Dalam proses manajemen proyek, kita dapat melakukan perhitungan secara numerik untuk menganalisa dampak dari risiko yang telah teridentifikasi pada keseluruhan tujuan proyek. Hasil analisis pengaruh risiko yang diperoleh nantinya akan digunakan dalam mengevaluasi efek agregat dari risiko yang mempengaruhi proyek yang kemudian dapat memberikan peringkat prioritas numerik untuk risiko individu. Dari penjelasan tersebut dapat diketahui pendekatan yang cocok untuk menganalisis risiko yaitu menggunakan Perform Quantitative Risk Analysis.
Apa yang dimaksud dengan Quantitative Risk Analysis ?
Perform Quantitative Risk Analysis merupakan proses numerik untuk menganalisis pengaruh risiko yang teridentifikasi pada tujuan proyek secara keseluruhan. Untuk melakukan proses ini diperlukan masukan. Masukan tersebut termasuk rencana manajemen risiko, daftar risiko, faktor lingkungan perusahaan, rencana manajemen biaya, dan aset organisasi yang digunakan untuk menghasilkan pembaruan dokumen proyek.
Umumnya, proses manajemen proyek ini digunakan pada risiko yang telah diidentifikasi dan diprioritaskan oleh proses Perform Qualitative Risk Analysis yang secara substansial berdampak pada tuntutan permintaan pada proyek. Dengan demikian, proses ini digunakan untuk menganalisis pengaruh risiko pada tujuan proyek. Selain itu, digunakan untuk mengevaluasi efek agregat dari risiko yang mempengaruhi proyek dan memberikan peringkat prioritas numerik untuk risiko individu. Namun, proses ini mungkin tidak dapat dilaksanakan karena kurangnya data yang tidak mencukupi.
Manfaat utama dari proses ini, yaitu menghasilkan informasi risiko kuantitatif untuk mendukung pengambilan keputusan dan mengurangi ketidakpastian proyek. Hasil yang telah didapat dari proses numerik nantinya akan digunakan dalam beberapa kegiatan, seperti berikut ini:
Mengevaluasi kemungkinan keberhasilan dalam mencapai tujuan proyek.
Untuk memperkirakan cadangan kontingensi, terkait time and cost yang sesuai dengan risiko dan toleransi risiko terhadap stakeholder proyek.
The Quantitative Risk Analysis and Modelling Techniques digunakan untuk membantu mengidentifikasi risiko yang paling berpengaruh pada proyek dan organisasi. Hal ini dilakukan dengan menetapkan nilai yang diproyeksikan pada risiko yang telah diberi peringkat oleh proses sebelumnya seperti analisis performa risiko kualitatif.
Ada lima input untuk teknik ini: daftar risiko, rencana manajemen risiko, rencana manajemen jadwal, rencana manajemen biaya, dan pembaruan daftar risiko. Masukan ini diperlukan untuk menciptakan analisis risiko kuantitatif untuk menentukan tingkat bagaimana risiko tertentu dapat mempengaruhi proses, produk, atau layanan tertentu.
Di sisi lain, manajer proyek menggunakan teknik ini untuk menentukan tingkat pengaruh dari risiko yang telah terindentifikasi. Teknik ini termasuk probabilitas distribusi, pengumpulan data dan teknik representasi (data gathering and representation techniques), analisis sensitivitas (Sensitivity Analysis), analisis nilai moneter yang diharapkan (expected monetary value analysis), analisis pohon keputusan (Decision tree analysis), diagram tornado dan penilaian oleh orang ahli.
Selain itu, juga menggunakan pemodelan dan simulasi (teknik penting dalam analisis risiko kuantitatif) . Teknik simulasi ini menggunakan analisis Monte Carlo yang dihitung menggunakan komputer dan menganalisis skenario yang berbeda untuk jadwal proyek untuk mengidentifikasi kemungkinan kejadian risiko.
James W. Meritt, dalam A Method for Quantitative Risk Analysis, menjelaskan bahwa Analisis Resiko Kuantitatif merupakan satu metode analisis resiko yang mengenali pengendalian pengamanan apa dan bagaimana yang seharusnya diterapkan serta besaran biaya untuk menerapkannya. Sedangkan Analisis Resiko Kualitatif digunakan untuk meningkatkan kesadaran atas masalah keamanan sistem informasi dan sikap dari sistem yang sedang dianalisis tersebut.
Lebih lanjut, Meritt menerangkan bahwa dua metode tersebut dapat berkombinasi menjadi satu, yang kemudian dikenal sebagai metode hibrida atau Hybrid method. Metode Hibrida merupakan sebuah kombinasi dari dua metode analisis resiko kuantitatif dan kualitatif, dan dapat digunakan untuk menerapkan komponen-komponen yang memanfaatkan informasi yang tersedia sekaligus memperkecil matriks yang terkumpul dan dihitung. Metode ini, sayangnya, kurang intinsif secara numeric (tetapi lebih murah biayanya) dibandingkan dengan sebuah metode analisis yang dilakukan secara lengkap dan mendalam.
Menurut J. W. Meritt, terdapat beberapa hal atau langkah yang perlu diperhatikan dalam menerapkan metode analisis resiko secara umum, yaitu sebagai berikut:
Menentukan ruang lingkup (scope statement). Hal ini harus dipercayai oleh semua kalangan pihak yang menaruh perhatian pada masalah. Dalam menentukan ruang lingkup ini, ada tiga hal yang harus diperhatikan, yaitu menentukan secara tepat apa yang harus dievaluasi, mengemukakan apa jenis analisis resiko yang akan digunakan, dan mengajukan hasil yang diharapkan.
Menetapkan aset (asset pricing). Pada langkah kedua ini, semua sistem informasi ditentukan secara spesifik ke dalam ruang lingkup yang telah dirancang, kemudian ditaksir ‘harga’ (price)-nya.
Risks and Threats. Risiko (risk) adalah sesuatu yang dapat menyebabkan kerugian atau mengurangi nilai kegunaan operasional sistem. Sedangkan ancaman (threats) adalah segala sesuatu yang harus dipertimbangkan karena kemungkinannya yang dapat terjadi secara bebas di luar sistem sehingga memunculkan satu resiko.
Menentukan koefisien dampak. Semua aset memiliki kerentanan yang tidak sama terhadap suatu resiko. Oleh sebab itu perlu dicermati dan diteliti sejauh mana sebuah aset dikenali sebagai hal yang rentan terhadap sesuatu, serta perbandingannya dengan aset yang justru kebal sama sekali.
Single loss expectancy atau ekspetasi kerugian tunggal. Pada poin ini, Meritt menjelaskan bahwa aset-aset yang berbeda akan menanggapi secara berbedap pula ancaman-ancaman yang diketahui.
Group evaluation atau evaluasi kelompok, yaitu langkah lanjutan yang melibatkan sebuah kelompok pertemuan yang terdiri dari para pemangku kepentingan terhadap sistem yang dianalisis (diteliti). Pertemuan ini harus terdiri dari individu yang memiliki pengetahuan tentang komponen-komponen yang beragam tersebut, tentang ancaman dan kerentanan dari sistem serta pengelolaan dan tanggung jawab operasi untuk memberikan bantuan dalam penentuan secara keseluruhan. Pada langkah ini lah biasanya metode hibrida dalam analisis resiko dilakukan.
Melakukan kalkulasi (penghitungan) dan analisis. Terdapat dua macam analisis. Pertama, across asset, yaitu analisis yang bertujuan untuk menunjukkan aset-aset tertentu yang perlu mendapat perlindungan paling utama. Kedua, across risk, yaitu analisis yang bertujuan untuk menunjukkan ancaman apa dan bagaimana yang paling harus dijaga.
Controls atau pengendalian, yaitu segala hal yang kemudian diterapkan untuk mencegah, mendeteksi, dan meredakan ancaman serta memperbaiki sistem.
Melakukan analisis terhadai control atau pengendalian. Ada dua metode yang dapat dilakukan dalam menganalisis aksi kontrol ini, yaitu cost and benefit ratio dan risk or control.
Perform Quantitative Risk Analysis adalah proses menganalisis secara numerik pengaruh risiko yang diidentifikasi secara keseluruhan proyek. Manfaat utama dari proses ini adalah menghasilkan informasi quantitative risk untuk mendukung keputusan dalam membuat proyek dan untuk mengurangi ketidakpastian proyek.
Perform Quantitative Risk Analysis dilakukan pada risiko yang telah diprioritaskan oleh Perform Qualitative Risk Anaysis yang berpotensi dan secara substansial memengaruhi tuntutan persaingan proyek.
Analisis risiko kuantitatif melibatkan penentuan nilai numerik spesifik untuk risiko dampak pada proyek, dan analisis ini dapat berguna untuk mengelola risiko dan merencanakan respon pada risiko. Ketika menganalisis risiko dengan menggunakan analisis risiko kuantitatif hasil akhir yang didaptkan adalah berupa jumlah uang ataupun jangka waktu. Misalnya, ketika menganalisa dampak risiko yang terkuantifikasi seperti jumlah anggaran atau jadwal proyek. Saat suatu hal yang tidak terduga terjadi maka dibutuhkan biaya ataupun waktu tambahan.
Setelah melalui analisis risiko kualitatif, setiap risiko yang termasuk dalam toleransi risiko suatu proyek harus melalui analisis risiko kuantitatif untuk mendapatkan gambaran yang lebih jelas tentang risiko dan hal-hal yang dapat mencapai keberhasilan untuk proyek tersebut.
quantitative risk analysis adalah analisis lebih lanjut dari risiko prioritas tertinggi selama penilaian numerik atau kuantitatif untuk mengembangkan analisis probabilistik proyek. Mengkuantifikasi hasil yang mungkin untuk proyek dan menilai kemungkinan mencapai tujuan proyek tertentu, Menciptakan target biaya, jadwal dan cakupan yang realistis dan dapat dicapai.
Metode analisis kuantitatif adalah metode analisis risiko yang menggunakan angka numerik untuk menyatakan dampak dan probabilitas. Pada dokumen information assurance CS498SH (2006), menjelaskan bahwa pada pendekatan kuantitatif, dilakukan dengan enam proses penting, meliputi:
Identifikasi nilai aset (asset value)
Merupakan nilai moneter yang dimiliki aset, berdasarkan actual cost, atau biaya pengganti dari aset tersebut. (asset value).
Penentuan ancaman, kelemahan (vulnerability) dan dampak
Mengetahui frekuensi ancaman (threat frequency) yang pernah terjadi, analisis terhadap kelemahan (vulnerability analysis), dan perhitungan dampak (impact analysis)
Threat Frequency (ARO): mengetahui seberapa sering ancaman terjadi, yang disebut dengan Annual Rate Occurance (ARO), contoh: kebakaran besar 1 dalam 40 tahun, system crash 1 dalam 6 bulan.
Vulnerability Analysis (EF): mengetahui pontensi kehilangan aset, yang disebut Exposure factor (EF), yang merupakan presentase kehilangan akibat ancaman yang terjadi terhadap aset.
Impact Analysis (SLE dan ALE): melakukan perhitungan terhadap dampak dari kejadian gangguan keamanan, yang terkait dengan Single Loss Expectancy (SLE), yaitu nilai moneter yang akan hilang pada satu kali kejadian gangguan keamaan informasi.
Perkiraan kecenderungan terjadi (likelihood of exploitation).
Perhitungan Annual Loss Exposure (ALE)
Merupakan nilai moneter yang akan hilang karena gangguan keamanan terhadap aset, pada jangka waktu satu tahun.
Peninjauan (survey) penggunaan kontrol dan biayanya
