vi
Universitas Kristen Maranatha
ABSTRAK
Analisis Mengunakan Framework Risk IT Domain Risk Response pada PT. POS Indonesia karena perusahaan seperti PT. POS Indonesia membutuhkan sebuah kerangka kerja dalam merespon risiko, tujuannya agar PT. POS Indonesia mengetahui bagaimana merespon atau menanggapi risiko yang sudah terjadi, isu-isu risiko yang mungkin akan terjadi, kemungkinan terburuk dari risiko, dan memonitoring risiko. Teori yang digunakan adalah teori mengenai sistem, informasi, sistem informasi, dan teori mengenai kerangka kerja Risk IT, sumber data dan metode penelitian yang digunakan adalah data primer dan data sekunder. Analisis mengacu pada System Online Payment Point yang digunakan di PT. POS Indonesia, Tanggapan terhadap risiko sudah baik di PT. POS Indonesia, namun ada beberapa dokumen yang perlu diperhatikan dan didokumentasi agar meminimalisir terjadinya risiko yang sama dan risiko baru yang mungkin akan terjadi. Dengan hasil analisis pada laporan ini diharapkan dapat membantu PT. POS Indonesia dalam menanggapi risiko yang sudah terjadi, isu-isu risiko yang mungkin akan terjadi, kemungkinan terburuk dari risiko dan memonitoring risiko.
vii
Universitas Kristen Maranatha
ABSTRACT
Analysis uses Framework Risk IT Domain Risk Response to PT. POS Indonesia because the company such as PT. POS Indonesia needs a framework in responding the risk. The goal is that PT. POS lndonesia to know how to respond what has been occured. risk issues that will probably happen, the worst possible from risk, and monitoring the risk. The theory which be used is about system, information, system infomation and the theory are about Framework Risk IT. The data source and method of researching which be used are primary and secondary data. The respond on the risk has been good in PT. POS lndonesia, yet there are some documents which should be observed and be documented in order to minimize the happening of the risk which are the same and the new risk which maybe will happen. By the result of analysing on this report, it’s expected can help PT. POS Indonesia in responding the risk which has been occurred, to respond the issues that maybe will happen, the worst possibility from the risk and the respond in monitoring the risk.
viii
Universitas Kristen Maranatha
DAFTAR ISI
LEMBAR PENGESAHAN ... i
PERNYATAAN ORISINALITAS LAPORAN PENELITIAN... ii
PERNYATAAN PUBLIKASI LAPORAN PENELITIAN ... iii
PRAKATA ... iv
ABSTRAK ... vi
ABSTRACT ... vii
DAFTAR ISI ... viii
DAFTAR GAMBAR ... x
DAFTAR TABEL ... xi
DAFTAR LAMPIRAN ... xii
DAFTAR SINGKATAN ... xiii
BAB 1. PENDAHULUAN ... 1
1.1 Latar Belakang Masalah ... 1
1.2 Rumusan Masalah ... 2
1.3 Tujuan Pembahasan ... 2
1.4 Ruang Lingkup Kajian... 3
1.5 Sumber Data ... 3
1.6 Sistematika Penyajian ... 3
BAB 2. KAJIAN TEORI ... 4
2.1 Pengertian Umum ... 4
2.1.1 Sistem ... 4
2.1.2 Informasi ... 5
2.1.3 Sistem Informasi ... 5
2.1.4 Risiko Teknologi Informasi ... 7
2.2 Kerangka Kerja Framework Risk IT ... 8
2.2.1 Tujuan Kerangka Kerja Framework Risk IT ... 9
2.2.2 Audien dan Stakeholder yang dituju ... 11
2.2.3 Manfaat dan Hasil ... 14
2.2.4 Prinsip Risk IT ... 14
2.2.5 Domain Framework Risk IT ... 19
2.2.6 Respon Risiko dan Prioritas ... 20
2.2.7 Skenario Risiko Teknologi Informasi ... 24
2.3 Domain Risk Response ... 28
2.3.1 Proses-Proses Pada Domain Risk Response ... 28
2.3.2 Model Kematangan Risk Response ... 33
BAB 3. HASIL ANALISIS... 37
3.1 Sejarah Organisasi ... 37
3.2 Visi dan Misi Organisasi ... 38
3.2.1 Visi ... 38
3.2.2 Misi ... 38
3.3 Struktur Organisasi ... 39
ix
Universitas Kristen Maranatha 3.4.1 Proses Transaksi Rincian dan Rekapitulasi Data Mitra pada Unit
Pelayanan Terpadu (UPT) ... 40
3.4.2 Proses Pencocokan Data Rincian dan Rekapitulasi di Unit Pelayanan Terpadu (UPT) ... 41
3.4.3 Proses Verifikasi Data Transaksi di Unit Pelayanan Terpadu (UPT). ... 42
3.4.4 Proses Pengiriman Rekap Fisik di Unit Pelayanan Terpadu (UPT). ... 44
3.4.5 Proses Pencocokan Rekap Fisik dengan Data pada Server pusat di Unit Pelayanan Terpadu (UPT) ... 45
3.5 Risiko – Risiko Yang Sudah Pernah Terjadi ... 46
3.6 Analisis Kerangka Kerja Risk IT Domain Risk Response ... 46
3.6.1 RR1 Artikulasi Risiko ... 47
3.6.2 RR2 Mengelola Risiko ... 59
3.6.3 RR3 Bereaksi Terhadap Peristiwa ... 69
BAB 4. SIMPULAN DAN SARAN ... 79
4.1 Simpulan ... 79
4.2 Saran ... 90
x
Universitas Kristen Maranatha
DAFTAR GAMBAR
Gambar 2.1 Hirarki Risiko Teknologi Informasi ... 7
Gambar 2.2 Prinsip Risk IT ... 15
Gambar 2.3 Domain Framework Risk IT ... 19
Gambar 2.4 Skenario Risiko Teknologi Informasi ... 24
Gambar 3.1 Struktur Organisasi PT. POS Cimahi ... 39
Gambar 3.2 Flowchart Proses Transaksi Rincian dan Rekapitulasi Data Mitra pada Unit Pelayanan Terpadu (UPT) ... 41
Gambar 3.3 Flowchart Proses Pencocokan Data Rincian dan Rekapitulasi di Unit Pelayanan Terpadu (UPT) ... 42
Gambar 3.4 Flowchart Proses Verefikasi Data Transaksi di Unit Pelayanan Terpadu (UPT) ... 43
Gambar 3.5 Flowchart Pengiriman Rekap Fisik di Unit Pelayanan Terpadu (UPT) ... 44
xi
Universitas Kristen Maranatha
DAFTAR TABEL
Tabel 2.1 Peranan dan Manfaat... 11
Tabel 2.2 Skenario Risiko ... 27
Tabel 3.1 Risiko dan Penanganan ... 46
xii
Universitas Kristen Maranatha
DAFTAR LAMPIRAN
xiii
Universitas Kristen Maranatha
DAFTAR SINGKATAN
No Singkatan Keterangan
1 IT Information Technology
2 SOPP System Online Payment Point
3 ERM Enterprise Risk Management
4 COSO Committee of Sponsoring Organization
5 PC Personal Computer
1
Universitas Kristen Maranatha
BAB 1.
PENDAHULUAN
1.1 Latar Belakang Masalah
PT. POS Indonesia adalah sebuah institusi bisnis yang bergerak di bidang jasa pengiriman barang. PT. POS Indonesia memiliki cabang diseluruh bagian Indonesia. PT. POS Indonesia yang berada di wilayah bandung memiliki beberapa kantor pusat dan kantor cabang kecil yang tersebar hampir di seluruh Bandung. PT. POS Indonesia juga tidak hanya melayani pengiriman surat, wesel, dan yang lainnya, tapi PT. POS Indonesia juga melayani pembayaran kredit kendaraan, penukaran mata uang dan yang lainnya.
Dengan berkembangnya teknologi dan persaingan pasar bisnis yang semakin ketat, saat ini PT. POS Indonesia sebagai institusi bisnis dituntut bekerja lebih lagi agar dapat bersaing di dunia bisnis, salah satunya dengan meningkatkan teknologi, namun dengan berkembangnya teknologi, akan membuat kinerja semakin kompleks dan juga akan memicu timbulnya risiko-risiko teknologi informasi yang tidak lazim lagi bagi perusahaan bisnis khususnya PT. POS Indonesia. Bertolak dari permasalahan-permasalahan tersebut, maka PT. POS Indonesia perlu melakukan penidaklanjutan lainnya dalam hal ini merespon risiko tersebut agar dapat bertahan dalam persaingan bisnis. Oleh karena PT. POS Indonesia membutuhkan suatu kerangka kerja yang dijadikan sebagai acuan untuk merespon risiko-risiko serta bagaimana merespon isu-isu baru terkait risiko dan bagaimana mengantisipasi, guna mencegah, meminimalisir, dan menyiapkan diri untuk mengatasi risiko tersebut dengan menggunakan Framework Risk IT.
2
Universitas Kristen Maranatha kemungkinan terburuk dari risiko dan bagaimana cara memonitoring risiko. Hal ini menjadi bermanfaat karena untuk tetap dapat bertahan serta bersaing dalam kancah bisnis yang semakin ketat, penanganan dan pengelolaan risiko yang akurat dan baik sangat memegang peranan penting dalam persaingan bisnis. Selain itu, tingkat risiko kehilangan data terminimalisir.
1.2 Rumusan Masalah
Berdasarkan latar belakang masalah yang diuraikan pada bagian 1.1, maka rumusan masalah yang diperoleh penulis adalah sebagai berikut: 1 Bagaimana respon atau tanggapan PT.POS Indonesia terhadap
risiko-risiko yang sudah terjadi?
2 Bagaimana respon atau tanggapan PT.POS Indonesia dalam merespon isu-isu risiko yang mungkin akan terjadi?
3 Bagaimana respon atau tanggapan PT. POS Indonesia dalam merespon kemungkinan terburuk dari risiko?
4 Bagaimana respon atau tanggapan PT. POS Inonesia dalam memonitoring risiko agar tidak terjadi?
1.3 Tujuan Pembahasan
Berdasarkan rumusan masalah yang diuraikan pada bagina 1.2, maka penulis menyimpulkan tujuan pembahasan sebagai berikut:
1 Menganalisis respon atau tanggapan PT. POS Indonesia terkait risiko-risiko yang sudah terjadi.
2 Menganalisis tanggapan PT. POS Indonesia dalam merespon isu-isu risiko yang mungkin akan terjadi.
3 Menganalisis tanggapan PT. POS Indonesia terkait kemungkinan terburuk dari risiko.
3
Universitas Kristen Maranatha
1.4 Ruang Lingkup Kajian
Audit yang dilakukan dibatasi pada hal-hal sebagai berikut:
1. Analisis sistem mengacu pada Framework Risk IT domain Risk
Response.
2. Analisis sistem informasi System Online Payment Point berfokus pada sistem yang digunakan pada PT. POS Indonesia di Cimahi.
1.5 Sumber Data
Sumber data yang digunakan dalam pengerjaan karya ilmiah ini berasal dari data primer dan data sekunder. Datap primer yang menjadi sumber data utama dari pengerjaan laporan tugas akhir ini didapat dari data dan informasi yang diperoleh dari hasil wawancara serta observasi langsung pada PT. POS Indonesia di Cimahi, sendangkan data sekunder yang menjadi pendukung dari pengerjaan laporan tugas akhir ini didapat dari
internet, buku petunjuk teknis dan buku petunjuk pelaksanaan dari System
Online Payment Point serta buku literatur yang berasal dari perpustakaan.
1.6 Sistematika Penyajian
BAB 1: Pada bab ini membahas mengenai latar belakang masalah, rumusan masalah, tujuan pembahasan, ruang lingkup kajian, dan sistematika penyajian.
BAB 2: Pada bab ini membahas dasar-dasar teori yang digunakan dalam menganalisis risiko-risiko pada sistem informasi System Online
Payment Point PT. POS Indonesia.
BAB 3: Pada bab ini membahas mengenai hasil analisa yang telah dilakukan di perusahaan, dan apakah sistem yang digunakan oleh perusahaan sesuai dengan standar Framework Risk IT.
79
Universitas Kristen Maranatha
BAB 4.
SIMPULAN DAN SARAN
4.1 Simpulan
Berdasarkan hasil analisis menggunakan Framework Risk IT Domain
Risk Response serta ditunjang dengan bukti hasil observasi berupa bukti
hasil wawancara, foto, dan dokumen yang diperoleh penulis pada PT. POS Indonesia di Cimahi, maka dapat disimpulkan pada tabel 4.1 Hasil Kesimpulan Maturity Level:
Tabel 4.1 Hasil Kesimpulan Maturity Level
Proses Risiko Level Saat Ini
Level Yang
Akan
Dicapai
Response
RR1.1 Server Mati
Level 1 Awal
/Ad-Hoc
Level 2
Berulang Tapi Intuitif
Kesadaran individu terhadap ancaman dan perusahaan, Kejadian yang berlangsung perlu didokumentasikan dan pendekatan umum untuk menggunakan alat-alat pemantauan, tetapi didasarkan pada solusi yang dikembangkan secara individu. Listrik
80
Universitas Kristen Maranatha dikembangkan
secara individu.
Human dan Terukur
Adanya kebudayaan pemberian hadiah di perusahan yang memotivasi tindakan positif.
RR1.2 Server Mati
Level 2
Berulang Tapi Intuitif
Level 3
Proses Terdefenisi
Tanggapan dari perusahan terhadap risiko yang
mendefenisikan kapan dan bagaimana cara menanggapi risiko, Rencana yang telah ditetapkan untuk penggunaan dan standarisasi alat untuk Tapi Intuitif
Perlu adanya tindakan dan dokumentasi untuk pelaporan guna tindakan lebih lanjut. Human
Error
Level 2
Berulang Tapi Intuitif
Level 3
Proses Terdefenisi
81
Universitas Kristen Maranatha kelalaian.
RR1.3 Server Mati
Level 0 Tidak
Ada
Level 1 Awal
/Ad-Hoc
Perlu adanya tindakan dari
perusahaan terhadap laporan dari pihak ketika terkait jaringan internet Tapi Intuitif
Perlu dokumentasi terkait pelaksanaan guna mendata
peluang dan dampak agar jika terjadi ladi sudah ada tindakan yang kongkrit. Human
Error
Level 2
Berulang Tapi Intuitif
Level 3
Proses Terdefenisi
Monitoring secara berkala terhadap transaksi.
RR1.4 Server Mati
Level 0 Tidak
Ada
Level 1 Awal
/Ad-Hoc
Perlu adanya tindakan dari
perusahaan terhadap peluang yang
berdampak pada unit bisnis seperti jaringan internet.
Perlu adanya tindakan dari
perusahaan terhadap peluang yang
berdampak pada unit bisnis seperti
82
Universitas Kristen Maranatha Human dan Terukur
Manajemen bisnis dan manajemen IT bersama-sama menentukan kondisi dari risk IT apakah sudah melebihi Risk Response yang ditentukan atau tidak. RR2.1 Server
Mati
Level 1 Awal
/Ad-Hoc
Level 2
Berulang Tapi Intuitif
Perlu tanggapan risk IT dibicarakan
ditingkat manajemen terkait jaringan internet. Tapi Intuitif
Perlu tanggapan risk IT dibicarakan ditingkat manajemen
terkait listrik. Human
Error
Level 2
Berulang Tapi Intuitif
Level 3
Proses Terdefenisi
Perlu adanya pelatihan terhadap pegawai yang menggunakan sistem.
RR2.2 Server Mati dan Terukur
Manajemen bisnis dan manajemen IT bersama-sama menentukan kondisi dari risk IT apakah sudah melebihi Risk
Response yang
83
Universitas Kristen Maranatha ketrampilan yang
secara rutin
diperbaharui untuk semua daerah risk
response, termasuk
risk artikulasi, risk pemantauan, dan
project. Tapi Intuitif
Perlu adanya pendekatan umum untuk menggunakan alat-alat pemantauan tetapi didasarkan pada solusi yang dikembangkan secara individu, Persyarakatan minimum
diidentifikasi untuk area yang kritis terhadap risiko, monitoring dan krisis manajemen,
Tanggapan risk IT dibicarakan ditingkat manajemen, dan adanya kesadaran
individu terhadap
ancaman. Human
Error
Level 2
Berulang Tapi Intuitif
Level 3
Proses Terdefenisi
84
Universitas Kristen Maranatha menggunakan
sistem. RR2.3 Server
Mati
Level 0 Tidak
Ada
Level 1 Awal
/Ad-Hoc
Adanya pengakuan untuk merespon risiko yang muncul, tetapi dipandang sebagai batasan untuk menghindari risiko.
Adanya pengakuan untuk merespon risiko yang muncul, tetapi dipandang sebagai batasan untuk menghindari risiko. Tapi Intuitif
Adanya kesadaran
individu terhadap
ancaman, dan Proses peringanan risiko mulai
dilaksanakan dimana masalah risk IT
diidentifikasi. RR2.4 Server
Mati
Level 2
Berulang Tapi Intuitif
Level 3
Proses Terdefenisi
Perlu adanya rencana yang telah ditetapkan untuk penggunaan dan standarisasi alat untuk
85
Universitas Kristen Maranatha operasional.
Perlu adanya pengakuan untuk merespon risiko yang muncul, tetapi
dipandang sebagai batasan untuk menghindari risiko. Human dan Terukur
Perlu adanya kebudayaan
pemberian hadiah di perusahan yang memotivasi tindakan positif. Tapi Intuitif
Perlu adanya dokumentasi yang ditandatangani oleh kepala perusahaan terkait penanganan risiko.
Perlu adanya tindakan yang ditandatangin oleh kepala perusahaan terkait penanganan risiko.
Human
Error
Level 2
Berulang Tapi Intuitif
Level 3
Proses Terdefenisi
Perlu adanya pelatihan terhadap pegawai yang
86
Universitas Kristen Maranatha risk IT
RR3.1 Server Mati
Level 2
Berulang Tapi Intuitif
Level 3
Proses Terdefenisi
Perlu adanya pelatihan pegawai secara berkala yang berkaitan dengan IT,
risk IT, internet, dan
kontrol yang relevan dengan peran dan tanggungjawab Tapi Intuitif
Perlu dokumentasi terkait pelaksanaan guna mendata
peluang dan dampak agar jika terjadi ladi sudah ada tindakan yang kongkrit. Human
Error
Level 2
Berulang Tapi Intuitif
Level 3
Proses Terdefenisi
Perlu adanya pelatihan pegawai secara berkala yang berkaitan dengan IT,
risk IT, dan kontrol
yang relevan dengan peran dan Tapi Intuitif
Level 3
Proses Terdefenisi
87
Universitas Kristen Maranatha
risk IT, internet, dan
kontrol yang relevan dengan peran dan tanggungjawab Tapi Intuitif
Perlu dokumentasi terkait pelaksanaan guna mendata
peluang dan dampak agar jika terjadi ladi sudah ada tindakan yang kongkrit, dan persyarakatan minimum
diidentifikasi untuk area yang kritis terhadap risiko, monitoring dan krisis manajemen.
Perlu adanya pengakuan untuk merespon risiko yang muncul, tetapi
dipandang sebagai batasan untuk menghindari risiko, Minimal ada
88
Universitas Kristen Maranatha ketrampilan dan
kompetensi untuk merespon risiko RR3.3 Server Tapi Intuitif
Perlu adanya persyarakatan minimum
diidentifikasi untuk area yang kritis terhadap risiko, monitoring dan krisis manajemen. Tapi Intuitif
Perlu adanya kesadaran individu terhadap ancaman. Human Tapi Intuitif
Perlu tanggapan risk IT dibicarakan
ditingkat manajemen, kesadaran individu terhadap ancaman, dan pendekatan umum untuk menggunakan alat-alat pemantauan, tetapi didasarkan pada solusi yang dikembangkan secara individu. RR3.4 Server
Mati
Level 0 Tidak
Ada
Level 1 Awal
/Ad-Hoc
Perlu danya
89
Universitas Kristen Maranatha .tanggapan risiko
yang wajar dan mencerminkan nilai lingkungan dan
asset, adanya kontro
IT tetapi berdasarkan persyaratan, dan kesadaran individu dari ancaman dan apa yang harus dilakukan ketika Listrik
Perlu danya
akuntabilitas untuk memastikan bahwa langkah-langkah .tanggapan risiko yang wajar dan mencerminkan nilai lingkungan dan
asset, adanya kontro
IT tetapi berdasarkan persyaratan, dan kesadaran individu dari ancaman dan apa yang harus dilakukan ketika. Human Tapi Intuitif
90
Universitas Kristen Maranatha
4.2 Saran
91
Universitas Kristen Maranatha
DAFTAR PUSTAKA
[1] J. Raymond McLeod, Sistem Informasi Manajemen, Jakarta: PT Prenhallindo, 1995.
[2] H. C. L. JR, Analisis, Desain dan Implementasi Sistem Informasi, Jakarta: Erlangga, 1993.
[3] J. A. O. d. G. M. Marakas, Introduction To Information Systems, New York: The McGraw-Hill, 2007.
[4] M. A. P. Jogiyanto HM, Sistem Teknologi Informasi, Yogyakarta: ANDI Yogyakarta, 2001.
[5] J. Raymond McLeod, Sistem Informasi Manajemen, Jakarta: PT Prenhallindo, 2001.
[6] M. F. H. A. Wibowo, Sistem Informasi Manajemen, Yogyakarta: Unit Penerbit dan Percetakan AMP YKPN, 2002.
[7] R. M. S. a. G. W. Reynolds, Fundamentals of Information Systems, United States of America: Course Technology, 2003.
[8] K. C. L. &. J. P. Laudon, Management Information Systems, New Jersey: Prentince Hall International, 2000.
