Referensi : Vellani, K. (2006).

Strategic security management: a risk assessment guide for

decision makers. Elsevier.

RISK ASSESSMENTS

Definition - Penilaian risiko merupakan komponen dari proses manajemen yang berkelanjutan.
Penilaian risiko adalah penilaian kuantitatif, kualitatif, atau gabungan keduanya yang berupaya
menentukan kemungkinan bahwa musuh akan berhasil mengeksploitasi kerentanan dan
dampak yang dihasilkan (tingkat konsekuensi) terhadap suatu aset. Penilaian risiko adalah
dasar untuk memprioritaskan risiko agar dapat secara efektif menerapkan tindakan pencegahan.
Penilaian risiko adalah puncak dari langkah-langkah sebelumnya yang dibahas sejauh ini
dimulai dengan mengidentifikasi aset, menginventarisir langkah-langkah keamanan yang ada,
mendefinisikan ancaman, dan mengidentifikasi kerentanan. Langkah terakhir dari proses ini
adalah untuk menghitung risiko dan membuat rekomendasi untuk menguranginya ke tingkat
yang dapat diterima organisasi.

Risk Assessment - Penilaian risiko adalah tinjauan komprehensif dan rasional yang
menawarkan metode logis dan dapat dipertahankan bagi para profesional keamanan untuk
membuat keputusan tentang biaya keamanan dan untuk memilih langkah-langkah keamanan
yang hemat biaya yang akan melindungi aset penting dan mengurangi risiko ke tingkat yang
dapat diterima. Penilaian risiko dapat berupa kuantitatif dan kualitatif, atau gabungan.
Metodologi penilaian risiko harus terstruktur sehingga hasil dan rekomendasi dapat ditiru
mengingat tim penilai yang berbeda. Penilaian risiko umumnya harus bersifat kuantitatif,
rekomendasi untuk langkah-langkah keamanan tambahan harus menjadi hasil dari analisis
biaya-manfaat, dan langkah-langkah harus dibandingkan dengan standar industri.

Qualitative Risk Assessments - Penilaian kualitatif biasanya digunakan ketika aset yang
membutuhkan perlindungan memiliki nilai lebih rendah atau ketika data tidak tersedia.
Penilaian risiko kualitatif juga dapat digunakan ketika informasi historis atau data metrik tidak
memadai, menghalangi pendekatan kuantitatif. Hasil penilaian kualitatif tergantung pada
keterampilan penilaian orang-orang yang terlibat dalam penilaian.

Quantitative Risk Assessment - Penilaian kuantitatif, di sisi lain, berbasis metrik dan
menetapkan nilai numerik ke tingkat risiko. Tingkat risiko keseluruhan berasal dari semua
metrik keamanan yang tersedia. Penilaian kuantitatif biasanya digunakan untuk melindungi
aset bisnis yang kritis atau bernilai tinggi. Harus diakui bahwa risiko keamanan terkenal sulit
diukur secara kuantitatif karena melibatkan tindakan manusia. Metodologi umum untuk
penilaian risiko kuantitatif adalah untuk mempertimbangkan kemungkinan serangan dan
dampak yang diharapkan pada setiap aset kritis. Probabilitas serangan didasarkan pada
motivasi, kemampuan, dan niat musuh. Bergantung pada jenis fasilitas atau aset yang
dilindungi, data historis juga dapat dipertimbangkan, tetapi kurangnya sejarah tidak boleh
menunjukkan tingkat ancaman yang rendah atau tidak ada. Berdasarkan perhitungan ancaman
dan kerentanan, tingkat risiko keseluruhan dihitung. Risiko = Ancaman + Kerentanan
Specialized Risk Assessment Methodologies - Terdapat sejumlah penilaian risiko khusus
yang membahas kebutuhan industri tertentu atau ancaman spesifik atau jenis aset kritis.

Risk Mitigation - Manajemen risiko adalah proses mengantisipasi kerugian di masa depan dan
menggunakan strategi mitigasi risiko untuk mengurangi atau menghilangkan risiko itu. Secara
umum, lima strategi dapat digunakan untuk menangani risiko: penghindaran, pengurangan,
penyebaran, transfer, dan penerimaan. Penghindaran risiko adalah langkah ekstrem karena
menghambat bisnis. Pengurangan risiko biasanya merupakan kekuatan pendorong untuk
departemen keamanan yang perannya adalah memberikan perlindungan untuk aset.
Penyebaran risiko adalah strategi yang digunakan dalam memindahkan aset ke wilayah
geografis yang berbeda sehingga jika satu daerah diserang, konsekuensinya terbatas pada
wilayah itu. Transfer risiko adalah strategi yang digunakan untuk menghapus risiko dari
pemilik ke pihak ketiga. Asuransi adalah contoh terbaik transfer risiko karena bisnis
mempekerjakan perusahaan asuransi untuk menanggung risiko dengan bayaran. Penerimaan
risiko adalah strategi lain yang digunakan dalam memitigasi risiko. Seperti namanya,
penerimaan risiko hanyalah di mana organisasi mengasumsikan risiko terhadap aset. Mitigasi
risiko adalah strategi keamanan yang dicapai dengan mengurangi tingkat ancaman dengan
menghilangkan atau mencegat musuh sebelum mereka menyerang, memblokir peluang melalui
peningkatan keamanan, atau mengurangi konsekuensi jika serangan harus terjadi. Strategi
terbaik untuk mengurangi risiko adalah kombinasi dari ketiga elemen: mengurangi ancaman,
memblokir peluang, dan mengurangi konsekuensi.

Risk Assessment Report - Laporan penilaian risiko adalah dokumen tertulis yang
komprehensif yang menggabungkan semua elemen metodologi penilaian risiko. Komponen
khas dari laporan penilaian risiko skala penuh termasuk daftar aset utama, aset kritis, dan
karakterisasi fasilitas, ringkasan langkah-langkah keamanan yang ada, laporan penilaian
ancaman termasuk dokumentasi pendukung dengan diagram dan grafik analisis kejahatan,
elemen utama dari laporan penilaian kerentanan dengan survei keamanan dimasukkan sebagai
lampiran, dan rekomendasi untuk modifikasi keamanan dengan analisis biaya-manfaat. Tujuan
dari laporan ini adalah untuk menyoroti temuan-temuan dari penilaian risiko sehingga mereka
dapat membuat keputusan mitigasi risiko yang berpendidikan yang dapat mencakup satu atau
lebih dari lima strategi mitigasi risiko (penghindaran, pengurangan, penyebaran, transfer , dan
penerimaan).

Risk Assessment Report Outline - Dalam laporan penilaian risiko pertama yaitu terdapat
table of content, dimana di dalamnya harus mengidentifikasi setiap bagian utama dan sub-
bagian dan diidentifikasi berdasarkan nomor halaman. Executive summary, digunakan untuk
menyediakan versi ringkas dari seluruh laporan dan menyoroti masalah-masalah utama bagi
para pembuat keputusan yang sibuk. Harus mencantumkan aset utama dan kritis, ancaman dan
kerentanan serta diakhiri dengan rekomendasi. Background and methodology, menguraikan
ruang lingkup penilaian risiko dan metodologi sendiri dapat spesifik untuk fasilitas atau
organisasi atau industri atau metodologi umum. Aset dan aset kritis, digunakan untuk
menguraikan aset yang ada. Existing security measures, diskusi kebijakan dan prosedur
keamanan saat ini. Threat Assessment & Crime analysis, tinjauan data keadaan historis atau
analisis kejahatan mendalam. Dapat berupa tren kejahatan, tingkat, deskripsi jenis kejahatan.
Serta bagaimana perkiraan untuk kedepannya. Vulnerability assessments, menguraikan hasil
survei keamanan dan mengidentifikasi peluang apapun dan kekurangan program keamanan
dijelaskan. Risk assessment and recommendations, menyajikan risiko saat ini terhadap fasilitas
dan aset. Rekomendasi dimasukkan bersama analisis biaya manfaat. Juga dilihat dari analisis
sebelumnya. Appendices, lampiran harus dimasukkan dalam laporan. Dimana penilaian risiko
mencakup daftar aset, deskripsi, dokumentasi, dan lainnya.

Example of Appendix - Praktek 1: Memahami organisasi dan mengidentifikasi orang dan aset
yang berisiko.

KOMENTAR— "Memahami organisasi."

Tugas pertama praktisi keamanan adalah mengembangkan pemahaman tentang organisasi yang
akan dinilai. Pertimbangan harus diberikan pada faktor-faktor seperti jam operasi; jenis klien
yang dilayani; sifat kegiatan bisnis; jenis layanan yang disediakan atau produk yang diproduksi,
diproduksi, disimpan, atau disediakan; sifat kompetitif dari industri; kepekaan informasi;
budaya perusahaan; persepsi toleransi risiko; dan seterusnya. Memastikan jenis informasi
seperti jam operasi, jenis layanan yang disediakan dan lainnya.

KOMENTAR— "Identifikasi orang-orang dan aset yang berisiko."

Langkah kedua dalam proses ini adalah mengidentifikasi aset organisasi yang berisiko terhadap
berbagai bahaya.

Orang-orang termasuk karyawan, pelanggan, pengunjung, vendor, pasien, tamu, penumpang,

penyewa, karyawan kontrak, dan orang lain yang hadir secara sah di properti yang dinilai.
Properti termasuk real estat, tanah dan bangunan, fasilitas; properti berwujud seperti uang
tunai, logam mulia, dan batu; instrumen berbahaya (mis., bahan peledak, senjata, dll.); barang-
barang pencurian tinggi (mis., obat-obatan, surat berharga, uang tunai, dll.); serta hampir semua
hal yang dapat dicuri, rusak, atau sebaliknya terpengaruh oleh peristiwa risiko. Properti juga
termasuk reputasi perusahaan dan informasi.

QUANTITATIVE APPROACH

LOSS EVENT PROFILE Peramalan peristiwa kerugian individu yang mungkin terjadi
adalah langkah pertama dalam berurusan dengan penilaian risiko. jenis peristiwa kerugian atau
risiko, serta tentang kondisi, keadaan, objek, aktivitas, dan hubungan yang dapat dihasilkan
CALCULATING PROBABILITY AND CRITICALITY
Penanggulangan keamanan dapat direncanakan jika kejadian kerugian memiliki karakteristik
berikut:
 1. Acara ini akan menghasilkan kerugian aktual, terukur dalam beberapa media standar,
seperti uang
2. Kerugian itu bukan akibat dari risiko spekulatif karena tidak terjadi peristiwa itu tidak
akan menghasilkan keuntungan
Pengakuan risiko yang bahkan jelas menyiratkan beberapa perkiraan probabilitas bahwa risiko
tersebut sebenarnya akan menghasilkan kerugian.

LOSS EVENT PROBABILITY OR FREQUENCY

Probabilitas dapat dirumuskan sebagai sejumlah cara di mana peristiwa tertentu dapat
dihasilkan dari sejumlah besar percobaan yang dapat menghasilkan peristiwa itu, dibagi dengan
jumlah percobaan tersebut.
P=f/n

P = probabilitas bahwa suatu peristiwa tertentu akan terjadi

f = jumlah kejadian aktual dari peristiwa itu
n = jumlah total percobaan yang mencari peristiwa itu

Probability Factors
Kondisi dan serangkaian kondisi yang akan memperburuk atau meningkatkan eksposur aset
terhadap risiko kerugian dapat dibagi ke dalam kategori utama berikut:
1. Lingkungan fisik (konstruksi, lokasi, komposisi, konfigurasi)
2. Lingkungan sosial (demografi, dinamika populasi)
3. Lingkungan politik (jenis dan stabilitas pemerintahan, penegakan hukum setempat)
sumber daya
4. Pengalaman historis (jenis dan frekuensi kejadian kerugian sebelumnya)
5. Prosedur dan proses (bagaimana aset digunakan, disimpan, diamankan)
6. Kejahatan modern (jenis dan efektivitas alat agresi)

Application of Probability Factors Analyses

Untuk analisis yang efektif, pengamat harus memperhitungkan sifat dinamis perusahaan pada
setiap shift dan antara siang dan gelap. Rutinitas sehari-hari harus dipahami karena penyebab-
penyebab kerugian dapat bervariasi.
Risk Matriks
Matriks menggambarkan situasi tertentu sehubungan dengan masing-masing risiko yang
diidentifikasi dalam pengumpulan fakta umum. matriks yang disusun berdasarkan aset atau
jenis risiko, yang menguraikan semua elemen faktual yang relevan dengan probabilitas.

Probability Ratings
Setelah semua data yang tersedia tentang setiap risiko dan keadaan faktualnya telah
dikumpulkan, peringkat probabilitas dapat ditetapkan. Peringkat tidak akan
mempertimbangkan tindakan pencegahan atau penanggulangan. Tujuan utama dari peringkat
tanpa syarat tersebut adalah untuk memungkinkan penjadwalan prioritas selanjutnya dalam
pemilihan tindakan pencegahan.

Rating Symbols.
Untuk menghemat waktu dan ruang, lima tingkat probabilitas dapat ditetapkan simbol A, B, C,
D, dan E, rangking ke bawah dari “Virtually Sure” ke “Probability Tidak dikenal. ”Simbol-
simbol ini nantinya akan dikombinasikan dengan simbol-simbol yang mewakili kekritisan
dalam pengembangan daftar prioritas. Perlu dicatat bahwa peringkat probabilitas E,
atau "Probabilitas Tidak Diketahui," hanyalah peringkat sementara yang menunggu
pengembangan semua data yang relevan.

LOSS EVENT CRITICALITY

Untuk acara dengan frekuensi yang ditetapkan atau probabilitas rekurensi tinggi, kekritisan
juga harus dipertimbangkan secara kumulatif. Dampak kekritisan atau kerugian dapat diukur
dengan berbagai cara. Salah satunya berpengaruh pada moral karyawan; yang lain berpengaruh
pada hubungan masyarakat. Tetapi ukuran yang paling berguna secara keseluruhan adalah
biaya keuangan. Karena ukuran uang adalah umum untuk semua usaha, bahkan pemerintah dan
perusahaan nirlaba, keseriusan kerentanan keamanan dapat dipahami dengan paling mudah jika
dinyatakan dalam istilah moneter.

Kinds of Costs to Be Considered

Biaya kerugian keamanan adalah langsung dan tidak langsung; mereka diukur dalam hal yang
hilang aset dan pendapatan yang hilang.
1.Permanent Replacement
Biaya yang paling jelas adalah yang terlibat dalam penggantian permanen atas aset yang hilang.
Penggantian permanen atas aset yang hilang mencakup semua biaya untuk mengembalikannya
ke aset lokasi semula
2. Temporary Substitute
Biaya pengganti sementara dialokasikan dengan tepat ke acara keamanan yang menyebabkan
hilangnya aset. Komponen biaya pengganti sementara mungkin (1) Sewa atau sewa; dan / atau
(2) Tenaga kerja premium, seperti kerja lembur atau kerja shift ekstra untuk mengkompensasi
produksi yang hilang.
3. Related or Consequent Cost
Jika personel atau peralatan lain menganggur atau kurang dimanfaatkan karena tidak adanya
aset yang hilang melalui insiden keamanan, biaya waktu henti juga disebabkan oleh peristiwa
kehilangan.

4. Lost Income Cost

Jika uang tunai yang mungkin jadi diinvestasikan harus digunakan untuk pengadaan
penggantian permanen atau pengganti sementara atau untuk membayar biaya konsekuen,
pendapatan yang mungkin diperoleh harus dianggap bagian dari kerugian.

Total lost cost

Income
I=Prt/365

I = penghasilan yang diperoleh

P = jumlah pokok (dalam dolar) yang tersedia untuk investasi
r = tingkat pengembalian tahunan
t = waktu (dalam hari) selama P tersedia untuk investasi

Jika terdapat asuransi

K=Cp+Ct+Cr+Ci-I

K = kekritisan, total biaya kerugian

Cp = biaya penggantian permanen
Ct = biaya pengganti sementara
Cr = total biaya terkait
Ci = kehilangan biaya pendapatan
I = asuransi yang tersedia atau ganti rugi

ALTERNATIVE APPROACHES TO CRITICALITY

Known Frequency Rate
Ketika tingkat frekuensi diketahui, kekritisan peristiwa tunggal dapat dikalikan dengan jumlah
peristiwa yang diharapkan selama periode yang dipertimbangkan, biasanya kalender atau tahun
fiskal. Jadi, jika K = $ 10.000 untuk suatu peristiwa, dan memiliki tingkat frekuensi sekali
setahun, dampak tertimbang akan menjadi $ 10.000 × 1.

Nominal Numerical Probability

Teknik lain, yang berguna untuk mengubah peringkat simbolik menjadi pernyataan numerik
sederhana, adalah menetapkan probabilitas. Selanjutnya, kekritisan kejadian kerugian tunggal
dikalikan dengan nilai probabilitas yang disepakati. Contoh: kekritisan $ 10.000 untuk acara
yang kemungkinan sedang adalah $ 10.000 × .50 = $ 5.000.

Scatter Plots
kekritisan atau dampak biaya terletak pada sumbu vertikal. Kemudian, pada sumbu horizontal
terdapat frekuensi kejadian. Ketika semua risiko telah diplot pada grafik, kurva halus (garis
yang melewati area konsentrasi titik tertinggi) dapat ditarik. Ini akan menunjukkan perkiraan
distribusi kerugian yang diperkirakan untuk periode perencanaan. Program penanggulangan
akan dirancang untuk menurunkan garis itu sebanyak mungkin.

Establishing Priorities
Langkah selanjutnya adalah mengatur seluruh tubuh risiko yang diperingkat ke dalam urutan
prioritas untuk perhatian penanganan. Risiko yang lebih serius didaftarkan pertama kali, diikuti
dengan urutan kepentingan yang menurun oleh yang lain sampai semua risiko telah didaftar.
Daftar harus mengidentifikasi setiap risiko dan menunjukkan peringkat kritikalitas probabilitas
gabungan yang telah ditetapkan.