Manajemen Risiko TI Magister Teknologi Informasi Universitas Indonesia

Slides:



Advertisements
Presentasi serupa
SISTEM MANAJEMEN KESELAMATAN DAN KESEHATAN KERJA
Advertisements

SOP 03 : PEDOMAN MANAJEMEN RESIKO PENUGASAN
MANAJEMEN RISIKO PROYEK
MANAJEMEN RISIKO Oleh: Hendra Saleh.
PROSES PENGAMBILAN KEPUTUSAN
Management Risiko.
PERENCANAAN STRATEGIS SISTEM INFORMASI (PSSI).
Manajemen Risiko Proyek
Manajemen Risiko Proyek Eko Ruddy Cahyadi. Risiko Proyek Peristiwa tidak pasti yang bila terjadi memiliki pengaruh positif atau negatif terhadap minimal.
Klausul 8, SMM ISO 9001:2008 PENGUKURAN, ANALISIS DAN PENINGKATAN
BAB XI MANAJEMEN RESIKO PROYEK
Penerapan Manajemen Risiko
MANAJEMEN PROYEK PERANGKAT LUNAK
ASPEK LINGKUNGAN & AMDAL
BAB IV PERENCANAAN.
Elemen Sistem Manajemen Bencana
EVALUASI DAN PENGENDALIAN STRATEGI
Bab 4. Tatakelola TI.
Keamanan Sistem (CS4633) ..:: Manajemen Resiko :
Rahmat Robi Waliyansyah, M.Kom.
Evaluasi Dampak Dalam Analisa mengenai Dampak Lingkungan (AMDAL)
Oleh Untung Widodo, SE, MM
Implementasi Kerangka Kerja COBIT
STRATEGIS SISTEM INFORMASI (PSSI)
Pemecahan Masalah (Problem Solving) & Pengambilan Keputusan (decesion making) Pertemuan ke 4.
SESI 04: PROSES PERENCANAAN
MANAJEMEN RISIKO PROYEK
PENGERTIAN TSI Teknologi Sistem Informasi (TSI) adalah suatu sistem pengolahan data keuangan dan pelayanan jasa perbankan secara elektronis dengan menggunakan.
Prinsip-Prinsip Pengukuran Risiko
MANAJEMEN RISIKO PROYEK
ANALISIS Entrepreneurship Center Universitas Dian Nuswantoro.
ANALISIS Entrepreneurship Center Universitas Dian Nuswantoro.
MANAGEMEN RESIKO Oleh : PANITIA MUTU DAN KESELAMATAN PASIEN.
Manajemen Umum PERTEMUAN 6 Pemecahan Masalah & Pengambilan Keputusan
KEAMANAN INFORMASI INFORMATION SECURITY
PERENCANAAN MANAJEMEN LINGKUNGAN
FAKULTAS SAINS & TEKNIK JURUSAN MESIN UNIVERSITAS NUSA CENDANA
RISK MANAGEMENT Kelompok 6 : AKUNTANSI C Dina Ariandari ( )
Tujuh Standar Keselamatan Pasien
Manajemen Risiko dalam Industri Pariwisata
Keamanan Informasi dan Administrasi jaringan
Strategi & Pengukuran Manajemen Pengetahuan
Manajemen Resiko Dalam Pengembangan SI
Chapter 8 Manajemen Resiko Perbankan Syariah
PERENCANAAN Aku adalah tuan dari takdirku sendiri
Manajemen Resiko pada Perusahaan Asuransi
Siklus hidup pengembangan sistem
Memamfaatkan Aplikasi Exel untuk Studi Kelayakan
PENERAPAN MANAJEMEN RISIKO DALAM RANGKA IMPLEMENTASI SISTEM PENGENDALIAN INTERN PEMERINTAH di lingkungan pemprov. Jawa barat Disampaikan oleh : JEJEN.
Manajemen Risiko Proyek
Pengaruh Faktor-Faktor Non-Rasional Dalam Pengambilan Keputusan
Kesehatan Dan Keselamatan Kerja
MANAJEMEN RISKO KEUANGAN
Pengantar Keamanan Informasi
ANALISIS Entrepreneurship Center Universitas Dian Nuswantoro.
Pemecahan Masalah (Problem Solving) & Pengambilan Keputusan (decesion making) Pertemuan ke 4.
PENGELOLAAN DAN PEMANTAUAN LINGKUNGAN
Abdul latieff HSE Officer. Definisi Kesehatan dan keselamatan kerja (K3) adalah bidang yang terkait dengan kesehatan, keselamatan, dan kesejahteraan manusia.
PERENCANAAN SISTEM MANAJEMEN MUTU. Kalikan angka bulan lahir anda dengan 4.
Pemecahan Masalah Menurut Anderson:
Manajemen K3 dr. Elfizon Amir, SpPD, Finasim. Manajemen risiko pendekatan proaktif untuk mengidentifikasi, menilai dan menyusun prioritas risiko,  tujuan.
PERBEDAAN PERSYARATAN
ASPEK LINGKUNGAN & AMDAL
1. Pokok Bahasan Pengertian audit Pengertian audit Jenis audit Jenis audit Pengertian audit internal Pengertian audit internal Manfaat audit internal.
Disampaikan oleh: Sigit Tri A.
Tata Kelola Teknologi Informasi Information Technologi Gorvernance.
MANAJEMEN RISIKO KORPORASI (ERM)
Soraya Lestari, SE, M. Si Pengantar Manajemen
MANAJEMEN RISIKO STRATEGIS
Pengembangan Sistem Informasi Erliyan Redy Susanto.
Transcript presentasi:

Manajemen Risiko TI Magister Teknologi Informasi Universitas Indonesia Pengantar Risiko TI © 2009-2010 MTI UI

Agenda Apa itu risiko TI? Bagaimana organisasi mengelola risiko TI? Konsep dasar manajemen risiko: Definisi resiko dan manajemen risiko Prinsip-prinsip dasar manajemen risiko Siklus aktivitas proses manajemen risiko. © 2009-2010 MTI UI

Manajemen Risiko TI TataKelola RIsiko TI © 2009-2010 MTI UI

Risiko TI TI memainkan peran sentral dalam organisasi, sehingga dampak risiko TI terlalu besar untuk dapat diabaikan. Dampak insiden risiko TI: Secara signifikan merugikan pihak-pihak terkait baik internal maupun eksternal (konsumen/ publik, rekanan, dsb.) Merusak reputasi organisasi, tidak hanya manajemen TI tetapi manajemen organisasi secara umum. © 2009-2010 MTI UI

Penyebab Risiko TI Mayoritas risiko TI bukan karena masalah teknis tetapi kegagalan proses pengawasan dan tatakelola TI organisasi: proses-proses pengambilan keputusan yang mengabaikan (sengaja atau tidak) potensi konsekuensi bisnis dari risiko TI. Kegagalan mengakibatkan rangkaian keputusan dan struktur aset TI yang bermasalah. Manifestasi kelemahan manajemen risiko TI: Tatakelola TI yang tidak efektif Kompleksitas yang tidak terkendali, dan Kurangnya kesadaran terhadap risiko. © 2009-2010 MTI UI

Kelemahan Tatakelola TI Tidak adanya struktur dan proses yang memungkinkan keterlibatan pihak bisnis dalam pengambilan keputusan tentang TI (termasuk investasi TI) berdampak: Keoptimalan keputusan hanya diukur secara lokal (bagian/divisi/unit) untuk merespon kebutuhan lokal. Cepat atau lambat akan membatasi kelincahan organisasi untuk dapat tanggap terhadap kebutuhan bisnis (integrasi, layanan baru, dsb.) Tanpa keterlibatan bisnis, pengambil keputusan TI dapat salah dalam menilai tingkat risiko. Berakibat pada prioritasi penerapan kontrol yang tidak tepat. © 2009-2010 MTI UI

Kompleksitas Tak Terkendali Kompleksitas aset TI yang tinggi (bervariasi dan saling tumpang-tindih) meningkatkan kerawanan terhadap risiko Rumit dan beratnya beban kerja pengelolaannya. Keterbatasan SDM berkeahlian menimbulkan ketergantungan pada pihak ketiga. © 2009-2010 MTI UI

Kurangnya Kesadaran terhadap Risiko Ketidak-pekaan terhadap sumber risiko TI: Kelemahan dalam perencanaan SDM: mutasi, PHK, dan ketergantungan pada kontraktor pihak ketiga. Kelemahan pengelolaan infrastruktur: digunakannya perangkat infrastruktur yang tidak handal. Ketidak-tahuan dan ketidak-pedulian karyawan terhadap usaha menghindari resiko keamanan TI. Tidak-adanya fasilitas (kontrol) untuk mendeteksi dan mencegah terjadinya aktivitas yang merugikan. © 2009-2010 MTI UI

Menuju Lingkungan Peka Risiko Manajemen risiko TI adalah tanggung jawab bersama: Pimpinan TI harus dapat menjelaskan kepada eksekutif bisnis tentang konsekuensi risiko TI. Pimpinan TI harus menciptakan mekanisme pengambilan keputusan yang memungkinkan pembahasan risiko TI dari perspektif bisnis. Risiko TI bukan hanya masalah TI yang dipecahkan dengan teknologi dan keahlian pengelolaannya saja: Inisiatif mitigasi risiko membutuhkan komitmen dari pimpinan organisasi, termasuk untuk berinvestasi dalam mengimplementasikan kontrol yang dibutuhkan. © 2009-2010 MTI UI

Kemampuan Tatakelola Resiko TI Perusahaan yang mapan membangun kemampuan tatakelola risiko TI dengan: Menerapkan kerangka-kerja terpadu dalam mengelola risiko TI sehingga dapat mengambil keputusan secara rasional dengan menimbang untung-ruginya dari perspektif bisnis Adanya kesamaan persepsi terhadap risiko TI. Menekankan pada tiga pilar utama manajemen resiko: Penyederhanaan arsitektur TI Penerapan proses tatakelola risiko, dan Penciptaan budaya peka risiko. © 2009-2010 MTI UI

Konsep Manajemen RIsiko Manajemen Risiko TI Konsep Manajemen RIsiko © 2009-2010 MTI UI

Definisi Risiko dan Manajemennya Kondisi atau kejadian (event) yang dapat berdampak positif atau negatif pada hasil suatu kegiatan. Berbeda dengan problem, risiko adalah potensi (belum terjadi) timbulnya kerugian. Manajemen Resiko: Proses identifikasi, analisa dan antisipasi risiko secara proaktif. Tujuannya untuk memaksimalkan dampak positif (peluang) dan meminimalkan dampak negatif (kerugian). © 2009-2010 MTI UI

Prinsip Dasar Manajemen Risiko Bersifat proaktif: Antisipatif, bukan reaktif Mengatasi penyebab, bukan gejala Menyiapkan rencana penanggulangan sebelum kejadiannya Menerapkan prosedur penanggulangan yang baku Menerapkan mekanisme preventif (mengurangi kemungkinan terjadinya) sejauh memungkinkan. Bersifat kolektif: melibatkan setiap pihak (dengan bidang tanggung jawab masing-masing) dalam proses manajemen risiko. © 2009-2010 MTI UI

Prinsip Dasar Manajemen Risiko Bersifat partisipatif: secara terbuka membahas berbagai potensi risiko demi kesuksesan bersama untuk menghindari adanya risiko tersembunyi. Bersifat iteratif: melalui siklus untuk memfasilitasi proses belajar (memahami risiko) dari pengalaman. Menjadikan evaluasi ulang risiko sebagai bagian dari siklus kegiatan. © 2009-2010 MTI UI

Siklus Manajemen Risiko Siklus secara umum : 1. Identifikasi 2. Analisa & Prioritasi 3. Perencanaan & Implementasi Penanggulangan 4. Pantau & Laporkan 5. Kontrol 6. Petik Pelajaran RIsiko © 2009-2010 MTI UI

Identifikasi Risiko Merupakan aktivitas kolektif dengan sasaran tercapainya kesepakatan tentang daftar risiko yang dihadapi. Mempertimbangkan: Pengalaman anggota tim Pengetahuan umum tentang kategori dan jenis risiko: Operational, financial, technological, dsb. Kebijakan dan prosedur organisasi tentang manajemen risiko Karakteristik kegiatan: konteks, tujuan, status pelaksanaan, catatan historisnya, dsb. © 2009-2010 MTI UI

Pernyataan Risiko Setiap risiko dalam daftar resiko memiliki risk statement yang minimal mendefinisikan: Penyebab (root cause) Kondisi (atau event) Akibat langsung (consequence) bagi kegiatan Dampak (downstream efect) bagi bisnis © 2009-2010 MTI UI

Analisa dan Prioritasi Risiko Karena keterbatasan sumber daya, risiko harus dianalisa untuk diprioritaskan mana yang utama harus ditanggulangi. Mempertimbangkan: Pengalaman anggota tim Risk statement Pengetahuan tentang risiko tsb. Kebijakan dan prosedur manajemen risiko organisasi Penilaian pihak manajemen. © 2009-2010 MTI UI

Analisa Risiko Menghitung derajad risiko (risk exposure) berdasarkan dua komponen: Peluang terjadinya (probability) Besarnya dampak (impact) Metoda penilaian kualitatif (semi kuantitatif) dan kuantitatif. risk exposure = probability x impact © 2009-2010 MTI UI

Probabilitas Peluang terjadinya dapat diperkirakan berdasarkan: Statistik terjadinya event (atau event serupa) pada masa lalu. Perkiraan ahli di bidang terkait, dapat juga melalui konsensus anggota tim. Diukur secara kuantitatif atau semi-kuantitatif : © 2009-2010 MTI UI

Dampak Nilai kerugian yang diakibatkan, biasanya dalam nilai moneter (Rp, $, dsb.) Sesuai dengan dampak dalam risk statement. Termasuk: opportunity cost, loss of market share, additional operational cost, dsb. Dapat dinilai berdasarkan kriteria kasar, contoh: © 2009-2010 MTI UI

Derajad Risiko Perkalian antara skor peluang kali skor dampak. Atau menggunakan matriks dengan daerah resiko: Contoh: Rendah: 1-2, Sedang: 3-4, Tinggi: 6-9 © 2009-2010 MTI UI

Rencana Penanggulangan Penyusunan rencana untuk mengendalikan risiko-risiko dengan prioritas tinggi Berupa implementasi mekanisme kontrol yang terintegrasi dalam prosedur kegiatan. Prinsip: Kendalikan penyebab untuk memperkecil probability Kendalikan akibat untuk memperkecil impact Untuk risiko yang diluar wilayah kewenangan/ kendali, limpahkan ke pihajk yang berwenang. © 2009-2010 MTI UI

Alternatif Tindakan Accept, terima jika masih dalam batas toleransi organisasi (risk appetite). Avoid, hindari dengan membatasi lingkup kegiatan. Transfer, alihkan kepada pihak lain termasuk dengan outsourcing/subcontract/purchase atau dengan asuransi. Mitigate, menerapkan mekanisme untuk menurunkan peluang terjadinya atau meminimalisasi dampaknya sampai batas yang dapat ditolerir. Contingency, menerapkan prosedur penanggulangan untuk meminimalkan dampak. © 2009-2010 MTI UI

Pemantauan Risiko Memantau kerja mekanisme pengendalian risiko dengan: Metrik indikator terjadinya risiko yang diukur dari aspek-aspek kinerja kegiatan (misalnya: kelambatan proses, peningkatan jumlah gangguan, jumlah pengerjaan ulang, dsb.) Mengaktifkan rencana contingency jika batas ambang terlampaui (trigger). © 2009-2010 MTI UI

Kontrol/Penanggulangan Pelaksanaan contingency plan untuk mengendalikan dampak risiko yang telah terjadi Misalnya aktivasi Disaster Recovery Plan. © 2009-2010 MTI UI

Petik Pelajaran Sebagai mekanisme penyempurnaan proses manajemen risiko secara berkesinambungan Memberikan umpan balik bagi proses manajemen risiko Mencatat efektivitas identifikasi risiko (termasuk scoring, struktur, klasifikasi, dsb.) dan strategi mitigasi sebelumnya. Mendokumentasikan pelajaran dalam suatu risk knowledge base yang dapat membantu proses identifikasi, analisa, dan perencanaan penanggulangan risiko di masa mendatang. © 2009-2010 MTI UI

Manajemen Risiko TI Sekian © 2009-2010 MTI UI