Pengelolaan Risiko Organisasi: Kerangka Kerja COBIT (Bag. 1)

Pengelolaan risiko yang efektif haruslah dilakukan dengan landasan yang baik. Salah satu parameter yang dapat digunakan untuk menilai kualitas dasar pengelolaan risiko adalah kerangka kerjanya. Terdapat banyak kerangka kerja untuk pengelolaan risiko yang dapat digunakan, prinsipnya adalah kejelasan sumber yang digunakan sebagai acuannya.

Pada pengelolaan risiko informasi dan teknologi yang terkait (I&T), kerangka kerja yang dapat digunakan adalah COBIT. Sehingga, tulisan ini akan membahas mengenai kerangka kerja pengelolaan risiko dengan COBIT 5 for Risk.

Secara umum, COBIT 5 for Risk memberikan alur kerja berdasarkan dua proses risiko utama yakni EDM03 dan APO12. EDM dan APO merupakan 2 dari 5 domain yang dibahas dalam COBIT. EDM merupakan abreviasi dari Evaluate, Direct and Monitor, dan APO singkatan dari Align, Plan and Organise.

EDM03 membahas tentang ensure risk optimisation. EDM03 merupakan proses pemahaman, artikulasi dan komunikasi risiko perusahaan serta toleransinya. EDM03 menekankan fungsi Board of Directors (BoD) dalam memastikan bahwa proses manajamen risiko I&T dapat dioptimisasi sehingga mendukung ketercapaian tujuan organisasi. Sehingga, EDM03 bertujuan untuk menetapkan risk appetite and risk tolerance yang dikehendaki BoD, efisiensi dan keefektivan pengelolaan risiko serta memastikan risiko tidak melebihi batasan yang ditetapkan.

APO12 membahas tentang manage risks. APO12 merupakan tindakan lanjutan yang berasal dari keluaran EDM03. APO12 menekankan fungsi manajemen dalam pengelolaan risiko I&T organisasi. APO12 bertujuan untuk memastikan manajemen melakukan proses pengumpulan data terkait analisis risiko, pemeliharaan profil risiko organisasi dan komunikasi, serta menentukan tindakan portfolio risiko tersebut serta respon terhadap risikonya.

Gambar 1 menunjukan bagaimana proses manajamen risiko dari APO12 dapat dilaksanakan:

Gambar 1. Gambaran Pengelolaan Risiko

Sehingga, pengelolaan risiko I&T dapat dilakukan dengan urutan sebagai berikut:

  1. Menetapkan kemungkinan risiko I&T yang dapat terjadi
  2. Pengelompokkan risiko
    1. Mengelompokkan berdasarkan tipe risiko I&T
    2. Mengelompokkan kategori setiap risiko I&T
    3. Menentukan faktor penyebab risiko I&T
  3. Analisis Risiko
    1. Pembuatan Skenario Risiko I&T
    2. Penilaian risiko I&T berdasarkan frekuensi dan dampak
  4. Penetapan respon risiko

Sumber: COBIT 5 for Risk

 

Leave a Reply

Your email address will not be published. Required fields are marked *