Lebih Jauh Tentang Inherent Risk dan Residual Risk Inherent Risk dan Residual Risk – Secara sederhana dapat dijelaskan bahwa inherent risk adalah tingkat risiko awal atau risiko bawaan sebelum diterapkan control sedangkan residual risk adalah tingkat risiko setelah diterapkan control. Dari definisi atau arti di atas seharusnya inherent risk dan residual risk adalah merupakan istilah yang dengan mudah dapat dimengerti. Tetapi di dalam penerapannya kadangkadang cukup sulit untuk dipahami dan disepakati. Mengapa demikian?. Penyebabnya adalah beragam, mulai dari kurang mengerti arti dasar dari Inherent Risk dan Residual Risk sampai adanya anggapan yang mengatakan sebaiknya bahwa risk level dari inherent risk dibuat rendah karena jika dibuat tinggi maka untuk mencapai residual risk level yang rendah perlu control yang “strong” sehingga biayanya menjadi “mahal”. Berbicara lebih lanjut tentang level dari inherent risk dan residual risk, level dari risiko sering digambarkan dengan warna hijau, kuning dan merah. Hijau artinya risk levelnya low, kuning artinya risk levelnya medium me dium dan merah artinya risk levelnya high. Sering ada anggapan yang mengatakan sebaiknya risk level dari inherent risk dibuat rendah atau dengan warna hijau, ada kecenderungan dalam menentukan inherent risk maunya selalu “go green” atau “ever green”, selalu hijau. Hal tersebut (“go green” untuk inherent risk) dapat dikatakan salah kaprah. Jika “go green” hanya diterapkan pada residual risk mungkin lebih baik, meskipun sebetulnya tetap salah kaprah. Adanya kecenderungan “go green” pada inherent risk dan residual risk adalah sebagai akibat salah mengerti tentang hakekat dari risk indicator pada inherent risk dan residual risk. Hal tersebut kemungkinan akibat adanya pemahaman yang tertukar antara risk indicator dengan performance indicator. Orang sering tertukar dalam memahami arti dari risk indicator dengan performance indicator. Sebetulnya tidak menjadi masalah jika risk indicator “merah” sepanjang performance-indicatornya baik atau hijau. Sebagai contoh, jika “Selalu segar-bugar sepanjang hari” adalah merupakan performance indicator yang paling diharapkan, maka risk indicatornya dapat berupa “Jumlah hari tanpa melakukan olah-raga di dalam satu bulan”. Jika risk indicator merah belum tentu performance indicatornya juga merah. Tetapi memang betul jika terlalu sering risk indicatornya merah akan menyebabkan performance indicatornya menjadi merah. Sebagai contoh, jika terlewat melakukan olahraga tidak sering maka belum tentu akan mengganggu kondisi “segar bugar”, tetapi jika terlewat olah raganya sering maka tentu akan mengganggu kondisi “segar bugar”.
Demikianlah penjelasan mengenai perbedaan antara risk indicator dengan performance indicator. Kembali ke pembahasan mengenai inherent risk dan residual risk. Inherent risk ditentukan dengan melakukan assessment terhadap likelihood of occurence dan impact dari risk. Setelah dilakukan assessment terhadap kedua parameter tersebut maka dapat ditentukan risk level dari inherent risk. Selain atribut likelihood of occurence dan impact, terdapat beberapa atribut lain dari suatu item risiko. Atribut selengkapnya yang biasanya ada pada suatu item risiko adalah: risk name, risk description, root cause, consequencies, impact, likelihood, inherent risk, control name, control description, residual risk. Setelah inherent risk ditentukan, langkah selanjutnya adalah menilai control yang ada apakah efektif atau tidak. Hasil dari penilaian risiko setelah dilakukan/diterapkan control tersebut adalah merupakan residual risk. Jika control sudah efektif, maka risiko residual sudah berada pada tingkat yang paling baik. Jika control belum efektif, maka residual risk belum berada pada tingkat yang paling baik, untuk itu perlu dibuat action plan agar membuat control menjadi efektif. Jika control sudah efektif sehingga residual risk sudah dianggap berada pada tingkat yang paling baik, tetapi jika masih dirasakan ada problem, artinya kemungkinan ada kesalahan pada saat penentuan inherent risk atau ada kesalahan pada saat melakukan penilaian pada efektifitas control, untuk itu perlu dilakukan review dan update terhadap inherent risk dan efektivitas control yang ada.
Cara Tepat Dalam Menentukan Inherent Risk Untuk menilai inherent risk, adakah cara lain yang lebih baik dari selain dengan cara menilai likelihood of occurence dan dampak dari suatu item risiko?. Ya, memang yang terbaik untuk menentukan risk level dari inherent risk adalah dengan cara melakukan assessment terhadap likelihood of occurence dan impact dari risk item yang bersangkutan. Inherent risk dapat dikatakan juga sebagai maksimum kemungkinan risk level dari suatu risiko dapat terjadi, sehingga risk level dari residual risk suatu suatu risiko tidak mungkin melebihi inherent-risk-nya. Demikian pula suatu risiko yang memiliki inherent risk yang sangat tinggi maka sebaik apapun kontrol yang diterapkan tidak akan membuat residual risknya menjadi low. Jadi untuk menentukan inherent risk suatu risiko, maka lakukan assessment terhadap likelihood occurence dan impact dari risiko tersebut. Kombinansi antara likelihood of occurence dengan impact menghasilkan inherent risk. Setelah inherent risk ditentukan, tidak tertutup kemungkinan penentuan tersebut dapat dianggap terlalu rendah atau terlalu tinggi, tidak menjadi masalah karena namanya juga assessment. Pada saat diterapkan control, maka dilakukan lagi assessment apakah control yang ada sudah efektif?, jika control sudah efektif maka residual risk berada pada level yang paling baik. Bagaimana jika control sudah efektif dan residual risk sudah berada pada level yang paling baik, tetapi masih dirasakan ada problem?. Maka perlu dilakukan penelitian apakah ada kesalahan pada saat penentuan risk level inherent risk atau ada juga kemungkinan terjadi kesalahan pada saat penilaian efektifitas control.
Penentuan Inherent Risk Kadang-kadang ditemui kesulitan dalam menentukan risk level inherent risk. Apakah terlalu tinggi atau terlalu rendah. Sebetulnya tidak perlu khawatir apakah risk level dari inherent risk yang ditentukan terlalu tinggi atau terlalu rendah, karena dengan berjalannya waktu akan didapatkan keseimbangan dari risk level inherent risk tersebut. Risk level dari inherent risk ditentukan oleh kombinasi kecenderungan kejadian (likelihood of occurence) dan dampak (impact) dari risiko. Dilihat dari sudut pandang definisi, inherent risk adalah tingkat risiko sebelum diterapkan control. Setelah control diterapkan maka risiko tersebut disebut residual risk. Ada juga yang menyebut bahwa inherent risk adalah risiko alami. Penterjemahan tersebut cukup baik untuk membuat contoh bahwa inherent risk dari harimau sangat tinggi tetapi setelah harimau tersebut dipelihara dan menjadi jinak (setelah diterapkan control) maka residual risk dari harimau tersebut menjadi rendah. Dari contoh tersebut dapat ditetapkan bahwa harusnya inherent risk dari harimau sampai kapanpun/selamanya akan tinggi, sedangkan residual rik-nya akan selalu berubah-ubah tergantung control yang diterapkan. Idealnya inherent risk tidak berubah-ubah, tetapi dapat saja berubah tetapi perubahan tersebut bukan karena adanya penerapan control tetapi perubahan tersebut karena koreksi terhadap penentuan inherent risk sebelumnya. Seperti disebutkan di atas bahwa risk level dari inherent risk ditentukan oleh kombinasi kecenderungan kejadian (likelihood of occurence) dan dampak (impact) dari risiko, maka pada saat menentukan inherent risk yang perlu ditentukan atau diperkirakan dan diperhatikan adalah kedua parameter tersebut dan tidak perlu terlalu khawatir apakah penentuan nilai kedua parameter tersebut sudah tepat atau belum, jadi tentukan saja dan yang penting adalah keyakinan. Setelah inherent risk ditentukan, langkah selanjutnya adalah menentukan control yang diperlukan atau mendeskripsikan control yang sudah ada. Jika control tersebut sudah ada, periksa apakah control tersebut efektif atau tidak?. Setelah dapat ditentukan efektifitas dari control yang sudah ada, maka risk level pada saat tersebut disebut residual risk. Jika setelah control dinyatakan efektif dan berdasarkan pemantauan risk indicator menunjukkan bahwa risiko tidak terjadi atau jika terjadi juga dampaknya tidak besar tetapi residualnya masih tetap tinggi, maka dapat disimpulkan bahwa inherent risk yang telah ditentukan risk levelnya terlalu tinggi (overstated), sehingga inherent risk tersebut perlu dikoreksi yaitu diturunkan.
Jika setelah control dinyatakan efektif dan berdasarkan pemantauan risk indicator menunjukkan bahwa risiko sering terjadi atau dampak yang ditimbulkan besar tetapi residual risknya relatif rendah, maka dapat disimpulkan bahwa inherent risk yang telah ditentukan risk levelnya terlalu rendah (understated), sehingga inherent risk tersebut perlu dikoreksi yaitu dinaikkan. Dengan berjalannya waktu dan melalui proses menaikkan dan menurukan risk level dari inherent risk, maka pada akhirnya inherent risk akan berada pada titik keseimbangannya. Jika inherent risk berada pada titik keseimbangannya maka dapat dikatakan bahwa risk assessment telah dilakukan secara optimal. Secara eksplisit inherent risk menunjukkan maksimum kemugkinan tingkat risiko residual risk dan secara implisit inherent risk juga menunjukkan minimum kemungkinan tingkat risiko residual risk. Jadi dapat diartikan bahwa inherent risk memiliki informasi tentang tingkat tertinggi dan tingkat terendah (range) kemungkinan risiko yang dapat terjadi dari suatu risk item, dan inherent risk dapat bergerak turun naik di dalam range tersebut. Inherent risk tidak dapat bergerak ke luar dari range tersebut.
IT Risk Assessment, Apa Yang Harus Dilakukan dan Dihasilkan Terlepas dari perdebatan antara asset-based risk assessment dan process-based risk assessment, kali ini akan dibahas mengenai apa yang harus dilakukan di dalam IT risk assessment dan apa yang diharapkan dihasilkan dari IT risk assessment tersebut. Pertama-tama sebelum melakukan risk assessment adalah melakukan risk identification, item risiko apa saja yang akan di-assess. Setelah risiko teridentifikasi, langkah selanjutnya adalah membuat deskripsi dari risiko tersebut, membuat penjelasan mengenai penyebab dari risiko dan akibat dari risiko tersebut jika terjadi. Setelah dibuat identifikasi, deskripsi, penyebab dan akibat dari risiko, langkah selanjutnya adalah melakukan assessment yaitu menentukan inherent risk dari item risiko yang bersangkutan. Inherent risk ditentukan dengan melihat kemungkinan dampak yang terjadi (impact) dan probabilitas terjadinya risiko tersebut (likelihood of occurence). Ada yang menarik di dalam menyikapi inherent risk. Jika penentuan inherent risk dilakukan secara sangat intuitive, artinya sama sekali tidak menggunakan pendekatan, seperti contohnya dengan melakukan assessment terhadap impact dan likelihood of occurence, kecenderungannya adalah bahwa orang akan menentukan inherent risk yang relatif low bahkan pada tingkat “paling low”. Padahal sebetulnya perlu diingat bahwa inherent risk dapat juga diartikan sebagai kemungkinan maksimum risk level yang dapat terjadi, sehingga seharusnya sangat jarang jika risk level dari inherent risk adalah low. Jika residual risk low tidak masalah, tetapi jika inherent risk low adalah “too-good-to-betrue”. Tetapi sebetulnya tidak susah dalam menentukan inherent risk, lakukan saja assessment terhadap impact dan likelihhod of occurence dari risk item yang bersangkutan, maka akan kelihatan sebetulnya bahwa assessment yang objective sebetulnya tidak susah untuk dilakukan. Setelah inherent risk ditentukan, langkah selanjutnya adalah menentukan atau mengidentifikasikan control yang diperlukan untuk menurunkan tingkat risiko yang ada. Jika control sudah ada maka lakukan assessment terhadap control yang ada dengan menggunakan data risk indicator. Jika risk indicator menunjukkan levelnya low maka dapat dikatakan control yang ada sudah efektif, jika sebaliknya maka dapat dikatakan control belum efektif. Jika control belum ada atau jika sudah ada tetapi tidak efektif, maka perlu dibuat action plan untuk membuat control atau membuat control yang ada menjadi efektif. Tingkat risiko setelah diterapkan control disebut residual risk. Residual risk merupakan hasil akhir dari kegiatan risk assessment, sehingga jika risk assessment belum menghasilkan
residual risk, maka dapat dikatakan bahwa kegiatan risk assessment tersebut belum selesai. Demikianlah kira-kira apa yang harus dilakukan selama kegiatan risk assessment dan apa yang perlu dihasilkan dari kegiatan risk assessment tersebut.
Di Dalam Inherent Risk Terkandung Batas Atas dan Batas Bawah Residual Risk Secara implisit di dalam inherent risk terdapat informasi mengenai batas atas dan batas bawah dari residual risk. Inherent risk disebut juga sebagai risiko bawaan dari suatu item risiko, jika risiko bawaan tersebut relatif tinggi maka perlu diturunkan atau dimitigasi. Setelah dilakukan mitigasi, maka tingkat risiko saat tersebut dikatakan sebagai residual risk.
Jika terhadap suatu inherent risk sama sekali tidak dilakukan mitigasi atau sama sekali tidak diterapkan control, maka risk level dari residual risk dari risk item yang bersangkutan adalah sama dengan inherent risk dari risk item tersebut dan residual risk saat tersebut berada pada tingkat risiko yang paling tinggi atau maksimum. Jika terhadap suatu inherent risk dilakukan mitigasi secara maksimum sehingga control/mitigasi dirasakan efektif maka tingkat risiko dari residual risk berada pada tingkat yang paling baik atau risiko paling rendah untuk item risiko yang bersangkutan. Untuk suatu inherent risk yang memiliki tingkat risiko yang paling tinggi tidak mungkin residual risk-nya akan berada pada tingkat yang paling bawah dengan kata lain di dalam inherent risk secara implisit terdapat informasi atau atribut mengenai batas atas dan batas bawah untuk residual risk. Artinya untuk risk level dengan skala 1 sampai dengan 5, jika inherent risk suatu item risiko adalah 5 maka tidak mungkin akan dapat dicapai suatu residual risk dengan risk level 1 meskipun telah diterapkan control sebanyak apapun, mungkin maksimal yang dapat dicapai adalah 2 atau 3 tergantung ketentuan yang disepakati. Contohnya, jika inherent risk dari seekor harimau adalah 5, kemudian telah diterapkan control semaksimal mungkin berupa pelatihan sejak masih kecil sehingga harimau tersebut menjadi sangat jinak, tetapi tetap saja residual risk-nya tidak dapat dikatakan menjadi 1 karena bagaimanapun harimau tersebut tetap memiliki tingkat risiko yang relatif masih tinggi, sehingga mungkin residual risk maksimal yang dapat dicapai adalah 2 atau 3. Dapat juga dikatakan bahwa inherent risk adalah merupakan range atau kemungkinan maksimum dan minimum tingkat risiko dari suatu item risiko, sedangkan residual risk dapat bergerak ke atas atau ke bawah di dalam range tersebut. Oleh sebab itu idealnya inherent risk sifatnya statis karena merupakan range atau merupakan batas atas dan batas bawah risk level dari suatu item risiko, sedangkan residual risk sifatnya dinamis karena risk levelnya dapat bergerak naik turun di antara range yang telah ditentukan oleh inherent risk.
Dengan demikian, di dalam melihat hubungan antara inherent risk dan residual risk tidak hanya sekedar bahwa inherent risk adalah risiko awal dan residual risk adalah risiko akhir, tetapi inherent risk adalah batas atas dan batas bawah (range) risk level dari suatu item risiko dan residual risk bergerak di dalam range tersebut.