15
3. Akurasi dan kelengkapan input terhadap proses assessment;
4. Kewajaran
dan
keabsahan
scenario
yang
digunakan
untuk
melakukan
assessment;
5. Pengujian input dan analisis yang terus menerus
Pada
bagian
lain,
yaitu
751
dan
752
mencakup
assessment terhadap
lingkungan pengendalian. Dijelaskan bahwa para
Manager
dan
Supervisor
harus
memperhatikan
kualitas
sistem informasi
dan
laporan
yang
melibatkan
kegiatan
usaha dan risikonya serta informasi yang berkaitan dengan perubahan profil risiko.
Tingkat modal harus ditentukan sesuai dengan profil risio dan kecukupan proses
manajemen risiko dan pengendalian internal. Ditambah dengan faktor eksternal
seperti ekonomi makro, politik dan sebagainya.
2.4. IT Risk Management (NIST 800-30)
National
Institute
of
Standards
and
Techology
(NIST) adalah
badan
yang
bertanggungjawab
untuk
menyusun
panduan
(guidelines) bidang
Teknologi
Informasi bagi pemerintah federal di Amerika Serikat. NIST mempublikasikan
NIST’s
Special
Publication
800-30 yang
berjudul
”Risk
Management
Guide
for
Information Technology Systems” pada bulan Juli 2002. Panduan ini memberikan
rekomendasi cara manajemen risiko berkaitan dengan Teknologi Informasi (TI).
Lebih
jauh
lagi,
panduan
NIST
ini
juga
diakui
sebagai best
practice
untuk
meningkatkan pengendalian internal bagi usaha dan organisasi TI.
Berbeda dengan ERM COSO yang menggunakan pendekatan tiga dimensi,
panduan NIST 800-30 ini lebih sederhana dengan tiga proses utama yaitu:
1. Risk
assessment,
yang
meliputi
identifikasi
dan
evaluasi
risiko
dan
dampak
risiko dan rekomendasi tindakan pengurangan risiko;
2. Risk
mitigation,
proses
yang
mengacu
pada
penentuan
prioritas,
implementasi
dan pemeliharaan tindakan pengurangan risiko sesuai dengan yang
disarankan
oleh proses risk assessment;
3.
Evaluasi dan assessment, adalah proses yang meliputi evaluasi terus menerus
terhadap keberhasilan penerapan tindakan pengurangan risiko.
 |