BAB 2 LANDASAN TEORI
2.1.
Manajemen Proyek Teknologi Informasi Dalam setiap perusahaan pasti memiliki suatu usaha yang bersifat sementara
untuk memajukan perusahaan tersebut, hal itu dinamakan proyek. Sebuah proyek yang ada di perusahaan harus memiliki manajemen yang baik sehingga proyek tersebut dapat sukses dilakukan. Proyek tersebut memiliki batasan-batasan sendiri, di mana seorang Project Manager wajib membuat batasan itu.
2.1.1.
Proyek Menurut Schwalbe (2002, p4), proyek adalah suatu usaha temporer yang
dilakukan untuk mencapai suatu tujuan tertentu. Dalam setiap proyek ada 3 jenis batasan yaitu ruang lingkup, waktu, dan biaya. 1. Ruang Lingkup Merupakan batasan mengenai apa yang ingin dicapai dan produk atau jasa tertentu yang diharapkan oleh konsumen atau sponsor dari proyek. 2. Waktu Merupakan
batasan
mengenai
berapa
lama
waktu
yang
diperlukan
untuk
menyelesaikan suatu proyek. 3. Biaya Merupakan batasan mengenai berapa biaya yang diperlukan untuk menyelesaikan suatu proyek. 2.1.2. Manajemen Proyek 6
7 Menurut Schwalbe (2002,p7), manajemen proyek adalah aplikasi dari pengetahuan, keterampilan, alat bantu, dan teknik untuk aktivitas proyek dalam rangka memenuhi kebutuhan proyek.
2.1.3. Critical Success Factor (CSF) Menurut Olson (2003,p10), CSF adalah suatu bagian terpenting yang harus dilaksanakan agar suatu kegiatan (proyek) dapat berjalan dengan baik. Kesuksesan suatu proyek dapat dilihat dari apakah proyek tersebut sudah sesuai dengan spesifikasi, biaya dan waktu yang diinginkan. Menurut Olson (2003, p12), tiga faktor yang diyakini sebagai faktor keberhasilan suatu proyek adalah (1) keikutsertaan klien dalam proyek; (2) dukungan dari manajemen tingkat atas; (3) objektifitas dari proyek yang jelas. Menurut Rakos (1990,p2), di dalam sebuah proyek piranti lunak ada masalahmasalah yang menyebabkan proyek piranti lunak mengalami kegagalan, yaitu: 1. kegagalan di saat suatu proyek dimulai Terkadang banyak proyek yang dijalankan tanpa mengetahui gambaran yang jelas tentang mengapa sebuah proyek harus dimulai dan tujuan akhir proyek yang telah diselesaikan. Sehingga sering terjadi penyimpangan di dalam aktivitas proyek dikarenakan tidak adanya arah yang jelas dari proyek tersebut. Itu disebabkan kurang baiknya dalam perencanaan proyek atau tidak adanya suatu rencana dalam suatu proyek.
2. kegagalan saat pembuatan
8 Setelah melakukan perencanaan yang baik, akan dilakukan sebuah analisis masalah yang terjadi pada sistem yang lama dan melakukan desain untuk sistem yang baru kemudian dimulailah tahap pembuatan sesuai desain yang telah dibuat. Kegagalan dapat terjadi bila hasil dari analisis dan desain tidak digambarkan dengan jelas, maka akan terjadi salah perkiraan dalam tahap pembuatan sistem yang baru. 3. kegagalan pada saat akhir proyek Kegagalan terjadi dikarenakan pada saat batas waktu yang telah ditentukan telah tiba, produk yang dijanjikan masih belum selesai atau produk sudah selesai, lalu diserahkan aplikasi yang dihasilkan kepada user tanpa adanya pengujian terlebih dahulu untuk mengetahui kegagalan yang akan terjadi dari aplikasi yang telah dihasilkan tersebut atau aplikasi tersebut tidak sesuai dengan kebutuhan dan kinerja yang telah dijanjikan kepada user.
2.2.
Sistem Informasi Dalam ilmu komputer, sistem informasi memiliki beberapa komponen penting
di dalamnya seperti hardware, software, jaringan, data, serta informasi yang saling berintegrasi dan terorganisir dengan baik. Karena cakupan sistem informasi yang luas, maka hal-hal yang dijelaskan di bawah ini hanya mencakup pengertian data dan informasi, sistem, serta sistem informasi.
2.2.1. Data Menurut Williams dan Sawyer (2005, p12), data adalah fakta dan gambaran mentah yang diproses untuk menjadi informasi, sedangkan menurut McLeod et al (2001, p11), data adalah fakta-fakta dan angka-angka yang secara relatif kurang berarti
9 bagi penerimanya. Di sisi lain, menurut O’Brien (2003, p38), data adalah fakta atau observasi mentah, yang biasanya mengenai fenomena fisik atau transaksi bisnis. Kesimpulan menurut kami, data adalah fakta berupa gambaran mentah, observasi mentah, dan angka-angka, yang biasanya tentang transaksi bisnis dan pada umumnya kurang berarti bagi penerimanya sehingga harus diproses menjadi informasi agar berguna bagi pemakainya.
2.2.2.
Informasi Menurut Williams dan Sawyer (2005, p12), informasi adalah data yang telah
dirangkum atau dimanipulasi yang digunakan untuk pengambilan keputusan, sedangkan menurut McLeod et al (2001, p12), informasi didefinisikan sebagai data yang telah diproses ke dalam bentuk yang berarti bagi penerimanya dan memiliki nilai yang real maupun yang dipersepsikan dalam mengambil tindakan dan keputusan pada saat kini maupun yang akan datang. Kesimpulan menurut kami, informasi dapat didefinisikan sebagai data yang telah didapat oleh penerima dan telah diproses, dirangkum, atau dimanipulasi sehingga berarti bagi penerimanya serta dapat digunakan sebagai bahan pengambilan tindakan dan keputusan untuk saat ini maupun saat yang akan datang.
2.2.3.
Sistem Menurut Williams dan Sawyer (2005, p457), sistem adalah kumpulan dari
komponen-komponen yang berhubungan yang berinteraksi untuk menampilkan hal-hal atau tugas untuk menyelesaikan tujuan, sedangkan menurut McLeod et al (2001, p9), atau tugas untuk menyelesaikan tujuan, sedangkan menurut McLeod et al (2001, p9),
10 sistem adalah sekelompok elemen-elemen yang terintegrasi dengan maksud yang sama untuk mencapai suatu tujuan. Di sisi lain, menurut Hall (2001, p5), sistem adalah sekelompok dua atau lebih komponen-komponen yang saling berkaitan atau subsistem-subsistem yang bersatu, untuk mencapai tujuan yang sama. Kesimpulan menurut kami, sistem merupakan kumpulan atau sekelompok elemen-elemen berupa subsistem-subsistem yang terintegrasi dan berhubungan untuk menampilkan hal atau tugas dengan tujuan sama yang ingin dicapai.
2.2.4.
Sistem Informasi Menurut Laudon (2002, p7), sistem informasi adalah sekumpulan komponen
yang saling berhubungan yang bekerjasama mengumpulkan (mengambil), memproses, menyimpan, dan menyebarkan informasi untuk mendukung pengambilan keputusan, koordinasi, dan pengawasan dalam suatu organisasi, sedangkan menurut O’Brien (2003, p5), sistem informasi dapat berupa penggabungan terorganisasi dari manusia, hardware, software, jaringan komputer, dan sumber data yang mengumpulkan, mengubah, dan menyebarkan informasi dalam sebuah organisasi. Di sisi lain, menurut Whitten et al (2001, p8), sistem informasi adalah susunan dari orang, data, proses, penyajian informasi, dan teknologi informasi yang berinteraksi untuk mendukung dan mengembangkan pengoperasian sehingga dapat membantu dalam penyelesaian masalah dan pembuatan keputusan yang dibutuhkan oleh manajemen dan pengguna. Kesimpulan menurut kami, sistem informasi adalah sekumpulan komponen yang saling bergabung dan berhubungan seperti manusia, hardware, software, jaringan,
11 dan sumber data yang mengumpulkan, memproses, menyimpan, dan menyebarkan informasi untuk mendukung pengambilan keputusan, koordinasi, dan pengawasan dalam suatu perusahaan.
2.3.
Teknologi Informasi Era modernisasi ini teknologi semakin maju dan berkembang, di mana pada
dasarnya arsitektur teknologi informasi itu sendiri mencakup tentang hardware, software, jaringan. Setiap arsitektur memiliki cakupan yang luas dan digunakan untuk mengembangkan sistem yang pada umumnya memakai pendekatan sistem berupa System Development Life Cycle (Siklus Hidup Pengembangan Sistem).
2.3.1.
Teknologi Informasi Menurut Williams dan Sawyer (2005, p3), teknologi informasi adalah
teknologi
yang
membantu
untuk
memproduksi,
memanipulasi,
menyimpan,
mengkomunikasikan informasi, sedangkan menurut Post dan Anderson (2006, p4), teknologi informasi menunjukkan berbagai tipe dari hardware dan software yang digunakan dalam sistem informasi, mencakup komputer dan peralatan jaringan. Di sisi lain, menurut Turban, Rainer, dan Potter (2003, p36), teknologi informasi adalah koleksi sumber daya informasi, pemakainya dan manajemen yang mengawasi dalam sebuah perusahaan, termasuk infrastruktur teknologi informasi dan sistem informasi lainnya. Kesimpulan menurut kami, teknologi informasi adalah kumpulan berbagai tipe dari hardware dan software yang digunakan dalam sistem informasi untuk memproduksi, memanipulasi, menyimpan, dan mengkomunikasikan informasi.
12 2.3.2.
Hardware Menurut Williams dan Sawyer (2005, p12), perangkat keras (hardware)
adalah seluruh mesin dan perlengkapan di dalam sistem komputer. Dalam setiap hardware terdapat 4 operasi standar dan 1 operasi tambahan, di antaranya yaitu input, processing, storage, output, dan communication. 1. Input Operation, adalah apapun yang dimasukkan ke dalam sistem komputer, dapat berupa macam-macam data (angka, huruf, simbol, warna, dll) atau fakta mentah yang perlu diproses. Alat yang termasuk dalam input hardware adalah keyboard dan mouse. 2. Processing Operation, adalah manipulasi yang dilakukan sebuah komputer untuk mengubah data menjadi informasi. Alat yang termasuk dalam processing hardware adalah processor chip, memory chips, dan motherboard. 3. Storage Operation, terbagi menjadi 2 macam yaitu primary storage dan secondary storage. Contohnya adalah floppy-disk, hard-disk drive, dan CD/DVD drive. 4. Output Operation, adalah apapun yang berupa keluaran dari sistem komputer – hasil dari pemrosesan, biasanya informasi. Yang termasuk output hardware adalah video card, sound card, monitor, printer dan speakers. 5. Communications Operation, saat ini hampir semua komputer memiliki kemampuan berkomunikasi, misalnya melalui modem.
2.3.3.
Software Menurut Williams dan Sawyer (2005, p12), perangkat lunak (software) adalah
instruksi tahapan demi tahapan yang diberikan kode secara elektronikal yang memberitahu perangkat keras komputer untuk menampilkan tugas. Secara umum,
13 software dibagi menjadi 2 tipe, yaitu system software dan application software. System software membantu komputer untuk menjalankan tugas-tugas operasi yang penting dan mengijinkan software aplikasi untuk dijalankan, contohnya yaitu Windows XP, Linux. Sedangkan application software memberikan pengguna untuk dapat menjalankan hal spesifik – memecahkan masalah atau menampilkan pekerjaan, contohnya yaitu Adobe Photoshop, Microsoft Word, dll.
2.3.4.
Jaringan Menurut Williams dan Sawyer (2005, p319), jaringan atau yang disebut
jaringan komunikasi adalah sebuah sistem yang menginterkoneksikan komputer, telepon, dan alat komunikasi lainnya yang dapat mengkomunikasikan dengan satu yang lainnya serta membagi aplikasi dan data.
2.3.5.
Macam-macam Jaringan
Jaringan yang terdiri dari banyak kombinasi komputer, alat penyimpanan dan alat komunikasi, dapat dibagi menjadi 3 kategori berdasarkan jangkauan geografi, yaitu LAN, MAN, dan WAN. 1. Jaringan Setempat (Local Area Network – LAN) LAN adalah sekumpulan komputer dan umumnya menghubungkan komputerkomputer yang dekat secara fisik, misalnya di ruang atau gedung yang sama. 2. Jaringan Metropolitan (Metropolitan Area Network – MAN) MAN adalah jaringan dengan area yang cukup luas untuk mencakup suatu kota secara keseluruhan atau beberapa kota kecil yang berdekatan. Jarak fisiknya sekitar 30 mil.
14 MAN muncul ketika kebutuhan untuk menghubungkan beberapa komputer melampaui batas jarak LAN. 3. Jaringan Luas (Wide Area Network) WAN digunakan untuk menghubungkan berbagai komputer dan peralatan lain bila jaraknya melampaui batas LAN dan MAN.
2.3.5.1. Topologi Jaringan LAN Untuk menghubungkan komputer dan peralatan lainnya, jaringan LAN menggunakan 3 macam konfigurasi, yaitu bus, ring, dan star. a. Bus Network adalah suatu kabel tunggal dengan panjang terbatas; b. Ring Network adalah satu di mana seluruh mikrokomputer dan alat komunikasi lainnya dihubungkan dalam sebuah pengulangan yang berkelanjutan; c. Star Network adalah satu di mana seluruh mikrokomputer dan alat komunikasi lainnya dihubungkan secara langsung ke pusat server.
15
Gambar 2.1 Bus Network (Sumber : Williams dan Sawyer, 2005, p324)
Gambar 2.2 Ring Network (Sumber : Williams dan Sawyer, 2005, p324)
16
Gambar 2.3 Star Network (Sumber : Williams dan Sawyer, 2005, p324)
2.3.5.2. Internet dan Wi Fi Menurut Williams dan Sawyer (2005, p6), internet adalah jaringan komputer yang mendunia yang menghubungkan ratusan dari ribuan jaringan komputer yang lebih kecil yang digunakan untuk pengetahuan, akademik, komersial serta kepentingan individu. Menurut Williams dan Sawyer (2005, p308), WiFi yang merupakan singkatan dari wireless fidelity merupakan wireless digital standar jangka pendek yang bertujuan membantu komputer portable dan alat handheld wireless untuk mengkomunikasikan pada kecepatan tinggi dan membagi koneksi internet pada jarak sekitar 300 kaki. WiFi menghubungkan melalui akses poin ke LAN.
17 2.3.6.
Siklus Hidup Pengembangan Sistem Siklus hidup pengembangan sistem (System Development Life Cycle – SDLC)
adalah aplikasi penerapan pendekatan sistem untuk pengembangan sistem atau subsistem informasi berbasis komputer (McLeod et al, 2001, p133). Tahapan dalam siklus hidup digambarkan sebagai suatu pola serupa roda dalam Gambar 2.4. Empat tahap yang utama adalah perencanaan, analisis, rancangan dan penerapan.
Tahap-tahap
ini
secara
bersama-sama
dinamakan
siklus
hidup
pengembangan sistem. Tahap kelima adalah penggunaannya, yang berlangsung sampai sudah waktunya untuk merancang sistem itu kembali. Proses merancang kembali mengakibatkan siklus itu akan diulangi lagi.
Gambar 2.4 Siklus Hidup Pengembangan Sistem (Sumber : McLeod, R Jr. dan Schell G., 2001)
18 Tahapan-tahapan siklus sistem tersebut yaitu : 1. Tahap Perencanaan, terdiri dari : a.
Menyadari masalah yang biasanya dirasakan oleh manajer, non-manajer dan elemen dalam lingkungan perusahaan;
b.
Mendefinisikan masalah, dalam tahap ini manajer mengidentifikasikan di mana letak permasalahan dan penyebabnya yang dibantu oleh analis sistem;
c.
Menentukan tujuan sistem, di mana manajer dan analis sistem mengembangkan daftar tujuan sistem yang harus dipenuhi untuk memuaskan pemakai;
d.
Mengidentifikasi kendala-kendala sistem;
e.
Membuat studi kelayakan, seperti kelayakan teknis, pengembalian ekonomis, nonekonomis, hukum dan etika, operasional serta jadwal;
f.
Mempersiapkan usulan penelitian sistem;
g.
Menyetujui atau menolak penelitian proyek;
h.
Menetapkan mekanisme pengendalian.
2. Tahap Analisis Analisis sistem adalah penelitian atas sistem yang telah ada dengan tujuan untuk merancang sistem yang baru atau diperbarui yang terdiri dari : a.
Mengumumkan penelitian sistem;
b.
Mengorganisasikan kebutuhan informasi;
c.
Mendefinisikan kebutuhan informasi;
d.
Mendefinisikan kriteria kinerja sistem;
e.
Menyiapkan usulan rancangan;
f.
Menyetujui atau menolak rancangan proyek.
19 3. Tahap Rancangan Rancangan sistem adalah penentuan proses dan data yang diperlukan oleh sistem baru, yang terdiri dari : a.
Menyiapkan rancangan sistem yang terinci;
b.
Mengidentifikasikan berbagai alternatif konfigurasi sistem;
c.
Mengevaluasi berbagai alternatif konfigurasi sistem;
d.
Memilih konfigurasi yang terbaik;
e.
Menyiapkan usulan penerapan;
f.
Menyetujui atau menolak penerapan sistem.
4. Tahap Penerapan, yang terdiri dari : a.
Merencanakan penerapan;
b.
Mengumumkan penerapan;
c.
Mendapatkan sumber daya perangkat keras;
d.
Mendapatkan sumber daya perangkat lunak;
e.
Menyiapkan database;
f.
Menyiapkan fasilitas fisik;
g.
Mendidik peserta dan pemakai;
h.
Menyiapkan usulan cutover;
i.
Menyetujui atau menolak masuk ke sistem baru;
j.
Masuk ke sistem baru.
5. Tahap Penggunaan, yang terdiri dari : a.
Menggunakan sistem;
b.
Audit sistem;
c.
Memelihara sistem;
20 d.
Menyiapkan usulan rekayasa ulang;
e.
Menyetujui atau menolak rekayasa ulang sistem.
2.4.
Manajemen Risiko Pola pembangunan suatu proses bisnis pada perusahaan terkadang
mengindahkan faktor risiko yang dapat menyebabkan perusahaan mengalami kegagalan yang dapat menghambat proses pencapaian misi perusahaan. Konsep manajemen risiko berikut mencakup tentang pengertian risiko, pengukuran risiko, jenis-jenis risiko serta bagaimana pengendalian risiko.
2.4.1.
Risiko Menurut Emmet J. Vaughan dan Curtis M. Elliot dalam bukunya
Fundamentals of Risk and Insurance, istilah risiko telah dirumuskan dalam berbagai definisi (Kertonegoro, 1996, p1) yaitu (1) risiko adalah kans kerugian (the chances of loss); (2) risiko adalah kemungkinan kerugian (the possibility of loss); (3) risiko adalah ketidakpastian (uncertainty); (4) risiko adalah penyimpangan kenyataan dari hasil yang diharapkan (the dispersion of actual from expected result); (5) risiko adalah probabilitas bahwa suatu hasil berbeda dari yang diharapkan (the probability of any outcome different from the one expected). Sedangkan menurut Peltier (2001, p21), risiko adalah kemungkinan suatu ancaman tertentu akan memunculkan sebuah kelemahan tertentu. Kesimpulan menurut kami, risiko adalah suatu kemungkinan ancaman yang dapat merugikan karena terjadi suatu penyimpangan dari hasil yang diharapkan.
21 2.4.2.
Ancaman Menurut Peltier (2001, p21), ancaman adalah sebuah kejadian dengan potensi
yang menyebabkan akses yang tidak terotorisasi, modifikasi, perusakan dari sumber daya informasi, aplikasi atau sistem.
2.4.3.
Elemen Ancaman
Ketika menentukan ancaman, para ahli mengidentifikasi 3 elemen yang berhubungan dengan ancaman (Peltier, 2001, p8) yaitu agent, motive, dan results. 1. Agent adalah yang memunculkan ancaman. Agen dapat berupa manusia, mesin, atau alam; 2. Motive adalah sesuatu yang menyebabkan agen untuk melakukan tindakan; 3. Results adalah hasil dari ancaman yang diaplikasikan. Contohnya : hilangnya akses, akses tak terotorisasi, perubahan, perusakan dari aset informasi.
2.4.4.
Manajemen Risiko Menurut Djojosoedarso (2005, p4), manajemen risiko adalah “pelaksanaan
fungsi-fungsi manajemen dalam penanggulangan risiko, terutama risiko yang dihadapi oleh organisasi/ perusahaan, keluarga, dan masyarakat. Jadi mencakup kegiatan merencanakan, mengorganisir, menyusun, memimpin/ mengkoordinir dan mengawasi (termasuk mengawasi) program penanggulangan risiko”, sedangkan menurut Kertonegoro (1996, p15), manajemen risiko adalah “proses untuk mengenali dan menilai risiko, memilih metode yang paling efisien untuk menangani eksposur kerugian, dan memonitor hasil-hasilnya secara berkelanjutan”.
22 Program manajemen risiko dengan demikian mencakup tugas-tugas, seperti mengidentifikasi risiko-risiko yang dihadapi, mengukur atau menentukan besarnya risiko tersebut, mencari jalan untuk menghadapi atau menanggulangi risiko, menyusun strategi untuk memperkecil ataupun mengendalikan risiko, dan mengkoordinir pelaksanaan penanggulangan risiko serta mengevaluasi program penanggulangan risiko yang telah dibuat. Kesimpulan menurut kami, manajemen risiko adalah suatu proses mengetahui risiko yang ada untuk ditanggulangi dengan cara menggunakan metode yang paling efisien.
2.4.5.
Analisis Risiko Menurut Peltier (2001, p21), analisis risiko adalah proses mengidentifikasi
asset dan ancaman, memprioritaskan kelemahan ancaman dan mengidentifikasi perlindungan yang tepat.
2.4.6.
Pengukuran Risiko Menurut Darmawi (1994, p44), sesudah manajer risiko mengidentifikasikan
berbagai jenis risiko yang dihadapi perusahaan, maka selanjutnya risiko itu harus diukur. Tujuan perlunya risiko untuk diukur adalah (1) untuk menentukan relativitas pentingnya; (2) untuk memperoleh informasi yang akan menolong untuk menetapkan kombinasi peralatan manajemen risiko yang cocok untuk menanganinya.
2.4.7.
Dimensi yang Harus Diukur Menurut Darmawi (1994, p44), informasi yang diperlukan berkenaan dengan
dua dimensi risiko yang perlu diukur, yaitu frekuensi atau jumlah kerugian yang akan
23 terjadi dan keparahan dari kerugian itu. Paling sedikit untuk masing-masing dimensi itu, yang ingin diketahui adalah (1) rata-rata nilainya dalam periode anggaran; (2) variasi nilai itu, dari satu periode anggaran ke periode anggaran sebelum dan berikutnya; (3) dampak keseluruhan dari kerugian-kerugian itu jika seandainya kerugian itu ditanggung sendiri, harus dimasukkan dalam analisis, jadi tidak hanya nilainya dalam rupiah saja.
2.4.8.
Klasifikasi Risiko
Menurut Sentanoe Kertonegoro (1996, p7), risiko dapat diklasifikasikan dalam beberapa kategori tertentu: 1. Risiko yang dapat diukur dan risiko yang tidak dapat diukur Risiko yang dapat diukur adalah risiko yang dapat diukur melalui analisis kuantitatif atau statistik, seperti tingkat kematian pada berbagai golongan umur manusia. Risiko yang tidak dapat diukur adalah risiko yang tidak dapat dikuantifikasi, seperti kegagalan suatu usaha. 2. Risiko finansial dan risiko non finansial Dalam setiap aspek dari kehidupan manusia, selalu terdapat unsur risiko. Istilah risiko termasuk setiap situasi yang mengandung eksposur terhadap sesuatu yang negatif. Dalam beberapa hal, sesuatu yang negatif itu menyangkut kerugian finansial, dan dalam hal-hal lain tidak menyangkut konsekuensi finansial. Dalam pembahasan ini, risiko yang dimaksud adalah yang menyangkut kerugian finansial.
24 3. Risiko statis dan risiko dinamis Risiko dinamis adalah risiko yang diakibatkan dari perubahan-perubahan dalam perekonomian. Risiko statis menyangkut kerugian-kerugian yang terjadi meskipun tidak ada perubahan dalam perekonomian. 4. Risiko fundamental dan risiko khusus Risiko fundamental menyangkut kerugian-kerugian yang sebab dan konsekuensinya bersifat nonpribadi. Risiko khusus menyangkut kerugian yang timbul dari peristiwa individual, dan yang dirasakan oleh individu daripada oleh seluruh kelompok. 5. Risiko murni dan risiko spekulatif Risiko murni menunjukkan situasi yang menyangkut kemungkinan antara kerugian atau tidak ada kerugian. Risiko murni dapat diklasifikasikan: a. Risiko personal, menyangkut kemungkinan hilangnya penghasilan atau kekayaan sebagai akibat hilangnya kemampuan bekerja; b. Risiko properti, menyangkut kemungkinan kehilangan: fisik benda-milik, penggunaan benda-milik, atau penghasilan benda-milik; c. Risiko liabilitas, menyangkut kemungkinan hilangnya kekayaan/ milik atau penghasilan mendatang yang diderita pihak lain baik disengaja maupun tidak disengaja, atau kewajiban hukum yang timbul dari kekerasan atas hak orang lain; d. Risiko karena kesalahan pihak lain, yaitu kegagalan pihak lain untuk memenuhi kewajibannya kepada kita sehingga menimbulkan kerugian finansial. Risiko spekulatif menunjukkan situasi di mana terdapat kemungkinan kerugian juga kemungkinan laba.
25 2.4.9.
Peranan Manajemen Risiko Menurut Mark S. Dorfman dalam bukunya Introduction to Risk Management
and Insurance, manajemen risiko merupakan pendekatan logis untuk menangani masalah-masalah yang dihadapi perusahaan karena terekspos terhadap kemungkinan kerugian (Kertonegoro, 1996, p15). Metode perencanaan dan penanganan kerugian dalam manajemen risiko menggunakan cara yang sistematis, logis, dan rasional sehingga bersifat ilmiah, yaitu melalui tiga langkah utama : (1) mengenali dan mengukur eksposur terhadap kerugian; (2) menyusun dan melaksanakan rencana untuk menangani potensi kerugian; (3) memonitor dan meninjau secara periodik program manajemen risiko.
2.4.10. Pengendalian Risiko Menurut McLeod dan Schell (2007, p219), pengendalian adalah sebuah mekanisme yang diimplementasikan untuk melindungi perusahaan dari risiko atau meminimalisir dampak dari risiko pada perusahaan.
2.4.10.1. Tipe-tipe Pengendalian Risiko Menurut McLeod dan Schell (2007, p219-222), ada 3 tipe pengendalian risiko yaitu pengendalian teknis, formal, dan informal. 1. Pengendalian Teknis Pengendalian teknis adalah pengendalian yang dibangun pada sistem oleh pengembang sistem selama siklus hidup pengembangan sistem.
26 2. Pengendalian Formal Pengendalian formal mencakup penetapan kode yang kerja, dokumentasi dari prosedur dan praktik yang diharapkan, mengawasi dan mencegah perilaku yang beragam dari pedoman yang ditetapkan. 3. Pengendalian Informal Pengendalian informal mencakup pendidikan dan program latihan dan program pembinaan manajemen. Pengendalian ini dilakukan untuk memastikan bahwa para karyawan memahami dan mendukung program keamanan perusahaan.
2.4.10.2. Metode Pengendalian Risiko Setelah manajer risiko mengidentifikasikan dan mengukur risiko yang dihadapi perusahaannya, maka ia harus memutuskan bagaimana menangani risiko tersebut. Ada dua pendekatan dasar untuk itu yaitu pengendalian risiko (risk control) dan pembiayaan risiko (risk financing). Pengendalian risiko, dijalankan dengan metode berikut: (1) menghindari risiko; (2) mengendalikan risiko; (3) pemisahan: (4) kombinasi atau pooling; (5) pemindahan risiko, sedangkan pembiayaan risiko (risk financing) meliputi pemindahan risiko melalui pembelian asuransi dan menanggung risiko (retention). Masing-masing peralatan itu dapat dan biasanya sebaiknya dipergunakan dalam kombinasi dengan 1 atau lebih peralatan tersebut. Jika exposure tidak dihilangkan, maka tidak ada alternatif lain, selain dari mempergunakan teknik financing. Dalam membahas masing-masing teknik perhatian akan dicurahkan pada karakteristik dasarnya, pertimbangan yang mempengaruhi penggunaannya, dan pengamatan-
27 pengamatan atas bagaimana mengimplementasikannya serta bagaimana mengevaluasi hasilnya.
2.5.
Manajemen Risiko Teknologi Informasi Konsep manajemen risiko teknologi informasi mencakup tentang risiko
pemakaian teknologi informasi di perusahaan, keamanan informasi, ancaman terhadap komputer, di mana hal-hal tersebut harus diidentifikasi dengan menggunakan suatu metode pengukuran risiko teknologi informasi, sehingga pada akhirnya dapat diberikan suatu rekomendasi atas risiko-risiko yang teridentifikasi tersebut.
2.5.1.
Risiko Teknologi Informasi Menurut Jordan dan Silcock (2005, p48), risiko teknologi informasi adalah
suatu kemungkinan kesalahan dengan teknologi informasi dan menyebabkan suatu dampak negatif pada bisnis.
2.5.2.
Kelas-kelas Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005, p 49-52), ada 7 kelas risiko TI, di mana dalam setiap kelasnya teknologi informasinya dapat salah, dan menyebabkan konsekuensi negatif untuk perusahaan. Tujuh kelas tersebut yaitu: 1. Proyek – kegagalan untuk menyampaikan Kelas ini berfokus pada kegagalan proyek TI, mempertimbangkan penunjukan proyek TI dan proyek bisnis dengan suatu komponen TI yang kritis dan penting.
28 2. Kesinambungan pelayanan TI – ketika operasi bisnis terhenti Kelas ini berkaitan dengan ketidakandalan pelayanan TI sehingga menyebabkan gangguan kepada bisnis. 3. Aset-aset informasi – kegagalan untuk melindungi Kelas ini berhubungan secara khusus pada kerusakan, kehilangan atau eksploitasi dari aset informasi yang ada pada sistem TI. 4. Penyedia jasa layanan dan vendor – kerusakan pada rantai nilai TI Dewasa ini penyedia jasa layanan dan vendor memegang peranan yang penting dalam pengiriman proyek TI dan operasi sehari - hari. Ketika sebuah penyedia jasa layanan gagal mengirimkan, maka akan muncul potensi dampak yang segera dan signifikan pada sistem TI dan layanan. Vendor dipercayakan untuk banyak aplikasi yang mengendalikan bisnis saat ini, bila ada kesalahan pada produk mereka, maka penyelesaian sengketa dengan penengahan kembali yang mereka ajukan bisa mungkin adalah setengah – setengah dan mereka boleh memilih untuk menghapuskan setahap demi setahap aplikasi kunci perusahaan. 5. Aplikasi – system flaky Kelas ini berhubungan dengan kagagalan aplikasi TI. Aplikasi adalah sistem khusus yang berinteraksi dengan user dan dalam kebanyakan organisasi merupakan kombinasi dari software paket dan software khusus yang tujuannya sampai tahap tertentu terintegrasi bersama-sama. 6. Infrastruktur – fondasi yang rapuh Kelas ini berhubungan dengan kegagalan dalam infrastruktur TI. Infrastruktur adalah nama umum untuk berbagai komputer dan sumber daya jaringan terpusat dan terdistribusi di mana aplikasi dijalankan.
29 7. Strategis dan emergent – dilumpuhkan oleh TI Kelas ini berhubungan dengan kemampuan TI membiarkan eksekusi menurun dari strategi bisnis. Dampaknya tidak segera terasa tetapi akan menjadi signifikan dalam perencanaan bisnis strategis.
2.5.3.
Ancaman terhadap Komputer dan Sistem Komunikasi Isu terhadap keamanan komputer sering ditemui sehari-hari khususnya dalam
sebuah perusahaan. Ancaman-ancaman tersebut dapat dibagi menjadi 7 macam kategori, di mana setiap kategori dibagi menjadi beberapa tipe ancaman yang dapat dilihat pada Tabel 2.1. Tabel 2.1 Ancaman terhadap Komputer dan Sistem Komunikasi (Sumber : Brian K. Williams dan Stacey C. Sawyer, 2005, p385) Kategori Ancaman
Tipe Ancaman Kesalahan manusia (human
Kesalahan dan kecelakaan (Errors and Accidents)
errors) Kesalahan prosedural (procedural errors) Kesalahan perangkat lunak (software errors) Masalah elekromagnetik (electromagnetic problems) Masalah data tidak benar (dirty data problems)
30 Bencana alam (Natural Hazards)
Kerusuhan dan terorisme (Civil unrest and Terorism)
Pencurian perangkat keras (theft
Kejahatan melawan komputer dan komunikasi (Crimes against
of hardware) Pencurian perangkat lunak dan
computers and communications)
data (theft of software and data) Pencurian waktu dan layanan (theft of time and services) Pencurian informasi (theft of information) Kejahatan atas dendam dan penghancuran (crimes of malice and destruction) Kejahatan menggunakan komputer dan komunikasi (Crimes using computers and communications)
Worms dan Virus
Kejahatan
komputer
(Computer Hackers dan Crackers
31 Karyawan (employees)
Criminals)
Pemakai luar (outside users) Kejahatan profesional (professional criminals)
2.5.3.1. Virus, Worm, Hackers dan Crackers Menurut Williams dan Sawyer (2005, p390), virus adalah program yang “menyimpang”, yang disimpan ke dalam komputer floopy drive, hard drive, atau CD yang dapat menyebabkan efek yang tidak diharapkan, seperti menghancurkan data. Menurut Williams dan Sawyer (2005, p390), worm adalah program yang mengkopi dirinya sendiri secara berulang-ulang ke dalam memori komputer atau ke dalam disk drive. Menurut Williams dan Sawyer (2005, p393), hackers memiliki 2 arti dari sisi positif dan negatif. Dalam arti positif, hacker adalah orang yang menyukai belajar bahasa program dan sistem komputer. Sedangkan dalam arti negatif, hacker adalah orang yang ingin mendapatkan akses yang tidak terotorisasi ke dalam sistem komputer atau telekomunikasi, lebih sering digunakan untuk menantang. Menurut Williams dan Sawyer (2005, p393), crackers adalah orang yang secara ilegal masuk ke dalam komputer dengan tujuan yang jahat – untuk mendapat informasi dengan tujuan keuangan, mematikan hardware, membajak software, atau menghancurkan data.
2.5.4.
Keamanan Informasi Menurut Alberts dan Dorofee (2004, p5), keamanan informasi adalah
menentukan apa yang perlu untuk dilindungi dan alasannya, dilindungi dari apa, dan
32 bagaimana melindungi selama informasi tersebut ada, sedangkan menurut McLeod dan Schell (2007, p212), keamanan informasi adalah perlindungan pada komputer dan peralatan non-komputer, fasilitas, data, dan informasi dari penyalahgunaan oleh pihakpihak yang tidak berhak. Kesimpulan menurut kami, keamanan informasi adalah suatu penentuan untuk melakukan perlindungan terhadap segala sesuatu data informasi yang bersifat penting dari suatu penyalahgunaan oleh pihak-pihak yang tidak berhak.
2.5.4.1. Elemen Keamanan Informasi Menurut McLeod dan Schell (2007, p212), keamanan informasi terdiri dari perlindungan terhadap 3 aspek yaitu kerahasiaan, ketersediaan, dan integritas. 1. Kerahasiaan Perusahaan berusaha untuk melindungi kerahasiaan data dan informasi mereka dari orang-orang yang tidak berkepentingan. 2. Ketersediaan Tujuan dari infrastruktur informasi perusahaan adalah untuk membuat data dan informasi mereka tersedia untuk pihak-pihak yang sah untuk menggunakan data dan informasi tersebut. 3. Integritas Semua sistem informasi seharusnya menyediakan sebuah penyajian yang akurat dari sistem fisik yang mereka sajikan.
33 2.5.4.2. Ancaman Keamanan Informasi Menurut McLeod dan Schell (2007, p213), ancaman keamanan informasi adalah orang, organisasi, mekanisme, atau peristiwa, yang memiliki potensi untuk menimbulkan kerusakan pada sumber daya informasi perusahaan.
2.5.4.3. Risiko Keamanan Informasi Menurut McLeod dan Schell (2007, p215), risiko keamanan informasi adalah potensi hasil yang tidak diinginkan dari pelanggaran keamanan informasi oleh sebuah ancaman keamanan informasi.
2.5.4.4. Jenis-jenis Risiko Keamanan Informasi Tabel 2.2 Jenis-jenis Risiko Keamanan Informasi (Sumber : McLeod dan Schell, 2004, p212) Deskripsi Risiko Unauthorized (Pengungkapan
Disclosure dan
Keterangan and
Pencurian
Theft Ketika
database
dan
perpustakaan
Tak software juga terbuka untuk orang-orang
Terotorisasi)
yang tidak diberi hak (unauthorized), maka hasilnya adalah hilangnya informasi atau uang.
Unauthorized
Use
(Penggunaan
Tak Penggunaan oleh yang tidak berhak
Terotorisasi)
(unauthorized use) terjadi ketika orang yang
biasanya
tidak
berhak
untuk
34 menggunakan sumber daya perusahaan, juga bisa untuk menggunakanya. Unauthorized Destruction and Denial of Seseorang bisa merusak hardware atau Service (Perusakan dan Penolakan Servis software, menyebabkan operasi komputer Tak Terotorisasi)
perusahaan mati.
Unauthorized Modification (Perubahan Perubahan
bisa
Tak Teotorisasi)
dan
informasi,
dibuat software
pada
data,
perusahaan.
Beberapa perubahan tidak ketahuan dan menyebabkan
pengguna
hasil
sistem
membuat keputusan yang salah.
2.5.5.
Pengendalian Risiko Teknologi Informasi
Menurut Gallegos et al (1987, p24), pengendalian (control) adalah prosedur – prosedur dan pola- pola organisatoris yang dapat memastikan keandalan informasi yang dibuat oleh sistem informasi berbasis komputer. Jenis – jenis pengendalian: 1. Berdasarkan tujuannya: a. Preventive Pengendalian yang bertujuan menghentikan sementara pemrosesan ketika sebuah eror atau kondisi perkecualian muncul atau terjadi. Merupakan pengendalian yang termahal namun juga yang paling handal. Karena pengendalian preventive harus diaplikasikan ke seluruh bagian yang sedang diproses dan usaha pengembangan memerlukan pengendalian yang menyeluruh.
35 b. Detective Pengendalian yang dirancang untuk melacak eror dan melaporkan eror yang terlacak serta informasi yang terkait. Secara umum merupakan pengendalian yang paling murah. Karena bisa diaplikasikan pada sebuah sampling basis atau exception basis. c. Corrective Pengendalian yang bertujuan melakukan pelacakan eror dan sekaligus melakukan tindakan perbaikan. Merupakan pengendalian yang lebih mahal daripada pengendalian detective, karena selain melacak juga melakukan tindakan perbaikan. Namun lebih murah dari preventive karena bisa diaplikasikan pada sebuah sampling basis atau exception basis. 2. Berdasarkan ruang lingkup: a. General Control Pengendalian yang diterapkan pada seluruh bagian dalam fasilitas Sistem Informasi berbasis komputer. b. Application Control Pengendalian yang beroperasi hanya di dalam 1 program aplikasi spesifik saja. Tipetipe utama dari application control : 1) Input control Mengelola persiapan data, pergerakan data, dan konversi data. 2) Programmed control Mengelola penggunaan komputer untuk mengubah input dalam sebuah pemrosesan yang sedang berjalan. Mencakup pengecekan label, perlindungan library, dan perlindungan memory.
36 3) Output control Mengelola keakuratan dan kelengkapan dari informasi yang dihasilkan, pendistribusian terotorisasi, dan pelacakan & re-entry eror. 4) Transmission Control Bertujuan memastikan bahwa data tidak diubah selama proses komunikasi.
2.5.6.
Metode Standar Analisis Risiko Apapun proses analisis risiko yang digunakan, metodenya tetap sama,
diantaranya yaitu (1) identifikasi aset yang akan direview; (2) mengetahui dengan pasti ancaman, risiko, perhatian atau isu yang ada pada aset; (3) memprioritaskan risiko atau menentukan kelemahan ancaman terhadap aset; (4) implementasikan pengukuran yang tepat, mengontrol, melindungi atau menerima risiko; (5) memonitor efektivitas pengendalian dan menaksir efektivitasnya.
2.6.
Manajemen Risiko Proyek Menurut Schwalbe (2002, p302), manajemen risiko proyek adalah suatu seni
dan ilmu untuk mengidentifikasi, menganalisa, dan merespon risiko yang muncul selama hidup suatu proyek sehingga dapat mencapai sasaran proyek.
37 2.6.1. Faktor Risiko Proyek Teknologi Informasi Tabel 2.3 Risiko Proyek Teknologi Informasi (Sumber : Zhang Xian Lu dan Lee Jia Pei, 2008, p8 ) Level Risiko Ekonomi
Kategori
Definisi Risiko
Risiko Ukuran
•
Ukuran dan keragaman tim
•
Ukuran dan keragaman user
•
Ukuran
proyek
(waktu,
biaya,
departemen, pemasok) Risiko Sumber Daya Risiko Organisasi Risiko Perubahan
•
Ketidakcukupan sumber daya
•
Perubahan prosedur
•
Perubahan keorganisasian
•
Perubahan
sumber
daya
proyek
karena prioritas organisasi •
Perubahan tugas user
•
Perubahan yang sering dilakukan dalam tim proyek
Intensitas Konflik
•
Konflik antara user
•
Konflik antara sistem
•
Konflik antara anggota-anggota tim pengembangan
Kompleksitas
•
Ketiadaan kejelasan batasan peranan
Lingkungan Kerja
•
Kompleksitas tugas
•
Komunikasi yang tidak efektif
•
Politik
perusahaan
yang
menimbulkan efek negatif pada pengerjaan proyek •
Ketidakstabilan Lingkungan Kerja
stabil •
Lingkungan organisatoris yang tidak
Ketergantungan terhadap pemasok
38 dari luar Kurangnya
•
Komitmen konsumen (user)
Komitmen
•
Komitmen manajemen puncak
•
Komitmen diantara anggota tim pengembang
Risiko Teknologi
Kurangnya Keahlian
•
Anggota tim yang kurang terlatih
•
Pengetahuan tim SI terhadap tool dan metodologi pengembangan
•
Pengetahuan
tim
SI
terhadap
aplikasi •
Pengetahuan tim SI terhadap tugas
•
Pengetahuan user dalam SI & aplikasi
Risiko Kepegawaian
Pembaharuan
•
Kepegawaian yang tidak tepat
•
Kepegawaian yang tidak cukup
•
Pembaharuan
Teknologi
Perangkat
Keras
Perangkat
Lunak
(Hardware) •
Pembaharuan (Software)
•
Kompleksitas Teknologi
Jumlah penghubung ke sistem yang berjalan
•
Jumlah penghubung ke sistem di masa depan
•
Kesulitan
dalam
mendefinisikan
input & output sistem •
Banyaknya pemasok hardware dan software
Risiko User
•
Keterlibatan user
•
Sikap / perilaku user
39 Risiko Ekonomi 1. Risiko Pengukuran Pembagian pengukuran risiko ini dimasukkan ke dalam tiga dimensi: ukuran tim, ukuran user, dan ukuran proyek. Pengukuran risiko tim berhubungan dengan keanekaragaman manusia dalam tim. Semakin besar suatu tim tersebut, maka akan semakin sulit dan berisiko untuk menangani orang-orang yang memiliki latar belakang dan kemampuan yang berbeda-beda tersebut. Sama halnya dengan ukuran user, faktor risiko ini berhubungan dengan jumlah dan keanekaragaman dari user yang terlibat dengan proyek TI. Ukuran risiko suatu proyek berkaitan dengan ketidakpastian yang muncul dari lamanya waktu implementasi proyek, jumlah departemen yang terlibat, alokasi budjet kepada proyek, dan banyaknya pemasok eksternal yang terlibat dalam proyek. 2. Risiko Sumber Daya Risiko sumber daya dihubungkan dengan ketersediaan sumber daya tersebut. Jika proyek tidak memiliki sumber daya yang cukup, maka proyek tersebut tidak akan dapat selesai tepat waktu.
Risiko Organisasi 3. Risiko Perubahan Terdapat 5 kemungkinan perubahan yang dapat menjadi risiko terhadap proyek TI. (1) Perubahan prosedur, yang berarti adanya perubahan pada prosedur operasional dari departemen yang disebabkan karena adanya proyek TI. (2) Perubahan keorganisasian, yang mencakup suatu tingkat perubahan pada struktur organisasi, departemen, atau yang melibatkan fungsi dalam proyek TI. (3) Perubahan sumber daya proyek karena
40 prioritas organisasi. (4) Perubahan tugas user, yang mencakup suatu modifikasi dari tugas user yang dibutuhkan oleh proyek TI. (5) Frekuensi perubahan dalam tim proyek, yang akan mempengaruhi produktivitas dari tim dalam kaitannya untuk mendapatkan kembali kemampuan dan pengetahuan. 4. Intensitas Konflik Terdapat 3 macam konflik yang akan muncul di antara user, sistem, dan anggota tim pengembangan. User mungkin memiliki opini yang berlawanan selama pengembangan proyek TI; sistem akan tidak sesuai antara yang satu dengan yang lainnya; konflik dapat juga terjadi antar anggota tim pengembangan dalam kaitannya dengan perbedaan latar belakang mereka, sifat, dan metode pengembangan yang dikuasai. 5. Kompleksitas Lingkungan Kerja Ada beberapa risiko yang berhubungan dengan kompleksitas dalam lingkungan kerja. Yang pertama adalah ketiadaan kejelasan batasan peranan. Kalau peranan dari anggota tim dalam proyek tidak jelas maka anggota tim tidak akan memahami tanggung jawab mereka dan membuat pimpinan tim sulit mengontrol kualitas proyek. Risiko yang kedua berhubungan dengan kerumitan tugas. Semakin rumit tugas, maka akan semakin beresiko pula proyek tersebut. Risiko yang ketiga adalah komunikasi yang tidak efektif. Apabila komunikasi diantara pengguna, anggota tim, atau manajemen puncak tidak efektif, maka proyek akan memiliki resiko yang tinggi. 6. Ketidakstabilan Lingkungan Kerja Ada dua risiko yang berhubungan dengan ketidakstabilan lingkungan organisasi. Risiko dapat datang dari lingkungan organisatoris yang tidak stabil seperti cepatnya perubahan keinginan pelanggan dan kompetisi. Ketergantungan kepada pemasok dapat juga
41 menyebabkan risiko ketika pemasok memegang kendali yang berlebihan, menaikkan harga, diganti, atau menjadi tidak stabil atau tidak terkendali. 7. Kurangnya Komitmen Kurangnya komitmen dapat meningkatkan penolakan pemakaian sistem, kesulitan mendapatkan sumber daya dan kekuatan yang diperlukan untuk mendukung proyek. Ada tiga macam komitmen disini: (1) kurangnya komitmen pengguna, (2) kurangnya komitmen manajemen puncak , dan (3) kurangnya komitmen di antara anggota tim.
Risiko Teknologi 8. Kurangnya Keahlian Ada lima risiko yang berhubungan dengan kurangnya keahlian. Yang pertama, risiko dapat datang dari anggota tim yang kurang terlatih. Anggota tim harus dilatih untuk mendapatkan pengetahuan yang diperlukan untuk menyelesaikan tugas. Risiko yang kedua berhubungan dengan pengetahuan tim sistem informasi terhadap tool dan metodologi pengembangan. Risiko dapat juga muncul ketika tim sistem informasi tidak memiliki pengetahuan yang cukup mengenai aplikasi yang digunakan. Risiko dapat juga muncul ketika tim sitem informasi tidak mempunyai pengetahuan yang cukup mengenai tugas. Yang terakhir kurangnya pengetahuan pengguna dalam sistem informasi dan aplikasi dapat juga membawa risiko. Tidak hanya tim pengembang yang memerlukan pengetahuan profesional, pengguna juga. Apabila pengguna tidak memiliki pengetahuan yang cukup mereka tidak akan mengidentifikasi kebutuhan yang jelas mengenai proyek, mempertimbangan perubahan prosedural yang perlu dibuat, atau mengumpulkan data yang akan dipergunakan dalam proyek.
42 9. Risiko Kepegawaian Ketidakcukupan atau ketidakjelasan dalam kepegawaian dapat menyebabkan risiko TI. Kepegawaian yang tidak tepat berarti penempatan peranan, tanggung jawab, atau persyaratan dalam tim proyek tidak tepat, sehingga performa tidak mencapai hasil yang baik. Kepegawaian yang tidak cukup berarti dalam tim tidak ada staf yang cukup untuk menjalankan tugas dan mencapai sasaran, yang dapat menyebabkan meningkatnya risiko-risiko. 10. Pembaharuan Teknologi Terdapat 2 risiko yang berkaitan dengan risiko ini, yaitu pembaharuan hardware dan pembaharuan software. Dalam proyek TI melibatkan hardware dan software baru, serta teknologi baru yang dibutuhkan untuk mendukung dalam penyelesaian masalah teknologi, oleh karena itu membutuhkan waktu dan sumber daya yang lebih dan membawa lebih banyak risiko dibandingkan proyek yang menggunakan teknologi yang sedang dipakai. 11. Kompleksitas Teknologi Ada 4 risiko yang berhubungan dengan kompleksitas teknologi, yaitu (1) beberapa penghubung ke sistem yang berjalan, menghubungkan sistem yang berjalan melibatkan banyak isu seperti bagaimana untuk mengintegrasikan dengan sistem yang sedang berjalan, bagaimana menjalankan sistem baru tanpa mempengaruhi sistem yang lama, fungsi apa saja yang tidak ubah dari sistem lama; (2) beberapa penghubung ke sistem di masa depan, proyek akan jauh lebih berisiko bila juga harus mampu menampung fleksibilitas sistem di masa depan, karena itu artinya arsitektur dasarnya harus didesain lebih hati-hati dibandingkan proyek yang didesain hanya untuk keperluan saat ini; (3) kesulitan dalam mendefinisikan input dan output sistem, penjelasan yang jelas tentang
43 input dan output dibutuhkan untuk menyiapkan data dan desain sistem, dan juga menyediakan pengukuran yang jelas untuk fungsi manajemen proyek; (4) banyaknya pemasok hardware / software, jumlah pemasok hardware / software secara langsung berhubungan dengan kerumitan dalam mengintegrasikan sistem dan menyebabkan risiko muncul. Semakin banyak pemasok hardware dan software, maka semakin banyak interface yang perlu untuk dikembangkan sehingga proyek akan semakin sulit dan berisiko. 12. Risiko User Ada 2 macam risiko yaitu keterlibatan user dan sikap / perilaku user. Sebuah proyek tidak akan berhasil jika user tidak terlibat khusus dalam proyek tersebut. Dalam hal lain, user yang memiliki pengertian dan sikap puas akan membantu proyek berjalan dengan lancar. Performa akan membawa pengaruh positif bagi keberhasilan proyek.
2.6.2. Proses-proses Manajemen Risiko Proyek Menurut Schwalbe (2002, p305), terdapat beberapa langkah dalam manajemen risiko proyek, antara lain: 1.
Perencanaan Manajemen Risiko
Mencakup menentukan pendekatan yang digunakan dan merencanakan aktivitas manajemen risiko untuk proyek. Hasil dari perencanaan manajemen risiko adalah rencana manajemen risiko yang mendokumentasikan prosedur untuk mengelola risiko pada proyek. 2.
Identifikasi risiko
Mencakup menentukan risiko mana yang akan mempengaruhi proyek dan mendokumentasi karakteristik dari masing-masing risiko tersebut dalam sebuah risk
44 register. Risk Register adalah sebuah dokumen yang berisi hasil dari berbagai prosesproses manajemen risiko, yang sering ditampilkan dalam sebuah tabel atau format spreadsheet. Tabel 2.4 Format Risk Register
Rating
Dampak
Kecenderungan
Pengendalian yang Ada
Rating
Dampak
Kecenderungan
Faktor Penyebab
Deskripsi Risiko
Kategori Risiko
No
(Sumber : Schwalbe, 2002, p463)
Dalam Risk Register, terdapat beberapa langkah yang dapat digunakan untuk mengisi setiap kolom yang ada di risk register, diantaranya : a. Identifikasi kategori risiko berdasarkan level Langkah ini mengidentifikasikan kategori risiko yang ditemukan termasuk ke dalam kategori risiko yang mana, berdasarkan pada faktor risiko proyek teknologi informasi yang telah dicantumkan pada Tabel 2.1, Tabel 2.2, dan Tabel 2.3. b. Identifikasi risiko yang terkait dengan kategori risiko Langkah ini mengidentifikasikan deskripsi dari risiko yang dapat muncul berdasarkan kategori risiko yang telah teridentifikasi. Deskripsi risiko ini menjelaskan kelemahan dari proyek yang dapat mempengaruhi keberhasilan suatu proyek.
45 c. Analisa faktor penyebab risiko Dalam langkah ini dianalisa faktor penyebab timbulnya risiko-risiko yang dapat mempengaruhi jalannya proyek. d. Pengukuran probabilitas munculnya risiko Dalam langkah ini, dijelaskan kecenderungan atas kemungkinan munculnya risiko yang dapat mempengaruhi keberhasilan proyek. Pengukuran ini didasarkan pada frekuensi munculnya risiko. Hal ini dijelaskan dalam Tabel 2.5. Tabel 2.5 Kecenderungan Munculnya Risiko (Sumber : Audittindo Education, 2006, p26) Level
Kecenderungan Munculnya
Keterangan
Risiko 5
Sangat sering
Selalu terjadi
4
Sering
Hampir selalu terjadi
3
Cukup sering
Dapat terjadi
2
Jarang
Mungkin terjadi
1
Sangat jarang
Hampir tidak mungkin terjadi
e. Pengukuran dampak risiko Dalam langkah ini, dilakukan analisa pengukuran dampak dari munculnya suatu risiko. Tingkat kerusakan ini dimulai dari yang berdampak kecil dalam keberhasilan proyek sampai dengan dampak besar yang menyebabkan proyek gagal. Tingkatan tersebut dijelaskan dalam Tabel 2.6.
46 Tabel 2.6 Dampak Risiko (Sumber : Audittindo Education, 2006, p26) Level
Dampak dari Kemunculan
Keterangan
Risiko 5
Bencana
Proses bisnis mengalami kegagalan total
4
Mayor
Mengalami gangguan yang menyebabkan seluruh proses bisnis terhambat
3
Moderate
Mengalami gangguan sehingga sebagian proses bisnis terhambat
2
Minor
Mengalami gangguan namun proses bisnis tetap dapat berjalan
1
Tidak signifikan
Tidak menyebabkan gangguan terhadap proses bisnis
f. Menentukan rating risiko Penentuan rating didasarkan pada perbandingan dampak risiko terhadap kecenderungan munculnya risiko. Rating risiko memiliki 4 tingkatan yaitu Low, Medium, High, dan Extreme. Hal tersebut dijelaskan dalam Tabel 2.7.
47 Tabel 2.7 Rating Risiko (Sumber : Audittindo Education, 2006, p26) Dampak Kecenderungan
1
2
3
4
5
5
H
H
E
E
E
4
M
H
H
E
E
3
L
M
H
E
E
2
L
L
M
H
E
1
L
L
M
H
H
Keterangan : L = Low Risk; risiko yang dapat diterima; M = Medium Risk; memerlukan penanganan dari manajemen; H = High Risk; memerlukan perhatian dan penanganan dari Manajemen Senior; E = Extreme Risk; memerlukan tindakan yang secepatnya.
g. Identifikasi pengendalian yang ada Dalam langkah ini dilakukan identifikasi terhadap pengendalian yang telah diimplementasikan dalam perusahaan dalam menangani risiko yang muncul.
3.
Analisa risiko kualitatif
Analisa risiko kualitatif mencakup perkiraan kecenderungan dan dampak dari risiko yang teridentifikasi untuk menentukan tingkat kepentingan atau prioritasnya. Dalam
48 analisa ini dapat digunakan beberapa cara seperti matriks probabilitas-dampak untuk menghasilkan tabel daftar prioritas risiko.
4.
Analisa risiko kuantitatif
Biasanya analisa risiko kuantitatif merupakan kelanjutan dari analisa risiko kualitatif, di mana kedua proses dapat dikerjakan secara bersamaan, atau secara terpisah. Namun pada beberapa proyek dapat dilakukan analisa risiko kualitatif saja tanpa diikuti analisa risiko kuantitatif. Analisa risiko kuantitatif mencakup pengukuran kemungkinan dan konsekuensi dari risiko secara numerik dan mengestimasi dampaknya pada tujuan proyek.
5.
Perencanaan penanggulangan risiko
Mencakup pengambilan langkah-langkah untuk meningkatkan kesempatan dan mengurangi
ancaman
untuk
mencapai
tujuan
proyek.
Setelah
organisasi
mengidentifikasi dan menghitung risiko-risiko, maka harus membangun sebuah respon yang tepat terhadap risiko-risiko tersebut. Ada 4 strategi respon dasar yaitu risk avoidance, risk acceptance, risk transference, dan risk mitigation. a. risk avoidance yaitu menghilangkan sebuah ancaman spesifik, yang biasanya dengan menghilangkan penyebab ancaman tersebut; b. risk acceptance yaitu menerima konsekuensi jika risiko muncul; c. risk tranference yaitu memindahkan konsekuensi dari sebuah risiko dan tanggung jawab manajemen kepada pihak ketiga;
49 d. risk mitigation yaitu mengurangi dampak dari sebuah risiko dengan mengurangi kecenderungan munculnya risiko tersebut.
6.
Pengendalian dan pengawasan risiko
Mencakup pengawasan risiko yang telah diketahui, mengidentifikasi risiko baru, memastikan diterapkannya perencanaan penanggulangan risiko, dan mengevaluasi keefektifan dari pengurangan risiko yang muncul selama hidup proyek. Hasil dari proses ini yaitu perubahan yang diminta, rekomendasi perbaikan dan tindakan pencegahan, dan meng-update risk register, dan perencanaan manajemen proyek.