Mengenal ISO 31000, ERM COSO dan ISO 27001

March 28, 2017

Hmmm libur-libur gini di kosan mending belajar dan ngerjakan tugas, ahahahaha. Yakali cuma bengong doang. Oke kali ini gue akan membagi pengetahuan tentang beberapa framework atau best practice mengenai manajemen resiko seperti ISO 31000, ERM COSO serta ISO 270001.

Siapa tau ada yang butuh, disini gue sudah merangkumnya dari berbagai sumber, so semoga membantu kamu-kamu yang sama-sama dapat tugas ini kelak hehe...

Berikut ini penjelasan beberapa framework atau best practices seperti ISO 31000, ERM COSO, dan ISO 27001 

Framework / Best Practice 
ISO 31000 
What 
ISO 31000 merupakan sebuah panduan atau best practice yang diterbitkan oleh International Organization for Standarization yang ditujukan untuk dapat diterapkan dan disesuaikan untuk semua jenis organisasi dengan memberikan struktur dan pedoman terhadap semua operasi yang terkait dengan manajemen risiko.  
Why 
ISO 31000 dibuat untuk membantu organisasi mencapai tujuan organisasi dengan dapat mengidentifikasi peluang serta ancaman serta secara efektif dapat menggunakan sumber daya yang ada untuk menangani resiko. 
When  
ISO 31000 diterapkan pada organisasi disaat suatu organisasi membandingkan praktik manajemen resiko terhadap tolak ukur yang diakui secara internasional, rinciannya ISO 31000 ini digunakan disaat 3 tahapan : 
  1. Menciptakan rencana dan aktivitas  ISO 31000 menuntut dibentuknya program manajemen risiko yang rutin dan berkala. Standarisasi membantu organisasi dalam menjabarkan semua pilihan yang berkaitan dengan pelaksanaan rencana, kerangka kerja, dan proses. Standariasi ISO 31000 menuntut organisasi untuk mengupayakan terbentuknya suatu proses pelaksanaan rencana dan pilihan apa saja yang tersedia. ISO 31000 menuntut pembentukan proses analisis risiko, solusi, dan pelaksanaan rencana dan juga mengawasan aktivitas manajemen risiko yang berkelanjutan  
  2. Mengimplementasikan rencana tersebut  ISO 31000 menuntut implementantasi dari perencanaan dan proses manajemen risiko. Standar ISO 31000 menyediakan panduan untuk implementasinya. Panduan-panduan tersebut mencakup dokumentasi yang dibutuhkan untuk renacana manajemen risiko dan bagaimana cara mengelola suatu pelaksanaan manajemen risiko  
  3. Mengawasi dan mengevaluasi  ISO 31000  menuntut organisasi untuk mereview dan memonitor program manajemen risiko yang telah dilakukannya. Standar menuntun organisasi melalui proses review tersebut. Review proses meliputi akuntabilitas, kerangka kerja, dan pengintegrasian dari suatu aktivitas perencanaan, proses, dan analisis dan solusi untuk mengurangi risiko dari organisasi. Standar ISO 31000 juga menginstruksikan bagaimana cara mencatat review dan memonitor status dan hasil sebaik bagaimana laporan tersebut didapatkan. 
How 
Di dalam ISO 31000 terdapat beberapa prinsip yang harus dijalankan oleh organisasi untuk menerapkan manajemen resiko secara efektif, diantaranya : 
  1. Manajemen risiko menciptakan nilai tambah (creates value) Manajemen risiko berkontribusi terhadap pencapaian nyata objektif dan peningkatan, antara lain, kesehatan dan keselamatan manusia, kepatuhan terhadap hukum dan peraturan, penerimaan publik, perlindungan lingkungan, kinerja keuangan, kualitas produk, efisiensi operasi, serta tata kelola dan reputasi perusahaan. 
  2. Manajemen risiko adalah bagian integral proses dalam organisasi (an integral part of organizational processes) Manajemen risiko adalah bagian tanggung jawab manajemen dan merupakan suatu bagian integral dalam proses normal organisasi seperti juga merupakan bagian dari seluruh proses proyek dan manajemen perubahan. Manajemen risiko bukanlah merupakan aktivitas yang berdiri sendiri yang terpisah dari aktivitas-aktivitas utama dan proses dalam organisasi. 
  3. Manajemen risiko adalah bagian dari pengambilan keputusan (part of decision making) Manajemen risiko membantu pengambil keputusan mengambil keputusan dengan informasi yang cukup. Manajemen risiko dapat membantu memprioritaskan tindakan dan membedakan berbagai pilihan alternatif tindakan. Pada akhirnya, manajemen risiko dapat membantu memutuskan apakah suatu risiko dapat diterima atau apakah suatu penanganan risiko telah memadai dan efektif. 
  4. Manajemen risiko secara eksplisit menangani ketidakpastian (explicitly addresses uncertainty) Manajemen risiko menangani aspek-aspek ketidakpastian dalam pengambilan keputusan, sifat alami dari ketidakpastian itu, dan bagaimana menanganinya. 
  5. Manajemen risiko bersifat sistematis, terstruktur, dan tepat waktu (systematic, structured and timely) Suatu pendekatan sistematis, tepat waktu, dan terstruktur terhadap manajemen risiko memiliki kontribusi terhadap efisiensi dan hasil yang konsisten, dapat dibandingkan, serta andal. 
  6. Manajemen risiko berdasarkan informasi terbaik yang tersedia (based on the best available information) Masukan untuk proses pengelolaan risiko didasarkan oleh sumber informasi seperti pengalaman, umpan balik, pengamatan, prakiraan, dan pertimbangan pakar. Meskipun demikian, pengambil keputusan harus terinformasi dan harus mempertimbangkan segala keterbatasan data atau model yang digunakan atau kemungkinan perbedaan pendapat antar pakar. 
  7. Manajemen risiko dibuat sesuai kebutuhan (tailored) Manajemen risiko diselaraskan dengan konteks eksternal dan internal organisasi serta profil risikonya. 
  8. Manajemen risiko memperhitungkan faktor manusia dan budaya (takes human and cultural factors into account) Manajemen risiko organisasi mengakui kapabilitas, persepsi, dan tujuan pihak- pihak eksternal dan internal yang dapat mendukung atau malah menghambat pencapaian tujuan organisasi. 
  9. Manajemen risiko bersifat transparan dan inklusif (transparent and inclusive) Pelibatan para pemangku kepentingan, terutama pengambil keputusan, dengan sesuai dan tepat waktu pada semua tingkatan organisasi, memastikan manajemen risiko tetap relevan dan mengikuti perkembangan. Pelibatan ini juga memungkinkan pemangku kepentingan untuk cukup terwakili dan diperhitungkan sudut pandangnya dalam menentukan kriteria risiko. 
  10. Manajemen risiko bersifat dinamis, iteratif, dan responsif terhadap perubahan (dynamic, iterative and responsive to change) Seiring dengan timbulnya peristiwa internal dan eksternal, perubahan konteks dan pengetahuan, serta diterapkannya pemantauan dan peninjauan, risiko-risiko baru bermunculan, sedangkan yang ada bisa berubah atau hilang. Karenanya, suatu organisasi harus memastikan bahwa manajemen risiko terus menerus memantau dan menanggapi perubahan. 
  11. Manajemen risiko memfasilitasi perbaikan dan pengembangan berkelanjutan organisasi (facilitates continual improvement and enhancement of the organization) Organisasi harus mengembangkan dan mengimplementasikan strategi untuk memperbaiki kematangan manajemen risiko mereka bersama aspek-aspek lain dalam organisasi mereka.  

Referensi ISO 31000: 
  1. https://www.iso.org/iso-31000-risk-management.html 
  2. http://www.akademiasuransi.org/2013/05/iso-31000-tentang-manajemen-risiko.html 
  3. http://ivan.lanin.org/sebelas-prinsip-manajemen-risiko-menurut-iso-31000/  

Framework / Best Practice 
ERM COSO 
What 
ERM COSO merupakan panduan yang dibuat oleh The Committee of Sponsoring Organizations of the Treadway Commission untuk internal organisasi dalam praktek terintegrasi dengan pengaturan dan pelakasanaan pengelolaan resiko dalam menciptakan, memelihara dan mewujudkan nilai-nilai tujuan perusahaan. 
Why 
Organiasasi beroperasi dalam lingkungan di mana faktor-faktor seperti globalisasi, teknologi, restrukturisasi, perubahan pasar, persaingan, dan regulasi menciptakan ketidakpastian. Ketidakpastian ini menciptakan risiko. ERM memungkinkan organisasi untuk mengelola risiko dalam risk appetite (suatu keadaan di mana organisasi memilih untuk menerima, memantau, mempertahankan diri, atau memaksimalkan diri melalui peluang-peluang yang ada). Akibatnya, organisasi yang mampu memberikan nilai maksimum kepada stakeholder dengan jaminan yang wajar bahwa risiko di luar risk appetite mereka akan dicegah. ERM akan membantu mencegah kegagalan bisnis masa depan dan skandal yang ada. Juga, sebuah perusahaan yang memanfaatkan ERM akan memenuhi persyaratan yang ditetapkan oleh Sarbanes-Oxley Act mengenai pengadaan kontrol internal laporan keuangan. 
When  
ERM COSO ini dipakai oleh organisasi disaat organisasi tersebut ingin menghadapi ketidakpastian dengan cara meciptakan nilai dari resiko atau peluang yang ada. ERM COSO ini digunakan disaat manajemen mengkaji dan memonitor risiko dari tingkat tinggi, atau melihat portofolio. Hal ini memungkinkan manajemen untuk pertama mengidentifikasi risiko dan kemudian menganalisis resiko yang mempengaruhi perusahaan.  Dalam kerangka COSO, ERM digunakan dengan diarahkan untuk mencapai tujuan perusahaan yang diatur dalam empat kategori: 
  • Strategic – tujuan ini untuk menggapai tujuan organisasi 
  • Operations - tujuan ini mengacu pada penggunaan efektif dan efisien terhadap sumber daya 
  • Reporting - tujuan ini mengelilingi kebutuhan organisasi untuk laporan yang dapat diandalkan. 
  • Compliance - tujuan ini mengacu dengan kebutuhan entitas untuk mematuhi hukum dan peraturan yang berlaku. 
 Mengelola risiko dalam empat kategori dalam risk appetite entitas akan membantu dalam penciptaan nilai stakeholder. 
How 
ERM versi COSO terdiri dari 8 komponen yang saling terkait. Kedelapan komponen ini diturunkan dari bagaimana manajemen menjalankan perusahaan dan diintegrasikan dengan proses manajemen. Kedelapan komponen ini diperlukan untuk mencapai tujuan-tujuan perusahaan, baik tujuan strategis, operasional, pelaporan keuangan, maupun kepatuhan terhadap ketentuan perundang-undangan. Komponen-komponen tersebut adalah: 
  1. Lingkungan Internal (Internal Environment) – Lingkungan internal sangat menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Di dalam lingkungan internal ini termasuk, filosofi manajemen risiko dan risk appetite, nilai-nilai etika dan integritas, dan lingkungan di mana kesemuanya tersebut berjalan.  
  2. Penentuan Tujuan (Objective Setting) – Tujuan perusahaan harus ada terlebih dahulu sebelum manajemen dapat menidentifikasi kejadian-kejadian yang berpotensi mempengaruhi pencapaian tujuan tersebut.  ERM memastikan bahwa manajemen memiliki sebuah proses untuk menetapkan tujuan ddan bahwa tujuan yang dipilih atau ditetapkan tersebut terkait dan mendukung misi perusahaan dan konsisten dengan risk appetite-nya.  
  3. Identifikasi Kejadian (Event Identification) – Kejadian internal dan eksternal yang mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara risiko dan peluang. Peluang dikembalikan (channeled back) kepada proses penetapan strategi atau tujuan manajemen.  
  4. Penilaian Risiko (Risk Assessment) – Risiko dianalisis dengan memperhitungkan kemungkinan terjadi (likelihood) dan dampaknya (impact), sebagai dasar bagi penentuan bagaimana seharusnya risiko tersebut dikelola.  
  5. Respons Risiko (Risk Response) – Manajemen memilih respons risiko –menghindar (avoiding), menerima (accepting), mengurangi (reducing), atau mengalihkan (sharing risk)  – dan mengembangkan satu set kegiatan agar risiko tersebut sesuai dengan toleransi (risk tolerance) dan risk appetite.  
  6. Kegiatan Pengendalian (Control Activities) – Kebijakan dan prosedur yang ditetapkan dan diimplementasikan untuk membantu memastikan respons risiko berjalan dengan efektif.  
  7. Informasi dan komunikasi (Information and Communication) – Informasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap orang menjalankan tanggung jawabnya.  
  8. Pengawasan (Monitoring) – Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila perlu.  Pengawasan dilakukan secara melekat pada kegiatan manajemen yang berjalan terus-menerus, melalui eveluasi secara khusus,  atau dengan keduanya. 
Penerapan komponen dalam berbagai tujuan tersebut dapat dilakukan pada entity-level, divisional, unit bisnis, dan/atau subsidiary. Hubungan antara ketiganya digambarkan oleh COSO dalam kubus tiga dimensi sebagai berikut: 

Referensi ERM COSO : 
  1. http://auditorinternal.com/2010/02/15/mengenal-erm/ 
  2. https://mukhsonrofi.wordpress.com/2008/10/14/pengertian-atau-definisi-coso/ 
  3. https://www.coso.org/Pages/default.aspx 
  4. https://erm.ncsu.edu/library/article/coso-erm-framework 
  5. http://info.knowledgeleader.com/bid/163293/what-is-the-coso-enterprise-risk-management-framework  


Framework / Best Practice 
ISO 27001 
What 
ISO 27001 merupakan suatu standar internasional untuk Sistem Manajemen Kemanan Informasi (SMKI) sebagian besar sebelumnya diangkat berdasarkan BS 7799 yang umum digunakan sejak tahun 1995 mengenai pengelolaan keamanan informasi. ISO 27001 lebih dikenal dengan nama ISMS (Information Security Management Systems) dan merupakan standard yang banyak dipakai untuk melakukan tata kelola keamanan informasi pada sebuah organisasi. ISO 27001 menyediakan kerangka kerja untuk netralitas penggunaan tehnologi, netralitas sistem manajemen pengelolaan rekanan yang memungkinkan suatu organisasi memastikan bahwa pengukuran keamanan informasi adalah efektif. Hal ini termasuk kemampuan mengakses data secara berkelanjutan, adanya kerahasiaan dan integritas atas informasi yang dimilikinya dan kebutuhan pihak-pihak yang berkepentingan demikian pula dengan kesesuaian hukum. 
Why 
Penerapan ISO 27001 sebagai jawaban atas persyaratan hukum dan kemungkinan besar ancaman keamanan seperti: 
  • Perusakan / terorisme 
  • Kebakaran 
  • Kesalahan penggunaan 
  • Pencurian 
  • Serangan yang diakibatkan oleh virus 
ISO 27001 disusun agar mudah saling melengkapi dengan standar sistem manajemen lainnya seperti ISO 9001 dan ISO 14001. Meskipun beberapa klausula tertentu berbeda, secara umum elemen-elemen yang ada termasuk dokumentasi, persyaratan audit dan tinjauan manajemen, memungkinkan suatu organisasi mengembangkan secara lebih luas integrasi sistem manajemen. Meskipun komunikasi moderen memerlukan suatu perantara berarti bahwa sebagian terbesar sistem ISMS diutamakan pada ICT, ISO 27001 adalah penerapan yang seimbang pada bentuk-bentuk informasi, seperti catatancatatan, gambar-gambar, dan percakapan-percakapan yang tersaji dalam bentuk kertas. 

When  
Penggunaan ISO 27001 digunakan disaat ada pendekatan dalam pengamanan informasi yang merupakan suatu proses perlindungan terhadap informasi untuk memastikan beberapa hal berikut ini: 
  • Kerahasiaan (confidentiality): memastikan bahwa informasi hanya dapat diakses oleh pihak yang memiliki wewenang. 
  • Integritas (integrity): memastikan bahwa informasi tetap akurat dan lengkap, serta informasi tersebut tidak dimodifikasi tanpa otorisasi yang jelas. 
  • Ketersediaan (availability): memastikan bahwa informasi dapat diakses oleh pihak yang memiliki wewenang ketika dibutuhkan. 
Pengamanan informasi tersebut dapat dicapai dengan melakukan suatu kontrol yang terdiri dari kebijakan, proses, prosedur, struktur organisasi, serta fungsi-fungsi infrastruktur TI. 
How 
Perusahan-perusahaan yang akan mengimplementasikan konsep keamanan informasi sesuai ISO 27001 dapat berpedoman pada 14 aspek (menurut ISO 27001:2013), yang diantaranya adalah :  
  1. Information security policies (2 controls) 
  2. Organization of information security (7 controls) 
  3. Human resource security - 6 controls that are applied before, during, or after employment 
  4. Asset management (10 controls) 
  5. Access control (14 controls) 
  6. Cryptography (2 controls) 
  7. Physical and environmental security (15 controls) 
  8. Operations security (14 controls) 
  9. Communications security (7 controls) 
  10. System acquisition, development and maintenance (13 controls) 
  11. Supplier relationships (5 controls) 
  12. Information security incident management (7 controls) 
  13. Information security aspects of business continuity management (4 controls) 
  14. Compliance; with internal requirements, such as policies, and with external requirements, such as laws (8 controls) 

Pasal-pasal ISO 27001:2013 
  1. Scope of the standard 
  2. How the document is referenced 
  3. Reuse of the terms and definitions in ISO/IEC 27000 
  4. Organizational context and stakeholders 
  5. Information security leadership and high-level support for policy 
  6. Planning an information security management system; risk assessment; risk treatment 
  7. Supporting an information security management system 
  8. Making an information security management system operational 
  9. Reviewing the system’s performance 
  10. Corrective action 
Annex A: List of controls and their objectives. 

Referensi ISO 27001: 
  1. https://arafiandi.wordpress.com/2009/10/27/tentang-iso-27001-information-security-management-system/ 
  2. http://www.zenshifu.com/iso27001/ 
  3. http://blog.umy.ac.id/keamanan/2016/10/01/tentang-iso-27001/ 
  4. http://deltasinergi.com/perbedaan-iso-270012005-dengan-iso-270012013/ 
  5. https://advisera.com/27001academy/knowledgebase/overview-of-iso-270012013-annex-a/

    Semoga membantu yaaaa 😃😃😃😃😃😃😃😃

Share This Story

Tags:

Pencinta fotografi, kuliner dan pengkhayal yang mencoba mencari jati diri dalam tulisan

You Might Also Like

0 komentar