politeknik melaka - polimelaka.edu.my · r-utm-o1 penyataan risiko strategi & rawatan risiko...

POLITEKNIK MELAKASISTEM PENGURUSAN KUALITI ISO 9001:2015

PENGURUSAN RISIKO DAN PELUANG

UNIT TEKNOLOGI MAKLUMAT

JUN 2018 – JUN 2019

1 PENGURUSAN RISIKO DAN PELUANG

1

KANDUNGAN

PROSES PENGURUSAN RISIKO DAN PELUANG XXXXXXXXX........................................ 2

1. LANGKAH 1 - KOMUNIKASI DAN KONSULTANSI ....................................................... 3

2. LANGKAH 2 - PENGWUJUDAN KONTEKS .................................................................. 4

3. LANGKAH 3 – KENALPASTI RISIKO DAN PELUANG .................................................. 5

4. LANGKAH 4 - ANALISIS RISIKO................................................................................... 6

4.1.1 Analisis BOW-TIE: R-UTM-01................................................................................. 6

5. LANGKAH 5-PENILAIAN RISIKO DAN PELUANG ........................................................ 8

5.1.1 Penilaian Kebarangkalian Dan Impak Risiko........................................................... 8

5.1.2 Penilaian Kebarangkalian Dan Impak Peluang ...................................................... 8

5.1.3 Heat Matrix Risiko dan Peluang .............................................................................. 9

6. LANGKAH 6- TINDAK BALAS RISIKO DAN PELUANG .............................................. 10

6.1.1 Pelan Tindak Balas Risiko Dan Peluang ............................................................... 10

6.1.2 Strategi Dan Rawatan Risiko (Treatment Plan) ..................................................... 10

6.1.3 Strategi Rebut Peluang......................................................................................... 10

7. LANGKAH 7- PEMANTAUAN DAN KAJIAN SEMULA................................................. 12

7.1.1 Pemantauan dan Usulan....................................................................................... 12

8. DATA KOMULATIF PENILAIAN KEBERKESANAN TINDAKAN .................................. 13

9. LAMPIRAN................................................................................................................... 14

9.1 Definisi ......................................................................................................................... 14

9.2 Lampiran 1: Kod Daftar ............................................................................................... 14

9.3 Lampiran 2: Darjah Kualitatif Kebarangkalian dan Impak ............................................. 15

9.4 Lampiran 3: Pelan Tindakbalas Risiko ......................................................................... 15


2

PROSES PENGURUSAN RISIKO DAN PELUANG XXXXXXXXX

PENILAIAN RISIKO & PELUANG(RISK EVALUATION)

Membandingkan kriteriaKebarangkalian & Impak

Magnitud risiko & peluangKeutamaan

PELAN RAWATAN &TINDAKBALAS(RISK TREATMENT)

Mengenalpasti & menilai pilihan rawatanMengenalpasti dan melaksanakan rawatan

Pelan Tindakan

ADAPTASI: MS ISO 31000:2010

Menentukan tahap risiko

Menentukankesan dan

akibat

Menentukankebarangkalian

dan punca

ANALISIS RISIKO & PELUANG(RISK ANALYSIS)

Menentukan kawalan sediaada

PENGWUJUDAN KONTEKS(ESTABLISHMENT OF CONTEXT)

Konteks StrategikKonteks Proses

Konteks Keselamatan dan PekerjaanKonteks Pelanggan

Konteks projekPenentuan Kriteria

Pengaruh Dalaman dan Luaran

Penilaian Risiko & Peluang

KENALPASTI RISIKO & PELUANG(RISK IDENTIFICATION)Apa yang boleh berlaku?

Bagaimana boleh berlaku?Imput dari Data-data sejarah dll

PE

MA

NT

AU

AN

DA

NK

AJIA

NS

EM

UL

A(M

ON

ITO

RIN

GA

ND

RE

VIE

W)

KO

MU

NIK

AS

ID

AN

KO

NS

UL

TA

NS

I(C

OM

MU

NIC

AT

IOA

NA

ND

CO

NS

UL

TA

TIO

N)


3

1. LANGKAH 1 - KOMUNIKASI DAN KONSULTANSINyatakan pihak-pihak yang terlibat dalam penyediaan dan penyebaran maklumat serta

penglibatan langsung atau tidak dalam pengurusan risiko dan peluang

PELANGGAN UTAMA JAB/BHG/UNIT

STAF DAN PELAJAR PMKPIHAK BERKEPENTINGAN (LUAR ORGANISASI)

ORGANISASI HUBUNGAN

1. Kementerian Pendidikan Malaysia Mendapatkan peruntukan tahunan Kelulusan perolehan

2. Jabatan Pendidikan Politeknik Mendapatkan peruntukan tahunan Kelulusan perolehan

3. Syarikat Pembekal Perolehan bekalan/peralatan ICT Kerja-kerja penyenggaraan

PIHAK BERKEPENTINGAN (DALAM ORGANISASI)

1. Pengarah Meluluskan pelaksanaan & peruntukan projek

2. Timbalan Pengarah (Sokongan Akademik) Khidmat nasihat pengurusan ICT

3. Ketua Jabatan/Ketua Unit Mendapatkan khidmat sokongan teknikal ICT

PIHAK BERKEPENTINGAN (DALAM JABATAN/BAHAGIAN/UNIT)

1. Pegawai Teknologi Maklumat 1 orang

2. Penolong Pegawai Teknologi Maklumat 3 orang

3. Juruteknik Komputer 1 orang

4. Pembantu Operasi 1 orang


4

2. LANGKAH 2 - PENGWUJUDAN KONTEKS

PEMILIK RISIKO DAN PELUANG KOD DAFTAR

UNIT TEKNOLOGI MAKLUMAT UTM

FUNGSI/KEY ACTIVITIES OBJEKTIF

1. Memberi khidmat nasihat kepada pihakpengurusan dalam pengurusan dan perolehanICT

2. Mengurus dan melaksanakanpenyelenggaraan pembaikan dan pencegahanperalatan ICT.

3. Merancang, membangun & menyelenggaradata dan system aplikasi intranet dan internet.

4. Menyelenggara dan memantau pengoperasiandan keselamatan system rangkaian.

1. Memastikan ketersediaan prasarana danperkhidmatan ICT untuk kegunaan staf danpelajar.

RUJUKAN LUARAN PROSES KERJA & RUJUKAN DALAMAN

1. Dasar Keselamatan ICT JPP dan Politeknik2. Arahan Keselamatan

1. PMK-PK-PS-14 Penyelenggaraan SistemMaklumat

2. SOP Keselamatan Umum Pejabat

DATA SEJARAH YANG BERKAITAN DENGAN BAHAGIAN

SEJARAH POSITIF (PENCAPAIAN PELUANG) SEJARAH NEGATIF (RISIKO YANG JADI KEMALANGAN)

1. 1. Peralatan rangkaian firewall menghadapimasalah teknikal

IMPAK DAN PENGARUH ISU DALAMAN DAN LUARAN TERHADAP PENCAPAIAN OBJEKTIF

5 4 3 2 1 7S Mc Kinsey PESTEL 1 2 3 4 5

Strategy Political

Structure Economic

Systems Social

Shared Values Technology

Style (leadership) Environment

Staff Legal

Skills & Competency -

1Sangat Rendah

2Rendah

3Sederhana

4Besar

5Sangat besar


5

3. LANGKAH 3 – KENALPASTI RISIKO DAN PELUANGNota: Tentukan kod untuk tujuan ‘daftar risiko dan peluang’. Rujuk contoh lampiran 1

OBJEKTIF # 01

KOD RISIKO

R-UTM-01 Kegagalan infrastruktur ICT

KOD PELUANG

P-UTM-01 Penambahbaikan infrastruktur ICT

P-UTM-02 Peningkatan kompetensi staf


6

4. LANGKAH 4 - ANALISIS RISIKO

Analisis BOW-TIE: R-UTM-01

OBJEKTIF

Memastikan ketersediaan prasarana dan perkhidmatan ICT untuk kegunaan staf dan pelajar.

BOW TIE ANALYSIS

Rujuk 7S Mc Kinsey & PESTEL untuk mengenalpasti faktor punca dan impak

2PUNCA

3TINDAKAN PENCEGAHAN

1PERISTIWA RISIKO

5TINDAKAN MITIGASI

4IMPAK

Ancaman/Seranganluar ke atas sistemrangkaian & aplikasi

Ancaman Virus danMalware

Mengukuhkankeselamatan

rangkaian & aplikasi

Harga peralatan ICTdi pasaran mahal

Memasang antivirusterkini

Kos persijilan ICTterlalu mahal

Khidmat syarikattidak efisien

Kebakaran/Banjir

Kekanganperuntukan

Kegagalanpengoperasian/kon-

figurasi peralatan

Perkakasan yangusang dan tidak up-

to-date

Memohonperuntukan yang

mencukupi

Membuat tapisansyarikat

Pelupusan &perolehan

peralatan ICT

PM dan CMPeralatan,

Rangkaian &Aplikasi

Menyediakansistem & peralatan

sokongan yangberkualiti

Kegagalaninfrastruktur

ICT

Kontrakpenyelenggaraan

peralatan &rangkaian ICT

Recovery DisasterPlan

Warranty PeralatanICT

PelupusanPeralatan ICT

Backup Aplikasi &Data Berjadual

Offsite Backup

Data terdedahkepada pihak tidakbertanggungjawab

Staf ICT kurangberkemahiran

PnP Terganggu

Sistem PenyampianMaklumatTerganggu

Kemusnahanperalatan, kerugian

& trauma

Reputasi MerosotGangguan bekalan

elektrik di PusatData

Kegagalan fungsiperalatan sokongan

Memberipendedahan

kesedaran ICTkepada pengguna

Pengguna tidakmematuhi DKICT

Fire Detection/Supresion System

Kecurian/SabotajPeralatan ICT

CCTV dan Buku LogPusat Data

FAKTOR LUARAN FAKTOR DALAMAN


7

4.1.1 Analisis Tindakan Pencegahan dan Mitigasi

INDIKATOR KECEMERLANGAN TINDAKAN PENCEGAHAN DAN MITIGASI

OBJEKTIF 1Memastikan ketersediaan prasarana dan perkhidmatan ICT untuk kegunaan staf dan pelajar.

R-UTM-01Kegagalan Infrastruktur ICT

NO TINDAKAN PENCEGAHAN 1 2 3 4 5

1. Mengukuhkan keselamatan rangkaian & aplikasi 4

2. Memasang antivirus terkini 4

3. Memohon peruntukan yang mencukupi 4

4. Membuat tapisan syarikat 4

5. Pelupusan & perolehan peralatan ICT 4

6. PM dan CM Peralatan, Rangkaian & Aplikasi 5

7. Menyediakan sistem & peralatan sokongan yang berkualiti 4

8. Memberi pendedahan kesedaran ICT kepada pengguna 3

9. Fire Detection / Supresion System 1

10. CCTV dan Buku Log Pusat Data 4

NILAI MIN 3.7

TINDAKAN MITIGASI

1. Kontrak penyelenggaraan peralatan & rangkaian ICT 1

2. Recovery Disaster Plan 1

3. Warranty Peralatan ICT 4

4. Pelupusan Peralatan ICT 4

5. Backup Aplikasi & Data Berjadual 5

6. Offsite Backup 1

NILAI MIN 2.71

Gagal/tiada bukti2

Kurang Memuaskan3

Sederhana4

Baik5

Cemerlang

Nota: Penilaian logik berkadar songsang (rujuk langkah 5)

Jika nilai min rendah untuk tindakan pencegahan; maka nilai kebarangkalian adalah tinggi Jika nilai min rendah untuk tindakan mitigasi; maka nilai impak risiko adalah tinggi


8

5. LANGKAH 5-PENILAIAN RISIKO DAN PELUANG5.1.1 Penilaian Kebarangkalian Dan Impak Risiko

Nota: Rujuk Lampiran 2-Darjah kualitatif penilaian kebarangkalian dan impak

PENILAIAN RISIKO (-VE)

IDENTIFIKASI RISIKO ANALISIS RISIKO

DAFTAR

RISIKO

PERISTIWA RISIKO

(RISK EVENT)

MA

GN

ITU

D

IMPAK(IMPACT) (paksi-X)

KEBARANGKALIAN(LIKELIHOOD) (paksi-Y)

1 2 3 4 5 6 7 8 9 10 1 2 3 4 5 6 7 8 9 10

R-UTM-01 Kegagalan infrastruktur ICT24

*8

*3

5.1.2 Penilaian Kebarangkalian Dan Impak Peluang

PENILAIAN PELUANG (+VE)

IDENTIFIKASI PELUANG ANALISIS PELUANG

DAFTAR

PELUANG

PERISTIWA

(OPPORTUNITY)

MA

GN

ITU

D

IMPAK(IMPACT) (paksi-X)

KEBARANGKALIAN(LIKELIHOOD) (paksi-Y)

1 2 3 4 5 6 7 8 9 10 1 2 3 4 5 6 7 8 9 10

P-UTM-01 Penambahbaikan infrastruktur

ICT 36*9

*4

P-UTM-02 Peningkatan kompetensi staf25

*5

*5

*Penilaian Selepas Rawatan


9

5.1.3 Heat Matrix Risiko dan Peluang

RISIKO (-ve) PELUANG (+ve)

K

E

B

A

R

A

N

G

K

A

L

I

A

N

10 10

K

E

B

A

R

A

N

G

K

A

L

I

A

N

9 9

8 8

7 7

6 6

5 5

4 4

3 3

2 2

1 2 3 4 5 6 7 8 9 10 10 9 8 7 6 5 4 3 2 1

IMPAK IMPAK

ZON MERAH: HIGHZON KUNING: MEDIUMZON HIJAU: LOW

KOD R/P PENYATAAN RISIKO / PELUANG MAGNITUD ZON MAGNITUDSELEPASRAWATAN

ZONSELEPASRAWATAN

UTM-01 R Kegagalan infrastruktur ICT (7,3) = 21 KUNING (8,3) = 24 KUNING

UTM-01 P Penambahbaikan infrastruktur ICT (9,5) = 45 KUNING (9,4) = 36 MERAH

UTM-02 P Peningkatan kompetensi staf (5,5) = 25 KUNING Strategi tindakan tidak dapatdilaksanakan atas kekangan

peruntukan jabatan

R-UTM-01(7,3)

P-UTM-01(9,4)

P-UTM-01(9,5)

P-UTM-02(5,5)

R-UTM-01(8,3)


10

6. LANGKAH 6- TINDAK BALAS RISIKO DAN PELUANGNota: Rujuk Lampiran – Pelan Tindakbalas risiko

6.1.1 Pelan Tindak Balas Risiko Dan Peluang

KODPERISTIWA

RISIKO DAN PELUANG

TINDAKBALAS

AC

CEP

T

AV

OID

TRA

NSF

ER

MIT

IGA

TE

EXP

LOIT

SHA

RE

ENH

AN

CE

IGN

OR

E

RISIKO

R-UTM-O1 Kegagalan infrastruktur ICT / / /

PELUANG

P-UTM-01 Penambahbaikan infrastruktur ICT / /

P-UTM-02 Peningkatan kompetensi staf / /

6.1.2 Strategi Dan Rawatan Risiko (Treatment Plan)Nota: Input kepada Perancangn Strategik (Input : SWOT & TOWS)

R-UTM-O1

PENYATAAN RISIKO

STRATEGI & RAWATAN RISIKO TANGGUNGJAWAB

1. Memohon peruntukan bagi naiktaraf peralatan ICT dan sistemrangkaian

KUTM

2. Membuat penilaian prestasi syarikat secara berterusan PEG PEROLEHAN UTM

3. Melaksanakan CM dan PM secara berjadual dan mengikut keperluan PPTM/JK

4. Menyediakan Peralatan & Sistem Sokongan Pusat Data KUPS

5. Memastikan Peruntukan mencukupi KUTM

6. Kesedaran pengguna terhadap ICT KUTM

7. Meningkatkan kompetensi staf melalui Latihan/ Kursus ICT KUTM

6.1.3 Strategi Rebut Peluang

PENYATAAN PELUANG

STRATEGI REBUT PELUANG TANGGUNGJAWAB

P-UTM-01 Penambahbaikan infrastruktur ICT

1. Memohon peruntukan ABM/RMK di peringkat jabatan dan kementerian KUTM

2. Membuat perolehan dan kerja-kerja naiktaraf merangkumi aspekperalatan, perisian, rangkaian dan teknikal

KUTM

3. Mendapatkan khidmat nasihat dan sokongan teknikal daripada UPS KUTM/KUPS

4. Mendapatkan kidmat nasihat dan sokongan daripada agensi luarseperti MAMPU

KUTM


11

P-UTM-02 Peningkatan kompetensi staf

1. Memohon peruntukan untuk staf menghadiri latihan/kursusprofessional

KUTM

2. Memohon latihan/kursus yang dianjurkan oleh pihakJPP/KPT/Agensi Luar

UTM

3. Menggalakkan staf mengikuti kursus sijil professional KUTM


12

7. LANGKAH 7- PEMANTAUAN DAN KAJIAN SEMULANota: Pemantauan dan kajian semula dijalankan untuk suatu tempoh yang

ditetapkan oleh organisasi seperti setiap 3-6 bulan

7.1.1 Pemantauan dan Usulan

BIL STRATEGI YANG DIRANCANG TIDAKDIAMBIL

TINDAKAN

SEDANGDIAMBILTINDAKAN

TELAHDIAMBIL

TINDAKAN

1. Memohon peruntukan bagi naiktaraf peralatan ICTdan sistem rangkaian

/

2. Membuat penilaian prestasi syarikat secaraberterusan

/

3. Melaksanakan CM dan PM secara berjadual danmengikut keperluan

/

4. Menyediakan Peralatan & Sistem Sokongan PusatData

/

5. Memastikan Peruntukan mencukupi /

6. Kesedaran pengguna terhadap ICT /

7. Meningkatkan kompetensi staf melalui Latihan/Kursus ICT

/

8. Memohon peruntukan ABM/RMK di peringkatjabatan dan kementerian

/

9. Membuat perolehan dan kerja-kerja naiktarafmerangkumi aspek peralatan, perisian, rangkaiandan teknikal

/

10. Mendapatkan khidmat nasihat dan sokonganteknikal daripada UPS

/

11. Mendapatkan kidmat nasihat dan sokongandaripada agensi luar seperti MAMPU

/

12. Memohon peruntukan untuk staf menghadirilatihan/kursus professional

/

13. Memohon latihan/kursus yang dianjurkan olehpihak JPP/KPT/Agensi Luar

/

14. Menggalakkan staf mengikuti kursus sijilprofessional

/

Usul Penambahbaikan:

Pegawai yang memantau

Nama:

Tarikh


13

8. DATA KOMULATIF PENILAIAN KEBERKESANAN TINDAKANNota: dijalankan untuk tempoh yang ditetapkan oleh organisasi. Tindakan Pencegahan perlu

dijalankan dan penilaiaan semula dijalankan. Magnitud risiko dan peluang perlu bandingkan

untuk melihat keberkesanan Ulang proses dan buat perbandingan data.

R-UTM-01

Mei2018 21

Mac2019 24

20

20

21

21

22

22

23

23

24

24

25

MA

GN

ITU

D

PENILAIAN KEBERKESANAN TINDAKBALASRAWATAN RISIKO

P-UTM-01 P-UTM-02

Mei2018 45 25

Mac 2019 36 25

0

5

10

15

20

25

30

35

40

45

50

MA

GN

ITU

D

PENILAIAN KEBERKESANAN TINDAKBALASRAWATAN PELUANG

MENAIK DARIMAGNITUD

(7,3) KEPADA(8,3)

MENURUN DARIMAGNITUD (9,5)

KEPADA (9,4)

TIADAPERUBAHAN


13


14

9. LAMPIRAN9.1 Definisi

RISIKO (-ve) PELUANG(+ve)

RISIKOKemungkinan Berlakunya Perkara Luar Jangka Pada Masa Akan Datang Yang DisebabkanFaktor Tertentu (Malapetaka, Bahaya Dll) Yang Boleh Menyebabkan Kerugin(Loss)/Kejutan

(Surprise)/Kegagalan FungsiPERISTIWA YANG BOLEH MENYEBABKAN KEGAGALAN MENCAPAI OBJEKTIF

ORGANISASI

PELUANGKesempatan Yang Baik

Organisasi Mengenalpasti Peluang-peluang Dan Berusaha Mengambil Peluang SecaraTerancang

PERISTIWA YANG BOLEH MENCETUS DAN MENYEBABKAN KEGEMILANGANORGANISASI

PENGURUSAN RISIKO DAN PELUANGMenguruskan Risiko dan Peluang Secara Terancang Untuk Mengelakkan Kerugian,

Kebuntuan Tindakan, Kos Luar Jangka, Kecelakaan/Kerugian Terok Akibat KesalahanMegambil Tindakan dan terlepas mengambil peluang kerana tidak menyedari

‘kewujudan peluang’

WITHOUT RISK, THERE IS NO OPPORTUNITY

9.2 Lampiran 1: Kod Daftar

KOD RUJUKAN (Contoh)

R Risiko

P Peluang

KUTM Ketua Unit Teknologi Maklumat

PPTM Penolong Pegawai Teknologi Maklumat

JK Juruteknik Komputer

KUPS Ketua Unit Pembangunan Senggaraan

UTM Unit Teknologi Maklumat


15

9.3 Lampiran 2: Darjah Kualitatif Kebarangkalian dan Impak

DARJAH KUALITATIF KEBARANGKALIAN DAN IMPAK RISIKO

KEBARANGKALIAN IMPAKDARJAH PENERANGAN DARJAH PENERANGAN

1-2

3-4

Jarang (rare)Potensi berlaku sangat rendah

Kurang kemungkinan (unlikely)

1-2

3-4

Tiada kesan (insignificant)Tiada kecederaan, kerugian yangrendahKecil (minor)

5-6Mungkin berlaku pada sesuatu masaBoleh jadi (moderate) 5-6

Bantuan segera, kerugian sederhanaSederhana (moderate)

7-8

Boleh berlaku pada sesuatu masa

Ada kemungkinan (likely) 7-8

Perlu bantuan perubatan, kerugianyang besarBesar (major)

9-10

Ada kemungkinan berlaku dalamkeadaan tertentuHampir pasti (almost certain) 9-10

Kecederaan serius, kerugianmelampai, kegagalan fungsiBencana (catastropic)

Berkemungkinan besar berlaku dalamsemua keadaan

Kematian, kesan berbahaya, kerugianyang terok

LIHAT PELUANG DARI KONTEKS YANG POSITIF DENGAN SKALA 1-10

9.4 Lampiran 3: Pelan Tindakbalas Risiko

politeknik melaka - polimelaka.edu.my · r-utm-o1 penyataan risiko strategi & rawatan risiko...

Documents