Ir. Sumijan,
M.Sc
Pengertian Risiko
Menurut Peltier dalam Gondodiyoto (2007 :
110), risiko adalah sesuatu yang dapat menciptakan atau menimbulkan bahaya.
Menurut Peltier (2005: 325), “Risk is the
Jenis Risiko
Menurut Gondodiyoto (2007 : 112), dari berbagai sudut pandang, risiko dapat dibedakan dalam beberapa jenis, diantaranya :
Risiko Bisnis (Business Risk)
Risiko bisnis adalah risiko yang dapat disebabkan oleh faktor-faktor intern maupun ekstern yang berakibat kemungkinan tidak tercapainya tujuan organisasi (business goal objectives). Risiko Bawaan (Inherent Risk)
Risiko bawaan ialah potensi kesalahan atau penyalahgunaan yang melekat pada suatu kegiatan jika tidak ada pengendalian internal.
Risiko Pengendalian (Control Risk)
Dalam suatu organisasi yang baik seharusnya sudah ada risk assessment, dan dirancang pengendalian internal secara
Jenis Risiko
Risiko Deteksi (Detection Risk)
Risiko deteksi adalah risiko yang terjadi karena prosedur audit yang dilakukan mungkin tidak dapat mendeteksi adanya error yang cukup matrealitas atau adanya kemungkinan fraud.
Risiko Audit (Audit Risk)
Risiko audit sebenarnya adalah kombinasi dari
Penetapan Penilaian Risiko dan
Pengendalian
Menurut Gondodiyoto (2007 : 559),
penilaian risiko dan pengendalian internal
dapat dilakukan dengan menggunakan :
Matriks Penilaian Risiko
Matriks Penilaian Risiko
Matriks penilaian risiko adalah metoda analisis
dengan menghitung aspek risiko (dampak) dan tingkat keterjadian risiko tersebut, dengan nilai : L (Low) nilai -1, M (Medium) nilai -2, H (High)
nilai -3.
Teknik perhitungan nilai risiko menggunakan
rasio antara dampak dengan keterjadian :
Risiko kecil (
Low
)
Jika dampak Low (-1) dan keterjadian Low (-1),
maka nilai risiko adalah -1. Artinya nilai risiko dari dampak dan keterjadian adalah kecil.
Jika dampak Low (-1) dan keterjadian Medium
(-2), maka nilai risiko adalah -2. Artinya nilai risiko dari dampak dan keterjadian adalah kecil.
Jika dampak Medium (-2) dan keterjadian Low
Risiko sedang (
Medium
)
Jika dampak Low (-1) dan keterjadian High (-3),
maka nilai risiko adalah -3. Artinya nilai risiko dari dampak dan keterjadian adalah sedang.
Jika dampak Low (-2) dan keterjadian Medium
(-2), maka nilai risiko adalah -4. Artinya nilai risiko dari dampak dan keterjadian adalah sedang.
Jika dampak High (-3) dan keterjadian Low (-1),
Risiko tinggi (
High
)
Jika dampak Medium (-2) dan keterjadian High
(-3), maka nilai risiko adalah -6. Artinya nilai risiko dari dampak dan keterjadian adalah tinggi.
Jika dampak High (-3) dan keterjadian Medium
(-2), maka nilai risiko adalah -6. Artinya nilai risiko dari dampak dan keterjadian adalah tinggi.
Jika dampak High (-3) dan keterjadian High (-3),
Matriks Penilaian
Pengendalian
Matrik penilaian pengendalian adalah metoda analisis
desain (rancangan) dan tingkat efektifitas pengendalian internal. Besarnya tingkatan efektifitas dan desain (rancangan) dinyatakan dengan : L (Low) nilai 1, M (Medium) nilai 2, H (High) nilai 3.
Teknik perhitungan dalam matriks penilaian
pengendalian menggunakan fungsi perkalian anatara efektifitas dengan desain (rancangan). Kriteria penilaian dalam matriks pengendalian terdiri dari :
Pengendalian kecil (Low) nilainya berkisar antara -1 Pengendalian sedang (Medium) nilainya antara 3
dan 4,
Pengendalian kecil (
Low
)
Jika efektifitas Low (1) dan desain Low (1), maka
nilai pengendalian adalah 1. Artinya nilai pengendalian dari efektifitas dan desain adalah kecil.
Jika efektifitas Low (1) dan desain Medium (2),
maka nilai pengendalian adalah 2. Artinya nilai pengendalian dari efektifitas dan desain adalah kecil.
Jika efektifitas Medium (2) dan desain Low (1),
Pengendalian sedang
(
Medium
)
Jika efektifitas Low (-1) dan desain High (-3),
maka nilai pengendalian adalah -3. Artinya nilai pengendalian dari efektifitas dan desain adalah sedang.
Jika efektifitas Low (2) dan desain Medium (2),
maka nilai pengendalian adalah 4. Artinya nilai pengendalian dari efektifitas dan desain adalah sedang.
Jika efektifitas High (3) dan desain Low (1),
Pengendalian tinggi (
High
)
Jika efektifitas Medium (2) dan desain High (3),
maka nilai pengendalian adalah 6. Artinya nilai pengendalian dari efektifitas dan desain adalah tinggi.
Jika efektifitas High (3) dan desain Medium (2),
maka nilai pengendalian adalah 6. Artinya nilai pengendalian dari efektifitas dan desain adalah tinggi.
Jika efektifitas High (3) dan desain High (3),
Penilaian Risiko
Penetapan tingkat efektifitas antara risiko dan
pengendalian adalah sebagai berikut :
Jika jumlah penilaian risiko dan pengendalian 0, maka
tingkat pengendalian dan risiko adalah standar, artinya setiap risiko yang terjadi dapat ditanggulangi oleh pengendalian yang ada.
Jika jumlah penilaian risiko dan pengendalian positif, maka
pengendalian baik. Tetapi jika nilai pengendalian terlalu tinggi dibanding risiko, maka kemungkinan akan terjadi kelebihan pengendalian (over control) yang menyebabkan terjadinya pemborosan dalam operasional.
Jika jumlah penilaian risiko dan pengendalian negatif, maka
Teknik Penilaian Risiko dan
Pengendalian
Menurut Griffiths, David M (2007: 18), setelah
memperoleh bukti audit yang cukup beserta temuannya dengan menggunkan instrumen pengumpulan bukti, audit dilanjutkan dengan menggunakan matriks penilaian risiko guna merumuskan dan mempertajam analisa terhadap bukti evaluasi dan temuan agar dapat merumuskan dan menyimpulkan opini dengan melakukan perbandingan dan penilaian terhadap tingkat risiko dan pengendalian yang ada.
Matriks penilaian risiko adalah suatu cara untuk
Upaya Penanggulangan Risiko
(1)
Menurut Djojosoedarso (2005, hal. 4) upaya-upaya untuk menanggulangi
risiko harus selalu dilakukan, sehingga kerugian dapat dihindari atau diminimumkan. Sesuai dengan sifat dan objek yang terkena risiko, ada beberapa cara yang dapat dilakukan (perusahaan) untuk meminimumkan risiko kerugian, antara lain:
Melakukan pencegahan dan pengurangan terhadap kemungkinan terjadinya peristiwa yang menimbulkan kerugian, misalnya membangun gedung dengan bahan-bahan yang antiterbakar untuk mencegah bahaya kebakaran,memagari mesin-masin untuk menghindari kecelakaan kerja, melakukan pemeliharaan dan penyimpanan yang baik terhadap bahan dan hasil produksi untuk menghindari risiko kecurian dan kerusakan, mengadakan pendekatan kemanusiaan untuk mencegah terjadinya pemogokan, sabotase dan pengacauan.
Upaya Penanggulangan Risiko
(2)
Melakukan pengendalian terhadap risiko, contohnya
melakukan hedging (perdagangan berjangka) untuk menanggulangi risiko kelangkaan dan fluktasi harga bahan baku pembantu yang diperlukan,
Mengalihkan/memindahkan risiko kepada pihak lain, yaitu
dengan cara mengadakan kontrak pertanggungan (asuransi) dengan perusahaan asuransi terhadap risiko tertentu, dengan membayar sejumlah premi asuransi yang telah ditetapkan, sehingga perusahaan asuransi akan mengganti kerugian bila betul-betul terjadi kerugian yang sesuai dengan perjanjian.
Tugas dari seorang manajer risiko adalah berkaitan erat
Macam-Macam Risiko
Menurut Djojosoedarso (2005, p3), risiko
dibedakan dengan berbagai macam cara,
antara lain:
Menurut sifatnya risiko
Dapat tidaknya risiko tersebut dialihkan kepada pihak lain
Menurut sifatnya risiko
Risiko yang tidak disengaja (risiko murni) adalah risiko yang apabila terjadi
tentu menimbulkan kerugian dan terjadinya tanpa disengaja, misalnya: risiko terjadinya kebakaran, bencana alam, pencurian, penggelapan, pengacauan, dan sebagainya.
Risiko yang disengaja (risiko spekulatif) adalah risiko yang sengaja
ditimbulkan oleh yang bersangkutan, agar terjadinya ketidakpastian memberikan keuntungan kepadanya, misalnya: risiko utang-piutang, perjudian, perdagangan berjangka (hedging), dan sebagainya.
Risiko fundamental adalah risiko yang penyebabnya tidak dapat dilimpahkan
kepada seseorang dan yang menderita tidak hanya satu atau beberapa orang saja, tetapi banyak orang, seperti: banjir, angin topan dan sebagainya.
Risiko khusus adalah risiko yang bersumber pada peristiwa yang mandiri dan
umumnya mudah diketahui penyebabnya, seperti: kapal kandas, pesawat jatuh, tabrakan mobil, dan sebagainya.
Risiko dinamis adalah risiko yang timbul karena perkembangan dan
Dapat tidaknya risiko tersebut
dialihkan kepada pihak lain
Risiko yang dapat dialihkan kepada pihak
lain, dengan mempertanggungkan suatu
objek yang akan terkena risiko kepada
perusahaan asuransi, dengan membayar
sejumlah premi asuransi, sehingga semua
kerugian
menjadi
tanggungan
pihak
perusahaan asuransi.
Risiko yang tidak dapat dialihkan kepada
Risiko intern, yaitu risiko yang berasal dari
dalam perusahaan itu sendiri, seperti:
kerusakan aktiva karena ulah karyawan
sendiri, kecelakaan kerja, kesalahan
manajemen dan sebagainya.
Risiko ekstern, yaitu risiko yang berasal
Kategori Risiko Tesknologi
Informasi
Menurut Hughes (2006, p36), dalam
penggunaan teknologi informasi berisiko
terhadap
kehilangan
informasi
dan
pemulihannya yang tercakup dalam 6
kategori, yaitu:
Keamanan
Ketersediaan Daya Pulih Performa
Kategori Risiko Tesknologi Informasi (1)
Keamanan
Risiko yang informasinya diubah atau digunakan oleh orang yang tidak berwenang. Misalnya saja kejahatan komputer, kebocoran internal dan terorisme cyber.
Ketersediaan
Risiko yang datanya tidak dapat diakses setelah kegagalan sistem, karena kesalahan manusia (human error),
perubahan konfigurasi, dan kurangnya penggunaan arsitektur.
Daya Pulih
Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam waktu yang cukup, setelah terjadinya kegagalan dalam perangkat lunak atau keras,ancaman
Kategori Risiko Tesknologi Informasi (2)
Performa
Risiko dimana informasi tidak tersedia saat diperlukan, yang diakibatkan oleh arsitektur terdistribusi, permintaan yang tinggi dan topografi informasi teknologi yang beragam.
Daya Skala
Risiko yang perkembangan bisnis, pengaturan bottleneck,
dan bentuk arsitekturnya membuatnya tidak mungkin menangani banyak aplikasi baru dan biaya bisnis secara efektif.
Ketaatan
Kelas-kelas Risiko Teknologi
Informasi
Menurut Jordan & Silcock (2005, p49), risiko-risiko
teknologi didefinisikan dalam 7 kelas, dimana pada setiap kasus, teknologi informasi dapat juga melakukan kesalahan, tetapi konsekuensi-konsekuensinya dapat berakibat negatif bagi bisnis. Kelas-kelas risiko yaitu :
Projects-failing to deliver
IT service continuity-when business operations go off
the air
Information assets-failing to protect and preserve
Service providers and vendors-breaks in the IT value
chain
Applications-flaky systems
Infrastructure-shaky foundations