Diterjemahkan dari bahasa Inggris ke bahasa Indonesia - www.onlinedoctranslator.

com

Bab 6

Manajemen risiko

TUJUAN PEMBELAJARAN
1. Diskusikan proses manajemen risiko, dan bagaimana hal itu memainkan peran penting dalam melindungi
informasi organisasi dari ancaman TI.
2. Jelaskan Manajemen Risiko Perusahaan—Kerangka Kerja Terpadu, serta delapan komponen risiko dan
pengendaliannya, dan bagaimana penerapannya pada tujuan yang ditetapkan oleh manajemen.
3. Jelaskan apa itu penilaian risiko dalam konteks organisasi.
4. Meringkas standar profesional yang memberikan panduan kepada auditor dan manajer tentang
penilaian risiko.
5. Mendukung kebutuhan pertanggungan asuransi sebagai bagian dari proses penilaian risiko untuk operasi TI.

Bab ini membahas proses pengelolaan dan evaluasi risiko dalam lingkungan TI. Manajemen risiko harus
diintegrasikan ke dalam perencanaan strategis, perencanaan operasional, manajemen proyek, alokasi
sumber daya, dan operasi harian. Manajemen risiko memungkinkan organisasi untuk fokus pada area
yang memiliki dampak tertinggi. Penilaian risiko, di sisi lain, terjadi di berbagai tingkat organisasi dengan
fokus pada area yang berbeda. Manajemen eksekutif dapat fokus pada risiko bisnis, sedangkan petugas
teknologi berfokus pada risiko teknologi, petugas keamanan berfokus pada risiko keamanan, dan auditor
fokus pada risiko pengendalian. Tetapi, apa karakteristik dan komponen dari proses manajemen risiko?
Apa standar praktik profesional untuk penilaian risiko? Apa saja contoh praktik penilaian risiko yang
digunakan di berbagai lingkungan? Mengapa cakupan asuransi begitu penting ketika berhadapan
dengan penilaian risiko? Apa saja risiko yang biasanya diasuransikan? Ini adalah beberapa pertanyaan
yang akan dijawab dalam bab ini.

Manajemen risiko
Salah urus risiko dapat membawa biaya yang sangat besar. Dalam beberapa tahun terakhir, bisnis telah
mengalami banyak pembalikan terkait risiko yang mengakibatkan kerugian finansial yang cukup besar,
penurunan nilai pemegang saham, kerusakan reputasi organisasi, pemecatan manajemen senior, dan, dalam
beberapa kasus, pembubaran bisnis. Lingkungan yang semakin berisiko ini mendorong manajemen untuk
mengadopsi perspektif yang lebih proaktif tentang manajemen risiko.

155
156◾.Kontrol dan Audit Teknologi Informasi

Manajemen risiko memastikan bahwa kerugian tidak menghalangi manajemen organisasi untuk mencapai
tujuannya dalam melestarikan aset dan mewujudkan nilai yang diharapkan dari investasi. Publikasi Khusus (SP)
Institut Nasional Standar dan Teknologi (NIST) 800-30*mendefinisikan manajemen risiko sebagai proses
mengidentifikasi dan menilai risiko, diikuti dengan penerapan prosedur yang diperlukan untuk mengurangi
risiko tersebut ke tingkat yang dapat diterima. Manajemen risiko memainkan peran penting dalam melindungi
informasi organisasi dari ancaman TI. Misalnya, manajemen risiko TI berfokus pada risiko yang dihasilkan dari
sistem TI dengan ancaman seperti penipuan, keputusan yang salah, kehilangan waktu produktif,
ketidakakuratan data, pengungkapan data yang tidak sah, dan hilangnya kepercayaan publik yang dapat
membahayakan organisasi. Proses manajemen risiko TI yang dirancang dengan baik sangat penting untuk
mengembangkan program keamanan yang sukses untuk melindungi aset TI organisasi. Ketika digunakan
secara efektif, metodologi manajemen risiko yang terstruktur dengan baik akan membantu manajemen
organisasi dalam mengidentifikasi kontrol yang memadai untuk mendukung sistem TI mereka.
Secara historis, manajemen risiko bahkan di bisnis yang paling sukses pun cenderung
berada di "silo"—risiko asuransi, risiko teknologi, risiko finansial, dan risiko lingkungan—
semuanya dikelola secara independen dalam kompartemen terpisah. Koordinasi manajemen
risiko biasanya tidak ada, dan identifikasi risiko yang muncul lamban.
Kerangka Kerja Manajemen Risiko Perusahaan (ERM) COSO mendefinisikan manajemen risiko
perusahaan sebagai berikut:

Suatu proses, yang dipengaruhi oleh dewan direksi, manajemen, dan personel lain suatu entitas,
diterapkan dalam penetapan strategi dan di seluruh perusahaan, yang dirancang untuk mengidentifikasi
peristiwa potensial yang dapat memengaruhi entitas, dan mengelola risiko agar sesuai dengan selera
risikonya, untuk memberikan jaminan yang wajar mengenai pencapaian tujuan entitas.kan

Sekilas, ada banyak kesamaan antara ERM dan kelas risiko lainnya (misalnya,kredit, pasar,likuiditas,
resiko operasional, dll.) dan alat serta teknik yang diterapkan padanya. Bahkan, prinsip yang diterapkan
hampir sama. ERM harus mengidentifikasi, mengukur, memitigasi, dan memantau risiko. Namun, pada
tingkat yang lebih rinci, terdapat banyak perbedaan, mulai dari kelas risiko itu sendiri hingga
keterampilan yang dibutuhkan untuk bekerja dengan risiko operasional.
ERM telah menjadi lebih diterima secara luas sebagai sarana untuk mengelola organisasi. Dalam survei yang
dilakukan oleh Asosiasi Internasional Manajer Risiko Profesional, lebih dari 90% responden percaya bahwa ERM
adalah atau akan menjadi bagian dari proses bisnis mereka. Jika organisasi dapat mengembangkan program
ERM yang sukses, langkah selanjutnya adalah organisasi ini mengintegrasikan ERM dengan semua kelas risiko
lainnya ke dalam kerangka kerja manajemen risiko yang benar-benar di seluruh perusahaan.

Manajer senior perlu mendorong pengembangan sistem terintegrasi yang menggabungkan risiko kredit,
pasar, likuiditas, operasional, dan lainnya yang dihasilkan oleh unit bisnis dalam kerangka kerja yang konsisten
di seluruh organisasi. Konsistensi dapat menjadi kondisi yang diperlukan untuk persetujuan regulasi model
manajemen risiko internal. Lingkungan di mana setiap unit bisnis menghitung risikonya secara terpisah dengan
aturan yang berbeda tidak akan memberikan pengawasan yang berarti terhadap risiko di seluruh perusahaan.
Meningkatnya kompleksitas produk, hubungan antar pasar, dan potensi manfaat yang ditawarkan oleh efek
portofolio secara keseluruhan mendorong organisasi ke arah standarisasi dan integrasi manajemen risiko.

* http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf.
kan Manajemen Risiko Perusahaan—Kerangka Terintegrasi. Komite Organisasi Sponsor
Komisi Treadway. September 2004, hal. 2. www.coso.org/documents/coso_erm_-executivesummary.pdf.
 Manajemen risiko◾.157

Manajemen Risiko Perusahaan—Kerangka Kerja Terintegrasi

Pertahanan terkuat terhadap risiko dan kerugian operasional berada dan mengalir dari tingkat tertinggi
organisasi—Dewan dan manajemen senior. Dewan, tim manajemen yang mereka pekerjakan, dan kebijakan
yang mereka kembangkan, semuanya menentukan nada untuk sebuah organisasi. Sebagai penjaga nilai
pemegang saham, Dewan harus benar-benar menyesuaikan diri dengan reaksi pasar terhadap berita negatif.
Bahkan, mereka dapat menemukan diri mereka dikecam oleh publik jika reaksinya cukup parah. Sebagai
perwakilan pemegang saham, anggota Dewan bertanggung jawab atas masalah kebijakan yang berkaitan
dengan tata kelola perusahaan, termasuk, namun tidak terbatas pada, menetapkan kerangka kerja dan
landasan untuk ERM.
Pada tahun 2010, Komite Manajemen Risiko Basel mengeluarkan panduan terbaru tentang pengelolaan risiko
operasional yang lebih menekankan pentingnya manajemen risiko perusahaan. Sementara itu, para pemegang saham
menyadari risiko operasional yang dapat bertambah hingga miliaran dolar setiap tahun dan mencakup kerugian yang
sering terjadi, tingkat rendah, dan juga kerugian yang jarang tetapi merupakan bencana yang benar-benar
memusnahkan bisnis. Regulator dan pemegang saham telah memberi isyarat bahwa mereka akan meminta
pertanggungjawaban Dewan dan eksekutif untuk mengelola risiko operasional.
ERM—Kerangka Terpadu, yang dikembangkan oleh COSO, adalah alat yang efektif bagi manajemen senior dan
Dewan untuk menetapkan tujuan dan strategi; mengidentifikasi, mengevaluasi, dan mengelola area risiko; memilih dan
menerapkan kontrol untuk mengurangi atau menangani area risiko; dan memastikan bahwa perusahaan pada akhirnya
mencapai tujuan dan sasarannya.
Model Kerangka Kerja Terintegrasi ERM diilustrasikan pada Tampilan 6.1. Empat kolom teratas adalah
tujuan yang biasanya ditetapkan oleh manajemen untuk mencapai tujuan perusahaan. Sisi kanan model
menunjukkan empat unit yang mungkin terdiri dari sebuah perusahaan. Model tersebut juga
menunjukkan delapan komponen spesifik ERM yang saling terkait. Kedelapan komponen risiko dan
kontrol ini berlaku untuk masing-masing dari empat tujuan manajemen, serta unit perusahaan di sisi
kanan model.

Tujuan manajemen

tingkat entitas
Kepatuhan

kamu
Pelaporan
Strategis

Operasi

Divisi
n

Saya
Komponen COSO-ERM
Unit bisnis
T
1. Lingkungan internal
2. Pengaturan tujuan
S
3. Identifikasi peristiwa (atau risiko)
Anak perusahaan
4. Penilaian risiko
5. Respons risiko
6. Kegiatan pengendalian

7. Informasi dan komunikasi

8. Pemantauan

Tampilan 6.1 model COSO-ERM.

158◾.Kontrol dan Audit Teknologi Informasi

ERM—Kerangka Terintegrasi mengambil pendekatan berbasis risiko daripada pendekatan berbasis kontrol
saat mengevaluasi kontrol internal, seperti halnya dengan COSO yang diadopsi secara luas, Kontrol Internal—
Kerangka Terpadu COSO ("Kerangka IC"). Pendekatan berbasis risiko ERM dihasilkan dari penambahan empat
elemen ke kerangka kerja IC sebelumnya: Penetapan Tujuan, Identifikasi Peristiwa (atau Risiko), Penilaian Risiko,
dan Respon Risiko. Elemen tambahan pada kerangka kerja IC ini menjadikan ERM—Kerangka Terintegrasi
menjadi lebih komprehensif untuk membantu perusahaan tidak hanya menetapkan tujuan dan mengevaluasi
risiko, tetapi juga mengidentifikasi dan menerapkan prosedur untuk mengendalikan risiko (yaitu, menerima,
menghindari, mendiversifikasi, berbagi, atau memindahkan risiko). Delapan komponen kerangka dijelaskan di
bawah ini.

Lingkungan Internal
Lingkungan internal perusahaan adalah segalanya. Ini mengacu pada budayanya, perilakunya, tindakannya,
kebijakannya, prosedurnya, nadanya, hatinya. Lingkungan internal sangat penting dalam menetapkan tujuan,
strategi, dan sasaran perusahaan; menetapkan prosedur untuk menilai atau memitigasi risiko area bisnis; dan
mengidentifikasi dan menerapkan kontrol yang memadai untuk menanggapi area risiko tersebut. Lingkungan
internal yang kuat sering kali mencegah perusahaan dari gangguan dalam manajemen dan pengendalian risiko.
Lingkungan internal adalah dasar dan infrastruktur untuk ketujuh komponen ERM lainnya, dan terdiri dari:

◾. Keyakinan, sikap, gaya operasi, dan selera risiko manajemen.

◾. Komitmen manajemen terhadap integritas, nilai-nilai etika, dan kompetensi.
◾. Pengawasan manajemen atas pengendalian internal dan struktur perusahaan.
◾. Metode pemberian wewenang dan tanggung jawab melalui penetapan kebijakan dan
prosedur formal yang konsisten dengan tujuan dan sasaran.
◾. Kebijakan, prosedur, dan praktik sumber daya manusia yang mengawasi kondisi kerja yang ada,
insentif pekerjaan, promosi, dan kemajuan karier.
◾. Prosedur untuk mematuhi persyaratan eksternal industri, serta undang-undang
peraturan, seperti yang diberlakukan oleh bank, utilitas, perusahaan asuransi, SEC dan
PCAOB, antara lain.

Pengaturan Tujuan
Tujuan mengacu pada tujuan yang ingin dicapai perusahaan. Tujuan ditetapkan pada berbagai tingkatan dalam
perusahaan. Artinya, perusahaan dapat menetapkan tujuan di tingkat atas/manajemen, misalnya untuk
memandu arah atau strategi mereka (misalnya, menjadi penjual terbaik di pasar, mengakuisisi bisnis terpisah,
bergabung dengan pesaing, dll.); atau pada tingkat yang lebih rendah, seperti meningkatkan operasi yang ada
(misalnya, mempekerjakan personel berkualitas, meningkatkan proses saat ini, menerapkan kontrol untuk
mengatasi risiko tambahan, mempertahankan tingkat produksi tertentu, dll.). Perusahaan juga dapat
menetapkan tujuan untuk tujuan pelaporan dan kepatuhan. Tujuan seperti pelaporan ditetapkan, misalnya,
untuk memastikan keandalan, kelengkapan, dan keakuratan laporan (misalnya, laporan keuangan, dll.). Tujuan
ini dicapai melalui pengamanan yang memadai terhadap sistem aplikasi keuangan, serta melakukan tinjauan
manajemen yang tepat waktu dan menyeluruh, misalnya. Tujuan kepatuhan, di sisi lain, memastikan semua
undang-undang khusus industri, lokal, negara bagian, dan federal yang berlaku diikuti dan dipatuhi dengan
benar. Kegagalan untuk mematuhi ini dapat mengakibatkan konsekuensi serius, membuat perusahaan rentan
terhadap tuntutan hukum, audit sesuai permintaan, dan sanksi yang pada akhirnya dapat menyebabkan
pembubaran.
 Manajemen risiko◾.159

Identifikasi Peristiwa (atau Risiko)

Peristiwa berdampak pada perusahaan secara internal atau eksternal. Misalnya, peristiwa dapat terjadi di luar
perusahaan (misalnya, bencana alam, pemberlakuan undang-undang dan peraturan baru, dll.) yang dapat
secara signifikan mempengaruhi tujuan, sasaran, dan/atau strateginya. Identifikasi kejadian atau risiko ini dapat
dihasilkan dari menjawab pertanyaan manajemen, seperti: (1) Apa yang bisa salah? (2) Bagaimana bisa salah? (3)
Apa potensi bahayanya? dan (4) Apa yang bisa dilakukan untuk mengatasinya? Contohnya adalah produsen meja
kantor yang mengandalkan sumber kayu yang diperlukan untuk membuat meja dari wilayah tertentu di Karibia.
Tujuan organisasi produsen adalah untuk mengikuti tingkat permintaan produksi. Jadi, berikut adalah
pertanyaan manajemen dari atas dengan tanggapan hipotetis untuk mengidentifikasi peristiwa internal atau
eksternal:

1.Apa yang bisa salah?Pengiriman kayu mungkin gagal atau mungkin tidak diterima tepat waktu sehingga pasokan
kayu tidak cukup untuk memenuhi permintaan pelanggan dan/atau tingkat produksi yang dibutuhkan.

2.Bagaimana bisa salah?Kondisi cuaca (misalnya, angin topan, banjir, dll.) dapat mempengaruhi kondisi
aman untuk menebang pohon dan menyiapkan kayu yang diperlukan; atau mencegah pengiriman kayu
secara tepat waktu ke lokasi produksi.
3.Apa potensi bahayanya?Kurangnya atau terbatasnya pasokan dapat mendorong produsen mengeluarkan biaya lebih tinggi
yang dapat diterjemahkan menjadi biaya dan harga yang lebih tinggi bagi pelanggan.
4.Apa yang bisa dilakukan tentang hal itu?Solusi mungkin termasuk mengidentifikasi setidaknya satu atau
dua pemasok tambahan (di luar Karibia), dan/atau memiliki jumlah persediaan kayu yang lebih banyak.
Ini akan membantu dalam mencegah atau mengurangi masalah yang baru saja diidentifikasi, dan
memastikan bahwa tingkat produksi minimum tetap konsisten dengan tujuan organisasi.

Kuncinya adalah mengidentifikasi potensi peristiwa atau risiko yang dapat berdampak signifikan terhadap operasi dan
pendapatan bisnis. Risiko diklasifikasikan sebagai bawaan (ada sebelum rencana dibuat untuk mengendalikannya) atau
residual (risiko yang tersisa setelah dikendalikan), dan dapat diidentifikasi melalui:

◾. Audit atau inspeksi oleh manajer, pekerja, atau pihak independen terhadap lokasi atau
praktik operasional perusahaan
◾. Bagan alir operasi atau proses dari operasi perusahaan
◾. Kuesioner analisis risiko di mana informasi dapat ditangkap tentang operasi perusahaan dan
aktivitas yang sedang berlangsung
◾. Analisis laporan keuangan untuk menggambarkan tren di bidang pendapatan dan biaya, mengidentifikasi
analisis eksposur aset
◾. Daftar periksa polis asuransi

Tugas beresiko
Mengingat meningkatnya ketergantungan pada TI dan sistem otomatis, penekanan khusus harus ditempatkan
dalam tinjauan dan analisis risiko di bidang ini. Fasilitas dan perangkat keras TI sering kali disertakan dalam
tinjauan pabrik dan properti perusahaan secara keseluruhan; namun, sistem otomatis memerlukan analisis
terpisah, terutama ketika sistem ini merupakan satu-satunya sumber informasi penting bagi perusahaan seperti
dalam lingkungan e-bisnis saat ini. Ada banyak risiko yang mempengaruhi lingkungan TI saat ini. Perusahaan
menghadapi kerugian dari peristiwa tradisional, seperti bencana alam, kecelakaan, vandalisme, dan pencurian,
dan juga dari peristiwa serupa dalam bentuk elektronik. Ini dapat disebabkan oleh virus komputer,
160◾.Kontrol dan Audit Teknologi Informasi

pencurian informasi atau data, sabotase elektronik, dan sebagainya. Beberapa contoh sumber daya untuk
membantu dalam identifikasi dan evaluasi risiko terkait TI ini meliputi:

◾. NIST.gov. NIST telah menjadi pemimpin dalam menyediakan alat dan teknik untuk mendukung TI. Ini
memiliki sejumlah alat pendukung yang dapat digunakan oleh organisasi kecil hingga besar swasta untuk
tujuan penilaian risiko.
◾. GAO.gov. Kantor Akuntabilitas Pemerintah AS (GAO) telah menyediakan sejumlah sumber
daya audit, kontrol, dan keamanan serta identifikasi praktik terbaik dalam mengelola dan
meninjau risiko TI di banyak bidang.
◾. Pendekatan kerugian yang diharapkan. Metode yang dikembangkan oleh IBM yang menilai kemungkinan kerugian dan frekuensi
kejadian untuk semua peristiwa yang tidak dapat diterima untuk setiap sistem otomatis atau file data. Peristiwa yang tidak dapat

diterima dikategorikan sebagai: pengungkapan yang tidak disengaja atau disengaja; modifikasi yang tidak disengaja atau disengaja;

atau penghancuran yang tidak disengaja atau disengaja.

◾. Pendekatan penilaian. Mengidentifikasi dan menimbang berbagai karakteristik sistem TI. Pendekatan ini menggunakan
skor akhir untuk membandingkan dan memberi peringkat kepentingannya.

Setelah diidentifikasi, risiko dinilai, yang berarti bahwa kemungkinan potensi kerugiannya diukur
dan diberi peringkat. Risiko dinilai dari dua perspektif: Kemungkinan dan Dampak. Likelihood
mengacu pada kemungkinan terjadinya suatu peristiwa. Dampak, di sisi lain, adalah perkiraan
potensi kerugian jika peristiwa tertentu terjadi. Risiko dikategorikan sebagai berikut:

◾. Kritis—eksposur akan mengakibatkan kebangkrutan, misalnya.

◾. Penting—kemungkinan kerugian tidak akan menyebabkan kebangkrutan, tetapi mengharuskan perusahaan untuk mengambil
pinjaman untuk melanjutkan operasi.

◾. Tidak penting— eksposur yang dapat diakomodasi oleh aset yang ada atau pendapatan saat ini tanpa
memaksakan tekanan keuangan yang tidak semestinya.

Menetapkan risiko yang teridentifikasi ke salah satu kategori di atas memberi mereka tingkat signifikansi dan
membantu menentukan cara yang tepat untuk menangani risiko tersebut. Penilaian risiko dibahas secara lebih rinci di
bagian selanjutnya.

Respons Risiko
Setelah menilai risiko, langkah selanjutnya adalah menyusun rencana tindakan dan menentukan teknik yang dapat
diterapkan untuk merespons risiko yang teridentifikasi. Biasanya, proses respons risiko dimulai dengan perusahaan
mengevaluasi risiko inheren mereka, kemudian memilih teknik respons yang sesuai, dan akhirnya menilai risiko residual.
Manajemen dapat bereaksi atau merespons risiko yang teridentifikasi dengan salah satu dari empat cara berikut:
Menghindari, Mencegah, Mengurangi, atau Mentransfer.

◾. Menghindariatau sepenuhnya menghilangkan risiko. Misalnya, fitur baru yang disertakan dalam rilis
perangkat lunak aplikasi berikutnya diperkirakan menurunkan kinerja aplikasi dengan memperlambat
beberapa pemrosesan penting. Untuk menghindari risiko, fitur perangkat lunak dihilangkan dari rilis
berikutnya.
◾. Mencegahrisiko melalui penerapan kontrol TI, seperti (1) melakukan pemeriksaan validitas saat
memasukkan data; (2) membersihkan drive disk dan menyimpan media magnetik dan optik dengan
benar untuk mengurangi risiko kegagalan perangkat keras dan perangkat lunak; (3) mengonfigurasi
kontrol keamanan pengaturan logis (yaitu, kata sandi) dalam sistem aplikasi.
 Manajemen risiko◾.161

Tampilan 6.2 Teknik Respons Risiko

Respons Risiko
Contoh Pertanyaan sebelum Memilih Teknik Teknik
• Apakah risiko tersebut tidak mungkin untuk dihindari? Penghindaran
• Apakah risiko tidak praktis untuk dihindari?
• Apakah risikonya terlalu mahal untuk dihindari?
• Apakah risiko terlalu memakan waktu untuk dihindari?

• Apakah ada pengendalian untuk mencegah terjadinya risiko? Pencegahan

• Jika ya, apakah pengendalian ini efektif dari segi biaya? (yaitu,
manfaat penerapan kontrol lebih besar daripada biayanya?)
• Apakah ada pengendalian yang efektif untuk mengurangi risiko? (yaitu, Pengurangan
manfaat penerapan kontrol lebih besar daripada biayanya?)
• Apakah risiko lain juga akan berkurang dari pengendalian yang diterapkan?
• Apakah risiko dapat dialihkan kepada pihak ketiga melalui asuransi Transfer
pembelian?
• Dapatkah risiko dikurangi sebagian dan dialihkan sebagian?

◾. Mengurangirisiko melalui tindakan mitigasi, seperti memiliki kontrol yang mendeteksi

kesalahan setelah data selesai. Contohnya termasuk menerapkan tinjauan akses pengguna,
melakukan rekonsiliasi, dan melakukan kontrol transmisi data, antara lain.
◾. Transferseluruh atau sebagian risiko kepada pihak ketiga. Metode umum transfer risiko termasuk memperoleh
layanan asuransi atau outsourcing (subkontrak). Sebagai contoh, perusahaan yang perlu memperbarui sistem
aplikasi keuangannya dapat memilih untuk mengalihdayakan atau mensubkontrakkan proyek semacam itu
(bersama dengan semua risikonya) kepada pihak luar.

Pilihan terakhir akan melibatkan manajemen dengan asumsi atau mempertahankan risiko. Artinya, setelah
menilai risiko, manajemen merasa nyaman mengetahui tentang risiko dan memutuskan untuk melanjutkannya.
Contoh di sini adalah seorang investor yang mengasumsikan risiko bahwa perusahaan tempat dia membeli
kepemilikan (saham) kemungkinan akan bangkrut. Lebih dari satu teknik dapat diterapkan pada risiko tertentu
(misalnya, risiko dapat dikurangi, kemudian dialihkan, dll.). Tujuan manajemen risiko TI harus digunakan sebagai
panduan dalam memilih teknik. Tampilan 6.2 menunjukkan pertanyaan kunci umum yang diajukan oleh
personel TI dan manajemen sebelum memilih dari empat teknik respons yang disebutkan di atas.
Setelah teknik yang sesuai telah dipilih, itu harus diimplementasikan. Teknik yang
diterapkan harus dievaluasi dan ditinjau secara berkala. Hal ini penting karena variabel yang
masuk dalam pemilihan teknik sebelumnya dapat berubah. Teknik yang tepat tahun lalu
mungkin tidak tepat tahun ini, dan kesalahan bisa saja terjadi. Penerapan teknik yang salah
harus dideteksi sejak dini dan diperbaiki.

Aktivitas Kontrol
COBIT mendefinisikan aktivitas pengendalian sebagai "kebijakan, prosedur, praktik, dan struktur organisasi yang
dirancang untuk memberikan jaminan yang masuk akal bahwa tujuan bisnis akan tercapai dan bahwa kejadian yang
tidak diinginkan akan dicegah atau dideteksi dan diperbaiki." Dengan kata lain, aktivitas pengendalian (atau
pengendalian) adalah prosedur yang diterapkan manajemen untuk menjaga aset, menyimpan informasi yang akurat
dan lengkap, serta mencapai tujuan dan sasaran bisnis yang ditetapkan. Menerapkan pengendalian adalah cara yang
efektif untuk: (1) mengurangi risiko yang teridentifikasi ke tingkat yang dapat diterima; (2) mematuhi perusahaan
162◾.Kontrol dan Audit Teknologi Informasi

kebijakan, prosedur, undang-undang, dan peraturan; dan (3) meningkatkan efisiensi operasi yang ada. Setelah
di tempat, kontrol harus dipantau untuk implementasi yang efektif. Mereka juga harus dinilai untuk menentukan
apakah mereka beroperasi secara efektif dan seperti yang diharapkan ketika awalnya dirancang.
Ada tiga jenis pengendalian: Preventif, Detektif, dan Korektif. Manajemen harus mengidentifikasi dan menerapkan
pengendalian dari ketiga jenis di atas untuk melindungi perusahaan dari kejadian yang tidak diinginkan. Kontrol preventif,
misalnya, mencegah terjadinya masalah dan biasanya lebih unggul daripada kontrol detektif. Contoh pengendalian preventif
termasuk mempekerjakan personel yang berkualifikasi, memisahkan tugas karyawan, dan mengendalikan akses fisik. Jenis
kontrol kedua, kontrol detektif, dimaksudkan untuk menemukan masalah yang tidak dapat dicegah. Contoh pengendalian
detektif termasuk melakukan rekonsiliasi rekening bank, neraca saldo, dll. Pengendalian detektif dirancang untuk memicu ketika
pengendalian preventif gagal. Kontrol korektif, jenis kontrol ketiga, dirancang untuk mengidentifikasi, memperbaiki, dan pulih
dari masalah yang diidentifikasi. Mirip dengan kontrol detektif, kontrol korektif "bereaksi terhadap apa yang baru saja terjadi."
Contohnya termasuk memelihara salinan cadangan file dan memperbaiki kesalahan entri data. Sistem pengendalian internal
yang efektif harus menerapkan ketiga jenis pengendalian tersebut. Area di mana kontrol dapat diterapkan meliputi, antara lain,
pemisahan tugas; persetujuan dan otorisasi transaksi; manajemen perubahan; aset, catatan, dan perlindungan data; dan
pemeriksaan dan pemantauan kinerja sistem. pemisahan tugas; persetujuan dan otorisasi transaksi; manajemen perubahan;
aset, catatan, dan perlindungan data; dan pemeriksaan dan pemantauan kinerja sistem. pemisahan tugas; persetujuan dan
otorisasi transaksi; manajemen perubahan; aset, catatan, dan perlindungan data; dan pemeriksaan dan pemantauan kinerja
sistem.

Informasi dan Komunikasi

Untuk menjelaskan komponen ketujuh dari ERM—model Kerangka Terpadu, informasi dan komunikasi, sangat
penting untuk menjelaskan apa itu informasi dan apa yang dimaksud dengan komunikasi. Perusahaan
membutuhkan informasi untuk melaksanakan tanggung jawab pengendalian internalnya dan pada akhirnya
untuk mendukung pencapaian tujuan dan sasaran bisnisnya. Informasi adalah data yang diatur dan diproses
untuk memberikan makna dan, dengan demikian, meningkatkan pengambilan keputusan. Manajemen
membutuhkan informasi tersebut, yang dihasilkan dari sumber internal atau eksternal, berguna (yaitu,
informasi berkualitas) untuk membuat keputusan bisnis yang efektif dan efisien, serta untuk mendukung fungsi
sistem pengendalian internal secara memadai. Informasi berguna jika:

1.Relevan: informasi relevan dan dapat diterapkan untuk membuat keputusan (misalnya, keputusan untuk
memperpanjang kredit pelanggan akan memerlukan informasi yang relevan tentang saldo pelanggan
dari laporan umur Piutang Usaha, dll.).
2.Dapat diandalkan: informasi bebas dari bias, dapat diandalkan, dipercaya.
3.Menyelesaikan: informasi tidak menghilangkan aspek penting dari peristiwa atau kegiatan.
4.Tepat waktu: informasi perlu diberikan pada waktunya untuk membuat keputusan.
5.Dapat dimengerti: informasi harus disajikan dengan cara yang berarti.
6.Dapat diverifikasi: dua atau lebih orang yang independen dapat menghasilkan kesimpulan yang sama.
7.Dapat diakses: informasi tersedia saat dibutuhkan.

Komunikasi, di sisi lain, mengacu pada proses penyediaan, berbagi, dan memperoleh informasi yang
diperlukan secara terus menerus dan sering. Komunikasi informasi dapat terjadi secara internal di dalam
perusahaan (misalnya, pesan dari CEO atau CIO kepada semua karyawan perusahaan, dll.) atau secara
eksternal (misalnya, informasi yang diterima dari regulator, informasi yang dikirimkan untuk tujuan audit,
dll.).
Sistem informasi dan komunikasi, seperti sistem informasi akuntansi (AIS), harus
diterapkan untuk memungkinkan menangkap dan bertukar informasi yang dibutuhkan, serta
 Manajemen risiko◾.163

sebagai menjalankan, mengelola, dan mengendalikan operasi perusahaan. SIA harus mengumpulkan,
merekam, memproses, menyimpan, meringkas, dan mengomunikasikan informasi tentang suatu
organisasi. Ini termasuk memahami bagaimana transaksi dimulai, data ditangkap, file diakses dan
diperbarui, data diproses, dan informasi dilaporkan. SIA juga mencakup pemahaman catatan dan
prosedur akuntansi, dokumen pendukung, dan laporan keuangan.

Pemantauan
Kegiatan pemantauan, baik secara berkelanjutan atau terpisah, harus dilakukan untuk memastikan bahwa
sistem informasi dan komunikasi (yaitu, AIS) diimplementasikan secara efektif dan, yang terpenting, beroperasi
seperti yang dirancang. Penilaian pemantauan berkelanjutan yang telah dimasukkan ke dalam proses bisnis
yang ada di berbagai tingkatan, misalnya, memberikan informasi yang tepat waktu dan relevan yang
mendukung apakah SIA berfungsi atau tidak seperti yang diharapkan. Pemantauan penilaian yang dilakukan
secara terpisah bervariasi dalam lingkup dan frekuensi, dan dilakukan tergantung pada seberapa efektif
penilaian tersebut, hasil dari penilaian risiko, dan tujuan dan sasaran manajemen tertentu.
Contoh kegiatan pemantauan dapat mencakup audit internal atau evaluasi pengendalian internal; menilai
pengawasan yang efektif; pemantauan terhadap anggaran yang ditetapkan dan disetujui; melacak perangkat
lunak dan perangkat seluler yang dibeli; melakukan audit keamanan eksternal, internal, dan/atau jaringan
secara berkala; membawa aKepala Petugas Keamanan Informasidanspesialis forensik; menginstalperangkat
lunak pendeteksi penipuan; dan mengimplementasikanhotline penipuan, diantara yang lain.
Kekurangan, jika ada, yang dihasilkan dari kegiatan pemantauan dan evaluasi terhadap kriteria yang
ditetapkan oleh regulator dan badan penetapan standar, serta kebijakan dan prosedur yang ditetapkan
oleh manajemen, harus didokumentasikan, dievaluasi, dan dikomunikasikan. Kekurangan
dikomunikasikan kepada manajemen dan Dewan sebagaimana mestinya.

Tugas beresiko
Penilaian risiko merupakan langkah pertama dalam metodologi manajemen risiko. Penilaian risiko, berdasarkan
NIST, digunakan oleh organisasi untuk menentukan tingkat potensi ancaman dan mengevaluasi risiko yang
terkait dengan sistem TI. Hasil di atas membantu manajemen dalam mengidentifikasi dan menerapkan kontrol
TI yang tepat untuk mengurangi dan/atau menghilangkan ancaman dan risiko tersebut. Penilaian risiko
menyediakan kerangka kerja untuk mengalokasikan sumber daya untuk mencapai manfaat maksimal.
Mengingat jumlah area TI yang signifikan, tetapi jumlah sumber daya yang terbatas, penting untuk fokus pada
area yang tepat. Penilaian risiko adalah alat dan teknik yang dapat digunakan untuk mengevaluasi sendiri
tingkat risiko dari proses atau fungsi tertentu, seperti TI. Mereka mewakili cara menerapkan pengukuran
objektif pada proses yang benar-benar subjektif.
SEBUAHkepala petugas risiko (CRO), bekerja sama dengan Dewan Direksi (Board), harus
menentukan batasan risiko yang ingin diambil organisasi. Batasan risiko ini tidak boleh statis tetapi
harus dapat berubah—dokumen kerja. Batasan risiko ini harus dipublikasikan dan tersedia untuk
unit bisnis, karena setiap manajer bisnis akan bertanggung jawab untuk menilai lini risiko bisnis,
membuat rencana tindakan risiko, dan menentukan apakah risikonya berada di dalam atau di luar
toleransi yang ditetapkan.
Sebagai bagian dari proses perencanaan strategis setiap tahun, manajer bisnis harus diminta
untuk menyelesaikan penilaian risiko di areanya. Termasuk di dalamnya adalah penilaian risiko atas
risiko bisnis dari setiap aplikasi atau sistem yang dimiliki lini bisnis. COBIT atau standar serupa
seperti NIST, Organisasi Internasional untuk Standardisasi/Teknik Elektro Internasional
164◾.Kontrol dan Audit Teknologi Informasi

Commission (ISO/IEC), dan lain-lain harus disepakati sebagai pedoman yang akan digunakan. Ini akan
menempatkan semua penilaian risiko TI pada istilah yang sama dan membuatnya agak standar untuk jenis
risiko yang diidentifikasi.
Penilaian risiko harus diselesaikan oleh lini bisnis dengan bantuan dari koordinator manajemen
risiko TI atau audit internal. Koordinator manajemen risiko TI dapat memberikan wawasan dan
informasi kepada lini bisnis mengenai risiko spesifik yang dihadapi oleh aplikasi atau sistem.
Manajer bisnis akan dapat menilai ini dengan mempertimbangkan keseluruhan risiko yang
dihadapi lini bisnis. Departemen TI harus melakukan penilaian risiko aplikasi dan sistem di seluruh
perusahaan seperti jaringan atau perangkat lunak email di seluruh perusahaan. Departemen IT,
dipimpin olehChief Technology Officer (CTO), akan mengevaluasi, mengelola, dan menerima
risiko yang terkait dengan jenis teknologi tingkat perusahaan ini.
Dalam beberapa hal, CRO dan staf CTO akan berperan sebagai fasilitator dari proses ini. Mereka akan menentukan
apakah penilaian risiko tidak memadai atau kurang informasi. Mereka akan menciptakan alat untuk membantu lini
bisnis dalam mengidentifikasi risiko dan kemungkinan pengendalian, memutuskan pengendalian mana yang akan
diterapkan, dan memantau serta mengukur pengendalian tersebut untuk efektivitas.
Setelah penilaian risiko diisi dan semua risiko yang dihadapi lini bisnis tertentu diidentifikasi sepenuhnya,
manajer bisnis, dengan bantuan staf CRO, harus meninjau risiko dan pengendalian terkait. Ini harus
dibandingkan dengan persyaratan peraturan yang berlaku dan batas yang disetujui Dewan untuk pengambilan
risiko. Jika ada risiko yang berada di luar batas peraturan atau Dewan, CRO dan manajemen bisnis bekerja sama
untuk menemukan solusi guna menurunkan risiko ke tingkat yang dapat diterima. Ini dapat mencakup
penerapan lebih banyak kontrol—misalnya, memerlukan dua tanda tangan manajemen sebelum memproses
perubahan file master. Ini dapat mencakup pembelian asuransi untuk mengalihkan sebagian risiko kepada
pihak ketiga, seperti asuransi bahaya untuk pusat data jika terjadi bencana alam. Atau, itu bisa berarti
memutuskan untuk tidak menawarkan layanan tertentu, seperti membuka rekening secara online, karena risiko
penipuan yang sangat tinggi. Semua solusi yang mungkin ini menghasilkan risiko yang diturunkan, dan
tujuannya adalah untuk mengurangi risiko ke tingkat yang dapat diterima oleh badan pengatur organisasi dan
Dewannya.
Penilaian risiko harus ditinjau dan dipertimbangkan kembali setiap tahun. Tinjauan ini harus
mencakup penambahan risiko baru ke unit bisnis karena produk atau layanan baru, atau mungkin
teknologi baru yang baru saja diterapkan. Tinjauan juga harus menilai apakah peringkat untuk
setiap risiko dibenarkan atau mungkin perlu disesuaikan. Organisasi dapat memutuskan untuk
meminta peninjauan penilaian risiko lebih sering di awal implementasi sampai puas bahwa semua
potensi risiko telah diidentifikasi dan dimasukkan dalam proses manajemen risiko. CRO juga harus
menerapkan kartu skor dan metrik, seperti model maturitas, yang dengannya lini manajemen
risiko bisnis dapat diukur. Lini bisnis dengan praktik manajemen risiko yang baik harus dihargai.

Audit internal akan mengevaluasi penilaian risiko secara independen setiap kali mereka mengaudit
suatu fungsi, area, atau aplikasi. Jika audit merasa penilaian risiko tidak memadai atau bahwa semua
potensi risiko belum diidentifikasi atau dikendalikan secara memadai, itu akan menjadi masalah bagi
bisnis dan CRO. Audit berkala oleh auditor eksternal dan badan pengatur juga merupakan bagian penting
dari program manajemen risiko TI.

Panduan yang Tersedia

Ada beberapa standar profesional yang memberikan panduan kepada auditor dan manajer yang terlibat
dalam proses penilaian risiko. Standar ini berasal dari organisasi yang diakui secara luas seperti
 Manajemen risiko◾.165

COBIT dan ISO/IEC. Standar lain untuk penilaian risiko tersedia dari NIST, GAO, American
Institute of Certified Public Accountants, ISACA, Institute of Internal Auditors, dan Committee
of Sponsoring Organizations of the Treadway Commission.

COBIT
Seperti yang dinyatakan sebelumnya, COBIT adalah kerangka kerja tata kelola TI terkenal yang
membantu organisasi di bidang kepatuhan terhadap peraturan dan penyelarasan strategi TI dan tujuan
organisasi. COBIT juga penting untuk organisasi di bidang manajemen risiko. Secara khusus, set
internasional COBIT tentang praktik TI atau tujuan kontrol yang diterima secara umum membantu
karyawan, manajer, eksekutif, dan auditor dalam: memahami sistem TI, melaksanakan tanggung jawab
fidusia, mengelola dan menilai risiko TI, dan memutuskan tingkat keamanan dan kontrol yang memadai.

COBIT membantu organisasi menciptakan nilai optimal dari TI dengan menjaga keseimbangan antara
mewujudkan manfaat dan mengoptimalkan tingkat risiko dan penggunaan sumber daya. Kerangka kerja ini
berharga untuk semua jenis ukuran organisasi, termasuk komersial, nirlaba, atau di sektor publik. Kerangka
kerja yang komprehensif menyediakan serangkaian tujuan kontrol yang tidak hanya membantu manajemen TI
dan profesional tata kelola mengelola operasi TI mereka, tetapi juga auditor TI dalam pencarian mereka untuk
memeriksa tujuan tersebut. Pemilihan COBIT mungkin tepat ketika tujuan organisasi tidak hanya untuk
memahami dan menyelaraskan tujuan TI dan bisnis, tetapi juga untuk menangani bidang kepatuhan terhadap
peraturan dan manajemen risiko.

ISO/IEC
Rangkaian standar ISO/IEC 27000 mencakup teknik yang membantu organisasi mengamankan aset
informasi mereka. ISO/IEC 27005:2011 Teknologi Informasi—Teknik Keamanan—Manajemen Risiko
Keamanan Informasi, misalnya, memberikan panduan untuk manajemen risiko keamanan
informasi yang memuaskan. Ini mendukung konsep umum yang ditentukan dalam ISO/IEC 27001,
dan berlaku untuk organisasi di sebagian besar jenis industri (misalnya, komersial/swasta,
pemerintah, nirlaba, dll.). ISO/IEC 27005:2011 serta keluarga standar ISO/IEC lainnya semua
membantu organisasi mengelola keamanan aset, termasuk, namun tidak terbatas pada, informasi
keuangan, kekayaan intelektual, detail karyawan, atau informasi yang dipercayakan oleh pihak
ketiga Para Pihak.
Standar ISO/IEC 27005:2011 tidak menentukan atau merekomendasikan metode manajemen
risiko tertentu, tetapi menyarankan proses yang terdiri dari urutan terstruktur dari aktivitas
berkelanjutan, yang meliputi:

◾. Menetapkan konteks manajemen risiko, termasuk ruang lingkup, tujuan kepatuhan, pendekatan/
metode yang akan digunakan, serta kebijakan dan kriteria yang relevan (misalnya, toleransi risiko
organisasi, selera risiko, dll.).
◾. Menilai risiko informasi yang relevan secara kuantitatif atau kualitatif dengan mempertimbangkan
aset informasi, ancaman, kerentanan, dan kontrol yang ada. Penilaian ini akan membantu dalam
menentukan kemungkinan insiden atau skenario insiden, dan konsekuensi bisnis yang diprediksi
jika itu terjadi (yaitu, tingkat risiko).
◾. Menentukan, berdasarkan tingkat risiko, bagaimana manajemen akan bereaksi atau merespons risiko yang teridentifikasi
(yaitu, apakah manajemen akan sepenuhnya menghindari, mengurangi, mengalihkan ke pihak ketiga, atau akhirnya
menerima risiko).
166◾.Kontrol dan Audit Teknologi Informasi

◾. Menjaga agar pemangku kepentingan tetap sadar dan terinformasi selama proses manajemen risiko
keamanan informasi.
◾. Memantau dan mengkaji risiko, perlakuan risiko, tujuan risiko, kewajiban, dan kriteria secara terus
menerus.
◾. Mengidentifikasi dan menanggapi secara tepat perubahan yang signifikan.

Institut Standar dan Teknologi Nasional (NIST)

Fokus utama aktivitas NIST di bidang TI adalah menyediakan kriteria pengukuran untuk mendukung pengembangan
teknologi yang sangat penting dan berwawasan ke depan. Standar dan pedoman NIST dikeluarkan sebagaiStandar
Pemrosesan Informasi Federal (FIPS)untuk penggunaan di seluruh pemerintah. NIST mengembangkan FIPS ketika ada
persyaratan pemerintah federal yang mendesak untuk standar TI yang terkait dengan keamanan dan interoperabilitas,
dan tidak ada standar atau solusi industri yang dapat diterima.
Salah satu yang pertama dari beberapa standar federal yang dikeluarkan oleh NIST pada tahun 1974 adalah
FIPS 31, “Pedoman untuk Pemrosesan Data Otomatis Keamanan Fisik dan Manajemen Risiko.” Standar ini
memberikan panduan awal untuk organisasi federal dalam mengembangkan keamanan fisik dan program
manajemen risiko untuk fasilitas sistem informasi (IS). Kemudian, pada bulan Maret 2006, NIST mengeluarkan
FIPS 200 “Persyaratan Keamanan Minimum untuk Sistem Informasi dan Informasi Federal”, di mana lembaga
federal bertanggung jawab untuk memasukkan dalam informasi mereka “kebijakan dan prosedur yang
memastikan kepatuhan dengan persyaratan konfigurasi sistem yang dapat diterima secara minimal,
sebagaimana ditentukan oleh agen."
Mengelola konfigurasi sistem juga merupakan persyaratan keamanan minimum yang diidentifikasi dalam FIPS
200, dan NIST SP 800-53, "Kontrol Keamanan dan Privasi untuk Sistem dan Organisasi Informasi Federal,"
datang untuk menentukan kontrol keamanan dan privasi yang mendukung persyaratan ini. Pada Agustus
2011, NIST mengeluarkan SP 800-128, "Panduan untuk Manajemen Konfigurasi Berfokus Keamanan IS."
Konsep dan prinsip manajemen konfigurasi yang dijelaskan dalam publikasi khusus ini memberikan
informasi pendukung untuk NIST SP 800-53, dan sesuai dengan Kerangka Manajemen Risiko (RMF) yang
dibahas dalam NIST SP 800-37, “Panduan untuk Menerapkan Kerangka Manajemen Risiko ke Federal
Sistem Informasi: Pendekatan Siklus Hidup Keamanan,” sebagaimana telah diubah. Pedoman yang lebih
spesifik tentang penerapan langkah monitor RMF disediakan dalam Draft NIST SP 800-137, “Pemantauan
Berkelanjutan Keamanan Informasi untuk IS dan Organisasi Federal. ” Tujuan NIST SP 800-137 di RMF
adalah untuk terus memantau efektivitas semua kontrol keamanan yang dipilih, diterapkan, dan
disahkan untuk melindungi informasi organisasi dan IS, yang mencakup kontrol keamanan manajemen
konfigurasi yang diidentifikasi di SP 800-53. Dokumen-dokumen ini adalah titik awal yang sangat baik
untuk memahami dasar dan banyak pendekatan yang dapat digunakan seseorang dalam menilai risiko di
TI saat ini.
Saat menilai risiko yang terkait dengan TI, perhatian khusus harus diberikan pada panduan
NIST SP 800-30, “Panduan untuk Melakukan Penilaian Risiko.”*Panduan NIST SP 800-30
memberikan landasan umum bagi personel organisasi dengan atau tanpa pengalaman, yang
menggunakan atau mendukung proses manajemen risiko untuk sistem TI mereka. Personil
organisasi antara lain: manajemen senior, manajer keamanan TI, personel dukungan teknis,
konsultan TI, dan auditor TI. Standar penilaian risiko NIST SP 800-30 dapat diimplementasikan
dalam satu atau beberapa sistem yang saling terkait, dari organisasi kecil hingga besar.

* http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf.
 Manajemen risiko◾.167

Pedoman NIST, termasuk SP 800-30, telah membantu lembaga dan organisasi federal dalam meningkatkan
kualitas keamanan TI mereka secara signifikan dengan:

◾. menyediakan kerangka kerja standar untuk mengelola dan menilai risiko SI organisasi,
sambil mendukung misi organisasi dan fungsi bisnis;
◾. memungkinkan untuk membuat penentuan berbasis risiko, sambil memastikan implementasi yang hemat biaya;
◾. menggambarkan pendekatan yang lebih fleksibel dan dinamis yang dapat digunakan untuk memantau
status keamanan informasi IS organisasi;
◾. mendukung pendekatan bottom-up dalam hal keamanan informasi, berpusat pada SI
individu yang mendukung organisasi; dan
◾. mempromosikan pendekatan top-down terkait dengan keamanan informasi, dengan fokus pada isu-isu
spesifik terkait TI dari perspektif perusahaan.

Organisasi dalam sektor swasta (kecil, menengah, dan besar) secara signifikan menggunakan pedoman
NIST untuk mempromosikan fungsi bisnis penting yang aman, termasuk kepercayaan pelanggan
terhadap kemampuan organisasi untuk melindungi informasi pribadi dan sensitif mereka. Selain itu,
fleksibilitas penerapan pedoman NIST menyediakan alat yang tepat bagi organisasi untuk menunjukkan
kepatuhan terhadap peraturan.
Standar NIST SP 800-30 sering digunakan saat melakukan penilaian risiko karena fleksibilitas dan
kemudahan penggunaannya dalam: (1) mengidentifikasi potensi risiko yang terkait dengan IS, serta (2)
menentukan kemungkinan terjadinya, dampak, dan tambahan pengamanan untuk mitigasi. Pedoman
tersebut telah terbukti melakukan penilaian risiko dan kerentanan yang akurat dan menyeluruh terkait
dengan kerahasiaan, integritas, dan ketersediaan informasi. Lampiran 5 menunjukkan contoh penilaian
risiko TI yang dilakukan untuk organisasi yang menggunakan NIST SP 800-30.

Kantor Akuntabilitas Pemerintah (GAO)

GAO adalah lembaga nonpartisan dalam cabang legislatif pemerintah. GAO melakukan audit,
survei, investigasi, dan evaluasi program federal. Ini mungkin termasuk audit badan federal dan
pemerintah negara bagian, kabupaten, dan kota, dan meluas ke industri swasta, di mana dana
federal dibelanjakan. Seringkali, pekerjaan GAO dilakukan atas permintaan komite atau anggota
kongres, atau untuk memenuhi mandat khusus atau persyaratan legislatif dasar. Temuan dan
rekomendasi GAO diterbitkan sebagai laporan kepada anggota kongres atau disampaikan sebagai
kesaksian kepada komite kongres. GAO telah mengeluarkan banyak laporan tentang keamanan
komputer, kerentanan TI, dan penilaian risiko.
Pemerintah federal AS telah menginvestasikan sejumlah besar sumber daya dalam memeriksa
risiko sejak awal 1960-an. Contohnya termasuk Laporan Standar Akuntansi Pemerintah (GAS) dan
Manajemen Informasi dan Teknologi (IMTEC) GAO. GAS 4.29, "Kontrol Pengamanan," misalnya,
digunakan untuk membantu auditor mengenali faktor risiko yang melibatkan pemrosesan
komputer. IMTEC 8.1.4, “Teknologi Informasi: Panduan Audit untuk Menilai Risiko Akuisisi,”
digunakan dalam perencanaan dan pelaksanaan penilaian risiko perangkat keras dan perangkat
lunak komputer, telekomunikasi, dan akuisisi pengembangan sistem.

Institut Akuntan Publik Bersertifikat Amerika (AICPA)

Pernyataan tentang Standar Auditing (SAS) dikeluarkan oleh Dewan Standar Auditing AICPA
dan diakui sebagai interpretasi dari 10 standar audit yang berlaku umum. Sebagai
168◾.Kontrol dan Audit Teknologi Informasi

disebutkan dalam bab-bab sebelumnya, AICPA telah memainkan peran utama dalam penerbitan panduan untuk
profesi akuntansi dan kontrol. Contoh penerapan konsep risiko dan materialitas audit adalah dengan
diterbitkannya SAS 47, “Risiko Audit dan Materialitas dalam Melakukan Audit”, yang berkaitan dengan penilaian
risiko. Dalam SAS 47, risiko pengendalian didefinisikan sebagai kemungkinan salah saji yang terjadi dalam saldo
akun atau golongan transaksi yang (1) dapat menjadi material bila digabungkan dengan salah saji pada saldo
atau golongan lain dan (2) tidak akan dicegah atau dideteksi pada secara tepat waktu oleh sistem pengendalian
internal.
SAS 65, “Pertimbangan Auditor terhadap Fungsi Audit Internal dalam Audit Laporan Keuangan”, mensyaratkan bahwa, dalam semua penugasan,

auditor mengembangkan beberapa pemahaman tentang fungsi audit internal (audit TI, jika tersedia) dan menentukan apakah fungsi tersebut relevan

dengan penilaian risiko pengendalian. Jadi, jika ada fungsi audit internal, harus dievaluasi. Evaluasi tidak opsional. Pada tahun 1996, AICPA mengeluarkan

SAS 80, yang mengubah SAS 31, “Evidential Matter.” SAS 80 secara langsung ditujukan untuk meningkatkan audit di lingkungan TI. SAS ini membuat

dampak besar pada profesi audit. Kutipan dari SAS 80 menyatakan: “Dalam entitas di mana informasi penting ditransmisikan, diproses, dipelihara, atau

diakses secara elektronik, auditor dapat menentukan bahwa tidak praktis atau tidak mungkin untuk mengurangi risiko deteksi ke tingkat yang dapat

diterima dengan hanya melakukan pengujian substantif untuk satu atau lebih asersi laporan keuangan. Misalnya, potensi terjadinya inisiasi atau

perubahan informasi yang tidak tepat dan tidak terdeteksi mungkin lebih besar jika informasi dibuat, dipelihara, atau diakses hanya dalam bentuk

elektronik. Dalam keadaan seperti itu, auditor harus melakukan pengujian pengendalian untuk mengumpulkan bahan bukti untuk digunakan dalam

menilai risiko pengendalian, atau mempertimbangkan dampaknya terhadap laporannya.” atau hanya diakses dalam bentuk elektronik. Dalam keadaan

seperti itu, auditor harus melakukan pengujian pengendalian untuk mengumpulkan bahan bukti untuk digunakan dalam menilai risiko pengendalian,

atau mempertimbangkan dampaknya terhadap laporannya.” atau hanya diakses dalam bentuk elektronik. Dalam keadaan seperti itu, auditor harus

melakukan pengujian pengendalian untuk mengumpulkan bahan bukti untuk digunakan dalam menilai risiko pengendalian, atau mempertimbangkan

dampaknya terhadap laporannya.”

SAS 94, “Pengaruh Teknologi Informasi pada Pertimbangan Auditor terhadap Pengendalian Internal dalam
Audit Laporan Keuangan,” diadopsi pada tahun 2001 dan memberikan panduan kepada auditor tentang
pengaruh TI terhadap pengendalian internal dan pada pemahaman auditor tentang pengendalian dan penilaian
internal. dari risiko pengendalian. SAS 109, “Memahami Entitas dan Lingkungannya dan Menilai Risiko Salah Saji
Material,” diadopsi pada tahun 2006 dan juga menekankan pemahaman auditor tentang entitas untuk
memvalidasi dan memverifikasi bagaimana TI berkontribusi terhadap risiko salah saji material, dan apakah ada
pengendalian untuk mencegah atau mendeteksi kesalahan atau penipuan.

ISACA
ISACA (sebelumnya dikenal sebagai Information Systems Audit and Control Association) adalah asosiasi
nirlaba di seluruh dunia dengan lebih dari 28.000 praktisi yang didedikasikan untuk audit, kontrol, dan
keamanan TI di lebih dari 100 negara. Yayasan Audit dan Kontrol Sistem Informasi adalah yayasan nirlaba
terkait yang berkomitmen untuk memperluas basis pengetahuan profesi melalui komitmen terhadap
penelitian. Dewan standar ISACA telah memperbarui dan mengeluarkan beberapa Pedoman Audit Sistem
Informasi yang telah diakui sebagai standar audit sistem.
Pedoman ISACA berjudul “Penggunaan Penilaian Risiko dalam Perencanaan Audit” menetapkan tingkat pekerjaan
audit yang diperlukan untuk memenuhi tujuan audit tertentu; itu adalah keputusan subjektif yang dibuat oleh auditor TI.
Risiko mencapai kesimpulan yang salah berdasarkan temuan audit (risiko audit) adalah salah satu aspek dari keputusan
ini. Yang lainnya adalah risiko kesalahan yang terjadi di area yang diaudit (risiko kesalahan). Praktik yang
direkomendasikan untuk penilaian risiko dalam melaksanakan audit keuangan didokumentasikan dengan baik dalam
standar audit untuk auditor keuangan, tetapi panduan diperlukan tentang cara menerapkan teknik tersebut pada audit
TI.
Manajemen juga mendasarkan keputusannya pada seberapa besar pengendalian yang tepat berdasarkan penilaian
tingkat eksposur risiko yang siap diterimanya. Misalnya, ketidakmampuan untuk memproses aplikasi komputer untuk
jangka waktu tertentu merupakan paparan yang dapat diakibatkan oleh hal yang tidak terduga dan tidak diinginkan
 Manajemen risiko◾.169

peristiwa (misalnya, kebakaran pusat data, banjir, dll.). Eksposur dapat dikurangi dengan penerapan kontrol
yang dirancang dengan tepat. Kontrol ini biasanya didasarkan pada estimasi terjadinya efek samping dan
dimaksudkan untuk mengurangi kemungkinan tersebut. Misalnya, alarm kebakaran tidak mencegah kebakaran
tetapi dimaksudkan untuk mengurangi tingkat kerusakan akibat kebakaran.
Pedoman ISACA memberikan panduan dalam menerapkan standar audit TI. Auditor TI harus
mempertimbangkan panduan tersebut dalam menentukan bagaimana mencapai penerapan standar
sebelumnya, menggunakan pertimbangan profesional dalam penerapannya, dan bersiap untuk membenarkan
setiap penyimpangan.

Institut Auditor Internal (IIA)

Didirikan pada tahun 1941, IIA melayani lebih dari 85.000 anggota dalam audit internal, tata kelola dan
kontrol internal, pendidikan audit TI, dan keamanan di lebih dari 120 negara.
IIA memiliki Standar Kinerja 2110 berjudul “Manajemen Risiko,” yang menetapkan bahwa
aktivitas audit internal harus membantu organisasi dengan mengidentifikasi dan mengevaluasi
eksposur risiko yang signifikan dan berkontribusi pada peningkatan manajemen risiko dan sistem
pengendalian. Ini memberikan panduan tambahan dalam bentuk Standar Penerapan 2110.A1
(Keterlibatan Jaminan) yang dengannya aktivitas audit internal harus memantau dan mengevaluasi
efektivitas sistem manajemen risiko organisasi. Standar Penerapan 2110.A2 (Keterlibatan
Assurance) menetapkan bahwa aktivitas audit internal harus mengevaluasi eksposur risiko yang
berkaitan dengan tata kelola, operasi, dan SI organisasi mengenai:

◾. Keandalan dan integritas informasi keuangan dan operasional

◾. Efektivitas dan efisiensi operasi
◾. Pengamanan aset
◾. Kepatuhan terhadap hukum, peraturan, dan kontrak

Standar kinerja terakhir membahas keterlibatan konsultasi dalam Standar Penerapan 2110.C1
(Pertunangan Konsultasi). IIA merekomendasikan bahwa selama penugasan konsultasi, auditor
internal harus menangani risiko yang konsisten dengan tujuan penugasan dan waspada terhadap
adanya risiko signifikan lainnya.
IIA juga telah mengembangkan serangkaian publikasi yang membantu penilaian pengendalian
internal atas pelaporan keuangan, khususnya pengendalian TI. Ini disebut sebagai Panduan untuk
Penilaian Risiko TI, atau GAIT. GAIT untuk "Penilaian Kekurangan Kontrol Umum TI" adalah pendekatan
top-down dan berbasis risiko untuk menilai kontrol umum TI. GAIT tersebut memberikan pendekatan
untuk mengevaluasi defisiensi kontrol umum TI yang diidentifikasi selama audit keuangan atau penilaian
kontrol Sarbanes-Oxley. GAIT untuk “Risiko Bisnis dan TI,” atau GAIT-R, adalah metodologi audit berbasis
risiko untuk menyelaraskan audit TI dengan risiko bisnis.

Komite Organisasi Sponsor Komisi

Treadway (COSO)
COSO dibentuk pada tahun 1985 sebagai organisasi sektor swasta independen, sukarela, yang
didedikasikan untuk meningkatkan kualitas pelaporan keuangan melalui etika bisnis, pengendalian
internal yang efektif, dan tata kelola perusahaan. COSO terdiri dari perwakilan dari industri, agen akuntan
publik, perusahaan investasi, dan New York Stock Exchange. Ketua pertama COSO adalah James C.
Treadway, Jr., wakil presiden eksekutif dan penasihat umum untuk Paine Webber Inc. di
170◾.Kontrol dan Audit Teknologi Informasi

waktu, dan mantan komisaris Komisi Sekuritas dan Bursa AS; maka nama Komisi
Treadway.
COSO ERM—Kerangka Terintegrasi, dibahas sebelumnya, dikembangkan oleh firma akuntansi global,
PriceWaterhouseCoopers, dan diterbitkan pada September 2004. Kerangka ERM—Terintegrasi adalah alat yang
efektif bagi manajemen senior dan Dewan untuk menetapkan tujuan dan strategi; mengidentifikasi,
mengevaluasi, dan mengelola area risiko; memilih dan menerapkan kontrol untuk mengurangi atau menangani
area risiko; dan memastikan bahwa perusahaan pada akhirnya mencapai tujuan dan sasarannya. Model
Kerangka Kerja Terintegrasi ERM diilustrasikan pada Tampilan 6.1.

Asuransi sebagai Bagian dari Penilaian Risiko TI

Penilaian risiko yang terkait dengan operasi TI juga mencakup asuransi. Pemahaman yang jelas tentang
asuransi dan manajemen risiko diperlukan untuk meninjau kecukupan asuransi TI organisasi. Manajemen
TI dan administrator keamanan data harus menyadari hubungan antara risiko dan asuransi untuk
memahami alasan di balik pilihan asuransi dan jenis asuransi yang paling sesuai untuk lingkungan TI. Ini
memberikan gambaran tentang alasan dan metode analisis risiko, alternatif asuransi, dan apa yang
harus dicari dalam cakupan asuransi TI. Perlunya tinjauan ini menjadi jelas karena virus komputer,
serangan penolakan layanan, dan sebagainya, yang dapat menyebabkan hilangnya peluang. Bisnis harus
memiliki cara untuk melindungi diri mereka sendiri dan memulihkan kerugian mereka.

Asuransi mendistribusikan kerugian sehingga kerugian yang menghancurkan bagi individu atau bisnis tersebar
secara merata di antara sekelompok anggota yang diasuransikan. Asuransi tidak mencegah kerugian atau mengurangi
biayanya; itu hanya mengurangi risiko. Risiko adalah kemungkinan penyimpangan yang merugikan dari hasil yang
diinginkan (misalnya, kemungkinan meninggal sebelum mencapai usia 72 tahun, gangguan dalam operasi bisnis, situs
e-commerce yang dipenuhi dengan transaksi yang tidak valid, bisnis TImengirim spam, dll.). Bila tidak dikelola, risiko
dapat diasumsikan yang harus diasuransikan dan sebaliknya. Polis asuransi sering memberikan cakupan yang tumpang
tindih di beberapa area dan tidak ada di area kritis lainnya.

Risiko TI Biasanya Diasuransikan

Di lingkungan TI, terdapat risiko khusus yang biasa ditangani oleh asuransi, antara lain:

◾. Kerusakan peralatan komputer

◾. Biaya media penyimpanan
◾. Biaya perolehan data yang disimpan di media
◾. Kerusakan pada orang luar
◾. Efek bisnis dari hilangnya fungsi komputer

Jenis polis asuransi yang mencakup risiko ini termasuk properti, kewajiban, gangguan bisnis, dan
asuransi ikatan kesetiaan. Kebijakan ini, terutama ditulis untuk risiko terkait TI, harus memeriksa:

◾. Cakupan perangkat keras dan peralatan (yaitu, jaringan, perangkat penyimpanan massal, terminal,
printer, dan unit pemrosesan pusat).
◾. Liputan media dan informasi yang tersimpan di dalamnya. Misalnya, drive disk yang rusak
dapat diganti dengan biaya drive baru. Jika drive atau perangkat penyimpanan massal
 Manajemen risiko◾.171

berisi informasi penting, nilai drive pengganti baru ditambah nilai informasi
yang hilang harus dipulihkan.
◾. Cakupan biaya penggantian atau rekonstruksi dan biaya menjalankan bisnis seperti biasa (yaitu,
gangguan bisnis). Ini mungkin melibatkan sewa waktu untuk peralatan yang setara dari
perusahaan terdekat atau outsourcing ke vendor, membayar upah lembur untuk rekonstruksi, dan
pekerjaan detektif. Di area ini, pencatatan aktivitas bisnis elektronik harian yang menghasilkan
transaksi keuangan sangat penting untuk mengidentifikasi gangguan atau kerugian bisnis akibat
spamming atau pencurian informasi.
◾. Cakupan item seperti kerusakan media akibat magnet, kerusakan akibat mati listrik (blackout) atau
mati listrik (brownout), dan kerusakan akibat kegagalan perangkat lunak.

Asuransi Cyber
Upaya untuk merusak atau menghancurkan sistem komputer (juga dikenal sebagai serangan siber) adalah hal biasa saat ini di
organisasi dan dapat mengakibatkan kerugian yang signifikan. Misalnya, pada tahun 2014, Pusat Studi Strategis dan
Internasional memperkirakan biaya tahunan dari kejahatan dunia maya berkisar antara $ 375 miliar dan $ 575 miliar untuk
organisasi menengah hingga besar. Studi lain yang dilakukan oleh Symantec pada tahun 2016 (dan didokumentasikan sebagai
bagian dari Laporan Ancaman Keamanan Internet) menunjukkan bahwa 43% dari semua serangan tahun 2016 menargetkan
bisnis kecil (yaitu, organisasi dengan kurang dari 250 karyawan). Organisasi harus memutuskan apakah asuransi siber sekarang
menjadi pilihan yang layak untuk mengurangi kerugian tersebut dan biaya berlebihan yang diakibatkannya.

Biasanya, asuransi cyber dikecualikan dari kebijakan kewajiban umum komersial tradisional, atau
tidak secara khusus didefinisikan dalam produk asuransi tradisional. Polis asuransi siber (atau asuransi
risiko siber) mengacu pada produk asuransi yang dirancang untuk melindungi organisasi dan individu
dari risiko yang berkaitan dengan infrastruktur dan aktivitas TI (misalnya, pelanggaran keamanan terkait
siber, risiko berbasis Internet, dll.). Asuransi siber mulai populer pada tahun 2005, dengan nilai total
premi diperkirakan mencapai $7,5 miliar pada tahun 2020. Menurut PriceWaterhouseCoopers, sekitar
sepertiga perusahaan AS saat ini membeli beberapa jenis asuransi siber.
Jenis asuransi khusus ini mencakup biaya yang terkait dengan kerugian pihak pertama atau klaim pihak ketiga.
Cakupan biasanya meliputi:

◾. kerugian dari penghancuran data, pemerasan, pencurian, peretasan, dan serangan penolakan layanan
◾. kerugian kepada orang lain yang disebabkan oleh kesalahan dan kelalaian, kegagalan mengamankan data, atau pencemaran nama baik

Sebelum asuransi cyber, sebagian besar organisasi tidak selalu melaporkan dampak penuh dari pelanggaran keamanan
informasi mereka untuk menghindari publisitas negatif dan merusak kepercayaan pelanggan mereka. Sekarang mereka
harus sangat mempertimbangkan untuk menambahkan asuransi siber ke dalam anggaran mereka, khususnya, jika
mereka menyimpan dan memelihara informasi pelanggan, mengumpulkan informasi pembayaran online, atau hanya
menggunakan cloud untuk memenuhi tujuan dan sasaran bisnis. Karena risiko dunia maya sering berubah, cakupan
yang memadai dari risiko TI tersebut harus ada. Namun, bagaimana jika risiko TI tidak dapat diasuransikan?

Pengurangan dan Retensi Risiko

Risiko yang tidak dapat diasuransikan dapat dikelola dengan cara lain: dikurangi atau dipertahankan. Hanya karena
risiko dapat diasuransikan tidak berarti bahwa asuransi adalah satu-satunya cara untuk menanganinya. Pengurangan
risiko dapat dicapai melalui pencegahan dan pengendalian kerugian. Jika kemungkinan kerugian dapat dicegah, risiko
dihilangkan; bahkan mengurangi kemungkinan terjadinya kerugian adalah peningkatan yang signifikan.
172◾.Kontrol dan Audit Teknologi Informasi

Jika peluang tidak dapat dikurangi, setidaknya tingkat keparahan kerugian seringkali dapat dikendalikan.
Metode pengurangan sering digunakan dengan asuransi untuk mengurangi premi. Contoh pertanyaan yang
mengarah untuk menentukan apakah risiko TI dapat dikurangi meliputi:

◾. Apakah ada rencana pemulihan bencana atau rencana kesinambungan bisnis yang komprehensif dan terkini?
◾. Upaya apa yang telah dilakukan untuk memeriksa bahwa kedua rencana dapat diterapkan?
◾. Apakah ada cadangan file yang sesuai di luar situs?
◾. Apakah prosedur dan praktik untuk mengendalikan kecelakaan sudah memadai?
◾. Apakah langkah-langkah praktis telah diambil untuk mengendalikan dampak bencana?
◾. Apakah keamanan fisik efektif untuk melindungi properti dan peralatan?
◾. Apakah keamanan perangkat lunak memadai untuk melindungi informasi rahasia atau sensitif?
◾. Apakah ada pemeriksaan keseimbangan dan kontrol yang tepat yang dilakukan pada poin-poin penting dalam pemrosesan?
◾. Apakah ada pemeriksaan kontrol yang sesuai pada operasi?
◾. Apakah ada pemeriksaan kontrol yang sesuai selama pengembangan dan modifikasi sistem?
◾. Apakah firewall jaringan diuji setiap minggu?
◾. Apakah firewall telah disertifikasi setiap semester?
◾. Apakah kontrak untuk pembelian atau sewa memiliki syarat dan ketentuan dan pemulihan yang cukup
melindungi perusahaan jika ada masalah?
◾. Apakah kontrak telah disiapkan oleh penasihat hukum yang memiliki keahlian di bidang IT dan masalah hukum?
◾. Apakah fasilitas, peralatan, dan jaringan dipelihara dengan baik?

Risiko yang tidak dapat diasuransikan juga dapat dipertahankan tergantung pada kesadaran organisasi akan
risiko tersebut. Jika dipertahankan, risiko harus konsisten dengan tujuan manajemen dan analisis risiko. Metode
retensi, yang kadang-kadang disebut sebagai asuransi diri, harus bersifat sukarela dan memenuhi kriteria
berikut:

◾. Risiko harus disebarkan secara fisik sehingga ada distribusi eksposur kerugian yang cukup
merata di beberapa lokasi.
◾. Sebuah studi harus dilakukan untuk menentukan eksposur maksimum kerugian.
◾. Pertimbangan harus diberikan pada kemungkinan pengalaman kerugian yang tidak menguntungkan dan
keputusan yang diambil apakah kontinjensi ini harus ditanggung oleh penyisihan untuk cadangan asuransi
mandiri.
◾. Biaya premium harus dibuat terhadap operasi yang cukup untuk menutupi kerugian dan setiap
peningkatan cadangan yang tampaknya disarankan.

Banyak perusahaan, bagaimanapun, menahan risiko tanpa memperkirakan kerugian di masa depan atau memesan dana untuk
membayar kerugian ini. Perusahaan harus secara hati-hati mengelola dan menilai risiko kerugian yang signifikan untuk
melindungi kepentingan bisnis mereka.

Kesimpulan
Organisasi telah mengakui manfaat melindungi diri mereka sendiri dari semua jenis potensi eksposur risiko.
Perlindungan berasal dari manajemen yang efektif dan evaluasi risiko yang teridentifikasi. Manajemen risiko
mengacu pada proses mengidentifikasi dan menilai risiko, diikuti dengan menerapkan prosedur atau kontrol
yang diperlukan untuk mengurangi risiko tersebut ke tingkat yang dapat diterima. Contoh alat manajemen
risiko adalah ERM—Kerangka Terintegrasi. Kerangka kerja, yang dikembangkan oleh COSO, adalah
 Manajemen risiko◾.173

alat yang efektif untuk manajemen senior dan Dewan untuk menetapkan tujuan dan strategi; mengidentifikasi, mengevaluasi,
dan mengelola area risiko; memilih dan menerapkan kontrol untuk mengurangi atau menangani area risiko; dan memastikan
bahwa perusahaan pada akhirnya mencapai tujuan dan sasarannya.
Penilaian risiko merupakan langkah pertama dalam metodologi manajemen risiko. Mereka
digunakan oleh organisasi untuk menentukan sejauh mana potensi ancaman dan risiko yang terkait
dengan sistem tertentu. Penilaian risiko harus diselesaikan oleh lini bisnis dengan bantuan dari
koordinator manajemen risiko TI atau audit internal.
Ada beberapa standar profesional dari organisasi terkenal yang memberikan panduan kepada
auditor dan manajer yang terlibat dalam penilaian risiko. Standar memberikan pengukuran kualitas yang
konsisten jika diadopsi, dipelihara, dan didukung oleh organisasi. Standar dari organisasi, seperti COBIT,
ISO/IEC, NIST, GAO, AICPA, ISACA, IIA, dan COSO, adalah contoh yang berhubungan dengan penilaian
risiko dalam operasi TI.
Organisasi harus mengembangkan program manajemen risiko yang baik untuk dapat menentukan
kecukupan cakupan asuransi TI mereka. Asuransi mendistribusikan kerugian sehingga kerugian yang
menghancurkan bagi individu atau bisnis tersebar secara merata di antara sekelompok anggota yang
diasuransikan. Beberapa risiko TI yang ditanggung oleh polis asuransi antara lain kerusakan peralatan
komputer, biaya media penyimpanan, biaya perolehan data yang disimpan di media, dan kerusakan pihak luar,
antara lain. Salah satu jenis asuransi terhadap upaya terus-menerus yang dilakukan organisasi untuk merusak
atau menghancurkan sistem komputer mereka (serangan siber) disebut asuransi siber. Polis asuransi siber
melindungi organisasi dan individu dari risiko yang berkaitan dengan infrastruktur dan aktivitas TI (misalnya,
pelanggaran keamanan terkait siber, risiko berbasis Internet, dll.).
Langkah besar lainnya dalam mengembangkan program manajemen risiko yang efektif adalah mempelajari
metode retensi dan pengurangan risiko. Risiko yang tidak dapat diasuransikan dikurangi atau dipertahankan.
Pengurangan risiko dapat dicapai melalui pencegahan dan pengendalian kerugian, dan biasanya mengurangi
premi asuransi. Risiko yang tidak dapat diasuransikan juga dapat dipertahankan tergantung pada kesadaran
organisasi akan risiko tersebut. Jika dipertahankan, risiko harus konsisten dengan tujuan manajemen dan
analisis risiko. Pengembangan program manajemen risiko yang komprehensif memerlukan upaya yang
signifikan dari semua pihak; namun, setelah ditetapkan, manfaat mengelola risiko menjadi sangat berharga.

Tinjau Pertanyaan
1. Definisikan Enterprise Risk Management (ERM) menurut COSO. Apa itu ERM—
Kerangka Terintegrasi?
2. Sebutkan delapan komponen ERM—Kerangka Terpadu. Buat daftar tujuan manajemen yang
biasanya terkait dengan kerangka kerja.
3. Bagaimana NIST mendefinisikan manajemen risiko? Bagaimana manajemen risiko melindungi
informasi organisasi dari ancaman TI?
4. Tentukan penilaian risiko.
5. NIST adalah salah satu dari beberapa standar profesional yang memberikan panduan kepada auditor dan
manajer yang terlibat dalam proses penilaian risiko. Bagaimana pedoman NIST telah membantu lembaga
dan organisasi federal dalam meningkatkan kualitas keamanan TI mereka secara signifikan?

6. Sebutkan dan jelaskan contoh empat sumber daya untuk alat dan teknik yang digunakan dalam
identifikasi dan evaluasi risiko terkait TI.
7. Jelaskan apa yang dimaksud dengan aktivitas pengendalian dan jelaskan jenis pengendalian yang tersedia.
8. Apa pengaruh asuransi terhadap risiko?