PENILAIAN RISIKO SISTEM INFORMASI PENJUALAN KREDIT PADA PT MUSTIKA RATU,TBK MENGGUNAKAN METODE FRAAP

(1)

PENILAIAN RISIKO SISTEM INFORMASI

PENJUALAN KREDIT PADA PT MUSTIKA

RATU,TBK MENGGUNAKAN METODE

FRAAP

Siti Nurfadhila

1

; Anisa Nurvianti

2

; Tia Merlani

3

; Siti Elda

Hiererra

4

Computerized Accoounting Departement, School of Information System, Binus University Jl. KH. Syahdan No.9 , Palmerah, Jakarta Barat 11480

dhila_dhilaa@yahoo.com; nurvianti@yahoo.co.id; thiamerlani@yahoo.com

Abstract

The purpose of this research is to conduct a risk assessment on information system of credit sales in PT Mustika Ratu,Tbk and identifying possible risks and recommended control of risks are found, so it can help companies prevent and reduce the impact of risks that may occur. The research methodology used was the literature research and field studies in the form of direct observation to PT Mustika Ratu,Tbk, interviews, questionnaires, study documentation and analysis method that uses the FRAAP approach (Facilitated Risk Analysis and Assessment Process ). The results achieved from this research is the analysis of the data presented in the form of risk analysis, the results of the determination of the level of risk, and recommendations are given as a control measure. Conclusions that can be obtained from information system of credit sales in PT Mustika Ratu,Tbkthere are 29 threats identified and as much as 22 threats already have the control applied in PT Mustika Ratu,Tbk. While as many as 7 threats with a high level of risk identified have not yet controlled. Thus, it is very important for enterprise to improve the control of risk that the company's entire business process can be run better.(S,A,T).

Keywords: Risk Assessment, Information System, Credit Sales, FRAAP

Abstrak

Tujuan penelitian ini adalah untuk melakukan penilaian risiko pada sistem informasi penjualan kredit yang terdapat di PT Mustika Ratu,Tbk dan mengidentifikasi risiko yang mungkin terjadi serta memberikan rekomendasi pengendalian dari risiko yang ditemukan, sehingga dapat membantu perusahaan dalam mencegah dan mengurangi dampak dari risiko yang mungkin terjadi. Metodologi penelitian yang digunakan adalah studi kepustakaan dan studi lapangan yang berupa observasi langsung ke PT Mustika Ratu,Tbk , wawancara, kuisioner, studi dokumentasi serta metode analisa yang menggunakan pendekatan FRAAP (Facilitated Risk Analysis and Assessment Process). Hasil yang dicapai dari penelitian ini berupa analisa data yang disajikan dalam bentuk analisis risiko, hasil penetapan tingkat risiko, dan rekomendasi yang diberikan sebagai tindakan pengendalian. Simpulan yang dapat diperoleh adalah pada sistem informasi penjualan kredit PT Mustika Ratu,Tbk terdapat 29 ancaman yang teridentifikasi dan diantaranya sebanyak 22 ancaman telah memiliki pengendalian yang sudah diterapkan di PT Mustika Ratu,Tbk. Sedangkan sebanyak 7 ancaman dengan tingkat risiko tinggi yang teridentifikasi belum memiliki pengendalian. Dengan demikian

(2)

sangat penting bagi perusahaan untuk meningkatkan pengendalian terhadap risiko agar seluruh proses bisnis perusahaan dapat berjalan dengan lebih baik.(S,A,T).

Kata Kunci: Penilaian Risiko, Sistem Informasi, Penjualan Kredit, FRAAP

PENDAHULUAN

Mengembangkan teknologi informasi (TI) yang mendukung strategi dan didukung oleh strategi bisnis sangat penting untuk menghasilkan nilai bisnis dalam organisasi saat ini. Dalam menghadapi kondisi bisnis yang berubah dengan cepat dan TI yang terus berkembang, bagaimanapun, organisasi masih harus belajar bagaimana mengembangkan strategi TI yang efektif (Smith,2007).

Perusahaan dapat tumbuh berhasil dengan mengintegrasikan sistem untuk mitra bisnis dalam upaya menciptakan keunggulan kompetitif dalam dunia bisnis. Sistem terintegrasi dapat dilakukan dengan mengadopsi teknologi e-commerce dan model Bussiness-to-Business yangakan terhubung dengan organisasi mitra bisnis. Dengan sistem yang terintegrasi, manajemen harus lebih sering dilakukan. Jika risiko dapat diidentifikasi dan ditangani, sistem yang terintegrasi dapat melancarkan proses bisnis dalam sebuah perusahaan (Carmen,2009)

Dengan adanya suatu manajemen risiko, risiko-risiko yang ada dapat dihilangkan,dikurangi, ataupun ditransfer. Oleh karena itu manajemen risiko di dalam suatu perusahaan amat penting dan dapat menghindari perusahaan dari kerugian-kerugian yang mungkin timbul di masa mendatang yang ebrasal dari risiko-risiko yang tidak dijadikan titik fokus di masa sekarang (Gondodiyoto,2009)

Tujuan penelitian adalah menganalisis proses bisnis yang sedang berjalan di PT Mustika Ratu,Tbk yang berkaitan dengan sistem penjualan kredit; melakukan identifikasi risiko yang mungkin terjadi pada sistem penjualan kredit juga memberikan solusi dan rekomendasi dari risiko yang telah ditemukan; memberikan penilaian dan arahan yang berorientasi pada bisnis dengan menggunakan standar FRAAP terhadap kebutuhan kontrol perusahaan. Adapun manfaat penelitian adalah sebagai persiapan atau pencegahan sebelum terjadinya risiko pada sistem yang berjalan; memberikan informasi dan rekomendasi kepada perusahaan mengenai ancaman dan risiko yang ada dalam sistem sehingga diharapkan dapat mengurangi kerugian yang ditimbulkan oleh risiko tersebut; meningkatkan pengendalian terhadap sistem informasi penjualan kredit agar nantinya siklus tersebut tidak bermasalah kembali; memudahkan aktivitas di dalam perusahaan dapat diselesaikan secara cepat, akurat, efisien, dan efektif.

METODE PENELITIAN

Metode Pengumpulan Data

Dalam penyusunan artikel ilmiah ini, pengumpulan data dilakukan dengan berbagai cara, yaitu : (1) studi kepustakaan, yaitumelakukan studi mengenai teknik pengumpulan data pada sistem informasi penjualan pada perusahaan dengan menggunakan buku-buku yang sesuai dengan teori FRAAP, literatur-literatur, dan referensi pustaka yang dapat menunjang materi dan masalah yang dibahas dalam penulisan artikel ilmiah ini; (2) studi lapangan, yaitu mengadakan survei atau penelitian secara langsung ke perusahaan mengenai sistem informasi penjualan kredit untuk memperoleh informasi dan permasalahan yang ada sehingga mendapatkan gambaran yang jelas mengenai sistem informasi penjualan kredit pada PT Mustika Ratu,Tbk. Dalam penelitian lapangan ini, kami menggunakan empat cara yaitu: (a) pengamatan, dengan cara meneliti aplikasi dari sistem informasi PT Mustika Ratu,Tbk; (b) wawancara, dengan cara melakukan tanya jawab secara langsung kepada pihak di PT Mustika Ratu, Tbk, antara lain : manajer dan staff BagianModern Trade, Manajer Bagian Ekspor, dan Manajer Bagian TI; (c) kuisioner, dengan cara memberikan pertanyaan terstruktur yang berisi daftar pertanyaan sesuai dengan apa yang berhubungan dengan informasi dan sistem aplikasi yang digunakan oleh PT Mustika Ratu,Tbk; (d) studi dokumentasi, dengan cara

(3)

mengumpulkan dan mempelajari dokumen-dokumen yang terkait dengan objek penelitian dari perusahaan, seperti : formulir-formulir yang digunakan dan print screen dari aplikasi yang diimplementasikan oleh perusahaan, yang dapat dijadikan sebagai temuan atau bukti atas evaluasi yang dilakukan.

Metode Analisa

Ada berbagai metode dan pendekatan dalam melakukan penilaian risiko salah satunya adalah FRAAP (Facilitated Risk Analysis and Assessment Process). Pendekatan ini digunakan untuk menganalisa berbagai ancaman serta kerentanan pada sistem dan kegiatan operasional, yang dapat menjadi risiko didalam proses bisnis siklus penjualan kredit yang terjadi di PT Mustika Ratu,Tbk. FRAAP merupakan metodologi formal yang dikembangkan melalui pemahaman dalam proses penilaian risiko kualitatif dan dimodifikasi untuk memenuhi kebutuhan bisnis. FRAAP telah dikembangkan sebagai proses yang efisien dan disiplin untuk memastikan bahwa informasi terkait risiko keamanan untuk operasi bisnis dipertimbangkan dan didokumentasikan. Proses ini melibatkan menganalisis satu sistem, platform aplikasi, proses bisnis, atau segmen operasi bisnis pada suatu waktu. Dengan menggunakan FRAAP diharapkan proses analisis risiko dapat dilakukan dalam hitungan hari, bukan mingguan atau bulanan. Dengan demikian analisis risiko bukan merupakan kendala, tetapi proses yang sangat mungkin dilakukan dan juga diperlukan (Peltier,2005).

Selama sesi FRAAP, tim mengungkapkan pendapat tentang ancaman yang potensial, vulnerability, dan hasil dari dampak negatif pada integritas data, kerahasiaan, serta ketersediaan aset informasi. Kemudian tim akan menganalisis pengaruh dampak tersebut terhadap operasi bisnis dan secara luas mengkategorikan risiko menurut prioritas levelnya. Tim biasanya tidak mencoba untuk mendapatkan atau mengembangkan angka yang spesifik untuk kemungkinan terjadinya ancaman atau perkiraan kerugian tahunan meskipun data untuk menentukan faktor-faktor tersebut tersedia. Tim bergantung pada pengetahuan umum dari ancaman dan kerentanan yang diperoleh dari pusat respon insiden nasional, asosiasi profesi dan literatur, dan pengalaman mereka sendiri. Setelah mengidentifikasi dan mengkategorikan risiko, tim mengidentifikasi pengendalian yang dapat diimplementasikan untuk mengurangi risiko, berfokus pada pengendalian yang paling efektif dari segi biaya. Tim akan menggunakan titik awal dari 34 kontrol umum yang dirancang untuk mengatasi berbagai jenis risiko. Pada akhirnya, keputusan seperti apa yang dibutuhkan terkait pengendalian terletak pada manajer bisnis yang mempertimbangkan sifat aset-aset informasi dan pentingnya mereka bagi operasi bisnis dan biaya pengendalian. Kesimpulan tim mengenai risiko-risiko apa yang ada, bagaimana prioritasnya, dan pengendalian apa yang yang dibutuhkan, didokumentasikan dan dikirim kepada pimpinan proyek dan manajer bisnis untuk menyelesaikan action plan(Peltier,2005).

Terdapat tiga tahapan penting dalam proses FRAAP yaitu : pre-FRAAP meeting, FRAAP

session, dan post- FRAAP session.

Pre-FRAAP Meeting

Pre-FRAAP meeting ini merupakan kunci sukses dalam suatu proyek. Pada tahap ini pertemuan biasanya berlangsung sekitar satu jam dan biasanya dilakukan di kantor klien. Ada 6 komponen utama yang muncul dari sesi ini : (1) hasil penyaringan – melakukan penyaringan terhadap aset informasi sesuai kebutuhan dengan melihat tingkat sensitivitas dari aset informasi tersebut; (2) ruang lingkup - pimpinan proyek dan manajer bisnis harus menentukan ruang lingkup pembahasan; (3) model visual - pembuatan diagram proses (gambaran) mengenai pernyataan ruang lingkup; (4) pembentukan tim FRAAP – membentuk tim FRAAP yang terdiri atas 15 - 30 orang anggota yang berhubungan dengan sistem yang terkait; (5) pertemuan teknis - manager bisnis bertanggung jawab dalam menyediakan ruangan meeting, menyusun jadwal, dan juga menyiapkan bahan-bahan yang dibutuhkan; (6) persetujuan definisi - persetujuan harus berdasarkan pada adanya threat ,

control,probability dan impact juga menyepakati definisi dari elemen review (integritas,

kerahasiaan,ketersediaan). FRAAP Session

Pada tahap ini pertemuan biasanya berlangsung selama empat jam. Komponen-komponen yang muncul dari tahap ini diantaranya adalah: (1) identifikasi ancaman - mengidenifikasi risiko yang mungkin terjadi pada sistem bisnis perusahaan; (2) prioritas risiko - menentukan risiko utama dari semua risiko yang mungkin terjadi berdasarkan tingkat kemungkinan (probability) kejadian tersebut

(4)

dan dampak (impact) dari ancaman tersebut pada perusahaan; (3) memberikan saran pengendalian - memberikan solusi pengendalian untuk meminimalisir risiko dan juga ancaman yang mungkin terjadi. Berikut merupakan Matriks Prioritas dalam menganalisa aksi dan pengendalian yang harus diimplementasikan berdasarkan tipe tinggi atau rendahnya dampak bisnis dan tingkat kemungkinan ancaman yang dapat terjadi pada sistem perusahaan.

IMPACT

Gambar 1 Matriks Prioritas FRAAP Keterangan:

A – Tindakan perbaikan harus diimplementasikan B – Tindakan perbaikan yang diusulkan

C – Membutuhkan pemantauan D – Tidak ada tindakan yang diperlukan

Setelah tingkat risiko telah ditetapkan, maka dilakukan dokumentasi pengendalian apa saja yang perlu diterapkan untuk menanggulangi ancaman-ancaman yang ditemukan. Proses selanjutnya yang dilakukan adalah menentukan pengendalian yang diusulkan (suggested control) atas risiko yang terjadi. Suggested control dilakukan untuk mengurangi tingkat kerentanan pada sistem yang digunakan pada perusahaan. Sehingga risiko yang terjadi di perusahaan dapat berkurang. Selain itu,

Suggested control juga dilakukan untuk memberikan saran kepada perusahaan mengenai

pengendalian yang perlu ditambahkan.

Terdapat 6 poin penting yang dihasilkan dalam FRAAP Session, yaitu : (a) ancaman (threat) teridentifikasi; (b) tingkat risiko (level risk) telah ditetapkan; (c) mendokumentasikan pengendalian yang diusulkan; (d) pengendalian yang sudah ada diidentifikasi; (e) pengendalian terhadap risiko

high-level ditetapkan; (f) memilih kelompok atau orang yang bertanggung jawab untuk

mengimplementasikan rekomendasi pengendalian yang diusulkan sebelumnya. Post- FRAAP Session

Dalam fase ini, FRAAP menghasilkan laporan yang akan menetapkan penilaian risiko apa yang dicapai dan bagaimana manajemen melakukan pemeriksaan menyeluruh yang diperlukan. Selama fase ini fasilitator dan pemilik akan bekerja untuk mengumpulkan rencana aksi penilaian risiko.Informasi ini akan dikombinasikan dengan pemeriksaan kontrol biaya, dan laporan akhir yang akan muncul. Post FRAAP Session menghasilkan tiga penyampaian , yaitu : (1) membuat complete

action plan - menggabungkan risiko dari risk list dengan pengendalian yang disarankan dari control list, dengan tujuan mengetahui tindakan apa yang dilaksanakan dan oleh siapa dilaksanakan, serta

status dari rencana aksi tersebut agar dapat membantu perusahaan dalam melaksanakan penetapan kontrol yang diusulkan; (2) membuat ringkasan laporan manajemen - memberikan gambaran temuan penilaian risiko dan digunakan untuk melengkapi dokumentasi hasil temuan keseluruhan. Laporan ini terdiri dari 6 kunci utama, yaitu : (a) penilaian anggota tim; (b) ringkasan manajemen; (c) metodologi yang digunakan dalam penilaian; (d) kajian temuan dan rencana; (e) dokumentasi temuan; (f) kesimpulan; (3) membuat cross-references sheet - untuk mengidentifikasi pengendalian yang cocok dengan risiko yang teridentifikasi. Tujuan dari Cross – Reference Sheet ini adalah untuk menentukan dan mengetahui satu pengendalian dapat memitigasi lebih dari satu risiko, sehingga hal tersebut bisa

High Medium Low

High A B C Medium B B C Low C C D P R O B A B I L I T Y

(5)

menjadi bantuan bagi tim FRAAP dan fasilitator dalam menentukan sumber daya terbaik guna menangani risiko-risiko yang telah ditemukan.

HASIL DAN PEMBAHASAN

Pre-FRAAP Meeting

Hasil Penyaringan

Pada tahapan ini penulis memeriksa dua kunci elemen, yaitu: sensitivitas dari informasi yang sedang ditangani dan kekritisan misi dari sistem.

Tabel 1 Hasil Penyaringan

Impat Value Information Classification Level Asset Longest Tolerable Outage Description

1 Top Secret Jaringan

Virtual Private Network

24 Jam Apabila jaringan VPN mengalami gangguan maka proses pertukaran data dari pusat ke cabang dan sebaliknya tidak dapat dilakukan. Hal ini akan menyebabkan tidak masuknya data dari pusat ke cabang atau sebaliknya sehingga transaksi penjualan tidak terekam maka akan terjadi kerugian pada aktivitas

penjualanperusahaan. Harus diatasi sesegera mungkin (kurang dari 24 jam) agar kerugian perusahaan tidak bertambah.

2 Confidential Database 25 – 72 Jam

Database berisi file-file penting yang digunakan oleh perusahaan. Apabila terjadi kebocoran informasi pada database perusahaan maka akan mengurangi keunggulan kompetitif perusahaan dibandingkan dengan kompetitor karena data-data rahasia perusahaan terungkap dan dapat dijadikan serangan bagi kompetitor. 2 Confidential Data

Backup

25 – 72 Jam

Data backup merupakan data yang diambil dari transaksi penjualan perusahaan setiap harinya. Apabila data backup mengalami kebocoran informasi dan mengalami kerusakan maka akan mengurangi keunggulan kompetitif bagi perusahaan atau merusak integritas data perusahaan.

3 Restricted Aplikasi Navision

3 – 5 Hari Penggunaan aplikasi Navision telah dibatasi. Tidak semua pengguna dapat membuka modul-modul yang ada pada aplikasi Navision, pembatasan modul disesuaikan dengan deskripsi tugas masing-masing karyawan

4 Internal Use Standar Operasional Prosedur

6 – 9 Hari SOP diterapkan untuk seluruh karyawan dalam perusahaan. Fungsi dari SOP tersebut agar dapat dipatuhi dan dijadikan pedoman bagi karyawan dalam melakukan proses bisnis perusahaan. Apabila pihak perusahaan tidak menerapkan SOP tersebut ke pihak karyawan maka akan

(6)

terjadi ketidak patuhan atau penyelewengan dalam kinerja karyawan.

5 Public Website

Perusahaan

10 hari -12 hari

Website perusahaan merupakan sumber

informasi yang dapat diakses oleh masyarakat untuk mengetahui mengenai perusahaan .

Ruang Lingkup

Dalam hal ini, kami sebagai fasilitator FRAAP menentukan ruang lingkup pembahasan pada sistem informasi penjualan PT Mustika Ratu,Tbk yaitu pada bagian TI, bagian Sales dan bagian Ekspor.

Model Visual

Berikut ini adalah gambar model visual dalam tahapan FRAAP yang kami laksanakan (Gambar 2).

Gambar 2 Model Visual tahapan FRAAP

Pembentukan Tim FRAAP

Fasilitator berhak menentukan anggota tim yang dapat mengikuti proses FRAAP Meeting. Hal ini dilakukan agar memudahkan para anggota tim FRAAP Meeting dalam bertukar pikiran terhadap risiko yang mungkin muncul dan kontrol terhadap risiko yang telah ada di dalam PT Mustika Ratu,Tbk. Adapun anggota yang ikut berpartisipasi dalam FRAAP Meeting, antara lain : Assistant

Manager IT, Staff IT, Regional Sales Manager, Sales Manager,Account Receivables Manager, Staff Entry Data Processing, dan Fasilitator.

Pertemuan Teknis

Dalam proses pertemuan teknis ini, karena keterbatasan waktu dari masing-masing bagian maka penulis tidak dapat melakukan pertemuan secara langsung dengan ketiga bagian yang bersangkutan sehingga penulis melakukan penjadwalan pertemuan dengan setiap bagian pada waktu yang berbeda. Pertemuan dilakukan di ruangan masing-masing bagian dan penanggung jawab dalam menentukan penjadwalan pertemuan serta menyiapkan kebutuhan yang diperlukan dalam pertemuan adalah penulis.

Mengatur Persetujuan Definisi

Dalam tahap Pre-FRAAP Meeting ini dibutuhkan persetujuan terhadap beberapa definisi yang ada pada metode FRAAP. Dimana terdapat lima definisi utama yang perlu dipahami oleh para anggota sebelum melakukan FRAAP, yaitu : (1) threat- kejadian yang berpotensial memiliki dampak negatif terhadap tujuan bisnis atau pernyataan misi dari perusahaan; (2) control - suatu ukuran yang diambil

(7)

untuk mencegah, mendeteksi, mengurangi, atau pulih dari resiko untuk melindungi proses bisnis atau misi perusahaan; (3) integrity - segala macam informasi tanpa adanya modifikasi yang tidak sah (asli); (4) confidentiality - informasi yang belum mengalami pengungkapan informasi yang tidak sah atau yang tidak diinginkan; (5) availability - aplikasi, sistem, atau sumber daya informasi bisa diakses saat diperlukan.

FRAAP Session

Melakukan Identifikasi Ancaman & Penetapan Tingkatan Risiko

Berdasarkan hasil diskusi dengan anggota tim FRAAP, penulis mengidentifikasi terdapat sebanyak 29 ancaman pada sistem informasi penjualan PT Mustika Ratu,Tbk. Berdasarkan risiko yang ada, maka dalam menentukan tingkatan prioritas suatu risiko, perlu ditentukan matriks dari risiko tersebut, ditinjau dari tingkat kerentanan (vulnerability), serta pengaruhnya terhadap proses bisnis dari sistem informasi penjualan di PT Mustika Ratu,Tbk. Seperti dalam matriks prioritas yang telah diteliti tersebut, tim akan melihat dimana tingkat probabilitas dan tingkat dampak berpotongan, kemudian memasukkan informasi ini kedalam kertas kerja FRAAP untuk dapat mengetahui tingkat risiko seperti dalam Tabel 2.

Tabel 2 Identifikasi Ancaman & Penetapan Tingkatan Risiko

Nomor Ancaman Ancaman Tinjauan Elemen Tingkat Risiko 1 ID dan password dari ex user masih dapat digunakan pada

aplikasi Navision

INT TI : A S & E : D 2 Adanya prosedur yang tidak sesuai dengan tahapan proses

bisnis yang dilakukan

INT TI&S : C E : B 3 Kurangnya pengelolaan data dari masing-masing bagian INT D 4 Membuat laporan penjualan yang salah INT B 5 Kurangnya pelatihan terhadap penggunaan sistem aplikasi

Navision

INT E : B TI : C 6 Tidak memprosespermintaan secara tepat waktu INT C 7 Aplikasi Navision pada cabang menjadi offline karena

gangguan VPN

INT B

8 Kesalahan dalam memberikan dokumen penting ke bagian lain

INT S : C TI : D 9 Adanya kesalahan pemesanan yang dilakukan oleh customer INT B 10 Dokumen lama masih tersimpan pada aplikasi dan file INT A 11 Menggunakan sistem yang tidak aman dalam penerimaan PO

dari Customer

CON B

12 Staf admin tidak puas dengan hak akses yang didapat yang menimbulkan penundaan pekerjaan

CON B

13 Pengungkapan informasi sensitif oleh karyawan yang tidak memiliki hak

CON C

14 Hanya satu orang yang menyimpan seluruh tape data backup CON B 15 Meletakan catatan mengenai ID dan password di sembarang CON A

(8)

tempat

16 Komputer tidak memiliki password login CON B 17 Penyedia aplikasi masih memiliki data mengenai kelemahan

aplikasi Navision

CON C

18 Adanya kebocoran informasi mengenai produk ke kompetitor lain

CON B

19 Kurangnya pemeliharaan pada website perusahaan AVA B 20 Adanya kerusakan yang terjadi pada hardware AVA B 21 Adanya gangguan jaringan pada perusahaan layanan provider

komunikasi yang digunakan

AVA B

22 Website perusahaan belum terlindungi dari serangan hacker AVA B 23 Aplikasi Navision masih belum lengkap AVA B 24 Aplikasi masih kurang mampu dalam menghadapi tingkat

transaksi yang tinggi

AVA B

25 Koneksi internet yang lambat AVA B

26 Adanya virus pada komputer AVA B

27 Adanya kerusakan yang terjadi pada router AVA B

28 Kapasitas backup yang terbatas AVA C

29 Belum tersedianya fitur mengenai produk di website perusahaan

AVA A

Memberikan Saran Pengendalian terhadap Risiko

Setelah tingkat risiko telah ditetapkan, maka dilakukan dokumentasi pengendalian apa saja yang perlu diterapkan dan dilakukan pada PT Mustika Ratu,Tbk untuk menanggulangi ancaman-ancaman yang ditemukan. Pengendalian ini berdasarkan kelas pengendalian yang ada dalam buku Peltier (2005:176). Proses selanjutnya yang dilakukan adalah menentukan pengendalian yang diusulkan (sugessted control) atas risiko yang terjadi.

Tabel 3 Pengendalian Yang Diusulkan

Nomor Ancaman

Ancaman Tingkat

Risiko

Pengendalian yang Diusulkan 1. ID dan password dari mantan pengguna

masih dapat digunakan pada aplikasi Navision.

A&D 3,14,15,20,22,27,28

2 Adanya prosedur yang tidak sesuai dengan tahapan proses bisnis yang dilakukan.

B&C 5,17,20, 30

3 Kurangnya pengelolaan data dari masing-masing bagian

D -

4 Membuat laporan yang salah B 3,10,17,21,33 5 Kurangnya pelatihan terhadap

penggunaan sistem aplikasi Navision

B&C 11,12, 16, 17,18,21 6 Tidak memproses permintaan secara

tepat waktu

C 3,7,8,17 7 Aplikasi Navision pada cabang menjadi

offline karena gangguan VPN

B 1,2,3,5,16,25,33 8 Kesalahan dalam memberikan dokumen

penting ke bagian lain

C&D 5,9,18,33,34 9 Adanya kesalahan pemesanan yang

dilakukan oleh customer

B 7,8

10 Dokumen lama masih tersimpan pada aplikasi dan file

(9)

11 Menggunakan sistem yang tidak aman dalam penerimaan PO dari Customer

B 1,3,4,5,15,16,17,18,25,28, 31

12 Staf admin tidak puas dengan hak akses yang didapat yang menimbulkan penundaan pekerjaan

B 20,25

13 Pengungkapan informasi sensitif oleh karyawan yang tidak memiliki hak

C 14,15,17,22,27,28,34

14

Hanya satu orang yang menyimpan seluruh tape data backup

B 1,3,11,12,13, 24

15 Meletakan catatan mengenai ID dan

password di sembarang tempat

A 14,15,17,21,22,24,27 16 Komputer tidak memiliki password login B 6,12,14,15,20,22,29, 32 17 Penyedia aplikasi masih memiliki data

mengenai kelemahan aplikasi Navision

C 3,7,8,14,19,24,26

18 Adanya kebocoran informasi mengenai produk ke kompetitor lain

B 3,10,14,15,17,22,26,27 19 Kurangnya pemeliharaan pada website

perusahaan

B 2,3,4,6,14,23,28 20 Adanya kerusakan yang terjadi pada

hardware

B 1,2,4,6,13,14,27,31,33 21 Adanya gangguan jaringan pada

perusahaan layanan provider komunikasi yang digunakan

B 1,7,8,17,29,32

22 Website perusahaan belum terlindungi

dari serangan hacker

B 3,4,6,14,22,2427, 34

23 Aplikasi Navision masih belum lengkap B 5,16,19 24 Aplikasi masih kurang mampu dalam

menghadapi tingkat transaksi yang tinggi

B 1,2,3,5,16,19,22,25,29,34

25 Koneksi internet yang lambat B 5,7,13,20,30,32 26 Adanya virus pada komputer B 2,4, 11,12,13,33 27 Adanya kerusakan yang terjadi pada

router

B 3,6,15,31

28 Kapasitas backup yang terbatas C 1,2,3,9,12,11,31,32,33 29 Belum tersedianya fitur mengenai

produk di website perusahaan

A 5,6,7,10,17,1923,31

Post- FRAAP Session

Complete Action Plan

Rencana aksi (action plan), berisikan pengendalian mana yang akan dilaksanakan untuk ancaman yang memiliki tingkat risiko tinggi, penentuan tanggal pelaksanaan atau pengimplementasian pengendalian, serta pihak atau bagian ,mana yang akan ikut serta dalam pengimplementasian pengendalian yang berguna untuk meminimalisir kumpulan ancaman yang dapat berisiko mengganggu proses bisnis dari sistem informasi penjualan kredit pada PT Mustika Ratu,Tbk .

Tabel 4 Complete Action Plan

Threat number

Risk

(10)

1 A&D Melakukan update daftar pengguna yang berhak mengakses aplikasi Navision dengan segera agar tidak terjadinya penggunaan hak akses kepada pihak yang tidak berwenang.

Manajer dan Staf Bagian TI

3 Maret 2014 – 7 Maret 2014

15 A Memberikan arahan kepada karyawan agar patuh terhadap kebijakan keamanan mengenai hak akses.

Manajer Sales, Manajer Ekspor, Manajer TI 24 Maret 2014 – 28 Maret 2014 10 A Melakukan penghapusan dokumen lama

dan update server backup agar data penjualan yang lama tidak tercampur dengan data penjualan yang baru dan juga memudahkan dalam pencarian data penjualan.

Manajer TI dan Staf TI

31 Maret 2014 – 4 April 2014

29 A Melakukan pemeliharaan dan

mengembangkan fitur baru pada website perusahaanagar customer mengetahui informasi dan produk terbaru dari PT Mustika Ratu,Tbk.

Manajer dan staf TI 7 April 2014 – 11 April 2014

2 B&C Melakukan audit dan memberikan arahan kepada karyawan mengenai prosedur penjualan yang diterapkan agar tidak adanya kesalahan dalam penginputan data penjualan yang dapat merugikan

perusahaan. Manajer Sales, Manajer Ekspor, dan Manajer TI 14 April 2014 – 18 April 2014

4 B Melakukan review kinerja karyawan dan memberikan arahan kepada karyawan mengenai pentingnya integritas data agar mengetahui perkembangan kinerja karyawan dan intergritas data penjualan.

Manajer Sales, Manajer Ekspor, dan Manajer TI 21 April 2014 – 25 April 2014

5 B&C Melakukan review kinerja karyawan dan memberikan pelatihan penggunaan aplikasi Navision agar tidak terjadi kesalahan dalam penginputan data penjualan.

28 April 2014 – 2 Meil 2014

7 B Melakukan prosedur backup dan pengecekan jaringan VPN agar data perusahaan tidak hilang saat terjadinya ancaman.

5 Mei 2014 – 9 Mei 2014

9 B Membuat perjanjian awal dengan

customer mengenai integritas data agar

tidak terjadi lagi kesalahan dalam melakukan transaksi yang sangat merugikan PT Mustika ratu, Tbk.

Manajer dan Staf pada bagian Sales,

Ekspor

12 Mei 2014 - 16 Mei 2014

11 B Melakukan pengendalian akses dan keamanan hubungan jaringan antar sistem agar tidak terjadi modifikasi data

penjualan.

19 Mei 2014 - 23 Mei 2014

12 B Memberikan arahan kepada karyawan agar patuh terhadap kebijakan yang sudah ditetapkan. Manajer Sales, Manajer Ekspor, Manajer TI 26 Mei 2014 - 30 Mei 2014

(11)

14 B Melakukan rotasi tugas dan membuat tempat penyimpanan backup yang lebih aman agar tidak terjadi kecurangan data-data perusahaan jika hanya seorang yang memegang tape backup.

2 Juni 2014 - 6 Juni 2014

16 B Memberikan arahan kepada karyawan mengenai pentingnya keamanan data pada komputer agar tidak terjadi kehilangan data perusahaan yang dapat

disalahgunakan oleh pihak yang tidak berwenang.

Manajer TI dan staf TI

9 Juni 2014 - 13 Juni 2014

18 B Melakukan pengendalian akses dan keamanan hubungan jaringan transferdata agar tidak terjadi kebocoran produk PT Mustika Ratu,Tbk. Manajer TI dan staf TI 16 Juni 2014 - 20 Juni 2014

19 B Melakukan pengendalian dan

maintenance website secara berkala agar

perusahaan terhindar dari ancaman hacker yang bisa merugikan pihak PT Mustika Ratu,Tbk Manajer TI dan staf TI 23 Juni 2014 – 27 Juni 2014

20 B Melakukan pengecekan terhadap

hardware dan maintenance hardware

secara berkala agar pada saat digunakan tidak terjadi kendala yang dapat menghambat proses transkasi penjualan.

30 Juni 2014 - 4 Juli 2014

21 B Melakukan pengecekan terhadap jaringan

internet yang digunakan agar dapat

meminimalisir gangguan jaringan di saat transaksi penjualan sedang berjalan.

7 Juli 2014 - 11 Juli 2014

22 B Melakukan installasi Firewall dan

updateantivirus agar website perusahaan

terlindungi dari berbagai ancaman.

14 Juli 2014 - 18 Juli 2014 23 B Melakukan evaluasi pada aplikasi dan

mengembangkan aplikasi Navision agar mengetahui perkembangan aplikasi Navision. Manajer TI dan staf TI 21 Juli 2014 - 25 Juli 2014 24 B Melakukan upgrade aplikasi Navision

agar semua transaksi penjualan dapat digunakan dengan efektif dan efisien

28 Juli 2014 - 1 Agustus 2014 27 B Melakukan evaluasi, mengatur arus lalu

lintas internet dan menambah kecepatan koneksi internet agar mengetahui.

4 Agustus 2014 - 8 Agustus 2014 26 B Melakukan update anti virus agar terhidar

dari kehilangan data perusahaan.

11 Agustus 2014 - 15Agustus 2014 27 B Melakukan maintanance terhadap

software dan hardware agar jaringan

perusahaan tidak down yang dapat menghambat kinerja perusahaan.

18 Agustus 2014 - 22 Agustus 2014

(12)

Cross-Reference Sheet

Dalam Cross-Reference Sheet menjelaskan mengenai perhitungan dari setiap pengendalian yang diambil dan dikalkulasikan sesuai dengan tingkatan penggunaan pengendalian. Contoh control

number 3 terdapat (13,1) yaitu terdapat 13 ancaman yang menggunakan pengendalian dan paling

banyak digunakan hingga menempati peringkat pertama.

Tabel 5 Cross-Reference Sheet

Control Number

Number of Time, Selected Rank

Class Definition

1 (7,5) Backup Persyaratan backup akan ditentukan dan dikomunikasikan dengan operasi, termasuk pemberitahuan elektronik di mana backup telah selesai, dapat dikirim ke administrator sistem aplikasi. Operasi akan diminta untuk menguji prosedur backup.

2 (6,6) Rencana

Pemulihan

Pengembangan, dokumen,dan pengetesan prosedur pemulihan yang dirancang untuk memastikan bahwa aplikasi dan informasi dapat dipulihkan dari risiko, menggunakan prosedur backup yang telah dibuat, dalam kejadian yang dapat merugikan.

3 (13,1) Analisa Risiko Melakukan analisa risiko untuk menentukan tingkat ancaman, dan mengidentifikasi kemungkinan perlindungan dan pengendalian.

4 (5,7) Antivirus (1) Memastikan bahwa administrator LAN menerapkan antivirus sesuai standar perusahaan pada semua komputer.

(2) Pelatihan dan kesadaran teknik pencegahan virus akan diterapkan ke dalam program perlindungan informasi organisasi.

5 (8,4) Depensi

Antarmuka

Sistem yang membutuhkan informasi akan diidentifikasi dan dikomunikasikan dengan proses operasi dalam upaya penekanan dampak atas kesalahan aplikasi.

6 (6,6) Pemeliharaan Persyaratan waktu untuk pemeliharaan teknis akan diteliti dan permintaan untuk penyesuaian akan dikomunikasikan kepada pihak manajemen.

7 (7,5) Service level

agreement

Menetapkan perjanjian tingkat layanan untuk menetapkan tingkat harapan dari pelanggan dan jaminan dari operasi pendukung yang ada.

8 (4,8) Pemeliharaan Menetapkan perjanjian bagi pemasok & pemeliharaan, untuk memfasilitasi status operasional berkelanjutan dari aplikasi

9 (4,8) Manajemen

Perubahan

Pengendalian migrasi produksi seperti proses pencarian dan penghapusan data, untuk memastikan penyimpanan data yang bersih.

10 (3,9) Analisis Dampak

Bisnis

Analisis dampak bisnis formal akan dilakukan untuk menentukan nilai kekritisan relatif dari suatu aset dengan aset lainnya.

11 (5,7) Backup Pelatihan backup bagi sistem administrator akan dilakukan beserta rotasi tugas, untuk memastikan efektifitas dari program pelatihan yang telah dilakukan.

(13)

12 (5,7) Backup Program kesadaran keamanan bagi karyawan harus diterapkan, diperbarui dan dilaksanakan setiap tahun.

13 (4,8) Rencana

Pemulihan

Menerapkan mekanisme untuk membatasi akses informasi kepada jaringan tertentu atau terhadap lokasi fisik yang ditetapkan. Contohnya backup yang dibuat, jika terjadinya kemungkinan kehilangan data. 14 (9,3) Analisa Risiko Menerapkan mekanisme otentikasi

pengguna (seperti firewall, control dial-in, secure ID) untuk membatasi hak akses bagi yang tidak memiliki kewenangan dalam mengakses suatu informasi didalam sistem.

15 (8,4) Pengendalian

Aplikasi

Merancang dan menerapkan pengendalian aplikasi (pemeriksaan data yang masuk, melakukan validasi, indikator alam, menilai

password yang invalid) untuk menjamin

integritas, kerahasiaan, dan ketersediaan informasi aplikasi.

16 (6,6) Pengujian

Penerimaan

Pengembangan prosedur pengetesan, yang harus dilakukan selama pengembangan aplikasi dijalankan, dan dalam proses modifikasi aplikasi yang diikuti dengan partisipasi dari pengguna.

17 (12,2) Pelatihan Melaksanakan program user (evaluasi kinerja pengguna) yang dirancang untuk mendorong kepatuhan terhadap kebijakan dan prosedur yang ada untuk memastikan pemanfaatan yang tepat dari penggunaan aplikasi.

18 (4,8) Pelatihan Pengembang aplikasi akan memberikan dokumentasi, bimbingan, dan dukungan kepada staf operasi (operasi) dalam mekanisme pelaksanakan untuk memastikan keamanan transfer informasi antara aplikasi.

19 (5,7) Strategi Korektif Tim pengembang akan mengembangkan strategi korektif seperti pemprosesan ulang, merevisi/merubah logika aplikasi, dll. 20 (5,7) Kebijakan Mengembangkan kebijakan dan prosedur

untuk membatasi hak akses dan mengoperasikan hak istimewa sesuai dengan kebutuhan bisnis.

21 (3,9) Pelatihan Pengguna pelatihan akan mencakup instruksi dan dokumentasi tentang penggunaan aplikasi secara benar. Contohnya seperti pentingnya menjaga kerahasiaan atas akun pengguna/rekening pemakai, sandi, dan sifat rahasia dan penekanan atas pentingnya kompetitif informasi.

22 (7,5) Review Menerapkan mekanisme untuk memantau, melaporkan, dan kebutuhan atas kegiatan audit diidentifikasi, termasuk pengecekan berkala atas validitas ID pengguna untuk memverifikasi kebutuhan bisnis.

23 (3,9) Klasifikasi Aset Aset yang sedang ditinjau akan diklasifikasikan sesuai dengan kebijakan perusahaan, standar, dan prosedur klasifikasi aset.

(14)

24 (5,7) Pengendalian Akses

Mekanisme untuk melindungi database dari akses yang tidak sah, dan modifikasi yang dilakukan dari luar aplikasi, akan ditentukan dan dilaksanakan.

25 (4,8) Dukungan

Manajemen

Meminta dukungan manajemen untuk menjamin kerjasama dan koordinasi dari berbagai unit bisnis, untuk memfasilitasi kelancaran transisi ke aplikasi.

26 (2,10) Hak Milik Proses untuk memastikan bahwa aset milik perusahaan dilindungi dan bahwa perusahaan telah memenuhi semua perjanjian lisensi dari pihak ketiga.

27 (8,4) Kesadaran

Keamanan

Menerapkan mekanisme pengendalian akses untuk mencegah akses tidak sah pada informasi. Mekanisme ini akan mencakup kemampuan untuk mendeteksi, logging, dan pelaporan jika ada upaya untuk pelanggaran keamanan informasi ini.

Akses

Melaksanakan mekanisme enkripsi data untuk mencegah akses yang tidak sah untuk melindungi integritas sebuah kerahasiaan informasi.

Akses

Mematuhi proses manajemen perubahan yang dirancang untuk memfasilitasi pendekatan terstruktur untuk modifikasi aplikasi, guna memastikan langkah yang tepat dan tindakan pencegahan yang akan diterapkan. Modifikasi darurat harus disertakan dalam proses ini.

Akses

Prosedur pengendalian yang diterapkan untuk melakukan review proses sistem log oleh pihak ketiga secara independen untuk menganalisa kegiatan sistem update yang dilakukan.

Akses

Melakukan konsultasi dengan manajemen fasilitas, guna memfasilitasi kegiatan pelaksanaan pengendaliam keamanan fisik yang dirancang untuk melindungi informasi, perangkat lunak, dan perangkat keras yang dibutuhkan sistem.

32 (5,7) Manajemen

Perubahan

Persyaratan backup akan ditentukan dan dikomunikasikan dengan operasi, termasuk permintaan mengenai notifikasi elektronik

backup yang telah diselesaikan, harus

dikirim ke administrator sistem aplikasi. Operasi akan diminta untuk menguji prosedur backup.

33 (7,5) Monitor

system logs

Pengembangan, dokumen, dan pengetesan prosedur pemulihan, yang dirancang untuk memastikan bahwa aplikasi dan informasi dapat dipulihkan dari risiko, dengan menggunakan prosedur backup yang telah dibuat, dalam kejadian yang dapat merugikan.

(15)

34 (5,7) Keamanan Fisik Melakukan analisa risiko untuk menentukan tingkat ancaman, dan mengidentifikasi dan mengidentifikasi kemungkinan perlindungan atau pengendalian.

SIMPULAN DAN SARAN

Simpulan yang dapat diperoleh adalah pada sistem informasi penjualan kredit PT Mustika Ratu,Tbk terdapat 29 ancaman yang teridentifikasi dan diantaranya sebanyak 22 ancaman telah memiliki pengendalian yang sudah diterapkan di PT Mustika Ratu,Tbk. Sedangkan sebanyak 7 ancaman dengan tingkat risiko tinggi yang teridentifikasi belum memiliki pengendalian. Dengan demikian sangat penting bagi perusahaan untuk meningkatkan pengendalian terhadap risiko agar seluruh proses bisnis perusahaan dapat berjalan dengan lebih baik. Saran pengendalian yang dapat dilakukan adalah : (1) seharusnya PT Mustika Ratu,Tbk. melakukan update berkala untuk daftar hak akses pengguna, kebijakan pemerintah dan perusahaan serta melakukan server backup; (2) seharusnya PT Mustika Ratu,Tbk. melakukan evaluasi terus menerus terhadap pengendalian keamanan dan melakukan pengembangan aplikasi Navision yang dapat mempermudah karyawan; (3) sebaiknya PT Mustika Ratu,Tbk. memberikan arahan mengenai pentingnya kesadaran keamanan. Untuk menumbuhkan kesadaran karyawan terhadap kemanan dan integritas informasi; (4) sebaiknya PT Mustika Ratu,Tbk. melakukan evaluasi terhadap jaringan internet agar mencegah terjadinya kesalahan dan kegagalan dalam proses bisnis perusahaan; (5) sebaiknya PT Mustika Ratu,Tbk melakukan pengembangan serta pemeliharaan terhadap website agar mempermudah customer untuk mengetahui produk yang ada di dalam perusahaan.

REFERENSI

Gondodiyoto, Sanyoto. (2009). Pengelolaan Fungsi Audit Sistem Informasi (edisi ke-2). Jakarta: Mitra Wacana Media.

Peltier, T. R. (2005). Information security Risk Analysis Second Edition. Washington DC: Taylor & Francis Group.

Smith,Heather A. (2007). Developing Information Technology Strategy For Bussiness Value.

Journal of Information Technology Management, Volume XVIII, Number1. 49-51.

Carmen, Radut. (2009). The Enterprise Information System and Risk Management. Journal of

Management and Marketing , Volume XI, 1030.

RIWAYAT PENULIS

Siti Nurfadhila,S.Kom lahir di kota Jakarta pada 13 Maret 1992 . Penulis menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Komputerisasi Akuntansi pada tahun 2014.

Anisa Nurvianti,S.Kom lahir di kota Jakarta pada 9 Oktober 1992. Penulis menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Komputerisasi Akuntansi pada tahun 2014.

Tia Merlani,S.Kom lahir di kota Jakarta pada 15 November 1991. Penulis menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Komputerisasi Akuntansi pada tahun 2014.

(16)

Siti Elda Hiererra, S.Kom, MMSI lahir di kota Jakarta pada 13 Januari 1987 . Penulis menamatkan pendidikan S2 di Universitas Bina Nusantara dalam bidang Information System pada tahun 2012. Saat ini bekerja sebagai Head of Information System Audit Programs di Universitas Bina Nusantara.