vi
Universitas Kristen Maranatha
ABSTRAK
Teknologi informasi telah lama digunakan dalam proses-proses bisnis di PT. Dirgantara Indonesia dan diharapkan mampu memberikan nilai tambah guna pencapaian tujuan perusahaan. Di samping manfaatnya, penerapan teknologi informasi juga mengandung risiko yang dapat mengganggu proses bisnis itu sendiri sehingga menyebabkan kerugian yang berakibat buruk bagi perusahaan. Karenanya perusahaan harus memahami dan mengantisipasi setiap potensi risiko yang dapat terjadi. Penerapan manajemen risiko teknologi informasi yang baik bertujuan untuk mengurangi dampak negatif risiko yang mungkin muncul. Untuk mengetahui sudah sejauh mana perusahaan mengelola risiko-risiko yang berhubungan dengan teknologi informasi maka perlu dilakukan analisis. Penelitian akan menggunakan framework “Risk IT” sebagai standar manajemen risiko teknologi informasi yang dikeluarkan oleh ISACA untuk menganalisis pelaksanaan proses-proses manajemen risiko teknologi informasi pada PT. Dirgantara Indonesia, yang meliputi tata kelola risiko, evaluasi risiko, dan respon risiko. Proses evaluasi akan mengacu pada model kematangan yang telah didefinisikan oleh framework “Risk IT” untuk mengukur tingkat kematangan kondisi manajemen risiko teknologi informasi pada PT. Dirgantara Indonesia. Hasil tingkat kematangan yang diperoleh akan menunjukkan derajat kualitas pelaksanaan manajemen risiko teknologi informasi dan dapat digunakan sebagai bahan untuk melakukan perbaikan-perbaikan pada aspek yang dinilai kurang. Hasil penelitian akan memberikan rekomendasi bagi pengembangan proses-proses manajemen risiko TI di perusahaan. Hasil penelitian ini juga dapat digunakan sebagai referensi dalam pembuatan pedoman penerapan manajemen risiko teknologi informasi yang akan menjadi panduan bagi setiap unit organisasi dalam menjalankan proses-proses bisnis yang berhubungan dengan teknologi informasi.
vii
Universitas Kristen Maranatha
ABSTRACT
Information technology has long been used in business processes in PT. Dirgantara Indonesia and are expected to provide added value to the achievement of corporate goals. In addition to its benefits, the application of information technology is also a risk that could disrupt the business process itself, causing losses that bad for the company. Therefore, companies must understand and anticipate any potential risks that may occur. Application of information technology risk management both aim to reduce the risk of negative impacts that may arise. To find out how far the company managing the risks associated with information technology is necessary to do the analysis. The study will use the framework "Risk IT" as an information technology risk management standards issued by ISACA to analyze the implementation of risk management processes of information technology at PT. Dirgantara Indonesia, which covers risk governance, risk evaluation and risk response. The evaluation process will be based on a maturity model that has been defined by the framework "Risk IT" to measure the maturity of state information technology risk management at PT. Dirgantara Indonesia. The results obtained by the level of maturity that would indicate the degree of implementation of quality risk management and information technology can be used as an ingredient to make improvements in aspects that were considered less. The study will provide recommendations for the development of risk management processes in IT companies. The results of this study can also be used as a reference for the production of information technology risk management that will be the guide for each unit of the organization in running the business processes related to information technology.
viii
Universitas Kristen Maranatha
DAFTAR ISI
LEMBAR PENGESAHAN ... i
PERNYATAAN ORISINALITAS LAPORAN PENELITIAN ... ii
PERNYATAAN PUBLIKASI LAPORAN PENELITIAN ... iii
PRAKATA ... iv
1.6 Sistematika Penyajian ... 3
BAB II KAJIAN TEORI ... 5
2.1 Definisi Manajemen Risiko ... 5
2.2 Jenis Risiko ... 6
2.3 Manfaat Manajemen Risiko ... 7
2.4 Sumber Risiko ... 8
3.1.1 Visi Misi Perusahaan ... 22
3.1.2 Struktur Organisasi Perusahaan ... 23
3.1.3 Unit MIS-KA ... 23
3.2 Proses Model Kerangka Kerja Risk IT ... 24
3.2.1 RE1 (Mengumpulkan Data) ... 25
3.2.1.1 RE1.1 (Membuat dan Memelihara Data) ... 25
3.2.1.2 RE1.2 (Mengumpulkan Data Tentang Lingkungan Operasi) ... 27
3.2.1.3 RE1.3 (Mengumpulkan Data Tentang Kejadian Risiko) ... 28
3.2.1.4 RE1.4 (Menemukan Faktor Risiko) ... 30
3.2.1.5 Hasil Analisis Proses RE1 ... 31
3.2.1.6 Evaluasi Proses RE1 ... 32
3.2.2 RE2 (Analisis Risiko)... 33
3.2.2.1 RE2.1 (Menentukan Ruang Lingkup Analisis Risiko IT) ... 33
3.2.2.2 RE2.2 (Memperkirakan Risiko IT) ... 35
ix
Universitas Kristen Maranatha
3.2.2.4 RE2.4 (Melakukan Analisis Risiko IT) ... 37
3.2.2.5 Hasil Analisis RE2 ... 37
3.2.2.6 Evaluasi RE2 ... 39
3.2.3 RE3 (Mempertahankan Profil Risiko) ... 39
3.2.3.1 RE3.1 (Peta Sumber Daya TI Untuk Proses Bisnis) ... 40
3.2.3.2 RE3.2 (Tentukan Kekritisan Bisnis Sumber Daya TI) ... 47
3.2.3.3 RE3.3 (Tentukan Memahami Kemampuan IT) ... 47
3.2.3.4 RE3.4 (Perbarui Komponen Skenario Risiko TI) ... 49
3.2.3.5 RE3.5 (Menjaga Risiko TI) ... 50
3.2.3.6 RE3.6 (Mengembangkan Penyebab Risiko TI) ... 51
3.2.3.7 Hasil Analisis RE3 ... 52
3.2.3.8 Evaulasi RE3 ... 52
3.3 Tingkat Kematangan Untuk Domain IT ... 53
BAB IV SIMPULAN DAN SARAN ... 55
4.1 Simpulan ... 55
x
Universitas Kristen Maranatha
DAFTAR GAMBAR
Gambar 1 Activity Focus ... 9
Gambar 2 Kerangka Kerja Risk IT ... 11
Gambar 3 Proses RE ... 13
Gambar 4 Struktur Organisasi PT Dirgantara Indonesia ... 23
Gambar 5 Struktur Organisasi Unit MIS – KA ... 24
Gambar 6 Risk Map ... 41
Gambar 7 Infrastruktur LAN ... 44
Gambar 8 Infrastruktur LAN – Layout ... 45
xi
Universitas Kristen Maranatha
DAFTAR TABEL
Tabel I Paduan Pelatihan Kerangka Kerja Risk IT ... 11
Tabel II Tingkat Kematangan IT ... 18
Tabel III Output Re1.1 ... 25
Tabel IV Input Output Re1.2 ... 27
Tabel V Contoh Kejadian Di PT. Dirgantara Indonesia ... 28
Tabel VI Input Output Re1.3 ... 29
Tabel VII Input Output Re1.4 ... 30
Tabel VIII Jenis Ancaman ... 31
Tabel IX Input Output RE2.1 ... 34
Tabel X Input Output RE2.2 ... 35
Tabel XI Input Output RE2.3 ... 36
Tabel XII Input Output RE2.4 ... 37
Tabel XIII Input Output RE3.1 ... 40
Tabel XIV Staff Pengembangan & Implementasi Sistem Informasi ... 41
Tabel XV Staff Pengembangan Manual & Prosedur ... 42
Tabel XVI Staff Infrastruktur & Operasi Komputer ... 42
Tabel XVII Pengembangan Aplikasi ... 43
Tabel XVIII Server – Aplication ... 45
Tabel XIX Server – Mail Internet ... 46
Tabel XX Input Output RE3.2 ... 47
Tabel XXI Input Output RE3.3 ... 48
Tabel XXII Input Output RE3.4 ... 49
Tabel XXIII Input Output RE3.5 ... 50
Tabel XXIV Input RE3.6 ... 51
1
Universitas Kristen Maranatha
BAB I PENDAHULUAN
1.1 Latar Belakang Masalah
PT. Dirgantara Indonesia (DI) (nama bahasa Inggris: Indonesian Aerospace Inc.) adalah industri pesawat terbang yang pertama dan satu-satunya di Indonesia dan di wilayah Asia Tenggara. Perusahaan ini dimiliki oleh Pemerintah Indonesia. DI didirikan pada 26 April 1976 dengan nama PT. Industri Pesawat Terbang Nurtanio dan BJ Habibie sebagai Presiden Direktur. Industri Pesawat Terbang Nurtanio kemudian berganti nama menjadi Industri Pesawat Terbang Nusantara (IPTN) pada 11 Oktober 1985. Seteleah direstrukturisasi, IPTN kemudian berubah nama menjadi Dirgantara Indonesia pada 24 Agustus 2000.
Dirgantara Indonesia tidak hanya memproduksi berbagai pesawat tetapi juga helikopter, senjata, menyediakan pelatihan dan jasa pemeliharaan (maintenance service) untuk mesin-mesin pesawat. Dirgantara Indonesia juga menjadi sub-kontraktor untuk industri-industri pesawat terbang besar di dunia seperti Boeing, General Dynamic, Fokker dan lain sebagainya.
Dalam menjalankan bisnisnya, PT Dirgantara Indonesia sangat menyadari tentang risiko yang mungkin terjadi. Pemahaman mengenai risiko yang akan dihadapi oleh perusahaan saat ini sangat dibutuhkan. Bukan hanya untuk menghindari atau meminimalisir risiko, tetapi bagaimana perusahaan dapat mengelolanya dan menjadikan risiko tersebut menjadi nilai tambah bagi perusahaan. Berdasarkan seluruh risiko, maka suatu perusahaan wajib menganalisa tindakan yang harus dilakukan apabila risiko-risiko tersebut terjadi.
2
Universitas Kristen Maranatha yang memungkinkan efisiensi proses bisnis, meningkatkan kualitas perusahaan, dan mengurangi biaya.
Kerangka kerja yang menyediakan panduan yang lengkap untuk mengontrol bisnis berbasis teknologi informasi berdasarkan solusi adalah
Risk IT. Kerangka kerja Risk IT ini berdasarkan pada prinsip standar manajemen risiko perusahaan atau enterprise risk management (ERM) dan menyediakan wawasan bagaimana menerapkannya pada bidang IT dan berakhir dengan menyediakan kerangka kerja bagi perusahaan untuk mengidentifikasi, mengatur dan mengelola risiko.
1.2 Rumusan Masalah
Berdasarkan pada bahasan 1.1, maka permasalahan pokok yang akan dibahas adalah manajemen risiko pada Departemen Manajemen Sistem Informasi di PT Dirgantara Indonesia.
Untuk menganalisis manajemen risiko pada PT Dirgantara Indonesia, penulis mengajukan pertanyaan – pertanyaan sebagai berikut :
1. Bagaimana mengidentifikasi risiko Departemen Manajemen Sistem Informasi menggunakan kerangka kerja Risk IT.
2. Bagaimana keadaan IT di Departemen Manajemen Sistem Informasi PT. Dirgantara Indonesia.
1.3 Tujuan Pembahasan
Tujuan dilakukannya manajemen risiko menggunakan kerangka kerja
Risk IT ini adalah memberikan pemahaman dan ilmu untuk :
3. Memadukan kerangka kerja Risk IT kedalam manajemen risiko Departemen Manajemen Sistem Informasi, sehingga memungkinkan departemen tersebut untuk menyadari akan risiko yang ada.
3
Universitas Kristen Maranatha
1.4 Ruang Lingkup Kajian
Ruang lingkup kerangka kerja Risk IT yang akan diterapkan pada tugas akhir ini adalah sebagai berikut :
1. Analisis yang dilakukan hanya pada Departemen Manajemen Sistem Informasi.
2. Proses model yang dikerjakan hanya proses RE (Risk Eavaluation.
3. Observasi tidak mengkaji informasi yang bersifat rahasia.
1.5 Sumber Data
Metode penelitian yang digunakan untuk pengumpulan data dalam penulisan Tugas Akhir ini adalah sebagai berikut :
1. Observasi
Melakukan pengamatan langsung ke kantor cabang PT Dirgantara Indonesia yang terletak di jalan Padjadjaran 154 Bandung 40174, terhadap objek yang dituju mengenai proses bisnis yang terjadi pada perusahaan.
2. Wawancara
Bertanya langsung kepada orang yang bersangkutan di perusahaan tersebut ataupun para pekerjanya tentang data dan informasi yang dibutuhkan.
3. Studi literatur/kepustakaan
Melakukan pencarian bahan atau pustaka yang berhubungan dengan permasalahan yang diteliti. Dalam hal ini, bahan diambil dari beberapa buku, ebook, artikel, maupun internet. Hasil dari studi literatur tersebut kemudian dipraktekkan melalui studi kasus.
1.6 Sistematika Penyajian
4
Universitas Kristen Maranatha
BAB I Pendahuluan, dalam bab ini memberikan suatu gambaran singkat mengenai latar belakang masalah, rumusan masalah, tujuan pembahasan, ruang lingkup kajian, sumber data dan sistematika penyajian.
BAB IIKajian Teori, dalam bab ini menjelaskan tentang landasan pemilihan teori yang dipergunakan untuk membahas tugas akhir ini, seperti konsep dasar penerapan kerangka kerja Risk IT dan teori yang terkait.
BAB III Analisis dan Evaluasi, pada bagian ini akan membahas bagaimana penerapan kerangka kerja Risk IT di PT Dirgantara Indonesia.
53
Universitas Kristen Maranatha
BAB IV SIMPULAN DAN SARAN
4.1 Simpulan
Simpulan yang dapat diambil setelah melakukan observasi di PT. Dirgantara Indonesia ini adalah:
1. Mengidentifikasi risiko untuk sistem TI membutuhkan pemahaman yang tajam dari lingkungan pengolahan sistem. Orang atau orang yang melakukan penilaian risiko karena itu harus pertama mengumpulkan informasi yang berhubungan dengan sistem, yang biasanya diklasifikasikan sebagai berikut:
1. perangkat keras 2. perangkat lunak
3. Sistem antarmuka (misalnya, konektivitas internal dan eksternal) 4. Data dan informasi
5. Orang yang mendukung dan menggunakan sistem IT
6. Sistem misi (misalnya, proses yang dilakukan oleh sistem IT) 7. Sistem dan data kritis (misalnya, nilai sistem atau penting bagi
suatu organisasi)
8. Sistem dan data sensitivitas.
2. Berdasarkan dari hasil analisis data evaluasi peran Departemen Manajemen Sistem Informasi berdasarkan proses Risk Evaluation
dengan metode tingkat kematangan IT, Departemen Manajemen Sistem Informasi saat ini berada pada angka 3 yaitu pada level
defined. Angka tersebut menunjukkan bahwa Departemen MIS telah memahami dasar-dasar risiko dan sudah memiliki kemampuan untuk mengevaluasi risiko IT bersama jenis risiko lain di seluruh Departemen MIS.
4.2 Saran
54
Universitas Kristen Maranatha 1. Perlu adanya dokumentasi data yang berupa pencatatan laporan keuangan hasil dari setiap pemeriksaaan atau perbaikan kerusakan pada peralatan atau fasilitas.
2. Melihat pelaksanan manajemen risiko pada Departemen Manajemen Sistem Informasi PT. Dirgantara Indonesia harus terus meningkatkan kembali pelaksanaan manajemen risikonya salah satunya adalah dengan melibatkan semua pegawai PT. Dirgantara Indonesia yang
ada pada seluruh Departemen Manajemen Sistem Informasi untuk
memahami dan mengerti tentang risiko yang dihadapi perusahaan.
Pelibatan disini dengan pandangan bahwa setiap pegawai adalah
pemilik dari risiko, memperhatikan berbagai aspek yang dapat
mempengaruhi keberhasilan pengelolaan risiko yang terkandung dalam perusahaan, dan membuat bagian khusus yang bertugas mengelola risiko perusahaan.
Universitas Kristen Maranatha
DAFTAR PUSTAKA
Darmawi, Herman. 1992. Manajemen Resiko. Jakarta: Bumi Aksara
Fahmi, Irham. 2010. Manajemen Risiko:Teori, Kasus, dan Solusi. Bandung: Alfabeta
Kasidi, Drs. M.Si. 2010. Manajemen Risiko. Bogor : Ghana Indonesia. Sofyan, Iban. 2005. Manajemen Risiko. Yogyakarta: Graha Ilmu.
Identify suitable responses to risk. Retrieved June, 30, 2012 from http://www.ruleworks.co.uk/riskguide/risk-identification.htm
Indonesia Aerospace. Retirved May, 05, 2012 from, http://www.indonesian-aerospace.com
