Ini bentuk dokumen bagian dari inisiatif Risiko IT ISACA, yang didedikasikan untuk membantu perusahaan mengelola IT terkait risiko. Kolektif Pengalaman dari tim global praktisi dan ahli, dan praktek-praktek yang ada dan muncul dan metodologi untuk risiko TI yang efektif manajemen, telah berkonsultasi dalam pengembangan kerangka Risiko TI. Risiko TI adalah kerangka kerja berdasarkan seperangkat prinsip dan menampilkan proses bisnis dan pedoman manajemen yang sesuai dengan prinsip-prinsip ini.
Kerangka Risiko TI melengkapi ISACA ini CobiT1, yang menyediakan kerangka kerja yang komprehensif untuk kontrol dan tata kelola driven bisnis informasi-teknologi berbasis (berbasis TI) solusi dan layanan. Sementara COBIT menetapkan praktek yang baik untuk sarana risiko
manajemen dengan menyediakan satu set kontrol untuk mengurangi risiko TI, Risiko TI menetapkan praktek yang baik untuk ujung dengan menyediakan kerangka kerja untuk
perusahaan untuk mengidentifikasi, mengatur dan mengelola risiko TI.
Kerangka Risiko TI akan digunakan untuk membantu melaksanakan tata kelola TI, dan perusahaan-perusahaan yang telah mengadopsi (atau berencana untuk mengadopsi) COBIT sebagai
kerangka tata kelola TI mereka dapat menggunakan Risiko TI untuk meningkatkan manajemen risiko.
Proses COBIT mengelola semua kegiatan yang berkaitan dengan IT dalam
perusahaan. Proses ini harus berurusan dengan kejadian internal atau
eksternal perusahaan. Peristiwa internal dapat mencakup operasional TI
insiden, kegagalan proyek, switch penuh strategi (IT) dan merger.
Peristiwa eksternal dapat mencakup perubahan kondisi pasar, baru
pesaing, teknologi baru menjadi tersedia dan peraturan baru
mempengaruhi IT. Peristiwa ini semua menimbulkan risiko dan / atau peluang dan kebutuhan
yang akan dinilai dan tanggapan dikembangkan. Dimensi risiko, dan bagaimana
untuk mengelolanya, adalah subjek utama dari kerangka Risiko TI. kapan
peluang untuk perubahan bisnis IT-enabled diidentifikasi, Val
Kerangka TI paling menggambarkan bagaimana kemajuan dan memaksimalkan return
investasi.
2. Kerangka Risk IT Tujuan dan Sasaran
Risk IT adalah komponen dari alam semesta keseluruhan risiko perusahaan. Risiko lainnya merupakan wajah perusahaan meliputi strategis risiko, risiko lingkungan, risiko pasar, risiko kredit, risiko operasional dan risiko kepatuhan. Di banyak perusahaan, risiko terkait TI dianggap
menjadi komponen dari risiko operasional, misalnya, dalam industri keuangan dalam rangka Basel II. Namun, bahkan risiko strategis dapat memiliki IT
komponen untuk itu, terutama di mana IT adalah enabler kunci dari inisiatif bisnis baru. Hal yang sama berlaku untuk risiko kredit, di mana miskin IT (keamanan)
dapat menyebabkan peringkat kredit lebih rendah.
Tujuan dari Kerangka Risiko IT
Manajemen risiko bisnis merupakan komponen penting dari pemerintahan yang bertanggung jawab dari perusahaan apapun. Hampir setiap keputusan bisnis membutuhkan eksekutif atau manajer untuk menyeimbangkan risiko dan pahala.
Penggunaan mencakup segala TI dapat memberikan manfaat yang signifikan untuk perusahaan, tetapi juga melibatkan resiko. Karena TI penting dengan bisnis secara keseluruhan, risiko TI harus diperlakukan seperti risiko bisnis utama lainnya, seperti risiko strategis, risiko lingkungan, risiko pasar, risiko kredit, risiko operasional dan risiko kepatuhan, semua yang termasuk dalam kategori risiko 'payung' tertinggi: kegagalan untuk mencapai tujuan strategis.
Sementara ini risiko lainnya telah lama dimasukkan ke dalam proses pengambilan keputusan perusahaan, terlalu banyak eksekutif cenderung membuang risiko TI
spesialis teknis di luar ruang rapat.
Kerangka Risiko TI menjelaskan risiko TI dan memungkinkan pengguna untuk:
• Mengintegrasikan manajemen risiko TI ke dalam ERM keseluruhan perusahaan, sehingga memungkinkan perusahaan untuk membuat keputusan risiko-return sadar
• Membuat keputusan baik-informasi tentang sejauh mana risiko dan risk appetite dan toleransi risiko perusahaan
• Memahami bagaimana menanggapi risiko
3. Prinsip Risk IT
Risk IT mendefinisikan, dan didirikan pada, sejumlah prinsip panduan untuk manajemen yang efektif dari risiko TI. Prinsip-prinsip didasarkan pada umum diterima prinsip ERM, yang telah diterapkan pada domain IT. Model proses Risiko TI dirancang dan disusun untuk memungkinkan perusahaan untuk menerapkan prinsip-prinsip dalam praktek dan patokan kinerja mereka.
Kerangka Risiko IT adalah tentang IT risiko-kata lain, risiko bisnis terkait dengan penggunaan IT. Sambungan ke bisnis didirikan di prinsip-prinsip yang kerangka dibangun, yaitu, perusahaan yang efektif tata kelola dan manajemen risiko TI Perusahaan pemerintahan yang efektif dari risiko TI selalu terhubung ke
tujuan bisnis:
• Risiko TI diperlakukan sebagai risiko bisnis, sebagai lawan jenis yang terpisah dari risiko,
dan pendekatan komprehensif dan lintas-fungsional.
• Fokusnya adalah pada hasil bisnis. IT mendukung pencapaian
tujuan bisnis, dan risiko TI dinyatakan sebagai dampak mereka
dapat memiliki pada pencapaian tujuan bisnis atau strategi.
• Setiap analisis risiko IT berisi analisis ketergantungan bagaimana proses bisnis tergantung pada sumber daya yang berhubungan dengan IT, seperti orang,
aplikasi dan infrastruktur.
• manajemen risiko TI adalah business enabler, bukan penghambat. Risiko bisnis terkait TI dilihat dari kedua sudut: perlindungan terhadap nilai
kehancuran dan memungkinkan generasi nilai.
4. Essentials of Risk Governance
Appetite Risiko dan Toleransi
COSO Definisi
Risk appetite dan toleransi adalah konsep yang sering digunakan, tetapi potensi kesalahpahaman tinggi. Beberapa orang menggunakan konsep bergantian, orang lain melihat perbedaan yang jelas. Definisi Kerangka Risiko TI yang kompatibel dengan ERM COSO definisi
(Yang setara dengan definisi ISO 31000 dalam panduan 73):
• Risiko nafsu makan Jumlah berbasis luas risiko suatu perusahaan atau badan lain yang bersedia menerima dalam mengejar misinya (atau visi)
• toleransi-Variasi relatif diterima pencapaian tujuan (dan sering Risiko terbaik diukur dalam satuan yang sama seperti yang digunakan untuk mengukur tujuan terkait)
Kedua konsep diperkenalkan dalam model proses Risiko TI, dalam kunci praktek manajemen RG1.2, RG1.3 dan RG1.4 proses RG1 Membangun dan memelihara pandangan risiko umum.
Appetite Risiko
Risk appetite adalah jumlah resiko entitas siap untuk menerima ketika mencoba untuk mencapai tujuannya. Ketika mempertimbangkan risk appetite
tingkatan untuk perusahaan, dua faktor utama yang penting:
• Kapasitas Tujuannya perusahaan untuk menyerap kerugian, misalnya, kerugian finansial, kerusakan reputasi.
Tidak ada komentar:
Posting Komentar