1 ANALISA MANAJEMEN RISIKO SISTEM INFORMASI RUMAH SAKIT
(SIMRS) PADA RSJ TAMPAN MENGGUNAKAN ISO 31000 Lolita Britania Yoshikawati, Yanti Andriyani
Program Studi S1 Sistem Informasi Jurusan Ilmu Komputer
Fakultas Matematika dan Ilmu Pengetahuan Alam Kampus Bina Widya Pekanbaru, 28293, Indonesia
Email: [email protected], [email protected]
ABSTRACT
The SIMRS Installation Unit manages the application of SIMRS in the Tampan Mental Hospital to handle all the hospital's needs related to the application of technology.
However, the use of technology is not independent of the presence of risks. Risk is the uncertainty that arises due to an action or failure of management. This research aims to understand the process of analyzing the sources and categories of risk and to provide suggestions that can help stakeholders minimize each risk's impact. The method in this study directly adopts the ISO 31000 framework that focuses on applying a management system. The study phases consist of communication and consultation, context setting, risk assessment, and risk treatment, using the interview and questionnaire method with the results of 25 risks divided into 9 middle-class risks and 16 low-category risks. The proposed risk treatment is risk mitigation and sharing that can be used as a reference in preserving information technology assets in the future.
Keywords: Hospital Management System, ISO 31000, Mental Health Hospital Tampan, Risk Management
ABSTRAK
Penerapan aplikasi SIMRS pada Rumah Sakit Jiwa Tampan dikelola oleh unit Instalasi SIMRS untuk menangani segala kebutuhan rumah sakit yang berkaitan dengan penerapan teknologi, namun penggunaan sebuah teknologi tidak terlepas dari adanya ancaman risiko. Risiko merupakan ketidakpastian yang muncul akibat dari tindakan atau kegagalan suatu penanganan. Penelitian ini bertujuan dalam mengetahui proses dari analisis berupa sumber dan kategori risik serta agar dapat memberikan usulan yang bisa membantu pemangku kepentingan dalam meminimalisir dampak dari setiap risiko yang terjadi.
Metode pada penelitian ini mengadopsi langsung kerangka kerja ISO 31000 yang berfokus dalam penerapan suatu manajemen sistem. Tahapan yang dilakukan berupa komunikasi dan konsultasi, penetapan konteks, penilaian risiko serta perlakuan risiko.
Penelitian ini menggunakan metode wawancara dan kuesioner dengan hasil berupa 25 risiko yang terbagi atas 9 risiko kategori menengah dan 16 risiko kategori rendah.
Perlakuan risiko yang diusulkan berupa risk mitigation dan risk sharing yang dapat digunakan sebagai acuan dalam memelihara aset teknologi informasi di masa mendatang.
Kata Kunci: ISO 31000, Manajemen Risiko, Rumah Sakit Jiwa Tampan, Sistem Informasi Manajemen Rumah Sakit
2 PENDAHULUAN
Penggunaan sistem informasi manajemen telah banyak dimanfaatkan untuk menunjang kegiatan operasional proses bisnis. Salah satu layanan yang digunakan oleh rumah sakit adalah Sistem Informasi Manajemen Rumah Sakit (SIMRS) yang merupakan sistem yang terintegrasi dengan kegiatan-kegiatan operasional yang memudahkan pegawai rumah sakit seperti mengelola layanan diagnosa, medical record, farmasi, database kepegawaian hingga pengendalian oleh manajemen. Pengunaan SIMRS diharapkan dapat membantu kinerja rumah sakit menjadi lebih baik agar semua pencatatan data-data tidak lagi dilakukan manual dan telah terintegrasi dalan suatu sistem manajerial yang baik (Mariza & Abdurrahman, 2020).
Rumah Sakit Jiwa (RSJ) Tampan sebagai rumah sakit di bidang pelayanan jiwa menjadi satu-satuya rujukan utama bagi masyarakat di wilayah Riau dan Kepulauan Riau.
SIMRS telah diterapkan digunakan sejak tahun 2013 dan dibuat oleh bantuan pihak ketiga yang kemudian dinamai sesuai dengan C.V pembuatnya, SIMRS juga masih menggunakan jaringan lokal dalam proses penggunaanya. Diterapkannya SIMRS ini diharapkan dapat membantu aktivitas operasional serta mengurangi risiko yang berdampak buruk dan menghambat proses bisnis (Riau, 2014).
Manajemen risiko merupakan kegiatan mengidentifikasi, menganalisa, mengevalusi, dan mengendalikan suatu risiko hingga didapatkan keputusan akhir berupa perlakuan risiko yang dapat menjadi bahan pertimbangan dalam pengambilan keputusan bagi para pemangku kepentingan pada suatu organisasi (Leo J. Susilo, Riwu Kaho, 2018).
Kemungkinan risiko dapat muncul dari berbagai sumber seperti kelalaian manusia, faktor alam dan lingkungan serta kesalahan sistem dan infratruktur. Berdasarkan hasil dari kondisi internal Rumah Sakit Jiwa Tampan mengungkapkan bahwa belum adanya pelaksanaan pengelolaan risiko yang optimal bagi SIMRS, melihat hal tersebut perlu adanya penelitian yang membahas bagaimana menganalisis risiko pada SIMRS untuk mengetahui sumber dan kategori risiko untuk memudahkan dalam pemberian usulan atau rekomendasi pada proses perlakuan risiko (Yoewono & Prasetyo, 2022).
Penelitian terdahulu yang membahas manajemen risiko banyak dilakukan seperti pada pada penelitian pertama yakni menganalisis aplikasi ERP yakni sistem informasi gudang dan ditemukan sejumlah 26 risiko yang dikategorikan sebagai 3 risiko pada level high dan 13 risiko pada level medium yang sebagain besar bersumber dari masalah sistem dan infrastruktur. Sementara itu, 10 risiko berada pada kategori low dengan sumber risiko alam dan manusia (Harefa, 2022). Penelitian kedua didapatkan hasil berupa 18 risiko dengan dengan hasil evaluasi yakni 3 risiko pada kategori high yakni pemadaman listrik, server down, dan koneksi yang bermasalah serta 7 risiko kategori moderate yang sebagian besar bersumber dari faktor lingkungan dan kesalahan sistem dan infrastruktur.
Sementara itu, 8 risiko berada pada kategori low yang bersumber dari kesalahan manusia (Pebriani & Zulfikar, 2022). Seluruh penelitian yang terkait menggunakan metode case study research, wawancara, dan kuesioner yang diimplementasikan pada proses analisis terhadap berbagai macam aplikasi sistem informasi. Namun, masih belum cukup banyak yang membahas mengenai sistem informasi manajemen rumah sakit.
Penerapan manajemen risiko dapat menggunakan suatu alat bantu seperti menggunakan standar ISO yang merupakan suatu organisai yang bertujuan dalam memberikan sertifikasi terhadap suatu proses, produk dan sistem manajemen. ISO 31000 merupakan salah satu dari banyaknya seri standar risk management yang dikeluarkan oleh
3 International Organization for Standarization. Penelitian ini bertujuan dalam mengetahui tingkat risiko pada SIMRS serta memberikan usulan perlakuan risiko yang sesuai.
Diharapkan penelitian ini dapat digunakan sebagai referensi penelitian-penelitian selanjutnya serta bahan pertimbangan bagi instalasi SIMRS dalam mengelola manajemen risiko untuk meningkatkan kualitas knerja.
LANDASAN TEORI A. Risiko
Risiko merupakan suatu ketidakpastian yang muncul akibat dari sebuah tindakan ataupun kegagalan dari penanganan peluang dari berbagai bentuk serta kategori yang diterapkan pada berbagai tingkatan organisasi. Adapun berbagai macam komponen serta kategori risiko adalah sebagai berikut (Leo J. Susilo, Riwu Kaho, 2018).
1. Komponen risiko
a. Sumber, merupakan objek yang bisa terancam oleh bahaya serta dapat mengalami kerusakan terhadap manusia, objek, dan tanggung jawab.
b. Ancaman, merupakan hal bahaya yang bisa berasal dari manapun, baik bencana alam, kesalahan sistem hingga diakibatkan oleh manusia.
c. Modifikasi, merupakan perubahan mendadak secara eksternal dan internal yang dpaat menyebabkan terjadinya risiko.
d. Akibat, merupakan konsekuensi yang didapatkan dari terjadinya bahaya yang dapat menimbulkan kerugian materi.
2. Kategori risiko
a. Risiko spekulatif, merupakan spekulasi dari pemilik risiko apakah risiko akan menguntungkan atau merugikan.
b. Risiko murni, merupakan risiko yang tidak dapat dihindari dan dan tidak pula menyebabkan keuntungan bagi penerimanya.
c. Risiko statis, merupakan risiko yang tetap akan terjadi dan tidak terpengaruh oleh faktor apapun.
d. Risiko dinamis, merupakan risiko yang terjadi disebabkan oleh faktor tertentu seperti perubahan ekonomi, sosial, dan perkembangan teknologi.
e. Risiko partikular, merupakan risiko yang terjadi dan hanya berdampak pada objek- objek tertentu.
f. Risiko fundamental, merupakan risiko yang terjadi daan berdampak luas bagi berbagai objek mengalaminya.
B. International Standart Organization (ISO 31000)
ISO 31000 sebuah standar aplikasi dalam ruang lingkup manajemen yang diterbitkan oleh organisasi berstandar internasional non-pemerintah yang beranggotakan badan- badan di setiap Negara, berfungsi dalam memberikan standarisasi untuk sebuah produk, proses maupun manajemen sistem. Hingga saat ini telah terdapat 21000 jenis sertifikasi di antaranya ISO 31000 yang merupakan standar yang telah besifat sistematis dan terstruktur. Proses manajemen risiko memiliki beberapa tahapan di antaranya (Leo J. Susilo, Riwu Kaho, 2018).
1. Komunikasi dan konsultasi
Komunikasi serta konsultasi merupakan proses penting di tahap awal dengan melakukan kegiatan bersama para pihak stakeholder organisai baik internal maupun eksternal.
4 2. Penetapan konteks
Penetapan konteks dilakukan untuk mengetahui batasan-batasan atau parameter internal dan eksternal organisasi dan bagaimana proses manajemen risiko akan dilakukan.
3. Penilaian risiko
Penilaian risiko dilakukan dengan proses yang terstruktur meliputi tiga cara yakni, identifikasi risiko, analisa risiko, dan evaluasi risiko. Tahapan dalam penilaian risiko meliputi beberapa bagian yaitu:
a. Identifikasi Risiko
Tahap identifikasi risiko dilakukan untuk menemukan risiko yang perlu dikelola oleh organisasi melalui proses yang berurutan dan terstruktur. Identifikasi dilakukan bersama pihak yang bertanggung jawab yang mencakup penilaian berdasarkan pencatatan dan pengalaman (Miftakhatun, 2020).
b. Analisa Risiko
Analisa risiko dilakukan dengan menguraikan secara lebih mendalam risiko beserta dampaknya yang nantinya akan diberi penilaian. Keterangan mengenai kriteria likelihood risiko sesuai frekuensi kejadian dapat dilihat pada Tabel 1.
Tabel 1. Kriteria Likelihood (Harefa, 2022)
Sementara itu, tabel kriteria yang berisikan oleh dampak (impact) risiko ditunjukkan pada Tabel 2.
Tabel 2. Kriteria Impact (Harefa, 2022)
c. Evaluasi Risiko
Tahapan ini merupakan tahap akhir penilaian yang dipetakan dalam matriks risiko berdasarkan tiga kategori utama yakni high, medium, low. Berdasarkan hal tersebut dalam tahap evaluasi risiko dapat digunakan matriks risiko pada Tabel 3.
Likelihood Keterangan Frekuensi Kejadian
Rating Kriteria
1 Rare Risiko hampir tidak pernah terjadi > 2 tahun 2 Unlikely Risiko jarang terjadi 1-2 tahun 3 Possible Risiko kadang-kadang terjadi 7-12 bulan 4 Likely Risiko sering terjadi 4-6 bulan 5 Certain Risiko pasti selalu terjadi 1-3 bulan
Likelihood
Keterangan Rating Kriteria
1 Insignificant Tidak mengganggu aktivitas operasional bisnis
2 Minor Proses bisnis mengalami gangguan, namun beberapa kegiatan tetap berjalan normal
3 Moderate Proses bisnis mengalami gangguan yang menyebabkan sebagian bisnis terhambat
4 Major Proses bisnis mulai mengalami hambatan secara keseluruhan
5 Catastrophic Proses bisnis telah mengalami hambatan total
5 Tabel 3. Matriks Risiko (Harefa, 2022)
Likehood
Certain 5 High
Likely 4
Posibble 3 Medium
Unlikely 2
Rare 1 Low
Impact 1 2 3 4 5
Insignificant Minor Moderate Major Catasthropic
4. Perlakuan Risiko
Perlakuan risiko diperlukan untuk mempertimbangkan pilihan perlakuan terhadap suatu risiko dan penerapan dari manajemen risiko itu sendiri dengan cara risk avoidance, risk mitigation, risk sharing, dan risk acceptance.
C. Strength, Weakness, Opportunities, Threat (SWOT)
Analisa SWOT merupakan hasil yang didapatkan berdasarkan identifikasi lingkungan eksternal maupun internal sebuah organisasi dengan 4 poin utama. Kekuatan (strength) bertujuan dalam mengetahui kekuatan yang dimiliki oleh organsasi yang dapat menjadi pertimbangan dalam mempertahankan proses bisnis. Identifikasi kelemahan (weakness) bertujuan dalam mengetahui kekurangan dalam upaya melakukan perbaikan dan meningkatkan proses bisnis. Identifikasi peluang (opportunities) digunakan untuk mengetahui kesempatan apa yang dimiliki oleh organisasi untuk berinovasi mengembangkan organisasi menajdi lebih baik. Sementara itu, identifikasi ancaman (threat) akan membuat organisasi waspada terhadap ancaman dari pihak eksternal yang akhirnya membuat organisasi berpikir untuk segera meminamalisir ancaman yang ada (Benzaghta et al., 2021).
METODE PENELITIAN A. Tahapan Penelitian
Beberapa tahapan penelitian yang dilakukan pada penelitian ini di antaranya adalah sebagai berikut:
1. Tahap Perencanaan
Perencanaan merupakan tahap awal dalam melakukan penelitian guna menemukan topik dan permasalahan penelitian, di mana objek yang diteliti merupakan sistem informasi manajemen rumah sakit (SIMRS) pada Rumah Sakit Jiwa Tampan.
2. Tahap Pengumpulan Data
Tahapan ini berisi beberapa metode yang dilakukan dalam mendapatkan data dan dokumen pendukung penelitian. Jenis data yang diperoleh mencakup data primer dan sekunder dalam bentuk hasil kuesioner, wawancara, sera dokumen rencana strategis dan struktur organisasi.
3. Tahap Pengolahan dan Analisis Data
Tahapan ini berisikan proses pengolahan data yang telah didapatkan melalui proses pengumpulan data yang kemudian diolah berdasarkan urutan pada kerangka kerja proses manajemen risiko menggunakan ISO 31000.
6 B. Peralatan yang Digunakan
Penggunaan perangkat keras (hardware) dan perangkat lunak (software) sebagai alat pendukung pada penelitian ini ditunjukkan pada Tabel 4.
Tabel 4. Perangkat yang Digunakan Jenis
Perangkat Nama Spesifikasi/Versi Fungsi Perangkat
keras (Hardware)
Laptop Asus X441U, Intel Core i3-7020U, 2.3 GHz.
Memory 4 GB
Mengolah Data
Printer Epson L3110 Mencetak Berkas Perangkat
lunak (Software)
Microsoft Word 2013 Mengolah Data Microsoft Excel 2013 Mengolah Data
Mendeley 1.19.4 Membuat Daftar Pustaka
Draw.Io 20.2.8 Membuat Diagram
Penelitian C. Langkah-Langkah Penyelesaian
Adapun tahapan dalam menyelesaikan analisis dan pengolahan data dijabarkan sebagai berikut:
1. Komunikasi dan Konsultasi
Tahap ini dilakukan metode wawancara bersama dengan kepala instalasi SIMRS yang memiliki pengalam langsung dengan penggunaan aplikasi SIMRS.
2. Penetapan Konteks
Tahap ini dilakukan dengan menentukan batas eksternal dan internal yang dipetakan dalam bentuk matriks SWOT serta penetapan menetapkan bagaimana proses manajemen risiko akan dilakukan yang tentunya disesuaikan pada proses ISO 31000.
3. Penilaian Risiko
Tahapan dalam penilaian risiko di antaranya adalah sebagai berikut:
a. Identifikasi Risiko
Identifikasi risiko dilakukan dengan proses wawancara dan observasi dengan membuat daftar dari risiko yang pernah atau akan terjadi serta dilakukan pengelompokan terhadap sumber-sumber risiko penyebabnya.
b. Analisa Risiko
Analisa risiko merupakan proses penilaian dengan bantuan kuesioner berupa daftar pernyataan risiko hasil identifikasi yang akan diberikan rating oleh 6 partisipan sesuai kriteria likelihood dan kriteria impact. Sementara itu, proses penilaian akan dihitung berdasarkan Persamaan 1 yakni :
Rata-rata = 𝑁𝑖𝑙𝑎𝑖 𝑅𝑒𝑠𝑝𝑜𝑛𝑑𝑒𝑛 1+𝑁𝑖𝑙𝑎𝑖 𝑅𝑒𝑠𝑝𝑜𝑛𝑑𝑒𝑛 2+⋯+𝑁𝑖𝑙𝑎𝑖 𝑅𝑒𝑠𝑝𝑜𝑛𝑑𝑒𝑛 𝑘𝑒 𝑛
𝐽𝑢𝑚𝑙𝑎ℎ 𝑅𝑒𝑠𝑝𝑜𝑛𝑑𝑒𝑛 ... (1)
c. Evaluasi Risiko
Tahap ini merupakan pengelompokan risiko-risiko sesuai dengan kategori pada tabel matrik risiko yakni low, medium, dan high.
7 4. Perlakuan Risiko
Perlakuan risiko merupakan tahap akhir pada penelitian ini dengan merumuskan rekomendasi ataupun usulan yang disesuaikan terhadap masing-masing risiko, yang nantinya dapat digunakan sebagai bahan pertimbangan.
HASIL DAN PEMBAHASAN A. Tahapan Perencanaan
Tahapan ini menghasilkan topik penelitian berupa keputusan memilih judul manajemen risiko yang diperkuat dengan hasil observasi dan studi literatur yang didapatkan dari hasil rencana strategis milik Rumah Sakit Jiwa Tampan yang belum menerapkan manajemen risiko secara optimal terutama pada SIMRS yang dimiliki.
B. Pengumpulan Data
Tahapan ini menghasilkan beberapa bukti dokumen yang didapatkan seperti hasil wawancara, kuesioner, serta penggunaan dokumen yang ditunjukkan pada Tabel 5.
Tabel 5. Penggunaan Dokumen Pendukung Data Tahapan Penelitian Deskripsi Rencana
Strategis
a. Tahap Perencanaan b. Tahap
Pengolahan dan Analisis Data
Dokumen rencana strategis digunakan dalam penentuan objek dan permasalahan penelitian, menggali informasi mengenai profil Instansi Rumah Sakit Jiwa Tampan, serta analisa SWOT.
Struktur Organisasi Instalasi SIMRS.
Tahap Pengolahan dan Analisis Data
Dokumen struktur organisasi digunakan dalam mengetahui profil Instalasi SIMRS.
C. Pengolahan Data
1. Komunikasi dan Konsultasi
Komunikasi dan konsultasi dilakukan bersama Kepala Instalasi SIMRS Rumah Sakit Jiwa Tampan Bapak Harmento dengan metode komunikasi secara langsung yakni wawancara untuk menggali informasi seperti bagaimana proses SIMRS berjalan, kemungkinan risiko yang pernah atau akan terjadi serta dampak risikonya.
2. Penetapan Konteks a. Analisa SWOT
Analisa SWOT dilakukan dalam memetakan kondisi lingkungan eksternal dan internal pada proses manajemen risiko sebagaimana terlihat pada Tabel 6.
Tabel 6. Analisa SWOT
Strength 1) RSJ menjadi satu-satunya rujukan tersier kelas A di wilayah Riau
2) Menjadi tempat pendidikan dan penelitian yang memadai.
3) Lokasi yang strategis serta sarana dan prasarana yang cukup.
8 Lanjutan Tabel 6. Analisa SWOT
Weakness 1) SIMRS yang belum optimal.
2) Belum adanya komite manajemen risiko rumah sakit sehingga proses pengelolaan risiko belum berjalan optimal.
3) Jumlah SDM yang belum memenuhi standar.
Opportunities 1) Kebijakan pemerintah mendukung kesehatan jiwa dan NAPZA.
2) Aturan BPJS yang mendukung layanan kesehatan jiwa.
3) RSJ menjadi instasi yang berwenang dalam mengeluarkan rekomendasi kesehatan jiwa.
Threats 1) Tuntutan masyarakat mengenai mutu pelayanan.
2) Stigma terhadap kesehatan jiwa masih tinggi.
3) Semakin banyaknya RS Swasta atau RSUD yang menyediakan kesehatan jiwa.
3. Penilaian Risiko a. Identifikasi Risiko
Tahap ini merupakan tahap awal pada proses identifikasi di mana terdapat beberapa hal yang harus diidentifikasi di antaranya adalah sebagai berikut.
(1) Identifikasi Aset
Identifikasi aset Teknologi Informasi didapatkan dari hasil observasi dan wawancara yang dilakukan terhadap kepala Instalasi SIMRS.
Tabel 7. Identifikasi Aset TI
(2) Identifikasi Kemungkinan
Hasil identifikasi kemungkinan (likelihood) didapatkan berdasarkan proses wawancara dan observasi dengan kepala Instalasi SIMRS yang kemudian hasilnya didapatkan berupa 25 daftar risiko yang pernah terjadi atau akan terjadi. Hasil identifikasi kemungkinan risiko dapat dilihat pada Tabel 8.
Tabel 8. Identifikasi Kemungkinan Risiko
Sumber Risiko ID Risiko
Alam/
Lingkungan
KR01 Kebakaran KR02 Petir KR03 Banjir
Tipe Aset SIMRS
Hardware PC, Server, Switch, Router, Access Point, UPS.
Software Windows 10, Microsoft Office 2013, Xampp 3.22, PHP 7.2, Mozila Firefox, Google Chrome.
Data
Pilar Pendaftaran, Pilar Administrasi, Pilar Informasi, Pilar Filling, Pilar Assembling, Pilar Gudang Informasi, Pilar Gizi, Pilar, Laboraturium, Pilar Radiologi, Pilar Logistik, Pilar Keuangan, Pilar Aset, Pilar Rawat Inap, Pilar UGD, Pilar Rawat Jalan.
User Kepala Instalasi, Koordinator programmer, Programmer, Koordinator jaringan.
9 Lanjutan Tabel 8. Identifikasi Kemungkinan Risiko
Sumber Risiko ID Risiko
Sistem dan Infrastruktur
KR04 Kerusakan pada perangkat komputer
KR05 Kegagalan terhadap komponen pendukung TI KR06 UPS tidak dapat menyimpan daya
KR07 Komputer tidak dapat melakukan booting KR08 Serangan malware (virus, worm, dll) KR09 Server down
KR10 Pemadaman listrik
KR11 Kerusakan akibat tegangan listrik KR12 Overheat
KR13 Kegagalan menyimpan data KR14 Koneksi jaringan tidak stabil KR15 Data terjadi error atau corrupt
KR16 Program tidak support terhadap OS tertentu KR17 Kegagalan saat proses maintanance sistem KR18 Tidak adanya jadwal pemeliharaan rutin KR19 Teknologi tidak up to date
Manusia
KR20 Pencurian perangkat
KR21 Pencurian atau modifikasi data informasi KR22 Kesalahan input data (human error)
KR23 Pengaksesan informasi oleh pihak tidak berwenang KR24 Penyalahgunaan user id
KR25 Kurangnya kuantitas sumber daya manusia (3) Identifikasi Dampak
Berdasarkan hasil identifikasi risiko, proses selanjutkan akan dilanjutkan dengan mengidentifikasi dampak yang diterima apabila risiko pada tabel terjadi, yang dapat dilihat pada Tabel 9.
Tabel 9. Identifikasi Dampak Risiko
Sumber Risiko Dampak Risiko
Alam/Lingkungan Dampak bencana alam sebagian besar menyebabkan hilangnya aset, dan menganggu aktivitas pegawai serta proses bisnis dan menderita kerugian finansial.
Sistem dan Infrastruktur
Sebagian besar menyebabkan terganggu proses operasional secara sementara serta menganggu berjalannya performa sistem itu sendiri, yang apabila tidak ditangani akan semakin merugikan rumah sakit.
10 Lanjutan Tabel 9. Identifikasi Dampak Risiko
Sumber Risiko Dampak Risiko
Manusia Dampak dari sumber risiko manusia secara garis besar akan merugikan rumah sakit dan pasien sendiri Karena data-data rahasia tersebut bisa saja dimanfaatkan oleh oknum tak bertanggungjawab
b. Analisis Risiko
Analisis risiko dilakukan guna mendapatkan nilai pada likelihood dan impact risiko.
Proses penilaian dilakukan dengan menghitung hasil kuesioner yang telah diisi sesuai rating kategori pada Tabel 1 dan Tabel 2. Kemudian diolah dengan mencari nilai rata- rata menggunakan persamaan 1. Hasil analisa risiko dapat dilihat pada Tabel 10.
Tabel 10. Penilaiaian Risiko Likelihood dan Impact
ID Kemungkinan Risiko Likelihood Impact
KR01 Kebakaran 1 3
KR02 Petir 2 3
KR03 Banjir 1 3
KR04 Kerusakan pada perangkat komputer 3 2
KR05 kegagalan terhadap komponen pendukung TI 3 2
KR06 UPS tidak dapat menyimpan daya 2 2
KR07 Komputer tidak dapat melakukan booting 2 3
KR08 Serangan malware (virus, worm, dll) 2 3
KR09 Server down 2 3
KR10 Pemadaman listrik 3 3
KR11 Kerusakan akibat tegangan listrik 2 2
KR12 Overheat 2 2
KR13 Kegagalan menyimpan data 2 2
KR14 Koneksi jaringan tidak stabil 2 2
KR15 Data terjadi error atau corrupt 2 2
KR16 Program tidak support OS tertentu 2 2
KR17 Kegagalan saat proses maintenance sistem 2 2 KR18 Tidak adnaya jadwal pemeliharaan rutin 2 2
KR19 Teknologi tidak up to date 2 2
KR20 Pencurian perangkat 1 2
KR21 Pencurian atau modifikasi data informasi 1 2
KR22 Kesalahan input data (human erorr) 3 3
KR23 Pengaksesan informasi oleh pihak tidak
berwenang 1 2
KR24 Penyalahgunaan user id 1 2
KR25 Kurangnya kuantitas sumber daya manusia 2 3
11 c. Evaluasi Risiko
Evaluasi risiko merupakan tahap akhir penialian dengan mengkategorikan hasil penilaian ke dalam matrik risiko yang berisi kategori low, medium, dan high. Hal ini akan memudahkan dalam proses analisis perlakuan risiko. Hasil matriks risiko diwakili oleh kode-kode risiko seperti pada Tabel 11.
Tabel 11. Matriks Risiko
Likehood
Certain 5
Likely 4
Posibble 3 KR04, KR05 KR10, KR22
Unlikely 2
KR06, KR11, KR12, KR13, KR14, KR15, KR16, KR17, KR18, KR19
KR02, KR07, KR08, KR09,
KR25
Rare 1 KR20, KR21,
KR23, KR24 KR01, KR03
Impact 1 2 3 4 5
Insignificant Minor Moderate Major Catasthropic
Setelah didapatkan hasil pemetaan risiko ke dalam matriks risiko, selanjutnya akan diurutkan terlebih dahulu risk level masing-masing risiko agar dapat terlihat risiko manakah yang memiliki nilai tertinggi hingga yang terendah.
Tabel 12. Kategori Risk Level
ID Kemungkinan Risiko Kemung-
kinan Dampak Risk Level
KR10 Pemadaman listrik 3 3 Medium
KR22 Kesalahan input data (human error) 3 3 Medium KR04 Kerusakan pada perangkat komputer 3 2 Medium
KR05 Kerusakan/kegagalan komponen TI 3 2 Medium
KR02 Petir 2 3 Medium
KR07 Komputer tidak dapat melakukan booting 2 3 Medium KR08 Serangan malware (virus, worm, dll) 2 3 Medium
KR09 Server down 2 3 Medium
KR25 Kurangnya kuantitas sumber daya manusia 2 3 Medium
KR06 UPS tidak dapat menyimpan daya 2 2 Low
KR11 Kerusakan akibat tegangan listrik 2 2 Low
KR12 Overheat 2 2 Low
KR13 Kegagalan menyimpan data 2 2 Low
KR14 Koneksi jaringan tidak stabil 2 2 Low
KR15 Data terjadi error atau corrupt 2 2 Low
KR16 Program tidak support terhadap OS 2 2 Low
12 Lanjutan Tabel 12. Kategori Risk Level
ID Kemungkinan Risiko Kemung-
kinan Dampak Risk Level
KR17 Kegagalan saat proses maintanance sistem 2 2 Low KR18 Tidak adanya jadwal pemeliharaan rutin 2 2 Low
KR19 Teknologi tidak up to date 2 2 Low
KR01 Kebakaran 1 3 Low
KR03 Banjir 1 3 Low
KR20 Pencurian perangkat 1 2 Low
KR21 Pencurian atau modifikasi data informasi 1 2 Low KR23 Pengaksesan informasi oleh pihak tidak
berwenang
1 2 Low
KR24 Penyalahgunaan user id 1 2 Low
4. Perlakuan Risiko
Perlakuan risiko merupakan tahap pemberian usulan atau rekomendasi yang sesuai dengan risiko yang terjadi. Pemberian usulan risiko dimulai berdasarkan kategori yang paling tinggi hingga terendah. Pada penelitian ini diberikan usulan dengan cara risk sharing serta risk mitigation. Penjelasannya dijabarkan sebagai berikut.
a. Risk sharing
Merupakan perlakuan dengan cara mentransfer atau berbagi risiko dengan pihak lain yang dapat menanggung dampak terjadinya risiko, diantaranya sebagai berikut.
(1) Kerusakan akibat tegangan listrik (KR11), diberikan usulan berupa kerja sama dengan pihak penyedia layanan listrik atau PLN untuk memastikan pengecekan rutin terhadap kondisi kelistrikan.
(2) Tidak adanya jadwal pemeliharaan rutin (KR18), usulan yang diberikan dengan cara melaporkan kepada kepala instalasi mengenai aturan jadwal pemeliharaan rutin terhadap sistem dan aset TI lainnya.
b. Risk Mitigation
Merupakan ussulan perlakuan risiko dengan cara menyusun strategi yang berguna untuk meminimilkan potensi kerugian apabila risiko-risiko tersebut terjadi di masa mendatang. Usulan dengan cara risk mitigation dapat dilihat pada tabel 13.
Tabel 13. Usulan Perlakuan Risiko
ID Kemungkinan Risiko Perlakuan Risiko
KR10 Pemadaman listrik
Menyediakan alat berupa UPS (Uninterrupitible Power Supply) serta genset yang cukup untuk membantu daya di ruangan instalasi selama pemadaman listrik.
KR22 Kesalahan input data (human error)
Memberikan validasi terhadap data sebelum difinalkan dan memberikan opsi untuk edit data dan pelatihan kepada staf terkait update sistem aplikasi
13 Lanjutan Tabel 13. Usulan Perlakuan Risiko
ID Kemungkinan Risiko Perlakuan Risiko
KR04 Kerusakan pada
perangkat komputer
Melakukan perawatan rutin terkait segala komponen komputer.
KR05 Kerusakan/kegagalan komponen pendukung TI
Melaporkan kepada pihak jaringan dan melakukan perawatan terhadap komponen TI.
KR02 Petir Memasang alat yang dapat membantu menangkal petir dan melakukan backup.
KR07 Komputer tidak dapat melakukan booting
Melakukan pengecekan terhadap komponen CPU dan melakukan pembersihan data yang tidak diperlukan pada komputer.
KR08
Serangan malware (virus, worm, dll) terhadap sistem operasi
Memasang antivirus dan melakukan pembaharuan secara rutin terhadap versi antivirus.
KR09 Server down
Melakukan pengecekan rutin dan maintenance server serta membuat backup plan.
KR25 Kurangnya kuantitas sumber daya manusia
Melakukan recruitment pegawai baru di lingkungan SIMRS sesuai SOP dan kebutuhan instalasi SIMRS.
KR06 UPS tidak dapat menyimpan daya
Melakukan pengecekan rutin memastikan UPS masih memenuhi dan menyediakan cadangan UPS lain.
KR12 Overheat
Risk Mitigation: memastikan kondisi ruangan tetap pada suhu stabil bagi komponen TI dapat bekerja, 20-25o C dengan bantuan pendingin ruangan. Serta memastikan CPU fan pada setiap komputer masih bekerja dengan baik.
KR13 Kegagalan menyimpan data
Memastikan sambungan koneksi ke server tidak terputus dan jaringan lokal masih berfungsi dengan baik.
KR14 Koneksi jaringan tidak stabil
Koordinator jaringan segera melakukan perbaikan pada ISP dan rutin melakukan pengecekan secara berkala dalam proses maintenance jaringan.
KR15 Data terjadi error atau corrupt
Melakukan pengecekan rutin terhadap kinerja sistem maupun database penyimpanan, rutin melakukan pembersihan cache dan virus dengan antivirus yang tepat.
KR16 Program tidak support terhadap OS tertentu
Melakukan update pada software atau sistem yang sesuai dengan kompatibilitas hardware saat ini.
14 Lanjutan Tabel 13. Usulan Perlakuan Risiko
ID Kemungkinan Risiko Perlakuan Risiko KR17 Kegagalan saat proses
maintanance sistem
Membuat penjadwalan yang sesuai sebelum proses maintenance dilakukan. Menyusun prosedur yang sesuai.
KR18 Tidak adanya jadwal pemeliharaan rutin
Menetapkan prosedur pemeliharaan sistem yang sesuai SOP
KR19 Teknologi tidak up to date
Melakukan pengecekan dan mencari informasi tren terbaru mengenai teknologi untuk membantu dalam penerapan teknologi informasi yang lebih baik sesuai perkembangan jaman.
KR01 Kebakaran Menyediakan apar atau alat pemadam kebakaran di titik-titik tertentu seperti di sekitar server serta menyediakan cadangan infrastruktur TI.
KR03 Banjir Menyediakan server cadangan dan memindahkan komponen TI di tempat yang lebih tinggi.
KR20 Pencurian perangkat Menyediakan alat pengaman berupa CCTV maupun alarm atau sensor pengamanan.
KR21 Pencurian ataupun modifikasi data
Memastikan akses ke dalam sistem memiliki pengamanan yang kuat dan hanya beberapa user yang berkepentingan yang dapat mengakses data.
Melakukan evaluasi pelatihan untuk tetap menaati sop.
KR23 Pengaksesan informasi oleh pihak yang tidak berwenang
Memberikan batasan akses terhadap seorang user dalam menjalankan sistem. Melakukan penggantian password secara berkala dan evaluasi kinerja setiap beberapa bulan sekali.
KR24 Penyalahgunaan user id Memastikan akses user pada sistem telah sesuai dengan divisi masing-masing, menerapkan 1 user 1 device dan memberikan konfirmasi login berkaitan dengan profil pribadi user.
Melakukan evaluasi yang dapat melihat riwayat akses dari masing-maisng user.
KESIMPULAN
Berdasarkan penelitian yang dilakukan, kesimpulan sebagai berikut.
1. Tahapan dalam proses manajemen risiko menggunakan ISO 31000 pada Rumah Sakit Jiwa Tampan berupa komunikasi dan konsultasi, penetapan konteks, penilaian risiko dan perlakuan risiko menghasilkan berupa 25 daftar identifikasi kemungkinan risiko.
2. Hasil penilaian likelihood dan impact dari masing-masing risiko dipetakan dalam sebuah bentuk matriks risiko yang menunjukkan visualisasi berupa 9 risiko dalam kategori medium dan16 risiko dalam kategori low, di mana dari keseluruhan kemungkinan risiko dengan nilai tertinggi menitikberatkan pada risiko pemadaman listrik dan kesalahan input data (human erorr).
15 3. Perlakuan risiko diberikan kepada seluruh kemungkinan risiko untuk dapat digunakan sebagai bahan acuan atau pertimbangan apabila masing-masing risiko tersebut terjadi.
SARAN
Berdasarkan hal tersebut, berikut saran untuk penelitian selanjutnya, yaitu sebagai berikut.
1. Penelitian berikutnya diharapkan dapat melanjutkan hingga ke proses monitoring dan review.
2. Peneliti selanjutnya dapat menggunakan framework lain COBIT maupun OCTAVE ALLEGRO sebagai bahan perbandingan bagi Instalasi SIMRS untuk menyusun evaluasi.
3. Beberapa kemungkinan risiko tersebut membuat instalasi SIMRS harus lebih memperhatikan penanganan risiko dengan membuat pencatatan risiko sesuai standar.
DAFTAR PUSTAKA
Benzaghta, M. A., Elwalda, A., Mousa, M., Erkan, I., & Rahman, M. (2021). SWOT analysis applications: An integrative literature review. Journal of Global Business Insights, 6(1), 55–73. https://doi.org/10.5038/2640-6489.6.1.1148
Harefa, W. (2022). Analisis Manajemen Risiko Dengan Menggunakan Framework ISO 31000:2018 Pada Sistem Informasi Gudang. JATISI (Jurnal Teknik Informatika Dan Sistem Informasi), 9(1), 407–420. https://doi.org/10.35957/jatisi.v9i1.1478
Leo J. Susilo, Riwu Kaho, V. (2018). Manajemen risiko : panduan untuk risk leaders dan risk practitioners : ISO 31000:2018 (D. Novita (ed.)). Grasindo.
Mariza, A., & Abdurrahman, L. (2020). Analisis Risiko Dan Kontrol Pada Simrs Gudang Obat Berdasarkan Iso 31000 (studi Kasus: Rumah Sakit Khusus Ibu Dan Anak Kota Bandung). EProceedings …, 7(2), 6984–6992.
Miftakhatun, M. (2020). Analisis Manajemen Risiko Teknologi Informasi pada Website Ecofo Menggunakan ISO 31000. Journal of Computer Science and Engineering (JCSE), 1(2), 128–146. https://doi.org/10.36596/jcse.v1i2.76
Pebriani, O. D., & Zulfikar, D. H. (2022). Analisis Manajemen Risiko Teknologi Informasi menggunakan ISO 31000 Pada Website SIMPEG di Kantor Kementerian Agama Kota Palembang. SNESTIK Seminar Nasional Teknik Elektro, Sistem Informasi, Dan Teknik Informatika, 183–190.
Riau, R. S. J. T. P. (2014). Renstra RS. Jiwa Tampan 2014-2019.
Yoewono, J. O., & Prasetyo, A. H. (2022). Rancangan Dan Proses Manajemen Risiko Pada Pt Surya Selaras Cita. Jurnal Muara Ilmu Ekonomi Dan Bisnis, 6(1), 56–72.
http://journal.untar.ac.id/index.php/jmieb/article/view/12207
