.png)
Ini pertanyaan yang sering muncul setelah audit atau insiden keamanan. Dokumen risk register sudah lengkap, tabelnya rapi, statusnya “closed”. Tapi di lapangan, masalah yang sama masih kejadian.
Biasanya bukan karena risk assessment-nya salah, tapi karena risk register berhenti jadi dokumen, bukan alat kerja.
Banyak risiko dinilai “low” atau “medium”, lalu ditinggal tanpa follow up serius. Padahal risiko kecil yang terjadi berulang justru pelan-pelan menggerus operasional, reputasi, dan kepercayaan. Di sisi lain, mitigasi sering dianggap selesai hanya karena kontrol sudah ditulis—bukan karena benar-benar diterapkan dan dipantau.
Masalah lain yang sering saya temui: tidak jelas siapa pemilik risikonya. Akhirnya semua mata tertuju ke IT, padahal risikonya lahir dari proses bisnis unit lain. Tanpa risk owner yang aktif, risk register hanya jadi arsip audit tahunan.
Dalam ISO/IEC 27001:2022, risk register seharusnya hidup. Ia direview berkala, diperbarui saat ada perubahan, dan dipakai sebagai bahan diskusi manajemen—bukan hanya saat auditor datang.
Risk register yang sehat bukan yang paling tebal, tapi yang membantu organisasi belajar dari insiden dan mencegah kejadian yang sama terulang.
🔍 Kalau risiko masih sering kejadian, mungkin bukan risikonya yang salah—tapi cara kita mengelolanya.
#RiskRegister #RiskManagement #ISO27001 #ISO270012022 #ISMS #InformationSecurity #GRC #CyberRisk
.png&description=Risk Register Sudah Ada, Tapi Kok Insiden Tetap Terjadi ?){kind=link}