Dengan fokus pada
Pengembangan kerangka manajemen resiko terpadu dalam kerangka manajemen resiko operasional dan bisnis, penaksiran resiko, penyampaian dan peringanan resiko dari resiko yang masih ada.
Dicapai dengan
1. Memastikan bahwa manajemen resiko tertanam dalam proses-proses manajemen, secara internal dan eksternal, dan dengan tetap diterapkan.
2. Melakukan penaksiran resiko
3. Mendukung dan menyampaikan perencanaan tindakan perbaikan resiko
Diukur dengan
1. Persentasi sasaran TI yang penting tercakup dalam penaksiran resiko
2. Persentasi resiko-resiko TI dikenali dengan perencanaan tindakan yang berkembang
3. Persentasi perencanaan tindakan manajemen resiko sesuai pada penerapanya
Maturity level pada PO9 – Menaksir dan mengelola resiko-resiko
TI
Manajemen proses dari menilai dan mengelola resiko-resiko IT yang memenuhi kebutuhan bisnis IT dari analisis dan komunikasi resiko-resiko IT dan dampak potensialnya pada proses dan tujuan bisnis adalah:
LEVEL KRITERIA 0
Non Existent
1. Penilaian resiko untuk proses dan keputusan bisnis tidak terjadi.
2. Perusahaan tidak mempertimbangkan dampak bisnis terkait dengan celah keamanan dan ketidakpastian pengembangan proyek.
Tips dan Trik dalam Memahami Tata Kelola TI COBIT Versi 4.0__________________86
solusi IT dan penyampaian layanan IT. 1
Initial/ Ad-hoc
1. Resiko-resiko IT dipertimbangkan dalam cara khusus. 2. Penilaian informal resiko proyek terjadi ditentukan oleh
setiap proyek.
3. Penilaian resiko kadang-kadang dikenali dalam perencanaan proyek tetapi jarang ditugaskan pada manajer tertentu.
4. Resiko-resiko terkait IT tertentu seperti keamanan, ketersediaan, dan integritas adakalanya dipertimbangkan dalam proyek-proyek.
5. Operasi hari ke hari mempengarui resiko-resiko terkait IT jarang dibicarakan pada pertemuan manajemen.
6. Dimana resiko-resiko telah dipertimbangkan, kelonggaran tidak konsekuen.
7. Muncul pemahaman bahwa resiko-resiko IT penting dan perlu dipertimbangkan.
2
Repeatable but
intuitive
1. Pendekatan penilaian resiko berkembang dan belum matang ada dan diterapkan pada kebijakan manajer proyek.
2. Manajemen resiko selalu pada level tinggi dan diterapkan hanya pada proyek utama atau sebagai jawaban atas masalah-masalah.
3. Proses kelonggaran resiko mulai diterapkan dimana resiko dikenali.
3
Define process
1. Kebijakan manajemen resiko seluruh perusahaan menetapkan kapan dan bagaimana untuk melakukan penilaian resiko.
2. Manajemen resiko mengikuti proses yang baik yang terdokumentasi.
3. Training manajemen resiko tersedia untuk semua staff. 4. Keputusan-keputusan untuk mengikuti proses manajemen
Tips dan Trik dalam Memahami Tata Kelola TI COBIT Versi 4.0__________________87
resiko dan untuk menerima training tertinggal pada keleluasaan individu.
5. Metodologi untuk penilaian resiko menyakinkan dan bersuara dan memastikan bahwa resiko utama pada bisnis dikenali.
6. Sebuah proses untuk mengurangi resiko-resiko utama selalu diadakan sekali saat resiko dikenali.
7. Deskripsi-deskripsi pekerjaan mempertimbangkan tanggung jawab manajemen resiko
4
Manage and measureable
1. Manajemen dan penilaian resiko adalah prosedur standard. 2. Pengecualian pada proses manajemen resiko dilaporkan
pada manajemen IT.
3. Manajemen resiko IT adalah tanggung jawab manajemen senior.
4. Resiko dinilai dan dikurangi pada level proyek individu dan juga secara teratur terkait seluruh operasi IT.
5. Manajemen disarankan pada perubahan dalam bisnis dan lingkungan IT yang dengan mantap mempengarui skenario resiko terkait IT.
6. Manajemen dapat mengawasi posisi resiko dan membuat keputusan terang mengenai pembukaan, dan rela untuk menerima.
7. Semua resiko dikenali pemilik yang diangkat dan manajemen senior dan manajemen IT telah menentukan tingkat resiko yang perusahaan akan hadapi.
8. Manajemen IT telah mengembangkan ukuran-ukuran standard untuk menilai resiko dan melukiskan rasio resiko/keuntungan.
9. Manajemen mengatur untuk proyek manajemen resiko operasional untuk menaksir kembali resiko-resiko secara reguler.
Tips dan Trik dalam Memahami Tata Kelola TI COBIT Versi 4.0__________________88
10.Database manajemen resiko dibangun dan bagian dari proses manajemen resiko mulai diotomatiskan.
11.Manajemen IT mempertimbangkan strategi-strategi kelonggaran resiko.
5
Optimised
1. Manajemen resiko telah mengembangkan pada langkah dimana terstruktur, proses seluruh perusahaan dilakukan dan dikelola baik.
2. Praktek-praktek yang baik diterapkan seluruh perusahaan. 3. Penangkapan, analisis, dan pelaporan data manajemen
resiko sangat otomatis.
4. Petunjuk ditarik dari pimpinan-pimpinan dalam bidang itu dan perusahaan IT mengambil bagian dalam kelompok sejawat untuk bertukar pengalaman.
5. Manajemen resiko adalah sungguh terintegrasi dalam semua bisnis dan operasi IT diterima dengan baik, secara ekstensif mencakup user dari layanan IT.
6. Manajemen akan menemukan dan bertindak ketika operasional IT utama dan keputusan investasi dibuat tanpa pertimbangan perencanaan manajemen resiko.
7. Manajemen terus-menerus menaksir strategi-strategi kelonggaran resiko.
DETAIL KONTROL OBJEKTIF DOMAIN PO9
PO 9 – Mengelola Resiko dan Menaksir IT 1 Penjajaran manajemen resiko bisnis dan IT
Menyatukan pengelolaan IT, manajemen resiko dan kerangka kontrol dengan kerangka manajemen resiko perusahaan, yang mencakup penjajaran dengan resiko perusahaan dan level toleransi resiko.
Tips dan Trik dalam Memahami Tata Kelola TI COBIT Versi 4.0__________________89 2 Pembuatan konteks resiko
Membuat konteks yang mana kerangka penaksiran resiko diterapkan untuk memastikan hasil yang sesuai, yang mencakup internal dan eksternal konteks pada setiap penilaian resiko.
3 Identifikasi kejadian
Mengenali kejadian (ancaman dan kelemahan) dengan dampak potensial pada sasaran atau operasi perusahaan, mencakup bisnis peraturan, legal, teknologi, partner dagang, sumber daya manusia, dan aspek operasional.
4 Penaksiran resiko
Menaksir kembali dasar kemungkinan dan dampak dari semua resiko yang dikenali, menggunakan metode kualitatif dan kuantitatif.
5 Respon resiko
Mengenal pemilik resiko dan pemilik proses, mengembangkan dan memelihara respon resiko untuk memastikan kontrol hemat biaya dan ukuran keamanan untuk meredakan kedapatan pada resiko. Jawaban resiko mengenali strategi resiko seperti penghindaran, pengurangan, pembagian dan penerimaan.
6 Pengawasan dan pemeliharaan perencanaan tindakan resiko
Mendahulukan dan merencanakan aktivitas kontrol pada semua level untuk menerapkan jawaban resiko yang dikenali sebagai kebutuhan, mencakup identifikasi biaya, manfaat, dan tanggung jawab bagi pelaksanaan.
Tips dan Trik dalam Memahami Tata Kelola TI COBIT Versi 4.0__________________90