Hasil Pencarian  ::  Simpan CSV :: Kembali

"Penelitian ini bertujuan untuk melakukan evaluasi terhadap kesiapan penerapan manajemen risiko pada PT XYZ. Evaluasi tersebut dilakukan berdasarkan elemen internal dari komponen learn GRC Capability Model. PT XYZ merupakan salah satu perusahaan penyedia produk sistem keamanan yang terintegrasi di Indonesia yang masih termasuk dalam kategori medium enterprise. Dalam waktu 3 tahun, perusahaan akan melakukan ekspansi bisnis dan perusahaan perlu memastikan kesiapannya dalam menerapkan manajemen risiko sebelum ekspansi dilakukan. Tinjauan literatur penelitian ini akan berfokus pada elemen internal dari komponen learn GRC Capability Model yang kemudian dihubungkan dengan COSO ERM 2017. Pengumpulan data dan fakta yang dibutuhkan untuk melakukan penilaian akan dilakukan melalui proses wawancara dan observasi. Data dan fakta yang diperoleh dianalisis dengan elemen internal dari komponen learn GRC Capability Model. Temuan mendasar pada penelitian ini adalah PT XYZ dinilai belum siap untuk menerapkan manajemen risiko karena ada beberapa hal mendasar yang harus diperbaiki oleh perusahaan seperti struktur organisasi perusahaan, ketidakpuasan karyawan, dan konflik pada direksi perusahaan.

---

This study aims to evaluate how is the readiness to implement risk management at PT XYZ. This evaluation caried out based on the internal element of learn component from GRC Capability Model. PT XYZ is one of the companies providing integrated security system products in Indonesia which still included in the medium enterprise category. In a relative shot time, PT XYZ is going to expand its business in 3 years and before it, the company needs to make sure about its readiness to implement risk management before the expansion is carried out. This research literature review will focus on the internal element of learn component from GRC Capability Model, which is linked to COSO ERM 2017. The collection of data and facts needed to conduct assessment will be carried out through interview and observation process. The data and facts obtained were analysed with the internal element of learn component from GRC Capability Model. The basic findings of the study indicate that PT XYZ is not ready to implement risk management because there are some basic things that must be improved by the company such as organizational structure, employee dissatisfaction, and conflict at company’s directors."

"Rumah Sakit Umum Daerah (RSUD) XYZ adalah organisasi sektor publik bidang pelayanan kesehatan dengan lingkungan yang kompleks dan berfungsi dalam kondisi yang penuh dengan berbagai risiko, baik klinis dan nonklinis yang berpengaruh pada pencapaian kinerja yang optimal. Penerapan manajemen risiko diperlukan untuk menghadapi berbagai tantangan risiko di lingkungan rumah sakit serta mencapai kinerja yang optimal dalam peningkatan kualitas pelayanan. Penelitian ini bertujuan untuk mengevaluasi penerapan manajemen risiko  pada RSUD XYZ dan memberikan rekomendasi perbaikan sebagai upaya untuk efektivitas manajemen risiko dengan menggunakan kerangka Peraturan Menteri Kesehatan Nomor 25 Tahun 2019 yang mengacu pada ISO 31000:2018. Metode penelitian ini adalah deskriptif kualitatif dengan pendekatan studi kasus jenis evaluasi melalui pengumpulan data primer dan data sekunder. Hasil penelitian ini menunjukkan bahwa penerapan manajemen risiko pada RSUD XYZ belum sepenuhnya memenuhi ketentuan dalam Peraturan Menteri Kesehatan Nomor 25 Tahun 2019, diantaranya tidak ada penetapan selera risiko, tidak ada pembaharuan dalam daftar risiko, belum melakukan analisis risiko, belum melakukan penyusunan rencana perlakuan risiko serta pencatatan dan pelaporan risiko belum sepenuhnya dilakukan oleh unit kerja. Oleh karena itu, RSUD XYZ perlu melakukan upaya perbaikan dalam proses manajemen risiko tersebut untuk dapat mengoptimalkan penerapan manajemen risiko yang dilakukan. Usulan perbaikan penerapan manajemen risiko yang diajukan diantaranya usulan penetapan selera risiko, penambahan risiko potensial, penentuan tingkat/level risiko dengan skala dampak dan kemungkinan, serta usulan rencana mitigasi risiko. Unit kerja RSUD XYZ harus mendokumentasikan proses manajemen risiko secara menyeluruh.

---

XYZ Regional General Hospital (RSUD) is a public sector organization in health services with a complex environment and functions in conditions full of various clinical and non-clinical risks, which affect optimal performance achievement. Implementing risk management is needed to face various risk challenges in the hospital environment and achieve optimal performance in improving service quality. This study aims to evaluate the implementation of risk management at XYZ Hospital and provide recommendations for improvement to improve the effectiveness of risk management using the framework of the Minister of Health Regulation Number 25 of 2019 which refers to ISO 31000: 2018. This research method is descriptive qualitative with an evaluation-type case study approach through primary and secondary data collection. The results of this study indicate that the implementation of risk management at XYZ Hospital has not fully complied with the provisions in the Minister of Health Regulation Number 25 of 2019, including no determination of risk appetite, no updates to the risk register has not conducted a risk analysis, has not prepared a risk treatment plan and risk recording and reporting has not been fully carried out by the work unit. Therefore, XYZ Hospital needs to make improvements in the risk management process to optimize the implementation of risk management. Proposed improvements to the application of risk management include proposals for determining risk appetite, adding potential risks, determining risk levels with a scale of impact and likelihood, and proposing risk mitigation plans. The XYZ Hospital work unit must document the risk management process as a whole."

"Tujuan penelitian ini adalah untuk mengevaluasi efektivitas penerapan manajemen risiko di Dana Pensiun XYZ dengan berfokus pada elemen-elemen proses dari standar ISO 31000:2018. Metodologi yang digunakan adalah studi kasus deskriptif kualitatif pada lembaga dana pensiun. Data dikumpulkan melalui analisis dokumen dan wawancara dengan para pengurus dan pengawas di Dana Pensiun XYZ. Validasi data dilakukan menggunakan teknik triangulasi. Hasil penelitian menunjukkan gambaran efektivitas manajemen risiko di Dana Pensiun XYZ, mengidentifikasi area yang perlu diperbaiki, dan memberikan rekomendasi untuk meningkatkan penerapan manajemen risiko. Rekomendasi yang di dapatkan adalah perbaikan dan penyesuaian pada proses penetapan kriteria risiko, penilaian risiko, dan juga proses perekaman. Penelitian ini diharapkan berkontribusi pada Dana Pensiun XYZ dengan memberikan rekomendasi untuk memperbaiki dan meningkatkan penerapan manajemen risiko. Kebaruan yang ditawarkan oleh penelitian ini yaitu memberikan wawasan tentang implementasi dan efektivitas bagian proses pada standar ISO 31000:2018 dalam konteks lembaga dana pensiun.

---

The aim of this research is to evaluate the effectiveness of implementing risk management at the XYZ Pension Fund by focusing on the process elements of the ISO 31000:2018 standard. The methodology used is a qualitative descriptive case study on pension fund institutions. Data was collected through document analysis and interviews with administrators and supervisors at the XYZ Pension Fund. Data validation was carried out using triangulation techniques. The research results show an overview of the effectiveness of risk management at the XYZ Pension Fund, identify areas that need improvement, and provide recommendations for improving the implementation of risk management. The recommendations obtained are improvements and adjustments to the process of determining risk criteria, risk assessment, and also the recording process. This research is expected to contribute to the XYZ Pension Fund by providing recommendations to improve and increase the implementation of risk management. The novelty offered by this research is that it provides insight into the implementation and effectiveness of the process part of the ISO 31000:2018 standard in the context of pension fund institutions."

"Penelitian ini berfokus pada konteks pada PT XYZ, yang telah merencanakan untuk mengadopsi ISO 31000 sebagai dasar kerangka kerja manajemen risiko mereka. Namun, perusahaan belum menerapkan manajemen risiko secara optimal untuk menghadapi risiko yang dimiliki hingga saat penelitian ini ditulis. Sehingga, perusahaan menghadapi tantangan dari perubahan lingkungan bisnis yang terus berkembang, menciptakan potensi risiko yang berubah cepat dan dapat menghambat efektivitas kebijakan. Penelitian ini dimaksudkan untuk memberikan sumbangan dalam mengisi celah pembahasan terkait penerapan manajemen risiko pada industri jasa layanan streaming video. Strategi penelitian yang digunakan yaitu studi kasus dengan pendekatan kualitatif dan single unit of analysis yaitu PT XYZ. Instrumen penelitian dalam proses pengumpulan data dilakukan melalui wawancara semi-terstruktur dibantu dengan daftar periksa (checklist). Hasil analisis menunjukkan adanya risiko bisnis, risiko keuangan, risiko operasional, risiko hukum, dan risiko reputasi. Perusahaan perlu mengambil tindakan mitigasi yang sesuai untuk mengatasi risiko-risiko ini. Pentingnya persiapan pelaporan risiko yang akurat dan tepat waktu ditekankan, serta perlunya penilaian risiko yang berkelanjutan untuk mengidentifikasi risiko-risiko baru. Penelitian ini juga menunjukkan perlunya perusahaan meningkatkan kesiapan dalam pelaporan risiko, termasuk sistem informasi dan teknologi yang mendukungnya. Dengan demikian, penelitian ini memberikan wawasan tentang cara-cara untuk memitigasi risiko yang mungkin timbul.

---

This research focuses on the context of PT XYZ, which has planned to adopt ISO 31000 as the basis of their risk management framework. However, companies have not implemented optimal risk management to deal with the risks they have until the time this research was written. Thus, companies face challenges from changes in the business environment that continue to develop, creating potential risks that change rapidly and can hamper the effectiveness of policies. This research is intended to contribute to filling the discussion gap regarding the implementation of risk management in the video streaming service industry. The research strategy used is a case study with a qualitative approach and a single unit of analysis, namely PT XYZ. The research instrument in the data collection process was carried out through semi-structured interviews assisted by a checklist. The analysis results show that there are business risks, financial risks, operational risks, legal risks and reputation risks. Companies need to take appropriate mitigation measures to address these risks. The importance of preparing accurate and timely risk reporting is emphasized, as well as the need for ongoing risk assessment to identify new risks. This research also shows the need for companies to increase readiness in risk reporting, including the information systems and technology that support it. Thus, this research provides insight into ways to mitigate risks that may arise."

"Penelitian ini mengevaluasi implementasi manajemen risiko di Biro Umum, Sekretariat Kementerian XYZ guna memastikan kesesuaiannya dengan Peraturan Menteri XYZ tahun 2022 tentang Penerapan Manajemen Risiko (Permen MR) yang merujuk pada COSO ERM Framework dan ISO 31000:2018. Latar belakang penelitian ini adalah rekomendasi BPKP agar APIP Kementerian XYZ mengevaluasi efektivitas manajemen risiko di unit kerja. Biro Umum dipilih karena tingginya risiko akibat alokasi anggaran sebesar 76% dari total pagu Sekretariat dan temuan berulang BPK terkait tugas serta fungsinya. Penelitian menggunakan pendekatan studi kasus dengan data dari studi dokumentasi dan wawancara mendalam dengan PIC UPR, Sekretariat Komite Manajemen Risiko, dan Tim Inspektorat. Hasilnya menunjukkan tiga proses manajemen risiko yang belum memadai dari delapan proses yang dievaluasi. Pertama, pada tahap Komunikasi dan Konsultasi, belum dilakukan rapat berkala, insidental, dan FGD karena pimpinan UPR belum menginisiasi penyelenggaraan kegiatan tersebut. Kedua, pada tahap penetapan Ruang Lingkup, Konteks, dan Kriteria, belum ada SK/ST Tim UPR dan kelengkapan Formulir Konteks Manajemen Risiko. Pada tahap Pemantauan dan Reviu, UPR Biro Umum belum melaksanakan pemantauan berkelanjutan terhadap 30 risiko yang perlu penanganan, serta audit manajemen risiko akibat keterbatasan SDM dan fokus auditor pada fungsi pengawasan lainnya. Hasil ini memberikan dasar perbaikan untuk meningkatkan efektivitas manajemen risiko di Biro Umum.

---

This study examines the implementation of risk management at the General Bureau of the Secretariat of the Ministry of XYZ, ensuring compliance with the 2022 Ministerial Regulation on Risk Management (Permen MR), which adopts the COSO ERM Framework and ISO 31000:2018. The research was driven by BPKP’s recommendation for the Ministry's Internal Audit Unit (APIP) to evaluate risk management effectiveness in work units. The General Bureau was chosen due to high-risk exposure, managing 76% of the Secretariat's budget and recurrent findings by the Supreme Audit Agency (BPK). Using a case study approach, data were collected through document analysis and interviews with UPR representatives, the Risk Management Committee Secretariat, and the Inspectorate Team. The findings identified three out of eight risk management processes as inadequate. First, in Communication and Consultation, regular meetings and FGDs were absent due to UPR leadership’s lack of initiative. Second, in Scope, Context, and Criteria, the UPR Team lacked a formal decree, and the Risk Management Context Form was incomplete. Lastly, in Monitoring and Review, the UPR failed to monitor 30 identified risks and conducted risk audits, citing limited resources and competing audit priorities. These findings highlight areas requiring improvement to enhance risk management effectiveness at the General Bureau. "

"Sektor perbankan memberikan kontribusi yang penting dalam perekonomian nasional. Sistem perbankan yang tangguh sangat penting dalam mencapai stabilitas dan pertumbuhan ekonomi. Risiko likuiditas merupakan salah satu ancaman signifikan terhadap ketahanan bank. Otoritas Jasa Keuangan (OJK), sebagai regulator lembaga keuangan di Indonesia, telah menetapkan acuan manajemen risiko guna memastikan kelangsungan usaha Bank. Basel III juga mengeluarkan 2 (dua) standar minimum untuk memperkuat kerangka likuiditas bank, yaitu LCR dan NSFR. Praktik penerapan manajemen risiko yang baik secara positif mempengaruhi resiliensi (ketahanan) perusahaan. Penelitian ini menggunakan metode kualitatif deskriptif dengan bentuk studi kasus terhadap Bank XYZ di Indonesia. Tujuan penelitian adalah untuk mengevaluasi praktik manajemen risiko likuiditas yang telah dilakukan dan dampaknya terhadap resiliensi bank. Penelitian menggunakan analisis dokumen dan wawancara dengan orang kunci yang terlibat dalam proses manajemen risiko likuiditas. Hasil penelitian menunjukkan bahwa Bank XYZ telah menerapkan praktik manajemen risiko likuiditas sesuai ketentuan OJK, namun terdapat beberapa kekurangan yang perlu mendapat perhatian manajemen agar Bank XYZ menjadi lebih resilien. Penelitian ini dapat menambah literatur tentang praktik manajemen risiko di industri perbankan di negara berkembang, terutama kaitannya dengan resiliensi. Penelitian ini juga dapat menjadi tolak ukur dewan direksi bank lain dalam praktik manajemen risiko likuiditas.

---

The banking sector provides an essential contribution to the national economy. A resilient banking system is essential in achieving economic stability and growth. Liquidity risk is one of the significant threats to bank resilience. OJK, as the regulator of financial institutions in Indonesia, has established risk management guidelines to ensure the Bank's business continuity. Basel III also issued two (2) minimum standards to strengthen banks' liquidity framework: LCR and NSFR. The research aims to evaluate the liquidity risk management practices at Bank XYZ and their impact on its resilience. This research uses a descriptive qualitative method with a case study. The research used document analysis and semi-structured interviews with key persons involved in the liquidity risk management process. The results showed that Bank XYZ has implemented liquidity risk management practices in accordance with OJK regulations, but some shortcomings need to be considered by management attention so that Bank XYZ becomes more resilient. This research could enrich the literature on risk management practices in the Banking industry in emerging economies, especially concerning resilience. The findings could also provide other banks’ boards of directors as a benchmark of liquidity risk management practices."

"Revolusi Teknologi Informasi selain memiliki dampak positif bagi pemerintah juga menimbulkan celah kerentanan pada layanan pemerintah jika protokol keamanan tidak dijalankan dengan baik. Pemerintah wajib menjaga confidentiality, integrity, dan availability data dan informasi yang dimiliki. Instansi XYZ sebagai Lembaga yang memiliki tugas diantaranya adalah menyampaikan informasi meteorologi, klimatologi, gempabumi dan tsunami, serta peringatan dini meteorologi, klimatologi dan tsunami kepada instansi dan pihak terkait serta masyarakat berkenaan dengan bencana karena faktor meteorologi, klimatologi, dan geofisika.Demi percepatan penyampaian informasi terkait Meteorologi, Klimatologi dan Geofisika, Instansi XYZ menggunakan situs resmi lembaga dan media sosial sebagai perantaranya. Untuk mencegah risiko agar tidak terjadi di dalam proses penyampaian informasi, Pusat Jaringan Komunikasi XYZ telah melakukan sertifikasi ISO/IEC 27001:2013 dalam menerapkan sistem manajemen kemanan informasi, ISO/IEC 20000-1:2018 untuk sistem manajemen layanan, dan ISO 9001: 2015 untuk sistem manajemen mutu.Pusat Jaringan Komunikasi XYZ melakukan integrasi manajemen sistem untuk ISO 9001: 2015, ISO/IEC 20000-1:2018, ISO/IEC 27001:2013 sehingga biaya administrasi lebih hemat serta pelaksanaan operasional sistem yang lebih efektif. Untuk mendukung kebijakan tersebut perlu dilakukan pengembangan dan penerapan proses manajemen risiko terkait dengan keamanan informasi yang selaras dengan rencana pengendalian risiko mutu dan layanan yaitu dengan melakukan integrasi sistem manajemen risiko berdasarkan Pedoman Manajemen Risiko Sistem Pemerintahan Berbasis Elektronik (SPBE) agar terwujud layanan yang berkualitas untuk stakeholder.Berdasarkan hasil analisis dan penilaian risiko yang telah dilakukan di Pusat Jaringan Komunikasi Instansi XYZ, terdapat 15 risiko positif dan 41 risiko negatif. Dari total keseluruhan risiko yang berjumlah 56 risiko terdapat 18 risiko yang diterima dan 38 risiko yang perlu dilakukan penanganan. Dari 38 risiko yang perlu dilakukan penanganan, dilakukan mitigasi risko untuk 27 risiko, transfer risiko untuk 3 risiko, eksploitasi risiko untuk 6 risiko, dan penghindaran risiko untuk 2 risiko.

---

Revolution in Information technology having a positive impact on the government, apart from that it’s also creates vulnerabilities in government services if the security protocols are not implemented properly. The government is obliged to maintain the confidentiality, integrity and availability of the data and information it has. The XYZ Agency as an institution whose duties include information dissemination and early warning of meteorology, climatology, earthquakes and tsunami to the other agencies and parties as well as the public regarding disasters due to meteorological, climatological and geophysical factors.

In order to accelerate the information dissemination related to Meteorology, Climatology and Geophysics, XYZ Agency uses the institution's official website and social media as intermediaries. To prevent the risks from occuring in the information dissemination process, the center for communication network of XYZ Agency has certified ISO/IEC 27000:2013 in implementing information security management systems, ISO/IEC 20000-1:2018 for service management systems, and ISO 9001: 2015 for a quality management system.

The XYZ Agency’s Center for Communication Network, integrates the management systems for ISO 9001: 2015, ISO/IEC 20000-1:2018, ISO/IEC 27001:2013 so the administrative costs are more efficient and the operational implementation of the system is more effective. To support this policy, it is necessary to develop and implement a risk management process related to information security in line with the quality and service risk control plan by integrating a risk management system based on the Electrinoc-Based Governance System Risk Management Guidelines (SPBE) in order to realize quality services for stakeholders.

Based on the results of the risk analysis and assessment that has been carried out at the XYZ Agency Center for Communication Network, there are 15 positive and 41 negative risks. Out of a total of 56 risks, there are 18 risks that are accepted and 38 risks that need to mitigate. Of the 38 risks that need to mitigate, risk mitigation is carried out for 27 risks, risk transfer to 3 risks, risk exploitation to 6 risks, and risk avoidance to 2 risks."

"Manajemen risiko operasional penting dilakukan untuk memberikan peringatan terkait munculnya risiko. Manajemen risiko operasional yang dilakukan saat ini belum terintegrasi dengan baik antar divisi di perusahaan. Risiko operasional yang signifikan saat ini di lokasi tambang Kalimantan Selatan ialah risiko produktivitas yang berkaitan dengan minimnya ketersediaan bahan bakar dan risiko proses berkaitan dengan material jalanan yang buruk dan kondisi cuaca. Penanganan risiko yang dilakukan ialah mengupayakan pengadaan tangki bahan bakar yang lebih besar dan penyediaan alat. Peran manajemen risiko operasional saat ini belum maksimal yang disebabkan oleh minimnya kesadaran risk owner untuk melakukan manajemen risiko. Terdapat pendekatan manajemen risiko yakni COSO Enterprise Risk Management yang menekankan bahwa risiko harus dikelola oleh seluruh pihak di perusahaan dan harus sesuai dengan tujuan perusahaan yang hendak ingin dicapai Dengan menggunakan pendekatan COSO Enterprise Risk Management, terdapat beberapa elemen yang belum terlaksana dengan baik yakni internal environment dimana masih rendahnya komitmen dari risk owner untuk mengelola risiko. Komponen control activities dan monitoring juga belum dilakukan dengan baik karena rendahnya proses dokumentasi dari penanganan risiko serta pengawasan yang kurang efektif.

---

Operational risk management is necessary to provide a warning related to the emergence of risk. Operational risk management these day do not well integrated among all divison in the company. Significabt operational risks that present at the mine site in South Kalimantan is productivity risk associated with the lack of availability of the fuel and material risks associated with the poor road and weather condition. Mitigation risks undertaken is seeking procurement of larger fuel tank and adding tools. The role of operational risk management is currently not maximized due to lack of awareness from risk owner to perform risk management.

There is a risk management approach, the COSO Enterprise Risk Managemet which emphasizes that the risks should be managed by the whole company and must be in accordance with the company?s goals are going to be achieved. Based on the COSO Enterprise Risk Management approach, there are some element that have not done well that is low commitment from the owner to manage the risk. Also control and monitoring activities have not done well because of poor documentation process related to risk mitigation and ineffective monitoring."

"Tujuan penelitian ini adalah untuk mengevaluasi penerapan manajemen risiko profesi pada Kantor Akuntan Publik (KAP). Penelitian ini menggunakan Standar Pengendalian Mutu No. 1 untuk mengevaluasi manajemen risiko profesi pada KAP XYZ dan Standar Audit 220 untuk mengevaluasi manajemen risiko profesi pada perikatan audit KAP XYZ. Standar Pengendalian Mutu No. 1 dan Standar Audit merupakan standar yang diterbitkan oleh Institut Akuntan Publik Indonesia. Penelitian ini dilakukan dengan menggunakan metode studi kasus dengan pendekatan kualitatif. Objek penelitian ini adalah KAP XYZ yang merupakan salah satu KAP non big four, yang memiliki afiliasi dengan KAP Internasional. Data primer dan data sekunder digunakan dalam penelitian ini. Instrumen penelitian yang digunakan dalam penelitian ini adalah observasi dan wawancara. Hasil penelitian dapat digunakan sebagai dasar perbaikan manajemen risiko profesi dalam KAP XYZ. Hasil penelitian menunjukkan bahwa KAP XYZ telah mematuhi seluruh ketentuan yang ditetapkan dalam Standar Pengendalian Mutu No. 1 dan Standar Audit 220. Dalam perikatan yang dilakukan oleh KAP XYZ, tidak ditemukan adanya risiko yang termasuk dalam kategori serious, disastrous, dan catastrophic.

---

The purpose of this study was to evaluate the implementation of professional risk management at the Public Accounting Firm (CPA Firm). This research uses Standar Pengendalian Mutu No. 1 to evaluate professional risk management at KAP XYZ and Standar Audit 220 to evaluate professional risk management at XYZ CPA Firm's audit engagement. Both of Standar Pengendalian Mutu No. 1 and Standar Audit 220 were published by Institut Akuntan Publik Indonesia. This research was conducted using a case study method with a qualitative approach. The object of this research is XYZ CPA Firm, which is one of the non-big four CPA Firm that has an affiliation with International CPA Firm. Primary data and secondary data are used in this study. The research instruments used in this study were observation and interviews. The research results can be used as a basis for improving professional risk management in XYZ CPA Firm. The results showed that XYZ CPA Firm has complied with all the provisions stipulated in the Standar Pengendalian Mutu No. 1 and Standar Audit 220. In the engagement conducted by KAP XYZ, there was no risk that was categorized as serious, disastrous, and catastrophic."

"Digitalisasi telah merambah ke berbagai aspek kehidupan, termasuk sektor pemerintahan di bidang pengawasan pengelolaan keuangan negara. SIMWAS adalah sistem informasi di Instansi XYZ yang digunakan untuk mengelola kegiatan pengawasan dan tindak lanjut hasil pengawasan. SIMWAS merupakan aset penting yang memuat seluruh proses bisnis pengendalian internal, namun pada praktiknya, risiko keamanan informasi SIMWAS belum dikelola dengan baik. Untuk mengatasi permasalahan tersebut, diperlukan manajemen risiko keamanan informasi pada SIMWAS. Penelitian ini bertujuan untuk merancang dan menganalisis manajemen risiko keamanan informasi SIMWAS menggunakan kerangka kerja berdasarkan integrasi standar ISO/IEC 27005:2018, ISO/IEC 27002:2013, dan NIST SP 800-30 Rev 1. Kerangka kerja ISO/IEC 27005:2018 digunakan sebagai kerangka kerja utama manajemen risiko, NIST SP 800-30 Rev. 1 sebagai panduan proses penilaian risiko, dan ISO/IEC 27002:2013 sebagai referensi rekomendasi penanganan risiko. Penilaian risiko keamanan informasi SIMWAS dilakukan dengan menganalisis data yang diperoleh dari hasil wawancara, observasi, dan telaah dokumen. Hasil penelitian ini menunjukkan bahwa keamanan informasi SIMWAS memiliki 8 risiko level rendah, 9 risiko level sedang, dan 5 risiko level tinggi. Penelitian ini menghasilkan 14 rekomendasi penanganan risiko untuk 5 risiko level tinggi dan 9 risiko level sedang, sedangkan 8 risiko level rendah dapat diterima sesuai dengan selera risiko organisasi. Instansi XYZ perlu melakukan analisis risiko residu dan analisis biaya-manfaat dari penerapan kontrol di setiap skenario risiko.

---

Digitalization has penetrated various aspects of life, including the government sector in the field of supervising state financial management. SIMWAS is an information system in the XYZ Agency that is used to manage surveillance activities and follow up on the results of supervision. SIMWAS is an important asset that includes all internal control business processes, but in practice, SIMWAS information security risks have not been managed properly. To overcome these problems, information security risk management is required at SIMWAS. This study aims to design and analyze SIMWAS information security risk management using a framework based on the integration of ISO/IEC 27005:2018, ISO/IEC 27002:2013, and NIST SP 800-30 Rev 1 standards. The ISO/IEC 27005:2018 framework is used as the main framework in risk management, NIST SP 800-30 Rev. 1 as a guideline for risk assessment process, and ISO/IEC 27002:2013 as a reference for risk treatment recommendations. SIMWAS information security risk assessment is carried out by analyzing data obtained from the results of interviews, observations, and document reviews. The results of this study indicate that SIMWAS information security has 8 low-level risks, 9 medium-level risks, and 5 high-level risks. This study result 14 risk treatment recommendation for 5 high-level risks and 9 medium-level risks, while 8 low-level risks are acceptable according to the organization's risk appetite The XYZ Agency needs to carry out a residual risk analysis and a cost-benefit analysis of implementing controls in each risk scenario."