Pengelolaan Risiko Organisasi: Penilaian Risiko Untuk Pemetaan Risiko (Bag. 4)

Pemetaan risiko merupakan lanjutan proses setelah ditetapkannya skenario risiko sebelumnya, Gambar 1 menunjukkan bagaimana keterkaitan antara skenario risiko dan pemetaan risiko.

Gambar 1. Alur proses sekaligus keterkaitan skenario risiko dan pemetaan risiko

Metode dalam penilaian risiko untuk dapat memetakan risiko dapat dilakukan berbagai cara, sepert document review, wawancara. Tujuan penggunaan metode penilaian risiko sebagai peta risiko untuk melihat secara keseluruh risiko I&T yang dapat memiliki pengaruh signifikan, serta rangkuman risiko I&T yang dimiliki organisasi.

Metode di atas digunakan untuk mendapatkan informasi dampak yang dihasilkan serta frekuensi terjadinya risiko-risiko tersebut. Kemudian dimasukkan ke dalam diagram sehingga dapat dipetakan bagaimana kondisi risiko yang dimiliki organisasi. Gambar 2 menunjukan implementasi pemetaan risiko.

Gambar 2. Pemetaan Risiko

Sumber: Cobit 5 for Risk

Pengelolaan Risiko Organisasi: Pembuatan Skenario Risiko I&T (Bag.3)

Skenario Risiko I&T merupakan deskripsi detail mengenai risiko ataupun peluang yang mungkin terjadi, di dalamnya berikan diskusi tentang potensi negatif dan potensi positif yang mungkin terjadi. Sehingga untuk dapat menunjukan informasi yang detail mengenai deskripsi risiko tersebut, perlu memperhatikan komponen yang ada di dalam skenario risiko yang diajukan oleh COBIT. Gambar 1 menunjukkan komponen skenario risiko I&T.

Gambar 1. Komponen yang ada dalam skenario risiko I&T

Penyusunan skenario risiko I&T dapat diawali dengan mengacu COBIT Generic Risk Scenarios, akan tetapi ada beberapa hal yang perlu diperhatikan dalam penyusunannya yakni:

  1. Menggunakan COBIT Generic Risk Scenarios sebagai titik acuan awal dalam proses pengembangan skenario risiko I&T.
  2. Memastikan relevansi risiko dan faktor risiko yang ada pada COBIT Generic Risk Scenarios dengan kondisi organisasi.
  3. Jumlah total skenario risiko harus mewakili setiap kondisi bisnis proses yang ada dalam organisasi tersebut.
  4. Kompleksitas bisnis proses dalam organisasi harus mampu diwakilkan dalam skenario risiko.
  5. Memastikan persyaratan staf dan keahliannya tercukupi dalam tim yang bertugas untuk membangun skenario risiko.
  6. Skenario risiko haruslah mampu sebagai bentuk pengupayaan dukungan penguatan dalam menghadapi risiko-risiko I&T yang ada.
  7. Jangan terlalu fokus pada skenario yang jarang dan ekstrim, sehingga perlu fokuskan pada risiko-risiko yang mungkin terjadi.
  8. Pertimbangkan risiko yang sistematis dan memiliki sifat yang berimbas pada bisnis proses lainnya.
  9. Gunakan skenario risiko untuk membangun kesadaran dan kepedulian terhadap deteksi risiko.
  10. Tunjukan dampak risiko serta komponen-komponen apa saja yang keberhasilan tergantung pada risiko tersebut.

Selain hal-hal tersebut, dalam menyusun skenario risiko perlu dijabarkan potensi negatif (risiko) dan potensi positif (peluang)nya. Sehingga risiko I&T tidak dilihat sebagai sesuatu yang menakutkan, melainkan apabila mampu dikelola serta dioptimalkan, risiko I&T dapat memberikan peluang aktivasi untuk pencapaian tujuan organisasi.

 

Sumber: Cobit 5 for Risk

Pengelolaan Risiko Organisasi: Penilaian Risiko I&T berdasarkan COBIT (Bag.2)

Penilaian risiko I&T bertujuan agar dapat melihat risiko-risiko yang secara signifikan mempengaruhi pencapaian tujuan organisasi. Berdasarkan COBIT 5 for Risk terdapat beberapa hal yang diperhatikan untuk melakukan penilaian risiko seperti tipe risiko, kategori risiko serta faktor risiko, yang digunakan sebagai informasi awal untuk membangun skenario risiko dan kontrol risikonya.

  1. Tipe Risiko
    1. IT benefit / value enablement risk
      Risiko berkaitan dengan manfaat atau nilai risiko TI terhadap peningkatan efisiensi dan efektivitas pencapaian tujuan organisasi
    2. IT programme and project delivery risk
      Risiko berkaitan program dan proyek risiko TI yang memberikan kontribusinya sebagai solusi bisnis
    3. IT operations and service delivery risk
      Risiko terkait dengan stabilitas operasional, ketersediaan, perlindungan dan pemulihan layanan
  2. Kategori Risiko
    1. Portfolio establishment and maintenance
    2. Programme/ projects life cycle management (programme/ project initiation, economics, delivery, quality and termination)
    3. IT investment decision making
    4. IT expertise and skills
    5. Staff operations (human error and malicious intent)
    6. Information (data breach: damage, leakage and access)
    7. Architectural (vision and design)
    8. Infrastructure (hardware, operating system and controlling technology) (selection/ implementation, operations and decommissioning)
    9. Software
    10. Business ownership of IT
    11. Supplier selection/performance, contractual compliance, termination of service and transfer
    12. Regulatory compliance
    13. Geopolitical
    14. Infrastructure theft or destruction
    15. Malware
    16. Logical attacks
    17. Industrial action
    18. Environmental
    19. Acts of Nature
    20. Innovation
  3. Faktor Risiko
    1. Faktor Kontekstual
      1. Internal
        1. Enterprise goals and objectives
        2. Strategic importance of IT in the enterprise
        3. Complexity of IT
        4. Complexity of the enterprise
        5. Degree of change
        6. Change management capability
        7. The risk management philosophy
        8. Operating model
        9. Strategic priorities
        10. Culture of the enterprise
        11. Financial capacity
      2. External
        1. Market/economic factors
        2. Rate of change in the market in which the enterprise operates
        3. Competitive environment
        4. Geopolitical situation
        5. Regulatory environment
        6. Technology status and evolution
        7. Threat landscape

 

Sumber: COBIT 5 for Risk

Pengelolaan Risiko Organisasi: Kerangka Kerja COBIT (Bag. 1)

Pengelolaan risiko yang efektif haruslah dilakukan dengan landasan yang baik. Salah satu parameter yang dapat digunakan untuk menilai kualitas dasar pengelolaan risiko adalah kerangka kerjanya. Terdapat banyak kerangka kerja untuk pengelolaan risiko yang dapat digunakan, prinsipnya adalah kejelasan sumber yang digunakan sebagai acuannya.

Pada pengelolaan risiko informasi dan teknologi yang terkait (I&T), kerangka kerja yang dapat digunakan adalah COBIT. Sehingga, tulisan ini akan membahas mengenai kerangka kerja pengelolaan risiko dengan COBIT 5 for Risk.

Secara umum, COBIT 5 for Risk memberikan alur kerja berdasarkan dua proses risiko utama yakni EDM03 dan APO12. EDM dan APO merupakan 2 dari 5 domain yang dibahas dalam COBIT. EDM merupakan abreviasi dari Evaluate, Direct and Monitor, dan APO singkatan dari Align, Plan and Organise.

EDM03 membahas tentang ensure risk optimisation. EDM03 merupakan proses pemahaman, artikulasi dan komunikasi risiko perusahaan serta toleransinya. EDM03 menekankan fungsi Board of Directors (BoD) dalam memastikan bahwa proses manajamen risiko I&T dapat dioptimisasi sehingga mendukung ketercapaian tujuan organisasi. Sehingga, EDM03 bertujuan untuk menetapkan risk appetite and risk tolerance yang dikehendaki BoD, efisiensi dan keefektivan pengelolaan risiko serta memastikan risiko tidak melebihi batasan yang ditetapkan.

APO12 membahas tentang manage risks. APO12 merupakan tindakan lanjutan yang berasal dari keluaran EDM03. APO12 menekankan fungsi manajemen dalam pengelolaan risiko I&T organisasi. APO12 bertujuan untuk memastikan manajemen melakukan proses pengumpulan data terkait analisis risiko, pemeliharaan profil risiko organisasi dan komunikasi, serta menentukan tindakan portfolio risiko tersebut serta respon terhadap risikonya.

Gambar 1 menunjukan bagaimana proses manajamen risiko dari APO12 dapat dilaksanakan:

Gambar 1. Gambaran Pengelolaan Risiko

Sehingga, pengelolaan risiko I&T dapat dilakukan dengan urutan sebagai berikut:

  1. Menetapkan kemungkinan risiko I&T yang dapat terjadi
  2. Pengelompokkan risiko
    1. Mengelompokkan berdasarkan tipe risiko I&T
    2. Mengelompokkan kategori setiap risiko I&T
    3. Menentukan faktor penyebab risiko I&T
  3. Analisis Risiko
    1. Pembuatan Skenario Risiko I&T
    2. Penilaian risiko I&T berdasarkan frekuensi dan dampak
  4. Penetapan respon risiko

Sumber: COBIT 5 for Risk