Kuliah

Mengenal ISO 31000, ERM COSO dan ISO 27001

Posted on

Hmmm libur-libur gini di kosan mending belajar dan ngerjakan tugas, ahahahaha. Yakali cuma bengong doang. Oke kali ini gue akan membagi pengetahuan tentang beberapa framework atau best practice mengenai manajemen resiko seperti ISO 31000, ERM COSO serta ISO 270001.

Siapa tau ada yang butuh, disini gue sudah merangkumnya dari berbagai sumber, so semoga membantu kamu-kamu yang sama-sama dapat tugas ini kelak hehe…

Berikut ini penjelasan beberapa framework atau best practices seperti ISO 31000, ERM COSO, dan ISO 27001 
Framework / Best Practice 
ISO 31000 
What 
ISO 31000 merupakan sebuah panduan atau best practice yang diterbitkan oleh International Organization for Standarization yang ditujukan
untuk dapat diterapkan dan disesuaikan untuk semua jenis organisasi
dengan memberikan struktur dan pedoman terhadap semua operasi yang
terkait dengan manajemen risiko.  
Why 
ISO
31000 dibuat untuk membantu organisasi mencapai tujuan organisasi
dengan dapat mengidentifikasi peluang serta ancaman serta secara efektif
dapat menggunakan sumber daya yang ada untuk menangani resiko. 
When  
ISO
31000 diterapkan pada organisasi disaat suatu organisasi membandingkan
praktik manajemen resiko terhadap tolak ukur yang diakui secara
internasional, rinciannya ISO 31000 ini digunakan disaat 3 tahapan : 
  1. Menciptakan rencana dan aktivitas 
    ISO 31000 menuntut dibentuknya program manajemen risiko yang rutin dan
    berkala. Standarisasi membantu organisasi dalam menjabarkan semua
    pilihan yang berkaitan dengan pelaksanaan rencana, kerangka kerja, dan
    proses. Standariasi ISO 31000 menuntut organisasi untuk mengupayakan
    terbentuknya suatu proses pelaksanaan rencana dan pilihan apa saja yang
    tersedia. ISO 31000 menuntut pembentukan proses analisis risiko, solusi,
    dan pelaksanaan rencana dan juga mengawasan aktivitas manajemen risiko
    yang berkelanjutan      
  2. Mengimplementasikan rencana tersebut 
    ISO 31000 menuntut implementantasi dari perencanaan dan proses
    manajemen risiko. Standar ISO 31000 menyediakan panduan untuk
    implementasinya. Panduan-panduan tersebut mencakup dokumentasi yang
    dibutuhkan untuk renacana manajemen risiko dan bagaimana cara mengelola
    suatu pelaksanaan manajemen risiko      
  3. Mengawasi dan mengevaluasi 
    ISO 31000  menuntut organisasi untuk mereview dan memonitor program
    manajemen risiko yang telah dilakukannya. Standar menuntun organisasi
    melalui proses review tersebut. Review proses meliputi akuntabilitas,
    kerangka kerja, dan pengintegrasian dari suatu aktivitas perencanaan,
    proses, dan analisis dan solusi untuk mengurangi risiko dari organisasi.
    Standar ISO 31000 juga menginstruksikan bagaimana cara mencatat review
    dan memonitor status dan hasil sebaik bagaimana laporan tersebut
    didapatkan.     
How 
Di
dalam ISO 31000 terdapat beberapa prinsip yang harus dijalankan oleh
organisasi untuk menerapkan manajemen resiko secara efektif, diantaranya
: 
  1. Manajemen risiko menciptakan nilai tambah (creates value) Manajemen
    risiko berkontribusi terhadap pencapaian nyata objektif dan
    peningkatan, antara lain, kesehatan dan keselamatan manusia, kepatuhan
    terhadap hukum dan peraturan, penerimaan publik, perlindungan
    lingkungan, kinerja keuangan, kualitas produk, efisiensi operasi, serta
    tata kelola dan reputasi perusahaan.     
  2. Manajemen risiko adalah bagian integral proses dalam organisasi (an integral part of organizational processes) Manajemen
    risiko adalah bagian tanggung jawab manajemen dan merupakan suatu
    bagian integral dalam proses normal organisasi seperti juga merupakan
    bagian dari seluruh proses proyek dan manajemen perubahan. Manajemen
    risiko bukanlah merupakan aktivitas yang berdiri sendiri yang terpisah
    dari aktivitas-aktivitas utama dan proses dalam organisasi.     
  3. Manajemen risiko adalah bagian dari pengambilan keputusan (part of decision making) Manajemen
    risiko membantu pengambil keputusan mengambil keputusan dengan
    informasi yang cukup. Manajemen risiko dapat membantu memprioritaskan
    tindakan dan membedakan berbagai pilihan alternatif tindakan. Pada
    akhirnya, manajemen risiko dapat membantu memutuskan apakah suatu risiko
    dapat diterima atau apakah suatu penanganan risiko telah memadai dan
    efektif.     
  4. Manajemen risiko secara eksplisit menangani ketidakpastian (explicitly addresses uncertainty) Manajemen
    risiko menangani aspek-aspek ketidakpastian dalam pengambilan
    keputusan, sifat alami dari ketidakpastian itu, dan bagaimana
    menanganinya.     
  5. Manajemen risiko bersifat sistematis, terstruktur, dan tepat waktu (systematic, structured and timely) Suatu
    pendekatan sistematis, tepat waktu, dan terstruktur terhadap manajemen
    risiko memiliki kontribusi terhadap efisiensi dan hasil yang konsisten,
    dapat dibandingkan, serta andal.     
  6. Manajemen risiko berdasarkan informasi terbaik yang tersedia (based on the best available information) Masukan
    untuk proses pengelolaan risiko didasarkan oleh sumber informasi
    seperti pengalaman, umpan balik, pengamatan, prakiraan, dan pertimbangan
    pakar. Meskipun demikian, pengambil keputusan harus terinformasi dan
    harus mempertimbangkan segala keterbatasan data atau model yang
    digunakan atau kemungkinan perbedaan pendapat antar pakar.     
  7. Manajemen risiko dibuat sesuai kebutuhan (tailored) Manajemen risiko diselaraskan dengan konteks eksternal dan internal organisasi serta profil risikonya. 
  8. Manajemen risiko memperhitungkan faktor manusia dan budaya (takes human and cultural factors into account) Manajemen
    risiko organisasi mengakui kapabilitas, persepsi, dan tujuan pihak-
    pihak eksternal dan internal yang dapat mendukung atau malah menghambat
    pencapaian tujuan organisasi.     
  9. Manajemen risiko bersifat transparan dan inklusif (transparent and inclusive) Pelibatan
    para pemangku kepentingan, terutama pengambil keputusan, dengan sesuai
    dan tepat waktu pada semua tingkatan organisasi, memastikan manajemen
    risiko tetap relevan dan mengikuti perkembangan. Pelibatan ini juga
    memungkinkan pemangku kepentingan untuk cukup terwakili dan
    diperhitungkan sudut pandangnya dalam menentukan kriteria risiko.     
  10. Manajemen risiko bersifat dinamis, iteratif, dan responsif terhadap perubahan (dynamic, iterative and responsive to change) Seiring
    dengan timbulnya peristiwa internal dan eksternal, perubahan konteks
    dan pengetahuan, serta diterapkannya pemantauan dan peninjauan,
    risiko-risiko baru bermunculan, sedangkan yang ada bisa berubah atau
    hilang. Karenanya, suatu organisasi harus memastikan bahwa manajemen
    risiko terus menerus memantau dan menanggapi perubahan.     
  11. Manajemen risiko memfasilitasi perbaikan dan pengembangan berkelanjutan organisasi (facilitates continual improvement and enhancement of the organization) Organisasi
    harus mengembangkan dan mengimplementasikan strategi untuk memperbaiki
    kematangan manajemen risiko mereka bersama aspek-aspek lain dalam
    organisasi mereka.      
Framework / Best Practice 
ERM COSO 
What 
ERM COSO merupakan panduan yang dibuat oleh The Committee of Sponsoring Organizations of the Treadway Commission
untuk internal organisasi dalam praktek terintegrasi dengan pengaturan
dan pelakasanaan pengelolaan resiko dalam menciptakan, memelihara dan
mewujudkan nilai-nilai tujuan perusahaan. 
Why 
Organiasasi
beroperasi dalam lingkungan di mana faktor-faktor seperti globalisasi,
teknologi, restrukturisasi, perubahan pasar, persaingan, dan regulasi
menciptakan ketidakpastian. Ketidakpastian ini menciptakan risiko. ERM
memungkinkan organisasi untuk mengelola risiko dalam risk appetite (suatu
keadaan di mana organisasi memilih untuk menerima, memantau,
mempertahankan diri, atau memaksimalkan diri melalui peluang-peluang
yang ada).
Akibatnya, organisasi yang mampu memberikan nilai maksimum kepada
stakeholder dengan jaminan yang wajar bahwa risiko di luar risk appetite
mereka akan dicegah. ERM akan membantu mencegah kegagalan bisnis masa
depan dan skandal yang ada. Juga, sebuah perusahaan yang memanfaatkan
ERM akan memenuhi persyaratan yang ditetapkan oleh Sarbanes-Oxley Act
mengenai pengadaan kontrol internal laporan keuangan. 
When  
ERM
COSO ini dipakai oleh organisasi disaat organisasi tersebut ingin
menghadapi ketidakpastian dengan cara meciptakan nilai dari resiko atau
peluang yang ada. ERM COSO ini digunakan disaat manajemen
mengkaji dan memonitor risiko dari tingkat tinggi, atau melihat
portofolio. Hal ini memungkinkan manajemen untuk pertama
mengidentifikasi risiko dan kemudian menganalisis resiko yang
mempengaruhi perusahaan.  Dalam kerangka COSO, ERM digunakan dengan diarahkan untuk mencapai tujuan perusahaan yang diatur dalam empat kategori: 
  • Strategic – tujuan ini untuk menggapai tujuan organisasi 
  • Operations – tujuan ini mengacu pada penggunaan efektif dan efisien terhadap sumber daya 
  • Reporting – tujuan ini mengelilingi kebutuhan organisasi untuk laporan yang dapat diandalkan. 
  • Compliance – tujuan ini mengacu dengan kebutuhan entitas untuk mematuhi hukum dan peraturan yang berlaku. 
 Mengelola risiko dalam empat kategori dalam risk appetite entitas akan membantu dalam penciptaan nilai stakeholder. 
How 
ERM versi COSO terdiri dari 8 komponen
yang saling terkait. Kedelapan komponen ini diturunkan dari bagaimana
manajemen menjalankan perusahaan dan diintegrasikan dengan proses
manajemen. Kedelapan komponen ini diperlukan untuk mencapai
tujuan-tujuan perusahaan, baik tujuan strategis, operasional, pelaporan
keuangan, maupun kepatuhan terhadap ketentuan perundang-undangan.
Komponen-komponen tersebut adalah: 
  1. Lingkungan Internal (Internal Environment)
    – Lingkungan internal sangat menentukan warna dari sebuah organisasi
    dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang
    dalam organisasi tersebut. Di dalam lingkungan internal ini termasuk,
    filosofi manajemen risiko dan     risk appetite, nilai-nilai etika dan integritas, dan lingkungan di mana kesemuanya tersebut berjalan.  
  2. Penentuan Tujuan (Objective Setting)
    Tujuan perusahaan harus ada terlebih dahulu sebelum manajemen dapat
    menidentifikasi kejadian-kejadian yang berpotensi mempengaruhi
    pencapaian tujuan tersebut.  ERM memastikan bahwa manajemen memiliki
    sebuah proses untuk menetapkan tujuan ddan bahwa tujuan yang dipilih
    atau ditetapkan tersebut terkait dan mendukung misi perusahaan dan
    konsisten dengan     risk appetite-nya.  
  3. Identifikasi Kejadian (Event Identification)
    – Kejadian internal dan eksternal yang mempengaruhi pencapaian tujuan
    perusahaan harus diidentifikasi, dan dibedakan antara risiko dan
    peluang. Peluang dikembalikan (    channeled back) kepada proses penetapan strategi atau tujuan manajemen.  
  4. Penilaian Risiko (Risk Assessment) – Risiko dianalisis dengan memperhitungkan kemungkinan terjadi (likelihood) dan dampaknya (impact), sebagai dasar bagi penentuan bagaimana seharusnya risiko tersebut dikelola.  
  5. Respons Risiko (Risk Response) – Manajemen memilih respons risiko –menghindar (avoiding), menerima (accepting), mengurangi (reducing), atau mengalihkan (sharing risk)  – dan mengembangkan satu set kegiatan agar risiko tersebut sesuai dengan toleransi (risk tolerance) dan risk appetite.  
  6. Kegiatan Pengendalian (Control Activities) – Kebijakan dan prosedur yang ditetapkan dan diimplementasikan untuk membantu memastikan respons risiko berjalan dengan efektif.  
  7. Informasi dan komunikasi (Information and Communication)
    – Informasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan
    dalam bentuk dan waktu yang memungkinkan setiap orang menjalankan
    tanggung jawabnya.      
  8. Pengawasan (Monitoring)
    – Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila
    perlu.  Pengawasan dilakukan secara melekat pada kegiatan manajemen yang
    berjalan terus-menerus, melalui eveluasi secara khusus,  atau dengan
    keduanya.     
Penerapan
komponen dalam berbagai tujuan tersebut dapat dilakukan pada
entity-level, divisional, unit bisnis, dan/atau subsidiary. Hubungan
antara ketiganya digambarkan oleh COSO dalam kubus tiga dimensi sebagai
berikut: 
Framework / Best Practice 
ISO 27001 
What 
ISO
27001 merupakan suatu standar internasional untuk Sistem Manajemen
Kemanan Informasi (SMKI) sebagian besar sebelumnya diangkat berdasarkan
BS 7799 yang umum digunakan sejak tahun 1995 mengenai pengelolaan
keamanan informasi. ISO 27001 lebih dikenal dengan nama ISMS
(Information Security Management Systems) dan merupakan standard yang
banyak dipakai untuk melakukan tata kelola keamanan informasi pada
sebuah organisasi. ISO 27001 menyediakan kerangka kerja untuk netralitas
penggunaan tehnologi, netralitas sistem manajemen pengelolaan rekanan
yang memungkinkan suatu organisasi memastikan bahwa pengukuran keamanan
informasi adalah efektif. Hal ini termasuk kemampuan mengakses data
secara berkelanjutan, adanya kerahasiaan dan integritas atas informasi
yang dimilikinya dan kebutuhan pihak-pihak yang berkepentingan demikian
pula dengan kesesuaian hukum. 
Why 
Penerapan ISO 27001 sebagai jawaban atas persyaratan hukum dan kemungkinan besar ancaman keamanan seperti: 
  • Perusakan / terorisme 
  • Kebakaran 
  • Kesalahan penggunaan 
  • Pencurian 
  • Serangan yang diakibatkan oleh virus 
ISO
27001 disusun agar mudah saling melengkapi dengan standar sistem
manajemen lainnya seperti ISO 9001 dan ISO 14001. Meskipun beberapa
klausula tertentu berbeda, secara umum elemen-elemen yang ada termasuk
dokumentasi, persyaratan audit dan tinjauan manajemen, memungkinkan
suatu organisasi mengembangkan secara lebih luas integrasi sistem
manajemen. Meskipun komunikasi moderen memerlukan suatu perantara
berarti bahwa sebagian terbesar sistem ISMS diutamakan pada ICT, ISO
27001 adalah penerapan yang seimbang pada bentuk-bentuk informasi,
seperti catatancatatan, gambar-gambar, dan percakapan-percakapan yang
tersaji dalam bentuk kertas. 
When  
Penggunaan ISO 27001 digunakan disaat ada pendekatan dalam pengamanan informasi yang merupakan suatu proses perlindungan terhadap informasi untuk memastikan beberapa hal berikut ini: 
  • Kerahasiaan (confidentiality): memastikan bahwa informasi hanya dapat diakses oleh pihak yang memiliki wewenang. 
  • Integritas (integrity): memastikan bahwa informasi tetap akurat dan lengkap, serta informasi tersebut tidak dimodifikasi tanpa otorisasi yang jelas. 
  • Ketersediaan (availability): memastikan bahwa informasi dapat diakses oleh pihak yang memiliki wewenang ketika dibutuhkan. 
Pengamanan
informasi tersebut dapat dicapai dengan melakukan suatu kontrol yang
terdiri dari kebijakan, proses, prosedur, struktur organisasi, serta
fungsi-fungsi infrastruktur TI. 
How 
Perusahan-perusahaan
yang akan mengimplementasikan konsep keamanan informasi sesuai ISO
27001 dapat berpedoman pada 14 aspek (menurut ISO 27001:2013), yang
diantaranya adalah :  
  1. Information security policies (2 controls) 
  2. Organization of information security (7 controls) 
  3. Human resource security – 6 controls that are applied before, during, or after employment 
  4. Asset management (10 controls) 
  5. Access control (14 controls) 
  6. Cryptography (2 controls) 
  7. Physical and environmental security (15 controls) 
  8. Operations security (14 controls) 
  9. Communications security (7 controls) 
  10. System acquisition, development and maintenance (13 controls) 
  11. Supplier relationships (5 controls) 
  12. Information security incident management (7 controls) 
  13. Information security aspects of business continuity management (4 controls) 
  14. Compliance; with internal requirements, such as policies, and with external requirements, such as laws (8 controls) 
Related image
Pasal-pasal ISO 27001:2013 
  1. Scope of the standard 
  2. How the document is referenced 
  3. Reuse of the terms and definitions in ISO/IEC 27000 
  4. Organizational context and stakeholders 
  5. Information security leadership and high-level support for policy 
  6. Planning an information security management system; risk assessment; risk treatment 
  7. Supporting an information security management system 
  8. Making an information security management system operational 
  9. Reviewing the system’s performance 
  10. Corrective action 
Annex A: List of controls and their objectives. 
Referensi ISO 27001: 

  5. Semoga membantu yaaaa 😃😃😃😃😃😃😃😃

Terimakasih telah membaca di Aopok.com, semoga bermanfaat mulai lah buat iklan gratis di Iklans.com dan lihat juga di situs berkualitas dan paling populer Piool.com, peluang bisnis online Topbisnisonline.com dan join di komunitas Topoin.com.


Related Items:
Comments

Paling Populer

88
Bisnis

ToPoin Bisnis Online Sosial Media Commerce
67
Fikih

Pengertian Nazar
63
Uncategorized

AKTUALISASI NILAI ISRA’ MI’RAJ DALAM KEHIDUPAN
62
Uncategorized

3 TIPE MANUSIA MENURUT IMAM GHAZALI
61
Download PDF

4 Bulan di Amerika karya Buya Hamka PDF
57
Uncategorized

WOW! PUASA DALAM PERSPEKTIF TASAWUF
Uncategorized

4 Kewajiban Istri Terhadap Suami dalam Islam
53
Tips-Kerja

5 Alasan Kenapa PNS Farmasi Menjadi Karir yang Menjanjikan
52
Uncategorized

PUASA DALAM PERSPEKTIF TASAWUF IMAM GHAZALI
Uncategorized

8 SIFAT ISTRI YANG DIBENCI SUAMI
To Top