Track: Praktisi TI (K) dan Manajer Risiko/Audit Internal.
Risk register di bawah ini adalah starter list yang dapat digunakan sebagai titik awal. Setiap perusahaan utilitas air harus menyesuaikan dengan:
- Skala operasi (jumlah SR, cakupan wilayah)
- Tingkat digitalisasi (manual vs SCADA penuh)
- Profil ancaman lokal (sejarah insiden, kondisi infrastruktur)
- Selera risiko Direksi (risk appetite tertulis)
Skala Penilaian
Likelihood: 1 (sangat jarang) sampai 5 (hampir pasti) Dampak: 1 (minor) sampai 5 (katastropik) Skor Risiko: Likelihood × Dampak (rentang 1 sampai 25)
Klasifikasi: 1 sampai 4 = rendah, 5 sampai 9 = sedang, 10 sampai 15 = tinggi, 16 sampai 25 = kritis.
Kategori 1: Risiko Operasional Sistem
Tabel TK2.1 Kategori 1: Risiko Operasional Sistem
| # | Risiko | L | D | Skor | Mitigasi Awal |
|---|---|---|---|---|---|
| 1 | Sistem billing down > 4 jam | 3 | 4 | 12 | Cluster, failover, monitoring 24/7 |
| 2 | SCADA terputus dari control room | 2 | 5 | 10 | Redundansi link, manual override procedure |
| 3 | Database pelanggan korup tanpa backup | 1 | 5 | 5 | Backup harian + offsite + uji restore bulanan |
| 4 | Sistem GIS tidak akurat menyebabkan rugi NRW | 4 | 3 | 12 | Audit data tahunan, workflow update perubahan |
| 5 | Integrasi billing-payment gateway gagal | 3 | 4 | 12 | Heartbeat monitoring, alur reconciliation harian |
Kategori 2: Risiko Keamanan Siber
Tabel TK2.2 Kategori 2: Risiko Keamanan Siber
| # | Risiko | L | D | Skor | Mitigasi Awal |
|---|---|---|---|---|---|
| 6 | Ransomware mengenkripsi sistem billing | 3 | 5 | 15 | Backup offline, endpoint protection, awareness training |
| 7 | Phishing sukses ke staf administrasi | 4 | 3 | 12 | Filter email, security awareness berkala, MFA |
| 8 | Serangan ke SCADA melalui jaringan TI | 2 | 5 | 10 | Segmentasi IT/OT, firewall khusus |
| 9 | Kredensial admin bocor di publik | 2 | 5 | 10 | Vault password, rotasi berkala, MFA wajib |
| 10 | Eksploitasi celah aplikasi web public | 4 | 3 | 12 | Penetration test tahunan, WAF, patch management |
| 11 | Akses tidak berhak dari vendor eksternal | 3 | 4 | 12 | Vendor risk assessment, akses terbatas dan terlog |
| 12 | DDoS ke portal layanan pelanggan | 2 | 3 | 6 | CDN/cloud protection, rate limiting |
Kategori 3: Risiko Kepatuhan Regulasi
Tabel TK2.3 Kategori 3: Risiko Kepatuhan Regulasi
| # | Risiko | L | D | Skor | Mitigasi Awal |
|---|---|---|---|---|---|
| 13 | Pelanggaran UU PDP (data pelanggan bocor) | 3 | 5 | 15 | Privacy by design, enkripsi, audit trail akses |
| 14 | Tidak memiliki kebijakan keamanan terdokumentasi (UU ITE Pasal 15) | 3 | 4 | 12 | Susun kebijakan, approval Direksi, sosialisasi |
| 15 | Skor Indeks SPBE rendah, sorotan Pemda | 4 | 3 | 12 | Self-assessment, gap analysis, roadmap perbaikan |
| 16 | Sistem elektronik tidak teregistrasi PSE Kominfo | 4 | 2 | 8 | Identifikasi sistem strategis, registrasi terjadwal |
| 17 | Data residency dilanggar (cloud provider luar) | 2 | 4 | 8 | Kebijakan data residency, due diligence vendor |
| 18 | Tidak ada DRP/BCP teruji (PSTE) | 4 | 4 | 16 | Susun DRP, uji minimum tahunan, dokumentasi |
Kategori 4: Risiko Tata Kelola dan SDM
Tabel TK2.4 Kategori 4: Risiko Tata Kelola dan SDM
| # | Risiko | L | D | Skor | Mitigasi Awal |
|---|---|---|---|---|---|
| 19 | Key person dependency untuk sistem kritis | 5 | 4 | 20 | Dokumentasi sistem, job rotation, cross-training |
| 20 | Tidak ada komite pengarah TI yang aktif | 3 | 3 | 9 | SK komite, agenda berkala, minutes terdokumentasi |
| 21 | Anggaran TI tidak proporsional dengan ekspektasi | 4 | 3 | 12 | Business case-driven budgeting, justifikasi ROI |
| 22 | Tim TI kurang kompetensi untuk teknologi baru | 4 | 3 | 12 | Skills assessment, training plan, sertifikasi |
| 23 | Tidak ada proses change management | 4 | 4 | 16 | CAB minimal mingguan, change request form wajib |
Kategori 5: Risiko Vendor dan Pihak Ketiga
Tabel TK2.5 Kategori 5: Risiko Vendor dan Pihak Ketiga
| # | Risiko | L | D | Skor | Mitigasi Awal |
|---|---|---|---|---|---|
| 24 | Vendor utama bangkrut atau ditarik produknya | 2 | 4 | 8 | Vendor financial assessment, contingency plan |
| 25 | Vendor tidak memenuhi SLA, sistem terdampak | 4 | 3 | 12 | SLA tertulis, penalty clause, monitoring |
| 26 | Lock-in teknologi vendor proprietary | 4 | 3 | 12 | Strategi exit, data portability di kontrak |
| 27 | Vendor mengakses data sensitif tanpa kontrol | 3 | 4 | 12 | Non-Disclosure Agreement, akses berbatas waktu |
Kategori 6: Risiko Strategis dan Reputasi
Tabel TK2.6 Kategori 6: Risiko Strategis dan Reputasi
| # | Risiko | L | D | Skor | Mitigasi Awal |
|---|---|---|---|---|---|
| 28 | Investasi TI besar tanpa hasil terukur | 4 | 4 | 16 | Gate review, benefit realization tracking |
| 29 | Insiden TI viral di media sosial | 3 | 3 | 9 | Communication plan, incident response terstruktur |
| 30 | Gagal digital transformation (sunk cost > Rp 5 miliar) | 3 | 5 | 15 | Pilot first, phased approach, governance ketat |
Penggunaan Risk Register
- Adopsi: Pilih 10 sampai 15 risiko paling relevan untuk organisasi Pak/Bu sebagai initial set. Jangan langsung mengelola 30.
- Validasi: Bawa daftar awal ke rapat manajemen risiko untuk validasi likelihood dan dampak.
- Owner: Setiap risiko harus punya owner dengan nama spesifik, bukan jabatan.
- Review: Risk register direview minimum kuartalan oleh komite pengarah TI; tahunan oleh Direksi.
- Update: Setiap insiden material → tambahkan risiko baru atau revisi skor.
Catatan akses: Format ini terinspirasi dari ISO 31000:2018 (manajemen risiko) dan COBIT 2019 Risk Scenarios. Acuan lengkap tersedia di situs ISO dan ISACA (sebagian berbayar).
Disclaimer: Risk register ini bersifat ilustratif. Setiap organisasi wajib menyesuaikan dengan profil risiko nyata, kondisi operasional, dan risk appetite yang ditetapkan Direksi.