Manajemen Resiko

Dalam Daur Hidup BPM

Diterjemahkan dari artikel Michael zur Muehlen, Danny Ting-Yi Ho,
Risk Management in the BPM Lifecycle
Rinda Cahyana

ABSTRAK
Business Process Management (BPM) merupakan strategi penting dalam membuat dan
memelihara hasil kompetitif. Perhatian sejumlah peneliti terhadap resiko dalam proyek
tertentu sangat sedikit sekali. Mereka lebih berkeinginan untuk mengidentifikasi factor
sukses kritis dari manajemen proses bisnis dari proyek tersebut. Sekalipun proyek BPM
meliputi fase yang terkait dengan pembangunan dan pengembangan perangkat lunak,
strategi manajemen resiko ditemukan pada kerekayasaan perangkat lunak. Artikel ini akan
memperlihatkan resiko yang berhubungan dengan proyek BPM sepanjang fase daur hidup
(lifecycle) BPM. Setelah klasifikasi resiko ditemukan dalam setiap fase daur hidup dan
transisinya, selanjutnya akan didiskusikan empat strategi untuk menghadapi resiko tersebut:
penghidanran (avoidance), pengurangan (mitigation), pemindahan (transfer), dan
penerimaan (acceptance). Pandangan jauh dari artikel ini adalah mendiskusikan bagaimana
framework penilaian seperti CobIT dan COSO berhubungan dengan identifikasi resiko.

PENDAHULUAN
BPM adalah daur hidup proses penemuan, penentuan, implementasi, eksekusi, pengawasan,
dan pengendalian. Resiko mengancam kesuksesan proyek proses bisnis, sebagaimana
dijelaskan dalam [2, 3]. Dalam studinya Grover menyebutkan bahwa 7 dari 10 proyek proses
bisnis gagal [1]. Maka diperlukan pemahaman tentang penyebab kegagalan dalam proyek
tersebut.
Artikel ini akan dijelaskan resiko yang ada di dalam proyek BPM di sepanjang daur hidup
BPM. Selanjutnya akan didiskusikan pilihan bagi manajer proyek BPM untuk menghadapi
resiko tersebut berdasarkan 4 strategi manajemen resiko. Pada bagian akhir akan diuraikan
peran framework yang ada seperti COSO dan CobIT dalam mengidentisikasi resiko dan
merencanakan mitigasinya.
PEMBAHASAN
1. Business Process Management
Zairi dan Sinclair menyatakan bahwa BPM adalah a structured approach to analyze and
continually improve fundamental activities such as manufacturing, marketing,
communication and other major elements of a companys operations [5]. Elzinga et al.
menegaskan bahwa tidak perduli bagaimana peningkatan berkelanjutan dilakukan, tetapi
harus berdasarkan kepada kualitas produk dan layanan yang akan dievaluasi oleh pelanggan.
Oleh sebab itu mereka mendefinisikan bahwa BPM adalah a systematic, structured
approach to analyze, improve, control, and manage processes with the aim of improving the
quality of products and services [6] . Harmon menguatkan gagasan ini [7]: BPM refers to
aligning processes with the organization's strategic goals, designing and implementing
process architectures, establishing process measurement systems that align with
organizational goals, and educating and organizing managers so that they will manage
processes effectively.
Pekerjaan inti dari BPM adalah membuat pelurusan di antara setiap komponen proses:
Masukan, Keluaran, Sumber Daya, Struktur Proses, dan Tujuan Proses. Jika pelurusan
dicapai, daya guna (performance) dari keseluruhan proses organisasi meningkat baik dari sisi
kualitas (seperti berkurangnya pemborosan waktu dan idle) dan kuantitas (seperti
pendeknya waktu daur, cepat menyesuaikan dengan perubahan lingkungan) prosesnya.
Pendekatan iterative dalam bentuk daur hidup manajemen proses berkelanjutan membantu
organisasi untuk mencapai, memelihara, dan meningkatkan kualitas prosesnya. Daur hidup
tersebut seperti tampak pada gambar 1.
Kegunaan dari fase desain / perancangan adalah mengidentifikasi proses organisasai yang
diharapkan dapat dianalisa, dirancang ulang, dan atau diotomatisasi. Rincian dari proses
tersebut ditetapkan dan dipetakan menggunakan metode pemodelan semi formal. Sebelum
proses dirancang atau dirancang ulang, sangat perlu untuk mengidentifikasi dan
menjelaskan variable yang akan mempengaruhi proses perancangan. Secara internal,
variable tersebut meliputi maksud dan kegunaan dari proses, pengetahuan tentang batasan
proses, dan pengaruhnya bagi organisasi. Variable eksternal merefleksikan stackholder luar

seperti penyedia, pelanggan, competitor, pemerintah. Kelengkapan rincian tujuan dan

analisa organisasi mendefinisikan parameter dan batasan bagi proses perancangan ulang.

Gambar 1. Daur Hidup BPM

Selama fase implementasi, proses yang telah ditetapkan dipetakan ke dalam lingkungan
operasional apakah dengan cara manual (seperti melalui buku pedoman prosedur) ataupun
otomatis (seperti melalui perangkat lunak BPM atau workflow). Pada akhirnya, proses
dieksekusi dan diawasi secara real time. Untuk tujuan pengendalian proses, audit yang
dihasilkan dari tahap process enactment dan monitoring dapat digunakan dalam tahapan
evaluasi ini.
2. Resiko dan Manajemen Resiko
Dalam teori pembuatan keputusan klasik, resiko diartikan sebagai reflecting variation in the
distribution of possible outcomes, their likelihoods, and their subjective values [8]. Dengan
definisi ini, resiko dapat diekpresikan secara matematis sebagai, the probability of
occurrence of loss/gain multiplied by its respective magnitude. [20] Lembaga manajemen
proyek mendefinisikan resiko sebagai an uncertain event or condition that, if it occurs, has a
positive or negative effect on a project objective [23]. Sejak resiko dihubungkan dengan
hasil yang negative [8] perbedaan antara resiko dan masalah menjadi tidak jelas. Charette
menyatakan bahwa resiko adalah bukan masalah, tapi pada kebanyakan masalah potensial

mungkin dihasilkan oleh pembuatan keputusan tidak lengkap (sebagian). Oleh karena itu
disebutkan, risk is the probability of unwanted consequences of an event and decision [10].
Kegunaan dari manajemen resiko adalah untuk reduce or neutralize potential [risks], and
simultaneously offer opportunities for positive improvement in performance. [22].
Framework manajemen resiko umum disusun oleh 3 fase tindakan utama: identifikasi,
analisis, dan pengendalian [3]. Resiko disebabkan karena bermacam ketidakpastian [12],
karena itu tidak mudah untuk menggambarkan resiko secara akurat. Salah satu cara
identifikasi resiko adalah dengan melihat karakteristik resiko seperti pengaruh,
kemungkinan, kerangka waktu, dan keterhubungannya dengan resiko lainnya [12]. Empat
strategi resiko yang diusulkan dalam sejumlah literatur antara lain mitigation [13],
avoidance, transfer, dan acceptance / assumption [14]. Ringkasan ringasan dari rincian
strategi tersebut dapat dilihat pada table 1.
2.1. Taksonomi Umum Resiko Dalam Proyek Enterprise
Ide tentang resiko dalam enterprise ditemukan pada sejumlah literatur akademik.
Taksonomi resiko dalam enterprise yang paling popular adalah dengan melihat kepada
konteks resiko. Biasanya, entitas bisnis selalu terancam oleh resiko natural, resiko manusia,
dan resiko lingkungan [14]. Hal yang sama, dalam bidang proyek BPM, resiko dapat
dikategorikan kedalam tiga kelompok: resiko manusia, resiko manajemen, dan resiko teknis
[3]. Sementara itu, sumber daya organisasi/manusia dan teknologi informasi (TI) merupakan
dua enabler utama dari inovasi proses [15]. Enabler tersebut dapat menimbulkan pengaruh
negative bagi bisnis jika mereka tidak dikelola dengan baik.
Dalam modelnya tentang factor resiko dalam implementasi sistem enterprise, Scott dan
Vessey menambahkan konteks bisnis eksternal ke dalam factor resiko [16]. Dalam suatu
penelitian disebutkan bahwa konteks umum resiko diturunkan ke dalam kelompok kecil:
campuran keahlian, strategi dan struktur manajemen, desain perangkat lunak sistem,
keterlibatan dan pelatihan pengguna, perencanaan teknologi, manajemen proyek, dan
komitmen social [17].
Tabel 1. Strategi Manajemen Resiko
STRATEGI
MANAJEMEN
RESIKO
Mitigation

DEFINISI

Untuk mengurangi kemungkinan resiko

dan/atau dampaknya. Pembatasan
resiko membantu pada implementasi
control yang memperkecil pengaruh
dari resiko yang terjadi, tetapi tidak
meredakannya.

CONTOH

Standarized process
routing

Formalized exception
handling

Complete kit
processing

Collaboration, check
and Balance

Avoidance

Untuk menghilangkan kemungkinan

adanya resiko tertentu sebelum terjadi.

Process design

Transfer

Untuk menggeser resiko atau

konsekuensi yang disebabkan karena
resiko dari satu bagian ke bagian yang
lain. Juga sering disebut sebagai risk
sharing.

Process outsourching

Insurance policies

Untuk menyesuaikan diri dengan resiko

tatkala resiko menjadi masalah.
Pembuatan risk contingency plan
diperlukan pada strategi ini.

Adaptation to
regulatory
requirement

Acceptance /
Assumption

2.2. Resiko Khusus Pada Proyek BPM

Daur hidup sebagaimana nampak pada gambar 1 merupakan gambaran strategi manajemen
proses berkelanjutan yang ideal, namun pada saat pelaksanaannya sejumlah resiko muncul
dan perlu dikelola. Sejumlah resiko muncul di dalam fase daur hidup, dan yang lainnya
muncul pada transisi dari dua resiko.
Tabel 2 menunjukan resiko yang terdapat pada sebuah fase atau di antara dua fase. Secara
umum resiko muncul karena: 1) Ketidaksesuaian metode yang dikerjakan dalam fase daur
hidup proses yang berbeda, 2) Kekurangjernihan tentang siapa yang bertanggung jawab atas
setiap fase atau hasilnya, dan 3) Ketidaksesuaian desain proses, otomatisasi, dan hasil
evaluasi. Manajer proyek BPM harus memperhatikan setiap wilayah tersebut.
Tabel 2. Contoh Resiko Pada BPM
FASE
Analisis

Analisis ke Desain

Desain

RESIKO

Analisa dilakukan tanpa berlandaskan tinjauan strategis.

Gagal dalam mendefinisikan hasil/nilai proses dalam bahasa

yang difahami oleh stakeholder

Perhatian berlebih pada variable teknis

Gagal dalam menghubungkan

organisasi dengan analisa.

Metode gagal dalam memetakan hasil analisa ke model

proses

Kehilangan informasi selama proses pemetaan.

Implementasi multiple modeling technologies

Kekurangan / ketiadaan komunikasi antara desainer proses

dengan stakeholder proses.

sistematika

resiko

Desain ke
implementasi

Implementasi

Eksekusi

Pengawasan

Desainer mengabaikan perspektif organisasi dari desain

Mekanisme penanganan resiko terlewatkan dalam desain

Penerjemahan yang salah dari model proses ke rencana

implementasi.

Ketidaksesuaian metode perancangan dengan metode /

perspektif implementasi.

Kekurangan tinjauan
implementasi.

Level manajemen kurang cukup pengetahuan tentang

manajemen proses.

Terlalu focus pada isu teknis

Model yang dirancang tidak dapat diterapkan pada

infrastruktur yang ada.

Model yang dirancang tidak dapat diterapkan pada struktur

organisasi yang ada.

Gagal dalam merelokasikan sumber daya.

Gagal dalam menyusun ulang / menempatkan kembali

peran dan tanggung jawab terhadap stakeholder proses.

Stakeholder proses menerima proses dan peran baru tanpa

melihat kepada desainnya.

Penolakan dari stakeholder untuk menjalankan kegiatan

orientasi proses.

Stakeholder merasa tidak nyaman dalam kepemimpinan

orientasi proses.

Stakeholder terlalu lama dalam beradaptasi dengan gaya

kerja orientasi proses.

Stakeholder gagal membangun kolaborasi di antara divisi.

Gagal dalam komunikasi di antara stakeholder.

Komposisi stakeholder berubah selama berjalan.

Sistem tidak stabil dalam lingkungan berjalan.

Penyedia layanan tidak ada

Peraturan baru yang menyebabkan proses dianggap illegal.

Kekurangan dalam strategi pengawasan, perencanaan,

tujuan, dan metode.

Stakeholder/aturan melarang transparansi proses

Informasi cacat yang dihasilkan oleh stakeholder

Ketiadaan kebijakan saringan informasi yang tepat.

level

atas

(eksekutif)

dalam

Pengawasan dan
eksekusi ke
pengendalian

Pengendalian

Pengendalian ke
perancangan

Pengawasan tanpa perspektif kualitatif (misal: numerical

focus)

Sasaran hasil pengawasan berbeda dengan sasaran hasil

desain

Gagal dalam menerjemahkan bahan data audit ke dalam

informasi yang berguna.

Kekurangan manajemen dalam menyatukan sejumlah

saluran informasi.

Campur tangan manusia yang tidak terlacak dalam proses

Gagal dalam melaporkan isu kritis

Ketiadaan standar untuk kebijakan evaluasi / metode

Sasaran hasil pengendalian berbeda dengan sasaran hasil

desain proses.

Kesalahfahaman terhadap data audit

Hilangnya hubungan data audit ke data bisnis

Gagal dalam menghubungkan evaluasi ke strategis dan

variable eksternal.

Kekurangan dalam definisi mekanisme feedback

Ketidaksanggupan dalam mengenali masalah dari evaluasi.

Gagal mendapatkan contingency plan dari evaluasi

Pengendalian dan peningkatan proses dilakukan oleh

stakeholder yang berbeda.

Berikut ini adalah klasifikasi kategori resiko berdasarkan kepada tinjauan literatur terkait:
Tabel 3. Klasifikasi Resiko
FAKTOR RESIKO

DEFINISI

Metode

Kekurangan dalam memahami atau kesalahan dalam menggunakan

metode dalam fase perencanaan, perancangan, implementasi,
pembuatan, dan evaluasi.

Komunikasi

Kekurangan dalam komunikasi di antara stakeholder BPM dan

partisipan. Meliputi percakapan, pertemuan, pelatihan, pelaporan,
dan komunikasi dalam bentuk lainnya [3, 17, 18]

Informasi

Ketiadaan informasi yang efisien, efektif, aman, fleksibel pada

pemindahan di antara fase daur hidup dan pengawasan proses, dan
tindakan pengendalian [17, 18].

Sistem / Teknologi

Implementasi sistem / teknologi yang gagal oleh sebab alami atau

campur tangan manusia yang tidak benar [1, 17, 18].

Leadership /
Management

Gagal dalam menampilkan kepemimpinan yang kuat dan atau

manajemen proyek yang tepat [1, 3, 17]

Sumber daya /
Keahlian

Gagal dalam memilih sumber daya / keahlian atau salah dalam

menggunakannya [1, 3, 17, 18]

Adaptasi terhadap
perubahan

Ketidaksanggupan dalam mengelola perubahan [1, 3, 17, 18]

Pikiran Strategis

Gagal dalam mendefinsikan visi, tujuan, fungsi dari semua

stakeholder BPM, pastisipan, and komponen terkait [1, 3, 17, 18]

3. Pendekatan Manajemen Resiko Lainnya : ERM dan CobIT

Klien menyatakan bahwa manajemen resiko harus mengandung tiga tindakan: identifikasi
resiko, analisa resiko, dan pengendalian resiko [3]. Peltiar menyarankan daur hidup
manajemen resiko lengkap yang meliputi: analisis, desain, konstruksi, pengujian, dan
pemeliharaan [14].
ERM adalah framework yang dirancang oleh Committee of Sponsoring Organizations of the
Treadway Commission (COSO) yang membantu bisnis dalam mengukur dan meningkatkan
kendali sistem internal mereka. Istilah kendali sistem internal berarti semua kebijakan dan
prosedur yang diadopsi sebagai bantuan untuk mencapai tujuan manajemen di seputar
perawatan dan efisien dalam bisnis [11]. COSO mendefinisikan ERM sebagai a process,
effected by an entitys board of directors, management and other personnel, applied in
strategy setting and across the enterprise, designed to identify potential events that may
affect the entity, and manage risk to be within its risk appetite, to provide reasonable
assurance regard in the achievement of entity objectives [11].

Gambar 2. Framework COSO Manajemen Resiko Enterprise (kiri) dan CobIT (kanan)

COSO menyatakan bahwa untuk mengurangi pengaruh dari resiko diperlukan empat tujuan
utama manajemen resiko, yakni: strategi, operasi, pelaporan (reporting), dan pemenuhan
(compliance). Untuk setiap tujuan utama tersebut ditambahkan 8 komponen, yakni:
lingkungan internal, penentuan tujuan, identifikasi kejadian, penilaian resiko, penanganan
resiko, aktivitas pengendalian, informasi dan komunikasi, dan pengawasan.
Control Objectives for Information and related Technologies (CobIT) yang dibuat oleh IT
Governance Institute (ITGI) adalah sejumlah panduan berorientasi audit yang membantu
bisnis meningkatkan pengelolaan TI-nya [19]. ITGI percaya bahwa manajemen efektif dalam
informasi dan TI terkait akan menghasilkan kesuksesan yang simetris dengan daya guna
bisnis. Merealisasikan manajemen resiko dengan meningkatkan keamanan informasi,
akuntabilitas, dan intergritas menjadi salah satu tantangan besar dalam pengelolaan TI. ITGI
menyajikan empat level tinggi tujuan pengendalian TI: perencanaan dan organisasi,
kemahiran dan implementasi, pengiriman dan dukungan, pengawasan. Mengenai
komponen, ITGI mengadopsi framework ERM COSO dan menyederhanakannya ke dalam 5
komponen manajemen TI: lingkungan kendali, pengukuran resiko, aktivitas pengendalian,
informasi dan komunikasi, dan pengawasan. Pada saat daur pengiriman sasaran hasil kendali
CobIT, entitas bisnis akan dapat mengidentifikasi resiko yang mengancam penggunaan
informasi di dalam organisasi, dan lebih lanjut mengurangi ancaman sebelum terjadinya
krisis.
Baik ERM COSO maupun CobIT keduanya merupakan framework berguna yang dapat
dijadikan panduan kegiatan manajer proyek BPM untuk menstrukturkan pengenalan resiko
dan kegiatan mitigasi. Framework ERM COSO lebih komprehensif karena merinci wilayah
resiko, sementara CobIT lebih selaras dengan konsep daur hidup sebagiaman ide umum
kegiatan BPM.
KESIMPULAN
Dalam artikel ini didiskusikan resiko yang menjadi bagian dari daur hidup BPM. Berdasarkan
literatur tentang taksonomi resiko dikemukakan contoh manajemen resiko dalam klasifikasi
yang dihubungkan dengan setiap fase daur hidup BPM. Faktor resiko utama teridentifikasi
berhubungan dengan susunan stakeholder proyek BPM, dan ketidaksesuaian metode,
organisasi, proses, implementasi, tujuan evaluasi, dan pengukuran. Dalam studi ini
ditunjukan bahwa proyek BPM menghadapi resiko pada setiap fase daur hidup BPM dan
transisinya. Artikel ini tidak merinci strategi manajemen resiko untuk BPM dalam
praktiknknya, dan pekerjaan di kemudian hari adalah memetakan resiko ke dalam aktivitas
di dalam framework COSO dan CobIT, yang diharapkan dapat membawa kepada strategi
mitigasi resiko untuk proyek BPM.

DAFTAR PUSTAKA
[1] Grover, V.: From Business Reengineering to Business Process Change Management: A
Longtitudinal Study of Trends and Practices. IEEE Transactions on Engineering Management
46 (1999) 36-46
[2] Clemons, E. K., Thatcher, M. E., Row, M. C.: Identifying Sources of Reengineering Failures:
A Study of the Behavioral Factors Contributing to Reengineering Risks. Journal of
Management Information Systems 12 (1995) 9 - 36
[3] Kliem, R. L.: Risk Management for Business Process Reengineering Projects. Information
Systems Management 17 (2000) 71-73
[4] Smith, H., Fingar, P.: Business Process Management - The Third Wave. Meghan Kiffer
Press, Tampa, FL (2003)
[5] Zairi, M., Sinclair, D.: Business Process re-engineering and process management. Business
Process Re-engineering & Management Journal 1 (1995) 8 - 30
[6] Elzinga, D. J., Horak, T., Lee, C.-Y., Bruner, C.: Business Process Management: Survey and
Methodology. IEEE Transactions on Engineering Management 42 (1995) 119 - 128
[7] Harmon, P.: Evaluationg an Organization's Business Process Maturity. Business Process
Trends 2 (2004)
[8] March, J. G., Shapira, Z.: Managerial Perspectives on Risk and Risk Taking. Management
Science 33 (1987) 1404-1418
[9] Wiegers, K.: Knowing your enemy: software risk management. Software Development 6
(1998)
[10] Michael zur Muehlen, Danny Ting-Yi Ho, Charette, R.: Applications Strategies for Risk
Management. McGraw-Hill, New York (1990)
[11] COSO: Enterprise Risk Management - Integrated Framework. Executive Summary.
Committee of Sponsoring Organizations of the Threadway Commission, (2004)
[12] Gemmer, A.: Risk management: moving beyond process. Computer 30 (1997) 33 - 43
[13] Adler, T. R., Leonard, J. G., Nordgren, R. K.: Improving Risk Management: Moving from
Risk elimination to Risk Avoidance. Information and Software Technology 41 (1999) 29-34
[14] Peltier, T. R.: Risk Analysis and Risk Management. The EDP Audit, Control, and Security
Newsletter 32 (2004)
[15] Davenport, T. H.: Process Innovation. Harvard Business School Press, Boston,
Massachusetts (1993)
[16] Scott, J. E., Vessey, I.: Managing Risks in Enterprise Systems Implementations.
Communications of the ACM 45 (2000) 74-81

[17] Sumner, M.: Risk Factors in Enterprise-wide/ERP projects. Journal of Information

Technology 15 (2000) 317-327
[18] Somers, T. M., Nelson, K. G.: A Taxonomy of Players and Activities across the ERP Project
Life Cycle. Information and Management 41 (2002) 257 - 278
[19] IT Governance Institute (ITGI): IT Control objectives for Sarbanes-Oxley.
http://www.itgi.org/template_ITGI.cfm?template=/ContentManagement/ContentDisplay.cf
m&ContentID=14133
[20] Jaafari, A.:Management of Risks, Uncertainties and Opportunities on Projects: Time for
a Fundamental Shift. International Journal of Project Management 19-2 (February 2001) 89101.
[21] Miller, R., and Lessard, D.: Understanding and Managing Risks in Large Engineering
Projects. International Journal of Project Management 19 (2001) 437-443
[22] Ward, S., and Chapman, C.: Transforming Project Risk Management into Project
Uncertainty Management. International Journal of Project Management 21-2 (1994) 97-105
[23] Project Management Institute: A Guide to the Project Management Body of Knowledge
(PMBOK Guide), 2000 edition. Project Management Institute