* Â Internal (dari dalam perusahaan) dan eksternal(dari luar perusahaan)
* Â Bencana (hazard), ketidakpastian (uncertainty) dan kesempatan (opportunity).
Dari ketiga sumber resiko tersebut dapat diketahui kejadian-kejadian yang dapat mengganggu perusahaan dalam mencapai objektifnya (lihat tabel event diatas).
3. Â Penilaian Resiko
Proses untuk menilai seberapa sering resiko terjadi atau seberapa besar dampak dari resiko (tabel 2.2). Dampak resiko terhadap bisnis (business impact) bisa berupa : dampak terhadap financial, menurunnya reputasi disebabkan sistem yang tidak aman, terhentinya operasi bisnis, kegagalan aset yang dapat dinilai (sistem dan data), dan penundaan proses pengambilan keputusan.
Sedangkan kecenderungan (likelihood) terjadinya resiko dapat disebabkan oleh sifat alami dari bisnis, struktur dan budaya organisasi, sifat alami dari sistem (tertutup atau terbuka, teknologi baru dan lama), dan kendali-kendali yang ada. Proses penilaian resiko bisa berupa resiko yang tidak dapat dipisahkan (inherent risks) dan sisa resiko (residual risks).
4. Â Respon Resiko
Untuk melakukan respon terhadap resiko adalah dengan menerapkan kontrol objektif yang sesuai dalam melakukan manajemen resiko. Jika sisa resiko masih melebihi resiko yang dapat diterima (acceptable risks), maka diperlukan respon resiko tambahan. Proses-proses pada framework COBIT (dari 34 Control Objectives) yang sesuai untuk manajemen resiko adalah :
* Â Â Â Â Â Â PO1 (Define a Stretegic IT Plan) dan PO9 (Assess and Manage Risks)
* Â Â Â Â Â Â AI6 (Manages Change)
* Â Â Â Â Â Â DS5 (Ensure System and Security) dan DS11 (Manage Data)
