Hai…kali ini saya akan berbagi mengenai Risk Analysis, ini adalah merupakah salah satu bahasan yang wajib dipelajari saat kita mengambil sertifikasi CISA.
Analisa resiko adalah bagian dari proses audit untuk menganalisa jenis resiko dan kerentanan, manfaatnya bagi si auditor ialah dapat mengambil langkah langkah control yang diperlukan untuk meminimalisasi resiko resiko.
Defisini resiko adalah kemungkinan kemungkinan ancaman yang dapat mengeksploitasi kerentanan dari suatu asset baik sendiri atau berkelompok yang dapat menyebabkan kerusakan / kerugian pada suatu organisasi.
IT Risk adalah menjadi salah satu resiko bisnis terutama bila bisnis itu kemudian dihubungkan dengan pemakaian,kepemilikan, operasi, pengaruh, keikutsertaan dan adopsi Informasi Technologi didalam perusahaan tersebut.
Pendekatan melakukan audit biasanya dilakukan dengan mengandalkan persepsi terhadap resiko, maksudnya adalah area area yang menjadi prioritas untuk di audit adalah area area yang memiliki resiko yang tinggi. Misalnya saja melakukan audit IT pada layananan website karena pada layanan ini memiliki resiko yang tinggi untuk di acak acak oleh pihak internal atau eksternal.
Residual Risk adalah term yang menggambarkan management resiko, sejauh mana si perusahaan mau mengambil resiko ( risk tolerance) adapun normal tindakannya adalah kemudian me manage resiko yang ada atau memindahkan dari resiko tinggi ke resiko yang rendah. Caranya ? hehehe tentu saja dengan control resiko.
Metoda me mitigasi resiko ada beberapa macam antara lain :
- Avoid Risk , dengan melakukan terminasi resiko, awalnya ketika resiko sudah di ukur, maka kemudian dilakukan pengaturan aktifitas yang akan memicu resiko tersebut. Misalnya saja penggunaan laptop karyawan bank yang disediakan semua dari pihak bank dimana mereka bekerja untuk menghindari adalnya malware, infeksi virus, tojan ataupun pencurian data data mereka.
- Reduce Risk dengan meminimalisai kemungkinan terjadinya resiko, caranya adalah dengan menambahkan control tambahan, contoh nya adalah pemasangan perangkat firewall untuk mengurangi resiko di hack atau untuk mengurangi serangan virus.
- Accept Risk, maksudnya adalah menerima resiko yang ada dengan mempersiapkan management penanganannya. Misalnya adalah resiko gempa bumi, resiko ini tidak bisa dihindari hanya saja kita bisa melakukan management terhadap resiko ini misalnya dengan mempersiapkan DRC ( Disaster Recovery Center).
- Transfer Risk adalah meletakkan resiko pada pihak ketiga, misalnya saja dengan memakai jasa asuransi kebakaran, asuransi huru hara terhadap asset asset perusahaan.
Risk Assement adalah proses yang digunakan untuk mengindentifikasi secara kualitas dan kuantitas dan kemudian mengkategorikannya sesuai level prioritas pada perusahaan .
Salam Share !