10 BAB 2
LANDASAN TEORI
2.1 Teori Umum
2.1.1 Pengertian Sistem
Menurut O’Brien (2008,p24), didefinisikan sistem sebagai sekumpulan komponen yang saling berhubungan dengan batasan yang jelas, bekerja bersama untuk mencapai tujuan bersama dengan menerima input serta menghasilkan output dalam proses transformasi teratur.
Sistem mempunyai tiga fungsi dasar, yaitu :
a. Input, merupakan bagian yang merakit berbagai elemen yang
dimasukkan ke dalam sistem untuk diproses.
b. Proses, merupakan bagian yang melakukan transformasi yang mengubah input menjadi output.
c. Output, merupakan bagian yang meliputi perpindahan elemen yang
telah diproduksi oleh proses transformasi ke tujuan akhirnya.
2.1.2 Pengertian Teknologi
Menurut Miarso (2007, p62), teknologi adalah proses yang meningkatkan nilai tambah, proses tersebut menggunakan atau menghasilkan suatu produk , produk yang dihasilkan tidak terpisah dari produk lain yang telah ada, dan karena itu menjadi bagian integral dari suatu sistem.
Menurut Ellul dalam Miarso (2007, p131), Teknologi adalah keseluruhan metode yang secara rasional mengarah dan memiliki ciri efisiensi dalam setiap bidang kegiatan manusia.
2.1.3 Pengertian Informasi
Menurut Kelly Rainer (2011, p10), informasi adalah data yang telah diolah menjadi sebuah bentuk yang berarti bagi penerimanya dan bermanfaat dalam pengambilan keputusan saat ini atau saat mendatang. Definisi tersebut merupakan definisi informasi dalam pemakaian system informasi.
2.1.4 Pengertian Sistem Informasi
Menurut Kelly Rainer (2011, p10), sistem informasi merupakan kombinasi teratur apa pun dari orang-orang, hardware, software, jaringan komunikasi, dan sumber daya data yang mengumpulkan, mengubah, dan menyebarkan informasi dalam sebuah organisasi.
2.1.5 . Pengertian Teknologi Informasi
Menurut O’brien (2007, p6) teknologi informasi adalah hardware,
software, telekomunikasi, manajemen database, dan teknologi pemrosesan informasi lainnya yang digunakan dalam sistem informasi berbasis komputer.
2.1.6 Infrastruktur Teknologi Informasi 2.1.6.1 Hardware
Menurut O’Brien (2007, p6), Hardware mencakup semua peralatan fisik yang digunakan dalam pemrosesan informasi. Hardware berkaitan dengan peralatan keras dengan media komunikasi, yang menghubungkan berbagai jaringan, dan memproses paket-paket data sehingga transmisi data menjadi lebih efektif.
2.1.6.2 Software
Menurut O’Brien (2007, p104), software meliputi semua rangkaian perintah pemrosesan informasi. Konsep umun software ini meliputi tidak hanya rangkaian perintah informasi yang disebut program dengan hardware komputer pengendalian dan langsung, tapi juga rangkaian perintah pemrosesan informasi yang disebut prosedur yang dibutuhkan orang-orang.
2.1.7 Jaringan
Menurut Kelly Rainer dan Casey (2011, p507), sebuah jaringan
computer terdiri atas media komunikasi peralatan-peralatan dan software
yang dibutuhkan untuk menghubungkan dua atau lebih sistem komputer dan peralatan. Ada 2 ukuran jaringan yang umum, yaitu LAN (Local
Area Networks) dan WAN (Wide Area Networks). MAN (Metropolitan Area Network) berada diantara dua ukuran tersebut. LAN menghubungkan dua atau lebih alat komunikasi sampai 2000 kaki.
Sehingga setiap pengguna alat dalam jaringan memiliki potensi untuk berkomunikasi dengan alat lainnya. WAN termasuk jaringan regional yang terdiri atas kumpulan telepon atau jaringan internasional seperti penyedia layanan komunikasi global, mungkin milik komersial, swasta, atau publik.
2.1.8 Internet, Intranet, dan Ekstranet
Menurut McLeod dan Schell (2007, p117), internet adalah jaringan komputer yang tumbuh cepat dan terdiri dari jutaan jaringan perusahaan, pendidikan, serta pemerintah yang menghubungkan ratusan juta komputer, serta pemakaian lebih dari dua ratus Negara.
Menurut McLeod dan Schell (2007, p117), intranet adalah jaringan dalam organisasi yang menggunakan teknologi internet (seperti
server, browser web, protokol jaringan, TCP/IP, database publikasi
dokumen Hipermedia HTML, dan lain-lain) untuk menyediakan lingkungan yang mirip dengan internet di dalam perusahaan untuk memungkinkan saling berbagi informasi, komunikasi, kerjasama, dan dukungan bagi proses bisnis.
Menurut McLeod dan Schell (2007, p117), ekstranet adalah hubungan jaringan yang menggunakan teknologi internet untuk saling menghubungkan intranet bisnis dengan intranet pelanggannya, supplier dan mitra bisnis lainnya.
2.1.9 Pengertian Firewall
Menurut O’brien (2007, p458) firewall adalah sebuah sistem atau perangkat yang mengizinkan pergerakan lalu lintas jaringan yang dianggap aman untuk dilalui dan mencegah lalu lintas jaringan yang tidak aman. Metode penting yang digunakan untuk mengendalikan dan mengamankan internet dan berbagai macam jaringan merupakan kegunaan dari firewall. Firewall dapat disebut sebagai “gatekeeper” atau penjaga pintu gerbang, yang melindungi internet, perusahaan dan jaringan computer lainnya dari penyusup. Firewall pada umumnya juga digunakan untuk mengontrol akses terhadap siapapun yang memiliki akses terhadap jaringan pribadi dari pihak luar.
2.1.10 Pengertian Down Time
Menurut Brian K. Williams (2009, p. 141) Downtime merupakan istilah yang merujuk kepada periode dimana sebuah sistem tidak dapat berfungsi, tidak dapat menyediakan, atau tidak dapat melakukan fungsi utamanya. Sistem tersebut tidak dapat digunakan karena adanya gangguan hardware, software, ataupun komunikasi.
2.1.11 Pengertian Virus
Menurut O’brien (2007, p446), salah satu contoh kejahatan komputer yang paling bersifat merusak adalah virus komputer atau yang biasa disebut dengan worm. Virus adalah istilah yang paling popular, secara teknis, virus adalah kode program yang tidak dapat bekerja tanpa
disertai atau dimasukkan kedalam program yang lainnya. Worm sendiri merupakan program yang berbeda yang dapat berjalan tanpa bantuan.
Dapat disimpulkan bahwa virus adalah program yang bersifat merusak dan akan aktif dengan bantuan orang dan tidak dapat mereplikasi sendiri, penyebarannya karena dilakukan oleh orang, seperti
copy file, biasanya melalui attachment email, game, program bajakan dan
lain-lain.
2.1.12 Pengertian Server
Menurut O’brien (2007, p190), server diartikan sebagai komputer yang mendukung aplikasi dan telekomunikasi dalam jaringan, serta pembagian peralatan peripheral, software dan database di antara berbagai terminal kerja dalam jaringan, dan yang kedua diartikan sebagai versi software untuk pemasangan server jaringan uang di desain untuk mengendalikan dan mendukung aplikasi pada mikro komputer klien dalam jaringan klien atau server.
2.1.13 Pengertian Switch
Menurut Brian K. Williams (2009, p. 147) Switch adalah sebuah alat jaringan yang melakukan bridging (penjembatan) transparan (penghubung segementasi banyak jaringan dengan forwarding
berdasarkan alamat MAC). Switch merupakan penghubung beberapa alat untuk membentuk suatu Local Area Network (LAN). Switch jaringan dapat digunakan sebagai penghubung komputer atau router pada satu
area yang terbatas, switch juga bekerja pada lapisan data link, cara kerja
switch hampir sama seperti bridge, tetapi switch memiliki sejumlah port
sehingga sering dinamakan multi-port bridge.
2.1.14 Pengertian Router
Menurut Brian K. Williams (2009, p. 148) Router adalah sebuah alat jaringan komputer yang mengirimkan paket data melalui sebuah jaringan atau internet menuju tujuannya, melalui sebuah proses yang dikenal sebagai routing. Router berfungsi sebagai penghubung antar dua atau lebih jaringan untuk meneruskan data dari satu jaringan ke jaringan lainnya.
2.1.15 Pengertian Prosedur
Menurut O’brien (2007, p564), prosedur adalah satu set yang terdiri dari berbagai instruksi yang digunakan oleh orang-orang untuk menyelesaikan suatu tugas. Dan menurut Steve Flick dalam artikel Writing Policies and Procedures (2011), prosedur adalah proses yang didokumentasikan. Jadi dapat disimpulkan bahwa prosedur adalah serangkaian aksi yang spesifik, tindakan atau operasi yang harus dijalankan atau dieksekusi dengan cara yang sama agar selalu memperoleh hasil yang sama dari keadaan yang sama. Lebih tepatnya, kata ini bisa mengindikasikan kegiatan, tugas-tugas, langkah-langkah, proses-proses yang dijalankan.
2.1.16 Teori Flowchart
Menurut Jogiyanto (2007, p672), Bagan alir (flowchart) adalah bagan (chart) yang menunjukkan alir (flow) di dalam program atau prosedur sistem secara logika.
Menurut Jogiyanto (2007, p678), Bagan alir program (program
flowchart) merupakan bagan alir yang mirip dengan bagan alir sistem,
yaitu untuk menggambarkan prosedur di dalam sistem.
Jadi, dapat disimpulkan bahwa Flowchart adalah penggambaran secara grafik dari langkah-langkah dan urut-urutan prosedur dari suatu program. DiagramAlir (Flowchart) digunakan untuk membantu analis dan programmer untuk memecahkan masalah kedalam segmen-segmen yang lebih kecil dan membantu dalam menganalisis alternatif-alternatif lain dalam pengoperasian.
2.1.17 Teori Rich Picture
Menurut penelitian dari Stenlund dalam Using Grounded Theory
Methodology and Rich Picture Diagrams in Analyzing Value Creation in Houses of Culture Projects in Sweden, vol. 3, special issue no. 1 2010 (p. 18), “That’s rich picture diagrams are tools suitable for analyzing complex building process”, yang artinya rich picture adalah alat yang
sesuai untuk menganalisa berbagai pembentukan proses bisnis yang kompleks.
2.1.18 Teori Event Table
Menurut Jones dan Rama (2006,p4), event adalah kejadian yang terjadi pada suatu waktu tertentu yang terdiri dari satu atau lebih objek. Dan event table dihasilkan dari aktivitas-aktivitas dari class. Bagian horizontal berisi class yang terpilih, bagian vertical berisi
event-event.
Jadi dapat disimpulkan bahwa event table adalah suatu proses mengidentifikasi aktivitas-aktivitas yang terjadi dalam sutau rangkaian sistem yang berjalan dalam perusahaan.
2.1.19 Teori Overview Activity Diagram
Menurut Jones dan Rama (2006, p61), overview activity diagram adalah “The overview activity diagram, presents a high-level view of the
business process by documenting the key events, the sequence of these events, and the information flows among these events”, yang berarti
diagram yang menggambarkan tampilan level tinggi dari proses bisnis dengan mendokumentasikan event-event yang penting urutannya, dan informasi yang menyertai event tersebut.
Menurut Jones dan Rama (2006, p65) dalam menyiapkan
overview activity diagram terdapat langkah-langkah sebagai berikut :
a. Membaca narasi dan mengidentifikasi event-event yang penting. b. Mencatat narasi secara jelas untuk mengidentifikasi event-event yang
c. Menggambarkan agent (aktor) yang terlibat dalam proses bisnis yang terjadi.
d. Membuat diagram event-event dan menunjukkan urutan event yang terjadi.
e. Menggambarkan dokumen yang dibuat dan digunakan dalam proses bisnis, serta menggambarkan aliran informasi dari dokumen tersebut. f. Menggambarkan table files yang dibuat dan digunakan dalam proses
bisnis, serta menggambarkan aliran informasi dari files tersebut. Jadi, berdasarkan pengertian para ahli yang mempunyai kesamaan arti, bahwa overview activity diagram adalah sekumpulan aliran aktivitas yang digambarkan dalam suatu diagram yang dimulai dari proses bisnis yang penting menuju ke proses bisnis yang biasa secara berurutan.
2.1.20 Teori Sequence Diagram
Menurut Jones dan Rama (2006, p67), Sequence diagam adalah suatu diagram yang menggambarkan antar objek dan mengindikasikan komunikasi diantara objek-objek diagram ini juga menunjukkan serangkaian pesan yang dipertukarkan oleh objek-objek yang melakukan suatu tugas atau aksi tertentu.
Komponen - Sequence Diagram a. Actor
Menggambarkan seseorang atau sesuatu (seperti perangkat, sistem lain) yang berinteraksi dengan sistem.
b. Boundary
Mengambarkan interaksi antara satu atau lebih actor dengan sistem, memodelkan bagian darisistem yang bergantung pada pihak lain disekitarnya dan merupakan pembatas sistem dengan dunia luar. c. Control
Menggambarkan “perilaku mengatur”, mengkoordinasikan perilaku sistem dan dinamika dari suatu sistem, menangani tugas utama dan mengontrol alur kerja suatu sistem.
d. Entity
Menggambarkan informasi yang harus disimpan oleh sistem (struktur data dari sebuah sistem)
e. Object Message
Menggambarkan pesan/hubungan antar obyek yang menunjukkan urutan kejadian yang terjadi
f. Message to Self
Mengambarkan pesan/hubungan obyek itu sendiri, yang menunjukkan urutan kejadian yang terjadi
g. Return Message
Menggambarkan pesan/hubungan antar obyek, yang menunjukan urutan kejadian yang terjadi.
h. Lifeline
Eksekusi obyek selama sequence (message dikirim atau diterima dan aktifasinya).
2.2 Teori Khusus
2.2.1 Pengertian Risiko
Menurut A.V. Rameshkumar (2010), risiko didefinisikan sebagai kemungkinan kerusakan atau kerugian. Risiko juga berarti bahwa pengambil suatu keputusan telah mengetahui kemungkinan konsekuensi dari keputusan yang diambil.
2.2.1.1 Macam-macam Risiko
Menurut Djojosoedarso (2005, p3), risiko dapat dibedakan dengan berbagai macam cara antara lain :
a. Menurut sifat risiko dapat dibedakan ke dalam :
1) Risiko yang tidak disengaja (risiko murni) adalah risiko yang apabila terjadi tentu menimbulkan kerugian dan terjadinya tanpa disengaja. Misalnya risiko terjadi nya kebakaran, bencana alam, pencurian, penggelapan, pengacauan, dan sebagainya.
2) Risiko yang disengaja (risiko spekulatif) adalah risiko yang disengaja ditimbulkan oleh yang bersangkutan, agar terjadinya ketidakpastian memberikan keuntungan kepadanya, misalnya risiko utang-piutang, perjudian, perdagangan berjangka (hedging), dan sebagainya.
3) Risiko fundamental adalah risiko yang menyebabkan tidak dapat dilimpahkan kepada seseorang dan yang menderita tidak hanya satu atau beberapa orang saja, tetapi banyak orang, seperti banjir, angin topan, dan sebagainya.
4) Risiko khusus adalah risiko yang bersumber pada peristiwa yang mandiri dan umumnya mudah diketahui penyebabnya, seperti kapal kandas, pesawat jatuh, tabrakan mobil, dan sebagainya. 5) Risiko dinamis adalah risiko yang timbul karena perkembangan
dan kemajuan (dinamika) masyarakat di bidang ekonomi, ilmu dan teknologi, seperti risiko keusangan dan risiko penerbangan ruang angkasa. Kebalikannya adalah risiko statis, contohnya seperti risiko hari tua dan juga risiko kematian.
b. Dapat tidaknya risiko tersebut dialihkan kepada piihak lain, maka risiko dibedakan ke dalam :
1) Risiko yang dapat dialihkan kepada pihak lain, dengan mempertanggungkan suatu objek yang akan terkena risiko kepada perusahaan asuransi, dengan membayar sejumlah premi asuransi, sehingga semua kerugian menjadi tanggungan (pindah) pihak perusahaan asuransi.
2) Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat diasuransikan). Umumnya meliputi semua jenis risiko spekulatif. c. Menurut Sumber/penyebab timbulnya, risiko dapat dibedakan ke
dalam :
1) Risiko inten yaitu risiko yang berasal dari dalam perusahaan itu sendiri, seperti kerusakan aktiva karena ulah karyawan, kecelakaan kerja, kesalahan manajemen, dan sebagainya.
2) Risiko ekstern yaitu risiko yang berasal dari luar perusahaan, sepertu risiko pencurian, penipuan, persaingan, fluktuasi harga, perubahan kebijakan pemerintah, dan sebagainya.
2.2.1.2 Karakteristik dan Wujud Risiko
Menurut Djojosoedarso (2005, p3), karakteristik risiko merupakan ketidakpastian atas terjadinya suatu peristiwa dan merupakan ketidakpastian bila terjadi akan menimbulkan kerugian.
Menurut Djojosoedarso (2005, p3), wujud dari risiko itu dapat bermacam- macam, antara lain :
a. Berupa kerugian atas harta milik/kekayaan atau penghasilan, misalnya diakibatkan oleh kebakaran, pencurian, pengangguran dan sebagainya.
b. Berupa penderitaan seseorang, misalnya sakit/cacat karena kecelakaan.
c.
Berupa tanggung jawab hukum, misalnya risiko dari perbuatan atau peristiwa yang merugikan orang lain.d. Berupa kerugian karena perubahan keadaan pasar, misalnya terjadi perubahan harga, perubahan selera konsumen dan sebagainya.
2.2.1.3 Upaya Penanggulangan Risiko
Menurut Djojosoedarso (2005, p4), upaya-upaya untuk menanggulangi risiko harus selalu dilakukan, sehingga kerugian dapat dihindari atau diminimumkan. Sesuai dengan sifat dan objek yang
terkena risiko, ada beberapa cara yang dapat dilakukan perusahaan untuk meminimumkan risiko kerugian, antara lain :
a. Melakukan pencegahan dan pengurangan terhadap kemungkinan terjadinya peristiwa yang menimbulkan kerugian.
b. Melakukan retensi, artinya mentolerir membiarkan terjadinya kerugian, dan untuk mencegah terganggunya operasi perusahaan akibat kerugian tersebut disediakan sejumlah dana untuk menanggulanginya.
c. Melakukan pengenadalian terhadap risiko.
d.
Mengalihkan / memindahkan risiko kepada pihak lain.e.
Tugas dari manager risiko adalah berkaitan erat dengan upaya memilih dan menentukan cara-cara / metode yang paling efisien dalam penanggulangan risiko yang dihadapi perusahaan.2.2.2 Risiko Teknologi Informasi
2.2.2.1 Kategori Risiko Teknologi Informasi
Menurut Hughes (2006, p36), kategori risiko teknologi informasi antara kehilangan informasi potensial dan pemulihannya, antara lain :
a. Keamanan
Risiko yang informasinya diubah atau digunakan oleh orang yang tidak berotoritas. Ini merupakan kejahatan komputer, kebocoran internal dan terorisme cyber.
b. Ketersedian
Risiko yang datanya tidak dapat diakses, seperti setelah kegagalan sistem, karena kesalahan manusia, perubahan konfigurasi, kurangnya pengurangan arsitektur atau akibat lainnya.
c. Daya pulih
Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam waktu yang cukup setelah sebuah kejadian keamanan atau ketersediaan seperti kegagalan perangkat lunak atau keras, ancaman eksternal, atau bencana alam.
d. Performa
Risiko dimana informasi tidak tersedia saat diperlukan yang diakibatkan oleh arsitektur terdistribusi, permintaan yang tinggi dan topografi informasi teknologi yang beragam.
e. Daya skala
Risiko perkembangan bisnis, peraturan bottleneck, dan bentuk arsitekturnya membuat tidak mungkin menangani banyak aplikasi baru dan biaya bisnis yang efektif.
f. Ketaatan
Risiko yang manajemen atau pengginaan informasinya melanggar keperluan regulator. Yang dipersalahkan dalam hal ini mencakup regulasi pemerintah, panduan pengaturann korporat dan kebijakan internal.
2.2.2.2 Kelas-kelas Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005, p49), risiko-risiko teknologi didefinisikian dalam 7 kelas, dimana pada setiap kasus, teknologi informasi dapat juga melakukan kesalahan, tetapi konsekuensi-konsekuensinya dapat berakibat negative bagi bisnis. Kelas – kelas risiko: a. Projects – failing to deliver
Risiko ini bersangkutan dengan gagalnya suatu proyek TI. Beberapa contoh dari gagalnya penyampaian proyek adalah: menyelesaikan proyek yang ada telat/tidak tepat waktunya, sumber daya dan biaya yang di konsumsi dalam penyelesaian proyek besar sehingga tidak efisien, mengganggu proses bisnis selama proses implementasi, dan juga fungsi dari proyek tidak sesuai dengan keinginan yang diharapkan user.
b. IT service continuity – When Business operations go off the air
Risiko ini berhunbungan dengan pelayanan TI yang ketinggalan jaman dan tidak dapat diandalkan sehingga menggangu proses bisnis yang sedang berjalan. Biasanya berhubungan dengan sistem operasional dan produk perusahaan serta kemampuan mereka untuk menyediakan kebutuhan dari user.
c. Information assets – failing too protect and preserve
Risiko ini berhubungan khusus dengan kerusakan, kehilangan dan eksploitasi asset informasi yang ada dalam sistem. Dampaknya bisa sangat fatal bagi perusahaan, contohnya informasi yang penting bisa dicuri oleh perusahaan, contohnya informasi yang penting bisa di curi
oleh perusahaan competitor, detail dari kartu kredit dapat dilihat oleh pihak yang tidak berwenang. Sehingga dengan demikian akan merukak hubungan antara pelanggan dengan perusahaan. Ini tentunya akan sangat merugikan perusahaan.
d. Service providers and vendors – breaks in the IT value chain
Risiko ini berhubungan dengan kemampuan provider dan vendor. Bila mereka gagal dalam menyediakan pelayanan yang baik bagi kita, maka akan berdampak signifikan bagi sistem TI perusahaan. Dampak lainnya berhubungan dengan dampak jangka panjang seperti kekurangan dalam penyediaan layanan TI bagi user perusahaan tersebut.
e. Applications – flaky systems
Risiko ini berhubungan dengan kegagalan aplikasi TI yang diterapkan. Aplikasi biasanya berindikasi dengan user dan dalam suatu perusahaan biasanya terdapat kombinasi antara software paket dan software buatan yang diintigrasikan menjadi satu.
f. Infrastructure – shaky foundations
Risiko ini behubungan dengan kegagalan dalam infrastuktur TI. Infrastruktur adalah suatu nama umum bagi komputer namun jaringan yang sedang dipakai dan berjalan diperusahaan tersebut. Di dalam infrastruktur juga termasuk software, seperti sistem operasi dan sistem database management. Kegagalan infrastruktur TI bisa bersifat permanen, ketika suatu komponen terbakar, dicuri, rusak maupun koneksi jaringannya sedang putus, maka dampak dari kegagalan
tersebut tergantung dari ketahanan sistem yang ada. Apabila terdapat sistem yang tidak kompatibel dengan model yang baru, maka sistem tersebut perlu diganti. Apabila risiko ini dapat ditangani secara rutin, maka ini merupakan suatu perencanaan jangka panjang yang baik.
g. Strategic and emergent – disabled by IT
Risiko ini berhubungan dengan kemampuan TI untuk memberitahukan strategi bisnis yang dilakukan. Dampak-dampak yang tidak langsung tetapi sangat signifikan dalam pelaksanaan bisnis secara luas. Risiko merupakan kemampuan dari perusahaan untuk terus bergerak ke arah visi strategi. Untuk tetap kompetitif diperlukan kemajuan TI untuk dipahami dan dicocokan dengan potensi kesempatan eksploitasi bagi bisnis.
2.2.3 Pengukuran Risiko Teknologi Informasi
Berdasarkan penelitian yang kami lakukan, maka ditemukan metode pengukuran risiko teknologi informasi, yaitu dengan pendekatan FRAP.
2.2.3.1 Pengertian FRAP (Facilitated Risk Analysis Process)
Menurut Thomas R. Peltier (2001, p69), FRAP (Facilitated
Risk Analysis Process) merupakan suatu pendekatan dalam melakukan
analisis risiko kualitatif. Dengan menggunakan FRAP diharapkan proses analisis risiko dapat dilakukan dalam hitungan hari, bukan mingguan atau bulanan. Dengan demikian analisis risiko bukan merupakan kendala, tetapi proses yang sangat mungkin dilakukan dan juga diperlukan. FRAP
bukan suatu metodologi, tetapi suatu pendekatan terhadap proses penentuan risiko dan dampaknya, proses penentuan prioritas, dan proses penentuan kontrol pengamanan.
2.2.3.2 Komponen Utama dalam FRAP
Menurut Thomas R. Peltier (2001, p72), pendekatan FRAP (Facilitated Risk Analysis Process) adalah bentuk pendekatan analisis risiko kualitatif yang paling banyak digunakan saat ini. FRAP terdiri dari 3 komponen utama, diantaranya :
1. Pre-FRAP Meeting
Pre-FRAP meeting ini merupakan kunci sukses dalam suatu proyek.
Pada tahap ini pertemuan biasanya berlangsung sekitar satu jam dan biasanya dilakukan di kantor klien.
Ada 5 komponen utama yang muncul dari sesi ini : a. Scope Statement
Pemimpin proyek dan manajer bisnis membuat pernyataan mengenai peluang-peluang yang ada untuk kemudian ditinjau. b. Visual Model
Pembuatan diagram proses (gambaran) mengenai pernyataan ruang lingkup untuk ditinjau kembali.
c. Team Members
Membangun tim FRAP yang terdiri atas 7 – 15 orang anggota yang berhubungan dengan sistem yang terkait.
d. Meeting Mechanics
Manager bisnis bertanggung jawab dalam menyediakan ruangan meeting, menyusun jadwal, dan juga menyiapkan bahan-bahan yang dibutuhkan.
e. Agreement of Definition
Dalam sesi pre-FRAP dibutuhkan persetujuan terhadap definisi FRAP. Persetujuan tersebut haruslah berdasarkan pada adanya risk, control, impact, dan vulnerability. Selama sesi pre-FRAP sangatlah penting untuk mendiskusikan ancaman utama dalam proses bisnis.
2. FRAP Session
Pada tahap ini pertemuan biasanya berlangsung selama empat jam. Komponen-komponen yang muncul dari tahap ini diantaranya adalah: a. Identified Risks
Mengidenifikasi risiko yang mungkin terjadi pada sistem bisnis perusahaan.
b. Priotized Risks
Menentukan risiko utama dari semua risiko yang mungkin terjadi (yang memilki ancaman terbesar).
c. Suggested Controls
Memberikan solusi pengendalian untuk meminimalisir risiko dan juga ancaman yang mungkin terjadi.
Definisi-definisi dalam tahap ini yang harus dipahami diantaranya adalah :
a. High Vulnerability : tingkat kelemahan yang sangat besar yang
ada di dalam sistem atau operasional perusahaan dan berpotensi berdampak pada proses bisnis secara signifikan sehingga kontrol harus ditingkatkan.
b. Medium Vulnerability : ada beberapa kelemahan dan berpotensi
berdampak pada proses bisnis secara signifikan, kontrol dapat dilakukan dan harus ditingkatkan.
c. Low Vulnerability : sistem sudah dibangun dengan baik dan
dioperasikan dengan benar. Tidak ada kontrol tambahan yang dibutuhkan untuk mengurangi kerentanan.
d. Severe Impact (High) : cenderung menempatkan perusahaan di
luar dari bisnis atau sangat merusak prospek usaha dan pembangunan.
e. Significant Impact (Medium) : akan menyebabkan kerusakan
yang signifikan dan biaya, namun perusahaan akan bertahan. f. Minor Impact (Low) : operasional yang diharapkan mampu
dikelola sebagai bagian dari business life cycle.
Berikut merupakan Matriks Prioritas dalam menganalisa aksi dan kontrol yang harus diimplementasikan berdasarkan tipe tinggi atau rendahnya dampak bisnis dan tingkat kerentanan yang dapat terjadi pada sistem perusahaan.
Gambar 2.1 Matriks Prioritas Keterangan:
A – tindakan korektif harus diterapkan B – tindakan perbaikan yang diusulkan C – membutuhkan pemantauan
D – tidak ada tindakan yang diperlukan
Setelah tahapan pertama dari FRAP session ini telah selesai, maka tim akan berlanjut melaksanakan tahapan kedua dari FRAP Session, yaitu :
a) Mengidentifikasi kontrol yang ada
b) Menentukan kontrol terhadap risiko high-level (dalam hal ini risiko yang memiliki prioritas A dan B), yang belum memiliki kontrol sebelumnya.
c) Memilih kelompok atau orang yang bertanggung jawab untuk mengimplementasikan rekomendasi kontrol yang diusulkan sebelumnya.
3. Post FRAP Meeting
Pada tahap ini pertemuan biasanya berlangsung sekitar 10 hari dan memiliki tiga elemen, yaitu :
a. Creation on the Cross-References Sheet
Membuat cross-reference sheet berdasarkan table risiko dan table kontrol untuk mengidentifikasi pengendalian yang cocok dengan risiko yang teridentifikasi.
b. Creation on the Action Plan
Untuk mendapatkan laporan lengkap, project leader dan fasilitator harus membuat action plan (rencana aksi), yaitu dengan menggabungkan risiko dari risk list dengan kontrol yang disarankan dari control list, dengan tujuan mengetahui tindakan apa yang dilaksanakan dan oleh siapa dilaksanakan, serta status dari rencana aksi tersebut agar dapat membantu perusahaan dalam melaksanakan penetapan kontrol yang diusulkan.
2.2.3.3 Tahapan FRAP
Tahapan di dalam FRAP, yaitu :
1. The Pre FRAP Meeting
a. Menjelaskan mengenai proses FRAP dan komponen sistem yang akan dianalisis.
b. Menentukan ruang lingkup
d. Menentukan tim-tim yang akan ikut serta dalam proses FRAP
e. Menentukan waktu, ruang dan berbagai kebutuhan lainnya yang dibutuhkan selama meeting berlangsung.
f. Persetujuan terhadap definisi.
2. The FRAP Session
a. Logistic : perkenalan anggota FRAP
b. Overview pernyataan ruang lingkup (visual model) dan
persetujuan definisi.
c. Proses Brainstorming dilakukan dengan memberi kesempatan kepada tiap anggota tim untuk menulis risiko yang mungkin dari sistem yang didiskusikan pada selembar kertas kecil. Setelah 5 menit, fasilitator akan mengumpulkan kertas tersebut dan proses tersebut diulang sampai tidak ada risiko yang dapat teridentifikasi lagi.
d. Kemudian fasilitator akan menyortir dan mengumpulkan risiko yang serupa serta menempelkannya pada papan. Sementara anggota tim lainnya diberi kesempatan untuk break selama 10-15menit.
e. Proses dilanjutkan dengan menentukan prioritas dari risiko yang telah diidentifikasikan berdasarkan criteria dan juga definisi yang telah disepakati pada sesi Pre-FRAP Meeting. f. Langkah berikutnya yaitu penentuan kontrol, dimulai dari
dapat seperti pada cara penentuan risiko (sample priority
matrix) atau dengan cara memberikan daftar kontrol
pengamanan yang biasa digunakan dalam sistem yang sejenis dan meinta tim untuk memilih kontrol pengamanan yang cocok serta menentukan orang yang berhak atau wajib melakukan kontrol tersebut.
3. The Post FRAP Meeting
a. Membuat cross-references sheet yang berisikan masing-masing kontrol dan risiko-risiko apa saja yang dapat berkurang sebagai akibat dari pelaksanaan kontrol tersebut. b. Project leader dan fasilitator akan melihat kontrol mana saja
yang sudah diterapkan pada risiko yang ada.
c. Project leader dan fasilitator akan bertemu dengan manajer
bisnis untuk meninjau ulang dan mengidentifikasi kontrol apa saja yang dapat digunakan untuk mengatasi risiko-risiko yang masih terbuka.
d. Membuat action plan untuk risiko-risiko yang masih terbuka dan risiko-risiko yang akan diimplementasikan kontrolnya.
Project leader, fasilitator dan manajer bisnis menentukan
kontrol apa saja yang paling efektif dan menentukan pihak mana saja yang akan mengimplementasikan kontrol tersebut beserta dengan tanggal pelaksanaannya.
e. Setelah risiko tersebut telah dikontrol atau ternyata manajer bisnis telah mengidentifikasikan bahwa risiko tersebut dapat diterima maka final report akan dibuat.
2.2.3.4 Populasi dan Sampel 2.2.3.4.1 Populasi
Menurut Suharsini Arikunto (2010, p.173) Populasi adalah keseluruhan subjek penelitian. Apabila seseorang ingin meneliti semua elemen yang ada dalam wilayah penelitian, makan penelitiannya merupakan penelitian populasi. Studi atau penelitiannya juga disebut studi populasi atau studi sensus.
2.2.3.4.2 Sampel
Menurut Suharsini Arikunto (2010, p.174) Sampel adalah sebagian atau wakil populasi yang diteliti. Dinamakan penelitian sample apabila kita bermaksud untuk menggeneralisasikan hasil penelitian sampel. Dengan rumus Jacob Cohen :
N = L + u + 1
Dengan keterangan : N = Ukuran Sampel f2 = Efek Size
U = Banyaknya ubahan yang terkait dalam penelitian L = Fungsi power dari U, diperoleh dari tabel, t.s. 1%