4.1. Manajemen Resiko_rev21012013

Manajemen Resiko

Definisi
• Aset:
Properti organisasi atau personel, dapat dirasakan atau
tidak yang dimiliki oleh organisasi atau individual yang
dapat diberikan nilai moneter. Properti yang tidak dapat
dirasakan seperti goodwill, informasi penting, dan
properti yang terkait.
• Resiko:
Kemungkinan dari kerugian yang dihasilkan dari
ancaman, insiden atau kejadian yang berdampak pada
keamanan.

Definisi
• Ancaman:
Keadaan dan atau kegiatan yang mengarah pada
suatu kerugian berupa kehilangan, kerusakan, dan atau
luka sebagai indikasi dari sesuatu yang tidak sesuai yang
disebabkan oleh sumberdaya internal atau eksternal.
• Management Resiko:
Pendekatan terstruktur untuk mengelola ketidakpastian
sehubungan dengan ancaman, melalui serangkaian
aktifitas manusia termasuk : pengelolaan resiko, strategi
pengembangan, dan mitigasi resiko yang menggunakan
sumberdaya manajerial.

Definisi
• Kerawanan:
Kelemahan atau kekurangan pengendalian keamanan
pada fasilitas, operasional, personil, suatu perusahaan
yang dapat dieksploitasi sehingga menimbulkan kerugian
• Mitigasi:
Upaya pengendalian yang dilakukan untuk mengurangi
tingkat resiko

Definisi
• Penilaian Resiko (Risk Assessment):
Proses penilaian tingkat keamanan yang berkaitan
dengan ancaman dari dalam dan luar terhadap aset-aset
organisasi.
“Risk Assessment”
Seven Steps General Security Risk Assessment
(American Society for Industrial Security, ASIS)

Tahapan Manajemen Risiko
1. Identifikasi Aset
2. Kejadian Kerugian
3. Frekuensi Kejadian
4. Dampak dari Kejadian
5. Pilihan untuk Mitigasi
Diantisipasi atau
perubahan secara aktual
6. Kelayakan dari Pilihan
7. Analisa Biaya & Keuntungan
PENILAIAN ULANG
KEPUTUSAN

1. Identifikasi Aset
Aset
Tangible
Intangible
Orang
Properti
Inti Bisnis
Jaringan
Informasi
karyawan,
penyewa,
pemasok, tamu,
pasien, ,dll
Tanah, gedung,
bahan baku, cash
(tangible),
(intangible)
bisnis utama,
reputasi, dan
kebijakan
semua sistem,
infrastruktur,
perlengkapan,
komputerisasi
Tipe-tipe
variasi data

2. Menetapkan Tingkat Kerawanan
2.1 Sumber data untuk menentukan kerawanan:
a. Kriminal
b. Non Kriminal (bencana yang disebabkan manusia
atau alam)
c. Dampak buruk dari perusahaan lain (terkait dengan
aktifitas ilegal, maka akan merusak reputasi
perusahaan dan afiliasinya; supplier, distributor,
mitra kerja, dll.

2. Menetapkan Tingkat Kerawanan
a. Kriminal
seperti pencurian, sabotase, persaingan bisnis tidak
sehat, korupsi, penipuan, hacker, virus, penyadapan
informasi.
Sumber data/informasi yang dapat digunakan:
1. Statistik kriminal kepolisian
2. Publikasi laporan kriminal dari lembaga hukum
lainnya
3. Dokumen internal organisasi, contoh laporan
insiden keamanan
4. Komplain utama dari karyawan, pelanggan, tamu,
pengunjung, dll

2. Menetapkan Tingkat Kerawanan
5. Gugatan/klaim utama masyarakat tentang
pengamanan yang tidak sesuai
6. Intelijen lokal, negara, atau penegakan hukum
nasional tentang potensi ancaman
7. Informasi industri terkait tentang trend kriminalitas
8. Kondisi ekonomi area secara umum
9. Kehadiran pusat kriminal, seperti adanya klub
malam, pusat tuna wisma, perjudian.
10. Kondisi terkini standar pengamanan organisasi

2. Menetapkan Tingkat Kerawanan
b. Non Kriminal
Non Kriminal
Alam
Manusia
Angin topan, tornado,
badai, gempa bumi, air
pasang, halilintar,
kebakaran
Mogok kerja, kecelakaan
lalu-lintas, unjuk rasa.

3. Menetapkan Frekuensi Kejadian
Pertimbangan kemungkinan resiko terjadinya
kerugian di masa yang akan datang:
1. Data di lokasi kerja
2. Kejadian sebelumnya
3. Kondisi lingkungan
4. Prediksi saat ini
5. Lokasi geografis
6. Kondisi politik, sosial, ekonomi

Tabel.1 Peluang/Kemungkinan
Tingkatan Kriteria Penjelasan
A
B
C
D
E
Almost certain
/Hampir pasti
Likely
/Kemungkinan besar
Moderate
/Sedang
Unlikely
/Kecil kemungkinannya
Rare
/Jarang sekali
Suatu kejadian akan terjadi pada semua
kondisi/setiap kegiatan yang dilakukan.
Suatu kejadian mungkin akan terjadi
pada hampir semua kondisi
Suatu kejadian akan terjadi pada
beberapa kondisi tertentu.
Suatu kejadian mungkin terjadi pada
beberapa kondisi tertentu, namun kecil
kemungkinan terjadinya
Suatu insiden mungkin dapat terjadi
pada suatu kondisi yang khusus/luar
biasa/setelah bertahun-tahun.
AS/NZS 4360 : 1999

4. Menentukan Akibat dari Suatu
Kejadian
Organisasi mempertimbangkan seluruh potensi biaya,
langsung dan tidak langsung, keuangan, psikologi, dan
akibat tidak tampak atau tersembunyi dalam suatu resiko
kejadian yang berdampak merugikan perusahaan.

Tabel.2 Akibat
Tingkatan Kriteria Penjelasan
1 Tidak diketahui Sebelum prioritas ditetapkan, kehilangan
telah digantikan bersamaan dengan
pergantian keempat prioritas lainnya.
2 Relatif tidak penting Kehilangan yang akan dianggarkan pada
pengeluaran operasional normal selama
periode yang masih berlangsung
3 Serius Kehilangan yang sangat berdampak
pada pendapatan dan memerlukan
perhatian manjemen senior eksekutif
4 Sangat Serius Kehilangan yang dapat mengakibatkan
perubahan besar dalam kebijakan
investasi dan berdampak besar pada
keseimbangan aset
5 Fatal Kehilangan yang dapat mengakibatkan
rekapitalisasi atau ketidakberlangsungan
jangka panjang

Keterangan Keterangan :
Tabel.3 Matriks Penilaian Risiko
Peluang
Akibat
1 2 3 4 5
A H H E E E
B M H H E E
C L M H E E
D L L M H E
E L L M H H
Keterangan:
E
H
M
L
Extreme Risk/Risiko Ekstrim, memerlukan penanganan/tindakan segera
High Risk/Risiko Tinggi, memerlukan perhatian pihak senior manajemen
Moderate Risk, harus ditentukan tanggung jawab manajemen terkait
Low Risk/Risiko Rendah, kendalikan dengan prosedur rutin

5. Pilihan untuk mitigasi
• Pilihan secara teoritis meliputi:
1. Tindakan-tindakan Pengamanan:
Peralatan/perangkat keras
Kebijakan dan prosedur
Praktek manajemen
2. Pilihan lainnya (resiko keuangan):
Pengalihan resiko pada asuransi
Pengaturan dalam kontrak
Penerimaan resiko yang sederhana

6. Studi Kelayakan atas Pilihan yang
Ditetapkan
• Tujuannya:
Menemukan keseimbangan antara strategi
pengamanan yang diterapkan dengan kebutuhan
usaha dan aspek psikologinya.

7. Analisa Biaya dan Keuntungan
• Tujuannya:
Menemukan besaran biaya aktual dari implementasi
dibandingkan dengan proporsi dari implikasi biaya.
• Contoh:
Tidaklah masuk akal untuk mengeluarkan biaya Rp
100.000.000,00 untuk membeli peralatan
pengamanan dalam rangka pencegahan pencurian
aset senilai Rp 10.000.000,00.

Tabel Penilaian Resiko
No Aktivitas Aset Fungsi Kritis Ancaman Pengendalian Kerawanan Kemungkinan Dampak
Level
Resiko
1 2 3 4 5 6 7 8 9 = 8x7
Jenis
aktivitas
Nama aset
Fungsi
kritisnya apa
saja?
Ancaman
nya apa?
Pengendalian
ancaman yang
sudah ada
seperti apa
saja?
Potensi
ancaman
dari
pengendalian
yang sudah
ada
Kemungkinan
terjadinya
ancaman
(scoring based)
Dampak
dari
terjadinya
ancaman
(scoring
based)
Tingkatan
resiko
yang
terjadi
1
2
3
4
5
Dst
.