Artikel

Artikel2021-01-27T19:01:07+07:00

Mengenal Sertifikasi Manajemen Risiko di Indonesia

Manajemen risiko di Indonesia dapat dikatakan sudah memasuki tahap kedewasaan (maturity) yang menggembirakan. Sangat berbeda dengan 10 tahun yang lalu. Biasanya bila kita menanyakan tentang manajemen risiko, jawaban sederhananya adalah, “Apa itu?”. Saat ini pertanyaan organisasi bisnis terhadap manajemen risiko adalah, “Sudah seberapa jauh kedewasaan (maturity) manajemen risiko saya?”.

Banyak organisasi sadar bahwa pemahaman dan keahlian mengelola risiko bukanlah di departemen/divisi manajemen risiko perusahaan. Secara de facto, departemen manajemen risiko tidak berhadapan langsung dengan risiko organisasi. Yang mereka hadapi adalah laporan-laporan risiko yang dihadapi oleh seluruh anggota organisasi lain. Laporan ini dilaporkan kembali kepada manajemen organisasi dalam bentuk yang lebih komprehensif dengan skala yang lebih besar (organisasi/korporasi) sehinga dapat dijadikan sebagai acuan manajemen untuk mengambil keputusan-keputusan lebih besar (bersifat stratejik).

Jangan salah, kebutuhan keahlian manajemen risiko dalam organisasi bisa sangat berbeda antara pemilik risiko, pengelola organisasi manajemen risiko (departemen/divisi manajemen risiko), dan pengambil keputusan strategik (manajemen). Paling tidak, kebutuhan keahlian (skill) manajemen risiko dalam organisasi bisa dibagi menjadi lima. Keahlian ini bukan bersifat berjenjang atau harus dipenuhi dari bawah keatas, tetapi lebih menekankan pada tanggung jawab risiko yang dibutuhkan masing-masing. Kelima keahlian itu adalah:

  1. Officer. Seluruh karyawan yang bekerja pada organisasi membutuhkan keahlian manajemen risiko dasar. Setiap orang adalah pemilik risiko. Karyawan adalah ujung tombak perusahaan yang kesehariannya menghadapi risiko operasional. Kegagalan memahami situasi dan potensi kejadian yang tidak diinginkan, akan membawa risiko yang lebih besar bagi organisasi. Tidak mungkin level ini tidak diberikan kemampuan dan pemahaman tentang bagaimana mengelola risiko. Kecepatan laporan dari level ini menjadi kunci keberhasilan organisasi dalam mencapai tujuannya.
  2. Analyst. Pada level operasional, dibutuhkan seseorang yang memiliki kemampuan teknis risiko lebih baik untuk menggunakan metode, framework, dan best practices manajemen risiko secara spesifik pada departemen/divisi yang dipegang. Ukuran-ukuran risiko dan parameternya bisa disesuaikan secara spesifik untuk mengukur, menganalisis, dan melakukan pengendalian, bahkan mitigasi yang diperlukan dalam skala departemen. Level ini bertanggung jawab untuk bisa menghadirkan risiko-risiko operasional yang tepat dengan data yang lengkap.
  3. Professional. Ya, disebut professional, karena memang pada level ini diperlukan pemahaman dan skill manajemen risiko yang cukup luas dan lengkap. Tujuannya, untuk mampu menangkap serta menjaring tidak saja risiko-risiko yang bersifat merugikan (negatif), tetapi juga risiko-risiko yang menguntungkan (positif). Level ini juga yang menerjemahkan risiko level operasional ke risiko level strategik. Level ini juga yang bertanggung jawab terhadap pemilihan kerangka kerja manajemen risiko yang diajukan kepada manajemen dan memastikan seluruh proses manajemen risiko organisasi bertumbuh dan berjalan sesuai dengan fungsinya.
  4. Chief. Pengelolaan manajemen risiko secara strategik membutuhkan keahlian (skill) yang berbeda dengan pengelolaan secara operasional. Secara khusus, direktur yang bertanggung jawab atas pengelolaan manajemen risiko harus mampu mengambil keputusan untuk melindungi dan memastikan risiko-risiko strategik organisasi bisa dikelola dengan baik dengan mempertimbangkan risiko-risiko strategik jangka pendek dan jangka panjang. Level ini juga yang harus memastikan meleburnya manajemen risiko yang sesuai dengan karakteristik organisasi di kalangan seluruh anggota dewan, baik komisaris maupun direksi.
  5. Governance. Level ini adalah kemampuan risiko yang secara khusus harus dimiliki oleh seluruh dewan komisaris dan direksi organisasi. Tujuannya agar mampu mengambil keputusan yang tepat untuk memperkecil kerugian dan memperbesar kesempatan yang sifatnya strategik. Dengan keahlian ini diharapkan para anggota dewan memiliki kemampuan memanfaatkan pengelolaan risiko di organisasi sebesar-besarnya sebagai alat untuk forward looking. Sehingga setiap kebijakan yang diambil sangat terukur dan sudah mempertimbangkan segala unsur positif dan negatif yang dibawa oleh keputusannya.

Pertanyaan selanjutnya yang muncul adalah, “Bagaimana saya memenuhi kebutuhan tersebut?” atau “Apakah saya sudah memenuhi persyaratan atas kebutuhan tersebut?” Sekali lagi dapat dikatakan pada dewasa ini manajemen risiko sudah mencapai taraf yang cukup baik. Betapa tidak, jika lima tahun lalu kita akan kesulitan mencari alat ukur apa yang tepat untuk manajemen risiko, saat ini sudah terdapat berbagai sertifikasi yang memiliki standar yang mumpuni untuk membuat kita mendapat ukuran ‘pada level apa kita berada saat ini’. Lebih jauh lagi, sertifikasi lah yang membuktikan bahwa kita memiliki kemampuan tertentu pada saat ini.

Diantara sertifikasi tersebut adalah yang dikeluarkan oleh BSMR, LSPMR, dan LSP MKS. Para pengelola risiko saat ini memiliki ‘kemewahan’ untuk memilih sertifikasi mana yang ingin disandangnya. Sekaligus sebagai bukti bahwa penyandang gelar ini memiliki kemampuan tertentu dalam bidang manajemen risiko.

Dalam memilih sertifikasi, perlu diperhatikan adanya dua pendekatan sistem uji kompetensi yang berakar dari SKK (Standar Kompetensi Kerja)-nya yaitu Sistem Tingkatan dan Sistem Klaster. Sistem Tingkatan umumnya ditandai dengan kata-kata level/tingkatan misal level 1, level 2,… level 5 dan seterusnya. Untuk mendapatkan level tertinggi, harus mendapatkan semua level dari yang terendah tanpa terkecuali.Harus diikuti satu persatu proses ujian dan kelengkapan administrasinya.

Pendekatan Sistem Tingkatan digunakan oleh BSMR (Badan Sertifikasi Manajemen Risiko) – yang terafiliasi dengan IRPA – Indonesia Risk Professional Association, dan LSPP (Lembaga Sertifikasi Profesi Perbankan) – yang terafiliasi dengan BARA – Banker Risk Management Association.

Berbeda dengan Sistem Tingkatan, Sistem Klaster tidak menuntut pengambil sertifikasi untuk mengambil jenjang sebelumnya untuk mendapatkan jenjang klaster yang diinginkan. Untuk mendapat klaster tertinggi, tidak harus lulus seluruh klaster yang ada. Namun juga tidak semudah itu untuk mendapatkan klaster-klaster tertentu. Ada persyaratan khusus yang harus dimiliki setiap klaster. Bahkan bukan tidak mungkin pemegang klaster tertinggi dianggap tidak memenuhi persyaratan untuk mengambil klaster dibawahnya.

Sistem Klaster ini biasanya menyesuaikan dengan pekerjaan dan tanggung jawab profesional dalam organisasi calon pengambil sertifikasi. Lembaga-lembaga sertifikasi yang menggunakan pendekatan klaster adalah diantaranya, LSPMR (Lembaga Sertifikasi Profesi Manajemen Risiko) – yang awalnya terafiliasi dengan Indonesia PRiMA (Professional in Risk Management Association), dan LSP MKS (Lembaga Sertifikasi Profesi MKS) – yang terafiliasi oleh IRMAPA (Indonesia Risk Management Professional Association).

Khusus pendekatan klaster, lazimnya memberikan penamaan terhadap klasternya. Setiap klaster yang dikeluarkan harus memiliki lisensi skema spesifik untuk masing-masing klaster yang dikeluarkan BNSP (Badan Nasional Sertifikasi Profesi). Bila ditilik dari masing-masing situs lembaga penyelenggara sertifikasi bidang manajemen risiko ini dan ditambah dengan informasi-informasi di komunitas manajemen risiko, lembaga yang sudah menerima lisensi dari BNSP untuk seluruh klasternya secara lengkap adalah LSP MKS.

Pada akhirnya, pilihan tergantung masing-masing lembaga menurut pengukuran dan kriteria yang ditetapkan oleh orang yang memiliki kewenangan untuk memilih sertifikasi. Tulisan ini dapat digunakan sebagai salah satu acuan dalam memilih sertifikasi-sertifikasi yang ada. Untuk mendapatkan gambaran lebih lengkap dan mendalam disarankan untuk melihat langsung ke website lembaga-lembaga sertifikasi tersebut yaitu;

Oleh : Fadjar Proboseno

By |
Read More

Selera Risiko dan Toleransi Risiko – Perspektif SNI ISO 31000:2011 Manajemen Risiko Nasional Indonesia

Sering dijumpai dua terminologi di atas digunakan secara bergantian oleh para praktisi manajemen risiko. Seakan-akan mereka memiliki makna yang sama. Sejatinya, dua terminologi tersebut memiliki arti dan dasar konsep yang sangat berbeda. Di bawah ini adalah penjelasan dari masing-masing terminologi tersebut dan kaitan keduanya dari perspektif SNI:ISO 31000:2011 Pedoman dan Petunjuk Manajemen Risiko – sebagai standar nasional bangsa Indonesia.
A. Selera risiko adalah tingkatan umum risiko yang ingin diambil atau diterima.
Menentukan suatu selera risiko, terutama bagi direksi atau pengurus suatu organisasi, adalah hal krusial dalam penerapan suatu Enterprise Risk Management (ERM). Penentuan selera risiko membantu kita menetapkan jumlah risiko yang kita inginkan untuk nyaman hidup di dalamnya. Juga tentang penentuan berapa banyak risiko yang perlu dikelola organisasi secara umum. Sementara dalam dokumen induk SNI ISO 31000 tidak memberikan definisi rinci, baik selera risiko maupun toleransi risiko. Dokumen lain yang terkait dengan hal ini yaitu SNI ISO 73:2011 – Kosa Kata Manajemen Risiko menyatakan bahwa selera risiko adalah ‘jumlah dan tipe risiko dimana suatu organisasi nyaman untuk mengambil atau mempertahankannya’.
Berbagai definisi lain tentang selera risiko juga banyak ditemukan dalam khasanah teori manajemen risiko terintegrasi atau manajemen risiko entitas yang kerap dikenal sebagai ERM. Dari semua definisi yang ditemukan, intisari pemaknaan dari selera risiko kurang lebih sama dengan di atas. Hanya perlu dicatat bahwa ada satu tambahan elemen yang signifikan yaitu elemen tentang ‘pencapaian tujuan organisasi’.
Oleh karena itu, umumnya definisi lengkap selera risiko sering dikutip sebagai berikut “Selera risiko adalah jumlah dan tipe risiko dimana suatu organisasi nyaman untuk mengambil dan/atau mempertahankannya dalam rangka mencapai tujuan organisasi tersebut”.
Sejalan dengan beragam definisi, dapat dikatakan bahwa penentuan selera risiko sebenarnya didasarkan pada beberapa faktor, terutama faktor-faktor di bawah ini:
1. Industri – terutama regulasi yang terkait dengan industri
2. Budaya perusahaan
3. Pesaing dan persaingan
4. Sifat dari tujuan yang akan diraih
5. Kekuatan keuangan dan kapabilitas umum organisasi (pengetahuan, keterampilan, dan lain-lain).
Perlu dicatat bahwa selera risiko dapat berubah dari waktu ke waktu, sejalan dengan dinamika ke lima faktor di atas. Oleh karena itu, akan sangat baik bagi organisasi untuk selalu melakukan asesmen risiko yang dihadapi mereka terhadap kriteria risiko secara periodik dan berkesinambungan, tergantung pada dinamika dari lingkungan dan situasi bisnis, sumber daya yang tersedia, keterampilan, teknologi atau sistem, dan lain sebagainya yang relevan bagi organisasi.
B. Toleransi risiko – diterapkan untuk pengelolaan risiko spesifik 
Dua rujukan utama untuk definisi toleransi risiko adalah yang terkait dengan SNI ISO 31000:2011 dan kombinasi dari berbagai rujukan lain di antaranya COSO dan CoCo.
Sementara SNI ISO 31000:2011 sendiri tidak menyediakan definisi baku, dokumen standar ikutan dari SNI ISO 31000:2011 yaitu SNI ISO 73:2011 Kosa Kata Manajemen Risiko memberikan definisi tentang toleransi risiko sebagai berikut “Toleransi risiko adalah kesiapan organisasi atau pemangku kepentingan dari organisasi tersebut untuk menanggung suatu risiko – setelah adanya perlakuan risiko – dalam rangka mencapai tujuan mereka”.
Sebagai tambahan, COSO menyatakan bahwa toleransi risiko mencerminkan variasi dari manfaat yang masih dapat diterima dalam ukuran kinerja spesifik yang dikaitkan dengan tujuan yang hendak dicapati oleh organisasi tersebut. Demikian juga CoCo yang merupakan rujukan utama di Kanada.
C. Hubungan antara toleransi risiko dan selera risiko
Secara praktis dua hal di bawah ini perlu dipahami terlebih dahulu:
  1. Toleransi risiko adalah tingkatan atau jumlah suatu risiko untuk dapat diterima oleh organisasi per satuan risiko secara spesifik. Sedangkan, selera risiko adalah tingkatan atau jumlah risiko secara total dimana suatu organisasi nyaman untuk menanggungnya (catatan: dalam suatu kondisi profil risiko tertentu dari organisasi mereka secara keseluruhan).
  2. Toleransi risiko terkait dengan penerimaan dan keluaran manfaat dari pengambilan suatu risiko spesifik dan memiliki sumber daya dan pengendalian yang tepat dalam rangka mentolerir risiko tersebut. Umumnya diekspresikan dalam kriteria kualitatif dan/atau kuantitatif.
Selera risiko terkait dengan strategi jangka panjang organisasi terutama mengenai apa yang hendak mereka capai dan sumber daya apa yang tersedia untuk mencapainya, umumnya diekspresikan dalam kriteria kualitatif.
Sebagaimana disampaikan sebelumnya, SNI ISO 31000:2011 tidak memberikan definisi baku untuk kedua terminologi yaitu ‘selera risiko’ dan ‘toleransi risiko’.
Sebagai standar, SNI ISO 31000:2011 menyarankan penggunaan kata ‘sikap risiko’ (risk attitude), dimana definisi yang diberikan oleh SNI ISO31000:2011 tersebut adalah sebagai berikut yaitu “sikap risiko adalah pendekatan organisasi untuk melakukan asesmen risiko, dan kemudian mengejar, mempertahankan, mengambil atau menjauhi risiko tersebut”.
Dalam dokumen yang sekeluarga dengan SNI:ISO31000:2011 yaitu SNI:ISO31004:2011 (catatan: dokumen ini adalah dokumen pelengkap dari standar yang memberikan rujukan untuk implementasi SNI ISO 31000:2011) memberikan ulasan lebih jauh lagi tentang pentingnya kriteria risiko dalam pengukuran suatu sikap risiko dari suatu organisasi. Pada saat kita menerapkan suatu kerangka kerja risiko, dinyatakan bahwa kriteria risiko yang patut dan tepat harus ditetapkan/didirikan/dibangun. Kriteria risiko harus konsisten dengan tujuan organiasi dan disejajarkan dengan sikap risiko organisasi tersebut. Bila tujuan organisasi berubah, kriteria risiko perlu disesuaikan. Oleh karena itu penting untuk manajemen risiko yang efektif bahwa kriteria risiko dikembangkan untuk merefleksikan sikap risiko dan tujuan organisasi tersebut.
Penulis: Dr. Antonius Alijoyo, SE., MM., MBA., ERMCP., CERG., CCSA., CSFA., CRMA., CGEIT., CFE.
By |
Read More

Sertifikasi Kompetensi Personil di Indonesia – perkembangan saat ini

Penulis tergerak untuk membuat tulisan ini dalam rangka berbagi pandangan mengenai perkembangan sertifikasi kompetensi personil di Indonesia secara menyeluruh. Menurut penulis hal ini penting untuk berbagi dengan komunitas karena masih ada beberapa pandangan dan atau opini yang bersifat parsial.

Perlu kita sadari bahwa saat ini di Indonesia, lembaga yang dapat memberikan lisensi profesi berbasis kompetensi adalah BNSP – Badan Nasional Sertifikasi Profesi. 

Lisensi dari BNSP terdiri dari dua jenis, pertama adalah lisensi bagi organisasi penyelenggara sertifikasi kompetensi yang sering disebut LSP (Lembaga Sertifikasi Profesi). Saat ini sudah ada beberapa LSP bidang manajemen risiko yang sudah memperoleh lisensi dari BNSP, yaitu BSMR, LSPMR, LSPP, dan LSP-MKS. Kedua, adalah lisensi untuk masing-masing skema sertifikasi yang ditawarkan oleh pihak LSP. 

Ada LSP yang menyelenggarakan sertifikasi skema kompetensi dengan metode skema tingkatan misal tingkat 1, 2, 3 dan seterusnya, dan ada yang menggunakan metode skema klaster misal klaster ‘qualified risk management officer’ sampai dengan ‘qualified risk governance professional’ sebagaimana ditawarkan oleh LSP-MKS.

Oleh karena itu, beberapa isitilah dan nomenklatur sertifikasi akan tergantung dari LSP yang mengeluarkannya, dan semua sah selama mengikut standar uji kompetensi yang sudah digariskan oleh BNSP. Dengan kata lain, selama proses uji kompetensi dilakukan oleh LSP dengan metode standar dari BNSP, maka peserta yang lulus uji kompetensi akan direkognisi sudah memiliki kompetensi yang dipersyaratkan di dalam Standar Kompetensi Kerja yang menjadi rujukan dasar uji kompetensi.

Selain hal di atas, publik perlu memahami bahwa ada rujukan internasional mengenai sistem manajemen sertifikasi kompetensi personil, yaitu ISO 17024. Bila berpegang pada rujukan internasional, maka suatu LSP harus memperoleh sertifikat ISO 17024 dari satu badan akreditasi yang memang sudah memiliki ijin untuk hal tersebut. Dalam konteks Indonesia, badan yang dapat memberikan ijin untuk akreditasi ISO 17024 tersebut adalah KAN (Komite Adkreditasi Nasional).

Perlu digaris bawahi bahwa sampai saat ini baru ada dua badan akreditasi di dunia yang sudah memperoleh ijin untuk memberikan akreditasi ISO 17024 yaitu Indonesia melalui KAN dan Amerika Serikat melalui ANSI (American National Standards Institute). Hal ini sangat membanggakan sebab Indonesia sudah lebih dulu direkognisi melalui KAN dibanding negara lain misal SIngapore, Malaysia, Jepang, Australia, Inggris, dan lain sebagainya.

Dengan keberadaan BNSP, KAN, LSP, dan ISO 17024 mungkin timbul pertanyaan bagaimana harmonisasi antar lembaga tersebut dan bagaimana keterkaitan satu sistem dengan sistem lainnya.

Hasil observasi penulis selama satu tahun belakangan ini memberikan gambaran bahwa kemungkinan yang paling wajar terjadi untuk satu-dua tahun ke depan adalah sebagai berikut:

  • Suatu LSP harus memperoleh dulu sertifikasi ISO 17024 dari KAN sebagai pembuktian bahwa mereka sudah menjalankan sistem manajemen yang memang dirancang unik untuk suatu lembaga sertifikasi. 
  • Setelah memperoleh status terakreditasi oleh KAN, LSP tersebut bisa meminta lisensi yang diperlukan kepada BNSP sebagai suatu organisasi pelaksan uji kompetensi untuk profesi tertentu, termasuk di dalamnya adalah lisensi untuk setiap skema sertifikasi yang dijalankan oleh LSP tersebut.
  • Dalam perjalanan menjaga dan merawat status, LSP harus memastikan selalu terakreditasi ISO 17024 dari waktu ke waktu oleh KAN, dan juga selalu patuh pada aturan dan peraturan BNSP dalam menjaga lisensi sebagai pelaksana uji kompetensi untuk profesi yang diuji komptensinya.

Demikian artikel pendek ini dibuat untuk berbagai informasi kepada sesama praktisi dan profesional manajemen risiko di Indonesia. Mudah-mudahan bermanfaat.

Penulis : Dr. Antonius Alijoyo, ERMCP, CERG

By |
Read More

Integrasi ISO 31000:2009 ke Dalam ISO 9001:2015

Baik ISO 9001:2015 maupun ISO 31000:2009 adalah sistem manajemen yang memiliki siklus dasar sama yaitu PDCA (Plan-Do-Control-Act). Untuk kepentingan praktis tulisan, maka ISO 31000:2009 (yang saat ini sudah diadaptasi menjadi Standar Nasional Indonesia Manajemen Risiko – SNI ISO 31000:2011) akan disebut ISO 31000 saja, sedangkan ISO 9001:2015 akan disebut ISO 9001 saja.
Langkah pertama sebelum bahasan lebih lanjut adalah mengulang kembali pemahaman kita tentang siklus PDCA dalam ISO 31000 yang secara sederhana digambarkan sebagai berikut:
– Plan:
adalah seluruh langkah-langkah perencanaan untuk menentukan bagaimana bentuk organisasi akan melakukan pengelolaan risiko, baik untuk pengelolaan risiko sisi bawah (catatan: risiko sisi bawah adalah risiko terjadinya hal-hal negatif yang membuat kerusakan nilai organisasi kita), maupun risiko sisi atas (catatan: risiko sisi atas adalah risiko tidak terjadinya hal-hal positif untuk peningkatan nilai organisasi kita, walaupun ada kesempatan) mereka.
– Do:
Integrasi dan implementasi langkah-langkah pengelolaan risiko berbasis ISO31000, baik untuk pengelolaan risiko sisi bawah maupun risiko sisi atas, ke dalam proses dari suatu sistem manajemen lain yang digunakan oleh organisasi.
Catatan: bila organisasi memiliki sistem manajemen mutu berbasis ISO 9001, maka proses pengelolaan risiko sebagaimana yang dideskripsikan di dalam ISO 31000 perlu diintegrasikan dengan proses QMS (Quality Management System = Sistem Manajemen Mutu) tersebut.
– Control:
Evaluasi terhadap efektivitas langkah-langkah pengelolaan risiko, baik pengelolaan risiko sisi bawah maupun sisi atas organisasi.
Catatan: evaluasi dilakukan melalui pemantauan, yang kemudian digunakan untuk melakukan analisis terhadap kerangka kerja manajemen risiko yang dipakai – apakah sudah efektif atau belum, dan bagaimana pelaksanaan proses pengelolaan risiko dijalankan – apakah sudah dijalankan secara disiplin dan konsisten.
– Act:
Adalah langkah-langkah perbaikan atau peningkatan pengelolaan risiko organisasi – baik pengelolaan risiko sisi bawah dan maupun risiko atas mereka.
Catatan: hasil evaluasi di atas akan menjadi masukan untuk melakukan langkah-langkah perbaikan dan/atau peningkatanyang diperlukan.
Di sisi lain, bila kita melihat siklus PDCA ISO 9001, ada satu klausula yang mengharuskan adanya (provisi) langkah-langkah pengeloalan atau manajemen risiko dalam tiap proses QMS (Quality Management System). Provisi ini tertulis dengan jelas dalam klausul 4.4.1.f., yang didukung dengan klausul 6.1., yaitu klausula yang menyediakan beberapa rincian tentang bagaimana melaksanakan pengelolaan risiko tersebut. Bila dipelajari dengan seksama, maka penjabaran dalam klausul 6.1., diambil dari proses pengelolaan atau manajemen risiko menurut ISO 31000.
Karena klausul 4.4.1.f. terkait dengan pelaksanaan proses sistem manajemen mutu atau tahapan ‘DO’ dalam siklus PDCA ISO 9001, maka persyaratan mengenai manajemen risiko dalam ISO 9001 difokuskan pada tahapan “DO” saja dari keseluruhan siklus PDCA mereka.
Dari keberadaan di klausul 4.4.1.f. tersebut, timbul pertanyaan tentang bagaimana integrasi dan implementasi langkah-langkah untuk mengelola risiko, baik risiko sisi bawah maupun sisi atas organisasi sebagaimana disarankan dalam ISO 31000 ke dalam proses QMS berbasis ISO 9001 organisasi tersebut?
Ada dua pilihan bentuk program integrasi tersebut, yaitu integrasi dengan skala penuh (full scale) atau dengan skala kecil (small scale).
A. Program Skala Penuh
Untuk program skala penuh, mutlak diperlukan langkah pengembangan dan penerapan sistem manajemen risiko ISO31000 secara menyeluruh sebagai bagian dari Sistem Pengendalian Mutu organisasi. Dalam hal ini, langkah-langkah di bawah dapat dipakai sebagai rujukan:
  1. Ciptakan struktur organisasi yang memastikan bahwa tanggung jawab pengelolaan risiko berada di tangan para pemilik risiko (Risk Owner). Contoh: direksi dan dewan komisaris menerapkan konsep three lines of defense dimana para pemilik risiko adalah lapis pertama (the first line of defense) dari keseluruhan pertahanan organisasi terhadap risiko.
  2. Distribusikan tanggung jawab dan otoritas ke dalam peran dan tanggung jawab para karyawan.Contoh: memasukkan tanggung jawab pengelolaan risiko ke dalam job descriptions karyawan, didukung dengan SOP (standard operating procedure) yang relevan sebagai rujukan mereka di tingkat pelaksanaan.
  3. Identifikasi interaksi antara suatu fungsi/proses bisnis dengan fungsi lain/proses bisnis lain terutama dalam kaitan pengelolaan risiko bersama antar fungsi/proses bisnis tersebut.
    Contoh: memastikan adanya sinkronisasi antar proses bisnis yang satu dengan proses bisnis lainnya sehingga shared risks (risiko bersama) dapat terlihat oleh semua fungsi dalam organisasi, dan shared control (kontrol bersama) yang diperlukan juga dapat terlihat jelas menjadi tanggung jawab fungsi mana saja dalam organisasi tersebut. Laksanakan pelatihan manajemen risiko di setiap tingkatan perusahaan agar setiap karyawan memiliki pengetahuan dan kompetensi cukup untuk melakukan integrasi proses manajemen risiko ke dalam proses pengendalian mutu yang menjadi tanggung jawab mereka.Contoh: ada baiknya setiap individu yang bertanggung jawab dalam proses manajemen mutu diberikan pelatihan dasar tentang SNI ISO 31000 sehingga mereka memiliki persepsi dan pengetahuan yang sama tentang proses manajemen risiko dan akan terbiasa menggunakan terminologi yang baku sehingga dapat terjadi standarisasi proses yang terintegrasi penuh.
  4.  Kembangkan panduan sistem manajemen risiko dengan menggunakan format yang sudah dianggap sebagai good practice.
    Contoh: dalam hal ini, sebaiknya menggunakan sistem yang memiliki ‘pondasi’ dan ‘filosofi’ yang sama yaitu berbasis pada ISO. Bila menggunakana SNI ISO 9001 untuk sistem manajemen mutu organisasi, maka sebaiknya menggunakan SNI ISO 31000 sebagai dasar rujukan pengembangan panduan sistem manajemen risiko organisasi tersebut.
  5. Integrasikan prinsip-prinsip manajemen risiko sebagai bagian dari Kebijakan Mutu (Quality Policy),
    Contoh: dalam mengintegrasikan salah satu prinsip manajemen risiko dalam ISO31000 yang mengatakan bahwa “Manajemen risiko adalah bagian dari pengambilan keputusan”, maka orgnisasi dapat memastikannya melalui suatu kebijakan yang mengharuskan semua usulan atau pengambilan keputusan/kebijakan didasarkan pada suatu kajian risiko yang relevan. Misal: usulan investasi, usulan produk/jasa baru, usulan penggunaan tipe dan mitra outsourcing, dsb.
  6. Sebisa mungkin sertakan pernyataan eksplisit langkah-langkah perlakuan risiko dalam quality objectives. Bila tidak memungkinkan, maka sertakan pernyataan tersebut secara implisit.
    Contoh: bila sebelumnya pernyataan quality objective misal sebagai berikut: “jumlah keluhan pelanggan yang ditindaklanjuti adalah minimum 98%”, maka dapat diperkaya menjadi sebagai berikut: “Keluhan pelanggan 98% ditindaklanjuti maksimum dua hari kerja dari keluhan tersebut diperoleh dan kontrol dilakukan juga oleh pelanggan.”
    Catatan: pernyataan sasaran ini diperkaya dengan adanya dua lapis pengendalian atau kontrol. Dalam hal ini, kontrol lapis pertama adalah data internal yang berasal dari register kegiatan tim pelayanan pelanggan dan kontrol lapis kedua adalah data eksternal yang berasal dari umpan balik pelanggan.
  7. Ikutkan semua persyaratan dari klausula 6.1. SNI ISO 9001:2015 yaitu tindakan untuk menangani risiko dan peluang.Contoh: dipastikan bahwa dalam setiap langkah penanganan risiko diarahkan baik untuk pengelolaan risiko sisi bawah maupun pengelolaan risiko sisi atas sehingga organisasi dapat selalu menjaga/melindungi nilai organisasi dari hal-hal buruk, sekaligus mampu mengeksploitasi kesempatan untuk meningkatkan nilai organisasi tersebut.
B. Program Skala Kecil
Implementasi dapat dibatasi pada persyaratan ISO 31000 dalam tahapan siklus “DO saja yaitu integrasi dan implementasi untuk bagaimana menangani risiko dan kesempatan ke dalam proses QMS di setiap tahapan proses QMS tersebut.
Dalam hal ini, cukup bagi organisasi tersebut mengembangkan suatu metodologi manajemen risiko dalam proses QMS yang ada. Setidaknya mencakup keempat tahapan proses di bawah ini:
1. Identifikasi risiko
2. Analisis risiko
3. Evaluasi risiko
4. Perlakuan risiko
Menurut hemat penulis, sebaiknya bagi organisasi yang berukuran besar dan/atau berada di dalam industri yang memiliki sensitivitas tinggi terhadap pengelolaan risiko, misal perbankan, asuransi, dan pasar modal, sebaiknya menerapkan skala penuh integrasi. Sedangkan bagi organisasi yang berukuran kecil dan/atau industrinya tidak terlalu sensitifi terhadap risiko, bisa menggunakan pendekatan program integrasi skala kecil saja.
Penulis: Dr. Antonius Alijoyo, ERMCP, CERG, CGEIT, CCSA, CRMA, CFSA, CFE
By |
Read More

PROFIL PENJAHAT SIBER

Artikel kali ini dibagi dalam dua bahasan. Pertama mengenai profil penjahat siber masa kini yang sudah bergeser jauh dari gambaran stereotip masa lalu. Bagi para profesional manajemen risiko, ada baiknya memahami pergeseran tersebut. Tujuannya agar tidak memandang enteng potensi atau ancaman yang dapat merusak proses dalam organisasi atau terhadap reputasi organisasi, bahkan kehilangan properti intelektual organisasi yang sangat kritikal.
Kedua adalah berkembanganya kecanggihan profil penjahat siber dalam konteks Indonesia sejalan dengan perkembangan peran dan kekuatan ekonomi Indonesia di tingkat global.
A. PROFIL PENJAHAT SIBER MASA KINI
Profil penjahat siber telah bergeser dari prototipe sekedar ‘anak ajaib’ – yang menyendiri di kamar mereka dan termotivasi untuk tujuan iseng, menjadi penjahat siber yang didukung sumber daya lengkap dan termotivasi dengan adanya keuntungan keuangan yang sangat besar.
Kadang penjahat siber kelas atas didukung oleh suatu negara tertentu atau oleh kelompok politik radikal tertentu. Dananya sangat besar dan tidak terbatas. Beberapa profil para penyerang siber saat ini, adalah sebagai berikut:
  1. Memiliki ketersediaan sumber daya yang lengkap untuk menfasilitasi suatu serangan siber. Umumnya berbentuk infrastruktur komputer dan internet tercanggih atau markas yang dapat berpindah-pindah dan tidak terdeteksi.
  2. Memiliki kemampuan teknikal yang sangat tinggi. Kadang terdiri dari kelompok ‘anak ajaib’ yang diperalat ataupun yang memang sudah cenderung menjadi kelompok spesialis kejahatan siber.
  3. Memiliki fokus sangat terarah terhadap sasaran yang akan diserang. Baik sasaran yang berbentuk korporasi maupun negara, serta individual pesohor tertentu.
  4. Memliki dukungan dana yang besar. Kadang sumber dana mereka berasal dari lintas negara dengan kemampuan pengiriman uang yang tersamar dalam berbagai kegiatan formal dan resmi.
  5. Sangat terorganisir. Kadang bersembunyi dalam suatu organisasi formal, baik berbentuk perusahaan ataupun organisasi nirlaba yang beroperasi lintas negara.
Pergeseran profil di atas perlu kita pahami karena suatu serangan siber yang dilakukan oleh individu jenius yang iseng, paling hanya sampai pada pembuktian diri bahwa mereka mampu melakukan serangan siber tersebut. Misal saat mereka dapat memperoleh source code (kode sumber) RSA suatu jaringan tertentu.
Seorang penyerang individual kemungkinan besar akan berhenti pada saat dia sudah memberikan bukti bahwa source code RSA telah dibongkar. Sebaliknya, bagi penjahat siber teroganisir dengan motif keuntungan keuangan, mereka akan segera menjual berbagai properti yang telah dicuri ke pasar gelap atau ke kelompok kriminal siber yang lebih besar lagi. Targetnya untuk dapat melakukan perampokan besar-besaran melalui penggunaan kode sumber tersebut.
B. PENJAHAT SIBER – KONTEKS DI INDONESIA

Akhir-akhir ini, Indonesia dan beberapa negara berkembang lainnya sudah menjadi salah satu target sasaran kejahatan siber yang terorganisir. Kejadian serangan siber sudah banyak di berbagai lokasi seiring dengan berkembangnya perekonomian digital suatu negara.

Dalam suatu acara media briefing tanggal 8 September 2016 lalu, Alexander Gostev dari Security Expert Kaspersky Lab menyatakan bahwa Indonesia kini sebagai salah satu fokus target cyber crime dunia. Lebih dari satu juta serangan terjadi pada web-bourned threats blocked’yang berhasil mengenai target sebanyak 18.4 pengguna (lebih dari 50%) dari total serangan di 26 lokasi berbeda. Selain itu, sudah terjadi 20 juta serangan yang diakibatkan oleh adanya malware (perangkat perusak) pada 37 tempat di seluruh Indonesia.

Saat ini, para penjahat siber sudah melepaskan anak panah ke berbagai sasaran. Cukup banyak yang mengenai sasaran dan menginfeksi server dan/atau jaringan organisasi yang disasar. Khususnya kepada mereka yang memilik sistem pertahanan siber yang lemah dan dianggap dapat memberikan keuntungan keuangan bagi si penyerang.

“Modus operandi penjahat masih menggunakan banyak cara lama,” kata Gostev. Di antaranya, terutama dengan spear-phising (pengelabuan terarah) yang menggunakan surat elektronik. Si penjahat mengikutkan lampiran atau tautan yang sudah terinfeksi di dalam badan surat elektronik yang dikirim tersebut.

Namun tingkat kecanggihah kejahatan siber terus berkembang. Saat ini, yang paling terbaru dan sedang tren di kalangan kejahatan siber adalah penyebaran perangkat perusak melalui aplikasi mobile malware pada berbagai App Stores yang sering dipakai oleh publik secara luas dalam mendukung kehidupan mereka sehari-hari.

Apa arti perkembangan tersebut bagi para praktisi manajemen risiko terintegrasi saat ini?

Sejalan dengan maraknya aplikasi dan transaksi online di Indonesia serta terkoneksinya antar jaringan (baik intra organisasi, maupun antar organisasi), sudah saatnya para praktisi manajemen risiko memahami lanskap kejahatan siber yang semakin lama semakin canggih.

Untuk itu, mereka diharapkan terus membangun kekuatan pertahanan siber di organisasi mereka. Hal ini bukan berarti harus berbelanja berbagai anti perangkat perusak yang mahal dan canggih atau menjadi seorang spesialis bidang teknologi informasi. Tetapi mulai dengan membangun kesadaran bahwa kejahatan siber sudah semakin umum dan para penjahat siber sekarang bisa berada di manapun. Oleh karena itu, pertahanan siber juga sudah seharusnya menjadi bagian tidak terpisah dari ketahanan organisasi secara menyeluruh terhadap semua risiko yang sudah teridentifikasi dan merupakan prioritas organisasi dalam mengelolanya.

Dalam konteks kejahatan siber di Indonesia, ada baiknya bagi praktisi manajemen risiko untuk mengingat kembali salah satu prinsip pengelolaan risiko berbasis SNI ISO 31000 yang mengatakan bahwa ‘manajemen risiko harus terintegrasi dengan proses bisnis organisasi’.

Dalam hal ini, praktisi manajemen risiko perlu memastikan bahwa semua risiko inheren atau risiko melekat yang relevan dalam lingkungan siber sudah teridentifikasi, dan kendali atau kontrol yang memadai terhadap risiko tersebut sudah diterapkan dalam setiap proses bisnis yang ada

Penulis: Dr. Antonius Alijoyo, ERMCP, CERG, CGEIT, CCSA, CRMA, CFSA, CFE

By |
Read More

PERBEDAAN KOMUNIKASI RISIKO (RISK COMMUNICATION) DAN KOMUNIKASI KRISIS (CRISIS COMMUNICATION)

Dua hal di atas yaitu komunikasi risiko (risk communication) – disingkat sebagai KR, dan komunikasi krisis (crisis communication) – disingkat sebagai KK cukup sering digunakan secara bergantian dalam pengelolaan risiko suatu organisasi.

Apakah dua istilah tersebut memang memiliki arti dan/atau fungsi yang sama, atau sebenarnya memiliki perbedaan mendasar?

Walaupun banyak definisi yang dapat dipakai untuk menerangkan apa itu KR dan KK dan sejauh apa cakupannya, ada beberapa hal mendasar sebagai karakteristik pembeda antara keduanya, yaitu:

  1.  Konteks dan tujuan KR dan KK sangat berbeda.

Tujuan KR umumnya terkait dengan penyampaian informasi mengenai perkembangan risiko yang dilakukan secara rutin, berkala, dan jangka panjang. Sedangkan tujuan dari KK umumnya terkait dengan penyampaian informasi yang bersifat darurat(emergency)  dan berisi komponen yang sangat dinamis, perlu ditangani sesegera mungkin.

  1. Sifat dari kejadian yang dihadapi.

KR menangangi suatu kejadian atau kondisi yang diperkirakan dapat terjadi, sehingga masih bersifat potensi dan memiliki tingkat probabilitas tertentu. Sebaliknya, KK menangani hal yang saat ini sedang terjadi atau bersifat aktual dan mendesak.

  1. Waktu yang tersedia untuk mencari solusi.

Solusi terkait dengan KK harus dilakukan sesegera mungkin karena waktu yang tersedia sangat sempit. Juga pengambil keputusan tidak akan sempat untuk menjalankan model pemecahan yang bersifat harus membangun konsensus terlebih dahulu, yang bersifat kolaboratif serta interaktif, terutama dengan komunitas yang terkena pengaruh krisis.

Karena konteks dan sifat kejadian yang ditangani sangat berbeda antara KK dan KR, praktisi manajemen risiko perlu menyiapkan langkah-langkah yang berbeda dalam pelaksanaan KK dan KR.

Pelaksanaan KR cukup masuk dalam tahapan komunikasi siklus proses manajemen risiko yang standar, berkala, dan memiliki prosedur baku. Termasuk pelaporan risiko yang dihadapi oleh organisasi, baik kepada regulator, atau kepada pemangku kepentingan lain terkait. Bila kita merujuk pada SNI ISO 31000, jelas tahapan proses ‘komunikasi risiko’ secara eksplisit ditekankan sebagai bagian kritikal dari keseluruhan proses manajemen risiko suatu organisasi. Sebaliknya, pelaksanaan KK membutuhkan gerak cepat dalam pengambilan keputusan karena keterlambatan komunikasi dapat membuat kerusakan yang jauh lebih parah bagi organisasi.

Untuk menghindari dampak fatal dari keterlambatan pemberian informasi pada saat suatu krisis terjadi, perlu dipastikan adanya suatu perencanaan komunikasi krisis bagi suatu organisasi. Sebaiknya perencanaan tersebut terpadu dalam keseluruhan strategi komunikasi organisasi dan proses pelaksanaan manajemen risiko organisasi terpadu (enterprise risk management).

Oleh karena itu, seorang CRO (Chief Risk Officer) dan/atau praktisi manajemen risiko perlu memastikan adanya perencanaan KK yang efektif dalam organisasi, sehingga bila suatu krisis terjadi, mereka sudah siap. Di bawah ini ada beberapa langkah umum yang dapat berguna bagi mereka sebagai rujukan dalam melakukan perencanaan KK tersebut:

  1.  Pastikan adanya filosofi berbasis nilai-nilai dasar yang mengapresiasi keterbukaan, cepat tanggap, tulus, profesional dan proaktif ketika krisis mendera. Nilai-nilai dasar ini harus tercantum dalam satu kebijakan perusahaan tentang penanggulangan krisis.
  1. Antisipasi dan simulasi suatu krisis dengan menggunakan skenario terburuk baik dari perspektif eksternal dan/atau internal. Dalam hal ini, identifikasikan kemampuan tim penganggulangan krisis dan ukur kesenjangan yang ada antara kemampuan tim saat ini dengan kemampuan tim yang diharapkan. Bila ada kesenjangan, perlu dipikirkan opsi apa yang tersedia dalam menutupi kesenjangan tersebut dan tentukan preferensi organisasi terhadap opsi yang ada.
  1. Bangun sistem early warning signal yang dapat membantu organisasi mendeteksi adanya potensi suatu krisis akan berkembang. Sistem ini perlu dipantau secara berkala.
  1. Pastikan ada juru bicara organisasi yang ditunjuk dan kompeten. Dalam hal ini, pastikan juga ada kebijakan dan prosedur baku sebagai rujukan bagaimana dan kapan si juru bicara harus berbicara kepada media dan pendukung/konstitutens bila suatu krisis terjadi.
  1. Buat pesan dan material penyampaian krisis dalam bentuk press release, baik untuk media cetak utama (mainstream)maupun media sosial. Kirimkan press release tersebut secara proaktif kepada mereka.
  1. Identifikasi dan bangun sekutu organisasi pada masa tidak ada krisis, sehingga mereka dapat membantu selama adanya krisis melaui sistem dan jaringan komunikasi yang sudah terbina sebelumnya.
  1. Pastikan adanya prosedur penanganan tindak lanjut dan proses menjawab berbagai pertanyaan dari media, pembangun opini, dan pertanyaan publik. Dalam hal ini, ciptakan sistem dan prosedur bagaimana memberikan update ke media, pembangun opini, dan kepada publik tersebut secara berkala dan secara bertanggung jawab.
  1. Pastikan juru bicara dan ahli media yang bekerja untuk organisasi selalu berkoordinasi dengan sekretaris perusahaan dan/atau legal concel agar berita yang tersedia di publik tidak memiliki risiko legal melekat di dalamnya.

Penulis: Dr. Antonius Alijoyo, ERMCP, CERG, CGEIT, CCSA, CRMA, CFSA,  CF, CFE

By |
Read More

MALWARE (PERANGKAT PERUSAK)

Malware (perangkat perusak/PP) adalah kependekan dari kata malicious code yang berarti barisan kode atau piranti lunak yang dirancang khusus untuk mengganggu, merusak, mencuri atau memberikan dampak negatif lain terhadap sasaran perusakan data atau jaringan siber tertentu.
PP hanya menyebabkan kerusakan terhadap data dan piranti lunak (software). Tidak menyebabkan kerusakan pada piranti keras (hardware) dan/atau perlengkapan jaringan piranti keras tersebut. Cara penyebarannyapun berbeda-beda. Biasanya dikirimkan melalui surat elektronik, arsip di dalam suatu USB, atau melalui tautan dari internet dan sejenisnya.
Ada dua generasi PP yang dikenal saat ini. Generasi pertama sering disebut hanya sebagai malware saja atau perangkat perusak. Generasi kedua disebut advanced malware atau perangkat perusak canggih (PPC).
A. PP Generasi Pertama
Beberapa tipe perangkat perusak yang paling umum adalah virus, worm, trojans, dan bots. Penjelasan singkatnya di bawah ini:
VIRUS
PP ini dapat menggandakan dirinya dan sangat tergantung pada arsip (file) atau program tempat dimana mereka bersarang (host file). Virus menggandakan dirinya dengan memasukkan salinan (copy) dari dirinya menjadi bagian dari program lain. Mereka dapat menyebar dari satu komputer ke komputer lain, meninggalkan jejak-jejak perusakan yang berbahaya.
Penyebaran virus biasanya menggunakan jaringan, arsip bersama (file sharing), surat elektronik, atau USB. Hampir semua virus dijalankan bersamaan dengan dibukanya suatu arsip yang memicu eksekusi (file executable). Oleh karena itu, virus tidak dapat aktif jika pengguna tidak menjalankan atau membuka arsip atau program yang berbahaya tersebut.
WORM
PP ini mirip dengan virus. Mampu menggandakan dirinya, tetapi lebih mandiri karena tidak tergantung pada arsip (file) atau program tempat dimana mereka bersarang (host file).
Penyebaran worm atau cacing adalah dengan mencari kelemahan dari suatu sistem atau dengan membuat sebuah trik tertentu agar pengguna sistem menjalankannya. Cacing kemudian memasuki komputer melalui kelemahan dalam sistem tadi dan mencuri kesempatan dari adanya perpindahan arsip atau data. Sistem akan memperbolehkan cacing tersebut menyebar secara mandiri.
TROJAN
Sesuai dengan namanya yang meniru nama kuda kayu pasukan Yunani sewaktu memasuki negara Troy. Trojan merupakan potongan piranti lunak yang terlihat seakan-akan tidak membahayakan. Hal inilah yang dapat menipu pengguna sistem untuk menjalankannya. Serangan sebenarnya mulai dari yang sekedar membuat kejengkelan (misal membuka window baru secara terus-menerus) sampai yang jauh lebih serius (misal menghapus arsip, mencuri data atau mengaktifkan PP tipe lain).
Tidak seperti virus atau cacing, trojan tidak dapat menggandakan dirinya. Trojan menyebar melalui interaksi antar pengguna sistem. Biasanya melalui surat elektronik atau suatu arsip tertentu di internet. Tujuan utamanya adalah memberikan jalan bagi PP agar dapat menyerang sistem dan jaringan secara masif dan destruktif.
BOT
Nama dari tipe PP ini berasal dari kata “robot”, yang merupakan sebuah proses otomatis yang berinteraksi dengan layanan jaringan lain. Bot sendiri sebenarnya netral dan sering digunakan oleh banyak organisai dalam membantu otomatisasi proses mereka.
Suatu Bot dikatakan sebagai PP bila digunakan untuk tujuan jahat. Bot dapat bekerja seperti worm dimana ia menggandakan dirinya sembari menginfeksi komputer. Bedanyanya adalah kemampuan Bot untuk menunggu perintah dari si pembuatnya dalam melakukan aksi penyerangan. Misal untuk memperoleh informasi finansial pada waktu tertentu dan dalam membangun strategi serangan DDoS pada saat yang diinginkan si penyerang tersebut.
B. PP Generasi Kedua atau Advanced Malware atau PPC
Perangkat perusak canggih (PPC) adalah komponen penting dalam serangan yang diarahkan kepada jaringan bernilai tinggi. Misal jaringan di organisasi perbankan, asuransi, pelayanan publik, dan lain sebagainya.
Melalui PPC, si penyerang akan mampu bergerak bebas dari titik yang sudah terinfeksi dalam suatu jaringan. Mencuri log-in yang terkait dalam jaringan tersebut dan terus bergerak mencari akses ke beberapa sistem maupun subsistem yang terproteksi. PPC  bahkan bisa dipakai untuk membangun ‘jalan belakang’ (backdoors) bila serangan mereka terungkap.
Ancaman PPC biasanya tidak dapat deteksi dengan piranti lunak antivirus tradisional yang menggunakan tandatangan digital. PPC dapat merupakan ancaman yang sangat serius karena diciptakan dan dirancang secara spesifik untuk memotong teknologi sekuriti yang sudah dikenali oleh si penyerang. PPC dapat membuat pertahanan siber organisasi yang diserang menjadi semakin lemah dan rentan tanpa disadari oleh organisasi yang diserang tersebut.
Serangan-serangan PPC umumnya diarahkan untuk mengambil informasi berharga dari organisasi yang diserang. Misal hasil riset dan pengembangan, properti intelektual, rencana strategik perusahaan untuk merger dan akuisis, data keuangan, dan informasi mengenai pelanggan atau nasabah. Karena hasil atau manfaat ekonomis dari serangan PPC umumnya di atas 1000 persen, serangan tersebut biasanya didukung atau dilakukan oleh orang atau organisasi yang memiliki dana yang besar dan bermaksud memperoleh keuntungan komersial dari serangan mereka tersebut.
Salah satu jenis PPC yang paling terkenal adalah berbentuk DoS (Denial of Service) atau DDoS (Distributed Denial of Service) Botnets.
DDoS BOTNETS
DDoS botnets akan membanjiri suatu server atau jaringan dengan lalu lintas data dan proses yang digandakan dari beberapa Bots yang sudah ditanamkan terlebih dahulu. Bots yang ditanamkan tersebut kadang disebut ‘titik infeksi’ dan menyerang titik-titik kritikal dalam server atau jaringan.
Pada suatu saat yang dianggap tepat, si penyerang akan menggunakan/mengaktifkan titik-titik yang sudah terinfesi tersebut dalam suatu kaitan antar titik sehingga dapat menghasilkan serangan masif ke seluruh server dan/atau jaringan yang disasar.
Bots yang mengakibatkan infeksi di titik tertentu suatu server atau jaringan bukanlah target sebenarnya dari si penyerang. Mereka hanya digunakan oleh si penyerang untuk membanjiri sasaran akhir melalui lalu lintas data dan proses aplikasi.
Karena biasanya serangan DDoS menggunakan sejumlah besar bots, maka mereka sering  disebut juga sebagai ‘botnets’ atau  ‘an army of bots’. Melalui ratusan atau ribuan bahkan bisa jutaan botnets, PPC ini mampu melumpuhkan satu atau lebih server dan/atau jaringan yang disasar secara masif, ekstensif, dan destruktif.
Serangan DDoS umumnya mengarah pada suatu perusahaan tertentu untuk alasan pribadi atau kadang alasan politik. Kadang juga untuk memeras organisasi atau individu tersebut yang akan berharap atau meminta agar serangan DDoS tersebut dihentikan.
Botnets umumnya diciptakan oleh kelompok penjahat siber yang sedang membangun sumber pemasukan melalui sumber daya komputasi yang dimiliki mereka. Dalam hal ini, mereka dapat menjual atau menyewakan kendali terhadap botnets kepada organisasi penjahat lain untuk berbagai tujuan kejahatan tertentu.
Bila suatu organisasi diserang dengan DDos botnets, setidaknya ada dua risiko akan langsung tampil bersamaan. Pertama, risiko terjadinya penurunan kecepatan proses jaringan siber dalam organisasi itu sendiri. Kedua, risiko kehilangan produktivitas dalam menghasilkan jasa atau produk, baik langsung ke pelanggan mereka atau melalui jaringan siber yang terkoneksi dengan mitra bisnis organisasi tersebut.
Kadang serangan DDoS botnets ke suatu organisasi dapat berbentuk sebagai suatu serangan tidak langsung yang sering disebut serangan antara atau medium antara. Dalam hal ini, ada kemungkinan organisasi yang dipakai sebagai medium antara tadi secara tidak sadar dapat dianggap ikut kerjasama dalam suatu kejahatan siber kepada organisasi yang disasar sebagai target akhir tersebut.
Penulis: Dr. Antonius Alijoyo, ERMCP, CERG, CGEIT, CCSA, CRMA, CFSA, CFE
By |
Read More

BPK Jadikan ISO 31000 sebagai Rujukan

BPK IMG-20170209-WA0041 (1)Badan Pemeriksa Keuangan (BPK) akan menjadikan SNI ISO 31000 sebagai rujukan untuk audit BPK. Standar Nasional Indonesia, SNI ISO 31000:2011 Manajemen risiko – Prinsip dan panduan, juga akan dijadikan sebagai rujukan di internal BPK.

Pernyataan tersebut dikemukakan oleh Ketua BPK Dr. Harry Azhar Azis kepada pengurus Indonesia Risk Management Professional Association (IRMAPA), Kamis, 9 Februari 2017 di kantor BPK. Selain itu, BPK juga merekognisi IRMAPA sebagai asosiasi manajemen risiko yang dapat dijadikan kiblat pengembangan kompetensi individu berbasis SNI ISO 31000.

Pada kesempatan kunjungan tersebut, Ketua Umum IRMAPA, Dr. Antonius Aliojoyo, mengemukakan rencana menggelar seminar nasional manajemen risiko sektor publik. Harry mendukung penuh rencana kegiatan seminar tersebut.

Badan Standardisasi Nasional (BSN) telah menetapkan standar di bidang manajemen risiko, SNI 31000:2011 pada tanggal 20 Oktober 2011. Standar ini merujuk pada ISO 31000:2009, Risk management – Principles and guidelines. Dengan demikian, Indonesia melalui BSN, telah menetapkan SNI 31000 sebagai rujukan resmi untuk penerapan manajemen risiko.

Standar ISO 31000 merupakan bagian dari seri standar manajemen risiko yang berlaku secara internasional.  Telah diadopsi oleh lebih dari 50 badan standardisasi negara yang mencakup lebih dari 70% populasi dunia. ISO 31000 menyajikan prinsip dan panduan manajemen risiko secara generik yang dapat digunakan untuk sektor publik, swasta, komunitas/asosiasi, atau individu.

Selain ISO 31000, ada tiga standar lain terkait. Ketiga standar tersebut adalah ISO Guide 73:2009 Risk management — Vocabulary, ISO/TR 31004:2013 Risk management — Guidance for the implementation of ISO 31000, serta ISO/IEC 31010:2009  Risk management — Risk assessment techniques. (mk)

By |
Read More

Pengenalan tentang Keamanan Siber (Cyber Security) bagi profesional bidang Manajemen Risiko (MR) Korporasi berbasis SNI ISO 3100

MEMAHAMI LANSKAP KEAMANAN SIBER

Sub-judul: Jenis Serangan Siber dan pengertian tentang ‘Phising’ dan ‘Spear Phishing’

Artikel ini dibagi dalam dua bagian,  yaitu:
A. Tentang jenis serangan siber dan
B. Tentang pengertian ‘Phising’ dan ‘Spear Phising’

1. Jenis Serangan Siber:

Saat ini serangan siber semakin canggih dan semakin gigih. Pelakunya beragam karena bisa beranjak dari para peretas individual iseng sampai kepada para profesional yang teroganisir dalam suatu jaringan kerja tertentu dalam upaya menghasilkan keuntungan besar dari target serangan (intrusions) mereka.

Walaupun penamaan serangan siber saat ini ada banyak, tetapi jenis serangan umumnya dapat dimasukkan ke dalam salah satu jenis di bawah ini:

1. Informasi pelanggan (customer information)
Serangan yang diarahkan untuk mencuri informasi data pelanggan atau nasabah perusahaan. Misal serangan pada data kartu kredit, data debitur, dan data pelanggan loyal yang kemudian digunakan oleh penyerang untuk kepentingan mereka. Ada pembuatan kartu kredit palsu yang kemudian dipakai untuk tujuan kejahatan dan pembelokan pembayaran debitur atau pelanggan ke bank penyerang (yang seharusnya ke bank organisasi yang diserang tersebut).

2. Hak dan kekayaan intelektual (intellectual property)
Serangan yang diarahkan untuk mencuri produk yang dilindungi hal intelektual organisasi.  Misalnya pencurian beberapa film milik Sonny – yang belum dirilis untuk publik – oleh Korea Utara/Rusia. Umumnya, motif penyerang adalah mempermalukan organisasi yang diserang dan/atau membuat organisasi yang diserang gagal memperoleh nilai komersial dari kekayaan intelektual tersebut.

3. Informasi karyawan (employee information)
Serangan yang diarahkan untuk mencuri informasi sensitif dari karyawan organisasi. Misalnya data asuransi kesehatan, data identitas kewarganegaraan, dan data pensiun sehingga bisa dimanipulasi untuk memperoleh manfaat komersial dari penguasaan informasi tersebut.

4. Pembajakan (hacktivsm)
Serangan yang diarahkan untuk membajak dan menyandera situs resmi suatu organisasi, terutama penyanderaan informasi sensitif dalam jaringan siber mereka. Motif dari serangan ini umumnya untuk memperoleh tebusan komersial dari penyanderaan tersebut.

B. Cara penyerangan siber.

‘Rekayasa Sosial’ (social engineering) dan ‘Pengelabuan Terarah’  (spear phishing) adalah jenis penyerangan siber yang paling umum digunakan untuk masuk ke dalam jaringan suatu organisasi. Kata ‘phishing’ sendiri berarti  ‘mengelabui’ dan kata ‘spear’ berarti ‘tombak’.

Sebelum istilah ‘spear phishing’ dikenal sebagai suatu jenis serangan siber baru-baru ini. Istilah umum ‘phishing’ atau ‘traditional phishing’ sudah dikenal lebih lama sebelumnya. Di bawah ini adalah perbedaan antara keduanya:

‘Traditional Phishing’ atau ‘Pengelabuan Tradisional’

Pengelabuan tradisional dilakukan melalui surat elektronik yang berisi berita palsu yang menyesatkan kepada sebanyak mungkin orang. Tjuannya agar dapat memperoleh calon korban sebanyak-banyaknya. Pengelabuan tradisional umumnya menyerang ribuan bahkan jutaan orang pada saat bersamaan, dimanapun mereka berada. Untuk menyesatkan calon korban, surat elektronik pengelabuan biasanya dimunculkan seakan-akan dari suatu sumber yang dapat dipercaya. Misalnya suatu bank yang besar atau seseorang (biasanya pesohor lokal) yang mungkin dikenal oleh calon korban dengan menyertakan suatu lampiran dan/atau tautan (link) tertentu.

Pesan dalam surat elektronik umumnya mengarahkan calon korban untuk membuka lampiran yang terinfeksi virus dan/atau membuka tautan yang disertakan. Begitu lampiran dibuka dan/atau tautan diklik, si penyerang dapat dengan  leluasa mengambil alih kendali komputer si korban dan/atau mengambil ‘username’ dan ‘password’ milik korban tersebut.

‘Spear Phishing’ atau ‘Pengelabuan Terarah’

Serangan pengelabuan terarah umumnya juga dilakukan melalu surat elektronik yang seakan-akan berasal dari sumber yang dapat dipercaya. Yang berbeda adalah sasaran calon korban yang sudah sangat spesifik ditargetkan. Pesan yang dikirim melalui surat elektronik hanya dikirim ke satu orang saja atau satu sekelompok kecil orang yang telah dipilih secara selektif sekali. Tujuan penyerangan ditentukan sesuai dengan karakteristik dari individu atau sekelompok orang tersebut.

Sebelum merancang pesan, si penyerang akan melakukan riset tentang calon korban melalui profil yang ada di dalam media sosial mereka misal ‘linkedin’, ‘twitter’, dan ‘facebook’. Setelah itu, si penyerang akan membangun suatu pemahaman profil lengkap tentang hidup, pekerjaan dan minat si calon korban. Profil lengkap ini akan digunakan sebagai panduan dalam membuat pesan yang akan disesuaikan sedemikian rupa sehingga dapat menimbulkan kesan kuat akan ‘relevansi’ dan ‘kredibilitas’ isi pesan yang sejalan dengan kehidupan, pekerjaan dan minat si calon korban tersebut. Dalam membangun kredibilitas dan relevansi tadi, si penyerang akan mengumpulkan informasi mengenai teman-teman dan kolega kerja si calon korban, misalnya nama dan alamat surat elektronik mereka. Surat elektronik yang akan dikirim ke calon korban seakan-akan dikirim oleh salah satu teman atau kolega kerja si penyerang.

Karena pengelabuan terarah sangat spesifik sesuai dengan sasaran dan karakteristik calon korban, umumnya mereka jauh lebih sukses dibandingkan pengelabuan tradisional. Bagi organisasi, terutama yang memiliki informasi sangat rahasia, hal ini perlu diperhatikan karena pengelabuan terarah umumnya memiliki tujuan penyerangan yang sangat spesifik, misal akses ke informasi rahasia perusahaan.  Suatu perusahaan tertentu kadang dapat dijadikan sasaran antara untuk memperoleh akses ke perusahaan lain yang jauh lebih besar.

Oleh karena itu,  ancaman serangan pengelabuan terarah ini berlaku bagi perusahaan kecil maupun perusahaan besar dimana saja yang sudah memakai jaringan siber dalam kegiatan bisnis mereka. Dampak dari itu semua adalah kehilangan pendapatan organisasi secara langsung, seperti kehilangan penjualan, maupun tidak langsung misal rusaknya reputasi perusahaan. ***

Penulis: Dr. Antonius Alijoyo, ERMCP, CERG, CGEIT, CCSA, CRMA, CFSA, CFE

By |
Read More

PILIHAN SERTIFIKASI KOMPETENSI BIDANG MANAJEMEN RISIKO DI INDONESIA

PILIHAN SERTIFIKASI KOMPETENSI BIDANG MANAJEMEN RISIKO DI INDONESIA

Sebagai ketua asosiasi manajemen risiko (MR), IRMAPA (Indonesia Risk Management Professionals Association), kami seringkali memperoleh pertanyaan dari berbagai pihak terutama para praktisi MR tentang persamaan dan perbedaan beberapa lembaga sertifikasi profesi (LSP) bidang MR di Indonesia.

Semua LSP memiliki lisensi dari BNSP (Badan Nasional Sertifikasi Profesi) sehingga memiliki legalitas yang sama. Oleh karena itu sering timbul pertanyaan, apa yang berbeda? Kenapa harus berbeda? Serta apa yang harus dipahami serta dipertimbangkan oleh seorang praktisi atau profesional bidang MR dalam menentukan pilihan?

Tulisan ini dibuat dalam tiga bagian kecil bahasan. Pertama adalah tentang relevansi sertifikasi kompetensi bidang MR. Kedua tentang perbedaan dua standar kompetensi kerja yang dikenal. Ketiga mengenai perbedaaan tipe LSP yang dilengkapi dengan daftar pertanyaan mandiri yang dapat membantu organisasi dan/atau individu pengambil sertifikasi dalam melakukan pilihan LSP dan uji sertifikasi yang akan diikuti.

1.RELEVANSI SERTIFIKASI KOMPETENSI BIDANG MR

Dimulai dengan adanya kebutuhan sumber daya insani (SDI) yang kompeten bidang MR di industri perbankan sekitar sepuluh tahun yang lalu, kebutuhan praktisi dan profesional bidang MR terus bertambah, baik kuantitas maupun kualitas. Selanjutnya tidak hanya untuk sektor industri perbankan saja, tetapi juga jasa keuangan lainnya, terutama asuransi dan pembiayaan. Dalam hal ini, OJK (Otoritas Jasa Keuangan) sudah mengeluarkan beberapa POJK (Peraturan Otoritas Jasa Keuangan) yang mengharuskan industri jasa keuangan (IJK) memastikan adanya SDI yang memiliki kompetensi bidang MR, mulai dari jajaran pelaksana sampai pada direksi dan dewan komisaris. Secara konkrit, hal tersebut harus dibuktikan dengan adanya sertifikat hasil uji kompetensi bidang MR yang dikeluarkan oleh LSP berlisensi dari BNSP untuk bidang MR bagi individu yang dinyatakan kompeten dalam bidang tersebut.

Timbul pertanyaan, apa makna kata ‘berlisensi’ dari BNSP?

Sesungguhnya yang memiliki akuntabilitas untuk pemastikan proses seseorang memiliki kompetensi profesi bidang tertentu adalah tetap di tangan BNSP, yang mengadopsi proses sertifikasi personel berbasis ISO 17024 (catatan: ISO 17024 adalah sistem manajemen internasional untuk pemastian proses uji kompetensi personel dilakukan secara independen, berkualitas, terstandarisasi, dan tertelusur).

Dalam pelaksanaannya, BNSP memiliki hak untuk memberikan lisensi proses tersebut kepada berbagai LSP yang sesuai dengan lingkup bidang kompetensi yang dibutuhkan oleh industri. Untuk menjaga konsistensi kualitas para LSP, BNSP melakukan proses ‘surveillance’ dari waktu ke waktu. BNSP dapat mencabut lisensi mereka bila ditemukan fakta yang berbeda antara apa yang dijanjikan LSP untuk dilaksanakan dengan apa yang secara aktual dilaksanakan LSP tersebut. Bila ditemukan adanya perbedaan, maka BNSP dapat melakukan proses peneguran sampai pada penangguhan, bahkan pencabutan lisensi (bilamana dianggap perlu).

Oleh karena itu, LSP bidang MR yang sudah memiliki lisensi dari BNSP memiliki derajat keabsahan yang sama sebagai perpanjangtanganan BNSP dalam melakukan proses sertifikasi profesi bidang MR. Pertanyaan lain kemudian timbul, apa ada perbedaan antara satu LSP dengan LSP lainnya di samping keabsahan mereka sebagai pemegang lisensi dari BNSP.

Dalam hal ini, ada dua hal yang menjadi dasar pembeda, yaitu rujukan Standar Kompetensi Kerja (SKK) yang digunakan – apakah SKK-NI (Standar Kompetensi Kerja Nasional Indonesia) atau SKK-Khusus (Standar Kompetensi Kerja Khusus) dan tipe LSP itu sendiri – apakah LSP tipe 1, tipe 2, atau tipe 3.


2.PERBEDAAN SKK-NI DENGAN SKK-KHUSUS:

  1. Dasar dan proses pembuatan SKK.

SKK-NI dibuat atas kesepakatan bersama antara asosiasi industri pengguna, pakar di bidangnya, dan kementerian atau sektor yang terkait dengan SKK-NI, serta Kementerian Tenaga Kerja (Kemenaker), melalui beberapa tahapan yang dipersyaratkan oleh BNSP.

SKK-Khusus dibuat oleh asosiasi yang terkait dengan industri yang akan mempergunakannya dan berlaku untuk memenuhi kebutuhan lingkungan asosiasi dan/atau oleh industri yang sudah memutuskan akan memakai SKK-Khusus ini.

  1. Siapa yang boleh menggunakan SKK untuk uji sertifikasi kompetensi?

SKK-NI dapat dipakai oleh siapa saja yaitu semua industri, lembaga Diklat Vokasi Universitas, dan bahkan dapat dipakai oleh asosiasi lain yang berminat untuk mengadopsi baik seluruh maupun sebagian dari SKK-NI tersebut.

SKK-Khusus hanya boleh dipakai oleh lembaga tertentu saja yang sudah memperoleh ijin dari pemilik atau pemrakarsa SKK tersebut.

3.PERBEDAAN TIPE LSP:

Ada tiga tipe LSP, yaitu:

  1. LSP tipe 1 atau sering disebut dengan nama LSP P1

LSP P1 dibentuk oleh lembaga pendidikan dan pelatihan (Lemdiklat) yang melatih pesertanya untuk kebutuhan industri. LSP P1 dapat menerbitkan sertifikat kompetensi sesuai dengan skema yang telah divalidasi oleh BNSP.  LSP P1 merupakan bagian terpadu dari LPK (lembaga pelatihan kerja) yang memiliki lisensi sebagai LPK independen dari Kemenaker. Oleh karena itu, pelatihan menjadi bagian tidak terpisah dari proses ujian sertifikasi yang dilaksanakan oleh LSP P1 ini. LSP P1 dapat menggunakan SKK-NI maupun SKK-Khusus tergantung dari pilihan mereka.

  1. LSP tipe 2 atau sering disebut dengan nama LSP P2

LSP P2 mirip dengan LSP P1, tetapi dijalankan oleh suatu departemen pemerintah tertentu yang membutuhkan SKK Khusus dari departemen itu sendiri untuk dijadikan landasan edukasi dan sertifikasi internal mereka. LSP P2 dibentuk oleh dinas unit pelaksana teknis (UPT) untuk memastikan jaringan UPT yang melakukan program sertifikasi kompetensi dapat diterbitkan oleh UPT yang membentuknya dengan UPT-UPT yang lain cukup sebagai tempat uji kompetensi (TUK). LSP P2 dapat menggunakan SKK-NI maupun SKK-Khusus tergantung dari pilihan mereka.

  1. LSP tipe 3 atau sering disebut dengan nama LSP P3

LSP P3 adalah LSP umum yang dapat dibentuk oleh asosiasi industri atau asosiasi profesi. Ujian sertifikasinya tidak harus terpadu dengan pelatihan khusus dari suatu LPK independen ataupun UPT tertentu. Siapapun yang memenuhi syarat dapat mengikuti ujian sertifikasi mereka secara langsung, dan oleh karena itu, LSP P3 umumnya menggunakan SKK-NI.

Mana yang lebih baik atau sesuai, apakah SKK-Khusus atau SKKNI?

Tidak menjadi masalah bagi praktisi dan profesi MR untuk memilih LSP yang berbasis SKK-Khusus ataupun SKK-NI. Yang terpenting untuk dipahami adalah rincian elemen kompetensi dari SKK tersebut dan pemahaman tentang unit dan elemen kompetensi apa yang akan diuji? Sangat riskan dan sangat naif bila kita mengatakan SKK-Khusus lebih baik dari SKK-NI atau sebaliknya. Ada SKK yang menitikberatkan pada kompetensi MR untuk kebutuhan industri tertentu saja secara spesifik dan ada SKK yang mendasarkan diri pada suatu standar khusus yang dapat dipakai lintas industri.

Semua itu adalah pilihan dan oleh karena itu terminologi yang lebih tepat adalah bukan mencari mana yang lebih baik, tetapi mencari mana yang lebih sesuai dengan kebutuhan organisasi dan/atau individu yang akan mengambil sertifikasi.

Mana yang lebih baik atau sesuai, apakah LSP P1, LSP 2, atau LSP P3?

Karena tidak ada LSP tipe tertentu yang dianggap lebih baik dari tipe yang lainnya, maka pertanyaan akan lebih tepat bila LSP tipe mana yang lebih sesuai dengan kebutuhan organisasi dan/atau individu yang akan mengambil sertifikasi.

Dengan pertimbangan bahwa LSP P2 sangat spesifik untuk kebutuhan internal suatu departemen pemerintahan tertentu saja, tulisan akan mengupas lebih jauh hanya perbandingan LSP P1 dan LSP P3.

Karena LSP P1 mengharuskan adanya keterpaduan antara standar, edukasi atau pelatihan, dan uji sertifikasi, maka pelatihan menjadi keharusan mutlak bagi siapapun yang akan mengambil sertifikasi. Di sisi lain, karena LSP P3 tidak mengharuskan secara mutlak adanya keterpaduan di atas, maka pelatihan seharusnya menjadi pilihan saja bagi calon pengambil sertifikasi (catatan: walaupun dalam praktik ada beberapa LSP P3 yang kadang menyarankan adanya pelatihan pendahuluan sebelum ujian sertifikasi).

Berangkat dari keterangan di atas, apa yang perlu dipertimbangkan dalam memilih tipe LSP (antara LSP P1 dengan LSP P3) dan uji sertifikasi yang ditawarkan? Di bawah ini ada 3 pertanyaan mandiri yang dapat membantu calon pengambil sertifikasi dalam menentukan pilihan mereka:

A. Standar MR apa yang dipakai?

  • Apakah relevan dengan kebutuhan organisasi dan/atau kebutuhan individu pengambil ujian sertifikasi baik untuk kebutuhan mereka saat ini maupun kebutuhan mereka di masa mendatang?
  • Apakah dasar rujukan memiliki cakupan bersifat nasional saja atau lebih luas di tingkat regional dan internasional?
  • Sejauh apa standar ini diakui dan diterima oleh komunitas MR dan industri yang terkait sebagai pengguna dan sejauh mana keberlanjutan standar tersebut?

B. Standar kompetensi kerja apa yang digunakan?

  • Sejauh apa SKK yang dipakai mencerminkan kualitas dan tingkat kedalaman elemen kompetensi yang diadopsi? Hal ini sangat fundamental karena kualitas elemen kompetensi akan sangat berpengaruh pada kualitas skema kompetensi yang ditawarkan oleh LSP.
  • Sejauh apa elemen kompetensi dalam SKK sejalan dan seiring dengan standar MR yang dijadikan rujukan?
  • Sejauh apa SKK yang dipakai direkognisi oleh asosiasi profesi bidang MR yang relevan?

C. Skema kompetensi yang ditawarkan?

  • Skema kompetensi apa saja yang ditawarkan dan sejauh apa skema yang tersedia tersebut sesuai dengan kebutuhan organisasi dan/atau individu pengambil ujian sertifikasi.
  • Apakah setiap skema yang ditawarkan telah divalidasi oleh BNSP dan absah menjadi cakupan lisensi yang telah dimiliki oleh LSP tersebut atau masih dalam proses validasi BNSP?
  • Apakah kaitan antar satu skema ke skema lainnya jelas dan sejalan dengan kebutuhan jenjang pengembangan kompetensi SDI organisasi dan/atau individu pengambil ujian sertifikasi tersebut?

D. Metode pelatihan apa yang dipakai?

  • Apakah sesuai dengan pendekatan ‘adult learning’ dan berbasis ‘competency development’? Misal apakah tingkat rasio komposisi studi kasus dan teori berimbang?, atau apakah ada penggunaan simulasi yang dapat mengasah kompetensi dengan lebih tajam?, dan lain sebagainya.
  • Apakah efektifitas pelatihan terukur, sehingga dapat menjadi masukan bagi pengembangan SDI organisasi?
  • Apakah didukung oleh tim instruktur yang memiliki reputasi tinggi baik dari segi teoritis penguasaan standar yang dipakai maupun dalam penguasaan praktis penggunaan standar tersebut?

E. Metode dan materi uji sertifikasi yang dipakai?

  • Apakah asesor yang digunakan berlisensi asesor dari BNSP serta menguasai standar yang digunakan baik dari segi penguasaan teoritis maupun praktis?
  • Apakah materi uji sertifikasi dirawat dan dikembangkan terus-menerus sejalan dengan kebutuhan profesi dalam cakupan standar yang digunakan?
  • Sejauh apa reputasi organisasi pelaksana dalam mengadakan proses uji kompetensi, misal penjadwalan ujian sertifikasi, persiapan tempat uji kompetensi, tingkat pelayanan selama proses ujian sertifikasi, maupun dalam proses penerbitan sertifikat, dan lain sebagainya.

Demikian tulisan ini dibuat dan mudah-mudahan bermanfaat bagi organisasi dan/atau individu dalam membantu proses penentuan jalur sertifikasi kompetensi bidang MR apa yang akan dipilih.

oleh:
Dr. Antonius Alijoyo, ERMCP, CERG
Ketua IRMAPA

By |
Read More

Kontak kami

Kantor sekretariat:
STMA Trisakti, Kampus C, Gedung B
Jl. Jend. A. Yani Kav. 85 Jakarta Timur 13210

Kantor operasional:
Gedung Tifa, Lt. 3, Suite 304
Jl. Kuningan Barat No. 26 Jakarta Selatan 12710

Mobile: +62 81 11291 253
Phone: +62 21 3825 0086
Email: sekretariat@irmapa.org

©2021 by IRMAPA

Go to Top