Evaluasi Managemen Resiko
Evaluasi Managemen Resiko
Abstrak
Evaluasi terhadap manajemen risiko Teknologi Informasi (TI) di Badan Perencanaan, Penelitian dan
Pengembangan (BARENLITBANG) kota Malang diperlukan karena implementasinya saat ini belum
optimal. Salah satu alasannya adalah ketiadaan divisi khusus yang mengelola risiko TI di
BARENLITBANG. Dalam penelitian ini, kerangka kerja Control Objective for Information and related
Technology 5 (COBIT 5) digunakan untuk mengevaluasi dan menilai tingkat kapabilitas dari
manajemen risiko TI di BARENLITBANG. Domain-domain yang digunakan adalah EDM03 (optimasi
risiko) dan APO12 (manajemen risiko). Penelitian ini dimulai dengan mengumpulkan data, kemudian
menganalisis tingkat kapabilitas dan kesenjangan, mengidentifikasi risiko menggunakan Risk
Breakdown Structure (RBS), menilai risiko, serta pembuatan mitigasi dan rekomendasi. Hasil dari
penilaian tingkat kapabilitas di domain EDM03 adalah level 1 sementara domain APO12 berada di level
2 dengan kesenjangan 1 level bagi kedua domain. Dari 9 risiko yang teridentifikasi, terdapat 5 risiko
tergolong dalam kategori menengah dan harus di mitigasi sedangkan 4 risiko dalam kategori rendah dan
risiko-risiko tersebut dapat diterima oleh organisasi. Terdapat 6 rekomendasi yang disarankan untuk
BARENLITBANG seperti membuat SOP untuk mengatur manajemen risiko, mengoptimalkan
pengawasan dan evaluasi, membuat risk map, memaksimalkan rencana aksi, meningkatkan kemampuan
sumber daya manusia di BARENLITBANG, dan mengoptimalkan satgas pengendalian internal.
Kata kunci: tingkat kapabilitas, analisis gap, RBS, penilaian risiko, rekomendasi, COBIT 5, manajemen risiko
Abstract
Information technology (IT) risk management evaluation at Badan Perencanaan, Penelitian dan
Pengembangan (BARENLITBANG) city of Malang is needed because the current implementation is not
yet optimal. One of the reasons is the absence of particular division that manages IT risk at
BARENLITBANG. In this research, the framework Control Objective for Information and related
Technology 5 (COBIT 5) is used to evaluate and assess the capability level of the IT risk management
at BARENLITBANG. The domains used are EDM03 (risk optimization) and APO12 (risk management).
This research begins with data collection, then analyzing capability levels and gap, identificating the
risk using the Risk Breakdown Structure (RBS), assess the risk, and making mitigation and
recommendations. Results of the capability level in EDM03 domain is level 1 while domain APO12 is
in level 2 with 1 level gap for both domains. From 9 identified risks, there are 5 risks in the middle
category and needed to be mitigated while 4 risks in low category can be accepted by the organization.
There are 6 recommendations recommended for BARENLITBANG such as making SOP to regulate risk
management, optimizing supervision and evaluation, making risk maps, maximizing action plans,
improving human resource capabilities in BARENLITBANG, and optimizing internal control task force.
Keywords: capability level, gap analysis, RBS, risk assessment, recommendations, COBIT 5, risk management
lainnya. Analisis gap adalah alat yang digunakan berkaitan dengan hasil kuesioner, observasi dan
untuk mengukur kualitas pelayanan (quality of wawancara.
service) (Muchsam, Falahah and Saputro, 2011).
Dari penilaian capability level dan analisis gap
diketahui terdapat kesenjangan yang harus
diperhatikan antara nilai level kondisi saat ini
dan nilai level kondisi yang diinginkan. Untuk
memperjelas serta menganalisis risiko-risiko
yang terdapat pada BARENLITBANG pada saat
proses penerapan manajemen risiko, diperlukan
proses penilaian risiko (risk assessment).
Risk assessment merupakan keseluruhan
proses yang mencakup proses identifikasi risiko,
analisis risiko dan evaluasi risiko (ISO 31000,
2009). Pelaksanaan proses identifikasi risiko
menggunakan Risk Breakdown Structure (RBS)
yang merupakan struktur hierarki risiko pada
proyek. RBS dapat membantu dalam memahami
distribusi risiko pada suatu proyek atau lintas
bisnis, membantu manajemen risiko yang efektif
(Hillson, 2014). Secara detail proses analisis dan
evaluasi risiko terdiri dari beberapa tahapan
berikut yaitu terdapat penilaian dampak,
penilaian probabilitas, penilaian inherent risk,
penilaian residual risk dan pembuatan risk map.
Sehingga pada akhirnya riisko-risiko yang
teridentifikasi dapat diketahui kategorinya dan
disesuaikan dengan risk appetite organisasi serta
memberikan respon risiko yang tepat.
3. METODOLOGI PENELITIAN
Gambar 1 adalah tahapan penelitian yang
akan dilakukan ketika analisis manajemen risiko
teknologi informasi pada BARENLITBANG
Kota Malang dengan framework COBIT 5
Tahap pertama pada penelitian ini adalah
pengumpulan data. RACI chart dipakai sebagai
acuan untuk menyebar kuesioner dan
penggambaran organisasi dilakukan sebagai
acuan dalam pengumpulan data pada organisasi.
Pengumpulan data penelitian ini yaitu melalui
wawancara, observasi langsung dan
menyebarkan kuesioner terkait objek yang
diteliti terkait dengan manajemen risiko
Gambar 1. Diagram Alur Penelitian
berdasarkan framework COBIT 5 yang
menggunakan domain EDM03 (Ensure Risk
Capability level terdiri dari 6 level, dimulai
Optimisation) dan APO12 (Manage Risk). Jenis
dari level 0 hingga level 5. Dalam setiap level
data yang digunakan dalam penelitian ini dibagi
terdapat atribut proses. Ketika menilai setiap
menjadi dua yaitu data primer dan data sekunder.
level terdapat penilaian untuk pencapaian level
Data primer didapatkan dari menyebar
yang bersangkutan. Penilaian tersebut dimulai
kuesioner, observasi dan wawancara. Sedangkan
dari not archieved hingga fully archieved.
data sekunder didapatkan mengumpulkan
Penilaian capability level dilakukan pada
dokumen-dokumen bukti pendukung yang
masing-masing domain. Analisis gap dihasilkan
dari nilai Capability level yang dicapai saat ini wawancara yang telah dilakukan, dengan
dengan nilai Capability level yang ingin dicapai mengetahui work product dari setiap indikator
organisasi. Untuk mengidentifikasi potensial dapat ditentukan capability level pada masing-
risiko terjadi dalam BARENLITBANG, sejauh masing domain. BARENLITBANG
mana dampak, maka kita perlu melakukan Risk memperoleh hasil capability level sebagai
Assesment dengan beberapa tahapan yaitu : (a) berikut :
analisis risiko, terdapat proses identifikasi
Risiko pada setiap risk issue menggunakan Risk Tabel 2. Rekapitulasi Penilaian Capability Level
Breakdown Structure (RBS), menentukan Domain Responden
Nilai Capability
Level
parameter rating risiko dan penilaian risiko
terhadap ketegori risiko dasar (Inherent Risk) Responden 1 1
dan risiko akhir (Residual Risk); (b) evaluasi EDM03
risiko, dibuat dengan menghubungkan antara Responden 2 1
Sistem
Perfo
Project perencanaan yang
r- Technology
Risk dimiliki
Berdasarkan tabel 3, hasil analisis gap pada manc Limits
BARENLITBAN
e
domain EDM03, dari hasil penilaian capability G belum real time
level berada pada level 1 yaitu Performed
Tech- Keterbatasan
Process dan memiliki target di level 2 yaitu nology personil dalam
Managed Process. Yang berarti domain EDM03 Personnel
proses
pemantauan dan
memiliki gap antara kondisi saat ini dan kondisi Appli-
Skill Sets and evaluasi terkait
cation
Experience sistem informasi
target sebesar satu tingkat. Sedangkan untuk yang digunakan
domain APO12, dari hasil penilaian capability BARENLITBAN
G.
level berada pada level 2 yaitu Managed Process
Pegawai
dan memiliki target di level 3 yaitu Established BARENLITBAN
Process. Dimana domain APO12 memiliki gap Appli-
Personnel G tidak semuanya
Skill Sets and paham bagaimana
antara kondisi saat ini dan kondisi target sebesar cation
Experience menggunakan
sistem informasi
satu tingkat. yang dimiliki.
Tahapan identifikasi risiko, menggunakan
metode Risk Breakdown Structure (RBS) yang
Terdapat 9 risiko yang ditemukan pada
nantinya pengelompokkan risiko akan dimulai
BARENLITBANG dan sudah dikelompokkan
dari sumber risiko hingga ke detail risiko yang
dan diidentifikasi menggunakan Risk
ada di organisasi supaya mudah di identifikasi.
Breakdown Structure (RBS). Identifikasi detail
Tabel 4.Identifikasi Risiko dengan menggunakan RBS dilakukan agar dapat
secara fokus mengetahui penyebab-penyebab
Level Masalah Risiko
Level 0 Level 1
2
Level 3
(Risk Issues) dari masing-masing risiko yang timbul.
Inherent Risk merupakan risiko atau
Belum adanya
unit khusus yang paparan yang tanpa memperhitungkan tindakan
Organisation
menangani yang telah atau mungkin diambil oleh
pengelolaan
al Stability
risiko dan TI di manajemen (seperti menerapkan kontrol)
BARENLITBAN (ISACA, 2009).
G.
Mana- Corp
gement o-rate
Tabel 5.Inherent Risk
Belum adanya Nilai Risiko Dasar
SOP mengenai
Legal/Regulat penerapan Kategori
ory manajemen risiko Risiko Rendah Mene-
Mene- Ting-
Project dan pengelolaan Rendah Mene- ngah
ngah gi
Risk IT. ngah Tinggi
Organi-
Adanya sational 1
Mana- Corp Human fungsionalitas Stability
gement o-rate Resource jabatan yang Legal/Re-
kosong. 1
gulatory
Human
Penyedia 1
Resource
Custo kebutuhan barang
-mer dan jasa kantor Contrac-
1
and tidak sesuai tual
External Contrac-tual
Stake- dengan
Local
holde spesifikasi yang 1
Service
r ada dalam surat
kontrak.
Nilai Kecenderungan
(1)
Jarang 3
3
Inherent risk pada tabel 5.6 menghasilkan (2)
rekapitulasi dengan total 9 risk issues, terdapat 1 Kadan 2
risiko yang bernilai tinggi, 1 risiko bernilai g-
2
Kadan
menengah tinggi dan 7 risiko bernilai menengah. g (3)
Residual Risk merupakan risiko yang tersisa Sering
setelah manajemen menerapkan respon risiko (4)
2011 dan PERWALI Nomor 45 tahun 2014. BARENLITBANG hanya berisi rencana
Adanya fungsionalitas jabatan yang kosong kegiatan saja, dapat dilengkapi dengan
dapat dimitigasi dengan cara mengajukan PLT rekomendasi yang berguna bagi pelaksanaan
yang sesuai kepada Pemerintah Kota. Sedangkan kegiatan yang berkaitan, dan mempertimbangan
untuk seringnya terjadi bug pada sistem risiko yang pernah terjadi sebelumnya pada
informasi yang ada di BARENLITBANG dan kegiatan tersebut.
sistem perencanaan yang dimiliki Kelima, meningkatkan kemampuan sumber
BARENLITBANG belum real time dapat daya manusia di dalam BARENLITBANG
diselesaikan dengan beberapa mitigasi yaitu terhadap upaya pengelolaan TI karena
mendefinisikann secara detail pembuatan BARENLITBANG merupakan perangkat
dokumen kebutuhan untuk meminimalisir daerah yang tugasnya melakukan perencanaan
seringnya terjadi bug serta melakukan testing dan penganggaran kegiatan untuk seluruh OPD
dan Diadakannya penyuluhan akan TI di dalam di Kota Malang. Dalam proses operasional
BARENLITBANG sendiri. Dengan adanya sehari-hari, BARENLITBANG telah
strategi dan mitigasi yang disusun tersebut menggunakan beberapa sistem informasi untuk
harapannya dapat membantu membantu proses operasional di
BARENLITBANG dalam mengatasi risiko yang BARENLITBANG. Keenam, mengoptimalkan
mereka atasi, supaya dapat memaksimalkan satgas pengendalian internal yang sudah ada
penerapan manajemen risiko di internal sehingga dapat dioptimalkan untuk berperan
BARENLITBANG dengan tidak melangkahi sebagai tim audit internal yang akan selalu
kebijakan atau aturan yang telah ditetapkan oleh mendisiplinkan dalam penerapan manajemen
pemerintah. risiko di dalam BARENLITBANG serta
Setelah melakukan evaluasi terhadap membuat struktur resmi terkait pihak-pihak yang
manajemen risiko TI di BARENLITBANG, mengelola risiko sehingga untuk pelaksanaan
disusun beberapa rekomendasi yang akan manajemen risiko TI di dalam
menjadi referensi peningkatan mutu bagi BARENLITBANG ini menjadi terstruktur dan
BARENLITBANG. Berikut beberapa lebih tertata.
rekomendas bari BARENLITBANG : pertama,
Membuat SOP pelaksanaan manajemen risiko 5. KESIMPULAN DAN SARAN
dengan mengacu pada PP nomer 60 tahun 2008 Hasil evaluasi mengenai penerapan
dan PERWALI nomer 20 tahun 2011. Dan manajemen risiko Teknologi Informasi (TI) pada
membuat SOP untuk pengelolaan dan penerapan BARENLITBANG menggunakan kerangka
TI di dalam BARENLITBANG dengan kerja COBIT 5 domain EDM03 (Ensure Risk
mengacu pada PERWALI Nomor 45 tahun Optimisation) dan APO12 (Manage Risk)
2014. Dengan adanya SOP ini yang akan menghasilkan penilaian capability level di
mempermudah pihak internal BARENLITBANG menghasilkan domain
BARENLITBANG dalam proses pengelolaan EDM03 mencapai level 1 sedangkan untuk
risiko dan TI. domain APO12 mencapai level 2. Besar gap
Kedua, BARENLITBANG harus mulai antara masing-masing domain sebesar 1 level.
mengoptimalkan evaluasi dan monitoring yang Terdapat 9 risiko yang teridentifikasi, dengan 5
ada di dalam internal BARENLITBANG, risiko yang tidak sesuai dengan risk appetite
sebagai salah satu bentuk implementasi organisasi sehingga harus di mitigasi. Dalam
manajemen risiko yang berjalan optimal agar upaya memperbaiki penerapan manajemen
tidak hanya mendefinisikan apa saja risiko yang risiko teknologi informasi (TI) pada
dimiliki oleh organisasi, namun me-monitoring BARENLITBANG, diberikan sebanyak 6
pula risiko-risiko yang sudah terdaftar maupun rekomendasi. Rekomendasi- rekomendasi yang
yang muncul. Ketiga, membuat Risk Map, disusun untuk BARENLITBANG, di ambil dari
merupakan cara lain untuk merepresentasikan beberapa penelitian yang sudah menerapkan
risiko yang terdaftar di dalam profil risiko, di bentuk rekomendasi tersebut. Enam
dalam risk map ini merepresentasikan dua rekomendasi yang disarankan untuk
dimensi yaitu dampak dan kemungkinan dari BARENLITBANG seperti membuat SOP untuk
sebuah risiko. Supaya semua pihak di mengatur manajemen risiko, mengoptimalkan
BARENLITBANG aware terhadap risiko yang pengawasan dan evaluasi, membuat risk map,
dimiliki. Keempat, memaksimalkan Rencana memaksimalkan rencana aksi, meningkatkan
Aksi. Rencana aksi yang selama ini dibuat oleh
6. DAFTAR PUSTAKA
BARENLITBANG, 2018. No Title. [online]
Tersedia di:
<https://barenlitbang.malangkota.go
.id/> [Diakses 20 September 2018].
Djojosoedarso, S., 2003. Prinsip-Prinsip
Manajemen Resiko dan Asuransi.
Hillson, D., 2014. Research paper Using a
Risk Breakdown Structure in project
management. (January 2003).
ISACA, 2009. The Risk IT Practitioner Guide.
ISACA, 2012. A Business Framework for
the Governance and Management of
Enterprise IT.
ISO 31000, 2009. ISO 31000:2009 Risk
management - Principles and
guidelines. Risk Management.
Muchsam, Y., Falahah and Saputro, G.I.,
2011. PENERAPAN GAP
ANALYSIS PADA
PENGEMBANGAN SISTEM
PENDUKUNG.
Pemerintah Kota Malang, M., 2016.
SALINAN PERWAL TUSI
BADAN PERENCANAAN,
PENELITIAN DAN
PENGEMBANGAN.