View
407
Download
14
Embed Size (px)
Citation preview
ManajemenManajemen RisikoRisiko-Bagaimana penerapan pengelolaan risiko di Organisasi
British Standard Institution
Copyright © 2012 BSI. All rights reserved.
M. Hadi Cahyono
Kondisi Umum
Copyright © 2012 BSI. All rights reserved. 2
RISIKO :
(Sumber: ISO 31000:2009, clause 2.1)
• Dapat memiliki aspek yang berbeda
“Dampak dari ketidakpastian pada “tujuan organisasi”
Copyright © 2012 BSI. All rights reserved. 3
Penyimpangan dari yang diharapkan - positif dan / atau
negatif
Perbedaan yang berkaitan dengan suatu peristiwa, dampak,
atau kemungkinan terjadinya.
• Dapat memiliki aspek yang berbedamisalnya keuangan, keamanan, lingkungan• Dapat menerapkan pada tingkat yang berbeda misalnya strategis, operasional, proyek
Apa yang dapat berjalan salah?
Berapa besarkemungkinan itu?
Apa dampak yang terjadi?
Prinsip Manajemen Risiko
• dapat disesuaikan
• dinamis dan responsif terhadap perubahan
• memfasilitasi perbaikan berkelanjutan
• merupakan bagian dari pengambilan keputusan
• sistematis, terstruktur dan tepat waktu
Copyright © 2012 BSI. All rights reserved. 4
• sistematis, terstruktur dan tepat waktu
Peta Risiko
Copyright © 2012 BSI. All rights reserved. 5
Siapa yang memiliki Risiko
• Risiko ada di lingkungan organisasi
• Jika Anda mengelola unit bisnis, Anda memiliki risiko.
• Pemilik risiko memiliki tanggung jawab untuk
Copyright © 2012 BSI. All rights reserved. 6
• Pemilik risiko memiliki tanggung jawab untuk mengidentifikasi, mengukur, memantau, mengendalikan dan melaporkan risiko kepada manajemen; meningkatkan kesadaran risiko; dan prioritas ulang kegiatan dengan analisis risiko yang efektif
Tantangan dalam implementasi manajemen risiko
• Dukungan Pimpinan
• Tanggung jawab / akuntabilitas
• pengukuran risiko
• Korelasi ke strategi perusahaan
• Manajemen “buy-in”
Copyright © 2012 BSI. All rights reserved. 77
• Manajemen “buy-in”
• Pelaporan Risiko
Alasan umum untuk TIDAK melakukan Manajemen Risiko
�Fungsi dalam organisasi tidak memiliki resiko
�Program / aktivitas terlalu kecil untuk melakukan manajemen risiko
�Mengidentifikasi risiko buruk bagi karir pegawai
�Manajemen risiko membuat lebih banyak pekerjaan
Copyright © 2012 BSI. All rights reserved. 8
�Manajemen risiko membuat lebih banyak pekerjaan
�Unit Bisnis tidak bisa memprediksi apa yang akan terjadi dari sekarang
�Instansi berencana untuk mulai menerapkan manajemen risiko tahun depan
Proses Penilaian Risiko
Identifikasi Risiko
PenilaianRisiko
Penilaian kontrol
Manajemen Bisnis
Memahami dan Menilai Menilai kontrol
StrategiPerencanaan
Copyright © 2012 BSI. All rights reserved. 9
Memahami dan menganalisa
bisnis
Menilai risiko bisnis
Menilai kontrol yang dijalankan
PerencanaanImplementasiMonitoringPeningkatan
Fokus pada isu strategi
Memprioritas risiko
Kritikal
Peningkatan kontrol internal
PengelolaanBisnis
Skema Peran dalam Manajemen Risiko Berdasarkan ERM
E va lu a t in g r
R e v iew in g th e m a n a g
Giv in g a d v ic e o n id e n t ify in g
Ch am
p io n in g e s ta b l is hme n t o f E
Fac il i ta tin g r is k w
o r ks h op s
Cen tra l c oo rd ina ting po int fo r E
RM
Mon
itor in
g ris
ks a
c ro s
s th
e b u
s in e
s s
Ho l
isti c
rep o
rtin
g o n
ris
k s
Fa c il ita tin g M
an a geme n t ’s r e s p o n se O
pera
t ing
the
ER
M fr
amew
o rk
stra
teg y
for B
o ard
ap p
rova
l
e n t pro c e s s e s
e tt ing th
e r is k a
p p e t ite
o n
CRO or Unit Manajemen Risiko
Copyright © 2012 BSI. All rights reserved. 10
G iv in g a s s u ra n c e th a t th e c o n tro l s y s te m s a re e ffe c t iv e
G iv in g a s s u ra n c e th a t r is k s a re c o rre c t ly e v a lu a te d
E v a lu a t in g R is k M a n a g e m e n t p ro c e s s e s
a t in g re p o r t in g o f m a te ria l r is k s
a n a g e m e n t o f m a te r ia l r is k s
ng & e v a lu a t in g r is k s
f ER
M
Me to r is k s
De v
e lo p
ing
RM
s
Imp o s in g r is
k ma n a g em e n t
S e t
A s s u ra n c e b y m a n a g e m e n t o n
c o n tro ls a n d r isk s
T a k in g d e c is io n s o n r is k re s p o n s e s
M a n a g in g r is k s o n M a n a g e m e n t’s b e h a lf
A c c o u n ta b ility fo r r is k s a n d c o n tro ls
G iv in g a s s u ra n c e o n th e R is k M a n a g e m e n t p ro c e s s e s
Peran Internal AuditPeran Manajemen pada setiap fungsi / unit di organisasi
ISO 31000 Risk Management – Guidelines on principles and implementation of risk management.
Copyright © 2012 BSI. All rights reserved. 11
management.
09/04/2015
Komponen pada ISO 31000
Suatu prinsip memberikan dasar
dan menggambarkan
kualitas manajemen risiko yang efektif
Kerangka kerjaini mengelolakeseluruhanproses dan
integrasi penuhke dalam
Proses untukmengelola risikoberfokus pada
kelompok risiko, identifikasi, analisis,
evaluasi dan
Copyright © 2012 BSI. All rights reserved. 12
risiko yang efektif dalam suatu organisasi
ke dalamorganisasi
evaluasi dan penanganan risiko
Pemantauan & review, perbaikanberkelanjutan dan komunikasi
From ANSI/ASSE/ISO 31000
Elemen Kerangka Risiko
Copyright © 2012 BSI. All rights reserved. 13
Proses Manajemen Risiko
• Establish the Context: o Apa tujuan, struktur dan proses di instansi Anda?
• Identify Risk: o Apa peristiwa risiko yang mungkin instansi Anda
hadapi?• Analyse Risk:
o Bagaimana kemungkinan dari kejadian risiko terjadi?o Apa dampak potensial dari kejadian risiko?
• Evaluate Risks:o Apakah kriteria dari “Riks Appetite”?o Apakah ada risiko terpenting yang harus ditangani?
• Treat Risks:
5.2
COMMUNICATI
5.6
MONITOR
5.3 ESTABLISHING THE CONTEXT
5.4.3 RISK ANALYSIS
5.3.2 External Context5.3.3 Internal Context5.3.4 Risk Management Process Context5.3.5 Developing Risk Criteria
Determine existing controls
DetermineLikelihood
DetermineConsequences
5.4
RI
ASSESS
5.4.2 RISK IDENTIFICATION
What can happen, when, where, how & why
Elemen Kerangka Risiko
Copyright © 2012 BSI. All rights reserved. 14
• Treat Risks:o Langkah-langkah apa yang harus diambil untuk
mengurangi risiko yang teridentifikasi?• Monitor and Review:
o Apakah pengendalian internal bekerja secara efektif untuk mengurangi risiko?
o Apakah ada tindakan korektif yang diperlukan?• Communicate and Consult:
o Setiap saat dalam setiap proses
ON
&
CONSULTATION
R
&
REVIEW
5.4.4 RISK EVALUATION
5.5 RISK TREATMENT5.5.2 Selection of risk treatment options5.5.3 Preparing and implementing risk
treatment plans
Estimate Level of Risk
Compare against criteria.Identify & assess options.Decide on response.Establish priorities.
ISK
SMENT
Hasil Evaluasi adalah untuk (atau tidak) Menerima Risiko.
Risiko idak diterima, maka proses dilakukan Mitigasi Risiko
PENILAIAN RISIKO
Copyright © 2012 BSI. All rights reserved.
PENILAIAN RISIKO
Apa yang perlu diidentifikasi?
Identifikasi risiko sangat penting karena apa yang tidak teridentifikasi tidak dapat dikelola
Minimum
- Identifikasi Risiko -
Copyright © 2012 BSI. All rights reserved. 16
Sumber risiko (bahaya)
Kejadian (termasuk kapan dan
dimana)
Hasil (dampak)
Penyebab(bagaimana dan
mengapa)
MinimumRecords
Penyakit Epidemi wabah Flu BurungBeberapa orang
meninggalOrang kontak dengan ayam yang terinfeksi
Penjelasan yang lebih baik:
“ Pegawai memalsukan hasil laporan yang mengakibatkan pembatalan program, hilangnya dana dan membahayakan reputasi ke perusahaan karena kurangnya sistem pemeriksaan internal yang dilakukan"
Menjelaskan Risiko – Contoh yang Baik
Copyright © 2012 BSI. All rights reserved. 17
• Pertimbangan yang lebih baik dari faktor-faktor penyebab
• Mempertimbangkan kontrol yang dilakukan dan efektifitas yang terjadi. Sebagai contoh:
- Kode staf dan perilaku profesional
- Mekanisme jaminan kualitas
- manajemen reputasi
Analisa Risiko mempertimbangkan :
� Penyebab dan sumber risiko
� Kemungkinan dan dampak tertentu akan terjadi
� Faktor-faktor yang mempengaruhi kemungkinan dan dampak
- Analisa Risiko -
Copyright © 2012 BSI. All rights reserved. 18
� Faktor-faktor yang mempengaruhi kemungkinan dan dampak
� kontrol yang ada
Bagaimana risiko bisa diukur?
Tingkat Risiko (Besaran risiko)
Dampak dari suatu Kemungkinan terjadinya
- Evaluasi Risiko -
Copyright © 2012 BSI. All rights reserved. 19
Dampak dari suatu peristiwa
Risiko sering dinyatakan dalam dampakdari suatu peristiwa atau perubahan keadaan dan kemungkinan terkait
terjadinya
Kemungkinan terjadinya
Peta Analisis Risiko (Konsekuensi Kemungkinan Matrix)
Estimasi Tingkat Risiko
Bandingkan Terhadap Risk Appetite (Matriks Risiko)
Copyright © 2012 BSI. All rights reserved. 20
Risiko Rendah Penerimaan Risiko Risiko tidak diterima
Monitor dan review berkalaPengendalian Risiko
Contoh Tingkatan Dampak
Kerugian finansial menegah, gangguan kecil pada fungsi proses bisnis namun tidak signifikan
Minor2
Kerugian finansial yang rendah, tidak ada kegagalanInsignificant1
Penjelasan DampakDeskripsiLevel
Copyright © 2012 BSI. All rights reserved. 21
Kerugian finansial luar biasa, kegagalan > 75% proses operasional atau pada sebagian besar unit bisnis
Catastrophic5
Kerugian finansial besar, kehilangan kapabilitas operasional, penundaan aktivitas (proses tidak dapat dijalankan) untuk waktu yang lama
Major4
Kerugian finansial tinggi, penanganan perbaikan dibutuhkanrequired, penundaan aktivitas (proses tidak dapat dijalankan) untuk waktu yang singkat
Moderate3
fungsi proses bisnis namun tidak signifikan2
Bisa terjadi pada beberapa waktu (misalnya sekali Unlikely2
Mungkin terjadi hanya dalam keadaan luar biasa (misalnya sekali dalam 10 tahun)
Rare1
DescriptionProbabilityLevel
Sample likelihood Ranking
Copyright © 2012 BSI. All rights reserved. 22
Diperkirakan terjadi di sebagian besar keadaan (misalnya setiap hari)
Almost Certain5
Mungkin akan terjadi di sebagian besar keadaan (misalnya bulanan)
Likely4
Mungkin terjadi pada beberapa waktu (misalnya setahun sekali)
Possible3
Bisa terjadi pada beberapa waktu (misalnya sekali dalam 5 tahun)
Unlikely2
Contoh Matriks Analisa Risiko
Consequences Likelihood
Insignificant 1
Minor 2
Moderate 3
Major 4
Catastrophic 5
A (5) (Almost Certain)
H H E E E
B (4) (Likely)
M H H E E
C (3) L M H E E
Menerapkan Risk Appetite melalui Tabel Appetite Risiko
Copyright © 2012 BSI. All rights reserved. 23
C (3) (Moderate)
L M H E E
D (2) (Unlikely)
L L M H E
E (1) (Rare)
L L M H H
E: Extreme Risk, Diperlukan tindakan segeraH: High Risk, Dibutuhkan Perhatian Manajemen SeniorM: Moderate Risk, Tanggung Jawab Manajemen Harus DitentukanL: Low Risk, Dikelola dengan prosedur rutin
Risk Management Tools
Copyright © 2012 BSI. All rights reserved. 24
PENANGANAN RISIKO
Copyright © 2012 BSI. All rights reserved.
PENANGANAN RISIKO
25
Pengendalian risiko - “proses untuk merubah risiko”
Penanganan Risiko dapat meliputi:
— Menghindari Risiko
— Mengurangi Sumber Risiko
— Merubah Kemungkinan Terjadinya
— Merubah Dampak
Copyright © 2012 BSI. All rights reserved. 26
— Berbagi risiko dengan pihak lain [termasuk Risiko Keuangan]
Pengendalian Risiko dapat menciptakan risiko baru atau merubah risiko yang ada.”
Strategi Penanganan Risiko
Share / Transfer Risks
Avoid Risks
Kemungkinan Tinggi
Dampak Tinggi
• Mengurangi kemungkinan terjadinyaatau dampak risiko menjadi nol
• Dapat menghindari risiko dengan tidakmelakukan aktivitas tertentu ataumemilih alternatif
• Mustahil untuk menghilangkan risikosepenuhnya
Tidak bisa sepenuhnya "transfer risiko". Residual risk atau risiko lain akan tetap ada.
Contoh:• Outsourcing• Asuransi
Copyright © 2012 BSI. All rights reserved. 27
Kemungkinan
Accept RiskKemungkinan Rendah
Dampak Rendah
Treat Risks with Controls
Kemungkinan Tinggi
Dampak Medium
Risks
Kemungkinan Medium
Dampak Tinggi
Contoh Hasil Presentasi Matriks Risiko
Copyright © 2012 BSI. All rights reserved. 28
RISK TOLERABILITY
Copyright © 2012 BSI. All rights reserved. 29
METODOLOGI IDENTIFIKASI KEJADIAN RISIKODemonstrasi Identifikasi Kejadian Risiko untuk proses Pembelian
Copyright © 2012 BSI. All rights reserved. 30
Demonstrasi Identifikasi Kejadian Risiko untuk proses Pembelian
09/04/2015
4 Langkah Proses Identifikasi Kejadian Risiko
3. Identifikasi Resiko Untuk Komponen Kunci
4. Menyusun Peta Resiko
Copyright © 2012 BSI. All rights reserved. 31
1. Mengidentifikasi Proses Kunci Dan Tujuan Organisasi
2. Mengidentifikasi Komponen Kunci Untuk Setiap Proses
Komponen Kunci
Langkah 1: Mengidentifikasi Proses Kunci Dan Tujuan OrganisasiContoh: Proses Pembelian
1.0Menentukan persyaratan
user
3.0Membeli barang
dan/atau jasa
2.0Menyusun Spesifikasi
Barang/Jasa sesuai dengan kebutuhan user
Spesifikasi secara akurat merefleksikan
kebutuhan
Kesepakatan jumlah uang
Copyright © 2012 BSI. All rights reserved. 32
6.0Manajemen Monitoring
user dan/atau jasa
4.0Menerima dan
distribusi Barang dan
Jasa
5.0Pembayaran untuk Barang
dan jasa
Tujuan Utama Sistem = Barang/jasa yang dibeli memenuhi persyaratan
organisasi dengan cara yang paling efektif, efisien, dan
ekonomis
jumlah uang
Barang/Jasa diberikan sesuai
perjanjian
Pembayaran untuk Barang/Jasa telah
sesuai
Langkah 2: Mengidentifikasi Komponen Kunci Untuk Setiap Proses(Input, Output, Actions dan Kondisi)
•Sumber daya•orang•peralatan
•Tujuan•Produk
•Cuaca - hujan, panas, dingin•Peraturan, UU, kebijakan•Infrastruktur
CONDITIONSStrategy (S)Operation (O)Financial (F)Compliance (C)
Copyright © 2012 BSI. All rights reserved. 33
•peralatan•biaya•material•Sistem TI•Informasi
•Aktivitas orang•Fungsi dari peralatan•Keputusan•Otorisasi
Process 1INPUTS
•Produk•Laba•Reputasi•Keamanan •dll
OUTPUTS
ACTIONS
Compliance (C)
Contoh 2.1: Komponen Kunci Untuk Proses “Pembelian Barang/Jasa”
•Spesifikasi•Biaya
•Ketersediaan waktu•Ketersediaan pasar/teknikal•Kebijakan organisasi / peraturan terkait
CONDITIONS
•Kontrak supplier yang sesuai (S)
Sepsifikasi yang tepat (O)
Copyright © 2012 BSI. All rights reserved. 34
•Biaya•Supplier•Penetapan kriteria•Standard industri•Prosedur pembelian•Pengetahuan atasbarang/jasa
•Mengumumkan permintaan / tender•Pemilihan dan persetujuan supplier•Menyusun kontrak pemasok
3.0Membeli barangdan/atau jasa
INPUTS Kesepakatan jumlah uang (Hal inimerupakan tujuan utama dari Proses 3.0)
OUTPUTS
ACTIONS •Masih dalam anggaran (F)•Harga kompetitif
•Sesuai dengan standard industri (C)•Sesuai dengan kebijakan dan prosedur pembelian
Contoh 3.1: Kunci Risiko Untuk “Pembelian Barang/Jasa”
Tidak adanya kesepatan terkait Jumlah uang karena tidak ada
acuan harga
Ketidaksesuaian Kontrak suplier yang mengakibatkan kerugian bagi
organisasi
Pelaksanaan prosedur
Barang/Jasa tidak sesuai dengan spesifikasi akibat
tidak memenuhi kebutuhan organisasi & standard
industri
Penawaran tidak kompetitif untuk produk yang tidak baik dan/atau harga
Langkah 3: Identifikasi Resiko Untuk Komponen Kunci
Copyright © 2012 BSI. All rights reserved. 35
3.0Membeli barang dan/atau jasa
Proses pemilihan tidak efektif menghasilkan produk yang tidak baik dan/atau harga
terlalu tinggi
Adanya penipuan / korupsi menyebabkan kerugian bagi
organisasi
Pasokan tidak dapat diandalkan dalam hal ketersediaan dan kualitas mengakibatkan
gangguan operasi
Pelaksanaan prosedur pengadaan yang tidak tepat menyebabkan kerugian bagi
organisasi
produk yang tidak baik dan/atau harga terlalu tinggi mengakibatkan gangguan
operasional
Contoh 2.2: Komponen Kunci Untuk Proses “Penerimaan dan distribusi Barang dan Jasa”
•Supplier•Barang/Jasa•User
4.0Menerima dan Barang/Jasa diberikan sesuai perjanjian
•Lingkungan alam•Ketersediaan Produk•Syarat dan kondisi Kontrak
CONDITIONS
•Sesuai Rencana bisnis /strategi (S)•Sinkronisasi dengan pihak terkait
Sesuai dengan persyaratanoperasional/industri (O)
Copyright © 2012 BSI. All rights reserved. 36
•User•Personil logistik•Personil QC•Kontrak suplier•Rencana pembelian/pengiriman•MIS Logistik
•Pengiriman barang / jasa•Inspeksi dan / atau tindakan jaminan kualitas•Penyimpanan barang yang dikirim•Pengiriman barang ke pengguna
Menerima dan distribusi Barang
dan Jasa
INPUTSBarang/Jasa diberikan sesuai perjanjian (Hal ini merupakan tujuan utama dari
Proses 4.0)
OUTPUTS
ACTIONS•Keamanan yang sesuai (F)
Sesuai dengan Kontrak Pembelian (C)
4.0
Gangguan operasional akibat Barang/jasa tidak
dikirimkan sesuai perjanjian jual beli
Barang & Jasa (kualitas, kuantitas dan ketepatan waktu) tidak dikirimkan sesuai perjanjian yang mengakibatkan kerugian
dan/atau gangguan terhadap bisnis
Perencanaan pengiriman yang salah terkait hubungan dengan pihak lain dapat
menyebabkan gangguan pada operasional
Contoh 3.2: Kunci Risiko Untuk “Penerimaan & Distribusi Barang/Jasa”
Copyright © 2012 BSI. All rights reserved. 37
4.0Menerima dan
distribusi Barang dan Jasa
Inspeksi yang tidak benar mengakibatkan menerima produk
yang tidak bagus
Pemasok yang dalam likuidasi atau mengalami gangguan operasi menyebabkan gangguan terhadap
bisnis
Ketidaktepatan dan/atau kontrak suplier yang tidak jelas akan
menyebabkan perbedaan informasi dan kerugian
Ketidaktepatan Penanganan dan/atau keamanan barang yang dikirimkan
mengakibatkan kerusakan atau kehilangan aset
•Supplier•Barang/Jasa•Biaya•Anggaran•Bank
5.0Pembayaran untuk Barang/Jasa telah sesuai
•ketersediaan dana•Syarat dan kondisi kontrak•Prosedur pembayaran
OUTPUTS
CONDITIONS
Contoh 2.2: Komponen Kunci Untuk Proses “Pambayaran untuk Barang/Jasa”
Copyright © 2012 BSI. All rights reserved. 38
•Bank•Personil Penanggungjawab•User•Invoice•Kontrak suplier•MIS Logistik
•Menerima klaim untuk pembayaran•Periksa klaim terhadap barang / jasa yang diterima dan ketentuan pembayaran•Persetujuan untuk pembayaran•melakukan pembayaran
5.0Pembayaran untukBarang dan jasa
INPUTSPembayaran untuk Barang/Jasa telah sesuai
(Hal ini merupakan tujuan utama dariProses 5.0)
OUTPUTS
ACTIONS•Masih dalam anggaran (F)
•Sesuai dengan Kontrak Pembelian (C)•Sesuai dengan kebijakan dan prosedur pembayaran
5.0Pembayaran
Kerugian perusahaan karena Ketidaktepatan
pembayaran untuk Barang/Jasa
Kerugian finansial karena kelebihan pembayaran
berdasarkan syarat dan kondisi Pemasok yang disepakati
Kerugian finansial karena pembayaran untuk barang dan /
atau jasa tidak diterima atau berkualitas rendah
Kerugian finansial dari
Contoh 3.2: Kunci Risiko Untuk “Pambayaran untuk Barang/Jasa”
Copyright © 2012 BSI. All rights reserved. 39
Pembayaran untuk Barang
dan jasa
Kerugian finansial dari pembayaran yang tidak sah
karena kecurangan atau korupsi
Ketidakakuratan MIS menghasilkan kerugian
keuangan karena kelebihan pembayaran
Potensial Suplier tidak bekerjasama lagi karena
keterlambatan pembayaran
Ketidakefesien terhadap administrasi anggaran
menyebabkan kekurangan biaya untuk pembayaran
Step 4: Menyusun Peta Resiko
Copyright © 2012 BSI. All rights reserved. 40
Menyusun Profil Risiko
Nilai
Kecenderung
an
Nilai DampakNilai Risiko
Dasar
1 Membeli barang dan/atau jasa Tidak adanya kesepatan terkait Jumlah uang
karena tidak ada acuan harga
Pedoman
Pengadaan3 3 Sedang
2Ketidaksesuaian Kontrak suplier yang
mengakibatkan kerugian bagi organisasi
Manajemen
Kontrak2 3 Sedang
3
Penawaran tidak kompetitif untuk produk yang
tidak baik dan/atau harga terlalu tinggi
mengakibatkan gangguan operasional
- 4 4 Tinggi
4
Pasokan tidak dapat diandalkan dalam hal
ketersediaan dan kualitas mengakibatkan
gangguan operasi
Monitoring Suplier
melalui sistem
ERP
1 3 Rendah
Target WaktuDeskripsi Risiko Risk OwnerPrioritas Risiko
Risiko Inheren
Kontrol Yang Ada
Saat IniPengendalian Risiko Rencana Kontrol tambahanNo. Proses
Risiko diterima /
tidak
AktivitasAktivitasdalam
mitigasirisiko
Tingkat Tingkat kepentinganpenyelesaian
mitigasi
Copyright © 2012 BSI. All rights reserved. 41
5Pelaksanaan prosedur pengadaan yang tidak tepat
menyebabkan kerugian bagi organisasi- 3 3 Sedang
6 Menerima dan distribusi Barang dan JasaGangguan operasional akibat Barang/jasa tidak
dikirimkan sesuai perjanjian jual beli
Monitoring Suplier
melalui sistem
ERP
1 3 Rendah
7
Barang & Jasa (kualitas, kuantitas dan ketepatan
waktu) tidak dikirimkan sesuai perjanjian yang
mengakibatkan kerugian dan/atau gangguan
terhadap bisnis
Pemeriksaan
barang3 3 Sedang
8
Perencanaan pengiriman yang salah terkait
hubungan dengan pihak lain dapat menyebabkan
gangguan pada operasional
- 4 4 Tinggi
9
Pemasok yang dalam likuidasi atau mengalami
gangguan operasi menyebabkan gangguan
terhadap bisnis
- 2 3 Sedang
10
Ketidaktepatan dan/atau kontrak suplier yang
tidak jelas akan menyebabkan perbedaan
informasi dan kerugian
Manajemen
Kontrak2 2 Rendah
risiko mitigasi
Penanggungjawab /
pengelolarisiko
Menyusun Rencana Mitigasi Risiko
Risk Treatment Plan (Establish Physical entry controls)
Risk There are multiple risks associated with physical entry controls relating to protecting secure areas. These include access to areas containing sensitive information which may give rise to theft, fraud, information leakage, misuse or willful damage to information or assets.
Proposed Actions
Resources1.The Maintenance Engineer shall be responsible for
implementation of physical entry processes and procedures2.Facilities staff will be assigned to undertake the activities 3.Management will be responsible for the identification and
request of specific screening requirements
Performance measures
Copyright © 2012 BSI. All rights reserved. 42
Proposed ActionsSensitive areas of information processing facilities should be protected by appropriate entry controls this will include:1.Identify potential access locations where improved security could
be implemented2.Identify appropriate access requirement groups suitable for
LDCC3.Install locks and Key code or swipe card biometric authentication
mechanism for all entry points (e.g. key card and/or PIN) as required
4.Provision of identification cards for visitors, temps and staff5.Create appropriate ‘Physical Entry Control’ procedures
Performance measuresCompletion of locks and access system installationAudit of adherence to ‘card issuing’ procedures (new starter card issuing requests being actioned and leavers being de-activated)Observation on the use of the system at peak entry times.
ReportingFacilities will provide the next quarterly management meeting with an update report.
Schedule1. 2 Weeks
Copyright © 2012 BSI. All rights reserved. 43