Risk IT menyediakan end-to-end, pandangan yang komprehensif dari semua resiko yang berkaitan dengan penggunaan IT dan perlakuan yang sama pada manajemen resiko dari keksesuaian perkataan dan budaya diatas mengenai masalah operasional.
Resiko adalah bagian alami dari cakupan bisnis. Jika dibiarkan tidak diatur, ketidakpastian dapat menyebar dengan cepat. Jika dikelola secara efektif, kerugian dapat dihindari dan manfaat yang diperoleh.
Dalam bisnis saat ini, resiko memainkan peran penting. Hampir setiap keputusan bisnis yang membutuhkan eksekutif dan manajer untuk menyeimbangkan resiko dan imbalan. Secara efektif mengelola resiko usaha sangat penting untuk kesuksesan perusahaan.
Terlalu sering, resiko IT (resiko usaha yang terkait dengan penggunaan IT) yang terlupakan. Resiko usaha lain, seperti resiko pasar, resiko kredit, dan resiko operasional telah lama dimasukkan ke dalam pengambilan keputusan perusahaan. Resiko IT telah diturunkan ke spesialis tehnis di luar ruangan, meskipun dibawah kategori resiko sama dengan usaha lainnya: kegagalan untuk mencapai tujuan stategis.
Risk IT adalah suatu framework yang didasarkan pada seperangkat prinsip-prinsip penuntun untuk pengelolaan yang efektif dari risk IT. Framework pelengkap COBIT, suatu framework komprehensif untuk tata kelola dan pengendalian usaha solusi berbasis IT dan layanan.
Sedangkan COBIT menyediakan satu set kontrol untuk mengurangi resiko IT, Risk IT menyediakan suatu framework bagi perusahaan untuk mengidentifikasi, mengatur, dan mengelola resiko IT. Sederhananya, COBIT menyediakan sarana pengelolaan resiko, Risk IT menyediakan resiko akhir. Perusahaan yang telah mengadopsi (atau berencana untuk mengadopsi) COBIT sebagai IT Governance Framework mereka dapat menggunakan Risk IT untuk meningkatkan Manajemen Resiko.
Risk IT menyediakan end-to-end, pandangan yang komprehensif dari semua resiko yang berkaitan dengan penggunaan IT dan perlakuan yang sama pada manajemen resiko dari keksesuaian perkataan dan budaya diatas mengenai masalah operasional.
Resiko adalah bagian alami dari cakupan bisnis. Jika dibiarkan tidak diatur, ketidakpastian dapat menyebar dengan cepat. Jika dikelola secara efektif, kerugian dapat dihindari dan manfaat yang diperoleh.
Dalam bisnis saat ini, resiko memainkan peran penting. Hampir setiap keputusan bisnis yang membutuhkan eksekutif dan manajer untuk menyeimbangkan resiko dan imbalan. Secara efektif mengelola resiko usaha sangat penting untuk kesuksesan perusahaan.
Terlalu sering, resiko IT (resiko usaha yang terkait dengan penggunaan IT) yang terlupakan. Resiko usaha lain, seperti resiko pasar, resiko kredit, dan resiko operasional telah lama dimasukkan ke dalam pengambilan keputusan perusahaan. Resiko IT telah diturunkan ke spesialis tehnis di luar ruangan, meskipun dibawah kategori resiko sama dengan usaha lainnya: kegagalan untuk mencapai tujuan stategis.
Risk IT adalah suatu framework yang didasarkan pada seperangkat prinsip-prinsip penuntun untuk pengelolaan yang efektif dari risk IT. Framework pelengkap COBIT, suatu framework komprehensif untuk tata kelola dan pengendalian usaha solusi berbasis IT dan layanan.
Sedangkan COBIT menyediakan satu set kontrol untuk mengurangi resiko IT, Risk IT menyediakan suatu framework bagi perusahaan untuk mengidentifikasi, mengatur, dan mengelola resiko IT. Sederhananya, COBIT menyediakan sarana pengelolaan resiko, Risk IT menyediakan resiko akhir. Perusahaan yang telah mengadopsi (atau berencana untuk mengadopsi) COBIT sebagai IT Governance Framework mereka dapat menggunakan Risk IT untuk meningkatkan Manajemen Resiko.
Prinsip Risk IT
Kerangka Risk IT adalah tentang Risk IT - Risk bisnis terkait dengan penggunaan IT. Sambungan ke bisnis didirikan pada prinsip-prinsip yang kerangka dibangun. Berikut adalah prinsip Risk IT, antara lain:
- Selalu terhubung ke tujuan bisnis;
- Sejalan manajemen Risk bisnis terkait IT-dengan Risk perusahaan secara keseluruhan manajemen (ERM) - jika berlaku, yaitu, jika ERM diimplementasikan di perusahaan;
- Menyeimbangkan biaya dan manfaat dari Risk IT mengelola;
- Meningkatkan komunikasi yang adil dan terbuka Risk IT;
- Menetapkan nada yang tepat dari atas sementara mendefinisikan dan menegakkan pribadi akuntabilitas untuk beroperasi dalam tingkat toleransi yang dapat diterima dan didefinisikan dengan baik;
- Apakah proses yang berkesinambungan dan bagian dari kegiatan sehari-hari.
Kerangka Risk IT adalah tentang Risk IT - Risk bisnis terkait dengan penggunaan IT. Sambungan ke bisnis didirikan pada prinsip-prinsip yang kerangka dibangun. Berikut adalah prinsip Risk IT, antara lain:
- Selalu terhubung ke tujuan bisnis;
- Sejalan manajemen Risk bisnis terkait IT-dengan Risk perusahaan secara keseluruhan manajemen (ERM) - jika berlaku, yaitu, jika ERM diimplementasikan di perusahaan;
- Menyeimbangkan biaya dan manfaat dari Risk IT mengelola;
- Meningkatkan komunikasi yang adil dan terbuka Risk IT;
- Menetapkan nada yang tepat dari atas sementara mendefinisikan dan menegakkan pribadi akuntabilitas untuk beroperasi dalam tingkat toleransi yang dapat diterima dan didefinisikan dengan baik;
- Apakah proses yang berkesinambungan dan bagian dari kegiatan sehari-hari.
Mengelola dan Memahami Risk IT
Untuk memprioritaskan dan mengelola Risk IT, eksekutif senior membutuhkan kerangka acuan dan pemahaman yang jelas tentang fungsi IT dan Risk IT. Namun, kunci perusahaan itu pemangku kepentingan, termasuk anggota dewan dan manajemen eksekutif, orang-orang yang harus bertanggung jawab untuk manajemen resiko dalam perusahaan, sering tidak memiliki pemahaman penuh.
Risk IT bukan hanya masalah teknis. Sementara IT ahli subjek membantu untuk memahami dan mengelola aspek Risk IT, manajemen bisnis adalah pemangku kepentingan yang paling penting. Manajer bisnis menentukan apa kebutuhan IT untuk mendukung bisnis mereka; mengatur target untuk IT dan bertanggung jawab untuk mengelola resiko yang terkait.
Kerangka Risk IT menjelaskan tentang resiko IT, memungkinkan perusahaan untuk membuat yang sesuai keputusan resiko dan akan memungkinkan pengguna untuk:
- Mengintegrasikan manajemen Risk IT ke dalam manajemen resiko perusahaan secara keseluruhan (ERM) dari organisasi;
- Membuat keputusan baik-informasi tentang sejauh mana resiko, risk appetite dan toleransi Risk perusahaan;
- Memahami bagaimana menanggapi resiko.
Untuk memprioritaskan dan mengelola Risk IT, eksekutif senior membutuhkan kerangka acuan dan pemahaman yang jelas tentang fungsi IT dan Risk IT. Namun, kunci perusahaan itu pemangku kepentingan, termasuk anggota dewan dan manajemen eksekutif, orang-orang yang harus bertanggung jawab untuk manajemen resiko dalam perusahaan, sering tidak memiliki pemahaman penuh.
Risk IT bukan hanya masalah teknis. Sementara IT ahli subjek membantu untuk memahami dan mengelola aspek Risk IT, manajemen bisnis adalah pemangku kepentingan yang paling penting. Manajer bisnis menentukan apa kebutuhan IT untuk mendukung bisnis mereka; mengatur target untuk IT dan bertanggung jawab untuk mengelola resiko yang terkait.
- Mengintegrasikan manajemen Risk IT ke dalam manajemen resiko perusahaan secara keseluruhan (ERM) dari organisasi;
- Membuat keputusan baik-informasi tentang sejauh mana resiko, risk appetite dan toleransi Risk perusahaan;
- Memahami bagaimana menanggapi resiko.
Apa saja yang Risk IT lakukan?
- Memungkinkan perusahaan untuk menyesuaikan komponen yang disediakan dalam rangka sesuai dengan kebutuhan khusus mereka;
- Menyediakan end-to-end, pandangan yang komprehensif dari semua Risk yang terkait dengan penggunaan IT dan pengobatan sama menyeluruh manajemen resiko;
- Memungkinkan perusahaan untuk memahami dan mengelola semua jenis Risk IT yang signifikan;
- Memberikan manfaat bisnis yang nyata;
- Memungkinkan perusahaan untuk membuat keputusan Risk-sadar yang tepat;
- Menjelaskan bagaimana memanfaatkan investasi yang dibuat dalam IT internal sistem kontrol sudah di tempat untuk mengelola Risk yang terkait dengan IT;
- Memungkinkan integrasi dengan keseluruhan struktur resiko dan kepatuhan dalam perusahaan ketika menilai dan mengelola Risk IT.
- Memungkinkan perusahaan untuk menyesuaikan komponen yang disediakan dalam rangka sesuai dengan kebutuhan khusus mereka;
- Menyediakan end-to-end, pandangan yang komprehensif dari semua Risk yang terkait dengan penggunaan IT dan pengobatan sama menyeluruh manajemen resiko;
- Memungkinkan perusahaan untuk memahami dan mengelola semua jenis Risk IT yang signifikan;
- Memberikan manfaat bisnis yang nyata;
- Memungkinkan perusahaan untuk membuat keputusan Risk-sadar yang tepat;
- Menjelaskan bagaimana memanfaatkan investasi yang dibuat dalam IT internal sistem kontrol sudah di tempat untuk mengelola Risk yang terkait dengan IT;
- Memungkinkan integrasi dengan keseluruhan struktur resiko dan kepatuhan dalam perusahaan ketika menilai dan mengelola Risk IT.
Apa saja manfaat menggunakan Risk IT?
- Sebuah bahasa yang umum untuk membantu komunikasi antara bisnis, IT, resiko dan audit manajemen;
- Bimbingan End-to-end pada bagaimana mengelola Risk yang terkait dengan IT;
- Sebuah profil Risk yang lengkap untuk lebih memahami Risk, sehingga lebih baik memanfaatkan sumber daya perusahaan;
- Pemahaman yang lebih baik tentang peran dan tanggung jawab dengan manajemen Risk IT;
- Penyelarasan dengan ERM;
- Peningkatan kualitas informasi;
- Kepercayaan pemangku kepentingan yang lebih besar dan kekhawatiran peraturan berkurang;
- Aplikasi inovatif mendukung inisiatif bisnis baru.
- Sebuah bahasa yang umum untuk membantu komunikasi antara bisnis, IT, resiko dan audit manajemen;
- Bimbingan End-to-end pada bagaimana mengelola Risk yang terkait dengan IT;
- Sebuah profil Risk yang lengkap untuk lebih memahami Risk, sehingga lebih baik memanfaatkan sumber daya perusahaan;
- Pemahaman yang lebih baik tentang peran dan tanggung jawab dengan manajemen Risk IT;
- Penyelarasan dengan ERM;
- Peningkatan kualitas informasi;
- Kepercayaan pemangku kepentingan yang lebih besar dan kekhawatiran peraturan berkurang;
- Aplikasi inovatif mendukung inisiatif bisnis baru.
Salah satu area utama dalam tata kelola TI ini adalah bagaimana organisasi dapat memperoleh nilai/manfaat yang optimal dari investasi TI. Jelas bahwa nilai/manfaat bisnis dari investasi TI tidak akan dapat terrealisasikan oleh orang-orang atau departemen TI, tapi selalunya akan diciptakan oleh bisnis melalui penggunaan IT. Oleh karena itu, maka investasi-investasi TI seharusnya mesti dipandang sebagai program bisnis, yaitu untuk membantu memberikan kemampuan yang dibutuhkan oleh organisasi untuk sukses dalam bisnisnya.
Diskusi-diskusi seputar IT Governance memperjelas kebutuhan bahwa bisnis perlu mengambil alih kepemilikan dan tanggung-jawab tata kelola TI untuk menciptakan nilai dari investasi-investasi IT. Menyadari akan pentingnya pergeseran cara pandang ini kemudian memicu pergeseran definisi dari IT Governance yang berfokus pada keterlibatan bisnis, sehingga terminologinya pun diubah dari semula IT Governance menjadi Governance of Enterprise IT (GEIT).
GEIT merupakan bagian integral dari corporate governance. GEIT mengatur sedemikian rupa sehingga baik personil bisnis maupun TI dapat menjalankan tanggung-jawabnya dalam mendukung keselarasan bisnis dengan IT serta menciptakan nilai bisnis dari investasi-investasi IT. GEIT tidak hanya mengatur tanggung-jawab IT saja tapi juga diperluas menjadi proses-proses bisnis (yang terkait IT) yang dibutuhkan dalam rangka penciptaan nilai bisnis.
Topik business value creation ini banyak menjadi agenda pembahasan di berbagai organisasi. Tak kurang juga literatur akademik dan profesional dibuat terkait bagaimana menciptakan dan menjaga agar value yang diterima bisnis dari investasi TI dapat optimal. Sebagai respon terhadap kebutuhan mengenai hal inilah kemudian ISACA meluncurkan sebuah framework yang memberi arahan bagaimana manajemen nilai ini diterapkan. Dan framewokr tersebut diberi nama Val IT.
Framework Val IT yang membahas GEIT ini memiliki fokus utama pada manajemen dan penciptaan value dari IT. Framework ini dimulai dari premis bahwa penciptaan nilai dari investasi IT merupakan tanggung-jawab dari manajemen bisnis. Nah, untuk membantu manajemen bisnis dalam mengorganisasikan dan menjalankan tanggung-jawabnya tersebut, Val IT mendefinisikan 22 proses bisnis terkait IT, praktik-praktik manajemen utama yang berkaitan, panduan manajemen berikut model kematangannya.
Salah satu area utama dalam tata kelola TI ini adalah bagaimana organisasi dapat memperoleh nilai/manfaat yang optimal dari investasi TI. Jelas bahwa nilai/manfaat bisnis dari investasi TI tidak akan dapat terrealisasikan oleh orang-orang atau departemen TI, tapi selalunya akan diciptakan oleh bisnis melalui penggunaan IT. Oleh karena itu, maka investasi-investasi TI seharusnya mesti dipandang sebagai program bisnis, yaitu untuk membantu memberikan kemampuan yang dibutuhkan oleh organisasi untuk sukses dalam bisnisnya.
Diskusi-diskusi seputar IT Governance memperjelas kebutuhan bahwa bisnis perlu mengambil alih kepemilikan dan tanggung-jawab tata kelola TI untuk menciptakan nilai dari investasi-investasi IT. Menyadari akan pentingnya pergeseran cara pandang ini kemudian memicu pergeseran definisi dari IT Governance yang berfokus pada keterlibatan bisnis, sehingga terminologinya pun diubah dari semula IT Governance menjadi Governance of Enterprise IT (GEIT).
GEIT merupakan bagian integral dari corporate governance. GEIT mengatur sedemikian rupa sehingga baik personil bisnis maupun TI dapat menjalankan tanggung-jawabnya dalam mendukung keselarasan bisnis dengan IT serta menciptakan nilai bisnis dari investasi-investasi IT. GEIT tidak hanya mengatur tanggung-jawab IT saja tapi juga diperluas menjadi proses-proses bisnis (yang terkait IT) yang dibutuhkan dalam rangka penciptaan nilai bisnis.
Topik business value creation ini banyak menjadi agenda pembahasan di berbagai organisasi. Tak kurang juga literatur akademik dan profesional dibuat terkait bagaimana menciptakan dan menjaga agar value yang diterima bisnis dari investasi TI dapat optimal. Sebagai respon terhadap kebutuhan mengenai hal inilah kemudian ISACA meluncurkan sebuah framework yang memberi arahan bagaimana manajemen nilai ini diterapkan. Dan framewokr tersebut diberi nama Val IT.
Framework Val IT yang membahas GEIT ini memiliki fokus utama pada manajemen dan penciptaan value dari IT. Framework ini dimulai dari premis bahwa penciptaan nilai dari investasi IT merupakan tanggung-jawab dari manajemen bisnis. Nah, untuk membantu manajemen bisnis dalam mengorganisasikan dan menjalankan tanggung-jawabnya tersebut, Val IT mendefinisikan 22 proses bisnis terkait IT, praktik-praktik manajemen utama yang berkaitan, panduan manajemen berikut model kematangannya.
Bagaimana hubungannya dengan CobiT?
Val IT bersifat komplementer terhadap COBIT dan bahkan mengikuti struktur dan template yang sama. Val IT memiliki 22 proses yang dikelompokkan ke dalam tiga domain, yaitu:
- Value Governance (VG)
- Portofolio Management (PM)
- Investment Management (IM)
Domain VG membahas mengenai struktur dan proses-proses yang dibutuhkan untuk memastikan praktik-praktik manajemen nilai telah berjalan di organisasi. Domain ini mencakup keterlibatan kepemimpinan (VG1), definisi dan implementasi praktik-praktik manajemen nilai (VG2), dan integrasi manajemen nilai dengan proses-proses manajemen finansial organisasi (VG4). Domain ini juga membahas mengenai tipe-tipe portofolio dan kriteria yang perlu ditentukan oleh bisnis (VG3), bahwa monitoring tata kelola yang efektif mesti diterapkan di atas praktik-praktik manajemen nilai (VG5), dan harus ada siklus perbaikan yang berkesinambungan berdasarkan lesson learned sebelumnya (VG6). Proses-proses pada domain ini berlaku sebagai payung yang menaungi proses-proses pada domain Val IT lannya.
Domain PM membahas mengenai proses-proses yang dibutuhkan untuk mengelola seluruh portofolio investasi-investasi TI. Domain ini mengatur bahwa arahan strategis dari organisasi mesti diklarifikasi dan bahwa target portofolio mesti ditetapkan (PM1). Juga, sumber daya yang tersedia terkait dengan pendanaan (PM2) dan SDM (PM3) perlu diinventarisasi. Berdasarkan justifikasi bisnis yang detail hasil proses pada domain IM (IM1-1M5), maka kemudian program-program investasi tersebut dipilih dan dipindahkan ke portofolio aktif (PM4). Kinerja dari portofolio aktif ini perlu dimonitor secara kontinu dan dilaporkan (PM5) serta terus dioptimalisasi (PM6) berdasarkan laporan-laporan kinerja yang keluar dari proses-proses IM.
Proses-proses pada domain IM ini sudah bekerja pada level individual suatu investasi IT tertentu. Lima proses pertama dalam domain ini fokus pada munculnya peluang-peluang investasi baru di organisasi (IM1) dan pembuatan justifikasi bisnis yang rinci (IM5) untuk peluang-peluang yang sudah disetujui, termasuk analisis terhadap aksi-aksi yang dapat dilakukan (IM2), pendefinisian rencana detail program (IM3) dan analisis cost-benefit secara keseluruhan (IM4). Setelah persetujuan terhadap justifikasi bisnis rinci (PM4), program-program investasi baru diluncurkan (IM6) dan dimonitor (IM8) dan, jika perlu, justifikasi bisnis dapat juga diupdate (IM9). Semua program investasi perlu ada masa akhir berlakunya (IM10), yaitu ketika disepakati bahwa nilai bisnis yang diharapkan dari investasi telah dapat tercapai atau sebaliknya jika jelas-jelas tidak akan dapat tercapai. Selain itu perubahan pada portofolio operasional IT, sebagai hasil dari program investasi, perlu dimasukkan ke dalam portofolio layanan-layanan IT, aset atau sumber dayanya (IM7).
Secara sederhana sebenarnya nilai (value) merupakan relasi antara ekspektasi dari para pihak yang berkepentingan dengan kemampuan sumber daya untuk mewujudkannya. Dan tujuan dari manajemen nilai –seperti halnya Val IT ini—ini intinya adalah untuk merekonsiliasi kesenjangan diantara kedua hal tersebut. Ya, bagaimana mengatur agar sumber daya yang dikeluarkan dapat memenuhi ekspektasi dan juga sebaliknya, bagaimana ekspektasi dapat disesuaikan dengan kemampuan sumber daya yang dimiliki. Definisi yang sederhana tapi tentu tidak sederhana dalam mewujudkannya. Justru disinilah framework semacam Val IT ini diharapkan dapat membantu.
Val IT bersifat komplementer terhadap COBIT dan bahkan mengikuti struktur dan template yang sama. Val IT memiliki 22 proses yang dikelompokkan ke dalam tiga domain, yaitu:
- Value Governance (VG)
- Portofolio Management (PM)
- Investment Management (IM)
Domain VG membahas mengenai struktur dan proses-proses yang dibutuhkan untuk memastikan praktik-praktik manajemen nilai telah berjalan di organisasi. Domain ini mencakup keterlibatan kepemimpinan (VG1), definisi dan implementasi praktik-praktik manajemen nilai (VG2), dan integrasi manajemen nilai dengan proses-proses manajemen finansial organisasi (VG4). Domain ini juga membahas mengenai tipe-tipe portofolio dan kriteria yang perlu ditentukan oleh bisnis (VG3), bahwa monitoring tata kelola yang efektif mesti diterapkan di atas praktik-praktik manajemen nilai (VG5), dan harus ada siklus perbaikan yang berkesinambungan berdasarkan lesson learned sebelumnya (VG6). Proses-proses pada domain ini berlaku sebagai payung yang menaungi proses-proses pada domain Val IT lannya.
Domain PM membahas mengenai proses-proses yang dibutuhkan untuk mengelola seluruh portofolio investasi-investasi TI. Domain ini mengatur bahwa arahan strategis dari organisasi mesti diklarifikasi dan bahwa target portofolio mesti ditetapkan (PM1). Juga, sumber daya yang tersedia terkait dengan pendanaan (PM2) dan SDM (PM3) perlu diinventarisasi. Berdasarkan justifikasi bisnis yang detail hasil proses pada domain IM (IM1-1M5), maka kemudian program-program investasi tersebut dipilih dan dipindahkan ke portofolio aktif (PM4). Kinerja dari portofolio aktif ini perlu dimonitor secara kontinu dan dilaporkan (PM5) serta terus dioptimalisasi (PM6) berdasarkan laporan-laporan kinerja yang keluar dari proses-proses IM.
Proses-proses pada domain IM ini sudah bekerja pada level individual suatu investasi IT tertentu. Lima proses pertama dalam domain ini fokus pada munculnya peluang-peluang investasi baru di organisasi (IM1) dan pembuatan justifikasi bisnis yang rinci (IM5) untuk peluang-peluang yang sudah disetujui, termasuk analisis terhadap aksi-aksi yang dapat dilakukan (IM2), pendefinisian rencana detail program (IM3) dan analisis cost-benefit secara keseluruhan (IM4). Setelah persetujuan terhadap justifikasi bisnis rinci (PM4), program-program investasi baru diluncurkan (IM6) dan dimonitor (IM8) dan, jika perlu, justifikasi bisnis dapat juga diupdate (IM9). Semua program investasi perlu ada masa akhir berlakunya (IM10), yaitu ketika disepakati bahwa nilai bisnis yang diharapkan dari investasi telah dapat tercapai atau sebaliknya jika jelas-jelas tidak akan dapat tercapai. Selain itu perubahan pada portofolio operasional IT, sebagai hasil dari program investasi, perlu dimasukkan ke dalam portofolio layanan-layanan IT, aset atau sumber dayanya (IM7).
Secara sederhana sebenarnya nilai (value) merupakan relasi antara ekspektasi dari para pihak yang berkepentingan dengan kemampuan sumber daya untuk mewujudkannya. Dan tujuan dari manajemen nilai –seperti halnya Val IT ini—ini intinya adalah untuk merekonsiliasi kesenjangan diantara kedua hal tersebut. Ya, bagaimana mengatur agar sumber daya yang dikeluarkan dapat memenuhi ekspektasi dan juga sebaliknya, bagaimana ekspektasi dapat disesuaikan dengan kemampuan sumber daya yang dimiliki. Definisi yang sederhana tapi tentu tidak sederhana dalam mewujudkannya. Justru disinilah framework semacam Val IT ini diharapkan dapat membantu.