2.1Risiko
Risiko merupakan suatu keadaan dimana adanya ketidakpastian dan tingkat ketidakpastiannya terukur secara kuantitatif. Risiko juga dapat diartikan sebagai suatu keadaan ketidakpastian, di mana jika terjadi suatu keadaan yang tidak dikehendaki dapat menimbulkan suatu kerugian. Risiko berhubungan dengan ketidakpastian ini terjadi oleh karena kurang atau tidak tersedianya cukup informasi tentang apa yang akan terjadi. Sesuatu yang tidak pasti (uncertain) dapat berakibat menguntungkan atau merugikan[5].
Seluruh kegiatan yang dilakukan baik perorangan atau perusahaan mengandung risiko. Kegiatan bisnis sangat erat kaitannya dengan risiko. Risiko dalam kegiatan bisnis juga dikaitkan dengan besarnya pengembalian yang akan diterima oleh pengambil risiko. Semakin besar risiko yang dihadapi umumnya dapat diperhitungkan bahwa pengembalian yang diterima juga akan lebih besar. Menurut Vaughan (1978), risiko memiliki beberapa arti dan definisi, yaitu:
1. Risk is the chance of loss (risiko adalah kans kerugian). Chance of loss
berhubungan dengan suatu exposure (keterbukaan) terhadap kemungkinan kerugian. Dalam ilmu statistik, chance dipergunakan untuk menunjukkan tingkat probabilitas akan munculnya situasi tertentu. Dalam hal chance of loss 100%, berarti kerugian adalah pasti sehingga risiko tidak ada.
2. Risk is the possibility of loss (risiko adalah kemungkinan kerugian). Istilah
possibility berarti bahwa probabilitas sesuatu peristiwa berada di antara nol dan
satu. Namun, definisi ini kurang cocok dipakai dalam analisis secara kuantitatif.
3. Risk is Uncertainty (risiko adalah ketidakpastian). Uncertainty bersifat
subjective dan objective. SubjectiveUncertainty merupakan penilaian individu
terhadap situasi resiko yang didasarkan pada pengetahuan dan sikap individu yang bersangkutan. Objective Uncertainty akan dijelaskan pada dua definisi risiko berikut.
4. Risk is the dispersion of actual from expected results (risiko merupakan
mendefinisikan risiko sebagai derajat penyimpangan sesuatu nilai di sekitar suatu posisi sentral atau di sekitar titik rata-rata.
5. Risk is the probability of any outcome different from the one expected (risiko
adalah probabilitas sesuatu outcome berbeda dengan outcome yang diharapkan). Risiko bukan probabilitas dari suatu kejadian tunggal, tetapi probabilitas dari beberapa outcome yang berbeda dari yang diharapkan.
2.2 Manajemen Risiko
Manajemen risiko mengacu pada budaya, proses dan struktur yang diarahkan pada pengelolaan ketidakpastian. Proses pada manajemen risiko terjadi secara sistematis, terus menerus dan diterapkan dalam segala aspek. Dalam konteks organisasi, manajemen risiko diterapkan dalam seluruh bidang yang terdapat dalam organisasi tersebut[4].
Menurut ISO Guide 73 BS31100 manajemen risiko adalah aktivitas yang terkoordinasi untuk mengarahkan dan mengendalikan organisasi dari hal-hal yang berkaitan dengan risiko. Institute of Risk Management (IRM) mendefinisikan manajemen risiko sebagai proses yang bertujuan untuk membantu organisasi memahami, menilai dan mengambil tindakan pada semua risiko dengan maksud untuk meningkatkan kemungkinan keberhasilan dan mengurangi kemungkinan kegagalan. HM Treasury menjelaskan manajemen risiko sebagai semua proses yang terlibat dalam mengidentifikasi, menilai, dan mempertimbangkan risiko, menetapkan kepemilikan, mengambil tindakan untuk mengurangi atau mengantisipasi risiko, dan pemantauan dan peninjauan kemajuan.
Sedangkan menurut London School of Economics risiko bisnis harus diambil dan dipilah yang harus dihindari dan dikurangi diikuti oleh tindakan menghindar atau mengurangi risiko. Sedangkan menurut Business Continuity
Institute manajemen risiko merupakan budaya, proses dan struktur yang diletakan
untuk mengelola potensi peluang dan efek merugikan secara efektif [6]. 2.3Teknologi Informasi
Information Technology (IT) atau Teknologi Informasi (TI) adalah bagian
dari istilah dalam dunia Sistem Informasi (SI). Istilah TI sendiri lebih merujuk pada teknologi yang digunakan dalam menyampaikan maupun mengolah informasi, namun pada dasarnya masih merupakan bagian dari sistem informasi itu sendiri. TI
secara mudah dapat dipahami sebagai pengolahan informasi yang berbasis pada teknologi komputer dan karenanya terkait erat dengan perkembangan teknologi komputasi.
Teknologi Informasi (TI) adalah istilah untuk mendeskripsikan teknologi-teknologi yang memungkinkan manusia untuk[3]:
1. Mencatat (record) 2. Menyimpan (store) 3. Mengolah (process)
4. Mengambil kembali (retrieve) 5. Mengirim (transmit)
6. Menerima (receive) informasi
Menurut UU No.12 Th 2002, Teknologi adalah cara atau metode serta proses atau produk yang dihasilkan dari pemanfaatan berbagai disiplin ilmu pengetahuan yang menghasilkan nilai bagi pemenuhan kebutuhan, kelangsungan dan peningkatan mutu kehidupan manusia. Sedangkan DIKTI mendefinisikan sebagai ilmu terapan yang telah dikembangkan lebih lanjut meliputi perangkat keras (hadware) maupun perangkat lunak (software) melalui kegiatan penelitian dan pengembangan. Sedangkan menurut Gordon B Davis, Teknologi Informasi adalah
”Information is data that has been processed into a form that is meaningful to the recipient and is of real or perceived value in current or perspective decisions”. Burch dan Stater : “Information is the aggregation of processing of data to give knowledge or intelligence”. George R. Tery, PhD : “Information is meaningful data that conveys usable knowledge”.
Adapun komponen Information Technology (IT) sendiri adalah[7]:
1. Hadware (HW) : CPU, memory, I/O device, interconnector
2. Software (SW) : OS, package application, user application
3. Firmware (FW) : instruksi disimpan permanen dalam ROM
4. Brainware (BW) : end user, programmer, analyst, manager, DBA
2.4Ancaman
Menurut Ron Weber, ancaman merupakan situasi utama yang tidak menguntungkan dalam lingkungan suatu perusahaan. Ancaman merupakan penghalang utama bagi perusahaan dalam mencapai posisi saat ini atau yang diinginkan. Ancaman merupakan suatu peristiwa yang dapat merugikan dan membahayakan organisasi[10].
Ancaman terhadap sistem keamanan suatu perusahaan merupakan suatu hal yang sangat penting untuk dikaji. Ancaman sistem keamanan perusahaan menurut Agung Setiawan (2007:295-316) dalam bukunya yang berjudul pengantar sistem Komputer, Ancaman tersebut bisa berupa :
1. Pencurian
Pencurian dapat dilakukan oleh pihak personil didalam perusahaan sendiri atau dapat juga dilakukan oleh pihak luar perusahaan dengan bekerjasama dengan pihak dalam atau bekerja sendiri.
2. Sabotase
Sabotase merupakan tindakan yang sengaja untuk menghancurkan atau merusakkan asset perusahaan.
3. Kegagalan Arus Listrik
Listrik dapat menyebabkan kerusakan pada hardware serta dapat menggangu jalannya operasi pengolahan data. Listrik yang tidak stabil dapat merusak kompenen dan dapat mengakibatkan tampilan di layar terminal menjadi kabur sehingga proses pengolahan data terganggu. Arus listrik yang tiba-tiba terputus selama pengolahan data sedang berlangsung dapat merusak data base.
4. Api / Kebakaran
Kebakaran yang disebabkan oleh api (dapat berasal dari api itu sendiri atau dari hubungan pendek arus listrik) dapat memusnahkan segalanya dan dapat mengakibatkan bencana yang paling buruk bagi perusahaan. Kebakaran ini dapat terjadi sewaktu-waktu tanpa diduga.
5. Air / banjir
Air dapat menjadi ancaman bagi security. Air bisa datang dari kebocoran atap atau pipa, yang apabila bersentuhan dengan arus listrik dapat mengakibatkan korsleting arus listrik, listrik menjadi padam ataupun kebakaran. Banjir yang
datang pun akan menjadi ancaman, karena airnya dapat merusak hardware, atau
pun equipment yang berada atau disimpan di tempat yang rendah.
6. Temperatur
Temperatur yang terlalu panas atau terlalu dingin juga dapat merupakan komponen dan menggangu operasi. Kalau terlalu panas, dapat menyebabkan komponen yang tidak tahan panas menjadi rusak atau fungsinya terganggu. Temperatur yang terlalu dingin dapat menyebabkan ruangan menjadi lembab, akibatnya dapat menyababkan komponen berkarat karena uap air yang menempel.
7. Debu
Partikel debu yang menempel pada media yang disimpan diluar seperti misalnya pita magnetik atau disk magnetik dapat menggores permukaannya, yang dapat berakibat merusak fisik media yang disimpan. Kerusakan fisik media yang disimpan diluar dapat menyebabkan data yang dikandungnya menjadi rusak.
8. Magnet
Musuh utama bagi media yang disimpan diluar selain debu adalah magnet. Media/aset yang disimpan diluar dibuat dengan lapisan yang peka terhadap
magnet. Bila didekatkan ke magnet, maka data yang dikandungnya dapat
hilang.
9. Virus Komputer
Virus adalah suatu perangkat lunak yang mempunyai sifat perusak dimana ia dapat memperbanyak diri sendiri. Namun ada juga yang mengatakan bahwa, virus adalah suatu program yang dimaksudkan untuk melakukan sesuatu didalam sistem komputer tanpa kita menyadarinya dan menginginkannya. 10. Bencana Alam
Bencana alam seperti gempa bumi, angin ribut, banjir dan petir dapat juga merusak asset perusahaan.
2.5 ISO 31000: 2009 Risk Management - Principles and Guidelines
The International Organization for Standardization (ISO) 31000: 2009 Risk
Management - Principles and Guidelines merupakan sebuah standar internasional
penerapan manajemen risiko[12]. Standar internasional yang diterbitkan pada 13 November 2009 ini dapat digunakan oleh segala jenis organisasi dalam menghadapi berbagai risiko yang melekat pada aktivitas mereka. Walau ISO 31000:2009 menyediakan panduan generik, standar ini tidak ditujukan untuk menyeragamkan manajemen risiko lintas organisasi, tetapi ditujukan untuk memberikan standar pendukung penerapan manajemen risiko dalam usaha memberikan jaminan terhadap pencapaian sasaran organisasi. ISO 31000:2009 menyediakan prinsip, kerangka kerja, dan proses manajemen risiko yang dapat digunakan sebagai analisis manajemen risiko dalam usaha menjamin penerapan manajemen risiko yang efektif[8].
Gambar 2.1 Hubungan Antara Prinsip, Kerangka Kerja, dan Proses Manajemen Risiko
Sumber: http://crmsindonesia.org/ 2.5.1 Prinsip Manajemen Risiko
ISO 31000:2009 Risk Management-Principles and Guidelines menentukan sebelas prinsip yang perlu dipahami dan diterapkan pada kerangka kerja dan proses manajemen risiko untuk memastikan efektivitasnya. Sebelas prinsip tersebut adalah[11]:
1. Memberikan nilai tambah dan melindungi nilai organisasi
Prinsip ini menyatakan bahwa kegiatan manajemen risiko harus dapat meningkatkan kapabilitas organisasi dalam menyerap risiko agar organisasi dapat memanfaatkan peluang-peluang yang ada sekarang dan dapat muncul di masa depan (memberikan nilai tambah bagi organisasi). Selain itu, manajemen risiko juga harus dapat mengantisipasi risiko-risiko berdampak buruk yang dapat membahayakan pencapaian sasaran organisasi (melindungi nilai organisasi.
2. Bagian terpadu dari seluruh proses organisasi
Manajemen risiko harus melekat pada seluruh proses organisasi karena setiap proses organisasi menghadapi risiko yang dapat menyebabkan sasaran proses tersebut tidak tercapai. Prinsip ini juga secara implisit menyatakan bahwa manajemen risiko tidak hanya menjadi tanggung jawab top management dari organisasi, tetapi seluruh bagian dari organisasi.
3. Bagian dari pengambilan keputusan
Harus diingat bahwa setiap alternatif keputusan mengandung risiko tersendiri. Untuk itu dalam memilih alternatif keputusan, organisasi harus mempertimbangkan unsur risiko dari setiap alternatif, ketersediaan sumber daya organisasi, serta kapabilitas dan toleransi organisasi dalam menyerap risiko.
4. Secara khusus menangani ketidakpastian
Setiap organisasi tentu menghadapi ketidakpastian dalam perjalanannya mencapai sasaran mereka. Manajemen risiko membantu mengurangi aspek ketidakpastian dengan memberi ukuran (parameter) terhadap konsekuensi dari risiko. Parameter ini menunjukkan eksposur organisasi terhadap risiko tersebut, yang nantinya akan menentukan penanganan risiko. Penanganan risiko diharapkan dapat membantu organisasi mereduksi eksposur risiko dan ketidakpastian yang dihadapi organisasi.
5. Sistematis, terstruktur, dan tepat waktu
Prinsip ini menyatakan bahwa manajemen risiko harus dijalankan secara konsisten dan terintegrasi pada seluruh organisasi. Pembentukan risk
governance yang memperjelas kewenangan, peran, dan tanggung jawab dari setiap unit organisasi berkaitan dengan manajemen risiko juga diperlukan untuk mendukung efektivitas manajemen risiko.
6. Berdasarkan informasi terbaik yang tersedia
Penerapan manajemen risiko harus didukung dengan informasi terbaik yang dapat diperoleh organisasi. Informasi terbaik terdiri dari tiga aspek, yaitu relevan, terpercaya, dan tepat waktu. Untuk mendukung perolehan informasi terbaik, organisasi dapat melakukan proses dokumentasi dan membentuk
database informasi (misalnya membuat risk register). Tanpa adanya informasi
terbaik, penerapan manajemen risiko dapat menjadi tidak tepat sasaran. 7. Disesuaikan dengan kebutuhan organisasi
Setiap individu, unit kerja, dan organisasi tentu memiliki karakteristik tersendiri dan menghadapi risiko yang berbeda-beda. Salah satu keunggulan dari ISO 31000: 2009 adalah menyediakan standar generik yang dapat diadaptasi sesuai dengan kebutuhan pemangku risiko dalam usaha mencapai tujuannya masing-masing. Untuk itu, setiap pemangku risiko tidak dapat hanya mengikuti sistem manajemen risiko yang dibentuk oleh unit atau organisasi lain, tapi harus menyesuaikan dengan keadaan dan risiko yang dihadapinya.
8. Mempertimbangkan faktor budaya dan manusia
Penerapan manajemen risiko harus mempertimbangkan kultur, persepsi, dan kapabilitas manusia, termasuk memperhitungkan perselisihan kepentingan antara organisasi dengan individu di dalamnya. Hal ini penting untuk diperhatikan karena penerapan manajemen risiko dilakukan oleh sumber daya insani dari organisasi.
9. Transparan dan inklusif
Penerapan dan informasi mengenai manajemen risiko harus melibatkan seluruh bagian organisasi. Keberadaan suatu risiko juga tidak boleh disembunyikan atau dilebih-lebihkan.
10. Dinamis, berulang, dan responsif terhadap perubahan
Prinsip ini menyatakan bahwa manajemen risiko harus diimplementasikan secara konsisten dan berulang, serta harus dapat dapat memfasilitasi perubahan pada sisi internal dan eksternal organisasi. Proses monitoring dan review
menjadi aktivitas kunci dalam mendeteksi perubahan dan memfasilitasi penyesuaian pada manajemen risiko.
11. Memfasilitasi perbaikan sinambung dan peningkatan organisasi
Keberadaan manajemen risiko harus diperbaiki dari waktu ke waktu sesuai dengan perkembangan konteks internal dan eksternal organisasi. Perbaikan berkelanjutan ini diharapkan dapat membawa perbaikan yang signifikan pada organisasi.
2.5.2 Kerangka Kerja Manajemen Risiko
Kerangka kerja manajemen risiko terdiri dari beberapa tahapan, berikut pada gambar 2.2 menunjukan komponen-komponen kerangka kerja manajemen risiko.
Gambar 2.2 Komponen-komponen Kerangka Kerja Manajemen Risiko Sumber: www.slideshare.net
Kerangka kerja manajemen risiko ISO 31000: 2009 Risk
Management-Principles and Guidelines dimulai dengan pemberian mandat dan komitmen.
Pemberian mandat dan komitmen merupakan hal yang sangat penting karena menentukan akuntabilitas, kewenangan, dan kapabilitas dari pelaku manajemen risiko. Hal-hal penting yang harus dilakukan pada pemberian mandat dan komitmen adalah[18]:
2. Menyesuaikan indikator kinerja manajemen risiko dengan indikator kinerja perusahaan;
3. Menyesuaikan kultur organisasi dengan nilai-nilai manajemen risiko;
4. Menyesuaikan sasaran manajemen risiko dengan sasaran strategis perusahaan; 5. Memberikan kejelasan peran dan tanggung jawab;
6. Menyesuaikan kerangka kerja manajemen risiko dengan kebutuhan organisasi. Setelah pemberian mandat dan komitmen, kerangka kerja ISO 31000: 2009 dilanjutkan dengan kerangka implementasi “Plan, Do, Check, Act”, yaitu dengan melakukan:
1. Perencanaan kerangka kerja manajemen risiko; 2. Penerapan manajemen risiko;
3. Monitoring dan review terhadap kerangka kerja manajemen risiko;
4. Perbaikan kerangka kerja manajemen risiko secara berkelanjutan.
Perencanaan kerangka kerja manajemen risiko mencakup pemahaman mengenai organisasi dan konteksnya, menetapkan kebijakan manajemen risiko, menetapkan akuntabilitas manajemen risiko, mengintegrasikan manajemen risiko ke dalam proses bisnis organisasi, alokasi sumber daya manajemen risiko, dan menetapkan mekanisme komunikasi internal dan eksternal. Setelah melakukan perencanaan kerangka kerja, maka dilakukan penerapan proses manajemen risiko.
Dalam penerapan manajemen risiko, perlu dilakukan monitoring dan review terhadap kerangka kerja manajemen risiko. Setelah itu, kerangka kerja manajemen risiko perlu diperbaiki secara berkelanjutan untuk memfasilitasi perubahan yang terjadi pada konteks internal dan eksternal organisasi. Proses-proses tersebut kemudian berulang kembali untuk memastikan adanya kerangka kerja manajemen risiko yang mengalami perbaikan berkesinambungan dan dapat menghasilkan penerapan manajemen risiko yang handal[15].
2.5.3 Proses Manajemen Risiko
Proses Manajemen Risiko ISO 31000:2009 digambarkan kembali secara lebih detail sebagaimana gambar pada halaman selanjutnya. Proses pertama adalah Establishing The Context (Menetapkan Konteks)[1].
Gambar 2.3 Detail Proses Manajemen Risiko ISO 31000:2009 Sumber: www.slideshare.net
Dalam proses manajemen risiko langkah awal yang sangat penting adalah
Establishing The Context. Menetapkan konteks ini meliputi penetapan tujuan,
strategi, ruang lingkup dan parameter-parameter lain yang berhubungan dengan proses pengelolaan risiko suatu organisasi. Penetapan konteks ini menunjukkan hubungan antara masalah atau hal yang akan dikelola risikonya dengan lingkungan organisasi (eksternal & internal), proses manajemen risiko dan ukuran atau kriteria risiko yang dijadikan standar. Terdapat empat konteks yang perlu ditentukan dalam penetapan konteks, yaitu konteks internal, konteks eksternal, konteks manajemen risiko, dan kriteria risiko.
1. Konteks Internal
Konteks internal adalah memperhatikan sisi internal organisasi yaitu struktur organisasi, kultur dalam organisasi, dan hal-hal lain yang dapat mempengaruhi pencapaian sasaran organisasi.
2. Konteks Eksternal
Kontek eksternal adalah mendefinisikan sisi eksternal organisasi yaitu pesaing, otoritas, perkembangan teknologi, dan hal-hal lain yang dapat mempengaruhi pencapaian sasaran organisasi.
3. Konteks Proses Manajemen Risiko
Pada proses ini memperhatikan bagaimana manajemen risiko diberlakukan dan bagaimana hal tersebut akan diterapkan di masa yang akan datang. Manajemen risiko harus dilakukan dengan penuh pertimbangan, perlunya untuk memberikan alasan atas penggunaan akan sumber daya dalam melaksanakan manajemen risiko. Sumber daya yang diperlukan, tanggung jawab dan wewenang dan catatan untuk disimpan juga harus ditentukan. Konteks dalam proses manajemen risiko akan bervariasi sesuai dengan kebutuhan dari sebuah organisasi.
4. Menentukan Kriteria Risiko
Dalam pembentukan manajemen risiko organisasi perlu mendefinisikan parameter yang disepakati bersama untuk digunakan sebagai kriteria risiko. Parameter yang ditentukan merupakan standar seberapa besar kemungkinan atau likelihood risiko akan terjadi dan seberapa besar dampak atau consequence terjadinya risiko. Kriteria dampak ditetapkan dengan mempertimbangkan pengaruh risiko yang berimplikasi pada strategi perusahaan dan kepentingan
stakeholder. Kriteria risiko didapat dari kombinasi kriteria tingkat
kemungkinan dan dampak, Untuk ketentuan tingkat kemungkinan dan dampak tersebut dapat digambarkan pada tabel 2.1 dan tabel 2.2.
Tabel 2.1 Kriteria Likelihood/Kemungkinan
Rating Kriteria Frekuensi
1 Rare / Sangat Jarang Tidak terjadi dalam 3 tahun
2 Unlikely / Jarang Terjadi 1 kali dalam 3 tahun
3 Possible / Biasa Terjadi 1 kali dalam 2 tahun
4 Likely / Sering Terjadi 1-4 kali dalam 1 tahun
Tabel 2.2 Kriteria Consequence/Dampak
Rating Kriteria
1 Insignificant / Sangat Kecil
2 Minor / Kecil
3 Moderate / Biasa
4 Major / Besar
5 Catastrophic / Sangat Besar
Proses kedua adalah Risk Identification atau identifikasi risiko, yaitu melakukan identifikasi risiko-risiko yang dapat terjadi di masa yang akan datang (yaitu : risiko apa, kapan, di mana, bagaimana, mengapa suatu risiko bisa terjadi). Identifikasi ini termasuk pengidentifikasian poses-proses/tugas-tugas/aktifitas-aktifitas kritikal atau kunci, pengenalan area-area risiko dan katagorinya. Pendekatan yang digunakan yaitu menggunakan checklist, wawancara langsung dengan pihak yang bertanggung jawab yang mencakup penilaian berdasarkan pengalaman dan pencatatan. Pada ISO 31000 juga menjelaskan panduan proses identifikasi risiko. Berikut ini adalah proses identifikasi risiko[2]:
1. Identifikasi teknologi informasi yang dimiliki oleh organisasi 2. Identifikasi ancaman pada setiap teknologi informasi
3. Identifikasi kemungkinan risiko yang diakibatkan oleh adanya ancaman 4. Identifikasi dampak yang akan diterima oleh organisasi tersebut
Proses ketiga adalah Risk Analysis atau analisis risiko-risiko, yaitu proses menentukan berapa besar dampak (impact atau consequences) dan kemungkinan
(frequency atau likelihood) risiko-risiko yang akan terjadi. Analisis risiko dapat
dilakukan untuk berbagai tingkat rincian tergantung pada risiko, tujuan analisis, informasi, data dan sumber daya yang tersedia. Pada tahap analisis risiko dapat berbentuk kualitatif, kuantitatif maupun semi kuantitatif. Urutan kompleksitas dari biaya analisis mulai dari rendah hingga tinggi yakni kualitatif, semi kuantitatif dan kuantitatif.
1. Analisis Kualitatif
Analisis kualitatif adalah analisis yang paling banyak digunakan. Analisis kualitatif merupakan analisis yang cepat dan relatif mudah untuk digunakan untuk jangkauan identifikasi dampak dan kemungkinan yang luas. Analisis ini juga bisa memberikan pemahaman secara umum tentang perbandingan risiko
disegala bidang dengan berbagai tingkat risiko yang dapat digunakan sebagai bahan evaluasi pemeringkatan risiko.
2. Analisis Semi Kuantitatif
Analisis semi kuantitatif memberikan sebuah gambaran risiko yang lebih detail dalam segi prioritas sibandingkan dengan analisis kualitatif. Dalam proses analisis semi kuantitatif pada dampak dan kemungkinan risiko telah diberikan tingkatan jumlah yang dapat dikali untuk mendapatkan tingkat risiko secara numerik.
3. Analisis Kuantitatif
Pada proses ini risiko-risiko akan diukur secara spesifik, pada tahapannya menggunakan nilai numerik dari pengukuran yang mendalam bukan data deskriptif sekala yang digunakan seperti dalam analisis kualitatif dan semi kuantitatif. Dalam analisis kuantitatif nilai dari kemungkinan dibuat dari frekuensi kejadian seperti frekuensi tahunan atau frekuensi selama periodik.
Proses keempat adalah Risk Evaluation atau membandingkan risiko-risiko yang sudah dihitung diatas dengan kriteria risiko yang sudah distandarkan (menempatkan posisi risiko-risiko pada gambar kriteria risiko), apakah risiko-risiko itu low yang berarti risiko rendah atau dapat diterima, moderate berarti sedang atau perlu diwaspadai, atau high yang berarti tinggi atau tidak dapat diterima, serta memprioritaskan mitigasi atau penangannya[9].
Tabel 2.3 Risk Management Framework L IK E L IH O O D Almost Certain / Sangat Sering (5)
Moderate Moderate High High High
Likely / Sering
(4)
Low Moderate High High High
Possible / Biasa
(3)
Low Low Moderate High High
Unlikely / Jarang
(2)
Low Low Moderate Moderate High
Rare / Sangat Jarang (1)
Low Low Low Moderate Moderate
Insignificant / Sangat Kecil (1) Minor / Kecil (2) Moderate / Biasa (3) Major / Besar (4) Catastrophic / Sangat Besar (5) IMPACT Keterangan warna:
H : High Risiko (Risiko Tinggi)
M : Moderate Risk (Risiko Sedang)
L : Low Risk (Risiko Rendah)
Tabel 2.4 Deskripsi Level Risiko
Level Risiko Keterangan
High Risk - Risiko Tinggi Risiko yang berbahaya yang harus diatasi secepatnya. Moderate Risk - Risiko Sedang Risiko ini harus dimonitor dan membutuhkan penanganan
yang berkelanjutan.
Low Risk - Risiko Rendah
Risiko ini dapat diabaikan dengan kebijakan tertentu karena risiko ini merupakan risiko dengan tingkat pengaruh paling kecil.
Proses kelima adalah Risk Treatment atau mitigasi risiko-risiko. Mitigasi risiko-risiko harus direncanakan sebaik-baiknya dan dipertimbangkan semua alternatif solusinya, sebelum dilaksanakan mitigasinya, agar mendapatkan hasil yang diharapkan ecara efektif dan efisien. Beberapa alternatif bisa dipertimbangkan untuk digunakan, seperti[16]:
1. Membagi risiko,
3. Menghindari risiko atau membatalkan aktifitas yg berisiko tinggi, 4. Menerima risiko.
Proses keenam adalah Monitor & Review (Pemantauan & Pengkajian Ulang). Pemantauan & Pengkajian Ulang dilaksanakan terhadap seluruh proses manajemen risiko termasuk konteksnya (lingkungan, proses, organisasi, strategi,
stakeholder dsb.). Catatan-catatan hasil Pemantauan & Pengkajian Ulang disimpan
sebagai bukti dan laporan bahwa aktifitas itu telah dilaksanakan dan sebagai masukan bagi Risk Management Framework yang telah disiapkan sebelumnya. Selama melaksanakan ke enam proses manajemen risiko itu Communication &
Consultation (komunikasi dan konsultasi) selalu dilaksanakan kepada semua
stakeholder, secara kontinyu dan iterative[17].
2.6Checklist
Checklist merupakan daftar yang berisi unsur-unsur yang mungkin terdapat
dalam situasi atau tingkah laku atau kegiatan individu yang diamati. Checklist adalah salah satu alat observasi, yang ditujukan untuk memperoleh data, berbentuk daftar berisi factor-faktor berikut subjek yang ingin diamati oleh observer, di mana
observer dalam pelaksanaan observasi di lapangan tinggal memberi tanda check
(cek, atau biasanya dicentang) pada list faktor-faktor sesuai perilaku subjek yang muncul, di lembar observasi, sehingga memungkinkan observer dapat melakukan tugasnya secara cepat dan objektif, sebab observer sudah “membatasi diri” pada ada tidaknya aspek perbuatan subjek, sebagaimana telah dicantumkan didalam list[14].
Metode Checklist adalah salah satu metode informal observasi dimana observer sudah menentukan indikator perilaku yang akan di observasi dari subjek dalam satu tabel. Checklist merupakan metode dengan dua cara pencatatan yaitu tebuka dan tertutup. Metode ini memiliki derajat selektivitas yang tinggi karena perilaku yang diamati sudah sangat selektif, juga memiliki derajat inferensi yang tinggi karena observer hanya fokus pada kategori perilaku yang sudah ditentukan saja.
Untuk memulai observasi dengan metode ini, terlebih dahulu observer harus menentukan indikator perilaku yang didapat melalui sumber-sumber baik berupa
buku, jurnal, artikel ilmiah, maupun literatur-literatur lain sebagai dasar teori. Setelah itu, observer menjadikan satu seluruh indikator tersebut dalam satu tabel indikator dan menambahkan tabel diskripsi, serta tabel checklist di sampingnya. Tabel diskripsi berfungsi sebagai tempat pencatatan perilaku secara spesifik. Pada saat observasi berlangsung, observer hanya memberikan tanda centang yang berarti perilaku muncul pada tabel setiap kali perilaku yang tercantum dalam tabel indikator muncul dari subjek. Alasan dipilihnya metode ini adalah karena mudah dan simple serta mampu fokus hanya pada perilaku yang diinginkan terjadi[19]. 2.6.1 Fungsi Checklist
Yang menjadi fungsi dari penggunaan metode checklist ini adalah sebagai berikut:
1. Sebagai alat pencatatan hasil observasi yang dipergunakan seseorang dalam mengamati diri sendiri atau pengguna daftar cek selain sebagai observasi juga sebagai observer.
2. Sebagai pencatatan hasil observasi. 2.6.2 Keuntungan Checklist
Keuntungan yang diperoleh dalam menggunakan metode ini adalah sebagai berikut[13]:
1. Komperhensif (dapat mencakup beberapa area dalam satu checklist) 2. Efisiensi dalam waktu dan pengerjaan
3. Mendokumentasikan perkembangan atau kinerja spesifik individu
4. Merupakan suatu ilustrasi yang jelas mengenai perkembangan kinerja SDM dalam suatu organisasi atau perusahaan
![vibra AJ[H] CE 220 1200](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACH5BAEAAAAALAAAAAABAAEAAAICRAEAOw==)