EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI MENGGUNAKAN FRAMEWORK COBIT 5 (STUDI KASUS: PT PLN P2B JAWA BALI)

(1)

EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI MENGGUNAKAN FRAMEWORK COBIT 5

(STUDI KASUS: PT PLN P2B JAWA BALI)

Skripsi

Diajukan Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Strata Satu Sistem Informasi

Oleh :

MUHAMMAD KAMAL SANI FIRDAUS 1113093000074

PROGRAM STUDI SISTEM INFORMASI FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKARTA

(2)

(3)

Skripsi

Diajukan Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Strata Satu Sistem Informasi

Oleh :

(4)

ii

Skripsi

Sebagai Salah Satu Syarat untuk Memperoleh Gelar Sarjana Strata Satu Program Studi Sistem Informasi

Fakultas Sains dan Teknologi

Universitas Islam Negeri Syarif Hidayatullah Jakarta

Oleh:

(5)

iii

LEMBAR PERSETUJUAN

Skripsi

Diajukan Sebagai Syarat Untuk Memperoleh Gelar Sarjana Strata Satu Program Studi Sistem Informasi Fakultas Sains dan Teknologi

Universitas Islam Negeri Syarif Hidayatullah Jakarta

Oleh:

Muhammad Kamal Sani Firdaus NIM. 1113093000074

Menyetujui,

Mengetahui,

Ketua Prodi Sistem Informasi

Nia Kumaladewi, MMSI NIP. 19750412 200710 2 002 Pembimbing I

Fitroh, M.Kom NIP.197909232009122006

Pembimbing II

Suci Ratnawati, MTI NIDN. 306076904

(6)

iv

PENGESAHAN UJIAN

Skripsi yang berjudul “EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI MENGGUNAKAN FRAMEWORK COBIT 5 (STUDI KASUS: PT PLN P2B JAWA BALI)” disusun oleh Muhammad Kamal Sani Firdaus, NIM 1113093000074 telah diujikan dan dinyatakan LULUS dalam sidang Munaqosyah Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah (UIN) Jakarta pada hari Selasa, 6 Februari 2018. Skripsi ini telah diterima sebagai syarat untuk memperoleh gelar Sarjana Strata Satu (S1) Program Studi Sistem Informasi.

Menyetujui Mengetahui, Pembimbing I Fitroh, M.Kom NIP. 19790923 200912 2 006 Pembimbing II

Suci Ratnawati, MTI NIDN. 306076904 Penguji I

Dr. Syopiansyah Jaya Putra, M.Sis NIP. 19680117 200112 1 001

Penguji II

Bayu Waspodo, MM NIP. 19740812 200801 1 011

Dekan Fakultas Sains dan Teknologi UIN Syarif Hidayatullah Jakarta

Dr. Agus Salim, M.Si NIP. 19720816 199903 1 003

Ketua Program Studi Sistem Informasi

Nia Kumaladewi, MMSI NIP. 19750412 200710 2 002

(7)

v

PERNYATAAN

DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR-BENAR HASIL KARYA SENDIRI YANG BELUM PERNAH DIAJUKAN SEBAGAI SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI ATAU LEMBAGA APAPUN.

Jakarta, Februari 2018

MUHAMMAD KAMAL SANI FIRDAUS 1113093000074

(8)

vi

ABSTRAK

Muhammad Kamal Sani Firdaus – 1113093000074, Evaluasi Manajemen Risiko Teknologi Informasi Menggunakan Framework COBIT 5 (Studi Kasus: PT PLN P2B Jawa Bali). Dibimbing oleh ibu Fitroh dan ibu Suci Ratnawati

Kemungkinan adanya ancaman dan risiko TI (Teknologi Informasi) yang muncul seiring dengan penerapan IT Governance dapat menganggu proses bisnis yang berjalan. Hal ini penting bagi suatu perusahaan untuk menerapkan manajemen risiko TI. Dalam penerapannya, PLN P2B didukung oleh Divisi Teknologi Informasi dan Telekomunikasi sebagai penyedia layanan TI. Diketahui permasalahan yang sedang dialami PLN P2B adalah insiden kehilangan data yang diakibatkan adanya kegagalan dalam migrasi data ketika PLN P2B mengupgrade server dari 3-node clusters menjadi 6-node clusters. Oleh karena itu, diperlukan adanya evaluasi terhadap manajemen risiko TI sesuai dengan standar yang ada. Penelitian ini bertujuan untuk mengetahui tingkat kapabilitas manajemen risiko TI menggunakan metodologi Process Assessment Model (PAM) COBIT 5 yang terdiri dari tahapan Initiation, Planning the Assesment, Briefing, Data Collection, Data Validation, Process Attribute Level dan Reporting the Result. Hasil dari penelitian ini menunjukan tingkat pengelolaan risiko dan pengoptimalan risiko saat ini berada pada level 3 (Established Process) dan berdasarkan hasil penilaian risiko terdapat 6 risk issue yang tingkat risikonya di atas batas risk appetite. Sehingga PLN P2B direkomendasikan untuk menerapkan dan mengemb angkan DRP (Disaster Recovery Plan) berdasarkan kerangka kerja yang didesain untuk mengurangi dampak terhadap fungsi dan proses bisnis utamanya. Selain itu PLN P2B direkomendasikan menentukan dan mengimplementasikan langkah pengamanan fisik sesuai dengan persyaratan. Salah satunya dengan menempatkan database server di tempat yang aman. Dengan demikian diharapkan hasil penelitian ini dapat dijadikan bahan pertimbangan PLN P2B dalam melakukan perbaikan tata kelola TI agar dapat berjalan lebih optimal.

Kata Kunci : IT Governance, Manajemen Risiko, Disaster Recovery Plan,

Business Continuity Plans, Risk Assessment Daftar Pustaka : 31 (Tahun 2007 s.d Tahun 2017)

Jumlah Halaman : V Bab + xviii Halaman + 186 Halaman + 75 Tabel + 19 Gambar + Lampiran + Daftar Pustaka

(9)

vii

KATA PENGANTAR

Assalamu’alaikum Wr. Wb.

Puji dan syukur, penulis panjatkan kehadirat Allah SWT yang telah memberikan rahmat dan hidayat, sehingga pada akhirnya penulis dapat menyelesaikan skripsi ini dengan baik. Shalawat dan salam tak lupa penulis haturkan kepada junjungan Nabi Muhammad SAW, para sahabat, keluarga serta muslimin dan muslimat, semoga kita mendapatkan syafaat-Nya di akhirat kelak. Aamiin

Skripsi ini penulis sajikan dalam bentuk yang sederhana berjudul “Evaluasi Manajemen Risiko Teknologi Informasi Menggunakan Framework Cobit 5 (Studi Kasus: PT PLN P2B Jawa Bali)” Penyusunan skripsi ini bertujuan untuk memenuhi salah satu syarat dalam menyelesaikan pendidikan S1 Program Studi Sistem Informasi di Universitas Islam Negeri Syarif Hidayatullah Jakarta.

Pada kesempatan ini penulis ingin menyampaikan ucapan terima kasih yang sebesar-besarnya kepada pihak-pihak yang telah turut membantu dalam penyusunan skripsi ini, yaitu :

1. Bapak Dr. Agus Salim, S.Ag., M.Si, selaku Dekan Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta

2. Ibu Nia Kumaladewi, MMSI, selaku Ketua Program Studi Teknik Sistem Informasi Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta dan Ibu Meinarini Catur Utami, MT, selaku Sekretaris Program Studi Sistem Informasi Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta.

3. Ibu Fitroh, M.Kom, selaku dosen pembimbing I dan Ibu Suci Ratnawati MTI, selaku dosen pembimbing II yang selalu memberikan arahan dan bimbingan yang bermanfaat dalam proses penyusunan skripsi ini sehingga

(10)

viii

penulis semakin terdorong untuk menyelesaikan masa pendidikan strata satu program studi sistem informasi.

4. Para dosen Prodi Sistem Informasi Fakultas Sains dan Teknologi yang telah memberikan ilmu, berbagai pengarahan, pengalaman, serta bimbingan, serta nasehat kepada penulis selama masa perkuliahan.

5. Bapak Bagus Widyantoro selaku supervisor TI PT PLN P2B serta seluruh staff yang sudah meluangkan waktunya untuk membantu dan bekerja sama dengan penulis selama pelaksanaan penelitian berlangsung. Serta Saran, arahan dan ilmu yang penulis dapat sangat membantu dalam pengerjaan skripsi ini.

6. Kedua orang tua penulis, Bapak Matsani dan Ibu Lily Herlianti yang tidak henti-hentinya selalu sabar, memberikan semangat dan dukungan baik dalam bentuk doa, materi serta kasih sayang sehingga penulis dapat menyelesaikan skripsi ini. Serta Kakak dan Adik penulis, Fitri Sani Najiha dan Hikmah Sani Nadia. Terima kasih atas do’a dan dukungan kalian semua untuk penulis. Semoga Allah membalas semuanya dengan pahala yang berlimpah.

7. Sahabat-sahabat penulis, Ridwan Halifi, Fauzan Arifin, Hersy Ayu Qadrya, Atthiya Prima Sari, Bella Marisela Caroline, (Alm) Aditya Surya dan Putra Rama Mahardika, selaku teman terbaik yang pernah peneliti miliki dari awal kuliah hingga saat ini yang telah memberikan banyak bantuan ilmu, semangat dan doanya kepada peneliti.

8. Teman-teman Pejuang COBIT, Richardy Affan, Shally Putri, Tyas Rosiana, Arbaiti Damanik yang telah banyak memberikan saran dan berbagi ilmu selama penulisan skripsi ini.

9. Teman-teman Sistem Informasi angkatan 2013. Terima kasih untuk kebersamaan dan kerjasama yang terjalin selama menimba ilmu di Universitas Islam Negeri Syarif Hidayatullah Jakarta dan seluruh pihak

(11)

ix

yang telah membantu yang tidak dapat disebutkan satu persatu. Terima kasih atas dukungan dan motivasinya yang diberikan kepada penulis. Penulis menyadari akan kekurangan dan kesalahan pada penulisan skripsi ini, untuk itu penulis mohon maaf yang sebesar-besarnya. Masukan berupa saran dan kritik yang membangun sangat penulis harapkan demi peningkatan manfaat dari laporan ini. Penulis berharap semoga laporan ini dapat bermanfaat dalam pengembangan ilmu pengetahuan khususnya dalam bidang Sains dan Teknologi. Akhir kata, dengan segala kerendahan hati penulis mengucapkan terima kasih yang tak terhingga kepada semua pihak yang telah membantu dalam penyelesaian skripsi ini.

Wassalamu’alaikum Wr. Wb.

Jakarta, Februari 2018

Muhammad Kamal Sani Firdaus 1113093000074

(12)

x

DAFTAR ISI

LEMBAR JUDUL ... ii

LEMBAR PERSETUJUAN... iii

PENGESAHAN UJIAN ... iv

PERNYATAAN ... v

ABSTRAK ... vi

KATA PENGANTAR ... vii

DAFTAR ISI ... x

DAFTAR GAMBAR ... xv

DAFTAR TABEL ... xvi

BAB I ... 1 PENDAHULUAN ... 1 1.1. Latar Belakang... 1 1.2. Identifikasi Masalah ... 5 1.3. Batasan Masalah ... 6 1.4. Tujuan ... 6 1.5. Manfaat ... 7 1.5.1. Bagi perusahaan... 7 1.5.2. Bagi Penulis ... 8 1.6. Metode Penelitian ... 8

1.6.1. Metode Pengumpulan Data ... 8

1.6.2. Metode Analisis Data ... 9

1.7. Tempat dan Waktu Penelitian ... 11

1.8. Sistematika Penulisan ... 11

BAB II ... 13

LANDASAN TEORI ... 13

(13)

xi

2.2. Tata Kelola Teknologi Informasi ... 13

2.2.1. Pengertian Tata Kelola ... 13

2.2.2. Pengertian Teknologi Infomasi ... 13

2.2.3. Pengertian Tata Kelola Teknologi Informasi ... 14

2.2.4. Tujuan Tata kelola Teknologi Informasi ... 15

2.2.5. Pentingnya Tata Kelola Teknologi Informasi ... 15

2.3. Framework Tata Kelola Teknologi Informasi ... 16

2.3.1. ITIL ... 16 2.3.2. ISO ... 17 2.3.3. COSO ... 17 2.3.4. TOGAF ADM ... 18 2.3.5. CMMI... 19 2.3.6. COBIT ... 20 2.4. COBIT 5 ... 20 2.4.1. Prinsip COBIT 5 ... 24 2.4.2. 7 Enablers ... 27

2.4.3. Tahap Implementasi COBIT 5 ... 28

2.4.4. Process Reference Model (PRM) ... 32

2.4.5. Process Assesment Model ... 42

2.4.6. Model Proses Kapabilitas (Process Capability Model) ... 46

2.4.7. RACI (Responsible, Accountable, Consulted, Informed) Chart ... 62

2.5. Pemetaan Tujuan Terkait TI Terhadap Proses COBIT 5 ... 65

2.6. Fokus Area Tata Kelola Teknologi Informasi ... 71

(14)

xii

2.8. Risiko TI ... 72

2.9. Manajemen Risiko TI ... 73

2.9.1. Langkah Mengelola Risiko Teknologi Informasi ... 74

2.10. Risk Assessment ... 76

2.10.1. Skenario Risiko Teknologi Informasi ... 77

2.10.2. Mendeskripsikan dan Mengekspresikan Risiko ... 82

2.10.3. Risk Map ... 84

2.10.4. Parameter - Parameter Penilaian Manajemen Risiko ... 84

2.11. Risk Response (Respon Risiko) ... 89

2.12. Business Continuity Plan ... 89

2.13. Disaster Recovery Plan ... 91

2.13.1. Proses Pengembangan DRP ... 92

2.13.2. Pemilihan Strategi Pemulihan ... 92

2.13.3. Pemilihan lokasi pemulihan dari bencana ... 94

2.13.4. Pemeliharaan DRP ... 95

2.14. Metode Penelitian ... 95

2.14.1. Metode Pengumpulan Data ... 95

2.14.2. Metode Analisis Data ... 97

2.14.3. Metode Perhitungan Skala Likert ... 98

2.15. Penelitian Sejenis... 100 BAB III ... 104 METODOLOGI PENELITIAN ... 104 3.1. Desain Penelitian ... 104 3.2. Initiation ... 104 3.2.1. Observasi ... 105

(15)

xiii

3.2.2. Wawancara ... 105

3.2.3. Kuesioner ... 106

3.2.4. Studi Pustaka ... 106

3.3. Planning the Assessment ... 108

3.4. Briefing ... 110

3.5. Data Collection ... 111

3.6. Data Validation ... 111

3.7. Process Attributte Level ... 111

3.7.1. Penilaian Risiko ... 111

3.8. Reporting the Result ... 112

3.9. Kerangka Berpikir ... 112

BAB IV ... 113

HASIL DAN PEMBAHASAN ... 113

4.1. Initiation ... 113

4.1.1. Sejarah PT PLN P2B... 113

4.1.2. Visi dan Misi PT PLN P2B ... 115

4.1.3. Struktur Organisasi PT PLN P2B ... 115

4.1.4. Peran dan Tanggung Jawab ... 116

4.1.5. Struktur Organisasi Divisi TI dan Telekomunikasi ... 117

4.2. Planning the Assessment ... 119

4.2.1. Identifikasi Diagram RACI ... 119

4.2.2. Rincian Jawaban Kuesioner EDM03 (Ensure Risk Optimisation) ... 121

4.2.3. Rincian Jawaban Kuesioner APO12 (Manage Risk) ... 125

4.3. Briefing ... 135

(16)

xiv

4.4.1. Proses EDM03 ... 136

4.4.2. Proses APO12 ... 137

4.5. Data validation ... 139

4.6. Process Attribute Level... 145

4.6.1. Penentuan Nilai Kapabilitas ... 145

4.6.2. Penentuan Level Kapabilitas ... 150

4.6.3. Pencapaian Proses ... 152

4.6.4. Penilaian Risiko ... 162

4.7. Reporting the Result ... 172

4.7.1. Hasil Analisis Capability Level... 172

4.7.2. Gap dan Rekomendasi proses EDM03 ... 173

4.7.3. Gap dan Rekomendasi proses APO12 ... 176

4.7.4. Hasil Penilaian Risiko ... 178

4.7.5. Mitigasi Risiko ... 179

4.8. Pembahasan ... 182

BAB V ... 185

KESIMPULAN DAN SARAN ... 185

5.1. Kesimpulan ... 185

5.2. Saran ... 186

DAFTAR PUSTAKA ... 187

(17)

xv

DAFTAR GAMBAR

Gambar 2. 1 Cangkupan antara COBIT 5 dengan framework lain (ISACA, 2012)

... 21

Gambar 2. 2 COBIT 5 Principles (ISACA, 2012) ... 24

Gambar 2. 3 Value Creation (ISACA, 2012) ... 25

Gambar 2. 4 Governance and Management (ISACA, 2012) ... 27

Gambar 2. 5 7 Tahap Implementasi COBIT (ISACA, 2012) ... 31

Gambar 2. 6 Process Reference Model (PRM) (ISACA, 2012) ... 32

Gambar 2. 7 Generic Work Product (ISACA, 2012) ... 43

Gambar 2. 8 Process Capability Model (PCM) (ISACA, 2012) ... 46

Gambar 2. 9 RACI Chart EDM03 (ISACA, 2012) ... 63

Gambar 2. 10 Mapping COBIT 5 Enterprise goals to IT-related goals (ISACA, 2012) ... 67

Gambar 2. 11 Mapping IT-related goal (ISACA, 2012) ... 69

Gambar 2. 12 Mapping IT-related goal (ISACA, 2012) ... 70

Gambar 2. 13 Risk IT Framework (ISACA, 2009)... 73

Gambar 2. 14 Example Risk Map ... 84

Gambar 3. 1 Kerangka Berpikir ... 112

Gambar 4. 1 Struktur organisasi PT PLN P2B (Perdir.0034.//2017) ... 116

Gambar 4. 2 Struktur organisasi divisi TI & Telekomunikasi (Perdir.0034.//2017) ... 118

Gambar 4. 3 Grafik proses EDM03 ... 150

(18)

xvi

DAFTAR TABEL

Tabel 2. 1 Process Performance ... 49

Tabel 2. 2 Performance Management (ISACA, 2012) ... 49

Tabel 2. 3 Work Product Management (ISACA, 2012) ... 51

Tabel 2. 4 Process Definition (ISACA, 2012) ... 52

Tabel 2. 5 Process Deployment (ISACA, 2012) ... 54

Tabel 2. 6 Process Measurement (ISACA,2012) ... 56

Tabel 2. 7 Process Control (ISACA, 2012) ... 57

Tabel 2. 8 Process Innovation (ISACA, 2012) ... 59

Tabel 2. 9 Process Optimisation (ISACA, 2012). ... 61

Tabel 2. 10 Relevant Structures for Risk (ISACA, 2012) ... 63

Tabel 2. 11 Pemetaan Enterprise Goals terhadap Stakeholder Needs ... 66

Tabel 2. 12 Generic IT Risk Scenarios (ISACA, 2009) ... 79

Tabel 2. 13 Example Frequency Scales (ISACA, 2009) ... 83

Tabel 2. 14 Example Impact Scales (ISACA, 2009) ... 83

Tabel 2. 15 Parameter probability (Samaptoaji, 2014)... 85

Tabel 2. 16 Parameter impact (Samaptoaji, 2014) ... 85

Tabel 2. 17 Standar Parameter rating (Samaptoaji, 2014)... 86

Tabel 2. 18 Risk Map (Samaptoaji, 2014) ... 87

Tabel 2. 19 Parameter probability (Husein & Imbar, 2015)... 87

Tabel 2. 20 Parameter impact (Husein & Imbar, 2015) ... 88

Tabel 2. 21 Risk Map (Husein & Imbar, 2015) ... 88

Tabel 2. 22 Penilaian Skala Likert (Sugiyono, 2009) ... 98

Tabel 2. 23 Pemetaan terhadap jawaban, nilai dan tingkat kapabilitas. ... 100

Tabel 3. 1 Studi literatur sejenis ... 106

Tabel 3. 2 Pemetaan RACI Chart ke Struktur Organisasi Proses EDM03 ... 109

Tabel 3. 3 Pemetaan RACI Chart ke Struktur Organisasi Proses APO12 ... 110

Tabel 4. 1 Pemetaan RACI Chart proses EDM03 ... 120

Tabel 4. 2 Pemetaan RACI Chart proses APO12 ... 120

(19)

xvii

Tabel 4. 4 Rincian Jawaban Kuesioner EDM03.02 ... 122

Tabel 4. 5 Rincian Jawaban Kuesioner EDM03.03 ... 124

Tabel 4. 6 Rincian Jawaban Kuesioner APO12.01 ... 125

Tabel 4. 12 Tahap briefing ... 136

Tabel 4. 13 Rekapitulasi jawaban kuesioner EDM03.01 (Evaluasi Manajemen Risiko) ... 139

Tabel 4. 14 Rekapitulasi jawaban kuesioner EDM03.02 (Mengarahkan Manajemen Risiko) ... 140

Tabel 4. 15 Rekapitulasi jawaban kuesioner EDM03.03 (Mengawasi manajemen risiko) ... 141

Tabel 4. 16 Rekapitulasi jawaban kuesioner APO12.01 (Mengumpulkan data) 141 Tabel 4. 17 Rekapitulasi jawaban kuesioner APO12.02 (Menganalisis risiko) 142 Tabel 4. 18 Rekapitulasi jawaban kuesioner APO12.03 (Mempertahankan profil risiko) ... 143

Tabel 4. 19 Rekapitulasi jawaban kuesioner APO12.04 (Mengartikulasikan .... 143

Tabel 4. 20 Rekapitulasi jawaban kuesioner APO12.05 (Mendefinisikan portofolio tindakan manajemen risiko) ... 144

Tabel 4. 21 Rekapitulasi jawaban kuesioner APO12.06 (Menanggapi risiko) .. 145

Tabel 4. 22 Penentuan tingkat kapabilitas EDM03 ... 150

Tabel 4. 23 Penentuan tingkat kapabilitas APO12 ... 151

Tabel 4. 24 Proses EDM03 PA 1.1 Process Performance ... 153

Tabel 4. 25 Proses EDM03 PA 2.1 Performance Management ... 154

Tabel 4. 26 Proses EDM03 PA 2.2 Work Product Management ... 155

Tabel 4. 27 Proses EDM03 PA 3.1 Process Definition ... 156

Tabel 4. 28 Proses EDM03 PA 3.2 Process Deployment ... 156

(20)

xviii

Tabel 4. 30 Proses APO12 PA 2.1 Performance Management ... 159

Tabel 4. 31 Proses APO12 PA 2.2 Work Product Management ... 160

Tabel 4. 32 Proses APO12 PA 3.1 Process Definition ... 161

Tabel 4. 33 Proses APO12 PA 3.2 Process Deployment ... 161

Tabel 4. 34 Parameter probability (Diadopsi dari Samaptoaji, 2014) ... 163

Tabel 4. 35 Parameter impact (Diadopsi dari Samaptoaji, 2014)... 164

Tabel 4. 36 Standar parameter rating (Diadopsi dari Samaptoaji, 2014) ... 165

Tabel 4. 37 Rekapitulasi risiko berdasarkan aset ... 165

Tabel 4. 38 Rekapitulasi risiko berdasarkan skenario risiko ... 166

Tabel 4. 39 Hasil penilaian risiko terhadap inherent risk berdasarkan aset ... 167

Tabel 4. 40 Rekapitulasi hasil penilaian risiko terhadap inherent risk berdasarkan skenario risiko ... 168

Tabel 4. 41 Hasil peniliaian risiko terhadap residual risk berdasarkan kategori aset... 169

Tabel 4. 42 Hasil penilaian risk terhadap residual risk berdasarkan skenario risiko ... 170

Tabel 4. 43 Risk map ... 171

Tabel 4. 44 Capability level pada proses EDM03 ... 173

Tabel 4. 45 Gaps dan Rekomendasi EDM03 ... 174

Tabel 4. 46 Capability level pada proses APO12 ... 176

Tabel 4. 47 Gaps dan Rekomendasi APO12 ... 177

Tabel 4. 48 Hasil nilai risiko ... 179

(21)

(22)

1

BAB I PENDAHULUAN

1.1. Latar Belakang

Perkembangan teknologi informasi (TI) yang demikian pesat menjadi peran penting bagi suatu organisasi atau perusahaan dalam memberikan inovasi produk dan layanan berbasis teknologi informasi. Melalui TI, proses bisnis dapat dilaksanakan lebih mudah, cepat, efisien dan efektif. Karenanya, IT governance saat ini menjadi salah satu critical success factor (CSF) bagi organisasi untuk mengoptimalkan peran TI dalam efektifitas peningkatan aset, capaian kinerja, sasaran, tujuan, visi dan misi organisasi (Handeri, 2014). Namun tidak dapat dipungkiri bahwa kemungkinan berbagai ancaman dan risiko yang muncul dalam penerapan IT governance akan mengganggu bahkan melumpuhkan aktivitas di dalam penerapannya tidak dapat berjalan secara optimal (Rilyani et al., 2015). Hal ini memberi perhatian dan kesadaran lebih menerapkan manajemen risiko keamanan informasi untuk mengembangkan strategi yang efektif (Shamala et al., 2017).

Risiko TI adalah risiko organisasi yang diakibatkan oleh penggunaan TI dalam organisasi, terdiri atas semua kejadian terkait TI yang berpotensi memiliki dampak pada organisasi (ISACA, 2009). Apabila kejadian tersebut tidak ditangani secara serius, selain menimbulkan risiko operasional, juga mempengaruhi risiko reputasi dan berdampak pada menurunnya tingkat kepercayaan publik (Samaptoaji, 2014).

(23)

2

Pemerintah RI melalui Peraturan Menteri Negara BUMN No. PER-01/MBU/2011 Tanggal 1 Agustus 2011 tentang Penerapan Tata Kelola Perusahaan yang Baik (Good Corporate Governance – GCG) pada Badan Usaha Milik Negara pada bagian keenam Pasal 25 menyebutkan bahwa dalam setiap pengambilan keputusan/tindakan, harus mempertimbangkan risiko usaha serta wajib membangun dan melaksanakan program manajemen risiko korporasi secara terpadu yang merupakan bagian dari pelaksanaan program GCG. Selain itu berdasarkan PERDIR 0355.K/DIR/2014 menyebutkan bahwa dengan penerapan Manajemen Risiko, maka diharapkan segenap unsur perusahaan mengenali risiko – risiko yang di hadapi dalam pencapaian visi maupun sasaran / kinerja perusahaan, sehingga dapat mempersiapkan langkah mitigasinya dengan memanfaatkan sumberdaya yang dimilikinya secara optimal.

Manajemen risiko TI merupakan hal penting untuk menjaga keseimbangan proses bisnis organisasi. Meskipun secara umum metode manajemen risiko untuk organisasi memiliki persamaan, namun memiliki risiko yang berbeda-beda sehingga diperlukan manajemen risiko secara khusus. Terkait dengan pemerintah yang memberikan layanan publik, dampak dari risiko dapat diukur tidak hanya secara ekonomi, namun juga pengaruh sosial. (Maliki, 2010)

PLN P2B (Pusat Pengatur Beban) adalah unit induk PLN yang dibentuk atas Keputusan Direksi PLN nomor 093.K/023/DIR/1995, yang mempunyai tugas mengelola operasi sistem tenaga listrik yang dalam hal ini memelihara dan mengembangkan sistem operasi dan sarana penyaluran. Selain itu PLN P2B juga mempunyai tugas dalam mengelola transaksi energi. PLN P2B sendiri bisa dibilang

(24)

3

sebagai jantung dari PT PLN (persero) karena besar kecil keuntungan PLN berada di PLN P2B. PLN P2B. Dalam mengelola operasi sistem tenaga listik dan mengelola transaksi energi PLN P2B didukung oleh divisi TI. Divisi TI mempunyai tugas sebagai penyedia sarana infrastruktur, pengamanan jaringan, pengelolaan data, user support yang mendukung proses kerja. Pengelolaan data mempunyai dampak yang signifikan pada proses bisnis PLN P2B sehingga dapat dikategorikan kritikal.

Diketahui PT PLN P2B Jawa Bali pernah mengalami kerugian akibat insiden kehilangan data. Hal ini ditunjukan melalui laporan laba rugi PLN per 31 maret 2017 yang peneliti akses melalui website PLN. Adanya indikasi bahwa hal tersebut terjadi karena kesalahan dalam pengelolaan data. Ketika PT PLN P2B Jawa Bali menambahkan server dari 3-node clusters menjadi 6-node clusters terjadi kegagalan migrasi data sehingga data yang dipindahkan tersebut hilang. Seperti halnya Hartanto & Tjahyanto (2010), menyebutkan bahwa pengelolaan data merupakan aset penting bagi perusahaan ataupun organisasi. Tata kelola teknologi informasi pada proses pengelolaan data yang kurang baik akan menimbulkan beberapa permasalahan yang merupakan kelemahan sehingga menimbulkan ancaman atau risiko seperti kehilangan, perusakan, pencurian dan penyadapan data. Langkah-langkah perbaikan yang berkelanjutan terhadap tata kelola teknologi informasi khususnya pada proses pengelolaan data diharapkan akan mampu meminimalisasi risiko.

Selain itu adanya kesalahan kedua adalah ketika back-up data yang seharusnya menjadi langkah mitigasi risiko, tidak dapat meng-cover seluruh data

(25)

4

yang hilang akibat belum selesainya proses back-up data. Seperti halnya Falani (2009), menyebutkan bahwa data perusahaan sangatlah penting dan harus dilindungi atau dijaga untuk proses jalannya suatu perusahaan. Maka dimungkinkan untuk melakukan backup data, agar dapat menghindari kehilangan data (data loss) ataupun kerusakan yang terjadi baik disengaja maupun tidak disengaja.

Berangkat dari permasalahan diatas diperlukan adanya pengelolaan teknologi informasi yang tepat untuk dapat meminimalisir risiko yang ada. Untuk dapat melakukan perbaikan tata kelola teknologi informasi, maka perusahaan atau organisasi tersebut terlebih dahulu harus mampu memahami tingkat pengelolaan teknologi informasi yang dimilikinya saat ini (as-is) dan tingkat pengelolaan teknologi informasi yang diharapkan (to-be) sehingga langkah-langkah perbaikan yang dilakukan akan efektif. Terdapat banyak tools untuk mengukur tingkat kapabilitas tata kelola TI, salah satunya adalah COBIT.

COBIT 5 menyediakan referensi model proses yang mewakili semua proses yang biasa ditemukan dalam suatu perusahaan terkait dengan kegiatan TI. Kerangka COBIT menyediakan model proses yang pada umumnya ditemukan dalam aktivitas TI dalam lima domain proses yang saling terkait, Evaluate, Direct and Monitor (EDM) yang terdiri dari 5 sub domain, Align, Plan and Organise (APO) yang terdiri dari 13 sub domain, Build, Aquire and Implementation (BAI) yang terdiri dari 10 sub domain, Deliver, Service and Support (DSS) yang terdiri dari 6 sub domain, Monitor, Evaluate and Assess (MEA) yang terdiri dari 3 sub domain.

Untuk menentukan proses yang akan dikaji lebih lanjut, perlu dilakukan pemetaan berdasarkan fakta-fakta yang terdapat di PT PLN P2B Jawa Bali.

(26)

5

Penentuan domain dilakukan berdasarkan justifikasi stakeholder needs maka terpilih 2 proses yang akan dievaluasi lebih lanjut pada penelitian ini yaitu pada proses EDM03 (Ensure Risk Optimisation) dan APO12 (Manage Risk). Untuk mengukur tingkat kematangan PLN P2B dalam mengelola manajemen risiko TI diperlukan adanya evaluasi terhadap pengelolaan manajemen risiko. Dengan tahapan perhitungan tingkat kematangan, analisis gap, risk assessment yang nantinya dapat menghasilkan sebuah rekomendasi dan strategi mitigasi yang dapat meningkatkan capability level ke kondisi yang diharapkan dan meminimalisir dampak dan terjadinya risiko.

Berdasarkan uraian diatas maka penulis yang merupakan salah satu mahasiswa Jurusan Sistem Informasi, Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta mengajukan proposal penelitian dengan judul “EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI MENGGUNAKAN FRAMEWORK COBIT 5 (Studi Kasus: PT PLN P2B JAWA BALI)”.

1.2. Identifikasi Masalah

Adapun identifikasi masalah berdasarkan latar belakang yang telah diuraikan diatas adalah:

1. PT PLN P2B pernah mengalami kerugian finansial akibat kegagalan migrasi data serta terjadinya kerusakan pada back-up data sehingga PT PLN P2B kehilangan data.

2. Adanya peraturan pemerintah Peraturan Menteri Badan Usaha Milik Negara No. PER-01/MBU/2011 Tanggal 1 Agustus 2011 tentang

(27)

6

Penerapan Tata Kelola Perusahaan yang Baik (Good Corporate Governance – GCG). Sehingga PT PLN P2B diwajibkan menerapkan GCG

Berdasarkan identifikasi masalah diatas, maka dapat dirumuskan suatu permasalahan yaitu “Bagaimana melakukan evaluasi manajemen risiko TI menggunakan framework COBIT 5 di PT PLN P2B Jawa Bali”

1.3. Batasan Masalah

Adapun batasan masalah yang dikemukakan dalam penelitian ini adalah sebagai berikut:

1. Evaluasi tata kelola teknologi informasi dilakukan pada Divisi TI-Telkom di kantor PT PLN P2B Jawa Bali

2. Penelitian ini hanya membahas pada proses manajemen risiko dan proses pengoptimalan risiko menggunakan Framework COBIT 5. Serta

3. Tahapan metode penelitian ini menggunakan Assesment Process Activities yang terdapat pada COBIT 5 (Process Assessment Model) 4. Tools kuesioner skala pengukuran tingkat kematangan menggunakan

skala likert. 1.4. Tujuan

Tujuan yang diharapkan penelitian ini terdiri dari tujuan umum dan tujuan khusus. Tujuan umumnya adalah untuk mengevaluasi manajemen risiko teknologi informasi menggunakan framework COBIT 5. Sedangkan tujuan khususnya yaitu sebagai berikut:

(28)

7

1. Mengetahui Capability Level kondisi saat ini dan kondisi yang diharapkan pada proses EDM03 (Ensure Risk Optimisation) dan APO12 (Manage Risk) di Divisi TI-Telkom PT PLN P2B Jawa Bali.

2. Menganalisa temuan-temuan dan gap pada proses EDM03 (Ensure Risk Optimisation) dan APO12 (Manage Risk) di Divisi TI-Telkom PT PLN P2B Jawa Bali.

3. Mengidentifikasi dampak dan menilai risiko-risiko yang ada pada Divisi TI-Telkom PT PLN P2B Jawa Bali.

4. Memberikan rekomendasi dan langkah mitigasi kepada pihak Divisi TI-Telkom PT PLN P2B Jawa Bali.

1.5. Manfaat

Adapun manfaat yang diperoleh dalam melakukan penelitian ini adalah: 1.5.1. Bagi perusahaan

1. Memberikan gambaran pada perusahaan mengenai tata kelola teknologi informasi yang baik (good governance).

2. Membantu organisasi dalam mengetahui gap yang terdapat dalam pengelolaan TI terutama pada proses manajemen risiko TI.

3. Menjadi referensi acuan bagi perusahaan untuk dapat memperbaiki tata kelola teknologi informasi sesuai dengan framework COBIT 5.

(29)

8

1.5.2. Bagi Penulis

1. Menerapkan pemahaman mengenai audit sistem informasi dan pemahaman mengenai framework COBIT 5.

2. Menerapkan ilmu-ilmu yang telah diperoleh selama masa perkuliahan

3. Untuk memenuhi salah satu syarat kelulusan strata satu (S1), Sistem Informasi Fakultas Sains dan Teknologi UIN Syarif Hidayatullah Jakarta.

1.6. Metode Penelitian

Pada penelitian ini menggunakan 2 metode penelitian yang terdiri dari: 1.6.1. Metode Pengumpulan Data

Metode Pengumpulan Data merupakan metode yang digunakan untuk mengetahui tentang kondisi yang sedang berlangsung dalam perusahaan. Metode yang digunakan adalah:

1. Observasi

Observasi merupakan pengamatan langsung terhadap kegiatan yang sedang berlangsung. Observasi dilakukan pada divisi IT. Observasi yang dilakukan adalah sebagai berikut:

1) Profil mengenai PT PLN P2B Jawa Bali secara umum 2) Mengamati lingkungan sekitar yang akan dijadikan

(30)

9 2. Wawancara

Melakukan tanya jawab secara langsung kepada pihak-pihak yang terkait dengan objek penelitian. Pihak yang diwawancarai adalah bagian IT dan orang orang yang terlibat didalam pengelolaan teknologi informasi PT PLN P2B Jawa Bali

3. Kuesioner

Mengumpulkan data dengan cara memberikan lembaran kuesioner kepada pihak yang ditentukan dengan menggunakan indentifikasi Diagram RACI dalam COBIT 5.

1.6.2. Metode Analisis Data

Metode yang digunakan untuk dalam mengidentifikasi capability level, menemukan gap dan menentukan rekomendasi, peneliti menggunakan Assessment Process Activites berdasarkan kerangka kerja COBIT 5 yang terdiri dari:

1. Initiation

Tahap ini menjelaskan tentang penggerak pada organisasi. Indentifikasi penggerak perubahan saat ini dan kebutuhan perubahan pada tingkat manajemen eksekutif. Tujuannya adalah memperoleh pemahaman tentang organisasi saat ini.

2. Planning the Assessment

Tahap kedua adalah dilakukan rencana penilaian yang bertujuan untuk mendapatkan hasil evaluasi penilaian capability level.

(31)

10 3. Briefing

Tahap ketiga adalah melakukan pengarahan kepada tim penilai sehingga memahami masukan, proses dan keluaran dalam unit organisasi yang akan dinilai yaitu Pusat Informasi dan Hubungan Masyarakat dengan cara menentukan jadwal, kendala yang dihadapi dalam melakukan penilaian, peran dan tanggung jawab, kebutuhan sumber daya, dan lain-lain.

4. Data Collection

Tahap keempat adalah dilakukan pengumpulan data dari hasil temuan yang terdapat pada Pusat Informasi dan Hubungan Masyarakat yang bertujuan untuk mendapatkan bukti-bukti penilaian evaluasi pada aktifitas proses yang telah dilakukan. 5. Data Validation

Tahap kelima adalah dilakukan validasi data yang bertujuan untuk mengetahui hasil perhitungan kuesioner agar mendapatkan evaluasi penilaian capability level.

6. Process Attribute Level

Tahap keenam adalah dilakukan proses memberi level pada atribut yang ada disetiap indikator, yang bertujuan untuk menunjukkan hasil capability level dari hasil perhitungan kuesioner pada tahap-tahap sebelumnya dan melakukan analisis gap pada tahapan berikutnya.

(32)

11 7. Reporting the Result

Tahap ketujuh adalah melaporkan hasil evaluasi yang bertujuan untuk memberikan rekomendasi kepada Pusat Informasi dan Hubungan Masyarakat dengan COBIT 5. Dalam praktik Tata Kelola Teknologi Informasi pada COBIT 5 memiliki beberapa ketentuan yang harus dipenuhi.

1.7. Tempat dan Waktu Penelitian

Pelaksanaan penelitian ini dilaksanakan pada: Tempat : PT PLN P2B Jawa Bali

Alamat : Jalan JCC, Gandul, Cinere, Kota Depok, Jawa Barat 16514 Waktu : September – November 2017

1.8. Sistematika Penulisan

Dalam penyusunan penulisan ini sistematika penulisannya terdiri dari 5 (lima) bab, adapun uraian dari masing-masing bab tersebut adalah sebagai berikut :

BAB I PENDAHULUAN

Pada bab ini menguraikan bagaimana latar belakang dari kasus yang diambil sebagai objek penelitian, rumusan masalah, batasan masalah, tujuan dan manfaat dari penelitian, metodologi penelitian dan lain-lain

(33)

12

BAB II TINJAUAN PUSTAKA

Pada bab ini penulis memaparkan teori apa saja yang dipakai yang terkait dengan konsep sistem informasi, asuransi kesehatan dan lain-lain.

BAB III METODOLOGI PENELITIAN

Pada bab ini, penulis menguraikan tentang metodologi yang digunakan dalam penelitian ini yang mencakup metode pengumpulan data dan metode analisis data dalam usulan model tata kelola TI.

BAB IV HASIL DAN PEMBAHASAN

Pada bab ini penulis menganalisis tata kelola teknologi informasi dengan menggunaan metodologi PAM, yang dimana didalamnya terdapat perhitungan dan pengolahan data kuesioner, memaparkan hasil temuan dan gap, serta memberikan rekomendasi pada perusahaan terkait.

BAB V PENUTUP

Bab ini merupakan penutup yang berisi kesimpulan dari uraian yang sudah diterangkan pada bab-bab sebelumnya dan saran guna untuk pengembangan lebih lanjut.

(34)

(35)

13

BAB II

LANDASAN TEORI

2.1. Pengertian Evaluasi

Evaluasi merupakan bagian dari sistem manajemen yaitu perencanaan, organisasi, pelaksanaan, monitoring dan evaluasi. Menurut (Yunanda, 2009), evaluasi merupakan kegiatan yang terencana untuk mengetahui keadaan suatu objek dengan menggunakan instrumen dan hasilnya dibandingkan dengan tolak ukur untuk memperoleh kesimpulan.

Menurut (Arikunto, 2010), evaluasi adalah suatu proses menentukan hasil yang telah dicapai beberapa kegiatan yang direncanakan untuk mendukung tercapainya tujuan.

Berdasarkan definisi diatas dapat diartikan bahwa evaluasi merupakan suatu proses untuk menghasilkan sebuah nilai yang dapat dijadikan tolak ukur dalam mencapai suatu tujuan.

2.2. Tata Kelola Teknologi Informasi 2.2.1. Pengertian Tata Kelola

Menurut Jogiyanto & Abdillah (2011), tata kelola (governance) merupakan suatu proses yang dilakukan suatu organisasi atau masyarakat untuk mengatasi permasalahan yang terjadi.

2.2.2. Pengertian Teknologi Infomasi

Teknologi informasi adalah penerapan teknologi komputer yang berfungsi untuk menciptakan, menyimpan, mempertukarkan dan menggunakan informasi dalam berbagai bentuk (Fauziyah, 2010). Teknologi

(36)

14

informasi merupakan sebuah bentuk umum yang menggambarkan setiap teknologi yang membantu menghasilkan, memanipulasi, menyimpan, mengkomunikasikan dan menyampaikan informasi (Seesar, 2010).

Berdasarkan definisi diatas maka dapat disimpulkan bahwa teknologi informasi berfungsi untuk menyimpan, memanipulasi dan menghasilkan sebuah informasi yang digunakan untuk tujuan tertentu.

2.2.3. Pengertian Tata Kelola Teknologi Informasi

The IT Governance Institute (2007) mendefinisikan tata kelola TI sebagai suatu bagian integral dari tata kelola perusahaan yang terdiri atas kepemimpinan, struktur dan proses organisasional yang memastikan bahwa TI organisasi berlanjut serta meningkatkan tujuan dan strategi organisasi.

Menurut Surendro (2009), tata kelola TI merupakan bagian terintegrasi dari pengelolaan perusahaan yang mencakup kepemimpinan, struktur serta proses organisasi yang memastikan bahwa teknologi informasi perusahaan dapat digunakan untuk mempertahankan dan memperluas strategi dan tujuan organisasi.

Berdasarkan definisi diatas dapat disimpulkan bahwa tata kelola TI adalah bagian yang terintegrasi dari perusahaan yang mencakup kepemimpinan, struktur dan proses organisasi yang memastikan bahwa TI mendukung strategi dan tujuan organisasi.

(37)

15

2.2.4. Tujuan Tata kelola Teknologi Informasi

Tujuan tata kelola teknologi informasi adalah mengontrol penggunaannya dalam memastikan bahwa kinerja TI memenuhi dan sesuai dengan tujuan sebagai berikut (Surendro , 2009):

1. Menyelaraskan teknologi informasi dengan strategi organisasi serta realisasi dari keuntungan-keuntungan yang telah dijanjikan dari penerapan TI.

2. Penggunaan teknologi informasi memungkinkan organisasi mengambil peluang-peluang yang ada, serta memaksimalkan pemanfaatan TI dalam maksimalkan keuntungan dari penerapan TI tersebut.

3. Bertanggungjawab terhadap penggunaan sumber daya TI. 4. Manajemen risiko-risiko yang ada terkait teknologi informasi

secara tepat.

2.2.5. Pentingnya Tata Kelola Teknologi Informasi

Pada era informasi ini, teknologi menjadi alat pendukung yang sangat penting bagi perusahaan untuk mengolah data menjadi informasi. Namun peran teknis atau operasional tersebut dapat berubah menjadi peran yang strategik seiring pesatnya perkembangan teknologi informasi. Untuk itu, jika peran TI sudah strategik pengelolaan TI tidak hanya menjadi tanggung jawab departemen TI saja, tetapi sudah menjadi tanggung jawab korporat (Jogiyanto & Abdillah, 2011). Berikut beberapa alasan bahwa Tata Kelola Teknologi Informasi sangat penting bagi perusahaan menurut Jogiyanto dan Abdillah:

(38)

16

1. Adanya perubahan peran TI, dari peran efisiensi ke peran strategic yang harus ditangani di level korporat.

2. Banyak proyek TI strategik yang penting namun gagal dalam pelaksanaannya karena hanya ditangani oleh teknisi TI.

3. Keputusan TI didewan direksi sering bersifat ad hoc atau tidak terencana dengan baik.

4. TI merupakan pendorong utama proses transformasi bisnis yang memberi imbas penting bagi organisasi dalam pencapaian misi, visi dan tujuan strategik.

5. Kesuksesan pelaksanaan TI harus dapat terukur melalui metric tatakelola TI.

2.3. Framework Tata Kelola Teknologi Informasi 2.3.1. ITIL

ITIL (Information Technology Infrastucture Library) merupakan standar yang dikeluarkan pemerintah UK (United Kingdom) sebagai framework yang dijadikan sebagai best practices proses dan prosedur dalam manajemen operasionalnya. Pada dasarnya framework ini memiliki tujuan meningkatkan efisiensi operasional TI dan kualitas layangan pelanggan. Kerangka yang diberikan belum memberikan panduan pengelolaan TI yang memenuhi kebutuhan di tingkat yang lebih tinggi (high level objective) di perusahaan seperti padaframework COBIT (Sarno, 2009)

ITIL adalah seperangkat konsep dan praktik untuk mengelola layanan TI, pengembangan dan operasi TI. ITIL memberi deskripsi rinci sejumlah

(39)

17

praktik penting TI dan menyediakan daftar komprehensif tugas dan prosedur yang di dalamnya setiap organisasi dapat menyesuaikan dengan kebutuhannya sendiri (Jogiyanto & Abdillah, 2011)

2.3.2. ISO

International Standar Organization (ISO) mengelompokkan standard keamanan informasi yang umum dikenali secara internasional ke dalam struktur penomoran yang standar yakni: ISO 17799. Pada awalnya standar tersebut disusun oleh sekelompok perusahaan besar seperti Board of Certification, British Telecom, Shell dan Unilever yang bekerja sama untuk membuat suatu standar yang dinamakan British Standard 7799 (BS 7799) sekitar awal 1995 (Sarno, 2009)

Terdapat keunggulan dan kelemahan dari penggunaan ISO. Keunggulan penggunaan ISO bagi system tata kelola teknologi informasi adalah ISO bersifat lebih rinci dengan menyediakan petunjuk tentang bagaimana suatu dijalankan. ISO lebih cenderung digunakan oleh manajer teknologi informasi dan manajer keamanan informasi. Sedangkan kelemahan dari ISO ialah tidak terintegrasi dengan kerangka sistem tata kelola teknologi informasi yang lebih luas. ISO lebih tepat digunakan untuk kepentingan teknis, tidak digunakan sebagai pedoman umum dalam tata kelola teknologi informasi dan diletakan pada level operasional (Jogiyanto & Abdillah, 2011)

2.3.3. COSO

Kerangka kerja COSO (Committee of Sponsoring Organization of the Threadway Commission) terdiri atas tiga dimensi, sebagai berikut:

(40)

18 a) Komponen Kontrol COSO

COSO mengidentifikasi lima komponen control yang diintergrasikan dan dijalanlan dalam semua unit bisnis, dan akan membantu mencapai sasaran control internal, yakni monitoring, information and communocations, control activities, risk assessment, dan control environment.

b) Sasaran kontrol internal

Sasaran control internal dikategorikan menjadi beberapa area, yakni (1) Operation, efisiensi dan efektifitas operasi dalam mencapai sasaran biisnis yang juga meliputi tujuan performansi dan keuntungan; (2) Financial Reporting, persiapan pelaporan anggaran finansial yang dapat dipercaya; dan (3) Compliance, pemenuhan hukum dan aturan yang dapat dipercaya 18

c) Unit/Aktifitas terhadap organisasi

Dimensi ini mengidentifikasikan unit/aktifitas pada organisasi yang menghubungkan kontrol internal. Kontrol internal menyangkut keseluruhan organisasi dan semua bagian-bagiannya. Kontrol internal seharusnya diimplementasikan terhadap unit-unit dan aktifitas organisasi (Kaban, 2009)

2.3.4. TOGAF ADM

The Open Group Architecture Framework (TOGAF) merupakan kerangka kerja dan metode yang diterima secara luas dalam pengembangan arsitektur perusahaan. Berawal dari Technical Architecture for Information

(41)

19

Management (TAFIM) di Departemen Pertahanan Amerika Serikat, kerangka kerja itu diadopsi oleh Open Group pada pertengahan 1990-an. Spesifikasi pertama TOGAF diperkenalkan pada tahun 1995. TOGAF merupakan hasil pengembangan forum Open Group yang merupakan forum kerja sama antar vendor dan penggunan (Surendro, 2009).

TOGAF memberikan metode yang detail mengenai bagaimana membangun, mengelola, dan mengimplementasikan arsitektur enterprise dan sistem informasi yang disebut dengan Architecture Development Method (ADM), dimana ADM merupakan hasil dari kerja sama praktisi arsitektur dalam Open Group Architecture Forum. ADM merupakan metode generik yang berisikan sekumpulan aktifitas yang mempresentasikan progresi dari setiap fase ADM dan model arsitektur yang digunakan dan dibuat selama tahap pengembangan Arsitektur Enterprise (Surendro, 2009).

2.3.5. CMMI

CMMI (Capability Maturity Model Integration) merupakan sebuah model sebuah model yang digunakan untuk menilai tingkat kematangan proses rekayasa perangkat lunak sebuah organisasi dan menyediakan hal-hal praktis yang dapat digunakan organisasi untuk meningkatkan kematangan proses tersebut. Model ini dikembangkan lebih lanjut memiliki tujuan menangani integrasi pengembangan prangkat lunak dengan aktivitas kerekayasaan lain termasuk rekayasa sistem, pengembangan produk dan proses secara terintegrasi, dan sumber daya supplier. Model CMMI banyak

(42)

20

digunakan sebagai acuan dalam pengembangan model kematangan lain, termasuk dalam arsitektur enterprise (Surendro, 2009)

2.3.6. COBIT

COBIT (Control Objective for Information and Related Technology) merupakan sekumpulan dokumentasi dan panduan untuk mengimplementasikan IT Governance, kerangka kerja yang membantu auditor, manajemen dan pengguna (user) untuk menjembatani pemisah (gap) antara risiko bisnis, kebutuhan control dan permasalahan-permasalahan teknis. COBIT dikembangkan oleh IT Governance Institute (ITGI) yang merupakan bagian dari Information System Audit and Control Association (ISACA, 2012).

2.4. COBIT 5

COBIT 5 adalah sebuah kerangka kerja untuk tata kelola dan manajemen teknologi informasi dan semua yang berhubungan, yang dimulai dari memenuhi kebutuhan stakeholder akan informasi dan teknologi (ISACA, 2012).

COBIT 5 memiliki 2 (dua) area utama yaitu area tata kelola (governance) dan area manajemen (management). Pengaturan (Govern) terkait hal-hal apa yang mendasari tata kelola tersebut yang ditentukan melalui pendefinisian strategi dan kontrol. Sedangkan pengelolaan (manage) terkait bagaimana tata kelola tersebut dilaksanakan merupakan cakupan dari pengelolaan (manage) yang ditentukan melalui rencana taktis.

COBIT 5 mendefinisikan dan menjelaskan secara rinci sejumlah tata kelola dan manajemen proses. COBIT 5 menyediakan referensi model proses yang

(43)

21

mewakili semua proses yang biasa ditemukan dalam suatu perusahaan terkait dengan kegiatan TI. Model proses yang diusulkan bukan hanya sekedar model proses tetapi suatu model yang bersifat komprehensif. Setiap perusahaan harus mendefinisikan bidang prosesnya sendiri, dengan mempertimbangkan situasi tertentu dalam perusahaan tersebut. COBIT 5 juga menyediakan kerangka kerja untuk mengukur dan memantau kinerja TI, berkomunikasi dengan layanan dan meintegrasikan praktik pengelolaan terbaik (ISACA, 2012). Berikut ini merupakan cakupan antara COBIT 5 dan framework lain:

Gambar 2. 1 Cangkupan antara COBIT 5 dengan framework lain (ISACA, 2012) Pengembangan COBIT 5 adalah untuk mengatasi kebutuhan-kebutuhan penting seperti:

1. Membantu stakeholder dalam menentukan apa yang mereka harapkan dari informasi dan teknologi terkait seperti keuntungan apa, pada tingkat risiko berapa, dan pada biaya berapa dan bagaimana prioritas mereka dalam menjamin bahwa nilai tambah yang diharapkan benar-benar

(44)

22

tersampaikan. Beberapa pihak lebih menyukai keuntungan dalam jangka pendek sementara pihak lain lebih menyukai keuntungan jangka panjang. Beberapa pihak siap untuk mengambil risiko tinggi sementara beberapa pihak tidak. Perbedaan ini dan terkadang konflik mengenai harapan harus dihadapi secara efektif. Stakeholder tidak hanya ingin terlibat lebih banyak tapi juga menginginkan transparansi terkait bagaimana ini akan terjadi dan bagaimana hasil yang akan diperoleh.

2. Membahas peningkatan ketergantungan kesuksesan organisasi pada organisasi lain dan rekan TI, seperti outsource, pemasok, konsultan, klien, cloud, dan penyedia layanan lain, serta pada beragam alat internal dan mekanisme untuk memberikan nilai tambah yang diharapkan.

3. Mengatasi jumlah informasi yang meningkat secara signifikan. Bagaimana perusahan memilih informasi yang relevan dan kredibel yang akan mengarahkan organisasi kepada keputusan bisnis yang efektif dan efisien. Informasi juga perlu untuk dikelola secara efektif dan model informasi yang efektif dapat membantu untuk mencapainya.

4. Mengatasi TI yang semakin meresap kedalam organisasi. TI semakin menjadi bagian penting dari bisnis. Seringkali TI yang terpisah tidak cukup memuaskan walaupun sudah sejalan dengan bisnis. TI perlu menjadi bagian penting dari proyek bisnis, struktur organisasi, managemen risiko, kebijakan, kemampuan proses dan sebagainya. Tugas dari CIO dan fungsi TI sedang berkembang sehingga semakin banyak orang dalam organisasi yang memiliki kemampuan TI akan dilibatkan

(45)

23

dalam keputusan dan operasi TI. TI dan bisnis harus diintegrasikan dengan lebih baik.

5. Menyediakan panduan lebih jauh dalam area inovasi dan teknologi baru. Hal ini berkaitan dengan kreativitas, penemuan, pengembangan produk baru, membuat produk saat ini lebih menarik bagi pelanggan, dan meraih tipe pelanggan baru. Inovasi juga menyiratkan perampingan pengembangan produk, produksi dan proses supply chain agar dapat memberikan produk ke pasar dengan tingkat efisiensi, kecepatan, dan kualitas yang lebih baik.

6. Mendukung perpaduan bisnis dan TI secara menyeluruh, dan mendukung semua aspek yang mengarah pada tata kelola dan manajemen TI organisasi yang efektif, seperti struktur organisasi, kebijakan, dan budaya. 7. Mendapatkan kontrol yang lebih baik berkaitan dengan solusi TI.

8. Memberikan manfaat bagi perusahan, antara lain:

a. Nilai tambah melalui penggunanaan TI yang efektif dan inovatif. b. Kepuasan pengguna dengan keterlibatan dan layanan TI yang baik. c. Kesesuaian dengan peraturan, regulasi, persetujugan, dan kebijakan

internal.

d. Peningkatan hubungan antara kebutuhan bisnis dengan tujuan TI. 9. Menghubungkan dan bila relevan, menyesuaikan dengan framework dan

standar lain seperti ITIL, TOGAF, PMBOK, PRINCE2, COSO dan ISO. Hal ini akan membantu stakeholder mengerti bagaimana kaitan berbagai

(46)

24

framework, berbagai standar antar satu sama lain, dan bagaimana mereka bisa digunakan bersama-sama.

10. Mengintegrasikan semua framework dan panduan ISACA dengan fokus pada COBIT, Val IT dan Risk IT, tetapi juga mempertimbangkan BMIS, ITAF, dan TGF sehingga COBIT 5 mencakup seluruh organisasi dan menyediakan dasar untuk integrasi dengan framework dan standar lain menjadi satu kesatuan framework.

2.4.1. Prinsip COBIT 5

Gambar 2. 2 COBIT 5 Principles (ISACA, 2012)

1. Memenuhi Kebutuhan Pemangku Kepentingan (Meeting Stakeholder Needs)

Pada prinsip ini menjelaskan bahwa organisasi berusaha untuk menciptakan nilai (create values) bagi para stakeholders. Organisasi harus mempertimbangkan semua pemangku kepentingan yang terlibat ketika pengambilan keputusan terkait keuntungan, sumber daya dan keputusan penilain risiko.

(47)

25

Kebutuhan dari para pemangku kepentingan diubah menjadi sebuah strategi bagi organisasi. Tujuan dari COBIT 5 adalah menerjemahkan kebutuhan para pemangku kepentingan menjadi tujuan yang spesifik dan disesuaikan dengan konteks organisasi/organisasi serta tujuan dan sasaran yang berkaitan dengan TI dan enabler.

Gambar 2. 3 Value Creation (ISACA, 2012)

2. Mencakup Sampai Proses Akhir Suatu Organisasi (Covering the Enterprise End to End)

Pada prinsip ini menjelaskan bahwa COBIT 5 mengintegrasikan tata kelola TI (IT Governance) dengan tata kelola organisasi (Enterprise Governance). COBIT 5 tidak hanya fokus pada pengelolaan fungsi TI tapi juga menganggap Teknologi Informasi sebagai sebuah asset yang harus dilindungi seperti halnya aset lain dalam organisasi.

3. Menggunakan Satu Kerangka Kerja Terintegrasi (Applying a Single Integrated Framework)

(48)

26

Pada prinsip ini menjelaskan bahwa COBIT 5 memungkinkan digunakan oleh organisasi sebagai tata kelola menyeluruh dan kerangka kerja manajemen integrator.

4. Melakukan Pendekatan Secara Menyeluruh (Enabling a Holistic Approach)

Pada prinsip ini menjelaskan bahwa COBIT 5 mendefinisikan sekumpulan enabler untuk mendukung penerapan dari tata kelola secara komprehensif dan system manajemen TI organisasi.

5. Memisahkan Tata Kelola Dari Manajemen (Separating Governance from Management)

Prinsip ini menjelaskan bahwa dalam kerangka kerja COBIT 5 membuat perbedaan yang jelas diantara tata kelola (governance) dan manajemen (management). Tata kelola (governance) melibatkan pengambilan keputusan pada high level, tanggung jawab direksi di bawah kepimpinan ketua, sedangkanm, manajemen adalah tanggung jawab eksekutif dibawah kepemimpinan CEO.

(49)

27

Gambar 2. 4 Governance and Management (ISACA, 2012) 2.4.2. 7 Enablers

Enablers adalah sekumpulan faktor yang mempengaruhi sesuatu yang akan dikerjakan oleh organisasi (ISACA, 2012). Dalam hal ini terkait pengelolaan Teknologi Informasi di organisasi.

COBIT 5 enabler dijelaskan oleh kerangka kerja COBIT 5 di dalam 7 kategori enablers, yaitu:

1. Prinsip, Kebijakan dan Kerangka Kerja (Principles, Policies and Framework)

Prinsip, kebijakan dan kerangka kerja adalah alat atau pendorong untuk menerjemahkan tingkah laku ke dalam panduan praktis untuk manajemen sehari-hari.

2. Proses (Processes)

Proses menjelaskan tentang sekumpulan kegiatan yang terorganisir untuk mencapai tujuan tertentu dan menghasilkan sekumpulan output dalam mendukung pencapaian tujuan IT.

(50)

28

3. Struktur Organisasi (Organizational Structures)

Struktur organisasi adalah entitas dalam organisasi sebagai kunci dalam membuat keputusan.

4. Budaya, Etika dan Perilaku (Culture, Ethics and Behaviour) Budaya, etika dan perilaku individu dan organisasi merupakan factor keberhasilan dalam kegiatan tata kelola dan manajemen. 5. Informasi (Information)

Informasi dalam organisasi terdiri dari informasi yang dihasilkan dan digunakan. Informasi dibutuhkan agar organisasi dapat berjalan dengan baik.

6. Layanan, Infrastruktur dan Aplikasi (Service, Infrastructure and Applications)

Layanan, infrastruktur dan aplikasi melibatkan infrastruktur teknologi dan aplikasi yang menyediakan proses dan layanan Teknologi Informasi bagi organisasi.

7. Orang, kemampuan dan Kompetensi (People, Skills and Competencies)

Berhubungan dengan seorang individu dan kebutuhan untuk memenuhi semua akifitas untuk mencapain kesuksesan dan membuat keputusan yang tepat dengan langkah yang tepat. 2.4.3. Tahap Implementasi COBIT 5

COBIT 5 memiliki tujuh tahapan yang terdapat dalam siklus hidup implementasi COBIT, berikut penjelasan tahapan-tahapan tersebut:

(51)

29 1. Tahap 1-Initiate Progamme

Tahap 1 mengidentifikasikan penggerak perubahan dan menciptakan keinginan untuk berubah di level manajemen eksekutif, yang kemudian diwujudkan berupa kasus bisnis. Penggerak perubahan dapat berupa kejadian internal maupun eksternal, dan kondisi atau isu penting yang memberikan dorongan untuk berubah. Kejadian, tren, masalah kinerja, implementasi perangkat lunak, dan bahkan tujuan dari perusahan dapat menjadi penggerak perubahan. Risiko yang terkait dengan implementasi dari program ini sendiri akan dideskripsikan di dalam kasus bisnis, dan dikelola sepanjang siklus hidupnya. Menyiapkan, menjaga, dan mengawasi kasus bisnis sangatlah mendasar dan penting untuk pembenaran, mendukung, dan kemudian memastikan hasil akhir yang sukses dari segala inisiatif, termasuk pengembangan GEIT. Mereka memastikan fokus yang berkelanjutan terhadap keuntungan dari program dan perwujudannya.

2. Tahap 2-Define Problems and Opportunities

Tahap 2 membuat agar tujuan TI dengan strategi dan risiko perusahaan sejajar, dan memprioritaskan tujuan perusahaan, tujuan TI, dan proses TI yang paling penting. COBIT 5 menyediakan panduan pemetaan tujuan perusahaan terhadap tujuan TI terhadap proses TI untuk membantu penyeleksian. Dengan mengetahui tujuan perusahaan dan TI, proses penting yang harus mencapai

(52)

30

tingkat kapabilitas tertentu dapat diketahui. Manajemen perlu tahu kapabilitas yang ada saat ini dan dimana kekurangan terjadi. Hal ini dapat dicapai dengan cara melakukan penilaian kapabilitas proses terhadap proses-proses yang terpilih.

3. Tahap 3-Define Road Map

Tahap 3 menetapkan target untuk peningkatan, diikuti oleh analisis selisih untuk mengidentifikasi solusi potensial. Beberapa solusi akan berupa quick wins dan beberapa berupa tugas jangka panjang yang lebih sulit. Prioritas harus diberikan kepada proyek yang lebih mudah untuk dicapai dan lebih mungkin memberikan keuntungan yang paling besar. Tugas jangka panjang perlu dipecah menjadi bagian-bagian yang lebih mudah untuk diselesaikan. 4. Tahap 4-Plan Programme

Tahap 4 merencanakan solusi praktis yang layak dijalankan dengan mendefinisikan proyek yang didukung dengan kasus bisnis yang dapat dibenarkan dan mengembangkan rencana perubahan untuk implementasi. Kasus bisnis yang dibuat dengan baik akan membantu memastikan bahwa keuntungan proyek teridentifikasi, dan diawasi secara terus menerus.

5. Tahap 5-Execute Plan

Tahap 5 mengubah solusi yang disarankan menjadi kegiatan hari per hari dan menetapkan perhitungan dan sistem pemantauan untuk memastikan kesesuaian dengan bisnis tercapai dan kinerja

(53)

31

dapat diukur. Kesuksesan membutuhkan pendekatan, kesadaran dan komunikasi, pengertian dan komitmen dari manajemen tingkat tinggi dan kepemilikan dari pemilik proses TI dan bisnis yang terpengaruh.

6. Tahap 6-Realede Benefits

Tahap 6 berfokus dalam transisi berkelanjutan dari pengelolaan dan praktik manajemen yang telah ditingkatkan ke operasi bisnis normal dan pemantauan pencapaian dari peningkatan menggunakan metrik kinerja dan keuntungan yang diharapkan. 7. Tahap 7-Review Effectiveness

Tahap 7 mengevaluasi kesuksesan dari inisiatif secara umum, mengidentifikasi kebutuhan tata kelola atau manajemen lebih jauh, dan meningkatkan kebutuhan akan peningkatan secara terus-menerus. Tahap ini juga memprioritaskan kesempatan lebih banyak untuk meningkatkan GEIT.

(54)

32

2.4.4. Process Reference Model (PRM)

COBIT 5 model proses referensi (process reference model) terbagi dalam dua jenis area yaitu governance dan management process dari enterprise IT yang terdiri dari 37 proses.

Gambar 2. 6 Process Reference Model (PRM) (ISACA, 2012) 1. Evaluate, Direct and Monitor

EDM adalah proses tata kelola yang berhubungan dengan tata pemangku kepentingan yang terdiri dari pengiriman tujuan, nilai, optimisasi risiko dan sumber daya. Tujuannya adalah mengevaluasi pilihan strategis, memberikan arahan kepada TI dan melakukan pemantauan hasil. Pada domain EDM terdapat beberapa proses yaitu:

a. EDM01 (Ensure Governance Framework Setting and Maintenance).

(55)

33

Pada proses ini dilakukan analisa terhadap persyaratan untuk tata kelola TI di organisasi, prinsip-prinsip, proses dan praktek yang jelas terhadap tanggung jawab dan wewenang untuk mencapai visi, misi, tujuan dan objek organisasi.

b. EDM02 (Ensure Benefits Delivery).

Pada proses ini mengoptimalkan kontribusi nilai bisnis dari proses bisnis, layanan dan asset TI yang dihasilkan dari investasi yang dilakukan oleh organisasi.

c. EDM03 (Ensure Risk Optimisation).

Pada proses ini memastikan bahwa risiko yang ada di organisasi dipahami, diartikulasikan dan dikomunikasikan dengan baik. Risiko terhadap nilai organisasi terkait dengan penggunaan TI yang diidentifikasi dan dikelola.

d. EDM04 (Ensure Resource Optimisation).

Pada proses ini memastikan bahwa ketersediaan TI yang ada memadai dan cukup. Ketersediaan sumber daya tersebut terdiri dari orang (people), proses (process) dan teknologi (technology) untuk mendukung tujuan organisasi secara efektif dengan biaya yang optimal.

e. EDM05 (Ensure Stakeholder Transparency).

Pada proses ini memastikan bahwa adanya kesesuaian terhadap pengukuran kinerja TI organisasi dan adanya pelaporan yang transparan dengan para pemangku kepentingan.

(56)

34

Para pemangku kepentingan menyetujui tujuan dan tindakan perbaikan yang diperlukan bagi organisasi. .

2. Align, Plan and Organise (APO)

APO mencakup strategi dan taktik untuk mengidentifikasi cara terbaik TI dalam berkontribusi pada tujuan organisasi. APO memberikan arah untuk solusi pengiriman (BAI) dan penyediaan layanan dan dukungan. Pada domain APO terdapat 13 proses, yaitu:

a. APO01 (Manage the IT Management Framework).

Pada proses ini memperjelas visi, misi organisasi dan memelihara tata kelola TI. Menerapkan dan memelihara mekanisme untuk mengelola informasi dan penggunaan TI di organisasi dalam mendukung tujuan pengelolaan yang sejalan dengan prinsip dan kebijakan yang ada.

b. APO02 (Manage Strategy)

Pada proses ini memberikan pandangan yang menyeluruh dari bisnis saat ini dan lingkungan TI, arah masa depan dan inisiatif yang diperlukan untuk lingkungan di masa depan. c. APO03 (Manage Enterprise Architecture)

Pada proses ini membangun arsitektur umum yang terdiri dari proses bisnis, informasi, data, aplikasi dan teknologi untuk mewujudkan strategi organisasi dan TI yang efektif dan efisien. d. APO04 (Manage Innovation)

(57)

35

Pada proses ini menjelaskan tentang kesadaran terhadap teknologi informasi dan tren layanan terkait, mengidentifikasi peluang, inovasi dan merencanakan cara memperoleh keuntungan dari inovasi tersebut.

e. APO05 (Manage Portfolio).

Pada proses ini menjelaskan tentang pengaturan strategi untuk investasi yang sejalan dengan visi, arsitektur dan karakteristik organisasi yang diinginkan dari investasi dan jasa terkait portfolio.

f. APO06 (Manage Budget and Costs)

Pada proses ini menjelaskan tentang pengelolaan kegiatan keuangan yang berkaitan dengan TI dalam bisnis dan fungsi TI yang meliputi anggaran, biaya, manfaat manajemen dan prioritas pengeluaran.

g. APO07 (Manage Human Resources)

Pada proses ini menjelaskan tentang melakukan pendekatan terstruktur untuk memastikan struktur yang optimal, penempatan, hak keputusan dan keterampilan sumber daya manusia.

h. APO08 (Manage Relationships)

Pada proses ini menjelaskan tentang pengelolaan hubungan antara bisnis dan TI secara formal dan transparan yang fokus

(58)

36

pada pencapaian tujuan bersama. Mendasarkan hubungan saling percaya dan terbuka.

i. APO09 (Manage Service Agreements)

Pada proses ini menjelaskan tentang ketersediaan layanan TI dan tingkat layanan dengan kebutuhan pada organisasi termasuk identifikasi, spesifikasi, desain, penerbitan, persetujuan dan pemantauan layanan TI, tingkat pelayanan dan indikator kinerja.

j. APO10 (Manage Supplier).

Pada proses ini menjelaskan tentang pengelolaan terkait layanan TI yang diberikan oleh semua jenis pemasok untuk memenuhi kebutuhan organisasi. Termasuk di dalamnya pemilihan pemasok, pengelolaan hubungan, manajemen kontrak dan pemantauan kinerja pemasok untuk efektivitas dan kepatuhan.

k. APO11 (Manage Quality)

Pada proses ini menetapkan dan mengkomunikasikan persyaratan kualitas dalam semua proses, prosedur dan hasil pada organisasi termasuk kontrol, pemantauan dan penggunaan praktek dan standar dalam perbaikan, efisiensi upaya yang terus menerus.

(59)

37

Pada proses ini mengidentifikasi, menilai dan mengurangi risiko TI dalam tingkat toleransi yang ditetapkan oleh manajemen eksekutif organisasi.

m. APO13 (Manage Security)

Pada proses ini menjelaskan tentang proses penentuan, operasi dan monitor sistem manajemen keamanan infomasi pada organisasi.

3. Build, Acquire and Implement (BAI)

BAI mengidentifikasi solusi TI yang perlu dikembangkan, diterapkan dan diintegrasikan ke dalam proses bisnis. Pada domain BAI terdapat 10 proses, yaitu:

a. BAI01 (Manage Programmes and Projects)

Pada proses ini menjelaskan tentang pengelolaan program dan projek dari investasi portfolio yang sejalan dengan strategi organisasi yang terkoordinasi.

b. BAI02 (Manage Requirements Definition)

Pada proses ini mengidentifikasi solusi, menganalisa persyaratan sebelum akuisisi atau pembuatan untuk memastikan kesesuaian dengan persyaratan strategis organisasi yang meliputi proses bisnis, aplikasi, informasi/data, infrastuktur dan layanan.