Hasil Pencarian  ::  Simpan CSV :: Kembali

"Keterbukaan informasi secara global tanpa batas serta didukung perkembangan teknologi yang pesat berisiko memberikan kerawanan terhadap obyek informasi yang terekspose yang memberi celah kepada pihak yang tidak berkepentingan untuk mengambil atau memanipulasi informasi Organisasi Kementerian Luar Negeri mengelenggarakan fungsi fungsi sesuai dengan Perpres RI Nomor 9 Tahun 2005 dan UU RI Nomor 39 tahun 2008 membutuhkan informasi yang cepat tepat akurat serta terjamin keamanannya Sehingga tuntutan ketersediaan suatu Manajemen Resiko yang efektif merupakan sesuatu yang mendesak Manajemen Resiko diperlukan untuk melindungi aset informasi organisasi dan melanjutkan misi dan visi organisasi Dalam penelitian ini penulis melakukan Perancangan Manajemen Resiko Sistem Informasi studi kasus Pusat Komunikasi Kementerian Luar Negeri dengan metodologi NIST Hasil dari penelitian menggambarkan tingkat kematangan dan kelengkapan penerapan manajemen resiko di lingkungan Kementerian Luar Negeri.

---

Disclosure of information globally seamless and supported the development of technologies that provide rapid risk exposure to information objects that give loopholes exposed to unauthorized parties to retrieve or manipulate information Organization of the Ministry of Foreign Affairs provide functions in accordance with Presidential Decree No 9 of 2005 and Act No 39 of 2008 need information fast precise accurate and guaranteed safety So the demand for the availability of an effective risk management is something urgent Risk management is needed to protect the information assets of the organization and continue the mission and vision of the organization In this study the authors conducted a Risk Management Information System Design case study Communication Center Ministry of Foreign Affairs with NIST methodology The results of the study illustrate the level of maturity and completeness of the application of risk management in the Ministry of Foreign Affairs."

"Inisiatif optimalisasi pemanfaatan Teknologi Informasi dan Komunikasi (TIK) merupakan salah satu bentuk inisiatif strategis dari Sekretariat Presiden (Setpres) yang tertuang dalam rencana strategis Setpres 2020-2024. Setpres dalam menjalankan kegiatan operasional maupun administrasi menetapkan konsep zero mistake, sehingga dalam melaksanakan pekerjaan diharuskan untuk teliti dan berhati-hati agar dapat meminimalisir munculnya risiko kesalahan dan timbulnya persepsi yang buruk terhadap kinerja Setpres. Layanan Setpres dituntut agar dapat memberikan data dan informasi yang aman dan handal dalam proses pengambilan keputusan. Namun pada kenyataannya pengelolaan aset dan risiko pada pusat data belum dikelola dengan baik dan bersifat spontanitas saja. Oleh karenanya dengan penelitian ini diharapkan pengelolaan risiko dan penanganan terkait keamanan informasi pada pusat data Setpres dapat dikelola dengan baik. Penelitian ini menggunakan metode kualitatif dimana proses pengumpulan data primer menggunakan wawancara, diskusi atau rapat dan melalui observasi serta dilengkapi dengan data sekunder. Kerangka kerja yang digunakan dalam proses manajemen risiko keamanan informasi penelitian ini adalah ISO/IEC 27005:2018 dan menggunakan panduan dari NIST SP 800-30 Rev.1 dalam proses penilaian risiko, kemudian menggunakan ISO/IEC 27002:2013 untuk memberikan rekomendasi kontrol penanganan risikonya. Penelitian ini menghasilkan 119 skenario risiko dimana 97 diantaranya perlu dimitigasi dan 22 risiko dapat diterima. Risiko yang dimitigasi 75 risiko ditangani dengan memodifikasi risiko, 22 dengan berbagi risiko, dan 22 risiko diterima. Rancangan manajemen risiko keamanan informasi pusat data Setpres ini diharapkan dapat bermanfaat bagi organisasi Setpres dalam mengelola risiko keamanan informasi pusat data maupun unit kerja lain di lingkungan Kementerian Sekretariat Negara dan juga pihak atau peneliti lain yang berkaitan dengan manajemen risiko keamanan informasi.

---

The initiative to optimize the use of Information Technology and Communication (ICT) is a form of strategic initiative of Presidential Secretariat (Setpres) which is can be found in the 2020-2024 Presidential Secretariat strategic plan. Setpres in carrying out the operational and administrative activities, Presidential Secretariat sets the concept of zero mistake, so that when doing the activities had to be thorough and careful in order to minimize the risk of errors and the emergence of a bad perception of the performance of the Presidential Secretariat. Presidential Secretariat services were required to provide be safe dan reliable data and information in the process of decision making. However, in the reality data center management of assets and risks was not managed properly, where the risk management and risk treatment were conducted spontaneously. Therefore, with this research risk management and the risk treatment related to the data center information security could be managed properly. This study uses qualitative method that the primary data collection by interviews, discussions or meetings, and observation, also uses the secondary data collection. Framework that is used by this research in the information security risk management process is ISO/IEC 27005:2018, and uses guidelines from NIST SP 800-30 Rev.1 in the risk assessment process, also completed with the ISO/IEC 27002:2013 for the recommendation for the risk controls. This study resulted 119 risk scenarios where 97 of them need to be mitigated and 22 risks are acceptable. Risks that were mitigated, 75 of the risks will be handled by modifying risks, 22 by sharing the risks, and 22 risks were acceptable. The design of data center information security risk management of the Presidential Secretariat was expected to be useful for Setpres Organization itself to manage information security risks and other works units within the Ministry of State Secretariat of the Republic of Indonesia as well as other parties or researchers related to the information security risk management."

"Ditjen. Imigrasi sebagai pelaksana tugas dan fungsi Kementerian Hukum dan HAM RI di bidang keimigrasian telah memanfaatkan SI/TI yang mengintegrasikan seluruh fungsi keimigrasian baik di dalam maupun luar negeri, yaitu dengan Sistem Informasi Manajemen Keimigrasian (SIMKIM). Lingkup SIMKIM yang meliputi hampir seluruh aspek layanan keimigrasian menyebabkan ketersediaan layanan SIMKIM menjadi sangat penting. Tidak tersedianya layanan SIMKIM menyebabkan proses pelayanan keimigrasian menjadi tidak berjalan. Terjadinya insiden terkait keamanan informasi dalam organisasi serta maraknya kasus serangan siber di instansi pemerintah Indonesia, menuntut kepastian pengamanan SIMKIM untuk melindungi data krusial yang dimiliki. Tingginya ketergantungan Imigrasi terhadap SIMKIM dan dalam rangka menjaga kredibilitas instansi, dibutuhkan suatu perencanaan manajemen risiko keamanan informasi untuk menjamin kerahasiaan, integritas, dan ketersediaan layanan SIMKIM.Dalam menyusun perencanaan manajemen risiko keamanan informasi SIMKIM, penelitian dilakukan dengan menggunakan kerangka kerja ISO/IEC 27005:2018 sebagai kerangka kerja utama dalam proses manajemen risiko, NIST SP 800-30 Rev. 1 sebagai panduan pelaksanaan aktivitas penilaian risiko, dan NIST SP 800-53 Rev. 5 sebagai acuan penentuan rekomendasi. Dari penilaian risiko, diidentifikasi 23 skenario risiko yang perlu dimitigasi oleh organisasi dan 5 skenario risiko yang dapat dialihkan ke pihak ketiga. Penelitian ini menghasilkan dokumen rancangan manajemen risiko keamanan informasi SIMKIM.

---

The Directorate General of Immigration as the executor of the duties and functions of the Ministry of Law and Human Rights of Republic of Indonesia in the Immigration sector has utilized IS/IT that integrates all immigration functions both at inside and outside territory of Indonesia, namely the Sistem Informasi Manajemen Keimigrasian (SIMKIM). The scope of SIMKIM which covers almost all aspects of immigration services makes the availability of SIMKIM services very important. The unavailability of SIMKIM services causes the immigration service process to not work. The occurrence of incidents related to information security within the organization as well as the rise of cases of cyber attacks in Indonesian government agencies, demands the certainty of SIMKIM security to protect the crucial data held. Immigration's high dependence on SIMKIM and to maintain the credibility of the agency, an information security risk management plan is needed to ensure the confidentiality, integrity, and availability of SIMKIM services.

In preparing the information security risk management plan for SIMKIM, the research uses the ISO/IEC 27005 framework as the main framework in the risk management process, NIST SP 800-30 Rev. 1 as a guide for the implementation of risk assessment activities, and NIST SP 800-53 Rev. 5 as a reference for determining recommendations. From the risk assessment, 23 risk scenarios were identified that need to be mitigated by the organization and 5 risk scenarios that can be transferred to third parties. This research produces a SIMKIM information security risk management design document."

"Keamanan informasi sudah menjadi prioritas utama dalam organisasi yang modern. Dalam peraturan pemerintah nomor 82 tahun 2012 bahwa penyelenggara sistem elektronik wajib memiliki dan menjalankan prosedur dan sarana untuk pengamanan sistem elektronik. Kemenlu hingga saat ini sudah mempunyai 108 aplikasi, di antara aplikasi tersebut digunakan untuk pengelolaan informasi dalam pelayanan dan perlindungan Warga Negara Indonesia. Terdapat beberapa ancaman yang dapat mengganggu ketersediaan, kerahasiaan maupun keutuhan data atau informasi di lingkungan Kemenlu. Salah satu penyebab terjadinya ancaman dan gangguan tersebut disebabkan karena belum adanya kebijakan keamanan informasi di lingkungan Kemenlu.Penelitian ini mempunyai klasifikasi penelitian studi kasus dan action research. Kerangka kerja yang digunakan dalam perancangan kebijakan keamanan informasi ini menggunakan kerangka kerja ISO/IEC 27001:2013. Wawancara dilakukan pada pejabat-pejabat struktural dan staf teknis pada Pusat Teknologi Informasi dan Komunikasi Kementerian dan Perwakilan PusTIK KP untuk mengambil data kualitatif. Penelitian ini mendapatkan 30 kontrol pada Annex A yang dapat diterapkan dan dijadikan rancangan dokumen kebijakan keamanan informasi pada lingkungan Kementerian Luar Negeri.

---

Information security has become a top priority in modern organizations. In Peraturan Pemerintah number 82 of 2012 that the organizers of electronic systems should have and implemented procedures and tools for securing electronic systems. Kemenlu up to now already has 108 applications, some of the applications are used for information management in the service and protection of Indonesian Citizens. There are several threats that could interfere with the availability, confidentiality and integrity of data or information within the Kemenlu. One of the causes of such threats and disturbances is caused by Kemenlu still don rsquo t have information security policy.

This research has a classification case study and action research. The framework used in the design of this information security policy uses the ISO IEC 27001 2013 framework. Interviews were conducted with structural officials and technical staff at Pusat Teknologi Informasi dan Komunikasi Kementerian dan Perwakilan PusTIK KP to obtain qualitative data. The research found 30 control in Annex A that can be applied and used as draft of information security policy on the environment of the Ministry of Foreign Affairs."

"Tesis ini membahas tentang penerapan manajemen risiko proyek untuk mengelola risiko pada proyek hibah luar negeri dari JICA di Puslitbangkes BTDK. Penelitian ini adalah penelitian kualitatif deskriptif dengan pendekatan studi kasus. Hasil penelitian merekomendasikan untuk melakukan koordinasi dan komunikasi yang efektif dengan JICA dan Kementerian lain, mengambil kebijakan dalam menentukan bentuk hibah, dan meminta pendampingan para ahli.

---

This thesis analyze the project risk management design to manage risks on foreign grant project from JICA in Puslitbangkes BTDK. This research is qualitative descriptive with case study. The researcher recommend Puslitbangkes BTDK to perform an effective coordination and communication with JICA and other ministries, to make policy in deciding the form of grant, and to ask for expert assistancy."

"Call center perbankan merupakan salah satu bagian dari organisasi dalam perbankan yang memberikan pelayanan virtual kepada nasabah melalui media akses telepon.Call center memiliki peranan yang jauh lebih penting dari yang dibayangkan oleh sebagian besar orang di perusahaan. Divisi inilah yang menjadi representatif perusahaan yang bersentuhan langsung dengan pelanggan. Sehingga dapat dikatakan sebagai pusatnya data-data penting para nasabah dan reputasi perusahaan sangat dipengaruhi oleh call center.Berada di level 10 besar perusahaan perbankan di indonesia, menjadikan PT.XYZ meninjau ulang manajemen di lingkungan internalnya. Terfokus pada divisi call center, PT.XYZ menginginkan untuk membuat suatu kebijakan baru terkait dengan manajemen risiko keamanan informasi. Karena keamanan informasi sangat diperlukan untuk menjaga agar data-data nasabah tidak bocor ke pesaing bisnisnya. Selain itu juga untuk meningkatkan tingkat kepercayaan nasabah terhadap PT.XYZ. Penelitian ini dilakukan untuk melakukan evaluasi terhadap tingkat keamanan risiko sekaligus membuat suatu kebijakan baru terkait dengan manajemen risiko keamanan informasi di divisi call center yang mengacu kepada ISO 27001:2013, sehingga segala kegiatan yang berkaitan dengan call center dapat lebih terkontrol dan meminimalisir kemungkinan risiko yang dapat merugikan PT.XYZ baik secara finansial maupun fungsional.

---

Call center PT.XYZ is a part of the bank organization that provides virtual services to customersby phone call. Call center has much more important functions than imagined by the mostly people.This division became direct representative of the company that contact with customers, so it can be said as the center of important data from the customers and the companys reputation is strongly influenced by the call center.PT.XYZ is one of the top 10 largest banking companies in Indonesia, making PT.XYZ reviewing its internal environmental management.Focused on call center division, PT.XYZ wants to create a new policy related to information security risk management.Because information security is highly important to keep the customers data not leaked to a competitor business. In addition, to increase the level of customer trust and confidence of the PT.XYZ.This study was conducted to evaluate the safety level of risk at the same time create a new policy related to information security risk management in the division call center which refers to the ISO 27001: 2013,so that all activities related to call center can be better controlled and minimize the possible risks that can harm PT.XYZ both financially and functionally."

"Universitas Islam Negeri Sultan Syarif Kasim Riau (UIN Suska Riau) memiliki Unit Pelaksana Teknis (UPT) yang bergerak pada bidang IT yaitu Pusat Teknologi Informasi dan Pangkalan Data (PTIPD). Sistem informasi akademik (SIMAK) sebagai penggerak visi dan misi organisasi memiliki data mahasiswa, dosen, nilai, matakuliah dan lain sebagainya. Sebagai sistem yang penting, SIMAK dituntut memberikan yang terbaik kepada organisasi. Beberapa waktu yang lalu, SIMAK sering menjadi sasaran serangan keamanan informasi, salah satunya SQL Injection. Oleh karena itu dibutuhkan manajemen risiko keamanan informasi.Penelitian ini menggunakan kerangka kerja National Institute of Standards and Technology (NIST 800-30) untuk melakukan manajemen risiko khususnya keamanan informasi. Pengumpulan data dilakukan dengan dua cara yaitu primer dan sekunder. Pengumpulan data awal primer berdasarkan wawancara melalui email, hal ini dilakukan karena keterbatasan tempat dan waktu. Pengumpulan data awal sekunder diperoleh dari akses terhadap laman situs organisasi seperti: www.uin-suska.ac.id dan puskom.uin-suska.ac.id. Pengumpulan data primer lanjutan dengan wawancara dan observasi secara langsung. Pengumpulan data sekunder lanjutan yang diambil berupa proses bisnis, inventaris perangkat keras dan lunak, keluhan user, topologi jaringan dan lain sebagainya.Berdasarkan penelitian, ditemukan 15 kontrol yang berisiko tinggi dan 75 yang berisiko rendah. PTIPD mengambil 15 kontrol berisiko tinggi dan 15 kontrol yang berisiko rendah. Kontrol yang diambil diharapkan dapat meminimalisir risiko yang telah diidentifikasi. Kontrol dapat dijadikan sebagai bahan pertimbangan dan pengambilan keputusan pihak manajemen demi kemajuan IT di UIN Suska Riau.

---

Universitas Islam Negeri Sultan Syarif Kasim Riau (UIN Suska Riau) has a Technical Implementation Unit (UPT) which operates in IT, Centre of Information Technology and Data Base (PTIPD). Sistem informasi akademik (SIMAK) as an activator of vision and mission of the organization has such as students data, lecturer data, grades, courses, and etc. As an important system, SIMAK demands to give the best to organization. Last time, SIMAK was often target of information security attacks, SQL Injection. To solve the issue we need information security risk management.

To do information security risk management in particular, the research uses framework of the National Institute of Standards and Technology (NIST 800-30). Data collection divide in to two ways: primary and secondary. To collect the beginning primary data based on interviews via email, it is done because of limitations of space and time. The beginning of secondary data collection get organization's website pages: www.uin-suska.ac.id and puskom.uin-suska.ac.id. Advanced primary data collection by interviews and direct observations. Advanced secondary data taken based on business processes, hardware and software inventory, user complaints, network topology and etc.

Based on research, is defined 15 high risk control and 75 low control. PTIPD define 15 high risk control and 15 low control. The research expected to minimize identified risk control. Control also can be used to consider and to manage decisions for making IT development at Universitas Islam Negeri Sultan Syarif Kasim Riau."

"Digitalisasi telah merambah ke berbagai aspek kehidupan, termasuk sektor pemerintahan di bidang pengawasan pengelolaan keuangan negara. SIMWAS adalah sistem informasi di Instansi XYZ yang digunakan untuk mengelola kegiatan pengawasan dan tindak lanjut hasil pengawasan. SIMWAS merupakan aset penting yang memuat seluruh proses bisnis pengendalian internal, namun pada praktiknya, risiko keamanan informasi SIMWAS belum dikelola dengan baik. Untuk mengatasi permasalahan tersebut, diperlukan manajemen risiko keamanan informasi pada SIMWAS. Penelitian ini bertujuan untuk merancang dan menganalisis manajemen risiko keamanan informasi SIMWAS menggunakan kerangka kerja berdasarkan integrasi standar ISO/IEC 27005:2018, ISO/IEC 27002:2013, dan NIST SP 800-30 Rev 1. Kerangka kerja ISO/IEC 27005:2018 digunakan sebagai kerangka kerja utama manajemen risiko, NIST SP 800-30 Rev. 1 sebagai panduan proses penilaian risiko, dan ISO/IEC 27002:2013 sebagai referensi rekomendasi penanganan risiko. Penilaian risiko keamanan informasi SIMWAS dilakukan dengan menganalisis data yang diperoleh dari hasil wawancara, observasi, dan telaah dokumen. Hasil penelitian ini menunjukkan bahwa keamanan informasi SIMWAS memiliki 8 risiko level rendah, 9 risiko level sedang, dan 5 risiko level tinggi. Penelitian ini menghasilkan 14 rekomendasi penanganan risiko untuk 5 risiko level tinggi dan 9 risiko level sedang, sedangkan 8 risiko level rendah dapat diterima sesuai dengan selera risiko organisasi. Instansi XYZ perlu melakukan analisis risiko residu dan analisis biaya-manfaat dari penerapan kontrol di setiap skenario risiko.

---

Digitalization has penetrated various aspects of life, including the government sector in the field of supervising state financial management. SIMWAS is an information system in the XYZ Agency that is used to manage surveillance activities and follow up on the results of supervision. SIMWAS is an important asset that includes all internal control business processes, but in practice, SIMWAS information security risks have not been managed properly. To overcome these problems, information security risk management is required at SIMWAS. This study aims to design and analyze SIMWAS information security risk management using a framework based on the integration of ISO/IEC 27005:2018, ISO/IEC 27002:2013, and NIST SP 800-30 Rev 1 standards. The ISO/IEC 27005:2018 framework is used as the main framework in risk management, NIST SP 800-30 Rev. 1 as a guideline for risk assessment process, and ISO/IEC 27002:2013 as a reference for risk treatment recommendations. SIMWAS information security risk assessment is carried out by analyzing data obtained from the results of interviews, observations, and document reviews. The results of this study indicate that SIMWAS information security has 8 low-level risks, 9 medium-level risks, and 5 high-level risks. This study result 14 risk treatment recommendation for 5 high-level risks and 9 medium-level risks, while 8 low-level risks are acceptable according to the organization's risk appetite The XYZ Agency needs to carry out a residual risk analysis and a cost-benefit analysis of implementing controls in each risk scenario."

"Salah satu program flagship Dewan Teknologi, Informasi dan Komunikasi (TIK) Nasional (DeTIKNas) berdasarkan Keputusan Presiden No. 20 Tahun 2006 yaitu Nomor Identitas Nasional (NIN). NIN ini merupakan komponen inti pada blueprint TIK Indonesia tentang e-Government. Pelaksana program ini adalah Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Ditjen Dukcapil), Kementerian Dalam Negeri. Nomor Induk Kependudukan (NIK) merupakan bentuk pelaksanaan program NIN. Pada tahun 2011-2012 dilaksanakan pelayanan penerapan KTP Elektronik (e-KTP) di seluruh wilayah Indonesia. Ditjen Dukcapil tidak terlepas dari penggunaan Teknologi Informasi (TI) untuk menghasilkan informasi dan memberikan pelayanan TIK yang berkualitas.Penggunaan TI selain meningkatkan kecepatan dan keakuratan informasi serta pelayanan TIK, juga meningkatkan berbagai jenis risiko. Tingginya tingkat ketergantungan organisasi terhadap layanan TIK untuk menjalankan Tugas Pokok dan Fungsi menjadi hal penting diperlukannya manajemen risiko TI untuk mengurangi dan menanggulangi risiko-risiko yang mungkin terjadi sehingga kerugian bisnis organisasi dapat diminimasi.Pada karya akhir ini, peniliti mencoba menyusun profil risiko TI, langkah-langkah mitigasi dan penanggulangan risiko TI pada pelayanan penerapan e-KTP. Standar manajemen risiko TI yang digunakan framework RiskIT.Hasil dari penelitian ini berupa profil risiko TI, langkah mitigasi beserta rekomendasi pengendalian terhadap risiko tersebut dan prosedur penanggulangan risiko TI yang sudah terjadi.

---

One of the flagship programs Dewan Teknologi, Informasi dan Komunikasi (TIK) Nasional (DeTIKNas) by the Keputusan Presiden No. 20 Tahun 2006 is National Identity Number (NIN). NIN is a core component of the Indonesian Information and Communication Technology (ICT) blueprint on e-Government. Implementing this program is Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Ditjen Dukcapil), Ministry of Home Affairs. Nomor Induk Kependudukan (NIK) is a form of program implementation NIN. Implemented in 2011-2012 Electronic Identity Card application services (e-KTP) in all parts of Indonesia. Ditjen Dukcapil is inseparable from the use of Information Technology (IT) to generate information and provide a quality ICT services.

The use of IT in addition to improving the speed and accuracy of information and ICT services, also increases the risk of various types . The high level of dependence on ICT services organization to run the main tasks and functions become important need for IT risk management to reduce and mitigate the risks that may occur so that the organization's business losses can be minimized.

At the end of this work, researchers try to construct profiles of IT risk, mitigation measures and mitigation of IT risks in the implementation of e-ID card service. IT risk management standards used RiskIT framework.

The results of this study in the form of IT risk profile, mitigation measures and recommendations to control the risk and IT risk management procedures that have been happening."

"Penelitian ini mengevaluasi implementasi manajemen risiko di Biro Umum, Sekretariat Kementerian XYZ guna memastikan kesesuaiannya dengan Peraturan Menteri XYZ tahun 2022 tentang Penerapan Manajemen Risiko (Permen MR) yang merujuk pada COSO ERM Framework dan ISO 31000:2018. Latar belakang penelitian ini adalah rekomendasi BPKP agar APIP Kementerian XYZ mengevaluasi efektivitas manajemen risiko di unit kerja. Biro Umum dipilih karena tingginya risiko akibat alokasi anggaran sebesar 76% dari total pagu Sekretariat dan temuan berulang BPK terkait tugas serta fungsinya. Penelitian menggunakan pendekatan studi kasus dengan data dari studi dokumentasi dan wawancara mendalam dengan PIC UPR, Sekretariat Komite Manajemen Risiko, dan Tim Inspektorat. Hasilnya menunjukkan tiga proses manajemen risiko yang belum memadai dari delapan proses yang dievaluasi. Pertama, pada tahap Komunikasi dan Konsultasi, belum dilakukan rapat berkala, insidental, dan FGD karena pimpinan UPR belum menginisiasi penyelenggaraan kegiatan tersebut. Kedua, pada tahap penetapan Ruang Lingkup, Konteks, dan Kriteria, belum ada SK/ST Tim UPR dan kelengkapan Formulir Konteks Manajemen Risiko. Pada tahap Pemantauan dan Reviu, UPR Biro Umum belum melaksanakan pemantauan berkelanjutan terhadap 30 risiko yang perlu penanganan, serta audit manajemen risiko akibat keterbatasan SDM dan fokus auditor pada fungsi pengawasan lainnya. Hasil ini memberikan dasar perbaikan untuk meningkatkan efektivitas manajemen risiko di Biro Umum.

---

This study examines the implementation of risk management at the General Bureau of the Secretariat of the Ministry of XYZ, ensuring compliance with the 2022 Ministerial Regulation on Risk Management (Permen MR), which adopts the COSO ERM Framework and ISO 31000:2018. The research was driven by BPKP’s recommendation for the Ministry's Internal Audit Unit (APIP) to evaluate risk management effectiveness in work units. The General Bureau was chosen due to high-risk exposure, managing 76% of the Secretariat's budget and recurrent findings by the Supreme Audit Agency (BPK). Using a case study approach, data were collected through document analysis and interviews with UPR representatives, the Risk Management Committee Secretariat, and the Inspectorate Team. The findings identified three out of eight risk management processes as inadequate. First, in Communication and Consultation, regular meetings and FGDs were absent due to UPR leadership’s lack of initiative. Second, in Scope, Context, and Criteria, the UPR Team lacked a formal decree, and the Risk Management Context Form was incomplete. Lastly, in Monitoring and Review, the UPR failed to monitor 30 identified risks and conducted risk audits, citing limited resources and competing audit priorities. These findings highlight areas requiring improvement to enhance risk management effectiveness at the General Bureau. "