Identifikasi Risiko adalah usaha untuk menemukan atau mengetahui risiko risiko yang

mungkin timbul dalam kegiatan yang dilakukan oleh perusahaan atau perorangan.

Hal hal yang dilakukan oleh manajer perusahaan untuk perusahaannya :

a) Mengetahui kemungkinan kemungkinan terjadinya suatu kerugian dan harus berhati hati atas

kemungkinan timbulnya setiap kerugian dan hal ini merupakan tugas utama seorang manajer

risiko.

b) Memperkirakan frekuensi dan besar kecilnya risiko sehingga dapat diperkirakan kemungkinan

kerugian maksimum dari risiko yang berasal dari berbagai sumber.

c) Memutuskan pemakaian metode pengolahan risiko yang terbaik dan paling ekonomis,apakah

dengan jalan menghapuskan, mengurangi, membatasi, menanggung sendiri, memindahkan atau

mengkombinasikan metode metode tersebut.

d) Mengadministrasikan program program manajemen risiko termasuk mengadakan penilaian

kembali atas program program, pencatatan pencatatan dan lain sebagainya.

Klasifikasi kerugian pada perusahaan :

a. Kerugian Harta Milik ( Properti Losses )

1. Kerugian Langsung yang dihubungkan dengan kebutuhan untuk mengganti atau reparasi atas

kehilangan harta.

2. Kerugian Tidak Langsung seperti keharusan untuk menghancurkan sisa gedung yang rusak

akibat kerugian langsung.

3. Kerugian Pendapatan (Pendapatan Bersih ), seperti penghentian bisnis karena tidak dapat

digunakannya gedung.
b. Kewajiban mengganti kerugian orang lain ( liability losses ), kerugian karena rusaknya hak

milik orang lain atau terlukanya orang lain.

c. Kerugian Personalia ( Personel Losses )

1. Kerugian bagi perusahaan karena kematian, cacat atau mengundurkan dirinya dari pegawai,

langganan atau pemilik.

2. Kerugian bagi keluarga pegawai, yang disebabkan oleh kematian, cacat atau pemberhentian.

Metode yang digunakan untuk mengeksplorasi identifikasi risiko aspek aspek dalam

perusahaan :

1) Questionnaire Analisis Risiko ( Risk Analysis Questionnaire )

Analisis ini menjuruskan manajer risko untuk memastikan bahwa informasi diperlukan

berkenaan dengan harta dan operasi perusahaan tidak ada yang terlewatkan. Untuk memperkuat

informasi ini akan dipertimbangkan informasi yang diperoleh dengan metode lainnya.

2) Metode Laporam Keuangan

Menganalisi neraca, laba rugi dan catatan lain yang mendukung, sehingga manajer resiko bisa

mengidentifikasi semua resiko yang berkenaan dengan harta, utang dan personalia perusahaan.

3) Metode Flow Chart

Analisis kerugian yang meliputi kerugian berkenaan dengan harta, tanggung jawab dan personil.

4) Inspeksi Langsung Pada Objek

 Dengan mengamati langsung jalannya operasi bekerjanya peralatan, lingkungan kerja, kebiasaan

kerja pegawai dll. Manajer risiko dapat mempelajari lebih banyak lagi dan mayakinkan tentang

hazard yang mungkin tidak disadari oleh pekerja atau yang mungkin tidak pernah ditemukan

dalam laporan tertulis.

5) Interaksi Dengan Bagian Lain

Keberhasilan manajer risiko mengidentifikasi resiko terutama tergantung pada kerjasama yang

erat dengan bagian bagian dalam perusahaan. Manajer bagian bagian ini secara menjadi awas

terhadap risiko yang diihadapinya.

6) Statistik Kerugian

Pengidentifikasian risiko dapat dilakukan berdasakan data statistic tentang kerugian yang lalu

dan kerugian mana yang sering terjadi. Berdsarkan data yang ada akan dilihat kemungkinan

terjadinya resiko yang sama pada masa yang akan datang.

7) Analisis Lingkungan

Prof.OConnell menyatakan bahwa penggunaan analisis lingkungan eksternal sama baiknya

dengan penggunaan analisis internal dalam mengidentifikasi risiko.

Identifikasi risiko dengan analisis lingkungan yang relevan :

1. Pelanggan

2. Pemasok

3. Saingan

4. UU dan ketentuan ketentuan lain.

 Faktor yang mempengaruhi perusahaan dalam memilih metode identifikasi risiko :

1. Sifat dari bisnis

2. Besarnya perusahaan

3. Tersedianya tenaga ahli

Pengukuran risiko yaitu usaha menentukan perkiraan kerugian maksimum untuk setiap

jenis risiko dalam setiap fungsi.

Dimensi pengukuran risiko :

1. Frekuensi atau jumlah kerugian yang akan terjadi, artinya berapa kali terjadinya suatu kerugian

selama suatu periode tertentu.

2. Keparahan dari kerugian itu, artinya untuk mengetahui seberapa besar pengaruh dari suatu

kerugian terhadap kondisi perusahaan terutama kondisi financial.

Paling sedikit untuk masing masing dimensi itu yang ingin diketahui adalah :

1. Rata rata nilainya dalam periode anggaran

2. Variasi nilai itu dari satu periode anggaran ke priode anggaran sebelum dan berikutnya

3. Dampak keseluruhan dari kerugian kerugian itu jika seandainya kerugian itu ditanggung sendiri

harus dalam analisis, jadi tidak hanya nilainya dalam rupiah saja.
 Cara menentukan keparahan kerugian atas suatu kejadian :

Seorang manajer risiko harus secara cermat memperhitungkan semua tipe kerugian yang

dapat terjadi, terutama dalam kaitannya dengan pengaruhnya terhadap situasi finansial

perusahaan. Penting pula diperhatikan jangka waktu dari suatu kerugian, disamping nilai

rupiahnya.

Cara pengukuran risiko dengan distribusi probabilitas :

1. Pengukuran total kerugian per tahun

2. Pengukuran banyaknya kejadian per tahun

3. Pengukuran besarnya kerugian per kejadian

Konsep Probabilitas

Probabilitas merupakan kesempatan atau kemungkinan terjadinya suatu kejadian atau

kemungkinan jangka panjang terjadinya sesuatu.

Konsep Probabilitas terdiri dari :

1. Sample Space

Adalah suatu set dari kejadian tertentu yang diamati ( S )

2. Event

Merupakan segmen atau bagian dari Sample Space ( E )

Identifikasi Resiko berdasarkan ISO/IEC
31000:2009
Berdasarkan standard ISO/IEC 31000:2009, identifikasi resiko
memegang peranan penting pada penilaian resiko. Baik identifikasi maupun
penilaian resiko merupakan rangkaian tahap dari manajemen resiko .
Identifikasi resiko penting karena merupakan tahap pertama yang harus
dilakukan karena dalam tahap ini dilakukan penentuan resiko resiko beserta
karakteristiknya yang mungkin akan mempengaruhi proyek. Kegagalan
dalam tahapan ini akan berpengaruh besar terhadap tahapan manajemen
resiko selanjutnya dan tentu akan mempengaruhi reliabilitas bagi proyek
karena banyaknya kerentanan / celah yang mungkin akan terjadi di masa
yang akan datang.

Tujuan utama dalam identifikasi resiko adalah untuk mengetahui daftar

daftar resiko yang potensial dan berpengaruh terhadap tujuan / proses bisnis
suatu organisasi (Harold, 2010). Sesuai dengan ISO/IEC 31000:2009,
 identifikasi resiko tersebut dapat dilakukan dengan memperhatikan hal hal
berikut :

2.1. Masukan Identifikasi Resiko

o Apa saja yang dapat terjadi, kapan, dan dimana?
Pertanyaan ini akan menjawab secara detail apa saja yang kemungkinan
negatif dapat terjadi dalam suatu proses bisnis dilihat dari waktu dan posisi /
tempat yang dipengaruhi.

Untuk mengetahui apa saja yang dapat terjadi, suatu organisasi dapat
melakukan studi terkait proses bisnis perusahaan, proses bisnis dari layanan /
produk bidang teknologi informasi dan komunikasi yang dimiliki.

o Mengapa dan bagaimana resiko dapat terjadi?

Pertanyaan ini digunakan sebagai pertimbangan terkait dengan penyebab
resiko dan skenarionya.

2.2. Teknik Identifikasi Resiko

Berbagai teknik yang dapat dilakukan untuk melakukan identifikasi resiko
antara lain sebgaia berikut :

o Brainstorming dengan pihak terkait

o Wawancara langsung kepada pihak yang bertanggung jawab
o Kuisioner
o Ceklis
o Analisis proyek sebelumnya
o Analisis SWOT
o Analisis asumsi dari tim pakar
 Selain hal tersebut, faktor faktor lain yang juga perlu diperhatikan adalah :

o Pemilihan metodologi identifikasi resiko yang sesuai dengan kondisi eksisting

perusahaan / organisasi.
o Sumberdaya manusia yang dilibatkan dalam aktivitas identifikasi resiko
o Pendekatan siklus hidup untuk mengidentifikasi resiko dan menentukan
bagaimana resiko berubah dan masuk dalam siklus hidup tersebut.

Identifikasi Resiko berdasarkan ISO/IEC 27001

Panduan manajemen resiko ISO/IEC 31000:2009 menjelaskan
masukan dan teknik dari identifikasi resiko, namun belum dapat menjelaskan
proses identifikasi resiko itu sendiri. Oleh karena itu, dibutuhkan standar lain
yang dapat menjelaskan bagaimana proses identifikasi resiko yang
komprehensif, yaitu ISO/IE 27001.

Berikut ini adalah proses identifikasi resiko berdasarkan ISO/IEC 27001 :

1. Identifikasi aset aset teknologi informasi yang dimiliki oleh organisasi

2. Identifikasi ancaman pada setiap aset aset teknologi informasi tersebut
3. Identifikasi kerentanan yang diakibatkan oleh ancaman
4. Identifikasi dampak kerugian dalam
aspek confidentiality, integrity andavailability.
Sehingga keterkaitannya dengan ISO/IEC 31000:2009 adalah seperti yang
terlihat pada bagan di bawah ini :

Keterkaitan ISO 31000:2009 dan ISO 2700

4. Tahapan Identifikasi Resiko

Berikut ini tahapan identifikasi resiko yang pernah saya lakukan (studi kasus
IS NET)

4.1. Studi Literatur

Studi literatur dilakukan untuk menjawab permasalahan yang pertama, yaitu
terkait bagaimana melakukan identifikasi resiko secara konprehensif
berdasarkan ISO 31000:2009. Keluaran dari studi literatur ini adalah
penjelasan aktivitas aktivitas yang dilakukan untuk identifikasi resiko
berdasarkan ISO 31000:2009, masukan yang dibutuhkan, dan teknik teknik
yang direkomendasikan untuk melakukan identifikasi.

4.2. Identifikasi Aset IS NET

Setelah studi literatur, berikutnya adalah mengidentifikasi asset asset
teknologi informasi yang dimiliki oleh IS NET berdasarkan komponen sistem
informasi, yaitu data, perangkat lunak, perangkat keras, sumber daya
manusia, dan prosedur. Keluaran dari tahap ini adalah daftar asset teknologi
informasi yang dimiliki IS NET.

4.3. Identifikasi Ancaman IS NET

Masing masing aset aset yang telah teridentifikasi sebelumnya
diidentifikasi ancamannya pada tahap ini. Sehingga keluarannya adalah
berupa ancaman ancaman dari internal dan eksternal organisasi IS NET.

4.4. Identifikasi Kerentanan IS NET

Ancaman memiliki dampak terhadap kerentanan. Identifikasi kerentanan
pada setiap ancaman tersebut akan diidentifikasi pada tahap ini, sehingga
keluarannya adalah daftar kerentanan aset IS NET.

4.4. Identifikasi Dampak Kerenanan IS NET

Kerentanan yang ada pastinya memiliki dampak terhadap layanan yang
diberikan oleh IS NET kepada civitas Jurusan Sistem Informasi. Dampak
dampak tersebut akan diidentifikasi pada tahap metode ini, sehingga
keluarannya adalah daftar dampak kerentanan terhadap layanan IS NET.

http://rizkyananda-nanda.blogspot.co.id/2013/11/identifikasi-resiko.html