Klausul 8.2 Penilaian Risiko
Seperti yang kita baca pada klausul 6.1 Tindakan Untuk Risiko dan Peluang maka klausul ini menjadi kelanjutan dari langkah - langkah melakukan manajemen risiko pada persyaratan tersebut. Persyaratannya pendek karena merupakan lanjutan dari langkah sebelumnya
Ada beberapa hal yang perlu diingat terkait analisa risiko ini.
1. Pastikan anda membuat kriteria yang "pas" untuk semua jenis risiko yang ada. Pemilihan kriteria penilaian pada likelihood / frequency dan dampak/severity sering menjadi kendala sehingga ketika dilakukan analisa malah melanggar logika
2. Umumnya untuk dampak, pilih yang dapat diterima secara umum. Seperti : kerugian keuangan, berhentinya operasional perusahaan, pengaruh pada SLA dll
3. Untuk frequency, silahkan ditentukan yang tepat. Yang pasti semakin layanannya online tentunya frequency akan semakin rigid. Misal : 1 x perjam, 3x per hari atau 3x dalam seminggu
4. Perhatikan tabel risiko yang dibuat, bisa jadi untuk kombinasi low freq vs high impact kita bisa menentukan sbg bagian dari High Risk atau sebaliknya.
5. Pada no 4 diatas, sering dijadikan objek audit oleh auditor. Jawaban yang pas untuk keraguan auditor atas tabel risiko yang dibuat adalah pada ketepatan dalam memilih kriteria sepert nomor 1
6. Pastikan update dilakukan tiap tahun bukan hanya risk register tapi termasuk evaluasi / tinjauan terhadap kriteria dan tabel risiko yang dibuat
yang pasti soal risk ini akan tricky, semakin anda yakin bahwa dokumen anda benar akan semakin bagus anda pada saat audit. Eh tapi klo ktmu auditor yang jago soal risk, kemudian ditunjukkan kesalahan logikanya pada risk tabel atau risk register, jangan shocked yah hahahaha
Bagaimana pun risk itu terdiri dari pengalaman dan pengetahuan. Pengetahuan boleh di adu, pengalaman yang susah di adu. Pada titik ktmu auditor yang pengalaman, ya sudah ngalah aja sama auditor hehehe
0 comments