![]() |
Foto: Risk Management dari Blue Planet Studio (iStock) |
Dalam dunia bisnis yang penuh dengan
ketidakpastian, manajemen risiko menjadi sangat penting. Framework audit sistem
informasi seperti ISO/IEC 27001 dan COSO2017 memberikan struktur bagi
perusahaan untuk mengidentifikasi, menilai, dan mengelola risiko secara
terintegrasi, memastikan bahwa risiko-risiko tersebut dikelola secara efektif
dan efisien. Kedua standar tersebut secara tujuan memiliki fokus yang sama,
yaitu untuk mendukung efektivitas manajemen risiko bagi perusahaan, namun
secara aspek dan komponennya terdapat beberapa perbedaan.
Sehingga, dalam diskusi mengenai beragam
standar manajemen risiko, sering kali timbul perbedaan pendapat seputar standar
mana yang lebih superior. Muncul pertanyaan: “Standar manakah yang lebih
efektif dalam mendukung penerapan manajemen risiko? Apakah ISO/IEC 27001 dan
COSO 2017?”. Untuk mengetahuinya, perlu memahami kedua standar tersebut lebih
lanjut.
Apa
itu ISO/IEC 27001:2022?
Sejarah dari ISO/IEC 27001 dimulai ketika standar ini
pertama kali diterbitkan bersama oleh International Organization for
Standardization (ISO) dan International Electrotechnical Commission
(IEC) pada tahun 2005. Tujuan awalnya adalah untuk memberikan kerangka kerja
bagi organisasi untuk mengelola keamanan informasi secara lebih efektif.
Kemudian, ISO/IEC 27001:2022 dirilis untuk terus memperbarui
dan menyempurnakan standar tersebut agar sesuai dengan perkembangan teknologi
dan ancaman keamanan informasi yang terus berkembang. Standar ini menekankan
pentingnya mengelola sistem manajemen keamanan informasi (ISMS), agar dapat
membantu organisasi membuat aset informasi yang mereka miliki menjadi aman.
Untuk menerapkan ISO/IEC 27001:2022 pada organisasi perlu
melibatkan beberapa tahap, sebagai berikut :
- Penetapan
Ruang Lingkup (Scope Definition): menentukan batasan dan cakupan
sistem manajemen keamanan informasi (ISMS), termasuk aset, teknologi,
lokasi, dan unit bisnis yang akan diikutsertakan.
- Penugasan
Tim (Team Assignment): membentuk tim yang terdiri dari anggota
dengan berbagai keahlian yang diperlukan untuk mengembangkan dan
mengimplementasikan ISMS.
- Penilaian
Awal (Initial Assessment): melakukan penilaian untuk memahami kondisi
keamanan informasi saat ini dan menentukan gap antara kondisi saat ini
dengan persyaratan ISO/IEC 27001:2022.
- Penetapan
Kebijakan Keamanan Informasi (Information Security Policy Setting):
mengembangkan kebijakan keamanan informasi yang mencerminkan komitmen
organisasi terhadap keamanan informasi.
- Identifikasi
Risiko Keamanan Informasi (Information Security Risk Identification):
mengidentifikasi risiko keamanan informasi yang dapat mempengaruhi aset
informasi organisasi.
- Penetapan
Kontrol Keamanan Informasi (Information Security Control Establishment):
memilih dan menetapkan kontrol yang sesuai dari Annex A ISO/IEC 27001:2022
untuk mengatasi risiko yang telah diidentifikasi.
- Penetapan
Prosedur Operasional (Operational Procedure Establishment): mengembangkan
prosedur operasional yang diperlukan untuk memastikan bahwa kontrol
keamanan informasi diterapkan secara efektif.
- Pelaksanaan
Pelatihan Karyawan (Employee Training Implementation): memberikan
pelatihan kepada karyawan mengenai kebijakan, prosedur, dan kontrol keamanan
informasi untuk meningkatkan kesadaran dan kompetensi mereka.
- Implementasi
Sistem Manajemen Keamanan Informasi (ISMS): menerapkan semua aspek ISMS,
termasuk kebijakan, kontrol, dan prosedur operasional.
- Audit
Intern (Internal Audit): melakukan audit internal untuk menilai apakah
ISMS telah diterapkan dengan benar dan efektif serta memenuhi persyaratan
standar.
- Audit
Eksternal dan Sertifikasi (External Audit and Certification): melakukan
audit eksternal oleh badan sertifikasi yang diakui untuk memverifikasi
bahwa ISMS memenuhi persyaratan ISO/IEC 27001:2022 dan mendapatkan
sertifikasi.
- Pemantauan
dan Perbaikan Secara Berkala (Monitoring): memantau kinerja ISMS
secara berkala dan melakukan perbaikan berkelanjutan untuk memastikan
keefektifan dan kepatuhan terhadap standar yang berubah.
Apa
itu COSO 2017?
Pada tahun 2001, COSO bekerjasama dengan Pricewaterhouse
Coopers memulai proyek untuk mengembangkan sebuah kerangka kerja manajemen
risiko, yang menghasilkan COSO ERM - Integrated Framework pada tahun 2004.
Dalam perkembangannya, kerangka kerja COSO telah mengalami beberapa revisi
hingga versi terbaru, yaitu COSO 2017.
Pada September 2017, Committee of Sponsoring
Organizations of the Treadway Commission merilis kerangka kerja yang
diperbarui - COSO 2017, yang berjudul “Enterprise Risk Manajemen -
Integrating with Strategy and Performance”, untuk membantu para business leader memahami manajemen
risiko dalam organisasinya. Pembaruan COSO ERM dirancang untuk membantu
organisasi mengatasi risiko-risiko yang meningkat kompleksi, karena adanya
tekanan regulasi keamanan yang semakin dibutuhkan juga.
Dalam COSO 2017, terdapat delapan komponen yang saling
terkait dalam manajemen risiko, diantaranya:
- Lingkungan Internal (Internal Environment): mencakup budaya organisasi, termasuk filosofi manajemen risiko dan integritas serta nilai etis perusahaan.
- Penetapan Sasaran (Objective Setting): menetapkan sasaran yang jelas dan mendukung visi dan misi organisasi, serta memastikan bahwa risiko diidentifikasi dan dinilai dalam konteks tujuan organisasi.
- Identifikasi Kejadian (Event Identification): mengidentifikasi peristiwa internal dan eksternal yang dapat mempengaruhi pencapain tujuan, dan membedakan antara risiko dan peluang.
- Penilaian Risiko (Risk Assessment): proses mengevaluasi risiko yang diidentifikasi untuk menentukan bagaimana mereka harus dikelola dan memprioritaskan tindakan berdasarkan dampaknya terhadap organisasi.
- Perlakuan Risiko (Risk Response): menentukan bagaimana merespons risiko yang telah dievaluasi.
- Aktivitas Pengendalian (Control Activities): menerapkan kebijakan dan prosedur yang membantu memastikan bahwa penanganan risiko tepat dan tujuan organisasi tercapai.
- Informasi dan Komunikasi (Information and Communication): mengelola informasi yang relevan dan berkualitas yang dapat mendukung internal control dan komunikasi yang efektif baik secara internal maupun eksternal.
- Pemantauan (Monitoring): proses berkelanjutan untuk memantau, mengevaluasi, dan mengidentifikasi perbaikan yang diperlukan pada sistem manajemen risiko.
Berdasarkan pengenalan kedua
kerangka kerja di atas, perbandingan ISO/IEC
27001:2022 dan COSO 2017 dalam manajemen risiko di perusahaan dapat dilihat
dari beberapa aspek yaitu scope, struktur dan komponen, serta
implementasi seperti yang ditunjukan pada Tabel dibawah ini.
Aspek
|
ISO/IEC 27001:2022
|
COSO 2017
|
Scope
|
Fokus pada keamanan
informasi dan menetapkan persyaratan untuk ISMS. Termasuk penilaian dan
perlakuan risiko yang berkaitan dengan kehilangan, pencurian, atau kerusakan
informasi.
|
Memiliki scope yang
lebih luas, mencakup manajemen risiko perusahaan (ERM) secara keseluruhan.
Tidak hanya terbatas pada keamanan informasi tetapi juga mencakup risiko
strategis, keuangan, dan operasional.
|
Struktur dan Komponen
|
Mengatur 93 kontrol
yang dibagi menjadi empat tema : Organizational
Controls, People Controls, Physical Controls, Technological Controls
|
Terdiri dari delapan komponen : Internal Environment, Objective Setting,
Event Identification, Risk Assessment, Risk Response, Control Activities,
Information and Communication, Monitoring
|
Implementasi
|
Memerlukan pendekatan sistematis
dalam implementasinya, mencakup risk
assessment dan risk response yang
selalu diperbarui
|
Menekankan integrasi risiko dengan
proses pengambilan keputusan dan strategi perusahaan. Dimana risiko
dipertimbangkan saat menetapkan visi dan strategi perusahaan
|
Kedua kerangka kerja tersebut memiliki keunggulan tersendiri
dalam memanajemen risiko di perusahaan. ISO/IEC 27001:2022 lebih menekankan
keamanan informasi dengan memastikan adanya risk
assessment dan risk response dalam
strategi perusahaan, sedangkan COSO 2017 lebih berfokus pada memberikan panduan
yang lebih menyeluruh terkait manajemen risiko yang diintegrasikan dengan
strategi perusahaan.
Penerapan ISO/IEC 27001:2022 maupun COSO Framework 2017
dapat memberikan keuntungan bagi perusahaan terutama dalam membangun pertahanan
SI/IT yang kuat terhadap serangan sehingga dapat menciptakan strategi yang
lebih adaptif dan responsif terhadap risiko dan mendukung kelancaran pencapaian
tujuan strategis perusahaan melalui teknologi.
(Adi Arga
Arifnur / Dosen Universitas Andalas)
Editor by: Andri
B.