memprioritaskan, misalnya di area mana instansi
sektor publik memiliki risiko besar dalam pencapaian hasil
programnya, sehingga sumber daya dapat diarahkan terutama
kepada area dengan risiko tinggi.
§ Dalam hal peningkatan keandalan dan kecukupan pengendalian
intern, manajemen risiko dapat membantu meminimalkan
pemborosan, kecurangan, dan kesalahan.
§ Dalam hal inovasi, manajemen risiko membantu menilai opsi-opsi
menyangkut peluang pelayanan dan hasil yang lebih baik, serta apa
yang perlu dilakukan untuk mengelola risiko-risiko yang muncul
berkaitan dengan opsi tersebut.

C. Kerangka Kerja Manajemen Risiko TI
Agar dapat berhasil dengan baik, Manajemen Risiko TI harus diletakkan
dalam suatu kerangka kerja Manajemen Risiko TI. Kerangka kerja ini
akan menjadi dasar yang mencakup seluruh kegiatan manajemen
risiko. Kerangka kerja ini akan membantu organisasi mengelola risiko
secara efektif melalui penerapan proses manajemen risiko dalam

9
Manajemen Risiko TI

berbagai tingkatan organisasi dan dalam konteks spesifik organisasi
tersebut.

Kerangka kerja ini akan memastikan bahwa informasi risiko yang
lengkap dan memadai yang diperoleh dari proses manajemen risiko
akan dilaporkan serta digunakan sebagai landasan untuk pengambilan
keputusan. Hal ini dilakukan sesuai dengan kejelasan akuntabilitas
pada setiap tingkatan organisasi.

Komponen dasar dari kerangka kerja ini terdiri atas prinsip mengenai
peningkatan nilai dan perlindungan, kepemimpinan dan komitmen,
serta proses dan tata kelola Manajemen Risiko TI. Kerangka Kerja
Manajemen Risiko TI dapat dilihat pada gambar 2.2.

Gambar 2.2. Kerangka Kerja Manajemen Risiko TI

10
Manajemen Risiko TI

1) Prinsip-prinsip Manajemen Risiko TI
Prinsip utama dari penerapan Manajemen Risiko TI adalah
menciptakan peningkatan nilai tambah dan perlindungan bagi
organisasi TI dalam pencapaian tujuan. Prinsip utama tersebut
memiliki karakteristik sebagai berikut:

Gambar 2.3. Prinsip-prinsip Manajemen Risiko TI

a. Terintegrasi, yaitu manajemen risiko TI merupakan
serangkaian proses yang terintegrasi dengan proses
pelaksanaan tugas dan fungsi organisasi.
b. Terstruktur dan komprehensif, yaitu manajemen risiko TI
dibangun secara terstruktur, sistematis, dan menyeluruh
untuk memberikan kontribusi terhadap efisiensi dan
konsistensi hasil yang dapat diukur dalam peningkatan
kualitas tujuan organisasi.
c. Dapat disesuaikan, yaitu kerangka kerja dan proses
manajemen risiko TI dapat disesuaikan dengan konteks
internal dan eksternal organisasi untuk mencapai tujuan.

11
Manajemen Risiko TI

d. Inklusif, yaitu manajemen risiko TI melibatkan semua
pemangku kepentingan sesuai dengan pengetahuan,
pandangan, dan persepsinya untuk membangun budaya sadar
Risiko di seluruh lingkungan organisasi.
e. Dinamis, yaitu manajemen risiko TI dapat dipergunakan untuk
mengantisipasi dan merespon perubahan konteks organisasi
dengan tepat dan sesuai waktu;
f. Informasi tersedia dan terbaik, yaitu informasi yang digunakan
sebagai masukan dalam proses manajemen risiko TI
didasarkan pada data historis, pengalaman, observasi,
perkiraan, penilaian ahli, dan data dukung lain yang tersedia di
organisasi;
g. Faktor manusia dan budaya, yaitu keberhasilan penerapan
manajemen risiko TI di organisasi dipengaruhi oleh kapasitas,
persepsi, kesungguhan, dan budaya kerja dari pegawai yang
terlibat dalam pencapaian tujuan.
h. Perbaikan berkelanjutan, yaitu manajemen risiko TI
senantiasa dikembangkan melalui strategi perbaikan
manajemen secara berkelanjutan dan peningkatan
kematangan penerapan Manajemen Risiko.

2) Kepemimpinan dan Komitmen
Dalam penerapan manajemen risiko TI, pimpinan organisasi di
bidang TI hendaknya menunjukkan kepemimpinan dan komitmen
dalam penerapan kerangka kerja manajemen risiko melalui proses:
a. Integrasi
Kerangka kerja manajemen risiko TI hendaknya diintegrasikan
dengan proses pelaksanaan tugas dan fungsi organisasi.
Integrasi dapat dilakukan dengan memahami struktur dan

12
Manajemen Risiko TI

konteks organisasi yang didasarkan pada tujuan, sasaran, dan
kompleksitas organisasi.

Berdasarkan struktur dan konteks organisasi tersebut, tata
kelola manajemen risiko TI perlu dibangun dengan menyusun
struktur manajemen risiko TI beserta tugas-tugasnya untuk
menjalankan, mengendalikan, dan melakukan pengawasan
terhadap penerapan proses manajemen risiko TI dalam rangka
mencapai tujuan organisasi di bidang TI.
b. Desain
Perancangan kerangka kerja manajemen risiko TI dilakukan
dengan cara:
§ Memahami struktur dan konteks organisasi termasuk
tujuan, sasaran, dan kompleksitas organisasi.
§ Mengekspresikan komitmen pimpinan terhadap penerapan
kerangka kerja manajemen risiko TI dalam bentuk
kebijakan, pernyataan, atau bentuk dukungan lainnya.
§ Menetapkan kewenangan, tanggung jawab, dan
akuntabilitas dari setiap peran di dalam kerangka kerja
manajemen risiko TI.
§ Menyediakan sumber daya yang diperlukan seperti SDM
dan kompetensi, anggaran, proses dan prosedur, informasi
dan pengetahuan, dan pelatihan.
§ Membangun komunikasi dan konsultasi untuk efektivitas
implementasi kerangka kerja manajemen risiko TI.

c. Implementasi
Kerangka kerja manajemen risiko TI diterapkan dengan
melibatkan semua pemangku kepentingan melalui
penyusunan rencana, penyediaan sumber daya, pembuatan
keputusan, dan pelaksanaan manajemen risiko TI.

13
Manajemen Risiko TI

d. Pemantauan dan Evaluasi
Untuk mengukur efektivitas implementasi kerangka kerja
manajemen risiko TI, organisasi perlu melakukan pemantauan
dan evaluasi secara berkala untuk pengukuran kinerja dan
kesesuaian kerangka kerja manajemen risiko TI terhadap
tujuan organisasi di bidang TI.
e. Perbaikan
Hasil pemantauan dan evaluasi kerangka kerja manajemen
risiko TI digunakan untuk melakukan perubahan dan
perbaikan kerangka kerja manajemen risiko TI secara
berkelanjutan sehingga kesesuaian, kecukupan, dan efektivitas
dari kerangka kerja tersebut dapat ditingkatkan.

3) Proses dan Tata Kelola Manajemen Risiko
Proses manajemen risiko TI merupakan rangkaian proses yang
sistematis dan menjadi bagian dari proses pelaksanaan tugas dan
fungsi organisasi untuk pengambilan keputusan di tingkat
strategis, operasional, dan pelaksanaan proyek. Proses manajemen
risiko TI terdiri atas proses:
a. Komunikasi dan konsultasi.
b. Penetapan konteks risiko TI.
c. Penilaian risiko TI.
d. Penanganan risiko TI.
e. Pemantauan dan reviu.
f. Pencatatan dan pelaporan.

Sedangkan, tata kelola manajemen risiko TI merupakan
mekanisme untuk mengatur kewenangan dan memastikan
akuntabilitas pelaksanaan manajemen risiko TI di organisasi.
Dalam hal ini, tata kelola manajemen risiko TI dibangun dengan

14
Manajemen Risiko TI

menyusun struktur manajemen risiko TI dan membangun budaya
sadar risiko TI.
a. Struktur manajemen risiko TI
Dalam rangka pengendalian dan pengawasan pengendalian
terhadap penerapan manajemen risiko TI di lingkungan
organisasi perlu ditetapkan struktur manajemen risiko.
Struktur manajemen risiko terdiri dari:
i. Komite Pengarah TI
Komite Pengarah TI menjalankan peran sebagai komite
manajemen risiko organisasi TI yang memiliki fungsi
penetapan kebijakan strategis terkait Manajemen Risiko
TI.
ii. Unit Kepatuhan Manajemen Risiko TI
Unit Kepatuhan Risiko (UKR) TI yang memiliki fungsi
pengawasan terhadap pelaksanaan manajemen risiko TI.
UKR dalam sebuah organisasi dapat diperankan oleh unit
Inspektorat di organisasi tersebut.
iii. Unit Pemilik Risiko TI
Unit Pemilik Risiko (UPR) TI yang memiliki fungsi
pelaksanaan Manajemen Risiko TI.

Gambar 2.4. Struktur Manajemen Risiko TI

15
Manajemen Risiko TI

b. Budaya sadar risiko TI
Budaya sadar Risiko TI merupakan perilaku pegawai yang
mengenal, memahami, dan mengakui kemungkinan terjadinya
Risiko TI, baik positif maupun negatif, yang ditindaklanjuti
dengan upaya yang berfokus pada penerapan manajemen
risiko TI di organisasi. Pegawai harus peka terhadap faktor-
faktor dan peristiwa yang mungkin berpengaruh terhadap
tujuan dan sasaran penerapan TI di organisasi. Dengan
menyadari adanya Risiko TI, pegawai dapat merencanakan dan
mempersiapkan tindakan atau penanganan risiko TI
secepatnya. Keterlibatan pegawai di dalam budaya sadar risiko
TI akan memberikan nilai tambah dan meningkatkan
efektivitas penerapan manajemen risiko TI yang pada akhirnya
berdampak pada peningkatan kualitas penerapan TI di
organisasi.

2.2 Rangkuman
Dalam konteks Teknologi Informasi (TI), risiko TI dapat diartikan
sebagai ketidakpastian atau peluang terjadinya peristiwa yang
berdampak pada keberhasilan suatu kegiatan di bidang TI. Risiko TI
dapat berupa risiko positif dan risiko negatif. Risiko positif akan
meningkatkan keberhasilan terhadap pencapaian tujuan. Sebaliknya,
risiko negatif akan menurunkan keberhasilan terhadap pencapaian
tujuan.

Manajemen risiko menurut PermenPAN-RB Nomor 5 Tahun 2020
merupakan pendekatan sistematis yang meliputi proses, pengukuran,
struktur, dan budaya untuk menentukan tindakan terbaik terkait
risiko. Untuk mencapai tujuan dari manajemen risiko dan memperoleh
manfaatnya, terdapat lima hal yang harus dipahami dalam proses
manajemen risiko, yaitu: (1) manajemen risiko hanyalah sebuah

16
Manajemen Risiko TI

pendekatan untuk menilai risk and return dari setiap transaksi atau
instrument, (2) sifat dari instrumen yang digunakan akan menentukan
parameter dari sebuah strategi manajemen risiko, (3) manajemen
risiko harus sistematis dan diikuti secara konsisten tetapi tidak kaku
dan fleksibel, (4) manajemen risiko bukan merupakan alat sulap yang
secara ajaib akan meningkatkan return/kinerja organisasi dan
sekaligus mengurangi risiko, dan (5) lingkungan kerja saat ini
menyebabkan kompleksitas manajemen risiko menjadi sangat tinggi
dan semakin sulit.

Tujuan diterapkannya manajemen risiko dalam organisasi antara lain
meningkatkan kinerja, mendorong manajemen yang proaktif dan
antisipatif, memberikan dasar pengambilan keputusan dan
perencanaan, meningkatkan alokasi dan efisiensi sumber daya,
meningkatkan kepatuhan kepada regulasi, meningkatkan kepentingan
dan kepercayaan pemangku kepentingan, meningkatkan ketahanan
organisasi, membangun kemampuan mensosialisasikan pemahaman
mengenai risiko dan pentingnya pengelolaan risiko, dan menyediakan
peta risiko/risk map.

Manajemen Risiko TI harus diletakkan dalam suatu kerangka kerja
yang memastikan bahwa informasi risiko yang lengkap akan
dilaporkan dan digunakan sebagai dasar pengambilan keputusan.
Komponen dasar dari kerangka kerja ini terdiri atas prinsip mengenai
peningkatan nilai dan perlindungan, kepemimpinan dan komitmen,
serta proses dan tata kelola Manajemen Risiko TI.

2.3 Soal Latihan
1) Berikan setidaknya masing-masing tiga buah contoh risiko positif
dan negatif dalam bidang TI di unit kerja masing-masing!
2) Bagaimana pendapat Anda terhadap pernyataan berikut ini,
apakah Anda setuju/tidak setuju, dan berikan alasannya!

17
Manajemen Risiko TI

“Manajemen risiko harus bersifat sistematis dan dilaksanakan
secara konsisten tanpa terkecuali, dengan demikian maka kinerja
organisasi akan meningkat sekaligus mengurangi risiko.”
3) Bagaimana suatu penerapan manajemen risiko dapat
meningkatkan kinerja organisasi?
4) Dalam kerangka kerja manajemen risiko TI, proses apa saja yang
perlu dilakukan oleh pimpinan di bidang TI?
5) Gambarkan struktur manajemen risiko TI serta jelaskan fungsi dan
peran dari tiap-tiap komite/unit yang terlibat!

2.4 Contoh Kasus

PermenPAN-RB Nomor 5 Tahun 2020 tentang Pedoman Manajemen
Risiko Sistem Pemerintahan Berbasis Elektronik (SPBE) merupakan
contoh konkrit dari kerangka kerja Manajemen Risiko TI khususnya
dalam penerapan SPBE. Pedoman ini digunakan untuk memberikan
panduan kepada Instansi Pusat dan Pemerintah Daerah dalam menyusun
dan melaksanakan Manajemen Risiko SPBE. Instansi Pusat dan
Pemerintah Daerah dapat menyesuaikan karakteristik masing-masing
dengan berpedoman pada Peraturan Menteri ini.

18