bab ii landasan teori - library & knowledge...
TRANSCRIPT
8
8
BAB II
LANDASAN TEORI
Pada bab ini akan dijelaskan teori-teori yang terkait sistem
informasi dan perancangan sistem informasi pelaporan kejadian untuk
memonitor risiko operasional di perusahaan. Dimulai dari pengertian dari
sistem informasi, teori manajemen risiko, teori dalam teknik pengumpulan
data, serta teknik dalam analisis dan perancangan sistem informasi.
2.1 Teori Sistem Informasi
Sistem menurut O’brien (O'Brien, 2003) adalah (1)
sekelompok komponen yang bekerjasama menuju tujuan yang
bersama dengan menerima input serta menghasilkan output dalam
proses transformasi yang teratur. Sedangkan Informasi adalah
hasil pengolahan data; yaitu kegiatan yang dilakukan terhadap data
yang diperoleh, misalnya dengan melakukan pengelompokan atau
pembuatan tabulasi, agregasi, kompilasi ataupun pemadanan dalam
rangka memberi arti dan makna yang lebih baik terhadap data agar
9
mudah dimengerti dan dipergunakan. Hal ini dijelaskan pada
gambar 2.1 berikut ini.
Gambar 2.1 Sumber Daya Informasi
Dengan demikian Sistem Informasi adalah suatu integrasi
efektif dari semua subsistem informasi yang berupa hasil penyajian
dan pengolahan data. Sistem informasi yang merupakan
pengelolaan organisasi sering disebut Sistem Informasi
Manajemen. Pengertian Manajemen di sini merupakan segala
kegiatan yang terkait dengan tugas manager; dikenal sebagai fungsi
manajemen, yaitu meliputi kegiatan perencanaan,
pengorganisasian, pelaksanaan, dan pengawasan & evaluasi.
Dengan demikian Sistem Informasi Manajemen adalah suatu
integrasi efektif dari semua subsistem informasi fungsi manajemen
yang menyediakan informasi bagi beberapa pengguna dengan
kebutuhan yang serupa. Sistem informasi manajemen ini dilakukan
dengan memanfaatkan teknologi informasi.
Masukan (Data)
Keluaran (Informasi)
SUMBER DAYA INFORMASI
• Sumber Daya Manusia • Perangkat Keras
Komputer • Perangkat Lunak
Komputer • Fasilitas • Basis Data • Informasi
Pengolahan Informasi
10
10
Dalam kurun waktu lebih dari lima tahun yang lalu,
informasi itu sendiri tidak dianggap sebagai suatu aset penting bagi
suatu perusahaan/organisasi. Pada masa itu proses manajemen
dianggap sebagai hubungan face-to-face, suatu personal art, bukan
koordinasi global. Sekarang, telah dimaklumi bahwa pemahaman
terhadap sistem informasi adalah sesuatu yang sangat esensial bagi
para pemimpin, sebab sebagian besar organisasi memerlukan
sistem informasi agar dapat terus bertahan dan maju.
2.2 Teori Risiko Operasional
2.2.1 Risiko Operasional
Risiko operasional (Karmin, 2010) adalah risiko
kerugian yang timbul secara langsung atau tidak langsung
karena kegagalan atau ketidakcukupan proses internal,
orang dan sistem atau karena kejadian eksternal. Risiko
operasional adalah semua risiko selain risiko pasar dan
risiko kredit. Kerugian risiko operasional terjadi tidak saja
pada industri perbankan, tetapi juga terjadi pada perusahaan
industri, perdagangan dan semua perusahaan dalam sektor
ekonomi lainnya.
Ada lima hal yang merupakan penyebab dari risiko
operasional yaitu: kegagalan proses internal perusahaan,
kegagalan mengelola sumber daya manusia, kegagalan
11
sistem, kerugian yang disebabkan kejadian dari luar
perusahaan atau risiko eksternal dan kerugian karena
pelanggaran hukum yang berlaku. Ada 4 dimensi yang
terdapat dari suatu kejadian (Grinsven, 2009), yaitu :
proses, orang, sistem, dan kejadian eksternal.
Gambar 2.2 Dimensi dari Risiko Operasional
Di dalam menangani risiko operasional, ada
langkah-langkah yang dapat ditempuh dan sudah disusun
dalam Operational Risk Management Cycles.
12
12
Gambar 2.3 Operational Risk Management Cycle
Lima langkah yang ditempuh setelah menentukan tujuan
manajemen risiko (Hussain, 2000) adalah.
a. Identify risks, mengidentifikasi risiko yang dihadapi
perusahaan.
b. Assess the risk, menilai risiko dan menentukan
penyebabnya.
c. Select risk control measures, menentukan ukuran untuk
dijadikan standar kontrol risiko.
d. Implement risk controls, menerapkan kontrol risiko.
e. Monitor and review, memonitor dan mengkaji hasil dari
implementasi.
13
2.2.2 Manajemen Risiko
Manajemen berdasarkan pendapat Robbins et al.
(Robbins & Coulter, 2007) sebagai proses mengkoordinasi
kegiatan-kegiatan pekerjaan sehingga pekerjaan tersebut
terselesaikan secara efisien dan efektif dengan dan melalui
orang lain. Sedangkan seorang manajer adalah seseorang
yang bekerja dengan dan melalui orang lain dengan
mengkoordinasikan kegiatan-kegiatan pekerjaan mereka
guna mencapai sasaran-sasaran organisasi.
The National Institute of Standards and Technology
(NIST) mendefinisikan istilah ancaman, kerentanan dan
manajemen risiko sebagai berikut (Kouns & Minoli, 2010) :
• Ancaman : Aksi atau kejadian di mana jika kita
sadari, akan menghasilkan kerugian, kecurangan,
mengganggu atau kekacauan dari operasi-operasi.
Ancaman selalu ada dan tingkat dari munculnya
ancaman tidak dapat dikontrol. Sehingga,
perlindungan teknologi informasi harus dirancang
untuk menghindari atau meminimalkan dampak
tersebut terhadap sistem TI.
• Kerentanan : Kelemahan dari lingkungan sistem
teknologi informasi, sehingga ancaman dapat
memanfaatkan kerentanan untuk mempengaruhi
14
14
sistem TI. Safeguards digunakan untuk mitigate
atau menghilangkan kerentanan.
• Manajemen Risiko : proses di mana ancaman,
kerentanan dan dampak dari kejadian dievaluasi
dengan mempertimbangkan biaya dari perlindungan
sistem tersebut. Ini adalah proses penilaian risiko
yang berkelanjutan terhadap sumber daya TI dan
informasi, sebagai bagian dari pendekatan berbasis
risiko yang digunakan untuk menentukan tingkat
keamanan untuk sebuah sistem, dengan
menganalisis ancaman dan kerentanan dan memilih
kontrol yang tepat dalam mencapai dan memelihara
tingkat penerimaan risiko. Tujuan dari manajemen
risiko adalah untuk meyakinkan bahwa semua aset
TI sudah diberikan perlindungan dalam melawan
kerugian, kecurangan, mengganggu atau kekacauan
dari operasi-operasi.
Pada taksonomi manajemen risiko (Kouns &
Minoli, 2010), diawali sistem manajemen risiko, kebijakan
manajemen risiko, kerangka kerja manajemen risiko dan
proses manajemen risiko yang dibagi menjadi 5 kategori :
15
- Risk Communication and Consultation
- Establishing The Context
- Risk Assessment
- Risk Treatment
- Risk Management Review
Berikut adalah gambar susunan taksonomi dalam
manajemen risiko.
16
16
Gambar 2.4 Taksonomi Manajemen Risiko (Kouns & Minoli, 2010)
17
Peran kunci/ orang yang seharusnya mendukung
dan partisipasi dalam proses manajemen risiko
(Stonebumer, Goguen, & Feringa, 2002); antara lain :
• Senior Management
• Chief Information Officer (CIO)
• System and Information Owners
• Business and Functional Managers
• ISSO (Information System Security Office)
• IT Security Practitioners
• Security Awareness Trainers (Security Subject Matter
Professionals)
2.2.3 Risk Mapping and Response
Risiko adalah suatu potensi akan kehilangan atau
berkurangnya kesempatan untuk memperoleh keuntungan
yang disebabkan oleh faktor-faktor yang bertentangan
dalam pencapaian tujuan perusahaan. (Wagner & Layton,
2007)
Risiko hanya dapat muncul jika ada keterlibatan dari 3
komponen (Yazar, 2002), yaitu : Aset, Ancaman dan
Kerentanan. Dan dapat dirumuskan:
18
18
Risiko = Aset x Ancaman x Kerentanan
Gambar 2.5 Risiko Muncul dari Asset, Ancaman dan Kerentanan
(Yazar, 2002)
Risk analysis (Peltier, 2005) adalah identifikasi dan
menilai faktor yang dapat mengancam keberhasilan dari
sebuah proyek atau pencapaian sebuah tujuan.
Sebuah perusahaan memiliki 2 jenis risiko
(Grinsven, 2009), yaitu financial risk dan non-financial
risk. Skema di bawah ini adalah taksonomi risiko dari
sebuah perusahaan dilihat dari sisi finansial.
Gambar 2.6 Taksonomi Risiko Sebuah Perusahaan
19
Kaitan antara dampak dan probabilitas, dapat
dipetakan risiko pada perusahaan. Dapat dilihat pada
gambar di bawah ini.
Gambar 2.7 Risk Mapping dan Response (Collier, 2009)
2.2.4 Risk Appetite
Risk Appetite (Collier, 2009) adalah jumlah risiko
organisasi yang tersedia menerima tuntutan nilai. Hal ini
langsung berkaitan dan dapat dinyatakan sebagai diterima
keseimbangan antara pertumbuhan, risiko dan return. Risk
appetite dapat dilakukan eksplisit dalam organisasi,
kebijakan strategi dan prosedur, dan dalam sistem kontrol
ini juga mungkin implisit, perlu diturunkan dan analisis
organisasi keputusan dan tindakan.
20
20
2.2.5 Risk Mitigation Strategy
Berikut adalah diagram dalam strategi penentuan
suatu risiko apakah perlu dimitigasi atau tidak.
Gambar 2.8 Risk Mitigation Strategy
(Stonebumer, Goguen, & Feringa, 2002)
Risk mitigation (Stonebumer, Goguen, & Feringa,
2002), adalah proses manajemen risiko yang melibatkan
prioritas, evaluasi dan implementasi pengontrolan yang
direkomendasi dari proses penilaian risiko (risk assessment)
untuk mengurangi risiko. Risk mitigation merupakan
metodologi sistematik yang digunakan oleh senior
management untuk mengurangi risiko misi. Adapun pilihan
yang dapat dipilih dari risk mitigation, antara lain :
21
• Risk Assumption
Menerima risiko dan terus beroperasi dengan sistem
dan menetapkan kontrol untuk mengurangi risiko
sampai tingkat risiko bisa diterima.
• Risk Avoidance
Mencegah risiko dengan menghilangkan penyebab
risiko ataupun dampak dari risiko tersebut.
• Risk Limitation
Membatasi risiko dengan menetapkan kontrol yang
dapat meminimalisir dampak negatif dari ancaman yang
terkait dengan kerentanan di perusahaan.
• Risk Planning
Mengatur risiko dengan mengembangkan rencana yang
memberikan prioritas, implementasi dan memelihara
kontrol-kontrol.
• Research and Acknowledgment
Menurunkan kerugian dari risiko dengan mengetahui
kerentanan atau kerusakan dan mencari cara untuk
menutupi kerentanan atau memperbaiki kerusakan
tersebut.
22
22
• Risk Transference
Mentransfer risiko dengan menggunakan pilihan lain
untuk mengkompensasi kerugian, seperti asuransi.
2.2.6 Risk Management Software
Memanfaatkan teknologi untuk membangun dan
memantau program ERM(Enterprise Risk Management)
dapat membantu organisasi (Marchetti, 2007):
• Secara terus-menerus memonitor risiko dan kontrol.
• Integrasi dan menghubungkan risiko dan kontrol.
• Mengikuti proses remediasi
• Integrasi audit dan menjamin aktivitas
• Menyebarluaskan informasi penilaian risiko di seluruh
organisasi.
2.2.7 Kriteria Program Manajemen Risiko Berhasil
Adapun kriteria-kriteria bahwa suatu program
manajemen risiko dikatakan sukses adalah sebagai berikut
(Stonebumer, Goguen, & Feringa, 2002).
1. Sesuai dengan komitmen senior management
2. Didukung penuh dari divisi teknologi informasi (TI)
23
3. Kemampuan tim manajemen risiko, di mana harus ahli
dalam menjalankan metodologi penilaian risiko (risk
assessment)
4. Kesadaran dan kerjasama dari para pengguna dalam
menjalankan prosedur yang dirancang.
5. Evaluasi risiko secara berkala.
2.3 Teknik Pengumpulan Data
Wawancara menurut Sugiyono (Sugiyono, 2002) dilakukan
sebagai teknik pengumpulan data, apabila peneliti hendak
melakukan studi pendahuluan untuk menemukan permasalah yang
harus diteliti, dan juga apabila peneliti ingin mengetahui hal-hal
dari responden yang lebih mendalam dan jumlah respondennya
sedikit/kecil.
Observasi menurut Sugiyono (Sugiyono, 2002) merupakan
teknik pengumpulan data yang mempunyai ciri spesifik, karena
tidak terbatas pada orang, tetapi juga objek-objek lainnya. Teknik
ini digunakan bila penelitian berkenaan dengan perilaku manusia,
proses kerja, gejala-gejala alam dan bila responden yang diamati
tidak terlalu besar.
24
24
2.4 Analisis SWOT
Analisis SWOT (Ho, Wuryaningtyas, Ronald, &
Kumaradjaja, 2008) adalah evaluasi menyeluruh terhadap
kekuatan, kelemahan, peluang, dan ancaman dari sebuah
perusahaan untuk merumuskan strategi perusahaan. Analisis
didasarkan pada logika yang dapat memaksimalkan kekuatan dan
peluang, namun secara bersamaan dapat meminimalkan kelemahan
dan ancaman. Proses pengambilan keputusan stratejik selalu
berkaitan dengan pengembangan misi, tujuan, strategi, dan
kebijakan perusahaan. Dengan demikian, perencanaan strategis
harus menganalisis faktor strategis perusahaan dalam kondisi yang
ada saat ini. Hal itu disebut dengan analisis situasi. Model yang
paling popular untuk analisis situasi adalah analisis SWOT.
Menurut David (David, 2001) bahwa matriks SWOT
merupakan perangkat pencocokan yang penting membantu manajer
mengembangkan empat tipe strategi:
1. Strategi SO(Strengths-Opportunities)
Pada strategi ini menggunakan kekuatan internal
organisasi untuk memanfaatkan peluang eksternal.
Organisasi umumnya akan menjalankan strategi WO, ST,
atau WT supaya mereka dapat masuk ke dalam situasi di
mana mereka dapat menerapkan strategi SO. Pada saat
25
organisasi memiliki kelemahan besar, perusahaan akan
berusaha keras untuk mengatasinya dan membuatnya
menjadi kekuatan. Kalau menghadapi ancaman besar,
sebuah organisasi akan berusaha menghindarinya agar
dapat memusatkan perhatian pada peluang.
2. Strategi WO (Weakness-Opportunities)
Strategi ini bertujuan untuk memperbaiki kelemahan
dengan memanfaatkan peluang eksternal. Kadang-kadang
peluang eksternal yang besar ada, tetapi kelemahan
internal sebuah perusahaan membuatnya tidak mampu
memanfaatkan peluang tersebut.
3. Strategi ST (Strength-Threats)
Strategi ini menggunakan kekuatan perusahaan untuk
menghindari atau mengurangi dampak eksternal. Hal ini
tidak berarti bahwa organisasi yang kuat pasti selalu
enghadapi ancaman frontal dalam lingkungan eksternal.
4. Strategi WT (Weaknesses-Threats)
Strategi ini merupakan taktik defensif yang diarahkan
untuk mengurangi kelemahan internal dan menghindari
ancaman eksternal. Jika posisi organisasi dihadapkan
pada berbagai ancaman eksternal dan kelemahan internal,
sesungguhnya organisasi tersebut dalam posisi yang
26
26
berbahaya. Perusahaan ini harus berjuang untuk dapat
bertahan atau melakukan merger, rasionalisasi,
menyatakan pailit atau memilih dilikuidasi.
Matriks SWOT terdiri dari Sembilan sel, yang terdiri dari
empat faktor kunci, empat sel strategi, dan satu sel yang dibiarkan
kosong. Empat sel strategi (SO, WO, ST, dan WT) dikembangkan
setelah menyelesaikan empat sel faktor kunci (S, W, O, dan T).
Delapan langkah yang diperlukan untuk menyusun matriks SWOT:
1. Tulis peluang eksternal kunci perusahaan
2. Tulis ancaman eksternal kunci perusahaan
3. Tulis kekuatan internal kunci perusahaan
4. Tulis kelemahan internal kunci perusahaan
5. Cocokan kekuatan internal dengan peluang eksternal
dan catatlah strategi SO dalam sel yang sudah
ditentukan
6. Cocokan kelemahan internal dengan peluang eksternal
dan catatlah strategi WO dalam sel yang sudah
ditentukan
7. Cocokan kekuatan internal dengan ancaman eksternal
dan catatlah strategi ST dalam sel yang sudah
ditentukan
27
8. Cocokan kelemahan internal dengan ancaman eksternal
dan catatlah strategi WO dalam sel yang sudah
ditentukan.