Blogs
Modul Prakom Keahlian

M3: Manajemen Risiko TI

Ringkasan 2 bab utama Modul 3 yang memetakan konsep kerangka kerja dan proses manajemen risiko TI.

Ringkasan Modul 3: Manajemen Risiko TI

Ringkasan ini disusun berdasarkan 2 materi pokok dari Modul 3 (Bab II dan Bab III) untuk memetakan konsep kerangka kerja dan proses manajemen risiko TI.

Bab II: Konsep dan Kerangka Kerja Manajemen Risiko TI

  • Definisi Risiko TI: "Efek dari ketidakpastian terhadap pencapaian tujuan" di bidang TI (berdasarkan ISO 31000:2018). Risiko selalu terkait dengan ketidakpastian dan dampaknya terhadap sasaran.
  • Jenis Risiko:
    • Risiko Positif (Peluang): Peristiwa yang akan meningkatkan keberhasilan pencapaian tujuan (mis: tersedianya teknologi baru, dukungan pimpinan).
    • Risiko Negatif (Ancaman): Peristiwa yang akan menurunkan keberhasilan pencapaian tujuan (mis: serangan malware, jaringan tidak stabil).
  • Tujuan Manajemen Risiko: Pendekatan sistematis untuk menentukan tindakan terbaik terkait risiko, dengan tujuan utama "peningkatan nilai dan perlindungan" bagi organisasi.
  • Kerangka Kerja Manajemen Risiko: Struktur dasar yang mencakup seluruh kegiatan manajemen risiko. Komponennya adalah:
    • Prinsip Utama: Peningkatan nilai dan perlindungan.
    • Kepemimpinan dan Komitmen: Pimpinan harus mengintegrasikan manajemen risiko ke dalam tata kelola.
    • Proses Inti: Siklus yang terdiri dari Integrasi, Desain, Implementasi, Pemantauan & Evaluasi, dan Perbaikan.
    • Tata Kelola: Dibangun melalui Struktur Manajemen Risiko dan Budaya Sadar Risiko.
  • Struktur Tata Kelola Risiko:
    • Komite Pengarah TI: Menetapkan kebijakan strategis risiko.
    • Unit Kepatuhan Risiko (UKR): Mengawasi pelaksanaan (sering diperankan oleh Inspektorat).
    • Unit Pemilik Risiko (UPR): Melaksanakan manajemen risiko sehari-hari (mis: Direktorat SIS).

Bab III: Proses Manajemen Risiko TI

  • Definisi: Ini adalah penerapan sistematis dari kerangka kerja, yang terdiri dari 6 langkah utama.
  • 1. Komunikasi dan Konsultasi: Proses berkelanjutan untuk berbagi informasi dan mendapatkan umpan balik dari pemangku kepentingan (melalui rapat, FGD, dll.).
  • 2. Penetapan Konteks Risiko TI: Menetapkan kerangka acuan dan batasan untuk mengelola risiko. Ini adalah langkah paling fundamental. Kegiatannya meliputi:
    • Identifikasi sasaran TI yang mendukung sasaran organisasi.
    • Penetapan struktur pelaksana (UPR, UKR).
    • Penetapan Kategori Risiko (mis: Aplikasi, Infrastruktur, Keamanan, SDM).
    • Penetapan Area Dampak (mis: Finansial, Reputasi, Kinerja, Layanan).
    • Penetapan Kriteria Kemungkinan (mis: Skala 1-5, dari Hampir Tidak Terjadi s/d Hampir Pasti Terjadi).
    • Penetapan Kriteria Dampak (mis: Skala 1-5, dari Tidak Signifikan s/d Sangat Signifikan).
    • Pembuatan Matriks Analisis Risiko (Besaran Risiko = Level Kemungkinan x Level Dampak).
    • Penetapan Selera Risiko (Risk Appetite): Ambang batas risiko (besaran risiko minimum) yang dapat diterima dan harus ditangani oleh organisasi.
  • 3. Penilaian Risiko (Risk Assessment): Proses inti untuk mengukur risiko, terdiri dari:
    • a. Identifikasi Risiko: Menggali informasi kejadian, penyebab, dan dampak risiko (positif dan negatif).
    • b. Analisis Risiko: Menentukan level kemungkinan dan level dampak untuk setiap risiko yang teridentifikasi, sehingga menghasilkan Besaran Risiko.
    • c. Evaluasi Risiko: Membandingkan Besaran Risiko dengan Selera Risiko untuk memutuskan apakah risiko tersebut perlu ditangani atau tidak, dan menentukan prioritasnya.
  • 4. Penanganan Risiko (Risk Treatment): Proses memilih dan menerapkan opsi untuk memodifikasi risiko.
    • Opsi Penanganan Risiko Negatif:
      • Mitigasi: Mengurangi level kemungkinan atau dampak (mis: menambah firewall).
      • Transfer: Mengalihkan risiko ke pihak lain (mis: asuransi, outsourcing).
      • Penghindaran: Mengubah rencana atau menghentikan aktivitas penyebab risiko.
      • Penerimaan: Menerima risiko apa adanya (biasanya karena biayanya terlalu tinggi atau dampaknya rendah).
    • Opsi Penanganan Risiko Positif:
      • Eksploitasi: Memastikan risiko pasti terjadi untuk mengambil manfaat maksimal.
      • Peningkatan: Meningkatkan level kemungkinan atau dampak positif.
      • Pembagian: Bekerja sama dengan pihak lain untuk berbagi manfaat.
      • Penerimaan: Menerima peluang apa adanya.
    • Risiko Residual: Risiko yang tersisa setelah dilakukan penanganan. Risiko residual ini harus diukur ulang untuk memastikan levelnya sudah berada di bawah Selera Risiko.
  • 5. Pemantauan dan Reviu:
    • Pemantauan: Dilakukan untuk memonitor pelaksanaan rencana aksi penanganan risiko.
    • Reviu: Dilakukan untuk menilai kualitas dan efektivitas penerapan manajemen risiko, biasanya diukur dengan Tingkat Kematangan (Level 1: Belum Sadar Risiko s/d Level 5: Dapat Menangani Risiko).
  • 6. Pencatatan dan Pelaporan: Mendokumentasikan seluruh proses dan hasil manajemen risiko untuk menyediakan informasi bagi pengambilan keputusan.

Catatan: Ringkasan ini ditujukan sebagai referensi cepat untuk konsep manajemen risiko TI berdasarkan ISO 31000. Tambahkan contoh kasus praktis, template risiko, atau studi kasus untuk implementasi operasional.

M2: Manajemen Layanan TI

Previous Page

M4: Pengelolaan Data

Next Page

On this page

Ringkasan Modul 3: Manajemen Risiko TIBab II: Konsep dan Kerangka Kerja Manajemen Risiko TIBab III: Proses Manajemen Risiko TI