Hasil Pencarian  ::  Simpan CSV :: Kembali

"Digitalisasi telah merambah ke berbagai aspek kehidupan, termasuk sektor pemerintahan di bidang pengawasan pengelolaan keuangan negara. SIMWAS adalah sistem informasi di Instansi XYZ yang digunakan untuk mengelola kegiatan pengawasan dan tindak lanjut hasil pengawasan. SIMWAS merupakan aset penting yang memuat seluruh proses bisnis pengendalian internal, namun pada praktiknya, risiko keamanan informasi SIMWAS belum dikelola dengan baik. Untuk mengatasi permasalahan tersebut, diperlukan manajemen risiko keamanan informasi pada SIMWAS. Penelitian ini bertujuan untuk merancang dan menganalisis manajemen risiko keamanan informasi SIMWAS menggunakan kerangka kerja berdasarkan integrasi standar ISO/IEC 27005:2018, ISO/IEC 27002:2013, dan NIST SP 800-30 Rev 1. Kerangka kerja ISO/IEC 27005:2018 digunakan sebagai kerangka kerja utama manajemen risiko, NIST SP 800-30 Rev. 1 sebagai panduan proses penilaian risiko, dan ISO/IEC 27002:2013 sebagai referensi rekomendasi penanganan risiko. Penilaian risiko keamanan informasi SIMWAS dilakukan dengan menganalisis data yang diperoleh dari hasil wawancara, observasi, dan telaah dokumen. Hasil penelitian ini menunjukkan bahwa keamanan informasi SIMWAS memiliki 8 risiko level rendah, 9 risiko level sedang, dan 5 risiko level tinggi. Penelitian ini menghasilkan 14 rekomendasi penanganan risiko untuk 5 risiko level tinggi dan 9 risiko level sedang, sedangkan 8 risiko level rendah dapat diterima sesuai dengan selera risiko organisasi. Instansi XYZ perlu melakukan analisis risiko residu dan analisis biaya-manfaat dari penerapan kontrol di setiap skenario risiko.

---

Digitalization has penetrated various aspects of life, including the government sector in the field of supervising state financial management. SIMWAS is an information system in the XYZ Agency that is used to manage surveillance activities and follow up on the results of supervision. SIMWAS is an important asset that includes all internal control business processes, but in practice, SIMWAS information security risks have not been managed properly. To overcome these problems, information security risk management is required at SIMWAS. This study aims to design and analyze SIMWAS information security risk management using a framework based on the integration of ISO/IEC 27005:2018, ISO/IEC 27002:2013, and NIST SP 800-30 Rev 1 standards. The ISO/IEC 27005:2018 framework is used as the main framework in risk management, NIST SP 800-30 Rev. 1 as a guideline for risk assessment process, and ISO/IEC 27002:2013 as a reference for risk treatment recommendations. SIMWAS information security risk assessment is carried out by analyzing data obtained from the results of interviews, observations, and document reviews. The results of this study indicate that SIMWAS information security has 8 low-level risks, 9 medium-level risks, and 5 high-level risks. This study result 14 risk treatment recommendation for 5 high-level risks and 9 medium-level risks, while 8 low-level risks are acceptable according to the organization's risk appetite The XYZ Agency needs to carry out a residual risk analysis and a cost-benefit analysis of implementing controls in each risk scenario."

"Ditjen. Imigrasi sebagai pelaksana tugas dan fungsi Kementerian Hukum dan HAM RI di bidang keimigrasian telah memanfaatkan SI/TI yang mengintegrasikan seluruh fungsi keimigrasian baik di dalam maupun luar negeri, yaitu dengan Sistem Informasi Manajemen Keimigrasian (SIMKIM). Lingkup SIMKIM yang meliputi hampir seluruh aspek layanan keimigrasian menyebabkan ketersediaan layanan SIMKIM menjadi sangat penting. Tidak tersedianya layanan SIMKIM menyebabkan proses pelayanan keimigrasian menjadi tidak berjalan. Terjadinya insiden terkait keamanan informasi dalam organisasi serta maraknya kasus serangan siber di instansi pemerintah Indonesia, menuntut kepastian pengamanan SIMKIM untuk melindungi data krusial yang dimiliki. Tingginya ketergantungan Imigrasi terhadap SIMKIM dan dalam rangka menjaga kredibilitas instansi, dibutuhkan suatu perencanaan manajemen risiko keamanan informasi untuk menjamin kerahasiaan, integritas, dan ketersediaan layanan SIMKIM.Dalam menyusun perencanaan manajemen risiko keamanan informasi SIMKIM, penelitian dilakukan dengan menggunakan kerangka kerja ISO/IEC 27005:2018 sebagai kerangka kerja utama dalam proses manajemen risiko, NIST SP 800-30 Rev. 1 sebagai panduan pelaksanaan aktivitas penilaian risiko, dan NIST SP 800-53 Rev. 5 sebagai acuan penentuan rekomendasi. Dari penilaian risiko, diidentifikasi 23 skenario risiko yang perlu dimitigasi oleh organisasi dan 5 skenario risiko yang dapat dialihkan ke pihak ketiga. Penelitian ini menghasilkan dokumen rancangan manajemen risiko keamanan informasi SIMKIM.

---

The Directorate General of Immigration as the executor of the duties and functions of the Ministry of Law and Human Rights of Republic of Indonesia in the Immigration sector has utilized IS/IT that integrates all immigration functions both at inside and outside territory of Indonesia, namely the Sistem Informasi Manajemen Keimigrasian (SIMKIM). The scope of SIMKIM which covers almost all aspects of immigration services makes the availability of SIMKIM services very important. The unavailability of SIMKIM services causes the immigration service process to not work. The occurrence of incidents related to information security within the organization as well as the rise of cases of cyber attacks in Indonesian government agencies, demands the certainty of SIMKIM security to protect the crucial data held. Immigration's high dependence on SIMKIM and to maintain the credibility of the agency, an information security risk management plan is needed to ensure the confidentiality, integrity, and availability of SIMKIM services.

In preparing the information security risk management plan for SIMKIM, the research uses the ISO/IEC 27005 framework as the main framework in the risk management process, NIST SP 800-30 Rev. 1 as a guide for the implementation of risk assessment activities, and NIST SP 800-53 Rev. 5 as a reference for determining recommendations. From the risk assessment, 23 risk scenarios were identified that need to be mitigated by the organization and 5 risk scenarios that can be transferred to third parties. This research produces a SIMKIM information security risk management design document."

"Revolusi Teknologi Informasi selain memiliki dampak positif bagi pemerintah juga menimbulkan celah kerentanan pada layanan pemerintah jika protokol keamanan tidak dijalankan dengan baik. Pemerintah wajib menjaga confidentiality, integrity, dan availability data dan informasi yang dimiliki. Instansi XYZ sebagai Lembaga yang memiliki tugas diantaranya adalah menyampaikan informasi meteorologi, klimatologi, gempabumi dan tsunami, serta peringatan dini meteorologi, klimatologi dan tsunami kepada instansi dan pihak terkait serta masyarakat berkenaan dengan bencana karena faktor meteorologi, klimatologi, dan geofisika.Demi percepatan penyampaian informasi terkait Meteorologi, Klimatologi dan Geofisika, Instansi XYZ menggunakan situs resmi lembaga dan media sosial sebagai perantaranya. Untuk mencegah risiko agar tidak terjadi di dalam proses penyampaian informasi, Pusat Jaringan Komunikasi XYZ telah melakukan sertifikasi ISO/IEC 27001:2013 dalam menerapkan sistem manajemen kemanan informasi, ISO/IEC 20000-1:2018 untuk sistem manajemen layanan, dan ISO 9001: 2015 untuk sistem manajemen mutu.Pusat Jaringan Komunikasi XYZ melakukan integrasi manajemen sistem untuk ISO 9001: 2015, ISO/IEC 20000-1:2018, ISO/IEC 27001:2013 sehingga biaya administrasi lebih hemat serta pelaksanaan operasional sistem yang lebih efektif. Untuk mendukung kebijakan tersebut perlu dilakukan pengembangan dan penerapan proses manajemen risiko terkait dengan keamanan informasi yang selaras dengan rencana pengendalian risiko mutu dan layanan yaitu dengan melakukan integrasi sistem manajemen risiko berdasarkan Pedoman Manajemen Risiko Sistem Pemerintahan Berbasis Elektronik (SPBE) agar terwujud layanan yang berkualitas untuk stakeholder.Berdasarkan hasil analisis dan penilaian risiko yang telah dilakukan di Pusat Jaringan Komunikasi Instansi XYZ, terdapat 15 risiko positif dan 41 risiko negatif. Dari total keseluruhan risiko yang berjumlah 56 risiko terdapat 18 risiko yang diterima dan 38 risiko yang perlu dilakukan penanganan. Dari 38 risiko yang perlu dilakukan penanganan, dilakukan mitigasi risko untuk 27 risiko, transfer risiko untuk 3 risiko, eksploitasi risiko untuk 6 risiko, dan penghindaran risiko untuk 2 risiko.

---

Revolution in Information technology having a positive impact on the government, apart from that it’s also creates vulnerabilities in government services if the security protocols are not implemented properly. The government is obliged to maintain the confidentiality, integrity and availability of the data and information it has. The XYZ Agency as an institution whose duties include information dissemination and early warning of meteorology, climatology, earthquakes and tsunami to the other agencies and parties as well as the public regarding disasters due to meteorological, climatological and geophysical factors.

In order to accelerate the information dissemination related to Meteorology, Climatology and Geophysics, XYZ Agency uses the institution's official website and social media as intermediaries. To prevent the risks from occuring in the information dissemination process, the center for communication network of XYZ Agency has certified ISO/IEC 27000:2013 in implementing information security management systems, ISO/IEC 20000-1:2018 for service management systems, and ISO 9001: 2015 for a quality management system.

The XYZ Agency’s Center for Communication Network, integrates the management systems for ISO 9001: 2015, ISO/IEC 20000-1:2018, ISO/IEC 27001:2013 so the administrative costs are more efficient and the operational implementation of the system is more effective. To support this policy, it is necessary to develop and implement a risk management process related to information security in line with the quality and service risk control plan by integrating a risk management system based on the Electrinoc-Based Governance System Risk Management Guidelines (SPBE) in order to realize quality services for stakeholders.

Based on the results of the risk analysis and assessment that has been carried out at the XYZ Agency Center for Communication Network, there are 15 positive and 41 negative risks. Out of a total of 56 risks, there are 18 risks that are accepted and 38 risks that need to mitigate. Of the 38 risks that need to mitigate, risk mitigation is carried out for 27 risks, risk transfer to 3 risks, risk exploitation to 6 risks, and risk avoidance to 2 risks."

"Melalui Unit Bisnis Strategis e-Health, PT. XYZ memberikan pelayanan terhadap proses administrasi jaminan kesehatan dengan memanfaatkan Teknologi Informasi. Dalam menjalankan proses bisnis dengan menggunakan TI, Unit Bisnis Strategis e-Health mengelola data yang bersifat rahasia seperti data klaim, data finance, data provider, dan data lainnya. Data tersebut dilindungi oleh regulasi UU ITE No, 11 tahun 2008 pasal 16 ayat 1 dan UU No. 36 tahun 2009 tentang Kesehatan pasal 57 ayat 1. Oleh itu, risiko-risiko yang terkait keamanan informasi perlu diidentifikasi dan dimitigasi agar tidak menjadi ancaman yang berdampak kerugian terhadap aset dan keberlangsungan bisnis akibat keamanan informasi yang tidak dapat dijaga dengan baik. Namun, saat ini Unit Bisnis Strategis e-Health PT. XYZ belum memiliki manajemen risiko keamanan informasi. Penelitian ini bertujuan untuk membangun rencana manajemen risiko keamanan informasi. Kerangka kerja yang digunakan adalah ISO/IEC 27005 dengan empat tahapan utama yaitu penetapan konteks, penilaian risiko, penanganan risiko dan penerimaan risiko. Untuk merancang kontrol dalam upaya mengurangi risiko, peneliti mengacu pada ISO/IEC 27002. Hasil penelitian ini adalah rencana manajemen risiko keamanan informasi yang berisi profil dari risiko yang diidentifikasi berdasarkan jenis aset yang dapat berupa primary asset atau secondary asset. Selain itu, kontrol untuk setiap risiko juga dirancang untuk mengurangi dampak suatu risiko. Dengan adanya manajemen risiko keamanan informasi ini, diharapkan Unit Bisnis Strategis e-Health dapat memenuhi regulasi yang berlaku di Indonesia dan mendapatkan kepercayaan dari pelanggan sehingga dapat menjadi nilai jual lebih.

---

Through a strategic business unit e-health, PT. XYZ provides health insurance administration process services by utilizing information technology. In running business processes using IT, a strategic business unit e-health managing confidential data such as claims, provider, and other data. The data is protected by the regulation of the ITE Law No. 11 of 2008 clause 16, verse 1 and No. 36 of 2009 on Health clause 57, verse 1. Information security risks need to be identified and mitigated so they do not become threats affecting losses on assets and business continuity as a result of information security risks that can not be maintained properly. However, today a strategic business unit e-health at PT. XYZ do not have an information security risk management.

This study aims to build an information security risk management plan. The framework used is ISO / IEC 27005 with four main stages, namely the establishment of context, risk assestment, risk management and risk acceptance. To design a control in order to reduce the risk, researcher refers to ISO / IEC 27002.

Results of this research is the information security risk management plan containing risk profiles were identified based on the type of assets that can be either primary or secondary assets. In addition, the controls for each risk is also designed to reduce the impact of a risk. Given this information security risk management, strategic business unit e-health is expected to meet the applicable regulations in Indonesia and obtain the trust of the customers so that it becomes the added value."

"Terdapat beberapa jenis pendekatan manajemen risiko keamanan informasi sebagai panduan dalam menerapkan program risiko keamanan. Setiap pendekatan mempunyai tujuan dan metodologi yang berbeda tergantung pada kebutuhan dan selera organisasi yang melakukannya. Jika suatu organisasi memiliki personel yang kompeten untuk mengimplementasikan manajemen risiko keamanan informasi, maka akan mudah untuk melakukannya. Namun, itu akan menjadi tantangan bagi organisasi yang tidak memiliki personil yang kompeten. Tujuan dari penelitian ini adalah untuk merancang kerangka kerja manajemen risiko keamanan informasi yang sederhana namun memenuhi prinsip-prinsip manajemen risiko keamanan informasi. Desain didasarkan pada integrasi empat pendekatan manajemen risiko keamanan informasi yang berbeda. ISO 27005 mewakili standar, Risk Management Framework (RMF) oleh NIST mewakili pedoman, OCTAVE Allegro mewakili metodologi, dan COBIT mewakili kerangka kerja. Integrasi tersebut dipenuhi dengan melakukan analisis komparatif dengan menyortir dan menggabungkan berdasarkan proses aktivitas manajemen risiko keamanan informasi. Penyortiran diterapkan untuk mendapatkan desain model sederhana, dan penggabungan digunakan untuk mendapatkan desain model lengkap. Desain model sederhana terdiri dari proses identifikasi, pengukuran, administrasi dan pemantauan. Proses identifikasi terdiri dari identifikasi konteks dan komponen risiko. Proses pengukuran meliputi pengukuran faktor risiko dan risiko. Proses administrasi menghasilkan rencana penanganan risiko dan pengambilan keputusan. Proses pemantauan dengan objek perubahan dan pertukaran informasi. Untuk memvalidasi hasil perancangan desain model sederhana, dilakukan studi penerapan awal dalam bentuk simulasi penerapan di Pusdiklat Badan XYZ. Hasil studi penerapan awal ini adalah mayoritas responden baik online maupun offline menyatakan bahwa desain sederhana namun memenuhi prinsip manajemen risiko keamanan informasi dibuktikan dengan seluruh indikator evaluasi penerapan desain bernilai di atas passing grade 50%.

---

There are several types of information security risk management (ISRM) methods as guidance in implementing a security risk program. Each method carried different goals and methodologies depending on the needs and tastes of the organization that carried it out. If an organization has personnel who are competent to implement ISRM, it will be easy to do so. However, it will be challenging for an organization that lacks skilled personnel. The purpose of this study is to design a framework for ISRM that is simple but meets the principles of ISRM. The design is based on the integration of four different ISRM methods. ISO 27005 represents the standard, RMF by NIST represents guidelines, OCTAVE represents methodology, and COBIT represents framework. The integration is fulfilled by conducting a comparative analysis by sorting and merging based on the activity processes of ISRM. The result of this study is two designs of ISRM, namely full design and simple design. Sorting is applied to get a simple design, and merging is used to get a full design. The simple model design consists of the process of identification, measurement, administration and monitoring. The identification process consists of identifying the context and components of risk. The measurement process includes the measurement of risk and risk factors. The administrative process produces a plan for risk management and decision making. The process of monitoring with objects of change and information exchange. To validate the results of the design of a simple model, a preliminary implementation study was carried out in the form of a simulation application at the XYZ Agency Training Center. The results of this preliminary implementation study are that the majority of respondents both online and offline stated that the design was simple but met the principles of information security risk management, evidenced by all the indicators of the evaluation values above 50% passing grade."

"Penelitian ini berfokus pada konteks pada PT XYZ, yang telah merencanakan untuk mengadopsi ISO 31000 sebagai dasar kerangka kerja manajemen risiko mereka. Namun, perusahaan belum menerapkan manajemen risiko secara optimal untuk menghadapi risiko yang dimiliki hingga saat penelitian ini ditulis. Sehingga, perusahaan menghadapi tantangan dari perubahan lingkungan bisnis yang terus berkembang, menciptakan potensi risiko yang berubah cepat dan dapat menghambat efektivitas kebijakan. Penelitian ini dimaksudkan untuk memberikan sumbangan dalam mengisi celah pembahasan terkait penerapan manajemen risiko pada industri jasa layanan streaming video. Strategi penelitian yang digunakan yaitu studi kasus dengan pendekatan kualitatif dan single unit of analysis yaitu PT XYZ. Instrumen penelitian dalam proses pengumpulan data dilakukan melalui wawancara semi-terstruktur dibantu dengan daftar periksa (checklist). Hasil analisis menunjukkan adanya risiko bisnis, risiko keuangan, risiko operasional, risiko hukum, dan risiko reputasi. Perusahaan perlu mengambil tindakan mitigasi yang sesuai untuk mengatasi risiko-risiko ini. Pentingnya persiapan pelaporan risiko yang akurat dan tepat waktu ditekankan, serta perlunya penilaian risiko yang berkelanjutan untuk mengidentifikasi risiko-risiko baru. Penelitian ini juga menunjukkan perlunya perusahaan meningkatkan kesiapan dalam pelaporan risiko, termasuk sistem informasi dan teknologi yang mendukungnya. Dengan demikian, penelitian ini memberikan wawasan tentang cara-cara untuk memitigasi risiko yang mungkin timbul.

---

This research focuses on the context of PT XYZ, which has planned to adopt ISO 31000 as the basis of their risk management framework. However, companies have not implemented optimal risk management to deal with the risks they have until the time this research was written. Thus, companies face challenges from changes in the business environment that continue to develop, creating potential risks that change rapidly and can hamper the effectiveness of policies. This research is intended to contribute to filling the discussion gap regarding the implementation of risk management in the video streaming service industry. The research strategy used is a case study with a qualitative approach and a single unit of analysis, namely PT XYZ. The research instrument in the data collection process was carried out through semi-structured interviews assisted by a checklist. The analysis results show that there are business risks, financial risks, operational risks, legal risks and reputation risks. Companies need to take appropriate mitigation measures to address these risks. The importance of preparing accurate and timely risk reporting is emphasized, as well as the need for ongoing risk assessment to identify new risks. This research also shows the need for companies to increase readiness in risk reporting, including the information systems and technology that support it. Thus, this research provides insight into ways to mitigate risks that may arise."

"Keterbukaan informasi secara global tanpa batas serta didukung perkembangan teknologi yang pesat berisiko memberikan kerawanan terhadap obyek informasi yang terekspose yang memberi celah kepada pihak yang tidak berkepentingan untuk mengambil atau memanipulasi informasi Organisasi Kementerian Luar Negeri mengelenggarakan fungsi fungsi sesuai dengan Perpres RI Nomor 9 Tahun 2005 dan UU RI Nomor 39 tahun 2008 membutuhkan informasi yang cepat tepat akurat serta terjamin keamanannya Sehingga tuntutan ketersediaan suatu Manajemen Resiko yang efektif merupakan sesuatu yang mendesak Manajemen Resiko diperlukan untuk melindungi aset informasi organisasi dan melanjutkan misi dan visi organisasi Dalam penelitian ini penulis melakukan Perancangan Manajemen Resiko Sistem Informasi studi kasus Pusat Komunikasi Kementerian Luar Negeri dengan metodologi NIST Hasil dari penelitian menggambarkan tingkat kematangan dan kelengkapan penerapan manajemen resiko di lingkungan Kementerian Luar Negeri.

---

Disclosure of information globally seamless and supported the development of technologies that provide rapid risk exposure to information objects that give loopholes exposed to unauthorized parties to retrieve or manipulate information Organization of the Ministry of Foreign Affairs provide functions in accordance with Presidential Decree No 9 of 2005 and Act No 39 of 2008 need information fast precise accurate and guaranteed safety So the demand for the availability of an effective risk management is something urgent Risk management is needed to protect the information assets of the organization and continue the mission and vision of the organization In this study the authors conducted a Risk Management Information System Design case study Communication Center Ministry of Foreign Affairs with NIST methodology The results of the study illustrate the level of maturity and completeness of the application of risk management in the Ministry of Foreign Affairs."

"BPK telah mengimplementasikan Sistem Informasi Pemantauan Tindak Lanjut (SIPTL) untuk melaksanakan dan memantau tindak lanjut rekomendasi hasil pemeriksaan. Sejalan dengan mandat yang diberikan Undang-Undang Dasar 1945 untuk melaksanakan pemeriksaan atas pengelolaan dan tanggung jawab keuangan negara secara bebas dan mandiri, keamanan informasi hasil pemeriksaan merupakan hal penting bagi BPK. Namun demikian, dalam operasionalnya, pemanfaatan SIPTL belum sesuai dengan standar manajemen risiko keamanan informasi. Penelitian ini bertujuan untuk mendapatkan rancangan manajemen risiko keamanan informasi SIPTL. Penelitian ini menggunakan metode kualitatif dan pengumpulan data melalui wawancara dan studi literatur. Wawancara dilakukan dengan pejabat eselon III dan IV pada Biro TI BPK. Kerangka kerja yang digunakan pada penelitian ini berdasarkan SNI ISO/IEC 27005:2018 dengan penanganan risiko menggunakan SNI ISO/IEC 27001:2013, dan SNI ISO/IEC 27002:2013. Hasil yang didapatkan dari penelitian ini adalah 13 skenario risiko di mana dua risiko mempunyai level yang tinggi, lima risiko mempunyai level sedang, dan enam risiko memiliki level rendah. Berdasarkan skenario risiko selanjutnya disusun rancangan manajemen risiko keamanan informasi SIPTL, yang dapat digunakan sebagai bahan pertimbangan dalam penerapan manajemen risiko keamanan informasi di BPK.

---

BPK has implemented the Follow-up Monitoring Information Systems (SIPTL) to conduct and monitor follow-up of recommendations-audit result. In line with the mandate given by the 1945 Constitution to audit towards management of and accountability for the state’s finances a free and independent, the information security of audit results is an important matter for BPK. However, in its operations, the utilization of SIPTL is not in accordance with information security risk management standards. This study aims to obtain a SIPTL information security risk management design. This research uses qualitative methods and data collection through interviews and literature studies. Interview was conducted with middle level official at BPK’s Bureau of IT. The framework used in this research is based on SNI ISO / IEC 27005: 2018, and risk treatment based on SNI ISO / IEC 27001: 2013 also SNI ISO / IEC 27002: 2013. The results obtained from this study are 13 risk scenarios including two high level risks, five medium level risks, and six low level risks. Based on the risk scenario, the SIPTL information security risk management design is then prepared, which can be used as recommendation towards the implementation of information security risk management at BPK.

"

"Tujuan penelitian ini adalah untuk mengevaluasi penerapan manajemen risiko profesi pada Kantor Akuntan Publik (KAP). Penelitian ini menggunakan Standar Pengendalian Mutu No. 1 untuk mengevaluasi manajemen risiko profesi pada KAP XYZ dan Standar Audit 220 untuk mengevaluasi manajemen risiko profesi pada perikatan audit KAP XYZ. Standar Pengendalian Mutu No. 1 dan Standar Audit merupakan standar yang diterbitkan oleh Institut Akuntan Publik Indonesia. Penelitian ini dilakukan dengan menggunakan metode studi kasus dengan pendekatan kualitatif. Objek penelitian ini adalah KAP XYZ yang merupakan salah satu KAP non big four, yang memiliki afiliasi dengan KAP Internasional. Data primer dan data sekunder digunakan dalam penelitian ini. Instrumen penelitian yang digunakan dalam penelitian ini adalah observasi dan wawancara. Hasil penelitian dapat digunakan sebagai dasar perbaikan manajemen risiko profesi dalam KAP XYZ. Hasil penelitian menunjukkan bahwa KAP XYZ telah mematuhi seluruh ketentuan yang ditetapkan dalam Standar Pengendalian Mutu No. 1 dan Standar Audit 220. Dalam perikatan yang dilakukan oleh KAP XYZ, tidak ditemukan adanya risiko yang termasuk dalam kategori serious, disastrous, dan catastrophic.

---

The purpose of this study was to evaluate the implementation of professional risk management at the Public Accounting Firm (CPA Firm). This research uses Standar Pengendalian Mutu No. 1 to evaluate professional risk management at KAP XYZ and Standar Audit 220 to evaluate professional risk management at XYZ CPA Firm's audit engagement. Both of Standar Pengendalian Mutu No. 1 and Standar Audit 220 were published by Institut Akuntan Publik Indonesia. This research was conducted using a case study method with a qualitative approach. The object of this research is XYZ CPA Firm, which is one of the non-big four CPA Firm that has an affiliation with International CPA Firm. Primary data and secondary data are used in this study. The research instruments used in this study were observation and interviews. The research results can be used as a basis for improving professional risk management in XYZ CPA Firm. The results showed that XYZ CPA Firm has complied with all the provisions stipulated in the Standar Pengendalian Mutu No. 1 and Standar Audit 220. In the engagement conducted by KAP XYZ, there was no risk that was categorized as serious, disastrous, and catastrophic."

"Manajemen risiko operasional penting dilakukan untuk memberikan peringatan terkait munculnya risiko. Manajemen risiko operasional yang dilakukan saat ini belum terintegrasi dengan baik antar divisi di perusahaan. Risiko operasional yang signifikan saat ini di lokasi tambang Kalimantan Selatan ialah risiko produktivitas yang berkaitan dengan minimnya ketersediaan bahan bakar dan risiko proses berkaitan dengan material jalanan yang buruk dan kondisi cuaca. Penanganan risiko yang dilakukan ialah mengupayakan pengadaan tangki bahan bakar yang lebih besar dan penyediaan alat. Peran manajemen risiko operasional saat ini belum maksimal yang disebabkan oleh minimnya kesadaran risk owner untuk melakukan manajemen risiko. Terdapat pendekatan manajemen risiko yakni COSO Enterprise Risk Management yang menekankan bahwa risiko harus dikelola oleh seluruh pihak di perusahaan dan harus sesuai dengan tujuan perusahaan yang hendak ingin dicapai Dengan menggunakan pendekatan COSO Enterprise Risk Management, terdapat beberapa elemen yang belum terlaksana dengan baik yakni internal environment dimana masih rendahnya komitmen dari risk owner untuk mengelola risiko. Komponen control activities dan monitoring juga belum dilakukan dengan baik karena rendahnya proses dokumentasi dari penanganan risiko serta pengawasan yang kurang efektif.

---

Operational risk management is necessary to provide a warning related to the emergence of risk. Operational risk management these day do not well integrated among all divison in the company. Significabt operational risks that present at the mine site in South Kalimantan is productivity risk associated with the lack of availability of the fuel and material risks associated with the poor road and weather condition. Mitigation risks undertaken is seeking procurement of larger fuel tank and adding tools. The role of operational risk management is currently not maximized due to lack of awareness from risk owner to perform risk management.

There is a risk management approach, the COSO Enterprise Risk Managemet which emphasizes that the risks should be managed by the whole company and must be in accordance with the company?s goals are going to be achieved. Based on the COSO Enterprise Risk Management approach, there are some element that have not done well that is low commitment from the owner to manage the risk. Also control and monitoring activities have not done well because of poor documentation process related to risk mitigation and ineffective monitoring."