Analisis Risiko Teknologi Informasi Menggunakan Metode FMEA dan SAW dengan COBIT 5

(1)

Analisis Risiko Teknologi Informasi Menggunakan Metode FMEA dan SAW dengan COBIT 5

Anjar Pinem^*, Erwin Setiawan Panjaitan, Andri Program Studi Sistem Informasi, STMIK Mikroskil, Medan, Indonesia Email: ^1,*anjar.pinem@gmail.com, ²erwin@mikroskil.ac.id, ³andri@mikroskil.ac.id

Email Penulis Korespondensi: anjar.pinem@gmail.com

Abstrak−Penggunaan Teknologi Informasi (TI) pada perguruan tinggi memunculkan berbagai persoalan, salah satunya pemahaman terkait risiko dalam penggunaannya. Universitas Quality Medan saat ini teridentifikasi belum memiliki dokumen risiko TI. Penelitian ini bertujuan untuk menganalisa dan melakukan perangkingan risiko serta memberikan rekomendasi perbaikan. Penilaian risiko TI menggunakan kerangka kerja COBIT 5 pada domain APO12 (Manage risk) dan EDM03 (Ensure Risk Optimisation), penilaian tingkat risiko menggunakan FMEA, untuk prioritas risiko dan rekomendasi perbaikan menggunakan SAW. Proses manajemen risiko saat ini masih level 1 dengan nilai kapabilitas 1.36 dan kondisi yang diharapkan pada level 2 dengan nilai kapabilitas 2.32 didapatkan gap sebesar 0.96. Domain EDM03 kondisi saat ini pada level 1 dengan nilai kapabilitas 1,19, sedangkan kondisi yang diharapakn pada level 2 dengan nilai kapabilitas 2.11 didapatkan nilai gap 0.9 1.

Hasil identifikasi tingkat risiko pada sub domain APO12 ada 3 proses tingkat risiko pada skala 6, 1 proses pada skala 7 dan 2 proses pada skala 8. Pada sub domain EDM03, terdapat 2 proses tingkat risiko berada pada skala 9 dan 1 proses pada skala 8.

Prioritas risiko dan rekomendasi pada sub domain APO12 yaitu APO12.06(Respond to Risk) paling prioritas dilakukan perbaikan terhadap proses pengelolaannya, sub domain EDM03 prioritas perbaikan pada EDM03.03 (Monitor Risk Management)

Kata Kunci: Risiko TI; COBIT 5; FMEA; SAW; Manajemen Risiko

Abstract−The use of Information Technology (IT) in a university raises various problems, one of which is the understanding of risks its use. Universitas Quality Medan was identified as having no IT risk documents. This study aims to analyze and rank risks provide recommendations for improvements. Risk assessment is carried out on 9 business processes use COBIT 5 framework in domains APO12 and EDM03, the risk level assessment uses FMEA, for rank and recommendations using SAW.

The current risk management process is still level 1 with the APO12 capability value of 1.36 and to be conditions at level 2 a capability value of 2.32 a gap of 0.96. EDM03 current condition is at level 1 a capability value of 1.19, while the expected condition at level 2 a capability value of 2.11 a gap value of 0.91. The results of the identification of risk levels in the APO12 have 3 risk level processes on a scale of 6, 1 process a scale of 7, and 2 processes a scale of 8. For EDM03, have 2 risk lev el processes a scale of 9 and 1 process level of risk on a scale 8. Priority of risks and recommendations for APO12 is subdomains APO12.06 (Respond to Risk) the most priority to improve management process, and for EDM03 subdomains is the priority for improvement in EDM03.03 (Monitor Risk Management).

Keywords: IT Risk; COBIT 5; FMEA; SAW; Risk Management

1. PENDAHULUAN

Teknologi Informasi (TI) menjadi penting dalam mendukung pertumbuhan dan keberlanjutan semua jenis organisasi[1]. TI memerlukan pengaturan atau pengelolaan oleh perusahaan atau organisasi agar informasi di dalam perusahaan atau organisasi tersebut telah mendukung tujuan perusahaan atau organisasi, sumber daya digunakan secara tepat dan bertanggung jawab serta risiko teknologi informasi dikelola dengan baik [2]. Institusi pendidikan tinggi adalah jenis organisasi yang memanfaatkan teknologi informasi sabagai daya dukung utama dalam memberikan pelayanan kepada seluruh pengguna serta berperan penting untuk keunggulan bersaing. Oleh karena itu, TI merupakan hal yang harus diperhatikan dan dikelola dengan baik oleh perusahaan atau organisasi untuk mempertahankan proses bisnis yang dijalankan. Teknologi informasi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan kepada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efisien [3]. Universitas Quality Medan merupakan salah satu perguruan tinggi swasta di Medan yang telah memiliki berbagai aplikasi untuk mendukung aktivitas kerja mulai dari Penerimaan Mahasiswa Baru, Portal Akademik, elibrary, elearning, bahkan sampai penggunaan aplikasi keuangan. Tata kelola TI mengacu pada struktur dan proses yang digunakan organisasi untuk mencoba memastikannya operasi TI mereka mendukung keseluruhan tujuan dan sasaran organisasi [4]

Permasalahan terkait Tata kelola TI di Universitas Quality Medan berdasarkan hasil wawancara awal dan observasi, ditemukan suatu masalah, yakni belum adanya dokumen pemetaan terkait risiko TI, dikarenakan belum pernah diadakan audit TI dan kurangnya pemahaman tentang manajemen risiko TI, risiko TI apa saja yang mungkin akan dialami dan seberapa besar pengaruh risiko TI tersebut terhadap layanan TI yang disediakan untuk membantu aktivitas akademik di Universitas Quality Medan. Beberapa risiko TI yang terjadi berupa gangguan jaringan internet, gangguan arus listrik, terdapatnya bug pada aplikasi baik dikarenakan perangkat lunak maupun perangkat keras, gangguan terhadapt pengiriman data pengguna dengan server, kurangnya dukungan teknis operasional dan lain sebagainya.

Perusahaan yang telah menerapkan COBIT 5 dapat meningkatkan manajemen risiko yang berkaitan dengan TI, meningkatkan komunikasi dan hubungan antara bisnis dengan TI, menurunkan biaya TI, meningkatkan

(2)

penyampaian tujuan bisnis dan meningkatkan daya saing TI [5]. COBIT 5 memiliki model referensi proses yang mendefinisikan dan menjelaskan secara terrinci proses tata kelola dan manajemen risiko TI yang ada pada suatu organisasi. Model proses yang diusulkan bersifat lengkap, komprehensif [6]. Manfaat lain dalam penerapan COBIT 5 adalah untuk mengelola risiko terkait TI pada tingkatan yang dapat diterima, mengelola informasi dengan kualitas yang tinggi untuk mendukung keputusan bisnis dalam mencapai tujuan strategi serta manfaat bisnis melalui penggunaan TI secara efektif dan inovatif, penggunaan TI juga dapat meningkatkan operasional yang lebih baik dengan aplikasi teknologi yang handal dan efisien sehingga dapat mengoptimalkan biaya layanan dan teknologi TI.

Pentingnya mengetahui risiko TI membuat banyak peneliti melakukan penelitian untuk menganalisa risiko TI seperti [6] dalam mengidentifikasi risiko TI pada proses service desk DPTSI ITS dengan menggunakan COBIT 5 sebagai pedoman kerangka kerja, penelitian ini menghasilkan dokumen yang berisi daftar penilaian risiko TI dan justifikasi pengendalian risiko yang dapat digunakan sebagai dokumen referensi bagi unit Service Desk DPTSI ITS dalam mengelola risiko yang terkait dengan Proses TI, dan [7] melakukan evaluasi untuk mnegetahui pencapaian penerapan manajemen risiko teknologi informasi pada PT. Petrokimia Gresik dengan menggunakan kerangka kerja COBIT 5, penelitian ini mengidentifikasi risiko – risiko potensial serta menilai sejauh mana dampak yang dapat ditimbulkan, demikian juga dengan [8] melakukan pemrioritasan risiko adalah FMEA dalam menganalisa konsistensi hasil dan metode analisis gap dan metode kualitatif untuk mengidentifikasi penyebab dari hasil penilaian risiko yang tidak sama, penelitian ini menghasilkan penilaian risiko teknologi informasi sebelum adanya kerangka FMEA tidak konsisten, dan menghasilkan kerangka FMEA yang disesuaikan yang bertujuan untuk memberikan hasil penilaian risiko TI menggunakan metode FMEA yang konsisten, demikian juga dengan penelitian [9] dalam menganalisis implementasi framework COBIT 5 di beberapa organisasi, dan memprioritaskan atribut COBIT 5 yang sesuai dengan budaya dan kebutuhan pengguna di Indonesia dengan menggunakan AHP, penelitian ini menghasilkan model IT Audit berkualitas terbaik yang sesuai dengan kebutuhan organisasi khususnya untuk organisasi dan perusahaan Indonesia. Oleh karena itu, penilaian risiko terkait TI melalui proses bisnis dengan menggunakan framework COBIT 5 dalam mengelola dan meminimalisir risiko TI khususnya pada domain proses APO12 (Manage Risk) dan EDM03 (Ensure Risk Optimisation) [10]. Kedua domain tersebut digunakan dikarenakan pada COBIT 5 hanya dua domain tersebut yang membahas secara rinci mengenai manajemen risiko TI [7]. Melihat dari permasalahan dan penelitian sebelumnya maka penulis melakukan audit risiko TI pada Universitas Quality Medan menggunakan framework COBIT 5 dan memberikan rekomendasi perbaikan dengan menggunakan metode FMEA dan SAW dan penilaian risiko TI yang dapat membantu dalam melakukan antisipasi dan pengelolaan risiko terkait proses TI pada Universitas Quality Medan.

2. METODOLOGI PENELITIAN

Framework COBIT 5 dijadikan sebagai best practices khususnya pada domain APO12 (Manage Risk) dan EDM03 (Ensure Risk Operation) dalam proses analisis manajemen risiko TI, dan metode FMEA (Failure Modes and Effects Analysis) dalam menentukan tingkat risiko untuk setiap sub domain pada APO12 dan EDM03, dan metode SAW (Simple Additive Weighting) digunakan untuk memberikan prioritas rekomendasi tindakan terhadap risiko TI.

Mulai

Identi fikasi M asalah

Kaj ian Dokumen

Pemilihan Respon Dan Pemrioritasan Respon

(FM EA dan SAW) Pengumpul an Data

COBIT 5 For Risk APO12 dan Ensure Ris k Operation EDM03

Hasil

Seles ai

Profil Risiko TI dan Rekomendas i

Kuisioner berdasarkan RACI chart 1.Planning and

Assesment

Megumpulkan hasil temuan di Universitas Quality M edan 2.Data C ollecti on

Tabel Rek apitul asi Kuisioner 3.Data Vali dation

Penghitung an nilai dan capabi lity level dan analisis g ab 4.Process Attribute Level

Gambar 1. Metodologi Penelitian

(3)

Title of manuscript is short and clear, imp

Proses awal dalam penelitian ini adalah mengidentifikasi risiko TI dengan melakukan kajian dokumen dan pengumpulan data-data sesuiai dengan pedoman COBIT 5 khususnya pada domain APO12 dan EDM03, selanjutnya melakukan analisis dan penilaian risiko berdasarkan hasil identifikasi risiko dengan menggunakan FMEA (Failure Modes and Effects Analysis) dalam menentukan bobot pada masing-masing risiko dikategorikan sesuai dengan komponen TI menggunakan Metode SAW (Simple Additive Weighting) dengan konsep mencari penjumlahan dari rating kinerja pada setiap alternatif pada semua atribut [11] dan meghasilkan profile risiko TI dan rekomendasi perbaikan pada proses TI sesuai dengan tingkat risiko TI.

3. HASIL DAN PEMBAHASAN

3.1 Pengumpulan Data

Peneliti menentukan responden berdasarkan pertimbangkan dan menyesuaikan tugas dan fungsi dari struktur organisasi yang ada di Universitas Quality ke Roles dan Organisationl Structures dalam RACI Chart COBIT 5, sehingga responden ini tidak serta merta diikut sertakan seluruh organisasi yang ada di Universitas Quality Medan.

Berikut ini daftar responden dari hasil pemetaan RACI Chart:

Dari pemetaan RACI Chart pada proses domain APO12 terdapat 10 (sepuluh) responden seperti table dibawah ini:

Tabel 1. Pemetaan Responden RACI Chart pada domain APO12

No Fungsional Struktur COBIT Fungsi Struktur Universitas Quality

1 Value management office Rektor

2 Chief operating officer Wakil Rektor

3 Service manager Kepala Laboratorium

4 Head IT Operation, Information Security Manager Kepala Bagian Sistem Informasi 5 Audit, Project Management Office, Strategy

Executive Committee.

Penjamin Mutu Satuan Pengawas Internal dan Penjamin Mutu Fakultas

6 Enterprise Risk Committee Biro Akademik

7 Chief Financial Officer Biro Keuangan

8 Privacy Officer Masing-masing Kepala Program Studi

9 Head Development Masing-masing Dekan Fakultas

10 Business Continuity Manager Kepala Unit Sosial dan Pemasaran

Dari pemetaan RACI Chart pada proses domain EDM03 terdapat 4 (empat) responden seperti table dibawah ini:

Tabel 2. Pemetaan Responden RACI Chart pada domain EDM03

No Fungsional Struktur COBIT Fungsi Struktur Universitas Quality

1 Chief Executive Officer Rektor

2 Business Executives, Chief information officer Wakil Rektor 3 Head development, Chief Risk Officer, Head IT

Administration

Biro Akademik dan Sistem Informasi 4 Chief Information Security Officer Kepala Bagian Sistem Informasi

Kuesioner dibagikan sesuai dengan pemetaan responden RACI Chart untuk setiap proses sub domain yang ada di APO12 yaitu; proses collect data (APO12.01), analyze risk (APO12.02), maintain risk profile (12.03), articulate risk (APO12.04), define risk management action portfolio (APO12.05) dan respond to risk (APO12.06) dan sub domain untuk EDM03 yang memiliki 3 (tiga) bagian proses yaitu; evaluate risk management (EDM03.01), direct risk management (EDM03.02) dan monitor risk management (EDM03.03) [10].

Gambar 2. Contoh rekapitulasi hasil jawaban kuesioner EDM03.03 3.2 Penilaian Capability Level

Hasil rekapitulasi hasil kuesioner selanjutnya dilakukan penghitungan nilai kapabilitas responden dengan melakukan normalisasi yaitu membagi nilai dengan jumlah aktivitas/pertanyaan yang ada pada setiap level, kemudian setelah dilakukan normalisasi lalu dilakukan perhitungan hasil normalisasi dikalikan dengan level untuk

(4)

setiap level selanjutnya hasil perkalian dijumlahkan untuk setiap level dan setiap responden [12] sesuai dengan rumus dibawah ini:

CLi = NL0 + NL1 + NL2 + NL3 + NL4 + NL5 (1)

Keterangan:

CLi : Nilai capability level pada setiap responden dalam setiap proses pada domain NL0 - NL5 : Normalisasi pada level 0 sampai dengan level 5.

Selanjutnya dilakukan perhitungan untuk mendapatkan nilai kapabilitas level untuk setiap sub proses domain dengan rumus:

𝐶𝐿𝑎 =^{∑ 𝐶𝐿𝑖}_{∑ 𝑅} Rumus Capability Level pada proses domain [12]: (2) Keterangan:

CLa = Capability level pada domain a

∑ 𝐶𝐿𝑖 = Nilai capability level pada setiap responden dalam setiap proses pada domain

Dari hasil tersebut diketahui berapa tingkat nilai kapabilitas untuk masing-masing proses sub domain APO12 dan EDM03, seperti tabel dibawah ini:

Tabel 3. Capability Level Proses APO12

No. Sub Domain Proses Nilai Kapabilitas Capability Level

As is To be As is To be

1 APO12.01 1.37 2.29 1 2

2 APO12.02 1.45 2.47 1 2

3 APO12.03 1.2 2.27 1 2

4 APO12.04 1.3 2.3 1 2

5 APO12.05 1.35 2.27 1 2

6 APO12.06 1.46 2.34 1 2

Rata – Rata 1.36 2.32 1 2

Tabel 4. Kapabilitas Porses Domain EDM03

No. Sub Domain Proses Nilai Kapabilitas Capability Level

1 EDM03.01 1.37 2.41 1 2

2 EDM03.02 1.37 2.37 1 2

3 EDM03.03 0.83 1.54 1 2

Rata – Rata 1.19 2.11 1 2

Gambar 3. Grafik Kapabilitas Level Proses APO12 dan EDM03.

3.3 Analisis GAP

Pada penelitian ini nilai kesenjangan (GAP) proses APO12 dan EDM03 dihasilkan dari selisih antara nilai kapabilitas pada kondisi yang diharapkan (to be) dengan kondisi saat ini (as is) seperti tabel berikut ini:

Tabel 5. Nilai GAP untuk proses APO12 No. Sub Domain

Proses

Nilai Kapabilitas GAP Capability Level GAP

1 APO12.01 1.37 2.29 0.92 1 2 1

(5)

Title of manuscript is short and clear, imp No. Sub Domain

Proses

2 APO12.02 1.45 2.47 1.02 1 2 1

3 APO12.03 1.2 2.27 1.07 1 2 1

4 APO12.04 1.3 2.3 1 1 2 1

5 APO12.05 1.35 2.27 0.92 1 2 1

6 APO12.06 1.46 2.34 0.88 1 2 1

Rata – Rata 1.36 2.32 0.968333 1 2 1

Tabel 6. Nilai GAP untuk proses EDM03 No. Sub Domain

Proses

1 EDM03.01 1.37 2.41 1.04 1 2 1

2 EDM03.02 1.37 2.37 1 1 2 1

3 EDM03.03 0.83 1.54 0.71 1 2 1

Rata – Rata 1.19 2.11 0.916667 1 2 1

3.4 Pencapaian Proses

Dari hasil perhitungan capability level diketahui tingkat kapabilitas saat ini (as is) pada proses APO12 berada pada level 1 dengan nilai kapabilitas 1.36 yang artinya organisasi sudah mencapai level Performance Process, sama halnya dengan domain EDM03 juga berada pada level 1 (Performance Process) dengan nilai kapabilitas 1.19, dengan demikian Universitas Quality Medan pada tahap ini telah berhasil melaksanakan proses TI dan tujuan proses TI tersebut benar-benar tercapai.

3.5 Penilaian Risiko dengan FMEA

FMEA adalah suatu alat yang secara sistematis mengidentifikasi akibat atau konsekuensi dari kegagalan system atau proses, serta mengurangi atau mengeliminasi peluang terjadinya kegagalan [8] dan FMEA merupakan tool manajemen risiko yang digunakan untuk mengidentifikasi kegagalan yang akan terjadi dalam sebuah proses, produk ataupun layanan [13]. FMEA juga didefinisikan sebagai kumpulan kegiatan sistematis yang ditujukan untuk: a. Mengetahui dan mengevaluasi potensi kegagalan produk atau proses serta dampak dari kegagalan tersebut; b. Untuk mengidentifikasi tindakan yang dapat mengurangi kemungkinan kegagalan terjadi; c. Untuk mendokumentasikan seluruh proses [14]. Penelitian ini melakukan penilaian risiko untuk setiap proses pada domain APO12 dan EDM03 dengan metode wawancara. Skala tingkat risiko menggunakan skala 1-10 yang diadopsi dari FMEA Severity Rating Scale [15] yang telah disesuaikan dengan kebutuhan di Universitas Quality Medan, dimana tingkat risiko 1 adalah tingkat risiko yang paling rendah (tidak berpengaruh) dan tingkat risiko 10 adalah tingkat risiko paling tinggi seperti terlihat pada tabel berikut ini:

Tabel 7. Skala dan Kriteria Tingkat Risiko

Tingkat Keterangan Kriteria/Penjelasan

10 Dangerously high

Risiko berpotensi merugikan pelanggan atau menyebabkan perusahaan berhenti beroperasi

9

Extremely high Risiko berpotensi membuat sebagian besar proses bisnis tidak berjalan atau mengakibatkan ketidakpercayaan pelanggan

8 Very high Risiko dapat mengakibatkan sebagian unit atau pelanggan tidak bisa beroperasi

7 High Risiko dapat mengakibatkan tingginya tingkat ketidakpuasan pelanggan Risiko dapat mengakibatkan sebagian unit atau pelanggan tidak berfungsi

namun tidak berdampak signifikan terhadap perusahaan atau pelanggan 6 Moderate

5 Low Risiko dapat menimbulkan penurunan kinerja namun tidak berdampak secara langsung kepada pelanggan

4 Very Low Risiko dapat menimbulkan sedikit penurunan kinerja dan dapat diatasi dengan modifikasi proses pelanggan

3 Minor Risiko sangat kecil dan dapat diatasi tanpa kehilangan kinerja

2 Very Minor Risiko mungkin tidak terlihat jelas, namun tetap akan memiliki efek sangat kecil kepada pelanggan

1 None Risiko tidak akan terlihat dan tidak akan mempengaruhi proses pelanggan Berikut menunjukkan hasil rangkuman wawancara penentuan tingkat risiko proses pada domain APO12 dan EDM03 mengacu pada tingkat risiko pada tabel berikut:

(6)

Tabel 8. Tingkat risiko pada proses APO12 dan EDM03 No. Kode

Proses

Hasil Wawancara Kesimpulan

Wawancara

Tingkat Risiko 1 APO12.01 Tingkat risko pada prose ini sangat tinggi dikarenakan

belum adanya pengumpulan data untuk mengidentifikasi risiko TI, dan tidak terlaksananya analisi dan pelaporan terkait dengan TI

Tingkat risiko untuk proses ini risiko sangat besar (Very High)

8

2 APO12.02 Tingkat risiko pada proses ini tinggi dikarenakan belum adanya perhitungan faktor risikom TI terhadap organisasi

Tingkat risiko untuk proses ini risiko besar (High)

7

3 APO12.03 Tingkat risiko proses ini sedang dikarenakan sudah adanya pengendalian terhadap risiko sebelumnya

Tingkat risiko untuk proses ini risiko sedang (Moderate)

6

4 APO12.04 Tingkat risiko pada proses ini sedang karena suddah adanya sumberdaya pendukung seperti aplikasi, infrastruktur, fasilitas, akan tetapi belum ada dokumentasi ketegantungan antar manajemen layanan TI dan sumber infrastruktur TI

6

5 APO12.05 Tingkat risiko pada proses ini sangat tinggi, karena belum adanya laporan dalam pengelolaan risiko, dan belum adanya profile risiko sebagai portofolio risko TI

8

6 APO12.06 Tingkat risiko pada proses ini sedaang dikarenakan sudah adanya respon risko namun belum terdokumentasi besar kerugian akibat risiko TI tersebut.

6

7 EDM03.01 Tingkat risiko pada proses ini sangat tinggi dikarenakan pengelolaan risiko TI belum ada dan dokumen berupa keputusan terhadap batas toleransi risiko TI juga belum ditetapkan.

Tingkat risiko untuk proses ini risiko luar biasa besar (Extremely High)

9

8 EDM03.02 Tingkat risko pada proses ini tinggi dikarenakan belum diterapkannya manajemen risiko TI, dan tidak adanya profile risiko TI sehingga tidak dapat dipastikan batas toleransi risiko TI

8

9 EDM03.03 Tingkat risiko pada proses ini sangat tinggi dikarenakan belum adanya penerapan manajemen risiko TI yang disesuaikan dengan tujuan utama organisasi, dan belum adanya identifikasi pelacakan serta laporan penyimpangan atau masalah yang ditentukan untuk dilakukannya perbaikan

Tingkat risiko untuk proses ini risiko luar biasa besar (Extremely High)

9

3.6 Prioritas Risiko dengan SAW

Perioritas risiko pada penelitian ini menggunakan metode Simple Additive Weighting (SAW) atau metode penjumlahan terbobot [16]-[19]. Pemberian bobot berdasarkan pertimbangan pengambil keputusan, dalam hal ini Biro Akademik dan Sistem Informasi di Universitas Quality Medan. Dari hasil wawancara dengan Biro Akademik dan Sistem Informasi ditetap kriteria dan bobot sebagai berikut:

a. Nilai Kesenjangan antara kondisi saat ini (as is) dengan kondisi yang diharapkan (to be) dengan bobot sebesar 25% sebagai atribut cost.

b. Tingkat risiko yang didapat dari FMEA dengan bobot sebesar 50% sebagai atribut cost.

c. Banyaknya aktivitas pada setiap proses domain APO12 dan EDM03 dengan bobot sebesar 25% sebagai atribut cost.

Tahapan SAW selanjutnya membentuk table reting kecocokan untuk setiap alternatif dalam hal ini alternatif (proses pada domain APO12 dan EDM03) pada setiap kriteria, seperti pada tabel berikut ini:

Tabel 9. Rating kecocokan dari setiap alternatif pada setiap kriteria

Alternatif Kriteria

GAP (25%) Tingkat risiko (50%) Jumlah aktivitas (25%)

APO12.01 0.92 8 7

APO12.02 1.02 7 7

APO12.03 1.07 6 7

(7)

Alternatif Kriteria

GAP (25%) Tingkat risiko (50%) Jumlah aktivitas (25%)

APO12.04 1 6 5

APO12.05 0.92 8 3

APO12.06 0.88 6 4

EDM03.01 1.04 9 6

EDM03.02 1 8 6

EDM03.03 0.71 9 4

Tahap berikutnya dalah melakukan perhitungan normalisasi untuk mendapatkan matriks nilai ternormalisasi (R), dengan rumus:

𝑅_𝑖𝑗= min{𝑋_𝑖𝑗}/𝑋_𝑖𝑗 (3)

karena faktor atribut kriteria cost, sehingga didapat matriks ternormalisasi seperti table berikut ini:

Tabel 10. Matriks Nilai Ternormalisasi (R)

ALTERNATIF Kriteria

GAP Tingkat Risiko Jumlah Aktivitas

APO12.01 0.77 0.75 0.43

APO12.02 0.70 0.86 0.43

APO12.03 0.66 1.00 0.43

APO12.04 0.71 1.00 0.60

APO12.05 0.77 0.75 1.00

APO12.06 0.81 1.00 0.75

EDM03.01 0.68 0.67 0.50

EDM03.02 0.71 0.75 0.50

EDM03.03 1.00 0.67 0.75

Tahapan selanjutnya menghitung nilai Preferensi (P) diperoleh dari penjumlahan perkalian nilai ternormalisasi (R) dengan bobot kriteria (W) untuk masing-masing Alternatif, sesuai dengan persamaan berikut:

𝑃 = ∑^𝑛_𝑗=1𝑊_𝑗𝑟_𝑖𝑗 (4)

Hasil perhitungan untuk masing-masing alternatif adalah seperti pada table berikut ini:

Tabel 11. Nilai Preferensi (P) untuk setiap Alternatif Alternatif Nilai Preferensi

APO12.01 0.68

APO12.02 0.71

APO12.03 0.77

APO12.04 0.83

APO12.05 0.82

APO12.06 0.89

EDM03.01 0.63

EDM03.02 0.68

EDM03.03 0.77

Dari hasil perhitungan nilai preferensi (P) pada table XI, maka dapat dilakukan perangkingan dengan diurutkan berdasarkan nilai yang terbesar sebagai berikut:

Tabel 12. Hasil Perengkingan atau Prioritas

ALTERNATIF Nilai Preferensi (P) Ranking Prioritas

APO12.06 0.89 1

APO12.04 0.83 2

APO12.05 0.82 3

APO12.03 0.77 4

EDM03.03 0.77 5

APO12.02 0.71 6

EDM03.02 0.68 7

APO12.01 0.68 8

EDM03.01 0.63 9

(8)

3.7 Hasil Rekomendasi Prioritas Risiko TI Berikut prioritas rekomendasi perbaikan

Tabel 13. Prioritas Rekomendasi Perbaikan pada Proses APO12

Rekomendasi/usulan perbaikan pada proses APO12 Prioritas APO12.06 Menentukan kondisi seperti apa yang mungkin muncul saat terjadinya risiko,

frekuensi kemungkinan munculnya kondisi tersebut dan dampak yang ditimbulkan oleh kondisi tersebut.

1

Menyiapkan, menguji dan mendokumentasikan dan menerapkan rencana untuk merespon suatu risiko TI yang dapat meminimalisir dapmak ketika terjadi suatu risiko TI.

Memeriksa riwayat kerugian dan kesempatan yang hilang serta penyebab dari peristiwa risiko terdahulu

APO12.04 Membuat dan Melaporkan hasil analisis risiko kepada semua pemangku kepentingan, termasuk frekuensi peluang, besarnya dampak dan manfaat yang diperoleh guna mendukung keputusan yang harus diambil oleh perusahaan

2

Membuat laporan berupa profil risiko untuk semua unit yang berhubungan dengan layanan TI guna meningkatkan efektivitas penerapan manajemen risiko serta mengontrol kesenjangan, inkonsistensi, redudansi dan dampak terhadap profil risiko itu sendiri

Lakukan peninjauan dan memetakan hasil penilaian objektif yang dilakukan oleh pihak ketiga, audit internal maupun tinjauan jaminan kualitas ke dalam profil risiko APO12.05 Melaksanakan kegiatan pengendalian untuk mengelola setiap risiko agar sesuai batas toleransi dan mengelompokkan risiko tersebut kedalam laporan risiko TI yang spesifik.

3

Memastikan Monitoring risiko TI dan mengelola risiko agar sesuai dengan batas toleransi untuk setiap unit oragisasi yang terhubung dengan layanan TI

Menjaga aplikasi, infrastruktur, fasilitas dan membuat hubungan yang baik dengan vendor, supplier dana dan agen outsourcing

APO12.03 Mendokumentasikan seluruh resiko berdasarkan klasifikasi kategori resiko 4 Mendokumentasikan semua informasi mengenai rencana yang digunakan untuk merespon resiko TI

APO12.02 Menentukan upaya dalam menganalisis risiko terkait faktor-faktor risiko dan Memperbarui scenario risiko secara terus-menerus dan teratur, menggabungkan scenario dengan jenis ancaman yang terjadi, melakukan kontrol risiko dan mendeteksi tindakan untuk merespon risiko.

5

Memperkirakan scenario risiko TI dan memperhitungkan faktor faktor risiko serta mengevaluasi pengendalian operasional dan memperkirakan nilai risiko residual Lakukan perbandingan antara risiko residual dengan batas toleransi risiko yang dapat diterima oleh organisasi, serta mengidentifikasi risiko mana saja yang membutuhkan respon risiko

APO12.01 Membuat dan memelihara metoda yang tepat untuk mengumpulkan, mengklasifikasikan dan menganalisis data yang berhubungan dengan risiko TI, seperti definisi risiko, kategori risiko dan faktor risiko

6

Mengidentifikasi dan mengelompokkan data yang telah dikelompokkan berdasarkan faktor umum yang terjadi di beberapa kasus

Tabel 14. Prioritas Rekomendasi Perbaikan pada Proses EDM03

Rekomendasi/usulan perbaikan pada proses APO12 Prioritas EDM03.03 Melakukan pemantauan dan analisis faktor penyebab timbulnya suatu risiko

serta merencanakan perbaikan

1 Merekapitulasi ulasan atau masukan dari stakeholder untuk tujuan organisaasi

khususnya dalam resiko TI

Melakukan pelaporan segala permasalahan terkait dengan manajemen risiko kepada yang bertanggung jawab terhadap resiko TI

EDM03.02 Setiap unit organisasi yang terhubung dengan layanan TI harus lebih proaktif dalam pengindentifikasian risiko TI serta peluang dan potensi apa yang terjadi dalam risiko Ti

2

(9)

Rekomendasi/usulan perbaikan pada proses APO12 Prioritas Mengidentifikasi setiap risiko yang muncul, penyebab timbulnya resiko dan apa

dampak yang diakibatkan oleh risiko TI tersebut

Setiap unit organisasi harus merespon setiap perkembangan risiko dengan cara melapor perkembangan risiko tersebut kepada pihak yang bersangkutan EDM03.01 Menentukan metode atau cara apa yang akan digunakan dalam penilaian risiko

dan evaluasi risiko

3 Melakukan ealuasi apa yang menjadi faktor-faktor risiko TI

memastikan keselarasan anatar menajemen risiko dengan organisasi untuk melakukan evalusi risiko TI

4. KESIMPULAN

Dari hasil penelitian terkait managemen risiko TI yang ada pada Universitas Quality Medan, dengan menggunakan framework COBIT 5 pada proses domain APO12 dan EDM03, dengan penilaian risiko dengan FMEA dan prioritas rekomendasi risiko TI dapat disimpulkan bahwa evaluasi proses TI pada Universitas Quality Medan diperoleh tingkat kapabilitas pada level 1 yaitu performed process untuk proses APO12 dan EDM03 dengan skala tingkat risiko dengan FMEA pada proses APO12 terdapat tingkat risiko pada skala 6 atau tingkat risiko sedang (moderate) pada sub domain APO12.03, APO12.04 dan APO12.06, dan tingkat risiko pada skala 7 atau risiko besar (high) hanya terdapat pada sub domain APO12.02, sedangkan pada skala 8 atau tingkat risiko sangat besar (very high) terdapat pada sub domain APO12.01 dan APO12.05. Pada proses domain EDM03 terdapat tingkat risiko pada skala 9 atau risiko luar biasa besar (extremely high) terdapat pada sub domain EDM03.01 dan EDM03.03, sedangkan tingkat risiko sangat besar (very high) dengan skala 8 terdapat pada proses sub domain EDM03.02.

Nilai rata-rata kapabilitas keseluruhan proses domain APO12 pada keadaan saat ini (as is) adalah 1.36, sedangkan yang diharapkan masa mendatang (to be) pada level 2 dengan rata-rata nilai kapabilitas pada 2.32 dengan nilai gap pada 0.96 atau 1 level dari kondisi saat ini (as is) menuju kondisi yang diharapkan (to be). Demikian untuk proses domain EDM03 masih memiliki GAP 0.91 menuju kondisi yang diharapkan. Untuk Domain APO12 yang paling prioritas atau yang paling utama untuk dilakukan perbaikan terhadap proses pengelolaannya pada sub domain APO12.06 (Respond to Risk). Kemudian pada EDM03 prioritas atau yang paling utama untuk dilakukan perbaikan adalah pada proses sub domain EDM03.03 (Monitor Risk Management).

REFERENCES

[1] I. S. Bianchi and R. D. Sousa, “IT Governance Mechanisms in Higher Education,” in Procedia Computer Science, 2016, vol. 100, pp. 941–946. doi: 10.1016/j.procs.2016.09.253.

[2] U. Yudatama and R. Sarno, “Evaluation maturity index and risk management for it governance using Fuzzy AHP and Fuzzy TOPSIS (case Study Bank XYZ),” Proceedings of the IEEE, pp. 323–328, Aug. 2015, doi:

10.1109/ISITIA.2015.7220000.

[3] Y. Aprilinda and A. K. Puspa, “METODE AUDIT TATA KELOLA TEKNOLOGI INFORMASI PADA BADAN USAHA MILIK NEGARA,” Expert – Jurnal Management Sistem Informasi dan Teknologi, vol. 9, no. 1, pp. 8–12, 2019.

[4] I. H. A. Wahab and A. Arief, “An integrative framework of COBIT and TOGAF for designing IT governance in local government,” in 2015 2nd International Conference on Information Technology, Computer, and Electrical Engineering (ICITACEE), Oct. 2015, pp. 36–40. doi: 10.1109/ICITACEE.2015.7437766.

[5] J. Fernandes Andry, “Audit of IT Governance Based on COBIT 5 Assessments: A Case Study,” 2016.

[6] H. M. Astuti, F. A. Muqtadiroh, E. W. T. Darmaningrat, and C. U. Putri, “Risks Assessment of Information Technology Processes Based on COBIT 5 Framework: A Case Study of ITS Service Desk,” in Procedia Computer Science, 2017, vol. 124, pp. 569–576. doi: 10.1016/j.procs.2017.12.191.

[7] N. Zukhrufatul Firdaus and Suprapto, “Evaluasi Manajemen Risiko Teknologi Informasi Menggunakan COBIT 5 IT Risk (Studi Kasus : PT. Petrokimia Gresik),” Jurnal Pengembangan Teknlogi Informasi dan Ilmu Komputer, vol. 2, no.

1, pp. 2548–964, 2018, [Online]. Available: http://j-ptiik.ub.ac.id

[8] B. D. Cahyabuana and A. Pribadi, “Konsistensi Penggunaan Metode FMEA (Failure Mode Effects and Analysis) terhadap Penilaian Risiko Teknologi Informasi (Studi kasus: Bank XYZ),” Institut Teknologi Sepuluh Nopember, 2015, Accessed: Sep. 24, 2021. [Online]. Available: https://repository.its.ac.id/287/1/5211100011-paperpdf.pdf

[9] M. Ab, Prihandoko, P. E, and W. C, “Analyzing COBIT 5 IT Audit Framework Implementation using AHP Methodology,” INTERNATIONAL JOURNAL ON INFORMATICS VISUALIZATION, vol. 1, no. 2, pp. 33–39, 2017.

[10] ISACA, COBIT 5 : a business framework for the governance and management of enterprise IT. ISACA, 2012.

[11] R. Sovia and A. F. Hadi, “Membandingkan Metode SAW Dan MFEP Dalam Penentuan Jurusan di Tingkat SLTA,”

Jurnal RESTI (Rekayasa Sistem dan Teknologi Informasi), vol. 3, no. 1, pp. 59–65, Apr. 2019, doi:

10.29207/resti.v3i1.554.

[12] A. Andrianti and S. Assegaff, “Analisis dan Perancangan IT Governance Menggunakan Framework COBIT Pada Pengelolaan Data PT. BPR US,” Jurnal Manajemen Sistem Informasi, vol. 3, no. 2, 2018.

[13] N. F. Najwa, “ANALISIS KONSISTENSI HASIL RISIKO TEKNOLOGI INFORMASI FAILURE MODE AND EFFECT ANALYSIS (FMEA),” Surabaya, 2018.

(10)

[14] A. F. Apriliana, R. Sarno, and Y. A. Effendi, “Risk analysis of IT applications using FMEA and AHP SAW method with COBIT 5,” in 2018 International Conference on Information and Communications Technology (ICOIACT), Mar.

2018, pp. 373–378. doi: 10.1109/ICOIACT.2018.8350708.

[15] I. Pamungkas, H. Tri Irawan, L. Arkanullah, M. Dirhamsyah, and M. Iqbal, “PENENTUAN TINGKAT RISIKO PADA PROSES PRODUKSI GARAM TRADISIONAL DI DESA IE LEUBEU KABUPATEN PIDIE,” Jurnal Optimalisasi, vol. 5, 2019.

[16] W. Firgiawan, N. Zulkarnaim, and S. Cokrowibowo, “Komparasi Algoritma SAW, AHP, dan TOPSIS dalam Penentuan Uang Kuliah Tunggal (UKT),” JCIS (Journal of Computer and Information System), vol. 1, no. 2, pp. 1–11, 2019, doi:

10.31605/jcis.v2i1.

[17] I. J. T. Situmeang, S. Hummairoh, S. M. Harahap, and Mesran, “Application of SAW ( Simple Additive Weighting ) for the Selection of Campus Ambassadors,” IJICS (International J. Informatics Comput. Sci., vol. 5, no. 1, pp. 21–28, 2021.

[18] M. R. Ramadhan, M. K. Nizam, and Mesran, “Penerapan Metode SAW (Simple Additive Weighting) Dalam Pemilihan Siswa-Siswi Berprestasi Pada Sekolah SMK Swasta Mustafa,” TIN Terap. Inform. Nusant., vol. 1, no. 9, pp. 459–471, 2021.

[19] R. Y. Simanullang, Melisa, and Mesran, “Sistem Pendukung Keputusan Penerima Bantuan Covid-19 Menggunakan Metode Simple Additive Weighting (SAW),” TIN Terap. Inform. Nusant., vol. 1, no. 9, pp. 2–9, 2021.