4. Pendahuluan
Keuntungan manajemen risiko I&T yang efektif
Pengawasan asset
lebih baik
Minimalisir kerugian
dan pengeluaran
yang efektif
Penguatan kinerja
sistem perusahaan
Pengambilan
keputusan lebih
baik
Keberhasilan projek
dan ketercapaian
tujuan perusahaan
Risiko IT berisikan informasi tentang risiko bisnis yang
berkaitan dengan :
information and
communication
technology (ICT)
operational
technology (OT)
network / Internet of
Things (IoT)
(d) data elektronik
(e) Komunikasi
digital
Gambaran Risiko I&T
Bahasa Risiko
• Kegagalan I&T berimbas pada ketercapaian tujuan
perusahaan
• Kerugiannya berimbas pada kemampuan organisasi
memberikan layanan dan produk berkualitas
Kesadaran
tentang Risiko
I&T:
• Taxonomi risiko sbg jembatan gap
pemahaman pembaca
• Praktisi risiko perlu
mempertimbangkan penjelasan ringkas
konsep risiko kepada pembaca awam
• Praktisi harus mengkomunikasikan
perbedaan risk factors dan
pengaruhnya terhadap nilai
perusahaan
• Data berbasis angka jauh lebih mudah
dipahami ketimbang non angka
Komunikasi
Risiko I&T
6. Menentukan konteks dan Cakupan Kegiatan Manajemen Risiko
PenetapanKonteksuntuk
ManajemenRisiko
Memastikan adanya
penambahan value utk
perusahaan melalui kegiatan
manajemen risiko
• APO12 Managed Risk
Menetapkan kriteria evaluasi
untuk risiko yang
teridentifikasi
• EDM03 Ensured Risk Optimization
ManajemenRisikoI&T
Menentapkan batasan
kegiatan manajemen risiko
• Deskripsi Risk Universe
Memilih area spesifik
kegiatan manajemen risiko
• Penetapan Risk Scoping
RiskUniverse:
Memahami seluruh bagian
perusahaan yang
membutuhkan I&T
Deskripsi komponen, proses,
asset dan infrastruktur I&T
yang mendukung bisnis
Membahas risiko secara
lengkap
Meliputi seluruh bagian yang
terkait dengan perusahaan
(unit bisnis, klien, pemasok
dll)
Menyelaraskan dengan
tujuan perusahaan
Pengaruh lokasi (politik,
persaingan bisnis)
perusahaan
RiskScopingHigh-level
Evaluation,terdapatfactorlain:
Pengaruh geografis, politik,
kondisi alam
Perubahan market trends
Kompetitor perusahaan
Pengaruh sistem teknologi
sebelumnya yang tidak
memadai
DatapenunjangScoping
Actvities:
Struktur organisasi
perusahaan, unit dan
subunit, bispro
Impact Criteria (Risk appetite
& Risk tolerance)
Penilaian kriteria tsb
Kedalaman dan cakupan
kegiatan
Area yang menjadi fokus
manajemen risiko
Risk Profile Entitas dari
perusahaan
Self-assessment
Hasil audit sebelumnya
7. Diagram Alur Kerja Manajemen Risiko
Penetapan Konteks dari Risk
Assessment
• Penentuan Scope
• Pengumpulan Data
Risk Identification and
Assessment
• Identifikasi risk factor umum
• Identifikasi area yang diperlukan
pendalaman
Risks Analysis and Business
Impact Evaluation
• Analisis Risiko I&T (qualitative or
quantitative method)
Risk Response
• Identifikasi opsi risk response
• Memahami bispro perusahaan
Menyiapkan desain
Risk Reporting and
Communication
• Review hasil penilaian
• Reporting
Cobit 2019
15. Dasar-dasar Penilaian Risiko
Kriteria Risiko
Tabel Impact Criteria
Identifikasi Risiko
Metode berbasis
temuan:
• Laporan audit atau insiden
• Media massa (off/online)
• Laporan tahunan dan
press releases
Pendekatan
sistematik
• Vulnerability
assessment
• Review BCP dan DRP
• Interview dengan
manajemen,
stakeholders, senior
manajemen
• Metode induktif
(analisis proses)
Pentest
Penilaian dan
Analisis Risiko
Bestpractices:
• Melakukan penilaian atau
analisis ancaman, kondisi
untuk menentukan
pengambilan keputusan
(MFL / PML)
• Buat risk register (risiko
yang teridentifikasi)
analisis dengan Monte
Carlo modelling and
simulation Gunakan
metode FAIR
• Gunakan Annual Loss
Expenctancy (ALE) untuk
prediksi sebaran kerugian
berdasarkan model risiko
sebelumnya
Pendekatan
Kualitatif dan
Kuantitatif
Kualitatif (penilaian)
pengelompokkan
kesesuaian karakterisitik
pada risiko jenis umum
Kuantitatif (analisis)
Kuantisasi nilai kualitatif,
efektif pada risiko
dengan data berupa
angka
Batasan: (a) tidak
sepenuhnya objektif, (b)
kuantitatif tunggal
menimbulkan rasa
terlalu percaya diri pada
model yang kompleks
dengan data yang
minim, (c) kualitatif
tunggal terlalu
menyederhanakan
model
Peta Risiko
(Heatmaps)
Contoh
Risk Register
Best practices:
• Risk Owner
• Detail dalam risk scenario
• Bisnis unit
• Tanggal identifikasi
• Sumber
• Judul
• Penjelasan
• Heatscore
• Informasi hasil analisis
• Informasi pada risk
response
• Status risk response
• Informasi kendali risiko
• Kategori risiko utama
• Kategori sub risiko
• Status remediasi
• Komentar
I&T Risk
Scenarios
17. Risk Scenario Defined
Komponen
Risk
Scenario
Pelaku
• Internal aktor
(staf, kontraktor)
• Eksternal aktor
(kompetitor,
regulator, pasar,
konsumen??)
Motivasi
• Kejahatan
• Kecelakaan
• Kegagalan sistem
• Bencana alam
Ancaman
insidennya
• Pencurian
informasi
• Pengerusakan
informasi
• DllAsset terkena
dampak
• IT hardware
• Software (website)
• Orang dan skills
• Fasilitas perusahaan
• Dll
Effect
• Komponen
yang terkena
efeknya
Time
• Durasi
• Waktu terjadinya
• Pendeteksian
• Time lag
(kejadian impact)
18. Panduan Membangun Risk Scenario
Pengembangan
Risk Scenario
• Menggunakan Contoh Generik Risk Scenario untuk
mendefinisikan risiko yang dapat dikelola bagi
perusahaan
• Validasi risk scenario berdampak pada tujuan
perusahaan
• Saring serta tambahkan detail informasi critically
• Reduce jumlah scenario menjadi set yang dapat
dikelola
• Tetapkan dalam bentuk list
• Cantumkan insiden yang tidak tercakupi dalam
scenario lainnya
• Pertimbangkan kejadian beberapa scenario dalam
satu waktu
• Perkirakan juga untuk skenario dari masa depan
Isu Utama • Tabel Isu
21. Dasar-dasar Risk Response
Komponen Risk Response
Prelim Risk
Aggregation for
Response Actions
Memastikan
kesamaan
metode
analisis risiko
Integrasi ERM
diperlukan
pada
enterprise
level
Prelim Risk Response Selection and Prioritization
Prioritization
Manfaat
perusahaan
Potensi
impact plg
besar
Parameter
Biaya
response
Prioritas
Kapabilitas
perusahaan
Ke-efektivitas-
an response
Etc (investasi,
response lain)
Pengelompokkan Response
Quick wins
(effective
response on
high-impact
risk)
Compliance
obligations
Business case
to be made
Deferring /
monitoring
condition
Risk
Avoidance Risk Mitigation
Menguatkan
manajamen
risiko
Meningkatkan
risk awareness
Penguatan
controls
Risk
Sharing
or
Transfer
Risk owner
menjadi perlu
penyesuaian
Risk
Acceptance