7

BAB 2

LANDASAN TEORI

2.1 Risiko

Risiko akan selalu ditemukan dalam kehidupan dimana apabila dikelola

dengan baik dapat menjadi sebuah kesempatan (opportunity) dan sebaliknya,

apabila manajemennya buruk maka akan menjadi sebuah ancaman (threat).

Definisi risiko menurut ISO (ISO Guide 73:2009, p.9) adalah suatu efek dari

ketidakpastian dalam pencapaian suatu tujuan. Dan mereka juga menambahkan

bahwa efek tersebut bisa bersifat negatif maupun positif.

Manajemen Risiko

Seperti yang sudah disebutkan dalam definisi risiko diatas, harus

dilakukan manajemen terhadap risiko agar pemenuhan tujuan organisasi /

perusahaan dapat terlaksana dengan baik. Bidang yang membahas mengenai

manajemen risiko secara lengkap disebut dengan manajemen risiko. Manajemen

risiko adalah aktivitas terkoordinasi untuk melakukan pengendalian dan

pengarahan organisasi terkait risiko (ISO Guide 73:2009, p.10).

Sedangkan William Hotopf (2009, p.4) mendefinisikan manajemen risiko

sebagai manajemen yang dilakukan berdasarkan analisis terhadap potensial

keterjadian dan dampak yang dapat terjadi apabila risiko penting tidak

dikendalikan atau dimitigasi.

8

Dari dua definisi manajemen risiko diatas maka dapat ditarik kesimpulan

bahwa manajemen risiko untuk setiap bidang bisnis akan berbeda dan

manajemen risiko harus dilakukan secara berkelanjutan, karena risiko akan

semakin berkembang seiring dengan pertumbuhan perusahaaan.

Framework Manajemen Risiko

Melakukan manajemen risiko di organisasi merupakan hal yang sulit

karena harus dilakukan secara menyeluruh terhadap seluruh bagian perusahaan.

Setiap bagian, proses, atau sistem dalam perusahaan bisa memiliki potensi risiko

tersendiri dan untuk meminimalisasi terjadinya risiko – risiko tersebut maka

perusahaan harus membuat perencanaan terhadap kebijakan, prosedur, dan

instruksi – instruksi yang akan diterapkan dalam perusahan.

Framework manajemen risiko menurut ISO Guide 73:2009 (2009, p.10)

adalah kumpulan aturan – aturan yang digunakan sebagai dasar bagi organisasi

untuk merancang, mengimplementasikan, memantau, melakukan review dan

meningkatkan manajemen risiko secara berkelanjutan dalam seluruh bagian

organisasi. Framework yang digunakan dalam organisasi bisa mengacu terhadap

standar yang diakui dan dibuat oleh organisasi taraf internasional seperti ISO,

CobiT, CoSO, dan sebagainya atau bisa juga menurut standar yang didefinisikan

tersendiri dalam internal organisasi / perusahaan tersebut.

9

Perencanaan Manajemen Risiko TI

Segala hal yang berkaitan dengan TI akan mengeluarkan biaya yang tidak

sedikit, oleh karena itu tahap perencanaan harus dilakukan dengan matang agar

implementasi manajemen risiko TI dapat berlangsung secara efektif dan efisien.

Menurut Mario Spremic (2008, p.5), sebuah perencanaan manajemen risiko TI

harus mengikuti tahap – tahap berikut ini :

1. IT risk identification and classification.

Proses identifikasi risiko TI tidak hanya menampilkan hasil negatif-nya

saja, namun juga klasifikasinya sesuai dengan dampak keterjadiannya terhadap

bisnis, sebab dan akibat terjadinya, kemungkinan terjadinya dan alokasi

pertanggung jawaban terhadap risiko. Untuk mengetahui posisi risiko TI di

perusahaan maka Mario Spremic (2008, p.5) menggunakan pendekatan risiko

secara hirarkis sebagai berikut :

A. Corporate or company-level IT Risks

Risiko ini merupakan bagian vital dari keseluruhan prosedur

manajemen risiko perusahaan dan berasosiasi dengan aktivitas

manajemen eksekutif. Beberapa contoh diantaranya adalah seperti :

1) Risiko perencanaan strategi TI (IT strategy planning risks),

2) Risiko kesalahan pengarahan TI / bisnis (IT/ business

misaligment risks),

3) Prosedur dan kebijakan TI yang salah (Deficient IT policies

and procedures),

4) Risiko investasi dan proyek TI,

10

5) Risiko audit (Laporan finansial yang salah dan audit TI

internal yang payah), dan sebagainya.

B. Process-level IT Risks (IT General Risks)

Merupakan risiko dalam lingkungan proses bisnis yang sangat

terotomatisasi dan terintegrasi secara efisien antara SI dan TI.

1) Risiko dalam pemilihan atau pembuatan software,

2) Risiko dalam prosedur manajemen perubahan (Change

management),

3) Risiko mengenai akses terhadap program dan data,

4) Risiko terhadap barang fisik,

5) Risiko atas prosedur business continuity dan disaster recovey,

6) Berbagai macam risiko pengamanan, dan sebagainya

C. Specific IT Risks (IT Applications and IT Services Risks)

Risiko ini biasanya ditemui pada software aplikasi yang

mendukung secara langsung proses bisnis perusahaan. Tentunya

risiko ini juga akan berdampak pada pelayanan yang diberikan

perusahaan terhadap pelanggan (services). Beberapa contoh risiko ini

antara lain :

1) Kelengkapan transaksi bisnis,

2) Keakuratan data,

3) Integritas data,

4) Otorisasi,

5) Manajemen jaringan,

11

6) Manajemen database,

7) Manajemen sistem operasi,

8) Manajemen konfigurasi, dan sebagainya

2. IT risk assessment and priority determination.

Melakukan penilaian terhadap risiko adalah untuk mengukur dampak dan

potensi terhadap kehilangan yang disebabkan oleh kejadian yang tidak

diharapkan. Untuk setiap risiko yang sudah teridentifikasi, maka aktivitas

penilaian risiko dilakukan dengan cara – cara sebagai berikut :

A. Identifikasi ancaman terhadap sumber daya TI dari tindakan –

tindakan baik sengaja maupun tidak sengaja yang dapat menimpa

infrastruktur TI

B. Evaluasi atas vulnerabilitas pada risiko TI yang teridentifikasi

C. Menentukan tingkat keterjadian dari risiko TI tersebut (frekuensi)

D. Evaluasi atas tingkat dampak risiko TI tersebut terhadap bisnis

E. Analisis frekuensi risiko TI dan pemberian rank

F. Persiapan untuk strategi berikutnya dan pengendalian risiko TI

3. IT risk responses strategies (Identification of IT controls)

Setelah identifikasi, klasifikasi, dan penilaian risiko TI, orang yang

bertanggung jawab terhadap risiko tersebut (risk owners) sudah teridentifikasi,

maka selanjutnya adalah membuat perencanaan terhadap risiko tersebut. Respon

terhadap risiko TI terkait penggunaan strategi – strategi berikut ini :

12

A. Menerima risiko (acceptance)

Artinya organisasi bersepakat untuk menerima risiko dan memantau

perkembangannya terhadap skala dan dampak risik tersebut terhadap

bisnis dan proses bisnisnya.

B. Mengurangi risiko (reduction)

Artinya organisasi mengambil langkah – langkah untuk mengurangi

dampak dan tingkat keterjadian dari risiko.

C. Menghindari risiko (avoidance)

Artinya organisasi memilih untuk menghindari risiko secara penuh

atau sebagian.

D. Membagi risiko (sharing)

Artinya organisasi melakukan tindak pemindahan atau pembagian

risiko seperti dengan melakukan asuransi, menyewa jasa outsource

untuk manajemen risikonya, atau bekerja sama dengan rekan kerja

perusahaan dengan saling membantu dalam proses manajemen risiko

seperti pada tahap perencanaan pemulihan bencana dan kelanjutan

bisnis (business continuity and disaster recovery plan).

13

4. Implementation and documentation of selected counter-measures (IT

controls)

Tahap berikutnya adalah memilih framework pengendalian TI yang sesuai

dengan perusahaan sebagai acuan dalam membantu manajemen untuk membuat

pengendalian TI yang optimal. Beberapa tata kelola TI yang dikenal secara

umum antara lain :

• CobiT (Control Objectives of Information and related

Technology),

• ISO 31000 ‘family’ (ISO 31000:2009, ISO 31010:2009, ISO

Guide 73:2009)

• ITIL (IT Infrastructure Library)

5. Constant monitoring of IT risks level and auditing

Setelah prosedur sudah dibuat dan pengendalian sudah dijalankan dengan

baik maka manajemen harus melakukan pemantauan terhadap risiko TI secara

berkala dan juga melakukan audit untuk bisa menemukan risiko – risiko baru dan

juga kerentanan yang terdapat dalam perusahaan seiring dengan perkembangan

implementasi TI yang dijalankan oleh perusahaan.

Halangan Terhadap Manajemen Risiko

Menurut Gary Simon (2012), halangan yang paling sering ditemukan

dalam manajemen risiko di perusahaan adalah sebagai berikut :

1. Budaya (Culture)

14

Permasalahan utama terhadap manajemen manajemen risiko yang

efektif tergantung dari budaya di dalam perusahaan itu sendiri. Sebagian

besar orang-orang kurang sadar akan apa yang harus mereka lakukan

terkait risiko. Haruskah risiko dikelola dan dianalisis oleh unit bisnis atau

oleh eksekutif bertingkat ‘C’? Kurangnya kejelasan terhadap pihak yang

memiliki tanggung jawab penuh dalam menangani risiko merupakan

halangan utama sebelum mencapai manajemen risiko yang efektif.

2. Tekanan Biaya (Cost Pressures)

Beberapa perusahaan dilanda tekanan untuk menekan biaya yang

disertai dengan kebutuhan untuk melakukan investasi lebih dalam

manajemen risiko. Keprihatinan ini sering ditemui oleh eksekutif dimana

mereka kurang bisa meningkatkan respon mereka terhadap risiko yang

terus bertumbuh dan berkembang menjadi banyak.

3. Risiko terhadap Data (Risk Data)

Kurangnya informasi untuk membuat keputusan terkait risiko

mengarah kepada kurangnya proses pengelolan risiko di perusahaan pada

banyak organisasi besar, terutama pada bisnis yang kompleks dan

kurangnya tanggung jawab terhadap risiko seperti yang sudah dijelaskan

sebelumnya.

15

Cara Organisasi Mengelola Risiko

Berikut ini merupakan beberapa cara untuk mengelola risiko yang

juga diutarakan oleh Gary Simon (2012) :

Clear lines of accountability and responsibility

Pertanggung jawaban terhadap risiko dilaksanakan oleh eksekutif tingkat ‘C’

atau pada unit bisnis? Biasanya CEO menunjuk CFO sebagai penanggung jawab

utama terhadap risiko yang diikuti oleh CRO (Chief Risk Officer), apabila ada.

Model yang sering ditemui ialah risiko terpenting dikelola secara sentral dan

risiko prioritas lainnya ditangani dalam organisasi dengan manajer bisnis tertentu

yang ditugaskan secara individual untuk mengelola, memantau, dan mengukur

risiko spesifik.

“Risk specialists need to poke their heads outside of their silos once in a while.

Risk doesn’t exist in isolation, so risk managers can’t either.”

Penting dalam organisasi untuk memotivasi individual untuk ikut berdiskusi

mengenai risiko dan memasukkannya ke dalam perencanaan strategi organisasi,

operasional keseharian, dan keputusan investasi. Manajemen risiko yang efektif

adalah seperti meningkatkan nilai organisasi, dan melindungi nilai organisasi

membantu manajemen menyiapkan budaya kesadaran terhadap risiko dalam

organisasi.

16

Risk framework

Pendekatan terhadap manajemen risiko harus siap untuk melakukan analisis

yang cepat terhadap risiko, identifikasinya, ranking terhadap risiko yang ada dan

akan datang tanpa mengalami hambatan.

Infrastructure, systems and processes

Penggunaan teknologi seperti Sistem Governance, Risk, and Compliance

(GRC) dapat membantu dalam mengumpulkan dan menganalisis risiko terhadap

data dan juga memantau indikator risiko utama, tapi teknologi semata tidak

mampu untuk memberikan pengamanan yang cukup terhadap risiko secara garis

besar.

“The strongest systems and measures can be foiled by people who are

uncommitted, uninformed or untrained. Informed people adapt and with the

changing conditions and complexity. Systems typically do not.”

Masih sedikit organisasi yang melakukan proses otomatisasi terhadap proses

manajemen risikonya. Laporan untuk pemegang saham, analisis data, dan analisis

risiko merupakan campuran proses yang dilakukan secara otomatis dan manual.

Inilah alasan mengapa masih sedikit organisasi yang memantau risiko secara

terus-menerus. Beberapa lebih cenderung melakukan pemantauan risiko secara

periodik. Sistem tidak dapat beradaptasi terhadap risiko dengan mudah, hanya

orang yang melakukan tindak manajemen serta memiliki wawasan yang luas

yang mampu.

17

Proses Manajemen dan Analisis Risiko

Secara umum analisis risiko terdiri atas elemen utama dari proses

manajemen risiko yang didefinisikan di ISO 31000 (ISO IEC/FDIS 31010,

2009, p.10-14) dan melingkupi komponen-komponen sebagai berikut:

• Komunikasi dan Konsultasi

• Mendefinisikan Konteks

• Penilaian Risiko (Meliputi identifikasi risiko, analisis risiko dan

evaluasi risiko)

• Penanganan Risiko

• Pemantauan dan Peninjauan

Analisis risiko bukan merupakan aktivitas yang dapat berjalan sendiri dan

membutuhkan integrasi yang menyeluruh terhadap komponen lain dalam

proses manajemen risiko.

1. Komunikasi dan Konsultasi

Analisis risiko yang baik sangat dipengaruhi oleh komunikasi dan

konsultasi yang baik dengan para pemegang saham. Dengan melibatkan

para pemegang saham, akan sangat membantu dalam proses manajemen

risiko seperti:

• Membuat rencana untuk pengkomunikasian

• Membuat konteks yang sesuai

• Menjamin bahwa keinginan pemegang saham dapat dipahami dan

dipertimbangkan

18

• Mengumpulkan beberapa tenaga ahli diberbagai bidang untuk

mengidentifikasi dan menganalisa risiko

• Menjamin bahwa pandangan yang berbeda sudah

dipertimbangkan dalam mengevaluasi risiko

• Menjamin bahwa risiko sudah diidentifikasi secara memadai

• Mendukung keamanan dan bantuan untuk rencana penanganan

2. Mendefinisikan Konteks

Mendefinisikan konteks artinya membuat ukuran standar untuk

mengelola risiko dan membuat lingkup serta kriteria untuk proses

kelanjutannya. Dalam mendefinisikan konteks, tujuan analisis risiko,

kriteria risiko, dan program analisis risiko ditentukan dan disetujui. Untuk

analisis risiko spesifik, mendefinisikan konteks harus sesuai dengan

definisi dari eksternal, internal, dan konteks manajemen risiko serta

klasifikasi atas kriteria risiko:

a) Membuat konteks eksternal membutuhkan pengetahuan yang

banyak mengenai lingkungan dimana organisasi dan sistem

beroperasi termasuk:

• Kultur, politik, hukum, prosedur, lingkungan kompetitif,

ekonomi, dan sebagainya

• Faktor pendukung bisnis dan tren yang memiliki dampak

terhadap tujuan organisasi

• Persepsi dan nilai dari pemegang saham luar

19

b) Membuat konteks internal dan eksternal membutuhkan

pemahaman atas:

• Kemampuan organisasi dalam hal sumber daya dan

pengetahuan

• Arus informasi dan proses pembuatan keputusan

• Pemegang saham dalam

• Tujuan dan perencanaan yang dibuat untuk pencapaian

tujuan tersebut

• Persepsi, nilai, dan kultur

• Kebijakan dan proses

• Standar dan model referensi yang diadopsi oleh organisasi

• Struktur (seperti tata kelola, otoritas, dan tanggung jawab)

c) Membuat konteks atas proses manajemen risiko termasuk atas:

• Mendefinisikan tanggung jawab dan akuntabilitas

• Mendefinisikan sejauh mana aktivitas manajemen risiko

akan dilaksanakan termasuk hal spesifik yang terkait dan

tidak terkait

• Mendefinisikan sejauh mana proyek, proses, fungsi atau

aktivitas dalam hal waktu dan lokasi

• Mendefinisikan hubungan antara proyek khusus, atau

aktivitas dengan proyek lain atau aktivitas dalam

organisasi

• Mendefinisikan metodologi dalam analisis risiko

20

• Mendefinisikan kriteria risiko

• Mendefinisikan bagaimana manajemen risiko dilakukan

dan dievaluasikan

• Mengidentifikasi dan menspesifikasi keputusan dan

tindakan yang harus dibuat

• Mengidentifikasi lingkup atau pembelajaran yang

dibutuhkan, ukurannya, tujuannya dan sumber daya yang

dibutuhkan untuk pembelajaran tersebut.

d) Mendefinisikan kriteria risiko terkait dengan memutuskan bahwa:

• Sifat dan tipe dari dampak yang termasuk dan bagaimana

pengukurannya

• Cara menunjukkan kemungkinan keterjadiannya

• Cara mendeterminasikan level risiko

• Kriteria yang dibutuhkan dalam menentukan kapan risiko

tersebut membutuhkan penanganan

• Apa dan bagaimana risiko akan mulai diperhitungkan

Kriteria dapat berdasarkan sumber seperti:

• Tujuan atas proses yang disetujui

• Kriteria yang diidentifikasi dalam spesifikasi

• Sumber data umum

• Kriteria industri yang diterima secara umum seperti level

keamanan integritas

• Risiko yang dapat diterima oleh organisasi

21

3. Penilaian Risiko

Penilaian risiko adalah keseluruhan proses dari identifikasi risiko,

analisis risiko dan evaluasi risiko. Risiko dapat dianalisis pada tingkat

organisasi, tingkat departemen, untuk proyek, aktivitas individual dan

risiko spesifik. Alat dan teknik yang berbeda yang mungkin dibutuhkan

dalam konteks yang berbeda.

Penilaian risiko memberikan pengertian atas risiko, penyebabnya,

akibat, dan kemungkinan keterjadiannya. Hal ini memberikan input untuk

keputusan mengenai:

• Bagaimana suatu aktivitas harus dilakukan

• Bagaimana cara dalam memaksimalkan kesempatan

• Bagaimana risiko harus ditangani

• Memilih antara pilihan yang ada dengan risiko yang berbeda

• Memprioritaskan pilihan dalam penanganan risiko

• Memilih perencanaan penanganan risiko yang dapat membawa

risiko pada tingkat yang dapat ditoleransi

22

Gambar 2.1 Lingkup Analisis Risiko dalam Proses Manajemen Risiko

Setelah risiko sudah berhasil diidentifikasi dengan akurat, maka

dilakukanlah penilaian kuantitatif dan kualitatif terhadap dampak yang

ditimbulkan oleh risiko tersebut. Kedua jenis penilaian tersebut

dibutuhkan dalam menghasilkan analisis yang tepat dan akurat.

IntegrIT Network Solutions Inc. (2012) mendefinisikan Penilaian

Kuantitatif atau Quantitative Assessment sebagai hasil yang ditunjukkan

oleh risiko tersebut dalam bentuk angka – angka. Penilaian kuantitatif

umumnya membutuhkan data yang akurat untuk bisa mengestimasikan

probabilitas dan dampak dari risiko terkait TI.

23

Di lain sisi, penilaian kualitatif lebih mudah untuk dilakukan.

Penilaian Kualitatif atau Qualitative Assessment adalah penilaian yang

dilakukan dengan mengkategorikan risiko sesuai dengan banyak tingkat

pengukuran yang ditentukan. Bila menggunakan tiga tingkat saja maka

sebagai contoh, kategori yang digunakan adalah rendah, sedang dan

tinggi. Setelah mengklasifikasikan risiko terhadap kategori-kategori

tersebut barulah kemudian merumuskan tindakan penanganan pada risiko,

terutama pada kategori menengah keatas yang harus lebih diprioritaskan.

4. Penanganan Risiko

Setelah menyelesaikan analisis risiko, penanganan risiko melingkupi

pemilihan dan kesepakatan terhadap satu atau lebih pilihan yang relevan

untuk merubah kemungkinan keterjadian, dampak dari risiko, atau

keduanya, dan implementasi pilihan-pilihan tersebut. Hal ini diikuti

dengan proses yang menyerupai siklus dalam menganalisis kembali level

risiko, dengan peninjauan lebih untuk menentukan tingkat tolerabilitas

terhadap kriteria yang sudah ditentukan sebelumnya, untuk memutuskan

apakah penanganan lebih lanjut dibutuhkan atau tidak.

5. Pemantauan dan Peninjauan

Sebagai bagian dalam proses manajemen risiko, risiko dan

pengendalian harus lebih dipantau dan ditinjau selalu untuk

memverifikasi bahwa:

24

• Asumsi terhadap risiko akan tetap valid.

• Asumsi terhadap dasar analisis risiko, termasuk dalam konteks

eksternal dan internal, tetap valid.

• Hasil yang sesuai harapan akan dapat diraih

• Hasil dari analisis risiko akan segaris dengan pengalaman

yang sebenarnya

• Teknik analisis risiko diterapkan dengan benar

• Penanganan risiko sudah efektif

Tehnik dan Alat Bantu untuk Proses Analisis Risiko

Terdapat beberapa pendekatan formal yang dapat dilakukan oleh

organisasi untuk menganalisis dan mengelola risiko menggunakan tools

manajemen risiko yang diakui seperti :

• Failure Mode and Effect Analysis (FMEA)

• Structured What-If Technique (SWIFT)

• Fault Tree Analysis

• Hazard Analysis and Critical Control Points (HACCP)

• Hazard Operability Analysis

• Preliminary Hazard Analysis

• Risk ranking and filtering

• Dan sebagainya

Tools diatas perlu diadaptasi untuk penggunaan-penggunan tertentu dan

dalam penelitian ini tool yang akan digunakan adalah SWIFT.

25

Structured What-If Technique (SWIFT)

Structured What-If Technique (SWIFT) adalah tehnik identifikasi

risiko tingkat tinggi yang fleksibel dan digunakan untuk suatu dasar yang

dapat berdiri sendiri, atau merupakan bagian pendekatan bertahap dalam

mengaplikasikan metode yang mendetil seperti FMEA agar lebih efisien.

Keberhasilan dalam penggunaan metode SWIFT sangat dipengaruhi oleh

pengetahuan pengguna atas sistem dan proses yang dianalisis (Alan J. Card,

et. al., 2012, p. 3-4).

Prosedur Penggunaan Metode SWIFT

SWIFT adalah tehnik untuk mengidentifikasi ancaman (seperti

dalam bertanya “Bagaimana bisa…”), dan identifikasi risiko (seperti

dalam bertanya “Bagaimana jika…”). Namun pada praktiknya sangat

didukung oleh analisis risiko (mengkarakteristikan dan mengestimasi

risiko), evaluasi risiko (seperti menentukan apakah risiko tersebut

dapat diterima atau membutuhkan tindak lanjut tertentu), dan

perencanaan penanganan risiko (seperti membentuk dan menganalisis

perencanaan dalam mengontrol risiko).

Berikut ini merupakan tahap-tahap untuk menjalankan proses

analisis risiko menggunakan metode SWIFT:

1. Prepare the Guidewords

Fasilitator menentukan kumpulan kata-kata acuan yang dapat

digunakan untuk mengarahkan tim dalam SWIFT.

26

2. Assemble the Team

Memilih anggota tim untuk menjalankan SWIFT berdasarkan

pengetahuan mereka atas sistem / proses yang sedang

dianalisis.

3. Background

Menjelaskan mengenai “pemicu” atas diadakannya SWIFT

(seperti perubahan regulasi, evaluasi kondisi dan sebagainya).

4. Articulate the Purpose

Menjelaskan dengan jelas tujuan atas hasil yang ingin dicapai

dengan diadakannya SWIFT (seperti meningkatkan tingkat

kepuasan pelanggan).

5. Define the Requirements

Menjelaskan mengenai kriteria akan keberhasilan yang

diperoleh (seperti tidak adanya pendapatan yang hilang untuk

jangka waktu 5 tahun kedepan atas kompensasi karena

kurangnya kepuasan pelanggan).

27

6. Describe the System

Menjelaskan dengan tingkat tinggi seperti menggunakan

tulisan dan gambar atas sistem atau proses yang ingin

dianalisis risikonya tanpa harus secara detil / spesifik.

7. Identify the Risks / Hazards

Disinilah penggunaan SWIFT mulai diaplikasikan. Dengan

menggunakan kata acuan (Guidewords) untuk setiap sistem,

subsistem, atau proses. Setiap partisipan diharapkan untuk

melakukan pengandaian dengan membuat frase menggunakan

kata-kata seperti “Bagaimana jika…” atau “Bagaimana

bisa…” untuk menemukan risiko yang potensial terkait kata

acuan yang dipakai.

8. Assess the Risks

Menggunakan tehnik analisis risiko untuk mengestimasikan

risiko terkait ancaman yang teridentifikasi. Untuk

pengendalian yang sudah berjalan dengan melakukan analisis

terhadap keterjadian gangguan yang ditemukan dan tingkat

dampak atas gangguan tersebut. Kemudian evaluasikan tingkat

penerimaan dengan melihat tingkat risiko dan identifikasi

aspek apapun dari sistem yang mungkin membutuhkan

identifikasi dan analisis risiko yang lebih mendetil.

28

9. Propose Actions

Berikan solusi perencanaan pengendalian risiko untuk

mengurangi dampak yang ditimbulkan oleh risiko yang

teridentifikasi ke tingkat yang dapat diterima.

10. Review the Process

Menentukan apakah SWIFT sudah sesuai dengan tujuan, atau

apabila sebuah analisis risiko yang mendetil dibutuhkan untuk

suatu bagian dalam sistem.

11. Overview

Menghasilkan dokumen tinjauan hasil dari pelaksanaan

SWIFT untuk dikomunikasikan.

12. Additional Risk Assessment

Menjalankan analisi risiko lebih lanjut dengan lebih detil atau

menggunakan tehnik kuantitatif apabila dibutuhkan.

2.2 Sistem Informasi

Perusahaan yang sudah tergolong cukup besar tentunya membutuhkan

manajemen sistem informasi yang baik karena banyaknya sumber daya yang

mereka miliki. Sistem informasi adalah kumpulan dari banyak komponen, orang,

dan proses yang didukung oleh teknologi informasi dan komunikasi yang baik

29

untuk membantu organisasi memenuhi tujuan mereka dengan mendukung

aktivitas untuk setiap anggotanya.

Suatu sistem digambarkan seperti suatu entitas yang terdiri dari berbagai

macam hal yang berbeda (manusia, bukan manusia, hal teknis, bukan hal teknis),

yang dirancang dan digunakan untuk tujuan tertentu. Pada praktisinya, sistem

informasi dapat beroperasi dalam berbagai cara dan dapat memenuhi berbagai

tujuan untuk berbagai individual atau kelompok tertentu (Dr. José-Rodrigo

Córdoba-Pachón et. al., 2011).

Kemajuan teknologi informasi dan komunikasi yang pesat membuat para

organisasi menunjuk beberapa orang yang ahli dalam bidang ICT (Information

and Communication Technology) untuk menjadi CIO (Chief Information

Officer) dan CKO (Chief Knowledge Officer). Mereka bertanggung jawab untuk

melihat informasi di organisasi sebagai aset dan bagaimana teknologi informasi

dan komunikasi dapat diterapkan dan dimanfaatkan dengan baik oleh karyawan

dan user dalam menjalankan aktivitas mereka sehari-hari.

Flowchart

Untuk mempermudah membaca dan melihat alur kerja atau proses dari

suatu sistem informasi maka digunakanlah tools seperti flowchart. Menurut

Muhammad Fathomi dan Sulindawati (2010) flowchart adalah penggambaran

secara grafik dari langkah-langkah dan urutan-urutan prosedur dari suatu

program. Flowchart menolong analisis dan programmer untuk memecahkan

masalah kedalam segmen-segmen yang lebih kecil dan menolong dalam

30

menganalisis alternatif-alternatif lain dalam pengoperasian. Flowchart biasanya

mempermudah penyelesaian suatu masalah khususnya suatu masalah yang perlu

dipelajari dan di evaluasi lebih lanjut.

Ada beberapa yang perlu diperhatikan dalam dalam membuat suatu

flowchart :

1. Flowchart digambarkan dari halaman atas kebawah dan dari kiri ke

kanan

2. Aktivitas yang digambarkan harus didefinisikan secara hati-hati dan

definisi ini harus dapat dimengerti oleh pembacanya

3. Aktivitas harus ditentukan dengan jelas saat akan dimulai dan

berakhir

4. Setiap langkah dari aktivitas harus diuraikan dengan menggunakan

deskripsi kata kerja

5. Setiap langkah dari aktivitas harus berada pada urutan yang benar

6. Lingkup dan range dari aktivitas yang sedang digambarkan harus

ditelusuri dengan hati-hati. Percabangan-percabangan yang memotong

aktivitas yang sedang digambarkan tidak perlu di gambarkan pada

flowchart yang sama. Simbol konektor harus digunakan dan percabangan

diletakkan pada halaman yang terpisah atau hilangkan seluruhnya bila

percabangan tidak berkaitan dengan sistem.

7. Gunakan simbol flowchart yang standar

31

Jenis-jenis Flowchart

Flowchart terbagi atas lima jenis, yaitu :

1. Flowchart sistem

Flowchart sistem merupakan bagan yang menunjukan alur kerja

atau apa yang sedang dikerjakan didalam sistem secara

keseluruhan dan menjelaskan urutan dari prosedur-prosedur yang

ada didalam sistem.

2. Flowchart paperwork/flowchart dokumen

Flowchart paperwork menelusuri alur dari data yang ditulis

melalui sistem. Kegunaan utama dari flowchart ini yaitu

menelusuri alur form dan laporan sistem dari satu bagian ke

bagian lain baik bagaimana alur form dan laporan di proses,

dicatat dan disimpan.

3. Flowchart skematik

Flowchart skematik mirip dengan flowchart sistem yang

menggambarkan suatu sistem atau prosedur. Flowchart skematik

ini bukan hanya menggunakan simbol-simbol flowchart standar,

tetapi juga menggunakan gambar-gambar komputer,peripheral,

form-form atau peralatan lain yang digunakan dalam sistem.

4. Flowchart program

Flowchart program dihasilkan dari flowchart sistem. Flowchart

program merupakan keterangan yang lebih rinci tentang

32

bagaimana setiap langkah program atau prosedur sesungguhnya

dilaksanakan.

5. Flowchart proses

Flowchart proses merupakan teknik penggambaran rekayasa

industrial yang memecahkan dan menganalisis langkah-langkah

selanjutnya dalam suatu prosedur atau sistem.

Simbol-simbol flowchart

Simbol-simbol flowchart yang biasa dipakai adalah simbol-

simbol flowchart standar yang keluarkan oleh ANSI dan ISO. Gambar

yang menunjukkan simbol-simbol tersebut dapat dilihat di lampiran

nomor 1.

2.3 Billing System

PT JAS menggunakan sistem penagihan untuk meningkatkan kontrol dan

meminimalisasi risiko kesalahan dalam proses penagihan. Edward Mendlowitz

(2012) menjelaskan bahwa dalam mencapai proses penagihan yang berjalan cepat

dan lancar harus didukung dengan komitmen yang baik dari seluruh bagian

perusahaan. Baik staff dan pihak terkait harus menganggap proses penagihan

sebagai bagian penting dalam tugas mereka agar dapat selesai tepat waktu.

Apabila staff dan pihak terkait menganggap remeh hal tersebut maka akan terjadi

keterlambatan pada arus kas dan meningkatkan kemungkinan beberapa tagihan

tidak akan terbayar tepat waktu atau bahkan tidak sama sekali.

33

Tren Dalam Billing System Saat Ini

“Terdapat perubahan besar dalam cara pembayaran tagihan. Perusahaan

yang dapat membuat perencanaan yang komprehensif untuk menangani

perubahan besar ini memiliki kesempatan untuk dapat mengurangi biaya dan

meningkatkan kepuasan pelanggan” merupakan kalimat yang diutarakan oleh

Kathi Plymouth dan Jody Martin (2009) dalam membuka jurnal mereka yang

diterbitkan oleh First Data Corporation.

Untuk setiap bidang bisnis, setiap cara untuk melakukan penagihan

pembayaran terhadap pelanggan tidaklah mudah. Organisasi tentu ingin

menggunakan metode yang mudah dan nyaman digunakan oleh pelanggan untuk

membayar sehingga umum bagi mereka untuk menyediakan banyak pilihan dan

jalur dalam pembayaran. Namun, merealisasikan hal tersebut terkadang akan

membuat bisnis perusahaan lebih rumit dan mengeluarkan lebih banyak biaya.

Beberapa tren pembayaran yang akan sering digunakan untuk lima tahun

kedepan dan perencanaan yang dibutuhkan akan dimunculkan dalam beberapa

pertanyaan berikut:

1. Bagaimana organisasi dapat mengelola investasi dalam bidang IT sementara

meningkatkan infrastruktur dalam bagian pemrosesan? Bagaimana cara agar

biaya untuk setiap barang / jasa tidak mengalami perubahan?

2. Maraknya pembayaran secara online, apakah sudah terdapat bagian yang

dapat menangani apabila metode pembayaran tersebut mengalami masalah?

Dan apakah solusi atas pembayaran elektronik yang ditawarkan tetap dapat

menekan biaya dan tidak memberikan kesan negatif terhadap pelanggan?

34

3. Secara garis besar, metode pembayaran online yang saat ini sering digunakan

adalah dengan kartu debit dan kredit. Apakah perusahaan dapat menerima

pembayaran dengan kartu tersebut? Dan apakah perusahaan memiliki cara

lain untuk menawarkan para pelanggannya metode pembayaran lain yang

lebih dapat menekan biaya?

4. Apakah metode pembayaran yang ditawarkan oleh organisasi sudah

mencakup populasi bagi orang-orang yang belum membuka rekening bank

apapun? Apakah yang dapat perusahaan lakukan untuk menekan biaya bagi

pembayaran yang dilakukan oleh orang-orang yang termasuk dalam segmen

ini?

5. Apakah organisasi sudah secara aktif atau pasif memberdayakan metode

pembayaran secara elektronik?

2.4 Manajemen Pelayanan Darat (Ground Handling)

Kata Ground Handling berasal dari kata ground dan handling. Ground

artinya darat atau di darat, yang dalam hal ini di bandar udara (airport). Handling

berasal dari kata dasar hand atau handle yang artinya tangan atau tangani. To

handle berarti menangani, melakukan suatu pekerjaan tertentu dengan penuh

kesadaran. Handling berarti penanganan atau pelayanan. Secara etimologi

ground handling diterjemahkan sebagai pelayanan di darat atau operasi darat

namun juga biasa disebut sebagai Airport Services.

Semua kata atau terminologi tersebut – ground handling, ground services,

ground operation atau airport service – pada dasarnyaa mengandung maksud dan

35

pengertian yang sama yaitu pengetahuan dan keterampilan tentang penanganan

pesawat di apron, penanganan penumpang dan bagasinya diterminal, serta

penanganan kargo dan pos di area kargo.

Perusahaan penerbangan komersial atau lebih dikenal dengan istilah

airlines atau airways merupakan badan usaha yang bergerak di bidang jasa

angkutan udara yang mengoperasikan pesawat terbang sebagai sarana untuk

mengangkut muatan dari satu kota ke kota lain, baik dalam negeri maupun ke

luar negeri, Muatan yang diangkut antara lain penumpang, bagasi, kargo, dan

benda-benda pos.

Secara operasional ada empat unit kerja utama yang menunjang bisnis

angkutan udara atau penerbangan dapat terlaksana, yaitu passenger handling,

aircraft handling, in flight service, dan cargo handling.

Berdasarkan sejarah kelahirannya, sebenarnya kegiatan ground handling

merupakan bagian integral dari lingkup pekerjaan dalam suatu perusahaan

penerbangan. Terdapat dua kegiatan utama yang dilakukan perusahaan

penerbagan, yaitu pertama kegiatan di kantor kota (Town Office) yang lebih

dominan mengerjakan urusan pemasaran, quality assurance, finance, corporate

planning, dan administrasi keuangan, serta umum dan kedua kegiatan

operasional kestasiunan di bandar udara (airport). Kegiatan ground handling

merupakan bagian atau divisi operasional perusahaan penerbangan yang

dipimpin oleh seorang kepala stasiun sebagai manajer operasi / ground handling.

Dalam perkembangan selanjutnya, muncul ide untuk mendirikan

perusahaan yang khusus menyediakan jasa / layanan ground handling, mengingat

36

adanya peluang yang terbuka lebar, di mana tidak sedikit perusahaan

penerbangan asing yang menyinggahi kota Jakarta dan Denpasar (Suharto Abdul

Majid dan Eko Probo D. Warpani, 2009, p.2-21).

Kegiatan Operasional di Bandar Udara

Secara keseluruhan, kegiatan di bandar udara ada banyak sekali dan

tentunya membutuhkan sumber daya yang tidak sedikit baik dari segi staff

maupun peralatannya. Perusahaan penyedia layanan jasa penerbangan di darat

mengelola secara langsung beberapa kegiatan di bandar udara untuk bisnis

mereka sendiri dan juga memberikan jasa penyewaan terhadap sumber daya yang

mereka miliki seperti peralatan dan staff bagi maskapai atau pihak bandar udara

yang membutuhkan bantuan khusus.

Menurut Robert Horonjeff et. al. (2010, p.8-460), di bandar udara pada

umumnya terdapat beberapa kegiatan operasional sebagai berikut :

1. Check-In & Baggage Handling

Merupakan manajemen terhadap barang bawaan penumpang

yang ditaruh di bagasi pesawat. Sebelum penumpang menaruh barang

bawaan mereka untuk dimasukkan ke pesawat maka mereka harus

melakukan proses check-in terlebih dahulu pada konter di masing-

masing maskapai untuk mengecek identitas penumpang dan

mendapatkan nomor kursi di pesawat.

37

Kemudian barang bawaan penumpang akan ditandai dan mulai

dikirim ke area khusus untuk memulai proses pemuatan. Pada bandar

udara terdapat baggagge claim yang berfungsi sebagai tempat

pengambilan bagasi yang kemudian akan di cek kebenaran

pengambilan bagasi tersebut untuk masing-masing penumpang. Mesin

pendistribusian bagasi tersebut akan ditambah apabila memasuki jam

sibuk operasional.

2. Cargo Handling

Kegiatan manajemen kargo berawal dari pengiriman surat /

dokumen melalui udara yang menjadi semakin pesat pada tahun 1980.

Lebih dari 40 juta industri berfokus pada pengiriman surat, barang

berharga, dan muatan lainnya untuk kelancaran kegiatan bisnisnya.

Setiap kargo disimpan dan ditangani secara khusus sesuai

klasifikasi muatannya karena umumnya merupakan barang berharga /

bernilai sangat tinggi.

3. Ground Handling

Kegiatan yang berlangsung disuatu area khusus untuk

membantu menaikkan / menurunkan penumpang atau kargo ke

pesawat, membersihkan kabin pesawat, menyetok ulang persediaan

makanan dan minuman di pesawat, melakukan pengecekan mekanik

pesawat, dan mengisi ulang bahan bakar pesawat.

38

4. Airline Executive Clubs / Departure Lounges

Ruang tunggu keberangkatan berfungsi sebagai tempat

berkumpul bagi penumpang yang menunggu untuk menaiki suatu

penerbangan tertentu. Pada umumnya ruang tunggu tersebut didesain

untuk menampung penumpang selama 15 menit sebelum waktu

keberangkatan dengan asumsi bahwa penumpang sudah

diperbolehkan untuk memasuki pesawat.

Beberapa ruang tunggu hanya menerima kartu kredit dengan

bank tertentu atau khusus penumpang dengan maskapai tertentu

karena kontrak perjanjian yang dibuat.