ABSTRAK
Teknologi informasi telah lama digunakan dalam proses bisnis di PT Pos Indonesia dan diharapkan mampu memberikan nilai tambah guna pencapaian tujuan instansi. Penerapan teknologi informasi juga mengandung risiko yang dapat mengganggu proses bisnis itu sendiri sehingga menyebabkan kerugian bagi instansi. Karenanya instansi harus memahami dan mengantisipasi setiap potensi risiko yang dapat terjadi. Penerapan manajemen risiko teknologi informasi yang baik bertujuan mengurangi dampak negatif risiko yang mungkin muncul. Untuk mengetahui sejauh mana penerapan tata kelola risiko yang berhubungan dengan teknologi informasi maka perlu dilakukan evaluasi. Penelitian akan menggunakan framework Risk IT dengan domain Risk Governance sebagai standar manajemen risiko teknologi informasi yang dikeluarkan oleh ISACA untuk mengevaluasi tata kelola manajemen risiko teknologi informasi pada PT Pos Indonesia. Proses evaluasi akan mengacu pada model kematangan yang telah didefinisikan oleh framework Risk IT untuk mengukur tingkat kematangan kondisi tata kelola manajemen risiko teknologi informasi pada PT Pos Indonesia. Hasil tingkat kematangan pada domain Risk Governance yang diperoleh akan menunjukkan derajat kualitas pelaksanaan tata kelola manajemen risiko teknologi informasi di PT Pos Indonesia khususnya yang ada pada bagian direktorat teknologi dan jasa keuangan di sistem pos remittance dan dapat digunakan sebagai bahan untuk melakukan perbaikan-perbaikan pada aspek yang dinilai kurang di PT Pos Indonesia.
ABSTRACT
Information technology has long been used in business processes at the PT Pos Indonesia and are expected to provide added value to the achievement of enterprise goals. In addition to its benefits, the application of information technology also contains risks that may affect the business process itself, causing losses for the enterprise. Therefore, enterprise must understand and anticipate any potential risks that may occur. Application of good information technology risk management aim to reduce the negative impacts of risk that may arise. To find out the extent to which enterprise manage the risks associated with information technology it needs to be evaluated. The research will use the Risk IT framework with Risk Governance domain approach as an information technology risk management standards issued by ISACA to evaluate the implementation of risk management governance at the PT Pos Indonesia. The evaluation process will be based on a maturity model that has been defined by the Risk IT framework to measure the maturity level of information technology risk management governance conditions at the PT Pos Indonesia. The maturity level results would indicate the quality degrees of implementation of information technology risk management governance at the PT Pos Indonesia especially at the technology and financial services division with pos remittance system and can be used as an ingredient to make improvements in aspects that were considered less at the PT Pos Indonesia.
DAFTAR ISI
PRAKATA ... i
ABSTRAK ... iii
ABSTRACT ... iv
DAFTAR ISI ... v
DAFTAR GAMBAR ...vii
DAFTAR TABEL ... viii
DAFTAR LAMPIRAN ... ix
BAB I PENDAHULUAN ... 1
1.1 Latar Belakang ... 1
1.2 Rumusan Masalah ... 2
1.3 Tujuan Pembahasan ... 2
1.4 Ruang Lingkup Kajian ... 2
1.6 Sistematika Penyajian ... 3
BAB II KAJIAN TEORI ... 5
2.1 Konsep Sistem Informasi dan Teknologi Informasi ... 5
2.2 Konsep Risiko ... 6
2.3 Konsep Manajemen Risiko ... 8
2.4 Konsep Manajemen Risiko Teknologi Informasi ... 8
2.5 Risk IT Framework ... 11
2.5 Model Kematangan (Maturity Models) ... 23
BAB III ANALISIS DAN EVALUASI ... 37
3.1 Sejarah PT Pos Indonesia ... 37
3.1.1 Visi dan Misi Perusahaan... 38
3.1.2 Struktur Organisasi ... 39
3.2 Penjelasan Sistem Informasi ... 41
3.3 Proses Bisnis Pos Remittance ... 42
3.3.1 Flowmap WeselPos Instan (Kirim) ... 44
3.3.2 Flowmap WeselPos Instan (Bayar) ... 46
3.3.3 Flowmap WeselPos Prima (Kirim) ... 48
3.3.4 Flowmap WeselPos Prima (Bayar) ... 50
3.3.5 Proses WeselPos Kemitraan Operation ... 53
3.4 Risk IT Framework ... 54
3.4.1 Hasil Analisis Domain Risk Governance ... 54
3.4.3 Model Kematangan Risk Governance ... 66
BAB IV SIMPULAN DAN SARAN ... 72
4.1 Simpulan ... 72
4.2 Saran ... 73
DAFTAR GAMBAR
Gambar 1 IT Risk dalam Hirarki Risiko ... 10
Gambar 2 Risk IT Framework ... 12
Gambar 3 Risk IT Framework Process Model Overview ... 14
Gambar 4 Struktur Organisasi PT Pos Indonesia ... 39
Gambar 5 Struktur Organisasi Direktorat Teknologi dan Jasa Keuangan... 40
Gambar 6 Infrastruktur Aplikasi Layanan di Bagian Jasa Keuangan ... 41
Gambar 7 Proses Bisnis Secara Umum Pos Remittance ... 44
Gambar 8 Flowmap WeselPos Instan (Kirim) ... 46
Gambar 9 Flowmap WeselPos Instan (Bayar) ... 48
Gambar 10 Flowmap WeselPos Prima (Kirim) ... 50
Gambar 11 Flowmap WeselPos Prima (Bayar) ... 52
Gambar 12 Proses WeselPos Kemitraan Operation ... 53
DAFTAR TABEL
Tabel I. Model Kematangan Risk Governance Bagian I ... 27
Tabel II. Model Kematangan Risk Governance Bagian II ... 33
Tabel III. Kejadian Pos Remittance ... 62
Tabel IV. Kebijakan Keamanan ... 64
Tabel V. Maturity Level Proses RG1 ... 66
Tabel VI. Maturity Level Proses RG2 ... 68
DAFTAR LAMPIRAN
1
BAB I
PENDAHULUAN
1.1 Latar Belakang
Dunia teknologi dari tahun ke tahun semakin memperlihatkan kemajuan
perkembangannya yang sangat pesat. Hal ini mendorong setiap orang atau
organisasi untuk dapat mengikutinya seiring dengan berjalannya waktu.
Suatu informasi juga mempunyai dampak yang cukup besar terhadap
perkembangan instansi / perusahaan itu sendiri.
PT Pos Indonesia merupakan salah satu perusahaan jasa yang
menjalankan bisnis di layanan pengiriman dokumen dan barang serta misi
sosial demi memenuhi kebutuhan masyarakat Indonesia. Pos Indonesia
berupaya untuk meningkatkan mutu pelayanan yang berorientasi pada
kepuasan pelanggan dengan memperhatikan efisiensi dan efektifitas sumber
daya, serta kemampuan meningkatkan laba usaha melalui pemanfaatan ilmu
pengetahuan dan teknologi.
Dalam menjalankan bisnisnya teknologi informasi telah berperan sangat
baik karena mampu memberikan nilai tambah guna pencapaian tujuan
instansi, PT Pos Indonesia menyadari tentang risiko-risiko yang mungkin
terjadi terhadap teknologi informasi yang bisa menyebabkan kegagalan
dalam menjalankan fungsi sistem informasi sehingga bisa menyebabkan
kerugian-kerugian bagi perusahaan. Jika risiko-risiko tersebut tidak dikelola
dengan baik maka akan menimbulkan dampak yang merugikan bagi
perusahaan dalam mencapai tujuannya. Berdasarkan risiko-risiko yang
mungkin terjadi tersebut, maka PT Pos Indonesia ingin menganalisis
bagaimana
penerapan
manajemen
risiko
yang
ada
agar
dapat
melaksanakan tindakan yang dapat dilakukan untuk mengendalikan dan
meminimalkan risiko-risiko tersebut. Analisis yang digunakan dalam laporan
ini adalah dengan Risk IT framework domain Risk Governance yang
menyediakan panduan lengkap untuk mengontrol bisnis berbasis teknologi
informasi berdasarkan solusi sehingga dapat membantu memberikan
2
Universitas Kristen Maranatha
kelola risiko yang ada pada divisi teknologi dan jasa keuangan di PT Pos
Indonesia sistem aplikasi pos remittance.
1.2 Rumusan Masalah
Berdasarkan pada latar belakang masalah yang diatas, maka
permasalahan pokok yang akan dibahas dalam penelitian Tugas Akhir ini
adalah :
1. Bagaimana kondisi penerapan manajemen risiko teknologi informasi di PT
Pos Indonesia berdasarkan pada Risk IT framework domain Risk
Governance?
2. Berapa ukuran tingkat kematangan berdasarkan model kematangan pada
Risk IT framework domain Risk Governance?
1.3 Tujuan Pembahasan
Tujuan dilakukannya manajemen risiko menggunakan Risk IT framework
dalam tugas akhir ini antara lain:
1. Mengetahui kondisi penerapan manajemen risiko teknologi informasi yang
sedang berjalan di PT POS Indonesia sesuai Risk IT framework domain
Risk Governance.
2. Mengukur tingkat kematangan tentang sejauh mana penerapan tata kelola
manajemen risiko yang ada agar dapat membantu memahami untuk
menilai tata kelola risiko yang ada di organisasi.
1.4 Ruang Lingkup Kajian
Ruang lingkup sistem yang akan dirancang pada tugas akhir ini adalah
sebagai berikut :
1. Analisis yang dilakukan hanya pada bidang teknologi informasi di PT Pos
Indonesia pada divisi teknologi dan jasa keuangan di sistem aplikasi Pos
Remittance.
2. Penelitian yang dikerjakan adalah dengan menggunakan Risk IT
3
Universitas Kristen Maranatha
1.5 Sumber Data
Tahap pengumpulan data untuk mengidentifikasi masalah dalam
penelitian dan penulisan Tugas Akhir diperoleh dari :
1. Observasi
Tahap dimana diusahakan untuk mengumpulkan data-data dengan
melakukan pengamatan pada organisasi bersangkutan agar lebih
terinci dalam mendefinisikan masalah.
2. Wawancara
Tahap dimana diusahakan untuk mengumpulkan data-data dengan
melakukan wawancara pada pihak-pihak di organisasi bersangkutan
agar lebih terinci dalam mendefinisikan masalah.
3. Studi Kepustakaan
Pengumpulan data dengan cara membaca dan mempelajari
buku-buku pedoman yang sesuai dengan permasalahan dan topik yang
dibahas.
1.6 Sistematika Penyajian
Sistematika dalam penulisan laporan yaitu:
BAB I PENDAHULUAN
Bab ini mengemukakan tentang gambaran keseluruhan mengenai latar
belakang, rumusan masalah, tujuan pembahasan, ruang lingkup kajian,
sumber data, dansistematika penulisan.
BAB II KAJIAN TEORI
Bab ini berisi tentang teori-teori dasar yang akan digunakan dalam
proses penyusunan laporan tugas akhir, dalam kasus ini akan
dikemukakan mengenai manajemen risiko, dan penjelasan mengenai
Risk IT Framework yang akan digunakan selama masa penelitian di
4
Universitas Kristen Maranatha
BAB III ANALISIS DAN EVALUASI
Bab ini berisi tentang profil perusahaan, dan mengenai pokok
permasalahan yang terdapat dalam ruang lingkup masalah sebagai
jawaban dari rumusan masalah yang ditulis sebelumnya.
BAB IV SIMPULAN DAN SARAN
Bab ini membahas tentang simpulan dari hasil penelitian dan saran untuk
72
BAB IV SIMPULAN DAN SARAN
4.1 Simpulan
Berdasarkan hasil dari analisis dari Risk IT Framework domain Risk
Governance didapatkan jawaban dari rumusan masalah yaitu sebagai
berikut:
1. Praktek manajemen risiko TI telah disampaikan dalam PT Pos
Indonesia, tetapi dalam penyesuaian risiko belum secara optimal
dilakukan dimana belum adanya laporan khusus untuk pengukuran
keberhasilan dilakukannya manajemen risiko TI, bagian risiko TI yang
ada tidak secara rutin melaporkan kejadian yang terjadi kepada
komite manajemen risiko perusahaan, diskusi mengenai risiko TI yang
ada pun dilakukan apabila kejadian sudah terjadi, dan juga dimana
pelatihan hanya berdasarkan isu-isu risiko yang terkait pada saat itu
dan kegiatan monitoring hanya tercatat pada sistem.
2. Maturity level untuk setiap proses di domain Risk Governance dari
rata-rata maturity level dari key activities adalah:
a. Proses RG1 pada level 2 dimana sudah adanya kesadaran
perusahaan dalam mendiskusikan dan menyampaikan risiko TI di
perusahaan namun toleransi risiko yang dibahas masih hanya
berdasarkan pada perkembangan teknologi, kebutuhan, dan
ketrampilan yang dibutuhkan di perusahaan saat ini dan belum
adanya perencanaan secara teratur untuk kegiatan komunikasi
yang membahas risiko TI di perusahaan.
b. Proses RG2 pada level 2 dimana sudah adanya bagian yang
menangani risiko TI di perusahaan dan komite manajemen risiko
perusahaan yang menyediakan pedoman manajemen risiko dan
sumber-sumber untuk menangani risiko TI namun risiko TI masih
difokuskan pada isu-isu risiko yang ada pada perusahaan dan
73
Universitas Kristen Maranatha
bersama dengan komite manajemen risiko yang ada di
perusahaan.
c. Proses RG3 pada level 3 dimana sejauh ini PT Pos Indonesia
sudah mempertimbangkan efek-efek dari risiko TI dan menentukan
tindakan-tindakan yang harus dilakukan dalam menyikapi risiko TI
namun untuk diskusi dalam melakukan analisis risiko masih
diserahkan ke bagian TI di perusahaan dan pertimbangan risiko
yang ada masih berdasarkan isu-isu risiko yang ada serta hanya
pada yang paling sering terjadi di perusahaan.
4.2 Saran
Berdasarkan hasil analisis yang telah dilakukan terhadap tata kelola
manajemen risiko PT Pos Indonesia maka saran yang diberikan penulis
untuk penelitian selanjutnya adalah untuk melakukan analisis dan
pengukuran model kematangan terhadap penerapan manajemen risiko
berdasarkan domain Risk Evaluation untuk memastikan bahwa hubungan
risiko TI dengan peluang-peluang yang ada telah diidentifikasi, dianalisis dan
ditampilkan dalam terminologi bisnis dan domain Risk Response untuk
memastikan bahwa persoalan risiko TI, peluang dan kejadian-kejadian telah
74
Universitas Kristen Maranatha
DAFTAR PUSTAKA
Gondodiyoto, S. (2007). Audit Sistem Informasi dan Pendekatan Cobit. Jakarta:
Mitra Wacana Media.
ISACA. (2009). The Risk IT Framework. Diakses pada 15 April 2013, tersedia online
di
http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/The-Risk-IT-Framework.aspx
McLeod Jr, Raymond., & Schell, George P. (2008). Sistem Informasi Manajemen
(Edisi 10). Jakarta: Salemba Empat.
Pramana, T. (2011). Manajemen Risiko Bisnis. Jawa Timur: Sinar Ilmu Publishing.
PT Pos Indonesia. Diakses pada 2 Mei 2013, tersedia online di
http://www.posindonesia.co.id/
The ISO 27000 Directory 2007. (2007). The ISO27001 Certification Process.