3
Golden and Silver Rules of RM
5
Pengertian Risiko
Menurut Emmaett J. Vaughan dan Curtis M. Elliott
• Kans kerugian – the change of loss
• Kemungkinan kerugian – the possibility of loss
• Ketidakpastian – uncertainty
• Penyimpangan kenyataan dari hasil yang
diharapkan – the dispersion of actual from
expected result
• Probabilitas bahwa suatu hasil berbeda dari
yang diharapkan – the probability of any
outcome different from the one expected
Definisi Risiko
• Berbagai kemungkinan penyimpangan negatif dari hasil yang
diinginkan atau diharapkan atau risiko sebagai suatu
kemungkinan kerugian
• Menyangkut situasi di mana terdapat suatu kemungikan
terjadinya hasil yang tidak menguntungkan – unfavorable
outcome
• Potensi terjadinya suatu peristiwa – events yang dapat
menimbulkan kerugian
Derajat Risiko
• Derajat risiko – degree of risk adalah ukuran risiko lebih besar
atau risiko lebih kecil. Jika suatu risiko diartikan sebagai
ketidakpastian, maka risiko terbesar akan terjadi bila terdapat
dua kemungkinan hasil yang masing-masing mempunyai
kemungkinan yang sama untuk terjadi
Klasifikasi Risiko
• Risiko yang dapat diukur dan risiko yang tidak dapat diukur
• Risiko financial dan risiko non financial
• Risiko statis dan risiko dinamis
• Risiko fundamental dan risiko khusus
• Risiko murni dan risiko spekulatif
Klasifikasi Risiko Murni
a. Risiko personal
b. Risiko properti
c. Risiko liabilitas
d. Risiko karena kesalahan pihak lain
What is Risk Management?
11
Pengertian Manajemen Risiko
• Proses pengelolaan risiko yang mencakup identifikasi,
evaluasi dan pengendalian risiko yang dapat
mengancam kelangsungan usaha atau aktivitas
perusahaan
• Suatu pendekatan terstruktur/metodologi dalam
mengelola ketidakpastian yang berkaitan dengan
ancaman; suatu rangkaian aktivitas manusia
termasuk: Penilaian risiko, pengembangan strategi
untuk mengelolanya dan mitigasi risiko dengan
menggunakan pemberdayaan /pengelolaan
sumberdaya
Risiko Dalam Manajemen
Risiko
Klasifikasikan ke dalam :
• Risiko operasional
• Risiko hazard
• Risiko Finansial
• Risiko strategic
Basel II memberi arahan dalam
manajemen risiko operasional
• Apa yang dimaksud dengan risiko operasional ?
• Apa yang termasuk ke dalam lingkup risiko operasional ?
• Mengidentifikasi risiko operasional : Apa yang akan jadi
masalah ?
• Mengukur risiko operasional : Berapa kira-kira kerugian yang
dapat timbul ?
• Pencegahan kerugian operasional : Menetapkan sistem dan
dokumentasi yang standar.
• Mitigasi dampak
• Pengalihan risiko : Berapa risiko yang bersedia ditanggung
sendiri, di-hedging atau diasuransikan ?
• Alokasi modal untuk menutupi risiko operasional
PeristiwaYang Menimbulkan
Risiko Operasional
• Frekuensi; seberapa sering suatu peristiwa terjadi
• Dampak; seberapa besar jumlah kerugian yang timbul akibat
peristiwa yang terjadi
Kategori peristiwa risiko
operasional
• Frekuensi rendah/dampak rendah
• Frekuensi rendah/dampak tinggi
• Frekuensi tinggi/dampak rendah
• Frekuensi tinggi/dampak tinggi
Fokus Manajemen Risiko
Operasional
• Frekuensi rendah/dampak tinggi
• Frekuensi tinggi/dampak rendah
FRAMEWORK RISK MANAGEMENT
OUTLINE
I. Introduction
II. Generally Accepted System Security Principles
III. Common IT Security Practices
IV. Risk Management
V. Common IT Security Practices (continuation)
I. Introduction
1. Principles
2. Practices
3. Relationship of Principles and Practices
II. Generally Accepted System
Security Principles 1of 2
1. Computer Security Supports the Mission of Organization.
2. Computer Security is an Integral Element of Sound
Management.
3. Computer Security should be Cost-Effective.
4. System Owners have Security Responsibility Outside their
own Organization.
II. Generally Accepted System
Security Principles 2 of 2
5. Computer Security Responsibilities and Accountability
should be made Explicit.
6. Computer Security requires a Comprehensive and
Integrated Approach.
7. Computer Security should be Periodically Reassessed.
8. Computer Security is constrained by Societal Factors.
III. Common IT Security
Practices
1. Policy
Program Policy
Issue-Specific Policy
System-Specific Policy
All Policies
2. Program Management.
Central Security Program
System-Level Program
3. Risk Management.
Risk Assessment
Risk Mitigation
Evaluation and Assessment
IV. Risk Management
1. Risk Assessment
9 Steps Methodology
2. Risk Mitigation
Approach for Control Implementation
Control Categories
Cost Benefit Analysis
Residual Risk
3. Evaluation and Assessment
Good Security Practice
Keys for Success
V. Common IT Security
Practices (continuation) 1 of 3
4. Life Cycle Planning
Security Plan
Initiation Phase
Development/Acquisition Phase
Implementation Phase
Operation/Maintenance Phase
Disposal Phase
5. Personnel/User Issues.
Staffing
User Administration
V. Common IT Security
Practices (continuation) 2 of 3
6. Preparing for Contingencies and Disasters.
Business Plan
Identify Resources
Develop Scenarios
Develop Strategies
Test and Revise Plan
7. Computer Security Incident Handling
Uses of a Capability
Characteristics
8. Awareness and Training.
9. Security Consideration in Computer Support and
Operations.
10. Physical and Environmental Security
V. Common IT Security
Practices (continuation) 3 of 3
11. Identification and Authentication
Identification
Authentication
Passwords
Advanced Authentication
12. Logical Access Control
Access Criteria
Access Control Mechanism
13. Audit Trails
Contents of Audit Trail Records
Audit Trail Security
Audit Trail Reviews
Keystroke Monitoring
14. Cryptography
References
1. National Institute of Standards and Technology.
Generally Accepted Principles and Practices for
Securing Information Technology Systems. Special
Publication 800-14. September 1996.