Manajemen Risiko TI Secara Bottom-up dan Top-down

Manajemen Risiko Teknologi Informasi (TI) secara Bottom-up dan Top-down, apa maksudnya?.

Di dalam melakukan manajemen risiko TI, risk assessment tidak hanya cukup dilakukan secara bottom-up saja tetapi juga perlu dilakukan secara top-down. Apa yang dimaksud dengan risk assessment secara bottom-up dan apa yang dimaksud dengan risk assessment secara top-down?.




Biasanya kegiatan risk identification dan risk assesment dilakukan dari unit kerja terkecil, kemudian setelah didapatkan hasil risk assessment dalam bentuk suatu risk matrix, langkah selanjutnya adalah menggabungkan seluruh hasil assessment tersebut ke tingkat yang lebih tinggi lagi (bottom up). Saat risk matrix gabungan tersebut dipresentasikan pada level manajemen, kadang-kadang manajemen tidak dapat melihat atau menemukan di dalam risk matrix tersebut satu atau beberapa risk item yang sebelumnya ada di pikiran mereka, lalu mereka bertanya-tanya bagaimana risk item yang mereka perkirakan penting tersebut bisa sampai tidak teridentifikasi?. Dalam kondisi seperti ini, biasanya manajemen langsung meminta agar risk item yang mereka perkirakan tersebut di masukkan ke dalam risk matrix yang ada. Proses penentuan risk item tersebut dilakukan secara top-down. Sehingga Manajemen Risiko secara bottom-up dan top-down adalah merupakan hal yang umum untuk mencapai manajemen risiko yang optimal.

Pada saat melakukan identifikasi risiko, banyak sudut pandang yang dapat diambil, contohnya dari sudut pandang operational risk, identifikasi risiko dapat diambil dari sudut pandang proses, system dan faktor external, dari sudut pandang area IT identifikasi risiko dapat diambil berdasarkan area utama yang ada di IT seperti area aplikasi, system, network, operasi, security dan project management, sedangkan dari sudut pandang information security (ISO 27001) identifikasi risiko dilakukan berdasarkan pada aset informasi.

Adanya perbedaan sudut pandang tersebut tentu akan berpengaruh terhadap kesimpulan akhir dari suatu penilaian risiko, akan dihasilkan beberapa penilaian risiko yang hasilnya berbeda. Perbedaan hasil penilaian tersebut bisa kecil atau besar sehingga menjadi sulit sebetulnya mana hasil penilaian yang paling tepat.(-*)

Silakan kunjungi IT Governance Online untuk melihat dan menyimak pembahasan yang lebih lengkap terkait Teknologi Informasi dan Komunikasi.

Leave a Reply