Tools Lain Untuk Melakukan Audit TI (Teknologi Informasi)

     Audit adalah suatu proses kontrol pengujian terhadap infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit internal. Audit lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing), biasanya digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. Salah satu penggunaan istilah tersebut adalah untuk menjelaskan proses penelahan dan evaluasi pengendalian-pengendalian internal dalam EDP. Jenis aktivitas ini disebut sebagai auditing melalui komputer. Penggunaan istilah lainnya adalah untuk menjelaskan pemanfaatan komputer oleh auditor untuk melaksanakan beberapa pekerjaan audit yang tidak dapat dilakukan secara manual. Jenis aktivitas ini disebut audit dengan komputer.

Beberapa software yang dapat dijadikan tools dalam melakukan audit teknologi informasi, adalah :

1.     Nipper 

Nipper (Jaringan Infrastruktur Parser) adalah alat berbasis open source untuk membantu profesional TI dalam mengaudit, konfigurasi dan mengelola jaringankomputer dan perangkat jaringan infrastruktur.

2.     Picalo

Picalo adalah sebuah software CAAT (Computer Assisted Audit Techniques) seperti halnya ACL yang dapat dipergunakan untuk menganalisa data dari berbagai macam sumber.

3.     Powertech Compliance Assessment

Powertech Compliance Assessment adalah automated audit tool yang dapat dipergunakan untuk mengaudit dan mem-benchmark user access to data, public authority to libraries, user security, system security, system auditing dan administrator rights (special authority) sebuah serverAS/400.

4.     Nessus

Nessus merupakan sebuah vulnerability assessment software, yaitu sebuah software yang digunakan untuk mengecek tingkat vulnerabilitas suatu sistem dalam ruang lingkup keamanan yang digunakan dalam sebuah perusahaan.

5.     NMAP

NMAP merupakan open source utility untuk melakukan security auditing. NMAP atau Network Mapper, adalah software untuk mengeksplorasi jaringan, banyak administrator sistem dan jaringan yang menggunakan aplikasi ini menemukan banyak fungsi dalam inventori jaringan, mengatur jadwal peningkatan service, dan memonitor host atau waktu pelayanan.

6.     ACL

ACL (Audit Command Language) adalah sebuah software CAAT (Computer Assisted Audit Techniques) untuk melakukan analisa terhadap data dari berbagai macam sumber. ACL for Windows (sering disebut ACL) yaitu sebuah software TABK (TEKNIK AUDIT BERBASIS KOMPUTER) untuk membantu auditor dalam melakukan pemeriksaan di lingkungan sistem informasi berbasis komputer atau Pemrosesan Data Elektronik.

7.     Wireshark

Wireshark merupakan aplikasi analisa netwrok protokol paling digunakan di dunia, Wireshark bisa mengcapture data dan secara interaktif menelusuri lalu lintas yang berjalan pada jaringan komputer, berstandartkan de facto dibanyak industri dan lembaga pendidikan.

8.     Metasploit

Metasploit Framework merupakan sebuah penetration testing tool, yaitu sebuah software yang digunakan untuk mencari celah keamanan.

Daftar Pustaka :
https://tiarawatimj.wordpress.com/2017/01/18/tools-lain-dalam-melakukan-audit/

Control Objective for Information & Related Technology (COBIT) adalah sekumpulan dokumentasi best practice untuk IT Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT (Sasongko, 2009).

COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, resiko TI dikelola secara tepat, dan sumber daya TI digunakan secara bertanggung jawab (Tanuwijaya dan Sarno, 2010).

COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut.

Daftar Pustaka :          
https://haendra.wordpress.com/2012/06/08/pengertian-cobit/

Perbedaan kekurangan dan kelebihan standard audit SI

Standard Audit SI	Kelebihan	Kekurangan
Cobit	1. Rahasia 2. Proteksi terhadap informasi yang sensitif dari akses yang tidak bertanggung jawab. 3. Integritas 4.Berhubungan dengan penyediaan informasi yang sesuai untuk manajemen. 5. Secara umum dapat dikatakan bahwa COBIT merupakan sebuah model tata kelola TI yang memberikan sebuah arahan yang lengkap mulai dari sistem mutu, perencanaan, manajemen proyek, keamanan, pengembangan dan pengelolaan layanan. Arahan dari COBIT kemudian didetailkan kembali oleh beberapa model framework sesuai dengan perkembangan keilmuan.	1. COBIT hanya memberikan panduan kendali dan tidak memberikan panduan implementasi operasional. 2. COBIT hanya berfokus pada kendali dan pengukuran.
ITIL	1. Memberi deskripsi rinci sejumlah praktik penting TI dan menyediakan daftar komprehensif tugas dan prosedur yang didalamnya setiap organisasi dapat menyesuaikan dengan kebutuhannya sendiri 2. ITIL bukan merupakan standard yang memberikan prescription tetapi lebih kepada merekomendasikan, oleh karena itu implementasi antara satu organisasi dengan organisasi lain dapat dipastikan terdapat perbedaan. Dengan demikian kita tidak bisa membandingkan / melakukan benchmark secara pasti.	1. Kelemahan ITIL antara lain: buku-buku ITIL sulit terjangkau bagi pengguna non komersial, ITIL bersifat holistic yang mencakup semua kerangka kerja untuk tatakelola TI, pelaksanaan pedoman dalam buku ITIL memerlukan pelatihan khusus dan biaya pelatihan atau sertifikasi ITIL terlalu tinggi.

2. A) KONSEP DASAR KONTROL

Proses dalam pelaksanaan audit sistem informasi berbasis kendali sesuai standar audit yaitu:

a) Mengumpulkan bukti-bukti yang memadai melalui berbagai teknik seperti survei, interview, observasi, review.

b) Jika bukti –bukti berupa bukti elektronis (data bentuk file suftcopy) maka auditor menerapkan sistem teknik audit berbantuan komputer yang disebut CAAT(Computer Aided Auditing Technique) yang bertujuan untuk menganalisa data seperti penjualan, pembelian, transaksi, dan lain-lain)

c) Sesuai standar auditing ISACA (information System Audit And Control Association) Auditor juga harus menyusun laporan yang mencakup tujuan pemeriksaansifat dan kedalaman pemeriksaan.

d) Laporan juga harus menyebutkan organisasi yang diperiksa, pihak pengguna laporan yang dituju, dan batasan-batasan distrubusi laporan.

e) Laporan juga harus memasukkan temuan,kesimpulan, rekomendasi, sebagaimana layaknya laporan audit.   

· Audit sistem informasi berbasis kendali merupakan suatu sistem yang mencegah, mendeteksi atau memperbaiki kejadian yang tidak dibenarkan (unlawfulevents) seperti: unautorized (tidak nyambung), innacurrete(kurang baik), incomplete(tidak komplet/tidak sesuai), redundant(mubazir), ineffective, ineffeicient event.tujuanya yaitu untuk mengurangi kesalahan yang mungkin terjadi dari kejadian yang dibenarkan.

· Berdasarkan standar manajemen yang dikeluarkan oleh Internasional Standar Organization (ISO) yaitu ISO 9001-2000, penilaian kondisi sistem mutu mempunyai 4 skala yaitu:

a) P (Poor) yaitu sistem mutu praktis belum terbentuk. Disarankan untuk meninjau ulang keseluruhan proses.

b) W (Weak) yaitu masih banyak elemen sistem manajemen mutu yang tidak sesuai standar.

c) F (Fair) yaitu beberapa elemen sistem telah sesuai standar tetapi masih ada yang belum sesuai bahkan tidak ada sama sekali.   
d) S (Strong) yaitu Sebagian besar persyaratan ISO 9001-2000 telah dapat dipenuhi oleh sistem.

B) PRINSIP PRINSIP DASAR PROSES AUDIT SI

· Audit dititikberatkan pada objek audit yang mempunyai peluang untuk diperbaiki

· Prasyarat Penilaian terhadap kegiatan objek audit

· Pengungkapan dalam laporan adanya temuan-temuan yang bersifat positif

· Identifikasi individu yang bertanggungjawab terhadap kekurangan-kekurangan yang terjadi.

· Penentuan tindakan terhadap petugas yang seharusnya bertanggung jawab

· Pelanggaran hukum

· Penyelidikan dan pencegahan kecurangan

C.) STANDAR DAN PANDUAN AUDIT SI

Standar Audit SI tidak lepas dari standar professional seorang auditor SI, yaitu ukuran mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam menjalankan tanggung jawab profesinya.

3.  A) Kontrol Internal : Melalui Statement of Auditing Standar (SAS), AICPA mendefinisikan Internal Control sama dengan definisi COSO, yaitu suatu proses yang dipengaruhi oleh aktivitas Dewan Komisaris, Manajemen dan Pegawai, yang dirancang untuk memberikan keyakinan yang wajar atas (a) keandalan pelaporan keuangan, (b) efektivitas dan efisiensi operasi, dan (c) ketaatan terhadap hukum dan peraturan yang berlaku.

Ruang Lingkup Kontrol Internal : yaitu menilai keefektifan sistem pengendalian intern, pengevaluasian terhadap kelengkapan dan keefektifan sistem pengendalian internal yang dimiliki organisasi, serta kualitas pelaksanaan tanggung jawab yang diberikan.

Sistem kontrol internal : Suatu sistem atau sosial yang dilakukan perusahaan yang terdiri dari struktur organisasi, metode, dan ukuran-ukuran untuk menjaga dan mengarahkan jalan perusahaan agar bergerak sesuai dengan tujuan dan prgram perusahaan dan mendorong efisiensi serta dipatuhinya kebijakan manajemen.

b. Control Objectives : Efektivitas proses departemen dalam mendukung desain dan persetujuan kerangka pengendalian program berbasis risiko dan mengatur dan mendukung pengumpulan dan penggunaan laporan penerima.

c. Management Control Framework : Mengumpulkan dan menggunakan informasi untuk mengevaluasi kinerja berbagai sumber daya organisasi secara keseluruhan.

Application Control Framework : Sistem pengendalian intern komputer yang berkaitan dengan pekerjaan dan kegiatan tertentu yang telah ditentukan. Berkaitan dengan ruang lingkup proses bisnis individu atau sistem aplikasi.

d. Corporate IT governance : Kumpulan kebijakan, proses atau aktifitas dan prosedur untuk mendukung pengoperasian TI agar hasilnya sejalan dengan strategi bisnis.

4.  Aspek Management Control Framework

1.     Planning and Organization

Mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.

2.     Acquisition and Implementation

Identifikassi solusi Ti kemudian di implementassikan dan diintegrasikan dalam proses bisnis untuk mewujudkan strategi TI.

3.     Delivery and Support

Domain yang berhubungan dengan penyimpanan layanan yang diinginkan, yang terdiri dari operasi pada sistem keamanan dan aspek kesinambungan bisnis sampai dengan pengadaan training.

4.     Monitoring

Semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan kebutuhan control.

Daftar pustaka :

http://ekonomisajalah.blogspot.co.id/2015/05/konsep-internal-kontrol-audit.html?m=1

http://bang-ilmu.blogspot.co.id/2016/05/cobit-itil.html?m=1

http://ferryrahman9.blogspot.co.id/2017/10/audit-sistem-informasi.html?m=1

http://globallavebookx.blogspot.co.id/2015/04/pengertian-fungsi-tujuan-dan-ruang.html?m=1

http://citrarhmdn.blogspot.co.id/2017/10/audit-sistem-informasi_24.html?m=1

1. BPK RI

BPK RI didirikan tahun 1946 yang bertugas untuk melakukan audit yang berkaitan dengan pengelolaan keuangan negara dan tanggung jawab yang dilakukan oleh pemerintah pusat, pemerintah daerah, lembaga negara lain seperti Bank Indonesia, BUMN, BUMD, Dewan Pelayanan Publik, dan lembaga lain yang mengelola keuangan negara. BPK RI menyerahkan hasil audit kepada DPR, DPD, dan DPRD sesua dengan kewnangan masing-masing.

2. BPKP(Badan Pengawasan Keuangan dan Pembangunan) 

BPKP didirikan tahun 2006. BPKP bertugas mengendalikan keuangan dan pengawasan pembangunan nasional serta meningkatkan pendapatan negara dan meningkatkan efisiensi dan efektivitas pengeluaran anggaran pemerintah nasional dan regional. Tugas lain BPKP adalah mengevaluasi penerapan sistem pengendalian internal untuk mendeteksi dan menghalangi korupsi, serta menginvestigasi penyelewengan keuangan.

Daftar Pustaka :

http://blog.opengovindonesia.org/2017/03/03/lembaga-audit-negara-di-indonesia-mitra-baru-bagi-partisipasi-publik/

http://citrarhmdn.blogspot.co.id/2017/10/lembaga-lembaga-audit-si-di-indonesia.html

ISACA

ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi.

ISACA didirikan oleh individu yang mengenali kebutuhan untuk sumber informasi terpusat dan bimbingan dalam bidang tumbuh kontrol audit untuk sistem komputer. Hari ini, ISACA memiliki lebih dari 115.000 konstituen di seluruh dunia dan telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, termasuk di Indonesia.

ISACA mulai pada tahun 1967, ketika sekelompok kecil orang dengan kontrol pekerjaan-audit serupa di sistem komputer yang menjadi semakin penting untuk operasi mereka organisasi-duduk untuk membahas perlunya sumber informasi terpusat dan bimbingan dalam bidang. Pada tahun 1969, kelompok formal, menggabungkan sebagai Asosiasi EDP Auditor. Pada tahun 1976 asosiasi membentuk yayasan pendidikan untuk melakukan upaya penelitian besar-besaran untuk memperluas pengetahuan dan nilai tata kelola TI dan bidang kontrol. Sebelumnya dikenal sebagai Audit Sistem Informasi dan Control Association, ISACA sekarang berjalan dengan singkatan saja, untuk mencerminkan berbagai profesional TI pemerintahan yang dilayaninya.

Menurut ISACA, pemegang gelar CISA mempunyai competitive advantage dengan memastikan bahwa:

1.     Audit sistem informasi dilakukan sesuai dengan standar, panduan, dan best practises terkait

2.   Suatu perusahaan melaksanakan tata-kelola teknologi informasi (corporate governance of IT)

3. Manajemen atas sistem dan infrastruktur IT (systems and infrastructure life cycle management) dilakukan sesuai dengan tujuan perusahaan

4. Arsitektur keamanan didesain untuk menjaga prinsip kerahasiaan (confidentiality),integritas (integrity),dan ketersediaan (availability) atas information assets

5.    Program disaster recovery dan business continuity direncanakan dengan baik dan dampak resikonya diminimalisir

Berikut beberapa pengakuan atas sertifikasi CISA dari beberapa lembaga:

1. Departemen Pertahanan Amerika (US Department of Defence) mengharuskan staff information assurance-nya memiliki sertifikat tertentu, di antaranya gelar CISA

2. Undang-undang Keamanan Informasi di Korea mensyaratkan audit sistem informasi dilakukan oleh pemegang sertifikasi tertentu, misalnya CISA

3.   Bursa Efek India mengakui sertifikasi profesional CISA sebagai salah satu prasyarat untuk melakukan systems audit

4.  Menurut Undang-undang di Rumania, bank yang akan menerapkan sistem pembayaran elektronik (misalnya melalui internet) diharuskan melewati proses sertifikasi dahulu oleh auditor yang memiliki gelar CISA

Ujian CISA ini dilakukan 2 kali setahun, sekitar bulan juni dan desember. Jumlah soal ujiannya ada 200, multiple-choice dan minimal harus bener 75% supaya lulus.

Ada 6 area/topik dalam ujian CISA :

1.    Information systems audit process (sekitar 10% dari total jumlah soal)

2.    Information systems governance (15%)

3.    Systems and infrastructure life cycle management (16%)

4.    Information technology service delivery and support (14%)

5.    Protection of information assets (31%)

6.    Business continuity and disaster recovery (14%)

Supaya bisa dapat gelar CISA, gak cuma harus lulus ujian doank. Ada juga beberapa persyaratan lainnya:

1.    Harus punya pengalaman 5 tahun dalam information systems audit, control, or security (bisa disubstitusi dengan persyaratan tertentu)

2.    Mematuhi ISACA Code of Professional Ethics

3.    Menjalankan IS Auditing Standards yang dikeluarkan ISACA

4.    Ikut program CPE (Continuing Professional Education)

Syarat Kelulusan

ISACA menggunakan dan laporan nilai pada skala umum 200-800. Sebagai contoh, skor skala dari 800 mewakili nilai sempurna dengan semua pertanyaan dijawab dengan benar; skor skala dari 200 adalah skor terendah mungkin dan menandakan bahwa hanya sejumlah kecil pertanyaan yang dijawab dengan benar. Calon harus menerima skor 450 atau lebih tinggi untuk lulus ujian.Sebuah skor 450 merupakan standar yang konsisten minimal pengetahuan sebagaimana ditetapkan oleh ISACA CISA Komite Sertifikasi itu. Seorang kandidat menerima nilai kelulusan kemudian dapat mengajukan permohonan sertifikasi jika semua persyaratan lain terpenuhi.

IIA COSO(The Comitte of Sponsoring Organizations of the threadway commision's) : pengendalian intern, yang penggunaannya mencakup penentuan tujuan pengendalian pelaporan keuangan dan proses operasional dalam konteks organisasional, sehingga perbaikan dan kontrol dapat dilakukan secara menyeluruh. 

ISO 1799 : Menghadirkan sebuah standar untuk sistem manajemen keamanan informasi yang meliputi dokumen kebijakan keamanan informasi, alokasi keamanan informasi tanggung jawab menyediakan semua pemakai dengan pendidikan dan pelatihan di dalam keamanan informasi, mengembangkan suatu sistem untuk laporan peristiwa keamanan, memperkenalkan virus kendali, mengembangkan suatu rencana kesinambungan bisnis, mengikuti kebutuhan untuk pelindungan data, dan menetapkan prosedur untuk mentaati kebijakan keamanan.

Sumber:

http://dokumen.tips/documents/sejarah-isaca.html

https://mukhsonrofi.wordpress.com/2008/10/23/cisa-gelar-it-auditor-bernilai-jual-tinggi/

 1-Konsep%20Audit%20Sistem%20Informasi.pdf

Analisis Risiko adalah suatu metode analisis yang meliputi faktor penilaian, karakterisasi, komunikasi, manajemen dan kebijakan yang berkaitan dengan risiko tersebut. Tahapan kegiatan analisis risiko antara lain meliputi: identifikasi hazard, proyeksi risiko, penilaian risiko, dan manajemen risiko. Penilaian risiko dapat dilakukan secara kuantitatif atau kualitatif.

1. Identifikasi Hazard

Dalam aktivitas identifikasi, maka informasi yang akan didapatkan adalah tipe hazard dan magnitude hazard.

2. Proyeksi Risiko

Proyeksi atau estimasi risiko dilakukan untuk me-rating risiko berdasarkan kecenderungan bahwa risiko tersebut akan menjadi kenyataan dan segala konsekuensi dari masalah yang berhubungan dengan risiko tersebut. Proyeksi risiko merupakan komponen utama dalam tahap penilaian risiko.

Tahap ini meliputi: penetapan skala yg merefleksikan persepsi kecenderungan suatu risiko (skala dapat bersifat kualitatif ataupun kuantitatif), menggambarkan konsekuensi dari risiko, menetapkan dampak dari risiko, dan ketepatan secara menyeluruh dari proyeksi risiko.

3. Penilaian Risiko

Risiko diberi bobot berdasarkan persepsi dampak dan prioritas. Dampak merupakan fungsi dari 3 faktor yaitu:

·         Kecenderungan akan terjadinya kejadian.

·         Lingkup risiko, merupakan kombinasi tingkat keparahan dan jangkauan distribusi risiko.

·         Waktu dan lamanya dampak dirasakan.

4. Teknik Penilaian Risiko

Teknik penilaian risiko dapat dilakukan secara kualitatif atau kuantitatif.

Karakteristik penilaian kualitatif meliputi tipe efek kesehatan, estimasi frekuensi pemajanan (harian, mingguan, bulanan), lokasi hazard dalam hubungannya dengan tempat kerja. Sedangkan karakteristik penilaian kuantitatif meliputi data pengukuran pemajanan, konsentrasi zat, angka kesakitan/kematian, modeling analisis konsekuensi dari pemajanan terhadap hazard dan modeling frekuensi pemajanan.

4.1. Penilaian Kuantitatif Risiko    

Kuantifikasi terhadap suatu risiko akan sangat tergantung pada kondisi nature hazard, kemudahan utk diukur (measurable) dan adanya suatu standar yg dipakai. Untuk mengkuantifikasi risiko, ketiga komponen risiko (frekuensi, probabilitas dan hasil jadi atau outcome) harus bisa diekspresikan secara matematika (modeling). Modeling merupakan teknik untuk melihat pola kejadian.

Frekuensi dapat diekspresikan dengan menggunakan data riwayat pemajanan atau incident record. Probabilitas dapat dibuat skala dengan rentang nilai ( 0 < P < 1 ). Hasil jadi (outcome) atau konsekuensi dari hasil pemajanan terhadap suatu hazard dapat diukur sebagai berikut: jumlah kasus kematian atau cedera, kasus sakit serius dan biaya kerusakan (lost cost). Kelemahan penilaian risiko kuantitatif, antara lain sifatnya sangat natur sehingga tidak memperhatikan persepsi dan perlakuan terhadap hazard.

Hal lain yang dapat dilakukan secara kuantifikasi, misalnya untuk modeling kebakaran (fire and explosion). Penilaian kuantitatif risiko ini pada umumnya sangat aplikatif untuk chemical atau process engineers. Contoh penilaian kuantitatif, misalnya penentuan LD50 dan LC50. Keduanya adalah modeling utk penilaian lethal dose dan lethal concentration dengan pengukuran durasi pemajanan, konsentrasi atau dosis hazard dan hasil jadi (kematian).

4.2. Penilaian Kualitatif Risiko

Metode penilaian risiko secara kualitatif terkesan subjektif dan memberi peluang multiinterpretasi dan debat. Persepsi risiko bisa bervariasi untuk setiap orang. Ada beberapa metode yang dapat diterapkan

4.2.1. Fine’s Risk Score

Fine’s risk score adalah model untuk melakukan penilaian risiko dengan formula sbb: Risiko adalah hasil pengalian faktor-faktor yang terdiri dari: konsekuensi x faktor exposure x faktor probabilitas (R = C x E x P).

Ketiga faktor tersebut diklasifikasikan dalam beberapa kelas dan diberi rating.  Hasil perhitungan risiko (risk score) dapat dipergunakan untuk memperkirakan kejadian, mengalokasikan resources dan mengontrol hazard. Maka apabila sudah dapat men-score risiko, dapat dilakukan kalkulasi biaya untuk intervensi.

FACTOR	CLASSIFICATION	RATING
1. Consequence	Catastrophe, numerous facilities	100
	Multiple facilities	50
	Fatality	25
	Extremely serious injury	15
	Disabling injury	5
	Minor cuts, bruises, bumps	1
2. Exposure	Hazard event occurs:
	Continuously	10
	Frequently	6
	Occasionally	3
	Unusually	2
	Rarely	1
	Remotely	0,5
3. Probability	Complete accident sequence:
	Is the most likely and expected result	10
	Is quite possible, not unusual	6
	Would be an unusual sequence	3
	Remotely possible	1
	Has never happened after many years of exposure, but conceivably possible	0,5
	Practically impossible	0,1

Beberapa keterbatasan model ini antara lain:

·         Data bukan merupakan data konkret, tetapi berupa data estimasi,

·         Potensi personal bias dan pengalaman akan mempengaruhi hasil akhir, dan

·         Risk score hanya dipergunakan sbg baseline level dari risiko tidak didifinisikan sbg safe atau unsafe.

3.2.2. TTC Hazard Rating System

TTC hazard rating system mempergunakan huruf alfabet untuk me-ranking risiko.

Kriteria level: severity, probabilitas dan biaya untuk intervensi

Model ini berguna untuk komparasi penilaian risiko dari berbagai hazard dan bermanfaat utk membuat list prioritas untuk kebijakan pengendalian hazard.

CRITERIA LEVEL	CODE
	A	B	C	D
Severity	Fatality	Serious/ Lost Time Injury	First aid injury, no time	Injury not likely no measureable impact
Probability	One or more time each working day	At least once each week	At least once each month	less than once each month
Cost of Corrective Action	Less than $1 K or no cost	$ 1 K to       $ 10 K	$ 10 K to  $ 25 K	$ 25 K or more, no practical Solution

3.2.3. FLAME Model

FLAME Model merupakan kelanjutan dari Fine’s risk score dan TTC Hazard Rating system.

FLAME menghitung nilai risiko dengan mengkombinasikan beberapa variabel: Frekuensi dari proses, kecenderungan timbulnya hazard, antisipasi kerugian, misi dampak, karyawan/sistem yang terpajan.

Model risiko : R = log x, dimana x = F x L x A x M x E

F = Frekuensi             score: 1 – 100

L = Kecenderungan    score: 1 – 100

A = Antisipasi kerugian score: 1 – 100

M = Misi dampak        score: 1 – 100

E = Karyawan yang terpajang

Very high risk  score: 8

High risk          score: 6 — 7,99

Substansial risk score: 4 —5,99

Possible risk    score: 2 — 3,99

Doubtful risk   score: < 2,00

REFERENSI

1)    http://soemarno.multiply.com/analisis risiko

2)  Tjandra Yoga Aditama & Tri Hastuti (Ed.).  2002. Kesehatan dan Keselamatan Kerja.Jakarta: Penerbit Universitas Indonesia

3)  https://fadhilhayat.wordpress.com/2010/08/27/analisis-risiko-2/