Bayangkan tim keamanan Anda sudah menyelesaikan audit tahunan, memasang sistem enkripsi, dan melatih seluruh karyawan soal keamanan data. Semua kontrol terlihat berjalan baik, namun tiga bulan kemudian insiden kebocoran data tetap terjadi karena satu celah kecil yang terlewat.
Situasi seperti ini lebih umum dari yang banyak organisasi sadari. Menurut laporan IBM Cost of a Data Breach 2025, rata-rata biaya insiden kebocoran data secara global mencapai USD 4,88 juta, dan sebagian besar berasal dari risiko yang tidak terkelola dengan baik setelah kontrol diterapkan. Inilah yang disebut dengan residual risk.
Apa Itu Residual Risk?
Residual risk adalah tingkat risiko yang masih tersisa setelah organisasi menerapkan kontrol risiko atau langkah mitigasi tertentu. Hal ini terjadi karena tidak ada kontrol yang mampu menghilangkan seluruh aspek risiko, baik karena keterbatasan teknologi, faktor manusia, maupun celah yang belum teridentifikasi saat kontrol dirancang.
Karena itu, setelah menerapkan kontrol, organisasi perlu mengevaluasi apakah residual risk yang tersisa masih berada dalam batas risk appetite yang telah ditetapkan. Jika residual risk masih dapat diterima, organisasi bisa mendokumentasikannya sebagai accepted risk.
Namun jika melebihi batas toleransi, organisasi perlu mengambil langkah lanjutan seperti menambah kontrol, mentransfer risiko, atau bahkan menghindari aktivitas yang memicu risiko tersebut.
Sebagai contoh, sebuah perusahaan layanan kesehatan telah menerapkan autentikasi dua faktor untuk semua akses karyawan. Namun karena karyawan masih diperbolehkan mengakses sistem dari perangkat pribadi yang tidak terenkripsi, risiko kebocoran data dari jalur tersebut tetap ada dan itulah yang dimaksud dengan residual risk.
Residual Risk vs. Inherent Risk: Apa Bedanya?
Dua istilah ini sering digunakan bergantian, padahal keduanya memiliki posisi yang berbeda dalam proses manajemen risiko. Memahami perbedaannya adalah fondasi dari setiap program risk assessment yang efektif.
| Aspek | Inherent Risk | Residual Risk |
|---|---|---|
| Definisi | Risiko sebelum ada kontrol apa pun | Risiko yang tersisa setelah kontrol diterapkan |
| Posisi dalam proses | Titik awal asesmen risiko | Hasil akhir evaluasi mitigasi |
| Tujuan pengukuran | Menilai eksposur risiko awal | Menilai efektivitas kontrol yang berjalan |
| Contoh | Semua karyawan bisa akses seluruh data pelanggan | Akses sudah dibatasi, tetapi risiko insider threat masih ada |
Mengapa Residual Risk Sering Diabaikan Organisasi?
Banyak organisasi merasa aman begitu audit selesai dan sertifikasi diraih. Padahal, justru di sinilah residual risk paling rawan diabaikan.
Beberapa penyebab paling umum yang ditemukan di lapangan:
Terlalu fokus pada compliance checklist
Penting untuk dipahami bahwa mitigasi tambahan berbeda dari upaya mitigasi pertama. Mitigasi tambahan dilakukan setelah kontrol awal terbukti tidak cukup menurunkan risiko ke level yang diinginkan, sehingga memerlukan lapisan kontrol yang lebih spesifik dan tertarget.
Misalnya, jika vulnerability assessment rutin sudah berjalan tetapi celah akses vendor pihak ketiga masih terbuka, solusinya bisa berupa penerapan vendor risk management yang lebih terstruktur.
Tidak ada proses review berkala
Residual risk bersifat dinamis karena lingkungan ancaman terus berubah. Risiko yang sudah dinilai “dapat diterima” bulan lalu bisa berubah signifikan setelah ada perubahan sistem, pergantian vendor, atau adopsi teknologi baru.
Misalnya, setelah migrasi ke cloud, kontrol keamanan sistem internal yang dulu efektif mungkin tidak lagi relevan karena model aksesnya sudah berbeda.
Visibilitas lintas departemen yang lemah
Risiko yang tersisa sering hidup di celah antara tanggung jawab tim IT, legal, dan operasional. Ini terjadi karena masing-masing departemen cenderung menganggap residual risk bukan bagian dari KPI atau tanggung jawab mereka secara langsung.
Akibatnya, tidak ada pihak yang secara aktif memantau apakah risiko tersebut masih dalam batas aman atau sudah bergeser menjadi ancaman nyata.
Prioritas sumber daya yang keliru
Karena residual risk tidak terlihat secara langsung, banyak organisasi menganggapnya tidak mendesak dan mengalihkan anggaran ke kebutuhan lain yang lebih “terasa”.
Akibatnya, celah yang sebenarnya sudah teridentifikasi dibiarkan terbuka tanpa tindak lanjut. Ketika insiden akhirnya terjadi, biaya penanggulangan, denda regulasi, dan pemulihan reputasi jauh melampaui biaya pencegahan yang sebelumnya dihindari.
Bagaimana Cara Menghitung & Menilai Residual Risk?
Penilaian residual risk bukan sekadar perkiraan, melainkan proses terstruktur yang bisa diulang secara konsisten. Berikut langkah-langkah dasarnya:
1) Identifikasi aset kritis dan ancaman yang relevan:
Petakan aset prioritas seperti data pelanggan, sistem pembayaran, atau infrastruktur cloud, beserta skenario ancaman yang paling mungkin terjadi.
Contoh: Sebuah e-commerce mengidentifikasi bahwa database pelanggan (berisi nama, email, dan alamat) adalah aset kritis. Ancaman yang relevan adalah kebocoran data akibat peretasan atau akses ilegal oleh pihak internal.
2) Tentukan inherent risk setiap skenario:
Nilai eksposur risiko sebelum kontrol apa pun diterapkan, menggunakan skala seperti Low, Medium, High, atau Critical.
Contoh: Tanpa mempertimbangkan kontrol keamanan yang ada, risiko kebocoran database dinilai High karena data bersifat sensitif dan berpotensi disalahgunakan secara luas.
3) Dokumentasikan kontrol yang sudah berjalan:
Catat semua kontrol aktif beserta tingkat efektivitasnya, apakah mengurangi probabilitas, dampak, atau keduanya.
Contoh: Perusahaan sudah menerapkan:
- Enkripsi database (mengurangi dampak)
- Password kuat + MFA (mengurangi probabilitas)
- Monitoring login (mengurangi probabilitas)
4) Hitung residual risk
Setelah semua kontrol terdokumentasi, nilai seberapa besar kontrol tersebut menurunkan probabilitas atau dampak dari risiko awal. Pengurangan ini bisa dinilai secara kualitatif (misal: dari High turun ke Medium) maupun kuantitatif menggunakan skor numerik.
Hasil akhir inilah yang disebut residual risk. Untuk detail pendekatan kalkulasinya, lihat formula dan ilustrasi di bawah.
Contoh: Awalnya risiko sangat tinggi, tetapi setelah ada kontrol; Risiko diretas jadi lebih kecil namun masih ada celah, misalnya karyawan menggunakan laptop pribadi tanpa antivirus. Artinya, risiko belum hilang sepenuhnya, itulah residual risk.
5) Bandingkan dengan risk appetite organisasi:
Jika residual risk masih di atas batas toleransi, diperlukan tindakan tambahan.
Contoh: Jika perusahaan hanya mentoleransi risiko “Low”, tetapi hasil akhir masih “Medium”, maka perlu tindakan tambahan seperti membatasi akses dari perangkat pribadi dan menambahkan endpoint security.
Formula & Contoh Sederhana
Secara konseptual, residual risk adalah inherent risk yang telah dimodifikasi oleh kontrol.
Pendekatan umumnya menggunakan rumus berikut sebagai kerangka berpikir:
Residual Risk = Inherent Risk − Efektivitas Kontrol
Sebagai ilustrasi (catatan: angka berikut hanya digunakan untuk mempermudah pemahaman konsep; di lapangan, justifikasi rentang nilai dan skoring dapat berbeda tergantung metodologi yang digunakan organisasi):
- Risiko awal (inherent risk): 20 poin
(karena data sangat sensitif + sering diakses banyak orang)
Lalu perusahaan menerapkan kontrol:
- Enkripsi data → mengurangi 8 poin
- Pembatasan akses → mengurangi 4 poin
- Monitoring sistem → mengurangi 2 poin
Total pengurangan = 14 poin
Maka, Residual Risk = 20 − 14 = 6 poin
Strategi Mengelola Residual Risk yang Efektif
Tidak ada satu pendekatan yang cocok untuk semua situasi. Namun ada tiga strategi utama yang lazim digunakan dalam kerangka manajemen risiko modern:
1. Hindari Risiko (Avoid)
Jika residual risk dari suatu aktivitas dinilai terlalu tinggi dan tidak sebanding dengan manfaat yang diperoleh, pilihan paling tepat adalah menghentikan atau tidak menjalankan aktivitas tersebut sama sekali.
Strategi ini bukan berarti organisasi menghindari inovasi, melainkan keputusan sadar bahwa eksposur risikonya melebihi batas yang bisa ditoleransi.
Misalnya, sebuah perusahaan memutuskan untuk tidak mengintegrasikan data pelanggan dengan platform pihak ketiga tertentu karena setelah evaluasi, residual risk kebocoran data dari integrasi tersebut masih berada jauh di atas risk appetite organisasi.
2. Terima dan Dokumentasikan (Accept)
Jika residual risk berada dalam batas toleransi dan biaya mitigasi tambahan lebih besar dari potensi kerugiannya, organisasi dapat memilih untuk menerimanya secara sadar.
Keputusan ini harus terdokumentasi secara formal dan disetujui oleh pihak berwenang seperti Chief Risk Officer, manajemen senior, atau komite keamanan informasi yang relevan, bukan sekadar diabaikan tanpa dasar.
3. Transfer Risiko
Untuk risiko yang sulit dikendalikan sepenuhnya secara internal, transfer risiko bisa menjadi solusi. Contohnya adalah asuransi siber untuk menanggung potensi kerugian finansial, atau outsourcing fungsi keamanan tertentu kepada penyedia yang lebih kompeten di bidangnya.
4. Mitigasi Tambahan
Jika residual risk masih terlalu tinggi setelah evaluasi, tambahkan lapisan kontrol baru yang lebih spesifik. Penting untuk dipahami bahwa mitigasi tambahan berbeda dari upaya mitigasi pertama.
Mitigasi tambahan dilakukan setelah kontrol awal terbukti tidak cukup menurunkan risiko ke level yang diinginkan, sehingga memerlukan lapisan kontrol yang lebih spesifik dan tertarget.
Misalnya, jika vulnerability assessment rutin sudah berjalan tetapi celah akses vendor pihak ketiga masih terbuka, solusinya bisa berupa penerapan vendor risk management yang lebih terstruktur.
Residual Risk dalam Konteks Kepatuhan & Regulasi
Dalam kerangka regulasi modern, residual risk bukan hanya urusan teknis, melainkan kewajiban hukum yang harus dapat dibuktikan kepada regulator. Beberapa standar dan regulasi yang secara eksplisit mengatur pengelolaan residual risk:
ISO/IEC 27005
Standar ini mengharuskan organisasi untuk mendokumentasikan residual risk dan mendapatkan persetujuan dari manajemen sebelum risiko tersebut diterima. Artinya, risiko yang masih tersisa tidak boleh dibiarkan begitu saja tanpa keputusan formal.
Sebagai contoh, sebuah perusahaan mengetahui masih ada potensi kebocoran data dari akses vendor pihak ketiga.
Risiko ini tidak sepenuhnya dihilangkan, tetapi dicatat dalam dokumen risk assessment dan secara resmi disetujui oleh manajemen sebagai risiko yang dapat diterima (accepted risk).
ISO 31000
ISO 31000 menegaskan bahwa evaluasi residual risk adalah tahap wajib dalam siklus manajemen risiko. Organisasi tidak cukup hanya menerapkan kontrol, tetapi juga harus memastikan seberapa efektif kontrol tersebut dalam menurunkan risiko.
Contohnya, setelah melakukan audit keamanan, tim IT tidak langsung menyimpulkan bahwa sistem sudah aman, tetapi tetap mengevaluasi apakah masih ada risiko yang tersisa dari celah yang belum tertangani sepenuhnya.
UU PDP (UU No. 27 Tahun 2022)
Regulasi UU PDP (UU No. 27 Tahun 2022) mewajibkan organisasi yang memproses data pribadi untuk menerapkan langkah teknis dan organisasional yang memadai, termasuk dalam mengelola residual risk.
Dalam praktiknya, perusahaan tidak hanya harus memiliki sistem keamanan seperti enkripsi, tetapi juga mampu membuktikan bahwa risiko yang masih tersisa sudah dipertimbangkan dan dikelola.
Misalnya, jika terjadi kebocoran data akibat kesalahan manusia, organisasi tetap bisa dimintai pertanggungjawaban apabila tidak dapat menunjukkan bahwa residual risk sudah diidentifikasi dan dikendalikan sebelumnya.
NIST Risk Management Framework (RMF)
Dalam kerangka NIST RMF, penilaian residual risk menjadi bagian penting dalam tahap assess dan authorize sebelum sebuah sistem dioperasikan. Ini berarti sebuah sistem tidak boleh langsung digunakan tanpa pemahaman yang jelas mengenai risiko yang masih tersisa.
Sebagai contoh, sebelum meluncurkan aplikasi baru, tim keamanan harus melaporkan residual risk kepada manajemen. Sistem hanya boleh digunakan jika manajemen menyetujui bahwa risiko tersebut masih berada dalam batas toleransi organisasi.
Kesimpulan
Residual risk adalah kenyataan yang tidak bisa dihindari dalam setiap program manajemen risiko keamanan informasi.
Yang membedakan organisasi yang tangguh dari yang rentan bukan ada atau tidaknya residual risk, melainkan apakah risiko tersebut dikelola secara terstruktur, terdokumentasi, dan dievaluasi secara berkelanjutan.
Adaptist Privee hadir sebagai platform GRC (Governance, Risk, and Compliance) yang dirancang khusus untuk membantu organisasi di Indonesia mendokumentasikan risk assessment, mengelola kepatuhan terhadap UU PDP, dan memantau efektivitas kontrol dalam satu sistem yang terintegrasi.
Siap Mengelola Kepatuhan Privasi sebagai Risiko Bisnis?
Lihat bagaimana GRC membantu memetakan risiko data pribadi, memantau kepatuhan UU PDP, dan menyiapkan perusahaan menghadapi audit tanpa proses manual yang rumit.
FAQ
Tidak. Residual risk adalah bagian inheren dari setiap sistem karena tidak ada kontrol yang 100% efektif. Tujuannya adalah menurunkan residual risk hingga berada dalam batas toleransi organisasi, bukan mengeliminasinya sepenuhnya.
Risk appetite adalah batas risiko yang bersedia diterima organisasi, sementara residual risk adalah risiko aktual yang tersisa setelah mitigasi. Jika residual risk melebihi risk appetite, diperlukan tindakan tambahan.
Minimal setahun sekali, atau setiap kali ada perubahan signifikan pada sistem, proses, atau regulasi yang berlaku.
Ya. Perusahaan kecil yang mengelola data pelanggan justru lebih rentan karena sumber daya kontrolnya terbatas, sehingga residual risk cenderung lebih tinggi.
Minimal mencakup: inherent risk awal, daftar kontrol yang diterapkan, penilaian efektivitas kontrol, skor residual risk, dan keputusan akhir (accept, transfer, atau mitigasi tambahan).
