POLITEKNIK MELAKA SISTEM PENGURUSAN KUALITI ISO 9001:201 PENGURUSAN RISIKO DAN PELUANG UNIT TEKNOLOGI MAKLUMAT TARIKH: 8 SEPTEMBER 2017
1 PENGURUSAN RISIKO DAN PELUANG KANDUNGAN PROSES PENGURUSAN RISIKO DAN PELUANG XXXXXXXXX... 2 1. LANGKAH 1 - KOMUNIKASI DAN KONSULTANSI... 3 2. LANGKAH 2 - PENGWUJUDAN KONTEKS... 4 3. LANGKAH 3 KENALPASTI RISIKO DAN PELUANG... 4. LANGKAH 4 - ANALISIS RISIKO... 6 4.1.1 Analisis BOW-TIE: R-UTM-01... 6. LANGKAH -PENILAIAN RISIKO DAN PELUANG... 8.1.1 Penilaian Kebarangkalian Dan Impak Risiko... 8.1.2 Penilaian Kebarangkalian Dan Impak Peluang... 8.1.3 Heat Matrix Risiko dan Peluang... 9 6. LANGKAH 6- TINDAK BALAS RISIKO DAN PELUANG... 10 6.1.1 Pelan Tindak Balas Risiko Dan Peluang... 10 6.1.2 Strategi Dan Rawatan Risiko (Treatment Plan)... 10 6.1.3 Strategi Rebut Peluang... 10 7. LANGKAH 7- PEMANTAUAN DAN KAJIAN SEMULA... 12 7.1.1 Pemantauan dan Usulan... 12 8. DATA KOMULATIF PENILAIAN KEBERKESANAN TINDAKAN... 13 9. LAMPIRAN... 14 9.1 Definisi... 14 9.2 Lampiran 1: Kod Daftar... 14 9.3 Lampiran 2: Darjah Kualitatif Kebarangkalian dan Impak... 1 9.4 Lampiran 3: Pelan Tindakbalas Risiko... 1 1
2 PENGURUSAN RISIKO DAN PELUANG PROSES PENGURUSAN RISIKO DAN PELUANG XXXXXXXXX PENGWUJUDAN KONTEKS (ESTABLISHMENT OF CONTEXT) Konteks Strategik Konteks Proses Konteks Keselamatan dan Pekerjaan Konteks Pelanggan Konteks projek Penentuan Kriteria Pengaruh Dalaman dan Luaran Penilaian Risiko & Peluang KOMUNIKASI DAN KONSULTANSI (COMMUNICATIOAN AND CONSULTATION) KENALPASTI RISIKO & PELUANG (RISK IDENTIFICATION) Apa yang boleh berlaku? Bagaimana boleh berlaku? Imput dari Data-data sejarah dll ANALISIS RISIKO & PELUANG (RISK ANALYSIS) Menentukan kawalan sediaada Menentukan kebarangkalian dan punca Menentukan kesan dan akibat Menentukan tahap risiko PEMANTAUAN DAN KAJIAN SEMULA (MONITORING AND REVIEW) PENILAIAN RISIKO & PELUANG (RISK EVALUATION) Membandingkan kriteria Kebarangkalian & Impak Magnitud risiko & peluang Keutamaan PELAN RAWATAN &TINDAKBALAS (RISK TREATMENT) Mengenalpasti & menilai pilihan rawatan Mengenalpasti dan melaksanakan rawatan Pelan Tindakan ADAPTASI: MS ISO 31000:2010 2
3 PENGURUSAN RISIKO DAN PELUANG 1. LANGKAH 1 - KOMUNIKASI DAN KONSULTANSI Nyatakan pihak-pihak yang terlibat dalam penyediaan dan penyebaran maklumat serta penglibatan langsung atau tidak dalam pengurusan risiko dan peluang ORGANISASI PELANGGAN UTAMA JAB/BHG/UNIT STAF DAN PELAJAR PMK PIHAK BERKEPENTINGAN (LUAR ORGANISASI) HUBUNGAN 1. Kementerian Pendidikan Tinggi Mendapatkan peruntukan tahunan Kelulusan perolehan 2. Jabatan Pendidikan Politeknik Mendapatkan peruntukan tahunan Kelulusan perolehan 3. Syarikat Pembekal Perolehan bekalan/peralatan ICT Kerja-kerja penyenggaraan PIHAK BERKEPENTINGAN (DALAM ORGANISASI) 1. Pengarah Meluluskan pelaksanaan & peruntukan projek 2. Timbalan Pengarah (Sokongan Akademik) Khidmat nasihat pengurusan ICT 3. Ketua Jabatan/Ketua Unit Mendapatkan khidmat sokongan teknikal ICT PIHAK BERKEPENTINGAN (DALAM JABATAN/BAHAGIAN/UNIT) 1. Pegawai Teknologi Maklumat 1 orang 2. Penolong Pegawai Teknologi Maklumat 3 orang 3. Juruteknik Komputer 1 orang 4. Pembantu Operasi 1 orang 3
4 PENGURUSAN RISIKO DAN PELUANG 2. LANGKAH 2 - PENGWUJUDAN KONTEKS PEMILIK RISIKO DAN PELUANG UNIT TEKNOLOGI MAKLUMAT KOD DAFTAR FUNGSI/KEY ACTIVITIES OBJEKTIF 1. Memberi khidmat nasihat kepada pihak pengurusan dalam pengurusan dan perolehan ICT 1. Memastikan ketersediaan prasarana dan perkhidmatan ICT untuk kegunaan staf dan pelajar. 2. Mengurus dan melaksanakan penyelenggaraan pembaikan dan pencegahan peralatan ICT. 3. Merancang, membangun & menyelenggara data dan system aplikasi intranet dan internet. 4. Menyelenggara dan memantau pengoperasian dan keselamatan system rangkaian. RUJUKAN LUARAN PROSES KERJA & RUJUKAN DALAMAN 1. Dasar Keselamatan ICT JPP dan Politeknik 2. Arahan Keselamatan 1. PMK-PK-PS-14 Penyelenggaraan Sistem Maklumat 2. SOP Keselamatan Umum Pejabat DATA SEJARAH YANG BERKAITAN DENGAN BAHAGIAN SEJARAH POSITIF (PENCAPAIAN PELUANG) SEJARAH NEGATIF (RISIKO YANG JADI KEMALANGAN) 1. Penaiktarafan talian MYREN kepada 100Mbps 2. Pusat Data berjaya dinaiktaraf pada 3. Laman Portal mencapai pengiktirafan bintang 1. Pusat Data mengalami insiden bekalan elektrik terputus dan kebocoran bumbung pada 2. Laman portal diceroboh 3. Komputer pengguna dijangkiti Ransomware IMPAK DAN PENGARUH ISU DALAMAN DAN LUARAN TERHADAP PENCAPAIAN OBJEKTIF 4 3 2 1 7S Mc Kinsey PESTEL 1 2 3 4 Strategy Political Structure Economic Systems Social Shared Values Technology Style (leadership) Environment Staff Legal Skills & Competency - 1 Sangat Rendah 2 Rendah 3 Sederhana 4 Besar Sangat besar UTM 4
PENGURUSAN RISIKO DAN PELUANG 3. LANGKAH 3 KENALPASTI RISIKO DAN PELUANG Nota: Tentukan kod untuk tujuan daftar risiko dan peluang. Rujuk contoh lampiran 1 OBJEKTIF # 01 KOD R-UTM-01 KOD P-UTM-01 P-UTM-02 Kegagalan infrastruktur ICT Penambahbaikan infrastruktur ICT Peningkatan kompetensi staf RISIKO PELUANG
6 PENGURUSAN RISIKO DAN PELUANG 4. LANGKAH 4 - ANALISIS RISIKO 4.1.1 Analisis BOW-TIE: R-UTM-01 OBJEKTIF Memastikan ketersediaan prasarana dan perkhidmatan ICT untuk kegunaan staf dan pelajar. 2 PUNCA BOW TIE ANALYSIS Rujuk 7S Mc Kinsey & PESTEL untuk mengenalpasti faktor punca dan impak 3 TINDAKAN PENCEGAHAN 1 PERISTIWA RISIKO TINDAKAN MITIGASI 4 IMPAK Ancaman/Serangan luar ke atas sistem rangkaian & aplikasi Ancaman Virus dan Malware Mengukuhkan keselamatan rangkaian & aplikasi Harga peralatan ICT di pasaran mahal Memasang antivirus terkini Kos persijilan ICT terlalu mahal Khidmat syarikat tidak efisien Kebakaran/Banjir Kekangan peruntukan Kegagalan pengoperasian/konfigurasi peralatan Perkakasan yang usang dan tidak upto-date Gangguan bekalan elektrik di Pusat Data Kegagalan fungsi peralatan sokongan Pengguna tidak mematuhi DKICT Kecurian/Sabotaj Peralatan ICT Memohon peruntukan yang mencukupi Membuat tapisan syarikat Pelupusan & perolehan peralatan ICT PM dan CM Peralatan, Rangkaian & Aplikasi Menyediakan sistem & peralatan sokongan yang berkualiti Memberi pendedahan kesedaran ICT kepada pengguna Fire Detection /Supresion System CCTV dan Buku Log Pusat Data Kegagalan infrastruktur ICT Kontrak penyelenggaraan peralatan & rangkaian ICT Recovery Disaster Plan Warranty Peralatan ICT Pelupusan Peralatan ICT Backup Aplikasi & Data Berjadual Offsite Backup Data terdedah kepada pihak tidak bertanggungjawab Staf ICT kurang berkemahiran PnP Terganggu Sistem Penyampian Maklumat Terganggu Kemusnahan peralatan, kerugian & trauma Reputasi Merosot FAKTOR LUARAN FAKTOR DALAMAN 6
7 PENGURUSAN RISIKO DAN PELUANG 4.1.2 Analisis Tindakan Pencegahan dan Mitigasi INDIKATOR KECEMERLANGAN TINDAKAN PENCEGAHAN DAN MITIGASI OBJEKTIF 1 Memastikan ketersediaan prasarana dan perkhidmatan ICT untuk kegunaan staf dan pelajar. R-UTM-01 Kegagalan Infrastruktur ICT NO TINDAKAN PENCEGAHAN 1 2 3 4 1. Mengukuhkan keselamatan rangkaian & aplikasi 4 2. Memasang antivirus terkini 3. Memohon peruntukan yang mencukupi 4 4. Membuat tapisan syarikat 4. Pelupusan & perolehan peralatan ICT 4 6. PM dan CM Peralatan, Rangkaian & Aplikasi 7. Menyediakan sistem & peralatan sokongan yang berkualiti 4 8. Memberi pendedahan kesedaran ICT kepada pengguna 3 9. Fire Detection / Supresion System 1 10. CCTV dan Buku Log Pusat Data 4 NILAI MIN 3.8 TINDAKAN MITIGASI 1. Kontrak penyelenggaraan peralatan & rangkaian ICT 1 2. Recovery Disaster Plan 1 3. Warranty Peralatan ICT 4 4. Pelupusan Peralatan ICT 4. Backup Aplikasi & Data Berjadual 4 6. Offsite Backup 1 NILAI MIN 2. 1 Gagal/tiada bukti 2 Kurang Memuaskan 3 Sederhana 4 Baik Nota: Penilaian logik berkadar songsang (rujuk langkah ) Jika nilai min rendah untuk tindakan pencegahan; maka nilai kebarangkalian adalah tinggi Jika nilai min rendah untuk tindakan mitigasi; maka nilai impak risiko adalah tinggi Cemerlang 7
8 PENGURUSAN RISIKO DAN PELUANG. LANGKAH -PENILAIAN RISIKO DAN PELUANG.1.1 Penilaian Kebarangkalian Dan Impak Risiko Nota: Rujuk Lampiran 2-Darjah kualitatif penilaian kebarangkalian dan impak DAFTAR RISIKO IDENTIFIKASI RISIKO PERISTIWA RISIKO (RISK EVENT) PENILAIAN RISIKO (-VE) MAGNITUD IMPAK (IMPACT) (paksi-x) 1 2 3 4 6 7 8 9 ANALISIS RISIKO KEBARANGKALIAN (LIKELIHOOD) (paksi-y) 10 1 2 3 4 6 7 8 9 10 R-UTM-01 Kegagalan infrastruktur ICT 32 8 4.1.2 Penilaian Kebarangkalian Dan Impak Peluang PENILAIAN PELUANG (+VE) DAFTAR PELUANG IDENTIFIKASI PELUANG PERISTIWA (OPPORTUNITY) MAGNITUD IMPAK (IMPACT) (paksi-x) 1 2 3 4 6 7 8 9 ANALISIS PELUANG KEBARANGKALIAN (LIKELIHOOD) (paksi-y) 10 1 2 3 4 6 7 8 9 10 P-UTM-01 Penambahbaikan infrastruktur ICT 32 8 4 P-UTM-02 Peningkatan kompetensi staf 2 8
9 PENGURUSAN RISIKO DAN PELUANG.1.3 Heat Matrix Risiko dan Peluang RISIKO PELUANG K E B A R A N G K A L I A N 10 10 9 9 8 8 7 7 6 UTM-P02 6 UTM-R01 UTM-P01 (,) (8,4) (8,4) 4 4 3 3 2 2 1 2 3 4 6 7 8 9 10 10 9 8 7 6 4 3 2 1 K E B A R A N G K A L I A N IMPAK IMPAK ZON MERAH: HIGH ZON KUNING: MEDIUM ZON HIJAU: LOW KOD R/P PENYATAAN RISIKO / PELUANG MAGNITUD ZON UTM-01 R Kegagalan infrastruktur ICT (8,4) = 32 MEDIUM UTM-01 P Penambahbaikan infrastruktur ICT (8,4) = 32 MEDIUM UTM-02 P Peningkatan kompetensi staf (,) = 2 MEDIUM 9
10 PENGURUSAN RISIKO DAN PELUANG 6. LANGKAH 6- TINDAK BALAS RISIKO DAN PELUANG Nota: Rujuk Lampiran Pelan Tindakbalas risiko 6.1.1 Pelan Tindak Balas Risiko Dan Peluang TINDAKBALAS KOD PERISTIWA RISIKO DAN PELUANG ACCEPT AVOID TRANSFER MITIGATE EXPLOIT SHARE ENHANCE IGNORE RISIKO R-UTM-O1 Kegagalan infrastruktur ICT / / / PELUANG P-UTM-01 Penambahbaikan infrastruktur ICT / / P-UTM-02 Peningkatan kompetensi staf / / 6.1.2 Strategi Dan Rawatan Risiko (Treatment Plan) Nota: Input kepada Perancangn Strategik (Input : SWOT & TOWS) R-UTM-O1 PENYATAAN RISIKO STRATEGI & RAWATAN RISIKO 1. Memohon peruntukan bagi naiktaraf peralatan ICT dan sistem rangkaian TANGGUNGJAWAB KUTM 2. Membuat penilaian prestasi syarikat secara berterusan PEG PEROLEHAN UTM 3. Melaksanakan CM dan PM secara berjadual dan mengikut keperluan PPTM/JK 4. Menyediakan Peralatan & Sistem Sokongan Pusat Data KUPS. Memastikan Peruntukan mencukupi KUTM 6. Kesedaran pengguna terhadap ICT KUTM 7. Meningkatkan kompetensi staf melalui Latihan/ Kursus ICT KUTM 6.1.3 Strategi Rebut Peluang P-BKP-O1-01 PENYATAAN PELUANG STRATEGI REBUT PELUANG P-UTM-01 Penambahbaikan infrastruktur ICT TANGGUNGJAWAB 1. Memohon peruntukan ABM/RMK di peringkat jabatan dan kementerian KUTM 2. Membuat perolehan dan kerja-kerja naiktaraf merangkumi aspek peralatan, perisian, rangkaian dan teknikal KUTM 3. Mendapatkan khidmat nasihat dan sokongan teknikal daripada UPS KUTM/KUPS 4. Mendapatkan kidmat nasihat dan sokongan daripada agensi luar seperti MAMPU KUTM 10
11 PENGURUSAN RISIKO DAN PELUANG P-UTM-02 Peningkatan kompetensi staf 1. Memohon peruntukan untuk staf menghadiri latihan/kursus professional 2. Memohon latihan/kursus yang dianjurkan oleh pihak JPP/KPT/Agensi Luar KUTM UTM 3. Menggalakkan staf mengikuti kursus sijil professional KUTM 11
12 PENGURUSAN RISIKO DAN PELUANG 7. LANGKAH 7- PEMANTAUAN DAN KAJIAN SEMULA Nota: Pemantauan dan kajian semula dijalankan untuk suatu tempoh yang ditetapkan oleh organisasi seperti setiap 3-6 bulan 7.1.1 Pemantauan dan Usulan BIL STRATEGI YANG DIRANCANG TIDAK DIAMBIL TINDAKAN 1. 2. 3. 4. Usul Penambahbaikan: SEDANG DIAMBIL TINDAKAN TELAH DIAMBIL TINDAKAN Pegawai yang memantau Nama: Tarikh 12
13 PENGURUSAN RISIKO DAN PELUANG 8. DATA KOMULATIF PENILAIAN KEBERKESANAN TINDAKAN Nota: dijalankan untuk tempoh yang ditetapkan oleh organisasi. Tindakan Pencegahan perlu dijalankan dan penilaiaan semula dijalankan. Magnitud risiko dan peluang perlu bandingkan untuk melihat keberkesanan Ulang proses dan buat perbandingan data. MAGNITUD 80 70 60 0 40 30 20 10 0 PENILAIAN KEBERKESANAN TINDAKBALAS RAWATAN RISIKO MENURUN MENINGKAT KOD-R01 KOD-R02 KOD-R03 KOD-R04 Sep-16 36 49 9 Mac 2017 2 64 16 4 Jun-18 20 4 68 36 MAGNITUD 0 4 40 3 30 2 20 1 10 0 PENILAIAN KEBERKESANAN TINDAKBALAS TERHADAP PELUANG MENINGKAT MENINGKAT MENURUN KOD-R01 KOD-R02 KOD-R03 Jun-16 9 20 4 Jun-17 16 40 16 Jun-18 0 0 0 13
The image part with relationship ID rid23 was not found in the file. 14 PENGURUSAN RISIKO DAN PELUANG 9. LAMPIRAN 9.1 Definisi RISIKO (-ve) PELUANG(+ve) RISIKO Kemungkinan Berlakunya Perkara Luar Jangka Pada Masa Akan Datang Yang Disebabkan Faktor Tertentu (Malapetaka, Bahaya Dll) Yang Boleh Menyebabkan Kerugin (Loss)/Kejutan (Surprise)/Kegagalan Fungsi PERISTIWA YANG BOLEH MENYEBABKAN KEGAGALAN MENCAPAI OBJEKTIF ORGANISASI PELUANG Kesempatan Yang Baik Organisasi Mengenalpasti Peluang-peluang Dan Berusaha Mengambil Peluang Secara Terancang PERISTIWA YANG BOLEH MENCETUS DAN MENYEBABKAN KEGEMILANGAN ORGANISASI PENGURUSAN RISIKO DAN PELUANG Menguruskan Risiko dan Peluang Secara Terancang Untuk Mengelakkan Kerugian, Kebuntuan Tindakan, Kos Luar Jangka, Kecelakaan/Kerugian Terok Akibat Kesalahan Megambil Tindakan dan terlepas mengambil peluang kerana tidak menyedari kewujudan peluang WITHOUT RISK, THERE IS NO OPPORTUNITY 9.2 Lampiran 1: Kod Daftar KOD R P Risiko Peluang RUJUKAN (Contoh) 14
1 PENGURUSAN RISIKO DAN PELUANG 9.3 Lampiran 2: Darjah Kualitatif Kebarangkalian dan Impak DARJAH KUALITATIF KEBARANGKALIAN DAN IMPAK RISIKO KEBARANGKALIAN IMPAK DARJAH PENERANGAN DARJAH PENERANGAN 1-2 Jarang (rare) Potensi berlaku sangat rendah 1-2 Tiada kesan (insignificant) Tiada kecederaan, kerugian yang rendah 3-4 Kurang kemungkinan (unlikely) 3-4 Kecil (minor) Mungkin berlaku pada sesuatu masa -6 Boleh jadi (moderate) Boleh berlaku pada sesuatu masa 7-8 Ada kemungkinan (likely) Ada kemungkinan berlaku dalam keadaan tertentu 9-10 Hampir pasti (almost certain) Berkemungkinan besar berlaku dalam semua keadaan Bantuan segera, kerugian sederhana -6 Sederhana (moderate) Perlu bantuan perubatan, kerugian yang besar 7-8 Besar (major) Kecederaan serius, kerugian melampai, kegagalan fungsi 9-10 Bencana (catastropic) Kematian, kesan berbahaya, kerugian yang terok LIHAT PELUANG DARI KONTEKS YANG POSITIF DENGAN SKALA 1-10 9.4 Lampiran 3: Pelan Tindakbalas Risiko 1