BAB V STRATEGI MITIGASI RESIKO

Transkripsi

1 BAB V STRATEGI MITIGASI RESIKO V.1 Risk Mitigation SBUPE Risk Mitigation merupakan suatu metodologi sistematis yang digunakan oleh manajemen senior untuk mengurangi resiko dari misi yang dibuat. Hal ini dapat dicapai melalui beberapa pilihan, sebagai berikut. [2] Risk Assumption. Menerima potensi resiko dan melanjutkan operasional sistem IT atau menerapkan pengendalian untuk menurunkan resiko menjadi suatu tingkatan yang dapat diterima. Risk Avoidance. Menghindari resiko dengan melakukan penghapusan penyebab resiko dan konsekuensinya, Misalnya, membatalkan fungsi tertentu pada sistem atau menutup sistemnya, ketika terdapat resiko yang dikenali. Risk Limitation. Membatasi resiko dengan menerapkan pengendalian untuk memperkecil dampak yang kurang baik dari efek ancaman suatu vulnerability. Misalnya, preventive, detective controls. Risk Planning. Mengatur resiko dengan mengembangkan suatu rencana risk mitigation, yang implementasinya diprioritaskan dan pengendalian dalam pemeliharaan. Research and Acknowledgment. Menurunkan resiko kerugian dengan cara mengetahui vulnerability/kelemahan dan meneliti pengendaliannya untuk memperbaiki vulnerability. Risk Transference. Memindahkan resiko dengan menggunakan suatu pilihan, untuk mengganti kerugian, seperti pembelian asuransi. Tujuan dan misi dari SBUPE harus mempertimbangkan dalam memilih risk mitigation apapun. Jika terjadi kesulitan untuk mengenali semua resiko, maka prioritas seharusnya diberikan pada threat dan vulnerability yang mempunyai potensi dampak pada misi. Hal ini, juga dilakukan dalam melindungi suatu misi organisasi dan sistem IT-nya, karena setiap situasi/lingkungan dan objektif organisasi, mempunyai keunikan, pilihan yang digunakan untuk mengurangi resiko dan metode implementasinya dapat disesuaikan. 90

2 Dari hasil analisis resiko yang dilakukan di SBUPE pada bab sebelumnya, maka untuk penelitian ini dilakukan suatu perancangan berupa tool, untuk menyajikan rekomendasi pada level manajemen unit tersebut dengan melakukan risk mitigation, yang mengarah pada suatu incident handling. V.2 Alur Perancangan Instrument Di dalam pembuatan rancangan instrument ini, dilakukan pengelompokkan asset yang terkait secara langsung dengan operasional Track and Trace system di SBUPE, yang menghasilkan beberapa tabel dari asset. Untuk pengelompokkan asset ini, datanya berasal dari studi lapangan dan dokumentasi Peraturan Dinas mengenai akuntansi yang sudah dijadikan tangible asset oleh unit tersebut. Kemudian, dilakukan analisis resiko secara kualitatif dan kuantitatif yang merupakan bagian aktifitas penilaian resiko. Hasil dari rancangan ini berupa template isian yang dapat dijadikan rekomendasi pendukung strategi manajemen resiko. Sedangkan untuk pengujian rancangannya, laporan ini menyajikan saran untuk langkah-langkah pengujiannya, yaitu dengan mengadopsi metodologi audit yang terdapat pada CISA Review Manual. Asset SBUPE OUTPUT Pengelompokkan Asset Analisis Resiko Secara Kualitatif Analisis Resiko Secara Kuantitatif AKTIFITAS PENILAIAN RESIKO RANCANGAN INSTRUMENT berupa Template Pengujian rancangan dengan metodologi audit Tabulasi Asset Gambar V.1 Alur Proses Perancangan 91

3 V.3 Strategi Mitigasi Resiko di SBUPE Berdasarkan tabel-tabel yang terdapat pada Bab IV, maka SBUPE dapat menerapkan strategi berdasarkan empat kuadran sebagai berikut: Melakukan transfer resiko ke pihak lain (kuadran IV) yaitu memindahkan resiko dengan menggunakan suatu pilihan, untuk mengganti kerugian, seperti pembelian asuransi. Menghindari resiko (kuadran I) yaitu menghindari resiko dengan melakukan penghapusan penyebab resiko dan konsekuensinya, Misalnya, membatalkan fungsi tertentu pada sistem atau menutup sistemnya, ketika terdapat resiko yang dikenali. Mengurangi efek negatif dari resiko (kuadran ) yaitu mengatur resiko dengan mengembangkan suatu rencana risk mitigation, yang implementasinya diprioritaskan dan pengendalian dalam pemeliharaannya Menerima sebagian atau semua konsekuensi dari resiko (kuadran I) yaitu menerima potensi resiko dan melanjutkan operasional sistem IT atau menerapkan pengendalian untuk menurunkan resiko menjadi suatu tingkatan yang dapat diterima Berikut ini merupakan tabulasi (Tabel V.1) dari hasil strategi mitigasi resiko, dengan melakukan pengelompokan berdasarkan empat kuadran tersebut di atas. Tabel V.1 Strategi Mitigasi Resiko NO RESIKO THREAT VULNERABILITY Tidak adanya pelaksanaan rekonsiliasi keuangan 1 Unauthorized access pada setiap unit operasional yang berhubungan I langsung antara resi dengan proses akuntansi 2 Antivirus yang sudah ter-install pada komputer, Malicious code (virus, logic tidak di-update atau diperbaharui untuk versi bomb, Trojan horse) database antivirus yang ada. 3 Administration failure Pengembangan wawasan mengenai jasa kurir 4 Fraudulent act (replay, impersonation, interception) tidak dilakukan pada semua personil Prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada organisasi. KUADRAN 92

4 Tabel V.1 (Lanjutan) Strategi Mitigasi Resiko NO RESIKO THREAT VULNERABILITY 5 Fraud and theft Tidak adanya keberlanjutan revisi untuk juknis beserta dokumentasinya I Computer abuse Standar operating procedure tidak dilaksanakan 6 atau prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada APE. Untuk lokasi umum yang strategis dalam 7 Theft of laptop/pc melaksanakan fungsi operasional, tidak dilengkapi dengan suatu TV camera untuk pemantauan. Unauthorized system access Unit ini tidak mempunyai personil khusus yang (access to classified, menangani masalah teknis 8 proprietary, and/or harware/software/networking, masih ditangani technology-related oleh divisi IT gedung pos Bandung information) Earthquake Kerjasama dengan pihak asuransi yang ada pada 9 unit ini, tidak diperbaharui/tidak mencakup untuk IV kondisi sumber daya terkini. Client/server failure Prosedur dan hasil keputusan pengadaan barang 10 tidak sesuai dengan spesifikasi kebutuhan I operasional 11 Power failure UPS yang sudah terinstalasi pada unit ini, pemeliharaannya tidak dilaksanakan. I KUADRAN V.5 Saran Pengujian Rancangan Dalam laporan ini, untuk tahap pengujian rancangannya disajikan dalam suatu saran langkah-langkah yang akan dilakukan untuk melakukan audit, berdasarkan suatu metodologi standar dari CobiT. [13] Sebelum menjalankan proses audit harus direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan top-management, dan metode audit. Berdasarkan metodologi audit Control Objectives for Information and related Technology (CobiT), maka untuk kondisi yang terjadi di SBUPE dapat mengadopsi langkah-langkah audit seperti dalam Tabel V.2. 93

5 Tabel V.2 Pengujian Rancangan Strategi Majamen Resiko SBUPE No. Audit phase Description 1. Audit subject Hasil perancangan instrument pengukuran Risk assessment sebagai rekomendasi Strategi manajemen resiko di SBUPE Bandung. 2. Audit objective Membuat penyesuaian rekomendasi rancangan dengan kondisi yang terjadi pada SBUPE 3. Audit scope (ruang lingkup) Strategi manajemen resiko yang dilakukan oleh SBUPE berdasarkan rancangan rekomendasi yang dibuat. 4. Preaudit planning Mengidentifikasikan asset SBUPE yang terlibat langsung dengan perancangan sistem yang akan diaudit Sumber daya manusia yang yang terlibat langsung adalah karyawan pos express, sedangkan auditornya berasal dari SPI (satuan pengawasan intern) Dokumen yang diperlukan: juklak, juknis, laporan akuntansi Lokasi yang diaudit adalah SBUPE untuk track and trace system pada paket 5. Audit procedures & steps for data gathering Melakukan rekonsiliasi dengan unit yang melakukan pembukuan akuntansi dan administrasi operasional. Wawancara dilakukan pada sub unit Processing, Account Office, Supervisor, dan Branch Manager Evaluasi secara spesifik yang terjadi pada SBUPE 6. Evaluasi hasil pengujian dan pemeriksaan 7. Prosedur komunikasi dengan Prosedur secara spesifik yang terjadi pada SBUPE pihak manajemen 8. Audit report preparation Menentukan bagaimana cara mereview hasil audit Evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari orgnisasi yang diaudit 94