vi Universitas Kristen Maranatha
ABSTRAK
Kantor Pemerintahan Kota Cimahi adalah salah satu organisasi kepemerintahan yang sudah memanfaatkan Teknologi Informasi. Dalam penerapan Teknologi informasi di kantor Pemerintahan Kota Cimahi tidak lepas dari risiko – risiko yang dapat menyebabkan hilangnya suatu data atau kerusakan infrastruktur. Untuk meminimalisir risiko IT, maka perlu penerapan manajemen risiko IT yang baik untuk mengumpulkan, mengidentifikasi dan mendokumentasikan risiko – risiko apa saja yang dapat terjadi, kemudian menentukan bentuk mitigasi yang perlu dilakukan untuk menghindari risiko risiko yang ada. Tugas akhir ini akan membahas penilaian tata kelola manajemen risiko IT pada Kantor pemerintahan Kota Cimahi menggunakan
Framework COBIT 5 APO12 Manage Risk. Penilaian ini dapat digunakan sebagai bahan evaluasi bagi Kantor Pemerintahan Kota Cimahi dan dapat digunakan sebagai masukan untuk di masa datang. Tugas akhir ini dilakukan dengan menggungakan metode interview dan observasi yang mengacu pada proses – proses yang ada dalam
APO12 Manage Risk. Secara keseluruhan, Tata Kelola manajemen risiko di Kantor Pemerintahan Kota Cimahi memperoleh level 2.
vii Universitas Kristen Maranatha
ABSTRACT
Government office of Cimahi is one of governmental organizations that has been using the Information of Technology. Information of Technology which is used by Government office of Cimahi definitely cannot be seperated from any risks such as data loss or damage of infrastructure . To minimize those risks, we need to use a good IT risk management for accumulating, identifying, and documenting the risks – what risks that could be happened, then decide the type of mitigation that might be needed to avoid the risks. This research examines the assessment of IT risk management governance at Government office of Cimahi using Framework COBIT 5 APO12 Manage Risk. This assessment can be used as an evaluation for Government office of Cimahi and as suggestion for future. This research uses interview and observation method that refer to the processes in APO12 Manage Risk.
Overall, the assessment of IT risk management governance at Government office of Cimahi get level two.
viii Universitas Kristen Maranatha
DAFTAR ISI
LEMBAR PENGESAHAN ... i
PERNYATAAN ORISINALITAS LAPORAN PENELITIAN... ii
PERNYATAAN PUBLIKASI LAPORAN PENELITIAN ... iii
PRAKATA ... iv
1.1 Latar Belakang Masalah ... 1
1.2 Rumusan Masalah ... 2
1.3 Tujuan Pembahasan ... 2
1.4 Ruang Lingkup Kajian... 2
1.5 Sumber Data ... 2
BAB 2. KAJIAN TEORI ... 4
2.1 Definisi Audit SI ... 4
2.2 Ruang Kerja Auditor ... 4
2.3 Risiko ... 5
2.4 Jenis Gangguan Terhadap Sistem Informasi ... 5
2.5 Jenis Pengelolaan Gangguan ... 6
2.6 Definisi Manajemen Risiko ... 7
2.7 COBIT 5 ... 7
2.8 COBIT 5 –Principle dan Enabler ... 7
2.8.1 Rating Scale ... 12
2.8.2 Input and Output ... 13
ix Universitas Kristen Maranatha
2.8.4 Phase yang Terdapat di Dalam COBIT5 ... 18
BAB 3. ANALISIS DAN EVALUASI ... 26
3.1 Phase A – Penentuan Plan Assessment / Assurance Initiative ... 26
3.1.1 Determine The Stakeholder of The Assurance ... 26
3.1.2 Determine The Assurance Objectives Based on Assessment of The External and Internal Context ... 26
3.1.3 Determine The Enablers In Scope And The Instance of The Enablers In Scope ... 29
3.2 Phase B – Memahami enabler, Set Kriteria Penilaian dan Lakukan Assessment ... 33
3.2.1 Assess Enterprise Goals and IT – Related Goals ... 33
3.2.2 Assess the Process ... 35
3.2.3 Understand and Assess The Principle, Policies and Framework 52 3.2.4 Understand and Assess The Organisational Structures ... 54
3.2.5 Understand and Assess Information Item ... 57
3.2.6 Understand and Assess the Services, Infrastructure and Aplications ... 59
BAB 4. KESIMPULAN DAN SARAN ... 62
4.1 Phase C – Menyampaikan Hasil Penilaian ... 62
4.1.1 Communicate The Work Performed and Findings ... 62
4.2 Saran ... 63
x Universitas Kristen Maranatha
DAFTAR GAMBAR
Gambar 2.1 Framework COBIT5 ... 10
Gambar 3.1 Struktur Organisasi Kantor Pemerintahan Kota Cimahi ... 30
Gambar 3.2 Struktur Organisasi KAPPDE ... 31
Gambar 3.3 RACI chart APO12 ... 41
xi Universitas Kristen Maranatha
DAFTAR TABEL
Tabel 2.1 Manage Risk ... 16
Tabel 3.1 Enterprise Goals ... 34
Tabel 3.2 IT-Related Risk ... 34
Tabel 3.3 Perbandingan RACI chart COBIT5 dengan RACI chart pemkot Cimahi ... 43
Tabel 3.4 Capability Level ... 47
Tabel 3.5 Work Product ... 51
Tabel 3.6 Principle and policies gols ... 53
Tabel 3.7 Good practice Criteria ... 54
Tabel 3.8 Good practice organisational structure ... 56
Tabel 3.9 Life cycle element organisational structure... 57
Tabel 3.10 Information Item ... 58
Tabel 3.11 Quality dimension information item ... 59
Tabel 3.12 Criteria goal layanan IT, infrastruktur dan aplikasi ... 61
xii Universitas Kristen Maranatha
DAFTAR LAMPIRAN
LAMPIRAN A. Kebijakan manajemen risiko IT ... 64 LAMPIRAN B. SOP tata kelola data center ... 65 LAMPIRAN C. Kebijakan inventarisasi aset IT, klasifikasi informasi dan
xiii Universitas Kristen Maranatha
DAFTAR SINGKATAN
Singkatan Arti
COBIT Control Objectives For Informastion
& Related Technology
APO Align, Plan and Organize
ISO International Organization For
Standardization
ERM Enterprise Risk Management
PeGi Pemeringkatan E-government
Indonesia
SOP Standard Operation Procedure
IT Information Technology
IDS Intrusion Detection System
IPS Intrusion Preverence System
RPJMD Rencana Program Jangka
xiv Universitas Kristen Maranatha
DAFTAR ISTILAH
Manage Mengelola
Risk Risiko
Backup Duplikasi Data
Backup Center Fasilitas Untuk Melakukan Duplikasi
Framework Kerangka Kerja
Software Perangkat Lunak
Hardware Perangkat Keras
Komprehensif Mencakup Semua Hal Yang
Diperlukan
Stakeholder Pemegang Saham
Collect data Mengoleksi Data
Analyse risk Analisis Risiko
Maintain a risk profile Mengelola Sebuah Profil Risiko
Articulate risk Risiko
Define a risk management action portofolio
Menentukan Portofolio Tindakan Manajemen Risiko
1 Universitas Kristen Maranatha
BAB 1. PENDAHULUAN
1.1 Latar Belakang Masalah
Perkembangan teknologi informasi saat ini sangat berpengaruh terhadap kemajuan suatu organisasi. Kemudahan dalam mendapatkan, mengumpulkan, dan pengolahan data menjadi salah satu alasan bagi suatu organisasi dalam menerapkan teknologi informasi. Selain itu, teknologi informasi juga digunakan untuk membantu sebuah organisasi dalam melakukan pencapaian terhadap tujuan dan memudahkan pelaksanaan proses bisnis dari organisasi tersebut. Namun, penerapan teknologi informasi juga dapat merugikan dan menimbulkan risiko jika tidak dilakukan pengendalian yang tepat.
Kantor pemerintahan Kota Cimahi merupakan salah satu dari banyaknya organisasi yang memanfaatkan perkembangan teknologi informasi. Pemanfaatan teknologi informasi berdampak baik dan buruk bagi sebuah organisasi, dampak baiknya adalah kemudahan dalam menjalankan proses bisnis dan pengelolaan data, kemudian dampak buruk dari pemanfaatan teknologi informasi adalah akan memungkinkan timbulnya risiko. Penyalah gunaan hak akses, kehilangan asset atau data yang disebabkan oleh bencana alam, dan serangan virus yang dapat mengganggu sistem aplikasi yang digunakan adalah beberapa contoh risiko yang dapat terjadi. Maka dari itu perlu dilakukan audit manage risk untuk melakukan pendefinisian risiko sehingga dapat segera dikendalikan.
Melakukan audit manage risk sangat perlu dilakukan. Risiko-risiko yang tidak dikelola dengan baik dapat menghalangi tercapainya tujuan sebuah organisasi. Dengan melakukan audit manage risk, diharapkan dapat membantu kantor pemerintahan Kota Cimahi dalam mendefinisikan,menilai dan mengurangi risiko IT.
COBIT 5 adalah alat pengendalian untuk sistem informasi atau
Universitas Kristen Maranatha teknis. Maka, penggunaan COBIT 5 pada domain Align, Plan, and Organise proses APO12 Manage Risk dirasa cukup tepat untuk melakukan audit
manage risk terhadap bagian IT pada kantor pemerintahan Kota Cimahi.
1.2 Rumusan Masalah
Rumusan masalah dari penelitian adalah bagaimana melakukan penilaian capabillity level manajemen risiko IT pada instansi/kantor pemerintahan kota Cimahi?
1.3 Tujuan Pembahasan
Tujuan pembahasan dari penelitian ini adalah menentukan capabillity
level manajemen risiko IT pada instansi/kantor pemerintahan Kota Cimahi.
1.4 Ruang Lingkup Kajian
Untuk menghindari penyimpangan pembahasan pokok bahasan maka tugas akhir ini penulis hanya membahas mengenai bagaimana Kantor Pemkot Cimahi menerapkan manajemen risiko dalam tata kelola IT. Penelitian ini menggunakan COBIT 5 sebagai framework dan menggunakan proses APO12 sebagai pedoman dalam pengerjaan penelitian.
1.5 Sumber Data
Tahap pengumpulan data untuk mengidentifikasi masalah data laporan Tugas Akhir diperoleh dari :
1. Observasi dan Wawancara
Yaitu tahap pengumpulan data – data terkait APO12 dengan cara berkomunikasi dan melakukan pengamatan secara langsung di Kantor Pemkot Cimahi.
2. Studi Kepustakaan
Universitas Kristen Maranatha Yaitu dengan cara melakukan browsing untuk melakukan pengamatan pada situs yang terkait dengan topik bahasan.
4. Diskusi dan Konsultasi
62 Universitas Kristen Maranatha
BAB 4. KESIMPULAN DAN SARAN
4.1 Phase C
–
Menyampaikan Hasil Penilaian
Pada phase c, akan dibahas mengenai penyampaian hasil dari penilaian yang dilakukan di KAPPDE.
4.1.1 Communicate The Work Performed and Findings
Berikut adalah kesimpulan penilaian dari Proses APO12 Manage Risk. 1. Current Condition
A. KAPPDE sudah memiliki kebijakan terkait dengan pengelolaan risiko IT. Namun kebijakan itu tidak diimplementasikan secara maksimal. Banyak proses yang sudah ditentukan di dalam kebijakan yang belum dilakukan.
B. Penilian work product hanya 5%. Work product yang tersedia hanya kebijakan manajemen risiko dari keseluruhan work product yang telah ditentukan oleh COBIT5.
C. PA (process attribute) tidak mencapai level dua. Hal ini karena penilaian level satu tidak lebih dari 85%, hanya mendapatkan nilai 63.75%.
2. Implication
Universitas Kristen Maranatha 3. Recommendation
KAPPDE sebaiknya mengimplementasikan kebijakan manjemen risiko secara maksimal agar tidak menghambat pemanfaatan TI pada Kantor Pemerintahan Kota Cimahi. Selain itu, pemkot sebaiknya membuat dokumen kajian, profil dan melakukan klasifikasi risiko agar risiko dapat dikelola dengan baik agar dapat mencapai level dua pada penilaian capability level.
4.2 Saran
72 Universitas Kristen Maranatha
DAFTAR PUSTAKA
[1] S. C. Production and L. Andhi, "Internal Auditor dengan Microsoft Excel 2007", Jakarta: PT Elex Media Komputindo, 2010.
[2] J. A. (Thomson) and T. Singleton, Audit dan Assurance Teknologi Informasi 1 (ed.2), Jakarta: Salemba Empat, 2007.
[3] S. D. Gantz, "The Basics of IT Audit", Waltham: Elsevier Inc, 2014. [4] F. Basyaib, "Manajemen Risiko", Jakarta: PT Grasindo, 2007.
[5] H. Siahaan, "Manajemen Risiko Pada Perusahaan dan Birokrasi", Jakarta: PT Gramedia, 2007.
[6] M. Prof.Dr.Jogiyanto HM, "Sistem Teknologi Informasi", Yogyakarta: ANDI Yogyakarta, 2005.
[7] J. A.O'Brien and G. M.Marakas, "Management Information Systems", New York: McGraw-Hill/Irwin, 2011.
[8] COBIT5, ISACA, 2013.