COMP8042 - IT Risk Management and Audit

Lecture Note
The Risk Management Structure
Outline:
Perencanaan Manajemen Resiko
Lingkungan Risiko
Identifikasi Resiko
Lakukan Analisis Kualitatif
Lakukan Analisis Kuantitatif

Learning Outcome
LO1: Menjelaskan konsep dasar Manajemen Risiko TI dan Audit, dan
mengetahui berbagai kerangka kerja / tekniknya ..
LO2: Menjelaskan karakteristik berbagai teknik Manajemen Risiko TI dan
Audit dan memahami cara kerjanya masing-masing.

Perencanaan Manajemen Resiko

Risiko — hadir dalam beberapa bentuk dan pada tingkat tertentu dalam
sebagian besar aktivitas manusia — dicirikan oleh prinsip-prinsip berikut:
 Risiko biasanya (setidaknya) sebagian tidak diketahui.
 Risiko berubah seiring waktu.
 Risiko dapat dikelola dalam arti bahwa penerapan tindakan manusia
dapat mengubah bentuk dan tingkat pengaruhnya.

Tujuan dari perencanaan manajemen risiko hanyalah untuk memaksa

manajer proyek untuk mencurahkan pemikiran yang terorganisir dan
bertujuan untuk manajemen risiko proyek dan untuk menyediakan
infrastruktur organisasi untuk membantu mereka saat mereka berusaha
untuk
 Tentukan risiko mana yang layak untuk investasi waktu dan energi
 Pisahkan dan optimalkan risiko
 Hilangkan risiko negatif dan tingkatkan risiko positif jika
memungkinkan dan praktis
 Kembangkan tindakan alternatif
 Tetapkan cadangan waktu dan uang untuk menutupi ancaman yang
tidak dapat dikurangi
 Pastikan bahwa batasan risiko budaya organisasi dan proyek tidak
dilanggar
Sebagai bagian integral dari perencanaan dan manajemen proyek normal,
perencanaan risiko dilakukan dengan bijaksana dan diulangi dan harus
dilakukan secara berkala. Beberapa waktu yang lebih jelas untuk
mengevaluasi rencana manajemen risiko termasuk
 Dalam persiapan untuk poin keputusan utama dan perubahan
 Dalam persiapan untuk dan segera setelah evaluasi
 Karena terjadi perubahan signifikan yang tidak direncanakan yang
mempengaruhi proyek
Sebagian besar proyek besar dipandu oleh serangkaian rencana yang
memberikan alasan dan proses yang diinginkan melalui proyek yang akan
dilaksanakan.

Sebuah rencana manajemen risiko direkomendasikan sebagai bagian dari

rangkaian dokumen panduan ini. Rencana tersebut akan mempublikasikan
hasil atau status terbaru dari proses perencanaan manajemen risiko

Dibandingkan dengan beberapa rencana lain, perencanaan risiko belum

banyak dikembangkan dalam hal konten dan format, yang memungkinkan
manajer proyek memiliki kebebasan untuk membuat dokumen yang sesuai
dengan situasi mereka. Salah satu pendekatan terhadap isi rencana
manajemen risiko diilustrasikan pada Tabel 3.1,
Lingkungan Risiko
Di setiap proyek, ada lingkungan berisiko. Ada ancaman yang harus
dihadapi dan peluang yang mungkin muncul dengan sendirinya, dan ada
banyak cara berbeda untuk menghadapinya.

Perencanaan manajemen risiko adalah upaya, secara organisasi, untuk

menarik bersama-sama kebijakan, praktik, dan prosedur risiko organisasi
menjadi satu kesatuan yang utuh yang akan menangani sifat risiko yang
khas proyek.

Menurut Project Management Institute, mereka adalah pernyataan ruang

lingkup, biaya, jadwal dan rencana manajemen komunikasi, aset proses
organisasi, dan faktor lingkungan.

Aset proses dapat direduksi menjadi kebijakan manajemen risiko,

organisasi, toleransi risiko pemangku kepentingan, dan templat untuk
rencana manajemen risiko organisasi.

Di banyak organisasi, konvensi ini sama sekali tidak ada

.
Mereka sangat penting untuk keberhasilan manajemen risiko

Tidak hanya lingkungan untuk organisasi penghasil yang harus

dipertimbangkan, organisasi klien dan lingkungannya juga harus
diperhitungkan. Budaya risiko mereka mungkin, dalam beberapa situasi,
menggantikan budaya perusahaan yang memproduksi.

Tingkat kedalaman dan detail serta pengaruhnya terhadap upaya

manajemen risiko proyek harus dikomunikasikan dalam kebijakan
manajemen risiko organisasi.

Di beberapa organisasi, kebijakan seperti itu sedikit, jika ada. Kebijakan

manajemen risiko akan menawarkan wawasan tentang jumlah informasi
dan pelaporan risiko yang diperlukan pada proyek, serta panduan umum
tentang kualifikasi risiko, kuantifikasi, dan pengembangan respons.
Toleransi risiko pemangku kepentingan merupakan masukan penting
karena anggota pelanggan, proyek, dan tim manajemen yang berbeda
mungkin memiliki perspektif yang berbeda tentang apa yang merupakan
risiko yang “dapat diterima”.

Ini jarang ditentukan sebelumnya atau ditentukan sebelumnya.

Manajer proyek harus mengumpulkan informasi ini dengan mengejar para

pemangku kepentingan utama untuk mengidentifikasi apa yang mereka
dan tidak bersedia terima.

Di beberapa organisasi, manajemen risiko sudah cukup mengakar

sehingga ada bentuk dan format standar untuk rencana manajemen risiko.

Ini lebih umum terjadi di organisasi di mana ada kantor manajemen proyek
(PMO) atau kantor pendukung proyek (PSO).

Format ini mendorong konsistensi dan transfer pengetahuan sebagaimana

sejarah manajemen risiko

Identifikasi Resiko
Sebagai langkah penting dalam proses manajemen risiko, identifikasi risiko
adalah pendekatan yang terorganisir dan menyeluruh untuk menemukan
risiko nyata yang terkait dengan suatu proyek.

Namun, ini bukanlah proses menciptakan skenario yang sangat mustahil

dalam upaya menutupi setiap kemungkinan yang mungkin.

Risiko tidak dapat dinilai atau dikelola sampai kemungkinan yang realistis
diidentifikasi dan dijelaskan dengan cara yang dapat dimengerti.

Alat dan teknik yang diterapkan dalam identifikasi risiko sangat beragam
sesuai dengan proyek yang mereka layani.

Namun, beberapa kelompok jenis alat dan teknik paling umum diterapkan.
Menurut PMI •, mereka mencakup tinjauan dokumentasi, teknik
pengumpulan informasi (termasuk analisis SWOT), daftar periksa, analisis
asumsi, dan teknik diagram.

Lakukan Analisis Kualitatif

Proses identifikasi menghasilkan deskripsi risiko proyek yang
terdokumentasi dengan baik.

Saat analisis dimulai, ini membantu untuk mengatur dan membuat

stratifikasi risiko yang diidentifikasi.

Dengan menggunakan informasi untuk melakukan identifikasi risiko

ditambah keluaran dari identifikasi risiko, dimungkinkan untuk memulai
analisis dasar dari risiko yang diidentifikasi.

Teknik yang digunakan:

 Baselining Risk
 Rating Schemes and Definitions
 Assumptions Testing
 Risk Modeling
 Using Analogies
 Conducting Data Quality Assessments
 Risk Categorization

Lakukan Analisis Kuantitatif

Analisis risiko kuantitatif adalah upaya untuk memeriksa risiko dan

menetapkan nilai metrik keras baik untuk risiko proyek secara keseluruhan
dan risiko yang paling signifikan (sebagaimana ditetapkan melalui
kualifikasi risiko).

Manajer proyek melakukan penghitungan risiko untuk menetapkan peluang

mencapai tujuan proyek, untuk membenarkan cadangan kontingensi, untuk
memvalidasi target yang terkait dengan kendala tiga, dan untuk melakukan
analisis "bagaimana jika" yang mendalam.

Teknik yang digunakan:

 Experts Interview
  Expected Monetary Value (EMV)
 Decision Tree Analysis
 Program Evaluation and Review Technique
 Sensitivity Analysis
 Simulations

Teknik-teknik ini akan dibahas lebih detail di sesi berikutnya.