Materi Paling Banyak Dilihat

Posted by : Owner September 22, 2012


Sebagaimana telah diketahui, Bank perlu memiliki dokumentasi risiko agar risiko yang diidentifikasi dan dinilai atau diukur dapat dipantau oleh manajemen yang biasa disebut dengan Risk Register. Untuk menghasilkan risk register ini perlu langkah-langkah tertentu yang harus dilakukan. Saat ini terdapat berbagai macam pendekatan, langkah dan metode dapat digunakan dalam penilaian risiko penggunaan Teknologi Informasi (TI) misalnya dengan pedekatan aset atau pendekatan proses. Bank dapat menentukan sendiri pendekatan, langkah dan metode yang akan dilakukan. Berikut ini adalah contoh penilaian risiko pengamanan informasi yang menggunakan pendekatan aset.
1. Dokumen hasil Identifikasi dan Pengukuran Risiko (Risk Register)

Berikut ini contoh template yang digunakan dalam identifikasi dan pengukuran risiko :

2. Identifikasi Risiko
 
2.1. Identifikasi (penentuan klasifikasi) Aset


Kolom No.1 yaitu aset, diisi dengan nama atau jenis aset yang dihasilkan dalam menjalankan proses bisnis bank dan aset yang mendukung terlaksananya proses bisnis tersebut. Aset yang dimaksud bukan aset secara akuntansi, namun segala sesuatu yang mempunyai nilai bagi organisasi dan harus diamankan termasuk data, perangkat lunak, perangkat keras, jaringan komunikasi dan data, sarana pendukung dan sumber daya manusia. Tentukan pemilik aset tersebut dan identifikasi tingkatan penting tidaknya (kritikal) aset tersebut bagi unit kerja pengguna dan unit kerja penyelenggara TI. Untuk proses identifikasi ini Bank menetapkan terlebih dahulu kriteria penilaian tertentu yang akan digunakan misalnya seperti yang terdapat pada contoh di tabel berikut :


Aset yang telah diklasifikasikan sesuai analisa sensitivitas dan penentuan tingkat kritikal seperti dalam tabel diatas kemudian dicantumkan pada kolom 1 di form Risk Register.

Contoh : Informasi nasabah dalam bentuk hardcopy.


2.2. Identifikasi risiko dan evaluasi risiko yang terkait dengan aset

Kolom 2 di Risk Register diisi dengan hasil identifikasi dan evaluasi penggunadan penyelenggara TI terhadap potensial kegagalan atau kelemahan proses pengamanan yang ada/diterapkan Bank atas aset yang telah didefinisikan, sehingga berpengaruh secara signifikan terhadap kinerja Bank. Satu aset dapat memiliki beberapa risiko. Contoh pencantuman di Kolom 2 (Deskripsi Risiko): Informasi bocor kepada pihak yang tidak berwenang.


2.3. Analisa Kerawanan

Kolom 3 Risk Register diisi dengan faktor yang rawan dapat menyebabkan terjadinya kegagalan atau kelemahan pengamanan TI (risiko) yang telah diidentifikasi pada kolom 2. Tiap risiko dapat memiliki beberapa kerawanan.

Contoh pencantuman di kolom 3 :

- Pengamanan terhadap lemari penyimpanan arsip kurang memadai;
- Informasi nasabah tidak disimpan dengan baik pada tempat yang seharusnya.


3. Pengukuran Risiko

Besarnya pengaruh risiko dapat diketahui dengan menilai kecenderungan risiko dan dampak yang dapat ditimbulkan oleh risiko tersebut terhadap proses bisnis. Kriteria pengukuran yang digunakan mengacu kepada metode risk assessment yang berlaku di Bank. Proses ini dilakukan oleh personil yang mengetahui proses bisnis dan pengamanan atas informasi di proses tersebut. Kolom 4, 5, dan 6 diisi dengan hasil pengukuran Bank atas kecenderungan dan dampak dari risiko sebelum pengendalian dilakukan terhadap aset berisiko tersebut. Sedangkan kolom 8, 9 dan 10 diisi dengan hasil pengukuran Bank atas kecenderungan dan dampak dari risiko setelah pengendalian dilakukan terhadap aset berisiko tersebut.

3.1. Pengukuran Kecenderungan (Probability)


Kolom 4 Risk Register diisi dengan Kecenderungan Inheren yang merupakan kemungkinan terjadinya risiko sebelum adanya pengendalian. Kolom 8 diisi dengan Kecenderungan Residual yang merupakan kemungkinan terjadinya risiko setelah adanya pengendalian. Kecenderungan dapat diukur dengan suatu kriteria pengukuran, yaitu nilai kuantitatif dari kecenderungan terjadinya risiko yang disebutkan pada deskripsi risiko. Kuantifikasi kecenderungan dapat berupa ukuran terjadinya risiko dalam satuan waktu seperti frekuensi kejadian setiap hari, setiap minggu, setiap bulan, atau setiap tahun.
 Contoh kriteria pengukuran kecenderungan:
 

Contoh pencantuman hasil pengukuran Kecenderungan Inheren pada kolom 4 di form Risk Register : Level 4
Contoh pencantuman hasil pengukuran Kecenderungan Residual pada kolom 8 di form Risk Register : Level 3


3.2. Pengukuran Dampak (impact/severity)


Kolom 5 Risk Register diisi dengan Dampak Inheren yang menggambarkan tingkatan kerusakan yang disebabkan oleh terjadinya risiko relatif terhadap asset sebelum ada/diterapkannya pengendalian. Kolom 9 diisi dengan Dampak Residual yang menggambarkan tingkatan kerusakan yang disebabkan oleh terjadinya risiko relatif terhadap aset setelah ada/diterapkannya pengendalian.
Contoh klasifikasi dampak :

Contoh pencantuman hasil pengukuran dampak pada kolom 5 di form Risk Register : Level 5
Contoh pencantuman hasil pengukuran dampak pada kolom 8 di form Risk Register : Level 2


3.3. Penentuan Nilai Risiko


Kolom 6 Risk Register diisi dengan Nilai Risiko Dasar (NRD) yaitu tingkatan risiko aset sebelum ada/diterapkannya pengendalian. Kolom 10 Risk Register diisi dengan Nilai Risiko Akhir (NRA) yaitu tingkatan risiko aset setelah ada/diterapkannya pengendalian. Seperti telah dijelaskan dalam Bab I, Bank dapat menentukan sendiri metode pemeringkatan dalam matriks pengukuran risiko. Penilaian risiko pada contoh ini diukur menggunakan 3 tingkatan yang meliputi : Low, Medium, dan High sebagai berikut:


Contoh pencantuman hasil penentuan NRD di kolom 6: High
Contoh pencantuman hasil penentuan NRA di kolom 10: Medium



4. Identifikasi Pengendalian yang Diimplementasikan

Kolom 7 Risk Register diisi dengan langkah-langkah pengendalian yang telah diimplementasikan oleh Bank untuk mengurangi risiko atas aset yang diidentifikasi seperti :

- kebijakan dan prosedur Bank terkait aset;
- penggunaan teknologi tertentu untuk mengendalikan risiko secara otomatis atau tersistem seperti audit log, on line approval, parameter value di sistem.
Contoh pencantuman kontrol di kolom 7 untuk asset yang berupa Informasi nasabah dalam bentuk hardcopy:
- ketentuan mengenai pengelolaan arsip;
- akses ruang arsip harus menggunakan PIN;
- penggunaan CCTV.

5. Nilai Risiko Yang Diharapkan

Atas semua aset yang teridentifikasi sebaiknya Bank menentukan nilai risiko yang diharapkan (limit risiko). Sebagai contoh apabila diharapkan risiko kebocoran informasi rahasia nasabah harus pada level low maka pada kolom 11 diisi Low.

6. Analisis Nilai Risiko

Dengan demikian, setelah semua langkah-langkah di atas dilakukan, maka contoh pengisian Form Risk Register adalah sbb :


Setelah form Risk Register terisi Bank melakukan analisis nilai risiko atas masing-masing aset yang teridentifikasi. Perbedaan antara NRD High dengan NRA Medium menunjukkan berkurangnya kecenderungan terjadinya risiko dan dampak yang ditimbulkan bila risiko terjadi tidak akan sebesar apabila pengendalian (risk control system) tidak diterapkan. Bank harus menganalisa apakah terdapat risiko yang belum dikendalikan namun dapat diterapkan bentuk pengendalian tertentu. Perbandingan antara NRA dengan Nilai Risiko yang diharapkan dari berbagai asset yang teridentifikasi merupakan parameter dasar untuk langkah-langkah yang diperlukan memitigasi risiko. Sebagai contoh apabila diharapkan risiko kebocoran informasi rahasia nasabah harus pada level Low, maka perlu dilakukan pengendalian tambahan apabila Nilai Risiko Akhir-nya masih Medium Bank selanjutnya menetapkan Rencana Penanganan Risiko atas aset tersebut. Misalnya Bank perlu memperbaiki risk control system untuk pengamanan informasi, mengkinikan kebijakan dan prosedur pengamanan.
Mari Berteman ^^
David Iskandar | Create Your Badge

Leave a Reply

Subscribe to Posts | Subscribe to Comments

- Copyright © 2013 BELAJAR PERBANKAN GRATIS - Date A Live - Powered by Blogger - Designed by Johanes Djogan - Redesigned By David Iskandar