SKRIPSI EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI ...

SKRIPSI

EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI MENGGUNAKAN

FRAMEWORK COBIT 5 DAN ISO 31000:2018 PADA PT. SOLUSI INTEGRASI

TEKNOLOGI

Skripsi ini Diajukan Sebagai Syarat Melaksanakan Kewajiban Studi

Strata Satu (SI) Program Studi Sistem Informasi

Disusun Oleh :

NESYA AMELIA

11160930000068

PROGRAM STUDI SISTEM INFORMASI

FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKARTA

2020 M / 1441 H



TEKNOLOGI

Sebagai Salah Satu Syarat untuk Memperoleh Gelar Sarjana Komputer

Fakultas Sains dan Teknologi

Universitas Islam Negeri Syarif Hidayatullah Jakarta

Disusun Oleh:

Nesya Amelia

11160930000068

PROGRAM STUDI SISTEM INFORMASI

FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKARTA

2021 M/ 1442 H

ii

A’ang Subiyakto, Ph.D

LEMBAR PENGESAHAN



TEKNOLOGI

Disusun Oleh:

Nesya Amelia

11160930000068

Menyetujui,

Pembimbing 1

Nur Aeni Hidayah, MMSI

NIP.197508182005012008

Pembimbing 2

Suci Ratnawati, MTI

NIDN. 0306076904

Mengetahui,

Ketua Program Studi Sistem Informasi Fakultas Sains dan Teknologi

UIN Syarif Hidayatullah Jakarta

NIP. 19760219 200710 1 002

iii

A’ang Subiyakto, Ph.D

LEMBAR PENGESAHAN UJIAN

Skripsi yang berjudul Evaluasi Manajemen Risiko Teknologi Informasi Menggunakan

Framework COBIT 5 dan ISO 31000:2018 Pada PT. Solusi Integrasi Teknologi yang

ditulis oleh Nesya Amelia, NIM 11160930000068 telah diuji dan dinyatakan lulus dalam

sidang Munaqosah Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif

Hidayatullah Jakarta pada hari Kamis, 16 September 2021. Skripsi ini telah diterima sebagai

salah satu syarat gelar sarjana strata satu (S1) program studi Sistem Informasi.

Menyetujui

Penguji I

Fitroh, M.Kom

NIP. 19790923 200912 2 006

Penguji II

Sarip Hidayatuloh, MMSI

NIP. 19750811 200912 1 001

Pembimbing I

Nur Aeni Hidayah, MMSI

NIP. 19750818 200501 2 008

Pembimbing II

Suci Ratnawati, MTI

NIDN. 306076904

,

Mengetahui,

Dekan Fakultas Sains dan Teknologi

Nashrul Hakiem, S.Si.,M.T., Ph.D

NIP. 19710608200501 1 005

Ketua Program Studi Sistem Informasi

NIP. 19760219 200710 1 002

iv

LEMBAR PERNYATAAN

DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR-BENAR

HASIL KARYA SENDIRI DAN BELUM PERNAH DIAJUKAN SEBAGAI

SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGKAT TINGGI

ATAU LEMBAGA MANAPUN.

Jakarta, 21 Oktober 2021

NESYA AMELIA

NIM. 11160930000068

v

ABSTRAK

Nesya Amelia – 11160930000068. Evaluasi Manajemen Risiko Teknologi

Informasi Menggunakan Framework COBIT 5 dan ISO 31000:2018 pada PT.

Solusi Integrasi Teknologi. Dibawah bimbingan Nur Aeni Hidayah dan Suci

Ratnawati.

Penerapan IT Governance pada suatu organisasi dapat membantu organisasi dalam

mencapai tujuan dalam proses bisnisnya. Dengan menerapkan TI pada proses bisnis

juga dapat meningkatkan risiko negatif terhadap tujuan organisasi. Ketergantungan

organisasi terhadap TI akan semakin memperbesar dampak risiko terhadap

organisasi. Penting sekali sebuah organisasi mengatur manajemen risiko TI. PT.

Solusi Integrasi Teknologi dalam menjalankan proses bisnis nya banyak

menggunakan teknologi informasi, oleh karena itu muncul beberapa permasalahan

yang dihadapi seperti pada tahun 2019 terjadi kerusakan database dikarenakan mati

listrik dan fungsi back-up belum dijalankan, sehingga pekerjaan terkait pembuatan

software harus berhenti sementara dan menimbulkan keterlambatan dalam

menyelesaikan proyek tersebut. Dengan muncul permasalahan ini perlu dilakukan

evaluasi manajemen terhadap risiko TI. Penelitian ini bertujuan untuk mengetahui

tingkat kapabilitas manajemen risiko TI dengan menggunakan metodologi Process

Assessment Model (PAM) COBIT 5 dan penilaian risiko menggunakan metodologi

OWASP Risk Rating Methodology serta memberikan langkah mitigasi berdasarkan

framework ISO 31000:2018. Hasil dari penelitian ini tingkat capability saat ini

berada pada level 2 (Managed Process) dan hasil dari penilaian risiko menunjukkan

terdapat 3 risk issue masuk kedalam level high dan 5 risk issue masuk kedalam level

low. Sehingga PT. Solusi Integrasi Teknologi direkomendasikan untuk menerapkan

langkah mitigasi dengan prinsip ISO 31000:2018 dan implementasi IT Continuity

Plan atau Business Continuity Plan sebagai upaya mencapai tingkat kapabilitas

yang diharapkan.

Kata Kunci : IT Governance, Manajemen Risiko TI, PAM, Penilaian Risiko, ISO

31000:2018, IT Continuity Plan

Bab I-V + 285 Halaman + 21 Gambar + 86 Tabel + Daftar Pustaka + Lampiran

Pustaka Acuan (58, 2000 – 2020)

vii

KATA PENGANTAR

Assalamu’alaikum Wr. Wb.

Segala puji bagi Allah SWT penulis panjatkan atas limpahan rahmat dan

karunia-Nya sehingga penulisa dapat menyelesaikan skripsi yang berjudul

“Evaluasi Manajemen Risiko Teknologi Informasi Menggunakan Framework

COBIT 5 dan ISO 31000:2018 pada PT. Solusi Integrasi Teknologi”. pada

kesempatan yang diberikan ini, penulis ingin menyampaikan ucapan terima kasih

kepada pihak-pihak yang telah mendukung dan mendoakan penulis sepanjang

proses pembuatan skripsi ini. Rasa terima kasih yang sebesar-besarnya penulis

sampaikan kepada:

1. Bapak Nashrul Hakiem, S.Si., M.T., Ph.D selaku Dekan Fakultas Sains dan

Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta.

2. Bapak A’ang Subiyakto, M.Kom., Ph.D selaku Ketua Program Studi Sistem

Informasi Fakultas Sains dan Teknologi.

3. Ibu Nur Aeni Hidayah, MMSI selaku Dosen Pembimbing I dan Ibu Suci

Ratnawati, MT selaku Dosen Pembimbing II yang telah memberikan ilmu,

dukungan dan bimbingannya selama proses penyusunan laporan ini

sehingga terselesaikan dengan baik.

4. Ibu Fitroh, M.Kom selaku Dosen Penguji I dan Bapak Sarip Hidayatuloh,

MMSI selaku Dosen Penguji II yang telah memberikan ilmu dan saran pada

penelitian ini.

viii

5. Dosen-dosen Program Studi Sistem Informasi yang telah memberikan ilmu

dan dukungan selama penulisan berproses dan belajar di bangku

perkuliahan.

6. Orang Tua penulis yang tiada hentinya memberikan doa, dukungan baik

materi serta kasih sayang kepada penulis sehingga dapat menyelesaikan

skripsi ini. Semoga Allah senantiasa melindungi kalian.

7. Teman-teman Sistem Informasi khususnya SI C 2016 yaitu farah, adli,

chandra yang selalu memberikan semangat dan bantuannya. Teman-teman

Muslimah yaitu Novi, Neera, Salsa dan Rovi yang selalu siap membantu

dan mendukung penulis selama proses skripsi. Kalian teman terbaik.

8. Teman-teman Telescoope yaitu Kak Aldo, Kak Willy, Kak Wawa, Zahra,

Raka, Rangga, Hamdi yang selalu menghibur dan memberikan penulis

dukungan untuk menyelesaikan skripsi ini.

9. Alda dan Dewi yang selalu memberikan dukungan dan doa sehingga penulis

bisa menyelesaikan skripsi.

Saat penyusunan skripsi ini, penulis menyadari bahwa masih adanya

kekurangan dalam peneilitian karena berbagai keterbbatasan seperti ilmu dan

waktu yang dimiliki. Untuk itu, kritik maupun saran penulis terima dan dapat

disampaikan via email [email protected].

Jakarta, 21 Oktober 2021

NESYA AMELIA

NIM. 11160930000068

mailto:[email protected]

x

DAFTAR ISI

LEMBAR PENGESAHAN ............................................................................. ii

ABSTRAK ........................................................................................................ iv

DAFTAR ISI ................................................................................................... vii

DAFTAR GAMBAR ..................................................................................... xiv

DAFTAR TABEL .......................................................................................... xvi

BAB I ............................................................................................................... xx

PENDAHULUAN ............................................................................................. 1

1.1 Latar Belakang .......................................................................................... 1

1.2 Identifikasi Masalah................................................................................ 10

1.3 Rumusan Masalah ................................................................................... 10

1.4 Batasan Masalah ..................................................................................... 11

1.5 Tujuan Penelitian .................................................................................... 11

1.6 Manfaat Penelitian .................................................................................. 12

1.6.1 Bagi Perusahaan ............................................................................... 12

1.6.2 Bagi Penulis .......................................................................................... 12

1.7 Metodologi Penelitian ............................................................................. 12

1.7.1 Metode Pengumpulan Data .............................................................. 12

1.7.2 Metode Analisis Data............................................................................ 13

1.8 Waktu dan Tempat Penelitian .................................................................... 15

1.9 Sistematika Penulisan ................................................................................. 15

BAB II .............................................................................................................. 18

LANDASAN TEORI ...................................................................................... 19

2.1 Pengertian Evaluasi ................................................................................ 19

2.2 Tata Kelola Teknologi Informasi ................................................................ 19

2.2.1 Pengertian Tata Kelola ..................................................................... 19

2.2.2 Pengertian Teknologi Informasi ...................................................... 20

2.2.3 Kegunaan Tata Kelola Teknologi Informasi .................................... 20

2.3 Framework Tata Kelola Teknologi Informasi........................................ 21

2.3.1 ITIL ...................................................................................................... 21

2.3.2 ISO ........................................................................................................ 21

xi

2.3.3 COSO ................................................................................................... 22

2.3.4 CMMI ................................................................................................... 22

2.3.5 COBIT .................................................................................................. 23

2.4 COBIT 5 ................................................................................................. 24

2.4.1 Prinsip COBIT 5 ................................................................................... 25

2.4.2 7 Enablers ........................................................................................ 27

2.4.3 Tahap Implementasi COBIT 5 .............................................................. 29

2.4.4 Process Reference Model (PRM) ..................................................... 32

2.4.5 Process Assessment Model (PAM) .................................................. 42

2.4.6 Process Capability Model (Model Proses Kapabilitas) ........................ 45

2.4.7 RACI (Responsible, Accountable, Consulted, Informed) Chart ........... 66

2.5 Pemetaan Tujuan TI Terhadap Proses COBIT 5 ......................................... 70

2.6 Fokus Area Tata Kelola Teknologi Informasi ............................................. 74

2.7 ISO 31000:2018 .......................................................................................... 75

2.7.1 Prinsip ISO 31000:2018 ....................................................................... 78

2.7.2 Framework ISO 31000:2018 ................................................................ 79

2.7.3 Proses ISO 31000:2018 ........................................................................ 80

2.8 Risiko ........................................................................................................... 80

2.9 Risiko IT ...................................................................................................... 81

2.10 Manajemen Risiko TI ................................................................................ 82

2.11 Risk Assessment ......................................................................................... 83

2.11.1 OWASP Risk Rating Methodology ..................................................... 83

2.11.2 Risk Likelihood ................................................................................... 84

2.11.3 Risk Impact ......................................................................................... 86

2.11.4 Risk Severity ........................................................................................ 87

2.12 Risk Response ............................................................................................ 88

2.13 Business Continuity Plan ........................................................................... 88

2.14 Disaster Recovery Plan ............................................................................. 89

2.15 Metode Penelitian ...................................................................................... 90

2.15.1 Metode Pengumpulan Data ................................................................. 91

2.15.2 Metode Analisis Data.......................................................................... 91

2.15.3 Metode Perhitungan Skala Likert ....................................................... 93

xii

2.16 Penelitian Sejenis .................................................................................. 95

BAB III .......................................................................................................... 106

METODOLOGI PENELITIAN ................................................................. 107

3.1 Desain Penelitian ....................................................................................... 107

3.2 Initiation .................................................................................................... 108

3.2.1 Observasi ............................................................................................ 108

3.2.3 Wawancara ......................................................................................... 108

3.2.4 Kuesioner ............................................................................................ 109

3.2.5 Studi Pustaka .................................................................................. 110

3.3 Planning the Assessment ...................................................................... 111

3.4 Briefing ...................................................................................................... 115

3.5 Data Collection ..................................................................................... 115

3.6 Data Validation..................................................................................... 116

3.7 Process Attribute Level ......................................................................... 116

3.8 Penilaian Risiko .................................................................................... 116

3.9 Reporting the Result ............................................................................. 116

3.10 Kerangka Penelitian ............................................................................ 117

BAB IV .......................................................................................................... 119

HASIL DAN PEMBAHASAN .................................................................... 120

4.1 Initiation .................................................................................................... 120

4.1.1 Gambaran Umum PT. Solusi Integrasi Teknologi .............................. 120

4.1.2 Visi dan Misi PT. Solusi Integrasi Teknologi .................................... 120

4.1.3 Struktur Organisasi PT. Solusi Integrasi Teknologi ........................... 120

4.1.4 Peran dan Tanggung Jawab ................................................................ 121

4.1.5 Struktur Organisasi Divisi IT PT. Solusi Teknologi Informasi .......... 122

4.2 Planning the Assessment ...................................................................... 124

4.2.1 Penentuan Area Penelitian .................................................................. 124

4.2.2 Penentuan Responden dengan RACI Chart ........................................ 124

4.2.3 Uji Coba Instrumen ............................................................................. 126

4.2.4 Rincian Jawaban Kuesioner EDM03 (Ensure Risk Optimisation) ..... 127

4.2.5 Rincian Jawaban Kuesioner APO12 (Manage Risk) .......................... 130

4.2.6 Rincian Jawaban Kuesioner APO13 (Manage Security) .................... 142

xiii

4.2.7 Rincian Jawaban Kuesioner BAI06 (Manage Changes) ..................... 150

4.3 Briefing ...................................................................................................... 156

4.4 Data Collection ......................................................................................... 157

4.4.1 Proses EDM03 .................................................................................... 157

4.4.2 Proses APO12 ..................................................................................... 158

4.4.3 Proses APO13 ..................................................................................... 159

4.4.4 Proses BAI06 ...................................................................................... 160

4.5 Data Validation ......................................................................................... 161

4.6 Process Attribute Level ......................................................................... 176

4.6.1 Penentuan Nilai Kapabilitas................................................................ 176

4.6.2 Penentuan Level Kapabilitas .............................................................. 184

4.6.3 Pencapaian Proses .......................................................................... 189

4.6.4 Penilaian Risiko.............................................................................. 206

4.7 Reporting the Result ............................................................................. 212

4.7.1 Hasil Capability Level .................................................................... 212

4.7.2 Gap & Rekomendasi Proses EDM03 ............................................. 213

4.7.3 Gap & Rekomendasi Proses APO12 .............................................. 215

4.7.4 Gap & Rekomendasi Proses APO13 .................................................. 218

4.7.5 Gap & Rekomendasi Proses BAI06 .................................................... 219

4.7.6 Hasil Penilaian Risiko .................................................................... 221

4.7.7 Mitigasi Risiko .................................................................................... 223

BAB V ............................................................................................................ 228

KESIMPULAN DAN SARAN .................................................................... 228

5.1 Kesimpulan ............................................................................................... 228

5.2 Saran .......................................................................................................... 229

DAFTAR PUSTAKA ................................................................................... 230

LAMPIRAN ................................................................................................. xxvi

xv

DAFTAR GAMBAR

Gambar 2. 1 Prinsip COBIT 5 (ISACA. 2012b) ................................................. 25

Gambar 2. 2 COBIT 5 Governance and Management Key Areas (ISACA. 2012b)

............................................................................................................................... 27

Gambar 2. 3 COBIT 5 Enterprise Enablers (ISACA. and Lainhart 2012) ......... 29

Gambar 2. 4 Tahap Implementasi COBIT 5 (ISACA. and Lainhart 2012) ........ 30

Gambar 2. 5 COBIT 5 Process Reference Model (ISACA. and Lainhart 2012) 33

Gambar 2. 6 Assessment Indicators (ISACA 2013) ............................................ 43

Gambar 2. 7 Capability Levels and Process Attributes (ISACA 2013) .............. 45

Gambar 2. 8 Diagram RACI EDM03 (ISACA 2012) ......................................... 67

Gambar 2. 9 Mapping COBIT 5 Enterprise Goals to Governance and

Management Questions (ISACA. and Lainhart 2012) .......................................... 70

Gambar 2. 10 Mapping COBIT 5 Enterprise Goals to IT-related Goals (ISACA.

and Lainhart 2012) ................................................................................................ 71

Gambar 2. 11 Mapping COBIT 5 IT-Related Goals to Processes (ISACA. and

Lainhart 2012) ....................................................................................................... 73

Gambar 2. 12 Prinsip ISO 31000:2018 (Susilo 2018) ......................................... 78

Gambar 2. 13 Framework ISO 31000:2018 (Susilo 2018) ................................. 79

Gambar 2. 14 Process ISO 31000:2018 (Susilo 2018) ....................................... 80

Gambar 3. 1 Kerangka Penelitian ...................................................................... 118

Gambar 4. 1 Struktur Organisasi PT. Solusi Integrasi Teknologi ..................... 121

Gambar 4. 2 Struktur Organisasi Divisi IT PT. Solusi Integrasi Teknologi ...... 123

Gambar 4. 3 Grafik Proses EDM03 (Ensure Risk Optimisation) ...................... 184

Gambar 4. 4 Grafik Proses APO12 (Manage Risk) ........................................... 186

Gambar 4. 5 Grafik Proses APO13 (Manage Security) ..................................... 187

Gambar 4. 6 Grafik Proses BAI06 (Manage Changes) ..................................... 188

xvi

DAFTAR TABEL

Tabel 2. 1 Process Performance (ISACA 2013) .................................................. 46

Tabel 2. 2 Performance Management (ISACA 2013) .......................................... 47

Tabel 2. 3 Work Product Management (ISACA 2013) ........................................ 49

Tabel 2. 4 Process Definition (ISACA 2013) ...................................................... 51

Tabel 2. 5 Process Deployment (ISACA 2013) ................................................... 54

Tabel 2. 6 Process Measurement (ISACA 2013) ................................................. 57

Tabel 2. 7 Process Control (ISACA 2013) .......................................................... 59

Tabel 2. 8 Process Innovation (ISACA 2013) ..................................................... 61

Tabel 2. 9 Process Optimisation (ISACA 2013) .................................................. 64

Tabel 2. 10 Perbedaan ISO 31000:2019 dan ISO 31000:2009 ............................ 76

Tabel 2. 11 Kategori Risk Severity ....................................................................... 87

Tabel 2. 12 Diagram RACI PT. Solusi Integrasi Teknologi .............................. 109

Tabel 3. 1 Pemetaan RACI Chart ke Struktur Organisasi Proses EDM03 ......... 113

Tabel 3. 2 Pemetaan RACI Chart ke Struktur Organisasi Proses APO12 .......... 114

Tabel 3. 3 Pemetaan RACI Chart ke Struktur Organisasi Proses APO13 .......... 114

Tabel 3. 4 Pemetaan RACI Chart ke Struktur Organisasi Proses BAI06 ........... 115

Tabel 4. 1 Pemetaan Diagram RACI Proses EDM03 ......................................... 125

Tabel 4. 2 Pemetaan Diagram RACI Proses APO12.......................................... 125

Tabel 4. 3 Pemetaan Diagram RACI Proses APO13.......................................... 126

Tabel 4. 4 Pemetaan Diagram Raci Proses BAI06 ............................................. 126

Tabel 4. 5 Rincian Jawaban Kuesioner EDM03.01 ........................................... 127



Tabel 4. 8 Rincian Jawaban Kuesioner APO12.01 ............................................ 130

Tabel 4. 9 Rincian Jawaban Kuesioner APO12.02 ............................................ 133

Tabel 4. 10 Rincian Jawaban Kuesioner APO12.03 .......................................... 135





xvii



Tabel 4. 17 Rincian Jawaban Kuesioner BAI06.01............................................ 150




Tabel 4. 21 Tahap Briefing ................................................................................. 156

Tabel 4. 22 Rekapitulasi Jawaban Kuesioner EDM03.01 (Evaluasi Manajemen

Risiko) ................................................................................................................. 161

Tabel 4. 23 Rekapitulasi Jawaban Kuesioner EDM03.02 (Mengarahkan

Manajemen Risiko) ............................................................................................. 162

Tabel 4. 24 Rekapitulasi Jawaban Kuesioner EDM03.03 (Mengawasi Manajemen

Risiko) ................................................................................................................. 163

Tabel 4. 25 Rekapitulasi Jawaban Kuesioner APO12.01 (Mengumpulkan Data)

............................................................................................................................. 164

Tabel 4. 26 Rekapitulasi Jawaban Kuesioner APO12.02 (Menganalisis Risiko)

............................................................................................................................. 164

Tabel 4. 27 Rekapitulasi Jawaban Kuesioner APO12.03 (Mempertahankan Profil

Risiko) ................................................................................................................. 165

Tabel 4. 28 Rekapitulasi Jawaban Kuesioner APO12.04 (Mengartikulasikan

Risiko) ................................................................................................................. 166

Tabel 4. 29 Rekapitulasi Jawaban Kuesioner APO12.05 (Mendefinisikan

portofolio tindakan manajemen risiko) ............................................................... 167

Tabel 4. 30 Rekapitulasi Jawaban Kuesioner APO12.06 (Menanggapi Risiko) 167

Tabel 4. 31 Rekapitulasi Jawaban Kuesioner APO13.01 (Membangun dan

memelihara sistem manajemen keamanan informasi) ........................................ 168

Tabel 4. 32 Rekapitulasi Jawaban Kuesioner APO13.02 (Menentukan dan

mengelola rencana perlakuan risiko keamanan informasi) ................................. 169

Tabel 4. 33 Rekapitulasi Jawaban Kuesioner APO13.03 (Memantau dan

Mengulas Sistem Manajemen Keamanan Informasi) ......................................... 170

xviii

Tabel 4. 34 Rekapitulasi Jawaban Kuesioner BAI06.01

(Mengevaluasi,memprioritaskan dan mengotorisasi permintaan perubahan) ..... 172

Tabel 4. 35 Rekapitulasi Jawaban Kuesioner BAI06.02 (Mengelola Perubahan

Darurat) ............................................................................................................... 173

Tabel 4. 36 Rekapitulasi Jawaban Kuesioner BAI06.03 (Melacak dan melaporkan

status perubahan) ................................................................................................. 174

Tabel 4. 37 Rekapitulasi Jawaban Kuesioner BAI06.04 (Menutup dan

mendokumentasikan perubahan) ......................................................................... 175

Tabel 4. 38 Penentuan Tingkat Kapabilitas EDM03 .......................................... 184

Tabel 4. 39 Penentuan Tingkat Kapabilitas APO12 ........................................... 185

Tabel 4. 40 Penentuan Tingkat Kapabilitas APO13 ........................................... 186

Tabel 4. 41 Penentuan Tingkat Kapabilitas BAI06 ............................................ 188

Tabel 4. 42 Proses EDM03 PA 1.1 Process Performance ................................. 190

Tabel 4. 43 Proses EDM03 PA 2.1 Performance Management ......................... 192

Tabel 4. 44 Proses EDM03 PA 2.2 Work Product Management ....................... 193

Tabel 4. 45 Proses APO12 PA 1.1 Process Performance .................................. 194

Tabel 4. 46 Proses APO12 PA 2.1 Performance Management .......................... 196

Tabel 4. 47 Proses APO12 PA 2.2 Work Product Management ........................ 198

Tabel 4. 48 Proses APO13 PA 1.1 Process Performance .................................. 198

Tabel 4. 49 Proses APO13 PA 2.1 Performance Management .......................... 200

Tabel 4. 50 Proses APO13 PA 2.2 Work Product Management ........................ 201

Tabel 4. 51 Proses BAI06 PA 1.1 Process Management ................................... 202

Tabel 4. 52 Proses BAI06 PA 2.1 Performance Management ........................... 204

Tabel 4. 53 Proses BAI06 PA 2.2 Work Product Management ......................... 205

Tabel 4. 54 Identifikasi Risiko ........................................................................... 207

Tabel 4. 55 Risk Likelihood ................................................................................ 208

Tabel 4. 56 Risk Impact ...................................................................................... 210

Tabel 4. 57 Risk Severity .................................................................................... 211

Tabel 4. 58 Overall Severity Map ....................................................................... 212

xix

Tabel 4. 59 Capability Level Proses EDM03 ..................................................... 213

Tabel 4. 60 Gap dan Rekomendasi EDM03 ....................................................... 214

Tabel 4. 61 Capability Level APO12 ................................................................. 216

Tabel 4. 62 Gap dan Rekomendasi APO12 ........................................................ 216

Tabel 4. 63 Capability Level APO13 ................................................................. 218

Tabel 4. 64 Gap dan Rekomendasi APO13 ........................................................ 218

Tabel 4. 65 Capability Level BAI06 .................................................................. 220

Tabel 4. 66 Gap dan Rekomendasi BAI06 ......................................................... 220

Tabel 4. 67 Hasil Penilaian Risiko ..................................................................... 222

Tabel 4. 68 Langkah Mitigasi ............................................................................. 223

1

BAB I

PENDAHULUAN

1.1 Latar Belakang

Berkembangnya teknologi saat ini memberikan dampak yang signifikan

terhadap suatu organisasi dan bisnis. Dengan berkembangnya teknologi

membuat tingkat persaingan antar organisasi kian meningkat. Banyak

organisasi yang melakukan penerapan Sistem Informasi (SI) dan Teknologi

Informasi (TI). Hal terpenting dalam penerapan TI adalah peran IT governance

untuk menyelaraskan strategi bisnis dan strategi teknologi informasi.

IT Governance adalah kumpulan kebijakan, proses / aktivitas dan

prosedur untuk mendukung pengoperasian TI agar hasilnya sejalan dengan

strategi bisnis (strategi organisasi) (Pramono et al., 2016). Peranan IT

governance sangat membantu dalam pencapaian tujuan suatu organisasi yang

menerapkan TI dalam proses bisnisnya, selain itu IT governance juga berperan

untuk membantu proses pengambilan keputusan. Fokus area IT governance

antara lain Strategic Alignment, Value Delivery, Risk Management, Resources

Management, Performance Measurement. Penggunaan TI juga dapat

meningkatkan risiko negatif terhadap tujuan perusahaan. Dimana

ketergantungan perusahaan terhadap TI akan semakin memperbesar dampak

risiko terhadap perusahaan. Risiko yang timbul akan berpengaruh proses kerja

yang tidak optimal, kerugian finansial, menurunnya kualitas perusahaan hingga

tidak tercapainya tujuan dari perusahaan (Setyaningrum, 2017) .

2

Risiko IT merupakan risiko yang diakibatkan dari penggunaan teknologi

informasi yang berpotensi menimbulkan dampak. Upaya dalam mengelola

risiko IT disebut dengan manajemen risiko IT (Arief, 2017). Menurut

Westerman (2007) manajemen risiko TI (Teknologi Informasi) merupakan

gabungan beberapa proses yang terdiri dari identifikasi, pengkajian,

pengembangan strategi mitigasi dan komunikasi risiko TI yang berpotensi

menimbulkan dampak negatif dan dapat merugikan organisasi.

PT. Solusi Integrasi Teknologi adalah perusahaan yang bergerak di

bidang teknologi informasi terutama dalam pembuatan software berkualitas di

berbagai sektor bidang bisnis. PT. Solusi Integrasi Teknologi menyediakan

layanan TI mulai dari Software Development, Maintenance Services,

Konsultasi IT, dan Analisa Bisnis Perusahaan. Dalam menjalankan bisnisnya,

PT. Solusi Integrasi menerapkan teknologi informasi berupa website yang

digunakan untuk penyebaran informasi terkait profil perusahaan dan layanan

dari perusahaan ini. Selain menerapkan teknologi informasi berupa website, PT.

Solusi Integrasi juga menggunakan cloud storage untuk mengarsipkan data

pegawai dan data perusahaan. Dalam pembuatan software untuk client, PT.

Solusi Integrasi Teknologi juga memanfaatkan teknologi informasi berupa

database server untuk meningkatkan kinerja software yang membutuhkan

penyimpanan data.

Berdasarkan hasil wawancara, kegiatan pengelolaan TI pada PT. Solusi

Integrasi Teknologi disadari belum maksimal karena keterbatasan SDM

3

(Sumber Daya Manusia) yang sedikit dan belum bisa sepenuhnya menghadapi

risiko yang dapat terjadi secara tiba-tiba. Terlihat dari penanganan risiko

dilakukan secara spontanitas dan hanya dilakukan oleh beberapa pegawai yang

dianggap bisa menangani risiko tersebut dikarenakan SDM yang terbatas. Pada

perusahaan ini juga, belum adanya dokumen standar prosedur untuk menangani

risiko, sehingga pengendalian risiko belum dikelola dengan baik. Pada tahun

2019, terjadi kejadian tidak terduga yaitu terjadinya mati listrik. Sebelum mati

listrik fungsi back-up data yang seharusnya dijalankan pada setiap 4 jam sekali

belum dijalankan hasilnya database ke rest/corrupt sehingga pekerjaan terkait

pembuatan software harus berhenti sementara dan menimbulkan keterlambatan

dalam menyelesaikan proyek tersebut. Sedangkan proses back-up data

merupakan salah satu upaya untuk mengurangi munculnya risiko TI.

Dari permasalahan diatas diperlukan perbaikan dalam tata kelola teknologi

informasi yang tepat untuk dapat mengendalikan dan meminimalisir risiko yang

akan datang. Dalam melakukan perbaikan atau evaluasi tata kelola teknologi

informasi dibutuhkan sebuah framework yang tepat agar hasil dari evaluasi dapat

dijadikan panduan untuk membuat rekomendasi langkah mitigasi risiko TI yang

lebih baik. Adapun beberapa framework yang dapat digunakan untuk mengevaluasi

risiko adalah ITIL (Information Technology Infrastructure Library), ISO

(International Organization for Standardization), COSO (Committee of Sponsoring

Organizations of the Treadway Commission), COBIT (Control Objective for

Information and Related Technology) , Risk IT Framework. Pada penelitian ini

framework yang akan digunakan untuk mengevaluasi risiko adalah Control

4

Objective for Information and Related Technology (COBIT) versi 5 dan

International Organization for Standardization (ISO) yang digunakan pada

penelitian ini ISO 31000:2018 khusus untuk manajemen risiko.

COBIT 5 merupakan panduan ISACA yang membahas mengenai tata kelola

dan manajemen IT. Dalam COBIT 5 saat ini terbagi menjadi 5 Domain yang terdiri

dari 37 proses. Adapun 5 Domain tersebut adalah Evaluate, Direct and Monitor

(EDM) 5 proses; Align, Plan and Organise (APO) 13 proses; Build, Acquire and

Operate (BAI) 10 proses; Deliver, Service and Support (DSS) 6 proses; dan

Monitor,Evaluate and Assess (MEA) 3 proses. COBIT 5 menyediakan kerangka

kerja yang membantu perusahaan dalam mencapai tujuan mereka dengan tata kelola

dan manajemen teknologi informasi (ISACA., 2012b). COBIT 5 memungkinkan TI

untuk mengatur dan mengelola secara menyeluruh dalam perusahaan, dengan

mempertimbangkan penuh bisnis dan bidang fungsional TI dari

tanggung jawab dan mempertimbangkan kepentingan terkait TI (Arief,

2017).

Penelitian sebelumnya membahas tentang evaluasi penerapan manajemen

risiko dengan menggunakan COBIT 5 Sub domain EDM03 (Ensure Risk

Optimisation). Hasil dari penelitian ini menyatakan perusahaan berada pada tingkat

kapabilitas pada level 1 performed process kategori largely achieved yang berarti

pada level ini proses yang diimplementasikan organisasi mencapai tujuan prosesnya

(Riadi et al., 2018).

5

Penelitian sebelumnya yang berjudul “Usulan Manajemen Risiko

Berdasarkan Standar SNI ISO/IEC 27001:2009 Menggunakan Indeks KAMI

(Keamanan Informasi) Studi Kasus : Badan Nasional Penempatan dan

Perlindungan Tenaga Kerja Indonesia (BNP2TKI)” memiliki hasil penelitian yaitu

tingkat kepentingan Teknologi Informasi dan Komunikasi termasuk ke dalam

kategori tinggi yaitu dengan skor 31 yang memiliki arti BNP2TKI membutuhkan

keamanan ekstra untuk melindungi asset atau informasi yang dimiliki (Dewi et al.,

2015).

Penelitian yang membahas evaluasi tata kelola teknologi informasi di rumah

sakit dengan menggunakan kerangka COBIT 5 memiliki hasil penelitian berupa

tingkat kapabilitas di rumah sakit tersebut pada kondisi saat ini berada pada level 3

dengan nilai 3,04 sedangkan kondisi yang diharapkan berada pada level 4 dengan

nilai 4,06 (Credo & Ratnawati, 2014).

Selain itu adapun penelitian evaluasi manajemen risiko pada Perusahaan

BUMN menggunakan Standar COBIT 5. Hasil penelitian menyebutkan bahwa

kemampuan perusahaan dalam menjalankan proses EDM03 dan APO12 sama-

sama berada pada level 1 yang berarti pada proses Ensure Risk Optimation dan

Managed Risk di PT TASPEN telah diimplementasikan, namun belum digunakan

secara optimal dalam mendukung bisnis proses dalam perusahaan (Aziz et al.,

2019).

Penelitian dengan judul “Evaluasi Manajemen Resiko Teknologi Informasi

Menggunakan Kerangka Kerja COBIT 5.0” dilakukan pada PT. Pegadaian yang

6

belum pernah melakukan evaluasi terhadap SI dan TI yang telah diterapkan

sehingga sampai saat ini bagian TI pada PT. Hasil dari penelitian ini berupa nilai

kapabilitas serta rekomendasi untuk pencapaian tingkat kapabilitas terkait proses

Evaluate, Direct, dan Monitor (M. Megawati & Syntia, 2018).

Penelitian sebelumnya yang berjudul “Manajemen Risiko Teknologi

Informasi Menggunakan ISO 31000:2018 (Studi Kasus : CV.XY)” membahas

standarisasi yang belum digunakan pada perusahaan tersebut khusus untuk bagian

IT. Hasil dari analisis tersebut adalah IT dari perusahaan tersebut belum memenuhi

standar ISO 31000:2018, dikarenakan dari beberapa tahapan pengamatan,

wawancara, serta penilaian terhadap risiko itu sendiri masih banyak temuan risiko

yang belum bisa terpecahkan oleh perusahaan (Mahardika et al., 2019b).

Penelitian sebelumnya membahas implementasi sistem informasi berbasis

ERP pada sebuah organisasi. Hasil dari penelitian didapatkan nilai capability level

untuk EDM03 pada level 2 dan APO12 pada level 1. Setelah itu dilakukan penilaian

risiko untuk kemudian menentukan langkah mitigasi risiko (Setyaningrum, 2017).

Penelitian dengan bahasan tentang adanya ancaman dan risiko TI yang

muncul seiring dengan penerapan IT Governance yang dapat mengganggu proses

bisnis yang berjalan. Hasil dari penelitian ini menunjukkan tingkat pengelolaan

risiko dan pengoptimalan risiko saat ini berada pada level 3 (Established Process)

dan berdasarkan hasil penilaian risiko terdapat 6 risk issue yang tingkat risikonya

di atas batas risk appetite (Firdaus, n.d.).

7

Penelitian bidang lain yang membahas tentang manajemen risiko ada pada

bidang pembiayaan murabahah pada Bank BRI Syariah. Hasil penelitian ini

menunjukkan bahwa proses pengelolaan risiko pembiayaan murabahah pada Bank

BRI Syariah dilakukan dengan treatment atau cara yang berbeda-beda, tergantung

dari jenis risikonya. Evaluasi manajemen risiko yang dilakukan oleh Bank BRI

Syariah yaitu dengan terus mengembangkan infrastruktur dan kapabilitas

manajemen risiko serta melakukan koordinasi langsung dari Bank Pusat. (Rosmini,

2016).

Penelitian berjudul Evaluasi Pelaksanaan Manajemen Risiko Teknologi

Informasi pada Kantor Arsip Daerah Kota Samarinda dengan Menggunakan The

Risk IT Framework. Hasil dari penelitian didapatkan proses pelaksanaan

manajemen risiko teknologi pada Kantor Arsip Daerah Kota Samarinda ada yang

beberapa target yang sudah dicapai dan masih ada target yang belum tercapai. Ini

ditunjukkan dengan atribut tingkat kematangan teknologi informasi yang sebagian

besar berada pada tingkat kematangan repeatable but intuitive dan defined process.

(Nurcahyo, 2013).

Pembahasan evaluasi manajemen risiko lainnya ada pada penelitian dengan

judul Evaluasi Manajemen Risiko Kantor Akuntan Publik (KAP) dalam Keputusan

Penerimaan Klien Berdasarkan Pertimbangan dari Risiko Klien, Risiko Audit dan

Risiko Bisnis KAP. Hasil penelitian ini menyebutkan bahwa manajemen risiko

KAP merupakan satu hal yang penting bagi profesi akuntan publik. Hal ini

dibuktikan secara empiris bahwa risiko klien, risiko audit dan risiko bisnis KAP

8

mempunyai dampak signifikan terhadap proses penerimaan klien di KAP. (Sensi,

2014).

Adapun penelitian dengan judul Evaluasi Manajemen Risiko Teknologi

Informasi Menggunakan Kerangka Kerja COBIT 5 (Studi Kasus pada Perum Jasa

Tirta I Malang). Hasil dari penelitian ini menyimpulkan kemampuan perusahaan

dalam menjalankan proses EDM03 dan APO12 sama-sama berada pada level 2

yaitu Managed Process yang berarti aktivitas yang berkaitan dengan perencanaan,

pemantauan dan penyesuaian telah dikelola dengan baik serta hasil kerjanya telah

ditetapkan, dipantau dan dikelola dengan tepat. (Arief, 2017).

Penelitian sebelumnya dengan bahasan manajemen risiko e-procurement

pada PT. Pertamina menjelaskan adanya suatu permasalahan dalam penggunaan

teknologi informasi terhadap pengadaan barang dan jasa. Hasil dari penelitian

menyimpulkan bahwa nilai rata-rata capability level untuk domain EDM03 adalah

3 dan 1 untuk domain APO12. Nilai analisis gap yang diharapkan untuk semua

domain adalah 1 untuk capability level dan maturity level. (Dyahaloka, 2016).

Berdasarkan permasalahan yang telah diuraikan diatas dan berdasarkan

pada penelitian sebelumnya, penelitian ini menggunakan framework COBIT 5 dan

ISO 31000:2018. Pemilihan framework COBIT 5 didasari karena kerangka kerja

COBIT 5 telah banyak digunakan untuk penelitian tentang evaluasi manajemen

risiko teknologi informasi. Pada pedoman COBIT 5, dalam domain EDM hanya

sub domain EDM03 yang membahas mengenai manajemen risiko terkait dengan

cara mengoptimalkan pencegahan munculnya risiko yang terjadi di perusahaan.

9

Untuk domain APO sub domain APO12 yang membahas mengenai manajemen

risiko terkait dengan pengumpulan data serta analisis risiko-risiko yang akan

muncul. Selain dua domain tersebut terdapat dua domain lagi yang akan digunakan

dalam penelitian ini yaitu APO13 (Manage Security) dan BAI06 (Manage

Changes). Domain-domain tersebut ditentukan berdasarkan hasil kuesioner pra-

penelitian. Maka dari itu, fokus domain COBIT yang digunakan pada penelitian ini

adalah EDM03 (Ensure Risk Optimisation), APO12 (Manage Risk), APO13

(Manage Security) dan BAI06 (Manage Changes) . Pemilihan domain yang akan

digunakan dalam penelitian ini berdasarkan dengan permasalahan yang terjadi pada

PT. Solusi Integrasi Teknologi. Untuk mengukur pengelolaan manajemen risiko

teknologi informasi dapat diketahui dengan melakukan penilaian tingkat capability

level pada PT. Solusi Integrasi Teknologi. Sedangkan untuk framework ISO

31000:2018 merupakan standar internasional berfokus pada manajemen risiko yang

terdiri dari prinsip, kerangka kerja dan proses. Prinsip ISO 31000:2018 memiliki 1

tujuan dan 8 prinsip sehingga dapat digunakan sebagai pendukung dalam

memberikan rekomendasi langkah mitigasi dari hasil evaluasi yang akan dilakukan.

Alasan peneliti memilih perusahaan yang bergerak dalam bidang teknologi

informasi yaitu PT Solusi Integrasi Teknologi sebagai objek penelitian dikarenakan

sedang meningkatnya penggunaan teknologi informasi di berbagai sektor bisnis.

Alasan lainnya PT Solusi Integrasi Teknologi telah membuat berbagai macam

Software untuk berbagai perusahaan terbaik di Indonesia.

10

Berdasarkan uraian diatas, maka penulis tertarik untuk melakukan

penelitian yang berjudul “Evaluasi Manajemen Risiko Teknologi Informasi

Menggunakan Framework COBIT 5 dan ISO 31000:2018 pada PT. Solusi

Integrasi Teknologi”.

1.2 Identifikasi Masalah

Berdasarkan latar belakang permasalahan dapat diidentifikasi yaitu :

1. Keterbatasan SDM (Sumber Daya Manusia) yang bisa menangani risiko

TI secara spontanitas. Akibat dari SDM yang terbatas berpengaruh pada

waktu kerja karyawan yang melebihi batas waktu kerja.

2. Belum adanya dokumen standar prosedur untuk menangani risiko, dan

belum pernah dilakukan penilaian tingkat kapabilitas dan penilaian

risiko perusahaan sehingga pengendalian risiko belum berjalan dengan

baik.

3. PT. Solusi Integrasi Teknologi pernah mengalami kerusakan database

dikarenakan kejadian tidak terduga seperti mati listrik sedangkan fungsi

backup yang seharusnya dijalankan setiap 4 jam sekali belum

dijalankan.

1.3 Rumusan Masalah

Berdasarkan latar belakang dan identifikasi masalah yang telah diuraikan

diatas, maka rumusan masalah dalam penelitian ini adalah “Bagaimana evaluasi

manajemen risiko teknologi informasi dengan menggunakan framework

COBIT 5 dan ISO 31000:2018 pada PT. Solusi Integrasi Teknologi?”

11

1.4 Batasan Masalah

Berdasarkan rumusan masalah yang telah diuraikan, Batasan Masalah

penelitian ini adalah sebagai berikut :

1. Evaluasi tata kelola teknologi informasi dilakukan pada PT. Solusi

Integrasi Teknologi khususnya Divisi IT.

2. Penelitian ini hanya membahas pada proses manajemen risiko

menggunakan Framework COBIT 5 dan ISO 31000:2018 untuk

rekomendasi mitigasi risiko.

3. Metode penelitian menggunakan Assessment Process Activities yang

terdapat pada COBIT 5.

4. Risk assessment menggunakan OWASP Risk Rating Methodology.

1.5 Tujuan Penelitian

Tujuan dari penelitian ini terdiri dari tujuan umum dan tujuan khusus.

Tujuan umumnya adalah untuk mengevaluasi manajemen risiko teknologi

informasi menggunakan framework COBIT 5. Sedangkan tujuan khususnya

yaitu sebagai berikut :

1. Mengetahui Capability Level pada proses EDM03 (Ensure Risk

Optimation), APO12 (Manage Risk), APO13 (Manage Security) dan

BAI06 (Manage Changes) di PT. Solusi Integrasi Teknologi.

2. Mengidentifikasi dampak dan menilai risiko yang ada pada PT. Solusi

Integrasi Teknologi.

3. Memberikan rekomendasi dan langkah mitigasi pada PT. Solusi

Integrasi Teknologi berdasarkan framework ISO 31000:2018.

12

1.6 Manfaat Penelitian

Adapun manfaat dari penelitian ini yaitu:

1.6.1 Bagi Perusahaan

a. Memberikan gambaran pada perusahaan mengenai IT

Governance yang baik.

b. Menjadi referensi acuan bagi perusahaan untuk dapat

memperbaiki tata kelola teknologi informasi sesuai dengan

framework COBIT 5.

1.6.2 Bagi Penulis

a. Menerapkan pengetahuan tentang audit sistem informasi dan

pemahaman mengenai framework COBIT 5.

b. Menerapkan ilmu-ilmu yang telah diperoleh selama masa

perkuliahan.

c. Untuk memenuhi salah satu syarat kelulusan strata satu (S1),

Sistem Informasi Fakultas Sains dan Teknologi UIN Syarif

Hidayatullah Jakarta.

1.7 Metodologi Penelitian

Beberapa metode yang digunakan dalam penelitian ini adalah :

1.7.1 Metode Pengumpulan Data

Metodologi pengumpulan data terdiri dari :

1. Studi Kepustakaan

13

Dalam studi kepustakaan ini peneliti membaca dan mempelajari

jurnal yang berhubungan dengan topik yang dibahas dalam jurnal

penelitian ini. Serta mengunjungi situs-situs web internet yang

berhubungan dengan penelitian.

2. Studi Lapangan

a. Observasi

Metode pengumpulan data ini dilakukan untuk

mengumpulkan data dan informasi dengan cara meninjau dan

mengamati secara langsung lingkungan sekitar yang akan

dijadikan penelitian.

b. Wawancara

Metode ini dilaksanakan tanya jawab secara langsung kepada

pihak-pihak yang terkait dengan objek penelitian.

c. Kuesioner

Mengumpulkan data dengan cara memberikan lembar

kuesioner kepada pihak yang ditentukan dengan

menggunakan identifikasi Diagram RACI dalam COBIT 5.

1.7.2 Metode Analisis Data

Metode yang digunakan dalam identifikasi capability level, peneliti

menggunakan Assesment Process Activities berdasarkan framework

COBIT 5 yang terdiri dari :

1. Initiation

14

Tahap ini bertujuan untuk menjelaskan hasil identifikasi dari

beberapa informasi yang dikumpulkan. Beberapa kegiatan yang

telah dilakukan untuk mendapatkan informasi yang berkaitan

dengan penelitian yaitu melakukan observasi, wawancara dan

studi pustaka. Observasi dilakukan dengan mengamati langsung

dan mempelajari pengelolaan layanan TI pada PT. Solusi Integrasi

Teknologi. Sedangkan wawancara dilakukan dengan cara

melakukan komunikasi secara langsung dengan pihak-pihak yang

menjadi objek penelitian.

2. Planning the Assessment

Setelah dilakukan analisa dalam initiation maka didapatkan ruang

lingkup proses yang akan dievaluasi, adapun proses yang dipilih

dan dievaluasi yaitu pada proses domain EDM03 (Ensure Risk

Optimation) dan APO12 (Manage Risk). Pada tahap ini dilakukan

uji coba instrumen kepada 4 responden lalu dilakukan penilaian

yang bertujuan untuk mendapatkan hasil evaluasi penilaian

capability.

3. Briefing

Tahap ini dilakukan penjadwalan penelitian dan pengarahan

kepada responden penilai sehingga memahami masukan, proses

dan keluaran yang akan dinilai.

4. Data Collection

15

Tahap ini dilakukan pengumpulan seluruh data hasil temuan yang

berhubungan dengan penelitian baik berupa data-data, hasil

wawancara dan kuesioner.

5. Data Validation

Tahap ini dilakukan pengolahan data kuesioner yang telah

dijawab oleh responden agar mendapatkan evaluasi penilaian

capability level.

6. Process Attribute Level

Tahap ini dilakukan proses memberi level pada atribut yang ada

pada setiap indikator, yang bertujuan untuk menunjukkan hasil

capability level dari perhitungan kuesioner.

7. Reporting the Result

Tahap ini melaporkan hasil evaluasi yang bertujuan untuk

memberikan rekomendasi kepada PT. Solusi Integrasi Teknologi

dengan menggunakan ISO 31000:2018.

1.8 Waktu dan Tempat Penelitian

Pelaksanaan penelitian ini dilaksanakan pada :

Tempat : PT. Solusi Integrasi Teknologi

Alamat : Jl. Jahe II, Komplek Kembang Larangan, Tangerang, Banten

15154

Waktu : Februari – April 2020

1.9 Sistematika Penulisan

16

Dalam penyusunan laporan ini pembahasan terbagi menjadi beberapa bab yang

secara singkat akan diuraikan sebagai berikut :

BAB I PENDAHULUAN

Bab ini menjelaskan tentang tentang latar belakang, identifikasi masalah,

rumusan masalah, Batasan masalah, tujuan penelitian, manfaat penelitian,

metodologi penelitian, waktu dan tempat penelitian, dan sistematika penulisan

laporan hasil penelitian.

BAB II LANDASAN TEORI

Bab ini menjelaskan tentang teori-teori umum dan teori-teori khusus yang

digunakan untuk mendukung penelitian evaluasi manajemen risiko teknologi

informasi.

BAB III METODOLOGI PENELITIAN

Bab ini memaparkan metode yang digunakan dalam penelitian ini yang

mencakup metode pengumpulan data dan metode analisis data dalam usulan

model tata kelola IT.

BAB IV HASIL DAN PEMBAHASAN

Bab ini berisi tentang analisis tata kelola teknologi informasi dengan

metodologi PAM, yang didalamnya terdapat perhitungan dan pengolahan data

kuesioner, memaparkan hasil temuan dan gap, serta memberikan rekomendasi

pada perusahaan terkait dengan menggunakan prinsip ISO 31000:2018.

BAB V PENUTUP

17

Bab ini merupakan penutup yang berisikan kesimpulan dan uraian yang sudah

terperangkap pada bab-bab sebelumnya dan saran guna untuk pengembangan

lebih lanjut.

19

BAB II

LANDASAN TEORI

2.1 Pengertian Evaluasi

Evaluasi merupakan kegiatan yang terencana untuk mengetahui keadaan

suatu objek dengan menggunakan instrumen dan hasilnya dibandingkan dengan

tolak ukur untuk memperoleh kesimpulan. (Jamin, 2014).

Evaluasi adalah mencari sesuatu yang berharga (worth). Sesuatu yang

berharga tersebut dapat berupa informasi tentang suatu program, produksi serta

alternatif prosedur tertentu. (Habiburrahman, 2016).

Berdasarkan definisi diatas dapat diartikan bahwa evaluasi adalah suatu

kegiatan terencana untuk mencari sesuatu yang berharga pada suatu objek dapat

berupa informasi tentang suatu program, produksi serta alternatif prosedur

dengan menggunakan instrumen dan menghasilkan sebuah nilai yang dapat

dijadikan tolak ukur.

2.2 Tata Kelola Teknologi Informasi

2.2.1 Pengertian Tata Kelola

Tata kelola merupakan membuat kebijakan yang sejalan/selaras

dengan keinginan/aspirasi masyarakat atau konstituen.

Menurut Jogiyanto & Abdillah (2009), tata kelola merupakan

suatu proses yang dilakukan suatu organisasi atau masyarakat untuk

mengatasi permasalahan yang terjadi.

20

2.2.2 Pengertian Teknologi Informasi

Menurut (Sutarman, 2012), teknologi informasi adalah suatu

studi, perancangan, pengembangan, implementasi, dukungan atau

manajemen sistem informasi berbasis komputer, khususnya aplikasi

perangkat lunak dan perangkat keras komputer. Berdasarkan

pendapat para ahli, teknologi informasi mencakup keseluruhan

bentuk teknologi yang digunakan untuk memproses informasi. Suatu

teknologi informasi yang berkualitas harus memperhatikan

kebutuhan-kebutuhan sistem.

Tata kelola TI ditekankan pada terciptanya keselarasan strategi

organisasi antara teknologi informasi dengan tujuan bisnis yang ingin

dicapai oleh suatu organisasi.

2.2.3 Kegunaan Tata Kelola Teknologi Informasi

Kegunaan tata kelola teknologi informasi yaitu mampu untuk

mengatur penggunaan teknologi informasi, serta untuk memastikan

kinerja teknologi informasi sesuai dengan tujuan berikut ini :

1. Menyelaraskan teknologi informasi dengan organisasi dan

realisasi dari keuntungan-keuntungan yang telah dijanjikan dari

penerapan teknologi informasi.

2. Penggunaan teknologi informasi memungkinkan organisasi untuk

mengambil kesempatan, dan memaksimalkan keuntungan dari

penerapan teknologi informasi.

21

3. Bertanggung jawab terhadap penggunaan sumber daya TI.

4. Penanganan manajemen risiko yang terkait dengan teknologi

informasi secara tepat.

2.3 Framework Tata Kelola Teknologi Informasi

2.3.1 ITIL

ITIL (Information Technology Infrastructure Library)

memberikan deskripsi detail tentang beberapa praktik (TI) penting

dengan daftar cek, tugas, serta prosedur yang menyeluruh yang dapat

disesuaikan dengan segala jenis organisasi (TI). (MAYRIANTIKA,

2018).

ITIL adalah best practice dari Service Management IT dan

menjadi pilihan terpopuler saat ini sebagai framework analyst

business seorang/sebuah client untuk defining roadmap bisnis dan

infrastruktur IT yang konsisten dan komprehensif, agar bisnis

perusahaan sejalan dengan infrastruktur TI. (Hanief & Jefriana,

2018).

2.3.2 ISO

ISO (International Standar Organization) merupakan suatu

organisasi di luar pemerintahan (Non-Government

Organization/NGO) yang berdiri sejak tahun 1947. Misi dari ISO

adalah untuk mendukung pengembangan standardisasi dan kegiatan-

kegiatan terkait lainnya dengan harapan untuk membantu

22

perdagangan internasional, dan juga untuk membantu pengembangan

kerjasama secara global di bidang ilmu pengetahuan, teknologi dan

kegiatan ekonomi. (Kriswanto, 2011).

Standarisasi internasional ini dibentuk untuk berbagai

teknologi yang mencakup berbagai bidang, antara lain bidang

informasi dan telekomunikasi, tekstil, pengemasan, distribusi barang,

pembangkit energi dan pemanfaatannya, pembuatan kapal,

perbankan dan jasa keuangan, dan masih banyak lagi. (Marbun &

Mildawati, 2015).

2.3.3 COSO

COSO menekankan Pengendalian Internal sebagai suatu

“proses” yang merupakan bagian tidak terpisahkan dari aktivitas

bisnis entitas yang berkelanjutan (on going business activities).

(Santoso, 2015).

Kerangka kerja ini digunakan untuk pengendalian internal

disetiap organisasi dan untuk membantu organisasi mengelola risiko

secara lebih baik dan untuk meningkatkan kinerja organisasi.

2.3.4 CMMI

CMMI merupakan model perbaikan kapabilitas untuk

meningkatkan secara bertahap (staged) dan berkelanjutan

(continuous) penerapan teknologi perangkat lunak pada level

organisasi. CMMI memberikan arahan untuk organisasi untuk

23

memilih strategi perbaikan proses perangkat lunak dengan

memfasilitasi kemampuan dan mengidentifikasi isu yang perlu

diperbaiki. (Wulansari, 2016).

CMMI dapat digunakan untuk memandu proses perbaikan di

sebuah proyek, divisi, atau di seluruh organisasi. Ini membantu

mengintegrasikan fungsi organisasi yang terpisah, menentukan tujuan

peningkatan proses, memberikan acuan untuk menilai proses yang

sedang berlangsung. (Mewengkang, 2017).

2.3.5 COBIT

COBIT (Control Objectives for Information and Related

Technology) adalah suatu metodologi yang memberikan kerangka

dasar dalam menciptakan sebuah Teknologi Informasi yang sesuai

dengan kebutuhan organisasi. COBIT dapat diartikan sebagai tujuan

pengendalian untuk informasi dan teknologi terkait dan merupakan

standar terbuka untuk pengendalian terhadap teknologi informasi

yang dikembangkan dan dipromosikan oleh Institut IT Governance.

(Setiawan, 2010).

Tujuan utama COBIT adalah memberikan kebijakan yang jelas

dan best practices bagi IT Governance bagi organisasi dan untuk

membantu manajemen untuk memahami dan mengatur risiko-risiko

yang berhubungan dengan IT. (Utomo & Mariana, 2011).

24

Seiring dengan berjalan nya waktu COBIT terus berkembang

dari mulai COBIT 1 yang menekankan pada audit, COBIT 2 yang

menekankan pada tahap pengendalian, COBIT 3 yang berorientasi

pada manajemen, COBIT 4 lebih mengarah pada tata kelola TI,

COBIT 5 yang menekankan tata kelola TI pada perusahaan, dan yang

terbaru COBIT 2019 menekankan pada manajemen dan tata kelola

IT. COBIT 2019 melengkapi proses dari COBIT yang sebelumnya.

2.4 COBIT 5

COBIT 5 menurut ISACA adalah sebuah kerangka kerja untuk tata kelola

dan manajemen teknologi informasi dan semua yang berhubungan, yang

dimulai dari memenuhi kebutuhan stakeholder akan informasi dan

teknologi.(ISACA., 2012a).

COBIT 5 menggabungkan pemikiran terbaru dalam tata kelola perusahaan

dan manajemen teknik, dan memberikan prinsip-prinsip yang diterima secara

global, praktek, alat-alat analisis dan model untuk membantu meningkatkan

kepercayaan, dan nilai dari sistem informasi. (Audit et al., 2012).

COBIT 5 memiliki 2 area yang terdiri dari governance dan management.

Area governance memiliki 1 (satu) domain yakni EDM (Evaluate, Direct,

Monitor) dengan 5 sub domain yang masing-masing berisi penjelasan dan

panduan secara luas tentang tata kelola dan manajemen IT. Setiap proses

memiliki beberapa process practice atau governance process. Area manajemen

memiliki 4 (empat) domain yakni APO (Align, Plan and Organise), BAI (Build,

25

Acquire and Implement), DSS (Deliver, Service and Support) dan MEA

(Monitor, Evaluate and Assess) dengan total 37 proses. Setiap proses memiliki

beberapa process practice atau management process. (Agoan et al., 2017).

2.4.1 Prinsip COBIT 5

Gambar 2. 1 Prinsip COBIT 5 (ISACA., 2012b)

1. Memenuhi kebutuhan stakeholder (Meeting Stakeholder Needs)

Pada prinsip ini menjelaskan bahwa setiap organisasi dapat

memberikan sebuah nilai bagi para stakeholder melalui penerapan

IT. Setiap stakeholder memiliki kebutuhan IT dalam konteks yang

beragam. Keberadaan IT tidak boleh lepas dari konteks kebutuhan

stakeholder dalam organisasi.

2. Mencakup Sampai Proses Akhir Suatu Organisasi (Covering the

Enterprise End-to-End)

Prinsip ini menjelaskan pentingnya memberikan informasi

tentang tata kelola dan manajemen IT dalam satu organisasi dari

unit proses hulu hingga ke unit proses hilir. Setiap proses dalam

26

organisasi membutuhkan informasi lalu mengolahnya sehingga

menghasilkan informasi baru untuk kebutuhan proses selanjutnya.

3. Menerapkan suatu kerangka tunggal yang terintegrasi (Applying a

Single Integrated Framework)

Prinsip ini menjelaskan bahwa COBIT 5 merupakan suatu

framework terintegrasi yang dapat disejajarkan dengan framework

lainnya yang berhubungan dengan IT dalam menyediakan

panduan pada aktivitas IT. COBIT telah mengadopsi berbagai

kerangka dan konsep best practice ke dalam prinsip, model, dan

strukturnya.

4. Menggunakan sebuah pendekatan yang menyeluruh (Enabling a

Holistic Approach)

Pada prinsip ini menjelaskan bahwa masing-masing domain

mampu menjadi enabler bagi praktek governance dan manajemen

IT yang efektif dan efisien tergantung dari situasi dan konteks

organisasi.

5. Pemisahan Tata Kelola dari Manajemen (Separating Governance

from Management)

Prinsip ini menjelaskan bahwa pentingnya membedakan

pengertian governance dan manajemen karena keduanya

memiliki tujuan, tanggung jawab, dan karakteristik yang berbeda.

Manajemen mencakup pada rangkaian menjalankan aktivitas

untuk mencapai visi, misi dan goal organisasi. Sedangkan

27

governance lebih berfokus pada cara pencapaian visi, misi, dan

goal tersebut sesuai dengan prinsip-prinsip yang dianut oleh

pimpinan. sistem tata kelola harus disesuaikan dengan kebutuhan

perusahaan, menggunakan serangkaian faktor desain sebagai

parameter untuk menyesuaikan dan memprioritaskan komponen

sistem tata kelola.

Gambar 2. 2 COBIT 5 Governance and Management Key Areas (ISACA.,

2012b)

2.4.2 7 Enablers

Enablers merupakan faktor-faktor yang secara individual dan

kolektif mempengaruhi fungsi dan kinerja suatu organisasi. COBIT 5

memiliki 7 (tujuh) enablers yaitu :

1. Prinsip, Kebijakan, dan Kerangka Kerja (Principle, Policies and

Framework)

Merupakan sarana untuk menerjemahkan tingkah laku yang

diinginkan dan menjadi panduan praktis dalam pelaksanaan

manajemen harian.

28

2. Proses (Processes)

Merupakan kumpulan aktivitas yang terorganisir untuk

mencapai tujuan dan menghasilkan output yang dapat digunakan

dalam mendukung pencapaian keseluruhan tujuan TI.

3. Struktur Organisasi (Organizational Structure)

Merupakan wewenang atau struktur pembuat keputusan dalam

sebuah organisasi.

4. Budaya, Etika dan Perilaku (Culture, Ethics and Behaviour)

Merupakan kebiasaan dari individu dan organisasi yang

dianggap faktor penghambat kesuksesan di dalam aktivitas

governance dan manajemen.

5. Informasi (Information)

Merupakan kumpulan data-data yang sangat diperlukan untuk

menjaga dan memastikan organisasi tetap berjalan dan dikelola

dengan baik.

6. Layanan, Infrastruktur dan Aplikasi (Services, Infrastructure

and Application)

Meliputi infrastruktur, teknologi dan aplikasi yang menyediakan

layanan yang berhubungan dengan proses TI organisasi.

7. Orang, Keterampilan dan Kompetensi (People, Skills and

Competencies)

29

Sumber daya manusia, keahlian dan kompetensinya dibutuhkan

untuk menyelesaikan aktivitas dan membuat keputusan yang

tepat serta mengambil tindakan korektif.

Gambar 2. 3 COBIT 5 Enterprise Enablers (ISACA. & Lainhart, 2012)

2.4.3 Tahap Implementasi COBIT 5

COBIT 5 memiliki tujuh tahapan implementasi. Berikut tahapan

implementasi COBIT 5:

30

Gambar 2. 4 Tahap Implementasi COBIT 5 (ISACA. & Lainhart, 2012)

1. Inisiasi Program (Initiate Program)

Tahapan ini dilakukan pendekatan implementasi untuk

mengidentifikasi perubahan saat ini dan menciptakan perubahan di

tingkat manajemen eksekutif yang akan dinyatakan dalam garis besar

kasus bisnis. Perubahan dilakukan di internal dan eksternal, kondisi

dan issue berfungsi sebagai pemicu dari perubahan. Acara, trend,

kekurangan kinerja, implementasi software dan bahkan tujuan dari

perusahaan semua bisa bertindak sebagai perubahan.

2. Mendefinisikan Masalah dan Kesempatan (Define Problems and

Opportunities)

Pada tahap ini menyelaraskan tujuan TI dengan strategi dan risiko

perusahaan, dan memprioritaskan tujuan perusahaan yang paling

penting. Berdasarkan perusahaan dan tujuan TI serta faktor desain

lainnya, perusahaan harus mengidentifikasi tujuan tata kelola dan

31

manajemen yang kritis dan proses yang mendasari yang memiliki

kemampuan yang memadai untuk memastikan hasil yang sukses.

Manajemen harus mengetahui kapabilitas saat ini dan dimana

kekurangan yang mungkin akan ada.

3. Mendefinisikan Road Map (Define Road Map)

Tahap ini menetapkan target perbaikan yang diikuti dengan analisis

gap untuk mengidentifikasi solusi potensial. Beberapa solusi bisa

berhasil diterapkan pada tugas jangka panjang. Prioritas harus

diberikan pada proyek yang lebih mudah dicapai dan cenderung

memberikan manfaat terbesar.

4. Merencanakan Program (Plan Program)

Pada tahap ini merencanakan solusi yang layak dan praktis dengan

menentukan proyek yang didukung oleh kasus bisnis yang dapat

dibenarkan dan rencana perubahan untuk implementasi.

Pengembangan kasus bisnis yang baik bisa membantu meyakinkan

bahwa proyek memberikan keuntungan.

5. Melaksanakan Rencana (Execute Plan)

Tahap ini dilakukan penerapan solusi yang diusulkan melalui praktik

sehari-hari dan menetapkan ukuran dan pemantauan sistem untuk

memastikan bahwa keselarasan bisnis tercapai dan kinerja dapat

diukur.

6. Menyadari Manfaat (Realize Benefits)

32

Tahap ini berfokus pada transisi berkelanjutan dari praktik tata kelola

dan manajemen yang ditingkatkan ke dalam operasi bisnis normal.

Lebih lanjut berfokus pada pemantauan pencapaian peningkatan

menggunakan metrik kinerja dan manfaat yang diharapkan.

7. Tinjau Efektivitas (Review Effectiveness)

Tahap ini dilakukan review terhadap seluruh keberhasilan inisiatif.

Mengidentifikasi lebih jauh kebutuhan tata kelola dan manajemen

dan memperkuat kebutuhan untuk perbaikan berkelanjutan. Tahap ini

juga memprioritaskan peluang lebih lanjut untuk meningkatkan

sistem tata kelola.

2.4.4 Process Reference Model (PRM)

COBIT 5 mencakup model referensi proses yang terdiri dari 37

proses. Model referensi proses mendefinisikan dan menjelaskan secara rinci

area governance dan manajemen.

33

Gambar 2. 5 COBIT 5 Process Reference Model (ISACA. & Lainhart, 2012)

1. Evaluate, Direct and Monitor (EDM)

Tujuan tata kelola dikelompokan dalam proses EDM. Pada

domain EDM, badan eksekutif mengevaluasi opsi strategis,

mengarahkan manajemen senior pada opsi strategis yang dipilih

dan memantau pencapaian strategi. Domain ini terdapat

beberapa sub domain yaitu:

a. EDM01 (Ensured Governance Framework Setting and

Maintenance)

Pada proses ini bertujuan untuk memberikan

pendekatan yang konsisten, terintegrasi dan selaras dengan

pendekatan tata kelola perusahaan. Keputusan terkait TI

harus dibuat sejalan dengan strategi dan tujuan perusahaan.

Untuk itu, memastikan bahwa proses terkait IT diawasi

secara efektif dan transparan.

b. EDM02 (Ensured Benefits Delivery)

Pada proses ini bertujuan untuk memastikan nilai

optimal dari inisiatif, layanan, dan asset yang mendukung IT

dari keuntungan yang realistis dan akurat dari organisasi.

Sehingga kebutuhan bisnis didukung secara efektif dan

efisien.

c. EDM03 (Ensured Risk Optimization)

34

Pada proses ini bertujuan untuk memastikan bahwa

risiko bisnis terkait TI tidak melebihi risiko perusahaan dan

toleransi risiko, dampak risiko TI terhadap nilai perusahaan

dapat diidentifikasi dan dikelola, dan potensi kegagalan

dapat diminimalkan.

d. EDM04 (Ensured Resource Optimization)

Pada proses ini bertujuan untuk memastikan

kebutuhan sumber daya perusahaan terpenuhi dengan cara

yang optimal, biaya TI yang dioptimalkan dan ada

kemungkinan peningkatan realisasi manfaat dan kesiapan

untuk perubahan di masa depan.

e. EDM05 (Ensured Stakeholder Engagement)

Pada proses ini bertujuan untuk memastikan bahwa

pemangku kepentingan mendukung strategi dan roadmap

TI, komunikasi kepada pemangku kepentingan berjalan

efektif dan tepat waktu, dan dasar pelaporan ditetapkan

untuk meningkatkan kinerja. EDM05 juga mengidentifikasi

area untuk perbaikan, dan menginformasikan bahwa tujuan

dan strategi terkait TI sejalan dengan strategi perusahaan.

2. Align, Plan and Organize (APO)

Tujuan manajemen dikelompokan menjadi 4 domain.

Domain yang pertama adalah APO. APO adalah domain yang

membahas keseluruhan organisasi, strategi dan kegiatan

35

pendukung untuk TI. Pada domain APO terdiri dari 14 proses,

yaitu:

a. APO01 (Managed IT Management Framework)

Proses APO01 ini mengimplementasikan pendekatan

konsisten manajemen untuk memenuhi persyaratan tata

kelola perusahaan, mencakup komponen tata kelola seperti

proses manajemen, struktur organisasi, peran dan tanggung

jawab, aktivitas yang unggul dan berulang, kebijakan dan

prosedur, kemampuan dan kompetensi, item informasi,

budaya dan perilaku, dan layanan, infrastruktur dan aplikasi.

b. APO02 (Managed Strategy)

Pada proses ini bertujuan untuk mendukung strategi

transformasi digital organisasi dan memberikan nilai yang

diinginkan melalui perubahan roadmap secara bertahap.

Dengan menggunakan pendekatan holistik IT, dan

memastikan bahwa setiap inisiatif berhubungan ke seluruh

strategi.

c. APO03 (Managed Enterprise Architecture)

Pada proses ini menggambarkan arsitektur yang

membentuk perusahaan dan keterkaitannya, serta prinsip

yang digunakan untuk mewujudkan strategi organisasi dan

TI yang efektif.

d. APO04 (Managed Innovation)

36

Pada proses ini bertujuan untuk mencapai

keunggulan kompetitif, inovasi bisnis, meningkatkan

pengalaman pelanggan, dan meningkatkan keefektifan

operasional dengan memanfaatkan perkembangan IT dan

teknologi baru.

e. APO05 (Managed Portofolio)

Pada proses ini mengoptimalkan kinerja portofolio

program secara keseluruhan dalam menanggapi program

individu, kinerja produk dan layanan serta perubahan

prioritas dan manajemen perusahaan.

f. APO06 (Managed Budget and Costs)

Proses ini bertujuan membina kemitraan antara TI

dengan pemangku saham perusahaan untuk memungkinkan

penggunaan yang efektif dan efisien dari sumber daya terkait

TI dan memberikan transparansi dan akuntabilitas biaya dan

nilai bisnis dari solusi dan layanan.

g. APO07 (Managed Human Resources)

Pada proses ini mengoptimalkan kemampuan sumber

daya manusia untuk memenuhi tujuan perusahaan.

h. APO08 (Managed Relationship)

Pada proses ini memungkinkan pengetahuan yang

benar, kecakapan dan perilaku untuk menciptakan hasil yang

lebih banyak, meningkatkan kepercayaan diri, saling percaya

37

dan penggunaan sumber daya yang efektif yang mendorong

hubungan produktif dengan pemangku kepentingan bisnis.

i. APO09 (Managed Service Agreements)

Pada proses ini memastikan bahwa produk TI,

layanan dan level layanan memenuhi kebutuhan perusahaan

saat ini dan masa depan.

j. APO10 (Managed Vendors)

Pada proses ini mengoptimalkan kapabilitas IT yang

tersedia untuk mendukung strategi TI dan road map,

meminimalkan risiko yang terkait dengan vendor yang tidak

berkinerja atau tidak patuh, dan memastikan harga yang

kompetitif.

k. APO11 (Managed Quality)

Pada proses ini memastikan penyampaian solusi dan

layanan teknologi yang konsisten untuk memenuhi

persyaratan kualitas perusahaan dan memenuhi kebutuhan

pemangku kepentingan.

l. APO12 (Managed Risk)

Proses ini mengintegrasikan manajemen terkait

risiko TI dengan keseluruhan manajemen risiko perusahaan

dan menyeimbangkan biaya dan manfaat dari pengelolaan

risiko perusahaan terkait TI.

m. APO13 (Managed Security)

38

Proses ini menjaga dampak dan terjadinya insiden

keamanan informasi dalam tingkat risiko perusahaan.

3. Build, Acquire and Implement (BAI)

BAI mengidentifikasi definisi, akuisisi dan implementasi

solusi dan integrasinya dalam proses bisnis. BAI memiliki 11

proses, yaitu:

a. BAI01 (Managed Programs and Projects)

Pada proses ini mengelola semua program dan

proyek sejalan dengan strategi perusahaan dan terkoordinasi.

Tujuan dari sub-domain ini adalah menyadari keuntungan

bisnis dan mengurangi risiko penundaan yang tak

diharapkan.

b. BAI02 (Managed Requirements Definition)

Proses ini membuat solusi paling optimal yang

memenuhi kebutuhan perusahaan sekaligus meminimalkan

risiko.

c. BAI03 (Managed Solutions Identification and Build)

Pada proses ini mengidentifikasi solusi yang sesuai

dengan kebutuhan organisasi. Solusi digunakan untuk

mendukung strategi perusahaan dan tujuan operasional.

d. BAI04 (Managed Availability and Capacity)

Pada proses ini menjaga ketersediaan layanan,

manajemen efisiensi sumber daya dan mengoptimalkan

39

kinerja sistem melalui prediksi kinerja masa depan dan

kebutuhan kapasitas.

e. BAI05 (Managed Organizational Change)

Proses ini mempersiapkan dan berkomitmen dengan

pemangku kepentingan untuk perubahan bisnis dan

mengurangi risiko kegagalan.

f. BAI06 (Managed IT Changes)

Proses ini memungkinkan perubahan bisnis yang

unggul. Mengurangi risiko yang berdampak negatif pada

stabilitas atau integritas lingkungan yang berubah.

g. BAI07 (Managed IT Change Acceptance and Transitioning)

Pada proses ini mengimplementasikan solusi dengan

aman dan sejalan dengan harapan dan hasil yang disepakati.

h. BAI08 (Managed Knowledge)

Pada proses ini memberikan pengetahuan dan

informasi manajemen yang diperlukan untuk mendukung

semua staf dalam tata kelola dan manajemen TI perusahaan

dan memungkinkan pengambilan keputusan yang tepat.

i. BAI09 (Managed Assets)

Pada proses ini memperhitungkan semua aset TI dan

mengoptimalkan nilai yang diberikan oleh penggunaannya.

j. BAI10 (Managed Configuration)

40

Pada proses ini memberikan informasi yang

memadai tentang aset layanan agar layanan dapat dikelola

secara efektif. Menilai dampak perubahan dan menangani

insiden layanan.

4. Deliver, Service and Support (DSS)

DSS membahas pengiriman operasional dan dukungan

layanan TI termasuk keamanan. DSS terdiri dari 6 proses, yaitu:

a. DSS01 (Managed Operations)

Pada proses ini memberikan hasil produk dan

layanan operasional TI sesuai rencana.

b. DSS02 (Managed Service Requests and Incidents)

Pada proses ini mencapai produktivitas yang lebih

tinggi dan meminimalkan gangguan insiden pengguna.

menilai dampak perubahan dan menangani insiden layanan.

menyelesaikan permintaan pengguna dan memulihkan

layanan sebagai tanggapan atas insiden.

c. DSS03 (Managed Problems)

Proses ini mengidentifikasi masalah dan memberikan

solusi yang tepat untuk setiap masalah.

d. DSS04 (Managed Continuity)

Proses ini memelihara ketersediaan sumber daya dan

informasi pada organisasi dan membangun rencana bisnis

41

dan TI untuk menanggapi gangguan sehingga proses bisnis

bisa dilanjutkan.

e. DSS05 (Managed Security Services)

Pada proses ini meminimalkan tingkat risiko

keamanan informasi organisasi yang dapat melindungi

informasi organisasi sesuai dengan kebijakan.

f. DSS06 (Managed Business Process Controls)

Pada proses ini memelihara integritas informasi dan

keamanan informasi dengan bisnis proses di organisasi.

5. Monitor, Evaluate and Assess (MEA)

MEA membahas pemantauan kinerja internal dan

pengendalian TI dengan kinerja internal. MEA terdapat 4 proses,

yaitu :

a. MEA01 (Managed Performanced and Conformance

Monitoring)

Pada proses ini memberikan transparansi kinerja

sesuai dengan tujuan bisnis TI.

b. MEA02 (Managed System of Internal Control)

Pada proses ini pengendalian lingkungan dan

pemantauan akan dilakukan untuk mengidentifikasi

kekurangan dan memulai tindakan perbaikan.

c. MEA03 (Managed Compliance with External

Requirements)

42

Proses ini memastikan bahwa organisasi patuh

dengan semua persyaratan eksternal yang berlaku.

2.4.5 Process Assessment Model (PAM)

Model ini merupakan model yang berisi kerangka dasar yang

memberikan panduan dalam menilai dan mengukur capability level terkait

teknologi informasi. (Meiriati et al., 2020). Model ini didefinisikan sesuai

dengan ISO/IEC 15504-2 dan dapat digunakan sebagai dasar untuk

melakukan penilaian kapabilitas setiap proses COBIT 5.

COBIT 5 PAM memiliki penilaian indikator yang digunakan untuk

menilai apakah atribut proses telah tercapai. Ada dua jenis indikator

penilaian :

1. Indikator Proses Atribut Kapabilitas (Process Capability Attribute),

yang berlaku untuk tingkat kemampuan 1-5.

2. Indikator Proses Kinerja (Process Performance), yang berlaku secara

eksklusif untuk tingkat kemampuan 1.

Indikator proses atribut kapabilitas bersifat umum untuk setiap

atribut proses untuk tingkat kemampuan 1 sampai 5. Untuk tingkat 1, hanya

memiliki satu indikator praktik umum untuk kapabilitas yang sejalan

langsung dengan pencapaian spesifik indikator proses kinerja.

Indikator proses atribut kapabilitas yang digunakan dalam penilaian

kapabilitas proses COBIT 5 yaitu :

43

1. Praktik Umum (General Practice (GP))

2. Produk Kerja Umum (Generic Work Product (GWP))

Gambar 2. 6 Assessment Indicators (ISACA, 2013)

2.4.5.1 Assessment Process Activities

Assessment Process Activities adalah model yang digunakan untuk

sebagai dasar melakukan penilaian capability level setiap proses di COBIT

5 (ISACA, 2013). Pada Assessment Process Activities dibagi menjadi tiga

bagian, Assessment Process – Planning (Initiation, Planning the assessment

dan Briefing), Assessment Process – Assessing (Data collection, Data

analysis dan Process attribute rating) dan Assessment Process – Reporting

(Reporting the results).

1. Initiation

44

Tahap ini berisi penjelasan hasil identifikasi dari informasi yang

telah dikumpulkan. Informasi didapat dari hasil observasi awal,

wawancara dan studi pustaka. Observasi awal dilakukan dengan

mengamati langsung pengelolaan layanan TI pada PT. Solusi

Integrasi Teknologi. Sedangkan wawancara dilakukan secara

langsung dengan pihak-pihak yang bertanggung jawab terhadap

TI dengan mengajukan beberapa pertanyaan.


Tahap ini dilakukan rencana penilaian yang bertujuan untuk

mendapatkan hasil evaluasi penilaian capability level. Dengan

dibuatkan kuesioner pada masing-masing proses dan responden

sesuai dengan identifikasi diagram RACI.

3. Briefing


kepada responden PT. Solusi Integrasi Teknologi sehingga

memahami input, proses, dan output yang akan dinilai.

4. Data Collection

Tahap ini merupakan pengumpulan seluruh data hasil temuan

yang berhubungan dengan penelitian yang terdapat pada PT.

Solusi Integrasi Teknologi.

5. Data Validation

Tahap ini merupakan tahap validasi data yang bertujuan untuk

mengetahui hasil dari perhitungan kuesioner yang sebelumnya

45

telah dijawab oleh responden sehingga mendapatkan hasil

evaluasi penilaian capability level.

6. Process Attribute Rating

Tahap ini dilakukan proses pemberian level pada setiap atribut

yang bertujuan mengetahui hasil capability level dari hasil

perhitungan kuesioner.


Tahap ini dilakukan pelaporan hasil evaluasi pada PT. Solusi

Integrasi Teknologi dan memberikan rekomendasi atau langkah

mitigasi dengan menggunakan ISO 31000:2018.

2.4.6 Process Capability Model (Model Proses Kapabilitas)

Process Capability digambarkan dalam bentuk atribut proses yang

dikelompokkan ke dalam tingkat kapabilitas. Tingkat kapabilitas suatu

proses ditentukan atas dasar pencapaian atribut proses tertentu.

Gambar 2. 7 Capability Levels and Process Attributes (ISACA, 2013)

46

Untuk capability level terbagi menjadi level-level sebagai berikut :

0. Incomplete Process

Pada level ini (Level 0) tidak ada tanda upaya dari organisasi

untuk mencapai tujuan atau sasaran proses.

1. Performed Process

Pada level ini (Level 1) tingkatan untuk implementasi proses

untuk mencapai tujuan dari proses tersebut. Ketentuan proses

atribut level 1 sebagai berikut :

a. PA 1.1 Process Performance (Kinerja Proses)

Pengukuran yang berkaitan dengan sampai mana tujuan

sudah tercapai. Pencapaian penuh ditandai dengan

tercapainya tujuan.

Tabel 2. 1 Process Performance (ISACA, 2013)

PA 1.1 Process Management

Hasil Pencapaian Penuh Atribut

Praktik Umum (GPs) Hasil Kerja Umum (GWPs)

Proses meraih GP 1.1.1 Meraih Hasil kerja telah

tujuan yang sudah Hasil Proses. dibuat sehingga

ditentukan Ada bukti bahwa menyediakan bukti praktik-praktik atas hasil proses. dasar dilakukan.

2. Managed Process

Pada level ini (Level 2) proses pelaksanaan di level sebelumnya,

diimplementasikan dan dikelola dengan baik untuk perencanaan

dan pengawasan.

47

a. PA 2.1 Performance Management (Manajemen Kinerja)

Pengukuran terhadap kinerja yang dikelola sudah sampai

sejauh mana. Sebagai hasil pencapaian penuh atribut ini

sebagai berikut :

Tabel 2. 2 Performance Management (ISACA, 2013)

PA 2.1 Performance Management


Praktik Umum (GPs)

Hasil Kerja Umum (GWPs)

a. Tujuan untuk GP 2.1.1 GWP 1.0 Proses

kinerja proses Identifikasi tujuan dokumentasi

diidentifikasi. untuk seharusnya kinerja proses. menguraikan Penampilan ruang lingkup tujuan, yang proses. tercakup bersama GWP 2.0 dengan asumsi Rencana Proses dan kendala, harus didefinisikan dan memberikan dikomunikasikan. rincian tujuan kinerja proses.

b. Kinerja proses GP 2.1.2 GWP 2.0 Rencana

direncanakan dan Merencanakan dan Proses harus

dipantau. memantau kinerja memberikan dari proses untuk rincian memenuhi tujuan tujuan kinerja yang diidentifikasi. proses. Ukuran dasar GWP 9.0 Proses kinerja proses catatan kinerja terkait harus untuk tujuan bisnis berikan detail ditetapkan dan hasil. dipantau. Itu Catatan: Pada termasuk tonggak level ini, rekaman penting, wajib proses kegiatan, perkiraan kinerja bisa dalam dan jadwal. bentuk laporan, masalah register dan catatan informal.

48

c. Kinerja proses

disesuaikan

dengan

memenuhi

rencana.

GP 2.1.3

Menyesuaikan

kinerja

proses. Tindakan

diambil saat

direncanakan

kinerja tidak

tercapai. Tindakan

termasuk

identifikasi

masalah kinerja

proses

dan penyesuaian

rencana dan jadwal

sebagai sesuai.

GWP 4.0 Catatan

kualitas harus

memberikan

rincian tindakan yang

diambil saat

kinerja tidak

tercapai

d. Tanggung jawab

dan wewenang

untuk melakukan

proses

ditentukan,

ditetapkan dan

dikomunikasikan.

GP 2.1.4 Jelaskan

tanggung jawab

dan

otoritas untuk

melakukan proses

tersebut. Kunci

tanggung jawab

dan wewenang

untuk melakukan

aktivitas utama dari

proses tersebut

ditentukan,

ditugaskan dan

dikomunikasikan.

Kebutuhan untuk

pengalaman proses

kinerja,

pengetahuan dan

keterampilan

ditentukan.

GWP 1.0 Proses

dokumentasi

seharusnya

berikan detail

tentang pemilik

proses dan siapa

bertanggung

jawab, akuntabel,

berkonsultasi dan /

atau

diinformasikan

(RACI).

GWP 2.0 Rencana

Proses harus

mencakup rincian

dari proses

rencana

komunikasi juga

sebagai

pengalaman

kinerja proses,

keterampilan kebutuhan.

e. Sumber daya dan

informasi yang

diperlukan untuk

melakukan proses

tersebut

diidentifikasi,

dibuat tersedia,

dialokasikan dan

digunakan.

GP 2.1.5

Identifikasi dan

sediakan

sumber daya untuk

melakukan proses

yang sesuai

rencana. Sumber

daya dan informasi yang diperlukan

untuk

GWP 2.0 Rencana

Proses harus

memberikan

rincian

dari proses

rencana dan

proses pelatihan

rencana sumber

daya.

49

melakukan

aktivitas utama dari

proses tersebut

diidentifikasi,

disediakan,

dialokasikan dan

digunakan.

f. Antarmuka antara GP 2.1.6 GWP 1.0 Proses

pihak yang Mengelola dokumentasi

terlibat berhasil antarmuka antara seharusnya

memastikan pihak yang terlibat. memberikan

komunikasi yang Individu dan rincian individu

efektif dan tugas kelompok dan kelompok

tanggung jawab terlibat dengan terlibat (pemasok,

yang jelas. proses pelanggan dan diidentifikasi, RACI). tanggung jawab GWP 2.0 Rencana ditentukan dan Proses harus efektif memberikan mekanisme rincian komunikasi proses rencana tersedia. komunikasi.

b. PA 2.2 Work Product Management (Manajemen Produk

Kerja)

Mengukur sampai mana hasil kerja dari pengelolaan proses.

Hasil kerja yang dimaksud adalah hasil dari proses. Sebagai

hasil pencapaian penuh atribut ini sebagai berikut :

Tabel 2. 3 Work Product Management (ISACA, 2013)

PA 2.2 Work Product Management



a. Persyaratan untuk GP 2.2.1 Tentukan GWP 3.0

hasil kerja dari persyaratan untuk Rencana

proses produk kerja, kualitas harus

didefinisikan. termasuk struktur memberikan konten dan rincian kriteria kualitas. kriteria kualitas dan konten produk kerja dan struktur.

50

b. Persyaratan untuk GP 2.2.2 Tentukan GWP 1.0 Proses

dokumentasi dan persyaratan untuk dokumentasi

kontrol produk dokumentasi dan seharusnya

kerja ditentukan. kontrol pekerjaan memberikan produk. Ini harus rincian kontrol mencakup (matriks identifikasi kontrol). ketergantungan, Rencana persetujuan, dan Kualitas GWP keterlacakan 3.0 harus Persyaratan. memberikan rincian produk kerja, kriteria kualitas, dokumentasi persyaratan dan kontrol perubahan.

c. Produk kerja GP 2.2.3 GWP 3.0

diidentifikasi Mengidentifikasi, Rencana

dengan tepat, mendokumentasikan Kualitas harus

didokumentasikan dan mengontrol memberikan

dan dikendalikan. produk kerja. rincian Produk kerja tunduk produk kerja, pada kriteria kualitas, ubah kontrol, dokumentasi pembuatan versi, persyaratan dan dan konfigurasi kontrol manajemen yang perubahan. sesuai.

d. Produk kerja GP 2.2.4 Meninjau GWP 4.0

ditinjau sesuai dan menyesuaikan Catatan kualitas

dengan produk kerja harus

pengaturan yang memenuhi menyediakan

direncanakan dan persyaratan yang file

disesuaikan ditentukan. Produk jejak audit dari

diperlukan untuk kerja tinjauan yang

memenuhi tunduk pada dilakukan.

persyaratan. peninjauan terhadap

persyaratan di

sesuai dengan

pengaturan yang

direncanakan dan

apapun masalah

yang timbul

diselesaikan.

3. Establised Process

51

Pada level ini (Level 3) pelaksanaan dari level 2 dengan proses

yang sudah direncanakan dengan baik dan mampu memberikan

dampak yang baik.

a. PA 3.1 Process Definition (Pendefinisian Proses)

Mengukur sejauh mana proses dikelola untuk mendukung

pengerjaan dari proses yang telah didefinisikan. Sebagai

hasil pencapaian penuh atribut ini sebagai berikut :

Tabel 2. 4 Process Definition (ISACA, 2013)

PA 3.1 Process Definition

Hasil Pencapaian

Penuh Atribut

Praktik Umum (GPs) Hasil Kerja

Umum (GWPs)

a. Proses standar, GP 3.1.1 Tentukan GWP 5.0 termasuk yang proses standar itu Kebijakan dan

sesuai pedoman akan mendukung standar harus

menjahit, penyebaran yang memberikan

didefinisikan ditentukan rincian tujuan

yang menjelaskan proses. Proses organisasi

elemen standar untuk

fundamental yang didefinisikan itu prosesnya,

harus ada mengidentifikasi standar

dimasukkan ke elemen proses minimum

dalam proses yang fundamental dan kinerja, prosedur

ditentukan. memberikan standar, dan panduan dan pelaporan prosedur untuk dan persyaratan mendukung pemantauan. implementasi dan Bukti panduan tentang persyaratan di bagaimana hal itu tingkat ini bukan bisa terjadi hanya kebijakan disesuaikan saat itu dibutuhkan. dan standar ada, tetapi itu diterapkan di seluruh organisasi.

52

b. Urutan dan GP 3.1.2 Tentukan GWP 5.0

interaksi standar urutan dan Kebijakan dan

proses dengan interaksi antar standar harus

proses lain proses sehingga disediakan

ditentukan. mereka pemetaan proses bekerja sebagai dengan rincian sistem proses yang standar terintegrasi. Itu proses dan urutan proses urutan yang standar dan interaksi diharapkan dan dengan interaksi. proses lain Persyaratan ditentukan dan pembuktian ini dipelihara tingkat tidak ketika suatu proses hanya kebijakan diimplementasikan dan standar yang di bagian yang ada, berbeda tetapi diterapkan organisasi. di seluruh organisasi.

c. Kompetensi dan GP 3.1.3 Identifikasi GWP 5.0

peran yang peran dan Kebijakan dan

dibutuhkan untuk kompetensi standar harus

melakukan suatu untuk melakukan disediakan

proses proses standar. rincian peran dan

diidentifikasi kompetensi

sebagai bagian untuk tampil.

dari proses Persyaratan

standar. pembuktian pada level ini tidak adil bahwa kebijakan dan standar ada, tetapi mereka diterapkan di seluruh organisasi.

d. Infrastruktur dan GP 3.1.4 Identifikasi GWP 5.0 lingkungan kerja infrastruktur yang Kebijakan dan

yang dibutuhkan dibutuhkan standar harus

untuk melakukan dan lingkungan diidentifikasi

suatu proses kerja untuk infrastruktur dan

diidentifikasi melakukan pekerjaan

sebagai bagian proses standar. minimum yang

dari proses Infrastruktur dibutuhkan

standar. (fasilitas, lingkungan alat, metode, dll.) untuk dan lingkungan melakukan kerja untuk proses. Itu

53

melakukan proses

standar

diidentifikasi.

syarat

pembuktian pada

level ini tidak

hanya itu

kebijakan dan

standar ada, tapi

memang begitu

diterapkan di

seluruh organisasi.

e. Metode yang GP 3.1.5 GWP 5.0

sesuai untuk Menentukan metode Kebijakan dan

memantau yang cocok untuk standar harus

efektivitas dan memantau disediakan

kesesuaian proses efektivitas dan rincian tujuan

tersebut bertekad. kesesuaian organisasi untuk proses standar, proses, standar termasuk kinerja memastikannya minimum, kriteria yang sesuai prosedur dan data yang standar, dan dibutuhkan untuk pelaporan dan memantau persyaratan efektivitas dan pemantauan. kesesuaian proses Bukti didefinisikan, dan persyaratan di menetapkan tingkat ini bukan kebutuhan untuk hanya kebijakan melakukan itu audit internal dan dan standar ada, tinjauan manajemen. tetapi itu diterapkan di seluruh organisasi. Catatan Kualitas GWP 4.0 dan Proses GWP 9.0 catatan kinerja harus memberikan bukti tinjauan yang dilakukan.

b. PA 3.2 Process Deployment (Penyebaran Proses)

Mengukur sejauh mana proses secara efektif dijalankan.

Sebagai hasil pencapaian penuh atribut ini adalah sebagai

berikut:

54

Tabel 2. 5 Process Deployment (ISACA, 2013)

PA 3.2 Process Deployment



a. Proses yang GP 3.2.1 GWP 5.0

ditentukan Menerapkan proses Kebijakan dan

diterapkan yang ditentukan itu standar harus

berdasarkan memenuhi tentukan

standar yang konteksnya. Saat standar yang

dipilih dan / atau proses yang sama harus diikuti di

disesuaikan terjadi semua

dengan tepat digunakan dalam implementasi

proses. berbagai area proses. Bukti organisasi, persyaratan di itu didasarkan pada tingkat ini proses standar, bukan hanya disesuaikan kebijakan itu sebagaimana dan standar ada, mestinya, dengan tetapi itu kesesuaian dengan diterapkan persyaratan proses di seluruh yang ditentukan organisasi. diverifikasi.

b. Peran, tanggung GP 3.2.2 GWP 5.0 jawab dan Menetapkan dan Kebijakan dan

kewenangan yang mengkomunikasikan standar harus

diperlukan untuk peran, memberikan

melakukan proses tanggung jawab dan detail, tanggung

yang ditentukan wewenang untuk jawab dan

ditugaskan dan melakukan wewenang

dikomunikasikan. proses yang untuk ditentukan. Saat melakukan proses yang sama aktivitas proses. terjadi Itu digunakan dalam syarat berbagai area pembuktian organisasi, pada level ini otoritas dan peran tidak hanya itu untuk pertunjukan kebijakan dan kegiatan proses standar ada, tapi ditugaskan dan memang begitu dikomunikasikan. diterapkan di seluruh organisasi.

55

c. Personil GP 3.2.3 Pastikan GWP 1.0 Proses

melakukan proses kompetensi yang dokumentasi

yang ditentukan diperlukan untuk seharusnya

kompeten atas melakukan proses memberikan

dasar yang sesuai yang ditentukan. rincian

pendidikan, Saat sama kompetensi dan

pelatihan dan proses digunakan pelatihan

pengalaman. dalam area yang Persyaratan. berbeda dari GWP 2.0 organisasi, Rencana Proses kompetensi yang harus mencakup sesuai untuk rincian personel yang rencana ditugaskan komunikasi diidentifikasi dan proses, rencana sesuai pelatihan pelatihan tersedia dan rencana bagi mereka yang sumber daya menerapkan untuk setiap proses yang contoh ditentukan. proses.

d. Sumber daya yang GP 3.2.4 GWP 2.0

dibutuhkan dan Menyediakan Rencana Proses

informasi yang sumber daya dan harus mencakup

diperlukan untuk informasi rincian

melakukan proses untuk mendukung dari rencana

yang ditentukan kinerja yang sumber daya

dibuat tersedia, ditentukan untuk setiap

dialokasikan dan proses. Ketika contoh

digunakan. proses yang sama proses. digunakan di dalam

berbagai area

organisasi, yang

diperlukan

sumber daya

manusia dan

informasi untuk

melaksanakan

proses tersedia,

dialokasikan dan

digunakan.

e. Infrastruktur dan GP 3.2.5 GWP 2.0 lingkungan kerja Menyediakan proses Rencana Proses

yang dibutuhkan yang memadai harus mencakup

untuk melakukan infrastruktur untuk rincian

proses yang mendukung kinerja infrastruktur

ditentukan dibuat proses yang proses dan

tersedia, dikelola ditentukan. Saat lingkungan kerja

dan dipelihara. proses yang sama untuk setiap digunakan contoh proses.

56

dalam berbagai area

organisasi,

dukungan organisasi

yang dibutuhkan,

infrastruktur

dan lingkungan kerja

tersedia, dialokasikan dan

digunakan.

f. Data yang sesuai GP 3.2.6 GWP 4.0

dikumpulkan dan Mengumpulkan dan Catatan Kualitas

dianalisis sebagai menganalisis data dan Proses GWP

dasar untuk tentang 9.0

memahami kinerja proses untuk catatan kinerja

perilaku dari menunjukkannya harus

proses untuk kesesuaian dan memberikan

menunjukkan efektivitas. Data bukti

kesesuaiannya diperlukan untuk tinjauan alat

dan efektivitas, memantau yang dilakukan

dan untuk efektivitas dan untuk setiap

mengevaluasi di kesesuaian contoh

mana perbaikan proses di seluruh proses.

terus menerus dari organisasi

proses bisa dibuat. ditentukan,

dikumpulkan dan

dianalisis sebagai

dasar berkelanjutan

perbaikan.

4. Predictable Process

Pada level ini (Level 4) pelaksanaan dari level sebelumnya

dengan menentukan batasan pada pencapaian proses tersebut.

a. PA 4.1 Process Measurement (Pengukuran Proses)

Mengukur sejauh mana hasil pengukuran berguna untuk

mendukung performa proses pencapaian tujuan perusahaan.


berikut:

57

Tabel 2. 6 Process Measurement (ISACA, 2013)

PA 4.1 Process Measurement



a. Memproses

kebutuhan

informasi dalam

dukungan tujuan

bisnis yang

didefinisikan

relevan mapan.

GP 4.1.1 Identifikasi

kebutuhan informasi

proses,

dalam kaitannya

dengan tujuan

bisnis. Bisnis

tujuan dan proses

kebutuhan informasi

pemangku

kepentingan

telah ditetapkan

sebagai dasar untuk

menentukan

pengukuran kinerja

proses tujuan.

GWP 6.0

Rencana

perbaikan proses

seharusnya

memberikan

tujuan

perbaikan

proses dan

tindakan

Perbaikan

yang

diusulkan.

b. Tujuan

pengukuran

proses diturunkan

dari proses

kebutuhan

informasi.

GP 4.1.2 Turunkan

pengukuran proses

tujuan dari

kebutuhan proses

informasi.

Tujuan pengukuran

didasarkan pada

tujuan pengukuran

proses yang ditentukan.

GWP 7.0 Proses

rencana

pengukuran

seharusnya

memberikan

rincian

pengukuran

yang diusulkan

tujuan.

c. Tujuan kuantitatif

untuk proses

kinerja dalam

mendukung bisnis

yang relevan

tujuan ditetapkan.

GP 4.1.3

Menetapkan tujuan

kuantitatif

untuk kinerja proses

yang ditentukan,

sesuai dengan proses

penyelarasan

dengan

pengukuran

kuantitatif tujuan

bisnis

tujuan ditetapkan

secara eksplisit

mencerminkan

tujuan bisnis dan

telah diverifikasi

realistis dan berguna dengan organisasi

GWP 7.0 Proses

rencana

pengukuran

seharusnya

memberikan

rincian

pengukuran

yang diusulkan

ukuran dan

indikator.

58

manajemen dan

pemilik proses.

d. Ukuran dan GP 4.1.4 Identifikasi GWP 7.0

frekuensi produk dan proses Rencana

pengukuran langkah-langkah pengukuran

diidentifikasi dan yang mendukung proses

didefinisikan pencapaian harus

sejalan dengan tujuan kuantitatif memberikan

proses tujuan untuk kinerja proses. rincian langkah-

pengukuran dan Langkah-langkah langkah yang

kuantitatif tujuan rinci untuk produk diusulkan

untuk kinerja dan proses dan indikator

proses. diidentifikasi, bersama dengan bersama dengan pengumpulan frekuensi data pengumpulan dan prosedur dan pengukuran data prosedur serta analitis. mekanisme

verifikasi.

e. Hasil pengukuran GP 4.1.5 GWP 7.0

dikumpulkan Kumpulkan produk Rencana

dianalisis dan dan proses pengukuran

dilaporkan untuk hasil pengukuran proses

memantau sejauh melalui kinerja harus

mana tujuan proses yang memberikan

kuantitatif untuk ditentukan. Produk rincian analitis

kinerja proses dan proses yang diusulkan

terpenuhi. hasil pengukuran Prosedur. dikumpulkan, GWP 9.0 Proses dianalisis dan catatan kinerja dilaporkan sesuai harus dengan rencana memberikan yang ditentukan. rincian pengukuran yang dikumpulkan dan dianalisis.

59

f. Hasil pengukuran GP 4.1.6 Gunakan GWP 9.0 Proses

digunakan untuk hasil yang catatan kinerja

mengkarakterisasi ditentukan harus

kinerja proses. pengukuran untuk memberikan memantau dan rincian memverifikasi pengukuran pencapaian kinerja yang proses dikumpulkan tujuan. Hasil yang dan ditentukan dianalisis. pengukuran

dianalisis untuk

memverifikasi

pencapaian

terhadap tujuan

kinerja proses.

Teknik yang tepat

digunakan untuk

memahami

kinerja proses dan

kemampuan di

dalamnya

batas kontrol yang

ditentukan.

b. PA 4.2 Process Control (Kontrol Proses)

Mengukur sejauh mana kestabilan dan kemampuan proses

secara kuantitatif. Sebagai hasil pencapaian penuh atribut ini

adalah sebagai berikut:

Tabel 2. 7 Process Control (ISACA, 2013)

PA 4.2 Process Control



a. Teknik analisis GP 4.2.1 Tentukan GWP 1.0 Proses

dan pengendalian analisis dan kontrol dokumentasi

adalah ditentukan teknik yang tepat seharusnya

dan diterapkan untuk mengontrol memberikan

jika proses rincian kontrol

memungkinkan. kinerja. Metode (matriks pengukuran kontrol). efektivitas GWP 8.0 pengendalian proses Rencana didefinisikan pengendalian dan divalidasi. proses harus ada itu

60

menentukan

untuk setiap

proses

pengukuran pendekatan.

b. Batasan kontrol GP 4.2.2 Tentukan GWP 8.0

variasi ditetapkan parameter yang Rencana kendali

kinerja proses sesuai untuk proses harus ada

normal. dikontrol yang kinerja proses. menentukan Proses standar untuk setiap definisi dimodifikasi batas kontrol untuk memasukkan untuk normal metode kinerja. untuk kontrol proses

dan batas kontrol

mapan.

c. Data pengukuran GP 4.2.3 Analisis GWP 9.0 Proses

dianalisis khusus proses dan produk catatan kinerja

penyebab variasi. hasil pengukuran seharusnya untuk memberikan mengidentifikasi rincian variasi pengukuran kinerja proses. Hasil yang dari proses dikumpulkan pengukuran kontrol dan dianalisis untuk dianalisis. menentukan

masalah yang

menjadi perhatian

dan diteruskan untuk

ditindaklanjuti.

d. Tindakan korektif GP 4.2.4 GWP 9.0 Proses diambil untuk Mengidentifikasi catatan kinerja

menangani dan menerapkan seharusnya

khusus korektif memberikan

penyebab variasi. tindakan untuk rincian mengatasi penyebab pengukuran yang dapat yang dialihkan. dikumpulkan Tindakan korektif dan diambil untuk dianalisis dan menangani proses tindakan korektif kekhawatiran diambil. pengendalian dan

hasil dipantau dan

dievaluasi.

61

e. Batas kontrol GP 4.2.5 GWP 8.0

ditetapkan Menetapkan Rencana

kembali (jika kembali batas pengendalian

perlu) kendali berikut proses harus ada

mengikuti tindakan perbaikan. itu

tindakan korektif. Batas kontrol proses menentukan adalah batas kontrol dimodifikasi dengan untuk kinerja tepat setelah normal. tindakan korektif

diambil.

5. Optimizing Process

Pada level ini (Level 5) menggambarkan hasil dari pelaksanaan

level sebelumnya untuk dilakukan pengembangan secara

integritas.

a. PA 5.1 Process Innovation (Inovasi Proses)

Mengukur dan mengidentifikasi perubahan pada proses.


berikut:

Tabel 2. 8 Process Innovation (ISACA, 2013)

PA 5.1 Process Innovation



a. Tujuan perbaikan GP 5.1.1 GWP 7.0

proses untuk Definisikan Rencana

proses perbaikan proses peningkatan

didefinisikan tujuan untuk proses proses

yang mendukung yang mendukung seharusnya

yang relevan tujuan bisnis yang memberikan

tujuan bisnis. relevan. Petunjuk tujuan perbaikan untuk memproses proses dan inovasi ditetapkan. tindakan Kuantitatif dan perbaikan yang kualitatif diusulkan.

62

tujuan perbaikan

proses —

berdasarkan

potensi untuk

inovasi proses juga

visi dan tujuan

bisnis — telah

ditentukan

dan

didokumentasikan.

b. Data yang sesuai GP 5.1.2 GWP 9.0 Proses

dianalisis untuk Menganalisis data catatan kinerja

mengidentifikasi pengukuran dari harus

penyebab umum proses untuk memberikan

variasi dalam mengidentifikasi rincian

proses variasi nyata dan pengukuran

kinerja. potensial yang dalam kinerja dikumpulkan proses. Performa dan proses dianalisis. data dianalisis untuk

mengidentifikasi

variasi

memproses kinerja

bersama dengan root

penyebab masalah

kinerja proses yang

umum.

c. Data yang sesuai GP 5.1.3 GWP 6.0

dianalisis untuk Identifikasi peluang Rencana

mengidentifikasi peningkatan perbaikan proses

peluang untuk dari proses seharusnya

praktik dan berdasarkan inovasi memberikan

inovasi terbaik. dan terbaik rincian analisis praktek. Peluang terhadap praktik peningkatan proses terbaik. diidentifikasi

berdasarkan

perbandingan

dengan industri

praktik terbaik.

63

d. Peluang GP 5.1.4 Dapatkan GWP 6.0

peningkatan peluang peningkatan Rencana

berasal dari proses dari teknologi perbaikan proses

teknologi baru baru dan seharusnya

dan konsep proses konsep proses. memberikan

teridentifikasi. Peningkatan proses rincian analisis peluang teknologi diidentifikasi peluang berdasarkan tinjauan perbaikan. dan analisis

teknologi baru dan

proses inovasi

konsep, dengan

mempertimbangkan

perubahan

lingkungan bisnis

termasuk

risiko bisnis yang

muncul.

e. Strategi GP 5.1.5 Tentukan GWP 6.0

implementasi strategi Rencana

ditetapkan untuk implementasi perbaikan proses

mencapai tujuan berdasarkan visi seharusnya

perbaikan proses. perbaikan jangka memberikan panjang dan rincian strategi tujuan. Strategi implementasi perbaikan proses untuk adalah peningkatan didefinisikan dan proses. divalidasi

berdasarkan jangka

panjang

tujuan dan sasaran

perbaikan.

Komitmen untuk

perbaikan

ditunjukkan

oleh manajemen dan

proses organisasi

pemilik.

b. PA 5.2 Process Optimisation (Optimasi Proses)

Mengukur perubahan definisi, manajemen dan kinerja hasil

proses yang berdampak dalam pencapaian tujuan. Sebagai

hasil dari pencapaian penuh atribut ini adalah sebagai

berikut:

64

Tabel 2. 9 Process Optimisation (ISACA, 2013)

PA 5.2 Process Optimisation



a. Dampak dari GP 5.2.1 Menilai GWP 6.0

semua perubahan dampak dari setiap Rencana

yang diusulkan usulan perbaikan proses

dinilai berubah terhadap seharusnya

terhadap tujuan tujuan yang berikan detail

dari proses yang ditetapkan proses yang

ditentukan dan proses standar. diperlukan

dan proses Dampak yang peningkatan

standar. diusulkan pendekatan perubahan dinilai kualitas proyek. terhadap tujuan

proses dan untuk

menentukan

dampaknya

kualitas produk dan

kinerja proses juga

seperti proses terkait

lainnya.

b. Implementasi dari GP 5.2.2. Kelola GWP 6.0

semua perubahan implementasi Rencana

yang disepakati menyetujui perbaikan proses

berhasil perubahan pada area seharusnya

memastikan terpilih dari memberikan

bahwa setiap proses yang rincian strategi

gangguan pada ditentukan dan implementasi

kinerja proses standar menurut untuk perbaikan

dipahami dan strategi proses dan bukti

bertindak. implementasi. Perubahan Pelaksanaan dalam: dari perubahan yang • GWP 1.0 disepakati dikelola Dokumentasi sesuai Proses dengan manajemen • GWP 3.0 perubahan dan Rencana perubahan yang Kualitas ditentukan • GWP 5.0 proses Kebijakan dan pemberdayaan. standar

65

c. Berdasarkan GP 5.2.3 GWP 6.0

kinerja aktual, Berdasarkan Rencana

efektivitas kinerja aktual, perbaikan proses

perubahan proses mengevaluasi harus

dievaluasi efektivitas proses memberikan

terhadap perubahan terhadap rincian proses

persyaratan dan kinerja proses, yang diperlukan

proses produk kemampuan peningkatan

yang ditentukan tujuan dan sasaran pendekatan

tujuan untuk bisnis. Keefektifan kualitas proyek.

menentukan dari perubahan

apakah hasilnya yang dilakukan

karena penyebab pada proses diukur,

umum atau dievaluasi dan

khusus. dilaporkan setelah

implementasi.

Tingkatan kapabilitas setiap proses yang dinilai dinyatakan dengan

tingkatan kapabilitas dari 0 sampai 5. Didalam tingkatan 0 sampai 5 terdapat

indikator atribut proses. Pada tingkat 0 tidak memiliki atribut karena tingkat

0 mencerminkan proses tidak diterapkan atau proses gagal mencapai

tujuannya. Setiap tingkat kapabilitas hanya akan dicapai jika tingkat

sebelumnya telah tercapai.

Disetiap penilaian level, hasilnya akan diklasifikasikan dalam 4

kategori sebagai berikut :

1. F (Fully/ Tercapai Penuh)

Tingkat kemampuan yang dicapai lebih dari 85%. Dalam

peringkat ini pencapaian penuh atas atribut proses tersebut dan

pada atribut proses tidak ada kelemahan.

2. L (Largely/ Secara garis besar tercapai)

66

Tingkat kemampuan yang dicapai antara 50-85%. Dalam

peringkat ini pencapaian yang signifikan terhadap proses,

walaupun masih memungkinkan adanya kelemahan.

3. P (Partially/ Tercapai Sebagian)

Tingkat kemampuan yang dicapai antara 15-50%. Dalam

peringkat ini terdapat beberapa pencapaian atribut atas proses.

4. N (Not/ Tidak Tercapai)

Tingkat kemampuan yang dicapai kurang dari 15%. Dalam

peringkat ini tidak ada pencapaian atribut proses.

Suatu proses cukup meraih kategori Largely atau Fully untuk

dapat dinyatakan proses telah meraih suatu level kapabilitas tersebut, namun

proses tersebut harus meraih kategori Fully agar dapat melanjutkan

penilaian ke level kapabilitas selanjutnya.

2.4.7 RACI (Responsible, Accountable, Consulted, Informed) Chart

RACI Chart merupakan sebuah matriks dari semua aktivitas atau

wewenang dalam mengambil keputusan yang dilakukan dalam sebuah

organisasi. Berikut ini penjelasan RACI Chart :

1. Responsible

Menjelaskan tentang peran utama atau penanggung jawab

dalam kegiatan operasional dalam memenuhi kebutuhan dan

menciptakan hasil yang diinginkan.

2. Accountable

67

Menjelaskan tentang peran yang bertanggung jawab atas

seluruh keberhasilan tugas yang telah dilakukan.

3. Consulted

Menjelaskan tentang peran yang memberikan masukan dan

bertanggung jawab untuk memperoleh informasi dari unit lain.

4. Informed

Menjelaskan tentang peran yang menerima informasi dan

bertanggung jawab untuk menerima informasi yang tepat untuk

mengawasi setiap tugas yang dilakukan.

Berikut ini merupakan salah satu diagram RACI berdasarkan

framework COBIT 5 :

Gambar 2. 8 Diagram RACI EDM03 (ISACA, 2012)

Berikut ini tabel penjelasan mengenai peran dan struktur organisasi

yang berkaitan dengan proses risiko dalam COBIT 5:

Jabatan Deskripsi

68

Board Kelompok eksekutif paling senior yang

bertanggung jawab untuk tata kelola

organisasi dan memiliki kontrol keseluruhan

untuk sumber daya.

Executive Commitee Kelompok eksekutif yang ditunjuk oleh

dewan untuk terlibat dalam pengambilan

keputusan. Komite ini biasanya dipimpin

oleh anggota dewan.

CEO Orang yang bertanggung jawab dari

manajemen keseluruhan organisasi.

Chief Risk Officer Eksekutif yang bertanggung jawab untuk

memungkinkan tata kelola yang efisien dan

efektif dari risiko yang signifikan.

Chief Information

Officer / Chief

Technology Officer

Eksekutif yang bertanggung jawab untuk

menyelaraskan TI dan strategi bisnis.

IT Governance

Board

Sekelompok eksekutif paling senior yang

bertanggung jawab atas tata kelola TI dalam

organisasi.

Enterprise Risk

Commite

Komite yang bertanggung jawab untuk

mengevaluasi dan mengawasi risiko yang ada

di perusahaan.

69

Business Process

Owner

Orang yang bertanggung jawab pada proses

kinerja bisnis untuk mewujudkan tujuan dan

mendorong perbaikan proses dan menyetujui

perubahan proses.

Chief Financial

Officer

Orang yang memiliki tanggung jawab

terhadap manajemen keuangan, termasuk

risiko dan kontrol keuangan.

Chief Information

Security Officer

Orang yang bertanggung jawab untuk

keamanan informasi organisasi dalam segala

bentuk.

Business Continuity

Manager

Orang yang mengelola dan merancang,

mengawasi dan menilai kemampuan

kelangsungan usaha suatu organisasi.

Service Manager Orang yang mengelola dan

mengimplementasikan pengelolaan

berkelanjutan baru dan yang sudah ada.

Head Human

Resources

Pejabat yang bertanggung jawab untuk

perencanaan dan kebijakan terhadap sumber

daya manusia di organisasi.

Privacy Officer Orang yang bertanggung jawab untuk

memantau risiko dan dampak bisnis undang-

undang privasi dan membimbing

70

pelaksanaan kebijakan yang akan

memastikan arahan privasi terpenuhi.

Steering Orang yang bertanggung jawab untuk

(Programs/Projects) mendukung program dan proyek manajer,

Committee mengumpulkan informasi tentang

pelaksanaan program dan proyek.

2.5 Pemetaan Tujuan TI Terhadap Proses COBIT 5

Domain proses yang dipilih untuk dilakukan evaluasi didukung oleh COBIT

5. Dalam penelitian ini ditemukan permasalahan PT. Solusi Integrasi Teknologi

pernah mengalami kerusakan data dalam proses back-up data yang merupakan

salah satu upaya mengurangi munculnya risiko TI. Oleh karena permasalahan

tersebut maka dilakukan pemetaan Enterprise Goals terhadap Stakeholder Needs.

Gambar 2. 9 Mapping COBIT 5 Enterprise Goals to Governance and

Management Questions (ISACA. & Lainhart, 2012)

71

Berdasarkan hasil pemetaan, Enterprise Goals yang selaras adalah nomor

tiga yaitu, Managed Business Risk. Setelah menentukan Enterprise Goals pada

penelitian ini maka selanjutnya menentukan IT-related Goals yang selaras, dengan

melakukan pemetaan Enterprise Goals dan IT-related Goals.

Gambar 2. 10 Mapping COBIT 5 Enterprise Goals to IT-related

Goals (ISACA. & Lainhart, 2012)

Pada pemetaan diatas diketahui bahwa nilai “P” merupakan Primary yang

menunjukkan adanya hubungan penting. Sedangkan nilai “S” merupakan

72

Secondary menunjukkan masih ada hubungan yang kuat, tetapi kurang penting.

Pada kolom Enterprise Goals nomor tiga yaitu Managed Business Risk ditemukan

tiga IT-related Goals yang memiliki hubungan yang penting yaitu, (4) Managed IT-

related Business Risk, (10) Security of Information, processing infrastructure and

applications, (16) Competent and motivated business and IT personnel.

Berdasarkan hasil pemetaan diatas maka fokus evaluasi yang akan dilakukan pada

PT. Solusi Integrasi Teknologi yang dipilih dari IT-related goals yang selaras

dengan Enterprise Goals adalah (4) Managed IT-related Business Risk. Setelah

menemukan IT-related goals, selanjutnya adalah penentuan domain yang

digunakan, dengan melakukan pemetaan terhadap 37 proses yang terdapat pada

COBIT 5. Berikut pemetaan IT-related goals pada proses COBIT 5 :

73

Gambar 2. 11 Mapping COBIT 5 IT-Related Goals to Processes (ISACA. &

Lainhart, 2012)

74

Pada pemetaan diatas pada kolom IT-related goals Managed IT-Related

Risk terdapat 15 (lima belas) proses yang memiliki hubungan yang penting terhadap

IT-related goals. Hasil dari pemetaan tersebut peneliti melakukan kuesioner (pra-

penelitian) kepada pihak Divisi IT PT. Solusi Integrasi Teknologi untuk

menentukan domain yang akan menjadi fokus dalam penelitian. Hasil dari

kuesioner (pra penelitian) proses yang dipilih adalah EDM03 (Ensure Risk

Optimisation), APO12 (Manage Risk), APO13 (Manage Security) dan BAI06

(Manage Changes). Hasil dari kuesioner dilampirkan pada dokumen lampiran.

2.6 Fokus Area Tata Kelola Teknologi Informasi

Fokus area domain proses yang dipilih adalah domain Evaluate, Direct and

Monitor pada proses EDM03 (Ensure Optimisation Risk), Align, Plan and Organis

pada proses APO12 (Manage Risk), APO13 (Manage Security) dan domain Build,

Acquire and Implement pada proses BAI06 (Manage Changes).

EDM03 (Ensure Optimisation Risk) adalah memastikan besarnya risiko dan

toleransi perusahaan dipahami, diartikulasikan dan dikomunikasikan. Risiko

terhadap nilai perusahaan yang terkait dengan penggunaan TI dapat diidentifikasi

dan dikelola. Tujuan dari proses ini adalah memastikan bahwa risiko bisnis terkait

TI tidak melebihi risiko perusahaan dan toleransi risiko, dampak risiko TI terhadap

nilai perusahaan dapat diidentifikasi dan dikelola, dan potensi kegagalan dapat

diminimalkan.

APO12 (Manage Risk) adalah mengidentifikasi, menilai, dan mengurangi

risiko terkait TI secara terus-menerus dalam tingkat toleransi yang ditetapkan oleh

75

manajemen eksekutif perusahaan. Tujuan dari proses ini adalah mengintegrasikan

manajemen risiko perusahaan terkait TI dengan manajemen risiko perusahaan

secara keseluruhan dan menyeimbangkan biaya dan manfaat dari pengelolaan risiko

perusahaan terkait TI.

APO13 (Manage Security) adalah mendefinisikan, mengoperasikan dan

mengawasi sistem manajemen keamanan informasi. Tujuan dari proses ini adalah

mengatasi dampak dan kejadian dari insiden keamanan informasi dalam tingkatan

risiko perusahaan.

BAI06 (Manage Changes) adalah mengelola semua perubahan dalam cara

yang terkontrol, termasuk perubahan standar dan pemeliharaan darurat yang

berkaitan dengan proses bisnis, aplikasi dan infrastruktur. Tujuan dari proses ini

adalah memberikan perubahan secara cepat dan tepat pada bisnis dan mitigasi risiko

yang berdampak negatif pada stabilitas atau integritas lingkungan yang berubah.

2.7 ISO 31000:2018

ISO menerbitkan ISO 31000:2018 Risk management — Guidelines. Standar

ini menggantikan ISO 31000:2009 Risk management — Principles and

guidelines yang diterbitkan pada November 2009. ISO 31000 adalah panduan

penerapan risiko yang terdiri atas tiga elemen: prinsip (principle), kerangka kerja

(framework), dan proses (process).

Pada ISO 31000:2018 terdapat tiga perubahan mendasar yaitu sebagai

berikut :

1. Tata Kelola Risiko Menjadi Bagian Terintegrasi

76

Pada versi sebelumnya risk governance menjadi inisiator dalam

membangun kerangka manajemen risiko, kini menjadi bagian yang

tidak terpisahkan dalam proses integrasi manajemen risiko ke dalam

seluruh bagian perusahaan.

2. Manajemen Risiko Dipandang Iteratif

Manajemen risiko iteratif berarti manajemen risiko perusahaan

mengalami penyempurnaan bersamaan dengan berjalannya proses

manajemen risiko.

3. Sistem Diperkaya Konteks Eksternal

ISO 31000:2018 mengatur sistem manajemen risiko untuk menjadi

sistem yang lebih terbuka terhadap konteks eksternal perusahaan,

tujuannya adalah sistem manajemen risiko dapat memenuhi berbagai

tuntutan dari industri luar yang beragam.

ISO 31000:2018 menekankan tujuan manajemen risiko yaitu menciptakan

dan melindungi nilai. Secara umum, ISO 31000:2018 menyederhanakan ISO

31000:2009. Berikut perbedaan ISO 31000:2018 dan ISO 31000:2009 :

Tabel 2. 10 Perbedaan ISO 31000:2019 dan ISO 31000:2009

ISO 31000:2009 ISO 31000:2018

Elemen 3 elemen digambarkan

secara terurut

digambarkan jadi

sistem terbuka dan

saling terkait

Prinsip 11 Prinsip 1 Tujuan dan 8 Prinsip

77

Kerangka Kerja 5 Komponen 6 Komponen

Proses Penetapan konsep lingkup, konteks, dan

kriteria

ISO 31000:2018 sebagai revisi terhadap standar terdahulu yaitu ISO

31000:2009 dijelaskan bahwa perubahan utama ISO 31000:2018 dibanding dengan

ISO 31000:2009 sebagai berikut (Susilo, 2018):

1. Mengkaji prinsip manajemen risiko yang merupakan kriteria kunci

untuk keberhasilan penerapan manajemen risiko.

2. Fokus pada peran kepemimpinan top management dan pentingnya

pengintegrasian manajemen risiko, dimulai dari tata kelola

organisasi.

3. Penekanan yang lebih besar pada sifat berulang manajemen risiko

yang akan memberikan pemahaman bahwa setiap tahapan proses

akan mendapat dan mengalami perubahan akibat dari pengalaman

baru, pengetahuan dan hasil analisis dari kejadian yang dialami oleh

suatu organisasi.

4. Perampingan konten dengan fokus yang lebih besar dan

mempertahankan model sistem terbuka serta bertukar umpan balik

dengan lingkungan eksternal untuk memenuhi berbagai kebutuhan

dan konteks.

78

2.7.1 Prinsip ISO 31000:2018

Prinsip manajemen risiko dalam penciptaan dan perlindungan

nilai, meningkatkan kinerja, mendorong inovasi dan mendukung

pencapaian tujuan (Erlika, et al. 2020). Pada ISO 31000:2009 prinsip

manajemen risiko terdiri dari 11 prinsip sedangkan pada ISO 31000:2018

berubah menjadi 1 tujuan dan 8 prinsip (Mahardika, et al. 2019). Satu

prinsip “Creates Value” diubah menjadi tujuan manajemen risiko dan

dua prinsip “Part of Decision Making” dan “Explicity Addresses

Uncertainty” dihapus. Sehingga disederhanakan menjadi :

1. Integrated (Terintegrasi)

2. Structured and Comprehensive (Terstruktur dan Komprehensif)

3. Customized (Disesuaikan)

4. Inclusive (Inklusif)

5. Dynamic (Dinamis)

6. Best Available Information (Informasi Terbaik yang Tersedia)

7. Human and Cultural Factors (Faktor Manusia dan Budaya)

8. Continual Improvement (Peningkatan Sinambung)

Gambar 2. 12 Prinsip ISO 31000:2018 (Susilo, 2018)

79

2.7.2 Framework ISO 31000:2018

Kerangka kerja manajemen risiko adalah untuk membantu

organisasi dalam mengintegrasikan manajemen risiko ke dalam kegiatan

dan fungsi yang signifikan (Erlika et al., 2020). Pada ISO 31000:2018

memiliki 6 komponen yang pada versi sebelumnya memiliki 5

komponen. Komponen yang berubah yaitu, komponen “Mandate and

Commitment” diubah menjadi “Leadership and Commitment” dan

letaknya dipindahkan menjadi pusat komponen lainnya. Komponen

“Integration” ditambahkan sebagai komponen yang mengawali

komponen lain. Komponen lainnya disederhanakan menjadi sebagai

berikut :

1. Design (Perancangan)

2. Implementation (Implementasi)

3. Evaluation (Evaluasi)

4. Improvement (Perbaikan)

Gambar 2. 13 Framework ISO 31000:2018 (Susilo, 2018)

80

2.7.3 Proses ISO 31000:2018

Proses manajemen risiko adalah proses yang melibatkan

penerapan kebijakan yang sistemastis (Erlika et al., 2020). Proses

manajemen risiko ISO 31000:2018 relatif tidak berubah. Proses

“Establishing the Context” diubah penamaannya menjadi “Scope,

Context, Criteria”. Proses “Recording & Reporting” dicantumkan secara

eksplisit didalam diagram.

Gambar 2. 14 Process ISO 31000:2018 (Susilo, 2018)

2.8 Risiko

Risiko adalah kemungkinan terjadinya suatu peristiwa di masa yang akan

datang, dan jika peristiwa tersebut terjadi, akan mendatangkan kerugian (D. S. dan

W. H. Putri, 2017).

Risiko merupakan suatu keadaan adanya ketidakpastian dan tingkat

ketidakpastiannya terukur secara kuantitatif (Bank et al., 2018). Risiko merupakan

81

bentuk keadaan ketidakpastian tentang suatu keadaan yang akan terjadi nantinya

dengan keputusan yang diambil berdasarkan pertimbangan saat ini.

2.9 Risiko IT

Risiko IT sangat erat kaitannya dengan keamanan informasi, dimana

informasi merupakan asset yang sangat penting bagi sebuah organisasi dan jika

terganggu dapat menimbulkan dampak yang signifikan terhadap proses bisnis

organisasi (Supradono, 2009).

Risiko teknologi informasi merupakan bagian dari risiko operasional karena

sifatnya yang terkait dengan penggunaan aset teknologi informasi untuk

mendukung operasional proses bisnis didalam organisasi. Risiko teknologi

informasi mencakup risiko yang berasal dari internal dan eksternal. Risiko yang

berasal dari internal seperti kegagalan sistem, kegagalan jaringan, kerusakan

hardware & software, kehilangan data. Sedangkan risiko yang berasal dari

eksternal seperti bencana alam (Megawati, et al. 2014).

Tipe risiko dibagi menjadi tiga kategori yaitu, sebagai berikut (C. U. Putri,

2017):

1. IT Benefit / Value Enablement Risk, dimana risiko yang

diidentifikasi masuk ke dalam kategori manfaat atau nilai risiko

TI, yaitu apabila risiko terkait dengan kesempatan untuk

memanfaatkan TI dalam meningkatkan efisiensi atau efektivitas

proses bisnis.

82

2. IT Programme and Project Delivery Risk, dimana risiko yang

diidentifikasi masuk ke dalam kategori manfaat atau nilai risiko

TI, yaitu apabila risiko terkait dengan (kehilangan) kesempatan

untuk memanfaatkan TI dalam meningkatkan efisiensi atau

efektivitas proses bisnis.

3. IT Operations and Service Delivery Risk, dimana risiko yang

diidentifikasi masuk ke dalam kategori operasional dan layanan

risiko TI, yaitu apabila risiko terkait dengan stabilitas

operasional, ketersediaan, perlindungan dan pemulihan layanan

TI, dimana risiko dapat membawa kerugian atau pengurangan

nilai perusahaan.

2.10 Manajemen Risiko TI

Manajemen risiko teknologi informasi adalah kemampuan organisasi dalam

mengurangi risiko-risiko TI yang mungkin akan menghambat pencapaian tujuan

organisasi terkait dengan pemanfaatan TI itu sendiri (Iin et al., 2017).

Pengertian lain dari tentang manajemen risiko teknologi informasi menurut

National Institute of Standards and Technology, manajemen risiko meliputi tiga

proses, yaitu risk assesment, risk mitigation, evaluation assesment.

1. Risk assesment adalah tahap suatu risiko diidentifikasi dan mencari

dampak risiko untuk mencari kontrol mitigasi yang sesuai

2. Risk Mitigation adalah tahap memprioritaskan tingkat keparahan risiko

lalu mengevaluasi penyebab dan dampak risiko dan impelementasikan

83

kontrol yang tepat dalam mengurangi risiko yang sudah diketahui pada

proses risk.

3. Evaluation and assessment adalah tahap ini merupakan kunci dari proses

manajemen risiko dilakukan, dimana risiko yang telah di evaluasi

ditindaklanjuti dengan diberikan panduan best pratice agar manajemen

risiko yang dilakukan berhasil.

2.11 Risk Assessment

Risk Assessment merupakan upaya untuk menghitung besarnya risiko dan

menetapkan apakah risiko tersebut dapat diterima atau tidak (Urrohmah &

Riandadari, 2019).

Penilaian resiko adalah metode sistematis dalam melihat aktivitas kerja,

memikirkan apa yang dapat menjadi buruk, dan memutuskan kendali yang cocok

untuk mencegah terjadinya kerugian, kerusakan, atau cedera di tempat kerja

(Riandi Fauzan, 2016). Penilaian ini harus juga melibatkan pengendalian yang

diperlukan untuk menghilangkan, mengurangi, atau meminimalkan risiko.

Tujuan dari dilakukannya risk assessment adalah untuk menyediakan

informasi berbasis bukti dan analisis untuk membuat keputusan dari bagaimana

mengatasi risiko dan bagaimana memilih dari beberapa opsi (BSN, 2016).

2.11.1 OWASP Risk Rating Methodology

OWASP (Open World Application Security Object) merupakan

suatu organisasi yang memiliki misi yaitu meningkatkan keamanan pada

suatu software. OWASP membuat sebuah metode untuk risk assessment

84

yaitu Risk Rating Methodology. OWASP merumuskan suatu metode

penilaian risiko dalam hal pembobotan pada likelihood dan impact.

Dalam memberikan nilai untuk aspek likelihood dan impact, maka

ditentukan terlebih dahulu faktor-faktor yang berpengaruh terhadap 2

aspek tersebut (Chrisdiyanto et al., n.d.). Perhitungan likelihood dan

impact terdapat level risiko 3 jenjang, yaitu low (0 to <3), medium (3 to

<6), dan high (6 to <9). Perhitungan dilakukan dengan memberikan nilai

pada masing-masing faktor lalu akan dirata-rata (Weol et al., n.d.).

Berikut ini adalah metode risk assessment yang dibuat oleh OWASP :

1. Identifikasi Risiko

2. Menentukan faktor-faktor yang berpengaruh terhadap likelihood

3. Menentukan faktor-faktor yang berpengaruh terhadap impact

4. Menghitung Risk Severity

5. Memutuskan risiko mana saja yang harus diprioritaskan

berdasarkan Risk Severity nya.

2.11.2 Risk Likelihood

Perhitungan likelihood dapat dilakukan langsung dengan membagi

risiko ke dalam beberapa kategori yaitu high, medium, low (Apriatono et

al., n.d.). Untuk mendapatkan nilai likelihood dari setiap faktor risiko

dibutuhkan kriteria-kriteria untuk menilai dari setiap risiko yang ada.

kriteria yang digunakan likelihood sebagai berikut :

1. Skill Level

85

Skill Level merupakan ukuran seberapa tinggi kemampuan yang

dimiliki oleh staff IT. Semakin tinggi kemampuan staff IT maka risiko

akan semakin rendah. Skill level juga merupakan keahilan yang

mempengaruhi terjadinya risiko. Penilaian dihitung dari tingkat

kemampuan dan pengetahuan dalam menangani risiko.

2. Motive

Motive merupakan seberapa termotivasi organisasi untuk

menemukan dan mengeksploitasi risiko.

3. Opportunity

Opportunity merupakan sumber daya dan peluang yang dibutuhkan

organisasi untuk menemukan dan mengeksploitasi risiko.

4. Size

Size merupakan seberapa besar sebuah organisasi untuk menangani

risiko.

5. Ease of Discovery

Ease of Discovery merupakan seberapa mudahnya organisasi ini

menemukan kerentanan yang akan terjadi.

6. Ease of Exploit

Ease of Exploit merupakan seberapa mudahnya bagi oraganisasi untuk

benar-benar mengeksploitasi kerentanan.

7. Awareness

Awareness merupakan seberapa mengenal organisasi terhadap risiko

atau ancaman.

86

8. Intrusion Detection

Intrusion Detection merupakan seberapa besar kemungkinan

eksploitasi terdeteksi.

2.11.3 Risk Impact

Perhitungan impact dapat dilakukan langsung dengan membagi risiko ke

dalam beberapa kategori yaitu high, medium, low. Penentuan impact

terdapat beberapa kriteria yang digunakan untuk menghitung nilai yang

ada (Studi et al., n.d.). Berikut ini kriteria- kriteria yang digunakan untuk

menghitung impact :

1. Loss of Confidentiality

Loss of Confidentiality merupakan seberapa banyak data yang dapat

disebarkan dan seberapa sensitifnya.

2. Loss of Integrity

Loss of Integrity merupakan seberapa banyak data yang bisa rusak dan

seberapa besar rusaknya data.

3. Loss of Availability

Loss of Availability merupakan seberapa banyak layanan yang bisa hilang

dan seberapa penting layanan yang hilang itu.

4. Loss of Accountability

Loss of Accountability merupakan Tindakan terhadap ancaman dapat

ditemukan oleh individu di organisasi.

5. Financial Damage

87

Financial Damage merupakan seberapa banyak kerusakan finansial yang

akan dihasilkan dari eksploitasi.

6. Reputation Damage

Reputation Damage merupakan kerusakan reputasi dari eksploitasi yang

berdampak pada bisnis.

7. Non-Compliance

Non-Compliance merupakan seberapa besar paparan yang timbul dari

ketidakpatuhan.

8. Privacy Violation

Privacy Violation merupakan seberapa banyak privasi pribadi yang dapat

diungkapkan.

2.11.4 Risk Severity

Risk Severity dicari dengan cara mengalikan hasil likelihood terhadap

impact. Dari hasil perhitungan risk severity dapat ditentukan prioritas

masing-masing risiko. Dibawah ini tabel kategori risk severity dari hasil

perkalian antara likelihood dengan impact.

Tabel 2. 11 Kategori Risk Severity

Overall Risk Severity

Impact

HIGH Medium High Critical

MEDIUM Low Medium High

LOW Note Low Medium LOW MEDIUM HIGH

Likelihood

88

2.12 Risk Response

Risk Response dilakukan untuk memilih dan menerapkan langkah-langkah

pengelolaan risiko. Setelah memperhitungkan setiap risiko (Risk Assessment) maka

perlu memutuskan bagaimana merespon setiap risiko. Berikut ini tanggapan risiko

yang dapat diambil dalam merespon risiko (Nursetyawati, et al. 2020):

1. Risk Avoidance

Merupakan sebuah tindakan untuk menghentikan kegiatan/proses yang dapat

menyebabkan risiko yang akan terjadi.

2. Risk Reduction

Merupakan tindakan untuk mengurangi kemungkinan dan dampak dari

risiko.

3. Risk Sharing or Transfer

Merupakan tindakan untuk mengalihkan atau menanggung risiko bersama

atau mengalihkannya dengan pihak lain.

4. Risk Acceptence

Merupakan tindakan menerima risiko yang terjadi tanpa mengambil tindakan

apapun untuk menanggulangi risiko.

2.13 Business Continuity Plan

Business Continuity adalah aktivitas yang dilakukan oleh organisasi untuk

memastikan fungsi bisnis mereka tersedia (Trinckes, 2009). Beberapa langkah yang

harus dilakukan dalam penerapan BCP. Menurut standar CISSP (Certified

Information System Security Profesional), proses BCP meliputi 4 fase, yaitu :

89

1. Penetapan Ruang Lingkup dan Perencanaan

Pada fase ini dilakukan perencanaan kebutuhan penanggung jawab

pelaksana ketika terjadi bencana, wilayah yang perlu dilindungi dan upaya

agar tetap melakukan layanan setelah terjadi bencana.

2. Penetapan Business Impact Assessment (BIA)

Pada fase ini dilakukan pembuatan suatu dokumentasi atau panduan yang

akan digunakan untuk membantu penaksiran atas kelemahan yang muncul

saat terjadi bencana.

3. Pengembangan Business Continuity Plan

Pada fase ini menentukan strategi penyelamatan (back up) serta recovery

pada setiap bencana. Setelah itu dibuat prosedur dalam menghadapi keadaan

darurat tersebut.

4. Persetujuan Rencana dan Implementasi

Pada fase ini dilakukan pengujian Business Continuity Planning, pengujian

sistem yang tersusun serta melakukan evaluasi dan juga perbaikan sistem.

Lalu setelah itu dilakukan pelatihan dan sosialisasi Business Continuity

Planning pada seluruh karyawan dan mengevaluasi hasil dari pelatihan.

Langkah terakhir dilakukan peninjauan ulang BCP sebelum perencanaan

disetujui.

2.14 Disaster Recovery Plan

Disaster Recovery Plan adalah prosedur yang dijalankan saat BCP

berlangsung berupa langkah-langkah untuk penyelamatan dan pemulihan

90

(recovery) khususnya terhadap fasilitas IT dan sistem informasi (Trinckes, 2009).

Proses DRP meliputi :

1. Proses Disaster Recovery Planning

Proses ini adalah pembuatan dan pengembangan rencana pemulihan yang

sama dengan BCP proses. Jika telah dilakukan proses pengembangan

business continuity maka proses pengembangan DRP tidak perlu melakukan

lagi identifikasi dan justifikasi. Perencanaan dibuat hanya untuk menghadapi

bencana, yaitu dengan menentukan strategi dan prosedur yang akan

dilakukan bila bencana benar-benar terjadi.

2. Pengujian Disaster Recovery Planning

Pengujian DRP dilakukan sesuai dengan urutan, mengukuti standar yang

ditetapkan, dan disimulasikan pada keadaan sebenarnya. Bentuk pengujian

DRP yaitu :

1. Check List Test

2. Structured Walk-Through Test

3. Simulation Test

4. Paralel Test

5. Full-interruption Test

3. Prosedur Pemulihan Bencana

2.15 Metode Penelitian

Metode yang digunakan pada penelitian ini adalah sebagai berikut :

91

2.15.1 Metode Pengumpulan Data

1. Observasi

Observasi merupakan teknik pengumpulan data dengan peneliti

melakukan pengamatan secara langsung ke objek penelitian untuk

melihat dari dekat kegiatan yang dilakukan.

2. Wawancara

Wawancara merupakan komunikasi antara dua pihak untuk memperoleh

data, keterangan atau pendapat tentang suatu hal.

3. Kuesioner

Kuesioner merupakan teknik pengumpulan informasi dengan memberi

pertanyaan atau pernyataan yang akan dijawab oleh responden.

4. Studi Pustaka

Studi pustaka merupakan kegiatan untuk mengumpulkan informasi yang

relevan dengan topik yang menjadi objek penelitian. Informasi didapat

dari buku-buku dan website jurnal dan sumber-sumber lain.

2.15.2 Metode Analisis Data

Metode yang digunakan dalam identifikasi capability level, peneliti

menggunakan Assessment Process Activities berdasarkan framework

COBIT 5 yang terdiri dari :

1. Initiation

Tahap ini bertujuan untuk menjelaskan hasil identifikasi dari

beberapa informasi yang dikumpulkan. Beberapa kegiatan yang

telah dilakukan untuk mendapatkan informasi yang berkaitan

92

dengan penelitian yaitu melakukan observasi, wawancara dan

studi pustaka. Observasi dilakukan dengan mengamati langsung

dan mempelajari pengelolaan layanan TI pada PT. Solusi Integrasi

Teknologi. Sedangkan wawancara dilakukan dengan cara

melakukan komunikasi secara langsung dengan pihak-pihak yang

menjadi objek penelitian.


Setelah dilakukan analisa dalam initiation maka didapatkan ruang

lingkup proses yang akan dievaluasi, adapun proses yang dipilih

dan dievaluasi yaitu pada proses domain EDM03 (Ensure Risk

Optimation), APO12 (Manage Risk), APO13 (Manage Security)

dan BAI06 (Manage Changes). Pada tahap ini dilakukan penilaian

yang bertujuan untuk mendapatkan hasil evaluasi penilaian

capability.

3. Briefing


kepada responden penilai sehingga memahami masukan, proses

dan keluaran yang akan dinilai.

4. Data Collection

Tahap ini dilakukan pengumpulan seluruh data hasil temuan yang

berhubungan dengan penelitian baik berupa data-data, hasil

wawancara dan kuesioner.

5. Data Validation

93

Tahap ini dilakukan pengolahan data kuesioner yang telah

dijawab oleh responden agar mendapatkan evaluasi penilaian

capability level.

6. Process Attribute Level

Tahap ini dilakukan proses memberi level pada atribut yang ada

pada setiap indikator, yang bertujuan untuk menunjukkan hasil

capability level dari perhitungan kuesioner.


Tahap ini melaporkan hasil evaluasi dan memberikan

rekomendasi kepada PT. Solusi Integrasi Teknologi dengan

menggunakan ISO 31000:2018.

2.15.3 Metode Perhitungan Skala Likert

Penelitian menggunakan skala likert sebagai skala pengukuran.

Skala likert merupakan skala yang menggunakan beberapa butir

pertanyaan dengan merespon 5 titik pilihan pada setiap butir pertanyaan,

Sangat Setuju, Setuju, Ragu-ragu, Tidak Setuju, dan Sangat Tidak Setuju

(Budiaji, 2013).

Skala likert digunakan sebagai skala penilaian karena memberi

nilai terhadap sesuatu (Maryuliana et al., 2016). Skala jawaban pada

skala likert dapat diberi skor seperti :

Butir Pilihan Skor

Sangat Setuju (SS) 5

94

Setuju (S) 4

Ragu-ragu 3

Tidak Setuju 2

Sangat Tidak Setuju 1

Dalam menentukan nilai kapabilitas dan tingkat kapabilitas dari

EDM03, APO12, APO1, BAI06, peneliti menggunakan perhitungan

skala likert (Surendro, 2009):

1. Menghitung Rekapitulasi Jawaban Kuesioner

𝐻 C =

𝐽𝑅

× 100%

C : Rekapitulasi jawaban kuesioner Capability Level (dalam

bentuk persentase pada masing-masing pilihan jawaban a,b,c,d,e

atau f disetiap aktivitas)

H : Jumlah jawaban kuesioner Capability Level pada masing-

masing pilihan jawaban a,b,c,d,e atau f disetiap aktivitas.

JR : Jumlah Responden

2. Menghitung Nilai dan Capability Level

𝑁𝐾 = (𝑁𝑘 × 𝐿𝑃)𝑎 + (𝑁𝑘 × 𝐿𝑃)𝑏 + (𝑁𝑘 × 𝐿𝑃)𝑐 + (𝑁𝑘 × 𝐿𝑃)𝑑 + (𝑁𝑘 × 𝐿𝑃)𝑒 + (𝑁𝑘 × 𝐿𝑃)𝑓

100

Keterangan :

NK : Nilai Kapabilitas pada proses

LP : Level Percentage (Tingkat persentase pada setiap distribusi

jawaban kuesioner capability level)

95

Nk : Nilai kapabilitas yang tertera pada tabel pemetaan jawaban,

nilai dan tingkat kapabilitas.

Pada penelitian ini dibedakan istilah nilai kapabilitas dan

tingkat kapabilitas. Nilai kapabilitas bisa bernilai bilangan pecahan, yang

menggambarkan proses pencapaian menuju suatu tingkat kapabilitas

tertentu. Sedangkan tingkat kapabilitas dinyatakan dalam bilangan bulat,

menunjukkan tahapan yang dicapai dalam proses kapabilitas (Surendro,

2009).

Berikut pemetaan terhadap jawaban, nilai kapabilitas dan

tingkat kapabilitas :

Rentang Nilai Jawaban Nilai Kapabilitas Tingkat Kapabilitas

0 – 0.50 1 0,00 0 Non-Existent

0,51 – 1,50 2 1,00 1 Performed Process

1,51 – 2,50 3 2,00 2 Manage Process

2,51 – 3,50 4 3,00 3 Established Process

3,51 – 4,50 5 4,00 4 Predictable Process

4,51 – 5,00 6 5,00 5 Optimising Process

2.16 Penelitian Sejenis

Berikut ini adalah kajian penelitian sejenis terkait dengan penelitian ini :

NO Nama Penulis Tahun Judul

96

1. Fransisca, Augie,

Alhadi

2018 Evaluasi Manajemen

Risiko Keamanan

Informasi Dengan

Menggunakan

COBIT 5 Subdomain

EDM03 (Ensure

Risk Optimisation)

(Studi Kasus :

Satuan Organisasi

XYZ – Lembaga

ABC)

Penelitian ini menggunakan COBIT 5 subdomain EDM03.

Evaluasi dilakukan untuk mengetahui tingkat kapabilitas

dalam memastikan optimasi risiko yang telah dilaksanakan

terhadap layanan TI. Hasil dari penelitian ini menyatakan

perusahaan berada pada tingkat kapabilitas pada level 1

performed process kategori largely achieved yang berarti

pada level ini proses yang diimplementasikan organisasi

mencapai tujuan prosesnya

2. Riyan 2018 Evaluasi Manajemen

Risiko pada

Perusahaan BUMN

97

menggunakan

Standar COBIT 5

Penelitian ini menggunakan framework COBIT 5 dengan 2

domain proses yaitu EDM03 (Ensure Risk Optimisation) dan

APO12 (Manage Risk). Hasil penelitian menyebutkan bahwa

kemampuan perusahaan dalam menjalankan proses EDM03

dan APO12 sama-sama berada pada level 1 yang berarti pada

proses Ensure Risk Optimation dan Managed Risk di PT

TASPEN telah diimplementasikan, namun belum digunakan

secara optimal dalam mendukung bisnis proses dalam

perusahaan.

3. Megawati , Ana 2018 Evaluasi

Manajemen Resiko

Teknologi

Informasi

Menggunakan

Kerangka Kerja

Cobit 5.0

Metode yang digunakan dalam penelitian ini adalah

Framework COBIT versi 5.0. fokus domain COBIT yang

digunakan pada penilitian ini adalah EDM.03 (Evaluate,

Direct, dan Monitor). Hasil dari penelitian ini berupa nilai

98

kapabilitas serta rekomendasi untuk pencapaian tingkat

kapabilitas terkait proses Evaluate, Direct, dan Monitor.

4. Novia 2018 Evaluasi

Manajemen Risiko

Teknologi

Informasi

Menggunakan

Framework

COBIT 5 (Studi

Kasus : PT. Kimia

Farma (Persero)

Tbk – Plant

Watudakon)

Penelitian ini menggunakan COBIT 5 dengan domain EDM03

dan APO12. Pada penelitian ini juga dilakukan perhitungan

capability level pada setiap domain. Hasil dari penelitian

didapatkan nilai capability level untuk EDM03 pada level 2

dan APO12 pada level 1. Setelah itu dilakukan penilaian

risiko untuk kemudian menentukan langkah mitigasi risiko.

5. Damar, Achmad 2013 Evaluasi

Pelaksanaan

Manajemen Risiko

99

Teknologi

Informasi pada

Kantor Arsip

Daerah Kota

Samarinda dengan

Menggunakan The

Risk IT

Framework

Tahap awal penelitian ini dilakukan deskripsi tingkat

kematangan kondisi saat ini lalu merumuskan program untuk

meningkatkan kondisi kematangan manajemen risiko TI dari

tingkat kematangan saat ini menuju tingkat kematangan yang

diharapkan. Hasil dari penelitian didapatkan proses

pelaksanaan manajemen risiko teknologi pada Kantor Arsip

Daerah Kota Samarinda ada yang beberapa target yang sudah

dicapai dan masih ada target yang belum tercapai. Ini

ditunjukkan dengan atribut tingkat kematangan teknologi

informasi yang sebagian besar berada pada tingkat

kematangan repeatable but intuitive dan defined process.

5. HanimMaria et. Al 2017 Proses Penilaian

Risiko Teknologi

Informasi

100

Berdasarkan

Kerangka COBIT

5 : Studi Kasus

Service Desk ITS

Penelitian ini bertujuan untuk mengidentifikasi dan menilai

risiko, terutama risiko proses TI. Identifikasi dan penilaian

risiko dilakukan untuk menghindari masalah atau gangguan

dalam proses bisnis organisasi dan meminimalkan kerugian.

Pada penelitian ini menggunakan proses COBIT 5 APO12

Manage Risk. Hasil dari penelitian ini adalah sebagian besar

risiko berada pada kategori operasional staf serta keahlian dan

keterampilan IT. Langkah-langkah mitigasi risiko kategori

operasional staf berisi rangkaian kegiatan membuat dan

melaksanakan prosedur tertulis yang bertujuan untuk

meminimalkan salah urus staf.

7. Yani et. Al 2018 Penilaian

Kapabilitas

Penerapan

Manajemen Risiko

Teknologi

Informasi

Menggunakan

101

Kerangka Kerja

COBIT 5 (Studi

pada PDAM Kota

Malang Jawa

Timur)

Penelitian ini bertujuan untuk melakukan penilaian kapabilitas

penerapan manajemen risiko TI dengan menggunakan proses

EDM03 (Ensure Risk Optimisation), APO12 (Manage Risk)

dan APO13 (Manage Security). Dalam penelitian ini

dilakukan tahapan self assessment. Mulai dari pemilihan

proses yang akan dinilai, penilaian untuk level 1, penilaian

untuk level 2-5, merekam semua hasil penilaian, analisis gap

dan pembuatan rekomendasi. Hasil dari penelitian ini adalah

pada domain EDM03, APO12, APO13 target level yang

diharapkan berada pada level 2 sedangkan menurut hasil

penilaian perusahaan berada pada capability level 1. Dari hasil

tersebut telah diberikan 5 rekomendasi untuk proses EDM03,

5 rekomendasi untuk proses APO12 dan 8 rekomendasi untuk

proses APO13 yang dapat diadopsi oleh perusahaan demi

mencapai targeted level yang diinginkan.

8. Agatha et. Al 2019 Evaluasi

Manajemen Risiko

102

Teknologi

Informasi pada

Badan

Perencanaan,

Penelitian dan

Pengembangan

(Barenlitbang)

Kota Malang

Menggunakan

COBIT 5 Domain

EDM03 dan

APO12

Penelitian ini bertujuan untuk mengetahui sejauh mana

penerapan manajemen risiko TI yang telah dilakukan oleh

BARENLITBANG, melakukan penilaian capability level.

Hasil dari penelitian ini adalah penilaian tingkat kapabilitas

pada domain EDM03 adalah level 1 sementara domain

APO12 berada di level 2 dengan kesenjangan 1 level bagi

kedua domain. Terdapat 6 rekomendasi yang disarankan

untuk BARENLITBANG seperti membuat SOP untuk

mengatur manajemen risiko, mengoptimalkan pengawasan

dan evaluasi, membuat risk map, memaksimalkan rencana

103

aksi, meningkatkan kemampuan sumber daya manusia di

BARENLITBANG, dan mengoptimalkan satgas pengendalian

internal.

9. Arief 2017 Evaluasi

Manajemen Risiko

Teknologi

Informasi

Menggunakan

Kerangka Kerja

COBIT 5 (Studi

Kasus pada Perum

Jasa Tirta I

Malang)

Penelitian ini bertujuan untuk mengevaluasi penerapan

manajemen risiko teknologi informasi dengan kerangka kerja

COBIT 5 dengan menggunakan domain EDM03 dan APO12

dan memberikan rekomendasi dan langkah mitigasi untuk

perbaikan manajemen risiko teknologi informasi. Hasil dari

penelitian ini adalah tingkat kemampuan dalam menjalankan

proses EDM03 dan APO12 sama-sama berada pada level 2

yaitu managed process yang berarti telah dikelola dengan

baik. Besarnya gap antara nilai capability level yang saat ini

104

dengan capability level yang ingin dicapai untuk domain

proses EDM03 dan APO13 masing-masing sebesar 1.

10. Krisdana et. Al 2019 Manajemen Risiko

Teknologi

Informasi

Menggunakan ISO

31000:2018 (Studi

Kasus : CV. XY)

Penelitian ini bertujuan untuk menganalisa manajemen risiko

pada bagian IT. Hasil dari penelitian ini adalah PT. CV. XY

belum memenuhi syarat standar ISO 31000:2018, dikarenakan

dari beberapa tahapan pengamatan, wawancara, serta

penilaian terhadap risiko masih banyak yang belum

terpecahkan.

Pada penelitian-penelitian diatas dinyatakan bahwa evaluasi manajemen

risiko dengan menggunakan COBIT 5 banyak menggunakan domain proses

EDM03 dan APO12. Dari penelitian-penelitian tersebut menghasilkan nilai

atau level tingkat kapabilitas pada setiap domain. Dari penelitian sejenis diatas,

kelebihan dari penelitian ini yaitu menggunakan 4 (empat) domain proses yang

terkait dengan manajemen risiko yaitu EDM03 (Ensure Risk Optimisation),

APO12 (Manage Risk), APO13 (Manage Security) dan BAI06 (Manage

105

Changes). Metode analisis data menggunakan Assessment Process Activities.

Untuk risk assessment menggunakan OWASP The Risk Rating Methodology.

Sedangkan untuk rekomendasi langkah mitigasi menggunakan framework ISO

31000:2018 tentang manajemen risiko.

107

BAB III

METODOLOGI PENELITIAN

3.1 Desain Penelitian

Metode penelitian yang digunakan dalam penelitian ini adalah metode

kualitatif, yaitu sebuah metode yang menekankan pada aspek pemahaman lebih

mendalam terhadap suatu permasalahan. Dalam penelitian ini, metode

pengumpulan data dilakukan melalui wawancara. Selain wawancara dilakukan

juga observasi untuk memperkuat hasil.

Data yang dikumpulkan pada penelitian ini adalah data primer

(kuesioner, observasi, wawancara dengan pihak terkait) dan data sekunder

(studi pustaka dari buku-buku, penelitian sebelumnya dan internet).

Pada penelitian ini menggunakan Framework COBIT 5 untuk penilaian

capability level pada divisi IT. COBIT 5 menggunakan model capability level

dalam pengukuran tingkat kinerja berdasarkan mengacu pada ISO 15504/ISO

33000 dan memiliki 6 level dari 0 sampai dengan 5 (Syuhada, 2021). Lalu untuk

langkah mitigasi risiko menggunakan prinsip dari Framework ISO 31000:2018.

ISO 31000:2018 memberikan pedoman manajemen risiko yang dapat

digunakan atau diimplementasikan oleh berbagai jenis organisasi dalam

menghadapi berbagai risiko yang ada pada proses bisnis mereka (Fachrezi,

2021). Sedangkan COBIT 5 hanya memberikan panduan kendali dan tidak

memberikan panduan implementasi operasional (Sumijan & Purnama, 2020).

108

3.2 Initiation

Pada tahap ini dilakukan identifikasi profil PT Solusi Integrasi

Teknologi yang bertujuan untuk memperoleh pemahaman tentang organisasi

ini. Selain itu tahap ini juga dilakukan pengumpulan informasi tentang kondisi

organisasi saat ini yang nantinya akan dievaluasi. Metode pengumpulan data

yang dilakukan peneliti sebagai berikut :

3.2.1 Observasi

Observasi dilakukan untuk mendapatkan data yang

dikumpulkan dengan melakukan pengamatan secara langsung.

Observasi PT Solusi Integrasi Teknologi dimulai pada April 2019

sampai Juni 2019 dengan mengunjungi kantor PT Solusi Integrasi

Teknologi yang beralamatkan di Jalan Jahe II, Larangan, Ciledug,

Tangerang. Jenis observasi yang dilakukan yaitu observasi

nonpartisipan, yaitu peneliti tidak terlibat aktif, tetapi hanya menjadi

pengamat independen.

3.2.3 Wawancara

Wawancara dilakukan sebanyak 3 kali. Pada tanggal 23 Juni.

Wawancara dilakukan dengan Bapak Willy Andika selaku Direksi di

PT. Solusi Integrasi Teknologi. Wawancara pertama diketahui

informasi tentang profil organisasi seperti visi misi, struktur

organisasi serta permasalahan umum yang terjadi dalam penggunaan

TI. Wawancara kedua pada tanggal 10 November dengan Bapak Aldo

Rifki Putra selaku Direksi di PT. Solusi Integrasi dengan tujuan

109

mengetahui kejadian TI yang berisiko yang pernah terjadi dari tahun

2017 sampai dengan tahun 2020. Wawancara ketiga dilakukan pada

tanggal 15 Desember dengan Bapak Aldo Rifki Putra selaku Direksi

di PT. Solusi Integrasi Teknologi dengan tujuan wawancara

membahas kebutuhan untuk penelitian yaitu mengisi kuesioner pra-

penelitian untuk penentuan domain yang akan digunakan dalam

penelitian ini. Semua wawancara dilampirkan.

3.2.4 Kuesioner

Kuesioner penelitian diajukan kepada 9 responden yang telah

ditentukan melalui identifikasi diagram RACI.

Tabel 2. 12 Diagram RACI PT. Solusi Integrasi Teknologi

NO Fungsional Struktur COBIT 5 Fungsi Struktur PT.

Solusi Integrasi

Teknologi

1. Executive Committee Direksi Utama

2. Chief Executive Officer Direksi Utama

3. Chief Risk Officer General Manager

6. Chief Information Security

Officer

IT Manager

7. Chief Technology Officer IT Manager

8. Business Process Owners General Manager

9. Project Management Office IT Manager

110

10. Data Management Function IT Manager

11. Head IT Administration IT Manager

12. Head Development General

Developer/Senior

Developer

13. Head IT Operation IT Manager

14. Service Manager QA & QC

15. Information Security Manager General

Developer/Senior

Developer

16. Business Continuity Manager QA & QC

Pertanyaan dari kuesioner dibuat berdasarkan aktivitas yang

terdapat dalam domain proses EDM03, APO12, APO13 dan BAI06.

Pada EDM03 terdapat 3 sub proses, APO12 terdapat 6 sub proses,

APO13 terdapat 3 sub proses dan BAI06 terdapat 4 sub proses yang

masing-masing memiliki pertanyaan. Setiap jawaban pertanyaan

menggunakan skala likert yang memiliki ketentuan nilai dari 0-5 dan

pada setiap pertanyaan akan mengidentifikasi kondisi saat ini dan

kondisi yang diharapkan.

3.2.5 Studi Pustaka

Studi pustaka digunakan sebagai suatu metode menemukan

teori pendukung yang mendasari masalah yang akan diteliti salam

111

melakukan evaluasi manajemen risiko. Studi pustaka dilakukan

dengan mempelajari teori-teori terkait dengan manajemen risiko,

COBIT 5, dan ISO 31000:2018. Melalui studi pustaka, penulis juga

dapat memperoleh informasi mengenai penelitian sejenis yang dapat

dijadikan referensi dan penambah wawasan terkait dengan penelitian

yang dilakukan. Penelitian ini didukung dengan berbagai sumber

website, buku dan jurnal.

3.3 Planning the Assessment

Tahap ini dilakukan rencana penilaian untuk mendapatkan data yang

akan dibutuhkan pada domain EDM03, APO12, APO13 dan BAI06.

Pertanyaan dari kuesioner dibuat berdasarkan aktivitas yang terdapat dalam

domain proses EDM03, APO12, APO13 dan BAI06. Kuesioner akan diberikan

kepada 9 responden yang telah ditentukan melalui RACI Chart. Pada penelitian

ini menggunakan kuesioner Capability Level dengan penjelasan sebagai

berikut:

1. Uji Coba Instrumen (Kuesioner)

Uji coba instrumen pada penelitian ini bertujuan untuk

mengetahui kualitas dari instrumen mudah dipahami atau tidak oleh

responden. Baik buruknya instrumen akan berpengaruh terhadap benar

tidaknya data yang diperoleh, sedangkan benar tidaknya sangat menentukan

bermutu tidaknya hasil penelitian (Rahardian, 2020). Uji coba dilakukan

dengan 4 responden PT. Solusi Integrasi Teknologi.

112

2. Pembuatan Kuesioner Capability Level

Pembuatan kuesioner ini bertujuan untuk mengetahui level

kapabilitas dari perusahaan dengan menggunakan proses EDM03 Ensure

Risk Optimisation, APO12 Manage Risk, APO13 Manage Security dan

BAI06 Manage Changes. Kuesioner ini dibuat berdasarkan key

management practice dalam COBIT 5. Kuesioner terdiri dari subdomain:

a. EDM03.01 : Evaluasi manajemen risiko

b. EDM03.02 : Mengarahkan manajemen risiko

c. EDM03.03 : Mengawasi manajemen risiko

d. APO12.01 : Mengumpulkan data

e. APO12.02 : Analisis risiko

f. APO12.03 : Memelihara profil risiko

g. APO12.04 : Mengartikulasikan risiko

h. APO12.05 : Mendefinisikan portofolio tindakan

manajemen risiko

j. APO12.06 : Menanggapi risiko

k. APO13.01 : Membangun dan memelihara sistem

manajemen keamanan informasi

l. APO13.02 : Mendefinisikan dan mengelola rencana

perlakuan risiko keamanan informasi

113

m. APO13.03 : Memantau dan meninjau sistem


n. BAI06.01 : Mengevaluasi, memprioritaskan dan

mengotorasi permintaan perubahan

o. BAI06.02 : Mengelola perubahan darurat

p. BAI06.03 : Melacak dan melaporkan status

perubahan

q. BAI06.04 : Tutup dan dokumentasikan perubahan

Kuesioner dibuat sebagai alat bantu pengumpulan data. Kuesioner

ini ditujukan untuk responden sesuai dengan diagram RACI. Setiap

aktivitas dijadikan pertanyaan untuk mengetahui tingkat kematangan.

Pengukuran yang digunakan pada penelitian ini menggunakan skala

likert.

3. Purposive Sampling

Pada tahap ini proses untuk EDM03, APO12, APO13 dan BAI06

ditentukan dengan identifikasi diagram RACI yang terdapat pada COBIT

5. Berdasarkan diagram RACI yang terdapat pada EDM03, APO12,

APO13 dan BAI06 telah dikonversikan dengan struktur organisasi yang

berada di PT. Solusi Integrasi Teknologi. Berikut ini pihak-pihak yang

akan menjadi responden pada penelitian ini:

Tabel 3. 1 Pemetaan RACI Chart ke Struktur Organisasi Proses

EDM03

114

NO Fungsional Struktur COBIT 5 Fungsi Struktur

Divisi IT PT. Solusi

Integrasi Teknologi

1. Executive Committee IT Manager

2. Chief Executive Officer IT Manager

3. Chief Risk Officer IT Manager

4. Chief Information Security

Officer

IT Manager


APO12


Divisi IT PT.

Solusi Integrasi

Teknologi


2. Chief Technology Officer IT Manager

3. Business Process Owners IT Manager


5. Data Management Function IT Manager


7. Head Development Senior Developer


9. Service Manager QA & QC

10. Information Security Manager Senior Developer



APO13


PT. Solusi

Integrasi

Teknologi


2. Chief Information Officer IT Manager


115





9. Information Security Manager Senior Developer


3.4 Briefing


BAI06


PT. Solusi

Integrasi

Teknologi

1. Chief Information Officer IT Manager





Tahap ini dilakukan pengarahan pengisian kuesioner kepada responden

yang telah ditentukan berdasarkan diagram RACI sehingga responden dapat

memahami input, proses dan output dalam unit organisasi yang akan dinilai.

Pada briefing dilakukan menentukan jadwal penilaian, kendala yang dihadapi

dalam melakukan penilaian, peran dan tanggung jawab, dan lain-lain.

3.5 Data Collection

Pada tahap ini dilakukan pengumpulan data dari hasil temuan yang

terdapat pada PT. Solusi Integrasi Teknologi. Pengumpulan data dilakukan

116

dengan wawancara dan observasi kepada pihak terkait untuk dapat menemukan

bukti-bukti penilaian evaluasi pada aktivitas yang telah dijalankan.

3.6 Data Validation

Pada tahap ini dilakukan validasi data dari kuesioner yang telah diisi

oleh responden PT. Solusi Integrasi Teknologi. Tahap ini bertujuan untuk

rekapitulasi hasil perhitungan kuesioner agar mendapatkan evaluasi penilaian

capability level.

3.7 Process Attribute Level

Pada tahap ini dilakukan pemberian tingkat pada atribut setiap indikator

proses kapabilitas yang bertujuan untuk menunjukkan hasil capability level

yang didasarkan dari hasil perhitungan kuesioner dan setelahnya dilakukan

analisis gap.

3.8 Penilaian Risiko

Tahap ini peneliti dilakukan identifikasi dan analisis risiko untuk

kepentingan langkah mitigasi selanjutnya yang akan diambil. Penilaian risiko

menggunakan Risk Rating Methodology yang dikeluarkan oleh OWASP.

3.9 Reporting the Result

Pada tahap ini dilakukan pelaporan hasil dari evaluasi yang telah

dilakukan dengan tujuan memberikan rekomendasi untuk PT. Solusi Integrasi

Teknologi. Langkah mitigasi pada penelitian ini menggunakan ISO 31000:2018

yang khusus membahas manajemen risiko.

117

3.10 Kerangka Penelitian

Metode penelitian digambarkan pada diagram berikut ini :

118

Gambar 3. 1 Kerangka Penelitian

120

BAB IV

HASIL DAN PEMBAHASAN

4.1 Initiation

4.1.1 Gambaran Umum PT. Solusi Integrasi Teknologi

PT. Solusi Integrasi Teknologi adalah perusahaan pengembangan

yang bergerak di bidang teknologi informasi, terutama dalam pembuatan

software yang sangat berpengalaman dan berkualitas di berbagai sektor

bidang bisnis. PT. Solusi Integrasi Teknologi didirikan sejak 01 Agustus

2011 yang telah melayani layanan IT untuk klien mulai dari software

development, maintenance service, konsultasi IT, dan analisa bisnis

perusahaan.

4.1.2 Visi dan Misi PT. Solusi Integrasi Teknologi

Berikut ini visi dan misi dari PT. Solusi Integrasi Teknologi :

Visi

1. Terdepan dalam pengembangan Ilmu Pengetahuan Teknologi.

Misi

1. Memberikan solusi terbaik sesuai keinginan dengan hasil maksimal.

2. Menjadi mitra tepercaya yang mampu memberikan manfaat nyata.

3. Memberikan inovasi terbaru dalam pengembangan teknologi demi

hidup yang lebih baik.

4.1.3 Struktur Organisasi PT. Solusi Integrasi Teknologi

Berikut ini adalah struktur organisasi PT. Solusi Integrasi Teknologi :

121

Gambar 4. 1 Struktur Organisasi PT. Solusi Integrasi Teknologi

4.1.4 Peran dan Tanggung Jawab

1. Direktur Utama

Direktur utama bertanggung jawab untuk menjadi koordinator,

komunikator, pengambil keputusan, pengelola, sekaligus pemimpin.

Tugas dari direktur utama yaitu mengimplementasikan visi dan misi,

Menyusun strategi bisnis, melakukan evaluasi, mengawasi proses

bisnis yang sedang berjalan pada PT. Solusi Integrasi Teknologi.

2. General Manager

122

General manager bertanggung jawab untuk mengarahkan fungsi

kerja divisi dibawahnya. General manager mengarahkan dan

mengendalikan kebijakan PT. Solusi Integrasi Teknologi secara

optimal menetapkan proses dan standar bisnis serta mempertahankan

kualitas layanan dengan menetapkan dan menerapkan standar yang

telah dibuat.

3. Direktur Marketing

Direktur Marketing bertanggung jawab pada operasi pemasaran

secara keseluruhan seperti merencanakan, mengoordinasikan strategi

pemasaran layanan/jasa pada PT. Solusi Integrasi Teknologi.

4. Divisi HRD dan Keuangan bertanggung jawab untuk melakukan

pemetaan struktur organisasi, penilaian kinerja karyawan,

merencanakan dan mengkoordinaksikan pelaporan pembayaran

kewajiban pajak dan gaji seluruh karyawan PT. Solusi Integrasi

Teknologi.

5. Divisi IT bertanggung jawab untuk mengerjakan proyek aplikasi dari

client , mengatur jaringan yang ada di PT Solusi Integrasi Teknologi

dan mengkoordinasikan permasalahan IT kepada direksi.

4.1.5 Struktur Organisasi Divisi IT PT. Solusi Teknologi Informasi

Penelitian ini berfokus pada permasalahan yang ada di divisi IT.

Berikut ini struktur organisasi divisi IT pada PT. Solusi Integrasi

Teknologi :

123

Gambar 4. 2 Struktur Organisasi Divisi IT PT. Solusi Integrasi Teknologi

1. IT Manager bertanggung jawab untuk melakukan pengembangan

sistem informasi dan teknologi pada PT. Solusi Integrasi

Teknologi. Selain itu bertanggung jawab dalam memastikan

sistem IT berjalan lancar dalam pengembangan software dan

memutuskan solusi jika terjadi permasalahan terkait dengan IT.

Melakukan analisis dan desain terhadap sistem dan aplikasi

pengembangan IT dan merekrut dan melatih seluruh programmer

yang ada di PT. Solusi Integrasi Teknologi.

2. General Developer bertanggung jawab pada perancangan

software yang sesuai dengan permintaan klien. General

Developer terbagi menjadi dua Front End developer dan Back

End developer. Front End developer bertugas untuk membuat

dan mengembangkan fitur interface pada aplikasi dan

memastikan aplikasi berjalan baik di beberapa device. Back End

developer bertugas untuk memastikan fungsi dari aplikasi

berjalan sesuai dengan permintaan klien, membuat kode yang

reusable.

124

3. Senior Developer bertanggung jawab untuk menganalisis sistem

yang dibutuhkan oleh klien dan memastikan aplikasi yang

dikembangkan sesuai dengan permintaan analisis flow yang

diberikan oleh klien.

4. QA & QC bertanggung jawab untuk melaksanakan pengujian

terhadap software yang telah dibuat oleh developer, membuat

alur pengujian serta membuat laporan dari hasil pengujian. Selain

itu, QA & QC mengevaluasi kecukupan standar jaminan kualitas

dan mendokumentasikan audit internal dan kegiatan jaminan

kualitas lainnya.

4.2 Planning the Assessment

Hasil dari tahap ini adalah sebagai berikut :

4.2.1 Penentuan Area Penelitian

Area penilaian untuk penelitian ini khusus untuk bagian TI dari PT.

Solusi Integrasi Teknologi.

4.2.2 Penentuan Responden dengan RACI Chart

Untuk menentukan responden, peneliti menggunakan diagram

RACI dan menyesuaikan tugas dan fungsi dari struktur organisasi TI

PT. Solusi Integrasi Teknologi kepada Roles and Organisational

Structures dalam diagram RACI COBIT 5. Berikut ini responden

penelitian dari hasil pemetaan :

125

Berdasarkan matrik diagram RACI proses EDM03, peneliti

mendapatkan 1 responden yang sesuai dengan COBIT 5.

Tabel 4. 1 Pemetaan Diagram RACI Proses EDM03

No. Fungsional Struktur COBIT 5 Fungsi Struktur Divisi

IT PT. Solusi

Integrasi Teknologi

1. Executive Committee, Chief Executive

Officer, Chief Risk Officer, Chief

Information Security Officer

IT Manager

Berdasarkan matrik diagram RACI proses APO12, peneliti


Tabel 4. 2 Pemetaan Diagram RACI Proses APO12


IT PT. Solusi Integrasi

Teknologi

1. Chief Executive Officer, Chief

Technology Officer, Business Process

Owners, Project Management Office

IT Manager

2. Data Management Function, Head IT

Administration, Service Manager,

Business Continuity Manager

QA & QC

3. Head Development, Information Security

Manager

Senior Developer

Berdasarkan matrik diagram RACI proses APO13, peneliti


126

Tabel 4. 3 Pemetaan Diagram RACI Proses APO13



Teknologi

1. Chief Executive Officer, Chief

Information Officer, Business Process

Owners, Project Management Office,

Head IT Operation

IT Manager

2. Head IT Administration, Service

Manager, Business Continuity Manager

QA & QC

3. Head Development, Information Security

Manager

Senior Developer

Berdasarkan matrik diagram RACI proses BAI06, peneliti


Tabel 4. 4 Pemetaan Diagram Raci Proses BAI06



Teknologi

1. Chief Information Officer, Business

Process Owners, Project Management

Office, Head IT Operation

IT Manager


4.2.3 Uji Coba Instrumen

Uji coba dilakukan kepada 4 responden PT. Solusi Integrasi

Teknologi. Hasil dari uji coba adalah responden memahami masing-

masing pertanyaan dari setiap proses EDM03, APO12, APO13, dan

BAI06. Catatan untuk penulisan kuesioner perbaiki tampilan tabel yang

terputus kehalaman selanjutnya.

127

4.2.4 Rincian Jawaban Kuesioner EDM03 (Ensure Risk Optimisation)

1. Aktivitas Proses EDM03.01 (Evaluasi Manajemen Risiko)

Berikut ini adalah rincian jawaban kuesioner EDM03.01 :

Tabel 4. 5 Rincian Jawaban Kuesioner EDM03.01

No Kode Kuesioner Aktivitas 1 Aktivitas 2

As is To be As is To be

0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 EDM03.01 - Aldo ✓ ✓ ✓ ✓



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 EDM03.01 - Aldo ✓ ✓ ✓ ✓



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 EDM03.01 - Aldo ✓ ✓ ✓ ✓

Berdasarkan tabel rincian jawaban kuesioner EDM03.01

menunjukkan bahwa pada aktivitas 1 pada kondisi as is terdapat

1 responden yang memberi penilaian pada level 4. Sementara

pada kondisi to be 1 responden memberi penilaian pada level 5.

Pada aktivitas 2 kondisi as is terdapat 1 responden yang

memberi penilaian pada level 3 dan kondisi to be 1 responden

memberikan penilaian pada level 5.




128










2. Aktivitas Proses EDM03.02 (Mengarahkan Manajemen Risiko)





0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 EDM03.02 - Aldo ✓ ✓ ✓ ✓



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 EDM03.02 - Aldo ✓ ✓ ✓ ✓



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 EDM03.02 - Aldo ✓ ✓ ✓ ✓



129


















3. Aktivitas Proses EDM03.03 (Mengawasi Manajemen Risiko)





0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

130

1 EDM03.03 - Aldo ✓ ✓ ✓ ✓



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 EDM03.03 - Aldo ✓ ✓ ✓ ✓














4.2.5 Rincian Jawaban Kuesioner APO12 (Manage Risk)

1. Aktivitas Proses APO12.01 (Mengumpulkan Data)

Berikut ini adalah rincian jawaban kuesioner APO12.01 :

Tabel 4. 8 Rincian Jawaban Kuesioner APO12.01



131

0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 APO12.01 - Widya ✓ ✓ ✓ ✓

2 APO12.01 - Aldo ✓ ✓ ✓ ✓

3 APO12.01 - Rangga ✓ ✓ ✓ ✓



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 APO12.01 - Widya ✓ ✓ ✓ ✓

2 APO12.01 - Aldo ✓ ✓ ✓ ✓

3 APO12.01 - Rangga ✓ ✓ ✓ ✓



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 APO12.01 - Widya ✓ ✓ ✓ ✓

2 APO12.01 - Aldo ✓ ✓ ✓ ✓

3 APO12.01 - Rangga ✓ ✓ ✓ ✓

No Kode Kuesioner Aktivitas 7

As is To be

0 1 2 3 4 5 0 1 2 3 4 5

1 APO12.01 - Widya ✓ ✓

2 APO12.01 - Aldo ✓ ✓

3 APO12.01 - Rangga ✓ ✓

Berdasarkan tabel rincian jawaban kuesioner APO12.01





memberi penilaian pada level 2 dan terdapat 1 responden yang

memberi penilaian pada level 4. Sementara untuk kondisi to be

terdapat 3 responden yang memberi penilaian pada level 5.

132




terdapat 1 responden yang memberi penilaian pada level 4 dan



memberi penilaian pada level 2, terdapat 1 responden yang
















133




2. Aktivitas Proses APO12.02 (Menganalisis Risiko)





0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 APO12.02 - Widya ✓ ✓ ✓ ✓

2 APO12.02 - Aldo ✓ ✓ ✓ ✓

3 APO12.02 - Rangga ✓ ✓ ✓ ✓



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 APO12.02 - Widya ✓ ✓ ✓ ✓

2 APO12.02 - Aldo ✓ ✓ ✓ ✓

3 APO12.02 - Rangga ✓ ✓ ✓ ✓



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 APO12.02 - Widya ✓ ✓ ✓ ✓

2 APO12.02 - Aldo ✓ ✓ ✓ ✓

3 APO12.02 - Rangga ✓ ✓ ✓ ✓


As is To be

0 1 2 3 4 5 0 1 2 3 4 5

1 APO12.02 - Widya ✓ ✓

2 APO12.02 - Aldo ✓ ✓

3 APO12.02 - Rangga ✓ ✓



1 responden yang memberi penilaian pada level 1, 1 responden

yang memberi penilaian pada level 2 dan terdapat 1 responden

134

yang memberi penilaian pada level 4. Sementara pada kondisi to

be 1 responden memberi penilaian pada level 4 dan 2 responden

memberi penilaian pada level 5.



memberi penilaian pada level 3. Sementara untuk kondisi to be 1

responden memberi penilaian pada level 4 dan 2 responden



memberi penilaian pada level 0, 1 responden yang memberi

penilaian pada level 2 dan 1 responden memberi penilaian pada

level 3. Sementara untuk kondisi to be terdapat 2 responden yang











135

level 4. Sementara untuk kondisi to be terdapat 3 responden yang





responden yang memberi penilaian pada level 5.





3. Aktivitas Proses APO12.03 (Mempertahankan Profil Risiko)





0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 APO12.03 - Widya ✓ ✓ ✓ ✓

2 APO12.03 - Aldo ✓ ✓ ✓ ✓

3 APO12.03 - Rangga ✓ ✓ ✓ ✓



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 APO12.03 - Widya ✓ ✓ ✓ ✓

2 APO12.03 - Aldo ✓ ✓ ✓ ✓

3 APO12.03 - Rangga ✓ ✓ ✓ ✓



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 APO12.03 - Widya ✓ ✓ ✓ ✓

136

2 APO12.03 - Aldo ✓ ✓ ✓ ✓

3 APO12.03 - Rangga ✓ ✓ ✓ ✓


As is To be

0 1 2 3 4 5 0 1 2 3 4 5

1 APO12.03 - Widya ✓ ✓

2 APO12.03 - Aldo ✓ ✓

3 APO12.03 - Rangga ✓ ✓






be 3 responden memberi penilaian pada level 5.








penilaian pada level 2. Sementara untuk kondisi to be terdapat 1

responden yang memberi penilaian pada level 3 dan terdapat 2


137





















4. Aktivitas Proses APO12.04 (Mengartikulasikan Risiko)

Berikut ini adalah rincian jawaban kuesioner APO12.04:

138




0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 APO12.04 - Widya ✓ ✓ ✓ ✓

2 APO12.04 - Aldo ✓ ✓ ✓ ✓

3 APO12.04 - Rangga ✓ ✓ ✓ ✓



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 APO12.04 - Widya ✓ ✓ ✓ ✓

2 APO12.04 - Aldo ✓ ✓ ✓ ✓

3 APO12.04 - Rangga ✓ ✓ ✓ ✓


As is To be

0 1 2 3 4 5 0 1 2 3 4 5

1 APO12.04 - Widya ✓ ✓

2 APO12.04 - Aldo ✓ ✓

3 APO12.04 - Rangga ✓ ✓










level 4. Sementara untuk kondisi to be 1 responden memberi

139


level 5.







memberi penilaian pada level 2 dan 1 responden memberi


responden yang memberi penilaian pada level 3, 1 responden yang


penilaian pada level 5.






5. Aktivitas Proses APO12.05 (Mendefinisikan portofolio tindakan

manajemen risiko)



140



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 APO12.05 - Widya ✓ ✓ ✓ ✓

2 APO12.05 - Aldo ✓ ✓ ✓ ✓

3 APO12.05 – Rangga ✓ ✓ ✓ ✓


As is To be

0 1 2 3 4 5 0 1 2 3 4 5

1 APO12.05 - Widya ✓ ✓

2 APO12.05 - Aldo ✓ ✓

3 APO12.05 - Rangga ✓ ✓









penilaian pada level 3. Sementara untuk kondisi to be 2 responden







141

6. Aktivitas Proses APO12.06 (Menanggapi Risiko)





0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 APO12.06 - Widya ✓ ✓ ✓ ✓

2 APO12.06 - Aldo ✓ ✓ ✓ ✓

3 APO12.06 - Rangga ✓ ✓ ✓ ✓



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 APO12.06 - Widya ✓ ✓ ✓ ✓

2 APO12.06 - Aldo ✓ ✓ ✓ ✓

3 APO12.06 - Rangga ✓ ✓ ✓ ✓




yang memberi penilaian pada level 2, dan terdapat 1 responden

memberi penilaian pada level 3. Sementara pada kondisi to be 1






level 4. Sementara untuk kondisi to be 1 responden memberi

142


level 5.










4.2.6 Rincian Jawaban Kuesioner APO13 (Manage Security)

1. Aktivitas Proses APO13.01 (Membangun dan memelihara sistem

manajemen keamanan informasi)





0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 APO13.01 - Farah ✓ ✓ ✓ ✓

2 APO13.01 - Aldo ✓ ✓ ✓ ✓

3 APO13.01 - Raka ✓ ✓ ✓ ✓



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 APO13.01 - Farah ✓ ✓ ✓ ✓

2 APO13.01 - Aldo ✓ ✓ ✓ ✓

143

3 APO13.01 - Raka ✓ ✓ ✓ ✓



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 APO13.01 - Farah ✓ ✓ ✓ ✓

2 APO13.01 - Aldo ✓ ✓ ✓ ✓

3 APO13.01 - Raka ✓ ✓ ✓ ✓


As is To be

0 1 2 3 4 5 0 1 2 3 4 5

1 APO13.01 - Farah ✓ ✓

2 APO13.01 - Aldo ✓ ✓

3 APO13.01 - Raka ✓ ✓










penilaian pada level 3 dan terdapat 1 responden yang memberi




144








memberi penilaian pada level 1, dan terdapat 1 responden yang


terdapat 1 responden yang memberi penilaian pada level 2, 1





penilaian pada level 2, dan terdapat 1 responden yang memberi








145









2. Aktivitas Proses APO13.02 (Menentukan dan mengelola rencana

perlakuan risiko keamanan informasi)





0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 APO13.02 - Farah ✓ ✓ ✓ ✓

2 APO13.02 - Aldo ✓ ✓ ✓ ✓

3 APO13.02 - Raka ✓ ✓ ✓ ✓



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 APO13.02 - Farah ✓ ✓ ✓ ✓

2 APO13.02 - Aldo ✓ ✓ ✓ ✓

3 APO13.02 - Raka ✓ ✓ ✓ ✓



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 APO13.02 - Farah ✓ ✓ ✓ ✓

2 APO13.02 - Aldo ✓ ✓ ✓ ✓

3 APO13.02 - Raka ✓ ✓ ✓ ✓

146


As is To be

0 1 2 3 4 5 0 1 2 3 4 5

1 APO13.02 - Farah ✓ ✓

2 APO13.02 - Aldo ✓ ✓

3 APO13.02 - Raka ✓ ✓












memberi penilaian pada level 3, 1 responden memberi penilaian

pada level 4, dan terdapat 1 responden memberi penilaian pada

level 5.





147























148



3. Aktivitas Proses APO13.03 (Memantau dan Mengulas Sistem

Manajemen Keamanan Informasi)





0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 APO13.03 - Farah

✓ ✓ ✓ ✓

2 APO13.03 - Aldo

✓ ✓ ✓ ✓

3 APO13.03 - Raka

✓ ✓ ✓ ✓



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 APO13.03 - Farah ✓ ✓ ✓ ✓

2 APO13.03 - Aldo ✓ ✓ ✓ ✓

3 APO13.03 - Raka ✓ ✓ ✓ ✓


As is To be

0 1 2 3 4 5 0 1 2 3 4 5

1 APO13.03 - Farah ✓ ✓

2 APO13.03 - Aldo ✓ ✓

3 APO13.03 - Raka ✓ ✓







149






pada level 4, dan terdapat 1 responden memberi penilaian pada

level 5.
















150




4.2.7 Rincian Jawaban Kuesioner BAI06 (Manage Changes)

1. Aktivitas Proses BAI06.01 (Mengevaluasi,memprioritaskan dan

mengotorisasi permintaan perubahan)

Berikut ini adalah rincian jawaban kuesioner BAI06.01 :

Tabel 4. 17 Rincian Jawaban Kuesioner BAI06.01



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 BAI06.01 - Raka ✓ ✓ ✓ ✓

2 BAI06.01 - Aldo ✓ ✓ ✓ ✓



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 BAI06.01 - Raka ✓ ✓ ✓ ✓

2 BAI06.01 - Aldo ✓ ✓ ✓ ✓



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 BAI06.01 - Raka ✓ ✓ ✓ ✓

2 BAI06.01 - Aldo ✓ ✓ ✓ ✓


As is To be

0 1 2 3 4 5 0 1 2 3 4 5

1 BAI06.01 - Raka ✓ ✓

2 BAI06.01 - Aldo ✓ ✓

Berdasarkan tabel rincian jawaban kuesioner BAI06.01



151








pada level 5.














152













2. Aktivitas Proses BAI06.02 (Mengelola Perubahan Darurat)





0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 BAI06.02 - Raka ✓ ✓ ✓ ✓

2 BAI06.02 - Aldo ✓ ✓ ✓ ✓



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 BAI06.02 - Raka ✓ ✓ ✓ ✓

2 BAI06.02 - Aldo ✓ ✓ ✓ ✓

153




pada kondisi to be 1 responden memberi penilaian pada level 4

dan 1 responden memberi penilaian pada level 5.





pada level 5.









3. Aktivitas Proses BAI06.03 (Melacak dan melaporkan status

perubahan)



154



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 BAI06.03 - Raka ✓ ✓ ✓ ✓

2 BAI06.03 - Aldo ✓ ✓ ✓ ✓



0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 BAI06.03 - Raka ✓ ✓ ✓ ✓

2 BAI06.03 - Aldo ✓ ✓ ✓ ✓











pada level 5.





155






4. Aktivitas Proses BAI06.04 (Menutup dan mendokumentasikan

perubahan)





0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5

1 BAI06.04 - Raka ✓ ✓ ✓ ✓

2 BAI06.04 - Aldo ✓ ✓ ✓ ✓


As is To be

0 1 2 3 4 5 0 1 2 3 4 5

1 BAI06.04 - Raka ✓ ✓

2 BAI06.04 - Aldo ✓ ✓







156





pada level 5.





4.3 Briefing

Pada tahap ini peneliti menentukan jadwal penelitian kepada para responden.

Tahap ini dilakukan dengan divisi TI di PT. Solusi Integrasi Teknologi terkait

dengan data-data yang dibutuhkan untuk proses input penelitian, proses yang akan

dilakukan peneliti dan output yang akan dihasilkan dari penelitian ini.

Peneliti menentukan jadwal untuk pelaksanaan pengumpulan data dengan

menggunakan kuesioner yaitu mulai tanggal 18 Februari 2021 sampai 25 Februari

2021 dan melakukan rekapitulasi hasil perhitungan pada tanggal 27 Februari 2021

sampai tanggal 6 Maret 2021.

Tabel 4. 21 Tahap Briefing

Desember Januari Februari Maret

Initiation

157

Planning the

Assessment

Briefing

Data Collection

Data Validation

Process Attribute

Level

Reporting the Result

4.4 Data Collection

Pada tahap ini dilakukan pengumpulan bukti atau temuan yang terdapat pada divisi

TI PT. Solusi Integrasi Teknologi berdasarkan setiap aktivitas dalam proses

EDM03, APO12, APO13 dan BAI06

4.4.1 Proses EDM03

a. EDM03.01 (Evaluasi Manajemen Risiko)

Divisi IT pernah identifikasi namun belum melakukan evaluasi

secara sistematis dan tertulis, masih pada tahap melakukan evaluasi

secara lisan dan memperbaiki secara bertahap.

b. EDM03.02 (Mengatur Manajemen Risiko)

Kebijakan dalam mengelola risiko IT adalah dengan melakukan

evaluasi pada setiap pekerjaan oleh QC sebanyak 2 tahapan proses

158

evaluasi (Blackbox & Whitebox) untuk mengurangi risiko yang

timbul pada saat penyerahan pekerjaan pada klien.

c. EDM03.03 (Memantau Manajemen Risiko)

Divisi IT melakukan identifikasi terhadap setiap risiko dan monitor

secara berkala namun masih banyak kekurangan karena belum

dilakukan secara sistematis dan tertulis.

4.4.2 Proses APO12

a. APO12.01 (Mengumpulkan Data)

Melakukan pengumpulan data terkait dengan risiko IT dituliskan

dalam dokumen profil risiko PT Solusi Integrasi Teknologi.

b. APO12.02 (Menganalisis Risiko)

Upaya analisis dilakukan oleh divisi IT sebagai berikut :

1. Identifikasi masalah yang terjadi atau yang akan timbul

2. Merumuskan mitigasi / pencegahan / skenario ketika risiko atau

masalah tersebut muncul

3. Melakukan QC dengan metode positive test & negative test

4. Dokumentasi non sistematis (Gitea)

5. Implementasi mengatasi masalah

6. Evaluasi lisan (tidak ada dokumentasi resmi)

Upaya analisis diatas tertulis di dokumen profil risiko

c. APO12.03 (Mempertahankan Profil Risiko)

159

Untuk mengumpulkan informasi profil risiko tidak dilakukan

dokumentasi secara sistematis/tersusun secara rapi sehingga

permasalahan yang sama muncul perlu dilakukan evaluasi Kembali.

d. APO12.04 (Mengartikulasikan Risiko)

Laporan hasil analisis risiko IT digabungkan dengan laporan

keseluruhan kegiatan perusahaan dan tidak spesifik.

e. APO12.05 (Mendefinisikan Portofolio Tindakan Manajemen Risiko)

Pengolahan risiko selalu dikelompokan berdasarkan proyek dan

divisi yang mengerjakan, penyusunan laporan dilakukan oleh kepala

team yang didampingi oleh masing-masing QC lalu dilaporkan ke

head IT untuk dilakukan tindakan lebih lanjut terkait mitigasi setiap

risiko yang timbul.

f. APO12.06 (Menanggapi Risiko)

Karena belum adanya dokumentasi secara tertulis Divisi IT hanya

melakukan tindakan-tindakan mitigasi dan pencegahan secara lisan

dan masih berdasarkan ingatan untuk menelaah masalah yang terjadi

saat ini pernah terjadi sebelumnya atau tidak.

4.4.3 Proses APO13

a. APO13.01 (Membangun dan memelihara sistem manajemen

keamanan informasi)

Divisi IT melakukan pemeliharaan sistem manajemen keamanan

informasi telah tertulis pada SOP Prosedur Keamanan SI Divisi IT

160

Nomor 006/SOP.OPS/SIT/06/21, SOP Prosedur Pemeliharaan Rutin

Divisi IT Nomor 004/SOP.OPS/SIT/06/2.

b. APO13.02 (Menentukan dan mengelola rencana perlakuan risiko

keamanan informasi)

Pembahasan mengenai rencana pengelolaan keamanan informasi

juga tertulis pada SOP Prosedur Keamanan SI Divisi IT Nomor

006/SOP.OPS/SIT/06/21, SOP Prosedur Pemeliharaan Rutin Divisi

IT Nomor 004/SOP.OPS/SIT/06/21.

c. APO13.03 (Memantau dan mengulas Sistem Manajemen Keamanan

Informasi)

Pemantauan sistem manajemen keamanan informasi tertulis di SOP

Prosedur Keamanan SI Divisi IT Nomor 006/SOP.OPS/SIT/06/21,

SOP Prosedur Insiden Divisi IT Nomor 005/SOP.OPS/SIT/06/21.

4.4.4 Proses BAI06

a. BAI06.01 (Mengevaluasi, memprioritaskan, dan mengotorisasi

permintaan perubahan)

Adanya permintaan perubahan yang dilakukan oleh pihak ketiga dan

bersifat fleksibel. Permintaan perubahan akan dilaporkan kepada

manajer IT.

b. BAI06.02 (Mengelola perubahan darurat)

Adanya evaluasi terhadap perubahaan yang telah diimplementasikan

dan melibatkan semua pihak yang terkait.

c. BAI06.03 (Melacak dan melaporkan status perubahan)

161

Adanya pelaporan status perubahan kepada direksi dan dilakukan

tepat waktu dan tepat sasaran mengikuti hasil evaluasi.

d. BAI06.04 (Menutup dan mendokumentasikan perubahan)

Adanya prosedur operasional bisnis dan lengkapnya dokumentasi

aplikasi pada PT. Solusi Integrasi Teknologi.

4.5 Data Validation

Pada tahap ini melakukan rekapitulasi jawaban kuesioner yang telah diisi

oleh para responden. Hasil pengolahannya sebagai berikut :

Tabel 4. 22 Rekapitulasi Jawaban Kuesioner EDM03.01 (Evaluasi Manajemen

Risiko)

No. Aktivitas (Pertanyaan) Status Distribusi Jawaban (%)

0 1 2 3 4 5

1. Menentukan tingkat risiko TI

As is 0 0 0 0 100 0

To be 0 0 0 0 0 100

2. Mengevaluasi ambang batas risiko TI

As is 0 0 0 100 0 0

To be 0 0 0 0 0 100

3. Menentukan tingkat

keselarasan strategi risiko

TI dan strategi perusahaan

As is 0 0 0 0 100 0

To be 0 0 0 0 0 100

4. Mengevaluasi faktor-faktor risiko TI

As is 0 0 0 0 100 0

To be 0 0 0 0 0 100

5. Menentukan penggunaan TI

yang digunakan sesuai

subjek penilaian risiko

As is 0 100 0 0 0 0

To be 0 0 0 0 100 0

6. Mengevaluasi aktivitas

manajemen risiko untuk

memastikan kemampuan perusahaan

As is 0 100 0 0 0 0

To be 0 0 0 100 0 0

TOTAL As is 0 33,33 0 16,66 50 0

To be 0 0 0 16,66 16,66 66,66

Berdasarkan tabel diatas, diketahui responden menilai kondisi saat ini (as

is) berada di tingkat 4 (Predictable Process) dengan persentase 50%. Sementara

162

kondisi to be responden mengharapkan berada pada tingkat 5 (Optimizing Process)

dengan persentase 66,66%.

Tabel 4. 23 Rekapitulasi Jawaban Kuesioner EDM03.02 (Mengarahkan

Manajemen Risiko)


0 1 2 3 4 5

1. Meningkatkan kesadaran

risiko TI dan kemampuan

perusahaan untuk

mengidentifikasi risiko TI,

kesempatan dan potensi

bisnis.

As is 0 0 0 0 100 0

To be 0 0 0 0 0 100

2. Mengarahkan integrasi

antara IT Risk Strategy and

Operations dengan

keputusan strategi dan

pengoperasian risiko perusahaan.

As is 0 0 0 0 100 0

To be 0 0 0 0 0 100

3. Mengarahkan

pengembangan dari Risk

Communication Plans

sebaik dengan

pengembangan Risk Action Plans.

As is 0 0 0 100 0 0

To be 0 0 0 0 0 100

4. Menerapkan mekanisme

yang tepat untuk merespon

dengan cepat perubahan

risiko dan melaporkan

segera ke tingkat

manajemen secara tepat

serta dukungan pada

prinsip-prinsip ekalasi

As is 0 0 0 0 100 0

To be 0 0 0 0 0 100

5. Mengidentifikasi dan

melaporkan tingkat risiko,

peluang, masalah dan

kekhawatiran oleh siapapun dan kapanpun.

As is 0 0 0 0 100 0

To be 0 0 0 0 0 100

6. Identifikasi tujuan utama,

metrik tata kelola dan

proses manajemen untuk

mengawasi dan menyetujui

pendekatan, metode, teknik

dan proses dalam

As is 0 100 0 0 0 0

To be 0 0 0 0 0 100

163

melaporkan informasi pengukuran.

TOTAL As is 0 16,66 0 16,66 66,66 0

To be 0 0 0 0 0 100


is) berada di tingkat 4 (Predictable Process) dengan persentase 66,66%. Sementara


dengan persentase 100%.

Tabel 4. 24 Rekapitulasi Jawaban Kuesioner EDM03.03 (Mengawasi Manajemen

Risiko)


0 1 2 3 4 5

1. Pengawasan risiko untuk

dikelola dalam batas risiko yang diinginkan.

As is 0 100 0 0 0 0

To be 0 0 0 0 0 100

2. Pemantauan tujuan utama,

metrik dari tata kelola

risiko dan proses

manajemen terhadap

sasaran-sasaran,

menganalisis penyebab

penyimpangan, dan

memulai tindakan

perbaikan untuk mengatasi

penyebab yang mendasarinya.

As is 0 0 0 100 0 0

To be 0 0 0 0 0 100

3. Stakeholders meninjau

kemajuan perusahaan

menuju tujuan yang telah

diidentifikasi.

As is 100 0 0 0 0 0

To be 0 0 0 100 0 0

4. Laporan semua masalah

terkait dengan manajemen

risiko ke dewan atau komite eksekutif.

As is 100 0 0 0 0 0

To be 0 0 0 0 100 0

TOTAL As is 50 25 0 25 0 0

To be 0 0 0 25 25 50


is) berada di tingkat 0 (Incomplete Process) dengan persentase 50%. Sementara

164



Tabel 4. 25 Rekapitulasi Jawaban Kuesioner APO12.01 (Mengumpulkan Data)


0 1 2 3 4 5

1. Tingkat pengawasan risiko untuk dikelola

As is 0 0 100 0 0 0

To be 0 0 0 0 0 100

2. Pemantauan tujuan utama

dan metrik dari tata Kelola risiko

As is 0 0 66,67 0 33,33 0

To be 0 0 0 0 0 100

3. Stakeholders meninjau kemajuan perusahaan

As is 0 0 66,67 0 33,33 0

To be 0 0 0 0 33,33 66,67

4. Melaporkan semua

masalah terkait

manajemen risiko

As is 0 0 33,33 33,33 33,33 0

To be 0 0 0 0 33,33 66,67

5. Mengatur data yang

terkumpul dan melihat faktor-faktornya

As is 0 0 33,33 66,67 0 0

To be 0 0 0 0 0 100

6. Menentukan kondisi yang

berisiko

As is 0 33,33 0 66,67 0 0

To be 0 0 0 0 66,67 33,33

7. Analisis faktor risiko

untuk mengidentifikasi masalah baru

As is 0 0 33,33 33,33 33,33 0

To be 0 0 0 0 0 100

TOTAL As is 0 4,76 47,61 28,57 19,04 0

To be 0 0 0 0 19,04 80,95


is) berada di tingkat 2 (Managed Process) dengan persentase 47,61%. Sementara



Tabel 4. 26 Rekapitulasi Jawaban Kuesioner APO12.02 (Menganalisis Risiko)


0 1 2 3 4 5

1. Mendefinisikan upaya

analisis risiko yang

sesuai

As is 0 33,33 33,33 0 33,33 0

To be 0 0 0 0 33,33 66,67

2. As is 0 33,33 0 66,67 0 0

165

Membangun dan

menambah skenario

risiko TI

To be 0 0 0 0 33,33 66,67

3. Memperkirakan

frekuensi dan besarnya

untung rugi

As is 33,33 33,33 33,33 0 0 0

To be 0 0 0 0 66,67 33,33

4. Membandingkan residual risk yang

dapat ditoleransi

As is 66,67 33,33 0 0 0 0

To be 0 0 0 0 66,67 33,33

5. Menganalisis untung

rugi dari kemungkinan risk response

As is 0 0 33,33 33,33 33,33 0

To be 0 0 0 0 0 100

6. Menentukan high-level

requirements untuk proyek

As is 0 0 0 0 66,67 33,33

To be 0 0 0 0 0 100

7. Memvalidasi hasil

analisis risiko sebelum

mengambil keputusan

As is 0 0 66,67 33,33 0 0

To be 0 0 0 0 0 100

TOTAL As is 14,28 19,04 23,80 19,04 19,04 4,76

To be 0 0 0 0 28,57 71,42





Tabel 4. 27 Rekapitulasi Jawaban Kuesioner APO12.03 (Mempertahankan Profil

Risiko)


0 1 2 3 4 5

1. Mengelola inventaris bisnis proses

As is 0 33,33 0 33,33 33,33 0

To be 0 0 0 0 0 100

2. Menentukan dan

menyetujui layanan TI

dan infrastruktur

As is 0 0 66,67 0 33,33 0

To be 0 0 0 0 33,33 66,67

3. Mengumpulkan

skenario risiko

As is 33,33 0 66,67 0 0 0

To be 0 0 0 0 66,67 33,33

4. Merekam semua informasi profil risiko

As is 0 33,33 0 66,67 0 0

To be 0 0 0 0 33,33 66,67

5. Mendefinisikan indikator dari risiko

As is 0 0 33,33 66,67 0 0

To be 0 0 0 0 33,33 66,67

6. Menangkap informasi pada kejadian risiko TI

As is 0 0 66,67 0 33,33 0

166

To be 0 0 0 33,33 0 66,67

7. Menangkap informasi

dari status risk action plan

As is 0 33,33 66,67 0 0 0

To be 0 0 0 0 66,67 33,33

TOTAL As is 4,76 14,28 42,85 23,81 14,28 0

To be 0 0 0 0 33,33 61,90





Tabel 4. 28 Rekapitulasi Jawaban Kuesioner APO12.04 (Mengartikulasikan

Risiko)


0 1 2 3 4 5

1. Melaporkan hasil

analisis risiko ke stakeholders

As is 0 33,33 0 66,67 0 0

To be 0 0 0 33,33 0 66,67

2. Menyediakan

pengambilan

keputusan

As is 0 0 33,33 33,33 33,33 0

To be 0 0 0 0 33,33 66,67

3. Melaporkan profil

risiko saat ini kepada stakeholders

As is 0 66,67 0 33,33 0 0

To be 0 0 0 0 100 0

4. Melihat hasil penilaian

pihak ketiga dan audit internal

As is 33,33 0 33,33 33,33 0 0

To be 0 0 0 33,33 33,33 33,33

5. Mengidentifikasi

peluang teknologi yang

mungkin mendapatkan risiko

As is 0 0 33,33 0 66,67 0

To be 0 0 0 0 33,33 66,67

TOTAL As is 6,66 20 19,99 33,33 20 0

To be 0 0 0 13,33 39,98 46,66


is) berada di tingkat 3 (Established Process) dengan persentase 33.33%. Sementara



167

Tabel 4. 29 Rekapitulasi Jawaban Kuesioner APO12.05 (Mendefinisikan

portofolio tindakan manajemen risiko)


0 1 2 3 4 5

1. Memelihara inventori

dari aktivitas kontrol

untuk mengelola risiko

As is 33,33 0 66,67 0 0 0

To be 0 0 0 0 33,33 66,67

2. Menentukan setiap entitas organisasi

mengawasi risiko

As is 0 66,67 0 33,33 0 0

To be 0 0 0 0 66,67 33,33

3. Mendefinisikan

keseimbangan suatu

seperangkat proposal

untuk mengurangi risiko

As is 0 0 33,33 66,67 0 0

To be 0 0 0 0 0 100

TOTAL As is 11,11 22,22 33,33 33,33 0 0

To be 0 0 0 0 33,33 66,67


is) berada di tingkat 3 (Established Process) dengan persentase 33,33%. Sementara



Tabel 4. 30 Rekapitulasi Jawaban Kuesioner APO12.06 (Menanggapi Risiko)


0 1 2 3 4 5

1. Menyiapkan, memelihara

dan rencana uji coba

Langkah untuk mengendalikan risiko

As is 0 33,33 33,33 33,33 0 0

To be 0 0 0 0 33,33 66,67

2. Mengkategorikan

insiden-insiden, dan

membandingkan ambang batas toleransi risiko

As is 0 33,33 33,33 0 33,33 0

To be 0 0 0 0 33,33 66,67

3. Menerapkan rencana

Tindakan yang sesuai

untuk meminimalisir risiko

As is 0 0 0 66,67 33,33 0

To be 0 0 0 0 33,33 66,67

4. Memeriksa kerugian di

masa lalu dan peluang yang terlewat

As is 0 0 33,33 0 66,67 0

To be 0 0 0 0 0 100

TOTAL As is 0 16,65 24,99 25 33,33 0

To be 0 0 0 0 24,99 75,00

168





Tabel 4. 31 Rekapitulasi Jawaban Kuesioner APO13.01 (Membangun dan

memelihara sistem manajemen keamanan informasi)


0 1 2 3 4 5

1. Mendefinisikan ruang

lingkup dan batasan

sistem manajemen keamanan informasi

As is 0 33,33 33,33 33,33 0 0

To be 0 0 0 0 66,67 33,33

2. Mendefinisikan sistem

keamanan informasi

sesuai dengan kebijakan perusahaan

As is 0 33,33 0 33,33 33,33 0

To be 0 0 0 0 66,67 33,33

3. Menyelaraskan sistem

keamanan informasi

dengan pendekatan perusahaan secara

keseluruhan

As is 0 0 33,33 66,67 0 0

To be 0 0 0 0 66,67 33,33

4. Mendapatkan otorisasi

untuk menerapkan dan

mengubah sistem


As is 33,33 33,33 0 33,33 0 0

To be 0 0 33,33 0 33,33 33,33

5. Mempersiapkan dan

memelihara ruang

lingkup sistem


As is 0 33,33 33,33 33,33 0 0

To be 0 0 0 0 66,67 33,33

6. Mendefinisikan dan

menkomunikasikan

peran dan tanggung

jawab manajemen

keamanan informasi

As is 0 33,33 33,33 33,33 0 0

To be 0 0 0 0 66,67 33,33

7. Mengkomunikasikan

pendekatan sistem


As is 0 33,33 0 33,33 33,33 0

To be 0 0 0 0 66,67 33,33

TOTAL As is 4,76 28,56 19,04 38,09 9,52 0

To be 0 0 4,76 0 61,90 33,33

169



kondisi to be responden mengharapkan berada pada tingkat 4 (Predictable Process)


Tabel 4. 32 Rekapitulasi Jawaban Kuesioner APO13.02 (Menentukan dan

mengelola rencana perlakuan risiko keamanan informasi)


0 1 2 3 4 5

1. Memelihara dan

memastikan rencana

risiko keamanan

informasi selaras

dengan tujuan strategis

dan arsitektur perusahaan.

As is 33,33 33,33 0 33,33 0 0

To be 0 0 0 0 33,33 66,67

2. Memelihara bagian dari

inventaris arsitektur

perusahaan.

As is 33,33 33,33 0 33,33 0 0

To be 0 0 0 33,33 33,33 33,33

3. Mengembangkan

proposal untuk

mengimplementasikan

rencana perlakuan

risiko keamanan informasi.

As is 33,33 0 33,33 33,33 0 0

To be 0 0 0 0 33,33 66,67

4. Memberikan

masukan untuk

desain

pengembangan

praktik dan solusi

manajemen yang

dipilih dari rencana

perlakuan risiko keamanan informasi.

As is 33,33 0 0 33,33 33,33 0

To be 0 0 0 0 66,67 33,33

5. Menentukan

bagaimana mengukur

keefektifan praktek

manajemen yang

dipilih dan

menentukan bagaimana

As is 0 33,33 33,33 33,33 0 0

To be 0 0 0 0 66,67 33,33

170

pengukuran ini akan

digunakan untuk

menilai keefektifan

untuk menghasilkan

sebuah hasil yang

sebanding dan dapat digandakan.

6. Dapat

merekomendasikan

pelatihan keamanan

informasi dan program kesadaran.

As is 66,67 0 33,33 0 0 0

To be 0 0 0 0 33,33 66,67

7. Mengintegrasikan

perencanaan, desain,

implementasi dan

pemantauan prosedur

keamanan informasi

dan kontrol lain yang

mampu

memungkinkan

pencegahan yang

cepat, deteksi

kejadian keamanan

dan respon terhadap insiden keamanan.

As is 0 33,33 66,67 0 0 0

To be 0 0 0 0 33,33 66,67

TOTAL As is 28,57 19,04 23,80 23,80 4,76 0

To be 0 0 0 4,76 42,85 52,38

Berdasarkan table di atas, diketahui responden menilai kondisi saat ini (as

is) berada di tingkat 0 (Incomplete Process) dengan persentase 28,57%. Sementara



Tabel 4. 33 Rekapitulasi Jawaban Kuesioner APO13.03 (Memantau dan

Mengulas Sistem Manajemen Keamanan Informasi)


0 1 2 3 4 5

1. Melakukan tinjauan

rutin keefektifan

sistem manajemen

keamanan informasi

As is 33,33 0 66,67 0 0

To be 0 0 0 0 33,33 66,67

171

termasuk memenuhi

kebijakan dan tujuan

sistem manajemen

keamanan informasi,

dan meninjau praktik keamanan.

2. Melakukan audit

sistem manajemen

keamanan informasi

internal pada interval yang direncanakan.

As is 33,33 33,33 33,33 0 0 0

To be 0 0 0 33,33 33,33 33,33

3. Melakukan tinjauan

sistem manajemen

keamanan informasi

secara teratur untuk

memastikan bahwa

ruang lingkup tetap

memadai dan

perbaikan dalam

proses sistem

manajemen

keamanan informasi teridentifikasi

As is 33,33 33,33 0 33,33 0 0

To be 0 0 0 0 66,67 33,33

4. Memberikan

masukan untuk

desain

pengembangan

praktik dan solusi

manajemen yang

dipilih dari rencana

perlakuan risiko keamanan informasi.

As is 0 33,33 33,33 33,33 0 0

To be 0 0 0 0 33,33 66,67

5. Merekam tindakan

dan peristiwa yang

dapat berdampak

pada keefektifan atau

kinerja sistem

manajemen

keamanan informasi.

As is 0 33,33 33,33 33,33 0 0

To be 0 0 0 0 33,33 66,67

TOTAL As is 19,99 26,66 33,33 19,99 0 0

To be 0 0 0 6,66 39,99 53,33

Berdasarkan table diatas, diketahui responden menilai kondisi saat ini (as

is) berada di tingkat 2 (Managed Process) dengan persentase 26,66%. Sementara

172



Tabel 4. 34 Rekapitulasi Jawaban Kuesioner BAI06.01

(Mengevaluasi,memprioritaskan dan mengotorisasi permintaan perubahan)


0 1 2 3 4 5

1. Menggunakan permintaan

perubahan formal untuk

memungkinkan pemilik

proses bisnis dan TI

meminta perubahan pada

proses bisnis,

infrastruktur, sistem, atau

aplikasi.

As is 0 50 50 0 0 0

To be 0 0 0 0 50 50

2. Mengkategorikan semua

perubahan yang diminta

untuk menghubungkan item

konfigurasi yang terpengaruh.

As is 0 50 50 0 0 0

To be 0 0 0 0 50 50

3. Memprioritaskan semua


berdasarkan persyaratan

bisnis dan teknis, sumber

daya yang diperlukan,

dan hukum, peraturan,

dan kontrak alasan perubahan yang diminta.

As is 0 0 0 50 50 0

To be 0 0 0 0 50 50

4. Merencanakan dan

evaluasi semua

permintaan secara terstruktur

As is 0 50 0 50 0 0

To be 0 0 0 0 50 50

5. Menyetujui secara resmi

setiap perubahan oleh

pemilik proses bisnis,

manajer layanan, dan

pemangku kepentingan teknis TI, yang sesuai

As is 0 0 50 50 0 0

To be 0 0 0 0 50 50

6. As is 0 50 50 0 0 0

173

Merencanakan dan

jadwalkan semua perubahan yang disetujui.

To be 0 0 0 0 50 50

7. mempertimbangkan

dampak penyedia layanan

yang memiliki kontrak

pada proses manajemen

perubahan, termasuk

integrasi proses

manajemen perubahan

organisasi dengan

manajemen perubahan

proses penyedia layanan

dan dampaknya pada

persyaratan kontrak dan

SLA (Service Level

Agreement).

As is 0 50 0 0 50 0

To be 0 50 0 0 0 50

TOTAL As is 0 35,7 28,5 21,4 14,2 0

To be 0 7,14 0 0 42,85 50


is) berada ditingkat 2 (Managed Process) dengan persentase 35,7%. Sementara



Tabel 4. 35 Rekapitulasi Jawaban Kuesioner BAI06.02 (Mengelola Perubahan

Darurat)


0 1 2 3 4 5

1. Memastikan bahwa

prosedur terdokumentasi

ada untuk menyatakan,

menilai, memberikan

persetujuan awal,

As is 0 0 100 0 0 0

To be 0 0 0 0 50 50

174

memberi otorisasi setelah

perubahan dan mencatat

perubahan darurat.

2. Memverifikasi bahwa

semua pengaturan akses

darurat untuk perubahan

disahkan dengan benar,

didokumentasikan dan

dicabut setelah perubahan diterapkan.

As is 0 50 50 0 0 0

To be 0 0 0 0 50 50

3. Memantau semua

perubahan darurat, dan

melakukan review pasca

implementasi yang

melibatkan semua pihak terkait

As is 0 0 100 0 0 0

To be 0 0 0 0 50 50

4. Menentukan apa yang

termasuk dalam

perubahan darurat.

As is 0 50 50 0 0 0

To be 0 0 0 0 0 100

TOTAL As is 0 25 75 0 0 0

To be 0 0 0 0 37,5 62,5


is) berada ditingkat 2 (Managed Process) dengan persentase 75%. Sementara



Tabel 4. 36 Rekapitulasi Jawaban Kuesioner BAI06.03 (Melacak dan melaporkan

status perubahan)


0 1 2 3 4 5

1. Mengkategorikan

permintaan perubahan

dalam proses pelacakan

(misal, ditolak, disetujui

tetapi belum dimulai,

As is 0 50 0 0 0 50

To be 0 0 0 0 50 50

175

disetujui dan dalam

proses, dan ditutup).

2. Menerapkan laporan

status perubahan dengan

metrik kinerja untuk

memungkinkan tinjauan

manajemen dan

pemantauan status detail

perubahan dan keadaan

keseluruhan (misalnya,

analisis usia permintaan perubahan).

As is 0 50 0 0 0 50

To be 0 0 0 0 50 50

3. Memantau perubahan

terbuka untuk

memastikan bahwa

semua perubahan yang

disetujui ditutup tepat

waktu, bergantung pada

prioritas.

As is 0 0 50 50 0 0

To be 0 0 0 0 0 100

4. Menjaga sistem

pelacakan dan pelaporan

untuk semua permintaan perubahan.

As is 0 50 0 0 0 50

To be 0 0 0 0 50 50

TOTAL As is 0 37,5 12,5 12,5 0 37,5

To be 0 0 0 0 37,5 62,5


is) berada ditingkat 5 (Optimizing Process) dengan persentase 37,5%. Sementara



Tabel 4. 37 Rekapitulasi Jawaban Kuesioner BAI06.04 (Menutup dan

mendokumentasikan perubahan)


0 1 2 3 4 5

1. Menyertakan perubahan

pada dokumentasi

dalam prosedur

As is 0 0 50 50 0 0

To be 0 0 0 0 50 50

176

manajemen perubahan

sebagai satu kesatuan

bagian dari perubahan.

2. Menentukan periode

retensi yang sesuai

untuk dokumentasi

perubahan dan sistem

sebelum dan sesudah

perubahan dan dokumentasi pengguna.

As is 0 50 50 0 0 0

To be 0 0 0 0 50 50

3. Subjek dokumentasi ke

tingkat tinjauan yang

sama dengan perubahan aktual.

As is 0 0 50 0 50 0

To be 0 0 0 0 0 100

TOTAL As is 0 16,6 50 16,6 16,6 0

To be 0 0 0 0 33,33 66,67


is) berada ditingkat 2 (Managed Process) dengan persentase 50%. Sementara



4.6 Process Attribute Level

Tahap ini adalah menentukan level pada setiap proses yang akan menghasilkan

analisa gap :

4.6.1 Penentuan Nilai Kapabilitas

Hasil perhitungan nilai kapabilitas proses EDM03 (Ensure Risk

Optimisation) sebagai berikut :

a. Nilai kapabilitas EDM03.01 (Evaluate Risk Management)

As is

177

NK = (0×0)+(33,33×1)+(0×2)+(16,66×3)+(50×4)+(0×5)

= 2,83

100

To be

NK = (0×0)+(0×1)+(0×2)+(16,66×3)+(16,66×4)+(66,66×5)

= 4,49

100

Nilai kapabilitas kondisi as is pada proses EDM03.01 yaitu 2,83

artinya tingkat kapabilitas terdapat pada level 3. Sementara kondisi

to be adalah 4,49 yang berarti tingkat kapabilitasnya berada pada

level 5.

b. Nilai kapabilitas EDM03.02 (Direct Risk Management)

As is

NK = (0×0)+(16,66×1)+(0×2)+(16,66×3)+(66,66×4)+(0×5)

= 3,33

100

To be

NK = (0×0)+(0×1)+(0×2)+(0×3)+(0×4)+(100×5)

= 5

100

Nilai kapabilitas kondisi as is pada proses EDM03.02 yaitu 3,33


to be adalah 5 yang berarti tingkat kapabilitasnya berada pada level

5.

c. Nilai kapabilitas EDM03.03 (Monitor Risk Management)

As is

NK = (50×0)+(25×1)+(0×2)+(25×3)+(0×4)+(0×5)

= 1

100

To be

NK = (0×0)+(0×1)+(0×2)+(25×3)+(25×4)+(50×5)

= 4,25

100

178

Nilai kapabilitas kondisi as is pada proses EDM03.03 yaitu 1



level 4.

Hasil perhitungan nilai kapabilitas proses APO12 (Manage Risk)

sebagai berikut :

a. Nilai kapabilitas APO12.01 (Collect Data)

As is

NK = (0×0)+(4,76×1)+(47,6×2)+(28,57×3)+(19,04×4)+(0×5)

= 2,61

100

To be

NK = (0×0)+(0×1)+(0×2)+(0×3)+(19,04×4)+(80,95×5)

= 4,80

100

Nilai kapabilitas kondisi as is pada proses APO12.01 yaitu 2,61

artinya tingkat kapabilitas terdapat pada level 3. Sementara kondisi to

be adalah 4,80 yang berarti tingkat kapabilitasnya berada pada level 5.

b. Nilai kapabilitas APO12.02 (Analyse Risk)

As is

NK = (14,28×0)+(19,04×1)+(23,80×2)+(19,04×3)+(19,04×4)+(4,76×5)

= 2,23

100

To be

NK = (0×0)+(0×1)+(0×2)+(0×3)+(28,57×4)+(71,42×5)

= 4,71

100

179




c. Nilai kapabilitas APO12.03 (Maintain Risk Profile)

As is

NK = (4,76×0)+(14,28×1)+(42,85×2)+(23,81×3)+(14,28×4)+(0×5)

= 2,85

100

To be

NK = (0×0)+(0×1)+(0×2)+(0×3)+(33,33×4)+(61,90×5)

= 4,42

100




a. Nilai kapabilitas APO12.04 (Articulate Risk)

As is

NK = (6,66×0)+(20×1)+(19,99×2)+(33,33×3)+(20×4)+(0×5)

= 2,39

100

To be

NK = (0×0)+(0×1)+(0×2)+(13,33×3)+(39,98×4)+(46,66×5)

= 4,33

100




e. Nilai kapabilitas APO12.05 (Define a Risk Management Action

Portfolio)

As is

180

NK = (11,11×0)+(22,22×1)+(33,33×2)+(33,33×3)+(0×4)+(0×5)

= 1,88

100

To be

NK = (0×0)+(0×1)+(0×2)+(0×3)+(33,33×4)+(66,67×5)

= 4,66

100




f. Nilai kapabilitas APO12.06 (Respond to Risk)

As is

NK = (0×0)+(16,65×1)+(24,99×2)+(25×3)+(33,33×4)+(0×5)

= 2,74

100

To be

NK = (0×0)+(0×1)+(0×2)+(0×3)+(24,99×4)+(75,00×5)

= 4,74

100




Hasil perhitungan nilai kapabilitas proses APO13 (Manage

Security) sebagai berikut :

a. Nilai kapabilitas APO13.01 (Establish and Maintain an ISMS)

As is

NK = (4,76×0)+(28,56×1)+(19,04×2)+(38,09×3)+(9,52×4)+(0×5)

= 2,18

100

To be

181

NK = (0×0)+(0×1)+(4,76×2)+(0×3)+(61,90×4)+(33,33×5)

= 4,23

100

Nilai kapabilitas kondisi as is pada proses APO13.01 yaitu

2,18 artinya tingkat kapabilitas terdapat pada level 2. Sementara

kondisi to be adalah 4,23 yang berarti tingkat kapabilitasnya

berada pada level 4.

b. Nilai kapabilitas APO13.02 (Define and Manage and Information

Security Risk Treatment Plan)

As is

NK = (28,57×0)+(19,04×1)+(23,80×2)+(23,80×3)+(4,76×4)+(0×5)

= 1,57

100

To be

NK = (0×0)+(0×1)+(0×2)+(4,76×3)+(42,85×4)+(52,38×5)

= 4,47

100





c. Nilai kapabilitas APO13.03 (Monitor and Review the ISMS)

As is

NK = (19,99×0)+(26,66×1)+(33,33×2)+(19,99×3)+(0×4)+(0×5)

= 1,53

100

To be

NK = (0×0)+(0×1)+(0×2)+(6,66×3)+(39,90×4)+(53,33×5)

= 4,46

100

182





Hasil perhitungan nilai kapabilitas proses BAI06 (Manage Changes)

sebagai berikut :

a. Nilai kapabilitas BAI06.01 (Evaluate, Prioritise and Authorise

Change Request)

As is

NK = (0×0)+(35,7×1)+(28,5×2)+(21,4×3)+(14,2×4)+(0×5)

= 2,13

100

To be

NK = (0×0)+(7,14×1)+(0×2)+(0×3)+(42,85×4)+(50×5)

= 4,28

100

Nilai kapabilitas kondisi as is pada proses BAI06.01 yaitu 2,13



level 4.

b. Nilai kapabilitas BAI06.02 (Manage Emergency Changes)

As is

NK = (0×0)+(25×1)+(75×2)+(0×3)+(0×4)+(0×5)

= 1,75

100

To be

NK = (0×0)+(0×1)+(0×2)+(0×3)+(37,5×4)+(62,5×5)

= 4,6

100

183



to be adalah 4,6 yang berarti tingkat kapabilitasnya berada pada level

5.

c. Nilai kapabilitas BAI06.03 (Track and Report Change Status)

As is

NK = (0×0)+(37,5×1)+(12,5×2)+(12,5×3)+(0×4)+(37,5×5)

= 2,87

100

To be

NK = (0×0)+(0×1)+(0×2)+(0×3)+(37,5×4)+(62,5×5)

= 4,6

100




5.

d. Nilai kapabilitas BAI06.04 (Close and Document the Changes)

As is

NK = (0×0)+(16,6×1)+(50×2)+(16,6×3)+(16,6×4)+(0×5)

= 2,33

100

To be

NK = (0×0)+(0×1)+(0×2)+(0×3)+(33,33×4)+(66,67×5)

= 4,6

100




5.

184

EDM03 (Ensure Risk Optimisation)

As is To be

EDM03.01 6 4 2 0

EDM03.03 EDM03.02

4.6.2 Penentuan Level Kapabilitas

Penentuan tingkat kapabilitas EDM03 berdasarkan hasil

perhitungan nilai kapabilitas yang terdapat pada tiap sub prosesnya

adalah sebagai berikut :

Tabel 4. 38 Penentuan Tingkat Kapabilitas EDM03

No. Sub-Domain Nilai Kapabilitas Capability Level


1. EDM03.01 2,83 4,49 3 4

2. EDM03.02 3,33 5 3 5

3. EDM03.03 1 4,25 1 4

Rata-Rata 2,38 4,58 2 4

Berdasarkan tabel diatas proses EDM03.01 capability level saat ini

(as is) berada pada level 3 dengan nilai kapabilitas 2,83. Pada proses

EDM03.02 capability level saat ini berada pada level 3 dengan nilai

kapabilitas sebesar 3,33, pada proses EDM03.03 saat ini berada pada

level 1 dengan nilai kapabilitas sebesar 1. Sehingga dari ketiga sub proses

tersebut diketahui nilai kapabilitas untuk proses EDM03 adalah 2,38.

Gambar 4. 3 Grafik Proses EDM03 (Ensure Risk Optimisation)

Berdasarkan grafik diatas, diketahui bahwa kondisi saat ini (as is)

pada proses EDM03 (Ensure Risk Optimisation) berada pada tingkat 2

185

dengan nilai kapabilitas 2,38, berarti pada level ini divisi TI PT. Solusi

Integrasi Teknologi telah menerapkan Managed Process sementara

untuk kondisi yang diharapkan (to be) berada pada tingkat 4 dengan nilai

kapabilitas 4,58 dimana pada tahap ini telah diterapkan Predictable

Process.

Penentuan tingkat kapabilitas APO12 berdasarkan hasil perhitungan

nilai kapabilitas yang terdapat pada tiap sub prosesnya adalah sebagai

berikut :

Tabel 4. 39 Penentuan Tingkat Kapabilitas APO12



1. APO12.01 2,61 4,80 3 5

2. APO12.02 2,23 4,71 5 5

3. APO12.03 2,85 4,42 3 4

4. APO12.04 2,39 4,33 2 4

5. APO12.05 1,88 4,66 2 5

6. APO12.06 2,74 4,74 3 5

Rata-Rata 2,45 4,61 2 5

Berdasarkan tabel diatas proses APO12.01 capability level saat ini


APO12.02 capability level saat ini berada pada level 5 dengan nilai

kapabilitas sebesar 4,61, pada proses APO12.03 saat ini berada pada

level 3 dengan nilai kapabilitas sebesar 2,85. Pada proses APO12.04

capability level saat ini berada pada level 2 dengan nilai kapabilitas

sebesar 2,39, pada proses APO12.05 saat ini berada pada level 1 dengan

nilai kapabilitas sebesar 0,88, pada proses APO12.06 saat ini berada

186

APO12 (Manage Risk)

As is To be

APO12.06

APO12.01 6 4 2 0

APO12.02

APO12.05 APO12.03

APO12.04

pada level 3 dengan nilai kapabilitas sebesar 2,74 Sehingga dari keenam

sub proses tersebut diketahui nilai kapabilitas untuk proses APO12

adalah 2,68.

Gambar 4. 4 Grafik Proses APO12 (Manage Risk)


pada proses APO12 (Manage Risk) berada pada tingkat 2 dengan nilai

kapabilitas 2,45, berarti pada level ini divisi TI PT. Solusi Integrasi

Teknologi telah menerapkan Managed Process sementara untuk kondisi

yang diharapkan (to be) berada pada tingkat 5 dengan nilai kapabilitas

4,61 dimana pada tahap ini telah diterapkan Optimizing Process.

Penentuan tingkat kapabilitas APO13 berdasarkan hasil perhitungan


berikut :

Tabel 4. 40 Penentuan Tingkat Kapabilitas APO13



1. APO13.01 2,18 4,23 2 4

2. APO13.02 1,57 4,47 2 4

3. APO13.03 1,53 4,46 2 4

Rata-Rata 1,76 4,38 2 4

187

APO13 (Manage Security)

As is To be

APO13.01 6

4

2

0

APO13.03 APO13.02

Berdasarkan tabel diatas proses APO13.01 capability level saat ini


APO13.02 capability level saat ini berada pada level 2 dengan nilai

kapabilitas sebesar 1,57, pada proses APO13.03 saat ini berada pada

level 2 dengan nilai kapabilitas sebesar 1,53. Sehingga dari ketiga sub

proses tersebut diketahui nilai kapabilitas untuk proses APO13 adalah

1,76.

Gambar 4. 5 Grafik Proses APO13 (Manage Security)


pada proses APO13 (Manage Security) berada pada tingkat 2 dengan

nilai kapabilitas 1,76, berarti pada level ini divisi TI PT. Solusi Integrasi



4,38 dimana pada tahap ini telah diterapkan Predictable Process.

188

BAI06 (Manage Change)

As is To be

BAI06.01 6 4 2

BAI06.04 0 BAI06.02

BAI06.03

Penentuan tingkat kapabilitas BAI06 berdasarkan hasil perhitungan


berikut :

Tabel 4. 41 Penentuan Tingkat Kapabilitas BAI06



1. BAI06.01 2,13 4,28 2 4

2. BAI06.02 1,75 4,6 2 5

3. BAI06.03 2,87 4,6 3 5

4. BAI06.04 2,33 4,6 2 5

Rata-Rata 2,27 4,52 2 5

Berdasarkan tabel diatas proses BAI06.01 capability level saat ini


BAI06.02 capability level saat ini berada pada level 2 dengan nilai

kapabilitas sebesar 1,75, pada proses BAI06.03 saat ini berada pada level

3 dengan nilai kapabilitas sebesar 2,87, pada proses BAI06.04 saat ini

berada pada level 2 dengan nilai kapabilitas sebesar 2,33. Sehingga dari

keempat sub proses tersebut diketahui nilai kapabilitas untuk proses

BAI06 adalah 2,27.

Gambar 4. 6 Grafik Proses BAI06 (Manage Changes)

189


pada proses BAI06 (Manage Changes) berada pada tingkat 2 dengan

nilai kapabilitas 2,27, berarti pada level ini divisi TI PT. Solusi Integrasi



4,52 dimana pada tahap ini telah diterapkan Optimising Process.

4.6.3 Pencapaian Proses

Berdasarkan hasil perhitungan maka diketahui hasil tingkat

kapabilitas kondisi saat ini (as is) pada Proses EDM03 berada di level

2 (Managed Process), Proses APO12 berada di level level 2

(Managed Process), Proses APO13 berada di level level 2 (Managed

Process), dan Proses BAI06 berada di level level 2 (Managed

Process).

Dari tingkat kapabilitas pada setiap proses diatas perlu dilakukan

pemeriksaan syarat-syarat kapabilitas yang harus dipenuhi dengan

mengacu pada process capability indicators. Jika tingkat kapabilitas

pada proses EDM03 pada kondisi saat ini (as is) berada di level 2

maka organisasi harus memenuhi persyaratan proses atribut dari level

1 sampai level 2. Tingkat kapabilitas proses APO12 pada kondisi saat

ini (as is) berada di level 2 maka organisasi harus memenuhi

persyaratan proses atribut dari level 1 sampai level 2. Begitu juga

dengan tingkat kapabilitas proses APO13 pada kondisi saat ini (as is)

berada di level 2 maka organisasi harus memenuhi persyaratan proses

190

atribut dari level 1 sampai level 2. Dan tingkat kapabilitas proses

BAI06 pada kondisi saat ini (as is) berada di level 2 maka organisasi

harus memenuhi persyaratan proses atribut dari level 1 sampai level

2.

Berdasarkan process capability indicators COBIT 5 pada level 1

terdapat base practice (BPs) dan work products (WPs) yang harus

disediakan oleh PT. Solusi Integrasi Teknologi berupa bukti-bukti

atau dokumen bahwa proses tersebut telah dilakukan. Sedangkan

pada level 2 harus memenuhi generic products (GPs) yang akan

menghasilkan generic work products (GWPs) sebagai bukti bahwa

proses telah memenuhi syarat proses atribut.

Berikut ini tabel pencapaian proses EDM03, proses APO12,

proses APO13 dan proses BAI06 pada PT. Solusi Integrasi Teknologi

terhadap proses atribut dalam process capability indicators di level 1

(Performed Proses):

1. Proses EDM03 (Ensure Risk Optimisation)

Tabel 4. 42 Proses EDM03 PA 1.1 Process Performance

Base Practice Work Product Exist Evidence

EDM03.01 Panduan batas √ Dokumen

Evaluasi toleransi risiko Risiko PT.

manajemen Solusi

risiko Integrasi

Teknologi

Kebijakan tingkat √ Dokumen

toleransi yang Risiko PT.

disetujui Solusi

191

Integrasi

Teknologi

Evaluasi √ Dokumen

manajemen risiko Risiko PT.

Solusi

Integrasi

Teknologi

EDM03.02 Kebijakan -

Mengatur manajemen risiko

manajemen Tujuan utama √ Dokumen

risiko memantau Risiko PT.

manajemen risiko Solusi

Integrasi

Teknologi

Proses persetujuan √ Dokumen

untuk mengukur Risiko PT.

manajemen risiko Solusi

Integrasi

Teknologi

EDM03.03 Isu manajemen √ Dokumen

Memantau risiko Risiko PT.

manajemen Solusi

risiko Integrasi

Teknologi

Tindakan perbaikan √ Dokumen

untuk manajemen Risiko PT.

risiko Solusi

Integrasi

Teknologi

Rata-rata Skor 87,5%

Pada PA 1.1 Process Performance diatas, PT. Solusi

Integrasi Teknologi mendapatkan skor 87,5% yang masuk dalam

tingkat penilaian F (fully achieved). Maka penilaian proses

EDM03 dapat melanjutkan ke level selanjutnya yaitu level 2

(Managed Process).

192

Pada level 2 menurut Generic Practices (GPs) dan Generic

Work Products (GWPs) yang ada pada COBIT 5, maka penilaian

level 2 didasarkan pada performance management dan work

product management. Berikut ini adalah tabel pencapaian dalam

level 2 proses EDM03 :

Tabel 4. 43 Proses EDM03 PA 2.1 Performance Management

Work Product Exist Evidence

Identifikasi ruang

lingkup dan tujuan

proses optimasi

risiko

√ Dokumen Risiko

PT. Solusi

Integrasi

Teknologi

Merencanakan dan

memonitoring proses

optimasi risiko

- -

Menyesuaikan

kinerja proses

optimasi risiko

-

Mengidentifikasi

tanggung jawab

proses optimasi

risiko

√ Dokumen Risiko

PT. Solusi

Integrasi

Teknologi

Mengidentifikasi dan

menyediakan sumber

daya proses optimasi

risiko

√ Dokumen Risiko

PT. Solusi

Integrasi

Teknologi

Mengelola

antarmuka proses

optimasi risiko

- -

Rata-Rata 50%

Berdasarkan tabel performance management dapat

diketahui 6 poin yang harus dipenuhi oleh PT Solusi Integrasi

Teknologi. Identifikasi ruang lingkup dan tujuan proses optimasi

193

risiko tercantum dalam Dokumen Risiko PT Solusi Integrasi

Teknologi. Dalam perencanaan dan monitoring proses optimasi

belum ditemukan evidence terkait poin tersebut. Dalam

menyesuaikan kinerja proses optimasi risiko juga belum

ditemukan evidence terkait poin tersebut. Identifikasi tanggung

jawab proses optimasi tercantum dalam Dokumen Risiko PT

Solusi Integrasi Teknologi. Dalam identifikasi dan menyediakan

sumber daya proses optimasi tercantum dalam Dokumen Risiko

PT Solusi Integrasi Teknologi. Mengelola antarmuka proses

optimasi risiko belum ditemukan evidence terkait dengan proses

tersebut.

Tabel 4. 44 Proses EDM03 PA 2.2 Work Product Management


Kriteria kualitas dan

hasil kerja

√ Dokumen KPI

Operasional Nomor 007/SOP.OPS/SIT/07/21

Menetapkan

kebutuhan dari hasil

kerja

- -

Dokumentasi hasil

kinerja

√ Report Work PT Solusi

Integrasi Teknologi

Evaluasi hasil kinerja √ Report Work PT Solusi Integrasi Teknologi

Rata-Rata 75%

Berdasarkan tabel Performance Management dan Work

Product Management dapat diketahui skor masing-masing

194

pencapaian tersebut adalah 50% dan 75% termasuk dalam tingkat

pencapaian L (Largely Achieved) dengan memenuhi persyaratan

pada level 2 managed process. Pada domain ini belum bisa

melanjutkan penilaian ke level selanjutnya yaitu level 3, karena

persyaratan untuk melanjutkan penilaian ke level berikutnya

dalam Performance Management dan Work Product Management

harus mencapai tingkatan F (Fully Acvieved).

2. Proses APO12 (Manage Risk)

Tabel 4. 45 Proses APO12 PA 1.1 Process Performance

Base Practice Work Product Exist Evidence

APO12.01 Data tentang √ Dokumen

Risiko PT.

Solusi

Integrasi

Teknologi

Mengumpulkan lingkungan

Data operasi yang

berkaitan

dengan risiko

Data tentang

peristiwa risiko

dan faktor yang

berkontribusi

√ Dokumen

Risiko PT.

Solusi

Integrasi Teknologi

Masalah dan

faktor risiko

yang muncul

√ Dokumen

Risiko PT.

Solusi

Integrasi Teknologi

APO12.02

Menganalisa

Risiko

Lingkup upaya

analisis risiko

√ Dokumen

Risiko PT.

Solusi

Integrasi Teknologi

Skenario risiko

IT

√ Dokumen

Risiko PT.

Solusi

195

Integrasi Teknologi

Hasil analisis

risiko

√ Dokumen

Risiko PT.

Solusi

Integrasi

Teknologi

APO12.03

Memelihara Profil

Risiko

Dokumentasi

skenario risiko

berdasarkan

bisnis dan

fungsinya

√ Dokumen

Risiko PT.

Solusi

Integrasi

Teknologi

Kumpulan

profil risiko

termasuk

tindakan

manajemen

risiko

√ Dokumen

Risiko PT.

Solusi

Integrasi

Teknologi

APO12.04

Mengartikulasikan

Risiko

Laporan ke

stakeholders

terkait analisis

risiko dan

profil risiko

-

Hasil dari

penilaian risiko

oleh pihak

ketiga

-

Peluang untuk

menerima

risiko terburuk

√ Dokumen

Risiko PT.

Solusi

Integrasi Teknologi

APO12.05

Menentukan

Portofolio

Tindakan

Manajemen

Risiko

Proposal untuk

mengurangi

risiko

√ Dokumen

Risiko PT.

Solusi

Integrasi

Teknologi

APO12.06 Rencana

respon

√ Dokumen

Risiko PT. Solusi

196

Menanggapi

Risiko

kejadian terkait

risiko

Integrasi

Teknologi

Komunikasi

dampak risiko

√ Dokumen

Risiko PT.

Solusi

Integrasi Teknologi

Penyebab

kejadian

berisiko

√ Dokumen

Risiko PT.

Solusi

Integrasi

Teknologi

Rata-rata Skor 86,6%


Integrasi Teknologi mendapatkan skor 86,6% yang masuk dalam


APO12 dapat melanjutkan ke level selanjutnya yaitu level 2

(Managed Process).





level 2 proses APO12 :

Tabel 4. 46 Proses APO12 PA 2.1 Performance Management


Identifikasi ruang lingkup dan

tujuan proses pengelolaan

risiko

√ Dokumen Risiko

PT. Solusi

Integrasi

Teknologi

197

Merencanakan dan

memonitoring proses

pengelolaan risiko

- -

Menyesuaikan kinerja proses

pengelolaan risiko

- -

Mengidentifikasi tanggung

jawab proses pengelolaan risiko

√ Dokumen Risiko

PT. Solusi

Integrasi Teknologi

Mengidentifikasi dan

menyediakan sumber daya

proses pengelolaan risiko

√ Dokumen Risiko

PT. Solusi

Integrasi

Teknologi

Mengelola antarmuka proses

pengelolaan risiko

- -

Rata - rata Skor 50%

Berdasarkan tabel performance management terdapat 6

poin yang harus dipenuhi oleh PT Solusi Integrasi Teknologi.

Identifikasi ruang lingkup dan tujuan proses pengelolaan risiko

tercantum dalam Dokumen Risiko PT. Solusi Integrasi Teknologi.

Dalam merencanakan dan memonitoring proses pengelolaan

risiko belum ditemukan evidence terkait poin tersebut. Dalam

menyesuaikan kinerja proses pengelolaan risiko belum ditemukan

evidence terkait poin tersebut. Mengidentifikasi tanggung jawab

proses pengelolaan risiko tercantum dalam Dokumen Risiko PT.

Solusi Integrasi. Mengidentifikasi dan menyediakan sumber daya

proses pengelolaan risiko tercantum dalam Dokumen Risiko PT.

Solusi Integrasi. Dalam mengelola antarmuka proses pengelolaan

risiko belum ditemukan evidence terkait poin tersebut.

198

Tabel 4. 47 Proses APO12 PA 2.2 Work Product Management



hasil kerja

√ Dokumen KPI


Menetapkan


kerja

- -

Dokumentasi hasil

kinerja


Integrasi Teknologi


Rata-Rata 75%



pencapaian tersebut adalah 50% dan 75% termasuk dalam tingkat

pencapaian L (Largely Achieved) dengan memenuhi persyaratan

pada level 2 managed process. Pada domain ini belum bisa

melanjutkan penilaian ke level selanjutnya yaitu level 3, karena

persyaratan untuk melanjutkan penilaian ke level berikutnya

dalam Performance Management dan Work Product Management

harus mencapai tingkatan F (Fully Acvieved).

3. Proses APO13 (Manage Security)

Tabel 4. 48 Proses APO13 PA 1.1 Process Performance

Base

Practice

Work

Product

Exist Evidence

199

APO13.01

Membang

un dan

Memelihar

a Sistem

Manajeme

n

Keamanan

Informasi

(SMKI).

Peraturan

SMKI

√ SOP Prosedur

Keamanan SI Divisi IT

Nomor

006/SOP.OPS/SIT/06/2

1

Jangkauan

SMKI

√ SOP Prosedur


Nomor


1

APO13.02

Mengelola

Rencana

Penangana

n Risiko

Keamanan

Informasi

Informasi

mengenai

penanganan

risiko

keamanan

√ SOP Prosedur

Pemeliharaan Rutin

Divisi IT Nomor


1

Informasi

keamanan

berdasarka

n kasus

bisnis

√ SOP Prosedur Insiden

Divisi IT Nomor


1

APO13.03

Mengawas

i Sistem

Manajeme

n

Keamanan

Informasi

(SMKI)

Laporan

audit SMKI

√ SOP Prosedur Insiden

Divisi IT Nomor

005/SOP.OPS/SIT/06/2 1

Rekomenda

si untuk

peningkata

n SMKI

√ SOP Prosedur

Pemeliharaan Rutin

Divisi IT Nomor


1dan SOP Prosedur

Insiden Divisi IT

Nomor

005/SOP.OPS/SIT/06/2 1

Rata-rata Skor 100%


Integrasi Teknologi mendapatkan skor 100% yang masuk dalam


200

APO13 dapat melanjutkan ke level selanjutnya yaitu level 2

(Managed Process).





level 2 proses APO13 :

Tabel 4. 49 Proses APO13 PA 2.1 Performance Management


Identifikasi ruang lingkup

dan tujuan manajemen

keamanan terkait TI

√ SOP Prosedur


Nomor


Merencanakan

memperbaiki

terkait TI

dan

keamanan

√ SOP Prosedur


Nomor


Menyesuaikan solusi untuk

manajemen keamanan

terkait TI

√ SOP Prosedur


Nomor


Mengidentifikasi tanggung

jawab atau komunikasi atas

manajemen keamanan

√ SOP Prosedur


Nomor


terkait TI

Mengidentifikasi dan √ SOP Prosedur

menyediakan sumber daya Keamanan SI Divisi IT

Nomor 006/SOP.OPS/SIT/06/21

Mengelola hubungan pihak

terkait

- -

201

Berdasarkan tabel performance management diketahui

terdapat 6 poin yang harus dipenuhi oleh PT Solusi Integrasi

Teknologi. Dalam mengidentifikasi ruang lingkup dan tujuan

manajemen keamanan terkait TI tercantum dalam SOP Prosedur

Keamanan SI Divisi IT Nomor 006/SOP.OPS/SIT/06/21. Dalam

merencanakan dan memperbaiki keamanan terkait TI tercantum

dalam SOP Prosedur Keamanan SI Divisi IT Nomor

006/SOP.OPS/SIT/06/21. Menyesuaikan solusi untuk manajemen

keamanan terkait TI tercantum dalam SOP Keamanan SI.

Mengidentifikasi tanggung jawab atau komunikasi atas

manajemen keamanan terkait TI tercantum dalam SOP Keamanan

SI. Mengidentifikasi dan menyediakan sumber daya tercantum

dalam SOP Keamanan SI. Dalam mengelola hubungan pihak

terkait belum ditemukan evidence terkait poin tersebut.

Tabel 4. 50 Proses APO13 PA 2.2 Work Product Management



hasil kerja

√ Dokumen KPI


Menetapkan


kerja

- -

Dokumentasi hasil

kinerja


Integrasi Teknologi

83,3% Rata - rata Skor

202


Rata-Rata 75%



pencapaian tersebut adalah 83,3% dan 75% termasuk dalam

tingkat pencapaian L (Largely Achieved) dengan memenuhi

persyaratan pada level 2 managed process. Pada domain ini belum

bisa melanjutkan penilaian ke level selanjutnya yaitu level 3,

karena persyaratan untuk melanjutkan penilaian ke level

berikutnya dalam Performance Management dan Work Product

Management harus mencapai tingkatan F (Fully Acvieved).

4. Proses BAI06 (Manage Changes)

Tabel 4. 51 Proses BAI06 PA 1.1 Process Management

Base Practice Work

Product

Exi

st

Evidence

BAI06.01 Penilaian √ SOP Prosedur

Manajemen

Perubahan Divisi IT

Nomor

008/SOP.OPS/SIT/0 7/21

Mengevaluasi, Dampak

prioritaskan, dan

otorisasi

permintaan

perubahan.

Permintaa

n

perubahan

yang

disetujui

√ SOP Prosedur

Manajemen

Perubahan Divisi IT

Nomor


Perubahan

rencana

dan jadwal

√ SOP Prosedur

Manajemen

Perubahan Divisi IT

Nomor

203


BAI06.02

Mengelola

Perubahan

Darurat

Tinjauan

pasca-

implement

asi dari

perubahan

darurat

√ SOP Prosedur

Manajemen

Perubahan Divisi IT

Nomor

008/SOP.OPS/SIT/0

7/21

BAI06.03

Melacak dan

melaporkan

perubahan status

Perubahan

laporan

status

permintaa

n

√ SOP Prosedur

Manajemen

Perubahan Divisi IT

Nomor


BAI06.04

Tutup dan

mendokumentas

ikan perubahan

Perubahan

dokument

asi

√ SOP Prosedur

Manajemen

Perubahan Divisi IT

Nomor


Rata-rata Skor 100%


Integrasi Teknologi mendapatkan skor 100% yang masuk dalam

tingkat penilaian F (fully achieved). Maka penilaian proses BAI06

dapat melanjutkan ke level selanjutnya yaitu level 2 (Managed

Process).





level 2 proses BAI06 :

204

Tabel 4. 52 Proses BAI06 PA 2.1 Performance Management


Identifikasi ruang

lingkup dan tujuan

manajemen

perubahan

√ SOP Prosedur

Manajemen Perubahan

Divisi IT Nomor


Merencanakan dan

memperbaiki

manajemen

perubahan

√ SOP Prosedur

Manajemen Perubahan

Divisi IT Nomor


Menyesuaikan

solusi untuk

manajemen

perubahan

√ SOP Prosedur

Manajemen Perubahan

Divisi IT Nomor


Mengidentifikasi

tanggung jawab

atau komunikasi

atas manajemen

perubahan

√ SOP Prosedur

Manajemen Perubahan

Divisi IT Nomor


Mengidentifikasi

dan menyediakan

sumber daya

- -

Mengelola

hubungan pihak

terkait

- -

Rata - rata Skor 66,66%

Berdasarkan tabel performance management terdapat 6

poin yang harus dipenuhi oleh PT Solusi Integrasi Teknologi.

Dalam mengidentifikasi ruang lingkup dan tujuan manajemen

perubahan tercantum dalam SOP Prosedur Manajemen Perubahan

Divisi IT Nomor 008/SOP.OPS/SIT/07/21. Merencanakan dan

memperbaiki manajemen perubahan tercantum dalam SOP

Prosedur Manajemen Perubahan Divisi IT Nomor

205

008/SOP.OPS/SIT/07/21. Dalam menyesuaikan solusi untuk

manajemen perubahan tercantum dalam SOP Prosedur

Manajemen Perubahan Divisi IT Nomor

008/SOP.OPS/SIT/07/21. Dalam mengidentifikasi tanggung

jawab atau komunikasi atas manajemen perubahan tercantum

dalam SOP Prosedur Manajemen Perubahan Divisi IT Nomor

008/SOP.OPS/SIT/07/21. Dalam mengidentifikasi dan

menyediakan sumber daya belum ditemukan evidence terkait poin

tersebut. Mengelola hubungan pihak terkait belum ditemukan

evidence terkait poin tersebut.

Tabel 4. 53 Proses BAI06 PA 2.2 Work Product Management



hasil kerja

√ Dokumen KPI

Operasional Nomor


Menetapkan


kerja

- -

Dokumentasi hasil

kinerja


Integrasi Teknologi


Rata-Rata 75%



pencapaian tersebut adalah 66,6% dan 75% termasuk dalam

tingkat pencapaian L (Largely Achieved) dengan memenuhi

206

persyaratan pada level 2 managed process. Pada domain ini belum

bisa melanjutkan penilaian ke level selanjutnya yaitu level 3,

karena persyaratan untuk melanjutkan penilaian ke level

berikutnya dalam Performance Management dan Work Product

Management harus mencapai tingkatan F (Fully Acvieved).

4.6.4 Penilaian Risiko

Penilaian risiko pada dasarnya merupakan keseluruhan proses Risk

Identification, Risk Analysis dan Risk Evaluation. Risk Analysis

bertujuan untuk memahami karakteristik risiko (Probabilitas dan

dampak) yang dilakukan secara kualitatif maupun kuantitatif untuk

menentukan level of risk. Level risiko ditentukan oleh level frekuensi

(probability) yaitu besar atau kecilnya kemungkinan terjadinya risiko dan

level konsekuensi yaitu besar kecilnya dampak negatif dari risiko.

Sedangkan risk evaluation bertujuan untuk membantu proses

pengambilan keputusan berdasarkan hasil analisis risiko.

Risk analysis dilakukan dengan identifikasi risiko, menentukan

probability, impact risiko dan tingkat risiko. Lalu melakukan penilaian

risiko terhadap inherent risk dan residual risk. Sedangkan risk

evaluation dilakukan dengan menyusun hubungan antara probability dan

impact ke dalam matriks risk map. Setelah itu hasilnya akan diketahui

priority risiko yang memerlukan penanganan (mitigasi).

207

4.6.4.1 Identifikasi Risiko

Tahap ini dilakukan untuk identifikasi risiko yang ada di PT.

Solusi Integrasi Teknologi yang perlu di nilai melalui

wawancara. Berikut ini risiko-risiko yang ada di PT. Solusi

Integrasi Teknologi :

Tabel 4. 54 Identifikasi Risiko

No. Risiko

1 Belum dilakukannya risk assessment pada divisi IT

2 Belum adanya dokumen atau kebijakan untuk menangani risiko

3 Pernah mengalami masalah dalam backup data dikarenakan mati

listrik

4 Identifikasi risiko tidak terdokumentasi dengan baik sehingga

perusahaan tidak mengetahui risiko sebelum pembuatan software

5 Tidak ada prosedur pencegahan insiden IT Continuity Plan,

Disaster Recovery Plan, IT Security Plan

6 Keterbatasan SDM untuk menangani risiko

7 Penentuan estimasi waktu pembuatan software yang memakai

perkiraan, menjadikan proses pengembangan bisa menjadi lebih

lama diselesaikan

8 Pembuatan software menjadi lama dikarenakan programer harus

mempelajari code atau bahasa pemrograman

4.6.4.2 Risk Likelihood

Berikut ini faktor yang dapat menentukan likelihood

berdasarkan Risk Rating Methodology yang dikeluarkan

OWASP :

1. Skill Level (SL)

2. Motive (M)

3. Opportunity (O)

208

4. Size (S)

5. Ease of Discovery (ED)

6. Ease of Exploit (EE)

7. Awareness (AW)

8. Intrusion Detection (ID)

Tabel dibawah ini menjabarkan hasil penilaian kriteria

likelihood dengan memberikan nilai pada setiap kriteria

berdasarkan rating risiko yang telah ditentukan OWASP

yaitu 0 – 9 dengan masing-masing rating memiliki

keterangan. Hasil dari likelihood akan dimanfaatkan untuk

menghitung risk severity :

Tabel 4. 55 Risk Likelihood

No. Risiko SL M O S ED EE AW ID L

1 Belum

dilakukannya risk

assessment pada divisi IT

4 4 4 2 1 1 4 0 2,5

2 Belum adanya

dokumen atau kebijakan untuk menangani risiko

6 6 4 2 5 7 6 0 4,5

3 Pernah mengalami

masalah dalam

backup data

dikarenakan mati listrik

5 5 5 3 5 7 6 4 5

4 Identifikasi risiko

tidak

terdokumentasi

dengan baik

sehingga

perusahaan tidak

mengetahui risiko

sebelum pembuatan

software

3 1 4 2 5 1 1 0 2,1

209

5 Tidak ada prosedur

pencegahan insiden

IT Continuity Plan,

Disaster Recovery Plan, IT Security

Plan

3 4 4 2 1 1 4 0 2,3

6 Keterbatasan SDM

untuk menangani risiko

5 6 4 4 6 5 4 0 4,2

7 Penentuan estimasi

waktu pembuatan

software yang

memakai perkiraan,

menjadikan proses

pengembangan bisa

menjadi lebih lama

diselesaikan

3 6 4 2 3 3 4 0 3,1

8 Pembuatan

software menjadi

lama dikarenakan

programer harus

mempelajari code

atau bahasa pemrograman

3 4 3 2 3 3 4 1 2,8

4.6.4.3 Risk Impact

Berikut ini kriteria untuk mengukur impact berdasarkan

Risk Rating Methodology yang dikeluarkan OWASP :

1. Loss of Confidentiality (C)

2. Loss of Integrity (LI)

3. Loss of Availability (LA)

4. Loss of Accountability (LC)

5. Financial Damage (FD)

6. Reputation Damage (RD)

7. Non-Compliance (NC)

8. Privacy Violation (PV)

210

Tabel dibawah ini menjabarkan hasil penilaian kriteria

impact. Hasil dari impact akan dimanfaatkan untuk

menghitung risk severity :

Tabel 4. 56 Risk Impact

No. Risiko C LI LA LC FD RD NC PV I


4 0 5 3 2 4 2 0 2,5

2 Belum adanya dokumen

atau kebijakan untuk menangani risiko

8 8 5 6 7 5 6 4 6,1

3 Pernah mengalami

masalah dalam backup

data dikarenakan mati listrik

9 9 9 7 7 5 7 3 7

4 Identifikasi risiko tidak

terdokumentasi dengan

baik sehingga perusahaan

tidak mengetahui risiko

sebelum pembuatan software

3 2 5 1 2 2 2 0 2,1

5 Tidak ada prosedur

pencegahan insiden IT

Continuity Plan, Disaster

Recovery Plan, IT Security Plan

3 3 2 1 2 1 3 0 1,8

6 Keterbatasan SDM untuk menangani risiko

6 5 7 7 7 6 6 4 6

7 Penentuan estimasi

waktu pembuatan

software yang memakai

perkiraan, menjadikan

proses pengembangan

bisa menjadi lebih lama diselesaikan

2 3 4 1 2 3 3 0 2,2

8 Pembuatan software

menjadi lama

dikarenakan programer

harus mempelajari code

atau bahasa pemrograman

3 3 4 2 3 1 0 2 2,2

211

4.6.4.4 Risk Severity

Berdasarkan hasil penilaian likelihood dan impact, setelah

itu dilakukan perhitungan untuk mendapatkan risk

severity dengan cara mengalikan tiap-tiap aspek

likelihood dan impact. Berikut ini perhitungan risk

severity dari masing-masing risiko diurutkan dari yang

memiliki risiko rendah ke tinggi:

Tabel 4. 57 Risk Severity

No. Risiko Likelihood Impact Risk Severity


2,5 (Low) 2,5 (Low)

Low

2 Belum adanya dokumen atau

kebijakan untuk menangani

risiko

4,5

(Medium)

6,1

(High)

High

3 Pernah mengalami masalah

dalam backup data dikarenakan

mati listrik

5

(Medium)

7 (High) High


terdokumentasi dengan baik

sehingga perusahaan tidak

mengetahui risiko sebelum

pembuatan software

2,1 (Low) 2,1 (Low)

Low

5 Tidak ada prosedur pencegahan

insiden IT Continuity Plan,

Disaster Recovery Plan, IT

Security Plan

2,3 (Low) 1,8

(Low)

Low

6 Keterbatasan SDM untuk

menangani risiko

4,2

(Medium)

6 (High) High

7 Penentuan estimasi waktu

pembuatan software yang

memakai perkiraan, menjadikan

proses pengembangan bisa

menjadi lebih lama diselesaikan

3,1

(Medium)

2,2

(Low)

Low

212

8 Pembuatan software menjadi

lama dikarenakan programer

harus mempelajari code atau bahasa pemrograman

2,8 (Low) 2,2

(Low)

Low

Berdasarkan hasil perhitungan diatas didapatkan prioritas

untuk masing-masing risiko. dari 8 risiko telah ditemukan

3 risiko yang memiliki prioritas tinggi yaitu risiko nomor

6, 3, dan 2. Berikuti ini tabel kategori risk severity :

Tabel 4. 58 Overall Severity Map

4.7 Reporting the Result

Tahap ini peneliti membahas tentang hasil evaluasi dan hasil penilaian dari

tahap-tahap sebelumnya. Pada tahapan reporting the result dijelaskan

penentuan gaps pada setiap proses dan rekomendasi tingkat kapabilitas proses

yang diharapkan PT Solusi Integrasi Teknologi. Pada tahap ini juga peneliti

memberikan saran atau rekomendasi Langkah mitigasi dengan menggunakan

ISO 3100:2018.

4.7.1 Hasil Capability Level

Hasil perhitungan tingkat capability kondisi saat ini (as is) Divisi TI

PT Solusi Integrasi Teknologi dalam mengelola risiko berada pada level

2 (Managed Process) dengan nilai 2,27 yang berarti kondisi saat ini telah

213

mengimplementasikan proses dengan cara yang terkelola dan hasil

kerjanya ditetapkan, dikontrol dan terawat. Sementara tingkat capability

kondisi yang diharapkan (to be) dalam mengelola risiko TI berada pada

level 4 (Predictable Process) dengan nilai 4,18 yang berarti kondisi yang

diharapkan mampu mengimplementasikan proses secara konsisten dan

memiliki batasan-batasan untuk meraih tujuan dari proses tersebut.

Dengan besarnya gap pada nilai capability level sebesar 1,91 untuk

mencapai capability level yang diharapkan. Untuk mencapai level yang

diharapkan, PT Solusi Integrasi Teknologi harus memenuhi indikator

persyaratan pada Performance Management dan Work Product

Management pada level 2 lalu setelah itu harus melakukan hal yang sama

pada level 3 untuk dapat mencapai level yang diharapkan yaitu level 4.

4.7.2 Gap & Rekomendasi Proses EDM03

Penilaian capability level pada proses EDM03 berada pada level 2

dengan nilai 2,38 dan level kondisi yang diharapkan berada pada level 3.

Gap dan rekomendasi dibawah ini didapat dari hasil pencapaian proses

yang terdapat dalam tahap Process Attribute Level :

Tabel 4. 59 Capability Level Proses EDM03

Proses Tingkat Kapabilitas

0 1 2 3 4 5

EDM03

F

87,5%

L 62,5%

2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2

50% 75%

214

Ket :

Berdasarkan tabel diatas pada level 1 sudah mencapai 87,5%

dalam kategori Fully Achieved, sehingga penilaian lanjut ke level 2.

Pada capability level 2 termasuk dalam kategori Largely Achieved

dengan persentase 62,5%. Pada level 2 juga terdapat 2 poin yaitu 2.1

(Performance Management) dengan mencapai 50% dan 2.2 (Work

Product Management) mencapai 75%. Namun untuk mencapai level

selanjutnya level 2 harus berada pada tingkatan Fully Achieved.

Berikut ini gap dan rekomendasi proses EDM03 sesuai dengan

temuan pada tahap pencapaian proses :

Tabel 4. 60 Gap dan Rekomendasi EDM03

EDM03 (Ensure Risk Optimisation)

Gap

1. Belum adanya dokumen kebijakan manajemen risiko yang

digunakan untuk mengatasi risiko yang terjadi.

2. Belum teridentifikasinya rencana dan memonitoring dari

proses optimasi risiko.

3. Belum teridentifikasinya kesesuaian kinerja dalam proses

optimasi risiko.

4. Belum adanya antar muka pada proses optimasi risiko.

5. Belum mengidentifikasi dan menetapkan kebutuhan dari

hasil kerja.

Rekomendasi

✓ Direkomendasikan untuk membuat dokumen SOP atau

kebijakan khususnya manajemen risiko yang bisa

disesuaikan dengan kondisi PT Solusi Integrasi Teknologi.

215

✓ Direkomendasikan untuk membuat perencanaan terhadap

proses optimasi dari seluruh risiko, sehingga saat proses

pengoptimalan risiko berjalan dengan baik dan

dimonitoring dengan baik agar meminimalisir issue pada

proses optimasi risiko.

✓ Untuk pengoptimalan risiko diharuskan untuk

menyesuaikan kinerja serta peran dan tanggung jawab

penuh pada proses ini. Dengan cara membuat dokumentasi

kinerja dan hasil kinerja.

✓ Divisi IT PT Solusi Integrasi Teknologi harus menyediakan

dan mengelola tampilan interface atau sistem informasi

untuk memonitoring proses pengoptimalan risiko.

✓ Direkomendasikan untuk identifikasi dan analisis terkait

dengan kebutuhan dari hasil kerja, agar dapat meningkatkan

hasil kerja.

Berdasarkan tabel diatas terdapat 5 gap yang harus dicapai oleh

PT Solusi Integrasi Teknologi agar dapat memenuhi persyaratan

proses EDM03 ke level 2. Salah satu rekomendasi yaitu

direkomendasikan membuat dokumen SOP atau kebijakan khususnya

manajemen risiko yang bisa disesuaikan dengan kondisi PT Solusi

Integrasi Teknologi. Sehingga dapat memenuhi gap belum adanya

kebijakan manajemen risiko. Sebelum ke level selanjutnya, PT Solusi

Integrasi Teknologi diharuskan untuk memenuhi perbaikan pada

level sebelumnya.

4.7.3 Gap & Rekomendasi Proses APO12

Penilaian capability level pada proses APO12 berada pada level 2


Namun untuk mencapai level selanjutnya level 2 harus berada pada

tingkatan Fully Achieved. Gap dan rekomendasi dibawah ini didapat

216

dari hasil pencapaian proses yang terdapat dalam tahap Process Attribute

Level :

Tabel 4. 61 Capability Level APO12


0 1 2 3 4 5

APO12

F

86,6%

L 62,5%

2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2

50% 75%

Berdasarkan tabel diatas pada level 1 sudah mencapai 86,6%




(Performance Management) dengan mencapai 50% dan 2.2 (Work

Product Management) mencapai 75%. Berikut ini gap dan

rekomendasi proses APO12 sesuai dengan temuan pada tahap

pencapaian proses :

Tabel 4. 62 Gap dan Rekomendasi APO12

APO12 (Manage Risk)

Gap

1. Belum adanya dokumen laporan ke stakeholders terkait

analisis risiko dan profil risiko.

2. Belum adanya dokumentasi hasil dari penilaian risiko oleh

pihak ketiga.

3. Belum teridentifikasinya rencana dan memonitoring dari

proses pengelolaan risiko.

4. Belum teridentifikasinya kesesuaian kinerja dalam proses

pengelolaan risiko.

5. Belum adanya antar muka pada proses pengelolaan risiko.

217


hasil kerja.

Rekomendasi

✓ PT Solusi Integrasi Teknologi direkomendasikan untuk

mem buat dokumen laporan terkait analisis risiko pada

setiap project dan diserahkan kepada klien/customer.

✓ Penilaian risiko oleh pihak ketiga seperti klien/customer

juga penting untuk kemajuan PT Solusi Integrasi Teknologi,

oleh karena ini diharus kan untuk menyediakan

dokumenntasi dari hasil penilaian risiko oleh pihak ketiga.

✓ Untuk pengelolaan risiko diharuskan untuk menyesuaikan

kinerja serta peran dan tanggung jawab penuh pada proses

ini. Dengan cara membuat dokumentasi kinerja dan hasil

kinerja.

✓ Divisi IT PT Solusi Integrasi Teknologi harus menyediakan

dan mengelola tampilan interface atau sistem informasi

untuk memonitoring proses pengelolaan risiko.



hasil kerja.



proses APO12 ke level 2. Salah satu rekomendasi yaitu

direkomendasikan untuk mem buat dokumen laporan terkait analisis

risiko pada setiap project dan diserahkan kepada klien/customer.

Sehingga dapat memenuhi gap belum adanya dokumen laporan ke

stakeholders terkait analisis risiko dan profil risiko. Sebelum ke level

selanjutnya, PT Solusi Integrasi Teknologi diharuskan untuk

memenuhi perbaikan pada level sebelumnya.

218

4.7.4 Gap & Rekomendasi Proses APO13

Penilaian capability level pada proses APO13 berada pada level 2





Level :

Tabel 4. 63 Capability Level APO13


0 1 2 3 4 5

APO13

F

100%

L

79,15%

2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2

83,3% 75%

Berdasarkan tabel diatas pada level 1 sudah mencapai 100%




(Performance Management) dengan mencapai 83,3% dan 2.2 (Work


rekomendasi proses APO13 sesuai dengan temuan pada tahap

pencapaian proses :

Tabel 4. 64 Gap dan Rekomendasi APO13

APO13 (Manage Security)

Gap

219

1. Belum adanya pengelolaan terhadap hubungan dengan

pihak yang terkait dengan keamaan informasi.


hasil kerja.

Rekomendasi

✓ Direkomendasikan untuk menjaga dan mengelola hubungan

oleh seluruh pihak internal dan eksternal yang memiliki

tanggung jawab secara penuh terhadap keamanan informasi,

sehingga informasi tetap terjaga.



hasil kerja.



proses APO13 ke level 2. Salah satu rekomendasi yaitu

direkomendasikan untuk menjaga dan mengelola hubungan oleh

seluruh pihak internal dan eksternal yang memiliki tanggung jawab

secara penuh terhadap keamanan informasi, sehingga informasi tetap

terjaga. Sehingga dapat memenuhi gap belum adanya pengelolaan

terhadap hubungan dengan pihak yang terkait dengan keamaan

informasi. Sebelum ke level selanjutnya, PT Solusi Integrasi

Teknologi diharuskan untuk memenuhi perbaikan pada level

sebelumnya.

4.7.5 Gap & Rekomendasi Proses BAI06

Penilaian capability level pada proses BAI06 berada pada level 2



220



Level :

Tabel 4. 65 Capability Level BAI06


0 1 2 3 4 5

BAI06

F

100%

L 70,83%

2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2

66,66% 75%

Berdasarkan tabel diatas pada level 1 sudah mencapai 100%




(Performance Management) dengan mencapai 66,66% dan 2.2 (Work


rekomendasi proses BAI06 sesuai dengan temuan pada tahap

pencapaian proses :

Tabel 4. 66 Gap dan Rekomendasi BAI06

BAI06 (Manage Changes)

Gap

1. Belum teridentifikasinya penyediaan sumber daya terkait

dengan proses pengelolaan perubahan.

2. Belum adanya pengelolaan hubungan terkait dengan pihak-

pihak yang berperan pada proses manajemen perubahan.


hasil kerja.

Rekomendasi

221

✓ Dalam mengelola perubahan, PT Solusi Integrasi

direkomendasikan untuk menyediakan sumber daya yang

dapat mendukung performa dalam mengelola perubahan

dengan memberikan pelatihan terkait manage change.

✓ Direkomendasikan untuk menjaga dan mengelola hubungan

oleh seluruh pihak internal dan eksternal yang memiliki

tanggung jawab secara penuh terhadap pengelolaan

perubahan proses bisnis, sehingga PT Solusi Integrasi

Teknologi memiliki proses bisnis yang baik dibandingkan

dengan yang sebelumnya.



hasil kerja.



proses BAI06 ke level 2. Salah satu rekomendasi yaitu dalam

mengelola perubahan, PT Solusi Integrasi direkomendasikan untuk

menyediakan sumber daya yang dapat mendukung performa dalam

mengelola perubahan dengan memberikan pelatihan terkait manage

change. Sehingga dapat memenuhi gap belum teridentifikasinya

penyediaan sumber daya terkait dengan proses pengelolaan

perubahan. Sebelum ke level selanjutnya, PT Solusi Integrasi

Teknologi diharuskan untuk memenuhi perbaikan pada level

sebelumnya.

4.7.6 Hasil Penilaian Risiko

Berdasarkan hasil penilaian risiko dengan mencari nilai likelihood

dan impact dari setiap risiko yang telah diidentifikasi sebelumnya dapat

222

diketahui nilai risk severity dari masing-masing risiko. Berikut ini adalah

risk severity beserta nilai dan level dari setiap risiko sesuai dengan tabel

4.59 yang diurutkan dari level high ke low dan digambarkan dalam

Overall Severity Map :

Tabel 4. 67 Hasil Penilaian Risiko

No. Risiko Likelihood Impact Risk

Severity


2,5 (Low) 2,5 (Low)

Low

2 Belum adanya dokumen atau

kebijakan untuk menangani

risiko

4,5

(Medium)

6,1

(High)

High

3 Pernah mengalami masalah

dalam backup data dikarenakan

mati listrik

5

(Medium)

7 (High) High


terdokumentasi dengan baik

sehingga perusahaan tidak

mengetahui risiko sebelum

pembuatan software

2,1 (Low) 2,1 (Low)

Low

5 Tidak ada prosedur pencegahan

insiden IT Continuity Plan,

Disaster Recovery Plan, IT

Security Plan

2,3 (Low) 1,8

(Low)

Low

6 Keterbatasan SDM untuk

menangani risiko

4,2

(Medium)

6 (High) High

7 Penentuan estimasi waktu

pembuatan software yang

memakai perkiraan, menjadikan

proses pengembangan bisa menjadi lebih lama diselesaikan

3,1

(Medium)

2,2

(Low)

Low

8 Pembuatan software menjadi

lama dikarenakan programer

harus mempelajari code atau bahasa pemrograman

2,8 (Low) 2,2

(Low)

Low

223

4.7.7 Mitigasi Risiko

Berikut ini saran langkah mitigasi terhadap 3 risiko level high

dengan menggunakan prinsip manajemen risiko ISO 31000:2018 :

Tabel 4. 68 Langkah Mitigasi

No. Risiko Langkah Mitigasi

1. Keterbatasan SDM untuk

menangani risiko

✓ Integrated (Terintegrasi)

Divisi IT PT. Solusi

Integrasi Teknologi

melakukan penyesuaian

dan penambahan SDM nya

terhadap aktifitas yang ada

di perusahaan sehingga

setiap SDM yang ada dapat

mengidentifikasi dan

menganalisa risiko yang

muncul.

✓ Structural and

Comprehensive

(Terstruktur dan

Komprehensif)

Dengan memanfaatkan

SDM yang terbatas, SDM

dari Divisi IT harus

memiliki wawasan yang

terstruktur dan luas terkait

risiko dan dapat menerima

dengan baik.

✓ Customized (Dapat

Menyesuaikan)

Dengan menambahkan

SDM harus memilih SDM

yang dapat menyesuaikan

diri dengan lingkungan

eksternal maupun internal.

✓ Inclusive (Inklusif)

Mengarahkan SDM agar

memiliki keterlibatan

pengetahuan dan waktu

dalam kegiatan

pengelolaan risiko. ✓ Dynamic (Dinamis)

224

SDM diarahkan untuk

dapat mengantisipasi,

mendeteksi, megakui dan

merespon terhadap

perubahan risiko didalam

perubahan kondisi

lingkungan eksternal dan

internal perusahaan.

✓ Best Available Information

(Berdasarkan pada

Informasi Terbaik yang

Tersedia)

SDM diarahkan untuk

mampu mengelola

informasi dan masukan

terbaik yang telah tersedia.

✓ Human and Cultural

Factors (Faktor Manusia

dan Budaya)

Perilaku SDM dapat

memengaruhi terhadap

seluruh aspek dalam

manajemen risiko oleh

karena itu SDM diarahkan

untuk dapat menangani

muncul nya risiko.

✓ Continual Improvement

(Perbaikan

Berkesinambungan)

Memberikan pembelajaran

kepada SDM terkait risiko

agar risiko secara

berkesinambungan dapat

diperbaiki.

2. Pernah mengalami masalah

dalam backup data

dikarenakan mati listrik


Divisi IT dapat memonitor

dan mengarahkan terkait

dengan data-data dari

keseluruhan aktifitas

perusahaan yang perlu

dilakukan backup dan

memonitor seluruh bagian

listrik yang digunakan oleh

aktifitas perusahaan.

✓ Structural and

Comprehensive

225

(Terstruktur dan

Komprehensif)

PT. Solusi Integrasi

Teknologi membuat

kebijakan terkait Force

Major (Kejadian tidak

terduga) yang terstruktur

dan dapat diterima dengan

baik oleh seluruh entitas

perusahaan.


Menyesuaikan)

Divisi IT diberikan

wewenang untuk

melakukan penyesuaian

terhadap kebijakan untuk

permasalahan yang tidak

terduga.


Keterlibatan divisi IT dan

direksi untuk

menyelesaikan atau

melakukan sinkronisasi

ulang jika terjadi kejadian

seperti mati listrik.

✓ Dynamic (Dinamis)

Pembuatan dan penerapan

kebijakan Force Major

harus dipastikan dapat

merespon dan

mengantisipasi dari adanya

perubahan.


(Berdasarkan pada


Tersedia)


Teknologi disarankan

untuk dapat mencari dan

mendapatkan informasi

terbaik untuk menangani

kejadian tidak terduga

seperti mati listrik.



dan Budaya)

226

SDM diarahkan untuk

lebih memperhatikan

penggunaan listrik dan

diberi peringatan untuk

melakukan backup sesuai

dengan prosedur.


(Perbaikan

Berkesinambungan)

Dengan membuat

kebijakan force major

yang tepat dan sesuai

dengan kondisi perusahaan

diharapkan bisa melakukan

perbaikan untuk seluruh kegiatan perusahaan.

3. Belum adanya dokumen

atau kebijakan untuk

menangani risiko



Teknologi melakukan

pembuatan kebijakan


sehingga keseluruhan

aktivitas perusahaan dapat

terintegrasi.

✓ Structural and

Comprehensive

(Terstruktur dan

Komprehensif)

Pembuatan kebijakan


diarahkan untuk disusun

secara terstruktur dan

dapat diterima dengan baik

oleh seluruh perusahaan.


Menyesuaikan)

Kebijakan penanganan

risiko diarahkan untuk

dapat menyesuaikan

kondisi lingkungan

eksternal dan internal

perusahaan.


Pemangku kepentingan


Teknologi harus memilki

227

keterlibatan waktu dan

pengetahuan dalam

pembuatan kebijakan

penanganan risiko.

✓ Dynamic (Dinamis)

Kebijakan penanganan

risiko harus bersifat

dinamis artinya dapat

menerima segala bentuk

perubahan yang ada di

perusahaan.


(Berdasarkan pada


Tersedia)

Dalam pembuatan

kebijakan penanganan

risiko diperlukan informasi

yang terbaik terkait dengan

penanganan risiko, oleh

karena itu seluruh entitas

diperusahaan diharuskan

untuk mencari informasi

yang terbaik tentang

penanganan risiko.



dan Budaya)

Sebelum penyusunan


risiko, SDM diberi

pelatihan dan pengetahuan

mengenai risiko

perusahaan.


(Perbaikan

Berkesinambungan)

Kegiatan yang ada di


risiko secara

berkesinambungan dapat

diperbaiki melalui pembelajaran.

228

BAB V

KESIMPULAN DAN SARAN

5.1 Kesimpulan

Setelah melakukan evaluasi manajemen risiko TI di PT Solusi Integrasi

Teknologi dengan menganalisis dan melakukan penilaian terhadap risiko-risiko

yang ada dengan menggunakan COBIT 5 dan Langkah mitigasi menggunakan ISO

31000:2018 maka dapat disimpulkan sebagai berikut :

1. Hasil perhitungan tingkat capability kondisi saat ini (as is) Divisi TI PT

Solusi Integrasi Teknologi dalam mengelola risiko berada pada level 2

(Managed Process) dengan nilai 2,27.Sementara tingkat capability

kondisi yang diharapkan (to be) dalam mengelola risiko TI berada pada

level 4 (Predictable Process) dengan nilai 4,18.

2. Berdasarkan penilaian risiko terdapat 3 risk issue kedalam level high

dan 5 risk issue termasuk kedalam level low.

3. Besarnya gap pada nilai capability level sebesar 1,91 untuk mencapai

capability level yang diharapkan dengan nilai capability level saat ini

(as is) sebesar 2,27 dan nilai capability level yang diharapkan (to be)

sebesar 4,18.

4. PT Solusi Integrasi Teknologi direkomendasikan untuk menerapkan

Langkah mitigasi dengan prinsip ISO 31000:2018 terkait permasalahan

backup dan keterbatasan SDM dalam menangani risiko.

229

5.2 Saran

Berdasarkan kesimpulan dan hasil evaluasi, peneliti memberikan saran yang

dapat dijadikan pertimbangan oleh perusahaan dan penelitian selanjutnya yaitu :

1. Penelitian selanjutnya disarankan untuk menggunakan metode atau

kerangka kerja lain dalam mengukur capability level dan penilaian

risiko dari penerapan manajemen risiko teknologi informasi, seperti

COSO ERM-INTEGRATED FRAMEWORK, NIST 800-30, atau

framework manajemen risiko lainnya.

2. Penelitian selanjutnya disarankan dalam menentukan domain yang akan

menjadi fokus pada penelitian dapat menggunakan domain yang

bernilai secondary (S) untuk dikaji pada penelitian tersebut.

xx

DAFTAR PUSTAKA

Agoan, T. S., Wowor, H. F., & Karouw, S. (2017). Analisa Tingkat Kematangan

Teknologi Informasi Pada Dinas Komunikasi Dan Informatika Kota Manado

Menggunakan Framework COBIT 5 Domain Evaluate, Deirect, Monitor

(EDM) dan Deliver, Service, and Support (DSS). Jurnal Teknik Informatika,

10(1).

Apriatono, N. A., Wibowo, A., Gunawan, I., Studi, P., Informatika, T., Industri, F.

T., Petra, U. K., & Surabaya, J. S. (n.d.). Analisa Risiko Proyek

Pengembangan Software Pada CV . XYZ.

Arief, M. H. (2017). Evaluasi Manajemen Risiko Teknologi Informasi

Menggunakan Kerangka Kerja COBIT 5 (Studi Kasus Pada Perum Jasa Tirta

I Malang). Universitas Brawijaya.

Audit, I. S., Association, C., & Isaca. (2012). Cobit 5: Implementation. ISACA.

Aziz, R. A., Kusrini, K., & Sudarmawan, S. (2019). Evaluasi Manajemen Risiko

Teknologi Informasi Pada Perusahaan BUMN Menggunakan Standar COBIT

5 (Studi Kasus: PT TASPEN PERSERO). IT CIDA, 4(2).

Bank, P., Bumn, U., Terdaftar, Y., Bei, D. I., Mosey, A. C., Tommy, P., Untu, V.,

Ekonomi, F., & Manajemen, J. (2018). Pengaruh Risiko Pasar Dan Risiko

Kredit Terhadap Profitabilitas Pada Bank Umum Bumn Yang Terdaftar Di Bei

Periode 2012-2016. Jurnal EMBA: Jurnal Riset Ekonomi, Manajemen, Bisnis

Dan Akuntansi, 6(3), 1338–1347. https://doi.org/10.35794/emba.v6i3.20217

BSN, B. S. N. (2016). Manajemen risiko – Teknik penilaian risiko Risk

management – Risk assessment techniques.

Budiaji, W. (2013). Skala pengukuran dan jumlah respon skala likert. Jurnal Ilmu

Pertanian Dan Perikanan, 2(2), 127–133.

Chrisdiyanto, I., Wibowo, A., & Gunawan, I. (n.d.). IT RISK ASSESSMENT DI

PERPUSTAKAAN. 3–8.

Credo, J., & Ratnawati, S. (2014). Evaluation of the governance of information

technology at Pertamina’s Central Hospital used Framework COBIT 5. 2014

International Conference on Cyber and IT Service Management (CITSM), 17–

20.

Dewi, I. K., Fitroh, F., & Ratnawati, S. (2015). Usulan manajemen risiko

berdasarkan standar sni iso/iec 27001: 2009 menggunakan indeks kami

(keamanan informasi) studi kasus: badan nasional penempatan dan

perlindungan tenaga kerja indonesia (BNP2TKI). STUDIA INFORMATIKA:

JURNAL SISTEM INFORMASI, 8(1).

Dyahaloka, A. (2016). Evaluasi Manajemen Resiko E-Procurement Menggunakan

Cobit 5 It Risk (Studi Kasus: Pt. Pertamina (Persero)). Universitas Brawijaya.

xxi

Erlika, Y., Herdiansyah, M. I., & Mirza, A. H. (2020). Analisis IT Risk

Management di Universitas Bina Darma Menggunakan ISO31000. Jurnal

Ilmiah Informatika Global, 11(1). https://doi.org/10.36982/jig.v11i1.1073

Fachrezi, M. I. (2021). Manajemen Risiko Keamanan Aset Teknologi Informasi

Menggunakan Iso 31000:2018 Diskominfo Kota Salatiga. JATISI (Jurnal

Teknik Informatika Dan Sistem Informasi), 8(2), 764–773.

https://doi.org/10.35957/jatisi.v8i2.789

Firdaus, M. K. S. (n.d.). Evaluasi manajemen risiko teknologi informasi

menggunakan framework cobit 5 (studi kasus: Pt pln P2b Jawa Bali). Fakultas

Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah ….

Habiburrahman, H. (2016). Model-Model Evaluasi dalam Sistem Informasi

Perpustakaan. JIPI (Jurnal Ilmu Perpustakaan Dan Informasi), 1(1), 92–101.

Hanief, S., & Jefriana, I. W. (2018). Framework Itil V3 Domain Service Operation

Dalam Analisis Pengelolaan Teknologi Blended Learning. J. Teknol. Inf. Dan

Komput, 4(1), 59–65.

Iin, H., Pembimbing, D., Teknologi, D. M., Keahlian, B., Teknologi, M., Bisnis, F.,

& Manajemen, D. A. N. (2017). XYZ Enterprise Project Through

Combination.

ISACA. (2012a). COBIT 5: A business framework for the governance and

management of enterprise IT. Isaca.

ISACA. (2012b). COBIT 5: Enabling processes. ISACA.

ISACA., & Lainhart, J. W. (2012). COBIT 5: A business framework for the

governance and management of enterprise IT COBIT 5. In United States of

America: ISACA (Vol. 34, Issue 1).

http://tp.revistas.csic.es/index.php/tp/article/viewArticle/432%0Ahttp://files/

399/432.html

ISACA. (2012). Enabling Processes. In Cobit 5.

ISACA. (2013). COBIT ® Process Assessment Model (PAM): Using COBIT ® 5.

Jamin, E. (2014). EVALUASI KEMAMPUAN TOLAK PELURU PADA SISWA

PUTRA SMA NEGERI 1 NURUSSALAM KABUPATEN ACEH TIMUR TAHUN PELAJARAN 2013/2014. ETD Unsyiah.

Kriswanto, A. (2011). Tinjauan Penerapan ISO Pada Biro Sistem Dan Manajemen

PT Pupuk Kujang (Persero) Cikampek.

Mahardika, K. B., Wijaya, A. F., & Cahyono, A. D. (2019a). Manajemen Risiko

Teknologi Informasi Menggunakan Iso 31000 : 2018 (Studi Kasus: Cv. Xy).

Sebatik, 23(1), 277–284. https://doi.org/10.46984/sebatik.v23i1.572

Mahardika, K. B., Wijaya, A. F., & Cahyono, A. D. (2019b). MANAJEMEN

RISIKO TEKNOLOGI INFORMASI MENGGUNAKAN ISO 31000: 2018

http://files/

http://files/

xxii

(STUDI KASUS: CV. XY). Sebatik, 23(1), 277–284.

Marbun, S. L., & Mildawati, T. (2015). IMPLEMENTASI SISTEM

MANAJEMEN MUTU ISO 9001: 2008 PADA PT METABISULPHITE

NUSANTARA. Jurnal Ilmu Dan Riset Akuntansi (JIRA), 4(1).

Maryuliana, M., Subroto, I. M. I., & Haviana, S. F. C. (2016). Sistem informasi

angket pengukuran skala kebutuhan materi pembelajaran tambahan sebagai

pendukung pengambilan keputusan di sekolah menengah atas menggunakan

skala likert. TRANSISTOR Elektro Dan Informatika, 1(1), 1–12.

MAYRIANTIKA, I. (2018). PERENCANAAN MANAJEMEN LAYANAN

TEKNOLOGI INFORMASI MENGGUNAKAN FRAMEWORK

INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY (ITIL) V3

(STUDI KASUS: DINAS KOMUNIKASI INFORMATIKA DAN STATISTIKA

PROVINSI RIAU). Universitas Islam Negeri Sultan Syarif Kasim Riau.

Megawati, A. T., Astuti, H. M., & Herdiyanti, A. (2014). Pengelolaan Risiko Aset

Teknologi Informasi Pada Perusahaan Properti Pt Xyz , Tangerang

Berdasarkan. Seminar Nasional Sistem Informasi Indonesia, September, 449–

454.

Megawati, M., & Syntia, A. (2018). EVALUASI MANAJEMEN RESIKO

TEKNOLOGI INFORMASI MENGGUNAKAN KERANGKA KERJA

COBIT 5.0. Jurnal Ilmiah Rekayasa Dan Manajemen Sistem Informasi, 4(2),

118–122.

Meiriati, T., Sukamto, A. S., & Mutiah, N. (2020). TATA KELOLA MANAJEMEN

ASET TI MENGGUNAKAN FRAMEWORK COBIT 5 DAN ITAM. 08(02).

Mewengkang, A. (2017). Pemanfaatan Capability Maturity Model Integration

(CMMI) Untuk Meningkatkan Kualitas Perangkat Lunak (Studi Kasus: Sistem

Informasi Akademik Universitas Negeri Manado).

Nurcahyo, D. (2013). Evaluasi Pelaksanaan Manajemen Risiko Teknologi

Informasi pada Kantor Arsip Daerah Kota Samarinda dengan Menggunakan

The Risk IT Framework. Jurnal Nasional Teknik Elektro Dan Teknologi

Informasi (JNTETI), 2(3), 1–4.

Nursetyawati, E., Fauzi, R., & ... (2020). Perancangan Manajemen Keamanan

Informasi Menggunakan Metode Analisis Risiko Iso 27005: 2008 Pada Dinas

Komunikasi Dan Informatika Provinsi Jawa Barat. EProceedings …, 7(2),

7338–7347.

https://openlibrarypublications.telkomuniversity.ac.id/index.php/engineering/

article/view/12773

Pramono, A., Alit, R., & Muttaqin, F. (2016). PENGUKURAN TINGKAT

KEMATANGAN LAYANAN E-PRINTS MENGGUNAKAN COBIT

FRAMEWORK 4.1”. PADA DOMAIN DELIVER AND SUPPORT (STUDI

KASUS UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN”

xxiii

JAWA TIMUR). SCAN-Jurnal Teknologi Informasi Dan Komunikasi, 11(2),

25–32.

Putri, C. U. (2017). Penilaian Risiko Proses Teknologi Informasi Berdasarkan

Kerangka Kerja Cobit 5 Pada Helpdesk Subdirektorat Layanan Teknologi Dan

Sistem Informasi Direktorat Pengembangan Teknologi Dan Sistem Informasi

(DPTSI) Institut Teknologi Sepuluh Nopember. Thesis, 241.

http://repository.its.ac.id/3110/

Putri, D. S. dan W. H. (2017). Manajemen Risiko dan Asuransi. 98.

Rahardian, R. S. (2020). Analisis Manajemen Risiko Proyek Pembangunan Suncity

Apartement Residence Sidoarjo. Untag 1945 Surabaya.

Riadi, F. T., Manuputty, A. D., & Saputra, A. (2018). EVALUASI MANAJEMEN

RISIKO KEAMANAN INFORMASI DENGAN MENGGUNAKAN

FRAMEWORK COBIT 5 SUBDOMAIN EDM03 (ENSURE RISK

OPTIMISATION). Jurnal Terapan Teknologi Informasi, 2(1), 12–21.

Riandi Fauzan *), N. B. P. (2016). Evaluasi Bahaya Kerja Menggunakan Metode

Hazard Identification Risk Assessment and Risk Control dalam Memproduksi

Rak Engine Overhoul pada CV. Mansgroup. Jurnal Publilkasi, 1–8.

Rosmini, H. (2016). Evaluasi Manajemen Risiko Pembiayaan Murabahah Pada

Bank BRI Syariah KCP Sungguminasa. universitas Islam Negeri Alauddin

Makassar.

Santoso, D. A. (2015). Pengaruh Kualitas Sistem Informasi Akuntansi Terhadap

Pengendalian Internal Berbasis Coso Dan Dampaknya Pada Pencegahan

Kecurangan (Studi Pada Pt. Kereta Api Indonesia (Persero) Bandung).

Fakultas Ekonomi Unpas.

Sensi, L. (2014). Evaluasi Manajemen Risiko Kantor Akuntan Publik (KAP) Dalam

Keputusan Penerimaan Klien Berdasarkan Pertimbangan Dari Risiko Klien,

Risiko Audit Dan Risiko Bisnis KAP. Jurnal Akuntansi Dan Keuangan

Indonesia, 3(2), 191–211.

Setiawan, H. (2010). IT Governance & Penggunaan COBIT Framework. JSI:

Jurnal Sistem Informasi (E-Journal), 2(2).

Setyaningrum, N. D. (2017). Evaluasi Manajemen Risiko Teknologi Informasi

Menggunakan Framework COBIT 5 (Studi Kasus: PT. Kimia Farma (Persero)

Tbk–Plant Watudakon). Universitas Brawijaya.

Studi, P., Informatika, T., Teknologi, F., Universitas, I., Siwalankerto, J.,

Pramudita, S., Wibowo, A., & Gunawan, I. (n.d.). Analisa Risiko Teknologi

Informasi di Divisi Produksi PT . X. 031.

Sumijan, & Purnama, P. A. W. (2020). Analisis Dan Evaluasi Tingkat Kematangan

E-Government pada Information Architecture menggunakan Framework

Cobit 5 ( Studi Kasus : Pemerintah Daerah Kota Padang ). Seminar Nasional

http://repository.its.ac.id/3110/

xxiv

Teknologi Informasi, Komunikasi Dan Industri (SNTIKI), 12(1), 1–10.

Supradono, B. (2009). Manajemen risiko keamanan informasi dengan

menggunakan metode octave (operationally critical threat, asset, and

vulnerability evaluation). Media Elektrika, 2(1), 4–8.

Surendro, K. (2009). Implementasi tata kelola teknologi informasi. Bandung:

Informatika.

Susilo, L. J. (2018). Manajemen Risiko Berbasis ISO 31000: 2018: Panduan untuk

Risk Leaders dan Risk Practitioners. Grasindo.

Syuhada, A. (2021). KAJIAN PERBANDINGAN COBIT 5 DENGAN COBIT 2019

SEBAGAI FRAMEWORK AUDIT TATA KELOLA TEKNOLOGI

INFORMASI. 6(1), 6.

Trinckes, J. (2009). Business Continuity Plans and Disaster Recovery. The

Executive MBA in Information Security, 91–111.

https://doi.org/10.1201/9781439810088.ch5

Urrohmah, D. S., & Riandadari, D. (2019). Identifikasi Bahaya dengan Metode

Hazard Identification, Risk Assessment and Risk Control (Hirarc) dalam

Upaya Memperkecil Risiko Kecelakaan Kerja di PT. PAL Indonesia. Jurnal

Pendidikan Teknik Mesin, 8(1), 34–35.

Utomo, A. P., & Mariana, N. (2011). Analisis Tata Kelola Teknologi Informasi (It

Governance) pada Bidang Akademik dengan Cobit Frame Work Studi Kasus

pada Universitas Stikubank Semarang. Dinamik, 16(2).

Weol, A. L., Wibowo, A., Dewi, L. P., & Kunci, K. (n.d.). Analisa Manajemen

Risiko Pada Perusahaan Real Estate X.

Wulansari, A. (2016). Pengembangan Model Penilaian Kematangan Citizen

Relationship Management (CiRM) Oriented E-government. Institut

Technology Sepuluh Nopember.

xxvi

LAMPIRAN

xxviii

xxix

Lampiran 2 – Kuesioner

Kuesioner Pra Penelitian

xxxi

Kuesioner ini merupakan bagian dari penelitian skripsi mahasiswa Program

Studi Sistem Informasi, Fakultas Sains dan Teknologi, UIN Syarif Hidayatullah

Jakarta, yang bertujuan untuk mendapatkan data dan pendapat Bapak/Ibu terkait

dengan manajemen risiko di PT. Solusi Integrasi Teknologi sebagai pihak yang terkait

khususnya bagian yang termasuk pada RACI Chart COBIT 5 dalam proses EDM03

(Ensure Risk Optimisation).

Kuesioner ini merupakan pengukuran Capability Level yang dikembangkan dari

COBIT 5 untuk mengetahui tingkat kapabilitas pada proses pengelolaan risiko untuk

kondisi saat ini (as is) dan kondisi yang diharapkan (to be).

Kuesioner ini mempunyai 6 (enam) pilihan jawaban. Pilihan tersebut dari a

sampai f merepresentasikan tingkat kapabilitas secara berturut-turut semakin meningkat

terhadap suatu atribut proses Ensure Risk Optimisation yang terdapat nilai 0,1,2,3,4 dan

5. Pada kolom “Jawaban”, responden dapat memilih salah satu jawaban yang dianggap

paling bisa mewakili kondisi kematangan baik yang saat ini (as is) dan kondisi

kematangan yang diiharapkan (to be), terkait dengan atribut kematangan tertentu dalam

KUESIONER

EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI PADA

DOMAIN EVALUATE, DIRECT, AND MONITOR DI PT. SOLUSI

INTEGRASI TEKNOLOGI

CAPABILITY MODEL

Nama Responden :

Jabatan :

Tanggal :

Keterangan Indikator Kapabilitas

0 = Tidak adanya implementasi proses dan gagal mencapai tujuan dari proses.

1 = Adanya implementasi proses dan mencapai tujuan dari proses tersebut.

2 = Adanya proses yang diimplementasikan dengan cara yang terkelola (direncanakan,

dimonitor dan disesuaikan) dan hasil kerjanya ditetapkan, dikontrol dan terawat.

3 = Adanya implementasi proses yang ditentukan dan mampu dalam mencapai hasil proses.

4 = Adanya proses yang diimplementasikan secara konsisten yang memiliki batasan-

batasan agar mampu meraih tujuan dari proses tersebut.

xxxii

5 = Adanya proses dan terprediksi secara terus-menerus ditingkatkan untuk memenuhi

tujuan bisnis dan tujuan proyek perusahaan.

Contoh Pengerjaan :

EDM03.01 (Mengevaluasi Manajemen Risiko)

No

Aktifitas Proses

Kondisi Saat Ini (As

Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

1

Bagaimana PT. Solusi Integrasi

Teknologi menentukan tingkat

risiko TI yang perusahaan akan

ambil untuk mencapai tujuannya.

2

Sejauh mana PT. Solusi Integrasi

Teknologi dalam mengevaluasi

dan menyetujui usulan ambang

batas risiko TI terhadap tingkat

risiko dan peluang yang dapat

diterima oleh perusahaan.

3

Sampai saat ini, sejauh mana PT.

Solusi Integrasi Teknologi dalam

menentukan tingkat keselarasan

antara strategi risiko IT dan

strategi risiko perusahaan.

4


Teknologi mengevaluasi faktor-

faktor risiko TI pada keputusan

strategi perusahaan yang tertunda

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5


Teknologi menetukan tingkat risiko TI

yang harus diambil perusahaan untuk

memenuhi tujuannya

✓

✓

xxxiii

No

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

dan memastikan bahwa

perusahaan menyadari risiko

keputusan yang dibuat.

5


Teknologi menentukan

penggunaan TI yang digunakan

sesuai subjek penilaian dan

evaluasi risiko, seperti yang

dijelaskan dalam standar

nasional dan internasional yang

relevan.

6


Teknologi mengevaluasi

aktivitas manajemen risiko untuk

memastikan kemampuan

perusahaan dalam menangani

kerugian terkait TI dan toleransi

pemimpin terkait hal tersebut.

EDM03.02 (Mengarahkan manajemen risiko)

No

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

1


Teknologi meningkatkan

kesadaran risiko TI dan

kemampuan perusahaan untuk

mengindentifikasi risiko TI,

kesempatan dan potensi bisnis.

2


Teknologi mengarahkan

integrasi antara IT Risk Strategy

and Operations dengan

keputusan strategi dan

pengoperasian risiko perusahaan.

xxxiv

No

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

3

Sampai saat ini, sejauh mana PT.

Solusi Integrasi Teknologi

mengarahkan pengembangan

dari Risk Communication Plans

sebaik dengan pengembangan

Risk Action Plans.

4


Teknologi menerapkan

mekanisme yang tepat untuk

merespon dengan cepat

perubahan risiko dan melaporkan

segera ke tingkat manajemen

secara tepat serta dukungan pada

prinsip-prinsip ekalasi (Apa yang

dilaporkan, kapan, dimana dan

bagaimana).

5

Sejauh mana tingkat risiko,

peluang, masalah dan

kekhawatiran dapat diidentifikasi

dan dilaporkan oleh siapapun

kapanpun. Dimana risiko harus

dikelola sesuai dengan kebijakan

dan prosedur yang diterbitkan

dan diperluas kepada pembuatan

keputusan yang sesuai.

6

Bagaimana tingkat identifikasi

tujuan utama, metrik tata kelola

dan proses manajemen untuk

mengawasi dan menyetujui

pendekatan, metode, teknik dan

proses dalam melaporkan

informasi pengukuran.

EDM03.03 (Mengawasi manajemen risiko)

No Aktifitas Proses Kondisi Saat Ini (As

Is)

Kondisi Yang

Diharapkan (To Be)

xxxv

0 1 2 3 4 5 0 1 2 3 4 5

1

Sejauh mana tingkat pengawasan

risiko untuk dikelola dalam batas

risiko yang diinginkan.

2

Bagaimana pemantauan tujuan

utama, metrik dari tata kelola

risiko dan proses manajemen

terhadap sasaran-sasaran,

menganalisis penyebab

penyimpangan, dan memulai

tindakan perbaikan untuk

mengatasi penyebab yang

mendasarinya.

3

Sejauh mana para stakeholders

meninjau kemajuan perusahaan

menuju tujuan yang telah

diidentifikasi.

4

Sejauh mana laporan semua

masalah terkait dengan

manajemen risiko ke dewan atau

komite eksekutif.

Tanda Tangan

(………..………)

xxxvi

KUESIONER


DOMAIN ALIGN, PLANNING AND ORGANISE DI PT. SOLUSI

INTEGRASI TEKNOLOGI

CAPABILITY MODEL

Kuesioner ini merupakan bagian dari penelitian skripsi mahasiswa Program Studi

Sistem Informasi, Fakultas Sains dan Teknologi, UIN Syarif Hidayatullah Jakarta,

yang bertujuan untuk mendapatkan data dan pendapat Bapak/Ibu terkait dengan

manajemen risiko di PT. Solusi Integrasi Teknologi sebagai pihak yang terkait khususnya

bagian yang termasuk pada RACI Chart COBIT 5 dalam proses APO12 (Manage Risk).




Kuesioner ini mempunyai 6 (enam) pilihan jawaban. Pilihan tersebut dari a sampai

f merepresentasikan tingkat kapabilitas secara berturut-turut semakin meningkat terhadap

suatu atribut proses Manage Risk yang terdapat nilai 0,1,2,3,4 dan 5. Pada kolom

“Jawaban”, responden dapat memilih salah satu jawaban yang dianggap paling bisa

mewakili kondisi kematangan baik yang saat ini (as is) dan kondisi kematangan yang

diiharapkan (to be), terkait dengan atribut kematangan tertentu dalam proses pengelolaan

data dengan memberikan tanda centang (✓) pada tempat yang tersedia.

Nama Responden :

Jabatan :

Tanggal :







4 = Adanya proses yang diimplementasikan secara konsisten yang memiliki batasan-batasan

agar mampu meraih tujuan dari proses tersebut.

xxxvii

5 = Adanya proses dan terprediksi secara terus-menerus ditingkatkan untuk memenuhi tujuan

bisnis dan tujuan proyek perusahaan.

Contoh Pengerjaan :

APO12.01 (Mengumpulkan data)

No Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

1


Teknologi membangun dan

memelihara metode untuk

pengumpulan, pengklasifikasian

dan menganalisis data terkait

risiko TI. Mengakomodasi macam

– macam kejadian, macam –

macam risiko TI dan faktor –

faktor risiko.

2


Teknologi merekam data yang

berhubungan dengan internal

perusahaan dan lingkungan luar

yang berperan dalam pengelolaan

risiko TI.

3


Teknologi mencari dan

menganalisis data histori terkait

dengan risiko TI dann kehilangan

data yang tersedia secara eksternal.

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5




memenuhi tujuannya

✓

✓

xxxviii

No Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

4


Teknologi merekam data pada

kejadian risiko yang

mempengaruhi IT benefit/value

enablement, IT programme and

project delivery dan IT operations

and service delivery. Merekam

data yang berhubungan dengan

masalah tersebut.

5


Teknologi mengatur data yang

terkumpul dan melihat faktor –

faktor yang mempengaruhi.

6


Teknologi menentukan kondisi

dimana terdapat kejadian berisiko,

frekuensi kejadian dan besarnya

kerugian yang mempengaruhi

kondisi.

7


Teknologi melakukan analisis

faktor risiko dan kejadian untuk

mengidentifikasi masalah baru dan

mendapatkan pemahaman terkait

faktor risiko internal dan eksternal.

APO12.02 (Menganalisis risiko)

No

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

1


Teknologi mendefinisikan upaya

analisis risiko yang sesuai,

mengingat semua faktor – faktor

risiko dan asset – asset berharga

dalam bisnis. Mempersiapkan

xxxix

No

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

batasan analisis risiko setelah

melakukan analisis untung rugi.

2


Teknologi membangun dan

menambah skenario risiko TI

secara teratur, termasuk skenario

dari jenis risiko yang tidak terduga

dan mengembangkan ekspektasi

untuk aktivitas pengelolaan,

kemampuan untuk mendeteksi

tanggapan lain.

3


Teknologi memperkirakan

frekuensi dan besarnya untung rugi

dengan IT risk scenarios.

Memperhitungkan semua faktor

yang mungkin, mengevaluasi

kontrol operasional yang diketahui

dan memperkirakan residual risk

levels.

4


Teknologi membandingkan

residual risk untuk dapat diterima

toleransi risiko dan

mengidentifikasi hal yang

memerlukan tindakan risiko.

5

Menganalisis untung rugi dari

kemungkinan pilihan risk response

seperti menghindari, mengurangi,

memindahkan dan mengambil.

Mengusulkan tindakan respon

yang optimal.

xl

No

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

6


Teknologi menentukan high-level

requirements untuk projek atau

program yang akan

diimplementasikan dalam

melakukan tanggapan terhadap

risiko yang terpilih.

Mengidentifikasi kebutuhan dan

ekspektasi untuk pengelola utama

yang sesuai untuk mengurangi

risiko.

7


Teknologi memvalidasi hasil

analisis risiko sebelum digunakan

untuk pengambilan keputusan,

memastikan bahwa analisis sejajar

dengan persyaratan perusahaan

dan memverifikasi perkiraan itu

benar.

APO12.03 (Mempertahankan profil risiko)

No

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

1


Teknologi mengelola inventaris

bisnis proses, termasuk sumber

daya pendukung, aplikasi,

infrastruktur, fasilitas, vendor,

suppliers serta

mendokumentasikan

ketergantungan antara manajemen

layanan TI dan sumber daya

infrastruktur TI.

xli

No

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

2


Teknologi menentukan dan

menyetujui layanan TI dan sumber

daya infrastruktur TI sangat

penting untuk menopang operasi

dari proses bisnis.

3


Teknologi mengumpulkan

skenario risiko saat ini berdasarkan

kategori, business line, dan area

fungsional.

4


Teknologi merekam semua

informasi profil risiko dan

mengkonsolidasikannya menjadi

kumpulan profil risiko.

5

Berdasarkan semua data profil

risiko, sejauh mana PT. Solusi

Integrasi Teknologi

mendefinisikan indikator dari

risiko agar dapat mengidentifikasi

secara cepat dan pengawasan pada

tren risiko saat ini.

6


Teknologi menangkap informasi

pada kejadian risiko TI yang

terwujud, untuk penyertaan pada

profil risiko TI perusahaan.

7

Menangkap informasi dari status

risk action plan ̧untuk penyertaan

dalam profil risiko TI di

perusahaan.

APO12.04 (Mengartikulasikan risiko)

xlii

No

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

1


Teknologi melaporkan hasil dari

analisis risiko kepada semua

stakeholders sesuai dengan aturan

dan format yang berguna untuk

mendukung keputusan

perusahaan.

2


Teknologi menyediakan

pengambilan keputusan dengan

memahami situasi terburuk dan

skenario paling mungkin, paparan

uji kelayakan dan reputasi penting,

pertimbangan regulasi.

3


Teknologi melaporkan profil

risiko saat ini kepada semua

stakeholders, termasuk efektifitas

dari proses manajemen risiko,

control effectiveness, gaps,

inconsistencies, redundancies,

remediation status dan pengaruh

pada profil risiko.

4


Teknologi melihat hasil penilaian

pihak ketiga, audit internal dan

ulasan jaminan mutu, dan

memetakan ke profil risiko.

Mengulas identifikasi kesenjangan

untuk menentukan kebutuhan

analisis risiko tambahan.

5

Untuk area yang memiliki risiko,

sejauh mana PT. Solusi Integrasi

Teknologi mengidentifikasi

peluang teknologi informasi yang

memungkinkan penerimaan risiko

yang lebih besar dan juga

xliii

No

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

meningkatkan pertumbuhan serta

keuntungan.

APO12.05 (Mendefinisikan portofolio tindakan manajemen risiko)

No

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

1


Teknologi memelihara inventori

dari aktivitas kontrol yang

ditempatkan untuk mengelola

risiko dan yang memperbolehkan

risiko untuk diambil sejalan

dengan risiko yang di toleransi.

Mengklasifikasi aktivitas kontrol

dan memetakan hal tersebut

kedalam risiko TI spesifikasi dan

kumpulan risiko TI.

2


Teknologi menentukan apakah

setiap entitas organisasi

mengawasi risiko dan menerima

akuntabilitas untuk beroperasi

dalam tingkatan toleransi

portofolio.

3


Teknologi mendefinisikan

keseimbangan suatu seperangkat

proposal projek yang dirancang

untuk mengurangi risiko dan

projek yang mengizinkan

kesempatan strategi perusahaan,

mempertimbangkan untung dan

xliv

No

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

rugi, pengaruh dari profil risiko

peraturan saat ini.

APO12.06 (Menanggapi risiko)

No

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

1


Teknologi menyiapkan,

memelihara, dan rencana uji coba

yang mendokumentasikan langkah

yang harus diambil ketika risiko

mempengaruhi operasi penting

atau insiden yang memberikan

dampak serius pada bisnis.

2


Teknologi mengkategorikan

insiden – insiden, dan

membandingkan ambang batas

toleransi risiko sebenarnya.

Mengkomunikasikan dampak

bisnis untuk pembuat keputusan

sebagai bagian dari laporan dan

mengupdate profil risiko.

3


Teknologi menerapkan rencana

tindakan yang sesuai untuk

meminimalisir dampak ketika

terjadi insiden risiko.

4


Teknologi memeriksa kerugian di

masa lalu dan peluang yang

terlewat dan menentukan akar

permasalahannya. Serta

xlv

No

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

mengkomunikasikan akar

permasalahan, tambahan

kebutuhan tindakan risiko dan

proses memperbaiki pembuat

keputusan yang sesuai dan

memastikan penyebabnya, respon

persyaratan dan proses perbaikan

termasuk proses tata kelola risiko.

Tanda Tangan

(………..………)

xlvi

KUESIONER


DOMAIN ALIGN, PLANNING AND ORGANISE DI PT. SOLUSI

INTEGRASI TEKNOLOGI

CAPABILITY MODEL

Kuesioner ini merupakan bagian dari penelitian skripsi mahasiswa Program Studi

Sistem Informasi, Fakultas Sains dan Teknologi, UIN Syarif Hidayatullah Jakarta,

yang bertujuan untuk mendapatkan data dan pendapat Bapak/Ibu terkait dengan


bagian yang termasuk pada RACI Chart COBIT 5 dalam proses APO13 (Manage

Security).




Kuesioner ini mempunyai 6 (enam) pilihan jawaban. Pilihan tersebut dari a sampai

f merepresentasikan tingkat kapabilitas secara berturut-turut semakin meningkat terhadap

suatu atribut proses Manage Security yang terdapat nilai 0,1,2,3,4 dan 5. Pada kolom





Nama Responden :

Jabatan :

Tanggal :







xlvii

Contoh Pengerjaan :

4 = Adanya proses yang diimplementasikan secara konsisten yang memiliki batasan-batasan

agar mampu meraih tujuan dari proses tersebut.

5 = Adanya proses dan terprediksi secara terus-menerus ditingkatkan untuk memenuhi tujuan

bisnis dan tujuan proyek perusahaan.

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5




memenuhi tujuannya

✓

✓

APO13.01 (Membangun dan memelihara sistem manajemen keamanan

informasi)

No Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

1


Teknologi dapat mendefinisikan

ruang lingkup dan batasan Sistem

Manajemen Keamanan Informasi

dalam hal karakteristik

perusahaan, organisasi, lokasi,

asset dan teknologi. Serta

menyertakan detai dan alas an

untuk pengecualian dari batasan

tersebut.

2


Teknologi mendefinisikan Sistem


sesuai dengan kebijakan

perusahaan dan selaras dengan

xlviii

No Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

perusahaan, organisasi, lokasi,

asset dan teknologinya.

3


Teknologi menyelaraskan Sistem


dengan pendekatan perusahaan

secara keseluruhan untuk

manajemen keamanan.

4


Teknologi mendapatkan otorisasi

manajemen untuk menerapkan dan

mengoperasikan atau mengubah

Sistem Manajemen Keamanan

Informasi.

5


Teknologi mempersiapkan dan

memelihara pernyataan penerapan

yang menggambarkan ruang

lingkup Sistem Manajemen

Keamanan Informasi.

6


Teknologi dapat mendefinisikan

dan mengkomunikasikan peran

dan tanggung jawab manajemen

keamanan informasi.

7


Teknologi mengkomunikasikan

pendekatan Sistem Manajaemen

Keamanan Informasi.

APO13.02 (Menentukan dan mengelola rencana perlakuan risiko keamanan

informasi)

xlix

No Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

1 Sejauh mana PT. Solusi Integrasi

Teknologi dapat merumuskan dan

memelihara rencana perlakuan

risiko keamanan informasi selaras

dengan tujuan strategis dan

arsitektur perusahaan. Memastikan

bahwa rencana tersebut dapat

mengidentifikasi praktik

manajemen dan solusi keamanan

yang tepat dan optimal, dengan

sumber daya yang terkait,

tanggung jawab, dan prioritas

untuk mengelola risiko keamanan

informasi yang teridentifikasi.


Teknologi memelihara bagian dari

inventaris arsitektur perusahaan

yang merupakan komponen solusi

untuk mengelola risiko terkait

keamanan.

3 Bagaimana PT. Solusi Integrasi

Teknologi mengembangkan

proposal untuk

mengimplementasikan rencana

perlakuan risiko keamanan

informasi, didukung oleh kasus

bisnis yang sesuai, yang meliputi

pertimbangan pendanaan dan

alokasi peran dan tanggung jawab.


Teknologi memberikan masukan

untuk desain pengembangan

praktik dan solusi manajemen

yang dipilih dari rencana

l

No Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5


informasi.


Teknologi menentukan bagaimana

mengukur keefektifan praktek

manajemen yang dipilih dan

menentukan bagaimana

pengukuran ini akan digunakan

untuk menilai keefektifan untuk

menghasilkan sebuah hasil yang

sebanding dan dapat digandakan.


Teknologi dapat

merekomendasikan pelatihan

keamanan informasi dan program

kesadaran.

7 Bagaimana PT. Solusi Integrasi

Teknologi mengintegrasikan

perencanaan, desain, implementasi

dan pemantauan prosedur

keamanan informasi dan kontrol

lain yang mampu memungkinkan

pencegahan yang cepat, deteksi

kejadian keamanan dan respon

terhadap insiden keamanan.

li

APO13.03 (Memantau dan mengulas Sistem Manajemen Keamanan

Informasi)

No

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

1


Teknologi melakukan tinjauan

rutin keefektifan sistem


termasuk memenuhi kebijakan dan

tujuan sistem manajemen

keamanan informasi, dan meninjau

praktik keamanan.

Mempertimbangkan hasil dari

pengukuran efektivitas, saran dan

umpan balik dari semua pihak

yang berkepentingan.

2


Teknologi melakukan audit sistem


internal pada interval yang

direncanakan.

3


Teknologi melakukan tinjauan

sistem manajemen keamanan

informasi secara teratur untuk

memastikan bahwa ruang lingkup

tetap memadai dan perbaikan

dalam proses sistem manajemen

keamanan informasi

teridentifikasi.

4


Teknologi memberikan masukan

untuk desain pengembangan

praktik dan solusi manajemen

yang dipilih dari rencana


informasi.

lii

No

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

5


Teknologi merekam tindakan dan

peristiwa yang dapat berdampak

pada keefektifan atau kinerja

sistem manajemen keamanan

informasi.

Tanda Tangan

(………..………)

liii

KUESIONER


DOMAIN BUILD, ACQUIRE AND IMPLEMENT DI PT. SOLUSI

INTEGRASI TEKNOLOGI

CAPABILITY MODEL

Kuesioner ini merupakan bagian dari penelitian skripsi mahasiswa Program Studi Sistem

Informasi, Fakultas Sains dan Teknologi, UIN Syarif Hidayatullah Jakarta, yang

bertujuan untuk mendapatkan data dan pendapat Bapak/Ibu terkait dengan


bagian yang termasuk pada RACI Chart COBIT 5 dalam proses BAI06 (Manage

Changes).

Kuesioner ini merupakan pengukuran Capability Level yang dikembangkan dari COBIT 5

untuk mengetahui tingkat kapabilitas pada proses pengelolaan risiko untuk kondisi saat ini

(as is) dan kondisi yang diharapkan (to be).

Kuesioner ini mempunyai 6 (enam) pilihan jawaban. Pilihan tersebut dari a sampai f

merepresentasikan tingkat kapabilitas secara berturut-turut semakin meningkat terhadap

suatu atribut proses Manage Changes yang terdapat nilai 0,1,2,3,4 dan 5. Pada kolom





Nama Responden :

Jabatan :

Tanggal :







4 = Adanya proses yang diimplementasikan secara konsisten yang memiliki batasan-

batasan agar mampu meraih tujuan dari proses tersebut.

liv

5 = Adanya proses dan terprediksi secara terus-menerus ditingkatkan untuk memenuhi

tujuan bisnis dan tujuan proyek perusahaan.

Contoh Pengerjaan :

BAI06.01 (Mengevaluasi, memprioritaskan, dan mengotorisasi permintaan

perubahan)

No

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

1


Teknologi menggunakan

permintaan perubahan formal

untuk memungkinkan pemilik

proses bisnis dan TI meminta

perubahan pada proses bisnis,

infrastruktur, sistem, atau

aplikasi. Memastikan bahwa

semua perubahan tersebut hanya

muncul melalui proses manajemen

permintaan perubahan.

2



semua perubahan yang diminta

(misalnya, proses bisnis,

infrastruktur, sistem operasi,

jaringan, sistem aplikasi,

perangkat lunak aplikasi yang

dibeli / dikemas) dan

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5




memenuhi tujuannya

✓

✓

lv

No

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

menghubungkan item konfigurasi

yang terpengaruh.

3


Teknologi memprioritaskan semua


berdasarkan persyaratan bisnis dan

teknis, sumber daya yang

diperlukan, dan hukum, peraturan,

dan kontrak alasan perubahan yang

diminta.

4


Teknologi merencanakan dan

evaluasi semua permintaan secara

terstruktur. Menyertakan analisis

dampak pada proses bisnis,

infrastruktur, sistem dan aplikasi,

Business continuity plan (BCP)

dan penyedia layanan untuk

memastikan bahwa semua

komponen yang terpengaruh telah

diidentifikasi. Mengkaji

kemungkinan merugikan

mempengaruhi lingkungan

operasional dan risiko penerapan

perubahan. Mempertimbangkan

implikasi keamanan, hukum,

kontrak dan kepatuhan dari

meminta perubahan.

Mempertimbangkan juga antar-

ketergantungan di antara

perubahan. Melibatkan pemilik

proses bisnis dalam proses

penilaian, jika sesuai.

lvi

No

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

5


Teknologi menyetujui secara

resmi setiap perubahan oleh

pemilik proses bisnis, manajer

layanan, dan pemangku

kepentingan teknis TI, yang sesuai.

Perubahan yang berisiko rendah

dan relatif sering, harus disetujui

sebelumnya sebagai perubahan

standar.

6


Teknologi merencanakan dan

jadwalkan semua perubahan yang

disetujui.

7


Teknologi mempertimbangkan

dampak penyedia layanan yang

memiliki kontrak (misalnya,

pemrosesan bisnis yang

dialihdayakan, infrastruktur,

pengembangan aplikasi, dan

dibagikan layanan) pada proses

manajemen perubahan, termasuk

integrasi proses manajemen

perubahan organisasi dengan

manajemen perubahan

proses penyedia layanan dan

dampaknya pada persyaratan

kontrak dan SLA (Service Level

Agreement).

BAI06.02 (Mengelola perubahan darurat)

lvii

No

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

1


Teknologi memastikan bahwa

prosedur terdokumentasi ada

untuk menyatakan, menilai,

memberikan persetujuan awal,

memberi otorisasi setelah

perubahan dan mencatat

perubahan darurat.

2


Teknologi memverifikasi bahwa

semua pengaturan akses darurat

untuk perubahan disahkan dengan

benar, didokumentasikan dan

dicabut setelah perubahan

diterapkan.

3


Teknologi memantau semua

perubahan darurat, dan melakukan

review pasca implementasi yang

melibatkan semua pihak terkait.

Peninjauan harus

mempertimbangkan dan memulai

tindakan korektif berdasarkan akar

permasalahan seperti masalah

dengan proses bisnis,

pengembangan dan pemeliharaan

sistem aplikasi, pengembangan

dan lingkungan pengujian,

dokumentasi dan manual, dan

integritas data.

4


Teknologi menentukan apa yang

termasuk dalam perubahan

darurat.

BAI06.03 (Melacak dan melaporkan status perubahan)

lviii

No

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

1



permintaan perubahan dalam

proses pelacakan (misal, ditolak,

disetujui tetapi belum dimulai,

disetujui dan dalam proses, dan

ditutup).

2


Teknologi menerapkan laporan

status perubahan dengan metrik

kinerja untuk memungkinkan

tinjauan manajemen dan

pemantauan status detail

perubahan dan keadaan

keseluruhan (misalnya, analisis

usia permintaan perubahan).

Pastikan bahwa laporan status

membentuk jejak audit sehingga

perubahan selanjutnya dapat

dilacak

awal untuk disposisi akhirnya.

3


Teknologi memantau perubahan

terbuka untuk memastikan bahwa

semua perubahan yang disetujui

ditutup tepat waktu, bergantung

pada prioritas.

4


Teknologi menjaga sistem

pelacakan dan pelaporan untuk

semua permintaan perubahan.

BAI06.04 (Menutup dan mendokumentasikan perubahan)

lix

No

Aktifitas Proses


Is)

Kondisi Yang

Diharapkan (To Be)

0 1 2 3 4 5 0 1 2 3 4 5

1


Teknologi menyertakan perubahan

pada dokumentasi (misalnya,

bisnis dan prosedur operasional TI,

kelangsungan bisnis dan

dokumentasi pemulihan bencana,

informasi konfigurasi,

dokumentasi aplikasi, layar

bantuan, dan materi pelatihan)

dalam prosedur manajemen

perubahan sebagai satu kesatuan

bagian dari perubahan.

2


Teknologi menentukan periode

retensi yang sesuai untuk

dokumentasi perubahan dan sistem

sebelum dan sesudah perubahan

dan dokumentasi pengguna.

3


Teknologi subjek dokumentasi ke

tingkat tinjauan yang sama dengan

perubahan aktual.

Tanda tangan

(………………)

lx

Lampiran 3 – Evidence Work Product

Dokumen KPI Operasional Nomor 007/SOP.OPS/SIT/07/21

lxi

SOP Prosedur Insiden Divisi IT Nomor 005/SOP.OPS/SIT/06/21

SOP Prosedur Keamanan SI Divisi IT Nomor 006/SOP.OPS/SIT/06/21

lxii

SOP Prosedur Pemeliharaan Rutin Divisi IT Nomor 004/SOP.OPS/SIT/06/21

SOP Prosedur Manajemen Perubahan Divisi IT Nomor 008/SOP.OPS/SIT/07/21

lxiii

List Risiko 2017-2020 Berdasarkan hasil wawancara 11 November 2020

Dokumen Risiko PT Solusi Integrasi Teknologi

lxiv

Report Work PT Solusi Integrasi Teknologi

SKRIPSI EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI ...

Documents

Transcript of SKRIPSI EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI ...