the risk it framework
TRANSCRIPT
DISAMPAIKAN OLEH:YANA RAHMAT SOPIAN (23513113)HARRY KURNIAWAN (23513XXX)
AGRIANSYAH RAMADHAN (23513XXX)
The Risk IT Framework
The Risk IT Framework adalah suatu framework yang didasarkan pada prinsip- prinsip ERM (Enterprise Risk Management) yang memberikan wawasan tentang bagaimana menerapkan panduan ini untuk IT.
Domain Overview
The Risk IT Framework
Domain OverviewDomain Metrics
Sejauh mana penggunaan strategic IT dalam memanfaatkan sumber daya perusahaan dalam mengurangi risiko secara keseluruhan
Posisi Manajemen risiko diisi oleh staf terlatih dalam teknik manajemen risiko (mis: teknik analisis risiko standar, manajemen krisis, manajemen proyek, dll)
Domain Goal
Memastikan bahwa Manajemen Resiko TI diterapkan dalam perusahaan, memungkinkan perusahaan untuk mengamankan risiko secara optimal
Risk Governance
Risk Governance
Establish and Maintain a Common Risk View
Integrate with ERM
Make Risk-aware
Business Decisions
Process GoalMemastikan bahwa kegiatan Manajemen Resiko selaras dengan tujuan perusahaan
Key ActivitiesRG1.1 Melakukan penilaian resiko perusahaan.RG1.2 Mengajukan ambang batas toleransi Resiko IT.RG1.3 Menyetujui tolerasi resiko IT.RG1.4 Selaras dengan kebijakan resiko IT.RG1.5 Mensosialisasikan budaya sadar resiko IT.RG1.6 Mendorong komunikasi yang efektif dari resiko IT
RG1.1 Perform Enterprise IT Risk Assessment.
RG1.2 Propose IT Risk Tolerance Thresholds RG1.3 Approve IT Risk Tolerance
RG 1.2
RG 1.3
RG1.4 Align IT Risk Policy.
RG1.5 Promote IT Risk-aware Culture
RG1.6 Encourage Effective Communication of IT Risk
RACI Chart Management Guidelines – RG1
Goals and Metrics - RG1
Activity Goals Process Goal RG Goal
• Melakukan penilaian resiko perusahaan.
• Mengajukan ambang batas toleransi Resiko IT.
• Menyetujui tolerasi resiko IT.
• Selaras dengan kebijakan resiko IT.
• Mensosialisasikan budaya sadar resiko IT.
• Mendorong komunikasi yang efektif dari resiko IT
Memastikan bahwa kegiatan Manajemen Resiko selaras dengan tujuan perusahaan
Memastikan bahwa Manajemen Resiko TI diterapkan dalam perusahaan, memungkinkan perusahaan untuk mengamankan risiko secara optimal
Goals and Metrics - RG1 (cont’d)
Activity Metrics Process Metrics RG Metrics
• Frekuensi dari Penilaian resiko IT
• Sejumlah siklus penilaian resiko IT perusahaan
• Tingkat partisipasi eksekutif dalam penilaian resiko IT perusahaan
• Adanya Kebijakan resiko IT
• Sejumlah kebijakan disesuaikan dengan Audiens
• Persentase pegawai yang dilatih manajemen RISIKO TI
• Sejumlah kejadian terkait IT dengan dampak bisnis
• Sejumlah kebijakan yang berlaku dengan pernyataan satu atau lebih bertentangan terkait toleransi resiko
• Sejumlah isu resiko IT yang Melewati toleransi resiko
Sejauh mana penggunaan strategic IT dalam memanfaatkan sumber daya perusahaan dalam mengurangi risiko secara keseluruhan
Posisi Manajemen risiko diisi oleh staf terlatih dalam teknik manajemen risiko
Risk Governance
Risk Governance
Establish and Maintain a Common Risk View
Integrate with ERM
Make Risk-aware
Business Decision
s
Process GoalMengintegrasikan strategi dan operasi resiko TI dengan keputusan resiko bisnis strategis yang telah dibuat di tingkat perusahaan
Key ActivitiesRG2.1 Menetapkan dan memelihara akuntabilitas manajemen resiko ITRG2.2 Koordinasi strategi risiko TI dan strategi risiko bisnis.RG2.3 Adaptasi praktek Resiko IT untuk praktek resiko perusahaan.RG2.4 meneydiakan sumberdaya yang memadai untuk mengelola resiko IT.RG2.5 Menyediakan jaminan independen atas manajemen resiko IT
RACI Chart Management Guidelines – RG2
Goals and Metrics – RG2Activity Goals Process Goal RG Goal
RG2.1 Menetapkan dan memelihara akuntabilitas manajemen resiko ITRG2.2 Koordinasi strategi risiko TI dan strategi risiko bisnis.RG2.3 Adaptasi praktek Resiko IT untuk praktek resiko perusahaan.RG2.4 meneydiakan sumberdaya yang memadai untuk mengelola resiko IT.RG2.5 Menyediakan jaminan independen atas manajemen resiko IT
Mengintegrasikan strategi dan operasi resiko TI dengan keputusan resiko bisnis strategis yang telah dibuat di tingkat perusahaan
Memastikan bahwa Manajemen Resiko TI diterapkan dalam perusahaan, memungkinkan perusahaan untuk mengamankan risiko secara optimal
Goals and Metrics – RG2 (cont’d)Activity Metrics Process Metrics RG Metrics
• Persentase karyawan yang mengukur kinerja dan manfaat mencerminkan tujuan manajemen risiko
• Sejumlah laporan resiko yang berbeda disediakan untuk dewan
• Tingkat kelengkapan terpadu dai stategi manajemen resiko
• rencana tindakan manajemen resiko IT disetujui untuk di implementasikan
Persentase proyek bisnis yang mempertimbangkan risiko IT
Persentase dari kegiatan inti ERM yang mempertimbangkan resiko
Sejauh mana penggunaan strategic IT dalam memanfaatkan sumber daya perusahaan dalam mengurangi risiko secara keseluruhan
Posisi Manajemen risiko diisi oleh staf terlatih dalam teknik manajemen risiko
Risk GovernanceRisk
Governance
Establish and Maintain a Common Risk View
Integrate with ERM
Make Risk-aware
Business Decisions
Process GoalMemastikan bahwa keputusan perusahaan mempertimbangkan berbagai peluang dan konsekuensi dari ketergantungan pada IT
Key ActivitiesRG3.1 Meningkatkan pengelolaan buy-in untuk pendekatan analisis risiko TI.RG3.2 Menyetujui Analisa Resiko ITRG3.3 Menggunakan Pertimbangan resiko IT dalam membuat keputusan bisnis strategis.RG3.4 Menerima Resiko ITRG3.5 Memprioritaskan kegiatan tanggap resiko IT .
RACI Chart Management Guidelines – RG3
Goals and Metrics – RG3
Activity Goals Process Goal RG Goal
RG3.1 Menambah pengelolaan buy-in untuk pendekatan analisis risiko TI.RG3.2 Menyetujui Analisa Resiko ITRG3.3 Menggunakan Pertimbangan resiko IT dalam membuat keputusan bisnis strategis.RG3.4 Menerima Resiko ITRG3.5 Memprioritaskan kegiatan tanggap resiko IT
Memastikan bahwa keputusan perusahaan mempertimbangkan berbagai peluang dan konsekuensi dari ketergantungan pada IT
Memastikan bahwa Manajemen Resiko TI diterapkan dalam perusahaan, memungkinkan perusahaan untuk mengamankan risiko secara optimal
Goals and Metrics – RG3 (cont’d)Activity Metrics Process Metrics RG Metrics
• Jumlah dan ukuran kerugian efek samping yang timbul dari keputusan penerimaan resiko
• Persentase dari keputusan penerimaan resiko IT didukung dengan sekumpulan dokumen lengkap
• Sejumlah kegiatan respon resiko yang
di prioritaskan• dst
Nilai proyek yang gagal karena masalah tidak diidentifikasi selama proses pengambilan keputusan
Sejumlah keputusan manajemen kunci dibuat tanpa ketersediaan laporan analisis risiko yang relevandst
Sejauh mana penggunaan strategic IT dalam memanfaatkan sumber daya perusahaan dalam mengurangi risiko secara keseluruhan
Posisi Manajemen risiko diisi oleh staf terlatih dalam teknik manajemen risiko
The Risk IT Framework – Risk Response
• Domain – Risk Response (RR)– RR1 Articulate risk– RR2 Manage risk– RR3 React to events
Risk Response
ArticulateRisk
Manage Risk
React to Events
Risk Response
Domain Metric:Dampak kumulatif bisnis terkait peristiwa yang berhubungan dengan IT yang diantisipasi dengan cara Penilaian risiko, tetapi belum ditangani dengan perencanaan mitigasi atau rencana tindakan lainnya.
Domain Goal:Memastikan bahwa resiko, peluang dan peristiwa IT dialamatkan dengan biaya yang efektif dan sesuai dengan prioritas bisnis.
Risk Response
ArticulateRisk
Manage Risk
React to Events
The Risk IT framework consists of:• Domain – Risk Governance (RG)
– RG1 Establish and maintain a common risk view– RG2 Integrate with ERM– RG3 Make risk-aware business decisions
• Domain – Risk Evaluation (RE)– RE1 Collect data– RE2 Analyze risk– RE3 Maintain risk profile
• Domain – Risk Response (RR)– RR1 Articulate risk– RR2 Manage risk– RR3 React to events
Risk Response: Articulate Risk
Key Activities:RR1.1 Mengkomunikasikan hasil analisis risiko TIRR1.2 Melaporkan kegiatan manajemen risiko TI dan
kepatuhan.RR1.3 Interpretasikan temuan penilaian TI
independenRR1.4 Mengidentifikasi peluang yang berkaitan
dengan IT.
Risk Response
ArticulateRisk
Manage Risk
React to Events
Process Goal:Memastikan bahwa informasi tentang keadaan sebenarnya dan peluang yang berkaitan dengan IT disediakan pada waktu dan kepada orang yang tepat untuk mendapat respon yang tepat pula.
Key Activities
RR1.1 - Mengkomunikasikan hasil analisis risiko TIMelaporkan hasil analisis risiko dalam bentuk dan format tepat untuk mendukung keputusan bisnis.
RR1.2 - Melaporkan kegiatan manajemen risiko TI dan kepatuhan.
Memenuhi kebutuhan pelaporan untuk berbagai pemangku kepentingan guna memastikan strategi dan efisiensi pelaporan risiko IT yang menerapkan prinsip relevansi, efisiensi, ketepatan waktu dan akurasi.
ArticulateRisk
Key Activities
RR1.3 - Interpretasikan temuan penilaian TI independenReview hasil dan temuan spesifik pihak ketiga, audit internal, penjamin kualitas, kegiatan penilaian diri, dll. Petakan dengan profil risiko dan panduan kontrol, dengan mempertimbangkan toleransi risiko yang ditetapkan.
RR.1.4 - Mengidentifikasi peluang yang berkaitan dengan IT
Pada basis rekuren, pertimbangkan tingkat relatif risiko IT terhadap kapasitas manajemen risiko IT untuk proses bisnis spesifik, bisnis unit, dll.
ArticulateRisk
The Risk IT framework consists of:• Domain – Risk Governance (RG)
– RG1 Establish and maintain a common risk view– RG2 Integrate with ERM– RG3 Make risk-aware business decisions
• Domain – Risk Evaluation (RE)– RE1 Collect data– RE2 Analyze risk– RE3 Maintain risk profile
• Domain – Risk Response (RR)– RR1 Articulate risk– RR2 Manage risk– RR3 React to events
Risk Response: Manage Risk
Key Activities:RR2.1 Kontrol inventarisRR2.2 Memantau keselarasan operasional dengan
ambang batas toleransi resiko.RR2.3 Respon terhadap eksposur dan peluang risiko
yang ditemukanRR2.4 Implementasi kontrolRR2.5 Melaporkan kemajuan rencana tindakan
risiko.
Risk Response
ArticulateRisk
Manage Risk
React to Events
Process Goal:Memastika langkah strategis untuk memperkecil peluang dan mengurangi risiko ke tingkatan risiko yang dapat diterima dan dikelola sebagai portofolio.
Key Activities
RR2.1 - Kontrol inventarisInventori kontrol di tempat untuk mengelola risiko dan memungkinkan resiko yang harus diambil sesuai dengan karakter resiko dan toleransi.
RR2.2 - Memantau keselarasan operasional dengan ambang batas toleransi resiko
Memastikan tiap lini bisnis bisa menerima pertanggungjawaban secara individual dengan level toleransi portofolio dan menanamkan alat moitor ke porses kunci operasi.
ManageRisk
Key Activities
RR2.3 – Respon terhadap eksposur dan peluang risiko yang ditemukanMenekan proyek yang diharapkan dapat mengurangi frekuensi dan besarnya potensi kerugian dan menyelaraskan mereka dengan proyek yang mengurangi peluang bisnis.
RR2.4 - Implementasi kontrolMengambil langkah yang tepat untuk menjamin penerimaan kontrol baru dan kontrol yang telah ada.
ManageRisk
Key Activities
RR2.5 – Melaporkan kemajuan rencana tindakan risiko.Memonitor rencana aksi terhadap resiko IT di semua tingkatan untuk memastikan tindakan efektif yang perlu dilakukan dan menentukan apakah penerimaan risiko residu akan dilakukan.
ManageRisk
The Risk IT framework consists of:• Domain – Risk Governance (RG)
– RG1 Establish and maintain a common risk view– RG2 Integrate with ERM– RG3 Make risk-aware business decisions
• Domain – Risk Evaluation (RE)– RE1 Collect data– RE2 Analyze risk– RE3 Maintain risk profile
• Domain – Risk Response (RR)– RR1 Articulate risk– RR2 Manage risk– RR3 React to events
Risk Response: React to Event
Key Activities:RR3.1 Pemeliharaan rencanan penanganan insiden.RR3.2 Memonitor risiko TIRR3.3 Memprakarsai penangulangan insidenRR3.4 Komunikasikan pelajaran dari risiko tiap
kejadian.
Risk Response
ArticulateRisk
Manage Risk
React to Events
Process Goal:Memastikan bahwa penanganan untuk meraih peluang atau membatasi kerugian akibat perisitiwa terkait TI diaktifkan di waktu yang tepat dan berjalan efektif.
Key Activities
RR3.1 – Pemeliharaan rencana penanganan insidenMenyiapkan materi terhadap ancaman berupa dokumen yang memiliki rencana spesifik berisi langkah-langkah yang harus diambil ketika suatu kejadian mungkin berimbas pada operasional, pengembangan dan atau strategi bisnis.
React to Events
RR3.2 – Memonitor risiko TIMemantau keadaaan lingkungan. Ketika batasan dilampaui maka harus melaksanakan langkah yang telah disiapkan atau melakukan review ulang batasan yang ditetapkan.
Key Activities
RR3.3 – Memprakarsai penangulangan insidenMelakukan aksi untuk meminimalisir akibat dari insiden yang sedang berlangsung. Identifikasi kategori insiden tersebut dan ikuti lanngkah-langkah di aksi tanggap (respon plan).
React to Events
RR3.4 – Komunikasikan pelajaran dari risiko tiap kejadianPeriksa kerugian dan peluang yang hilang akibat peristiwa sebelumnya. Tentukan apakah terdapat kesalahan yang berasal dari kurangnya kepedulian, kemampuan dan motivasi.
Risk Management Frameworks and Standards Compared
Demikian & Terimakasih !!!