Manajemen Resiko TI (IT Risk

Management) (Part 1)
BY ADMIN OCTOBER 26, 2014

Selamat berkunjung para netter sekalian, pada tulisan kali ini dan
beberapa tulisan kedepan akan berbagi sedikit (maklum masih
belajar juga) tentang manajemen resiko yang berkaitan dengan
Teknologi Informasi atau IT. Dalam Tulisan ini, saya merujuk pada
standar internasional ISO 31000:2009 tentang Risk Management
Principles and Guidelines. Dan sebagai gambaran juga NIST
(National Institute of Standards and Technology) mengeluarkan
panduan dalam mengelola resiko Teknologi Informasi yaitu Risk
Management Guide for Information Technology Systems Special
Publication 800-30 Tahun 2002 dan NIST Special Publication 800-30
Revision 1 nya yang dikeluarkan pada tahun 2012. Selain itu ada
juga framework lain yang lebih lengkap dari ISO 31000:2009 yaitu
The Risk IT Framework dari ISACA (akan dibahas dilain
kesempatan). Baiklah, tanpa banyak cerita kita mulai bahasannya
tentang Manajemen Resiko.
Resiko adalah pengaruh ketidakpastian terhadap tujuan (ISO
31000:2009). Manajemen resiko adalah kegiatan terkoordinasi untuk
mengarahkan dan mengendalikan organisasi terkait dengan resiko
(ISO 31000:2009). Manajemen risiko perusahaan merupakan
suatu siklus yang dimulai dari proses penentuan konteks,
identifikasi, pengukuran risiko, penanganan risiko sampai dengan
proses pengawasan yang kemudian kembali pada
proses
identifikasi selanjutnya. Dalam ISO 31000:2009 mensyaratkan
bahwa penerapan manajemen risiko yang efektif harus patuh pada
11 prinsip berikut:
1.

Pengelolaan risiko menciptakan dan melindungi nilai yang

dinyatakan dalam tujuan organisasi

2.

Pengelolaan risiko merupakan bagian yang terintegrasi dengan

keseluruhan proses dalam organisasi
3. Pengelolaan risiko merupakan bagian dari proses pengambilan
keputusan
4. Pengelolaan
risiko
secara
eksplisit
mengalamatkan
ketidakpastian dan secara sadar harus berusaha mengurangi
ketidakpastian dalam setiap aktivitasnya.
5. Pengelolaan risiko dilakukan secara sistematis, terstruktur, dan
tepat waktu
6. Pengelolaan risiko membutuhkan ketersediaan informasi yang
memadai seperti data historis, pengalaman perusahaan, umpan
balik dari pemangku kepentingan, observasi, dan penilaian ahli
sehingga para pengambil keputusan dapat meyakini bahwa
keputusannya telah memperhitungan semua informasi yang
tersedia pada waktu keputusan tersebut dibuat
7. Pengelolaan risiko membutuhkan kustomisasi sesuai dengan
konteks -baik internal maupun eksternal- dan profil risiko inheren
organisasi tersebut
8. Pengelolaan risiko seharusnya memperhitungkan faktor
manusia dan budaya yang merupakan bentuk kapabilitas dari
suatu organisasi dalam mencapai tujuannya.
9. Pengelolaan
risiko
seharusnya
transparan
dan
inklusif melibatkan semua pemangku kepentingan dalam
menentukan kriteria risiko
10. Pengelolaan risiko seharusnya dinamis, berulang, dan respons
terhadap perubahan kejadian baik internal maupun eksternal
11. Pengelolaan
risiko
seharusnya
dapat
memfasilitasi
pengembangan berkelanjutan dari sebuah organisasi diukur dari
tingkat maturitasnya.