Menghitung Risk Maturity Index (RMI) Dengan Metode Cobit 5
Menghitung Risk Maturity Index (RMI) Dengan Metode Cobit 5

Menghitung Risk Maturity Index saat ini mungkin menjadi salah satu topik yang sering diperbincangkan, terutama setelah terbitnya Peraturan Menteri / Permen PER-02/MBU/03/2023.

Peraturan ini mewajibkan BUMN untuk menerapkan RMI sebagai alat ukur kedewasaan pengelolaan risiko.

Dalam Permen PER-02/MBU/03/2023 tersebut diatur :

  1. RMI digunakan untuk memetakan tingkat kematangan pengelolaan risiko BUMN.
  2. Hasil pemetaan RMI digunakan sebagai dasar untuk meningkatkan keefektifan pengelolaan risiko BUMN.
  3. BUMN wajib melaporkan hasil pemetaan RMI kepada Kementrian BUMN.
Menghitung Risk Maturity Index Dengan Metode Cobit 5

I. Memahami Risiko dan Kematangan

Sebelum kita masuk lebih dalam dalam metode perhitungan Risk Maturity Index (RMI) mari kita tinjau terlebih dahulu beberapa pengertian dasarnya.

I.A Definisi Risiko

Risiko adalah kemungkinan terjadinya suatu peristiwa yang dapat menimbulkan kerugian bagi organisasi.

Kerugian ini dapat berupa kerugian finansial, reputasi, operasional, dan lain sebagainya.

I.B Level Kematangan Manajemen Risiko (Risk Maturity Level)

Berikut adalah level-level yang menjelaskan mengenai tingkat kematangan proses Manajemen Risiko dalam sebuah organisasi :

  1. Level 1: Ad Hoc/Reaktif:
    • Pada level ini, manajemen risiko dilakukan secara ad hoc atau reaktif.
    • Organisasi mungkin tidak memiliki proses formal untuk mengidentifikasi atau menilai risiko.
    • Tindakan manajemen risiko diambil hanya ketika terjadi masalah atau insiden.
  2. Level 2: Ditetapkan (Defined):
    • Organisasi mulai mendefinisikan proses formal untuk manajemen risiko.
    • Langkah-langkah awal untuk mengidentifikasi dan menilai risiko telah ditetapkan.
    • Namun, praktik manajemen risiko masih terfragmentasi dan tidak terintegrasi secara menyeluruh dalam operasi organisasi.
  3. Level 3: Terukur (Managed):
    • Pada level ini, organisasi memiliki proses manajemen risiko yang terukur dan terstruktur.
    • Risiko-risiko yang teridentifikasi dinilai secara teratur, dan langkah-langkah pengelolaan risiko diimplementasikan.
    • Manajemen risiko menjadi bagian integral dari keputusan dan operasi organisasi, dan ada kesadaran yang baik tentang risiko di seluruh organisasi.
  4. Level 4: Terintegrasi (Integrated):
    • Organisasi telah berhasil mengintegrasikan manajemen risiko ke dalam semua aspek operasi dan budaya mereka.
    • Praktik manajemen risiko terkoordinasi dengan baik dan didukung oleh sistem informasi dan teknologi yang tepat.
    • Ada kolaborasi yang kuat antara berbagai departemen dan pemangku kepentingan dalam mengelola risiko secara holistik.
  5. Level 5: Optimal (Optimized):
    • Ini adalah level tertinggi kematangan manajemen risiko, di mana organisasi mencapai tingkat keunggulan dalam mengelola risiko.
    • Organisasi tidak hanya mampu mengidentifikasi, menilai, dan mengelola risiko dengan efektif, tetapi juga proaktif dalam merespons perubahan lingkungan bisnis.
    • Manajemen risiko menjadi bagian integral dari budaya organisasi, dengan kesadaran dan komitmen yang tinggi dari semua tingkatan manajemen dan karyawan.

Setiap level kematangan menunjukkan tingkat kesiapan organisasi dalam mengelola risiko, mulai dari yang paling dasar hingga yang paling canggih.

Tujuan organisasi adalah untuk terus meningkatkan kematangan mereka dalam manajemen risiko untuk mencapai tingkat keunggulan dan ketahanan yang optimal.

I.C. faktor-Faktor Yang Mempengaruhi Kematangan

Beberapa faktor yang dapat mempengaruhi kematangan manajemen risiko organisasi meliputi:

  1. Kebijakan dan Prosedur: Keberadaan kebijakan dan prosedur yang jelas untuk mengelola risiko.
  2. Budaya Risiko: Tingkat kesadaran dan tanggung jawab individu dalam mengelola risiko, serta keterbukaan terhadap diskusi tentang risiko.
  3. Struktur Organisasi: Sejauh mana organisasi memiliki struktur yang mendukung inisiatif manajemen risiko, termasuk pengaturan tanggung jawab dan keterlibatan pemangku kepentingan.
  4. Penggunaan Teknologi: Pemanfaatan teknologi dan sistem informasi untuk mendukung proses manajemen risiko.
  5. Kepemimpinan dan Kepemimpinan: Tingkat dukungan dan komitmen dari manajemen puncak terhadap praktik manajemen risiko.
  6. Pendidikan dan Pelatihan: Tingkat keterampilan dan pengetahuan karyawan dalam mengelola risiko serta kesadaran akan pentingnya manajemen risiko dalam operasi organisasi.

Dengan memahami risiko secara komprehensif dan memperhatikan faktor-faktor yang mempengaruhi kematangan manajemen risiko, organisasi dapat mengambil langkah-langkah untuk meningkatkan kesiapan mereka dalam menghadapi ketidakpastian dan mengelola risiko dengan lebih efektif.

BACA JUGA : RISK MATURITY INDEX (RMI) KENAPA PENTING BAGI MANAJEMEN RISIKO ?

II. Menghitung Risk Maturity Index Dengan Metode Perhitungan Sederhana

Pada bagian ini kita akan coba untuk menghitung Risk Maturity Index dengan menggunakan metode perhitungan sederhana.

II.A. Rumus Menghitung Risk Maturity Index Dengan Metode Sederhana

RMI dapat dihitung dengan menggunakan rumus sederhana berikut

RMI = (W_S x A) + (W_P × B) + (W_E × C)

Di mana:

  • W_S adalah bobot untuk kategori strategi (biasanya antara 0 dan 1).
  • W_P adalah bobot untuk kategori proses (biasanya antara 0 dan 1).
  • W_E adalah bobot untuk kategori eksposur (biasanya antara 0 dan 1).
  • A, B, dan C adalah nilai subindeks untuk masing-masing kategori, yang dapat dihitung dengan menggunakan rumus yang sesuai untuk masing-masing kategori.

Mari kita bahas setiap komponen secara terperinci:

  1. Strategi (S): Kategori ini mencakup sejauh mana organisasi memiliki strategi yang jelas untuk mengelola risiko. Ini dapat mencakup penetapan tujuan, perencanaan, dan alokasi sumber daya. Nilai subindeks untuk kategori ini (A) dapat dihitung dengan menggunakan rumus sebagai berikut:
    \(A= \frac{{\text{Total nilai strategi yang tercapai}}}{{\text{Total nilai strategi yang diinginkan}}}\)
  2. Proses (P): Proses merujuk pada sejauh mana organisasi telah mengimplementasikan proses-proses formal untuk mengidentifikasi, menilai, dan mengelola risiko. Ini mencakup keberadaan kebijakan, prosedur, dan alat bantu yang sesuai. Nilai subindeks untuk kategori ini (B) dapat dihitung dengan rumus berikut:
    \(B= \frac{{\text{Total nilai proses yang tercapai}}}{{\text{Total nilai proses yang diinginkan}}}\)​
  3. Eksposur (E): Kategori ini mencakup sejauh mana organisasi telah mengurangi eksposur terhadap risiko yang tidak diinginkan. Ini mencakup tindakan mitigasi risiko dan upaya untuk mengelola dampak yang mungkin terjadi. Nilai subindeks untuk kategori ini (C) dapat dihitung dengan rumus sebagai berikut: \(C=\frac{{\text{Total nilai eksposur yang tercapai}}}{{\text{Total nilai eksposur yang diinginkan}}}\)

II.B. Langkah-langkah Menghitung RMI:

  1. Tentukan Bobot (W) untuk Setiap Kategori: Bobot ini mencerminkan pentingnya masing-masing kategori terhadap organisasi Anda. Pastikan bahwa bobot untuk setiap kategori berjumlah 1.
  2. Evaluasi Subindeks untuk Setiap Kategori: Lakukan evaluasi untuk setiap subindeks (A, B, dan C) menggunakan metrik yang sesuai. Ini mungkin melibatkan menganalisis dokumen kebijakan, prosedur, dan praktik yang ada.
  3. Hitung Nilai RMI: Gunakan rumus RMI di atas dengan memasukkan bobot dan nilai subindeks yang telah dihitung untuk masing-masing kategori.
  4. Interpretasikan Hasil: Nilai RMI akan jatuh dalam rentang 0 hingga 1. Semakin tinggi nilai RMI, semakin matang pendekatan pengelolaan risiko organisasi Anda.

Rentang nilai RMI yang dianggap baik atau buruk dapat bervariasi tergantung pada standar industri, karakteristik organisasi, dan tujuan penggunaan RMI.

Namun, secara umum, Anda dapat menggambarkan rentang nilai RMI sebagai berikut:

  1. RMI Kurang dari 0,5: Organisasi dapat dianggap memiliki tingkat kematangan rendah dalam pengelolaan risiko. Ini menunjukkan bahwa strategi, proses, dan eksposur risiko tidak dikelola secara efektif atau kohesif.
  2. RMI Antara 0,5 dan 0,7: Organisasi berada dalam tingkat kematangan yang sedang dalam pengelolaan risiko. Ada beberapa upaya yang dilakukan untuk mengelola risiko, tetapi masih ada ruang untuk peningkatan dalam beberapa area.
  3. RMI Antara 0,7 dan 0,9: Organisasi dapat dianggap memiliki tingkat kematangan yang tinggi dalam pengelolaan risiko. Ada kesadaran yang kuat tentang risiko dan upaya yang signifikan telah dilakukan untuk mengelola risiko secara efektif.
  4. RMI Lebih dari 0,9: Organisasi dapat dianggap sebagai pemimpin dalam pengelolaan risiko. Pendekatan mereka sangat matang dan efektif dalam menghadapi risiko yang dihadapi.

Dengan mengikuti langkah-langkah di atas, Anda dapat menghitung Risk Maturity Index (RMI) untuk organisasi Anda sendiri dan menggunakan informasi tersebut untuk meningkatkan pengelolaan risiko Anda secara keseluruhan.

Semakin tinggi RMI, semakin efektif organisasi Anda dalam menghadapi risiko yang dihadapi.

II.C. Contoh Penerapan Menghitung Risk Maturity Index Sederhana

Untuk tujuan contoh ini, kita akan menggunakan perusahaan fiktif bernama "ABC Corp".

Kami akan melibatkan tiga dimensi utama dalam pengelolaan risiko: strategi, proses, dan eksposur.

1. Pengumpulan Data

1.1. Dimensi 1: Strategi

ABC Corp melakukan peninjauan terhadap dokumen strategi dan berbagai kebijakan yang berhubungan dengan pengelolaan risiko.

Mereka menentukan bahwa dokumen ini mencakup tujuan risiko, kebijakan risiko, dan struktur organisasi untuk pengelolaan risiko.

1.2. Dimensi 2: Proses

Perusahaan mengevaluasi proses-proses yang digunakan untuk mengidentifikasi, menilai, dan mengelola risiko.

Ini melibatkan analisis kebijakan yang ada, prosedur operasional standar (SOP), dan alat bantu yang digunakan dalam pengelolaan risiko.

1.3. Dimensi 3: Eksposur

ABC Corp memeriksa bagaimana mereka mengelola risiko dalam praktiknya.

Ini mencakup tindakan mitigasi risiko yang diambil, strategi pengelolaan risiko yang diterapkan, dan seberapa baik risiko diidentifikasi dan dipantau.

2. Evaluasi dan Penilaian

2.1. Dimensi 1: Strategi

Setelah meninjau dokumen strategi, ABC Corp menilai bahwa mereka telah mencapai 80% dari tujuan risiko yang ditetapkan dan bahwa kebijakan risiko mereka cukup komprehensif.

Mereka memberi nilai 0.8 untuk dimensi strategi.

2.2. Dimensi 2: Proses

Dengan mengevaluasi prosedur operasional dan alat bantu, ABC Corp menemukan bahwa proses mereka cukup solid tetapi ada ruang untuk perbaikan.

Mereka memberi nilai 0.6 untuk dimensi proses.

2.3. Dimensi 3: Eksposur

Dalam hal eksposur, ABC Corp menilai bahwa mereka telah mengambil tindakan yang efektif dalam mengelola risiko yang teridentifikasi.

Mereka merasa cukup yakin dengan strategi pengelolaan risiko mereka.

Nilai yang mereka berikan untuk dimensi ini adalah 0.85.

3. Perhitungan RMI

Dengan bobot yang telah ditetapkan untuk masing-masing dimensi (misalnya, W_S​=0.3, W_P​=0.4, dan W_E​=0.3), ABC Corp menghitung nilai RMI mereka menggunakan rumus yang telah disediakan:

RMI=(0.3×0.8)+(0.4×0.6)+(0.3×0.85)
RMI=(0.24)+(0.24)+(0.255)
RMI=0.735

4. Interpretasi Hasil

Dengan nilai RMI sebesar 0.735, ABC Corp dapat menafsirkan bahwa mereka memiliki tingkat kematangan yang relatif tinggi dalam pengelolaan risiko.

Meskipun masih ada ruang untuk perbaikan, langkah-langkah yang mereka ambil dalam mengelola risiko telah menghasilkan hasil yang positif secara keseluruhan.

Dengan demikian, perusahaan dapat menggunakan hasil ini untuk mengidentifikasi area-area spesifik di mana mereka dapat meningkatkan pendekatan pengelolaan risiko mereka dan terus berusaha untuk meningkatkan kematangan mereka dalam hal ini.

III. Menghitung Risk Maturity Index Dengan Metode COBIT 5

COBIT 5 adalah kerangka kerja yang menyediakan prinsip-prinsip dan panduan terkait pengelolaan dan pemeriksaan teknologi informasi.

Namun meskipun COBIT 5 tujuan utamanya untuk pengelolaan TI, namun pada prakteknya saat ini juga banyak digunakan untuk menghitung Risk Maturity Index (RMI).

Berikut kita akan membahas langkah-langkah dalam melakukan perhitungan Risk Maturity Index (RMI) dengan metode COBIT 5.

Langkah-langkah ini sekaligus mencontohkan perhitungannya menggunakan perusahaan "ABC Corp" seperti dalam contoh perhitungan sebelumnya.

Langkah 1: Identifikasi Domain COBIT 5

COBIT 5 memiliki lima domain utama yang mencakup berbagai aspek pengelolaan teknologi informasi.

Domain-domain ini adalah:

  1. Evaluate, Direct, and Monitor (EDM)
  2. Align, Plan, and Organize (APO)
  3. Build, Acquire, and Implement (BAI)
  4. Deliver, Service, and Support (DSS)
  5. Monitor, Evaluate, and Assess (MEA)

Langkah 2: Evaluasi Kematangan

Untuk setiap domain COBIT 5, perusahaan akan mengevaluasi kematangan mereka pada berbagai proses yang terkait.

Ini bisa dilakukan melalui survei, wawancara, atau pemeriksaan internal.

Setiap proses akan dievaluasi berdasarkan kriteria kematangan yang telah ditentukan dalam COBIT 5.

Langkah 3: Penilaian Kematangan

Misalkan ABC Corp ingin mengevaluasi kematangan mereka pada dua domain COBIT 5: EDM (Evaluate, Direct, and Monitor) dan APO (Align, Plan, and Organize).

Mereka menggunakan skala kematangan COBIT 5 yang mencakup lima tingkatan: 0 (Tidak ada proses), 1 (Proses Terkendali), 2 (Proses Terkelola), 3 (Proses Disesuaikan), dan 4 (Proses Diperbaiki).

Domain EDM:

  • Proses EDM01 (Ensure Governance Framework Setting and Maintenance): Kematangan = 3
  • Proses EDM02 (Ensure Benefits Delivery): Kematangan = 2
  • Proses EDM03 (Ensure Risk Optimization): Kematangan = 2

Domain APO:

  • Proses APO01 (Manage the IT Management Framework): Kematangan = 3
  • Proses APO02 (Manage Strategy): Kematangan = 2
  • Proses APO03 (Manage Enterprise Architecture): Kematangan = 1

Langkah 4: Perhitungan RMI

ABC Corp menggunakan bobot yang ditetapkan untuk masing-masing domain COBIT 5. Misalnya, mereka memberikan bobot WEDM​=0.6 dan WAPO​=0.4 untuk domain EDM dan APO.

RMI=(WEDM​×KEDM​)+(WAPO​×KAPO​)

RMI=(0.6×((3+2+2)/3))+(0.4×((3+2+1)/3))

RMI=(0.6×(7/3))+(0.4×(6/3))

RMI=(0.6×2.33)+(0.4×2)

RMI=(1.398)+(0.8)

RMI=2.198

Langkah 5: Interpretasi Hasil

Dengan nilai RMI sebesar 2.198, ABC Corp dapat menafsirkan bahwa mereka memiliki tingkat kematangan yang relatif tinggi dalam pengelolaan teknologi informasi, khususnya dalam domain EDM dan APO yang dievaluasi.

Ini menunjukkan bahwa ABC Corp telah mengadopsi praktik-praktik terbaik yang dijelaskan dalam COBIT 5 dalam mengelola risiko dan merencanakan serta mengorganisasikan pengelolaan teknologi informasi mereka.

Hasil ini dapat digunakan oleh ABC Corp untuk mengetahui area mana yang memerlukan perhatian lebih lanjut dalam rangka meningkatkan kematangan mereka dalam pengelolaan risiko dan pengelolaan teknologi informasi secara keseluruhan.

Rentang Nilai COBIT 5 Untuk Menghitung Risk Maturity Index (RMI)

Rentang nilai kematangan COBIT 5 yang dianggap baik atau buruk dapat bervariasi tergantung pada tujuan evaluasi dan konteks organisasi.

Namun, secara umum, berikut adalah panduan umum:

  1. Kematangan Rendah (0 - 1.5): Organisasi dapat dianggap memiliki tingkat kematangan rendah dalam pengelolaan teknologi informasi menurut standar COBIT 5. Ini menunjukkan bahwa proses-proses terkait dalam domain tersebut tidak terlaksana secara efektif atau konsisten.
  2. Kematangan Sedang (1.5 - 2.5): Organisasi berada pada tingkat kematangan sedang dalam pengelolaan teknologi informasi menurut standar COBIT 5. Ini menunjukkan bahwa mereka telah melakukan beberapa upaya untuk meningkatkan kematangan, tetapi masih ada ruang untuk perbaikan.
  3. Kematangan Tinggi (2.5 - 4): Organisasi dapat dianggap memiliki tingkat kematangan tinggi dalam pengelolaan teknologi informasi menurut standar COBIT 5. Ini menunjukkan bahwa mereka telah mengadopsi praktik-praktik terbaik dan menerapkan proses-proses yang efektif dalam domain tersebut.

Namun, penting untuk diingat bahwa nilai kematangan COBIT 5 harus diinterpretasikan dalam konteks organisasi dan tujuan evaluasi.

Nilai yang dianggap "baik" atau "buruk" dapat bervariasi tergantung pada prioritas dan kebutuhan unik dari organisasi yang dievaluasi.

Selain itu, nilai kematangan COBIT 5 harus digunakan sebagai dasar untuk perbaikan dan pengembangan berkelanjutan, bukan sebagai ukuran akhir dari keberhasilan atau kegagalan.

aplikasi manajemen risiko

Kesimpulan

Pengelolaan risiko merupakan aspek yang krusial dalam keseluruhan manajemen suatu organisasi.

Dengan adanya alat seperti Risk Maturity Index (RMI) dan kerangka kerja COBIT 5, organisasi dapat secara sistematis mengevaluasi dan meningkatkan pendekatan mereka dalam mengelola risiko dan teknologi informasi.

Melalui artikel ini, kita telah menjelajahi konsep RMI dan cara menghitungnya menggunakan metode yang dapat disesuaikan.

Dengan mempertimbangkan strategi, proses, dan eksposur risiko, organisasi dapat mengukur kematangan mereka dalam mengelola risiko dan mengidentifikasi area-area di mana perbaikan diperlukan.

Selain itu, kita juga melihat contoh penerapan perhitungan RMI dengan menggunakan kerangka kerja COBIT 5.

Dengan menganalisis kematangan dalam domain-domain COBIT 5, organisasi dapat mendapatkan wawasan yang berharga tentang bagaimana mereka mengelola teknologi informasi dan risiko yang terkait.

Dalam penutup, penting untuk diingat bahwa pengelolaan risiko dan teknologi informasi adalah upaya yang berkelanjutan.

Organisasi harus terus memantau dan meningkatkan pendekatan mereka sesuai dengan perubahan lingkungan dan kebutuhan bisnis.

Dengan menggunakan alat-alat seperti RMI dan COBIT 5, organisasi dapat memperkuat ketahanan mereka terhadap risiko dan menjaga kesinambungan operasional dalam menghadapi tantangan yang kompleks di era digital ini.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

 - 
Arabic
 - 
ar
Bengali
 - 
bn
German
 - 
de
English
 - 
en
French
 - 
fr
Hindi
 - 
hi
Indonesian
 - 
id
Portuguese
 - 
pt
Russian
 - 
ru
Spanish
 - 
es

Ingin konsultasi lebih lanjut ? hubungi kami melalui riskindo57@gmail.com atau 0858-8338-2887