Manajemen Resiko

Manajemen resiko adalah suatu sistem pengawasan risiko dan perlindungan harta benda, hak milik dan keuntungan badan usaha atau perorangan atas kemungkinan timbulnya kerugian karena adanya suatu risiko.
Proses pengelolaan risiko mencakup identifikasi, evaluasi dan pengendalian risiko yang dapat mengancam kelangsungan usaha atau aktivitas perusahaan. Suatu pendekatan terstruktur/metodologi dalam mengelola ketidakpastian yang berkaitan dengan ancaman; suatu rangkaian aktivitas manusia termasuk: Penilaian risiko, pengembangan strategi untuk mengelolanya dan mitigasi risiko dengan menggunakan pemberdayaan /pengelolaan sumberdaya

Istilah lain dari pengertian resiko adalah (risk) atau risiko memiliki berbagai definisi. Risiko dikaitkan dengan kemungkinan kejadian atau keadaan yang dapat mengancam pencapaian tujuan dan sasaran organisasi. [3] Vaughan (1978) mengemukakan beberapa definisi risiko sebagai berikut:

* Risk is the chance of loss (Risiko adalah kans kerugian).

Chance of loss
Berhubungan dengan suatu exposure (keterbukaan) terhadap kemungkinan kerugian.Dalam ilmu statistik, chance dipergunakan untuk menunjukkan tingkat probabilitas akan munculnya situasi tertentu. Sebagian penulis menolak definisi ini karena terdapat perbedaan antara tingkat risiko dengan tingkat kerugian. Dalam hal chance of loss 100%, berarti kerugian adalah pasti sehingga risiko tidak ada.

* Risk is the possibility of loss (Risiko adalah kemungkinan kerugian).

Istilah possibility berarti bahwa probabilitas sesuatu peristiwa berada diantara nol dan satu. Namun, definisi ini kurang cocok dipakai dalam analisis secara kuantitatif.

* Risk is uncertainty (Risiko adalah ketidakpastian).

* Uncertainty dapat bersifat subjective dan objective. Subjective uncertainty merupakan penilaian individu terhadap situasi risiko yang didasarkan pada pengetahuan dan sikap individu yang bersangkutan. Objective uncertainty akan dijelaskan pada dua definisi risiko berikut.

* Risk is the dispersion of actual from expected results (Risiko merupakan penyebaran hasil aktual dari hasil yang diharapkan). Ahli statistik mendefinisikan risiko sebagai derajat penyimpangan sesuatu nilai disekitar suatu posisi sentral atau di sekitar titik rata-rata.

* Risk is the probability of any outcome different from the one expected (Risiko adalah probabilitas sesuatu outcome berbeda dengan outcome yang diharapkan). Menurut definisi di atas, risiko bukan probabilita dari suatu kejadian tunggal, tetapi probabilita dari beberapa outcome yang berbeda dari yang diharapkan.

Derajat Risiko

Derajat risiko – degree of risk adalah ukuran risiko lebih besar atau risiko lebih kecil. Jika suatu risiko diartikan sebagai ketidakpastian, maka risiko terbesar akan terjadi bila terdapat dua kemungkinan hasil yang masing-masing mempunyai kemungkinan yang sama untuk terjadi

Klasifikasi Risiko

* Risiko yang dapat diukur dan risiko yang tidak dapat diukur

* Risiko financial dan risiko non financial

* Risiko statis dan risiko dinamis

* Risiko fundamental dan risiko khusus

* Risiko murni dan risiko spekulatif

Risiko Dalam Manajemen Risiko
Klasifikasikan ke dalam :

* Risiko operasional adalah risiko yang timbul karena tidak berfungsinya sistem internal yang berlaku, kesalahan manusia, atau kegagalan sistem. Sumber terjadinya risiko operasional paling luas dibanding risiko lainnya yakni selain bersumber dari aktivitas di atas juga bersumber dari kegiatan operasional dan jasa, akuntansi, sistem tekhnologi informasi, sistem informasi manajemen atau sistem pengelolaan sumber daya manusia.

* Risiko hazard ( BAHAYA ) factor –faktor yang mempengaruhi akibat akibat yang ditimbulkan dari suatu peristiwa. Hazard menimbulkan kondisi yang kondusif terhadp bencana yang menimbulkan kerugian. Dan kerugian adalah penyimpangan yang tidak diharapkan. Walaupun ada beberapa overlapping (tumpang tindih) di antara kategori-kategori ini, namun sumber penyebab kerugian (dan risiko) dapat diklasifikasikan sebagai risiko sosial, risiko fisik, dan risiko ekonomi. Menentukan sumber risiko adalah penting karena mempengaruhi cara penanganannya.

* Risiko Finansial adalah resiko yang diderita oleh investor sebagai akibat dari ketidakmampuan emiten saham dan obligasi memenuhi kewajiban pembayaran deviden atau bunga atau bunga serta pokok pinjaman.

* Risiko strategic adalah risiko terjadinya serangkaian kondisi yang tidak terduga yang dapat mengurangi kemampuan manajer untuk mengimplementasikan strateginya secara signifikan.

PROSES MANAJEMEN RESIKO
Pemahaman risk management memungkinkan manajemen untuk terlibat secara efektif dalam menghadapi uncertainty dengan risiko dan peluang yang berhubungan dan meningkatkan kemampuan organisasi untuk memberikan nilai tambah. Menurut COSO, proses manajemen risiko dapat dibagi ke dalam 8 komponen (tahap)

(1) Internal environment (Lingkungan internal)
Komponen ini berkaitan dengan lingkungan dimana instansi Pemerintah berada dan beroperasi. Cakupannya adalah risk-management philosophy (kultur manajemen tentang risiko), integrity (integritas), risk-perspective (perspektif terhadap risiko), risk-appetite (selera atau penerimaan terhadap risiko), ethical values (nilai moral), struktur organisasi, dan pendelegasian wewenang.

(2) Objective setting (Penentuan tujuan)
Manajemen harus menetapkan objectives (tujuan-tujuan) dari organisasi agar dapat mengidentifikasi, mengakses, dan mengelola risiko. Objective dapat diklasifikasikan menjadi strategic objective dan activity objective. Strategic objective di instansi Pemerintah berhubungan dengan pencapaian dan peningkatan kinerja instansi dalam jangka menengah dan panjang, dan merupakan implementasi dari visi dan misi instansi tersebut. Sementara itu, activity objective dapat dipilah menjadi 3 kategori, yaitu

(1) operations objectives; (2) reporting objectives; dan (3) compliance objectives.

Risk tolerance dapat diartikan sebagai variation dalam pencapaian objective yang dapat diterima oleh manajemen. Dalam penerapan pelayanan pajak modern seperti pengiriman SPT WP secara elektronik, diperkirakan 80% Wajib Pajak (WP) Besar akan mengimplementasikannya. Bila ditentukan risk tolerance sebesar 10%, dalam hal 72% WP Besar telah melaksanakannya, berarti tujuan penyediaan fasilitas tersebut telah terpenuhi. Disamping itu, terdapat pula aktivitas suatu organisasi seperti peluncuran roket berawak dengan risk tolerance adalah 0%.

(3) Event identification (Identifikasi risiko)
Komponen ini mengidentifikasi kejadian-kejadian potensial baik yang terjadi di lingkungan internal maupun eksternal organisasi yang mempengaruhi strategi atau pencapaian tujuan dari organisasi. Kejadian tersebut bisa berdampak positif (opportunities), namun dapat pula sebaliknya atau negative (risks).

Terdapat 4 model dalam identifikasi risiko, yaitu
(1) Exposure analysis; (2) Environmental analysis; (3) Threat scenario; (4) Brainstorming questions. Salah satu model, yaitu exposure analysis, mencoba mengidentifikasi risiko dari sumber daya organisasi yang meliputi financial assetsphysical assets seperti tanah dan bangunan, human assets yang mencakup pengetahuan dan keahlian, dan intangible assets seperti reputasi dan penguasaan informasi. Atas setiap sumber daya yang dimiliki organisasi dilakukan penilaian risiko kehilangan dan risiko penurunan. seperti kas dan simpanan di bank,

(4) Risk assessment (Penilaian risiko)
Komponen ini menilai sejauhmana dampak dari events (kejadian atau keadaan) dapat mengganggu pencapaian dari objectives. Besarnya dampak dapat diketahui dari inherent dan residual risk, dan dapat dianalisis dalam dua perspektif, yaitu: likelihood (kecenderungan atau peluang) dan impact/consequence (besaran dari terealisirnya risiko). Dengan demikian, besarnya risiko atas setiap kegiatan organisasi merupakan perkalian antara likelihood dan consequence.

Penilaian risiko dapat menggunakan dua teknik, yaitu: (1) qualitative techniques; dan (2) quantitative techniques. Qualitative techniques menggunakan beberapa tools seperti self-assessment (low, medium, high), questionnaires, dan internal audit reviews. Sementara itu, quantitative techniques data berbentuk angka yang diperoleh dari tools seperti probability based, non-probabilistic models (optimalkan hanya asumsi consequence), dan benchmarking.

Yang perlu dicermati adalah events relationships atau hubungan antar kejadian/keadaan. Events yang terpisah mungkin memiliki risiko kecil. Namun, bila digabungkan bisa menjadi signifikan. Demikian pula, risiko yang mempengaruhi banyak business units perlu dikelompokkan dalam common event categories, dan dinilai secara aggregate.

(5) Risk response (Sikap atas risiko)
Organisasi harus menentukan sikap atas hasil penilaian risiko. Risk response dari organisasi dapat berupa: (1) avoidance, yaitu dihentikannya aktivitas atau pelayanan yang menyebabkan risiko; (2) reduction, yaitu mengambil langkah-langkah mengurangi likelihood atau impact dari risiko; (3) sharing, yaitu mengalihkan atau menanggung bersama risiko atau sebagian dari risiko dengan pihak lain; (4) acceptance, yaitu menerima risiko yang terjadi (biasanya risiko yang kecil), dan tidak ada upaya khusus yang dilakukan.

Dalam memilih sikap (response), perlu dipertimbangkan faktor-faktor seperti pengaruh tiap response terhadap risk likelihood dan impact, response yang optimal sehingga bersinergi dengan pemenuhan risk appetite and tolerances, analis cost versus benefits, dan kemungkinan peluang (opportunities) yang dapat timbul dari setiap risk response.

(6) Control activities (Aktifitas-aktifitas pengendalian)
Komponen ini berperanan dalam penyusunan kebijakan-kebijakan (policies) dan prosedur-prosedur untuk menjamin risk response terlaksana dengan efektif. Aktifitas pengendalian memerlukan lingkungan pengendalian yang meliputi: (1) integritas dan nilai etika; (2) kompetensi; (3) kebijakan dan praktik-praktik SDM; (4) budaya organisasi; (5) filosofi dan gaya kepemimpinan manajemen; (6) struktur organisasi; dan (7) wewenang dan tanggung jawab.

Dari pemahaman atas lingkungan pengendalian, dapat ditentukan jenis dan aktifitas pengendalian. Terdapat beberapa jenis pengendalian, diantaranya adalah preventive, detective, corrective, dan directive. Sementara aktifitas pengendalian berupa: (1) pembuatan kebijakan dan prosedur; (2) pengamanan kekayaan organisasi; (3) delegasi wewenang dan pemisahan fungsi; dan (4) supervisi atasan. Aktifitas pengendalian hendaknya terintegrasi dengan manajemen risiko sehingga pengalokasian sumber daya yang dimiliki organisasi dapat menjadi optimal.

(7) Information and communication (Informasi dan komunikasi)
Fokus dari komponen ini adalah menyampaikan informasi yang relevan kepada pihak terkait melalui media komunikasi yang sesuai. Faktor-faktor yang perlu diperhatikan dalam penyampaiaan informasi dan komunikasi adalah kualitas informasi, arah komunikasi, dan alat komunikasi.

Informasi yang disajikan tergantung dari kualitas informasi yang ingin disampaikan, dan kualitas informasi dapat dipilah menjadi: (1) appropriate; (2) timely; (3) current; (4) accurate; dan (5) accessible. Arah komunikasi dapat bersifat internal dan eksternal. Sedangkan alat komunikasi berupa diantaranya manual, memo, buletin, dan pesan-pesan melalui media elektronis.

(8) Monitoring
Monitoring dapat dilaksanakan baik secara terus menerus (ongoing) maupun terpisah (separate evaluation). Aktifitas monitoring ongoing tercermin pada aktivitas supervisi, rekonsiliasi, dan aktivitas rutin lainnya.

Monitoring terpisah biasanya dilakukan untuk penugasan tertentu (kasuistis). Pada monitoring ini ditentukan scope tugas, frekuensi, proses evaluasi metodologi, dokumentasi, dan action plan.

Pada proses monitoring, perlu dicermati adanya kendala seperti reporting deficiencies, yaitu pelaporan yang tidak lengkap atau bahkan berlebihan (tidak relevan). Kendala ini timbul dari berbagai faktor seperti sumber informasi, materi pelaporan, pihak yang disampaikan laporan, dan arahan bagi pelaporan.

Jenis Manajemen Resiko dalam kehidupan sehari – hari

Resiko Bank – Pasar

• Risiko pasar adalah sebagai risiko kerugian pada posisi neraca serta pencatatan tagihan dan kewajiban diluar neraca yang timbul dari pergerakan harga pasar (on-and off-balance sheet)

• Faktor Yang Menyebabkan Timbulnya Risiko pasar :

• Risiko pasar umum

• Risiko residual

Faktor yang Menentukan Harga Pasar Terkait dengan Risiko

• Penawaran dan permintaan (supply and demand)

• Likuiditas (liquidity)

• Intervensi pemerintah (official intervention)

• Arbitrase (arbitrage)

• Peristiwa ekonomi dan politik (economic and political events)

• Faktor-faktor indikator ekonomi (underlying economic factors)

PERBANDINGAN COSO ERM-INTEGRATED FRAMEWORK DENGAN ISO31000: 2009 RISK MANAGEMENT – PRINCIPLES AND GUIDELINES

Tidak dapat dipungkiri bahwa saat ini terdapat dua rujukan besar yang dijadikan kiblat penerapan manajemen risiko. Kedua rujukan tersebut adalah Committee of Sponsoring Organizations of the Treadway Commission(COSO) Enterprise Risk Management (ERM) – Integrated Framework dan The International Organization for Standardization (ISO) 31000: 2009 Risk Management – Principles and Guidelines. COSO ERM dan ISO 31000: 2009 merupakan rujukan manajemen risiko yang telah banyak diadopsi oleh perusahaan-perusahaan dari berbagai belahan dunia. Kedua rujukan tersebut menyediakan panduan penerapan manajemen risiko dengan tujuan mendukung efektivitas manajemen risiko bagi para penggunanya. Walau disusun dengan tujuan serupa, kedua standar tersebut memiliki perbedaan dalam berbagai aspek dan komponennya.
Keberadaan standar-standar manajemen risiko yang beragam ini melahirkan perdebatan mengenai standar mana yang lebih baik. “Standar manakah yang lebih baik dalam mendukung efektivitas penerapan manajemen risiko? Apakah COSO ERM atau ISO31000:2009?” Untuk menjawab pertanyaan tersebut kita perlu memahami terlebih dahulu isi dari kedua standar tersebut.
COSO ERM – Integrated Framework 2004
Pada tahun 2001, COSO bekerjasama dengan Pricewaterhouse Coopers memulai proyek untuk mengembangkan sebuah kerangka kerja manajemen risiko yang dapat digunakan untuk mengevaluasi dan meningkatkan efektivitas ERM. Kerjasama ini membuahkan hasil pada tahun 2004 dengan dirilisnya COSO ERM – Integrated Framework, yang mendefinisikan manajemen risiko sebagai:
“Proses yang dipengaruhi oleh Board of Directors, manajemen, dan personil lain dalam entitas, diaplikasikan pada pembentukan strategi dan pada seluruh bagian perusahaan, dirancang untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan mengelola risiko selaras dengan risk appetite entitas, untuk menyediakan jaminan yang wajar terhadap pencapaian sasaran dari entitas.”
Dalam kerangka manajemen risikonya, COSO ERM menuntut perusahaan untuk dapat menentukan terlebih dahulu sasaran perusahaannya, yang terdiri dari empat kategori yaitu:
  1. Strategis: sasaran yang mendukung dan selaras dengan misi perusahaan.
  2. Operasi: efektivitas dan efisiensi dari penggunaan sumber daya perusahaan.
  3. Pelaporan: keterpercayaan dari pelaporan.
  4. Pemenuhan: pemenuhan terhadap hukum dan regulasi yang berlaku.
Dalam COSO ERM, manajemen risiko terdiri dari delapan komponen yang saling terkait, yaitu:
  1. Lingkungan internal
    Mengidentifikasi kondisi internal perusahaan, meliputi kekuatan dan kelemahannya, serta pandangan entitas terhadap risiko dan manajemen risiko.
  2. Penetapan sasaran
    Sasaran kegiatan manajemen risiko harus sejalan dengan sasaran dari perusahaan, serta konsisten denganrisk appetite perusahaan.
  3. Identifikasi kejadian
    Kejadian internal dan eksternal yang dapat mempengaruhi pencapaian sasaran perusahaan harus diidentifikasi, meliputi risiko dengan kesempatan yang dapat muncul.
  4. Penilaian risiko
    Risiko dianalisis berdasarkan kemungkinan dan dampaknya. Hasil analisis risiko akan dijadikan dasar untuk menentukan perlakuan risiko.
  5. Perlakuan risiko
    Terdapat empat alternatif pada perlakuan risiko, yaitu menghindari (avoidance), menerima (acceptance), mengurangi (reduction), dan membagi risiko (sharing). Pemilihan perlakuan risiko dilakukan dengan membandingkan hasil analisis risiko dengan risk appetite dan risk tolerance.
  6. Aktivitas pengendalian
    Membangun dan mengimplementasikan kebijakan dan prosedur untuk memastikan perlakuan risiko diterapkan dengan efektif.
  7. Informasi dan komunikasi
    Informasi yang relevan diidentifikasi, diperoleh, dan dikomunikasikan dalam bentuk dan waktu yang tepat agar personil dapat melakukan tanggung jawabnya dengan baik.
  8. Pemantauan
    Seluruh kegiatan ERM harus dipantau, dievaluasi dan dikembangkan.

Gambar 1. Ilustrasi keterkaitan sasaran, komponen ERM, dan unit kerja perusahaan
Sumber: COSO Enterprise Risk Management – Integrated Framework (Executive Summary)

COSO ERM – Integrated Framework juga mendeskripsikan peran dan tanggung jawab dari unit-unit kerja perusahaan dalam penerapan manajemen risiko. Satu prinsip dasar yang ditanamkan COSO ERM adalah bahwa “semua bagian di dalam perusahaan memiliki tanggung jawab terhadap ERM”, yang artinya implementasi manajemen risiko harus mencakup entity-level, division, business unit, hingga subsidiary, dan mencakup seluruh seluruh sumber daya manusia di dalamnya. Walau begitu, terdapat pembagian peran dan tanggung jawab dalam penerapan ERM. Berikut adalah pembagian peran dan tanggung jawab yang dijelaskan COSO ERM:
  • Board of Directors (BoD) memiliki tanggung jawab penting dalam melakukan pemantauan terhadap penerapan manajemen risiko, dengan turut memperhitungkan risk appetite dari entitas;
  • Chief Executive Officer (CEO) memiliki tanggung jawab untuk memastikan berjalannya ERM yang efektif pada keseluruhan perusahaan;
  • Manajer memiliki tanggung jawab dalam mendukung penerapan prinsip ERM perusahaan, memastikan pemenuhan ERM dengan risk appetite, dan mengelola risiko di ranah kewenangannya agar konsisten dengan risk tolerance yang dimilikinya;
  • Risk officer, financial officer, dan internal audit memiliki peran kunci dalam mendukung efektivitas penerapan manajemen risiko perusahaan;
  • Petugas operasional (atau biasa disebut risk coordinator) bertanggung jawab dalam menerapkan manajemen risiko perusahaan sejalan dengan prosedur dan kebijakan manajemen risiko perusahaan;
  • Pihak eksternal (seperti pelanggan, kompetitor, otoritas, dan pihak yang berperan dalam value chainperusahaan) tidak memiliki tanggung jawab dalam memastikan efektivitas ERM dari entitas, tetapi pihak-pihak tersebut berperan penting dalam menyediakan informasi yang dapat mendukung efektivitas manajemen risiko.
ISO 31000: 2009 Risk Management – Principles and Guidelines
ISO 31000: 2009 Risk Management – Principles and Guidelines merupakan sebuah standar internasional yang disusun dengan tujuan memberikan prinsip dan panduan generik untuk penerapan manajemen risiko. Standar internasional yang diterbitkan pada 13 November 2009 ini dapat digunakan oleh segala jenis organisasi dalam menghadapi berbagai risiko yang melekat pada aktivitas mereka. Walau ISO 31000: 2009 menyediakan panduan generik, standar ini tidak ditujukan untuk menyeragamkan manajemen risiko lintas organisasi, tetapi ditujukan untuk memberikan standar pendukung penerapan manajemen risiko dalam usaha memberikan jaminan terhadap pencapaian sasaran organisasi. ISO 31000: 2009 menyediakan prinsip, kerangka kerja, dan proses manajemen risiko yang dapat digunakan sebagai arsitektur manajemen risiko dalam usaha menjamin penerapan manajemen risiko yang efektif.
Gambar 2. Hubungan Antara Prinsip, Kerangka Kerja, dan Proses Manajemen Risiko
Hubungan Antara Prinsip, Kerangka Kerja, dan Proses Manajemen Risiko_0
Sumber: ISO 31000: 2009 Risk Management – Principles and Guidelines
Prinsip manajemen risiko merupakan fondasi dari kerangka kerja dan proses manajemen risiko. Terdapat sebelas prinsip manajemen risiko yang harus dipegang teguh dan diterapkan saat membangun kerangka kerja dan melakukan implementasi proses manajemen risiko. Kesebelas prinsip tersebut adalah
  1. Memberikan nilai tambah dan melindungi nilai organsasi;
  2. Bagian terpadu dari seluruh proses organisasi;
  3. Bagian dari pengambilan keputusan;
  4. Secara khusus menangani ketidakpastian;
  5. Sistematis, terstruktur, dan tepat waktu;
  6. Berdasarkan informasi terbaik yang tersedia;
  7. Disesuaikan dengan kebutuhan organisasi;
  8. Mempertimbangkan faktor budaya dan manusia;
  9. Transparan dan inklusif;
  10. Dinamis, berulang, dan responsif terhadap perubahan;
  11. Memfasilitasi perbaikan sinambung dan peningkatan organisasi.
Kerangka kerja manajemen risiko merupakan struktur pembangun proses manajemen risiko. Kerangka kerja dimulai dengan pemberian mandat dan komitmen, lalu dilanjutkan dengan kerangka implementasi “Plan, Do, Check, Act”, yang terdiri dari:
  1. Perencanaan kerangka kerja manajemen risiko;
  2. Penerapan manajemen risiko;
  3. Monitoring dan review terhadap kerangka kerja manajemen risiko;
  4. Perbaikan kerangka kerja manajemen risiko secara berkelanjutan.
Proses manajemen risiko merupakan kegiatan kritikal dalam manajemen risiko, karena merupakan penerapan daripada prinsip dan kerangka kerja yang telah dibangun. Proses manajemen risiko terdiri dari 5 proses besar yaitu:
  1. Komunikasi dan konsultasi;
  2. Penetapan konteks;
  3. Penilaian risiko (terdiri dari identifikasi, analisis, dan evaluasi risiko);
  4. Perlakuan risiko;
  5. Monitoring dan review.
Implementasi secara mendetail dan menyeluruh pada prinsip, kerangka kerja dan proses manajemen risiko berdasarkan ISO 31000: 2009 tersebut diharapkan dapat meningkatkan efektivitas manajemen risiko organisasi.
Keunggulan dan Kelemahan dari COSO ERM – Integrated Framework dan ISO 31000: 2009 Risk Management – Principles and Guidelines
Menyadari perbedaan yang ada pada COSO ERM – Integrated Framework dan ISO 31000: 2009 Risk Management – Principles and Guidelines, tentunya terdapat keunggulan dan kelemahan tersendiri dari kedua standar ini. Berikut adalah tabel yang menggambarkan perbedaan serta keunggulan dan kelemahan dari kedua standar tersebut.
Perbedaan
COSO ERM – Integrated Framework
ISO 31000: 2009 Risk Management– Principles and Guidelines
Definisi risiko
“Kemungkinan terjadinya sebuah event yang dapat mempengaruhi pencapaian sasaran entitas.”
Menurut Grant Purdy, seorang praktisi manajemen risiko veteran di Melbourne, definisi ini gagal menangkap potensi risiko yang dapat muncul akibat perubahan kondisi yang terjadi secara perlahan.
“Efek dari ketidakpastian terhadap pencapaian sasaran organisasi.”
Definisimanajemen risiko
“Proses yang dipengaruhi oleh Board of Directors, manajemen, dan personil lain dalam entitas, diaplikasikan pada pembentukan strategi dan pada seluruh bagian perusahaan, dirancang untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan mengelola risiko selaras dengan risk appetite entitas, untuk menyediakan jaminan yang wajar terhadap pencapaian sasaran dari entitas.” “Aktivitas-aktivitas terkoordinasi yang dilakukan dalam rangka mengelola dan mengontrol sebuah organisasi terkait dengan risiko yang dihadapinya.”
Komponen manajemen risiko
Proses dan kerangka kerja manajemen risiko tidak dipaparkan secara terpisah. Menurut Grant Purdy hal ini dapat menimbulkan kebingungan dan inefektivitas terhadap manajemen risiko, dimana kerangka kerja seharusnya dirancang pada top level management, sedangkan proses manajemen risiko seharusnya diterapkan pada proses-proses organisasi. Standar ini menekankan pada pengembangan pengendalian internal sebagai upaya perusahaan dalam mengelola risiko.
Memaparkan kerangka kerja dan proses manajemen risiko secara terpisah. ISO 31000: 2009 juga menyediakan prinsip manajemen risiko yang harus diterapkan dalam kerangka kerja dan proses untuk mendukung efektivitas manajemen risiko. Standar ini menekankan penerapan manajemen risiko sebagai alat penciptaan dan pelindung nilai organisasi.
Awal proses manajemen risiko
Dimulai dengan menetapkan sasaran perusahaan yang terdiri dari empat kategori yaitu strategis, operasi, pelaporan, dan pemenuhan. Dimulai dengan membangun konteks untuk mengidentifikasi kondisi internal, kondisi eksternal, konteks manajemen risiko, dan kriteria risiko.
Identifikasi konteks eksternal
Sedikit dilakukan. Dilakukan secara menyeluruh.
Komponen proses manajemen risiko
Terdiri dari 8 komponen, yaitu:
(1) identifikasi lingkungan internal;
(2) penetapan sasaran manajemen risiko;
(3) identifikasi kejadian;
(4) penilaian risiko, perlakuan risiko;
(5) aktivitas pengendalian;
(6) informasi dan komunikasi;
(7) dan pemantauan.
Terdiri dari lima komponen besar, yaitu:
(1) komunikasi dan konsultasi;
(2) membangun konteks;
(3) penilaian risiko;
(4) perlakuan risiko; dan
(5)monitoring dan review.
Pengertianinherent risk
Inherent risk diartikan sebagai eksposur perusahaan terhadap risiko secara utuh. (dampak dari existing control tidak diperhitungkan) Inherent risk diartikan sebagai eksposur perusahaan terhadap risiko setelah dilakukan pengendalian internal.
Prinsip manajemen risiko
Tidak ada. Tersedia dan menjadi hal yang harus diterapkan pada kerangka kerja dan proses manajemen risiko untuk mendukung efektivitas penerapan manajemen risiko.
Perbaikan berkelanjutan
Perbaikan hanya dilakukan apabila diperlukan, berdasarkan hasil pemantauan. Memfasilitasi perbaikan berkelanjutan pada keseluruhan kerangka kerja dan proses manajemen risiko, sesuai dengan kebutuhan organisasi dan perkembangan konteks.
Penyaluran Informasi
Informasi hanya dikomunikasikan kepada pelaku manajemen risiko untuk mendukung pencapaian sasaran unit-unit tersebut. Keterlibatan stakeholders eksternal tidak diungkapkan pada standar ini. Informasi mengenai risiko dan manajemen risiko dikomunikasikan dan dikonsultasikan dengan seluruhstakeholders perusahaan, baik internal maupun eksternal (sesuai prinsip “transparan dan inklusif”). Keterlibatan stakeholders diperlukan untuk mengidentifikasi kepentingan seluruh pihak agar menjadi bahan pertimbangan pengambilan keputusan.
Aspek manusia dan budaya
Aspek manusia disebutkan sebagai batasan dari manajemen risiko dalam memberikan jaminan terhadap pencapaian sasaran organisasi. Memperhitungkan aspek manusia dan budaya ke dalam manajemen risiko (prinsip “mempertimbangkan faktor budaya dan manusia”). Penerapan manajemen risiko turut mempertimbangkan kultur, persepsi, dan kapabilitas manusia, termasuk memperhitungkan perselisihan kepentingan antara organisasi dengan individu di dalamnya.
Perbedaan yang melekat pada kedua rujukan ini membawa keunggulan dan kelemahan tersendiri pada COSO ERM – Integrated Framework dan ISO 31000: 2009 Risk Management – Principles and Guidelines dari hasil pengamatan penulis, standar ISO 31000: 2009 memiliki keunggulan esensial dalam memberikan panduan yang lebih mendetail dan komprehensif. Keberadaan prinsip manajemen risiko, penetapan konteks eksternal, dan pemisahan antara kerangka kerja dengan proses manajemen risiko menjadi keunggulan kompetitif yang dimiliki oleh ISO 31000: 2009. Fakta bahwa standar ISO 31000: 2009 telah diakui dan diadaptasi sebagai standar manajemen risiko di hingga 40 negara juga menunjukkan bahwa ISO 31000: 2009 telah bertahan dari uji kelayakan oleh berbagai negara. Namun pada akhirnya, dalam memilih standar terbaik untuk diimplementasikan, keunikan pada kedua standar tersebut perlu dipertimbangkan dan disesuaikan dengan sasaran, karakteristik, dan regulasi yang berlaku pada organisasi. Dalam penerapannya, organisasi juga dapat mengadaptasi dan mengkombinasikan komponen-komponen tertentu pada kedua rujukan tersebut untuk membangun sistem manajemen risiko tersendiri yang efektif bagi organisasinya.
Daftar Pustaka

 

Sumber: http://crmsindonesia.org/knowledge/crms-articles/perbandingan-coso-erm-integrated-framework-dengan-iso31000-2009-risk-managem

Framework IT Audit

IT Governance memberikan panduan untuk memastikan terjadinya IT-Business Alignment, pengelolaan risiko TI secara memadai, efisiensi penggunaan sumberdaya TI dan memungkinnya kinerja TI selalu termonitor. Implementasi IT Governance adalah satu key success factor paling krusial implementasi TI, selain ketepatan pilihan Arsitektur TI

Control Objectives for Information and Related Technology (COBIT) dengan versi terakhirnya adalah versi 5.0, merupakan framework IT Governance yang dikeluarkan oleh ISACA dan sampai saat ini merupakan framework IT Governance yang paling populer di dunia. Selain itu ISO pun mengeluarkan guideline untuk IT Governance leadership, yaitu ISO 38500:2008 yang berisi pilar-pilar untuk direct, control dan evaluation bagi pelaksanaan ICT Governance yang sebenarnya ditujukan untuk meng-address “kekurangan” dari framework COBIT versi 4.1. Framework/standar lain juga dapat dikatakan kepada keluarga IT Governance, seperti ISO 20000 (Service Management System), ISO 27001 (Information Security Management System) dan ITIL (IT Infrastructure Library).

Pada training ini akan dijelaskan dasar-dasar, prinsip-prinsip utama, interpretasi klausul, serta best practice implementasi IT Governance yang efektif. Pada training ini juga akan dibahas dan diberikan sampel-sampel dokumen (Pedoman, SOP, Instruksi Kerja, Formulir) IT Goveranance yang berguna bagi pembangunan serta implementasi IT Governance ke depannya.

 

sumber: http://itgid.org/cobit-5/

IT Audit

I. Pengertian IT Audit

Audit teknologi informasi adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya.

Dalam pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survey, wawancara, observasi dan review dokumentasi.Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti elktronis. Biasanya, auditor TI menerapkan teknik audit berbantuan computer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saha data transaksi penjualan, pembelian,transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.

II. Tujuan IT audit

  • Availability ketersediaan informasi, apakah informasi pada perusahaan dapat menjamin ketersediaan informasi dapat dengan mudah tersedia setiap saat.
  • Confidentiality / kerahasiaan informasi, apakah informasi yang dihasilkan oleh sistem informasi perusahaan hanya dapat diakses oleh pihak-pihak yang berhak dan memiliki otorisasi.
  • Integrity, apakah informasi yang tersedia akurat, handal, dan tepat waktu.

III. Manfaat Audit IT

Manfaat pada saat Implementasi (Pre-Implementation Review)

  • Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
  • Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
  • Mengetahui apakah outcome sesuai dengan harapan manajemen.

Manfaat setelah sistem live (Post-Implementation Review)

  • Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya.
  • Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya.
  • Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
  • Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
  • Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.

 

sumber: http://itgid.org/it-audit-2/

Menjadi Professional IT Auditor dengan CISA

CISA

Sertifikasi CISA ini sangat menguntungkan untuk masa depan di dunia IT, dengan sertifikasi ini Anda akan lebih dipercaya sebagai auditor IT, dan peluangnya sangat besar dalam meraih penghasilan di bidang IT Auditor, karena pesaingnya masih sedikit terutama di Indonesia.

CISA ini diselengarakan oleh badan internasiona yang dinamakan ISACA (Information Systems Audit and Control Association). Untuk mendapatkan sertifikat ini Anda harus daftar ke ISACA secara online dan mengikuti persyaratan dari badan tersebut.

Sertifikasi CISA ini sudah berlangsung sejak tahun 1978. Pengaturan dalam ujian CISA yang pertama dilaksanakan pada tahun 1981, dan jumlah pendaftar selalun bertambah pada tiap tahunnya. Hampir di atas 60,000 auditor sudah berpenghasilan dari CISA tersebut.

Calon-calon yang akan mengikiuti sertifikasi CISA harus melewati ujian tertulis selanjutnya harus setuju pada aturan ISACA , Professional Ethics, menyerahkan bukti dari sedikitnya lima tahun profesional adalah auditing,pengedalian , atau keamanan IT dan lainnya.

Keberhasilan dalam ujian CISA, menuntut kandidat memiliki kesiapan khusus dan juga pengalaman yang memadai di bidang audit sistem informasi. Untuk itu, CISA diakui secara internasional sebagai professional dengan pengetahuan, keterampilan, pengalaman dan kredibilitas dengan standar leverage, mengelola kerentanan, memastikan kepatuhan, menawarkan solusi, kontrol lembaga dan memberikan nilai bagi perusahaan.

Berikut adalah daftar top tips untuk lulus Ujian CISA :

  1. Kupas Tuntas CRM

ISACA menyediakan Ulasan Manual (CRM) yang berfungsi sebagai panduan untuk ujian CISA. CRM membahas semua rincian yang terkait dengan ujian CISA dan mendefinisikan peran dan tanggung jawab dari suatu sistem informasi auditor.

  1. Praktik CISA Review Pertanyaan dan Jawaban

Calon peserta dapat menggunakan sampel pertanyaan dan jawaban untuk memahami konsep yang sulit  dan meningkatkan persiapan ujian  CISA dalam mencapai sertifikasi CISA. Pertanyaan-pertanyaan review dan jawaban dirancang untuk memberikan gambaran dari ujian CISA.

  1. Pengalaman Dalam Sistem Informasi Audit

Untuk memenuhi syarat dalam program sertifikasi profesional seperti CISA, sangat penting untuk mendapatkan pengalaman di bidang praktis. IT audit yang sama seperti jenis audit lainnya namun dengan lingkup yang berbeda. Seorang profesional harus memiliki gagasan tentang pemahaman proses bisnis, pemeriksaan lingkup definisi, perencanaan audit dan pelaporan dalam hal industri nyata.

  1. Mengelola Jam Belajar

Menjadi seorang profesional, bisa sulit bagi calon untuk mengelola jam belajar untuk persiapan ujian CISA. Namun, mengelola jam belajar per bidang studi sangat penting untuk meraih sukses dalam ujian CISA. Satu dapat mendedikasikan 1-2 jam secara teratur untuk meningkatkan ujian mereka persiapan CISA menuju pilar kesuksesan.

  1. Bergabunglah pada CISA Grup dan Forum

Peserta dapat bergabung dengan kelompok CISA dan forum untuk berinteraksi dengan calon peserta CISA ataupun alumni CISA yang sudah lulus ujian. Ada berbagai forum diskusi di sertifikasi CISA. Platform tersebut dapat menyediakan baik pengetahuan teoritis dan praktis tentang IS audit dan dengan demikian membantu meningkatkan  persiapan ujianCISA menuju pencapaian kelulusan yang terbaik.

  1. Ikut dalam Training CISA Exam Preparation Class

Calon peserta dapat mengikuti training dalam persiapan mengikuti ujian CISA yang diadakan oleh organisasi atau lembaga-lembaga training. Hal ini dapat memudahkan calon peserta dalam menangkap garis merah apa saja yang keluar saat nanti ujian CISA dan dengan melakukan training CISA ini calon peserta akan menambah pertemanan dengan calon peserta lainnya yang sebelumnya belum calon peserta kenal. Hal ini bisa menjadi hal yang positif untuk saling share dan menjadi rekan untuk belajar bersama.

Tujuan dari program CISA Exam Preparation ini adalah sebagai berikut:

  • Menyediakan sarana untuk memotivasi IS auditor dalam mengevaluasi kompetensi individu dan memelihara maupun memperbaharui kemampuan mereka
  • Menyediakan kriteria untuk membantu manajemen dalam pemilihan personel dan untuk pengembangan.

Manfaat Program CISA Exam Preparation

  • Membantu persiapan untuk mengikuti ujian dan memperbesar peluang lulus tes ujian CISA.
  • Menambah pengetahuan dan ketrampilan audit sistem informasi.
  • Memahami common body of knowledge (CBOK) audit sistem informasi
  • Mengenali situasi ujian dan karakteristik soal serta memahami bagaimana cara menjawab soal multiple choice
  • Mempersiapkan diri secara optimal dalam mengikuti ujian CISA Syllabus
  • IS Audit Process
  • IT Governance
  • Systems and Infrastructure Lifecycle Management
  • IT Service Delivery and Support
  • Protection Information Assets
  • Business Continuity and Disaster Recovery
  • Exam Simulation

 

sumber: http://itgid.org/menjadi-professional-it-auditor-dengan-sertifikasi-cisa/

Struktur Organisasi IT & Peranannya di Perusahaan (SCM module)

Yang menjadi masalah utama tidak efisiennya kinerja departemen IT adalah organisasi yang buruk dari staf dan kurangnya kejelasan peran dan tanggung jawab. Biaya dari departemen IT yang tidak efektif umumnya besar. Organisasi IT yang buruk juga menyebabkan deadline proyek yang tidak terpenuhi, jatuhnya service dari server secara tidak terencana, garis service IT yang tidak jelas, dan proyek yang tidak menguntungkan.

Umumnya seluruh kegiatan IT dapat dibagi menjadi dua bagian dasar yaitu “operation and infrastructure” dan “Aplication Development“. Bagian operasi berurusan dengan penanganan sehari-hari dari lingkugan komputer dan keamanan. Bagian Aplikasi bertanggung jawab dengan pembuatan dan pengembangan aplikasi bisnis. Untuk perusahaan besar, ada beberapa group khusus yang dibentuk agar lebih terspesialisasi. Berikut adalah diagram peran karyawan pada divisi IT (Note: diagam dibawah dapat menjadi bentuk dari struktur organisasi tetapi tidak selalu):

IT_1

 

Untuk perusahaan yang kecil, satu karyawan dapat mengambil lebih dari satu peran misalkan sebagai Business Analyst sekaligus Application Developer. Tapi perusahaan harus tetap berpegang pada satu syarat : tidak diperkenankan karyawan memegang dua jenis peran sebagai pembuat sekaligus pengawas dalam sebuah proyek. Misalkan seorang programmer yang juga mengambil peran sebagai testing. Ada kemungkinan hasil testingnya diragukan karena programmer tersebut menilai hasil karyanya sendiri.

Peran-peran diatas juga melambangkan tingkatan penanganan masalah IT dalam perusahaan. Berikut ini adalah gambar tingkatan penanganan masalah IT:

IT_2

Help desk adalah lapisan pertama yang harus dihubungi oleh end user bila mereka mereka mendapatkan masalah. Help desk akan berupaya menanganinya, tapi bila gagal akan mengirimkan ke lapisan yang lebih senior. Selama itu, help desk akan menjadi koordinator dari penanganan masalah. End user harus selalu menghubungi help desk saat meminta bantuan ataupun menanyakan progress permintaan bantuan mereka. End User dilarang untuk menghubungi secara langsung lapisan support yang lebih dalam (mem-bypass helpdesk)

Berikut ini adalah penjelasan dari peran-peran yang umum ditemukan pada divisi IT yang menjadi acuan untuk peningkatan business di perusahaan:

  1. Help Desk

    Help Desk adalah titik utama dimana client dari IT akan pertama kali menghubungi divisi IT saat mempunyai pertanyaan atau masalah yang berhubungan dengan IT. Help Desk membawa harga diri dan wibawa divisi IT saat berhubungan dengan client sehingga Help Desk sangat mempengaruhi customer experience. Help Desk menyimpan database dari masalah dan solusi yang muncul dari operasional IT sehari-hari. Help Desk memfasilitasi komunikasi antara user dan bagian IT lainnya, merespon crisis, dan membuat prioritas pengerjaan masalah. Karena merupakan titik pertama hubungan ke client, staf help desk harus mempunyai pengetahuan yang luas (meskipun tidak mendalam). Hal ini diperlukan agar sebuah masalah dapat segera dikategorikan dan diberikan pada tim solusi yang benar.

    Helpdesk haruslah menjadi tempat utama client pertama kali menghubungi divisi IT. Bila tidak, penanganan masalah menjadi tidak terkoordinasi dan pengetahuan menjadi hilang setelah solusi diimplementasikan. Client tidak diperkenankan untuk menghubungi divisi lain karena akan mengacaukan prioritas kerja.

    Help Desk sebaiknya dibantu oleh software tertentu untuk memfasilitasi pelacakan sebuah insiden, eskalasi masalah, dan pelaporan. Software harus juga mampu melakukan pengkategorian masalah, menyimpan pengetahuan dari solusi yang didapat, dan melakukan prioritas pengerjaan.

    Intensitas dari pekerjaan Help Desk yang tinggi menyebabkan seringnya bagian Help Desk mengalami kejatuhan moral kerja karena tekanan dan lembur yang harus ditanggung. Alternatif yang baik adalah memberikan kompensasi yang besar untuk help desk atau melakukan rotasi pekerjaan untuk menghilangkan kejenuhan.

  2. End User Support
    End User Support bertanggung jawab untuk perbaikan fisik komputer dan kunjungan ke lapangan kerja. Grup ini adalah lapisan kedua dari manajemen masalah dan solusi. Umumnya bila ukuran group cukup besar, manajer akan membagi menjadi beberapa tim kecil berdasarkan lokasi, teknologi, aplikasi, atau kelompok bisnis. Setiap kelompok kecil mempunyai seorang kepala. Seperti Help Desk, End User Support harus juga mempunyai kemampuan yang luas pada sistem IT pada perusahaan. Perbedaannya, End User Support mempunyai pengetahuan yang lebih mendalam pada sistem standar perusahaan. Keahlian lebih diarahkan pada hardware dan software yang ada pada sistem komputer end user bukan pada aplikasi server.End User Support bertanggung jawab dalam memberikan dukungan pada seluruh peralatan dan aplikasi yang terpasang pada sisi end user. Selain itu End User Support juga bertanggung jawab pada instalasi peralatan baru, perawatan peralatan yang ada, dan upgrade pada sistem end user. Untuk memudahkan pekerjaan End User Support, IT Standard harus diberlakukan agar pekerjaan tidak terlalu beragam.Selain kemampuan teknis, End User Support harus mempunyai kemampuan untuk berkomunikasi dengan client dan membangun hubungan baik dengan anggota bisnis lain. Pekerjaan lainnya adalah memberikan training untuk end user sehingga mengurangi jumlah panggilan kepada end user Support.

    Dalam sebuah organisasi IT yang lemah, adalah umum bila kita mendapati end user / client melompati help desk dan langsung menghubungi profesional atas. Bila terus berlangsung, sikap ini akan menimbulkan frustasi pada profesional lapisan atas karena pekerjaan mereka yang terganggu. Ujung-ujungnya prosesional atas akan keluar dari perusahaan saat moral kerja mereka menjadi terlalu rendah. Sifat dari end user / client ini juga menunjukkan frustasi mereka pada IT karena merasa help desk kurang dapat membantu menangani masalah mereka. Terkadang, perusahaan menempatkan end user support team dibawah sebuah divisi tertentu dan secara hirarki bukan divisi IT meskipun pekerjaan mereka adalah IT. Secara jangka pendek, hal ini merupakan solusi yang baik karena dengan menempatkan tim IT permanent, respon terhadap masalah client menjadi lebih cepat. Disisi lain, hal ini menunjukkan masalah serius pada divisi IT jika penempatan tersebut bersifat jangka panjang. Divisi lain kemungkinan merasa divisi IT tidak mampu merespon dengan cepat pada kebutuhan mereka, kemudian berinisiatif membuat “divisi IT bayangan” pada divisi mereka. Divisi IT bayangan ini dapat menimbulkan masalah serius saat mereka mengupayakan solusi sendiri terpisah dari divisi IT utama. Sistem IT pada perusahaan dengan cepat dapat terpulau-pulau dan tidak compatible satu sama lain karena tidak dipatuhinya standar. Perubahan yang terjadi pada salah satu Divisi IT bayangan dapat berakibat pada Divisi IT atau divisi lainnya, yang akhirnya mengakibatkan saling menyalahkan. Koordinasi dan komunikasi menjadi masalah besar. Masalah lain muncul bila divisi IT bayangan bubar, divisi IT yang asli akan kesulitan mengambil alih bila sistemnya berbeda dengan standar. Jika divisi IT bayangan juga melakukan development software dan sekaligus menjadi end user, Auditor IT mungkin akan menunjukkan muka tidak setuju karena terdapat resiko karyawan IT bisa memanipulasi data karena tidak adanya segregation of duties

  3. Network Administration Group
    Network Administrator Group mengatur semua kemampuan jaringan komunikasi data yang dibutuhkan oleh bisnis. Network administrator bertanggung jawab pada semua kabel, hubs/switch, kemananan jaringan, routersgatewaysfirewall, dan hal yang berhubungan dengan jaringan lainnya. Mereka melakukan pengawasan traffic jaringan dan melakukan efisiensi / upgrade sebelum kebutuhan melebihi kapasitas. Network administrator membutuhkan keahlian yang khusus meliputi pengetahuan pada hardware jaringan, media network / kabel, network protocols, enkripsi, dan firewall. Tingginya tuntutan keahlian dan pengetahuan pada network administrator menyebabkan tingginya pula pelatihan dan pengalaman yang harus dibayar agar seorang network administrator menjadi efektif. Pelatihan sendiri membutuhkan waktu 5 tahun lebih agar efektif. Network administrator bertanggung jawab dalam meneliti aplikasi, akses, dan data transfer yang dibutuhkan. Kemudian menentukan solusi yang paling optimal dan menegosiasikan kontrak dengan vendor. Penilaian kebutuhan, perencanaan kapasitas, dan implementasi yang baik dapat mengurangi biaya. Untuk perusahaan menangah atau kecil, network administrator dan system administrator dapat dikerjakan oleh satu orang.
  4. System Administrator / Computer Operation Group
    System Administrator dan Computer Operations Group mengatur, mengawasi, dan mengkonfigurasi seluruh Server dan System Software yang membentuk sebuah infrastruktur dimana terdapat aplikasi dan data perusahaan. Sistem ini termasuk email server , web/FTP server, print server, development, test, and production server. Setiap server mungkin berdasarkan pada teknologi yang berbeda tergantung pada standar perusahaan. Tugas-tugas seorang System Administrator antara lain instalasi/perawatan/upgrade peralatan/ sistem operasi/aplikasi, perencanaan kapasitas, backup, user profile management, dan keamanan sistem. Keseluruhan tugas ini membutuhkan pengetahuan yang sangat mendalam pada bagaimana software bekerja untuk memenuhi kebutuhan bisnis.Sistem administrator secara proaktif mengatur sistem server untuk mengurangi masalah yang dapat muncul saat jam production dan penyusupan ilegal. Sistem administrator juga harus melacak utilisasi server, mengantisipasi dengan menambah kapasitas bila frekuensi penggunaan mendekati batas kemampuan server. Karena ini, sistem administrator umumnya mempunyai pekerjaan yang berat karena mereka harus tersedia saat jam kerja dan harus merawat server di luar jam kantor.Jadwal perawatan dan upgrade harus dengan hati-hati dikoordinasikan dengan unit bisnis yang lain. Bila aspek ini diabaikan, dapat terjadi sebuah server di maintenance pada saat user sedang sibuk, mengakibatkan user menjadi frustasi karena tidak dapat mengakses aplikasi yang berada pada server tersebut. Downtime dari serbuah server harus diumumkan keseluruh pemakai.

    Sistem administrator juga harus berkoordinasi pada saat memperkenalkan sebuah teknologi baru pada sistem perusahaan. Sistem administrator harus dengan sangat hati-hati melakukan uji coba sistem baru dan memperhatikan aspek pelatihan dan pengalaman. Langkah-langkah ini diperlukan agar sistem baru tidak mengganggu sistem lama. Hal yang sama juga dilakukan bila sistem administrator harus mengupgrade sistem.

    Memberikan dukungan pada hardware dan software server adalah sebuah pekerjaan yang kompleks serta membutuhkan keahlian khusus. Umumnya divisi IT selalu mempunyai orang-orang ahli tertentu yang bertanggung jawab mengatur sebuah aspek dari infrastruktur servernya. Sebaiknya sebelum perusahaan memperkenalkan platform baru, biaya tenaga ahli dimasukkan dalam perhitungan. Sebuah platform standar harus dibuat untuk jenis server yang ada dan mengurangi biaya tenaga ahli.

  5. Telecommunications Services Group
    Banyak perusahaan mendapati bahwa lebih murah untuk membeli dan mengoperasikan telepon sistem mereka sendiri.Telecommunications Services Group mengatur seluruh telepon dan jasa lainnya yang berhubungan. Jasa yang diberikan adalah telepon, voice mail, fax, dan video conferencing.Jasa telekomunikasi mensyaratkan pengetahuan pada telephony switch hardware (PBX) dan konfigurasi software, perkabelan pada bangunan, konfigurasi call center, voice mail configuration, danvideo conferencing equipment.Terkadang anggota Telecommunication Services Group diassign secara reguler ke help desk karena umumnya anggota help desk kurang mempunyai pengetahuan pada area ini. Assignment ini berikan agar tidak seluruh permintaan support di arahkan ke kelompok Telecommunication Services Group.

    Bila sistem cukup kompleks, perusahaan dapat meng-outsource services pada vendor. Help desk dalam hal ini harus mendapatkan fasilitas untuk melakukan penjadwalan support dengan vendor.

  6. Infrastructure / Operations Manager
    Manajer operasi bertanggung jawab pada performa dari semua tim yang berada pada IT Operation Group. Manajer harus mempunyai pengetahuan yang luas pada teknologi yang berada pada wilayah tanggung jawabnya tetapi detailnya tetap berada pada setiap anggota tim.Manajer operasi bertangggung jawab untuk performa keseharian dari sistem IT, memaksimalkan availability dari sistem, dan menyelesaikan masalah end user. Manajer ini juga berperan dalam membentuk sebuah disaster recovery plan dan eksekusinya. Mempunyai manajer dengan peran ini membantu CIO utuk lebih berfokus pada arah strategis IT dari pada mencemaskan performa keseharian dari IT.
  7. Application Development Teams
    Application Development Teams menyediakan pengembangan dan dukungan pada aplikasi bisnis, berdasarkan pada kebutuhan yang dikumpulkan dan didokumentasikan oleh business analyst. Untuk perusahaan kecil, business analyst dan development teamumumnya dilakukan oleh orang yang sama. Aplikasi bisnis mungkin dibuat sendiri atau dibeli dari luar dan dikonfigurasi agar cocok dengan pola bisnis perusahaan.Application Developers umumnya terspesialisasi pada teknologi tertentu seperti web, ERP, CRM. Group ini juga umumnya dibagi kedalam tiga kategori besar yang masing-masing menggunakan teknologi tersendiri :

    1. Customer Facing Application. Termasuk didalamnya aplikasi web, pemesanan dan proses, dan Customer Service.
    2. Production Support. Aplikasi Supply Chain seperti procurementmanufacturing,warehousinginventory, dan logistic.
    3. Business Support. Umumnya sistem yang sangat internal seperti akuntansi dan sumber daya manusia.

    Umumnya sebuah tim terdiri dari beberapa orang dengan keahlian yang berbeda-beda. Tim ini bertanggung jawab untuk membuat sebuah fungsi baru pada aplikasi, upgrade dan patch aplikasi pihak ketiga, menguji coba fungsionalitas dari aplikasi sebelum masuk keproduction dan dukungan pada aplikasi bisnis saat telah masuk kedalam production.

    Saat ukuran sistem bisnis dan kompleksitasnya meningkat, perusahaan mungkin harus menempatkan staff khusus yang didedikasikan pada salah satu dari tiga kategori diatas. Membangun tim untuk setiap aplikasi bisnis memungkinkan pelatihan silang dari staff untuk mendukung aplikasi spesifik.

    Saat mengerjakan sebuah proyek, penanggung jawab proyek harus jelas dan memiliki cukup kekuasaan untuk menjalankan proyek dengan lancar. IT Development group harus menjadwalkan dan dengan jelas mengkomunikasikan pada IT Department,Streering Committee, dan business users untuk progress dari proyek, fungsionalitas sistem, dan waktu implementasi proyek. Aplikasi yang akan diimplementasikan harus memperhatikan waktu dari bisnis. Saat kebutuhan bisnis sedang tinggi, sebaiknya tidak ada implementasi sistem yang beresiko.

    Untuk software-software besar seperti Enterprise Resource Planning, terkadang perusahaan harus mengalah pada proses bisnis yang telah didefinisikan pada software untuk menghindari biaya customization yang tinggi. Perubahan proses bisnis ini belum tentu suatu yang buruk bila proses bisnis yang terdefine pada software jauh lebih cocok bagi perusahaan. Umumnya pembuatan aplikasi bisnis disertai dengan Business Process Reengineering.

    Application Support Group

    Pada perusahaan besar, tim developer sering dibagi menjadi dua. Disatu sisi menangani pembuatan aplikasi, disisi lain menjadi support seperti help desk untuk aplikasi yang telah dibuat. Grup ini menjadi lapis ketiga dalam support aplikasi.

    Pemisahan seperti mempunyai beberapa efek positif:

    1. Menghilangkan gangguan pada development team sehingga mereka dapat berfokus pada aplikasi baru.
    2. Memperjelas perhitungan proyek, dengan tidak terganggunya tim development untuk memberikan support, penjadwalan proyek menjadi lebih tepat.
  8. Application Testing
    Application Testing Team bertanggung jawab untuk menguji coba perubahan dan upgrade pada aplikasi bisnis dengan tujuan mendeteksi dan menghilangkan masalah dan menjamin kompabilitas dengan modul lain.Uji coba pada aplikasi muncul pada berbagai tingkatan. Pada level terendah, developer akan menguji coba kode-kode yang mereka buat, kemudian untuk level lebih atas, aplication testing teammengkombinasikan semua modul yang dibuat dan melihat apakah terjadi masalah. Pada level sistem, modul akan diuji coba untuk mencari tahu apakah mengganggu sistem lain atau tidak dapat bekerja sama dengan sistem yang sudah ada. Testing ini umumnya disebut unit testingintegration testing dan system testing.Hanya sedikit organisasi yang memahami fungsi group testing ini dan lebih sedikit lagi yang memberikan perhatian yang cukup. Idealnya waktu untuk testing aplikasi adalah 30% dari total proyek. Meskipun terlihat besar, tetapi akan terbayar dengan stabilnya aplikasi saat telah menyentuh production sekaligus menghemat panggilan ke help desk.

    Tim yang melakukan testing haruslah terdiri dari business users. Peran business users adalah menjamin fungsi-fungsi yang akan sering terpakai bebas dari masalah. Keuntungan lainnya, business users menjadi cukup terbiasa menggunakan sistem itu sebelum di implementasikan. Aspek lain dari uji coba aplikasi adalah stress testingStess Testingadalah tipe uji coba untuk mengetahui kemampuan sistem dalam menangani request. Hasil dari uji coba ini sangat membantu dalam memonitor performa server dan meningkatkan kapasitas bila server mulai terbebani request mendekati batas toleransi. Pada perusahaan kecil umumnya tim testing menjadi bagian dari developer, database administrator, atau system administrator. Pada perusahaan besar, tim testing umumnya berdiri sendiri.

  9. Database Administrator
    Database administrator mendesain arsitektur database, melakukan install dan konfigurasi database software, berpartisipasi pada desain dan pengembangan dengan developer, menjamin integritas data, dan mengawasi serta meningkatkan performa database. Tim ini bertanggung jawab pada database baik pada lingkunganproduction maupun lingkungan pengembangan. Karena kompleksitas dari database relational (jenis yang paling umum dipakai), beberapa keahlian harus dimiliki oleh database administrator. Umumnya keahlian yang dibutuhkan mengarah spesifik pada salah satu teknologi database yang dipakai perusahaan seperti Oracle, Microsoft SQL Server, PostgreSQL. Dalam sebuah perusahaan yang besar, Database Administratorsering dibagi menjadi dua: satu sisi untuk development dan sisi yang lain untuk Production. Pebagian ini lebih dikarenakan pemisahan tugas, seorang developer sebenarnya tidak diperbolehkan untuk menyentuh production.
  10. Electronic Data Interchange
    Electronic Data Interchange (EDI) bertanggung jawab untuk menjamin transport data antara aplikasi baik dalam perusahaan maupun dengan luar perusahaan secara akurat, tepat, dan cepat. Integrasi aplikasi adalah komponen yang kritis dalam membentuk komunikasi sistem dan database pada perusahaan dan antar perusahaan. Setiap sistem bisnis dan aplikasi memerlukan format data tertentu untuk dibaca.Transmisi data dapat dimulai dari sebuah kejadian atau berdasarkan jadwal. Seorang EDI harus menterjemahkan hasil dari salah satu aplikasi menjadi format yang dapat dibaca oleh aplikasi lainnya. Selain itu seorang EDI harus menjamin tidak ada dua buah transmisi data besar terjadi pada saat bersamaan untuk menghindari beban jaringan yang terlalu besar.
  11. Business Analyst Group
    Pekerjaan seorang analis bisnis adalah berhubungan langsung dengan end user / client untuk mengetahui bagaimana sistem digunakan dan mengidentifikasikan peningkatan yang dapat menyediakan keuntungan yang tinggi bagi perusahaan. Tanggung jawab dari sebuah analis bisnis terbagi sama rata antara end user / client dan divisi IT.Seorang analis bisnis harus mengembangkan hubungan dengan end user / client dan menjaga hubungan ini dengan rapat teratur. Mereka harus mengerti proses bisnis dan bagaimana aplikasi IT digunakan dalam bisnis. Analis bisnis harus juga secara proaktif mencari, mengumpulkan, dan mendokumentasikan kebutuhan dan informasi untuk mendorong peningkatan yang bernilai. Sebagai tambahan, seorang analis bisnis harus terus melacak dan membuat prioritas dari semua permintaan perubahan. Bagian paling rumit dari analis bisnis adalah kebutuhan untuk memahami proses bisnis dan teknologi secara bersamaan. Mereka harus menjamin strategi pada IT telah sesuai strategi bisnis dan juga menawarkan peluang yang ada pada IT ke bisnis.Analis bisnis harus membuat sebuah dokumen high level tentang kebutuhan dari sistem yang akan dibuat. Dokumen ini akan diterjemahkan oleh application developer menjadi kode-kode aplikasi. Karena ini, analis bisnis harus bekerja sama erat denganapplication developer.
  12. Manager of Application Management
    Manager dari Application Mangement Group bertanggung jawab pada performa dari seluruh tim dalam grupnya. Application Manager harus mempunyai sebuah pemahaman yang lengkap pada sistem bisnis yang digunakan. Fungsi yang terpenting adalah organisasi dan manajemen tim. Membuat prioritas, mengatur tim, dan menyelesaikan proyek adalah tanggung jawab dari application manager.

    1. Application Manager mengarahkan tim pengembangan sesuai dengan prioritas proyek yang dibuat. Manager ini mengatur jangka pendek dan jangka menengah dari sistem IT untuk meningkatkan kemampuan, mengintegrasikan proses, dan menyelesaikan proyek sesuai waktu dan anggaran.Manager ini memberikan ruang bagi CIO untuk memikirkan IT Governance dan arah strategis dari divisi IT yang dipimpinnya.

    Selain kelompok kerja diatas, beberapa kelompok kerja dibawah ini dapat muncul pada perusahaan yang besar:

    1. Architecture: Arsitektur informasi, arsitektur infrastruktur, dan arsitektur aplikasi sebenarnya merupakan tanggung jawab dari CIO. Untuk perusahaan yang besar, peran ini dapat dispesialisasikan pada sebuah grup terpisah yang dipimpin Chief Technology Officer (CTO). CTO berfokus pada mendefinisikan dan mengembangan arsitektur sistem dari tiga sampai lima tahun kedepan, kemudian menjamin pengembangan sistem sesuai dengan arsitektur yang dibuat.
    2. Security : Security Personnel bertanggung jawab untuk mengimplementasikan kendali untuk mengurangi potensi dari pembobolan keamanan. Tugas ini mencakup implementasi firewall, software untuk pengawasan, kebijakan enkripsi, kebijakan password, membatasi akses fisik, dan mendeteksi upaya ilegal dari staf dalam.
    3. Audit : Ukuran organisasi IT yang besar harus mempunyai sebuah fungsi kendali yang terpisah. Perusahaan terutama yang memproses transaksi finansial seperti bank dan saham harus melindungi dirinya dari tindakan ilegal karyawannya sendiri. Group audit ini dapat melapor kepada CIO atau CFO. Fungsi group audit adalah untuk melihat permintaan persetujuan proyek, mereview rencana proyek, dan melacak perkembangan dari sebuah proyek. Grup ini juga akan mengimplementasi manajemen resiko, menjamin seluruh proyek besar mengikuti metode pengembangan standar yang telah disepakati dan mereview praktek keamanan yang diterapkan. 
    4. Project Management Office (PMO) : Organisasi IT yang sangat besar biasanya mempunyai beberapa inisiatif proyek yang berjalan bersamaan. Inisiatif proyek ini harus dikoordinasikan, dilacak, dan melapor pada sebuah pusat. Departemen IT umumnya membuat sebuah PMO dimana mengatur seluruh proyek IT yang ada agar tetap dalam jalur.
    5. Business Analyst Group : Pada organisasi IT yang besar, CIO dapat membuat sebuah group terpisah untuk analis bisnis yang perannya persis sama dengan analis bisnis yang diatas. Pemisahan ini memungkinkan untuk membuat sub group yang mendedikasikan diri pada sebuah fungsi bisnis.

 

 

Kenapa memilih Universitas Widyatama

Assalamualaikum wr.wb.
Salam sejahtera bagi kita semua, kawan sebangsa dan setanah air, satu nusa satu bangsa satu INDONESIA..hehehe (lebay.com)

Melihat Judul postingan saya mungkin beberapa dari pembaca berpikir saya adalah tim marketing atau salah satu mahasiswa universitas widyatama bandung yang ingin melakukan promosi..hahaha iya emang bener. (Bener saya mahasiswanya tapi bukan marketing loh yaa.)

Ini adalah postingan pertama saya (semoga bukan yang terakhir..haha), semoga berkenan dan dapat menambah wawasan teman-teman pembaca semuanya. Sebelum saya bercerita panjang lebar, klo boleh saya mau memperkenalkan diri.( yaa boleh atu lah kan yang punya blog saya..hahaha)

nama         : Muhammad Hendry Nadial
usia           : 22 tahun (jalan 23 siy, tp klo ditanya ngakunya 22 😀 )
asal           : Medan
pekerjaan  : Saat ini programmer di salah satu software house di bandung (cita-cita saya jadi TNI..Amin mohon doanya)

Dalam kesempatan kali ini, saya ingin sharing cerita dan pengalaman saya yang saat ini menempuh S1 di Univ Widyatama Bandung, yang merupakan salah satu univ swasta favorit di kota Bandung.

Kembali flashback kala itu (Oktober 2013) saya telah menyelesaikan pendidikan D3 saya di salah satu Poiteknik Terbaik di Sumut (Politeknik Informatika Del – sekarang menjadi Institut teknologi Del). Saya mengambil Jurusan Teknik Informatika dengan lama masa studi 3 tahun, dan lulus dengan gelar Diploma dan nilai IPK yang biasa-biasa saja..hahaha (Da akumah apa atuh) . Saya ingin cerita panjang lebar tentang perjuangan kuliah kala itu (mungkin di postingan setelah ini), dikarena judul nya beda jadi di skip dlu ya :D.

Setelah lulus Kuliah saya memutuskan untuk bekerja sesuai bidang saya (dipaksa keadaan) , dan memilih mengadu nasib di kota kembang bandung 😀  (ini juga bisa dibuat jadi postingan, di lain waktu inshallah ya..haha).  Waktu itu saya berpikir untuk tidak memberatkan orang tua, dan memilih untuk hidup mandiri jauh dari orang tua untuk mencari jati diri saya (ciee gaya..padahal masih suka nangis..haha).

Singkat cerita, setahun berlalu saya bekerja dan telah punya tabungan untuk melanjutkan kuliah.
Ada banyak pilihan kala itu untuk melanjutkan S1, tapi saya masih belum bisa menentukan karena berbagai alasan dan pertimbangan yang memberatkan hmmm..seperti: besaran biasa kuliah, kualitas serta fasilitas pendidikan, alasan jarak dan lokasi,  faktor kesibukan (pekerjaan)..kerja sambil kuliah ???, dan banyak lagi lainnya.

Mengingat untuk keperluan biaya hidup saya harus masih terus bekerja, maka saya memutuskan untuk kuliah sambil bekerja. Dan atas pertimbangan lain seperti: faktor lokasi dan biaya maka saya mencari referensi dari berbagai sumber.  Sebagai informasi, di bandung (Jawa barat) ada banyak Univ negri maupun swasta yang menjadi pilihan untuk melanjutkan S1 tetapi..nah ada tapinya.

Beberapa universitas (Negri & Swasta)  hanya membuka kelas reguler saja, tidak membuka kelas karyawan. Sehingga tidak memungkinkan bagi saya(karyawan) yang kebanyakan waktunya di pakai buat bekerja dikantor  untuk dapat bekerja sambil berkuliah.

Singkat cerita, pencarian saya berakhir pada Univ Widyatama kala itu, saya tertarik dan membuka situs kampus pada http://www.widyatama.ac.id/ . Mohon maaf, disini saya tidak akan bercerita wah nya kampus ini, silahkan pembaca yang ingin tau dapat melihat situsnya sendiri atau datang langsung sekedar melihat-lihat kampusnya yang beralamat di jalan Cikutra Bandung.

Universitas widyatama memberikan kesempatan kepada para pekerja (karyawan) dengan membuka kelas khusus yang memungkinkan waktu kuliah bersifat fleksibel dengan tetap menjaga kualitas serta mutu pendidikannya. Dengan biaya kuliah yang masih terjangkau (ini menurut saya) dan dapat dicicil sungguh sangat membantu para mahasiswa tentunya.

Waktu kuliah yang fleksibel, mahasiswa dapat memilih pilihan waktu yang di jadwalkan yakni senin-jumat (malam hari) atau weekend (sabtu + eLearning), mahasiswa diharuskan mengikuti prosedur dan tata tertib perkuliahan baik tatap muka maupun eLearning (online).

Suka Duka Kuliah Di Univ Widayatama

Tentunya di sela kesibukan pekerjaan yang padat, para mahasiswa dituntut untuk dapat membagi waktu bekerja dan kuliah secara bijaksana, mengingat keduanya merupakan hal yang sama penting nya. Pada awal perkuliahan tentunya terasa berat bagi kami, dikarena waktu istirahat seusai bekerja harus dipakai buat belajar dan tidak ada kata libur (kecuali sabtu-minggu hari libur nasional). Karena pada waktu itu jumlah Mahasiswa masih terbilang sedikit karena univ widyama sendiri baru sekitar 3 tahunan membuka kelas tersebut (waktu itu tahun 2014 saya baru angkatan ke 3, kalau sekarang hitung sendiri:D ) sehingga SKS matakuliah yang kami ambil sistemnya adalah paket (wajib), dan mungkin sekarang sudah bisa konversi (silahkan di konfirmasi ke bagian layanan informasi widyatama). (ohh iya lupa..jadi karena SKS nya adalah sistem paket, kami ditargetkan lulus S1 nya selama 2 tahun dan tidak ada pengulangan setelahnya). Status kampus yang sudah ter-Akreditasi banPT jadi jangan khawatir deh, ini kampus punya standar dan mutu yang sama bagus dengan univ negri lainnya.

Saya sendiri mengambil kelas weekend, sehingga pertemuan kuliah dilakukan pada sabtu-minggu (eLearning). Perkuliahan dilakukan dari pagi hari sekitar jam 7 Pagi sampai dengan sore hari serta dengan jeda waktu untuk istirahat dan ibadah tentunya. Dosen pengampu mata kuliah yang professional dan masih muda-muda (kalau bahasa sundanya garareulis :d)  hehe, ini yang membuat perkuliahan menjadi tidak membosankan dan enjoy di kelas. Saya pribadi kalau di kelas merasa sangat nyaman buat belajar dan perlu diketahui dosen-dosen di kelas karyawan ini sangat toleransi dengan Mahasiswa nya (karena status kami juga bekerja jadi suka telat dan ga ngumpulin tugas..hehe maklum super sibuk :D. Ini tidak boleh dicontoh yaa!!!).

Saya sampai saat ini masih tengah menjalani perkuliahan disana, dan belum tau pada akhir nya bagaimana 😀 (Semoga lulus tepat waktu dan dengan nilai yang bagus..Amin).  Cerita saya sudahi sampai disini, semoga para pembaca mendapatkan pencerahan dari sedikit kisah yang saya sharing. Jadi yang ingin melanjutkan studi lagi, silahkan dipertimbangkan dengan mateng dan bijaksana :D. Ingat, dimanpun kamu kuliah dan sebagus apapun kampus nya, kampus tidak dapat menjamin 100% keberhasilan kamu di masa depan, melainkan usaha, kerja keras serta kemauan belajar dari diri kamu sendiri.

Salam, terima kasih sudah membaca 😀