Manajemen Resiko Dalam Daur Hidup BPM Diterjemahkan dari artikel Michael zur Muehlen, Danny Ting-Yi Ho,

Risk Management in the BPM Lifecycle

Rinda Cahyana

ABSTRAK

Business Process Management (BPM) merupakan strategi penting dalam membuat dan memelihara hasil kompetitif. Perhatian sejumlah peneliti terhadap resiko dalam proyek tertentu sangat sedikit sekali. Mereka lebih berkeinginan untuk mengidentifikasi factor sukses kritis dari manajemen proses bisnis dari proyek tersebut. Sekalipun proyek BPM meliputi fase yang terkait dengan pembangunan dan pengembangan perangkat lunak, strategi manajemen resiko ditemukan pada kerekayasaan perangkat lunak. Artikel ini akan memperlihatkan resiko yang berhubungan dengan proyek BPM sepanjang fase daur hidup (lifecycle) BPM. Setelah klasifikasi resiko ditemukan dalam setiap fase daur hidup dan transisinya, selanjutnya akan didiskusikan empat strategi untuk menghadapi resiko tersebut: penghidanran (avoidance), pengurangan (mitigation), pemindahan (transfer), dan penerimaan (acceptance). Pandangan jauh dari artikel ini adalah mendiskusikan bagaimana framework penilaian seperti CobIT dan COSO berhubungan dengan identifikasi resiko.

PENDAHULUAN

BPM adalah daur hidup proses penemuan, penentuan, implementasi, eksekusi, pengawasan, dan pengendalian. Resiko mengancam kesuksesan proyek proses bisnis, sebagaimana dijelaskan dalam [2, 3]. Dalam studinya Grover menyebutkan bahwa 7 dari 10 proyek proses bisnis gagal [1]. Maka diperlukan pemahaman tentang penyebab kegagalan dalam proyek tersebut.

Artikel ini akan dijelaskan resiko yang ada di dalam proyek BPM di sepanjang daur hidup BPM. Selanjutnya akan didiskusikan pilihan bagi manajer proyek BPM untuk menghadapi resiko tersebut berdasarkan 4 strategi manajemen resiko. Pada bagian akhir akan diuraikan peran framework yang ada seperti COSO dan CobIT dalam mengidentisikasi resiko dan merencanakan mitigasinya.

PEMBAHASAN

1. Business Process Management

Zairi dan Sinclair menyatakan bahwa BPM adalah “a structured approach to analyze and continually improve fundamental activities such as manufacturing, marketing, communication and other major elements of a company’s operations” [5]. Elzinga et al. menegaskan bahwa tidak perduli bagaimana peningkatan berkelanjutan dilakukan, tetapi harus berdasarkan kepada kualitas produk dan layanan yang akan dievaluasi oleh pelanggan. Oleh sebab itu mereka mendefinisikan bahwa BPM adalah “a systematic, structured

approach to analyze, improve, control, and manage processes with the aim of improving the quality of products and services” [6] . Harmon menguatkan gagasan ini [7]: “BPM refers to aligning processes with the organization's strategic goals, designing and implementing process architectures, establishing process measurement systems that align with organizational goals, and educating and organizing managers so that they will manage processes effectively.”

Pekerjaan inti dari BPM adalah membuat pelurusan di antara setiap komponen proses: Masukan, Keluaran, Sumber Daya, Struktur Proses, dan Tujuan Proses. Jika pelurusan dicapai, daya guna (performance) dari keseluruhan proses organisasi meningkat baik dari sisi kualitas (seperti berkurangnya pemborosan waktu dan idle) dan kuantitas (seperti pendeknya waktu daur, cepat menyesuaikan dengan perubahan lingkungan) prosesnya. Pendekatan iterative dalam bentuk daur hidup manajemen proses berkelanjutan membantu organisasi untuk mencapai, memelihara, dan meningkatkan kualitas prosesnya. Daur hidup tersebut seperti tampak pada gambar 1.

Kegunaan dari fase desain / perancangan adalah mengidentifikasi proses organisasai yang diharapkan dapat dianalisa, dirancang ulang, dan atau diotomatisasi. Rincian dari proses tersebut ditetapkan dan dipetakan menggunakan metode pemodelan semi formal. Sebelum proses dirancang atau dirancang ulang, sangat perlu untuk mengidentifikasi dan menjelaskan variable yang akan mempengaruhi proses perancangan. Secara internal, variable tersebut meliputi maksud dan kegunaan dari proses, pengetahuan tentang batasan proses, dan pengaruhnya bagi organisasi. Variable eksternal merefleksikan stackholder luar

seperti penyedia, pelanggan, competitor, pemerintah. Kelengkapan rincian tujuan dan analisa organisasi mendefinisikan parameter dan batasan bagi proses perancangan ulang.

Gambar 1. Daur Hidup BPM

Selama fase implementasi, proses yang telah ditetapkan dipetakan ke dalam lingkungan operasional apakah dengan cara manual (seperti melalui buku pedoman prosedur) ataupun otomatis (seperti melalui perangkat lunak BPM atau workflow). Pada akhirnya, proses dieksekusi dan diawasi secara real time. Untuk tujuan pengendalian proses, audit yang dihasilkan dari tahap process enactment dan monitoring dapat digunakan dalam tahapan evaluasi ini.

2. Resiko dan Manajemen Resiko

Dalam teori pembuatan keputusan klasik, resiko diartikan sebagai “reflecting variation in the distribution of possible outcomes, their likelihoods, and their subjective values” [8]. Dengan definisi ini, resiko dapat diekpresikan secara matematis sebagai, “the probability of occurrence of loss/gain multiplied by its respective magnitude.” [20] Lembaga manajemen proyek mendefinisikan resiko sebagai “an uncertain event or condition that, if it occurs, has a positive or negative effect on a project objective” [23]. Sejak resiko dihubungkan dengan hasil yang negative [8] perbedaan antara resiko dan masalah menjadi tidak jelas. Charette menyatakan bahwa resiko adalah bukan masalah, tapi pada kebanyakan “masalah potensial”

mungkin dihasilkan oleh pembuatan keputusan tidak lengkap (sebagian). Oleh karena itu disebutkan, “risk is the probability of unwanted consequences of an event and decision” [10].

Kegunaan dari manajemen resiko adalah untuk “reduce or neutralize potential [risks], and simultaneously offer opportunities for positive improvement in performance.” [22]. Framework manajemen resiko umum disusun oleh 3 fase tindakan utama: identifikasi, analisis, dan pengendalian [3]. Resiko disebabkan karena bermacam ketidakpastian [12], karena itu tidak mudah untuk menggambarkan resiko secara akurat. Salah satu cara identifikasi resiko adalah dengan melihat karakteristik resiko seperti pengaruh, kemungkinan, kerangka waktu, dan keterhubungannya dengan resiko lainnya [12]. Empat strategi resiko yang diusulkan dalam sejumlah literatur antara lain mitigation [13], avoidance, transfer, dan acceptance / assumption [14]. Ringkasan ringasan dari rincian strategi tersebut dapat dilihat pada table 1.

2.1. Taksonomi Umum Resiko Dalam Proyek Enterprise

Ide tentang resiko dalam enterprise ditemukan pada sejumlah literatur akademik. Taksonomi resiko dalam enterprise yang paling popular adalah dengan melihat kepada konteks resiko. Biasanya, entitas bisnis selalu terancam oleh resiko natural, resiko manusia, dan resiko lingkungan [14]. Hal yang sama, dalam bidang proyek BPM, resiko dapat dikategorikan kedalam tiga kelompok: resiko manusia, resiko manajemen, dan resiko teknis [3]. Sementara itu, sumber daya organisasi/manusia dan teknologi informasi (TI) merupakan dua enabler utama dari inovasi proses [15]. Enabler tersebut dapat menimbulkan pengaruh negative bagi bisnis jika mereka tidak dikelola dengan baik.

Dalam modelnya tentang factor resiko dalam implementasi sistem enterprise, Scott dan Vessey menambahkan konteks bisnis eksternal ke dalam factor resiko [16]. Dalam suatu

penelitian disebutkan bahwa konteks umum resiko diturunkan ke dalam kelompok kecil: campuran keahlian, strategi dan struktur manajemen, desain perangkat lunak sistem, keterlibatan dan pelatihan pengguna, perencanaan teknologi, manajemen proyek, dan komitmen social [17].

Tabel 1. Strategi Manajemen Resiko

STRATEGI MANAJEMEN

RESIKO

DEFINISI CONTOH

Mitigation Untuk mengurangi kemungkinan resiko dan/atau dampaknya. Pembatasan resiko membantu pada implementasi control yang memperkecil pengaruh dari resiko yang terjadi, tetapi tidak meredakannya.

Standarized process routing

Formalized exception handling

Complete kit processing

Collaboration, check and Balance

Avoidance Untuk menghilangkan kemungkinan adanya resiko tertentu sebelum terjadi.

Process design

Transfer Untuk menggeser resiko atau konsekuensi yang disebabkan karena resiko dari satu bagian ke bagian yang lain. Juga sering disebut sebagai “risk sharing”.

Process outsourching

Insurance policies

Acceptance / Assumption

Untuk menyesuaikan diri dengan resiko tatkala resiko menjadi masalah. Pembuatan risk contingency plan diperlukan pada strategi ini.

Adaptation to regulatory requirement

2.2. Resiko Khusus Pada Proyek BPM

Daur hidup sebagaimana nampak pada gambar 1 merupakan gambaran strategi manajemen proses berkelanjutan yang ideal, namun pada saat pelaksanaannya sejumlah resiko muncul dan perlu dikelola. Sejumlah resiko muncul di dalam fase daur hidup, dan yang lainnya muncul pada transisi dari dua resiko.

Tabel 2 menunjukan resiko yang terdapat pada sebuah fase atau di antara dua fase. Secara umum resiko muncul karena: 1) Ketidaksesuaian metode yang dikerjakan dalam fase daur

hidup proses yang berbeda, 2) Kekurangjernihan tentang siapa yang bertanggung jawab atas setiap fase atau hasilnya, dan 3) Ketidaksesuaian desain proses, otomatisasi, dan hasil evaluasi. Manajer proyek BPM harus memperhatikan setiap wilayah tersebut.

Tabel 2. Contoh Resiko Pada BPM

FASE RESIKO

Analisis Analisa dilakukan tanpa berlandaskan tinjauan strategis.

Gagal dalam mendefinisikan hasil/nilai proses dalam bahasa yang difahami oleh stakeholder

Perhatian berlebih pada variable teknis

Gagal dalam menghubungkan sistematika / resiko organisasi dengan analisa.

Analisis ke Desain Metode gagal dalam memetakan hasil analisa ke model proses

Kehilangan informasi selama proses pemetaan.

Desain Implementasi multiple modeling technologies

Kekurangan / ketiadaan komunikasi antara desainer proses dengan stakeholder proses.

Desainer mengabaikan perspektif organisasi dari desain

Mekanisme penanganan resiko terlewatkan dalam desain

Desain ke implementasi

Penerjemahan yang salah dari model proses ke rencana implementasi.

Ketidaksesuaian metode perancangan dengan metode / perspektif implementasi.

Implementasi Kekurangan tinjauan level atas (eksekutif) dalam implementasi.

Level manajemen kurang cukup pengetahuan tentang manajemen proses.

Terlalu focus pada isu teknis

Model yang dirancang tidak dapat diterapkan pada infrastruktur yang ada.

Model yang dirancang tidak dapat diterapkan pada struktur organisasi yang ada.

Gagal dalam merelokasikan sumber daya.

Gagal dalam menyusun ulang / menempatkan kembali peran dan tanggung jawab terhadap stakeholder proses.

Stakeholder proses menerima proses dan peran baru tanpa melihat kepada desainnya.

Eksekusi Penolakan dari stakeholder untuk menjalankan kegiatan orientasi proses.

Stakeholder merasa tidak nyaman dalam kepemimpinan orientasi proses.

Stakeholder terlalu lama dalam beradaptasi dengan gaya kerja orientasi proses.

Stakeholder gagal membangun kolaborasi di antara divisi.

Gagal dalam komunikasi di antara stakeholder.

Komposisi stakeholder berubah selama berjalan.

Sistem tidak stabil dalam lingkungan berjalan.

Penyedia layanan tidak ada

Peraturan baru yang menyebabkan proses dianggap illegal.

Pengawasan Kekurangan dalam strategi pengawasan, perencanaan, tujuan, dan metode.

Stakeholder/aturan melarang transparansi proses

Informasi cacat yang dihasilkan oleh stakeholder

Ketiadaan kebijakan saringan informasi yang tepat.

Pengawasan tanpa perspektif kualitatif (misal: numerical focus)

Sasaran hasil pengawasan berbeda dengan sasaran hasil desain

Pengawasan dan eksekusi ke pengendalian

Gagal dalam menerjemahkan bahan data audit ke dalam informasi yang berguna.

Kekurangan manajemen dalam menyatukan sejumlah saluran informasi.

Campur tangan manusia yang tidak terlacak dalam proses

Gagal dalam melaporkan isu kritis

Pengendalian Ketiadaan standar untuk kebijakan evaluasi / metode

Sasaran hasil pengendalian berbeda dengan sasaran hasil desain proses.

Kesalahfahaman terhadap data audit

Hilangnya hubungan data audit ke data bisnis

Gagal dalam menghubungkan evaluasi ke strategis dan variable eksternal.

Pengendalian ke perancangan

Kekurangan dalam definisi mekanisme feedback

Ketidaksanggupan dalam mengenali masalah dari evaluasi.

Gagal mendapatkan contingency plan dari evaluasi

Pengendalian dan peningkatan proses dilakukan oleh stakeholder yang berbeda.

Berikut ini adalah klasifikasi kategori resiko berdasarkan kepada tinjauan literatur terkait:

Tabel 3. Klasifikasi Resiko

FAKTOR RESIKO DEFINISI

Metode Kekurangan dalam memahami atau kesalahan dalam menggunakan metode dalam fase perencanaan, perancangan, implementasi, pembuatan, dan evaluasi.

Komunikasi Kekurangan dalam komunikasi di antara stakeholder BPM dan partisipan. Meliputi percakapan, pertemuan, pelatihan, pelaporan, dan komunikasi dalam bentuk lainnya [3, 17, 18]

Informasi Ketiadaan informasi yang efisien, efektif, aman, fleksibel pada pemindahan di antara fase daur hidup dan pengawasan proses, dan tindakan pengendalian [17, 18].

Sistem / Teknologi Implementasi sistem / teknologi yang gagal oleh sebab alami atau campur tangan manusia yang tidak benar [1, 17, 18].

Leadership / Management

Gagal dalam menampilkan kepemimpinan yang kuat dan atau manajemen proyek yang tepat [1, 3, 17]

Sumber daya / Keahlian

Gagal dalam memilih sumber daya / keahlian atau salah dalam menggunakannya [1, 3, 17, 18]

Adaptasi terhadap perubahan

Ketidaksanggupan dalam mengelola perubahan [1, 3, 17, 18]

Pikiran Strategis Gagal dalam mendefinsikan visi, tujuan, fungsi dari semua stakeholder BPM, pastisipan, and komponen terkait [1, 3, 17, 18]

3. Pendekatan Manajemen Resiko Lainnya : ERM dan CobIT

Klien menyatakan bahwa manajemen resiko harus mengandung tiga tindakan: identifikasi resiko, analisa resiko, dan pengendalian resiko [3]. Peltiar menyarankan daur hidup manajemen resiko lengkap yang meliputi: analisis, desain, konstruksi, pengujian, dan pemeliharaan [14].

ERM adalah framework yang dirancang oleh Committee of Sponsoring Organizations of the Treadway Commission (COSO) yang membantu bisnis dalam mengukur dan meningkatkan kendali sistem internal mereka. Istilah “kendali sistem internal” berarti semua kebijakan dan prosedur yang diadopsi sebagai bantuan untuk mencapai tujuan manajemen di seputar perawatan dan efisien dalam bisnis [11]. COSO mendefinisikan ERM sebagai “… a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable

assurance regard in the achievement of entity objectives” [11].

Gambar 2. Framework COSO Manajemen Resiko Enterprise (kiri) dan CobIT (kanan)

COSO menyatakan bahwa untuk mengurangi pengaruh dari resiko diperlukan empat tujuan utama manajemen resiko, yakni: strategi, operasi, pelaporan (reporting), dan pemenuhan (compliance). Untuk setiap tujuan utama tersebut ditambahkan 8 komponen, yakni: lingkungan internal, penentuan tujuan, identifikasi kejadian, penilaian resiko, penanganan resiko, aktivitas pengendalian, informasi dan komunikasi, dan pengawasan.

Control Objectives for Information and related Technologies (CobIT) yang dibuat oleh IT Governance Institute (ITGI) adalah sejumlah panduan berorientasi audit yang membantu bisnis meningkatkan pengelolaan TI-nya [19]. ITGI percaya bahwa manajemen efektif dalam informasi dan TI terkait akan menghasilkan kesuksesan yang simetris dengan daya guna bisnis. Merealisasikan manajemen resiko dengan meningkatkan keamanan informasi, akuntabilitas, dan intergritas menjadi salah satu tantangan besar dalam pengelolaan TI. ITGI menyajikan empat level tinggi tujuan pengendalian TI: perencanaan dan organisasi,

kemahiran dan implementasi, pengiriman dan dukungan, pengawasan. Mengenai komponen, ITGI mengadopsi framework ERM COSO dan menyederhanakannya ke dalam 5 komponen manajemen TI: lingkungan kendali, pengukuran resiko, aktivitas pengendalian, informasi dan komunikasi, dan pengawasan. Pada saat daur pengiriman sasaran hasil kendali CobIT, entitas bisnis akan dapat mengidentifikasi resiko yang mengancam penggunaan informasi di dalam organisasi, dan lebih lanjut mengurangi ancaman sebelum terjadinya krisis.

Baik ERM COSO maupun CobIT keduanya merupakan framework berguna yang dapat dijadikan panduan kegiatan manajer proyek BPM untuk menstrukturkan pengenalan resiko dan kegiatan mitigasi. Framework ERM COSO lebih komprehensif karena merinci wilayah resiko, sementara CobIT lebih selaras dengan konsep daur hidup sebagiaman ide umum kegiatan BPM.

KESIMPULAN

Dalam artikel ini didiskusikan resiko yang menjadi bagian dari daur hidup BPM. Berdasarkan literatur tentang taksonomi resiko dikemukakan contoh manajemen resiko dalam klasifikasi yang dihubungkan dengan setiap fase daur hidup BPM. Faktor resiko utama teridentifikasi berhubungan dengan susunan stakeholder proyek BPM, dan ketidaksesuaian metode, organisasi, proses, implementasi, tujuan evaluasi, dan pengukuran. Dalam studi ini ditunjukan bahwa proyek BPM menghadapi resiko pada setiap fase daur hidup BPM dan transisinya. Artikel ini tidak merinci strategi manajemen resiko untuk BPM dalam praktiknknya, dan pekerjaan di kemudian hari adalah memetakan resiko ke dalam aktivitas di dalam framework COSO dan CobIT, yang diharapkan dapat membawa kepada strategi mitigasi resiko untuk proyek BPM.

DAFTAR PUSTAKA

[1] Grover, V.: From Business Reengineering to Business Process Change Management: A Longtitudinal Study of Trends and Practices. IEEE Transactions on Engineering Management 46 (1999) 36-46

[2] Clemons, E. K., Thatcher, M. E., Row, M. C.: Identifying Sources of Reengineering Failures: A Study of the Behavioral Factors Contributing to Reengineering Risks. Journal of Management Information Systems 12 (1995) 9 - 36

[3] Kliem, R. L.: Risk Management for Business Process Reengineering Projects. Information Systems Management 17 (2000) 71-73

[4] Smith, H., Fingar, P.: Business Process Management - The Third Wave. Meghan Kiffer Press, Tampa, FL (2003)

[5] Zairi, M., Sinclair, D.: Business Process re-engineering and process management. Business Process Re-engineering & Management Journal 1 (1995) 8 - 30

[6] Elzinga, D. J., Horak, T., Lee, C.-Y., Bruner, C.: Business Process Management: Survey and Methodology. IEEE Transactions on Engineering Management 42 (1995) 119 - 128

[7] Harmon, P.: Evaluationg an Organization's Business Process Maturity. Business Process Trends 2 (2004)

[8] March, J. G., Shapira, Z.: Managerial Perspectives on Risk and Risk Taking. Management Science 33 (1987) 1404-1418

[9] Wiegers, K.: Knowing your enemy: software risk management. Software Development 6 (1998)

[10] Michael zur Muehlen, Danny Ting-Yi Ho, Charette, R.: Applications Strategies for Risk Management. McGraw-Hill, New York (1990)

[11] COSO: Enterprise Risk Management - Integrated Framework. Executive Summary. Committee of Sponsoring Organizations of the Threadway Commission, (2004)

[12] Gemmer, A.: Risk management: moving beyond process. Computer 30 (1997) 33 - 43

[13] Adler, T. R., Leonard, J. G., Nordgren, R. K.: Improving Risk Management: Moving from Risk elimination to Risk Avoidance. Information and Software Technology 41 (1999) 29-34

[14] Peltier, T. R.: Risk Analysis and Risk Management. The EDP Audit, Control, and Security Newsletter 32 (2004)

[15] Davenport, T. H.: Process Innovation. Harvard Business School Press, Boston, Massachusetts (1993)

[16] Scott, J. E., Vessey, I.: Managing Risks in Enterprise Systems Implementations. Communications of the ACM 45 (2000) 74-81

[17] Sumner, M.: Risk Factors in Enterprise-wide/ERP projects. Journal of Information Technology 15 (2000) 317-327

[18] Somers, T. M., Nelson, K. G.: A Taxonomy of Players and Activities across the ERP Project Life Cycle. Information and Management 41 (2002) 257 - 278

[19] IT Governance Institute (ITGI): IT Control objectives for Sarbanes-Oxley. http://www.itgi.org/template_ITGI.cfm?template=/ContentManagement/ContentDisplay.cfm&ContentID=14133

[20] Jaafari, A.:Management of Risks, Uncertainties and Opportunities on Projects: Time for a Fundamental Shift. International Journal of Project Management 19-2 (February 2001) 89-101.

[21] Miller, R., and Lessard, D.: Understanding and Managing Risks in Large Engineering Projects. International Journal of Project Management 19 (2001) 437-443

[22] Ward, S., and Chapman, C.: Transforming Project Risk Management into Project Uncertainty Management. International Journal of Project Management 21-2 (1994) 97-105

[23] Project Management Institute: A Guide to the Project Management Body of Knowledge (PMBOK Guide), 2000 edition. Project Management Institute