Fakultas Ilmu Komputer

Universitas Brawijaya

143

Evaluasi Manajemen Risiko Teknologi Informasi Menggunakan

Framework COBIT 5 (Studi Kasus : PT. Kimia Farma (Persero) Tbk –

Plant Watudakon)

Novia Dwi Setyaningrum1_{, Suprapto}2_{, Ari Kusyanti}3

Program Studi Sistem Informasi, Fakultas Ilmu Komputer, Universitas Brawijaya Email: 1_{noviiawilson@gmail.com,} 2_{spttif@ub.ac.id,} 3_{ari.kusyanti@ub.ac.id}

Abstrak

Teknologi informasi hampir diimplementasikan pada semua perusahaan, tak terkecuali pada PT.Kimia Farma plant Watudakon perusahaan ini telah mengimplementasikan sistem informasi berbasis Enterprise Resource Planning (ERP). Penggunaan sistem informasi tentunya memiliki banyak peluang risiko. Apabila terjadi masalah akan berdampak secara keseluruhan. Seperti yang sering terjadi, masalah sistem pada bagian gudang, maka proses penerimaan informasi data dari gudang untuk keuangan akan terganggu, yang mungkin saja terjadi karena server down atau masalah yang lain. Oleh karena itu perlu dilakukan adanya pengelolaan manajemen risiko untuk mengelola kemungkinan risiko yang terjadi. Maka penelitian ini dilakukan untuk mengetahui nilai capability level dengan melakukan evaluasi manajemen risiko PT.Kimia Farma menggunakan framework COBIT 5 pada domain EDM03(Ensure Risk Optimation) dan APO12(Managed Risk). Pengumpulan data dilakukan dengan kuesioner, observasi dan wawancara. Dari hasil pengumpulan data didapatkan nilai capability level untuk EDM03 pada level 2 dan APO12 pada level 1. Setelah mengetahui level risiko langkah selanjutnya adalah melakukan penilaian risiko untuk mengetahui risiko yang masih berada di ambang batas risiko perusahaan, kemudian untuk menentukan langkah mitigasi risiko. Dari hasil kedua analisis akan menjadi acuan sebagai penyusunan rekomendasi. Usulan rekomendasi yang diberikan seperti penyusunan dokumen profil risiko, membentuk manajamen untuk mengelola risiko. Kata kunci: COBIT 5,manajemen risiko, capability level, penilaian risiko, mitigasi risiko

Abstract

Information technology is almost implemented in all companies, including the PT.Kimia Farma plant Watudakon this company has implemented information systems based on Enterprise Resource Planning (ERP). Using information systems certainly has many risk opportunities. In the event of a problem will have an overall impact. As is often the case, the system issues on the part of the warehouse, then the process of receiving data information from the warehouse for finance will be disrupted, which may occur due to server down or other problems. Therefore, risk management is required to manage all possible risks. So this research was conducted to determine the value of capability level by evaluating the risk management PT.Kimia Farma using COBIT 5 framework on domain EDM03 (Ensure Risk Optimization) and APO12 (Managed Risk). The data were collected by questionnaire, observation and interview. From the data, we get the capability level for EDM03 at level 2 and APO12 at level 1. After knowing the level of risk the next step is to conduct a risk assessment to determine risks that are still within the company's risk appetitte, then to determine risk mitigation measures. From the results of the two analyzes will be a reference as the preparation of recommendations. Proposed recommendations such as the preparation of risk profile documents, establishing management to manage risk.

Keywords: COBIT 5, risk management, capability level, risk assessment, risk mitigation 1. PENDAHULUAN

Pemanfaatan teknologi informasi tentunya sangat efektif dan efisien untuk menyelesaikan sebuah pekerjaan. Pemanfaatan penggunaan TI

yang dapat meningkatkan kecepatan dan ketepatan infromasi data, TI juga dapat meningkatkan risiko negatif terhadap tujuan sebuah perusahaan. Dimana ketergantungan perusahaan terhadap TI akan semakin

memperbesar dampak risiko terhadap perusahaan. Risiko yang timbul akan berpengaruh proses kerja yang tidak optimal, kerugian finansial, menurunnya kualitas perusahaan hingga tidak tercapainya tujuan dari perusahaan. Salah satu perusahaan yang sudah menerapkan TI adalah PT. Kimia Farma (Persero) Unit Plant Watudakon (UPW) Software yang saat ini digunakan di PT. Kimia Farma UPW yaitu ERP-Portege. Sistem ini berbasis ERP. Proses bisnis pada PT Kimia Farma UPW mengacu pada standar ISO 9001:2008, ISO 14001:2004 dan CPOB (Cara Pembuatan Obat yang Baik).

Contoh ketika salah fungsi dari satu sistem pada departemen tidak berjalan maka akan mengganggu proses bisnis pada departemen lainnya. Seperti contoh pada proses pengiriman barang oleh gudang, jika pada saat input kode produksi salah, maka proses produksi dan laporan keuangan akan mengalami gangguan. Tentunya akan mengalami sebuah kerugian secara finansial yang cukup besar. Karena semua aktivitas administrasi pada perusahaan bergantung pada TI.

Macam dari risiko cukup beragam dan hampir semua aktivitas pada perusahaan memiliki risiko tersendiri. Sehingga perlu untuk dilakukannya identifikasi, monitoring dan evaluasi terhadap risiko. Belum adanya manajemen risiko inilah yang akan membuat pengendalian risiko dilakukan dengan cara yang sering dilakukan atau dengan mengacu pada kebiasaan ketika menangani risiko yang sama. Belum ada dokumen standar prosedur untuk menangani risiko, sehingga penanganan risiko belum di manage dengan baik. Oleh karena itu risiko yang ada pada perusahaan perlu di manage untuk mengurangi dan menghilangkan dampak negatif pada perusahaan.

Dari uaraian yang dijelaskan diatas, penulis melakukan sebuah penelitian terkait dengan manajemen risiko untuk sistem ERP-Portege pada PT. Kimia Farma plant Watudakon. Sehingga dapat menghasilkan sebuah rekomendasi yang berupa saran atau usulan yang dapat meminimalisir risiko. Untuk proses penilaian dan analisis menggunakan kerangka kerja COBIT 5 pada domain EDM03 (Ensure Risk Optimisation) dan APO12 (Manage Risk). 2. LANDASAN KEPUSTAKAAN

2.1 Kajian Pustaka

Beberapa referensi yang dijadikan sebagai kajian pustaka untuk penelitian ini adalah “Evaluasi Manajemen Risiko Migrasi Sistem MES Menggunakan COBIT 5 IT Risk (Studi Kasus: PT. Krakatau Steel (Persero) Tbk.)” yang ditulis oleh Shabrina Teruri. Dalam penelitiannya tersebut bertujuan untuk mengetahui nilai capability level dan mengetahui manajemen risiko migrasi sistem MES.

Penelitian selanjutnya thesis dari Sigit Samaptoaji dengan judul “Evaluasi Pengelolaan Risiko Teknologi Informasi (TI) Pada Instansi Pemerintah : Studi Kasus Direktorat Jendral

Kependudukan dan Pencatatan Sipil

Kementrian Dalam Negeri”. Pada penelitiannya menjelaskan mengenai bagaimana memberikan sebuah nilai pada sebuah risiko sehingga dapat menentukan inherent risk dan residual risk. Dari penilaian tersebut dapat diketahui langkah untuk mitigasi risiko.

2.2 Manajemen Risiko

Manajemen risiko adalah proses identifikasi pengkajian, serta pengembangan strategi mitigasi dan komunikasi risiko TI yang memiliki potensi merugikan atau berdampak negative terhadap organisasi. Kontrol dan pengukuran kinerja manajemen risiko dilakukan oleh semua pihak dengan menentukan risiko mana yang harus mendapat perhatian dan pada level mana risiko dapat diterima oleh organisasi.

Sebagaimana risiko TI merupakan risiko pada organisasi yang disebabkan oleh penggunan TI dalam suatu organisasi, terdiri dari semua kejadian yang terkait dengan penggunaan TI dan memiliki potensi yang berdampak pada organisasi (ISACA, 2012).

Deskripsi risiko Ti dibagi menjadi tiga yaitu inherent risk, current risk, dan residual risk. Inherent risk merupakan risiko dasar yang dimiliki asset yang digunakan unutk penetapan pada ruang lingkup manajemen risiko, sedangkan current risk merupakan risiko yang telah memiliki estimasi frekuensi dan dampak untuk analisis risiko. Dan residual risk merupakan sisa risiko setelah mengalami kontrol dan merupakan tahap pemilihan respond an prioritas.

2.3 COBIT 5

COBIT 5 sebuah kerangka kerja generasi terbaru dari panduan ISACA yang memebahas mengenai tata kelola dan manajemen TI. COBIT 5 menyediakan kerangka kerja yang

membantu perusahaan dalam mencapai tujuan mereka dengan tata kelola dan manajemen teknologi informasi

(ISACA,2012).

COBIT 5 memungkinkan TI untuk mengatur dan mengelola secara menyeluruh dalam perusahaan, dengan mempertimbangkan penuh bisnis dan bidang fungsional TI dari tanggung jawab dan mempertimbangkan kepentingan terkait TI. Berikut penjelasan mengenai penerapan COBIT 5:

1. Tahap 1 – Initiate Progamme, pada tahap ini dilakukan identifikasi faktor yang menjadi pendorong perubahan dan apa saja yang harus diubah. Tujuan tahap ini adalah untuk memperoleh pemahaman, pendalaman tentang tujuan, tugas, dan wewenang suatu organisasi.

2. Tahap 2 – Define Problems and Opportunities, tahap ini mendefinisikan keberadaan posisi suatu organisasi saat ini, dan memperioritaskan tujuan dan juga proses TI, dan menyelaraskan tujuan TI dengan strategi dan risiko perusahaan.

3. Tahap 3 – Define Road Map, tahap ini menetapkan target untuk perbaikan yang diikuti dengan analisis gap untuk mengidentifikasi solusi yang potensial. 4. Tahap 4 – Plan Progamme, tahap ini

merupakan tahapan rencana untuk solusi yang mudah dan praktis dengannmendefinisikan proyek yang didukungnoleh proses bisnis dan mengembangkannrencananiperubahan untuk diimplementasikan serta memastikan bahwa manfaat proyek diidentifikasi dan terus dimonitor. 5. Tahap 5 – Execute Plan, pada tahap ini

menyediakan pelaksanaan dari solusi yang telah diusulkan ke dalam praktik kerja sehari-hari dan melakukan pemantauan hasil kerja.

6. Tahap 6 – Release Benefits, tahap ini berfokus pada kelanjutan dari hasil perbaikan tata kelola teknologi informasi dan manajemen praktik dalam operasional bisnis.

7. Tahap 7 – Review Effectivenes, tahap ini merupakan ulasan keberhasilan dari pencapaian seluruh dan meningkatkan kebutuhan untuk perbaikan secara terus-menerus.

Dasar proses manajemen risiko pada COBIT 5 memiliki dua subdomain proses, yaitu

EDM03k(Ensure Risk Operation) dan APO12 (Manage Risk). Berikut mengenai penjelasan dari masing – masing proses menurut ISACA (2012):

1.

EDM03 Ensure

o

Risk

m

Optimisation

Proses ini berisi tentang pemahaman, artikulasi dan komunikasi dari risk appetite perusahaan dan bagaimana toleransi untuk menyikapi, serta memastikan proses identifikasi dan manajemen risiko terhadap nilai perusahaan yang terkait dengan TI digunakan beserta dampak risikonya. Domain EDM03kmemiliki 3 bagian domain atau subdomain prosesoyaitu sebagai berikut:

a. EDM03.01mEvaluatekRiskManagement b. EDM03.02 Direct Risk Management c. EDM03.03 Monitor Risk Management

2.

APO12 Managed Risk

Proses domain ini meliputi identifikasi secara terus menerus, dengan melakukan penilaian dan pengurangan risiko yang berkaitan dengan TI dalam tingkat toleransi yang telah ditetapkan oleh pihak manajemen eksekutif perusahaan. Manajemen risiko perusahaanmyang berkaitan dengan TI harus terintegrasi dengan ERM secara keseluruhan. Domain APO12 memiliki 6 subdomain yaitu sebagai berikut:

a. APO12.01kCollect Data b. APO12.02 Analyse Risk

c. APO12.03 Maintain A Risk Profile d. APO12.04 Articulate Risk

e. APO12.05 Define a Risk Management Action Portofolio

f. APO12.06 Respond to Risk

Dari domain tersebut dilakukan penilaian capability level yang bertujuan untuk memberikan penilaian yang berbeda dari satu level ke level yang lebih tinggi. Penilaian dilakukan dimulai dari level terendah yaitu level 1. Penilaian akan diberikan pada level 1 untuk menentukan apakah sudah proses tersebut telah mencapai tujuannya, dan oleh sebab itu penilaian dari level terbawah penting untuk dicapai sebagai syarat untuk dapat mencapai level berikutnya. Klasifikasi penilaian pada setiap level ada 4 kategori yang menunjukkan nilai pada level tersebut (ISACA,2012).

Selanjutnya yaitu risk assessment, suatu proses untuk mengidentifikasi potensial risiko yang terjadi baik yang berasal dari dalam maupun dari luar yang dihadapi oleh perusahaan atau organisasi. Tujuan dilakukannya risk assessment adalah untuk mengukur seberapa besar risiko yang dihadapi dan seberapa besar dampak terhadap organisasi, sehingga dapat digunakan untuk meminimalisir dampak. Dari risk assessment dapat menentukan mitigasi risiko yang merupakan metode atau cara yang sistematis digunakan untuk mengurangi dampak yang timbul akibat adanya suatu risiko. Stategi dalam melakukan pengurangan risiko misalnya menerima risiko (risk assumption), mencegah risiko (risk avoidance), membatasi level risiko (risk limitation), atau mentransfer risiko (risk transference).

3. METODOLOGI

Dalam melakukan peneliatian ini ada beberapa langkah yang akan dilakukan. Langkah tersebut digambarkan pada Gambar 1 .

Gambar 1. Alur Penelitian

1. Melakukan Studi Literatur terhadap berbagai jenis buku, jurnal, dan teori mengenai COBIT 5.

2. Mendefinisikan masalah dengan

menentukan domain proses yang digunakan dan menentukan RACI chart.

3. Pengumpulan data-data yang diperlukan untuk evaluasi teknologi informasi, dengan cara menyebar kuesioner, observasi dan wawancara.

4. Melakukan analisis penilaian capability level domain EDM03 dan APO12, analisis gap, dan risk assessment.

5. Melakukan evaluasi terhadap hasil dari analisis untuk menyusun sebuah rekomendasi.

6. Membuat kesimpulan dari seluruh kegiatan yang dilakukan pada penelitian dan saran untuk penelitian selanjutnya.

4. HASIL

4.1 Hasil Observasi dan Wawancara

Observasi dilakukan untuk melengkapi kebutuhan informasi yang dibutuhkan untuk subdomain EDM03 (Ensure Risk Optimisation) dan APO12 (Manage Risk) untuk evaluasi manajemen risiko sistem Portege pada PT.Kimia Farma (Persero) Tbk. Observasi dilakukan dengan pengamatan terhadap proses bisnis yang ada dan apa saja masalah-masalah yang ada pada perusahaan tersebut. Dari hasil observasi menunjukkan bahwa pada PT.Kimia Farma (Persero) Tbk. didapatkan penerapan beberapa dokumen, diantaranya adalah dokumen prosedur penetapan rencana mutu, prosedur pengendalian rencana proses, dan manajemen pengendalian proses. Dokumen tersebut dibuat sesuai dengan standar ISO 9001:2008.

PT.Kimia Farma (Persero) Tbk. belum mempunyai dokumen tersendiri untuk manajemen risiko TI. Untuk dokumen risiko TI masih belum tersedia secara lengkap dan detail karena plant Watudakon merupakan salah satu plant dari beberapa plant PT. Kimia Farma yang tersebar dibeberapa wilayah Indonesia.

Kemudian wawancara dilakukan sebelum

memberikan kuesioner dan setelah

mendapatkan kuesioner kembali dari responden. Wawancara dilakukan dengan SPV TI PT. Kimia Farma. Hasil wawancara di dapatkan beberapa informasi yang dapat dijadikan parameter untuk keselarasan antara hasil kuisioner dan hasil wawancara. Hasil wawancara didapati bahwa pada PT. Kimia Farma sudah menerapkan sebuah sistem yaitu sistem ERP-Portege. Sistem ini dikendalikan

oleh divisi TI dan sebagai pemantau jika terjadi sebuah kesalahan. Akan tetapi belum ada dokumen dan divisi khusus untuk mengelola manajemen risiko. Dalam pengendalian risiko PT. Kimia Farma sudah menerapkan manajemen pengendalian risiko untuk memonitor kemungkinan terjadinya masalah. Hal ini akan ditindak lanjuti oleh PIC yang sesuai dengan masing-masing kesalahan yang terjadi pada departemen tersebut.

4.2 Hasil Kuesioner

Kuesioner diberikan kepada 3 responden yang berhak mengisi merupakan divisi dari IT, karena PT. Kimia Farma belum memiliki divisi tersendiri untuk Manajemen Risiko. Dan hasil kuesioner pada subdomain EDM03 (Ensure Risk Optimation) dan APO12 (Manage Risk) pada responden 1 tersebut dapat dilihat pada Tabel 1

Tabel 1. Hasil Penilaian Responden Responden 1 Na ma P ros e s Lv 0 L v 1 L v 2 L v 3 L v 4 L v 5 EDM03 P A 1. 1 P A 2. 1 P A 2. 2 P A 3. 1 P A 3. 2 P A 4. 1 P A 4. 2 P A 5. 1 P A 5. 2 Kriteria F F F L P P P P P C apa bil it y leve l 2 Na ma P ros es L v 0 L v 1 L v 2 L v 3 L v 4 L v 5 APO12 P A 1. 1 P A 2. 1 P A 2. 2 P A 3. 1 P A 3. 2 P A 4. 1 P A 4. 2 P A 5. 1 P A 5. 2 Kriteria F L P P P P P P P C apa bil it y leve l 1

N (Not Achieved,0-15%) P (Partially

Achieved,>15%-50%) L (Largerly Achieved,>50%-85%) F (Fully Achieved,>85%-100%)

Hasil dari penilaian responden 1 didapatkan nilai capability level untuk subdomain EDM03 berada pada level 2 dan untuk APO12 berada

pada level 1. Pada subdomain EDM03 untuk level 1 sampai dengan 2 sudah mencapai Fully Achieved. Karena pada level berikutnya nilai masih berada pada Largerly Achieved, maka untuk subdomain ini belum dapat dikatakan berada pada level 3. Sedangkan subdomain APO12 masih berada pada level 1, dikarenakan pada level 2 belum ada yang mencapai level Largely Achieved.

4.3 Perhitungan Capability Level

Dari hasil keseluruhan pengisian kuesioner, wawancara dan observasi yang dilakukan kepadairesponden terkaitidengan proses EDM03idapat diperoleh nilai capability level yaitu pada level 2 dan untuk hasil dari domain proses APO12 nilai capability level pada level 1. Dan untuk hasiliperhitungan atauipenilaian capability level dapat dilihat pada Tabel 2 yang menunjukkan bagaimana perhitungan untuk masing-masing domain,

Tabel 2. Hasil Penilaian Capability Level Hasil Proses Assesment

Na ma P ros es Process Capability Level T otal R es ponde n T otal B obot C apa bil it y L eve l 0 1 2 3 4 5

Evaluate, Direct and Monitoring (EDM)

E

DM

03

0 0 3 0 0 0 3 6 2

Align, Plan and Organise (APO)

APO12

0 2 1 0 0 0 3 4 1

Pada Tabel 2 menunjukkan hasil dari perhitungan penilaian proses Capability Level yang didapatkan dari pengumpulan dataimelalui penyebaran kuesionerikepada 3 respondeni yang telah sesuai dengan RACI Chart dan hasil dari wawancara mengenai kebenaran kuesioner. Maka didapatkanihasil capability level untukisubdomain EDM03 pada level 2 dan APO12 beradaipada leveli1.

4.4 Temuan Hasil

Dari hasil analisis capability leveliidari perhitungan kuesioner dan wawancara dengan bagian teknologi informasi PT.Kimia Farma UPW, maka didapatkan temuan hasil sebagai

berikut:

1. Pengelolaan risiko yang ada pada PT. Kimia Farma UPW masih dilakukan secara keseluruhan bagian fungsi perusahaan dan belum spesifik diterapkan pada teknologi informasi

2. Belum adanya tim manajemen atau bagian khusus untuk menangani dan mengelola segala macam risiko teknologi informasi pada PT. Kimia Farma UPW.

3. Belum semua kegiatan atau kejadian yang terjadi pada bagian teknologi informasi terdokumentasikan dengan baik. Ada

beberapa kejadian yang belum

terdokumntasikan sehingga pengelolaan dokumen masih kurang.

4. Dokumen Profil Risk belum terlengkapi dengan baik.

5. Belum adanya SOP (Standar Operational Procedure) untuk mengatur jalannya pengendalian risiko untuk teknologi informasi.

5. PEMBAHASAN

5.1 Analisis Capability level dan Gap

Dari hasilipengisian kuesioner yang diberikan kepada 3 respondeniyaitu SPV. Teknologi Informasi, SPV. Infrastruktur TI dan staf IT, telahididapatkaninilai capability level dan gap untukisetiap domainnya.

Gambar 2. Diagram Radar Gap

Dapat dilihat pada grafik GAP pada gambar 2, pada domain proses EDM03 level yang dicapai adalah 2 dan untuk targetnya adalah pada level 3. Sedangkan pada domain proses APO12 level yang dicapai saat ini adalah level 1 dan untuk level targetnya pada level 2. Dari masing-masing domain dapat ditarik gap antara level yang dicapai dengan target adalah 1, yaitu dari level 2 ke level 3 dan level 1 ke level 2.

Diketahui bahwannilaingap nantara level saat ini dan level targetnpada domainnEDM03 adalah 1. Agar proses domain EDM03 dapat mencapai level 3 maka ada beberapa hal yang perlu dilakukan adalah sebagai berikut:

1. Membentuk sebuah manajemen khusus

yang mengelola dan menerapkan

manajemen risiko TI, sehingga PT. Kimia

Farma mampu untuk

menerapkanimanajemennrisiko TI dengan baik.

2. Menyusun metode untuk memonitoring bagaimana penerapan manajemen risiko TI pada PT. Kimia Farma, sehingga dapat dipantau kesesuaian antara risiko yang ada dengan batas ambang risiko yang dimiliki oleh perusahaan.

3. Membuat dokumen standar operasional sebagai pedoman dalam menerapkan manajemen risiko TI pada PT.Kimia Farma.

Diketahui nilai gap yang terjadi antara level saat ini dan level target adalah 1. Agar proses domain APO12 dapat mencapainleveln2 maka ada beberapa hal yang perlu dilakukan untuk memenuhi nilai gap tersebut adalah sebagai berikut:

1. Membentuk sebuah manajemen yang khusus untuk mengelola manajemen risiko, sehingga hasilnya dapat diterapkan dengan baik dan mudah untuk dikontrol. 2. Membuat dokumen perencanaan secara

tertulis yang membahas mengenai identifikasi risiko, pengelolaan manajemen risiko dan evaluasi manajemen risiko. Dimana dalam perencanaan manajemen risiko tersebut memuat tujuan dari mengidentifikasi tiap proses manajemen risiko, mendefinisikan siapa saja yang bertanggung jawab dan mengalokasikan sumber daya dan informasi dalam melaksanakan proses.

3. Mendefinisikan rencana khusus yang membahas penanganan manajemen risiko yang selaras dengan strategi perusahaan. 5.2 Identifikasi Risiko

Identifikasi risiko sebagai langkah awal dalam risk assessment, proses ini dilakukan untuk mengetahui suatu kejadian yang memiliki peluang dan dampak terhadap kejadian tersebut. Setelah melakukan identifikasi, dilakukan

penilaian risiko dan kemudian mitigasi risiko. Identifikasi dilakukakan pada beberapa aspek diantaranya identifikasi berdasarkan asset dan skenario TI, berikut hasil identifikasi risiko dapat dilihat pada Tabel 3 dan 4.

Tabel 3. Identifikasi berdasarkan asset

No Kategori Aset Jumlah

Risk Issue Persentase (%) 1. Aplikasi 2 13,3 2. Fasilitas 1 6,7 3. Infrastruktur TI 4 26,7 4. Informasi/Data 4 26,7 5. Proses 2 13,3 6. SDM 2 13,3 Total 15 100

Tabel 4. Identifikasi berdasarkan Skenario TI

No Skenario Risiko Jumlah

Risk Issue

1 New Technology 1

2 IT Expertise and Skills 1

3 Destruction of Infrastructure 1 4 Infrastructure (Hardware) 2 5 Logical Attacks 1 6 Utilities Performance 1 7 Data(base) Integrity 1 8 Operational IT Errors 1 9 Logical Trespassing 1 10 Acts of Nature 2 11 Selection/ Performance of Third-part-supplier 1

12 Architectural Agility and Flexibility

1

13 Malware 1

5.3 Penilaian Risiko

Proses penilaian risiko dilakukan bertujuan untuk menentukan kejadian padda lingkungan sekitar yang memilki potensi untuk mempengaruhi organisasi dan sumber daya, sehingga dapat diketahui pengendalian yang akan dilakukan dapat mengurangi kerugian. Penilaian risiko dilakukan terhadap inherent risk dan residual risk. Berikut pada Tabel 5 merupakan hasil penilaian risiko pada

PT.Kimia Farma terhadap inherent risk.

Tabel 5. Hasil Penilaian Inherent risk

No Kategori Aset

Nilai Risiko Dasar

R enda h R enda h M ene nga h M ene nga h T inggi M ene nga h T inggi 1 Aplikasi 0 0 2 0 0 2 Fasilitas 0 0 0 1 0 3 Infrastruktur TI 0 0 3 1 0 4 Informasi/Data 0 0 3 1 0 5 Proses 0 0 2 0 0 6 SDM 0 0 1 1 0 Total 0 0 11 4 0

Hasil penilaian diketahui jumlah risiko menengah adalah 11 dan menengah tinggi adalah 4. Dan untuk rendah, rendah menengah dan tinggi tidak mempunyai nilai. Untuk hasil penilaian residual risk dapat dilihat pada Tabel 6.

Tabel 6. Hasil Penilaian Residual risk

No Kategori Aset

Nilai Risiko Dasar

R enda h R enda h M ene nga h M ene nga h T inggi M ene nga h T inggi 1. Aplikasi 2 0 0 0 0 2. Fasilitas 1 0 0 0 0 3. Infrastruktur TI 3 0 1 0 0 4. Informasi/Data 3 0 1 0 0 5. Proses 2 0 0 0 0 6. SDM 1 0 1 0 0 Total 12 0 3 0 0

Dapat diketahui bahwa pada Residual Risk mengalami penurunan tingkat risiko pada tiap-tiap kategori asset TI. Sebelumnya pada Inherent Risk terdapat 11 risiko dengan nilai risiko menengah dan 4 risiko dengan nilai risiko tinggi menengah. Sedangkan pada Residual Risk setelah adanya pengendalian tiap-tiap risiko mengalami penurunan nilai risiko dan hasilnya 12 dengan nilai risiko rendah dan 3 risiko dengan nilai risiko menengah.

5.4 Evaluasi Risiko

mengetahui risiko-risiko apa saja yang dapat ditoleransi oleh perusahaan. Evaluasi risiko

digambarkan dengan menghubungkan

kecenderungan dan dampak ke dalam sebuah matriks yaitu risk map. Dari risk map tersebut akan diketahui risiko apa saja yang masih membutuhkan tindakan untuk mengatasinya. Pada Tabel 7 dapat dilihat untuk risk map.

Tabel 7. Risk Map

Im p a ct Sangat besar (5) 0 0 0 0 0 0 Besar (4) 0 0 0 0 0 0 Sedang (3) 0 0 0 0 0 0 Kecil (2) 5 3 0 0 0 8 Sangat Kecil (1) 3 4 0 0 0 7 Total 8 7 0 0 0 15 San g at jaran g (1 ) Jaran g (2 ) K ad an g (3 ) Seri n g (4 ) San g at seri n g (5 ) T o tal Probability

Dari tabel diatas dapat diketahui bahwa terdapat 3 risiko berada dalam kategori Menengah. Kategori tersebut masih termasuk dalam jenis risiko yang tidak dapat diterima oleh perusahaan, sehingga diperlukan tindakan mitigasi untuk mengurangi dampak risiko yang terjadi.

5.5 Mitigasi Risiko

Proses selanjutnya adalah melakukan mitigasi risiko, proses ini dilakukan untuk mengurangi risiko yang dihasilkan dari proses penilaian risiko. Risiko yang akan dimitigasi merupakan hasil dari 3 risiko yang telah dipetakan sebelumnya, yaitu Infrastructure (Hardware) dan Selection/ Performance of Third-part-supplier. Pada Tabel 8 akan dijelaskan langkah mitigasi.

Tabel 8. Mitigasi Risiko

Langkah Mitigasi Infrastructure (Hardware) : - Gangguan Jaringan Server

- Gangguan Koneksi Jaringan Intranet

Manusia Proses Teknologi -Memberikan sebuah tanggung jawab kepada staff TI untuk fokus pada masalah terkait -Menyusun SOP terkait tentang penanganan masalah jaringan server, dimana jaringan server melibatkan server -Menyediakan sebuah aplikasi open ticket untuk pengaduan kepada head jaringan Meningkatkan kesadaran akan gangguan jaringan dan tanggap untuk segera melakukan pengaduan

pusat pada head

office dan pada

panyedia layanan pihak ketiga office -Memberikan tanggung jawab kepada staff TI untuk fokus terhadap masalah terkait jaringan terutama jaringan intranet. -Membuat Standar Operasional Prosedur teknis mengenai proses pengaduan kepada pihak ketiga untuk penanganan gangguan. -Menyediakan sebuah aplikasi open ticket untuk pengaduan kepada pihak ketiga.

Langkah Mitigasi Selection / Performance of

Third-Party Supplier :

- Thecnical Support kurang optimal

Manusia Proses Teknologi -Memberikan

tugas kepada staff TI terkait dengan thecnical support dimana staff TI bertugas untuk berkomunikasi dengan head office. -Menyusun SOP tentang layanan secara teknis untuk hal yang berkaitan dengan operasional perusahaan . -SPV TI dengan Manajer Eksekutif melakukan evaluasi terkait kerjasama dengan pihak ketiga terkait dengan kinerja dan layanan yang diberikan dalam mendukung operasional perusahaan dan sebagai bahan evaluasi untuk pihak ketiga dalam meningkatkan kualitas. -Menyediakan aplikasi helpdesk untuk ERP Portege yang terhubung langsung dengan vendor. 5.6 Rekomendasi

Dari hasil analisis capability level dan analisis penilaian risiko TI pada PT. Kimia Farma dapat diberikan beberapa rekomendasi yang dapat digunakan untuk mengelola manajemen risiko yang baik. Dan dapat membantu PT.Kimia Farma untuk dapat mengelola dengan baik manajemen risiko TI. Berikut beberapa rekomendasi yang diharapkan dapat meningkatkan manajemen risiko :

1. Menyusun dokumen manajemen risiko mengacu berdasarkan ISO 31000:2008 untuk memenuhi standar manajemen risiko TI.

2. Menyusun dokumen mulai dari identifikasi risiko, analisis risiko, evaluasi risiko dan pengendalian risiko

untuk mempermudah dalam

pengelolaan risiko dan untuk kontrol manajemen risiko TI.

3. Membentuk team management yang

dikhususkan untuk mengelola

manajemen risiko TI pada PT. Kimia Farma.

4. Melakukan evaluasi terhadap pengendalian risiko secara berkala, karena PT. Kimia Farma bekerja sama dengan pihak ketiga dalam menangani beberapa risiko TI. Oleh sebab itu diperlukan evaluasi agar pihak ketiga turut serta dalam meningkatkan layanan kepada PT. Kimia Farma.

5. Mendokumentasikan definisi hasil dari tiap proses kegiatan dan setiap hasil dari proses manajemen risiko, serta membuat dokumentasi hasil dari pemantauan terhadap peningkatan manajemen risiko.

6. KESIMPULAN

Berdasarkan hasil dari penelitian dan analisis teknologi informasi yang dilakukan pada PT.Kimia Farma plant Watudakon, maka dapat diambil kesimpulan sebagai berikut ini :

1. Hasil dari capability level pada COBIT 5 untuk manajemen risiko yaitu EDM03

(Ensure Risk Optimation) dan

APO12(Managed Risk). Domain EDM03 berada pada level 2 dan untuk APO12 berada pada level 1. Kurangnya beberapa proses yang belum terdokumentasi secara lengkap dan dokumen perencanaan manajemen risiko belum tersedia secara lengkap.

2. Secara umum tingkat risiko TI pada PT.Kimia Farma bias dikatakan pada kategori rendah, dari 15 risk issue terdapat 3 risiko yang berada pada kategori menengah yang tingkat risikonya masih di atas ambang risiko yang diterima oleh perusahaan.

3. Strategi untuk menurunkan tingkat risiko dilakukan mitigasi terhadap 3 risiko yang masih melebihi dari batas risk appetite(batas ambang risiko ). Mitigasi yang dilakukan dengan menggunakan pendekatan dari COBIT yang meliputi kontrol aspek manusia, proses dan teknologi.

Dan saran yang dapat digunakan untuk penelitian selanjutnya dapat melanjutkan sampai dengan tahap Execute Plan sehingga dapat melengkapi Business Continuity Plan , Disaster Recovery Plan, dan Enterprise Risk Management.

7. DAFTAR PUSTAKA

Adikara, F. (2013). Implementasi Tata Kelola Teknologi Informasi Perguruan Tinggi

Berdasarkan COBIT 5 pada

Laboratorium Rekayasa Perangkat Lunak Universitas Esa Unggul. SESINDO 2013. Fitrianah, D., & Sucahyo, Y. G. (2012). Audit

Sistem Informasi/Teknologi Informasi Dengan Kerangka Kerja COBIT Untuk

Evaluasi Manajemen Teknologi

Informasi di Universitas XYZ. Jurnal Sistem Informasi, 4(1), 37-46.

Hakim, A., Saragih, H., & Suharto, A. (2015). Evaluasi Tata Kelola Teknologi Informasi

Dengan Framework COBIT. 5 di

Kementrian ESDM. Jurnal Sistem

Informasi.

Hidayat, A. R. (2015). Audit Control Capability Level Tata Kelola Sistem Informasi Menggunakan COBIT 5. Jurnal Informasi

Volume VII No.

Hayaty, M., Rosidi, A., and Arief, M.R., 2013.

Risk Assessment Dan Business Impact Analysis Sebagai Dasar Penyusunan Disaster Recovery Plan (Studi Kasus Di

Stmik Amikom Yogyakarta).

SEMNASTEKNOMEDIA ONLINE, 1(1),

pp.23-1.

ISACA. 2012. COBIT 5 Enabling Processes. USA: IT Governance Institute

ISACA., 2012. COBIT 5 : The Risk IT

Practitioner Guide.

ISACA. 2013. COBIT 5 Process Assessment. USA: IT Governance Institute

ISACA. 2013. COBIT 5 for Risk. USA: IT Governance Institute

ITGI., 2003. Broad Briefing on IT Governance

2nd Edition. Rolling Meadows : IT

Governance Institute.

Khrisna, A. (2014). Risk management

framework with COBIT 5 and risk

management framework for cloud

computing integration. In Advanced

Informatics: Concept, Theory and

Application (ICAICTA), 2014

International Conference of (pp. 103-108). IEEE.

Indah, D. R., Harlili, H., & Firdaus, A. (2015).

Risk Management for Enterprise

Resource Planning Post Implementation

Using COBIT 5 for Risk.

ICON-CSE,1(1), 113-117.

Nurdiana, N. (2016). Audit Teknologi

Informasi Menggunakan Kerangka Kerja Pada COBIT 5 Domain Align, Plan and Organise (APO) (Studi Kasus: Universitas Majalengka). STIMA.

Putri, R. E. (2015, December). Model Penilaian Kapabilitas Proses Optimasi Berdasarkan COBIT 5. In Seminar Nasional Informatika

(SEMNASIF) (Vol. 1, No. 1).

Samaptoaji, Sigit, 2014. Evaluasi Pengelolaan

Risiko Teknologi Informasi (TI) pada

Instansi Pemerintah : Studi Kasus

Direktorat Jenderal Kependudukan dan

Pencatatan Sipil Kementrian Dalam

Negeri. Jakarta : Universitas Indonesia.

Teruri, Shabrina., 2016. Evaluasi Manajemen

Resiko Migrasi Sistem MES Menggunakan COBIT 5 IT Risk (Studi Kasus : PT. Krakatau Steel (Persero)Tbk). Malang :