BAB III Proses Manajemen Risiko TI PDF

Summary

This document provides an overview of IT risk management processes, including communication and consultation, context setting, risk assessment, and response planning. It outlines the various steps involved and illustrates these processes.

Full Transcript

Manajemen Risiko TI

BAB III PROSES MANAJEMEN RISIKO TI

3.1 Uraian Materi
Proses Manajemen Risiko TI merupakan penerapan secara sistematis
dari kebijakan, prosedur, dan praktik terhadap aktivitas komunikasi
dan konsultasi, penetapan konteks, penilaian risiko (identifikasi risiko,
analisis risiko, evaluasi risiko), penanganan risiko, pemantauan dan
reviu, serta pencatatan dan pelaporan. Proses manajemen risiko
diilustrasikan pada gambar 3.1.

Gambar 3.1. Proses Manajemen Risiko TI

A. Komunikasi dan Konsultasi
Komunikasi dan konsultasi merupakan proses yang berkelanjutan dan
berulang untuk menyediakan, membagikan, ataupun mendapatkan
informasi dan menciptakan dialog dengan para pemangku kepentingan
mengenai Risiko. Komunikasi dilakukan untuk meningkatkan
kesadaran dan pemahaman mengenai Risiko. Sementara konsultasi
dilakukan untuk mendapatkan umpan balik dan informasi dalam
rangka mendukung pengambilan keputusan.

19
Manajemen Risiko TI

Bentuk kegiatan komunikasi dan konsultasi antara lain:
§ Rapat berkala, merupakan rapat yang diadakan secara rutin.
§ Rapat insidental, merupakan rapat yang diadakan sewaktu-waktu.
§ Focus Group Discussion (FGD), merupakan kelompok diskusi yang
terarah untuk membahas topik tertentu.

B. Penetapan Konteks Risiko TI
Penetapan konteks bertujuan untuk mengidentifikasi dan menetapkan
kerangka acuan serta parameter-parameter dasar sebagai pondasi dan
batasan dalam penerapan Manajemen Risiko TI.

1) Inventarisasi Informasi Umum
Inventarisasi informasi umum bertujuan untuk mendapatkan
gambaran umum mengenai unit kerja yang menerapkan Manajemen
Risiko TI. Informasi yang dicantumkan meliputi nama Unit Pemilik
Risiko (UPR) TI, tugas UPR TI, fungsi UPR TI, dan periode waktu
pelaksanaan Manajemen Risiko TI dalam kurun waktu satu tahun.
Contoh pengisian informasi umum dapat dilihat pada Tabel 3.1.

Tabel 3.1. Contoh Pengisian Informasi Umum
Informasi Umum
Nama UPR Deputi Bidang Metodologi dan Informasi Statistik
Tugas UPR Menyelenggarakan perumusan kebijakan serta
koordinasi dan sinkronisasi pelaksanaan kebijakan di
bidang kelembagaan dan ketatalaksanaan pemerintah
Fungsi UPR 1. perumusan kebijakan di bidang kelembagaan
pemerintahan.
2. perumusan kebijakan di bidang ketatalaksanaan
pemerintahan, penyelenggaraan administrasi
pemerintahan, dan pengembangan penerapan
sistem pemerintahan berbasis elektronik.
Periode Waktu 1 Januari - 31 Desember 2021

20
Manajemen Risiko TI

2) Identifikasi Sasaran TI
Identifikasi sasaran TI bertujuan untuk menentukan sasaran TI
beserta indikator dan targetnya yang mendukung sasaran unit kerja
sebagai UPR TI. Informasi yang dicantumkan meliputi:
§ Sasaran UPR TI, diisi berdasarkan sasaran unit kerja sebagai
UPR TI yang tertuang dalam dokumen rencana strategis,
rencana kerja, penetapan kinerja, atau dokumen perencanaan
lainnya.
§ Sasaran TI, diisi dengan sasaran TI yang mendukung sasaran
UPR TI.
§ Indikator Kinerja TI, diisi dengan indikator kinerja TI yang
mendeskripsikan pencapaian sasaran TI.
§ Target Kinerja TI, diisi dengan target kinerja TI yang
mendeskripsikan ukuran indikator kinerja untuk pencapaian
sasaran TI.
Contoh pengisian sasaran TI dapat dilihat pada Tabel 3.2.

Tabel 3.2. Contoh Pengisian Sasaran TI
No Sasaran UPR Sasaran TI Indikator Target
Kinerja Kinerja
1 Terwujudnya tata Meningkatnya Indeks SPBE 3,7
kelola Kualitas
pemerintahan penyelenggaraan
yang berbasis Sistem Pemerintahan
elektronik Berbasis Elektronik

3) Penentuan Struktur Pelaksana Manajemen Risiko TI
Penentuan struktur pelaksana Manajemen Risiko TI bertujuan untuk
menentukan unit kerja yang bertanggung jawab atas pelaksanaan
Manajemen Risiko TI. Penentuan struktur pelaksana Manajemen
Risiko TI meliputi:
§ Pemilik Risiko TI.
§ Koordinator Risiko TI.

21
Manajemen Risiko TI

§ Pengelola Risiko TI.
Contoh pengisian struktur pelaksana manajemen risiko TI dapat
dilihat pada Tabel 3.3.

Tabel 3.3. Contoh Pengisian Struktur Pelaksana
Struktur Pelaksana Manajemen Risiko TI
Pemilik Risiko SPBE Deputi Bidang Metodologi dan Informasi
Statistik
Koordinator Risiko SPBE Direktur Sistem Informasi Statistik
Pengelola Risiko SPBE Koordinator Fungsi Integrasi Sistem
Informasi Statistik

4) Identifikasi Pemangku Kepentingan (Stakeholders)
Identifikasi Pemangku Kepentingan bertujuan untuk mendapatkan
informasi dan memahami pihak-pihak yang melakukan interaksi
dengan UPR TI dalam rangka pencapaian sasaran TI. Pihak-pihak
tersebut meliputi unit kerja internal, unit kerja eksternal, instansi
pemerintah, atau non instansi pemerintah. Hubungan kerja antara
UPR TI dan setiap pihak pemangku kepentingan yang terkait dengan
penerapan TI perlu dideskripsikan dengan jelas.
Contoh pengisian daftar pemangku kebutuhan dapat dilihat pada
Tabel 3.4.

Tabel 3.4. Contoh Pengisian Daftar Pemangku Kepentingan
No Nama Unit/Instansi Hubungan
1 Sekretariat Utama BPS Evaluasi SPBE internal
2 Inspektorat Utama BPS Penilaian Sistem Pengendalian Internal
Pemerintah
3 Kemenpan RB Pelaksana evaluasi SPBE sebagai
evaluator eksternal

5) Identifikasi Peraturan Perundang-Undangan
Identifikasi peraturan perundang-undangan bertujuan untuk
memahami kewenangan, tanggung jawab, tugas dan fungsi, serta
kewajiban hukum yang harus dilaksanakan oleh UPR TI. Informasi

22
Manajemen Risiko TI

yang perlu dijelaskan dalam melakukan identifikasi peraturan
perundang-undangan meliputi nama peraturan dan amanat dalam
peraturan tersebut.
Contoh pengisian daftar peraturan perundang-undangan dapat
dilihat pada Tabel 3.5.

Tabel 3.5. Contoh Pengisian Daftar Peraturan Perundang-Undangan
No Nama Peraturan Amanat
1 Peraturan Menteri Pasal 6
Pendayagunaan Kementerian Pendayagunaan Aparatur
Aparatur Negara dan Negara dan Reformasi Birokrasi melakukan:
Reformasi Birokrasi a. pembinaan, koordinasi, pemantauan,
Nomor 5 Tahun 2018 dan/atau supervisi terhadap evaluasi
tentang Pedoman mandiri Sistem Pemerintahan Berbasis
Evaluasi SPBE Elektronik; dan
b. penyusunan profil nasional pelaksanaan
Sistem Pemerintahan Berbasis Elektronik
berdasarkan hasil evaluasi eksternal
2 Perka BPS Nomor 73 Pasal 1 - Prinsip tata kelola Teknologi
Tahun 2016 tentang Informasi di lingkungan BPS yaitu:
Prinsip Tata Kelola TI a. Prinsip manajemen
di Lingkungan BPS b. Prinsip organisasi
c. Prinsip data dan informasi
d. Prinsip aplikasi
e. Prinsip Teknologi
f. Prinsip Keamanan Teknologi informasi

6) Penetapan Kategori Risiko TI
Penetapan kategori risiko TI bertujuan untuk menjamin agar proses
identifikasi, analisis, dan evaluasi Risiko TI dapat dilakukan secara
komprehensif. Pada PermenPAN-RB Nomor 5 Tahun 2020, telah
diberikan contoh kategori risiko, meliputi:
§ Rencana Induk SPBE Nasional, merupakan Risiko SPBE yang
berkaitan dengan penyusunan dan pelaksanaan perencanaan
pembangunan SPBE Nasional.
§ Arsitektur SPBE, merupakan Risiko SPBE yang berkaitan dengan
penyusunan dan pemanfaatan arsitektur SPBE yang

23
Manajemen Risiko TI

mendeskripsikan integrasi proses bisnis, data dan informasi,
infrastruktur SPBE, dan keamanan SPBE.
§ Peta Rencana SPBE, merupakan Risiko SPBE yang berkaitan
dengan penyusunan dan pelaksanaan Peta Rencana SPBE.
§ Proses Bisnis, merupakan Risiko SPBE yang berkaitan dengan
penyusunan dan penerapan proses bisnis SPBE.
§ Rencana dan Anggaran, merupakan Risiko SPBE yang berkaitan
dengan proses perencanaan dan penganggaran SPBE.
§ Inovasi, merupakan Risiko SPBE yang berkaitan dengan ide baru
atau pemikiran kreatif yang memberikan nilai manfaat dalam
penerapan SPBE.
§ Kepatuhan terhadap Peraturan, merupakan Risiko SPBE yang
berkaitan dengan kepatuhan unit kerja di lingkungan BPS Pusat
dan Daerah terhadap peraturan perundang-undangan,
kesepakatan internasional, maupun ketentuan lain yang
berlaku.
§ Pengadaan Barang dan Jasa, merupakan Risiko SPBE yang
berkaitan dengan proses pengadaan dan penyediaan barang dan
jasa.
§ Proyek Pembangunan/Pengembangan Sistem, merupakan
Risiko SPBE yang berkaitan dengan proyek pembangunan
ataupun pengembangan sistem pada penerapan SPBE.
§ Data dan Informasi, merupakan Risiko SPBE yang berkaitan
dengan semua data dan informasi yang dimiliki oleh BPS Pusat
dan Daerah.
§ Infrastruktur SPBE, merupakan Risiko SPBE yang berkaitan
dengan pusat data, jaringan intra pemerintah, dan sistem
penghubung layanan pemerintah termasuk perangkat keras,
perangkat lunak, dan fasilitas yang menjadi penunjang utama.

24
Manajemen Risiko TI

§ Aplikasi SPBE, merupakan Risiko SPBE yang berkaitan dengan
program komputer yang diterapkan untuk melakukan tugas
atau fungsi layanan SPBE.
§ Keamanan SPBE, merupakan Risiko SPBE yang berkaitan
dengan kerahasiaan, keutuhan, ketersediaan, keaslian, dan
kenirsangkalan (nonrepudiation) sumber daya yang mendukung
SPBE.
§ Layanan SPBE, merupakan Risiko SPBE yang berkaitan dengan
pemberian layanan SPBE kepada Pengguna SPBE.
§ Sumber Daya Manusia SPBE, merupakan Risiko SPBE yang
berkaitan dengan SDM yang bekerja sebagai penggerak
penerapan SPBE di BPS Pusat dan Daerah.
§ Bencana Alam, merupakan Risiko SPBE yang berkaitan dengan
peristiwa yang disebabkan oleh alam.
Penentuan kategori risiko TI disesuaikan dengan kondisi organisasi,
dapat menggunakan kategori yang didefinisikan pada PermenPAN-
RB Nomor 5 Tahun 2020 maupun dapat menentukan kategori sesuai
kebutuhan. Contoh pemilihan kategori risiko dapat dilihat pada
Tabel 3.6.

Tabel 3.6. Contoh Pengisian Kategori Risiko TI
No Kategori Risiko TI
1 Rencana dan Anggaran
2 Aplikasi / Sistem Informasi
3 Data dan Informasi
4 Proyek Pembangunan / Pengembangan Aplikasi
5 Infrastrutkur TI
6 Keamanan TI
7 SDM TI
8 Pengadaan Barang dan Jasa

7) Penetapan Area Dampak Risiko TI
Penetapan Area Dampak Risiko TI bertujuan untuk mengetahui area
mana saja yang terkena efek dari Risiko TI di organisasi. Pada

25
Manajemen Risiko TI

PermenPAN-RB Nomor 5 Tahun 2020, telah diberikan contoh area
dampak Risiko TI, meliputi:
§ Finansial, dampak Risiko SPBE berupa aspek yang berkaitan
dengan keuangan;
§ Reputasi, dampak Risiko SPBE berupa aspek yang berkaitan
dengan tingkat kepercayaan pemangku kepentingan;
§ Kinerja, dampak Risiko SPBE berupa aspek yang berkaitan
dengan pencapaian sasaran SPBE;
§ Layanan Organisasi, dampak Risiko SPBE berupa aspek yang
berkaitan dengan pemenuhan kebutuhan atau jasa kepada
pemangku kepentingan;
§ Operasional dan Aset TIK, dampak Risiko SPBE berupa aspek
yang berkaitan dengan kegiatan operasional TIK dan
pengelolaan aset TIK;
§ Hukum dan Regulasi, dampak Risiko SPBE berupa aspek yang
berkaitan dengan peraturan perundang-undangan dan
kebijakan; dan
§ Sumber Daya Manusia, dampak Risiko SPBE berupa aspek yang
berkaitan dengan fisik dan mental pegawai.
Area dampak Risiko TI terdiri atas area dampak positif dan/atau
negatif. Area Dampak Risiko TI dapat disesuaikan dengan konteks
organisasi. Contoh penentuan area dampak Risiko TI dapat dilihat
pada table 3.7.

Tabel 3.7. Contoh Penentuan area dampak Risiko TI
No Area Dampak Risiko TI
1 Reputasi
2 Kinerja
3 Layanan organisasi
4 Operasional dan asset TIK
5 Sumber daya manusia

26
Manajemen Risiko TI

8) Penetapan Kriteria Kemungkinan dan Dampak Risiko TI
Penetapan Kriteria Risiko TI bertujuan untuk mengukur dan
menetapkan seberapa besar kemungkinan kejadian dan dampak
Risiko TI yang dapat terjadi. Kriteria Risiko TI ini ditinjau secara
berkala dan perlu melakukan penyesuaian dengan perubahan yang
terjadi. Penetapan Kriteria Risiko TI ini terdiri atas:
a. Kriteria Kemungkinan Risiko TI
Penetapan Kriteria Kemungkinan Risiko TI dilakukan
berdasarkan penetapan level kemungkinan dan penetapan
kriteria dari setiap level kemungkinan terhadap Risiko TI.
Penentuan jumlah level disesuaikan dengan kondisi masing-
masing organisasi, tapi dianjurkan berjumlah ganjil. Berikut ini
diberikan contoh yang menggunakan 5 (lima) level kemungkinan
sesuai dengan kompleksitas Risiko TI yang dapat diuraikan
sebagai berikut:
§ Hampir Tidak Terjadi
§ Jarang Terjadi
§ Kadang-Kadang Terjadi
§ Sering Terjadi
§ Hampir Pasti Terjadi.
Sedangkan, penetapan kriteria kemungkinan dilakukan melalui
pendekatan persentase probabilitas statistik dan jumlah
frekuensi terjadinya suatu Risiko TI dalam satuan waktu, ataupun
berdasarkan expert judgement. Contoh pengisian kriteria
kemungkinan untuk salah satu kategori Risiko TI seperti terlihat
pada Tabel 3.8.

27
Manajemen Risiko TI

Tabel 3.8. Contoh Pengisian Kriteria Kemungkinan Risiko TI
Persentase Jumlah Frekuensi
Kemungkinan Kemungkinan
Level Kemungkinan
Terjadinya dalam Terjadinya dalam
Satu Tahun Satu Tahun
1 Hampir Tidak Terjadi X ≤ 5% X ≤ 5%
2 Jarang Terjadi 5% < X ≤ 10% 2 ≤ X ≤ 5 kali
3 Kadang-kadang Terjadi 10% < X ≤ 20% 6 ≤ X ≤ 9 kali
4 Sering Terjadi 20% < X ≤ 50% 10 ≤ X ≤ 12 kali
5 Hampir Pasti Terjadi X > 50 % > 12 kali

b. Kriteria Dampak Risiko TI
Penetapan Kriteria Dampak Risiko TI dilakukan dengan
kombinasi antara Area Dampak Risiko TI (sebagaimana
dijelaskan pada poin 7 di atas) dan level dampak. Penentuan
jumlah level disesuaikan dengan kondisi masing-masing
organisasi, tapi dianjurkan berjumlah ganjil. Berikut ini diberikan
contoh yang menggunakan 5 (lima) level sesuai kompleksitas
Risiko TI yang dapat diuraikan sebagai berikut:
§ Tidak Signifikan
§ Kurang Signifikan
§ Cukup Signifikan
§ Signifikan
§ Sangat Signifikan.
Pada PermenPAN-RB Nomor 5 Tahun 2020 telah memberikan
contoh daftar kriteria dampak Risiko TI untuk area dampak
Risiko terkait Kinerja baik untuk risiko positif maupun negatif.
Contoh daftar tersebut dapat dilihat pada Tabel 3.9.

28
Manajemen Risiko TI

Tabel 3.9. Contoh Pengisian Kriteria Dampak Risiko TI
Level Dampak
1 2 3 4 5
Area Dampak
Tidak Kurang Cukup Sangat
Signifikan
Signifikan Signifikan Signifikan Signifikan
Peningkatan Peningkatan Peningkatan
Peningkatan Peningkatan
kinerja kinerja kinerja
Positif kinerja kinerja
20% s.d 40% s.d < 60% s.d
< 20% ≥ 80%
< 40% 60% < 80%
Kinerja
Penurunan Penurunan Penurunan
Penurunan Penurunan
kinerja kinerja kinerja
Negatif kinerja kinerja
20% s.d 40% s.d < 60% s.d
< 20% ≥ 80%
< 40% 60% < 80%

9) Matriks Analisis Risiko dan Level Risiko TI
Matriks analisis Risiko TI berisi kombinasi antara level
kemungkinan dan level dampak untuk dapat menetapkan Besaran
Risiko TI yang direpresentasikan dalam bentuk angka. Penentuan
besaran nilai bisa diurutkan dari angka 1 sampai dengan perkalian
jumlah level kemungkinan dengan jumlah level dampak, misalkan
angka 1 sampai dengan 25 (5 x 5). Contoh matrik analisis risiko
tersebut dapat dilihat pada Tabel 3.10. Alternatif lain penentuan
besaran nilai risiko diperoleh dari hasil perkalian antara level
kemungkinan dengan level dampak. Contoh matrik analisis risiko
tersebut dapat dilihat pada Tabel 3.11.

Tabel 3.10. Contoh Matriks Analisis Risiko TI
Level Dampak
1 2 3 4 5
Matriks Analisis Risiko 5x5
Tidak Kurang Cukup Sangat
Signifikan
Signifikan Signifikan Signifikan Signifikan
Hampir
5 Pasti 9 15 18 23 25
Terjadi
Level
Kemungkinan
Sering
4 6 12 16 19 24
Terjadi

29
Manajemen Risiko TI

Kadang-
3 kadang 4 10 14 17 22
Terjadi

Jarang
2 2 7 11 13 21
Terjadi

Hampir
1 Tidak 1 3 5 8 20
Terjadi

Tabel 3.11. Contoh Matriks Analisis Risiko TI Alternatif
Level Dampak
1 2 3 4 5
Matriks Analisis Risiko 5x5
Tidak Kurang Cukup Sangat
Signifikan
Signifikan Signifikan Signifikan Signifikan
Hampir
5 Pasti 5 10 15 20 25
Terjadi

Sering
4 4 8 12 16 20
Terjadi

Kadang-
Level 3 kadang 3 6 9 12 15
Kemungkinan Terjadi

Jarang
2 2 4 6 8 10
Terjadi

Hampir
1 Tidak 1 2 3 4 5
Terjadi

Besaran Risiko TI ini selanjutnya dikelompokkan ke dalam Level
Risiko TI dimana setiap level memiliki rentang nilai besaran Risiko
TI. Pemilihan level Risiko TI disesuaikan dengan kondisi masing-
masing organisasi, tapi dianjurkan berjumlah ganjil. Berikut ini
diberikan contoh yang menggunakan 5 (lima) level sesuai dengan

30
Manajemen Risiko TI

kompleksitas Risiko TI. Setiap level tersebut direpresentasikan
dengan warna sesuai dengan preferensi organisasi yang dapat
diuraikan sebagai berikut:
§ Sangat Rendah, direpresentasikan dengan warna biru;
§ Rendah, direpresentasikan dengan warna hijau;
§ Sedang, direpresentasikan dengan warna kuning;
§ Tinggi, direpresentasikan dengan warna jingga;
§ Sangat Tinggi, direpresentasikan dengan warna merah.
Contoh penentuan level Risiko TI dapat dilihat pada Tabel 3.12.

Tabel 3.12. Contoh Level Risiko TI
Rentang Besaran
Level Risiko Keterangan Warna
Risiko
1 Sangat Rendah 1-5 Biru
2 Rendah 6-10 Hijau
3 Sedang 11-15 Kuning
4 Tinggi 16-20 Jingga
5 Sangat Tinggi 21-25 Merah

10) Selera Risiko TI
Selera Risiko TI bertujuan untuk memberikan acuan dalam
penentuan ambang batas minimum terhadap besaran Risiko TI yang
harus ditangani untuk setiap kategori Risiko TI baik positif maupun
negatif. Penentuan Selera Risiko TI ini dapat disesuaikan dengan
kompleksitas Risiko TI serta konteks internal dan eksternal
organisasi. Contoh penentuan Selera Risiko TI dapat dilihat pada
Tabel 3.13.

Tabel 3.13. Contoh Penentuan Selera Risiko TI
Besaran Risiko minimum yang
No Kategori Risiko ditangani
Risiko Positif Risiko Negatif
1 Aplikasi/Sistem informasi 18 11
2 Pengadaan Barang dan Jasa 18 11
3 SDM SPBE 20 14

31
Manajemen Risiko TI

C. Penilaian Risiko TI
Penilaian (Assessment) risiko adalah keseluruhan proses identifikasi
risiko, analisis risiko dan evaluasi risiko.
1) Identifikasi Risiko
Identifikasi Risiko TI merupakan proses menggali informasi
mengenai kejadian, penyebab, dan dampak Risiko TI. Informasi yang
dicantumkan meliputi:
§ Jenis Risiko TI
Jenis Risiko TI terbagi menjadi Risiko TI positif dan Risiko TI
negatif. Hasil identifikasi Risiko TI dituliskan ke dalam masing-
masing jenis Risiko TI.
§ Kejadian
Kejadian dapat diidentifikasi dari terjadinya suatu peristiwa
yang menimbulkan risiko TI yang diperoleh dari riwayat
peristiwa dan/atau prediksi terjadinya peristiwa di masa yang
akan datang. Kejadian ini selanjutnya disebut sebagai risiko TI.
§ Penyebab
Penyebab dapat diidentifikasi dari akar masalah yang menjadi
pemicu munculnya risiko TI. Penyebab dapat berasal dari
lingkungan Internal maupun eksternal organisasi. Identifikasi
penyebab akan membantu menemukan tindakan yang tepat
untuk menangani risiko TI.
§ Kategori
Penentuan kategori risiko TI didasarkan pada penyebab dari
munculnya risiko TI. Kategori risiko TI telah dijelaskan pada
bagian B.6.
§ Dampak
Dampak dapat diidentifikasi dari pengaruh atau akibat yang
timbul dari risiko TI.

32
Manajemen Risiko TI

§ Area Dampak
Penentuan area dampak risiko TI didasarkan pada dampak yang
telah teridentifikasi. Area dampak risiko TI telah dijelaskan pada
bagian B.7.
Contoh pengisian identifikasi risiko TI dapat dilihat pada Tabel 3.14.

Tabel 3.14. Contoh Pengisian Identifikasi Risiko TI
Identifikasi Risiko TI
Jenis Area
Kejadian Penyebab Kategori Dampak
Risiko Dampak
Negatif SDM Kondisi Aplikasi / Waktu Kinerja
programmer pandemic Sistem pengembangan
sakit saat sedang penyakit informasi sistem yang
mengembangkan menular tidak sesuai
sistem rencana

Positif Tersedianya Unit TI paham Kepatuhan Sistem Kinerja,
standar pentingnya terhadap informasi yang Reputasi
pembangunan tata kelola peraturan dihasilkan
sistem dalam sesuai dengan
pengembangan yang
sistem diharapkan

2) Analisis Risiko
Analisis risiko TI merupakan proses untuk melakukan penilaian atas
risiko TI yang telah diidentifikasi sebelumnya. Analisis risiko TI
dilakukan dengan cara menentukan level kemungkinan dan level
dampak terjadinya risiko TI. Informasi yang dicantumkan pada
analisis risiko TI meliputi:
§ Level Kemungkinan
Penentuan level kemungkinan dilakukan dengan mengukur
persentase probabilitas atau frekuensi peluang terjadinya risiko
TI dalam satu periode yang dicocokkan dengan kriteria
kemungkinan. Penentuan level kemungkinan harus didukung
dengan penjelasan singkat untuk mengetahui alasan pemilihan
level kemungkinan tersebut.

33
Manajemen Risiko TI

§ Level Dampak
Penentuan level dampak dilakukan dengan mengukur besar
dampak dari terjadinya risiko TI yang dicocokan dengan area
dampak risiko TI. Level dampak harus didukung dengan
penjelasan singkat untuk mengetahui alasan pemilihan level
dampak tersebut.
§ Besaran Risiko TI dan Level Risiko TI
Penentuan besaran risiko TI dan level risiko TI didapat dari
kombinasi level kemungkinan dan level dampak dengan
menggunakan rumusan dalam Matriks Analisis Risiko TI.
Contoh pengisian analisis risiko TI dapat dilihat pada Tabel 3.15.

Tabel 3.15. Contoh Pengisian Analisis Risiko TI
Kemungkinan Dampak Besaran Level
Level Penjelasan Level Penjelasan Risiko Risiko
2 Kemungkinan 4 Penurunan 13 Sedang
terjadi sekitar kinerja sampai
10% dalam satu 75%
tahun
4 Kemungkinan 4 Kinerja terjaga 19 Tinggi
standar dan reputasi
pengembangan meningkat
sistem tersedia
setiap tahun
sebanyak 50%

3) Evaluasi Risiko
Evaluasi risiko TI dilakukan untuk mengambil keputusan mengenai
perlu tidaknya dilakukan upaya penanganan risiko TI lebih lanjut
serta penentuan prioritas penanganannya. Pengambilan keputusan
mengacu pada selera risiko TI yang telah ditentukan sebagaimana
telah dijelaskan pada bagian B.10. Prioritas penanganan risiko TI
diurutkan berdasarkan besaran risiko TI. Apabila terdapat lebih dari
satu risiko TI yang memiliki besaran yang sama maka cara
penentuan prioritas berdasarkan expert judgement.

34
Manajemen Risiko TI

Contoh pengisian evaluasi risiko TI dapat dilihat pada Tabel 3.16.

Tabel 3.16. Contoh Pengisian Evaluasi Risiko TI
Evaluasi Risiko SPBE
Keputusan Penanganan Risiko SPBE
Prioritas Risiko
(Ya/Tidak)
Ya 2
Ya 1

D. Penanganan Risiko TI
Penanganan risiko TI merupakan proses untuk memodifikasi penyebab
risiko TI. Penanganan risiko TI dilakukan dengan mengidentifikasi
berbagai opsi yang mungkin diterapkan dan memilih satu atau lebih
opsi penanganan risiko TI. Informasi yang dicantumkan pada
penanganan risiko TI meliputi:
1) Rencana Penanganan Risiko TI
Rencana penanganan risiko TI merupakan agenda kegiatan untuk
menangani risiko TI agar mencapai selera risiko TI yang telah
ditetapkan. Rencana penanganan risiko TI dilakukan dengan
mengidentifikasi hal-hal sebagai berikut:
a. Opsi Penanganan Risiko TI
Opsi penanganan Risiko TI berisikan alternatif yang dipilih untuk
menangani Risiko TI. Opsi penanganan Risiko TI dilakukan
dengan mengidentifikasi berbagai opsi yang mungkin untuk
diterapkan. Opsi penanganan Risiko TI terbagi menjadi dua, yaitu
penanganan Risiko TI Positif dan penanganan Risiko TI Negatif.
i. Opsi Penanganan Risiko Positif
§ Eskalasi Risiko
Eskalasi risiko dipilih jika Risiko TI berada di luar atau
melampaui wewenang. Opsi ini dilakukan dengan
memindahkan tanggung jawab penanganan Risiko TI ke
unit kerja yang lebih tinggi.

35
Manajemen Risiko TI

§ Ekspoitasi Risiko
Eksploitasi risiko dipilih jika Risiko TI dapat dipastikan
terjadi. Opsi ini dilakukan dengan cara memanfaatkan
Risiko TI tersebut semaksimal mungkin.
§ Peningkatan Risiko
Peningkatan risiko dilakukan dengan cara meningkatkan
level kemungkinan dan/atau level dampak dari Risiko TI.
§ Pembagian Risiko
Pembagian risiko dipilih jika Risiko TI tidak dapat
ditangani secara langsung dan membutuhkan pihak lain
untuk menangani Risiko TI tersebut. Pembagian risiko
dilakukan dengan bekerja sama dengan dengan pihak lain.
§ Penerimaan Risiko
Penerimaan risiko dipilih jika upaya penanganan lebih
tinggi dibandingkan manfaat yang didapat atau
kemungkinan terjadinya kecil. Opsi ini dilakukan dengan
cara membiarkan Risiko TI terjadi apa adanya.
ii. Opsi Penanganan Risiko Negatif
§ Ekskalasi Risiko
Eskalasi risiko dipilih jika Risiko SPBE berada di luar atau
melampaui wewenang. Opsi ini dilakukan dengan
memindahkan tanggung jawab penanganan Risiko SPBE
ke unit kerja yang lebih tinggi.
§ Mitigasi Risiko
Mitigasi risiko dilakukan dengan cara mengurangi level
kemungkinan dan/atau level dampak dari Risiko SPBE.
§ Transfer Risiko
Transfer risiko dipilih jika terdapat kekurangan sumber
daya untuk mengelola Risiko SPBE. Opsi ini dilakukan
dengan cara mengalihkan kepemilikan risiko kepada pihak

36
Manajemen Risiko TI

lain untuk melakukan pengelolaan dan
pertanggungjawaban terhadap Risiko SPBE.
§ Penghindaran Risiko
Penghindaran risiko dilakukan dengan mengubah
perencanaan, penganggaran, program, dan kegiatan, atau
aspek lainnya untuk mencapai sasaran SPBE.
§ Penerimaan Risiko
Penerimaan risiko dipilih jika biaya dan usaha penanganan
lebih tinggi dibandingkan manfaat yang didapat,
kemungkinan terjadinya sangat kecil atau dampak sangat
tidak signifikan. Opsi ini dilakukan dengan cara
membiarkan risiko terjadi apa adanya.

Untuk memudahkan dalam menentukan opsi penanganan risiko
TI, dapat disusun matrik rekomendasi opsi penanganan risiko TI.
Matrik tersebut dibuat untuk memetakan tiap opsi penanganan
risiko TI berdasarkan nilai besaran risiko TI, sumber daya
penanganan risiko TI, dan kemampuan UPR untuk menangani
apabila risiko TI terjadi.
Contoh matrik rekomendasi opsi penanganan risiko TI dapat
dilihat pada Tabel 3.17.

Tabel 3.17. Contoh Matrik Rekomendasi Opsi Penanganan Risiko TI
Level Risiko TI Sumber Daya Penanganan Kemampuan UPR
Opsi Sangat Sangat
Rendah Sedang Tinggi Rendah Sedang Tinggi Rendah Sedang Tinggi
Rendah Tinggi
Risiko Positif
Eksploitasi v v v v V v v v v
Peningkatan v v v v v v v
Pembagian v v v v v v v
Penerimaan v v v v
Risiko Negatif
Mitigasi v v v v v v v
Transfer v v v v v v

37
Manajemen Risiko TI

Penghindaran v v v v
Penerimaan v v v v

b. Rencana Aksi Penanganan risiko
Rencana aksi penanganan risiko merupakan rancangan kegiatan
tindak lanjut untuk menangani Risiko TI.
c. Keluaran
Keluaran merupakan hasil dari rencana aksi penanganan Risiko
TI.
d. Rencana Aksi Penaganan risiko
Jadwal implementasi merupakan jadwal pelaksanaan dari setiap
rencana aksi penanganan Risiko TI.
e. Penanggungjawab
Penanggung jawab berisikan nama unit yang bertanggung jawab
dan unit pendukung dari setiap rencana aksi penanganan Risiko
TI.
Contoh pengisian rencana penanganan risiko TI dapat dilihat pada
Tabel 3.18.

Tabel 3.18. Contoh Pengisian Rencana Penanganan Risiko TI
Rencana Penanganan Risiko TI
Opsi
Jadwal Penanggung
Penanganan Rencana Aksi Keluaran
Implementasi jawab
Risiko
Tersedianya Periode
Programmer
Mitigasi Risiko programmer pengembangan Direktur SIS
pengganti
cadangan sistem
Kualitas standar
Dokumen standar
pengembangan
Peningkatan pengembangan
sistem Setiap tahun Direktur SIS
risiko sistem yang lebih
ditingkatkan
baik
setiap tahun

2) Risiko residual
Risiko residual merupakan risiko TI yang tersisa dari risiko TI yang
telah ditangani. Dalam melakukan penanganan terhadap risiko
residual, dilakukan pengulangan proses penilaian risiko sampai

38
Manajemen Risiko TI

dengan risiko residual tersebut berada di bawah Selera Risiko TI.
Penetapan risiko residual ini dapat ditetapkan berdasarkan expert
judgement.
Contoh pengisian risiko TI residual dapat dilihat pada Tabel 3.19.

Tabel 3.19. Contoh Pengisian Risiko TI Residual
Terdapat Level Level Besaran Level Risiko
Risiko TI Kemungkinan Dampak Risiko TI TI
Residual ?
Ya 2 2 7 Rendah
Tidak - - - -

E. Pemantauan dan Reviu
1) Pemantauan
Pelaksanaan pemantauan terdiri dari 2 jenis, yaitu
a. Pemantauan berkelanjutan
Pemantauan berkelanjutan dilakukan secara terus-menerus
atas seluruh faktor atau penyebab yang mempengaruhi risiko TI
dan kondisi lingkungan organisasi. Apabila terjadi perubahan
yang signifikan, dimungkinkan dilakukan penilaian ulang atas
profil risiko TI. Pemantauan dilakukan secara harian oleh Unit
Pemilik Risiko dan menjadi bagian dalam proses bisnis
organisasi.
b. Pemantauan berkala
Pemantauan berkala dilakukan guna memonitor pelaksanaan
rencana aksi penanganan risiko TI. Hasil pelaksanaan
pemantauan dapat menjadi dasar untuk melakukan
penyesuaian kembali proses manajemen risiko TI. Pemantauan
dilakukan setiap triwulan atau sewaktu-waktu (insidental).

39
Manajemen Risiko TI

2) Reviu
Pelaksanaan reviu terdiri dari 2 jenis, yaitu
a. Reviu implementasi manajemen risiko TI
Reviu ini bertujuan untuk mengontrol kesesuaian dan ketepatan
seluruh pelaksanaan proses manajemen risiko TI sesuai dengan
ketentuan yang berlaku. Reviu dilakukan setiap triwulan atau
sewaktu-waktu (insidental).
b. Reviu tingkat kematangan penerapan manajemen risiko TI
Reviu ini bertujuan menilai kualitas penerapan manajemen
risiko TI. Reviu dapat dilakukan pada seluruh tingkatan unit
organisasi yang menerapkan manajemen risiko TI. Terdapat 5
(lima) tingkat kematangan penerapan manajemen risiko TI,
yaitu:
i. Belum sadar risiko
Merupakan kondisi yang menunjukkan bahwa organisasi
memiliki sistem pengendalian yang masih cukup terbatas
atau bahkan tidak ada sama sekali, sehingga tidak diketahui
keterkaitan antara sistem pengendalian yang ada terhadap
risiko-risiko yang berpengaruh terhadap pencapaian tujuan
organisasi.
ii. Sadar risiko
Merupakan kondisi yang menunjukkan bahwa organisasi
sudah memiliki sistem pengendalian yang cukup namun
belum seluruhnya dapat dikaitkan dengan risiko-risiko yang
mempengaruhi kegiatan organisasi.
iii. Risiko ditetapkan
Merupakan kondisi yang menunjukkan bahwa organisasi
sudah mampu mengidentifikasi dan menetapkan risiko-
risiko kunci, melakukan reviu secara berkala, dan
menetapkan langkah penanganan atas risiko tersebut dalam

40
Manajemen Risiko TI

organisasi. Namun upaya pemantauan atas penanganan
risiko yang dijalankan tersebut hanya dilakukan oleh
beberapa pihak tertentu dalam organisasi.
iv. Risiko dikelola
Merupakan kondisi yang menunjukkan bahwa organisasi
sudah mampu mengidentifikasi dan menetapkan
keseluruhan risiko, melakukan reviu secara berkala, dan
menetapkan langkah penanganan terhadap keseluruhan
risiko. Upaya pemantauan atas penanganan risiko yang
dijalankan tersebut dilakukan oleh seluruh pihak dalam
organisasi, namun hanya pihak yang paling bertanggung
jawab secara langsung terhadap risiko yang mampu
memberikan jaminan atas keefektifan proses manajemen
risiko yang telah ditetapkan dalam organisasi.
v. Dapat menangani risiko
Merupakan kondisi yang menunjukkan bahwa organisasi
sudah mampu mengidentifikasi dan menetapkan
keseluruhan risiko, melakukan reviu secara berkala, dan
menetapkan langkah penanganan terhadap keseluruhan
risiko. Upaya pemantauan atas langkah mitigasi risiko yang
dijalankan tersebut dilakukan oleh seluruh pihak dalam
organisasi, dan seluruh pihak dalam organisasi mampu
memberikan jaminan atas keefektifan proses manajemen
risiko yang telah ditetapkan dalam organisasi.

Karakteristik dari tingkat kematangan penerapan manajemen
risiko dijelaskan pada Tabel 3.20.

41
Manajemen Risiko TI

Tabel 3.20. Tingkat Kematangan Penerapan Manajemen Risiko
Parameter Penilaian
Kepemimpinan Proses Manajemen Penanganan Risiko Hasil
- Risiko - Penerapan
Komitmen dan - Jumlah persentase Manajemen
Tingkat
pemahaman Pelaksanaan proses penanganan yang Risiko
Kematangan
pimpinan manajemen risiko dilaksanakan dan -
terhadap keberhasilan Keberhasilan
implementasi penurunan level pencapaian
manajemen risiko risiko tujuan strategis
Sangat tidak lengkap
Belum sadar dan identifikasi
Sangat rendah Sangat rendah Sangat rendah
risiko sangat tidak
komprehensif
Tidak lengkap dan
Sadar risiko Rendah identifikasi tidak Rendah Rendah
komprehensif
Cukup lengkap dan
Risiko
Sedang identifikasi cukup Sedang Sedang
ditetapkan
komprehensif
Lengkap dan
Risiko dikelola Tinggi identifikasi Tinggi Tinggi
komprehensif
Dapat Sangat lengkap dan
menangani Sangat tinggi identifikasi sangat Sangat tinggi Sangat tinggi
risiko komprehensif

F. Pencatatan dan Pelaporan
Pencatatan merupakan kegiatan atau proses pendokumentasian suatu
aktivitas dalam bentuk tulisan dan dituangkan dalam dokumen.
Pelaporan merupakan kegiatan yang dilakukan untuk menyampaikan
hal-hal yang berhubungan dengan hasil pekerjaan yang telah dilakukan
selama satu periode tertentu (setiap triwulan).
Proses manajemen risiko TI dan keluaran yang dihasilkan perlu dicatat
dan dilaporkan dengan mekanisme yang tepat. Pencatatan dan
pelaporan bertujuan untuk mengkomunikasikan aktivitas manajemen
risiko TI serta keluaran yang dihasilkan, menyediakan informasi untuk
pengambilan keputusan, meningkatkan kualitas aktivitas manajemen

42
Manajemen Risiko TI

risiko TI, serta mengawal interaksi dengan pemangku kepentingan
termasuk tanggung jawab serta akuntabilitas terhadap manajemen
risiko TI.
Pencatatan dan pelaporan manajemen risiko TI terdiri dari:
1) Pencatatan dan Pelaporan Periodik
Pencatatan dan pelaporan periodik merupakan kegiatan yang
dilakukan secara berulang pada waktu yang telah ditentukan
(misalkan setiap triwulan atau tahunan).
2) Pencatatan dan Pelaporan Insidental
Pencatatan dan pelaporan insidental merupakan kegiatan yang
dilakukan pada waktu tertentu sesuai dengan kebutuhan. laporan ini
dibuat apabila:
§ Terdapat kondisi abnormal yang perlu dilaporkan segera
kepada pimpinan untuk memberikan masukan mengenai
rencana tindak lanjut.
§ Terdapat permintaan dari pimpinan untuk memberikan
masukan berdasarkan analisis dalam pengambilan suatu
keputusan atau kebijakan tertentu.

3.2 Rangkuman
Proses manajemen risiko TI merupakan penerapan secara sistematis
dari kebijakan, prosedur, dan praktik terhadap aktivitas komunikasi
dan konsultasi, penetapan konteks risiko, penilaian risiko (identifikasi
risiko, analisis risiko, evaluasi risiko), penanganan risiko, pemantauan
dan reviu, serta pencatatan dan pelaporan.
§ Komunikasi dan konsultasi merupakan proses yang berkelanjutan
dan berulang untuk menyediakan, membagikan, ataupun
mendapatkan informasi dan menciptakan dialog dengan para
pemangku kepentingan mengenai Risiko.

43
Manajemen Risiko TI

§ Penetapan konteks bertujuan untuk mengidentifikasi dan
menetapkan kerangka acuan serta parameter-parameter dasar
sebagai pondasi dan batasan dalam penerapan manajemen risiko TI.
Penetapan konteks meliputi: (1) inventarisasi informasi umum, (2)
identifikasi sasaran TI, (3) penentuan struktur pelaksana
manajemen risiko TI, (4) identifikasi pemangku kepentingan
(stekholders), (5) identifikasi peraturan perundang-undangan, (6)
penetapan kategori risiko TI, (7) penetapan area dampak risiko TI,
(8) penetapan kriteria kemungkinan dan dampak risiko TI, (9)
matriks analisis risiko dan level risiko TI, dan (10) selera risiko TI.
§ Penilaian (Assessment) risiko TI adalah keseluruhan proses
identifikasi risiko, analisis risiko dan evaluasi risiko. Informasi yang
dicantumkan pada analisis risiko TI meliputi: (1) level kemungkinan,
(2) level dampak, dan (3) besaran risiko TI dan level risiko TI.
§ Penanganan risiko TI merupakan proses untuk memodifikasi
penyebab risiko TI dengan mengidentifikasi berbagai opsi yang
mungkin diterapkan dan memilih satu atau lebih opsi
penanganannya. Informasi yang dicantumkan pada penanganan
risiko TI meliputi: (1) rencana penanganan risiko TI dan (2) risiko
residual.
§ Pemantauan bertujuan untuk memonitor faktor-faktor penyebab
risiko TI dan kondisi lingkungan organisasi serta pelaksanaan
rencana aksi penanganan risiko TI. Sedangkan riviu bertujuan untuk
mengontrol kesesuaian dan ketepatan seluruh pelaksanaan proses
manajemen risiko TI sesuai dengan ketentuan yang berlaku.
§ Pencatatan dan pelaporan bertujuan untuk mengkomunikasikan
aktivitas manajemen risiko TI serta keluaran yang dihasilkan,
menyediakan informasi untuk pengambilan keputusan,
meningkatkan kualitas aktivitas manajemen risiko TI, serta

44
Manajemen Risiko TI

mengawal interaksi dengan pemangku kepentingan termasuk
tanggung jawab serta akuntabilitas terhadap manajemen risiko TI.

3.3 Soal Latihan
1) Lengkapilah tabel identifikasi risiko TI berikut berdasarkan contoh
hasil penetapan konteks risiko TI pada uraian materi sebelumnya
(Tabel 3.1 s.d. 3.13)
Identifikasi Risiko TI

Jenis Area
Kejadian Penyebab Kategori Dampak
Risiko Dampak

Kualitas SDM
lebih tinggi dari
ekspektasi

Terjadi gangguan
pada jaringan
internet

Terdapat petugas
entri data yang
sakit

Disediakan
anggaran
tambahan di
tengah kegiatan

Terjadi bencana
alam, misal banjir
di kantor

2) Buatlah rencana penanganan risiko TI terhadap hasil identifikasi
risiko TI di atas!

45
Manajemen Risiko TI

3.4 Contoh Kasus

Implementasi Manajemen Risiko terkait Sistem Pemerintahan Berbasis
Elektronik (SPBE) di Badan Pusat Statistik (BPS) telah dilakukan pada
tahun 2021. Implementasi ini memuat hasil implementasi dari proses-
proses manajemen risiko SPBE sebagaimana tertuang dalam Kerangka
Kerja Manajemen Risiko SPBE. Unit Pemilik Risiko (UPR) dalam
implementasi ini yaitu Direktorat Sistem Informasi Statistik (SIS).
Informasi umum mengenai UPR dapat dilihat pada table berikut:

46