Analisis Risiko Operasional Menggunakan Metode Cause ... · PDF filemenggunakan pendekatan...

ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014 1

Journal of Business and Entrepreneurship

Analisis Risiko OperasionalMenggunakan Metode Cause-Effect

Studi Kasus Bagian Teknologi Informasi PT. XYZ

Herison MetinaroMagister Manajemen - Fakultas Ekonomi Universitas Indonesia

Dewi HanggraeniFakultas Ekonomi Universitas Indonesia

This thesis analyze the operational risk specifically information technology risk at PT.XYZ using Cause-Effect method. Cause-Effect method is a risk assessment method thatuses a logic of causality relationship in determining the possible risks that can occur.Implementation of ISO 27001 at the Information Technology unit of PT. XYZ generaterisk profiles that is used as the basis of the Information Technology Security ManagementSystem implementation. This study uses the risk profile of Information Technology unitPT. XYZ as the basis for quantifying operational risk assessment using the Cause-Effectmethod. PT. XYZ’s operational risk quantification begins by decomposing and formingsubmodel of technology risk profile information. Based on the risk parameters thatexist in PT. XYZ’s risk management policy, risk quantification simulations using LossDistribution Approach - Aggregation model can be done to provide illustrations onfinancial loss that may occur.

Keywords: Information Technology Risk, Cause-Effect method, ISO 27001, LossDistribution Approach - Aggregation model

Analisis Risiko OperasionalMenggunakan Metode Cause-Effect

Studi Kasus Bagian Teknologi Informasi PT. XYZ

PENDAHULUAN

PT. XYZ merupakan perusahaanyang bergerak dalam bidang energi danmemiki peran yang besar dalampenyediaan energi secara nasional. Dalammendukung aktifitas operasionalnya, PT.XYZ menggunakan sistem teknologiinformasi yang berbasis pada ERP

(Enterprise Resource Planning). Dengansemakin berkembangnya teknologi,semakin meningkat juga risiko terkaitdengan teknologi dan operasionalperusahaan. Menyadari hal tersebut, PT.XYZ mengambil langkah-langkah daninisiatif strategis. Langkah-langkahtersebut diantaranya adalah: Meng-integrasikan profil risiko perusahaan secara

2 ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014


enterprise wide dengan profil risikooperasional khususnya yang terkait denganTeknologi Informasi.

Mengambil upaya manajerial yaitudengan mengaplikasikan sistem manajemenberbasis ISO 27001 terhadap infrastrukturTeknologi Informasi dan layanan TeknologiInformasi terutama yang dihantarkan olehUnit Teknologi Informasi. Selain tentu sajamemperkuat keamanan secara fisik danteknis dari layanan dan infrastrukturTeknologi Informasi

ISO 27001 sebagai sistem manajemenyang berfokus pada keamanan informasimenggunakan pendekatan manajemenrisiko dalam implementasinya. Pendekatanmanajemen risiko dilakukan melalui riskassessment atau penilaian risiko yangberbasis pada seluruh aset terkaitTeknologi Informasi dari lingkup yangdisertifikasi oleh suatu perusahaan. PT.XYZ dalam hal ini memutuskan untukmemperluas ruang lingkup sertifikat ISO27001 yang telah didapatkan sebelumnyayaitu dari ruang lingkup Data Centerdengan menambahkan ruang lingkup baruyaitu pada area kerja Unit TeknologiInformasi. Penambahan ruang lingkupdalam sertifikasi Sistem ManajemenKeamanan Informasi (SMKI) ISO 27001,membutuhkan adanya penilaian risikokhusus untuk lingkup yang ditambahkanyaitu Unit Teknologi Informasi.

Metode penilaian risiko yangdilakukan dalam ISO 27001 adalah denganmelihat risiko dari masing-masing asetterkait Teknologi Informasi berdasarkanancaman (threat), kelemahan(vulnerability) dan akibat/dampak (impact)yang membentuk suatu kemungkinanperistiwa/event risiko. Masing-masingevent risiko yang terbentuk dari ancaman,kelemahan dan dampak akan dilihatberdasarkan frekuensi (likelihood) sertadampaknya (impact) untuk menentukan

level risikonya. Penentuan level risikodilakukan secara semi kuantitatif yangdijabarkan lebih lanjut pada Bab 3.

Penelitian dari Chonawee Supatgiat,Chris Kenyon dan Lucas Heusler (2006)dalam karya tulisnya yang berjudul “Cause-to-Effect Operational Risk Quantificationand Management” memberikan suatu modeldan metode untuk mengkuantifikasi risikooperasional berbasiskan hubungan sebab-akibat (cause-to-effect). Penelitian inimemberikan suatu sudut pandang barudalam melakukan penghitungan risikooperasional yaitu dengan adanyadekomposisi yang membagi risiko-risikoyang ada dimana kemudian dilakukanagregasi dalam menghitung risikonya.

Metode kuantifikasi risiko yang adasaat ini umumnya dilakukan berdasarkanobservasi kerugian, dan besarnyakuantifikasi risiko operasional belum tentumencerminkan suatu hubungan sebabakibat yang menunjukkan bagaimanarisiko dapat dikurangi, dikelola dandikendalikan (Supatgiat, Kenyon, Heusler,2006). Hal ini menimbulkan adanya gapantara penentuan risiko yang umumnyadilakukan bersama risk taking unit, denganpenghitungan risiko operasionalnya.

RUMUSAN MASALAH

PT. XYZ dalam mengimplemen-tasikan Sistem Manajemen KeamananInformasi dengan ruang lingkup UnitTeknologi Informasi melakukan suatupenilaian risiko sesuai dengan standardISO 27001. Penilaian risiko yang dilakukanmerupakan penilaian risiko berbasis asetTeknologi Informasi perusahaan. Metodepenilaian risiko dikembangkan daristandard ISO 27001 dan disesuaikandengan kebijakan manajemen risikoperusahaan.



Penilaian risiko yang dilakukan olehUnit Teknologi Informasi PT. XYZ dalamkerangka implementasi ISO 27001 meng-hasilkan kurang lebih 373 kemungkinanrisiko yang dapat terjadi. Denganbanyaknya risiko yang ada, dibutuhkansuatu metode kuantifikasi risiko agar dapatmemberikan gambaran kerugian yangmungkin terjadi di masa mendatang. Saatini penilaian risiko yang dilakukan hanyamemberikan gambaran profil risiko yangada, tetapi belum sampai pada gambarankerugian yang mungkin dideritaperuusahaan.

Metode Kuantifikasi RisikoOperasional Berbasiskan metode Cause-Effect sebagaimana dituliskan dalam karyailmiahnya oleh Supatgiat, Kenyon danHeusler, memberikan model pengukuranrisiko Teknologi Informasi yang sangatbaik. Dari ratusan potensi risiko yang ada,banyak sekali risiko yang terkait danmemiliki hubungan cause-effect antara saturisiko dengan yang lain.

Dalam penelitian ini peneliti melakukankuantifikasi risiko operasional menggunakanmetod cause-effect ke dalam penilaian risikoyang dilakukan oleh PT. XYZ dalam rangkaimplementasi Sistem Manajemen KeamananInformasi ISO 27001. Peneliti mengharapkanagar penelitian ini dapat menjawab duapertanyaan di bawah:

Bagaimana melakukan kuantifikasirisiko Teknologi Informasi (TI) meng-gunakan metode Cause-effect pada PT.XYZ?

Bagaimana simulasi penghitungankerugian operasionalnya menggunakanLoss Distribution Approach - Aggregationmodel?

TUJUAN PENELITIAN

Penelitian yang dilakukan penelitimemiliki tujuan sebagai berikut:

• PT. XYZ dapat melakukan danmengembangkan model penilaian risikodengan metode cause-effect

• Memberikan gambaran nilai kerugianoperasional dengan menggunakan LossDistribution Approach - Aggregationmodel.

LANDASAN TEORI

Risiko Teknologi InformasiRisiko Teknologi Informasi dari sudut

pandang Ilmu Manajemen Risiko secaraumum dan industri finansial merupakanbagian dari risiko operasional. Daripenjabaran definisi risiko operasional padasub bab sebelumnya, dapat ditarikkesimpulan bahwa kegagalan sistemTeknologi Informasi termasuk danmerupakan bagian dari risiko operasional.

Pada dasarnya risiko TeknologiInformasi merupakan risiko bagi bisnissecara keseluruhan, terutama bagi bisnisyang terkait langsung dengan layananTeknologi Informasi. Ketika terjadigangguan maupun permasalahan terhadaplayanan Teknologi Informasi, maka baiksecara langsung ataupun tidak langsungakan mengganggu bisnis dan organisasisecara keseluruhan. Risiko TeknologiInformasi, menurut Risk IT Framework(ISACA, 2009) dapat dikategorikansebagai berikut:

• Risiko nilai/keuntungan penggunaanTeknologi Informasi (IT benefit/valueenablement risk)

• Risiko pelaksanaan program dan proyek(IT programme and project deliveryrisk)

• Risiko penghantaran operasional danlayanan Teknologi Informasi (IToperations and service delivery risk)



Manajemen Risiko Teknologi Informasi

Pada dasarnya pengelolaan risikoTeknologi Informasi tidak berbeda denganpengelolaan risiko operasional secaraumum. Langkah-langkahnya meliputiidentifikasi risiko, pengukuran risiko, danpengendalian risiko. Perbedaan mendasarterkait dengan risiko Teknologi Informasiadalah sifatnya yang memerlukan keahliankhusus sehingga dibutuhkan penangananteknis terkait Teknologi Informasi dalamtindak lanjut untuk mengelola risikonya.

Manajemen risiko Perusahaan eratkaitannya dengan istilah yang sudah cukupsering kita dengar yaitu Good CorporateGovernance (GCG). Sama halnya denganitu, manajemen risiko Teknologi Informasierat kaitannya dengan Tata KelolaTeknologi Informasi atau seringdiistilahkan dengan IT Governance. Selainpenggunaan GCG (termasuk ITgovernance didalamnya), perusahaan/organisasi juga dapat melakukanpengelolaan risiko dengan menerapkanSistem Manajemen terkait TeknologiInformasi yang berbasis ISO. BeberapaSistem Manajemen terkait teknologi yangcukup populer saat ini adalah sebagaiberikut:

• ISO 27001 tahun 2005 InformationSecurity Management System (SistemManajemen Keamanan Informasi)

• ISO 20000 tahun 2011 InformationTechnology Service Management(Sistem Manajemen LayananInformasi)

• ISO 22301 tahun 2012 BusinessContinuity Management System(Sistem Manajemen KeberlangsunganBisnis)

Pendekatan proses merupakanpendekatan dan metode yang banyakdigunakan dalam penilaian risiko

Teknologi Informasi. Metode pendekatanini memulai identifikasi risiko berdasarkanaktifitas proses yang berjalan di organisasiTeknologi Informasi, baik yang sudahterdokumentasi ataupun belum. Umumnyadengan melihat dan menganalisis prosesdan aktivitas yang berjalan dalam suatuorganisasi, juga bisa dilakukan langkah-langkah optimasi proses yang biasa dikenaljuga dengan istilah process reengineering.Dalam kaitannya dengan manajemen risikoteknologi informasi, process reengineeringditujukan sebagai kontrol tambahan untukmeminimalkan/memitigasi risiko.

Sistem Manajemen KeamananInformasi ISO 27001

Sistem Manajemen KeamananInformasi (SMKI) ISO 27001 merupakansalah satu seri standar sistem manajemenyang dikeluarkan oleh badan standar duniaISO (The International Organization forStandardization). ISO sendiri merupakansuatu badan standar dunia yang dibentukuntuk meningkatkan perdaganganinternasional yang berkaitan denganperubahan barang dan jasa (Suardi, 2004).

ISO 27001 menggunakan pendekatanyang tidak berbeda dengan standar sistemmanajemen lain yaitu pendekatan berbasisproses. Standar ini mengadopsi pendekatanproses untuk membuat, mengimple-mentasi, mengoperasikan, memantau,meninjau, menjaga dan meningkatkanorganisasi SMKI secara keseluruhan (ISO/IEC, 2005).

Secara garis besar, pelaksanaansistem manajemen ISO 27001 meng-gunakan model Plan-Do-Check-Act(PDCA) yang sering juga disebut sebagaiDeming’s cycle. Model PDCA ini berfokuspada peningkatan yang berkelanjutan(continuous improvement). Model PDCApada ISO 27001 dapat dilihat pada Gambar2-3 di bawah.



Model PDCA pada gambar di bawah,dapat dijabarkan lebih lanjut sebagaiberikut (ISO 27001, 2012)

• PlanTahap/proses Plan merupakan tahapperencanaan sistem manajemen yangmencakup pembentukan kebijakan,tujuan, prosedur dan proses yang terkaitdengan manajemen risiko sertapeningkatan keamanan informasiperusahaan.

• DoProses Do merupakan tahapan dalamimplementasi kebijakan, proses,kontrol dan prosedur terkait Sistem

Manajemen Keamanan Informasi yangtelah dibuat

• CheckProses Check merupakan tahapanproses untuk melakukan penilaian danpengukuran (apabila memungkinkan)terhadap kinerja proses yang dilakukanterhadap kebijakan dan tujuanperusahaan.

• ActProses Act merupakan tahapan dalammelakukan tindakan pencegahan(preventive) dan perbaikan (corrective)berdasarkan audit yang dilakukanmaupun tinjauan dari manajemen.

Sumber: ISO/IEC (2005, vi)

Gambar 1. Model PDCA dalam Sistem Manajemen Keamanan Informasi

Sistem Manajemen KeamananInformasi ISO 27001 menggunakanpenilaian risiko sebagai dasar dan langkahawal pelaksanaan Sistem Manajemen yangberdasarkan kontrol. Dalam standard ISO27001 tahun 2005, metode dan langkahpenilaian risiko dijabarkan dalam klausautama (main clause) 4.2.1 c, d, e dan f.Metode penilaian risiko berbasis aset

tersebut dijabarkan lebih lanjut sebagaiberikut (ISO 27001, 2012) :

Mendefinisikan pendekatan penilaianrisiko yang sesuai bagi perusahaan.Termasuk didalamnya adalah metodepenilaian risiko dan kriteria untukmengidentifikasi level risiko yang dapatditoleransi



Melakukan identifikasi risiko denganlangkah-langkah sebagai berikut:• Identifikasi semua aset yang masuk

dalam lingkup Sistem ManajemenKeamanan Informasi

• Identifikasi ancaman (threat) terhadapaset tersebut

• Identifikasi kelemahan (vulnerability)yang dapat dieksploitasi aset

• Identifikasi dampak (impact) dari sudutpandang keamanan (confidentiality),integritas (integrity) serta ketersediaan(availability) terhadap aset

• Melakukan analisis dan evaluasi risiko.Penentuan level risiko dilihat darifrekuensi (likelihood) dan tingkatkeparahan (severity).

• Identifikasi dan evaluasi opsi untukmenangani risiko. Kemungkinantindakan yang dapat dilakukan sesuaidengan yang telah dijabarkan pada SubBab 2.3 yaitu menerapkan kontrol yangsesuai (mitigasi risiko), menerimarisiko, menghindari risiko danmentransfer risiko.

Identifikasi RisikoDalam melakukan identifikasi, ada

beberapa hal yang harus dilakukan menurutISO 27001, yaitu:

a. Melakukan identifikasi asetAset merupakan segala sesuatu

yang memiliki nilai bagi perusahaandan karena itu harus dilindungi.Identifikasi aset dilakukan sesuaidengan lingkup dari implementasiSistem Manajemen KeamananInformasi. Pemilik aset harus jelasuntuk setiap aset yang diidentifikasi.

Pada dasarnya pembagian/klasifikasi aset diserahkan kepadamasing-masing perusahaan. Akan tetapiISO 27002 yang berisi panduanimplementasi Sistem Manajemen

Keamanan Informasi membagi asetmenjadi:• Aset Informasi• Aset perangkat lunak (software)• Aset fisik• Aset layanan (service)• Aset sumber daya manusia• Aset intangible

b. Melakukan identifikasi ancaman(threat)

Ancaman berpotensi untukmengganggu/membahayakan aset yangsudah didefinisikan sebelumnyasehingga dapat menggangguperusahaan secara keseluruhan.Ancaman dapat berasal dari alam(seperti bencana alam) maupun darimanusia dan sifatnya dapat terjadisecara disengaja ataupun kebetulan.

c. Melakukan identifikasi kelemahanKelemahan yang ada dapat

dieksploitasi oleh ancaman sehinggamembahayakan perusahaan secarakeseluruhan. Pada umumnyakelemahan yang ada tidak hanyaberbentuk teknis (seperti hardware,virus, software bug, dan lain-lain) tetapijuga dapat berbentuk non teknis (sepertiproses, prosedur, sumber daya manusia,dan lain-lain).

d. Melakukan identifikasi dampak/konsekuensi

Dampak dapat berupa kerugiansecara finansial, kerusakan secara fisik,kehilangan efektifitas operasional,reputasi, dan lain-lain.

Kuantifikasi Risiko Metode Cause-Effect

Metode penilaian risiko yangdilakukan saat ini, terutama risiko



operasional, umumnya hanya melihat padakerugiannya tetapi tidak sampai padahubungan cause-effect yang menyebabkanrisiko tersebut terjadi. Dalam melakukanpenghitungan risiko operasional secaraumum, hal ini memang dapat dilakukan.Tetapi ketika dilakukan penilaian risikoTeknologi Informasinya, maka akanditemui kesulitan terutama terkait denganvaluasi/penghitungan nilai kerugian yangdapat terjadi. Faktor besarnya investasifinansial terhadap aset Teknologi Informasidan penghitungan tingkat pengembalianinvestasi yang cukup rumit mempersulitpenghitungan risiko Teknologi Informasi.

Metode Cause-effect yang menjadidasar penelitian ini menggunakan suatualgoritma dekomposisi untuk menye-derhanakan model penilaian risiko yangberskala besar. Pada umumnya penilaianrisiko Teknologi Informasi dapatmemunculkan kemungkinan risiko yang

sangat banyak bahkan bisa sampai ribuanrisiko.

Dalam melakukan penilaian risiko,ketika semua jenis risiko dimodelkanmenggunakan hubungan cause-effect, akanmenghasilkan sebuah model yang sangatbesar dan rumit. Model yang besar danrumit tersebut dapat disederhanakanmelalui dekomposisi menjadi submodelyang lebih kecil. Untuk setiap submodel,kegagalan yang terjadi ditranslasikanmenjadi kerugian finansial.

Grafik InterdependensiGrafik interdependesi dibuat untuk

memfasilitasi dekomposisi risiko menjadisubmodel-submodel yang lebih kecil.Gambar dibawah menjelaskan mengenaiproses untuk menghubungkan antarapenyebab kegagalan (root cause of failure),kejadian kegagalan (failure event) sertadampak (impact type) bagi perusahaan.

Sumber: Supatgiat, Kenyon, Heusler (2006, 23)

Gambar 2. Grafik Interdependensi

Melalui grafik interdependensi diatas, risiko dapat dikelompokkan ke dalambeberapa bagian berdasarkan dampaknyabagi perusahaan. Dengan pengelompokanyang dilakukan maka akan lebih mudahbagi perusahaan dalam melakukanpenghitungan risikonya.

Dekomposisi Risiko

Dekomposisi risiko dilakukan untukmenghasilkan submodel-submodelsebagaimana terlihat dalam gambar dibawah.



Sumber: Supatgiat, Kenyon, Heusler (2006, 21)

Gambar 3. Konsep Dekomposisi Risiko Operasional

METODE PENELITIAN

Penilaian Risiko Menggunakan ISO27001

Sudut pandang penilaian risiko padaStandar ISO 27001 adalah sebagai dasar/acuan untuk melakukan tindak lanjutterhadap risiko yang ada. Sebagai suatusistem manajemen yang menggunakankonsep PDCA berbasis perbaikanberkelanjutan (continous improvement),hasil pengukuran risiko dalam bentukkuantitaif bukan merupakan hal yangutama. Fokus utama Standar ISO 27001

adalah pada peningkatan berkelanjutanterutama pada proses yang mendukungmanajemen keamanan informasi.

Penilaian risiko dalam SistemManajemen Keamanan Informasi ISO27001 hanyalah merupakan salah satu darisekian banyak proses yang harusdilakukan. Pada karya akhir ini, penelitimengambil pendekatan penilaian risikoberbasis aset yang digunakan dalamStandar ISO 27001.



Kuantifikasi Risiko MenggunakanMetode Cause-Effect

Sesuai dengan jurnal internasionalberjudul Cause to Effect Operational RiskQuantification and Management(Supatgiat, Kenyon, Heusler, 2006), adabeberapa langkah yang harus dilakukanuntuk dapat melakukan kuantifikasi risikosebagaimana terlihat dalam Gambar 3-2.

Sumber: Peneliti, Diolah Sendiri

Gambar 4. Tahap Penilaian Risiko ISO 27001

Sumber: Peneliti, Diolah Sendiri

Gambar 5. Tahap Kuantifikasi RisikoMetode Cause-Effect



HASIL PENELITIAN

Profil RisikoDalam penerapan Sistem Manajemen

Keamanan Informasi, setelah dilakukanpenilaian risiko sebenarnya masih adabeberapa tahapan lain seperti penentuan risktreatment plan, statement of applicability,dan lain-lain. Akan tetapi pada karya akhirini, peneliti tidak membahas mengenai haltersebut karena fokus utama adalah padakuantifikasi risiko dengan pendekatan

cause-effect. Penilaian risiko berdasarkanISO 27001 digunakan sebagai data awaldalam pendekatan cause-effect.

Gambar 3-2 memberikan ilustrasimengenai jumlah dan persentase risikoyang didapatkan dari penilaian risiko. Hasilpenilaian risiko menunjukkan bahwa totaljumlah risiko yang tidak dapat diterimaPerusahaan (not acceptable) adalahsebanyak 107 risiko atau sekitar 28,7% darikeseluruhan risiko yang berhasildiidentifikasi.

Tabel 1. Ringkasan Profil Risiko Natural PT. XYZ

Sumber: Risk Summary PT. XYZ (Diolah sendiri)

Setelah dilakukan pemetaan terhadapprofil risiko sebelumnya, maka dilakukanpembuatan grafik interdepensi dari profilrisiko yang ada. Grafik interdependensimemetakan hubungan antara penyebabkegagalan (root cause of failure), tipekejadian kegagalan (failure event types)serta tipe dampaknya (independent impacttypes).

Grafik interdependensi profil risikoPT. XYZ dapat dilihat pada gambar 4-2.Setelah dilakukan dekomposisi dandipetakan ke dalam grafik interdependensi,ada 5 kelompok root cause of failure, 5

kelompok failure event types, dan 6kelompok independent impact types.Masing-masing kelompok dibedakandalam pewarnaan untuk mempermudahklasifikasi.

Antara root cause of failure danfailure event types terdapat suatuhubungan/relasi yang disebut sebagaiketergantungan kegagalan (failuredependency). Sehingga sebagai contohsuatu kejadian ilegal akses terhadapdokumen memiliki ketergantunganterhadap tiga aspek yaitu ketidakteraturandalam penghapusan hak akses, ketidak-



sempurnaan dalam pendataan aset, danketidaksempurnaan dalam PelaksanaanClean Desk & Clean Screen Policy. Relasifailure dependency memiliki hubunganmany to many.

Antara failure event types danindependent impact types terdapat suaturelasi yang disebut sebagai keter-gantungan dampak (impact dependency).

Sehingga sebagai contoh untuk suatukejadian ilegal akses terhadap dokumendan misshandling dokumen, mengacupada dampak berupa pencurian hardware/informasi oleh pihak luar. Denganhubungan many to many, maka keduafailure event tersebut juga bisamenimbulkan dampak penyalahgunaan/kebocoran informasi kepada pihak luar.

Sumber: Peneliti (Diolah sendiri)

Gambar 6. Grafik Interdependensi Profil Risiko PT. XYZ



Dekomposisi RisikoDari dekomposisi risiko yang

dilakukan, terdapat 6 submodel yangkemudian direpresentasikan dalam 6

Sumber: Peneliti (Diolah Sendiri)

Gambar 7. Model Dekomposisi Risiko Teknologi Informasi

simulasi kerugian. Submodel yangdidapatkan dari kurang lebih 373 risikoyang diidentifikasi dapat dirangkumsebagai berikut:

Aggregated Loss Distribution danPerhitungan VaR Risiko TeknologiInformasi

Penggunaan metode Aggregated LossDistribution pada simulasi ini merupakanlangkah selanjutnya dari metode Cause-Effect. Sebenarnya perhitungan distribusikerugian tidak secara spesifik dijelaskanmenggunakan metode tertentu, tetapipeneliti melihat bahwa yang palingmemungkinkan dari simulasi yang

dilakukan adalah dengan metode LDA-aggregation model.

Dengan tidak adanya data historis danpengujian distribusi yang dapat dilakukan,maka peneliti mengambil asumsi terhadapdistribusi yang ada sebagaimana telahdisinggung dalam sub bab 3.2.3. Dalamkarya akhir ini untuk frekuensi digunakandistribusi Poisson, sementara untukseverity digunakan distribusi lognormal.

Sumber: Peneliti (Diolah sendiri)

Gambar 8. Parameter Statistik Distribusi



Untuk mencari frequency of lossuntuk satu periode yang akan datang akandilakukan dengan bantuan aplikasi Exceldengan simulasi sebanyak 10.000 kalidengan menginput nilai lambda untukgenerate random number frequency.

Demikian pula untuk nilai severity of lossdistribution untuk satu periode yang akandatang, ditentukan dari besarnya nilairandom berdasarkan parameter distribusilognormal yaitu mean dan standar deviasi.Hasil simulasi dapat dilihat pada gambar4-5.

Sumber: Peneliti (Dikelola sendiri)Gambar 9. Simulasi Montecarlo dengan metode LDA - Aggregation Approach

Dari data hasil simulasi di atas,didapatkan untuk nilai kerugian denganVaR 99% adalah mencapai 825,236 jutaRupiah. Hal ini cukup masuk akalmengingat secara operasional, UnitTeknologi Informasi PT. XYZ yang masukdalam lingkup penilaian risiko tidakterekspos pada risiko yang dapatmenghasilkan kerugian yang besar.

Berdasarkan risk appetite (selerarisiko) yang diterjemahkan dalam nilaiBatas Toleransi Risiko (BTR) seperti dapatdilihat pada gambar 4.6 di bawah, makanilai risiko diatas termasuk dalam kategoriminor untuk VaR 99%. Secara keseluruhannilai kerugian risiko teknologi informasiyang disimulasikan tidak berdampaksignifikan untuk PT. XYZ.

Sumber: Peneliti, Diolah sendiriGambar 10. Simulasi Resiko



Dalam simulasi penghitungan risikoyang dilakukan, perlu diperhatikan bahwasifat simulasinya sendiri adalah untukmemberikan gambaran nilai kerugianrisiko teknologi informasi. Seperti telahdisebutkan sebelumnya bahwa parameterdan data kerugian yang diambil masihbersifat asumsi peneliti karena belumlengkapnya data yang ada pada PT. XYZ.Untuk mendapatkan nilai kerugian risikoyang lebih akurat pada PT. XYZ, makaperlu dilakukan perekaman data historisyang lebih lengkap terutama frekuensikejadian risiko dan nilai kerugian sebagaidampak dari kejadian risiko.

KESIMPULAN & SARAN

KesimpulanAdapun beberapa kesimpulan yang

dapat disampaikan adalah sebagai berikut:1. Risiko teknologi informasi

merupakan bagian dari risikooperasional yang perlu diperhatikansecara khusus. Berdasarkan penelitianyang dilakukan, dapat disimpulkanbahwa metode Cause-effect sangatberguna dan membantu dalamkuantifikasi risiko operasionalterutama risiko Teknologi InformasiPT. XYZ. Metode ini dapatdigunakan oleh perusahaan lain yangbertujuan untuk mendapatkan profilrisiko yang lebih ringkas danmengukur kerugian/loss yang terjadikarena risiko Teknologi Informasi.

2. Simulasi kuantifikasi risikooperasional yang dihasilkan,memberikan gambaran kerugianoperasional yang dapat terjadi secarakuantitatif. Berdasarkan penetapanBatas Toleransi Risiko sesuai denganrisk appetite PT. XYZ, maka kerugianyang ditimbulkan secara keseluruhan

berada dalam kategori minor.Sehingga secara keseluruhan dapatdikatakan bahwa risiko yang terjadipada Unit Teknologi Informasi PT.XYZ tidak terlalu memberikandampak yang signifikan.

SaranAdapun beberapa saran yang dapat

disampaikan adalah sebagai berikut:1. Metode Cause-effect yang

menggunakan dekomposisi dalammenciptakan submodel berperansangat baik dalam mensimplifikasiprofil risiko. Namun dibutuhkan datahistoris yang mencukupi untuk dapatmembuat pengukuran risiko yangakurat. PT. XYZ belum memiliki datahistoris yang mencukupi untuk dapatdilakukan penghitungan secaraakurat. Karena itu disarankan agarprofil risiko yang sudah ada selaludipantau dan direkam setiap kaliterjadi peristiwa risiko untukmendapatkan akurasi frekuensikejadian risiko.

2. Untuk berikutnya, disarankan jugabagi PT. XYZ untuk dapatmengembangkan metode penilaianrisikonya terutama dalam penentuandampak kerugian secara kuantitatifpada setiap peristiwa risiko teknologiinformasi. Sehingga pencatatanhistoris nominal kerugian daridampak (impact) setiap peristiwarisiko dapat menjadi lebih akurat.

3. Bagi perusahaan lain baik yangbergerak dalam bidang energi ataupunnon energi, dapat menggunakanmetode Cause Effect untukmenghasilkan pengukuran risikoteknologi informasi secara kuantitatif.Penggunaan metode Cause-Effectdapat dikombinasikan denganframework penilaian risiko yang ada



pada perusahaan baik penilaian yangberbasis aset maupun proses. Profilrisiko yang dihasilkan dari frameworktiap perusahaan kemudiandikombinasikan dengan metodeCause-Effect, untuk kemudiandilakukan kuantifikasi risikomenggunakan pendekatan penilaianrisiko operasional secara statistik,baik dengan Loss DistributionApproach (LDA), Extreme ValueTheory (EVT), dan lain-lain.

DAFTAR PUSTAKA

Basel Committee on Banking Supervision.(2003). The new Basel capital accord.BIS, Basel, Switzerland.

Global Association of Risk Professionals& Badan Sertifikasi ManajemenRisiko. (2008). Workbook 1-3.BSMR. Jakarta.

Herwartz, H., & Waichman, I. (2010). Acomparison of bootstrap and Monte-Carlo testing approaches to value-at-risk diagnosis. Comput Stat, 25, 725-732

ISACA. (2009). The Risk IT Framework.Illinois: ISACA

ISO 31000. (2009). Risk management —Principles and guidelines.Switzerland: ISO

ISO/IEC 27001. (2005). InformationTechnology - Security Techniques -Information Security ManagementSystems- Requirements. Switzerland:ISO

Lampiran Surat Edaran Bank IndonesiaNo. 9/30/DPNP Pedoman PenerapaanManajemen Risiko dalamPenggunaan Teknologi Informasioleh Bank Umum

Lewis, N.D.C. (2004). Operational Riskwith Excel and VBA AppliedStatistical Methods for RiskManagement. New Jersey: JohnWilley& Sons

Mun, J. (2006). Modeling Risk. NewJersey: John Willey& Sons

Muslich, M. (2007). Manajemen RisikoOperasional Teori & Praktik. Jakarta:Bumi Aksara

Peraturan Bank Indonesia No. 9/15/PBI/2007 Tentang Penerapan ManajemenRisiko dalam Penggunaan TeknologiInformasi oleh Bank Umum

Suardi, R. (2004). Sistem ManajemenMutu ISO 9000:2000 Penerapannyauntuk Mencapai TQM. Jakarta: PPM

Supatgiat, C., Kenyon, C., & Heusler, L.(2006). Cause-to-Effect Operational-Risk Quantification andManagement. Risk Management Vol.8, pp 16-42

Analisis Risiko Operasional Menggunakan Metode Cause ... · PDF filemenggunakan pendekatan...

Documents

Transcript of Analisis Risiko Operasional Menggunakan Metode Cause ... · PDF filemenggunakan pendekatan...