model penilaian risiko penggunaan …mmt.its.ac.id/download/semnas/semnas xvi/mti/2. mohammad...1...

1 PNS pada Badan Pengawasan Keuangan dan Pembangunan (BPKP) Perwakilan Provinsi JawaTimur, email : [email protected]

MODEL PENILAIAN RISIKOPENGGUNAAN TEKNOLOGI INFORMASI

(STUDI KASUS : PUSAT INFORMASI PENGAWASANBADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN)

Mohammad Fahmi Kurniawan dan Joko Lianto BulialiProgram Studi Magister Manajemen Teknologi

Bidang Keahlian Manajemen Teknologi InformasiProgram Pascasarjana Institut Teknologi Sepuluh Nopember

Penulis adalan pegawai pada BPKP Perwakilan Provinsi Jawa TimurEmail : [email protected]

ABSTRAK

Pusat Informasi Pengawasan (Pusinfowas) adalah eselon II BPKP yang tugaspokoknya melaksanakan kegiatan pengelolaan data dan informasi pengawasan sertapengembangan sistem informasi dan jaringan. Tugas pokok tersebut merupakan usahaPusinfowas untuk memberikan value bagi stakeholders dengan memanfaatkan sumber dayateknologi informasi (TI). Ketergantungan terhadap TI ini memaksa Pusinfowas untukmengeliminasi atau menghilangkan semua bentuk gangguan/kelemahan yang pernah atauakan terjadi dengan melakukan penilaian risiko.

Penelitian ini bertujuan untuk menghasilkan daftar peringkat risiko penggunaan TIbeserta sebab-sebab yang dominan. Untuk mencapai tujuan tersebut, penelitian ini dimulaidari proses pemetaan sasaran TI menurut ITGI berdasarkan sasaran TI menurut BPKP,identifikasi proses-proses TI yang terkait, identifikasi risiko, analisis pemicu dan dampak,analisis pengendalian dan yang terakhir proses evaluasi risiko. Teknik pairwise comparisonyang biasa dipakai dalam metode pengambilan keputusan Analytic Hierarchy Process(AHP), digunakan untuk menentukan tingkat kemungkinan dan dampak masing-masingrisiko dengan memanfaatkan semua risiko sebagai elemen keputusan. Berdasarkanperkalian tingkat kemungkinan dan dampak, maka dihasilkan daftar peringkat risiko.

Hasil penelitian telah menghasilkan sasaran TI menurut ITGI yaitu OptimalisasiPenggunaan Informasi. Sasaran tersebut dicapai melalui proses Pendefinisian ArsitekturInformasi (PO2) dan proses Pengelolaan Data (DS11). Risiko untuk masing-masing prosestelah diidentifikasi, dan setelah dilakukan analisis pengendalian kemudian dilakukanpengukuran tingkat kemungkinan dan dampak sehingga menghasilkan daftar prioritasrisiko. Prioritas tinggi risiko proses PO2 mencakup Risiko Definisi Informasi dan RisikoKetersediaan Data. Prioritas tinggi risiko proses DS11 mencakup Risiko Kualitas DataInput dan Risiko Data Kritis. Risiko-risiko tersebut selanjutnya menjadi dasar alokasisumber daya untuk penanganan yang efektif.

Kata kunci: Pusinfowas, identifikasi risiko, analisis risiko, evaluasi risiko, pairwisecomparison, prioritas risiko.

PENDAHULUAN


Pada suatu organisasi penggunaan TI untuk menghasilkan value bagi stakeholdersbukannya tanpa risiko. Ibarat uang logam, salah satu sisinya adalah value dan sisi lainnyaadalah risiko. Risiko melekat dan pasti ada pada setiap organisasi apapun bentuknya,sehingga setiap organisasi wajib untuk memastikan bahwa setiap usahanya untukmenciptakan value selalu diiringi dengan usahanya untuk mengurangi atau menghilangkanrisiko.

Tujuan dibentuknya Pusinfowas adalah untuk kepentingan pengambilan keputusanstakeholders dan pengelolaan manajemen. Demi mencapai tujuannya ini, sejak tahun 2006Pusinfowas telah menginvestasikan anggaran yang cukup besar untuk membeli peralatan TIsebagai media atau alat otomatisasi dan integrasi data aktivitas pengawasan. Sejak saat itupula, BPKP semakin lama semakin mengurangi aktivitas fisik ekstraksi data pengawasandan membuatnya semakin bergantung kepada sumber daya TI. Untuk menjaga bahwasumber daya TI benar-benar beroperasi dan bermanfaat dalam mencapai tujuan, maka perlusuatu proses asesmen untuk mengeliminasi risiko.

Terkait permasalahan di atas, tujuan penelitian ini adalah menghasilkan daftarperingkat risiko penggunaan TI. Daftar peringkat risiko ini bermanfaat bagi Pusinfowassebagai dasar atau bahan masukan untuk menentukan prioritas rencana tindak penanganansuatu risiko beserta alokasi sumber daya yang diperlukan.

Definisi risiko

Definisi risiko adalah events with a negative impact represent risks, which canprevent value creation or erode existing value (COSO, 2004). Definisi risiko lainnya adalahthe net negative impact of the exercise of a vulnerability, considering both the probabilityand the impact of occurrence (NIST, 2002). Definisi risiko menurut ISO 31000 adalah asthe effect of uncertainty on objectives. Berdasarkan ketiga definisi tersebut, pada dasarnyarisiko adalah terhambatnya penciptaan nilai atau penurunan nilai yang ada karena sesuatuterjadi, dengan mempertimbangkan probabilitas dan dampak.

Risk Assessment

ISO mendefinisikan risk assessment adalah sub proses manajemen risiko yangberisi aktivitas identifikasi risiko, analisis dan evaluasi risiko. Definisi yang sama dariCOSO bahwa risk assessment adalah proses identifikasi dan penilaian peristiwa yangmungkin terjadi dan mempengaruhi tujuan.

Identifikasi risiko merupakan proses mencari, menemukan dan mendefinisikanrisiko yang mempengaruhi tujuan organisasi. Identifikasi risiko dapat dilakukan antara laindengan menggunakan data historis, kajian teoritis, pendapat ahli, maupun analisiskeinginan stakeholder’s.

Analisis risiko merupakan proses mengembangkan pemahaman yang utuh tentangsuatu risiko terkait sebab dan sumber risiko, tingkat kemungkinan terjadinya risiko sertadampak. Sebagai metodenya, penentuan tingkat kemungkinan dan dampak dapatmenggunakan salah satu metode dari metode kualitatif, semi kuantitatif atau kuantitatif.

Evaluasi risiko bertujuan memudahkan mengambil keputusan risiko-risiko yangperlu mendapatkan prioritas penanganan. Langkah-langkah proses evaluasi risiko adalahmendapatkan pemahaman final berupa kombinasi besarnya kemungkinan dan besarnya


dampak yang dituangkan dalam bentuk tingkat risiko, kemudian menentukan prioritasrisiko berdasarkan tingkat risiko. Risiko yang mempunyai tingkat risiko terbesarmerupakan prioritas utama penanganan risiko.

Sasaran, Proses TI dan Control Objectives

Untuk memastikan bahwa investasinya dipergunakan menuju ke arah pencapaiansasaran strategis, maka organisasi menetapkan sasaran TI. The IT Governance Institute(selanjutnya disebut ITGI) dalam dokumen Control Objective for Information and RelatedTechnology versi 4.1 (selanjutnya disebut COBIT) menguraikan 28 sasaran TI, besertaproses-proses TI yang terkait dari keseluruhan jumlah proses TI sebanyak 34 proses..Masing-masing proses TI dilengkapi dengan control objectives agar pengelolaanya dapatdikatakan baik dan efektif. Keterkaitan sasaran TI, proses TI dan control objectivesdijelaskan pada gambar 1.

Gambar 1 Hubungan Sasaran TI, Proses TI dan control objectives (ITGI, 2007))

Pairwise Comparison

Pairwise comparison atau perbandingan berpasangan, merupakan teknikperbandingan yang biasa dipakai dalam metode pengambilan keputusan AHP. Pairwisecomparison ini memanfaatkan bilangan/skala, yang mencerminkan tingkatpreferensi/kepentingan suatu perbandingan elemen keputusan dalam kontribusinya terhadappencapaian suatu tujuan. (Ciptomulyono, 2003). Bilangan skala ditunjukkan pada tabel 1.

Tabel 1 Skala Saaty untuk bobot numerik AHP

SkalaNumerik

Skala Kualitatif dan Definisi

1 Elemen yang satu dinilai sama penting dibandingkan elemen yang lain3 Elemen yang satu dinilai sedikit lebih penting dibandingkan elemen

yang lain5 Elemen yang satu dinilai cukup penting dibandingkan elemen yang lain7 Elemen yang satu dinilai sangat penting dibandingkan elemen yang lain9 Elemen yang satu dinilai mutlak lebih penting dibandingkan elemen

yang lainSumber : Ciptomulyono, 2003


Opini kelompok ditetapkan dengan menghitung rata-rata geometri seluruh opiniresponden (Julianto Hadi, 2011), kemudian setiap perbandingan elemen keputusandimasukkan dalam suatu matrik perbandingan untuk menentukan bobot setiap elementerhadap pencapaian tujuan. Saaty menyarankan sebaiknya CRI dibawah 10 % (0,1) untukmenunjukkan bahwa value judgement yang diberikan dapat diterima, dan kalau sebaliknyamemerlukan revisi atau peninjauan kembali (Ciptomulyono, 2003).


METODE PENELITIAN

Metodologi penelitian ini mengacu pada proses manajemen risiko menurut ISO31000-2009..

Gambar 2 Bagan Arus Metodologi Penelitian

HASIL PENELITIAN

Sasaran TI BPKPUntuk memenuhi kebutuhan para stakeholders, TI diposisikan sebagai enabler

dalam enam sasaran penerapan TI di BPKP, yaitu:1. Management; sebagai sarana untuk mengelola kegiatan pengawasan.2. Decision support; sebagai sarana penyedia informasi untuk pengambilan keputusan.3. Intelligence; sebagai sarana untuk mendeteksi secara dini potensi-potensi masalah

dalam program kerja pemerintah.4. Knowledge creation; sebagai sarana untuk menciptakan pemahaman baru dan

mendiseminasikannya kepada semua stakeholders.5. Collaboration; sebagai sarana pertukaran informasi dan pengetahuan.6. Integration; sebagai sarana untuk mengkonsolidasikan data dan informasi pengawasan

seluruh instansi pengawasan internal.4.1 Kebijakan Pengendalian TI4.2 Setelah data komponen TI diperoleh, tahap berikutnya adalah mendapatkan kebijakan

dan prosedur pengendalian sistem dan teknologi informasi yang diimplementasikan diBPKP. Kebijakan pengamanan sistem informasi diatur melalui melalui SK Kepala


BPKP Nomor Kep-35/K/IP/2005 tentang Kebijakan Pengamanan Sistem Informasi diLingkungan BPKP. Hal-hal yang diatur dalam kebijakan ini meliputi:

4.3 Pengamanan perangkat keras, meliputi pengamanan perangkat keras sejak saatpengadaan, instalasi, penggunaan, penyimpanan termasuk penyimpanan barang habispakai serta dokumentasi.

4.4 Pengamanan lokasi, meliputi pengaturan keamanan lokasi termasuk didalamnya lokasidata.

4.5 Pengamanan perangkat lunak komersil dan pengembangan sendiri. Pengamananperangkat lunak komersil dimulai sejak tahap pengadaan sampai dengan pemeliharaandan dokumentasi. Pengamanan perangkat lunak pengembangan sendiri meliputipengendalian kode, pengembangan, pelatihan dan pembuatan manual.

4.6 Pengamanan sumber daya manusia, meliputi pengamanan data dan dokumentasikepegawaian, pengaturan keamanan pasca berhentinya pegawai dan pelatihan sumberdaya manusia.

4.7 Pengamanan data dan informasi, meliputi pengendalian akses sistem informasi,pengklasifikasian data dan informasi, dan pengolahan informasi dan dokumen.

4.8 Pengamanan tindakan hukum, meliputi tindakan pencegahan kejahatan komputer danmonitoring kepatuhan terhadap hukum

4.9 Penanganan tindakan keamanan, meliputi pengaturan mekanisme pelaporan danpenanganan pelanggaran

Pemetaan Sasaran TI ITGI dan Proses TI yang TerlibatLangkah yang dilakukan pada tahap ini adalah memetakan 6 sasaran TI BPKP

terhadap 28 sasaran TI ITGI. Kecenderungan tertinggi responden menunjukkan bahwasasaran TI ITGI paling erat kaitannya dengan sasaran TI BPKP adalah sasaran TIOptimalisasi Penggunaan Informasi. Dari tabel generik dokumen COBIT, ITGImenguraikan bahwa sasaran Optimalisasi Penggunaan Informasi ini dicapai dengan 2 (dua)proses TI yaitu Pendefinisian Arsitektur Informasi (PO2) dan Pengelolaan data (DS11).


Hasil Identifikasi Risiko Proses PO2Daftar risiko proses PO2 yang mungkin akan mempengaruhi sasaran Optimalisasi

Penggunaan Informasi. Risiko-risiko tersebut adalah:R.PO2.1. Risiko Definisi InformasiR.PO2.2. Risiko ketersediaan dataR.PO2.2.R.PO2.3. Risiko inkonsistensi pengembangan aplikasiR.PO2.3.R.PO2.4. Risiko inkonsistensi dataR.PO2.5. Risiko duplikasi dataR.PO2.6. Risiko evaluasi arsitektur informasiR.PO2.7. Risiko ketersediaan kamus dataR.PO2.8. Risiko ketersediaan pedoman sintax dataR.PO2.9. Risiko elemen data tidak kompatibelR.PO2.4.R.PO2.10. Risiko inefisiensi rencana investasi TIR.PO2.11. Risiko ketersediaan skema klasifikasi dataR.PO2.12. Risiko keamanan dataR.PO2.13. Risiko integritas data yang disimpanR.PO2.14. Risiko ketersediaan prosedur pengelolaan integritasR.PO2.5.R.PO2.15. Risiko akumulasi data tidak bermanfaatR.PO2.6. Risiko maintenance kelayakan arsitektur informasi4.9.1 Risiko ini berkaitan dengan arsitektur informasi yang sulit untuk

diimplementasikan. Kesulitan ini mungkin disebabkan antara lain belum adanyakesepakatan dengan pihak eksternal BPKP selaku pemilik data input,kesepakatan dengan stakeholders sebagai pengguna informasi, belum ada evaluasiprogress capaian arsitektur informasi, dll.

R.PO2.7. Risiko kamus data tidak tersedia4.9.2 Kamus data ini merupakan media komunikasi bagi analis sistem dan

programmer terkait data apa yang diperlukan dalam suatu sistem untukmenghasilkan informasi. Kamus data mencakup pula data tentang definisi,kepemilikan data serta data tentang elemen data. Sampai saat ini BPKP belummempunyai kamus data.

R.PO2.8. Risiko pedoman sintax data tidak tersedia4.9.3 Secara sederhana, pedoman sintax adalah pedoman yang berisi prinsip dan

aturan untuk mengkonstruksikan berbagai macam data sehingga mempunyaimakna/maksud tertentu. Sampai saat ini BPKP belum mempunyai pedomansintax data.

R.PO2.9. Risiko duplikasi data4.9.4 Risiko ini berkaitan dengan terciptanya data yang sama oleh pihak yang

berbeda. Seharusnya data hanya di-create satu kali oleh data owner namun bisa di-sharing pemanfaatannya. Duplikasi data juga terjadi pada informasi umumpenugasan antara aplikasi penyusunan rencana pengawasan dengan aplikasipengelolaan data hasil pengawasan.

R.PO2.10. Risiko penciptaan elemen data tidak kompatibel4.9.5 Keberadaan skema dan klasifikasi data diharapkan menjadi panduan

pengembangan aplikasi sehingga seluruh data yang dibutuhkan benar-benar

Formatted: Add space between paragraphs of the samestyle, Line spacing: single, Tab stops: 1.75 cm, Left

Formatted: Add space between paragraphs of the samestyle, Line spacing: single, Tab stops: 1.75 cm, Left

Formatted: Add space between paragraphs of the samestyle, Line spacing: single, Tab stops: 2 cm, Left


Formatted: Indent: Left: 0 cm, Hanging: 0.63 cm, Addspace between paragraphs of the same style, Line spacing:single, Outline numbered + Level: 2 + Numbering Style: 1, 2,3, … + Start at: 1 + Alignment: Left + Aligned at: 0 cm +Indent at: 0.63 cm, Tab stops: 1.75 cm, Left

Formatted: Font: Bold, Not Italic

Formatted: Font: Bold, Not Italic




Formatted: Indent: Left: 0 cm, Hanging: 0.63 cm, Addspace between paragraphs of the same style, Line spacing:single, Outline numbered + Level: 2 + Numbering Style: 1, 2,3, … + Start at: 1 + Alignment: Left + Aligned at: 0 cm +Indent at: 0.63 cm, Tab stops: 2 cm, Left


digunakan untuk menghasilkan informasi. Selanjutnya, kamus data harus bisamencegah penciptaan elemen data yang tidak kompatibel, yaitu elemen dari suatudata yang tidak mengikuti pengaturan dalam kamus data. Contoh: Tipe datauntuk ID number seharusnya “number” ternyata dibuat “teks”.

R.PO2.11. Risiko kelayakan (kualitas) kamus dataRisiko ini muncul karena kamus data yang tersedia tidak disesuaikan denganperubahan rancangan atau implementasi arsitektur informasi, sehingga kamusdata tidak bisa dijadikan acuan dalam pengembangan sistem

R.PO2.12. Risiko skema klasifikasi data tidak tersedia4.9.6 Skema klasifikasi data adalah rencana penggolongan data berdasarkan tingkat

kekritisan dan sensitivitas, mencakup kepemilikan data, rencana pengamananselama siklus hidup data, dan prosedur pemusnahan. BPKP sampai saat ini belummenetapkan klasifikasi data berikut rencana pengamanannya.

R.PO2.13. Risiko ketersediaan data4.9.7 Risiko ini berkaitan dengan ketiadaan akuntabilitas data dari para pemilik

data, baik sumber data eksternal maupun internal. Selama ini BPKP belumdengan mudah memperoleh data, terutama data yang bersumber dari pihakeskternal.

R.PO2.14. Risiko keamanan data4.9.8 Risiko yang berkaitan dengan insiden kegagalan pengamanan data selama

siklus hidup data dari pembuatan sampai pemusnahan (mis: pengendalian akses,pengendalian arsip dan enkripsi) dari pihak-pihak yang tidak berkepentingan.Risiko ini berkaitan pula dengan pelanggaran keamanan data input daripencurian, penghilangan, penyebaran, atau modifikasi. Di antara data-data yangdikelola BPKP, yang selama ini dianggap kritis bagi pihak eksternal adalah datahasil pengawasan. Terbatas pada data elektronik pengawasan, BPKP masihmelakukan pengolahan secara stand alone di masing-masing perwakilan sesuaiSOP yang ditetapkan Pusinfowas. Secara berkala unit perwakilan melakukanpengiriman data untuk digabung oleh Pusinfowas sebagai laporan nasional.

R.PO2.15. Risiko ketersediaan prosedur pengelolaan integritas4.9.9 Prosedur pengelolaan integritas harus disusun berdasarkan kriteria integritas

suatu data yang telah ditetapkan terlebih dulu. Prosedur ini wajib mengacukepada arsitektur informasi, kamus data dan skema yang telah ditetapkansebelumnya. Prosedur pengelolaan integritas mencakup prosedur pengelolaandata selama siklus data (input, process, output, migrasi, ekstraksi, dan archiving).Terbatas pada data perencanaan dan hasil pengawasan yang telah dikelola, BPKPtelah membuat SOP pengelolaan data.

R.PO2.16. Risiko data yang disimpan tidak akurat dan tidak lengkap4.9.10 Risiko ini merupakan kejadian bahwa data-data yang telah disimpan dalam

bentuk elektronik tidak akurat dan tidak lengkap, untuk diproses sebagaiinformasi. Selama ini hasil pengolahan data realisasi pengawasan dan data hasilpengawasan yang sudah tersimpan secara elektronik belum mampu memenuhikebutuhan informasi stakeholders.

Identifikasi Risiko Proses DS11







Daftar risiko pada proses DS11 yang mungkin akan mempengaruhi sasaranOptimalisasi Penggunaan Informasi. Risiko-risiko tersebut adalah:R.DS11.1. Risiko kualitas data input (lengkap, akurat, tepat waktu, sah)R.DS11.2. Risiko keamanan dataR.DS11.3. Risiko kualitas output

Risiko ini berkaitan dengan kegagalan proses menghasilkan suatu output yang sesuaidengan harapan pengguna, meskipun data input telah sesuai harapan.

R.DS11.4. Risiko distribusi outputRisiko ini berkaitan dengan kesalahan distribusi output kepada pihak yang tidakberkepentingan. Hal ini bisa disebabkan belum adanya pendefinisian alur data daninformasi dalam urutan proses bisnis. Selain itu risiko ini bisa ditimbulkan karenabelum adanya kebijakan protokol informasi yang mengatur hak akses dan klasifikasiinformasi berdasarkan user

R.DS11.5.R.DS11.3. Risiko kegagalan penarikan dataR.DS11.6.R.DS11.4. Risiko kerusakan media penyimpan dataR.DS11.7.R.DS11.5. Risiko penarikan data status musnahR.DS11.8.R.DS11.6. Risiko penarikan software status musnahR.DS11.9.R.DS11.7. Risiko ketersediaan prosedur backup dan restorasiR.DS11.10.R.DS11.8. Risiko data kritis tidak di-backupR.DS11.11.R.DS11.9. Risiko kegagalan proses backupR.DS11.12.R.DS11.10. Risiko kegagalan recovery data backup dataR.DS11.13.R.DS11.11. Risiko kegagalan proses restorasi datationR.DS11.14.R.DS11.12. Risiko kemudahan akses data atas backup data4.10 Hubungan antar Risiko Proses PO24.11 Setelah diperoleh daftar risiko yang valid, langkah selanjutnya adalah

melakukan analisis hubungan antar risiko yang digambarkan dalam bentukpohon risiko. Tujuan analisis hubungan risiko untuk memisahkan risiko-risikodari daftar risiko yang telah divalidasi menjadi risiko-risiko yang merupakanrisiko sebenarnya dan risiko-risiko yang merupakan faktor pemicu terjadinyarisiko lain. Selanjutnya, analisis hubungan ini akan menghasilkan daftar risikoyang akan dianalisis tingkat kemungkinan dan dampaknya.

4.12 Pohon risiko atas proses PO2 yang disepakati oleh para respondenobyekpengawasan dijelaskan pada gambar .... berikut:

Gambar ... menjelaskan bahwa risiko ..., risiko .... sebenarnya merupakan pemicuterjadinya risiko lainnya. Risiko-risiko yang berperan sebagai pemicu merupakanunsur pengendalian yang perlu disempurnakan. Risiko-risiko yang dipengaruhirisiko pemicu merupakan risiko yang akan dianalisis tingkat kemungkinan dandampak.Pohon risiko atas proses DS11 yang disepakati oleh obyek pengawasan dijelaskanpada gambar .... berikut:

4.13 Gambar ... menjelaskan bahwa risiko ..., risiko .... sebenarnya merupakanpemicu terjadinya risiko lainnya. Risiko-risiko yang berperan sebagai pemicumerupakan unsur pengendalian yang perlu disempurnakan. Risiko-risiko yang


Formatted: Font: Bold, English (United States)

Formatted: Indent: Left: 0 cm, Hanging: 0.63 cm, SpaceAfter: 0 pt, Add space between paragraphs of the same style,Line spacing: single, Outline numbered + Level: 1 +Numbering Style: 1, 2, 3, … + Start at: 1 + Alignment: Left +Aligned at: 0 cm + Indent at: 0.63 cm

Formatted: Font: Bold, English (United States)

Formatted: Indent: Left: 0 cm, Hanging: 0.63 cm, SpaceAfter: 0 pt, Add space between paragraphs of the same style,Line spacing: single, Outline numbered + Level: 1 +Numbering Style: 1, 2, 3, … + Start at: 1 + Alignment: Left +Aligned at: 0 cm + Indent at: 0.63 cm


dipengaruhi risiko pemicu merupakan risiko yang akan dianalisis tingkatkemungkinan dan dampak.

Analisis Pengendalian Proses PO2Analisis dokumen arsitektur informasi dan analisis fakta pengendalian dengan

menggunakan kriteria control objectives dari ITGI menghasilkan kegambar petaketersediaan data, portofolio aplikasi dan portofolio infrastruktur TI simpulan terdapatbeberapa kelemahan pengendalian:KP.PO2.1. Arsitektur informasi belum didefinisikan pada level operasionalKP.PO2.2. Evaluasi terhadap arsitektur informasi belum dilakukanKP.PO2.3. Kamus data dan pedoman sintak belum disusunKP.PO2.4. Skema klasifikasi data belum dibuatKP.PO2.5. Kriteria integritas dan konsistensi data belum didefinisikan pada sebagian besar

data yang direncanakan dikelola.KP.PO2.6. Prosedur untuk menjamin integritas dan konsistensi data selama siklus data

belum ditetapkan pada sebagian besar jenis data yang direncanakan.

Formatted: Normal, Space Before: 6 pt, No bullets ornumbering, Tab stops: Not at 1.25 cm

Formatted: Font: Bold

Formatted: Font: Calibri, 11 pt, English (United States)

Formatted: Indent: Left: 0 cm, Hanging: 2 cm, Add spacebetween paragraphs of the same style, Line spacing: single,Outline numbered + Level: 1 + Numbering Style: 1, 2, 3, … +Start at: 1 + Alignment: Left + Aligned at: 0 cm + Indent at:0.63 cm, Tab stops: 2 cm, Left

Formatted: Space After: 0 pt, Add space betweenparagraphs of the same style, Line spacing: single, No bulletsor numbering


1.

1.1.1 Analisis Pengelolaan DataPengendalian Proses DS11di PusinfowasAnalisis dokumen arsitektur informasi dan analisis fakta pengendalian

menghasilkan simpulan tentang kelemahan pengendalian, yaitu:KP.DS11.1. Substansi data yang direkam belum mencakup semua jenis laporan hasil

pengawasan.KP.DS11.2. Penerapan prosedur perekaman dan reviu berjenjang hasil rekam data audit

belum berjalan optimal dan dijalankan dengan konsistenKP.DS11.3. Prosedur Penyimpanan dan Penguasaan data belum mencakup semua

database yang dihasilkan dari pengawasan BPKP.KP.DS11.4. Prosedur pengelolaan infrastruktur media penyimpanan belum disusun.KP.DS11.5. Prosedur pemusnahan data dan hardware yang menjamin keamanan data

belum disusunKP.DS11.6. Prosedur backup dan restorasi telah ditetapkan dan diterapkan pada data hasil

pengawasan, meskipun masih dirasakan belum optimal.KP.DS11.7. Skema dan prosedur keamanan pengelolaan setiap jenis data berdasarkan

tingkat sensitifitas, yang mencakup pula struktur dan direktori, wewenangakses direktori, wewenang perubahan terhadap logika data, dan distribusilaporan pengelolaan belum didefinisikan.

1.1.2 Hubungan Kelemahan Pengendalian dengan Risiko pada Proses PO23.2 Dari simpulan pengendalian diketahui beberapa risiko yang diidentifikasi

merupakansama dengan kelemahan pengendalian, diurai pada tabel 2:

Tabel 2 Kesamaan Risiko dengan Kelemahan Pengendalian Proses PO2

Nomor Risiko Nomor Simpulan PengendalianR.PO2.6 KP.PO2.2R.PO2.7 KP.PO2.3R.PO2.8 KP.PO2.3R.PO2.11 KP.PO2.4R.PO2.14 KP.PO2.6

Risiko yang sama dengan kelemahanpengendalian tidak dinilai tingkat kemungkinan dan dampaknya.

2.1.1 Hubungan Kelemahan Pengendalian dengan Risiko pada Proses DS11 danPO2

2.1.2 Dari simpulan pengendalian diketahui beberapa nama risiko yangdiidentifikasi sama dengan kelemahan pengendalian dan risiko pada proses PO2, dirincipada tabel 3:

Tabel 3 Kesamaan Risiko dengan Kelemahan Pengendalian Proses DS11

Nomor Risiko Nomor Simpulan Pengendalian atau R.PO2R.DS11.7 KP.DS11.6R.DS11.2 R.PO2.124.14 Pengaruh Kelemahan Pengendalian terhadap Pemicu dan Dampak

Risiko

Formatted: Default Paragraph Font, Font: (Default) TimesNew Roman, 12 pt, Bold, Font color: Auto, Check spelling andgrammar

Formatted: Font: Times New Roman, 12 pt, English (UnitedStates)

Formatted: List Paragraph, Justified, Space Before: 6 pt, Nobullets or numbering, Tab stops: Not at 1.25 cm


Formatted: Font: Times New Roman, 12 pt




Formatted: Indent: First line: 1.27 cm, Space After: 0 pt,Add space between paragraphs of the same style, Linespacing: single, No bullets or numbering

Formatted: Add space between paragraphs of the samestyle, Line spacing: single

Formatted Table

Formatted: Justified, Add space between paragraphs of thesame style





Formatted Table


Formatted: Indent: First line: 1.27 cm, Space After: 0 pt,Add space between paragraphs of the same style, Linespacing: single, No bullets or numbering

Formatted Table

Formatted: Font: 11 pt, Indonesian

Formatted: Font: 11 pt, English (United States)

Formatted: Left, Add space between paragraphs of the samestyle

Formatted Table


4.15 Pusinfowas BPKP4.16 N

o4.17 Nama

Risiko4.18 Pemicu risikoKelemahan Pengendalian

4.19 (manusia/proses/teknologi)4.20 1 4.21 Risiko

A4.22 ……4.23 ……4.24 Dst

4.25 2 4.26 RisikoB

4.27 ……4.28 ……4.29 Dst

4.30 …dst

4.31 4.32

Risiko yang sama dengan kelemahan pengendalian ataupun sama dengan risiko pada prosesPO2 tidak dinilai tingkat kemungkinan dan dampaknya.

Analisis dan Tabel 3.3 Formulir Penilaian Pengendalian

Evaluasi Risiko Proses PO2

Pada penelitian ini, metode yang digunakan untuk menilai tingkat kemungkinan dandampak risiko adalah kualitatif, karena proses PO2 bersifat strategis, dan Pusinfowas tidakmempunyai catatan pelaksanaan proses DS11. Penilaian tingkat kemungkinan oleh setiapresponden berdasarkan fakta kelemahan pengendalian, dan penilaian tingkat dampakberdasarkan persepsi responden tentang seberapa besar risiko berpengaruh terhadap tidaktercapainya sasaran.

Tabel 3.2 Formulir Pemicu dan Dampak RisiOpini kelompok untuk setiapperbandingan kemungkinan terjadinya risiko pada proses PO2 dan dampak risiko yangterjadi dijelaskan pada lampiran 1. Pada tabel 5, tingkat kemungkinan dan dampak setiaprisiko kemudian dihitung dengan cara menentukan bobot masing-masing elemen. Tingkatrisiko merupakan perkalian tingkat kemungkinan dan tingkat dampak, dan selanjutnyaprioritas risiko diurutkan dari tingkat risiko tertinggi.

Tabel 5 Analisis dan Evaluasi Risiko pada Proses PO2

R.PO.xx Tingkat kemungkinan Tingkat Dampak Tingkat Risiko Prioritas Risiko1 0,273 0,201 0,0549 12 0,258 0,209 0,0539 23 0,111 0,134 0,0149 34 0,059 0,088 0,0052 55 0,069 0,090 0,0062 49 0,067 0,053 0,0036 710 0,046 0,084 0,0039 612 0,031 0,037 0,0011 1013 0,047 0,049 0,0023 815 0,039 0,055 0,0021 9

Dari tabel 9 terlihat Risiko Definisi Informasi dan Risiko Ketersediaan Data merupakanrisiko yang perlu segera mendapat perhatian dari Pusinfowas, sebelum risiko-risiko yang

Formatted: Indonesian

Formatted: Left, Indent: Left: -0.57 cm, Hanging: 0.63 cm,Space After: 0 pt, Add space between paragraphs of thesame style, Line spacing: single, Outline numbered + Level: 1+ Numbering Style: 1, 2, 3, … + Start at: 1 + Alignment: Left+ Aligned at: 0 cm + Indent at: 0.63 cm

Formatted: Font: Bold


berkaitan dengan operasionalisasi arsitektur informasi seperti risiko inkonsistensipengembangan aplikasi, risiko duplikasi data dan risiko elemen data tidak kompatibelterjadi. Pusinfowas perlu untuk (1) mengkomunikasikan definisi informasi kepadastakeholders BPKP dan selanjutnya mendefinisikannya pada level operasional BPKPsebagai dasar perubahan proses bisnis, serta (2) menetapkan skema klasifikasi data danmendefinisikan mekanisme akuntabilitas data, terutama data dari pihak eksternal.

Evaluasi Risiko Proses DS11Opini kelompok untuk setiap perbandingan kemungkinan terjadinya risiko pada prosesDS11 dan dampak risiko yang terjadi dijelaskan pada lampiran 2. Dengan cara perhitunganyang sama, tingkat kemungkinan, tingkat dampak, tingkat risiko dan prioritas risiko prosesDS11 disajikan pada tabel 6.

Tabel 6 Analisis dan Evaluasi Risiko pada Proses DS11

R.DS.xx Tingkat kemungkinan Tingkat Dampak Tingkat Risiko Prioritas Risiko1 0,248 0,195 0,0484 13 0,096 0,096 0,0092 44 0,082 0,099 0,0081 65 0,033 0,042 0,0014 9R.DS.xx Tingkat kemungkinan Tingkat Dampak Tingkat Risiko Prioritas Risiko6 0,027 0,032 0,0009 108 0,183 0,153 0,0280 29 0,111 0,114 0,0127 310 0,095 0,090 0,0086 511 0,052 0,071 0,0037 812 0,073 0,108 0,0079 7

Dari tabel 10 terlihat Risiko Kualitas Data Input dan Risiko Data Kritis merupakan risiko-risiko yang paling mempengaruhi proses DS11, sehingga Pusinfowas perlu mendefinisikansubstansi data internal yang akan direkam untuk semua jenis hasil pengawasan, danmengidentifikasi data berdasarkan tingkat kekritisannya untuk selanjutnya menetapkanlangkah pengelolaan keamanan.Tahap evaluasi risiko merupakan tahap untuk menentukan tingkat kemungkinan(likelihood) dan dampak (impact) sehingga kombinasi keduanya menghasilkan tingkatrisiko setiap risiko. Pengukuran tingkat kemungkinan maupun dampak risikomemanfaatkan risiko-risiko yang telah diidentifikasi sebagai elemen keputusan. Formulirpada tabel 3.4 akan digunakan untuk memperbandingkan tingkat kemungkinan maupundampak antar risiko :PUSINFOWAS BPKPPembandingan Kemungkinan / Dampak Risiko

Risiko 1 9 7 5 3 1 3 5 7 9 Risiko 1

Risiko 1 9 7 5 3 1 3 5 7 9 Risiko 2

Risiko 1 9 7 5 3 1 3 5 7 9 Risiko 3

Risiko 2 9 7 5 3 1 3 5 7 9 Risiko 2

Risiko 2 9 7 5 3 1 3 5 7 9 Risiko 3

Formatted ... [1]Formatted ... [2]Formatted ... [3]

Formatted ... [4]

Formatted ... [5]

Formatted ... [6]

Formatted ... [7]

Formatted ... [8]

Formatted ... [9]

Formatted ... [10]

Formatted ... [11]

Formatted ... [12]

Formatted ... [13]

Formatted ... [14]

Formatted ... [15]

Formatted ... [16]

Formatted ... [17]

Formatted ... [18]

Formatted ... [19]Formatted ... [20]


Formatted ... [23]

Formatted ... [24]

Formatted ... [25]

Formatted ... [26]

Formatted ... [27]

Formatted ... [28]

Formatted ... [29]

Formatted ... [30]

Formatted ... [31]

Formatted ... [32]

Formatted ... [33]

Formatted ... [34]

Formatted ... [35]

Formatted ... [36]

Formatted ... [37]



Formatted ... [42]

Formatted ... [43]

Formatted ... [44]

Formatted ... [45]

Formatted ... [46]

Formatted ... [47]

Formatted ... [48]

Formatted ... [49]

Formatted ... [50]

Formatted ... [51]

Formatted ... [52]

Formatted ... [53]

Formatted ... [54]

Formatted ... [55]

Formatted ... [56]



Formatted ... [61]

Formatted ... [62]

Formatted ... [63]

Formatted ... [64]

Formatted ... [65]

Formatted ... [66]

Formatted ... [67]

Formatted ... [68]

Formatted ... [69]

Formatted ... [70]

Formatted ... [71]

Formatted ... [72]

Formatted ... [73]

Formatted ... [74]

Formatted ... [75]



Formatted ... [80]

Formatted ... [81]

Formatted ... [82]

Formatted ... [83]

Formatted ... [84]

Formatted ... [85]

Formatted ... [86]

Formatted ... [87]

Formatted ... [88]

Formatted ... [89]

Formatted ... [90]

Formatted ... [91]

Formatted ... [92]

Formatted ... [93]

Formatted ... [94]



….dst 9 7 5 3 1 3 5 7 9 …dstTabel 3.4 Formulir pembandingan kemungkinan / dampak setiap risikoJadwal

PenelitianTesis ini direncanakan selesai dalam waktu 3 bulan dengan jadwal kegiatan sebagai

berikut:

No. Kegiatan

Bulan Ke 1 Bulan Ke 2 Bulan Ke 3

1 2 3 4 1 2 3 4 1 2 3 41 Pengumpulan data umum

2 Identifikasi sasaran TICOBIT

3 Identifikasi proses TI terkait

4 Identifikasi Risiko

5 Analisis Pemicu danDampak

6 Analisis Pengendalian

7 Evaluasi Risiko

KE

Formatted: sub bab

Formatted: sub bab, Left

Formatted: sub bab


Formatted: sub bab


Formatted: sub bab


Formatted: sub bab


Formatted: sub bab


Formatted: sub bab


Formatted: sub bab


Formatted: sub bab


Formatted: sub bab


SIMPULAN

Dari hasil pemetaan menunjukkan bahwa sasaran TI menurut ITGI yangmenunjukkan keterkaitan paling erat dengan sasaran strategis TI BPKP adalah OptimalisasiPenggunaan Informasi. Sasaran ini dicapai dengan 2 (dua) proses utama TI yaitu prosesPO2 dan proses DS11. Pada proses PO2 teridentifkasi risiko sebanyak 15 risiko, dan padaproses DS11 teridentifikasi risiko sebanyak 12 risiko. Setelah melalui proses analisis danevaluasi, risiko-risiko yang paling mempengaruhi keberhasilan proses PO2 adalah risikodefinisi informasi dan risiko ketersediaan data. Pada proses DS11, risiko-risiko yang palingmempengaruhi keberhasilan proses yaitu risiko kualitas data input dan risiko data kritis.

SARAN

1) Sebagai jaminan tercapainya sasaran TI, Pusinfowas perlu menguraikan rencanakegiatan dan alokasi sumber daya melalui mekanisme penganggaran yang ada dalamrangka pelaksanaan rencana penanganan risiko yang efektif.

2) Melakukan identifikasi risiko untuk sasaran TI lain yang diprioritaskan terutamafleksibilitas dan kecepatan fasilitas TI terhadap perubahan BPKP, jaminan keselarasandengan strategi BPKP, serta jaminan transaksi bisnis dan pertukaran informasi yangterotomatisasi dan terpercaya.

DAFTAR PUSTAKA

Badan Pengawasan Keuangan dan Pembangunan (2008), Arsitektur Pengembangan SistemInformasi BPKP.

Ciptomulyono (2003), Model Multi Criteria Decision Making (MCDM) dan Teknometrikuntuk Pengukuran dan Manajemen Teknologi di Sektor Industri

Hadi, Untung Julianto (2011), Perancangan Model Tata Kelola PengorganisasianKecepatan dan Fleksibilitas Layanan Teknologi Informasi pada Rumah Sakit JiwaMenur Surabaya

Information Systems Audit and Control Association (2003), “IS AuditingGuideline:System Development Life Cycle Review”, document G23

Loudon, K.C dan Loudon, J.P, (2002), “Management Information Systems: Managing TheDigital Firm”, Edisi 7.

National Institute of standar and Technology (2002), “Risk Management Guide forInformations Technology System”, Special Publication 800-30

Nugroho, Caesar (2008), Operational Risk Management on The Information TechnologyUses (case study: Bank Ekspor Indonesia)

Peraturan Pemerintah Nomor 60 tahun 2009 tentang Sistem Pengendalian InternPemerintah

Formatted: Left

Formatted: Space Before: 0 pt, After: 0 pt, Add spacebetween paragraphs of the same style, Line spacing: single

Formatted: sub bab, Left, Outline numbered + Level: 2 +Numbering Style: 1, 2, 3, … + Start at: 1 + Alignment: Left +Aligned at: 0 cm + Indent at: 0.63 cm

Formatted: Justified, Indent: Left: 0.06 cm

Formatted: Font: Not Bold

Formatted: Justified, Indent: Left: 0 cm, Hanging: 1.27 cm,Space After: 0 pt, Line spacing: single


Risk Management Instititute (2002), ”A Risk Management Standard”.

The Committee of Sponsoring Organization of The Treadway Commission (2004), “TheEnterprise Risk Management-Integrated Framework”.

The IT Governance Institute (2004), “Control Objectives for Information and relatedTechnology (COBIT)”, versi 4.1

The International Standar Organization (2009), ”Risk Management – Principles andGuidelines”, ISO/FDIS 31000

Lampiran 1


SASARAN TEKNOLOGI INFORMASI

MENURUT COBIT 4.1

Lampiran 2


PROSES-PROSES TEKNOLOGI INFORMASIMENURUT COBIT 4.1

Prosiding Seminar Nasional Manajemen Teknologi XVIProgram Studi MMT-ITS, Surabaya 14 Juli 2012

ISBN : 978-602-97491-5-1C-2-2


ISBN : 978-602-97491-5-1C-2-3

Lampiran 1OPINI KELOMPOK PROSES PO2

TINGKAT KEMUNGKINAN DAN DAMPAK

1. Proses PO2Tingkat Kemungkinan

R.PO.xx 1 2 3 4 5 9 10 12 13 151 1,26 4,07 5,29 4,57 4,71 5,71 6,57 4,86 4,572 4,07 4,86 4,86 4,57 5,57 6,43 4,71 4,433 2,55 2,36 2,39 2,62 3,55 2,48 2,484 1,13 1,20 1,51 2,12 1,18 1,565 1,70 1,95 2,89 2,09 1,199 2,44 3,11 1,79 2,4110 2,05 1,84 1,2312 0,99 1,1113 2,8215

Inconsistency ratio yang dihitung sebesar 0,04

2. Tingkat DampakR.PO.xx 1 2 3 4 5 9 10 12 13 151 1,01 1,98 2,71 2,69 4,71 2,43 4,36 3,21 2,852 2,17 2,93 2,81 4,79 2,57 4,50 3,36 2,893 1,93 1,79 4,11 1,62 3,43 2,55 2,144 1,21 3,31 0,90 2,57 1,82 1,235 3,46 1,05 2,71 1,96 1,449 1,17 2,27 1,40 1,2710 3,00 2,39 1,5412 1,12 0,7313 1,5715

Inconsistency ratio yang dihitung melalui EC 2000 sebesar 0,03


ISBN : 978-602-97491-5-1C-2-4

Lampiran 2OPINI KELOMPOK PROSES DS11

TINGKAT KEMUNGKINAN DAN DAMPAK

1. Tingkat KemungkinanR.DS.xx 1 2 3 4 5 9 10 12 13 151 3,43 3,95 5,14 5,67 1,83 2,76 3,19 4,05 2,643 1,62 2,93 3,00 0,56 1,18 1,20 1,81 1,064 2,69 2,57 0,72 1,00 1,01 1,76 0,765 1,52 0,18 0,26 0,30 0,82 0,276 0,18 0,22 0,22 0,46 0,308 2,29 2,71 3,86 3,399 1,43 2,62 2,4910 2,19 2,1411 1,3312

Inconsistency ratio yang dihitung sebesar 0,03

2. Tingkat DampakR.DS.xx 1 2 3 4 5 9 10 12 13 151 3,14 2,21 4,33 4,48 1,75 1,89 1,76 2,07 1,463 1,10 3,05 3,06 0,87 0,98 0,98 1,03 0,764 3,02 2,93 0,88 0,90 0,94 1,12 1,055 1,89 0,30 0,33 0,51 0,73 0,326 0,24 0,28 0,36 0,35 0,318 1,71 2,14 3,07 1,849 1,57 1,93 1,2210 1,50 0,8411 0,5712

Inconsistency ratio yang dihitung melalui EC 2000 sebesar 0,01

[1] Formatted Mohammad Fahmi Kurniawan 08/05/2012 09:25:00

sub bab

Page 13: [2] Formatted Mohammad Fahmi Kurniawan 08/05/2012 09:25:00

sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab


sub bab, Left


sub bab

model penilaian risiko penggunaan …mmt.its.ac.id/download/semnas/semnas xvi/mti/2. mohammad...1...

Documents