
Inquiry Form
Risiko atau Risk dalam organisasi sering disandingkan dengan sebuah kesempatan sehingga risiko dan kesempatan bagaikan mata uang dengan sisi yang berbeda. Semua perusahaan harus melakukan pengelolaan risiko agar tujuan organisasi dapat tercapai. IT merupakan bagian dari organisasi, tentunya memiliki risiko-risiko baik dalam bentuk aset, proses bisnis, tentunya akan menjadi risiko dari bisnis.
Beberapa framework risiko yang dikenal di dunia IT antara lain Risk IT – ISACA, COSO, ISO 31000, ISO 27005 dan framework lain yang digunakan untuk IT. Pendekataan IT oleh ISACA dikenal dengan 3 domain pengelolaan resiko, terkait dengan Governance, Evaluasi dan Respon. Ketiga domain ini dikombinasikan dan dikomunikasikan untuk bisa mengelola resiko. Framework lain yang cukup terkenal adalah COSO dengan delapan pengelolaan komponen risiko, konteksnya adalah terkait dengan sifat dasar strategic, operasional, operasional dan compliance komponen tersebut dikelola berdasarkan level-level disisi enterprise atau sampai bisnis unit proses.
Dalam ISO 31000 juga menggunakan framework tersebut untuk standar-standar implementasi ISO baik oleh Sistem Manajemen Mutu Umum maupun sistem manajemen pengelolaan IT baik IT Service Management ataupun IT Security.
Lalu, apa sajakah prinsip yang dimiliki oleh manajemen risiko?
Bagaimana proses manajemen risiko?
Dalam proses manajemen risiko setelah dilakukan sebuah konteks maka dilanjutkan proses assessment risiko. Tahap awal tentunya dengan identifikasi risiko, selanjutnya analisis risiko dan evaluasi hasil risiko. Tahap terakhir melakukan treatment terhadap risiko-risiko yang sudah teridentifikasi dan tidak bisa diterima oleh organisasi. Bagaimana proses assessment risiko dapat berjalan efektif? Jawabannya adalah Harus adanya proses komunikasi dan monitoring yang selalu dilakukan secara berkala.
Dari semua risiko yang sudah teridentifikasi maka harus dilakuakan treatment terhadap risiko-risiko tersebut. Beberapa pilihan risiko yang dilakukan oleh organisasi terkait dengan risiko-risiko yang sudah diidentifikasi. Dimulai dari Risk Modification, Risk Retention, Risk Avoidance dan Risk Sharing.
Setelah organisasi melakukan assessment kemudian mengetahui bagaimana melakukan treatment terhadap risiko-risiko tersebut. Dengan begitu diharapkan organisasi dapat mencapai sasaran objektif sesuai dengan yang diharapkan.
Oleh : Andrianto Moeljono, MM, CLA 9001, CLA 2700, Managing Director Proxsis IT
Inquiry Form