Risiko atau Risk dalam organisasi sering disandingkan dengan sebuah kesempatan sehingga risiko dan kesempatan bagaikan mata uang dengan sisi yang berbeda. Semua perusahaan harus melakukan pengelolaan risiko agar tujuan organisasi dapat tercapai. IT merupakan bagian dari organisasi, tentunya memiliki risiko-risiko baik dalam bentuk aset, proses bisnis, tentunya akan menjadi risiko dari bisnis.
Beberapa framework risiko yang dikenal di dunia IT antara lain Risk IT – ISACA, COSO, ISO 31000, ISO 27005 dan framework lain yang digunakan untuk IT. Pendekataan IT oleh ISACA dikenal dengan 3 domain pengelolaan resiko, terkait dengan Governance, Evaluasi dan Respon. Ketiga domain ini dikombinasikan dan dikomunikasikan untuk bisa mengelola resiko. Framework lain yang cukup terkenal adalah COSO dengan delapan pengelolaan komponen risiko, konteksnya adalah terkait dengan sifat dasar strategic, operasional, operasional dan compliance komponen tersebut dikelola berdasarkan level-level disisi enterprise atau sampai bisnis unit proses.
Dalam ISO 31000 juga menggunakan framework tersebut untuk standar-standar implementasi ISO baik oleh Sistem Manajemen Mutu Umum maupun sistem manajemen pengelolaan IT baik IT Service Management ataupun IT Security.
Lalu, apa sajakah prinsip yang dimiliki oleh manajemen risiko?
- Prinsip Pengelolaan Risiko akan melindungi dan menciptakan nilai-nilai yang akan menjadi sasaran objektif atau perusahaan
- Bagian yang terintegrasi dengan keseluruhan proses dalam organisasi, sehingga semua proses harus dievaluasi untuk mengetahui risiko-risiko yang ada pada setiap proses
- Bagian dari proses pengambilan keputusan
- Memperhitungkan ketidakpastian. Dalam setiap bisnis pengembangan sistem dan infrastruktur tentu memiliki risiko-risiko. Terdapat ketidakpastian dalam setiap proses pengembangan sistem maupun sebuah proses.
- Dibangun melalui pendekatan yang sistematis, terstruktur, dan tepat waktu agar dapat berkontribusi secara efisien dan secara konsisten menghasilkan keluaran yang dapat diperbandingkan dan diandalkan
- Membutuhkan ketersediaan informasi yang memadai seperti data historis, pengalaman perusahaan, umpan balik dari pemangku kepentingan, observasi, dan penilaian ahli sehingga para pengambil keputusan dapat meyakini bahwa keputusannya telah memperhitungan semua informasi yang tersedia pada waktu keputusan tersebut dibuat
- Membutuhkan kustomisasi sesuai dengan konteks -baik internal maupun eksternal- dan profil risiko inheren organisasi tersebut.
- Memperhitungkan faktor manusia dan budaya yang merupakan bentuk kapabilitas dari suatu organisasi dalam mencapai obyektifnya
- Transparan dan inklusif melibatkan semua pemangku kepentingan dalam menentukan kriteria risiko
- Dinamis, berulang, dan respons terhadap perubahan kejadian baik internal maupun eksternal
- Memfasilitasi pengembangan berkelanjutan dari sebuah organisasi diukur dari tingkat maturitasnya untuk memastikan bahwa proses risiko dikelola dengan baik
Bagaimana proses manajemen risiko?
Dalam proses manajemen risiko setelah dilakukan sebuah konteks maka dilanjutkan proses assessment risiko. Tahap awal tentunya dengan identifikasi risiko, selanjutnya analisis risiko dan evaluasi hasil risiko. Tahap terakhir melakukan treatment terhadap risiko-risiko yang sudah teridentifikasi dan tidak bisa diterima oleh organisasi. Bagaimana proses assessment risiko dapat berjalan efektif? Jawabannya adalah Harus adanya proses komunikasi dan monitoring yang selalu dilakukan secara berkala.
Dari semua risiko yang sudah teridentifikasi maka harus dilakuakan treatment terhadap risiko-risiko tersebut. Beberapa pilihan risiko yang dilakukan oleh organisasi terkait dengan risiko-risiko yang sudah diidentifikasi. Dimulai dari Risk Modification, Risk Retention, Risk Avoidance dan Risk Sharing.
Setelah organisasi melakukan assessment kemudian mengetahui bagaimana melakukan treatment terhadap risiko-risiko tersebut. Dengan begitu diharapkan organisasi dapat mencapai sasaran objektif sesuai dengan yang diharapkan.
Oleh : Andrianto Moeljono, MM, CLA 9001, CLA 2700, Managing Director Proxsis IT