MANAJEMEN RISIKO UNTUK PENERAPAN
CLOUD
COMPUTING
MENGGUNAKAN
FRAMEWORK
COSO ERM
DI
PT. RAJAWALI HIYOTO
TESIS
Oleh
5710111063 Sita Dewi Prahastini
PROGRAM STUDI MAGISTER SISTEM INFORMASI
UNIVERSITAS KOMPUTER INDONESIA
BANDUNG
v
DAFTAR ISI
ABSTRAK ... i
ABSTRACT ... ii
KATA PENGANTAR ... iii
DAFTAR ISI ... v
DAFTAR GAMBAR ... viii
DAFTAR TABEL ... ix
Bab I Pendahuluan ... 1
1.1 Latar Belakang ... 1
1.2 Identifikasi Masalah...4
1.3 Tujuan ... 5
1.4 Manfaat Penelitian ... 6
1.5 Batasan Masalah... 6
1.6 Sistematika Penulisan ... 7
Bab II Tinjauan Pustaka ... 8
2.1 Penelitian Terdahulu ... 8
2.1.1 Manajemen Risiko Penerapan Komputasi Awan pada UMKM…..8
2.1.2 Beberapa Kendala Penerapan Cloud Computing di Indonesia...9
vi
2.1.4 “The Benefits and Risks of Cloud Platform”………...11
2.2 Manajemen Risiko ... 12
2.3 Enterprise Risk Management (ERM) ... 15
2.3.1 Pengertian ERM ... 15
2.3.2 Elemen-elemen ERM ... 16
2.4 COSO Framework ... 17
2.4.1 Komponen COSO Framework ... 18
2.4.2 Perbandingan COSO ERM dengan ISO 31000: 2009 ... 23
2.5 Cloud Computing (Komputasi Awan) ... 23
2.5.1 Model Layanan Cloud Computing ... 25
2.5.2 Model Deployment Cloud Computing ... 26
2.5.3 Keuntungan Cloud Computing ... 29
2.6 Manufaktur ... 30
Bab III Objek dan Metodologi Penelitian ... 32
3.1 Obyek Penelitian ... 32
3.1.1 Profil Perusahaan ... 32
3.1.2 Visi dan Misi Perusahaan ... 33
3.1.3 Struktur Organisasi ... 34
3.2 Metodologi Penelitian ... 35
3.2.1 Studi Literatur ... 36
vii
3.2.4 Implementasi Model Manajemen Risiko terkait Penerapan
Cloud Computing ... 38
3.2.5 Rekomendasi Manajemen Risiko ... 40
3.3 Teknik Pengukuran Risiko ... 40
Bab IV Analisis & Perancangan Sistem ... 24
4.1 Implementasi Model COSO ERM Framework... 42
4.2 Lingkungan Internal ... 43
4.3 Penetapan Tujuan (Objective Setting) ... 51
4.4 Identifikasi Kejadian (Event Identification) ... 59
4.5 Penilaian Risiko (Risk Assesment) ... 63
4.6 Respon Risiko (Risk Response) ... 65
4.7 Aktifitas Pengendalian (Control Activities) ... 69
4.8 Informasi dan Komunikasi ... 75
4.9 Pemantauan (Monitoring) ... 76
4.10 Rekomendasi Untuk Penerapan Cloud Computing Pada PTRH ... 77
Bab V Kesimpulan dan Saran ... 81
5.1 Kesimpulan ... 81
5.2 Saran ... 82
Daftar Pustaka ... 83
Lampiran A ... xi
iii
KATA PENGANTAR
Puji serta syukur Penulis panjatkan kehadirat Allah SWT karena atas berkat, rahmat dan karunia-Nya sehingga Penulis dapat menyelesaikan Laporan Tesis yang berjudul, “Manajemen Risiko untuk Penerapan Cloud Computing menggunakan COSO Enterprise Risk Management (ERM) Framework. Pada kesempatan ini Penulis ingin mengucapkan terima kasih serta penghormatan dan penghargaan yang setinggi-tingginya kepada semua pihak yang telah membantu penyusunan laporan tugas akhir ini, khususnya kepada:
1. Bapak Dr. Yeffry Handoko Putra, MT., selaku pembimbing I yang telah memberikan waktu dan bimbingannya dalam penyelesaian tesis ini.
2. Bapak Irfan Maliki, S.T., MT., selaku pembimbing II yang juga memberikan waktu dan saran untuk menyelesaikan tesis ini.
3. Ibu Wartika, S.Kom., MT., selaku penguji sidang tesis. 4. Kakek-ku yang ada di surga, engkaulah motivasi hidupku.
5. Mamah, Bapak, Nenek, adikku Vianadia, adik ciblo Deden dan seluruh keluarga yang telah memberikan dukungan dan doa.
6. Muhammad Arya Aliefya, Thank you for being patient with my stubborn.
7. Bapak Catur Ananto selaku Senior Specialist IT Development PT. Rajawali Hiyoto.
iv
dan semangat K nya.
9. Teman-teman Join Program 4 UGM-ITB yang selalu mendukung dan mendoakan Saya.
10.Teman-teman RU Ajeng, Arini, Anggi, Isur, Lia, Nisa Tasik, Erna, Ervin, Esa, terima kasih telaeh jadi teman paling “wad” semoga cepat sembuh.
11.Mahasiswa-mahasiswi anak didik Saya yang ikut mendoakan dalam penyelesaian tesis ini.
12.Teman-teman SRKFCI, SMKAA, dan seluruh pihak yang tidak bisa Saya sebutkan satu per satu, terimakasih atas semuanya.
Penulis merasa bahwa tesis ini masih jauh dari sempurna, oleh karena itu dengan senang hati dan penuh keterbukaan, penulis mengharapkan saran dan masukan untuk perbaikan tesis ini. Atas perhatian, bantuan, doa serta bimbingannya, penulis mengucapkan terima kasih.
Bandung, Desember 2013
BAB I PENDAHULUAN
1.1Latar Belakang
Teknologi informasi (TI) merupakan perpaduan antara teknologi komputer dan telekomunikasi dengan teknologi lainnya seperti perangkat keras, perangkat lunak, database, teknologi jaringan, dan peralatan telekomunikasi lainnya. Selanjutnya, teknologi informasi dipakai dalam sistem informasi organisasi atau perusahaan untuk menyediakan informasi bagi para pemakai dalam rangka pengambilan keputusan.
PT. Rajawali Hiyoto (PTRH) merupakan perusahaan nasional manufaktur dan distribusi yang bergerak di bidang paint industry dan chemical construction yang berpusat di kawasan industri di Bandung serta sudah memiliki 40 kantor cabang di seluruh Indonesia. PTRH saat ini memiliki sistem informasi yang sudah berjalan untuk mendukung kegiatan oprasional perusahaan baik pada proses manufaktur maupun distribusi produknya. Adanya sistem informasi ini juga memungkinkan perusahaan untuk membuat basis informasi strategis yang dapat menyediakan informasi untuk mendukung strategi bersaing perusahaan. Informasi ini merupakan aset yang sangat berharga dalam meningkatkan efisiensi dan efektifitas perusahaan.
aktivitasnya sekaligus menjawab berbagai kendala dan tantangan yang dihadapi perusahaan di masa depan. Beberapa permasalahan yang kerap dihadapi bagian TI PTRH selama ini meliputi :
1. Belum ter-cover-nya kebijakan TI untuk keseluruhan proses bisnis perusahaan.
2. Belum adanya standarisasi yang menyeluruh terhadap komponen sistem informasi.
3. Penambahan jumlah user yang mengakses data dan aplikasi.
4. Umur perangkat yang semakin tua, sehingga berpengaruh pada performansi sistem TI.
Pada banyak kasus perusahaan menghadapi kendala dalam perencanaan investasi pada komponen sistem informasi yang akan digunakan. Keputusan yang tepat dalam hal ini tidak hanya bisa menekan biaya investasi tetapi dapat menaikkan produktifitas dan mengoptimalkan kinerja perusahaan. Bagaimana menetapkan sistem informasi yang optimal selalu menjadi tantangan para manajer TI terlebih pada industri dimana teknologi informasi sebagai bagian pendukung dan bukan merupakan bisnis inti (core business). Disisi lain, hadir TI baru yang lebih inovatif, dinamis, dan memiliki manfaat secara ekonomis dengan proses implementasi yang lebih cepat yaitu Cloud Computing. Cloud Computing merupakan inovasi yang memungkinkan penggunaan TI berdasarkan utilitas secara on-demand. Perkembangan Cloud Computing pada saat ini sudah merupakan bagian integral dalam perencanaan strategis sistem informasi/teknologi informasi (SI/TI) suatu organisasi/perusahaan.
Menurut Chappell (2011), keuntungan menggunakan Cloud diantaranya :
1. Lebih cepat menerapkan aplikasi baru 2. Risiko inovasi bisnis lebih rendah 3. Belanja TI lebih cerdas
4. Skala dan jangkauan global
pada perusahaan bagaimana proses komputasi awan dapat mengoptimalkan bisnis perusahaan.
Penerapan teknologi informasi yang baru juga senantiasa memunculkan beragam risiko. Perusahaan atau organisasi akan menghadapi beragam peluang dan risiko yang mungkin mempengaruhi secara positif dan negatif terhadap pencapaian tujuan mereka. Komputasi awan (cloud computing) merupakan sebuah trend teknologi yang berdampak pada keseluruhan proses bisnis perusahaan sehingga perlu adanya kajian yang matang sebelum implementasinya. Pernyataan ini diperkuat oleh Mircea dan Andreescu (2011) yang menyatakan bahwa pengambilan keputusan untuk menggunakan cloud computing perlu memperhitungkan risiko terkait implementasi solusi. Oleh karena itu, perlu ada manajemen risiko yang tepat terkait penerapan cloud computing. Berdasakan uraian diatas maka penulis mencoba membahas hal tersebut dalam penelitian dengan judul “Manajemen Risiko untuk Penerapan Cloud Computing menggunakan COSO Enterprise Risk Management (ERM) Framework di PT.
Rajawali Hiyoto”.
1.2Identifikasi Masalah
Adapun identifikasi permasalahan berdasarkan latar belakang yang telah disampaikan sebagai berikut:
2. PT Rajawali Hiyoto menghadapi beberapa permasalahan yang kerap dihadapi bagian TI, seperti peningkatan jumlah user dan peningkatan kapasitas penyimpanan data, performansi sistem informasi serta keamanan data yang akan mempengaruhi bisnis dimasa mendatang.
3. Hadir TI baru yang lebih inovatif, dinamis, dan memiliki manfaat secara ekonomis dengan proses implementasi yang lebih cepat yaitu Cloud Computing, namun penerapan teknologi informasi yang baru ini (Cloud Computing) akan menimbulkan beragam risiko yang mungkin akan terjadi dan akan berpengaruh pada proses bisnis perusahaan.
4. Penerapan teknologi Cloud Computing untuk sistem informasi di PTRH harus dikaji untuk memilih model layanan (SaaS, Paas atau IaaS) dan model deployment yang tepat sesuai dengan kebutuhan sistem di perusahaan.
1.3 Tujuan Penelitian
Tujuan penelitian ini adalah sebagai berikut:
1. Melakukan manajemen risiko terkait penerapan cloud computing menggunakan COSO Framework sebagai alat untuk menganalisis risiko terkait penerapan cloud computing tersebut.
2. Menentukan model layanan dari cloud computing yang tepat sesuai kebutuhan sistem di PTRH.
4. Membuat rekomendasi kepada perusahaan dalam penerapan cloud computing berdasarkan hasil manajemen risiko yang dilakukan.
1.4 Manfaat Penelitian
1. Membantu perusahaan terutama untuk manajer TI dalam mengambil keputusan terkait penerapan komputasi awan (cloud computing) sebagai teknologi pendukung sistem informasi di perusahaan tersebut.
2. Membantu perusahaan mempertimbangkan risiko-risiko sesuai manajemen risiko yang dihasilkan.
1.5 Batasan Masalah dan Lingkup Penelitian
Adapun batasan masalah pada penelitian ini adalah sebagai berikut:
1. Membatasi pada sistem informasi dan layanan TI untuk sistem informasi manufaktur dan email.
2. Menggunakan COSO ERM sebagai framework manajemen risiko, terdiri dari delapan komponen yang akan dilakukan untuk menerapkan model COSO ERM pada penerapan cloud computing.
1.6 Sistematika Penulisan
Berikut merupakan sistematika penulisan, yaitu: 1. BAB I Pendahuluan
Bab ini berisi mengenai latar belakang penelitian, identifikasi masalah, tujuan penelitian, manfaat penelitian, pembatasan masalah dan lingkup penelitian serta sistematika penulisan.
2. BAB II Tinjauan Pustaka
Berisi tentang penjelasan dasar ilmu yang mendukung pembahasan penelitian ini meliputi: Penelitian terdahulu, Manajemen Risiko, Enterprise Risk Management (ERM), Framework COSO ERM, Cloud Computing dan Manufaktur.
3. BAB III Objek dan Metodologi Penelitian
Berisi profil PT. Rajawali Hiyoto, visi dan misi, struktur organisasi dan metodologi yang digunakan pada penelitian.
4. BAB IV Analisa dan Pembahasan
Berisi tentang Analisa dan Pembahasan penelitian mengenai manajemen risiko dalam penerapan cloud computing sebagai teknologi baru untuk mendukung sistem informasi di PT. Rajawali Hiyoto menggunakan COSO ERM Framework.
5. BAB V Kesimpulan dan Saran
BAB II
TINJAUAN PUSTAKA
2.1 Penelitian Terdahulu
2.1.1 Manajemen Risiko Penerapan Komputasi Awan pada UMKM
Berdasakan penelitian yang dilakukan Nurmaya (2011) yang berjudul Manajemen Risiko Penerapan Komputasi Awan pada UMKM dapat disimpulkan sebagai berikut:
1. Penerapan teknologi „cloud computing‟ dengan dukungan infrastruktur jaringan dan layanan informasi dan telekomunikasi di Korea Selatan menunjukkan bahwa teknologi ini dapat memajukan Small Medium Enterprise (SME) di negara tersebut.
2. Kondisi geografis Indonesia yang dikelilingi laut dan terdiri dari pulau-pulau merupakan suatu tantangan tersendiri dalam penyediaan infrastruktur jaringan dan layanan informasi dan telekomunikasi yang baik secara merata.
4. Namun demikian, „cloud computing‟ bukanlah solusi tunggal. Keberhasilan penerapannya untuk mencapai tujuan yang disebutkan dalam makalah ini perlu didukung oleh sejumlah faktor penting yang sebagiannya dapat diidentifikasi, dianalisis, dan disusun langkah penanganannya.
Sebagai kesimpulan dari makalah “MANAJEMEN RISIKO PENERAPAN KOMPUTASI AWAN PADA UMKM” dapat disebutkan bahwa penerapan proses-proses manajemen risiko yang baik pada penerapan komputasi awan untuk UMKM merupakan kunci penting untuk mencapai keberhasilan.
2.1.2 Beberapa Kendala Penerapan Cloud Computing di Indonesia
berbagai aspek karena untuk dapat menerapkan Cloud Computing dengan berhasil, ada beberapa kondisi dan faktor keberhasilan yang harus diperhatikan.
2.1.3 Analisis Keamanan Aplikasi Penyimpanan Data Pada Sistem Cloud Computing
Analisis yang dilakukan Oktariani (2011) ini menghasilkan kesimpulan: Cloud computing merupakan model komputasi yang memiliki beragam keuntungan. Namun dibalik itu, privacy data merupakan hal penting dalam sebuah organisasi terutama pengguna Cloud Computing yang harus memperhatikan aspek proteksi data yang disediakan oleh provider. Jika provider mengalami down, data organisasi terancam hilang, tidak dapat diakses, atau dapat direcovery namun tidak utuh. Hal tersebut tentu saja dapat merugikan pihak user, karena itu saran untuk user sebelum memilih provider penyedia layanan adalah :
1. Memastikan reputasi, sejarah dan keberlanjutan provider memiliki pelayanan yang akan tersedia dan data dapat dilacak dalam jangka waktu yang lama. 2. Meyakinkan penanganan dari provider dalam menghadapi kegagalan backup
atau retrieval informasi cukup terjamin.
3. Waktu delay yang mungkin terjadi ketika pengembalian informasi setelah crash atau insiden lainnya.
5. Kinerja provider dalam melakukan backup, respon dan pemulihan insiden harus benarbenar teruji.
Namun ancaman tersebut dapat diantisipasi dengan melakukan beberapa hal seperti berikut:
1. Memastikan telah memilih provider pengada layanan cloud computing yang memiliki standardisasi keamanan, recovery data, maupun backup rutin.
2. Melakukan proses enkripsi data-data penting yang dimiliki dengan menyimpan kunci dekripsinya di luar cloud.
3. Berlangganan service antivirus cloud.
2.1.4 “The Benefits and Risks of Cloud Platform”
2.2 Manajemen Risiko
Risiko berhubungan dengan ketidakpastian ini terjadi oleh karena kurang atau tidak tersedianya cukup informasi tentang apa yang akan terjadi. Sesuatu yang tidak pasti (uncertain) dapat berakibat menguntungkan atau merugikan. menurut Wideman, ketidakpastian yang menimbulkan kemungkinan menguntungkan dikenal dengan istilah peluang (Opportunity). sedangkan ketidak pastian yang menimbulkan akibat yang merugikan dikenal dengan istilah risiko (Risk).
Risiko adalah segala sesuatu yang dapat mempengaruhi pencapaian tujuan organisasi. Australian/ NZ Standard 4360 : 1999 mendefinisikan Risk sebagai “The chance of something happening that will have or impact upon objectives” (perubahan dari sesuatuyang terjadi yang akan mempuyai pengaruh terhadap tujuan).
Kata something (sesuatu) menurut definisi risiko diatas dapat menyangkut : Komersil, legal, operasional, teknologi, karyawan, manajemen, manusia, finansial, kejadian alamiah, politik. Sedangkan kata impact (pengaruh) dapat menyangkut : aset, lingkungan, reputasi, komunitas, manusia, penghasilan, biaya, kinerja dan layanan. Dan kata objectives (tujuan) dapat menyangkut : aset, manusia, layanan, komunitas, laba, lingkungan, reputasi.
penyimpangan antara hasil sesungguhnya dengan hasil yang diharapkan, berarti semakin besar risiko yang akan ditanggung.
Dapat tidaknya risiko dialihkan kepada pihak lain, dapat dibedakan :
1. Risiko yang dapat dialihkan kepada pihak lain, dengan mempertangguhkan suatu objek yang akan terkena risiko kepada pihak asuransi.
2. Risiko yang tidak dapat dialihkan pada pihak lain.
Menurut sumber/penyebab timbulnya risiko dapat dibedakan :
1. Risiko intern yaitu risiko yang berasal dari dalam perusahaan sendiri, seperti kecelakaan kerja, kerusakan aktiva karena karyawan, miss-manajemen dan sebagainya.
2. Risiko ekstern yaitu risiko yang berasal dari luar perusahaan, seperti penipuan, persaingan, fluktuasi harga, perubahan politik.
Manajemen risiko adalah suatu pendekatan terstruktur/metodologi dalam
mengelola ketidakpastian yang berkaitan dengan ancaman, suatu rangkaian aktivitas
manusia termasuk : penilaian risiko, pengembangan strategi untuk mengelolanya dan
mitigasi risiko dengan menggunakan pemberdayaan/pengelolaan sumber daya.
Strategi yang dapat diambil antara lain adalah memindahkan risiko kepada pihak lain,
menghindari risiko, mengurangi efek negatif risiko, dan menampung sebagian atau
risiko-kebakaran, kematian, serta tuntutan hukum. Manajemen risiko keuangan, di sisi lain,
terfokus pada risiko yang dapat dikelola dengan menggunakan instrumen-instrumen
keuangan. (Sadgrove, 2005).
Manajemen Risiko dimulai dari proses identifikasi risiko, penilaian risiko,
mitigasi, monitoring dan evaluasi seperti pada Gambar 2.1:
Gambar 2.1 : Elemen Manajemen Risiko sumber: Sadgrove, 2005
Manfaat adanya manajemen risiko pada perusahaan diantaranya adalah :
1. Membantu perusahaan menghindari semaksimal mungkin biaya-biaya yang terpaksa harus dikeluarkan.
2. Membantu manajemen untuk memutuskan apakah risiko yang dihadapi perusahaan akan dihindari atau diambil.
Risiko dapat diminimalisir/ditanggulangi beberapa aktivitas :
1. Mengadakan pencegahan dan penanggulangan terhadap kemungkinan terjadinya peristiwa yang menimbulkan kerugian
2. Melakukan retensi artinya mentolerir terjadinya kerugian, dengan membiarkan terjadinya kerugian dan untuk mencegah terganggunya operasi dengan menyediakan dana untuk penanggulangannya.
3. Melakukan pengendalian terhadap risiko, seperti melakukan perdagangan berjangka
4. Mengalihkan/memindahkan risiko kepada pihak lain, yaitu dengan cara mengadakan kontrak pertangguhan (asuransi) dengan perusahaan asuransi terhadap risiko tertentu.
2.3 Enterprise Risk Management (ERM)
2.3.1 Pengertian ERM
Definisi ERM menurut COSO Enterprise Risk Management – Integrated Framework. 2004 adalah :
“suatu proses yang berpengaruh pada sebuah entitas, jajaran direksi, pihak
entitas, dan mengelola risiko yang dapat diterima, dan memberikan jaminan keamanan yang beralasan dalam rangka mencapai tujuan perusahaan”.
Prinsip yang melandasi ERM bahwa setiap entitas pada perusahaan seharusnya memberikan suatu nilai bagi stakeholder. Nilai ini sangat tergantung pada keputusan manajemen mulai dari perumusan strategi sampai dengan kegiatan operasional setiap hari.
ERM mendukung penciptaan nilai dengan memudahkan manajemen untuk :
1. Menghadapi kejadian potensial yang menciptakan ketidakpastian.
2. Memberikan respon yang tepat untuk mengurangi risiko yang dapat mempengaruhi hasil.
2.3.2 Elemen-elemen ERM
Elemen-elemen ERM meliputi :
1. Komitmen Chief Executive Officer(CEO) 2. Kebijaksanaan risiko dan misi perusahaan 3. Laporan unit bisnis, dan jajaran eksekutif
4. Pengembangan kerangka kerja (framework) risiko 5. Pengembangan bahasa risiko yang umum
6. Teknik untuk mengidentifikasi risiko
8. Keterkaitan risiko pada pihak-pihak yang sesuai dan bertanggung jawab
9. Keterkaitan risiko dengan fungsi keuangan dan pendanaan
10.Pengintegrasian indentifikasi risiko dan perkiraan risiko ke strategi organisasi
2.4 COSO Framework
Awalnya dibentuk pada tahun 1985, COSO merupakan inisiatif bersama dari lima organisasi sektor swasta dan didedikasikan untuk menyediakan panduan berpikir melalui pengembangan kerangka kerja dan pedoman manajemen risiko perusahaan (ERM), pengendalian internal, dan pencegahan risiko. Organisasi yang mendukung COSO adalah Institute Auditor Internal (IIA), American Association Akuntansi (AAA), American Institute Akuntan Publik (AICPA), Eksekutif Keuangan Internasional (FEI), dan Institut Akuntan Manajemen (IMA).
COSO mendefinisikan Enterprise Risk Management (ERM) sebagai proses yang dipengaruhi oleh unit dewan direksi, manajemen dan personil lainnya, diterapkan pada pengaturan strategi dan di seluruh perusahaan yang dirancang untuk mengidentifikasi peristiwa potensial yang dapat mempengaruhi unit/entitas, dan mengelola risiko untuk tetap berada pada risk appetite-nya, untuk memberikan keyakinan yang memadai mengenai pencapaian tujuan entitas.
samping kubus merupakan komponen entitas organisasi seperti yang terlihat pada Gambar 2.2. ERM versi COSO terdiri dari 8 komponen yang saling terkait, yaitu: Lingkungan Internal (Internal Environment), Penetapan Tujuan (Objective Setting), Identifikasi Kejadian (Event Identification), Penilaian Risiko (Risk Assessment), Respon Risiko (Risk Response), Aktivitas Pengendalian (Control Activities), Informasi dan komunikasi (Information and Communication) dan Pemantauan (Monitoring). Framework ini mendefinisikan komponen penting, penyamaan bahasa, dan memberikan arahan dan bimbingan yang jelas bagi enterprise risk management.
Gambar 2.2: Kubus Framework COSO
Sumber: (Committee of Sponsoring Organizations (COSO) of the Treadway Commission.
2012)
2.4.1 Komponen COSO framework
Terdapat delapan komponen COSO framework yaitu :
Pada tahapan ini perusahaan menetapkan : a. Strategi bisnis
b. Objektif utama dari bisnis
c. Obektif terkait yang diturunkan ke bawah organisasi dari objktif utama bisnis d. Menugaskan elemen organisasi dan pimpinan yang bertanggung jawab 2. Penetapan Tujuan (objective setting)
a. Menetapkan proses bisnis b. Menentukan risk appetite
3. Identifikasi kejadian (event identification)
a. Kejadian yang dapat memberikan pengaruh negatif yang menggambarkan risiko
b. Termasuk dalam mengidentifikasikan kejadian, baik internal maupun eksternal yang dapat mempengaruhi strategi dan pencapaian objektif
c. Menentukan bagaimana faktor internal dan eksternal bersatu dan berinteraksi mempengaruhi profil risiko
4. Penilaian risiko (assesment)
a. Memperkenankan unit untuk memahami sampai di mana kejadian potensial yang dapat berpengaruh terhadap objektif
- Likelihood (Kemungkinan terjadi) - Impact (Dampak)
c. Menilai dan mengukur risiko terkait dengan objektif
5. Respon risiko (risk response)
a. Identifikasi dan evaluasi kemungkinan respon atas risiko
b. Evaluasi pilihan terkait dengan risk appetite dari perusahaan.
c. Pilih dan lakukan respon atas evaluasi dari portofolio risiko dan respon
Dalam menentukan respon terhadap risiko terdapat empat alternatif tindakan, yaitu:
1. Menerima Risiko, adalah tindakan perusahaan untuk menerima suatu risiko dengan tidak melakukan tindakan berarti yang memerlukan sumber daya yang besar. Tindakan ini biasanya diterapkan pada risiko-risiko yang tingkat risiko keseluruhan rendah (tidak signifikan) bagi perusahaan, sehingga apabila dilakukan penanganan residual risk menimbulkan biaya yang tidak sebanding dengan keuntungannya.
diterima oleh perusahaan atau berdampak sangat tinggi bagi perusahaan, dimana penanganannya akan menimbulkan biaya yang sangat tinggi serta tidak efisien. 3. Mengurangi Risiko, adalah tindakan perusahaan dengan menggunakan semua
sumber daya yang dimilikinya berusaha untuk dapat meminimalkan risiko tanpa menghilangkan peluang perusahaan untuk meraih keuntungan (return). Tindakan ini dapat dilakukan terhadap paling tidak salah satu dari kedua faktor, yaitu:
a. Mengurangi kemungkinan terjadinya risiko, biasanya dengan melakukan proses perubahan desain dan engineering, prosedur quality assurance atau audit secara periodik.
b. Mengurangi dampak akibat terjadinya suatu risiko, biasanya diterapkan pada risiko yang berdampak tinggi dan kemungkinannya rendah, antara lain dengan membuat rencana kontinjensi atau rencana evakuasi.
4. Membagi Risiko, adalah tindakan perusahaan untuk memindahkan risiko kepada pihak ketiga yang dapat mengelola risiko antara lain melalui kesepakatan kontrak dengan cloud provider atau asuransi.
6. Aktivitas pengendalian (control activities)
risk response lain. Aktifitas pengendalian dipasangkan di seluruh organisasi, yaitu disetiap tingkatan maupun fungsi dalam organisasi. Aktifitas pengendalian dikelompokkan dalam berbagai ccara dan mencakup areal aktifitas yang mungkin bersifat preventif atau detektif, manual atau terkomputerisasi, serta di tingkatan proses atau manajemen.
7. Komunikasi dan informasi (information and communication)
a. Identifikasi manajemen, mendapatkan dan mengkomunikasikan informasi yang berhubungan dalam bentuk dan jangka waktu yang memungkinan yang bertanggungjawab menjalanakan kewajibannya.
b. Komunikasi berlangsung dalam pengertian luas, mengalir ke bawah, antar dan ke atas oraganisasi.
8. Pengawasan (Monitoring)
Efektifitas dari komponen ERM yang lain dimonitor melalui:
a. Aktivitas monitoring terus-menerus
b. Evaluasi terpisah
2.4.2 Perbandingan COSO ERM dengan ISO 31000: 2009
ISO 31000: 2009 dan COSO ERM merupakan dua rujukan praktik terbaik saat ini yang dapat digunakan dalam penerapan manajemen risiko. Dalam praktik penerapan manajemen risiko di perusahaan, penggunaan rujukan tersebut harus disesuaikan dengan kebutuhan perusahaan baik dari konteks internal maupun eksternal. Metode kuantitatif, semi kuantitatif, maupun kualitatif juga harus dipergunakan dalam mengelola risiko dan pemanfaatan peluang yang digunakan dalam rangka membantu pencapaian tujuan perusahaan.
Perbedaan mendasar antara ISO 31000:2009 dan COSO ERM:2004 adalah:
a. COSO ERM tidak memaparkan secara terpisah proses dari kerangka kerja manajemen risiko dan lebih menekankan pada pengembangan pengendalian internal perusahaan sebagai salah satu upaya perusahaan dalam memastikan risiko dapat terkelola dan masuk ke dalam area selera risiko perusahaan.
2.5 Komputasi Awan (Cloud Computing)
Menurut Peter Mell dan Timothy Grance (2012:2) definisi Cloud Computing adalah sebuah model yang memungkinkan untuk ubiquitous (Diamanapun dan kapanpun), nyaman, On demand akses jaringan ke sumber daya komputasi (contoh: jaringan, server, storage, aplikasi, dan layanan) yang dapat dengan cepat dirilis atau ditambahkan. Cloud Computing sebagai suatu layanan teknologi informasi yang dapat dimanfaatkan oleh pengguna dengan berbasis jaringan/internet. Dimana suatu sumber daya, perangkat lunak, informasi dan aplikasi disediakan untuk digunakan oleh komputer lain yang membutuhkan. Cloud computing mempunyai dua kata “Cloud” dan “Computing”. Cloud yang berarti internet itu sendiri dan Computing
adalah proses komputasi.
2.5.1 Model Layanan Cloud Computing
Tiga model layanan dijelaskan oleh NIST (Mell dan Grance, 2009) yang ditawarkan oleh cloud computing, berdasarkan kemampuan yang disediakan yaitu :
1. Cloud Software as a Service (SaaS). Kemampuan yang diberikan kepada konsumen untuk menggunakan aplikasi penyedia dapat beroperasi pada infrastruktur awan. Aplikasi dapat diakses dari berbagai perangkat klien melalui antarmuka seperti web browser (misalnya, email berbasis web). Konsumen tidak mengelola atau mengendalikan infrastruktur awan yang mendasari termasuk jaringan, server, sistem operasi, penyimpanan, atau bahkan kemampuan aplikasi individu, dengan kemungkinan pengecualian terbatas terhadap pengaturan konfigurasi aplikasi pengguna tertentu.
2. Cloud Platform as a Service (PaaS). Kemampuan yang diberikan kepada konsumen untuk menyebarkan aplikasi yang dibuat konsumen atau diperoleh ke infrastruktur komputasi awan menggunakan bahasa pemrograman dan peralatan yang didukung oleh provider. Konsumen tidak mengelola atau mengendalikan infrastruktur awan yang mendasari termasuk jaringan, server, sistem operasi, atau penyimpanan, namun memiliki kontrol atas aplikasi disebarkan dan memungkinkan aplikasi melakukan hosting konfigurasi.
sumberdaya lain yang penting, dimana konsumen dapat menyebarkan dan menjalankan perangkat lunak secara bebas , dapat mencakup sistem operasi dan aplikasi. Konsumen tidak mengelola atau mengendalikan infrastruktur awan yang mendasari tetapi memiliki kontrol atas sistem operasi, penyimpanan, aplikasi yang disebarkan, dan mungkin kontrol terbatas komponen jaringan yang pilih (misalnya, firewall host).
2.5.2 Model Deployment Cloud Computing
Menurut NIST (Mell dan Grance, 2009), ada empat deployment model dari cloud computing ini, yaitu:
1. Public Cloud
Public Cloud adalah layanan Cloud Computing yang disediakan untuk masyarakat umum. Pengguna bisa langsung mendaftar ataupun memakai layanan yang ada. Banyak layanan Public Cloud yang gratis, dan ada juga yang perlu membayar untuk bisa menikmati layanannya.
internet (koneksi) yang kita pakai. Jika koneksi internet mati, maka tidak ada layanan yang dapat diakses. Untuk itu, perlu dipikirkan secara matang infrastruktur internetnya.
2. Private Cloud
Private Cloud adalah layanan cloud computing yang disediakan untuk memenuhi kebutuhan internal dari organisasi/perusahaan. Pada kasus ini umumnya bagian IT akan berperan sebagai service provider (penyedia layanan) dan bagian atau divisi lain menjadi service consumer. Bagian IT sebagai service provider, harus bertanggung jawab agar layanan bisa berjalan dengan baik sesuai dengan standar kualitas layanan yang telah ditentukan oleh perusahaan, baik infrastruktur, platform, maupun aplikasi yang ada.
Contoh layanan Private Cloud :
a. SaaS: Web Application, Mail Server, Database Server untuk keperluan internal.
harus menyiapkan infrastrukturnya serta membutuhkan tenaga kerja untuk merawat dan menjamin layanan berjalan dengan baik
3. Hybrid Cloud
Hybrid Cloud adalah gabungan dari layanan Public Cloud dan Private Cloud yang diimplementasikan oleh suatu organisasi/perusahaan. Dalam Hybrid Cloud ini, kita bisa memilih proses bisnis mana yang bisa dipindahkan ke Public Cloud dan proses bisnis mana yang harus tetap berjalan di Private Cloud.
Keuntungan dari Hybrid Cloud adalah keamanan data terjamin karena data dapat dikelola sendiri dan lebih leluasa untuk memilih mana proses bisnis yang harus tetap berjalan di private cloud dan mana proses bisnis yang bisa dipindahkan ke public cloud dengan tetap menjamin integrasi dari keduanya. Sedangkan kerugiannya untuk aplikasi yang membutuhkan integrasi antara public cloud dan private cloud, investasi dan pengelolaan infrastruktur cloud harus dipikirkan secara matang.
4. Community Cloud
dan dioperasikan oleh satu atau lebih organisasi dari komunitas tersebut, pihak ketiga, ataupun kombinasi dari keduanya.
Keuntungan dari Community Cloud adalah bisa bekerja sama dengan organisasi lain dalam komunitas yang mempunyai kepentingan yang sama. Melakukan hal yang sama bersama-sama tentunya lebih ringan daripada melakukannya sendiri. Sedangkan kerugiannya adalah ketergantungan antar organisasi jika tiap-tiap organisasi tersebut saling berbagi sumber daya.
2.5.3 Keuntungan Cloud Computing
Ada beberapa keuntungan yang dapat dilihat dari perkembangan Cloud Computing menurut Stiawan (2012), seperti:
1. Lebih efisien karena menggunakan anggaran yang rendah untuk sumber daya. 2. Membuat lebih agility, dengan mudah dapat berorientasi pada profit dan
perkembangan yang cepat.
3. Membuat operasional dan manajemen lebih mudah, dimungkinkan karena sistem pribadi atau perusahaan yang terkoneksi dalam satu cloud dapat dimonitor dan diatur dengan mudah.
4. Menjadikan kolaborasi yang terpecaya.
2.6 Manufaktur
Manufacturing adalah satu rangkaian kegiatan yang meliputi: desain produk, pemilihan bahan, perencanaan, manufaktur (pembuatan), jaminan kualitas, manajemen, dan penjualan; yang dilakukan dalam satu perusahaan. CIRP (1983)
Manufaktur secara luas adalah proses merubah bahan baku menjadi produk yang meliputi perancangan produk, pemilihan material, tahap-tahap proses di mana produk tersebut dibuat. Manufaktur secara umum adalah suatu aktifitas yang kompleks yang melibatkan barbagai variasi sumberdaya dan aktifitas perancangan produk pembelian, pemasaran, mesin, dan perkakas manufacturing, penjualan, perancangan proses, production control, pengiriman material, support service, dan customer service.
Sistem Informasi Manufaktur adalah suatu sistem barbasis komputer yang bekerja dan hubungannya dengan sistem informasi fungsional lainnya untuk mendukung manajemen perusahaan dalam pemecahan masalah yang berhubungan dengan manufaktur produk perusahaan yang pada dasarnya tetap bertumpu pada input, proses dan output.
Manfaat dari sistem ini adalah mendukung fungsi produksi yang meliputi seluruh kegiatan yang terkait dengan perencanaan dan pengendalian proses untuk memproduksi barang atau jasa,manfaat lainnya yaitu :
1. Hasil produksi perusahaan lebih cepat dan tepat waktu.
3. Arsip lebih terstruktur karena menggunakan sistem database.
4. Sistem informasi manufaktur yang berupa fisik robotik,hasil produksi semakin cepat, tepat dan berkurangnya jumlah sisa bahan yang tidak terpakai.
BAB III
OBYEK DAN METODOLOGI PENELITIAN
3.1 Obyek Penelitian 3.1.1 Profil Perusahaan
PT. Rajawali Hiyoto (PTRH) merupakan perusahaan yang bergerak dalam bidang manufaktur dan distribusi cat. PTRH senantiasa mengadakan riset terpadu untuk menghasilkan produk cat berkualitas. Riset & pengembangan dilakukan secara berkesinambungan meliputi perbaikan formulasi cat hingga inovasi produk–produk baru yang mengikuti perkembangan teknologi. Sejumlah alat berteknologi terkini selalu digunakan di laboratorium riset dan pengembangan untuk menunjang inovasi yang terus menerus dilakukan oleh PTRH. Melalui produksi sinergi dari sejumlah tenaga ahli yang berpengalaman, tenaga kerja yang terlatih di lapangan, mesin-mesin berteknologi terkini, serta bahan baku yang berkualitas, semuanya menunjang terciptanya system produksi yang baik, terencana, stabil, efektif dan teratur sehingga menghasilkan produk-produk yang bermutu serta terjaga kualitasnya.
Selain itu, saat ini PTRH merencanakan system informasi yang baru untuk bagian-bagian tertentu yang belum memiliki system informasi dan melakukan pengawasan terhadap system-sistem yang sudah berjalan dan tetap melakukan maintenance terhadap system yang sudah ada. Perencanaan system informasi tersebut lebih ditekankan untuk pengembangan teknologi IT.
Divisi MIS (Management Information System) merupakan divisi yang bertanggung jawab penuh atas pengembangan atau pun maintenance teknologi Informasi perusahaan. Pada saat ini divisi MIS telah banyak memfasilitasi pergerakan system informasi perusahaan, dengan menciptakan perangkat lunak yang dapat digunakan untuk membantu kegiatan operasional perusahaan guna tercapai efektifitas dan efisiensi sistem informasi. Selain itu, divisi MIS telah memiliki manajemen untuk pemeliharaan teknologi informasi perusahaan.
3.1.2 Visi dan Misi Perusahaan
Adapun visi dan misi dari PTRH dari tahun 2010 - sekarang adalah : Visi :
“Menjadi perusahaan yang di kenal baik dalam industri pelapis dan supplier bahan bangunan”.
Misi :
2. Melakukan pengembangan secara berkelanjutan terhadap SDM dan proses bisnis ke arah standar kualitas tinggi
3. Meraih banyak kebahagiaan untuk semua pemangku kepentingan 4. Membangun organisasi yang terkelola dengan baik
3.1.3 Struktur Organisasi
Struktur organisasi bertujuan untuk memberikan gambaran tugas, wewenang dan tanggung jawab dari setiap unit yang ada dalam organisasi. Struktur organisasi PT. Rajawali Hiyoto Gambar 3.1:
3.2 Metodologi Penelitian
Berikut ini merupakan gambaran umum tahapan penelitian yang akan dilakukan berdasarkan kerangka penelitian pada Gambar 3.2:
Gambar 3.2 Kerangka Penelitian
Berdasarkan dalam kerangka penelitian pada Gambar 3.2, maka tahapan dalam penyusunan penelitian adalah sebagai berikut:
Mulai
Mengidentifikasi Masalah (Analisis masalah)
Mempelajari Literatur
Melakukan Studi ke Lapangan
Menghasilkan Rekomendasi Manajemen Risiko Menerapkan Model
Manajemen Risiko
Selesai
3.2.1 Mempelajari Literatur
Berkaitan dengan Teori dan Studi kepustakaan yang bertujuan untuk mengetahui konsep-konsep yang berhubungan dengan penelitian yang akan dilakukan. Dalam hal ini berkaitan dengan penerapan Cloud Computing, Manajemen Risiko, Kerangka Kerja COSO ERM dan lain-lain yang berhubungan dengan penelitian ini.
3.2.2 Melakukan studi ke lapangan
Pada tahap ini dilakukan dengan dua cara, yaitu:
a. Pengamatan langsung ke lokasi penelitian (observasi) guna melihat secara langsung hal-hal atau data-data yang berkaitan dengan materi yang dibutuhkan dalam penyusunan penelitian seperti mempelajari dokumentasi, tujuan dan struktur organisasi, business process dan kebijakan teknologi informasi yang ada. b. Wawancara atau tanya jawab dengan pegawai di perusahaan manufaktur yang
berhubungan dengan penelitian yang dalam hal ini Divisi MIS (Management Information System).
3.2.3 Menganalisis Kebutuhan
untuk meningkatkan layanan pada pelanggan maka model sistem informasi yang ada sekarang dipandang sudah tidak memadai untuk kebutuhan jangka panjang.
Beberapa kebutuhan tersebut dilatar belakangi :
a. Peningkatan jumlah user pengguna sistem informasi.
b. Peningkatan kapasitas sumber daya sistem informasi (upgrade perangkat, upgrade aplikasi, dan sebagainya).
c. Peningkatan ragam layanan informasi (email, internet, e-learning, portal, dan sebagainya).
d. Kebutuhan pengelolaan sumber daya teknologi informasi yang lebih baik. e. Penyesuaian terhadap teknologi baru.
f. Kebutuhan standarisasi teknologi informasi. g. Pengembangan (ekspansi) perusahaan.
Adanya kebutuhan tersebut membuat perusahaan harus memastikan teknologi informasi yang tersedia secara berkala perlu dievaluasi. Hasil evaluasi digunakan departemen TI untuk menjadwalkan proses upgrade perangkat sehingga senantiasa berfungsi dengan optimal. Kadang kala proses upgrade tersebut bersifat minor seperti penggantian komputer client atau bisa juga melibatkan penggantian platform secara total di sisi server maupun client sehingga memerlukan proses migrasi data.
Beberapa alasan utama migrasi data umumnya adalah sebagai berikut : a. Platform lama tidak didukung lagi oleh principal.
c. Pengembangan atau penggantian dengan sistem baru yang mengharuskan pemakaian platform lain.
d. Teknologi yang digunakan sudah kadaluwarsa. e. Meningkatkan efektifitas operasional perusahaan. f. Alasan keamanan data.
g. Pertimbangan dari sisi bisnis dimana penggantian platform dapat menghemat biaya dalam jangka waktu ke depan.
3.2.4 Menerapkan Model Manajemen Risiko terkait Penerapan Cloud Computing
Pada tahap ini akan dilakukan implementasi manajemen risiko sesuai framework yang sudah dipilih yaitu COSO ERM terkait penerapan Cloud Computing. Proses selanjutnya adalah mengevaluasi layanan sistem informasi berbasis cloud termasuk Enterprise Resource Planning (ERP), akses data maupun aplikasi pendukung lainnya.
Kemajuan teknologi dalam virtualisasi sistem, manajemen sumber daya sistem, dan internet telah menyebabkan Cloud Computing sebagai alternatif untuk memenuhi kebutuhan teknologi informasi pada perusahaan, dengan beberapa manfaat sebagai berikut :
a. Pemenuhan sumber daya teknologi secara seketika.
d. Penurunan kebutuhan akan sumber daya dan dukungn personil pada lingkungan internal.
Proses adopsi cloud computing bisa membawa perubahan besar pada perusahaan. Manajemen dapat secara efektif menggunakan kerangka kerja ERM untuk menilai dan mengelola risiko yang terkait. Framework COSO merupakan sebuah landasan yang dapat digunakan untuk membangun implementasi cloud computing. COSO ERM framework digambarkan sebagai kubus, kerangka kerja ini direpresentasikan sebagai jalur dimana setiap komponen ERM (dimulai dengan lingkungan internal) diterapkan untuk memahami keunggulan spesifik dan kekurangan calon solusi yang dapat diberikan kepada perusahaan. Pada setiap tahapan proses ini, akan muncul solusi cloud yang ideal bagi perusahaan, seperti pada Gambar 3.3 dibawah ini:
3.2.5 Menghasilkan Rekomendasi Manajemen Risiko
Langkah terakhir dari penelitian ini setelah implementasi model manajemen risiko menggunakan COSO ERM framework yaitu membuat rekomendasi-rekomendasi terkait penerapan Cloud Computing di PT. Rajawali Hiyoto.
3.3 Teknik Pengukuran Risiko
Penilaian risiko pada dasarnya mengacu pada dua faktor, yaitu: kuantitas risiko dan kualitas risiko. Kuantitas risiko terkait dengan berapa banyak nilai, atau dampak, yang rentan terhadap risiko sedangkan kualitas risiko terkait dengan kemungkinan suatu risiko muncul. Berikut perbandingan teknik pengukuran risiko antara teknik kualitatif dengan kuantitatif pada tabel 3.1 dibawah ini:
Tabel 3.1 Perbandingan Teknik Pengukuran Risiko
Teknik Keuntungan Kerugian
Kualitatif 1. Relatif lebih mudah dan cepat
2. Menyediakan lebih banyak parameter informasi dari sekedar aspek keuangan seperti prospek ancaman seperti kecepatan risiko 3. Mudah dipahami oleh
banyak kalangan
1. Dibatasi oleh skala penilaian tertentu
2. Tidak dapat membedakan tingkat risiko yang Kuantitatif 1. Mengijinkan pemakaian
perhitungan matematis untuk menilai risiko
3. Menyediakan cara yang lebih baik untuk laporan keuangan
untuk perhitungan risiko 3. Meningkatkan risiko
ketidakpastian untuk risiko abu-abu
4. Tidak diperbolehkan adanya asumsi
BAB IV
ANALISA DAN PEMBAHASAN
4.1. Implementasi Model COSO ERM Framework
Berdasarkan kubus COSO ERM Framework terdapat 8 komponen yang akan dilakukan dapat dilihat pada tabel 4.1 berikut ini:
Tabel 4.1 Implementasi Komponen COSO ERM Framework Komponen / Layer Proses
Internal Environment 1. Pemetaan Perusahaan
2. Pemetaan Teknologi Informasi Perusahaan a. Perangkat keras
b. Perangkat lunak c. Jalur komunikasi data 3. Pemetaan User
4. Sistem dan Prosedur Pendukung 5. Rekanan TI
Objective Setting Analisa kebutuhan TI
Forecast dan Perencanaan TI Event Identification Kondisi infrastruktur TI perusahaan
Kendala dan Masalah
Risk Assessment Kemungkinan dan Dampak Implementasi Cloud Computing
Pemetaan Kemungkinan vs Dampak Proses Penilaian
Risk Response Merespon risiko yang sudah dinilai Control Activities Aktifitas pengendalian dari respon risiko Information & Communication Sosialisasi dan Training
Change management
4.2. Lingkungan Internal (Internal Environment)
PTRH merupakan perusahaan yang bergerak pada bidang manufaktur dan distribusi cat. Proses manufaktur cat memproduksi beragam jenis cat yang terbagi atas water base dan oil base. Produk yang dihasilkan mencakup cat tembok, cat kayu, cat batu dan juga memproduksi bahan setengah jadi. Distribusi (pemasaran) cat meliputi seluruh wilayah Indonesia, saat ini PTRH memiliki 41 kantor cabang tersebar di seluruh Indonesia.
Infrastruktur teknologi informasi yang dimiliki PTRH dibedakan berdasarkan fungsinya terdiri dari bagian manufaktur dan distiribusi. Pada bahasan penelitian ini maka infrastruktur yang diperhitungkan hanya yang memiliki fungsi pada proses manufaktur dan aplikasi pendukungnya, dapat dilihat pada tabel 4.2:
Tabel 4.2 Sistem Informasi Manufaktur PTRH
Aplikasi Server Client
Fungsi Jumlah Fungsi Jumlah
PTRH mengadopsi sistem ERP untuk mengelola proses manufakturnya. Sistem ERP merupakan sistem informasi berorientasi akuntansi (accounting-oriented information system) untuk mengidentifikasi dan merencanakan sumber-sumber daya lingkup perusahaan yang dibutuhkan guna memenuhi pesanan-pesanan pelanggan (customer orders). Sistem ERP merupakan sistem manajemen manufaktur berorientasi pelanggan (customer oriented manufacturing management system) (APICS, 1998; Dykstra and Cornelison, 1998). ERP merupakan suatu proses perencanaan bisnis terintegrasi beserta eksekusinya guna mencapai fungsi-fungsi dari proses bisnis itu. ERP mengelola operasi dan fungsi-fungsi-fungsi-fungsi pendukung dari industri manufaktur dengan harus memperhatikan sumber-sumber daya kritis dari perusahaan.
Keistimewaan ERP dibandingkan teknologi sistem informasi lainnya terletak pada sifatnya yang terintegrasi, sehingga ERP mampu mengatasi banyak permasalahan yang dihadapi oleh perusahaan. Misalnya, manajemen material, masalah pengendalian mutu, produktivitas karyawan, pelayanan pelanggan, manajemen kas, masalah inventory, dan lain-lain. Sistem ERP memberikan kepada organisasi penggunanya suatu model pengolahan transaksi yang terintegrasi dengan aktivitas di unit lain dalam organisasi, contohnya integrasi antara produksi dengan sumber daya manusia. Dengan mengimplementasikan proses bisnis standar perusahaan dan database tunggal (single database) yang mencakup keseluruhan aktivitas dan lokasi di dalam perusahaan, ERP mampu menyediakan integrasi di antara aktivitas dan lokasi tersebut. Database yang ada dapat mengijinkan setiap departemen dalam perusahaan untuk menyimpan dan mengambil informasi secara real-time. Informasi tersebut harus dapat dipercaya, dapat diakses dan mudah disebarluaskan
Untuk menghadapi persaingan global, perusahaan manufaktur tidak cukup hanya meningkatkan produktivitas proses kerja yang ada di dalam perusahaan saja, tetapi harus meningkatkan efisiensi dan efektifitas seluruh supply chain-nya, mulai dari pemasok melalui berbagai pemrosesan sampai dengan konsumen akhir
Fungsi ERP pada perusahaan adalah :
a. Otomasisasi dan integrasi banyak proses bisnis
b. Membagi database yang umum dan praktek bisnis melalui enterprise c. Menghasilkan informasi yang real-time
d. Memungkinkan perpaduan proses transaksi dan kegiatan perencanaan
Berikut ini merupakan alur proses manufaktur pada PTRH seperti pada Gambar 4.1 berikut ini:
Jumlah user yang mengakses aplikasi manufaktur secara langsung saat ini adalah 115 user yang terdiri atas data entry, data support maupun data analyst. Berbagai kendala dan masalah yang terjadi pada infrastruktur TI dan sistem informasi perusahaan yaitu :
1. Kenaikan jumlah karyawan yang berakibat pada bertambahnya investasi TI untuk karyawan baru tersebut
2. Kenaikan jumlah pengguna sistem informasi manufaktur 3. Kenaikan kuantitas data perusahaan
4. Kenaikan beban aplikasi pada server dan jaringan data
5. Kebutuhan adanya report baru unruk pengembangan perusahaan 6. Berkurangnya performansi server
7. Belum tersedianya backup yang memadai untuk infrastruktur TI 8. Ancaman pada keamanan data perusahaan
9. Masalah pada infrastuktur pendukung : listrik, AC, bangunan, dan seterusnya Kendala dan masalah pada infrastruktur TI tersebut berimbas pada proses manufaktur secara signifikan. Beberapa akibat yang timbul sehubungan hal tersebut diantaranya :
1. Terhambatnya jadwal dan proses produksi 2. Berkurangnya persediaan produksi
6. Turunnya nama baik perusahaan di mata kustomer dan rekanan
Kebutuhan sumber daya infromasi user pada PTRH didukung pula menggunakan aplikasi email. Aplikasi email ini digunakan untuk saling bertukar berita dan data, baik secara internal (antar departemen/divisi) maupun dengan pihak luar (pemasok, kustomer, rekanan kerja). Infrastruktur email PTRH sekarang ini dapar digambarkan sebagai berikut :
1. Server fisik email ditempatkan pada provider data komunikasi sehingga proses pemeliharaan server secara fisik dan teknis dilakukan oleh provider tersebut. Pemeliharaan tersebut meliputi ketersediaan server, performansi server, penanganan virus/spam dan backup data.
2. Pengelolaan aplikasi email secara administratif dilakukan oleh divisi MIS PTRH yang meliputi pembuatan sistem dan prosedur penggunaan email, pembuatan account, manajemen user dan pengelolaan data email.
3. Saat ini terdapat sekitar 300 account email yang digunakan secara aktif. Rata-rata harian setiap user menerima 20 email sehingga lalu lintas email mencapai 6000 email/hari.
Berbagai masalah yang terjadi dengan terganggunya sistem email pada umumnya adalah :
2. Terhambatnya koordinasi operasional perusahaan akibat terlambatnya informasi yang sampai pada user.
3. Terhambatnya pasokan bahan baku dari pemasok
4. Terhambatnya pengiriman barang ke kustomer karena lemahnya koordinasi 5. Terganggunya aktivitas operasional lainnya: keterlambatan produksi,
terbuangnya waktu kerja, dan sebagainya.
Sebagai media penyimpanan data, pihak perusahaan mengaplikasikan infrastruktur NAS (Network Attach Storage) yang pemakaiannya dapat diakses oleh user menggunakan account yang dimiliki. Seperti halnya fungsi server sharing data yang lainnya maka perencanaan dan pengaturan hak akses data perlu didefinisikan dengan jelas sebelumnya. Masalah yang sering terjadi diantaranya adalah duplikasi data, kebocoran data, kapasitas data yang semakin bertambah serta serangan virus.
Infrastruktur jaringan PTRH secara internal dikelola oleh divisi MIS terutama departemen operasional untuk memastikan seluruh perangkat jaringan dan jalur komunikasi berfungsi dengan baik. Saat ini infrastruktur yang tersedia berupa perangkat pengkabelan UTP untuk jaringan lokal dalam ruangan, kabel fiber optic sebagai backbone antar ruangan serta penggunaan wireless untuk kebutuhan mobile. Saat ini PTRH juga memiliki jaringan privat WAN untuk menghubungkan jalur distribusi dengan cabang. Jaringan privat ini menyewa pada provider komunikasi data yang tercantum dalam kesepakatan perjanjian.
Selain divisi MIS sebagai penanggung jawab manajemen informasi dan infrastruktur perusahaan, PTRH dilengkapi juga dengan berbagai departemen yang bertugas untuk membuat, menganalisa serta merevisi sistem dan prosedur yang diperlukan oleh untuk lebih mengoptimalkan fungsi-fungsi kerja perusahaan. Departemen tersebut yaitu :
1. Sales and Marketing System Distribution (SMSD) di bawah divisi Marketing. 2. FAP System di bawah divisi FAP (Finance Accounting System).
3. Supply Chain Management System di bawah divisi Warehouse dan Logistic. 4. Organization and Human Development serta Change Management di bawah
divisi Human Capital.
secara maksimal maka perusahaan mengkategorikan pihak luar menurut fungsinya sebagai berikut :
1. Pemasok (supplier) yaitu pihak luar yang berfungsi sebagai penyedia barang untuk keperluan perusahaan.
2. Pelanggan (customer) yaitu pihak luar yang mengorder langsung produk yang dihasilkan perusahaan. Adapun semua pihak yang menggunakan dan akan menggunakan produk perusahaan dikategorikan sebagai market.
3. Penyedia jasa (provider) yaitu pihak luar yang menyediakan jasa untuk digunakan oleh perusahaan secara reguler. Contoh : penyedia jasa telekomunikasi, forwader transportasi dan PLN
4. Outsourcing yaitu pihak luar yang menyediakan barang/jasa yang digunakan perusahaan dalam rangka pekerjaan proyek. Contoh : event organizer
5. Industrial Relationship yaitu pihak luar yang berkaitan dengan hubungan industrial seperti bank, pemerintah, serikat buruh dan sebagainya
4.3. Penetapan Tujuan (Objective Setting)
1. Perusahaan telah memiliki infrastruktur TI baik perangkat lunak maupun perangkat keras yang memadai terutama di sisi client.
2. Aplikasi utama yang dipakai saat ini merupakan pengembangan team TI internal.
3. Telah memiliki provider jasa komunikasi data yang tetap.
4. Perusahaan telah memiliki team manajemen informasi serta departemen pendukung yang cukup lengkap.
5. Berkembangnya infrastruktur komunikasi data yang pesat di Indonesia. 6. Tumbuhnya beragam cloud provider di Indonesia.
7. Semakin tingginya adopsi perangkat teknologi informasi pada masyarakat. 8. Kebutuhan untuk memudahkan pelayanan pada pelanggan serta monitoring
tidak tergantung kepada waktu dan lokasi.
9. Meminimalisir kebutuhan perangkat terutama di sisi server.
10.Meminimalisir tersebarnya data di berbagai media sehingga sulit dikontrol. 11.Meningkatkan keamanan data dan ketersediaan data (backup).
12.Meminimalkan gangguan virus.
13.Mengalihkan sebagian tanggung jawab pengelolaan TI kepada pihak lain sehingga diharapkan tim MIS lebih fokus pada pengembangan dan analisa.
1. Menetapkan proses bisnis (aplikasi), model serta layanan apa yang seharusnya dimigrasi ke cloud sebagaimana terlihat pada gambar 4.3 di bawah :
Gambar 4.3 Kriteria Pemilihan Cloud Computing
Gambar diatas Menjelaskan bagaimana spesifik kandidat cloud solution berasal dengan memilih di antara berbagai pilihan sehubungan dengan proses bisnis, model deployment, dan model layanan.
Adapun pembagian tugas dan wewenang antara perusahaan dan cloud provider seperti pada Gambar 4.4 dibawah ini:
Gambar 4.4 Tingkat Kontrol Pada Beberapa Layanan Cloud Computing
Bagian paling kiri gambar (on-premises) menjelaskan bahwa perusahaan mempunyai kontrol penuh pada seluruh sumber daya teknologi informasinya sedangkan bagian paling kanan (SaaS) semua komponen tersebut secara teknis berada dalam tanggung jawab cloud provider, sisanya ada pembagian tugas dan wewenang antara perusahaan dengan cloud provider (PaaS dan IaaS).
daya manusia sampai pada daya saing cloud provider tersebut di masa depan. Untuk bisa menentukan cloud provider yang tepat, sebelumnya harus dipahami bagaimana pembagian tugas dan tanggung jawab dari berbagai layanan cloud itu sendiri sehingga pada saat kontrak masalah ini dapat lebih jelas.
Beberapa kriteria cloud provider yang dapat diterima oleh PTRH: a. Menyediakan layanan yang dibutuhkan oleh pihak perusahaan. b. Memiliki inftrastruktur TI yang memadai.
c. Memiliki komitmen dukungan teknis dan administrasi (SLA/Sevice Level Agreement) yang dapat diterima perusahaan.
d. Menawarkan biaya yang kompetitif.
e. Memiliki prasarana yang baik. Contoh : lokasi, gedung, dan sebagainya.
f. Memiliki legalitas dan reputasi yang baik.
g. Memiliki komitmen jangka panjang terhadap keberadaan perusahaan tersebut.
2. Menentukan Risk Appetite Perusahaan
Risk Appetite dalam pengertian luas yaitu kemampuan unit / perusahaan dalam menerima nilai risiko atau berapa banyak sebuah perusahaan mau mengambil risiko.
menganggap diri-nya berada pada suatu spektrum: kesediaan untuk mengambil atau menerima risiko dan ketidaksediaan atau keengganan untuk mengambil risiko. Lebih dalam, risk appetite sering didefinisikan sebagai jumlah risiko yang mau diambil perusahaan untuk mencapai visi atau misinya.
PTRH menetapkan Risk Appetite perusahaannya terkait penerapan cloud computing yaitu :
1. PT Rajawali Hiyoto dapat menerima risiko selama tidak menghentikan proses produksi secara online,
2. Selama budget keuangan yang diperlukan bisa diterima, dan
3. Selama tersedia sumber daya TI yang memadai seperti SDM, jaringan dan lain-lain.
Setelah melakukan beberapa kajian di atas maka diambil keputusan sebagai berikut sesuai tabel 4.3 :
Tabel 4.3 Tabel Tahapan Implementasi cloud di PTRH
Tahap I Tahap II Tahap III
Pemilihan Aset Evaluasi Risiko Pengelolaan Risiko Aplikasi e-mail
Aplikasi manufaktur
Evaluasi aset Konsultasi legal Konsultasi teknis
Model layanan : PaaS
Model deployment : Public Cloud Pemilihan Cloud provider
membawa pengembangan perangkat lunak custom ke awan. Pertimbangan memilih PaaS sebagai layanan cloud untuk implementasi cloud computing di PTRH sesuai kajian sebelumnya karena PTRH sudah memiliki aplikasi yang sudah lama digunakan, dan memungkinkan perusahaan akan membutuhkan storage (penyimpanan data) yang besar dan selalu meningkat seiring berkembangnya perusahaan (PTRH) tersebut yang dalam hal ini dipilih public cloud sebagai model deployment-nya. Dalam istilah sederhana, PaaS menyediakan pengembang (konsumen) dengan cara yang lebih mudah untuk membuat dan menyebarkan perangkat lunak pada infrastruktur awan. PaaS menyediakan antarmuka pengguna grafis (GUI), bahasa pemrograman, layanan bersama, antarmuka pemrograman aplikasi (API) dan alat-alat online lainnya untuk pengembangan aplikasi. Menggunakan PaaS dapat menghemat biaya pengembangan perangkat lunak perusahaan terutama dalam hal pembelian platform serta lisensi aplikasi.
Beberapa keuntungan menggunakan model layanan PaaS adalah :
1. Biaya yang lebih rendah karena pelanggan tidak perlu mengeluarkan biaya awal yang besar untuk investasinya.
2. Jangka waktu implementasi aplikasi yang lebih cepat.
3. Risiko yang lebih rendah, karena PaaS biasanya menggunakan plaform aplikasi yang sudah teruji bertahun-tahun serta didukung banyak komunitas pengembang aplikasi.
4.4. Identifikasi Kejadian (Event Identification)
Proses pengelolaan risiko dapat digambarkan seperti bagan berikut ini Gambar 4.5:
Gambar 4.5 Proses Pengelolaan Risiko
Proses di atas terdiri atas 3 bagian utama, yaitu establishing context, risk assessment dan risk treatment, ketiga bagian utama tersebut masing-masing di-monitor dan di-review, serta dikomunikasikan dan dikonsultasikan dengan seluruh stakeholder yang terlibat. Proses penentuan konteks (establishing context) ini mempertimbangkan faktor eksternal dan faktor internal yang akan mempengaruhi jalannya operasional perusahaan.
risiko, penyebab dan juga dampak yang mungkin ditimbulkan risiko tersebut. Selanjutnya, setelah semua risiko diidentifikasi, dilakukan proses penilaian terhadap masing-masing risiko untuk mengetahui kategori dari masing-masing risiko.
Proses identifikasi kejadian ini dilakukan dengan pendekatan diskusi dan wawancara serta mengkaji dari beberapa penelitian-penelitian terdahulu terkait risiko-risiko yang mungkin terjadi dalam penerapan cloud computing dengan menitikberatkan pada model PaaS yang menghasilkan daftar lengkap risiko yang dituangkan dalam tabel 4.4 dan tabel 4.5 dibawah ini:
Tabel 4.4. Tabel Risiko Cloud Computing PaaS Terkait Cloud Provider Aspek Legalitas Memiliki badan hukum yang resmi
Memiliki ijin usaha sebagai cloud provider di Indonesia
Mempunyai afiliasi dengan perusahaan telekomunikasi yang mapan
Mempunyai afiliasi dengan perusahaan TI yang terpercaya berkaitan lisensi platform cloud computing yang dijalankan
1 2 3 4
Aspek Keuangan Mempunyai infrastruktur yang memadai untuk menyelenggarakan usaha cloud computing (tempat dan sarana usaha)
Memiliki keuangan yang sehat untuk menjalankan usaha cloud computing Memiliki jaminan keberlangsungan usaha dalam jangka waktu yang lama (minimal 10 tahun)
Memberikan tawaran harga yang kompetitif untuk produk dan layanan cloud yang diberikan Memberikan kemudahan dalam transaksi keuangan untuk layanan cloud yang diberikan
5
6 7
8 9 Aspek Teknologi Menguasai teknologi cloud computing untuk
PaaS
Memiliki sumber daya TI (server, storage, jaringan,dsb) yang memadai untuk cloud
computing PaaS bagi para pelanggan
Didukung oleh perusahaan prinsipal IT yang terpercaya (IBM, HP, Oracle, Vmware, dsb) Menyediakan platform cloud yang dibutuhkan oleh PTRH
Memiliki komitmen yang tinggi dan menjamin ketersediaan layanan cloud yang diberikan Memiliki komitmen yang tinggi dan
kemampuan teknis memadai untuk menangani keamanan data
Memiliki kemampuan untuk menjaga performansi sistem cloud yang dijalankan
12 13 14 15
16 Aspek Operasional Memiliki SOP untuk menjalankan cloud
computing PaaS
Memiliki SLA yang kompetitif untuk melayani pelanggan cloud
Sumber daya cloud mudah diakses dan digunakan
Memiliki sistem backup dan recovery Memiliki sistem pelaporan dan dokumentasi yang baik bagi pelanggan
Sistem penanganan komplain yang profesional 17 atas karena menyadari bahwa menerapkan cloud computing sendiri adalah mengalihkan sebagian tanggung jawab pengelolaan TI perusahaan kepada pihak luar (cloud provider). Tulang punggung infrastruktur TI terbesar di Indonesia sampai saat ini mayoritas sahamnya masih dipegang oleh perusahaan milik pemerintah maupun modal asing yang tentunya sensitif terhadap kondisi perkembangan dunia.
lebih cepat, mudah dan murah ditandai dengan maraknya pemakaian perangkat pintar yang mereka gunakan. Untuk itu perusahaan memikirkan kemungkinan bagaimana seharusnya konsumen, pemasok serta rekanan dapat lebih mudah berhubungan dengan perusahaan dengan tingkat keamanan yang terjaga.
Tabel 4.5. Tabel Risiko Cloud Computing PaaS Terhadap PTRH Aspek Manajemen Aspek Keuangan CAPEX (Capital Expenditure) :
Biaya yang dibutuhkan untuk migrasi ke cloud OPEX (Operational Expenditure) :
Biaya yang dikeluarkan secara rutin untuk sumber daya cloud yang dipakai
26
27 Aspek Sumber Daya
Manusia
Penyiapan SDM yang dibutuhkan untuk
implementasi dan operasional cloud computing PaaS pada perusahaan
28
Aspek Teknologi Ketersediaan sumber daya TI perusahaan Kemudahan akses aplikasi cloud menggunakan beragam media (PC, tablet, hp)
Keamanan data user
29 30 31 Aspek Operasional Proses operasional manufaktur
Proses komunikasi dengan pemasok (suplier) Proses komunikasi dengan pelanggan
(kustomer)
4.5. Penilaian Risiko (Risk Assessment)
Setelah melakukan identifikasi risiko adalah mengolah data yang diperoleh untuk mendapatkan profil risiko dengan melakukan penilaian terhadap eksposur risiko tersebut. Tujuan penilaian risiko adalah untuk mendapatkan daftar risiko yang telah dinilai berdasarkan tingkat dampak dan kemungkinan terjadinya. Hasil penilaian risiko tersebut kemudian dipetakan untuk mengetahui risiko-risiko utama yang harus menjadi prioritas untuk ditangani.
Cara yang paling umum untuk memprioritaskan risiko adalah dengan menunjuk tingkat risiko untuk setiap area grafik seperti sangat tinggi (very high), tinggi (high), sedang (medium) , atau rendah (low), dimana semakin tinggi dampak (Impact) gabungan dan peringkat kemungkinan (likelihood), semakin tinggi tingkat risiko secara keseluruhan. Entitas risiko ditetapkan sebagai skala dampak (impact) dan kemungkinan (likelihood) dari risiko (risk) seperti pada tabel A.1 dan tabel A.2 pada lampiran A. Dari kedua dimensi tersebut kemudian dibuat suatu matriks dampak dan kemungkinan, seperti terlihat pada tabel A.3 pada lampiran A, dimana matrik tersebut kemudian dibagi ke dalam lima kuadran sesuai dengan tingkat keutamaan atau skala prioritas penanganan dari risiko.
Kemungkinan dan Dampak Risiko Terhadap PTRH / Internal) pada Lampiran B, ditunjukkan pada tabel 4.6 dibawah ini:
Tabel 4.6 Matrik Kemungkinan dan Dampak Risiko PTRH Almost
Dari matrik kemungkinan dan dampak risiko tersebut, risiko-risiko yang telah dinilai dapat dikategorikan ke dalam 5 level yaitu: Level 1 (Extreme), level 2 (High), level 3 (Medium), level 4 (low), dan level 5 (very low), dapat dilihat pada tabel B.3 pada lampiran B. Berikut kesimpulan dari pemetaan tersebut berdasarkan level ditunjukkan pada Gambar 4.6 dibawah ini:
