Manajemen resiko merupakan proses menganalisa resiko atau kerugian dan mengambil tindakan untuk meminimalisasi potensi maupun realita dampak yang dihadapi organisasi (Smith, 2004). Berdasarkan standard ISO/IEC 31000:2009, identifikasi resiko memegang peranan penting dalam penilaian resiko memegang peranan penting pada penilaian resiko. Baik identifikasi maupun penilaian resiko maupun rangkaian tahap dari manajemen resiko.
Identifikasi penting karena merupakan tahap pertama yang harus dilakukan karena dalam tahap ini dilakukan karena dalam tahap ini dilakukan penentuan resiko beserta karakteristiknya.kegagalan dalam tahapan ini akan pengaruh kepada tahapan manajemen resiko selanjutnya.Dan pengelolaan resiko membutuhkan ketersidiaan informasi yang memadai seperti data historis, pengalaman perusahaan, umpan balik dari pemangku kepentinga, observasi, dan penilaian ahli sehingga pata pengambil keputusan dapat meyakini bahwa keputusannya telah memperhitungkan semua informasi yang tersedia pada waktu keputusan tersebut dibuat.
Identifikasi Resiko berdasarkan ISO/IEC 31000:2009
Berdasarkan standard ISO/IEC 31000:2009, identifikasi resiko memegang peranan penting pada penilaian resiko. Baik identifikasi maupun penilaian resiko merupakan rangkaian tahap dari manajemen resiko . Identifikasi resiko penting karena merupakan tahap pertama yang harus dilakukan karena dalam tahap ini dilakukan penentuan resiko – resiko beserta karakteristiknya yang mungkin akan mempengaruhi proyek. Kegagalan dalam tahapan ini akan berpengaruh besar terhadap tahapan manajemen resiko selanjutnya dan tentu akan mempengaruhi reliabilitas bagi proyek karena banyaknya kerentanan / celah yang mungkin akan terjadi di masa yang akan datang.
Tahapan Manajemen Resiko
Tujuan utama dalam identifikasi resiko adalah untuk mengetahui daftar – daftar resiko yang potensial dan berpengaruh terhadap tujuan / proses bisnis suatu organisasi (Harold, 2010). Sesuai dengan ISO/IEC 31000:2009, identifikasi resiko tersebut dapat dilakukan dengan memperhatikan hal – hal berikut :
-
Masukan Identifikasi Resiko
Apa saja yang dapat terjadi, kapan, dan dimana?
Pertanyaan ini akan menjawab secara detail apa saja yang kemungkinan negatif dapat terjadi dalam suatu proses bisnis dilihat dari waktu dan posisi / tempat yang dipengaruhi.
Untuk mengetahui apa saja yang dapat terjadi, suatu organisasi dapat melakukan studi terkait proses bisnis perusahaan, proses bisnis dari layanan / produk bidang teknologi informasi dan komunikasi yang dimiliki.
Mengapa dan bagaimana resiko dapat terjadi?
Pertanyaan ini digunakan sebagai pertimbangan terkait dengan penyebab resiko dan skenarionya.
-
Teknik Identifikasi Resiko
Berbagai teknik yang dapat dilakukan untuk melakukan identifikasi resiko antara lain sebgaia berikut :
- Brainstorming dengan pihak terkait
- Wawancara langsung kepada pihak yang bertanggung jawab
- Kuisioner
- Ceklis
- Analisis proyek sebelumnya
- Analisis SWOT
- Analisis asumsi dari tim pakar
- Selain hal tersebut, faktor – faktor lain yang juga perlu diperhatikan adalah :
Pemilihan metodologi identifikasi resiko yang sesuai dengan kondisi eksisting perusahaan / organisasi.
Sumberdaya manusia yang dilibatkan dalam aktivitas identifikasi resiko
Pendekatan siklus hidup untuk mengidentifikasi resiko dan menentukan bagaimana resiko berubah dan masuk dalam siklus hidup tersebut.
Identifikasi Resiko berdasarkan ISO/IEC 27001
Panduan manajemen resiko ISO/IEC 31000:2009 menjelaskan masukan dan teknik dari identifikasi resiko, namun belum dapat menjelaskan proses identifikasi resiko itu sendiri. Oleh karena itu, dibutuhkan standar lain yang dapat menjelaskan bagaimana proses identifikasi resiko yang komprehensif, yaitu ISO/IE 27001.
Tahapan Identifikasi Resiko
Berikut ini tahapan identifikasi resiko :
-
Studi Literatur
Studi literatur dilakukan untuk menjawab permasalahan yang pertama, yaitu terkait bagaimana melakukan identifikasi resiko secara konprehensif berdasarkan ISO 31000:2009. Keluaran dari studi literatur ini adalah penjelasan aktivitas – aktivitas yang dilakukan untuk identifikasi resiko berdasarkan ISO 31000:2009, masukan yang dibutuhkan, dan teknik – teknik yang direkomendasikan untuk melakukan identifikasi.
-
Identifikasi Aset
Setelah studi literatur, berikutnya adalah mengidentifikasi asset – asset teknologi informasi yang dimiliki berdasarkan komponen sistem informasi, yaitu data, perangkat lunak, perangkat keras, sumber daya manusia, dan prosedur. Keluaran dari tahap ini adalah daftar asset teknologi informasi yang dimiliki.
-
Identifikasi Ancaman
Masing – masing aset – aset yang telah teridentifikasi sebelumnya diidentifikasi ancamannya pada tahap ini. Sehingga keluarannya adalah berupa ancaman – ancaman dari internal dan eksternal organisasi.
-
Identifikasi Kerentanan
Ancaman memiliki dampak terhadap kerentanan. Identifikasi kerentanan pada setiap ancaman tersebut akan diidentifikasi pada tahap ini, sehingga keluarannya adalah daftar kerentanan aset.
-
Identifikasi Dampak Kerenanan
Kerentanan yang ada pastinya memiliki dampak terhadap layanan yang diberikan kepada civitas Jurusan Sistem Informasi. Dampak – dampak tersebut akan diidentifikasi pada tahap metode ini, sehingga keluarannya adalah daftar dampak kerentanan terhadap layanan.
Sumber : Chowdhury, A. A., & Arefeen, S. (2011). Software Risk Management: Importance and Practices. IJCIT.