.png)
Risk register itu bukan dokumen “selesai lalu disimpan”. Di lapangan, banyak risiko justru muncul setelah risk assessment dilakukan—saat proses berubah, sistem baru dipakai, atau target bisnis bergeser.
Secara praktik, ada beberapa momen wajib untuk review dan follow up risk register.
Pertama, review berkala. Idealnya dilakukan minimal tiap 6 bulan, atau triwulanan untuk area berisiko tinggi (IT, Finance, data sensitif). Ini memastikan mitigasi masih relevan dan benar-benar berjalan.
Kedua, review berbasis perubahan. Setiap ada perubahan signifikan—implementasi sistem baru, perubahan proses bisnis, restrukturisasi organisasi, kerja sama dengan pihak ketiga—risk register harus ikut diperbarui. Risiko lama bisa berubah level, dan risiko baru sering muncul diam-diam.
Ketiga, setelah insiden atau near-miss. Insiden keamanan, audit finding, atau kejadian yang “hampir terjadi” adalah alarm keras untuk membuka kembali risk register. Ini momen belajar paling mahal kalau dilewatkan.
Keempat, menjelang forum manajemen. Risk register seharusnya hidup di rapat manajemen, bukan hanya di meja auditor. Review sebelum Rapat Tinjauan Manajemen membantu manajemen melihat risiko sebagai bahan keputusan, bukan sekadar laporan.
Yang tak kalah penting: follow up. Review tanpa tindak lanjut hanya menghasilkan tabel yang rapi. Pastikan ada PIC, target waktu, dan status mitigasi yang jelas—diterima, dikurangi, ditunda, atau dialihkan.
🔍 Risk register yang sehat bukan yang paling lengkap, tapi yang paling sering dipakai.
#RiskRegister #RiskManagement #ISO27001 #ISO270012022 #ISMS #GRC #InformationSecurity #DigitalGovernance
.png&description=Kapan Jadwal Ideal Review \u0026 Follow Up Risk Register?){kind=link}