Lebih Jauh Tentang Inherent Risk dan Residual Risk

Secara sederhana dapat dijelaskan bahwa inherent risk adalah risiko awal atau risiko bawaan sebelum diterapkan control sedangkan residual risk adalah tingkat risiko setelah diterapkan control.

Dari definisi atau arti di atas seharusnya inherent risk dan residual risk adalah merupakan istilah yang dengan mudah dapat dimengerti. Tetapi di dalam penerapannya kadang-kadang cukup sulit untuk dipahami dan disepakati. Mengapa demikian?.



Penyebabnya adalah beragam, mulai dari kurang mengerti arti dasar sampai adanya anggapan yang mengatakan sebaiknya risk level dari inherent risk dibuat rendah karena jika dibuat tinggi maka untuk mencapai residual risk level yang rendah perlu control yang “strong” sehingga biayanya menjadi “mahal”.

Level dari risiko sering digambarkan dengan warna hijau, kuning dan merah. Hijau artinya risk levelnya low, kuning artinya risk levelnya medium dan merah artinya risk levelnya high. Sering ada anggapan yang mengatakan sebaiknya risk level dari inherent risk dibuat rendah atau dengan warna hijau, ada kecenderungan dalam menentukan inherent risk maunya selalu “go green” atau “ever green”, selalu hijau.

Hal tersebut (“go green” untuk inherent risk) dapat dikatakan salah kaprah. Jika “go green” hanya diterapkan pada residual risk mungkin lebih baik, meskipun sebetulnya tetap salah kaprah.

Adanya kecenderungan “go green” pada residual risk atau bahkan pada inherent risk adalah sebagai akibat salah mengerti tentang hakekat dari risk indicator. Hal tersebut kemungkinan akibat adanya pemahaman yang tertukar antara risk indicator dengan performance indicator.¬†Orang sering tertukar dalam memahami arti dari risk indicator dengan performance indicator. Sebetulnya tidak menjadi masalah jika risk indicator “merah” sepanjang performance-indicatornya baik atau hijau.

Sebagai contoh, jika “Selalu segar-bugar sepanjang hari” adalah merupakan performance indicator yang paling diharapkan, maka risk indicatornya dapat berupa “Jumlah hari tanpa melakukan olah-raga di dalam satu bulan”. Jika risk indicator merah belum tentu performance indicatornya juga merah. Tetapi memang betul jika terlalu sering risk indicatornya merah akan menyebabkan performance indicatornya menjadi merah.

Sebagai contoh, jika terlewat melakukan olahraga tidak sering maka belum tentu akan mengganggu kondisi “segar bugar”, tetapi jika terlewat olah raganya sering maka tentu akan mengganggu kondisi “segar bugar”.

Demikianlah penjelasan mengenai perbedaan antara risk indicator dengan performance indicator.

Kembali ke pembahasan mengenai inherent risk dan residual risk. Inherent risk ditentukan dengan melakukan assessment terhadap likelihood of occurence dan impact dari risk. Setelah dilakukan assessment terhadap kedua parameter tersebut maka dapat ditentukan risk level dari inherent risk.

Selain atribut likelihood of occurence dan impact, terdapat beberapa atribut lain dari suatu item risiko. Atribut selengkapnya yang biasanya ada pada suatu item risiko adalah: risk name, risk description, root cause, consequencies, impact, likelihood, inherent risk, control name, control description, residual risk.

Setelah inherent risk ditentukan, langkah selanjutnya adalah menilai control yang ada apakah efektif atau tidak. Hasil dari penilaian risiko setelah dilakukan/diterapkan control tersebut adalah merupakan residual risk.

Jika control sudah efektif, maka risiko residual sudah berada pada tingkat yang paling baik. Jika control belum efektif, maka residual risk belum berada pada tingkat yang paling baik, untuk itu perlu dibuat action plan agar membuat control menjadi efektif.

Jika control sudah efektif sehingga residual risk sudah dianggap berada pada tingkat yang paling baik, tetapi jika masih dirasakan ada problem, artinya kemungkinan ada kesalahan pada saat penentuan inherent risk atau ada kesalahan pada saat melakukan penilaian pada efektifitas control, untuk itu perlu dilakukan review dan update terhadap inherent risk dan efektivitas control yang ada.

Silakan kunjungi IT Governance Online untuk melihat dan menyimak pembahasan yang lebih lengkap terkait Teknologi Informasi dan Komunikasi.

Baca Juga

Di Dalam Inherent Risk Terkandung Batas Atas dan Batas Bawah Residual Risk
Apakah Inherent Risk Bisa Berubah?
Cara Tepat Dalam Menentukan Inherent Risk
IT Risk Assessment, Apa Yang Harus Dilakukan dan Dihasilkan
Penentuan Inherent Risk
Inherent Risk dan Residual Risk
Bagaimana cara terbaik menyikapi IT risk yang tiba-tiba muncul?
RCSA dan KRI

Leave a Reply