DIMENSI PENDEKATAN KUALITATIF Dalam praktek, disebabkan perubahan-perubahan yang cepat dari lingkungan risiko, perlunya untuk bereaksi dengan cepat terhadap masalah yang mendesak, dan keterbatasan-keterbatasan baik yang bersifat kelembagaan maupun yang berhubungan dengan faktor manusia, maka seringkali manajer risiko pada suatu waktu terperangkap mengurusi satu bagian saja dari total program manajemen risikonya. Misalnya manajer mungkin hanya memusatkan perhatiannya pada kecelakaan industri saja atau pada kerugian-kerugian terhadap pengiriman barang dengan kapal laut saja. Dalam mencapai keputusan seperti ini, mereka cenderung mengikuti alasan yang dikemukakan pada pembahasan sarana dasar manajemen risiko. Malahan secara periodik, manajer risiko harus memperluas peninjauannya. Peninjauan ini bisa dilakukan sendiri bisa dengan bantuan konsultan atau perusahaan asuransi. Dalam bidang lain dari tuan konsultan atau perusahaan asuransi. Dalan bidang lain dari manajemen risiko pendekatan cara sistem mendorong perusahaan untuk mempertimbangkan secara serentak aspek-aspek operasi; manajemen asuransi hendaknya mengikuti cara itu. Alasan mengapa harus dilakukan peninjauan filosofi total risiko dan prosedurnya adalah perlunya untuk membangun kebijaksanaan manajemen risiko yang sejalan dengan tujuan perusahaan yang bersangkutan dan mengetahui hubungan timbal balik antara berbagai bidang dan berbagai keputusan bidang resiko. Tanpa menggunakan kebijaksanaan seperti itu untuk menuntun pengambilan keputusan untuk satu segi risiko tertentu, ada kemungkinan gagal untuk mengenal hubungan timbal balik tersebut. Disamping itu juga keputusan-keputusan mungkin tidak konsisten, mungkin pula menerapkan standar yang berbedabeda untuk kasus yang bersamaan. Metode analisis kualitatif (qualitative analysis method), yaitu metode analisis risiko yang menggunakan tabulasi berdasarkan penilaian deskriptif (tinggi, sedang atau rendah). Pendekatan kualitatif melakukan analisis terhadap potensi dampak yang dapat terjadi akibat ancaman dari gangguan dan kelemahan, yang akan dinilai dengan skala tinggi, menengah dan rendah. Analisis kualitatif menggunakan bentuk kata atau skala deskriptif untuk menjelaskan seberapa besar potensi risiko yang akan diukur. Di sisi lain, penilaian risiko kualitatif lebih berkaitan dengan nilai-nilai intangible, dan berfokus pada variabel dan bukan hanya pada kerugian moneter. Penilaian risiko kualitatif jauh lebih mudah untuk dilakukan dan dapat mengidentifikasi daerah berisiko tinggi. Misalnya, Anda perlu melakukan penilaian risiko untuk menentukan dampak dari menginstal jalur akses LAN nirkabel dalam organisasi Anda. Hal yang pertama adalah untuk menentukan kerentanan, ancaman, dan juga risiko menggunakan LAN nirkabel. Kemudian Anda menentukan apakah risiko tersebut berlaku untuk organisasi Anda dan menentukan kemungkinan bahwa Anda beresiko. Salah satu risiko menggunakan LAN nirkabel adalah kemungkinan seseorang mengendus lalu lintas jaringan nirkabel, dan jalur akses yang salah konfigurasi dapat memungkinkan koneksi klien nakal. Ini adalah resiko yang nyata yang perlu ditangani. Dapatkah Anda menempatkan nilai moneter terhadap risiko-risiko ini? Jika seseorang terhubung ke jaringan Anda melalui jalur akses terbuka, berapa banyak perusahaan anda akan kehilangan biaya dalam pendapatannya?
Seperti yang dapat Anda lihat dari contoh ini, analisis risiko kuantitatif dalam situasi ini tidak cukup bekerja. Pendekatan kualitatif jauh lebih baik, karena kita bisa sampai pada hasil yang lebih subjektif. Dalam penilaian risiko kualitatif, hasilnya biasanya dikategorikan sebagai rendah, sedang, atau risiko tinggi kejadian. Seseorang mengoperasikan jalur akses LAN nirkabel di rumah di pedesaan, di mana tetangga terdekat berjarak 5 mil, maka risiko akan adanya seseorang yang mencoba untuk masuk ke jaringannya sangat rendah. Sebuah perusahaan di tengah-tengah taman berteknologi tinggi, dengan jalur akses yang memungkinkan koneksi nakal, memiliki risiko tinggi.
PROSES ANALISIS RISIKO KUALITATIF Thomas R. Peltier (2001), dalam bukunya yang berjudul “Information Security Risk Anaysis”, menjelaskan tahapan pada analisis risiko secara kualitatif, dalam sepuluh proses, meliputi: 1.
Identifikasi batasan analisis (scope)
Proses ini akan dilakukan penentuan fokus masalah yang akan diselesaikan. 2.
Pembentukan tim.
Pada proses ini akan dilakukan pembentukan tim yang bisa terdiri dari para ahli, pihak managemen dan pengguna. 3.
Identifikasi ancaman
Pada proses ini akan dilakukan pendaftaran beberapa ancaman, berdasarkan hasil observasi dan tanya jawab, sehingga dapat diketahui ancaman dan kelemahan yang menyebabkannya. 4.
Prioritas ancaman berdasarkan aset
Pada proses ini memperhatikan ancaman yang memiliki kecenderungan terjadi dinilai rendah, menengah atau tinggi. 5.
Identifikasi dampak
Berdasarkan identifikasi dampak kehilangan, maka dapat dinilai level dampaknya, yang dinilai dengan rendah, menengah dan tinggi. 6.
Identifikasi sumber resiko
Pada proses ini akan dilakukan rekapitulasi level ancaman, dampak dan faktor risiko. 7.
Identifikasi kontrol keamanan
Pada proses ini akan dilakukan identifikasi kontrol dan alat pengamanan yang akan dipilih berdasarkan ancaman. 8.
Analisis cost-benefit
Proses pada analisis risiko kualitatif memiliki fungsi yang sama seperti proses pada analisis risiko, sebagai contoh penilaian dampak kehilangan yang dilakukan pada analisis risiko kualitatif, sama dengan tahap analisis dampak pada penilain risiko, tetapi tahap analisis cost-benefit tidak terdapat pada analisis risiko, karena analisis tersebut ada pada tahapan risk mitigation. 9.
Level kontrol
10. Sosialisasi hasil analisis Melakukan pembuatan executive summary, yang melaporkan keseluruhan hasil analisis risiko yang dilakukan.
Gambar 2.1 Analisis Risiko Kualitatif dan Metodologi Analisis risiko
Sumber: Aan Albone (2012)
2.2 PENDEKATAN DUA LANGKAH Salah satu pendekataan terhadap perencanaan total risiko adalah suatu prosedur dua langkah yang sering pula disebut sebagai metode asuransi. Sesudah manajer risiko mengidentifikasikan dan mengukur kerugian potensial, maka ia harus menyiapkan suatu daftar penutupan asuransi (insurance coverage) yang dirasa paling jitu menutup kerugian ini. Penutupan dalam daftar itu dibagi dalam 3 golongan utama atas dasar keparahan kerugian yang ditutup. Kemudian manajer risiko meninjau kembali kontrak asuransi dalam setiap golongan untuk menetapkan yang mana di antara kerugian-kerugian ini yang mungkin lebih memuaskan ditangani dengan cara-cara lain dari asuransi.
2.3 METODE PENDAFTARAN SEMENTARA
Dalam langkah pertama, manajer risiko harus menetapkan: pertama, kombinasi penutupan asuransi yang dapat memberikan perlindungan terbaik terhadap risiko yang dihadapi perusahaan yang bersangkutan. Dengan asumsi setiap perusahaan lebih suka membeli pertanggungan asuransi sepanjang jasa asuransi yang diingini tersedia. Untuk penetapan ini, pihak manajer risiko harus mengerti kontrak asuransi dan penetapan harga asuransi. Tujuannya adalah untuk mengadakan perlindungan yang paling lengkap dengan biaya yang paling murah. Oleh karena itu, tidak semua risiko bisa diasuransikan maka dengan membuat daftar ini, manajer risiko akan lebih waspada bahwa risiko seperti ini, manajer risiko akan lebih waspada bahwa risiko seperti in harus ditangani dengan cara lain bukan dengan asuransi. Manajer risiko harus memilih limit dari kebijaksanaan yang memberi perlindungan, selengkap mungkin. Umumnya limit kebijaksanaan dalam daftar sementara ini seharusnya sama dengan kerugian maksimum yang mungkin (maximum possible loss), tetapi kadang-kadang kerugian ini melebihi penutupan maksimun yang tersedia. Kerugian yang melebihi jumlah maksimun yang tersebut yang tersedia akan ditangani dengan cara-cara lain. Sesudah manajer risiko menetapkan kombinasi penutupan yang terbaik dan limit kebijaksanaan, maka ia membagi kontrak asuransi ke dalam 3 golongan yaitu:
1. Penutupan yang esensial Penutupan yang esensial ialah penutupan yang diwajibkan oleh undang-undang (misalnya asuransi kompensasi tenaga kerja, ASTEK), atau yang diwajibkan oleh perjanjian (seperti perjanjian dengan serikat buruh, perjanjian denga pemberi hipotik, dan sebagainya). Termasuk pula ke dalam golongan ini adalah perlindungan asuransi terhadap kerugian perusahaan (misalnya kerugian karena tanggung jawab pada pihak ketiga atau liability losses). 2. Penutupan yang diinginkan Kontrak yang diinginkan yang memberikan perlindungan terhadap kerugian-kerugian yang menghalangi operasi perusahaan, tetapi barangkali tidaka kan sampai menyebabkan perusahaan ditutup. 3. Penutupan yang tersedia Kontrak yang tersedia meliputi semua jenis perlindungan yang belum termasuk ke dalam kedua golongan terdahulu. Kontrak ini meliputi perlindungan terhadap kerugian-kerugian ringan.
2.4 MEMBUAT DAFTAR YANG TELAH DIPERBAIKI Setelah daftar sementara itu lengkap, manajer risiko lalu meninjau kontrak-kontrak dalam masing-masing golongan untuk menetapkan yang mana di antara kerugian itu yang mungkin bisa ditangani lebih memuaskan dengan cara-cara lain. Sebagai contoh kontrak-kontrak yang dikeluarkan dari golongan yang esensial mungkin meliputi perlindungan terhadap:
1. Kerugian yang bisa dipindahkan kepada pihak lain (bukan perusahaan asuransi) dengan biaya yang lebih murah dari premi asuransi. 2. Kerugian yang bisa dicegah atau dikurangi sedemikian rupa sehingga tidak lagi merupakan kerugian yang parah. 3. Kerugian yang terjadi demikian seringnya sehingga kerugian itu dapat diperkirakan dengan seksama. Dalam hal ini asuransi madiri lebih menarik karena menghemat pengeluaran. Dalam membuat keputusan-keputusan ini manajer risiko dapat menimbang manfaat dari setiap metode (sarana) yang ada atau dapat menerapkan pendekatan kuantitatif. Pembahasan di atas semua berdasarkan jenis kerugian tetapi seperti yang telah dikemukakan pada pembicaraan “Pengukuran Risiko”, mungkin pula membagi sesuatu jenis kerugian tertentu kedalam dua (lebih) sub jenis, tergantung atas besarnya kerugian potensial itu. Sebagai contoh, walaupun “kerugian maksimum yang mungkin” (the maximum possible loss) yang ditetapkan dari pada suatu jenis tertentu misalnya adalah Rp 1 milyar dank arena itu penutupan atas kerugian ini merupakan penutupan esensial, maka kerugian Rp 500.000.- atau kurang dapat diramalkan atau mungkin tidak penting, sehingga manajer risiko akan memandang jenis asurans ini pada kerugian Rp 500.000,- yang pertama, sebagai asuransi terbaik yang tersedia dengan hanya di atas jumlah itu yang dipandang sebagai esensial. Jenis asuransi yang dapat dikurangi (deductible) dan “excess insurance” yang tersedia pada perusahaan asuransi akan membatasi apa yang bisa dilakukan sepanjang lini ini. Manajer risiko cenderung menginginkan jenis analisis yang sama pada penutupan. Kasus bagi metode non insurance lebih kuat dengan penghargaan pada penutupan-penutupan ini, sebab-akibat daripada tidak mengasuransikan tidak akan parah. Pembelian suatu asuransi, sebagian ada yang disebabkan oleh service tertentu yang ditawarkan oleh pihak perusahaan asuransi, dimana service tersebut dipandang oleh manajer risiko yang bersangkutan bernilai tinggi. Sebagai contohnya pada asuransi kerugian yang melindungi dinding kaca suatu bangunan, merupakan asuransi yang prioritasnya rendah, tetapi mungkin karena perusahaan asuransi yang bersangkutan juga menyediakan jasa perbaikan pemasangan dinding kaca yang ditanggung itu, manajer risiko tertarik untuk membeli asuransi tersebut. Asuransi terhadap harta benda yang relative tidak penting, mungkin bisa menarik bagi manajer risiko jika preminya, menurut pandangan manajer yang bersangkutan, merupakan harga yang dapat ditawar. Dengan penghargaan terhadap banyak penutupan yang tersedia, malahan metode penanganan risiko yang lain akan tampak lebih menyeangkan, akan memakan biaya yang sedikit untuk penerapannya, atau akan mempunyai manfaat lain. Ketiga patokan klasifikasi ini tidak mengertikan pada manajer risiko suatu titik dasar pada mana ia seharusnya menarik garis yang mengacu pada pembelian asuransi, teristimewa jika garis itu harus ditarik di dalam salah satu dari ketiga kelas itu; tetapi klasifikasi ini menyaranka beberapa prioritas dengan penghargaan pada pengguanaan dana yang tersedia untuk premi asuransi. Klasifikasi ini juga memfokuskan perhatian pada konsekuens tidak memakai jasa asuransi.
Kontrak-kontrak asuransi yang esensial dan di inginkan yang belum dihapuskan dalam pendaftaran kedua ini seharusnya dibeli jikalau kebutuhan dari dana premi tidak lebih penting. Asuransi apakah yang akan merupakan isi kedua kelas ini, tergantung atas beberapa faktor pendukung seperti berikut ini: 1. Status ekonomi dari perusahaan yang bersangkutan 2. Objektif manajemen resiko perusahaan yang bersangkutan 3. Sifat daripada exposure 4. Sikap penolakannya terhadap resiko 5. Ketetapan pengukuran kerugian potensial
Selanjutnya manajer resiko mestinya mempertimbangkan tentang apa yang harus dilakukan terhadap resiko-resiko yang tidak tertulis dalam daftar yang pertama, disebabkan oleh tidak tersedianya jasa asuransi terhadap kerugian semacam itu. Sebagai akibat dari pendaftaran sementara dari pada penutupan asuransi adanya kerugian potensial yang tidak bisa diasuransikan itu, maka manajer resiko seharusnya membuat daftar yang sudah direvisi yang memperlihatkan bagaimana masing-masing peralatan (metode) manajemen resiko sebaiknya dipergunakan untuk menangani setiap resiko yang dihadapi perusahaan yang bersangkutan. Contoh daftar itu yang sudah dipersingkat diberikan dibawah ini: A. Penghindaran (tidak mungkin) B. Pencegahan dan pengurangan kerugian 1. Inspeksi keselamatan harta benda 2. Pemeriksaan kesehatan secara berkala bagi pegawai-pegawai yang penting. C. Penanggungan sendiri 1. Kerugian-kerugian sampai Rp 1.000.000,- bagi jenis mana saja 2. Kerugian yang bersifat tanggung gugat (liability) yang melebihi batas yang ditentukan, diperoleh dari asuransi. D. Pemindahan resiko yang bukan kepada asuransi 1. Persetujuan leasing bagi peralatan dan gedung E. Asuransi (dengan Rp 1.000.000,- yang bersifat deductible sepanjang jasa itu tersedia) 1. Prioritas pertama (esensial)
a. Asuransi kompensasi pekerja b. Asuransi tanggung gugat (liability) bagi pekerja c. Asuransi harta milik atas gedung 2. Prioritas kedua (bersifat diinginkan) a. Asuransi kerusakan kendaraan bermotor b. Asuransi ketidakmampuan bagi personal penting 3. Prioritas ketiga (bila tersedia) a. Asuransi kaca jendela dan dinding kaca b. Asuransi leasing
Walaupun metode asuransi yang telah dijelaskan di atas ditujukan pada pendekatan perencanaan total resiko, tetapi juga bisa dimanfaatkan untuk program manajemen resiko yang berkenaan dengan sesuatu resiko juga. Misalnya jika seseorang manajer resiko inign membeli asuransi, maka berfaedah mengelompokkan asuransi itu atas esensial, diinginkan dan tersedia.
KELEBIHAN DAN KEKURANGAN ANALISIS RESIKO KUALITATIF A.
Kelebihan analisis resiko kualitatif adalah sebagai berikut.
1. Perhitungannya sederhana (tidak ada perhitungan). 2. Tidak perlu menentukan nilai keuangan dari aset. 3. Tidak perlu mengkuantisasi frekuensi ancaman. 4. Lebih mudah, dapat melibatkan staf non-security dan non-teknikal. 5. Menyediakan fleksibilitas dalam pemrosesan dan pembuatan laporan.
B.
Kekurangan analisis resiko kualitatif adalah sebagai berikut.
1. Bersifat subjektif. 2. Hasilnya semata-mata bergantung pada kualitas tim manajemen resiko. 3. Tidak perlu banyak usaha untuk menentukan nilai keuangan dari aset yang menjadi target.
4. Tidak ada dasar untuk analisis cost-benefit dari pengurangan resiko.