“Risk register yang sehat itu bukan yang rapi saat audit, tapi yang rutin dievaluasi.”
Idealnya, risk register dievaluasi berkala. Bisa per kuartal, atau setiap kali ada perubahan signifikan: sistem baru, proses baru, target bergeser, atau struktur organisasi berubah. Kalau hanya dibuka setahun sekali menjelang audit, itu bukan manajemen risiko. Itu arsip.
Di tempat saya, prosesnya kami buat sedikit berbeda. Dokumen risk self-assessment tidak hanya diisi oleh tim IT atau GRC, tapi juga oleh business process owner. Mereka menilai sendiri risiko di proses yang mereka jalankan sehari-hari.
Setelah itu, kami kaji bersama. Bukan untuk mencari siapa yang salah, tapi untuk memastikan semua pihak benar-benar aware dengan risiko yang ada, perubahan yang terjadi, dan kontrol apa yang masih relevan.
Pendekatan ini pelan-pelan mengubah risk register dari sekadar dokumen menjadi alat diskusi. Risiko jadi dibicarakan lebih awal, sebelum berubah jadi insiden.
Karna manajemen risiko yang matang itu bukan soal siapa yang paling paham standar, tapi siapa yang paling sadar terhadap risiko di prosesnya sendiri.
Jadi kapan terakhir rekan-rekan cek risk register?
#ISO27001 #ISMS #RiskManagement #RiskSelfAssessment #GRC #ITGovernance #AuditTI #ManajemenRisiko #TransformasiDigital