BAB III Proses Manajemen Resiko TI

Questions and Answers

Apa yang dimaksud dengan penanggung jawab dalam rencana penanganan risiko TI?

Nama unit yang terlibat dalam pengembangan sistem

Jadwal implementasi dari rencana penanganan risiko

Nama unit yang bertanggung jawab dan unit pendukung rencana aksi (correct)

Dokumen yang menjelaskan jenis-jenis risiko TI

Apa yang menjadi tujuan utama pengulangan proses penilaian risiko terhadap risiko residual?

Mengurangi semua risiko hingga nol

Menempatkan risiko residual di bawah Selera Risiko TI (correct)

Menemukan semua risiko yang ada tanpa batasan

Mengambil keputusan berdasarkan konsensus awal

Apa yang dimaksud dengan risiko residual?

Risiko yang sudah ditangani sepenuhnya

Risiko yang tidak memerlukan penanganan lebih lanjut

Risiko TI yang tersisa setelah penanganan risiko (correct)

Risiko yang diabaikan selama proses evaluasi

Dalam tabel pengisian rencana penanganan risiko TI, siapa yang bertanggung jawab untuk kualitas standar pengembangan sistem?

Direktur SIS

Apa hasil dari rencana aksi yang berhubungan dengan ketersediaan programmer cadangan?

Periode implementasi programmer pengganti

Siapa yang bertanggung jawab untuk melakukan pengulangan proses penilaian risiko?

Expert judgement

Apa yang dimaksud dengan 'Peningkatan kualitas standar pengembangan sistem' dalam konteks rencana penanganan risiko TI?

Adalah kegiatan tahunan untuk meningkatkan kualitas sistem

Apa saja yang perlu diidentifikasi dalam tabel rencana penanganan risiko TI?

Opsi mitigasi, penanggung jawab, dan keluaran rencana aksi

Apa tujuan utama dari pencatatan dan pelaporan manajemen risiko TI?

Memfasilitasi proses pengambilan keputusan dan meningkatkan kualitas aktivitas manajemen risiko

Manakah dari berikut ini yang merupakan contoh pencatatan dan pelaporan insidental?

Membuat laporan mendadak saat terjadi kerusuhan data yang memerlukan tindakan segera

Apa yang dimaksud dengan pencatatan dan pelaporan periodik?

Kegiatan yang dilakukan secara berkala sesuai waktu yang telah ditentukan

Mengapa penting untuk mengawal interaksi dengan pemangku kepentingan dalam manajemen risiko TI?

Untuk memastikan tanggung jawab dan akuntabilitas di antara pihak terkait

Apa yang termasuk dalam proses manajemen risiko TI?

Penerapan kebijakan, prosedur, dan praktik sistematis terhadap risiko

Apa yang perlu dilakukan apabila terdapat permintaan dari pimpinan dalam manajemen risiko TI?

Menyiapkan masukan berdasarkan analisis untuk pengambilan keputusan

Apa yang paling tepat untuk meningkatkan kualitas aktivitas manajemen risiko TI?

Perbaiki pencatatan dan pelaporan secara konsisten

Proses apa yang terlibat dalam penilaian risiko dalam manajemen risiko TI?

Identifikasi risiko, analisis risiko, evaluasi risiko

Warna yang digunakan untuk merepresentasikan level Risiko Tinggi adalah?

Jingga

Apa rentang besaran risiko untuk level Sangat Tinggi?

21-25

Apa tujuan dari penentuan Selera Risiko TI?

Memberikan ambang batas minimum terhadap risiko yang harus ditangani

Level risiko yang direpresentasikan dengan warna hijau adalah?

Rendah

Kompleksitas apa yang dapat mempengaruhi penentuan Selera Risiko TI?

Konteks internal dan eksternal organisasi

Apa tujuan dari penetapan kriteria Risiko TI?

Mengukur dan menetapkan kemungkinan kejadian dan dampak Risiko TI

Menurut penetapan kriteria kemungkinan, berapa jumlah level yang dianjurkan?

Lima level

Manakah dari berikut ini termasuk dalam area dampak Risiko TI?

Sumber daya manusia

Apa yang digunakan untuk menentukan kriteria kemungkinan pada Risiko TI?

Metode kuantitatif dan kualitatif

Apa yang terjadi dengan kriteria Risiko TI seiring waktu?

Diperlukan penyesuaian berdasarkan perubahan yang terjadi

Apa kriteria pertama dalam penetapan kemungkinan Risiko TI?

Hampir Tidak Terjadi

Manakah yang bukan termasuk dalam area dampak Risiko TI?

Strategi pemasaran

Apa yang menjadi dasar dalam penetapan level kemungkinan Risiko TI?

Frekuensi dan probabilitas statistik

Apa level kemungkinan terjadinya risiko TI yang dikategorikan sebagai 'Hampir Pasti Terjadi'?

X > 50%

Berapa jumlah frekuensi maksimal terjadinya risiko TI pada level 'Kadang-kadang Terjadi'?

6 ≤ X ≤ 9 kali

Level dampak risiko TI mana yang dianggap 'Kurang Signifikan'?

Tidak Signifikan

Dari mana tingkat dampak risiko TI seharusnya ditentukan?

Kombinasi area dampak dan level dampak

Apa yang dianjurkan mengenai jumlah level dampak risiko TI?

Jumlah ganjil

Apa yang termasuk dalam level kemungkinan terjadinya risiko TI 'Sering Terjadi'?

10 ≤ X ≤ 12 kali

Menurut kriteria kemungkinan, jika suatu risiko terjadi lebih dari 12 kali dalam satu tahun, maka labelnya adalah?

Hampir Pasti Terjadi

Apa dampak dari kriteria risiko TI yang dianggap 'Signifikan'?

Signifikan dalam konteks kinerja TI

Apa yang dilakukan dalam penerimaan risiko?

Membiarkan risiko terjadi apa adanya.

Dalam situasi apa eskalasi risiko perlu dilakukan?

Ketika risiko melampaui wewenang yang ada.

Apa tujuan dari mitigasi risiko?

Mengurangi level kemungkinan dan/atau dampak dari risiko.

Apa yang menjadi alasan utama untuk melakukan transfer risiko?

Kekurangan sumber daya untuk mengelola risiko.

Penghindaran risiko melibatkan tindakan apa?

Mengubah perencanaan dan kegiatan untuk mencapai tujuan.

Apa yang menggambarkan situasi di mana penerimaan risiko bisa dipilih?

Biaya penanganan risiko lebih tinggi dibandingkan manfaatnya.

Apa yang seharusnya dilakukan jika risiko SPBE terlalu besar untuk ditangani oleh unit kerja yang ada?

Melakukan eskalasi risiko.

Apakah konsekuensi dari penerimaan risiko yang dilakukan tanpa strategi yang jelas?

Risiko bisa menjadi tidak terduga dan berbahaya.

Study Notes

Penanggung Jawab dalam Rencana Penanganan Risiko TI

• Penanggung jawab adalah individu atau tim yang bertanggung jawab untuk mengelola dan menyelesaikan risiko yang telah diidentifikasi dalam sistem Teknologi Informasi (TI).

Tujuan Pengulangan Penilaian Risiko

• Tujuan utama dari pengulangan proses penilaian risiko terhadap risiko residual adalah untuk memastikan bahwa risiko yang telah diidentifikasi di masa lalu masih relevan dan akurat dalam kondisi terkini.

Risiko Residual

• Risiko residual adalah risiko yang masih tersisa setelah tindakan mitigasi telah diterapkan.

Kualitas Standar Pengembangan Sistem

• Pada tabel pengisian rencana penanganan risiko TI, Manajer Pengembang Sistem bertanggung jawab untuk memastikan kualitas standar pengembangan sistem.

Hasil Rencana Aksi Ketersediaan Programmer Cadangan

• Rencana aksi yang mencantumkan ketersediaan programmer cadangan bertujuan untuk memastikan bahwa sistem dapat terus berfungsi dengan baik meskipun ada programmer yang tidak dapat bekerja.

Pengulangan Penilaian Risiko

• Manajer Risiko TI bertanggung jawab untuk melakukan pengulangan proses penilaian risiko.

Meningkatkan Kualitas Standar Pengembangan Sistem

• Meningkatkan kualitas standar pengembangan sistem di dalam konteks rencana penanganan risiko TI berarti meningkatkan keandalan dan keamanan dari sistem yang dikembangkan.

Identifikasi dalam Tabel Rencana Penanganan Risiko TI

• Tabel rencana penanganan risiko TI setidaknya harus mengidentifikasi:
  • Risiko
  • Dampak
  • Kemungkinan
  • Tindakan Mitigasi
  • Penanggung Jawab
  • Target Waktu
  • Biaya
  • Status
  • Catatan

Tujuan Pencatatan dan Pelaporan Manajemen Risiko TI

• Tujuan utama dari pencatatan dan pelaporan manajemen risiko TI adalah untuk:
  • Memberikan bukti atas proses manajemen risiko yang dilakukan
  • Memfasilitasi evaluasi dan pemantauan efektivitas proses manajemen risiko
  • Memberikan informasi yang dapat diandalkan kepada pemangku kepentingan terkait dengan risiko yang dihadapi.

Contoh Pencatatan dan Pelaporan Insidental

• Contoh pencatatan dan pelaporan insidental adalah pelaporan insiden keamanan atau pelaporan status implementasi tindakan mitigasi risiko.

Pencatatan dan Pelaporan Periodik

• Pencatatan dan pelaporan periodik adalah laporan rutin yang berisi informasi tentang risiko-risiko penting, efektivitas tindakan mitigasi, dan status pelaksanaan rencana manajemen risiko. Biasanya dilakukan secara bulanan, triwulanan, atau tahunan.

Pentingnya Interaksi dengan Pemangku Kepentingan

• Penting untuk mengawal interaksi dengan pemangku kepentingan dalam manajemen risiko TI karena:
  • Mendapatkan masukan dan persetujuan serta membangun pemahaman bersama tentang risiko.
  • Membangun kepercayaan dan komitmen dari para pemangku kepentingan terhadap proses manajemen risiko.
  • Memastikan bahwa semua pemangku kepentingan memiliki pemahaman yang sama tentang risiko yang dihadapi.

Proses Manajemen Risiko TI

• Proses manajemen risiko TI meliputi:
  • Identifikasi Risiko
  • Analisis Risiko
  • Penilaian Risiko
  • Penanganan Risiko
  • Pemantauan dan Evaluasi Risiko

Permintaan dari Pimpinan

• Apabila terdapat permintaan dari pimpinan terkait manajemen risiko TI, Manajer Risiko TI harus:
  • Memahami dengan jelas permintaan tersebut
  • Memberikan informasi yang relevan
  • Menjalankan instruksi yang diberikan dengan tepat dan profesional.

Meningkatkan Kualitas Manajemen Risiko TI

• Meningkatkan kualitas aktivitas manajemen risiko TI dapat dilakukan dengan:
  • Menerapkan metodologi dan standar yang tepat
  • Menggunakan alat bantu yang relevant
  • Melakukan pelatihan dan pengembangan sumber daya
  • Meningkatkan kolaborasi dan koordinasi antar tim.

Proses Penilaian Risiko

• Proses penilaian risiko dalam manajemen risiko TI meliputi:
  • Penentuan Selera Risiko TI
  • Penetapan Kriteria Risiko TI
  • Penilaian Kemungkinan dan Dampak Risiko
  • Penentuan Level Risiko

Warna Level Risiko

• Warna yang digunakan untuk merepresentasikan level Risiko Tinggi adalah kuning.

Rentang Besaran Risiko Sangat Tinggi

• Rentang besaran risiko untuk level Sangat Tinggi adalah 5 - 10 atau lebih besar dari 10.

Tujuan Penentuan Selera Risiko TI

• Tujuan dari penentuan Selera Risiko TI adalah untuk menentukan tingkat risiko yang dapat diterima oleh organisasi.

Level Risiko Hijau

• Level Risiko yang direpresentasikan dengan warna hijau adalah Rendah.

Kompleksitas Selera Risiko TI

• Kompleksitas yang dapat mempengaruhi penentuan Selera Risiko TI adalah:
  • Industri
  • Besar organisasi
  • Strategi Bisnis
  • Budaya organisasi

Tujuan Penetapan Kriteria Risiko TI

• Tujuan dari penetapan Kriteria Risiko TI adalah untuk memberikan konsistensi dan objektivitas dalam mengidentifikasi, menganalisis, dan menilai risiko.

Level Kemungkinan Risiko

• Jumlah level yang dianjurkan dalam penetapan kriteria kemungkinan adalah lima.

Area Dampak Risiko TI

• Area Dampak Risiko TI meliputi:
  • Keuangan
  • Operasional
  • Reputasi
  • Hukum dan peraturan
  • Teknologi
  • Keamanan

Kriteria Kemungkinan Risiko

• Kriteria kemungkinan pada Risiko TI ditentukan berdasarkan frekuensi terjadinya risiko.

Perubahan Kriteria Risiko TI

• Kriteria Risiko TI dapat berubah seiring waktu karena beberapa faktor, seperti:
  • Perubahan lingkungan bisnis
  • Perkembangan teknologi
  • Perubahan kebijakan dan peraturan

Kriteria Pertama Kemungkinan Risiko

• Kriteria pertama dalam penetapan kemungkinan Risiko TI adalah "Mustahil Terjadi".

Area Dampak Risiko TI

• "Kepuasan Klien" bukanlah termasuk dalam area dampak Risiko TI.

Dasar Penetapan Kemungkinan Risiko TI

• Dasar dalam penetapan level kemungkinan Risiko TI adalah frekuensi terjadinya risiko.

Level Kemungkinan Risiko TI

• Level kemungkinan terjadinya Risiko TI yang dikategorikan sebagai "Hampir Pasti Terjadi" adalah "Sering Terjadi".

Frekuensi Risiko TI "Kadang-kadang Terjadi"

• Frekuensi maksimal terjadinya Risiko TI pada level "Kadang-kadang Terjadi" adalah 12 kali dalam setahun.

Level Dampak Risiko TI

• Level dampak Risiko TI yang dianggap "Kurang Signifikan" adalah "Rendah".

Tingkat Dampak Risiko TI

• Tingkat dampak risiko TI seharusnya ditentukan berdasarkan dampak terhadap bisnis.

Jumlah Level Dampak Risiko TI

• Jumlah level dampak risiko TI yang dianjurkan adalah lima.

Level Kemungkinan "Sering Terjadi"

• Level kemungkinan terjadinya risiko TI "Sering Terjadi" berarti risiko tersebut terjadi lebih dari 12 kali dalam satu tahun.

Label Risiko TI

• Jika suatu risiko terjadi lebih dari 12 kali dalam satu tahun, labelnya adalah "Sering Terjadi".

Dampak "Signifikan"

• Kriteria risiko TI yang dianggap "Signifikan" memiliki dampak yang besar pada bisnis.

Penerimaan Risiko

• Penerimaan Risiko berarti organisasi memutuskan untuk tidak mengambil tindakan mitigasi apapun, dan menerima konsekuensi potensial dari risiko tersebut.

Eskalasi Risiko

• Eskalasi risiko diperlukan ketika:
  • Risiko memiliki dampak yang sangat signifikan pada bisnis
  • Risiko tidak dapat ditangani oleh unit kerja yang ada
  • Risiko membutuhkan perhatian dan sumber daya yang lebih besar.

Tujuan Mitigasi Risiko

• Tujuan utama dari mitigasi Risiko adalah untuk mengurangi kemungkinan dan dampak dari risiko.

Alasan Transfer Risiko

• Alasan utama untuk melakukan transfer risiko adalah untuk memindahkan risiko ke pihak ketiga, biasanya dengan menggunakan asuransi atau kontrak.

Penghindaran Risiko

• Penghindaran risiko melibatkan tindakan menghindari kegiatan yang menimbulkan risiko.

Situasi Penerimaan Risiko

• Situasi di mana penerimaan risiko bisa dipilih adalah ketika:
  • Risiko dianggap kecil dan dapat ditoleransi
  • Biaya mitigasi Risiko lebih tinggi dari biaya Risiko itu sendiri

Risiko Besar

• Jika risiko SPBE terlalu besar untuk ditangani oleh unit kerja yang ada, perusahaan harus mencari solusi eksternal, seperti menggunakan konsultan atau vendor SPBE.

Konsekuensi Penerimaan Risiko

• Konsekuensi dari penerimaan risiko yang dilakukan tanpa strategi yang jelas adalah:
  • Risiko tidak terkendali dan dapat berdampak negatif pada bisnis
  • Kehilangan kepercayaan dari pemangku kepentingan
  • Kerugian financial yang signifikan.