Pencapaian Proses - Process Attribute Level

4.6. Process Attribute Level

4.6.3. Pencapaian Proses

Pada subbab ini, peneliti melakukan pemeriksaan pada domain EDM03 (Ensure Risk Optimisation) dan APO12 (Manage Risk) apakah telah memenuhi persyaratan yang harus dipenuhi pada masing – masing level dengan ketentuan kategori dari hasil penilaian di tiap levelnya. Dari hasil perhitungan capability level diketahui tingkat kapabilitas pada proses EDM03 berada pada level 3 yang artinya organisasi harus memenuhi

0 1 2 3 4 5 APO12.01 APO12.02 APO12.03 APO12.04 APO12.05 APO12.06

APO12 (Manage Risk)

153

persyaratan proses atribut dari level 1 sampai level 3. Sedangkan hasil tingkat kapabilitas as is pada APO12 berada pada level 3 yang dimana organisasi harus memenuhi proses atribut dari level 1 sampai level 3.

Pada level 1 berdasarkan Praktik Umum (GPs) dan Hasil Kerja Umum (GWPs) yang ada pada COBIT 5, maka PLN P2B harus bisa menyediakan bukti – bukti atau dokumen bahwa adanya proses yang telah dilakukan pada domain EDM03 dan APO12. Sehingga hasil proses digunakan untuk mengukur seberapa jauh tujuan dari suatu proses yang telah ditentukan. Berikut tabel pencapaian proses EDM03 dan APO12 di PLN P2B untuk memenuhi process attribute dalam kapabilitas proses di level 1

Tabel 4. 24 Proses EDM03 PA 1.1 Process Performance

Work Products Deskripsi Exist Evidence

EDM03-WP1 ^{Pedoman batas toleransi} risiko

√ Risk Framework

EDM03-WP2 ^{Kebijakan Tingkat} toleransi yang disetujui

√ PER DIR Nomor 0355/DIR/2014 EDM03-WP3 Evaluasi kegiatan

manajemen risiko

√ Laporan ERM

(Enterprise Risk Management) EDM03-WP4 ^{Kebijakan manajemen}

risiko

√ PER DIR Nomor 0355/DIR/2014 EDM03-WP5 ^{Sasaran utama memantau}

manajemen risiko

√ PER DIR Nomor 0355/DIR/2014 EDM03-WP6

Proses persetujuan untuk mengukur manajemen

risiko

√ PER DIR Nomor 0355/DIR/2014 EDM03-WP7 Isu manajemen risiko √ Profil Risiko EDM03-WP8 Tindakan perbaikan

untuk manajemen risiko

√ Profil Risiko

154

Pada level 2 menurut Praktik Umum (GPs) dan Hasil Kerja Umum (GWPs) yang ada pada COBIT 5, maka PLN P2B harus memenuhi indikator yang ada dalam Performance Management dan Work Product Management. Berikut ini adalah tabel yang menjelaskan pencapaian PLN P2B untuk proses EDM03

Tabel 4. 25Proses EDM03 PA 2.1 Performance Management

No Work Products Exist Evidence

1 Identifikasi ruang lingkup dan tujuan proses optimasi risiko

√ PER DIR Nomor

0355/DIR/2014

2 Merencanakan dan

memonitoring proses optimasi risiko

√ Profil Risiko

3 Menyesuaikan kinerja proses optimasi risiko

√ Laporan ERM

(Enterprises Risk Management) 4 Mengidentifikasi tanggung

jawab proses optimasi risiko

√ Profil Risiko (RASCI Chart) 5 Mengindentifikasi dan

menyediakan sumber daya proses optimasi risiko

√ Profil Risiko

6 Mengelola antarmuka proses optimasi risiko

√ Profil Risiko

Rata – rata Skor 100%

Berdasarkan tabel Performance Management dapat diketahui terdapat 6 poin yang harus dipenuhi oleh PLN P2B. Dalam mengidentifikasi tujuan proses optimasi risiko tercantum dalam PER.DIR Nomor 0355/DIR/2014 dijelaskan tujuan dan ruang lingkup yang harus terpenuhi. Perencanaan dan monitoring proses optimasi tercantum dalam dokumen profil risiko. Dalam menyesuaikan kinerja proses optimasi risiko terdapat dalam dokumen

155

laporan ERM yang berisi tentang persetujuan langkah – langkah mitigasi yang dapat diambil. Dalam mengidentifikasi tanggung jawab proses optimasi risiko juga tercantum dalam dokumen profil risiko terkait dengan RASCI Chart, dijelaskan siapa saja yang bertanggung jawab dan memiliki kewenangan dalam proses ini. Dalam mengidentifikasi dan menyediakan sumber daya optimasi risiko telah terdokumentasi dalam dokumen profil risiko. Dalam melaporkan isu-isu apa saja terkait risiko, tercantum dalam dokumen Profil Risiko.

Tabel 4. 26 Proses EDM03 PA 2.2 Work Product Management

No Work Products Exist Evidence

1 Kriteria kualitas dan hasil kerja √ Dok. KPI (Key Performance

Indicator)

2 Menetapkan kebutuhan dari hasil kerja

√ Profil Risiko 3 Dokumentasi hasil kinerja √ Laporan ERM (Enterprises

Risk Management) 4 Evaluasi hasil kinerja √ Laporan ERM (Enterprises

Risk Management)

Rata – rata Skor 100%

Berdasarkan tabel Work Product Management dapat diketahui terdapat 4 poin yang harus dipenuhi oleh PLN P2B. Dalam menentukan kriteria kualitas dan hasil kerja tercantum dalam dokumen KPI (Key Performance Indicator). Dalam menetapkan dari hasil kerja tercantum dalam dokumen Profil Risiko. Dokumentasi dan evaluasi hasil kinerja terncantum dalam Laporan ERM.

Pada level 3 menurut Praktik Umum (GPs) dan Hasil Kerja Umum (GWPs) yang ada pada COBIT 5, maka PLN P2B harus memenuhi indikator

156

yang ada dalam Process Definition dan Process Deployment. Berikut ini adalah tabel yang menjelaskan pencapaian PLN P2B untuk proses EDM03

Tabel 4. 27 Proses EDM03 PA 3.1 Process Definition

No Work Products Exist Evidence

1 Mendefinisikan Standar dari Proses Optimasi Risiko

√ Dok. Risk Framework 2 Menetapkan urutan dari proses

Optimasi Risiko

√ Laporan ERM

3 Mengidentifikasi peran dan kompetensi

√ Profil Risiko 4 Identifikasi infrastruktur yang

dibutuhkan dan lingkungan kerja

√ Profil Risiko 5 Menetapkan metode yang sesuai

untuk optimasi risiko

√ Dok. Risk Framework

Rata – rata Skor 100%

Berdasarkan tabel Process Definition dapat diketahui terdapat 5 poin yang harus dipenuhi oleh PLN P2B. Dalam mendefinisikan Standar dari proses optimasi risiko tercantum dalam dokumen Risk Framework yang digunakan. Dalam Menetapkan urutan dari proses optimasi risiko tercantum dalam dokumen laporan ERM terkait langkah – langkah apa saja yang akan diambil. Dalam mengidentifikasi peran dan kompetensi serta mengidentifikasi infrastruktur yang dibutuhkan serta lingkungan kerja didefinisikan dalam dokumen profil risiko. Namun dalam menetapkan metode yang sesuai belum ditemukan adanya dokumen tersebut.

Tabel 4. 28 Proses EDM03 PA 3.2 Process Deployment

No Work Products Exist Evidence

1 Menjalankan sebuah proses optimasi risiko yang telah

didefinisikan

157

No Work Products Exist Evidence

2 Menugaskan dan

mengkomunikasikan peran, tanggung jawab, dan otoritas

√ Profil Risiko

3 Memastikan kompetensi dan pelatihan yang dibutuhkan

√ Dok. Key Performance

Indicator

4 Menyediakan sumber daya dan informasi untuk

mendukung performa optimasi risiko

5 Menyediakan proses infrastruktur yang layak

- -

6 Mengumpulkan dan menganalisis data

√ Profil Risiko

Rata – rata Skor 66,67%

Berdasarkan tabel Process Deployment dapat diketahui terdapat 6 poin yang harus dipenuhi oleh PLN P2B. Dalam menjalankan proses optimasi risiko, hasilnya dapat terlihat dari adanya Laporan ERM. Praktik identifikasi risiko juga dilakukan secara berkala. Penjelasan mengenai komunikasi, peran dan tanggung jawab tercantum dalam dokumen profil risiko. Dalam memastikan kompetensi yang dibutuhkan tercantum dalam Key Performance Indicator sebagai acuan dalam kinerja proses. Belum ditemukan adanya proses maupun evidence bahwa PLN P2B menyediakan sumber daya dan informasi yang akan mendukung performa serta menyediakan proses infrastruktur yang layak. Dalam mengumpulkan dan menganalisis data telah terdokumentasi dalam dokumen profil risiko. Dari semua kategori tersebut PLN P2B dikategorikan.

158

Tabel 4. 29Proses APO12 PA 1.1 Process Performance

Work Products Deskripsi Exist Evidence

APO12-WP1 Data pada lingkungan operasi yang berhubungan dengan risiko

√ Profil Risiko

APO12-WP2 Data kejadian risiko dan faktor yang mempengaruhi

√ Profil Risiko

APO12-WP3 Menampilkan isu risiko dan faktornya

√ Profil Risiko

APO12-WP4 Lingkup upaya analisis risiko - -

APO12-WP5 Skenario risiko TI √ Profil Risiko

APO12-WP6 Hasil analisis risiko √ Profil Risiko APO12-WP7 Dokumentasi skenario risiko

berdasarkan bisnis dan fungsinya

√ Profil Risiko

APO12-WP8 Kumpulan profil risiko termasuk tindakan manajemen risiko

√ Profil Risiko

APO12-WP9 Laporan ke stakeholders terkait analisis risiko dan profil risiko

√ Laporan ERM

APO12-WP10 Hasil dari penilaian risiko oleh pihak ketiga

- -

APO12-WP11 Peluang untuk menerima risiko terburuk

√ Profil Risiko

APO12-WP12 Proposal untuk mengurangi risiko

√ Profil Risiko (per Bidang) APO12-WP13 Rencana respon kejadian

terkait risiko

√ Profil Risiko

APO12-WP14 Komunikasi dampak risiko √ Profil Risiko APO12-WP15 Penyebab kejadian berisiko √ Profil Risiko

Rata – rata Skor 86,67%

Pada level 2 menurut Praktik Umum (GPs) dan Hasil Kerja Umum (GWPs) yang ada pada COBIT 5, maka PLN P2B harus memenuhi indikator

159

yang ada dalam Performance Management dan Work Product Management. Berikut ini adalah tabel yang menjelaskan pencapaian PLN P2B untuk proses APO12

Tabel 4. 30 Proses APO12 PA 2.1 Performance Management

No Work Products Exist Evidence

1 Identifikasi ruang lingkup dan tujuan proses pengelolaan

risiko

√ PER DIR Nomor

0355/DIR/2014

2 Merencanakan dan

memonitoring proses pengelolaan risiko

√ Profil Risiko

3 Menyesuaikan kinerja proses pengelolaan risiko

√ Laporan ERM

(Enterprises Risk Management) 4 Mengidentifikasi tanggung

jawab proses pengelolaan risiko

√ Profil Risiko (RASCI Chart) 5 Mengindentifikasi dan

menyediakan sumber daya proses pengelolaan risiko

√ Profil Risiko

6 Mengelola antarmuka proses pengelolaan risiko

√ Profil Risiko

Rata – rata Skor 100%

160

yang dapat diambil. Dalam mengidentifikasi tanggung jawab proses optimasi risiko juga tercantum dalam dokumen profil risiko terkait dengan RASCI Chart, dijelaskan siapa saja yang bertanggung jawab dan memiliki kewenangan dalam proses ini. Dalam mengidentifikasi dan menyediakan sumber daya optimasi risiko telah terdokumentasi dalam dokumen profil risiko. Dalam melaporkan isu isu apa saja terkait risiko, tercantum dalam dokumen Profil Risiko.

Tabel 4. 31 Proses APO12 PA 2.2 Work Product Management

No Work Products Exist Evidence

1 Kriteria kualitas dan hasil kerja √ Dok. KPI (Key Performance

Indicator)

2 Menetapkan kebutuhan dari hasil kerja

√ Profil Risiko 3 Dokumentasi hasil kinerja

optimasi risiko

√ Laporan ERM (Enterprises

Risk Management) 4 Evaluasi hasil kinerja optimasi

risiko

√ Laporan ERM (Enterprises

Risk Management)

Rata – rata Skor 100%

Pada level 3 menurut Praktik Umum (GPs) dan Hasil Kerja Umum (GWPs) yang ada pada COBIT 5, maka PLN P2B harus memenuhi indikator

161

yang ada dalam Process Definition dan Process Deployment. Berikut ini adalah tabel yang menjelaskan pencapaian PLN P2B untuk proses APO12.

Tabel 4. 32 Proses APO12 PA 3.1 Process Definition

No Work Products Exist Evidence

1 Mendefinisikan Standar dari Proses Manajemen Risiko

√ Dok. Risk Framework 2 Menetapkan urutan dari proses

Manajemen Risiko

√ Laporan ERM

3 Mengidentifikasi peran dan kompetensi

√ Profil Risiko 4 Identifikasi infrastruktur yang

dibutuhkan dan lingkungan kerja

√ Profil Risiko 5 Menetapkan metode yang sesuai

untuk Manajemen Risiko

Rata – rata Skor 80%

Tabel 4. 33 Proses APO12 PA 3.2 Process Deployment

No Work Products Exist Evidence

1 Menajalankan sebuah proses yang telah didefinisikan

162

2 Menugaskan dan

mengkomunikasikan peran, tanggung jawab, dan otoritas

√ Profil Risiko

3 Memastikan kompetensi dan pelatihan yang dibutuhkan

√ Key Performance Indicator

4 Menyediakan sumber daya dan informasi untuk

mendukung performa

- -

5 Menyediakan proses infrastruktur yang layak

- -

6 Mengumpulkan dan menganalisis data

√ Profil Risiko

Rata – rata Skor 100%

Berdasarkan tabel Process Deployment dapat diketahui terdapat 6 poin yang harus dipenuhi oleh PLN P2B. Dalam menjalankan proses optimasi risk, hasilnya dapat terlihat dari adanya Laporan ERM. Praktik identifikasi risiko juga dilakukan secara berkala. Penjelasan mengenai komunikasi, peran dan tanggung jawab tercantum dalam dokumen profil risiko. Dalam memastikan kompetensi yang dibutuhkan tercantum dalam Key Performance Indicator sebagai acuan dalam kinerja proses. Dalam menyediakan sumber daya dan informasi yang akan mendukung performa serta menyediakan proses infrastruktur yang layak tercantum dalam rencana anggaran pembiayaan tahunan. Dalam mengumpulkan dan menganalisis data telah terdokumentasi dalam dokumen profil risiko.

4.6.4. Penilaian Risiko

Penilaian risiko dilakukan dengan menggabungkan risk analysis dan risk evaluation. Risk analysis bertujuan untuk menentukan seberapa sering risiko tersebut dapat terjadi dan seberapa besar dampak yang dihasilkan oleh risiko tersebut. Risk analysis diawali dengan melakukan identifikasi risiko,

163

menentukan parameter probability, parameter impact risiko dan rating risiko. Setelah itu peneliti melakukan penilaian risiko terhadap inherent risk dan residual risk.

Sedangkan risk evaluation bertujuan untuk mengevaluasi apakah risiko-risiko tersebut dapat ditoleransi atau tidak oleh perusahaan. Risk evaluation dilakukan dengan menggambarkan hubungan antara probability (kecenderungan) dan impact (dampak) ke dalam sebuah matriks yang disebut dengan risk map. Selanjutnya dapat diketahui risko yang akan diprioritaskan untuk segera diatasi.

4.6.4.1. Menetapkan Standar Parameter Risiko

Sebelum memasuki tahap identifikasi risiko, pada tahap ini peneliti menentukan Standar Parameter yang digunakan untuk menilai risiko. Penentuan standar parameter didapatkan melalui studi literature dan hasil diskusi dengan pihak PLN P2B. Adapun standar parameter yang digunakan menggunakan parameter dari Samaptoaji (2014) yang telah disesuaikan dengan kondisi PLN P2B

Tabel 4. 34 Parameter probability (Diadopsi dari Samaptoaji, 2014)

Adapun parameter impact yang digunakan pada penelitian kali ini ditampilkan pada tabel berikut ini:

Nilai Probabiltiy Keterangan

1 ≤ 10% Sangat Jarang

2 > 10% - 30% Jarang

3 > 30% - 70% Kadang – kadang

4 > 70% - 90% Sering

164

Tabel 4. 35 Parameter impact (Diadopsi dari Samaptoaji, 2014)

Nilai Impact

Strategis Operasional Legal Reputasi

1 Sangat Kecil Tidak memiliki dampak. Tidak memiliki dampak. Tidak memiliki dampak. Tidak memiliki dampak. 2 Kecil Tertundanya implementasi rencana organisasi dalam jangka pendek (s/d 1 tahun). Namun tidak mengubah rencana strategis.

Operasional terganggu namun dapat diatasi segera dengan sumber daya yang ada. Adanya keberanian dari pihak stakeholder terhadap pelanggaran ketentuan perundang – undangan. Terbentuknya opini negatif antar kelompok kerja, sehingga berdampak hilangnya kepercayaan pada organisasi. 3 Sedang Tertundanya implementasi rencana organisasi dalam jangka pendek (> 1 tahun). Namun tidak mengubah rencana strategis.

Operasional terganggu dan tidak bisa diatasi segera dengan sumber daya yang ada, namun tidak menghentikan proses bisnis lain.

Adanya surat peringatan dari individu atau instansi yang berwenang, namun tidak menimbulkan kerugian signifikan terhadap organisasi Terbentuknya opini negatif dari pihak eksternal (pihak pelapor), sehingga berdampak hilangnya kepercayaan pada internal organisasi 4 Besar Tertundanya Implementasi rencana strategis, sehingga organisasi harus melakukan perubahan rencana strategis Operasional terganggu dan tidak bisa diatas segera dengan sumber daya yang ada, sehingga sebagian proses bisnis lainnya terhenti

Adanya tuntutan hukum dari individu dan/atau instansiyang berwenang, sehingga dapat menimbulkan kerugian signifikan terhadap organisasi, namun tidak sampai menyebabkan organisasi terhenti

Terbentuknya opini negatif yang terjadi sampai masyarakat luas dan publikasi oleh media massa, sehingga berdampak hilangnya kepercayaan pada organisasi secara keseluruhan namun tidak menyebabkan organisasi terhenti 5 Sangat Besar Tidak dapat mengimplementasikan rencana strategis sehingga organisasi gagal dalam melaksanakan peran dan fungsinya Operasional terganggu dan tidak dapat diatasi segera sehingga sebagian besar proses bisnis lainnya terhenti

Adanya tuntutan hukum dari dari individu dan/atau instansi yang berwenang terhadap keseluruhan organisasi, sehingga menimbulkan kerugian sangat besar dan dapat menyebabkan organisasi terhenti / dilarang beroprasi

Terbentuknya opini negatif yang terjadi sampai dengan masyarakat luas dan publikasi oleh media massa, sehingga berdampak hilangnya kepercayaan dan terhentinya organisasi secara keseluruhan

165

Adapun standar parameter rating yang digunakan pada penelitian kali ini ditampilkan pada dalam tabel berikut ini:

Tabel 4. 36 Standar Parameter rating (Diadopsi dari Samaptoaji, 2014)

Rentang Rating Risiko Deskripsi

14< R ≤25 Tinggi 9< R ≤14 Menengah Tinggi 3< R ≤9 Menengah 2< R ≤3 Menengah Rendah ≤2 Rendah 4.6.4.2. Identifikasi Risiko

Pada tahap ini yang dilakukan pertama oleh peneliti adalah menemukan risk issue yang terdapat di PT PLN P2B. Risk issue diperoleh dari hasil wawancara dan observasi langsung. Dari hasil tersebut ditemukan terdapat 17 risk issue yang kemudian dikelompokan berdasarkan aset dan skenario risiko yang telah didefinisikan oleh COBIT. Adapun pengelompokan risiko berdasarkan aset ditampilkan dalam tabel berikut ini:

Tabel 4. 37 Rekapitulasi risiko berdasarkan aset

Berdasarkan tabel diatas terdapat 6 buah kategori aset, 3 risk issue masuk ke dalam kategori aset aplikasi, 1 risk issue masuk ke dalam

No. Kategori Aset Jumlah Risk

Issue Persentase 1 Aplikasi 3 17.6% 2 Fasilitas 1 5,9% 3 Infrastruktur TI 5 29.4% 4 Informasi / Data 3 17.6% 5 Proses 2 11.8% 6 SDM 3 17.6% TOTAL 17 100%

166

kategori aset fasilitas, 5 risk issue masuk ke dalam kategori aset infrastruktur TI, 3 risk issue masuk ke dalam kategori aset Informasi, 2 risk issue masuk ke dalam kategori aset proses, dan 3 risk issue masuk ke dalam kategori aset SDM. Pemetaan ini dilakukan agar perusahaan mengetahui kategori aset mana yang memiliki jumlah risk issue terbesar dan memudahkan dalam penilaian risiko.

Setelah mengelompokan setiap risk issue kedalam 6 kategori aset, selanjutnya risiko tersebut dikelompokan kembali berdasarkan skenario risiko. Adapun pengelompokan berdasarkan skenario risiko ditampilkan dalam tabel berikut ini.

Tabel 4. 38 Rekapitulasi risiko berdasarkan skenario risiko

Berdasarkan tabel rekapitulasi risiko berdasarkan skenario dapat diketahui bahwa Software Implementation dan IT staff mempunyai

No. Skenario Risiko Jumlah Risk Issue

1. Ageing of Application Software 1

2. Software Implementation 2

3. Utilities Performance 1

4. Infrastructure Theft 1

5. Destruction of Infrastructure 1

6. Infrastructure (Hardware) 1

7. Ageing of Infrastructural Software 1

8. Acts of Nature 1 9. Database Integrity 1 10. Logical Trespassing 1 11. Operational IT Errors 1 12. Malware 1 13. Logical Attacks 1 14. IT Staff 2

15. IT Expertise and Skills 1

167

jumlah risk issue terbanyak dengan jumlah masing-masing 2. Sebagai contoh risk issue dari Software Implementation adalah tidak selarasnya update software dan hardware menyebabkan software tidak dapat dijalankan dan menyebabkan gangguan berjalannya operasional bisnis. 4.6.4.3. Hasil Penilaian Risiko terhadap Inherent Risk

Inherent Risk merupakan risiko yang dinilai tanpa memasukan unsur pengendalian yang telah diterapkan dalam perusahaan. Penilaian risiko terhadap inherent risk dilakukan dengan melakukan pemetaan terhadap kelompok risiko berdasarkan aset dan skenario risiko. Adapun rekapitulasi hasil penilaian risiko terhadap inherent risk yang disusun berdasarkan aset ditampilkan tabel 4.30

Tabel 4. 39 Hasil penilaian risiko terhadap inherent risk berdasarkan aset

No. Kategori Aset Nilai Risiko Dasar Rendah Menengah Rendah Menengah Menengah Tinggi Tinggi 1 Aplikasi 2 1 2 Fasilitas 1 3 Infrastruktur TI 5 4 Informasi 1 2 5 Proses 2 6 SDM 3 Total 1 13 3

Berdasarkan tabel diatas dapat diketahui bahwa hasil penilaian Inherent Risk terhadap 6 kategori aset memiliki 1 buah risiko yang termasuk dalam kategori rendah menengah rendah, 12 buah risiko yang termasuk dalam kategori menengah dan 3 buah risiko termasuk dalam kategori menengah tinggi yaitu, aset informasi dan aset aplikasi. Kedua

168

kategori aset tersebut yang nantinya mendapat perhatian khusus untuk diambil langkah pengendalian agar dapat turun ke level risiko yang dapat diterima oleh perusahaan. Selanjutnya hasil penilaian inherent risk berdasarkan aset dijadikan acuan untuk melakukan penilaian inherent risk berdasarkan skenario risiko. Berikut ini hasil penilaian risiko terhadap inherent risk berdasarkan skenario risiko.

Tabel 4. 40 Rekapitulasi hasil penilaian risiko terhadap inherent risk berdasarkan skenario risiko

No. Skenario Risiko Nilai Risiko Dasar

Rendah Menengah Rendah Menengah Menengah Tinggi Tinggi 1 Ageing of Application Software 1 2 Software Implementation 1 1 3 Utilities Performance 1 4 Infrastructure Theft 1 5 Destruction of Infrastructure 1 6 Infrastructure (Hardware) 1 7 Ageing of Infrastructural Software 1 8 Acts of Nature 1 9 Database Integrity 1 10 Logical Trespassing 1 11 Operational IT Errors 1 12 Malware 1 13 Logical Attacks 1 14 IT Staff 2

15 IT Expertise and Skills 1

Total 1 13 3

Berdasarkan tabel diatas dapat diketahui dari kelima tingkat rating penilaian tidak terdapat risiko yang tergolong dalam kategori rendah, terdapat satu buah risiko yang tergolong dalam kategori rendah, terdapat 13 buah risiko dalam kategori menengah dan 3 kategori yang tergolong menengah tinggi yaitu Software Implementation, Database

169

Integrity dan Operational IT Errors. Ketiga skenario risiko tersebut menjadi fokus utama dalam melakukan langkah pengendalian.

4.6.4.4. Hasil Penilaian Risiko terhadap Residual Risk

Berdasarkan hasil wawancara dan diskusi dengan beberapa perwakilan divisi TI-Telkom, diketahui bahwa PLN P2B telah melakukan pengendalian terhadap risiko-risiko yang ada. Pengendalian tersebut digunakan sebagai dasar untuk melakukan penilaian terhadap risiko akhir setelah dilakukan pengendalian (Residual Risk). Dimana dari hasil tersebut, risk issue yang memiliki nilai diatas batas risiko yang dapat diterima oleh perusahaan (Risk Appetite) harus di kelola kembali agar setiap risk issue tersebut dapat masuk dalam level risiko yang dapat diterima oleh perusahan. Berikut ini adalah hasil rekapitulasi penilaian risiko terhadap residual risk yang disusun berdasarkan aset.

Tabel 4. 41 Hasil peniliaian risiko terhadap residual risk berdasarkan kategori aset

No. Kategori Aset Nilai Risiko Dasar

Rendah Menengah Rendah Menengah Menengah Tinggi Tinggi 1 Aplikasi 3 2 Fasilitas 1 3 Infrastruktur TI 4 1 4 Informasi 1 2 5 Proses 2 6 SDM 1 2 Total 10 2 5

Berdasarkan tabel diatas dapat diketahui bahwa hasil penilaian residual risk terhadap 6 kategori aset memiliki 10 buah risiko yang termasuk dalam kategori rendah, 2 buah risiko yang termasuk dalam

170

kategori menengah rendah dan 5 buah risiko termasuk dalam kategori menengah. Hasil penilaian residual risk berdasarkan aset dijadikan acuan untuk melakukan penilaian residual risk berdasarkan skenario risiko.

Adapun rekapitulasi hasil penilaian risiko terhadap Residual Risk yang disusun berdasarkan skenario risiko ditampilkan dalam tabel berikut ini.

Tabel 4. 42 Hasil penilaian risk terhadap residual risk berdasarkan skenario risiko

No. Skenario Risiko Nilai Risiko Dasar

Dalam dokumen EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI MENGGUNAKAN FRAMEWORK COBIT 5 (STUDI KASUS: PT PLN P2B JAWA BALI) (Halaman 176-196)