Sebelum saya menjawab inti dari pertanyaan anda,perkenankan saya untuk memberikan penjelasan singkat mengenai apa itu Manajemen Risiko dan kaitannya dengan Risiko-risiko dari suatu prosess dalam organisasi dari segala sektor(struktural,police,Sumber Daya Manusia,Sistem Informasi dan Teknologi Informasi).
Sebelumnya saya akan menjelaskan mengenai apa itu risiko,Risiko adalah bahaya, akibat atau konsekuensi yang dapat terjadi akibat sebuah proses yang sedang berlangsung atau kejadian yang akan datang.Lalu jika kita kaitkan pengertian itu dalam konteks nya disuatu universitas maka dapat dijabarkan,risiko dari pandangan universitas adalah bahaya,akibat,dan atau konsekuensi yang mengancam sebuah proses yang sedang berlangsung dalam universitas baik itu diwaktu sekarang ataupun kejadian yang akan datang.
Everything that can possibly go wrong will go wrong - Murphy’s law
Sehingga menanggapi dari adanya risiko-risiko yang mungkin akan terjadi.Perlu adanya suatu penanganan khusus agar risiko yang akan terjadi tersebut dapat di minimalisir dampaknya,sehingga organisasi atau universitas dapat mencegah terjadinya gangguan dalam proses yang sedang berlangsung agar tidak memberikan dampak yang cukup besar bagi keberlangsungan aktivitas-aktivitas universitas tersebut,sehingga perlu adanya Manajemen Risiko didalamnya.
Manajemen Risiko adalah proses identifikasi, analisis, penilaian, pengendalian, dan penghindaran, minimalisasi, atau penghapusan risiko yang tidak dapat diterima.
Manajemen risiko biasanya dilakukan oleh investor atau fund manager saat melakukan analisis untuk mengukur potensi kerugian dalam investasi. Kemudian mereka mengambil tindakan yang tepat sesuai dengan tujuan investasi dan toleransi risiko yang telah dianalisis.
Kategori risiko yang bisa ditoleransi ini bisa dilihat dari besarnya risiko yang dihadapi. Biasanya risiko dengan tingkat bahaya yang kecil akan dibiarkan. Namun berbeda dengan hal dengan risiko besar sebagian besar perusahaan akan menghindarinya kalaupun tidak dihindari perusahaan harus menyiapkan strategi yang sangat hati-hati.
CARA MELAKUKAN MANAJEMEN RISIKO DENGAN EFEKTIF
Untuk melakukan manajemen risiko kita perlu melalui beberapa proses. Seperti yang dikutip dari id.wikipedia.org, COSO atau Committee of Sponsoring Organizations of the Treadway Commission menyebutkan ada delapan kerangka yang berkaitan dalam Manajemen Risiko Korporasi (MRK) yaitu
- Lingkungan internal (internal environment)
- Penentuan sasaran (objective setting)
- Identifikasi peristiwa (event identification)
- Penilaian risiko (risk assessment)
- Tanggapan risiko (risk response)
- Aktivitas pengendalian (control activities)
- Informasi dan komunikasi (information and communication)
- Pemantauan (monitoring)
Kemudian kita kembali ke pembahasan mengenai pertanyaan anda diatas,yaitu ; Bagaimana baiknya suatu universitas melakukan mitigasi risiko IT?
Maka sekarang kita akan lebih masuk dalam teknis penerapan dari manajemen risiko tersebut,pada sektor TI.Langkah-langkah apa atau bagaimana universitas melakukan mitigasi risiko TI dengan benar dan hasil yang baik. Hal yang perlu dilakukan dalam hal ini,Framework Manajemen Risiko dalam Universitas sebagai berikut:
-
Kebijakan Risiko,Dokumen framework yang secara formal menguraikan prinsip, prosedur, dan tanggung jawab, persyaratan, dan struktur masing-masing lembaga dan tanggung jawab instansi
-
Buku Pegangan Manajemen Risiko,dirancang untuk dibaca bersamaan dengan Kebijakan dan untuk membimbing, mengarahkan dan membantu setiap orang untuk lebih memahami prinsip-prinsip manajemen risiko dan menerapkan proses yang konsisten untuk mengelola risiko.
-
University Risk Register (URR),repositori prinsipal-prinsipal untuk risiko di seluruh Universitas dan entitas yang dikendalikan.
-
University Risk Management Committee(URMC),bertanggung jawab atas keseluruhan koordinasi manajemen risiko di Universitas.
-
Pelaporan secara formal,Universitas diwajibkan melapor ke berbagai badan baik internal dan maupun eksternal
Setelah kita mengetahui poin-poin tersebut maka sangat mudah,bagaimana sebuah universitas melakukan pengambilan kebijakan-kebijakan untuk melakukan langkah penanganan Risiko TI tersebut akan tetapi dalam pelaksanaanya tentu harus mempertimbangkan hal-hal yang memiliki dampak besar terlebih dahulu,sehingga dapat saya rangkum menjadi beberapa aspek sebagai berikut:
- Aspek Hardware
- Aspek Sistem dan Software
- Aspek Sumber Daya Manusia
- Aspek Financial
1.Aspek Hardware
Dalam hal mitigasi TI pada aspek Hardware, tentu universitas harus mempersiapkan diri terhadap apapun yang mungkin mengakibatkan terjadinya suatu kerusakan baik itu secara alami maupun human error yang mengakibatkan suatu proses dalam universitas menjadi terganggu. Misalkan,
- Melakukan investasi terhadap hardware-hardware tertentu untuk siap kapan saja digunakan sebagai pengganti
- Melakukan monitoring hardware secara berkala
- Evaluasi penggunaan hardware,apakah sudah optimal?
- Meng-asuransikan beberapa hardware yang memiliki nilai tinggi, dst
2.Aspek Sistem dan Software
Dalam penerapannya,Aspek sistem informasi berkaitan erat dengan software-software yang biasanya dipakai.Memanajemen risiko ini sangat lah penting,karena didalamnya termasuk pula data-data yang di kelola oleh universitas,jadi dalam hal ini bisa dibilang bahwa DATA dan Perangkat Lunak menempati urutan pertama dalam hal risiko,banyak hal yang mungkin dapat dilakukan,misalkan
- Melakukan pembaruan software secara berkala
- Melakukan backup data secara berkala
- memberikan perlindungan sistem dengan sebuah keamanan khusus, dst
3.Aspek Sumber Daya Manusia
Kenapa aspek ini juga penting dalam penanganan risikonya? Ya,dikarenakan aspek ini merupakan aspek penggerak dari semua hal yang telah disebutkan diatas sehingga segala risiko yang mungkin terjadi pada SDM harus juga di atur penanganannya, misalkan :
- Memberikan evaluasi khusus setap periode tertentu
- Menyiapkan beberapa tim dalam suatu penanganan sistem informasi
- Menyiapkan tenaga ahli baik itu insourcing ataupun outsourcing, dst
4.Aspek Financial
Dengan adannya penerapan suatu sistem informasi atau penggunaan TI dalam sebuah Universitas tentu membuatnya mengharuskan mengeluarkan biaya yang tidak sedikit.Sehingga mereka juga perlu menangani akan risiko-risiko kedepan berkaitan mengenai apa yang mungkin dapat terjadi dan berimbas pada keuangan mereka,khususnya dalam pendanaan TI tersebut, misalkan
- Mengasuransikan segala kebutuhan TI yang telah diterapkan
- Memiliki cadangan khusus dalam pendanaan sistem
- Mencari sebuah sponsor yang dapat pula masuk dalam sebuah sistem informasi yang dibutuhkan(misalkan,menggunakan ATM BANK SWASTA untuk digunakan sebagai KTM), dst.
Itulah beberapa jawaban yang mungkin dapat saya sampaikan berkaitan dengan Manajemen risiko dan risiko dalam suatu universitas khususnya dalam hal TI.Segala kegiatan atau proses pasti akan membentuk sebuah risiko yang pasti dapat terjadi,sehingga yang hanya dapat kita lakukan hanyalah meminimalisir risiko dan dampak yang timbul.Begitu pula dengan Universitas,sebagai organisasi yang memiliki banyak sektor dan memiliki struktural yang kompleks maka pasti banyak risiko-risiko didalamnya,sehingga manajemen risiko menjadi jawaban akan masalah tersebut agar tujuan universitas tersebut dapat tercapai tanpa menemui kendala besar yang menghambat.
Referensi:
Risk Management Handbook - The University of Adelaide
Guide to effective risk management 3.0
Murphy’s Law
ENTERPRISE RISK MANAGEMENT OF GEORGETOWN UNIVERSITY
A Wake-up Call: Enterprise Risk Management at Colleges and Universities Today