Skripsi Diajukan Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Strata Satu Sistem Informasi

EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI
MENGGUNAKAN FRAMEWORK COBIT 5

(STUDI KASUS: PT PLN P2B JAWA BALI)
Skripsi
Diajukan Sebagai Salah Satu Syarat Untuk Memperoleh Gelar
Sarjana Strata Satu Sistem Informasi
Oleh :
MUHAMMAD KAMAL SANI FIRDAUS
1113093000074
PROGRAM STUDI SISTEM INFORMASI

FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH
JAKARTA
2018 M/1439
Skripsi
Diajukan Sebagai Salah Satu Syarat Untuk Memperoleh Gelar
Sarjana Strata Satu Sistem Informasi
Oleh :
1113093000074

JAKARTA
2018 M/1439 H
Skripsi
Sebagai Salah Satu Syarat untuk Memperoleh Gelar

Sarjana Strata Satu Program Studi Sistem Informasi
Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
Oleh:

1113093000074
JAKARTA
39 H
ii
LEMBAR PERSETUJUAN

Skripsi
Diajukan Sebagai Syarat Untuk Memperoleh Gelar Sarjana Strata Satu

Program Studi Sistem Informasi Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
Oleh:
Muhammad Kamal Sani Firdaus
NIM. 1113093000074
Menyetujui,
Pembimbing I Pembimbing II
Fitroh, M.Kom Suci Ratnawati, MTI

NIP. 197909232009122006 NIDN. 306076904
Mengetahui,
Ketua Prodi Sistem Informasi
Nia Kumaladewi, MMSI

NIP. 19750412 200710 2 002
iii
PENGESAHAN UJIAN
Skripsi yang berjudul “EVALUASI MANAJEMEN RISIKO TEKNOLOGI

INFORMASI MENGGUNAKAN FRAMEWORK COBIT 5 (STUDI KASUS: PT
PLN P2B JAWA BALI)” disusun oleh Muhammad Kamal Sani Firdaus, NIM
1113093000074 telah diujikan dan dinyatakan LULUS dalam sidang Munaqosyah
Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah (UIN)
Jakarta pada hari Selasa, 6 Februari 2018. Skripsi ini telah diterima sebagai syarat
untuk memperoleh gelar Sarjana Strata Satu (S1) Program Studi Sistem Informasi.
Menyetujui
Penguji I Penguji II
Dr. Syopiansyah Jaya Putra, M.Sis Bayu Waspodo, MM

NIP. 19680117 200112 1 001 NIP. 19740812 200801 1 011
Pembimbing I Pembimbing II
Fitroh, M.Kom Suci Ratnawati, MTI

NIP. 19790923 200912 2 006 NIDN. 306076904
Mengetahui,
Dekan Fakultas Sains dan Teknologi Ketua Program Studi
UIN Syarif Hidayatullah Jakarta Sistem Informasi
Dr. Agus Salim, M.Si Nia Kumaladewi, MMSI

NIP. 19720816 199903 1 003 NIP. 19750412 200710 2 002
iv
PERNYATAAN
DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR-BENAR HASIL
KARYA SENDIRI YANG BELUM PERNAH DIAJUKAN SEBAGAI SKRIPSI ATAU
KARYA ILMIAH PADA PERGURUAN TINGGI ATAU LEMBAGA APAPUN.
Jakarta, Februari 2018

1113093000074
v
ABSTRAK
Muhammad Kamal Sani Firdaus – 1113093000074, Evaluasi Manajemen Risiko

Teknologi Informasi Menggunakan Framework COBIT 5 (Studi Kasus: PT PLN
P2B Jawa Bali). Dibimbing oleh ibu Fitroh dan ibu Suci Ratnawati
Kemungkinan adanya ancaman dan risiko TI (Teknologi Informasi) yang muncul

seiring dengan penerapan IT Governance dapat menganggu proses bisnis yang
berjalan. Hal ini penting bagi suatu perusahaan untuk menerapkan manajemen
risiko TI. Dalam penerapannya, PLN P2B didukung oleh Divisi Teknologi
Informasi dan Telekomunikasi sebagai penyedia layanan TI. Diketahui
permasalahan yang sedang dialami PLN P2B adalah insiden kehilangan data yang
diakibatkan adanya kegagalan dalam migrasi data ketika PLN P2B mengupgrade
server dari 3-node clusters menjadi 6-node clusters. Oleh karena itu, diperlukan
adanya evaluasi terhadap manajemen risiko TI sesuai dengan standar yang ada.
Penelitian ini bertujuan untuk mengetahui tingkat kapabilitas manajemen risiko TI
menggunakan metodologi Process Assessment Model (PAM) COBIT 5 yang terdiri
dari tahapan Initiation, Planning the Assesment, Briefing, Data Collection, Data
Validation, Process Attribute Level dan Reporting the Result. Hasil dari penelitian
ini menunjukan tingkat pengelolaan risiko dan pengoptimalan risiko saat ini berada
pada level 3 (Established Process) dan berdasarkan hasil penilaian risiko terdapat
6 risk issue yang tingkat risikonya di atas batas risk appetite. Sehingga PLN P2B
direkomendasikan untuk menerapkan dan mengemb angkan DRP (Disaster
Recovery Plan) berdasarkan kerangka kerja yang didesain untuk mengurangi
dampak terhadap fungsi dan proses bisnis utamanya. Selain itu PLN P2B
direkomendasikan menentukan dan mengimplementasikan langkah pengamanan
fisik sesuai dengan persyaratan. Salah satunya dengan menempatkan database
server di tempat yang aman. Dengan demikian diharapkan hasil penelitian ini dapat
dijadikan bahan pertimbangan PLN P2B dalam melakukan perbaikan tata kelola TI
agar dapat berjalan lebih optimal.
Kata Kunci : IT Governance, Manajemen Risiko, Disaster Recovery Plan,

Business Continuity Plans, Risk Assessment
Daftar Pustaka : 31 (Tahun 2007 s.d Tahun 2017)

Jumlah Halaman : V Bab + xviii Halaman + 186 Halaman + 75 Tabel + 19
Gambar + Lampiran + Daftar Pustaka
vi
KATA PENGANTAR
Assalamu’alaikum Wr. Wb.
Puji dan syukur, penulis panjatkan kehadirat Allah SWT yang telah
memberikan rahmat dan hidayat, sehingga pada akhirnya penulis dapat
menyelesaikan skripsi ini dengan baik. Shalawat dan salam tak lupa penulis
haturkan kepada junjungan Nabi Muhammad SAW, para sahabat, keluarga serta
muslimin dan muslimat, semoga kita mendapatkan syafaat-Nya di akhirat kelak.
Aamiin
Skripsi ini penulis sajikan dalam bentuk yang sederhana berjudul “Evaluasi
Manajemen Risiko Teknologi Informasi Menggunakan Framework Cobit 5
(Studi Kasus: PT PLN P2B Jawa Bali)” Penyusunan skripsi ini bertujuan untuk
memenuhi salah satu syarat dalam menyelesaikan pendidikan S1 Program Studi
Sistem Informasi di Universitas Islam Negeri Syarif Hidayatullah Jakarta.
Pada kesempatan ini penulis ingin menyampaikan ucapan terima kasih yang
sebesar-besarnya kepada pihak-pihak yang telah turut membantu dalam
penyusunan skripsi ini, yaitu :
1. Bapak Dr. Agus Salim, S.Ag., M.Si, selaku Dekan Fakultas Sains dan
Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta
2. Ibu Nia Kumaladewi, MMSI, selaku Ketua Program Studi Teknik Sistem
Informasi Sains dan Teknologi Universitas Islam Negeri Syarif
Hidayatullah Jakarta dan Ibu Meinarini Catur Utami, MT, selaku Sekretaris
Program Studi Sistem Informasi Fakultas Sains dan Teknologi Universitas
Islam Negeri Syarif Hidayatullah Jakarta.
3. Ibu Fitroh, M.Kom, selaku dosen pembimbing I dan Ibu Suci Ratnawati
MTI, selaku dosen pembimbing II yang selalu memberikan arahan dan
bimbingan yang bermanfaat dalam proses penyusunan skripsi ini sehingga
vii
penulis semakin terdorong untuk menyelesaikan masa pendidikan strata
satu program studi sistem informasi.
4. Para dosen Prodi Sistem Informasi Fakultas Sains dan Teknologi yang telah
memberikan ilmu, berbagai pengarahan, pengalaman, serta bimbingan,
serta nasehat kepada penulis selama masa perkuliahan.
5. Bapak Bagus Widyantoro selaku supervisor TI PT PLN P2B serta seluruh

staff yang sudah meluangkan waktunya untuk membantu dan bekerja sama
dengan penulis selama pelaksanaan penelitian berlangsung. Serta Saran,
arahan dan ilmu yang penulis dapat sangat membantu dalam pengerjaan
skripsi ini.
6. Kedua orang tua penulis, Bapak Matsani dan Ibu Lily Herlianti yang tidak
henti-hentinya selalu sabar, memberikan semangat dan dukungan baik
dalam bentuk doa, materi serta kasih sayang sehingga penulis dapat
menyelesaikan skripsi ini. Serta Kakak dan Adik penulis, Fitri Sani Najiha
dan Hikmah Sani Nadia. Terima kasih atas do’a dan dukungan kalian semua
untuk penulis. Semoga Allah membalas semuanya dengan pahala yang
berlimpah.
7. Sahabat-sahabat penulis, Ridwan Halifi, Fauzan Arifin, Hersy Ayu Qadrya,

Atthiya Prima Sari, Bella Marisela Caroline, (Alm) Aditya Surya dan Putra
Rama Mahardika, selaku teman terbaik yang pernah peneliti miliki dari awal
kuliah hingga saat ini yang telah memberikan banyak bantuan ilmu,
semangat dan doanya kepada peneliti.
8. Teman-teman Pejuang COBIT, Richardy Affan, Shally Putri, Tyas Rosiana,

Arbaiti Damanik yang telah banyak memberikan saran dan berbagi ilmu
selama penulisan skripsi ini.
9. Teman-teman Sistem Informasi angkatan 2013. Terima kasih untuk

kebersamaan dan kerjasama yang terjalin selama menimba ilmu di
Universitas Islam Negeri Syarif Hidayatullah Jakarta dan seluruh pihak
viii
yang telah membantu yang tidak dapat disebutkan satu persatu. Terima
kasih atas dukungan dan motivasinya yang diberikan kepada penulis.
Penulis menyadari akan kekurangan dan kesalahan pada penulisan skripsi

ini, untuk itu penulis mohon maaf yang sebesar-besarnya. Masukan berupa saran
dan kritik yang membangun sangat penulis harapkan demi peningkatan manfaat
dari laporan ini. Penulis berharap semoga laporan ini dapat bermanfaat dalam
pengembangan ilmu pengetahuan khususnya dalam bidang Sains dan Teknologi.
Akhir kata, dengan segala kerendahan hati penulis mengucapkan terima kasih yang
tak terhingga kepada semua pihak yang telah membantu dalam penyelesaian skripsi
ini.
Wassalamu’alaikum Wr. Wb.
Jakarta, Februari 2018
Muhammad Kamal Sani Firdaus

1113093000074
ix
DAFTAR ISI
LEMBAR JUDUL .................................................................................................. ii

LEMBAR PERSETUJUAN................................................................................... iii
PENGESAHAN UJIAN ........................................................................................ iv
PERNYATAAN.......................................................................................................v
ABSTRAK ............................................................................................................. vi
KATA PENGANTAR .......................................................................................... vii
DAFTAR ISI ............................................................................................................x
DAFTAR GAMBAR .............................................................................................xv
DAFTAR TABEL ................................................................................................ xvi
BAB I ....................................................................................................................1
PENDAHULUAN ...................................................................................................1
1.1. Latar Belakang................................................................................. 1
1.2. Identifikasi Masalah ........................................................................ 5
1.3. Batasan Masalah .............................................................................. 6
1.4. Tujuan .............................................................................................. 6
1.5. Manfaat ............................................................................................ 7
1.5.1. Bagi perusahaan............................................................................... 7
1.5.2. Bagi Penulis ..................................................................................... 8
1.6. Metode Penelitian ............................................................................ 8
1.6.1. Metode Pengumpulan Data ............................................................. 8
1.6.2. Metode Analisis Data ...................................................................... 9
1.7. Tempat dan Waktu Penelitian ....................................................... 11
1.8. Sistematika Penulisan .................................................................... 11
BAB II ..................................................................................................................13
LANDASAN TEORI .............................................................................................13
2.1. Pengertian Evaluasi ....................................................................... 13
x
2.2. Tata Kelola Teknologi Informasi .................................................. 13
2.2.1. Pengertian Tata Kelola ......................................................... 13
2.2.2. Pengertian Teknologi Infomasi ............................................ 13
2.2.3. Pengertian Tata Kelola Teknologi Informasi ....................... 14
2.2.4. Tujuan Tata kelola Teknologi Informasi ............................. 15
2.2.5. Pentingnya Tata Kelola Teknologi Informasi ...................... 15
2.3. Framework Tata Kelola Teknologi Informasi ............................... 16
2.3.1. ITIL ...................................................................................... 16
2.3.2. ISO ....................................................................................... 17
2.3.3. COSO ................................................................................... 17
2.3.4. TOGAF ADM ...................................................................... 18
2.3.5. CMMI................................................................................... 19
2.3.6. COBIT .................................................................................. 20
2.4. COBIT 5 ........................................................................................ 20
2.4.1. Prinsip COBIT 5 .................................................................. 24
2.4.2. 7 Enablers ............................................................................ 27
2.4.3. Tahap Implementasi COBIT 5 ............................................. 28
2.4.4. Process Reference Model (PRM)......................................... 32
2.4.5. Process Assesment Model .................................................... 42
2.4.6. Model Proses Kapabilitas (Process Capability Model) ....... 46
2.4.7. RACI (Responsible, Accountable, Consulted, Informed)

Chart .............................................................................................. 62
2.5. Pemetaan Tujuan Terkait TI Terhadap Proses COBIT 5 .............. 65
2.6. Fokus Area Tata Kelola Teknologi Informasi ............................... 71
2.7. Risiko............................................................................................. 72
xi
2.8. Risiko TI ........................................................................................ 72
2.9. Manajemen Risiko TI .................................................................... 73
2.9.1. Langkah Mengelola Risiko Teknologi Informasi ................ 74
2.10. Risk Assessment ............................................................................. 76
2.10.1. Skenario Risiko Teknologi Informasi .................................. 77
2.10.2. Mendeskripsikan dan Mengekspresikan Risiko ................... 82
2.10.3. Risk Map .............................................................................. 84
2.10.4. Parameter - Parameter Penilaian Manajemen Risiko ........... 84
2.11. Risk Response (Respon Risiko) ..................................................... 89
2.12. Business Continuity Plan............................................................... 89
2.13. Disaster Recovery Plan ................................................................. 91
2.13.1. Proses Pengembangan DRP ................................................. 92
2.13.2. Pemilihan Strategi Pemulihan .............................................. 92
2.13.3. Pemilihan lokasi pemulihan dari bencana ............................ 94
2.13.4. Pemeliharaan DRP ............................................................... 95
2.14. Metode Penelitian .......................................................................... 95
2.14.1. Metode Pengumpulan Data .................................................. 95
2.14.2. Metode Analisis Data ........................................................... 97
2.14.3. Metode Perhitungan Skala Likert ........................................ 98
2.15. Penelitian Sejenis......................................................................... 100
BAB III ................................................................................................................104

METODOLOGI PENELITIAN ...........................................................................104
3.1. Desain Penelitian ......................................................................... 104
3.2. Initiation ...................................................................................... 104
3.2.1. Observasi ............................................................................ 105
xii
3.2.2. Wawancara ......................................................................... 105
3.2.3. Kuesioner ........................................................................... 106
3.2.4. Studi Pustaka ...................................................................... 106
3.3. Planning the Assessment ............................................................. 108
3.4. Briefing ........................................................................................ 110
3.5. Data Collection ........................................................................... 111
3.6. Data Validation ........................................................................... 111
3.7. Process Attributte Level .............................................................. 111
3.7.1. Penilaian Risiko ................................................................. 111
3.8. Reporting the Result .................................................................... 112
3.9. Kerangka Berpikir ....................................................................... 112
BAB IV ................................................................................................................113
HASIL DAN PEMBAHASAN ............................................................................113
4.1. Initiation ...................................................................................... 113
4.1.1. Sejarah PT PLN P2B.......................................................... 113
4.1.2. Visi dan Misi PT PLN P2B ................................................ 115
4.1.3. Struktur Organisasi PT PLN P2B ...................................... 115
4.1.4. Peran dan Tanggung Jawab................................................ 116
4.1.5. Struktur Organisasi Divisi TI dan Telekomunikasi ........... 117
4.2. Planning the Assessment ............................................................. 119
4.2.1. Identifikasi Diagram RACI ................................................ 119
4.2.2. Rincian Jawaban Kuesioner EDM03 (Ensure Risk

Optimisation) ................................................................................. 121
4.2.3. Rincian Jawaban Kuesioner APO12 (Manage Risk) ......... 125
4.3. Briefing ........................................................................................ 135
4.4. Data Collection ........................................................................... 136
xiii
4.4.1. Proses EDM03 ................................................................... 136
4.4.2. Proses APO12 .................................................................... 137
4.5. Data validation ............................................................................ 139
4.6. Process Attribute Level................................................................ 145
4.6.1. Penentuan Nilai Kapabilitas ............................................... 145
4.6.2. Penentuan Level Kapabilitas .............................................. 150
4.6.3. Pencapaian Proses .............................................................. 152
4.6.4. Penilaian Risiko ................................................................. 162
4.7. Reporting the Result .................................................................... 172
4.7.1. Hasil Analisis Capability Level.......................................... 172
4.7.2. Gap dan Rekomendasi proses EDM03 .............................. 173
4.7.3. Gap dan Rekomendasi proses APO12 ............................... 176
4.7.4. Hasil Penilaian Risiko ........................................................ 178
4.7.5. Mitigasi Risiko ................................................................... 179
4.8. Pembahasan ................................................................................. 182
BAB V ................................................................................................................185
KESIMPULAN DAN SARAN ............................................................................185
5.1. Kesimpulan .................................................................................. 185
5.2. Saran ............................................................................................ 186
DAFTAR PUSTAKA ..........................................................................................187

LAMPIRAN-LAMPIRAN...................................................................................190
xiv
DAFTAR GAMBAR
Gambar 2. 1 Cangkupan antara COBIT 5 dengan framework lain (ISACA, 2012)

............................................................................................................................... 21
Gambar 2. 2 COBIT 5 Principles (ISACA, 2012) .............................................. 24
Gambar 2. 3 Value Creation (ISACA, 2012) ...................................................... 25
Gambar 2. 4 Governance and Management (ISACA, 2012) .............................. 27
Gambar 2. 5 7 Tahap Implementasi COBIT (ISACA, 2012) .............................. 31
Gambar 2. 6 Process Reference Model (PRM) (ISACA, 2012).......................... 32
Gambar 2. 7 Generic Work Product (ISACA, 2012) .......................................... 43
Gambar 2. 8 Process Capability Model (PCM) (ISACA, 2012) ......................... 46
Gambar 2. 9 RACI Chart EDM03 (ISACA, 2012) ............................................. 63
Gambar 2. 10 Mapping COBIT 5 Enterprise goals to IT-related goals (ISACA,
2012) ..................................................................................................................... 67
Gambar 2. 11 Mapping IT-related goal (ISACA, 2012) .................................... 69
Gambar 2. 12 Mapping IT-related goal (ISACA, 2012) .................................... 70
Gambar 2. 13 Risk IT Framework (ISACA, 2009).............................................. 73
Gambar 2. 14 Example Risk Map ........................................................................ 84
Gambar 3. 1 Kerangka Berpikir ........................................................................ 112
Gambar 4. 1 Struktur organisasi PT PLN P2B (Perdir.0034.//2017) ................ 116
Gambar 4. 2 Struktur organisasi divisi TI & Telekomunikasi (Perdir.0034.//2017)
............................................................................................................................. 118
Gambar 4. 3 Grafik proses EDM03 ................................................................... 150
Gambar 4. 4 Grafik proses APO12 .................................................................... 152
xv
DAFTAR TABEL
Tabel 2. 1 Process Performance ........................................................................... 49

Tabel 2. 2 Performance Management (ISACA, 2012) ......................................... 49
Tabel 2. 3 Work Product Management (ISACA, 2012) ....................................... 51
Tabel 2. 4 Process Definition (ISACA, 2012) ...................................................... 52
Tabel 2. 5 Process Deployment (ISACA, 2012) .................................................. 54
Tabel 2. 6 Process Measurement (ISACA,2012) ................................................. 56
Tabel 2. 7 Process Control (ISACA, 2012) .......................................................... 57
Tabel 2. 8 Process Innovation (ISACA, 2012) ..................................................... 59
Tabel 2. 9 Process Optimisation (ISACA, 2012). ................................................ 61
Tabel 2. 10 Relevant Structures for Risk (ISACA, 2012) ................................... 63
Tabel 2. 11 Pemetaan Enterprise Goals terhadap Stakeholder Needs .................. 66
Tabel 2. 12 Generic IT Risk Scenarios (ISACA, 2009) ....................................... 79
Tabel 2. 13 Example Frequency Scales (ISACA, 2009) ...................................... 83
Tabel 2. 14 Example Impact Scales (ISACA, 2009) ............................................ 83
Tabel 2. 15 Parameter probability (Samaptoaji, 2014)......................................... 85
Tabel 2. 16 Parameter impact (Samaptoaji, 2014) ............................................... 85
Tabel 2. 17 Standar Parameter rating (Samaptoaji, 2014).................................... 86
Tabel 2. 18 Risk Map (Samaptoaji, 2014) ............................................................ 87
Tabel 2. 19 Parameter probability (Husein & Imbar, 2015)................................ 87
Tabel 2. 20 Parameter impact (Husein & Imbar, 2015) ....................................... 88
Tabel 2. 21 Risk Map (Husein & Imbar, 2015) .................................................... 88
Tabel 2. 22 Penilaian Skala Likert (Sugiyono, 2009) .......................................... 98
Tabel 2. 23 Pemetaan terhadap jawaban, nilai dan tingkat kapabilitas. ............. 100
Tabel 3. 1 Studi literatur sejenis .........................................................................106
Tabel 3. 2 Pemetaan RACI Chart ke Struktur Organisasi Proses EDM03 ........ 109
Tabel 3. 3 Pemetaan RACI Chart ke Struktur Organisasi Proses APO12 ......... 110
Tabel 4. 1 Pemetaan RACI Chart proses EDM03 ..............................................120
Tabel 4. 2 Pemetaan RACI Chart proses APO12 .............................................. 120
Tabel 4. 3 Rincian Jawaban Kuesioner EDM03.01 ........................................... 121
xvi
Tabel 4. 6 Rincian Jawaban Kuesioner APO12.01 ............................................ 125
Tabel 4. 10 Rincian Jawaban Kuesioner APO12.05 .......................................... 133
Tabel 4. 11 Rincian Jawaban Kuesioner APO12.06 .......................................... 134
Tabel 4. 12 Tahap briefing ................................................................................. 136
Tabel 4. 13 Rekapitulasi jawaban kuesioner EDM03.01 (Evaluasi Manajemen
Risiko) ................................................................................................................. 139
Tabel 4. 14 Rekapitulasi jawaban kuesioner EDM03.02 (Mengarahkan
Manajemen Risiko) ............................................................................................. 140
Tabel 4. 15 Rekapitulasi jawaban kuesioner EDM03.03 (Mengawasi manajemen
risiko) .................................................................................................................. 141
Tabel 4. 16 Rekapitulasi jawaban kuesioner APO12.01 (Mengumpulkan data) 141
Tabel 4. 17 Rekapitulasi jawaban kuesioner APO12.02 (Menganalisis risiko) 142
Tabel 4. 18 Rekapitulasi jawaban kuesioner APO12.03 (Mempertahankan profil
risiko) .................................................................................................................. 143
Tabel 4. 19 Rekapitulasi jawaban kuesioner APO12.04 (Mengartikulasikan .... 143
Tabel 4. 20 Rekapitulasi jawaban kuesioner APO12.05 (Mendefinisikan
portofolio tindakan manajemen risiko) ............................................................... 144
Tabel 4. 21 Rekapitulasi jawaban kuesioner APO12.06 (Menanggapi risiko) .. 145
Tabel 4. 22 Penentuan tingkat kapabilitas EDM03 ............................................ 150
Tabel 4. 23 Penentuan tingkat kapabilitas APO12 ............................................. 151
Tabel 4. 24 Proses EDM03 PA 1.1 Process Performance ................................. 153
Tabel 4. 25 Proses EDM03 PA 2.1 Performance Management ......................... 154
Tabel 4. 26 Proses EDM03 PA 2.2 Work Product Management ....................... 155
Tabel 4. 27 Proses EDM03 PA 3.1 Process Definition...................................... 156
Tabel 4. 28 Proses EDM03 PA 3.2 Process Deployment .................................. 156
Tabel 4. 29 Proses APO12 PA 1.1 Process Performance .................................. 158
xvii
Tabel 4. 30 Proses APO12 PA 2.1 Performance Management .......................... 159
Tabel 4. 31 Proses APO12 PA 2.2 Work Product Management ........................ 160
Tabel 4. 32 Proses APO12 PA 3.1 Process Definition ...................................... 161
Tabel 4. 33 Proses APO12 PA 3.2 Process Deployment ................................... 161
Tabel 4. 34 Parameter probability (Diadopsi dari Samaptoaji, 2014) ................ 163
Tabel 4. 35 Parameter impact (Diadopsi dari Samaptoaji, 2014)....................... 164
Tabel 4. 36 Standar parameter rating (Diadopsi dari Samaptoaji, 2014) ........... 165
Tabel 4. 37 Rekapitulasi risiko berdasarkan aset ............................................... 165
Tabel 4. 38 Rekapitulasi risiko berdasarkan skenario risiko .............................. 166
Tabel 4. 39 Hasil penilaian risiko terhadap inherent risk berdasarkan aset ....... 167
Tabel 4. 40 Rekapitulasi hasil penilaian risiko terhadap inherent risk berdasarkan
skenario risiko ..................................................................................................... 168
Tabel 4. 41 Hasil peniliaian risiko terhadap residual risk berdasarkan kategori
aset....................................................................................................................... 169
Tabel 4. 42 Hasil penilaian risk terhadap residual risk berdasarkan skenario risiko
............................................................................................................................. 170
Tabel 4. 43 Risk map .......................................................................................... 171
Tabel 4. 44 Capability level pada proses EDM03 .............................................. 173
Tabel 4. 45 Gaps dan Rekomendasi EDM03 ..................................................... 174
Tabel 4. 46 Capability level pada proses APO12 ............................................... 176
Tabel 4. 47 Gaps dan Rekomendasi APO12 ...................................................... 177
Tabel 4. 48 Hasil nilai risiko .............................................................................. 179
Tabel 4. 49 Langkah mitigasi risiko ................................................................... 180
xviii
BAB I
PENDAHULUAN
1.1. Latar Belakang
Perkembangan teknologi informasi (TI) yang demikian pesat menjadi peran
penting bagi suatu organisasi atau perusahaan dalam memberikan inovasi produk
dan layanan berbasis teknologi informasi. Melalui TI, proses bisnis dapat
dilaksanakan lebih mudah, cepat, efisien dan efektif. Karenanya, IT governance
saat ini menjadi salah satu critical success factor (CSF) bagi organisasi untuk
mengoptimalkan peran TI dalam efektifitas peningkatan aset, capaian kinerja,
sasaran, tujuan, visi dan misi organisasi (Handeri, 2014). Namun tidak dapat
dipungkiri bahwa kemungkinan berbagai ancaman dan risiko yang muncul dalam
penerapan IT governance akan mengganggu bahkan melumpuhkan aktivitas di
dalam penerapannya tidak dapat berjalan secara optimal (Rilyani et al., 2015). Hal
ini memberi perhatian dan kesadaran lebih menerapkan manajemen risiko
keamanan informasi untuk mengembangkan strategi yang efektif (Shamala et al.,
2017).
Risiko TI adalah risiko organisasi yang diakibatkan oleh penggunaan TI
dalam organisasi, terdiri atas semua kejadian terkait TI yang berpotensi memiliki
dampak pada organisasi (ISACA, 2009). Apabila kejadian tersebut tidak ditangani
secara serius, selain menimbulkan risiko operasional, juga mempengaruhi risiko
reputasi dan berdampak pada menurunnya tingkat kepercayaan publik (Samaptoaji,
2014).
1
Pemerintah RI melalui Peraturan Menteri Negara BUMN No. PER-
01/MBU/2011 Tanggal 1 Agustus 2011 tentang Penerapan Tata Kelola Perusahaan
yang Baik (Good Corporate Governance – GCG) pada Badan Usaha Milik Negara
pada bagian keenam Pasal 25 menyebutkan bahwa dalam setiap pengambilan
keputusan/tindakan, harus mempertimbangkan risiko usaha serta wajib
membangun dan melaksanakan program manajemen risiko korporasi secara
terpadu yang merupakan bagian dari pelaksanaan program GCG. Selain itu
berdasarkan PERDIR 0355.K/DIR/2014 menyebutkan bahwa dengan penerapan
Manajemen Risiko, maka diharapkan segenap unsur perusahaan mengenali risiko –
risiko yang di hadapi dalam pencapaian visi maupun sasaran / kinerja perusahaan,
sehingga dapat mempersiapkan langkah mitigasinya dengan memanfaatkan
sumberdaya yang dimilikinya secara optimal.
Manajemen risiko TI merupakan hal penting untuk menjaga keseimbangan
proses bisnis organisasi. Meskipun secara umum metode manajemen risiko untuk
organisasi memiliki persamaan, namun memiliki risiko yang berbeda-beda
sehingga diperlukan manajemen risiko secara khusus. Terkait dengan pemerintah
yang memberikan layanan publik, dampak dari risiko dapat diukur tidak hanya
secara ekonomi, namun juga pengaruh sosial. (Maliki, 2010)
PLN P2B (Pusat Pengatur Beban) adalah unit induk PLN yang dibentuk atas
Keputusan Direksi PLN nomor 093.K/023/DIR/1995, yang mempunyai tugas
mengelola operasi sistem tenaga listrik yang dalam hal ini memelihara dan
mengembangkan sistem operasi dan sarana penyaluran. Selain itu PLN P2B juga
mempunyai tugas dalam mengelola transaksi energi. PLN P2B sendiri bisa dibilang
2
sebagai jantung dari PT PLN (persero) karena besar kecil keuntungan PLN berada
di PLN P2B. PLN P2B. Dalam mengelola operasi sistem tenaga listik dan
mengelola transaksi energi PLN P2B didukung oleh divisi TI. Divisi TI mempunyai
tugas sebagai penyedia sarana infrastruktur, pengamanan jaringan, pengelolaan
data, user support yang mendukung proses kerja. Pengelolaan data mempunyai
dampak yang signifikan pada proses bisnis PLN P2B sehingga dapat dikategorikan
kritikal.
Diketahui PT PLN P2B Jawa Bali pernah mengalami kerugian akibat insiden
kehilangan data. Hal ini ditunjukan melalui laporan laba rugi PLN per 31 maret
2017 yang peneliti akses melalui website PLN. Adanya indikasi bahwa hal tersebut
terjadi karena kesalahan dalam pengelolaan data. Ketika PT PLN P2B Jawa Bali
menambahkan server dari 3-node clusters menjadi 6-node clusters terjadi
kegagalan migrasi data sehingga data yang dipindahkan tersebut hilang. Seperti
halnya Hartanto & Tjahyanto (2010), menyebutkan bahwa pengelolaan data
merupakan aset penting bagi perusahaan ataupun organisasi. Tata kelola teknologi
informasi pada proses pengelolaan data yang kurang baik akan menimbulkan
beberapa permasalahan yang merupakan kelemahan sehingga menimbulkan
ancaman atau risiko seperti kehilangan, perusakan, pencurian dan penyadapan data.
Langkah-langkah perbaikan yang berkelanjutan terhadap tata kelola teknologi
informasi khususnya pada proses pengelolaan data diharapkan akan mampu
meminimalisasi risiko.
Selain itu adanya kesalahan kedua adalah ketika back-up data yang
seharusnya menjadi langkah mitigasi risiko, tidak dapat meng-cover seluruh data
3
yang hilang akibat belum selesainya proses back-up data. Seperti halnya Falani
(2009), menyebutkan bahwa data perusahaan sangatlah penting dan harus
dilindungi atau dijaga untuk proses jalannya suatu perusahaan. Maka dimungkinkan
untuk melakukan backup data, agar dapat menghindari kehilangan data (data loss)
ataupun kerusakan yang terjadi baik disengaja maupun tidak disengaja.
Berangkat dari permasalahan diatas diperlukan adanya pengelolaan teknologi
informasi yang tepat untuk dapat meminimalisir risiko yang ada. Untuk dapat
melakukan perbaikan tata kelola teknologi informasi, maka perusahaan atau
organisasi tersebut terlebih dahulu harus mampu memahami tingkat pengelolaan
teknologi informasi yang dimilikinya saat ini (as-is) dan tingkat pengelolaan
teknologi informasi yang diharapkan (to-be) sehingga langkah-langkah perbaikan
yang dilakukan akan efektif. Terdapat banyak tools untuk mengukur tingkat
kapabilitas tata kelola TI, salah satunya adalah COBIT.
COBIT 5 menyediakan referensi model proses yang mewakili semua proses
yang biasa ditemukan dalam suatu perusahaan terkait dengan kegiatan TI. Kerangka
COBIT menyediakan model proses yang pada umumnya ditemukan dalam aktivitas
TI dalam lima domain proses yang saling terkait, Evaluate, Direct and Monitor
(EDM) yang terdiri dari 5 sub domain, Align, Plan and Organise (APO) yang terdiri
dari 13 sub domain, Build, Aquire and Implementation (BAI) yang terdiri dari 10
sub domain, Deliver, Service and Support (DSS) yang terdiri dari 6 sub domain,
Monitor, Evaluate and Assess (MEA) yang terdiri dari 3 sub domain.
Untuk menentukan proses yang akan dikaji lebih lanjut, perlu dilakukan
pemetaan berdasarkan fakta-fakta yang terdapat di PT PLN P2B Jawa Bali.
4
Penentuan domain dilakukan berdasarkan justifikasi stakeholder needs maka
terpilih 2 proses yang akan dievaluasi lebih lanjut pada penelitian ini yaitu pada
proses EDM03 (Ensure Risk Optimisation) dan APO12 (Manage Risk). Untuk
mengukur tingkat kematangan PLN P2B dalam mengelola manajemen risiko TI
diperlukan adanya evaluasi terhadap pengelolaan manajemen risiko. Dengan
tahapan perhitungan tingkat kematangan, analisis gap, risk assessment yang
nantinya dapat menghasilkan sebuah rekomendasi dan strategi mitigasi yang dapat
meningkatkan capability level ke kondisi yang diharapkan dan meminimalisir
dampak dan terjadinya risiko.
Berdasarkan uraian diatas maka penulis yang merupakan salah satu
mahasiswa Jurusan Sistem Informasi, Fakultas Sains dan Teknologi, Universitas
Islam Negeri Syarif Hidayatullah Jakarta mengajukan proposal penelitian dengan
judul “EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI
MENGGUNAKAN FRAMEWORK COBIT 5 (Studi Kasus: PT PLN P2B
JAWA BALI)”.
1.2. Identifikasi Masalah
Adapun identifikasi masalah berdasarkan latar belakang yang telah diuraikan
diatas adalah:
1. PT PLN P2B pernah mengalami kerugian finansial akibat kegagalan
migrasi data serta terjadinya kerusakan pada back-up data sehingga PT
PLN P2B kehilangan data.
2. Adanya peraturan pemerintah Peraturan Menteri Badan Usaha Milik
Negara No. PER-01/MBU/2011 Tanggal 1 Agustus 2011 tentang
5
Penerapan Tata Kelola Perusahaan yang Baik (Good Corporate
Governance – GCG). Sehingga PT PLN P2B diwajibkan menerapkan
GCG
Berdasarkan identifikasi masalah diatas, maka dapat dirumuskan suatu
permasalahan yaitu “Bagaimana melakukan evaluasi manajemen risiko TI
menggunakan framework COBIT 5 di PT PLN P2B Jawa Bali”
1.3. Batasan Masalah
Adapun batasan masalah yang dikemukakan dalam penelitian ini adalah
sebagai berikut:
1. Evaluasi tata kelola teknologi informasi dilakukan pada Divisi TI-
Telkom di kantor PT PLN P2B Jawa Bali
2. Penelitian ini hanya membahas pada proses manajemen risiko dan proses
pengoptimalan risiko menggunakan Framework COBIT 5. Serta
3. Tahapan metode penelitian ini menggunakan Assesment Process
Activities yang terdapat pada COBIT 5 (Process Assessment Model)
4. Tools kuesioner skala pengukuran tingkat kematangan menggunakan
skala likert.
1.4. Tujuan
Tujuan yang diharapkan penelitian ini terdiri dari tujuan umum dan tujuan
khusus. Tujuan umumnya adalah untuk mengevaluasi manajemen risiko teknologi
informasi menggunakan framework COBIT 5. Sedangkan tujuan khususnya yaitu
sebagai berikut:
6
1. Mengetahui Capability Level kondisi saat ini dan kondisi yang
diharapkan pada proses EDM03 (Ensure Risk Optimisation) dan APO12
(Manage Risk) di Divisi TI-Telkom PT PLN P2B Jawa Bali.
2. Menganalisa temuan-temuan dan gap pada proses EDM03 (Ensure Risk
Optimisation) dan APO12 (Manage Risk) di Divisi TI-Telkom PT PLN
P2B Jawa Bali.
3. Mengidentifikasi dampak dan menilai risiko-risiko yang ada pada Divisi
TI-Telkom PT PLN P2B Jawa Bali.
4. Memberikan rekomendasi dan langkah mitigasi kepada pihak Divisi TI-
Telkom PT PLN P2B Jawa Bali.
1.5. Manfaat
Adapun manfaat yang diperoleh dalam melakukan penelitian ini adalah:
1.5.1. Bagi perusahaan
1. Memberikan gambaran pada perusahaan mengenai tata kelola
teknologi informasi yang baik (good governance).
2. Membantu organisasi dalam mengetahui gap yang terdapat
dalam pengelolaan TI terutama pada proses manajemen risiko
TI.
3. Menjadi referensi acuan bagi perusahaan untuk dapat
memperbaiki tata kelola teknologi informasi sesuai dengan
framework COBIT 5.
7
1.5.2. Bagi Penulis
1. Menerapkan pemahaman mengenai audit sistem informasi dan
pemahaman mengenai framework COBIT 5.
2. Menerapkan ilmu-ilmu yang telah diperoleh selama masa
perkuliahan
3. Untuk memenuhi salah satu syarat kelulusan strata satu (S1),
Sistem Informasi Fakultas Sains dan Teknologi UIN Syarif
Hidayatullah Jakarta.
1.6. Metode Penelitian
Pada penelitian ini menggunakan 2 metode penelitian yang terdiri dari:
1.6.1. Metode Pengumpulan Data
Metode Pengumpulan Data merupakan metode yang digunakan
untuk mengetahui tentang kondisi yang sedang berlangsung dalam
perusahaan. Metode yang digunakan adalah:
1. Observasi
Observasi merupakan pengamatan langsung terhadap
kegiatan yang sedang berlangsung. Observasi dilakukan pada divisi
IT. Observasi yang dilakukan adalah sebagai berikut:
1) Profil mengenai PT PLN P2B Jawa Bali secara umum
2) Mengamati lingkungan sekitar yang akan dijadikan
penelitian, seperti melihat langsung keadaan.
8
2. Wawancara
Melakukan tanya jawab secara langsung kepada pihak-pihak
yang terkait dengan objek penelitian. Pihak yang diwawancarai
adalah bagian IT dan orang orang yang terlibat didalam pengelolaan
teknologi informasi PT PLN P2B Jawa Bali
3. Kuesioner
Mengumpulkan data dengan cara memberikan lembaran kuesioner
kepada pihak yang ditentukan dengan menggunakan indentifikasi
Diagram RACI dalam COBIT 5.
1.6.2. Metode Analisis Data
Metode yang digunakan untuk dalam mengidentifikasi capability
level, menemukan gap dan menentukan rekomendasi, peneliti menggunakan
Assessment Process Activites berdasarkan kerangka kerja COBIT 5 yang
terdiri dari:
1. Initiation
Tahap ini menjelaskan tentang penggerak pada organisasi.
Indentifikasi penggerak perubahan saat ini dan kebutuhan
perubahan pada tingkat manajemen eksekutif. Tujuannya adalah
memperoleh pemahaman tentang organisasi saat ini.
2. Planning the Assessment
Tahap kedua adalah dilakukan rencana penilaian yang bertujuan
untuk mendapatkan hasil evaluasi penilaian capability level.
9
3. Briefing
Tahap ketiga adalah melakukan pengarahan kepada tim penilai
sehingga memahami masukan, proses dan keluaran dalam unit
organisasi yang akan dinilai yaitu Pusat Informasi dan Hubungan
Masyarakat dengan cara menentukan jadwal, kendala yang
dihadapi dalam melakukan penilaian, peran dan tanggung jawab,
kebutuhan sumber daya, dan lain-lain.
4. Data Collection
Tahap keempat adalah dilakukan pengumpulan data dari hasil
temuan yang terdapat pada Pusat Informasi dan Hubungan
Masyarakat yang bertujuan untuk mendapatkan bukti-bukti
penilaian evaluasi pada aktifitas proses yang telah dilakukan.
5. Data Validation
Tahap kelima adalah dilakukan validasi data yang bertujuan
untuk mengetahui hasil perhitungan kuesioner agar mendapatkan
evaluasi penilaian capability level.
6. Process Attribute Level
Tahap keenam adalah dilakukan proses memberi level pada
atribut yang ada disetiap indikator, yang bertujuan untuk
menunjukkan hasil capability level dari hasil perhitungan kuesioner
pada tahap-tahap sebelumnya dan melakukan analisis gap pada
tahapan berikutnya.
10
7. Reporting the Result
Tahap ketujuh adalah melaporkan hasil evaluasi yang bertujuan
untuk memberikan rekomendasi kepada Pusat Informasi dan
Hubungan Masyarakat dengan COBIT 5. Dalam praktik Tata
Kelola Teknologi Informasi pada COBIT 5 memiliki beberapa
ketentuan yang harus dipenuhi.
1.7. Tempat dan Waktu Penelitian
Pelaksanaan penelitian ini dilaksanakan pada:
Tempat : PT PLN P2B Jawa Bali
Alamat : Jalan JCC, Gandul, Cinere, Kota Depok, Jawa Barat 16514
Waktu : September – November 2017
1.8. Sistematika Penulisan
Dalam penyusunan penulisan ini sistematika penulisannya terdiri dari 5
(lima) bab, adapun uraian dari masing-masing bab tersebut adalah sebagai
berikut :
BAB I PENDAHULUAN
Pada bab ini menguraikan bagaimana latar belakang dari kasus yang
diambil sebagai objek penelitian, rumusan masalah, batasan
masalah, tujuan dan manfaat dari penelitian, metodologi penelitian
dan lain-lain
11
BAB II TINJAUAN PUSTAKA
Pada bab ini penulis memaparkan teori apa saja yang dipakai yang
terkait dengan konsep sistem informasi, asuransi kesehatan dan lain-
lain.
BAB III METODOLOGI PENELITIAN
Pada bab ini, penulis menguraikan tentang metodologi yang
digunakan dalam penelitian ini yang mencakup metode
pengumpulan data dan metode analisis data dalam usulan model tata
kelola TI.
BAB IV HASIL DAN PEMBAHASAN
Pada bab ini penulis menganalisis tata kelola teknologi informasi
dengan menggunaan metodologi PAM, yang dimana didalamnya
terdapat perhitungan dan pengolahan data kuesioner, memaparkan
hasil temuan dan gap, serta memberikan rekomendasi pada
perusahaan terkait.
BAB V PENUTUP
Bab ini merupakan penutup yang berisi kesimpulan dari uraian yang
sudah diterangkan pada bab-bab sebelumnya dan saran guna untuk
pengembangan lebih lanjut.
12
BAB II
LANDASAN TEORI
2.1. Pengertian Evaluasi
Evaluasi merupakan bagian dari sistem manajemen yaitu perencanaan,
organisasi, pelaksanaan, monitoring dan evaluasi. Menurut (Yunanda, 2009),
evaluasi merupakan kegiatan yang terencana untuk mengetahui keadaan suatu
objek dengan menggunakan instrumen dan hasilnya dibandingkan dengan tolak
ukur untuk memperoleh kesimpulan.
Menurut (Arikunto, 2010), evaluasi adalah suatu proses menentukan hasil
yang telah dicapai beberapa kegiatan yang direncanakan untuk mendukung
tercapainya tujuan.
Berdasarkan definisi diatas dapat diartikan bahwa evaluasi merupakan suatu
proses untuk menghasilkan sebuah nilai yang dapat dijadikan tolak ukur dalam
mencapai suatu tujuan.
2.2. Tata Kelola Teknologi Informasi
2.2.1. Pengertian Tata Kelola
Menurut Jogiyanto & Abdillah (2011), tata kelola (governance)
merupakan suatu proses yang dilakukan suatu organisasi atau masyarakat
untuk mengatasi permasalahan yang terjadi.
2.2.2. Pengertian Teknologi Infomasi
Teknologi informasi adalah penerapan teknologi komputer yang
berfungsi untuk menciptakan, menyimpan, mempertukarkan dan
menggunakan informasi dalam berbagai bentuk (Fauziyah, 2010). Teknologi
13
informasi merupakan sebuah bentuk umum yang menggambarkan setiap
teknologi yang membantu menghasilkan, memanipulasi, menyimpan,
mengkomunikasikan dan menyampaikan informasi (Seesar, 2010).
Berdasarkan definisi diatas maka dapat disimpulkan bahwa teknologi
informasi berfungsi untuk menyimpan, memanipulasi dan menghasilkan
sebuah informasi yang digunakan untuk tujuan tertentu.
2.2.3. Pengertian Tata Kelola Teknologi Informasi
The IT Governance Institute (2007) mendefinisikan tata kelola TI
sebagai suatu bagian integral dari tata kelola perusahaan yang terdiri atas
kepemimpinan, struktur dan proses organisasional yang memastikan bahwa
TI organisasi berlanjut serta meningkatkan tujuan dan strategi organisasi.
Menurut Surendro (2009), tata kelola TI merupakan bagian terintegrasi
dari pengelolaan perusahaan yang mencakup kepemimpinan, struktur serta
proses organisasi yang memastikan bahwa teknologi informasi perusahaan
dapat digunakan untuk mempertahankan dan memperluas strategi dan tujuan
organisasi.
Berdasarkan definisi diatas dapat disimpulkan bahwa tata kelola TI
adalah bagian yang terintegrasi dari perusahaan yang mencakup
kepemimpinan, struktur dan proses organisasi yang memastikan bahwa TI
mendukung strategi dan tujuan organisasi.
14
2.2.4. Tujuan Tata kelola Teknologi Informasi
Tujuan tata kelola teknologi informasi adalah mengontrol
penggunaannya dalam memastikan bahwa kinerja TI memenuhi dan sesuai
dengan tujuan sebagai berikut (Surendro , 2009):
1. Menyelaraskan teknologi informasi dengan strategi organisasi
serta realisasi dari keuntungan-keuntungan yang telah dijanjikan
dari penerapan TI.
2. Penggunaan teknologi informasi memungkinkan organisasi
mengambil peluang-peluang yang ada, serta memaksimalkan
pemanfaatan TI dalam maksimalkan keuntungan dari penerapan
TI tersebut.
3. Bertanggungjawab terhadap penggunaan sumber daya TI.
4. Manajemen risiko-risiko yang ada terkait teknologi informasi
secara tepat.
2.2.5. Pentingnya Tata Kelola Teknologi Informasi
Pada era informasi ini, teknologi menjadi alat pendukung yang sangat
penting bagi perusahaan untuk mengolah data menjadi informasi. Namun
peran teknis atau operasional tersebut dapat berubah menjadi peran yang
strategik seiring pesatnya perkembangan teknologi informasi. Untuk itu, jika
peran TI sudah strategik pengelolaan TI tidak hanya menjadi tanggung jawab
departemen TI saja, tetapi sudah menjadi tanggung jawab korporat (Jogiyanto
& Abdillah, 2011). Berikut beberapa alasan bahwa Tata Kelola Teknologi
Informasi sangat penting bagi perusahaan menurut Jogiyanto dan Abdillah:
15
1. Adanya perubahan peran TI, dari peran efisiensi ke peran
strategic yang harus ditangani di level korporat.
2. Banyak proyek TI strategik yang penting namun gagal dalam
pelaksanaannya karena hanya ditangani oleh teknisi TI.
3. Keputusan TI didewan direksi sering bersifat ad hoc atau tidak
terencana dengan baik.
4. TI merupakan pendorong utama proses transformasi bisnis yang
memberi imbas penting bagi organisasi dalam pencapaian misi,
visi dan tujuan strategik.
5. Kesuksesan pelaksanaan TI harus dapat terukur melalui metric
tatakelola TI.
2.3. Framework Tata Kelola Teknologi Informasi
2.3.1. ITIL
ITIL (Information Technology Infrastucture Library) merupakan
standar yang dikeluarkan pemerintah UK (United Kingdom) sebagai
framework yang dijadikan sebagai best practices proses dan prosedur dalam
manajemen operasionalnya. Pada dasarnya framework ini memiliki tujuan
meningkatkan efisiensi operasional TI dan kualitas layangan pelanggan.
Kerangka yang diberikan belum memberikan panduan pengelolaan TI yang
memenuhi kebutuhan di tingkat yang lebih tinggi (high level objective) di
perusahaan seperti pada framework COBIT (Sarno, 2009)
ITIL adalah seperangkat konsep dan praktik untuk mengelola layanan
TI, pengembangan dan operasi TI. ITIL memberi deskripsi rinci sejumlah
16
praktik penting TI dan menyediakan daftar komprehensif tugas dan prosedur
yang di dalamnya setiap organisasi dapat menyesuaikan dengan
kebutuhannya sendiri (Jogiyanto & Abdillah, 2011)
2.3.2. ISO
International Standar Organization (ISO) mengelompokkan standard
keamanan informasi yang umum dikenali secara internasional ke dalam
struktur penomoran yang standar yakni: ISO 17799. Pada awalnya standar
tersebut disusun oleh sekelompok perusahaan besar seperti Board of
Certification, British Telecom, Shell dan Unilever yang bekerja sama untuk
membuat suatu standar yang dinamakan British Standard 7799 (BS 7799)
sekitar awal 1995 (Sarno, 2009)
Terdapat keunggulan dan kelemahan dari penggunaan ISO.
Keunggulan penggunaan ISO bagi system tata kelola teknologi informasi
adalah ISO bersifat lebih rinci dengan menyediakan petunjuk tentang
bagaimana suatu dijalankan. ISO lebih cenderung digunakan oleh manajer
teknologi informasi dan manajer keamanan informasi. Sedangkan kelemahan
dari ISO ialah tidak terintegrasi dengan kerangka sistem tata kelola teknologi
informasi yang lebih luas. ISO lebih tepat digunakan untuk kepentingan
teknis, tidak digunakan sebagai pedoman umum dalam tata kelola teknologi
informasi dan diletakan pada level operasional (Jogiyanto & Abdillah, 2011)
2.3.3. COSO
Kerangka kerja COSO (Committee of Sponsoring Organization of the
Threadway Commission) terdiri atas tiga dimensi, sebagai berikut:
17
a) Komponen Kontrol COSO
COSO mengidentifikasi lima komponen control yang
diintergrasikan dan dijalanlan dalam semua unit bisnis, dan akan
membantu mencapai sasaran control internal, yakni monitoring,
information and communocations, control activities, risk
assessment, dan control environment.
b) Sasaran kontrol internal
Sasaran control internal dikategorikan menjadi beberapa area,
yakni (1) Operation, efisiensi dan efektifitas operasi dalam
mencapai sasaran biisnis yang juga meliputi tujuan performansi
dan keuntungan; (2) Financial Reporting, persiapan pelaporan
anggaran finansial yang dapat dipercaya; dan (3) Compliance,
pemenuhan hukum dan aturan yang dapat dipercaya 18
c) Unit/Aktifitas terhadap organisasi
Dimensi ini mengidentifikasikan unit/aktifitas pada organisasi
yang menghubungkan kontrol internal. Kontrol internal
menyangkut keseluruhan organisasi dan semua bagian-
bagiannya. Kontrol internal seharusnya diimplementasikan
terhadap unit-unit dan aktifitas organisasi (Kaban, 2009)
2.3.4. TOGAF ADM
The Open Group Architecture Framework (TOGAF) merupakan
kerangka kerja dan metode yang diterima secara luas dalam pengembangan
arsitektur perusahaan. Berawal dari Technical Architecture for Information
18
Management (TAFIM) di Departemen Pertahanan Amerika Serikat, kerangka
kerja itu diadopsi oleh Open Group pada pertengahan 1990-an. Spesifikasi
pertama TOGAF diperkenalkan pada tahun 1995. TOGAF merupakan hasil
pengembangan forum Open Group yang merupakan forum kerja sama antar
vendor dan penggunan (Surendro, 2009).
TOGAF memberikan metode yang detail mengenai bagaimana
membangun, mengelola, dan mengimplementasikan arsitektur enterprise dan
sistem informasi yang disebut dengan Architecture Development Method
(ADM), dimana ADM merupakan hasil dari kerja sama praktisi arsitektur
dalam Open Group Architecture Forum. ADM merupakan metode generik
yang berisikan sekumpulan aktifitas yang mempresentasikan progresi dari
setiap fase ADM dan model arsitektur yang digunakan dan dibuat selama
tahap pengembangan Arsitektur Enterprise (Surendro, 2009).
2.3.5. CMMI
CMMI (Capability Maturity Model Integration) merupakan sebuah
model sebuah model yang digunakan untuk menilai tingkat kematangan
proses rekayasa perangkat lunak sebuah organisasi dan menyediakan hal-hal
praktis yang dapat digunakan organisasi untuk meningkatkan kematangan
proses tersebut. Model ini dikembangkan lebih lanjut memiliki tujuan
menangani integrasi pengembangan prangkat lunak dengan aktivitas
kerekayasaan lain termasuk rekayasa sistem, pengembangan produk dan
proses secara terintegrasi, dan sumber daya supplier. Model CMMI banyak
19
digunakan sebagai acuan dalam pengembangan model kematangan lain,
termasuk dalam arsitektur enterprise (Surendro, 2009)
2.3.6. COBIT
COBIT (Control Objective for Information and Related Technology)
merupakan sekumpulan dokumentasi dan panduan untuk
mengimplementasikan IT Governance, kerangka kerja yang membantu
auditor, manajemen dan pengguna (user) untuk menjembatani pemisah (gap)
antara risiko bisnis, kebutuhan control dan permasalahan-permasalahan
teknis. COBIT dikembangkan oleh IT Governance Institute (ITGI) yang
merupakan bagian dari Information System Audit and Control Association
(ISACA, 2012).
2.4. COBIT 5
COBIT 5 adalah sebuah kerangka kerja untuk tata kelola dan manajemen
teknologi informasi dan semua yang berhubungan, yang dimulai dari memenuhi
kebutuhan stakeholder akan informasi dan teknologi (ISACA, 2012).
COBIT 5 memiliki 2 (dua) area utama yaitu area tata kelola (governance) dan
area manajemen (management). Pengaturan (Govern) terkait hal-hal apa yang
mendasari tata kelola tersebut yang ditentukan melalui pendefinisian strategi dan
kontrol. Sedangkan pengelolaan (manage) terkait bagaimana tata kelola tersebut
dilaksanakan merupakan cakupan dari pengelolaan (manage) yang ditentukan
melalui rencana taktis.
COBIT 5 mendefinisikan dan menjelaskan secara rinci sejumlah tata kelola
dan manajemen proses. COBIT 5 menyediakan referensi model proses yang
20
mewakili semua proses yang biasa ditemukan dalam suatu perusahaan terkait
dengan kegiatan TI. Model proses yang diusulkan bukan hanya sekedar model
proses tetapi suatu model yang bersifat komprehensif. Setiap perusahaan harus
mendefinisikan bidang prosesnya sendiri, dengan mempertimbangkan situasi
tertentu dalam perusahaan tersebut. COBIT 5 juga menyediakan kerangka kerja
untuk mengukur dan memantau kinerja TI, berkomunikasi dengan layanan dan
meintegrasikan praktik pengelolaan terbaik (ISACA, 2012). Berikut ini merupakan
cakupan antara COBIT 5 dan framework lain:
Gambar 2. 1 Cangkupan antara COBIT 5 dengan framework lain (ISACA, 2012)

Pengembangan COBIT 5 adalah untuk mengatasi kebutuhan-kebutuhan
penting seperti:
1. Membantu stakeholder dalam menentukan apa yang mereka harapkan
dari informasi dan teknologi terkait seperti keuntungan apa, pada tingkat
risiko berapa, dan pada biaya berapa dan bagaimana prioritas mereka
dalam menjamin bahwa nilai tambah yang diharapkan benar-benar
21
tersampaikan. Beberapa pihak lebih menyukai keuntungan dalam jangka
pendek sementara pihak lain lebih menyukai keuntungan jangka panjang.
Beberapa pihak siap untuk mengambil risiko tinggi sementara beberapa
pihak tidak. Perbedaan ini dan terkadang konflik mengenai harapan harus
dihadapi secara efektif. Stakeholder tidak hanya ingin terlibat lebih
banyak tapi juga menginginkan transparansi terkait bagaimana ini akan
terjadi dan bagaimana hasil yang akan diperoleh.
2. Membahas peningkatan ketergantungan kesuksesan organisasi pada
organisasi lain dan rekan TI, seperti outsource, pemasok, konsultan, klien,
cloud, dan penyedia layanan lain, serta pada beragam alat internal dan
mekanisme untuk memberikan nilai tambah yang diharapkan.
3. Mengatasi jumlah informasi yang meningkat secara signifikan.
Bagaimana perusahan memilih informasi yang relevan dan kredibel yang
akan mengarahkan organisasi kepada keputusan bisnis yang efektif dan
efisien. Informasi juga perlu untuk dikelola secara efektif dan model
informasi yang efektif dapat membantu untuk mencapainya.
4. Mengatasi TI yang semakin meresap kedalam organisasi. TI semakin
menjadi bagian penting dari bisnis. Seringkali TI yang terpisah tidak
cukup memuaskan walaupun sudah sejalan dengan bisnis. TI perlu
menjadi bagian penting dari proyek bisnis, struktur organisasi,
managemen risiko, kebijakan, kemampuan proses dan sebagainya. Tugas
dari CIO dan fungsi TI sedang berkembang sehingga semakin banyak
orang dalam organisasi yang memiliki kemampuan TI akan dilibatkan
22
dalam keputusan dan operasi TI. TI dan bisnis harus diintegrasikan
dengan lebih baik.
5. Menyediakan panduan lebih jauh dalam area inovasi dan teknologi baru.
Hal ini berkaitan dengan kreativitas, penemuan, pengembangan produk
baru, membuat produk saat ini lebih menarik bagi pelanggan, dan meraih
tipe pelanggan baru. Inovasi juga menyiratkan perampingan
pengembangan produk, produksi dan proses supply chain agar dapat
memberikan produk ke pasar dengan tingkat efisiensi, kecepatan, dan
kualitas yang lebih baik.
6. Mendukung perpaduan bisnis dan TI secara menyeluruh, dan mendukung
semua aspek yang mengarah pada tata kelola dan manajemen TI
organisasi yang efektif, seperti struktur organisasi, kebijakan, dan budaya.
7. Mendapatkan kontrol yang lebih baik berkaitan dengan solusi TI.
8. Memberikan manfaat bagi perusahan, antara lain:
a. Nilai tambah melalui penggunanaan TI yang efektif dan inovatif.
b. Kepuasan pengguna dengan keterlibatan dan layanan TI yang baik.
c. Kesesuaian dengan peraturan, regulasi, persetujugan, dan kebijakan
internal.
d. Peningkatan hubungan antara kebutuhan bisnis dengan tujuan TI.
9. Menghubungkan dan bila relevan, menyesuaikan dengan framework dan
standar lain seperti ITIL, TOGAF, PMBOK, PRINCE2, COSO dan ISO.
Hal ini akan membantu stakeholder mengerti bagaimana kaitan berbagai
23
framework, berbagai standar antar satu sama lain, dan bagaimana mereka
bisa digunakan bersama-sama.
10. Mengintegrasikan semua framework dan panduan ISACA dengan fokus
pada COBIT, Val IT dan Risk IT, tetapi juga mempertimbangkan BMIS,
ITAF, dan TGF sehingga COBIT 5 mencakup seluruh organisasi dan
menyediakan dasar untuk integrasi dengan framework dan standar lain
menjadi satu kesatuan framework.
2.4.1. Prinsip COBIT 5
Gambar 2. 2 COBIT 5 Principles (ISACA, 2012)

1. Memenuhi Kebutuhan Pemangku Kepentingan (Meeting
Stakeholder Needs)
Pada prinsip ini menjelaskan bahwa organisasi berusaha untuk
menciptakan nilai (create values) bagi para stakeholders.
Organisasi harus mempertimbangkan semua pemangku
kepentingan yang terlibat ketika pengambilan keputusan terkait
keuntungan, sumber daya dan keputusan penilain risiko.
24
Kebutuhan dari para pemangku kepentingan diubah menjadi
sebuah strategi bagi organisasi. Tujuan dari COBIT 5 adalah
menerjemahkan kebutuhan para pemangku kepentingan
menjadi tujuan yang spesifik dan disesuaikan dengan konteks
organisasi/organisasi serta tujuan dan sasaran yang berkaitan
dengan TI dan enabler.
Gambar 2. 3 Value Creation (ISACA, 2012)

2. Mencakup Sampai Proses Akhir Suatu Organisasi (Covering the
Enterprise End to End)
Pada prinsip ini menjelaskan bahwa COBIT 5 mengintegrasikan
tata kelola TI (IT Governance) dengan tata kelola organisasi
(Enterprise Governance). COBIT 5 tidak hanya fokus pada
pengelolaan fungsi TI tapi juga menganggap Teknologi
Informasi sebagai sebuah asset yang harus dilindungi seperti
halnya aset lain dalam organisasi.
3. Menggunakan Satu Kerangka Kerja Terintegrasi (Applying a
Single Integrated Framework)
25
Pada prinsip ini menjelaskan bahwa COBIT 5 memungkinkan
digunakan oleh organisasi sebagai tata kelola menyeluruh dan
kerangka kerja manajemen integrator.
4. Melakukan Pendekatan Secara Menyeluruh (Enabling a
Holistic Approach)
Pada prinsip ini menjelaskan bahwa COBIT 5 mendefinisikan
sekumpulan enabler untuk mendukung penerapan dari tata
kelola secara komprehensif dan system manajemen TI
organisasi.
5. Memisahkan Tata Kelola Dari Manajemen (Separating
Governance from Management)
Prinsip ini menjelaskan bahwa dalam kerangka kerja COBIT 5
membuat perbedaan yang jelas diantara tata kelola (governance)
dan manajemen (management). Tata kelola (governance)
melibatkan pengambilan keputusan pada high level, tanggung
jawab direksi di bawah kepimpinan ketua, sedangkanm,
manajemen adalah tanggung jawab eksekutif dibawah
kepemimpinan CEO.
26
Gambar 2. 4 Governance and Management (ISACA, 2012)
2.4.2. 7 Enablers
Enablers adalah sekumpulan faktor yang mempengaruhi sesuatu yang
akan dikerjakan oleh organisasi (ISACA, 2012). Dalam hal ini terkait
pengelolaan Teknologi Informasi di organisasi.
COBIT 5 enabler dijelaskan oleh kerangka kerja COBIT 5 di dalam
7 kategori enablers, yaitu:
1. Prinsip, Kebijakan dan Kerangka Kerja (Principles, Policies
and Framework)
Prinsip, kebijakan dan kerangka kerja adalah alat atau
pendorong untuk menerjemahkan tingkah laku ke dalam
panduan praktis untuk manajemen sehari-hari.
2. Proses (Processes)
Proses menjelaskan tentang sekumpulan kegiatan yang
terorganisir untuk mencapai tujuan tertentu dan menghasilkan
sekumpulan output dalam mendukung pencapaian tujuan IT.
27
3. Struktur Organisasi (Organizational Structures)
Struktur organisasi adalah entitas dalam organisasi sebagai
kunci dalam membuat keputusan.
4. Budaya, Etika dan Perilaku (Culture, Ethics and Behaviour)
Budaya, etika dan perilaku individu dan organisasi merupakan
factor keberhasilan dalam kegiatan tata kelola dan manajemen.
5. Informasi (Information)
Informasi dalam organisasi terdiri dari informasi yang
dihasilkan dan digunakan. Informasi dibutuhkan agar organisasi
dapat berjalan dengan baik.
6. Layanan, Infrastruktur dan Aplikasi (Service, Infrastructure and
Applications)
Layanan, infrastruktur dan aplikasi melibatkan infrastruktur
teknologi dan aplikasi yang menyediakan proses dan layanan
Teknologi Informasi bagi organisasi.
7. Orang, kemampuan dan Kompetensi (People, Skills and
Competencies)
Berhubungan dengan seorang individu dan kebutuhan untuk
memenuhi semua akifitas untuk mencapain kesuksesan dan
membuat keputusan yang tepat dengan langkah yang tepat.
2.4.3. Tahap Implementasi COBIT 5
COBIT 5 memiliki tujuh tahapan yang terdapat dalam siklus hidup
implementasi COBIT, berikut penjelasan tahapan-tahapan tersebut:
28
1. Tahap 1-Initiate Progamme
Tahap 1 mengidentifikasikan penggerak perubahan dan
menciptakan keinginan untuk berubah di level manajemen
eksekutif, yang kemudian diwujudkan berupa kasus bisnis.
Penggerak perubahan dapat berupa kejadian internal maupun
eksternal, dan kondisi atau isu penting yang memberikan dorongan
untuk berubah. Kejadian, tren, masalah kinerja, implementasi
perangkat lunak, dan bahkan tujuan dari perusahan dapat menjadi
penggerak perubahan. Risiko yang terkait dengan implementasi
dari program ini sendiri akan dideskripsikan di dalam kasus bisnis,
dan dikelola sepanjang siklus hidupnya. Menyiapkan, menjaga, dan
mengawasi kasus bisnis sangatlah mendasar dan penting untuk
pembenaran, mendukung, dan kemudian memastikan hasil akhir
yang sukses dari segala inisiatif, termasuk pengembangan GEIT.
Mereka memastikan fokus yang berkelanjutan terhadap
keuntungan dari program dan perwujudannya.
2. Tahap 2-Define Problems and Opportunities
Tahap 2 membuat agar tujuan TI dengan strategi dan risiko
perusahaan sejajar, dan memprioritaskan tujuan perusahaan, tujuan
TI, dan proses TI yang paling penting. COBIT 5 menyediakan
panduan pemetaan tujuan perusahaan terhadap tujuan TI terhadap
proses TI untuk membantu penyeleksian. Dengan mengetahui
tujuan perusahaan dan TI, proses penting yang harus mencapai
29
tingkat kapabilitas tertentu dapat diketahui. Manajemen perlu tahu
kapabilitas yang ada saat ini dan dimana kekurangan terjadi. Hal ini
dapat dicapai dengan cara melakukan penilaian kapabilitas proses
terhadap proses-proses yang terpilih.
3. Tahap 3-Define Road Map
Tahap 3 menetapkan target untuk peningkatan, diikuti oleh
analisis selisih untuk mengidentifikasi solusi potensial. Beberapa
solusi akan berupa quick wins dan beberapa berupa tugas jangka
panjang yang lebih sulit. Prioritas harus diberikan kepada proyek
yang lebih mudah untuk dicapai dan lebih mungkin memberikan
keuntungan yang paling besar. Tugas jangka panjang perlu dipecah
menjadi bagian-bagian yang lebih mudah untuk diselesaikan.
4. Tahap 4-Plan Programme
Tahap 4 merencanakan solusi praktis yang layak dijalankan
dengan mendefinisikan proyek yang didukung dengan kasus bisnis
yang dapat dibenarkan dan mengembangkan rencana perubahan
untuk implementasi. Kasus bisnis yang dibuat dengan baik akan
membantu memastikan bahwa keuntungan proyek teridentifikasi,
dan diawasi secara terus menerus.
5. Tahap 5-Execute Plan
Tahap 5 mengubah solusi yang disarankan menjadi kegiatan
hari per hari dan menetapkan perhitungan dan sistem pemantauan
untuk memastikan kesesuaian dengan bisnis tercapai dan kinerja
30
dapat diukur. Kesuksesan membutuhkan pendekatan, kesadaran
dan komunikasi, pengertian dan komitmen dari manajemen tingkat
tinggi dan kepemilikan dari pemilik proses TI dan bisnis yang
terpengaruh.
6. Tahap 6-Realede Benefits
Tahap 6 berfokus dalam transisi berkelanjutan dari pengelolaan
dan praktik manajemen yang telah ditingkatkan ke operasi bisnis
normal dan pemantauan pencapaian dari peningkatan
menggunakan metrik kinerja dan keuntungan yang diharapkan.
7. Tahap 7-Review Effectiveness
Tahap 7 mengevaluasi kesuksesan dari inisiatif secara umum,
mengidentifikasi kebutuhan tata kelola atau manajemen lebih jauh,
dan meningkatkan kebutuhan akan peningkatan secara terus-
menerus. Tahap ini juga memprioritaskan kesempatan lebih banyak
untuk meningkatkan GEIT.
Gambar 2. 5 7 Tahap Implementasi COBIT (ISACA, 2012)
31
2.4.4. Process Reference Model (PRM)
COBIT 5 model proses referensi (process reference model) terbagi
dalam dua jenis area yaitu governance dan management process dari
enterprise IT yang terdiri dari 37 proses.
Gambar 2. 6 Process Reference Model (PRM) (ISACA, 2012)

1. Evaluate, Direct and Monitor
EDM adalah proses tata kelola yang berhubungan dengan tata
pemangku kepentingan yang terdiri dari pengiriman tujuan, nilai,
optimisasi risiko dan sumber daya. Tujuannya adalah mengevaluasi
pilihan strategis, memberikan arahan kepada TI dan melakukan
pemantauan hasil. Pada domain EDM terdapat beberapa proses
yaitu:
a. EDM01 (Ensure Governance Framework Setting and
Maintenance).
32
Pada proses ini dilakukan analisa terhadap persyaratan
untuk tata kelola TI di organisasi, prinsip-prinsip, proses dan
praktek yang jelas terhadap tanggung jawab dan wewenang
untuk mencapai visi, misi, tujuan dan objek organisasi.
b. EDM02 (Ensure Benefits Delivery).
Pada proses ini mengoptimalkan kontribusi nilai bisnis dari
proses bisnis, layanan dan asset TI yang dihasilkan dari
investasi yang dilakukan oleh organisasi.
c. EDM03 (Ensure Risk Optimisation).
Pada proses ini memastikan bahwa risiko yang ada di
organisasi dipahami, diartikulasikan dan dikomunikasikan
dengan baik. Risiko terhadap nilai organisasi terkait dengan
penggunaan TI yang diidentifikasi dan dikelola.
d. EDM04 (Ensure Resource Optimisation).
Pada proses ini memastikan bahwa ketersediaan TI yang
ada memadai dan cukup. Ketersediaan sumber daya tersebut
terdiri dari orang (people), proses (process) dan teknologi
(technology) untuk mendukung tujuan organisasi secara efektif
dengan biaya yang optimal.
e. EDM05 (Ensure Stakeholder Transparency).
Pada proses ini memastikan bahwa adanya kesesuaian
terhadap pengukuran kinerja TI organisasi dan adanya
pelaporan yang transparan dengan para pemangku kepentingan.
33
Para pemangku kepentingan menyetujui tujuan dan tindakan
perbaikan yang diperlukan bagi organisasi. .
2. Align, Plan and Organise (APO)
APO mencakup strategi dan taktik untuk mengidentifikasi cara
terbaik TI dalam berkontribusi pada tujuan organisasi. APO
memberikan arah untuk solusi pengiriman (BAI) dan penyediaan
layanan dan dukungan. Pada domain APO terdapat 13 proses, yaitu:
a. APO01 (Manage the IT Management Framework).
Pada proses ini memperjelas visi, misi organisasi dan
memelihara tata kelola TI. Menerapkan dan memelihara
mekanisme untuk mengelola informasi dan penggunaan TI di
organisasi dalam mendukung tujuan pengelolaan yang sejalan
dengan prinsip dan kebijakan yang ada.
b. APO02 (Manage Strategy)
Pada proses ini memberikan pandangan yang menyeluruh
dari bisnis saat ini dan lingkungan TI, arah masa depan dan
inisiatif yang diperlukan untuk lingkungan di masa depan.
c. APO03 (Manage Enterprise Architecture)
Pada proses ini membangun arsitektur umum yang terdiri
dari proses bisnis, informasi, data, aplikasi dan teknologi untuk
mewujudkan strategi organisasi dan TI yang efektif dan efisien.
d. APO04 (Manage Innovation)
34
Pada proses ini menjelaskan tentang kesadaran terhadap
teknologi informasi dan tren layanan terkait, mengidentifikasi
peluang, inovasi dan merencanakan cara memperoleh
keuntungan dari inovasi tersebut.
e. APO05 (Manage Portfolio).
Pada proses ini menjelaskan tentang pengaturan strategi
untuk investasi yang sejalan dengan visi, arsitektur dan
karakteristik organisasi yang diinginkan dari investasi dan jasa
terkait portfolio.
f. APO06 (Manage Budget and Costs)
Pada proses ini menjelaskan tentang pengelolaan kegiatan
keuangan yang berkaitan dengan TI dalam bisnis dan fungsi TI
yang meliputi anggaran, biaya, manfaat manajemen dan
prioritas pengeluaran.
g. APO07 (Manage Human Resources)
Pada proses ini menjelaskan tentang melakukan pendekatan
terstruktur untuk memastikan struktur yang optimal,
penempatan, hak keputusan dan keterampilan sumber daya
manusia.
h. APO08 (Manage Relationships)
Pada proses ini menjelaskan tentang pengelolaan hubungan
antara bisnis dan TI secara formal dan transparan yang fokus
35
pada pencapaian tujuan bersama. Mendasarkan hubungan
saling percaya dan terbuka.
i. APO09 (Manage Service Agreements)
Pada proses ini menjelaskan tentang ketersediaan layanan
TI dan tingkat layanan dengan kebutuhan pada organisasi
termasuk identifikasi, spesifikasi, desain, penerbitan,
persetujuan dan pemantauan layanan TI, tingkat pelayanan dan
indikator kinerja.
j. APO10 (Manage Supplier).
Pada proses ini menjelaskan tentang pengelolaan terkait
layanan TI yang diberikan oleh semua jenis pemasok untuk
memenuhi kebutuhan organisasi. Termasuk di dalamnya
pemilihan pemasok, pengelolaan hubungan, manajemen
kontrak dan pemantauan kinerja pemasok untuk efektivitas dan
kepatuhan.
k. APO11 (Manage Quality)
Pada proses ini menetapkan dan mengkomunikasikan
persyaratan kualitas dalam semua proses, prosedur dan hasil
pada organisasi termasuk kontrol, pemantauan dan penggunaan
praktek dan standar dalam perbaikan, efisiensi upaya yang terus
menerus.
l. APO12 (Manage Risk)
36
Pada proses ini mengidentifikasi, menilai dan mengurangi
risiko TI dalam tingkat toleransi yang ditetapkan oleh
manajemen eksekutif organisasi.
m. APO13 (Manage Security)
Pada proses ini menjelaskan tentang proses penentuan,
operasi dan monitor sistem manajemen keamanan infomasi
pada organisasi.
3. Build, Acquire and Implement (BAI)
BAI mengidentifikasi solusi TI yang perlu dikembangkan,
diterapkan dan diintegrasikan ke dalam proses bisnis. Pada domain
BAI terdapat 10 proses, yaitu:
a. BAI01 (Manage Programmes and Projects)
Pada proses ini menjelaskan tentang pengelolaan program
dan projek dari investasi portfolio yang sejalan dengan strategi
organisasi yang terkoordinasi.
b. BAI02 (Manage Requirements Definition)
Pada proses ini mengidentifikasi solusi, menganalisa
persyaratan sebelum akuisisi atau pembuatan untuk
memastikan kesesuaian dengan persyaratan strategis organisasi
yang meliputi proses bisnis, aplikasi, informasi/data,
infrastuktur dan layanan.
c. BAI03 (Manage Solutions Identification)
37
Pada proses ini menetapkan dan memelihara solusi yang
diidentifikasi sesuai dengan kebutuhan organisasi yang
meliputi desain, pengembangan, pengadaan/sumber dan
bekerja sama dengan pemasok/vendor.
d. BAI04 (Manage Availability and Capacity)
Pada proses ini mengatur ketersediaan kebutuhan saat ini an
masa depan, kinerja dan kapasitas dengan penyediaan layanan
yang hemat biaya.
e. BAI05 (Manage Organisational Change Enablement)
Pada proses ini memaksimalkan kemungkinan keberhasilan
dalam penerapan perubahan pada organisasi yang berkelanjutan
dengan cepat dan mengurangi risiko.
f. BAI06 (Manage Changes)
Pada proses ini mengelola semua perubahan secara
terkontrol termasuk standar perubahan dan prosedur, penilaian
dampak, prioritas dan otoritas, pelacakan, pelaporan, perawatan
darurat yang berkaitan dengan proses bisnis, aplikasi dan
infrastruktur, penutupan dan dokumentasi.
g. BAI07 (Manage Change Acceptance and Transitioning)
Pada proses ini menerima dan membuat solusi operasional
yang baru termasuk perencanaan pelaksanaan, sistem dan
konversi data, pengujian penerimaan, komunikasi, persiapan
38
rilis, promosi untuk produksi proses bisnis baru dan layanan TI,
dukungan produksi awal dan pasca pelaksanaan.
h. BAI08 (Manage Knowledge).
Pada proses ini menjaga ketersediaan pengetahuan yang
relevan saat ini, divalidasi dan dapat diandalkan untuk
menunjang kegiatan proses dan memfasilitasi pengambilan
keputusan.
i. BAI09 (Manage Assets).
Pada proses ini mengelola asset TI melalui siklus hidupnya
untuk memastikan bahwa penggunaannya memberikan nilai
pada biaya yang optimal, sesuai dengan tujuan organisasi.
j. BAI10 (Manage Configuration)
Pada proses ini mendefinisikan dan memelihara hubungan
antara sumber daya dan kemampuan yang diperlukan untuk
memberikan ketersediaan layanan TI termasuk pengumpulan
informasi konfigurasi, menetapkan baseline, memverifikasi dan
memperbaharui repositori konfigurasi.
4. Deliver, Service and Support (DSS)
DSS menerima solusi yang akan digunakan oleh pengguna akhir
(end user). Domain ini berkaitan dengan dukungan layanan yang
dibutuhkan meliputi pelayanan, pengelolaan keamanan dan
kelangsungan, dukungan layanan bagi pengguna, manajemen data
dan fasilitas operasional. Pada domain DSS terdapat 6 proses, yaitu:
39
a. DSS01 (Manage Operations)
Pada proses ini mengkoordinasikan dan melaksanakan
kegiatan dan prosedur operasional yang dibutuhkan untuk
memberikan layanan TI bagi internal dan outsourcing.
Termasuk juga pelaksanaan prosedur standar operasi dan
kegiatan pemantauan yang dibutuhkan.
b. DSS02 (Manage Service Requests and Incidents)
Pada proses ini memberikan respon yang tepat waktu dan
efektif untuk permintaan pengguna dan resolusi semua jenis
kejadian.
c. DSS03 (Manage Problems)
Pada proses ini mengidentifikasi dan mengklasifikasikan
masalah, akar penyebab masalah dan memberikan solusi
perbaikan yang tepat.
d. DSS04 (Manage Continuity)
Pada proses ini membangun dan memelihara rencana yang
memungkinkan bisnis dan TI menanggapi kejadian dan
gangguan sehingga dapat melanjutkan proses operasi bisnis
penting, menjaga ketersediaan informasi pada organisasi.
e. DSS05 (Manage Security Services)
Pada proses ini melindungi informasi organisasi untuk
mempertahankan tingkat risiko keamanan informasi yang dapat
diterima organisasi sesuai dengan kebijakan keamanan.
40
f. DSS06 (Manage Business Process Controls)
Pada proses ini mendefinisikan dan mempertahankan
kontrol proses bisnis yang tepat untuk memastikan bahwa
informasi memenuhi persyaratan pengendalian informasi yang
relevan.
5. Monitor, Evaluate and Assess (MEA)
MEA meliputi kegiatan pemantauan pengendalian internal,
kepatuhan terhadap peraturan dan tata kelola. Penilaian terhadap
proses TI dilakukan secara teratur dan mengikuti panduan yang ada.
Pada domain MEA terdapat 3 proses, yaitu:
a. MEA01 (Monitor, Evaluate and Assess Performance and
Conformance)
Pada proses ini mengumpulkan, memvalidasi dan
mengevaluasi bisnis TI dan tujuan. Memantau proses kinerja
sesuai dengan tujuan dan memberikan pelaporan yang
sistematis dan tepat waktu.
b. MEA02 (Monitor, Evaluate and Assess the System of
Internet Control)
Pada proses ini dilakukan pemantauan secara terus menerus
dan evaluasi lingkungan pengendalian untuk mengidentifikasi
kekurangan kontrol dan efisiensi untuk memulai tindakan
perbaikan.
41
c. MEA03 (Monitor, Evaluate and Assess Compliance with
External Requirements)
Pada proses ini menilai bahwa proses TI dan proses bisnis
TI sesuai dengan undang-undang, peraturan dan persyaratan
kontrak. Memperoleh keyakinan bahwa persyaratan telah
diidentifikasi dan dipenuhi.
2.4.5. Process Assesment Model
Model ini merupakan dasar untuk penilaian kemampuan proses TI
suatu perusahaan pada COBIT 5. Model penilaian ini memungkinkan
penilaian oleh peruhsaan untuk mendukung perbaikan proses. Panduan ini
diberikan untuk memilih proses yang akan dievaluasi, termasuk penggunaan
pemetaan COBIT 5 yang diterbitkan oleh ISACA untuk menentukan proses
yang akan dinilai.
COBIT 5 PAM yang mendukung kinerja penilaian dengan memberikan
indikator untuk bimbingan pada interpretasi dari tujuan proses perusahaan.
COBIT 5 PAM terdisi dari satu set indikator kinerja proses dan kemampuan
proses. Indikator – indikator yang digunakan sebagai dasar untuk
mengumpulkan bukti objektif yang memungkinkan penilai untuk menetapkan
peringkat
Ada dua jenis indikator penilaiannya, yaitu:
1. Indikator proses atribut kapabilitas/kemampuan (process capability
attribute) untuk kemampuan pada tingkat 0 – 5.
42
2. Indiaktor proses kinerja (process performance) untuk kemampuan
pada tingkat 1.
Indikator proses atribut kapabilitas/kemampuan digunakan di proses
penilaian kapabilitas COBIT 5 berupa:
1. Praktik Umum (Generic Practice (GP))
2. Hasil Kerja Umum (Generic Work Product (GWP))
Gambar 2. 7 Generic Work Product (ISACA, 2012)

2.4.5.1. Assessment Process Activities
Assessment Process Activities merupakan tahapan – tahapan
aktifitas dalam melakukan proses penilaian capability level untuk
perusahaan (ISACA, 2012)
1) Initiation
Initiation merupakan tahapan pertama dalam Assessment
Process Activities yang ada pada Process Assessment
43
Model COBIT 5. Bertujuan untuk menjelaskan hasil
identifikasi dari beberapa informasi yang dapat
dikumpulkan
2) Planning the Assessment
Tahap kedua adalah dilakukan rencana penilaian yang
bertujuan untuk mendapatkan hasil evaluasi penilaian
capability level. Dengan pengisian angket kuesioner
oleh beberapa staff di PLN P2B sesuai dengan
identifikasi diagram RACI terhadap kebutuhan aktifitas
yang akan dinilai
3) Briefing
Tahap ketiga adalah melakukan pengarahan kepada tim
penilai sehingga memahami input, process dan output
dalam unit organisasi yang akan di nilai dengan cara
menentukan jadwal, kendala yang dihadapi dalam
melakukan penilaian, peran dan tanggung jawab,
kebutuhan sumber daya, dan lain-lain.
4) Data Collection
Tahap keempat adalah dilakukan pengumpulan data dari
hasil temuan yang terdapat pada PLN P2B yang
bertujuan untuk mendapatkan bukti-bukti penilaian
evaluasi pada aktifitas proses yang telah dilakukan.
5) Data Validation
44
Tahap kelima adalah dilakukan validasi data yang
bertujuan untuk mengetahui hasil perhitungan kuesioner
agar mendapatkan evaluasi penilaian capability level.
6) Process Attribute Level
Tahap keenam adalah dilakukan proses memberi level
pada atribut yang ada disetiap indikator, yang bertujuan
untuk menunjukan hasil capability level dari hasil
perhitungan kuesioner pada tahap-tahap sebelumnya dan
melakukan analisis gap pada tahapan berikutnya
7) Reporting the Result
Tahap ketujuh adalah melaporkan hasil evaluasi yang
bertujuan untuk memberikan rekomendasi untuk PLN
P2B dengan COBIT 5. Dalam praktik tata kelola
teknologi informasi pada COBIT 5
45
2.4.6. Model Proses Kapabilitas (Process Capability Model)
Menurut ISACA (2013), Indikator kapabilitas proses adalah
kemampuan proses dalam meraih tingkat kapabilitas yang ditentukan oleh
atribut proses. Bukti atas indikator kapabilitas proses akan mendukung
penilaian atas pencapaian atribut proses.
Gambar 2. 8 Process Capability Model (PCM) (ISACA, 2012)

Dimensi kapabilitas dalam model penilaian proses mencakup enam
tingkat kapabilitas. Di dalam enam tingkat tersebut terdapat indikator atribut
proses. Tingkat 0 tidak memiliki indikator apapun, karena tingkat 0
menyatakan proses yang belum diimplementasikan atau proses yang gagal,
meskipun sebagian, untuk mencapai hasil akhirnya. Kegiatan penilaian
membedakan antara penilaian untuk level 1 dengan level yang lebih tinggi.
Hal ini dilakukan karena level 1 menentukan apakah suatu proses mencapai
46
tujuannya, dan oleh karena itu sangat penting untuk dicapai, dan juga menjadi
pondasi dalam meraih level yang lebih tinggi.
Menurut ISACA (2013), dalam penilaian di tiap levelnya, hasil akan
diklasifikasikan dalam 4 kategori sebagai berikut:
1. N (Not achieved/tidak tercapai)
Dalam kategori ini tidak ada atau hanya sedikit bukti atas pencapaian
atribut proses tersebut. Range nilai yang diraih pada kategori ini berkisar
0 – 15%.
2. P (Partially achieved/tercapai sebagian)
Dalam kategori ini terdapat beberapa bukti mengenai pendekatan, dan
beberapa pencapaian atribut atas proses tersebut. Range nilai yang diraih
pada kategori ini berkisar 15-50%.
3. L (Largely achieved/secara garis besar tercapai)
Dalam kategori ini terdapat bukti atas pendekatan sistematis, dan
pencapaian signifikan atas proses tersebut, meski mungkin masih ada
kelemahan yang tidak signifikan. Range nilai yang diraih pada kategori
ini berkisar 50-85%.
4. F(Fully Ahieved/tercapai penuh)
Dalam kategori ini terdapat bukti atas pendekatan sistematis dan lengkap,
dan pencapaian penuh atas atribut proses tersebut. Tidak ada kelemahan
terkait atribut proses tersebut. Range nilai yang diraih pada kategori ini
berkisar 85-100%.
47
Menurut ISACA (2013), suatu proses cukup meraih kategori Largely
achieved (L) atau Fully achieved (F) untuk dapat dinyatakan bahwa proses
tersebut telah meraih suatu level kapabilitas tersebut, namun proses tersebut
harus meraih kategori Fully achieved (F) untuk dapat melanjutkan penilaian
ke level kapabilitas berikutnya, misalnya bagi suatu proses untuk meraih level
kapabilitas 3, maka level 1 dan 2 proses tersebut harus mencapai kategori
Fully Achieved (F), sementara level kapabilitas 3 cukup mencapai kategori
Largely achieved (L) atau Fully achieved (F).
Menurut ISACA (2013) untuk penilaian capability level terbagi
menjadi level-level sebagai berikut:
0. Incomplete process
Pada level ini proses tidak diterapkan atau gagal untuk mencapai tujuan
prosesnya. Pada tingkat ini, ada bukti sedikit atau tidak ada dari setiap
pencapaian sistematis tujuan proses.
1. Performed Process
Pada level ini menentukan apakah suatu proses mencapai tujuannya.
Ketentuan atribut proses pada level 1 adalah sebagai berikut:
a. Process Activity 1.1 Process Performance
Pengukuran mengenai seberapa jauh tujuan dari suatu proses berhasil
diraih. Pencapaian penuh atas atribut ini mengakibatkan proses
tersebut meraih tujuan yang sudah ditentukan, seperti ditunjukkan
dalam tabel dibawah ini.
48
Tabel 2. 1 Process Performance
PA 1.1 Process Performance
Hasil atas pencapaian Hasil Kerja Umum
Praktik Umum (GPs)
penuh atribut (GWPs)
GP 1.1.1 Meraih Hasil
Hasil kerja telah dibuat
Proses meraih tujuan yang Proses.
sehingga menyediakan
sudah ditentukan Ada bukti bahwa praktir-
bukti atas hasil proses.
praktik dasar dilakukan.
2. Managed Process
Performa proses pada tahap ini dikelola yang mencakup perencanaan,
monitor, dan penyesuaian. Work products-nya dijalankan, dikontrol, dikelola
dengan tepat. Ketentuan atribut proses pada level 2 adalah sebagai berikut:
a. Process Activity 2.1 Performance Management
Mengukur sampai mana performa proses di kelola. Sebagai hasil
pencapaian penuh atribut ini, ditunjukkan dalam tabel dibawah ini :
Tabel 2. 2 Performance Management (ISACA, 2012)

PA 2.1 Performance Management
Hasil atas pencapaian Praktik Umum (GPs)
Hasil Kerja Umum (GWPs)
penuh atribut
a. Objektif performa dari GP 2.1.1 Identifikasikan GPW 1.0 Dokumentasi
proses teridentifikasi objektif performa dari proses harus menguraikan
proses. Objektif performa, lingkup proses.
digabungkan dengan GWP 2.0 Rencana Proses
asumsi dan batasan, harus menyediakan detil-
diidentifikasikan dan detik dari objektif performa
dikomunikasikan proses.
b. Performa dari proses GP 2.1.2 Merencanakan GWP 2.0 Rencana Proses
direncanakan dan dan memonitor perfotma harus menggambarkan
dimonitor dari proses untuk secara detil objektif
memenuhi objektif yang performa proses.
telah ditentukan. Dasar GWP 9.0 Performa Proses
mengukur perfotma catatannya harus
proses yang berhubungan menggambarkan hasil yang
dengan objektif bisnis detil.
ditetapkan dan dimonitor. Catatan: Pada level ini,
Termasuk didalam dasar setiap catatan performa
tersebut adalah key proses dapat berbentuk
milestones, aktivitas- report, daftar masalah, dan
aktivitas yang diperlukan, catatan informal
estimasi dan jadwal.
49
PA 2.1 Performance Management
Hasil atas pencapaian Praktik Umum (GPs)
Hasil Kerja Umum (GWPs)
penuh atribut
c. Performa dari proses GP 2.1.3 Menyesuaikan GWP 4.0 Catatan Kualitas
disesuaikan untuk performa dari proses. harus menyediakan detil
memenuhi perencanaan Mengambil tindakan dari tindakan yang
ketika performa yang dilakukan ketika performa
direncanakan tidak tidak mencapai target.
tercapai. Tindakan
meliputi identifikasi dari
masalah performa dan
penyesuaian rencana dan
jadwal yang lebih sesuai
d. Tanggung jawab dan GP 2.1.4 Mendefinisikan GWP 1.0 Dokumentasi
otoritas dari melakukan tanggung jawab dan Process harus menyediakan
proses didefinisikan, otoritas dalam melakukan detil dari pemilik proses dan
ditugaskan dan proses. Tanggung jawab siapa saja yang terlibat,
dikomunikasikan. kunci dan otoritas dalam bertanggung jawab,
menjalankan aktivitas Dikonsultasika dan/atau
kunci dari proses diinformasikan (RACI).
didefinisikan, ditugaskan GWP 2.0 Rencana Proses
dan dikomunikasikan. harus meliputi detil dari
Pengalaman yang process communication
dibutuhkan, pengetahuan plan demikian juga
dan keahlian ditetapkan. pengalaman dan keahlian
yang dibutuhkan dari
menjalankan proses.
e. Sumber daya dan GP 2.1.5 Identifikasi dan GWP 2.9 Rencana Proses
informasi yang sediakan sumber daya harus menyediakan detil
dibutuhkan untuk untuk melakuka proses dari proses perencanaan
menjalankan proses sesuai dengan rencana. pelatihan dan proses
diidentifikasi, Sumber daya dan perencanaan sumber daya.
disediakan, informasi yang
dialokasikan dan dibutuhkan untuk
digunakan. menjalankan aktivitas
kunci dari proses
diidentifikasi, disediakan,
dialokasi dan digunakan.
f. Antarmuka antara pihak GP 2.1.6 Mengelola GWP 1.0 Dokumentasi
yang terlibat dikelola antarmuka antara pihak Proses harus menyediakan
untuk memastikan yang terlibat. Individu dan detil dari individu fan grup
komunikasi efektif dan grup yang terlibat dengan yang terlibat (supplier,
tugas yang jelas antar proses diidentifikasi, customer dan RACI)
pihak yang terlibat. tanggung jawab GWP 2.0 Rencana proses
didefininisikan dan harus menyediakan detil
mekanisme komunikasi dari process
yang efektif diterapkan. communication plan
50
b. Process Activites 2.2 Work Product Management
Mengukur sejauh mana hasil kerja yang dihasilkan oleh proses
dikelola. Hasil kerja yang dimaksud dalam hal ini adalah hasil dari
proses. Sebagai hasil pencapaian penuh atribut ini, ditunjukkan dalam
tabel dibawah ini.
Tabel 2. 3 Work Product Management (ISACA, 2012)

PA 2.1 Work Product Management
Hasil atas pencapaian
Praktik Umum (GPs) Hasil Kerja Umum (GWPs)
penuh atribut
a. Kebutuhan akan hasil GP 2.2.1 Menetapkan GWP 3.0 Rencana kualitas
kerja proses ditetapkan. kebutuhan untuk kerja, harus menyediakan detil
meliputi struktur isi dan dari kriteria kualitas dan isi
kriteria kualitas. dari hasil kerja.
b. Kebutuhan untuk GP 2.2.2 Menetapkan GWP 1.0 Dokumentasi
dokumentasi dan kebutuhan dari proses harus menyediakan
kontrol dari hasil kerja dokumentasi dan kontrol detil dari kontrol (matrix
ditetapkan dari hasil kerja. Ini harus kontrol)
meliputi identifikasi dari GWP 3.0 Rencana kualitas
ketergantungan, harus menyediakan detil
persetujuan dan dari hasil kerja, kriteria
kemudahan dalam kualitas, dokumentasi yang
melacak kebutuhan. dibutuhkan dan kontrol
perubahan.
c. Hasil kerja GP 2.2.3 Identifikasi, GWP 3.0 Recana Kualitas
diidentifikasi dengan dokumentasi, dan kontrol harus menyediakan detil
baik, didokumentasikan hasil kerja. Hasil kerja dari hasil kerja, kriteria
dan dikontrol adalah subjek dari kontrol kualitas, kebutuhan
perubahan, begitu juga dokumentasi dan control
dengan perubahan versi perubahan.
dan managemen
konfigurasi.
d. Hasil kerja di ulas GP 2.2.4 Ulas kembali GWP 4.0 Catatan Kualitas
kembali sesuai dengan dan menyesuaikan hasil harus menyediakan jejak
rencana pengaturan dan kerja untuk memenuhi audit dari pengulasan
disesuaikan sesuai kebutuhan yang telah kembali yang telah
kebutuhan untuk didefinisikan. Hasil kerja dilakukan.
mencapai kebutuhan. adalah subjek terdapat
pengulasan kembali
terhadap kebutuhan yang
disesuaikan dengan
pengaturan yang
direncanakan dan isu-isu
lain yang muncul
diselesaikan
51
3. Established Process
Proses yang telah dibangun kemudian diimplementasi menggunakan
proses yang telah didefinisikan yang mampu untuk mencapai hasil dari
proses. Ketentuan atribut proses pada level 3 adalah sebagai berikut:
a. Process Activity 3.1 Process Definition
Mengukur sejauh mana proses standar dikelola untuk mendukung
pengerjaan dari proses yang telah didefinisikan. Sebagai hasil
pencapaian penuh atribut ini, ditunjukkan dalam tabel dibawah ini.
Tabel 2. 4 Process Definition (ISACA, 2012)

PA 3.1 Process Definition
Hasil atas pencapaian Praktik Umum (GPs) Hasil Kerja Umum (GWPs)
a. Proses standard, GP 3.1.1 Mendefinisikan GWP 5.0 Kebijakan dan
meliputi panduan dasar standard dari proses yang standard harus
yang layak, mendukung pengerjaan menyediakan detil dari
dedifinisikan sehingga dari proses yang telah objektif organisasi untuk
mendeskripsikan didefinisikan. Sebuah proses, standard minimum
elemen fundamental proses standard dari performa, prosedur
yang harus ada dalam didefinisikan yang standard, dan pelaporan dan
proses yang didefinisi mengidentifikasi elemen kebutuhan monitoring.
proses fundamental dan Bukti yang diperlukan pada
menyediakan panduan dan level ini bukan hanya pada
prosedur untuk adanya kebijakan dan
mendukung implementasi standard tapi juga dengan
dan panduan tentang diterapkannya kebijakan
bagaimana standard dan standard tersebut.
tersebut dapat diubah saat
dibutuhkan
b. Urutan dan interaksi GP 3.1.2 Menetapkan GWP 5.0 Kebijakan dan
dari proses standard urutan dan interaksi antar standard harus
dengan proses lainnya proses sehingga dapat menyediakan proses
ditetapkan bekerja sebagai sistem pemetaaan dengan detil dari
yang terintegrasi dalam proses standard dengan
proses. Urutan standard urutan yang diharapkan dan
proses dan interaksi interaksinya. Bukti yang
dengan proses lain diperlukan pada level ini
ditentukan dan dikelola bukan hanya pada adanya
ketika sebuah proses kebijakan dan standard tapi
diimplementasikan pada juga dengan diterapkannya
bagian lain dalam kebijakan dan standard
organisasi. tersebut.
52
PA 3.1 Process Definition
c. Kompetensi yang GP 3.1.3 GWP 5.0 Kebijakan dan
dibutuhkan dan peran Mengidentifikasi peran standard harus
untuk melakukan dan kompetensi dari menyediakan detil dan
proses diidentifikasi menjalankan proses kompetensi dari proses
sebagai bagian dari standard yang dilakukan. Bukti yang
proses standard diperlukan pada level ini
bukan hanya pada adanya
kebijakan dan standard tapi
juga dengan diterapkannya
kebijakan dan standard
tersebut
d. Infrastruktur yang GP 3.1.4 Identifikasi GWP 5.0 Kebijakan dan
diperlukan dan infrastruktur yang standard harus
lingkungan kerja yang dibutuhkan dan mengidentifikasi kebutuhan
dibutuhkan untuk lingkungan kerja untuk minimum dari infrastruktur
melakukan proses melakukan proses dan lingkungan kerja untuk
diidentifikasi sebagai standard.Infrastruktur melakukan proses. Bukti
bagian (fasilitas, alat, metode, dll) yang diperlukan pada level
dan lingkungan kerja ini bukan hanya pada
untuk melakukan proses adanya kebijakan dan
standard diidentifikasi. standard tapi juga dengan
diterapkannya kebijakan
dan standard tersebut
e. Metode yang sesuai GP 3.1.5 Menetapkan GWP 5.0 Kebijakan dan
untuk monitoring metode yang sesuai untuk standard harus
kefektifan dan memonitor kefektifan dan menyediakan detil dari
kesesuaian dari proses kesesuaian dengan proses objektif organisasi terhadap
ditetapkan standard, meliputi proses, standard minimum
pemastian terhadap performa proses, prosedur
kriteria yang layak dan standard, dan pelaporan
data yang dibutuhkan serta kebutuhan monitoring.
untuk memonitor Bukti yang diperlukan pada
kefektifan dan kesesuaian level ini bukan hanya pada
dari proses didefinisikan, adanya kebijakan dan
dan menetapkan standard tapi juga dengan
kebutuhan untuk diterapkannya kebijakan
melakukan audit internal dan standard tersebut.
dan ulas kembali GWP 4.0 Catatan kualitas
managemen. dan GWP 9.0 Catatan
performa proses harus
menyediakan bukti dari ulas
kembali yang telah
dilakukan
b. Process Activity 3.2 Process Deployment
Mengukur sejauh mana proses standar secara efektif telah dijalankan
seperti proses yang telah didefinisikan untuk mencapai hasil dari
53
proses. Sebagai hasil pencapaian penuh atribut ini, ditunjukkan dalam
tabel dibawah ini.
Tabel 2. 5 Process Deployment (ISACA, 2012)

PA 3.2 Process Deployment
Praktik Umum (GPs)
a. Sebuah proses yang GP 3.2.1 Menjalankan GWP 5.0 Kebijakan dan
telah didefinisikan sebuah proses yang telah standard harus
dijalankan berdasarkan didefinisikan yang mendefinisikan standard
standard proses yang memuaskan konteks. yang harus diikuti oleh
telah ditentukan Ketika proses yang sama seluruh impelementasi dari
digunakan pada area yang proses. Bukti yang
berbeda pada organisasi, diperlukan pada level ini
proses tersebut dilakukan bukan hanya pada adanya
berdasarkan proses kebijakan dan standard tapi
standard, diatur selayak juga dengan diterapkannya
mungkin, dengan kebijakan dan standard
konformasi pada tersebut.
kebutuhan yang telah
didefinisikan pada proses
yang telah diverifikasi.
b. Peran yang dibutuhkan, GP 3.2.2 Menugaskan dan GWP 5.0 Kebijakan dan
tanggung jawab dan mengkomunikasikan standard harus
otoritas yang peran, tanggung jawab dan menyediakan detil,
dibutuhkan untuk otoritas untuk tanggung jawab dan otoritas
menjalankan proses menjalankan proses yang untuk melakukan aktivitas
yang telah didefinisikan telah didefinisikan. dari proses.Bukti yang
ditugaskan dan Ketika prosess yang sama diperlukan pada level ini
dikomunikasikan. digunakan pada area yang bukan hanya pada adanya
berbeda dalam organisasi, kebijakan dan standard tapi
Otoritas dan peran untuk juga dengan diterapkannya
melakukan aktivitas dari kebijakan dan standard
proses telah ditugaskan tersebut.
dan dikomunikasikan.
c. Personil yang GP 3.2.3 Memastikan GWP 1.0
melakukan proses yang kompetensi yang Dokumentasi proses harus
didefinisikan kompeten dibutuhkan untuk menyediakan detil dari
dalam basis edukasi menjalankan performa kompetensi dan pelatihan
yang sesuai, pelatihan dari proses yang yang dibutuhkan
dan pengalaman didefinisikan. Ketika GWP 2.0 Rencana proses
proses yang sama harus meliputi detil dari
digunakan dalam area process communication
yang berbeda pada plan, rencana pelatihan
organisasi, kompetensi dan rencana sumber daya
yang layak untuk personil untuk setiap instansi dari
yang ditugaskan proses.
diidentifikasikan dan
pelatihan yang sesuai
disediakan untuk
menjalankan proses yang
54
PA 3.2 Process Deployment
Praktik Umum (GPs)
disediakan, dialokasikan
dan digunakan.
d. Sumber daya yang GP 3.2.4 Menyediakan GP 2.0 Rencana proses
dibutuhkan dan sumber daya dan informasi harus meliputi detil dari
informasi yang untuk mendukung rencana sumber daya untuk
diperlukan untuk performa dari proses yang setiap instansi dari proses
melakukan proses yang didefinisikan. Ketika
didefinisikan proses yang sama
disediakan, digunakan dalam area
dialokasikan dan yang berbeda dalam
digunakan. organisasi, kebutuhan
sumber daya manusia dan
informasi untuk
melakukan proses
dan digunakan.
e. Infrastruktur dan GP 3.2.5 Menyediakan GWP 2.0 Rencana proses
lingkungan kerja untuk proses infrastruktur yang harus meliputi detil dari
melakukan proses yang layak untuk mendukung proses infrastruktur dan
didefinisikan performa dari proses yang lingkungan kerja dari setiap
disediakan, dikelola, didefinisikan. Ketika instansi dari proses.
dan diperlihara. proses yang sama
digunakan dalam area
yang berbeda dalam
organisasi, dukungan
organisasi yang
dibutuhkan, infrastruktur,
dan lingkungan kerja
dan digunakan.
4. Predictable process
Proses yang telah dibangun kemudian dioperasikan dengan batasan-
batasan agar mampu meraih harapan dari proses tersebut. Ketentuan atribut
proses pada level 4 adalah sebagai berikut:
a. Process Activity 4.1 Process Measurement
Pengukuran mengenai seberapa jauh hasil pengukuran digunakan
untuk memastikan bahwa performa proses mendukung pencapaian
tujuan proses untuk mendukung tujuan perusahaan. Pengukuran bisa
55
berupa pengukuran proses ataupun pengukuran produk atau kedua-
duanya. Sebagai hasil pencapaian penuh atribut ini, ditunjukkan dalam
tabel dibawah ini.
Tabel 2. 6 Process Measurement (ISACA,2012)

PA 4.2 Process Measurement
penuh atribut
a. Informasi yang GP 4.1.1 Identifikasikan GWP 6.0 Rencana
dibutuhkan proses kebutuhan informasi, peningkatan proses harus
untuk mendukung dalam hubungannya menyediakan tujuan
tujuan bisnis telah dengan tujuan bisnis. peningkatan proses dan
ditetapkan. Tujuan bisnis dan menyarankan tindakan
informasi yang peningkatan.
dibutuhkan pemegang
kepentingan telah
ditetapkan sebagai dasar
untuk menentukan tujuan
pengukuran performa
proses.
b. Tujuan pengukuran GP 4.1.2 Dapatkan tujuan GWP 7.0 Rencana
proses didapatkan dari pengukuran proses dari pengukuran proses harus
kebutuhan informasi. kebutuhan informasi. menyediakan detil dari
tujuan pengukuran yang
disarankan.
c. Tujuan kuantitatif untuk GP 4.1.3 Tetapkan tujuan GWP 7.0 Rencana
performa proses dalam kuantitatif atas performa pengukuran proses harus
mendukung tujuan dari proses, berdasarkan menyediakan detil dari
perusahaan telah kesesuaian proses dengan ukuran dan indikator
ditetapkan. tujuan perusahaan. Tujuan pengukuran.
pengukuran kuantitatif
telah ditetapkan dan
secara eksplisit
menggambarkan tujuan
perusahaan dan telah
dipastikan realistis dan
berguna oleh manajemen
dan pelaku proses
d. Pengukuran dan GP 4.1.4 Identifikasikan GWP 7.0 Rencana
frekuensinya telah pengukuran produk dan pengukuran proses
diidentifikasi dan proses yang mendukung menyediakan detil dari
ditetapkan sejalan pencapaian tujuan ukuran dan indikator
dengan tujuan kuantitatif atas performa pengukuran sekaligus
pengukuran proses dan proses. Pengukuran prosedur pengumpulan data
tujuan kuantitatif atas mendetil untuk produk dan prosedur analisa.
performa prosesnya. dan proses telah
diidentifikasi, sekaligus
dengan frekuensi
pengumpulan data dan
pengukuran, juga
mekanisme verifikasi.
56
PA 4.2 Process Measurement
penuh atribut
e. Hasil pengukuran GP 4.1.5 Mengumpulkan GWP 7.0 Rencana
dikumpulkan, dianalisa hasil pengukuran produk pengukuran proses harus
dan dilaporkan untuk dan proses dengan menyediakan detil atas
memantau seberapa melakukan proses yang prosedur analisa yang
jauh tujuan kuantitatif telah ditentukan. Hasil disarankan.
proses tercapai. pengukuran dikumpulkan, GWP 9.0 Catatan performa
dianalisa, dan dilaporkan proses harus menyediakan
sesuai rencana yang telah detil atas pengukuran yang
ditetapkan. telah dikumpulkan dan
dianalisa
f. Hasil pengukuran GP 4.1.6 Menggunakan GWP 9.0 Catatan performa
digunakan untuk hasil pengukuran untuk proses harus menyediakan
menggambarkan memantau dan detil atas pengukuran yang
performa proses. memverifikasi pencapaian sudah dikumpulkan dan
atas tujuan performa dianalisa.
proses. Hasil pengukuran
dianalisa untuk
memastikan pencapaian
terhadap tujuan performa
proses. Teknik yang
sesuai digunakan untuk
memahami performa
dan kapabilitas proses
dalam batasan yang sudah
ditentukan.
b. Process Activity 4.2 Process Control
Pengukuran tentang seberapa jauh suatu proses secara kuantitatif bisa
menghasilkan proses yang stabil, mampu, dan bisa diprediksi dalam
batasan telah ditentukan. Sebagai hasil pencapaian penuh atribut ini,
ditunjukkan dalam tabel dibawah ini.
Tabel 2. 7 Process Control (ISACA, 2012)

PA 4.2 Process Control
penuh atribut
a. Teknik analisa dan GP 4.2.1 Tentukan teknik GWP 1.0
kontrol telah ditentukan analisa dan kontrol yang Dokumentasi proses harus
dan diaplikasikan. sesuai untuk mengontrol menyediakan detil
performa proses. Metode pengontrolan (matriks
untuk mengukur kontrol)
efektivitas kontrol telah GWP 8.0 Rencana
didefinisikan dan pengendalian proses harus
divalidasi. ada dan menjelaskan
57
PA 4.2 Process Control
penuh atribut
pendekatan pengukuran
untuk setiap proses.
b. Pengontrolan batas GP 4.2.2 Tetapkan GWP 8.0 Rencana
variasi telah ditetapkan parameter yang cocok pengontrolan proses harus
untuk performa proses untuk mengontrol ada dan menjelaskan
normal. performa proses. Definisi batasan pengontrolan untuk
standar atas proses performa normal.
dimodifikasi untuk
memasukkan metode
pengendalian proses dan
batasan pengontrolan telah
ditetapkan.
c. Data pengukuran GP 4.2.3 Analisa hasil GWP 9.0 Catatan performa
dianalisa untuk pengukuran proses dan proses harus menyediakan
mengetahui penyebab produk untuk detil atas pengukuran yang
khusus atas suatu mengidentifikasikan telah dikumpulkan dan
variasi. variasi dan performa dianalisa.
proses. Hasil pengukuran
pengontrolan proses
dianalisa untuk
menentukan masalah yang
perlu diperhatikan dan
diteruskan untuk
penanggulangan.
d. Tindakan koreksi GP 4.2.4 Identifikasi dan GWP 9.0 Catatan performa
diambil untuk implementasikan tindakan proses harus menyediakan
memecahkan penyebab koreksi untuk mengatasi detil atas pengukura yang
khusus variasi. sumber masalah. Tindakan telah dikumpulkan dan
koreksi diambil untuk dianalisa.
mengatasi masalah
pengontrolan proses dan
hasilnya dipantau dan
dievaluasi.
e. Batasan kontrol GP 4.2.5 Tetapkan GWP 8.0 Rencana
ditetapkan kembali kembali batasan kontrol pengendalian proses harus
(apabila dibutuhkan) setelah tindakan koreksi. ada dan menjelaskan
sebagai respon Batasan kontrol proses batasan kontrol untuk
terhadap tindakan dimodifikasi sesuai peforma normal.
koreksi kebutuhan setelah
tindakan koreksi
dilakukan.
5. Optimizing Process
Proses yang telah dijelaskan sebelumnya, proses diprediksi terus
ditingkatkan untuk memenuhi tujuan bisnis yang relevan saat ini dan
proyeksi.
58
a. Process Activity 5.1 Process Innovation
Mengukur sebuah perubahan proses yang telah diidentifikasi dari
analisis penyebab umum dari adanya variasi di dalam performa, dan
dari investigasi pendekatan inovatif untuk mendefinisikan dan
melaksanakan proses. Sebagai hasil pencapaian penuh atribut ini,
ditunjukkan dalam tabel dibawah ini.
Tabel 2. 8 Process Innovation (ISACA, 2012)

PA 5.1 Process Innovation
penuh atribut
a. Tujuan dari GP 5.1.1 GWP 7.0 Rencana
peningkatan masing- Mendefinisikan tujuan peningkatan proses harus
masing proses peningkatan proses untuk menyediakan tujuan
diidentifikasi untuk mendukung tujuan bisnis peningkatan proses dan
mendukung tujuan yang relevan. tindakan yang dilakukan
bisnis yang relevan. Arahan untuk inovasi untuk peningkatan tersebut.
proses telah diatur.
Tujuan peningkatan
proses secara kualitatif
dan kuantitatif didasarkan
pada potensi inovasi
proses seperti visi dan
goals yang telah
didefinisikan dan
didokumentasikan.
b. Data yang tepat GP 5.1.2 Analisis GWP 9.0 Catatan performa
dianalisis agar dapat pengukuran data proses proses harus menyediakan
mengidentifikasi untuk mengidentifikasi penjelasan mengenai
penyebab umum dari variasi yang nyata dan kumpulan dan analisa
variasi performa proses. berpotensi di dalam pengukuran.
performa proses. Data
performa proses dianalisis
untuk mengidentifikasi
variasi di dalam performa
proses bersama dengan
akar penyebab dari
masalah performa proses
secara umum.
c. Data yang tepat GP 5.1.3 Identifikasi GWP 6.0 Rencana
dianalisis agar dapat peluang peningkatan peningkatan proses harus
mengidentifikasi proses berdasarkan menyediakan penjelasan
peluang untuk inovasi dan praktik mengenai analisis praktik
terbaik. Peluang terbaik.
59
PA 5.1 Process Innovation
penuh atribut
pelaksanaan praktik peningkatan proses
terbaik dan inovasi diidentifikasi berdasarkan
perbandingan dengan
praktik terbaik industri.
d. Peluang peningkatan GP 5.1.4 Didasarkan pada GWP 6.0 Rencana
yang bermula dari peluang peningkatan dari peningkatan proses harus
teknologi baru dan teknologi dan konsep menyediakan penjelasan
konsep proses baru proses baru. Peluang mengenai analisis peluang
diidentifikasikan. peningkatan proses peningkatan teknologi.
diidentifikasi berdasarkan
review dan analisis
mengenai inovasi
teknologi dan konsep
proses, yang dilanjutkan
pada perubahan
lingkungan bisnis
termasuk munculnya
risiko bisnis.
e. Strategi implementasi GP 5.1.5 Definisikan GWP 6.0 Rencana
dibuat untuk mencapai strategi implementasi peningkatan proses harus
tujuan dari peningkatan berdasarkan visi dan menyediakan penjelasan
proses. tujuan peningkatan jangka mengenai strategi
panjang. Strategi implementasi untuk
peningkatan proses peningkatan proses.
didefinisikan dan
divalidasi berdasarkan
goal dan objektif dari
peningkatan. Komitmen
untuk meningkatkan
didemokan oleh manager
dan pemilik proses.
b. Process Activity 5.2 Process Optimisation
Mengukur perubahan untuk definisi, manajemen, dan performa proses
agar memiliki hasil yang berdampak secara efektif untuk mencapai
tujuan dari proses peningkatan. Sebagai hasil pencapaian penuh
atribut ini, ditunjukkan dalam tabel dibawah ini
60
Tabel 2. 9 Process Optimisation (ISACA, 2012).
PA 5.2 Process Optimisation

penuh atribut
a. Dampak dari perubahan GP 5.2.1 Menilai dampak GWP 6.0 Rencana
yang telah dilakukan di dari masing- masing peningkatan proses harus
nilai kesesuaiannya perubahan yang telah menyediakan rincian
dengan tujuan dari dilakukan apakah telah mengenai pendekatan
proses yang telah sesuai dengan tujuan dari kualitas proyek peningkatan
didefinisikan dan proses proses standard dan proses proses
standar yang telah didefinisikan.
Dampak dari perubahan
yang telah dilakukan
dinilai kesesuaiannya agar
dapat menentukan
dampak dari kualitas
produk dan performa
proses apakah telah sesuai
dengan proses lain yang
berhubungan.
b. Implementasi dari GP 5.2.2 Mengelola GWP 6.0 Rencana
perubahan yang telah implementasi dari peningkatan proses harus
disetujui dikelola untuk perubahan yang telah menyediakan rincian
memastikan bahwa disetujui untuk memilih mengenai strategi
perbedaan- perbedaan area dari proses standar implementasi peningkatan
performa proses dan proses yang telah proses dan perubahan yang
dimengerti dan didefinisi sesuai dengan terdiri dari:
dilakukan setelahnya. strategi implementasi. - GWP 1.0 Dokumentasi
Implementasi dari proses
perubahan yang telah - GWP 3.0 Rencana
disetujui dikelola sesuai kualitas
dengan manajemen - GWP 5.0 Kebijakan
perubahan dan proses dan standar
pendukung perubahan
c. Berdasarkan performa GP 5.2.3 Berdasarkan GWP 6.0 Rencana
saat ini, keefektivitasan performa saat ini, evaluasi peningkatan proses harus
perubahan proses keefektivitasan perubahan menyediakan rincian
dievaluasi berdasarkan proses sesuai dengan mengenai pendekatan
persyaratan produk dan performa proses, tujuan kualitas proyek peningkatan
tujuan proses untuk kapabilitas, dan tujuan proses.
menentukan hasil bisnis. Keefektifitasan
memiliki penyebab perubahan membuat
umum atau khusus. proses tersebut perlu
diukur, dievaluasi, dan
dilaporkan setelah
implementasi.
61
2.4.7. RACI (Responsible, Accountable, Consulted, Informed) Chart
COBIT 5 menyediakan sebuah RACI chart yaitu sebuah matrik dari
semua aktivitas atau wewenang dalam mengambil keputusan yang dilakukan
dalam sebuah organisasi terhadap semua orang atau peran untuk setiap proses.
Berikut ini penjelasan mengenai RACI Chart: (ISACA, 2012)
1. Responsible
Menjelaskan tentang siapa yang mendapatkan tugas yang harus dilakukan.
Hal ini merujuk pada peran utama atau penanggung jawab pada kegiatan
operasional, memenuhi kebutuhan dan menciptakan hasil yang diinginkan
dari organisasi.
2. Accountable
Menjelaskan tentang siapa yang bertanggung jawab atas keberhasilan
tugas. Hal ini merujuk pada pertanggung jawaban secara keseluruhan atas
tugas yang telah dilakukan.
3. Consulted
Menjelaskan tentang siapa yang memberikan masukan. Hal ini merujuk
pada peran yang bertanggung jawab untuk memperoleh informasi dari
unit lain atau mitra eksternal. Masukan harus dipertimbangkan dan
pengambilan tindakan yang tepat.
4. Informed
Menjelaskan tentang siapa yang menerima informasi. Hal ini merujuk
pada peran yang bertanggung jawab untuk menerima informasi yang tepat
untuk mengawasi setiap tugas yang dilakukan.
62
Berikut ini merupakan salah satu diagram RACI berdasarkan
framework COBIT
Gambar 2. 9 RACI Chart EDM03 (ISACA, 2012)

Berikut ini tabel penjelasan mengenai pihak-pihak yang terlibat dalam
struktur COBIT 5 (ISACA, 2012:76), yaitu:
Tabel 2. 10 Relevant Structures for Risk (ISACA, 2012)

Relevant Structures for Risk
Jabatan Deskripsi Jabatan pada proses risiko
Board Kelompok eksekutif paling senior Memberikan pengawasan atas
dan/atau direktur non-eksekutif dari dampak risiko perusahaan
organisasi yang bertanggung jawab terhadap tujuan perusahaan
untuk tata kelola organisasi dan
memiliki control keseluruhan
sumber daya.
CEO Orang yang memiliki kedudukan Memberikan dukungan eksekutif
tinggi yang bertanggung jawab dari dan berkolaborasi dalam
manajemen keseluruhan organisasi. menentukan keputusan risiko
Strategy (IT Sekelompok eksekutif senior yang Proaktif dalam mengelola risiko
Executive) ditunjukan oleh dewan untuk yang terkait dengan portofolio
committee memastikan bahwa dewan terlibat investasi TI
dalam pengambilan keputusan yang
berkaitan dengan TI. Komite ini
bertanggung jawab untuk mengelola
portofolio investasi IT-enabled,
layanan TI dan asset TI. Memastikan
nilai yang disampaikan dan risiko
dikelola. Komite ini biasanya
dipimpin oleh anggota dewan.
63
Chief Operating Seseorang yang memiliki jabatan Berkonsultasi mengenai risiko
Officer senior pada organisasi yang operasional
bertanggung jawab untuk operasi
organisasi.
Business executive Sebuah manajemen individu senior Berkonsultasi mengenai risiko
yang bertanggung jawab untuk yang terkait dengan lini bisnis
operasi unit bisnis tertentu atau anak atau departemen
perusahaan.
CIO/Chief Pejabat senior pada organisasi yang Berkonsultasi tentang aspek
technology officer bertanggung jawab untuk teknis dari risiko dan tindakannya
(CTO) menyelaraskan TI dan strategi bisnis
dan akuntabel untuk perencanaan,
sumber daya dan mengelola
pengiriman layanan dan solusi untuk
mendukung tujuan TI organisasi
Business Process seseorang yang bertanggung jawab Berkonsultasi pada risiko yang
Owner pada proses kinerja untuk terkait dengan proses bisnis
mewujudkan tujuannya, mendorong Menerima kepemilikan atas
perbaikan proses dan menyetujui risiko yang telah dinilai dan
perubahan proses. laporan atas progres mitigasi
Chief Information pejabat senior pada organisasi yang Berkonsultasi pada risiko
Security Officer bertanggung jawab untuk keamanan keamanan
informasi organisasi dalam segala
bentuknya.
CFO seseorang yang memiliki jabatan Berkonsultasi pada tingkat
senior pada organisasi yang kerugian yang dapat diterima,
bertanggung jawab untuk semua faktor risiko yang penting dan
aspek manajemen keuangan, biaya pada pilihan respon
termasuk risiko dan control terhadap risiko
keuangan dan rekening terpercaya
dan akurat.
Business seorang individu yang mengelola, Berkonsultasi mengenai
Continuity merancang, mengawasi dan/atau gangguan pada operasi
Manager menilai kemampuan kelangsungan perusahaan
usaha suatu organisasi, untuk
memastikan bahwa fungsi organisasi
tetap beroperasi pada saat kritis.
IT Process Seseorang yang bertanggung jawab Berkonsultasi mengenai risiko
(service) owners atas proses dan layanan TI yang yang terkait dengan proses atau
diberikan layanan TI
Menerima kepemilikan atas
risiko yang telah dinilai dan
laporan atas progres mitigasi
Service Manager seorang individu yang mengelola Berkonsultasi dengan manajemen
pengembangan, implementasi, layanan terkait risiko
64
evaluasi dan pengelolaan
berkelanjutan baru dan yang sudah
ada.
Head of HR pejabat senior pada organisasi yang Berkonsultasi tentang aspek
bertanggung jawab untuk manusia terkait dengan risiko dan
perencanaan dan kebijakan terhadap tindakannya
semua sumber daya manusia di
organisasi.
Privacy Officer Seorang yang bertanggung jawab Berkonsultasi tentang aspek
untuk mematau risiko dan dampak utama yang terkait dengan
bisnis undang-undang privasi dan pemantauan risiko dan dampak
untuk membimbing dan koordinasi bisnis peraturan dan kebijakan
pelaksanaan kebijakan dan kegiatan privasi
yang akan memastikan bahwa
arahan privasi terpenuhi. Privacy
Officer juga disebut sebagai petugas
perlindungan data.
Project and Seseorang yang bertanggung jawab Mengarikulasikan risiko yang
programme untuk mendukung program dan terkait dengan program dan
steering committee proyek manajer, mengumpulkan, proyek
menilai dan melaporkan informasi
tentang pelaksabaab program dan
proyek konstituen.
Chief Insurance Pejabat paling senior diperusahaan Dikonsultasikan untuk transfer
Officer dalam mengelola polis asuransi dan pembagian risiko
Procurement Fungsi yang melibatkan dan Berkonsultasi dan memberi saran
mengelola pihak ketiga dan proses dalam mengelola risiko pihak
yang terkait, seperti kontrak, dan ketiga
keseluruhan rantai pasokan
2.5. Pemetaan Tujuan Terkait TI Terhadap Proses COBIT 5
Dalam proses pemilihan domain diperlukan proses identifikasi masalah
sehingga penentuan domain lebih tepat sasaran (Fitroh, Siregar, & Rustamaji,
2017). Domain proses yang dipilih untuk dilakukan evaluasi berdasarkan
kebutuhan dan di dukung oleh kerangka kerja COBIT 5. Adapun ditemukan fakta
terkait dengan pengelolaan TI di divisi TI-Telkom PLN P2B, yaitu pernah
65
terjadinya kegagalan migrasi data pada server serta terjadinya kerusakan pada back-
up data mengakibatkan PT PLN P2B kehilangan data transaksi.
Berdasarkan fakta tersebut, maka dilakukan pemetaan Enterprise Goals
terhadap Stakeholder Needs yang selaras dengan stakeholders needs yang selaras
dengan fakta yang terjadi.
Tabel 2. 11 Pemetaan Enterprise Goals terhadap Stakeholder Needs
Berdasarkan hasil pemetaan tersebut, Enterprise Goals yang selaras dan
dipilih adalah nomor tiga yaitu, Managed business risk (safeguarding of assets).
Kemudian setelah menentukan Enterprise Goals dalam penelitian ini selanjutnya
menentukan IT-related goals yang selaras, dengan melakukan pemetaan Enterprise
goals terhadap IT-related goals.
66
Gambar 2. 10 Mapping COBIT 5 Enterprise Goals to IT-related Goals (ISACA,
2012)
Diketahui bahwa kolom dengan tanda P berarti Primary menunjukan bahwa
memiliki hubungan yang penting atau memiliki dukungan primer. Sedangkan S
berarti Secondary menunjukan bahwa memiliki hubungan yang kuat tapi kurang
penting. Pada kolom Enterprise Goals nomor tiga Managed business risk
67
(safeguarding of assets), diketahui terdapat tiga IT-related goals yang memiliki
hubungan yang penting yaitu, (4) Managaed IT-related business risk, (10) Security
of information, processing infrastructure and applications, (16) Competent and
motivated business and IT personnel. Berdasarkan pemetaan tersebut dengan
diskusi dan fokus evaluasi yang akan dilakukan pada Divisi TI-Telkom, maka IT
Related goals yang selaras dengan Enterprise goals yang dipilih dalam penelitian
adalah nomor empat (4) Managed IT-related business risk.Setelah menentukan IT-
related goals selanjutnya adalah menentukan domain yang digunakan dalam
penelitian ini, dengan melakukan pemetaan terhadap 37 process yang terdapat pada
COBIT 5. Berikut ini merupakan gambar Mapping IT related goals pada proses
yang terdapat dalam COBIT 5:
68
Gambar 2. 11 Mapping IT-related goal (ISACA, 2012)
Pada gambar diatas diketahui pemetaan IT-related goal terhadap proses –
proses yang terdapat dalam COBIT 5 pada domain EDM dan APO.
69
Gambar 2. 12 Mapping IT-related goal (ISACA, 2012)
Pada gambar diatas diketahui bahwa P memiliki arti Primary yaitu memiliki
hubungan yang penting, sedangkan S untuk Secondary yaitu memiliki hubungan
yang kuat namun kurang penting. Pada kolom IT-related goals nomor empat
Manage IT-related business risk terdapat 15 proses yang memiliki hubungan yang
70
penting terhadap IT-related goals. Berdasarkan hasil pemetaan tersebut peneliti
melakukan kuesioner (pra penelitian) kepada pihak Divisi TI-Telkom untuk
menentukan domain mana yang akan menjadi fokus pada penelitian ini. Hasil dari
kuesioner (pra penelitian), proses yang dipilih untuk dikaji lebih lanjut dalam
penelitian ini adalah EDM03 (Ensure Risk Optimisation) dan APO12 (Manage
Risk) yang dimana hasilnya peneliti lampirkan pada dokumen lampiran.
2.6. Fokus Area Tata Kelola Teknologi Informasi
Fokus area domain yang dipilih adalah domain Evaluate, Direct and Monitor
pada proses EDM03 (Ensure Optimisation Risk) dan Align, Plan and Organise pada
proses APO12 (Manage Risk).
Menurut ISACA (2012), EDM03 adalah memastikan besarnya risiko dan
toleransi yang dapat diterima perusahaan dimengerti, diartikulasi serta
dikomunikasikan, dan dilakukan kegiatan pengidentifikasian dan pengelolaan
risiko-risiko yang berhubungan dengan nilai TI pada perusahaan.
Tujuan dari proses tersebut adalah memastikan bahwa risiko TI perusahaan
tidak melebihi kemampuan dan toleransi perusahaan dalam menerima risiko, serta
mengidentifikasi dan mengelola dampak dari risiko TI terhadap nilai-nilai pada
perusahaan, dan mengurangi terjadinya kegagalan.
Menurut ISACA (2012), deskripsi dari APO12 adalah secara terus menerus
mengidentifikasi, menilai dan mengurangi risiko yang berhubungan dengan TI
didalam level toleransi yang ditentukan oleh manajemen perusahaan.
71
Tujuan dari proses tersebut mengintegrasikan management dari risiko TI
perusahaan dengan keseluruhan ERM (Enterprise Risk Management), dan
menyeimbangkan biaya dan keuntungan dari mengelola risiko TI perusahaan.
2.7. Risiko
Risiko adalah kemungkinan terjadinya penyimpangan dari harapan yang
dapat menimbulkan kerugian. Sedangkan manajemen risiko adalah usaha yang
secara rasional ditujukan untuk mengurangi kemungkinan terjadinya kerugian dari
risiko yang dihadapi. Risiko tidak cukup dihindari, tapi harus dihadapi dengan cara
cara yang dapat memperkecil kemungkinan terjadinya suatu kerugian., risiko dapat
dikelompokan menjadi 2 jenis: (Kasidi, 2010)
1. Risiko Spekulatif
Risiko yang mengandung dua kemungkinan, yaitu kemungkinan yang
menguntungkan atau kemungkinan yang merugikan. Contoh: pembelian
saham, pembelian valuta asing
2. Risiko Murni
Risiko yang mengandung satu kemungkinan yaitu kemungkinan rugi saja.
Contoh: bencana alam
2.8. Risiko TI
Risiko TI adalah risiko organisasi yang diakibatkan oleh penggunaan TI
dalam organisasi, terdiri atas semua kejadian terkait TI yang berpotensi memiliki
dampak pada organisasi (ISACA, 2009). Perspektif umum lingkup risiko TI
semakin berkembang, tidak hanya terkait dengan operasional organisasi tetapi
risiko secara keseluruhan pada organisasi tersebut.
72
Gambar 2. 13 Risk IT Framework (ISACA, 2009)
Risiko dan Value merupakan dua sisi mata uang yang berbeda tetapi
perusahaan atau organisasi perlu untuk memastikan bahwa peluang (opportunity)
untuk menciptakan nilai tidak hilang karena keinginan untuk mengeliminasi risiko,
harus ada keseimbangan.
Menurut ISACA (2009), risiko TI dikategorikan menjadi tiga yaitu sebagai
berikut:
1. IT Benefit/Value Enablement Risk
Terkait dengan (hilangnya) oppotunity penggunaan teknologi bagi penginkatan
efisiensi dan efektifitas proses bisnis atau sebagai enabler bagi inisiatif bisnis baru.
2. IT Program and Project Delivery Risk
Terkait dengan kontribusi TI bagi solusi bisnis baru atau memperbaiki solusi
bisnis dalam bentuk proyek atau program.
3. IT Operations and Service Delivery Risk
Terkait dengan seluruh aspek kinerja sistem dan layanan TI, yang dapat
merusak atau mereduksi nilai organisasi atau perusahaan.
2.9. Manajemen Risiko TI
Menurut IT Governance, IT Audit dan IT Security (dalam Spremic 2008),
manajemen risiko TI adalah proses untuk memahami dan memberikan respon
73
terhadap faktor-faktor yang dapat menyebabkan kegagalan dalam autentikasi, non-
repudiation, kerahasiaan, integritas atau ketersediaan dari sistem informasi.
Menurut Samaptoaji (dalam Stoneburner, 2014), manajemen risiko TI
merupakan proses identifikasi risiko , penilaian risiko, dan pengambilan langkah-
langkah untuk menurunkan risiko sampai tingkatan yang dapat diterima
Menurut Westerman (2007), manajemen risiko adalah proses identifikasi
pengkajian, pengembangan strategi mitigasi dan komunikasi risiko TI yang
berpotensi merugikan atau berdampak negatif terhadap organisasi.
2.9.1. Langkah Mengelola Risiko Teknologi Informasi
Menurut Indrajit (2014) terdapat sepuluh aktivitas yang harus
dilakukan terkait dengan pengelolaan risiko TI, yaitu:
1. Mengkali dan menentukan profil risiko yang dihadapi dimana
setiap organisasi atau perusahaan pasti memiliki potensi ancaman
atau sisi kerawanan yang jika tidak ditangani sungguh – sungguh
dapat mengganggu beroperasinya organiasi yang dimaksud.
2. Memahami relevansi risiko dengan obyektif bisnis atau organisasi
– dimana dicoba untuk dipahami dan disadari dampak serius yang
dihadapi organisasi seandainya risiko yang ada tidak dikelola
secara sungguh – sunggu oleh pimpinan dan manajemen usaha.
3. Memahami relevansi risiko dengan obyektif proses bisnis – dimana
selain memahami dampak risiko terhadap keberlangsungan bisnis,
juga dipetakan dampaknya terhadap kelancaran pelaksanaan proses
bisnis yang ada dalam organisasi yang bersangkutan.
74
4. Mengidentifikasi obyektif teknologi informasi dan posisi risiko –
dimana organisasi memahami secara sungguh – sungguh peranan
serta manfaat teknologi informasi dan komunikasi bagi bisnis dan
potensi risiko apa saja yang membayanginya.
5. Mengidentifikasi kejadian (event) yang terkait dengan risiko
organisasi – dimana secara sistematis organisasi melakukan
identifikasi terhadap kemungkinan kejadian yang tidak diinginkan
seperti apa saja yang mampu dihadapi organiasi dan tingkat
probabilitas kemungkinan terjadinya.
6. Mengkaji risiko terkait dengan potensi kejadian – dimana terhadap
setiap risiko yang telah didefinisikan, diperkirakan dampak potensi
atau eksposur negatif yang mungkin menimpa organisasi.
7. Menentukan dan mengevaluasi model tanggapan terhadap risiko
yang mungkin terjadi – dimana risiko organisasi menyusun strategi
pendekatan dalam menghadapi risiko yang dimaksud, sesuai
dengan tingkat kepentingan dan kapabilitas organisasi.
8. Memprioritaskan dan merencanakan aktivitas pengendalian –
dimana terhadap seluruh risiko yang dihadapi, dilakukan pemetaan
untuk menetapkan tingkat prioritas, dimana yang tertinggi harus
diberikan kepada potensi kejadian yang memiliki probabilitas
tinggi dan memiliki dampak negatif yang besar terhadap kinerja
organisasi.
75
9. Menyepakati dan memastikan adanya rencana aksi yang disetujui –
dimana pimpinan dan manajemen secara formal menyetujui dan
menginstitusionalisasikan keputusan penerapan manajemen risiko
yang telah ditentukan untuk diterapkan organisasi.
10. Memantau dan mengawasi rencana penanganan risiko – dimana
organisasi melakukan monitoring terhadap implementasi tata
kelola manajemen risiko yang telah ditetapkan oleh pimpinan
organisasi atau perusahaan.
2.10. Risk Assessment
Menurut ISACA (2012), menyatakan bahwa Risk Assessment berfungsi untuk
melakukan identifikasi risiko potensial yang berasal dari internal dan eksternal
organisasi, dan juga berfungsi untuk menilai sejauh mana impact yang ditimbulkan
oleh risiko tersebut bisa mengganggu atau menghambat berjalannya proses bisnis
dan pencapaian dari tujuan organsiasi. Besar dampak (impact) dapat dihitung
menggunakan penilaian Inherent Risk dan Residual Risk, serta melakukan analisis
terhadap dua perspektif yang terdiri dari perspektif Probability/Likelihood (Peluang
atau kemungkinan) dan perspektif impact (dampak).
Risk Assessment merupakan sebuah pengkajian atau identifikasi yang terdiri
dari kegiatan / proses Risk Evaluation dan Risk Analysis. Risk Evaluation adalah
proses untuk melakukan perbandingan risiko yang sudah teridentifikasi dengan
kriteria risiko yang sudah ditentukan sebelumnya. Sedangkan Risk Analysis adalah
suatu proses sistematis dalam melakukan pemanfaatan informasi yang dimiliki
untuk memantau probability (peluang/kemungkinan) terjadinya risiko yang udah
76
teridentifikasi serta memastikan dan menentukan seberapa besar impact (dampak)
yang diterima dikarenakan adanya risiko tersebut. Proses Risk Assessment
mempunyai tujuan antara lain sebagai berikut:
1. Melakukan identifikasi terhadap probability (peluang) dan impact
(dampak) dari setiap risiko yang ada.
2. Melakukan identifikasi terhadap proses bisnis penting atau vital yang
harus segera dijalankan setelah terjadinya gangguan dan bencana dari
setiap risiko agar tidak menimbulkan kerugian besar dan terhentinya
proses bisnis organisasi.
3. Melakukan penilaian cost-effective yang berfungsi untuk meminimalisir
dampak yang ditimbulkan dan berupaya untuk menghindari terjadinya
risiko tersebut.
4. Menyediakan input data atau informasi penting dan relevan dalam
menerapkan manajemen risiko.
2.10.1. Skenario Risiko Teknologi Informasi
Menurut ISACA (2009), Skenario Risiko Teknologi Informasi
merupakan sebuah uraian sketsa dari kejadian – kejadian yang terkait dengan
teknologi informasi, yang apabila terjadi akan dapat menimbulkan impact
(dampak) bagi suatu perusahan. Dari gambar berikut ini dapat dilihat dan
diperhatikan mengenai lima komponen penyusun dalam skenario risiko
teknologi informasi.
Lima komponen penyusun skenario risiko teknologi informasi tersebut
memiliki penjelasan sebagai berikut:
77
1. Aktor (Actor)
Aktor merupakan pelaku atau aktor yang dapat menimbulkan
ancaman (risiko) bagi perusahaan, aktor terbagi menjadi 2 kategori
yaitu aktor yang berasal dari internal dan eksternal perusahaan. Aktor
internal meliputi staff dan kontraktor, sedangkan aktor eksternal
meliputi partner bisnis komppetitor dan lain sebagainya.
2. Tipe Ancaman (Threat Type)
Threat Type merupakan suatu peristiwa atau kondisi yang menjadi
sumber suatu ancaman (risiko), yang terjadi secara disengaja maupun
tidak disengaja. Yang termasuk dalam threat type meliputi kejahatan,
error, kecelakaan, bencana alam dan sebagainya.
3. Kejadian (event)
Event merupakan suatu peristiwa atau kejadian yang terjadi
diperusahaan dan dapat menimbulkan ancaman (risiko). Yang
termasuk kedalam event meliputi gangguan pada sistem atau proyek,
kebocoran informasi, kerusakan ataupun pencurian pada infrastruktur
Teknologi Informasi (TI) perusahaan dan lain sebagainya.
4. Aset / Sumber Risiko
Asset / Resource adalah suatu objek bernilai yang dimiliki oleh
perusahaan yang dapat terpengaruhi oleh kondisi dan kejadian
tertentu, sehingga dapat mendatangkan impact (dampak) terhadap
bisnis perusahaan yang berpeluang menjadi sumber ancaman (risiko).
Yang termasuk dalam Aset / Sumber Risiko tersebut meliputi
78
aplikasi, infrastruktur Teknologi Informasi, fasilitas, informasi dan
lain sebagainya.
5. Waktu (Time)
Time disini adalah keadaan dimana suatu skenario risiko terjadi yang
tertuang dalam satuan waktu.
Skenario Risiko Teknologi Informasi digunakan sebagai petunjuk atau
acuan dalam mengidentifikasi risiko terhadap teknologi informasi. Terdapat
36 High Level Scenario terkait teknologi informasi yang terdapat pada
pedoman yang diberikan oleh ISACA yang tertuang dalam Generic IT Risk
Scenarios. Dari table 2. Berikut ini dapat dilihat dan diperhatikan mengenai
36 High Level Scenario didalam Generic IT Risk Scenarios.
Tabel 2. 12 Generic IT Risk Scenarios (ISACA, 2009)
No High Level Risk Scenario Definisi

1 Technology Selection Risiko yang berkaitan dengan
pemilihan jenis teknologi yang akan
diterapkan atau digunakan oleh
organisasi untuk mencapai tujuan
2 New Technology Risiko yang berkaitan dengan
pengembangan teknologi baru untuk
meningkatkan perkembangan suatu
organisasi.
3 IT Programme Selection Risiko yang berkaitan dengan
pemilihan proyek – proyek teknologi
informasi guna menunjang tercapainya
sasaran organisasi.
4 Accountability Over IT Risiko yang berkaitan dengan
pertanggung jawaban dalam
pemakaian Teknologi Informasi
didalam organisasi.
5 IT Investment Decision Making Risiko yang berkaitan dengan
pengambilan keputusan tentang
investasi yang berkaitan dengan
Teknologi Informasi perusahaan.
79
6 Integration of IT Within Business Risiko yang berkaitan dengan upaya
Procesess mengintegrasikan Teknologi
Informasi dengan proses bisnis
organisasi.
7 IT Expertise and Skills Risiko yang berkaitan dengan
keterampilan dan keahlian yang
dimiliki oleh Teknologi Informasi
yang diterapkan oleh organisasi.
8 IT Staff Risiko yang berkaitan dengan pegawai
atau staff di bidang Teknologi
Informasi.
9 Destruction of Infrastructure Risiko yang berkaitan dengan
perusahaan terhadap infrastruktur
yang dimiliki oleh organisasi.
10 Infrastructure Theft Risiko yang berkaitan dengan
pencurian terhadap infrastruktur yang
dimiliki oleh organisasi.
11 Selection / Performance of Third-party Risiko yang berkaitan dengan
Suppliers pemilihan pihak ketiga beserta dengan
prestasi atau kinerjanya.
12 Project Quality Risiko yang berkaitan dengan kualitas
penyampaian dari proyek Teknologi
Informasi
13 Project Delivery Risiko yang berkaitan dengan
perencanaan perhitungan anggaran
dari setiap proyek Teknologi Informasi
yang dijalankan oleh organisasi
14 IT Project Economics Risiko yang berkaitan dengan
perencanaan perhitungan anggaran
dari setiap proyek Teknologi Informasi
yang dijalankan oleh organisasi.
15 IT Project Termination Risiko yang berkaitan dengan
pemberhentian atau pemutusan proyek
yang berkaitan dengan Teknologi
Informasi oleh organisasi
16 Software Implementatio Risiko yang berkaitan dengan
pengimplementasian atau penerapan
software
17 Regulatory Compliance Risiko yang berkaitan dengan
kepatuhan terhadap aturan kebijakan
yang telah dibuat.
80
18 Architectural Agility & Flexibility Risiko yang berkaitan dengan
penerapan arsitektur Teknologi
Informasi yang andal dan fleksibel.
19 Ageing of Application Software Risiko yang berkaitan dengan
penggunaan Aplikasi atau Software
yang telah renta dan tua
20 State of Infrastructure Technology Risiko yang berkaitan dengan kondisi
infrastruktur penunjang Teknologi
Informasi yang digunakan untuk
menunjang proses bisnis dalam suatu
organisasi.
21 Software Integrity Risiko yang berkaitan dengan upaya
mengintegrasikan beberapa software
yang diterapkan oleh organisasi.
22 Software Performance Risiko yang berkaitan dengan kinerja
dari suatu software yang telah terapkan
atau di implementasikan didalam
organisasi.
23 Infrastructure (Hardware) Risiko yang berkaitan dengan
infrastruktur utamanya adalah
hardware.
24 Logical Attacks Risiko yang berkaitan dengan dampak
atau efek yang ditimbulkan atau
disebabkan dari serangan logic
terhadap organisasi, seperti virus dan
sebagainya.
25 Malware Risiko yang berkaitan dengan dampak
atau efek yang ditimbulkan atau
disebabkan oleh serangan malware
yang ditujukan kepada organisasi.
26 Ageing of Infrastructural Software Risiko yang berkaitan dengan penuaan
infrastruktur software yang
dipergunakan oleh perusahaan, seperti
software yang sudah tua dan renta
maupun software dengan versi lama.
27 System Capacity Risiko yang berkaitan dengan
kemampuan dan kapasitas sistem
dalam mengolah dan menampung
suatu transaksi yang berjalan dalam
organisasi.
81
28 Information Media Risiko yang berkaitan dengan media
informasi atau data yang dimiliki oleh
organisasi.
29 Utilities Performance Risiko yang berkaitan dengan kinerja
utilitas.
30 Industrial Action Risiko yang berkaitan dengan aksi
industry atau serikat kerja yang
berskala organisasi maupun nasional.
31 Operational IT Errors Risiko yang berkaitan dengan
kegagalan atau kesalahan operasional
dalam penerapan Teknologi Informasi
suatu organisasi.
32 Logical Trespassing Risiko yang berkaitan dengan
penyalahgunaan atau penyelewengan
akses logic dalam organisasi.
33 Data (base) Integrity Risiko yang berkaitan dengan mutu
atau integritas dari suatu data atau
informasi dalam database yang
dimiliki oleh organisasi.
34 Contractual Compliance Risiko yang berkaitan dengan
kepatuhan terhadap perjanjian atau
kontrak yang telah dibuat.
35 Environmental Risiko yang berkaitan dengan
lingkungan sekitar organisasi.
36 Acts of Nature Risiko yang berkaitan dengan aktivitas
alam yang dapat menimbulkan
gangguan dan kerugian bagi
organisasi.
2.10.2. Mendeskripsikan dan Mengekspresikan Risiko
Menurut ISACA (2009), ketika melakukan analisis skenario risiko, ada
2 hal yang harus dinilai dalam setiap skenario risiko, yaitu frekuensi dan
besarnya dampak. Frekuensi dalam COBIT memiliki makna yang sama
dengan likelihood atau probability yaitu jumlah kejadian dalam sebuah durasi
waktu tertentu. Beberapa perusahaan lebih memilih menggunakan
Menggunakan hanya label (very frequent, frequent, dan rare) tidak
82
disarankan karena dia dapat berarti berbeda untuk berbagai skenario dan
sebagai konsekuensinya dapat menimbulkan kebingungan. Berikut ini contoh
dari skala frekuensi.
Tabel 2. 13 Example Frequency Scales (ISACA, 2009)
Magnitude atau Impact atau Exposure digunakan untuk
mendeskripsikan besarnya konsekuensi dari risiko yang terjadi. Skala untuk
impact dapat ditentukan sendiri oleh organisasi sesuai dengan terminologi
tujuan organisasi yang dimiliki. Berikut ini contoh dari skala impact.
Tabel 2. 14 Example Impact Scales (ISACA, 2009)
83
2.10.3. Risk Map
Menurut ISACA (2009), Tehnik yang umum dan mudah untuk
mempresentasikan risiko adalah dengan menggunakan Risk Map, dimana
risiko diplot pada diagram dua dimensi, dengan frekuensi dan dampak pada
dimensinya. Representasi Risk Map sangat kuat dan memberikan pandangan
yang lengkap tentang risiko TI dan area tindakan yang jelas. Pada Gambar 2.
Menunjukan contoh Risk Map.
Gambar 2. 14 Example Risk Map

2.10.4. Parameter - Parameter Penilaian Manajemen Risiko
Sebelum melakukan penilaian risiko terlebih dahulu menentukan
standart penilaian berupa parameter probability, parameter impact dan
parameter rating risiko. Menurut ISACA (2009), analisis risiko
membutuhkan perkiraan frekuensi pada setiap kejadian dan besar dampaknya.
Banyak perusahaan yang menggunakan skala yang mereka kembangkan
sendiri. Setiap perusahaan harus memilih cara sendiri untuk mengekspresikan
dampak keseluruhan. Tidak ada salah atau benar, masing-masing metode
tersebut memiliki ciri khas sendiri.
84
Terdapat beberapa penelitian yang peneliti jadikan acuan untuk
menentukan parameter penilaian manajemen risiko yang digunakan pada
penelitian ini, seperti yang disebutkan pada penelitian Samaptoaji (2014),
tentang evaluasi pengelolaan risiko teknologi informasi pada instansi
pemerintahan di Direktorat Jenderal Kependudukan dan Pencatatan Sipil
Kementerian Dalam Negeri. Berikut ini parameter-parameter yang digunakan
pada penelitian tersebut:
Tabel 2. 15 Parameter probability (Samaptoaji, 2014)

Nilai Probabiltiy Keterangan
1 N ≤ 0,1 Sangat Jarang
2 0,1 < N ≤ 1 Jarang
3 1 < N ≤ 10 Kadang – kadang
4 10 < N ≤ 100 Sering
5 N > 100 Sangat Sering
Adapun parameter impact yang digunakan pada penelitian tersebut
ditampilkan pada tabel berikut ini:
Tabel 2. 16 Parameter impact (Samaptoaji, 2014)

Nilai Impact
Strategis Operasional Legal Reputasi
1 Sangat Tidak memiliki Tidak memiliki Tidak memiliki Tidak memiliki
Kecil dampak. dampak. dampak. dampak.
2 Kecil Tertundanya Operasional Adanya keberanian Terbentuknya
implementasi rencana terganggu namun dari pihak opini negatif antar
organisasi dalam jangka dapat diatasi segera stakeholder kelompok kerja,
pendek (s/d 1 tahun). dengan sumber daya terhadap sehingga
Namun tidak mengubah yang ada. pelanggaran berdampak
rencana strategis. ketentuan hilangnya
perundang – kepercayaan pada
undangan. organisasi.
3 Sedang Tertundanya Operasional Adanya surat Terbentuknya
implementasi rencana terganggu dan tidak peringatan dari opini negatif dari
organisasi dalam jangka bisa diatasi segera individu atau pihak eksternal
pendek (> 1 tahun). dengan sumber daya instansi yang (pihak pelapor),
Namun tidak mengubah yang ada, namun berwenang, namun sehingga
rencana strategis. tidak menimbulkan berdampak
85
Nilai Impact
tidak menghentikan kerugian signifikan hilangnya
proses bisnis lain. terhadap organisasi kepercayaan pada
internal organisasi
4 Besar Tertundanya Operasional Adanya tuntutan Terbentuknya
Implementasi rencana terganggu dan tidak hukum dari individu opini negatif yang
strategis, sehingga bisa diatas segera dan/atau terjadi sampai
organisasi harus dengan sumber daya instansiyang masyarakat luas
melakukan perubahan yang ada, sehingga berwenang, dan publikasi oleh
rencana strategis sebagian proses bisnis sehingga dapat media massa,
lainnya terhenti menimbulkan sehingga
kerugian signifikan berdampak
terhadap organisasi, hilangnya
namun tidak sampai kepercayaan pada
menyebabkan organisasi secara
organisasi terhenti keseluruhan
namun tidak
menyebabkan
organisasi terhenti
5 Sangat Tidak dapat Operasional Adanya tuntutan Terbentuknya
Besar mengimplementasikan terganggu dan tidak hukum dari dari opini negatif yang
rencana strategis dapat diatasi segera individu dan/atau terjadi sampai
sehingga organisasi sehingga sebagian instansi yang dengan
gagal dalam besar proses bisnis berwenang terhadap masyarakat luas
melaksanakan peran lainnya terhenti keseluruhan dan publikasi oleh
dan fungsinya organisasi, sehingga media massa,
menimbulkan sehingga
kerugian sangat berdampak
besar dan dapat hilangnya
menyebabkan kepercayaan dan
organisasi terhenti / terhentinya
dilarang beroprasi organisasi secara
keseluruhan
Adapun standar parameter rating yang digunakan pada penelitian
tersebut ditampilkan pada dalam tabel berikut ini:
Tabel 2. 17 Standar Parameter rating (Samaptoaji, 2014)

Rentang Rating Risiko Deskripsi
14< R ≤25 Tinggi
9< R ≤14 Menengah Tinggi
3< R ≤9 Menengah
2< R ≤3 Menengah Rendah
≤2 Rendah
86
Berdasarkan standar paramater rating yang telah dibuat kemudian
dibuatlah matriks risiko menggunakan risk map sesuai dengan standar yang
dibuat. Ditampilkan dalam tabel berikut ini:
Tabel 2. 18 Risk Map (Samaptoaji, 2014)

Impact
Sangat Sangat
Nilai Kecil Sedang Besar
Kecil Besar
(2) (3) (4)
(1) (5)
Sangat Menengah
Rendah Rendah Menengah Menengah
Jarang rendah
(1) (2) (4) (5)
(1) (3)
Menengah
Jarang Rendah Menengah Menengah Menengah
tinggi
(2) (2) (4) (6) (8)
(10)
Probability
Kadang - Menengah Menengah

Menengah Menengah Tinggi
kadang Rendah Tinggi
(6) (9) (15)
(3) (3) (12)
Menengah
Sering Menengah Menengah Tinggi Tinggi
Tinggi
(4) (4) (8) (16) (20)
(12)
Sangat Menengah
Menengah Tinggi Tinggi Tinggi
Sering tinggi
(5) (15) (20) (25)
(5) ( 10)
Selain itu Husein & Imbar (2015) melakukan penelitian analisis
manajemen risiko teknologi informasi penerapan pada Document
Management System di PT Jabar Telematika (Jatel). Adapun penelitian
parameter parameter yang digunakan dalam penelitian tersebut adalah sebagai
berikut:
Tabel 2. 19 Parameter probability (Husein & Imbar, 2015)
87
Adapun parameter impact yang digunakan dalam penelitian tersebut
adalah sebagai berikut:
Tabel 2. 20 Parameter impact (Husein & Imbar, 2015)
Kemudian dibuat matriks risiko menggunakan risk map. Ditampilkan
dalam tabel berikut ini:
Tabel 2. 21 Risk Map (Husein & Imbar, 2015)
Sangat
Besar Medium Medium High High High
(5)
Besar
Low Medium Medium High High
(4)
Impact
Sedang
Low Medium Medium Medium High
(3)
Kecil
Low Low Medium Medium High
(2)
Sangat
Kecil Low Low Low Medium Medium
(1)
Sangat Kadang - Sangat
Jarang Sering
Jarang kadang Sering
(2) (4)
(1) (3) (5)
Probability
88
2.11. Risk Response (Respon Risiko)
Menurut ISACA (2012), menyatakan bahwa Risk Response yang berarti
respon terhadap risiko, berfungsi untuk menyelaraskan antara risiko yang
ditemukan dengan batas toleransi risiko organsiasi yang telah ditentukan
sebelumnya. Berikut ini merupakan langkah atau tindakan yang dapat diambil
dalam merespon risiko yang telah ditemukan, antara lain adalah sebagai berikut:
a. Risk Avoidance
Merupakan metode untuk merespon risiko dengan cara menghentikan
atau menghindari penyebab terjadi risiko.
b. Risk Reduction / Mitigation
Merupakan metode untuk merespon risiko dengan cara mengurangi
besarnya Likelihood/Probability (Peluang atau kemungkinan) munculnya
risiko dan impact (dampak) yang dapat ditimbulkan dari risiko.
c. Risk Shared / Transfer
Merupakan metode untuk merespon risiko dengan cara menyerahkan
sebagian atau seluruh penanganan risiko kepada pihak lain.
d. Risk Acceptance
Merupakan metode untuk merespon risiko dengan cara menerima atau
membiarkan kerugian (impact) yang ditimbulkan oleh risiko tanpa
melakukan upaya penanganan apapun.
2.12. Business Continuity Plan
Menurut (Snedaker & Rima, 2014), Business continuity planning adalah
metodologi yang digunakan untuk menciptakan dan memvalidasi rencana untuk
89
mempertahankan operasi bisnis yang berkensinambungan sebelum, selama dan
setelah bencana dan kejadian yang mengganggu. BCP berkaitan dengan
pengelolaan elemen operasional yang memungkinkan bisnis berfungsi normal agar
menghasilkan pendapatan. Seringkali sebuah konsep yang digunakan dalam
mengevaluasi berbagai strategi teknologi. Misalnya, beberapa perusahaan tidak
dapat mentolerir downtime apapun. Termasuk Lembaga keuangan, perusahaan
utilitas, organisasi kesehatan, pengecer online dengan volume tinggi. Mereka
mungkin memutuskan bahwa biaya untuk sistem yang sepenuhnya berlebihan
downtime selama 5 atau 10 menit dapat menghabiskan biaya jutaan dolar atau
menyebabkan kerusakan yang tidak dapat diperbaiki pada perusahaan. Perusahaan
– perusahaan ini mengharuskan bisnis mereka berjalan terus menerus dan
keseluruhan rencana operasional mereka mencerminkan prioritas ini.
Kesinambungan bisnis berkaitan dengan menjaga agar perusahaan tetap berjalan,
terlepas dari potensi risiko, ancaman atau penyebab pemadaman listrik
Ketersediaan berkelanjutan merupakan bagian dari kelangsungan bisnis. Hal
ini juga dikenal sebagai persyaratan zero-downtime dan sangat mahal untuk
direncanakan dan diterapkan. Bagi beberapa perusahaan, mungkin bernilai baik
karena biaya downtime lebih rendah daripada biaya penerapan langkah-langkah
ketersediaan berkelanjutan.
Memang setiap bisnis yang mengandalkan teknologi ingin menghindari
melakukan bisnis tanpa teknologi. Setiap bisnis yang mengandalkan teknologi akan
terganggu dan terganggu sampai tingkat tertentu
90
2.13. Disaster Recovery Plan
Menurut Solehudin (2005), Disaster Recovery adalah bagian dari business
continuity dan menangani dampak langsung pada sebuah peristiwa. Disaster
Recovery biasanya memiliki beberapa langkah dalam tahap perencanaan. Disaster
Recovery melibatkan penghentian dampak bencana secepat mungkin dan ditangani
sesegera mungkin. Dengan mengevaluasi sistem mana yang terkena dampak banjir
atau gempa bumi, dan menentukan cara terbaik untuk menanganinya
Disaster Recovery Plan atau DRP adalah penerapan dari Business Continuity
Plan atau disebut juga “BCP in action” yaitu implementasi BCP saat terjadi
bencana. DRP memberikan langkah-langkah pada organisasi jika kejadian bencana
timbul. DRP akan mengurangi kebingungan yang terjadi saat ada bencana dan
meningkatkan kemampuan organisasi saat menghadapi keadaan krisis.
Pada saat ada kejadian bencana tentunya organisasi tidak akan memiliki
waktu banyak untuk membuat rencana pemulihan dilokasi bencana saat terjadi.
Dengan perencanaan yang baik dan proses simulasi benar sebelum ada kejadian
bencana, maka organisasi akan dapat memperkirakan kemampuannya dalam
menghadapi suatu bencana.
Secara umum manfaat atau tujuan penyusunan disaster recovery plan bagi
perusahaan adalah sebagai berikut:
1. Melindungi organisasi dari kegagalan layanan komputer utama
2. Meminimalisasi risiko organisasi terhadap penundaan (delay) dalam
penyediaan layanan
91
3. Menjamin kehandalan dari sistem yang sedia melalui pengetesan dan
simulasi
4. Meminimalisasi proses pengambilan keputusan oleh personal/manusia
selama bencana.
2.13.1. Proses Pengembangan DRP
Proses DRP adalah pengembangan dan pembuatan rencana pemulihan
yang sama dengan proses BCP. Dengan telah dilakukannya proses
pengembangan BCP maka proses pengembangan DRP tidak perlu melakukan
identifikasi dan justifikasi. Perencanaan dibuat hanya untuk menghadapi
bencana, yaitu dengan menentukan strategi dan prosedur yang akan dilakukan
bila bencana benar-benar terjadi. Intinya proses perencanaan pemulihan
bencana meliputi dua hal berikut, yaitu:
1. Perencanaan Keberlanjutan Pemrosesan Data; Perencanaan terhadap
adanya bencana dan membuat rencana untuk menanganinya
2. Pemeliharaan Rencana Pemulihan Data; Menajaga rencana tetap up to
data dan sesuai dengan kondisi dan kebutuhan organisasi.
2.13.2. Pemilihan Strategi Pemulihan
Pemilihan strategi pemulihan meliputi dua hal yaitu: penentuan cara
atau strategi untuk melakukan pemulihan fasilitas teknologi informasi dan
aktifitas bisnis apa saja yang harus dilakukan selama fasilitas teknologi
informasi sedang dipulihkan.
Asuransi tidak bisa digunakan untuk perencanaan, tapi pada saat ada
bencana atau kecelakaan baru bisa diasuransikan. Namun dengan adanya
92
perencanaan yang memadai, maka biaya premi asuransi biasanya akan lebih
kecil. Asuransi sangat bermanfaat untuk mengurangi atau bahkan mengganti
kerugian finansial yang ditimbulkan karena bencana atau kecelakaan.
Strategi bussiness continuity saat terjadi bencana antara lain adalah
sebagai berikut:
1. Tidak melakukan apa-apa sampai pemulihan fasilitas sudah beroperasi
kembali
2. Melakukan prosesdur secara manual
3. Memfokuskan pada proses yang penting seperti yang berhubungan
dengan pelanggan, produksi dan lainnya.
4. Menggunakan PC untuk data capture dengan pengolanan minimal.
Perencanaan Keberlangsungan Pemrosesan Data adalah menentukan
proses backup atau alternative pemrosesan data saat terjadinya bencana yang
menginterupsi aplikasi bisnis yang berjalan. Berikut adalah strategi yang
dapat dipilih dalam menentukan alternative data processing saat terjadi
bencana:
1. Melakukan duplikasi terhadap fasilitas proses informasi
2. Hot sites: Sepenuhnya dijalankan oleh fasilitas operasi dan data
alternative yang dilengkapi dengan perangkat keras dan perangkat lunak
yang memadai selama dampak bencana masih berlangsung. Caara ini
penting untuk aplikasi yang critical, namun biayanya sangat mahal.
93
3. Warm site: Fasilitas alternative yang memilikinya sarana yang lebih
sedikit. Misalnya ada listrik, jaringan, telepon, printer, tetapi tanpa
komputer yang mahal.
4. Cold site: Fasilitas yang memiliki prasarana penunjang untuk operasi
komputer, misalnya ruangan yang memiliki listrik dan AC. Tapi belum
ada komputernya
5. Perjanjian dengan perusahaan lain, yaitu bekerja sama dengan
perusahaan lain yang memiliki kebutuhan sistem komputer yang sama
seperti pada konfigurasi hardware atau software, atau kesamaan jaringan
komunikasi data atau akses internet.
6. Multiple Center: Proses sistem dan data tersebar di masing-masing unit
organisasi. Strategi ini hamper sama dengan mutual aid agreement, namu
dilaksanakan secara internal dalam satu organisasi
7. Out Source: Perusahaan melakukan kontrak dengan pihak ke tiga untuk
memberikan alternative layanan proses backup.
2.13.3. Pemilihan lokasi pemulihan dari bencana
Dalam pemilihan lokasi alternative untuk memulihkan bisnis dari
bencana, maka perlu dipertimbangkan hal-hal berikut:
1. Jarak dari Fasilitas Utama; pilihlah lokasi yang tidak terlalu dekat dan
terlalu jauh dari Gedung utama.
2. Potensi Risiko dari Bencana: apakah lokasi tersebut juga memiliki risiko
terkena bencana
94
3. Ketersediaan staff setempat: apakah ada staff setempat yang bisa
mengoperasikan proses bisnis utama
4. Ketersediaan dan kualitas tenaga listrik/batere; apakah tenaga listrik atau
baterai tersedia, dan apakah mencukupi untuk waktu lebih dari 27 jam.
5. Nearby Fiber Routes: untuk kepentingan jaringan komunikasi data,
alangkah lebih baik kalau tidak jauh dari kabel fibera
6. Spesific IT Criteria: Teknologi informasi dapat berfungsi pada lokasi
tersebut.
7. Tax Incentive; Lokasi diluar perkotaan mungkin akan jauh lebih murah
biayanya.
2.13.4. Pemeliharaan DRP
Disaster recovery plan sering sudah out of date atau tidak sesuai lagi
dengan kondisi organisasi atau perkembangan yang terjadi disekitar baik
ancaman bencana maupun tingkat persaingan. Organisasi mungkin telah
mereorganisasi dan mungkin saja unit bisnis critical telah berbeda dari saat
direncanakan dahulu. Perubahan infrastruktur jaringan juga akan mengubah
lokasi atau konfigurasi dari hardware, software dan komponen lainnya. Juga
mungkin karena masalah administrasi seperi turn over dari pegawai dan
berkurangnya ketertarikan pegawai terhadap masalah BCP dan DRP
2.14. Metode Penelitian
Metode yang digunakan pada penelitian kali ini adalah sebagai berikut:
2.14.1. Metode Pengumpulan Data
1. Observasi
95
Observasi adalah teknik atau pendekatan untuk memperoleh
data dengan cara mengamati langsung objek datanya. Terdapat
dua jenis pengamatan yaitu observasi partisipan dan observasi
nonpartisipan. Pada observasi partisipan, pengamat terlibat
langsung dengan kegiatan sehari-hari objek yang diamati.
Sedangkan pada observasi nonpartisipan, peneliti tidak terliat
dan hanya sebagai pengamat independen (Jogiyanto, 2008).
2. Wawancara
Wawancara adalah komunikasi dua arah untuk mendapatkan
data dari responden. Wawancara dilakukan untuk menemukan
masalah secara lebih terbuka melalui pendapat dan ide yang
disampaikan oleh responden
3. Kuesioner
Kuesioner adalah teknik pengumpulan data yang dilakukan
dengan cara memberi seperangkat pertanyaan atau pernyataan
tertulis kepada responden untuk dijawabnya.
4. Studi Pustaka
Metode ini dilakukan dengan cara membaca buku-buku dan
website referensi yang dapat dijadikan sebagai rujukan bagi
keseluruhan proses studi, agar kebenaran hasil studi dapat
dipertanggungjawabkan. Data yang dikumpulkan melalui
metode studi pustaka ini berguna untuk mendukung data-data
96
yang telah didapat melalui metode yang sudah dilakukan
sebelumnya (Jogiyanto, 2008).
2.14.2. Metode Analisis Data
1. COBIT 5 Assessment Process Activitied
Assessment Process Activities adalah manajemen proyek dasar
dari praktik yang baik dan memberikan penilaian pada enam
tahap untuk menjamin hasil evaluasi sesuai pada tujuan
organisasi
2. Penentuan Capability Level
Tingkat kemampuan pada suatu perusahaan yang dinilai apakah
sudah sesuai dengan tujuan dan visi misi pada organisasi
tersebut
3. Analisis Gap
Mengidentifikasi perbaikan yang potensial. Gap yang
dimaksud, yaitu antara posisi As is dan To be dari proses-proses
TI yang dipilih dan dinilai lalu mentranslasikan gap ini menjadi
peluang perbaikan.
4. Rekomendasi
Hasil dari audit yang telah dilakukan merupakan kesimpulan
yang didapatkan dari hasil temuan audit. Dari hasil temuan audit
tersebut kemudian akan difokuskan untuk penyusunan laporan
hasil audit sebagai bahan untuk perbaikan proses yang
berkelanjutan.
97
2.14.3. Metode Perhitungan Skala Likert
Penelitian ini menggunakan skala pengukuran dengan skala likert.
Menurut Azwar (2011), Skala Likert merupakan metode penskalaan
pernyataan sikap yang menggunakan distribusi respons sebagai dasar
penentuan nilai skalanya. Nama skala ini diambil dari nama penciptanya
Rensis Likert, yang menerbitkan suatu laporan yang menjelaskan
penggunaannya.
Menurut Sugiyono (2015), Skala Likert digunakan untuk mengukur
sikap, pendapat dan persepsi seseorang atau sekelompok orang tentang
fenomena sosial, fenomena sosial ini telah ditetapkan secara spesifik oleh
peneliti dan selanjutnya disebut sebagai variable penelitian. Data yang telah
terkumpul melalui kuesioner, kemudian diolah kedalam bentuk kuantitatif,
yaitu dengan cara menetapkan skor jawaban dari pertanyaan yang telah
dijawab oleh responden, dimana pemberian skor tersebut didasarkan pada
ketentuan sebagai berikut:
Tabel 2. 22 Penilaian Skala Likert (Sugiyono, 2009)

Alternatif Skor
Sangat Setuju 5
Setuju 4
Ragu-ragu 3
Tidak Setuju 2
Sangat Tidak Setuju 1
Dalam menentukan nilai dan tingkat kapabilitas dari proses EDM03
dan APO12, peneliti menggunakan metode perhitungan skala likert yang
98
digunakan oleh Krisdanto Suhendro pada bukunya yang berjudul
Implementasi Tata Kelola TI
1. Menghitung Rekapitulasi Jawaban Kuesioner
𝐻
𝐶= × 100%
𝐽𝑅
Keterangan:
C: Rekapitulasi jawaban kuesioner Capability Level (dalam
bentuk persentase pada masing – masing pilihan jawaban a, b,
c, d, e atau f di masing masing aktivitas).
H: Jumlah jawaban kuesioner Capability Level pada masing –
masing pilihan jawaban a, b, c, d, e atau f di setiap aktivitas.
JR: Jumlah Responden/Narasumber
2. Menghitung Nilai dan Level Kapabilitas
(𝑁𝑘 × 𝐿𝑃)𝑎 + (𝑁𝑘 × 𝐿𝑃)𝑏 + (𝑁𝑘 × 𝐿𝑃)𝑐 + (𝑁𝑘 × 𝐿𝑃)𝑑 + (𝑁𝑘 × 𝐿𝑃)𝑒 + (𝑁𝑘 × 𝐿𝑃)𝑓
𝑁𝐾 =
1
Keterangan:
NK : Nilai kapabilitas pada proses TI
LP : Level percentage (Tingkat persentase pada setiap distribusi
jawaban kuesioner capability level).
Nk : Nilai kapabilitas yang tertera pada tabel pemetaan jawaban,
nilai dan tingkat kapabilitas.
Pada penelitian ini dilakukan pembedaan istilah antara nilai
kapabilitas dan tingkat kapabilitas. Nilai kapabilitas bisa bernilai tidak bulat
(bilangan pecahan), yang mempresentasikan proses pencapaian menuju suatu
99
tingkat kapabilitas tertentu. Sedangkan tingkat kapabilitas lebih menunjukkan
tahapan atau kelas yang dicapai dalam proses kapabilitas, yang dinyatakan
dalam bilangan bulat. (Surendro, 2009).
Untuk lebih memperjelas tingkat kapabilitas secara jelas dapat
melihat pengasumsian setiap sub proses memiliki nilai serta pembobotan
terhadap tingkat kapabilitas yang sama terhadap proses pada tabel berikut:
Tabel 2. 23 Pemetaan terhadap jawaban, nilai dan tingkat kapabilitas.

Rentang Nilai Jawaban Nilai Tingkat Kapabilitas
Kapabilitas
0 – 0.50 1 0,00 0 Non-Existent
0,51 – 1,50 2 1,00 1 Performed Process
1,51 – 2,50 3 2,00 2 Manage Process
2,51 – 3,50 4 3,00 3 Established Process
3,51 – 4,50 5 4,00 4 Predictable Process
4,51 – 5,00 6 5,00 5 Optimising Process
2.15. Penelitian Sejenis
Berikut ini adalah kajian studi literature pada penelitian sebelumnya:
1. Samaptoaji (2016)
Penelitian ini berjudul Evaluasi Pengelolaan Risiko Teknologi Informasi
(TI) pada Instansi Pemerintahan: Studi Kasus Direktorat Jenderal
Kependudukan dan Pencatatan Sipil kementerian Dalam Negeri. Penelitian
bertujuan untuk menyusun profil risiko TI sebagai salah satu langkah untuk
melakukan pengelolaan risiko TI dengan menggunakan standar framework
RiskIT. Hasil dari penelitian ini adalah teridentifikasi terdapat 64 risk issue
dalam penggunaan TI, yang dikelompokan ke dalam 23 high level skenario
risiko. Secara umum tingkat risiko penggunaan TI untuk mendukung proses
kerja utama Ditjen Dukcapil adalah rendah yaitu 85,94% (59 Risk Issue) dan
100
7,81% (5 Risk Issue) yang tingkat risiko diatas batas risk appetite (risiko yang
dapat diterima perusahaan). Risiko tertinggi adalah terjadinya sabotase pada
Data Center memiliki nilai 15 dan salah satu langkah mitigasi yang diberikan
dengan meningkatkan keamanan lingkungan data center yaitu memasang
CCTV (memperbanyak).
2. Rilyani et. Al (2015)
Penelitian ini berjudul Analisis Risiko Teknologi Informasi Berbasis Risk
Management Menggunakan ISO31000 (Studi Kasus: i-Gracias Telkom).
Penelitian ini bertujuan untuk melakukan tahapan dan proses analisis risiko
teknologi informasi berbasis risk management sesuai dengan standar dan
kerangka kerja ISO 31000 selain itu juga bertujuan untuk mengetahui tingkat
risiko teknologi informasi i-Gracias saat ini serta perlakuan risiko yang
diberikan. Hasil dari penelitian ini diketahui terdapat 43 Risk Issue yang
teridentifikasi. Risiko paling tinggi yaitu database server down. Adapun
langkah mitigasi yang berikan dengan memberikan pendingin ruangan yang
cukup untuk menjaga suhu dan temperatur ruangan agar tetap dingin sehingga
perangkat terhindar dari risiko akibat overheat.
3. Nurcahyo & Djunaedi (2013)
Penelitian ini berjudul Evaluasi Pelaksanaan Manajemen Risiko
Teknologi Informasi pada Kantor Arsip Daerah Kota Samarinda dengan
Menggunakan The RiskIT Framework. Penelitian ini bertujuan untuk
mengetahui sejauh mana pelaksanaan manajemen risiko teknologi
informasinya. Dari hasil penelitian tersebut diketahui bahwa kondisi tingkat
101
kematangan saat ini di Kantor Arsip Daerah Kota Samarinda untuk domain
Tata Kelola Risiko rata-rata repeatable but intuitive, domain Evaluasi Risiko
rata-rata defined dan domain Respon Risiko rata-rata repeatable but intuitive
yang dimana berarti tingkat kematangannya berada dalam kondisi proses
pengembangan kedalam tahapan yang prosedur dan serupa diikuti oleh pihak-
pihak yang berbeda untuk pekerjaan yang sama.
4. Tampubulon (2015)
Penelitian ini berjudul Manajemen Risiko Teknologi Informasi
Menggunakan Framework ISO 31000:2009 Studi Kasus: Pembobolan ATM
BCA Tahun 2010. Penelitian ini bertujuan membahas konsep dan
implementasi ISO 31000 kedalam sebuah perusahaan perbankan untuk
mencegah hal yang sama terulang kembali (pembobolan ATM). Hasil dari
penelitian ini adalah diketahui bahwa mitigasi menjadi langkah yang tepat
dalam perlakuan risiko terhadap pembobolan ATM. Dengan menguatkan
sistem keamanan di bilik ATM dan menganjurkan nasabah akan lebih hati-
hati dalam melakukan transaksi di ATM.
5. Pratama & Suhardi (2013)
Penelitian ini berjudul Analisis Nilai & Manajemen Risiko Teknologi
Informasi (Studi Kasus PT Bank Tabungan Negara. Tbk). Penelitian ini
bertujuan untuk menganalisis nilai dan manajemen risiko RI yang terdapat di
PT. Bank Tabungan Negara, Tbk. Penelitian ini menggunakan framework ISO
31000. Berdasarkan penelitian tersebut dapat diketahui bahwa yang menjadi
prioritas Bank BTN dalam manajemen risiko adalah layanan ATM ,
102
Hardware & Software penunjang operasional, infrastruktur dan sms banking.
Karena masuk dalam kategori tinggi. Dari hasil penelitian tersebut diketahui
langkah mitigasi yang diambil adalah dengan melakukan penyempurnaan
kebijakan dan prosedur manajemen risiko.
103
BAB III
METODOLOGI PENELITIAN
3.1. Desain Penelitian
Metode penelitian yang digunakan pada penelitian kali ini adalah metode
kualitatif, yaitu dengan menekankan pada aspek pemahaman terhadap suatu
permasalahan yang dalam hal ini menggunakan sebuah studi kasus, yaitu suatu cara
yang sistematis dalam melihat suatu kejadian, mengumpulkan data, menganalisis
informasi dan melaporkan hasilnya. Dalam studi kasus ini, metode pengumpulan
data dilakukan dengan wawancara yang dipandu berdasarkan COBIT 5, selain itu
juga dilakukan observasi untuk memperkuat hasil penelitian.
Data yang dikumpulkan dalam penelitian ini merupakan data primer
(berdasarkan kuesioner, observasi dan hasil wawancara dengan pihak organisasi
terkait) dan data sekunder yang diperoleh dari berbagai sumber (studi pustaka yang
dapat dilihat dari penelitian sebelumnya ataupun dari internet serta buku – buku
yang berhubungan dengan penelitian ini.
3.2. Initiation
Pada tahap ini peneliti melakukan identifikasi awal profil PT PLN P2B
bertujuan untuk memperoleh pemahaman tentang organisasi saat ini. Pada tahap ini
juga dilakukan pengumpulan data dan informasi untuk mengetahui kondisi
organisasi saat ini yang nantinya akan dievaluasi. Metode pengumpulan data yang
dilakukan peneliti adalah sebagai berikut:
104
3.2.1. Observasi
Observasi dilakukan untuk mendapatkan data yang dikumpulkan
dengan melakukan pengamatan langsung terhadap objek penelitian.
Observasi pada PT PLN P2B dimulai pada september 2017 sampai
November 2017 dengan mengunjungi kantor PT PLN P2B yang
beralamatkan di Jalan JCC, Cinere, Gandul Kota Depok. Jenis observasi
yang peneliti dilakukan yaitu observasi nonpartisipan, peneliti tidak terlibat
dan hanya sebagai pengamat independen.
3.2.2. Wawancara
Wawancara dilakukan 2 kali pada tanggal 29 September dan tanggal
12 Oktober bertempat di kantor PT PLN P2B. Wawancara dilakukan dengan
cara diskusi dengan Bapak Bagus Widyantoro selaku Supervisor TI di PLN
P2B. Melalui wawancara pertama diketahui informasi mengenai profil
perusahaan seperti visi misi, struktur organisasi serta permasalahan umum
dalam pengelolaan TI. Dari wawancara tersebut diketahui sering terjadinya
insiden terkait dengan pengelolaan server. Serta Bapak Bagus Widyantoro
memberikan penjelasan mengenai peran TI dalam perusahaan yakni dimana
TI berperan cukup besar, dimana proses bisnis yang berjalan banyak yang
menggunakan TI untuk mempercepat proses pengerjaan. Pada wawancara
kedua pertanyaan lebih membahas pada pengelolaan server atau data center.
Dari hal tersebut diketahui bahwa PLN P2B pernah mengalami insiden
kegagalan migrasi data.
105
3.2.3. Kuesioner
Penulis mengajukan kuesioner penelitian kepada para responden
yang telah ditentukan melalui indetifikasi diagram RACI. Pertanyaan dibuat
berdasarkan aktivitas yang terdapat dalam proses COBIT 5 yakni proses
EDM03 (Ensure Risk Optimisation) dan APO12 (Manage Risk) yang
dimana pada proses EDM03 terdapat 3 sub proses dan APO12 terdapat 6
sub proses yang terdiri dari beberapa pertanyaan mewakili tiap sub
prosesnya. Setiap pertanyaan diukur menggunakan skala likert yang
memiliki ketentuan jarak nilai dari 0-5. Tiap pertanyaan untuk mengetahui
kondisi saat ini (as is) dan kondisi yang diharapkan (to be).
3.2.4. Studi Pustaka
Studi pustaka dilakukan dengan mempelajari teori – teori yang
berkaitan dengan manajemen risiko, COBIT 5. Teori tersebut didapat dari
buku – buku, jurnal, ebook, dan penelitian sejenis. Berikut ini adalah
referensi penelitian:
Tabel 3. 1 Studi literatur sejenis
NO Nama Tahun Judul

Sigit Samaptoaji 2014 Evaluasi Pengelolaan Risiko
Teknologi Informasi (TI) pada
Instansi Pemerintahan: Studi Kasus
Direktorat Jenderal Kependudukan
dan Pencatatan Sipil Kementerian
Dalam Negeri
Penelitian ini menggunakan framework RiskIT. Hasil penilaian risiko
tersebut diketahui terdapat 64 risk issue dalam penggunaan TI,
85,94% dari jumlah risk issue (59) tersebut masih dikategorikan
rendah dan masih dalam batas risk appetite. Sedangkan, 5 risk issue
perlu dilakukan mitigasi.
106
Andi Novia Rilyani 2015 Analisis Risiko Teknologi
Informasi Berbasis Risk
Management Menggunakan
ISO31000 (Studi Kasus: i-Gracias
Telkom University)
Penelitian ini menggunakan framework ISO31000. Dari hasil
penelitian tersebut diketahui bahwa risiko yang memiliki risiko
tertinggi adalah Database Server Down, untuk itu langkah mitigasi
yang perlu ditangani adalah dengan melakukan pemeliharaan
database seperti menghilangkan log yang menggunakan kapasitas
yang besar menggunakan pendingin ruangan yang cukup untuk
menjaga suhu dan temperatur ruangan agar tetap dingin sehingga
perangkat terhindar dari risiko akibat overheat.
Damar Nurcahyono 2013 Evaluasi Pelaksanaan Manajemen
Risiko Teknologi Informasi pada
Kantor Arsip Daerah Kota
Samarinda dengan Menggunakan
The Risk IT Framework
Pada penelitian ini menggunakan framework RiskIT. Dari hasil
penelitian tersebut diketahui nilai dari atribut tata kelola risiko berada
pada tingkat 2 yang berarti tata kelola risiko saat ini berada pada
tingkat kematangan Repeatable but Intuitive. Sedangkan pada
domain Evaluasi Risiko nilai tingkat kematangan berada pada tingkat
3 yang berarti domain evaluasi risiko saat ini berada pada tingkat
kematangan Defined. Pada domain Respon Risiko juga berada pada
tingkat 2 yang berarti tingkat kematangan Repeatable but Intuitive.
Anthon R 2015 Manajemen Risiko Teknologi
Tampubolon Informasi
Menggunakan Framework ISO
31000:2009 Studi Kasus :
Pembobolan ATM BCA Tahun
2010
Pada penelitian ini menggunakan framework ISO 31000. Dari hasil
penelitian tersebut diketahui bahwa manajemen risiko penting
dilakukan untuk menjaga tercapainya tujuan. BCA mengambil
langkah mitigasi dengan menguatkan sistem keamanan di bilik ATM
dan menganjurkan nasabah untuk mengganti PIN ATM.
Enda Esyudha 2013 Analisis Nilai & Manajemen Risiko
Pratama Teknologi Informasi
(studi kasus PTBank Tabungan
Negara.Tbk)
107
Pada penelitian ini menggunakan framework ISO31000. Dari hasil
penelitian tersebut diketahui langkah mitigasi yang diambil adalah
dengan melakukan penyempurnaan pada kebijakan dan prosedur
pengelolaan manajemen, serta mengembangkan kemampuan SDM di
bidang manajemen risiko.
3.3. Planning the Assessment
Tahap kedua melakukan rencana penilaian yang bertujuan untuk
mendapatkan data yang dibutuhkan pada EDM03 (Ensure Risk Optimisation) dan
APO12 (Manage Risk). Mengkonversikan struktur organisasi yang terdapat di
COBIT 5 terhadap fungsional-fungsional yang terdapat dalam struktur organisasi
Divisi TI-Telkom PLN P2B, kemudian membuat kuesioner yang dikembangkan
dari COBIT 5. Pertanyaan yang dibuat pada kuesioner dikembangkan dari
framework COBIT 5. Pada penelitian ini menggunakan kuesioner Capability Level
dengan penjelasan sebagai berikut:
1. Pembuatan Kuesioner Capability Level
Kuesioner dibuat berdasarkan key management practice dalam COBIT 5
proses EDM03 Ensure Risk Optimisation dan APO12 Manage Risk. Yang
terdiri dari kuesioner:
a. EDM03.01 : Mengevaluasi manajemen risiko
b. EDM03.02 : Mengarahkan manajemen risiko
c. EDM03.03 : Mengawasi manajemen risiko
d. APO12.01 : Mengumpulkan data
e. APO12.02 : Menganalisis risiko
f. APO12.03 : Mempertahankan profil risiko
108
g. APO12.04 : Mengartikulasikan risiko
h. APO12.05 : Mendefinisikan portofolio tindakan manajemen
risiko
i. APO12.06 : Menanggapi risiko
Kuesioner disini dimaksudkan sebagai alat dalam membantu
pengumpulan data. Kuesioner ini juga ditujukan pada responden yang
sesuai dengan diagram RACI. Objek pertanyaan dikembangkan dari
model capability level COBIT 5 pada domain EDM03 Ensure Risk
Optimisation dan APO12 Manage Risk. Tiap activities yang terpada
COBIT 5 dijadikan pertanyaan untuk mengetahui tingkat kematangan dan
kondisi yang diharapkan oleh PT PLN P2B. Pengukuran yang digunakan
pada penelitian ini menggunakan skala likert
2. Purposive Sampling
Pada teknik purposive sampling untuk proses EDM03 dan APO12
ditentukan dengan identifikasi diagram RACI yang terdapat pada COBIT
5. Berdasarkan diagram RACI yang terdapat pada EDM03 dan APO12
telah dikonversikan dengan struktur organisasi yang berada di divisi TI.
Berikut ini adalah pihak – pihak yang akan dijadikan responden pada
penelitian kali ini:
Tabel 3. 2 Pemetaan RACI Chart ke Struktur Organisasi Proses EDM03

NO Fungsi Struktur Divisi TI
Fungsional Struktur COBIT
PT PLN P2B
1 Chief Executive Officer Supervisor TI
2 Business Executive Supervisor TI
109
NO Fungsi Struktur Divisi TI
Fungsional Struktur COBIT
PT PLN P2B
3 Chief Risk Officer Supervisor TI
4 Chief Information Officer Kadiv Aplikasi TI
5 Chief Information Security Officer Kadiv Infrastruktur TI
Tabel 3. 3 Pemetaan RACI Chart ke Struktur Organisasi Proses APO12

Fungsi Struktur Divisi TI
NO Fungsional Struktur COBIT
PT PLN P2B
1 Business Process Owners Supervisor TI
2 Project Management Office Supervisor TI
3 Chief Risk Officer Supervisor TI
4 Head Architect Supervisor TI
5 Head IT Administration Supervisor TI
6 Business Continuity Manager Supervisor TI
7. Head Development Kadiv. Aplikasi TI
8. Chief Information Security Officer Kadiv. Infrastruktur TI
9. Head IT Operations Kadiv. Infrastruktur TI
10. Service Manager Kadiv. Infrastruktur TI
11. Information Security Manager Kadiv. Infrastruktur TI
3.4. Briefing
Pada tahap ini peneliti memberikan pengarahan kepada responden yang ada
pada diagram RACI sehingga memahami input, proses dan output dalam unit
organisasi dan menjelaskan jadwal penelitian yang akan dilakukan baik komunikasi
secara langsung maupun tidak langsung untuk menentukan jadwal pengisian
kuesioner, pemberitahuan kendala yang dihadapi dalam melakukan penilaian.
110
3.5. Data Collection
Pada tahap ini peneliti melakukan pengumpulan data dari hasil temuan yang
terdapat pada sistem yang dijalankan oleh PLN P2B. Dilakukan dengan observasi
dan wawancara kepada pihak yang terkait dengan sistem yang dijalankan tersebut
untuk dapat menemukan bukti – bukti dari aktivitas pada proses yang telah
dilakukan.
3.6. Data Validation
Pada tahap ini peneliti melakukan validasi data dari kuesioner yang telah diisi
para responden sesuai dengan identifikasi diagram RACI. Tahap ini meliputi
rekapitulasi jawaban masing – masing responden, rekapitulasi hasil perhitungan
kemudian melakukan interpretasi data yang menunjukan tingkat kematangan atau
Capability Level saat ini dan Capability Level yang diharapkan.
3.7. Process Attributte Level
Pada tahap ini peneliti memberikan tingkat pada atribut yang ada pada setiap
indikator proses kapabilitas. Untuk menunjukan hasil capability level dari hasil
perhitungan kuesioner pada tahap sebelumnya dan melakukan analisis gap pada
tahap selanjutnya.
3.7.1. Penilaian Risiko
Sebelum dapat memberikan rekomendasi. Peneliti melakukan
penilaian risiko untuk memperinci langkah mitigasi yang dapat diambil.
Dengan melakukan identifikasi risiko berdasarkan aset dan skenario risiko
yang terdapat dalam COBIT. Kemudian dari risiko yang telah teridentifikasi
tersebut dilakukan penilaian terhadap Inherent Risk dan Residual Risk.
111
3.8. Reporting the Result
Pada tahap ini peneliti melaporkan hasil dari evaluasi yang telah dilakukan
dengan memberikan laporan dari hasil identifikasi risiko dan analisis kesenjangan
yang dimananya bisa dijadikan perusahaan untuk dapat mencapai level yang
diharapkan (to be). Langkah mitigasi dan usulan perbaikan diarahkan agar
perusahaan dapat mencapai tingkat kematangan yang diharapkan.
3.9. Kerangka Berpikir
Metode penelitian yang digunakan pada penelitian ini dibagi menjadi
beberapa teknik seperti yang ditunjukkan pada gambar berikut :
Gambar 3. 1 Kerangka Berpikir
112
BAB IV
HASIL DAN PEMBAHASAN
4.1. Initiation
4.1.1. Sejarah PT PLN P2B
Pembentukan organisasi ini merupakan Keputusan Direksi PLN
nomor 093.K/023/DIR/1995. Tujuannya adalah lebih memfokuskan usaha
pengelolaan operation system, memelihara dan mengembangkan system
operasi dan sarana penyaluran, mengelolan transaksi energi dan mengelola
pengusahaan jasa telekomunikasi masing-masing sesuai kebijakan Perseroan
secara komersil sesuai dengan kontrak kinerja yang ditetapkan oleh Direksi
Perseroan. Waktu itu, P3B JB dipimpin oleh Hizban Ahmad. Pembentukan
PLN P3B memisahkan fungsi transmisi (penyaluran dari anak perusahaan
PLN yaitu : PLN KJB akan menjadi PLN Pembangkitan Jawa Bali I (PJB I)
dan PLN KJT menjadi PLN Pembangkitan Jawa Bali II (PJB II).
Pada awal pembentukkannya, unit ini mengelola sistem tegangan
ekstra tinggi 500 kV, Tegangan Tinggi 150 kV, Tegangan Menengah 70 kV
dan tegangan rendah 20 kV dan dalam perjalanannya tegangan rendah,
pengelolalaannya dilimpatkan ke PLN Unit Distribusi. Pengalihan aset
tersebut terjadi di awal tahun 2000-an. Pengalihan termasuk migrasi pegawai
PLN P3B JB ke PLN Distribusi.
2 November 2000: Pembentukan Organisasi dan Tata Kerja Unit
Bisnis Strategis Penyaluran dan Pusat Pengatur Beban Jawa Bali, maka PT
PLN (Persero) P3B yang merupakan unit pusat laba (profit center) berubah
113
menjadi unit pusat investasi (investment center) dengan nama Unit Bisnis
Strategis Penyaluran dan Pusat Pengatur Beban Jawa Bali (UBS P3B).
Perubahan status tersebut dilakukan untuk menatisipasi jika UU nomor 20
tahun 2000 tentang ketenagalistrikan diberlakukan.
Tim Implementasi UBS P3B berdasarkan Keputusan Pemimpin P3B
nomor: 001.K/021/PP3B/2001. Tim ini dibawah arahan langsung Basuki
Prayitno dibantu EH Gultom, Nandy Arsjad dan Bambang Waskito. Sebagai
Ketua Muljo Adji AG
Tim ini dibagi menjadi beberapa Bidang. Bidang Perencanaan
ditunjuk Muljo Adji AG. Tim II (Bidang Teknik) diketuai Suyono, Tim III
Bidang Keuangan dan Niaga Parlidungan Siagian, Tim IV Bidang SDMO
dikomandani Iwan Bachtiar, Tim V : Bidang Umum/General Affair
(Nazaruddin Said), Tim VI Bidang Audit Internal (Halomoan Sibarani), Tim
VII Unit Setelmen Ulysses R Simanjuntak, Tim VIII Unit Bidang Operasi
Sistem diketuai Edy Wahyudi. Bidang-bidang tersebut merupakan cikal
bakal bidang-bidang yang ada sekarang ini di Kantor Induk.
Tidak kalah pentingnya adalah Tim IX dan Tim X. Tim pertama
bertugas melakukan implementasi pelimpahan asset trafo distribusi. Tim ini
diketua mantan Kepala Sektor Jakarta Djoko Hastowo. Sedangkan tim kedua
ditugaskan untuk mempercepat implementasi regionalisasi dan regrouping
tragi. Jika sebelumnya terdapat banyak sektor dan unit transmisi dan gardu
induk (utragi), dengan terbentuknya UBS, dirampingkan menjadi 4 regional.
Keempatnya adalah region Jakarta dan Banten (R1), region Jawa Barat (R2),
114
region Jawa Tengah dan DIY (R3) dan region Jawa Timur dan Bali (R4).
Ketua Tim ini Muljo Adji AG untuk R1, Kikid Sukantomo Adibroto (R2),
Edy Wahyudi (R3), dan Djoko Hastowo (R4). Tim XI : Pengabungan Proyek
ke UBS P3B yang dipimpin Djodi Suprapto. Namun niat tersebut urung
dilakukan karena hingga sekarang tidak bisa dilaksanakan.
4.1.2. Visi dan Misi PT PLN P2B
1. Visi
“To be A World Class System Operator in 2020”
2. Misi
▪ Mengelola operasi sistem tenaga listrik.
▪ Melakukan dan mengelola penyaluran tenaga listrik tegangan
tinggi secara efektif, efisien, andal dan akrab lingkungan.
▪ Mengelola transaksi tenaga listrik secara kompetetif,
transparant dan andil.
4.1.3. Struktur Organisasi PT PLN P2B
Berikut ini adalah struktur organisasi PT PLN P2B berdasarkan
Perdir.0034.P//2017
115
Gambar 4. 1 Struktur organisasi PT PLN P2B (Perdir.0034.//2017)
4.1.4. Peran dan Tanggung Jawab
1. General Manager bertanggung jawab atas tersedianya analisa
dan mitigasi risiko serta proses bisnis, pengelolaan pengusahaan
melalui optimalisasi seluruh sumber daya secara efektif, efisien
dan sinergis, mengelola Operasi Sistem tenaga listrik secara
andal, mengelola transaksi tenaga listrik secara akurat,
kompetitif, transparan dan adil, meningkatkan mutu dan
keandalan pelayanan serta memastikan terlaksananya Good
Corporate Governance (GCG) di Pusat Pengatur Beban (P2B).
2. Bidang Perencanaan bertanggung jawab dan menjamin
tersedianya Perencanaan yang baik di unit kerja, Penyusunan
Rencana dan Pengendalian investasi dan Operasi, Pengelolaan
116
Kinerja dan Mutu, menganalisa dan mengevaluasi terkait
pemantauan kinerja sistem, kinerja instalasi pembangkitan dan
penyaluran.
3. Bidang Operasi Sistem bertanggung jawab dan menjamin
terlaksananya pengelolaan dan pengembangan proses “bidding
energy”, pengaturan dan pengendalian sistem tenaga listrik,
pengelolaan proses baca meter, AMR dan Neraca Energi, Proses
settlement dan penerbitan tagihan pembayaran serta
penyelesaian permasalahan transaksi.
4. Bidang Teknik bertanggung jawab dan menjamin terlaksananya
perencanaan, pengelolaan dan pengembangan SCADATEL di
control centre, perencanaan dan analisa fasilitas operasi sistem
transmisi untuk miningkatkan ketersediaan hardware dan
software Master Station, Remote Station (RTU & SOGI),
Telekomunikasi, Teknologi Informasi, Proteksi Sistem dan
peralatan pendukung.
4.1.5. Struktur Organisasi Divisi TI dan Telekomunikasi
Dalam penelitian ini peneliti akan berfokus pada permasalahan yang
berada pada divisi Teknologi Informasi dan Telekomunikasi, berikut ini
merupakan struktur organisasi divisi Teknologi Informasi dan
Telekomunikasi PT PLN P2B :
117
Gambar 4. 2 Struktur organisasi divisi TI & Telekomunikasi (Perdir.0034.//2017)
1. Deputi Manajer Teknologi Informasi dan Telekomunikasi
bertanggung jawab mengendalikan fungsi pengelolaan
database, fungsi aplikasi informasi, fungsi jaringan data, sekuriti
data dan layanan agar diperoleh sistem teknologi informasi yang
handal sesuai dengan Enterprise Information Architecture
Planning / Information Technology Master Plan / Information
Technology Planning PLN, serta mengelola peralatan
telekomunikasi untuk ketersediaan fungsi link komunikasi
backbound 500kV, 150kV dan 70kV.
2. Supervisor Teknologi Informasi bertanggung jawab mengelola
dan mengkoordinir perancangan, pengembangan serta
pemeliharaan infrastruktur teknologi informasi agar handal dan
efisien, Memonitor dan mengevaluasi ketersediaan aplikasi dan
pengembangannya andal, aman, mudah dipakai (user friendly),
serta sesuai dengan kebutuhan.
118
3. Divisi Infrastruktur Teknologi Informasi bertanggung jawab
membuat usulan perancangan serta melaksanakan pemeliharaan
infrastruktur Teknologi Informasi agar handal dan efisien,
melaksanakan rencana pemeliharaan dan pengembangan
fasilitas hardware TI untuk memenuhi persyaratan sistem sesuai
roadmap TI, memelihara server – server di kantor P2B agar
dapat digunakan secara optimal, serta melaksanakan
pengelolaan sekuriti infrastruktur jaringan agar dapat bekerja
secara optimal.
4. Divisi Aplikasi Sistem Teknologi Informasi bertanggung jawab
memastikan ketersediaan aplikasi dan pengembangan yang
andal, aman, mudah dipakai (user friendly), serta sesuai dengan
kebutuhan. Melaksanakan usulan dan renacana kerja dari fungsi
pengelolaan database untuk dimintakan persetujuan serta
membantu bidang memperoleh informasi secara cepat dan
akurat.
4.2. Planning the Assessment
Hasil dari tahap penilaian ini adalah sebagai berikut:
4.2.1. Identifikasi Diagram RACI
Peneliti menentukan responden penelitian dengan menggunakan
RACI Chart serta mempertimbangkan dan menyesuaikan tugas dan fungsi
dari struktur organisasi divisi TI PLN P2B kepada Roles and Organisational
Structures dalam RACI Chart COBIT 5. Pemilihan responden ini juga tidak
119
serta merta memasukkan seluruh struktur organisasi yang ada di PLN P2B.
Peneliti juga memilihnya dengan mengumpulkan data sebagai acuan
pemilihan responden yang dirasa sesuai dengan kondisi intansi saat ini.
Berikut ini responden penelitian dari hasil pemetaan tersebut:
Berdasarkan matrik RACI Chart proses EDM03, peneliti
mendapatkan 3 responden yang sesuai dengan COBIT 5. Ke 3 responden
tersebut tercantum dalam tabel dibawah ini:
Tabel 4. 1 Pemetaan RACI Chart proses EDM03

No. Fungsional Struktur COBIT Fungsi Struktur PT PLN P2B
1 Chief Executive Officer, Business Supervisor TI

Executive, Chief Risk Officer
2. Chief Information Officer Kepala Div Aplikasi TI
3. Chief Information Security Officer Kepala Div Infrastruktur TI
Berdasarkan matrik RACI Chart proses APO12, peneliti mendapatkan
3 responden yang sesuai dengan COBIT 5. Ke 3 responden tersebut
tercantum dalam tabel dibawah ini:
Tabel 4. 2 Pemetaan RACI Chart proses APO12

No. Fungsional Struktur COBIT Fungsi Struktur PT PLN P2B
1 Business Process Owners, Project Supervisor TI

Management Office, Chief Risk
Officer, Head Architect, Head IT
Administration, Business Continuity
Manager
2. Chief Information Officer Kepala Div Aplikasi TI
3. Chief Information Security Officer Kepala Div Infrastruktur TI
120
4.2.2. Rincian Jawaban Kuesioner EDM03 (Ensure Risk
Optimisation)
1. Aktivitas proses EDM03.01 (Evaluasi Manajemen Risiko)
Tabel 4. 3 Rincian Jawaban Kuesioner EDM03.01
Berdasarkan tabel rincian kuesioner EDM03.01 menunjukan
bahwa pada aktifitas 1 pada kondisi as is terdapat 1 responden yang
memberi penilaian pada level 2, 1 responden memberi penilaian
pada level 3 dan 1 responden memberi penilaian pada level 4.
Sementara pada kondisi to be 1 responden memberi penilaian pada
level 3, 1 responden memberi penilaian pada level 4 dan 1 responden
memberi penilaian pada level 5.
Pada aktifitas 2 pada kondisi as is terdapat 2 responden yang
memberi penilaian pada level 2 dan 1 responden memberi penilaian
pada level 4. Sementara pada kondisi to be, 2 responden memberi
penilaian pada level 3 dan 1 responden memberi penilaian pada level
5.
memberi penilaian pada level 2 dan 1 responden yang memberi
penilaian pada level 4. Sementara pada kondisi to be, 2 responden
121
memberi penilaian pada level 3 dan 1 respoden memberi penilaian
pada level 5.
Pada aktifitas 4 pada kondisi as is terdapat 2 responden memberi
3. Sementara pada kondisi to be, 2 responden memberi penilaian
pada level 3 dan 1 orang memberi penilaian pada level 4.
penilaian pada level 2, 1 responden memberi penilaian pada level 3
dan 1 responden memberi penilaian pada level 4. Semenetara pada
kondisi to be, 1 responden memberi penilaian pada level 3, 1
responden memberi penilaian pada level 4 dan 1 responden memberi
penilaian pada level 5.
4. Sementara pada kondisi to be, 2 responden memberi penilaian
2. Aktivitas EDM03.02 Mengarahkan Manajemen Risiko
122
pada level 3. Sementara pada kondisi to be 1 responden memberi
4.
4.
4.
4.
123
5.
3. Aktivitas EDM03.03 Mengawasi Manajemen Risiko
124
4.
4.
4.
4.2.3. Rincian Jawaban Kuesioner APO12 (Manage Risk)
1. Aktivitas APO12.01 (Mengumpulkan Data)
Tabel 4. 6 Rincian Jawaban Kuesioner APO12.01
125
Berdasarkan tabel rincian kuesioner APO12.01 menunjukan
5.
4.
126
4.
5.
5.
2. Aktivitas Proses APO12.02 (Menganalisis Risiko)
127
5.
5.
4.
4.
128
4.
5.
3. Aktivitas proses APO12.03 (Mempertahankan Profil Risiko)
129
5.
5.
4.
130
4.
5.
5.
4. APO12.04 Mengartikulasikan Risiko
131
5.
5.
132
5.
5. APO12.05 Mendefinisikan Portofolio Tindakan Manajemen
Risiko
4.
133
4.
6. APO12.06 Menanggapi Risiko
134
4.3. Briefing
Peneliti membuat penentuan jadwal penelitian yang akan dijelaskan kepada
para responden. Tahapan ini dilakukan dengan pihak divisi TI di PLN P2B terkait
dengan dokumen dibutuhkan untuk menjadi proses input, proses yang akan
dilakukan peneliti dan juga output yang akan dihasilkan dari penelitian ini. Peneliti
memberitahukan pelaksanaan pengumpulan data dengan menggunakan kuesioner
yaitu mulai tanggal 23 Oktober 2017 sampai 27 Oktober 2017. Pengumpulan
dokumen untuk kelengkapan dokumen capability level mulai dari tanggal 1
November 2017 sampai tanggal 8 November 2017 dan melakukan rekapitulasi hasil
perhitungan pada tanggal 9 November 2017 sampai tanggal 15 November 2017.
135
Tabel 4. 12 Tahap briefing
September Oktober November Desember
Initiation
Planning the
Assessment
Briefing
Data Collection
Data Validation
Process Attribute
Level
Reporting the Result
4.4. Data Collection
Setelah ditentukan jadwal penelitian dengan responden yang telah ditetapkan.
Kemudian dilakukan Data Collection, tahap ini peneliti mengumpulkan bukti –
bukti atau temuan – temuan yang terdapat pada divisi TI PT PLN P2B Jawa Bali
berdasarkan setiap aktivitas dalam proses EDM03 dan APO12
4.4.1. Proses EDM03
a. EDM03.01 (Evaluasi Manajemen Risiko)
Divisi TI secara berkala melakukan identifikasi dan penilaian
terkait risiko teknologi informasi setiap tahun dan dilaporkan
dari setiap bidang yang ada di PLN P2B. Ditemukan dokumen
berupa profil risiko yang disusun oleh divisi TI. Yang nantinya
akan dievaluasi oleh Top Level Management. Tingkat toleransi
136
yang disetujui terdapat di dalam PER DIR Nomor
0335.K/DIR/2014 dan sebagai acuan nya menggunakan
dokumen Risk Framework.
b. EDM03.02 (Mengatur Manajemen Risiko)
Kebijakan terkait penerapan manajemen risiko tercantum dalam
PER DIR Nomor 0335.K/DIR/2014 tentang penerapan
manajemen risiko di lingkungan PT PLN (Persero) yang dimana
didalamnya berisi tentang kebijakan dan sasaran utama terkait
penerapan menajemen risiko.
c. EDM03.03 (Memantau Manajemen Risiko)
Divisi TI melakukan identifikasi terhadap setiap risiko yang
dilakukan setiap tahunnya dan dimonitor secara berkala tiap
triwulan. Dilaporkan dalam bentuk profil risiko kepada bidang
perencanaan yang dalam hal ini sebagai koordinator tim
manajemen risiko di PLN P2B, yang kemudian akan
dikumpulkan dan kemudian dilaporkan ke PLN pusat melalui
laporan ERM.
4.4.2. Proses APO12
a. APO12.01 (Mengumpulkan Data)
Divisi TI PLN P2B sudah melakukan pengumpulan data terkait
dengan risiko yakni data pada lingkungan operasi yang
berhubungan dengan risiko, data kejadian risiko dan faktor yang
137
mempengaruhinya serta isu risiko ditampilkan pada dokumen
Profil Risiko.
b. APO12.02 (Menganalisis Risiko)
Divisi TI telah melakukan upaya analisis risiko dengan
memperhatikan faktor – faktor penyebab risiko serta menambah
skenario risiko secara teratur. Hal ini dapat ditemukan dalam
dokumen profil risiko yang berisi isu risiko yang ada pada divisi
TI.
c. APO12.03 (Mempertahankan Profil Risiko)
PLN P2B mengumpulkan semua informasi profil risiko dari tiap
bidang yang ada kemudian dikumpulkan menjadi kumpulan
profil risiko. Hal ini dibuktikan dengan adanya dokumentasi
skenario risiko berdasarkan bisnis dan fungsinya yang ada pada
dokumen profil risiko.
d. APO12.04 (Mengartikulasikan Risiko)
Setelah melakukan analisis, PLN P2B sudah melaporkan hasil
analisis risiko kepada semua stakeholders untuk kemudian dapat
mendukung keputusan perusahaan. Proses ini dibuktikan dengan
adanya laporan ERM dari manajemen pusat untuk melakukan
tindakan/respon terhadap risiko risiko yang telah diidentifikasi
di profil risiko.
e. APO12.05 (Mendefinisikan Portofolio Tindakan Manajemen
Risiko)
138
Dalam mendefinisikan tindakan manajemen risiko perusahaan,
terdapat dalam laporan profil risiko terkait dengan rencana
mitigasi yang akan dilakukan beserta siapa saja entitas dalam
organisasi yang bertanggung jawab dalam mengawasi risiko.
f. APO12.06 (Menanggapi Risiko)
PLN P2B melakukan penerapan terhadap risiko dengan
melakukan rencana tindakan yang sesuai untuk meminimalisir
dampak. Dan mengkomunikasikan dampak tersebut untuk
membuat keputusan. Dalam hal ini terdapat dokumen yang
membuktikan adanya proses tersebut yaitu adanya laporan
kepada tiap stakeholders. Rencana tindakan terdapat dalam
laporan profil risiko.
4.5. Data validation
Pada tahapan ini, berisikan hasil rekapitulasi jawaban kuesioner yang telah
diisi oleh responden. Hasil pengolahannya adalah sebagai berikut
Tabel 4. 13 Rekapitulasi jawaban kuesioner EDM03.01 (Evaluasi Manajemen

Risiko)
No. Aktivitas (Pertanyaan) Statu Distribusi Jawaban (%)
s 0 1 2 3 4 5
1. Menentukan tingkat risiko As is 0 0 33,33 33,33 33,33 0
TI To be 0 0 0 33,33 33,33 33,33
2. Mengevaluasi ambang As is 0 0 66,67 0 33,33 0
batas risiko TI To be 0 0 0 66,67 0 33,33
3. Menentukan tingkat As is 0 0 66,67 0 33,33 0
keselarasan strategi risiko To be 0 0 0 66,67 0 33,33
TI dan strategi perusahaan
4. Mengevaluasi faktor – As is 0 0 66,67 33,33 0 0
faktor risiko TI To be 0 0 0 66,67 33,33 0
5. Menentukan penggunaan As is 0 0 33,33 33,33 33,33 0
TI yang digunakan sesuai To be 0 0 0 33,33 33,33 33,33
subjek penilaian risiko
As is 0 0 66,67 0 33,33 0
139
6. Mengevaluasi aktivitas To be 0 0 0 66,67 0 33,33
manajemen risiko untuk
memastikan kemampuan
perusahaan
TOTAL As is 0 0 55,55 16,67 27,78 0
To be 0 0 0 55,55 16,67 27,78
Berdasarkan tabel di atas, dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal ini mengevaluasi manajemen risiko berada
di tingkat 2 (Managed Process) dengan persentase 55,55%, sementara kondisi yang
diharapkan (to be) jumlah responden terbanyak mengharapkan berada pada tingkat
3 (Established Process) dengan persentase 55,55%.
Tabel 4. 14 Rekapitulasi jawaban kuesioner EDM03.02 (Mengarahkan

Manajemen Risiko)
s 0 1 2 3 4 5
1. Meningkatkan kesadaran As is 0 0 33,33 66,67 0 0
risiko TI To be 0 0 0 33,33 66,67 0
2. Mengarahkan intergrasi As is 0 0 33,33 66,67 0 0
antara IT Risk Strategy To be 0 0 0 33,33 66,67 0
dengan Keputusan risiko
perusahaan
3. Pengembangan Risk As is 0 0 66,67 33,33 0 0
Communication Plans To be 0 0 0 66,67 33,33 0
4. Mekanisme yang tepat As is 0 33,33 33,33 0 33,33 0
untuk merespon perubahan To be 0 0 33,33 33,33 0 33,33
risiko
5. Tingkat identifikasi risiko, As is 0 0 66,67 33,33 0 0
peluang, masalah dan To be 0 0 0 66,67 33,33 0
kekhawatiran
6. Identifikasi tujuan utama, As is 0 0 66,67 33,33 0 0
metrik tata kelola To be 0 0 0 66,67 33,33 0
TOTAL As is 0 5,56 50 38,88 5,56 0
To be 0 0 5,56 50 38,88 5,56
Berdasarkan tabel di atas, dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal ini mengarahkan manajemen risiko berada
di tingkat 2 (Managed Process) dengan persentase 50%, sementara kondisi yang
140
3 (Established Process) dengan persentase 50%
Tabel 4. 15 Rekapitulasi jawaban kuesioner EDM03.03 (Mengawasi manajemen

risiko)
No. Aktivitas (Pertanyaan) Status Distribusi Jawaban (%)
0 1 2 3 4 5
1. Tingkat pengawasan risiko As is 0 0 33,33 33,33 33,33 0
untuk dikelola To be 0 0 33,33 33,33 33,33
2. Pemantau tujuan utama As is 0 0 66,67 33,33 0 0
dan metrik dari tata kelola To be 0 0 66,67 33,33 0
risiko
3. Stakeholders meninjau As is 0 0 66,67 33,33 0 0
kemajuan perusahaan To be 0 0 0 66,67 33,33 0
4. Melaporkan semua As is 0 0 66,67 33,33 0 0
masalah terkait manajemen To be 0 0 0 66,67 33,33 0
risiko
TOTAL As is 0 0 58,33 33,33 11,11 0
To be 0 0 0 58,33 33,33 11,11
Berdasarkan tabel di atas dapat diketahui bahwa mayoritas responden menilai
kondisi saat ini (as is) dalam hal ini mengawasi manajemen risiko berada di tingkat
2 (Managed Process) dengan persentase 58,33%, sementara kondisi yang
3 (Established Process) dengan persentase 58,33%
Tabel 4. 16 Rekapitulasi jawaban kuesioner APO12.01 (Mengumpulkan data)

s 0 1 2 3 4 5
1. Tingkat pengawasan risiko As is 0 0 33,33 33,33 33,33 0
untuk dikelola To be 0 0 0 33,33 33,33 33,33
2. Pemantau tujuan utama As is 0 0 33,33 33,33 33,33 0
dan metrik dari tata kelola To be 0 0 0 33,33 33,33 33,33
risiko
3. Stakeholders meninjau As is 0 0 33,33 0 66,67 0
kemajuan perusahaan To be 0 0 0 33,33 0 66,67
4. Melaporkan semua As is 0 0 33,33 66,67 0 0
masalah terkait manajemen To be 0 0 33,33 66,67 0
risiko
5. Mengatur data yang As is 0 0 33,33 66,67 0 0
terkumpul dan melihat To be 0 0 0 33,33 66,67 0
faktor - faktornya
6. Menentukan kondisi yang As is 0 0 66,67 0 33,33 0
berisiko To be 0 0 0 66,67 0 33,33
141
7. Analisis faktor risiko As is 0 0 66,67 0 33,33 0
untuk mengidentifikasi To be 0 0 0 66,67 0 33,33
masalah baru
TOTAL As is 0 0 42,85 28,57 28,57 0
To be 0 0 0 42,85 28,57 28,57
kondisi saat ini (as is) dalam hal ini mengumpukan data berada di tingkat 2
(Managed Process) dengan persentase 42,85%, sementara kondisi yang diharapkan
(to be) jumlah responden terbanyak mengharapkan berada pada tingkat 3
(Established Process) dengan persentase 42,85%
Tabel 4. 17 Rekapitulasi jawaban kuesioner APO12.02 (Menganalisis risiko)

s 0 1 2 3 4 5
1. Mendefinisikan upaya As is 0 0 66,67 0 33,33 0
analisis risiko yang sesuai To be 0 0 0 66,67 0 33,33
2. Membangun dan As is 0 0 66,67 0 33,33 0
menambah skenario risiko To be 0 0 0 66,67 0 33,33
TI
3. Memperkirakan frekuensi As is 0 0 66,67 33,33 0 0
dan besarnya untung rugi To be 0 0 66,67 33,33 0
4. Membandingkan residual As is 0 0 66,67 33,33 0 0
risk yang dapat ditoleransi To be 0 0 66,67 33,33 0
5. Menganalisis untung rugi As is 0 0 33,33 66,67 0 0
dari kemungkinan risk To be 0 0 0 33,33 66,67 0
response
6. Memnentukan high-level As is 0 0 33,33 33,33 33,33 0
requirements untuk projek To be 0 0 0 33,33 33,33 33,33
7. Memvalidasi hasil analisis As is 0 0 0 66,67 33,33 0
risiko sebelum mengambil To be 0 0 0 0 66,67 33,33
keputusan
TOTAL As is 0 0 47,61 33,33 19,04 0
To be 0 0 0 47,61 33,33 19,04
kondisi saat ini (as is), dalam hal ini menganalisis risiko berada di tingkat 2
142
(Established Process) dengan persentase 47,61%.
Tabel 4. 18 Rekapitulasi jawaban kuesioner APO12.03 (Mempertahankan profil

risiko)
s 0 1 2 3 4 5
1. Mengelola inventaris As is 0 0 0 66,67 33,33 0
bisnis proses To be 0 0 0 66,67 33,33
2. Menentukan dan As is 0 33,33 33,33 33,33 0
menyetujui layanan TI dan To be 0 0 33,33 33,33 33,33
Infrastruktur
3. Mengumpulkan skenario As is 0 0 66,67 0 33,33 0
risiko To be 0 0 0 66,67 0 33,33
4. Merekam semua informasi As is 0 0 66,67 33,33 0 0
profil risiko To be 0 0 66,67 33,33 0
5. Mendefinisikan indikator As is 0 0 66,67 33,33 0 0
dari risiko To be 0 0 0 66,67 33,33 0
6. Menangkap informasi pada As is 0 0 66,67 0 33,33 0
kejadian risiko TI To be 0 0 0 66,67 0 33,33
7. Menangkap informasi dari As is 0 0 66,67 0 33,33 0
status risk action plan To be 0 0 0 66,67 0 33,33
TOTAL As is 0 0 52,38 23,81 23,81 0
To be 0 0 0 52,38 23,81 23,81
kondisi saat ini (as is), dalam hal ini menganalisis risiko berada di tingkat 2
(Established Process) dengan persentase 52,38%.
Tabel 4. 19 Rekapitulasi jawaban kuesioner APO12.04 (Mengartikulasikan

risiko)
s 0 1 2 3 4 5
1. Melaporkan hasil analisis As is 0 0 66,67 0 33,33 0
risiko ke stakeholders To be 0 0 0 66,67 0 33,33
2. Menyediakan pengambilan As is 0 0 66,67 0 33,33 0
keputusan To be 0 0 0 66,67 0 33,33
3. Melaporkan profil risiko As is 0 0 33,33 33,33 33,33 0
saat ini kepada To be 0 0 0 33,33 33,33 33,33
stakeholders
143
4. Melihat hasil penilaian As is 0 0 33,33 33,33 33,33 0
pihak ketiga dan audit To be 0 0 0 33,33 33,33 33,33
internal
5. Mengidentifikasi peluang As is 0 0 66,67 33,33 0
teknologi yang mungkin To be 0 0 0 66,67 0 33,33
mendapatkan risiko
TOTAL As is 0 0 53,33 13,33 33,33 0
To be 0 0 0 53,33 13,33 33,33
kondisi saat ini (as is), dalam hal ini mengartikulasikan risiko berada di tingkat 2
(to be) jumlah responden terbanyak mengharapkan berada di tingkat 3 (Established
Process) dengan persentase 53,33%.
Tabel 4. 20 Rekapitulasi jawaban kuesioner APO12.05 (Mendefinisikan

portofolio tindakan manajemen risiko)
s 0 1 2 3 4 5
1. Memelihara inventori dari As is 0 0 33,33 33,33 33,33 0
aktivitas kontrol untuk To be 0 0 33,33 33,33 33,33
mengelola risiko
2. Menentukan setiap entitas As is 0 0 66,67 33,33 0 0
organisasi mengawasi To be 0 0 0 66,67 33,33 0
risiko
3. Mendefinisikan As is 0 0 66,67 33,33 0 0
keseimbangan suatu To be 0 0 66,67 33,33 0
seperangkat proposal
untuk mengurangi risiko
TOTAL As is 0 0 55,56 33,33 11,11 0
To be 0 0 0 55,56 33,33 11,11
kondisi saat ini (as is), dalam hal ini mendefinisikan portofolio tindakan manajemen
risiko berada di tingkat 2 (Managed Process) dengan persentase 55,56%, sementara
kondisi yang diharapkan (to be) jumlah responden terbanyak mengharapkan berada
di tingkat 3 (Established Process) dengan persentase 55,56%.\
144
Tabel 4. 21 Rekapitulasi jawaban kuesioner APO12.06 (Menanggapi risiko)
s 0 1 2 3 4 5
1. Menyiapkan, memelihara As is 0 0 33,33 66,67 33,33 0
dan rencana uji coba To be 0 0 0 33,33 66,67 0
langkah untuk
mengendalikan risiko
2. Mengkategorikan insiden- As is 0 0 66,67 33,33 0 0
insiden, dan To be 0 0 0 66,67 33,33 0
membandingkan ambang
batas toleransi risiko
3. Menerapkan rencana As is 0 0 66,67 33,33 0 0
tindakan yang sesuai untuk To be 0 0 0 66,67 33,33 0
meminimalisir risiko
4. Memeriksa kerugian di As is 0 0 33,33 33,33 33,33 0
masa lalu dan peluang To be 0 0 0 33,33 33,33 33,33
yang terlewat
TOTAL As is 0 0 50 41,67 16,67 0
To be 0 0 0 50 41,67 16,67
kondisi saat ini (as is), dalam hal ini menanggapi risiko berada di tingkat 2
(Managed Process) dengan persentase 50%, sementara kondisi yang diharapkan (to
be) jumlah responden terbanyak mengharapkan berada pada tingkat 3 (Established
Process) dengan persentase 50%.
4.6. Process Attribute Level
Tahap selanjutnya adalah pemberian level pada setiap sub proses yang
selanjutnya menghasilkan analisis gap
4.6.1. Penentuan Nilai Kapabilitas
Berikut ini adalah hasil perhitungan nilai kapabilitas proses EDM03
(Ensure Risk Optimisation):
145
a. Nilai kapabilitas EDM03.01 (Evaluate Risk Management)
As is
(0×0)+(0×1)+(55.55×2)+(16.67×3)+(27.78×4)+(0×5)
NK = = 2.72
100
To be
(0×0)+(0×1)+(0×2)+(55.55×3)+(16.67×4)+(27.78×5)
NK = = 3.72
100
Nilai kapabilitas kondisi saat ini (as is) pada proses
EDM03.01 yaitu 2,72 artinya tingkat kapabilitasnya terdapat
pada level 3, sedangkan kondisi yang diharapkan (to be) adalah
3,67 yang berarti tingkat kapabilitasnya berada pada level 4.
b. Nilai kapabilitas EDM03.02 (Direct Risk Management)
As is
(0×0)+(5.56×1)+(50×2)+(38.88×3)+(5.56×4)+(0×5)
NK = =2.44
100
To be
(0×0)+(0×1)+(5.56×2)+(50×3)+(38.88×4)+(15.56×5)
NK = =3.94
100
c. Nilai kapabilitas EDM03.03 (Monitor Risk Management)
As is
(0×0)+(0×1)+(58.33×2)+(33.33×3)+(11.11×4)+(0×5)
NK= 100
= 2.61
146
To be
(0×0)+(0×1)+(0×2)+(58.33×3)+(33.33×4)+(11.11×5)
NK= = 3.63
100
Berikut ini adalah hasil perhitungan nilai kapabilitas proses APO12
(Manage Risk):
a. Nilai kapabilitas APO12.01 (Collect Data)
As is
(0×0)+(0×1)+(42.85×2)+(28.57×3)+(28.57×4)+(0×5)
NK = =2.85
100
To be
(0×0)+(0×1)+(0×2)+(42.85×3)+(28.57×4)+(28.57×5)
NK = =3.85
100
APO12.01 yaitu 2,85 artinya tingkat kapabilitasnya terdapat
b. Nilai kapabilitas APO12.02 (Analyse Risk)
As is
(0×0)+(0×1)+(47.61×2)+(33.33×3)+(19.04×4)+(0×5)
NK = =2.71
100
To be
(0×0)+(0×1)+(0×2)+(47.61×3)+(33.33×4)+(19.04×5)
NK = 100
=3.71
147
c. Nilai kapabilitas APO12.03 (Maintain Risk Profile)
As is
(0×0)+(4.76×1)+(28.57×2)+(42.85×3)+(23.80×4)+(0×5)
NK = =2.85
100
To be
(0×0)+(0×1)+(23.80×2)+(4.76×3)+(33.33×4)+(38.09×5)
NK = =3.85
100
3,85 yang berarti tingkat kapabilitasnya berada pada level 4
d. Nilai kapabilitas APO12.04 (Articulate Risk)
As is
(0×0)+(0×1)+(53.33×2)+(13.33×3)+(33.33×4)+(0×5)
NK = =2.79
100
To be
(0×0)+(0×1)+(0×2)+(53.33×3)+(13.33×4)+(33.33×5)
NK = =3.79
100
148
e. Nilai kapabilitas APO12.05 (Define a Risk Management Action
Portfolio)
As is
(0×0)+(0×1)+(55.56×2)+(33.33×3)+(11.11×4)+(0×5)
NK = =2.55
100
To be
(0×0)+(0×1)+(0×2)+(55.56×3)+(33.33×4)+(11.11×5)
NK = =3.55
100
3,33 yang berarti tingkat kapabilitasnya berada pada
level 3.
f. Nilai kapabilitas APO12.06 (Respond to Risk)
As is
(0×0)+(0×1)+(50×2)+(33.33×3)+(16.67×4)+(0×5)
NK = =2.66
100
To be
(0×0)+(0×1)+(0×2)+(50×3)+(33.33×4)+(16.67×5)
NK = =3.66
100
149
4.6.2. Penentuan Level Kapabilitas
Berikut ini adalah penentuan tingkat kapabilitas EDM03 berdasarkan
hasil perhitungan nilai kapabilitas yang terdapat pada tiap sub prosesnya
Tabel 4. 22 Penentuan tingkat kapabilitas EDM03

No. Sub – Domain Nilai Capability Level
Kapabilitas
As is To be As is To be
1. EDM03.01 2.72 3.72 3 4
2. EDM03.02 2.44 3.94 2 4
3. EDM03.03 2.61 3.63 3 4
Rata – Rata 2.59 3.76 3 4
Berdasarkan tabel diatas diketahui proses EDM03.01 capability level
saat ini berada pada level 3 dengan nilai kapabilitas 2.72, pada proses
EDM03.02 capability level saat ini berada pada level 3 dengan nilai
kapabilitas 2.44, pada proses EDM03.03 capability level saat ini berada
pada level 4 dengan nilai kapabilitas 2.61. Dari ketiga sub proses tersebut
sehingga diketahui nilai kapabilitas untuk proses EDM03 adalah 2.59
EDM03 (Ensure Risk Optimisation)

As is To be Max
EDM03.01
5
4
3
2
1
0
EDM03.03 EDM03.02
Gambar 4. 3 Grafik proses EDM03
150
Berdasarkan grafik di atas, diketahui bahwa kondisi saat ini pada
proses EDM03 (Ensure Risk Optimisation) berada pada tingkat 3 dengan
nilai kapabilitas 2,61, pada level ini divisi TI PLN P2B telah menerapkan
Established Process sedangkan kondisi yang di harapkan (to be) berada
pada tingkat 4 dengan nilai kapabilitas 3,67 yang dimana pada tahap ini telah
diterapkan Predictable Process.
Berikut ini adalah penentuan tingkat kapabilitas APO12 berdasarkan
hasil perhitungan nilai kapabilitas yang terdapat pada setiap sub prosesnya
Tabel 4. 23 Penentuan tingkat kapabilitas APO12

No. Sub – Domain Nilai Kapabilitas Capability Level
As is To be As is To be
1. APO12.01 2.85 3.85 3 4
3. APO12.03 2.85 3.85 3 4
4. APO12.04 2.79 3.79 3 4
5. APO12.05 2.55 3.55 3 4
6. APO12.06 2.66 3.66 3 4
Rata – Rata 2.73 3.73 3 4
Berdasarkan tabel diatas diketahui pada sub proses APO12.01
capability level saat ini berada pada level 3 dengan nilai kapabilitas 2.85,
pada sub proses APO12.02 capability level saat ini berada pada level 3
dengan nilai kapabilitas 2.71, pada sub proses APO12.03 capability level
saat ini berada pada level 3 dengan nilai kapabilitas 2.85, pada sub proses
APO12.04 capability level saat ini berada pada level 3 dengan nilai
kapabilitas 2.79, pada sub proses APO12.05 capability level saat ini berada
pada level 3 dengan nilai kapabilitas 2.55, pada sub proses APO12.06
capability level saat ini berada pada level 3 dengan nilai kapabilitas 2.66.
151
Dari keenam sub proses tersebut dapat diketahui nilai kapabilitas pada
proses APO12 berada pada level 3 dengan nilai kapabilitas 2.73.
APO12 (Manage Risk)

As is To be Max
APO12.01
5
4
APO12.06 3 APO12.02
2
1
0
APO12.05 APO12.03
APO12.04
Gambar 4. 4 Grafik proses APO12 (Manage Risk)
Berdasarkan grafik di atas diketahui bahwa kondisi saat ini pada
proses APO12 (Manage Risk) berada pada tingkat 3 dengan nilai kapabilitas
2,72, pada level ini divisi TI PLN P2B telah menerapkan Established
Process sedangkan kondisi yang di harapkan (to be) berada pada tingkat 4
dengan nilai kapabilitas 3,62 yang dimana pada tahap ini telah diterapkan
Predictable Process.
4.6.3. Pencapaian Proses
Pada subbab ini, peneliti melakukan pemeriksaan pada domain
EDM03 (Ensure Risk Optimisation) dan APO12 (Manage Risk) apakah telah
memenuhi persyaratan yang harus dipenuhi pada masing – masing level
dengan ketentuan kategori dari hasil penilaian di tiap levelnya. Dari hasil
perhitungan capability level diketahui tingkat kapabilitas pada proses
EDM03 berada pada level 3 yang artinya organisasi harus memenuhi
152
persyaratan proses atribut dari level 1 sampai level 3. Sedangkan hasil tingkat
kapabilitas as is pada APO12 berada pada level 3 yang dimana organisasi
harus memenuhi proses atribut dari level 1 sampai level 3.
Pada level 1 berdasarkan Praktik Umum (GPs) dan Hasil Kerja Umum
(GWPs) yang ada pada COBIT 5, maka PLN P2B harus bisa menyediakan
bukti – bukti atau dokumen bahwa adanya proses yang telah dilakukan pada
domain EDM03 dan APO12. Sehingga hasil proses digunakan untuk
mengukur seberapa jauh tujuan dari suatu proses yang telah ditentukan.
Berikut tabel pencapaian proses EDM03 dan APO12 di PLN P2B untuk
memenuhi process attribute dalam kapabilitas proses di level 1
Tabel 4. 24 Proses EDM03 PA 1.1 Process Performance

Work Products Deskripsi Exist Evidence
Pedoman batas toleransi √ Risk Framework
EDM03-WP1
risiko
Kebijakan Tingkat √ PER DIR Nomor
EDM03-WP2
toleransi yang disetujui 0355/DIR/2014
EDM03-WP3 Evaluasi kegiatan √ Laporan ERM
manajemen risiko (Enterprise Risk
Management)
Kebijakan manajemen √ PER DIR Nomor
EDM03-WP4
risiko 0355/DIR/2014
Sasaran utama memantau √ PER DIR Nomor
EDM03-WP5
manajemen risiko 0355/DIR/2014
Proses persetujuan untuk √ PER DIR Nomor
EDM03-WP6 mengukur manajemen 0355/DIR/2014
risiko
EDM03-WP7 Isu manajemen risiko √ Profil Risiko
EDM03-WP8 Tindakan perbaikan √ Profil Risiko
untuk manajemen risiko
Rata – rata Skor 100%
153
Pada level 2 menurut Praktik Umum (GPs) dan Hasil Kerja Umum
(GWPs) yang ada pada COBIT 5, maka PLN P2B harus memenuhi indikator
yang ada dalam Performance Management dan Work Product Management.
Berikut ini adalah tabel yang menjelaskan pencapaian PLN P2B untuk proses
EDM03
Tabel 4. 25 Proses EDM03 PA 2.1 Performance Management
No Work Products Exist Evidence

1 Identifikasi ruang lingkup dan √ PER DIR Nomor
tujuan proses optimasi risiko 0355/DIR/2014
2 Merencanakan dan √ Profil Risiko
memonitoring proses optimasi
risiko
3 Menyesuaikan kinerja proses √ Laporan ERM
optimasi risiko (Enterprises Risk
Management)
4 Mengidentifikasi tanggung √ Profil Risiko (RASCI
jawab proses optimasi risiko Chart)
5 Mengindentifikasi dan √ Profil Risiko
menyediakan sumber daya
proses optimasi risiko
6 Mengelola antarmuka proses √ Profil Risiko
optimasi risiko
Berdasarkan tabel Performance Management dapat diketahui terdapat
6 poin yang harus dipenuhi oleh PLN P2B. Dalam mengidentifikasi tujuan
proses optimasi risiko tercantum dalam PER.DIR Nomor 0355/DIR/2014
dijelaskan tujuan dan ruang lingkup yang harus terpenuhi. Perencanaan dan
monitoring proses optimasi tercantum dalam dokumen profil risiko. Dalam
menyesuaikan kinerja proses optimasi risiko terdapat dalam dokumen
154
laporan ERM yang berisi tentang persetujuan langkah – langkah mitigasi
yang dapat diambil. Dalam mengidentifikasi tanggung jawab proses optimasi
risiko juga tercantum dalam dokumen profil risiko terkait dengan RASCI
Chart, dijelaskan siapa saja yang bertanggung jawab dan memiliki
kewenangan dalam proses ini. Dalam mengidentifikasi dan menyediakan
sumber daya optimasi risiko telah terdokumentasi dalam dokumen profil
risiko. Dalam melaporkan isu-isu apa saja terkait risiko, tercantum dalam
dokumen Profil Risiko.
Tabel 4. 26 Proses EDM03 PA 2.2 Work Product Management

1 Kriteria kualitas dan hasil kerja √ Dok. KPI (Key Performance
Indicator)
2 Menetapkan kebutuhan dari hasil √ Profil Risiko
kerja
3 Dokumentasi hasil kinerja √ Laporan ERM (Enterprises
Risk Management)
4 Evaluasi hasil kinerja √ Laporan ERM (Enterprises
Risk Management)
Berdasarkan tabel Work Product Management dapat diketahui
terdapat 4 poin yang harus dipenuhi oleh PLN P2B. Dalam menentukan
kriteria kualitas dan hasil kerja tercantum dalam dokumen KPI (Key
Performance Indicator). Dalam menetapkan dari hasil kerja tercantum dalam
dokumen Profil Risiko. Dokumentasi dan evaluasi hasil kinerja terncantum
dalam Laporan ERM.
155
yang ada dalam Process Definition dan Process Deployment. Berikut ini
adalah tabel yang menjelaskan pencapaian PLN P2B untuk proses EDM03
Tabel 4. 27 Proses EDM03 PA 3.1 Process Definition

1 Mendefinisikan Standar dari √ Dok. Risk Framework
Proses Optimasi Risiko
2 Menetapkan urutan dari proses √ Laporan ERM
Optimasi Risiko
3 Mengidentifikasi peran dan √ Profil Risiko
kompetensi
4 Identifikasi infrastruktur yang √ Profil Risiko
dibutuhkan dan lingkungan kerja
5 Menetapkan metode yang sesuai √ Dok. Risk Framework
untuk optimasi risiko
Berdasarkan tabel Process Definition dapat diketahui terdapat 5 poin
yang harus dipenuhi oleh PLN P2B. Dalam mendefinisikan Standar dari
proses optimasi risiko tercantum dalam dokumen Risk Framework yang
digunakan. Dalam Menetapkan urutan dari proses optimasi risiko tercantum
dalam dokumen laporan ERM terkait langkah – langkah apa saja yang akan
diambil. Dalam mengidentifikasi peran dan kompetensi serta
mengidentifikasi infrastruktur yang dibutuhkan serta lingkungan kerja
didefinisikan dalam dokumen profil risiko. Namun dalam menetapkan
metode yang sesuai belum ditemukan adanya dokumen tersebut.
Tabel 4. 28 Proses EDM03 PA 3.2 Process Deployment

1 Menjalankan sebuah proses √ Laporan ERM
optimasi risiko yang telah
didefinisikan
156
2 Menugaskan dan √ Profil Risiko
mengkomunikasikan peran,
tanggung jawab, dan otoritas
3 Memastikan kompetensi dan √ Dok. Key Performance
pelatihan yang dibutuhkan Indicator
4 Menyediakan sumber daya dan -
informasi untuk
-
mendukung performa optimasi
risiko
5 Menyediakan proses infrastruktur - -
yang layak
6 Mengumpulkan dan menganalisis √ Profil Risiko
data
Rata – rata Skor 66,67%
Berdasarkan tabel Process Deployment dapat diketahui terdapat 6
poin yang harus dipenuhi oleh PLN P2B. Dalam menjalankan proses
optimasi risiko, hasilnya dapat terlihat dari adanya Laporan ERM. Praktik
identifikasi risiko juga dilakukan secara berkala. Penjelasan mengenai
komunikasi, peran dan tanggung jawab tercantum dalam dokumen profil
risiko. Dalam memastikan kompetensi yang dibutuhkan tercantum dalam
Key Performance Indicator sebagai acuan dalam kinerja proses. Belum
ditemukan adanya proses maupun evidence bahwa PLN P2B menyediakan
sumber daya dan informasi yang akan mendukung performa serta
menyediakan proses infrastruktur yang layak. Dalam mengumpulkan dan
menganalisis data telah terdokumentasi dalam dokumen profil risiko. Dari
semua kategori tersebut PLN P2B dikategorikan.
157
Tabel 4. 29 Proses APO12 PA 1.1 Process Performance
Work Products Deskripsi Exist Evidence

APO12-WP1 Data pada lingkungan √ Profil Risiko
operasi yang berhubungan
dengan risiko
APO12-WP2 Data kejadian risiko dan √ Profil Risiko
faktor yang mempengaruhi
APO12-WP3 Menampilkan isu risiko dan √ Profil Risiko
faktornya
APO12-WP4 Lingkup upaya analisis risiko - -
APO12-WP5 Skenario risiko TI √ Profil Risiko
APO12-WP6 Hasil analisis risiko √ Profil Risiko
APO12-WP7 Dokumentasi skenario risiko √ Profil Risiko
berdasarkan bisnis dan
fungsinya
APO12-WP8 Kumpulan profil risiko √ Profil Risiko
termasuk tindakan
manajemen risiko
APO12-WP9 Laporan ke stakeholders √ Laporan ERM
terkait analisis risiko dan
profil risiko
APO12-WP10 Hasil dari penilaian risiko - -
oleh pihak ketiga
APO12-WP11 Peluang untuk menerima √ Profil Risiko
risiko terburuk
APO12-WP12 Proposal untuk mengurangi √ Profil Risiko
risiko (per Bidang)
APO12-WP13 Rencana respon kejadian √ Profil Risiko
terkait risiko
APO12-WP14 Komunikasi dampak risiko √ Profil Risiko
APO12-WP15 Penyebab kejadian berisiko √ Profil Risiko
Rata – rata Skor 86,67%
158
yang ada dalam Performance Management dan Work Product Management.
Berikut ini adalah tabel yang menjelaskan pencapaian PLN P2B untuk proses
APO12
Tabel 4. 30 Proses APO12 PA 2.1 Performance Management

1 Identifikasi ruang lingkup dan √ PER DIR Nomor
tujuan proses pengelolaan 0355/DIR/2014
risiko
2 Merencanakan dan √ Profil Risiko
memonitoring proses
pengelolaan risiko
3 Menyesuaikan kinerja proses √ Laporan ERM
pengelolaan risiko (Enterprises Risk
Management)
4 Mengidentifikasi tanggung √ Profil Risiko (RASCI
jawab proses pengelolaan Chart)
risiko
5 Mengindentifikasi dan √ Profil Risiko
menyediakan sumber daya
proses pengelolaan risiko
6 Mengelola antarmuka proses √ Profil Risiko
pengelolaan risiko
Berdasarkan tabel Performance Management dapat diketahui terdapat
6 poin yang harus dipenuhi oleh PLN P2B. Dalam mengidentifikasi tujuan
proses optimasi risiko tercantum dalam PER.DIR Nomor 0355/DIR/2014
dijelaskan tujuan dan ruang lingkup yang harus terpenuhi. Perencanaan dan
monitoring proses optimasi tercantum dalam dokumen profil risiko. Dalam
menyesuaikan kinerja proses optimasi risiko terdapat dalam dokumen
Laporan ERM yang berisi tentang persetujuan langkah-langkah mitigasi
159
yang dapat diambil. Dalam mengidentifikasi tanggung jawab proses optimasi
risiko juga tercantum dalam dokumen profil risiko terkait dengan RASCI
Chart, dijelaskan siapa saja yang bertanggung jawab dan memiliki
kewenangan dalam proses ini. Dalam mengidentifikasi dan menyediakan
sumber daya optimasi risiko telah terdokumentasi dalam dokumen profil
risiko. Dalam melaporkan isu isu apa saja terkait risiko, tercantum dalam
dokumen Profil Risiko.
Tabel 4. 31 Proses APO12 PA 2.2 Work Product Management

1 Kriteria kualitas dan hasil kerja √ Dok. KPI (Key Performance
Indicator)
2 Menetapkan kebutuhan dari hasil √ Profil Risiko
kerja
3 Dokumentasi hasil kinerja √ Laporan ERM (Enterprises
optimasi risiko Risk Management)
4 Evaluasi hasil kinerja optimasi √ Laporan ERM (Enterprises
risiko Risk Management)
Berdasarkan tabel Work Product Management dapat diketahui
terdapat 4 poin yang harus dipenuhi oleh PLN P2B. Dalam menentukan
kriteria kualitas dan hasil kerja tercantum dalam dokumen KPI (Key
Performance Indicator). Dalam menetapkan dari hasil kerja tercantum dalam
dokumen Profil Risiko. Dokumentasi dan evaluasi hasil kinerja terncantum
dalam Laporan ERM.
160
yang ada dalam Process Definition dan Process Deployment. Berikut ini
adalah tabel yang menjelaskan pencapaian PLN P2B untuk proses APO12.
Tabel 4. 32 Proses APO12 PA 3.1 Process Definition

1 Mendefinisikan Standar dari √ Dok. Risk Framework
Proses Manajemen Risiko
2 Menetapkan urutan dari proses √ Laporan ERM
Manajemen Risiko
3 Mengidentifikasi peran dan √ Profil Risiko
kompetensi
4 Identifikasi infrastruktur yang √ Profil Risiko
dibutuhkan dan lingkungan kerja
5 Menetapkan metode yang sesuai -
untuk Manajemen Risiko
Berdasarkan tabel Process Definition dapat diketahui terdapat 5 poin
yang harus dipenuhi oleh PLN P2B. Dalam mendefinisikan Standar dari
proses optimasi risiko tercantum dalam dokumen Risk Framework yang
digunakan. Dalam Menetapkan urutan dari proses optimasi risiko tercantum
dalam dokumen laporan ERM terkait langkah – langkah apa saja yang akan
diambil. Dalam mengidentifikasi peran dan kompetensi serta
mengidentifikasi infrastruktur yang dibutuhkan serta lingkungan kerja
didefinisikan dalam dokumen profil risiko. Namun dalam menetapkan
metode yang sesuai belum ditemukan adanya dokumen tersebut.
Tabel 4. 33 Proses APO12 PA 3.2 Process Deployment

1 Menajalankan sebuah proses √ Laporan ERM
yang telah didefinisikan
161
2 Menugaskan dan √ Profil Risiko
mengkomunikasikan peran,
tanggung jawab, dan otoritas
3 Memastikan kompetensi dan √ Key Performance Indicator
pelatihan yang dibutuhkan
4 Menyediakan sumber daya dan - -
informasi untuk
mendukung performa
5 Menyediakan proses infrastruktur - -
yang layak
6 Mengumpulkan dan menganalisis √ Profil Risiko
data
Berdasarkan tabel Process Deployment dapat diketahui terdapat 6
poin yang harus dipenuhi oleh PLN P2B. Dalam menjalankan proses
optimasi risk, hasilnya dapat terlihat dari adanya Laporan ERM. Praktik
identifikasi risiko juga dilakukan secara berkala. Penjelasan mengenai
komunikasi, peran dan tanggung jawab tercantum dalam dokumen profil
risiko. Dalam memastikan kompetensi yang dibutuhkan tercantum dalam
Key Performance Indicator sebagai acuan dalam kinerja proses. Dalam
menyediakan sumber daya dan informasi yang akan mendukung performa
serta menyediakan proses infrastruktur yang layak tercantum dalam rencana
anggaran pembiayaan tahunan. Dalam mengumpulkan dan menganalisis data
telah terdokumentasi dalam dokumen profil risiko.
4.6.4. Penilaian Risiko
Penilaian risiko dilakukan dengan menggabungkan risk analysis dan
risk evaluation. Risk analysis bertujuan untuk menentukan seberapa sering
risiko tersebut dapat terjadi dan seberapa besar dampak yang dihasilkan oleh
risiko tersebut. Risk analysis diawali dengan melakukan identifikasi risiko,
162
menentukan parameter probability, parameter impact risiko dan rating
risiko. Setelah itu peneliti melakukan penilaian risiko terhadap inherent risk
dan residual risk.
Sedangkan risk evaluation bertujuan untuk mengevaluasi apakah
risiko-risiko tersebut dapat ditoleransi atau tidak oleh perusahaan. Risk
evaluation dilakukan dengan menggambarkan hubungan antara probability
(kecenderungan) dan impact (dampak) ke dalam sebuah matriks yang disebut
dengan risk map. Selanjutnya dapat diketahui risko yang akan diprioritaskan
untuk segera diatasi.
4.6.4.1. Menetapkan Standar Parameter Risiko
Sebelum memasuki tahap identifikasi risiko, pada tahap ini
peneliti menentukan Standar Parameter yang digunakan untuk menilai
risiko. Penentuan standar parameter didapatkan melalui studi literature
dan hasil diskusi dengan pihak PLN P2B. Adapun standar parameter
yang digunakan menggunakan parameter dari Samaptoaji (2014) yang
telah disesuaikan dengan kondisi PLN P2B
Tabel 4. 34 Parameter probability (Diadopsi dari Samaptoaji, 2014)

Nilai Probabiltiy Keterangan
1 ≤ 10% Sangat Jarang
2 > 10% - 30% Jarang
3 > 30% - 70% Kadang – kadang
4 > 70% - 90% Sering
5 > 90% Sangat Sering
Adapun parameter impact yang digunakan pada penelitian kali ini
ditampilkan pada tabel berikut ini:
163
Tabel 4. 35 Parameter impact (Diadopsi dari Samaptoaji, 2014)
Nilai Impact
1 Sangat Tidak memiliki Tidak memiliki Tidak memiliki Tidak memiliki
Kecil dampak. dampak. dampak. dampak.
2 Kecil Tertundanya Operasional Adanya keberanian Terbentuknya
implementasi rencana terganggu namun dari pihak opini negatif antar
organisasi dalam jangka dapat diatasi segera stakeholder kelompok kerja,
pendek (s/d 1 tahun). dengan sumber daya terhadap sehingga
Namun tidak mengubah yang ada. pelanggaran berdampak
rencana strategis. ketentuan hilangnya
perundang – kepercayaan pada
undangan. organisasi.
3 Sedang Tertundanya Operasional Adanya surat Terbentuknya
implementasi rencana terganggu dan tidak peringatan dari opini negatif dari
organisasi dalam jangka bisa diatasi segera individu atau pihak eksternal
pendek (> 1 tahun). dengan sumber daya instansi yang (pihak pelapor),
Namun tidak mengubah yang ada, namun berwenang, namun sehingga
rencana strategis. tidak menghentikan tidak menimbulkan berdampak
proses bisnis lain. kerugian signifikan hilangnya
terhadap organisasi kepercayaan pada
internal organisasi
4 Besar Tertundanya Operasional Adanya tuntutan Terbentuknya
Implementasi rencana terganggu dan tidak hukum dari individu opini negatif yang
strategis, sehingga bisa diatas segera dan/atau terjadi sampai
organisasi harus dengan sumber daya instansiyang masyarakat luas
melakukan perubahan yang ada, sehingga berwenang, dan publikasi oleh
rencana strategis sebagian proses bisnis sehingga dapat media massa,
lainnya terhenti menimbulkan sehingga
kerugian signifikan berdampak
terhadap organisasi, hilangnya
namun tidak sampai kepercayaan pada
menyebabkan organisasi secara
organisasi terhenti keseluruhan
namun tidak
menyebabkan
organisasi terhenti
5 Sangat Tidak dapat Operasional Adanya tuntutan Terbentuknya
Besar mengimplementasikan terganggu dan tidak hukum dari dari opini negatif yang
rencana strategis dapat diatasi segera individu dan/atau terjadi sampai
sehingga organisasi sehingga sebagian instansi yang dengan
gagal dalam besar proses bisnis berwenang terhadap masyarakat luas
melaksanakan peran lainnya terhenti keseluruhan dan publikasi oleh
dan fungsinya organisasi, sehingga media massa,
menimbulkan sehingga
kerugian sangat berdampak
besar dan dapat hilangnya
menyebabkan kepercayaan dan
organisasi terhenti / terhentinya
dilarang beroprasi organisasi secara
keseluruhan
164
Adapun standar parameter rating yang digunakan pada penelitian
kali ini ditampilkan pada dalam tabel berikut ini:
Tabel 4. 36 Standar Parameter rating (Diadopsi dari Samaptoaji,

2014)
Rentang Rating Risiko Deskripsi
14< R ≤25 Tinggi
9< R ≤14 Menengah Tinggi
3< R ≤9 Menengah
2< R ≤3 Menengah Rendah
≤2 Rendah
4.6.4.2. Identifikasi Risiko
Pada tahap ini yang dilakukan pertama oleh peneliti adalah
menemukan risk issue yang terdapat di PT PLN P2B. Risk issue
diperoleh dari hasil wawancara dan observasi langsung. Dari hasil
tersebut ditemukan terdapat 17 risk issue yang kemudian dikelompokan
berdasarkan aset dan skenario risiko yang telah didefinisikan oleh
COBIT. Adapun pengelompokan risiko berdasarkan aset ditampilkan
dalam tabel berikut ini:
Tabel 4. 37 Rekapitulasi risiko berdasarkan aset

No. Kategori Aset Jumlah Risk Persentase
Issue
1 Aplikasi 3 17.6%
2 Fasilitas 1 5,9%
3 Infrastruktur TI 5 29.4%
4 Informasi / Data 3 17.6%
5 Proses 2 11.8%
6 SDM 3 17.6%
TOTAL 17 100%
Berdasarkan tabel diatas terdapat 6 buah kategori aset, 3 risk issue
masuk ke dalam kategori aset aplikasi, 1 risk issue masuk ke dalam
165
kategori aset fasilitas, 5 risk issue masuk ke dalam kategori aset
infrastruktur TI, 3 risk issue masuk ke dalam kategori aset Informasi, 2
risk issue masuk ke dalam kategori aset proses, dan 3 risk issue masuk
ke dalam kategori aset SDM. Pemetaan ini dilakukan agar perusahaan
mengetahui kategori aset mana yang memiliki jumlah risk issue terbesar
dan memudahkan dalam penilaian risiko.
Setelah mengelompokan setiap risk issue kedalam 6 kategori aset,
selanjutnya risiko tersebut dikelompokan kembali berdasarkan skenario
risiko. Adapun pengelompokan berdasarkan skenario risiko ditampilkan
dalam tabel berikut ini.
Tabel 4. 38 Rekapitulasi risiko berdasarkan skenario risiko

No. Skenario Risiko Jumlah Risk Issue
1. Ageing of Application Software 1
2. Software Implementation 2
3. Utilities Performance 1
4. Infrastructure Theft 1
5. Destruction of Infrastructure 1
6. Infrastructure (Hardware) 1
7. Ageing of Infrastructural Software 1
8. Acts of Nature 1
9. Database Integrity 1
10. Logical Trespassing 1
11. Operational IT Errors 1
12. Malware 1
13. Logical Attacks 1
14. IT Staff 2
15. IT Expertise and Skills 1
Total 17
Berdasarkan tabel rekapitulasi risiko berdasarkan skenario dapat
diketahui bahwa Software Implementation dan IT staff mempunyai
166
jumlah risk issue terbanyak dengan jumlah masing-masing 2. Sebagai
contoh risk issue dari Software Implementation adalah tidak selarasnya
update software dan hardware menyebabkan software tidak dapat
dijalankan dan menyebabkan gangguan berjalannya operasional bisnis.
4.6.4.3. Hasil Penilaian Risiko terhadap Inherent Risk
Inherent Risk merupakan risiko yang dinilai tanpa memasukan
unsur pengendalian yang telah diterapkan dalam perusahaan. Penilaian
risiko terhadap inherent risk dilakukan dengan melakukan pemetaan
terhadap kelompok risiko berdasarkan aset dan skenario risiko. Adapun
rekapitulasi hasil penilaian risiko terhadap inherent risk yang disusun
berdasarkan aset ditampilkan tabel 4.30
Tabel 4. 39 Hasil penilaian risiko terhadap inherent risk berdasarkan aset

No. Kategori Aset Nilai Risiko Dasar
Rendah Menengah Menengah Menengah Tinggi
Rendah Tinggi
1 Aplikasi 2 1
2 Fasilitas 1
3 Infrastruktur TI 5
4 Informasi 1 2
5 Proses 2
6 SDM 3
Total 1 13 3
Berdasarkan tabel diatas dapat diketahui bahwa hasil penilaian
Inherent Risk terhadap 6 kategori aset memiliki 1 buah risiko yang
termasuk dalam kategori rendah menengah rendah, 12 buah risiko yang
termasuk dalam kategori menengah dan 3 buah risiko termasuk dalam
kategori menengah tinggi yaitu, aset informasi dan aset aplikasi. Kedua
167
kategori aset tersebut yang nantinya mendapat perhatian khusus untuk
diambil langkah pengendalian agar dapat turun ke level risiko yang
dapat diterima oleh perusahaan. Selanjutnya hasil penilaian inherent
risk berdasarkan aset dijadikan acuan untuk melakukan penilaian
inherent risk berdasarkan skenario risiko. Berikut ini hasil penilaian
risiko terhadap inherent risk berdasarkan skenario risiko.
Tabel 4. 40 Rekapitulasi hasil penilaian risiko terhadap inherent risk berdasarkan

skenario risiko
No. Skenario Risiko Nilai Risiko Dasar
Rendah Tinggi
1 Ageing of Application 1
Software
2 Software Implementation 1 1
3 Utilities Performance 1
4 Infrastructure Theft 1
5 Destruction of Infrastructure 1
6 Infrastructure (Hardware) 1
7 Ageing of Infrastructural 1
Software
8 Acts of Nature 1
9 Database Integrity 1
10 Logical Trespassing 1
11 Operational IT Errors 1
12 Malware 1
13 Logical Attacks 1
14 IT Staff 2
15 IT Expertise and Skills 1
Total 1 13 3
Berdasarkan tabel diatas dapat diketahui dari kelima tingkat
rating penilaian tidak terdapat risiko yang tergolong dalam kategori
rendah, terdapat satu buah risiko yang tergolong dalam kategori rendah,
terdapat 13 buah risiko dalam kategori menengah dan 3 kategori yang
tergolong menengah tinggi yaitu Software Implementation, Database
168
Integrity dan Operational IT Errors. Ketiga skenario risiko tersebut
menjadi fokus utama dalam melakukan langkah pengendalian.
4.6.4.4. Hasil Penilaian Risiko terhadap Residual Risk
Berdasarkan hasil wawancara dan diskusi dengan beberapa
perwakilan divisi TI-Telkom, diketahui bahwa PLN P2B telah
melakukan pengendalian terhadap risiko-risiko yang ada. Pengendalian
tersebut digunakan sebagai dasar untuk melakukan penilaian terhadap
risiko akhir setelah dilakukan pengendalian (Residual Risk). Dimana
dari hasil tersebut, risk issue yang memiliki nilai diatas batas risiko yang
dapat diterima oleh perusahaan (Risk Appetite) harus di kelola kembali
agar setiap risk issue tersebut dapat masuk dalam level risiko yang dapat
diterima oleh perusahan. Berikut ini adalah hasil rekapitulasi penilaian
risiko terhadap residual risk yang disusun berdasarkan aset.
Tabel 4. 41 Hasil peniliaian risiko terhadap residual risk berdasarkan kategori

aset
No. Kategori Aset Nilai Risiko Dasar
Rendah Tinggi
1 Aplikasi 3
2 Fasilitas 1
3 Infrastruktur TI 4 1
4 Informasi 1 2
5 Proses 2
6 SDM 1 2
Total 10 2 5
Berdasarkan tabel diatas dapat diketahui bahwa hasil penilaian
residual risk terhadap 6 kategori aset memiliki 10 buah risiko yang
termasuk dalam kategori rendah, 2 buah risiko yang termasuk dalam
169
kategori menengah rendah dan 5 buah risiko termasuk dalam kategori
menengah. Hasil penilaian residual risk berdasarkan aset dijadikan
acuan untuk melakukan penilaian residual risk berdasarkan skenario
risiko.
Adapun rekapitulasi hasil penilaian risiko terhadap Residual Risk
yang disusun berdasarkan skenario risiko ditampilkan dalam tabel
berikut ini.
Tabel 4. 42 Hasil penilaian risk terhadap residual risk berdasarkan skenario risiko
No. Skenario Risiko Nilai Risiko Dasar
Rendah TInggi
1 Ageing of Application 1
Software
2 Software Implementation 2
3 Utilities Performance 1
4 Infrastructure Theft 1
5 Destruction of Infrastructure 1
6 Infrastructure (Hardware) 1
7 Ageing of Infrastructural 1
Software
8 Acts of Nature 1
9 Database Integrity 1
10 Logical Trespassing 1
11 Operational IT Errors 1
12 Malware 1
13 Logical Attacks 1
14 IT Staff 1 1
15 IT Expertise and Skills 1
Total 11 1 5
Dari tabel hasil penilaian residual risk berdasarkan skenario risiko
di atas, dapat diketahui lebih rinci risiko apa saja yang memiliki nilai
residual risk di atas batas risiko yang dapat diterima oleh perusahaan.
Dari kelima kategori penilaian residual risk tersebut, terdapat 5 risiko
yang tergolong dalam kategori menengah yaitu risiko yang terkait
170
dengan Acts of Nature, Logical trespassing, Operational IT Errors, IT
Staff dan IT Expertise dan Skills. Selain itu juga terdapat 2 buah risiko
yang terdapat dalam kategori menengah rendah Database Integrity dan
IT Staff serta sisanya mengalami penurunan hingga tergolong dalam
kategori rendah. Terdapat 6 skenario risiko yang perlu diambil langkah
mitigasi
4.6.4.5. Risk Map
Setelah melakukan penilaian risiko pada seluruh risk issue
dengan menganalisis dampak dan frekuensinya. Maka setiap risk issue
tersebut dipetakan kedalam grafik dua dimensi yang disebut risk map
seperti dalam Tabel 4.43 Dengan menggunakan risk map perusahaan
dapat lebih mudah memahami rating risiko dari setiap risk issue.
Tabel 4. 43 Risk map

Impact
Sangat Sangat
Nilai Total
Kecil Kecil Sedang Besar Besar
(1) (2) (3) (4) (5)
Sangat
Jarang
(1) (11) (1) (1) 13
Jarang
(2) (1) (3) 4
Kadang
Probability
-
kadang
(3)
Sering
(4)
Sangat
Sering
(5)
Total 12 4 1
171
Berdasarkan risk map di atas, untuk mengetahui rating risiko
didapat dari perkalian nilai impact dan probability. Dari hasil tersebut
diketahui bahwa distribusi risiko berdassarkan dampaknya yang
termasuk dalam kategori kecil ada 12 buah risiko, kategori sedang 4
buah risiko dan besar 1 risiko. Sedangkan dari sisi kecenderungan
(probability), dalam kategori sangat jarang terdapat 13 buah risiko dan
kategori jarang tedapat 4 buah risiko.
Dari risk map dapat diketahui ada 6 risk issue yang masih berada
di luar batas risiko yang dapat diterima perusahaan. Oleh karena itu
perlu diambil langkah mitigasi pada setiap risk issue tersebut.
4.7. Reporting the Result
Pada tahap ini mengulas hasil laporan dan hasil penilaian dari tahap – tahap
sebelumnya. Disini dipaparkan gaps dan kesenjangan yang terdapat pada setiap
proses serta rekomendasi untuk mencapai tingkat kapabilitas proses yang
diharapkan oleh PT PLN P2B Jawa Bali. Selain itu untuk melengkapi proses
evaluasi risiko, pada tahap ini peneliti memberikan saran mitigasi berdasarkan
penilaian risiko yang telah peneliti buat.
4.7.1. Hasil Analisis Capability Level
Berikut ini merupakan hasil dari penilaian capability level secara
keseluruhan dari proses proses yang telah dilakukan penilaian:
1. Capability Level saat ini (as is) pada proses EDM03 Ensure Risk
Optimisation berada pada level 3 (Established Process) dengan nilai
kapabilitas 2.59 sedangkan untuk capability level yang diharapkan (to
172
be) berada pada level 4 (Predictable Process) dengan nilai kapabilitas
3.76.
2. Capability Level saat ini (as is) pada proses APO12 Manage Risk
berada pada level 3 (Established Process) dengan nilai kapabilitas
2.73 sedangkan untuk capability level yang diharapkan (to be) berada
pada level 4 (Predictable Process) dengan nilai kapabilitas 3.73.
Berdasarkan data hasil penilaian pada masing – masing proses,
selanjutnya penulis memberikan rekomendasi sebagai usulan perbaikan agar
tercapainya kondisi yang diharapkan pada masing – masing proses sesuai
dengan standar COBIT 5.
4.7.2. Gap dan Rekomendasi proses EDM03
Nilai yang didapat pada penilaian capability level berada pada level 3
dengan kondisi yang diharapkan berada pada level 4, untuk tercapainya
tingkat kapabilitas tersebut, gap dan rekomendasi ini didapat dari hasil
pemenuhan proses yang sudah dipaparkan pada tahap Process Attribute
Level sehingga rekomendasi yang diberikan sesuai dengan kebutuhan
organisasi saat ini. Adapun hasil rekapitulasi adalah sebagai berikut:
Tabel 4. 44 Capability level pada proses EDM03

Process Process Capalibility Level
Name 0 1 2 3 4 5
F L Target
100 % 83.33% Level
F 2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2
EDM03
100%
F F F L
100% 100% 100% 66,67%
Ket: N(Not Achieved, 0-15%) P(Partially Achieved,>15%-50%) L(Largely
Achieved,>50%-85%) F(Fully Achieved,>85%-100%)
173
Berdasarkan tabel diatas diketahui indikator kapabilitas pada level 1
sudah tercapai 100% dalam kategori Fully Achieved, sehingga penilaian
lanjut pada level berikut. Indikator kapabilitas pada level 2, terdapat 2 poin
yang harus dipenuhi yaitu Performance Management dan Work Product
Management yang dimana keduanya sudah tercapai 100%. Sehingga nilai
capability level pada level 3 masih termasuk dalam kategori Largely
Achieved dengan persentase 83.33%. Pada level 3 juga terdapat 2 poin yang
harus dipenuh yaitu Process Definition dan Process Deployment. Pada
Process Definition sudah mencapai level 100% sedangkan pada Process
Deployment hanya mencapai 66,67%. Sebelum fokus untuk mencapai pada
tingkat yang diharapkan. PLN P2B dianjurkan untuk memenuhi gaps yang
terdapat pada level-level sebelumnya. Berikut ini adalah rekomendasi yang
berikan oleh peneliti sesuai dengan temuan yang didapatkan pada tahap
pemenuhan indikator kapabilitas:
Tabel 4. 45 Gaps dan Rekomendasi EDM03

EDM03 Ensure Risk Optimisation
Gaps Rekomendasi
Belum teridentifikasinya ✓ PLN P2B direkomendasikan
pengidentifikasian tanggung jawab untuk melaksanakan
pada proses optimasi risiko. pembagian peran dan tanggung
Walaupun sudah adanya dokumen jawab sesuai dengan dokumen
terkait, tapi pembagian peran dan KPI. Selain itu akan lebih baik
tanggung jawab masih sebatas jika PLN P2B menyesuaikan
diatas kertas. Khususnya dalam keahlian SDM dengan peran
optimasi risiko, karena masih dan tanggung jawabnya.
belum ada kejelasan dengan siapa Terutama untuk pengoptimalan
yang bertanggung jawab. risiko, dibuat tim khusus pada
divisi TI atau individu yang
bertanggung jawab penuh atas
proses pengoptimalan risiko.
Belum teridentifikasinya proses ✓ PLN P2B direkomendasikan
penyediaan sumber daya dan untuk menyediakan sumber
174
EDM03 Ensure Risk Optimisation
Gaps Rekomendasi
informasi untuk mendukung daya dan informasi yang dapat
performa optimasi risiko mendukung performa dalam
mengoptimasi risiko, salah
satunya dengan memberikan
pelatihan terkait penerapan
optimasi risiko untuk
meningkatkan kompetensi
SDM
Belum ditemukannya dokumen ✓ Divisi TI-Telkom harus
dalam mengidentifikasi proses melakukan identifikasi terkait
penyediaan infrastruktur yang infrastruktur apa saja yang
layak dapat mengurangi
kemungkinan ada risiko yang
dijalankan. Mengidentifikasi
setiap infrastruktur yang
bersifat vital dan memiliki
nilai risiko yang tinggi.
Belum optimalnya divisi TI dalam ✓ Mendokumentasikan
merespon sebuah perubahan risiko mekanisme yang tepat dalam
dengan cepat mengelola sebuah perubahan
risiko secara rinci dengan
melakukan proses identifikasi
terhadap risiko risiko apa saja
yang tidak terduga, seperti
teknologi baru.
Belum ditemukan adanya proses ✓ Divisi TI PLN P2B
menentukan teknik analisis dan direkomendasikan untuk
kontrol performa optimasi risiko mendokumentasikan detail
pengontrolan (matriks kontrol)
optimasi risiko dan
mengimplementasikan rencana
pengendalian.
Berdasarkan tabel diatas diketahui terdapat 5 gap yang harus dipenuhi
oleh PLN P2B agar dapat memenuhi persyaratan ke level 3 pada proses
EDM03. salah satunya PLN P2B direkomendasikan untuk menyediakan
sumber daya dan informasi yang dapat mendukung performa dalam
mengoptimasi risiko, Salah satunya dengan memberikan pelatihan terkait
175
penerapan optimasi risiko untuk meningkatkan kompetensi SDM. Sehingga
dapat memenuhi gap belum teridentifikasinya penyediaan sumber daya
informasi. Sebelum melakukan proses pada level selanjutnya, PLN P2B
diharuskan untuk memenuhi perbaikan yang ada di level level sebelumnya.
4.7.3. Gap dan Rekomendasi proses APO12
Nilai yang didapat pada penilaian capability level berada pada level 3
dengan kondisi yang diharapkan berada pada level 4, untuk tercapainya
tingkat kapabilitas tersebut, gap dan rekomendasi ini didapat dari hasil
pemenuhan proses yang sudah dipaparkan pada tahap Process Attribute
Level sehingga rekomendasi yang diberikan sesuai dengan kebutuhan
organisasi saat ini. Adapun hasil rekapitulasi adalah sebagai berikut:
Tabel 4. 46 Capability level pada proses APO12

Process Process Capalibility Level
Name 0 1 2 3 4 5
F L Target
100 % 73.33% Level
F 2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2
APO12
86.67%
F F F L
100% 100% 80% 66.67%
Ket: N(Not Achieved, 0-15%) P(Partially Achieved,>15%-50%) L(Largely
Achieved,>50%-85%) F(Fully Achieved,>85%-100%)
Berdasarkan tabel diatas diketahui indikator kapabilitas pada level 1
baru mencapai 86.67% walaupun sudah masuk dalam kategori Fully
Achieved, tetapi masih terdapat beberapa Work Products yang harus dipenuhi
agar penilaian pada level 1 mencapai 100%. Penilaian lanjut pada level
berikutnya. Indikator kapabilitas pada level 2, terdapat 2 poin yang harus
dipenuhi yaitu Performance Management dan Work Product Management.
176
keduanya sudah tercapai 100%. Pada level 3 nilai capability level pada masih
termasuk dalam kategori Largely Achieved dengan persentase 73.33%. Pada
level 3 juga terdapat 2 poin yang harus dipenuh yaitu Process Definition dan
Process Deployment. Pada Process Definition mencapai level 80%
sedangkan pada Process Deployment hanya mencapai 66,67%. Sebelum
fokus untuk mencapai pada tingkat yang diharapkan. PLN P2B dianjurkan
untuk memenuhi gaps yang terdapat pada level-level sebelumnya. Berikut
ini adalah rekomendasi yang berikan oleh peneliti sesuai dengan temuan
yang didapatkan pada tahap pemenuhan indikator kapabilitas:
Tabel 4. 47 Gaps dan Rekomendasi APO12

APO12 Manage Risk
Gaps Rekomendasi
Belum adanya dokumen yang ✓ Divisi TI-Telkom PLN P2B
menjelaskan lingkup dari analisis direkomendasikan untuk
risiko.Terkhusus untuk lingkup TI. menentukan lingkup upaya
analisis risikonya. Yang berisi
dari Batasan unit/instansinya
tentang apa saja kegiatan dan
strateginya. Siapa pemilik
risikonya dan luasnya.
Direkomendasikan untuk
membuat analisis risiko
dengna lingkup Divisi TI-
Telkom PLN P2B
Belum teridentifikasinya proses ✓ Dalam mengelola risiko, PLN
penyediaan sumber daya dan P2B direkomendasikan untuk
informasi untuk mendukung menyediakan sumber daya dan
performa optimasi risiko informasi yang dapat
mendukung performa dalam
mengoptimasi risiko, salah
satunya dengan memberikan
pelatihan terkait penerapan
optimasi risiko untuk
meningkatkan kompetensi
SDM
Tidak adanya hasil penilaian oleh ✓ Direkomendasikan PLN P2B
pihak ketiga. bekerja sama dengan pihak
177
APO12 Manage Risk
Gaps Rekomendasi
ketiga dalam melakukan
penilaian risiko guna
melengkapi internal audit.
Mendapatkan validitas dari
pihak yang telah bersertifikasi.
Belum ditemukan adanya metode ✓ Divisi TI-Telkom
yang sesuai untuk manajemen Direkomendasikan mencari
risiko metode yang sesuai untuk
proses manajemen risiko.
Lakukan perbandingan
metode, agar dapat ditemukan
metode yang sesuai.
Belum ditemukannya dokumen ✓ Divisi TI harus melakukan
dalam mengidentifikasi proses identifikasi terkait infrastruktur
penyediaan infrastruktur yang layak apa saja yang dapat
mengurangi kemungkinan ada
risiko yang dijalankan
Belum adanya entitas perusahaan ✓ Divisi TI direkomendasikan
yang secara khusus mengawasi dan untuk menyediakan staff IT
memiliki akuntabilitas untuk yang secara khusus
melakukan hal tersebut. bertanggung jawab dalam
proses monitoring dan evaluasi
terhadap proses pengelolaan
risiko
Belum optimalnya penggunaan ✓ PLN P2B direkomendasikan
SOP terkait dengan pengelolaan untuk mengupdate SOP yang
database digunakan saat ini, agar lebih
efektif menyesuaikan dengan
kondisi yang ada pada saat ini.
4.7.4. Hasil Penilaian Risiko
Berdasarkan hasil penilaian yang peneliti lakukan dengan mencari
nilai dampak dan probability dari setiap risk issue yang telah teridentifikasi
dapat diketahui besarnya nilai suatu risiko. Berikut ini adalah risiko-risiko
yang memiliki nilai residual risk diatas batas risk appetite sesuai dengan
hasil rekapitulasi penilaian riisko yang telah peneliti lampirkan pada
dokumen lampiran 4. Setelah itu digambarkan dalam risk map seperti yang
178
tertera pada tabel 4.43. Berikut ini merupakan risiko-risiko yang melebihi
batas risk appetite perusahaan sesuai dengan yang digambarkan dalam risk
map.
Tabel 4. 48 Hasil nilai risiko

No Skenario Risiko Nilai Risiko
1. Logical Trespassing 6
2. Operational IT Errors 6
3. IT Staff 6
4. IT Expertise Skills 6
5. Acts of Nature 4
6. Database Integrity 3
Berdasarkan tabel diatas diketahui terdapat 6 risiko yang perlu diambil
tindakan langkah mitigasi guna mengurangi nilai risikonya. 5 risk issue
berada dalam kategori menengah dan 1 risk issue berada dalam kategori
menengah rendah. Karena sesuai standar parameter rating yang digunakan
kategori risiko yang masih dapat ditoleransi adalah risiko yang berada dalam
kategori rendah dengan nilai ≤ 2. Pada skenario risiko Logical Trespassing,
Operational IT Errors, IT Staff, IT Expertise Skills semua sama mempunyai
nilai 6, sedangkan skenario risiko Acts of Nature mempunyai nilai 4 dan
skenario risiko Database Integrity mempunya nilai 3.
4.7.5. Mitigasi Risiko
Berikut ini adalah saran langkah mitigasi terhadap 6 risiko yang
berada diatas batas risk appetite yang peneliti rekomendasikan untuk
mengurangi nilai risiko sesuai dengan panduan COBIT:
179
Tabel 4. 49 Langkah mitigasi risiko
Skenario Risiko Langkah Mitigasi
1. Acts of Nature ✓ Menentukan dan
Deskripsi Risiko: mengimplementasikan langkah
Kerusakan yang diakibatkan pengamanan fisik sesuai dengan
bencana alam, kebakaran persyaratan. Salah satunya
dengan menempatkan database
server di tempat yang aman.
✓ Mengembangkan IT Continuity
Plans berdasarkan kerangka kerja
yang didesain untuk mengurangi
dampak terhadap fungsi dan
proses bisnis utama. Dengan
membuat DRP (Disaster
Recovery Plan)
2. Database Integrity ✓ Menentukan dan menerapkan
Deskripsi: prosedur untuk backup dan
Gagal migrasi data restorasi sistem, aplikasi, data
dan dokumentasi sesuai dengan
kebutuhan bisnis dan rencana
kontinuitas
✓ Secara berkala meninjau data
konfigurasi untuk memverifikasi
dan mengkonfirmasi integritas
konfigurasi, meninjau software
yang terinstall terhadap kebijakan
penggunaan perangkat lunak
terkait lisensi.
✓ Menetapkan dan menerapkan
prosedur penyimpanan data yang
efektif dan efisien, pengarsipan
yang efektif dan efisien untuk
memenuhi tujuan bisnis.
Kebijakan keamanan dan
persyaratan peraturan organisasi
3. Logical Trespassing ✓ Memastikan semua pengguna
Deskripsi: dan aktivitasnya pada sistem TI
Akses ilegal ke dalam sistem (Aplikasi bisnis, lingkungan TI,
operasi sistem, pengembangan
dan pemeliharaan) dapat dikenali
✓ Mengkonfirmasi hak akses
pengguna terhadap sistem dan
data sesuai dengan bisnis yang
didefinisikan dan terdokumentasi
✓ Memastikan hak akses pengguna
disetujui oleh pemilik sistem dan
180
diterapkan oleh orang
bertanggung jawab terhadap
keamanan
4. Operational IT Errors ✓ Menentukan, menerapkan dan
Deskripsi Risiko: mempertahankan prosedur
Kesalahan pada input data operasi TI, memastikan anggota
staf operasi terbiasa dengan
semua tugas operasi yang
relevan.
✓ Menetapkan masukan data agar
dilakukan tepat waktu oleh staf
yang sudah diberikan tanggung
jawab dan wewenang
✓ Koreksi dan penyampaian ulang
data yang keliru dimasukan harus
dilakukan tanpa mengorbankan
tingkat otorisasi transaksi.
5. IT Staff ✓ Melaksanakan proses untuk
Deskripsi Risiko: memastikan bahwa organisasi
Kurangnya peran orang yang memiliki tenaga kerja TI yang
bertanggung jawab tepat digunakan dengan
keterampilan yang diperlukan
untuk mencapai tujuan
organisasi.
✓ Memberikan pelatihan yang
sesuai untuk mempertahankan
keterampilan, kemampuan,
kontrol internal dan kesadaran
keamanan pada tingkat yang
dibutuhkan untuk mencapai
tujuan
✓ Memahami kebutuhan akan
sumber daya TI saat ini dan masa
depan berdasarkan pandangan TI
terkini dan pandangan ke depan
dari investasi portofolio
✓ Kenali dan memberikan
perhatian khusus pada personil TI
yang kurang dan siapa yang
dibutuhkan.
6. IT Expertise and Skills ✓ Melaksanakan proses untuk
Deskripsi Risiko: memastikan bahwa organisasi
Adanya gap terkait kemampuan memiliki tenaga kerja TI yang
yang dimiliki oleh staff IT tepat digunakan dengan
keterampilan yang diperlukan
181
untuk mencapai tujuan
organisasi.
✓ Memberikan pelatihan yang
sesuai untuk mempertahankan
keterampilan, kemampuan,
kontrol internal dan kesadaran
keamanan pada tingkat yang
dibutuhkan untuk mencapai
tujuan.
4.8. Pembahasan
Pada hasil assessment risk, risiko yang teridentifikasi digambarkan melalui
risk map, hal ini sesuai dengan teori dari ISACA (2009), yaitu tehnik yang umum
dan mudah untuk mempresentasikan risiko adalah dengan menggunakan Risk Map,
dimana risiko diplot pada diagram dua dimensi, dengan frekuensi dan dampak pada
dimensinya representasi risk map sangat kuat dan memberikan pandangan yang
lengkap tentang risiko TI dan area tindakan yang jelas. Hal ini juga sejalan dengan
penelitian Samaptoaji (2014) yang menggunakan risk map dan membaginya dalam
5 kategori risiko.
Selain itu pada hasil risk assessment didapatkan rekomendasi berupa
implementasi DRP. Hal ini sesuai dengan teori dari ISACA (2009), tentang
penerapan bussines IT continuity plan pada skenario Database Integrity dan Acts of
Natures. Hal ini sejalan dengan penelitian dari Lozupone (2017) yang menerapkan
DRP pada rekam medis, yang dimana menurutnya sangat penting untuk sebuah
bisnis mempunyai strategi yang valid untuk mengembalikan data mereka dari
bencana.
182
Berdasarkan hasil analisis gap pada proses EDM03 dan APO12 yang telah
dijabarkan pada tabel 4.45 dan 4.46 peneliti memberikan rekomendasi berupa
penyesuaian keahlian SDM dengan peran dan tanggung jawabnya. Terutama untuk
pengoptimalan risiko, dibuat tim khusus pada divisi TI atau individu yang
bertanggung jawab penuh atas proses pengoptimalan risiko. Serta
mendokumentasikan mekanisme yang tepat dalam mengelola sebuah perubahan
risiko secara rinci dengan melakukan proses identifikasi terhadap risiko risiko apa
saja yang tidak terduga, seperti teknologi baru.
Berdasarkan hasil assessment risk, peneliti memberikan rekomendasi dari
langkah mitigasi seperti yang ada tabel 4.47. Salah satunya dengan menentukan dan
mengimplementasikan langkah pengamanan fisik sesuai dengan persyaratan. Salah
satunya dengan menempatkan database server di tempat yang aman. Serta
mengembangkan IT Continuity Plan berdasarkan kerangka kerja yang didesain
untuk mengurangi dampak terhadap fungsi dan proses bisnis utama. Dengan
membuat DRP (Disaster Recovery Plan). Karena DRP dapat mengurangi
kebingungan yang terjadi saat ada bencana dan meningkatkan kemampuan
organisasi saat menghadapi keadaan krisis. Dengan menerapkan DRP peruhsaaan
dapat terlindung dari kegagalan layanan komputer utama, meminimalisasi riisko
organisasi akibat delay saat penyediaan layanan, dapat menjamin kehandalan dari
sistem serta dapata meminimalisasi proses pengambilan keputusan oleh
personal/manusia selama bencana.
Penelitian ini memiliki beberapa keterbatasan yaitu, ruang lingkup penelitian
hanya pada divisi TI saja. Sehingga penentuan narasumber pun berdasarkan struktur
183
organisasi divisi TI. Serta penelitian ini hanya sampai tahap penilaian dan
pemberian rekomendasi saja tidak sampai tahap implementasi.
184
113
BAB V
KESIMPULAN DAN SARAN
5.1. Kesimpulan
Setelah melakukan evaluasi manajemen risiko TI di PT PLN P2B dengan
mengetahui tingkat kemampuan dalam mengelola risiko serta menganalisis dan
melakukan penilaian terhadap risiko-risiko yang ada dengan menggunakan
framework COBIT 5 maka dapat disimpulkan sebagai berikut:
1. Berdasarkan hasil perhitungan tingkat kapabilitas saat ini (as is) Divisi TI-
Telkom PLN P2B dalam mengelola risiko TI rata rata berada berada pada level
3 (Established Process). Sementara tingkat kapabilitas yang diharapkan dalam
mengelola risiko TI berada pada level 4 (Predictable Process)
2. Berdasarkan hasil penilaian risiko terdapat 17 risk issue dalam penggunaan TI.
Secara umum tingkat risiko TI adalah rendah yaitu 64,7% (11 risk issue) dan
35,29% (6 risk issue) yang tingkat risikonya di atas batas risk appetite.
3. Besarnya gap yang terbentuk antara nilai capability saat ini dan nilai capability
yang diharapkan adalah sebesar 1. Hal ini terlihat dari belum adanya entitas
perusahaan yang secara khusus mengawasi dan memiliki akuntabilitas untuk
melakukan hal tersebut.
4. PLN P2B direkomendasi menentukan dan menerapkan prosedur untuk backup
dan restorasi sistem, aplikasi, data dan dokumentasi sesuai dengan kebutuhan
bisnis dan rencana kontinuitas.
185
5. PLN P2B direkomendasikan mengembangkan IT Continuity Plan berdasarkan
kerangka kerja yang didesain untuk mengurangi dampak terhadap fungsi dan
proses bisnis utama.
5.2. Saran
Berdasarkan kesimpulan dan evaluasi, peneliti memberikan saran yang dapat
dijadikan pertimbangan oleh penelitian selanjutnya yakni sebagai berikut:
1. Penelitian selanjutnya disarannkan dapat menggunakan ruang lingkup yang lebih
luas agar informasi yang didapatkan tidak hanya dari divisi TI saja, tapi juga dari
top level management.
2. Penelitian selanjutnya disarankan untuk menggunakan metode atau kerangka
kerja lain dalam mengukur capability level dari penerapan manajemen risiko
teknologi informasi. Seperti ISO 31000, NIST 800-300, OCTAVE, COSO ERM,
atau framework manajemen risiko lainnya
3. Penelitian selanjutnya diharapkan dapat dilanjutkan sampai tahap perancangan
dan implementasi.
186
185
DAFTAR PUSTAKA
Arikunto, S. (2010). Prosedur Penelitian Suatu Pendekatan Praktik. Jakarta:

Rineka Cipta.
Fauziyah. (2010). Pengantar Teknologi Informasi. Bandung: Muara Indah.
Fitroh (2012). Penilaian Tingkat Kematangan Tata Kelola TI pada Sistem
Informasi Manajemen Akademik. SNATI
Fitroh, Siregar, s., & Rustamaji, E. (2017). Determining Evaluated Domain Process
through Problem Identification using COBIT 5 Framework. Cyber and IT
Service Management. 108
Hakim, A., Saragih, H., & Suharto, A. (2014), Evaluasti Tata Kelola Teknologi
Informasi dengan Framework COBIT 5di Kementerian ESDM
Handeri. (2014). Good IT Governance: Framework and Prototype for Higher
Education, (1), 1–5. https://doi.org/10.1007/s13398-014-0173-7.2
Husein, G. & Imbar R. (2015), Analisis Manajemen Risiko Teknologi Informasi
Penerapan Pada Document Management System di PTJabar Telematika.
Jurnal Teknik Informatika dan Sistem Informasi. Bandung
Indrajit, R. E. (2014). Manajemen Organisasi dan Tata Kelola Teknologi Informasi.
Graha Ilmu.
ISACA. (2009), The Risk IT Practitioner Guide . USA
ISACA. (2009). The Risk IT Framework Excerpt. USA.
ISACA. (2012), COBIT 5 For Risk . USA
ISACA. (2012). COBIT 5 A Business Framework for the Governance and

Management of Enterprise IT. USA: IT Governance Institute.
ISACA. (2012). COBIT 5 Enabling Processes. USA: IT Governance Institute.
ISACA. (2013). COBIT 5 Process Assessment Model. USA: IT Governance
Institute.
ITGI. (2007). COBIT 4.1. USA: IT Governance Institute.
Jogiyanto. (2008). Metodologi Penelitian Sistem Informasi. Yogyakarta: Andi.
Jogiyanto, H., & Abdillah, W. (2011). Sistem Tata Kelola Teknologi Informasi.
Yogyakarta: Andi.
Kasidi. (2010). Manajemen Risiko. Bogor: Ghalia Indonesia.
187
Lozupone, V. (2017). Disaster recovery plan for medical records company.
International Journal of Information Management, 37(6), 622–626.
https://doi.org/10.1016/j.ijinfomgt.2017.05.015
Novia, A., Yanuar, R., W, F. A., & Dwi, D. J. (2015). Analisis Risiko Teknologi
Informasi Berbasis Risk Management Menggunakan ISO Information
Technology Risk Analysis Based On Risk Management Using Iso 31000 (
Case Study : i-Gracias Telkom University ), 31000(2), 6201–6208.
Nurcahyono, D., & Djunaedi, A.(2013) Evaluasi Pelaksanaan Manajemen Risiko
Teknologi Informasi pada Kantor Arsip Daerah Kota Samarinda dengan
Menggunakan The Risk IT Framework. JNTETI
Pratama, Enda E., & Suhardi (2013) Analisis Nilai & Manajemen Risiko Teknologi
Informasi (Studi Kasus PT Bank Tabungan Negara, Tbk). Bandung:
Institute Teknologi Bandung
Sarno, R. (2009). Audit Sistem dan Teknologi Informasi. Surabaya: ITS Press.
Samaptoaji, S. (2014) evaluasi pengelolaan risiko teknologi informasi pada
Instansi Pemerintah : Studi Kasus Direktorat Jenderal Kependudukan dan
Pencatatan Sipil Kementerian Dalam Negeri. Jakarta : Universitas
Indonesia
Shamala, P., Ahmad, R., Zolait, A., & Sedek, M. (2017). Integrating information
quality dimensions into information security risk management (ISRM).
Journal of Information Security and Applications, 36, 1–10.
https://doi.org/10.1016/j.jisa.2017.07.004Handeri. (2014). Good IT
Governance: Framework and Prototype for Higher Education, (1), 1–5.
https://doi.org/10.1007/s13398-014-0173-7.2
Snedaker, S., & Rima, C. (2014). Business Continuity and Disaster Recovery
Planning for IT Professionals Business Continuity and Disaster Recovery
Planning for IT Professionals Second Edition.
Sugiyono. (2015). Metode Penelitian Kuantitatif, Kualitatif dan R&D (22nd ed.).
Alfabeta.
Surendro , K. (2009). Implementasi Tata Kelola Teknologi Informasi. Bandung:
Informatika.
Suwarno, F. R. (2014). Evaluasi Tata Kelola Teknologi Informasi Menggunakan
Framwork COBIT 5 Fokus pada Proses Manage Relationship (APO08)
Studi Kasus: PT Oto Multiartha.
Tampubulon, Anthon R (2015), Manajemen Risiko Teknologi Informasi
Menggunakan Framework ISO 31000:2009 Studi Kasus : Pembobolan
ATM BCA Tahun 2010. Bandung: Institute Teknologi Bandung.
188
Westerman, George and Richard Hunter. (2007). IT Risk: Turning Business Threats
Into Competitive Advantage. Harvard Business School Press
189
LAMPIRAN-LAMPIRAN
190
Lampiran 1 – Wawancara
WAWANCARA 1
PT.PLN PUSAT PENGATUR BEBAN JAWA-BALI
Nama : Bagus Widyantoro

Jabatan : Supervisor TI
Tanggal : Jakarta, 29 September 2017
1. Apa visi dan misi dari PT.PLN P2B ?

Jawab :
Visi
“To Be A World Class System Operator in 2020”
Misi
▪ Mengelola operasi sistem tenaga listrik.
▪ Melakukan dan mengelola penyaluran tenaga listrik tegangan tinggi
secara efektif, efisien, andal dan akrab lingkungan
▪ Mengelola transaksi tenaga listrik secara kompetetif, transparan dan
andil.
2. Bagaimana struktur organisasinya?

Jawab : Struktur organisasi PT. PLN P2B berdasarkan Perdir.0034.P//2017
3. Apa tugas dan wewenang yang dijalankan dari Divisi TI PLN P2B?
Jawab :
▪ Deputi Manajer Teknologi Informasi dan Telekomunikasi
bertanggung jawab mengendalikan fungsi pengelolaan database,
fungsi aplikasi informasi, fungsi jaringan data, sekuriti data dan
layanan agar diperoleh sistem teknologi informasi yang handal sesuai
dengan Enterprise Information Architecture Planning / Information
Technology Master Plan / Information Technology Planning PLN, serta
mengelola peralatan telekomunikasi untuk ketersediaan fungsi link
komunikasi backbound 500kV, 150kV dan 70kV.
▪ Supervisor Teknologi Informasi bertanggung jawab mengelola dan
mengkoordinir perancangan, pengembangan serta pemeliharaan
infrastruktur teknologi informasi agar handal dan efisien, Memonitor
dan mengevaluasi ketersediaan aplikasi dan pengembangannya andal,
aman, mudah dipakai (user friendly), serta sesuai dengan kebutuhan.
▪ Divisi Infrastruktur Teknologi Informasi bertanggung jawab
membuat usulan perancangan serta melaksanakan pemeliharaan
infrastruktur Teknologi Informasi agar handal dan efisien,
melaksanakan rencana pemeliharaan dan pengembangan fasilitas
hardware TI untuk memenuhi persyaratan sistem sesuai roadmap TI,
memelihara server – server di kantor P2B agar dapat digunakan
secara optimal, serta melaksanakan pengelolaan sekuriti infrastruktur
jaringan agar dapat bekerja secara optimal.
▪ Divisi Aplikasi Sistem Teknologi Informasi bertanggung jawab
memastikan ketersediaan aplikasi dan pengembangan yang andal,
aman, mudah dipakai (user friendly), serta sesuai dengan kebutuhan.
Melaksanakan usulan dan renacana kerja dari fungsi pengelolaan
database untuk dimintakan persetujuan serta membantu bidang
memperoleh informasi secara cepat dan akurat.
4. Apa saja sistem informasi / sistem yang digunakan (aplikasi internal)? Dan apa
kegunaannya?
Jawab : Untuk aplikasi enterprise kita ada website yang di kelola dan SAP tapi
hanya sebagai user sedangkan aplikasi lokal, kita mempunyai aplikasi yang
mendukung operasional sebagai core bisnis kita untuk mempercepat pengambilan
keputusan dalam membeli listrik dari pembangkit. Lalu kita juga ada aplikasi
untuk surat menyurat dari pihak internal. Dan masih banyak sistem yang
digunakan untuk mendukung proses yang berjalan.
5. Apa terdapat kendala / hambatan dari penggunaan atau dalam pengoperasionalan

sistem tersebut?
Jawab : Kendalanya kalau pada divisi TI ada di pengelolaan server, karena
beberapa kali terjadi insiden terkait dengan server. Selain itu adanya perubahan
kebutuhan sistem yang tidak diiringin dengan dukungan dari top level.
6. Apa ada SOP dalam setiap pengoperasionalan sistem tersebut?

Jawab : Beberapa sudah ada.
7. Apa saja solusi yang dilakukan oleh Divisi TI?

Jawab : Penambahan pada infrastruktur server dan melakukan komunikasi dengan top
level management
8. Siapa saja yang menggunakan sistem informasi tersebut?
Jawab : Kebanyakan aplikasi digunakan hanya untuk pihak internal saja. Dan
aplikasi tertentu yang hanya digunakan oleh bagian bagian tertentu. Terkadang
ada permintaan aplikasi oleh bagian keuangan, yang memakai tentunya orang
keuangan saja.
9. Apakah ada pelatihan dari divisi IT untuk user?

Jawab : Ada, kita mempunyai pelatihan rutin dari pusat setiap tahun.
10. Apakah penerapan TI di perusahaan sudah memenuhi / memberikan dampak bagi

pencapaian tujuan PLN?
Jawab : Untuk saat ini sudah cukup. Dengan adanya TI di perusahaan
membantu berjalannya proses bisnis PLN P2B. Tanpa TI proses bisnis dapat
berjalan hanya saja, memekan waktu yang lebih lama
WAWANCARA 2
PT.PLN PUSAT PENGATUR BEBAN JAWA-BALI
Nama : Bagus Widyantoro

Jabatan : Supervisor TI
Tanggal : Jakarta, 12 Oktober 2017
1. Berdasarkan hasil wawancara sebelumnya, divisi TI memiliki proses perencanaan dan

kebijakan TI, penyediaan sarana infrastruktur, pengelolaan data, pemeliharaan kualitas,
pengoperasian dan pemeliharaan layanan, pengamanan jaringan, dan user support yang
mendukung proses kerja?
Jawab : Ya, betul.
2. Dari setiap proses tersebut, proses apa saja yang menurut bapak dikategorigan kritikal?
Mempunyai dampak yang signifikan pada proses bisnis?
Jawab : Proses pengelolaan data, karena proses tersebut yang sangat berpengaruh pada
proses bisnis PLN P2B. Sifatnya sangat kritikal. Kedua penyediaan sarana
insfrastruktur.
3. Apakah semua proses diatas sudah dibakukan dalam bentuk SOP?

Jawab : Belum semuanya, tapi beberapa sudah ada yang dibekukan dalam bentuk SOP.
4. Bagaimana dengan efektivitas SOP sebagai kontrol mengendalikan risiko?

Jawab : Belum terlalu efektif, karena perlu adanya penilaian risiko sendiri.
5. Apakah bapak setuju setiap aktivitas dalam memberikan layanan TI selalu mengandung risiko?
Jawab : Ya, setuju.
6. Apakah risiko tersebut perlu di kelola?

Jawab : Pasti, karena jika tidak dikelola dengan baik pasti akan ada dampak kerugian
yang diterima oleh PLN.
7. Mengapa pengelolaan risiko TI sangat penting untuk organisasi?

Jawab : Supaya tau antisipasinya sehingga dapat diminamilisir kerugiannya jika terjadi.
8. Insiden apa yang pernah terjadi dan mendapatkan perhatian serius dari manajemen?
Jawab : Insiden kegagalan migrasi data, terjadi pada saat PLNP2B ingin menambahkan
database server dari 3 node ke 6 node. Ketika akan di migrasikan terdapat error. Sehingga
data mengalami corrupt.
9. Disebabkan oleh apa insiden tersebut?

Jawab : Gagal update, migrasi data error Ketika akan di migrasikan terdapat error.
Sehingga data mengalami corrupt. Terlebih back-up yang kita punya juga tidak secara
real time memback-up.
10. Dampak dari terjadinya insiden tersebut?
Jawab : Downtime selama 24 jam dan menyebabkan kerugian kurang lebih 8 Miliar /
jam. Data data selama sebulan hilang, dan semua harus dinput kembali secara manual
11. Langkah kendali apa yang dilakukan PLN untuk mengurangi risiko tersebut?
Jawab : Mengulang dari 0 dimulai dari : 1) Recovery data, 2) membuat SOP dan
mengupdate setiap 6 bulan sekali, 3) ORACLE data guard
12. Seberapa sering risiko tersebut terjadi?

Jawab : Terjadi hanya sekali tapi dampak yang di timbulkan sangat luar biasa.
13. Seberapa efektifkah kendali tersebut?

Jawab : Sementara sudah cukup efektif, tetapi untuk ke depan kami tetap akan terus
memperbaiki
14. Dari kelima level risiko, ST, T, S, R, SR, level risiko mana yang masih dapat diterima oleh
PLN?
Jawab : SR, sangat rendah
15. Seberapa besar tingkat sensifitas informasi yang dikelola?

Jawab : Sangat tinggi karena informasi disini bersifat rahasia.
16. Dampak potensial terhadap organisasi jika informasi diungkapkan kepada personel yang tidak
berhak?
Jawab : Rugi secara finansial.
17. Seberapa besar tingkat ketergantungan terhadap layanan TI untuk menjalankan tugas pokok
dan fungsi organsisasi?
Jawab : Sebenarnya PLN P2B tanpa TI pun tetap bisa berjalan, hanya saja tanpa TI
semua pekerjaan dilakukan secara manual. Dengan menggunakan TI sangat membantu
dalam pengambilan keputusan dan kinerja menjadi lebih cepat. Contoh saja dalam
penentuan keputusan dalam membeli pasokan listrik. Diperlukan analisis cepat untuk
mengambil keputusan secara cepat dan tepat. Untuk itu TI berperan dalam
mempermudah pengambilan keputusan
Lampiran 2 – Kuesioner
Kuesioner Pra-Penelitian
KUESIONER
EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI PADA DOMAIN

ALIGN, PLANNING AND ORGANISE DI PLN P2B
CAPABILITY MODEL
Kuisoner ini adalah bagian dari penelitian skripsi mahasiswa Program Studi
Sistem Informasi, Fakultas Sains dan Teknologi, UIN Syarif Hidayatullah Jakarta,
yang bertujuan untuk mendapatkan data dan pendapat Bapak/Ibu mengenai manajemen
risiko di PLN P2B sebagai pihak yang terkait khususnya bagian yang termasuk pada RACI
COBIT 5 dalam APO12 (Manage Risk)
Kuisoner ini merupakan pengukuran Capability Level yang dikembangkan dari
COBIT 5 untuk mengetahui tingkat kematangan pada proses pengelolaan risiko baik untuk
kondisi saat ini (as is), maupun kondisi yang diharapkan (to be), yang selanjutnya dapat
dijadikan dasar yang cukup untuk identifikasi prioritas peningkatan (improvement) pada
proses pengelolaan risiko.
Kuisoner ini mempunyai 6 (enam) pilihan jawaban. Pilihan tersebut dari a sampai f
secara berturut-turut merepresentasikan tingkat kematangan yang semakin meningkat
terhadap suatu atribut pada proses Manage Risk dimana terdapat nilai 0, 1, 2, 3, 4 dan 5.
Pada kolom “Jawaban”, responden dapat memilih salah satu jawaban yang dianggap paling
bisa mewakili kondisi kematangan baik yang saat ini maupun yang diharapkan, terkait
dengan atribut kematangan tertentu dalam proses pengelolaan data dengan memberikan
tanda centang () pada tempat yang tersedia.
Nama Responden :
Jabatan :
Keterangan Indikator Kapabilitas

0 → Tidak adanya proses yang dilaksanakan atau gagal untuk mencapai tujuan
1 → Adanya proses namun belum ditentukan apakah suatu proses sudah memberikan hasil
yang sesuai
2 → Adanya perencanaan, monitoring dan penyesuaian pada pelaksanaan proses.
3 → Adanya implementasi proses yang telah mampu dalam mencapai hasil proses.
4 → Adanya proses dan dijalankan secara konsisten dengan batasan-batasan agar mampu
meraih tujuan dari proses tersebut.
5 → Adanya proses dan terprediksi terus-menerusditingkatkan untuk memenuhi tujuan
bisnis dan tujuan proyek perusahaan.
Contoh pengerjaan:
Yang Diharapkan (To
Saat ini (As Is)
Aktifitas Proses be)
0 1 2 3 4 5 0 1 2 3 4 5
Sejauh mana PLN P2B
menentukan tingkat risiko TI yang
 
harus diambil perusahaan untuk
memenuhi tujuannya
APO12.01 (Mengumpulkan data)

Yang Diharapkan (To
Saat ini (As Is)
0 1 2 3 4 5 0 1 2 3 4 5
Sejauh mana PLN P2B membangun
dan memelihara metode untuk
pengumpulan, pengklasifikasian dan
menganalisis data terkait risiko TI.
Mengakomodasi macam – macam
kejadian, macam – macam risiko TI
dan faktor – faktor risiko.
Sejauh mana PLN P2B merekam data
yang berhubungan dengan internal
perusahaan dan lingkungan luar yang
berperan dalam pengelolaan risiko TI
Sejauh mana PLN P2B mencari dan
menganalisis data histori terkait
dengan risiko TI dan kehilangan data
yang tersedia secara eksternal
Sejauh mana PLN P2B merekam data
pada kejadian risiko yang
mempengaruhi IT benefit/value
enablement, IT programme and project
delivery dan IT operations and service
delivery. Merekam data yang
berhubungan dengan masalah tersebut.
Sejauh mana PLN P2B mengatur data

yang terkumpul dan melihat faktor –
faktor yang mempengaruhi.
Sejauh mana PLN P2B menentukan

kondisi dimana terdapat kejadian
berisiko, frekuensi kejadian dan
besarnya kerugian yang mempengaruhi
kondisi.
Sejauh mana PLN P2B melakukan
analisis faktor risiko dan kejadian
untuk mengidentifikasi masalah baru
dan mendapatkan pemahaman terkait
faktor risiko internal dan eksternal.
APO12.02 (Menganalisis risiko)

Yang Diharapkan (To
Saat ini (As Is)
0 1 2 3 4 5 0 1 2 3 4 5
Sejauh mana PLN P2B mendefinisikan
upaya analisis risiko yang sesuai,
mengingat semua faktor faktor risiko
dan aset aset berharga dalam bisnis.
Mempersiapkan batasan analisis risiko
setelah melakukan analisis untung rugi
Sejauh mana PLN P2B membangun
dan menambah skenario risiko TI
secara teratur, termasuk skenario dari
jenis risiko yang tidak diduga dan
mengembangkan ekspetasi untuk
aktivitas pengelolaan, kemampuan
untuk mendeteksi tanggapan lain.
Sejauh mana PLN P2B memperkirakan
frekuensi dan besarnya untung rugi
dengan IT risk scenarios.
Memperhitungkan semua faktor yang
mungkin, mengevaluasi kontrol
operasional yang diketahui dan
memperkirakan residual risk levels.
Sejauh mana PLN P2B
membandingkan residual risk untuk
dapat diterima toleransi risiko dan
mengidentifikasi hal yang memerlukan
tindakan risiko
Menganalisis untung rugi dari
kemungkinan pilihan risk response
seperti menghindari, mengurangi,
memindahkan dan mengambil.
Mengusulkan tindakan respon yang
optimal.
Sejauh mana PLN P2B enentukan
high-level requirements untuk projek
atau program yang akan
diimplementasikan dalam melakukan
tanggapan terhadap risiko yang
terpilih. Mengidentifikasi kebutuhan
dan ekspetasi untuk pengelola utama
yang sesuai untuk mengurangi risiko.
Sejauh mana PLN P2B memvalidasi
hasil analisis risiko sebelum digunakan
untuk pengambilan keputusan,
memastikan bahwa analisis sejajar
dengan persyaratan perusahaan dan
memverifikasi perkiraan itu benar.
APO12.03 (Mempertahankan profil risiko)

Yang Diharapkan (To
Saat ini (As Is)
a b c d e f a b c d e f
Sejauh mana PLN P2B mengelola
inventaris bisnis proses, termasuk
sumber daya pendukung, aplikasi,
infrastruktur, fasilitas, vendor,
suppliers serta mendokumentasikan
ketergantungan antara management
layanan TI dan sumber daya
infrastruktur TI.
Sejauh mana PLN P2B menentukan
dan menyetujui layanan TI dan sumber
daya infrastruktur TI sangat penting
untuk menopang operasi dari proses
bisnis.
Sejauh mana PLN P2B mengumpulkan
skenario risiko saat ini berdasarkan
kategori, business line, dan area
fungsional
Sejauh mana PLN P2B merekam
semua informasi profil risiko dan
mengkonsolidasikannya menjadi
kumpulan profil risiko.
Berdasarkan semua data profil risiko,
sejauh mana PLN P2B mendefinisikan
indikator dari risiko agar dapat
mengidentifikasi secara cepat dan
pengawasan pada tren risiko saat ini.
Sejauh mana PLN P2B menangkap
informasi pada kejadian risiko TI yang
terwujud, untuk penyertaan pada profil
risiko TI perusahaan.
Menangkap informasi dari status risk
action plan, untuk penyertaan dalam
profil risiko TI di perusahaan.
APO12.04 (Mengartikulasikan risiko)

Yang Diharapkan (To
Saat ini (As Is)
Sejauh mana PLN P2B melaporkan
hasil dari analisis risiko kepada semua
stakeholders sesuai dengan aturan dan
format yang berguna untuk mendukung
keputusan perusahaan.
Sejauh mana PLN P2B menyediakan
pengambilan keputusan dengan
memahami situasi terburuk dan
skenario paling mungkin, paparan uji
kelayakan dan reputasi penting,
pertimbangan regulasi.
Sejauh mana PLN P2B melaporkan
profil risiko saat ini kepada semua
stakeholders, termasuk efektifitas dari
proses manajemen risiko, control
effectiveness, gaps, inconsistencies,
redudancies, remediation status dan
pengaruh pada profil risiko.
Sejauh mana PLN P2B melihat hasil
penilaian pihak ketiga, audit internal
dan ulasan jaminan mutu, dan
memetakan ke profil risiko. Mengulas
identifikasi kesenjangan untuk
menentukan kebutuhan analisis risiko
tambahan.
Untuk area yang memiliki risiko,
Sejauh mana PLN P2B
mengidentifikasi peluang teknologi
informasi yang memungkinkan
penerimaan risiko yang lebih besar dan
juga meningkatkan pertumbuhan serta
keuntungan.
APO12.05 (Mendefinisikan portofolio tindakan manajemen risiko)

Yang Diharapkan (To
Saat ini (As Is)
Memelihara inventori dari aktivitas
kontrol yang ditempatkan untuk
mengelola risiko dan yang
memperbolehkan risiko untuk diambil
sejalan dengan risiko yang di toleransi.
Mengklasifikasi aktivitas kontrol dan
memetakan hal tersebut kedalam risiko
IT spesifik dan kumpulan risiko IT.
Menentukan apakah setiap entitas
organisasi mengawasi risiko dan
menerima akuntabilitas untuk
beroperasi dalam tingkatan toleransi
portofolio.
Mendefinisikan keseimbangan suatu
seperangkat proposal projek yang
dirancang untuk mengurangi risiko dan
proyek yang mengizinkan kesempatan
strategi perusahaan,
mempertimbangkan untung dan rugi,
pengaruh dari profile risiko peraturan
saat ini.
APO12.06 (Menanggapi risiko)

Yang Diharapkan (To
Saat ini (As Is)
Sejauh mana PLN P2B menyiapkan,
memelihara dan rencana uji coba yang
mendokumentasikan langkah yang
harus diambil ketika risiko
mempengaruhi operasi penting atau
insiden yang memberikan dampak
serius pada bisnis.
Mengkategorikan insiden – insiden,
dan membandingkan ambang batas
toleransi risiko sebenarnya.
Mengkomunikasikan dampak bisnis
untuk pembuat kepurusan sebagai
bagian dari laporan dan mengupdate
profil risiko.
Menerapkan rencana tindakan yang
sesuai untuk meminimalisir dampak
ketika terjadi insiden risiko
Memeriksa kerugian di masa lalu dan
peluang yang terlewat dan menentukan
akar permasalahannya.
Mengkomunikasikan akar
permasalahan, tambahan kebutuhan
tindakan risiko dan proses
memperbaiki pembuat keputusan yang
sesuai dan memastikan penyebabnya,
respon persyaratan dan proses
perbaikan termasuk proses tata kelola
risiko.
KUESIONER
EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI PADA DOMAIN

EVALUATE, DIRECT AND MONITOR DI PLN P2B
CAPABILITY MODEL
Kuisoner ini adalah bagian dari penelitian skripsi mahasiswa Program Studi
Sistem Informasi, Fakultas Sains dan Teknologi, UIN Syarif Hidayatullah Jakarta,
yang bertujuan untuk mendapatkan data dan pendapat Bapak/Ibu mengenai manajemen
risiko di PLN P2B sebagai pihak yang terkait khususnya bagian yang termasuk pada RACI
COBIT 5 dalam EDM03 (Ensure Optimisation Risk)
Kuisoner ini merupakan pengukuran Capability Level yang dikembangkan dari
COBIT 5 untuk mengetahui tingkat kematangan pada proses pengelolaan risiko baik untuk
kondisi saat ini (as is), maupun kondisi yang diharapkan (to be), yang selanjutnya dapat
dijadikan dasar yang cukup untuk identifikasi prioritas peningkatan (improvement) pada
proses pengelolaan risiko.
Kuisoner ini mempunyai 6 (enam) pilihan jawaban. Pilihan tersebut dari a sampai f
secara berturut-turut merepresentasikan tingkat kematangan yang semakin meningkat
terhadap suatu atribut pada proses Ensure Optimisation Risk dimana terdapat nilai 0, 1, 2,
3, 4 dan 5. Pada kolom “Jawaban”, responden dapat memilih salah satu jawaban yang
dianggap paling bisa mewakili kondisi kematangan baik yang saat ini maupun yang
diharapkan, terkait dengan atribut kematangan tertentu dalam proses pengelolaan data
dengan memberikan tanda centang () pada tempat yang tersedia.
Nama Responden :
Jabatan :
Keterangan Indikator Kapabilitas

0 → Tidak adanya proses yang dilaksanakan atau gagal untuk mencapai tujuan
1 → Adanya proses namun belum ditentukan apakah suatu proses sudah memberikan hasil
yang sesuai
2 → Adanya perencanaan, monitoring dan penyesuaian pada pelaksanaan proses.
3 → Adanya implementasi proses yang telah mampu dalam mencapai hasil proses.
4 → Adanya proses dan dijalankan secara konsisten dengan batasan-batasan agar mampu
meraih tujuan dari proses tersebut.
5 → Adanya proses dan terprediksi terus-menerus ditingkatkan untuk memenuhi tujuan
bisnis dan tujuan proyek perusahaan
Contoh pengerjaan:
Yang Diharapkan (To
Saat ini (As Is)
0 1 2 3 4 5 0 1 2 3 4 5
Sejauh mana PLN P2B
menentukan tingkat risiko TI yang
 
harus diambil perusahaan untuk
memenuhi tujuannya
EDM03.01 (Mengevaluasi manajemen risiko)

Yang Diharapkan (To
Saat ini (As Is)
0 1 2 3 4 5 0 1 2 3 4 5
Bagaimana PLN P2B menentukan
tingkat risiko TI yang perusahaan akan
ambil untuk mencapai tujuannya.
Sejauh mana PLN P2B dalam
mengevaluasi dan menyetujui usulan
ambang batas risiko TI terhadap tingkat
risiko dan peluang yang dapat diterima
oleh perusahaan.
Sampai saat ini, sejauh mana PLN P2B
dalam menentukan tingkat keselarasan
antara strategi risiko IT dan strategi
risiko perusahaan.
Sejauh mana PLN P2B mengevaluasi
faktor faktor risiko TI pada keputusan
strategi perusahaan yang tertunda dan
memastikan bahwa perusahaan
menyadari risiko keputusan yang
dibuat.
Bagaimana PLN P2B menentukan
penggunaan TI yang digunakan sesuai
subjek penilaian dan evaluasi risiko,
seperti yang dijelaskan dalam standar
nasional dan internasional yang relevan
Sejauh mana PLN P2B mengevaluasi
aktivitas manajemen risiko untuk
memastikan kemampuan perusahaan
dalam menangani kerugian terkait TI
dan toleransi pemimpin terkait hal
tersebut.
EDM03.02 (Mengarahkan manajemen risiko)

Yang Diharapkan (To
Saat ini (As Is)
0 1 2 3 4 5 0 1 2 3 4 5
Sejauh mana PLN P2B meningkatkan
kesadaran risiko TI dan kemampuan
perusahaan untuk mengidentifikasi
risiko TI, kesempatan dan potensi
bisnis.
Bagimana PLN P2B mengarahkan
integrasi antara IT Risk Strategy and
Operations dengan keputusan strategi
dan pengoperasian risiko perusahaan.
Sampai saat ini, Sejauh mana PLN P2B
mengarahkan pengembangaan dari
Risk Communication Plans sebaik
dengan pengembangan Risk Action
Plans.
Sejauh mana PLN P2B menerapkan
mekanisme yang tepat untuk merespon
dengan cepat perubahan risiko dan
melaporkan segera ke tingkat
manajemen secara tepat serta
dukungan pada prinsip-prinsip ekalasi
(Apa yang dilaporkan, kapan, dimana
dan bagaimana).
Sejauh mana tingkat risiko, peluang,
masalah dan kekhawatiran dapat
diidentifikasi dan dilaporkan oleh
siapapun kapanpun. Dimana risiko
harus dikelola sesuai dengan kebijakan
dan prosedur yang diterbitkan dan
diperluas kepada pembuatan keputusan
yang sesuai.
Bagaimana tingkat identifikasi tujuan
utama, metrik tata kelola dan proses
manajemen untuk mengawasi dan
menyetujui pendekatan, metode, teknik
dan proses dalam melaporkan
informasi pengukuran.
EDM03.03 (Mengawasi manajemen risiko)

Yang Diharapkan (To
Saat ini (As Is)
0 1 2 3 4 5 0 1 2 3 4 5
Sejauh mana tingkat pengawasan risiko
untuk dikelola dalam batas risiko yang
diinginkan.
Bagaimana pemantauan tujuan utama,
metrik dari tata kelola risiko dan proses
manajemen terhadap sasaran-sasaran,
menganalisis penyebab penyimpangan,
dan memulai tindakan perbaikan untuk
mengatasi penyebab yang
mendasarinya.
Sejauh mana para stakeholders
meninjau kemajuan perusahaan
menuju tujuan yang telah
diidentifikasi.
Sejauh mana laporan semua masalah
terkait dengan manajemen risiko ke
dewan atau komite eksekutif.
Lampiran 3– Evidence Work Product
Dokumen Risk Framework

Dokumen Profil Risiko
Perdir 0355.10/DIR/2014
Laporan ERM
Dokumen Key Performance Indicator
\

Skripsi Diajukan Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Strata Satu Sistem Informasi

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Skripsi Diajukan Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Strata Satu Sistem Informasi

Diunggah oleh

Hak Cipta:

Format Tersedia

EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI

MENGGUNAKAN FRAMEWORK COBIT 5

PROGRAM STUDI SISTEM INFORMASI

PROGRAM STUDI SISTEM INFORMASI

Sebagai Salah Satu Syarat untuk Memperoleh Gelar

MUHAMMAD KAMAL SANI FIRDAUS

PROGRAM STUDI SISTEM INFORMASI

FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH

EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI

Diajukan Sebagai Syarat Untuk Memperoleh Gelar Sarjana Strata Satu

Fitroh, M.Kom Suci Ratnawati, MTI

Ketua Prodi Sistem Informasi

Nia Kumaladewi, MMSI

Skripsi yang berjudul “EVALUASI MANAJEMEN RISIKO TEKNOLOGI

Dr. Syopiansyah Jaya Putra, M.Sis Bayu Waspodo, MM

Fitroh, M.Kom Suci Ratnawati, MTI

Dr. Agus Salim, M.Si Nia Kumaladewi, MMSI

DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR-BENAR HASIL

KARYA SENDIRI YANG BELUM PERNAH DIAJUKAN SEBAGAI SKRIPSI ATAU

KARYA ILMIAH PADA PERGURUAN TINGGI ATAU LEMBAGA APAPUN.

Jakarta, Februari 2018

MUHAMMAD KAMAL SANI FIRDAUS

Muhammad Kamal Sani Firdaus – 1113093000074, Evaluasi Manajemen Risiko

Kemungkinan adanya ancaman dan risiko TI (Teknologi Informasi) yang muncul

Kata Kunci : IT Governance, Manajemen Risiko, Disaster Recovery Plan,

Daftar Pustaka : 31 (Tahun 2007 s.d Tahun 2017)

Assalamu’alaikum Wr. Wb.

5. Bapak Bagus Widyantoro selaku supervisor TI PT PLN P2B serta seluruh

7. Sahabat-sahabat penulis, Ridwan Halifi, Fauzan Arifin, Hersy Ayu Qadrya,

8. Teman-teman Pejuang COBIT, Richardy Affan, Shally Putri, Tyas Rosiana,

9. Teman-teman Sistem Informasi angkatan 2013. Terima kasih untuk

Penulis menyadari akan kekurangan dan kesalahan pada penulisan skripsi

Wassalamu’alaikum Wr. Wb.

Jakarta, Februari 2018

Muhammad Kamal Sani Firdaus

LEMBAR JUDUL .................................................................................................. ii

1.2. Identifikasi Masalah ........................................................................ 5

1.3. Batasan Masalah .............................................................................. 6

1.4. Tujuan .............................................................................................. 6

1.5. Manfaat ............................................................................................ 7

1.5.1. Bagi perusahaan............................................................................... 7

1.5.2. Bagi Penulis ..................................................................................... 8

1.6. Metode Penelitian ............................................................................ 8

1.6.1. Metode Pengumpulan Data ............................................................. 8

1.6.2. Metode Analisis Data ...................................................................... 9

1.7. Tempat dan Waktu Penelitian ....................................................... 11

1.8. Sistematika Penulisan .................................................................... 11

2.2.1. Pengertian Tata Kelola ......................................................... 13

2.2.2. Pengertian Teknologi Infomasi ............................................ 13

2.2.3. Pengertian Tata Kelola Teknologi Informasi ....................... 14

2.2.4. Tujuan Tata kelola Teknologi Informasi ............................. 15

2.2.5. Pentingnya Tata Kelola Teknologi Informasi ...................... 15

2.3. Framework Tata Kelola Teknologi Informasi ............................... 16

2.3.1. ITIL ...................................................................................... 16

2.3.2. ISO ....................................................................................... 17

2.3.3. COSO ................................................................................... 17

2.3.4. TOGAF ADM ...................................................................... 18

2.3.6. COBIT .................................................................................. 20

2.4. COBIT 5 ........................................................................................ 20

2.4.1. Prinsip COBIT 5 .................................................................. 24

2.4.2. 7 Enablers ............................................................................ 27

2.4.3. Tahap Implementasi COBIT 5 ............................................. 28