BAB III Proses Manajemen Resiko TI

Questions and Answers

Apa yang dimaksud dengan penanggung jawab dalam rencana penanganan risiko TI?

• Nama unit yang terlibat dalam pengembangan sistem
• Jadwal implementasi dari rencana penanganan risiko
• Nama unit yang bertanggung jawab dan unit pendukung rencana aksi (correct)
• Dokumen yang menjelaskan jenis-jenis risiko TI

Apa yang menjadi tujuan utama pengulangan proses penilaian risiko terhadap risiko residual?

• Mengurangi semua risiko hingga nol
• Menempatkan risiko residual di bawah Selera Risiko TI (correct)
• Menemukan semua risiko yang ada tanpa batasan
• Mengambil keputusan berdasarkan konsensus awal

Apa yang dimaksud dengan risiko residual?

• Risiko yang sudah ditangani sepenuhnya
• Risiko yang tidak memerlukan penanganan lebih lanjut
• Risiko TI yang tersisa setelah penanganan risiko (correct)
• Risiko yang diabaikan selama proses evaluasi

Dalam tabel pengisian rencana penanganan risiko TI, siapa yang bertanggung jawab untuk kualitas standar pengembangan sistem?

Direktur SIS (D)

Apa hasil dari rencana aksi yang berhubungan dengan ketersediaan programmer cadangan?

Periode implementasi programmer pengganti (D)

Siapa yang bertanggung jawab untuk melakukan pengulangan proses penilaian risiko?

Expert judgement (D)

Apa yang dimaksud dengan 'Peningkatan kualitas standar pengembangan sistem' dalam konteks rencana penanganan risiko TI?

Adalah kegiatan tahunan untuk meningkatkan kualitas sistem (B)

Apa saja yang perlu diidentifikasi dalam tabel rencana penanganan risiko TI?

Opsi mitigasi, penanggung jawab, dan keluaran rencana aksi (D)

Apa tujuan utama dari pencatatan dan pelaporan manajemen risiko TI?

Memfasilitasi proses pengambilan keputusan dan meningkatkan kualitas aktivitas manajemen risiko (A)

Manakah dari berikut ini yang merupakan contoh pencatatan dan pelaporan insidental?

Membuat laporan mendadak saat terjadi kerusuhan data yang memerlukan tindakan segera (A)

Apa yang dimaksud dengan pencatatan dan pelaporan periodik?

Kegiatan yang dilakukan secara berkala sesuai waktu yang telah ditentukan (B)

Mengapa penting untuk mengawal interaksi dengan pemangku kepentingan dalam manajemen risiko TI?

Untuk memastikan tanggung jawab dan akuntabilitas di antara pihak terkait (D)

Apa yang termasuk dalam proses manajemen risiko TI?

Penerapan kebijakan, prosedur, dan praktik sistematis terhadap risiko (A)

Apa yang perlu dilakukan apabila terdapat permintaan dari pimpinan dalam manajemen risiko TI?

Menyiapkan masukan berdasarkan analisis untuk pengambilan keputusan (B)

Apa yang paling tepat untuk meningkatkan kualitas aktivitas manajemen risiko TI?

Perbaiki pencatatan dan pelaporan secara konsisten (A)

Proses apa yang terlibat dalam penilaian risiko dalam manajemen risiko TI?

Identifikasi risiko, analisis risiko, evaluasi risiko (B)

Warna yang digunakan untuk merepresentasikan level Risiko Tinggi adalah?

Jingga (C)

Apa rentang besaran risiko untuk level Sangat Tinggi?

21-25 (D)

Apa tujuan dari penentuan Selera Risiko TI?

Memberikan ambang batas minimum terhadap risiko yang harus ditangani (D)

Level risiko yang direpresentasikan dengan warna hijau adalah?

Rendah (C)

Kompleksitas apa yang dapat mempengaruhi penentuan Selera Risiko TI?

Konteks internal dan eksternal organisasi (A)

Apa tujuan dari penetapan kriteria Risiko TI?

Mengukur dan menetapkan kemungkinan kejadian dan dampak Risiko TI (D)

Menurut penetapan kriteria kemungkinan, berapa jumlah level yang dianjurkan?

Lima level (B)

Manakah dari berikut ini termasuk dalam area dampak Risiko TI?

Sumber daya manusia (A)

Apa yang digunakan untuk menentukan kriteria kemungkinan pada Risiko TI?

Metode kuantitatif dan kualitatif (A)

Apa yang terjadi dengan kriteria Risiko TI seiring waktu?

Diperlukan penyesuaian berdasarkan perubahan yang terjadi (C)

Apa kriteria pertama dalam penetapan kemungkinan Risiko TI?

Hampir Tidak Terjadi (A)

Manakah yang bukan termasuk dalam area dampak Risiko TI?

Strategi pemasaran (D)

Apa yang menjadi dasar dalam penetapan level kemungkinan Risiko TI?

Frekuensi dan probabilitas statistik (B)

Apa level kemungkinan terjadinya risiko TI yang dikategorikan sebagai 'Hampir Pasti Terjadi'?

X > 50% (D)

Berapa jumlah frekuensi maksimal terjadinya risiko TI pada level 'Kadang-kadang Terjadi'?

6 ≤ X ≤ 9 kali (C)

Level dampak risiko TI mana yang dianggap 'Kurang Signifikan'?

Tidak Signifikan (B)

Dari mana tingkat dampak risiko TI seharusnya ditentukan?

Kombinasi area dampak dan level dampak (B)

Apa yang dianjurkan mengenai jumlah level dampak risiko TI?

Jumlah ganjil (C)

Apa yang termasuk dalam level kemungkinan terjadinya risiko TI 'Sering Terjadi'?

10 ≤ X ≤ 12 kali (A)

Menurut kriteria kemungkinan, jika suatu risiko terjadi lebih dari 12 kali dalam satu tahun, maka labelnya adalah?

Hampir Pasti Terjadi (B)

Apa dampak dari kriteria risiko TI yang dianggap 'Signifikan'?

Signifikan dalam konteks kinerja TI (C)

Apa yang dilakukan dalam penerimaan risiko?

Membiarkan risiko terjadi apa adanya. (A)

Dalam situasi apa eskalasi risiko perlu dilakukan?

Ketika risiko melampaui wewenang yang ada. (B)

Apa tujuan dari mitigasi risiko?

Mengurangi level kemungkinan dan/atau dampak dari risiko. (C)

Apa yang menjadi alasan utama untuk melakukan transfer risiko?

Kekurangan sumber daya untuk mengelola risiko. (C)

Penghindaran risiko melibatkan tindakan apa?

Mengubah perencanaan dan kegiatan untuk mencapai tujuan. (A)

Apa yang menggambarkan situasi di mana penerimaan risiko bisa dipilih?

Biaya penanganan risiko lebih tinggi dibandingkan manfaatnya. (A)

Apa yang seharusnya dilakukan jika risiko SPBE terlalu besar untuk ditangani oleh unit kerja yang ada?

Melakukan eskalasi risiko. (B)

Apakah konsekuensi dari penerimaan risiko yang dilakukan tanpa strategi yang jelas?

Risiko bisa menjadi tidak terduga dan berbahaya. (B)

Flashcards

Area Dampak Risiko TI

Bagian-bagian organisasi yang terpengaruh oleh risiko TI. Contohnya meliputi reputasi, kinerja, layanan organisasi, operasional TI, dan sumber daya manusia.

Kriteria Risiko TI

Cara untuk mengukur dan menetapkan kemungkinan terjadinya dan dampak dari suatu risiko TI.

Kriteria Kemungkinan Risiko TI

Skala yang digunakan untuk mengukur probabilitas terjadinya suatu risiko TI, dibagi menjadi beberapa level (misalnya: Jarang Terjadi, Kadang-Kadang Terjadi, Sering Terjadi).

Pendekatan Penetapan Kemungkinan Risiko

Cara menentukan level kemungkinan risiko TI. Bisa melalui persentase probabilitas, jumlah frekuensi kejadian, atau expert judgement.

Expert Judgement

Penggunaan pendapat para ahli untuk menentukan kemungkinan dan dampak risiko TI.

Tabel 3.8.

Contoh tabel yang menunjukkan contoh pengisian kriteria kemungkinan untuk suatu kategori Risiko TI.

Kriteria Dampak Risiko TI

Skala yang digunakan untuk mengukur besarnya dampak dari suatu risiko TI, dibagi menjadi beberapa level (misalnya: Rendah, Sedang, Tinggi).

Peninjauan Berkala Kriteria Risiko

Proses untuk mengevaluasi dan memperbarui kriteria Risiko TI secara rutin, mengingat perubahan yang terjadi.

Level Kemungkinan Risiko TI

Tingkatan kemungkinan risiko TI terjadi dalam satu tahun, dibagi menjadi 5 level: Hampir Tidak Terjadi, Jarang Terjadi, Kadang-kadang Terjadi, Sering Terjadi, Hampir Pasti Terjadi.

Level Dampak Risiko TI

Tingkatan dampak risiko TI terhadap organisasi, biasanya dibagi menjadi beberapa level yang menunjukkan tingkat keparahan dampak. Misalnya, Tidak Signifikan, Kurang Signifikan, Cukup Signifikan, Signifikan, Sangat Signifikan.

Contoh Kriteria Dampak Risiko TI

PermenPAN-RB Nomor 5 Tahun 2020 memberikan contoh daftar kriteria dampak Risiko TI untuk area dampak risiko terkait Kinerja baik untuk risiko positif maupun negatif.

Penentuan Level Kemungkinan dan Dampak

Proses menentukan tingkat Kemungkinan dan Dampak suatu risiko yang didasarkan pada frekuensi kejadian, area terdampak, serta tingkat keparahan.

Penggunaan Level Kemungkinan dan Dampak

Level Kemungkinan dan Dampak digunakan untuk menilai risiko TI dan menentukan prioritas penanganan risiko berdasarkan tingkat keparahannya.

Level Risiko TI

Kategori yang mewakili tingkat risiko Teknologi Informasi dalam sebuah organisasi. Diurutkan dari Sangat Rendah hingga Sangat Tinggi.

Warna Level Risiko TI

Setiap level risiko direpresentasikan dengan warna tertentu. Contoh: Sangat Rendah = Biru, Rendah = Hijau, Sedang = Kuning, Tinggi = Jingga, Sangat Tinggi = Merah.

Rentang Besaran Risiko

Angka-angka yang menunjukkan batasan setiap level risiko. Contoh: Risiko Sangat Rendah berada pada angka 1-5.

Selera Risiko TI

Acuan untuk menentukan batas minimum risiko yang harus ditangani dalam organisasi. Mengacu pada risiko positif dan negatif.

Kompleksitas Risiko TI

Tingkat kesulitan dalam mengidentifikasi, menilai, dan mengelola risiko Teknologi Informasi.

Eskalasi Risiko

Pilihan ketika Risiko SPBE berada di luar wewenang, memindahkan tanggung jawab penanganan ke unit kerja yang lebih tinggi.

Mitigasi Risiko

Mengurangi kemungkinan dan/atau dampak Risiko SPBE dengan mengambil tindakan.

Transfer Risiko

Mengalihkan kepemilikan risiko ke pihak lain karena kekurangan sumber daya.

Penghindaran Risiko

Mengubah perencanaan, penganggaran, program, atau aspek lainnya untuk menghindari risiko.

Penerimaan Risiko

Membiarkan risiko terjadi karena biaya penanganan lebih tinggi daripada manfaat atau kemungkinan kecil.

Apa yang dilakukan dalam Penerimaan Risiko?

Membiarkan risiko terjadi apa adanya.

Kapan Penerimaan Risiko dipilih?

Ketika biaya penanganan lebih tinggi daripada manfaat, kemungkinan kecil, atau dampak tidak signifikan.

Matriks Rekomendasi Penanganan Risiko TI

Alat bantu untuk menentukan opsi penanganan risiko TI yang tepat.

Penanggung Jawab (Rencana Aksi Risiko TI)

Unit atau orang yang bertanggung jawab atas pelaksanaan rencana aksi penanganan risiko TI.

Unit Pendukung (Rencana Aksi Risiko TI)

Unit lain yang memberikan bantuan dan dukungan dalam pelaksanaan rencana aksi penanganan risiko TI.

Risiko Residual (Risiko TI)

Risiko TI yang masih tersisa setelah upaya penanganan risiko dilakukan.

Expert Judgement (Risiko Residual)

Penggunaan penilaian para ahli untuk menentukan tingkat risiko residual.

Proses Penilaian Risiko Berulang

Pengulangan proses penilaian risiko hingga risiko residual berada di bawah Selera Risiko TI.

Pencatatan Risiko TI

Proses mendokumentasikan aktivitas manajemen risiko TI dan hasil keluarannya.

Pelaporan Risiko TI

Kegiatan menyampaikan informasi hasil aktivitas manajemen risiko TI, terutama pada periode tertentu.

Tujuan Pencatatan & Pelaporan Risiko TI

Untuk mengkomunikasikan aktivitas manajemen risiko TI, memberikan informasi untuk pengambilan keputusan, dan meningkatkan kualitas manajemen risiko.

Pencatatan & Pelaporan Periodik

Kegiatan pencatatan dan pelaporan yang dilakukan secara rutin pada waktu yang telah ditentukan (misalnya, triwulan atau tahunan).

Pencatatan & Pelaporan Insidental

Kegiatan pencatatan dan pelaporan yang dilakukan secara ad-hoc, sesuai kebutuhan (misalnya, kondisi abnormal, permintaan pimpinan).

Manajemen Risiko TI: Proses Sistematis

Manajemen Risiko TI adalah penerapan sistematis dari kebijakan, prosedur, dan praktik dalam mengidentifikasi, menganalisis, mengevaluasi, dan menangani risiko TI.

Tahapan Manajemen Risiko TI

Meliputi komunikasi dan konsultasi, penetapan konteks risiko, penilaian risiko, penanganan risiko, pemantauan dan reviu, serta pencatatan dan pelaporan.

Pentingnya Pencatatan & Pelaporan Risiko TI

Untuk mengawal interaksi dengan pemangku kepentingan, menjamin tanggung jawab dan akuntabilitas manajemen risiko TI.

Study Notes

Penanggung Jawab dalam Rencana Penanganan Risiko TI

• Penanggung jawab adalah individu atau tim yang bertanggung jawab untuk mengelola dan menyelesaikan risiko yang telah diidentifikasi dalam sistem Teknologi Informasi (TI).

Tujuan Pengulangan Penilaian Risiko

• Tujuan utama dari pengulangan proses penilaian risiko terhadap risiko residual adalah untuk memastikan bahwa risiko yang telah diidentifikasi di masa lalu masih relevan dan akurat dalam kondisi terkini.

Risiko Residual

• Risiko residual adalah risiko yang masih tersisa setelah tindakan mitigasi telah diterapkan.

Kualitas Standar Pengembangan Sistem

• Pada tabel pengisian rencana penanganan risiko TI, Manajer Pengembang Sistem bertanggung jawab untuk memastikan kualitas standar pengembangan sistem.

Hasil Rencana Aksi Ketersediaan Programmer Cadangan

• Rencana aksi yang mencantumkan ketersediaan programmer cadangan bertujuan untuk memastikan bahwa sistem dapat terus berfungsi dengan baik meskipun ada programmer yang tidak dapat bekerja.

Pengulangan Penilaian Risiko

• Manajer Risiko TI bertanggung jawab untuk melakukan pengulangan proses penilaian risiko.

Meningkatkan Kualitas Standar Pengembangan Sistem

• Meningkatkan kualitas standar pengembangan sistem di dalam konteks rencana penanganan risiko TI berarti meningkatkan keandalan dan keamanan dari sistem yang dikembangkan.

Identifikasi dalam Tabel Rencana Penanganan Risiko TI

• Tabel rencana penanganan risiko TI setidaknya harus mengidentifikasi:
  • Risiko
  • Dampak
  • Kemungkinan
  • Tindakan Mitigasi
  • Penanggung Jawab
  • Target Waktu
  • Biaya
  • Status
  • Catatan

Tujuan Pencatatan dan Pelaporan Manajemen Risiko TI

• Tujuan utama dari pencatatan dan pelaporan manajemen risiko TI adalah untuk:
  • Memberikan bukti atas proses manajemen risiko yang dilakukan
  • Memfasilitasi evaluasi dan pemantauan efektivitas proses manajemen risiko
  • Memberikan informasi yang dapat diandalkan kepada pemangku kepentingan terkait dengan risiko yang dihadapi.

Contoh Pencatatan dan Pelaporan Insidental

• Contoh pencatatan dan pelaporan insidental adalah pelaporan insiden keamanan atau pelaporan status implementasi tindakan mitigasi risiko.

Pencatatan dan Pelaporan Periodik

• Pencatatan dan pelaporan periodik adalah laporan rutin yang berisi informasi tentang risiko-risiko penting, efektivitas tindakan mitigasi, dan status pelaksanaan rencana manajemen risiko. Biasanya dilakukan secara bulanan, triwulanan, atau tahunan.

Pentingnya Interaksi dengan Pemangku Kepentingan

• Penting untuk mengawal interaksi dengan pemangku kepentingan dalam manajemen risiko TI karena:
  • Mendapatkan masukan dan persetujuan serta membangun pemahaman bersama tentang risiko.
  • Membangun kepercayaan dan komitmen dari para pemangku kepentingan terhadap proses manajemen risiko.
  • Memastikan bahwa semua pemangku kepentingan memiliki pemahaman yang sama tentang risiko yang dihadapi.

Proses Manajemen Risiko TI

• Proses manajemen risiko TI meliputi:
  • Identifikasi Risiko
  • Analisis Risiko
  • Penilaian Risiko
  • Penanganan Risiko
  • Pemantauan dan Evaluasi Risiko

Permintaan dari Pimpinan

• Apabila terdapat permintaan dari pimpinan terkait manajemen risiko TI, Manajer Risiko TI harus:
  • Memahami dengan jelas permintaan tersebut
  • Memberikan informasi yang relevan
  • Menjalankan instruksi yang diberikan dengan tepat dan profesional.

Meningkatkan Kualitas Manajemen Risiko TI

• Meningkatkan kualitas aktivitas manajemen risiko TI dapat dilakukan dengan:
  • Menerapkan metodologi dan standar yang tepat
  • Menggunakan alat bantu yang relevant
  • Melakukan pelatihan dan pengembangan sumber daya
  • Meningkatkan kolaborasi dan koordinasi antar tim.

Proses Penilaian Risiko

• Proses penilaian risiko dalam manajemen risiko TI meliputi:
  • Penentuan Selera Risiko TI
  • Penetapan Kriteria Risiko TI
  • Penilaian Kemungkinan dan Dampak Risiko
  • Penentuan Level Risiko

Warna Level Risiko

• Warna yang digunakan untuk merepresentasikan level Risiko Tinggi adalah kuning.

Rentang Besaran Risiko Sangat Tinggi

• Rentang besaran risiko untuk level Sangat Tinggi adalah 5 - 10 atau lebih besar dari 10.

Tujuan Penentuan Selera Risiko TI

• Tujuan dari penentuan Selera Risiko TI adalah untuk menentukan tingkat risiko yang dapat diterima oleh organisasi.

Level Risiko Hijau

• Level Risiko yang direpresentasikan dengan warna hijau adalah Rendah.

Kompleksitas Selera Risiko TI

• Kompleksitas yang dapat mempengaruhi penentuan Selera Risiko TI adalah:
  • Industri
  • Besar organisasi
  • Strategi Bisnis
  • Budaya organisasi

Tujuan Penetapan Kriteria Risiko TI

• Tujuan dari penetapan Kriteria Risiko TI adalah untuk memberikan konsistensi dan objektivitas dalam mengidentifikasi, menganalisis, dan menilai risiko.

Level Kemungkinan Risiko

• Jumlah level yang dianjurkan dalam penetapan kriteria kemungkinan adalah lima.

Area Dampak Risiko TI

• Area Dampak Risiko TI meliputi:
  • Keuangan
  • Operasional
  • Reputasi
  • Hukum dan peraturan
  • Teknologi
  • Keamanan

Kriteria Kemungkinan Risiko

• Kriteria kemungkinan pada Risiko TI ditentukan berdasarkan frekuensi terjadinya risiko.

Perubahan Kriteria Risiko TI

• Kriteria Risiko TI dapat berubah seiring waktu karena beberapa faktor, seperti:
  • Perubahan lingkungan bisnis
  • Perkembangan teknologi
  • Perubahan kebijakan dan peraturan

Kriteria Pertama Kemungkinan Risiko

• Kriteria pertama dalam penetapan kemungkinan Risiko TI adalah "Mustahil Terjadi".

Area Dampak Risiko TI

• "Kepuasan Klien" bukanlah termasuk dalam area dampak Risiko TI.

Dasar Penetapan Kemungkinan Risiko TI

• Dasar dalam penetapan level kemungkinan Risiko TI adalah frekuensi terjadinya risiko.

Level Kemungkinan Risiko TI

• Level kemungkinan terjadinya Risiko TI yang dikategorikan sebagai "Hampir Pasti Terjadi" adalah "Sering Terjadi".

Frekuensi Risiko TI "Kadang-kadang Terjadi"

• Frekuensi maksimal terjadinya Risiko TI pada level "Kadang-kadang Terjadi" adalah 12 kali dalam setahun.

Level Dampak Risiko TI

• Level dampak Risiko TI yang dianggap "Kurang Signifikan" adalah "Rendah".

Tingkat Dampak Risiko TI

• Tingkat dampak risiko TI seharusnya ditentukan berdasarkan dampak terhadap bisnis.

Jumlah Level Dampak Risiko TI

• Jumlah level dampak risiko TI yang dianjurkan adalah lima.

Level Kemungkinan "Sering Terjadi"

• Level kemungkinan terjadinya risiko TI "Sering Terjadi" berarti risiko tersebut terjadi lebih dari 12 kali dalam satu tahun.

Label Risiko TI

• Jika suatu risiko terjadi lebih dari 12 kali dalam satu tahun, labelnya adalah "Sering Terjadi".

Dampak "Signifikan"

• Kriteria risiko TI yang dianggap "Signifikan" memiliki dampak yang besar pada bisnis.

Penerimaan Risiko

• Penerimaan Risiko berarti organisasi memutuskan untuk tidak mengambil tindakan mitigasi apapun, dan menerima konsekuensi potensial dari risiko tersebut.

Eskalasi Risiko

• Eskalasi risiko diperlukan ketika:
  • Risiko memiliki dampak yang sangat signifikan pada bisnis
  • Risiko tidak dapat ditangani oleh unit kerja yang ada
  • Risiko membutuhkan perhatian dan sumber daya yang lebih besar.

Tujuan Mitigasi Risiko

• Tujuan utama dari mitigasi Risiko adalah untuk mengurangi kemungkinan dan dampak dari risiko.

Alasan Transfer Risiko

• Alasan utama untuk melakukan transfer risiko adalah untuk memindahkan risiko ke pihak ketiga, biasanya dengan menggunakan asuransi atau kontrak.

Penghindaran Risiko

• Penghindaran risiko melibatkan tindakan menghindari kegiatan yang menimbulkan risiko.

Situasi Penerimaan Risiko

• Situasi di mana penerimaan risiko bisa dipilih adalah ketika:
  • Risiko dianggap kecil dan dapat ditoleransi
  • Biaya mitigasi Risiko lebih tinggi dari biaya Risiko itu sendiri

Risiko Besar

• Jika risiko SPBE terlalu besar untuk ditangani oleh unit kerja yang ada, perusahaan harus mencari solusi eksternal, seperti menggunakan konsultan atau vendor SPBE.

Konsekuensi Penerimaan Risiko

• Konsekuensi dari penerimaan risiko yang dilakukan tanpa strategi yang jelas adalah:
  • Risiko tidak terkendali dan dapat berdampak negatif pada bisnis
  • Kehilangan kepercayaan dari pemangku kepentingan
  • Kerugian financial yang signifikan.