Penelitian ini bertujuan untuk menganalisis penerapan dan kendala pada proses manajemen risiko teknologi informasi pada kasus skimming ATM sesuai dengan Risk IT Framework agar kejadian serupa tidak terulang kembali. Metode yang digunakan dalam penelitian ini adalah kualitatif dengan pendekatan studi kasus untuk menggali secara mendalam proses manajemen risiko dan kendala yang dihadapi Bank X sesuai dengan best practice Risk IT Framework dengan mempertimbangkan ketiga domain yakni Risk Governance, Risk Evaluation, and Risk Response. Kesimpulan dalam penelitian ini adalah Bank X telah menjalankan proses manajemen risiko yang meliputi tata kelola risiko, evaluasi risiko dan respon atas risiko dengan baik pada kasus skimming ATM, namun masih terdapat beberapa kendala yaitu lemahnya independensi dan objektivitas Fungsi MR pada unit kerja, kurangnya risk awareness dari setiap individu, data pada perangkat Manajemen Risiko Operasional (MRO) yang belum optimal, belum terintegrasinya data audit, data kepatuhan dan data pada perangkat MRO serta hambatan dalam migrasi kartu berteknologi chip.

This study aims to analyze the application and constraints of the information technology risk management process in cases of ATM skimming in accordance with the Risk ITFramework so that similar incidents do not recur. The method used in this study is qualitative with a case study approach to explore deeply the risk management process and the constraints faced by Bank X in accordance with the best practice Risk IT Frameworkby considering the three domains, namely risk governance, risk evaluation, and risk response. The conclusion in this study is that Bank X has carried out a risk management process that includes risk governance, risk evaluation, and response to risk in ATM skimming cases, but there are still some obstacles, namely the weak independence and objectivity of the function of work units, lack of risk awareness of each individual, data on operational risk management (ORM) devices that have not been optimal, lack of integration of audit data, compliance data and data on ORM devices and obstacles in chip technology card migration.