politeknik melaka - polimelaka.edu.my · r-utm-o1 penyataan risiko strategi & rawatan risiko...
TRANSCRIPT
POLITEKNIK MELAKASISTEM PENGURUSAN KUALITI ISO 9001:2015
PENGURUSAN RISIKO DAN PELUANG
UNIT TEKNOLOGI MAKLUMAT
JUN 2018 – JUN 2019
1 PENGURUSAN RISIKO DAN PELUANG
1
KANDUNGAN
PROSES PENGURUSAN RISIKO DAN PELUANG XXXXXXXXX........................................ 2
1. LANGKAH 1 - KOMUNIKASI DAN KONSULTANSI ....................................................... 3
2. LANGKAH 2 - PENGWUJUDAN KONTEKS .................................................................. 4
3. LANGKAH 3 – KENALPASTI RISIKO DAN PELUANG .................................................. 5
4. LANGKAH 4 - ANALISIS RISIKO................................................................................... 6
4.1.1 Analisis BOW-TIE: R-UTM-01................................................................................. 6
5. LANGKAH 5-PENILAIAN RISIKO DAN PELUANG ........................................................ 8
5.1.1 Penilaian Kebarangkalian Dan Impak Risiko........................................................... 8
5.1.2 Penilaian Kebarangkalian Dan Impak Peluang ...................................................... 8
5.1.3 Heat Matrix Risiko dan Peluang .............................................................................. 9
6. LANGKAH 6- TINDAK BALAS RISIKO DAN PELUANG .............................................. 10
6.1.1 Pelan Tindak Balas Risiko Dan Peluang ............................................................... 10
6.1.2 Strategi Dan Rawatan Risiko (Treatment Plan) ..................................................... 10
6.1.3 Strategi Rebut Peluang......................................................................................... 10
7. LANGKAH 7- PEMANTAUAN DAN KAJIAN SEMULA................................................. 12
7.1.1 Pemantauan dan Usulan....................................................................................... 12
8. DATA KOMULATIF PENILAIAN KEBERKESANAN TINDAKAN .................................. 13
9. LAMPIRAN................................................................................................................... 14
9.1 Definisi ......................................................................................................................... 14
9.2 Lampiran 1: Kod Daftar ............................................................................................... 14
9.3 Lampiran 2: Darjah Kualitatif Kebarangkalian dan Impak ............................................. 15
9.4 Lampiran 3: Pelan Tindakbalas Risiko ......................................................................... 15
2 PENGURUSAN RISIKO DAN PELUANG
2
PROSES PENGURUSAN RISIKO DAN PELUANG XXXXXXXXX
PENILAIAN RISIKO & PELUANG(RISK EVALUATION)
Membandingkan kriteriaKebarangkalian & Impak
Magnitud risiko & peluangKeutamaan
PELAN RAWATAN &TINDAKBALAS(RISK TREATMENT)
Mengenalpasti & menilai pilihan rawatanMengenalpasti dan melaksanakan rawatan
Pelan Tindakan
ADAPTASI: MS ISO 31000:2010
Menentukan tahap risiko
Menentukankesan dan
akibat
Menentukankebarangkalian
dan punca
ANALISIS RISIKO & PELUANG(RISK ANALYSIS)
Menentukan kawalan sediaada
PENGWUJUDAN KONTEKS(ESTABLISHMENT OF CONTEXT)
Konteks StrategikKonteks Proses
Konteks Keselamatan dan PekerjaanKonteks Pelanggan
Konteks projekPenentuan Kriteria
Pengaruh Dalaman dan Luaran
Penilaian Risiko & Peluang
KENALPASTI RISIKO & PELUANG(RISK IDENTIFICATION)Apa yang boleh berlaku?
Bagaimana boleh berlaku?Imput dari Data-data sejarah dll
PE
MA
NT
AU
AN
DA
NK
AJIA
NS
EM
UL
A(M
ON
ITO
RIN
GA
ND
RE
VIE
W)
KO
MU
NIK
AS
ID
AN
KO
NS
UL
TA
NS
I(C
OM
MU
NIC
AT
IOA
NA
ND
CO
NS
UL
TA
TIO
N)
3 PENGURUSAN RISIKO DAN PELUANG
3
1. LANGKAH 1 - KOMUNIKASI DAN KONSULTANSINyatakan pihak-pihak yang terlibat dalam penyediaan dan penyebaran maklumat serta
penglibatan langsung atau tidak dalam pengurusan risiko dan peluang
PELANGGAN UTAMA JAB/BHG/UNIT
STAF DAN PELAJAR PMKPIHAK BERKEPENTINGAN (LUAR ORGANISASI)
ORGANISASI HUBUNGAN
1. Kementerian Pendidikan Malaysia Mendapatkan peruntukan tahunan Kelulusan perolehan
2. Jabatan Pendidikan Politeknik Mendapatkan peruntukan tahunan Kelulusan perolehan
3. Syarikat Pembekal Perolehan bekalan/peralatan ICT Kerja-kerja penyenggaraan
PIHAK BERKEPENTINGAN (DALAM ORGANISASI)
1. Pengarah Meluluskan pelaksanaan & peruntukan projek
2. Timbalan Pengarah (Sokongan Akademik) Khidmat nasihat pengurusan ICT
3. Ketua Jabatan/Ketua Unit Mendapatkan khidmat sokongan teknikal ICT
PIHAK BERKEPENTINGAN (DALAM JABATAN/BAHAGIAN/UNIT)
1. Pegawai Teknologi Maklumat 1 orang
2. Penolong Pegawai Teknologi Maklumat 3 orang
3. Juruteknik Komputer 1 orang
4. Pembantu Operasi 1 orang
4 PENGURUSAN RISIKO DAN PELUANG
4
2. LANGKAH 2 - PENGWUJUDAN KONTEKS
PEMILIK RISIKO DAN PELUANG KOD DAFTAR
UNIT TEKNOLOGI MAKLUMAT UTM
FUNGSI/KEY ACTIVITIES OBJEKTIF
1. Memberi khidmat nasihat kepada pihakpengurusan dalam pengurusan dan perolehanICT
2. Mengurus dan melaksanakanpenyelenggaraan pembaikan dan pencegahanperalatan ICT.
3. Merancang, membangun & menyelenggaradata dan system aplikasi intranet dan internet.
4. Menyelenggara dan memantau pengoperasiandan keselamatan system rangkaian.
1. Memastikan ketersediaan prasarana danperkhidmatan ICT untuk kegunaan staf danpelajar.
RUJUKAN LUARAN PROSES KERJA & RUJUKAN DALAMAN
1. Dasar Keselamatan ICT JPP dan Politeknik2. Arahan Keselamatan
1. PMK-PK-PS-14 Penyelenggaraan SistemMaklumat
2. SOP Keselamatan Umum Pejabat
DATA SEJARAH YANG BERKAITAN DENGAN BAHAGIAN
SEJARAH POSITIF (PENCAPAIAN PELUANG) SEJARAH NEGATIF (RISIKO YANG JADI KEMALANGAN)
1. 1. Peralatan rangkaian firewall menghadapimasalah teknikal
IMPAK DAN PENGARUH ISU DALAMAN DAN LUARAN TERHADAP PENCAPAIAN OBJEKTIF
5 4 3 2 1 7S Mc Kinsey PESTEL 1 2 3 4 5
Strategy Political
Structure Economic
Systems Social
Shared Values Technology
Style (leadership) Environment
Staff Legal
Skills & Competency -
1Sangat Rendah
2Rendah
3Sederhana
4Besar
5Sangat besar
5 PENGURUSAN RISIKO DAN PELUANG
5
3. LANGKAH 3 – KENALPASTI RISIKO DAN PELUANGNota: Tentukan kod untuk tujuan ‘daftar risiko dan peluang’. Rujuk contoh lampiran 1
OBJEKTIF # 01
KOD RISIKO
R-UTM-01 Kegagalan infrastruktur ICT
KOD PELUANG
P-UTM-01 Penambahbaikan infrastruktur ICT
P-UTM-02 Peningkatan kompetensi staf
6 PENGURUSAN RISIKO DAN PELUANG
6
4. LANGKAH 4 - ANALISIS RISIKO
Analisis BOW-TIE: R-UTM-01
OBJEKTIF
Memastikan ketersediaan prasarana dan perkhidmatan ICT untuk kegunaan staf dan pelajar.
BOW TIE ANALYSIS
Rujuk 7S Mc Kinsey & PESTEL untuk mengenalpasti faktor punca dan impak
2PUNCA
3TINDAKAN PENCEGAHAN
1PERISTIWA RISIKO
5TINDAKAN MITIGASI
4IMPAK
Ancaman/Seranganluar ke atas sistemrangkaian & aplikasi
Ancaman Virus danMalware
Mengukuhkankeselamatan
rangkaian & aplikasi
Harga peralatan ICTdi pasaran mahal
Memasang antivirusterkini
Kos persijilan ICTterlalu mahal
Khidmat syarikattidak efisien
Kebakaran/Banjir
Kekanganperuntukan
Kegagalanpengoperasian/kon-
figurasi peralatan
Perkakasan yangusang dan tidak up-
to-date
Memohonperuntukan yang
mencukupi
Membuat tapisansyarikat
Pelupusan &perolehan
peralatan ICT
PM dan CMPeralatan,
Rangkaian &Aplikasi
Menyediakansistem & peralatan
sokongan yangberkualiti
Kegagalaninfrastruktur
ICT
Kontrakpenyelenggaraan
peralatan &rangkaian ICT
Recovery DisasterPlan
Warranty PeralatanICT
PelupusanPeralatan ICT
Backup Aplikasi &Data Berjadual
Offsite Backup
Data terdedahkepada pihak tidakbertanggungjawab
Staf ICT kurangberkemahiran
PnP Terganggu
Sistem PenyampianMaklumatTerganggu
Kemusnahanperalatan, kerugian
& trauma
Reputasi MerosotGangguan bekalan
elektrik di PusatData
Kegagalan fungsiperalatan sokongan
Memberipendedahan
kesedaran ICTkepada pengguna
Pengguna tidakmematuhi DKICT
Fire Detection/Supresion System
Kecurian/SabotajPeralatan ICT
CCTV dan Buku LogPusat Data
FAKTOR LUARAN FAKTOR DALAMAN
7 PENGURUSAN RISIKO DAN PELUANG
7
4.1.1 Analisis Tindakan Pencegahan dan Mitigasi
INDIKATOR KECEMERLANGAN TINDAKAN PENCEGAHAN DAN MITIGASI
OBJEKTIF 1Memastikan ketersediaan prasarana dan perkhidmatan ICT untuk kegunaan staf dan pelajar.
R-UTM-01Kegagalan Infrastruktur ICT
NO TINDAKAN PENCEGAHAN 1 2 3 4 5
1. Mengukuhkan keselamatan rangkaian & aplikasi 4
2. Memasang antivirus terkini 4
3. Memohon peruntukan yang mencukupi 4
4. Membuat tapisan syarikat 4
5. Pelupusan & perolehan peralatan ICT 4
6. PM dan CM Peralatan, Rangkaian & Aplikasi 5
7. Menyediakan sistem & peralatan sokongan yang berkualiti 4
8. Memberi pendedahan kesedaran ICT kepada pengguna 3
9. Fire Detection / Supresion System 1
10. CCTV dan Buku Log Pusat Data 4
NILAI MIN 3.7
TINDAKAN MITIGASI
1. Kontrak penyelenggaraan peralatan & rangkaian ICT 1
2. Recovery Disaster Plan 1
3. Warranty Peralatan ICT 4
4. Pelupusan Peralatan ICT 4
5. Backup Aplikasi & Data Berjadual 5
6. Offsite Backup 1
NILAI MIN 2.71
Gagal/tiada bukti2
Kurang Memuaskan3
Sederhana4
Baik5
Cemerlang
Nota: Penilaian logik berkadar songsang (rujuk langkah 5)
Jika nilai min rendah untuk tindakan pencegahan; maka nilai kebarangkalian adalah tinggi Jika nilai min rendah untuk tindakan mitigasi; maka nilai impak risiko adalah tinggi
8 PENGURUSAN RISIKO DAN PELUANG
8
5. LANGKAH 5-PENILAIAN RISIKO DAN PELUANG5.1.1 Penilaian Kebarangkalian Dan Impak Risiko
Nota: Rujuk Lampiran 2-Darjah kualitatif penilaian kebarangkalian dan impak
PENILAIAN RISIKO (-VE)
IDENTIFIKASI RISIKO ANALISIS RISIKO
DAFTAR
RISIKO
PERISTIWA RISIKO
(RISK EVENT)
MA
GN
ITU
D
IMPAK(IMPACT) (paksi-X)
KEBARANGKALIAN(LIKELIHOOD) (paksi-Y)
1 2 3 4 5 6 7 8 9 10 1 2 3 4 5 6 7 8 9 10
R-UTM-01 Kegagalan infrastruktur ICT24
*8
*3
5.1.2 Penilaian Kebarangkalian Dan Impak Peluang
PENILAIAN PELUANG (+VE)
IDENTIFIKASI PELUANG ANALISIS PELUANG
DAFTAR
PELUANG
PERISTIWA
(OPPORTUNITY)
MA
GN
ITU
D
IMPAK(IMPACT) (paksi-X)
KEBARANGKALIAN(LIKELIHOOD) (paksi-Y)
1 2 3 4 5 6 7 8 9 10 1 2 3 4 5 6 7 8 9 10
P-UTM-01 Penambahbaikan infrastruktur
ICT 36*9
*4
P-UTM-02 Peningkatan kompetensi staf25
*5
*5
*Penilaian Selepas Rawatan
9 PENGURUSAN RISIKO DAN PELUANG
9
5.1.3 Heat Matrix Risiko dan Peluang
RISIKO (-ve) PELUANG (+ve)
K
E
B
A
R
A
N
G
K
A
L
I
A
N
10 10
K
E
B
A
R
A
N
G
K
A
L
I
A
N
9 9
8 8
7 7
6 6
5 5
4 4
3 3
2 2
1 2 3 4 5 6 7 8 9 10 10 9 8 7 6 5 4 3 2 1
IMPAK IMPAK
ZON MERAH: HIGHZON KUNING: MEDIUMZON HIJAU: LOW
KOD R/P PENYATAAN RISIKO / PELUANG MAGNITUD ZON MAGNITUDSELEPASRAWATAN
ZONSELEPASRAWATAN
UTM-01 R Kegagalan infrastruktur ICT (7,3) = 21 KUNING (8,3) = 24 KUNING
UTM-01 P Penambahbaikan infrastruktur ICT (9,5) = 45 KUNING (9,4) = 36 MERAH
UTM-02 P Peningkatan kompetensi staf (5,5) = 25 KUNING Strategi tindakan tidak dapatdilaksanakan atas kekangan
peruntukan jabatan
R-UTM-01(7,3)
P-UTM-01(9,4)
P-UTM-01(9,5)
P-UTM-02(5,5)
R-UTM-01(8,3)
10 PENGURUSAN RISIKO DAN PELUANG
10
6. LANGKAH 6- TINDAK BALAS RISIKO DAN PELUANGNota: Rujuk Lampiran – Pelan Tindakbalas risiko
6.1.1 Pelan Tindak Balas Risiko Dan Peluang
KODPERISTIWA
RISIKO DAN PELUANG
TINDAKBALAS
AC
CEP
T
AV
OID
TRA
NSF
ER
MIT
IGA
TE
EXP
LOIT
SHA
RE
ENH
AN
CE
IGN
OR
E
RISIKO
R-UTM-O1 Kegagalan infrastruktur ICT / / /
PELUANG
P-UTM-01 Penambahbaikan infrastruktur ICT / /
P-UTM-02 Peningkatan kompetensi staf / /
6.1.2 Strategi Dan Rawatan Risiko (Treatment Plan)Nota: Input kepada Perancangn Strategik (Input : SWOT & TOWS)
R-UTM-O1
PENYATAAN RISIKO
STRATEGI & RAWATAN RISIKO TANGGUNGJAWAB
1. Memohon peruntukan bagi naiktaraf peralatan ICT dan sistemrangkaian
KUTM
2. Membuat penilaian prestasi syarikat secara berterusan PEG PEROLEHAN UTM
3. Melaksanakan CM dan PM secara berjadual dan mengikut keperluan PPTM/JK
4. Menyediakan Peralatan & Sistem Sokongan Pusat Data KUPS
5. Memastikan Peruntukan mencukupi KUTM
6. Kesedaran pengguna terhadap ICT KUTM
7. Meningkatkan kompetensi staf melalui Latihan/ Kursus ICT KUTM
6.1.3 Strategi Rebut Peluang
PENYATAAN PELUANG
STRATEGI REBUT PELUANG TANGGUNGJAWAB
P-UTM-01 Penambahbaikan infrastruktur ICT
1. Memohon peruntukan ABM/RMK di peringkat jabatan dan kementerian KUTM
2. Membuat perolehan dan kerja-kerja naiktaraf merangkumi aspekperalatan, perisian, rangkaian dan teknikal
KUTM
3. Mendapatkan khidmat nasihat dan sokongan teknikal daripada UPS KUTM/KUPS
4. Mendapatkan kidmat nasihat dan sokongan daripada agensi luarseperti MAMPU
KUTM
11 PENGURUSAN RISIKO DAN PELUANG
11
P-UTM-02 Peningkatan kompetensi staf
1. Memohon peruntukan untuk staf menghadiri latihan/kursusprofessional
KUTM
2. Memohon latihan/kursus yang dianjurkan oleh pihakJPP/KPT/Agensi Luar
UTM
3. Menggalakkan staf mengikuti kursus sijil professional KUTM
12 PENGURUSAN RISIKO DAN PELUANG
12
7. LANGKAH 7- PEMANTAUAN DAN KAJIAN SEMULANota: Pemantauan dan kajian semula dijalankan untuk suatu tempoh yang
ditetapkan oleh organisasi seperti setiap 3-6 bulan
7.1.1 Pemantauan dan Usulan
BIL STRATEGI YANG DIRANCANG TIDAKDIAMBIL
TINDAKAN
SEDANGDIAMBILTINDAKAN
TELAHDIAMBIL
TINDAKAN
1. Memohon peruntukan bagi naiktaraf peralatan ICTdan sistem rangkaian
/
2. Membuat penilaian prestasi syarikat secaraberterusan
/
3. Melaksanakan CM dan PM secara berjadual danmengikut keperluan
/
4. Menyediakan Peralatan & Sistem Sokongan PusatData
/
5. Memastikan Peruntukan mencukupi /
6. Kesedaran pengguna terhadap ICT /
7. Meningkatkan kompetensi staf melalui Latihan/Kursus ICT
/
8. Memohon peruntukan ABM/RMK di peringkatjabatan dan kementerian
/
9. Membuat perolehan dan kerja-kerja naiktarafmerangkumi aspek peralatan, perisian, rangkaiandan teknikal
/
10. Mendapatkan khidmat nasihat dan sokonganteknikal daripada UPS
/
11. Mendapatkan kidmat nasihat dan sokongandaripada agensi luar seperti MAMPU
/
12. Memohon peruntukan untuk staf menghadirilatihan/kursus professional
/
13. Memohon latihan/kursus yang dianjurkan olehpihak JPP/KPT/Agensi Luar
/
14. Menggalakkan staf mengikuti kursus sijilprofessional
/
Usul Penambahbaikan:
Pegawai yang memantau
Nama:
Tarikh
13 PENGURUSAN RISIKO DAN PELUANG
13
8. DATA KOMULATIF PENILAIAN KEBERKESANAN TINDAKANNota: dijalankan untuk tempoh yang ditetapkan oleh organisasi. Tindakan Pencegahan perlu
dijalankan dan penilaiaan semula dijalankan. Magnitud risiko dan peluang perlu bandingkan
untuk melihat keberkesanan Ulang proses dan buat perbandingan data.
R-UTM-01
Mei2018 21
Mac2019 24
20
20
21
21
22
22
23
23
24
24
25
MA
GN
ITU
D
PENILAIAN KEBERKESANAN TINDAKBALASRAWATAN RISIKO
P-UTM-01 P-UTM-02
Mei2018 45 25
Mac 2019 36 25
0
5
10
15
20
25
30
35
40
45
50
MA
GN
ITU
D
PENILAIAN KEBERKESANAN TINDAKBALASRAWATAN PELUANG
MENAIK DARIMAGNITUD
(7,3) KEPADA(8,3)
MENURUN DARIMAGNITUD (9,5)
KEPADA (9,4)
TIADAPERUBAHAN
15 PENGURUSAN RISIKO DAN PELUANG
14
9. LAMPIRAN9.1 Definisi
RISIKO (-ve) PELUANG(+ve)
RISIKOKemungkinan Berlakunya Perkara Luar Jangka Pada Masa Akan Datang Yang DisebabkanFaktor Tertentu (Malapetaka, Bahaya Dll) Yang Boleh Menyebabkan Kerugin(Loss)/Kejutan
(Surprise)/Kegagalan FungsiPERISTIWA YANG BOLEH MENYEBABKAN KEGAGALAN MENCAPAI OBJEKTIF
ORGANISASI
PELUANGKesempatan Yang Baik
Organisasi Mengenalpasti Peluang-peluang Dan Berusaha Mengambil Peluang SecaraTerancang
PERISTIWA YANG BOLEH MENCETUS DAN MENYEBABKAN KEGEMILANGANORGANISASI
PENGURUSAN RISIKO DAN PELUANGMenguruskan Risiko dan Peluang Secara Terancang Untuk Mengelakkan Kerugian,
Kebuntuan Tindakan, Kos Luar Jangka, Kecelakaan/Kerugian Terok Akibat KesalahanMegambil Tindakan dan terlepas mengambil peluang kerana tidak menyedari
‘kewujudan peluang’
WITHOUT RISK, THERE IS NO OPPORTUNITY
9.2 Lampiran 1: Kod Daftar
KOD RUJUKAN (Contoh)
R Risiko
P Peluang
KUTM Ketua Unit Teknologi Maklumat
PPTM Penolong Pegawai Teknologi Maklumat
JK Juruteknik Komputer
KUPS Ketua Unit Pembangunan Senggaraan
UTM Unit Teknologi Maklumat
16 PENGURUSAN RISIKO DAN PELUANG
15
9.3 Lampiran 2: Darjah Kualitatif Kebarangkalian dan Impak
DARJAH KUALITATIF KEBARANGKALIAN DAN IMPAK RISIKO
KEBARANGKALIAN IMPAKDARJAH PENERANGAN DARJAH PENERANGAN
1-2
3-4
Jarang (rare)Potensi berlaku sangat rendah
Kurang kemungkinan (unlikely)
1-2
3-4
Tiada kesan (insignificant)Tiada kecederaan, kerugian yangrendahKecil (minor)
5-6Mungkin berlaku pada sesuatu masaBoleh jadi (moderate) 5-6
Bantuan segera, kerugian sederhanaSederhana (moderate)
7-8
Boleh berlaku pada sesuatu masa
Ada kemungkinan (likely) 7-8
Perlu bantuan perubatan, kerugianyang besarBesar (major)
9-10
Ada kemungkinan berlaku dalamkeadaan tertentuHampir pasti (almost certain) 9-10
Kecederaan serius, kerugianmelampai, kegagalan fungsiBencana (catastropic)
Berkemungkinan besar berlaku dalamsemua keadaan
Kematian, kesan berbahaya, kerugianyang terok
LIHAT PELUANG DARI KONTEKS YANG POSITIF DENGAN SKALA 1-10
9.4 Lampiran 3: Pelan Tindakbalas Risiko