Journal of Business and Entrepreneurship
Analisis Risiko Operasional Menggunakan Metode Cause-Effect Studi Kasus Bagian Teknologi Informasi PT. XYZ Herison Metinaro Magister Manajemen - Fakultas Ekonomi Universitas Indonesia
Dewi Hanggraeni Fakultas Ekonomi Universitas Indonesia
This thesis analyze the operational risk specifically information technology risk at PT. XYZ using Cause-Effect method. Cause-Effect method is a risk assessment method that uses a logic of causality relationship in determining the possible risks that can occur. Implementation of ISO 27001 at the Information Technology unit of PT. XYZ generate risk profiles that is used as the basis of the Information Technology Security Management System implementation. This study uses the risk profile of Information Technology unit PT. XYZ as the basis for quantifying operational risk assessment using the Cause-Effect method. PT. XYZ’s operational risk quantification begins by decomposing and forming submodel of technology risk profile information. Based on the risk parameters that exist in PT. XYZ’s risk management policy, risk quantification simulations using Loss Distribution Approach - Aggregation model can be done to provide illustrations on financial loss that may occur. Keywords: Information Technology Risk, Cause-Effect method, ISO 27001, Loss Distribution Approach - Aggregation model
Analisis Risiko Operasional Menggunakan Metode Cause-Effect Studi Kasus Bagian Teknologi Informasi PT. XYZ
PT. XYZ merupakan perusahaan yang bergerak dalam bidang energi dan memiki peran yang besar dalam penyediaan energi secara nasional. Dalam mendukung aktifitas operasionalnya, PT. XYZ menggunakan sistem teknologi informasi yang berbasis pada ERP
(Enterprise Resource Planning). Dengan semakin berkembangnya teknologi, semakin meningkat juga risiko terkait dengan teknologi dan operasional perusahaan. Menyadari hal tersebut, PT. XYZ mengambil langkah-langkah dan inisiatif strategis. Langkah-langkah tersebut diantaranya adalah: Mengintegrasikan profil risiko perusahaan secara
ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
1
PENDAHULUAN
Journal of Business and Entrepreneurship
enterprise wide dengan profil risiko operasional khususnya yang terkait dengan Teknologi Informasi. Mengambil upaya manajerial yaitu dengan mengaplikasikan sistem manajemen berbasis ISO 27001 terhadap infrastruktur Teknologi Informasi dan layanan Teknologi Informasi terutama yang dihantarkan oleh Unit Teknologi Informasi. Selain tentu saja memperkuat keamanan secara fisik dan teknis dari layanan dan infrastruktur Teknologi Informasi ISO 27001 sebagai sistem manajemen yang berfokus pada keamanan informasi menggunakan pendekatan manajemen risiko dalam implementasinya. Pendekatan manajemen risiko dilakukan melalui risk assessment atau penilaian risiko yang berbasis pada seluruh aset terkait Teknologi Informasi dari lingkup yang disertifikasi oleh suatu perusahaan. PT. XYZ dalam hal ini memutuskan untuk memperluas ruang lingkup sertifikat ISO 27001 yang telah didapatkan sebelumnya yaitu dari ruang lingkup Data Center dengan menambahkan ruang lingkup baru yaitu pada area kerja Unit Teknologi Informasi. Penambahan ruang lingkup dalam sertifikasi Sistem Manajemen Keamanan Informasi (SMKI) ISO 27001, membutuhkan adanya penilaian risiko khusus untuk lingkup yang ditambahkan yaitu Unit Teknologi Informasi. Metode penilaian risiko yang dilakukan dalam ISO 27001 adalah dengan melihat risiko dari masing-masing aset terkait Teknologi Informasi berdasarkan ancaman (threat), kelemahan (vulnerability) dan akibat/dampak (impact) yang membentuk suatu kemungkinan peristiwa/event risiko. Masing-masing event risiko yang terbentuk dari ancaman, kelemahan dan dampak akan dilihat berdasarkan frekuensi (likelihood) serta dampaknya (impact) untuk menentukan 2
level risikonya. Penentuan level risiko dilakukan secara semi kuantitatif yang dijabarkan lebih lanjut pada Bab 3. Penelitian dari Chonawee Supatgiat, Chris Kenyon dan Lucas Heusler (2006) dalam karya tulisnya yang berjudul “Causeto-Effect Operational Risk Quantification and Management” memberikan suatu model dan metode untuk mengkuantifikasi risiko operasional berbasiskan hubungan sebabakibat (cause-to-effect). Penelitian ini memberikan suatu sudut pandang baru dalam melakukan penghitungan risiko operasional yaitu dengan adanya dekomposisi yang membagi risiko-risiko yang ada dimana kemudian dilakukan agregasi dalam menghitung risikonya. Metode kuantifikasi risiko yang ada saat ini umumnya dilakukan berdasarkan observasi kerugian, dan besarnya kuantifikasi risiko operasional belum tentu mencerminkan suatu hubungan sebab akibat yang menunjukkan bagaimana risiko dapat dikurangi, dikelola dan dikendalikan (Supatgiat, Kenyon, Heusler, 2006). Hal ini menimbulkan adanya gap antara penentuan risiko yang umumnya dilakukan bersama risk taking unit, dengan penghitungan risiko operasionalnya.
RUMUSAN MASALAH PT. XYZ dalam mengimplementasikan Sistem Manajemen Keamanan Informasi dengan ruang lingkup Unit Teknologi Informasi melakukan suatu penilaian risiko sesuai dengan standard ISO 27001. Penilaian risiko yang dilakukan merupakan penilaian risiko berbasis aset Teknologi Informasi perusahaan. Metode penilaian risiko dikembangkan dari standard ISO 27001 dan disesuaikan dengan kebijakan manajemen risiko perusahaan. ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
Journal of Business and Entrepreneurship
Penilaian risiko yang dilakukan oleh Unit Teknologi Informasi PT. XYZ dalam kerangka implementasi ISO 27001 menghasilkan kurang lebih 373 kemungkinan risiko yang dapat terjadi. Dengan banyaknya risiko yang ada, dibutuhkan suatu metode kuantifikasi risiko agar dapat memberikan gambaran kerugian yang mungkin terjadi di masa mendatang. Saat ini penilaian risiko yang dilakukan hanya memberikan gambaran profil risiko yang ada, tetapi belum sampai pada gambaran kerugian yang mungkin diderita peruusahaan. Metode Kuantifikasi Risiko Operasional Berbasiskan metode CauseEffect sebagaimana dituliskan dalam karya ilmiahnya oleh Supatgiat, Kenyon dan Heusler, memberikan model pengukuran risiko Teknologi Informasi yang sangat baik. Dari ratusan potensi risiko yang ada, banyak sekali risiko yang terkait dan memiliki hubungan cause-effect antara satu risiko dengan yang lain. Dalam penelitian ini peneliti melakukan kuantifikasi risiko operasional menggunakan metod cause-effect ke dalam penilaian risiko yang dilakukan oleh PT. XYZ dalam rangka implementasi Sistem Manajemen Keamanan Informasi ISO 27001. Peneliti mengharapkan agar penelitian ini dapat menjawab dua pertanyaan di bawah: Bagaimana melakukan kuantifikasi risiko Teknologi Informasi (TI) menggunakan metode Cause-effect pada PT. XYZ? Bagaimana simulasi penghitungan kerugian operasionalnya menggunakan Loss Distribution Approach - Aggregation model? TUJUAN PENELITIAN
• PT. XYZ dapat melakukan dan mengembangkan model penilaian risiko dengan metode cause-effect • Memberikan gambaran nilai kerugian operasional dengan menggunakan Loss Distribution Approach - Aggregation model.
LANDASAN TEORI Risiko Teknologi Informasi Risiko Teknologi Informasi dari sudut pandang Ilmu Manajemen Risiko secara umum dan industri finansial merupakan bagian dari risiko operasional. Dari penjabaran definisi risiko operasional pada sub bab sebelumnya, dapat ditarik kesimpulan bahwa kegagalan sistem Teknologi Informasi termasuk dan merupakan bagian dari risiko operasional. Pada dasarnya risiko Teknologi Informasi merupakan risiko bagi bisnis secara keseluruhan, terutama bagi bisnis yang terkait langsung dengan layanan Teknologi Informasi. Ketika terjadi gangguan maupun permasalahan terhadap layanan Teknologi Informasi, maka baik secara langsung ataupun tidak langsung akan mengganggu bisnis dan organisasi secara keseluruhan. Risiko Teknologi Informasi, menurut Risk IT Framework (ISACA, 2009) dapat dikategorikan sebagai berikut: • Risiko nilai/keuntungan penggunaan Teknologi Informasi (IT benefit/value enablement risk) • Risiko pelaksanaan program dan proyek (IT programme and project delivery risk)
Penelitian yang dilakukan peneliti memiliki tujuan sebagai berikut:
• Risiko penghantaran operasional dan layanan Teknologi Informasi (IT operations and service delivery risk)
ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
3
Journal of Business and Entrepreneurship
Manajemen Risiko Teknologi Informasi Pada dasarnya pengelolaan risiko Teknologi Informasi tidak berbeda dengan pengelolaan risiko operasional secara umum. Langkah-langkahnya meliputi identifikasi risiko, pengukuran risiko, dan pengendalian risiko. Perbedaan mendasar terkait dengan risiko Teknologi Informasi adalah sifatnya yang memerlukan keahlian khusus sehingga dibutuhkan penanganan teknis terkait Teknologi Informasi dalam tindak lanjut untuk mengelola risikonya. Manajemen risiko Perusahaan erat kaitannya dengan istilah yang sudah cukup sering kita dengar yaitu Good Corporate Governance (GCG). Sama halnya dengan itu, manajemen risiko Teknologi Informasi erat kaitannya dengan Tata Kelola Teknologi Informasi atau sering diistilahkan dengan IT Governance. Selain penggunaan GCG (termasuk IT governance didalamnya), perusahaan/ organisasi juga dapat melakukan pengelolaan risiko dengan menerapkan Sistem Manajemen terkait Teknologi Informasi yang berbasis ISO. Beberapa Sistem Manajemen terkait teknologi yang cukup populer saat ini adalah sebagai berikut: • ISO 27001 tahun 2005 Information Security Management System (Sistem Manajemen Keamanan Informasi) • ISO 20000 tahun 2011 Information Technology Service Management (Sistem Manajemen Layanan Informasi) • ISO 22301 tahun 2012 Business Continuity Management System (Sistem Manajemen Keberlangsungan Bisnis) Pendekatan proses merupakan pendekatan dan metode yang banyak digunakan dalam penilaian risiko 4
Teknologi Informasi. Metode pendekatan ini memulai identifikasi risiko berdasarkan aktifitas proses yang berjalan di organisasi Teknologi Informasi, baik yang sudah terdokumentasi ataupun belum. Umumnya dengan melihat dan menganalisis proses dan aktivitas yang berjalan dalam suatu organisasi, juga bisa dilakukan langkahlangkah optimasi proses yang biasa dikenal juga dengan istilah process reengineering. Dalam kaitannya dengan manajemen risiko teknologi informasi, process reengineering ditujukan sebagai kontrol tambahan untuk meminimalkan/memitigasi risiko. Sistem Manajemen Keamanan Informasi ISO 27001 Sistem Manajemen Keamanan Informasi (SMKI) ISO 27001 merupakan salah satu seri standar sistem manajemen yang dikeluarkan oleh badan standar dunia ISO (The International Organization for Standardization). ISO sendiri merupakan suatu badan standar dunia yang dibentuk untuk meningkatkan perdagangan internasional yang berkaitan dengan perubahan barang dan jasa (Suardi, 2004). ISO 27001 menggunakan pendekatan yang tidak berbeda dengan standar sistem manajemen lain yaitu pendekatan berbasis proses. Standar ini mengadopsi pendekatan proses untuk membuat, mengimplementasi, mengoperasikan, memantau, meninjau, menjaga dan meningkatkan organisasi SMKI secara keseluruhan (ISO/ IEC, 2005). Secara garis besar, pelaksanaan sistem manajemen ISO 27001 menggunakan model Plan-Do-Check-Act (PDCA) yang sering juga disebut sebagai Deming’s cycle. Model PDCA ini berfokus pada peningkatan yang berkelanjutan (continuous improvement). Model PDCA pada ISO 27001 dapat dilihat pada Gambar 2-3 di bawah. ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
Journal of Business and Entrepreneurship
Model PDCA pada gambar di bawah, dapat dijabarkan lebih lanjut sebagai berikut (ISO 27001, 2012) • Plan Tahap/proses Plan merupakan tahap perencanaan sistem manajemen yang mencakup pembentukan kebijakan, tujuan, prosedur dan proses yang terkait dengan manajemen risiko serta peningkatan keamanan informasi perusahaan. • Do Proses Do merupakan tahapan dalam implementasi kebijakan, proses, kontrol dan prosedur terkait Sistem
Manajemen Keamanan Informasi yang telah dibuat • Check Proses Check merupakan tahapan proses untuk melakukan penilaian dan pengukuran (apabila memungkinkan) terhadap kinerja proses yang dilakukan terhadap kebijakan dan tujuan perusahaan. • Act Proses Act merupakan tahapan dalam melakukan tindakan pencegahan (preventive) dan perbaikan (corrective) berdasarkan audit yang dilakukan maupun tinjauan dari manajemen.
Sumber: ISO/IEC (2005, vi)
Gambar 1. Model PDCA dalam Sistem Manajemen Keamanan Informasi Sistem Manajemen Keamanan Informasi ISO 27001 menggunakan penilaian risiko sebagai dasar dan langkah awal pelaksanaan Sistem Manajemen yang berdasarkan kontrol. Dalam standard ISO 27001 tahun 2005, metode dan langkah penilaian risiko dijabarkan dalam klausa utama (main clause) 4.2.1 c, d, e dan f. Metode penilaian risiko berbasis aset
tersebut dijabarkan lebih lanjut sebagai berikut (ISO 27001, 2012) : Mendefinisikan pendekatan penilaian risiko yang sesuai bagi perusahaan. Termasuk didalamnya adalah metode penilaian risiko dan kriteria untuk mengidentifikasi level risiko yang dapat ditoleransi
ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
5
Journal of Business and Entrepreneurship
Melakukan identifikasi risiko dengan langkah-langkah sebagai berikut: • Identifikasi semua aset yang masuk dalam lingkup Sistem Manajemen Keamanan Informasi • Identifikasi ancaman (threat) terhadap aset tersebut • Identifikasi kelemahan (vulnerability) yang dapat dieksploitasi aset • Identifikasi dampak (impact) dari sudut pandang keamanan (confidentiality), integritas (integrity) serta ketersediaan (availability) terhadap aset • Melakukan analisis dan evaluasi risiko. Penentuan level risiko dilihat dari frekuensi (likelihood) dan tingkat keparahan (severity). • Identifikasi dan evaluasi opsi untuk menangani risiko. Kemungkinan tindakan yang dapat dilakukan sesuai dengan yang telah dijabarkan pada Sub Bab 2.3 yaitu menerapkan kontrol yang sesuai (mitigasi risiko), menerima risiko, menghindari risiko dan mentransfer risiko. Identifikasi Risiko Dalam melakukan identifikasi, ada beberapa hal yang harus dilakukan menurut ISO 27001, yaitu: a. Melakukan identifikasi aset Aset merupakan segala sesuatu yang memiliki nilai bagi perusahaan dan karena itu harus dilindungi. Identifikasi aset dilakukan sesuai dengan lingkup dari implementasi Sistem Manajemen Keamanan Informasi. Pemilik aset harus jelas untuk setiap aset yang diidentifikasi. Pada dasarnya pembagian/ klasifikasi aset diserahkan kepada masing-masing perusahaan. Akan tetapi ISO 27002 yang berisi panduan implementasi Sistem Manajemen 6
Keamanan Informasi membagi aset menjadi: • Aset Informasi • Aset perangkat lunak (software) • Aset fisik • Aset layanan (service) • Aset sumber daya manusia • Aset intangible b. Melakukan identifikasi ancaman (threat) Ancaman berpotensi untuk mengganggu/membahayakan aset yang sudah didefinisikan sebelumnya sehingga dapat mengganggu perusahaan secara keseluruhan. Ancaman dapat berasal dari alam (seperti bencana alam) maupun dari manusia dan sifatnya dapat terjadi secara disengaja ataupun kebetulan. c. Melakukan identifikasi kelemahan Kelemahan yang ada dapat dieksploitasi oleh ancaman sehingga membahayakan perusahaan secara keseluruhan. Pada umumnya kelemahan yang ada tidak hanya berbentuk teknis (seperti hardware, virus, software bug, dan lain-lain) tetapi juga dapat berbentuk non teknis (seperti proses, prosedur, sumber daya manusia, dan lain-lain). d. Melakukan identifikasi dampak/ konsekuensi Dampak dapat berupa kerugian secara finansial, kerusakan secara fisik, kehilangan efektifitas operasional, reputasi, dan lain-lain.
Kuantifikasi Risiko Metode CauseEffect Metode penilaian risiko yang dilakukan saat ini, terutama risiko ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
Journal of Business and Entrepreneurship
operasional, umumnya hanya melihat pada kerugiannya tetapi tidak sampai pada hubungan cause-effect yang menyebabkan risiko tersebut terjadi. Dalam melakukan penghitungan risiko operasional secara umum, hal ini memang dapat dilakukan. Tetapi ketika dilakukan penilaian risiko Teknologi Informasinya, maka akan ditemui kesulitan terutama terkait dengan valuasi/penghitungan nilai kerugian yang dapat terjadi. Faktor besarnya investasi finansial terhadap aset Teknologi Informasi dan penghitungan tingkat pengembalian investasi yang cukup rumit mempersulit penghitungan risiko Teknologi Informasi. Metode Cause-effect yang menjadi dasar penelitian ini menggunakan suatu algoritma dekomposisi untuk menyederhanakan model penilaian risiko yang berskala besar. Pada umumnya penilaian risiko Teknologi Informasi dapat memunculkan kemungkinan risiko yang
sangat banyak bahkan bisa sampai ribuan risiko. Dalam melakukan penilaian risiko, ketika semua jenis risiko dimodelkan menggunakan hubungan cause-effect, akan menghasilkan sebuah model yang sangat besar dan rumit. Model yang besar dan rumit tersebut dapat disederhanakan melalui dekomposisi menjadi submodel yang lebih kecil. Untuk setiap submodel, kegagalan yang terjadi ditranslasikan menjadi kerugian finansial. Grafik Interdependensi Grafik interdependesi dibuat untuk memfasilitasi dekomposisi risiko menjadi submodel-submodel yang lebih kecil. Gambar dibawah menjelaskan mengenai proses untuk menghubungkan antara penyebab kegagalan (root cause of failure), kejadian kegagalan (failure event) serta dampak (impact type) bagi perusahaan.
Sumber: Supatgiat, Kenyon, Heusler (2006, 23)
Gambar 2. Grafik Interdependensi
Melalui grafik interdependensi di atas, risiko dapat dikelompokkan ke dalam beberapa bagian berdasarkan dampaknya bagi perusahaan. Dengan pengelompokan yang dilakukan maka akan lebih mudah bagi perusahaan dalam melakukan penghitungan risikonya. ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
Dekomposisi Risiko Dekomposisi risiko dilakukan untuk menghasilkan submodel-submodel sebagaimana terlihat dalam gambar di bawah.
7
Journal of Business and Entrepreneurship
Sumber: Supatgiat, Kenyon, Heusler (2006, 21)
Gambar 3. Konsep Dekomposisi Risiko Operasional
METODE PENELITIAN Penilaian Risiko Menggunakan ISO 27001 Sudut pandang penilaian risiko pada Standar ISO 27001 adalah sebagai dasar/ acuan untuk melakukan tindak lanjut terhadap risiko yang ada. Sebagai suatu sistem manajemen yang menggunakan konsep PDCA berbasis perbaikan berkelanjutan (continous improvement), hasil pengukuran risiko dalam bentuk kuantitaif bukan merupakan hal yang utama. Fokus utama Standar ISO 27001
8
adalah pada peningkatan berkelanjutan terutama pada proses yang mendukung manajemen keamanan informasi. Penilaian risiko dalam Sistem Manajemen Keamanan Informasi ISO 27001 hanyalah merupakan salah satu dari sekian banyak proses yang harus dilakukan. Pada karya akhir ini, peneliti mengambil pendekatan penilaian risiko berbasis aset yang digunakan dalam Standar ISO 27001.
ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
Journal of Business and Entrepreneurship
Sumber: Peneliti, Diolah Sendiri
Gambar 4. Tahap Penilaian Risiko ISO 27001 Kuantifikasi Risiko Menggunakan Metode Cause-Effect Sesuai dengan jurnal internasional berjudul Cause to Effect Operational Risk Quantification and Management (Supatgiat, Kenyon, Heusler, 2006), ada beberapa langkah yang harus dilakukan untuk dapat melakukan kuantifikasi risiko sebagaimana terlihat dalam Gambar 3-2.
Sumber: Peneliti, Diolah Sendiri
Gambar 5. Tahap Kuantifikasi Risiko Metode Cause-Effect ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
9
Journal of Business and Entrepreneurship
HASIL PENELITIAN Profil Risiko Dalam penerapan Sistem Manajemen Keamanan Informasi, setelah dilakukan penilaian risiko sebenarnya masih ada beberapa tahapan lain seperti penentuan risk treatment plan, statement of applicability, dan lain-lain. Akan tetapi pada karya akhir ini, peneliti tidak membahas mengenai hal tersebut karena fokus utama adalah pada kuantifikasi risiko dengan pendekatan
cause-effect. Penilaian risiko berdasarkan ISO 27001 digunakan sebagai data awal dalam pendekatan cause-effect. Gambar 3-2 memberikan ilustrasi mengenai jumlah dan persentase risiko yang didapatkan dari penilaian risiko. Hasil penilaian risiko menunjukkan bahwa total jumlah risiko yang tidak dapat diterima Perusahaan (not acceptable) adalah sebanyak 107 risiko atau sekitar 28,7% dari keseluruhan risiko yang berhasil diidentifikasi.
Tabel 1. Ringkasan Profil Risiko Natural PT. XYZ
Sumber: Risk Summary PT. XYZ (Diolah sendiri)
Setelah dilakukan pemetaan terhadap profil risiko sebelumnya, maka dilakukan pembuatan grafik interdepensi dari profil risiko yang ada. Grafik interdependensi memetakan hubungan antara penyebab kegagalan (root cause of failure), tipe kejadian kegagalan (failure event types) serta tipe dampaknya (independent impact types). Grafik interdependensi profil risiko PT. XYZ dapat dilihat pada gambar 4-2. Setelah dilakukan dekomposisi dan dipetakan ke dalam grafik interdependensi, ada 5 kelompok root cause of failure, 5 10
kelompok failure event types, dan 6 kelompok independent impact types. Masing-masing kelompok dibedakan dalam pewarnaan untuk mempermudah klasifikasi. Antara root cause of failure dan failure event types terdapat suatu hubungan/relasi yang disebut sebagai ketergantungan kegagalan (failure dependency). Sehingga sebagai contoh suatu kejadian ilegal akses terhadap dokumen memiliki ketergantungan terhadap tiga aspek yaitu ketidakteraturan dalam penghapusan hak akses, ketidakISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
Journal of Business and Entrepreneurship
sempurnaan dalam pendataan aset, dan ketidaksempurnaan dalam Pelaksanaan Clean Desk & Clean Screen Policy. Relasi failure dependency memiliki hubungan many to many. Antara failure event types dan independent impact types terdapat suatu relasi yang disebut sebagai ketergantungan dampak (impact dependency).
Sehingga sebagai contoh untuk suatu kejadian ilegal akses terhadap dokumen dan misshandling dokumen, mengacu pada dampak berupa pencurian hardware/ informasi oleh pihak luar. Dengan hubungan many to many, maka kedua failure event tersebut juga bisa menimbulkan dampak penyalahgunaan/ kebocoran informasi kepada pihak luar.
Sumber: Peneliti (Diolah sendiri)
Gambar 6. Grafik Interdependensi Profil Risiko PT. XYZ ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
11
Journal of Business and Entrepreneurship
Dekomposisi Risiko Dari dekomposisi risiko yang dilakukan, terdapat 6 submodel yang kemudian direpresentasikan dalam 6
simulasi kerugian. Submodel yang didapatkan dari kurang lebih 373 risiko yang diidentifikasi dapat dirangkum sebagai berikut:
Sumber: Peneliti (Diolah Sendiri)
Gambar 7. Model Dekomposisi Risiko Teknologi Informasi Aggregated Loss Distribution dan Perhitungan VaR Risiko Teknologi Informasi Penggunaan metode Aggregated Loss Distribution pada simulasi ini merupakan langkah selanjutnya dari metode CauseEffect. Sebenarnya perhitungan distribusi kerugian tidak secara spesifik dijelaskan menggunakan metode tertentu, tetapi peneliti melihat bahwa yang paling memungkinkan dari simulasi yang
dilakukan adalah dengan metode LDAaggregation model. Dengan tidak adanya data historis dan pengujian distribusi yang dapat dilakukan, maka peneliti mengambil asumsi terhadap distribusi yang ada sebagaimana telah disinggung dalam sub bab 3.2.3. Dalam karya akhir ini untuk frekuensi digunakan distribusi Poisson, sementara untuk severity digunakan distribusi lognormal.
Sumber: Peneliti (Diolah sendiri)
Gambar 8. Parameter Statistik Distribusi 12
ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
Journal of Business and Entrepreneurship
Untuk mencari frequency of loss untuk satu periode yang akan datang akan dilakukan dengan bantuan aplikasi Excel dengan simulasi sebanyak 10.000 kali dengan menginput nilai lambda untuk generate random number frequency.
Demikian pula untuk nilai severity of loss distribution untuk satu periode yang akan datang, ditentukan dari besarnya nilai random berdasarkan parameter distribusi lognormal yaitu mean dan standar deviasi. Hasil simulasi dapat dilihat pada gambar 4-5.
Sumber: Peneliti (Dikelola sendiri)
Gambar 9. Simulasi Montecarlo dengan metode LDA - Aggregation Approach Dari data hasil simulasi di atas, didapatkan untuk nilai kerugian dengan VaR 99% adalah mencapai 825,236 juta Rupiah. Hal ini cukup masuk akal mengingat secara operasional, Unit Teknologi Informasi PT. XYZ yang masuk dalam lingkup penilaian risiko tidak terekspos pada risiko yang dapat menghasilkan kerugian yang besar.
Berdasarkan risk appetite (selera risiko) yang diterjemahkan dalam nilai Batas Toleransi Risiko (BTR) seperti dapat dilihat pada gambar 4.6 di bawah, maka nilai risiko diatas termasuk dalam kategori minor untuk VaR 99%. Secara keseluruhan nilai kerugian risiko teknologi informasi yang disimulasikan tidak berdampak signifikan untuk PT. XYZ.
Sumber: Peneliti, Diolah sendiri
Gambar 10. Simulasi Resiko ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
13
Journal of Business and Entrepreneurship
Dalam simulasi penghitungan risiko yang dilakukan, perlu diperhatikan bahwa sifat simulasinya sendiri adalah untuk memberikan gambaran nilai kerugian risiko teknologi informasi. Seperti telah disebutkan sebelumnya bahwa parameter dan data kerugian yang diambil masih bersifat asumsi peneliti karena belum lengkapnya data yang ada pada PT. XYZ. Untuk mendapatkan nilai kerugian risiko yang lebih akurat pada PT. XYZ, maka perlu dilakukan perekaman data historis yang lebih lengkap terutama frekuensi kejadian risiko dan nilai kerugian sebagai dampak dari kejadian risiko.
KESIMPULAN & SARAN Kesimpulan Adapun beberapa kesimpulan yang dapat disampaikan adalah sebagai berikut: 1. Risiko teknologi informasi merupakan bagian dari risiko operasional yang perlu diperhatikan secara khusus. Berdasarkan penelitian yang dilakukan, dapat disimpulkan bahwa metode Cause-effect sangat berguna dan membantu dalam kuantifikasi risiko operasional terutama risiko Teknologi Informasi PT. XYZ. Metode ini dapat digunakan oleh perusahaan lain yang bertujuan untuk mendapatkan profil risiko yang lebih ringkas dan mengukur kerugian/loss yang terjadi karena risiko Teknologi Informasi. 2. Simulasi kuantifikasi risiko operasional yang dihasilkan, memberikan gambaran kerugian operasional yang dapat terjadi secara kuantitatif. Berdasarkan penetapan Batas Toleransi Risiko sesuai dengan risk appetite PT. XYZ, maka kerugian yang ditimbulkan secara keseluruhan 14
berada dalam kategori minor. Sehingga secara keseluruhan dapat dikatakan bahwa risiko yang terjadi pada Unit Teknologi Informasi PT. XYZ tidak terlalu memberikan dampak yang signifikan. Saran Adapun beberapa saran yang dapat disampaikan adalah sebagai berikut: 1. Metode Cause-effect yang menggunakan dekomposisi dalam menciptakan submodel berperan sangat baik dalam mensimplifikasi profil risiko. Namun dibutuhkan data historis yang mencukupi untuk dapat membuat pengukuran risiko yang akurat. PT. XYZ belum memiliki data historis yang mencukupi untuk dapat dilakukan penghitungan secara akurat. Karena itu disarankan agar profil risiko yang sudah ada selalu dipantau dan direkam setiap kali terjadi peristiwa risiko untuk mendapatkan akurasi frekuensi kejadian risiko. 2. Untuk berikutnya, disarankan juga bagi PT. XYZ untuk dapat mengembangkan metode penilaian risikonya terutama dalam penentuan dampak kerugian secara kuantitatif pada setiap peristiwa risiko teknologi informasi. Sehingga pencatatan historis nominal kerugian dari dampak (impact) setiap peristiwa risiko dapat menjadi lebih akurat. 3. Bagi perusahaan lain baik yang bergerak dalam bidang energi ataupun non energi, dapat menggunakan metode Cause Effect untuk menghasilkan pengukuran risiko teknologi informasi secara kuantitatif. Penggunaan metode Cause-Effect dapat dikombinasikan dengan framework penilaian risiko yang ada ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
Journal of Business and Entrepreneurship
pada perusahaan baik penilaian yang berbasis aset maupun proses. Profil risiko yang dihasilkan dari framework tiap perusahaan kemudian dikombinasikan dengan metode Cause-Effect, untuk kemudian dilakukan kuantifikasi risiko menggunakan pendekatan penilaian risiko operasional secara statistik, baik dengan Loss Distribution Approach (LDA), Extreme Value Theory (EVT), dan lain-lain.
DAFTAR PUSTAKA Basel Committee on Banking Supervision. (2003). The new Basel capital accord. BIS, Basel, Switzerland. Global Association of Risk Professionals & Badan Sertifikasi Manajemen Risiko. (2008). Workbook 1-3. BSMR. Jakarta. Herwartz, H., & Waichman, I. (2010). A comparison of bootstrap and MonteCarlo testing approaches to value-atrisk diagnosis. Comput Stat, 25, 725732 ISACA. (2009). The Risk IT Framework. Illinois: ISACA
ISO/IEC 27001. (2005). Information Technology - Security Techniques Information Security Management Systems- Requirements. Switzerland: ISO Lampiran Surat Edaran Bank Indonesia No. 9/30/DPNP Pedoman Penerapaan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum Lewis, N.D.C. (2004). Operational Risk with Excel and VBA Applied Statistical Methods for Risk Management. New Jersey: John Willey& Sons Mun, J. (2006). Modeling Risk. New Jersey: John Willey& Sons Muslich, M. (2007). Manajemen Risiko Operasional Teori & Praktik. Jakarta: Bumi Aksara Peraturan Bank Indonesia No. 9/15/PBI/ 2007 Tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum Suardi, R. (2004). Sistem Manajemen Mutu ISO 9000:2000 Penerapannya untuk Mencapai TQM. Jakarta: PPM
ISO 31000. (2009). Risk management — Principles and guidelines. Switzerland: ISO
Supatgiat, C., Kenyon, C., & Heusler, L. (2006). Cause-to-Effect OperationalRisk Quantification and Management. Risk Management Vol. 8, pp 16-42
ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
15