BAB V STRATEGI MITIGASI RESIKO
V.1
Risk Mitigation SBUPE
Risk Mitigation merupakan suatu metodologi sistematis yang digunakan oleh manajemen senior untuk mengurangi resiko dari misi yang dibuat. Hal ini dapat dicapai melalui beberapa pilihan, sebagai berikut. [2] •
Risk Assumption. Menerima potensi resiko dan melanjutkan operasional sistem IT atau menerapkan pengendalian untuk menurunkan resiko menjadi suatu tingkatan yang dapat diterima.
•
Risk Avoidance. Menghindari resiko dengan melakukan penghapusan penyebab resiko dan konsekuensinya, Misalnya, membatalkan fungsi tertentu pada sistem atau menutup sistemnya, ketika terdapat resiko yang dikenali.
•
Risk Limitation. Membatasi resiko dengan menerapkan pengendalian untuk memperkecil dampak yang kurang baik dari efek ancaman suatu vulnerability. Misalnya, preventive, detective controls.
•
Risk Planning. Mengatur resiko dengan mengembangkan suatu rencana risk mitigation, yang implementasinya diprioritaskan dan pengendalian dalam pemeliharaan.
•
Research and Acknowledgment. Menurunkan resiko kerugian dengan cara mengetahui vulnerability/kelemahan dan meneliti pengendaliannya untuk memperbaiki vulnerability.
•
Risk Transference. Memindahkan resiko dengan menggunakan suatu pilihan, untuk mengganti kerugian, seperti pembelian asuransi.
Tujuan dan misi dari SBUPE harus mempertimbangkan dalam memilih risk mitigation apapun. Jika terjadi kesulitan untuk mengenali semua resiko, maka prioritas seharusnya diberikan pada threat dan vulnerability yang mempunyai potensi dampak pada misi. Hal ini, juga dilakukan dalam melindungi suatu misi organisasi dan sistem IT-nya, karena setiap situasi/lingkungan dan objektif organisasi, mempunyai keunikan, pilihan yang digunakan untuk mengurangi resiko dan metode implementasinya dapat disesuaikan. 90
Dari hasil analisis resiko yang dilakukan di SBUPE pada bab sebelumnya, maka untuk penelitian ini dilakukan suatu perancangan berupa tool, untuk menyajikan rekomendasi pada level manajemen unit tersebut dengan melakukan risk mitigation, yang mengarah pada suatu incident handling. V.2
Alur Perancangan Instrument
Di dalam pembuatan rancangan instrument ini, dilakukan pengelompokkan asset yang terkait secara langsung dengan operasional Track and Trace system di SBUPE, yang menghasilkan beberapa tabel dari asset. Untuk pengelompokkan asset ini, datanya berasal dari studi lapangan dan dokumentasi Peraturan Dinas mengenai akuntansi yang sudah dijadikan tangible asset oleh unit tersebut. Kemudian, dilakukan analisis resiko secara kualitatif dan kuantitatif yang merupakan bagian aktifitas penilaian resiko. Hasil dari rancangan ini berupa template isian yang dapat dijadikan rekomendasi pendukung strategi manajemen resiko. Sedangkan untuk pengujian rancangannya, laporan ini menyajikan saran untuk langkah-langkah pengujiannya, yaitu dengan mengadopsi metodologi audit yang terdapat pada CISA Review Manual.
Analisis Resiko Secara Kualitatif
Analisis Resiko Secara Kuantitatif
RANCANGAN INSTRUMENT berupa Template
OUTPUT
AKTIFITAS PENILAIAN RESIKO
Pengelompokkan Asset
Asset SBUPE
Tabulasi Asset Gambar V.1 Alur Proses Perancangan
91
Pengujian rancangan dengan metodologi audit
V.3
Strategi Mitigasi Resiko di SBUPE
Berdasarkan tabel-tabel yang terdapat pada Bab IV, maka SBUPE dapat menerapkan strategi berdasarkan empat kuadran sebagai berikut: •
Melakukan transfer resiko ke pihak lain (kuadran IV) yaitu memindahkan resiko dengan menggunakan suatu pilihan, untuk mengganti kerugian, seperti pembelian asuransi.
•
Menghindari resiko (kuadran III) yaitu menghindari resiko dengan melakukan penghapusan penyebab resiko dan konsekuensinya, Misalnya, membatalkan fungsi tertentu pada sistem atau menutup sistemnya, ketika terdapat resiko yang dikenali.
•
Mengurangi efek negatif dari resiko (kuadran II) yaitu mengatur resiko dengan mengembangkan suatu rencana risk mitigation, yang implementasinya diprioritaskan dan pengendalian dalam pemeliharaannya
•
Menerima sebagian atau semua konsekuensi dari resiko (kuadran I) yaitu menerima potensi resiko dan melanjutkan operasional sistem IT atau menerapkan pengendalian untuk menurunkan resiko menjadi suatu tingkatan yang dapat diterima
Berikut ini merupakan tabulasi (Tabel V.1) dari hasil strategi mitigasi resiko, dengan melakukan pengelompokan berdasarkan empat kuadran tersebut di atas. Tabel V.1 Strategi Mitigasi Resiko NO
RESIKO THREAT
1
Unauthorized access
2
Malicious code (virus, logic bomb, Trojan horse)
3 4
Administration failure Fraudulent act (replay, impersonation, interception)
VULNERABILITY
Tidak adanya pelaksanaan rekonsiliasi keuangan pada setiap unit operasional yang berhubungan langsung antara resi dengan proses akuntansi Antivirus yang sudah ter-install pada komputer, tidak di-update atau diperbaharui untuk versi database antivirus yang ada. Pengembangan wawasan mengenai jasa kurir tidak dilakukan pada semua personil Prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada organisasi.
92
KUADRAN
III
II II II
Tabel V.1 (Lanjutan) Strategi Mitigasi Resiko NO
5 6
7
8
9
10 11
V.5
RESIKO THREAT
VULNERABILITY
Fraud and theft
Tidak adanya keberlanjutan revisi untuk juknis beserta dokumentasinya Computer abuse Standar operating procedure tidak dilaksanakan atau prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada APE. Untuk lokasi umum yang strategis dalam Theft of laptop/PC melaksanakan fungsi operasional, tidak dilengkapi dengan suatu TV camera untuk pemantauan. Unauthorized system access Unit ini tidak mempunyai personil khusus yang menangani masalah teknis (access to classified, harware/software/networking, masih ditangani proprietary, and/or oleh divisi IT gedung pos Bandung technology-related information) Earthquake Kerjasama dengan pihak asuransi yang ada pada unit ini, tidak diperbaharui/tidak mencakup untuk kondisi sumber daya terkini. Client/server failure Prosedur dan hasil keputusan pengadaan barang tidak sesuai dengan spesifikasi kebutuhan operasional UPS yang sudah terinstalasi pada unit ini, Power failure pemeliharaannya tidak dilaksanakan.
KUADRAN
III II
II
II
IV
I I
Saran Pengujian Rancangan
Dalam laporan ini, untuk tahap pengujian rancangannya disajikan dalam suatu saran langkah-langkah yang akan dilakukan untuk melakukan audit, berdasarkan suatu metodologi standar dari CobiT. [13] Sebelum menjalankan proses audit harus direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan top-management, dan metode audit. Berdasarkan metodologi audit Control Objectives for Information and related Technology (CobiT), maka untuk kondisi yang terjadi di SBUPE dapat mengadopsi langkah-langkah audit seperti dalam Tabel V.2.
93
Tabel V.2 Pengujian Rancangan Strategi Majamen Resiko SBUPE No. 1.
Audit phase Audit subject
2.
Audit objective
3.
Audit scope (ruang lingkup)
4.
Preaudit planning
5.
Audit procedures & steps for data gathering
6.
Evaluasi hasil pengujian dan pemeriksaan Prosedur komunikasi dengan pihak manajemen Audit report preparation
7. 8.
Description Hasil perancangan instrument pengukuran Risk assessment sebagai rekomendasi Strategi manajemen resiko di SBUPE Bandung. Membuat penyesuaian rekomendasi rancangan dengan kondisi yang terjadi pada SBUPE Strategi manajemen resiko yang dilakukan oleh SBUPE berdasarkan rancangan rekomendasi yang dibuat. • Mengidentifikasikan asset SBUPE yang terlibat langsung dengan perancangan sistem yang akan diaudit • Sumber daya manusia yang yang terlibat langsung adalah karyawan pos express, sedangkan auditornya berasal dari SPI (satuan pengawasan intern) • Dokumen yang diperlukan: juklak, juknis, laporan akuntansi • Lokasi yang diaudit adalah SBUPE untuk track and trace system pada paket • Melakukan rekonsiliasi dengan unit yang melakukan pembukuan akuntansi dan administrasi operasional. • Wawancara dilakukan pada sub unit Processing, Account Office, Supervisor, dan Branch Manager Evaluasi secara spesifik yang terjadi pada SBUPE Prosedur secara spesifik yang terjadi pada SBUPE • Menentukan bagaimana cara mereview hasil audit • Evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari orgnisasi yang diaudit
94
