Fakultas Ilmu Komputer
Universitas Brawijaya 6089
Evaluasi Maturitas Manajemen Risiko Teknologi Informasi menggunakan Process Assessment Model COBIT 5 (Studi Kasus PT. XYZ Indonesia)
Lintang Dila Mutiara Putri1, Andi Reza Perdanakusuma2, Aditya Rachmadi3 Program Studi Sistem Informasi, Fakultas Ilmu Komputer, Universitas Brawijaya Email: 1lintangdila@student.ub.ac.id, 2andireza@ub.ac.id, 3rachmadi.aditya@ub.ac.id
Abstrak
PT. XYZ Indonesia (Persero) merupakan salah satu perusahaan industri strategis yang memproduksi alat utama sistem pertahanan Indonesia dan memiliki fokus terhadap penerapan teknologi informasi yang dikelola oleh Divisi Teknologi Informasi. Dalam penerapannya, kemungkinan adanya suatu risiko tidak dapat dihindari sehingga diperlukan adanya manajemen risiko TI serta evaluasi untuk memaksimalkan kinerjanya. Evaluasi manajemen risiko teknologi informasi dilakukan dengan menggunakan Process Assessment Model (PAM) pada kerangka kerja COBIT 5 dengan proses APO12 Manage Risk. Penggunaan kerangka kerja COBIT 5 akan membantu dalam mengukur sejauh mana proses dan kegiatan telah dilaksanakan dengan baik, serta mengetahui tingkat kapabilitas dari proses tersebut. Penelitian ini dilakukan dengan menggunakan metode kualitatif, dimana pengumpulan data dilakukan dengan teknik kuesioner, observasi, dan wawancara validasi. Tujuan dari penelitian ini adalah untuk memperoleh hasil evaluasi berdasarkan tingkat kapabilitas dan menyusun rekomendasi berdasarkan hasil evaluasi tersebut. Tingkat kapabilitas (kematangan) pada proses APO12 berdasarkan hasil evaluasi adalah pada level 2, yaitu pada Managed Process. Berdasarkan hasil analisis, terdapat 43 rekomendasi yang disusun. Rekomendasi disusun berdasarkan komponen – komponen pada level 1 dan level 2 yang belum terpenuhi. Selain itu, rekomendasi juga dibuat berdasarkan komponen - komponen pada level 3 untuk memenuhi target level. Rekomendasi yang diberikan kepada perusahaan digunakan untuk meningkatkan tingkat kapabilitas manajemen risiko TI yang ada pada Divisi Teknologi Informasi PT. XYZ Indonesia.
Kata kunci: evaluasi, manajemen risiko TI, PAM, COBIT 5, tingkat kapabilitas, APO12 Abstract
PT. XYZ Indonesia (Persero) is one of the strategic industrial companies that produces the main tools of the Indonesian defense system and has a focus on the application of information technology managed by the Divisi Teknologi Informasi. In its application, the possibility of a risk cannot be avoided so that IT risk management and evaluation are needed to maximize its performance. Information technology risk management evaluation is carried out by using the Process Assessment Model (PAM) in the COBIT 5 framework with the APO12 Manage Risk process. The use of the COBIT 5 framework will help in measuring the extent to which processes and activities have been carried out properly, and knowing the capability level of the process. This research was conducted using qualitative methods, where data collection was carried out by questionnaire, observation, and validation interviews. The purpose of this study is to obtain evaluation results based on the capability level and formulate recommendations based on the results of the evaluation. The capability level in the APO12 process based on the evaluation results is at level 2, namely the Managed Process. Based on the results of the analysis, 43 recommendations were prepared. Recommendations are prepared based on components at level 1 and level 2 that have not been fulfilled. In addition, recommendations are also made based on components at level 3 to meet target levels. The recommendations given to companies are used to increase the level of IT risk management capabilities that exist in the Divisi Teknologi Informasi of PT. XYZ Indonesia.
Keywords: evaluation, IT risk management, PAM, COBIT 5, capability level, APO12
1. PENDAHULUAN
Perkembangan teknologi yang begitu pesat sangat berpengaruh terhadap perubahan di berbagai bidang kehidupan, termasuk di suatu perusahaan atau organisasi. Salah satunya adalah PT. XYZ Indonesia (Persero). PT. XYZ Indonesia merupakan sebuah perusahaan industri strategis yang memproduksi alutsista Indonesia untuk kawasan laut. Adanya penerapan teknologi informasi pada perusahaan selain memberikan manfaat, munculnya suatu risiko dari penggunaan TI terhadap tujuan sebuah perusahaan juga tidak dapat dihindari.
Berdasarkan Panduan Peraturan Menteri Badan Usaha Milik Negara Tahun 2018, salah satu kebijakan strategis dalam tata kelola teknologi informasi BUMN adalah Pengelolaan Risiko TI yang bertujuan agar risiko – risiko yang muncul dalam penerapan TI dapat dikelola dengan baik. Dalam pengelolaan risiko yang telah dilakukan pada tahun 2018, terdapat beberapa risiko yang memiliki nilai risiko diatas risk appetite perusahaan. Beberapa risiko dengan nilai risiko yang tinggi berdasarkan risk register tahun 2018 seperti risiko pada penggunaan email gratis (Yahoo, Gmail, dan lainnya), risiko penggunaan software ilegal pada client hardware, risiko integrasi antara software desain dan IFS yang belum optimal, dan risiko munculnya penyalahgunaan data perusahaan (meliputi data desain, keuangan, marketing, dan lainnya). Dengan demikian, diperlukan adanya evaluasi manajemen risiko TI.
Risiko secara umum didefinisikan sebagai sebuah kombinasi dari kemungkinan suatu kejadian dan konsekuensinya (Latifi & Zarrabi, 2017). Sedangkan manajemen risiko merupakan suatu kumpulan kegiatan yang tersusun rapi untuk mengatur dan mengontrol organisasi sehubungan dengan risiko – risikonya (Araujo, et al., 2017).
Evaluasi manajemen risiko TI dilakukan untuk mengetahui maturitas (capability level) dan memberikan rekomendasi perbaikan mengenai proses tersebut. Hasil evaluasi ini dapat digunakan oleh perusahaan untuk meningkatkan maturitas pada proses terkait.
Tujuan dari adanya penelitian ini adalah untuk mendapatkan hasil evaluasi maturitas pada manajemen risiko TI menggunakan Process Assessment Model (PAM) pada COBIT 5 dengan proses APO12 Manage Risk. COBIT 5 dipilih sebagai acuan dalam evaluasi karena
kerangka kerja ini memiliki proses yang dapat mencakup kerangka kerja manajemen risiko lainnya, seperti ISO 31000, ISO 27005, dan COSO ERM. Selain itu, tujuan dari penelitian ini yaitu menghasilkan rekomendasi yang disusun dari hasil evaluasi yang telah dilaksanakan.
Terdapat 3 penelitian yang digunakan sebagai acuan dalam riset ini. Pertama, penelitian yang dilakukan oleh Nurfitri Zukhrufatul Firdaus (2018) dengan judul
“Evaluasi Manajemen Risiko Teknologi Informasi Menggunakan COBIT 5 IT Risk (Studi Kasus: PT. Petrokimia Gresik). Penelitian ini membahas tentang evaluasi manajemen risiko teknologi informasi pada suatu sistem yang ada di PT. Petrokimia Gresik, yaitu SAP (System Application and Product in Data Processing) dengan tingkat kapabilitas pada EDM03 yaitu 2, dan APO12 yaitu 3. Kedua, penelitian yang dilakukan oleh Novia Dwi Setyaningrum (2018) dengan judul Evaluasi Manajemen Risiko Teknologi Informasi Menggunakan Framework COBIT 5 (Studi Kasus: PT. Kimia Farma (Persero) Tbk – Plant Watudakon). Penelitian ini membahas tentang evaluasi manajemen risiko teknologi informasi pada sistem informasi perusahaan yang berbasis Enterprise Resource Planning (ERP) dengan tingkat kapabilitas pada EDM03 yaitu 2, dan APO12 yaitu 1. Ketiga, penelitian yang dilakukan oleh Hanim Maria Astuti, et. Al (2017) yang berjudul Risk Assessment of Information Technology Processed Based on COBIT 5 Framework: A Case of ITS Service Desk. Penelitian ini menggunakan kerangka kerja COBIT 5 dengan proses yang dinilai yaitu DSS02 Manage Service Request and Incidents dan APO12 Manage Risk.
2. LANDASAN KEPUSTAKAAN
COBIT 5 adalah pedoman terbaru dari ISACA yang membahas mengenai tata kelola teknologi informasi perusahaan, asuransi, risiko, dan keamanan. COBIT 5 memberikan kerangka kerja yang menyeluruh yang dapat mendukung dalam mencapai tujuan perusahaan, baik untuk bidang tata kelola maupun manajemen risiko teknologi informasi.
Dalam COBIT 5, terdapat suatu model yang disebut dengan Process Assessment Model (PAM) yang merupakan model yang sesuai untuk menilai kapabilitas suatu proses, berdasarkan pada satu atau lebih model referensi proses. Model ini dibuat berdasarkan COBIT 5
yang sesuai dengan ISO/IEC 15504. Model ini adalah dasar untuk melakukan penilaian mengenai kemampuan dalam pengelolaan TI perusahaan terhadap COBIT 5. Proses penilaian diuji dengan memungkinkan proses penilaian yang dapat dipercaya, konsisten, dan dapat diulang di bidang tata kelola dan manajemen teknologi informasi (ISACA, 2012b).
RACI Charts merupakan pemberian tugas pada masing - masing tingkat kewajiban yang diusulkan untuk praktik proses pada peran dan struktur yang berbeda. RACI Chart seringkali digunakan sebagai metode untuk memilih responden yang akan menjadi penyedia informasi yang berguna dalam aktivitas penilaian sebuah proses. Terdapat 4 tingkatan pada RACI Chart, yaitu Responsible (R), Accountable (A), Consulted (C), dan Informed (I) (ISACA, 2012a).
Proses dalam COBIT 5 yang membahas mengenai manajemen risiko, salah satunya adalah APO12 Manage Risk. APO12 Manage Risk melakukan identifikasi, penilaian, dan penanganan terhadap risiko terkait TI secara berkelanjutan dalam tingkat kemampuan yang ditetapkan oleh manajemen eksekutif perusahaan. Terdapat 6 bagian dalam sub proses atau management practice ini, meliputi APO12.01 Collect Data, APO12.02 Analyse Risk, APO12.03 Maintain a Risk Profile, APO12.04 Articulate Risk, APO12.05 Define a Risk Management Action Portfolio, dan APO12.06 Respond to Risk.
Maturitas setiap proses yang dinilai dalam COBIT 5 dinyatakan sebagai capability level dari 0 hingga 5. Capability level 0 tidak memiliki atribut. Level 0 menunjukkan proses yang tidak diimplementasikan atau proses yang tidak berhasil untuk setidaknya mencapai sebagian hasilnya. Berdasarkan Self-Assessment Guide:
Using COBIT 5 – ISACA (2013), capability level terdiri dari 6 level, antara lain:
1. Level 0 – Incomplete
Pada level ini, proses ini tidak memiliki kemampuan dasar dan mencerminkan pendekatan yang tidak lengkap untuk menangani tujuan tata kelola dan manajemen. Selain itu, proses tidak memiliki tujuan untuk dicapai. Karena alasan ini, level ini tidak memiliki atribut.
2. Level 1 – Performed
Level ini menunjukkan bahwa proses yang diimplementasikan mencapai tujuan prosesnya. Prosesnya sudah ada dan
mencapai tujuannya sendiri.
3. Level 2 – Managed
Level ini menunjukkan bahwa proses yang dilakukan sekarang diimplementasikan dengan terencana, dipantau, dan diselaraskan dan hasilnya telah ditetapkan, dikontrol, dan dipelihara dengan tepat.
Proses ini mencapai tujuannya melalui penerapan serangkaian aktivitas dasar, namun lengkap.
4. Level 3 – Established
Level ini menunjukkan bahwa proses yang diatur saat ini diterapkan menggunakan proses yang ditetapkan dan dapat mencapai hasil dari proses tersebut.
5. Level 4 – Predictable
Level ini mengimplementasikan proses dalam batas yang ditetapkan yang memungkinkan pencapaian hasil prosesnya.
6. Level 5 – Optimizing
Level ini mengimplementasikan proses dengan cara yang memungkinkan untuk mencapai tujuan bisnis yang relevan, saat ini dan yang diproyeksikan.
Setiap atribut yang ada pada masing – masing level dinilai menggunakan skala peringkat (rating scale) yang didefinisikan dalam standar ISO/IEC 15504. Peringkat (rating) ini terdiri dari:
1. N – Not Achieved. Terdapat sedikit atau tidak ada bukti capaian atribut yang didefinisikan dalam proses yang dinilai.
Peringkat ini memiliki pencapaian 0 – 15%.
2. P – Partially Achieved. Terdapat beberapa bukti pendekatan dan capaian dari atribut yang ditentukan dalam proses yang dinilai.
Beberapa bagian capaian atribut mungkin tidak dapat diperkirakan. Peringkat ini memiliki pencapaian lebih dari 15% – 50%.
3. L – Largely Achieved. Terdapat bukti pendekatan sistematis dan capaian yang substansial dari atribut yang ditentukan dalam proses yang dinilai. Beberapa kekurangan yang berhubungan dengan atribut ini mungkin ada dalam proses yang dinilai. Peringkat ini memiliki pencapaian lebih dari 50% – 85%.
4. F – Fully Achieved. Terdapat bukti pendekatan yang komprehensif dan sistematis dan pencapaian lengkap dari atribut yang ditentukan dalam proses yang dinilai. Tidak ada kekurangan yang berarti
yang berhubungan dengan atribut ini ada dalam proses yang dinilai. Peringkat ini memiliki pencapaian lebih dari 85% – 100%.
3. METODOLOGI PENELITIAN
Metodologi penelitian menjabarkan mengenai alur dari penelitian yang dilakukan.
Gambar 1. Diagram Alur Penelitian
Berdasarkan pada Gambar 1, hal pertama yang dilakukan yaitu melakukan survey awal.
Tujuan dari adanya survey tersebut adalah untuk memahami dan mengetahui mengenai struktur organisasi perusahaan, mengetahui urgensi atau permasalahan yang sedang terjadi saat ini, serta memahami pelaksanaan manajemen risiko teknologi informasi yang telah berjalan di Divisi Teknologi Informasi.
Kedua, yaitu melakukan studi literatur.
Tujuan dari adanya studi literatur terkait kerangka kerja COBIT 5 ini dilakukan untuk melakukan evaluasi manajemen risiko teknologi
informasi pada perusahaan dan menjadi tambahan referensi dalam penelitian.
Ketiga, yaitu menetapkan ruang lingkup penelitian. Tujuan dari adanya penentuan ruang lingkup penelitian adalah untuk menentukan batasan – batasan penelitian. Penelitian ini berfokus pada evaluasi manajemen risiko teknologi informasi dengan menggunakan Process Assessment Model (PAM) pada kerangka kerja COBIT 5.
Keempat, yaitu mengumpulkan data. Dalam penelitian ini, terdapat beberapa teknik yang digunakan dalam tahap ini. Untuk teknik pengumpulan data, dilakukan dengan melakukan penyebaran kuesioner berupa lembar penilaian, observasi, dan wawancara untuk mengetahui validitas data yang diperoleh. Narasumber diperoleh dari hasil pemetaan pada RACI Chart untuk proses APO12, yaitu Business Process Owner perusahaan.
Kelima, yaitu menghitung dan menganalisis hasil capability level. Capability level dapat dihitung dari hasil perolehan data berupa base practice dan work product (input dan output), dan generic pratice dan generic work product yang ada di perusahaan. Kemudian, melakukan analisis terhadap hasil perhitungan capability level tersebut.
Keenam, yaitu melakukan analisis terhadap gap. Analisis gap dilakukan dengan menentukan selisih antara capability level dengan target level yang diinginkan oleh perusahaan. Tujuannya adalah untuk mengetahui kesenjangan tingkat kapabilitas dengan tingkatan target perusahaan.
Ketujuh, yaitu menyusun rekomendasi perbaikan bagi perusahaan. Penyusunan rekomendasi dilakukan berdasarkan pada hasil analisis capability level dan analisis gap.
Rekomendasi disusun berdasarkan komponen yang belum tercapai pada level 1 dan 2, serta komponen pada level 3 sebagai target level perusahaan. Adanya rekomendasi yang diberikan diharapkan dapat mendukung perusahaan dalam menaikkan kemampuan dalam melakukan manajemen risiko TI serta mencapai target level yang diinginkan.
Terakhir, yaitu membuat kesimpulan.
Kesimpulan ini akan berisi mengenai hasil evaluasi maturitas manajemen risiko teknologi informasi serta rekomendasinya.
4. HASIL DAN PEMBAHASAN 4.1 Pemetaan RACI Chart
Pemetaan RACI Chart dilakukan dengan tujuan untuk menentukan tanggung jawab/ peran dalam suatu proses.
Tabel 1. Pemetaan RACI Chart
Peran Posisi
Perusahaan
Tingkatan Business
Process Owner
General Manager TI
R Chief
Information Officer
General Manager TI
R
Chief Risk Officer
Risk Officer A
Berdasarkan hasil pemetaan peran pada RACI Chart dengan posisi/ jabatan di perusahaan pada Tabel 1, diperoleh bahwa penerapan manajemen risiko TI di PT. XYZ Indonesia dilakukan oleh staf Divisi Teknologi Informasi, yaitu General Manager TI sekaligus sebagai Kepala Divisi Teknologi Informasi, dibantu oleh Risk Officer divisi tersebut.
Namun, hanya terdapat satu responden utama yaitu Kepala Divisi Teknologi Informasi. Hal ini dilakukan karena fungsi atau posisi yang ada pada RACI Chart COBIT 5 tidak sepenuhnya sesuai dengan tupoksi pada masing – masing posisi yang ada di perusahaan. Hal ini mirip dengan Snowball Sampling dimana metode ini dilakukan ketika sampel dengan karakteristik target tidak mudah diakses. Dalam metode ini, subjek penelitian akan merekrut calon subjek di antara kenalan mereka yang sesuai (Naderifar, et al., 2017).
4.2 Hasil Observasi
Berdasarkan hasil observasi, diperoleh dokumen untuk mendukung penilaian.
Tabel 2. Dokumen Pendukung Penilaian
Kode Dokumen
DOC01 Risk Register
DOC02 Laporan Risk Control Self-Assessment (RCSA)
DOC03 Mitigation Plan
DOC04 Kebijakan Pokok Direksi Manajemen Risiko
DOC05 Pedoman Penerapan Manajemen Risiko
DOC06 Rencana Kegiatan Anggaran Perusahaan (RKAP)
Berdasarkan Tabel 2, diketahui bahwa
terdapat 6 dokumen pendukung yang diperoleh saat melakukan observasi, meliputi:
1. DOC01 - Dokumen Risk register merupakan hasil dari adanya kegiatan manajemen risiko. Dokumen risk register Divisi Teknologi Informasi terdiri dari sasaran/
target dari manajemen risiko pada waktu tertentu, hasil identifikasi, pengendalian dan penilaian awal, peluang, penangangan, dan penilaian akhir.
2. DOC02 - Dokumen Risk Control Self- Assessment (RCSA) merupakan dokumen yang berisi hasil dari penilaian risiko serta mitigasinya dalam bentuk sebuah laporan.
Laporan ini akan diserahkan kepada Departemen Manajemen Risiko Perusahaan yang merupakan pusat dari semua manajemen risiko yang ada di PT. XYZ Indonesia (Persero).
3. DOC03 - Dokumen mitigation plan merupakan dokumen yang berisi cara atau langkah – langkah penanganan risiko yang direncanakan oleh Divisi Teknologi Informasi dalam kurun waktu tertentu.
4. DOC04 - Dokumen Kebijakan Pokok Direksi Manajemen Risiko merupakan dokumen yang berisi prinsip – prinsip dan kebijakan perusahaan dalam melakukan manajemen risiko berdasarkan ISO 31000.
5. DOC05 - Dokumen Pedoman Penerapan Manajemen Risiko merupakan dokumen yang menjabarkan tentang bagaimana perusahaan melakukan manajemen risiko.
6. DOC06 - Dokumen Rencana Kegiatan Anggaran Perusahaan (RKAP) merupakan dokumen yang memuat tentang rancangan perencanaan kegiatan yang akan dilakukan perusahaan serta anggaran dana pada masing – masing kegiatan.
4.3 Hasil Penilaian
Berdasarkan hasil penilaian yang telah dilaksanakan, didapatkan hasil yakni:
Tabel 3. Penilaian Level 1 dan Level 2 Kode Dilakukan? Kode Dokumen
Pendukung Ya Tidak
APO12-BP1 √ DOC01
APO12-BP2 √ DOC02
APO12-BP3 √ DOC01
APO12-BP4 √ -
APO12-BP5 √ DOC01, DOC02
APO12-BP6 √ DOC01, DOC02,
DOC03
GP 2.1.1 √ DOC04
GP 2.1.2 √ DOC03
GP 2.1.3 √ -
GP 2.1.4 √ -
GP 2.1.5 √ -
GP 2.1.6 √ -
GP 2.2.1 √ -
GP 2.2.2 √ -
GP 2.2.3 √ DOC02
GP 2.2.4 √ -
Berdasarkan Tabel 3, dapat diketahui hasil dari penilaian pada level 1 dan level 2.
Penjabaran aktivitas pada masing-masing level, antara lain:
1. APO12-BP1 - Mengumpulkan data 2. APO12-BP2 - Menganalisis risiko
3. APO12-BP3 - Mempertahankan profil risiko 4. APO12-BP4 - Mengartikulasikan risiko 5. APO12-BP5 - Menetapkan portofolio
tindakan manajemen risiko 6. APO12-BP6 - Menanggapi risiko
7. GP 2.1.1 - Tujuan kinerja dari proses manajemen risiko TI teridentifikasi.
8. GP 2.1.2 - Kinerja dari proses manajemen risiko TI direncanakan dan dimonitor.
9. GP 2.1.3 - Kinerja dari proses manajemen risiko TI disesuaikan untuk memenuhi perencanaan.
10. GP 2.1.4 - Kewajiban dan otoritas untuk melakukan proses manajemen risiko TI didefinisikan, ditempatkan, dan dikomunikasikan.
11. GP 2.1.5 - Sumber daya dan informasi yang dibutuhkan untuk melakukan proses manajemen risiko TI ditetapkan, disediakan, dialokasikan, dan digunakan.
12. GP 2.1.5 - Antarmuka antara pihak yang berpartisipasi dalam proses manajemen risiko TI dikelola untuk meyakinkan adanya komunikasi yang efektif dan pemberian tugas yang jelas.
13. GP 2.2.1 - Keperluan akan hasil dari proses manajemen risiko TI ditetapkan.
14. GP 2.2.2 - Keperluan untuk melakukan dokumentasi dan pengendalian dari hasil kinerja manajemen risiko TI ditetapkan.
15. GP 2.2.3 - Hasil kerja manajemen risiko TI ditetapkan, didokumentasikan, dan dikendalikan.
16.
GP 2.2.4 - Hasil kerja manajemen risiko TI di-review sesuai dengan rencana pengarahan dan diselaraskan dengan keperluan.Tabel 4. Pencapaian Level 1 dan Level 2 Capability
Level
Target Tercapai Persentase
1 34 29 85,29%
2 PA2.1 16 5 31,25%
PA2.2 9 2 22,2%
Berdasarkan hasil penilaian pada Tabel 4, pada level 1 persentase pencapaian yang telah dilakukan adalah sebesar 85,29% dengan kategori Fully Achieved (F) seingga penilaian dapat dilanjutkan ke level 2. Pada penilaian level 2, persentase pencapaian pada manajemen risiko TI adalah sebesar 31,25% untuk PA2.1, dan sebesar 22,2% untuk PA2.2. Keduanya berada pada kategori Partially Achieved (P). Dengan demikian, penelitian tidak dilanjutkan ke level berikutnya.
4.4 Analisis Capability Level
Hasil penilaian capability level pada proses APO12 Manage Risk pada manajemen risiko teknologi informasi Divisi Teknologi Informasi dijabarkan pada Tabel 5.
Tabel 5. Hasil Penilaian Capability Level (CP) APO
12
L0 L1 L2 L3 L4 L5
Rate F P P - - -
CP √
% 85,29% 31,25% 22,2% - - - Berdasarkan hasil penilaian pada Tabel 5, dapat diperoleh bahwa Capability Level pada manajemen risiko teknologi informasi Divisi Teknologi Informasi PT. XYZ Indonesia berada pada level 2 yaitu Managed Process. Dari hasil penilaian tersebut, diketahui bahwa manajemen risiko TI perusahaan telah mencapai kategori Fully achieved (F) pada penilaian level 1 dan Partially Achieved (P) pada penilaian level 2.
Penilaian pada tiap proses dilakukan secara
berjenjang, dilihat apakah proses – proses tersebut telah mencapai kebutuhan yang harus dipenuhi pada masing – masing levelnya atau belum. Hasil penilaian pada level 1 telah memenuhi syarat untuk dapat dilakukan penilaian lanjutan di level 2 yaitu mencapai kategori Fully Achieved (F). Untuk dapat melakukan penilaian lanjutan dari level 2 ke level 3, maka pada PA2.1 Performance Management dan PA2.2 Work Product Management harus mencapai minimal Largely Achieved (L). Namun hasil dari penilaian pada level 2 hanya mencapai hingga kategori Partially Achieved (P) sehingga tidak dilakukan penilaian lanjutan (Gunawan & Pratama, 2018).
4.5 Analisis Gap
Berdasarkan hasil penilaian capability level, berikut merupakan gap yang dihasilkan:
Tabel 6. Gap pada APO12 Manage Risk Nama Proses Level
Saat Ini
Target Level
Gap
APO12 Manage Risk
2 3 1
Berdasarkan pada Tabel 3, dapat diketahui bahwa manajemen risiko TI Divisi Teknologi Informasi saat ini berada pada level 2. Dengan hasil demikian, pihak Divisi Teknologi Informasi mengharapkan adanya kenaikan level hingga ke level 3. Hal ini dilakukan untuk memenuhi Key Performance Indicator (KPI) yang ada di divisi terkait. Selain itu, penentuan target level oleh divisi terkait juga mengacu pada Peraturan Menteri BUMN Nomor PER- 02/MBU/2013 Tentang Panduan Penyusunan Pengelolaan Teknologi Informasi Badan Usaha Milik Negara.
4.6 Rekomendasi
Berdasarkan hasil penilaian yang telah dilakukan, untuk mencapai level 3 diperlukan adanya rekomendasi. Rekomendasi akan dibuat berdasarkan aktivitas dan dokumen yang belum terpenuhi, meliputi base practice dan work product pada level 1, serta generic practice dan generic work product pada level 2. Selain itu, akan ditambah komponen pada level 3 sebagai target level perusahaan.
Tabel 7. Rekomendasi Perbaikan APO12 No. Kode Rekomendasi Pelaksanaan
1 RL1-02 2019
2 RL1-05 2020
3 RL2-01 2020
4 RL2-08 2020
5 RL2-09 2020
6 RL2-10 2020
7 RL2-11 2020
8 RL2-12 2020
9 RL2-13 2020
10 RL2-14 2020
11 RL2-15 2020
12 RL1-01 2021
13 RL1-03 2021
14 RL2-02 2021
15 RL2-03 2021
16 RL2-04 2021
17 RL2-05 2021
18 RL2-06 2021
19 RL2-07 2021
20 RL2-16 2021
21 RL3-01 2021
22 RL3-02 2021
23 RL3-03 2021
24 RL3-04 2021
25 RL3-05 2022
26 RL3-06 2022
27 RL3-07 2022
28 RL3-08 2022
29 RL3-09 2022
30 RL3-10 2022
31 RL3-11 2022
32 RL3-12 2022
33 RL3-13 2022
34 RL3-14 2022
35 RL3-15 2022
36 RL3-16 2022
37 RL3-17 2022
38 RL3-18 2022
39 RL3-19 2022
40 RL3-20 2022
41 RL3-21 2022
42 RL3-22 2022
43 RL3-23 2022
Berdasarkan Tabel 7, diperoleh sebanyak 43 rekomendasi. Berikut adalah penjabarannya:
1. RL1-02, melakukan identifikasi risiko pengiriman supplier.
2. RL1-05, pembuatan proposal proyek untuk mengurangi risiko.
3. RL2-01, menyesuaikan kinerja proses manajemen risiko TI.
4. RL2-08, pembuatan rencana proses manajemen risiko TI yang menyediakan rincian terhadap rencana pelatihan proses dan perencanaan sumber daya proses.
5. RL2-09, pembuatan dokumentasi proses
manajemen risiko TI yang harus memberikan detail individu dan kelompok yang ikut serta.
6. RL2-10, pembuatan rencana proses manajemen risiko TI harus memberikan detail dari process communication plan.
7. RL2-11, menetapkan keperluan untuk dokumentasi dan pengendalian hasil kerja manajemen risiko TI.
8. RL2-12, mengidentifikasi, dokumentasi, dan mengontrol hasil kerja manajemen risiko TI.
9. RL2-13, me-review dan menyelaraskan hasil kerja manajemen risiko TI untuk memenuhi keperluan yang telah ditetapkan.
10. RL2-14, pembuatan rencana kualitas yang harus mempersiapkan rincian mengenai kriteria kualitas dan konten serta struktur hasil kerja manajemen risiko TI.
11. RL2-15, dokumentasi proses manajemen risiko TI harus memberikan rincian dari kontrol (matriks kontrol).
12. RL1-01, mengartikulasikan risiko
13. RL1-03, pembuatan dokumen atau menambahkan komponen hasil penilaian risiko TI dari pihak ketiga.
14. RL2-02, menetapkan dan mempersiapkan sumber daya untuk melaksanakan proses manajemen risiko TI sesuai dengan rencana.
15. RL2-03, mengelola antarmuka antar pihak yang terlibat.
16. RL2-04, pembuatan rencana proses manajemen risiko TI yang harus memberikan rincian tujuan kinerja proses tersebut.
17. RL2-05, pembuatan catatan kualitas yang harus memberikan detail langkah yang diambil saat kinerja tidak terpenuhi.
18. RL2-06, pembuatan dokumentasi proses manajemen risiko TI yang harus memberikan detail pemilik proses dan siapa saja yang terlibat (RACI).
19. RL2-07, pembuatan rencana proses manajemen risiko TI yang harus meliputi detail process communication plan serta keahlian, dan kemahiran yang diperlukan.
20. RL2-16, pembuatan catatan kualitas yang memberikan jejak audit dari review yang telah dilaksanakan.
21. RL3-01, menetapkan standar dari proses
manajemen risiko TI yang membantu pelaksanaan proses yang telah ditetapkan.
22. RL3-02, menentukan susunan dan hubungan antar proses manajemen risiko TI sehingga dapat berjalan sebagai sistem yang terhubung dalam proses tersebut.
23. RL3-03, menetapkan peran dan kompetensi untuk menjalankan standar proses manajemen risiko TI.
24. RL3-04, mengidentifikasi infrastruktur yang diperlukan (sarana, alat, metode, dan lainnya) dan lingkungan kerja untuk melaksanakan standar proses manajemen risiko TI.
25. RL3-05, mendefinisikan metode yang tepat untuk memantau efektivitas dan keselarasan standar proses.
26. RL3-06, pembuatan kebijakan dan standar yang memberikan detail mengenai tujuan organisasi untuk proses manajemen risiko TI, standar minimal kinerja, prosedur standar, dan pelaporan dan kebutuhan monitoring. (Kebijakan dan standar ini harus diterapkan)
27. RL3-07, pembuatan kebijakan dan standar yang memberikan proses pemetaan dengan rincian proses standar manajemen risiko TI serta urutan dan hubungan yang diharapkan. (Kebijakan dan standar ini harus diterapkan)
28. RL3-08, pembuatan kebijakan dan standar yang menyediakan rincian peran dan keahlian untuk menjalankan proses manajemen risiko TI. (Kebijakan dan standar ini harus diterapkan)
29. RL3-09, pembuatan kebijakan dan standar yang menetapkan keperluan minimal infrastruktur dan lingkungan kerja untuk melaksanakan proses manajemen risiko TI.
(Kebijakan dan standar ini harus diterapkan)
30. RL3-10, pembuatan catatan kualitas dan catatan kinerja proses manajemen risiko TI yang memberikan bukti dari ulasan (review) yang telah dilakukan.
31. RL3-11, menjalankan proses manajemen risiko TI yang telah ditetapkan yang memenuhi konteks.
32. RL3-12, menentukan dan mendiskusikan tugas, tanggung jawab, dan otoritas untuk melakukan proses manajemen risiko TI yang ditetapkan.
33. RL3-13, memastikan kompetensi yang dibutuhkan untuk melakukan proses manajemen risiko TI yang ditetapkan.
34. RL3-14, menyuplai sumber daya dan informasi untuk membantu kinerja proses.
35. RL3-15, menyediakan infrastruktur proses manajemen risiko TI yang layak.
36. RL3-16, menyatukan dan melakukan analisis terhadap data mengenai kinerja proses manajemen risiko TI untuk mendemonstrasikan kesesuaian dan efektivitasnya.
37. RL3-17, pembuatan kebijakan dan standar yang menentukan standar yang harus diikuti oleh seluruh penerapan dari proses manajemen risiko TI. (Kebijakan dan standar ini harus diterapkan)
38. RL3-18, pembuatan kebijakan dan standar yang memiliki rincian tugas dan wewenang di dalamnya untuk melaksanakan kegiatan pada proses manajemen risiko TI.
(Kebijakan dan standar ini harus diterapkan)
39. RL3-19, pembuatan dokumentasi proses yang memberikan detail keahlian dan training yang diperlukan.
40. RL3-20, pembuatan rencana proses yang melibatkan rincian process communication plan, program pelatihan, dan program sumber daya untuk setiap kejadian dari proses manajemen risiko TI.
41. RL3-21, pembuatan rencana proses yang meliputi rincian pengalokasian sumber daya untuk setiap kejadian dari proses manajemen risiko TI.
42. RL3-22, pembuatan rencana proses yang meliputi detail infrastruktur proses dan lingkungan kerjanya untuk setiap kejadian dari proses manajemen risiko TI.
43. RL3-23, pembuatan catatan kualitas dan catatan kinerja proses yang memberikan bukti alat dari ulasan (review) yang telah dilaksanakan untuk setiap kejadian dari proses manajemen risiko TI.
5. KESIMPULAN DAN SARAN
Berdasarkan hasil evaluasi yang telah dilaksanakan pada penelitian ini, dapat diperoleh bahwa hasil pemetaan base practice dan work product pada level 1 pada proses APO12 Manage Risk diperoleh sekitar 85,29%
terpenuhi. Sedangkan untuk generic practice
dan generic work product pada level 2, diperoleh sekitar 31,25% terpenuhi untuk PA 2.1 Performance Management dan sekitar 22,2%
terpenuhi untuk PA 2.2 Work Product Management. Berdasarkan hasil penilaian dan ketercapaian tersebut, maka diperoleh hasil bahwa manajemen risiko teknologi informasi Divisi Teknologi Informasi PT. XYZ Indonesia (Persero) berada pada level 2 pada proses APO12 Manage Risk. Berdasarkan hasil penilaian capability level tersebut, Divisi Teknologi Informasi mengharapkan adanya kenaikan target level hingga ke level 3. Target level ini ditentukan untuk memenuhi Key Performance Indicator (KPI) Divisi Teknologi Informasi. Selain itu, pernyataan target level ini juga tercantum dalam Peraturan Menteri BUMN Nomor PER-02/MBU/2013 Tentang Panduan Penyusunan Pengelolaan Teknologi Informasi Badan Usaha Milik Negara. Berdasarkan capaian capability level pada Divisi Teknologi Informasi, dapat disusun sebuah rekomendasi perbaikan. Rekomendasi disusun berdasarkan komponen yang tidak terpenuhi di level 1 dan 2.
Selain komponen tersebut, rekomendasi juga disusun berdasarkan generic practice dan generic work product yang ada pada level 3 sebagai target level perusahaan atau divisi terkait. Berdasarkan hal tersebut, diperoleh 43 rekomendasi perbaikan yang diharapkan dapat membantu perusahaan dalam mencapai target level yang diinginkan.
Berdasarkan hasil penelitian evaluasi maturitas manajemen risiko teknologi informasi Divisi Teknologi Informasi PT. XYZ Indonesia (Persero) menggunakan framework COBIT 5 proses APO12 Manage Risk, saran yang dapat diberikan meliputi melaksanakan penelitian mengenai evaluasi maturitas manajemen risiko teknologi informasi menggunakan framework atau kerangka kerja yang lain dengan harapan dapat mengetahui perbedaan tingkat kematangan yang diperoleh pada kerangka kerja lainnya, serta meningkatkan akurasi penelitian dengan melakukan validasi secara lebih tepat dan rinci agar diperoleh hasil penilaian yang lebih akurat.
6. DAFTAR PUSTAKA
Araujo, M., Oliveira, E., Monteiro, S. &
Mendonça, T., 2017. Risk Management Maturity Evaluation Artifact to Enhance Enterprise IT Quality. Proceedings of the 19th International Conference on
Enterprise Information Systems (ICEIS 2017), Volume 3, pp. 425-432.
Gunawan, B. & Pratama, F. A., 2018.
Perancangan Tata Kelola Teknologi Informasi. 1st ed. Yogyakarta: Penerbit ANDI.
ISACA, 2012a. COBIT 5: Enabling Processes.
USA: ISACA.
ISACA, 2012b. Process Assessment Model (PAM): Using COBIT 5. USA: ISACA.
ISACA, 2013. Self-assessment Guide: Using COBIT 5. USA: ISACA.
Latifi, F. & Zarrabi, H., 2017. A COBIT5 Framework for IoT Risk Management.
International Journal of Computer Applications, 170(8), pp. 40-43.
Naderifar, M., Goli, H. & Ghaljaie, F., 2017.
Snowball Sampling: A Purposeful Method of Sampling in Qualitative Research. Journal of Medical Education Development Center, 14(3), pp. 1-6.
