Megawati, S.

Kom, MT IT Risk Management

Dosen Pengampu Matakuliah

Risk ITFramework—Purpose and Target

Audience

Oleh:
Kelompok 1

Ahmad Faisal Hasibuan (11653103700)

Ahmad Musyadi (11653104323)
Yandri Reformasi (11653100113)
 JURUSAN SISTEM INFORMASI
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS NEGERI SULTAN SYARIF KASIM RIAU
PEKANBARU
2019
Enterprise Risk: Mengidentifikasi, Negeri dan Mengelola Risiko IT, IT Risk Kerangka Draft
eksposur
1. Risiko IT Kerangka-Tujuan dan Target Pemirsa
Definisi IT Risiko risiko IT adalah bisnis risiko khusus, risiko bisnis yang terkait dengan
penggunaan, kepemilikan, operasi, keterlibatan, pengaruh dan adopsi TI dalam suatu perusahaan.
Ini terdiri dari peristiwa yang berkaitan dengan IT yang berpotensi berdampak bisnis. Ini
ermasuk kedua frekuensi menentu dan besarnya, dan menciptakan tantangan dalam memenuhi
tujuan strategis dan tujuan serta ketidakpastian dalam mengejar peluang. Risiko TI dapat
dikategorikan dalam berbagai cara:
o Risiko pengiriman layanan TI, terkait dengan kinerja dan ketersediaan layanan TI, dan
yang dapat membawa kehancuran atau pengurangan nilai bagi perusahaan
o Risiko penyampaian solusi / manfaat realisasi TI, terkait dengan kontribusi TI terhadap
yang baru atau solusi bisnis yang lebih baik, biasanya dalam bentuk proyek dan program
o Risiko realisasi manfaat TI, terkait dengan peluang (yang terlewatkan) untuk
menggunakan teknologi untuk meningkat efisiensi atau efektivitas proses bisnis, atau
menggunakan teknologi sebagai enabler untuk yang baru inisiatif bisnis

Risiko TI selalu ada, apakah atau tidak terdeteksi atau diakui oleh sebuah organisasi.

Tujuan dari Kerangka IT Risk

Manajemen risiko bisnis merupakan komponen penting dari administrasi yang bertanggung
jawab dari perusahaan apapun. Hampir setiap keputusan bisnis membutuhkan eksekutif atau
manajer untuk menyeimbangkan risiko dan imbalan.

Penggunaan meresap TI dapat memberikan manfaat yang signifikan untuk perusahaan, tetapi
juga melibatkan risiko. Karena TI penting bagi bisnis secara keseluruhan, IT risiko harus
diperlakukan seperti risiko lainnya kunci bisnis, seperti risiko pasar, risiko kredit dan risiko
operasional lainnya, yang semuanya termasuk dalam kategori risiko 'payung' tertinggi: kegagalan
untuk mencapai tujuan strategis . Sementara ini risiko lainnya telah lama dimasukkan ke dalam
proses pengambilan keputusan perusahaan, terlalu banyak eksekutif cenderung membuang risiko
IT spesialis teknis di luar ruang rapat.
Kerangka IT Risk menjelaskan risiko IT dan akan memungkinkan pengguna untuk:
o Mengintegrasikan manajemen risiko TI ke dalam manajemen risiko perusahaan secara
keseluruhan organisasi
o Membuat keputusan baik-informasi tentang sejauh mana risiko, risk appetite dan
toleransi risiko perusahaan
o Memahami bagaimana menanggapi risiko

Secara singkat, kerangka ini memungkinkan perusahaan untuk membuat keputusan risiko
disesuaikan sesuai. Praktek telah menunjukkan bahwa risiko TI sering tidak dipahami oleh
pemangku kepentingan utama suatu perusahaan, termasuk anggota dewan dan manajemen
eksekutif. Namun ini adalah orang-orang yang harus mengidentifikasi, mengukur, memantau dan
mengendalikan semua jenis risiko dalam perusahaan. Tanpa pemahaman yang jelas tentang
risiko TI, eksekutif senior tidak memiliki kerangka acuan untuk memprioritaskan dan mengelola
risiko perusahaan. Risiko TI tidak murni masalah teknis. Meskipun IT ahli subjek yang
diperlukan untuk memahami dan mengelola aspek risiko TI, manajemen bisnis adalah pemangku
kepentingan yang paling penting. manajer bisnis menentukan apa kebutuhan TI lakukan untuk
mendukung bisnis mereka; mereka menetapkan target untuk IT dan akibatnya bertanggung jawab
untuk mengelola risiko yang terkait.

Kerangka kerja IT Risiko mengisi kesenjangan antara kerangka kerja manajemen risiko generik
seperti COSO ERM dan AS / NZS 4360 (dan yang setara dengan Inggris, ARMS) 6 dan IT
terperinci (terutama terkait keamanan) kerangka kerja manajemen risiko. Ini memberikan
pandangan komprehensif dari semua risiko yang terkait dengan ujung ke ujung penggunaan TI
dan perlakuan yang sama teliti terhadap manajemen risiko, dari nada dan budaya di atas, untuk
masalah operasional. Singkatnya, kerangka kerja akan memungkinkan perusahaan untuk
memahami dan mengelola jenis risiko TI di luar yang terkait hanya untuk keamanan, dan untuk
mempertimbangkan semua aspek pengelolaan Risiko IT.

Kerangka kerja ini menyediakan:

o Serangkaian praktik tata kelola untuk manajemen risiko
o Framework Kerangka proses end-to-end untuk manajemen risiko TI yang sukses
o Daftar generik kejadian umum yang berpotensi merugikan IT yang dapat berdampak pada
realisasi tujuan bisnis
o Alat dan teknik untuk memahami risiko nyata terhadap operasi nyata, yang bertentangan
dengan daftar periksa umum kontrol atau persyaratan kepatuhan

Audiens dimaksudkan dan Pemangku Kepentingan

Audiens yang dituju untuk kerangka IT Risk luas, seperti alasan untuk menggunakan kerangka
dan manfaat masing-masing kelompok dapat menemukan di dalamnya ( Gambar 3). Semua
posisi yang tercantum dalam angka 3 dapat dianggap stakeholder untuk pengelolaan risiko TI.

Gambar 3-Audiens dan Manfaat

Peran
Dewan Dan Manajemen Eksekutif
Manajer Risiko Perusahaan (Untuk
Manajemen Risiko Perusahaan)
Manajer Risiko Operasional
Manajemen TI
Manajer Layanan TI
Manajer Kelangsungan Bisnis
Manajer Keamanan TI
Petugas Keuangan Kepala (CFO)
Petugas Tata Usaha
Manajer Bisnis
Manfaat / Alasan untuk Menggunakan
Framework IT Risk
Pemahaman yang lebih baik tentang tanggung
jawab dan peran mereka berkaitan dengan
manajemen risiko TI
Bantuan dengan mengelola risiko TI, sejalan
dengan prinsip-prinsip manajemen risiko
perusahaan yang berlaku umum
Linkage kerangka mereka untuk Risiko TI;
identifikasi kerugian operasional atau
pengembangan indikator risiko utama
Pemahaman yang lebih baik tentang
bagaimana mengidentifikasi dan mengelola
risiko TI dan bagaimana berkomunikasi risiko
IT kepada para pembuat keputusan bisnis
Peningkatan pandang sudah baik mereka dari
operasional risiko lebih terkait IT, yang harus
sesuai dengan kerangka manajemen risiko TI
secara keseluruhan
Keselarasan dengan manajemen risiko
perusahaan (karena penilaian risiko adalah
aspek kunci dari tanggung jawab mereka)
Posisi risiko keamanan antara kategori lain dari
risiko TI
Mendapatkan tampilan yang lebih baik dari
risiko yang berkaitan dengan IT dan implikasi
keuangan
Bantuan dengan ulasan dan pemantauan
tanggung jawab pemerintahan dan peran tata
kelola TI lainnya mereka
Pemahaman dan pengelolaan risiko salah satu
IT dari banyak risiko bisnis, yang semuanya
harus selaras
Auditor IT Analisis yang lebih baik dari risiko dalam
mendukung rencana audit dan laporan
Regulator Dukungan dari penilaian mereka tentang
pendekatan manajemen risiko TI perusahaan
diatur
Auditor Eksternal Panduan tambahan pada tingkat risiko yang
berkaitan dengan IT saat membuat pendapat
atas kualitas pengendalian intern
Penanggung Dukungan dalam membangun memadai
asuransi IT dan mencari kesepakatan tentang
tingkat risiko
Peringkat Lembaga Bekerja sama dengan perusahaan asuransi;
referensi untuk menilai secara objektif dan
menilai bagaimana suatu perusahaan adalah
berurusan dengan IT risiko

Manfaat dan Hasil

Kerangka IT Risk membahas banyak isu perusahaan hadapi saat ini, terutama kebutuhan mereka
untuk:
1. Akurat pandangan saat ini dan dekat-masa depan risiko yang berkaitan dengan IT di
seluruh perusahaan yang diperluas dan keberhasilan dengan mana perusahaan tersebut
mengatasi risiko IT
2. bimbingan end-to-end pada bagaimana mengelola risiko yang berkaitan dengan IT, di
luar kedua kontrol murni teknis langkah-langkah dan keamanan
3. Pemahaman tentang bagaimana untuk memanfaatkan investasi yang dibuat dalam sistem
pengendalian internal IT sudah di tempat untuk mengelola IT terkait risiko
4. Ketika menilai dan mengelola risiko IT, integrasi dengan risiko secara keseluruhan dan
struktur kepatuhan dalam perusahaan
5. Sebuah framework / bahasa umum untuk membantu mengelola hubungan antara
keputusan eksekutif pembuat (papan / manajemen senior), informasi kepala (CIO) dan
manajemen risiko perusahaan, atau antara auditor dan manajemen
6. Promosi tanggung jawab risiko dan penerimaan di seluruh perusahaan
7. Sebuah profil risiko lengkap untuk lebih memahami risiko, sehingga lebih baik
memanfaatkan sumber daya perusahaan