Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer e-ISSN: 2548-964X

VoI. 3, No. 5, Mei 2019, hIm. 4218-4225 http://j-ptiik.ub.ac.id

Evaluasi Manajemen Risiko Teknologi Informasi pada Badan

Perencanaan, Penelitian dan Pengembangan (Barenlitbang) Kota Malang
Menggunakan Cobit 5 Domain EDM03 dan APO12
Agatha Shella Agtika1, Yusi Tyroni Mursityo2, Aditya Rachmadi3

Program Studi Sistem Informasi, Fakultas Ilmu Komputer, Universitas Brawijaya

Email: 1agathashellaagtika@gmail.com, 2yusi_tyro@ub.ac.id, 3rachmadi.aditya@ub.ac.id

Abstrak
Evaluasi terhadap manajemen risiko Teknologi Informasi (TI) di Badan Perencanaan, Penelitian dan
Pengembangan (BARENLITBANG) kota Malang diperlukan karena implementasinya saat ini belum
optimal. Salah satu alasannya adalah ketiadaan divisi khusus yang mengelola risiko TI di
BARENLITBANG. Dalam penelitian ini, kerangka kerja Control Objective for Information and related
Technology 5 (COBIT 5) digunakan untuk mengevaluasi dan menilai tingkat kapabilitas dari
manajemen risiko TI di BARENLITBANG. Domain-domain yang digunakan adalah EDM03 (optimasi
risiko) dan APO12 (manajemen risiko). Penelitian ini dimulai dengan mengumpulkan data, kemudian
menganalisis tingkat kapabilitas dan kesenjangan, mengidentifikasi risiko menggunakan Risk
Breakdown Structure (RBS), menilai risiko, serta pembuatan mitigasi dan rekomendasi. Hasil dari
penilaian tingkat kapabilitas di domain EDM03 adalah level 1 sementara domain APO12 berada di level
2 dengan kesenjangan 1 level bagi kedua domain. Dari 9 risiko yang teridentifikasi, terdapat 5 risiko
tergolong dalam kategori menengah dan harus di mitigasi sedangkan 4 risiko dalam kategori rendah dan
risiko-risiko tersebut dapat diterima oleh organisasi. Terdapat 6 rekomendasi yang disarankan untuk
BARENLITBANG seperti membuat SOP untuk mengatur manajemen risiko, mengoptimalkan
pengawasan dan evaluasi, membuat risk map, memaksimalkan rencana aksi, meningkatkan kemampuan
sumber daya manusia di BARENLITBANG, dan mengoptimalkan satgas pengendalian internal.
Kata kunci: tingkat kapabilitas, analisis gap, RBS, penilaian risiko, rekomendasi, COBIT 5, manajemen risiko
Abstract
Information technology (IT) risk management evaluation at Badan Perencanaan, Penelitian dan
Pengembangan (BARENLITBANG) city of Malang is needed because the current implementation is not
yet optimal. One of the reasons is the absence of particular division that manages IT risk at
BARENLITBANG. In this research, the framework Control Objective for Information and related
Technology 5 (COBIT 5) is used to evaluate and assess the capability level of the IT risk management
at BARENLITBANG. The domains used are EDM03 (risk optimization) and APO12 (risk management).
This research begins with data collection, then analyzing capability levels and gap, identificating the
risk using the Risk Breakdown Structure (RBS), assess the risk, and making mitigation and
recommendations. Results of the capability level in EDM03 domain is level 1 while domain APO12 is
in level 2 with 1 level gap for both domains. From 9 identified risks, there are 5 risks in the middle
category and needed to be mitigated while 4 risks in low category can be accepted by the organization.
There are 6 recommendations recommended for BARENLITBANG such as making SOP to regulate risk
management, optimizing supervision and evaluation, making risk maps, maximizing action plans,
improving human resource capabilities in BARENLITBANG, and optimizing internal control task force.
Keywords: capability level, gap analysis, RBS, risk assessment, recommendations, COBIT 5, risk management

Pengembangan, merupakan salah satu badan

1. PENDAHULUAN pemerintahan di Kota Malang yang mempunyai
BARENLITBANG memiliki kepanjangan tugas pokok pelaksanaan pemerintah di bidang
Badan Perencanaan, Penelitian dan perencanaan, penelitiaan dan pengembangan

Fakultas Ilmu Komputer

Universitas Brawijaya 4218
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer
sesuai ketentuan Peraturan Perundang-udangan
(BARENLITBANG, 2018). Dalam salah satu
fungsi dari BARENLITBANG disebutkan bahwa
terdapat fungsi dari BARENLITBANG untuk
monitoring, evaluasi dan pengendalian
perencanaan pembangunan daerah
(BARENLITBANG, 2018), didukung oleh pasal
277 Undang-Undang Nomor 23 Tahun 2014.
Untuk mendukung fungsi
BARENLITBANG dan Undang-Undang Nomor
23 Tahun 2014, diperlukan adanya evaluasi
manajemen risiko supaya dapat memaksimalkan
fungsi BARENLITBANG sebagai perangkat
daerah yang bergerak di perencanaan, penelitian
dan pembangan Kota Malang serta meningkatkan
operasional BARENLITBANG. Manajemen
risiko merupakan proses menjalankan aktivitas
manajemen untuk menanggulangi munculnya
risiko, baik yang dihadapi perusahaan maupun
yang dihadapi oleh masyarakat (Djojosoedarso,
2003).
Beberapa masalah yang terjadi di dalam
BARENLITBANG dalam proses penerapan
manajemen risiko TI diantaranya karena : (a)
fugsionalitas jabatan di BARENLITBANG yang
tidak berfungsi secara optimal dikarenakan ada
beberapa posisi yang kosong sehingga harus ada
yang merangkap pekerjaannya untuk
mengimbangi dan mengisi jabatan yang kosong;
(b) tidak adanya unit khusus manjemen risiko
ataupun tim audit internal di BARENLITBANG;
(c) pihak BARENLITBANG tidak mengetahui
secara jelas dan rinci hasil dari penilaian tingkat
kematangan yang dilakukan oleh pihak
eksternal; (d) dan yang terakhir belum berjalan
secara optimal penerapan manajemen risiko di
dalam BARENLITBANG, dibuktikan dengan
bagian atau bidang yang mengelola manajemen
risiko di BARENLITBANG hanya sebatas
sampai membuat dokumen Standar
Pengendalian Internal Pemerintah (SPIP) tanpa
tahu ukuran yang mereka pakai apakah sudah
sesuai dengan kondisi yang ada atau tidak.
Dalam mengevaluasi pengelolaan
manajemen risiko Teknologi Informasi (TI) dan
mengetahui tingkat kapabilitas di
BARENLITBANG Kota Malang, diperlukan
Framework COBIT 5. Menggunakan dua
domain yang ada di dalam COBIT 5 mengenai
IT Risk Management, yaitu domain EDM03
(Ensure Risk Optimisation) dan APO12
(Manage Risk). Secara detail domain EDM03
membahas mengenai bagaimana cara
mengoptimalkan cara mencegah risiko yang
dapat terjadi di organisasi. Sedangkan untuk
Fakultas Ilmu Komputer, Universitas Brawijaya
4219
domain APO12, membahas mengenai
bagaimana mengumpulkan data serta
menganalisis seluruh risiko yang ada di
organisasi. Penelitian ini juga menghasilkan
rekomendasi yang dapat digunakan oleh
BARENLITBANG sebagai referensi dalam
upaya meningkatkan manajemen risiko TI.
2. LANDASAN KEPUSTAKAAN
BARENLITBANG atau Badan
Perencanaan, Penelitian dan Pengembangan
Kota Malang adalah suatu instansi pemerintah
Kota Malang yang bertugas mengelola
perencanaan dan pembangunan daerah Kota
Malang. BARENLITBANG terletak di Jalan
Gajahmada No.2A, Kiduldalem, Klojen,
Kiduldalem, Klojen, Kota Malang.
BARENLITBANG memiliki tugas pelaksanaan
pemerintahan di bidang perencanaan, penelitian
dan pengembangan sesuai ketentuan Peraturan
Perundang-undangan (BARENLITBANG,
2018).
Risiko-risiko yang ada dalam Badan
Perencanaan, Penelitian dan Pengembangan
(BARENLITBANG) dikelola oleh Subbagian
Perencanaan Bidang Sekertariat dan hasil dari
pengelolaan manajemen risiko di
BARENLITBANG antara lain dokumen yang
diberi nama Registrasi Risiko Sistem
Pengendalian Internal Pemerintah (SPIP)
(Pemerintah Kota Malang, 2016). Control
Objective for Information and related
Technology 5 (COBIT 5) merupakan kerangka
kerja yang digunakan dalam penelitian ini untuk
mencapai tata kelola yang efektif, para eksekutif
mengharuskan agar kontrol dilaksanakan oleh
manajer operasional dalam kendali yang
ditentukan untuk semua proses TI (ISACA,
2007). Sebelum melakukan proses pengumpulan
data, penelitian ini menentukan RACI Chart
terlebih dahulu. RACI Chart merupakan ilustrasi
siapa yang memegang posisi Responsible,
Accountable, Consulted dan Informed pada
sebuah kerangka kerja organisasi RACI
(ISACA, 2012).
Penelitian ini bertujuan untuk mengetahui
sejauh mana penerapan manajemen risiko TI
yang telah dilakukan oleh BARENLITBANG,
setelah melakukan penilaian capability level,
dilakukan gap analysis atau analis kesenjangan
juga merupakan salah satu langkah yang sangat
penting dalam tahapan perencanaan maupun
tahap evaluasi kerja. Gap adalah adanya suatu
perbedaan (disparity) antara satu hal dengan hal
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 4220

lainnya. Analisis gap adalah alat yang digunakan berkaitan dengan hasil kuesioner, observasi dan
untuk mengukur kualitas pelayanan (quality of wawancara.
service) (Muchsam, Falahah and Saputro, 2011).
Dari penilaian capability level dan analisis gap
diketahui terdapat kesenjangan yang harus
diperhatikan antara nilai level kondisi saat ini
dan nilai level kondisi yang diinginkan. Untuk
memperjelas serta menganalisis risiko-risiko
yang terdapat pada BARENLITBANG pada saat
proses penerapan manajemen risiko, diperlukan
proses penilaian risiko (risk assessment).
Risk assessment merupakan keseluruhan
proses yang mencakup proses identifikasi risiko,
analisis risiko dan evaluasi risiko (ISO 31000,
2009). Pelaksanaan proses identifikasi risiko
menggunakan Risk Breakdown Structure (RBS)
yang merupakan struktur hierarki risiko pada
proyek. RBS dapat membantu dalam memahami
distribusi risiko pada suatu proyek atau lintas
bisnis, membantu manajemen risiko yang efektif
(Hillson, 2014). Secara detail proses analisis dan
evaluasi risiko terdiri dari beberapa tahapan
berikut yaitu terdapat penilaian dampak,
penilaian probabilitas, penilaian inherent risk,
penilaian residual risk dan pembuatan risk map.
Sehingga pada akhirnya riisko-risiko yang
teridentifikasi dapat diketahui kategorinya dan
disesuaikan dengan risk appetite organisasi serta
memberikan respon risiko yang tepat.

3. METODOLOGI PENELITIAN
Gambar 1 adalah tahapan penelitian yang
akan dilakukan ketika analisis manajemen risiko
teknologi informasi pada BARENLITBANG
Kota Malang dengan framework COBIT 5
Tahap pertama pada penelitian ini adalah
pengumpulan data. RACI chart dipakai sebagai
acuan untuk menyebar kuesioner dan
penggambaran organisasi dilakukan sebagai
acuan dalam pengumpulan data pada organisasi.
Pengumpulan data penelitian ini yaitu melalui
wawancara, observasi langsung dan
menyebarkan kuesioner terkait objek yang
diteliti terkait dengan manajemen risiko
Gambar 1. Diagram Alur Penelitian
berdasarkan framework COBIT 5 yang
menggunakan domain EDM03 (Ensure Risk
Capability level terdiri dari 6 level, dimulai
Optimisation) dan APO12 (Manage Risk). Jenis
dari level 0 hingga level 5. Dalam setiap level
data yang digunakan dalam penelitian ini dibagi
terdapat atribut proses. Ketika menilai setiap
menjadi dua yaitu data primer dan data sekunder.
level terdapat penilaian untuk pencapaian level
Data primer didapatkan dari menyebar
yang bersangkutan. Penilaian tersebut dimulai
kuesioner, observasi dan wawancara. Sedangkan
dari not archieved hingga fully archieved.
data sekunder didapatkan mengumpulkan
Penilaian capability level dilakukan pada
dokumen-dokumen bukti pendukung yang
masing-masing domain. Analisis gap dihasilkan

Fakultas Ilmu Komputer, Universitas Brawijaya

Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 4221

dari nilai Capability level yang dicapai saat ini wawancara yang telah dilakukan, dengan
dengan nilai Capability level yang ingin dicapai mengetahui work product dari setiap indikator
organisasi. Untuk mengidentifikasi potensial dapat ditentukan capability level pada masing-
risiko terjadi dalam BARENLITBANG, sejauh masing domain. BARENLITBANG
mana dampak, maka kita perlu melakukan Risk memperoleh hasil capability level sebagai
Assesment dengan beberapa tahapan yaitu : (a) berikut :
analisis risiko, terdapat proses identifikasi
Risiko pada setiap risk issue menggunakan Risk Tabel 2. Rekapitulasi Penilaian Capability Level
Breakdown Structure (RBS), menentukan Domain Responden
Nilai Capability
Level
parameter rating risiko dan penilaian risiko
terhadap ketegori risiko dasar (Inherent Risk) Responden 1 1
dan risiko akhir (Residual Risk); (b) evaluasi EDM03
risiko, dibuat dengan menghubungkan antara Responden 2 1

dampak (impact) dan kemungkinan (probability) Responden 1 2

ke dalam sebuah matriks yang bernama risk APO12
map. Dari risk map ini juga dapat diketahui mana Responden 2 2
risiko yang perlu penanganan.
Hasil dari tahapan ini adalah sebuah
rekomendasi yang dapat berguna untuk Maka untuk hasil rekapitulasi dari dua
menanggulangi dan menangani risiko yang telah responden, domain EDM03 mencapai level 1.
terdefinisikan dari penilaian Capability Level, Yang berarti proses manajemen risiko untuk
analisis gap dan Risk Assesment. Mitigasi dan memahami, mengartikulasikan,
rekomendasi merupakan kumpulan dari solusi mengkomunikasikan risiko terhadap nilai
dan saran yang dibuat oleh penulis yang dapat organisasi dan sudah diimplementasikan sesuai
menjadi bahan pertimbangan dengan tujuan proses. Sedangkan untuk domain
BARENLITBANG ketika menjalani tugas dan APO12 mencapai level 2 dalam proses
fungsinya sebagai salah satu perangkat daerah mengidentifikasi, menilai dan mengurangi risiko
Kota Malang. Mitigasi risiko dan rekomendasi dalam tingkat toleransi risiko berarti sudah pada
ini disusun berdasarkan oleh evaluasi tahap dikendalikan dan dipelihara dengan tepat.
manajemen risiko pada BARENLITBANG Triangulasi data merupakan teknik untuk
khususnya pada unit Subbagian Perencanaan menilai keabsahan data dengan membandingkan
Bidang Sekretariat dengan menggunakan data. Triangluasi data ini merupakan
domain EMD03 dan APO12. multimetode yang digunakan dalam
mengumpulkan dan menganalisis data.
4. HASIL DAN PEMBAHASAN
Tabel 3. Rekapitulasi Triangulasi Data
Pemetaan RACI chart pada Domain Hasil Wawancara Observasi Validitas
BARENLITBANG menghasilkan dua pihak
yang berkaitan dengan manajemen risiko TI.
EDM03 Level 1 Sesuai Sesuai ✓

Tabel 1. Pemetaan RACI Chart

Domain Jabatan Komponen APO12 Level 2 Sesuai Sesuai ✓
Kasubbag Perencanaan A
EDM03
Staff Perencanaan R
Kasubbag Perencanaan A Hasil rekapitulasi dari triangulasi data, dengan
APO12
Staff Perencanaan R cara membandingkan hasil kuesioner dua
responden dan hasil wawancara serta observasi
Penerapan manajemen risiko di unit langsung yang telah dilakukan, menunjukkan
BARENLITBANG dijalankan oleh Kasubbag hasil yang cocok. Dan dapat disimpulkan bahwa
Perencanaan dan staffnya yang berada di Bidang dari bukti-bukti yang ada, isi dari jawaban
Sekretariat untuk memonitoring dan menyusun kuesioner yang dijawab oleh dua responden,
risiko. Dimana Kasubbag Perencanaan akan menyatakan pencapaian dari capability level
menjadi responde 1 dan staff perencanaan domain EDM03 berada pada level 1 dan APO12
menjadi responden 2. berada pada level 2 sudah esuai dengan kondisi
Setelah melakukan penyebaran kuesioner sebenarnya.
dan telah diperkuat dengan observasi serta

Fakultas Ilmu Komputer, Universitas Brawijaya

Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 4222
Masih belum
Analisis gap dilakukan untuk adanya kesamaan
menyesuaikan hasil penilaian capability level Custo pemahaman
-mer program dan
dan target dari organisasi serta kemampuan and kegiatan pada
External Contractual
kondisi organisasi yang sesungguhnya. Stake- masing-masing
holde OPD yang sesuai
Tabel 3.Analisis Gap r dengan dokumen
perencanaan
Penilaian daerah.
Domain Level target GAP
Kuesioner
Sering terjadi bug
pada sistem
Requi
EDM03 Level 1 Level 2 1 Conditions of informasi yang
re-
Use ada di
ments
BARENLITBAN
G.
APO12 Level 2 Level 3 1

Sistem
Perfo
Project perencanaan yang
r- Technology
Risk dimiliki
Berdasarkan tabel 3, hasil analisis gap pada manc Limits
BARENLITBAN
e
domain EDM03, dari hasil penilaian capability G belum real time
level berada pada level 1 yaitu Performed
Tech- Keterbatasan
Process dan memiliki target di level 2 yaitu nology personil dalam
Managed Process. Yang berarti domain EDM03 Personnel
proses
pemantauan dan
memiliki gap antara kondisi saat ini dan kondisi Appli-
Skill Sets and evaluasi terkait
cation
Experience sistem informasi
target sebesar satu tingkat. Sedangkan untuk yang digunakan
domain APO12, dari hasil penilaian capability BARENLITBAN
G.
level berada pada level 2 yaitu Managed Process
Pegawai
dan memiliki target di level 3 yaitu Established BARENLITBAN
Process. Dimana domain APO12 memiliki gap Appli-
Personnel G tidak semuanya
Skill Sets and paham bagaimana
antara kondisi saat ini dan kondisi target sebesar cation
Experience menggunakan
sistem informasi
satu tingkat. yang dimiliki.
Tahapan identifikasi risiko, menggunakan
metode Risk Breakdown Structure (RBS) yang
Terdapat 9 risiko yang ditemukan pada
nantinya pengelompokkan risiko akan dimulai
BARENLITBANG dan sudah dikelompokkan
dari sumber risiko hingga ke detail risiko yang
dan diidentifikasi menggunakan Risk
ada di organisasi supaya mudah di identifikasi.
Breakdown Structure (RBS). Identifikasi detail
Tabel 4.Identifikasi Risiko dengan menggunakan RBS dilakukan agar dapat
secara fokus mengetahui penyebab-penyebab
Level Masalah Risiko
Level 0 Level 1
2
Level 3
(Risk Issues) dari masing-masing risiko yang timbul.
Inherent Risk merupakan risiko atau
Belum adanya
unit khusus yang paparan yang tanpa memperhitungkan tindakan
Organisation
menangani yang telah atau mungkin diambil oleh
pengelolaan
al Stability
risiko dan TI di manajemen (seperti menerapkan kontrol)
BARENLITBAN (ISACA, 2009).
G.
Mana- Corp
gement o-rate
Tabel 5.Inherent Risk
Belum adanya Nilai Risiko Dasar
SOP mengenai
Legal/Regulat penerapan Kategori
ory manajemen risiko Risiko Rendah Mene-
Mene- Ting-
Project dan pengelolaan Rendah Mene- ngah
ngah gi
Risk IT. ngah Tinggi

Organi-
Adanya sational 1
Mana- Corp Human fungsionalitas Stability
gement o-rate Resource jabatan yang Legal/Re-
kosong. 1
gulatory
Human
Penyedia 1
Resource
Custo kebutuhan barang
-mer dan jasa kantor Contrac-
1
and tidak sesuai tual
External Contrac-tual
Stake- dengan
Local
holde spesifikasi yang 1
Service
r ada dalam surat
kontrak.

Fakultas Ilmu Komputer, Universitas Brawijaya

Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 4223

Condition Nilai Dampak

1
of Use
Techno- Sang Sang Tot
logy 1 at Keci Sedan Besa at al
Limits Kecil l (2) g (3) r (4) Besar
Personnel (1) (5)
Skill Sets Sangat 4
2
and
Jarang 1 3
Experience

Nilai Kecenderungan
(1)

Jarang 3
3
Inherent risk pada tabel 5.6 menghasilkan (2)
rekapitulasi dengan total 9 risk issues, terdapat 1 Kadan 2
risiko yang bernilai tinggi, 1 risiko bernilai g-
2
Kadan
menengah tinggi dan 7 risiko bernilai menengah. g (3)
Residual Risk merupakan risiko yang tersisa Sering
setelah manajemen menerapkan respon risiko (4)

(ISACA, 2009). Sama seperti ketika menghitung Sangat

Sering
inherent risk, namun bedanya dalam perhitungan (5)
residual risk ini kita harus melihat sejauh mana
Total 1 8 9
risiko sudah mendapatkan pengendalian, dan
mana risiko yang belum mempunyai
pengendalian. 9 risiko yang sudah Rentang rating risiko (R) memiliki 5 rating yaitu
teridentifikasi, sudah mendapatkan tinggi, menengah tinggi, menengah, menengah
pengendalian dari BARENLITBANG. rendah dan rendah. Pada tabel 7, diketahui dari 9
Tabel 6.Residual Risk risiko yang ada di BARENLITBANG memiliki
Nilai Risiko Akhir risiko 4 risiko dalam rating risiko rendah (L) dan
Kategori 5 risiko dalam rating risiko menengah (M).
Risiko Rendah Mene-
Rendah Mene-
Mene-
ngah
Ting- Untuk mempermudah dalam pembuatan langkah
ngah gi
ngah Tinggi mitigasi, maka dibuat pengelompokkan tindakan
Organi- risiko berdasarkan rating risiko dan
sational 1 menyesuaikan dengan risk appetite organisasi
Stability
Legal/Re- serta tahap pengendalian risiko yang telah
1
gulatory dilakukan oleh organisasi.
Human
1 Strategi dan langkah mitigasi merupakan
Resource
Contrac-
sebuah usaha untuk mengurangi atau menghapus
1
tual kerugian yang di akibat oleh adanya risiko.
Local
1
Untuk melengkapi profil risiko pada
Service
BARENLITBANG, maka pada tahapan strategi
Condition
of Use
1 dan langkah mitigasi ini dilakukan langkah-
Techno- langkah yang tepat agar dapat menyelesaikan
logy 1
Limits
risiko yang ada sesuai dengan risk appetite
Personnel dalam BARENLITBANG. Berikut ini terdapat
Skill Sets
and
2 beberapa mitigasi untuk risiko yang masuk ke
Experience dalam kategori menegah. Risiko belum adanya
unit khusus yang menangani pengelolaan risko
Rekapitulasi dari hasil kategori risiko residual dan TI di BARENLITBANG memiliki dua
risk, dengan total 9 risk issues dapat dilihat mitigasi yang dapat dilakukan yaitu
bahwa terdapat 4 risiko bernilai rendah mengoptimalkan satgas yang sudah ditunjuk
menengah dan 5 risiko bernilai menengah. Hasil sebagai tim audit internal serta merencanakan
dari nilai residual risk yang akan digunakan dan mengusulkan kepada pemerintah untuk
untuk memetakan risiko pada risk map, agar menambahkan divisi risiko dan TI.
diketahui kategori risiko pada masing-masing Permasalahan belum adanya SOP mengenai
risk issues. penerapan manajemen risiko dan pengelolaan IT
Dalam risk map risiko akan di distribusikan dapat dimitigasi dengan cara membuat SOP
dalam sebuah matriks yang mempunyai nilai mengenai penerapan manajemen risiko dan
kecenderungan (Probability) dan nilai dampak pengelolaan IT mengacu pada PP Nomor 60
(Impact). tahun 2008 dan PERWALI Nomor 20 tahun
Tabel 7. Risk Map

Fakultas Ilmu Komputer, Universitas Brawijaya

Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer
2011 dan PERWALI Nomor 45 tahun 2014.
Adanya fungsionalitas jabatan yang kosong
dapat dimitigasi dengan cara mengajukan PLT
yang sesuai kepada Pemerintah Kota. Sedangkan
untuk seringnya terjadi bug pada sistem
informasi yang ada di BARENLITBANG dan
sistem perencanaan yang dimiliki
BARENLITBANG belum real time dapat
diselesaikan dengan beberapa mitigasi yaitu
mendefinisikann secara detail pembuatan
dokumen kebutuhan untuk meminimalisir
seringnya terjadi bug serta melakukan testing
dan Diadakannya penyuluhan akan TI di dalam
BARENLITBANG sendiri. Dengan adanya
strategi dan mitigasi yang disusun tersebut
harapannya dapat membantu
BARENLITBANG dalam mengatasi risiko yang
mereka atasi, supaya dapat memaksimalkan
penerapan manajemen risiko di internal
BARENLITBANG dengan tidak melangkahi
kebijakan atau aturan yang telah ditetapkan oleh
pemerintah.
Setelah melakukan evaluasi terhadap
manajemen risiko TI di BARENLITBANG,
disusun beberapa rekomendasi yang akan
menjadi referensi peningkatan mutu bagi
BARENLITBANG. Berikut beberapa
rekomendas bari BARENLITBANG : pertama,
Membuat SOP pelaksanaan manajemen risiko
dengan mengacu pada PP nomer 60 tahun 2008
dan PERWALI nomer 20 tahun 2011. Dan
membuat SOP untuk pengelolaan dan penerapan
TI di dalam BARENLITBANG dengan
mengacu pada PERWALI Nomor 45 tahun
2014. Dengan adanya SOP ini yang akan
mempermudah pihak internal
BARENLITBANG dalam proses pengelolaan
risiko dan TI.
Kedua, BARENLITBANG harus mulai
mengoptimalkan evaluasi dan monitoring yang
ada di dalam internal BARENLITBANG,
sebagai salah satu bentuk implementasi
manajemen risiko yang berjalan optimal agar
tidak hanya mendefinisikan apa saja risiko yang
dimiliki oleh organisasi, namun me-monitoring
pula risiko-risiko yang sudah terdaftar maupun
yang muncul. Ketiga, membuat Risk Map,
merupakan cara lain untuk merepresentasikan
risiko yang terdaftar di dalam profil risiko, di
dalam risk map ini merepresentasikan dua
dimensi yaitu dampak dan kemungkinan dari
sebuah risiko. Supaya semua pihak di
BARENLITBANG aware terhadap risiko yang
dimiliki. Keempat, memaksimalkan Rencana
Aksi. Rencana aksi yang selama ini dibuat oleh
Fakultas Ilmu Komputer, Universitas Brawijaya
4224
BARENLITBANG hanya berisi rencana
kegiatan saja, dapat dilengkapi dengan
rekomendasi yang berguna bagi pelaksanaan
kegiatan yang berkaitan, dan mempertimbangan
risiko yang pernah terjadi sebelumnya pada
kegiatan tersebut.
Kelima, meningkatkan kemampuan sumber
daya manusia di dalam BARENLITBANG
terhadap upaya pengelolaan TI karena
BARENLITBANG merupakan perangkat
daerah yang tugasnya melakukan perencanaan
dan penganggaran kegiatan untuk seluruh OPD
di Kota Malang. Dalam proses operasional
sehari-hari, BARENLITBANG telah
menggunakan beberapa sistem informasi untuk
membantu proses operasional di
BARENLITBANG. Keenam, mengoptimalkan
satgas pengendalian internal yang sudah ada
sehingga dapat dioptimalkan untuk berperan
sebagai tim audit internal yang akan selalu
mendisiplinkan dalam penerapan manajemen
risiko di dalam BARENLITBANG serta
membuat struktur resmi terkait pihak-pihak yang
mengelola risiko sehingga untuk pelaksanaan
manajemen risiko TI di dalam
BARENLITBANG ini menjadi terstruktur dan
lebih tertata.
5. KESIMPULAN DAN SARAN
Hasil evaluasi mengenai penerapan
manajemen risiko Teknologi Informasi (TI) pada
BARENLITBANG menggunakan kerangka
kerja COBIT 5 domain EDM03 (Ensure Risk
Optimisation) dan APO12 (Manage Risk)
menghasilkan penilaian capability level di
BARENLITBANG menghasilkan domain
EDM03 mencapai level 1 sedangkan untuk
domain APO12 mencapai level 2. Besar gap
antara masing-masing domain sebesar 1 level.
Terdapat 9 risiko yang teridentifikasi, dengan 5
risiko yang tidak sesuai dengan risk appetite
organisasi sehingga harus di mitigasi. Dalam
upaya memperbaiki penerapan manajemen
risiko teknologi informasi (TI) pada
BARENLITBANG, diberikan sebanyak 6
rekomendasi. Rekomendasi- rekomendasi yang
disusun untuk BARENLITBANG, di ambil dari
beberapa penelitian yang sudah menerapkan
bentuk rekomendasi tersebut. Enam
rekomendasi yang disarankan untuk
BARENLITBANG seperti membuat SOP untuk
mengatur manajemen risiko, mengoptimalkan
pengawasan dan evaluasi, membuat risk map,
memaksimalkan rencana aksi, meningkatkan
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 4225

kemampuan sumber daya manusia di

BARENLITBANG supaya dapat
memaksimalkan penerapan TI dalam
BARENLITBANG, dan mengoptimalkan satgas
pengendalian internal untuk pengendalian risiko.
Saran untuk penelitian selanjutnya, jika
memakai objek yang sama dengan penelitian ini
ada baiknya terlebih dahulu dipantau apakah
monitoring terhadap risiko yang ada, apakah
sudah dijalankan dengan baik. Jika sudah
dijalankan, dapat membantu untuk
meningkatkan pencapaian pada domain EDM03
(Ensure Risk Optimisation) dan APO12
(Managed Risk). Selain itu untuk penelitian
selanjutnya dapat mengevaluasi
BARENLITBANG dari sisi evaluasi kuantitatif,
karena penelitian ini hanya terbatas pada
evaluasi kualitatif dan dapat menggunakan
framework lain yang disesuaikan dengan kondisi
organisasi supaya dapat menilai sejauh mana
manajemen risiko TI yang sudah mereka
terapkan serta menjadi referensi maupun
pedoman tambahan bagi BARENLITBANG.

6. DAFTAR PUSTAKA
BARENLITBANG, 2018. No Title. [online]
Tersedia di:
<https://barenlitbang.malangkota.go
.id/> [Diakses 20 September 2018].
Djojosoedarso, S., 2003. Prinsip-Prinsip
Manajemen Resiko dan Asuransi.
Hillson, D., 2014. Research paper Using a
Risk Breakdown Structure in project
management. (January 2003).
ISACA, 2009. The Risk IT Practitioner Guide.
ISACA, 2012. A Business Framework for
the Governance and Management of
Enterprise IT.
ISO 31000, 2009. ISO 31000:2009 Risk
management - Principles and
guidelines. Risk Management.
Muchsam, Y., Falahah and Saputro, G.I.,
2011. PENERAPAN GAP
ANALYSIS PADA
PENGEMBANGAN SISTEM
PENDUKUNG.
Pemerintah Kota Malang, M., 2016.
SALINAN PERWAL TUSI
BADAN PERENCANAAN,
PENELITIAN DAN
PENGEMBANGAN.

Fakultas Ilmu Komputer, Universitas Brawijaya