Valuasi Teknologi Informasi

dengan Pendekatan
COSO ERM dan FAIR

Tugas 1
(IF5142) IT & Risk Value
20021131-Dadi Iskandar Magister Informatika-STEI
 VALUASI TEKNOLOGI
Valuasi Teknologi dapat diartikan sebagai
suatu proses identifikasi dan mengukur
manfaat (benefit) serta risiko finansial
dari teknologi saat ini dan akan datang
yang umumnya dapat dikonversi menjadi
nilai uang.
Metode valuasi teknologi telah banyak
dikembangkan oleh para ahli ekonomi,
finansial, dan ahli lainnya di bidang
terkait paten, teknologi, dan kekayaan
intelektual.
Terdapat tiga pendekatan dasar yang
banyak digunakan dalam melakukan
valuasi teknologi dan menjadi dasar dalam
pengembangan berbagai teknik valuasi
teknologi, yaitu valuasi berbasis biaya (cost
based approach), valuasi berbasis pasar
(market based approach), dan valuasi
berbasis pendapatan (income based
approach).
2
VALUASI TEKNOLOGI

Ketiga metode (cost/market/income

based approach) telah digunakan
secara luas untuk berbagai
keperluan dalam penilaian teknologi.

Perbandingan metode dasar Valuasi Teknologi

3
 ESSENTIALS OF RISK EVALUATION

▰ Hubungan antara skenario risiko TI dan dampak akhir bisnis perlu ditetapkan untuk memahami efek dari
peristiwa yang merugikan. Ada beberapa teknik dan opsi yang dapat membantu perusahaan untuk
menggambarkan risiko TI dalam istilah bisnis. Kerangka kerja Risiko TI mengharuskan risiko TI untuk
diterjemahkan/dinyatakan dalam istilah yang relevan dengan bisnis, tetapi tidak menentukan metode
tunggal apa pun. Beberapa metode yang tersedia ditunjukkan pada Gambar berikut.

4
 COSO Enterprise Risk Management (ERM)

Kerangka COSO ERM adalah

salah satu dari dua standar
manajemen resiko yang diterima
secara luas yang digunakan
organisasi untuk membantu
mengelola resiko dalam lanskap
bisnis yang semakin fluktuatif
dan tidak dapat diprediksi.

COSO ERM merupakan suatu kerangka kerja untuk membantu

perusahaan untuk memiliki definisi yang konsisten dari risiko
mereka. Juga merupakan alat penting untuk memahami dan
meningkatkan pengendalian internal. 5
“ Dokumen COSO ERM framework dimulai dengan
mendefinisikan manajemen risiko perusahaan: “Manajemen
risiko perusahaan adalah proses, yang dipengaruhi oleh dewan
entitas direksi, manajemen dan personil lainnya, diterapkan
dalam pengaturan strategi dan di seluruh perusahaan, yang
dirancang untuk mengidentifikasi kejadian potensial yang dapat
mempengaruhi entitas, dan mengelola risiko untuk berada
dalam risk appetite, untuk memberikan keyakinan memadai
tentang pencapaian tujuan entitas.”

6
 COSO ERM

Para profesional harus mempertimbangkan poin-poin kunci yang mendukung kerangka

kerja definisi COSO ERM ini termasuk:
✓ ERM adalah sebuah proses.
✓ Proses ERM dilaksanakan oleh orang-orang dalam perusahaan.
✓ ERM diterapkan melalui pengaturan strategi di perusahaan secara keseluruhan.
✓ Konsep risk appetite harus dipertimbangkan.
✓ ERM menyediakan assurance yang wajar tapi tidak positif pada prestasi obyektif.
✓ ERM dirancang untuk membantu mencapai tujuan.

7
 COSO ERM

Pada Gambar ini menunjukkan COSO ERM Framework

melalui objek kubus tiga dimensi dengan komponen:
❑ Kolom empat vertikal di atap kubus, mewakili tujuan
strategis risiko perusahaan.
❑ Delapan baris horizontal adalah komponen risiko.
❑ Tingkat Multiple untuk menggambarkan setiap
perusahaan, dari tingkat entitas "headquarters"
sampai kepada anak perusahaan masingmasing.
Tergantung pada ukuran organisasi, akan ada
banyak irisan model di sini.

img source :
https://accounting.binus.ac.id/files/2020/12/COSO.png 8
8 Komponen Risiko pada COSO ERM Framework
Internal Environment Component
Meliputi : (1)Risk management philosophy, (2)Risk
appetite, (3)Boards of directors attitudes, (4)Integrity
and ethical values, (5)Commitment to competence,
(6)Organizational structure, (7)Asignments of
authority and (8)Responsibility dan Human resource
standard.
Objective Setting
Objective setting menguraikan kondisi penting untuk
membantu manajemen menciptakan proses ERM
yang efektif. Komponen ERM internal environment
memahami filosofi manajemen risiko perusahaan
dan panggilan risk appetite untuk komponen
objective setting untuk secara resmi menentukan
risk appetite dalam hal toleransi terhadap risiko.
Event Identification
Kejadian perusahaan yang mempengaruhi pelaksanaan strategi
ERM dan pencapaian tujuan yang meliputi :
(1)Peristiwa ekonomi eksternal, (2)Kejadian lingkungan alam,
(3)Peristiwa politik, (4)Faktor sosial, (5)Peristiwa infrastruktur
internal, (6)Peristiwa yang terkait proses internal, dan (7)Peristiwa
teknologi eksternal dan internal
Risk Assessment
Penilaian risiko memungkinkan perusahaan untuk
mempertimbangkan apa efek peristiwa terkait risiko potensial
tersebut terhadap prestasi perusahaan terhadap tujuannya. Risiko
tersebut meliputi Risiko Inherent, dan risiko residual.
9
8 Komponen Risiko pada COSO ERM Framework

Risk Response Information & Communication

Setelah dinilai dan mengidentifikasi risiko yang lebih
signifikan, COSO ERM diukur mengenai tanggapan
terhadap berbagai risiko yang teridentifikasi. Empat
cara dasar dalam risk response yaitu :
(1)Penghindaran, (2)Pengurangan, (3)Berbagi, dan
(4)Penerimaan.
Meskipun relatif mudah untuk menggambarkan bagaimana
informasi harus dikomunikasikan dari satu komponen COSO ERM
ke yang lain dalam diagram alir sederhana, melakukannya
merupakan proses yang jauh lebih kompleks dalam praktek.

Control Activities
Monitoring.
Merupkan kebijakan dan prosedur yang diperlukan
untuk memastikan tindakan tanggapan risiko yang Fase ini tentu akan sangat dibutuhkan pada proses finishing.
diidentifikasi. Setelah memilih respon resiko yang
memadai, perusahaan harus memilih kontrol
aktivitas yang diperlukan untuk memastikan bahwa
risiko tanggapan dijalankan secara tepat waktu dan
efisien. 10
 Factor Analysis Information Risk (FAIR)

FAIR merupakan kerangka kerja analisis

FAIR adalah model yang
risiko yang dapat digunakan organisasi
mengkodifikasikan taksonomi
untuk menerjemahkan dampak risiko
faktor-faktor yang berkontribusi
siber ke dalam keuangan dan
untuk mengambil risiko dan
memprioritaskan penanganan risiko. Ini
bagaimana faktor-faktor
juga merupakan model penilaian risiko
tersebut mempengaruhi satu
yang secara objektif dapat mengukur
sama lain dengan menetapkan
konsekuensi ekonomi dari risiko informasi
probabilitas yang akurat untuk
frekuensi dan besarnya peristiwa
kerugian.
11
 Factor Analysis Information Risk (FAIR)

Phase pada Factor Analysis Information Risk FAIR terbagi menjadi 4 tahap,
yaitu :

12
 Factor Analysis Information Risk (FAIR)

Langkah-langkah yang akan dilakukan strategi penggunaan metode FAIR untuk

sistem manajemen keamanan informasi (SMKI) dalam proses penilaian resiko adalah
menjadi 4 tahap yaitu :
Tahap 1
Dalam tahapan ini akan dilakukan identifikasi komponen resiko yang berupa aset dan ancaman. Dalam
mengidentifkasi aset maka harus dapat menjawab pertanyaan :
(1)Aset apa yang beresiko?. Untuk menjawabnya maka dapat berupa sistem, aplikasi perangkat lunak,
database, jaringan atau data center disesuaikan dengan ruang lingkup SMKI.
(2)Ancaman apa yang terkait dengan resiko?. Untuk menjawabnya dapat dimulai dari karakteristik
organisasi dan komunitas apa yang mungkin terlibat. Misalnya komunitas hacker, pihak internal, pihak
ketiga yang berkaitan dengan TI atau kasus kriminalitas lain.

13
 Factor Analysis Information Risk (FAIR)

Tahap 2
Tahapan ini dilakukan evaluasi dan
estimasi terhadap frekwensi terjadinya
resiko. Persamaan (1) menyatakan bahwa
resiko merupakan perkalian antara peluang
terjadinya ancaman (threatlikelihood) dan
besarnya dampak (magnitude ofimpact).
Oleh karena itu kedua elemen tersebut
harus diubah dalam bentuk kuantitatif. Nilai
skala kuantitatif dari elemen kemungkinan
terjadinya ancaman dapat dilihat pada tabel
berikut :

14
 Factor Analysis Information Risk (FAIR)

Kemudian perlu dilakukan pengukuran daya

Lalu Selanjutnya dilakukan identifikasi
tahan organisasi dalam menghadapi
ancaman dari semua resiko terhadap asset
ancaman. Ukurannya dapat menggunakan
dikonversi dengan nilai rating pada tabel
tabel berikut :
tersebut. Kemudian diidentifikasi
kemampuan dalam menhadapi ancaman
terhadap asset dengan menggunakan tabel
berikut :

15
 Factor Analysis Information Risk (FAIR)

Selanjutnya dapat dilakukan analisis

skala nilai kerentanan dan frekwensi
terjadinya ancaman (threat likelihood).

16
 Factor Analysis Information Risk (FAIR)

Tahap 4
Tahap 3
Pada tahap terakhir dilakukan pengukuran
Setelah itu dilanjutkan dengan penilaian
nilai resiko yang ada dengan membuat
terhadap besarnya dampak kerugian yang
matrik hubungan antara likelihood dan
disebabkan dari resiko. Skala yang
dampak resiko. Matrik yang digunakan dapat
digunakan untuk mengukur dampak kerugian
dilihat pada table berikut :
dari sebuah resiko dapat dilihat pada table
berikut :

17
 Factor Analysis Information Risk (FAIR)

Sebagai ilustrasi untuk menghitung

resiko digunakan contoh kasus data
seperti tabel berikut ini :

Yang berarti hasil analisis resiko dari salah

satu contoh kasus ini akan menjadi input
dari proses kebijakan manajemen dalam 18
komitmen mengimpelementasikan SMKI.
TERIMA KASIH !
dadi.isk@gmail.com

19
REFERENSI

[1]. Wibowo Hendro. 2017.“KAJIAN PUSTAKA METODE VALUASI TEKNOLOGI/PATEN” (Accessed : 08 Maret
2022). Tersedia dari : https://hendra.staff.ipb.ac.id/files/2017/05/KAJIAN-PUSTAKA-METODE-VALUASI-
TEKNOLOGI1.pdf
[2]. https://accounting.binus.ac.id/2021/07/13/pengenalan-mengenai-kerangka-coso-enterprise-risk-
management-erm/ (Accessed : 02 Maret 2022)
[3]. Adhisaputra Bonny & Nugroho Herbayu. “COSO ERM (Enterprise Risk Management)” [Materi perkuliahan]
(Accesses : 02 Maret 2022)
[4]. W Yustanti, A Qoiriah, R Bisma & A Prihanto.2019.” Strategi Identifikasi Resiko Keamanan Informasi Dengan
Kerangka Kerja ISO 27005:2018”. Journal Information Engineering and Educational Technology.
[5]. Anand Nair.2019.“Introduction to Information Security Risk Assessment using FAIR (Factor Analysis of
Information Risk)”.Aujas Cybersecurity.

20