COBIT (Control Objectives for
Information and Related Technology) merupakan standard yang dikeluarkan
oleh ITGI (The IT Governance Institute). COBIT merupakan suatu koleksi
dokumen dan framework yang diklasifikasikan dan secara umum diterima
sebagai best practice untuk tata kelola (IT Governance), kontrol dan
jaminan TI.
Referensi perihal manajemen
resiko secara khusus dibahas pada proses PO9 dalam COBIT. Prosesproses
yang lain juga menjelaskan tentang manajemen resiko namun tidak terlalu
detil.
Gambar Framework Manajemen Resiko COBIT
Resiko adalah segala hal
yang mungkin berdampak pada kemampuan organisasi dalam mencapai
tujuantujuannya. Framework manajemen resiko TI dengan menggunakan COBIT
(lihat gambar) terdiri dari :
1. Penetapan Objektif
Kriteria
informasi dari COBIT dapat digunakan sebagai dasar dalam mendefinisikan
objektif TI. Terdapat tujuh kriteria informasi dari COBIT yaitu :
effectiveness, efficiency, confidentiality, integrity, availability,
compliance, dan reliability.
2. Identifikasi Resiko
TABEL KEJADIAN (EVENTS) YANG MENGGANGU PENCAPAIAN OBJEKTIF PERUSAHAAN :
Identifikasi resiko merupakan proses untuk mengetahui resiko. Sumber resiko bisa berasal dari :
• Manusia, proses dan teknologi
• Internal (dari dalam perusahaan) dan eksternal(dari luar perusahaan)
• Bencana (hazard), ketidakpastian (uncertainty) dan kesempatan (opportunity).
Dari
ketiga sumber resiko tersebut dapat diketahui kejadian-kejadian yang
dapat mengganggu perusahaan dalam mencapai objektifnya (lihat tabel
event diatas).
3. Penilaian Resiko
Proses
untuk menilai seberapa sering resiko terjadi atau seberapa besar dampak
dari resiko (tabel 2.2). Dampak resiko terhadap bisnis (business
impact) bisa berupa : dampak terhadap financial, menurunnya reputasi
disebabkan sistem yang tidak aman, terhentinya operasi bisnis, kegagalan
aset yang dapat dinilai (sistem dan data), dan penundaan proses
pengambilan keputusan.
Sedangkan kecenderungan
(likelihood) terjadinya resiko dapat disebabkan oleh sifat alami dari
bisnis, struktur dan budaya organisasi, sifat alami dari sistem
(tertutup atau terbuka, teknologi baru dan lama), dan kendali-kendali
yang ada. Proses penilaian resiko bisa berupa resiko yang tidak dapat
dipisahkan (inherent risks) dan sisa resiko (residual risks).
TABEL TINGKATAN BESARNYA DAMPAK RESIKO DAN FREKUENSI TERJADINYA RESIKO
4. Respon Resiko
Untuk
melakukan respon terhadap resiko adalah dengan menerapkan kontrol
objektif yang sesuai dalam melakukan manajemen resiko. Jika sisa resiko
masih melebihi resiko yang dapat diterima (acceptable risks), maka
diperlukan respon resiko tambahan. Proses-proses pada framework COBIT
(dari 34 Control Objectives) yang sesuai untuk manajemen resiko adalah :
• PO1 (Define a Stretegic IT Plan) dan PO9 (Assess and Manage Risks)
• AI6 (Manages Change)
• DS5 (Ensure System and Security) dan DS11 (Manage Data)
• ME1 (Monitor and Evaluate IT Performance)
5. Monitor Resiko
Setiap langkah dimonitor untuk menjamin bahwa resiko dan respon berjalan sepanjang waktu.
sumber http://wwardhanu.blogspot.com/2010/12/model-framework-it-management-risk-by.html
