Analisis Risiko Operasional Menggunakan Metode Cause ... · PDF filemenggunakan pendekatan...
Transcript of Analisis Risiko Operasional Menggunakan Metode Cause ... · PDF filemenggunakan pendekatan...
ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014 1
Journal of Business and Entrepreneurship
Analisis Risiko OperasionalMenggunakan Metode Cause-Effect
Studi Kasus Bagian Teknologi Informasi PT. XYZ
Herison MetinaroMagister Manajemen - Fakultas Ekonomi Universitas Indonesia
Dewi HanggraeniFakultas Ekonomi Universitas Indonesia
This thesis analyze the operational risk specifically information technology risk at PT.XYZ using Cause-Effect method. Cause-Effect method is a risk assessment method thatuses a logic of causality relationship in determining the possible risks that can occur.Implementation of ISO 27001 at the Information Technology unit of PT. XYZ generaterisk profiles that is used as the basis of the Information Technology Security ManagementSystem implementation. This study uses the risk profile of Information Technology unitPT. XYZ as the basis for quantifying operational risk assessment using the Cause-Effectmethod. PT. XYZ’s operational risk quantification begins by decomposing and formingsubmodel of technology risk profile information. Based on the risk parameters thatexist in PT. XYZ’s risk management policy, risk quantification simulations using LossDistribution Approach - Aggregation model can be done to provide illustrations onfinancial loss that may occur.
Keywords: Information Technology Risk, Cause-Effect method, ISO 27001, LossDistribution Approach - Aggregation model
Analisis Risiko OperasionalMenggunakan Metode Cause-Effect
Studi Kasus Bagian Teknologi Informasi PT. XYZ
PENDAHULUAN
PT. XYZ merupakan perusahaanyang bergerak dalam bidang energi danmemiki peran yang besar dalampenyediaan energi secara nasional. Dalammendukung aktifitas operasionalnya, PT.XYZ menggunakan sistem teknologiinformasi yang berbasis pada ERP
(Enterprise Resource Planning). Dengansemakin berkembangnya teknologi,semakin meningkat juga risiko terkaitdengan teknologi dan operasionalperusahaan. Menyadari hal tersebut, PT.XYZ mengambil langkah-langkah daninisiatif strategis. Langkah-langkahtersebut diantaranya adalah: Meng-integrasikan profil risiko perusahaan secara
2 ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
Journal of Business and Entrepreneurship
enterprise wide dengan profil risikooperasional khususnya yang terkait denganTeknologi Informasi.
Mengambil upaya manajerial yaitudengan mengaplikasikan sistem manajemenberbasis ISO 27001 terhadap infrastrukturTeknologi Informasi dan layanan TeknologiInformasi terutama yang dihantarkan olehUnit Teknologi Informasi. Selain tentu sajamemperkuat keamanan secara fisik danteknis dari layanan dan infrastrukturTeknologi Informasi
ISO 27001 sebagai sistem manajemenyang berfokus pada keamanan informasimenggunakan pendekatan manajemenrisiko dalam implementasinya. Pendekatanmanajemen risiko dilakukan melalui riskassessment atau penilaian risiko yangberbasis pada seluruh aset terkaitTeknologi Informasi dari lingkup yangdisertifikasi oleh suatu perusahaan. PT.XYZ dalam hal ini memutuskan untukmemperluas ruang lingkup sertifikat ISO27001 yang telah didapatkan sebelumnyayaitu dari ruang lingkup Data Centerdengan menambahkan ruang lingkup baruyaitu pada area kerja Unit TeknologiInformasi. Penambahan ruang lingkupdalam sertifikasi Sistem ManajemenKeamanan Informasi (SMKI) ISO 27001,membutuhkan adanya penilaian risikokhusus untuk lingkup yang ditambahkanyaitu Unit Teknologi Informasi.
Metode penilaian risiko yangdilakukan dalam ISO 27001 adalah denganmelihat risiko dari masing-masing asetterkait Teknologi Informasi berdasarkanancaman (threat), kelemahan(vulnerability) dan akibat/dampak (impact)yang membentuk suatu kemungkinanperistiwa/event risiko. Masing-masingevent risiko yang terbentuk dari ancaman,kelemahan dan dampak akan dilihatberdasarkan frekuensi (likelihood) sertadampaknya (impact) untuk menentukan
level risikonya. Penentuan level risikodilakukan secara semi kuantitatif yangdijabarkan lebih lanjut pada Bab 3.
Penelitian dari Chonawee Supatgiat,Chris Kenyon dan Lucas Heusler (2006)dalam karya tulisnya yang berjudul “Cause-to-Effect Operational Risk Quantificationand Management” memberikan suatu modeldan metode untuk mengkuantifikasi risikooperasional berbasiskan hubungan sebab-akibat (cause-to-effect). Penelitian inimemberikan suatu sudut pandang barudalam melakukan penghitungan risikooperasional yaitu dengan adanyadekomposisi yang membagi risiko-risikoyang ada dimana kemudian dilakukanagregasi dalam menghitung risikonya.
Metode kuantifikasi risiko yang adasaat ini umumnya dilakukan berdasarkanobservasi kerugian, dan besarnyakuantifikasi risiko operasional belum tentumencerminkan suatu hubungan sebabakibat yang menunjukkan bagaimanarisiko dapat dikurangi, dikelola dandikendalikan (Supatgiat, Kenyon, Heusler,2006). Hal ini menimbulkan adanya gapantara penentuan risiko yang umumnyadilakukan bersama risk taking unit, denganpenghitungan risiko operasionalnya.
RUMUSAN MASALAH
PT. XYZ dalam mengimplemen-tasikan Sistem Manajemen KeamananInformasi dengan ruang lingkup UnitTeknologi Informasi melakukan suatupenilaian risiko sesuai dengan standardISO 27001. Penilaian risiko yang dilakukanmerupakan penilaian risiko berbasis asetTeknologi Informasi perusahaan. Metodepenilaian risiko dikembangkan daristandard ISO 27001 dan disesuaikandengan kebijakan manajemen risikoperusahaan.
ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014 3
Journal of Business and Entrepreneurship
Penilaian risiko yang dilakukan olehUnit Teknologi Informasi PT. XYZ dalamkerangka implementasi ISO 27001 meng-hasilkan kurang lebih 373 kemungkinanrisiko yang dapat terjadi. Denganbanyaknya risiko yang ada, dibutuhkansuatu metode kuantifikasi risiko agar dapatmemberikan gambaran kerugian yangmungkin terjadi di masa mendatang. Saatini penilaian risiko yang dilakukan hanyamemberikan gambaran profil risiko yangada, tetapi belum sampai pada gambarankerugian yang mungkin dideritaperuusahaan.
Metode Kuantifikasi RisikoOperasional Berbasiskan metode Cause-Effect sebagaimana dituliskan dalam karyailmiahnya oleh Supatgiat, Kenyon danHeusler, memberikan model pengukuranrisiko Teknologi Informasi yang sangatbaik. Dari ratusan potensi risiko yang ada,banyak sekali risiko yang terkait danmemiliki hubungan cause-effect antara saturisiko dengan yang lain.
Dalam penelitian ini peneliti melakukankuantifikasi risiko operasional menggunakanmetod cause-effect ke dalam penilaian risikoyang dilakukan oleh PT. XYZ dalam rangkaimplementasi Sistem Manajemen KeamananInformasi ISO 27001. Peneliti mengharapkanagar penelitian ini dapat menjawab duapertanyaan di bawah:
Bagaimana melakukan kuantifikasirisiko Teknologi Informasi (TI) meng-gunakan metode Cause-effect pada PT.XYZ?
Bagaimana simulasi penghitungankerugian operasionalnya menggunakanLoss Distribution Approach - Aggregationmodel?
TUJUAN PENELITIAN
Penelitian yang dilakukan penelitimemiliki tujuan sebagai berikut:
• PT. XYZ dapat melakukan danmengembangkan model penilaian risikodengan metode cause-effect
• Memberikan gambaran nilai kerugianoperasional dengan menggunakan LossDistribution Approach - Aggregationmodel.
LANDASAN TEORI
Risiko Teknologi InformasiRisiko Teknologi Informasi dari sudut
pandang Ilmu Manajemen Risiko secaraumum dan industri finansial merupakanbagian dari risiko operasional. Daripenjabaran definisi risiko operasional padasub bab sebelumnya, dapat ditarikkesimpulan bahwa kegagalan sistemTeknologi Informasi termasuk danmerupakan bagian dari risiko operasional.
Pada dasarnya risiko TeknologiInformasi merupakan risiko bagi bisnissecara keseluruhan, terutama bagi bisnisyang terkait langsung dengan layananTeknologi Informasi. Ketika terjadigangguan maupun permasalahan terhadaplayanan Teknologi Informasi, maka baiksecara langsung ataupun tidak langsungakan mengganggu bisnis dan organisasisecara keseluruhan. Risiko TeknologiInformasi, menurut Risk IT Framework(ISACA, 2009) dapat dikategorikansebagai berikut:
• Risiko nilai/keuntungan penggunaanTeknologi Informasi (IT benefit/valueenablement risk)
• Risiko pelaksanaan program dan proyek(IT programme and project deliveryrisk)
• Risiko penghantaran operasional danlayanan Teknologi Informasi (IToperations and service delivery risk)
4 ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
Journal of Business and Entrepreneurship
Manajemen Risiko Teknologi Informasi
Pada dasarnya pengelolaan risikoTeknologi Informasi tidak berbeda denganpengelolaan risiko operasional secaraumum. Langkah-langkahnya meliputiidentifikasi risiko, pengukuran risiko, danpengendalian risiko. Perbedaan mendasarterkait dengan risiko Teknologi Informasiadalah sifatnya yang memerlukan keahliankhusus sehingga dibutuhkan penangananteknis terkait Teknologi Informasi dalamtindak lanjut untuk mengelola risikonya.
Manajemen risiko Perusahaan eratkaitannya dengan istilah yang sudah cukupsering kita dengar yaitu Good CorporateGovernance (GCG). Sama halnya denganitu, manajemen risiko Teknologi Informasierat kaitannya dengan Tata KelolaTeknologi Informasi atau seringdiistilahkan dengan IT Governance. Selainpenggunaan GCG (termasuk ITgovernance didalamnya), perusahaan/organisasi juga dapat melakukanpengelolaan risiko dengan menerapkanSistem Manajemen terkait TeknologiInformasi yang berbasis ISO. BeberapaSistem Manajemen terkait teknologi yangcukup populer saat ini adalah sebagaiberikut:
• ISO 27001 tahun 2005 InformationSecurity Management System (SistemManajemen Keamanan Informasi)
• ISO 20000 tahun 2011 InformationTechnology Service Management(Sistem Manajemen LayananInformasi)
• ISO 22301 tahun 2012 BusinessContinuity Management System(Sistem Manajemen KeberlangsunganBisnis)
Pendekatan proses merupakanpendekatan dan metode yang banyakdigunakan dalam penilaian risiko
Teknologi Informasi. Metode pendekatanini memulai identifikasi risiko berdasarkanaktifitas proses yang berjalan di organisasiTeknologi Informasi, baik yang sudahterdokumentasi ataupun belum. Umumnyadengan melihat dan menganalisis prosesdan aktivitas yang berjalan dalam suatuorganisasi, juga bisa dilakukan langkah-langkah optimasi proses yang biasa dikenaljuga dengan istilah process reengineering.Dalam kaitannya dengan manajemen risikoteknologi informasi, process reengineeringditujukan sebagai kontrol tambahan untukmeminimalkan/memitigasi risiko.
Sistem Manajemen KeamananInformasi ISO 27001
Sistem Manajemen KeamananInformasi (SMKI) ISO 27001 merupakansalah satu seri standar sistem manajemenyang dikeluarkan oleh badan standar duniaISO (The International Organization forStandardization). ISO sendiri merupakansuatu badan standar dunia yang dibentukuntuk meningkatkan perdaganganinternasional yang berkaitan denganperubahan barang dan jasa (Suardi, 2004).
ISO 27001 menggunakan pendekatanyang tidak berbeda dengan standar sistemmanajemen lain yaitu pendekatan berbasisproses. Standar ini mengadopsi pendekatanproses untuk membuat, mengimple-mentasi, mengoperasikan, memantau,meninjau, menjaga dan meningkatkanorganisasi SMKI secara keseluruhan (ISO/IEC, 2005).
Secara garis besar, pelaksanaansistem manajemen ISO 27001 meng-gunakan model Plan-Do-Check-Act(PDCA) yang sering juga disebut sebagaiDeming’s cycle. Model PDCA ini berfokuspada peningkatan yang berkelanjutan(continuous improvement). Model PDCApada ISO 27001 dapat dilihat pada Gambar2-3 di bawah.
ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014 5
Journal of Business and Entrepreneurship
Model PDCA pada gambar di bawah,dapat dijabarkan lebih lanjut sebagaiberikut (ISO 27001, 2012)
• PlanTahap/proses Plan merupakan tahapperencanaan sistem manajemen yangmencakup pembentukan kebijakan,tujuan, prosedur dan proses yang terkaitdengan manajemen risiko sertapeningkatan keamanan informasiperusahaan.
• DoProses Do merupakan tahapan dalamimplementasi kebijakan, proses,kontrol dan prosedur terkait Sistem
Manajemen Keamanan Informasi yangtelah dibuat
• CheckProses Check merupakan tahapanproses untuk melakukan penilaian danpengukuran (apabila memungkinkan)terhadap kinerja proses yang dilakukanterhadap kebijakan dan tujuanperusahaan.
• ActProses Act merupakan tahapan dalammelakukan tindakan pencegahan(preventive) dan perbaikan (corrective)berdasarkan audit yang dilakukanmaupun tinjauan dari manajemen.
Sumber: ISO/IEC (2005, vi)
Gambar 1. Model PDCA dalam Sistem Manajemen Keamanan Informasi
Sistem Manajemen KeamananInformasi ISO 27001 menggunakanpenilaian risiko sebagai dasar dan langkahawal pelaksanaan Sistem Manajemen yangberdasarkan kontrol. Dalam standard ISO27001 tahun 2005, metode dan langkahpenilaian risiko dijabarkan dalam klausautama (main clause) 4.2.1 c, d, e dan f.Metode penilaian risiko berbasis aset
tersebut dijabarkan lebih lanjut sebagaiberikut (ISO 27001, 2012) :
Mendefinisikan pendekatan penilaianrisiko yang sesuai bagi perusahaan.Termasuk didalamnya adalah metodepenilaian risiko dan kriteria untukmengidentifikasi level risiko yang dapatditoleransi
6 ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
Journal of Business and Entrepreneurship
Melakukan identifikasi risiko denganlangkah-langkah sebagai berikut:• Identifikasi semua aset yang masuk
dalam lingkup Sistem ManajemenKeamanan Informasi
• Identifikasi ancaman (threat) terhadapaset tersebut
• Identifikasi kelemahan (vulnerability)yang dapat dieksploitasi aset
• Identifikasi dampak (impact) dari sudutpandang keamanan (confidentiality),integritas (integrity) serta ketersediaan(availability) terhadap aset
• Melakukan analisis dan evaluasi risiko.Penentuan level risiko dilihat darifrekuensi (likelihood) dan tingkatkeparahan (severity).
• Identifikasi dan evaluasi opsi untukmenangani risiko. Kemungkinantindakan yang dapat dilakukan sesuaidengan yang telah dijabarkan pada SubBab 2.3 yaitu menerapkan kontrol yangsesuai (mitigasi risiko), menerimarisiko, menghindari risiko danmentransfer risiko.
Identifikasi RisikoDalam melakukan identifikasi, ada
beberapa hal yang harus dilakukan menurutISO 27001, yaitu:
a. Melakukan identifikasi asetAset merupakan segala sesuatu
yang memiliki nilai bagi perusahaandan karena itu harus dilindungi.Identifikasi aset dilakukan sesuaidengan lingkup dari implementasiSistem Manajemen KeamananInformasi. Pemilik aset harus jelasuntuk setiap aset yang diidentifikasi.
Pada dasarnya pembagian/klasifikasi aset diserahkan kepadamasing-masing perusahaan. Akan tetapiISO 27002 yang berisi panduanimplementasi Sistem Manajemen
Keamanan Informasi membagi asetmenjadi:• Aset Informasi• Aset perangkat lunak (software)• Aset fisik• Aset layanan (service)• Aset sumber daya manusia• Aset intangible
b. Melakukan identifikasi ancaman(threat)
Ancaman berpotensi untukmengganggu/membahayakan aset yangsudah didefinisikan sebelumnyasehingga dapat menggangguperusahaan secara keseluruhan.Ancaman dapat berasal dari alam(seperti bencana alam) maupun darimanusia dan sifatnya dapat terjadisecara disengaja ataupun kebetulan.
c. Melakukan identifikasi kelemahanKelemahan yang ada dapat
dieksploitasi oleh ancaman sehinggamembahayakan perusahaan secarakeseluruhan. Pada umumnyakelemahan yang ada tidak hanyaberbentuk teknis (seperti hardware,virus, software bug, dan lain-lain) tetapijuga dapat berbentuk non teknis (sepertiproses, prosedur, sumber daya manusia,dan lain-lain).
d. Melakukan identifikasi dampak/konsekuensi
Dampak dapat berupa kerugiansecara finansial, kerusakan secara fisik,kehilangan efektifitas operasional,reputasi, dan lain-lain.
Kuantifikasi Risiko Metode Cause-Effect
Metode penilaian risiko yangdilakukan saat ini, terutama risiko
ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014 7
Journal of Business and Entrepreneurship
operasional, umumnya hanya melihat padakerugiannya tetapi tidak sampai padahubungan cause-effect yang menyebabkanrisiko tersebut terjadi. Dalam melakukanpenghitungan risiko operasional secaraumum, hal ini memang dapat dilakukan.Tetapi ketika dilakukan penilaian risikoTeknologi Informasinya, maka akanditemui kesulitan terutama terkait denganvaluasi/penghitungan nilai kerugian yangdapat terjadi. Faktor besarnya investasifinansial terhadap aset Teknologi Informasidan penghitungan tingkat pengembalianinvestasi yang cukup rumit mempersulitpenghitungan risiko Teknologi Informasi.
Metode Cause-effect yang menjadidasar penelitian ini menggunakan suatualgoritma dekomposisi untuk menye-derhanakan model penilaian risiko yangberskala besar. Pada umumnya penilaianrisiko Teknologi Informasi dapatmemunculkan kemungkinan risiko yang
sangat banyak bahkan bisa sampai ribuanrisiko.
Dalam melakukan penilaian risiko,ketika semua jenis risiko dimodelkanmenggunakan hubungan cause-effect, akanmenghasilkan sebuah model yang sangatbesar dan rumit. Model yang besar danrumit tersebut dapat disederhanakanmelalui dekomposisi menjadi submodelyang lebih kecil. Untuk setiap submodel,kegagalan yang terjadi ditranslasikanmenjadi kerugian finansial.
Grafik InterdependensiGrafik interdependesi dibuat untuk
memfasilitasi dekomposisi risiko menjadisubmodel-submodel yang lebih kecil.Gambar dibawah menjelaskan mengenaiproses untuk menghubungkan antarapenyebab kegagalan (root cause of failure),kejadian kegagalan (failure event) sertadampak (impact type) bagi perusahaan.
Sumber: Supatgiat, Kenyon, Heusler (2006, 23)
Gambar 2. Grafik Interdependensi
Melalui grafik interdependensi diatas, risiko dapat dikelompokkan ke dalambeberapa bagian berdasarkan dampaknyabagi perusahaan. Dengan pengelompokanyang dilakukan maka akan lebih mudahbagi perusahaan dalam melakukanpenghitungan risikonya.
Dekomposisi Risiko
Dekomposisi risiko dilakukan untukmenghasilkan submodel-submodelsebagaimana terlihat dalam gambar dibawah.
8 ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
Journal of Business and Entrepreneurship
Sumber: Supatgiat, Kenyon, Heusler (2006, 21)
Gambar 3. Konsep Dekomposisi Risiko Operasional
METODE PENELITIAN
Penilaian Risiko Menggunakan ISO27001
Sudut pandang penilaian risiko padaStandar ISO 27001 adalah sebagai dasar/acuan untuk melakukan tindak lanjutterhadap risiko yang ada. Sebagai suatusistem manajemen yang menggunakankonsep PDCA berbasis perbaikanberkelanjutan (continous improvement),hasil pengukuran risiko dalam bentukkuantitaif bukan merupakan hal yangutama. Fokus utama Standar ISO 27001
adalah pada peningkatan berkelanjutanterutama pada proses yang mendukungmanajemen keamanan informasi.
Penilaian risiko dalam SistemManajemen Keamanan Informasi ISO27001 hanyalah merupakan salah satu darisekian banyak proses yang harusdilakukan. Pada karya akhir ini, penelitimengambil pendekatan penilaian risikoberbasis aset yang digunakan dalamStandar ISO 27001.
ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014 9
Journal of Business and Entrepreneurship
Kuantifikasi Risiko MenggunakanMetode Cause-Effect
Sesuai dengan jurnal internasionalberjudul Cause to Effect Operational RiskQuantification and Management(Supatgiat, Kenyon, Heusler, 2006), adabeberapa langkah yang harus dilakukanuntuk dapat melakukan kuantifikasi risikosebagaimana terlihat dalam Gambar 3-2.
Sumber: Peneliti, Diolah Sendiri
Gambar 4. Tahap Penilaian Risiko ISO 27001
Sumber: Peneliti, Diolah Sendiri
Gambar 5. Tahap Kuantifikasi RisikoMetode Cause-Effect
10 ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
Journal of Business and Entrepreneurship
HASIL PENELITIAN
Profil RisikoDalam penerapan Sistem Manajemen
Keamanan Informasi, setelah dilakukanpenilaian risiko sebenarnya masih adabeberapa tahapan lain seperti penentuan risktreatment plan, statement of applicability,dan lain-lain. Akan tetapi pada karya akhirini, peneliti tidak membahas mengenai haltersebut karena fokus utama adalah padakuantifikasi risiko dengan pendekatan
cause-effect. Penilaian risiko berdasarkanISO 27001 digunakan sebagai data awaldalam pendekatan cause-effect.
Gambar 3-2 memberikan ilustrasimengenai jumlah dan persentase risikoyang didapatkan dari penilaian risiko. Hasilpenilaian risiko menunjukkan bahwa totaljumlah risiko yang tidak dapat diterimaPerusahaan (not acceptable) adalahsebanyak 107 risiko atau sekitar 28,7% darikeseluruhan risiko yang berhasildiidentifikasi.
Tabel 1. Ringkasan Profil Risiko Natural PT. XYZ
Sumber: Risk Summary PT. XYZ (Diolah sendiri)
Setelah dilakukan pemetaan terhadapprofil risiko sebelumnya, maka dilakukanpembuatan grafik interdepensi dari profilrisiko yang ada. Grafik interdependensimemetakan hubungan antara penyebabkegagalan (root cause of failure), tipekejadian kegagalan (failure event types)serta tipe dampaknya (independent impacttypes).
Grafik interdependensi profil risikoPT. XYZ dapat dilihat pada gambar 4-2.Setelah dilakukan dekomposisi dandipetakan ke dalam grafik interdependensi,ada 5 kelompok root cause of failure, 5
kelompok failure event types, dan 6kelompok independent impact types.Masing-masing kelompok dibedakandalam pewarnaan untuk mempermudahklasifikasi.
Antara root cause of failure danfailure event types terdapat suatuhubungan/relasi yang disebut sebagaiketergantungan kegagalan (failuredependency). Sehingga sebagai contohsuatu kejadian ilegal akses terhadapdokumen memiliki ketergantunganterhadap tiga aspek yaitu ketidakteraturandalam penghapusan hak akses, ketidak-
ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014 11
Journal of Business and Entrepreneurship
sempurnaan dalam pendataan aset, danketidaksempurnaan dalam PelaksanaanClean Desk & Clean Screen Policy. Relasifailure dependency memiliki hubunganmany to many.
Antara failure event types danindependent impact types terdapat suaturelasi yang disebut sebagai keter-gantungan dampak (impact dependency).
Sehingga sebagai contoh untuk suatukejadian ilegal akses terhadap dokumendan misshandling dokumen, mengacupada dampak berupa pencurian hardware/informasi oleh pihak luar. Denganhubungan many to many, maka keduafailure event tersebut juga bisamenimbulkan dampak penyalahgunaan/kebocoran informasi kepada pihak luar.
Sumber: Peneliti (Diolah sendiri)
Gambar 6. Grafik Interdependensi Profil Risiko PT. XYZ
12 ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
Journal of Business and Entrepreneurship
Dekomposisi RisikoDari dekomposisi risiko yang
dilakukan, terdapat 6 submodel yangkemudian direpresentasikan dalam 6
Sumber: Peneliti (Diolah Sendiri)
Gambar 7. Model Dekomposisi Risiko Teknologi Informasi
simulasi kerugian. Submodel yangdidapatkan dari kurang lebih 373 risikoyang diidentifikasi dapat dirangkumsebagai berikut:
Aggregated Loss Distribution danPerhitungan VaR Risiko TeknologiInformasi
Penggunaan metode Aggregated LossDistribution pada simulasi ini merupakanlangkah selanjutnya dari metode Cause-Effect. Sebenarnya perhitungan distribusikerugian tidak secara spesifik dijelaskanmenggunakan metode tertentu, tetapipeneliti melihat bahwa yang palingmemungkinkan dari simulasi yang
dilakukan adalah dengan metode LDA-aggregation model.
Dengan tidak adanya data historis danpengujian distribusi yang dapat dilakukan,maka peneliti mengambil asumsi terhadapdistribusi yang ada sebagaimana telahdisinggung dalam sub bab 3.2.3. Dalamkarya akhir ini untuk frekuensi digunakandistribusi Poisson, sementara untukseverity digunakan distribusi lognormal.
Sumber: Peneliti (Diolah sendiri)
Gambar 8. Parameter Statistik Distribusi
ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014 13
Journal of Business and Entrepreneurship
Untuk mencari frequency of lossuntuk satu periode yang akan datang akandilakukan dengan bantuan aplikasi Exceldengan simulasi sebanyak 10.000 kalidengan menginput nilai lambda untukgenerate random number frequency.
Demikian pula untuk nilai severity of lossdistribution untuk satu periode yang akandatang, ditentukan dari besarnya nilairandom berdasarkan parameter distribusilognormal yaitu mean dan standar deviasi.Hasil simulasi dapat dilihat pada gambar4-5.
Sumber: Peneliti (Dikelola sendiri)Gambar 9. Simulasi Montecarlo dengan metode LDA - Aggregation Approach
Dari data hasil simulasi di atas,didapatkan untuk nilai kerugian denganVaR 99% adalah mencapai 825,236 jutaRupiah. Hal ini cukup masuk akalmengingat secara operasional, UnitTeknologi Informasi PT. XYZ yang masukdalam lingkup penilaian risiko tidakterekspos pada risiko yang dapatmenghasilkan kerugian yang besar.
Berdasarkan risk appetite (selerarisiko) yang diterjemahkan dalam nilaiBatas Toleransi Risiko (BTR) seperti dapatdilihat pada gambar 4.6 di bawah, makanilai risiko diatas termasuk dalam kategoriminor untuk VaR 99%. Secara keseluruhannilai kerugian risiko teknologi informasiyang disimulasikan tidak berdampaksignifikan untuk PT. XYZ.
Sumber: Peneliti, Diolah sendiriGambar 10. Simulasi Resiko
14 ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
Journal of Business and Entrepreneurship
Dalam simulasi penghitungan risikoyang dilakukan, perlu diperhatikan bahwasifat simulasinya sendiri adalah untukmemberikan gambaran nilai kerugianrisiko teknologi informasi. Seperti telahdisebutkan sebelumnya bahwa parameterdan data kerugian yang diambil masihbersifat asumsi peneliti karena belumlengkapnya data yang ada pada PT. XYZ.Untuk mendapatkan nilai kerugian risikoyang lebih akurat pada PT. XYZ, makaperlu dilakukan perekaman data historisyang lebih lengkap terutama frekuensikejadian risiko dan nilai kerugian sebagaidampak dari kejadian risiko.
KESIMPULAN & SARAN
KesimpulanAdapun beberapa kesimpulan yang
dapat disampaikan adalah sebagai berikut:1. Risiko teknologi informasi
merupakan bagian dari risikooperasional yang perlu diperhatikansecara khusus. Berdasarkan penelitianyang dilakukan, dapat disimpulkanbahwa metode Cause-effect sangatberguna dan membantu dalamkuantifikasi risiko operasionalterutama risiko Teknologi InformasiPT. XYZ. Metode ini dapatdigunakan oleh perusahaan lain yangbertujuan untuk mendapatkan profilrisiko yang lebih ringkas danmengukur kerugian/loss yang terjadikarena risiko Teknologi Informasi.
2. Simulasi kuantifikasi risikooperasional yang dihasilkan,memberikan gambaran kerugianoperasional yang dapat terjadi secarakuantitatif. Berdasarkan penetapanBatas Toleransi Risiko sesuai denganrisk appetite PT. XYZ, maka kerugianyang ditimbulkan secara keseluruhan
berada dalam kategori minor.Sehingga secara keseluruhan dapatdikatakan bahwa risiko yang terjadipada Unit Teknologi Informasi PT.XYZ tidak terlalu memberikandampak yang signifikan.
SaranAdapun beberapa saran yang dapat
disampaikan adalah sebagai berikut:1. Metode Cause-effect yang
menggunakan dekomposisi dalammenciptakan submodel berperansangat baik dalam mensimplifikasiprofil risiko. Namun dibutuhkan datahistoris yang mencukupi untuk dapatmembuat pengukuran risiko yangakurat. PT. XYZ belum memiliki datahistoris yang mencukupi untuk dapatdilakukan penghitungan secaraakurat. Karena itu disarankan agarprofil risiko yang sudah ada selaludipantau dan direkam setiap kaliterjadi peristiwa risiko untukmendapatkan akurasi frekuensikejadian risiko.
2. Untuk berikutnya, disarankan jugabagi PT. XYZ untuk dapatmengembangkan metode penilaianrisikonya terutama dalam penentuandampak kerugian secara kuantitatifpada setiap peristiwa risiko teknologiinformasi. Sehingga pencatatanhistoris nominal kerugian daridampak (impact) setiap peristiwarisiko dapat menjadi lebih akurat.
3. Bagi perusahaan lain baik yangbergerak dalam bidang energi ataupunnon energi, dapat menggunakanmetode Cause Effect untukmenghasilkan pengukuran risikoteknologi informasi secara kuantitatif.Penggunaan metode Cause-Effectdapat dikombinasikan denganframework penilaian risiko yang ada
ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014 15
Journal of Business and Entrepreneurship
pada perusahaan baik penilaian yangberbasis aset maupun proses. Profilrisiko yang dihasilkan dari frameworktiap perusahaan kemudiandikombinasikan dengan metodeCause-Effect, untuk kemudiandilakukan kuantifikasi risikomenggunakan pendekatan penilaianrisiko operasional secara statistik,baik dengan Loss DistributionApproach (LDA), Extreme ValueTheory (EVT), dan lain-lain.
DAFTAR PUSTAKA
Basel Committee on Banking Supervision.(2003). The new Basel capital accord.BIS, Basel, Switzerland.
Global Association of Risk Professionals& Badan Sertifikasi ManajemenRisiko. (2008). Workbook 1-3.BSMR. Jakarta.
Herwartz, H., & Waichman, I. (2010). Acomparison of bootstrap and Monte-Carlo testing approaches to value-at-risk diagnosis. Comput Stat, 25, 725-732
ISACA. (2009). The Risk IT Framework.Illinois: ISACA
ISO 31000. (2009). Risk management —Principles and guidelines.Switzerland: ISO
ISO/IEC 27001. (2005). InformationTechnology - Security Techniques -Information Security ManagementSystems- Requirements. Switzerland:ISO
Lampiran Surat Edaran Bank IndonesiaNo. 9/30/DPNP Pedoman PenerapaanManajemen Risiko dalamPenggunaan Teknologi Informasioleh Bank Umum
Lewis, N.D.C. (2004). Operational Riskwith Excel and VBA AppliedStatistical Methods for RiskManagement. New Jersey: JohnWilley& Sons
Mun, J. (2006). Modeling Risk. NewJersey: John Willey& Sons
Muslich, M. (2007). Manajemen RisikoOperasional Teori & Praktik. Jakarta:Bumi Aksara
Peraturan Bank Indonesia No. 9/15/PBI/2007 Tentang Penerapan ManajemenRisiko dalam Penggunaan TeknologiInformasi oleh Bank Umum
Suardi, R. (2004). Sistem ManajemenMutu ISO 9000:2000 Penerapannyauntuk Mencapai TQM. Jakarta: PPM
Supatgiat, C., Kenyon, C., & Heusler, L.(2006). Cause-to-Effect Operational-Risk Quantification andManagement. Risk Management Vol.8, pp 16-42