BAB 2 LANDASAN TEORI
2.1 Risiko Risiko akan selalu ditemukan dalam kehidupan dimana apabila dikelola dengan baik dapat menjadi sebuah kesempatan (opportunity) dan sebaliknya, apabila manajemennya buruk maka akan menjadi sebuah ancaman (threat). Definisi risiko menurut ISO (ISO Guide 73:2009, p.9) adalah suatu efek dari ketidakpastian dalam pencapaian suatu tujuan. Dan mereka juga menambahkan bahwa efek tersebut bisa bersifat negatif maupun positif.
Manajemen Risiko Seperti yang sudah disebutkan dalam definisi risiko diatas, harus dilakukan manajemen terhadap risiko agar pemenuhan tujuan organisasi / perusahaan dapat terlaksana dengan baik. Bidang yang membahas mengenai manajemen risiko secara lengkap disebut dengan manajemen risiko. Manajemen risiko adalah aktivitas terkoordinasi untuk melakukan pengendalian dan pengarahan organisasi terkait risiko (ISO Guide 73:2009, p.10). Sedangkan William Hotopf (2009, p.4) mendefinisikan manajemen risiko sebagai manajemen yang dilakukan berdasarkan analisis terhadap potensial keterjadian dan dampak yang dapat terjadi apabila risiko penting tidak dikendalikan atau dimitigasi.
7
8
Dari dua definisi manajemen risiko diatas maka dapat ditarik kesimpulan bahwa manajemen risiko untuk setiap bidang bisnis akan berbeda dan manajemen risiko harus dilakukan secara berkelanjutan, karena risiko akan semakin berkembang seiring dengan pertumbuhan perusahaaan.
Framework Manajemen Risiko Melakukan manajemen risiko di organisasi merupakan hal yang sulit karena harus dilakukan secara menyeluruh terhadap seluruh bagian perusahaan. Setiap bagian, proses, atau sistem dalam perusahaan bisa memiliki potensi risiko tersendiri dan untuk meminimalisasi terjadinya risiko – risiko tersebut maka perusahaan harus membuat perencanaan terhadap kebijakan, prosedur, dan instruksi – instruksi yang akan diterapkan dalam perusahan. Framework manajemen risiko menurut ISO Guide 73:2009 (2009, p.10) adalah kumpulan aturan – aturan yang digunakan sebagai dasar bagi organisasi untuk merancang, mengimplementasikan, memantau, melakukan review dan meningkatkan manajemen risiko secara berkelanjutan dalam seluruh bagian organisasi. Framework yang digunakan dalam organisasi bisa mengacu terhadap standar yang diakui dan dibuat oleh organisasi taraf internasional seperti ISO, CobiT, CoSO, dan sebagainya atau bisa juga menurut standar yang didefinisikan tersendiri dalam internal organisasi / perusahaan tersebut.
9
Perencanaan Manajemen Risiko TI Segala hal yang berkaitan dengan TI akan mengeluarkan biaya yang tidak sedikit, oleh karena itu tahap perencanaan harus dilakukan dengan matang agar implementasi manajemen risiko TI dapat berlangsung secara efektif dan efisien. Menurut Mario Spremic (2008, p.5), sebuah perencanaan manajemen risiko TI harus mengikuti tahap – tahap berikut ini : 1. IT risk identification and classification. Proses identifikasi risiko TI tidak hanya menampilkan hasil negatif-nya saja, namun juga klasifikasinya sesuai dengan dampak keterjadiannya terhadap bisnis, sebab dan akibat terjadinya, kemungkinan terjadinya dan alokasi pertanggung jawaban terhadap risiko. Untuk mengetahui posisi risiko TI di perusahaan maka Mario Spremic (2008, p.5) menggunakan pendekatan risiko secara hirarkis sebagai berikut : A. Corporate or company-level IT Risks Risiko ini merupakan bagian vital dari keseluruhan prosedur manajemen risiko perusahaan dan berasosiasi dengan aktivitas manajemen eksekutif. Beberapa contoh diantaranya adalah seperti : 1)
Risiko perencanaan strategi TI (IT strategy planning risks),
2)
Risiko kesalahan pengarahan TI / bisnis (IT/ business
misaligment risks), 3)
Prosedur dan kebijakan TI yang salah (Deficient IT policies
and procedures), 4)
Risiko investasi dan proyek TI,
10
5)
Risiko audit (Laporan finansial yang salah dan audit TI
internal yang payah), dan sebagainya. B. Process-level IT Risks (IT General Risks) Merupakan risiko dalam lingkungan proses bisnis yang sangat terotomatisasi dan terintegrasi secara efisien antara SI dan TI. 1) Risiko dalam pemilihan atau pembuatan software, 2) Risiko dalam prosedur manajemen perubahan (Change management), 3) Risiko mengenai akses terhadap program dan data, 4) Risiko terhadap barang fisik, 5) Risiko atas prosedur business continuity dan disaster recovey, 6) Berbagai macam risiko pengamanan, dan sebagainya C. Specific IT Risks (IT Applications and IT Services Risks) Risiko ini biasanya ditemui pada software aplikasi yang mendukung secara langsung proses bisnis perusahaan. Tentunya risiko ini juga akan berdampak pada pelayanan yang diberikan perusahaan terhadap pelanggan (services). Beberapa contoh risiko ini antara lain : 1) Kelengkapan transaksi bisnis, 2) Keakuratan data, 3) Integritas data, 4) Otorisasi, 5) Manajemen jaringan,
11
6) Manajemen database, 7) Manajemen sistem operasi, 8) Manajemen konfigurasi, dan sebagainya
2. IT risk assessment and priority determination. Melakukan penilaian terhadap risiko adalah untuk mengukur dampak dan potensi terhadap kehilangan yang disebabkan oleh kejadian yang tidak diharapkan. Untuk setiap risiko yang sudah teridentifikasi, maka aktivitas penilaian risiko dilakukan dengan cara – cara sebagai berikut : A. Identifikasi ancaman terhadap sumber daya TI dari tindakan – tindakan baik sengaja maupun tidak sengaja yang dapat menimpa infrastruktur TI B. Evaluasi atas vulnerabilitas pada risiko TI yang teridentifikasi C. Menentukan tingkat keterjadian dari risiko TI tersebut (frekuensi) D. Evaluasi atas tingkat dampak risiko TI tersebut terhadap bisnis E. Analisis frekuensi risiko TI dan pemberian rank F. Persiapan untuk strategi berikutnya dan pengendalian risiko TI
3. IT risk responses strategies (Identification of IT controls) Setelah identifikasi, klasifikasi, dan penilaian risiko TI, orang yang bertanggung jawab terhadap risiko tersebut (risk owners) sudah teridentifikasi, maka selanjutnya adalah membuat perencanaan terhadap risiko tersebut. Respon terhadap risiko TI terkait penggunaan strategi – strategi berikut ini :
12
A. Menerima risiko (acceptance) Artinya organisasi bersepakat untuk menerima risiko dan memantau perkembangannya terhadap skala dan dampak risik tersebut terhadap bisnis dan proses bisnisnya.
B. Mengurangi risiko (reduction) Artinya organisasi mengambil langkah – langkah untuk mengurangi dampak dan tingkat keterjadian dari risiko.
C. Menghindari risiko (avoidance) Artinya organisasi memilih untuk menghindari risiko secara penuh atau sebagian.
D. Membagi risiko (sharing) Artinya organisasi melakukan tindak pemindahan atau pembagian risiko seperti dengan melakukan asuransi, menyewa jasa outsource untuk manajemen risikonya, atau bekerja sama dengan rekan kerja perusahaan dengan saling membantu dalam proses manajemen risiko seperti pada tahap perencanaan pemulihan bencana dan kelanjutan bisnis (business continuity and disaster recovery plan).
13
4. Implementation and documentation of selected counter-measures (IT controls) Tahap berikutnya adalah memilih framework pengendalian TI yang sesuai dengan perusahaan sebagai acuan dalam membantu manajemen untuk membuat pengendalian TI yang optimal. Beberapa tata kelola TI yang dikenal secara umum antara lain : •
CobiT
(Control
Objectives
of
Information
and
related
Technology), •
ISO 31000 ‘family’ (ISO 31000:2009, ISO 31010:2009, ISO Guide 73:2009)
•
ITIL (IT Infrastructure Library)
5. Constant monitoring of IT risks level and auditing Setelah prosedur sudah dibuat dan pengendalian sudah dijalankan dengan baik maka manajemen harus melakukan pemantauan terhadap risiko TI secara berkala dan juga melakukan audit untuk bisa menemukan risiko – risiko baru dan juga kerentanan yang terdapat dalam perusahaan seiring dengan perkembangan implementasi TI yang dijalankan oleh perusahaan.
Halangan Terhadap Manajemen Risiko Menurut Gary Simon (2012), halangan yang paling sering ditemukan dalam manajemen risiko di perusahaan adalah sebagai berikut : 1. Budaya (Culture)
14
Permasalahan utama terhadap manajemen manajemen risiko yang efektif tergantung dari budaya di dalam perusahaan itu sendiri. Sebagian besar orang-orang kurang sadar akan apa yang harus mereka lakukan terkait risiko. Haruskah risiko dikelola dan dianalisis oleh unit bisnis atau oleh eksekutif bertingkat ‘C’? Kurangnya kejelasan terhadap pihak yang memiliki tanggung jawab penuh dalam menangani risiko merupakan halangan utama sebelum mencapai manajemen risiko yang efektif.
2. Tekanan Biaya (Cost Pressures) Beberapa perusahaan dilanda tekanan untuk menekan biaya yang disertai dengan kebutuhan untuk melakukan investasi lebih dalam manajemen risiko. Keprihatinan ini sering ditemui oleh eksekutif dimana mereka kurang bisa meningkatkan respon mereka terhadap risiko yang terus bertumbuh dan berkembang menjadi banyak.
3. Risiko terhadap Data (Risk Data) Kurangnya informasi untuk membuat keputusan terkait risiko mengarah kepada kurangnya proses pengelolan risiko di perusahaan pada banyak organisasi besar, terutama pada bisnis yang kompleks dan kurangnya tanggung jawab terhadap risiko seperti yang sudah dijelaskan sebelumnya.
15
Cara Organisasi Mengelola Risiko Berikut ini merupakan beberapa cara untuk mengelola risiko yang juga diutarakan oleh Gary Simon (2012) : Clear lines of accountability and responsibility Pertanggung jawaban terhadap risiko dilaksanakan oleh eksekutif tingkat ‘C’ atau pada unit bisnis? Biasanya CEO menunjuk CFO sebagai penanggung jawab utama terhadap risiko yang diikuti oleh CRO (Chief Risk Officer), apabila ada. Model yang sering ditemui ialah risiko terpenting dikelola secara sentral dan risiko prioritas lainnya ditangani dalam organisasi dengan manajer bisnis tertentu yang ditugaskan secara individual untuk mengelola, memantau, dan mengukur risiko spesifik.
“Risk specialists need to poke their heads outside of their silos once in a while. Risk doesn’t exist in isolation, so risk managers can’t either.” Penting dalam organisasi untuk memotivasi individual untuk ikut berdiskusi mengenai risiko dan memasukkannya ke dalam perencanaan strategi organisasi, operasional keseharian, dan keputusan investasi. Manajemen risiko yang efektif adalah seperti meningkatkan nilai organisasi, dan melindungi nilai organisasi membantu manajemen menyiapkan budaya kesadaran terhadap risiko dalam organisasi.
16
Risk framework Pendekatan terhadap manajemen risiko harus siap untuk melakukan analisis yang cepat terhadap risiko, identifikasinya, ranking terhadap risiko yang ada dan akan datang tanpa mengalami hambatan. Infrastructure, systems and processes Penggunaan teknologi seperti Sistem Governance, Risk, and Compliance (GRC) dapat membantu dalam mengumpulkan dan menganalisis risiko terhadap data dan juga memantau indikator risiko utama, tapi teknologi semata tidak mampu untuk memberikan pengamanan yang cukup terhadap risiko secara garis besar.
“The strongest systems and measures can be foiled by people who are uncommitted, uninformed or untrained. Informed people adapt and with the changing conditions and complexity. Systems typically do not.” Masih sedikit organisasi yang melakukan proses otomatisasi terhadap proses manajemen risikonya. Laporan untuk pemegang saham, analisis data, dan analisis risiko merupakan campuran proses yang dilakukan secara otomatis dan manual. Inilah alasan mengapa masih sedikit organisasi yang memantau risiko secara terus-menerus. Beberapa lebih cenderung melakukan pemantauan risiko secara periodik. Sistem tidak dapat beradaptasi terhadap risiko dengan mudah, hanya orang yang melakukan tindak manajemen serta memiliki wawasan yang luas yang mampu.
17
Proses Manajemen dan Analisis Risiko Secara umum analisis risiko terdiri atas elemen utama dari proses manajemen risiko yang didefinisikan di ISO 31000 (ISO IEC/FDIS 31010, 2009, p.10-14) dan melingkupi komponen-komponen sebagai berikut: •
Komunikasi dan Konsultasi
•
Mendefinisikan Konteks
•
Penilaian Risiko (Meliputi identifikasi risiko, analisis risiko dan evaluasi risiko)
•
Penanganan Risiko
•
Pemantauan dan Peninjauan
Analisis risiko bukan merupakan aktivitas yang dapat berjalan sendiri dan membutuhkan integrasi yang menyeluruh terhadap komponen lain dalam proses manajemen risiko.
1. Komunikasi dan Konsultasi Analisis risiko yang baik sangat dipengaruhi oleh komunikasi dan konsultasi yang baik dengan para pemegang saham. Dengan melibatkan para pemegang saham, akan sangat membantu dalam proses manajemen risiko seperti: •
Membuat rencana untuk pengkomunikasian
•
Membuat konteks yang sesuai
•
Menjamin bahwa keinginan pemegang saham dapat dipahami dan dipertimbangkan
18
•
Mengumpulkan beberapa tenaga ahli diberbagai bidang untuk mengidentifikasi dan menganalisa risiko
•
Menjamin
bahwa
pandangan
yang
berbeda
sudah
dipertimbangkan dalam mengevaluasi risiko •
Menjamin bahwa risiko sudah diidentifikasi secara memadai
•
Mendukung keamanan dan bantuan untuk rencana penanganan
2. Mendefinisikan Konteks Mendefinisikan konteks artinya membuat ukuran standar untuk mengelola risiko dan membuat lingkup serta kriteria untuk proses kelanjutannya. Dalam mendefinisikan konteks, tujuan analisis risiko, kriteria risiko, dan program analisis risiko ditentukan dan disetujui. Untuk analisis risiko spesifik, mendefinisikan konteks harus sesuai dengan definisi dari eksternal, internal, dan konteks manajemen risiko serta klasifikasi atas kriteria risiko: a) Membuat konteks eksternal membutuhkan pengetahuan yang banyak mengenai lingkungan dimana organisasi dan sistem beroperasi termasuk: •
Kultur, politik, hukum, prosedur, lingkungan kompetitif, ekonomi, dan sebagainya
•
Faktor pendukung bisnis dan tren yang memiliki dampak terhadap tujuan organisasi
•
Persepsi dan nilai dari pemegang saham luar
19
b) Membuat
konteks
internal
dan
eksternal
membutuhkan
pemahaman atas: •
Kemampuan organisasi dalam hal sumber daya dan pengetahuan
•
Arus informasi dan proses pembuatan keputusan
•
Pemegang saham dalam
•
Tujuan dan perencanaan yang dibuat untuk pencapaian tujuan tersebut
•
Persepsi, nilai, dan kultur
•
Kebijakan dan proses
•
Standar dan model referensi yang diadopsi oleh organisasi
•
Struktur (seperti tata kelola, otoritas, dan tanggung jawab)
c) Membuat konteks atas proses manajemen risiko termasuk atas: •
Mendefinisikan tanggung jawab dan akuntabilitas
•
Mendefinisikan sejauh mana aktivitas manajemen risiko akan dilaksanakan termasuk hal spesifik yang terkait dan tidak terkait
•
Mendefinisikan sejauh mana proyek, proses, fungsi atau aktivitas dalam hal waktu dan lokasi
•
Mendefinisikan hubungan antara proyek khusus, atau aktivitas dengan proyek lain atau aktivitas dalam organisasi
•
Mendefinisikan metodologi dalam analisis risiko
20
•
Mendefinisikan kriteria risiko
•
Mendefinisikan bagaimana manajemen risiko dilakukan dan dievaluasikan
•
Mengidentifikasi
dan menspesifikasi
keputusan
dan
tindakan yang harus dibuat •
Mengidentifikasi
lingkup
atau
pembelajaran
yang
dibutuhkan, ukurannya, tujuannya dan sumber daya yang dibutuhkan untuk pembelajaran tersebut. d) Mendefinisikan kriteria risiko terkait dengan memutuskan bahwa: •
Sifat dan tipe dari dampak yang termasuk dan bagaimana pengukurannya
•
Cara menunjukkan kemungkinan keterjadiannya
•
Cara mendeterminasikan level risiko
•
Kriteria yang dibutuhkan dalam menentukan kapan risiko tersebut membutuhkan penanganan
•
Apa dan bagaimana risiko akan mulai diperhitungkan
Kriteria dapat berdasarkan sumber seperti: •
Tujuan atas proses yang disetujui
•
Kriteria yang diidentifikasi dalam spesifikasi
•
Sumber data umum
•
Kriteria industri yang diterima secara umum seperti level keamanan integritas
•
Risiko yang dapat diterima oleh organisasi
21
3. Penilaian Risiko Penilaian risiko adalah keseluruhan proses dari identifikasi risiko, analisis risiko dan evaluasi risiko. Risiko dapat dianalisis pada tingkat organisasi, tingkat departemen, untuk proyek, aktivitas individual dan risiko spesifik. Alat dan teknik yang berbeda yang mungkin dibutuhkan dalam konteks yang berbeda. Penilaian risiko memberikan pengertian atas risiko, penyebabnya, akibat, dan kemungkinan keterjadiannya. Hal ini memberikan input untuk keputusan mengenai: •
Bagaimana suatu aktivitas harus dilakukan
•
Bagaimana cara dalam memaksimalkan kesempatan
•
Bagaimana risiko harus ditangani
•
Memilih antara pilihan yang ada dengan risiko yang berbeda
•
Memprioritaskan pilihan dalam penanganan risiko
•
Memilih perencanaan penanganan risiko yang dapat membawa risiko pada tingkat yang dapat ditoleransi
22
Gambar 2.1 Lingkup Analisis Risiko dalam Proses Manajemen Risiko
Setelah risiko sudah berhasil diidentifikasi dengan akurat, maka dilakukanlah penilaian kuantitatif dan kualitatif terhadap dampak yang ditimbulkan oleh risiko tersebut. Kedua jenis penilaian tersebut dibutuhkan dalam menghasilkan analisis yang tepat dan akurat. IntegrIT Network Solutions Inc. (2012) mendefinisikan Penilaian Kuantitatif atau Quantitative Assessment sebagai hasil yang ditunjukkan oleh risiko tersebut dalam bentuk angka – angka. Penilaian kuantitatif umumnya membutuhkan data yang akurat untuk bisa mengestimasikan probabilitas dan dampak dari risiko terkait TI.
23
Di lain sisi, penilaian kualitatif lebih mudah untuk dilakukan. Penilaian Kualitatif atau Qualitative Assessment adalah penilaian yang dilakukan dengan mengkategorikan risiko sesuai dengan banyak tingkat pengukuran yang ditentukan. Bila menggunakan tiga tingkat saja maka sebagai contoh, kategori yang digunakan adalah rendah, sedang dan tinggi. Setelah mengklasifikasikan risiko terhadap kategori-kategori tersebut barulah kemudian merumuskan tindakan penanganan pada risiko, terutama pada kategori menengah keatas yang harus lebih diprioritaskan.
4. Penanganan Risiko Setelah menyelesaikan analisis risiko, penanganan risiko melingkupi pemilihan dan kesepakatan terhadap satu atau lebih pilihan yang relevan untuk merubah kemungkinan keterjadian, dampak dari risiko, atau keduanya, dan implementasi pilihan-pilihan tersebut. Hal ini diikuti dengan proses yang menyerupai siklus dalam menganalisis kembali level risiko, dengan peninjauan lebih untuk menentukan tingkat tolerabilitas terhadap kriteria yang sudah ditentukan sebelumnya, untuk memutuskan apakah penanganan lebih lanjut dibutuhkan atau tidak.
5. Pemantauan dan Peninjauan Sebagai bagian dalam proses manajemen risiko, risiko dan pengendalian
harus
memverifikasi bahwa:
lebih
dipantau
dan
ditinjau
selalu
untuk
24
•
Asumsi terhadap risiko akan tetap valid.
•
Asumsi terhadap dasar analisis risiko, termasuk dalam konteks eksternal dan internal, tetap valid.
•
Hasil yang sesuai harapan akan dapat diraih
•
Hasil dari analisis risiko akan segaris dengan pengalaman yang sebenarnya
•
Teknik analisis risiko diterapkan dengan benar
•
Penanganan risiko sudah efektif
Tehnik dan Alat Bantu untuk Proses Analisis Risiko Terdapat beberapa pendekatan formal yang dapat dilakukan oleh organisasi untuk menganalisis dan mengelola risiko menggunakan tools manajemen risiko yang diakui seperti : •
Failure Mode and Effect Analysis (FMEA)
•
Structured What-If Technique (SWIFT)
•
Fault Tree Analysis
•
Hazard Analysis and Critical Control Points (HACCP)
•
Hazard Operability Analysis
•
Preliminary Hazard Analysis
•
Risk ranking and filtering
•
Dan sebagainya
Tools diatas perlu diadaptasi untuk penggunaan-penggunan tertentu dan dalam penelitian ini tool yang akan digunakan adalah SWIFT.
25
Structured What-If Technique (SWIFT) Structured What-If Technique (SWIFT) adalah tehnik identifikasi risiko tingkat tinggi yang fleksibel dan digunakan untuk suatu dasar yang dapat berdiri sendiri, atau merupakan bagian pendekatan bertahap dalam mengaplikasikan metode yang mendetil seperti FMEA agar lebih efisien. Keberhasilan dalam penggunaan metode SWIFT sangat dipengaruhi oleh pengetahuan pengguna atas sistem dan proses yang dianalisis (Alan J. Card, et. al., 2012, p. 3-4). Prosedur Penggunaan Metode SWIFT SWIFT adalah tehnik untuk mengidentifikasi ancaman (seperti dalam bertanya “Bagaimana bisa…”), dan identifikasi risiko (seperti dalam bertanya “Bagaimana jika…”). Namun pada praktiknya sangat didukung oleh analisis risiko (mengkarakteristikan dan mengestimasi risiko), evaluasi risiko (seperti menentukan apakah risiko tersebut dapat diterima atau membutuhkan tindak lanjut tertentu), dan perencanaan penanganan risiko (seperti membentuk dan menganalisis perencanaan dalam mengontrol risiko). Berikut ini merupakan tahap-tahap untuk menjalankan proses analisis risiko menggunakan metode SWIFT: 1. Prepare the Guidewords Fasilitator menentukan kumpulan kata-kata acuan yang dapat digunakan untuk mengarahkan tim dalam SWIFT.
26
2. Assemble the Team Memilih anggota tim untuk menjalankan SWIFT berdasarkan pengetahuan mereka atas sistem / proses yang sedang dianalisis.
3. Background Menjelaskan mengenai “pemicu” atas diadakannya SWIFT (seperti perubahan regulasi, evaluasi kondisi dan sebagainya).
4. Articulate the Purpose Menjelaskan dengan jelas tujuan atas hasil yang ingin dicapai dengan diadakannya SWIFT (seperti meningkatkan tingkat kepuasan pelanggan).
5. Define the Requirements Menjelaskan mengenai kriteria akan keberhasilan yang diperoleh (seperti tidak adanya pendapatan yang hilang untuk jangka waktu 5 tahun kedepan atas kompensasi karena kurangnya kepuasan pelanggan).
27
6. Describe the System Menjelaskan dengan tingkat tinggi seperti menggunakan tulisan dan gambar atas sistem atau proses yang ingin dianalisis risikonya tanpa harus secara detil / spesifik.
7. Identify the Risks / Hazards Disinilah penggunaan SWIFT mulai diaplikasikan. Dengan menggunakan kata acuan (Guidewords) untuk setiap sistem, subsistem, atau proses. Setiap partisipan diharapkan untuk melakukan pengandaian dengan membuat frase menggunakan kata-kata seperti “Bagaimana jika…” atau “Bagaimana bisa…” untuk menemukan risiko yang potensial terkait kata acuan yang dipakai.
8. Assess the Risks Menggunakan tehnik analisis risiko untuk mengestimasikan risiko
terkait
ancaman
yang
teridentifikasi.
Untuk
pengendalian yang sudah berjalan dengan melakukan analisis terhadap keterjadian gangguan yang ditemukan dan tingkat dampak atas gangguan tersebut. Kemudian evaluasikan tingkat penerimaan dengan melihat tingkat risiko dan identifikasi aspek apapun dari sistem yang mungkin membutuhkan identifikasi dan analisis risiko yang lebih mendetil.
28
9. Propose Actions Berikan solusi perencanaan pengendalian risiko untuk mengurangi dampak yang ditimbulkan oleh risiko yang teridentifikasi ke tingkat yang dapat diterima.
10. Review the Process Menentukan apakah SWIFT sudah sesuai dengan tujuan, atau apabila sebuah analisis risiko yang mendetil dibutuhkan untuk suatu bagian dalam sistem.
11. Overview Menghasilkan dokumen tinjauan hasil dari pelaksanaan SWIFT untuk dikomunikasikan.
12. Additional Risk Assessment Menjalankan analisi risiko lebih lanjut dengan lebih detil atau menggunakan tehnik kuantitatif apabila dibutuhkan.
2.2 Sistem Informasi Perusahaan yang sudah tergolong cukup besar tentunya membutuhkan manajemen sistem informasi yang baik karena banyaknya sumber daya yang mereka miliki. Sistem informasi adalah kumpulan dari banyak komponen, orang, dan proses yang didukung oleh teknologi informasi dan komunikasi yang baik
29
untuk membantu organisasi memenuhi tujuan mereka dengan mendukung aktivitas untuk setiap anggotanya. Suatu sistem digambarkan seperti suatu entitas yang terdiri dari berbagai macam hal yang berbeda (manusia, bukan manusia, hal teknis, bukan hal teknis), yang dirancang dan digunakan untuk tujuan tertentu. Pada praktisinya, sistem informasi dapat beroperasi dalam berbagai cara dan dapat memenuhi berbagai tujuan untuk berbagai individual atau kelompok tertentu (Dr. José-Rodrigo Córdoba-Pachón et. al., 2011). Kemajuan teknologi informasi dan komunikasi yang pesat membuat para organisasi menunjuk beberapa orang yang ahli dalam bidang ICT (Information and Communication Technology) untuk menjadi CIO (Chief Information Officer) dan CKO (Chief Knowledge Officer). Mereka bertanggung jawab untuk melihat informasi di organisasi sebagai aset dan bagaimana teknologi informasi dan komunikasi dapat diterapkan dan dimanfaatkan dengan baik oleh karyawan dan user dalam menjalankan aktivitas mereka sehari-hari.
Flowchart Untuk mempermudah membaca dan melihat alur kerja atau proses dari suatu sistem informasi maka digunakanlah tools seperti flowchart. Menurut Muhammad Fathomi dan Sulindawati (2010) flowchart adalah penggambaran secara grafik dari langkah-langkah dan urutan-urutan prosedur dari suatu program. Flowchart menolong analisis dan programmer untuk memecahkan masalah kedalam segmen-segmen yang lebih kecil dan menolong dalam
30
menganalisis alternatif-alternatif lain dalam pengoperasian. Flowchart biasanya mempermudah penyelesaian suatu masalah khususnya suatu masalah yang perlu dipelajari dan di evaluasi lebih lanjut. Ada beberapa yang perlu diperhatikan dalam dalam membuat suatu flowchart : 1. Flowchart digambarkan dari halaman atas kebawah dan dari kiri ke kanan 2. Aktivitas yang digambarkan harus didefinisikan secara hati-hati dan definisi ini harus dapat dimengerti oleh pembacanya 3. Aktivitas harus ditentukan dengan jelas saat akan dimulai dan berakhir 4. Setiap langkah dari aktivitas harus diuraikan dengan menggunakan deskripsi kata kerja 5. Setiap langkah dari aktivitas harus berada pada urutan yang benar 6. Lingkup dan range dari aktivitas yang sedang digambarkan harus ditelusuri dengan hati-hati. Percabangan-percabangan yang memotong aktivitas yang sedang digambarkan tidak perlu di gambarkan pada flowchart yang sama. Simbol konektor harus digunakan dan percabangan diletakkan pada halaman yang terpisah atau hilangkan seluruhnya bila percabangan tidak berkaitan dengan sistem. 7. Gunakan simbol flowchart yang standar
31
Jenis-jenis Flowchart Flowchart terbagi atas lima jenis, yaitu : 1. Flowchart sistem Flowchart sistem merupakan bagan yang menunjukan alur kerja atau apa yang sedang dikerjakan didalam sistem secara keseluruhan dan menjelaskan urutan dari prosedur-prosedur yang ada didalam sistem. 2. Flowchart paperwork/flowchart dokumen Flowchart paperwork menelusuri alur dari data yang ditulis melalui sistem. Kegunaan utama dari flowchart ini yaitu menelusuri alur form dan laporan sistem dari satu bagian ke bagian lain baik bagaimana alur form dan laporan di proses, dicatat dan disimpan. 3. Flowchart skematik Flowchart skematik mirip dengan flowchart sistem yang menggambarkan suatu sistem atau prosedur. Flowchart skematik ini bukan hanya menggunakan simbol-simbol flowchart standar, tetapi juga menggunakan gambar-gambar komputer,peripheral, form-form atau peralatan lain yang digunakan dalam sistem. 4. Flowchart program Flowchart program dihasilkan dari flowchart sistem. Flowchart program merupakan keterangan yang lebih rinci tentang
32
bagaimana setiap langkah program atau prosedur sesungguhnya dilaksanakan. 5. Flowchart proses Flowchart proses merupakan teknik penggambaran rekayasa industrial yang memecahkan dan menganalisis langkah-langkah selanjutnya dalam suatu prosedur atau sistem.
Simbol-simbol flowchart Simbol-simbol flowchart yang biasa dipakai adalah simbolsimbol flowchart standar yang keluarkan oleh ANSI dan ISO. Gambar yang menunjukkan simbol-simbol tersebut dapat dilihat di lampiran nomor 1.
2.3 Billing System PT JAS menggunakan sistem penagihan untuk meningkatkan kontrol dan meminimalisasi risiko kesalahan dalam proses penagihan. Edward Mendlowitz (2012) menjelaskan bahwa dalam mencapai proses penagihan yang berjalan cepat dan lancar harus didukung dengan komitmen yang baik dari seluruh bagian perusahaan. Baik staff dan pihak terkait harus menganggap proses penagihan sebagai bagian penting dalam tugas mereka agar dapat selesai tepat waktu. Apabila staff dan pihak terkait menganggap remeh hal tersebut maka akan terjadi keterlambatan pada arus kas dan meningkatkan kemungkinan beberapa tagihan tidak akan terbayar tepat waktu atau bahkan tidak sama sekali.
33
Tren Dalam Billing System Saat Ini “Terdapat perubahan besar dalam cara pembayaran tagihan. Perusahaan yang dapat membuat perencanaan yang komprehensif untuk menangani perubahan besar ini memiliki kesempatan untuk dapat mengurangi biaya dan meningkatkan kepuasan pelanggan” merupakan kalimat yang diutarakan oleh Kathi Plymouth dan Jody Martin (2009) dalam membuka jurnal mereka yang diterbitkan oleh First Data Corporation. Untuk setiap bidang bisnis, setiap cara untuk melakukan penagihan pembayaran terhadap pelanggan tidaklah mudah. Organisasi tentu ingin menggunakan metode yang mudah dan nyaman digunakan oleh pelanggan untuk membayar sehingga umum bagi mereka untuk menyediakan banyak pilihan dan jalur dalam pembayaran. Namun, merealisasikan hal tersebut terkadang akan membuat bisnis perusahaan lebih rumit dan mengeluarkan lebih banyak biaya. Beberapa tren pembayaran yang akan sering digunakan untuk lima tahun kedepan dan perencanaan yang dibutuhkan akan dimunculkan dalam beberapa pertanyaan berikut: 1. Bagaimana organisasi dapat mengelola investasi dalam bidang IT sementara meningkatkan infrastruktur dalam bagian pemrosesan? Bagaimana cara agar biaya untuk setiap barang / jasa tidak mengalami perubahan? 2. Maraknya pembayaran secara online, apakah sudah terdapat bagian yang dapat menangani apabila metode pembayaran tersebut mengalami masalah? Dan apakah solusi atas pembayaran elektronik yang ditawarkan tetap dapat menekan biaya dan tidak memberikan kesan negatif terhadap pelanggan?
34
3. Secara garis besar, metode pembayaran online yang saat ini sering digunakan adalah dengan kartu debit dan kredit. Apakah perusahaan dapat menerima pembayaran dengan kartu tersebut? Dan apakah perusahaan memiliki cara lain untuk menawarkan para pelanggannya metode pembayaran lain yang lebih dapat menekan biaya? 4. Apakah metode pembayaran yang ditawarkan oleh organisasi sudah mencakup populasi bagi orang-orang yang belum membuka rekening bank apapun? Apakah yang dapat perusahaan lakukan untuk menekan biaya bagi pembayaran yang dilakukan oleh orang-orang yang termasuk dalam segmen ini? 5. Apakah organisasi sudah secara aktif atau pasif memberdayakan metode pembayaran secara elektronik?
2.4 Manajemen Pelayanan Darat (Ground Handling) Kata Ground Handling berasal dari kata ground dan handling. Ground artinya darat atau di darat, yang dalam hal ini di bandar udara (airport). Handling berasal dari kata dasar hand atau handle yang artinya tangan atau tangani. To handle berarti menangani, melakukan suatu pekerjaan tertentu dengan penuh kesadaran. Handling berarti penanganan atau pelayanan. Secara etimologi ground handling diterjemahkan sebagai pelayanan di darat atau operasi darat namun juga biasa disebut sebagai Airport Services. Semua kata atau terminologi tersebut – ground handling, ground services, ground operation atau airport service – pada dasarnyaa mengandung maksud dan
35
pengertian yang sama yaitu pengetahuan dan keterampilan tentang penanganan pesawat di apron, penanganan penumpang dan bagasinya diterminal, serta penanganan kargo dan pos di area kargo. Perusahaan penerbangan komersial atau lebih dikenal dengan istilah airlines atau airways merupakan badan usaha yang bergerak di bidang jasa angkutan udara yang mengoperasikan pesawat terbang sebagai sarana untuk mengangkut muatan dari satu kota ke kota lain, baik dalam negeri maupun ke luar negeri, Muatan yang diangkut antara lain penumpang, bagasi, kargo, dan benda-benda pos. Secara operasional ada empat unit kerja utama yang menunjang bisnis angkutan udara atau penerbangan dapat terlaksana, yaitu passenger handling, aircraft handling, in flight service, dan cargo handling. Berdasarkan sejarah kelahirannya, sebenarnya kegiatan ground handling merupakan bagian integral dari lingkup pekerjaan dalam suatu perusahaan penerbangan. Terdapat dua kegiatan utama yang dilakukan perusahaan penerbagan, yaitu pertama kegiatan di kantor kota (Town Office) yang lebih dominan mengerjakan urusan pemasaran, quality assurance, finance, corporate planning, dan administrasi keuangan, serta umum dan kedua kegiatan operasional kestasiunan di bandar udara (airport). Kegiatan ground handling merupakan bagian atau divisi operasional perusahaan penerbangan yang dipimpin oleh seorang kepala stasiun sebagai manajer operasi / ground handling. Dalam perkembangan selanjutnya, muncul ide untuk mendirikan perusahaan yang khusus menyediakan jasa / layanan ground handling, mengingat
36
adanya peluang yang terbuka lebar, di mana tidak sedikit perusahaan penerbangan asing yang menyinggahi kota Jakarta dan Denpasar (Suharto Abdul Majid dan Eko Probo D. Warpani, 2009, p.2-21).
Kegiatan Operasional di Bandar Udara Secara keseluruhan, kegiatan di bandar udara ada banyak sekali dan tentunya membutuhkan sumber daya yang tidak sedikit baik dari segi staff maupun peralatannya. Perusahaan penyedia layanan jasa penerbangan di darat mengelola secara langsung beberapa kegiatan di bandar udara untuk bisnis mereka sendiri dan juga memberikan jasa penyewaan terhadap sumber daya yang mereka miliki seperti peralatan dan staff bagi maskapai atau pihak bandar udara yang membutuhkan bantuan khusus. Menurut Robert Horonjeff et. al. (2010, p.8-460), di bandar udara pada umumnya terdapat beberapa kegiatan operasional sebagai berikut :
1. Check-In & Baggage Handling Merupakan manajemen terhadap barang bawaan penumpang yang ditaruh di bagasi pesawat. Sebelum penumpang menaruh barang bawaan mereka untuk dimasukkan ke pesawat maka mereka harus melakukan proses check-in terlebih dahulu pada konter di masingmasing maskapai untuk mengecek identitas penumpang dan mendapatkan nomor kursi di pesawat.
37
Kemudian barang bawaan penumpang akan ditandai dan mulai dikirim ke area khusus untuk memulai proses pemuatan. Pada bandar udara terdapat baggagge claim yang berfungsi sebagai tempat pengambilan bagasi yang kemudian akan di cek kebenaran pengambilan bagasi tersebut untuk masing-masing penumpang. Mesin pendistribusian bagasi tersebut akan ditambah apabila memasuki jam sibuk operasional.
2. Cargo Handling Kegiatan manajemen kargo berawal dari pengiriman surat / dokumen melalui udara yang menjadi semakin pesat pada tahun 1980. Lebih dari 40 juta industri berfokus pada pengiriman surat, barang berharga, dan muatan lainnya untuk kelancaran kegiatan bisnisnya. Setiap kargo disimpan dan ditangani secara khusus sesuai klasifikasi muatannya karena umumnya merupakan barang berharga / bernilai sangat tinggi.
3. Ground Handling Kegiatan yang berlangsung disuatu area khusus untuk membantu menaikkan / menurunkan penumpang atau kargo ke pesawat, membersihkan kabin pesawat, menyetok ulang persediaan makanan dan minuman di pesawat, melakukan pengecekan mekanik pesawat, dan mengisi ulang bahan bakar pesawat.
38
4. Airline Executive Clubs / Departure Lounges Ruang tunggu keberangkatan berfungsi sebagai tempat berkumpul bagi penumpang yang menunggu untuk menaiki suatu penerbangan tertentu. Pada umumnya ruang tunggu tersebut didesain untuk menampung penumpang selama 15 menit sebelum waktu keberangkatan
dengan
asumsi
bahwa
penumpang
sudah
diperbolehkan untuk memasuki pesawat. Beberapa ruang tunggu hanya menerima kartu kredit dengan bank tertentu atau khusus penumpang dengan maskapai tertentu karena kontrak perjanjian yang dibuat.
