Jasa Konsultan & Audit Manajemen Risiko Teknologi Informasi

IT Risk Management

Saat ini kita terus berjuang untuk beradaptasi dengan lingkungan yang sangat fluktuatif sehingga bisnis menjadi lebih proaktif dalam hal pengelolaan risiko. Manajemen risiko menjadi agenda utama organisasi, baik yang bersifat swasta maupun publik. Bagaimanapun risiko ada di mana-mana, tetapi tidak semuanya buruk. Dalam hal risiko, ada ancaman (risiko dengan konsekuensi negatif) dan peluang (risiko dengan efek positif). Oleh karenanya adalah alasan yang baik bahwa mengoptimalkan risiko adalah tujuan yang jauh lebih berharga daripada sekadar berusaha menghilangkan risiko sama sekali, termasuk di dalamnya manajemen risiko teknologi informasi.

Penilaian risiko dan manajemen risiko teknologi informasi adalah bagian integral dari keamanan TI di organisasi mana pun. Kita sepakat bahwa di jaman sekarang ini TI telah menjadi sangat kritikal untuk operasi organisasi. Ada risiko terkait fungsinya yang kritikal tsb. Risiko yang terkait TI dan keamanannya bisa dikaji dan dipahami dengan terstruktur dan sistematis menggunakan berbagai kerangka kerja manajemen risiko seperti IS027005, ISO31000, COSO for enterprise risk management, PMI, dan COBIT 5 for Risk, dsb.  Dari semua kerangka tsb, hanya COBIT yang secara global diterima untuk kerangka kerja tata kelola dan manajemen teknologi informasi.

PT. NetSolution memberikan layanan konsultasi dan audit untuk Manajemen Risiko Teknologi Informasi berbasis kerangka kerja COBIT. Informasi lebih lanjut mengenai layanan ini bisa mengontak kami di nomer Telp. 021-47884169 dengan CP : Abdulloh (Telp/WA : 08129632130). Pertanyaan mengenai layanan ini juga bisa dikirimkan ke alamat email : sales@netsolution.co.id.

Perspektif Manajemen Risiko Teknologi Informasi Menggunakan COBIT

Ada dua perspektif dalam menggunakan COBIT 5 for Risk untuk memahami dan mengukur risiko :

  1. Risk function perspective – Menjelaskan apa saja yang dibutuhkan organisasi dalam membangun dan menjaga keberlangsungan dari tata kelola risiko utama bisnis berikut dengan aktivitas manajemennya.
  2. Risk management perspective – Menjelaskan bagaimana manajemen risiko utama di identifikasi, di analisis, cara meresponnya berikut melaporkan risiko tsb bisa dibantu dengan memanfaatkan COBIT enablers.

1

Organisasi membutuhkan pemahaman dan COBIT 5 adalah kerangka kerja end-to-end yang memberikan pemahaman serta mempertimbangkan risiko sebagai suatu key value objective. COBIT 5 for Risk menaruh perhatian bahwa tata kelola dan manajemen risiko sebagai bagian integral dari tata kelola dan manajemen organisasi secara keseluruhan.

Ada dua proses yang bersifat dedicated : satu di bagian tata kelola yakni pada domain EDM (Evaluate, Direct, and Monitor) dan lainnya adalah manajemen yang terletak pada domain APO (Align, Plan, dan Organize) yang secara khusus menyatakan Ensure Risk Optimization (EDM03) dan Manage Risk (APO12). Namun demikian perlu diingat bahwa manajemen risiko itu sendiri tertanam di keseluruhan kerangka kerja COBIT.

Proses tata kelola EDM03 memastikan bahwa :

  • Risiko dari proses TI dipastikan risikonya tidak melebihi dari risiko yang dapat ditoleransi oleh organsasi.
  • Dampak risiko bisnis yang terjadi pada risiko proses TI teridentifikasi dan terkelola.
  • Potensi adanya kegagalan proses TI dapat di minimalisasi.

Sedangkan faktor manajemen proses APO12 meliputi :

  • Mengintegrasikan managemen proses TI yang terkait risiko dengan ERM (Enterprise Risk Management) secara keseluruhan.
  • Menyeimbangkan antara biaya dan benefit dalam pengelolaan proses TI yang berkaitan dengan risiko bisnis.

Sebagai tambahan, COBIT 5 for Risk menekankan pada proses kunci pendukung dari COBIT framework untuk fungsi risiko. Organisasi bisa mendapatkan output spesifikasi risiko seperti strategi manajemen risiko, komunikasi manajemen risiko, dan finansial serta budget yang diperlukan untuk merespon atau melakukan mitigasi risiko. Juga adanya monitoring risiko melalui metrik risiko dan target. Serta laporan adanya issu noncompliance berikut cara menemukan akar masalahnya.

Proses-proses ini meliputi hal sebagai berikut, namun tidak terbatas pada :

  • Ensure Governance Framework Setting and Maintenance (EDM01)
  • Ensure Benefits Delivery (EDM02)
  • Manage Strategy (APO02)
  • Manage Budget and Costs (APO06)
  • Manage Relationships (APO08)
  • Monitor, Evaluate and Assess Performance and Conformance (MEA01)
  • Monitor, Evaluate and Assess Compliance with External Requirements (MEA03)

Ruang Lingkup COBIT 5 for Risk

Gambar dibawah ini menunjukkan ruang lingkup COBIT 5 for Risk dan bagaimana relasinya dengan produk ISACA lainnya. COBIT 5 for Risk memberikan pedoman yang lengkap dalam melaksanakan tata kelola dan manajemen risiko pada seluruh organisasi TI.

  • Fokus pada aplikasi COBIT 5 enablers to risk melalui perspektif fungsi risiko.
  • Menjadi enabler dalam mewujudkan fungsi tata kelola dan manajemen risiko secara efektif dan efisien.
  • Memberikan pedoman high-level dalam mengidentifikasi, menganalisa, dan merespon risiko melalui pengaplikasian proses manajemen risiko utama di COBIT 5 dengan penggunaan skenario risiko.
  • Selaras dan memiliki keterkaitan dengan referensi atau kerangka kerja ERM lainnya.
  • Memberikan keterhubungan antara skenario risiko dan COBIT 5 enabler yang dapat digunakan untuk kepentingan mitigasi risiko.

CF-10-July-2017-2 cobit5 risk

Aspek penting lainnya dari COBIT 5 for Risk adalah kemampuannya dalam memberikan 20 kategori skenario risiko untuk membantu organisasi agar semakin baik dalam melakukan mitigasi risiko. Seluruh skenario tsb dapat digunakan untuk memandu dan menjelaskan aktivitas manajemen risiko yang diperlukan. Tidak seperti kerangka kerja atau standarisasi yang lain, skenario COBIT 5 for Risks meliputi lebih dari 100 jenis risiko, seperti : sabotase oleh karyawan, pencurian, pengambilalihan data, spionase, dsb. Semua tergantung dari masing-masing organisasi memutuskan bagaimana mau menggunakan skenario tsb untuk membangun sistem manajemen risikonya.

Beberapa hal yang dianjurkan dan tips praktis untuk memulai pengelolaan risiko sebagaimana berikut dibawah ini :

  • Identifikasi objektif organsiasi dan lakukan analisis skenario risiko TI yang relevan yang berdampak langsung  pada tujuan organsasi.
  • Kaitkan skenario risiko TI tsb dengan risiko bisnis secara real.
  • Kalau skenario sudah teridentifikasi dan terkait, laksanakan analisis risiko dengan cara melakukan asessmen frekuensi dan dampaknya. Juga identifikasi faktor risikonya.
  • Bila risiko telah dianalisis begitu juga faktor pencetus risiko teridentifikasi, maka gunakan untuk agregasi risiko, respon terhadap risiko, dan mitigasinya.

Menerapkan COBIT 5 for Risk

Beberapa tips agar kita dapat menerapkan COBIT 5 for Risk untuk organisasi, sebagaimana berikut dibawah ini :

  • Mendorong manajemen eksekutif untuk menunjukkan dukungannya terhadap program manajemen risiko.
  • Identifikasi peran kunci dalam struktur organisasi yang diperlukan untuk membangun dan menjaga keberlangsungan tata kelola dan manajemen risiko secara efektif dan efisien di organisasi. COBIT 5 for Risk membantu organsiasi mengidentifikasi peran yang diperlukan dengan memberikan deskripisi dan definisi yang spesifik untuk setiap peran dan struktur jabatan.
  • Manajemen risiko harus terlibat dalam setiap proses normal dan menjadi bagian praktis manajemen sehari-hari.
  • Menumbuhkan kultur kesadaran risiko kepada karyawan pada setiap jenjang.
  • Pengaruhi perilaku dan budaya organisasi melalui komunikasi yang konstan. Penekanan melalui peraturan organsiasi, regulasi insentif dan penghargaan, dan menaikkan kewaspadaan mengenai risiko dan manajemen risiko dan peranan setiap orang pada proses tsb.
  • Identifikasi dan kembangkan metrik yang berfungsi sebagai key risk indicator (KRIs) untuk menjelaskan dan melakukan tracking indikator terhadap risiko.

Tantangan Tata Kelola Risiko Teknologi Informasi

Fenomena yang terjadi saat ini dalam pengelolaan risiko adalah banyak organisasi yang lebih melihatnya sebagai permasalahan teknis operasional saja. Di pihak lain pada level manajemen operasional terjadi kekhawatiran untuk membicarakan risiko yang mungkin terjadi kepada top management. Akibatnya mereka mengerjakan manajemen risiko teknologi informasi hanya sebatas sebagai bagian dari aktivitas operasional atau -parahnya- sekedar memenuhi persyaratan dari standarisasi manajemen keamanan informasi yang bersifat teknis prosedural seperti ISO 27001.

COBIT 5 for Risk tidak hanya meliputi seluruh proses operasi dan manajemennya, tapi juga meliputi governance atau tata kelola organisasi yang mengcover peran stakeholder dan top management. Lebih dari itu, COBIT 5 for Risk saat ini adalah framework yang paling powerfull yang bisa memayungi seluruh pengelolaan risiko teknologi informasi secara holistic dan integralistik. Jadi bukan hanya soalan risiko pada tataran operasional keamanan informasi saja tapi juga pada tataran yang lebih tinggi pula, governance atau tata kelola.

Tenaga Ahli Kami

Dalam pelaksanaan layanan konsultasi dan audit Manajemen Risiko Teknologi Informasi kami maka memiliki tenaga ahli yang kompeten dan memiliki sertifikasi internasional, antara lain :

  1. Yanto, S.Kom, MM.,M.Kom.,COBIT, ITIL
  2. Abdulloh, S.Si., M.Si., CEH, COBIT, DWDCS
  3. Nur Syarifudin, ST., M.Si., CCNA, CZ
  4. Afdhal Jauhari, S.Kom, CCNA, Comptia Network+

Kontak Kami

Informasi lebih lanjut mengenai jasa konsultasi manajemen risiko teknologi informasi, silahkan kontak kami dengan alamat kontak sebagai berikut :

  • PT. NetSolution, Jl. Sawo No.19 Rawamangun, Jakarta Timur
  • Telp. 021-47884169
  • Email : sales@netsolution.co.id
  • CP : Abdulloh (Telp/WA : 08129632130).

– – – – –

Link Terkait : Sistem Manajemen Keamanan Informasi, Tata Kelola Teknologi Informasi, IT Service Management, IT Mater Plan, IT Certification, Tata Kelola Risiko Sistem Informasi, Pengelolaan Risiko Terknologi Informasi, IT Risk Management, IT Risk Governance, Manajemen Risiko TI.