Skripsi
Diajukan Sebagai Salah Satu Syarat Untuk Memperoleh Gelar
Sarjana Strata Satu Sistem Informasi
Oleh :
MUHAMMAD KAMAL SANI FIRDAUS
1113093000074
Skripsi
Diajukan Sebagai Salah Satu Syarat Untuk Memperoleh Gelar
Sarjana Strata Satu Sistem Informasi
Oleh :
MUHAMMAD KAMAL SANI FIRDAUS
1113093000074
Skripsi
Oleh:
JAKARTA
39 H
ii
LEMBAR PERSETUJUAN
Oleh:
Muhammad Kamal Sani Firdaus
NIM. 1113093000074
Menyetujui,
Pembimbing I Pembimbing II
Mengetahui,
iii
PENGESAHAN UJIAN
Menyetujui
Penguji I Penguji II
Pembimbing I Pembimbing II
Mengetahui,
Dekan Fakultas Sains dan Teknologi Ketua Program Studi
UIN Syarif Hidayatullah Jakarta Sistem Informasi
iv
PERNYATAAN
v
ABSTRAK
vi
KATA PENGANTAR
Puji dan syukur, penulis panjatkan kehadirat Allah SWT yang telah
memberikan rahmat dan hidayat, sehingga pada akhirnya penulis dapat
menyelesaikan skripsi ini dengan baik. Shalawat dan salam tak lupa penulis
haturkan kepada junjungan Nabi Muhammad SAW, para sahabat, keluarga serta
muslimin dan muslimat, semoga kita mendapatkan syafaat-Nya di akhirat kelak.
Aamiin
Skripsi ini penulis sajikan dalam bentuk yang sederhana berjudul “Evaluasi
Manajemen Risiko Teknologi Informasi Menggunakan Framework Cobit 5
(Studi Kasus: PT PLN P2B Jawa Bali)” Penyusunan skripsi ini bertujuan untuk
memenuhi salah satu syarat dalam menyelesaikan pendidikan S1 Program Studi
Sistem Informasi di Universitas Islam Negeri Syarif Hidayatullah Jakarta.
Pada kesempatan ini penulis ingin menyampaikan ucapan terima kasih yang
sebesar-besarnya kepada pihak-pihak yang telah turut membantu dalam
penyusunan skripsi ini, yaitu :
1. Bapak Dr. Agus Salim, S.Ag., M.Si, selaku Dekan Fakultas Sains dan
Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta
2. Ibu Nia Kumaladewi, MMSI, selaku Ketua Program Studi Teknik Sistem
Informasi Sains dan Teknologi Universitas Islam Negeri Syarif
Hidayatullah Jakarta dan Ibu Meinarini Catur Utami, MT, selaku Sekretaris
Program Studi Sistem Informasi Fakultas Sains dan Teknologi Universitas
Islam Negeri Syarif Hidayatullah Jakarta.
3. Ibu Fitroh, M.Kom, selaku dosen pembimbing I dan Ibu Suci Ratnawati
MTI, selaku dosen pembimbing II yang selalu memberikan arahan dan
bimbingan yang bermanfaat dalam proses penyusunan skripsi ini sehingga
vii
penulis semakin terdorong untuk menyelesaikan masa pendidikan strata
satu program studi sistem informasi.
4. Para dosen Prodi Sistem Informasi Fakultas Sains dan Teknologi yang telah
memberikan ilmu, berbagai pengarahan, pengalaman, serta bimbingan,
serta nasehat kepada penulis selama masa perkuliahan.
6. Kedua orang tua penulis, Bapak Matsani dan Ibu Lily Herlianti yang tidak
henti-hentinya selalu sabar, memberikan semangat dan dukungan baik
dalam bentuk doa, materi serta kasih sayang sehingga penulis dapat
menyelesaikan skripsi ini. Serta Kakak dan Adik penulis, Fitri Sani Najiha
dan Hikmah Sani Nadia. Terima kasih atas do’a dan dukungan kalian semua
untuk penulis. Semoga Allah membalas semuanya dengan pahala yang
berlimpah.
viii
yang telah membantu yang tidak dapat disebutkan satu persatu. Terima
kasih atas dukungan dan motivasinya yang diberikan kepada penulis.
ix
DAFTAR ISI
BAB II ..................................................................................................................13
LANDASAN TEORI .............................................................................................13
2.1. Pengertian Evaluasi ....................................................................... 13
x
2.2. Tata Kelola Teknologi Informasi .................................................. 13
2.3.5. CMMI................................................................................... 19
2.7. Risiko............................................................................................. 72
xi
2.8. Risiko TI ........................................................................................ 72
xii
3.2.2. Wawancara ......................................................................... 105
BAB IV ................................................................................................................113
HASIL DAN PEMBAHASAN ............................................................................113
4.1. Initiation ...................................................................................... 113
xiii
4.4.1. Proses EDM03 ................................................................... 136
BAB V ................................................................................................................185
KESIMPULAN DAN SARAN ............................................................................185
5.1. Kesimpulan .................................................................................. 185
xiv
DAFTAR GAMBAR
xv
DAFTAR TABEL
xvi
Tabel 4. 4 Rincian Jawaban Kuesioner EDM03.02 ........................................... 122
Tabel 4. 5 Rincian Jawaban Kuesioner EDM03.03 ........................................... 124
Tabel 4. 6 Rincian Jawaban Kuesioner APO12.01 ............................................ 125
Tabel 4. 7 Rincian Jawaban Kuesioner APO12.02 ............................................ 127
Tabel 4. 8 Rincian Jawaban Kuesioner APO12.03 ............................................ 129
Tabel 4. 9 Rincian Jawaban Kuesioner APO12.04 ............................................ 131
Tabel 4. 10 Rincian Jawaban Kuesioner APO12.05 .......................................... 133
Tabel 4. 11 Rincian Jawaban Kuesioner APO12.06 .......................................... 134
Tabel 4. 12 Tahap briefing ................................................................................. 136
Tabel 4. 13 Rekapitulasi jawaban kuesioner EDM03.01 (Evaluasi Manajemen
Risiko) ................................................................................................................. 139
Tabel 4. 14 Rekapitulasi jawaban kuesioner EDM03.02 (Mengarahkan
Manajemen Risiko) ............................................................................................. 140
Tabel 4. 15 Rekapitulasi jawaban kuesioner EDM03.03 (Mengawasi manajemen
risiko) .................................................................................................................. 141
Tabel 4. 16 Rekapitulasi jawaban kuesioner APO12.01 (Mengumpulkan data) 141
Tabel 4. 17 Rekapitulasi jawaban kuesioner APO12.02 (Menganalisis risiko) 142
Tabel 4. 18 Rekapitulasi jawaban kuesioner APO12.03 (Mempertahankan profil
risiko) .................................................................................................................. 143
Tabel 4. 19 Rekapitulasi jawaban kuesioner APO12.04 (Mengartikulasikan .... 143
Tabel 4. 20 Rekapitulasi jawaban kuesioner APO12.05 (Mendefinisikan
portofolio tindakan manajemen risiko) ............................................................... 144
Tabel 4. 21 Rekapitulasi jawaban kuesioner APO12.06 (Menanggapi risiko) .. 145
Tabel 4. 22 Penentuan tingkat kapabilitas EDM03 ............................................ 150
Tabel 4. 23 Penentuan tingkat kapabilitas APO12 ............................................. 151
Tabel 4. 24 Proses EDM03 PA 1.1 Process Performance ................................. 153
Tabel 4. 25 Proses EDM03 PA 2.1 Performance Management ......................... 154
Tabel 4. 26 Proses EDM03 PA 2.2 Work Product Management ....................... 155
Tabel 4. 27 Proses EDM03 PA 3.1 Process Definition...................................... 156
Tabel 4. 28 Proses EDM03 PA 3.2 Process Deployment .................................. 156
Tabel 4. 29 Proses APO12 PA 1.1 Process Performance .................................. 158
xvii
Tabel 4. 30 Proses APO12 PA 2.1 Performance Management .......................... 159
Tabel 4. 31 Proses APO12 PA 2.2 Work Product Management ........................ 160
Tabel 4. 32 Proses APO12 PA 3.1 Process Definition ...................................... 161
Tabel 4. 33 Proses APO12 PA 3.2 Process Deployment ................................... 161
Tabel 4. 34 Parameter probability (Diadopsi dari Samaptoaji, 2014) ................ 163
Tabel 4. 35 Parameter impact (Diadopsi dari Samaptoaji, 2014)....................... 164
Tabel 4. 36 Standar parameter rating (Diadopsi dari Samaptoaji, 2014) ........... 165
Tabel 4. 37 Rekapitulasi risiko berdasarkan aset ............................................... 165
Tabel 4. 38 Rekapitulasi risiko berdasarkan skenario risiko .............................. 166
Tabel 4. 39 Hasil penilaian risiko terhadap inherent risk berdasarkan aset ....... 167
Tabel 4. 40 Rekapitulasi hasil penilaian risiko terhadap inherent risk berdasarkan
skenario risiko ..................................................................................................... 168
Tabel 4. 41 Hasil peniliaian risiko terhadap residual risk berdasarkan kategori
aset....................................................................................................................... 169
Tabel 4. 42 Hasil penilaian risk terhadap residual risk berdasarkan skenario risiko
............................................................................................................................. 170
Tabel 4. 43 Risk map .......................................................................................... 171
Tabel 4. 44 Capability level pada proses EDM03 .............................................. 173
Tabel 4. 45 Gaps dan Rekomendasi EDM03 ..................................................... 174
Tabel 4. 46 Capability level pada proses APO12 ............................................... 176
Tabel 4. 47 Gaps dan Rekomendasi APO12 ...................................................... 177
Tabel 4. 48 Hasil nilai risiko .............................................................................. 179
Tabel 4. 49 Langkah mitigasi risiko ................................................................... 180
xviii
BAB I
PENDAHULUAN
penting bagi suatu organisasi atau perusahaan dalam memberikan inovasi produk
dan layanan berbasis teknologi informasi. Melalui TI, proses bisnis dapat
saat ini menjadi salah satu critical success factor (CSF) bagi organisasi untuk
sasaran, tujuan, visi dan misi organisasi (Handeri, 2014). Namun tidak dapat
dipungkiri bahwa kemungkinan berbagai ancaman dan risiko yang muncul dalam
dalam penerapannya tidak dapat berjalan secara optimal (Rilyani et al., 2015). Hal
2017).
dalam organisasi, terdiri atas semua kejadian terkait TI yang berpotensi memiliki
dampak pada organisasi (ISACA, 2009). Apabila kejadian tersebut tidak ditangani
2014).
1
Pemerintah RI melalui Peraturan Menteri Negara BUMN No. PER-
yang Baik (Good Corporate Governance – GCG) pada Badan Usaha Milik Negara
terpadu yang merupakan bagian dari pelaksanaan program GCG. Selain itu
risiko yang di hadapi dalam pencapaian visi maupun sasaran / kinerja perusahaan,
proses bisnis organisasi. Meskipun secara umum metode manajemen risiko untuk
yang memberikan layanan publik, dampak dari risiko dapat diukur tidak hanya
PLN P2B (Pusat Pengatur Beban) adalah unit induk PLN yang dibentuk atas
mengelola operasi sistem tenaga listrik yang dalam hal ini memelihara dan
mengembangkan sistem operasi dan sarana penyaluran. Selain itu PLN P2B juga
mempunyai tugas dalam mengelola transaksi energi. PLN P2B sendiri bisa dibilang
2
sebagai jantung dari PT PLN (persero) karena besar kecil keuntungan PLN berada
di PLN P2B. PLN P2B. Dalam mengelola operasi sistem tenaga listik dan
mengelola transaksi energi PLN P2B didukung oleh divisi TI. Divisi TI mempunyai
data, user support yang mendukung proses kerja. Pengelolaan data mempunyai
dampak yang signifikan pada proses bisnis PLN P2B sehingga dapat dikategorikan
kritikal.
Diketahui PT PLN P2B Jawa Bali pernah mengalami kerugian akibat insiden
kehilangan data. Hal ini ditunjukan melalui laporan laba rugi PLN per 31 maret
2017 yang peneliti akses melalui website PLN. Adanya indikasi bahwa hal tersebut
terjadi karena kesalahan dalam pengelolaan data. Ketika PT PLN P2B Jawa Bali
kegagalan migrasi data sehingga data yang dipindahkan tersebut hilang. Seperti
merupakan aset penting bagi perusahaan ataupun organisasi. Tata kelola teknologi
informasi pada proses pengelolaan data yang kurang baik akan menimbulkan
ancaman atau risiko seperti kehilangan, perusakan, pencurian dan penyadapan data.
meminimalisasi risiko.
Selain itu adanya kesalahan kedua adalah ketika back-up data yang
seharusnya menjadi langkah mitigasi risiko, tidak dapat meng-cover seluruh data
3
yang hilang akibat belum selesainya proses back-up data. Seperti halnya Falani
dilindungi atau dijaga untuk proses jalannya suatu perusahaan. Maka dimungkinkan
untuk melakukan backup data, agar dapat menghindari kehilangan data (data loss)
informasi yang tepat untuk dapat meminimalisir risiko yang ada. Untuk dapat
teknologi informasi yang dimilikinya saat ini (as-is) dan tingkat pengelolaan
yang dilakukan akan efektif. Terdapat banyak tools untuk mengukur tingkat
yang biasa ditemukan dalam suatu perusahaan terkait dengan kegiatan TI. Kerangka
COBIT menyediakan model proses yang pada umumnya ditemukan dalam aktivitas
TI dalam lima domain proses yang saling terkait, Evaluate, Direct and Monitor
(EDM) yang terdiri dari 5 sub domain, Align, Plan and Organise (APO) yang terdiri
dari 13 sub domain, Build, Aquire and Implementation (BAI) yang terdiri dari 10
sub domain, Deliver, Service and Support (DSS) yang terdiri dari 6 sub domain,
Monitor, Evaluate and Assess (MEA) yang terdiri dari 3 sub domain.
Untuk menentukan proses yang akan dikaji lebih lanjut, perlu dilakukan
4
Penentuan domain dilakukan berdasarkan justifikasi stakeholder needs maka
terpilih 2 proses yang akan dievaluasi lebih lanjut pada penelitian ini yaitu pada
proses EDM03 (Ensure Risk Optimisation) dan APO12 (Manage Risk). Untuk
nantinya dapat menghasilkan sebuah rekomendasi dan strategi mitigasi yang dapat
JAWA BALI)”.
diatas adalah:
5
Penerapan Tata Kelola Perusahaan yang Baik (Good Corporate
GCG
sebagai berikut:
2. Penelitian ini hanya membahas pada proses manajemen risiko dan proses
skala likert.
1.4. Tujuan
Tujuan yang diharapkan penelitian ini terdiri dari tujuan umum dan tujuan
sebagai berikut:
6
1. Mengetahui Capability Level kondisi saat ini dan kondisi yang
1.5. Manfaat
TI.
framework COBIT 5.
7
1.5.2. Bagi Penulis
perkuliahan
Hidayatullah Jakarta.
1. Observasi
8
2. Wawancara
3. Kuesioner
terdiri dari:
1. Initiation
9
3. Briefing
4. Data Collection
5. Data Validation
tahapan berikutnya.
10
7. Reporting the Result
Alamat : Jalan JCC, Gandul, Cinere, Kota Depok, Jawa Barat 16514
(lima) bab, adapun uraian dari masing-masing bab tersebut adalah sebagai
berikut :
BAB I PENDAHULUAN
Pada bab ini menguraikan bagaimana latar belakang dari kasus yang
dan lain-lain
11
BAB II TINJAUAN PUSTAKA
Pada bab ini penulis memaparkan teori apa saja yang dipakai yang
lain.
pengumpulan data dan metode analisis data dalam usulan model tata
kelola TI.
perusahaan terkait.
BAB V PENUTUP
Bab ini merupakan penutup yang berisi kesimpulan dari uraian yang
12
BAB II
LANDASAN TEORI
tercapainya tujuan.
proses untuk menghasilkan sebuah nilai yang dapat dijadikan tolak ukur dalam
13
informasi merupakan sebuah bentuk umum yang menggambarkan setiap
sebagai suatu bagian integral dari tata kelola perusahaan yang terdiri atas
organisasi.
14
2.2.4. Tujuan Tata kelola Teknologi Informasi
TI tersebut.
secara tepat.
Pada era informasi ini, teknologi menjadi alat pendukung yang sangat
peran teknis atau operasional tersebut dapat berubah menjadi peran yang
& Abdillah, 2011). Berikut beberapa alasan bahwa Tata Kelola Teknologi
15
1. Adanya perubahan peran TI, dari peran efisiensi ke peran
tatakelola TI.
2.3.1. ITIL
framework yang dijadikan sebagai best practices proses dan prosedur dalam
TI, pengembangan dan operasi TI. ITIL memberi deskripsi rinci sejumlah
16
praktik penting TI dan menyediakan daftar komprehensif tugas dan prosedur
2.3.2. ISO
struktur penomoran yang standar yakni: ISO 17799. Pada awalnya standar
Certification, British Telecom, Shell dan Unilever yang bekerja sama untuk
membuat suatu standar yang dinamakan British Standard 7799 (BS 7799)
dari ISO ialah tidak terintegrasi dengan kerangka sistem tata kelola teknologi
informasi yang lebih luas. ISO lebih tepat digunakan untuk kepentingan
teknis, tidak digunakan sebagai pedoman umum dalam tata kelola teknologi
informasi dan diletakan pada level operasional (Jogiyanto & Abdillah, 2011)
2.3.3. COSO
17
a) Komponen Kontrol COSO
kerangka kerja dan metode yang diterima secara luas dalam pengembangan
18
Management (TAFIM) di Departemen Pertahanan Amerika Serikat, kerangka
kerja itu diadopsi oleh Open Group pada pertengahan 1990-an. Spesifikasi
pengembangan forum Open Group yang merupakan forum kerja sama antar
(ADM), dimana ADM merupakan hasil dari kerja sama praktisi arsitektur
setiap fase ADM dan model arsitektur yang digunakan dan dibuat selama
2.3.5. CMMI
proses secara terintegrasi, dan sumber daya supplier. Model CMMI banyak
19
digunakan sebagai acuan dalam pengembangan model kematangan lain,
2.3.6. COBIT
(ISACA, 2012).
2.4. COBIT 5
COBIT 5 adalah sebuah kerangka kerja untuk tata kelola dan manajemen
teknologi informasi dan semua yang berhubungan, yang dimulai dari memenuhi
COBIT 5 memiliki 2 (dua) area utama yaitu area tata kelola (governance) dan
mendasari tata kelola tersebut yang ditentukan melalui pendefinisian strategi dan
20
mewakili semua proses yang biasa ditemukan dalam suatu perusahaan terkait
dengan kegiatan TI. Model proses yang diusulkan bukan hanya sekedar model
proses tetapi suatu model yang bersifat komprehensif. Setiap perusahaan harus
untuk mengukur dan memantau kinerja TI, berkomunikasi dengan layanan dan
penting seperti:
dari informasi dan teknologi terkait seperti keuntungan apa, pada tingkat
risiko berapa, dan pada biaya berapa dan bagaimana prioritas mereka
21
tersampaikan. Beberapa pihak lebih menyukai keuntungan dalam jangka
pihak tidak. Perbedaan ini dan terkadang konflik mengenai harapan harus
organisasi lain dan rekan TI, seperti outsource, pemasok, konsultan, klien,
cloud, dan penyedia layanan lain, serta pada beragam alat internal dan
efisien. Informasi juga perlu untuk dikelola secara efektif dan model
22
dalam keputusan dan operasi TI. TI dan bisnis harus diintegrasikan
5. Menyediakan panduan lebih jauh dalam area inovasi dan teknologi baru.
baru, membuat produk saat ini lebih menarik bagi pelanggan, dan meraih
internal.
standar lain seperti ITIL, TOGAF, PMBOK, PRINCE2, COSO dan ISO.
23
framework, berbagai standar antar satu sama lain, dan bagaimana mereka
pada COBIT, Val IT dan Risk IT, tetapi juga mempertimbangkan BMIS,
Stakeholder Needs)
24
Kebutuhan dari para pemangku kepentingan diubah menjadi
25
Pada prinsip ini menjelaskan bahwa COBIT 5 memungkinkan
Holistic Approach)
organisasi.
kepemimpinan CEO.
26
Gambar 2. 4 Governance and Management (ISACA, 2012)
2.4.2. 7 Enablers
akan dikerjakan oleh organisasi (ISACA, 2012). Dalam hal ini terkait
and Framework)
2. Proses (Processes)
27
3. Struktur Organisasi (Organizational Structures)
5. Informasi (Information)
Applications)
Competencies)
28
1. Tahap 1-Initiate Progamme
29
tingkat kapabilitas tertentu dapat diketahui. Manajemen perlu tahu
kapabilitas yang ada saat ini dan dimana kekurangan terjadi. Hal ini
solusi akan berupa quick wins dan beberapa berupa tugas jangka
30
dapat diukur. Kesuksesan membutuhkan pendekatan, kesadaran
terpengaruh.
31
2.4.4. Process Reference Model (PRM)
dalam dua jenis area yaitu governance dan management process dari
yaitu:
Maintenance).
32
Pada proses ini dilakukan analisa terhadap persyaratan
33
Para pemangku kepentingan menyetujui tujuan dan tindakan
dari bisnis saat ini dan lingkungan TI, arah masa depan dan
34
Pada proses ini menjelaskan tentang kesadaran terhadap
terkait portfolio.
prioritas pengeluaran.
manusia.
35
pada pencapaian tujuan bersama. Mendasarkan hubungan
indikator kinerja.
kepatuhan.
menerus.
36
Pada proses ini mengidentifikasi, menilai dan mengurangi
pada organisasi.
37
Pada proses ini menetapkan dan memelihara solusi yang
38
rilis, promosi untuk produksi proses bisnis baru dan layanan TI,
keputusan.
39
a. DSS01 (Manage Operations)
kejadian.
40
f. DSS06 (Manage Business Process Controls)
relevan.
Conformance)
Internet Control)
perbaikan.
41
c. MEA03 (Monitor, Evaluate and Assess Compliance with
External Requirements)
COBIT 5 PAM terdisi dari satu set indikator kinerja proses dan kemampuan
peringkat
42
2. Indiaktor proses kinerja (process performance) untuk kemampuan
pada tingkat 1.
1) Initiation
43
Model COBIT 5. Bertujuan untuk menjelaskan hasil
dikumpulkan
3) Briefing
4) Data Collection
5) Data Validation
44
Tahap kelima adalah dilakukan validasi data yang
45
2.4.6. Model Proses Kapabilitas (Process Capability Model)
membedakan antara penilaian untuk level 1 dengan level yang lebih tinggi.
Hal ini dilakukan karena level 1 menentukan apakah suatu proses mencapai
46
tujuannya, dan oleh karena itu sangat penting untuk dicapai, dan juga menjadi
Dalam kategori ini tidak ada atau hanya sedikit bukti atas pencapaian
atribut proses tersebut. Range nilai yang diraih pada kategori ini berkisar
0 – 15%.
beberapa pencapaian atribut atas proses tersebut. Range nilai yang diraih
kelemahan yang tidak signifikan. Range nilai yang diraih pada kategori
Dalam kategori ini terdapat bukti atas pendekatan sistematis dan lengkap,
dan pencapaian penuh atas atribut proses tersebut. Tidak ada kelemahan
terkait atribut proses tersebut. Range nilai yang diraih pada kategori ini
berkisar 85-100%.
47
Menurut ISACA (2013), suatu proses cukup meraih kategori Largely
achieved (L) atau Fully achieved (F) untuk dapat dinyatakan bahwa proses
tersebut telah meraih suatu level kapabilitas tersebut, namun proses tersebut
harus meraih kategori Fully achieved (F) untuk dapat melanjutkan penilaian
ke level kapabilitas berikutnya, misalnya bagi suatu proses untuk meraih level
0. Incomplete process
Pada level ini proses tidak diterapkan atau gagal untuk mencapai tujuan
prosesnya. Pada tingkat ini, ada bukti sedikit atau tidak ada dari setiap
1. Performed Process
48
Tabel 2. 1 Process Performance
PA 1.1 Process Performance
Hasil atas pencapaian Hasil Kerja Umum
Praktik Umum (GPs)
penuh atribut (GWPs)
GP 1.1.1 Meraih Hasil
Hasil kerja telah dibuat
Proses meraih tujuan yang Proses.
sehingga menyediakan
sudah ditentukan Ada bukti bahwa praktir-
bukti atas hasil proses.
praktik dasar dilakukan.
2. Managed Process
dengan tepat. Ketentuan atribut proses pada level 2 adalah sebagai berikut:
49
PA 2.1 Performance Management
Hasil atas pencapaian Praktik Umum (GPs)
Hasil Kerja Umum (GWPs)
penuh atribut
c. Performa dari proses GP 2.1.3 Menyesuaikan GWP 4.0 Catatan Kualitas
disesuaikan untuk performa dari proses. harus menyediakan detil
memenuhi perencanaan Mengambil tindakan dari tindakan yang
ketika performa yang dilakukan ketika performa
direncanakan tidak tidak mencapai target.
tercapai. Tindakan
meliputi identifikasi dari
masalah performa dan
penyesuaian rencana dan
jadwal yang lebih sesuai
d. Tanggung jawab dan GP 2.1.4 Mendefinisikan GWP 1.0 Dokumentasi
otoritas dari melakukan tanggung jawab dan Process harus menyediakan
proses didefinisikan, otoritas dalam melakukan detil dari pemilik proses dan
ditugaskan dan proses. Tanggung jawab siapa saja yang terlibat,
dikomunikasikan. kunci dan otoritas dalam bertanggung jawab,
menjalankan aktivitas Dikonsultasika dan/atau
kunci dari proses diinformasikan (RACI).
didefinisikan, ditugaskan GWP 2.0 Rencana Proses
dan dikomunikasikan. harus meliputi detil dari
Pengalaman yang process communication
dibutuhkan, pengetahuan plan demikian juga
dan keahlian ditetapkan. pengalaman dan keahlian
yang dibutuhkan dari
menjalankan proses.
e. Sumber daya dan GP 2.1.5 Identifikasi dan GWP 2.9 Rencana Proses
informasi yang sediakan sumber daya harus menyediakan detil
dibutuhkan untuk untuk melakuka proses dari proses perencanaan
menjalankan proses sesuai dengan rencana. pelatihan dan proses
diidentifikasi, Sumber daya dan perencanaan sumber daya.
disediakan, informasi yang
dialokasikan dan dibutuhkan untuk
digunakan. menjalankan aktivitas
kunci dari proses
diidentifikasi, disediakan,
dialokasi dan digunakan.
f. Antarmuka antara pihak GP 2.1.6 Mengelola GWP 1.0 Dokumentasi
yang terlibat dikelola antarmuka antara pihak Proses harus menyediakan
untuk memastikan yang terlibat. Individu dan detil dari individu fan grup
komunikasi efektif dan grup yang terlibat dengan yang terlibat (supplier,
tugas yang jelas antar proses diidentifikasi, customer dan RACI)
pihak yang terlibat. tanggung jawab GWP 2.0 Rencana proses
didefininisikan dan harus menyediakan detil
mekanisme komunikasi dari process
yang efektif diterapkan. communication plan
50
b. Process Activites 2.2 Work Product Management
dikelola. Hasil kerja yang dimaksud dalam hal ini adalah hasil dari
51
3. Established Process
proses yang telah didefinisikan yang mampu untuk mencapai hasil dari
52
PA 3.1 Process Definition
Hasil atas pencapaian Praktik Umum (GPs) Hasil Kerja Umum (GWPs)
c. Kompetensi yang GP 3.1.3 GWP 5.0 Kebijakan dan
dibutuhkan dan peran Mengidentifikasi peran standard harus
untuk melakukan dan kompetensi dari menyediakan detil dan
proses diidentifikasi menjalankan proses kompetensi dari proses
sebagai bagian dari standard yang dilakukan. Bukti yang
proses standard diperlukan pada level ini
bukan hanya pada adanya
kebijakan dan standard tapi
juga dengan diterapkannya
kebijakan dan standard
tersebut
d. Infrastruktur yang GP 3.1.4 Identifikasi GWP 5.0 Kebijakan dan
diperlukan dan infrastruktur yang standard harus
lingkungan kerja yang dibutuhkan dan mengidentifikasi kebutuhan
dibutuhkan untuk lingkungan kerja untuk minimum dari infrastruktur
melakukan proses melakukan proses dan lingkungan kerja untuk
diidentifikasi sebagai standard.Infrastruktur melakukan proses. Bukti
bagian (fasilitas, alat, metode, dll) yang diperlukan pada level
dan lingkungan kerja ini bukan hanya pada
untuk melakukan proses adanya kebijakan dan
standard diidentifikasi. standard tapi juga dengan
diterapkannya kebijakan
dan standard tersebut
e. Metode yang sesuai GP 3.1.5 Menetapkan GWP 5.0 Kebijakan dan
untuk monitoring metode yang sesuai untuk standard harus
kefektifan dan memonitor kefektifan dan menyediakan detil dari
kesesuaian dari proses kesesuaian dengan proses objektif organisasi terhadap
ditetapkan standard, meliputi proses, standard minimum
pemastian terhadap performa proses, prosedur
kriteria yang layak dan standard, dan pelaporan
data yang dibutuhkan serta kebutuhan monitoring.
untuk memonitor Bukti yang diperlukan pada
kefektifan dan kesesuaian level ini bukan hanya pada
dari proses didefinisikan, adanya kebijakan dan
dan menetapkan standard tapi juga dengan
kebutuhan untuk diterapkannya kebijakan
melakukan audit internal dan standard tersebut.
dan ulas kembali GWP 4.0 Catatan kualitas
managemen. dan GWP 9.0 Catatan
performa proses harus
menyediakan bukti dari ulas
kembali yang telah
dilakukan
53
proses. Sebagai hasil pencapaian penuh atribut ini, ditunjukkan dalam
54
PA 3.2 Process Deployment
Hasil atas pencapaian Hasil Kerja Umum
Praktik Umum (GPs)
penuh atribut (GWPs)
disediakan, dialokasikan
dan digunakan.
d. Sumber daya yang GP 3.2.4 Menyediakan GP 2.0 Rencana proses
dibutuhkan dan sumber daya dan informasi harus meliputi detil dari
informasi yang untuk mendukung rencana sumber daya untuk
diperlukan untuk performa dari proses yang setiap instansi dari proses
melakukan proses yang didefinisikan. Ketika
didefinisikan proses yang sama
disediakan, digunakan dalam area
dialokasikan dan yang berbeda dalam
digunakan. organisasi, kebutuhan
sumber daya manusia dan
informasi untuk
melakukan proses
disediakan, dialokasikan
dan digunakan.
e. Infrastruktur dan GP 3.2.5 Menyediakan GWP 2.0 Rencana proses
lingkungan kerja untuk proses infrastruktur yang harus meliputi detil dari
melakukan proses yang layak untuk mendukung proses infrastruktur dan
didefinisikan performa dari proses yang lingkungan kerja dari setiap
disediakan, dikelola, didefinisikan. Ketika instansi dari proses.
dan diperlihara. proses yang sama
digunakan dalam area
yang berbeda dalam
organisasi, dukungan
organisasi yang
dibutuhkan, infrastruktur,
dan lingkungan kerja
disediakan, dialokasikan
dan digunakan.
4. Predictable process
batasan agar mampu meraih harapan dari proses tersebut. Ketentuan atribut
55
berupa pengukuran proses ataupun pengukuran produk atau kedua-
56
PA 4.2 Process Measurement
Hasil atas pencapaian
Praktik Umum (GPs) Hasil Kerja Umum (GWPs)
penuh atribut
e. Hasil pengukuran GP 4.1.5 Mengumpulkan GWP 7.0 Rencana
dikumpulkan, dianalisa hasil pengukuran produk pengukuran proses harus
dan dilaporkan untuk dan proses dengan menyediakan detil atas
memantau seberapa melakukan proses yang prosedur analisa yang
jauh tujuan kuantitatif telah ditentukan. Hasil disarankan.
proses tercapai. pengukuran dikumpulkan, GWP 9.0 Catatan performa
dianalisa, dan dilaporkan proses harus menyediakan
sesuai rencana yang telah detil atas pengukuran yang
ditetapkan. telah dikumpulkan dan
dianalisa
f. Hasil pengukuran GP 4.1.6 Menggunakan GWP 9.0 Catatan performa
digunakan untuk hasil pengukuran untuk proses harus menyediakan
menggambarkan memantau dan detil atas pengukuran yang
performa proses. memverifikasi pencapaian sudah dikumpulkan dan
atas tujuan performa dianalisa.
proses. Hasil pengukuran
dianalisa untuk
memastikan pencapaian
terhadap tujuan performa
proses. Teknik yang
sesuai digunakan untuk
memahami performa
dan kapabilitas proses
dalam batasan yang sudah
ditentukan.
57
PA 4.2 Process Control
Hasil atas pencapaian Praktik Umum (GPs) Hasil Kerja Umum (GWPs)
penuh atribut
pendekatan pengukuran
untuk setiap proses.
b. Pengontrolan batas GP 4.2.2 Tetapkan GWP 8.0 Rencana
variasi telah ditetapkan parameter yang cocok pengontrolan proses harus
untuk performa proses untuk mengontrol ada dan menjelaskan
normal. performa proses. Definisi batasan pengontrolan untuk
standar atas proses performa normal.
dimodifikasi untuk
memasukkan metode
pengendalian proses dan
batasan pengontrolan telah
ditetapkan.
c. Data pengukuran GP 4.2.3 Analisa hasil GWP 9.0 Catatan performa
dianalisa untuk pengukuran proses dan proses harus menyediakan
mengetahui penyebab produk untuk detil atas pengukuran yang
khusus atas suatu mengidentifikasikan telah dikumpulkan dan
variasi. variasi dan performa dianalisa.
proses. Hasil pengukuran
pengontrolan proses
dianalisa untuk
menentukan masalah yang
perlu diperhatikan dan
diteruskan untuk
penanggulangan.
d. Tindakan koreksi GP 4.2.4 Identifikasi dan GWP 9.0 Catatan performa
diambil untuk implementasikan tindakan proses harus menyediakan
memecahkan penyebab koreksi untuk mengatasi detil atas pengukura yang
khusus variasi. sumber masalah. Tindakan telah dikumpulkan dan
koreksi diambil untuk dianalisa.
mengatasi masalah
pengontrolan proses dan
hasilnya dipantau dan
dievaluasi.
e. Batasan kontrol GP 4.2.5 Tetapkan GWP 8.0 Rencana
ditetapkan kembali kembali batasan kontrol pengendalian proses harus
(apabila dibutuhkan) setelah tindakan koreksi. ada dan menjelaskan
sebagai respon Batasan kontrol proses batasan kontrol untuk
terhadap tindakan dimodifikasi sesuai peforma normal.
koreksi kebutuhan setelah
tindakan koreksi
dilakukan.
5. Optimizing Process
ditingkatkan untuk memenuhi tujuan bisnis yang relevan saat ini dan
proyeksi.
58
a. Process Activity 5.1 Process Innovation
59
PA 5.1 Process Innovation
Hasil atas pencapaian Praktik Umum (GPs) Hasil Kerja Umum (GWPs)
penuh atribut
pelaksanaan praktik peningkatan proses
terbaik dan inovasi diidentifikasi berdasarkan
perbandingan dengan
praktik terbaik industri.
d. Peluang peningkatan GP 5.1.4 Didasarkan pada GWP 6.0 Rencana
yang bermula dari peluang peningkatan dari peningkatan proses harus
teknologi baru dan teknologi dan konsep menyediakan penjelasan
konsep proses baru proses baru. Peluang mengenai analisis peluang
diidentifikasikan. peningkatan proses peningkatan teknologi.
diidentifikasi berdasarkan
review dan analisis
mengenai inovasi
teknologi dan konsep
proses, yang dilanjutkan
pada perubahan
lingkungan bisnis
termasuk munculnya
risiko bisnis.
e. Strategi implementasi GP 5.1.5 Definisikan GWP 6.0 Rencana
dibuat untuk mencapai strategi implementasi peningkatan proses harus
tujuan dari peningkatan berdasarkan visi dan menyediakan penjelasan
proses. tujuan peningkatan jangka mengenai strategi
panjang. Strategi implementasi untuk
peningkatan proses peningkatan proses.
didefinisikan dan
divalidasi berdasarkan
goal dan objektif dari
peningkatan. Komitmen
untuk meningkatkan
didemokan oleh manager
dan pemilik proses.
60
Tabel 2. 9 Process Optimisation (ISACA, 2012).
61
2.4.7. RACI (Responsible, Accountable, Consulted, Informed) Chart
dalam sebuah organisasi terhadap semua orang atau peran untuk setiap proses.
1. Responsible
Hal ini merujuk pada peran utama atau penanggung jawab pada kegiatan
dari organisasi.
2. Accountable
tugas. Hal ini merujuk pada pertanggung jawaban secara keseluruhan atas
3. Consulted
4. Informed
pada peran yang bertanggung jawab untuk menerima informasi yang tepat
62
Berikut ini merupakan salah satu diagram RACI berdasarkan
framework COBIT
63
Relevant Structures for Risk
Jabatan Deskripsi Jabatan pada proses risiko
Chief Operating Seseorang yang memiliki jabatan Berkonsultasi mengenai risiko
Officer senior pada organisasi yang operasional
bertanggung jawab untuk operasi
organisasi.
Business executive Sebuah manajemen individu senior Berkonsultasi mengenai risiko
yang bertanggung jawab untuk yang terkait dengan lini bisnis
operasi unit bisnis tertentu atau anak atau departemen
perusahaan.
CIO/Chief Pejabat senior pada organisasi yang Berkonsultasi tentang aspek
technology officer bertanggung jawab untuk teknis dari risiko dan tindakannya
(CTO) menyelaraskan TI dan strategi bisnis
dan akuntabel untuk perencanaan,
sumber daya dan mengelola
pengiriman layanan dan solusi untuk
mendukung tujuan TI organisasi
Business Process seseorang yang bertanggung jawab Berkonsultasi pada risiko yang
Owner pada proses kinerja untuk terkait dengan proses bisnis
mewujudkan tujuannya, mendorong Menerima kepemilikan atas
perbaikan proses dan menyetujui risiko yang telah dinilai dan
perubahan proses. laporan atas progres mitigasi
Chief Information pejabat senior pada organisasi yang Berkonsultasi pada risiko
Security Officer bertanggung jawab untuk keamanan keamanan
informasi organisasi dalam segala
bentuknya.
CFO seseorang yang memiliki jabatan Berkonsultasi pada tingkat
senior pada organisasi yang kerugian yang dapat diterima,
bertanggung jawab untuk semua faktor risiko yang penting dan
aspek manajemen keuangan, biaya pada pilihan respon
termasuk risiko dan control terhadap risiko
keuangan dan rekening terpercaya
dan akurat.
Business seorang individu yang mengelola, Berkonsultasi mengenai
Continuity merancang, mengawasi dan/atau gangguan pada operasi
Manager menilai kemampuan kelangsungan perusahaan
usaha suatu organisasi, untuk
memastikan bahwa fungsi organisasi
tetap beroperasi pada saat kritis.
IT Process Seseorang yang bertanggung jawab Berkonsultasi mengenai risiko
(service) owners atas proses dan layanan TI yang yang terkait dengan proses atau
diberikan layanan TI
Menerima kepemilikan atas
risiko yang telah dinilai dan
laporan atas progres mitigasi
Service Manager seorang individu yang mengelola Berkonsultasi dengan manajemen
pengembangan, implementasi, layanan terkait risiko
64
Relevant Structures for Risk
Jabatan Deskripsi Jabatan pada proses risiko
evaluasi dan pengelolaan
berkelanjutan baru dan yang sudah
ada.
Head of HR pejabat senior pada organisasi yang Berkonsultasi tentang aspek
bertanggung jawab untuk manusia terkait dengan risiko dan
perencanaan dan kebijakan terhadap tindakannya
semua sumber daya manusia di
organisasi.
Privacy Officer Seorang yang bertanggung jawab Berkonsultasi tentang aspek
untuk mematau risiko dan dampak utama yang terkait dengan
bisnis undang-undang privasi dan pemantauan risiko dan dampak
untuk membimbing dan koordinasi bisnis peraturan dan kebijakan
pelaksanaan kebijakan dan kegiatan privasi
yang akan memastikan bahwa
arahan privasi terpenuhi. Privacy
Officer juga disebut sebagai petugas
perlindungan data.
Project and Seseorang yang bertanggung jawab Mengarikulasikan risiko yang
programme untuk mendukung program dan terkait dengan program dan
steering committee proyek manajer, mengumpulkan, proyek
menilai dan melaporkan informasi
tentang pelaksabaab program dan
proyek konstituen.
Chief Insurance Pejabat paling senior diperusahaan Dikonsultasikan untuk transfer
Officer dalam mengelola polis asuransi dan pembagian risiko
Procurement Fungsi yang melibatkan dan Berkonsultasi dan memberi saran
mengelola pihak ketiga dan proses dalam mengelola risiko pihak
yang terkait, seperti kontrak, dan ketiga
keseluruhan rantai pasokan
sehingga penentuan domain lebih tepat sasaran (Fitroh, Siregar, & Rustamaji,
kebutuhan dan di dukung oleh kerangka kerja COBIT 5. Adapun ditemukan fakta
65
terjadinya kegagalan migrasi data pada server serta terjadinya kerusakan pada back-
terhadap Stakeholder Needs yang selaras dengan stakeholders needs yang selaras
dipilih adalah nomor tiga yaitu, Managed business risk (safeguarding of assets).
66
Gambar 2. 10 Mapping COBIT 5 Enterprise Goals to IT-related Goals (ISACA,
2012)
Diketahui bahwa kolom dengan tanda P berarti Primary menunjukan bahwa
berarti Secondary menunjukan bahwa memiliki hubungan yang kuat tapi kurang
penting. Pada kolom Enterprise Goals nomor tiga Managed business risk
67
(safeguarding of assets), diketahui terdapat tiga IT-related goals yang memiliki
hubungan yang penting yaitu, (4) Managaed IT-related business risk, (10) Security
diskusi dan fokus evaluasi yang akan dilakukan pada Divisi TI-Telkom, maka IT
Related goals yang selaras dengan Enterprise goals yang dipilih dalam penelitian
adalah nomor empat (4) Managed IT-related business risk.Setelah menentukan IT-
penelitian ini, dengan melakukan pemetaan terhadap 37 process yang terdapat pada
COBIT 5. Berikut ini merupakan gambar Mapping IT related goals pada proses
68
Gambar 2. 11 Mapping IT-related goal (ISACA, 2012)
Pada gambar diatas diketahui pemetaan IT-related goal terhadap proses –
proses yang terdapat dalam COBIT 5 pada domain EDM dan APO.
69
Gambar 2. 12 Mapping IT-related goal (ISACA, 2012)
Pada gambar diatas diketahui bahwa P memiliki arti Primary yaitu memiliki
yang kuat namun kurang penting. Pada kolom IT-related goals nomor empat
Manage IT-related business risk terdapat 15 proses yang memiliki hubungan yang
70
penting terhadap IT-related goals. Berdasarkan hasil pemetaan tersebut peneliti
menentukan domain mana yang akan menjadi fokus pada penelitian ini. Hasil dari
kuesioner (pra penelitian), proses yang dipilih untuk dikaji lebih lanjut dalam
penelitian ini adalah EDM03 (Ensure Risk Optimisation) dan APO12 (Manage
Fokus area domain yang dipilih adalah domain Evaluate, Direct and Monitor
pada proses EDM03 (Ensure Optimisation Risk) dan Align, Plan and Organise pada
tidak melebihi kemampuan dan toleransi perusahaan dalam menerima risiko, serta
Menurut ISACA (2012), deskripsi dari APO12 adalah secara terus menerus
71
Tujuan dari proses tersebut mengintegrasikan management dari risiko TI
2.7. Risiko
risiko yang dihadapi. Risiko tidak cukup dihindari, tapi harus dihadapi dengan cara
cara yang dapat memperkecil kemungkinan terjadinya suatu kerugian., risiko dapat
1. Risiko Spekulatif
2. Risiko Murni
2.8. Risiko TI
dalam organisasi, terdiri atas semua kejadian terkait TI yang berpotensi memiliki
72
Gambar 2. 13 Risk IT Framework (ISACA, 2009)
Risiko dan Value merupakan dua sisi mata uang yang berbeda tetapi
untuk menciptakan nilai tidak hilang karena keinginan untuk mengeliminasi risiko,
berikut:
efisiensi dan efektifitas proses bisnis atau sebagai enabler bagi inisiatif bisnis baru.
Terkait dengan kontribusi TI bagi solusi bisnis baru atau memperbaiki solusi
Terkait dengan seluruh aspek kinerja sistem dan layanan TI, yang dapat
73
terhadap faktor-faktor yang dapat menyebabkan kegagalan dalam autentikasi, non-
74
4. Mengidentifikasi obyektif teknologi informasi dan posisi risiko –
organisasi.
75
9. Menyepakati dan memastikan adanya rencana aksi yang disetujui –
melakukan identifikasi risiko potensial yang berasal dari internal dan eksternal
organisasi, dan juga berfungsi untuk menilai sejauh mana impact yang ditimbulkan
oleh risiko tersebut bisa mengganggu atau menghambat berjalannya proses bisnis
dan pencapaian dari tujuan organsiasi. Besar dampak (impact) dapat dihitung
menggunakan penilaian Inherent Risk dan Residual Risk, serta melakukan analisis
dari kegiatan / proses Risk Evaluation dan Risk Analysis. Risk Evaluation adalah
kriteria risiko yang sudah ditentukan sebelumnya. Sedangkan Risk Analysis adalah
76
teridentifikasi serta memastikan dan menentukan seberapa besar impact (dampak)
risiko tersebut.
merupakan sebuah uraian sketsa dari kejadian – kejadian yang terkait dengan
(dampak) bagi suatu perusahan. Dari gambar berikut ini dapat dilihat dan
teknologi informasi.
77
1. Aktor (Actor)
yaitu aktor yang berasal dari internal dan eksternal perusahaan. Aktor
3. Kejadian (event)
78
aplikasi, infrastruktur Teknologi Informasi, fasilitas, informasi dan
lain sebagainya.
5. Waktu (Time)
Time disini adalah keadaan dimana suatu skenario risiko terjadi yang
pedoman yang diberikan oleh ISACA yang tertuang dalam Generic IT Risk
Scenarios. Dari table 2. Berikut ini dapat dilihat dan diperhatikan mengenai
79
No High Level Risk Scenario Definisi
6 Integration of IT Within Business Risiko yang berkaitan dengan upaya
Procesess mengintegrasikan Teknologi
Informasi dengan proses bisnis
organisasi.
7 IT Expertise and Skills Risiko yang berkaitan dengan
keterampilan dan keahlian yang
dimiliki oleh Teknologi Informasi
yang diterapkan oleh organisasi.
8 IT Staff Risiko yang berkaitan dengan pegawai
atau staff di bidang Teknologi
Informasi.
9 Destruction of Infrastructure Risiko yang berkaitan dengan
perusahaan terhadap infrastruktur
yang dimiliki oleh organisasi.
10 Infrastructure Theft Risiko yang berkaitan dengan
pencurian terhadap infrastruktur yang
dimiliki oleh organisasi.
11 Selection / Performance of Third-party Risiko yang berkaitan dengan
Suppliers pemilihan pihak ketiga beserta dengan
prestasi atau kinerjanya.
12 Project Quality Risiko yang berkaitan dengan kualitas
penyampaian dari proyek Teknologi
Informasi
13 Project Delivery Risiko yang berkaitan dengan
perencanaan perhitungan anggaran
dari setiap proyek Teknologi Informasi
yang dijalankan oleh organisasi
14 IT Project Economics Risiko yang berkaitan dengan
perencanaan perhitungan anggaran
dari setiap proyek Teknologi Informasi
yang dijalankan oleh organisasi.
15 IT Project Termination Risiko yang berkaitan dengan
pemberhentian atau pemutusan proyek
yang berkaitan dengan Teknologi
Informasi oleh organisasi
16 Software Implementatio Risiko yang berkaitan dengan
pengimplementasian atau penerapan
software
17 Regulatory Compliance Risiko yang berkaitan dengan
kepatuhan terhadap aturan kebijakan
yang telah dibuat.
80
No High Level Risk Scenario Definisi
18 Architectural Agility & Flexibility Risiko yang berkaitan dengan
penerapan arsitektur Teknologi
Informasi yang andal dan fleksibel.
19 Ageing of Application Software Risiko yang berkaitan dengan
penggunaan Aplikasi atau Software
yang telah renta dan tua
20 State of Infrastructure Technology Risiko yang berkaitan dengan kondisi
infrastruktur penunjang Teknologi
Informasi yang digunakan untuk
menunjang proses bisnis dalam suatu
organisasi.
21 Software Integrity Risiko yang berkaitan dengan upaya
mengintegrasikan beberapa software
yang diterapkan oleh organisasi.
22 Software Performance Risiko yang berkaitan dengan kinerja
dari suatu software yang telah terapkan
atau di implementasikan didalam
organisasi.
23 Infrastructure (Hardware) Risiko yang berkaitan dengan
infrastruktur utamanya adalah
hardware.
24 Logical Attacks Risiko yang berkaitan dengan dampak
atau efek yang ditimbulkan atau
disebabkan dari serangan logic
terhadap organisasi, seperti virus dan
sebagainya.
25 Malware Risiko yang berkaitan dengan dampak
atau efek yang ditimbulkan atau
disebabkan oleh serangan malware
yang ditujukan kepada organisasi.
26 Ageing of Infrastructural Software Risiko yang berkaitan dengan penuaan
infrastruktur software yang
dipergunakan oleh perusahaan, seperti
software yang sudah tua dan renta
maupun software dengan versi lama.
27 System Capacity Risiko yang berkaitan dengan
kemampuan dan kapasitas sistem
dalam mengolah dan menampung
suatu transaksi yang berjalan dalam
organisasi.
81
No High Level Risk Scenario Definisi
28 Information Media Risiko yang berkaitan dengan media
informasi atau data yang dimiliki oleh
organisasi.
29 Utilities Performance Risiko yang berkaitan dengan kinerja
utilitas.
30 Industrial Action Risiko yang berkaitan dengan aksi
industry atau serikat kerja yang
berskala organisasi maupun nasional.
31 Operational IT Errors Risiko yang berkaitan dengan
kegagalan atau kesalahan operasional
dalam penerapan Teknologi Informasi
suatu organisasi.
32 Logical Trespassing Risiko yang berkaitan dengan
penyalahgunaan atau penyelewengan
akses logic dalam organisasi.
33 Data (base) Integrity Risiko yang berkaitan dengan mutu
atau integritas dari suatu data atau
informasi dalam database yang
dimiliki oleh organisasi.
34 Contractual Compliance Risiko yang berkaitan dengan
kepatuhan terhadap perjanjian atau
kontrak yang telah dibuat.
35 Environmental Risiko yang berkaitan dengan
lingkungan sekitar organisasi.
36 Acts of Nature Risiko yang berkaitan dengan aktivitas
alam yang dapat menimbulkan
gangguan dan kerugian bagi
organisasi.
2 hal yang harus dinilai dalam setiap skenario risiko, yaitu frekuensi dan
dengan likelihood atau probability yaitu jumlah kejadian dalam sebuah durasi
82
disarankan karena dia dapat berarti berbeda untuk berbagai skenario dan
tujuan organisasi yang dimiliki. Berikut ini contoh dari skala impact.
83
2.10.3. Risk Map
risiko diplot pada diagram dua dimensi, dengan frekuensi dan dampak pada
yang lengkap tentang risiko TI dan area tindakan yang jelas. Pada Gambar 2.
84
Terdapat beberapa penelitian yang peneliti jadikan acuan untuk
85
Nilai Impact
Strategis Operasional Legal Reputasi
tidak menghentikan kerugian signifikan hilangnya
proses bisnis lain. terhadap organisasi kepercayaan pada
internal organisasi
4 Besar Tertundanya Operasional Adanya tuntutan Terbentuknya
Implementasi rencana terganggu dan tidak hukum dari individu opini negatif yang
strategis, sehingga bisa diatas segera dan/atau terjadi sampai
organisasi harus dengan sumber daya instansiyang masyarakat luas
melakukan perubahan yang ada, sehingga berwenang, dan publikasi oleh
rencana strategis sebagian proses bisnis sehingga dapat media massa,
lainnya terhenti menimbulkan sehingga
kerugian signifikan berdampak
terhadap organisasi, hilangnya
namun tidak sampai kepercayaan pada
menyebabkan organisasi secara
organisasi terhenti keseluruhan
namun tidak
menyebabkan
organisasi terhenti
5 Sangat Tidak dapat Operasional Adanya tuntutan Terbentuknya
Besar mengimplementasikan terganggu dan tidak hukum dari dari opini negatif yang
rencana strategis dapat diatasi segera individu dan/atau terjadi sampai
sehingga organisasi sehingga sebagian instansi yang dengan
gagal dalam besar proses bisnis berwenang terhadap masyarakat luas
melaksanakan peran lainnya terhenti keseluruhan dan publikasi oleh
dan fungsinya organisasi, sehingga media massa,
menimbulkan sehingga
kerugian sangat berdampak
besar dan dapat hilangnya
menyebabkan kepercayaan dan
organisasi terhenti / terhentinya
dilarang beroprasi organisasi secara
keseluruhan
86
Berdasarkan standar paramater rating yang telah dibuat kemudian
dibuatlah matriks risiko menggunakan risk map sesuai dengan standar yang
berikut:
87
Adapun parameter impact yang digunakan dalam penelitian tersebut
Sangat
Besar Medium Medium High High High
(5)
Besar
Low Medium Medium High High
(4)
Impact
Sedang
Low Medium Medium Medium High
(3)
Kecil
Low Low Medium Medium High
(2)
Sangat
Kecil Low Low Low Medium Medium
(1)
Sangat Kadang - Sangat
Jarang Sering
Jarang kadang Sering
(2) (4)
(1) (3) (5)
Probability
88
2.11. Risk Response (Respon Risiko)
sebelumnya. Berikut ini merupakan langkah atau tindakan yang dapat diambil
dalam merespon risiko yang telah ditemukan, antara lain adalah sebagai berikut:
a. Risk Avoidance
d. Risk Acceptance
89
mempertahankan operasi bisnis yang berkensinambungan sebelum, selama dan
downtime selama 5 atau 10 menit dapat menghabiskan biaya jutaan dolar atau
ini juga dikenal sebagai persyaratan zero-downtime dan sangat mahal untuk
ketersediaan berkelanjutan.
melakukan bisnis tanpa teknologi. Setiap bisnis yang mengandalkan teknologi akan
90
2.13. Disaster Recovery Plan
sesegera mungkin. Dengan mengevaluasi sistem mana yang terkena dampak banjir
Disaster Recovery Plan atau DRP adalah penerapan dari Business Continuity
Plan atau disebut juga “BCP in action” yaitu implementasi BCP saat terjadi
timbul. DRP akan mengurangi kebingungan yang terjadi saat ada bencana dan
Pada saat ada kejadian bencana tentunya organisasi tidak akan memiliki
waktu banyak untuk membuat rencana pemulihan dilokasi bencana saat terjadi.
Dengan perencanaan yang baik dan proses simulasi benar sebelum ada kejadian
Secara umum manfaat atau tujuan penyusunan disaster recovery plan bagi
penyediaan layanan
91
3. Menjamin kehandalan dari sistem yang sedia melalui pengetesan dan
simulasi
selama bencana.
bencana, yaitu dengan menentukan strategi dan prosedur yang akan dilakukan
aktifitas bisnis apa saja yang harus dilakukan selama fasilitas teknologi
Asuransi tidak bisa digunakan untuk perencanaan, tapi pada saat ada
92
perencanaan yang memadai, maka biaya premi asuransi biasanya akan lebih
sebagai berikut:
kembali
proses backup atau alternative pemrosesan data saat terjadinya bencana yang
bencana:
93
3. Warm site: Fasilitas alternative yang memilikinya sarana yang lebih
komputer, misalnya ruangan yang memiliki listrik dan AC. Tapi belum
ada komputernya
organisasi. Strategi ini hamper sama dengan mutual aid agreement, namu
1. Jarak dari Fasilitas Utama; pilihlah lokasi yang tidak terlalu dekat dan
2. Potensi Risiko dari Bencana: apakah lokasi tersebut juga memiliki risiko
terkena bencana
94
3. Ketersediaan staff setempat: apakah ada staff setempat yang bisa
baterai tersedia, dan apakah mencukupi untuk waktu lebih dari 27 jam.
tersebut.
7. Tax Incentive; Lokasi diluar perkotaan mungkin akan jauh lebih murah
biayanya.
Disaster recovery plan sering sudah out of date atau tidak sesuai lagi
mereorganisasi dan mungkin saja unit bisnis critical telah berbeda dari saat
lokasi atau konfigurasi dari hardware, software dan komponen lainnya. Juga
mungkin karena masalah administrasi seperi turn over dari pegawai dan
Metode yang digunakan pada penelitian kali ini adalah sebagai berikut:
1. Observasi
95
Observasi adalah teknik atau pendekatan untuk memperoleh
2. Wawancara
3. Kuesioner
4. Studi Pustaka
96
yang telah didapat melalui metode yang sudah dilakukan
organisasi
tersebut
3. Analisis Gap
peluang perbaikan.
4. Rekomendasi
yang didapatkan dari hasil temuan audit. Dari hasil temuan audit
berkelanjutan.
97
2.14.3. Metode Perhitungan Skala Likert
penentuan nilai skalanya. Nama skala ini diambil dari nama penciptanya
penggunaannya.
fenomena sosial, fenomena sosial ini telah ditetapkan secara spesifik oleh
peneliti dan selanjutnya disebut sebagai variable penelitian. Data yang telah
yaitu dengan cara menetapkan skor jawaban dari pertanyaan yang telah
98
digunakan oleh Krisdanto Suhendro pada bukunya yang berjudul
𝐻
𝐶= × 100%
𝐽𝑅
Keterangan:
(𝑁𝑘 × 𝐿𝑃)𝑎 + (𝑁𝑘 × 𝐿𝑃)𝑏 + (𝑁𝑘 × 𝐿𝑃)𝑐 + (𝑁𝑘 × 𝐿𝑃)𝑑 + (𝑁𝑘 × 𝐿𝑃)𝑒 + (𝑁𝑘 × 𝐿𝑃)𝑓
𝑁𝐾 =
1
Keterangan:
kapabilitas dan tingkat kapabilitas. Nilai kapabilitas bisa bernilai tidak bulat
99
tingkat kapabilitas tertentu. Sedangkan tingkat kapabilitas lebih menunjukkan
tahapan atau kelas yang dicapai dalam proses kapabilitas, yang dinyatakan
terhadap tingkat kapabilitas yang sama terhadap proses pada tabel berikut:
1. Samaptoaji (2016)
bertujuan untuk menyusun profil risiko TI sebagai salah satu langkah untuk
RiskIT. Hasil dari penelitian ini adalah teridentifikasi terdapat 64 risk issue
kerja utama Ditjen Dukcapil adalah rendah yaitu 85,94% (59 Risk Issue) dan
100
7,81% (5 Risk Issue) yang tingkat risiko diatas batas risk appetite (risiko yang
Data Center memiliki nilai 15 dan salah satu langkah mitigasi yang diberikan
CCTV (memperbanyak).
Penelitian ini bertujuan untuk melakukan tahapan dan proses analisis risiko
kerangka kerja ISO 31000 selain itu juga bertujuan untuk mengetahui tingkat
risiko teknologi informasi i-Gracias saat ini serta perlakuan risiko yang
diberikan. Hasil dari penelitian ini diketahui terdapat 43 Risk Issue yang
cukup untuk menjaga suhu dan temperatur ruangan agar tetap dingin sehingga
101
kematangan saat ini di Kantor Arsip Daerah Kota Samarinda untuk domain
Tata Kelola Risiko rata-rata repeatable but intuitive, domain Evaluasi Risiko
rata-rata defined dan domain Respon Risiko rata-rata repeatable but intuitive
pengembangan kedalam tahapan yang prosedur dan serupa diikuti oleh pihak-
4. Tampubulon (2015)
mencegah hal yang sama terulang kembali (pembobolan ATM). Hasil dari
penelitian ini adalah diketahui bahwa mitigasi menjadi langkah yang tepat
sistem keamanan di bilik ATM dan menganjurkan nasabah akan lebih hati-
PT. Bank Tabungan Negara, Tbk. Penelitian ini menggunakan framework ISO
102
Hardware & Software penunjang operasional, infrastruktur dan sms banking.
Karena masuk dalam kategori tinggi. Dari hasil penelitian tersebut diketahui
103
BAB III
METODOLOGI PENELITIAN
Metode penelitian yang digunakan pada penelitian kali ini adalah metode
permasalahan yang dalam hal ini menggunakan sebuah studi kasus, yaitu suatu cara
informasi dan melaporkan hasilnya. Dalam studi kasus ini, metode pengumpulan
data dilakukan dengan wawancara yang dipandu berdasarkan COBIT 5, selain itu
terkait) dan data sekunder yang diperoleh dari berbagai sumber (studi pustaka yang
dapat dilihat dari penelitian sebelumnya ataupun dari internet serta buku – buku
3.2. Initiation
Pada tahap ini peneliti melakukan identifikasi awal profil PT PLN P2B
bertujuan untuk memperoleh pemahaman tentang organisasi saat ini. Pada tahap ini
organisasi saat ini yang nantinya akan dievaluasi. Metode pengumpulan data yang
104
3.2.1. Observasi
3.2.2. Wawancara
TI berperan cukup besar, dimana proses bisnis yang berjalan banyak yang
kedua pertanyaan lebih membahas pada pengelolaan server atau data center.
Dari hal tersebut diketahui bahwa PLN P2B pernah mengalami insiden
105
3.2.3. Kuesioner
dimana pada proses EDM03 terdapat 3 sub proses dan APO12 terdapat 6
sub proses yang terdiri dari beberapa pertanyaan mewakili tiap sub
memiliki ketentuan jarak nilai dari 0-5. Tiap pertanyaan untuk mengetahui
kondisi saat ini (as is) dan kondisi yang diharapkan (to be).
buku – buku, jurnal, ebook, dan penelitian sejenis. Berikut ini adalah
referensi penelitian:
106
Andi Novia Rilyani 2015 Analisis Risiko Teknologi
Informasi Berbasis Risk
Management Menggunakan
ISO31000 (Studi Kasus: i-Gracias
Telkom University)
Penelitian ini menggunakan framework ISO31000. Dari hasil
penelitian tersebut diketahui bahwa risiko yang memiliki risiko
tertinggi adalah Database Server Down, untuk itu langkah mitigasi
yang perlu ditangani adalah dengan melakukan pemeliharaan
database seperti menghilangkan log yang menggunakan kapasitas
yang besar menggunakan pendingin ruangan yang cukup untuk
menjaga suhu dan temperatur ruangan agar tetap dingin sehingga
perangkat terhindar dari risiko akibat overheat.
Damar Nurcahyono 2013 Evaluasi Pelaksanaan Manajemen
Risiko Teknologi Informasi pada
Kantor Arsip Daerah Kota
Samarinda dengan Menggunakan
The Risk IT Framework
Pada penelitian ini menggunakan framework RiskIT. Dari hasil
penelitian tersebut diketahui nilai dari atribut tata kelola risiko berada
pada tingkat 2 yang berarti tata kelola risiko saat ini berada pada
tingkat kematangan Repeatable but Intuitive. Sedangkan pada
domain Evaluasi Risiko nilai tingkat kematangan berada pada tingkat
3 yang berarti domain evaluasi risiko saat ini berada pada tingkat
kematangan Defined. Pada domain Respon Risiko juga berada pada
tingkat 2 yang berarti tingkat kematangan Repeatable but Intuitive.
Anthon R 2015 Manajemen Risiko Teknologi
Tampubolon Informasi
Menggunakan Framework ISO
31000:2009 Studi Kasus :
Pembobolan ATM BCA Tahun
2010
Pada penelitian ini menggunakan framework ISO 31000. Dari hasil
penelitian tersebut diketahui bahwa manajemen risiko penting
dilakukan untuk menjaga tercapainya tujuan. BCA mengambil
langkah mitigasi dengan menguatkan sistem keamanan di bilik ATM
dan menganjurkan nasabah untuk mengganti PIN ATM.
Enda Esyudha 2013 Analisis Nilai & Manajemen Risiko
Pratama Teknologi Informasi
(studi kasus PTBank Tabungan
Negara.Tbk)
107
Pada penelitian ini menggunakan framework ISO31000. Dari hasil
penelitian tersebut diketahui langkah mitigasi yang diambil adalah
dengan melakukan penyempurnaan pada kebijakan dan prosedur
pengelolaan manajemen, serta mengembangkan kemampuan SDM di
bidang manajemen risiko.
mendapatkan data yang dibutuhkan pada EDM03 (Ensure Risk Optimisation) dan
proses EDM03 Ensure Risk Optimisation dan APO12 Manage Risk. Yang
108
g. APO12.04 : Mengartikulasikan risiko
risiko
2. Purposive Sampling
Berikut ini adalah pihak – pihak yang akan dijadikan responden pada
109
NO Fungsi Struktur Divisi TI
Fungsional Struktur COBIT
PT PLN P2B
3 Chief Risk Officer Supervisor TI
4 Chief Information Officer Kadiv Aplikasi TI
5 Chief Information Security Officer Kadiv Infrastruktur TI
3.4. Briefing
Pada tahap ini peneliti memberikan pengarahan kepada responden yang ada
pada diagram RACI sehingga memahami input, proses dan output dalam unit
organisasi dan menjelaskan jadwal penelitian yang akan dilakukan baik komunikasi
110
3.5. Data Collection
Pada tahap ini peneliti melakukan pengumpulan data dari hasil temuan yang
terdapat pada sistem yang dijalankan oleh PLN P2B. Dilakukan dengan observasi
dan wawancara kepada pihak yang terkait dengan sistem yang dijalankan tersebut
untuk dapat menemukan bukti – bukti dari aktivitas pada proses yang telah
dilakukan.
Pada tahap ini peneliti melakukan validasi data dari kuesioner yang telah diisi
para responden sesuai dengan identifikasi diagram RACI. Tahap ini meliputi
Pada tahap ini peneliti memberikan tingkat pada atribut yang ada pada setiap
indikator proses kapabilitas. Untuk menunjukan hasil capability level dari hasil
perhitungan kuesioner pada tahap sebelumnya dan melakukan analisis gap pada
tahap selanjutnya.
yang terdapat dalam COBIT. Kemudian dari risiko yang telah teridentifikasi
111
3.8. Reporting the Result
Pada tahap ini peneliti melaporkan hasil dari evaluasi yang telah dilakukan
dengan memberikan laporan dari hasil identifikasi risiko dan analisis kesenjangan
yang dimananya bisa dijadikan perusahaan untuk dapat mencapai level yang
diharapkan (to be). Langkah mitigasi dan usulan perbaikan diarahkan agar
112
BAB IV
4.1. Initiation
secara komersil sesuai dengan kontrak kinerja yang ditetapkan oleh Direksi
PLN yaitu : PLN KJB akan menjadi PLN Pembangkitan Jawa Bali I (PJB I)
dan PLN KJT menjadi PLN Pembangkitan Jawa Bali II (PJB II).
ekstra tinggi 500 kV, Tegangan Tinggi 150 kV, Tegangan Menengah 70 kV
Bisnis Strategis Penyaluran dan Pusat Pengatur Beban Jawa Bali, maka PT
PLN (Persero) P3B yang merupakan unit pusat laba (profit center) berubah
113
menjadi unit pusat investasi (investment center) dengan nama Unit Bisnis
Strategis Penyaluran dan Pusat Pengatur Beban Jawa Bali (UBS P3B).
ditunjuk Muljo Adji AG. Tim II (Bidang Teknik) diketuai Suyono, Tim III
VII Unit Setelmen Ulysses R Simanjuntak, Tim VIII Unit Bidang Operasi
diketua mantan Kepala Sektor Jakarta Djoko Hastowo. Sedangkan tim kedua
tragi. Jika sebelumnya terdapat banyak sektor dan unit transmisi dan gardu
Keempatnya adalah region Jakarta dan Banten (R1), region Jawa Barat (R2),
114
region Jawa Tengah dan DIY (R3) dan region Jawa Timur dan Bali (R4).
Ketua Tim ini Muljo Adji AG untuk R1, Kikid Sukantomo Adibroto (R2),
Edy Wahyudi (R3), dan Djoko Hastowo (R4). Tim XI : Pengabungan Proyek
ke UBS P3B yang dipimpin Djodi Suprapto. Namun niat tersebut urung
1. Visi
2. Misi
Perdir.0034.P//2017
115
Gambar 4. 1 Struktur organisasi PT PLN P2B (Perdir.0034.//2017)
116
Kinerja dan Mutu, menganalisa dan mengevaluasi terkait
penyaluran.
peralatan pendukung.
117
Gambar 4. 2 Struktur organisasi divisi TI & Telekomunikasi (Perdir.0034.//2017)
1. Deputi Manajer Teknologi Informasi dan Telekomunikasi
118
3. Divisi Infrastruktur Teknologi Informasi bertanggung jawab
secara optimal.
akurat.
dari struktur organisasi divisi TI PLN P2B kepada Roles and Organisational
Structures dalam RACI Chart COBIT 5. Pemilihan responden ini juga tidak
119
serta merta memasukkan seluruh struktur organisasi yang ada di PLN P2B.
pemilihan responden yang dirasa sesuai dengan kondisi intansi saat ini.
120
4.2.2. Rincian Jawaban Kuesioner EDM03 (Ensure Risk
Optimisation)
5.
121
memberi penilaian pada level 3 dan 1 respoden memberi penilaian
pada level 5.
122
Berdasarkan tabel rincian kuesioner EDM03.02 menunjukan
4.
4.
4.
4.
123
pada level 3 dan 1 responden memberi penilaian pada level 4.
5.
124
Pada aktifitas 2 pada kondisi as is terdapat 2 responden yang
4.
4.
4.
125
Berdasarkan tabel rincian kuesioner APO12.01 menunjukan
5.
4.
126
Pada aktifitas 5 pada kondisi as is terdapat 1 responden yang
4.
5.
5.
127
Berdasarkan tabel rincian kuesioner APO12.02 menunjukan
5.
5.
4.
4.
128
pada level 3. Sementara pada kondisi to be 1 responden memberi
4.
5.
129
memberi penilaian pada level 3 dan 1 responden memberi penilaian
5.
5.
4.
130
penilaian pada level 3 dan 1 responden memberi penilaian pada level
4.
5.
5.
131
penilaian pada level 3 dan 1 responden memberi penilaian pada level
5.
5.
132
penilaian pada level 3 dan 1 responden memberi penilaian pada level
5.
Risiko
4.
133
penilaian pada level 3 dan 1 responden memberi penilaian pada level
4.
134
Pada aktifitas 3 pada kondisi as is terdapat 1 responden yang
4.3. Briefing
para responden. Tahapan ini dilakukan dengan pihak divisi TI di PLN P2B terkait
dengan dokumen dibutuhkan untuk menjadi proses input, proses yang akan
dilakukan peneliti dan juga output yang akan dihasilkan dari penelitian ini. Peneliti
November 2017 sampai tanggal 8 November 2017 dan melakukan rekapitulasi hasil
135
Tabel 4. 12 Tahap briefing
September Oktober November Desember
Initiation
Planning the
Assessment
Briefing
Data Collection
Data Validation
Process Attribute
Level
Reporting the Result
bukti atau temuan – temuan yang terdapat pada divisi TI PT PLN P2B Jawa Bali
berupa profil risiko yang disusun oleh divisi TI. Yang nantinya
136
yang disetujui terdapat di dalam PER DIR Nomor
laporan ERM.
137
mempengaruhinya serta isu risiko ditampilkan pada dokumen
Profil Risiko.
dokumen profil risiko yang berisi isu risiko yang ada pada divisi
TI.
di profil risiko.
Risiko)
138
Dalam mendefinisikan tindakan manajemen risiko perusahaan,
Pada tahapan ini, berisikan hasil rekapitulasi jawaban kuesioner yang telah
139
6. Mengevaluasi aktivitas To be 0 0 0 66,67 0 33,33
manajemen risiko untuk
memastikan kemampuan
perusahaan
TOTAL As is 0 0 55,55 16,67 27,78 0
To be 0 0 0 55,55 16,67 27,78
menilai kondisi saat ini (as is) dalam hal ini mengevaluasi manajemen risiko berada
diharapkan (to be) jumlah responden terbanyak mengharapkan berada pada tingkat
menilai kondisi saat ini (as is) dalam hal ini mengarahkan manajemen risiko berada
140
diharapkan (to be) jumlah responden terbanyak mengharapkan berada pada tingkat
kondisi saat ini (as is) dalam hal ini mengawasi manajemen risiko berada di tingkat
diharapkan (to be) jumlah responden terbanyak mengharapkan berada pada tingkat
141
7. Analisis faktor risiko As is 0 0 66,67 0 33,33 0
untuk mengidentifikasi To be 0 0 0 66,67 0 33,33
masalah baru
TOTAL As is 0 0 42,85 28,57 28,57 0
To be 0 0 0 42,85 28,57 28,57
kondisi saat ini (as is) dalam hal ini mengumpukan data berada di tingkat 2
kondisi saat ini (as is), dalam hal ini menganalisis risiko berada di tingkat 2
142
(to be) jumlah responden terbanyak mengharapkan berada pada tingkat 3
kondisi saat ini (as is), dalam hal ini menganalisis risiko berada di tingkat 2
143
4. Melihat hasil penilaian As is 0 0 33,33 33,33 33,33 0
pihak ketiga dan audit To be 0 0 0 33,33 33,33 33,33
internal
5. Mengidentifikasi peluang As is 0 0 66,67 33,33 0
teknologi yang mungkin To be 0 0 0 66,67 0 33,33
mendapatkan risiko
TOTAL As is 0 0 53,33 13,33 33,33 0
To be 0 0 0 53,33 13,33 33,33
kondisi saat ini (as is), dalam hal ini mengartikulasikan risiko berada di tingkat 2
kondisi saat ini (as is), dalam hal ini mendefinisikan portofolio tindakan manajemen
kondisi yang diharapkan (to be) jumlah responden terbanyak mengharapkan berada
144
Tabel 4. 21 Rekapitulasi jawaban kuesioner APO12.06 (Menanggapi risiko)
No. Aktivitas (Pertanyaan) Statu Distribusi Jawaban (%)
s 0 1 2 3 4 5
1. Menyiapkan, memelihara As is 0 0 33,33 66,67 33,33 0
dan rencana uji coba To be 0 0 0 33,33 66,67 0
langkah untuk
mengendalikan risiko
2. Mengkategorikan insiden- As is 0 0 66,67 33,33 0 0
insiden, dan To be 0 0 0 66,67 33,33 0
membandingkan ambang
batas toleransi risiko
3. Menerapkan rencana As is 0 0 66,67 33,33 0 0
tindakan yang sesuai untuk To be 0 0 0 66,67 33,33 0
meminimalisir risiko
4. Memeriksa kerugian di As is 0 0 33,33 33,33 33,33 0
masa lalu dan peluang To be 0 0 0 33,33 33,33 33,33
yang terlewat
TOTAL As is 0 0 50 41,67 16,67 0
To be 0 0 0 50 41,67 16,67
kondisi saat ini (as is), dalam hal ini menanggapi risiko berada di tingkat 2
(Managed Process) dengan persentase 50%, sementara kondisi yang diharapkan (to
Tahap selanjutnya adalah pemberian level pada setiap sub proses yang
145
a. Nilai kapabilitas EDM03.01 (Evaluate Risk Management)
As is
(0×0)+(0×1)+(55.55×2)+(16.67×3)+(27.78×4)+(0×5)
NK = = 2.72
100
To be
(0×0)+(0×1)+(0×2)+(55.55×3)+(16.67×4)+(27.78×5)
NK = = 3.72
100
As is
(0×0)+(5.56×1)+(50×2)+(38.88×3)+(5.56×4)+(0×5)
NK = =2.44
100
To be
(0×0)+(0×1)+(5.56×2)+(50×3)+(38.88×4)+(15.56×5)
NK = =3.94
100
As is
(0×0)+(0×1)+(58.33×2)+(33.33×3)+(11.11×4)+(0×5)
NK= 100
= 2.61
146
To be
(0×0)+(0×1)+(0×2)+(58.33×3)+(33.33×4)+(11.11×5)
NK= = 3.63
100
(Manage Risk):
As is
(0×0)+(0×1)+(42.85×2)+(28.57×3)+(28.57×4)+(0×5)
NK = =2.85
100
To be
(0×0)+(0×1)+(0×2)+(42.85×3)+(28.57×4)+(28.57×5)
NK = =3.85
100
As is
(0×0)+(0×1)+(47.61×2)+(33.33×3)+(19.04×4)+(0×5)
NK = =2.71
100
To be
(0×0)+(0×1)+(0×2)+(47.61×3)+(33.33×4)+(19.04×5)
NK = 100
=3.71
147
Nilai kapabilitas kondisi saat ini (as is) pada proses
As is
(0×0)+(4.76×1)+(28.57×2)+(42.85×3)+(23.80×4)+(0×5)
NK = =2.85
100
To be
(0×0)+(0×1)+(23.80×2)+(4.76×3)+(33.33×4)+(38.09×5)
NK = =3.85
100
As is
(0×0)+(0×1)+(53.33×2)+(13.33×3)+(33.33×4)+(0×5)
NK = =2.79
100
To be
(0×0)+(0×1)+(0×2)+(53.33×3)+(13.33×4)+(33.33×5)
NK = =3.79
100
148
e. Nilai kapabilitas APO12.05 (Define a Risk Management Action
Portfolio)
As is
(0×0)+(0×1)+(55.56×2)+(33.33×3)+(11.11×4)+(0×5)
NK = =2.55
100
To be
(0×0)+(0×1)+(0×2)+(55.56×3)+(33.33×4)+(11.11×5)
NK = =3.55
100
level 3.
As is
(0×0)+(0×1)+(50×2)+(33.33×3)+(16.67×4)+(0×5)
NK = =2.66
100
To be
(0×0)+(0×1)+(0×2)+(50×3)+(33.33×4)+(16.67×5)
NK = =3.66
100
149
4.6.2. Penentuan Level Kapabilitas
hasil perhitungan nilai kapabilitas yang terdapat pada tiap sub prosesnya
saat ini berada pada level 3 dengan nilai kapabilitas 2.72, pada proses
EDM03.02 capability level saat ini berada pada level 3 dengan nilai
kapabilitas 2.44, pada proses EDM03.03 capability level saat ini berada
pada level 4 dengan nilai kapabilitas 2.61. Dari ketiga sub proses tersebut
EDM03.01
5
4
3
2
1
0
EDM03.03 EDM03.02
150
Berdasarkan grafik di atas, diketahui bahwa kondisi saat ini pada
nilai kapabilitas 2,61, pada level ini divisi TI PLN P2B telah menerapkan
pada tingkat 4 dengan nilai kapabilitas 3,67 yang dimana pada tahap ini telah
hasil perhitungan nilai kapabilitas yang terdapat pada setiap sub prosesnya
capability level saat ini berada pada level 3 dengan nilai kapabilitas 2.85,
pada sub proses APO12.02 capability level saat ini berada pada level 3
dengan nilai kapabilitas 2.71, pada sub proses APO12.03 capability level
saat ini berada pada level 3 dengan nilai kapabilitas 2.85, pada sub proses
APO12.04 capability level saat ini berada pada level 3 dengan nilai
kapabilitas 2.79, pada sub proses APO12.05 capability level saat ini berada
pada level 3 dengan nilai kapabilitas 2.55, pada sub proses APO12.06
capability level saat ini berada pada level 3 dengan nilai kapabilitas 2.66.
151
Dari keenam sub proses tersebut dapat diketahui nilai kapabilitas pada
APO12.01
5
4
APO12.06 3 APO12.02
2
1
0
APO12.05 APO12.03
APO12.04
proses APO12 (Manage Risk) berada pada tingkat 3 dengan nilai kapabilitas
2,72, pada level ini divisi TI PLN P2B telah menerapkan Established
Process sedangkan kondisi yang di harapkan (to be) berada pada tingkat 4
dengan nilai kapabilitas 3,62 yang dimana pada tahap ini telah diterapkan
Predictable Process.
EDM03 (Ensure Risk Optimisation) dan APO12 (Manage Risk) apakah telah
dengan ketentuan kategori dari hasil penilaian di tiap levelnya. Dari hasil
152
persyaratan proses atribut dari level 1 sampai level 3. Sedangkan hasil tingkat
Pada level 1 berdasarkan Praktik Umum (GPs) dan Hasil Kerja Umum
(GWPs) yang ada pada COBIT 5, maka PLN P2B harus bisa menyediakan
bukti – bukti atau dokumen bahwa adanya proses yang telah dilakukan pada
mengukur seberapa jauh tujuan dari suatu proses yang telah ditentukan.
Berikut tabel pencapaian proses EDM03 dan APO12 di PLN P2B untuk
153
Pada level 2 menurut Praktik Umum (GPs) dan Hasil Kerja Umum
(GWPs) yang ada pada COBIT 5, maka PLN P2B harus memenuhi indikator
Berikut ini adalah tabel yang menjelaskan pencapaian PLN P2B untuk proses
EDM03
6 poin yang harus dipenuhi oleh PLN P2B. Dalam mengidentifikasi tujuan
dijelaskan tujuan dan ruang lingkup yang harus terpenuhi. Perencanaan dan
154
laporan ERM yang berisi tentang persetujuan langkah – langkah mitigasi
risiko juga tercantum dalam dokumen profil risiko terkait dengan RASCI
risiko. Dalam melaporkan isu-isu apa saja terkait risiko, tercantum dalam
terdapat 4 poin yang harus dipenuhi oleh PLN P2B. Dalam menentukan
kriteria kualitas dan hasil kerja tercantum dalam dokumen KPI (Key
Pada level 3 menurut Praktik Umum (GPs) dan Hasil Kerja Umum
(GWPs) yang ada pada COBIT 5, maka PLN P2B harus memenuhi indikator
155
yang ada dalam Process Definition dan Process Deployment. Berikut ini
adalah tabel yang menjelaskan pencapaian PLN P2B untuk proses EDM03
yang harus dipenuhi oleh PLN P2B. Dalam mendefinisikan Standar dari
dalam dokumen laporan ERM terkait langkah – langkah apa saja yang akan
156
No Work Products Exist Evidence
2 Menugaskan dan √ Profil Risiko
mengkomunikasikan peran,
tanggung jawab, dan otoritas
3 Memastikan kompetensi dan √ Dok. Key Performance
pelatihan yang dibutuhkan Indicator
4 Menyediakan sumber daya dan -
informasi untuk
-
mendukung performa optimasi
risiko
5 Menyediakan proses infrastruktur - -
yang layak
6 Mengumpulkan dan menganalisis √ Profil Risiko
data
Rata – rata Skor 66,67%
poin yang harus dipenuhi oleh PLN P2B. Dalam menjalankan proses
optimasi risiko, hasilnya dapat terlihat dari adanya Laporan ERM. Praktik
157
Tabel 4. 29 Proses APO12 PA 1.1 Process Performance
Pada level 2 menurut Praktik Umum (GPs) dan Hasil Kerja Umum
(GWPs) yang ada pada COBIT 5, maka PLN P2B harus memenuhi indikator
158
yang ada dalam Performance Management dan Work Product Management.
Berikut ini adalah tabel yang menjelaskan pencapaian PLN P2B untuk proses
APO12
6 poin yang harus dipenuhi oleh PLN P2B. Dalam mengidentifikasi tujuan
dijelaskan tujuan dan ruang lingkup yang harus terpenuhi. Perencanaan dan
159
yang dapat diambil. Dalam mengidentifikasi tanggung jawab proses optimasi
risiko juga tercantum dalam dokumen profil risiko terkait dengan RASCI
risiko. Dalam melaporkan isu isu apa saja terkait risiko, tercantum dalam
terdapat 4 poin yang harus dipenuhi oleh PLN P2B. Dalam menentukan
kriteria kualitas dan hasil kerja tercantum dalam dokumen KPI (Key
Pada level 3 menurut Praktik Umum (GPs) dan Hasil Kerja Umum
(GWPs) yang ada pada COBIT 5, maka PLN P2B harus memenuhi indikator
160
yang ada dalam Process Definition dan Process Deployment. Berikut ini
adalah tabel yang menjelaskan pencapaian PLN P2B untuk proses APO12.
yang harus dipenuhi oleh PLN P2B. Dalam mendefinisikan Standar dari
dalam dokumen laporan ERM terkait langkah – langkah apa saja yang akan
161
2 Menugaskan dan √ Profil Risiko
mengkomunikasikan peran,
tanggung jawab, dan otoritas
3 Memastikan kompetensi dan √ Key Performance Indicator
pelatihan yang dibutuhkan
4 Menyediakan sumber daya dan - -
informasi untuk
mendukung performa
5 Menyediakan proses infrastruktur - -
yang layak
6 Mengumpulkan dan menganalisis √ Profil Risiko
data
Rata – rata Skor 100%
poin yang harus dipenuhi oleh PLN P2B. Dalam menjalankan proses
optimasi risk, hasilnya dapat terlihat dari adanya Laporan ERM. Praktik
risiko tersebut dapat terjadi dan seberapa besar dampak yang dihasilkan oleh
162
menentukan parameter probability, parameter impact risiko dan rating
risiko. Setelah itu peneliti melakukan penilaian risiko terhadap inherent risk
dengan risk map. Selanjutnya dapat diketahui risko yang akan diprioritaskan
dan hasil diskusi dengan pihak PLN P2B. Adapun standar parameter
163
Tabel 4. 35 Parameter impact (Diadopsi dari Samaptoaji, 2014)
Nilai Impact
Strategis Operasional Legal Reputasi
1 Sangat Tidak memiliki Tidak memiliki Tidak memiliki Tidak memiliki
Kecil dampak. dampak. dampak. dampak.
2 Kecil Tertundanya Operasional Adanya keberanian Terbentuknya
implementasi rencana terganggu namun dari pihak opini negatif antar
organisasi dalam jangka dapat diatasi segera stakeholder kelompok kerja,
pendek (s/d 1 tahun). dengan sumber daya terhadap sehingga
Namun tidak mengubah yang ada. pelanggaran berdampak
rencana strategis. ketentuan hilangnya
perundang – kepercayaan pada
undangan. organisasi.
3 Sedang Tertundanya Operasional Adanya surat Terbentuknya
implementasi rencana terganggu dan tidak peringatan dari opini negatif dari
organisasi dalam jangka bisa diatasi segera individu atau pihak eksternal
pendek (> 1 tahun). dengan sumber daya instansi yang (pihak pelapor),
Namun tidak mengubah yang ada, namun berwenang, namun sehingga
rencana strategis. tidak menghentikan tidak menimbulkan berdampak
proses bisnis lain. kerugian signifikan hilangnya
terhadap organisasi kepercayaan pada
internal organisasi
4 Besar Tertundanya Operasional Adanya tuntutan Terbentuknya
Implementasi rencana terganggu dan tidak hukum dari individu opini negatif yang
strategis, sehingga bisa diatas segera dan/atau terjadi sampai
organisasi harus dengan sumber daya instansiyang masyarakat luas
melakukan perubahan yang ada, sehingga berwenang, dan publikasi oleh
rencana strategis sebagian proses bisnis sehingga dapat media massa,
lainnya terhenti menimbulkan sehingga
kerugian signifikan berdampak
terhadap organisasi, hilangnya
namun tidak sampai kepercayaan pada
menyebabkan organisasi secara
organisasi terhenti keseluruhan
namun tidak
menyebabkan
organisasi terhenti
5 Sangat Tidak dapat Operasional Adanya tuntutan Terbentuknya
Besar mengimplementasikan terganggu dan tidak hukum dari dari opini negatif yang
rencana strategis dapat diatasi segera individu dan/atau terjadi sampai
sehingga organisasi sehingga sebagian instansi yang dengan
gagal dalam besar proses bisnis berwenang terhadap masyarakat luas
melaksanakan peran lainnya terhenti keseluruhan dan publikasi oleh
dan fungsinya organisasi, sehingga media massa,
menimbulkan sehingga
kerugian sangat berdampak
besar dan dapat hilangnya
menyebabkan kepercayaan dan
organisasi terhenti / terhentinya
dilarang beroprasi organisasi secara
keseluruhan
164
Adapun standar parameter rating yang digunakan pada penelitian
165
kategori aset fasilitas, 5 risk issue masuk ke dalam kategori aset
risk issue masuk ke dalam kategori aset proses, dan 3 risk issue masuk
mengetahui kategori aset mana yang memiliki jumlah risk issue terbesar
166
jumlah risk issue terbanyak dengan jumlah masing-masing 2. Sebagai
kategori menengah tinggi yaitu, aset informasi dan aset aplikasi. Kedua
167
kategori aset tersebut yang nantinya mendapat perhatian khusus untuk
rendah, terdapat satu buah risiko yang tergolong dalam kategori rendah,
168
Integrity dan Operational IT Errors. Ketiga skenario risiko tersebut
dari hasil tersebut, risk issue yang memiliki nilai diatas batas risiko yang
agar setiap risk issue tersebut dapat masuk dalam level risiko yang dapat
169
kategori menengah rendah dan 5 buah risiko termasuk dalam kategori
risiko.
berikut ini.
Tabel 4. 42 Hasil penilaian risk terhadap residual risk berdasarkan skenario risiko
No. Skenario Risiko Nilai Risiko Dasar
Rendah Menengah Menengah Menengah Tinggi
Rendah TInggi
1 Ageing of Application 1
Software
2 Software Implementation 2
3 Utilities Performance 1
4 Infrastructure Theft 1
5 Destruction of Infrastructure 1
6 Infrastructure (Hardware) 1
7 Ageing of Infrastructural 1
Software
8 Acts of Nature 1
9 Database Integrity 1
10 Logical Trespassing 1
11 Operational IT Errors 1
12 Malware 1
13 Logical Attacks 1
14 IT Staff 1 1
15 IT Expertise and Skills 1
Total 11 1 5
di atas, dapat diketahui lebih rinci risiko apa saja yang memiliki nilai
residual risk di atas batas risiko yang dapat diterima oleh perusahaan.
170
dengan Acts of Nature, Logical trespassing, Operational IT Errors, IT
Staff dan IT Expertise dan Skills. Selain itu juga terdapat 2 buah risiko
mitigasi
tersebut dipetakan kedalam grafik dua dimensi yang disebut risk map
dapat lebih mudah memahami rating risiko dari setiap risk issue.
-
kadang
(3)
Sering
(4)
Sangat
Sering
(5)
Total 12 4 1
171
Berdasarkan risk map di atas, untuk mengetahui rating risiko
didapat dari perkalian nilai impact dan probability. Dari hasil tersebut
Dari risk map dapat diketahui ada 6 risk issue yang masih berada
di luar batas risiko yang dapat diterima perusahaan. Oleh karena itu
Pada tahap ini mengulas hasil laporan dan hasil penilaian dari tahap – tahap
sebelumnya. Disini dipaparkan gaps dan kesenjangan yang terdapat pada setiap
diharapkan oleh PT PLN P2B Jawa Bali. Selain itu untuk melengkapi proses
evaluasi risiko, pada tahap ini peneliti memberikan saran mitigasi berdasarkan
1. Capability Level saat ini (as is) pada proses EDM03 Ensure Risk
172
be) berada pada level 4 (Predictable Process) dengan nilai kapabilitas
3.76.
2. Capability Level saat ini (as is) pada proses APO12 Manage Risk
2.73 sedangkan untuk capability level yang diharapkan (to be) berada
Nilai yang didapat pada penilaian capability level berada pada level 3
tingkat kapabilitas tersebut, gap dan rekomendasi ini didapat dari hasil
173
Berdasarkan tabel diatas diketahui indikator kapabilitas pada level 1
lanjut pada level berikut. Indikator kapabilitas pada level 2, terdapat 2 poin
Achieved dengan persentase 83.33%. Pada level 3 juga terdapat 2 poin yang
tingkat yang diharapkan. PLN P2B dianjurkan untuk memenuhi gaps yang
berikan oleh peneliti sesuai dengan temuan yang didapatkan pada tahap
174
EDM03 Ensure Risk Optimisation
Gaps Rekomendasi
informasi untuk mendukung daya dan informasi yang dapat
performa optimasi risiko mendukung performa dalam
mengoptimasi risiko, salah
satunya dengan memberikan
pelatihan terkait penerapan
optimasi risiko untuk
meningkatkan kompetensi
SDM
Belum ditemukannya dokumen ✓ Divisi TI-Telkom harus
dalam mengidentifikasi proses melakukan identifikasi terkait
penyediaan infrastruktur yang infrastruktur apa saja yang
layak dapat mengurangi
kemungkinan ada risiko yang
dijalankan. Mengidentifikasi
setiap infrastruktur yang
bersifat vital dan memiliki
nilai risiko yang tinggi.
Belum optimalnya divisi TI dalam ✓ Mendokumentasikan
merespon sebuah perubahan risiko mekanisme yang tepat dalam
dengan cepat mengelola sebuah perubahan
risiko secara rinci dengan
melakukan proses identifikasi
terhadap risiko risiko apa saja
yang tidak terduga, seperti
teknologi baru.
Belum ditemukan adanya proses ✓ Divisi TI PLN P2B
menentukan teknik analisis dan direkomendasikan untuk
kontrol performa optimasi risiko mendokumentasikan detail
pengontrolan (matriks kontrol)
optimasi risiko dan
mengimplementasikan rencana
pengendalian.
oleh PLN P2B agar dapat memenuhi persyaratan ke level 3 pada proses
175
penerapan optimasi risiko untuk meningkatkan kompetensi SDM. Sehingga
Nilai yang didapat pada penilaian capability level berada pada level 3
tingkat kapabilitas tersebut, gap dan rekomendasi ini didapat dari hasil
Achieved, tetapi masih terdapat beberapa Work Products yang harus dipenuhi
agar penilaian pada level 1 mencapai 100%. Penilaian lanjut pada level
176
keduanya sudah tercapai 100%. Pada level 3 nilai capability level pada masih
level 3 juga terdapat 2 poin yang harus dipenuh yaitu Process Definition dan
fokus untuk mencapai pada tingkat yang diharapkan. PLN P2B dianjurkan
ini adalah rekomendasi yang berikan oleh peneliti sesuai dengan temuan
177
APO12 Manage Risk
Gaps Rekomendasi
ketiga dalam melakukan
penilaian risiko guna
melengkapi internal audit.
Mendapatkan validitas dari
pihak yang telah bersertifikasi.
Belum ditemukan adanya metode ✓ Divisi TI-Telkom
yang sesuai untuk manajemen Direkomendasikan mencari
risiko metode yang sesuai untuk
proses manajemen risiko.
Lakukan perbandingan
metode, agar dapat ditemukan
metode yang sesuai.
Belum ditemukannya dokumen ✓ Divisi TI harus melakukan
dalam mengidentifikasi proses identifikasi terkait infrastruktur
penyediaan infrastruktur yang layak apa saja yang dapat
mengurangi kemungkinan ada
risiko yang dijalankan
Belum adanya entitas perusahaan ✓ Divisi TI direkomendasikan
yang secara khusus mengawasi dan untuk menyediakan staff IT
memiliki akuntabilitas untuk yang secara khusus
melakukan hal tersebut. bertanggung jawab dalam
proses monitoring dan evaluasi
terhadap proses pengelolaan
risiko
Belum optimalnya penggunaan ✓ PLN P2B direkomendasikan
SOP terkait dengan pengelolaan untuk mengupdate SOP yang
database digunakan saat ini, agar lebih
efektif menyesuaikan dengan
kondisi yang ada pada saat ini.
nilai dampak dan probability dari setiap risk issue yang telah teridentifikasi
dapat diketahui besarnya nilai suatu risiko. Berikut ini adalah risiko-risiko
yang memiliki nilai residual risk diatas batas risk appetite sesuai dengan
dokumen lampiran 4. Setelah itu digambarkan dalam risk map seperti yang
178
tertera pada tabel 4.43. Berikut ini merupakan risiko-risiko yang melebihi
batas risk appetite perusahaan sesuai dengan yang digambarkan dalam risk
map.
berada dalam kategori menengah dan 1 risk issue berada dalam kategori
kategori risiko yang masih dapat ditoleransi adalah risiko yang berada dalam
179
Tabel 4. 49 Langkah mitigasi risiko
Skenario Risiko Langkah Mitigasi
1. Acts of Nature ✓ Menentukan dan
Deskripsi Risiko: mengimplementasikan langkah
Kerusakan yang diakibatkan pengamanan fisik sesuai dengan
bencana alam, kebakaran persyaratan. Salah satunya
dengan menempatkan database
server di tempat yang aman.
✓ Mengembangkan IT Continuity
Plans berdasarkan kerangka kerja
yang didesain untuk mengurangi
dampak terhadap fungsi dan
proses bisnis utama. Dengan
membuat DRP (Disaster
Recovery Plan)
2. Database Integrity ✓ Menentukan dan menerapkan
Deskripsi: prosedur untuk backup dan
Gagal migrasi data restorasi sistem, aplikasi, data
dan dokumentasi sesuai dengan
kebutuhan bisnis dan rencana
kontinuitas
✓ Secara berkala meninjau data
konfigurasi untuk memverifikasi
dan mengkonfirmasi integritas
konfigurasi, meninjau software
yang terinstall terhadap kebijakan
penggunaan perangkat lunak
terkait lisensi.
✓ Menetapkan dan menerapkan
prosedur penyimpanan data yang
efektif dan efisien, pengarsipan
yang efektif dan efisien untuk
memenuhi tujuan bisnis.
Kebijakan keamanan dan
persyaratan peraturan organisasi
3. Logical Trespassing ✓ Memastikan semua pengguna
Deskripsi: dan aktivitasnya pada sistem TI
Akses ilegal ke dalam sistem (Aplikasi bisnis, lingkungan TI,
operasi sistem, pengembangan
dan pemeliharaan) dapat dikenali
✓ Mengkonfirmasi hak akses
pengguna terhadap sistem dan
data sesuai dengan bisnis yang
didefinisikan dan terdokumentasi
✓ Memastikan hak akses pengguna
disetujui oleh pemilik sistem dan
180
Skenario Risiko Langkah Mitigasi
diterapkan oleh orang
bertanggung jawab terhadap
keamanan
4. Operational IT Errors ✓ Menentukan, menerapkan dan
Deskripsi Risiko: mempertahankan prosedur
Kesalahan pada input data operasi TI, memastikan anggota
staf operasi terbiasa dengan
semua tugas operasi yang
relevan.
✓ Menetapkan masukan data agar
dilakukan tepat waktu oleh staf
yang sudah diberikan tanggung
jawab dan wewenang
✓ Koreksi dan penyampaian ulang
data yang keliru dimasukan harus
dilakukan tanpa mengorbankan
tingkat otorisasi transaksi.
5. IT Staff ✓ Melaksanakan proses untuk
Deskripsi Risiko: memastikan bahwa organisasi
Kurangnya peran orang yang memiliki tenaga kerja TI yang
bertanggung jawab tepat digunakan dengan
keterampilan yang diperlukan
untuk mencapai tujuan
organisasi.
✓ Memberikan pelatihan yang
sesuai untuk mempertahankan
keterampilan, kemampuan,
kontrol internal dan kesadaran
keamanan pada tingkat yang
dibutuhkan untuk mencapai
tujuan
✓ Memahami kebutuhan akan
sumber daya TI saat ini dan masa
depan berdasarkan pandangan TI
terkini dan pandangan ke depan
dari investasi portofolio
✓ Kenali dan memberikan
perhatian khusus pada personil TI
yang kurang dan siapa yang
dibutuhkan.
6. IT Expertise and Skills ✓ Melaksanakan proses untuk
Deskripsi Risiko: memastikan bahwa organisasi
Adanya gap terkait kemampuan memiliki tenaga kerja TI yang
yang dimiliki oleh staff IT tepat digunakan dengan
keterampilan yang diperlukan
181
Skenario Risiko Langkah Mitigasi
untuk mencapai tujuan
organisasi.
✓ Memberikan pelatihan yang
sesuai untuk mempertahankan
keterampilan, kemampuan,
kontrol internal dan kesadaran
keamanan pada tingkat yang
dibutuhkan untuk mencapai
tujuan.
4.8. Pembahasan
risk map, hal ini sesuai dengan teori dari ISACA (2009), yaitu tehnik yang umum
dan mudah untuk mempresentasikan risiko adalah dengan menggunakan Risk Map,
dimana risiko diplot pada diagram dua dimensi, dengan frekuensi dan dampak pada
dimensinya representasi risk map sangat kuat dan memberikan pandangan yang
lengkap tentang risiko TI dan area tindakan yang jelas. Hal ini juga sejalan dengan
penelitian Samaptoaji (2014) yang menggunakan risk map dan membaginya dalam
5 kategori risiko.
implementasi DRP. Hal ini sesuai dengan teori dari ISACA (2009), tentang
penerapan bussines IT continuity plan pada skenario Database Integrity dan Acts of
Natures. Hal ini sejalan dengan penelitian dari Lozupone (2017) yang menerapkan
DRP pada rekam medis, yang dimana menurutnya sangat penting untuk sebuah
bisnis mempunyai strategi yang valid untuk mengembalikan data mereka dari
bencana.
182
Berdasarkan hasil analisis gap pada proses EDM03 dan APO12 yang telah
dijabarkan pada tabel 4.45 dan 4.46 peneliti memberikan rekomendasi berupa
penyesuaian keahlian SDM dengan peran dan tanggung jawabnya. Terutama untuk
pengoptimalan risiko, dibuat tim khusus pada divisi TI atau individu yang
risiko secara rinci dengan melakukan proses identifikasi terhadap risiko risiko apa
langkah mitigasi seperti yang ada tabel 4.47. Salah satunya dengan menentukan dan
untuk mengurangi dampak terhadap fungsi dan proses bisnis utama. Dengan
organisasi akibat delay saat penyediaan layanan, dapat menjamin kehandalan dari
hanya pada divisi TI saja. Sehingga penentuan narasumber pun berdasarkan struktur
183
organisasi divisi TI. Serta penelitian ini hanya sampai tahap penilaian dan
184
113
BAB V
5.1. Kesimpulan
1. Berdasarkan hasil perhitungan tingkat kapabilitas saat ini (as is) Divisi TI-
Telkom PLN P2B dalam mengelola risiko TI rata rata berada berada pada level
2. Berdasarkan hasil penilaian risiko terdapat 17 risk issue dalam penggunaan TI.
Secara umum tingkat risiko TI adalah rendah yaitu 64,7% (11 risk issue) dan
35,29% (6 risk issue) yang tingkat risikonya di atas batas risk appetite.
3. Besarnya gap yang terbentuk antara nilai capability saat ini dan nilai capability
yang diharapkan adalah sebesar 1. Hal ini terlihat dari belum adanya entitas
dan restorasi sistem, aplikasi, data dan dokumentasi sesuai dengan kebutuhan
185
5. PLN P2B direkomendasikan mengembangkan IT Continuity Plan berdasarkan
kerangka kerja yang didesain untuk mengurangi dampak terhadap fungsi dan
5.2. Saran
luas agar informasi yang didapatkan tidak hanya dari divisi TI saja, tapi juga dari
kerja lain dalam mengukur capability level dari penerapan manajemen risiko
teknologi informasi. Seperti ISO 31000, NIST 800-300, OCTAVE, COSO ERM,
dan implementasi.
186
185
DAFTAR PUSTAKA
187
Lozupone, V. (2017). Disaster recovery plan for medical records company.
International Journal of Information Management, 37(6), 622–626.
https://doi.org/10.1016/j.ijinfomgt.2017.05.015
Novia, A., Yanuar, R., W, F. A., & Dwi, D. J. (2015). Analisis Risiko Teknologi
Informasi Berbasis Risk Management Menggunakan ISO Information
Technology Risk Analysis Based On Risk Management Using Iso 31000 (
Case Study : i-Gracias Telkom University ), 31000(2), 6201–6208.
Nurcahyono, D., & Djunaedi, A.(2013) Evaluasi Pelaksanaan Manajemen Risiko
Teknologi Informasi pada Kantor Arsip Daerah Kota Samarinda dengan
Menggunakan The Risk IT Framework. JNTETI
Pratama, Enda E., & Suhardi (2013) Analisis Nilai & Manajemen Risiko Teknologi
Informasi (Studi Kasus PT Bank Tabungan Negara, Tbk). Bandung:
Institute Teknologi Bandung
Sarno, R. (2009). Audit Sistem dan Teknologi Informasi. Surabaya: ITS Press.
Samaptoaji, S. (2014) evaluasi pengelolaan risiko teknologi informasi pada
Instansi Pemerintah : Studi Kasus Direktorat Jenderal Kependudukan dan
Pencatatan Sipil Kementerian Dalam Negeri. Jakarta : Universitas
Indonesia
Shamala, P., Ahmad, R., Zolait, A., & Sedek, M. (2017). Integrating information
quality dimensions into information security risk management (ISRM).
Journal of Information Security and Applications, 36, 1–10.
https://doi.org/10.1016/j.jisa.2017.07.004Handeri. (2014). Good IT
Governance: Framework and Prototype for Higher Education, (1), 1–5.
https://doi.org/10.1007/s13398-014-0173-7.2
Snedaker, S., & Rima, C. (2014). Business Continuity and Disaster Recovery
Planning for IT Professionals Business Continuity and Disaster Recovery
Planning for IT Professionals Second Edition.
Sugiyono. (2015). Metode Penelitian Kuantitatif, Kualitatif dan R&D (22nd ed.).
Alfabeta.
Surendro , K. (2009). Implementasi Tata Kelola Teknologi Informasi. Bandung:
Informatika.
Suwarno, F. R. (2014). Evaluasi Tata Kelola Teknologi Informasi Menggunakan
Framwork COBIT 5 Fokus pada Proses Manage Relationship (APO08)
Studi Kasus: PT Oto Multiartha.
Tampubulon, Anthon R (2015), Manajemen Risiko Teknologi Informasi
Menggunakan Framework ISO 31000:2009 Studi Kasus : Pembobolan
ATM BCA Tahun 2010. Bandung: Institute Teknologi Bandung.
188
Westerman, George and Richard Hunter. (2007). IT Risk: Turning Business Threats
Into Competitive Advantage. Harvard Business School Press
189
LAMPIRAN-LAMPIRAN
190
Lampiran 1 – Wawancara
WAWANCARA 1
PT.PLN PUSAT PENGATUR BEBAN JAWA-BALI
3. Apa tugas dan wewenang yang dijalankan dari Divisi TI PLN P2B?
Jawab :
▪ Deputi Manajer Teknologi Informasi dan Telekomunikasi
bertanggung jawab mengendalikan fungsi pengelolaan database,
fungsi aplikasi informasi, fungsi jaringan data, sekuriti data dan
layanan agar diperoleh sistem teknologi informasi yang handal sesuai
dengan Enterprise Information Architecture Planning / Information
Technology Master Plan / Information Technology Planning PLN, serta
mengelola peralatan telekomunikasi untuk ketersediaan fungsi link
komunikasi backbound 500kV, 150kV dan 70kV.
▪ Supervisor Teknologi Informasi bertanggung jawab mengelola dan
mengkoordinir perancangan, pengembangan serta pemeliharaan
infrastruktur teknologi informasi agar handal dan efisien, Memonitor
dan mengevaluasi ketersediaan aplikasi dan pengembangannya andal,
aman, mudah dipakai (user friendly), serta sesuai dengan kebutuhan.
▪ Divisi Infrastruktur Teknologi Informasi bertanggung jawab
membuat usulan perancangan serta melaksanakan pemeliharaan
infrastruktur Teknologi Informasi agar handal dan efisien,
melaksanakan rencana pemeliharaan dan pengembangan fasilitas
hardware TI untuk memenuhi persyaratan sistem sesuai roadmap TI,
memelihara server – server di kantor P2B agar dapat digunakan
secara optimal, serta melaksanakan pengelolaan sekuriti infrastruktur
jaringan agar dapat bekerja secara optimal.
▪ Divisi Aplikasi Sistem Teknologi Informasi bertanggung jawab
memastikan ketersediaan aplikasi dan pengembangan yang andal,
aman, mudah dipakai (user friendly), serta sesuai dengan kebutuhan.
Melaksanakan usulan dan renacana kerja dari fungsi pengelolaan
database untuk dimintakan persetujuan serta membantu bidang
memperoleh informasi secara cepat dan akurat.
4. Apa saja sistem informasi / sistem yang digunakan (aplikasi internal)? Dan apa
kegunaannya?
Jawab : Untuk aplikasi enterprise kita ada website yang di kelola dan SAP tapi
hanya sebagai user sedangkan aplikasi lokal, kita mempunyai aplikasi yang
mendukung operasional sebagai core bisnis kita untuk mempercepat pengambilan
keputusan dalam membeli listrik dari pembangkit. Lalu kita juga ada aplikasi
untuk surat menyurat dari pihak internal. Dan masih banyak sistem yang
digunakan untuk mendukung proses yang berjalan.
2. Dari setiap proses tersebut, proses apa saja yang menurut bapak dikategorigan kritikal?
Mempunyai dampak yang signifikan pada proses bisnis?
Jawab : Proses pengelolaan data, karena proses tersebut yang sangat berpengaruh pada
proses bisnis PLN P2B. Sifatnya sangat kritikal. Kedua penyediaan sarana
insfrastruktur.
5. Apakah bapak setuju setiap aktivitas dalam memberikan layanan TI selalu mengandung risiko?
Jawab : Ya, setuju.
8. Insiden apa yang pernah terjadi dan mendapatkan perhatian serius dari manajemen?
Jawab : Insiden kegagalan migrasi data, terjadi pada saat PLNP2B ingin menambahkan
database server dari 3 node ke 6 node. Ketika akan di migrasikan terdapat error. Sehingga
data mengalami corrupt.
11. Langkah kendali apa yang dilakukan PLN untuk mengurangi risiko tersebut?
Jawab : Mengulang dari 0 dimulai dari : 1) Recovery data, 2) membuat SOP dan
mengupdate setiap 6 bulan sekali, 3) ORACLE data guard
14. Dari kelima level risiko, ST, T, S, R, SR, level risiko mana yang masih dapat diterima oleh
PLN?
Jawab : SR, sangat rendah
16. Dampak potensial terhadap organisasi jika informasi diungkapkan kepada personel yang tidak
berhak?
Jawab : Rugi secara finansial.
17. Seberapa besar tingkat ketergantungan terhadap layanan TI untuk menjalankan tugas pokok
dan fungsi organsisasi?
Jawab : Sebenarnya PLN P2B tanpa TI pun tetap bisa berjalan, hanya saja tanpa TI
semua pekerjaan dilakukan secara manual. Dengan menggunakan TI sangat membantu
dalam pengambilan keputusan dan kinerja menjadi lebih cepat. Contoh saja dalam
penentuan keputusan dalam membeli pasokan listrik. Diperlukan analisis cepat untuk
mengambil keputusan secara cepat dan tepat. Untuk itu TI berperan dalam
mempermudah pengambilan keputusan
Lampiran 2 – Kuesioner
Kuesioner Pra-Penelitian
KUESIONER
CAPABILITY MODEL
Kuisoner ini adalah bagian dari penelitian skripsi mahasiswa Program Studi
Sistem Informasi, Fakultas Sains dan Teknologi, UIN Syarif Hidayatullah Jakarta,
yang bertujuan untuk mendapatkan data dan pendapat Bapak/Ibu mengenai manajemen
risiko di PLN P2B sebagai pihak yang terkait khususnya bagian yang termasuk pada RACI
COBIT 5 dalam APO12 (Manage Risk)
Kuisoner ini merupakan pengukuran Capability Level yang dikembangkan dari
COBIT 5 untuk mengetahui tingkat kematangan pada proses pengelolaan risiko baik untuk
kondisi saat ini (as is), maupun kondisi yang diharapkan (to be), yang selanjutnya dapat
dijadikan dasar yang cukup untuk identifikasi prioritas peningkatan (improvement) pada
proses pengelolaan risiko.
Kuisoner ini mempunyai 6 (enam) pilihan jawaban. Pilihan tersebut dari a sampai f
secara berturut-turut merepresentasikan tingkat kematangan yang semakin meningkat
terhadap suatu atribut pada proses Manage Risk dimana terdapat nilai 0, 1, 2, 3, 4 dan 5.
Pada kolom “Jawaban”, responden dapat memilih salah satu jawaban yang dianggap paling
bisa mewakili kondisi kematangan baik yang saat ini maupun yang diharapkan, terkait
dengan atribut kematangan tertentu dalam proses pengelolaan data dengan memberikan
tanda centang () pada tempat yang tersedia.
Nama Responden :
Jabatan :
CAPABILITY MODEL
Kuisoner ini adalah bagian dari penelitian skripsi mahasiswa Program Studi
Sistem Informasi, Fakultas Sains dan Teknologi, UIN Syarif Hidayatullah Jakarta,
yang bertujuan untuk mendapatkan data dan pendapat Bapak/Ibu mengenai manajemen
risiko di PLN P2B sebagai pihak yang terkait khususnya bagian yang termasuk pada RACI
COBIT 5 dalam EDM03 (Ensure Optimisation Risk)
Kuisoner ini merupakan pengukuran Capability Level yang dikembangkan dari
COBIT 5 untuk mengetahui tingkat kematangan pada proses pengelolaan risiko baik untuk
kondisi saat ini (as is), maupun kondisi yang diharapkan (to be), yang selanjutnya dapat
dijadikan dasar yang cukup untuk identifikasi prioritas peningkatan (improvement) pada
proses pengelolaan risiko.
Kuisoner ini mempunyai 6 (enam) pilihan jawaban. Pilihan tersebut dari a sampai f
secara berturut-turut merepresentasikan tingkat kematangan yang semakin meningkat
terhadap suatu atribut pada proses Ensure Optimisation Risk dimana terdapat nilai 0, 1, 2,
3, 4 dan 5. Pada kolom “Jawaban”, responden dapat memilih salah satu jawaban yang
dianggap paling bisa mewakili kondisi kematangan baik yang saat ini maupun yang
diharapkan, terkait dengan atribut kematangan tertentu dalam proses pengelolaan data
dengan memberikan tanda centang () pada tempat yang tersedia.
Nama Responden :
Jabatan :
Laporan ERM
Dokumen Key Performance Indicator
\