Tata kelola TI menjadi semakin penting di banyak organisasi.

Berdasarkan versi kelima dari Control

Objectives for Information and Related Technologies (COBIT), tata kelola “memastikan bahwa
kebutuhan, kondisi, dan opsi pemangku kepentingan dievaluasi untuk menentukan tujuan
perusahaan yang disepakati dan seimbang yang akan dicapai; menetapkan arah melalui pembuatan
prioritas dan pengambilan keputusan; dan memantau kinerja dan kepatuhan terhadap arah dan
tujuan yang telah disepakati. " Dengan globalisasi banyak industri dan pasar keuangan, negara maju
dan berkembang menyadari pentingnya tata kelola dan kontrol yang efektif untuk keberhasilan
organisasi. The Sarbanes – Oxley Act of 2002 (SOX) dan Committee of Sponsoring Organizations of
the Treadway Commission (COSO) (keduanya dari Amerika Serikat), serta Combined Code on
Governance di Inggris dan Organisasi untuk Ekonomi Co- Prinsip Operasi dan Pengembangan Tata
Kelola Perusahaan di Eropa, semuanya, telah menetapkan standar bagi tata kelola perusahaan.
Untuk TI, COBIT telah menjadi standar global untuk tata kelola dan kontrol. COBIT menyediakan
kerangka kerja untuk menerapkan kontrol TI agar sesuai dengan SOX dan standar tata kelola global
lainnya. Organisasi di seluruh dunia menggunakan prinsip yang ditentukan dalam COBIT untuk
meningkatkan kinerja TI. Strategi adalah visi formal untuk memandu perolehan, alokasi, dan
pengelolaan sumber daya untuk memenuhi tujuan organisasi. Strategi TI, misalnya, merupakan
bagian dari strategi perusahaan secara keseluruhan untuk TI dan mencakup arah teknologi masa
depan dalam memenuhi tujuan organisasi. Tata kelola TI memberikan struktur dan arah untuk
mencapai keselarasan antara strategi TI dengan strategi bisnis. Penyelarasan yang erat antara
strategi TI dengan strategi bisnis sangat penting untuk keberhasilan kemitraan yang berfungsi
dengan baik.

Tata Kelola TI — Penyelarasan TI dengan Tujuan Bisnis

Dalam survei yang dilakukan oleh IT Governance Institute, 94% organisasi yang berpartisipasi
menganggap IT sangat penting untuk strategi organisasi secara keseluruhan. Survei yang sama
mencatat bahwa semakin tinggi tingkat kematangan tata kelola TI, semakin tinggi pengembalian
investasi TI. Untuk mencapai kematangan tata kelola TI dan pengembalian investasi TI yang lebih
tinggi membutuhkan kemitraan yang erat antara TI dan manajemen bisnis. Penyelarasan strategi TI
dengan strategi bisnis sangat penting untuk keberhasilan kemitraan yang berfungsi dengan baik.
Penting bagi organisasi untuk memahami bisnis itu mendukung dan agar bisnis memahami teknologi
yang digunakannya. Agar hal ini terjadi, organisasi harus memiliki satu kursi dengan Chief Executive
Officer (CEO) dan pemimpin bisnis lainnya.

Berkomunikasi dengan manajemen senior bukanlah tugas yang mudah karena TI hanyalah sebagian
kecil dari masalah yang dihadapi oleh organisasi saat ini. Pemimpin TI harus dilihat sebagai anggota
tim yang berharga, dan bukan hanya sebagai penyedia layanan. Untuk mewujudkan hal ini, Chief
Information Officer (CIO) dan manajemen TI harus berusaha memahami masalah bisnis dan
menawarkan solusi proaktif untuk kebutuhan organisasi. Manajemen TI juga harus memiliki
pemahaman yang jelas tentang kekuatan dan kelemahan mereka saat ini dan dapat
mengkomunikasikan informasi ini kepada manajemen bisnis.

Tata kelola TI menyediakan struktur untuk mencapai penyelarasan aktivitas dan proses TI dengan
tujuan bisnis, memasukkan TI ke dalam program manajemen risiko perusahaan, mengelola kinerja
TI, memastikan penyampaian nilai TI, dan memastikan kepatuhan terhadap peraturan dan
penerapan yang memadai dari pengendalian internal.
Mengelola organisasi secara efektif membutuhkan dasar yang kuat dari tata kelola dan kendali atas
sumber daya TI. Tata kelola memandu hak keputusan, akuntabilitas, dan perilaku organisasi. Ini
dikendalikan melalui serangkaian proses dan prosedur yang mengidentifikasi siapa yang dapat
membuat keputusan, keputusan apa yang dapat dibuat, bagaimana keputusan dibuat, bagaimana
investasi dikelola, dan bagaimana hasil diukur. Diimplementasikan secara efektif, tata kelola TI
memungkinkan aktivitas dan proses TI sejalan dengan arah yang ditetapkan oleh badan tata kelola
untuk mencapai tujuan perusahaan.

Memberikan nilai dari TI adalah upaya bersama antara bisnis dan TI untuk mengembangkan
persyaratan yang tepat dan bekerja sama untuk keberhasilan pengiriman manfaat yang dijanjikan.
Agar efektif, Dewan Direksi (Board), badan pengatur organisasi termasuk komite audit yang dapat
dilaporkan secara fungsional oleh kepala audit internal, harus memahami keadaan TI saat ini dan
secara aktif berpartisipasi dalam menetapkan arah TI di masa depan. Berkomunikasi secara efektif
dengan Dewan tentang TI tidak selalu mudah. TI adalah lingkungan yang sangat kompleks, yang sulit
dijelaskan kepada profesional non-TI. Selain itu, banyak anggota Dewan atau manajemen senior
akan memiliki masalah mereka sendiri dan kepentingan dalam proyek dan layanan TI tertentu yang
dapat mempengaruhi proses pengambilan keputusan. Mendapatkan kesepakatan di awal tentang
ukuran kinerja TI akan sangat membantu dalam memfokuskan para senior manajemen tentang
masalah utama dalam mengelola TI. Mengukur bisnis dan kinerja TI juga akan membantu kedua
belah pihak bertanggung jawab atas keberhasilan proyek TI dan pemberian layanan.

Kerangka Tata Kelola TI

Tiga kerangka kerja terkait TI yang diakui secara luas dan praktik terbaik meliputi: IT Infrastructure
Library (ITIL), COBIT, dan British Standard International Organization for Standardization (ISO) /
International Electrotechnical Commission 27002 (ISO / IEC 27002). Ketiga kerangka kerja ini
memberi organisasi sarana untuk mengatasi berbagai sudut dalam arena TI.

ITIL

ITIL dikembangkan oleh Kantor Kabinet Perdagangan Pemerintah (OGC) Inggris Raya sebagai
perpustakaan proses praktik terbaik untuk manajemen layanan TI. Diadopsi secara luas di seluruh
dunia, ITIL memberikan pedoman untuk praktik terbaik di bidang manajemen layanan TI. Secara
khusus, lingkungan manajemen layanan ITIL secara efektif dan efisien memberikan layanan bisnis
kepada pengguna akhir dan pelanggan dengan mematuhi lima pedoman inti yang terkait dengan:

◾ Strategi — pedoman atau proses praktik terbaik untuk memetakan strategi TI dengan tujuan dan
sasaran bisnis secara keseluruhan.

◾ Desain — proses (atau persyaratan) praktik terbaik yang diterapkan untuk memandu solusi yang
dirancang untuk memenuhi kebutuhan bisnis.

◾ Transisi — bertujuan untuk mengelola perubahan, risiko, dan jaminan kualitas selama penerapan
layanan TI.

◾ Operasi — panduan atau proses praktik terbaik yang diterapkan untuk mempertahankan layanan
TI yang memadai dan efektif setelah diterapkan ke dalam lingkungan produksi.

◾ Perbaikan Berkesinambungan — terus mencari cara untuk meningkatkan keseluruhan proses dan
penyediaan layanan.

Kerangka kerja ITIL harus dipilih ketika tujuan organisasi adalah untuk meningkatkan kualitas layanan
manajemen TI. Kerangka kerja ITIL membantu organisasi dalam menciptakan layanan TI yang dapat
secara efektif membantu mengelola tugas sehari-hari, terutama ketika fokusnya ada pada pelanggan
atau pengguna akhir.

COBIT

COBIT adalah kerangka kerja tata kelola TI yang membantu organisasi memenuhi tantangan bisnis
saat ini di bidang kepatuhan peraturan, manajemen risiko, dan penyelarasan strategi TI dengan
tujuan organisasi. COBIT adalah serangkaian praktik TI atau tujuan kontrol yang diterima secara
umum dan bersifat internasional, dirancang untuk membantu karyawan, manajer, eksekutif, dan
auditor dalam: memahami sistem TI, melaksanakan tanggung jawab fidusia, dan memutuskan
tingkat keamanan dan kontrol yang memadai. COBIT mendukung kebutuhan untuk meneliti,
mengembangkan, mempublikasikan, dan mempromosikan tujuan pengendalian TI terbaru yang
diterima secara internasional. Penekanan utama dari kerangka COBIT adalah untuk memastikan
bahwa teknologi menyediakan bisnis dengan informasi yang relevan, tepat waktu, dan berkualitas
untuk tujuan pengambilan keputusan.

Kerangka kerja COBIT, sekarang pada edisi kelima (COBIT 5), memungkinkan manajemen untuk
mengukur lingkungannya dan membandingkannya dengan organisasi lain. Auditor TI juga dapat
menggunakan COBIT untuk mendukung penilaian dan opini pengendalian internal mereka. Karena
frameworknya komprehensif, framework ini memberikan jaminan bahwa keamanan dan kontrol TI
ada.

COBIT 5 membantu organisasi menciptakan nilai optimal dari TI dengan menjaga keseimbangan
antara menyadari manfaat dan mengoptimalkan tingkat risiko dan penggunaan sumber daya. COBIT
5 didasarkan pada lima prinsip (lihat Tampilan 3.2). COBIT 5 mempertimbangkan kebutuhan TI dari
pemangku kepentingan internal dan eksternal (Prinsip 1), sementara sepenuhnya mencakup tata
kelola organisasi dan manajemen informasi dan teknologi terkait (Prinsip 2). COBIT 5 menyediakan
kerangka kerja terintegrasi yang selaras dan mudah terintegrasi dengan kerangka kerja lain
(misalnya, Komite Organisasi Sponsor Treadway Commission-Enterprise Risk Management (COSO-
ERM), dll.), Standar, dan praktik terbaik yang digunakan (Prinsip 3). COBIT 5 memungkinkan TI untuk
diatur dan dikelola secara holistik untuk seluruh organisasi (Prinsip 4). Terakhir, COBIT 5 membantu
organisasi dalam memisahkan tata kelola dari tujuan manajemen secara memadai (Prinsip 5).

Kerangka kerja ini bermanfaat untuk semua jenis organisasi, termasuk komersial, nirlaba, atau di
sektor publik. Kerangka kerja komprehensif menyediakan serangkaian tujuan kontrol yang tidak
hanya membantu manajemen TI dan profesional tata kelola mengelola operasi TI mereka, tetapi
juga auditor TI dalam pencarian mereka untuk memeriksa tujuan tersebut.

Pemilihan COBIT mungkin tepat jika tujuan organisasi tidak hanya untuk memahami dan
menyelaraskan TI dan tujuan bisnis tetapi juga untuk menangani bidang kepatuhan peraturan dan
manajemen risiko.

ISO / IEC 27002

Kerangka kerja ISO / IEC 27002 adalah standar global (digunakan bersama dengan kerangka kerja ISO
/ IEC 27001) yang memberikan rekomendasi praktik terbaik terkait dengan pengelolaan keamanan
informasi. Standar ini berlaku bagi mereka yang bertanggung jawab untuk memulai, menerapkan,
dan / atau memelihara sistem manajemen keamanan informasi. Kerangka kerja ini juga membantu
dalam menerapkan kontrol dan prosedur keamanan informasi yang diterima secara umum.
Rangkaian standar ISO / IEC 27000 mencakup teknik yang membantu organisasi mengamankan aset
informasi mereka. Beberapa standar, selain yang disebutkan di atas, melibatkan teknik keamanan TI
yang terkait dengan:

◾ Persyaratan untuk menetapkan, menerapkan, memelihara, menilai, dan terus meningkatkan

sistem manajemen keamanan informasi dalam konteks organisasi. Persyaratan ini bersifat umum
dan dimaksudkan untuk diterapkan ke semua organisasi, terlepas dari jenis, ukuran, atau sifatnya.
(ISO / IEC 27001: 2013)

◾ Panduan penerapan sistem manajemen keamanan informasi. (ISO / IEC DIS 27003) ◾ Panduan
untuk menerapkan manajemen keamanan informasi (yaitu, memulai, menerapkan, memelihara, dan
meningkatkan keamanan informasi) untuk komunikasi antar sektor dan antar organisasi. (ISO / IEC
27010: 2015)

◾ ISO / IEC 27013: 2015. Panduan tentang penerapan terintegrasi sistem manajemen keamanan
informasi, sebagaimana ditentukan dalam ISO / IEC 27001, dan sistem manajemen layanan,
sebagaimana ditentukan dalam ISO / IEC 20000-1.

Menggunakan kelompok standar di atas akan membantu organisasi untuk mengelola keamanan
aset, termasuk, namun tidak terbatas pada, informasi keuangan, kekayaan intelektual, detail
karyawan, atau informasi yang dipercayakan oleh pihak ketiga.

Tujuan kerangka ISO / IEC 27002 adalah untuk membantu organisasi memilih tindakan keamanan
yang tepat dengan memanfaatkan domain kontrol keamanan yang tersedia. Setiap domain
menentukan tujuan pengendalian yang memberikan panduan lebih lanjut tentang bagaimana
organisasi dapat mencoba mengimplementasikan kerangka kerja.

Kerangka kerja ISO / IEC 27002 harus dipilih ketika manajemen senior TI (yaitu, CIO) menargetkan
arsitektur keamanan informasi yang menyediakan langkah-langkah keamanan umum untuk
mematuhi undang-undang dan peraturan federal.

Kerangka Kerja Bersama Seperti yang terlihat, ITIL, COBIT, dan ISO / IEC 27002 adalah kerangka kerja
terkait TI praktik terbaik untuk kepatuhan peraturan dan tata kelola perusahaan. Namun, tantangan
bagi banyak organisasi adalah menerapkan kerangka kerja terintegrasi yang mengacu pada tiga
standar ini. Kerangka Kerja Bersama, yang disusun oleh IT Governance Institute (ITGI) dan OGC,
merupakan langkah signifikan menuju arah tersebut.

Menyelaraskan ITIL, COBIT, dan ISO / IEC 27002 tidak hanya memformalkan hubungan di antara
mereka, tetapi yang terpenting, memungkinkan organisasi untuk:

◾ menerapkan metode kepatuhan tunggal yang terintegrasi yang memberikan tujuan pengendalian
umum tata kelola perusahaan;

◾ memenuhi persyaratan regulasi data dan regulasi terkait privasi; dan

◾ Bersiaplah untuk sertifikasi eksternal untuk ISO 27001 dan ISO 20000, yang keduanya
menunjukkan kepatuhan.

Menerapkan kerangka kerja bersama menuntun organisasi menuju kepatuhan peraturan yang
efektif dan meningkatkan daya saing mereka. Implementasi kerangka kerja yang baru saja dibahas
sangat penting dalam menangani area yang relevan dalam bidang TI. Hal yang sama pentingnya
adalah penetapan metrik untuk mengukur kinerja TI. Metrik ini tidak hanya harus ada tetapi juga
secara teratur dinilai untuk konsistensi dengan tujuan dan sasaran organisasi.
Metrik Kinerja TI

Mengembangkan proses pengukuran membutuhkan waktu dan sumber daya untuk diterapkan. Agar
sukses, baik organisasi maupun manajemen IT harus didukung penuh. Mereka juga harus
dikonsultasikan tentang jenis pengukuran yang mereka yakini paling bermanfaat. Area yang akan
diukur harus selaras dengan tujuan organisasi. Tidak masuk akal untuk mengukur sesuatu yang tidak
ada yang peduli. Manajemen akan sangat mendukung ketika melihat metrik diterapkan ke area yang
paling membutuhkan perbaikan. Biasanya, area yang diukur memiliki kecenderungan untuk menarik
fokus dan meningkat seiring waktu. Rangkaian metrik penting — beberapa metrik utama yang
penting untuk keberhasilan pengelolaan fungsi — harus diidentifikasi dan diterapkan pada
lingkungan.

Setelah kumpulan metrik kritis telah diidentifikasi, personel di area yang akan diukur harus
dikonsultasikan, dan serangkaian pengukuran yang akan memberikan data yang berarti harus
dirancang. Personil yang bertanggung jawab untuk melakukan pekerjaan harus memilih cara terbaik
untuk mengukur kualitas dan produktivitas pekerjaan mereka. Metrik yang dikembangkan sebaiknya
hanya diterapkan pada data yang dapat diukur dan bermakna. Tidak ada gunanya membuang waktu
untuk mengembangkan tindakan di area yang tidak termasuk dalam kumpulan metrik kritis, karena
tindakan ini tidak akan memenuhi kebutuhan pengelolaan.

Setelah implementasi awal dari pengukuran pertama, penting untuk menunjukkan hasilnya. Data
harus dikumpulkan selama periode yang telah ditentukan, dan hasilnya harus diberikan kepada
manajemen secara teratur. Dengan bertambahnya basis data metrik, keandalan data akan
meningkat dan kegunaan laporan bagi manajemen juga akan meningkat.

Meskipun cukup mudah untuk mendapatkan manajemen untuk mendukung metrik (jika mereka
diinformasikan tentang metrik apa dan dampak yang dapat mereka miliki), juga sulit untuk
mendapatkan dukungan manajemen jika mereka skeptis atau belum dididik tentang masalah
tersebut. Dalam situasi ini, tugas yang berbeda harus diambil. Pertama, manajemen harus dibuat
untuk menyadari bahwa hampir tidak mungkin untuk mengelola apa yang tidak bisa atau tidak bisa
diukur. Cara termudah untuk memperkuat argumen ini adalah mendukungnya dengan beberapa
metrik sampel.

Kedua, data survei dari organisasi lain dapat dikumpulkan dan disajikan untuk mendorong
penerapan kerangka berpikir metrik. Untuk metrik sampel, identifikasi beberapa area yang dapat
diukur dan berikan laporan tentang area tersebut. Sekali lagi, penting untuk memberikan
pengembalian modal jangka pendek untuk menunjukkan hasil dan terus membuat laporan yang
menunjukkan kemajuan di bidang tersebut.

Setelah semua data metrik dikumpulkan, harus disajikan dalam format yang mudah dipahami
pembaca. Kombinasi grafik dan teks penting untuk menggambarkan konteks dan tren kinerja.
Laporan harus menekankan kemajuan di area yang dipilih untuk pengukuran. Ini adalah poin kunci
yang menunjukkan hasil jangka pendek dalam proses pengukuran jangka panjang. Area perbaikan
harus ditekankan untuk menunjukkan bahwa proses tersebut berhasil.

Ketika manajemen telah menerima konsep metrik, sekarang saatnya untuk mulai menerapkan
beberapa pengukuran di area kritis. Selama langkah proses pengukuran ini, penting untuk peka
terhadap resistansi perubahan. Penerapan metrik menyebabkan ketidaknyamanan dan ketakutan di
jajaran.
Aturan yang paling penting untuk diingat dalam desain dan implementasi metrik adalah bahwa
dalam semua kasus, area yang akan diukur harus membantu dalam pengembangan metrik. Ini akan
menciptakan rasa kepemilikan atas pengukuran dan akan mengurangi resistensi terhadap
penerapannya. Kelompok harus diinformasikan mengenai kebutuhan manajemen dan harus
diberdayakan untuk mengembangkan metrik untuk memenuhi kebutuhan tersebut. Hal ini akan
menghasilkan data yang lebih relevan dan peningkatan kualitas di area tersebut.

Aturan penting kedua yang harus diingat dalam desain dan implementasi metrik adalah sangat
penting bahwa ukuran diterapkan pada peristiwa dan proses, dan tidak pernah untuk individu. Jika
orang-orang mendapat gagasan bahwa kinerja mereka sedang diukur, mereka cenderung tidak akan
mematuhi proses metrik. Harus dinyatakan secara eksplisit bahwa hasil metrik tidak akan digunakan
untuk mengukur produktivitas atau efektivitas individu, tetapi proses yang digunakan oleh individu
untuk menciptakan produk atau layanan mereka.

Dengan mengingat kedua aturan ini, langkah selanjutnya adalah mengidentifikasi atribut ukuran
yang efektif. Ukuran yang efektif harus mampu melewati uji reliabilitas dan validitas. Reliabilitas
menentukan konsistensi suatu ukuran, dan validitas menentukan sejauh mana ia sebenarnya
mengukur apa yang dimaksudkan untuk diukur. Ukuran tersebut harus bermakna dan memberikan
data yang berguna bagi manajemen. Salah satu contoh untuk mengukur kinerja TI adalah melalui
penerapan balanced scorecard.

IT Balanced Scorecard

Karena penerapan sistem TI terus berkembang pesat dalam organisasi, pertanyaan seperti berikut ini
sering ditanyakan (dan dinilai) lebih sering daripada sebelumnya: Apakah rencana investasi TI kita
saat ini konsisten dengan sasaran dan sasaran strategis organisasi? Apakah aplikasi IT baru saja
dikembangkan dengan sukses? Apakah itu dilaksanakan secara efektif dan efisien? Apakah
departemen TI kita menambah nilai bagi organisasi? Haruskah layanan TI kami saat ini dialihkan ke
pihak ketiga?

Jenis pertanyaan ini tidak jarang, dan mendukung kebutuhan berkelanjutan yang dimiliki organisasi
untuk mengukur nilai TI dan mengevaluasi kinerjanya. Ini pada dasarnya adalah apa yang dilakukan
oleh IT Balanced Scorecard (IBS). IBS memberikan gambaran keseluruhan tentang kinerja TI yang
selaras dengan tujuan organisasi. Ini secara khusus mengukur dan mengevaluasi aktivitas terkait TI
(misalnya, proyek aplikasi TI, fungsi yang dilakukan oleh departemen TI, dll.) Dari berbagai
perspektif, seperti nilai bisnis yang dihasilkan TI, orientasi masa depan, efisiensi dan efektivitas
operasional, dan pengguna akhir kepuasan pelayanan. Perspektif ini kemudian diterjemahkan ke
dalam metrik yang sesuai yang sesuai dengan misi dan tujuan strategis organisasi. Hasil dari metrik
dinilai kecukupannya terhadap nilai target dan / atau inisiatif organisasi. Keempat perspektif, yang
dijelaskan selanjutnya, harus direvisi secara berkala untuk mengetahui kecukupannya oleh personel
manajemen.

Nilai Bisnis yang Dihasilkan oleh IT

Mengukur kinerja TI bergantung pada strategi dan tujuan organisasi. Namun, ini tergantung pada
nilai bisnis yang diberikan TI kepada organisasi. Secara umum, TI memberikan nilai melalui
pelaksanaan proyek yang sukses dan menjaga agar operasi tetap berjalan. Jika sebuah organisasi
mencari pengurangan biaya, itu mungkin mengukur biaya TI dan biaya fungsi bisnis sebelum dan
sesudah otomatisasi. Jika sebuah organisasi berfokus pada menumbuhkan pasar baru, itu mungkin
mengukur waktu untuk memasarkan produk baru. TI menambah nilai bagi organisasi melalui proyek
dan penyampaian layanan.
Proyek TI memberikan nilai bisnis dengan mengotomatiskan proses bisnis. Karena proyek-proyek ini
diaktifkan oleh teknologi, TI menambah nilai bagi organisasi. Mengukur jumlah manfaat yang
diberikan dari proyek-proyek ini adalah salah satu cara untuk merepresentasikan nilai TI.
Mengotomatiskan proses bisnis biasanya menghasilkan biaya TI yang lebih tinggi dan biaya bisnis
yang lebih rendah (atau pendapatan yang lebih tinggi). Kasus bisnis proyek pengembangan aplikasi
asli membuat asumsi tertentu tentang biaya dan manfaat aplikasi baru. Meskipun kasus bisnis
proyek akan divalidasi sebagai bagian dari tinjauan pasca implementasi, penting untuk terus
mengukur biaya yang sedang berlangsung dari waktu ke waktu. Mungkin ada persepsi bahwa biaya
TI meningkat tanpa pengakuan bahwa biaya bisnis harus turun atau pendapatan tumbuh dengan
margin yang lebih besar. Penting untuk menyimpan informasi ini di depan Dewan dan manajemen
senior sebagai pengingat akan nilai TI. Mewujudkan nilai yang dijanjikan adalah tanggung jawab TI
dan fungsi bisnis. Melaporkan hasil aktual meminta pertanggungjawaban kedua belah pihak atas
hasil yang diharapkan. Ukuran nilai lainnya adalah seberapa cepat organisasi dapat merespon
peluang bisnis baru. Jika TI telah berhasil mengimplementasikan infrastruktur, aplikasi, dan proses
yang fleksibel, TI akan mampu merespons kebutuhan bisnis.

Layanan TI memberikan nilai dengan tersedia untuk organisasi sesuai kebutuhan. Organisasi sangat
bergantung pada sistem otomatis untuk berfungsi sehari-hari. Kegagalan sistem ini mengakibatkan
hilangnya pendapatan atau peningkatan biaya bagi organisasi. Perspektif yang lebih positif adalah
jumlah pendapatan atau produktivitas yang dihasilkan oleh sistem ini. Sebagai bagian dari proses
perencanaan strategis dan operasional, organisasi harus memutuskan tingkat layanan yang
dibutuhkan TI. Tingkat layanan akan bergantung pada jenis organisasi, portofolio aplikasi, layanan
yang disediakan oleh TI, dan tujuan organisasi. Rumah lelang online yang bergantung pada
ketersediaan layanan 24/7 untuk keberadaannya akan memiliki kebutuhan yang berbeda dari toko
kelontong batu bata dan mortir.

Metrik untuk mengukur nilai bisnis dapat membahas fungsi departemen TI, nilai yang dihasilkan oleh
proyek TI, manajemen investasi TI, dan penjualan yang dilakukan kepada pihak luar atau pihak
ketiga. Metrik ini mungkin termasuk: persentase sumber daya yang dikhususkan untuk proyek
strategis; hubungan yang dirasakan antara manajemen TI dan manajemen tingkat senior;
perhitungan metode evaluasi keuangan tradisional, seperti laba atas investasi (ROI) dan periode
pembayaran kembali; biaya aktual versus yang dianggarkan; persentase di atas / di bawah anggaran
TI keseluruhan; dan pendapatan dari layanan dan / atau produk terkait TI; diantara yang lain.

Orientasi Masa Depan

Orientasi masa depan berkaitan dengan memposisikan TI untuk masa depan dengan berfokus pada
tujuan berikut: (1) melatih dan mendidik personel TI untuk tantangan TI masa depan; (2)
meningkatkan kemampuan layanan; (3) efektivitas manajemen kepegawaian; (4) meningkatkan
arsitektur perusahaan; dan (5) meneliti teknologi yang muncul dan nilai potensinya bagi organisasi.

Contoh misi untuk perspektif ini adalah memberikan peningkatan berkelanjutan dan mempersiapkan
tantangan masa depan. Metrik sampel dalam perspektif ini akan membahas hal-hal berikut:

◾ Terus meningkatkan keterampilan TI melalui pendidikan, pelatihan, dan pengembangan. ◾

Menyampaikan proyek internal yang konsisten dengan rencana.

◾ Metrik kepegawaian berdasarkan fungsi (misalnya, menggunakan rasio pemanfaatan / yang dapat
ditagih, perputaran sukarela berdasarkan tingkat kinerja, dll.).
◾ Mengembangkan dan menyetujui rencana arsitektur perusahaan, dan kepatuhan pada
standarnya.

◾ Melakukan penelitian yang relevan tentang teknologi yang baru muncul dan kesesuaiannya untuk
organisasi.

Efisiensi dan Efektivitas Operasional

Perspektif efisiensi dan efektivitas operasional berfokus pada proses internal yang ada untuk
memberikan produk dan layanan TI secara efisien dan efektif. Operasi internal dapat dinilai dengan
mengukur dan mengevaluasi proses TI di berbagai bidang, seperti kualitas, daya tanggap, keamanan,
dan keselamatan, antara lain. Proses lain yang harus dipertimbangkan dapat mencakup pasokan dan
dukungan perangkat keras dan perangkat lunak, manajemen masalah, manajemen personel TI, dan
efektivitas dan efisiensi saluran komunikasi saat ini.

Pengukuran efisiensi operasional dan perspektif efektivitas dapat menghasilkan data yang berguna
tentang produktivitas berbagai proses internal serta sumber daya. Metrik di sini dapat menghasilkan
informasi produktivitas tentang kinerja teknologi dan personel tertentu.

Kepuasan Layanan Pengguna Akhir

Kepuasan pengguna akhir harus memainkan peran penting dalam evaluasi keseluruhan dari
departemen atau fungsi TI. Pengguna akhir, untuk tujuan TI, mungkin personel internal atau
eksternal (misalnya, pengguna yang mengakses sistem atau layanan TI antar-organisasi, dll.). Dari
perspektif pengguna akhir, nilai TI akan didasarkan pada apakah pekerjaan mereka diselesaikan
tepat waktu dan akurat. Misalnya, manajer mengandalkan laporan yang dihasilkan TI untuk
membuat keputusan penting terkait dengan organisasi mereka. Laporan ini tidak hanya harus dibuat
tepat waktu tetapi juga harus akurat dan melibatkan informasi yang relevan bagi mereka untuk
membuat keputusan bisnis yang terinformasi dengan baik dan diperlukan.

Misi untuk perspektif ini adalah memberikan produk dan layanan yang bernilai tambah kepada
pengguna akhir. Tujuan terkait akan mencakup mempertahankan tingkat kepuasan pelanggan yang
dapat diterima, kemitraan antara TI dan bisnis, kinerja pengembangan aplikasi, dan kinerja tingkat
layanan. Metrik yang digunakan untuk mengukur tujuan yang disebutkan di atas harus berfokus
pada tiga bidang:

◾ menjadi pemasok pilihan untuk aplikasi dan operasi

◾ membangun dan memelihara hubungan dengan komunitas pengguna

◾ memenuhi kebutuhan pengguna akhir

Personel TI perlu membangun dan memelihara hubungan positif dengan komunitas pengguna untuk
memahami dan mengantisipasi kebutuhan mereka. Hubungan seperti itu sangat penting untuk
membangun dan / atau meningkatkan kredibilitas departemen TI di antara pengguna akhir.

Langkah-langkah dalam Membangun IT Balanced Scorecard

Memiliki pemahaman tentang strategi tingkat perusahaan dan TI, serta tujuan spesifik yang terkait
dengan setiap jenis strategi, sangat penting sebelum mengembangkan IBS. Langkah-langkah berikut
direkomendasikan saat membangun IBS khusus perusahaan:

1. Memiliki manajemen senior dan manajemen TI sejak awal; buat mereka sadar dengan konsep IBS.
2. Mengkoordinasikan pengumpulan dan analisis data yang berkaitan dengan:

◾ strategi dan tujuan perusahaan (misalnya, strategi bisnis, strategi TI, misi perusahaan, tujuan
spesifik perusahaan, dll.);

◾ Metrik dan metode evaluasi bisnis tradisional (mis., ROI, periode pengembalian modal, dll.) Yang
saat ini diterapkan untuk pengukuran kinerja TI; dan

◾ metrik potensial yang berlaku untuk empat perspektif IBS.

3. Tentukan tujuan dan sasaran spesifik perusahaan dari departemen TI atau area fungsional dari
masing-masing dari empat perspektif.

4. Kembangkan IBS pendahuluan berdasarkan tujuan dan sasaran yang ditetapkan organisasi dan
data yang diuraikan pada langkah sebelumnya.

5. Meminta revisi, komentar, dan umpan balik dari manajemen setelah merevisi IBS.

6. Siapkan IBS secara resmi dan siap digunakan oleh organisasi.

7. Mengkomunikasikan proses pengembangan IBS dan dasar pemikirannya kepada semua pemangku
kepentingan.

IBS memberikan nilai bagi bisnis ketika membahas proses manajemen TI, termasuk, penetapan
tujuan TI individu dan tim, penilaian kinerja dan penghargaan untuk personel TI, alokasi sumber
daya, dan pembelajaran berbasis umpan balik, antara lain. Memiliki kerangka kerja sistematis seperti
IBS yang didasarkan pada tujuan dan ukuran yang telah disepakati sebelumnya kemungkinan akan
menguntungkan manajemen baik orang dan proyek TI.

Semua metrik yang disertakan dalam IBS harus dapat diukur, mudah dipahami, dan yang datanya
dapat dikumpulkan dan dianalisis dengan cara yang hemat biaya. Contoh IBS diilustrasikan dalam
Tampilan 5.1.
Mengukur dan menilai aktivitas TI dari berbagai sudut pandang atau perspektif, katakanlah melalui
IBS misalnya, membantu dalam mengevaluasi efisiensi, efektivitas, dan potensi aktivitas tersebut.
Scorecard memungkinkan manajer untuk menilai dampak sistem TI, aplikasi, dan aktivitas pada
faktor-faktor yang dianggap penting bagi organisasi.

Kepatuhan Peraturan dan Pengendalian Internal

Salah satu proses utama yang perlu dikelola organisasi adalah kepatuhan terhadap hukum dan
peraturan. Banyaknya undang-undang dan peraturan yang berlaku untuk organisasi global bisa
sangat banyak (lihat Bab 2). Diperlukan tim yang berdedikasi untuk menyaring semua persyaratan
regulasi keuangan, keamanan, privasi, dan khusus industri untuk menentukan dampaknya pada
proses dan sistem informasi. Untungnya, banyak persyaratan TI yang puas dengan penerapan
kontrol yang diuraikan dalam COBIT.

Ada alat yang dapat membantu organisasi mengidentifikasi hukum dan peraturan dan melacak
proses kontrol yang diterapkan untuk mengatasinya. * Ada juga alat yang dapat membantu dengan
kontrol pemetaan untuk persyaratan peraturan (misalnya, SOX 2002 dll.). Alat-alat ini memberikan
informasi penting bagi auditor, regulator, dan kelompok pengguna untuk menentukan di mana
pengendalian efektif untuk pengujian, dan celah mana yang perlu diisi. TI harus bekerja sama dengan
petugas kepatuhan organisasi untuk memastikan bahwa ia mengetahui persyaratan baru dan
melaporkan penyelesaian persyaratan yang ada.

Seperti disebutkan sebelumnya, implementasi SOX menciptakan kesadaran dan fokus yang lebih
besar pada kontrol TI. Meskipun ada beberapa perdebatan tentang nilai SOX bagi perusahaan, tidak
diragukan lagi bahwa SOX telah meningkatkan investasi dalam pengendalian umum TI dan
pengendalian aplikasi di banyak organisasi. Kepatuhan SOX telah memaksa banyak organisasi untuk
meninjau aplikasi yang ada yang memproses transaksi keuangan dengan tujuan untuk mengontrol
proses ini. Profesional bisnis dan TI sekarang perlu bekerja sama dalam mengembangkan
persyaratan kontrol yang dapat dimasukkan ke dalam pengembangan aplikasi. Memiliki lebih banyak
kontrol TI yang diterapkan dalam sistem aplikasi berarti lebih banyak peluang bagi auditor TI untuk
melakukan pekerjaan penilaian kontrol!

Kasus seperti di atas telah mendorong organisasi untuk meninjau dan merevisi rencana permainan
atau strategi TI mereka yang ada sehingga mereka tidak hanya mematuhi badan pengatur seperti
SOX tetapi juga memenuhi persyaratan lingkungan bisnis mereka yang terus berubah.

Strategi TI

TI telah menjadi unsur penting dalam strategi bisnis sebagai pendorong dan peningkat tujuan dan
sasaran organisasi. Organisasi harus diposisikan untuk mengambil keuntungan terbaik dari peluang
yang muncul sambil juga menanggapi persyaratan global abad kedua puluh satu.

Strategi adalah langkah pertama yang penting untuk memenuhi lingkungan bisnis yang menantang
dan berubah. Strategi adalah visi formal untuk memandu perolehan, alokasi, dan pengelolaan
sumber daya untuk memenuhi tujuan organisasi. Strategi TI, misalnya, harus dikembangkan dengan
keterlibatan pengguna bisnis untuk mengatasi arah teknologi di masa depan. Strategi TI atau
rencana strategis TI secara formal memandu perolehan, alokasi, dan pengelolaan sumber daya TI
yang konsisten dengan tujuan dan sasaran organisasi. Ini harus menjadi bagian dari strategi
perusahaan secara keseluruhan untuk TI dan harus sejalan dengan strategi bisnis yang didukungnya.
Strategi teknologi harus sejalan dengan strategi bisnis untuk memastikan bahwa sumber daya tidak
terbuang percuma pada proyek atau proses yang tidak berkontribusi untuk mencapai tujuan
organisasi secara keseluruhan. Penyelarasan ini harus terjadi di semua tingkat proses perencanaan
untuk memberikan jaminan lanjutan bahwa rencana operasional terus mendukung bisnis tujuan.
Mendukung strategi, standar arsitektur, dan perencanaan teknologi memastikan bahwa investasi
dalam TI mengarah pada pemeliharaan yang efisien dan lingkungan yang aman.

Tata kelola TI (dibahas di awal bab) memberikan struktur dan arah untuk mencapai keselarasan
antara strategi TI dengan strategi bisnis. Penyelarasan strategi TI dengan strategi bisnis sangat
penting untuk keberhasilan kemitraan yang berfungsi dengan baik.

Strategi paling efektif akan ditentukan oleh kombinasi lingkungan, budaya, dan teknologi yang
digunakan oleh suatu organisasi. Manajemen TI melibatkan penggabungan teknologi, orang, dan
proses untuk memberikan solusi bagi masalah organisasi. TI harus memimpin dalam mengumpulkan
informasi untuk menggabungkan kebutuhan organisasi dengan kelayakan teknologi untuk membuat
strategi keseluruhan.

Rencana strategis TI memberikan peta jalan untuk rencana operasi dan kerangka kerja untuk
mengevaluasi investasi teknologi. Strategi TI mendukung strategi bisnis untuk memastikan bahwa
sumber daya teknologi diterapkan untuk memenuhi tujuan bisnis sambil meminimalkan biaya
dukungan yang berkelanjutan. Tugas ini terdengar cukup sederhana, tetapi menurut laporan Gartner
Group, "95% perusahaan tidak memiliki strategi bisnis yang terdefinisi dengan baik." Dalam banyak
kasus, strategi bisnis harus diasumsikan berdasarkan percakapan dengan para eksekutif bisnis.
Langkah pertama dalam mendefinisikan rencana strategis TI adalah memahami tujuan bisnis, baik
tersurat maupun tersirat. Tujuan ini memandu manajemen dalam mengevaluasi investasi, menilai
risiko, dan menerapkan pengendalian.
Jadi, mengapa TI harus memiliki rencana strategis jika organisasi tidak memilikinya? Risiko utama
tidak memiliki rencana strategis TI adalah meningkatnya biaya teknologi. Jika tidak ada peta jalan,
organisasi berisiko berinvestasi dalam teknologi yang meningkatkan biaya tetapi tidak menambah
nilai bisnis. Menurut IT Governance Institute, menyelaraskan investasi TI dengan strategi bisnis
adalah masalah terbesar yang dihadapi organisasi.

Karena TI ada untuk mendukung dan memungkinkan bisnis, tanggung jawab akhir untuk
menetapkan dan menerapkan strategi TI harus berada pada manajemen senior organisasi. Namun,
para pemimpin bisnis membutuhkan manajemen TI untuk memimpin dalam mengidentifikasi cara TI
dapat mendukung transformasi organisasi untuk memenuhi tujuan jangka panjangnya. Kemitraan
bisnis dan TI yang kuat dalam proses perencanaan strategis memberikan landasan terbaik untuk
sukses. Satu Cara untuk mencapai keselarasan adalah dengan melibatkan para pemimpin bisnis
dalam pengembangan strategi TI dengan membentuk Komite Pengarah TI.

Komite Pengarah TI

Komite Pengarah TI terdiri dari pengambil keputusan dari berbagai daerah pemilihan dalam
organisasi untuk menyelesaikan prioritas yang saling bertentangan. Bahkan ketika tujuan bisnis
dinyatakan dengan jelas, konflik akan muncul dengan interpretasi tindakan yang diperlukan untuk
memenuhi tujuan tersebut. Komite Pengarah TI bertanggung jawab untuk menentukan strategi
investasi TI secara keseluruhan, memastikan bahwa investasi TI selaras dengan prioritas bisnis dan
bahwa TI dan sumber daya bisnis tersedia untuk memungkinkan TI memenuhi harapannya.

Komite Pengarah TI dapat membantu memastikan integrasi bisnis dan rencana strategis TI. Komite
ini memfasilitasi integrasi strategi bisnis dan teknologi, rencana, dan operasi dengan menggunakan
prinsip kepemilikan bersama, kerja tim, akuntabilitas, dan pemahaman proyek-proyek besar. Komite
harus terdiri dari anggota manajemen senior dan CIO. CIO, menurut Gartner, "mengawasi orang,
proses, dan teknologi dalam organisasi TI perusahaan untuk memastikan mereka memberikan hasil
yang mendukung tujuan bisnis." * Dengan kata lain, CIO adalah kunci ketika mengidentifikasi inisiatif
strategis, teknis, dan manajemen penting yang dapat diterapkan untuk mengurangi risiko dan
ancaman, serta mendorong pertumbuhan bisnis. Fungsi penting dari peran CIO, seperti yang
dijelaskan oleh Society for Human Resource Management, † meliputi:

1. Membuat, memelihara, dan menerapkan kebijakan dan prosedur tertulis mengenai semua operasi
komputer di Sistem Informasi Manajemen atau Departemen TI dan di seluruh organisasi.

2. Mengkomunikasikan kebijakan dan prosedur sistem informasi baru atau yang direvisi secara
formal kepada semua pengguna dalam organisasi.

3. Meninjau dan menilai produktivitas departemen, termasuk kualitas output dan biaya layanan.
Menerapkan metode dan prosedur untuk terus meningkatkan hasil.

4. Gunakan fungsi yang diperlukan untuk mengelola personel departemen.

5. Mengembangkan anggaran tahunan departemen, memisahkan per kegiatan / personel, dan

mengelola dana sesuai dengan persetujuan anggaran.

6. Menjaga keamanan semua data milik organisasi, dan menyediakan cadangan lengkap dari semua
sistem komputer jika terjadi kegagalan sistem atau bencana.

7. Mengadaan, memasang, dan memelihara semua peralatan komputer (perangkat keras dan lunak)
dan semua produk dan persediaan lain yang diperlukan untuk menjaga sistem komputer tetap
beroperasi dan untuk memenuhi permintaan manajemen untuk dukungan komputer.
8. Bertindak sebagai penghubung antara pemasok perangkat keras / perangkat lunak dan
manajemen organisasi untuk pembaruan informasi dan penyelesaian masalah.

9. Menyediakan layanan komputer berkualitas tinggi dan selalu tersedia bagi karyawan, mendukung
pelatihan dan pemeliharaan semua sistem komputer yang digunakan di seluruh organisasi.

10. Menilai peralatan, perangkat lunak, dan proses baru secara terus menerus, merekomendasikan
perubahan yang sesuai dan mengawasi pemasangannya.

Sebagai bagian dari IT Steering Committee, CIO mengawasi strategi IT dan sistem komputer yang
diperlukan untuk mendukung tujuan dan sasaran organisasi. Komite Pengarah TI membantu
memastikan integrasi tujuan dan sasaran bisnis dengan strategi TI. Untuk mencapai hal ini, tugas
Komite Pengarah TI dapat melibatkan:

◾ Meninjau strategi dan rencana bisnis dan teknologi.

◾ Memprioritaskan proyek pembangunan besar.

◾ Mengembangkan strategi komunikasi.

◾ Meninjau rencana pengembangan dan implementasi untuk semua proyek besar. ◾ Memberikan
keputusan bisnis tentang masalah desain utama untuk semua proyek besar.

◾ Status pemantauan, jadwal, dan pencapaian untuk semua proyek besar. ◾ Meninjau dan
menyetujui permintaan perubahan besar untuk semua proyek besar.

◾ Meninjau anggaran proyek dan ROI.

◾ Menyelesaikan konflik antara kelompok bisnis dan teknologi. ◾ Memantau keuntungan bisnis
selama dan setelah implementasi proyek-proyek besar.

Setelah strategi TI ditetapkan oleh Komite Pengarah TI, strategi tersebut harus dikomunikasikan ke
semua tingkat manajemen dan pengguna untuk memastikan keselarasan dan mengurangi konflik.

Komunikasi

Komunikasi yang efektif sangat penting untuk mengoordinasikan upaya sumber daya internal dan
eksternal untuk mencapai tujuan organisasi. Komunikasi harus terjadi di berbagai tingkatan, dimulai
dengan mengadakan rapat staf mingguan internal. Ini harus mencakup karyawan di dalam
departemen. Komunikasi juga harus dilakukan melalui rapat balai kota, yang biasanya dihadiri oleh
(dan ditujukan kepada) semua karyawan dalam organisasi. Komunikasi antara TI dan organisasi,
terutama hal-hal seperti strategi TI, tujuan, dll., Harus tepat waktu dan konsisten. Komunikasi juga
harus mencakup semua mitra bisnis (eksternal) dan pelanggan yang terkait dengan organisasi.

Setelah menyelesaikan proses perencanaan strategis, tujuan bisnis dan TI harus diterjemahkan
menjadi tujuan yang dapat ditindaklanjuti untuk tahun mendatang. Ini dilakukan melalui proses yang
disebut perencanaan operasional.

Perencanaan Operasional

Setelah ada pemahaman tentang tujuan organisasi dan strategi TI, strategi tersebut perlu
diterjemahkan ke dalam rencana operasi (juga disebut operasionalisasi). Proses perencanaan operasi
tahunan mencakup penetapan prioritas utama untuk keseluruhan fungsi TI serta untuk masing-
masing departemen TI, termasuk mengembangkan anggaran tahunan mereka, membuat rencana
sumber daya dan kapasitas, dan mempersiapkan rencana kinerja individu untuk semua staf TI.
Rencana operasi juga akan mengidentifikasi dan menjadwalkan proyek TI yang akan dimulai dan
tingkat layanan TI yang diharapkan. Penyampaian rencana ini harus dikendalikan oleh serangkaian
proses tata kelola. Proses tata kelola ini, yang tercantum dalam Tampilan 5.2, diperlukan untuk
memastikan penggunaan sumber daya dan pengiriman proyek TI secara efektif, serta keselarasan
yang tepat dengan tujuan bisnis. Ini termasuk proses untuk: mengelola permintaan proyek, memulai
proyek, melakukan tinjauan teknis, mendapatkan produk dan mengelola vendor, dan mengendalikan
investasi keuangan. Proses ini dijelaskan selanjutnya.

Pengelolaan permintaan

Proyek perlu ditinjau pada awal siklus hidupnya untuk memastikan mereka memiliki kasus bisnis
yang kuat, serta dukungan manajemen senior. Meneliti solusi teknologi membutuhkan waktu dan
menghabiskan sumber daya yang dapat digunakan untuk memberikan nilai bisnis. Proses
manajemen permintaan dapat membantu memastikan bahwa sumber daya dikhususkan untuk
proyek yang memiliki kasus bisnis yang kuat dan juga disetujui oleh manajemen senior. Proses
manajemen permintaan membantu memastikan bahwa manajemen senior ikut serta, dan telah
memberikan persetujuan konseptual kepada proyek untuk melanjutkan melalui definisi persyaratan
awal dan fase desain konseptual dari siklus hidup pengembangan. Semua proyek harus memiliki
sponsor yang sesuai dari manajemen senior sebelum mengevaluasi biaya penerapan solusi. Ini
sangat disarankan untuk menghindari usaha yang sia-sia pada proyek yang tidak akan disetujui.

Proses manajemen permintaan memastikan bahwa proyek memiliki justifikasi bisnis, sponsor bisnis
dan TI, dan pendekatan yang konsisten untuk menyetujui proyek. Proses manajemen permintaan
juga memastikan penyelarasan kelompok aplikasi dan infrastruktur; bahwa semua biaya proyek
diidentifikasi untuk meningkatkan pengambilan keputusan; bahwa ada cara untuk “menyingkirkan”
proyek yang tidak penting; dan itu berarti diidentifikasi untuk mengontrol kapasitas dan pengeluaran
TI.

Inisiasi Proyek

Setelah proyek dengan kasus bisnis yang kuat disetujui, proyek tersebut harus menjalani proses
inisiasi yang menentukan total biaya dan manfaatnya. Ini adalah biasanya dilakukan dengan
mendefinisikan persyaratan bisnis tingkat tinggi dan solusi konseptual. Membangun perkiraan
proyek membutuhkan waktu dan sumber daya. Butuh waktu dari pengguna bisnis untuk
mengembangkan persyaratan dan kasus bisnis. Pengembang perangkat lunak juga membutuhkan
waktu untuk mengembangkan solusi dan perkiraan biaya. Setelah proyek mendapat persetujuan
konseptual, pengguna bisnis dan pemrogram perangkat lunak dapat bekerja sama untuk
mengembangkan persyaratan rinci dan perkiraan proyek yang akan digunakan dalam kasus bisnis
akhir dan menjadi dasar anggaran proyek.

Ulasan teknis

Solusi teknis perlu dievaluasi sebelum bergerak maju untuk memastikan kepatuhan dengan standar
teknologi. Proses tinjauan teknis membantu memastikan bahwa solusi yang tepat dipilih, yang
terintegrasi secara efektif dengan komponen teknologi lainnya (misalnya, jaringan, dll.), Dan dapat
didukung dengan investasi minimal dalam infrastruktur. Salah satu cara untuk mengontrol solusi
teknologi adalah dengan menerapkan Komite Pengarah Teknis (jangan disamakan dengan Komite
Pengarah TI) dengan perwakilan dari berbagai disiplin ilmu teknis dan arsitek perusahaan. Komite
Pengarah Teknis menyediakan mekanisme kontrol untuk mengevaluasi dan menyetujui solusi
teknologi baru. Proses evaluasi solusi teknologi formal mencakup penilaian:

◾ Kelayakan teknis

◾ Teknologi alternatif

◾ Arsitektur

◾ Kompatibilitas keterampilan in-house

◾ Lingkungan / penggantian yang ada

◾ Pelaksanaan, perizinan, dan pertimbangan biaya

◾ Pandangan peneliti dan analis

◾ Profil perusahaan vendor dan kelayakan finansial

Pengadaan dan Manajemen Vendor

Proses dan prosedur harus ada untuk menentukan bagaimana pengadaan sumber daya TI, termasuk
orang, perangkat keras, perangkat lunak, dan layanan lainnya akan dilakukan. Pengadaan TI
melibatkan tugas-tugas strategis dan administratif, seperti menentukan persyaratan dan spesifikasi;
melakukan layanan TI aktual atau akuisisi sumber daya (hanya setelah menilai dan memilih vendor
yang sesuai); dan memenuhi persyaratan kontrak. Pemilihan vendor biasanya melibatkan evaluasi
tiga hingga lima vendor. Komite Pengarah TI secara teratur mengevaluasi vendor dan pemasok TI
dan membuat keputusan akhir tentang vendor atau pemasok mana yang akan bergabung.

Manajemen keuangan

Dalam proses tata kelola manajemen keuangan, potensi investasi, jasa, dan portofolio aset
dievaluasi sehingga dimasukkan ke dalam analisis biaya / manfaat dan akhirnya dalam anggaran.
Penganggaran TI, misalnya, mempertimbangkan produk, sumber daya, dan layanan TI yang ada
untuk membantu perencanaan operasi TI. Penganggaran adalah alat perencanaan strategis
(biasanya dinyatakan dalam istilah kuantitatif) yang membantu dalam pemantauan kegiatan dan
peristiwa tertentu. Penganggaran juga memberikan prakiraan dan proyeksi pendapatan dan
pengeluaran yang digunakan secara strategis untuk mengukur aktivitas dan peristiwa keuangan.
Anggaran berguna bagi manajemen ketika menentukan apakah pendapatan / kegiatan biaya
tertentu sedang dikendalikan (yaitu, pendapatan lebih tinggi dari perkiraan anggaran atau biaya
lebih rendah dari perkiraan jumlah anggaran). Anggaran mengarahkan bagaimana organisasi dapat
berkinerja secara finansial, operasional, dll. Jika strategi dan / atau peristiwa tertentu terjadi.

Kesimpulan

Tata kelola TI menetapkan dasar fundamental untuk mengelola TI untuk memberikan nilai bagi
organisasi. Tata kelola yang efektif menyelaraskan TI dengan organisasi dan menetapkan kontrol
untuk mengukur pemenuhan tujuan ini. Tiga kerangka kerja terkait TI yang efektif dan praktik terbaik
yang biasa digunakan oleh organisasi adalah ITIL, COBIT, dan ISO / IEC 27002. Ketiga kerangka kerja
ini memberi organisasi nilai dan sarana untuk mengatasi berbagai sudut dalam arena TI.
Mewujudkan nilai TI membutuhkan kemitraan antara manajemen dan TI. Kemitraan ini harus
mencakup pengelolaan risiko perusahaan, serta menetapkan penilaian kinerja pengukuran yang
konsisten dengan strategi dan tujuan yang ada. Ukuran kinerja ini harus disesuaikan dengan tujuan
organisasi, menghasilkan data yang akurat dan tepat waktu, dan kebutuhan laporan dalam format
yang mudah dimengerti.

Contoh alat umum untuk mengukur kinerja TI adalah IBS. IBS memberikan gambaran keseluruhan
tentang kinerja TI yang selaras dengan tujuan organisasi. Ini secara khusus mengukur dan
mengevaluasi aktivitas terkait TI, seperti proyek dan fungsi TI yang dilakukan oleh departemen TI
dari perspektif seperti nilai bisnis yang dihasilkan TI, orientasi masa depan, efisiensi dan efektivitas
operasional, dan kepuasan layanan pengguna akhir.

Menetapkan kontrol yang efektif dalam TI dan memastikan kepatuhan terhadap peraturan juga
merupakan upaya bersama. Teknologi yang terkontrol dengan baik adalah hasil dari organisasi yang
menganggap pengendalian sebagai prioritas. Organisasi perlu menyertakan kontrol dalam
persyaratan sistem untuk mewujudkannya. Auditor internal dan eksternal dapat menambah nilai
yang luar biasa bagi organisasi dengan memberikan jaminan independen bahwa kontrol berfungsi
sebagaimana mestinya. Dengan penerapan SOX, pengetahuan dan keterampilan auditor merupakan
sumber daya yang berharga bagi organisasi mana pun. Auditor TI dapat membantu organisasi dalam
mendokumentasikan dan mengevaluasi struktur pengendalian internal untuk mematuhi SOX atau
model tata kelola lainnya.

Strategi adalah langkah pertama yang penting untuk memenuhi lingkungan bisnis yang menantang
dan berubah. Rencana strategis TI adalah visi formal untuk memandu dalam akuisisi, alokasi, dan
pengelolaan sumber daya TI untuk memenuhi tujuan organisasi. Salah satu cara untuk mencapai
keselarasan adalah dengan melibatkan para pemimpin bisnis dalam pengembangan rencana
strategis TI melalui pembentukan Komite Pengarah TI. Komite membantu memastikan integrasi
bisnis dan rencana strategis TI.

Untuk memastikan penggunaan sumber daya dan pengiriman proyek TI yang efektif, serta
keselarasan yang tepat dengan tujuan bisnis, organisasi menerapkan proses tata kelola dalam
rencana operasi tahunan mereka. Proses ini membahas cara mengelola permintaan proyek, memulai
proyek, melakukan tinjauan teknis, mendapatkan produk dan mengelola vendor, dan mengendalikan
investasi keuangan.

MANAJEMEN RISIKO
Manajemen risiko

Salah urus risiko dapat menimbulkan biaya yang sangat besar. Dalam beberapa tahun terakhir, bisnis
telah mengalami banyak pembalikan terkait risiko yang mengakibatkan kerugian finansial yang
cukup besar, penurunan nilai pemegang saham, kerusakan pada reputasi organisasi, pemecatan
manajemen senior, dan, dalam beberapa kasus, pembubaran bisnis. Lingkungan yang semakin
berisiko ini mendorong manajemen untuk mengadopsi perspektif yang lebih proaktif tentang
manajemen risiko.

Manajemen risiko memastikan bahwa kerugian tidak menghalangi manajemen organisasi untuk
mencapai tujuannya dalam melestarikan aset dan mewujudkan nilai yang diharapkan dari investasi.
Publikasi Khusus (SP) National Institute of Standards and Technology (NIST) 800-30 * mendefinisikan
manajemen risiko sebagai proses mengidentifikasi dan menilai risiko, diikuti dengan menerapkan
prosedur yang diperlukan untuk mengurangi risiko tersebut ke tingkat yang dapat diterima.
Manajemen risiko memainkan peran penting dalam melindungi informasi organisasi dari ancaman
TI. Misalnya, manajemen risiko TI berfokus pada risiko yang dihasilkan dari sistem TI dengan
ancaman seperti penipuan, keputusan yang salah, kehilangan waktu produktif, ketidakakuratan data,
pengungkapan data yang tidak sah, dan hilangnya kepercayaan publik yang dapat membahayakan
organisasi. Proses manajemen risiko TI yang dirancang dengan baik sangat penting untuk
mengembangkan program keamanan yang berhasil untuk melindungi aset TI organisasi. Jika
digunakan secara efektif, metodologi manajemen risiko yang terstruktur dengan baik akan
membantu manajemen organisasi dalam mengidentifikasi kontrol yang memadai untuk mendukung
sistem TI mereka. Secara historis, manajemen risiko bahkan dalam bisnis yang paling sukses
cenderung berada dalam “silo” —siko asuransi, risiko teknologi, risiko keuangan, dan risiko
lingkungan — semua dikelola secara independen dalam kompartemen terpisah. Koordinasi
manajemen risiko biasanya tidak ada, dan identifikasi risiko yang muncul lambat. Kerangka Kerja
Manajemen Risiko Perusahaan (ERM) COSO mendefinisikan manajemen risiko perusahaan sebagai
berikut: Sebuah proses, yang dilakukan oleh dewan direksi entitas, manajemen dan personel lainnya,
diterapkan dalam pengaturan strategi dan di seluruh perusahaan, dirancang untuk mengidentifikasi
peristiwa potensial yang dapat mempengaruhi entitas, dan mengelola risiko agar sesuai dengan
selera risikonya, untuk memberikan jaminan yang wajar mengenai pencapaian tujuan entitas. †
Sekilas, ada banyak kesamaan antara ERM dan kelas risiko lainnya (misalnya, kredit, pasar, likuiditas,
risiko operasional, dll.) Serta alat dan teknik yang diterapkan padanya. Padahal, prinsip yang
diterapkan hampir sama. ERM harus mengidentifikasi, mengukur, memitigasi, dan memantau risiko.
Namun, pada tingkat yang lebih rinci, terdapat banyak perbedaan, mulai dari kelas risiko itu sendiri
hingga keterampilan yang dibutuhkan untuk menangani risiko operasional. ERM telah diterima
secara lebih luas sebagai alat untuk mengelola organisasi. Dalam survei yang dilakukan oleh Asosiasi
Internasional Manajer Risiko Profesional, lebih dari 90% responden percaya bahwa ERM adalah atau
akan menjadi bagian dari proses bisnis mereka.

Jika organisasi dapat mengembangkan program ERM yang sukses, langkah selanjutnya adalah
organisasi ini mengintegrasikan ERM dengan semua kelas risiko lainnya ke dalam kerangka kerja
manajemen risiko yang benar-benar di seluruh perusahaan. Manajer senior perlu mendorong
pengembangan sistem terintegrasi yang mengumpulkan risiko kredit, pasar, likuiditas, operasional,
dan risiko lain yang dihasilkan oleh unit bisnis dalam kerangka yang konsisten di seluruh organisasi.
Konsistensi mungkin menjadi kondisi yang diperlukan untuk persetujuan regulasi model manajemen
risiko internal. Lingkungan di mana setiap unit bisnis menghitung risikonya secara terpisah dengan
aturan yang berbeda tidak akan memberikan pengawasan yang berarti atas risiko seluruh
perusahaan. Kompleksitas produk yang semakin meningkat, keterkaitan antar pasar, dan potensi
manfaat yang ditawarkan oleh efek portofolio secara keseluruhan mendorong organisasi menuju
standarisasi dan integrasi manajemen risiko. Manajemen risiko memastikan bahwa kerugian tidak
menghalangi manajemen organisasi untuk mencapai tujuannya dalam melestarikan aset dan
mewujudkan nilai yang diharapkan dari investasi. Publikasi Khusus (SP) National Institute of
Standards and Technology (NIST) 800-30 * mendefinisikan manajemen risiko sebagai proses
mengidentifikasi dan menilai risiko, diikuti dengan menerapkan prosedur yang diperlukan untuk
mengurangi risiko tersebut ke tingkat yang dapat diterima. Manajemen risiko memainkan peran
penting dalam melindungi informasi organisasi dari ancaman TI. Misalnya, manajemen risiko TI
berfokus pada risiko yang dihasilkan dari sistem TI dengan ancaman seperti penipuan, keputusan
yang salah, kehilangan waktu produktif, ketidakakuratan data, pengungkapan data yang tidak sah,
dan hilangnya kepercayaan publik yang dapat membahayakan organisasi. Proses manajemen risiko
TI yang dirancang dengan baik sangat penting untuk mengembangkan program keamanan yang
berhasil untuk melindungi aset TI organisasi. Jika digunakan secara efektif, metodologi manajemen
risiko yang terstruktur dengan baik akan membantu manajemen organisasi dalam mengidentifikasi
kontrol yang memadai untuk mendukung sistem TI mereka.

Secara historis, manajemen risiko bahkan dalam bisnis yang paling sukses cenderung berada dalam
“silo” —siko asuransi, risiko teknologi, risiko keuangan, dan risiko lingkungan — semua dikelola
secara independen dalam kompartemen terpisah. Koordinasi manajemen risiko biasanya tidak ada,
dan identifikasi risiko yang muncul lambat.

Kerangka Kerja Manajemen Risiko Perusahaan (ERM) COSO mendefinisikan manajemen risiko
perusahaan sebagai berikut:

Suatu proses, yang dipengaruhi oleh dewan direksi entitas, manajemen dan personel lainnya, yang
diterapkan dalam pengaturan strategi dan di seluruh perusahaan, dirancang untuk mengidentifikasi
peristiwa potensial yang dapat memengaruhi entitas, dan mengelola risiko agar sesuai dengan selera
risikonya, untuk memberikan jaminan yang wajar mengenai pencapaian tujuan entitas. †

Sekilas, ada banyak kesamaan antara ERM dan kelas risiko lainnya (misalnya, kredit, pasar, likuiditas,
risiko operasional, dll.) Serta alat dan teknik yang diterapkan padanya. Padahal, prinsip yang
diterapkan hampir sama. ERM harus mengidentifikasi, mengukur, memitigasi, dan memantau risiko.
Namun, pada tingkat yang lebih rinci, terdapat banyak perbedaan, mulai dari kelas risiko itu sendiri
hingga keterampilan yang dibutuhkan untuk menangani risiko operasional.

ERM telah diterima secara lebih luas sebagai alat untuk mengelola organisasi. Dalam survei yang
dilakukan oleh Asosiasi Internasional Manajer Risiko Profesional, lebih dari 90% responden percaya
bahwa ERM adalah atau akan menjadi bagian dari proses bisnis mereka. Jika organisasi dapat
mengembangkan program ERM yang sukses, langkah selanjutnya adalah organisasi ini
mengintegrasikan ERM dengan semua kelas risiko lainnya ke dalam kerangka kerja manajemen risiko
yang benar-benar di seluruh perusahaan.

Manajer senior perlu mendorong pengembangan sistem terintegrasi yang mengumpulkan risiko
kredit, pasar, likuiditas, operasional, dan risiko lain yang dihasilkan oleh unit bisnis dalam kerangka
yang konsisten di seluruh organisasi. Konsistensi mungkin menjadi kondisi yang diperlukan untuk
persetujuan regulasi model manajemen risiko internal. Lingkungan di mana setiap unit bisnis
menghitung risikonya secara terpisah dengan aturan yang berbeda tidak akan memberikan
pengawasan yang berarti atas risiko seluruh perusahaan. Kompleksitas produk yang semakin
meningkat, keterkaitan antar pasar, dan potensi manfaat yang ditawarkan oleh efek portofolio
secara keseluruhan mendorong organisasi menuju standarisasi dan integrasi manajemen risiko.
Manajemen Risiko Perusahaan — Kerangka Terintegrasi

Pertahanan terkuat terhadap risiko dan kerugian operasional berada dan mengalir dari tingkat
tertinggi organisasi — Dewan dan manajemen senior. Dewan, tim manajemen yang mereka
pekerjakan, dan kebijakan yang mereka kembangkan, semuanya mengatur nada untuk sebuah
organisasi. Sebagai penjaga nilai pemegang saham, Dewan harus sangat peka terhadap reaksi pasar
terhadap berita negatif. Bahkan, mereka dapat dikecam oleh publik jika reaksinya cukup parah.
Sebagai perwakilan pemegang saham, anggota Dewan bertanggung jawab atas masalah kebijakan
yang terkait dengan tata kelola perusahaan, termasuk, namun tidak terbatas pada, menetapkan
panggung untuk kerangka kerja dan dasar ERM.

Pada tahun 2010, Komite Manajemen Risiko Basel mengeluarkan panduan terbaru tentang
pengelolaan risiko operasional yang lebih jauh menyoroti pentingnya manajemen risiko perusahaan.
Sementara itu, pemegang saham menyadari risiko operasional yang dapat bertambah hingga
miliaran dolar setiap tahun dan termasuk kerugian tingkat rendah yang sering terjadi dan juga
kerugian yang jarang terjadi tetapi bencana yang benar-benar menghapus bisnis. Regulator dan
pemegang saham telah memberi isyarat bahwa mereka akan meminta pertanggungjawaban Dewan
dan eksekutif untuk mengelola risiko operasional.

ERM — Kerangka Terpadu, yang dikembangkan oleh COSO, merupakan alat yang efektif bagi
manajemen senior dan Dewan untuk menetapkan tujuan dan strategi; mengidentifikasi,
mengevaluasi, dan mengelola area risiko; memilih dan menerapkan kontrol untuk mengurangi atau
menangani area risiko; dan memastikan bahwa perusahaan pada akhirnya mencapai tujuan dan
tujuannya.

Model ERM-Integrated Framework diilustrasikan dalam Exhibit 6.1. Empat kolom teratas adalah
tujuan yang biasanya ditetapkan oleh manajemen untuk mencapai tujuan perusahaan. Sisi kanan
model menunjukkan empat unit perusahaan yang dapat terdiri dari. Model tersebut juga
menunjukkan delapan komponen ERM yang saling terkait. Kedelapan komponen risiko dan kontrol
ini berlaku untuk masing-masing dari empat tujuan manajemen, serta unit perusahaan di sisi kanan
model.

ERM-Integrated Framework mengambil pendekatan berbasis risiko daripada pendekatan berbasis

kontrol ketika mengevaluasi pengendalian internal, seperti halnya dengan Kerangka Pengendalian
Internal-Terintegrasi SOX yang diadopsi secara luas dan dibutuhkan COSO ("kerangka IC").
Pendekatan berbasis risiko ERM dihasilkan dari penambahan empat elemen ke kerangka IC
sebelumnya: Penetapan Tujuan, Identifikasi Kejadian (atau Risiko), Penilaian Risiko, dan Respons
Risiko. Elemen tambahan pada kerangka IC ini membuat ERM — Kerangka Terpadu menjadi lebih
komprehensif untuk membantu perusahaan tidak hanya menetapkan tujuan dan mengevaluasi
risiko, tetapi juga mengidentifikasi dan menerapkan prosedur untuk mengendalikan risiko (yaitu,
menerima, menghindari, mendiversifikasi, berbagi, atau risiko transfer). Delapan komponen
kerangka kerja dijelaskan di bawah ini.

Lingkungan Internal

Lingkungan internal sebuah perusahaan adalah segalanya. Ini mengacu pada budayanya,
perilakunya, tindakannya, kebijakannya, prosedurnya, nadanya, hatinya. Lingkungan internal sangat
penting dalam menetapkan tujuan, strategi, dan sasaran perusahaan; menetapkan prosedur untuk
menilai atau memitigasi area bisnis risiko; dan mengidentifikasi dan menerapkan kontrol yang
memadai untuk menanggapi area risiko tersebut. Lingkungan internal yang kuat sering kali
mencegah perusahaan dari kegagalan dalam manajemen dan pengendalian risiko. Lingkungan
internal adalah basis dan infrastruktur untuk ketujuh komponen ERM lainnya, dan terdiri dari:

◾ Keyakinan, sikap, gaya operasi, dan selera risiko manajemen.

◾ Komitmen manajemen terhadap integritas, nilai-nilai etika, dan kompetensi.

◾ Pengawasan manajemen atas pengendalian internal dan struktur perusahaan.

◾ Metode pemberian wewenang dan tanggung jawab melalui penetapan kebijakan dan prosedur
formal yang konsisten dengan tujuan dan sasaran.

◾ Kebijakan, prosedur, dan praktik sumber daya manusia yang mengawasi kondisi kerja yang ada,
insentif pekerjaan, promosi, dan kemajuan karier.

◾ Terdapat prosedur untuk mematuhi persyaratan eksternal industri, serta peraturan perundang-
undangan, seperti yang diberlakukan oleh bank, perusahaan utilitas, perusahaan asuransi, SEC dan
PCAOB, antara lain.

Pengaturan Tujuan

Tujuan mengacu pada tujuan yang ingin dicapai perusahaan. Tujuan ditetapkan di berbagai tingkatan
dalam perusahaan. Artinya, perusahaan dapat menetapkan tujuan di tingkat atas / manajemen,
katakanlah untuk memandu arah atau strategi mereka (misalnya, menjadi penjual terbaik di pasar,
memperoleh bisnis terpisah, bergabung dengan pesaing, dll.); atau di tingkat yang lebih rendah,
seperti meningkatkan operasi yang ada (misalnya, mempekerjakan personel berkualitas,
meningkatkan proses saat ini, menerapkan kontrol untuk mengatasi risiko tambahan,
mempertahankan tingkat produksi tertentu, dll.). Perusahaan juga dapat menetapkan tujuan untuk
tujuan pelaporan dan kepatuhan. Tujuan seperti pelaporan ditetapkan, misalnya, untuk memastikan
keandalan, kelengkapan, dan keakuratan laporan (misalnya, laporan keuangan, dll.). Tujuan ini
dicapai melalui pengamanan yang memadai terhadap sistem aplikasi keuangan, serta melakukan
tinjauan manajemen yang tepat waktu dan menyeluruh, misalnya. Di sisi lain, tujuan kepatuhan
memastikan semua undang-undang khusus industri, lokal, negara bagian, dan federal yang berlaku
diikuti dan dipatuhi dengan benar. Kegagalan untuk mematuhi ini dapat mengakibatkan konsekuensi
yang serius, membuat perusahaan rentan terhadap tuntutan hukum, audit atas permintaan, dan
sanksi yang pada akhirnya dapat menyebabkan pembubaran.
4. Apa yang bisa dilakukan tentang itu? Solusi mungkin termasuk mengidentifikasi setidaknya satu
atau dua pemasok tambahan (di luar Karibia), dan / atau memiliki jumlah persediaan kayu yang lebih
tinggi. Ini akan membantu dalam mencegah atau mengurangi masalah yang baru saja diidentifikasi,
dan memastikan bahwa tingkat produksi minimum tetap konsisten dengan tujuan organisasi.

Kuncinya adalah mengidentifikasi peristiwa atau risiko potensial yang dapat berdampak signifikan
terhadap operasi bisnis dan pendapatan. Risiko diklasifikasikan sebagai inheren (ada sebelum
rencana dibuat untuk mengendalikannya) atau residual (risiko yang tersisa setelah dikendalikan),
dan dapat diidentifikasi melalui:

◾ Audit atau inspeksi oleh manajer, pekerja, atau pihak independen dari lokasi atau praktik
operasional perusahaan ◾ Diagram alir operasi atau proses operasi perusahaan

◾ Kuesioner analisis risiko di mana informasi dapat ditangkap tentang operasi perusahaan dan
aktivitas yang sedang berlangsung

◾ Analisis laporan keuangan untuk menggambarkan tren di bidang pendapatan dan biaya,
mengidentifikasi analisis eksposur aset

◾ Daftar periksa polis asuransi

Tugas beresiko

Mengingat ketergantungan yang meningkat pada TI dan sistem otomatis, penekanan khusus harus
ditempatkan dalam tinjauan dan analisis risiko di area ini. Fasilitas dan perangkat keras TI sering kali
disertakan dalam tinjauan pabrik dan properti perusahaan secara keseluruhan; namun, sistem
otomatis memerlukan analisis terpisah, terutama bila sistem ini adalah satu-satunya sumber
informasi penting bagi perusahaan seperti dalam lingkungan e-bisnis saat ini. Ada banyak risiko yang
memengaruhi lingkungan TI saat ini. Perusahaan menghadapi kerugian dari kejadian-kejadian
tradisional, seperti bencana alam, kecelakaan, perusakan, pencurian, dan juga dari kejadian serupa
yang berbentuk elektronik. Ini bisa diakibatkan oleh virus komputer, pencurian informasi atau data,
sabotase elektronik, dan sebagainya. Beberapa contoh sumber daya untuk membantu dalam
identifikasi dan evaluasi risiko terkait TI ini meliputi:

◾ NIST.gov. NIST telah menjadi pemimpin dalam menyediakan alat dan teknik untuk mendukung TI.
Ini memiliki sejumlah alat pendukung yang dapat digunakan oleh organisasi kecil hingga besar
swasta untuk tujuan penilaian risiko.

◾ GAO.gov. Kantor Akuntabilitas Pemerintah A.S. (GAO) telah menyediakan sejumlah sumber daya
audit, kontrol, dan keamanan serta identifikasi praktik terbaik dalam mengelola dan meninjau risiko
TI di banyak bidang.

◾ Pendekatan kerugian yang diharapkan. Suatu metode yang dikembangkan oleh IBM yang menilai
kemungkinan kerugian dan frekuensi kejadian untuk semua peristiwa yang tidak dapat diterima
untuk setiap sistem otomatis atau file data. Peristiwa yang tidak dapat diterima dikategorikan
sebagai: pengungkapan yang tidak disengaja atau disengaja; modifikasi yang tidak disengaja atau
disengaja; atau kehancuran yang tidak disengaja atau disengaja.

◾ Pendekatan penilaian. Mengidentifikasi dan menimbang berbagai karakteristik sistem TI.

Pendekatan tersebut menggunakan skor akhir untuk membandingkan dan memeringkat
kepentingannya.
Setelah diidentifikasi, risiko dinilai, yang berarti bahwa kemungkinan potensi kerugiannya dihitung
dan diberi peringkat. Risiko dinilai dari dua perspektif: Kemungkinan dan Dampak. Likelihood
mengacu pada kemungkinan bahwa peristiwa tersebut akan terjadi. Dampak, di sisi lain, adalah
perkiraan potensi kerugian jika peristiwa tertentu terjadi. Risiko dikategorikan sebagai berikut:

◾ Kritis — eksposur akan mengakibatkan kebangkrutan, misalnya.

◾ Penting — kemungkinan kerugian tidak akan menyebabkan kebangkrutan, tetapi mengharuskan

perusahaan untuk mengambil pinjaman untuk melanjutkan operasi.

◾ Tidak penting — eksposur yang dapat diakomodasi oleh aset yang ada atau pendapatan saat ini
tanpa menimbulkan tekanan keuangan yang tidak semestinya.

Menetapkan risiko yang teridentifikasi ke salah satu kategori di atas memberi mereka tingkat
signifikansi dan membantu menentukan cara yang tepat untuk menangani risiko tersebut. Penilaian
risiko dibahas lebih rinci di bagian selanjutnya.

Respon Resiko

Setelah menilai risiko, langkah selanjutnya adalah menyusun rencana tindakan dan menentukan
teknik yang berlaku untuk merespons risiko yang teridentifikasi. Biasanya, proses respons risiko
dimulai dengan perusahaan mengevaluasi risiko yang melekat, kemudian memilih teknik respons
yang sesuai, dan terakhir menilai risiko residual. Manajemen dapat bereaksi atau menanggapi risiko
yang teridentifikasi dengan salah satu dari empat cara berikut: Hindari, Cegah, Kurangi, atau
Transfer.

◾ Hindari atau hilangkan sama sekali risiko. Misalnya, fitur baru yang disertakan dalam rilis
perangkat lunak aplikasi berikutnya diperkirakan menurunkan kinerja aplikasi dengan
memperlambat beberapa pemrosesan penting. Untuk menghindari risiko tersebut, fitur perangkat
lunak dihilangkan dari rilis berikutnya.

◾ Mencegah risiko melalui penerapan kontrol TI, seperti (1) melakukan pemeriksaan validitas
setelah memasukkan data; (2) membersihkan drive disk dan menyimpan media magnet dan optik
dengan benar untuk mengurangi risiko kegagalan perangkat keras dan perangkat lunak; (3)
mengkonfigurasi kontrol keamanan pengaturan logis (yaitu, kata sandi) dalam sistem aplikasi.
◾ Kurangi risiko dengan mengambil tindakan mitigasi, seperti memiliki kontrol yang mendeteksi
kesalahan setelah data selesai. Contohnya termasuk menerapkan tinjauan akses pengguna,
melakukan rekonsiliasi, dan melakukan kontrol transmisi data, antara lain.

◾ Mentransfer semua atau sebagian risiko kepada pihak ketiga. Metode umum transfer risiko
termasuk memperoleh layanan asuransi atau outsourcing (subkontrak). Sebagai contoh, perusahaan
yang perlu memperbarui sistem aplikasi keuangannya dapat memilih untuk melakukan outsourcing
atau mensubkontrakkan proyek semacam itu (bersama dengan semua risikonya) kepada pihak luar.

Opsi terakhir akan melibatkan manajemen yang mengasumsikan atau mempertahankan risiko.
Artinya, setelah menilai risiko, manajemen merasa nyaman mengetahui risiko tersebut dan
memutuskan untuk melanjutkannya. Contoh di sini adalah seorang investor yang mengasumsikan
risiko bahwa perusahaan tempat dia membeli kepemilikan (saham) kemungkinan akan bangkrut.
Lebih dari satu teknik dapat diterapkan pada risiko tertentu (misalnya, risiko dapat dikurangi,
kemudian ditransfer, dll.). Tujuan manajemen risiko TI harus digunakan sebagai pedoman dalam
memilih suatu teknik. Tampilan 6.2 menunjukkan pertanyaan kunci umum yang diajukan oleh
personel TI dan manajemen sebelum memilih dari empat teknik respons yang disebutkan di atas.

Setelah teknik yang tepat dipilih, itu harus diterapkan. Teknik yang diterapkan harus dievaluasi dan
ditinjau secara berkala. Ini penting karena variabel yang dimasukkan dalam pemilihan teknik
sebelumnya dapat berubah. Teknik yang sesuai tahun lalu mungkin tidak begitu tahun ini, dan
kesalahan mungkin terjadi. Penerapan teknik yang salah harus dideteksi sejak dini dan diperbaiki.

Aktivitas Pengendalian

COBIT mendefinisikan aktivitas pengendalian sebagai "kebijakan, prosedur, praktik, dan struktur
organisasi yang dirancang untuk memberikan jaminan yang wajar bahwa tujuan bisnis akan tercapai
dan bahwa peristiwa yang tidak diinginkan akan dicegah atau dideteksi dan diperbaiki." Dengan kata
lain, aktivitas kontrol (atau kontrol) adalah prosedur yang diterapkan manajemen untuk menjaga
aset, menjaga informasi yang akurat dan lengkap, serta mencapai tujuan dan sasaran bisnis yang
ditetapkan. Menerapkan pengendalian adalah cara efektif untuk: (1) mengurangi risiko yang
teridentifikasi ke tingkat yang dapat diterima; (2) mematuhi kebijakan, prosedur, hukum, dan
peraturan perusahaan; dan (3) meningkatkan efisiensi operasi yang ada. Setelah diterapkan, kontrol
harus dipantau untuk penerapan yang efektif. Mereka juga harus dinilai untuk menentukan apakah
mereka beroperasi secara efektif dan seperti yang diharapkan ketika dirancang semula.

Ada tiga jenis kontrol: Preventif, Detektif, dan Korektif. Manajemen harus mengidentifikasi dan
menerapkan kontrol dari ketiga jenis di atas untuk melindungi perusahaan dari kejadian yang tidak
diinginkan. Kontrol preventif, misalnya, mencegah terjadinya masalah dan biasanya lebih baik
daripada kontrol detektif. Contoh pengendalian pencegahan mencakup perekrutan personel yang
berkualifikasi, pemisahan tugas karyawan, dan pengendalian akses fisik. Jenis kontrol kedua, kontrol
detektif, dimaksudkan untuk menemukan masalah yang tidak dapat dicegah. Contoh pengendalian
detektif termasuk melakukan rekonsiliasi rekening bank, saldo percobaan, dll. Kontrol detektif
dirancang untuk memicu ketika kontrol pencegahan gagal. Kontrol korektif, jenis kontrol ketiga,
dirancang untuk mengidentifikasi, memperbaiki, dan memulihkan dari masalah yang diidentifikasi.
Mirip dengan kontrol detektif, kontrol korektif "bereaksi terhadap apa yang baru saja terjadi".
Contohnya termasuk memelihara salinan cadangan file dan mengoreksi kesalahan entri data. Sistem
pengendalian internal yang efektif harus menerapkan ketiga jenis pengendalian tersebut. Area di
mana pengendalian dapat diterapkan mencakup, antara lain, pemisahan tugas; persetujuan dan
otorisasi transaksi; manajemen perubahan; aset, catatan, dan perlindungan data; dan pemeriksaan
dan pemantauan kinerja sistem.

Informasi dan Komunikasi

Untuk mendeskripsikan komponen ketujuh dari ERM — Model Kerangka Terpadu, informasi dan
komunikasi, penting untuk menjelaskan apa itu informasi dan apa yang dimaksud dengan
komunikasi. Perusahaan membutuhkan informasi untuk menjalankan tanggung jawab pengendalian
internalnya dan pada akhirnya untuk mendukung pencapaian tujuan dan sasaran bisnisnya.
Informasi adalah data yang diorganisasikan dan diproses untuk memberikan makna dan, dengan
demikian, meningkatkan pengambilan keputusan. Manajemen membutuhkan agar informasi
tersebut, yang dihasilkan dari sumber internal atau eksternal, berguna (yaitu, informasi berkualitas)
untuk membuat keputusan bisnis yang efektif dan efisien, serta untuk mendukung berfungsinya
sistem pengendalian internalnya secara memadai. Informasi berguna jika:

1. Relevan: informasi relevan dan dapat diterapkan untuk membuat keputusan (misalnya, keputusan
untuk memperpanjang kredit pelanggan akan membutuhkan informasi yang relevan tentang saldo
pelanggan dari laporan umur Piutang Usaha, dll.).

2. Terpercaya: informasi bebas dari bias, dapat diandalkan, dipercaya.

3. Lengkap: informasi tidak menghilangkan aspek penting dari peristiwa atau kegiatan.

4. Tepat waktu: informasi perlu disediakan pada waktunya untuk membuat keputusan.

5. Dapat dimengerti: informasi harus disajikan dengan cara yang berarti.

6. Dapat diverifikasi: dua orang atau lebih independen dapat menghasilkan kesimpulan yang sama.

7. Dapat diakses: informasi tersedia bila diperlukan.

Komunikasi, di sisi lain, mengacu pada proses menyediakan, berbagi, dan memperoleh informasi
yang diperlukan secara terus menerus dan sering. Komunikasi informasi dapat terjadi secara internal
di dalam perusahaan (misalnya, pesan dari CEO atau CIO kepada semua karyawan perusahaan, dll.)
Atau secara eksternal (misalnya, informasi yang diterima dari regulator, informasi yang dikirimkan
untuk tujuan audit, dll.).

Sistem informasi dan komunikasi, seperti sistem informasi akuntansi (AIS), harus diterapkan untuk
memungkinkan penangkapan dan pertukaran informasi yang dibutuhkan, serta melakukan,
mengelola, dan mengendalikan operasi perusahaan. SIA harus mengumpulkan, mencatat,
memproses, menyimpan, meringkas, dan mengkomunikasikan informasi tentang suatu organisasi.
Ini termasuk memahami bagaimana transaksi dimulai, data ditangkap, file diakses dan diperbarui,
data diproses, dan informasi dilaporkan. SIA juga mencakup pemahaman tentang catatan dan
prosedur akuntansi, dokumen pendukung, dan laporan keuangan.

Monitoring

Kegiatan pemantauan, baik secara terus menerus atau terpisah, harus dilakukan untuk memastikan
bahwa sistem informasi dan komunikasi (yaitu, SIA) dilaksanakan secara efektif dan, yang terpenting,
beroperasi sebagaimana yang dirancang. Penilaian pemantauan berkelanjutan yang telah
dimasukkan ke dalam proses bisnis yang ada di berbagai tingkatan, misalnya, memberikan informasi
yang tepat waktu dan relevan yang mendukung apakah SIA berfungsi atau tidak berfungsi seperti
yang diharapkan. Penilaian pemantauan yang dilakukan secara terpisah bervariasi dalam ruang
lingkup dan frekuensi, dan dilakukan tergantung pada seberapa efektif penilaian tersebut, hasil dari
penilaian risiko, dan tujuan dan sasaran manajemen tertentu.

Contoh aktivitas pemantauan dapat mencakup pelaksanaan audit internal atau evaluasi
pengendalian internal; menilai pengawasan yang efektif; pemantauan terhadap anggaran yang
ditetapkan dan disetujui; melacak perangkat lunak dan perangkat seluler yang dibeli; melakukan
audit keamanan eksternal, internal, dan / atau jaringan secara berkala; membawa seorang Kepala
Petugas Keamanan Informasi dan spesialis forensik; memasang perangkat lunak pendeteksi
penipuan; dan menerapkan hotline penipuan, antara lain.

Kekurangan, jika ada, yang dihasilkan dari kegiatan pemantauan dan evaluasi terhadap kriteria yang
ditetapkan oleh regulator dan badan penetapan standar, serta kebijakan dan prosedur yang
ditetapkan oleh manajemen, harus didokumentasikan, dievaluasi, dan dikomunikasikan. Kekurangan
dikomunikasikan kepada manajemen dan Dewan yang sesuai.

Tugas beresiko

Penilaian risiko merupakan langkah pertama dalam metodologi manajemen risiko. Penilaian risiko,
berdasarkan NIST, digunakan oleh organisasi untuk menentukan sejauh mana potensi ancaman dan
mengevaluasi risiko yang terkait dengan sistem TI. Hasil di atas membantu manajemen dalam
mengidentifikasi dan menerapkan kontrol TI yang sesuai untuk mengurangi dan / atau
menghilangkan ancaman dan risiko tersebut. Penilaian risiko memberikan kerangka kerja untuk
mengalokasikan sumber daya untuk mencapai manfaat maksimal. Mengingat jumlah area TI yang
signifikan, tetapi jumlah sumber daya yang terbatas, penting untuk fokus pada area yang tepat.
Penilaian risiko adalah alat dan teknik yang dapat digunakan untuk mengevaluasi sendiri tingkat
risiko dari proses atau fungsi tertentu, seperti TI. Mereka mewakili cara menerapkan pengukuran
objektif ke proses yang benar-benar subjektif.

Seorang chief risk officer (CRO), bekerja sama dengan Dewan Direksi (Board), harus menentukan
batasan risiko yang ingin diambil organisasi. Batas risiko ini tidak boleh statis tetapi harus dapat
berubah — dokumen kerja. Batasan risiko ini harus dipublikasikan dan tersedia untuk unit bisnis,
karena setiap manajer bisnis akan bertanggung jawab untuk menilai risiko lini bisnis, membuat
rencana tindakan risiko, dan menentukan apakah risiko mereka termasuk dalam atau di luar
toleransi yang ditetapkan.

Sebagai bagian dari proses perencanaan strategis setiap tahun, manajer bisnis harus diminta untuk
menyelesaikan penilaian risiko di bidangnya. Termasuk di dalamnya adalah penilaian risiko atas
risiko bisnis dari setiap aplikasi atau sistem yang dimiliki lini bisnis. COBIT atau standar serupa seperti
NIST, Organisasi Internasional untuk Standardisasi / Komisi Teknis Elektro Internasional (ISO / IEC),
dan lainnya harus disepakati sebagai pedoman yang akan digunakan. Ini akan menempatkan semua
penilaian risiko TI pada istilah yang sama dan membuatnya agak terstandarisasi untuk jenis risiko
yang diidentifikasi.

Penilaian risiko harus diselesaikan oleh lini bisnis dengan bantuan dari koordinator manajemen risiko
TI atau audit internal. Koordinator manajemen risiko TI dapat memberikan wawasan dan informasi
kepada lini bisnis terkait risiko spesifik yang dihadapi oleh aplikasi atau sistem. Manajer bisnis akan
dapat menilai ini dengan mempertimbangkan keseluruhan risiko yang dihadapi lini bisnis.
Departemen TI harus melakukan penilaian risiko aplikasi dan sistem di seluruh perusahaan seperti
jaringan atau perangkat lunak email di seluruh perusahaan. Departemen TI, yang dipimpin oleh chief
technology officer (CTO), akan mengevaluasi, mengelola, dan menerima risiko yang terkait dengan
jenis teknologi di seluruh perusahaan ini.
Dalam beberapa hal, CRO dan staf CTO akan berfungsi sebagai fasilitator dalam proses ini. Mereka
akan menentukan apakah penilaian risiko tidak memadai atau kurang informasi. Mereka akan
menciptakan alat untuk membantu lini bisnis dalam mengidentifikasi risiko dan kemungkinan
pengendalian, memutuskan pengendalian mana yang akan diterapkan, dan memantau serta
mengukur pengendalian tersebut untuk efektivitas.

Setelah penilaian risiko diisi dan semua risiko yang dihadapi lini bisnis tertentu sepenuhnya
diidentifikasi, manajer bisnis, dengan bantuan staf CRO, harus meninjau risiko dan pengendalian
terkait. Ini harus dibandingkan dengan persyaratan peraturan yang berlaku dan batas yang disetujui
Dewan untuk pengambilan risiko. Jika ada risiko yang berada di luar batas peraturan atau Dewan,
CRO dan manajemen bisnis bekerja sama untuk menemukan solusi untuk menurunkan risiko ke
tingkat yang dapat diterima. Ini dapat mencakup penerapan lebih banyak kontrol — misalnya,
memerlukan dua tanda tangan manajemen sebelum memproses perubahan file master. Ini dapat
mencakup pembelian asuransi untuk mentransfer sebagian risiko kepada pihak ketiga, seperti
asuransi bahaya untuk pusat data jika bencana alam melanda. Atau, itu bisa berarti memutuskan
untuk tidak menawarkan layanan tertentu, seperti membuka akun secara online, karena risiko
penipuan yang sangat tinggi. Semua solusi yang mungkin ini menghasilkan risiko diturunkan, dan
tujuannya adalah untuk mengurangi risiko ke tingkat yang dapat diterima baik oleh badan pengatur
organisasi maupun Dewannya.

Penilaian risiko harus ditinjau dan dipertimbangkan kembali setiap tahun. Kajian ini harus mencakup
penambahan risiko baru ke unit bisnis karena produk atau layanan baru, atau mungkin teknologi
baru yang baru saja diterapkan. Kajian tersebut juga harus menilai apakah peringkat untuk setiap
risiko dijamin atau mungkin perlu disesuaikan. Organisasi dapat memutuskan untuk meminta
peninjauan penilaian risiko lebih sering pada awal penerapan sampai yakin bahwa semua risiko
potensial telah diidentifikasi dan dimasukkan dalam proses manajemen risiko. CRO juga harus
menerapkan scorecard dan metrik, seperti model kematangan, yang dapat digunakan untuk
mengukur lini manajemen risiko bisnis. Garis bisnis dengan praktik manajemen risiko yang baik harus
diberi penghargaan.

Audit internal secara independen akan mengevaluasi penilaian risiko setiap kali mereka mengaudit
fungsi, area, atau aplikasi. Jika audit merasa penilaian risiko tidak memadai atau bahwa semua
potensi risiko belum diidentifikasi atau dikendalikan secara memadai, hal itu akan menjadi masalah
bagi bisnis dan CRO.

Audit berkala oleh auditor eksternal dan badan pengatur juga merupakan bagian penting dari
program manajemen risiko TI.

Panduan yang Tersedia

Ada beberapa standar profesional yang memberikan panduan kepada auditor dan manajer yang
terlibat dalam proses penilaian risiko. Standar ini berasal dari organisasi yang diakui secara luas
seperti COBIT dan ISO / IEC. Standar lain untuk penilaian risiko tersedia dari NIST, GAO, American
Institute of Certified Public Accountants, ISACA, Institute of Internal Auditor, dan Committee of
Sponsoring Organizations of the Treadway Commission.

COBIT

Seperti yang dinyatakan sebelumnya, COBIT adalah kerangka kerja tata kelola TI terkenal yang
membantu organisasi di bidang kepatuhan peraturan dan penyelarasan strategi TI dan tujuan
organisasi. COBIT juga penting untuk organisasi di bidang manajemen risiko. Secara khusus,
rangkaian praktik TI atau tujuan kontrol yang diterima secara umum dari COBIT membantu
karyawan, manajer, eksekutif, dan auditor dalam: memahami sistem TI, melaksanakan tanggung
jawab fidusia, mengelola dan menilai risiko TI, dan memutuskan tingkat keamanan dan kontrol yang
memadai.

COBIT membantu organisasi menciptakan nilai optimal dari TI dengan menjaga keseimbangan antara
menyadari manfaat dan mengoptimalkan tingkat risiko dan penggunaan sumber daya. Kerangka
kerja ini bermanfaat untuk semua jenis organisasi, termasuk komersial, nirlaba, atau di sektor publik.
Kerangka kerja komprehensif menyediakan serangkaian tujuan kontrol yang tidak hanya membantu
manajemen TI dan profesional tata kelola mengelola operasi TI mereka, tetapi juga auditor TI dalam
upaya mereka untuk memeriksa tujuan tersebut. Pemilihan COBIT mungkin tepat jika tujuan
organisasi tidak hanya untuk memahami dan menyelaraskan TI dan tujuan bisnis, tetapi juga untuk
menangani bidang kepatuhan peraturan dan manajemen risiko.

ISO / IEC

Rangkaian standar ISO / IEC 27000 mencakup teknik yang membantu organisasi mengamankan aset
informasi mereka. ISO / IEC 27005: 2011 Teknologi Informasi — Teknik Keamanan — Manajemen
Risiko Keamanan Informasi, misalnya, memberikan pedoman untuk manajemen risiko keamanan
informasi yang memuaskan. Ini mendukung konsep umum yang ditentukan dalam ISO / IEC 27001,
dan berlaku untuk organisasi dalam sebagian besar jenis industri (misalnya, komersial / swasta,
pemerintah, non-profit, dll.). ISO / IEC 27005: 2011 serta keluarga standar ISO / IEC lainnya
semuanya membantu organisasi mengelola keamanan aset, termasuk, namun tidak terbatas pada,
informasi keuangan, kekayaan intelektual, detail karyawan, atau informasi yang dipercayakan oleh
pihak ketiga. Para Pihak.

Standar ISO / IEC 27005: 2011 tidak menentukan atau merekomendasikan metode manajemen risiko
tertentu, tetapi menyarankan proses yang terdiri dari urutan terstruktur dari aktivitas berkelanjutan,
yang meliputi:

◾ Menetapkan konteks manajemen risiko, termasuk ruang lingkup, tujuan kepatuhan, pendekatan /
metode yang akan digunakan, serta kebijakan dan kriteria yang relevan (misalnya, toleransi risiko
organisasi, selera risiko, dll.).

◾ Menilai risiko informasi yang relevan secara kuantitatif atau kualitatif dengan mempertimbangkan
aset informasi, ancaman, kerentanan, dan kontrol yang ada. Penilaian ini akan membantu dalam
menentukan kemungkinan insiden atau skenario insiden, dan konsekuensi bisnis yang diprediksi jika
terjadi (yaitu, tingkat risiko).

◾ Menentukan, berdasarkan tingkat risiko, bagaimana manajemen akan bereaksi atau menanggapi
risiko yang teridentifikasi (yaitu, apakah manajemen akan sepenuhnya menghindari, mengurangi,
mengalihkan ke pihak ketiga, atau akhirnya menerima risiko).

◾ Menjaga pemangku kepentingan agar sadar dan terinformasi selama proses manajemen risiko
keamanan informasi.

◾ Memantau dan meninjau risiko, perlakuan risiko, tujuan risiko, kewajiban, dan kriteria secara
terus menerus.

◾ Mengidentifikasi dan menanggapi perubahan signifikan dengan tepat.

Institut Standar dan Teknologi Nasional (NIST)

Fokus utama aktivitas NIST di bidang TI adalah menyediakan kriteria pengukuran untuk mendukung
pengembangan teknologi yang sangat penting dan berwawasan ke depan. Standar dan pedoman
NIST dikeluarkan sebagai Standar Pemrosesan Informasi Federal (FIPS) untuk penggunaan di seluruh
pemerintah. NIST mengembangkan FIPS ketika ada persyaratan pemerintah federal yang mendesak
untuk standar TI terkait keamanan dan interoperabilitas, dan tidak ada standar atau solusi industri
yang dapat diterima.

Salah satu dari beberapa standar federal pertama yang dikeluarkan oleh NIST pada tahun 1974
adalah FIPS 31, "Panduan untuk Pemrosesan Data Otomatis Keamanan Fisik dan Manajemen Risiko."
Standar ini memberikan panduan awal kepada organisasi federal dalam mengembangkan keamanan
fisik dan program manajemen risiko untuk fasilitas sistem informasi (IS). Kemudian, pada bulan
Maret 2006, NIST mengeluarkan FIPS 200 "Persyaratan Keamanan Minimum untuk Sistem Informasi
dan Informasi Federal," di mana lembaga federal bertanggung jawab untuk memasukkan dalam
informasi mereka "kebijakan dan prosedur yang memastikan kepatuhan dengan persyaratan
konfigurasi sistem yang dapat diterima secara minimal, sebagaimana ditentukan oleh agen."

Mengelola konfigurasi sistem juga merupakan persyaratan keamanan minimum yang diidentifikasi
dalam FIPS 200, dan NIST SP 800-53, "Kontrol Keamanan dan Privasi untuk Sistem dan Organisasi
Informasi Federal," datang untuk menentukan kontrol keamanan dan privasi yang mendukung
persyaratan ini. Pada bulan Agustus 2011, NIST mengeluarkan SP 800-128, "Panduan untuk
Manajemen Konfigurasi yang Berfokus pada Keamanan IS". Konsep dan prinsip manajemen
konfigurasi yang dijelaskan dalam publikasi khusus ini memberikan informasi pendukung untuk NIST
SP 800-53, dan sesuai dengan Kerangka Manajemen Risiko (RMF) yang dibahas dalam NIST SP 800-
37, “Panduan untuk Menerapkan Kerangka Kerja Manajemen Risiko ke Federal Sistem Informasi:
Pendekatan Siklus Hidup Keamanan, ”sebagaimana telah diubah. Panduan yang lebih spesifik
tentang implementasi langkah monitor RMF disediakan dalam Draf NIST SP 800-137, "Pemantauan
Berkelanjutan Keamanan Informasi untuk Federal IS dan Organisasi." Tujuan NIST SP 800-137 di RMF
adalah untuk terus memantau keefektifan semua kontrol keamanan yang dipilih, diterapkan, dan
diizinkan untuk melindungi informasi organisasi dan IS, yang mencakup kontrol keamanan
manajemen konfigurasi yang diidentifikasi dalam SP 800-53. Dokumen-dokumen ini adalah titik awal
yang sangat baik untuk memahami dasar dan banyak pendekatan yang dapat digunakan seseorang
dalam menilai risiko dalam TI saat ini.

Saat menilai risiko yang terkait dengan TI, perhatian khusus harus diberikan pada panduan NIST SP
800-30, "Panduan untuk Melakukan Penilaian Risiko". * Panduan NIST SP 800-30 memberikan
landasan umum bagi personel organisasi dengan atau tanpa pengalaman, yang menggunakan atau
mendukung proses manajemen risiko untuk sistem TI mereka. Personel organisasi antara lain:
manajemen senior, manajer keamanan TI, personel dukungan teknis, konsultan TI, dan auditor TI.
Standar penilaian risiko NIST SP 800-30 dapat diterapkan dalam satu atau beberapa sistem yang
saling terkait, dari organisasi kecil hingga besar.

Pedoman NIST, termasuk SP 800-30, telah membantu lembaga dan organisasi federal dalam
meningkatkan kualitas keamanan TI mereka secara signifikan dengan:

◾ menyediakan kerangka kerja standar untuk mengelola dan menilai risiko SI organisasi, sambil
mendukung misi organisasi dan fungsi bisnis;

◾ memungkinkan untuk membuat penentuan berbasis risiko, sambil memastikan penerapan yang
hemat biaya;
◾ menjelaskan pendekatan yang lebih fleksibel dan dinamis yang dapat digunakan untuk memantau
status keamanan informasi IS organisasi;

◾ mendukung pendekatan bottom-up dalam hal keamanan informasi, berpusat pada IS individu
yang mendukung organisasi; dan

◾ mempromosikan pendekatan top-down yang terkait dengan keamanan informasi, dengan fokus
pada masalah terkait TI tertentu dari perspektif perusahaan.

Organisasi dalam sektor swasta (kecil, menengah, dan besar) secara signifikan menggunakan
pedoman NIST untuk mempromosikan fungsi bisnis penting yang aman, termasuk kepercayaan
pelanggan pada kemampuan organisasi untuk melindungi informasi pribadi dan sensitif mereka.
Selain itu, fleksibilitas penerapan pedoman NIST memberikan alat yang tepat bagi organisasi untuk
menunjukkan kepatuhan terhadap peraturan.

Standar NIST SP 800-30 sering digunakan saat melakukan penilaian risiko karena fleksibilitas dan
kemudahan penggunaannya dalam: (1) mengidentifikasi potensi risiko yang terkait dengan IS, serta
(2) menentukan kemungkinan terjadinya, dampak, dan tambahan pengamanan untuk mitigasi.
Panduan tersebut telah terbukti melakukan penilaian risiko dan kerentanan yang akurat dan
menyeluruh terkait dengan kerahasiaan, integritas, dan ketersediaan informasi. Lampiran 5
menunjukkan contoh penilaian risiko TI yang dilakukan untuk organisasi yang menggunakan NIST SP
800-30.

Kantor Akuntabilitas Pemerintah (GAO)

GAO adalah badan nonpartisan dalam cabang legislatif pemerintah. GAO melakukan audit, survei,
investigasi, dan evaluasi program federal. Ini mungkin termasuk audit terhadap agen federal dan
pemerintah negara bagian, kabupaten, dan kota, dan meluas ke industri swasta, di mana dana
federal dibelanjakan. Seringkali, pekerjaan GAO dilakukan atas permintaan komite atau anggota
kongres, atau untuk memenuhi mandat khusus atau persyaratan legislatif dasar. Temuan dan
rekomendasi GAO dipublikasikan sebagai laporan kepada anggota kongres atau disampaikan sebagai
kesaksian kepada komite kongres. GAO telah mengeluarkan banyak laporan tentang keamanan
komputer, kerentanan TI, dan penilaian risiko.

Pemerintah federal AS telah menginvestasikan sejumlah besar sumber daya untuk memeriksa risiko
sejak awal 1960-an. Contohnya termasuk laporan Standar Akuntansi Pemerintah (GAS) dan
Manajemen Informasi dan Teknologi (IMTEC) GAO. GAS 4.29, "Pengendalian Perlindungan,"
misalnya, digunakan untuk membantu auditor mengenali faktor risiko yang melibatkan pemrosesan
komputer. IMTEC 8.1.4, “Teknologi Informasi: Panduan Audit untuk Menilai Risiko Akuisisi,”
digunakan dalam perencanaan dan pelaksanaan penilaian risiko akuisisi perangkat keras dan lunak
komputer, telekomunikasi, dan pengembangan sistem.

Institut Akuntan Publik Bersertifikat Amerika (AICPA)

Pernyataan tentang Standar Audit (SAS) dikeluarkan oleh Dewan Standar Audit AICPA dan diakui
sebagai interpretasi dari 10 standar audit yang diterima secara umum. Seperti yang disebutkan
dalam bab-bab sebelumnya, AICPA telah memainkan peran utama dalam penerbitan pedoman
akuntansi dan profesi kontrol. Contoh penerapan konsep risiko dan materialitas audit adalah dengan
diterbitkannya SAS 47, “Risiko Audit dan Materialitas dalam Melakukan Audit,” yang berkaitan
dengan penilaian risiko. Dalam SAS 47, risiko pengendalian didefinisikan sebagai kemungkinan
kesalahan penyajian yang terjadi dalam saldo akun atau golongan transaksi yang (1) dapat menjadi
material ketika digabungkan dengan salah saji dalam saldo atau golongan lain dan (2) tidak akan
dicegah atau dideteksi pada secara tepat waktu oleh sistem pengendalian internal.

SAS 65, “Pertimbangan Auditor atas Fungsi Audit Internal dalam Audit Laporan Keuangan,”
mensyaratkan bahwa, dalam semua penugasan, auditor mengembangkan beberapa pemahaman
tentang fungsi audit internal (audit TI, jika tersedia) dan menentukan apakah fungsi tersebut relevan
dengan penilaian risiko pengendalian. Jadi, kalau ada fungsi audit internal, harus dievaluasi. Evaluasi
ini tidak opsional. Pada tahun 1996, AICPA mengeluarkan SAS 80, yang mengubah SAS 31, “Evidential
Matter.” SAS 80 secara langsung ditujukan untuk meningkatkan audit di lingkungan TI. SAS ini
berdampak besar pada profesi auditing. Kutipan dari SAS 80 menyatakan: "Dalam entitas di mana
informasi signifikan ditransmisikan, diproses, dipelihara, atau diakses secara elektronik, auditor
dapat menentukan bahwa tidak praktis atau mungkin untuk mengurangi risiko deteksi ke tingkat
yang dapat diterima dengan hanya melakukan pengujian substantif untuk satu atau lebih pernyataan
laporan keuangan.

Misalnya, potensi terjadinya inisiasi atau perubahan informasi yang tidak tepat dan tidak terdeteksi
mungkin lebih besar jika informasi diproduksi, dipertahankan, atau diakses hanya dalam bentuk
elektronik. Dalam keadaan seperti itu, auditor harus melakukan pengujian pengendalian untuk
mengumpulkan bukti yang akan digunakan dalam menilai risiko pengendalian, atau
mempertimbangkan pengaruhnya terhadap laporannya. "

SAS 94, “Pengaruh Teknologi Informasi pada Pertimbangan Auditor atas Pengendalian Internal
dalam Audit Laporan Keuangan,” diadopsi pada tahun 2001 dan memberikan panduan kepada
auditor tentang pengaruh TI terhadap pengendalian internal dan pemahaman auditor tentang
pengendalian dan penilaian internal. risiko pengendalian. SAS 109, “Memahami Entitas dan
Lingkungannya dan Menilai Risiko Salah saji Material,” diadopsi pada tahun 2006 dan juga
menekankan pemahaman auditor tentang entitas untuk memvalidasi dan memverifikasi bagaimana
TI berkontribusi terhadap risiko salah saji material, dan apakah ada pengendalian untuk mencegah
atau mendeteksi kesalahan atau penipuan.

ISACA

ISACA (sebelumnya dikenal sebagai Asosiasi Audit dan Kontrol Sistem Informasi) adalah asosiasi
nirlaba di seluruh dunia yang terdiri dari lebih dari 28.000 praktisi yang didedikasikan untuk audit,
kontrol, dan keamanan TI di lebih dari 100 negara. Yayasan Audit dan Kontrol Sistem Informasi
adalah yayasan nirlaba terkait yang berkomitmen untuk memperluas basis pengetahuan profesi
melalui komitmen untuk penelitian. Dewan standar ISACA telah memperbarui dan mengeluarkan
beberapa Pedoman Audit Sistem Informasi yang telah diakui sebagai standar audit sistem.

Pedoman ISACA berjudul "Penggunaan Penilaian Risiko dalam Perencanaan Audit" menetapkan
tingkat pekerjaan audit yang diperlukan untuk memenuhi tujuan audit tertentu; itu adalah
keputusan subjektif yang dibuat oleh auditor TI. Risiko pengambilan kesimpulan yang salah
berdasarkan temuan audit (risiko audit) merupakan salah satu aspek dari keputusan ini. Kedua, risiko
kesalahan yang terjadi di area yang diaudit (risiko kesalahan). Praktik yang direkomendasikan untuk
penilaian risiko dalam melaksanakan audit keuangan didokumentasikan dengan baik dalam standar
audit untuk auditor keuangan, tetapi panduan diperlukan tentang bagaimana menerapkan teknik
tersebut pada audit TI.

Manajemen juga mendasarkan keputusannya pada seberapa banyak kontrol yang sesuai pada
penilaian tingkat eksposur risiko yang dipersiapkan untuk diterima.
Misalnya, ketidakmampuan untuk memproses aplikasi komputer untuk jangka waktu tertentu
adalah eksposur yang dapat diakibatkan oleh peristiwa yang tidak terduga dan tidak diinginkan
(misalnya, kebakaran pusat data, banjir, dll.). Eksposur dapat dikurangi dengan penerapan kontrol
yang dirancang dengan tepat. Pengendalian ini biasanya didasarkan pada estimasi terjadinya
peristiwa yang merugikan dan dimaksudkan untuk mengurangi kemungkinan tersebut. Misalnya,
alarm kebakaran tidak mencegah kebakaran tetapi dimaksudkan untuk mengurangi tingkat
kerusakan akibat kebakaran.

Pedoman ISACA memberikan pedoman dalam menerapkan standar audit TI. Auditor TI harus
mempertimbangkan panduan tersebut dalam menentukan bagaimana mencapai penerapan standar
sebelumnya, menggunakan pertimbangan profesional dalam penerapannya, dan bersiap untuk
membenarkan penyimpangan apa pun.

Institut Auditor Internal (IIA)

Didirikan pada tahun 1941, IIA melayani lebih dari 85.000 anggota dalam audit internal, tata kelola
dan pengendalian internal, pendidikan audit TI, dan keamanan di lebih dari 120 negara.

IIA telah menerapkan Standar Kinerja 2110 berjudul "Manajemen Risiko," yang menetapkan bahwa
aktivitas audit internal harus membantu organisasi dengan mengidentifikasi dan mengevaluasi
eksposur risiko yang signifikan dan berkontribusi pada peningkatan manajemen risiko dan sistem
kontrol. Ini memberikan panduan tambahan dalam bentuk Standar Penerapan 2110.A1 (Assurance
Engagements) yang dengannya aktivitas audit internal harus memantau dan mengevaluasi
efektivitas sistem manajemen risiko organisasi. Standar Penerapan 2110.A2 (Assurance
Engagements) menetapkan bahwa aktivitas audit internal harus mengevaluasi eksposur risiko yang
berkaitan dengan tata kelola organisasi, operasi, dan SI mengenai:

◾ Keandalan dan integritas informasi keuangan dan operasional

◾ Efektivitas dan efisiensi operasi

◾ Pengamanan aset

◾ Kepatuhan terhadap hukum, peraturan, dan kontrak

Standar kinerja terakhir membahas keterlibatan konsultasi dalam Standar Penerapan 2110.C1
(Keterlibatan Konsultasi). IIA merekomendasikan bahwa selama penugasan konsultasi, auditor
internal harus menangani risiko yang konsisten dengan tujuan penugasan dan waspada terhadap
adanya risiko signifikan lainnya.

IIA juga telah mengembangkan serangkaian publikasi yang membantu dalam penilaian pengendalian
internal atas pelaporan keuangan, khususnya pengendalian TI. Ini disebut sebagai Panduan untuk
Penilaian Risiko TI, atau GAIT. GAIT untuk "Penilaian Defisiensi Kontrol Umum TI" adalah pendekatan
top-down dan berbasis risiko untuk menilai kontrol umum TI. GAIT tersebut memberikan
pendekatan untuk mengevaluasi defisiensi kontrol umum TI yang diidentifikasi selama audit
keuangan atau penilaian kontrol Sarbanes-Oxley. GAIT untuk "Bisnis dan Risiko TI," atau GAIT-R,
adalah metodologi audit berbasis risiko untuk menyelaraskan audit TI dengan risiko bisnis.

Komite Organisasi Sponsor dari Treadway Commission (COSO)

COSO dibentuk pada tahun 1985 sebagai organisasi sektor swasta independen, sukarela yang
didedikasikan untuk meningkatkan kualitas pelaporan keuangan melalui etika bisnis, pengendalian
internal yang efektif, dan tata kelola perusahaan. COSO terdiri dari perwakilan dari industri, agensi
akuntan publik, firma investasi, dan New York Stock Exchange. Ketua pertama COSO adalah James C.
Treadway, Jr., wakil presiden eksekutif dan penasihat umum untuk Paine Webber Inc. pada saat itu,
dan mantan komisaris U.S. Securities and Exchange Commission; maka nama Komisi Treadway.

COSO ERM — Kerangka Terintegrasi, yang telah dibahas sebelumnya, dikembangkan oleh firma
akuntansi global, PriceWaterhouseCoopers, dan diterbitkan pada September 2004. ERM — Kerangka
Terintegrasi adalah alat yang efektif untuk manajemen senior dan Dewan untuk menetapkan tujuan
dan strategi; mengidentifikasi, mengevaluasi, dan mengelola area risiko; memilih dan menerapkan
kontrol untuk mengurangi atau menangani area risiko; dan memastikan bahwa perusahaan pada
akhirnya mencapai tujuan dan tujuannya. Model ERM— Kerangka Terpadu diilustrasikan pada
Tampilan 6.1.

Asuransi sebagai Bagian dari Penilaian Risiko TI

Penilaian risiko terkait operasi TI juga mencakup asuransi. Pemahaman yang jelas tentang asuransi
dan manajemen risiko diperlukan untuk meninjau kecukupan asuransi TI organisasi. Manajemen TI
dan administrator keamanan data harus menyadari hubungan antara risiko dan asuransi untuk
memahami alasan di balik pilihan asuransi dan jenis asuransi yang paling berlaku untuk lingkungan
TI. Ini memberikan gambaran umum tentang alasan dan metode analisis risiko, alternatif asuransi,
dan apa yang harus dicari dalam pertanggungan asuransi TI. Perlunya tinjauan ini menjadi jelas
karena virus komputer, serangan denial-of-service, dan sebagainya, yang dapat menghilangkan
peluang yang hilang. Bisnis harus memiliki cara untuk melindungi diri mereka sendiri dan
memulihkan kerugian mereka.

Asuransi mendistribusikan kerugian sehingga kerugian yang menghancurkan bagi individu atau bisnis
tersebar secara merata di antara sekelompok anggota yang diasuransikan. Asuransi tidak mencegah
kerugian atau mengurangi biayanya; itu hanya mengurangi risiko. Risiko adalah kemungkinan
penyimpangan yang merugikan dari hasil yang diinginkan (misalnya, kemungkinan meninggal
sebelum mencapai usia 72 tahun, gangguan dalam operasi bisnis, situs e-niaga yang kelebihan
muatan dengan transaksi tidak valid, spamming bisnis TI, dll.). Jika tidak dikelola, risiko dapat
diasuransikan yang harus diasuransikan dan sebaliknya. Polis asuransi seringkali memberikan
pertanggungan yang tumpang tindih di beberapa wilayah dan tidak ada di wilayah kritis lainnya.

Resiko IT Biasanya Diasuransikan

Dalam lingkungan TI, terdapat risiko khusus yang umumnya ditangani oleh asuransi, antara lain:

◾ Kerusakan peralatan komputer

◾ Biaya media penyimpanan

◾ Biaya untuk memperoleh data yang disimpan di media

◾ Kerusakan bagi orang luar

◾ Dampak bisnis dari hilangnya fungsi komputer

Jenis polis asuransi yang mencakup risiko ini termasuk properti, kewajiban, gangguan bisnis, dan
asuransi ikatan kesetiaan. Kebijakan ini, terutama yang ditulis untuk risiko terkait TI, harus
memeriksa:

◾ Cakupan perangkat keras dan peralatan (mis., Jaringan, perangkat penyimpanan massal, terminal,
printer, dan unit pemrosesan pusat).
◾ Cakupan media dan informasi yang disimpan di dalamnya. Misalnya, drive disk yang rusak dapat
diganti dengan biaya drive baru. Jika drive atau perangkat penyimpanan massal berisi informasi
penting, nilai dari drive pengganti baru ditambah nilai informasi yang hilang harus dipulihkan.

◾ Cakupan biaya penggantian atau rekonstruksi dan biaya menjalankan bisnis seperti biasa (mis.,
Gangguan bisnis). Ini mungkin melibatkan menyewa waktu untuk peralatan yang setara dari
perusahaan terdekat atau outsourcing ke vendor, membayar upah lembur untuk rekonstruksi, dan
pekerjaan detektif. Di wilayah ini, pencatatan aktivitas bisnis elektronik harian yang mengakibatkan
transaksi keuangan sangat penting untuk mengidentifikasi gangguan atau kerugian bisnis akibat
spamming atau pencurian informasi.

◾ Cakupan item seperti kerusakan media akibat magnet, kerusakan akibat listrik mati (mati lampu)
atau mati listrik (mati lampu), dan kerusakan akibat kegagalan perangkat lunak.

Asuransi Cyber

Upaya untuk merusak atau menghancurkan sistem komputer (juga dikenal sebagai serangan siber)
umum dilakukan saat ini dalam organisasi dan dapat mengakibatkan kerugian yang signifikan.
Misalnya, pada tahun 2014, Pusat Studi Strategis dan Internasional memperkirakan biaya tahunan
dari kejahatan dunia maya berkisar antara $ 375 miliar dan $ 575 miliar untuk organisasi menengah
hingga besar. Studi lain yang dilakukan oleh Symantec pada tahun 2016 (dan didokumentasikan
sebagai bagian dari Laporan Ancaman Keamanan Internet) menunjukkan bahwa 43% dari semua
serangan tahun 2016 menargetkan bisnis kecil (yaitu, organisasi dengan kurang dari 250 karyawan).
Organisasi harus memutuskan apakah asuransi dunia maya sekarang merupakan pilihan yang layak
untuk mengurangi kerugian tersebut dan biaya yang berlebihan.

Biasanya, asuransi cyber dikecualikan dari polis kewajiban umum komersial tradisional, atau tidak
ditentukan secara spesifik dalam produk asuransi tradisional. Polis asuransi cyber (atau asuransi
risiko cyber) mengacu pada produk asuransi yang dirancang untuk melindungi organisasi dan
individu dari risiko yang berkaitan dengan infrastruktur dan aktivitas TI (misalnya, pelanggaran
keamanan terkait cyber, risiko berbasis Internet, dll.). Asuransi siber mulai populer pada tahun 2005,
dengan nilai total premi yang diperkirakan mencapai $ 7,5 miliar pada tahun 2020. Menurut
PriceWaterhouseCoopers, sekitar sepertiga dari perusahaan AS saat ini membeli beberapa jenis
asuransi siber.

Jenis asuransi khusus ini mencakup biaya yang berkaitan dengan kerugian pihak pertama atau klaim
pihak ketiga. Cakupan biasanya mencakup:

◾ kerugian dari perusakan data, pemerasan, pencurian, peretasan, dan serangan penolakan layanan

◾ kerugian orang lain yang disebabkan oleh kesalahan dan kelalaian, kegagalan untuk melindungi
data, atau fitnah

Sebelum adanya asuransi cyber, sebagian besar organisasi tidak selalu melaporkan dampak penuh
dari pelanggaran keamanan informasi mereka untuk menghindari publisitas negatif dan merusak
kepercayaan pelanggan mereka.

Sekarang mereka harus benar-benar mempertimbangkan untuk menambahkan asuransi dunia maya
ke dalam anggaran mereka, khususnya, jika mereka menyimpan dan memelihara informasi
pelanggan, mengumpulkan informasi pembayaran online, atau hanya memanfaatkan cloud untuk
memenuhi tujuan dan sasaran bisnis. Karena risiko dunia maya berubah begitu sering, cakupan yang
memadai dari risiko TI tersebut harus tersedia. Namun, bagaimana jika risiko TI tidak dapat
diasuransikan?

Pengurangan dan Retensi Risiko

Risiko yang tidak dapat diasuransikan dapat dikelola dengan cara lain: dikurangi atau dipertahankan.
Hanya karena suatu risiko dapat diasuransikan tidak berarti bahwa asuransi adalah satu-satunya cara
untuk menanganinya. Pengurangan risiko dapat dilakukan melalui pencegahan dan pengendalian
kerugian. Jika kemungkinan kerugian dapat dicegah, risiko tersebut dihilangkan; bahkan mengurangi
kemungkinan terjadinya kerugian merupakan peningkatan yang signifikan.

Jika peluangnya tidak dapat dikurangi, setidaknya tingkat keparahan kerugian sering kali dapat
dikontrol. Metode pengurangan sering digunakan dengan asuransi untuk mengurangi premi. Contoh
pertanyaan yang mengarah untuk menentukan apakah risiko TI dapat dikurangi meliputi:

◾ Apakah ada rencana pemulihan bencana yang komprehensif dan terkini atau rencana
kelangsungan bisnis?

◾ Upaya apa yang telah dilakukan untuk memastikan bahwa kedua rencana tersebut dapat
dijalankan?

◾ Apakah ada backup off-site dari file yang sesuai?

◾ Apakah prosedur dan praktik untuk mengendalikan kecelakaan memadai?

◾ Apakah tindakan praktis telah diambil untuk mengendalikan dampak bencana?

◾ Apakah keamanan fisik efektif untuk melindungi properti dan peralatan?

◾ Apakah keamanan perangkat lunak memadai untuk melindungi informasi rahasia atau sensitif?

◾ Apakah ada pengecekan keseimbangan dan kontrol yang dilakukan pada poin-poin penting dalam
pemrosesan?

◾ Apakah ada pemeriksaan kendali yang tepat pada operasi?

◾ Apakah ada pemeriksaan kontrol yang sesuai selama pengembangan dan modifikasi sistem?

◾ Apakah firewall jaringan diuji setiap minggu?

◾ Apakah firewall telah disertifikasi setiap setengah tahun?

◾ Apakah kontrak untuk pembelian atau sewa guna usaha memiliki syarat dan ketentuan dan
perbaikan yang cukup melindungi perusahaan jika ada masalah?

◾ Apakah kontrak telah disiapkan oleh penasihat hukum yang memiliki keahlian di bidang TI dan
masalah hukum?

◾ Apakah fasilitas, peralatan, dan jaringan dirawat dengan baik?

Risiko yang tidak dapat diasuransikan juga dapat dipertahankan tergantung pada kesadaran
organisasi akan risiko tersebut. Jika dipertahankan, risiko harus konsisten dengan tujuan manajemen
dan analisis risiko. Metode retensi, yang terkadang disebut sebagai asuransi diri, harus sukarela dan
memenuhi kriteria berikut:

◾ Risiko harus tersebar secara fisik sehingga ada distribusi eksposur kerugian yang cukup merata di
beberapa lokasi.
◾ Sebuah penelitian harus dilakukan untuk menentukan eksposur kerugian maksimum.

◾ Pertimbangan harus diberikan untuk kemungkinan pengalaman kerugian yang tidak

menguntungkan dan keputusan yang diambil, apakah kontinjensi ini harus ditutupi oleh provisi
untuk cadangan asuransi diri.

◾ Pembebanan premi harus dilakukan terhadap operasi yang cukup untuk menutupi kerugian dan
setiap peningkatan cadangan yang tampaknya disarankan.

Namun, banyak perusahaan mempertahankan risiko tanpa memperkirakan kerugian di masa depan
atau menyimpan dana untuk membayar kerugian ini. Perusahaan harus secara hati-hati mengelola
dan menilai risiko kerugian yang signifikan untuk melindungi kepentingan bisnis mereka.

Kesimpulan

Organisasi telah menyadari manfaat melindungi diri dari semua jenis potensi eksposur risiko.
Perlindungan berasal dari manajemen yang efektif dan evaluasi risiko yang teridentifikasi.
Manajemen risiko mengacu pada proses mengidentifikasi dan menilai risiko, diikuti dengan
menerapkan prosedur atau kontrol yang diperlukan untuk mengurangi risiko tersebut ke tingkat
yang dapat diterima. Contoh alat manajemen risiko adalah ERM-Integrated Framework. Kerangka
kerja, yang dikembangkan oleh COSO, merupakan alat yang efektif bagi manajemen senior dan
Dewan untuk menetapkan tujuan dan strategi; mengidentifikasi, mengevaluasi, dan mengelola area
risiko; memilih dan menerapkan kontrol untuk mengurangi atau menangani area risiko; dan
memastikan bahwa perusahaan pada akhirnya mencapai tujuan dan tujuannya.

Penilaian risiko merupakan langkah pertama dalam metodologi manajemen risiko. Mereka
digunakan oleh organisasi untuk menentukan sejauh mana potensi ancaman dan risiko yang terkait
dengan sistem tertentu. Penilaian risiko harus diselesaikan oleh lini bisnis dengan bantuan dari
koordinator manajemen risiko TI atau audit internal.

Ada beberapa standar profesional dari organisasi terkenal yang memberikan panduan kepada
auditor dan manajer yang terlibat dalam penilaian risiko. Standar memberikan pengukuran kualitas
yang konsisten jika diadopsi, dipelihara, dan didukung oleh organisasi. Standar dari organisasi,
seperti COBIT, ISO / IEC, NIST, GAO, AICPA, ISACA, IIA, dan COSO, adalah contoh yang berkaitan
dengan penilaian risiko dalam operasi TI.

Organisasi harus mengembangkan program manajemen risiko yang baik untuk dapat menentukan
kecukupan cakupan asuransi TI mereka. Asuransi mendistribusikan kerugian sehingga kerugian yang
menghancurkan bagi individu atau bisnis tersebar secara merata di antara sekelompok anggota yang
diasuransikan. Beberapa risiko TI yang ditanggung oleh polis asuransi antara lain adalah kerusakan
perangkat komputer, biaya media penyimpanan, biaya perolehan data yang disimpan di media, dan
kerusakan pada pihak luar, antara lain. Salah satu jenis asuransi terhadap upaya terus-menerus yang
dilakukan terhadap organisasi untuk merusak atau menghancurkan sistem komputer mereka
(serangan siber) disebut asuransi siber. Kebijakan asuransi dunia maya melindungi organisasi dan
individu dari risiko yang berkaitan dengan infrastruktur dan aktivitas TI (misalnya, pelanggaran
keamanan terkait dunia maya, risiko berbasis Internet, dll.).

Langkah besar lainnya dalam mengembangkan program manajemen risiko yang efektif adalah
mempelajari metode retensi dan pengurangan risiko. Resiko yang tidak dapat diasuransikan
dikurangi atau dipertahankan. Pengurangan risiko dapat dicapai melalui pencegahan dan
pengendalian kerugian, dan biasanya mengurangi premi asuransi. Risiko yang tidak dapat
diasuransikan juga dapat dipertahankan tergantung pada kesadaran organisasi akan risiko tersebut.
Jika dipertahankan, risiko harus konsisten dengan tujuan manajemen dan analisis risiko.
Pengembangan program manajemen risiko yang komprehensif membutuhkan upaya yang signifikan
dari semua pihak; namun, setelah ditetapkan, manfaat dari pengelolaan risiko menjadi sangat
berharga.

Identifikasi Peristiwa (atau Risiko)

Peristiwa berdampak pada perusahaan secara internal atau eksternal. Misalnya, peristiwa dapat
terjadi di luar perusahaan (misalnya, bencana alam, pemberlakuan undang-undang dan peraturan
baru, dll.) Yang dapat secara signifikan memengaruhi tujuan, sasaran, dan / atau strateginya.
Identifikasi peristiwa atau risiko ini dapat dihasilkan dari menjawab pertanyaan manajemen, seperti:
(1) Apa yang mungkin salah? (2) Bagaimana bisa salah? (3) Apa potensi kerugiannya? dan (4) Apa
yang dapat dilakukan tentang itu? Contohnya adalah produsen meja kantor yang mengandalkan
sumber kayu yang diperlukan untuk membangun meja dari wilayah tertentu di Karibia. Tujuan
organisasi produsen adalah untuk mengikuti tingkat permintaan produksi. Jadi, inilah pertanyaan
manajemen dari atas dengan tanggapan hipotetis untuk mengidentifikasi peristiwa internal atau
eksternal:

1. Apa yang bisa salah? Pengiriman kayu mungkin gagal atau mungkin tidak diterima tepat waktu
sehingga kayu yang dipasok tidak cukup untuk memenuhi permintaan pelanggan dan / atau tingkat
produksi yang disyaratkan.

2. Bagaimana bisa salah? Kondisi cuaca (misalnya, angin topan, banjir, dll.) Dapat mempengaruhi
kondisi aman untuk menebang pohon dan menyiapkan kayu yang diperlukan; atau mencegah
pengiriman kayu tepat waktu ke lokasi produksi.

3. Apa potensi kerugiannya? Kurangnya atau terbatasnya pasokan dapat mendorong produsen untuk
meningkatkan biaya yang dapat diterjemahkan menjadi biaya dan harga yang lebih tinggi bagi
pelanggan.