residual risk

Apa itu residual risk dan kenapa penting?

Residual risk atau risiko residual adalah risiko yang masih tersisa setelah organisasi berusaha mengidentifikasi dan menghilangkan sebagian atau semua jenis risiko yang ada.

Kenapa residual risk ini penting? Pertama, karena ini adalah risiko “sisa” yang tetap ada meskipun kontrol keamanan dan perbaikan proses sudah diterapkan. Artinya, residual risk adalah risiko yang kadang memang harus diterima perusahaan berdasarkan pilihan strategi mitigasi risiko yang mereka ambil. Alternatifnya, risiko ini bisa “dipindahkan” ke pihak lain, misalnya dengan membeli asuransi untuk mengalihkan tanggung jawab ke perusahaan asuransi.

Alasan lain residual risk perlu diperhatikan adalah faktor kepatuhan dan regulasi — contohnya, standar ISO 27001 memang mewajibkan perhitungan risiko ini. Terakhir, menghitung residual risk membantu menentukan jenis kontrol keamanan atau proses yang perlu diprioritaskan dari waktu ke waktu.

Residual risk vs. inherent risk

Untuk bisa menghitung residual risk, organisasi perlu paham perbedaan antara inherent risk dan residual risk.

  • Inherent risk adalah risiko yang ada secara alami dalam suatu situasi, sebelum ada usaha mitigasi sama sekali dan sebelum ada kontrol atau langkah pencegahan untuk menurunkannya ke tingkat yang lebih bisa diterima.
  • Residual risk adalah risiko yang masih tersisa setelah dilakukan berbagai usaha untuk mengurangi inherent risk tersebut.

Bagaimana cara menghitung residual risk?

Secara sederhana, rumus klasik residual risk bisa digambarkan seperti ini:

Residual risk = inherent risk – dampak kontrol risiko

Contohnya, ada analisis risiko terhadap potensi serangan ransomware di salah satu divisi bisnis. Hasil analisis menunjukkan bahwa dalam skenario terburuk, inherent risk (risiko awal tanpa perlindungan apapun) bisa mencapai $5 juta.

Setelah menerapkan kontrol seperti deteksi & pencegahan malware, plus strategi backup dan redundancy, perusahaan memperkirakan pemulihan dari serangan bisa dilakukan tanpa membayar tebusan. Total biaya penerapan solusi dan kontrol ini adalah $3 juta.

Maka perhitungannya menjadi:

Residual risk = $5 juta (inherent risk) – $3 juta (dampak kontrol risiko)

Hasilnya, risiko sisa yang harus ditanggung sekitar $2 juta.

Kalau pakai metode risk assessment kualitatif, misalnya inherent risk dari implementasi software baru adalah 8 dari 10. Setelah menambah firewall dan kontrol berbasis host, skornya turun menjadi 3 dari 10. Nah, angka 3 ini adalah residual risk-nya.

Bagaimana cara mengelola residual risk?

Mengelola residual risk intinya soal seberapa besar perusahaan mau menerima risiko yang ada dalam kondisi tertentu. Untuk risiko sisa yang ada, organisasi bisa:

  • Diam saja. Kalau residual risk sudah di bawah batas risiko yang bisa diterima, perusahaan bisa memutuskan untuk menerimanya dan menganggap kontrol yang ada sudah cukup efektif.
  • Perbarui atau tambah kontrol yang ada. Kalau residual risk masih terlalu tinggi, perlu ada kontrol atau proses tambahan supaya risiko turun ke level yang aman.
  • Evaluasi biaya vs. manfaat kontrol. Kalau risiko masih tinggi tapi biaya kontrol tambahan terlalu besar, kadang perusahaan terpaksa menerima risiko itu apa adanya.

Secara umum, langkah mengelola residual risk meliputi:

  1. Identifikasi persyaratan GRC (governance, risk, compliance) yang relevan.
  2. Tentukan kekuatan dan kelemahan kerangka kontrol perusahaan.
  3. Kenali risiko yang sudah ada.
  4. Tentukan risk appetite perusahaan.
  5. Cari opsi untuk mengimbangi residual risk yang tidak bisa diterima.
Tagged:

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *