Journal of Business and Entrepreneurship

Analisis Risiko Operasional

Menggunakan Metode Cause-Effect
Studi Kasus Bagian Teknologi Informasi PT. XYZ
Herison Metinaro
Magister Manajemen - Fakultas Ekonomi Universitas Indonesia

Dewi Hanggraeni
Fakultas Ekonomi Universitas Indonesia

This thesis analyze the operational risk specifically information technology risk at PT.
XYZ using Cause-Effect method. Cause-Effect method is a risk assessment method that
uses a logic of causality relationship in determining the possible risks that can occur.
Implementation of ISO 27001 at the Information Technology unit of PT. XYZ generate
risk profiles that is used as the basis of the Information Technology Security Management
System implementation. This study uses the risk profile of Information Technology unit
PT. XYZ as the basis for quantifying operational risk assessment using the Cause-Effect
method. PT. XYZ’s operational risk quantification begins by decomposing and forming
submodel of technology risk profile information. Based on the risk parameters that
exist in PT. XYZ’s risk management policy, risk quantification simulations using Loss
Distribution Approach - Aggregation model can be done to provide illustrations on
financial loss that may occur.

Keywords: Information Technology Risk, Cause-Effect method, ISO 27001, Loss

Distribution Approach - Aggregation model

Analisis Risiko Operasional

Menggunakan Metode Cause-Effect
Studi Kasus Bagian Teknologi Informasi PT. XYZ

PENDAHULUAN (Enterprise Resource Planning). Dengan

PT. XYZ merupakan perusahaan
yang bergerak dalam bidang energi dan
memiki peran yang besar dalam
penyediaan energi secara nasional. Dalam
mendukung aktifitas operasionalnya, PT.
XYZ menggunakan sistem teknologi
informasi yang berbasis pada ERP
semakin berkembangnya teknologi,
semakin meningkat juga risiko terkait
dengan teknologi dan operasional
perusahaan. Menyadari hal tersebut, PT.
XYZ mengambil langkah-langkah dan
inisiatif strategis. Langkah-langkah
tersebut diantaranya adalah: Meng-
integrasikan profil risiko perusahaan secara

ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014 1

Journal of Business and Entrepreneurship
enterprise wide dengan profil risiko
operasional khususnya yang terkait dengan
Teknologi Informasi.
Mengambil upaya manajerial yaitu
dengan mengaplikasikan sistem manajemen
berbasis ISO 27001 terhadap infrastruktur
Teknologi Informasi dan layanan Teknologi
Informasi terutama yang dihantarkan oleh
Unit Teknologi Informasi. Selain tentu saja
memperkuat keamanan secara fisik dan
teknis dari layanan dan infrastruktur
Teknologi Informasi
ISO 27001 sebagai sistem manajemen
yang berfokus pada keamanan informasi
menggunakan pendekatan manajemen
risiko dalam implementasinya. Pendekatan
manajemen risiko dilakukan melalui risk
assessment atau penilaian risiko yang
berbasis pada seluruh aset terkait
Teknologi Informasi dari lingkup yang
disertifikasi oleh suatu perusahaan. PT.
XYZ dalam hal ini memutuskan untuk
memperluas ruang lingkup sertifikat ISO
27001 yang telah didapatkan sebelumnya
yaitu dari ruang lingkup Data Center
dengan menambahkan ruang lingkup baru
yaitu pada area kerja Unit Teknologi
Informasi. Penambahan ruang lingkup
dalam sertifikasi Sistem Manajemen
Keamanan Informasi (SMKI) ISO 27001,
membutuhkan adanya penilaian risiko
khusus untuk lingkup yang ditambahkan
yaitu Unit Teknologi Informasi.
Metode penilaian risiko yang
dilakukan dalam ISO 27001 adalah dengan
melihat risiko dari masing-masing aset
terkait Teknologi Informasi berdasarkan
ancaman (threat), kelemahan
(vulnerability) dan akibat/dampak (impact)
yang membentuk suatu kemungkinan
peristiwa/event risiko. Masing-masing
event risiko yang terbentuk dari ancaman,
kelemahan dan dampak akan dilihat
berdasarkan frekuensi (likelihood) serta
dampaknya (impact) untuk menentukan
2 ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
level risikonya. Penentuan level risiko
dilakukan secara semi kuantitatif yang
dijabarkan lebih lanjut pada Bab 3.
Penelitian dari Chonawee Supatgiat,
Chris Kenyon dan Lucas Heusler (2006)
dalam karya tulisnya yang berjudul “Cause-
to-Effect Operational Risk Quantification
and Management” memberikan suatu model
dan metode untuk mengkuantifikasi risiko
operasional berbasiskan hubungan sebab-
akibat (cause-to-effect). Penelitian ini
memberikan suatu sudut pandang baru
dalam melakukan penghitungan risiko
operasional yaitu dengan adanya
dekomposisi yang membagi risiko-risiko
yang ada dimana kemudian dilakukan
agregasi dalam menghitung risikonya.
Metode kuantifikasi risiko yang ada
saat ini umumnya dilakukan berdasarkan
observasi kerugian, dan besarnya
kuantifikasi risiko operasional belum tentu
mencerminkan suatu hubungan sebab
akibat yang menunjukkan bagaimana
risiko dapat dikurangi, dikelola dan
dikendalikan (Supatgiat, Kenyon, Heusler,
2006). Hal ini menimbulkan adanya gap
antara penentuan risiko yang umumnya
dilakukan bersama risk taking unit, dengan
penghitungan risiko operasionalnya.
RUMUSAN MASALAH
PT. XYZ dalam mengimplemen-
tasikan Sistem Manajemen Keamanan
Informasi dengan ruang lingkup Unit
Teknologi Informasi melakukan suatu
penilaian risiko sesuai dengan standard
ISO 27001. Penilaian risiko yang dilakukan
merupakan penilaian risiko berbasis aset
Teknologi Informasi perusahaan. Metode
penilaian risiko dikembangkan dari
standard ISO 27001 dan disesuaikan
dengan kebijakan manajemen risiko
perusahaan.

Penilaian risiko yang dilakukan oleh
Unit Teknologi Informasi PT. XYZ dalam
kerangka implementasi ISO 27001 meng-
hasilkan kurang lebih 373 kemungkinan
risiko yang dapat terjadi. Dengan
banyaknya risiko yang ada, dibutuhkan
suatu metode kuantifikasi risiko agar dapat
memberikan gambaran kerugian yang
mungkin terjadi di masa mendatang. Saat
ini penilaian risiko yang dilakukan hanya
memberikan gambaran profil risiko yang
ada, tetapi belum sampai pada gambaran
kerugian yang mungkin diderita
peruusahaan.
Metode Kuantifikasi Risiko
Operasional Berbasiskan metode Cause-
Effect sebagaimana dituliskan dalam karya
ilmiahnya oleh Supatgiat, Kenyon dan
Heusler, memberikan model pengukuran
risiko Teknologi Informasi yang sangat
baik. Dari ratusan potensi risiko yang ada,
banyak sekali risiko yang terkait dan
memiliki hubungan cause-effect antara satu
risiko dengan yang lain.
Dalam penelitian ini peneliti melakukan
kuantifikasi risiko operasional menggunakan
metod cause-effect ke dalam penilaian risiko
yang dilakukan oleh PT. XYZ dalam rangka
implementasi Sistem Manajemen Keamanan
Informasi ISO 27001. Peneliti mengharapkan
agar penelitian ini dapat menjawab dua
pertanyaan di bawah:
Bagaimana melakukan kuantifikasi
risiko Teknologi Informasi (TI) meng-
gunakan metode Cause-effect pada PT.
XYZ?
Bagaimana simulasi penghitungan
kerugian operasionalnya menggunakan
Loss Distribution Approach - Aggregation
model?
TUJUAN PENELITIAN
Penelitian yang dilakukan peneliti
memiliki tujuan sebagai berikut:
ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
Journal of Business and Entrepreneurship
• PT. XYZ dapat melakukan dan
mengembangkan model penilaian risiko
dengan metode cause-effect
• Memberikan gambaran nilai kerugian
operasional dengan menggunakan Loss
Distribution Approach - Aggregation
model.
LANDASAN TEORI
Risiko Teknologi Informasi
Risiko Teknologi Informasi dari sudut
pandang Ilmu Manajemen Risiko secara
umum dan industri finansial merupakan
bagian dari risiko operasional. Dari
penjabaran definisi risiko operasional pada
sub bab sebelumnya, dapat ditarik
kesimpulan bahwa kegagalan sistem
Teknologi Informasi termasuk dan
merupakan bagian dari risiko operasional.
Pada dasarnya risiko Teknologi
Informasi merupakan risiko bagi bisnis
secara keseluruhan, terutama bagi bisnis
yang terkait langsung dengan layanan
Teknologi Informasi. Ketika terjadi
gangguan maupun permasalahan terhadap
layanan Teknologi Informasi, maka baik
secara langsung ataupun tidak langsung
akan mengganggu bisnis dan organisasi
secara keseluruhan. Risiko Teknologi
Informasi, menurut Risk IT Framework
(ISACA, 2009) dapat dikategorikan
sebagai berikut:
• Risiko nilai/keuntungan penggunaan
Teknologi Informasi (IT benefit/value
enablement risk)
• Risiko pelaksanaan program dan proyek
(IT programme and project delivery
risk)
• Risiko penghantaran operasional dan
layanan Teknologi Informasi (IT
operations and service delivery risk)
3
Journal of Business and Entrepreneurship

Manajemen Risiko Teknologi Informasi Teknologi Informasi. Metode pendekatan

Pada dasarnya pengelolaan risiko
Teknologi Informasi tidak berbeda dengan
pengelolaan risiko operasional secara
umum. Langkah-langkahnya meliputi
identifikasi risiko, pengukuran risiko, dan
pengendalian risiko. Perbedaan mendasar
terkait dengan risiko Teknologi Informasi
adalah sifatnya yang memerlukan keahlian
khusus sehingga dibutuhkan penanganan
teknis terkait Teknologi Informasi dalam
tindak lanjut untuk mengelola risikonya.
Manajemen risiko Perusahaan erat
kaitannya dengan istilah yang sudah cukup
sering kita dengar yaitu Good Corporate
Governance (GCG). Sama halnya dengan
itu, manajemen risiko Teknologi Informasi
erat kaitannya dengan Tata Kelola
Teknologi Informasi atau sering
diistilahkan dengan IT Governance. Selain
penggunaan GCG (termasuk IT
governance didalamnya), perusahaan/
organisasi juga dapat melakukan
pengelolaan risiko dengan menerapkan
Sistem Manajemen terkait Teknologi
Informasi yang berbasis ISO. Beberapa
Sistem Manajemen terkait teknologi yang
cukup populer saat ini adalah sebagai
berikut:
• ISO 27001 tahun 2005 Information
Security Management System (Sistem
Manajemen Keamanan Informasi)
• ISO 20000 tahun 2011 Information
Technology Service Management
(Sistem Manajemen Layanan
Informasi)
• ISO 22301 tahun 2012 Business
Continuity Management System
(Sistem Manajemen Keberlangsungan
Bisnis)
Pendekatan proses merupakan
pendekatan dan metode yang banyak
digunakan dalam penilaian risiko
ini memulai identifikasi risiko berdasarkan
aktifitas proses yang berjalan di organisasi
Teknologi Informasi, baik yang sudah
terdokumentasi ataupun belum. Umumnya
dengan melihat dan menganalisis proses
dan aktivitas yang berjalan dalam suatu
organisasi, juga bisa dilakukan langkah-
langkah optimasi proses yang biasa dikenal
juga dengan istilah process reengineering.
Dalam kaitannya dengan manajemen risiko
teknologi informasi, process reengineering
ditujukan sebagai kontrol tambahan untuk
meminimalkan/memitigasi risiko.
Sistem Manajemen Keamanan
Informasi ISO 27001
Sistem Manajemen Keamanan
Informasi (SMKI) ISO 27001 merupakan
salah satu seri standar sistem manajemen
yang dikeluarkan oleh badan standar dunia
ISO (The International Organization for
Standardization). ISO sendiri merupakan
suatu badan standar dunia yang dibentuk
untuk meningkatkan perdagangan
internasional yang berkaitan dengan
perubahan barang dan jasa (Suardi, 2004).
ISO 27001 menggunakan pendekatan
yang tidak berbeda dengan standar sistem
manajemen lain yaitu pendekatan berbasis
proses. Standar ini mengadopsi pendekatan
proses untuk membuat, mengimple-
mentasi, mengoperasikan, memantau,
meninjau, menjaga dan meningkatkan
organisasi SMKI secara keseluruhan (ISO/
IEC, 2005).
Secara garis besar, pelaksanaan
sistem manajemen ISO 27001 meng-
gunakan model Plan-Do-Check-Act
(PDCA) yang sering juga disebut sebagai
Deming’s cycle. Model PDCA ini berfokus
pada peningkatan yang berkelanjutan
(continuous improvement). Model PDCA
pada ISO 27001 dapat dilihat pada Gambar
2-3 di bawah.

4 ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014


Model PDCA pada gambar di bawah,
dapat dijabarkan lebih lanjut sebagai
berikut (ISO 27001, 2012)
• Plan
Tahap/proses Plan merupakan tahap
perencanaan sistem manajemen yang
mencakup pembentukan kebijakan,
tujuan, prosedur dan proses yang terkait
dengan manajemen risiko serta
peningkatan keamanan informasi
perusahaan.
• Do
Proses Do merupakan tahapan dalam
implementasi kebijakan, proses,
kontrol dan prosedur terkait Sistem
Sumber: ISO/IEC (2005, vi)
Gambar 1. Model PDCA dalam Sistem Manajemen Keamanan Informasi
Sistem Manajemen Keamanan
Informasi ISO 27001 menggunakan
penilaian risiko sebagai dasar dan langkah
awal pelaksanaan Sistem Manajemen yang
berdasarkan kontrol. Dalam standard ISO
27001 tahun 2005, metode dan langkah
penilaian risiko dijabarkan dalam klausa
utama (main clause) 4.2.1 c, d, e dan f.
Metode penilaian risiko berbasis aset
ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
Journal of Business and Entrepreneurship
Manajemen Keamanan Informasi yang
telah dibuat
• Check
Proses Check merupakan tahapan
proses untuk melakukan penilaian dan
pengukuran (apabila memungkinkan)
terhadap kinerja proses yang dilakukan
terhadap kebijakan dan tujuan
perusahaan.
• Act
Proses Act merupakan tahapan dalam
melakukan tindakan pencegahan
(preventive) dan perbaikan (corrective)
berdasarkan audit yang dilakukan
maupun tinjauan dari manajemen.
tersebut dijabarkan lebih lanjut sebagai
berikut (ISO 27001, 2012) :
Mendefinisikan pendekatan penilaian
risiko yang sesuai bagi perusahaan.
Termasuk didalamnya adalah metode
penilaian risiko dan kriteria untuk
mengidentifikasi level risiko yang dapat
ditoleransi
5
Journal of Business and Entrepreneurship
Melakukan identifikasi risiko dengan
langkah-langkah sebagai berikut:
• Identifikasi semua aset yang masuk
dalam lingkup Sistem Manajemen
Keamanan Informasi
• Identifikasi ancaman (threat) terhadap
aset tersebut
• Identifikasi kelemahan (vulnerability)
yang dapat dieksploitasi aset
• Identifikasi dampak (impact) dari sudut
pandang keamanan (confidentiality),
integritas (integrity) serta ketersediaan
(availability) terhadap aset
• Melakukan analisis dan evaluasi risiko.
Penentuan level risiko dilihat dari
frekuensi (likelihood) dan tingkat
keparahan (severity).
• Identifikasi dan evaluasi opsi untuk
menangani risiko. Kemungkinan
tindakan yang dapat dilakukan sesuai
dengan yang telah dijabarkan pada Sub
Bab 2.3 yaitu menerapkan kontrol yang
sesuai (mitigasi risiko), menerima
risiko, menghindari risiko dan
mentransfer risiko.
Identifikasi Risiko
Dalam melakukan identifikasi, ada
beberapa hal yang harus dilakukan menurut
ISO 27001, yaitu:
a. Melakukan identifikasi aset
Aset merupakan segala sesuatu
yang memiliki nilai bagi perusahaan
dan karena itu harus dilindungi.
Identifikasi aset dilakukan sesuai
dengan lingkup dari implementasi
Sistem Manajemen Keamanan
Informasi. Pemilik aset harus jelas
untuk setiap aset yang diidentifikasi.
Pada dasarnya pembagian/
klasifikasi aset diserahkan kepada
masing-masing perusahaan. Akan tetapi
ISO 27002 yang berisi panduan
implementasi Sistem Manajemen
6 ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
Keamanan Informasi membagi aset
menjadi:
• Aset Informasi
• Aset perangkat lunak (software)
• Aset fisik
• Aset layanan (service)
• Aset sumber daya manusia
• Aset intangible
b. Melakukan identifikasi ancaman
(threat)
Ancaman berpotensi untuk
mengganggu/membahayakan aset yang
sudah didefinisikan sebelumnya
sehingga dapat mengganggu
perusahaan secara keseluruhan.
Ancaman dapat berasal dari alam
(seperti bencana alam) maupun dari
manusia dan sifatnya dapat terjadi
secara disengaja ataupun kebetulan.
c. Melakukan identifikasi kelemahan
Kelemahan yang ada dapat
dieksploitasi oleh ancaman sehingga
membahayakan perusahaan secara
keseluruhan. Pada umumnya
kelemahan yang ada tidak hanya
berbentuk teknis (seperti hardware,
virus, software bug, dan lain-lain) tetapi
juga dapat berbentuk non teknis (seperti
proses, prosedur, sumber daya manusia,
dan lain-lain).
d. Melakukan identifikasi dampak/
konsekuensi
Dampak dapat berupa kerugian
secara finansial, kerusakan secara fisik,
kehilangan efektifitas operasional,
reputasi, dan lain-lain.
Kuantifikasi Risiko Metode Cause-
Effect
Metode penilaian risiko yang
dilakukan saat ini, terutama risiko

operasional, umumnya hanya melihat pada
kerugiannya tetapi tidak sampai pada
hubungan cause-effect yang menyebabkan
risiko tersebut terjadi. Dalam melakukan
penghitungan risiko operasional secara
umum, hal ini memang dapat dilakukan.
Tetapi ketika dilakukan penilaian risiko
Teknologi Informasinya, maka akan
ditemui kesulitan terutama terkait dengan
valuasi/penghitungan nilai kerugian yang
dapat terjadi. Faktor besarnya investasi
finansial terhadap aset Teknologi Informasi
dan penghitungan tingkat pengembalian
investasi yang cukup rumit mempersulit
penghitungan risiko Teknologi Informasi.
Metode Cause-effect yang menjadi
dasar penelitian ini menggunakan suatu
algoritma dekomposisi untuk menye-
derhanakan model penilaian risiko yang
berskala besar. Pada umumnya penilaian
risiko Teknologi Informasi dapat
memunculkan kemungkinan risiko yang
Sumber: Supatgiat, Kenyon, Heusler (2006, 23)
Gambar 2. Grafik Interdependensi
Melalui grafik interdependensi di
atas, risiko dapat dikelompokkan ke dalam
beberapa bagian berdasarkan dampaknya
bagi perusahaan. Dengan pengelompokan
yang dilakukan maka akan lebih mudah
bagi perusahaan dalam melakukan
penghitungan risikonya.
ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
Journal of Business and Entrepreneurship
sangat banyak bahkan bisa sampai ribuan
risiko.
Dalam melakukan penilaian risiko,
ketika semua jenis risiko dimodelkan
menggunakan hubungan cause-effect, akan
menghasilkan sebuah model yang sangat
besar dan rumit. Model yang besar dan
rumit tersebut dapat disederhanakan
melalui dekomposisi menjadi submodel
yang lebih kecil. Untuk setiap submodel,
kegagalan yang terjadi ditranslasikan
menjadi kerugian finansial.
Grafik Interdependensi
Grafik interdependesi dibuat untuk
memfasilitasi dekomposisi risiko menjadi
submodel-submodel yang lebih kecil.
Gambar dibawah menjelaskan mengenai
proses untuk menghubungkan antara
penyebab kegagalan (root cause of failure),
kejadian kegagalan (failure event) serta
dampak (impact type) bagi perusahaan.
Dekomposisi Risiko
Dekomposisi risiko dilakukan untuk
menghasilkan submodel-submodel
sebagaimana terlihat dalam gambar di
bawah.
7
Journal of Business and Entrepreneurship

Sumber: Supatgiat, Kenyon, Heusler (2006, 21)

Gambar 3. Konsep Dekomposisi Risiko Operasional

METODE PENELITIAN

Penilaian Risiko Menggunakan ISO

27001
Sudut pandang penilaian risiko pada
Standar ISO 27001 adalah sebagai dasar/
acuan untuk melakukan tindak lanjut
terhadap risiko yang ada. Sebagai suatu
sistem manajemen yang menggunakan
konsep PDCA berbasis perbaikan
berkelanjutan (continous improvement),
hasil pengukuran risiko dalam bentuk
kuantitaif bukan merupakan hal yang
utama. Fokus utama Standar ISO 27001
adalah pada peningkatan berkelanjutan
terutama pada proses yang mendukung
manajemen keamanan informasi.
Penilaian risiko dalam Sistem
Manajemen Keamanan Informasi ISO
27001 hanyalah merupakan salah satu dari
sekian banyak proses yang harus
dilakukan. Pada karya akhir ini, peneliti
mengambil pendekatan penilaian risiko
berbasis aset yang digunakan dalam
Standar ISO 27001.

8 ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014

 Journal of Business and Entrepreneurship

Sumber: Peneliti, Diolah Sendiri

Gambar 4. Tahap Penilaian Risiko ISO 27001

Kuantifikasi Risiko Menggunakan

Metode Cause-Effect
Sesuai dengan jurnal internasional
berjudul Cause to Effect Operational Risk
Quantification and Management
(Supatgiat, Kenyon, Heusler, 2006), ada
beberapa langkah yang harus dilakukan
untuk dapat melakukan kuantifikasi risiko
sebagaimana terlihat dalam Gambar 3-2.

Sumber: Peneliti, Diolah Sendiri

Gambar 5. Tahap Kuantifikasi Risiko

Metode Cause-Effect

ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014 9

Journal of Business and Entrepreneurship
HASIL PENELITIAN
Profil Risiko
Dalam penerapan Sistem Manajemen
Keamanan Informasi, setelah dilakukan
penilaian risiko sebenarnya masih ada
beberapa tahapan lain seperti penentuan risk
treatment plan, statement of applicability,
dan lain-lain. Akan tetapi pada karya akhir
ini, peneliti tidak membahas mengenai hal
tersebut karena fokus utama adalah pada
kuantifikasi risiko dengan pendekatan
Tabel 1. Ringkasan Profil Risiko Natural PT. XYZ
Sumber: Risk Summary PT. XYZ (Diolah sendiri)
Setelah dilakukan pemetaan terhadap
profil risiko sebelumnya, maka dilakukan
pembuatan grafik interdepensi dari profil
risiko yang ada. Grafik interdependensi
memetakan hubungan antara penyebab
kegagalan (root cause of failure), tipe
kejadian kegagalan (failure event types)
serta tipe dampaknya (independent impact
types).
Grafik interdependensi profil risiko
PT. XYZ dapat dilihat pada gambar 4-2.
Setelah dilakukan dekomposisi dan
dipetakan ke dalam grafik interdependensi,
ada 5 kelompok root cause of failure, 5
10
cause-effect. Penilaian risiko berdasarkan
ISO 27001 digunakan sebagai data awal
dalam pendekatan cause-effect.
Gambar 3-2 memberikan ilustrasi
mengenai jumlah dan persentase risiko
yang didapatkan dari penilaian risiko. Hasil
penilaian risiko menunjukkan bahwa total
jumlah risiko yang tidak dapat diterima
Perusahaan (not acceptable) adalah
sebanyak 107 risiko atau sekitar 28,7% dari
keseluruhan risiko yang berhasil
diidentifikasi.
kelompok failure event types, dan 6
kelompok independent impact types.
Masing-masing kelompok dibedakan
dalam pewarnaan untuk mempermudah
klasifikasi.
Antara root cause of failure dan
failure event types terdapat suatu
hubungan/relasi yang disebut sebagai
ketergantungan kegagalan (failure
dependency). Sehingga sebagai contoh
suatu kejadian ilegal akses terhadap
dokumen memiliki ketergantungan
terhadap tiga aspek yaitu ketidakteraturan
dalam penghapusan hak akses, ketidak-
ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014

sempurnaan dalam pendataan aset, dan
ketidaksempurnaan dalam Pelaksanaan
Clean Desk & Clean Screen Policy. Relasi
failure dependency memiliki hubungan
many to many.
Antara failure event types dan
independent impact types terdapat suatu
relasi yang disebut sebagai keter-
gantungan dampak (impact dependency).
Sumber: Peneliti (Diolah sendiri)
Gambar 6. Grafik Interdependensi Profil Risiko PT. XYZ
ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
Journal of Business and Entrepreneurship
Sehingga sebagai contoh untuk suatu
kejadian ilegal akses terhadap dokumen
dan misshandling dokumen, mengacu
pada dampak berupa pencurian hardware/
informasi oleh pihak luar. Dengan
hubungan many to many, maka kedua
failure event tersebut juga bisa
menimbulkan dampak penyalahgunaan/
kebocoran informasi kepada pihak luar.
11
Journal of Business and Entrepreneurship

Dekomposisi Risiko simulasi kerugian. Submodel yang

Dari dekomposisi risiko yang didapatkan dari kurang lebih 373 risiko
dilakukan, terdapat 6 submodel yang yang diidentifikasi dapat dirangkum
kemudian direpresentasikan dalam 6 sebagai berikut:

Sumber: Peneliti (Diolah Sendiri)

Gambar 7. Model Dekomposisi Risiko Teknologi Informasi

Aggregated Loss Distribution dan dilakukan adalah dengan metode LDA-

Perhitungan VaR Risiko Teknologi
Informasi
Penggunaan metode Aggregated Loss
Distribution pada simulasi ini merupakan
langkah selanjutnya dari metode Cause-
Effect. Sebenarnya perhitungan distribusi
kerugian tidak secara spesifik dijelaskan
menggunakan metode tertentu, tetapi
peneliti melihat bahwa yang paling
memungkinkan dari simulasi yang
aggregation model.
Dengan tidak adanya data historis dan
pengujian distribusi yang dapat dilakukan,
maka peneliti mengambil asumsi terhadap
distribusi yang ada sebagaimana telah
disinggung dalam sub bab 3.2.3. Dalam
karya akhir ini untuk frekuensi digunakan
distribusi Poisson, sementara untuk
severity digunakan distribusi lognormal.

Sumber: Peneliti (Diolah sendiri)

Gambar 8. Parameter Statistik Distribusi

12 ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014


Untuk mencari frequency of loss
untuk satu periode yang akan datang akan
dilakukan dengan bantuan aplikasi Excel
dengan simulasi sebanyak 10.000 kali
dengan menginput nilai lambda untuk
generate random number frequency.
Sumber: Peneliti (Dikelola sendiri)
Gambar 9. Simulasi Montecarlo dengan metode LDA - Aggregation Approach
Dari data hasil simulasi di atas,
didapatkan untuk nilai kerugian dengan
VaR 99% adalah mencapai 825,236 juta
Rupiah. Hal ini cukup masuk akal
mengingat secara operasional, Unit
Teknologi Informasi PT. XYZ yang masuk
dalam lingkup penilaian risiko tidak
terekspos pada risiko yang dapat
menghasilkan kerugian yang besar.
Sumber: Peneliti, Diolah sendiri
Gambar 10. Simulasi Resiko
ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
Journal of Business and Entrepreneurship
Demikian pula untuk nilai severity of loss
distribution untuk satu periode yang akan
datang, ditentukan dari besarnya nilai
random berdasarkan parameter distribusi
lognormal yaitu mean dan standar deviasi.
Hasil simulasi dapat dilihat pada gambar
4-5.
Berdasarkan risk appetite (selera
risiko) yang diterjemahkan dalam nilai
Batas Toleransi Risiko (BTR) seperti dapat
dilihat pada gambar 4.6 di bawah, maka
nilai risiko diatas termasuk dalam kategori
minor untuk VaR 99%. Secara keseluruhan
nilai kerugian risiko teknologi informasi
yang disimulasikan tidak berdampak
signifikan untuk PT. XYZ.
13
Journal of Business and Entrepreneurship
Dalam simulasi penghitungan risiko
yang dilakukan, perlu diperhatikan bahwa
sifat simulasinya sendiri adalah untuk
memberikan gambaran nilai kerugian
risiko teknologi informasi. Seperti telah
disebutkan sebelumnya bahwa parameter
dan data kerugian yang diambil masih
bersifat asumsi peneliti karena belum
lengkapnya data yang ada pada PT. XYZ.
Untuk mendapatkan nilai kerugian risiko
yang lebih akurat pada PT. XYZ, maka
perlu dilakukan perekaman data historis
yang lebih lengkap terutama frekuensi
kejadian risiko dan nilai kerugian sebagai
dampak dari kejadian risiko.
KESIMPULAN & SARAN
Kesimpulan
Adapun beberapa kesimpulan yang
dapat disampaikan adalah sebagai berikut:
1. Risiko teknologi informasi
merupakan bagian dari risiko
operasional yang perlu diperhatikan
secara khusus. Berdasarkan penelitian
yang dilakukan, dapat disimpulkan
bahwa metode Cause-effect sangat
berguna dan membantu dalam
kuantifikasi risiko operasional
terutama risiko Teknologi Informasi
PT. XYZ. Metode ini dapat
digunakan oleh perusahaan lain yang
bertujuan untuk mendapatkan profil
risiko yang lebih ringkas dan
mengukur kerugian/loss yang terjadi
karena risiko Teknologi Informasi.
2. Simulasi kuantifikasi risiko
operasional yang dihasilkan,
memberikan gambaran kerugian
operasional yang dapat terjadi secara
kuantitatif. Berdasarkan penetapan
Batas Toleransi Risiko sesuai dengan
risk appetite PT. XYZ, maka kerugian
yang ditimbulkan secara keseluruhan
14
berada dalam kategori minor.
Sehingga secara keseluruhan dapat
dikatakan bahwa risiko yang terjadi
pada Unit Teknologi Informasi PT.
XYZ tidak terlalu memberikan
dampak yang signifikan.
Saran
Adapun beberapa saran yang dapat
disampaikan adalah sebagai berikut:
1. Metode Cause-effect yang
menggunakan dekomposisi dalam
menciptakan submodel berperan
sangat baik dalam mensimplifikasi
profil risiko. Namun dibutuhkan data
historis yang mencukupi untuk dapat
membuat pengukuran risiko yang
akurat. PT. XYZ belum memiliki data
historis yang mencukupi untuk dapat
dilakukan penghitungan secara
akurat. Karena itu disarankan agar
profil risiko yang sudah ada selalu
dipantau dan direkam setiap kali
terjadi peristiwa risiko untuk
mendapatkan akurasi frekuensi
kejadian risiko.
2. Untuk berikutnya, disarankan juga
bagi PT. XYZ untuk dapat
mengembangkan metode penilaian
risikonya terutama dalam penentuan
dampak kerugian secara kuantitatif
pada setiap peristiwa risiko teknologi
informasi. Sehingga pencatatan
historis nominal kerugian dari
dampak (impact) setiap peristiwa
risiko dapat menjadi lebih akurat.
3. Bagi perusahaan lain baik yang
bergerak dalam bidang energi ataupun
non energi, dapat menggunakan
metode Cause Effect untuk
menghasilkan pengukuran risiko
teknologi informasi secara kuantitatif.
Penggunaan metode Cause-Effect
dapat dikombinasikan dengan
framework penilaian risiko yang ada
ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014

pada perusahaan baik penilaian yang
berbasis aset maupun proses. Profil
risiko yang dihasilkan dari framework
tiap perusahaan kemudian
dikombinasikan dengan metode
Cause-Effect, untuk kemudian
dilakukan kuantifikasi risiko
menggunakan pendekatan penilaian
risiko operasional secara statistik,
baik dengan Loss Distribution
Approach (LDA), Extreme Value
Theory (EVT), dan lain-lain.
DAFTAR PUSTAKA
Basel Committee on Banking Supervision.
(2003). The new Basel capital accord.
BIS, Basel, Switzerland.
Global Association of Risk Professionals
& Badan Sertifikasi Manajemen
Risiko. (2008). Workbook 1-3.
BSMR. Jakarta.
Herwartz, H., & Waichman, I. (2010). A
comparison of bootstrap and Monte-
Carlo testing approaches to value-at-
risk diagnosis. Comput Stat, 25, 725-
732
ISACA. (2009). The Risk IT Framework.
Illinois: ISACA
ISO 31000. (2009). Risk management —
Principles and guidelines.
Switzerland: ISO
ISSN: 2302 - 4119 Vol. 2, No. 1; Januari 2014
Journal of Business and Entrepreneurship
ISO/IEC 27001. (2005). Information
Technology - Security Techniques -
Information Security Management
Systems- Requirements. Switzerland:
ISO
Lampiran Surat Edaran Bank Indonesia
No. 9/30/DPNP Pedoman Penerapaan
Manajemen Risiko dalam
Penggunaan Teknologi Informasi
oleh Bank Umum
Lewis, N.D.C. (2004). Operational Risk
with Excel and VBA Applied
Statistical Methods for Risk
Management. New Jersey: John
Willey& Sons
Mun, J. (2006). Modeling Risk. New
Jersey: John Willey& Sons
Muslich, M. (2007). Manajemen Risiko
Operasional Teori & Praktik. Jakarta:
Bumi Aksara
Peraturan Bank Indonesia No. 9/15/PBI/
2007 Tentang Penerapan Manajemen
Risiko dalam Penggunaan Teknologi
Informasi oleh Bank Umum
Suardi, R. (2004). Sistem Manajemen
Mutu ISO 9000:2000 Penerapannya
untuk Mencapai TQM. Jakarta: PPM
Supatgiat, C., Kenyon, C., & Heusler, L.
(2006). Cause-to-Effect Operational-
Risk Quantification and
Management. Risk Management Vol.
8, pp 16-42
15