MANAJEMEN RISIKO TEKNOLOGI INFORMASI
STUDI KASUS PADA BADAN PUSAT STATISTIK
PRODUK LAYANAN :
PELAYANAN STATISTIK TERPADU (PST)
Disusun untuk Ujian Akhir Semester (UAS)
Mata Kuliah Nilai dan Risiko Teknologi Informasi (IF 5142) Dosen: Dr. Ir. Ing. Suhardi, MT., MM., ERMCP.
Oleh :
Novianto Budi Kurniawan NIM. 23512176
MAGISTER INFORMATIKA
SEKOLAH TEKNIK ELEKTRO DAN INFORMATIKA (STEI) INSTITUT TEKNOLOGI BANDUNG
ABSTRAKSI
Pelayanan Statistik Terpadu (PST) merupakan program layanan statistik yang menjadi prioritas utama BPS dan menjadi domain dari program percepatan (Quick Wins) untuk meningkatkan kualitas pelayanan publik serta kualitas pendiseminasian data dan informasi statistik. Dalam rangka mewujudkan kualitas pelayanan statistik yang prima, BPS mengimplementasikan Teknologi Informasi (TI) melalui sistem Pelayanan Statistik Terpadu untuk meningkatkan kepuasan pengguna data terhadap data dan layanan statistik BPS. Implementasi sumber
daya TI selain dapat dipandang sebagai aset organisasi yang perlu dijaga dan dilindungi juga mengandung risiko bisnis bagi organisasi tersebut. Kehadiran TI selain dapat membantu organisasi dalam upaya mencapai tujuan organisasi juga menghadirkan risiko yang perlu dikelola dengan baik. Oleh karenanya diperlukan
suatu manajemen risiko TI bagi organisasi. Paper ini akan membahas mengenai peranan dan nilai TI pada organisasi BPS serta proses manajemen risiko TI yang mungkin timbul karena penggunaan sumber daya TI tersebut.
Keyword : Pelayanan Statistik Terpadu, Sumber Daya TI, Nilai TI, Manajemen Risiko TI, Badan Pusat Statistik, ISO 31000.
I. PENDAHULUAN
1.1. Profil Instansi
Badan Pusat Statistik (BPS) merupakan Lembaga Pemerintah Non Kementrian (LPNK) yang bertanggung jawab didalam penyediaan data statistik dasar dan sektoral seperti diatur didalam Undang-Undang Nomor 16 tahun 1997 tentang Statistik. BPS mempunyai tugas dan peranan sebagai penyedia data dan informasi statistik yang berkualitas: lengkap, akurat, mutakhir, berkelanjutan, dan relevan
bagi pengguna data. Data dan informasi statistik yang berkualitas merupakan rujukan bagi upaya perumusan kebijakan dalam menyusun perencanaan, melakukan pemantauan dan mengevaluasi program-program agar sasaran-sasaran yang telah ditetapkan dapat dicapai dengan tepat, sehingga tujuan pembangunan,
diantaranya untuk meningkatkan kesejahteraan rakyat, dapat dicapai dengan efektif [1]. Proses penyediaan data dan informasi statistik yang dihasilkan BPS menjadi bagian yang tidak terpisahkan dari masyarakat yang disebarluaskan melalui berbagai media dengan berbagai cara agar pemanfaatannya bisa menjangkau secara luas, baik di dalam maupun di luar negeri.
yang mendasar terhadap sistem penyelenggaraan kegiatan perstatistikan nasional sehingga dapat memberikan pelayanan yang prima kepada pengguna data [1] [3].
1.2. Visi dan Misi BPS
Visi BPS 2010-2014 dibangun dengan memperhatikan berbagai kekuatan dan kelemahan internal serta peluang dan tantangan yang dihadapi melalui landasan pemikiran yang proaktif [1]. Visi BPS selaku Pelopor Data Statistik Terpercaya Untuk Semua menuntut BPS untuk dapat bekerja secara professional, integritas dan amanah demi mewujudkan perstatistikan nasional yang handal dan terpercaya. Dengan visi tersebut, eksistensi BPS sebagai penyedia data dan informasi statistik menjadi semakin penting, sehingga dapat dipercaya oleh semua
pihak. Berdasarkan visi BPS tersebut, maka misi BPS dalam rangka pembangunan Sistem Statistik Nasional (SSN) mencakup:
1. Memperkuat landasan konstitusional dan operasional lembaga statistik untuk penyelenggaraan statistik yang efektif dan efisien;
2. Menciptakan insan statistik yang kompeten dan profesional, didukung pemanfaatan teknologi informasi mutakhir untuk kemajuan perstatistikan Indonesia;
3. Meningkatkan penerapan standar klasifikasi, konsep dan definisi, pengukuran, dan kode etik statistik yang bersifat universal dalam setiap penyelenggaraan statistik;
4. Meningkatkan kualitas pelayanan informasi statistik bagi semua pihak; 5. Meningkatkan koordinasi, integrasi, dan sinkronisasi kegiatan statistik
yang diselenggarakan pemerintah dan swasta, dalam kerangka SSN yang efektif dan efisien.
1.3. Tujuan dan Sasaran Strategis BPS
digunakan sebagai panduan bagi BPS untuk mencapai visi dan misi BPS serta meningkatkan kinerja dalam melaksanakan kegiatan statistik, dimana tujuan strategis ini akan bersinergi dalam penyediaan data dan informasi statistik yang berkualitas [1]. Tujuan dan sasaran strategis BPS adalah sebagai berikut :
Tujuan 1 : Meningkatkan Ketersediaan Data dan Informasi Statistik yang Berkualitas
Tujuan 2 : Meningkatkan Pelayanan Prima dalam Rangka Mewujudkan SSN yang Andal, Efektif, dan Efisien
Tujuan 3 : Penguatan Teknologi Informasi dan Komunikasi Serta Sarana Kerja
Tujuan 4 : Peningkatan Kapasitas SDM dan Penataan Kelembagaan
1.4. Peningkatan Kualitas Data
Peningkatan kualitas data menjadi salah satu tujuan strategis yang akan dicapai
BPS dalam mendukung strategi dan arah kebijakan nasional [1]. Sejalan dengan strategi dan arah kebijakan BPS, selama lima tahun ke depan BPS perlu mengupayakan reformasi dan perubahan terhadap pembangunan kegiatan statistik secara menyeluruh [1] [2] [3]. Proses peningkatan kualitas data ini, pada gilirannya akan dicerminkan oleh berkurangnya timelines penyajian data, meningkatkan kualitas penyajian, meningkatkan pelayanan publik dan memberikan kemudahan kepada pengguna data untuk mengakses data dan informasi statistik. Untuk mencapai target peningkatan kualitas data statistik dan peningkatan pelayanan publik tersebut, maka BPS menetapkan produk/layanan statistik BPS yang berorientasi kepada peningkatan kualitas pelayanan publik.
1.5. Produk/Layanan BPS
percepatan ini dirancang untuk meningkatkan nilai, manfaat serta kepentingan produk dan layanan statistik BPS dimata pengguna data sehingga berdampak langsung pada peningkatan public value BPS.
Program Quick Wins [3]ini dipilih dengan memperhatikan produk statistik yang memiliki daya ungkit (leverage) tinggi, inovatif, dan merupakan terobosan yang terkait dengan produk utama (core business) BPS. Untuk menjawab tantangan tersebut, BPS menetapkan tiga program Quick Wins yaitu:
(1) Penyempurnaan Pelayanan Statistik, melalui penyempurnaan tampilan dan fasilitas website BPS, diantaranya dengan membuat Tabel Dinamis (2) Pelayanan Statistik Terpadu (PST), dengan cara memberikan pelayanan
kepada pengguna data melalui pelayanan satu pintu.
(3) Advanced Release Calendar (ARC), yaitu menyediakan informasi jadwal terbit publikasi statistik (bulanan, triwulanan, semesteran, dan tahunan) yang dipublikasikan melalui website supaya pengguna data mendapat kepastian waktu publish data, informasi dan publikasi statistik.
Tabel 1.1. Daftar Produk/Layanan Statistik BPS
No Indikator Kinerja
(Public Value) Produk/Layanan Statistik Deskripsi
(1) (2) (3) (4)
PST merupakan pengembangan layanan statistik secara terpadu (satu pintu), meliputi : sistem aplikasi buku tamu, sistem aplikasi digital library, sistem aplikasi perpustakaan tercetak, dan sistem aplikasi perpustakaan online, layanan data mikro, konsultasi dan rekomendasi statistik.
2. Tabel Dinamis (Website) Tabel dinamis merupakan
pengembangan dari content website BPS yang memberikan fasilitas kepada pengguna data untuk mengakses tabel data statistik secara dinamins sesuai dengan keinginan pengguna data sendiri 4 Tersedianya
informasi Ketepatan Waktu Publikasi
3. Advanced Release
Calendar (ARC)
ARC menyediakan informasi jadwal terbit publikasi statistik (bulanan, triwulanan, semesteran, dan tahunan) yang dipublikasikan melalui website
Tabel 1.1. memperlihatkan daftar produk/layanan statistik BPS yang termasuk dalam program Quick Wins yang dapat menunjang pencapaian indikator kinerja (public value) BPS. Pembahasan selanjutnya akan difokuskan hanya pada 1 (satu) produk/layanan statistik BPS saja, yaitu Pelayanan Statistik terpadu. Rincian
capability dan IT resources yang digunakan pada produk/layanan PST tersebut dapat dilihat pada Tabel 1.2.
Tabel 1.2. IT Resources-Capability-Public Value dari PST
No
Indikator Kinerja (Public Value)
Produk/Layanan
Statistik IT Resources Capabilities
Keterangan Public
1.5. Identifikasi Indikator Kinerja (Public Value)
Dalam rangka peningkatan kualitas Pelayanan Statistik Terpadu, BPS menetapkan indikator kinerja PST berdasarkan Rencana Strategis BPS Tahun 2010 – 2014 yang disempurnakan melalui Rencana Kinerja Tahunan BPS Tahun Anggaran 2013 [4]. Tabel 1.3 dan Tabel 1.4. memperlihatkan daftar indikator kinerja utama (public value) BPS menurut sasaran strategis dan ukuran penilaian indikator kinerja untuk layanan PST tersebut :
Tabel 1.3. Daftar Indikator Kinerja (Public Value) PST
Sasaran Strategis Indikator Kinerja
(Public Value) Deskripsi (Penjelasan)
(1) (2) (3)
Pengembangan layanan statistik secara terpadu (satu pintu), meliputi : sistem aplikasi buku tamu, sistem aplikasi digital library,
sistem aplikasi perpustakaan tercetak, layanan data mikro, konsultasi/rekomendasi statistik. 2. Tercapainya kepuasan
pengguna data terhadap data dan layanan statistik
Tabel 1.4. Ukuran Penilaian Indikator Kinerja PST
No Indikator Kinerja
Ukuran Penilaian Cara Mengukur
(1) (2) (3) (4)
1 Tersedianya Layanan Statistik Terpadu
1. Jumlah pengunjung yang datang ke Pelayanan Statistik Terpadu
2. Jumlah Pengunjung berulang yang menggunakan data BPS
Σ realisasi pengunjung PST x100% Σ target pengunjung
Σ realisasi pengunjung berulang x100% Σ target pengunjung berulang
3. Persentase konsumen yang merasa puas dengan layanan data BPS
4. Persentase konsumen yang merasa puas terhadap akurasi data
5. Persentase konsumen yang merasa puas terhadap cakupan data
1.6. Target Kinerja BPS
Target kinerja PST berdasarkan indikator kinerja (public value) diperoleh berdasarkan sumber pada Lampiran 1 Rencana Kinerja Sasaran BPS Tahun 2013 yang tertuang didalam Rencana Kinerja Tahunan BPS Tahun Anggaran 2013 [4].
Tabel 1.5. Target Kinerja PST BPS Tahun 2013
No Indikator Kinerja
(Public Value) Ukuran Penilaian Satuan Target
(1) (2) (3) (4) (5)
1 Tersedianya Layanan Statistik Terpadu
1. Jumlah pengunjung yang datang ke Pelayanan Statistik Terpadu
Orang 10.000
2. Jumlah Pengunjung berulang yang menggunakan data BPS
Orang 1.000
2 Tercapainya kepuasan pengguna data terhadap data dan layanan statistik
3. Persentase konsumen yang merasa puas dengan layanan data BPS
Persen 90
4. Persentase konsumen yang merasa puas terhadap akurasi data
Persen 70
5. Persentase konsumen yang merasa puas terhadap cakupan data
II. ANALISIS NILAI TI BAGI ORGANISASI
2.1. Model Nilai TI
Gambar 2.1. Model Nilai TI bagi Organisasi
Gambar 2.1 memperlihatkan model nilai TI bagi organisasi yang mempermudah pemahaman mengenai nilai TI bagi organisasi mengenai sumber daya TI (IT resources), kapabilitas organisasi (organization capabilities), kompetensi inti organisasi (organization core competences), keunggulan kompetitif nilai dan kinerja organisasi (competitive advantages organization value and performances) dan target.
2.2. Sumber Daya TI (IT Resources)
Sumber daya Teknologi Informasi (TI) jika dilihat secara lebih spesifik tidak berdampak secara langsung kepada tujuan organisasi. TI berperan sebagai enabler
pada organisasi untuk menunjang aktifitas operasional yang nantinya berdampak kepada tujuan dan strategi perusahaan. Nilai TI mendukung nilai bisnis melalui penciptaan kapabilitas organisasi sehingga organisasi mampu mencapai keunggulan kompetitifnya dan memenuhi target yang ditetapkan. Saat ini pandangan nilai TI terhadap nilai bisnis organisasi tidak lagi bersifat parsial. TI
tidak lagi dipandang sebagai sebuah tool yang terpisah (separated) dari perangkat organisasi, tetapi sudah dianggap sebagai salah satu sumber daya (resources) yang memiliki peran yang sama penting dengan sumber daya lain seperti finansial, aset, dan SDM. Sumber daya TI yang diidentifikasikan dalam COBIT dapat diterangkan atau diidentifikasikan sebagai berikut [6]:
IT# Resources#
Organization# Capabilities#
Organization# Core# Competences#
Competitive# Advantages# Organization#
Value#and# Performance#
Target#
1. Aplikasi (Application), merupakan suatu sarana atau tool yang digunakan untuk mengolah dan menyimpulkan atau meringkas, baik prosedur manual maupun yang terprogram.
2. Informasi (Information), adalah data-data yang telah diolah untuk kepentingan manajemen dalam membantu mengambil keputusan dalam menjalankan roda bisnisnya. Data-data terdiri obyek-obyek dalam pengertian yang lebih luas (yakni internal dan eksternal), terstruktur dan tidak terstruktur, grafik, suara dan sebagainya.
3. Infrastruktur (Infrastructure), mencakup hardware, software, sistem operasi,
sistem manajemen database, jaringan (networking), multimedia, dan fasilitas-fasilitas lainnya.
4. Sumber Daya Manusia/SDM (People), merupakan sumber daya yang paling penting bagi organisasi dalam pengelolaan dan operasionalisasi bisnis
organisasi. Kesadaran dan produktivitasnya dibutuhkan untuk merencanakan, mengorganisasikan, melaksanakan, memperoleh, menyampaikan, mendukung, dan memantau layanan TI organisasi.
Tabel 2.1. Identifikasi sumber daya TI untuk layanan PST BPS
No IT Resources Keterangan
(1) (2) (3) (4)
1 Application Aplikasi PST, meliputi :
• Sistem Administrasi dan Pengelolaan Publikasi
• Sistem Administrasi dan Pengelolaan Layanan Data
• Online Publication Access Catalogue
(OPAC)
• Digital Library
• Sistem Informasi Publikasi Statistik
Aplikasi layanan statistik secara terpadu, meliputi : sistem aplikasi pengelolaan publikasi, sistem aplikasi digital library, sistem aplikasi perpustakaan tercetak,
dan online, layanan data mikro,
konsultasi dan rekomendasi statistik.
2 Information • Data dan Informasi Pengguna
• Data dan Informasi Publikasi Statistik
Meliputi data/informasi
mengenai publikasi statistik yang direkam dan data/informasi pengguna (customer)
3 Infrastructure PC, web server, database server, client
sistem operasi, web services technologies
dan network devices
Infrastruktur hardware dan
software penyedia layanan PST
4 People SDM : Administrator, Operator,
Maintenance, Front Office
2.3. Kapabilitas Organisasi (Organization Capabilities)
Kapabilitas organisasi mengacu pada kemampuan keseluruhan dari suatu organisasi yang jika dimanfaatkan secara optimal dan tepat akan menjadi suatu keunggulan kompetitif bagi organisasi dalam mencapai tujuan dan sasarannya. Berdasarkan Tabel 1.2. terlihat bahwa ada 2 (dua) capability yang dihasilkan melalui produk/layanan PST, yaitu Communication dan Operational. Gambar 2.2. memperlihatkan analisis diagram interaksi PST dengan capability tersebut.
Gambar 2.2. Diagram Analisis Capability dari PST
Berdasarkan Gambar 2.2. tersebut terlihat bahwa 2 (dua) capability yang terdefinisi pada BPS melalui produk/layanan PST adalah Communication dan Operational. Melalui communication capability ini BPS menyediakan transparansi informasi dan fasilitas pengaksesan publikasi (produk) statistik, sehingga menghasilkan public value berupa kemudahan akses bagi pengguna data untuk mendapatkan informasi, publikasi statistik serta layanan statistik lainnya secara terintegrasi, meliputi pustaka tercetak (publikasi cetak), pustaka digital (publikasi digital), dan layanan statistik lainnya, seperti data mikro, data makro, konsultasi serta rekomendasi kegiatan statistik. Melalui capability dan public value ini, BPS akan mencapai target kinerjanya untuk indikator kinerja tersedianya layanan statistik terpadu.
kepuasan pengguna dari sisi pelayanan statistik satu atap secara terintegrasi (pustaka tercetak, pustaka digital, layanan data mikro, data makro, konsultasi statistik dan rekomendasi kegiatan statistik).
2.4. Kompetensi Inti Organisasi (Organization Core Competences)
Kompetensi inti organisasi merupakan Sebuah bidang keahlian khas dari sebuah organisasi yang sangat penting untuk keberhasilan jangka panjang. Kompetensi ini dibangun dari waktu ke waktu dan tidak dapat ditiru dengan mudah. Kompetensi inti organisasi ini dapat membedakan suatu organisasi/perusahaan dari para pesaingnya dan memberikan keunggulan kompetitif [7]. Kompetensi inti organisasi BPS sehubungan dengan layanan PST tersebut adalah menjadi instansi
pemerintah (public sector) yang terdepan dalam memberikan pelayanan statistik secara prima kepada masyarakat, yakni pelayanan yang tangkas (agile), efektif, efisien dan handal.
2.5. Keunggulan Kompetitif (Competitive Advantage)
Keunggulan kompetitif (competitive advantage) menunjukkan karakteristik dari sebuah organisasi yang memungkinkan untuk menciptakan lebih banyak keuntungan karena lebih baik dalam memenuhi kebutuhan pelanggan daripada para pesaingnya. Hal ini terjadi karena organisasi dapat mewujudkan layanan prima untuk setiap produk atau jasanya, atau karena dapat menjalankan proses bisnisnya dengan lebih efektif dan efisien yang berorientasi terhadap kepuasan pelanggan [8]. Keunggulan kompetitif organisasi BPS sehubungan dengan layanan PST disini mengacu pada kinerja dan nilai organisasi di mata pengguna layanan sebagaimana didefiniskan pada indikator kinerja PST BPS (Tabel 1.4), yaitu meningkatkan kepuasan pengguna data terhadap pelayanan statistik BPS.
2.6. Target
Berdasarkan uraian komponen-komponen model nilai TI diatas dalam kaitannya dengan layanan PST BPS, maka model nilai TI bagi organisasi BPS (Gambar 2.1) dapat diimplementasikan secara lengkap sebagaimana tertera pada Gambar 2.3.
Gambar 2.3. Model Nilai TI pada Pelayanan Statistik Terpadu BPS 1. Aplikasi PST, meliputi :
• Sistem Administrasi dan Pengelolaan Publikasi • Sistem Administrasi dan Pengelolaan Layanan Data
• Online Publication Access Catalogue (OPAC)
• Digital Library
• Sistem Informasi Publikasi Statistik
2. Informasi : Data dan Informasi Publikasi Statistik dan Pengguna Data
3. Infrastruktur penyedia layanan PST, seperti : PC, web server,
database server, client, sistem operasi, web services technologies
dan network
4. People : SDM divisi TI
Communication : Kemudahan pengguna untuk mengakses
data/informasi dan publikasi statistik
Operasional : Kepuasan pengguna dari sisi pelayanan statistik secara terpadu
Menjadi instansi pemerintah (public sector) yang terdepan dalam memberikan pelayanan statistik secara prima kepada masyarakat, yakni pelayanan yang tangkas (agile), efektif, efisien dan handal
1. Meningkatnya jumlah pengunjung layanan PST yang dapat dikur dengan :
• Meningkatnya jumlah pengunjung yang datang ke PST • Meningkatnya jumlah pengunjung berulang yang
menggunakan layanan PST
2. Meningkatnya kepuasan pengguna data terhadap data dan layanan statistik, dapat diukur dengan :
• Meningkatnya konsumen yang merasa puas dengan layanan data statistik
• Meningkatnya konsumen yang merasa puas dengan akurasi data statistik
• Meningkatnya konsumen yang merasa puas dengan cakupan data statistik
1. Jumlah pengunjung yang datang ke PST mencapai 10.000 orang
2. Jumlah pengunjung berulang PST mencapai 1.000 orang 3. Persentase konsumen yang merasa puas dengan layanan data
statistik mencapai 90 %
4. Persentase konsumen yang merasa puas dengan akurasi data statistik mencapai 70 %
5. Persentase konsumen yang merasa puas dengan cakupan data statistik mencapai 70 %
III. MANAJEMEN RISIKO TI
Manajemen risiko Teknologi Informasi (TI) adalah kemampuan organisasi dalam mengurangi risiko-risiko TI yang mungkin akan menghambat pencapaian tujuan organisasi terkait dengan pemanfaatan TI itu sendiri. Manajemen risiko merupakan suatu proses pengukuran atau penilaian risiko serta pengembangan strategi pengelolaannya [9]. Salah satu manajemen risiko yang dapat digunakan adalah dengan menggunakan ISO 31000. Secara umum proses manajemen risiko yang terdapat pada ISO 31000 dapat dijelaskan melalui gambar 3.1.
Gambar 3.1. Proses Manajemen Risiko (ISO 31000, 2009)
Proses manajemen risiko terdiri atas rangkaian aplikasi logis dan metode sistematis yang saling berkaitan , yaitu :
a. Komunikasi dan Konsultasi (Communication and Consultation). b. Menentukan Konteks (Establishing the context).
d. Perlakuan terhadap Risiko (Risk treatment) e. Monitoring and Review
3.1. Komunikasi dan Konsultasi (Communication and Consultation)
Kesuksesan penilaian risiko tergantung pada efektifitas komunikasi dan konsultasi dengan para stakeholder. Sumber data, informasi, aktifitas proses dan sumber daya TI yang digunakan untuk layanan PST sebagai bahan analisis dan manajemen risiko TI pada paper ini adalah bersumber dari literatur study yang
berasal dari Buku, Laporan Resmi dan Publikasi BPS sedangkan komunikasi dan konsultasi dengan BPS dilakukan untuk mengkonfirmasi materi yang berhubungan dengan layanan PST.
3.2. Menentukan Konteks (Establishing the context)
Posisi TI pada Pelayanan Statistik Terpadu adalah sebagai enabler operasional (transaksi) layanan tersebut. Hal ini sesuai dengan nilai TI yang telah dibahas pada bagian sebelumnya yaitu TI digunakan untuk menciptakan nilai agar meningkatkan pertumbuhan bisnis dan kepuasan pengguna data (masyarakat) terhadap pelayanan data statistik melalui keunggulan pelayanan prima yakni pelayanan yang tangkas (agile), efektif, efisien, handal dan dipercaya. Dari pernyataan nilai TI tersebut terdapat elemen utama yang harus diperhatikan yaitu meningkatkan jumlah pengguna dan kepuasan pengguna data terhadap data dan layanan statistik BPS (PST).
Gambar 3.2. Konteks Manajemen Risiko TI
IT# Resources#
Organization# Capabilities#
Organization# Core# Competences#
Competitive# Advantages# Organization#
Value#and# Performance#
Target#
Gambar 3.2. menunjukkan konteks manajemen risiko TI yang mencakup semua
capabilities dan core competence dari sumber daya TI (IT resources) yang dihasilkan oleh Pelayanan Statistik Terpadu BPS. Konteks manajemen risiko TI yang mencakup IT resources, organization capabilities dan organization core competences tersebut dapat dilihat pada Tabel 3.1 berikut ini.
Tabel 3.1. IT Resources, Organization Capabilities and Core Competences
No IT Resources Organization Capabilities Organization Core Competences
(1) (2) (3) (4) (5)
1 Application • Aplikasi PST
• Sistem Informasi Publikasi
Statistik CommunicationKemudahan : pengguna untuk
sector) yang terdepan
dalam memberikan
2 Information • Data dan Informasi
Pengguna
• Data dan Informasi Publikasi Statistik
3 Infrastructure PC, web server, database
server, client sistem operasi,
web services technologies dan
network devices
4 People SDM : Administrator,
Operator, Maintenance, FO
3.3. Penilaian Risiko (Risk Assestment)
Penilaian risiko yang dilakukan meliputi identifikasi risiko (risk identification), analisis risiko (risk analysis) dan evaluasi risiko (risk evaluation) [10].
3.3.1. Identifikasi Risiko (Risk Identification)
Identifikasi risiko dilakukan terhadap seluruh sumber daya TI yang mendukung proses layanan PST BPS. Identifikasi yang dilakukan menghasilkan beberapa risiko yang dimungkinkan terjadi pada setiap sumber daya TI yang dimiliki oleh PST BPS (Tabel 3.2).
Tabel 3.2. Identifikasi Risiko Sumber Daya TI
No IT Resources Identifikasi Risiko
(1) (2) (3) (4)
1 Application • Aplikasi PST
• Sistem Informasi Publikasi Statistik
• Peretasan Aplikasi • Aplikasi crash (down) • Aplikasi diserang virus
2 Information • Data dan Informasi Pengguna
• Data dan Informasi Publikasi Statistik
• Hilangnya data terkini
• Database rusak/error
• Penyalahgunaan/pencurian data
3 Infrastructure PC, web server, database
server, client sistem operasi,
web services technologies dan
network devices
• Kerusakan hardware
• Server diserang virus
• Koneksi jaringan putus/rusak • Kegagalan sistem operasi • Bencana Alam
4 People SDM : Administrator,
Operator, Maintenance, FO
• Penyalahgunaan kedudukan • Melemahnya loyalitas SDM • Pembeberan data dan informasi
rahasia
3.3.2. Analisis Risiko (Risk Analysis)
Analisis risiko dilakukan dengan cara memberikan nilai dari setiap risiko yang muncul. Dari tiap-tiap risiko yang muncul akan dilakukan penilaian (bobot) dari sisi frekuensi kejadian dan dampak yang diakibatkan. Pada layanan PST ini, kriteria pengukuran nilai/bobot untuk frekwensi kejadian dan dampak yang diakibatkan dapat dilihat pada Tabel 3.3.
Tabel 3.3. Nilai/bobot frekwensi kejadian dan dampak risiko
Frekuensi kejadian Dampak yang diakibatkan Nilai Keterangan Nilai Keterangan
(1) (2) (3) (4)
Tabel 3.4. Penilaian identifikasi risiko menurut frekwensi dan dampak
No IT Resources Identifikasi Risiko Frekwensi Dampak
(1) (2) (4) (4) (4)
1 Application 1. Peretasan Aplikasi 2 4
2. Aplikasi crash (down) 2 5
3. Aplikasi diserang virus 3 3
4. Lemahnya maintenance aplikasi 4 3
2 Information 5. Hilangnya data terkini 2 5
6. Database rusak/error 2 5
7. Penyalahgunaan/pencurian data 1 4
3 Infrastructure 8. Kerusakan hardware 2 4
9. Server diserang virus 3 4
10. Koneksi jaringan putus/rusak 2 4 11. Kegagalan sistem operasi 2 4
12. Bencana Alam 1 5
4 People 13. Penyalahgunaan kedudukan 2 4
14. Melemahnya loyalitas SDM 2 3 15. Pembeberan data dan informasi rahasia 2 4
3.3.3. Evaluasi Risiko (Risk Evaluation)
Evaluasi risiko dilakukan dengan menerapkan proses mapping pada grafik (x,y) yang menggambarkan hubungan antara frekwensi kejadian risiko dengan dampak yang diakibatkan oleh setiap risiko. Grafik hasil evaluasi risiko tersebut dikategorikan menjadi 3 area yaitu Low, Medium dan High berdasarkan matriks hasil kombinasi antara likelihood (frekwensi kejadian) dengan dampak yang ditimbulkan sebagai berikut:
fr
ek
u
en
si
5 Medium Medium High High High
4 Low Medium High High High
3 Low Low Medium High High
2 Low Low Medium Medium High
1 Low Low Low Medium Medium
1 2 3 4 5
dampak
Gambar 3.4. Sebaran Risiko TI berdasarkan Frekwensi dan Dampak
Keterangan R: Risiko TI
Gambar 3.5. Matriks Evaluasi Risiko TI berdasarkan Frekwensi dan Dampak
Gambar 3.4. memperlihatkan sebaran risiko sumber daya TI yang telah diidentifikasi sebelumnya berdasarkan mapping antara nilai frekwensi kejadian risiko dengan nilai dampak yang diakibatkan oleh risiko tersebut. Sesuai dengan pengelompokkan kategori evaluasi risiko, maka jenis risiko yang diakibatkan dari kombinasi mapping
nilai frekwensi dan dampak risiko dapat dilihat pada Gambar 3.5. dan Tabel 3.5.
Tabel 3.5. Evaluasi Risiko berdasarkan mapping Risiko dengan Frekwensi-Dampak
Identifikasi Risiko Frekwensi Dampak Evaluasi Risiko
(4) (4) (4) (4)
1. Peretasan Aplikasi 2 4 Medium
2. Aplikasi crash (down) 2 5 High
3. Aplikasi diserang virus 3 3 Medium
4. Lemahnya maintenance aplikasi 4 3 High
5. Hilangnya data terkini 2 5 High
6. Database rusak/error 2 5 High
7. Penyalahgunaan/pencurian data 2 4 Medium
8. Kerusakan hardware 2 4 Medium
9. Server diserang virus 3 4 High
10. Koneksi jaringan putus/rusak 2 4 Medium
11. Kegagalan sistem operasi 2 4 Medium
12. Bencana Alam 1 5 Medium
13. Penyalahgunaan kedudukan 2 4 Medium
14. Melemahnya loyalitas SDM 2 3 Medium
15. Pembeberan data dan informasi rahasia 2 4 Medium
3.4. Perlakuan terhadap Risiko (Risk treatment)
Tahapan selanjutnya adalah menentukan strategi perlakuan risiko. Terdapat empat jenis strategi perlakuan risiko, yaitu :
1. Risk avoidance (menghindari risiko),
2. Risk reduction (mengurangi/mitigasi risiko berupa pengurangan
likelihood, pengurangan dampak dan pengurangan likelihood dan dampak sekaligus),
3. Risk sharing (berbagi risiko), 4. Risk acceptance (menerima risiko).
Tabel 3.6. Program Penanganan Risiko
No IT Resources Identifikasi Risiko Program Penanganan Risiko
(1) (2) (4) (4)
1 Application 1. Peretasan Aplikasi Perbaikan sistem aplikasi melalui
update patch dan penerapan sistem
firewall disertai dengan peningkatan
sistem keamanan (security) 2. Aplikasi crash (down) Perbaikan sistem aplikasi melalui
update patch dan pencegahan instalasi
aplikasi lain yang bisa menyebabkan aplikasi utama crash
3. Aplikasi diserang virus Review kinerja antivirus untuk komputer client, baik update antivirus maupun scan antivirus secara periodik 4. Lemahnya maintenance aplikasi Sementara aplikasi sedang dalam proses
maintenance jangan sampai
mengganggu sistem pelayanan terhadap pengguna data
Lakukan maintenance pada non-busy hour atau gunakan mekanisme aplikasi cadangan
2 Information 5. Hilangnya data terkini Data harus senantiasa memiliki backup
melalui mekanisme syncronizing secara otomatis. Sehingga kehilangan data pada satu periode waktu tidak akan menjadi alasan bagi sitem untuk berhenti bekerja
6. Database rusak/error Database harus senantiasa memiliki
backup melalui mekanisme mirroring dan lokasi backup database diterapkan pada beberapa lokasi device. Kerusakan
database tidak akan menjadi alasan bagi
sitem untuk berhenti bekerja
7. Penyalahgunaan/pencurian data Review manajemen puncak dalam hal mekanisme security data
3 Infrastructure 8. Kerusakan hardware Review kinerja tim pemeriksaan fisik,
perbaiki bila memungkinkan jika tidak segera lakukan penggantian
9. Server diserang virus Review kinerja antivirus, lakukan
pembersihan (scan) secara periodik 10. Koneksi jaringan putus/rusak Review kinerja jaringan dengan pihak
penyedia jaringan.
Lakukan monitoring sistem dan kinerja jaringan secara periodik, baik instalasi jaringan maupun bandwith
11. Kegagalan sistem operasi Review kinerja tim pengelola sistem operasi dan software, lakukan perbaikan sesegera mungkin
12. Bencana Alam Usahakan memiliki lokasi penyimpanan
backup yang memiliki risiko terkena
bencana alam yang lebih kecil
Terapkan mekanisme Disaster Recovery Planning (DRP) untuk mengantisipasi kerusakan infrastruktur TI dikarenakan bencana alam
4 People 13. Penyalahgunaan kedudukan Sosialisasikan penerapan sanksi berat
kepada setiap pegawai yang menyalahgunakan wewenang dan kedudukan.
Berikan sanksi pada pegawai yang bersangkutan.
Review manajemen puncak terhadap fit
and proper test jabatan.
14. Melemahnya loyalitas SDM Review manajemen puncak terhadap tata kelola SDM
Pengkajian kesesuaian hak dan kewajiban pegawai
15. Pembeberan data dan informasi rahasia
Sosialisasikan penerapan sanksi berat kepada setiap pegawai yang melakukan pembeberan data dan informasi rahasia Berikan sanksi pada pegawai yang bersangkutan.
Review manajemen puncak terhadap penilaian dan penempatan pegawai.
Tabel 3.7. Evaluasi Hasil Mitigasi Risiko (Residual)
Identifikasi Risiko Frekwensi Dampak Evaluasi Risiko
7. Penyalahgunaan/pencurian data 2 2 Low
8. Kerusakan hardware 1 3 Low
9. Server diserang virus 2 4 Medium
10. Koneksi jaringan putus/rusak 1 4 Medium
11. Kegagalan sistem operasi 1 3 Low
12. Bencana Alam 1 4 Medium
13. Penyalahgunaan kedudukan 1 3 Low
14. Melemahnya loyalitas SDM 1 3 Low
Tabel 3.7 menunjukkan evaluasi risiko setelah dilakukan proses mitigasi risiko melalui program penanganan risiko (risk reduction) yang berdampak terhadap penurunan nilai likelihood dan dampak risiko. Perbandingan mengenai evaluasi risiko sebelum (inheren) dan sesudah dilakukan mitigasi risiko (residual) dapat dilihat pada Gambar 3.6 berikut ini
fr Keterangan R : Risiko
Gambar 3.6. Matriks Evaluasi Risiko Kondisi Sebelum dan Sesudah Mitigasi Risiko
Berdasarkan Gambar 3.6 terlihat perubahan area risiko setelah dilakukan program penanganan risiko (mitigasi risiko), dimana keberhasilan pelaksanaan program penanganan risiko tersebut diharapkan menjadi tanggung jawab seluruh pegawai BPS pada umumnya dan unit organisasi penyedia layanan PST BPS pada khususnya. Pelaksanaan program penanganan risiko tersebut harus sesuai dengan
3.5. Monitoring dan Review
Monitoring merupakan kegiatan pemantauan rutin terhadap kinerja aktual proses manajemen risiko dibandingkan dengan rencana atau harapan yang telah ditetapkan. Review adalah peninjauan atau pengkajian berkala atas kondisi saat ini dan dengan fokus tertentu. Monitoring dan review merupakan bagian dari proses manajemen risiko yang memastikan bahwa seluruh tahapan proses dan fungsi manajemen risiko memang berjalan dengan baik.
Monitoring dan review sebaiknya dilaksanakan secara simultan (bersamaan) ketika setiap langkah dari proses penilaian risiko dilakukan. Proses monitoring ini selayaknya melibatkan berbagai pihak termasuk stakeholder. Terdapat tiga
macam bentuk monitoring dan review yang harus dilakukan terus menerus oleh instansi sebagai bagian yang tidak terpisahkan dari tanggung jawab pekerjaan pada level jabatan masing-masing, yaitu:
1. Pemeriksaan berkala dan pemantauan berkelanjutan. Dilaksanakan harian dan menjadi bagian dari pekerjaan.
2. Pemeriksaan oleh atasan. Dilaksanakan secara berkala dan didorong oleh profil risiko serta lingkup tanggungjawab pejabat bersangkutan.
IV. KESIMPULAN
Pelayanan Statistik Terpadu (PST) merupakan produk/layanan statistik BPS yang merupakan salah satu program percepatan BPS (Quick Wins) dalam rangka meningkatkan kualitas pelayanan publik dan mencapai target indikator kinerja kunci (public value). Melalui PST ini BPS menyediakan berbagai layanan statistik secara terintegrasi kepada pengguna data (pengunjung). Indikator kinerja (public value) yang menjadi prioritas kinerja PST ini adalah terciptanya layanan statistik terpadu dan tercapainya kepuasan pengguna data terhadap data dan layanan statistik. Selain itu melalui PST ini, pengguna data dapat mengakses layanan data
dan informasi statistik dengan lebih cepat (faster), lebih murah (cheaper), lebih mudah (easier), dan lebih berkualitas (better).
Penerapan manajemen risiko ISO 31000 pada Pelayanan Statistik Terpadu (PST) BPS dapat memberikan jaminan identifikasi dan penanganan yang lebih baik
V. DAFTAR PUSTAKA
[1] BPS, Rencana Strategis Badan Pusat Statistik 2010 - 2014, Review Kedua ed. Jakarta, Indonesia, 2010.
[2] BPS, Buku 1 Usulan Reformasi Birokrasi Badan Pusat Statistik. Jakarta : BPS, 2011
[3] BPS, Buku 2 Reformasi Birokrasi Badan Pusat Statistik. Jakarta: BPS, 2011. [4] BPS. STATCAP-CERDAS. [Online].
http://www.statcap-cerdas.bps.go.id/index.php/id/statis
[5] BPS, Rencana Kinerja Tahunan Badan Pusat Statistik Tahun Anggaran 2013. Jakarta, 2013.
[6] ICASA, IT Governance Implementation Guide: Using COBIT® and Val ITTM”, 2nd ed., 2007.
[7] Kompetensi Inti Organisasi. [Online]. http://kamusbisnis.com/arti/kompetensi-inti/ [8] Keunggulan Kompetitif Organisasi. [Online].
http://kamusbisnis.com/arti/keunggulan-kompetitif/
[9] AS/NZS ISO 31000, Risk Management – Principles and Guidelines, 1st ed. New Zealand: International Standard, 2009.
[10] IEC/FDIS ISO 31010, Risk management — Risk assessment techniques.: International Standard, 2009.
[11] BPS, Analisis Survei Kebutuhan Data Badan Pusat Statistik Tahun 2012. Jakarta, Indonesia: BPS, 2012.
[12] Albert L. Swett, William G. Miller, Dennis P. Ondik L. Mark Ernest, "The IT Value Model: Winning the business “battle” with the right IT “nails” ," IBM, New York, USA, 2004.
[13] Pang, M.S. Information technology and value creation in the public sector organizations. The University of Michigan, 2009.
[14] Tati Ernawati, Suhardi, Doddi R. Nugroho, IT Risk Management Framework Based on ISO 31000:2009, International Conference on System Engineering and Technology, Bandung, 2012.
[15] Badan Pusat Statistik. [Online]. http://ww.bps.go.id
!
Lampiran A
Gambar A1. Alur Pelayanan Statistik Terpadu (PST) BPS
Pelayanan Statistik Terpadu merupakan pelayanan statistik satu pintu (terintegrasi), yang meliputi pelayanan sebagai berikut :
1. Perpustakaan Tercetak 2. Perpustakaan Digital 3. Penjualan Data Mikro 4. Konsultasi Statistik
5. Penjualan Softcopy/Hardcopy
Gambar A2. Aliran Data dan Publikasi pada PST
Lampiran B
Gambar B1. Value Chain Badan Pusat Statistik
Gambar B2. Posisi PST dalam Value Chain BPS
Lampiran C
Gambar C1. Diagram Aliran (Interaksi) Proses Primer dengan PST
Lampiran D
Tabel D. Risk Register Pelayanan Statistik Terpadu BPS
No
1. Peretasan Aplikasi 2 4 Medium Perbaikan sistem aplikasi
melalui update patch dan penerapan sistem firewall disertai dengan peningkatan sistem keamanan (security)
2 2 Low Low
2. Aplikasi crash (down) 2 5 High Perbaikan sistem aplikasi
melalui update patch dan pencegahan instalasi aplikasi lain yang bisa menyebabkan aplikasi utama crash
2 4 Medium Low
3. Aplikasi diserang virus 3 3 Medium Review kinerja antivirus
untuk komputer client, baik update antivirus maupun scan antivirus periodik
2 2 Low Low
4. Lemahnya maintenance aplikasi
4 3 High Sementara aplikasi sedang
dalam proses maintenance jangan sampai mengganggu sistem pelayanan data Lakukan maintenance pada non-busy hour atau gunakan mekanisme aplikasi cadangan
2 2 Low Low
2 Information • Data/Informasi Publikasi Statistik • Data/Informasi
Pengguna
5. Hilangnya data terkini 2 5 High Data harus senantiasa
memiliki backup melalui mekanisme syncronizing secara otomatis. Sehingga kehilangan data pada satu periode waktu tidak akan menjadi alasan bagi sitem untuk berhenti bekerja
6. Database rusak/error 2 5 High Database harus senantiasa database tidak akan menjadi alasan bagi sitem untuk berhenti bekerja
3 3 Medium Low
7. Penyalahgunaan/ pencurian data
2 4 Medium Review manajemen puncak
dalam hal mekanisme security data
8. Kerusakan hardware 2 4 Medium Review kinerja tim
pemeriksaan fisik, perbaiki bila memungkinkan jika tidak segera lakukan penggantian
1 3 Low Low
9. Server diserang virus 3 4 High Review kinerja antivirus,
lakukan pembersihan (scan) secara periodik
2 4 Medium Low
10. Koneksi jaringan putus/rusak 2 4 Medium Review kinerja jaringan
dengan pihak penyedia jaringan.
Lakukan monitoring sistem dan kinerja jaringan secara periodik, baik instalasi jaringan maupun bandwith
1 4 Medium Low
11. Kegagalan sistem operasi 2 4 Medium Review kinerja tim pengelola
sistem operasi dan software, lakukan perbaikan sesegera mungkin
1 3 Low Low
12. Bencana Alam 1 5 Medium Usahakan memiliki lokasi
penyimpanan backup yang memiliki risiko terkena bencana alam yang lebih kecil dibandingkan lokasi
penyimpanan data utama. Terapkan mekanisme Disaster
Recovery Planning (DRP) untuk mengantisipasi kerusakan infrastruktur TI dikarenakan bencana alam
4 People SDM Divisi TI
(Administrator, Operator, FO)
13. Penyalahgunaan kedudukan 2 4 Medium Sosialisasikan penerapan
sanksi berat kepada setiap pegawai yang
menyalahgunakan wewenang dan kedudukan.
Berikan sanksi pada pegawai yang bersangkutan. Review manajemen puncak terhadap fit and proper test jabatan.
1 3 Low Low
14. Melemahnya loyalitas SDM 2 3 Medium Review manajemen puncak
terhadap tata kelola SDM Pengkajian kesesuaian hak dan kewajiban pegawai
1 3 Low Low
15. Pembeberan data dan informasi rahasia
2 4 Medium Sosialisasikan penerapan
sanksi berat kepada setiap pegawai yang melakukan pembeberan data dan informasi rahasia
Berikan sanksi pada pegawai yang bersangkutan. Review manajemen puncak terhadap penilaian dan penempatan pegawai.
