The Risk IT Framework

transcript

DISAMPAIKAN OLEH:YANA RAHMAT SOPIAN (23513113)HARRY KURNIAWAN (23513XXX)

AGRIANSYAH RAMADHAN (23513XXX)

The Risk IT Framework adalah suatu framework yang didasarkan pada prinsip- prinsip ERM (Enterprise Risk Management) yang memberikan wawasan tentang bagaimana menerapkan panduan ini untuk IT.

Domain Overview

The Risk IT Framework

Domain OverviewDomain Metrics

Sejauh mana penggunaan strategic IT dalam memanfaatkan sumber daya perusahaan dalam mengurangi risiko secara keseluruhan

Posisi Manajemen risiko diisi oleh staf terlatih dalam teknik manajemen risiko (mis: teknik analisis risiko standar, manajemen krisis, manajemen proyek, dll)

Domain Goal

Memastikan bahwa Manajemen Resiko TI diterapkan dalam perusahaan, memungkinkan perusahaan untuk mengamankan risiko secara optimal

Risk Governance

Establish and Maintain a Common Risk View

Integrate with ERM

Make Risk-aware

Business Decisions

Process GoalMemastikan bahwa kegiatan Manajemen Resiko selaras dengan tujuan perusahaan

Key ActivitiesRG1.1 Melakukan penilaian resiko perusahaan.RG1.2 Mengajukan ambang batas toleransi Resiko IT.RG1.3 Menyetujui tolerasi resiko IT.RG1.4 Selaras dengan kebijakan resiko IT.RG1.5 Mensosialisasikan budaya sadar resiko IT.RG1.6 Mendorong komunikasi yang efektif dari resiko IT

RG1.1 Perform Enterprise IT Risk Assessment.

RG1.2 Propose IT Risk Tolerance Thresholds RG1.3 Approve IT Risk Tolerance

RG 1.2

RG 1.3

RG1.4 Align IT Risk Policy.

RG1.5 Promote IT Risk-aware Culture

RG1.6 Encourage Effective Communication of IT Risk

RACI Chart Management Guidelines – RG1

Goals and Metrics - RG1

Activity Goals Process Goal RG Goal

• Melakukan penilaian resiko perusahaan.

• Mengajukan ambang batas toleransi Resiko IT.

• Menyetujui tolerasi resiko IT.

• Selaras dengan kebijakan resiko IT.

• Mensosialisasikan budaya sadar resiko IT.

• Mendorong komunikasi yang efektif dari resiko IT

Memastikan bahwa kegiatan Manajemen Resiko selaras dengan tujuan perusahaan

Goals and Metrics - RG1 (cont’d)

Activity Metrics Process Metrics RG Metrics

• Frekuensi dari Penilaian resiko IT

• Sejumlah siklus penilaian resiko IT perusahaan

• Tingkat partisipasi eksekutif dalam penilaian resiko IT perusahaan

• Adanya Kebijakan resiko IT

• Sejumlah kebijakan disesuaikan dengan Audiens

• Persentase pegawai yang dilatih manajemen RISIKO TI

• Sejumlah kejadian terkait IT dengan dampak bisnis

• Sejumlah kebijakan yang berlaku dengan pernyataan satu atau lebih bertentangan terkait toleransi resiko

• Sejumlah isu resiko IT yang Melewati toleransi resiko

Posisi Manajemen risiko diisi oleh staf terlatih dalam teknik manajemen risiko

Risk Governance

Integrate with ERM

Make Risk-aware

Business Decision

Process GoalMengintegrasikan strategi dan operasi resiko TI dengan keputusan resiko bisnis strategis yang telah dibuat di tingkat perusahaan

Key ActivitiesRG2.1 Menetapkan dan memelihara akuntabilitas manajemen resiko ITRG2.2 Koordinasi strategi risiko TI dan strategi risiko bisnis.RG2.3 Adaptasi praktek Resiko IT untuk praktek resiko perusahaan.RG2.4 meneydiakan sumberdaya yang memadai untuk mengelola resiko IT.RG2.5 Menyediakan jaminan independen atas manajemen resiko IT

Goals and Metrics – RG2Activity Goals Process Goal RG Goal

RG2.1 Menetapkan dan memelihara akuntabilitas manajemen resiko ITRG2.2 Koordinasi strategi risiko TI dan strategi risiko bisnis.RG2.3 Adaptasi praktek Resiko IT untuk praktek resiko perusahaan.RG2.4 meneydiakan sumberdaya yang memadai untuk mengelola resiko IT.RG2.5 Menyediakan jaminan independen atas manajemen resiko IT

Mengintegrasikan strategi dan operasi resiko TI dengan keputusan resiko bisnis strategis yang telah dibuat di tingkat perusahaan

Goals and Metrics – RG2 (cont’d)Activity Metrics Process Metrics RG Metrics

• Persentase karyawan yang mengukur kinerja dan manfaat mencerminkan tujuan manajemen risiko

• Sejumlah laporan resiko yang berbeda disediakan untuk dewan

• Tingkat kelengkapan terpadu dai stategi manajemen resiko

• rencana tindakan manajemen resiko IT disetujui untuk di implementasikan

Persentase proyek bisnis yang mempertimbangkan risiko IT

Persentase dari kegiatan inti ERM yang mempertimbangkan resiko

Risk GovernanceRisk

Governance

Integrate with ERM

Make Risk-aware

Business Decisions

Process GoalMemastikan bahwa keputusan perusahaan mempertimbangkan berbagai peluang dan konsekuensi dari ketergantungan pada IT

Key ActivitiesRG3.1 Meningkatkan pengelolaan buy-in untuk pendekatan analisis risiko TI.RG3.2 Menyetujui Analisa Resiko ITRG3.3 Menggunakan Pertimbangan resiko IT dalam membuat keputusan bisnis strategis.RG3.4 Menerima Resiko ITRG3.5 Memprioritaskan kegiatan tanggap resiko IT .

Goals and Metrics – RG3

Activity Goals Process Goal RG Goal

RG3.1 Menambah pengelolaan buy-in untuk pendekatan analisis risiko TI.RG3.2 Menyetujui Analisa Resiko ITRG3.3 Menggunakan Pertimbangan resiko IT dalam membuat keputusan bisnis strategis.RG3.4 Menerima Resiko ITRG3.5 Memprioritaskan kegiatan tanggap resiko IT

Memastikan bahwa keputusan perusahaan mempertimbangkan berbagai peluang dan konsekuensi dari ketergantungan pada IT

Goals and Metrics – RG3 (cont’d)Activity Metrics Process Metrics RG Metrics

• Jumlah dan ukuran kerugian efek samping yang timbul dari keputusan penerimaan resiko

• Persentase dari keputusan penerimaan resiko IT didukung dengan sekumpulan dokumen lengkap

• Sejumlah kegiatan respon resiko yang

di prioritaskan• dst

Nilai proyek yang gagal karena masalah tidak diidentifikasi selama proses pengambilan keputusan

Sejumlah keputusan manajemen kunci dibuat tanpa ketersediaan laporan analisis risiko yang relevandst

The Risk IT Framework – Risk Response

• Domain – Risk Response (RR)– RR1 Articulate risk– RR2 Manage risk– RR3 React to events

Risk Response

ArticulateRisk

Manage Risk

React to Events

Risk Response

Domain Metric:Dampak kumulatif bisnis terkait peristiwa yang berhubungan dengan IT yang diantisipasi dengan cara Penilaian risiko, tetapi belum ditangani dengan perencanaan mitigasi atau rencana tindakan lainnya.

Domain Goal:Memastikan bahwa resiko, peluang dan peristiwa IT dialamatkan dengan biaya yang efektif dan sesuai dengan prioritas bisnis.

Risk Response

ArticulateRisk

Manage Risk

React to Events

The Risk IT framework consists of:• Domain – Risk Governance (RG)

– RG1 Establish and maintain a common risk view– RG2 Integrate with ERM– RG3 Make risk-aware business decisions

• Domain – Risk Evaluation (RE)– RE1 Collect data– RE2 Analyze risk– RE3 Maintain risk profile

Risk Response: Articulate Risk

Key Activities:RR1.1 Mengkomunikasikan hasil analisis risiko TIRR1.2 Melaporkan kegiatan manajemen risiko TI dan

kepatuhan.RR1.3 Interpretasikan temuan penilaian TI

independenRR1.4 Mengidentifikasi peluang yang berkaitan

dengan IT.

Risk Response

ArticulateRisk

Manage Risk

React to Events

Process Goal:Memastikan bahwa informasi tentang keadaan sebenarnya dan peluang yang berkaitan dengan IT disediakan pada waktu dan kepada orang yang tepat untuk mendapat respon yang tepat pula.

Key Activities

RR1.1 - Mengkomunikasikan hasil analisis risiko TIMelaporkan hasil analisis risiko dalam bentuk dan format tepat untuk mendukung keputusan bisnis.

RR1.2 - Melaporkan kegiatan manajemen risiko TI dan kepatuhan.

Memenuhi kebutuhan pelaporan untuk berbagai pemangku kepentingan guna memastikan strategi dan efisiensi pelaporan risiko IT yang menerapkan prinsip relevansi, efisiensi, ketepatan waktu dan akurasi.

ArticulateRisk

Key Activities

RR1.3 - Interpretasikan temuan penilaian TI independenReview hasil dan temuan spesifik pihak ketiga, audit internal, penjamin kualitas, kegiatan penilaian diri, dll. Petakan dengan profil risiko dan panduan kontrol, dengan mempertimbangkan toleransi risiko yang ditetapkan.

RR.1.4 - Mengidentifikasi peluang yang berkaitan dengan IT

Pada basis rekuren, pertimbangkan tingkat relatif risiko IT terhadap kapasitas manajemen risiko IT untuk proses bisnis spesifik, bisnis unit, dll.

ArticulateRisk

Risk Response: Manage Risk

Key Activities:RR2.1 Kontrol inventarisRR2.2 Memantau keselarasan operasional dengan

ambang batas toleransi resiko.RR2.3 Respon terhadap eksposur dan peluang risiko

yang ditemukanRR2.4 Implementasi kontrolRR2.5 Melaporkan kemajuan rencana tindakan

risiko.

Risk Response

ArticulateRisk

Manage Risk

React to Events

Process Goal:Memastika langkah strategis untuk memperkecil peluang dan mengurangi risiko ke tingkatan risiko yang dapat diterima dan dikelola sebagai portofolio.

Key Activities

RR2.1 - Kontrol inventarisInventori kontrol di tempat untuk mengelola risiko dan memungkinkan resiko yang harus diambil sesuai dengan karakter resiko dan toleransi.

RR2.2 - Memantau keselarasan operasional dengan ambang batas toleransi resiko

Memastikan tiap lini bisnis bisa menerima pertanggungjawaban secara individual dengan level toleransi portofolio dan menanamkan alat moitor ke porses kunci operasi.

ManageRisk

Key Activities

RR2.3 – Respon terhadap eksposur dan peluang risiko yang ditemukanMenekan proyek yang diharapkan dapat mengurangi frekuensi dan besarnya potensi kerugian dan menyelaraskan mereka dengan proyek yang mengurangi peluang bisnis.

RR2.4 - Implementasi kontrolMengambil langkah yang tepat untuk menjamin penerimaan kontrol baru dan kontrol yang telah ada.

ManageRisk

Key Activities

RR2.5 – Melaporkan kemajuan rencana tindakan risiko.Memonitor rencana aksi terhadap resiko IT di semua tingkatan untuk memastikan tindakan efektif yang perlu dilakukan dan menentukan apakah penerimaan risiko residu akan dilakukan.

ManageRisk

Risk Response: React to Event

Key Activities:RR3.1 Pemeliharaan rencanan penanganan insiden.RR3.2 Memonitor risiko TIRR3.3 Memprakarsai penangulangan insidenRR3.4 Komunikasikan pelajaran dari risiko tiap

kejadian.

Risk Response

ArticulateRisk

Manage Risk

React to Events

Process Goal:Memastikan bahwa penanganan untuk meraih peluang atau membatasi kerugian akibat perisitiwa terkait TI diaktifkan di waktu yang tepat dan berjalan efektif.

Key Activities

RR3.1 – Pemeliharaan rencana penanganan insidenMenyiapkan materi terhadap ancaman berupa dokumen yang memiliki rencana spesifik berisi langkah-langkah yang harus diambil ketika suatu kejadian mungkin berimbas pada operasional, pengembangan dan atau strategi bisnis.

React to Events

RR3.2 – Memonitor risiko TIMemantau keadaaan lingkungan. Ketika batasan dilampaui maka harus melaksanakan langkah yang telah disiapkan atau melakukan review ulang batasan yang ditetapkan.

Key Activities

RR3.3 – Memprakarsai penangulangan insidenMelakukan aksi untuk meminimalisir akibat dari insiden yang sedang berlangsung. Identifikasi kategori insiden tersebut dan ikuti lanngkah-langkah di aksi tanggap (respon plan).

React to Events

RR3.4 – Komunikasikan pelajaran dari risiko tiap kejadianPeriksa kerugian dan peluang yang hilang akibat peristiwa sebelumnya. Tentukan apakah terdapat kesalahan yang berasal dari kurangnya kepedulian, kemampuan dan motivasi.

Risk Management Frameworks and Standards Compared

Demikian & Terimakasih !!!

The Risk IT Framework

Education