EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI

DENGAN MENGGUNAKAN FRAMEWORK ”RISK IT”

STUDI KASUS PADA BIRO UMUM SEKRETARIAT DAERAH
PROVINSI NUSA TENGGARA BARAT

Tesis
untuk memenuhi sebagian persyaratan
mencapai derajat Sarjana S-2
Minat Studi Magister Teknologi Informasi
Jurusan Teknik Elektro dan Teknologi Informasi
Fakultas Teknik

diajukan oleh
YASRUL
10/309100/PTK/7044

kepada

PROGRAM STUDI S2 MAGISTER TEKNOLOGI INFORMASI

PASCASARJANA FAKULTAS TEKNIK
UNIVERSITAS GADJAH MADA
2012
ii
iii
 KATA PENGANTAR

Alhamdulillah, segenap ungkapan syukur kepada Allah SWT, Tuhan

semesta alam yang telah memberikan kesempatan dan kekuatan bagi
terselesaikannya tesis ini. Ucapan terimakasih juga dipersembahkan kepada
berbagai pihak yang telah memberikan bantuan dan dukungan dalam penyelesaian
tesis ini sejak dari awal penelitian hingga penulisan laporan, beberapa di antaranya
yang bisa penulis sebutkan di sini adalah :
1. Kementerian Komunikasi dan Informatika RI yang telah memberikan ke-
sempatan kepada penulis untuk dapat mengikuti program beasiswa Chief
Information Officer Kemenkominfo RI Tahun 2010 di MTI UGM.
2. Bapak Dr. Ir. Lukito Edi Nugroho, M.Sc. Ketua Jurusan Teknik Elektro dan
Teknologi Informasi Universitas Gadjah Mada Yogyakarta beserta seluruh
staf pengelola MTI UGM yang telah memberikan layanan akademis bagi
terselenggaraanya proses belajar mengajar.
3. Bapak Dr. Ir. Eko Nugroho, M.Si dan Ibu Indriana Hidayah, S.T., M.T
selaku pembimbing yang telah dengan sabar dan penuh perhatian
membimbing dan mengarahkan penulis dalam penyusunan tesis yang baik.
4. Seluruh Dosen yang mengampu mata kuliah di kelas CIO yang telah
menyumbangkan ilmunya dengan penuh dedikasi.
5. Bapak Ir. H. Iswandi, selaku Kepala Biro Umum SETDA Provinsi NTB
beserta seluruh pejabat eselon III dan IV dan rekan-rekan pegawai yang
telah menjadi responden dan membantu dalam penelitian di lingkungan
instansi Biro Umum.
6. Seluruh rekan-rekan seperjuangan, mahasiswa CIO angkatan VI yang telah
saling mendukung, memberikan semangat dan motivasi untuk bersama-
sama menyelesaikan studi.
7. Kepada semua pihak yang namanya tidak bisa disebutkan satu persatu yang
telah memberikan bantuannya, sekecil apapun, dan di manapun berada,
semoga senantiasa diberikan karunia bagi hidup yang lebih baik.

iv
 Ucapan terima kasih yang khusus, dengan penuh rasa hormat, kepada kedua
orang tua, Bapak H. Munsip Arpah dan Ibu Sulastri serta keluarga di rumah atas
segenap do'a dan dukungannya. Penghargaan yang tak ternilai bagi istri tercinta,
Endang Tristiyanti, S.Pd beserta para kurcacinya : Maliha, Izzuddin, Ayash,
Danish. Terima kasih atas pengertianya, kesabaranya, do'a dan air mata yang
menyertainya, semoga Allah SWT senantiasa memberikan kebaikan bagi keluarga
kita.

Sebagai hasil karya manusia biasa, tentu tesis ini tidak luput dari
kekurangan, karenanya segala kritik dan saran akan sangat berguna untuk
penelitian berikutnya. Semoga tesis ini dapat memberikan manfaat kepada semua
pihak yang berkepentingan, terutama instansi Biro Umum SETDA Provinsi NTB
bagi pengembangan kualitas manajemen risiko teknologi informasi di organisasi.

Yogyakarta, Maret 2012

Penulis,

Yasrul

v
 DAFTAR ISI
HALAMAN JUDUL..................................................................................................i
HALAMAN PENGESAHAN...................................................................................ii
HALAMAN PERNYATAAN..................................................................................iii
KATA PENGANTAR..............................................................................................iv
DAFTAR ISI.............................................................................................................vi
DAFTAR TABEL..................................................................................................viii
DAFTAR GAMBAR................................................................................................ix
DAFTAR LAMPIRAN..............................................................................................x
DAFTAR SINGKATAN..........................................................................................xi
ABSTRAK..............................................................................................................xiii
BAB I PENDAHULUAN..........................................................................................1
1.1 Latar Belakang................................................................................................1
1.1.1 Perumusan Masalah..................................................................................3
1.1.2 Keaslian Penelitian....................................................................................4
1.1.3 Manfaat Penelitian....................................................................................6
1.2 Tujuan Penelitian.............................................................................................7
BAB II TINJAUAN PUSTAKA DAN LANDASAN TEORI..................................8
2.2 Landasan Teori..............................................................................................11
2.2.1 Evaluasi...................................................................................................11
2.2.2 Risiko Teknologi Informasi....................................................................14
2.2.3 Manajemen Risiko Teknologi Informasi................................................17
2.2.4 Framework "Risk IT"..............................................................................20
2.2.5 Model Kematangan.................................................................................26
2.2.6 Bagan RACI............................................................................................28
2.2.7 Kuesioner................................................................................................31
2.3 Pertanyaan Penelitian....................................................................................32
BAB III METODOLOGI PENELITIAN................................................................33
3.1 Bahan Penelitian............................................................................................33
3.2 Alat Penelitian...............................................................................................33
3.3 Jalan Penelitian..............................................................................................34
3.3.1 Pemilihan Domain dan Model Kematangan Framework "Risk IT".......35
3.3.2 Identifikasi Responden...........................................................................36
3.3.3 Rancangan Survey Kuesioner dan Wawancara.......................................38
3.3.4 Pengolahan Data.....................................................................................40
3.3.5 Analisis Data...........................................................................................43

vi
 3.3.6 Pengembangan Manajemen Risiko TI....................................................43
3.4 Kesulitan-Kesulitan.......................................................................................43
BAB IV HASIL PENELITIAN DAN PEMBAHASAN.........................................45
4.1 Hasil Penelitian..............................................................................................45
4.1.1 Gambaran umum Biro Umum SETDA Provinsi NTB...........................45
4.1.2 Implementasi Teknologi Informasi.........................................................47
4.1.3 Risiko Teknologi Informasi....................................................................52
4.1.4 Karakteristik Responden.........................................................................56
4.1.5 Perhitungan Tingkat Kematangan Saat Ini (as-is)..................................60
4.1.6 Penentuan Tingkat Kematangan yang Diharapkan (to-be).....................66
4.1.7 Kesenjangan Tingkat Kematangan.........................................................67
4.2 Pembahasan...................................................................................................72
4.2.1 Analisis Kematangan Saat Ini (as-is)......................................................72
4.2.2 Analisis Kematangan yang Diharapkan (to-be)......................................77
4.3 Pengembangan Manajemen Risiko TI..........................................................80
4.3.1 Keterkaitan Antar Atribut Kematangan..................................................81
4.3.2 Langkah-Langkah Strategis....................................................................82
4.3.3 Mendefinisikan Tindakan Perbaikan......................................................87
4.3.4 Penahapan dan Target Waktu.................................................................92
4.3.5 Rekomendasi...........................................................................................94
BAB V KESIMPULAN DAN SARAN...................................................................96
5.1 Kesimpulan....................................................................................................96
5.2 Saran..............................................................................................................99
DAFTAR PUSTAKA............................................................................................102
LAMPIRAN...........................................................................................................105

vii
 DAFTAR TABEL

Tabel 2.1 Definisi peran dalam bagan RACI...........................................................30

Tabel 3.1 Identifikasi responden berdasarkan diagram RACI.................................37
Tabel 3.2 Rekapitulasi distribusi jawaban kuesioner maturity level........................40
Tabel 3.3 Pemetaan jawaban dan nilai kematangan.................................................41
Tabel 3.4 Rumus perhitungan nilai kematangan......................................................42
Tabel 4.1 Perangkat keras (hardware) di Biro Umum.............................................48
Tabel 4.2 Perangkat lunak (software) di Biro Umum..............................................49
Tabel 4.3 Jaringan komputer di Biro Umum...........................................................50
Tabel 4.4 Risiko delivery operasional dan layanan TI.............................................55
Tabel 4.5 Jenis kelamin responden..........................................................................57
Tabel 4.6 Tingkat pendidikan responden.................................................................58
Tabel 4.7 Golongan dan eselon responden..............................................................59
Tabel 4.8 Inisial atribut kematangan........................................................................60
Tabel 4.9 Rekapitulasi distribusi jawaban kuesioner tingkat kematangan domain
tata kelola risiko.....................................................................................62
Tabel 4.10 Nilai dan tingkat kematangan domain tata kelola risiko........................62
Tabel 4.11 Rekapitulasi distribusi jawaban kuesioner tingkat kematangan domain
evaluasi risiko.........................................................................................63
Tabel 4.12 Nilai tingkat kematangan domain evaluasi risiko..................................64
Tabel 4.13 Rekapitulasi distribusi jawaban kuesioner tingkat kematangan domain
respon risiko...........................................................................................65
Tabel 4.14 Nilai tingkat kematangan domain respon risiko....................................65
Tabel 4.15 Tingkat kematangan yang diharapkan (to-be).......................................67
Tabel 4.16 Selisih nilai kematangan atribut domain tata kelola risiko....................68
Tabel 4.17 Selisih nilai kematangan atribut domain evaluasi risiko........................69
Tabel 4.18 Selisih nilai kematangan atribut domain respon risiko..........................71
Tabel 4.19 Tindakan perbaikan domain tata kelola risiko.......................................88
Tabel 4.20 Tindakan perbaikan domain evaluasi risiko..........................................89
Tabel 4.21 Tindakan perbaikan domain respon risiko.............................................91

viii
 DAFTAR GAMBAR

Gambar 2.1 Risiko TI dalam hirarki risiko..............................................................17

Gambar 2.2 Proses-proses manajemen risiko..........................................................19
Gambar 2.3 Prinsip-prinsip framework "Risk IT"...................................................22
Gambar 2.4 Framework "Risk IT"...........................................................................26
Gambar 2.5 Maturity Model.....................................................................................27
Gambar 2.6 Contoh bagan RACI.............................................................................29
Gambar 3.1 Diagram alir jalan penelitian................................................................35
Gambar 4.1 Bagan struktur organisasi Biro Umum Setda Provinsi NTB...............47
Gambar 4.4 Kesenjangan tingkat kematangan domain tata kelola risiko................69
Gambar 4.3 Kesenjangan tingkat kematangan domain evaluasi risiko....................70
Gambar 4.4 Kesenjangan tingkat kematangan domain respon risiko......................71
Gambar 4.2 Representasi keterkaitan antar atribut kematangan..............................82
Gambar 4.3 Pentahapan dan target waktu pengembangan.......................................94

ix
 DAFTAR LAMPIRAN

Lampiran I Kuesioner Maturity Level.................................................................105

Lampiran II Data Hasil Kuesioner Maturity Level..............................................114

x
 DAFTAR SINGKATAN

AC : Awareness and Communication

CIO : Chief information officer
COBIT : Control Objectives for Information and related Technology
CRO : Chief risk officer
ERM : Enterprise Risk Management
GSM : Goal Setting and Measurement
IEC : the International Electrotechnical Commission
IRM : the Institute of Risk Management
ISACA : Information System Audit and Control Association
IT : Information Technology
ITIL : Information Technologi Infrastructure Library
LPSE : Layanan Pengadaan Secara Elektronik
NIST : National Institute of Standards and Technology
NTB : Nusa Tenggara Barat
OCTAVE : Operationally Critical Threat, Asset, and Vulnerability Evaluation
PC : Personal Computer
PDE : Pengolahan Data Elektronik
PSP : Policies, Standards and Procedures
RA : Responsibility and Accountability
RACI : Responsible, Accountable, Consulted, and/or Informated
Risk IT : Framework “Risk IT”
SE : Skills and Expertise
SETDA : Sekretariat Daerah
SI : Sistem Informasi
SIMDA : Sistem Informasi Manajemen Daerah
SKPD : Satuan Kerja Perangkat Daerah
SPPD : Surat Perintah Perjalanan Dinas
TA : Tools and Automation
TI : Teknologi Informasi
TIK : Teknologi Informasi dan Komunikasi

xi
 ABSTRACT

Information technology has long been used in business processes at the Biro
Umum Sekretariat Daerah Provinsi NTB and are expected to provide added value
to the achievement of agency goals. In addition to its benefits, the application of
information technology also contains risks that may affect the business process
itself, causing losses that bad for the agency. Therefore, agencies must understand
and anticipate any potential risks that may occur. Application of good information
technology risk management aim to reduce the negative impacts of risk that may
arise. To find out the extent to which agencies manage the risks associated with
information technology it needs to be evaluated.
The research will use the "Risk IT" framework approach as an information
technology risk management standards issued by ISACA to evaluate the
implementation of risk management processes of information technology which
covers risk governance, risk evaluation, and risk response. The evaluation process
will be based on a maturity model that has been defined by the "Risk IT"
framework to measure the maturity level of information technology risk
management conditions at the Biro Umum Seketariat Daerah Provinsi NTB.
The maturity level results would indicate the quality degrees of
implementation of information technology risk management today and can be used
as an ingredient to make improvements in aspects that were considered less. The
study will provide recommendations for the development of IT risk management
processes in government agencies. The results of this research can also be used as a
reference in the development of guidelines for the application of information
technology risk Management that will provide guidance to all organizational units
in carrying out business processes related to information technology.

Keywords : IT risk, IT risk management, “Risk IT” frameworks

xii
 ABSTRAK

Teknologi informasi telah lama digunakan dalam proses-proses bisnis di

Biro Umum Sekretariat Daerah Provinsi Nusa Tenggara Barat dan diharapkan
mampu memberikan nilai tambah guna pencapaian tujuan instansi. Di samping
manfaatnya, penerapan teknologi informasi juga mengandung risiko yang dapat
mengganggu proses bisnis itu sendiri sehingga menyebabkan kerugian yang
berakibat buruk bagi instansi. Karenanya instansi harus memahami dan
mengantisipasi setiap potensi risiko yang dapat terjadi. Penerapan manajemen
risiko teknologi informasi yang baik bertujuan untuk mengurangi dampak negatif
risiko yang mungkin muncul. Untuk mengetahui sudah sejauh mana instansi
mengelola risiko-risiko yang berhubungan dengan teknologi informasi maka perlu
dilakukan evaluasi.
Penelitian akan menggunakan framework “Risk IT” sebagai standar
manajemen risiko teknologi informasi yang dikeluarkan oleh ISACA untuk
mengevaluasi pelaksanaan proses-proses manajemen risiko teknologi informasi
pada Biro Umum Sekretariat Daerah Provinsi Nusa Tengara Barat, yang meliputi
tata kelola risiko, evaluasi risiko, dan respon risiko. Proses evaluasi akan mengacu
pada model kematangan yang telah didefinisikan oleh framework “Risk IT” untuk
mengukur tingkat kematangan kondisi manajemen risiko teknologi informasi pada
Biro Umum Sekretariat Daerah Provinsi Nusa Tenggara Barat.
Hasil tingkat kematangan yang diperoleh akan menunjukkan derajat
kualitas pelaksanaan manajemen risiko teknologi informasi dan dapat digunakan
sebagai bahan untuk melakukan perbaikan-perbaikan pada aspek yang dinilai
kurang. Hasil penelitian akan memberikan rekomendasi bagi pengembangan
proses-proses manajemen risiko TI di instansi. Hasil penelitian ini juga dapat
digunakan sebagai referensi dalam pembuatan pedoman penerapan manajement
risiko teknologi informasi yang akan menjadi panduan bagi setiap unit organisasi
dalam menjalankan proses-proses bisnis yang berhubungan dengan teknologi
informasi.

Kata kunci : Manajemen risiko TI, risiko TI, Framework “Risk IT”

xiii
 BAB I

PENDAHULUAN

1.1 Latar Belakang

Seperti diketahui implementasi teknologi informasi dalam suatu

perusahaan selain dapat memberikan manfaat juga dapat menimbulkan risiko.

Risiko tersebut dapat terdiri dari berbagai macam kejadian dan kondisi yang

berhubungan dengan teknologi informasi yang berdampak bagi perusahaan. Jika

risiko-risiko tersebut tidak dikelola dengan baik maka akan menimbulkan dampak

yang merugikan bagi perusahaan dalam mencapai tujuannya.

Teknologi informasi telah berperan dalam proses-proses bisnis di Biro

Umum Sekretariat Daerah Provinsi NTB dan diharapkan mampu memberikan

nilai tambah guna pencapaian tujuan instansi. Implementasi teknologi informasi

yang telah dilakukan oleh instansi di antaranya yang penting adalah berupa

perangkat keras komputer beserta perlengkapan dan perangkat lunak

pendukungnya, beberapa sistem informasi manajemen (SIM) yang khusus

dibutuhkan pada beberapa proses bisnis, dan didukung oleh jaringan komputer

lokal dan internet baik melalui kabel maupun wireless.

Pemanfaatan teknologi informasi tersebut sesungguhnya juga mengandung

risiko yang dapat merugikan dan mempengaruhi proses bisnis atau pekerjaan.

Beberapa kejadian risiko teknologi informasi yang kerap terjadi di lingkungan

instansi Biro Umum di antaranya adalah kerusakan atau kegagalan operasional

hardware atau software, serangan virus komputer, kerusakan atau kehilangan

data, dan serangan hacker yang mengganggu jaringan komputer dan situs web

1
 2

instansi. Kegagalan atau kesalahan dalam pengembangan proyek SI/ TI juga dapat

dikategorikan sebagai risiko TI yang harus diantisipasi. Risiko dan kerugiannya

akan semakin besar ketika teknologi informasi tersebut digunakan oleh unit-unit

kerja yang melaksanakan proses-proses bisnis yang penting dan strategis seperti

Bidang Keuangan, Bidang Keseketariatan dan Pengolahan Data Elektronik, dan

Bidang Perlengkapan pada Biro Umum Sekretariat Daerah Propinsi NTB.

Instansi sudah seharusnya mengelola potensi risiko teknologi informasi

yang mungkin terjadi mulai dari perencanaan, implementasi dan operasional

teknologi informasi, dengan kata lain instansi semestinya melaksanakan

manajemen risiko teknologi informasi. Penerapan manajemen risiko teknologi

informasi yang baik akan dapat mengurangi dampak yang merugikan dan

memanfaatkan peluang yang menguntungkan dalam pemanfaatan teknologi

informasi.

Untuk mengetahui dan memahami sudah sejauh mana instansi melakukan

tindakan-tindakan yang dapat mengurangi kerugian yang mungkin muncul sebagai

konsekuensi dalam pemanfaatan teknologi informasi maka perlu dilakukan evaluasi

terhadap proses manajemen risiko teknologi informasi. Informasi ini akan sangat

berharga bagi instansi sebagai bahan untuk melakukan program perbaikan dan

membuat kebijakan yang terkait dengan proses-proses manajemen risiko teknologi

informasinya.

Ada beberapa framework atau metodologi yang dapat digunakan dalam

mengevaluasi manajemen risiko teknologi informasi seperti "Risk IT", ISO/IEC

27005, ISO/FDIS 31000, ARMS, AS/NZS 4360. Selain framework "Risk IT",

framework-framework tersebut umumnya kurang membahas keselarasan

 3

manajemen risiko bisnis yang berhubungan dengan TI dengan manajemen risiko

perusahaan (Enterprise Risk Management) secara keseluruhan dan tidak memiliki

model proses yang rinci berserta praktek manajemen dan model kematangannya

(ISACA, 2009).

Framework "Risk IT" adalah panduan manajemen risiko teknologi

informasi yang memberikan pandangan yang komprehensif dari risiko bisnis yang

terkait dengan teknologi informasi. Ia tidak hanya terbatas tentang risiko

keamanan informasi, tetapi mencakup semua risiko yang berhubungan dengan

teknologi informasi. Framework "Risk IT" dikeluarkan oleh ISACA (Information

System Audit and Control Association) pertama kali pada tahun 2009. "Risk IT"

adalah framework yang didasarkan pada sejumlah prinsip-prinsip panduan untuk

mengelola manajemen risiko teknologi secara efektif. Ia merupakan pelengkap dari

framework tata kelola teknologi informasi COBIT (Control Objectives for

Information and related Technology) (ISACA, 2009).

1.1.1 Perumusan Masalah

Kondisi pelaksanaan manajemen risiko teknologi informasi di Biro Umum

Sekretariat Daerah Provinsi NTB perlu diketahui untuk menjadi dasar dalam

melakukan perbaikan dan peningkatan sehingga terhindar dari kerugian yang lebih

besar. Karenanya permasalahan utama yang akan diteliti adalah bagaimanakah

kondisi pelaksanaan manajemen risiko teknologi informasi di Biro Umum

Sekretariat Daerah Provinsi NTB, sudah sejauh mana proses dan aktivitas

manajemen risiko teknologi informasi dilaksanakan oleh instansi.

 4

1.1.2 Keaslian Penelitian

Penelitian yang khusus mengangkat topik manajemen risiko teknologi

informasi sudah pernah dilakukan oleh beberapa peneliti sebelumnya, tentunya

dengan cakupan dan spesifikasi masing-masing. Beberapa penelitian tersebut yang

dapat disebutkan di antaranya adalah sebagai berikut.

1. Sinaga (2010) meneliti tentang manajemen risiko teknologi informasi yang

dispesifikan pada aspek proses komunikasi risiko teknologi informasinya,

studi kasus pada Perusahaan XYZ. Penelitian berusaha mencari solusi

bagaimana menyampaikan atau mengkomunikasikan hasil identifikasi dan

analisis risiko teknologi informasi yang telah dilakukan kepada seluruh

unit/divisi pada perusahaan tersebut. Sehingga risiko tersebut dapat

diketahui dan dimengerti oleh setiap karyawan serta rencana tindakan

mitigasi risiko dapat dilakukan dengan baik oleh setiap unit/divisi. Selain

itu juga agar dapat menumbuhkan budaya sadar risiko (risk awareness)

pada seluruh karyawan.

2. Langi (2010) khusus meneliti tentang profil risiko teknologi informasi,

studi kasus pada PT Bank XYZ dengan menggunakan framework "Risk

IT". Dalam penelitian ini, peneliti mencoba menganalisa profil risiko TI

Bank XYZ yang memuat identifikasi dan mitigasi risiko dengan

menggunakan pendekatan framework "Risk IT". Selain itu IT Risk Profile

akan coba dilihat kelengkapannya agar bisa memenuhi peraturan BI yang

diatur dalam Peraturan BI (PBI) No. 9/15/PBI/2007 tentang Penerapan

Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank

Umum. Untuk setiap risiko yang diidentifikasi akan diusulkan kontrolnya

 5

dengan mengacu ke COBIT serta pembagian tanggung jawabnya dalam

diagram RACI.

3. Qin dan Shang (2008) secara khusus meneliti tentang manajemen risiko

pada pengembangan proyek teknologi informasi. Melalui penelitian ini

dapat diketahui bagaimana secara efektif mengendalikan risiko sejak dari

awal dan mengurangi risiko kegagalan hingga tingkat yang tertinggi

khususnya pada pengembangan proyek teknologi informasi.

4. Maliki (2010) meneliti tentang manfaat manajemen risiko teknologi

informasi untuk mendukung keberlangsungan layanan publik dengan

menggunakan pendekatan kerangka kerja Information Technologi

Infrastructure Library (ITIL ver.3.0). Peneliti berusaha menghubungkan

antara proses-proses manajemen risiko dengan keberlangsungan layanan

publik, bahwa manajemen risiko teknologi yang dikelola dengan baik dapat

meningkatkan dan memperbaiki proses layanan TI.

5. Maulana dan Supangkat (2006) melakukan penelitian tentang pemodelan

framework manajemen risiko teknologi informasi untuk perusahaan di

negara berkembang. Mereka mencoba membuat pemodelan framework

untuk manajemen risiko yang sesuai dengan kondisi perusahaan di negara

berkembang dengan mengacu pada best practice framework yang telah ada

seperti COBIT, OCTAVE, dan NIST Special Publication 800-30 .

6. Harahap dan Yuliati (2011) melakukan penelitian tentang pengukuran risiko

teknologi informasi pada perusahaan di Indonesia dengan pendekatan

FRAP (studi kasus pada 3 perusahaan). Penelitian ini bertujuan untuk

menganalisis, mengidentifikasi, dan mengukur risiko penggunaan teknologi

 6

informasi (TI) dengan menggunakan pedekatan FRAP (Facilitated Risk

Analysis Process) .

Penelitian yang akan dilaksanakan adalah melakukan evaluasi terhadap

pengelolaan proses-proses manajemen risiko teknologi informasi secara lengkap,

yang meliputi tata kelola risiko, evaluasi risiko, dan respon risiko yang terdapat

pada Biro Umum Sekretariat Daerah Provinsi NTB, khususnya pada Bagian

Keuangan, Bagian Kesekretariatan dan PDE, dan Bagian Perlengkapan yang

mengelola fungsi bisnis yang sangat kritis dan penting serta intensitas penggunaan

teknologi informasinya cukup tinggi. Untuk melakukan evaluasi ini akan

digunakan pendekatan framework "Risk IT" yang merupakan pengembangan dari

kerangka kerja COBIT yang menangani manajemen risiko teknologi informasi.

1.1.3 Manfaat Penelitian

Penelitian ini akan mengevaluasi kondisi manajemen risiko teknologi

informasi pada Biro Umum Sekretariat Daerah Provinsi NTB khususnya pada

Bagian Keuangan, Bagian Sekretariat dan PDE, dan Bagian Perlengkapan yang

memiliki risiko teknologi informasi yang relatif cukup besar terkait dengan tugas

pokok dan fungsinya dan intensitasnya dalam penggunaan teknologi informasi.

Hasil penelitian ini akan menunjukkan tingkat kematangan manajemen

risiko TI saat ini dan yang akan dicapai serta tindakan-tindakan perbaikan yang

perlu dilakukan untuk mengatasi kesenjangan. Informasi ini dapat dimanfaatkan

oleh berbagai pihak untuk kepentingan sebagai berikut.

 7

1. Sebagai bahan masukan bagi instansi untuk merancang program/ kegiatan

perbaikan manajemen risiko TI, khususnya pada aspek-aspek yang dinilai

kurang

2. Sebagai bahan pembelajaran bagi Pemerintah Daerah untuk memperbaiki

pelaksanaan manajemen risiko TI di birokrasi Pemerintah Daerah dan

sebagai referensi dalam penyusunan pedoman penerapan manajemen risiko

TI yang akan menjadi panduan bagi setiap instansi dalam menjalankan

proses-proses manajemen risiko TI.

3. Sebagai referensi bagi dunia akademik dalam penelitian berikutnya yang

terkait dengan manajemen risiko TI, khususnya mengenai pengembangan

manajemen risiko TI di pemerintahan.

1.2 Tujuan Penelitian

Tujuan dalam penelitian ini adalah untuk mengevaluasi kondisi pelaksanaan

manajemen risiko teknologi informasi pada Biro Umum Sekretariat Daerah

Provinsi NTB yang ada pada saat ini dengan mengacu pada model kematangan

yang terdapat dalam framework "Risk IT".