RISK MANAGEMENT

Secara umum, risiko didefinisikan sebagai hasil kemungkinan atas kejadian dan dampak dari
sebuah kejadian yang dapat terjadi. Dalam teknologi informasi, risiko didefinisikan sebagai hasil
dari nilai asset dan kerentanan sistem terhadap risiko dan ancaman yang ditimbulkannya bagi
organisasi.

 IT Risk Management adalah penerapan dari prinsip-prinisip manajemen risiko terhadap
perusahaan yang memanfaatkan teknologi informasi dengan tujuan untuk dapat mengelola
risiko-risiko yang berhubungan dengan perusahaan tersebut. Risiko-risiko yang dikelola meliputi
kepemilikan, operasional, keterkaitan, dampak, dan penggunaan dari teknologi informasi pada
sebuah perusahaan.

RISK ASSESSMENT
Penilaian risiko adalah alat dan teknik yang dapat digunakan untuk
mengevaluasi sendiri tingkat risiko proses atau fungsi yang diberikan. Proses
harus menyeluruh dan lengkap; jika tidak, elemen risiko dapat dinilai sangat
tinggi. Oleh karena itu, manajemen harus mengevaluasi kualitas sebuah proses,
terutama di dunia teknologi yang terus berubah saat ini dengan kompleksitas
yang semakin meningkat.

Kredibilitas dan ketelitian memvalidasi dan memverifikasi kontrol di semua

tingkatan sangat luar biasa penting. Manajer dan auditor harus melakukan
penilaian risiko dalam proses evaluasi diri mereka secara berkelanjutan dalam
lingkungan TI. Penilaian risiko kontemporer dan metodologi keamanan mengakui
perlunya multidimensi pendekatan untuk menentukan dan mengelola kontrol akses
dan keamanan fisik untuk sistem informasi komputer (IS). Setidaknya tiga
pendekatan berbeda untuk menyediakan keamanan ini muncul dari literatur saat
ini, yang dibedakan oleh penekanan yang mereka tempatkan pada perbedaan
atribut dimensi dari sistem keamanan. Kami mungkin menunjuk tiga perspektif
ini sebagai penjaga istana, penjaga, dan penjaga gerbang berdasarkan sifat
utama mereka penekanan dalam membangun dan memelihara sistem yang aman.
Para kasta melihat penciptaan "benteng" untuk menyediakan sistem yang aman
secara fisik sebagai yang terbaik pendekatan. Para wali cenderung melihat
pengenaan dan penegakan hukum dan administrasi peraturan sebagai pertahanan
terbaik terhadap pencabutan karyawan yang tidak puas dan tidak kompeten,
pesaing licik, dan peretas peretas. Penjaga gerbang menaruh kepercayaan pada
implementasi kontrol perangkat keras dan perangkat lunak untuk memberikan
perlindungan yang memadai terhadap program dan data dengan membatasi akses dan
dengan verifikasi dan validasi interaksi dengan sistem. Jelas, masing-masing
dari jenis taktik defensif ini memiliki tempatnya dalam membangun dan
mempertahankan kepastian yang masuk akal perlindungan aset informasi
perusahaan. Masing-masing dari tiga perspektif ini mengakui kebutuhan akan
dukungan manajemen puncak dan TI jika upaya keamanan ingin berhasil.

Three Perspectives on Risk

Pendekatan castellan telah menerima perhatian kontemporer paling sedikit dalam
literatur ketiganya pendekatan tradisional untuk menilai risiko dan
menyediakan keamanan untuk IS. Keresahan sipil di dalam Amerika Serikat selama
1960-an dikombinasikan dengan peningkatan cepat dalam pentingnya IS komputer
karena perusahaan-perusahaan besar, universitas, dan lembaga-lembaga
pemerintah mengarah pada pengakuan yang melekat kerentanan terhadap serangan
fisik oleh pasukan pembangkang. Strategi dikembangkan untuk merespons ancaman
ini, yang biasanya berfokus pada penciptaan "benteng" untuk IS. Ā adalah
konsep benteng termasuk penggunaan pagar bagian dalam dan luar untuk
mengisolasi bangunan yang menampung sistem tersebut.

Di dalam pagar bagian dalam, tanggul atau pengerjaan tanah sering dibangun
untuk mengisolasi lebih lanjut bangunan. Bangunan itu sendiri umumnya dibangun
dari batu tanpa jendela dan dengan pintu baja dan pintu tahan ledakan. Ini
tindakan pencegahan yang sama dibangun ke beberapa fasilitas baru, tetapi
1970-an dan 1980-an belum memberikan validasi empiris terhadap dugaan ancaman
untuk memimpin banyak orang perusahaan untuk memasang keamanan fisik lengkap.

Literatur saat ini dan studi terbaru sering menyebutkan perlunya keamanan
fisik, tetapi ada masalah yang lebih besar dengan aspek-aspek lain dari
masalah. Satu otoritas terkemuka dalam keamanan data lebih jauh dengan
menyarankan pandangan bahwa keamanan adalah masalah teknis. Pakar lain telah
menyatakan ortodoksi saat ini bahwa keamanan IS adalah masalah manusia dan
ancaman utamanya adalah ketidakmampuan dan "kesalahan manusia yang tidak
disengaja." Tindakan jahat dan ganas adalah kemungkinan yang terukur, tetapi
mereka dipandang menyerukan tanggapan yang jauh lebih kejam daripada membangun
benteng yang tak tertembus untuk menampung IS. Ā konsep telah semakin terkikis
oleh penggunaan mikrokomputer yang luas, didistribusikan
sistem pemrosesan data, dan arsitektur klien / server, yang tidak dapat secara
efektif terkurung di dalam dinding aman dari jendela tanpa jendela.

The Guardians
Penjaga telah memberikan pandangan penilaian risiko dan kontrol akses
keamanan, yang menggambarkan itu sebagai bentuk kejahatan dan korupsi dalam
organisasi dan masyarakat yang lebih luas. Ini spesialis cenderung berbicara
tentang "kejahatan komputer" dan kegagalan kontrol dan prosedur manajemen
sebagai risiko serius bagi integritas, akurasi, dan keandalan IS. Pakar
seperti Dr Jerry Fitzgerald, Robert Parker, Belden Menkus, J.J. Bloombecker,
dan almarhum Dr Harold J. Highland telah membuat katalog spesifik jenis-jenis
penjahat komputer termasuk data diddler, Trojan horse, alat pengiris salami,
pembom logika, penyerang tidak sinkron, pemulung, penangkap kebocoran,
piggybackers, dan simulasi dan pemodelan penjahat. Artikel terbaru di majalah
nasional dan (IT) jurnal profesional telah menekankan pentingnya inisiatif
legislatif federal untuk manajer dan profesional SI. Mereka menekankan
tanggung jawab yang diciptakan undang-undang ini untuk praktik tersebut
manajemen sebagai profesi dan tanggung jawab untuk penegakan yang berada di
kedua auditor perusahaan sendiri dan auditor publik dan pemerintah. Ā adalah
sudut pandang menjadi semua terlalu nyata bagi banyak dari kita pada 11
September 2001. Ini berfungsi untuk mengingatkan kita bahwa wali pandangan itu
nyata dan harus dihormati dalam keputusan manajemen.

Sulit, memang sia-sia, untuk berpendapat bahwa pengenalan hukum negara bagian
dan federal tidak mewakili adanya risiko integritas, keandalan, dan akurasi.
Undang-undang ini lebih dari sekadar mencerminkan a tingkat risiko dalam
lingkungan yang diyakini masyarakat cukup besar untuk diwakili ancaman bagi
kesejahteraan masyarakat. Homeland Security Act of 2002 telah membuat keamanan
TI urusan semua orang. Undang-undang tersebut mengakui risiko nyata dan dapat
dikuantifikasi bagi para manajer dan profesional sistem dengan memberlakukan
tanggung jawab khusus untuk mengambil tindakan yang diperlukan untuk
melindungi keamanan dan privasi sumber daya informasi yang dipercayakan kepada
administrasi mereka. Sampai rilis terbaru "Strategi Nasional untuk Mengamankan
Dunia Maya" pemerintah AS, kebanyakan akan menunjukkan bahwa kepala sekolah
masalah dengan pendekatan wali adalah hukum, peraturan, dan prosedur
administrasi jangan melindungi aset. Undang-undang, peraturan, dan prosedur
ini hanya menetapkan semacam pola yang seragam perilaku yang diharapkan dan
memberikan retribusi untuk pelanggar. Laporan ini mengidentifikasi aset-aset
tersebut.

The Gatekeepers
Penjaga gerbang memandang risiko sebagai endemik bagi semua IS organisasi.
Seperti para castellans, para penjaga gerbang percaya bahwa cara terbaik untuk
melindungi sumber daya informasi adalah dengan membatasi akses yang dimiliki
individu ke sumber daya tersebut. Pendekatan untuk membatasi akses itu cukup
berbeda. Recognize e gatekeepers mengenali di mana-mana cara mengakses IS di
era IS terdistribusi dan jaringan ini. Jenis-jenis kegiatan pemeliharaan
gerbang utama yang umum telah disarankan dalam literatur. Ini
teknik termasuk penggunaan kata sandi dan tabel akses, skema enkripsi, dan
alami dan perangkat identifikasi “perangkat keras” artifisial untuk membatasi
akses.

Application of Risk Assessment

Dari sudut pandang ini, kita akan mengharapkan bahwa korupsi internal dalam
bentuk penipuan komputer, penggunaan aset perusahaan yang tidak sah, dan
pengungkapan informasi pribadi atau hak milik akan dilakukan menjadi tindakan
bermusuhan yang disengaja diarahkan pada perusahaan sebagai musuh. Kesalahan
komisi dan kelalaian yang timbul dari kecerobohan beberapa aktor tampaknya
mencerminkan definisi situasi di mana aktor mendefinisikan jenis tindakan
tertentu sebagai sepele, tidak penting, atau lebih buruk, seperti dalam
beberapa cara merugikan organisasi atau anggotanya. Juga, ini kesalahan dari
kedua komisi dan kelalaian sering muncul dari ketidakmampuan anggota dalam
organisasi. Pakar percaya bahwa orang lain di luar organisasi cenderung
berkontribusi pada situasi yang dihasilkan, menyebabkan manajemen puncak untuk
memaksakan tekanan yang tidak dibutuhkan pada organisasi. Contohnya adalah
penerbitan kebijakan atau pernyataan misi strategis yang mengklasifikasikan
masyarakat yang membentuk peringkat kerja kelompok perusahaan sebagai "faktor
biaya" daripada organisasi.
Ancaman terbesar terhadap integritas dan privasi IS datang dari dalam
organisasi. Ini ancaman meliputi (1) penurunan validitas, akurasi, dan
keandalan data yang dihasilkan dari kesalahan diproduksi oleh ketidakmampuan
atau kecerobohan, (2) kehilangan atau perusakan aset oleh tindakan jahat, dan
(3) pengungkapan yang disengaja dari informasi pribadi atau istimewa.
Pertahanan terbaik terhadap ancaman-ancaman ini adalah a kombinasi tindakan
untuk mengurangi ancaman yang dilengkapi dengan tindakan, yang akan menginstal
dan memelihara perlindungan rutin dasar seperti perlindungan kata sandi dari
akses komputer dan penggunaan tabel akses untuk mengotorisasi jenis dan
tingkat akses yang diberikan masing-masing individu ke aset informasi
perusahaan. Perspektif interaksionis simbolik menunjukkan bahwa mendefinisikan
kembali situasi dalam organisasi dapat secara signifikan mengurangi
kemungkinan terjadinya tindakan yang tidak diinginkan ini.

Bagi kami, hasil penilaian risiko dapat mengidentifikasi bidang-bidang yang

diprioritaskan IT dan manajemen perlu berkonsentrasi. Ini juga bisa menjadi
area yang perlu difokuskan oleh audit IS. Ā is akan membantu manajemen
perusahaan dan TI dalam memantau yang paling kritis, sensitif, dan berisiko
tinggi area.

Risk Management

Manajemen risiko memastikan bahwa risiko kerugian tidak menghalangi manajemen

organisasi untuk mencari tujuannya untuk melestarikan aset dan mewujudkan
nilai yang diharapkan dari investasi. Fungsi dari manajemen risiko meliputi:
 Mengenali paparan kerugian dengan menjadi sadar akan kemungkinan masing-
masing jenis kerugian. Ā is adalah fungsi dasar yang harus mendahului
semua yang lain.
 Memperkirakan frekuensi dan ukuran kerugian dengan menentukan
probabilitasnya dari berbagai sumber.
 Memutuskan metode terbaik dan paling ekonomis untuk mengelola risiko
kerugian, apakah itu dengan asumsi, penghindaran, asuransi diri,
pengurangan bahaya, transfer, asuransi komersial, atau kombinasi dari
metode ini.
 Mengelola program manajemen risiko, termasuk tugas evaluasi ulang yang
konstan program dan pencatatan.

Fungsi-fungsi ini harus dilakukan melalui langkah-langkah berikut:

 Menentukan tujuan
 Identifikasi risiko
 Mengevaluasi risiko
 Mempertimbangkan alternatif dan memilih perangkat perawatan risiko
 Menerapkan keputusan
 Melakukan evaluasi dan Review

Dalam mengikuti langkah-langkah ini, organisasi harus mempertimbangkan peluang

dan tidak boleh mengambil risiko lebih dari perusahaan dapat kehilangan atau
mengambil risiko sedikit. Aturan-aturan ini menunjukkan bahwa manajemen risiko
benar-benar hanya serangkaian keputusan biaya / manfaat.
Determination of Objectives
Satu set tujuan yang jelas dapat memandu mereka yang bertanggung jawab untuk
mengembangkan dan mengelola program manajemen risiko serta menyediakan sarana
untuk mengevaluasi kinerja program. Jelas, setiap perusahaan memiliki tujuan
yang secara spesifik sesuai untuk operasinya; Namun, sebagian luas tujuan
dapat didefinisikan. Pertama, biaya risiko agregat harus dijaga di bawah titik
di mana aset atau pendapatan perusahaan akan dikurangi secara signifikan oleh
kerugian yang tidak diasuransikan. Biaya risiko didefinisikan sebagai jumlah
berikut ini:
 Biaya langsung dan konsekuensi dari tindakan pencegahan kerugian
 Insurance premiums
 Biaya kerugian yang berkelanjutan (termasuk biaya untuk mengurangi
kerugian)
 Biaya ganti rugi bersih dari perusahaan asuransi dan pihak ketiga
 Biaya manajemen, administrasi, dan keuangan yang relevan

Kedua, tujuan utama perusahaan tidak boleh berprasangka. perusahaan harus

menghindari kerugian karena tidak diasuransikan atau diidentifikasi. Akhirnya,
kehidupan, kesehatan, dan properti orang lain harus dihormati. Manajemen
eksekutif dan dewan direksi harus dilibatkan dalam perumusan tujuan manajemen
risiko perusahaan. Di atas segalanya, manajemen harus menyadari bahwa TI
adalah aset dan itu harus dinilai dan divalidasi terus menerus.

IT Risk Identification
Step adalah langkah yang sangat penting karena risiko yang tidak dapat
diidentifikasi dipertahankan secara default. Seperti halnya bisnis, dan IT
adalah tidak terkecuali, dengan menggunakan beberapa alat identifikasi berikut
dapat memastikan tinjauan komprehensif:
 Audit atau inspeksi oleh manajer, pekerja, atau pihak independen dari
operasional perusahaan situs atau praktik
 Operasi atau proses bagan alur operasi perusahaan.
 Penggunaan kuesioner analisis risiko secara berkala di mana informasi
dapat ditangkap tentang operasi perusahaan dan aktivitas berkelanjutan.
Jika pertanyaan terlalu umum, eksposur yang tidak biasa atau area
kerugian unik dapat diabaikan.
 Analisis laporan keuangan menggunakan perangkat lunak spreadsheet untuk
menggambarkan tren pendapatan dan biaya area, mengidentifikasi analisis
paparan aset.
 Daftar periksa polis asuransi — katalog berbagai polis atau jenis
asuransi yang mengidentifikasi risiko yang dapat diasuransikan yang
terukur.

Menggunakan beberapa alat sangat dianjurkan untuk memungkinkan analis atau

pengulas lebih banyak liputan area IT yang ditargetkan. Kuncinya adalah
mengidentifikasi bidang-bidang TI yang dapat memiliki dampak besar pada
operasi bisnis dan pendapatan. Penggunaan beberapa alat dan teknik
memungkinkan seseorang untuk melihatnya bisnis dari perspektif yang berbeda,
memberikan gambaran yang lebih lengkap tentang kompleksitas dan keterkaitan
berbagai operasi dan fungsi. Bagi kami, risiko TI dapat dilihat dan dinilai
oleh manajemen dari berbagai bidang penilaian.

IT Risk Assessment Tools and Techniques

Mengingat meningkatnya ketergantungan pada TI dan sistem otomatis, penekanan
khusus harus diberikan dalam ulasan dan analisis risiko di bidang ini.
Fasilitas dan perangkat keras TI sering disertakan keseluruhan tinjauan pabrik
dan properti perusahaan; Namun, sistem otomatis memerlukan yang terpisah
analisis, terutama ketika sistem ini adalah satu-satunya sumber informasi
penting bagi bisnis dalam pergerakan E-bisnis hari ini. Ada banyak risiko yang
mempengaruhi lingkungan TI saat ini. Hari ini bisnis menghadapi kerugian dari
peristiwa tradisional seperti bencana alam, kecelakaan, vandalisme, dan
pencurian, dan juga dari kejadian serupa dalam bentuk elektronik. Ini bisa
dari virus komputer, informasi atau pencurian data data atau catatan atau file
perusahaan, sabotase elektronik, spamming elektronik bisnis E-commerce, dll.
Untuk membantu dalam identifikasi dan evaluasi risiko terkait TI ini, sumber
daya untuk alat dan teknik berikut telah diidentifikasi:
 nist.gov. Institut Nasional Standar dan Teknologi (NIST) telah menjadi
pemimpin menyediakan alat dan teknik untuk mendukung TI. Ia memiliki
sejumlah alat pendukung yang bisa digunakan untuk tujuan penilaian
risiko.
 gao.gov. Kantor Akuntabilitas Pemerintah AS (GAO) telah menyediakan
sejumlah mengaudit, mengontrol, dan sumber daya keamanan serta
mengidentifikasi praktik terbaik dalam mengelola dan mengkaji risiko TI
di banyak bidang.
 Expected loss approach. Metode yang dikembangkan oleh IBM yang menilai
kemungkinan kerugian dan frekuensi kemunculan untuk semua peristiwa yang
tidak dapat diterima untuk setiap sistem atau data otomatis. Acara yang
tidak dapat diterima dikategorikan sebagai:
 Accidental disclosure
 Deliberate disclosure
 Accidental modifi cation
 Deliberate modifi cation
 Accidental destruction
 Deliberate destruction
 Scoring approach. Mengidentifikasi dan menimbang berbagai karakteristik
sistem TI. Menggunakan Skor akhir untuk membandingkan dan menentukan
peringkat kepentingan mereka.

IT Risk Evaluation
Evaluasi TI melibatkan kuantifikasi atau pemeringkatan ukuran dan kemungkinan
potensi kerugian. Risiko dapat dikategorikan sebagai berikut:
 Kritis. Eksposur ini akan mengakibatkan kebangkrutan
 Penting. Ini adalah eksposur di mana kemungkinan kerugian tidak akan
menyebabkan kebangkrutan tetapi mengharuskan bisnis untuk mengambil
pinjaman untuk melanjutkan operasi.
 Tidak penting. Ini adalah eksposur yang dapat ditampung oleh aset atau
lancar yang ada pendapatan tanpa memaksakan ketegangan keuangan yang
tidak semestinya.

IT Risk Management

Risiko dapat dikelola menggunakan satu atau beberapa teknik berikut:

 Penghindaran
 Pencegahan
 Pengurangan
 Transfer
 Retensi
Lebih dari satu teknik dapat diterapkan pada risiko tertentu (biasanya, kasus
pengurangan dan transfer atau penyimpanan). Sasaran manajemen risiko TI harus
digunakan sebagai panduan dalam memilih teknik. Beberapa pertanyaan kunci yang
perlu ditanyakan oleh TI dan manajemen perusahaan ketika memilih suatu teknik
adalah sebagai berikut:
 Tingkat keparahan tinggi atau risiko kerugian besar:
 Mengapa kerugian bisnis begitu parah?
 Bagaimana kerugian berevolusi?
 Apa kekurangan dari prosedur kontrol yang ada?
 Penghindaran:
 Apakah tidak mungkin untuk dihindari?
 Apakah tidak praktis untuk dihindari?
 Apakah terlalu mahal untuk dihindari?
 Apakah terlalu memakan waktu untuk menghindari?
 Pencegahan:
 Apakah ada tindakan pencegahan langsung untuk mencegah risiko
terjadi?
 Apakah harganya efektif?
 Apakah mereka memiliki efek samping yang menguntungkan?
 Apakah mereka memiliki efek samping yang merugikan?
 Pengurangan :
 Apakah ada tindakan pencegahan langsung untuk mengurangi risiko?
 Apakah harganya efektif?
 Apakah mereka mengurangi terjadinya kerugian?
 Apakah risiko lain akan berkurang juga?
 Apakah mereka memiliki efek samping yang menguntungkan?
 Apakah mereka memiliki efek samping yang merugikan?
 Transfer :
 Dengan asuransi?
 Dengan perjanjian kontrak?
 Dengan cara lain?
 Apakah ada manfaat lain?
 Bisakah risiko ditangani dengan kombinasi kontrol yang terbaik?
 Apakah dapat dikurangi sebagian dan sebagian ditransfer?
 Apa manfaat dari masing-masing metode?

Jika sedang dipertimbangkan untuk teknik transfer dan penggunaan asuransi,

khususnya,item berikut harus diperhitungkan:
 Keuntungan dari deductible. Mempertahankan sebagian dari risiko seperti
kaleng yang dapat dikurangkan lebih tinggi sangat mengurangi biaya
asuransi atau premi.
 Pertimbangan pajak. Dampak undang-undang pajak terhadap biaya dan
kerugian asuransi dapat memengaruhi keputusan. Dalam premi asuransi
bisnis, properti, dan liabilitas, dapat dikurangkan beban, seperti juga
kerugian yang tidak diasuransikan. Namun, kontribusi bisnis untuk
retensi yang didanai Program tidak dapat dikurangkan.
 Pemilihan perusahaan asuransi. Faktor-faktor yang perlu dipertimbangkan
dalam memilih perusahaan asuransi meliputi :
 Ketersediaan cakupan
 Biaya pertanggungan
 Solvabilitas keuangan, stabilitas, dan profitabilitas perusahaan
asuransi
  Kuantitas dan kualitas layanan asuransi yang ditawarkan, baik oleh
perusahaan asuransi secara langsung maupun melalui sistem agensi
yang digunakannya.

Jika pertimbangan diberikan untuk mempertahankan risiko, aspek keuangan utama

berikut ini harus dianalisis dalam menilai nilai retensi kerugian:
 Cash flow
 Opportunity cost of funds

Secara umum, keuntungan finansial dari retensi kerugian lebih besar ketika :
 Perbedaannya kecil antara suku bunga pada rekening likuid dan tingkat
pengembalian modal dipekerjakan dalam suatu bisnis
 Tarif asuransi komersial pada risiko relatif tinggi dibandingkan dengan
peluang biaya dana
 Kebutuhan perusahaan yang dirasakan untuk dana cadangan kerugian cair
rendah sehingga perusahaan bersedia untuk menerima lebih banyak risiko

Akhirnya, catatan dan dokumen kerugian dan pilihan masa lalu dapat digunakan
sebagai informasi utama sumber dalam proses memilih teknik penanganan risiko
yang tepat. Dengan cara ini, pengetahuan, pengalaman, dan pola masa lalu dapat
digunakan untuk membuat keputusan yang lebih baik untuk masa depan.

Setelah teknik yang tepat telah dipilih, itu harus diimplementasikan. Itu
perlu fakta dan angka sekarang tersedia untuk membantu menegosiasikan
asuransi, mengatur pencegahan kerugian program, atau membentuk dana cadangan
kerugian. Struktur analisis risiko telah diilustrasikan sebelumnya.

Berbagai rencana yang diterapkan harus dievaluasi dan ditinjau. Ā adalah

proses yang penting karena variabel berubah terus-menerus. Teknik yang sesuai
tahun lalu mungkin tidak Jadilah tahun ini, dan kesalahan memang terjadi.
Penerapan teknik atau cakupan yang salah harus dideteksi lebih awal dan
diperbaiki.

IT Insurance Risk
Bidang ketiga penilaian risiko terkait operasi TI adalah asuransi TI.
Pemahaman yang jelas asuransi dan manajemen risiko diperlukan untuk meninjau
kecukupan organisasi Asuransi TI. Manajemen TI dan administrator keamanan data
harus mengetahui hubungan antara risiko dan asuransi untuk memahami alasan di
balik pilihan asuransi dan jenis-jenis asuransi yang paling berlaku untuk
lingkungan TI. Ā menyediakan portofolio ikhtisar alasan dan metode analisis
risiko, alternatif asuransi, dan apa yang harus dicari dalam cakupan asuransi
TI. Ketika kita bergerak menuju E-commerce, kebutuhan untuk ulasan ini menjadi
jelas karena E-commerce spamming, denial-of-service (DOS) serangan, dll.,
dapat kehilangan peluang. Bisnis harus memiliki cara untuk melindungi dirinya
sendiri dan memulihkan kerugiannya.

Problems Addressed
Asuransi mendistribusikan kerugian sehingga kerugian yang menghancurkan bagi
individu atau bisnis tersebar dengan adil di antara sekelompok anggota yang
diasuransikan. Asuransi tidak mencegah kerugian atau mengurangi biayanya; itu
hanya mengurangi risiko. Risiko adalah kemungkinan penyimpangan yang merugikan
dari hasil yang diinginkan (mis., kemungkinan meninggal sebelum mencapai usia
72 tahun, rumah dihancurkan oleh api, atau gangguan dalam operasi bisnis, dan
sekarang, situs E-commerce kelebihan muatan dengan tidak valid transaksi atau
spam bisnis TI). Ketika tidak dikelola, dapat diasumsikan risiko yang
seharusnya diasuransikan dan sebaliknya. Polis asuransi sering kali memberikan
cakupan yang tumpang tindih di beberapa area dan tidak ada yang kritis.
Masalah lain mungkin termasuk kurangnya kontrol atas kerugian dan premi biaya,
pengaturan asuransi tidak ekonomis, kesalahan organisasi, dan kegagalan untuk
mengadopsin teknik pencegahan kerugian.

Insurance Requirements
syarat-syarat berikut harus dipenuhi bagi perusahaan asuransi untuk menghitung
risiko dalam istilah moneter dan mendistribusikan biaya lebih dari cukup
anggota untuk menutupi kerugian dan meninggalkan keuntungan.
 Objek yang diasuransikan harus memiliki jumlah dan kuantitas yang
mencukupi untuk memungkinkan penutupan yang wajar perhitungan
kemungkinan kerugian.
 Kerugian harus disengaja.
 Kerugian harus mampu ditentukan dan diukur.
 Semua benda yang diasuransikan tidak dapat dihancurkan secara bersamaan
(mis., Bencana bahaya harus minimal).

Meskipun ada biaya yang jelas (yaitu, premi) yang terlibat dalam asuransi,
beberapa ekonomi dan sosial nilai-nilai asuransi yang mungkin tidak jelas
untuk dimasukkan adalah :
 Jumlah akumulasi dana yang dibutuhkan untuk memenuhi kemungkinan
kerugian berkurang.
 Cadangan kas yang diakumulasikan oleh perusahaan asuransi dibebaskan
untuk tujuan investasi, sehingga menghasilkan yang lebih baik alokasi
sumber daya ekonomi dan peningkatan produksi.
 Karena pasokan dana investasi lebih besar daripada tanpa asuransi, modal
tersedia dengan biaya lebih rendah.
 Pengusaha dengan perlindungan asuransi yang memadai adalah risiko kredit
yang lebih baik.
 Penanggung aktif terlibat dalam kegiatan pencegahan kerugian.
 Asuransi berkontribusi terhadap stabilitas bisnis dan sosial dengan
melindungi perusahaan dan perusahaan mereka para karyawan.

Asuransi adalah sarana penting bagi bisnis untuk menangani risiko; itu bukan
satu-satunya cara. Berdasarkan standar asuransi, risiko diklasifikasikan
sebagai risiko komersial yang dapat diasuransikan atau tidak dapat
diasuransikan. Risiko yang dapat diasuransikan secara komersial adalah sebagai
berikut:
1. Property risks.
2. Personal risks.
3. Legal liability risks.

Berikut ini adalah risiko yang tidak dapat diasuransikan secara komersial.
1. Market risks.
2. Political risks.
3. Production risks.

How to Determine IT Insurance Coverage

Manajemen risiko sebagaimana dibahas sebelumnya bertindak sebagai panduan
selama peninjauan cakupan asuransi TI. Harus dipahami bagaimana pilihan
asuransi diterima. Seperti disebutkan sebelumnya, ada langkah mendasar yang
harus dilakukan:
 Tujuan kebijakan manajemen risiko harus sejalan dengan tujuan
keseluruhan organisasi.
 Metode yang digunakan untuk mengidentifikasi risiko yang terkait dengan
TI harus menyediakan informasi yang akurat dan daftar lengkap.
 Eksposur risiko harus dikuantifikasi dan dikategorikan dengan benar.
 Keputusan yang tepat harus dibuat setelah peninjauan yang hati-hati
terhadap opsi dan alternatif.

Setelah proses manajemen risiko telah ditinjau, penyelidikan yang lebih rinci
terkait TI risiko dapat dimulai. Berikut ini adalah daftar pertanyaan yang
harus ditangani :
 Pencegahan dan pengurangan:
 Apakah ada rencana kontinjensi pemulihan bencana yang komprehensif
dan terkini?
 Upaya apa yang telah dilakukan untuk memastikan bahwa rencana itu
bisa dilaksanakan?
 Apakah ada cadangan di luar kantor untuk file yang sesuai?
 Apakah prosedur dan praktik untuk mengendalikan kecelakaan
memadai?
 Apakah ada pemeriksaan kontrol yang sesuai pada operasi?
 Transfer:
 Apakah risiko ditangani oleh asuransi sesuai dengan tujuan dan
risiko manajemen risiko analisis?
 Apakah perusahaan asuransi sudah diperiksa?
 Retensi :
 Apakah risiko dipertahankan sesuai dengan tujuan manajemen risiko
dan analisis risiko?
 Pernahkah deductible digunakan secara bijaksana dalam polis
asuransi?

Di lingkungan TI, ada risiko khusus yang biasanya ditangani oleh asuransi,
Termasuk :
 Kerusakan peralatan komputer
 Biaya media penyimpanan
 Biaya untuk memperoleh data yang disimpan di media
 Kerusakan pada orang luar
 Efek bisnis dari hilangnya fungsi komputer

Reduction and Retention of Risks

Risiko yang tidak dapat diasuransikan dapat dikelola dengan cara lain, dan
hanya karena risiko dapat diasuransikan, maka dapat dilakukan bukan berarti
asuransi adalah satu-satunya cara untuk menanganinya. Pengurangan risiko dapat
dicapai melalui pencegahan dan pengendalian kehilangan. Jika kemungkinan
kerugian dapat dicegah, risiko dieliminasi; bahkan mengurangi kemungkinan
kerugian yang terjadi adalah peningkatan yang signifikan. Jika kesempatan
tidak bisa berkurang, setidaknya keparahan kerugian sering dapat dikendalikan.
Metode reduksi adalah sering digunakan dengan asuransi untuk mengurangi premi.
 Risiko harus disebarkan secara fisik sehingga ada distribusi paparan
yang cukup merata kehilangan beberapa lokasi.
  Sebuah studi harus dilakukan untuk menentukan paparan maksimum terhadap
kerugian.

 Pertimbangan harus diberikan pada kemungkinan pengalaman kerugian yang

tidak menguntungkan dan keputusan mencapai apakah kontingensi ini harus
ditanggung oleh ketentuan untuk asuransi diri cadangan.
 Biaya premi harus dibuat terhadap operasi yang memadai untuk menutupi
kerugian dan setiap kenaikan cadangan yang tampaknya disarankan.

Available Guidance
Ada beberapa dokumen standar profesional yang memberikan panduan kepada
auditor dan manajer yang terlibat dalam penilaian risiko. Standar membantu
dalam pengembangan teknologi dan menyediakan pengukuran kualitas yang
konsisten jika diadopsi, dipelihara, dan didukung oleh organisasi.

Berikut ini adalah standar yang terkait dengan penilaian risiko dalam operasi
TI. Tidak berarti daerah ini terbatas pada masalah A.S. Tinjauan operasional
mencakup komunitas bisnis global. Satu dari upaya terbaru adalah Organisasi
Standar Internasional (ISO) dan upayanya untuk mengembangkan ISO Guide 73
tentang terminologi manajemen risiko. Ini juga memiliki sejumlah proyek di
bawah program teknis Komite JTC 1 tentang TI.
U.S. National Institute of Standards and Technology
Fokus utama kegiatan NIST dalam TI adalah memberikan kriteria pengukuran untuk
mendukung pengembangan teknologi penting ke depan. Standar dan pedoman NIST
dikeluarkan sebagai Federal Information Processing Standards (FIPS) untuk
penggunaan di seluruh pemerintah. NIST mengembangkan FIPS ketika ada
persyaratan pemerintah federal yang mendesak untuk standar TI terkait keamanan
dan interoperabilitas dan tidak ada standar atau solusi industri yang dapat
diterima. Mendukung situs Web yang sangat bagus di www.nist.gov dan
menyediakan informasi dan alat yang sangat berguna. Sebagai contoh, Pusat
Sumber Daya Keamanan Komputer (CSRC) memiliki paket yang disebut Automated
Security Self- Alat Evaluasi (ASSET) dan yang lain disebut Webmetrics, Versi
3.0, ditemukan dalam Informasi Divisi Akses.

Government Accountability Office

GAO adalah agen non-partisan dalam cabang legislatif pemerintah. GAO melakukan
audit, survei, investigasi, dan evaluasi program federal. Ā adalah mungkin
termasuk audit badan-badan federal dan pemerintah negara bagian, kabupaten,
dan kota, dan meluas ke industri swasta, di mana dana federal dihabiskan.
Seringkali, pekerjaan GAO dilakukan atas permintaan komite kongres atau
anggota, atau untuk memenuhi persyaratan legislatif dasar yang diamanatkan
atau diamanatkan secara spesifik. Temuan GAO dan rekomendasi diterbitkan
sebagai laporan kepada anggota kongres atau disampaikan sebagai kesaksian
kepada komite kongres. GAO telah mengeluarkan banyak laporan tentang keamanan
komputer, kerentanan TI, dan penilaian risiko. Situs Web-nya dapat ditemukan
di www.gao.gov.

American Institute of Public Accountants Bersertifikat

 Pernyataan Standar Audit (SAS) dikeluarkan oleh Dewan Standar Audit (ASB) dari
AICPA dan diakui sebagai interpretasi dari 10 standar audit yang diterima secara umum. SAS
47, “Risiko Audit dan Materialitas dalam Melakukan Audit,” terkait dengan penilaian isik.
Dalam SAS 47, risiko pengendalian didefinisikan sebagai kemungkinan salah saji yang terjadi
dalam saldo akun atau kelas transaksi yang (1) dapat menjadi material ketika diagregasi dengan
salah saji dalam saldo atau kelas lain dan (2) tidak akan dicegah atau terdeteksi tepat waktu oleh
sistem kontrol internal.

SAS 65 mensyaratkan bahwa, dalam semua keterlibatan, auditor mengembangkan

beberapa pemahaman tentang fungsi audit internal (audit pemrosesan data [EDP] elektronik, jika
tersedia) dan menentukan apakah fungsi itu relevan dengan penilaian risiko pengendalian. Bagi
kami, jika ada fungsi audit internal, itu harus dievaluasi. Evaluasi bukan opsional. Pada tahun
1996, AICPA mengeluarkan SAS 80, yang secara langsung ditujukan untuk meningkatkan audit
di lingkungan EDP. SAS diterbitkan pada tahun yang sama dan telah membuat dampak yang
mendalam pada profesi audit. Kutipan dari SAS 80 menyatakan: “Dalam entitas di mana
informasi penting ditransmisikan, diproses, dipelihara, atau diakses secara elektronik, auditor
dapat menentukan bahwa tidak praktis atau mungkin untuk mengurangi risiko deteksi ke tingkat
yang dapat diterima dengan hanya melakukan tes substantif untuk satu atau lebih pernyataan
laporan keuangan. Misalnya, potensi inisiasi yang tidak tepat atau perubahan informasi yang
terjadi dan tidak terdeteksi mungkin lebih besar jika informasi diproduksi, dipelihara, atau
diakses hanya dalam bentuk elektronik. Dalam keadaan seperti itu, auditor harus melakukan tes
kontrol untuk mengumpulkan hal-hal penting untuk digunakan dalam menilai risiko kontrol, atau
mempertimbangkan efek pada laporannya.

Proses GAO yang diilustrasikan sebelumnya adalah panduan pemerintah federal untuk
implementasi SAS ini. potensi inisiasi atau perubahan informasi yang tidak patut terjadi dan
tidak terdeteksi mungkin lebih besar jika informasi diproduksi, dipelihara, atau diakses hanya
dalam bentuk elektronik. Dalam keadaan seperti itu, auditor harus melakukan tes kontrol untuk
mengumpulkan hal-hal penting untuk digunakan dalam menilai risiko kontrol, atau
mempertimbangkan efek pada laporannya. " Proses GAO yang diilustrasikan sebelumnya adalah
panduan pemerintah federal untuk implementasi SAS ini. potensi inisiasi atau perubahan
informasi yang tidak patut terjadi dan tidak terdeteksi mungkin lebih besar jika informasi
diproduksi, SAS 94 diadopsi pada tahun 2001. SAS memberikan panduan kepada auditor tentang
efek TI pada pengendalian internal dan pada pemahaman auditor tentang pengendalian internal
dan penilaian risiko pengendalian. SAS 94 mengubah SAS 55, "Pertimbangan Pengendalian
Internal dalam Audit Laporan Keuangan."

Asosiasi Audit dan Kontrol Sistem Informasi

ISACA adalah asosiasi nirlaba di seluruh dunia dengan lebih dari 28.000 praktisi yang
didedikasikan untuk audit, kontrol, dan keamanan TI di lebih dari 100 negara. Yayasan Audit
dan Kontrol Sistem Informasi (ISACAF) adalah yayasan nirlaba terkait yang berkomitmen untuk
meningkatkan basis pengetahuan profesi melalui komitmen terhadap penelitian. Standards e
dewan standar ISACA telah memperbarui dan mengeluarkan beberapa Pedoman Audit Sistem
Informasi (ISAG); ini diakui sebagai standar audit sistem.
 Pedoman terbaru ISACA yang diperbarui berjudul “Penggunaan Penilaian Risiko
dalam Perencanaan Audit” menentukan tingkat pekerjaan audit yang diperlukan untuk memenuhi
tujuan audit tertentu; itu adalah keputusan subjektif yang dibuat oleh auditor TI. Risiko mencapai
kesimpulan yang salah berdasarkan temuan audit (risiko audit) adalah salah satu aspek dari
keputusan ini. Yang lainnya adalah risiko kesalahan yang terjadi di area yang diaudit (risiko
kesalahan). Praktik yang direkomendasikan untuk penilaian risiko dalam melaksanakan audit
keuangan didokumentasikan dengan baik dalam standar audit untuk auditor keuangan, tetapi
pedoman diperlukan tentang cara menerapkan teknik tersebut untuk audit TI.

Manajemen juga mendasarkan keputusannya pada seberapa besar kontrol yang sesuai
pada penilaian tingkat eksposur risiko yang siap diterima. Sebagai contoh, ketidakmampuan
untuk memproses aplikasi komputer untuk periode waktu tertentu adalah paparan yang dapat
dihasilkan dari peristiwa yang tidak terduga dan tidak diinginkan (misalnya, kebakaran pusat
data). Eksposur dapat dikurangi dengan penerapan kontrol yang dirancang dengan tepat. Ini
adalah kontrol yang biasanya didasarkan pada stimulasi dan dimaksudkan untuk mengurangi
kemungkinan tersebut. Misalnya, alarm kebakaran tidak mencegah kebakaran tetapi
dimaksudkan untuk mengurangi tingkat kerusakan kebakaran. Pedoman yang menyediakan
panduan dalam menerapkan standar audit TI. Auditor TI harus mempertimbangkannya dalam
menentukan bagaimana mencapai implementasi standar sebelumnya, menggunakan penilaian
profesional dalam penerapannya, dan bersiap untuk menjustifikasi setiap keberangkatan.

Institut Auditor Internal

Didirikan pada tahun 1941, IIA melayani lebih dari 85.000 anggota di bidang audit
internal, tata kelola dan pengendalian internal, IT audit pendidikannya, dan keamanan di lebih
dari 120 negara.Standards Komite Standar dan Tanggung Jawab Profesional, komite teknis
senior yang ditunjuk oleh IIA untuk mengeluarkan pernyataan tentang standar audit,
mengeluarkan Pernyataan tentang Standar Audit Internal (SIAS).IIA telah menerapkan Standar
Kinerja 2110 berjudul “Manajemen Risiko,” yang menetapkan bahwa kegiatan audit internal
harus membantu organisasi dengan mengidentifikasi dan mengevaluasi eksposur yang signifikan
terhadap risiko dan berkontribusi pada peningkatan manajemen risiko dan sistem kontrol. Ini
memberikan panduan tambahan dalam bentuk Standar Implementasi 2110.A1 (Perikatan
Jaminan) yang dengannya kegiatan audit internal harus memantau dan mengevaluasi efektivitas
sistem manajemen risiko organisasi. Standar Penerapan 2110.A2 (Perikatan Jaminan)
menetapkan bahwa aktivitas audit internal harus mengevaluasi risiko yang terkait dengan tata
kelola, operasi, dan IS organisasi terkait.

Komite Organisasi Sponsoring Komisi Treadway

Komite Organisasi Sponsoring Komisi Treadway (COSO) dibentuk pada tahun 1985
sebagai organisasi sektor swasta yang independen, sukarela, yangdidedikasikan untuk
meningkatkan kualitas pelaporan keuangan melalui etika bisnis, kontrol internal yang efektif,
dan tata kelola perusahaan - keuangan. COSO terdiri dari perwakilan dari industri, kantor
akuntan publik, perusahaan investasi, dan Bursa Efek New York. Ketua COSO pertama adalah
James C. Treadway, Jr., wakil presiden eksekutif dan penasihat umum, Paine Webber Inc., dan
mantan komisaris Komisi Sekuritas dan Bursa AS; maka nama Komisi Treadway. Ketua saat ini
adalah John Flaherty, ketua, pensiunan wakil presiden dan auditor umum untuk PepsiCo Inc.
Dewan COSO menugaskan Price Water house Coopers untuk memimpin proyek guna
mengembangkan kerangka kerja untuk manajemen risiko perusahaan. Manajemen Risiko
Perusahaan — Kerangka Kerja Terintegrasi dikeluarkan pada bulan September 2004.

Kesimpulan
Perusahaan baru mulai mendapat manfaat dari melindungi diri mereka sendiri dari potensi risiko.
Dengan mengidentifikasi dan memetakan risiko di seluruh organisasi, sebuah perusahaan dapat
berkonsentrasi untuk memitigasi paparan yang paling banyak menimbulkan kerusakan. Dengan
pemahaman tentang risiko, tingkat keparahannya, dan frekuensi risiko tersebut, perusahaan dapat
beralih ke solusi, baik itu mempertahankan, mentransfer, berbagi, atau menghindari risiko
tertentu.

Organisasi harus mengembangkan program manajemen risiko yang baik untuk dapat
menentukan kecukupan cakupan asuransi TI mereka. Langkah pertama dalam mengembangkan
program dengan benar adalah menyadari batasan dan keuntungan asuransi dan mempelajari
metode pengurangan risiko. Untuk program manajemen risiko itu sendiri, tujuan harus
ditentukan; risiko harus diidentifikasi, dikategorikan, dan dievaluasi; dan teknik penanganan
risiko harus dipilih. Memahami pilihan asuransi dan berbagai kebijakan yang tersedia juga
penting. Pengembangan program manajemen risiko darurat membutuhkan upaya signifikan dari
semua pihak. Namun, begitu ditetapkan, manfaat mengelola risiko menjadi sangat berharga.