skripsi evaluasi manajemen risiko teknologi informasi
TRANSCRIPT
SKRIPSI
EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI MENGGUNAKAN
FRAMEWORK COBIT 5 DAN ISO 31000:2018 PADA PT. SOLUSI INTEGRASI
TEKNOLOGI
Skripsi ini Diajukan Sebagai Syarat Melaksanakan Kewajiban Studi
Strata Satu (SI) Program Studi Sistem Informasi
Disusun Oleh :
NESYA AMELIA
11160930000068
PROGRAM STUDI SISTEM INFORMASI
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKARTA
2020 M / 1441 H
EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI MENGGUNAKAN
FRAMEWORK COBIT 5 DAN ISO 31000:2018 PADA PT. SOLUSI INTEGRASI
TEKNOLOGI
Sebagai Salah Satu Syarat untuk Memperoleh Gelar Sarjana Komputer
Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
Disusun Oleh:
Nesya Amelia
11160930000068
PROGRAM STUDI SISTEM INFORMASI
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKARTA
2021 M/ 1442 H
ii
A’ang Subiyakto, Ph.D
LEMBAR PENGESAHAN
EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI MENGGUNAKAN
FRAMEWORK COBIT 5 DAN ISO 31000:2018 PADA PT. SOLUSI INTEGRASI
TEKNOLOGI
Disusun Oleh:
Nesya Amelia
11160930000068
Menyetujui,
Pembimbing 1
Nur Aeni Hidayah, MMSI
NIP.197508182005012008
Pembimbing 2
Suci Ratnawati, MTI
NIDN. 0306076904
Mengetahui,
Ketua Program Studi Sistem Informasi Fakultas Sains dan Teknologi
UIN Syarif Hidayatullah Jakarta
NIP. 19760219 200710 1 002
iii
A’ang Subiyakto, Ph.D
LEMBAR PENGESAHAN UJIAN
Skripsi yang berjudul Evaluasi Manajemen Risiko Teknologi Informasi Menggunakan
Framework COBIT 5 dan ISO 31000:2018 Pada PT. Solusi Integrasi Teknologi yang
ditulis oleh Nesya Amelia, NIM 11160930000068 telah diuji dan dinyatakan lulus dalam
sidang Munaqosah Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif
Hidayatullah Jakarta pada hari Kamis, 16 September 2021. Skripsi ini telah diterima sebagai
salah satu syarat gelar sarjana strata satu (S1) program studi Sistem Informasi.
Menyetujui
Penguji I
Fitroh, M.Kom
NIP. 19790923 200912 2 006
Penguji II
Sarip Hidayatuloh, MMSI
NIP. 19750811 200912 1 001
Pembimbing I
Nur Aeni Hidayah, MMSI
NIP. 19750818 200501 2 008
Pembimbing II
Suci Ratnawati, MTI
NIDN. 306076904
,
Mengetahui,
Dekan Fakultas Sains dan Teknologi
Nashrul Hakiem, S.Si.,M.T., Ph.D
NIP. 19710608200501 1 005
Ketua Program Studi Sistem Informasi
NIP. 19760219 200710 1 002
iv
LEMBAR PERNYATAAN
DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR-BENAR
HASIL KARYA SENDIRI DAN BELUM PERNAH DIAJUKAN SEBAGAI
SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGKAT TINGGI
ATAU LEMBAGA MANAPUN.
Jakarta, 21 Oktober 2021
NESYA AMELIA
NIM. 11160930000068
v
ABSTRAK
Nesya Amelia – 11160930000068. Evaluasi Manajemen Risiko Teknologi
Informasi Menggunakan Framework COBIT 5 dan ISO 31000:2018 pada PT.
Solusi Integrasi Teknologi. Dibawah bimbingan Nur Aeni Hidayah dan Suci
Ratnawati.
Penerapan IT Governance pada suatu organisasi dapat membantu organisasi dalam
mencapai tujuan dalam proses bisnisnya. Dengan menerapkan TI pada proses bisnis
juga dapat meningkatkan risiko negatif terhadap tujuan organisasi. Ketergantungan
organisasi terhadap TI akan semakin memperbesar dampak risiko terhadap
organisasi. Penting sekali sebuah organisasi mengatur manajemen risiko TI. PT.
Solusi Integrasi Teknologi dalam menjalankan proses bisnis nya banyak
menggunakan teknologi informasi, oleh karena itu muncul beberapa permasalahan
yang dihadapi seperti pada tahun 2019 terjadi kerusakan database dikarenakan mati
listrik dan fungsi back-up belum dijalankan, sehingga pekerjaan terkait pembuatan
software harus berhenti sementara dan menimbulkan keterlambatan dalam
menyelesaikan proyek tersebut. Dengan muncul permasalahan ini perlu dilakukan
evaluasi manajemen terhadap risiko TI. Penelitian ini bertujuan untuk mengetahui
tingkat kapabilitas manajemen risiko TI dengan menggunakan metodologi Process
Assessment Model (PAM) COBIT 5 dan penilaian risiko menggunakan metodologi
OWASP Risk Rating Methodology serta memberikan langkah mitigasi berdasarkan
framework ISO 31000:2018. Hasil dari penelitian ini tingkat capability saat ini
berada pada level 2 (Managed Process) dan hasil dari penilaian risiko menunjukkan
terdapat 3 risk issue masuk kedalam level high dan 5 risk issue masuk kedalam level
low. Sehingga PT. Solusi Integrasi Teknologi direkomendasikan untuk menerapkan
langkah mitigasi dengan prinsip ISO 31000:2018 dan implementasi IT Continuity
Plan atau Business Continuity Plan sebagai upaya mencapai tingkat kapabilitas
yang diharapkan.
Kata Kunci : IT Governance, Manajemen Risiko TI, PAM, Penilaian Risiko, ISO
31000:2018, IT Continuity Plan
Bab I-V + 285 Halaman + 21 Gambar + 86 Tabel + Daftar Pustaka + Lampiran
Pustaka Acuan (58, 2000 – 2020)
vii
KATA PENGANTAR
Assalamu’alaikum Wr. Wb.
Segala puji bagi Allah SWT penulis panjatkan atas limpahan rahmat dan
karunia-Nya sehingga penulisa dapat menyelesaikan skripsi yang berjudul
“Evaluasi Manajemen Risiko Teknologi Informasi Menggunakan Framework
COBIT 5 dan ISO 31000:2018 pada PT. Solusi Integrasi Teknologi”. pada
kesempatan yang diberikan ini, penulis ingin menyampaikan ucapan terima kasih
kepada pihak-pihak yang telah mendukung dan mendoakan penulis sepanjang
proses pembuatan skripsi ini. Rasa terima kasih yang sebesar-besarnya penulis
sampaikan kepada:
1. Bapak Nashrul Hakiem, S.Si., M.T., Ph.D selaku Dekan Fakultas Sains dan
Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta.
2. Bapak A’ang Subiyakto, M.Kom., Ph.D selaku Ketua Program Studi Sistem
Informasi Fakultas Sains dan Teknologi.
3. Ibu Nur Aeni Hidayah, MMSI selaku Dosen Pembimbing I dan Ibu Suci
Ratnawati, MT selaku Dosen Pembimbing II yang telah memberikan ilmu,
dukungan dan bimbingannya selama proses penyusunan laporan ini
sehingga terselesaikan dengan baik.
4. Ibu Fitroh, M.Kom selaku Dosen Penguji I dan Bapak Sarip Hidayatuloh,
MMSI selaku Dosen Penguji II yang telah memberikan ilmu dan saran pada
penelitian ini.
viii
5. Dosen-dosen Program Studi Sistem Informasi yang telah memberikan ilmu
dan dukungan selama penulisan berproses dan belajar di bangku
perkuliahan.
6. Orang Tua penulis yang tiada hentinya memberikan doa, dukungan baik
materi serta kasih sayang kepada penulis sehingga dapat menyelesaikan
skripsi ini. Semoga Allah senantiasa melindungi kalian.
7. Teman-teman Sistem Informasi khususnya SI C 2016 yaitu farah, adli,
chandra yang selalu memberikan semangat dan bantuannya. Teman-teman
Muslimah yaitu Novi, Neera, Salsa dan Rovi yang selalu siap membantu
dan mendukung penulis selama proses skripsi. Kalian teman terbaik.
8. Teman-teman Telescoope yaitu Kak Aldo, Kak Willy, Kak Wawa, Zahra,
Raka, Rangga, Hamdi yang selalu menghibur dan memberikan penulis
dukungan untuk menyelesaikan skripsi ini.
9. Alda dan Dewi yang selalu memberikan dukungan dan doa sehingga penulis
bisa menyelesaikan skripsi.
Saat penyusunan skripsi ini, penulis menyadari bahwa masih adanya
kekurangan dalam peneilitian karena berbagai keterbbatasan seperti ilmu dan
waktu yang dimiliki. Untuk itu, kritik maupun saran penulis terima dan dapat
disampaikan via email [email protected].
Jakarta, 21 Oktober 2021
NESYA AMELIA
NIM. 11160930000068
x
DAFTAR ISI
LEMBAR PENGESAHAN ............................................................................. ii
ABSTRAK ........................................................................................................ iv
DAFTAR ISI ................................................................................................... vii
DAFTAR GAMBAR ..................................................................................... xiv
DAFTAR TABEL .......................................................................................... xvi
BAB I ............................................................................................................... xx
PENDAHULUAN ............................................................................................. 1
1.1 Latar Belakang .......................................................................................... 1
1.2 Identifikasi Masalah................................................................................ 10
1.3 Rumusan Masalah ................................................................................... 10
1.4 Batasan Masalah ..................................................................................... 11
1.5 Tujuan Penelitian .................................................................................... 11
1.6 Manfaat Penelitian .................................................................................. 12
1.6.1 Bagi Perusahaan ............................................................................... 12
1.6.2 Bagi Penulis .......................................................................................... 12
1.7 Metodologi Penelitian ............................................................................. 12
1.7.1 Metode Pengumpulan Data .............................................................. 12
1.7.2 Metode Analisis Data............................................................................ 13
1.8 Waktu dan Tempat Penelitian .................................................................... 15
1.9 Sistematika Penulisan ................................................................................. 15
BAB II .............................................................................................................. 18
LANDASAN TEORI ...................................................................................... 19
2.1 Pengertian Evaluasi ................................................................................ 19
2.2 Tata Kelola Teknologi Informasi ................................................................ 19
2.2.1 Pengertian Tata Kelola ..................................................................... 19
2.2.2 Pengertian Teknologi Informasi ...................................................... 20
2.2.3 Kegunaan Tata Kelola Teknologi Informasi .................................... 20
2.3 Framework Tata Kelola Teknologi Informasi........................................ 21
2.3.1 ITIL ...................................................................................................... 21
2.3.2 ISO ........................................................................................................ 21
xi
2.3.3 COSO ................................................................................................... 22
2.3.4 CMMI ................................................................................................... 22
2.3.5 COBIT .................................................................................................. 23
2.4 COBIT 5 ................................................................................................. 24
2.4.1 Prinsip COBIT 5 ................................................................................... 25
2.4.2 7 Enablers ........................................................................................ 27
2.4.3 Tahap Implementasi COBIT 5 .............................................................. 29
2.4.4 Process Reference Model (PRM) ..................................................... 32
2.4.5 Process Assessment Model (PAM) .................................................. 42
2.4.6 Process Capability Model (Model Proses Kapabilitas) ........................ 45
2.4.7 RACI (Responsible, Accountable, Consulted, Informed) Chart ........... 66
2.5 Pemetaan Tujuan TI Terhadap Proses COBIT 5 ......................................... 70
2.6 Fokus Area Tata Kelola Teknologi Informasi ............................................. 74
2.7 ISO 31000:2018 .......................................................................................... 75
2.7.1 Prinsip ISO 31000:2018 ....................................................................... 78
2.7.2 Framework ISO 31000:2018 ................................................................ 79
2.7.3 Proses ISO 31000:2018 ........................................................................ 80
2.8 Risiko ........................................................................................................... 80
2.9 Risiko IT ...................................................................................................... 81
2.10 Manajemen Risiko TI ................................................................................ 82
2.11 Risk Assessment ......................................................................................... 83
2.11.1 OWASP Risk Rating Methodology ..................................................... 83
2.11.2 Risk Likelihood ................................................................................... 84
2.11.3 Risk Impact ......................................................................................... 86
2.11.4 Risk Severity ........................................................................................ 87
2.12 Risk Response ............................................................................................ 88
2.13 Business Continuity Plan ........................................................................... 88
2.14 Disaster Recovery Plan ............................................................................. 89
2.15 Metode Penelitian ...................................................................................... 90
2.15.1 Metode Pengumpulan Data ................................................................. 91
2.15.2 Metode Analisis Data.......................................................................... 91
2.15.3 Metode Perhitungan Skala Likert ....................................................... 93
xii
2.16 Penelitian Sejenis .................................................................................. 95
BAB III .......................................................................................................... 106
METODOLOGI PENELITIAN ................................................................. 107
3.1 Desain Penelitian ....................................................................................... 107
3.2 Initiation .................................................................................................... 108
3.2.1 Observasi ............................................................................................ 108
3.2.3 Wawancara ......................................................................................... 108
3.2.4 Kuesioner ............................................................................................ 109
3.2.5 Studi Pustaka .................................................................................. 110
3.3 Planning the Assessment ...................................................................... 111
3.4 Briefing ...................................................................................................... 115
3.5 Data Collection ..................................................................................... 115
3.6 Data Validation..................................................................................... 116
3.7 Process Attribute Level ......................................................................... 116
3.8 Penilaian Risiko .................................................................................... 116
3.9 Reporting the Result ............................................................................. 116
3.10 Kerangka Penelitian ............................................................................ 117
BAB IV .......................................................................................................... 119
HASIL DAN PEMBAHASAN .................................................................... 120
4.1 Initiation .................................................................................................... 120
4.1.1 Gambaran Umum PT. Solusi Integrasi Teknologi .............................. 120
4.1.2 Visi dan Misi PT. Solusi Integrasi Teknologi .................................... 120
4.1.3 Struktur Organisasi PT. Solusi Integrasi Teknologi ........................... 120
4.1.4 Peran dan Tanggung Jawab ................................................................ 121
4.1.5 Struktur Organisasi Divisi IT PT. Solusi Teknologi Informasi .......... 122
4.2 Planning the Assessment ...................................................................... 124
4.2.1 Penentuan Area Penelitian .................................................................. 124
4.2.2 Penentuan Responden dengan RACI Chart ........................................ 124
4.2.3 Uji Coba Instrumen ............................................................................. 126
4.2.4 Rincian Jawaban Kuesioner EDM03 (Ensure Risk Optimisation) ..... 127
4.2.5 Rincian Jawaban Kuesioner APO12 (Manage Risk) .......................... 130
4.2.6 Rincian Jawaban Kuesioner APO13 (Manage Security) .................... 142
xiii
4.2.7 Rincian Jawaban Kuesioner BAI06 (Manage Changes) ..................... 150
4.3 Briefing ...................................................................................................... 156
4.4 Data Collection ......................................................................................... 157
4.4.1 Proses EDM03 .................................................................................... 157
4.4.2 Proses APO12 ..................................................................................... 158
4.4.3 Proses APO13 ..................................................................................... 159
4.4.4 Proses BAI06 ...................................................................................... 160
4.5 Data Validation ......................................................................................... 161
4.6 Process Attribute Level ......................................................................... 176
4.6.1 Penentuan Nilai Kapabilitas................................................................ 176
4.6.2 Penentuan Level Kapabilitas .............................................................. 184
4.6.3 Pencapaian Proses .......................................................................... 189
4.6.4 Penilaian Risiko.............................................................................. 206
4.7 Reporting the Result ............................................................................. 212
4.7.1 Hasil Capability Level .................................................................... 212
4.7.2 Gap & Rekomendasi Proses EDM03 ............................................. 213
4.7.3 Gap & Rekomendasi Proses APO12 .............................................. 215
4.7.4 Gap & Rekomendasi Proses APO13 .................................................. 218
4.7.5 Gap & Rekomendasi Proses BAI06 .................................................... 219
4.7.6 Hasil Penilaian Risiko .................................................................... 221
4.7.7 Mitigasi Risiko .................................................................................... 223
BAB V ............................................................................................................ 228
KESIMPULAN DAN SARAN .................................................................... 228
5.1 Kesimpulan ............................................................................................... 228
5.2 Saran .......................................................................................................... 229
DAFTAR PUSTAKA ................................................................................... 230
LAMPIRAN ................................................................................................. xxvi
xv
DAFTAR GAMBAR
Gambar 2. 1 Prinsip COBIT 5 (ISACA. 2012b) ................................................. 25
Gambar 2. 2 COBIT 5 Governance and Management Key Areas (ISACA. 2012b)
............................................................................................................................... 27
Gambar 2. 3 COBIT 5 Enterprise Enablers (ISACA. and Lainhart 2012) ......... 29
Gambar 2. 4 Tahap Implementasi COBIT 5 (ISACA. and Lainhart 2012) ........ 30
Gambar 2. 5 COBIT 5 Process Reference Model (ISACA. and Lainhart 2012) 33
Gambar 2. 6 Assessment Indicators (ISACA 2013) ............................................ 43
Gambar 2. 7 Capability Levels and Process Attributes (ISACA 2013) .............. 45
Gambar 2. 8 Diagram RACI EDM03 (ISACA 2012) ......................................... 67
Gambar 2. 9 Mapping COBIT 5 Enterprise Goals to Governance and
Management Questions (ISACA. and Lainhart 2012) .......................................... 70
Gambar 2. 10 Mapping COBIT 5 Enterprise Goals to IT-related Goals (ISACA.
and Lainhart 2012) ................................................................................................ 71
Gambar 2. 11 Mapping COBIT 5 IT-Related Goals to Processes (ISACA. and
Lainhart 2012) ....................................................................................................... 73
Gambar 2. 12 Prinsip ISO 31000:2018 (Susilo 2018) ......................................... 78
Gambar 2. 13 Framework ISO 31000:2018 (Susilo 2018) ................................. 79
Gambar 2. 14 Process ISO 31000:2018 (Susilo 2018) ....................................... 80
Gambar 3. 1 Kerangka Penelitian ...................................................................... 118
Gambar 4. 1 Struktur Organisasi PT. Solusi Integrasi Teknologi ..................... 121
Gambar 4. 2 Struktur Organisasi Divisi IT PT. Solusi Integrasi Teknologi ...... 123
Gambar 4. 3 Grafik Proses EDM03 (Ensure Risk Optimisation) ...................... 184
Gambar 4. 4 Grafik Proses APO12 (Manage Risk) ........................................... 186
Gambar 4. 5 Grafik Proses APO13 (Manage Security) ..................................... 187
Gambar 4. 6 Grafik Proses BAI06 (Manage Changes) ..................................... 188
xvi
DAFTAR TABEL
Tabel 2. 1 Process Performance (ISACA 2013) .................................................. 46
Tabel 2. 2 Performance Management (ISACA 2013) .......................................... 47
Tabel 2. 3 Work Product Management (ISACA 2013) ........................................ 49
Tabel 2. 4 Process Definition (ISACA 2013) ...................................................... 51
Tabel 2. 5 Process Deployment (ISACA 2013) ................................................... 54
Tabel 2. 6 Process Measurement (ISACA 2013) ................................................. 57
Tabel 2. 7 Process Control (ISACA 2013) .......................................................... 59
Tabel 2. 8 Process Innovation (ISACA 2013) ..................................................... 61
Tabel 2. 9 Process Optimisation (ISACA 2013) .................................................. 64
Tabel 2. 10 Perbedaan ISO 31000:2019 dan ISO 31000:2009 ............................ 76
Tabel 2. 11 Kategori Risk Severity ....................................................................... 87
Tabel 2. 12 Diagram RACI PT. Solusi Integrasi Teknologi .............................. 109
Tabel 3. 1 Pemetaan RACI Chart ke Struktur Organisasi Proses EDM03 ......... 113
Tabel 3. 2 Pemetaan RACI Chart ke Struktur Organisasi Proses APO12 .......... 114
Tabel 3. 3 Pemetaan RACI Chart ke Struktur Organisasi Proses APO13 .......... 114
Tabel 3. 4 Pemetaan RACI Chart ke Struktur Organisasi Proses BAI06 ........... 115
Tabel 4. 1 Pemetaan Diagram RACI Proses EDM03 ......................................... 125
Tabel 4. 2 Pemetaan Diagram RACI Proses APO12.......................................... 125
Tabel 4. 3 Pemetaan Diagram RACI Proses APO13.......................................... 126
Tabel 4. 4 Pemetaan Diagram Raci Proses BAI06 ............................................. 126
Tabel 4. 5 Rincian Jawaban Kuesioner EDM03.01 ........................................... 127
Tabel 4. 6 Rincian Jawaban Kuesioner EDM03.02 ........................................... 128
Tabel 4. 7 Rincian Jawaban Kuesioner EDM03.03 ........................................... 129
Tabel 4. 8 Rincian Jawaban Kuesioner APO12.01 ............................................ 130
Tabel 4. 9 Rincian Jawaban Kuesioner APO12.02 ............................................ 133
Tabel 4. 10 Rincian Jawaban Kuesioner APO12.03 .......................................... 135
Tabel 4. 11 Rincian Jawaban Kuesioner APO12.04 .......................................... 138
Tabel 4. 12 Rincian Jawaban Kuesioner APO12.05 .......................................... 139
Tabel 4. 13 Rincian Jawaban Kuesioner APO12.06 .......................................... 141
Tabel 4. 14 Rincian Jawaban Kuesioner APO13.01 .......................................... 142
xvii
Tabel 4. 15 Rincian Jawaban Kuesioner APO13.02 .......................................... 145
Tabel 4. 16 Rincian Jawaban Kuesioner APO13.03 .......................................... 148
Tabel 4. 17 Rincian Jawaban Kuesioner BAI06.01............................................ 150
Tabel 4. 18 Rincian Jawaban Kuesioner BAI06.02............................................ 152
Tabel 4. 19 Rincian Jawaban Kuesioner BAI06.03............................................ 153
Tabel 4. 20 Rincian Jawaban Kuesioner BAI06.04............................................ 155
Tabel 4. 21 Tahap Briefing ................................................................................. 156
Tabel 4. 22 Rekapitulasi Jawaban Kuesioner EDM03.01 (Evaluasi Manajemen
Risiko) ................................................................................................................. 161
Tabel 4. 23 Rekapitulasi Jawaban Kuesioner EDM03.02 (Mengarahkan
Manajemen Risiko) ............................................................................................. 162
Tabel 4. 24 Rekapitulasi Jawaban Kuesioner EDM03.03 (Mengawasi Manajemen
Risiko) ................................................................................................................. 163
Tabel 4. 25 Rekapitulasi Jawaban Kuesioner APO12.01 (Mengumpulkan Data)
............................................................................................................................. 164
Tabel 4. 26 Rekapitulasi Jawaban Kuesioner APO12.02 (Menganalisis Risiko)
............................................................................................................................. 164
Tabel 4. 27 Rekapitulasi Jawaban Kuesioner APO12.03 (Mempertahankan Profil
Risiko) ................................................................................................................. 165
Tabel 4. 28 Rekapitulasi Jawaban Kuesioner APO12.04 (Mengartikulasikan
Risiko) ................................................................................................................. 166
Tabel 4. 29 Rekapitulasi Jawaban Kuesioner APO12.05 (Mendefinisikan
portofolio tindakan manajemen risiko) ............................................................... 167
Tabel 4. 30 Rekapitulasi Jawaban Kuesioner APO12.06 (Menanggapi Risiko) 167
Tabel 4. 31 Rekapitulasi Jawaban Kuesioner APO13.01 (Membangun dan
memelihara sistem manajemen keamanan informasi) ........................................ 168
Tabel 4. 32 Rekapitulasi Jawaban Kuesioner APO13.02 (Menentukan dan
mengelola rencana perlakuan risiko keamanan informasi) ................................. 169
Tabel 4. 33 Rekapitulasi Jawaban Kuesioner APO13.03 (Memantau dan
Mengulas Sistem Manajemen Keamanan Informasi) ......................................... 170
xviii
Tabel 4. 34 Rekapitulasi Jawaban Kuesioner BAI06.01
(Mengevaluasi,memprioritaskan dan mengotorisasi permintaan perubahan) ..... 172
Tabel 4. 35 Rekapitulasi Jawaban Kuesioner BAI06.02 (Mengelola Perubahan
Darurat) ............................................................................................................... 173
Tabel 4. 36 Rekapitulasi Jawaban Kuesioner BAI06.03 (Melacak dan melaporkan
status perubahan) ................................................................................................. 174
Tabel 4. 37 Rekapitulasi Jawaban Kuesioner BAI06.04 (Menutup dan
mendokumentasikan perubahan) ......................................................................... 175
Tabel 4. 38 Penentuan Tingkat Kapabilitas EDM03 .......................................... 184
Tabel 4. 39 Penentuan Tingkat Kapabilitas APO12 ........................................... 185
Tabel 4. 40 Penentuan Tingkat Kapabilitas APO13 ........................................... 186
Tabel 4. 41 Penentuan Tingkat Kapabilitas BAI06 ............................................ 188
Tabel 4. 42 Proses EDM03 PA 1.1 Process Performance ................................. 190
Tabel 4. 43 Proses EDM03 PA 2.1 Performance Management ......................... 192
Tabel 4. 44 Proses EDM03 PA 2.2 Work Product Management ....................... 193
Tabel 4. 45 Proses APO12 PA 1.1 Process Performance .................................. 194
Tabel 4. 46 Proses APO12 PA 2.1 Performance Management .......................... 196
Tabel 4. 47 Proses APO12 PA 2.2 Work Product Management ........................ 198
Tabel 4. 48 Proses APO13 PA 1.1 Process Performance .................................. 198
Tabel 4. 49 Proses APO13 PA 2.1 Performance Management .......................... 200
Tabel 4. 50 Proses APO13 PA 2.2 Work Product Management ........................ 201
Tabel 4. 51 Proses BAI06 PA 1.1 Process Management ................................... 202
Tabel 4. 52 Proses BAI06 PA 2.1 Performance Management ........................... 204
Tabel 4. 53 Proses BAI06 PA 2.2 Work Product Management ......................... 205
Tabel 4. 54 Identifikasi Risiko ........................................................................... 207
Tabel 4. 55 Risk Likelihood ................................................................................ 208
Tabel 4. 56 Risk Impact ...................................................................................... 210
Tabel 4. 57 Risk Severity .................................................................................... 211
Tabel 4. 58 Overall Severity Map ....................................................................... 212
xix
Tabel 4. 59 Capability Level Proses EDM03 ..................................................... 213
Tabel 4. 60 Gap dan Rekomendasi EDM03 ....................................................... 214
Tabel 4. 61 Capability Level APO12 ................................................................. 216
Tabel 4. 62 Gap dan Rekomendasi APO12 ........................................................ 216
Tabel 4. 63 Capability Level APO13 ................................................................. 218
Tabel 4. 64 Gap dan Rekomendasi APO13 ........................................................ 218
Tabel 4. 65 Capability Level BAI06 .................................................................. 220
Tabel 4. 66 Gap dan Rekomendasi BAI06 ......................................................... 220
Tabel 4. 67 Hasil Penilaian Risiko ..................................................................... 222
Tabel 4. 68 Langkah Mitigasi ............................................................................. 223
1
BAB I
PENDAHULUAN
1.1 Latar Belakang
Berkembangnya teknologi saat ini memberikan dampak yang signifikan
terhadap suatu organisasi dan bisnis. Dengan berkembangnya teknologi
membuat tingkat persaingan antar organisasi kian meningkat. Banyak
organisasi yang melakukan penerapan Sistem Informasi (SI) dan Teknologi
Informasi (TI). Hal terpenting dalam penerapan TI adalah peran IT governance
untuk menyelaraskan strategi bisnis dan strategi teknologi informasi.
IT Governance adalah kumpulan kebijakan, proses / aktivitas dan
prosedur untuk mendukung pengoperasian TI agar hasilnya sejalan dengan
strategi bisnis (strategi organisasi) (Pramono et al., 2016). Peranan IT
governance sangat membantu dalam pencapaian tujuan suatu organisasi yang
menerapkan TI dalam proses bisnisnya, selain itu IT governance juga berperan
untuk membantu proses pengambilan keputusan. Fokus area IT governance
antara lain Strategic Alignment, Value Delivery, Risk Management, Resources
Management, Performance Measurement. Penggunaan TI juga dapat
meningkatkan risiko negatif terhadap tujuan perusahaan. Dimana
ketergantungan perusahaan terhadap TI akan semakin memperbesar dampak
risiko terhadap perusahaan. Risiko yang timbul akan berpengaruh proses kerja
yang tidak optimal, kerugian finansial, menurunnya kualitas perusahaan hingga
tidak tercapainya tujuan dari perusahaan (Setyaningrum, 2017) .
2
Risiko IT merupakan risiko yang diakibatkan dari penggunaan teknologi
informasi yang berpotensi menimbulkan dampak. Upaya dalam mengelola
risiko IT disebut dengan manajemen risiko IT (Arief, 2017). Menurut
Westerman (2007) manajemen risiko TI (Teknologi Informasi) merupakan
gabungan beberapa proses yang terdiri dari identifikasi, pengkajian,
pengembangan strategi mitigasi dan komunikasi risiko TI yang berpotensi
menimbulkan dampak negatif dan dapat merugikan organisasi.
PT. Solusi Integrasi Teknologi adalah perusahaan yang bergerak di
bidang teknologi informasi terutama dalam pembuatan software berkualitas di
berbagai sektor bidang bisnis. PT. Solusi Integrasi Teknologi menyediakan
layanan TI mulai dari Software Development, Maintenance Services,
Konsultasi IT, dan Analisa Bisnis Perusahaan. Dalam menjalankan bisnisnya,
PT. Solusi Integrasi menerapkan teknologi informasi berupa website yang
digunakan untuk penyebaran informasi terkait profil perusahaan dan layanan
dari perusahaan ini. Selain menerapkan teknologi informasi berupa website, PT.
Solusi Integrasi juga menggunakan cloud storage untuk mengarsipkan data
pegawai dan data perusahaan. Dalam pembuatan software untuk client, PT.
Solusi Integrasi Teknologi juga memanfaatkan teknologi informasi berupa
database server untuk meningkatkan kinerja software yang membutuhkan
penyimpanan data.
Berdasarkan hasil wawancara, kegiatan pengelolaan TI pada PT. Solusi
Integrasi Teknologi disadari belum maksimal karena keterbatasan SDM
3
(Sumber Daya Manusia) yang sedikit dan belum bisa sepenuhnya menghadapi
risiko yang dapat terjadi secara tiba-tiba. Terlihat dari penanganan risiko
dilakukan secara spontanitas dan hanya dilakukan oleh beberapa pegawai yang
dianggap bisa menangani risiko tersebut dikarenakan SDM yang terbatas. Pada
perusahaan ini juga, belum adanya dokumen standar prosedur untuk menangani
risiko, sehingga pengendalian risiko belum dikelola dengan baik. Pada tahun
2019, terjadi kejadian tidak terduga yaitu terjadinya mati listrik. Sebelum mati
listrik fungsi back-up data yang seharusnya dijalankan pada setiap 4 jam sekali
belum dijalankan hasilnya database ke rest/corrupt sehingga pekerjaan terkait
pembuatan software harus berhenti sementara dan menimbulkan keterlambatan
dalam menyelesaikan proyek tersebut. Sedangkan proses back-up data
merupakan salah satu upaya untuk mengurangi munculnya risiko TI.
Dari permasalahan diatas diperlukan perbaikan dalam tata kelola teknologi
informasi yang tepat untuk dapat mengendalikan dan meminimalisir risiko yang
akan datang. Dalam melakukan perbaikan atau evaluasi tata kelola teknologi
informasi dibutuhkan sebuah framework yang tepat agar hasil dari evaluasi dapat
dijadikan panduan untuk membuat rekomendasi langkah mitigasi risiko TI yang
lebih baik. Adapun beberapa framework yang dapat digunakan untuk mengevaluasi
risiko adalah ITIL (Information Technology Infrastructure Library), ISO
(International Organization for Standardization), COSO (Committee of Sponsoring
Organizations of the Treadway Commission), COBIT (Control Objective for
Information and Related Technology) , Risk IT Framework. Pada penelitian ini
framework yang akan digunakan untuk mengevaluasi risiko adalah Control
4
Objective for Information and Related Technology (COBIT) versi 5 dan
International Organization for Standardization (ISO) yang digunakan pada
penelitian ini ISO 31000:2018 khusus untuk manajemen risiko.
COBIT 5 merupakan panduan ISACA yang membahas mengenai tata kelola
dan manajemen IT. Dalam COBIT 5 saat ini terbagi menjadi 5 Domain yang terdiri
dari 37 proses. Adapun 5 Domain tersebut adalah Evaluate, Direct and Monitor
(EDM) 5 proses; Align, Plan and Organise (APO) 13 proses; Build, Acquire and
Operate (BAI) 10 proses; Deliver, Service and Support (DSS) 6 proses; dan
Monitor,Evaluate and Assess (MEA) 3 proses. COBIT 5 menyediakan kerangka
kerja yang membantu perusahaan dalam mencapai tujuan mereka dengan tata kelola
dan manajemen teknologi informasi (ISACA., 2012b). COBIT 5 memungkinkan TI
untuk mengatur dan mengelola secara menyeluruh dalam perusahaan, dengan
mempertimbangkan penuh bisnis dan bidang fungsional TI dari
tanggung jawab dan mempertimbangkan kepentingan terkait TI (Arief,
2017).
Penelitian sebelumnya membahas tentang evaluasi penerapan manajemen
risiko dengan menggunakan COBIT 5 Sub domain EDM03 (Ensure Risk
Optimisation). Hasil dari penelitian ini menyatakan perusahaan berada pada tingkat
kapabilitas pada level 1 performed process kategori largely achieved yang berarti
pada level ini proses yang diimplementasikan organisasi mencapai tujuan prosesnya
(Riadi et al., 2018).
5
Penelitian sebelumnya yang berjudul “Usulan Manajemen Risiko
Berdasarkan Standar SNI ISO/IEC 27001:2009 Menggunakan Indeks KAMI
(Keamanan Informasi) Studi Kasus : Badan Nasional Penempatan dan
Perlindungan Tenaga Kerja Indonesia (BNP2TKI)” memiliki hasil penelitian yaitu
tingkat kepentingan Teknologi Informasi dan Komunikasi termasuk ke dalam
kategori tinggi yaitu dengan skor 31 yang memiliki arti BNP2TKI membutuhkan
keamanan ekstra untuk melindungi asset atau informasi yang dimiliki (Dewi et al.,
2015).
Penelitian yang membahas evaluasi tata kelola teknologi informasi di rumah
sakit dengan menggunakan kerangka COBIT 5 memiliki hasil penelitian berupa
tingkat kapabilitas di rumah sakit tersebut pada kondisi saat ini berada pada level 3
dengan nilai 3,04 sedangkan kondisi yang diharapkan berada pada level 4 dengan
nilai 4,06 (Credo & Ratnawati, 2014).
Selain itu adapun penelitian evaluasi manajemen risiko pada Perusahaan
BUMN menggunakan Standar COBIT 5. Hasil penelitian menyebutkan bahwa
kemampuan perusahaan dalam menjalankan proses EDM03 dan APO12 sama-
sama berada pada level 1 yang berarti pada proses Ensure Risk Optimation dan
Managed Risk di PT TASPEN telah diimplementasikan, namun belum digunakan
secara optimal dalam mendukung bisnis proses dalam perusahaan (Aziz et al.,
2019).
Penelitian dengan judul “Evaluasi Manajemen Resiko Teknologi Informasi
Menggunakan Kerangka Kerja COBIT 5.0” dilakukan pada PT. Pegadaian yang
6
belum pernah melakukan evaluasi terhadap SI dan TI yang telah diterapkan
sehingga sampai saat ini bagian TI pada PT. Hasil dari penelitian ini berupa nilai
kapabilitas serta rekomendasi untuk pencapaian tingkat kapabilitas terkait proses
Evaluate, Direct, dan Monitor (M. Megawati & Syntia, 2018).
Penelitian sebelumnya yang berjudul “Manajemen Risiko Teknologi
Informasi Menggunakan ISO 31000:2018 (Studi Kasus : CV.XY)” membahas
standarisasi yang belum digunakan pada perusahaan tersebut khusus untuk bagian
IT. Hasil dari analisis tersebut adalah IT dari perusahaan tersebut belum memenuhi
standar ISO 31000:2018, dikarenakan dari beberapa tahapan pengamatan,
wawancara, serta penilaian terhadap risiko itu sendiri masih banyak temuan risiko
yang belum bisa terpecahkan oleh perusahaan (Mahardika et al., 2019b).
Penelitian sebelumnya membahas implementasi sistem informasi berbasis
ERP pada sebuah organisasi. Hasil dari penelitian didapatkan nilai capability level
untuk EDM03 pada level 2 dan APO12 pada level 1. Setelah itu dilakukan penilaian
risiko untuk kemudian menentukan langkah mitigasi risiko (Setyaningrum, 2017).
Penelitian dengan bahasan tentang adanya ancaman dan risiko TI yang
muncul seiring dengan penerapan IT Governance yang dapat mengganggu proses
bisnis yang berjalan. Hasil dari penelitian ini menunjukkan tingkat pengelolaan
risiko dan pengoptimalan risiko saat ini berada pada level 3 (Established Process)
dan berdasarkan hasil penilaian risiko terdapat 6 risk issue yang tingkat risikonya
di atas batas risk appetite (Firdaus, n.d.).
7
Penelitian bidang lain yang membahas tentang manajemen risiko ada pada
bidang pembiayaan murabahah pada Bank BRI Syariah. Hasil penelitian ini
menunjukkan bahwa proses pengelolaan risiko pembiayaan murabahah pada Bank
BRI Syariah dilakukan dengan treatment atau cara yang berbeda-beda, tergantung
dari jenis risikonya. Evaluasi manajemen risiko yang dilakukan oleh Bank BRI
Syariah yaitu dengan terus mengembangkan infrastruktur dan kapabilitas
manajemen risiko serta melakukan koordinasi langsung dari Bank Pusat. (Rosmini,
2016).
Penelitian berjudul Evaluasi Pelaksanaan Manajemen Risiko Teknologi
Informasi pada Kantor Arsip Daerah Kota Samarinda dengan Menggunakan The
Risk IT Framework. Hasil dari penelitian didapatkan proses pelaksanaan
manajemen risiko teknologi pada Kantor Arsip Daerah Kota Samarinda ada yang
beberapa target yang sudah dicapai dan masih ada target yang belum tercapai. Ini
ditunjukkan dengan atribut tingkat kematangan teknologi informasi yang sebagian
besar berada pada tingkat kematangan repeatable but intuitive dan defined process.
(Nurcahyo, 2013).
Pembahasan evaluasi manajemen risiko lainnya ada pada penelitian dengan
judul Evaluasi Manajemen Risiko Kantor Akuntan Publik (KAP) dalam Keputusan
Penerimaan Klien Berdasarkan Pertimbangan dari Risiko Klien, Risiko Audit dan
Risiko Bisnis KAP. Hasil penelitian ini menyebutkan bahwa manajemen risiko
KAP merupakan satu hal yang penting bagi profesi akuntan publik. Hal ini
dibuktikan secara empiris bahwa risiko klien, risiko audit dan risiko bisnis KAP
8
mempunyai dampak signifikan terhadap proses penerimaan klien di KAP. (Sensi,
2014).
Adapun penelitian dengan judul Evaluasi Manajemen Risiko Teknologi
Informasi Menggunakan Kerangka Kerja COBIT 5 (Studi Kasus pada Perum Jasa
Tirta I Malang). Hasil dari penelitian ini menyimpulkan kemampuan perusahaan
dalam menjalankan proses EDM03 dan APO12 sama-sama berada pada level 2
yaitu Managed Process yang berarti aktivitas yang berkaitan dengan perencanaan,
pemantauan dan penyesuaian telah dikelola dengan baik serta hasil kerjanya telah
ditetapkan, dipantau dan dikelola dengan tepat. (Arief, 2017).
Penelitian sebelumnya dengan bahasan manajemen risiko e-procurement
pada PT. Pertamina menjelaskan adanya suatu permasalahan dalam penggunaan
teknologi informasi terhadap pengadaan barang dan jasa. Hasil dari penelitian
menyimpulkan bahwa nilai rata-rata capability level untuk domain EDM03 adalah
3 dan 1 untuk domain APO12. Nilai analisis gap yang diharapkan untuk semua
domain adalah 1 untuk capability level dan maturity level. (Dyahaloka, 2016).
Berdasarkan permasalahan yang telah diuraikan diatas dan berdasarkan
pada penelitian sebelumnya, penelitian ini menggunakan framework COBIT 5 dan
ISO 31000:2018. Pemilihan framework COBIT 5 didasari karena kerangka kerja
COBIT 5 telah banyak digunakan untuk penelitian tentang evaluasi manajemen
risiko teknologi informasi. Pada pedoman COBIT 5, dalam domain EDM hanya
sub domain EDM03 yang membahas mengenai manajemen risiko terkait dengan
cara mengoptimalkan pencegahan munculnya risiko yang terjadi di perusahaan.
9
Untuk domain APO sub domain APO12 yang membahas mengenai manajemen
risiko terkait dengan pengumpulan data serta analisis risiko-risiko yang akan
muncul. Selain dua domain tersebut terdapat dua domain lagi yang akan digunakan
dalam penelitian ini yaitu APO13 (Manage Security) dan BAI06 (Manage
Changes). Domain-domain tersebut ditentukan berdasarkan hasil kuesioner pra-
penelitian. Maka dari itu, fokus domain COBIT yang digunakan pada penelitian ini
adalah EDM03 (Ensure Risk Optimisation), APO12 (Manage Risk), APO13
(Manage Security) dan BAI06 (Manage Changes) . Pemilihan domain yang akan
digunakan dalam penelitian ini berdasarkan dengan permasalahan yang terjadi pada
PT. Solusi Integrasi Teknologi. Untuk mengukur pengelolaan manajemen risiko
teknologi informasi dapat diketahui dengan melakukan penilaian tingkat capability
level pada PT. Solusi Integrasi Teknologi. Sedangkan untuk framework ISO
31000:2018 merupakan standar internasional berfokus pada manajemen risiko yang
terdiri dari prinsip, kerangka kerja dan proses. Prinsip ISO 31000:2018 memiliki 1
tujuan dan 8 prinsip sehingga dapat digunakan sebagai pendukung dalam
memberikan rekomendasi langkah mitigasi dari hasil evaluasi yang akan dilakukan.
Alasan peneliti memilih perusahaan yang bergerak dalam bidang teknologi
informasi yaitu PT Solusi Integrasi Teknologi sebagai objek penelitian dikarenakan
sedang meningkatnya penggunaan teknologi informasi di berbagai sektor bisnis.
Alasan lainnya PT Solusi Integrasi Teknologi telah membuat berbagai macam
Software untuk berbagai perusahaan terbaik di Indonesia.
10
Berdasarkan uraian diatas, maka penulis tertarik untuk melakukan
penelitian yang berjudul “Evaluasi Manajemen Risiko Teknologi Informasi
Menggunakan Framework COBIT 5 dan ISO 31000:2018 pada PT. Solusi
Integrasi Teknologi”.
1.2 Identifikasi Masalah
Berdasarkan latar belakang permasalahan dapat diidentifikasi yaitu :
1. Keterbatasan SDM (Sumber Daya Manusia) yang bisa menangani risiko
TI secara spontanitas. Akibat dari SDM yang terbatas berpengaruh pada
waktu kerja karyawan yang melebihi batas waktu kerja.
2. Belum adanya dokumen standar prosedur untuk menangani risiko, dan
belum pernah dilakukan penilaian tingkat kapabilitas dan penilaian
risiko perusahaan sehingga pengendalian risiko belum berjalan dengan
baik.
3. PT. Solusi Integrasi Teknologi pernah mengalami kerusakan database
dikarenakan kejadian tidak terduga seperti mati listrik sedangkan fungsi
backup yang seharusnya dijalankan setiap 4 jam sekali belum
dijalankan.
1.3 Rumusan Masalah
Berdasarkan latar belakang dan identifikasi masalah yang telah diuraikan
diatas, maka rumusan masalah dalam penelitian ini adalah “Bagaimana evaluasi
manajemen risiko teknologi informasi dengan menggunakan framework
COBIT 5 dan ISO 31000:2018 pada PT. Solusi Integrasi Teknologi?”
11
1.4 Batasan Masalah
Berdasarkan rumusan masalah yang telah diuraikan, Batasan Masalah
penelitian ini adalah sebagai berikut :
1. Evaluasi tata kelola teknologi informasi dilakukan pada PT. Solusi
Integrasi Teknologi khususnya Divisi IT.
2. Penelitian ini hanya membahas pada proses manajemen risiko
menggunakan Framework COBIT 5 dan ISO 31000:2018 untuk
rekomendasi mitigasi risiko.
3. Metode penelitian menggunakan Assessment Process Activities yang
terdapat pada COBIT 5.
4. Risk assessment menggunakan OWASP Risk Rating Methodology.
1.5 Tujuan Penelitian
Tujuan dari penelitian ini terdiri dari tujuan umum dan tujuan khusus.
Tujuan umumnya adalah untuk mengevaluasi manajemen risiko teknologi
informasi menggunakan framework COBIT 5. Sedangkan tujuan khususnya
yaitu sebagai berikut :
1. Mengetahui Capability Level pada proses EDM03 (Ensure Risk
Optimation), APO12 (Manage Risk), APO13 (Manage Security) dan
BAI06 (Manage Changes) di PT. Solusi Integrasi Teknologi.
2. Mengidentifikasi dampak dan menilai risiko yang ada pada PT. Solusi
Integrasi Teknologi.
3. Memberikan rekomendasi dan langkah mitigasi pada PT. Solusi
Integrasi Teknologi berdasarkan framework ISO 31000:2018.
12
1.6 Manfaat Penelitian
Adapun manfaat dari penelitian ini yaitu:
1.6.1 Bagi Perusahaan
a. Memberikan gambaran pada perusahaan mengenai IT
Governance yang baik.
b. Menjadi referensi acuan bagi perusahaan untuk dapat
memperbaiki tata kelola teknologi informasi sesuai dengan
framework COBIT 5.
1.6.2 Bagi Penulis
a. Menerapkan pengetahuan tentang audit sistem informasi dan
pemahaman mengenai framework COBIT 5.
b. Menerapkan ilmu-ilmu yang telah diperoleh selama masa
perkuliahan.
c. Untuk memenuhi salah satu syarat kelulusan strata satu (S1),
Sistem Informasi Fakultas Sains dan Teknologi UIN Syarif
Hidayatullah Jakarta.
1.7 Metodologi Penelitian
Beberapa metode yang digunakan dalam penelitian ini adalah :
1.7.1 Metode Pengumpulan Data
Metodologi pengumpulan data terdiri dari :
1. Studi Kepustakaan
13
Dalam studi kepustakaan ini peneliti membaca dan mempelajari
jurnal yang berhubungan dengan topik yang dibahas dalam jurnal
penelitian ini. Serta mengunjungi situs-situs web internet yang
berhubungan dengan penelitian.
2. Studi Lapangan
a. Observasi
Metode pengumpulan data ini dilakukan untuk
mengumpulkan data dan informasi dengan cara meninjau dan
mengamati secara langsung lingkungan sekitar yang akan
dijadikan penelitian.
b. Wawancara
Metode ini dilaksanakan tanya jawab secara langsung kepada
pihak-pihak yang terkait dengan objek penelitian.
c. Kuesioner
Mengumpulkan data dengan cara memberikan lembar
kuesioner kepada pihak yang ditentukan dengan
menggunakan identifikasi Diagram RACI dalam COBIT 5.
1.7.2 Metode Analisis Data
Metode yang digunakan dalam identifikasi capability level, peneliti
menggunakan Assesment Process Activities berdasarkan framework
COBIT 5 yang terdiri dari :
1. Initiation
14
Tahap ini bertujuan untuk menjelaskan hasil identifikasi dari
beberapa informasi yang dikumpulkan. Beberapa kegiatan yang
telah dilakukan untuk mendapatkan informasi yang berkaitan
dengan penelitian yaitu melakukan observasi, wawancara dan
studi pustaka. Observasi dilakukan dengan mengamati langsung
dan mempelajari pengelolaan layanan TI pada PT. Solusi Integrasi
Teknologi. Sedangkan wawancara dilakukan dengan cara
melakukan komunikasi secara langsung dengan pihak-pihak yang
menjadi objek penelitian.
2. Planning the Assessment
Setelah dilakukan analisa dalam initiation maka didapatkan ruang
lingkup proses yang akan dievaluasi, adapun proses yang dipilih
dan dievaluasi yaitu pada proses domain EDM03 (Ensure Risk
Optimation) dan APO12 (Manage Risk). Pada tahap ini dilakukan
uji coba instrumen kepada 4 responden lalu dilakukan penilaian
yang bertujuan untuk mendapatkan hasil evaluasi penilaian
capability.
3. Briefing
Tahap ini dilakukan penjadwalan penelitian dan pengarahan
kepada responden penilai sehingga memahami masukan, proses
dan keluaran yang akan dinilai.
4. Data Collection
15
Tahap ini dilakukan pengumpulan seluruh data hasil temuan yang
berhubungan dengan penelitian baik berupa data-data, hasil
wawancara dan kuesioner.
5. Data Validation
Tahap ini dilakukan pengolahan data kuesioner yang telah
dijawab oleh responden agar mendapatkan evaluasi penilaian
capability level.
6. Process Attribute Level
Tahap ini dilakukan proses memberi level pada atribut yang ada
pada setiap indikator, yang bertujuan untuk menunjukkan hasil
capability level dari perhitungan kuesioner.
7. Reporting the Result
Tahap ini melaporkan hasil evaluasi yang bertujuan untuk
memberikan rekomendasi kepada PT. Solusi Integrasi Teknologi
dengan menggunakan ISO 31000:2018.
1.8 Waktu dan Tempat Penelitian
Pelaksanaan penelitian ini dilaksanakan pada :
Tempat : PT. Solusi Integrasi Teknologi
Alamat : Jl. Jahe II, Komplek Kembang Larangan, Tangerang, Banten
15154
Waktu : Februari – April 2020
1.9 Sistematika Penulisan
16
Dalam penyusunan laporan ini pembahasan terbagi menjadi beberapa bab yang
secara singkat akan diuraikan sebagai berikut :
BAB I PENDAHULUAN
Bab ini menjelaskan tentang tentang latar belakang, identifikasi masalah,
rumusan masalah, Batasan masalah, tujuan penelitian, manfaat penelitian,
metodologi penelitian, waktu dan tempat penelitian, dan sistematika penulisan
laporan hasil penelitian.
BAB II LANDASAN TEORI
Bab ini menjelaskan tentang teori-teori umum dan teori-teori khusus yang
digunakan untuk mendukung penelitian evaluasi manajemen risiko teknologi
informasi.
BAB III METODOLOGI PENELITIAN
Bab ini memaparkan metode yang digunakan dalam penelitian ini yang
mencakup metode pengumpulan data dan metode analisis data dalam usulan
model tata kelola IT.
BAB IV HASIL DAN PEMBAHASAN
Bab ini berisi tentang analisis tata kelola teknologi informasi dengan
metodologi PAM, yang didalamnya terdapat perhitungan dan pengolahan data
kuesioner, memaparkan hasil temuan dan gap, serta memberikan rekomendasi
pada perusahaan terkait dengan menggunakan prinsip ISO 31000:2018.
BAB V PENUTUP
17
Bab ini merupakan penutup yang berisikan kesimpulan dan uraian yang sudah
terperangkap pada bab-bab sebelumnya dan saran guna untuk pengembangan
lebih lanjut.
19
BAB II
LANDASAN TEORI
2.1 Pengertian Evaluasi
Evaluasi merupakan kegiatan yang terencana untuk mengetahui keadaan
suatu objek dengan menggunakan instrumen dan hasilnya dibandingkan dengan
tolak ukur untuk memperoleh kesimpulan. (Jamin, 2014).
Evaluasi adalah mencari sesuatu yang berharga (worth). Sesuatu yang
berharga tersebut dapat berupa informasi tentang suatu program, produksi serta
alternatif prosedur tertentu. (Habiburrahman, 2016).
Berdasarkan definisi diatas dapat diartikan bahwa evaluasi adalah suatu
kegiatan terencana untuk mencari sesuatu yang berharga pada suatu objek dapat
berupa informasi tentang suatu program, produksi serta alternatif prosedur
dengan menggunakan instrumen dan menghasilkan sebuah nilai yang dapat
dijadikan tolak ukur.
2.2 Tata Kelola Teknologi Informasi
2.2.1 Pengertian Tata Kelola
Tata kelola merupakan membuat kebijakan yang sejalan/selaras
dengan keinginan/aspirasi masyarakat atau konstituen.
Menurut Jogiyanto & Abdillah (2009), tata kelola merupakan
suatu proses yang dilakukan suatu organisasi atau masyarakat untuk
mengatasi permasalahan yang terjadi.
20
2.2.2 Pengertian Teknologi Informasi
Menurut (Sutarman, 2012), teknologi informasi adalah suatu
studi, perancangan, pengembangan, implementasi, dukungan atau
manajemen sistem informasi berbasis komputer, khususnya aplikasi
perangkat lunak dan perangkat keras komputer. Berdasarkan
pendapat para ahli, teknologi informasi mencakup keseluruhan
bentuk teknologi yang digunakan untuk memproses informasi. Suatu
teknologi informasi yang berkualitas harus memperhatikan
kebutuhan-kebutuhan sistem.
Tata kelola TI ditekankan pada terciptanya keselarasan strategi
organisasi antara teknologi informasi dengan tujuan bisnis yang ingin
dicapai oleh suatu organisasi.
2.2.3 Kegunaan Tata Kelola Teknologi Informasi
Kegunaan tata kelola teknologi informasi yaitu mampu untuk
mengatur penggunaan teknologi informasi, serta untuk memastikan
kinerja teknologi informasi sesuai dengan tujuan berikut ini :
1. Menyelaraskan teknologi informasi dengan organisasi dan
realisasi dari keuntungan-keuntungan yang telah dijanjikan dari
penerapan teknologi informasi.
2. Penggunaan teknologi informasi memungkinkan organisasi untuk
mengambil kesempatan, dan memaksimalkan keuntungan dari
penerapan teknologi informasi.
21
3. Bertanggung jawab terhadap penggunaan sumber daya TI.
4. Penanganan manajemen risiko yang terkait dengan teknologi
informasi secara tepat.
2.3 Framework Tata Kelola Teknologi Informasi
2.3.1 ITIL
ITIL (Information Technology Infrastructure Library)
memberikan deskripsi detail tentang beberapa praktik (TI) penting
dengan daftar cek, tugas, serta prosedur yang menyeluruh yang dapat
disesuaikan dengan segala jenis organisasi (TI). (MAYRIANTIKA,
2018).
ITIL adalah best practice dari Service Management IT dan
menjadi pilihan terpopuler saat ini sebagai framework analyst
business seorang/sebuah client untuk defining roadmap bisnis dan
infrastruktur IT yang konsisten dan komprehensif, agar bisnis
perusahaan sejalan dengan infrastruktur TI. (Hanief & Jefriana,
2018).
2.3.2 ISO
ISO (International Standar Organization) merupakan suatu
organisasi di luar pemerintahan (Non-Government
Organization/NGO) yang berdiri sejak tahun 1947. Misi dari ISO
adalah untuk mendukung pengembangan standardisasi dan kegiatan-
kegiatan terkait lainnya dengan harapan untuk membantu
22
perdagangan internasional, dan juga untuk membantu pengembangan
kerjasama secara global di bidang ilmu pengetahuan, teknologi dan
kegiatan ekonomi. (Kriswanto, 2011).
Standarisasi internasional ini dibentuk untuk berbagai
teknologi yang mencakup berbagai bidang, antara lain bidang
informasi dan telekomunikasi, tekstil, pengemasan, distribusi barang,
pembangkit energi dan pemanfaatannya, pembuatan kapal,
perbankan dan jasa keuangan, dan masih banyak lagi. (Marbun &
Mildawati, 2015).
2.3.3 COSO
COSO menekankan Pengendalian Internal sebagai suatu
“proses” yang merupakan bagian tidak terpisahkan dari aktivitas
bisnis entitas yang berkelanjutan (on going business activities).
(Santoso, 2015).
Kerangka kerja ini digunakan untuk pengendalian internal
disetiap organisasi dan untuk membantu organisasi mengelola risiko
secara lebih baik dan untuk meningkatkan kinerja organisasi.
2.3.4 CMMI
CMMI merupakan model perbaikan kapabilitas untuk
meningkatkan secara bertahap (staged) dan berkelanjutan
(continuous) penerapan teknologi perangkat lunak pada level
organisasi. CMMI memberikan arahan untuk organisasi untuk
23
memilih strategi perbaikan proses perangkat lunak dengan
memfasilitasi kemampuan dan mengidentifikasi isu yang perlu
diperbaiki. (Wulansari, 2016).
CMMI dapat digunakan untuk memandu proses perbaikan di
sebuah proyek, divisi, atau di seluruh organisasi. Ini membantu
mengintegrasikan fungsi organisasi yang terpisah, menentukan tujuan
peningkatan proses, memberikan acuan untuk menilai proses yang
sedang berlangsung. (Mewengkang, 2017).
2.3.5 COBIT
COBIT (Control Objectives for Information and Related
Technology) adalah suatu metodologi yang memberikan kerangka
dasar dalam menciptakan sebuah Teknologi Informasi yang sesuai
dengan kebutuhan organisasi. COBIT dapat diartikan sebagai tujuan
pengendalian untuk informasi dan teknologi terkait dan merupakan
standar terbuka untuk pengendalian terhadap teknologi informasi
yang dikembangkan dan dipromosikan oleh Institut IT Governance.
(Setiawan, 2010).
Tujuan utama COBIT adalah memberikan kebijakan yang jelas
dan best practices bagi IT Governance bagi organisasi dan untuk
membantu manajemen untuk memahami dan mengatur risiko-risiko
yang berhubungan dengan IT. (Utomo & Mariana, 2011).
24
Seiring dengan berjalan nya waktu COBIT terus berkembang
dari mulai COBIT 1 yang menekankan pada audit, COBIT 2 yang
menekankan pada tahap pengendalian, COBIT 3 yang berorientasi
pada manajemen, COBIT 4 lebih mengarah pada tata kelola TI,
COBIT 5 yang menekankan tata kelola TI pada perusahaan, dan yang
terbaru COBIT 2019 menekankan pada manajemen dan tata kelola
IT. COBIT 2019 melengkapi proses dari COBIT yang sebelumnya.
2.4 COBIT 5
COBIT 5 menurut ISACA adalah sebuah kerangka kerja untuk tata kelola
dan manajemen teknologi informasi dan semua yang berhubungan, yang
dimulai dari memenuhi kebutuhan stakeholder akan informasi dan
teknologi.(ISACA., 2012a).
COBIT 5 menggabungkan pemikiran terbaru dalam tata kelola perusahaan
dan manajemen teknik, dan memberikan prinsip-prinsip yang diterima secara
global, praktek, alat-alat analisis dan model untuk membantu meningkatkan
kepercayaan, dan nilai dari sistem informasi. (Audit et al., 2012).
COBIT 5 memiliki 2 area yang terdiri dari governance dan management.
Area governance memiliki 1 (satu) domain yakni EDM (Evaluate, Direct,
Monitor) dengan 5 sub domain yang masing-masing berisi penjelasan dan
panduan secara luas tentang tata kelola dan manajemen IT. Setiap proses
memiliki beberapa process practice atau governance process. Area manajemen
memiliki 4 (empat) domain yakni APO (Align, Plan and Organise), BAI (Build,
25
Acquire and Implement), DSS (Deliver, Service and Support) dan MEA
(Monitor, Evaluate and Assess) dengan total 37 proses. Setiap proses memiliki
beberapa process practice atau management process. (Agoan et al., 2017).
2.4.1 Prinsip COBIT 5
Gambar 2. 1 Prinsip COBIT 5 (ISACA., 2012b)
1. Memenuhi kebutuhan stakeholder (Meeting Stakeholder Needs)
Pada prinsip ini menjelaskan bahwa setiap organisasi dapat
memberikan sebuah nilai bagi para stakeholder melalui penerapan
IT. Setiap stakeholder memiliki kebutuhan IT dalam konteks yang
beragam. Keberadaan IT tidak boleh lepas dari konteks kebutuhan
stakeholder dalam organisasi.
2. Mencakup Sampai Proses Akhir Suatu Organisasi (Covering the
Enterprise End-to-End)
Prinsip ini menjelaskan pentingnya memberikan informasi
tentang tata kelola dan manajemen IT dalam satu organisasi dari
unit proses hulu hingga ke unit proses hilir. Setiap proses dalam
26
organisasi membutuhkan informasi lalu mengolahnya sehingga
menghasilkan informasi baru untuk kebutuhan proses selanjutnya.
3. Menerapkan suatu kerangka tunggal yang terintegrasi (Applying a
Single Integrated Framework)
Prinsip ini menjelaskan bahwa COBIT 5 merupakan suatu
framework terintegrasi yang dapat disejajarkan dengan framework
lainnya yang berhubungan dengan IT dalam menyediakan
panduan pada aktivitas IT. COBIT telah mengadopsi berbagai
kerangka dan konsep best practice ke dalam prinsip, model, dan
strukturnya.
4. Menggunakan sebuah pendekatan yang menyeluruh (Enabling a
Holistic Approach)
Pada prinsip ini menjelaskan bahwa masing-masing domain
mampu menjadi enabler bagi praktek governance dan manajemen
IT yang efektif dan efisien tergantung dari situasi dan konteks
organisasi.
5. Pemisahan Tata Kelola dari Manajemen (Separating Governance
from Management)
Prinsip ini menjelaskan bahwa pentingnya membedakan
pengertian governance dan manajemen karena keduanya
memiliki tujuan, tanggung jawab, dan karakteristik yang berbeda.
Manajemen mencakup pada rangkaian menjalankan aktivitas
untuk mencapai visi, misi dan goal organisasi. Sedangkan
27
governance lebih berfokus pada cara pencapaian visi, misi, dan
goal tersebut sesuai dengan prinsip-prinsip yang dianut oleh
pimpinan. sistem tata kelola harus disesuaikan dengan kebutuhan
perusahaan, menggunakan serangkaian faktor desain sebagai
parameter untuk menyesuaikan dan memprioritaskan komponen
sistem tata kelola.
Gambar 2. 2 COBIT 5 Governance and Management Key Areas (ISACA.,
2012b)
2.4.2 7 Enablers
Enablers merupakan faktor-faktor yang secara individual dan
kolektif mempengaruhi fungsi dan kinerja suatu organisasi. COBIT 5
memiliki 7 (tujuh) enablers yaitu :
1. Prinsip, Kebijakan, dan Kerangka Kerja (Principle, Policies and
Framework)
Merupakan sarana untuk menerjemahkan tingkah laku yang
diinginkan dan menjadi panduan praktis dalam pelaksanaan
manajemen harian.
28
2. Proses (Processes)
Merupakan kumpulan aktivitas yang terorganisir untuk
mencapai tujuan dan menghasilkan output yang dapat digunakan
dalam mendukung pencapaian keseluruhan tujuan TI.
3. Struktur Organisasi (Organizational Structure)
Merupakan wewenang atau struktur pembuat keputusan dalam
sebuah organisasi.
4. Budaya, Etika dan Perilaku (Culture, Ethics and Behaviour)
Merupakan kebiasaan dari individu dan organisasi yang
dianggap faktor penghambat kesuksesan di dalam aktivitas
governance dan manajemen.
5. Informasi (Information)
Merupakan kumpulan data-data yang sangat diperlukan untuk
menjaga dan memastikan organisasi tetap berjalan dan dikelola
dengan baik.
6. Layanan, Infrastruktur dan Aplikasi (Services, Infrastructure
and Application)
Meliputi infrastruktur, teknologi dan aplikasi yang menyediakan
layanan yang berhubungan dengan proses TI organisasi.
7. Orang, Keterampilan dan Kompetensi (People, Skills and
Competencies)
29
Sumber daya manusia, keahlian dan kompetensinya dibutuhkan
untuk menyelesaikan aktivitas dan membuat keputusan yang
tepat serta mengambil tindakan korektif.
Gambar 2. 3 COBIT 5 Enterprise Enablers (ISACA. & Lainhart, 2012)
2.4.3 Tahap Implementasi COBIT 5
COBIT 5 memiliki tujuh tahapan implementasi. Berikut tahapan
implementasi COBIT 5:
30
Gambar 2. 4 Tahap Implementasi COBIT 5 (ISACA. & Lainhart, 2012)
1. Inisiasi Program (Initiate Program)
Tahapan ini dilakukan pendekatan implementasi untuk
mengidentifikasi perubahan saat ini dan menciptakan perubahan di
tingkat manajemen eksekutif yang akan dinyatakan dalam garis besar
kasus bisnis. Perubahan dilakukan di internal dan eksternal, kondisi
dan issue berfungsi sebagai pemicu dari perubahan. Acara, trend,
kekurangan kinerja, implementasi software dan bahkan tujuan dari
perusahaan semua bisa bertindak sebagai perubahan.
2. Mendefinisikan Masalah dan Kesempatan (Define Problems and
Opportunities)
Pada tahap ini menyelaraskan tujuan TI dengan strategi dan risiko
perusahaan, dan memprioritaskan tujuan perusahaan yang paling
penting. Berdasarkan perusahaan dan tujuan TI serta faktor desain
lainnya, perusahaan harus mengidentifikasi tujuan tata kelola dan
31
manajemen yang kritis dan proses yang mendasari yang memiliki
kemampuan yang memadai untuk memastikan hasil yang sukses.
Manajemen harus mengetahui kapabilitas saat ini dan dimana
kekurangan yang mungkin akan ada.
3. Mendefinisikan Road Map (Define Road Map)
Tahap ini menetapkan target perbaikan yang diikuti dengan analisis
gap untuk mengidentifikasi solusi potensial. Beberapa solusi bisa
berhasil diterapkan pada tugas jangka panjang. Prioritas harus
diberikan pada proyek yang lebih mudah dicapai dan cenderung
memberikan manfaat terbesar.
4. Merencanakan Program (Plan Program)
Pada tahap ini merencanakan solusi yang layak dan praktis dengan
menentukan proyek yang didukung oleh kasus bisnis yang dapat
dibenarkan dan rencana perubahan untuk implementasi.
Pengembangan kasus bisnis yang baik bisa membantu meyakinkan
bahwa proyek memberikan keuntungan.
5. Melaksanakan Rencana (Execute Plan)
Tahap ini dilakukan penerapan solusi yang diusulkan melalui praktik
sehari-hari dan menetapkan ukuran dan pemantauan sistem untuk
memastikan bahwa keselarasan bisnis tercapai dan kinerja dapat
diukur.
6. Menyadari Manfaat (Realize Benefits)
32
Tahap ini berfokus pada transisi berkelanjutan dari praktik tata kelola
dan manajemen yang ditingkatkan ke dalam operasi bisnis normal.
Lebih lanjut berfokus pada pemantauan pencapaian peningkatan
menggunakan metrik kinerja dan manfaat yang diharapkan.
7. Tinjau Efektivitas (Review Effectiveness)
Tahap ini dilakukan review terhadap seluruh keberhasilan inisiatif.
Mengidentifikasi lebih jauh kebutuhan tata kelola dan manajemen
dan memperkuat kebutuhan untuk perbaikan berkelanjutan. Tahap ini
juga memprioritaskan peluang lebih lanjut untuk meningkatkan
sistem tata kelola.
2.4.4 Process Reference Model (PRM)
COBIT 5 mencakup model referensi proses yang terdiri dari 37
proses. Model referensi proses mendefinisikan dan menjelaskan secara rinci
area governance dan manajemen.
33
Gambar 2. 5 COBIT 5 Process Reference Model (ISACA. & Lainhart, 2012)
1. Evaluate, Direct and Monitor (EDM)
Tujuan tata kelola dikelompokan dalam proses EDM. Pada
domain EDM, badan eksekutif mengevaluasi opsi strategis,
mengarahkan manajemen senior pada opsi strategis yang dipilih
dan memantau pencapaian strategi. Domain ini terdapat
beberapa sub domain yaitu:
a. EDM01 (Ensured Governance Framework Setting and
Maintenance)
Pada proses ini bertujuan untuk memberikan
pendekatan yang konsisten, terintegrasi dan selaras dengan
pendekatan tata kelola perusahaan. Keputusan terkait TI
harus dibuat sejalan dengan strategi dan tujuan perusahaan.
Untuk itu, memastikan bahwa proses terkait IT diawasi
secara efektif dan transparan.
b. EDM02 (Ensured Benefits Delivery)
Pada proses ini bertujuan untuk memastikan nilai
optimal dari inisiatif, layanan, dan asset yang mendukung IT
dari keuntungan yang realistis dan akurat dari organisasi.
Sehingga kebutuhan bisnis didukung secara efektif dan
efisien.
c. EDM03 (Ensured Risk Optimization)
34
Pada proses ini bertujuan untuk memastikan bahwa
risiko bisnis terkait TI tidak melebihi risiko perusahaan dan
toleransi risiko, dampak risiko TI terhadap nilai perusahaan
dapat diidentifikasi dan dikelola, dan potensi kegagalan
dapat diminimalkan.
d. EDM04 (Ensured Resource Optimization)
Pada proses ini bertujuan untuk memastikan
kebutuhan sumber daya perusahaan terpenuhi dengan cara
yang optimal, biaya TI yang dioptimalkan dan ada
kemungkinan peningkatan realisasi manfaat dan kesiapan
untuk perubahan di masa depan.
e. EDM05 (Ensured Stakeholder Engagement)
Pada proses ini bertujuan untuk memastikan bahwa
pemangku kepentingan mendukung strategi dan roadmap
TI, komunikasi kepada pemangku kepentingan berjalan
efektif dan tepat waktu, dan dasar pelaporan ditetapkan
untuk meningkatkan kinerja. EDM05 juga mengidentifikasi
area untuk perbaikan, dan menginformasikan bahwa tujuan
dan strategi terkait TI sejalan dengan strategi perusahaan.
2. Align, Plan and Organize (APO)
Tujuan manajemen dikelompokan menjadi 4 domain.
Domain yang pertama adalah APO. APO adalah domain yang
membahas keseluruhan organisasi, strategi dan kegiatan
35
pendukung untuk TI. Pada domain APO terdiri dari 14 proses,
yaitu:
a. APO01 (Managed IT Management Framework)
Proses APO01 ini mengimplementasikan pendekatan
konsisten manajemen untuk memenuhi persyaratan tata
kelola perusahaan, mencakup komponen tata kelola seperti
proses manajemen, struktur organisasi, peran dan tanggung
jawab, aktivitas yang unggul dan berulang, kebijakan dan
prosedur, kemampuan dan kompetensi, item informasi,
budaya dan perilaku, dan layanan, infrastruktur dan aplikasi.
b. APO02 (Managed Strategy)
Pada proses ini bertujuan untuk mendukung strategi
transformasi digital organisasi dan memberikan nilai yang
diinginkan melalui perubahan roadmap secara bertahap.
Dengan menggunakan pendekatan holistik IT, dan
memastikan bahwa setiap inisiatif berhubungan ke seluruh
strategi.
c. APO03 (Managed Enterprise Architecture)
Pada proses ini menggambarkan arsitektur yang
membentuk perusahaan dan keterkaitannya, serta prinsip
yang digunakan untuk mewujudkan strategi organisasi dan
TI yang efektif.
d. APO04 (Managed Innovation)
36
Pada proses ini bertujuan untuk mencapai
keunggulan kompetitif, inovasi bisnis, meningkatkan
pengalaman pelanggan, dan meningkatkan keefektifan
operasional dengan memanfaatkan perkembangan IT dan
teknologi baru.
e. APO05 (Managed Portofolio)
Pada proses ini mengoptimalkan kinerja portofolio
program secara keseluruhan dalam menanggapi program
individu, kinerja produk dan layanan serta perubahan
prioritas dan manajemen perusahaan.
f. APO06 (Managed Budget and Costs)
Proses ini bertujuan membina kemitraan antara TI
dengan pemangku saham perusahaan untuk memungkinkan
penggunaan yang efektif dan efisien dari sumber daya terkait
TI dan memberikan transparansi dan akuntabilitas biaya dan
nilai bisnis dari solusi dan layanan.
g. APO07 (Managed Human Resources)
Pada proses ini mengoptimalkan kemampuan sumber
daya manusia untuk memenuhi tujuan perusahaan.
h. APO08 (Managed Relationship)
Pada proses ini memungkinkan pengetahuan yang
benar, kecakapan dan perilaku untuk menciptakan hasil yang
lebih banyak, meningkatkan kepercayaan diri, saling percaya
37
dan penggunaan sumber daya yang efektif yang mendorong
hubungan produktif dengan pemangku kepentingan bisnis.
i. APO09 (Managed Service Agreements)
Pada proses ini memastikan bahwa produk TI,
layanan dan level layanan memenuhi kebutuhan perusahaan
saat ini dan masa depan.
j. APO10 (Managed Vendors)
Pada proses ini mengoptimalkan kapabilitas IT yang
tersedia untuk mendukung strategi TI dan road map,
meminimalkan risiko yang terkait dengan vendor yang tidak
berkinerja atau tidak patuh, dan memastikan harga yang
kompetitif.
k. APO11 (Managed Quality)
Pada proses ini memastikan penyampaian solusi dan
layanan teknologi yang konsisten untuk memenuhi
persyaratan kualitas perusahaan dan memenuhi kebutuhan
pemangku kepentingan.
l. APO12 (Managed Risk)
Proses ini mengintegrasikan manajemen terkait
risiko TI dengan keseluruhan manajemen risiko perusahaan
dan menyeimbangkan biaya dan manfaat dari pengelolaan
risiko perusahaan terkait TI.
m. APO13 (Managed Security)
38
Proses ini menjaga dampak dan terjadinya insiden
keamanan informasi dalam tingkat risiko perusahaan.
3. Build, Acquire and Implement (BAI)
BAI mengidentifikasi definisi, akuisisi dan implementasi
solusi dan integrasinya dalam proses bisnis. BAI memiliki 11
proses, yaitu:
a. BAI01 (Managed Programs and Projects)
Pada proses ini mengelola semua program dan
proyek sejalan dengan strategi perusahaan dan terkoordinasi.
Tujuan dari sub-domain ini adalah menyadari keuntungan
bisnis dan mengurangi risiko penundaan yang tak
diharapkan.
b. BAI02 (Managed Requirements Definition)
Proses ini membuat solusi paling optimal yang
memenuhi kebutuhan perusahaan sekaligus meminimalkan
risiko.
c. BAI03 (Managed Solutions Identification and Build)
Pada proses ini mengidentifikasi solusi yang sesuai
dengan kebutuhan organisasi. Solusi digunakan untuk
mendukung strategi perusahaan dan tujuan operasional.
d. BAI04 (Managed Availability and Capacity)
Pada proses ini menjaga ketersediaan layanan,
manajemen efisiensi sumber daya dan mengoptimalkan
39
kinerja sistem melalui prediksi kinerja masa depan dan
kebutuhan kapasitas.
e. BAI05 (Managed Organizational Change)
Proses ini mempersiapkan dan berkomitmen dengan
pemangku kepentingan untuk perubahan bisnis dan
mengurangi risiko kegagalan.
f. BAI06 (Managed IT Changes)
Proses ini memungkinkan perubahan bisnis yang
unggul. Mengurangi risiko yang berdampak negatif pada
stabilitas atau integritas lingkungan yang berubah.
g. BAI07 (Managed IT Change Acceptance and Transitioning)
Pada proses ini mengimplementasikan solusi dengan
aman dan sejalan dengan harapan dan hasil yang disepakati.
h. BAI08 (Managed Knowledge)
Pada proses ini memberikan pengetahuan dan
informasi manajemen yang diperlukan untuk mendukung
semua staf dalam tata kelola dan manajemen TI perusahaan
dan memungkinkan pengambilan keputusan yang tepat.
i. BAI09 (Managed Assets)
Pada proses ini memperhitungkan semua aset TI dan
mengoptimalkan nilai yang diberikan oleh penggunaannya.
j. BAI10 (Managed Configuration)
40
Pada proses ini memberikan informasi yang
memadai tentang aset layanan agar layanan dapat dikelola
secara efektif. Menilai dampak perubahan dan menangani
insiden layanan.
4. Deliver, Service and Support (DSS)
DSS membahas pengiriman operasional dan dukungan
layanan TI termasuk keamanan. DSS terdiri dari 6 proses, yaitu:
a. DSS01 (Managed Operations)
Pada proses ini memberikan hasil produk dan
layanan operasional TI sesuai rencana.
b. DSS02 (Managed Service Requests and Incidents)
Pada proses ini mencapai produktivitas yang lebih
tinggi dan meminimalkan gangguan insiden pengguna.
menilai dampak perubahan dan menangani insiden layanan.
menyelesaikan permintaan pengguna dan memulihkan
layanan sebagai tanggapan atas insiden.
c. DSS03 (Managed Problems)
Proses ini mengidentifikasi masalah dan memberikan
solusi yang tepat untuk setiap masalah.
d. DSS04 (Managed Continuity)
Proses ini memelihara ketersediaan sumber daya dan
informasi pada organisasi dan membangun rencana bisnis
41
dan TI untuk menanggapi gangguan sehingga proses bisnis
bisa dilanjutkan.
e. DSS05 (Managed Security Services)
Pada proses ini meminimalkan tingkat risiko
keamanan informasi organisasi yang dapat melindungi
informasi organisasi sesuai dengan kebijakan.
f. DSS06 (Managed Business Process Controls)
Pada proses ini memelihara integritas informasi dan
keamanan informasi dengan bisnis proses di organisasi.
5. Monitor, Evaluate and Assess (MEA)
MEA membahas pemantauan kinerja internal dan
pengendalian TI dengan kinerja internal. MEA terdapat 4 proses,
yaitu :
a. MEA01 (Managed Performanced and Conformance
Monitoring)
Pada proses ini memberikan transparansi kinerja
sesuai dengan tujuan bisnis TI.
b. MEA02 (Managed System of Internal Control)
Pada proses ini pengendalian lingkungan dan
pemantauan akan dilakukan untuk mengidentifikasi
kekurangan dan memulai tindakan perbaikan.
c. MEA03 (Managed Compliance with External
Requirements)
42
Proses ini memastikan bahwa organisasi patuh
dengan semua persyaratan eksternal yang berlaku.
2.4.5 Process Assessment Model (PAM)
Model ini merupakan model yang berisi kerangka dasar yang
memberikan panduan dalam menilai dan mengukur capability level terkait
teknologi informasi. (Meiriati et al., 2020). Model ini didefinisikan sesuai
dengan ISO/IEC 15504-2 dan dapat digunakan sebagai dasar untuk
melakukan penilaian kapabilitas setiap proses COBIT 5.
COBIT 5 PAM memiliki penilaian indikator yang digunakan untuk
menilai apakah atribut proses telah tercapai. Ada dua jenis indikator
penilaian :
1. Indikator Proses Atribut Kapabilitas (Process Capability Attribute),
yang berlaku untuk tingkat kemampuan 1-5.
2. Indikator Proses Kinerja (Process Performance), yang berlaku secara
eksklusif untuk tingkat kemampuan 1.
Indikator proses atribut kapabilitas bersifat umum untuk setiap
atribut proses untuk tingkat kemampuan 1 sampai 5. Untuk tingkat 1, hanya
memiliki satu indikator praktik umum untuk kapabilitas yang sejalan
langsung dengan pencapaian spesifik indikator proses kinerja.
Indikator proses atribut kapabilitas yang digunakan dalam penilaian
kapabilitas proses COBIT 5 yaitu :
43
1. Praktik Umum (General Practice (GP))
2. Produk Kerja Umum (Generic Work Product (GWP))
Gambar 2. 6 Assessment Indicators (ISACA, 2013)
2.4.5.1 Assessment Process Activities
Assessment Process Activities adalah model yang digunakan untuk
sebagai dasar melakukan penilaian capability level setiap proses di COBIT
5 (ISACA, 2013). Pada Assessment Process Activities dibagi menjadi tiga
bagian, Assessment Process – Planning (Initiation, Planning the assessment
dan Briefing), Assessment Process – Assessing (Data collection, Data
analysis dan Process attribute rating) dan Assessment Process – Reporting
(Reporting the results).
1. Initiation
44
Tahap ini berisi penjelasan hasil identifikasi dari informasi yang
telah dikumpulkan. Informasi didapat dari hasil observasi awal,
wawancara dan studi pustaka. Observasi awal dilakukan dengan
mengamati langsung pengelolaan layanan TI pada PT. Solusi
Integrasi Teknologi. Sedangkan wawancara dilakukan secara
langsung dengan pihak-pihak yang bertanggung jawab terhadap
TI dengan mengajukan beberapa pertanyaan.
2. Planning the Assessment
Tahap ini dilakukan rencana penilaian yang bertujuan untuk
mendapatkan hasil evaluasi penilaian capability level. Dengan
dibuatkan kuesioner pada masing-masing proses dan responden
sesuai dengan identifikasi diagram RACI.
3. Briefing
Tahap ini dilakukan penjadwalan penelitian dan pengarahan
kepada responden PT. Solusi Integrasi Teknologi sehingga
memahami input, proses, dan output yang akan dinilai.
4. Data Collection
Tahap ini merupakan pengumpulan seluruh data hasil temuan
yang berhubungan dengan penelitian yang terdapat pada PT.
Solusi Integrasi Teknologi.
5. Data Validation
Tahap ini merupakan tahap validasi data yang bertujuan untuk
mengetahui hasil dari perhitungan kuesioner yang sebelumnya
45
telah dijawab oleh responden sehingga mendapatkan hasil
evaluasi penilaian capability level.
6. Process Attribute Rating
Tahap ini dilakukan proses pemberian level pada setiap atribut
yang bertujuan mengetahui hasil capability level dari hasil
perhitungan kuesioner.
7. Reporting the Result
Tahap ini dilakukan pelaporan hasil evaluasi pada PT. Solusi
Integrasi Teknologi dan memberikan rekomendasi atau langkah
mitigasi dengan menggunakan ISO 31000:2018.
2.4.6 Process Capability Model (Model Proses Kapabilitas)
Process Capability digambarkan dalam bentuk atribut proses yang
dikelompokkan ke dalam tingkat kapabilitas. Tingkat kapabilitas suatu
proses ditentukan atas dasar pencapaian atribut proses tertentu.
Gambar 2. 7 Capability Levels and Process Attributes (ISACA, 2013)
46
Untuk capability level terbagi menjadi level-level sebagai berikut :
0. Incomplete Process
Pada level ini (Level 0) tidak ada tanda upaya dari organisasi
untuk mencapai tujuan atau sasaran proses.
1. Performed Process
Pada level ini (Level 1) tingkatan untuk implementasi proses
untuk mencapai tujuan dari proses tersebut. Ketentuan proses
atribut level 1 sebagai berikut :
a. PA 1.1 Process Performance (Kinerja Proses)
Pengukuran yang berkaitan dengan sampai mana tujuan
sudah tercapai. Pencapaian penuh ditandai dengan
tercapainya tujuan.
Tabel 2. 1 Process Performance (ISACA, 2013)
PA 1.1 Process Management
Hasil Pencapaian Penuh Atribut
Praktik Umum (GPs) Hasil Kerja Umum (GWPs)
Proses meraih GP 1.1.1 Meraih Hasil kerja telah
tujuan yang sudah Hasil Proses. dibuat sehingga
ditentukan Ada bukti bahwa menyediakan bukti praktik-praktik atas hasil proses. dasar dilakukan.
2. Managed Process
Pada level ini (Level 2) proses pelaksanaan di level sebelumnya,
diimplementasikan dan dikelola dengan baik untuk perencanaan
dan pengawasan.
47
a. PA 2.1 Performance Management (Manajemen Kinerja)
Pengukuran terhadap kinerja yang dikelola sudah sampai
sejauh mana. Sebagai hasil pencapaian penuh atribut ini
sebagai berikut :
Tabel 2. 2 Performance Management (ISACA, 2013)
PA 2.1 Performance Management
Hasil Pencapaian Penuh Atribut
Praktik Umum (GPs)
Hasil Kerja Umum (GWPs)
a. Tujuan untuk GP 2.1.1 GWP 1.0 Proses
kinerja proses Identifikasi tujuan dokumentasi
diidentifikasi. untuk seharusnya kinerja proses. menguraikan Penampilan ruang lingkup tujuan, yang proses. tercakup bersama GWP 2.0 dengan asumsi Rencana Proses dan kendala, harus didefinisikan dan memberikan dikomunikasikan. rincian tujuan kinerja proses.
b. Kinerja proses GP 2.1.2 GWP 2.0 Rencana
direncanakan dan Merencanakan dan Proses harus
dipantau. memantau kinerja memberikan dari proses untuk rincian memenuhi tujuan tujuan kinerja yang diidentifikasi. proses. Ukuran dasar GWP 9.0 Proses kinerja proses catatan kinerja terkait harus untuk tujuan bisnis berikan detail ditetapkan dan hasil. dipantau. Itu Catatan: Pada termasuk tonggak level ini, rekaman penting, wajib proses kegiatan, perkiraan kinerja bisa dalam dan jadwal. bentuk laporan, masalah register dan catatan informal.
48
c. Kinerja proses
disesuaikan
dengan
memenuhi
rencana.
GP 2.1.3
Menyesuaikan
kinerja
proses. Tindakan
diambil saat
direncanakan
kinerja tidak
tercapai. Tindakan
termasuk
identifikasi
masalah kinerja
proses
dan penyesuaian
rencana dan jadwal
sebagai sesuai.
GWP 4.0 Catatan
kualitas harus
memberikan
rincian tindakan yang
diambil saat
kinerja tidak
tercapai
d. Tanggung jawab
dan wewenang
untuk melakukan
proses
ditentukan,
ditetapkan dan
dikomunikasikan.
GP 2.1.4 Jelaskan
tanggung jawab
dan
otoritas untuk
melakukan proses
tersebut. Kunci
tanggung jawab
dan wewenang
untuk melakukan
aktivitas utama dari
proses tersebut
ditentukan,
ditugaskan dan
dikomunikasikan.
Kebutuhan untuk
pengalaman proses
kinerja,
pengetahuan dan
keterampilan
ditentukan.
GWP 1.0 Proses
dokumentasi
seharusnya
berikan detail
tentang pemilik
proses dan siapa
bertanggung
jawab, akuntabel,
berkonsultasi dan /
atau
diinformasikan
(RACI).
GWP 2.0 Rencana
Proses harus
mencakup rincian
dari proses
rencana
komunikasi juga
sebagai
pengalaman
kinerja proses,
keterampilan kebutuhan.
e. Sumber daya dan
informasi yang
diperlukan untuk
melakukan proses
tersebut
diidentifikasi,
dibuat tersedia,
dialokasikan dan
digunakan.
GP 2.1.5
Identifikasi dan
sediakan
sumber daya untuk
melakukan proses
yang sesuai
rencana. Sumber
daya dan informasi yang diperlukan
untuk
GWP 2.0 Rencana
Proses harus
memberikan
rincian
dari proses
rencana dan
proses pelatihan
rencana sumber
daya.
49
melakukan
aktivitas utama dari
proses tersebut
diidentifikasi,
disediakan,
dialokasikan dan
digunakan.
f. Antarmuka antara GP 2.1.6 GWP 1.0 Proses
pihak yang Mengelola dokumentasi
terlibat berhasil antarmuka antara seharusnya
memastikan pihak yang terlibat. memberikan
komunikasi yang Individu dan rincian individu
efektif dan tugas kelompok dan kelompok
tanggung jawab terlibat dengan terlibat (pemasok,
yang jelas. proses pelanggan dan diidentifikasi, RACI). tanggung jawab GWP 2.0 Rencana ditentukan dan Proses harus efektif memberikan mekanisme rincian komunikasi proses rencana tersedia. komunikasi.
b. PA 2.2 Work Product Management (Manajemen Produk
Kerja)
Mengukur sampai mana hasil kerja dari pengelolaan proses.
Hasil kerja yang dimaksud adalah hasil dari proses. Sebagai
hasil pencapaian penuh atribut ini sebagai berikut :
Tabel 2. 3 Work Product Management (ISACA, 2013)
PA 2.2 Work Product Management
Hasil Pencapaian Penuh Atribut
Praktik Umum (GPs) Hasil Kerja Umum (GWPs)
a. Persyaratan untuk GP 2.2.1 Tentukan GWP 3.0
hasil kerja dari persyaratan untuk Rencana
proses produk kerja, kualitas harus
didefinisikan. termasuk struktur memberikan konten dan rincian kriteria kualitas. kriteria kualitas dan konten produk kerja dan struktur.
50
b. Persyaratan untuk GP 2.2.2 Tentukan GWP 1.0 Proses
dokumentasi dan persyaratan untuk dokumentasi
kontrol produk dokumentasi dan seharusnya
kerja ditentukan. kontrol pekerjaan memberikan produk. Ini harus rincian kontrol mencakup (matriks identifikasi kontrol). ketergantungan, Rencana persetujuan, dan Kualitas GWP keterlacakan 3.0 harus Persyaratan. memberikan rincian produk kerja, kriteria kualitas, dokumentasi persyaratan dan kontrol perubahan.
c. Produk kerja GP 2.2.3 GWP 3.0
diidentifikasi Mengidentifikasi, Rencana
dengan tepat, mendokumentasikan Kualitas harus
didokumentasikan dan mengontrol memberikan
dan dikendalikan. produk kerja. rincian Produk kerja tunduk produk kerja, pada kriteria kualitas, ubah kontrol, dokumentasi pembuatan versi, persyaratan dan dan konfigurasi kontrol manajemen yang perubahan. sesuai.
d. Produk kerja GP 2.2.4 Meninjau GWP 4.0
ditinjau sesuai dan menyesuaikan Catatan kualitas
dengan produk kerja harus
pengaturan yang memenuhi menyediakan
direncanakan dan persyaratan yang file
disesuaikan ditentukan. Produk jejak audit dari
diperlukan untuk kerja tinjauan yang
memenuhi tunduk pada dilakukan.
persyaratan. peninjauan terhadap
persyaratan di
sesuai dengan
pengaturan yang
direncanakan dan
apapun masalah
yang timbul
diselesaikan.
3. Establised Process
51
Pada level ini (Level 3) pelaksanaan dari level 2 dengan proses
yang sudah direncanakan dengan baik dan mampu memberikan
dampak yang baik.
a. PA 3.1 Process Definition (Pendefinisian Proses)
Mengukur sejauh mana proses dikelola untuk mendukung
pengerjaan dari proses yang telah didefinisikan. Sebagai
hasil pencapaian penuh atribut ini sebagai berikut :
Tabel 2. 4 Process Definition (ISACA, 2013)
PA 3.1 Process Definition
Hasil Pencapaian
Penuh Atribut
Praktik Umum (GPs) Hasil Kerja
Umum (GWPs)
a. Proses standar, GP 3.1.1 Tentukan GWP 5.0 termasuk yang proses standar itu Kebijakan dan
sesuai pedoman akan mendukung standar harus
menjahit, penyebaran yang memberikan
didefinisikan ditentukan rincian tujuan
yang menjelaskan proses. Proses organisasi
elemen standar untuk
fundamental yang didefinisikan itu prosesnya,
harus ada mengidentifikasi standar
dimasukkan ke elemen proses minimum
dalam proses yang fundamental dan kinerja, prosedur
ditentukan. memberikan standar, dan panduan dan pelaporan prosedur untuk dan persyaratan mendukung pemantauan. implementasi dan Bukti panduan tentang persyaratan di bagaimana hal itu tingkat ini bukan bisa terjadi hanya kebijakan disesuaikan saat itu dibutuhkan. dan standar ada, tetapi itu diterapkan di seluruh organisasi.
52
b. Urutan dan GP 3.1.2 Tentukan GWP 5.0
interaksi standar urutan dan Kebijakan dan
proses dengan interaksi antar standar harus
proses lain proses sehingga disediakan
ditentukan. mereka pemetaan proses bekerja sebagai dengan rincian sistem proses yang standar terintegrasi. Itu proses dan urutan proses urutan yang standar dan interaksi diharapkan dan dengan interaksi. proses lain Persyaratan ditentukan dan pembuktian ini dipelihara tingkat tidak ketika suatu proses hanya kebijakan diimplementasikan dan standar yang di bagian yang ada, berbeda tetapi diterapkan organisasi. di seluruh organisasi.
c. Kompetensi dan GP 3.1.3 Identifikasi GWP 5.0
peran yang peran dan Kebijakan dan
dibutuhkan untuk kompetensi standar harus
melakukan suatu untuk melakukan disediakan
proses proses standar. rincian peran dan
diidentifikasi kompetensi
sebagai bagian untuk tampil.
dari proses Persyaratan
standar. pembuktian pada level ini tidak adil bahwa kebijakan dan standar ada, tetapi mereka diterapkan di seluruh organisasi.
d. Infrastruktur dan GP 3.1.4 Identifikasi GWP 5.0 lingkungan kerja infrastruktur yang Kebijakan dan
yang dibutuhkan dibutuhkan standar harus
untuk melakukan dan lingkungan diidentifikasi
suatu proses kerja untuk infrastruktur dan
diidentifikasi melakukan pekerjaan
sebagai bagian proses standar. minimum yang
dari proses Infrastruktur dibutuhkan
standar. (fasilitas, lingkungan alat, metode, dll.) untuk dan lingkungan melakukan kerja untuk proses. Itu
53
melakukan proses
standar
diidentifikasi.
syarat
pembuktian pada
level ini tidak
hanya itu
kebijakan dan
standar ada, tapi
memang begitu
diterapkan di
seluruh organisasi.
e. Metode yang GP 3.1.5 GWP 5.0
sesuai untuk Menentukan metode Kebijakan dan
memantau yang cocok untuk standar harus
efektivitas dan memantau disediakan
kesesuaian proses efektivitas dan rincian tujuan
tersebut bertekad. kesesuaian organisasi untuk proses standar, proses, standar termasuk kinerja memastikannya minimum, kriteria yang sesuai prosedur dan data yang standar, dan dibutuhkan untuk pelaporan dan memantau persyaratan efektivitas dan pemantauan. kesesuaian proses Bukti didefinisikan, dan persyaratan di menetapkan tingkat ini bukan kebutuhan untuk hanya kebijakan melakukan itu audit internal dan dan standar ada, tinjauan manajemen. tetapi itu diterapkan di seluruh organisasi. Catatan Kualitas GWP 4.0 dan Proses GWP 9.0 catatan kinerja harus memberikan bukti tinjauan yang dilakukan.
b. PA 3.2 Process Deployment (Penyebaran Proses)
Mengukur sejauh mana proses secara efektif dijalankan.
Sebagai hasil pencapaian penuh atribut ini adalah sebagai
berikut:
54
Tabel 2. 5 Process Deployment (ISACA, 2013)
PA 3.2 Process Deployment
Hasil Pencapaian Penuh Atribut
Praktik Umum (GPs) Hasil Kerja Umum (GWPs)
a. Proses yang GP 3.2.1 GWP 5.0
ditentukan Menerapkan proses Kebijakan dan
diterapkan yang ditentukan itu standar harus
berdasarkan memenuhi tentukan
standar yang konteksnya. Saat standar yang
dipilih dan / atau proses yang sama harus diikuti di
disesuaikan terjadi semua
dengan tepat digunakan dalam implementasi
proses. berbagai area proses. Bukti organisasi, persyaratan di itu didasarkan pada tingkat ini proses standar, bukan hanya disesuaikan kebijakan itu sebagaimana dan standar ada, mestinya, dengan tetapi itu kesesuaian dengan diterapkan persyaratan proses di seluruh yang ditentukan organisasi. diverifikasi.
b. Peran, tanggung GP 3.2.2 GWP 5.0 jawab dan Menetapkan dan Kebijakan dan
kewenangan yang mengkomunikasikan standar harus
diperlukan untuk peran, memberikan
melakukan proses tanggung jawab dan detail, tanggung
yang ditentukan wewenang untuk jawab dan
ditugaskan dan melakukan wewenang
dikomunikasikan. proses yang untuk ditentukan. Saat melakukan proses yang sama aktivitas proses. terjadi Itu digunakan dalam syarat berbagai area pembuktian organisasi, pada level ini otoritas dan peran tidak hanya itu untuk pertunjukan kebijakan dan kegiatan proses standar ada, tapi ditugaskan dan memang begitu dikomunikasikan. diterapkan di seluruh organisasi.
55
c. Personil GP 3.2.3 Pastikan GWP 1.0 Proses
melakukan proses kompetensi yang dokumentasi
yang ditentukan diperlukan untuk seharusnya
kompeten atas melakukan proses memberikan
dasar yang sesuai yang ditentukan. rincian
pendidikan, Saat sama kompetensi dan
pelatihan dan proses digunakan pelatihan
pengalaman. dalam area yang Persyaratan. berbeda dari GWP 2.0 organisasi, Rencana Proses kompetensi yang harus mencakup sesuai untuk rincian personel yang rencana ditugaskan komunikasi diidentifikasi dan proses, rencana sesuai pelatihan pelatihan tersedia dan rencana bagi mereka yang sumber daya menerapkan untuk setiap proses yang contoh ditentukan. proses.
d. Sumber daya yang GP 3.2.4 GWP 2.0
dibutuhkan dan Menyediakan Rencana Proses
informasi yang sumber daya dan harus mencakup
diperlukan untuk informasi rincian
melakukan proses untuk mendukung dari rencana
yang ditentukan kinerja yang sumber daya
dibuat tersedia, ditentukan untuk setiap
dialokasikan dan proses. Ketika contoh
digunakan. proses yang sama proses. digunakan di dalam
berbagai area
organisasi, yang
diperlukan
sumber daya
manusia dan
informasi untuk
melaksanakan
proses tersedia,
dialokasikan dan
digunakan.
e. Infrastruktur dan GP 3.2.5 GWP 2.0 lingkungan kerja Menyediakan proses Rencana Proses
yang dibutuhkan yang memadai harus mencakup
untuk melakukan infrastruktur untuk rincian
proses yang mendukung kinerja infrastruktur
ditentukan dibuat proses yang proses dan
tersedia, dikelola ditentukan. Saat lingkungan kerja
dan dipelihara. proses yang sama untuk setiap digunakan contoh proses.
56
dalam berbagai area
organisasi,
dukungan organisasi
yang dibutuhkan,
infrastruktur
dan lingkungan kerja
tersedia, dialokasikan dan
digunakan.
f. Data yang sesuai GP 3.2.6 GWP 4.0
dikumpulkan dan Mengumpulkan dan Catatan Kualitas
dianalisis sebagai menganalisis data dan Proses GWP
dasar untuk tentang 9.0
memahami kinerja proses untuk catatan kinerja
perilaku dari menunjukkannya harus
proses untuk kesesuaian dan memberikan
menunjukkan efektivitas. Data bukti
kesesuaiannya diperlukan untuk tinjauan alat
dan efektivitas, memantau yang dilakukan
dan untuk efektivitas dan untuk setiap
mengevaluasi di kesesuaian contoh
mana perbaikan proses di seluruh proses.
terus menerus dari organisasi
proses bisa dibuat. ditentukan,
dikumpulkan dan
dianalisis sebagai
dasar berkelanjutan
perbaikan.
4. Predictable Process
Pada level ini (Level 4) pelaksanaan dari level sebelumnya
dengan menentukan batasan pada pencapaian proses tersebut.
a. PA 4.1 Process Measurement (Pengukuran Proses)
Mengukur sejauh mana hasil pengukuran berguna untuk
mendukung performa proses pencapaian tujuan perusahaan.
Sebagai hasil pencapaian penuh atribut ini adalah sebagai
berikut:
57
Tabel 2. 6 Process Measurement (ISACA, 2013)
PA 4.1 Process Measurement
Hasil Pencapaian Penuh Atribut
Praktik Umum (GPs) Hasil Kerja Umum (GWPs)
a. Memproses
kebutuhan
informasi dalam
dukungan tujuan
bisnis yang
didefinisikan
relevan mapan.
GP 4.1.1 Identifikasi
kebutuhan informasi
proses,
dalam kaitannya
dengan tujuan
bisnis. Bisnis
tujuan dan proses
kebutuhan informasi
pemangku
kepentingan
telah ditetapkan
sebagai dasar untuk
menentukan
pengukuran kinerja
proses tujuan.
GWP 6.0
Rencana
perbaikan proses
seharusnya
memberikan
tujuan
perbaikan
proses dan
tindakan
Perbaikan
yang
diusulkan.
b. Tujuan
pengukuran
proses diturunkan
dari proses
kebutuhan
informasi.
GP 4.1.2 Turunkan
pengukuran proses
tujuan dari
kebutuhan proses
informasi.
Tujuan pengukuran
didasarkan pada
tujuan pengukuran
proses yang ditentukan.
GWP 7.0 Proses
rencana
pengukuran
seharusnya
memberikan
rincian
pengukuran
yang diusulkan
tujuan.
c. Tujuan kuantitatif
untuk proses
kinerja dalam
mendukung bisnis
yang relevan
tujuan ditetapkan.
GP 4.1.3
Menetapkan tujuan
kuantitatif
untuk kinerja proses
yang ditentukan,
sesuai dengan proses
penyelarasan
dengan
pengukuran
kuantitatif tujuan
bisnis
tujuan ditetapkan
secara eksplisit
mencerminkan
tujuan bisnis dan
telah diverifikasi
realistis dan berguna dengan organisasi
GWP 7.0 Proses
rencana
pengukuran
seharusnya
memberikan
rincian
pengukuran
yang diusulkan
ukuran dan
indikator.
58
manajemen dan
pemilik proses.
d. Ukuran dan GP 4.1.4 Identifikasi GWP 7.0
frekuensi produk dan proses Rencana
pengukuran langkah-langkah pengukuran
diidentifikasi dan yang mendukung proses
didefinisikan pencapaian harus
sejalan dengan tujuan kuantitatif memberikan
proses tujuan untuk kinerja proses. rincian langkah-
pengukuran dan Langkah-langkah langkah yang
kuantitatif tujuan rinci untuk produk diusulkan
untuk kinerja dan proses dan indikator
proses. diidentifikasi, bersama dengan bersama dengan pengumpulan frekuensi data pengumpulan dan prosedur dan pengukuran data prosedur serta analitis. mekanisme
verifikasi.
e. Hasil pengukuran GP 4.1.5 GWP 7.0
dikumpulkan Kumpulkan produk Rencana
dianalisis dan dan proses pengukuran
dilaporkan untuk hasil pengukuran proses
memantau sejauh melalui kinerja harus
mana tujuan proses yang memberikan
kuantitatif untuk ditentukan. Produk rincian analitis
kinerja proses dan proses yang diusulkan
terpenuhi. hasil pengukuran Prosedur. dikumpulkan, GWP 9.0 Proses dianalisis dan catatan kinerja dilaporkan sesuai harus dengan rencana memberikan yang ditentukan. rincian pengukuran yang dikumpulkan dan dianalisis.
59
f. Hasil pengukuran GP 4.1.6 Gunakan GWP 9.0 Proses
digunakan untuk hasil yang catatan kinerja
mengkarakterisasi ditentukan harus
kinerja proses. pengukuran untuk memberikan memantau dan rincian memverifikasi pengukuran pencapaian kinerja yang proses dikumpulkan tujuan. Hasil yang dan ditentukan dianalisis. pengukuran
dianalisis untuk
memverifikasi
pencapaian
terhadap tujuan
kinerja proses.
Teknik yang tepat
digunakan untuk
memahami
kinerja proses dan
kemampuan di
dalamnya
batas kontrol yang
ditentukan.
b. PA 4.2 Process Control (Kontrol Proses)
Mengukur sejauh mana kestabilan dan kemampuan proses
secara kuantitatif. Sebagai hasil pencapaian penuh atribut ini
adalah sebagai berikut:
Tabel 2. 7 Process Control (ISACA, 2013)
PA 4.2 Process Control
Hasil Pencapaian Penuh Atribut
Praktik Umum (GPs) Hasil Kerja Umum (GWPs)
a. Teknik analisis GP 4.2.1 Tentukan GWP 1.0 Proses
dan pengendalian analisis dan kontrol dokumentasi
adalah ditentukan teknik yang tepat seharusnya
dan diterapkan untuk mengontrol memberikan
jika proses rincian kontrol
memungkinkan. kinerja. Metode (matriks pengukuran kontrol). efektivitas GWP 8.0 pengendalian proses Rencana didefinisikan pengendalian dan divalidasi. proses harus ada itu
60
menentukan
untuk setiap
proses
pengukuran pendekatan.
b. Batasan kontrol GP 4.2.2 Tentukan GWP 8.0
variasi ditetapkan parameter yang Rencana kendali
kinerja proses sesuai untuk proses harus ada
normal. dikontrol yang kinerja proses. menentukan Proses standar untuk setiap definisi dimodifikasi batas kontrol untuk memasukkan untuk normal metode kinerja. untuk kontrol proses
dan batas kontrol
mapan.
c. Data pengukuran GP 4.2.3 Analisis GWP 9.0 Proses
dianalisis khusus proses dan produk catatan kinerja
penyebab variasi. hasil pengukuran seharusnya untuk memberikan mengidentifikasi rincian variasi pengukuran kinerja proses. Hasil yang dari proses dikumpulkan pengukuran kontrol dan dianalisis untuk dianalisis. menentukan
masalah yang
menjadi perhatian
dan diteruskan untuk
ditindaklanjuti.
d. Tindakan korektif GP 4.2.4 GWP 9.0 Proses diambil untuk Mengidentifikasi catatan kinerja
menangani dan menerapkan seharusnya
khusus korektif memberikan
penyebab variasi. tindakan untuk rincian mengatasi penyebab pengukuran yang dapat yang dialihkan. dikumpulkan Tindakan korektif dan diambil untuk dianalisis dan menangani proses tindakan korektif kekhawatiran diambil. pengendalian dan
hasil dipantau dan
dievaluasi.
61
e. Batas kontrol GP 4.2.5 GWP 8.0
ditetapkan Menetapkan Rencana
kembali (jika kembali batas pengendalian
perlu) kendali berikut proses harus ada
mengikuti tindakan perbaikan. itu
tindakan korektif. Batas kontrol proses menentukan adalah batas kontrol dimodifikasi dengan untuk kinerja tepat setelah normal. tindakan korektif
diambil.
5. Optimizing Process
Pada level ini (Level 5) menggambarkan hasil dari pelaksanaan
level sebelumnya untuk dilakukan pengembangan secara
integritas.
a. PA 5.1 Process Innovation (Inovasi Proses)
Mengukur dan mengidentifikasi perubahan pada proses.
Sebagai hasil pencapaian penuh atribut ini adalah sebagai
berikut:
Tabel 2. 8 Process Innovation (ISACA, 2013)
PA 5.1 Process Innovation
Hasil Pencapaian Penuh Atribut
Praktik Umum (GPs) Hasil Kerja Umum (GWPs)
a. Tujuan perbaikan GP 5.1.1 GWP 7.0
proses untuk Definisikan Rencana
proses perbaikan proses peningkatan
didefinisikan tujuan untuk proses proses
yang mendukung yang mendukung seharusnya
yang relevan tujuan bisnis yang memberikan
tujuan bisnis. relevan. Petunjuk tujuan perbaikan untuk memproses proses dan inovasi ditetapkan. tindakan Kuantitatif dan perbaikan yang kualitatif diusulkan.
62
tujuan perbaikan
proses —
berdasarkan
potensi untuk
inovasi proses juga
visi dan tujuan
bisnis — telah
ditentukan
dan
didokumentasikan.
b. Data yang sesuai GP 5.1.2 GWP 9.0 Proses
dianalisis untuk Menganalisis data catatan kinerja
mengidentifikasi pengukuran dari harus
penyebab umum proses untuk memberikan
variasi dalam mengidentifikasi rincian
proses variasi nyata dan pengukuran
kinerja. potensial yang dalam kinerja dikumpulkan proses. Performa dan proses dianalisis. data dianalisis untuk
mengidentifikasi
variasi
memproses kinerja
bersama dengan root
penyebab masalah
kinerja proses yang
umum.
c. Data yang sesuai GP 5.1.3 GWP 6.0
dianalisis untuk Identifikasi peluang Rencana
mengidentifikasi peningkatan perbaikan proses
peluang untuk dari proses seharusnya
praktik dan berdasarkan inovasi memberikan
inovasi terbaik. dan terbaik rincian analisis praktek. Peluang terhadap praktik peningkatan proses terbaik. diidentifikasi
berdasarkan
perbandingan
dengan industri
praktik terbaik.
63
d. Peluang GP 5.1.4 Dapatkan GWP 6.0
peningkatan peluang peningkatan Rencana
berasal dari proses dari teknologi perbaikan proses
teknologi baru baru dan seharusnya
dan konsep proses konsep proses. memberikan
teridentifikasi. Peningkatan proses rincian analisis peluang teknologi diidentifikasi peluang berdasarkan tinjauan perbaikan. dan analisis
teknologi baru dan
proses inovasi
konsep, dengan
mempertimbangkan
perubahan
lingkungan bisnis
termasuk
risiko bisnis yang
muncul.
e. Strategi GP 5.1.5 Tentukan GWP 6.0
implementasi strategi Rencana
ditetapkan untuk implementasi perbaikan proses
mencapai tujuan berdasarkan visi seharusnya
perbaikan proses. perbaikan jangka memberikan panjang dan rincian strategi tujuan. Strategi implementasi perbaikan proses untuk adalah peningkatan didefinisikan dan proses. divalidasi
berdasarkan jangka
panjang
tujuan dan sasaran
perbaikan.
Komitmen untuk
perbaikan
ditunjukkan
oleh manajemen dan
proses organisasi
pemilik.
b. PA 5.2 Process Optimisation (Optimasi Proses)
Mengukur perubahan definisi, manajemen dan kinerja hasil
proses yang berdampak dalam pencapaian tujuan. Sebagai
hasil dari pencapaian penuh atribut ini adalah sebagai
berikut:
64
Tabel 2. 9 Process Optimisation (ISACA, 2013)
PA 5.2 Process Optimisation
Hasil Pencapaian Penuh Atribut
Praktik Umum (GPs) Hasil Kerja Umum (GWPs)
a. Dampak dari GP 5.2.1 Menilai GWP 6.0
semua perubahan dampak dari setiap Rencana
yang diusulkan usulan perbaikan proses
dinilai berubah terhadap seharusnya
terhadap tujuan tujuan yang berikan detail
dari proses yang ditetapkan proses yang
ditentukan dan proses standar. diperlukan
dan proses Dampak yang peningkatan
standar. diusulkan pendekatan perubahan dinilai kualitas proyek. terhadap tujuan
proses dan untuk
menentukan
dampaknya
kualitas produk dan
kinerja proses juga
seperti proses terkait
lainnya.
b. Implementasi dari GP 5.2.2. Kelola GWP 6.0
semua perubahan implementasi Rencana
yang disepakati menyetujui perbaikan proses
berhasil perubahan pada area seharusnya
memastikan terpilih dari memberikan
bahwa setiap proses yang rincian strategi
gangguan pada ditentukan dan implementasi
kinerja proses standar menurut untuk perbaikan
dipahami dan strategi proses dan bukti
bertindak. implementasi. Perubahan Pelaksanaan dalam: dari perubahan yang • GWP 1.0 disepakati dikelola Dokumentasi sesuai Proses dengan manajemen • GWP 3.0 perubahan dan Rencana perubahan yang Kualitas ditentukan • GWP 5.0 proses Kebijakan dan pemberdayaan. standar
65
c. Berdasarkan GP 5.2.3 GWP 6.0
kinerja aktual, Berdasarkan Rencana
efektivitas kinerja aktual, perbaikan proses
perubahan proses mengevaluasi harus
dievaluasi efektivitas proses memberikan
terhadap perubahan terhadap rincian proses
persyaratan dan kinerja proses, yang diperlukan
proses produk kemampuan peningkatan
yang ditentukan tujuan dan sasaran pendekatan
tujuan untuk bisnis. Keefektifan kualitas proyek.
menentukan dari perubahan
apakah hasilnya yang dilakukan
karena penyebab pada proses diukur,
umum atau dievaluasi dan
khusus. dilaporkan setelah
implementasi.
Tingkatan kapabilitas setiap proses yang dinilai dinyatakan dengan
tingkatan kapabilitas dari 0 sampai 5. Didalam tingkatan 0 sampai 5 terdapat
indikator atribut proses. Pada tingkat 0 tidak memiliki atribut karena tingkat
0 mencerminkan proses tidak diterapkan atau proses gagal mencapai
tujuannya. Setiap tingkat kapabilitas hanya akan dicapai jika tingkat
sebelumnya telah tercapai.
Disetiap penilaian level, hasilnya akan diklasifikasikan dalam 4
kategori sebagai berikut :
1. F (Fully/ Tercapai Penuh)
Tingkat kemampuan yang dicapai lebih dari 85%. Dalam
peringkat ini pencapaian penuh atas atribut proses tersebut dan
pada atribut proses tidak ada kelemahan.
2. L (Largely/ Secara garis besar tercapai)
66
Tingkat kemampuan yang dicapai antara 50-85%. Dalam
peringkat ini pencapaian yang signifikan terhadap proses,
walaupun masih memungkinkan adanya kelemahan.
3. P (Partially/ Tercapai Sebagian)
Tingkat kemampuan yang dicapai antara 15-50%. Dalam
peringkat ini terdapat beberapa pencapaian atribut atas proses.
4. N (Not/ Tidak Tercapai)
Tingkat kemampuan yang dicapai kurang dari 15%. Dalam
peringkat ini tidak ada pencapaian atribut proses.
Suatu proses cukup meraih kategori Largely atau Fully untuk
dapat dinyatakan proses telah meraih suatu level kapabilitas tersebut, namun
proses tersebut harus meraih kategori Fully agar dapat melanjutkan
penilaian ke level kapabilitas selanjutnya.
2.4.7 RACI (Responsible, Accountable, Consulted, Informed) Chart
RACI Chart merupakan sebuah matriks dari semua aktivitas atau
wewenang dalam mengambil keputusan yang dilakukan dalam sebuah
organisasi. Berikut ini penjelasan RACI Chart :
1. Responsible
Menjelaskan tentang peran utama atau penanggung jawab
dalam kegiatan operasional dalam memenuhi kebutuhan dan
menciptakan hasil yang diinginkan.
2. Accountable
67
Menjelaskan tentang peran yang bertanggung jawab atas
seluruh keberhasilan tugas yang telah dilakukan.
3. Consulted
Menjelaskan tentang peran yang memberikan masukan dan
bertanggung jawab untuk memperoleh informasi dari unit lain.
4. Informed
Menjelaskan tentang peran yang menerima informasi dan
bertanggung jawab untuk menerima informasi yang tepat untuk
mengawasi setiap tugas yang dilakukan.
Berikut ini merupakan salah satu diagram RACI berdasarkan
framework COBIT 5 :
Gambar 2. 8 Diagram RACI EDM03 (ISACA, 2012)
Berikut ini tabel penjelasan mengenai peran dan struktur organisasi
yang berkaitan dengan proses risiko dalam COBIT 5:
Jabatan Deskripsi
68
Board Kelompok eksekutif paling senior yang
bertanggung jawab untuk tata kelola
organisasi dan memiliki kontrol keseluruhan
untuk sumber daya.
Executive Commitee Kelompok eksekutif yang ditunjuk oleh
dewan untuk terlibat dalam pengambilan
keputusan. Komite ini biasanya dipimpin
oleh anggota dewan.
CEO Orang yang bertanggung jawab dari
manajemen keseluruhan organisasi.
Chief Risk Officer Eksekutif yang bertanggung jawab untuk
memungkinkan tata kelola yang efisien dan
efektif dari risiko yang signifikan.
Chief Information
Officer / Chief
Technology Officer
Eksekutif yang bertanggung jawab untuk
menyelaraskan TI dan strategi bisnis.
IT Governance
Board
Sekelompok eksekutif paling senior yang
bertanggung jawab atas tata kelola TI dalam
organisasi.
Enterprise Risk
Commite
Komite yang bertanggung jawab untuk
mengevaluasi dan mengawasi risiko yang ada
di perusahaan.
69
Business Process
Owner
Orang yang bertanggung jawab pada proses
kinerja bisnis untuk mewujudkan tujuan dan
mendorong perbaikan proses dan menyetujui
perubahan proses.
Chief Financial
Officer
Orang yang memiliki tanggung jawab
terhadap manajemen keuangan, termasuk
risiko dan kontrol keuangan.
Chief Information
Security Officer
Orang yang bertanggung jawab untuk
keamanan informasi organisasi dalam segala
bentuk.
Business Continuity
Manager
Orang yang mengelola dan merancang,
mengawasi dan menilai kemampuan
kelangsungan usaha suatu organisasi.
Service Manager Orang yang mengelola dan
mengimplementasikan pengelolaan
berkelanjutan baru dan yang sudah ada.
Head Human
Resources
Pejabat yang bertanggung jawab untuk
perencanaan dan kebijakan terhadap sumber
daya manusia di organisasi.
Privacy Officer Orang yang bertanggung jawab untuk
memantau risiko dan dampak bisnis undang-
undang privasi dan membimbing
70
pelaksanaan kebijakan yang akan
memastikan arahan privasi terpenuhi.
Steering Orang yang bertanggung jawab untuk
(Programs/Projects) mendukung program dan proyek manajer,
Committee mengumpulkan informasi tentang
pelaksanaan program dan proyek.
2.5 Pemetaan Tujuan TI Terhadap Proses COBIT 5
Domain proses yang dipilih untuk dilakukan evaluasi didukung oleh COBIT
5. Dalam penelitian ini ditemukan permasalahan PT. Solusi Integrasi Teknologi
pernah mengalami kerusakan data dalam proses back-up data yang merupakan
salah satu upaya mengurangi munculnya risiko TI. Oleh karena permasalahan
tersebut maka dilakukan pemetaan Enterprise Goals terhadap Stakeholder Needs.
Gambar 2. 9 Mapping COBIT 5 Enterprise Goals to Governance and
Management Questions (ISACA. & Lainhart, 2012)
71
Berdasarkan hasil pemetaan, Enterprise Goals yang selaras adalah nomor
tiga yaitu, Managed Business Risk. Setelah menentukan Enterprise Goals pada
penelitian ini maka selanjutnya menentukan IT-related Goals yang selaras, dengan
melakukan pemetaan Enterprise Goals dan IT-related Goals.
Gambar 2. 10 Mapping COBIT 5 Enterprise Goals to IT-related
Goals (ISACA. & Lainhart, 2012)
Pada pemetaan diatas diketahui bahwa nilai “P” merupakan Primary yang
menunjukkan adanya hubungan penting. Sedangkan nilai “S” merupakan
72
Secondary menunjukkan masih ada hubungan yang kuat, tetapi kurang penting.
Pada kolom Enterprise Goals nomor tiga yaitu Managed Business Risk ditemukan
tiga IT-related Goals yang memiliki hubungan yang penting yaitu, (4) Managed IT-
related Business Risk, (10) Security of Information, processing infrastructure and
applications, (16) Competent and motivated business and IT personnel.
Berdasarkan hasil pemetaan diatas maka fokus evaluasi yang akan dilakukan pada
PT. Solusi Integrasi Teknologi yang dipilih dari IT-related goals yang selaras
dengan Enterprise Goals adalah (4) Managed IT-related Business Risk. Setelah
menemukan IT-related goals, selanjutnya adalah penentuan domain yang
digunakan, dengan melakukan pemetaan terhadap 37 proses yang terdapat pada
COBIT 5. Berikut pemetaan IT-related goals pada proses COBIT 5 :
73
Gambar 2. 11 Mapping COBIT 5 IT-Related Goals to Processes (ISACA. &
Lainhart, 2012)
74
Pada pemetaan diatas pada kolom IT-related goals Managed IT-Related
Risk terdapat 15 (lima belas) proses yang memiliki hubungan yang penting terhadap
IT-related goals. Hasil dari pemetaan tersebut peneliti melakukan kuesioner (pra-
penelitian) kepada pihak Divisi IT PT. Solusi Integrasi Teknologi untuk
menentukan domain yang akan menjadi fokus dalam penelitian. Hasil dari
kuesioner (pra penelitian) proses yang dipilih adalah EDM03 (Ensure Risk
Optimisation), APO12 (Manage Risk), APO13 (Manage Security) dan BAI06
(Manage Changes). Hasil dari kuesioner dilampirkan pada dokumen lampiran.
2.6 Fokus Area Tata Kelola Teknologi Informasi
Fokus area domain proses yang dipilih adalah domain Evaluate, Direct and
Monitor pada proses EDM03 (Ensure Optimisation Risk), Align, Plan and Organis
pada proses APO12 (Manage Risk), APO13 (Manage Security) dan domain Build,
Acquire and Implement pada proses BAI06 (Manage Changes).
EDM03 (Ensure Optimisation Risk) adalah memastikan besarnya risiko dan
toleransi perusahaan dipahami, diartikulasikan dan dikomunikasikan. Risiko
terhadap nilai perusahaan yang terkait dengan penggunaan TI dapat diidentifikasi
dan dikelola. Tujuan dari proses ini adalah memastikan bahwa risiko bisnis terkait
TI tidak melebihi risiko perusahaan dan toleransi risiko, dampak risiko TI terhadap
nilai perusahaan dapat diidentifikasi dan dikelola, dan potensi kegagalan dapat
diminimalkan.
APO12 (Manage Risk) adalah mengidentifikasi, menilai, dan mengurangi
risiko terkait TI secara terus-menerus dalam tingkat toleransi yang ditetapkan oleh
75
manajemen eksekutif perusahaan. Tujuan dari proses ini adalah mengintegrasikan
manajemen risiko perusahaan terkait TI dengan manajemen risiko perusahaan
secara keseluruhan dan menyeimbangkan biaya dan manfaat dari pengelolaan risiko
perusahaan terkait TI.
APO13 (Manage Security) adalah mendefinisikan, mengoperasikan dan
mengawasi sistem manajemen keamanan informasi. Tujuan dari proses ini adalah
mengatasi dampak dan kejadian dari insiden keamanan informasi dalam tingkatan
risiko perusahaan.
BAI06 (Manage Changes) adalah mengelola semua perubahan dalam cara
yang terkontrol, termasuk perubahan standar dan pemeliharaan darurat yang
berkaitan dengan proses bisnis, aplikasi dan infrastruktur. Tujuan dari proses ini
adalah memberikan perubahan secara cepat dan tepat pada bisnis dan mitigasi risiko
yang berdampak negatif pada stabilitas atau integritas lingkungan yang berubah.
2.7 ISO 31000:2018
ISO menerbitkan ISO 31000:2018 Risk management — Guidelines. Standar
ini menggantikan ISO 31000:2009 Risk management — Principles and
guidelines yang diterbitkan pada November 2009. ISO 31000 adalah panduan
penerapan risiko yang terdiri atas tiga elemen: prinsip (principle), kerangka kerja
(framework), dan proses (process).
Pada ISO 31000:2018 terdapat tiga perubahan mendasar yaitu sebagai
berikut :
1. Tata Kelola Risiko Menjadi Bagian Terintegrasi
76
Pada versi sebelumnya risk governance menjadi inisiator dalam
membangun kerangka manajemen risiko, kini menjadi bagian yang
tidak terpisahkan dalam proses integrasi manajemen risiko ke dalam
seluruh bagian perusahaan.
2. Manajemen Risiko Dipandang Iteratif
Manajemen risiko iteratif berarti manajemen risiko perusahaan
mengalami penyempurnaan bersamaan dengan berjalannya proses
manajemen risiko.
3. Sistem Diperkaya Konteks Eksternal
ISO 31000:2018 mengatur sistem manajemen risiko untuk menjadi
sistem yang lebih terbuka terhadap konteks eksternal perusahaan,
tujuannya adalah sistem manajemen risiko dapat memenuhi berbagai
tuntutan dari industri luar yang beragam.
ISO 31000:2018 menekankan tujuan manajemen risiko yaitu menciptakan
dan melindungi nilai. Secara umum, ISO 31000:2018 menyederhanakan ISO
31000:2009. Berikut perbedaan ISO 31000:2018 dan ISO 31000:2009 :
Tabel 2. 10 Perbedaan ISO 31000:2019 dan ISO 31000:2009
ISO 31000:2009 ISO 31000:2018
Elemen 3 elemen digambarkan
secara terurut
digambarkan jadi
sistem terbuka dan
saling terkait
Prinsip 11 Prinsip 1 Tujuan dan 8 Prinsip
77
Kerangka Kerja 5 Komponen 6 Komponen
Proses Penetapan konsep lingkup, konteks, dan
kriteria
ISO 31000:2018 sebagai revisi terhadap standar terdahulu yaitu ISO
31000:2009 dijelaskan bahwa perubahan utama ISO 31000:2018 dibanding dengan
ISO 31000:2009 sebagai berikut (Susilo, 2018):
1. Mengkaji prinsip manajemen risiko yang merupakan kriteria kunci
untuk keberhasilan penerapan manajemen risiko.
2. Fokus pada peran kepemimpinan top management dan pentingnya
pengintegrasian manajemen risiko, dimulai dari tata kelola
organisasi.
3. Penekanan yang lebih besar pada sifat berulang manajemen risiko
yang akan memberikan pemahaman bahwa setiap tahapan proses
akan mendapat dan mengalami perubahan akibat dari pengalaman
baru, pengetahuan dan hasil analisis dari kejadian yang dialami oleh
suatu organisasi.
4. Perampingan konten dengan fokus yang lebih besar dan
mempertahankan model sistem terbuka serta bertukar umpan balik
dengan lingkungan eksternal untuk memenuhi berbagai kebutuhan
dan konteks.
78
2.7.1 Prinsip ISO 31000:2018
Prinsip manajemen risiko dalam penciptaan dan perlindungan
nilai, meningkatkan kinerja, mendorong inovasi dan mendukung
pencapaian tujuan (Erlika, et al. 2020). Pada ISO 31000:2009 prinsip
manajemen risiko terdiri dari 11 prinsip sedangkan pada ISO 31000:2018
berubah menjadi 1 tujuan dan 8 prinsip (Mahardika, et al. 2019). Satu
prinsip “Creates Value” diubah menjadi tujuan manajemen risiko dan
dua prinsip “Part of Decision Making” dan “Explicity Addresses
Uncertainty” dihapus. Sehingga disederhanakan menjadi :
1. Integrated (Terintegrasi)
2. Structured and Comprehensive (Terstruktur dan Komprehensif)
3. Customized (Disesuaikan)
4. Inclusive (Inklusif)
5. Dynamic (Dinamis)
6. Best Available Information (Informasi Terbaik yang Tersedia)
7. Human and Cultural Factors (Faktor Manusia dan Budaya)
8. Continual Improvement (Peningkatan Sinambung)
Gambar 2. 12 Prinsip ISO 31000:2018 (Susilo, 2018)
79
2.7.2 Framework ISO 31000:2018
Kerangka kerja manajemen risiko adalah untuk membantu
organisasi dalam mengintegrasikan manajemen risiko ke dalam kegiatan
dan fungsi yang signifikan (Erlika et al., 2020). Pada ISO 31000:2018
memiliki 6 komponen yang pada versi sebelumnya memiliki 5
komponen. Komponen yang berubah yaitu, komponen “Mandate and
Commitment” diubah menjadi “Leadership and Commitment” dan
letaknya dipindahkan menjadi pusat komponen lainnya. Komponen
“Integration” ditambahkan sebagai komponen yang mengawali
komponen lain. Komponen lainnya disederhanakan menjadi sebagai
berikut :
1. Design (Perancangan)
2. Implementation (Implementasi)
3. Evaluation (Evaluasi)
4. Improvement (Perbaikan)
Gambar 2. 13 Framework ISO 31000:2018 (Susilo, 2018)
80
2.7.3 Proses ISO 31000:2018
Proses manajemen risiko adalah proses yang melibatkan
penerapan kebijakan yang sistemastis (Erlika et al., 2020). Proses
manajemen risiko ISO 31000:2018 relatif tidak berubah. Proses
“Establishing the Context” diubah penamaannya menjadi “Scope,
Context, Criteria”. Proses “Recording & Reporting” dicantumkan secara
eksplisit didalam diagram.
Gambar 2. 14 Process ISO 31000:2018 (Susilo, 2018)
2.8 Risiko
Risiko adalah kemungkinan terjadinya suatu peristiwa di masa yang akan
datang, dan jika peristiwa tersebut terjadi, akan mendatangkan kerugian (D. S. dan
W. H. Putri, 2017).
Risiko merupakan suatu keadaan adanya ketidakpastian dan tingkat
ketidakpastiannya terukur secara kuantitatif (Bank et al., 2018). Risiko merupakan
81
bentuk keadaan ketidakpastian tentang suatu keadaan yang akan terjadi nantinya
dengan keputusan yang diambil berdasarkan pertimbangan saat ini.
2.9 Risiko IT
Risiko IT sangat erat kaitannya dengan keamanan informasi, dimana
informasi merupakan asset yang sangat penting bagi sebuah organisasi dan jika
terganggu dapat menimbulkan dampak yang signifikan terhadap proses bisnis
organisasi (Supradono, 2009).
Risiko teknologi informasi merupakan bagian dari risiko operasional karena
sifatnya yang terkait dengan penggunaan aset teknologi informasi untuk
mendukung operasional proses bisnis didalam organisasi. Risiko teknologi
informasi mencakup risiko yang berasal dari internal dan eksternal. Risiko yang
berasal dari internal seperti kegagalan sistem, kegagalan jaringan, kerusakan
hardware & software, kehilangan data. Sedangkan risiko yang berasal dari
eksternal seperti bencana alam (Megawati, et al. 2014).
Tipe risiko dibagi menjadi tiga kategori yaitu, sebagai berikut (C. U. Putri,
2017):
1. IT Benefit / Value Enablement Risk, dimana risiko yang
diidentifikasi masuk ke dalam kategori manfaat atau nilai risiko
TI, yaitu apabila risiko terkait dengan kesempatan untuk
memanfaatkan TI dalam meningkatkan efisiensi atau efektivitas
proses bisnis.
82
2. IT Programme and Project Delivery Risk, dimana risiko yang
diidentifikasi masuk ke dalam kategori manfaat atau nilai risiko
TI, yaitu apabila risiko terkait dengan (kehilangan) kesempatan
untuk memanfaatkan TI dalam meningkatkan efisiensi atau
efektivitas proses bisnis.
3. IT Operations and Service Delivery Risk, dimana risiko yang
diidentifikasi masuk ke dalam kategori operasional dan layanan
risiko TI, yaitu apabila risiko terkait dengan stabilitas
operasional, ketersediaan, perlindungan dan pemulihan layanan
TI, dimana risiko dapat membawa kerugian atau pengurangan
nilai perusahaan.
2.10 Manajemen Risiko TI
Manajemen risiko teknologi informasi adalah kemampuan organisasi dalam
mengurangi risiko-risiko TI yang mungkin akan menghambat pencapaian tujuan
organisasi terkait dengan pemanfaatan TI itu sendiri (Iin et al., 2017).
Pengertian lain dari tentang manajemen risiko teknologi informasi menurut
National Institute of Standards and Technology, manajemen risiko meliputi tiga
proses, yaitu risk assesment, risk mitigation, evaluation assesment.
1. Risk assesment adalah tahap suatu risiko diidentifikasi dan mencari
dampak risiko untuk mencari kontrol mitigasi yang sesuai
2. Risk Mitigation adalah tahap memprioritaskan tingkat keparahan risiko
lalu mengevaluasi penyebab dan dampak risiko dan impelementasikan
83
kontrol yang tepat dalam mengurangi risiko yang sudah diketahui pada
proses risk.
3. Evaluation and assessment adalah tahap ini merupakan kunci dari proses
manajemen risiko dilakukan, dimana risiko yang telah di evaluasi
ditindaklanjuti dengan diberikan panduan best pratice agar manajemen
risiko yang dilakukan berhasil.
2.11 Risk Assessment
Risk Assessment merupakan upaya untuk menghitung besarnya risiko dan
menetapkan apakah risiko tersebut dapat diterima atau tidak (Urrohmah &
Riandadari, 2019).
Penilaian resiko adalah metode sistematis dalam melihat aktivitas kerja,
memikirkan apa yang dapat menjadi buruk, dan memutuskan kendali yang cocok
untuk mencegah terjadinya kerugian, kerusakan, atau cedera di tempat kerja
(Riandi Fauzan, 2016). Penilaian ini harus juga melibatkan pengendalian yang
diperlukan untuk menghilangkan, mengurangi, atau meminimalkan risiko.
Tujuan dari dilakukannya risk assessment adalah untuk menyediakan
informasi berbasis bukti dan analisis untuk membuat keputusan dari bagaimana
mengatasi risiko dan bagaimana memilih dari beberapa opsi (BSN, 2016).
2.11.1 OWASP Risk Rating Methodology
OWASP (Open World Application Security Object) merupakan
suatu organisasi yang memiliki misi yaitu meningkatkan keamanan pada
suatu software. OWASP membuat sebuah metode untuk risk assessment
84
yaitu Risk Rating Methodology. OWASP merumuskan suatu metode
penilaian risiko dalam hal pembobotan pada likelihood dan impact.
Dalam memberikan nilai untuk aspek likelihood dan impact, maka
ditentukan terlebih dahulu faktor-faktor yang berpengaruh terhadap 2
aspek tersebut (Chrisdiyanto et al., n.d.). Perhitungan likelihood dan
impact terdapat level risiko 3 jenjang, yaitu low (0 to <3), medium (3 to
<6), dan high (6 to <9). Perhitungan dilakukan dengan memberikan nilai
pada masing-masing faktor lalu akan dirata-rata (Weol et al., n.d.).
Berikut ini adalah metode risk assessment yang dibuat oleh OWASP :
1. Identifikasi Risiko
2. Menentukan faktor-faktor yang berpengaruh terhadap likelihood
3. Menentukan faktor-faktor yang berpengaruh terhadap impact
4. Menghitung Risk Severity
5. Memutuskan risiko mana saja yang harus diprioritaskan
berdasarkan Risk Severity nya.
2.11.2 Risk Likelihood
Perhitungan likelihood dapat dilakukan langsung dengan membagi
risiko ke dalam beberapa kategori yaitu high, medium, low (Apriatono et
al., n.d.). Untuk mendapatkan nilai likelihood dari setiap faktor risiko
dibutuhkan kriteria-kriteria untuk menilai dari setiap risiko yang ada.
kriteria yang digunakan likelihood sebagai berikut :
1. Skill Level
85
Skill Level merupakan ukuran seberapa tinggi kemampuan yang
dimiliki oleh staff IT. Semakin tinggi kemampuan staff IT maka risiko
akan semakin rendah. Skill level juga merupakan keahilan yang
mempengaruhi terjadinya risiko. Penilaian dihitung dari tingkat
kemampuan dan pengetahuan dalam menangani risiko.
2. Motive
Motive merupakan seberapa termotivasi organisasi untuk
menemukan dan mengeksploitasi risiko.
3. Opportunity
Opportunity merupakan sumber daya dan peluang yang dibutuhkan
organisasi untuk menemukan dan mengeksploitasi risiko.
4. Size
Size merupakan seberapa besar sebuah organisasi untuk menangani
risiko.
5. Ease of Discovery
Ease of Discovery merupakan seberapa mudahnya organisasi ini
menemukan kerentanan yang akan terjadi.
6. Ease of Exploit
Ease of Exploit merupakan seberapa mudahnya bagi oraganisasi untuk
benar-benar mengeksploitasi kerentanan.
7. Awareness
Awareness merupakan seberapa mengenal organisasi terhadap risiko
atau ancaman.
86
8. Intrusion Detection
Intrusion Detection merupakan seberapa besar kemungkinan
eksploitasi terdeteksi.
2.11.3 Risk Impact
Perhitungan impact dapat dilakukan langsung dengan membagi risiko ke
dalam beberapa kategori yaitu high, medium, low. Penentuan impact
terdapat beberapa kriteria yang digunakan untuk menghitung nilai yang
ada (Studi et al., n.d.). Berikut ini kriteria- kriteria yang digunakan untuk
menghitung impact :
1. Loss of Confidentiality
Loss of Confidentiality merupakan seberapa banyak data yang dapat
disebarkan dan seberapa sensitifnya.
2. Loss of Integrity
Loss of Integrity merupakan seberapa banyak data yang bisa rusak dan
seberapa besar rusaknya data.
3. Loss of Availability
Loss of Availability merupakan seberapa banyak layanan yang bisa hilang
dan seberapa penting layanan yang hilang itu.
4. Loss of Accountability
Loss of Accountability merupakan Tindakan terhadap ancaman dapat
ditemukan oleh individu di organisasi.
5. Financial Damage
87
Financial Damage merupakan seberapa banyak kerusakan finansial yang
akan dihasilkan dari eksploitasi.
6. Reputation Damage
Reputation Damage merupakan kerusakan reputasi dari eksploitasi yang
berdampak pada bisnis.
7. Non-Compliance
Non-Compliance merupakan seberapa besar paparan yang timbul dari
ketidakpatuhan.
8. Privacy Violation
Privacy Violation merupakan seberapa banyak privasi pribadi yang dapat
diungkapkan.
2.11.4 Risk Severity
Risk Severity dicari dengan cara mengalikan hasil likelihood terhadap
impact. Dari hasil perhitungan risk severity dapat ditentukan prioritas
masing-masing risiko. Dibawah ini tabel kategori risk severity dari hasil
perkalian antara likelihood dengan impact.
Tabel 2. 11 Kategori Risk Severity
Overall Risk Severity
Impact
HIGH Medium High Critical
MEDIUM Low Medium High
LOW Note Low Medium LOW MEDIUM HIGH
Likelihood
88
2.12 Risk Response
Risk Response dilakukan untuk memilih dan menerapkan langkah-langkah
pengelolaan risiko. Setelah memperhitungkan setiap risiko (Risk Assessment) maka
perlu memutuskan bagaimana merespon setiap risiko. Berikut ini tanggapan risiko
yang dapat diambil dalam merespon risiko (Nursetyawati, et al. 2020):
1. Risk Avoidance
Merupakan sebuah tindakan untuk menghentikan kegiatan/proses yang dapat
menyebabkan risiko yang akan terjadi.
2. Risk Reduction
Merupakan tindakan untuk mengurangi kemungkinan dan dampak dari
risiko.
3. Risk Sharing or Transfer
Merupakan tindakan untuk mengalihkan atau menanggung risiko bersama
atau mengalihkannya dengan pihak lain.
4. Risk Acceptence
Merupakan tindakan menerima risiko yang terjadi tanpa mengambil tindakan
apapun untuk menanggulangi risiko.
2.13 Business Continuity Plan
Business Continuity adalah aktivitas yang dilakukan oleh organisasi untuk
memastikan fungsi bisnis mereka tersedia (Trinckes, 2009). Beberapa langkah yang
harus dilakukan dalam penerapan BCP. Menurut standar CISSP (Certified
Information System Security Profesional), proses BCP meliputi 4 fase, yaitu :
89
1. Penetapan Ruang Lingkup dan Perencanaan
Pada fase ini dilakukan perencanaan kebutuhan penanggung jawab
pelaksana ketika terjadi bencana, wilayah yang perlu dilindungi dan upaya
agar tetap melakukan layanan setelah terjadi bencana.
2. Penetapan Business Impact Assessment (BIA)
Pada fase ini dilakukan pembuatan suatu dokumentasi atau panduan yang
akan digunakan untuk membantu penaksiran atas kelemahan yang muncul
saat terjadi bencana.
3. Pengembangan Business Continuity Plan
Pada fase ini menentukan strategi penyelamatan (back up) serta recovery
pada setiap bencana. Setelah itu dibuat prosedur dalam menghadapi keadaan
darurat tersebut.
4. Persetujuan Rencana dan Implementasi
Pada fase ini dilakukan pengujian Business Continuity Planning, pengujian
sistem yang tersusun serta melakukan evaluasi dan juga perbaikan sistem.
Lalu setelah itu dilakukan pelatihan dan sosialisasi Business Continuity
Planning pada seluruh karyawan dan mengevaluasi hasil dari pelatihan.
Langkah terakhir dilakukan peninjauan ulang BCP sebelum perencanaan
disetujui.
2.14 Disaster Recovery Plan
Disaster Recovery Plan adalah prosedur yang dijalankan saat BCP
berlangsung berupa langkah-langkah untuk penyelamatan dan pemulihan
90
(recovery) khususnya terhadap fasilitas IT dan sistem informasi (Trinckes, 2009).
Proses DRP meliputi :
1. Proses Disaster Recovery Planning
Proses ini adalah pembuatan dan pengembangan rencana pemulihan yang
sama dengan BCP proses. Jika telah dilakukan proses pengembangan
business continuity maka proses pengembangan DRP tidak perlu melakukan
lagi identifikasi dan justifikasi. Perencanaan dibuat hanya untuk menghadapi
bencana, yaitu dengan menentukan strategi dan prosedur yang akan
dilakukan bila bencana benar-benar terjadi.
2. Pengujian Disaster Recovery Planning
Pengujian DRP dilakukan sesuai dengan urutan, mengukuti standar yang
ditetapkan, dan disimulasikan pada keadaan sebenarnya. Bentuk pengujian
DRP yaitu :
1. Check List Test
2. Structured Walk-Through Test
3. Simulation Test
4. Paralel Test
5. Full-interruption Test
3. Prosedur Pemulihan Bencana
2.15 Metode Penelitian
Metode yang digunakan pada penelitian ini adalah sebagai berikut :
91
2.15.1 Metode Pengumpulan Data
1. Observasi
Observasi merupakan teknik pengumpulan data dengan peneliti
melakukan pengamatan secara langsung ke objek penelitian untuk
melihat dari dekat kegiatan yang dilakukan.
2. Wawancara
Wawancara merupakan komunikasi antara dua pihak untuk memperoleh
data, keterangan atau pendapat tentang suatu hal.
3. Kuesioner
Kuesioner merupakan teknik pengumpulan informasi dengan memberi
pertanyaan atau pernyataan yang akan dijawab oleh responden.
4. Studi Pustaka
Studi pustaka merupakan kegiatan untuk mengumpulkan informasi yang
relevan dengan topik yang menjadi objek penelitian. Informasi didapat
dari buku-buku dan website jurnal dan sumber-sumber lain.
2.15.2 Metode Analisis Data
Metode yang digunakan dalam identifikasi capability level, peneliti
menggunakan Assessment Process Activities berdasarkan framework
COBIT 5 yang terdiri dari :
1. Initiation
Tahap ini bertujuan untuk menjelaskan hasil identifikasi dari
beberapa informasi yang dikumpulkan. Beberapa kegiatan yang
telah dilakukan untuk mendapatkan informasi yang berkaitan
92
dengan penelitian yaitu melakukan observasi, wawancara dan
studi pustaka. Observasi dilakukan dengan mengamati langsung
dan mempelajari pengelolaan layanan TI pada PT. Solusi Integrasi
Teknologi. Sedangkan wawancara dilakukan dengan cara
melakukan komunikasi secara langsung dengan pihak-pihak yang
menjadi objek penelitian.
2. Planning the Assessment
Setelah dilakukan analisa dalam initiation maka didapatkan ruang
lingkup proses yang akan dievaluasi, adapun proses yang dipilih
dan dievaluasi yaitu pada proses domain EDM03 (Ensure Risk
Optimation), APO12 (Manage Risk), APO13 (Manage Security)
dan BAI06 (Manage Changes). Pada tahap ini dilakukan penilaian
yang bertujuan untuk mendapatkan hasil evaluasi penilaian
capability.
3. Briefing
Tahap ini dilakukan penjadwalan penelitian dan pengarahan
kepada responden penilai sehingga memahami masukan, proses
dan keluaran yang akan dinilai.
4. Data Collection
Tahap ini dilakukan pengumpulan seluruh data hasil temuan yang
berhubungan dengan penelitian baik berupa data-data, hasil
wawancara dan kuesioner.
5. Data Validation
93
Tahap ini dilakukan pengolahan data kuesioner yang telah
dijawab oleh responden agar mendapatkan evaluasi penilaian
capability level.
6. Process Attribute Level
Tahap ini dilakukan proses memberi level pada atribut yang ada
pada setiap indikator, yang bertujuan untuk menunjukkan hasil
capability level dari perhitungan kuesioner.
7. Reporting the Result
Tahap ini melaporkan hasil evaluasi dan memberikan
rekomendasi kepada PT. Solusi Integrasi Teknologi dengan
menggunakan ISO 31000:2018.
2.15.3 Metode Perhitungan Skala Likert
Penelitian menggunakan skala likert sebagai skala pengukuran.
Skala likert merupakan skala yang menggunakan beberapa butir
pertanyaan dengan merespon 5 titik pilihan pada setiap butir pertanyaan,
Sangat Setuju, Setuju, Ragu-ragu, Tidak Setuju, dan Sangat Tidak Setuju
(Budiaji, 2013).
Skala likert digunakan sebagai skala penilaian karena memberi
nilai terhadap sesuatu (Maryuliana et al., 2016). Skala jawaban pada
skala likert dapat diberi skor seperti :
Butir Pilihan Skor
Sangat Setuju (SS) 5
94
Setuju (S) 4
Ragu-ragu 3
Tidak Setuju 2
Sangat Tidak Setuju 1
Dalam menentukan nilai kapabilitas dan tingkat kapabilitas dari
EDM03, APO12, APO1, BAI06, peneliti menggunakan perhitungan
skala likert (Surendro, 2009):
1. Menghitung Rekapitulasi Jawaban Kuesioner
𝐻 C =
𝐽𝑅
× 100%
C : Rekapitulasi jawaban kuesioner Capability Level (dalam
bentuk persentase pada masing-masing pilihan jawaban a,b,c,d,e
atau f disetiap aktivitas)
H : Jumlah jawaban kuesioner Capability Level pada masing-
masing pilihan jawaban a,b,c,d,e atau f disetiap aktivitas.
JR : Jumlah Responden
2. Menghitung Nilai dan Capability Level
𝑁𝐾 = (𝑁𝑘 × 𝐿𝑃)𝑎 + (𝑁𝑘 × 𝐿𝑃)𝑏 + (𝑁𝑘 × 𝐿𝑃)𝑐 + (𝑁𝑘 × 𝐿𝑃)𝑑 + (𝑁𝑘 × 𝐿𝑃)𝑒 + (𝑁𝑘 × 𝐿𝑃)𝑓
100
Keterangan :
NK : Nilai Kapabilitas pada proses
LP : Level Percentage (Tingkat persentase pada setiap distribusi
jawaban kuesioner capability level)
95
Nk : Nilai kapabilitas yang tertera pada tabel pemetaan jawaban,
nilai dan tingkat kapabilitas.
Pada penelitian ini dibedakan istilah nilai kapabilitas dan
tingkat kapabilitas. Nilai kapabilitas bisa bernilai bilangan pecahan, yang
menggambarkan proses pencapaian menuju suatu tingkat kapabilitas
tertentu. Sedangkan tingkat kapabilitas dinyatakan dalam bilangan bulat,
menunjukkan tahapan yang dicapai dalam proses kapabilitas (Surendro,
2009).
Berikut pemetaan terhadap jawaban, nilai kapabilitas dan
tingkat kapabilitas :
Rentang Nilai Jawaban Nilai Kapabilitas Tingkat Kapabilitas
0 – 0.50 1 0,00 0 Non-Existent
0,51 – 1,50 2 1,00 1 Performed Process
1,51 – 2,50 3 2,00 2 Manage Process
2,51 – 3,50 4 3,00 3 Established Process
3,51 – 4,50 5 4,00 4 Predictable Process
4,51 – 5,00 6 5,00 5 Optimising Process
2.16 Penelitian Sejenis
Berikut ini adalah kajian penelitian sejenis terkait dengan penelitian ini :
NO Nama Penulis Tahun Judul
96
1. Fransisca, Augie,
Alhadi
2018 Evaluasi Manajemen
Risiko Keamanan
Informasi Dengan
Menggunakan
COBIT 5 Subdomain
EDM03 (Ensure
Risk Optimisation)
(Studi Kasus :
Satuan Organisasi
XYZ – Lembaga
ABC)
Penelitian ini menggunakan COBIT 5 subdomain EDM03.
Evaluasi dilakukan untuk mengetahui tingkat kapabilitas
dalam memastikan optimasi risiko yang telah dilaksanakan
terhadap layanan TI. Hasil dari penelitian ini menyatakan
perusahaan berada pada tingkat kapabilitas pada level 1
performed process kategori largely achieved yang berarti
pada level ini proses yang diimplementasikan organisasi
mencapai tujuan prosesnya
2. Riyan 2018 Evaluasi Manajemen
Risiko pada
Perusahaan BUMN
97
menggunakan
Standar COBIT 5
Penelitian ini menggunakan framework COBIT 5 dengan 2
domain proses yaitu EDM03 (Ensure Risk Optimisation) dan
APO12 (Manage Risk). Hasil penelitian menyebutkan bahwa
kemampuan perusahaan dalam menjalankan proses EDM03
dan APO12 sama-sama berada pada level 1 yang berarti pada
proses Ensure Risk Optimation dan Managed Risk di PT
TASPEN telah diimplementasikan, namun belum digunakan
secara optimal dalam mendukung bisnis proses dalam
perusahaan.
3. Megawati , Ana 2018 Evaluasi
Manajemen Resiko
Teknologi
Informasi
Menggunakan
Kerangka Kerja
Cobit 5.0
Metode yang digunakan dalam penelitian ini adalah
Framework COBIT versi 5.0. fokus domain COBIT yang
digunakan pada penilitian ini adalah EDM.03 (Evaluate,
Direct, dan Monitor). Hasil dari penelitian ini berupa nilai
98
kapabilitas serta rekomendasi untuk pencapaian tingkat
kapabilitas terkait proses Evaluate, Direct, dan Monitor.
4. Novia 2018 Evaluasi
Manajemen Risiko
Teknologi
Informasi
Menggunakan
Framework
COBIT 5 (Studi
Kasus : PT. Kimia
Farma (Persero)
Tbk – Plant
Watudakon)
Penelitian ini menggunakan COBIT 5 dengan domain EDM03
dan APO12. Pada penelitian ini juga dilakukan perhitungan
capability level pada setiap domain. Hasil dari penelitian
didapatkan nilai capability level untuk EDM03 pada level 2
dan APO12 pada level 1. Setelah itu dilakukan penilaian
risiko untuk kemudian menentukan langkah mitigasi risiko.
5. Damar, Achmad 2013 Evaluasi
Pelaksanaan
Manajemen Risiko
99
Teknologi
Informasi pada
Kantor Arsip
Daerah Kota
Samarinda dengan
Menggunakan The
Risk IT
Framework
Tahap awal penelitian ini dilakukan deskripsi tingkat
kematangan kondisi saat ini lalu merumuskan program untuk
meningkatkan kondisi kematangan manajemen risiko TI dari
tingkat kematangan saat ini menuju tingkat kematangan yang
diharapkan. Hasil dari penelitian didapatkan proses
pelaksanaan manajemen risiko teknologi pada Kantor Arsip
Daerah Kota Samarinda ada yang beberapa target yang sudah
dicapai dan masih ada target yang belum tercapai. Ini
ditunjukkan dengan atribut tingkat kematangan teknologi
informasi yang sebagian besar berada pada tingkat
kematangan repeatable but intuitive dan defined process.
5. HanimMaria et. Al 2017 Proses Penilaian
Risiko Teknologi
Informasi
100
Berdasarkan
Kerangka COBIT
5 : Studi Kasus
Service Desk ITS
Penelitian ini bertujuan untuk mengidentifikasi dan menilai
risiko, terutama risiko proses TI. Identifikasi dan penilaian
risiko dilakukan untuk menghindari masalah atau gangguan
dalam proses bisnis organisasi dan meminimalkan kerugian.
Pada penelitian ini menggunakan proses COBIT 5 APO12
Manage Risk. Hasil dari penelitian ini adalah sebagian besar
risiko berada pada kategori operasional staf serta keahlian dan
keterampilan IT. Langkah-langkah mitigasi risiko kategori
operasional staf berisi rangkaian kegiatan membuat dan
melaksanakan prosedur tertulis yang bertujuan untuk
meminimalkan salah urus staf.
7. Yani et. Al 2018 Penilaian
Kapabilitas
Penerapan
Manajemen Risiko
Teknologi
Informasi
Menggunakan
101
Kerangka Kerja
COBIT 5 (Studi
pada PDAM Kota
Malang Jawa
Timur)
Penelitian ini bertujuan untuk melakukan penilaian kapabilitas
penerapan manajemen risiko TI dengan menggunakan proses
EDM03 (Ensure Risk Optimisation), APO12 (Manage Risk)
dan APO13 (Manage Security). Dalam penelitian ini
dilakukan tahapan self assessment. Mulai dari pemilihan
proses yang akan dinilai, penilaian untuk level 1, penilaian
untuk level 2-5, merekam semua hasil penilaian, analisis gap
dan pembuatan rekomendasi. Hasil dari penelitian ini adalah
pada domain EDM03, APO12, APO13 target level yang
diharapkan berada pada level 2 sedangkan menurut hasil
penilaian perusahaan berada pada capability level 1. Dari hasil
tersebut telah diberikan 5 rekomendasi untuk proses EDM03,
5 rekomendasi untuk proses APO12 dan 8 rekomendasi untuk
proses APO13 yang dapat diadopsi oleh perusahaan demi
mencapai targeted level yang diinginkan.
8. Agatha et. Al 2019 Evaluasi
Manajemen Risiko
102
Teknologi
Informasi pada
Badan
Perencanaan,
Penelitian dan
Pengembangan
(Barenlitbang)
Kota Malang
Menggunakan
COBIT 5 Domain
EDM03 dan
APO12
Penelitian ini bertujuan untuk mengetahui sejauh mana
penerapan manajemen risiko TI yang telah dilakukan oleh
BARENLITBANG, melakukan penilaian capability level.
Hasil dari penelitian ini adalah penilaian tingkat kapabilitas
pada domain EDM03 adalah level 1 sementara domain
APO12 berada di level 2 dengan kesenjangan 1 level bagi
kedua domain. Terdapat 6 rekomendasi yang disarankan
untuk BARENLITBANG seperti membuat SOP untuk
mengatur manajemen risiko, mengoptimalkan pengawasan
dan evaluasi, membuat risk map, memaksimalkan rencana
103
aksi, meningkatkan kemampuan sumber daya manusia di
BARENLITBANG, dan mengoptimalkan satgas pengendalian
internal.
9. Arief 2017 Evaluasi
Manajemen Risiko
Teknologi
Informasi
Menggunakan
Kerangka Kerja
COBIT 5 (Studi
Kasus pada Perum
Jasa Tirta I
Malang)
Penelitian ini bertujuan untuk mengevaluasi penerapan
manajemen risiko teknologi informasi dengan kerangka kerja
COBIT 5 dengan menggunakan domain EDM03 dan APO12
dan memberikan rekomendasi dan langkah mitigasi untuk
perbaikan manajemen risiko teknologi informasi. Hasil dari
penelitian ini adalah tingkat kemampuan dalam menjalankan
proses EDM03 dan APO12 sama-sama berada pada level 2
yaitu managed process yang berarti telah dikelola dengan
baik. Besarnya gap antara nilai capability level yang saat ini
104
dengan capability level yang ingin dicapai untuk domain
proses EDM03 dan APO13 masing-masing sebesar 1.
10. Krisdana et. Al 2019 Manajemen Risiko
Teknologi
Informasi
Menggunakan ISO
31000:2018 (Studi
Kasus : CV. XY)
Penelitian ini bertujuan untuk menganalisa manajemen risiko
pada bagian IT. Hasil dari penelitian ini adalah PT. CV. XY
belum memenuhi syarat standar ISO 31000:2018, dikarenakan
dari beberapa tahapan pengamatan, wawancara, serta
penilaian terhadap risiko masih banyak yang belum
terpecahkan.
Pada penelitian-penelitian diatas dinyatakan bahwa evaluasi manajemen
risiko dengan menggunakan COBIT 5 banyak menggunakan domain proses
EDM03 dan APO12. Dari penelitian-penelitian tersebut menghasilkan nilai
atau level tingkat kapabilitas pada setiap domain. Dari penelitian sejenis diatas,
kelebihan dari penelitian ini yaitu menggunakan 4 (empat) domain proses yang
terkait dengan manajemen risiko yaitu EDM03 (Ensure Risk Optimisation),
APO12 (Manage Risk), APO13 (Manage Security) dan BAI06 (Manage
105
Changes). Metode analisis data menggunakan Assessment Process Activities.
Untuk risk assessment menggunakan OWASP The Risk Rating Methodology.
Sedangkan untuk rekomendasi langkah mitigasi menggunakan framework ISO
31000:2018 tentang manajemen risiko.
107
BAB III
METODOLOGI PENELITIAN
3.1 Desain Penelitian
Metode penelitian yang digunakan dalam penelitian ini adalah metode
kualitatif, yaitu sebuah metode yang menekankan pada aspek pemahaman lebih
mendalam terhadap suatu permasalahan. Dalam penelitian ini, metode
pengumpulan data dilakukan melalui wawancara. Selain wawancara dilakukan
juga observasi untuk memperkuat hasil.
Data yang dikumpulkan pada penelitian ini adalah data primer
(kuesioner, observasi, wawancara dengan pihak terkait) dan data sekunder
(studi pustaka dari buku-buku, penelitian sebelumnya dan internet).
Pada penelitian ini menggunakan Framework COBIT 5 untuk penilaian
capability level pada divisi IT. COBIT 5 menggunakan model capability level
dalam pengukuran tingkat kinerja berdasarkan mengacu pada ISO 15504/ISO
33000 dan memiliki 6 level dari 0 sampai dengan 5 (Syuhada, 2021). Lalu untuk
langkah mitigasi risiko menggunakan prinsip dari Framework ISO 31000:2018.
ISO 31000:2018 memberikan pedoman manajemen risiko yang dapat
digunakan atau diimplementasikan oleh berbagai jenis organisasi dalam
menghadapi berbagai risiko yang ada pada proses bisnis mereka (Fachrezi,
2021). Sedangkan COBIT 5 hanya memberikan panduan kendali dan tidak
memberikan panduan implementasi operasional (Sumijan & Purnama, 2020).
108
3.2 Initiation
Pada tahap ini dilakukan identifikasi profil PT Solusi Integrasi
Teknologi yang bertujuan untuk memperoleh pemahaman tentang organisasi
ini. Selain itu tahap ini juga dilakukan pengumpulan informasi tentang kondisi
organisasi saat ini yang nantinya akan dievaluasi. Metode pengumpulan data
yang dilakukan peneliti sebagai berikut :
3.2.1 Observasi
Observasi dilakukan untuk mendapatkan data yang
dikumpulkan dengan melakukan pengamatan secara langsung.
Observasi PT Solusi Integrasi Teknologi dimulai pada April 2019
sampai Juni 2019 dengan mengunjungi kantor PT Solusi Integrasi
Teknologi yang beralamatkan di Jalan Jahe II, Larangan, Ciledug,
Tangerang. Jenis observasi yang dilakukan yaitu observasi
nonpartisipan, yaitu peneliti tidak terlibat aktif, tetapi hanya menjadi
pengamat independen.
3.2.3 Wawancara
Wawancara dilakukan sebanyak 3 kali. Pada tanggal 23 Juni.
Wawancara dilakukan dengan Bapak Willy Andika selaku Direksi di
PT. Solusi Integrasi Teknologi. Wawancara pertama diketahui
informasi tentang profil organisasi seperti visi misi, struktur
organisasi serta permasalahan umum yang terjadi dalam penggunaan
TI. Wawancara kedua pada tanggal 10 November dengan Bapak Aldo
Rifki Putra selaku Direksi di PT. Solusi Integrasi dengan tujuan
109
mengetahui kejadian TI yang berisiko yang pernah terjadi dari tahun
2017 sampai dengan tahun 2020. Wawancara ketiga dilakukan pada
tanggal 15 Desember dengan Bapak Aldo Rifki Putra selaku Direksi
di PT. Solusi Integrasi Teknologi dengan tujuan wawancara
membahas kebutuhan untuk penelitian yaitu mengisi kuesioner pra-
penelitian untuk penentuan domain yang akan digunakan dalam
penelitian ini. Semua wawancara dilampirkan.
3.2.4 Kuesioner
Kuesioner penelitian diajukan kepada 9 responden yang telah
ditentukan melalui identifikasi diagram RACI.
Tabel 2. 12 Diagram RACI PT. Solusi Integrasi Teknologi
NO Fungsional Struktur COBIT 5 Fungsi Struktur PT.
Solusi Integrasi
Teknologi
1. Executive Committee Direksi Utama
2. Chief Executive Officer Direksi Utama
3. Chief Risk Officer General Manager
6. Chief Information Security
Officer
IT Manager
7. Chief Technology Officer IT Manager
8. Business Process Owners General Manager
9. Project Management Office IT Manager
110
10. Data Management Function IT Manager
11. Head IT Administration IT Manager
12. Head Development General
Developer/Senior
Developer
13. Head IT Operation IT Manager
14. Service Manager QA & QC
15. Information Security Manager General
Developer/Senior
Developer
16. Business Continuity Manager QA & QC
Pertanyaan dari kuesioner dibuat berdasarkan aktivitas yang
terdapat dalam domain proses EDM03, APO12, APO13 dan BAI06.
Pada EDM03 terdapat 3 sub proses, APO12 terdapat 6 sub proses,
APO13 terdapat 3 sub proses dan BAI06 terdapat 4 sub proses yang
masing-masing memiliki pertanyaan. Setiap jawaban pertanyaan
menggunakan skala likert yang memiliki ketentuan nilai dari 0-5 dan
pada setiap pertanyaan akan mengidentifikasi kondisi saat ini dan
kondisi yang diharapkan.
3.2.5 Studi Pustaka
Studi pustaka digunakan sebagai suatu metode menemukan
teori pendukung yang mendasari masalah yang akan diteliti salam
111
melakukan evaluasi manajemen risiko. Studi pustaka dilakukan
dengan mempelajari teori-teori terkait dengan manajemen risiko,
COBIT 5, dan ISO 31000:2018. Melalui studi pustaka, penulis juga
dapat memperoleh informasi mengenai penelitian sejenis yang dapat
dijadikan referensi dan penambah wawasan terkait dengan penelitian
yang dilakukan. Penelitian ini didukung dengan berbagai sumber
website, buku dan jurnal.
3.3 Planning the Assessment
Tahap ini dilakukan rencana penilaian untuk mendapatkan data yang
akan dibutuhkan pada domain EDM03, APO12, APO13 dan BAI06.
Pertanyaan dari kuesioner dibuat berdasarkan aktivitas yang terdapat dalam
domain proses EDM03, APO12, APO13 dan BAI06. Kuesioner akan diberikan
kepada 9 responden yang telah ditentukan melalui RACI Chart. Pada penelitian
ini menggunakan kuesioner Capability Level dengan penjelasan sebagai
berikut:
1. Uji Coba Instrumen (Kuesioner)
Uji coba instrumen pada penelitian ini bertujuan untuk
mengetahui kualitas dari instrumen mudah dipahami atau tidak oleh
responden. Baik buruknya instrumen akan berpengaruh terhadap benar
tidaknya data yang diperoleh, sedangkan benar tidaknya sangat menentukan
bermutu tidaknya hasil penelitian (Rahardian, 2020). Uji coba dilakukan
dengan 4 responden PT. Solusi Integrasi Teknologi.
112
2. Pembuatan Kuesioner Capability Level
Pembuatan kuesioner ini bertujuan untuk mengetahui level
kapabilitas dari perusahaan dengan menggunakan proses EDM03 Ensure
Risk Optimisation, APO12 Manage Risk, APO13 Manage Security dan
BAI06 Manage Changes. Kuesioner ini dibuat berdasarkan key
management practice dalam COBIT 5. Kuesioner terdiri dari subdomain:
a. EDM03.01 : Evaluasi manajemen risiko
b. EDM03.02 : Mengarahkan manajemen risiko
c. EDM03.03 : Mengawasi manajemen risiko
d. APO12.01 : Mengumpulkan data
e. APO12.02 : Analisis risiko
f. APO12.03 : Memelihara profil risiko
g. APO12.04 : Mengartikulasikan risiko
h. APO12.05 : Mendefinisikan portofolio tindakan
manajemen risiko
j. APO12.06 : Menanggapi risiko
k. APO13.01 : Membangun dan memelihara sistem
manajemen keamanan informasi
l. APO13.02 : Mendefinisikan dan mengelola rencana
perlakuan risiko keamanan informasi
113
m. APO13.03 : Memantau dan meninjau sistem
manajemen keamanan informasi
n. BAI06.01 : Mengevaluasi, memprioritaskan dan
mengotorasi permintaan perubahan
o. BAI06.02 : Mengelola perubahan darurat
p. BAI06.03 : Melacak dan melaporkan status
perubahan
q. BAI06.04 : Tutup dan dokumentasikan perubahan
Kuesioner dibuat sebagai alat bantu pengumpulan data. Kuesioner
ini ditujukan untuk responden sesuai dengan diagram RACI. Setiap
aktivitas dijadikan pertanyaan untuk mengetahui tingkat kematangan.
Pengukuran yang digunakan pada penelitian ini menggunakan skala
likert.
3. Purposive Sampling
Pada tahap ini proses untuk EDM03, APO12, APO13 dan BAI06
ditentukan dengan identifikasi diagram RACI yang terdapat pada COBIT
5. Berdasarkan diagram RACI yang terdapat pada EDM03, APO12,
APO13 dan BAI06 telah dikonversikan dengan struktur organisasi yang
berada di PT. Solusi Integrasi Teknologi. Berikut ini pihak-pihak yang
akan menjadi responden pada penelitian ini:
Tabel 3. 1 Pemetaan RACI Chart ke Struktur Organisasi Proses
EDM03
114
NO Fungsional Struktur COBIT 5 Fungsi Struktur
Divisi IT PT. Solusi
Integrasi Teknologi
1. Executive Committee IT Manager
2. Chief Executive Officer IT Manager
3. Chief Risk Officer IT Manager
4. Chief Information Security
Officer
IT Manager
Tabel 3. 2 Pemetaan RACI Chart ke Struktur Organisasi Proses
APO12
NO Fungsional Struktur COBIT 5 Fungsi Struktur
Divisi IT PT.
Solusi Integrasi
Teknologi
1. Chief Executive Officer IT Manager
2. Chief Technology Officer IT Manager
3. Business Process Owners IT Manager
4. Project Management Office IT Manager
5. Data Management Function IT Manager
6. Head IT Administration IT Manager
7. Head Development Senior Developer
8. Head IT Operation IT Manager
9. Service Manager QA & QC
10. Information Security Manager Senior Developer
11. Business Continuity Manager QA & QC
Tabel 3. 3 Pemetaan RACI Chart ke Struktur Organisasi Proses
APO13
NO Fungsional Struktur COBIT 5 Fungsi Struktur
PT. Solusi
Integrasi
Teknologi
1. Chief Executive Officer IT Manager
2. Chief Information Officer IT Manager
3. Business Process Owners IT Manager
115
4. Project Management Office IT Manager
5. Head IT Administration IT Manager
7. Head Development Senior Developer
8. Head IT Operation IT Manager
9. Information Security Manager Senior Developer
10. Business Continuity Manager QA & QC
3.4 Briefing
Tabel 3. 4 Pemetaan RACI Chart ke Struktur Organisasi Proses
BAI06
NO Fungsional Struktur COBIT 5 Fungsi Struktur
PT. Solusi
Integrasi
Teknologi
1. Chief Information Officer IT Manager
2. Business Process Owners IT Manager
3. Project Management Office IT Manager
4. Head Development Senior Developer
5. Head IT Operation IT Manager
Tahap ini dilakukan pengarahan pengisian kuesioner kepada responden
yang telah ditentukan berdasarkan diagram RACI sehingga responden dapat
memahami input, proses dan output dalam unit organisasi yang akan dinilai.
Pada briefing dilakukan menentukan jadwal penilaian, kendala yang dihadapi
dalam melakukan penilaian, peran dan tanggung jawab, dan lain-lain.
3.5 Data Collection
Pada tahap ini dilakukan pengumpulan data dari hasil temuan yang
terdapat pada PT. Solusi Integrasi Teknologi. Pengumpulan data dilakukan
116
dengan wawancara dan observasi kepada pihak terkait untuk dapat menemukan
bukti-bukti penilaian evaluasi pada aktivitas yang telah dijalankan.
3.6 Data Validation
Pada tahap ini dilakukan validasi data dari kuesioner yang telah diisi
oleh responden PT. Solusi Integrasi Teknologi. Tahap ini bertujuan untuk
rekapitulasi hasil perhitungan kuesioner agar mendapatkan evaluasi penilaian
capability level.
3.7 Process Attribute Level
Pada tahap ini dilakukan pemberian tingkat pada atribut setiap indikator
proses kapabilitas yang bertujuan untuk menunjukkan hasil capability level
yang didasarkan dari hasil perhitungan kuesioner dan setelahnya dilakukan
analisis gap.
3.8 Penilaian Risiko
Tahap ini peneliti dilakukan identifikasi dan analisis risiko untuk
kepentingan langkah mitigasi selanjutnya yang akan diambil. Penilaian risiko
menggunakan Risk Rating Methodology yang dikeluarkan oleh OWASP.
3.9 Reporting the Result
Pada tahap ini dilakukan pelaporan hasil dari evaluasi yang telah
dilakukan dengan tujuan memberikan rekomendasi untuk PT. Solusi Integrasi
Teknologi. Langkah mitigasi pada penelitian ini menggunakan ISO 31000:2018
yang khusus membahas manajemen risiko.
117
3.10 Kerangka Penelitian
Metode penelitian digambarkan pada diagram berikut ini :
118
Gambar 3. 1 Kerangka Penelitian
120
BAB IV
HASIL DAN PEMBAHASAN
4.1 Initiation
4.1.1 Gambaran Umum PT. Solusi Integrasi Teknologi
PT. Solusi Integrasi Teknologi adalah perusahaan pengembangan
yang bergerak di bidang teknologi informasi, terutama dalam pembuatan
software yang sangat berpengalaman dan berkualitas di berbagai sektor
bidang bisnis. PT. Solusi Integrasi Teknologi didirikan sejak 01 Agustus
2011 yang telah melayani layanan IT untuk klien mulai dari software
development, maintenance service, konsultasi IT, dan analisa bisnis
perusahaan.
4.1.2 Visi dan Misi PT. Solusi Integrasi Teknologi
Berikut ini visi dan misi dari PT. Solusi Integrasi Teknologi :
Visi
1. Terdepan dalam pengembangan Ilmu Pengetahuan Teknologi.
Misi
1. Memberikan solusi terbaik sesuai keinginan dengan hasil maksimal.
2. Menjadi mitra tepercaya yang mampu memberikan manfaat nyata.
3. Memberikan inovasi terbaru dalam pengembangan teknologi demi
hidup yang lebih baik.
4.1.3 Struktur Organisasi PT. Solusi Integrasi Teknologi
Berikut ini adalah struktur organisasi PT. Solusi Integrasi Teknologi :
121
Gambar 4. 1 Struktur Organisasi PT. Solusi Integrasi Teknologi
4.1.4 Peran dan Tanggung Jawab
1. Direktur Utama
Direktur utama bertanggung jawab untuk menjadi koordinator,
komunikator, pengambil keputusan, pengelola, sekaligus pemimpin.
Tugas dari direktur utama yaitu mengimplementasikan visi dan misi,
Menyusun strategi bisnis, melakukan evaluasi, mengawasi proses
bisnis yang sedang berjalan pada PT. Solusi Integrasi Teknologi.
2. General Manager
122
General manager bertanggung jawab untuk mengarahkan fungsi
kerja divisi dibawahnya. General manager mengarahkan dan
mengendalikan kebijakan PT. Solusi Integrasi Teknologi secara
optimal menetapkan proses dan standar bisnis serta mempertahankan
kualitas layanan dengan menetapkan dan menerapkan standar yang
telah dibuat.
3. Direktur Marketing
Direktur Marketing bertanggung jawab pada operasi pemasaran
secara keseluruhan seperti merencanakan, mengoordinasikan strategi
pemasaran layanan/jasa pada PT. Solusi Integrasi Teknologi.
4. Divisi HRD dan Keuangan bertanggung jawab untuk melakukan
pemetaan struktur organisasi, penilaian kinerja karyawan,
merencanakan dan mengkoordinaksikan pelaporan pembayaran
kewajiban pajak dan gaji seluruh karyawan PT. Solusi Integrasi
Teknologi.
5. Divisi IT bertanggung jawab untuk mengerjakan proyek aplikasi dari
client , mengatur jaringan yang ada di PT Solusi Integrasi Teknologi
dan mengkoordinasikan permasalahan IT kepada direksi.
4.1.5 Struktur Organisasi Divisi IT PT. Solusi Teknologi Informasi
Penelitian ini berfokus pada permasalahan yang ada di divisi IT.
Berikut ini struktur organisasi divisi IT pada PT. Solusi Integrasi
Teknologi :
123
Gambar 4. 2 Struktur Organisasi Divisi IT PT. Solusi Integrasi Teknologi
1. IT Manager bertanggung jawab untuk melakukan pengembangan
sistem informasi dan teknologi pada PT. Solusi Integrasi
Teknologi. Selain itu bertanggung jawab dalam memastikan
sistem IT berjalan lancar dalam pengembangan software dan
memutuskan solusi jika terjadi permasalahan terkait dengan IT.
Melakukan analisis dan desain terhadap sistem dan aplikasi
pengembangan IT dan merekrut dan melatih seluruh programmer
yang ada di PT. Solusi Integrasi Teknologi.
2. General Developer bertanggung jawab pada perancangan
software yang sesuai dengan permintaan klien. General
Developer terbagi menjadi dua Front End developer dan Back
End developer. Front End developer bertugas untuk membuat
dan mengembangkan fitur interface pada aplikasi dan
memastikan aplikasi berjalan baik di beberapa device. Back End
developer bertugas untuk memastikan fungsi dari aplikasi
berjalan sesuai dengan permintaan klien, membuat kode yang
reusable.
124
3. Senior Developer bertanggung jawab untuk menganalisis sistem
yang dibutuhkan oleh klien dan memastikan aplikasi yang
dikembangkan sesuai dengan permintaan analisis flow yang
diberikan oleh klien.
4. QA & QC bertanggung jawab untuk melaksanakan pengujian
terhadap software yang telah dibuat oleh developer, membuat
alur pengujian serta membuat laporan dari hasil pengujian. Selain
itu, QA & QC mengevaluasi kecukupan standar jaminan kualitas
dan mendokumentasikan audit internal dan kegiatan jaminan
kualitas lainnya.
4.2 Planning the Assessment
Hasil dari tahap ini adalah sebagai berikut :
4.2.1 Penentuan Area Penelitian
Area penilaian untuk penelitian ini khusus untuk bagian TI dari PT.
Solusi Integrasi Teknologi.
4.2.2 Penentuan Responden dengan RACI Chart
Untuk menentukan responden, peneliti menggunakan diagram
RACI dan menyesuaikan tugas dan fungsi dari struktur organisasi TI
PT. Solusi Integrasi Teknologi kepada Roles and Organisational
Structures dalam diagram RACI COBIT 5. Berikut ini responden
penelitian dari hasil pemetaan :
125
Berdasarkan matrik diagram RACI proses EDM03, peneliti
mendapatkan 1 responden yang sesuai dengan COBIT 5.
Tabel 4. 1 Pemetaan Diagram RACI Proses EDM03
No. Fungsional Struktur COBIT 5 Fungsi Struktur Divisi
IT PT. Solusi
Integrasi Teknologi
1. Executive Committee, Chief Executive
Officer, Chief Risk Officer, Chief
Information Security Officer
IT Manager
Berdasarkan matrik diagram RACI proses APO12, peneliti
mendapatkan 3 responden yang sesuai dengan COBIT 5.
Tabel 4. 2 Pemetaan Diagram RACI Proses APO12
No. Fungsional Struktur COBIT 5 Fungsi Struktur Divisi
IT PT. Solusi Integrasi
Teknologi
1. Chief Executive Officer, Chief
Technology Officer, Business Process
Owners, Project Management Office
IT Manager
2. Data Management Function, Head IT
Administration, Service Manager,
Business Continuity Manager
QA & QC
3. Head Development, Information Security
Manager
Senior Developer
Berdasarkan matrik diagram RACI proses APO13, peneliti
mendapatkan 3 responden yang sesuai dengan COBIT 5.
126
Tabel 4. 3 Pemetaan Diagram RACI Proses APO13
No. Fungsional Struktur COBIT 5 Fungsi Struktur Divisi
IT PT. Solusi Integrasi
Teknologi
1. Chief Executive Officer, Chief
Information Officer, Business Process
Owners, Project Management Office,
Head IT Operation
IT Manager
2. Head IT Administration, Service
Manager, Business Continuity Manager
QA & QC
3. Head Development, Information Security
Manager
Senior Developer
Berdasarkan matrik diagram RACI proses BAI06, peneliti
mendapatkan 2 responden yang sesuai dengan COBIT 5.
Tabel 4. 4 Pemetaan Diagram Raci Proses BAI06
No. Fungsional Struktur COBIT 5 Fungsi Struktur Divisi
IT PT. Solusi Integrasi
Teknologi
1. Chief Information Officer, Business
Process Owners, Project Management
Office, Head IT Operation
IT Manager
2. Head Development Senior Developer
4.2.3 Uji Coba Instrumen
Uji coba dilakukan kepada 4 responden PT. Solusi Integrasi
Teknologi. Hasil dari uji coba adalah responden memahami masing-
masing pertanyaan dari setiap proses EDM03, APO12, APO13, dan
BAI06. Catatan untuk penulisan kuesioner perbaiki tampilan tabel yang
terputus kehalaman selanjutnya.
127
4.2.4 Rincian Jawaban Kuesioner EDM03 (Ensure Risk Optimisation)
1. Aktivitas Proses EDM03.01 (Evaluasi Manajemen Risiko)
Berikut ini adalah rincian jawaban kuesioner EDM03.01 :
Tabel 4. 5 Rincian Jawaban Kuesioner EDM03.01
No Kode Kuesioner Aktivitas 1 Aktivitas 2
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 EDM03.01 - Aldo ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 3 Aktivitas 4
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 EDM03.01 - Aldo ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 5 Aktivitas 6
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 EDM03.01 - Aldo ✓ ✓ ✓ ✓
Berdasarkan tabel rincian jawaban kuesioner EDM03.01
menunjukkan bahwa pada aktivitas 1 pada kondisi as is terdapat
1 responden yang memberi penilaian pada level 4. Sementara
pada kondisi to be 1 responden memberi penilaian pada level 5.
Pada aktivitas 2 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 3 dan kondisi to be 1 responden
memberikan penilaian pada level 5.
Pada aktivitas 3 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 4 dan kondisi to be 1 responden
memberikan penilaian pada level 5.
128
Pada aktivitas 4 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 4 dan kondisi to be 1 responden
memberikan penilaian pada level 5.
Pada aktivitas 5 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 1 dan kondisi to be 1 responden
memberikan penilaian pada level 4.
Pada aktivitas 6 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 1 dan kondisi to be 1 responden
memberikan penilaian pada level 3.
2. Aktivitas Proses EDM03.02 (Mengarahkan Manajemen Risiko)
Berikut ini adalah rincian jawaban kuesioner EDM03.02 :
Tabel 4. 6 Rincian Jawaban Kuesioner EDM03.02
No Kode Kuesioner Aktivitas 1 Aktivitas 2
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 EDM03.02 - Aldo ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 3 Aktivitas 4
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 EDM03.02 - Aldo ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 5 Aktivitas 6
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 EDM03.02 - Aldo ✓ ✓ ✓ ✓
Berdasarkan tabel rincian jawaban kuesioner EDM03.02
menunjukkan bahwa pada aktivitas 1 pada kondisi as is terdapat
129
1 responden yang memberi penilaian pada level 4. Sementara
pada kondisi to be 1 responden memberi penilaian pada level 5.
Pada aktivitas 2 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 4 dan kondisi to be 1 responden
memberikan penilaian pada level 5.
Pada aktivitas 3 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 3 dan kondisi to be 1 responden
memberikan penilaian pada level 5.
Pada aktivitas 4 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 4 dan kondisi to be 1 responden
memberikan penilaian pada level 5.
Pada aktivitas 5 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 4 dan kondisi to be 1 responden
memberikan penilaian pada level 5.
Pada aktivitas 6 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 1 dan kondisi to be 1 responden
memberikan penilaian pada level 5.
3. Aktivitas Proses EDM03.03 (Mengawasi Manajemen Risiko)
Berikut ini adalah rincian jawaban kuesioner EDM03.03 :
Tabel 4. 7 Rincian Jawaban Kuesioner EDM03.03
No Kode Kuesioner Aktivitas 1 Aktivitas 2
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
130
1 EDM03.03 - Aldo ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 3 Aktivitas 4
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 EDM03.03 - Aldo ✓ ✓ ✓ ✓
Berdasarkan tabel rincian jawaban kuesioner EDM03.03
menunjukkan bahwa pada aktivitas 1 pada kondisi as is terdapat
1 responden yang memberi penilaian pada level 1. Sementara
pada kondisi to be 1 responden memberi penilaian pada level 5.
Pada aktivitas 2 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 3 dan kondisi to be 1 responden
memberikan penilaian pada level 5.
Pada aktivitas 3 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 0 dan kondisi to be 1 responden
memberikan penilaian pada level 3.
Pada aktivitas 4 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 0 dan kondisi to be 1 responden
memberikan penilaian pada level 4.
4.2.5 Rincian Jawaban Kuesioner APO12 (Manage Risk)
1. Aktivitas Proses APO12.01 (Mengumpulkan Data)
Berikut ini adalah rincian jawaban kuesioner APO12.01 :
Tabel 4. 8 Rincian Jawaban Kuesioner APO12.01
No Kode Kuesioner Aktivitas 1 Aktivitas 2
As is To be As is To be
131
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 APO12.01 - Widya ✓ ✓ ✓ ✓
2 APO12.01 - Aldo ✓ ✓ ✓ ✓
3 APO12.01 - Rangga ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 3 Aktivitas 4
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 APO12.01 - Widya ✓ ✓ ✓ ✓
2 APO12.01 - Aldo ✓ ✓ ✓ ✓
3 APO12.01 - Rangga ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 5 Aktivitas 6
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 APO12.01 - Widya ✓ ✓ ✓ ✓
2 APO12.01 - Aldo ✓ ✓ ✓ ✓
3 APO12.01 - Rangga ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 7
As is To be
0 1 2 3 4 5 0 1 2 3 4 5
1 APO12.01 - Widya ✓ ✓
2 APO12.01 - Aldo ✓ ✓
3 APO12.01 - Rangga ✓ ✓
Berdasarkan tabel rincian jawaban kuesioner APO12.01
menunjukkan bahwa pada aktivitas 1 pada kondisi as is terdapat
3 responden yang memberi penilaian pada level 2. Sementara
pada kondisi to be 3 responden memberi penilaian pada level 5.
Pada aktivitas 2 kondisi as is terdapat 2 responden yang
memberi penilaian pada level 2 dan terdapat 1 responden yang
memberi penilaian pada level 4. Sementara untuk kondisi to be
terdapat 3 responden yang memberi penilaian pada level 5.
132
Pada aktivitas 3 kondisi as is terdapat 2 responden yang
memberi penilaian pada level 2 dan terdapat 1 responden yang
memberi penilaian pada level 4. Sementara untuk kondisi to be
terdapat 1 responden yang memberi penilaian pada level 4 dan
terdapat 2 responden yang memberi penilaian pada level 5.
Pada aktivitas 4 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 2, terdapat 1 responden yang
memberi penilaian pada level 3 dan terdapat 1 responden yang
memberi penilaian pada level 4. Sementara untuk kondisi to be
terdapat 1 responden yang memberi penilaian pada level 4 dan
terdapat 2 responden yang memberi penilaian pada level 5.
Pada aktivitas 5 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 2 dan terdapat 2 responden yang
memberi penilaian pada level 3. Sementara untuk kondisi to be
terdapat 3 responden yang memberi penilaian pada level 5.
Pada aktivitas 6 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 1 dan terdapat 2 responden yang
memberi penilaian pada level 3. Sementara untuk kondisi to be
terdapat 2 responden yang memberi penilaian pada level 4 dan
terdapat 1 responden yang memberi penilaian pada level 5.
Pada aktivitas 7 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 2, terdapat 1 responden yang
133
memberi penilaian pada level 3 dan terdapat 1 responden yang
memberi penilaian pada level 4. Sementara untuk kondisi to be
terdapat 3 responden yang memberi penilaian pada level 5.
2. Aktivitas Proses APO12.02 (Menganalisis Risiko)
Berikut ini adalah rincian jawaban kuesioner APO12.02 :
Tabel 4. 9 Rincian Jawaban Kuesioner APO12.02
No Kode Kuesioner Aktivitas 1 Aktivitas 2
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 APO12.02 - Widya ✓ ✓ ✓ ✓
2 APO12.02 - Aldo ✓ ✓ ✓ ✓
3 APO12.02 - Rangga ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 3 Aktivitas 4
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 APO12.02 - Widya ✓ ✓ ✓ ✓
2 APO12.02 - Aldo ✓ ✓ ✓ ✓
3 APO12.02 - Rangga ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 5 Aktivitas 6
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 APO12.02 - Widya ✓ ✓ ✓ ✓
2 APO12.02 - Aldo ✓ ✓ ✓ ✓
3 APO12.02 - Rangga ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 7
As is To be
0 1 2 3 4 5 0 1 2 3 4 5
1 APO12.02 - Widya ✓ ✓
2 APO12.02 - Aldo ✓ ✓
3 APO12.02 - Rangga ✓ ✓
Berdasarkan tabel rincian jawaban kuesioner APO12.02
menunjukkan bahwa pada aktivitas 1 pada kondisi as is terdapat
1 responden yang memberi penilaian pada level 1, 1 responden
yang memberi penilaian pada level 2 dan terdapat 1 responden
134
yang memberi penilaian pada level 4. Sementara pada kondisi to
be 1 responden memberi penilaian pada level 4 dan 2 responden
memberi penilaian pada level 5.
Pada aktivitas 2 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 1 dan terdapat 2 responden yang
memberi penilaian pada level 3. Sementara untuk kondisi to be 1
responden memberi penilaian pada level 4 dan 2 responden
memberi penilaian pada level 5.
Pada aktivitas 3 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 0, 1 responden yang memberi
penilaian pada level 2 dan 1 responden memberi penilaian pada
level 3. Sementara untuk kondisi to be terdapat 2 responden yang
memberi penilaian pada level 4 dan terdapat 1 responden yang
memberi penilaian pada level 5.
Pada aktivitas 4 kondisi as is terdapat 2 responden yang
memberi penilaian pada level 0, terdapat 1 responden yang
memberi penilaian pada level 1. Sementara untuk kondisi to be
terdapat 2 responden yang memberi penilaian pada level 4 dan
terdapat 1 responden yang memberi penilaian pada level 5.
Pada aktivitas 5 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 2, 1 responden yang memberi
penilaian pada level 3 dan 1 responden memberi penilaian pada
135
level 4. Sementara untuk kondisi to be terdapat 3 responden yang
memberi penilaian pada level 5.
Pada aktivitas 6 kondisi as is terdapat 2 responden yang
memberi penilaian pada level 4 dan terdapat 1 responden yang
memberi penilaian pada level 5. Sementara untuk kondisi to be 3
responden yang memberi penilaian pada level 5.
Pada aktivitas 7 kondisi as is terdapat 2 responden yang
memberi penilaian pada level 2, terdapat 1 responden yang
memberi penilaian pada level 3. Sementara untuk kondisi to be
terdapat 3 responden yang memberi penilaian pada level 5.
3. Aktivitas Proses APO12.03 (Mempertahankan Profil Risiko)
Berikut ini adalah rincian jawaban kuesioner APO12.03 :
Tabel 4. 10 Rincian Jawaban Kuesioner APO12.03
No Kode Kuesioner Aktivitas 1 Aktivitas 2
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 APO12.03 - Widya ✓ ✓ ✓ ✓
2 APO12.03 - Aldo ✓ ✓ ✓ ✓
3 APO12.03 - Rangga ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 3 Aktivitas 4
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 APO12.03 - Widya ✓ ✓ ✓ ✓
2 APO12.03 - Aldo ✓ ✓ ✓ ✓
3 APO12.03 - Rangga ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 5 Aktivitas 6
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 APO12.03 - Widya ✓ ✓ ✓ ✓
136
2 APO12.03 - Aldo ✓ ✓ ✓ ✓
3 APO12.03 - Rangga ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 7
As is To be
0 1 2 3 4 5 0 1 2 3 4 5
1 APO12.03 - Widya ✓ ✓
2 APO12.03 - Aldo ✓ ✓
3 APO12.03 - Rangga ✓ ✓
Berdasarkan tabel rincian jawaban kuesioner APO12.03
menunjukkan bahwa pada aktivitas 1 pada kondisi as is terdapat
1 responden yang memberi penilaian pada level 1, 1 responden
yang memberi penilaian pada level 3 dan terdapat 1 responden
yang memberi penilaian pada level 4. Sementara pada kondisi to
be 3 responden memberi penilaian pada level 5.
Pada aktivitas 2 kondisi as is terdapat 2 responden yang
memberi penilaian pada level 2 dan terdapat 1 responden yang
memberi penilaian pada level 4. Sementara untuk kondisi to be 1
responden memberi penilaian pada level 4 dan 2 responden
memberi penilaian pada level 5.
Pada aktivitas 3 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 0, 2 responden yang memberi
penilaian pada level 2. Sementara untuk kondisi to be terdapat 1
responden yang memberi penilaian pada level 3 dan terdapat 2
responden yang memberi penilaian pada level 5.
137
Pada aktivitas 4 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 1, terdapat 2 responden yang
memberi penilaian pada level 3. Sementara untuk kondisi to be
terdapat 1 responden yang memberi penilaian pada level 4 dan
terdapat 2 responden yang memberi penilaian pada level 5.
Pada aktivitas 5 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 2, 2 responden yang memberi
penilaian pada level 3. Sementara untuk kondisi to be terdapat 1
responden yang memberi penilaian pada level 4 dan terdapat 2
responden yang memberi penilaian pada level 5.
Pada aktivitas 6 kondisi as is terdapat 2 responden yang
memberi penilaian pada level 2 dan terdapat 1 responden yang
memberi penilaian pada level 4. Sementara untuk kondisi to be
terdapat 1 responden yang memberi penilaian pada level 3 dan
terdapat 2 responden yang memberi penilaian pada level 5.
Pada aktivitas 7 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 1, terdapat 2 responden yang
memberi penilaian pada level 2. Sementara untuk kondisi to be
terdapat 2 responden yang memberi penilaian pada level 4 dan
terdapat 1 responden yang memberi penilaian pada level 5.
4. Aktivitas Proses APO12.04 (Mengartikulasikan Risiko)
Berikut ini adalah rincian jawaban kuesioner APO12.04:
138
Tabel 4. 11 Rincian Jawaban Kuesioner APO12.04
No Kode Kuesioner Aktivitas 1 Aktivitas 2
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 APO12.04 - Widya ✓ ✓ ✓ ✓
2 APO12.04 - Aldo ✓ ✓ ✓ ✓
3 APO12.04 - Rangga ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 3 Aktivitas 4
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 APO12.04 - Widya ✓ ✓ ✓ ✓
2 APO12.04 - Aldo ✓ ✓ ✓ ✓
3 APO12.04 - Rangga ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 5
As is To be
0 1 2 3 4 5 0 1 2 3 4 5
1 APO12.04 - Widya ✓ ✓
2 APO12.04 - Aldo ✓ ✓
3 APO12.04 - Rangga ✓ ✓
Berdasarkan tabel rincian jawaban kuesioner APO12.04
menunjukkan bahwa pada aktivitas 1 pada kondisi as is terdapat
1 responden yang memberi penilaian pada level 1, 2 responden
yang memberi penilaian pada level 3. Sementara pada kondisi to
be 1 responden memberi penilaian pada level 3 dan 2 responden
memberi penilaian pada level 5.
Pada aktivitas 2 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 2, 1 responden yang memberi
penilaian pada level 3 dan 1 responden memberi penilaian pada
level 4. Sementara untuk kondisi to be 1 responden memberi
139
penilaian pada level 4 dan 2 responden memberi penilaian pada
level 5.
Pada aktivitas 3 kondisi as is terdapat 2 responden yang
memberi penilaian pada level 1, 1 responden yang memberi
penilaian pada level 3. Sementara untuk kondisi to be terdapat 3
responden yang memberi penilaian pada level 4.
Pada aktivitas 4 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 0, terdapat 1 responden yang
memberi penilaian pada level 2 dan 1 responden memberi
penilaian pada level 3. Sementara untuk kondisi to be terdapat 1
responden yang memberi penilaian pada level 3, 1 responden yang
memberi penilaian pada level 4 dan 1 responden memberi
penilaian pada level 5.
Pada aktivitas 5 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 2, 2 responden yang memberi
penilaian pada level 4. Sementara untuk kondisi to be terdapat 1
responden yang memberi penilaian pada level 4 dan terdapat 2
responden yang memberi penilaian pada level 5.
5. Aktivitas Proses APO12.05 (Mendefinisikan portofolio tindakan
manajemen risiko)
Berikut ini adalah rincian jawaban kuesioner APO12.05 :
Tabel 4. 12 Rincian Jawaban Kuesioner APO12.05
140
No Kode Kuesioner Aktivitas 1 Aktivitas 2
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 APO12.05 - Widya ✓ ✓ ✓ ✓
2 APO12.05 - Aldo ✓ ✓ ✓ ✓
3 APO12.05 – Rangga ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 3
As is To be
0 1 2 3 4 5 0 1 2 3 4 5
1 APO12.05 - Widya ✓ ✓
2 APO12.05 - Aldo ✓ ✓
3 APO12.05 - Rangga ✓ ✓
Berdasarkan tabel rincian jawaban kuesioner APO12.05
menunjukkan bahwa pada aktivitas 1 pada kondisi as is terdapat
1 responden yang memberi penilaian pada level 0, 2 responden
yang memberi penilaian pada level 2. Sementara pada kondisi to
be 1 responden memberi penilaian pada level 4 dan 2 responden
memberi penilaian pada level 5.
Pada aktivitas 2 kondisi as is terdapat 2 responden yang
memberi penilaian pada level 1, 1 responden yang memberi
penilaian pada level 3. Sementara untuk kondisi to be 2 responden
memberi penilaian pada level 4 dan 1 responden memberi
penilaian pada level 5.
Pada aktivitas 3 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 2, 2 responden yang memberi
penilaian pada level 3. Sementara untuk kondisi to be terdapat 3
responden yang memberi penilaian pada level 5.
141
6. Aktivitas Proses APO12.06 (Menanggapi Risiko)
Berikut ini adalah rincian jawaban kuesioner APO12.06 :
Tabel 4. 13 Rincian Jawaban Kuesioner APO12.06
No Kode Kuesioner Aktivitas 1 Aktivitas 2
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 APO12.06 - Widya ✓ ✓ ✓ ✓
2 APO12.06 - Aldo ✓ ✓ ✓ ✓
3 APO12.06 - Rangga ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 3 Aktivitas 4
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 APO12.06 - Widya ✓ ✓ ✓ ✓
2 APO12.06 - Aldo ✓ ✓ ✓ ✓
3 APO12.06 - Rangga ✓ ✓ ✓ ✓
Berdasarkan tabel rincian jawaban kuesioner APO12.06
menunjukkan bahwa pada aktivitas 1 pada kondisi as is terdapat
1 responden yang memberi penilaian pada level 1, 1 responden
yang memberi penilaian pada level 2, dan terdapat 1 responden
memberi penilaian pada level 3. Sementara pada kondisi to be 1
responden memberi penilaian pada level 4 dan 2 responden
memberi penilaian pada level 5.
Pada aktivitas 2 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 1, 1 responden yang memberi
penilaian pada level 2 dan 1 responden memberi penilaian pada
level 4. Sementara untuk kondisi to be 1 responden memberi
142
penilaian pada level 4 dan 2 responden memberi penilaian pada
level 5.
Pada aktivitas 3 kondisi as is terdapat 2 responden yang
memberi penilaian pada level 3, 1 responden yang memberi
penilaian pada level 4. Sementara untuk kondisi to be 1 responden
memberi penilaian pada level 4 dan 2 responden memberi
penilaian pada level 5.
Pada aktivitas 4 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 2, terdapat 2 responden yang
memberi penilaian pada level 4. Sementara untuk kondisi to be
terdapat 3 responden yang memberi penilaian pada level 5.
4.2.6 Rincian Jawaban Kuesioner APO13 (Manage Security)
1. Aktivitas Proses APO13.01 (Membangun dan memelihara sistem
manajemen keamanan informasi)
Berikut ini adalah rincian jawaban kuesioner APO13.01 :
Tabel 4. 14 Rincian Jawaban Kuesioner APO13.01
No Kode Kuesioner Aktivitas 1 Aktivitas 2
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 APO13.01 - Farah ✓ ✓ ✓ ✓
2 APO13.01 - Aldo ✓ ✓ ✓ ✓
3 APO13.01 - Raka ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 3 Aktivitas 4
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 APO13.01 - Farah ✓ ✓ ✓ ✓
2 APO13.01 - Aldo ✓ ✓ ✓ ✓
143
3 APO13.01 - Raka ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 5 Aktivitas 6
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 APO13.01 - Farah ✓ ✓ ✓ ✓
2 APO13.01 - Aldo ✓ ✓ ✓ ✓
3 APO13.01 - Raka ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 7
As is To be
0 1 2 3 4 5 0 1 2 3 4 5
1 APO13.01 - Farah ✓ ✓
2 APO13.01 - Aldo ✓ ✓
3 APO13.01 - Raka ✓ ✓
Berdasarkan tabel rincian jawaban kuesioner APO13.01
menunjukkan bahwa pada aktivitas 1 pada kondisi as is terdapat
1 responden yang memberi penilaian pada level 1, 1 responden
yang memberi penilaian pada level 2 dan terdapat 1 responden
yang memberi penilaian pada level 3. Sementara pada kondisi to
be 2 responden memberi penilaian pada level 4 dan 1 responden
memberi penilaian pada level 5.
Pada aktivitas 2 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 1, 1 responden yang memberi
penilaian pada level 3 dan terdapat 1 responden yang memberi
penilaian pada level 4. Sementara untuk kondisi to be 2 responden
memberi penilaian pada level 4 dan 1 responden memberi
penilaian pada level 5.
144
Pada aktivitas 3 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 2, 2 responden yang memberi
penilaian pada level 3. Sementara untuk kondisi to be terdapat 2
responden yang memberi penilaian pada level 4 dan terdapat 1
responden yang memberi penilaian pada level 5.
Pada aktivitas 4 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 0, terdapat 1 responden yang
memberi penilaian pada level 1, dan terdapat 1 responden yang
memberi penilaian pada level 3. Sementara untuk kondisi to be
terdapat 1 responden yang memberi penilaian pada level 2, 1
responden yang memberi penilaian pada level 4 dan terdapat 1
responden yang memberi penilaian pada level 5.
Pada aktivitas 5 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 1, 1 responden yang memberi
penilaian pada level 2, dan terdapat 1 responden yang memberi
penilaian pada level 3. Sementara untuk kondisi to be terdapat 2
responden yang memberi penilaian pada level 4 dan terdapat 1
responden yang memberi penilaian pada level 5.
Pada aktivitas 6 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 1, 1 responden yang memberi
penilaian pada level 2 dan terdapat 1 responden yang memberi
penilaian pada level 3. Sementara untuk kondisi to be terdapat 2
145
responden yang memberi penilaian pada level 4 dan terdapat 1
responden yang memberi penilaian pada level 5.
Pada aktivitas 7 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 1, terdapat 1 responden yang
memberi penilaian pada level 3, dan terdapat 1 responden yang
memberi penilaian pada level 4. Sementara untuk kondisi to be
terdapat 2 responden yang memberi penilaian pada level 4 dan
terdapat 1 responden yang memberi penilaian pada level 5.
2. Aktivitas Proses APO13.02 (Menentukan dan mengelola rencana
perlakuan risiko keamanan informasi)
Berikut ini adalah rincian jawaban kuesioner APO13.02 :
Tabel 4. 15 Rincian Jawaban Kuesioner APO13.02
No Kode Kuesioner Aktivitas 1 Aktivitas 2
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 APO13.02 - Farah ✓ ✓ ✓ ✓
2 APO13.02 - Aldo ✓ ✓ ✓ ✓
3 APO13.02 - Raka ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 3 Aktivitas 4
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 APO13.02 - Farah ✓ ✓ ✓ ✓
2 APO13.02 - Aldo ✓ ✓ ✓ ✓
3 APO13.02 - Raka ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 5 Aktivitas 6
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 APO13.02 - Farah ✓ ✓ ✓ ✓
2 APO13.02 - Aldo ✓ ✓ ✓ ✓
3 APO13.02 - Raka ✓ ✓ ✓ ✓
146
No Kode Kuesioner Aktivitas 7
As is To be
0 1 2 3 4 5 0 1 2 3 4 5
1 APO13.02 - Farah ✓ ✓
2 APO13.02 - Aldo ✓ ✓
3 APO13.02 - Raka ✓ ✓
Berdasarkan tabel rincian jawaban kuesioner APO13.02
menunjukkan bahwa pada aktivitas 1 pada kondisi as is terdapat
1 responden yang memberi penilaian pada level 0, 1 responden
yang memberi penilaian pada level 1 dan terdapat 1 responden
yang memberi penilaian pada level 3. Sementara pada kondisi to
be 1 responden memberi penilaian pada level 4 dan 2 responden
memberi penilaian pada level 5.
Pada aktivitas 2 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 0, 1 responden yang memberi
penilaian pada level 1 dan terdapat 1 responden yang memberi
penilaian pada level 3. Sementara untuk kondisi to be 1 responden
memberi penilaian pada level 3, 1 responden memberi penilaian
pada level 4, dan terdapat 1 responden memberi penilaian pada
level 5.
Pada aktivitas 3 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 0, 1 responden yang memberi
penilaian pada level 2, dan terdapat 1 responden yang memberi
penilaian pada level 3. Sementara untuk kondisi to be terdapat 1
147
responden yang memberi penilaian pada level 4 dan terdapat 2
responden yang memberi penilaian pada level 5.
Pada aktivitas 4 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 0, terdapat 1 responden yang
memberi penilaian pada level 3, dan terdapat 1 responden yang
memberi penilaian pada level 4. Sementara untuk kondisi to be
terdapat 2 responden yang memberi penilaian pada level 4, 1
responden yang memberi penilaian pada level 5.
Pada aktivitas 5 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 1, 1 responden yang memberi
penilaian pada level 2, dan terdapat 1 responden yang memberi
penilaian pada level 3. Sementara untuk kondisi to be terdapat 2
responden yang memberi penilaian pada level 4 dan terdapat 1
responden yang memberi penilaian pada level 5.
Pada aktivitas 6 kondisi as is terdapat 2 responden yang
memberi penilaian pada level 0, 1 responden yang memberi
penilaian pada level 2. Sementara untuk kondisi to be terdapat 1
responden yang memberi penilaian pada level 4 dan terdapat 2
responden yang memberi penilaian pada level 5.
Pada aktivitas 7 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 1 dan terdapat 2 responden yang
memberi penilaian pada level 2. Sementara untuk kondisi to be
148
terdapat 1 responden yang memberi penilaian pada level 4 dan
terdapat 2 responden yang memberi penilaian pada level 5.
3. Aktivitas Proses APO13.03 (Memantau dan Mengulas Sistem
Manajemen Keamanan Informasi)
Berikut ini adalah rincian jawaban kuesioner APO13.03 :
Tabel 4. 16 Rincian Jawaban Kuesioner APO13.03
No Kode Kuesioner Aktivitas 1 Aktivitas 2
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 APO13.03 - Farah
✓ ✓ ✓ ✓
2 APO13.03 - Aldo
✓ ✓ ✓ ✓
3 APO13.03 - Raka
✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 3 Aktivitas 4
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 APO13.03 - Farah ✓ ✓ ✓ ✓
2 APO13.03 - Aldo ✓ ✓ ✓ ✓
3 APO13.03 - Raka ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 5
As is To be
0 1 2 3 4 5 0 1 2 3 4 5
1 APO13.03 - Farah ✓ ✓
2 APO13.03 - Aldo ✓ ✓
3 APO13.03 - Raka ✓ ✓
Berdasarkan tabel rincian jawaban kuesioner APO13.03
menunjukkan bahwa pada aktivitas 1 pada kondisi as is terdapat
1 responden yang memberi penilaian pada level 0, 2 responden
yang memberi penilaian pada level 2. Sementara pada kondisi to
be 1 responden memberi penilaian pada level 4 dan 2 responden
memberi penilaian pada level 5.
149
Pada aktivitas 2 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 0, 1 responden yang memberi
penilaian pada level 1 dan terdapat 1 responden yang memberi
penilaian pada level 2. Sementara untuk kondisi to be 1 responden
memberi penilaian pada level 3, 1 responden memberi penilaian
pada level 4, dan terdapat 1 responden memberi penilaian pada
level 5.
Pada aktivitas 3 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 0, 1 responden yang memberi
penilaian pada level 1, dan terdapat 1 responden yang memberi
penilaian pada level 3. Sementara untuk kondisi to be terdapat 2
responden yang memberi penilaian pada level 4 dan terdapat 1
responden yang memberi penilaian pada level 5.
Pada aktivitas 4 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 1, terdapat 1 responden yang
memberi penilaian pada level 2, dan terdapat 1 responden yang
memberi penilaian pada level 3. Sementara untuk kondisi to be
terdapat 1 responden yang memberi penilaian pada level 4, 2
responden yang memberi penilaian pada level 5.
Pada aktivitas 5 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 1, 1 responden yang memberi
penilaian pada level 2, dan terdapat 1 responden yang memberi
150
penilaian pada level 3. Sementara untuk kondisi to be terdapat 1
responden yang memberi penilaian pada level 4 dan terdapat 2
responden yang memberi penilaian pada level 5.
4.2.7 Rincian Jawaban Kuesioner BAI06 (Manage Changes)
1. Aktivitas Proses BAI06.01 (Mengevaluasi,memprioritaskan dan
mengotorisasi permintaan perubahan)
Berikut ini adalah rincian jawaban kuesioner BAI06.01 :
Tabel 4. 17 Rincian Jawaban Kuesioner BAI06.01
No Kode Kuesioner Aktivitas 1 Aktivitas 2
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 BAI06.01 - Raka ✓ ✓ ✓ ✓
2 BAI06.01 - Aldo ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 3 Aktivitas 4
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 BAI06.01 - Raka ✓ ✓ ✓ ✓
2 BAI06.01 - Aldo ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 5 Aktivitas 6
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 BAI06.01 - Raka ✓ ✓ ✓ ✓
2 BAI06.01 - Aldo ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 7
As is To be
0 1 2 3 4 5 0 1 2 3 4 5
1 BAI06.01 - Raka ✓ ✓
2 BAI06.01 - Aldo ✓ ✓
Berdasarkan tabel rincian jawaban kuesioner BAI06.01
menunjukkan bahwa pada aktivitas 1 pada kondisi as is terdapat
1 responden yang memberi penilaian pada level 1, 1 responden
151
yang memberi penilaian pada level 2. Sementara pada kondisi to
be 1 responden memberi penilaian pada level 4 dan 1 responden
memberi penilaian pada level 5.
Pada aktivitas 2 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 2, 1 responden yang memberi
penilaian pada level 3. Sementara untuk kondisi to be 1 responden
memberi penilaian pada level 4, 1 responden memberi penilaian
pada level 5.
Pada aktivitas 3 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 3, 1 responden yang memberi
penilaian pada level 4. Sementara untuk kondisi to be terdapat 1
responden yang memberi penilaian pada level 4 dan terdapat 1
responden yang memberi penilaian pada level 5.
Pada aktivitas 4 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 1, terdapat 1 responden yang
memberi penilaian pada level 3. Sementara untuk kondisi to be
terdapat 1 responden yang memberi penilaian pada level 4, 1
responden yang memberi penilaian pada level 5.
Pada aktivitas 5 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 2, 1 responden yang memberi
penilaian pada level 3. Sementara untuk kondisi to be terdapat 1
152
responden yang memberi penilaian pada level 4 dan terdapat 1
responden yang memberi penilaian pada level 5.
Pada aktivitas 6 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 1, 1 responden yang memberi
penilaian pada level 2. Sementara untuk kondisi to be terdapat 1
responden yang memberi penilaian pada level 4 dan terdapat 1
responden yang memberi penilaian pada level 5.
Pada aktivitas 7 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 1 dan terdapat 1 responden yang
memberi penilaian pada level 4. Sementara untuk kondisi to be
terdapat 1 responden yang memberi penilaian pada level 1 dan
terdapat 1 responden yang memberi penilaian pada level 5.
2. Aktivitas Proses BAI06.02 (Mengelola Perubahan Darurat)
Berikut ini adalah rincian jawaban kuesioner BAI06.02 :
Tabel 4. 18 Rincian Jawaban Kuesioner BAI06.02
No Kode Kuesioner Aktivitas 1 Aktivitas 2
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 BAI06.02 - Raka ✓ ✓ ✓ ✓
2 BAI06.02 - Aldo ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 3 Aktivitas 4
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 BAI06.02 - Raka ✓ ✓ ✓ ✓
2 BAI06.02 - Aldo ✓ ✓ ✓ ✓
153
Berdasarkan tabel rincian jawaban kuesioner BAI06.02
menunjukkan bahwa pada aktivitas 1 pada kondisi as is terdapat
2 responden yang memberi penilaian pada level 2. Sementara
pada kondisi to be 1 responden memberi penilaian pada level 4
dan 1 responden memberi penilaian pada level 5.
Pada aktivitas 2 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 1, 1 responden yang memberi
penilaian pada level 2. Sementara untuk kondisi to be 1 responden
memberi penilaian pada level 4, 1 responden memberi penilaian
pada level 5.
Pada aktivitas 3 kondisi as is terdapat 2 responden yang
memberi penilaian pada level 2. Sementara untuk kondisi to be
terdapat 1 responden yang memberi penilaian pada level 4 dan
terdapat 1 responden yang memberi penilaian pada level 5.
Pada aktivitas 4 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 0, terdapat 1 responden yang
memberi penilaian pada level 1. Sementara untuk kondisi to be 2
responden yang memberi penilaian pada level 5.
3. Aktivitas Proses BAI06.03 (Melacak dan melaporkan status
perubahan)
Berikut ini adalah rincian jawaban kuesioner BAI06.03 :
Tabel 4. 19 Rincian Jawaban Kuesioner BAI06.03
154
No Kode Kuesioner Aktivitas 1 Aktivitas 2
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 BAI06.03 - Raka ✓ ✓ ✓ ✓
2 BAI06.03 - Aldo ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 3 Aktivitas 4
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 BAI06.03 - Raka ✓ ✓ ✓ ✓
2 BAI06.03 - Aldo ✓ ✓ ✓ ✓
Berdasarkan tabel rincian jawaban kuesioner BAI06.03
menunjukkan bahwa pada aktivitas 1 pada kondisi as is terdapat
1 responden yang memberi penilaian pada level 1, 1 responden
yang memberi penilaian pada level 5. Sementara pada kondisi to
be 1 responden memberi penilaian pada level 4 dan 1 responden
memberi penilaian pada level 5.
Pada aktivitas 2 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 1, 1 responden yang memberi
penilaian pada level 5. Sementara untuk kondisi to be 1 responden
memberi penilaian pada level 4, 1 responden memberi penilaian
pada level 5.
Pada aktivitas 3 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 2, 1 responden yang memberi
penilaian pada level 3. Sementara untuk kondisi to be terdapat 2
responden yang memberi penilaian pada level 5.
155
Pada aktivitas 4 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 1, terdapat 1 responden yang
memberi penilaian pada level 5. Sementara untuk kondisi to be
terdapat 1 responden yang memberi penilaian pada level 4, 1
responden yang memberi penilaian pada level 5.
4. Aktivitas Proses BAI06.04 (Menutup dan mendokumentasikan
perubahan)
Berikut ini adalah rincian jawaban kuesioner BAI06.04 :
Tabel 4. 20 Rincian Jawaban Kuesioner BAI06.04
No Kode Kuesioner Aktivitas 1 Aktivitas 2
As is To be As is To be
0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5
1 BAI06.04 - Raka ✓ ✓ ✓ ✓
2 BAI06.04 - Aldo ✓ ✓ ✓ ✓
No Kode Kuesioner Aktivitas 3
As is To be
0 1 2 3 4 5 0 1 2 3 4 5
1 BAI06.04 - Raka ✓ ✓
2 BAI06.04 - Aldo ✓ ✓
Berdasarkan tabel rincian jawaban kuesioner BAI06.04
menunjukkan bahwa pada aktivitas 1 pada kondisi as is terdapat
1 responden yang memberi penilaian pada level 2, 1 responden
yang memberi penilaian pada level 3. Sementara pada kondisi to
be 1 responden memberi penilaian pada level 4 dan 1 responden
memberi penilaian pada level 5.
156
Pada aktivitas 2 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 1, 1 responden yang memberi
penilaian pada level 2. Sementara untuk kondisi to be 1 responden
memberi penilaian pada level 4, 1 responden memberi penilaian
pada level 5.
Pada aktivitas 3 kondisi as is terdapat 1 responden yang
memberi penilaian pada level 2, 1 responden yang memberi
penilaian pada level 4. Sementara untuk kondisi to be terdapat 2
responden yang memberi penilaian pada level 5.
4.3 Briefing
Pada tahap ini peneliti menentukan jadwal penelitian kepada para responden.
Tahap ini dilakukan dengan divisi TI di PT. Solusi Integrasi Teknologi terkait
dengan data-data yang dibutuhkan untuk proses input penelitian, proses yang akan
dilakukan peneliti dan output yang akan dihasilkan dari penelitian ini.
Peneliti menentukan jadwal untuk pelaksanaan pengumpulan data dengan
menggunakan kuesioner yaitu mulai tanggal 18 Februari 2021 sampai 25 Februari
2021 dan melakukan rekapitulasi hasil perhitungan pada tanggal 27 Februari 2021
sampai tanggal 6 Maret 2021.
Tabel 4. 21 Tahap Briefing
Desember Januari Februari Maret
Initiation
157
Planning the
Assessment
Briefing
Data Collection
Data Validation
Process Attribute
Level
Reporting the Result
4.4 Data Collection
Pada tahap ini dilakukan pengumpulan bukti atau temuan yang terdapat pada divisi
TI PT. Solusi Integrasi Teknologi berdasarkan setiap aktivitas dalam proses
EDM03, APO12, APO13 dan BAI06
4.4.1 Proses EDM03
a. EDM03.01 (Evaluasi Manajemen Risiko)
Divisi IT pernah identifikasi namun belum melakukan evaluasi
secara sistematis dan tertulis, masih pada tahap melakukan evaluasi
secara lisan dan memperbaiki secara bertahap.
b. EDM03.02 (Mengatur Manajemen Risiko)
Kebijakan dalam mengelola risiko IT adalah dengan melakukan
evaluasi pada setiap pekerjaan oleh QC sebanyak 2 tahapan proses
158
evaluasi (Blackbox & Whitebox) untuk mengurangi risiko yang
timbul pada saat penyerahan pekerjaan pada klien.
c. EDM03.03 (Memantau Manajemen Risiko)
Divisi IT melakukan identifikasi terhadap setiap risiko dan monitor
secara berkala namun masih banyak kekurangan karena belum
dilakukan secara sistematis dan tertulis.
4.4.2 Proses APO12
a. APO12.01 (Mengumpulkan Data)
Melakukan pengumpulan data terkait dengan risiko IT dituliskan
dalam dokumen profil risiko PT Solusi Integrasi Teknologi.
b. APO12.02 (Menganalisis Risiko)
Upaya analisis dilakukan oleh divisi IT sebagai berikut :
1. Identifikasi masalah yang terjadi atau yang akan timbul
2. Merumuskan mitigasi / pencegahan / skenario ketika risiko atau
masalah tersebut muncul
3. Melakukan QC dengan metode positive test & negative test
4. Dokumentasi non sistematis (Gitea)
5. Implementasi mengatasi masalah
6. Evaluasi lisan (tidak ada dokumentasi resmi)
Upaya analisis diatas tertulis di dokumen profil risiko
c. APO12.03 (Mempertahankan Profil Risiko)
159
Untuk mengumpulkan informasi profil risiko tidak dilakukan
dokumentasi secara sistematis/tersusun secara rapi sehingga
permasalahan yang sama muncul perlu dilakukan evaluasi Kembali.
d. APO12.04 (Mengartikulasikan Risiko)
Laporan hasil analisis risiko IT digabungkan dengan laporan
keseluruhan kegiatan perusahaan dan tidak spesifik.
e. APO12.05 (Mendefinisikan Portofolio Tindakan Manajemen Risiko)
Pengolahan risiko selalu dikelompokan berdasarkan proyek dan
divisi yang mengerjakan, penyusunan laporan dilakukan oleh kepala
team yang didampingi oleh masing-masing QC lalu dilaporkan ke
head IT untuk dilakukan tindakan lebih lanjut terkait mitigasi setiap
risiko yang timbul.
f. APO12.06 (Menanggapi Risiko)
Karena belum adanya dokumentasi secara tertulis Divisi IT hanya
melakukan tindakan-tindakan mitigasi dan pencegahan secara lisan
dan masih berdasarkan ingatan untuk menelaah masalah yang terjadi
saat ini pernah terjadi sebelumnya atau tidak.
4.4.3 Proses APO13
a. APO13.01 (Membangun dan memelihara sistem manajemen
keamanan informasi)
Divisi IT melakukan pemeliharaan sistem manajemen keamanan
informasi telah tertulis pada SOP Prosedur Keamanan SI Divisi IT
160
Nomor 006/SOP.OPS/SIT/06/21, SOP Prosedur Pemeliharaan Rutin
Divisi IT Nomor 004/SOP.OPS/SIT/06/2.
b. APO13.02 (Menentukan dan mengelola rencana perlakuan risiko
keamanan informasi)
Pembahasan mengenai rencana pengelolaan keamanan informasi
juga tertulis pada SOP Prosedur Keamanan SI Divisi IT Nomor
006/SOP.OPS/SIT/06/21, SOP Prosedur Pemeliharaan Rutin Divisi
IT Nomor 004/SOP.OPS/SIT/06/21.
c. APO13.03 (Memantau dan mengulas Sistem Manajemen Keamanan
Informasi)
Pemantauan sistem manajemen keamanan informasi tertulis di SOP
Prosedur Keamanan SI Divisi IT Nomor 006/SOP.OPS/SIT/06/21,
SOP Prosedur Insiden Divisi IT Nomor 005/SOP.OPS/SIT/06/21.
4.4.4 Proses BAI06
a. BAI06.01 (Mengevaluasi, memprioritaskan, dan mengotorisasi
permintaan perubahan)
Adanya permintaan perubahan yang dilakukan oleh pihak ketiga dan
bersifat fleksibel. Permintaan perubahan akan dilaporkan kepada
manajer IT.
b. BAI06.02 (Mengelola perubahan darurat)
Adanya evaluasi terhadap perubahaan yang telah diimplementasikan
dan melibatkan semua pihak yang terkait.
c. BAI06.03 (Melacak dan melaporkan status perubahan)
161
Adanya pelaporan status perubahan kepada direksi dan dilakukan
tepat waktu dan tepat sasaran mengikuti hasil evaluasi.
d. BAI06.04 (Menutup dan mendokumentasikan perubahan)
Adanya prosedur operasional bisnis dan lengkapnya dokumentasi
aplikasi pada PT. Solusi Integrasi Teknologi.
4.5 Data Validation
Pada tahap ini melakukan rekapitulasi jawaban kuesioner yang telah diisi
oleh para responden. Hasil pengolahannya sebagai berikut :
Tabel 4. 22 Rekapitulasi Jawaban Kuesioner EDM03.01 (Evaluasi Manajemen
Risiko)
No. Aktivitas (Pertanyaan) Status Distribusi Jawaban (%)
0 1 2 3 4 5
1. Menentukan tingkat risiko TI
As is 0 0 0 0 100 0
To be 0 0 0 0 0 100
2. Mengevaluasi ambang batas risiko TI
As is 0 0 0 100 0 0
To be 0 0 0 0 0 100
3. Menentukan tingkat
keselarasan strategi risiko
TI dan strategi perusahaan
As is 0 0 0 0 100 0
To be 0 0 0 0 0 100
4. Mengevaluasi faktor-faktor risiko TI
As is 0 0 0 0 100 0
To be 0 0 0 0 0 100
5. Menentukan penggunaan TI
yang digunakan sesuai
subjek penilaian risiko
As is 0 100 0 0 0 0
To be 0 0 0 0 100 0
6. Mengevaluasi aktivitas
manajemen risiko untuk
memastikan kemampuan perusahaan
As is 0 100 0 0 0 0
To be 0 0 0 100 0 0
TOTAL As is 0 33,33 0 16,66 50 0
To be 0 0 0 16,66 16,66 66,66
Berdasarkan tabel diatas, diketahui responden menilai kondisi saat ini (as
is) berada di tingkat 4 (Predictable Process) dengan persentase 50%. Sementara
162
kondisi to be responden mengharapkan berada pada tingkat 5 (Optimizing Process)
dengan persentase 66,66%.
Tabel 4. 23 Rekapitulasi Jawaban Kuesioner EDM03.02 (Mengarahkan
Manajemen Risiko)
No. Aktivitas (Pertanyaan) Status Distribusi Jawaban (%)
0 1 2 3 4 5
1. Meningkatkan kesadaran
risiko TI dan kemampuan
perusahaan untuk
mengidentifikasi risiko TI,
kesempatan dan potensi
bisnis.
As is 0 0 0 0 100 0
To be 0 0 0 0 0 100
2. Mengarahkan integrasi
antara IT Risk Strategy and
Operations dengan
keputusan strategi dan
pengoperasian risiko perusahaan.
As is 0 0 0 0 100 0
To be 0 0 0 0 0 100
3. Mengarahkan
pengembangan dari Risk
Communication Plans
sebaik dengan
pengembangan Risk Action Plans.
As is 0 0 0 100 0 0
To be 0 0 0 0 0 100
4. Menerapkan mekanisme
yang tepat untuk merespon
dengan cepat perubahan
risiko dan melaporkan
segera ke tingkat
manajemen secara tepat
serta dukungan pada
prinsip-prinsip ekalasi
As is 0 0 0 0 100 0
To be 0 0 0 0 0 100
5. Mengidentifikasi dan
melaporkan tingkat risiko,
peluang, masalah dan
kekhawatiran oleh siapapun dan kapanpun.
As is 0 0 0 0 100 0
To be 0 0 0 0 0 100
6. Identifikasi tujuan utama,
metrik tata kelola dan
proses manajemen untuk
mengawasi dan menyetujui
pendekatan, metode, teknik
dan proses dalam
As is 0 100 0 0 0 0
To be 0 0 0 0 0 100
163
melaporkan informasi pengukuran.
TOTAL As is 0 16,66 0 16,66 66,66 0
To be 0 0 0 0 0 100
Berdasarkan tabel diatas, diketahui responden menilai kondisi saat ini (as
is) berada di tingkat 4 (Predictable Process) dengan persentase 66,66%. Sementara
kondisi to be responden mengharapkan berada pada tingkat 5 (Optimizing Process)
dengan persentase 100%.
Tabel 4. 24 Rekapitulasi Jawaban Kuesioner EDM03.03 (Mengawasi Manajemen
Risiko)
No. Aktivitas (Pertanyaan) Status Distribusi Jawaban (%)
0 1 2 3 4 5
1. Pengawasan risiko untuk
dikelola dalam batas risiko yang diinginkan.
As is 0 100 0 0 0 0
To be 0 0 0 0 0 100
2. Pemantauan tujuan utama,
metrik dari tata kelola
risiko dan proses
manajemen terhadap
sasaran-sasaran,
menganalisis penyebab
penyimpangan, dan
memulai tindakan
perbaikan untuk mengatasi
penyebab yang mendasarinya.
As is 0 0 0 100 0 0
To be 0 0 0 0 0 100
3. Stakeholders meninjau
kemajuan perusahaan
menuju tujuan yang telah
diidentifikasi.
As is 100 0 0 0 0 0
To be 0 0 0 100 0 0
4. Laporan semua masalah
terkait dengan manajemen
risiko ke dewan atau komite eksekutif.
As is 100 0 0 0 0 0
To be 0 0 0 0 100 0
TOTAL As is 50 25 0 25 0 0
To be 0 0 0 25 25 50
Berdasarkan tabel diatas, diketahui responden menilai kondisi saat ini (as
is) berada di tingkat 0 (Incomplete Process) dengan persentase 50%. Sementara
164
kondisi to be responden mengharapkan berada pada tingkat 5 (Optimizing Process)
dengan persentase 50%.
Tabel 4. 25 Rekapitulasi Jawaban Kuesioner APO12.01 (Mengumpulkan Data)
No. Aktivitas (Pertanyaan) Status Distribusi Jawaban (%)
0 1 2 3 4 5
1. Tingkat pengawasan risiko untuk dikelola
As is 0 0 100 0 0 0
To be 0 0 0 0 0 100
2. Pemantauan tujuan utama
dan metrik dari tata Kelola risiko
As is 0 0 66,67 0 33,33 0
To be 0 0 0 0 0 100
3. Stakeholders meninjau kemajuan perusahaan
As is 0 0 66,67 0 33,33 0
To be 0 0 0 0 33,33 66,67
4. Melaporkan semua
masalah terkait
manajemen risiko
As is 0 0 33,33 33,33 33,33 0
To be 0 0 0 0 33,33 66,67
5. Mengatur data yang
terkumpul dan melihat faktor-faktornya
As is 0 0 33,33 66,67 0 0
To be 0 0 0 0 0 100
6. Menentukan kondisi yang
berisiko
As is 0 33,33 0 66,67 0 0
To be 0 0 0 0 66,67 33,33
7. Analisis faktor risiko
untuk mengidentifikasi masalah baru
As is 0 0 33,33 33,33 33,33 0
To be 0 0 0 0 0 100
TOTAL As is 0 4,76 47,61 28,57 19,04 0
To be 0 0 0 0 19,04 80,95
Berdasarkan tabel diatas, diketahui responden menilai kondisi saat ini (as
is) berada di tingkat 2 (Managed Process) dengan persentase 47,61%. Sementara
kondisi to be responden mengharapkan berada pada tingkat 5 (Optimizing Process)
dengan persentase 80,95%.
Tabel 4. 26 Rekapitulasi Jawaban Kuesioner APO12.02 (Menganalisis Risiko)
No. Aktivitas (Pertanyaan) Status Distribusi Jawaban (%)
0 1 2 3 4 5
1. Mendefinisikan upaya
analisis risiko yang
sesuai
As is 0 33,33 33,33 0 33,33 0
To be 0 0 0 0 33,33 66,67
2. As is 0 33,33 0 66,67 0 0
165
Membangun dan
menambah skenario
risiko TI
To be 0 0 0 0 33,33 66,67
3. Memperkirakan
frekuensi dan besarnya
untung rugi
As is 33,33 33,33 33,33 0 0 0
To be 0 0 0 0 66,67 33,33
4. Membandingkan residual risk yang
dapat ditoleransi
As is 66,67 33,33 0 0 0 0
To be 0 0 0 0 66,67 33,33
5. Menganalisis untung
rugi dari kemungkinan risk response
As is 0 0 33,33 33,33 33,33 0
To be 0 0 0 0 0 100
6. Menentukan high-level
requirements untuk proyek
As is 0 0 0 0 66,67 33,33
To be 0 0 0 0 0 100
7. Memvalidasi hasil
analisis risiko sebelum
mengambil keputusan
As is 0 0 66,67 33,33 0 0
To be 0 0 0 0 0 100
TOTAL As is 14,28 19,04 23,80 19,04 19,04 4,76
To be 0 0 0 0 28,57 71,42
Berdasarkan tabel diatas, diketahui responden menilai kondisi saat ini (as
is) berada di tingkat 4 (Predictable Process) dengan persentase 23,80%. Sementara
kondisi to be responden mengharapkan berada pada tingkat 5 (Optimizing Process)
dengan persentase 71,42%.
Tabel 4. 27 Rekapitulasi Jawaban Kuesioner APO12.03 (Mempertahankan Profil
Risiko)
No. Aktivitas (Pertanyaan) Status Distribusi Jawaban (%)
0 1 2 3 4 5
1. Mengelola inventaris bisnis proses
As is 0 33,33 0 33,33 33,33 0
To be 0 0 0 0 0 100
2. Menentukan dan
menyetujui layanan TI
dan infrastruktur
As is 0 0 66,67 0 33,33 0
To be 0 0 0 0 33,33 66,67
3. Mengumpulkan
skenario risiko
As is 33,33 0 66,67 0 0 0
To be 0 0 0 0 66,67 33,33
4. Merekam semua informasi profil risiko
As is 0 33,33 0 66,67 0 0
To be 0 0 0 0 33,33 66,67
5. Mendefinisikan indikator dari risiko
As is 0 0 33,33 66,67 0 0
To be 0 0 0 0 33,33 66,67
6. Menangkap informasi pada kejadian risiko TI
As is 0 0 66,67 0 33,33 0
166
To be 0 0 0 33,33 0 66,67
7. Menangkap informasi
dari status risk action plan
As is 0 33,33 66,67 0 0 0
To be 0 0 0 0 66,67 33,33
TOTAL As is 4,76 14,28 42,85 23,81 14,28 0
To be 0 0 0 0 33,33 61,90
Berdasarkan tabel diatas, diketahui responden menilai kondisi saat ini (as
is) berada di tingkat 4 (Predictable Process) dengan persentase 42,85%. Sementara
kondisi to be responden mengharapkan berada pada tingkat 5 (Optimizing Process)
dengan persentase 61,90%.
Tabel 4. 28 Rekapitulasi Jawaban Kuesioner APO12.04 (Mengartikulasikan
Risiko)
No. Aktivitas (Pertanyaan) Status Distribusi Jawaban (%)
0 1 2 3 4 5
1. Melaporkan hasil
analisis risiko ke stakeholders
As is 0 33,33 0 66,67 0 0
To be 0 0 0 33,33 0 66,67
2. Menyediakan
pengambilan
keputusan
As is 0 0 33,33 33,33 33,33 0
To be 0 0 0 0 33,33 66,67
3. Melaporkan profil
risiko saat ini kepada stakeholders
As is 0 66,67 0 33,33 0 0
To be 0 0 0 0 100 0
4. Melihat hasil penilaian
pihak ketiga dan audit internal
As is 33,33 0 33,33 33,33 0 0
To be 0 0 0 33,33 33,33 33,33
5. Mengidentifikasi
peluang teknologi yang
mungkin mendapatkan risiko
As is 0 0 33,33 0 66,67 0
To be 0 0 0 0 33,33 66,67
TOTAL As is 6,66 20 19,99 33,33 20 0
To be 0 0 0 13,33 39,98 46,66
Berdasarkan tabel diatas, diketahui responden menilai kondisi saat ini (as
is) berada di tingkat 3 (Established Process) dengan persentase 33.33%. Sementara
kondisi to be responden mengharapkan berada pada tingkat 5 (Optimizing Process)
dengan persentase 46,66%.
167
Tabel 4. 29 Rekapitulasi Jawaban Kuesioner APO12.05 (Mendefinisikan
portofolio tindakan manajemen risiko)
No. Aktivitas (Pertanyaan) Status Distribusi Jawaban (%)
0 1 2 3 4 5
1. Memelihara inventori
dari aktivitas kontrol
untuk mengelola risiko
As is 33,33 0 66,67 0 0 0
To be 0 0 0 0 33,33 66,67
2. Menentukan setiap entitas organisasi
mengawasi risiko
As is 0 66,67 0 33,33 0 0
To be 0 0 0 0 66,67 33,33
3. Mendefinisikan
keseimbangan suatu
seperangkat proposal
untuk mengurangi risiko
As is 0 0 33,33 66,67 0 0
To be 0 0 0 0 0 100
TOTAL As is 11,11 22,22 33,33 33,33 0 0
To be 0 0 0 0 33,33 66,67
Berdasarkan tabel diatas, diketahui responden menilai kondisi saat ini (as
is) berada di tingkat 3 (Established Process) dengan persentase 33,33%. Sementara
kondisi to be responden mengharapkan berada pada tingkat 5 (Optimizing Process)
dengan persentase 66,67%.
Tabel 4. 30 Rekapitulasi Jawaban Kuesioner APO12.06 (Menanggapi Risiko)
No. Aktivitas (Pertanyaan) Status Distribusi Jawaban (%)
0 1 2 3 4 5
1. Menyiapkan, memelihara
dan rencana uji coba
Langkah untuk mengendalikan risiko
As is 0 33,33 33,33 33,33 0 0
To be 0 0 0 0 33,33 66,67
2. Mengkategorikan
insiden-insiden, dan
membandingkan ambang batas toleransi risiko
As is 0 33,33 33,33 0 33,33 0
To be 0 0 0 0 33,33 66,67
3. Menerapkan rencana
Tindakan yang sesuai
untuk meminimalisir risiko
As is 0 0 0 66,67 33,33 0
To be 0 0 0 0 33,33 66,67
4. Memeriksa kerugian di
masa lalu dan peluang yang terlewat
As is 0 0 33,33 0 66,67 0
To be 0 0 0 0 0 100
TOTAL As is 0 16,65 24,99 25 33,33 0
To be 0 0 0 0 24,99 75,00
168
Berdasarkan tabel diatas, diketahui responden menilai kondisi saat ini (as
is) berada di tingkat 3 (Established Process) dengan persentase 33,33%. Sementara
kondisi to be responden mengharapkan berada pada tingkat 5 (Optimizing Process)
dengan persentase 75,00%.
Tabel 4. 31 Rekapitulasi Jawaban Kuesioner APO13.01 (Membangun dan
memelihara sistem manajemen keamanan informasi)
No. Aktivitas (Pertanyaan) Status Distribusi Jawaban (%)
0 1 2 3 4 5
1. Mendefinisikan ruang
lingkup dan batasan
sistem manajemen keamanan informasi
As is 0 33,33 33,33 33,33 0 0
To be 0 0 0 0 66,67 33,33
2. Mendefinisikan sistem
keamanan informasi
sesuai dengan kebijakan perusahaan
As is 0 33,33 0 33,33 33,33 0
To be 0 0 0 0 66,67 33,33
3. Menyelaraskan sistem
keamanan informasi
dengan pendekatan perusahaan secara
keseluruhan
As is 0 0 33,33 66,67 0 0
To be 0 0 0 0 66,67 33,33
4. Mendapatkan otorisasi
untuk menerapkan dan
mengubah sistem
manajemen keamanan informasi
As is 33,33 33,33 0 33,33 0 0
To be 0 0 33,33 0 33,33 33,33
5. Mempersiapkan dan
memelihara ruang
lingkup sistem
manajemen keamanan informasi
As is 0 33,33 33,33 33,33 0 0
To be 0 0 0 0 66,67 33,33
6. Mendefinisikan dan
menkomunikasikan
peran dan tanggung
jawab manajemen
keamanan informasi
As is 0 33,33 33,33 33,33 0 0
To be 0 0 0 0 66,67 33,33
7. Mengkomunikasikan
pendekatan sistem
manajemen keamanan informasi
As is 0 33,33 0 33,33 33,33 0
To be 0 0 0 0 66,67 33,33
TOTAL As is 4,76 28,56 19,04 38,09 9,52 0
To be 0 0 4,76 0 61,90 33,33
169
Berdasarkan tabel diatas, diketahui responden menilai kondisi saat ini (as
is) berada di tingkat 3 (Established Process) dengan persentase 38,09%. Sementara
kondisi to be responden mengharapkan berada pada tingkat 4 (Predictable Process)
dengan persentase 61,90%.
Tabel 4. 32 Rekapitulasi Jawaban Kuesioner APO13.02 (Menentukan dan
mengelola rencana perlakuan risiko keamanan informasi)
No. Aktivitas (Pertanyaan) Status Distribusi Jawaban (%)
0 1 2 3 4 5
1. Memelihara dan
memastikan rencana
risiko keamanan
informasi selaras
dengan tujuan strategis
dan arsitektur perusahaan.
As is 33,33 33,33 0 33,33 0 0
To be 0 0 0 0 33,33 66,67
2. Memelihara bagian dari
inventaris arsitektur
perusahaan.
As is 33,33 33,33 0 33,33 0 0
To be 0 0 0 33,33 33,33 33,33
3. Mengembangkan
proposal untuk
mengimplementasikan
rencana perlakuan
risiko keamanan informasi.
As is 33,33 0 33,33 33,33 0 0
To be 0 0 0 0 33,33 66,67
4. Memberikan
masukan untuk
desain
pengembangan
praktik dan solusi
manajemen yang
dipilih dari rencana
perlakuan risiko keamanan informasi.
As is 33,33 0 0 33,33 33,33 0
To be 0 0 0 0 66,67 33,33
5. Menentukan
bagaimana mengukur
keefektifan praktek
manajemen yang
dipilih dan
menentukan bagaimana
As is 0 33,33 33,33 33,33 0 0
To be 0 0 0 0 66,67 33,33
170
pengukuran ini akan
digunakan untuk
menilai keefektifan
untuk menghasilkan
sebuah hasil yang
sebanding dan dapat digandakan.
6. Dapat
merekomendasikan
pelatihan keamanan
informasi dan program kesadaran.
As is 66,67 0 33,33 0 0 0
To be 0 0 0 0 33,33 66,67
7. Mengintegrasikan
perencanaan, desain,
implementasi dan
pemantauan prosedur
keamanan informasi
dan kontrol lain yang
mampu
memungkinkan
pencegahan yang
cepat, deteksi
kejadian keamanan
dan respon terhadap insiden keamanan.
As is 0 33,33 66,67 0 0 0
To be 0 0 0 0 33,33 66,67
TOTAL As is 28,57 19,04 23,80 23,80 4,76 0
To be 0 0 0 4,76 42,85 52,38
Berdasarkan table di atas, diketahui responden menilai kondisi saat ini (as
is) berada di tingkat 0 (Incomplete Process) dengan persentase 28,57%. Sementara
kondisi to be responden mengharapkan berada pada tingkat 5 (Optimizing Process)
dengan persentase 52,38%.
Tabel 4. 33 Rekapitulasi Jawaban Kuesioner APO13.03 (Memantau dan
Mengulas Sistem Manajemen Keamanan Informasi)
No. Aktivitas (Pertanyaan) Status Distribusi Jawaban (%)
0 1 2 3 4 5
1. Melakukan tinjauan
rutin keefektifan
sistem manajemen
keamanan informasi
As is 33,33 0 66,67 0 0
To be 0 0 0 0 33,33 66,67
171
termasuk memenuhi
kebijakan dan tujuan
sistem manajemen
keamanan informasi,
dan meninjau praktik keamanan.
2. Melakukan audit
sistem manajemen
keamanan informasi
internal pada interval yang direncanakan.
As is 33,33 33,33 33,33 0 0 0
To be 0 0 0 33,33 33,33 33,33
3. Melakukan tinjauan
sistem manajemen
keamanan informasi
secara teratur untuk
memastikan bahwa
ruang lingkup tetap
memadai dan
perbaikan dalam
proses sistem
manajemen
keamanan informasi teridentifikasi
As is 33,33 33,33 0 33,33 0 0
To be 0 0 0 0 66,67 33,33
4. Memberikan
masukan untuk
desain
pengembangan
praktik dan solusi
manajemen yang
dipilih dari rencana
perlakuan risiko keamanan informasi.
As is 0 33,33 33,33 33,33 0 0
To be 0 0 0 0 33,33 66,67
5. Merekam tindakan
dan peristiwa yang
dapat berdampak
pada keefektifan atau
kinerja sistem
manajemen
keamanan informasi.
As is 0 33,33 33,33 33,33 0 0
To be 0 0 0 0 33,33 66,67
TOTAL As is 19,99 26,66 33,33 19,99 0 0
To be 0 0 0 6,66 39,99 53,33
Berdasarkan table diatas, diketahui responden menilai kondisi saat ini (as
is) berada di tingkat 2 (Managed Process) dengan persentase 26,66%. Sementara
172
kondisi to be responden mengharapkan berada pada tingkat 5 (Optimizing Process)
dengan persentase 53,33%.
Tabel 4. 34 Rekapitulasi Jawaban Kuesioner BAI06.01
(Mengevaluasi,memprioritaskan dan mengotorisasi permintaan perubahan)
No. Aktivitas (Pertanyaan) Status Distribusi Jawaban (%)
0 1 2 3 4 5
1. Menggunakan permintaan
perubahan formal untuk
memungkinkan pemilik
proses bisnis dan TI
meminta perubahan pada
proses bisnis,
infrastruktur, sistem, atau
aplikasi.
As is 0 50 50 0 0 0
To be 0 0 0 0 50 50
2. Mengkategorikan semua
perubahan yang diminta
untuk menghubungkan item
konfigurasi yang terpengaruh.
As is 0 50 50 0 0 0
To be 0 0 0 0 50 50
3. Memprioritaskan semua
perubahan yang diminta
berdasarkan persyaratan
bisnis dan teknis, sumber
daya yang diperlukan,
dan hukum, peraturan,
dan kontrak alasan perubahan yang diminta.
As is 0 0 0 50 50 0
To be 0 0 0 0 50 50
4. Merencanakan dan
evaluasi semua
permintaan secara terstruktur
As is 0 50 0 50 0 0
To be 0 0 0 0 50 50
5. Menyetujui secara resmi
setiap perubahan oleh
pemilik proses bisnis,
manajer layanan, dan
pemangku kepentingan teknis TI, yang sesuai
As is 0 0 50 50 0 0
To be 0 0 0 0 50 50
6. As is 0 50 50 0 0 0
173
Merencanakan dan
jadwalkan semua perubahan yang disetujui.
To be 0 0 0 0 50 50
7. mempertimbangkan
dampak penyedia layanan
yang memiliki kontrak
pada proses manajemen
perubahan, termasuk
integrasi proses
manajemen perubahan
organisasi dengan
manajemen perubahan
proses penyedia layanan
dan dampaknya pada
persyaratan kontrak dan
SLA (Service Level
Agreement).
As is 0 50 0 0 50 0
To be 0 50 0 0 0 50
TOTAL As is 0 35,7 28,5 21,4 14,2 0
To be 0 7,14 0 0 42,85 50
Berdasarkan table diatas, diketahui responden menilai kondisi saat ini (as
is) berada ditingkat 2 (Managed Process) dengan persentase 35,7%. Sementara
kondisi to be responden mengharapkan berada pada tingkat 5 (Optimizing Process)
dengan persentase 50%.
Tabel 4. 35 Rekapitulasi Jawaban Kuesioner BAI06.02 (Mengelola Perubahan
Darurat)
No. Aktivitas (Pertanyaan) Status Distribusi Jawaban (%)
0 1 2 3 4 5
1. Memastikan bahwa
prosedur terdokumentasi
ada untuk menyatakan,
menilai, memberikan
persetujuan awal,
As is 0 0 100 0 0 0
To be 0 0 0 0 50 50
174
memberi otorisasi setelah
perubahan dan mencatat
perubahan darurat.
2. Memverifikasi bahwa
semua pengaturan akses
darurat untuk perubahan
disahkan dengan benar,
didokumentasikan dan
dicabut setelah perubahan diterapkan.
As is 0 50 50 0 0 0
To be 0 0 0 0 50 50
3. Memantau semua
perubahan darurat, dan
melakukan review pasca
implementasi yang
melibatkan semua pihak terkait
As is 0 0 100 0 0 0
To be 0 0 0 0 50 50
4. Menentukan apa yang
termasuk dalam
perubahan darurat.
As is 0 50 50 0 0 0
To be 0 0 0 0 0 100
TOTAL As is 0 25 75 0 0 0
To be 0 0 0 0 37,5 62,5
Berdasarkan table diatas, diketahui responden menilai kondisi saat ini (as
is) berada ditingkat 2 (Managed Process) dengan persentase 75%. Sementara
kondisi to be responden mengharapkan berada pada tingkat 5 (Optimizing Process)
dengan persentase 62,5%.
Tabel 4. 36 Rekapitulasi Jawaban Kuesioner BAI06.03 (Melacak dan melaporkan
status perubahan)
No. Aktivitas (Pertanyaan) Status Distribusi Jawaban (%)
0 1 2 3 4 5
1. Mengkategorikan
permintaan perubahan
dalam proses pelacakan
(misal, ditolak, disetujui
tetapi belum dimulai,
As is 0 50 0 0 0 50
To be 0 0 0 0 50 50
175
disetujui dan dalam
proses, dan ditutup).
2. Menerapkan laporan
status perubahan dengan
metrik kinerja untuk
memungkinkan tinjauan
manajemen dan
pemantauan status detail
perubahan dan keadaan
keseluruhan (misalnya,
analisis usia permintaan perubahan).
As is 0 50 0 0 0 50
To be 0 0 0 0 50 50
3. Memantau perubahan
terbuka untuk
memastikan bahwa
semua perubahan yang
disetujui ditutup tepat
waktu, bergantung pada
prioritas.
As is 0 0 50 50 0 0
To be 0 0 0 0 0 100
4. Menjaga sistem
pelacakan dan pelaporan
untuk semua permintaan perubahan.
As is 0 50 0 0 0 50
To be 0 0 0 0 50 50
TOTAL As is 0 37,5 12,5 12,5 0 37,5
To be 0 0 0 0 37,5 62,5
Berdasarkan table diatas, diketahui responden menilai kondisi saat ini (as
is) berada ditingkat 5 (Optimizing Process) dengan persentase 37,5%. Sementara
kondisi to be responden mengharapkan berada pada tingkat 5 (Optimizing Process)
dengan persentase 62,5%.
Tabel 4. 37 Rekapitulasi Jawaban Kuesioner BAI06.04 (Menutup dan
mendokumentasikan perubahan)
No. Aktivitas (Pertanyaan) Status Distribusi Jawaban (%)
0 1 2 3 4 5
1. Menyertakan perubahan
pada dokumentasi
dalam prosedur
As is 0 0 50 50 0 0
To be 0 0 0 0 50 50
176
manajemen perubahan
sebagai satu kesatuan
bagian dari perubahan.
2. Menentukan periode
retensi yang sesuai
untuk dokumentasi
perubahan dan sistem
sebelum dan sesudah
perubahan dan dokumentasi pengguna.
As is 0 50 50 0 0 0
To be 0 0 0 0 50 50
3. Subjek dokumentasi ke
tingkat tinjauan yang
sama dengan perubahan aktual.
As is 0 0 50 0 50 0
To be 0 0 0 0 0 100
TOTAL As is 0 16,6 50 16,6 16,6 0
To be 0 0 0 0 33,33 66,67
Berdasarkan table diatas, diketahui responden menilai kondisi saat ini (as
is) berada ditingkat 2 (Managed Process) dengan persentase 50%. Sementara
kondisi to be responden mengharapkan berada pada tingkat 5 (Optimizing Process)
dengan persentase 66,67%.
4.6 Process Attribute Level
Tahap ini adalah menentukan level pada setiap proses yang akan menghasilkan
analisa gap :
4.6.1 Penentuan Nilai Kapabilitas
Hasil perhitungan nilai kapabilitas proses EDM03 (Ensure Risk
Optimisation) sebagai berikut :
a. Nilai kapabilitas EDM03.01 (Evaluate Risk Management)
As is
177
NK = (0×0)+(33,33×1)+(0×2)+(16,66×3)+(50×4)+(0×5)
= 2,83
100
To be
NK = (0×0)+(0×1)+(0×2)+(16,66×3)+(16,66×4)+(66,66×5)
= 4,49
100
Nilai kapabilitas kondisi as is pada proses EDM03.01 yaitu 2,83
artinya tingkat kapabilitas terdapat pada level 3. Sementara kondisi
to be adalah 4,49 yang berarti tingkat kapabilitasnya berada pada
level 5.
b. Nilai kapabilitas EDM03.02 (Direct Risk Management)
As is
NK = (0×0)+(16,66×1)+(0×2)+(16,66×3)+(66,66×4)+(0×5)
= 3,33
100
To be
NK = (0×0)+(0×1)+(0×2)+(0×3)+(0×4)+(100×5)
= 5
100
Nilai kapabilitas kondisi as is pada proses EDM03.02 yaitu 3,33
artinya tingkat kapabilitas terdapat pada level 3. Sementara kondisi
to be adalah 5 yang berarti tingkat kapabilitasnya berada pada level
5.
c. Nilai kapabilitas EDM03.03 (Monitor Risk Management)
As is
NK = (50×0)+(25×1)+(0×2)+(25×3)+(0×4)+(0×5)
= 1
100
To be
NK = (0×0)+(0×1)+(0×2)+(25×3)+(25×4)+(50×5)
= 4,25
100
178
Nilai kapabilitas kondisi as is pada proses EDM03.03 yaitu 1
artinya tingkat kapabilitas terdapat pada level 1. Sementara kondisi
to be adalah 4,25 yang berarti tingkat kapabilitasnya berada pada
level 4.
Hasil perhitungan nilai kapabilitas proses APO12 (Manage Risk)
sebagai berikut :
a. Nilai kapabilitas APO12.01 (Collect Data)
As is
NK = (0×0)+(4,76×1)+(47,6×2)+(28,57×3)+(19,04×4)+(0×5)
= 2,61
100
To be
NK = (0×0)+(0×1)+(0×2)+(0×3)+(19,04×4)+(80,95×5)
= 4,80
100
Nilai kapabilitas kondisi as is pada proses APO12.01 yaitu 2,61
artinya tingkat kapabilitas terdapat pada level 3. Sementara kondisi to
be adalah 4,80 yang berarti tingkat kapabilitasnya berada pada level 5.
b. Nilai kapabilitas APO12.02 (Analyse Risk)
As is
NK = (14,28×0)+(19,04×1)+(23,80×2)+(19,04×3)+(19,04×4)+(4,76×5)
= 2,23
100
To be
NK = (0×0)+(0×1)+(0×2)+(0×3)+(28,57×4)+(71,42×5)
= 4,71
100
179
Nilai kapabilitas kondisi as is pada proses APO12.02 yaitu 4,61
artinya tingkat kapabilitas terdapat pada level 5. Sementara kondisi to
be adalah 4,71 yang berarti tingkat kapabilitasnya berada pada level 5.
c. Nilai kapabilitas APO12.03 (Maintain Risk Profile)
As is
NK = (4,76×0)+(14,28×1)+(42,85×2)+(23,81×3)+(14,28×4)+(0×5)
= 2,85
100
To be
NK = (0×0)+(0×1)+(0×2)+(0×3)+(33,33×4)+(61,90×5)
= 4,42
100
Nilai kapabilitas kondisi as is pada proses APO12.03 yaitu 2,85
artinya tingkat kapabilitas terdapat pada level 3. Sementara kondisi to
be adalah 4,42 yang berarti tingkat kapabilitasnya berada pada level 5.
a. Nilai kapabilitas APO12.04 (Articulate Risk)
As is
NK = (6,66×0)+(20×1)+(19,99×2)+(33,33×3)+(20×4)+(0×5)
= 2,39
100
To be
NK = (0×0)+(0×1)+(0×2)+(13,33×3)+(39,98×4)+(46,66×5)
= 4,33
100
Nilai kapabilitas kondisi as is pada proses APO12.04 yaitu 2,39
artinya tingkat kapabilitas terdapat pada level 2. Sementara kondisi to
be adalah 4,33 yang berarti tingkat kapabilitasnya berada pada level 4.
e. Nilai kapabilitas APO12.05 (Define a Risk Management Action
Portfolio)
As is
180
NK = (11,11×0)+(22,22×1)+(33,33×2)+(33,33×3)+(0×4)+(0×5)
= 1,88
100
To be
NK = (0×0)+(0×1)+(0×2)+(0×3)+(33,33×4)+(66,67×5)
= 4,66
100
Nilai kapabilitas kondisi as is pada proses APO12.05 yaitu 1,88
artinya tingkat kapabilitas terdapat pada level 2. Sementara kondisi to
be adalah 4,66 yang berarti tingkat kapabilitasnya berada pada level 5.
f. Nilai kapabilitas APO12.06 (Respond to Risk)
As is
NK = (0×0)+(16,65×1)+(24,99×2)+(25×3)+(33,33×4)+(0×5)
= 2,74
100
To be
NK = (0×0)+(0×1)+(0×2)+(0×3)+(24,99×4)+(75,00×5)
= 4,74
100
Nilai kapabilitas kondisi as is pada proses APO12.06 yaitu 2,74
artinya tingkat kapabilitas terdapat pada level 3. Sementara kondisi to
be adalah 4,74 yang berarti tingkat kapabilitasnya berada pada level 5.
Hasil perhitungan nilai kapabilitas proses APO13 (Manage
Security) sebagai berikut :
a. Nilai kapabilitas APO13.01 (Establish and Maintain an ISMS)
As is
NK = (4,76×0)+(28,56×1)+(19,04×2)+(38,09×3)+(9,52×4)+(0×5)
= 2,18
100
To be
181
NK = (0×0)+(0×1)+(4,76×2)+(0×3)+(61,90×4)+(33,33×5)
= 4,23
100
Nilai kapabilitas kondisi as is pada proses APO13.01 yaitu
2,18 artinya tingkat kapabilitas terdapat pada level 2. Sementara
kondisi to be adalah 4,23 yang berarti tingkat kapabilitasnya
berada pada level 4.
b. Nilai kapabilitas APO13.02 (Define and Manage and Information
Security Risk Treatment Plan)
As is
NK = (28,57×0)+(19,04×1)+(23,80×2)+(23,80×3)+(4,76×4)+(0×5)
= 1,57
100
To be
NK = (0×0)+(0×1)+(0×2)+(4,76×3)+(42,85×4)+(52,38×5)
= 4,47
100
Nilai kapabilitas kondisi as is pada proses APO13.02 yaitu
1,57 artinya tingkat kapabilitas terdapat pada level 2. Sementara
kondisi to be adalah 4,47 yang berarti tingkat kapabilitasnya
berada pada level 4.
c. Nilai kapabilitas APO13.03 (Monitor and Review the ISMS)
As is
NK = (19,99×0)+(26,66×1)+(33,33×2)+(19,99×3)+(0×4)+(0×5)
= 1,53
100
To be
NK = (0×0)+(0×1)+(0×2)+(6,66×3)+(39,90×4)+(53,33×5)
= 4,46
100
182
Nilai kapabilitas kondisi as is pada proses APO13.03 yaitu
1,53 artinya tingkat kapabilitas terdapat pada level 2. Sementara
kondisi to be adalah 4,46 yang berarti tingkat kapabilitasnya
berada pada level 4.
Hasil perhitungan nilai kapabilitas proses BAI06 (Manage Changes)
sebagai berikut :
a. Nilai kapabilitas BAI06.01 (Evaluate, Prioritise and Authorise
Change Request)
As is
NK = (0×0)+(35,7×1)+(28,5×2)+(21,4×3)+(14,2×4)+(0×5)
= 2,13
100
To be
NK = (0×0)+(7,14×1)+(0×2)+(0×3)+(42,85×4)+(50×5)
= 4,28
100
Nilai kapabilitas kondisi as is pada proses BAI06.01 yaitu 2,13
artinya tingkat kapabilitas terdapat pada level 2. Sementara kondisi
to be adalah 4,28 yang berarti tingkat kapabilitasnya berada pada
level 4.
b. Nilai kapabilitas BAI06.02 (Manage Emergency Changes)
As is
NK = (0×0)+(25×1)+(75×2)+(0×3)+(0×4)+(0×5)
= 1,75
100
To be
NK = (0×0)+(0×1)+(0×2)+(0×3)+(37,5×4)+(62,5×5)
= 4,6
100
183
Nilai kapabilitas kondisi as is pada proses BAI06.02 yaitu 1,75
artinya tingkat kapabilitas terdapat pada level 2. Sementara kondisi
to be adalah 4,6 yang berarti tingkat kapabilitasnya berada pada level
5.
c. Nilai kapabilitas BAI06.03 (Track and Report Change Status)
As is
NK = (0×0)+(37,5×1)+(12,5×2)+(12,5×3)+(0×4)+(37,5×5)
= 2,87
100
To be
NK = (0×0)+(0×1)+(0×2)+(0×3)+(37,5×4)+(62,5×5)
= 4,6
100
Nilai kapabilitas kondisi as is pada proses BAI06.03 yaitu 2,87
artinya tingkat kapabilitas terdapat pada level 3. Sementara kondisi
to be adalah 4,6 yang berarti tingkat kapabilitasnya berada pada level
5.
d. Nilai kapabilitas BAI06.04 (Close and Document the Changes)
As is
NK = (0×0)+(16,6×1)+(50×2)+(16,6×3)+(16,6×4)+(0×5)
= 2,33
100
To be
NK = (0×0)+(0×1)+(0×2)+(0×3)+(33,33×4)+(66,67×5)
= 4,6
100
Nilai kapabilitas kondisi as is pada proses BAI06.04 yaitu 2,33
artinya tingkat kapabilitas terdapat pada level 2. Sementara kondisi
to be adalah 4,6 yang berarti tingkat kapabilitasnya berada pada level
5.
184
EDM03 (Ensure Risk Optimisation)
As is To be
EDM03.01 6 4 2 0
EDM03.03 EDM03.02
4.6.2 Penentuan Level Kapabilitas
Penentuan tingkat kapabilitas EDM03 berdasarkan hasil
perhitungan nilai kapabilitas yang terdapat pada tiap sub prosesnya
adalah sebagai berikut :
Tabel 4. 38 Penentuan Tingkat Kapabilitas EDM03
No. Sub-Domain Nilai Kapabilitas Capability Level
As is To be As is To be
1. EDM03.01 2,83 4,49 3 4
2. EDM03.02 3,33 5 3 5
3. EDM03.03 1 4,25 1 4
Rata-Rata 2,38 4,58 2 4
Berdasarkan tabel diatas proses EDM03.01 capability level saat ini
(as is) berada pada level 3 dengan nilai kapabilitas 2,83. Pada proses
EDM03.02 capability level saat ini berada pada level 3 dengan nilai
kapabilitas sebesar 3,33, pada proses EDM03.03 saat ini berada pada
level 1 dengan nilai kapabilitas sebesar 1. Sehingga dari ketiga sub proses
tersebut diketahui nilai kapabilitas untuk proses EDM03 adalah 2,38.
Gambar 4. 3 Grafik Proses EDM03 (Ensure Risk Optimisation)
Berdasarkan grafik diatas, diketahui bahwa kondisi saat ini (as is)
pada proses EDM03 (Ensure Risk Optimisation) berada pada tingkat 2
185
dengan nilai kapabilitas 2,38, berarti pada level ini divisi TI PT. Solusi
Integrasi Teknologi telah menerapkan Managed Process sementara
untuk kondisi yang diharapkan (to be) berada pada tingkat 4 dengan nilai
kapabilitas 4,58 dimana pada tahap ini telah diterapkan Predictable
Process.
Penentuan tingkat kapabilitas APO12 berdasarkan hasil perhitungan
nilai kapabilitas yang terdapat pada tiap sub prosesnya adalah sebagai
berikut :
Tabel 4. 39 Penentuan Tingkat Kapabilitas APO12
No. Sub-Domain Nilai Kapabilitas Capability Level
As is To be As is To be
1. APO12.01 2,61 4,80 3 5
2. APO12.02 2,23 4,71 5 5
3. APO12.03 2,85 4,42 3 4
4. APO12.04 2,39 4,33 2 4
5. APO12.05 1,88 4,66 2 5
6. APO12.06 2,74 4,74 3 5
Rata-Rata 2,45 4,61 2 5
Berdasarkan tabel diatas proses APO12.01 capability level saat ini
(as is) berada pada level 3 dengan nilai kapabilitas 2,61. Pada proses
APO12.02 capability level saat ini berada pada level 5 dengan nilai
kapabilitas sebesar 4,61, pada proses APO12.03 saat ini berada pada
level 3 dengan nilai kapabilitas sebesar 2,85. Pada proses APO12.04
capability level saat ini berada pada level 2 dengan nilai kapabilitas
sebesar 2,39, pada proses APO12.05 saat ini berada pada level 1 dengan
nilai kapabilitas sebesar 0,88, pada proses APO12.06 saat ini berada
186
APO12 (Manage Risk)
As is To be
APO12.06
APO12.01 6 4 2 0
APO12.02
APO12.05 APO12.03
APO12.04
pada level 3 dengan nilai kapabilitas sebesar 2,74 Sehingga dari keenam
sub proses tersebut diketahui nilai kapabilitas untuk proses APO12
adalah 2,68.
Gambar 4. 4 Grafik Proses APO12 (Manage Risk)
Berdasarkan grafik diatas, diketahui bahwa kondisi saat ini (as is)
pada proses APO12 (Manage Risk) berada pada tingkat 2 dengan nilai
kapabilitas 2,45, berarti pada level ini divisi TI PT. Solusi Integrasi
Teknologi telah menerapkan Managed Process sementara untuk kondisi
yang diharapkan (to be) berada pada tingkat 5 dengan nilai kapabilitas
4,61 dimana pada tahap ini telah diterapkan Optimizing Process.
Penentuan tingkat kapabilitas APO13 berdasarkan hasil perhitungan
nilai kapabilitas yang terdapat pada tiap sub prosesnya adalah sebagai
berikut :
Tabel 4. 40 Penentuan Tingkat Kapabilitas APO13
No. Sub-Domain Nilai Kapabilitas Capability Level
As is To be As is To be
1. APO13.01 2,18 4,23 2 4
2. APO13.02 1,57 4,47 2 4
3. APO13.03 1,53 4,46 2 4
Rata-Rata 1,76 4,38 2 4
187
APO13 (Manage Security)
As is To be
APO13.01 6
4
2
0
APO13.03 APO13.02
Berdasarkan tabel diatas proses APO13.01 capability level saat ini
(as is) berada pada level 2 dengan nilai kapabilitas 2,18. Pada proses
APO13.02 capability level saat ini berada pada level 2 dengan nilai
kapabilitas sebesar 1,57, pada proses APO13.03 saat ini berada pada
level 2 dengan nilai kapabilitas sebesar 1,53. Sehingga dari ketiga sub
proses tersebut diketahui nilai kapabilitas untuk proses APO13 adalah
1,76.
Gambar 4. 5 Grafik Proses APO13 (Manage Security)
Berdasarkan grafik diatas, diketahui bahwa kondisi saat ini (as is)
pada proses APO13 (Manage Security) berada pada tingkat 2 dengan
nilai kapabilitas 1,76, berarti pada level ini divisi TI PT. Solusi Integrasi
Teknologi telah menerapkan Managed Process sementara untuk kondisi
yang diharapkan (to be) berada pada tingkat 4 dengan nilai kapabilitas
4,38 dimana pada tahap ini telah diterapkan Predictable Process.
188
BAI06 (Manage Change)
As is To be
BAI06.01 6 4 2
BAI06.04 0 BAI06.02
BAI06.03
Penentuan tingkat kapabilitas BAI06 berdasarkan hasil perhitungan
nilai kapabilitas yang terdapat pada tiap sub prosesnya adalah sebagai
berikut :
Tabel 4. 41 Penentuan Tingkat Kapabilitas BAI06
No. Sub-Domain Nilai Kapabilitas Capability Level
As is To be As is To be
1. BAI06.01 2,13 4,28 2 4
2. BAI06.02 1,75 4,6 2 5
3. BAI06.03 2,87 4,6 3 5
4. BAI06.04 2,33 4,6 2 5
Rata-Rata 2,27 4,52 2 5
Berdasarkan tabel diatas proses BAI06.01 capability level saat ini
(as is) berada pada level 2 dengan nilai kapabilitas 2,13. Pada proses
BAI06.02 capability level saat ini berada pada level 2 dengan nilai
kapabilitas sebesar 1,75, pada proses BAI06.03 saat ini berada pada level
3 dengan nilai kapabilitas sebesar 2,87, pada proses BAI06.04 saat ini
berada pada level 2 dengan nilai kapabilitas sebesar 2,33. Sehingga dari
keempat sub proses tersebut diketahui nilai kapabilitas untuk proses
BAI06 adalah 2,27.
Gambar 4. 6 Grafik Proses BAI06 (Manage Changes)
189
Berdasarkan grafik diatas, diketahui bahwa kondisi saat ini (as is)
pada proses BAI06 (Manage Changes) berada pada tingkat 2 dengan
nilai kapabilitas 2,27, berarti pada level ini divisi TI PT. Solusi Integrasi
Teknologi telah menerapkan Managed Process sementara untuk kondisi
yang diharapkan (to be) berada pada tingkat 5 dengan nilai kapabilitas
4,52 dimana pada tahap ini telah diterapkan Optimising Process.
4.6.3 Pencapaian Proses
Berdasarkan hasil perhitungan maka diketahui hasil tingkat
kapabilitas kondisi saat ini (as is) pada Proses EDM03 berada di level
2 (Managed Process), Proses APO12 berada di level level 2
(Managed Process), Proses APO13 berada di level level 2 (Managed
Process), dan Proses BAI06 berada di level level 2 (Managed
Process).
Dari tingkat kapabilitas pada setiap proses diatas perlu dilakukan
pemeriksaan syarat-syarat kapabilitas yang harus dipenuhi dengan
mengacu pada process capability indicators. Jika tingkat kapabilitas
pada proses EDM03 pada kondisi saat ini (as is) berada di level 2
maka organisasi harus memenuhi persyaratan proses atribut dari level
1 sampai level 2. Tingkat kapabilitas proses APO12 pada kondisi saat
ini (as is) berada di level 2 maka organisasi harus memenuhi
persyaratan proses atribut dari level 1 sampai level 2. Begitu juga
dengan tingkat kapabilitas proses APO13 pada kondisi saat ini (as is)
berada di level 2 maka organisasi harus memenuhi persyaratan proses
190
atribut dari level 1 sampai level 2. Dan tingkat kapabilitas proses
BAI06 pada kondisi saat ini (as is) berada di level 2 maka organisasi
harus memenuhi persyaratan proses atribut dari level 1 sampai level
2.
Berdasarkan process capability indicators COBIT 5 pada level 1
terdapat base practice (BPs) dan work products (WPs) yang harus
disediakan oleh PT. Solusi Integrasi Teknologi berupa bukti-bukti
atau dokumen bahwa proses tersebut telah dilakukan. Sedangkan
pada level 2 harus memenuhi generic products (GPs) yang akan
menghasilkan generic work products (GWPs) sebagai bukti bahwa
proses telah memenuhi syarat proses atribut.
Berikut ini tabel pencapaian proses EDM03, proses APO12,
proses APO13 dan proses BAI06 pada PT. Solusi Integrasi Teknologi
terhadap proses atribut dalam process capability indicators di level 1
(Performed Proses):
1. Proses EDM03 (Ensure Risk Optimisation)
Tabel 4. 42 Proses EDM03 PA 1.1 Process Performance
Base Practice Work Product Exist Evidence
EDM03.01 Panduan batas √ Dokumen
Evaluasi toleransi risiko Risiko PT.
manajemen Solusi
risiko Integrasi
Teknologi
Kebijakan tingkat √ Dokumen
toleransi yang Risiko PT.
disetujui Solusi
191
Integrasi
Teknologi
Evaluasi √ Dokumen
manajemen risiko Risiko PT.
Solusi
Integrasi
Teknologi
EDM03.02 Kebijakan -
Mengatur manajemen risiko
manajemen Tujuan utama √ Dokumen
risiko memantau Risiko PT.
manajemen risiko Solusi
Integrasi
Teknologi
Proses persetujuan √ Dokumen
untuk mengukur Risiko PT.
manajemen risiko Solusi
Integrasi
Teknologi
EDM03.03 Isu manajemen √ Dokumen
Memantau risiko Risiko PT.
manajemen Solusi
risiko Integrasi
Teknologi
Tindakan perbaikan √ Dokumen
untuk manajemen Risiko PT.
risiko Solusi
Integrasi
Teknologi
Rata-rata Skor 87,5%
Pada PA 1.1 Process Performance diatas, PT. Solusi
Integrasi Teknologi mendapatkan skor 87,5% yang masuk dalam
tingkat penilaian F (fully achieved). Maka penilaian proses
EDM03 dapat melanjutkan ke level selanjutnya yaitu level 2
(Managed Process).
192
Pada level 2 menurut Generic Practices (GPs) dan Generic
Work Products (GWPs) yang ada pada COBIT 5, maka penilaian
level 2 didasarkan pada performance management dan work
product management. Berikut ini adalah tabel pencapaian dalam
level 2 proses EDM03 :
Tabel 4. 43 Proses EDM03 PA 2.1 Performance Management
Work Product Exist Evidence
Identifikasi ruang
lingkup dan tujuan
proses optimasi
risiko
√ Dokumen Risiko
PT. Solusi
Integrasi
Teknologi
Merencanakan dan
memonitoring proses
optimasi risiko
- -
Menyesuaikan
kinerja proses
optimasi risiko
-
Mengidentifikasi
tanggung jawab
proses optimasi
risiko
√ Dokumen Risiko
PT. Solusi
Integrasi
Teknologi
Mengidentifikasi dan
menyediakan sumber
daya proses optimasi
risiko
√ Dokumen Risiko
PT. Solusi
Integrasi
Teknologi
Mengelola
antarmuka proses
optimasi risiko
- -
Rata-Rata 50%
Berdasarkan tabel performance management dapat
diketahui 6 poin yang harus dipenuhi oleh PT Solusi Integrasi
Teknologi. Identifikasi ruang lingkup dan tujuan proses optimasi
193
risiko tercantum dalam Dokumen Risiko PT Solusi Integrasi
Teknologi. Dalam perencanaan dan monitoring proses optimasi
belum ditemukan evidence terkait poin tersebut. Dalam
menyesuaikan kinerja proses optimasi risiko juga belum
ditemukan evidence terkait poin tersebut. Identifikasi tanggung
jawab proses optimasi tercantum dalam Dokumen Risiko PT
Solusi Integrasi Teknologi. Dalam identifikasi dan menyediakan
sumber daya proses optimasi tercantum dalam Dokumen Risiko
PT Solusi Integrasi Teknologi. Mengelola antarmuka proses
optimasi risiko belum ditemukan evidence terkait dengan proses
tersebut.
Tabel 4. 44 Proses EDM03 PA 2.2 Work Product Management
Work Product Exist Evidence
Kriteria kualitas dan
hasil kerja
√ Dokumen KPI
Operasional Nomor 007/SOP.OPS/SIT/07/21
Menetapkan
kebutuhan dari hasil
kerja
- -
Dokumentasi hasil
kinerja
√ Report Work PT Solusi
Integrasi Teknologi
Evaluasi hasil kinerja √ Report Work PT Solusi Integrasi Teknologi
Rata-Rata 75%
Berdasarkan tabel Performance Management dan Work
Product Management dapat diketahui skor masing-masing
194
pencapaian tersebut adalah 50% dan 75% termasuk dalam tingkat
pencapaian L (Largely Achieved) dengan memenuhi persyaratan
pada level 2 managed process. Pada domain ini belum bisa
melanjutkan penilaian ke level selanjutnya yaitu level 3, karena
persyaratan untuk melanjutkan penilaian ke level berikutnya
dalam Performance Management dan Work Product Management
harus mencapai tingkatan F (Fully Acvieved).
2. Proses APO12 (Manage Risk)
Tabel 4. 45 Proses APO12 PA 1.1 Process Performance
Base Practice Work Product Exist Evidence
APO12.01 Data tentang √ Dokumen
Risiko PT.
Solusi
Integrasi
Teknologi
Mengumpulkan lingkungan
Data operasi yang
berkaitan
dengan risiko
Data tentang
peristiwa risiko
dan faktor yang
berkontribusi
√ Dokumen
Risiko PT.
Solusi
Integrasi Teknologi
Masalah dan
faktor risiko
yang muncul
√ Dokumen
Risiko PT.
Solusi
Integrasi Teknologi
APO12.02
Menganalisa
Risiko
Lingkup upaya
analisis risiko
√ Dokumen
Risiko PT.
Solusi
Integrasi Teknologi
Skenario risiko
IT
√ Dokumen
Risiko PT.
Solusi
195
Integrasi Teknologi
Hasil analisis
risiko
√ Dokumen
Risiko PT.
Solusi
Integrasi
Teknologi
APO12.03
Memelihara Profil
Risiko
Dokumentasi
skenario risiko
berdasarkan
bisnis dan
fungsinya
√ Dokumen
Risiko PT.
Solusi
Integrasi
Teknologi
Kumpulan
profil risiko
termasuk
tindakan
manajemen
risiko
√ Dokumen
Risiko PT.
Solusi
Integrasi
Teknologi
APO12.04
Mengartikulasikan
Risiko
Laporan ke
stakeholders
terkait analisis
risiko dan
profil risiko
-
Hasil dari
penilaian risiko
oleh pihak
ketiga
-
Peluang untuk
menerima
risiko terburuk
√ Dokumen
Risiko PT.
Solusi
Integrasi Teknologi
APO12.05
Menentukan
Portofolio
Tindakan
Manajemen
Risiko
Proposal untuk
mengurangi
risiko
√ Dokumen
Risiko PT.
Solusi
Integrasi
Teknologi
APO12.06 Rencana
respon
√ Dokumen
Risiko PT. Solusi
196
Menanggapi
Risiko
kejadian terkait
risiko
Integrasi
Teknologi
Komunikasi
dampak risiko
√ Dokumen
Risiko PT.
Solusi
Integrasi Teknologi
Penyebab
kejadian
berisiko
√ Dokumen
Risiko PT.
Solusi
Integrasi
Teknologi
Rata-rata Skor 86,6%
Pada PA 1.1 Process Performance diatas, PT. Solusi
Integrasi Teknologi mendapatkan skor 86,6% yang masuk dalam
tingkat penilaian F (fully achieved). Maka penilaian proses
APO12 dapat melanjutkan ke level selanjutnya yaitu level 2
(Managed Process).
Pada level 2 menurut Generic Practices (GPs) dan Generic
Work Products (GWPs) yang ada pada COBIT 5, maka penilaian
level 2 didasarkan pada performance management dan work
product management. Berikut ini adalah tabel pencapaian dalam
level 2 proses APO12 :
Tabel 4. 46 Proses APO12 PA 2.1 Performance Management
Work Product Exist Evidence
Identifikasi ruang lingkup dan
tujuan proses pengelolaan
risiko
√ Dokumen Risiko
PT. Solusi
Integrasi
Teknologi
197
Merencanakan dan
memonitoring proses
pengelolaan risiko
- -
Menyesuaikan kinerja proses
pengelolaan risiko
- -
Mengidentifikasi tanggung
jawab proses pengelolaan risiko
√ Dokumen Risiko
PT. Solusi
Integrasi Teknologi
Mengidentifikasi dan
menyediakan sumber daya
proses pengelolaan risiko
√ Dokumen Risiko
PT. Solusi
Integrasi
Teknologi
Mengelola antarmuka proses
pengelolaan risiko
- -
Rata - rata Skor 50%
Berdasarkan tabel performance management terdapat 6
poin yang harus dipenuhi oleh PT Solusi Integrasi Teknologi.
Identifikasi ruang lingkup dan tujuan proses pengelolaan risiko
tercantum dalam Dokumen Risiko PT. Solusi Integrasi Teknologi.
Dalam merencanakan dan memonitoring proses pengelolaan
risiko belum ditemukan evidence terkait poin tersebut. Dalam
menyesuaikan kinerja proses pengelolaan risiko belum ditemukan
evidence terkait poin tersebut. Mengidentifikasi tanggung jawab
proses pengelolaan risiko tercantum dalam Dokumen Risiko PT.
Solusi Integrasi. Mengidentifikasi dan menyediakan sumber daya
proses pengelolaan risiko tercantum dalam Dokumen Risiko PT.
Solusi Integrasi. Dalam mengelola antarmuka proses pengelolaan
risiko belum ditemukan evidence terkait poin tersebut.
198
Tabel 4. 47 Proses APO12 PA 2.2 Work Product Management
Work Product Exist Evidence
Kriteria kualitas dan
hasil kerja
√ Dokumen KPI
Operasional Nomor 007/SOP.OPS/SIT/07/21
Menetapkan
kebutuhan dari hasil
kerja
- -
Dokumentasi hasil
kinerja
√ Report Work PT Solusi
Integrasi Teknologi
Evaluasi hasil kinerja √ Report Work PT Solusi Integrasi Teknologi
Rata-Rata 75%
Berdasarkan tabel Performance Management dan Work
Product Management dapat diketahui skor masing-masing
pencapaian tersebut adalah 50% dan 75% termasuk dalam tingkat
pencapaian L (Largely Achieved) dengan memenuhi persyaratan
pada level 2 managed process. Pada domain ini belum bisa
melanjutkan penilaian ke level selanjutnya yaitu level 3, karena
persyaratan untuk melanjutkan penilaian ke level berikutnya
dalam Performance Management dan Work Product Management
harus mencapai tingkatan F (Fully Acvieved).
3. Proses APO13 (Manage Security)
Tabel 4. 48 Proses APO13 PA 1.1 Process Performance
Base
Practice
Work
Product
Exist Evidence
199
APO13.01
Membang
un dan
Memelihar
a Sistem
Manajeme
n
Keamanan
Informasi
(SMKI).
Peraturan
SMKI
√ SOP Prosedur
Keamanan SI Divisi IT
Nomor
006/SOP.OPS/SIT/06/2
1
Jangkauan
SMKI
√ SOP Prosedur
Keamanan SI Divisi IT
Nomor
006/SOP.OPS/SIT/06/2
1
APO13.02
Mengelola
Rencana
Penangana
n Risiko
Keamanan
Informasi
Informasi
mengenai
penanganan
risiko
keamanan
√ SOP Prosedur
Pemeliharaan Rutin
Divisi IT Nomor
004/SOP.OPS/SIT/06/2
1
Informasi
keamanan
berdasarka
n kasus
bisnis
√ SOP Prosedur Insiden
Divisi IT Nomor
005/SOP.OPS/SIT/06/2
1
APO13.03
Mengawas
i Sistem
Manajeme
n
Keamanan
Informasi
(SMKI)
Laporan
audit SMKI
√ SOP Prosedur Insiden
Divisi IT Nomor
005/SOP.OPS/SIT/06/2 1
Rekomenda
si untuk
peningkata
n SMKI
√ SOP Prosedur
Pemeliharaan Rutin
Divisi IT Nomor
004/SOP.OPS/SIT/06/2
1dan SOP Prosedur
Insiden Divisi IT
Nomor
005/SOP.OPS/SIT/06/2 1
Rata-rata Skor 100%
Pada PA 1.1 Process Performance diatas, PT. Solusi
Integrasi Teknologi mendapatkan skor 100% yang masuk dalam
tingkat penilaian F (fully achieved). Maka penilaian proses
200
APO13 dapat melanjutkan ke level selanjutnya yaitu level 2
(Managed Process).
Pada level 2 menurut Generic Practices (GPs) dan Generic
Work Products (GWPs) yang ada pada COBIT 5, maka penilaian
level 2 didasarkan pada performance management dan work
product management. Berikut ini adalah tabel pencapaian dalam
level 2 proses APO13 :
Tabel 4. 49 Proses APO13 PA 2.1 Performance Management
Work Product Exist Evidence
Identifikasi ruang lingkup
dan tujuan manajemen
keamanan terkait TI
√ SOP Prosedur
Keamanan SI Divisi IT
Nomor
006/SOP.OPS/SIT/06/21
Merencanakan
memperbaiki
terkait TI
dan
keamanan
√ SOP Prosedur
Keamanan SI Divisi IT
Nomor
006/SOP.OPS/SIT/06/21
Menyesuaikan solusi untuk
manajemen keamanan
terkait TI
√ SOP Prosedur
Keamanan SI Divisi IT
Nomor
006/SOP.OPS/SIT/06/21
Mengidentifikasi tanggung
jawab atau komunikasi atas
manajemen keamanan
√ SOP Prosedur
Keamanan SI Divisi IT
Nomor
006/SOP.OPS/SIT/06/21
terkait TI
Mengidentifikasi dan √ SOP Prosedur
menyediakan sumber daya Keamanan SI Divisi IT
Nomor 006/SOP.OPS/SIT/06/21
Mengelola hubungan pihak
terkait
- -
201
Berdasarkan tabel performance management diketahui
terdapat 6 poin yang harus dipenuhi oleh PT Solusi Integrasi
Teknologi. Dalam mengidentifikasi ruang lingkup dan tujuan
manajemen keamanan terkait TI tercantum dalam SOP Prosedur
Keamanan SI Divisi IT Nomor 006/SOP.OPS/SIT/06/21. Dalam
merencanakan dan memperbaiki keamanan terkait TI tercantum
dalam SOP Prosedur Keamanan SI Divisi IT Nomor
006/SOP.OPS/SIT/06/21. Menyesuaikan solusi untuk manajemen
keamanan terkait TI tercantum dalam SOP Keamanan SI.
Mengidentifikasi tanggung jawab atau komunikasi atas
manajemen keamanan terkait TI tercantum dalam SOP Keamanan
SI. Mengidentifikasi dan menyediakan sumber daya tercantum
dalam SOP Keamanan SI. Dalam mengelola hubungan pihak
terkait belum ditemukan evidence terkait poin tersebut.
Tabel 4. 50 Proses APO13 PA 2.2 Work Product Management
Work Product Exist Evidence
Kriteria kualitas dan
hasil kerja
√ Dokumen KPI
Operasional Nomor 007/SOP.OPS/SIT/07/21
Menetapkan
kebutuhan dari hasil
kerja
- -
Dokumentasi hasil
kinerja
√ Report Work PT Solusi
Integrasi Teknologi
83,3% Rata - rata Skor
202
Evaluasi hasil kinerja √ Report Work PT Solusi Integrasi Teknologi
Rata-Rata 75%
Berdasarkan tabel Performance Management dan Work
Product Management dapat diketahui skor masing-masing
pencapaian tersebut adalah 83,3% dan 75% termasuk dalam
tingkat pencapaian L (Largely Achieved) dengan memenuhi
persyaratan pada level 2 managed process. Pada domain ini belum
bisa melanjutkan penilaian ke level selanjutnya yaitu level 3,
karena persyaratan untuk melanjutkan penilaian ke level
berikutnya dalam Performance Management dan Work Product
Management harus mencapai tingkatan F (Fully Acvieved).
4. Proses BAI06 (Manage Changes)
Tabel 4. 51 Proses BAI06 PA 1.1 Process Management
Base Practice Work
Product
Exi
st
Evidence
BAI06.01 Penilaian √ SOP Prosedur
Manajemen
Perubahan Divisi IT
Nomor
008/SOP.OPS/SIT/0 7/21
Mengevaluasi, Dampak
prioritaskan, dan
otorisasi
permintaan
perubahan.
Permintaa
n
perubahan
yang
disetujui
√ SOP Prosedur
Manajemen
Perubahan Divisi IT
Nomor
008/SOP.OPS/SIT/0 7/21
Perubahan
rencana
dan jadwal
√ SOP Prosedur
Manajemen
Perubahan Divisi IT
Nomor
203
008/SOP.OPS/SIT/0 7/21
BAI06.02
Mengelola
Perubahan
Darurat
Tinjauan
pasca-
implement
asi dari
perubahan
darurat
√ SOP Prosedur
Manajemen
Perubahan Divisi IT
Nomor
008/SOP.OPS/SIT/0
7/21
BAI06.03
Melacak dan
melaporkan
perubahan status
Perubahan
laporan
status
permintaa
n
√ SOP Prosedur
Manajemen
Perubahan Divisi IT
Nomor
008/SOP.OPS/SIT/0 7/21
BAI06.04
Tutup dan
mendokumentas
ikan perubahan
Perubahan
dokument
asi
√ SOP Prosedur
Manajemen
Perubahan Divisi IT
Nomor
008/SOP.OPS/SIT/0 7/21
Rata-rata Skor 100%
Pada PA 1.1 Process Performance diatas, PT. Solusi
Integrasi Teknologi mendapatkan skor 100% yang masuk dalam
tingkat penilaian F (fully achieved). Maka penilaian proses BAI06
dapat melanjutkan ke level selanjutnya yaitu level 2 (Managed
Process).
Pada level 2 menurut Generic Practices (GPs) dan Generic
Work Products (GWPs) yang ada pada COBIT 5, maka penilaian
level 2 didasarkan pada performance management dan work
product management. Berikut ini adalah tabel pencapaian dalam
level 2 proses BAI06 :
204
Tabel 4. 52 Proses BAI06 PA 2.1 Performance Management
Work Product Exist Evidence
Identifikasi ruang
lingkup dan tujuan
manajemen
perubahan
√ SOP Prosedur
Manajemen Perubahan
Divisi IT Nomor
008/SOP.OPS/SIT/07/21
Merencanakan dan
memperbaiki
manajemen
perubahan
√ SOP Prosedur
Manajemen Perubahan
Divisi IT Nomor
008/SOP.OPS/SIT/07/21
Menyesuaikan
solusi untuk
manajemen
perubahan
√ SOP Prosedur
Manajemen Perubahan
Divisi IT Nomor
008/SOP.OPS/SIT/07/21
Mengidentifikasi
tanggung jawab
atau komunikasi
atas manajemen
perubahan
√ SOP Prosedur
Manajemen Perubahan
Divisi IT Nomor
008/SOP.OPS/SIT/07/21
Mengidentifikasi
dan menyediakan
sumber daya
- -
Mengelola
hubungan pihak
terkait
- -
Rata - rata Skor 66,66%
Berdasarkan tabel performance management terdapat 6
poin yang harus dipenuhi oleh PT Solusi Integrasi Teknologi.
Dalam mengidentifikasi ruang lingkup dan tujuan manajemen
perubahan tercantum dalam SOP Prosedur Manajemen Perubahan
Divisi IT Nomor 008/SOP.OPS/SIT/07/21. Merencanakan dan
memperbaiki manajemen perubahan tercantum dalam SOP
Prosedur Manajemen Perubahan Divisi IT Nomor
205
008/SOP.OPS/SIT/07/21. Dalam menyesuaikan solusi untuk
manajemen perubahan tercantum dalam SOP Prosedur
Manajemen Perubahan Divisi IT Nomor
008/SOP.OPS/SIT/07/21. Dalam mengidentifikasi tanggung
jawab atau komunikasi atas manajemen perubahan tercantum
dalam SOP Prosedur Manajemen Perubahan Divisi IT Nomor
008/SOP.OPS/SIT/07/21. Dalam mengidentifikasi dan
menyediakan sumber daya belum ditemukan evidence terkait poin
tersebut. Mengelola hubungan pihak terkait belum ditemukan
evidence terkait poin tersebut.
Tabel 4. 53 Proses BAI06 PA 2.2 Work Product Management
Work Product Exist Evidence
Kriteria kualitas dan
hasil kerja
√ Dokumen KPI
Operasional Nomor
007/SOP.OPS/SIT/07/21
Menetapkan
kebutuhan dari hasil
kerja
- -
Dokumentasi hasil
kinerja
√ Report Work PT Solusi
Integrasi Teknologi
Evaluasi hasil kinerja √ Report Work PT Solusi Integrasi Teknologi
Rata-Rata 75%
Berdasarkan tabel Performance Management dan Work
Product Management dapat diketahui skor masing-masing
pencapaian tersebut adalah 66,6% dan 75% termasuk dalam
tingkat pencapaian L (Largely Achieved) dengan memenuhi
206
persyaratan pada level 2 managed process. Pada domain ini belum
bisa melanjutkan penilaian ke level selanjutnya yaitu level 3,
karena persyaratan untuk melanjutkan penilaian ke level
berikutnya dalam Performance Management dan Work Product
Management harus mencapai tingkatan F (Fully Acvieved).
4.6.4 Penilaian Risiko
Penilaian risiko pada dasarnya merupakan keseluruhan proses Risk
Identification, Risk Analysis dan Risk Evaluation. Risk Analysis
bertujuan untuk memahami karakteristik risiko (Probabilitas dan
dampak) yang dilakukan secara kualitatif maupun kuantitatif untuk
menentukan level of risk. Level risiko ditentukan oleh level frekuensi
(probability) yaitu besar atau kecilnya kemungkinan terjadinya risiko dan
level konsekuensi yaitu besar kecilnya dampak negatif dari risiko.
Sedangkan risk evaluation bertujuan untuk membantu proses
pengambilan keputusan berdasarkan hasil analisis risiko.
Risk analysis dilakukan dengan identifikasi risiko, menentukan
probability, impact risiko dan tingkat risiko. Lalu melakukan penilaian
risiko terhadap inherent risk dan residual risk. Sedangkan risk
evaluation dilakukan dengan menyusun hubungan antara probability dan
impact ke dalam matriks risk map. Setelah itu hasilnya akan diketahui
priority risiko yang memerlukan penanganan (mitigasi).
207
4.6.4.1 Identifikasi Risiko
Tahap ini dilakukan untuk identifikasi risiko yang ada di PT.
Solusi Integrasi Teknologi yang perlu di nilai melalui
wawancara. Berikut ini risiko-risiko yang ada di PT. Solusi
Integrasi Teknologi :
Tabel 4. 54 Identifikasi Risiko
No. Risiko
1 Belum dilakukannya risk assessment pada divisi IT
2 Belum adanya dokumen atau kebijakan untuk menangani risiko
3 Pernah mengalami masalah dalam backup data dikarenakan mati
listrik
4 Identifikasi risiko tidak terdokumentasi dengan baik sehingga
perusahaan tidak mengetahui risiko sebelum pembuatan software
5 Tidak ada prosedur pencegahan insiden IT Continuity Plan,
Disaster Recovery Plan, IT Security Plan
6 Keterbatasan SDM untuk menangani risiko
7 Penentuan estimasi waktu pembuatan software yang memakai
perkiraan, menjadikan proses pengembangan bisa menjadi lebih
lama diselesaikan
8 Pembuatan software menjadi lama dikarenakan programer harus
mempelajari code atau bahasa pemrograman
4.6.4.2 Risk Likelihood
Berikut ini faktor yang dapat menentukan likelihood
berdasarkan Risk Rating Methodology yang dikeluarkan
OWASP :
1. Skill Level (SL)
2. Motive (M)
3. Opportunity (O)
208
4. Size (S)
5. Ease of Discovery (ED)
6. Ease of Exploit (EE)
7. Awareness (AW)
8. Intrusion Detection (ID)
Tabel dibawah ini menjabarkan hasil penilaian kriteria
likelihood dengan memberikan nilai pada setiap kriteria
berdasarkan rating risiko yang telah ditentukan OWASP
yaitu 0 – 9 dengan masing-masing rating memiliki
keterangan. Hasil dari likelihood akan dimanfaatkan untuk
menghitung risk severity :
Tabel 4. 55 Risk Likelihood
No. Risiko SL M O S ED EE AW ID L
1 Belum
dilakukannya risk
assessment pada divisi IT
4 4 4 2 1 1 4 0 2,5
2 Belum adanya
dokumen atau kebijakan untuk menangani risiko
6 6 4 2 5 7 6 0 4,5
3 Pernah mengalami
masalah dalam
backup data
dikarenakan mati listrik
5 5 5 3 5 7 6 4 5
4 Identifikasi risiko
tidak
terdokumentasi
dengan baik
sehingga
perusahaan tidak
mengetahui risiko
sebelum pembuatan
software
3 1 4 2 5 1 1 0 2,1
209
5 Tidak ada prosedur
pencegahan insiden
IT Continuity Plan,
Disaster Recovery Plan, IT Security
Plan
3 4 4 2 1 1 4 0 2,3
6 Keterbatasan SDM
untuk menangani risiko
5 6 4 4 6 5 4 0 4,2
7 Penentuan estimasi
waktu pembuatan
software yang
memakai perkiraan,
menjadikan proses
pengembangan bisa
menjadi lebih lama
diselesaikan
3 6 4 2 3 3 4 0 3,1
8 Pembuatan
software menjadi
lama dikarenakan
programer harus
mempelajari code
atau bahasa pemrograman
3 4 3 2 3 3 4 1 2,8
4.6.4.3 Risk Impact
Berikut ini kriteria untuk mengukur impact berdasarkan
Risk Rating Methodology yang dikeluarkan OWASP :
1. Loss of Confidentiality (C)
2. Loss of Integrity (LI)
3. Loss of Availability (LA)
4. Loss of Accountability (LC)
5. Financial Damage (FD)
6. Reputation Damage (RD)
7. Non-Compliance (NC)
8. Privacy Violation (PV)
210
Tabel dibawah ini menjabarkan hasil penilaian kriteria
impact. Hasil dari impact akan dimanfaatkan untuk
menghitung risk severity :
Tabel 4. 56 Risk Impact
No. Risiko C LI LA LC FD RD NC PV I
1 Belum dilakukannya risk assessment pada divisi IT
4 0 5 3 2 4 2 0 2,5
2 Belum adanya dokumen
atau kebijakan untuk menangani risiko
8 8 5 6 7 5 6 4 6,1
3 Pernah mengalami
masalah dalam backup
data dikarenakan mati listrik
9 9 9 7 7 5 7 3 7
4 Identifikasi risiko tidak
terdokumentasi dengan
baik sehingga perusahaan
tidak mengetahui risiko
sebelum pembuatan software
3 2 5 1 2 2 2 0 2,1
5 Tidak ada prosedur
pencegahan insiden IT
Continuity Plan, Disaster
Recovery Plan, IT Security Plan
3 3 2 1 2 1 3 0 1,8
6 Keterbatasan SDM untuk menangani risiko
6 5 7 7 7 6 6 4 6
7 Penentuan estimasi
waktu pembuatan
software yang memakai
perkiraan, menjadikan
proses pengembangan
bisa menjadi lebih lama diselesaikan
2 3 4 1 2 3 3 0 2,2
8 Pembuatan software
menjadi lama
dikarenakan programer
harus mempelajari code
atau bahasa pemrograman
3 3 4 2 3 1 0 2 2,2
211
4.6.4.4 Risk Severity
Berdasarkan hasil penilaian likelihood dan impact, setelah
itu dilakukan perhitungan untuk mendapatkan risk
severity dengan cara mengalikan tiap-tiap aspek
likelihood dan impact. Berikut ini perhitungan risk
severity dari masing-masing risiko diurutkan dari yang
memiliki risiko rendah ke tinggi:
Tabel 4. 57 Risk Severity
No. Risiko Likelihood Impact Risk Severity
1 Belum dilakukannya risk assessment pada divisi IT
2,5 (Low) 2,5 (Low)
Low
2 Belum adanya dokumen atau
kebijakan untuk menangani
risiko
4,5
(Medium)
6,1
(High)
High
3 Pernah mengalami masalah
dalam backup data dikarenakan
mati listrik
5
(Medium)
7 (High) High
4 Identifikasi risiko tidak
terdokumentasi dengan baik
sehingga perusahaan tidak
mengetahui risiko sebelum
pembuatan software
2,1 (Low) 2,1 (Low)
Low
5 Tidak ada prosedur pencegahan
insiden IT Continuity Plan,
Disaster Recovery Plan, IT
Security Plan
2,3 (Low) 1,8
(Low)
Low
6 Keterbatasan SDM untuk
menangani risiko
4,2
(Medium)
6 (High) High
7 Penentuan estimasi waktu
pembuatan software yang
memakai perkiraan, menjadikan
proses pengembangan bisa
menjadi lebih lama diselesaikan
3,1
(Medium)
2,2
(Low)
Low
212
8 Pembuatan software menjadi
lama dikarenakan programer
harus mempelajari code atau bahasa pemrograman
2,8 (Low) 2,2
(Low)
Low
Berdasarkan hasil perhitungan diatas didapatkan prioritas
untuk masing-masing risiko. dari 8 risiko telah ditemukan
3 risiko yang memiliki prioritas tinggi yaitu risiko nomor
6, 3, dan 2. Berikuti ini tabel kategori risk severity :
Tabel 4. 58 Overall Severity Map
4.7 Reporting the Result
Tahap ini peneliti membahas tentang hasil evaluasi dan hasil penilaian dari
tahap-tahap sebelumnya. Pada tahapan reporting the result dijelaskan
penentuan gaps pada setiap proses dan rekomendasi tingkat kapabilitas proses
yang diharapkan PT Solusi Integrasi Teknologi. Pada tahap ini juga peneliti
memberikan saran atau rekomendasi Langkah mitigasi dengan menggunakan
ISO 3100:2018.
4.7.1 Hasil Capability Level
Hasil perhitungan tingkat capability kondisi saat ini (as is) Divisi TI
PT Solusi Integrasi Teknologi dalam mengelola risiko berada pada level
2 (Managed Process) dengan nilai 2,27 yang berarti kondisi saat ini telah
213
mengimplementasikan proses dengan cara yang terkelola dan hasil
kerjanya ditetapkan, dikontrol dan terawat. Sementara tingkat capability
kondisi yang diharapkan (to be) dalam mengelola risiko TI berada pada
level 4 (Predictable Process) dengan nilai 4,18 yang berarti kondisi yang
diharapkan mampu mengimplementasikan proses secara konsisten dan
memiliki batasan-batasan untuk meraih tujuan dari proses tersebut.
Dengan besarnya gap pada nilai capability level sebesar 1,91 untuk
mencapai capability level yang diharapkan. Untuk mencapai level yang
diharapkan, PT Solusi Integrasi Teknologi harus memenuhi indikator
persyaratan pada Performance Management dan Work Product
Management pada level 2 lalu setelah itu harus melakukan hal yang sama
pada level 3 untuk dapat mencapai level yang diharapkan yaitu level 4.
4.7.2 Gap & Rekomendasi Proses EDM03
Penilaian capability level pada proses EDM03 berada pada level 2
dengan nilai 2,38 dan level kondisi yang diharapkan berada pada level 3.
Gap dan rekomendasi dibawah ini didapat dari hasil pencapaian proses
yang terdapat dalam tahap Process Attribute Level :
Tabel 4. 59 Capability Level Proses EDM03
Proses Tingkat Kapabilitas
0 1 2 3 4 5
EDM03
F
87,5%
L 62,5%
2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2
50% 75%
214
Ket :
Berdasarkan tabel diatas pada level 1 sudah mencapai 87,5%
dalam kategori Fully Achieved, sehingga penilaian lanjut ke level 2.
Pada capability level 2 termasuk dalam kategori Largely Achieved
dengan persentase 62,5%. Pada level 2 juga terdapat 2 poin yaitu 2.1
(Performance Management) dengan mencapai 50% dan 2.2 (Work
Product Management) mencapai 75%. Namun untuk mencapai level
selanjutnya level 2 harus berada pada tingkatan Fully Achieved.
Berikut ini gap dan rekomendasi proses EDM03 sesuai dengan
temuan pada tahap pencapaian proses :
Tabel 4. 60 Gap dan Rekomendasi EDM03
EDM03 (Ensure Risk Optimisation)
Gap
1. Belum adanya dokumen kebijakan manajemen risiko yang
digunakan untuk mengatasi risiko yang terjadi.
2. Belum teridentifikasinya rencana dan memonitoring dari
proses optimasi risiko.
3. Belum teridentifikasinya kesesuaian kinerja dalam proses
optimasi risiko.
4. Belum adanya antar muka pada proses optimasi risiko.
5. Belum mengidentifikasi dan menetapkan kebutuhan dari
hasil kerja.
Rekomendasi
✓ Direkomendasikan untuk membuat dokumen SOP atau
kebijakan khususnya manajemen risiko yang bisa
disesuaikan dengan kondisi PT Solusi Integrasi Teknologi.
215
✓ Direkomendasikan untuk membuat perencanaan terhadap
proses optimasi dari seluruh risiko, sehingga saat proses
pengoptimalan risiko berjalan dengan baik dan
dimonitoring dengan baik agar meminimalisir issue pada
proses optimasi risiko.
✓ Untuk pengoptimalan risiko diharuskan untuk
menyesuaikan kinerja serta peran dan tanggung jawab
penuh pada proses ini. Dengan cara membuat dokumentasi
kinerja dan hasil kinerja.
✓ Divisi IT PT Solusi Integrasi Teknologi harus menyediakan
dan mengelola tampilan interface atau sistem informasi
untuk memonitoring proses pengoptimalan risiko.
✓ Direkomendasikan untuk identifikasi dan analisis terkait
dengan kebutuhan dari hasil kerja, agar dapat meningkatkan
hasil kerja.
Berdasarkan tabel diatas terdapat 5 gap yang harus dicapai oleh
PT Solusi Integrasi Teknologi agar dapat memenuhi persyaratan
proses EDM03 ke level 2. Salah satu rekomendasi yaitu
direkomendasikan membuat dokumen SOP atau kebijakan khususnya
manajemen risiko yang bisa disesuaikan dengan kondisi PT Solusi
Integrasi Teknologi. Sehingga dapat memenuhi gap belum adanya
kebijakan manajemen risiko. Sebelum ke level selanjutnya, PT Solusi
Integrasi Teknologi diharuskan untuk memenuhi perbaikan pada
level sebelumnya.
4.7.3 Gap & Rekomendasi Proses APO12
Penilaian capability level pada proses APO12 berada pada level 2
dengan nilai 2,3 dan level kondisi yang diharapkan berada pada level 5.
Namun untuk mencapai level selanjutnya level 2 harus berada pada
tingkatan Fully Achieved. Gap dan rekomendasi dibawah ini didapat
216
dari hasil pencapaian proses yang terdapat dalam tahap Process Attribute
Level :
Tabel 4. 61 Capability Level APO12
Proses Tingkat Kapabilitas
0 1 2 3 4 5
APO12
F
86,6%
L 62,5%
2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2
50% 75%
Berdasarkan tabel diatas pada level 1 sudah mencapai 86,6%
dalam kategori Fully Achieved, sehingga penilaian lanjut ke level 2.
Pada capability level 2 termasuk dalam kategori Largely Achieved
dengan persentase 62,5%. Pada level 2 juga terdapat 2 poin yaitu 2.1
(Performance Management) dengan mencapai 50% dan 2.2 (Work
Product Management) mencapai 75%. Berikut ini gap dan
rekomendasi proses APO12 sesuai dengan temuan pada tahap
pencapaian proses :
Tabel 4. 62 Gap dan Rekomendasi APO12
APO12 (Manage Risk)
Gap
1. Belum adanya dokumen laporan ke stakeholders terkait
analisis risiko dan profil risiko.
2. Belum adanya dokumentasi hasil dari penilaian risiko oleh
pihak ketiga.
3. Belum teridentifikasinya rencana dan memonitoring dari
proses pengelolaan risiko.
4. Belum teridentifikasinya kesesuaian kinerja dalam proses
pengelolaan risiko.
5. Belum adanya antar muka pada proses pengelolaan risiko.
217
6. Belum mengidentifikasi dan menetapkan kebutuhan dari
hasil kerja.
Rekomendasi
✓ PT Solusi Integrasi Teknologi direkomendasikan untuk
mem buat dokumen laporan terkait analisis risiko pada
setiap project dan diserahkan kepada klien/customer.
✓ Penilaian risiko oleh pihak ketiga seperti klien/customer
juga penting untuk kemajuan PT Solusi Integrasi Teknologi,
oleh karena ini diharus kan untuk menyediakan
dokumenntasi dari hasil penilaian risiko oleh pihak ketiga.
✓ Untuk pengelolaan risiko diharuskan untuk menyesuaikan
kinerja serta peran dan tanggung jawab penuh pada proses
ini. Dengan cara membuat dokumentasi kinerja dan hasil
kinerja.
✓ Divisi IT PT Solusi Integrasi Teknologi harus menyediakan
dan mengelola tampilan interface atau sistem informasi
untuk memonitoring proses pengelolaan risiko.
✓ Direkomendasikan untuk identifikasi dan analisis terkait
dengan kebutuhan dari hasil kerja, agar dapat meningkatkan
hasil kerja.
Berdasarkan tabel diatas terdapat 6 gap yang harus dicapai oleh
PT Solusi Integrasi Teknologi agar dapat memenuhi persyaratan
proses APO12 ke level 2. Salah satu rekomendasi yaitu
direkomendasikan untuk mem buat dokumen laporan terkait analisis
risiko pada setiap project dan diserahkan kepada klien/customer.
Sehingga dapat memenuhi gap belum adanya dokumen laporan ke
stakeholders terkait analisis risiko dan profil risiko. Sebelum ke level
selanjutnya, PT Solusi Integrasi Teknologi diharuskan untuk
memenuhi perbaikan pada level sebelumnya.
218
4.7.4 Gap & Rekomendasi Proses APO13
Penilaian capability level pada proses APO13 berada pada level 2
dengan nilai 1,76 dan level kondisi yang diharapkan berada pada level 4.
Namun untuk mencapai level selanjutnya level 2 harus berada pada
tingkatan Fully Achieved. Gap dan rekomendasi dibawah ini didapat
dari hasil pencapaian proses yang terdapat dalam tahap Process Attribute
Level :
Tabel 4. 63 Capability Level APO13
Proses Tingkat Kapabilitas
0 1 2 3 4 5
APO13
F
100%
L
79,15%
2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2
83,3% 75%
Berdasarkan tabel diatas pada level 1 sudah mencapai 100%
dalam kategori Fully Achieved, sehingga penilaian lanjut ke level 2.
Pada capability level 2 termasuk dalam kategori Largely Achieved
dengan persentase 79,17%. Pada level 2 juga terdapat 2 poin yaitu 2.1
(Performance Management) dengan mencapai 83,3% dan 2.2 (Work
Product Management) mencapai 75%. Berikut ini gap dan
rekomendasi proses APO13 sesuai dengan temuan pada tahap
pencapaian proses :
Tabel 4. 64 Gap dan Rekomendasi APO13
APO13 (Manage Security)
Gap
219
1. Belum adanya pengelolaan terhadap hubungan dengan
pihak yang terkait dengan keamaan informasi.
2. Belum mengidentifikasi dan menetapkan kebutuhan dari
hasil kerja.
Rekomendasi
✓ Direkomendasikan untuk menjaga dan mengelola hubungan
oleh seluruh pihak internal dan eksternal yang memiliki
tanggung jawab secara penuh terhadap keamanan informasi,
sehingga informasi tetap terjaga.
✓ Direkomendasikan untuk identifikasi dan analisis terkait
dengan kebutuhan dari hasil kerja, agar dapat meningkatkan
hasil kerja.
Berdasarkan tabel diatas terdapat 2 gap yang harus dicapai oleh
PT Solusi Integrasi Teknologi agar dapat memenuhi persyaratan
proses APO13 ke level 2. Salah satu rekomendasi yaitu
direkomendasikan untuk menjaga dan mengelola hubungan oleh
seluruh pihak internal dan eksternal yang memiliki tanggung jawab
secara penuh terhadap keamanan informasi, sehingga informasi tetap
terjaga. Sehingga dapat memenuhi gap belum adanya pengelolaan
terhadap hubungan dengan pihak yang terkait dengan keamaan
informasi. Sebelum ke level selanjutnya, PT Solusi Integrasi
Teknologi diharuskan untuk memenuhi perbaikan pada level
sebelumnya.
4.7.5 Gap & Rekomendasi Proses BAI06
Penilaian capability level pada proses BAI06 berada pada level 2
dengan nilai 2,27 dan level kondisi yang diharapkan berada pada level 5.
Namun untuk mencapai level selanjutnya level 2 harus berada pada
220
tingkatan Fully Achieved. Gap dan rekomendasi dibawah ini didapat
dari hasil pencapaian proses yang terdapat dalam tahap Process Attribute
Level :
Tabel 4. 65 Capability Level BAI06
Proses Tingkat Kapabilitas
0 1 2 3 4 5
BAI06
F
100%
L 70,83%
2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2
66,66% 75%
Berdasarkan tabel diatas pada level 1 sudah mencapai 100%
dalam kategori Fully Achieved, sehingga penilaian lanjut ke level 2.
Pada capability level 2 termasuk dalam kategori Largely Achieved
dengan persentase 70,83%. Pada level 2 juga terdapat 2 poin yaitu 2.1
(Performance Management) dengan mencapai 66,66% dan 2.2 (Work
Product Management) mencapai 75%. Berikut ini gap dan
rekomendasi proses BAI06 sesuai dengan temuan pada tahap
pencapaian proses :
Tabel 4. 66 Gap dan Rekomendasi BAI06
BAI06 (Manage Changes)
Gap
1. Belum teridentifikasinya penyediaan sumber daya terkait
dengan proses pengelolaan perubahan.
2. Belum adanya pengelolaan hubungan terkait dengan pihak-
pihak yang berperan pada proses manajemen perubahan.
3. Belum mengidentifikasi dan menetapkan kebutuhan dari
hasil kerja.
Rekomendasi
221
✓ Dalam mengelola perubahan, PT Solusi Integrasi
direkomendasikan untuk menyediakan sumber daya yang
dapat mendukung performa dalam mengelola perubahan
dengan memberikan pelatihan terkait manage change.
✓ Direkomendasikan untuk menjaga dan mengelola hubungan
oleh seluruh pihak internal dan eksternal yang memiliki
tanggung jawab secara penuh terhadap pengelolaan
perubahan proses bisnis, sehingga PT Solusi Integrasi
Teknologi memiliki proses bisnis yang baik dibandingkan
dengan yang sebelumnya.
✓ Direkomendasikan untuk identifikasi dan analisis terkait
dengan kebutuhan dari hasil kerja, agar dapat meningkatkan
hasil kerja.
Berdasarkan tabel diatas terdapat 3 gap yang harus dicapai oleh
PT Solusi Integrasi Teknologi agar dapat memenuhi persyaratan
proses BAI06 ke level 2. Salah satu rekomendasi yaitu dalam
mengelola perubahan, PT Solusi Integrasi direkomendasikan untuk
menyediakan sumber daya yang dapat mendukung performa dalam
mengelola perubahan dengan memberikan pelatihan terkait manage
change. Sehingga dapat memenuhi gap belum teridentifikasinya
penyediaan sumber daya terkait dengan proses pengelolaan
perubahan. Sebelum ke level selanjutnya, PT Solusi Integrasi
Teknologi diharuskan untuk memenuhi perbaikan pada level
sebelumnya.
4.7.6 Hasil Penilaian Risiko
Berdasarkan hasil penilaian risiko dengan mencari nilai likelihood
dan impact dari setiap risiko yang telah diidentifikasi sebelumnya dapat
222
diketahui nilai risk severity dari masing-masing risiko. Berikut ini adalah
risk severity beserta nilai dan level dari setiap risiko sesuai dengan tabel
4.59 yang diurutkan dari level high ke low dan digambarkan dalam
Overall Severity Map :
Tabel 4. 67 Hasil Penilaian Risiko
No. Risiko Likelihood Impact Risk
Severity
1 Belum dilakukannya risk assessment pada divisi IT
2,5 (Low) 2,5 (Low)
Low
2 Belum adanya dokumen atau
kebijakan untuk menangani
risiko
4,5
(Medium)
6,1
(High)
High
3 Pernah mengalami masalah
dalam backup data dikarenakan
mati listrik
5
(Medium)
7 (High) High
4 Identifikasi risiko tidak
terdokumentasi dengan baik
sehingga perusahaan tidak
mengetahui risiko sebelum
pembuatan software
2,1 (Low) 2,1 (Low)
Low
5 Tidak ada prosedur pencegahan
insiden IT Continuity Plan,
Disaster Recovery Plan, IT
Security Plan
2,3 (Low) 1,8
(Low)
Low
6 Keterbatasan SDM untuk
menangani risiko
4,2
(Medium)
6 (High) High
7 Penentuan estimasi waktu
pembuatan software yang
memakai perkiraan, menjadikan
proses pengembangan bisa menjadi lebih lama diselesaikan
3,1
(Medium)
2,2
(Low)
Low
8 Pembuatan software menjadi
lama dikarenakan programer
harus mempelajari code atau bahasa pemrograman
2,8 (Low) 2,2
(Low)
Low
223
4.7.7 Mitigasi Risiko
Berikut ini saran langkah mitigasi terhadap 3 risiko level high
dengan menggunakan prinsip manajemen risiko ISO 31000:2018 :
Tabel 4. 68 Langkah Mitigasi
No. Risiko Langkah Mitigasi
1. Keterbatasan SDM untuk
menangani risiko
✓ Integrated (Terintegrasi)
Divisi IT PT. Solusi
Integrasi Teknologi
melakukan penyesuaian
dan penambahan SDM nya
terhadap aktifitas yang ada
di perusahaan sehingga
setiap SDM yang ada dapat
mengidentifikasi dan
menganalisa risiko yang
muncul.
✓ Structural and
Comprehensive
(Terstruktur dan
Komprehensif)
Dengan memanfaatkan
SDM yang terbatas, SDM
dari Divisi IT harus
memiliki wawasan yang
terstruktur dan luas terkait
risiko dan dapat menerima
dengan baik.
✓ Customized (Dapat
Menyesuaikan)
Dengan menambahkan
SDM harus memilih SDM
yang dapat menyesuaikan
diri dengan lingkungan
eksternal maupun internal.
✓ Inclusive (Inklusif)
Mengarahkan SDM agar
memiliki keterlibatan
pengetahuan dan waktu
dalam kegiatan
pengelolaan risiko. ✓ Dynamic (Dinamis)
224
SDM diarahkan untuk
dapat mengantisipasi,
mendeteksi, megakui dan
merespon terhadap
perubahan risiko didalam
perubahan kondisi
lingkungan eksternal dan
internal perusahaan.
✓ Best Available Information
(Berdasarkan pada
Informasi Terbaik yang
Tersedia)
SDM diarahkan untuk
mampu mengelola
informasi dan masukan
terbaik yang telah tersedia.
✓ Human and Cultural
Factors (Faktor Manusia
dan Budaya)
Perilaku SDM dapat
memengaruhi terhadap
seluruh aspek dalam
manajemen risiko oleh
karena itu SDM diarahkan
untuk dapat menangani
muncul nya risiko.
✓ Continual Improvement
(Perbaikan
Berkesinambungan)
Memberikan pembelajaran
kepada SDM terkait risiko
agar risiko secara
berkesinambungan dapat
diperbaiki.
2. Pernah mengalami masalah
dalam backup data
dikarenakan mati listrik
✓ Integrated (Terintegrasi)
Divisi IT dapat memonitor
dan mengarahkan terkait
dengan data-data dari
keseluruhan aktifitas
perusahaan yang perlu
dilakukan backup dan
memonitor seluruh bagian
listrik yang digunakan oleh
aktifitas perusahaan.
✓ Structural and
Comprehensive
225
(Terstruktur dan
Komprehensif)
PT. Solusi Integrasi
Teknologi membuat
kebijakan terkait Force
Major (Kejadian tidak
terduga) yang terstruktur
dan dapat diterima dengan
baik oleh seluruh entitas
perusahaan.
✓ Customized (Dapat
Menyesuaikan)
Divisi IT diberikan
wewenang untuk
melakukan penyesuaian
terhadap kebijakan untuk
permasalahan yang tidak
terduga.
✓ Inclusive (Inklusif)
Keterlibatan divisi IT dan
direksi untuk
menyelesaikan atau
melakukan sinkronisasi
ulang jika terjadi kejadian
seperti mati listrik.
✓ Dynamic (Dinamis)
Pembuatan dan penerapan
kebijakan Force Major
harus dipastikan dapat
merespon dan
mengantisipasi dari adanya
perubahan.
✓ Best Available Information
(Berdasarkan pada
Informasi Terbaik yang
Tersedia)
PT. Solusi Integrasi
Teknologi disarankan
untuk dapat mencari dan
mendapatkan informasi
terbaik untuk menangani
kejadian tidak terduga
seperti mati listrik.
✓ Human and Cultural
Factors (Faktor Manusia
dan Budaya)
226
SDM diarahkan untuk
lebih memperhatikan
penggunaan listrik dan
diberi peringatan untuk
melakukan backup sesuai
dengan prosedur.
✓ Continual Improvement
(Perbaikan
Berkesinambungan)
Dengan membuat
kebijakan force major
yang tepat dan sesuai
dengan kondisi perusahaan
diharapkan bisa melakukan
perbaikan untuk seluruh kegiatan perusahaan.
3. Belum adanya dokumen
atau kebijakan untuk
menangani risiko
✓ Integrated (Terintegrasi)
PT. Solusi Integrasi
Teknologi melakukan
pembuatan kebijakan
untuk menangani risiko
sehingga keseluruhan
aktivitas perusahaan dapat
terintegrasi.
✓ Structural and
Comprehensive
(Terstruktur dan
Komprehensif)
Pembuatan kebijakan
untuk menangani risiko
diarahkan untuk disusun
secara terstruktur dan
dapat diterima dengan baik
oleh seluruh perusahaan.
✓ Customized (Dapat
Menyesuaikan)
Kebijakan penanganan
risiko diarahkan untuk
dapat menyesuaikan
kondisi lingkungan
eksternal dan internal
perusahaan.
✓ Inclusive (Inklusif)
Pemangku kepentingan
PT. Solusi Integrasi
Teknologi harus memilki
227
keterlibatan waktu dan
pengetahuan dalam
pembuatan kebijakan
penanganan risiko.
✓ Dynamic (Dinamis)
Kebijakan penanganan
risiko harus bersifat
dinamis artinya dapat
menerima segala bentuk
perubahan yang ada di
perusahaan.
✓ Best Available Information
(Berdasarkan pada
Informasi Terbaik yang
Tersedia)
Dalam pembuatan
kebijakan penanganan
risiko diperlukan informasi
yang terbaik terkait dengan
penanganan risiko, oleh
karena itu seluruh entitas
diperusahaan diharuskan
untuk mencari informasi
yang terbaik tentang
penanganan risiko.
✓ Human and Cultural
Factors (Faktor Manusia
dan Budaya)
Sebelum penyusunan
kebijakan penanganan
risiko, SDM diberi
pelatihan dan pengetahuan
mengenai risiko
perusahaan.
✓ Continual Improvement
(Perbaikan
Berkesinambungan)
Kegiatan yang ada di
kebijakan penanganan
risiko secara
berkesinambungan dapat
diperbaiki melalui pembelajaran.
228
BAB V
KESIMPULAN DAN SARAN
5.1 Kesimpulan
Setelah melakukan evaluasi manajemen risiko TI di PT Solusi Integrasi
Teknologi dengan menganalisis dan melakukan penilaian terhadap risiko-risiko
yang ada dengan menggunakan COBIT 5 dan Langkah mitigasi menggunakan ISO
31000:2018 maka dapat disimpulkan sebagai berikut :
1. Hasil perhitungan tingkat capability kondisi saat ini (as is) Divisi TI PT
Solusi Integrasi Teknologi dalam mengelola risiko berada pada level 2
(Managed Process) dengan nilai 2,27.Sementara tingkat capability
kondisi yang diharapkan (to be) dalam mengelola risiko TI berada pada
level 4 (Predictable Process) dengan nilai 4,18.
2. Berdasarkan penilaian risiko terdapat 3 risk issue kedalam level high
dan 5 risk issue termasuk kedalam level low.
3. Besarnya gap pada nilai capability level sebesar 1,91 untuk mencapai
capability level yang diharapkan dengan nilai capability level saat ini
(as is) sebesar 2,27 dan nilai capability level yang diharapkan (to be)
sebesar 4,18.
4. PT Solusi Integrasi Teknologi direkomendasikan untuk menerapkan
Langkah mitigasi dengan prinsip ISO 31000:2018 terkait permasalahan
backup dan keterbatasan SDM dalam menangani risiko.
229
5.2 Saran
Berdasarkan kesimpulan dan hasil evaluasi, peneliti memberikan saran yang
dapat dijadikan pertimbangan oleh perusahaan dan penelitian selanjutnya yaitu :
1. Penelitian selanjutnya disarankan untuk menggunakan metode atau
kerangka kerja lain dalam mengukur capability level dan penilaian
risiko dari penerapan manajemen risiko teknologi informasi, seperti
COSO ERM-INTEGRATED FRAMEWORK, NIST 800-30, atau
framework manajemen risiko lainnya.
2. Penelitian selanjutnya disarankan dalam menentukan domain yang akan
menjadi fokus pada penelitian dapat menggunakan domain yang
bernilai secondary (S) untuk dikaji pada penelitian tersebut.
xx
DAFTAR PUSTAKA
Agoan, T. S., Wowor, H. F., & Karouw, S. (2017). Analisa Tingkat Kematangan
Teknologi Informasi Pada Dinas Komunikasi Dan Informatika Kota Manado
Menggunakan Framework COBIT 5 Domain Evaluate, Deirect, Monitor
(EDM) dan Deliver, Service, and Support (DSS). Jurnal Teknik Informatika,
10(1).
Apriatono, N. A., Wibowo, A., Gunawan, I., Studi, P., Informatika, T., Industri, F.
T., Petra, U. K., & Surabaya, J. S. (n.d.). Analisa Risiko Proyek
Pengembangan Software Pada CV . XYZ.
Arief, M. H. (2017). Evaluasi Manajemen Risiko Teknologi Informasi
Menggunakan Kerangka Kerja COBIT 5 (Studi Kasus Pada Perum Jasa Tirta
I Malang). Universitas Brawijaya.
Audit, I. S., Association, C., & Isaca. (2012). Cobit 5: Implementation. ISACA.
Aziz, R. A., Kusrini, K., & Sudarmawan, S. (2019). Evaluasi Manajemen Risiko
Teknologi Informasi Pada Perusahaan BUMN Menggunakan Standar COBIT
5 (Studi Kasus: PT TASPEN PERSERO). IT CIDA, 4(2).
Bank, P., Bumn, U., Terdaftar, Y., Bei, D. I., Mosey, A. C., Tommy, P., Untu, V.,
Ekonomi, F., & Manajemen, J. (2018). Pengaruh Risiko Pasar Dan Risiko
Kredit Terhadap Profitabilitas Pada Bank Umum Bumn Yang Terdaftar Di Bei
Periode 2012-2016. Jurnal EMBA: Jurnal Riset Ekonomi, Manajemen, Bisnis
Dan Akuntansi, 6(3), 1338–1347. https://doi.org/10.35794/emba.v6i3.20217
BSN, B. S. N. (2016). Manajemen risiko – Teknik penilaian risiko Risk
management – Risk assessment techniques.
Budiaji, W. (2013). Skala pengukuran dan jumlah respon skala likert. Jurnal Ilmu
Pertanian Dan Perikanan, 2(2), 127–133.
Chrisdiyanto, I., Wibowo, A., & Gunawan, I. (n.d.). IT RISK ASSESSMENT DI
PERPUSTAKAAN. 3–8.
Credo, J., & Ratnawati, S. (2014). Evaluation of the governance of information
technology at Pertamina’s Central Hospital used Framework COBIT 5. 2014
International Conference on Cyber and IT Service Management (CITSM), 17–
20.
Dewi, I. K., Fitroh, F., & Ratnawati, S. (2015). Usulan manajemen risiko
berdasarkan standar sni iso/iec 27001: 2009 menggunakan indeks kami
(keamanan informasi) studi kasus: badan nasional penempatan dan
perlindungan tenaga kerja indonesia (BNP2TKI). STUDIA INFORMATIKA:
JURNAL SISTEM INFORMASI, 8(1).
Dyahaloka, A. (2016). Evaluasi Manajemen Resiko E-Procurement Menggunakan
Cobit 5 It Risk (Studi Kasus: Pt. Pertamina (Persero)). Universitas Brawijaya.
xxi
Erlika, Y., Herdiansyah, M. I., & Mirza, A. H. (2020). Analisis IT Risk
Management di Universitas Bina Darma Menggunakan ISO31000. Jurnal
Ilmiah Informatika Global, 11(1). https://doi.org/10.36982/jig.v11i1.1073
Fachrezi, M. I. (2021). Manajemen Risiko Keamanan Aset Teknologi Informasi
Menggunakan Iso 31000:2018 Diskominfo Kota Salatiga. JATISI (Jurnal
Teknik Informatika Dan Sistem Informasi), 8(2), 764–773.
https://doi.org/10.35957/jatisi.v8i2.789
Firdaus, M. K. S. (n.d.). Evaluasi manajemen risiko teknologi informasi
menggunakan framework cobit 5 (studi kasus: Pt pln P2b Jawa Bali). Fakultas
Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah ….
Habiburrahman, H. (2016). Model-Model Evaluasi dalam Sistem Informasi
Perpustakaan. JIPI (Jurnal Ilmu Perpustakaan Dan Informasi), 1(1), 92–101.
Hanief, S., & Jefriana, I. W. (2018). Framework Itil V3 Domain Service Operation
Dalam Analisis Pengelolaan Teknologi Blended Learning. J. Teknol. Inf. Dan
Komput, 4(1), 59–65.
Iin, H., Pembimbing, D., Teknologi, D. M., Keahlian, B., Teknologi, M., Bisnis, F.,
& Manajemen, D. A. N. (2017). XYZ Enterprise Project Through
Combination.
ISACA. (2012a). COBIT 5: A business framework for the governance and
management of enterprise IT. Isaca.
ISACA. (2012b). COBIT 5: Enabling processes. ISACA.
ISACA., & Lainhart, J. W. (2012). COBIT 5: A business framework for the
governance and management of enterprise IT COBIT 5. In United States of
America: ISACA (Vol. 34, Issue 1).
http://tp.revistas.csic.es/index.php/tp/article/viewArticle/432%0Ahttp://files/
399/432.html
ISACA. (2012). Enabling Processes. In Cobit 5.
ISACA. (2013). COBIT ® Process Assessment Model (PAM): Using COBIT ® 5.
Jamin, E. (2014). EVALUASI KEMAMPUAN TOLAK PELURU PADA SISWA
PUTRA SMA NEGERI 1 NURUSSALAM KABUPATEN ACEH TIMUR TAHUN PELAJARAN 2013/2014. ETD Unsyiah.
Kriswanto, A. (2011). Tinjauan Penerapan ISO Pada Biro Sistem Dan Manajemen
PT Pupuk Kujang (Persero) Cikampek.
Mahardika, K. B., Wijaya, A. F., & Cahyono, A. D. (2019a). Manajemen Risiko
Teknologi Informasi Menggunakan Iso 31000 : 2018 (Studi Kasus: Cv. Xy).
Sebatik, 23(1), 277–284. https://doi.org/10.46984/sebatik.v23i1.572
Mahardika, K. B., Wijaya, A. F., & Cahyono, A. D. (2019b). MANAJEMEN
RISIKO TEKNOLOGI INFORMASI MENGGUNAKAN ISO 31000: 2018
xxii
(STUDI KASUS: CV. XY). Sebatik, 23(1), 277–284.
Marbun, S. L., & Mildawati, T. (2015). IMPLEMENTASI SISTEM
MANAJEMEN MUTU ISO 9001: 2008 PADA PT METABISULPHITE
NUSANTARA. Jurnal Ilmu Dan Riset Akuntansi (JIRA), 4(1).
Maryuliana, M., Subroto, I. M. I., & Haviana, S. F. C. (2016). Sistem informasi
angket pengukuran skala kebutuhan materi pembelajaran tambahan sebagai
pendukung pengambilan keputusan di sekolah menengah atas menggunakan
skala likert. TRANSISTOR Elektro Dan Informatika, 1(1), 1–12.
MAYRIANTIKA, I. (2018). PERENCANAAN MANAJEMEN LAYANAN
TEKNOLOGI INFORMASI MENGGUNAKAN FRAMEWORK
INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY (ITIL) V3
(STUDI KASUS: DINAS KOMUNIKASI INFORMATIKA DAN STATISTIKA
PROVINSI RIAU). Universitas Islam Negeri Sultan Syarif Kasim Riau.
Megawati, A. T., Astuti, H. M., & Herdiyanti, A. (2014). Pengelolaan Risiko Aset
Teknologi Informasi Pada Perusahaan Properti Pt Xyz , Tangerang
Berdasarkan. Seminar Nasional Sistem Informasi Indonesia, September, 449–
454.
Megawati, M., & Syntia, A. (2018). EVALUASI MANAJEMEN RESIKO
TEKNOLOGI INFORMASI MENGGUNAKAN KERANGKA KERJA
COBIT 5.0. Jurnal Ilmiah Rekayasa Dan Manajemen Sistem Informasi, 4(2),
118–122.
Meiriati, T., Sukamto, A. S., & Mutiah, N. (2020). TATA KELOLA MANAJEMEN
ASET TI MENGGUNAKAN FRAMEWORK COBIT 5 DAN ITAM. 08(02).
Mewengkang, A. (2017). Pemanfaatan Capability Maturity Model Integration
(CMMI) Untuk Meningkatkan Kualitas Perangkat Lunak (Studi Kasus: Sistem
Informasi Akademik Universitas Negeri Manado).
Nurcahyo, D. (2013). Evaluasi Pelaksanaan Manajemen Risiko Teknologi
Informasi pada Kantor Arsip Daerah Kota Samarinda dengan Menggunakan
The Risk IT Framework. Jurnal Nasional Teknik Elektro Dan Teknologi
Informasi (JNTETI), 2(3), 1–4.
Nursetyawati, E., Fauzi, R., & ... (2020). Perancangan Manajemen Keamanan
Informasi Menggunakan Metode Analisis Risiko Iso 27005: 2008 Pada Dinas
Komunikasi Dan Informatika Provinsi Jawa Barat. EProceedings …, 7(2),
7338–7347.
https://openlibrarypublications.telkomuniversity.ac.id/index.php/engineering/
article/view/12773
Pramono, A., Alit, R., & Muttaqin, F. (2016). PENGUKURAN TINGKAT
KEMATANGAN LAYANAN E-PRINTS MENGGUNAKAN COBIT
FRAMEWORK 4.1”. PADA DOMAIN DELIVER AND SUPPORT (STUDI
KASUS UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN”
xxiii
JAWA TIMUR). SCAN-Jurnal Teknologi Informasi Dan Komunikasi, 11(2),
25–32.
Putri, C. U. (2017). Penilaian Risiko Proses Teknologi Informasi Berdasarkan
Kerangka Kerja Cobit 5 Pada Helpdesk Subdirektorat Layanan Teknologi Dan
Sistem Informasi Direktorat Pengembangan Teknologi Dan Sistem Informasi
(DPTSI) Institut Teknologi Sepuluh Nopember. Thesis, 241.
http://repository.its.ac.id/3110/
Putri, D. S. dan W. H. (2017). Manajemen Risiko dan Asuransi. 98.
Rahardian, R. S. (2020). Analisis Manajemen Risiko Proyek Pembangunan Suncity
Apartement Residence Sidoarjo. Untag 1945 Surabaya.
Riadi, F. T., Manuputty, A. D., & Saputra, A. (2018). EVALUASI MANAJEMEN
RISIKO KEAMANAN INFORMASI DENGAN MENGGUNAKAN
FRAMEWORK COBIT 5 SUBDOMAIN EDM03 (ENSURE RISK
OPTIMISATION). Jurnal Terapan Teknologi Informasi, 2(1), 12–21.
Riandi Fauzan *), N. B. P. (2016). Evaluasi Bahaya Kerja Menggunakan Metode
Hazard Identification Risk Assessment and Risk Control dalam Memproduksi
Rak Engine Overhoul pada CV. Mansgroup. Jurnal Publilkasi, 1–8.
Rosmini, H. (2016). Evaluasi Manajemen Risiko Pembiayaan Murabahah Pada
Bank BRI Syariah KCP Sungguminasa. universitas Islam Negeri Alauddin
Makassar.
Santoso, D. A. (2015). Pengaruh Kualitas Sistem Informasi Akuntansi Terhadap
Pengendalian Internal Berbasis Coso Dan Dampaknya Pada Pencegahan
Kecurangan (Studi Pada Pt. Kereta Api Indonesia (Persero) Bandung).
Fakultas Ekonomi Unpas.
Sensi, L. (2014). Evaluasi Manajemen Risiko Kantor Akuntan Publik (KAP) Dalam
Keputusan Penerimaan Klien Berdasarkan Pertimbangan Dari Risiko Klien,
Risiko Audit Dan Risiko Bisnis KAP. Jurnal Akuntansi Dan Keuangan
Indonesia, 3(2), 191–211.
Setiawan, H. (2010). IT Governance & Penggunaan COBIT Framework. JSI:
Jurnal Sistem Informasi (E-Journal), 2(2).
Setyaningrum, N. D. (2017). Evaluasi Manajemen Risiko Teknologi Informasi
Menggunakan Framework COBIT 5 (Studi Kasus: PT. Kimia Farma (Persero)
Tbk–Plant Watudakon). Universitas Brawijaya.
Studi, P., Informatika, T., Teknologi, F., Universitas, I., Siwalankerto, J.,
Pramudita, S., Wibowo, A., & Gunawan, I. (n.d.). Analisa Risiko Teknologi
Informasi di Divisi Produksi PT . X. 031.
Sumijan, & Purnama, P. A. W. (2020). Analisis Dan Evaluasi Tingkat Kematangan
E-Government pada Information Architecture menggunakan Framework
Cobit 5 ( Studi Kasus : Pemerintah Daerah Kota Padang ). Seminar Nasional
xxiv
Teknologi Informasi, Komunikasi Dan Industri (SNTIKI), 12(1), 1–10.
Supradono, B. (2009). Manajemen risiko keamanan informasi dengan
menggunakan metode octave (operationally critical threat, asset, and
vulnerability evaluation). Media Elektrika, 2(1), 4–8.
Surendro, K. (2009). Implementasi tata kelola teknologi informasi. Bandung:
Informatika.
Susilo, L. J. (2018). Manajemen Risiko Berbasis ISO 31000: 2018: Panduan untuk
Risk Leaders dan Risk Practitioners. Grasindo.
Syuhada, A. (2021). KAJIAN PERBANDINGAN COBIT 5 DENGAN COBIT 2019
SEBAGAI FRAMEWORK AUDIT TATA KELOLA TEKNOLOGI
INFORMASI. 6(1), 6.
Trinckes, J. (2009). Business Continuity Plans and Disaster Recovery. The
Executive MBA in Information Security, 91–111.
https://doi.org/10.1201/9781439810088.ch5
Urrohmah, D. S., & Riandadari, D. (2019). Identifikasi Bahaya dengan Metode
Hazard Identification, Risk Assessment and Risk Control (Hirarc) dalam
Upaya Memperkecil Risiko Kecelakaan Kerja di PT. PAL Indonesia. Jurnal
Pendidikan Teknik Mesin, 8(1), 34–35.
Utomo, A. P., & Mariana, N. (2011). Analisis Tata Kelola Teknologi Informasi (It
Governance) pada Bidang Akademik dengan Cobit Frame Work Studi Kasus
pada Universitas Stikubank Semarang. Dinamik, 16(2).
Weol, A. L., Wibowo, A., Dewi, L. P., & Kunci, K. (n.d.). Analisa Manajemen
Risiko Pada Perusahaan Real Estate X.
Wulansari, A. (2016). Pengembangan Model Penilaian Kematangan Citizen
Relationship Management (CiRM) Oriented E-government. Institut
Technology Sepuluh Nopember.
xxvi
LAMPIRAN
xxvii
xxviii
xxix
Lampiran 2 – Kuesioner
Kuesioner Pra Penelitian
xxx
xxxi
Kuesioner ini merupakan bagian dari penelitian skripsi mahasiswa Program
Studi Sistem Informasi, Fakultas Sains dan Teknologi, UIN Syarif Hidayatullah
Jakarta, yang bertujuan untuk mendapatkan data dan pendapat Bapak/Ibu terkait
dengan manajemen risiko di PT. Solusi Integrasi Teknologi sebagai pihak yang terkait
khususnya bagian yang termasuk pada RACI Chart COBIT 5 dalam proses EDM03
(Ensure Risk Optimisation).
Kuesioner ini merupakan pengukuran Capability Level yang dikembangkan dari
COBIT 5 untuk mengetahui tingkat kapabilitas pada proses pengelolaan risiko untuk
kondisi saat ini (as is) dan kondisi yang diharapkan (to be).
Kuesioner ini mempunyai 6 (enam) pilihan jawaban. Pilihan tersebut dari a
sampai f merepresentasikan tingkat kapabilitas secara berturut-turut semakin meningkat
terhadap suatu atribut proses Ensure Risk Optimisation yang terdapat nilai 0,1,2,3,4 dan
5. Pada kolom “Jawaban”, responden dapat memilih salah satu jawaban yang dianggap
paling bisa mewakili kondisi kematangan baik yang saat ini (as is) dan kondisi
kematangan yang diiharapkan (to be), terkait dengan atribut kematangan tertentu dalam
KUESIONER
EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI PADA
DOMAIN EVALUATE, DIRECT, AND MONITOR DI PT. SOLUSI
INTEGRASI TEKNOLOGI
CAPABILITY MODEL
Nama Responden :
Jabatan :
Tanggal :
Keterangan Indikator Kapabilitas
0 = Tidak adanya implementasi proses dan gagal mencapai tujuan dari proses.
1 = Adanya implementasi proses dan mencapai tujuan dari proses tersebut.
2 = Adanya proses yang diimplementasikan dengan cara yang terkelola (direncanakan,
dimonitor dan disesuaikan) dan hasil kerjanya ditetapkan, dikontrol dan terawat.
3 = Adanya implementasi proses yang ditentukan dan mampu dalam mencapai hasil proses.
4 = Adanya proses yang diimplementasikan secara konsisten yang memiliki batasan-
batasan agar mampu meraih tujuan dari proses tersebut.
xxxii
5 = Adanya proses dan terprediksi secara terus-menerus ditingkatkan untuk memenuhi
tujuan bisnis dan tujuan proyek perusahaan.
Contoh Pengerjaan :
EDM03.01 (Mengevaluasi Manajemen Risiko)
No
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
1
Bagaimana PT. Solusi Integrasi
Teknologi menentukan tingkat
risiko TI yang perusahaan akan
ambil untuk mencapai tujuannya.
2
Sejauh mana PT. Solusi Integrasi
Teknologi dalam mengevaluasi
dan menyetujui usulan ambang
batas risiko TI terhadap tingkat
risiko dan peluang yang dapat
diterima oleh perusahaan.
3
Sampai saat ini, sejauh mana PT.
Solusi Integrasi Teknologi dalam
menentukan tingkat keselarasan
antara strategi risiko IT dan
strategi risiko perusahaan.
4
Sejauh mana PT. Solusi Integrasi
Teknologi mengevaluasi faktor-
faktor risiko TI pada keputusan
strategi perusahaan yang tertunda
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
Sejauh mana PT. Solusi Integrasi
Teknologi menetukan tingkat risiko TI
yang harus diambil perusahaan untuk
memenuhi tujuannya
✓
✓
xxxiii
No
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
dan memastikan bahwa
perusahaan menyadari risiko
keputusan yang dibuat.
5
Bagaimana PT. Solusi Integrasi
Teknologi menentukan
penggunaan TI yang digunakan
sesuai subjek penilaian dan
evaluasi risiko, seperti yang
dijelaskan dalam standar
nasional dan internasional yang
relevan.
6
Sejauh mana PT. Solusi Integrasi
Teknologi mengevaluasi
aktivitas manajemen risiko untuk
memastikan kemampuan
perusahaan dalam menangani
kerugian terkait TI dan toleransi
pemimpin terkait hal tersebut.
EDM03.02 (Mengarahkan manajemen risiko)
No
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
1
Sejauh mana PT. Solusi Integrasi
Teknologi meningkatkan
kesadaran risiko TI dan
kemampuan perusahaan untuk
mengindentifikasi risiko TI,
kesempatan dan potensi bisnis.
2
Bagaimana PT. Solusi Integrasi
Teknologi mengarahkan
integrasi antara IT Risk Strategy
and Operations dengan
keputusan strategi dan
pengoperasian risiko perusahaan.
xxxiv
No
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
3
Sampai saat ini, sejauh mana PT.
Solusi Integrasi Teknologi
mengarahkan pengembangan
dari Risk Communication Plans
sebaik dengan pengembangan
Risk Action Plans.
4
Sejauh mana PT. Solusi Integrasi
Teknologi menerapkan
mekanisme yang tepat untuk
merespon dengan cepat
perubahan risiko dan melaporkan
segera ke tingkat manajemen
secara tepat serta dukungan pada
prinsip-prinsip ekalasi (Apa yang
dilaporkan, kapan, dimana dan
bagaimana).
5
Sejauh mana tingkat risiko,
peluang, masalah dan
kekhawatiran dapat diidentifikasi
dan dilaporkan oleh siapapun
kapanpun. Dimana risiko harus
dikelola sesuai dengan kebijakan
dan prosedur yang diterbitkan
dan diperluas kepada pembuatan
keputusan yang sesuai.
6
Bagaimana tingkat identifikasi
tujuan utama, metrik tata kelola
dan proses manajemen untuk
mengawasi dan menyetujui
pendekatan, metode, teknik dan
proses dalam melaporkan
informasi pengukuran.
EDM03.03 (Mengawasi manajemen risiko)
No Aktifitas Proses Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
xxxv
0 1 2 3 4 5 0 1 2 3 4 5
1
Sejauh mana tingkat pengawasan
risiko untuk dikelola dalam batas
risiko yang diinginkan.
2
Bagaimana pemantauan tujuan
utama, metrik dari tata kelola
risiko dan proses manajemen
terhadap sasaran-sasaran,
menganalisis penyebab
penyimpangan, dan memulai
tindakan perbaikan untuk
mengatasi penyebab yang
mendasarinya.
3
Sejauh mana para stakeholders
meninjau kemajuan perusahaan
menuju tujuan yang telah
diidentifikasi.
4
Sejauh mana laporan semua
masalah terkait dengan
manajemen risiko ke dewan atau
komite eksekutif.
Tanda Tangan
(………..………)
xxxvi
KUESIONER
EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI PADA
DOMAIN ALIGN, PLANNING AND ORGANISE DI PT. SOLUSI
INTEGRASI TEKNOLOGI
CAPABILITY MODEL
Kuesioner ini merupakan bagian dari penelitian skripsi mahasiswa Program Studi
Sistem Informasi, Fakultas Sains dan Teknologi, UIN Syarif Hidayatullah Jakarta,
yang bertujuan untuk mendapatkan data dan pendapat Bapak/Ibu terkait dengan
manajemen risiko di PT. Solusi Integrasi Teknologi sebagai pihak yang terkait khususnya
bagian yang termasuk pada RACI Chart COBIT 5 dalam proses APO12 (Manage Risk).
Kuesioner ini merupakan pengukuran Capability Level yang dikembangkan dari
COBIT 5 untuk mengetahui tingkat kapabilitas pada proses pengelolaan risiko untuk
kondisi saat ini (as is) dan kondisi yang diharapkan (to be).
Kuesioner ini mempunyai 6 (enam) pilihan jawaban. Pilihan tersebut dari a sampai
f merepresentasikan tingkat kapabilitas secara berturut-turut semakin meningkat terhadap
suatu atribut proses Manage Risk yang terdapat nilai 0,1,2,3,4 dan 5. Pada kolom
“Jawaban”, responden dapat memilih salah satu jawaban yang dianggap paling bisa
mewakili kondisi kematangan baik yang saat ini (as is) dan kondisi kematangan yang
diiharapkan (to be), terkait dengan atribut kematangan tertentu dalam proses pengelolaan
data dengan memberikan tanda centang (✓) pada tempat yang tersedia.
Nama Responden :
Jabatan :
Tanggal :
Keterangan Indikator Kapabilitas
0 = Tidak adanya implementasi proses dan gagal mencapai tujuan dari proses.
1 = Adanya implementasi proses dan mencapai tujuan dari proses tersebut.
2 = Adanya proses yang diimplementasikan dengan cara yang terkelola (direncanakan,
dimonitor dan disesuaikan) dan hasil kerjanya ditetapkan, dikontrol dan terawat.
3 = Adanya implementasi proses yang ditentukan dan mampu dalam mencapai hasil proses.
4 = Adanya proses yang diimplementasikan secara konsisten yang memiliki batasan-batasan
agar mampu meraih tujuan dari proses tersebut.
xxxvii
5 = Adanya proses dan terprediksi secara terus-menerus ditingkatkan untuk memenuhi tujuan
bisnis dan tujuan proyek perusahaan.
Contoh Pengerjaan :
APO12.01 (Mengumpulkan data)
No Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
1
Sejauh mana PT. Solusi Integrasi
Teknologi membangun dan
memelihara metode untuk
pengumpulan, pengklasifikasian
dan menganalisis data terkait
risiko TI. Mengakomodasi macam
– macam kejadian, macam –
macam risiko TI dan faktor –
faktor risiko.
2
Sejauh mana PT. Solusi Integrasi
Teknologi merekam data yang
berhubungan dengan internal
perusahaan dan lingkungan luar
yang berperan dalam pengelolaan
risiko TI.
3
Sejauh mana PT. Solusi Integrasi
Teknologi mencari dan
menganalisis data histori terkait
dengan risiko TI dann kehilangan
data yang tersedia secara eksternal.
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
Sejauh mana PT. Solusi Integrasi
Teknologi menetukan tingkat risiko TI
yang harus diambil perusahaan untuk
memenuhi tujuannya
✓
✓
xxxviii
No Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
4
Sejauh mana PT. Solusi Integrasi
Teknologi merekam data pada
kejadian risiko yang
mempengaruhi IT benefit/value
enablement, IT programme and
project delivery dan IT operations
and service delivery. Merekam
data yang berhubungan dengan
masalah tersebut.
5
Sejauh mana PT. Solusi Integrasi
Teknologi mengatur data yang
terkumpul dan melihat faktor –
faktor yang mempengaruhi.
6
Sejauh mana PT. Solusi Integrasi
Teknologi menentukan kondisi
dimana terdapat kejadian berisiko,
frekuensi kejadian dan besarnya
kerugian yang mempengaruhi
kondisi.
7
Sejauh mana PT. Solusi Integrasi
Teknologi melakukan analisis
faktor risiko dan kejadian untuk
mengidentifikasi masalah baru dan
mendapatkan pemahaman terkait
faktor risiko internal dan eksternal.
APO12.02 (Menganalisis risiko)
No
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
1
Sejauh mana PT. Solusi Integrasi
Teknologi mendefinisikan upaya
analisis risiko yang sesuai,
mengingat semua faktor – faktor
risiko dan asset – asset berharga
dalam bisnis. Mempersiapkan
xxxix
No
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
batasan analisis risiko setelah
melakukan analisis untung rugi.
2
Sejauh mana PT. Solusi Integrasi
Teknologi membangun dan
menambah skenario risiko TI
secara teratur, termasuk skenario
dari jenis risiko yang tidak terduga
dan mengembangkan ekspektasi
untuk aktivitas pengelolaan,
kemampuan untuk mendeteksi
tanggapan lain.
3
Sejauh mana PT. Solusi Integrasi
Teknologi memperkirakan
frekuensi dan besarnya untung rugi
dengan IT risk scenarios.
Memperhitungkan semua faktor
yang mungkin, mengevaluasi
kontrol operasional yang diketahui
dan memperkirakan residual risk
levels.
4
Sejauh mana PT. Solusi Integrasi
Teknologi membandingkan
residual risk untuk dapat diterima
toleransi risiko dan
mengidentifikasi hal yang
memerlukan tindakan risiko.
5
Menganalisis untung rugi dari
kemungkinan pilihan risk response
seperti menghindari, mengurangi,
memindahkan dan mengambil.
Mengusulkan tindakan respon
yang optimal.
xl
No
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
6
Sejauh mana PT. Solusi Integrasi
Teknologi menentukan high-level
requirements untuk projek atau
program yang akan
diimplementasikan dalam
melakukan tanggapan terhadap
risiko yang terpilih.
Mengidentifikasi kebutuhan dan
ekspektasi untuk pengelola utama
yang sesuai untuk mengurangi
risiko.
7
Sejauh mana PT. Solusi Integrasi
Teknologi memvalidasi hasil
analisis risiko sebelum digunakan
untuk pengambilan keputusan,
memastikan bahwa analisis sejajar
dengan persyaratan perusahaan
dan memverifikasi perkiraan itu
benar.
APO12.03 (Mempertahankan profil risiko)
No
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
1
Sejauh mana PT. Solusi Integrasi
Teknologi mengelola inventaris
bisnis proses, termasuk sumber
daya pendukung, aplikasi,
infrastruktur, fasilitas, vendor,
suppliers serta
mendokumentasikan
ketergantungan antara manajemen
layanan TI dan sumber daya
infrastruktur TI.
xli
No
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
2
Sejauh mana PT. Solusi Integrasi
Teknologi menentukan dan
menyetujui layanan TI dan sumber
daya infrastruktur TI sangat
penting untuk menopang operasi
dari proses bisnis.
3
Sejauh mana PT. Solusi Integrasi
Teknologi mengumpulkan
skenario risiko saat ini berdasarkan
kategori, business line, dan area
fungsional.
4
Sejauh mana PT. Solusi Integrasi
Teknologi merekam semua
informasi profil risiko dan
mengkonsolidasikannya menjadi
kumpulan profil risiko.
5
Berdasarkan semua data profil
risiko, sejauh mana PT. Solusi
Integrasi Teknologi
mendefinisikan indikator dari
risiko agar dapat mengidentifikasi
secara cepat dan pengawasan pada
tren risiko saat ini.
6
Sejauh mana PT. Solusi Integrasi
Teknologi menangkap informasi
pada kejadian risiko TI yang
terwujud, untuk penyertaan pada
profil risiko TI perusahaan.
7
Menangkap informasi dari status
risk action plan ̧untuk penyertaan
dalam profil risiko TI di
perusahaan.
APO12.04 (Mengartikulasikan risiko)
xlii
No
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
1
Sejauh mana PT. Solusi Integrasi
Teknologi melaporkan hasil dari
analisis risiko kepada semua
stakeholders sesuai dengan aturan
dan format yang berguna untuk
mendukung keputusan
perusahaan.
2
Sejauh mana PT. Solusi Integrasi
Teknologi menyediakan
pengambilan keputusan dengan
memahami situasi terburuk dan
skenario paling mungkin, paparan
uji kelayakan dan reputasi penting,
pertimbangan regulasi.
3
Sejauh mana PT. Solusi Integrasi
Teknologi melaporkan profil
risiko saat ini kepada semua
stakeholders, termasuk efektifitas
dari proses manajemen risiko,
control effectiveness, gaps,
inconsistencies, redundancies,
remediation status dan pengaruh
pada profil risiko.
4
Sejauh mana PT. Solusi Integrasi
Teknologi melihat hasil penilaian
pihak ketiga, audit internal dan
ulasan jaminan mutu, dan
memetakan ke profil risiko.
Mengulas identifikasi kesenjangan
untuk menentukan kebutuhan
analisis risiko tambahan.
5
Untuk area yang memiliki risiko,
sejauh mana PT. Solusi Integrasi
Teknologi mengidentifikasi
peluang teknologi informasi yang
memungkinkan penerimaan risiko
yang lebih besar dan juga
xliii
No
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
meningkatkan pertumbuhan serta
keuntungan.
APO12.05 (Mendefinisikan portofolio tindakan manajemen risiko)
No
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
1
Sejauh mana PT. Solusi Integrasi
Teknologi memelihara inventori
dari aktivitas kontrol yang
ditempatkan untuk mengelola
risiko dan yang memperbolehkan
risiko untuk diambil sejalan
dengan risiko yang di toleransi.
Mengklasifikasi aktivitas kontrol
dan memetakan hal tersebut
kedalam risiko TI spesifikasi dan
kumpulan risiko TI.
2
Sejauh mana PT. Solusi Integrasi
Teknologi menentukan apakah
setiap entitas organisasi
mengawasi risiko dan menerima
akuntabilitas untuk beroperasi
dalam tingkatan toleransi
portofolio.
3
Sejauh mana PT. Solusi Integrasi
Teknologi mendefinisikan
keseimbangan suatu seperangkat
proposal projek yang dirancang
untuk mengurangi risiko dan
projek yang mengizinkan
kesempatan strategi perusahaan,
mempertimbangkan untung dan
xliv
No
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
rugi, pengaruh dari profil risiko
peraturan saat ini.
APO12.06 (Menanggapi risiko)
No
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
1
Sejauh mana PT. Solusi Integrasi
Teknologi menyiapkan,
memelihara, dan rencana uji coba
yang mendokumentasikan langkah
yang harus diambil ketika risiko
mempengaruhi operasi penting
atau insiden yang memberikan
dampak serius pada bisnis.
2
Sejauh mana PT. Solusi Integrasi
Teknologi mengkategorikan
insiden – insiden, dan
membandingkan ambang batas
toleransi risiko sebenarnya.
Mengkomunikasikan dampak
bisnis untuk pembuat keputusan
sebagai bagian dari laporan dan
mengupdate profil risiko.
3
Sejauh mana PT. Solusi Integrasi
Teknologi menerapkan rencana
tindakan yang sesuai untuk
meminimalisir dampak ketika
terjadi insiden risiko.
4
Sejauh mana PT. Solusi Integrasi
Teknologi memeriksa kerugian di
masa lalu dan peluang yang
terlewat dan menentukan akar
permasalahannya. Serta
xlv
No
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
mengkomunikasikan akar
permasalahan, tambahan
kebutuhan tindakan risiko dan
proses memperbaiki pembuat
keputusan yang sesuai dan
memastikan penyebabnya, respon
persyaratan dan proses perbaikan
termasuk proses tata kelola risiko.
Tanda Tangan
(………..………)
xlvi
KUESIONER
EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI PADA
DOMAIN ALIGN, PLANNING AND ORGANISE DI PT. SOLUSI
INTEGRASI TEKNOLOGI
CAPABILITY MODEL
Kuesioner ini merupakan bagian dari penelitian skripsi mahasiswa Program Studi
Sistem Informasi, Fakultas Sains dan Teknologi, UIN Syarif Hidayatullah Jakarta,
yang bertujuan untuk mendapatkan data dan pendapat Bapak/Ibu terkait dengan
manajemen risiko di PT. Solusi Integrasi Teknologi sebagai pihak yang terkait khususnya
bagian yang termasuk pada RACI Chart COBIT 5 dalam proses APO13 (Manage
Security).
Kuesioner ini merupakan pengukuran Capability Level yang dikembangkan dari
COBIT 5 untuk mengetahui tingkat kapabilitas pada proses pengelolaan risiko untuk
kondisi saat ini (as is) dan kondisi yang diharapkan (to be).
Kuesioner ini mempunyai 6 (enam) pilihan jawaban. Pilihan tersebut dari a sampai
f merepresentasikan tingkat kapabilitas secara berturut-turut semakin meningkat terhadap
suatu atribut proses Manage Security yang terdapat nilai 0,1,2,3,4 dan 5. Pada kolom
“Jawaban”, responden dapat memilih salah satu jawaban yang dianggap paling bisa
mewakili kondisi kematangan baik yang saat ini (as is) dan kondisi kematangan yang
diiharapkan (to be), terkait dengan atribut kematangan tertentu dalam proses pengelolaan
data dengan memberikan tanda centang (✓) pada tempat yang tersedia.
Nama Responden :
Jabatan :
Tanggal :
Keterangan Indikator Kapabilitas
0 = Tidak adanya implementasi proses dan gagal mencapai tujuan dari proses.
1 = Adanya implementasi proses dan mencapai tujuan dari proses tersebut.
2 = Adanya proses yang diimplementasikan dengan cara yang terkelola (direncanakan,
dimonitor dan disesuaikan) dan hasil kerjanya ditetapkan, dikontrol dan terawat.
3 = Adanya implementasi proses yang ditentukan dan mampu dalam mencapai hasil proses.
xlvii
Contoh Pengerjaan :
4 = Adanya proses yang diimplementasikan secara konsisten yang memiliki batasan-batasan
agar mampu meraih tujuan dari proses tersebut.
5 = Adanya proses dan terprediksi secara terus-menerus ditingkatkan untuk memenuhi tujuan
bisnis dan tujuan proyek perusahaan.
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
Sejauh mana PT. Solusi Integrasi
Teknologi menetukan tingkat risiko TI
yang harus diambil perusahaan untuk
memenuhi tujuannya
✓
✓
APO13.01 (Membangun dan memelihara sistem manajemen keamanan
informasi)
No Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
1
Sejauh mana PT. Solusi Integrasi
Teknologi dapat mendefinisikan
ruang lingkup dan batasan Sistem
Manajemen Keamanan Informasi
dalam hal karakteristik
perusahaan, organisasi, lokasi,
asset dan teknologi. Serta
menyertakan detai dan alas an
untuk pengecualian dari batasan
tersebut.
2
Sejauh mana PT. Solusi Integrasi
Teknologi mendefinisikan Sistem
Manajemen Keamanan Informasi
sesuai dengan kebijakan
perusahaan dan selaras dengan
xlviii
No Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
perusahaan, organisasi, lokasi,
asset dan teknologinya.
3
Sejauh mana PT. Solusi Integrasi
Teknologi menyelaraskan Sistem
Manajemen Keamanan Informasi
dengan pendekatan perusahaan
secara keseluruhan untuk
manajemen keamanan.
4
Bagaimana PT. Solusi Integrasi
Teknologi mendapatkan otorisasi
manajemen untuk menerapkan dan
mengoperasikan atau mengubah
Sistem Manajemen Keamanan
Informasi.
5
Sejauh mana PT. Solusi Integrasi
Teknologi mempersiapkan dan
memelihara pernyataan penerapan
yang menggambarkan ruang
lingkup Sistem Manajemen
Keamanan Informasi.
6
Sejauh mana PT. Solusi Integrasi
Teknologi dapat mendefinisikan
dan mengkomunikasikan peran
dan tanggung jawab manajemen
keamanan informasi.
7
Bagaimana PT. Solusi Integrasi
Teknologi mengkomunikasikan
pendekatan Sistem Manajaemen
Keamanan Informasi.
APO13.02 (Menentukan dan mengelola rencana perlakuan risiko keamanan
informasi)
xlix
No Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
1 Sejauh mana PT. Solusi Integrasi
Teknologi dapat merumuskan dan
memelihara rencana perlakuan
risiko keamanan informasi selaras
dengan tujuan strategis dan
arsitektur perusahaan. Memastikan
bahwa rencana tersebut dapat
mengidentifikasi praktik
manajemen dan solusi keamanan
yang tepat dan optimal, dengan
sumber daya yang terkait,
tanggung jawab, dan prioritas
untuk mengelola risiko keamanan
informasi yang teridentifikasi.
2 Sejauh mana PT. Solusi Integrasi
Teknologi memelihara bagian dari
inventaris arsitektur perusahaan
yang merupakan komponen solusi
untuk mengelola risiko terkait
keamanan.
3 Bagaimana PT. Solusi Integrasi
Teknologi mengembangkan
proposal untuk
mengimplementasikan rencana
perlakuan risiko keamanan
informasi, didukung oleh kasus
bisnis yang sesuai, yang meliputi
pertimbangan pendanaan dan
alokasi peran dan tanggung jawab.
4 Sejauh mana PT. Solusi Integrasi
Teknologi memberikan masukan
untuk desain pengembangan
praktik dan solusi manajemen
yang dipilih dari rencana
l
No Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
perlakuan risiko keamanan
informasi.
5 Sejauh mana PT. Solusi Integrasi
Teknologi menentukan bagaimana
mengukur keefektifan praktek
manajemen yang dipilih dan
menentukan bagaimana
pengukuran ini akan digunakan
untuk menilai keefektifan untuk
menghasilkan sebuah hasil yang
sebanding dan dapat digandakan.
6 Sejauh mana PT. Solusi Integrasi
Teknologi dapat
merekomendasikan pelatihan
keamanan informasi dan program
kesadaran.
7 Bagaimana PT. Solusi Integrasi
Teknologi mengintegrasikan
perencanaan, desain, implementasi
dan pemantauan prosedur
keamanan informasi dan kontrol
lain yang mampu memungkinkan
pencegahan yang cepat, deteksi
kejadian keamanan dan respon
terhadap insiden keamanan.
li
APO13.03 (Memantau dan mengulas Sistem Manajemen Keamanan
Informasi)
No
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
1
Sejauh mana PT. Solusi Integrasi
Teknologi melakukan tinjauan
rutin keefektifan sistem
manajemen keamanan informasi
termasuk memenuhi kebijakan dan
tujuan sistem manajemen
keamanan informasi, dan meninjau
praktik keamanan.
Mempertimbangkan hasil dari
pengukuran efektivitas, saran dan
umpan balik dari semua pihak
yang berkepentingan.
2
Sejauh mana PT. Solusi Integrasi
Teknologi melakukan audit sistem
manajemen keamanan informasi
internal pada interval yang
direncanakan.
3
Bagaimana PT. Solusi Integrasi
Teknologi melakukan tinjauan
sistem manajemen keamanan
informasi secara teratur untuk
memastikan bahwa ruang lingkup
tetap memadai dan perbaikan
dalam proses sistem manajemen
keamanan informasi
teridentifikasi.
4
Sejauh mana PT. Solusi Integrasi
Teknologi memberikan masukan
untuk desain pengembangan
praktik dan solusi manajemen
yang dipilih dari rencana
perlakuan risiko keamanan
informasi.
lii
No
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
5
Sejauh mana PT. Solusi Integrasi
Teknologi merekam tindakan dan
peristiwa yang dapat berdampak
pada keefektifan atau kinerja
sistem manajemen keamanan
informasi.
Tanda Tangan
(………..………)
liii
KUESIONER
EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI PADA
DOMAIN BUILD, ACQUIRE AND IMPLEMENT DI PT. SOLUSI
INTEGRASI TEKNOLOGI
CAPABILITY MODEL
Kuesioner ini merupakan bagian dari penelitian skripsi mahasiswa Program Studi Sistem
Informasi, Fakultas Sains dan Teknologi, UIN Syarif Hidayatullah Jakarta, yang
bertujuan untuk mendapatkan data dan pendapat Bapak/Ibu terkait dengan
manajemen risiko di PT. Solusi Integrasi Teknologi sebagai pihak yang terkait khususnya
bagian yang termasuk pada RACI Chart COBIT 5 dalam proses BAI06 (Manage
Changes).
Kuesioner ini merupakan pengukuran Capability Level yang dikembangkan dari COBIT 5
untuk mengetahui tingkat kapabilitas pada proses pengelolaan risiko untuk kondisi saat ini
(as is) dan kondisi yang diharapkan (to be).
Kuesioner ini mempunyai 6 (enam) pilihan jawaban. Pilihan tersebut dari a sampai f
merepresentasikan tingkat kapabilitas secara berturut-turut semakin meningkat terhadap
suatu atribut proses Manage Changes yang terdapat nilai 0,1,2,3,4 dan 5. Pada kolom
“Jawaban”, responden dapat memilih salah satu jawaban yang dianggap paling bisa
mewakili kondisi kematangan baik yang saat ini (as is) dan kondisi kematangan yang
diiharapkan (to be), terkait dengan atribut kematangan tertentu dalam proses pengelolaan
data dengan memberikan tanda centang (✓) pada tempat yang tersedia.
Nama Responden :
Jabatan :
Tanggal :
Keterangan Indikator Kapabilitas
0 = Tidak adanya implementasi proses dan gagal mencapai tujuan dari proses.
1 = Adanya implementasi proses dan mencapai tujuan dari proses tersebut.
2 = Adanya proses yang diimplementasikan dengan cara yang terkelola (direncanakan,
dimonitor dan disesuaikan) dan hasil kerjanya ditetapkan, dikontrol dan terawat.
3 = Adanya implementasi proses yang ditentukan dan mampu dalam mencapai hasil proses.
4 = Adanya proses yang diimplementasikan secara konsisten yang memiliki batasan-
batasan agar mampu meraih tujuan dari proses tersebut.
liv
5 = Adanya proses dan terprediksi secara terus-menerus ditingkatkan untuk memenuhi
tujuan bisnis dan tujuan proyek perusahaan.
Contoh Pengerjaan :
BAI06.01 (Mengevaluasi, memprioritaskan, dan mengotorisasi permintaan
perubahan)
No
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
1
Sejauh mana PT. Solusi Integrasi
Teknologi menggunakan
permintaan perubahan formal
untuk memungkinkan pemilik
proses bisnis dan TI meminta
perubahan pada proses bisnis,
infrastruktur, sistem, atau
aplikasi. Memastikan bahwa
semua perubahan tersebut hanya
muncul melalui proses manajemen
permintaan perubahan.
2
Sejauh mana PT. Solusi Integrasi
Teknologi mengkategorikan
semua perubahan yang diminta
(misalnya, proses bisnis,
infrastruktur, sistem operasi,
jaringan, sistem aplikasi,
perangkat lunak aplikasi yang
dibeli / dikemas) dan
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
Sejauh mana PT. Solusi Integrasi
Teknologi menetukan tingkat risiko TI
yang harus diambil perusahaan untuk
memenuhi tujuannya
✓
✓
lv
No
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
menghubungkan item konfigurasi
yang terpengaruh.
3
Sejauh mana PT. Solusi Integrasi
Teknologi memprioritaskan semua
perubahan yang diminta
berdasarkan persyaratan bisnis dan
teknis, sumber daya yang
diperlukan, dan hukum, peraturan,
dan kontrak alasan perubahan yang
diminta.
4
Sejauh mana PT. Solusi Integrasi
Teknologi merencanakan dan
evaluasi semua permintaan secara
terstruktur. Menyertakan analisis
dampak pada proses bisnis,
infrastruktur, sistem dan aplikasi,
Business continuity plan (BCP)
dan penyedia layanan untuk
memastikan bahwa semua
komponen yang terpengaruh telah
diidentifikasi. Mengkaji
kemungkinan merugikan
mempengaruhi lingkungan
operasional dan risiko penerapan
perubahan. Mempertimbangkan
implikasi keamanan, hukum,
kontrak dan kepatuhan dari
meminta perubahan.
Mempertimbangkan juga antar-
ketergantungan di antara
perubahan. Melibatkan pemilik
proses bisnis dalam proses
penilaian, jika sesuai.
lvi
No
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
5
Sejauh mana PT. Solusi Integrasi
Teknologi menyetujui secara
resmi setiap perubahan oleh
pemilik proses bisnis, manajer
layanan, dan pemangku
kepentingan teknis TI, yang sesuai.
Perubahan yang berisiko rendah
dan relatif sering, harus disetujui
sebelumnya sebagai perubahan
standar.
6
Sejauh mana PT. Solusi Integrasi
Teknologi merencanakan dan
jadwalkan semua perubahan yang
disetujui.
7
Sejauh mana PT. Solusi Integrasi
Teknologi mempertimbangkan
dampak penyedia layanan yang
memiliki kontrak (misalnya,
pemrosesan bisnis yang
dialihdayakan, infrastruktur,
pengembangan aplikasi, dan
dibagikan layanan) pada proses
manajemen perubahan, termasuk
integrasi proses manajemen
perubahan organisasi dengan
manajemen perubahan
proses penyedia layanan dan
dampaknya pada persyaratan
kontrak dan SLA (Service Level
Agreement).
BAI06.02 (Mengelola perubahan darurat)
lvii
No
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
1
Sejauh mana PT. Solusi Integrasi
Teknologi memastikan bahwa
prosedur terdokumentasi ada
untuk menyatakan, menilai,
memberikan persetujuan awal,
memberi otorisasi setelah
perubahan dan mencatat
perubahan darurat.
2
Sejauh mana PT. Solusi Integrasi
Teknologi memverifikasi bahwa
semua pengaturan akses darurat
untuk perubahan disahkan dengan
benar, didokumentasikan dan
dicabut setelah perubahan
diterapkan.
3
Sejauh mana PT. Solusi Integrasi
Teknologi memantau semua
perubahan darurat, dan melakukan
review pasca implementasi yang
melibatkan semua pihak terkait.
Peninjauan harus
mempertimbangkan dan memulai
tindakan korektif berdasarkan akar
permasalahan seperti masalah
dengan proses bisnis,
pengembangan dan pemeliharaan
sistem aplikasi, pengembangan
dan lingkungan pengujian,
dokumentasi dan manual, dan
integritas data.
4
Sejauh mana PT. Solusi Integrasi
Teknologi menentukan apa yang
termasuk dalam perubahan
darurat.
BAI06.03 (Melacak dan melaporkan status perubahan)
lviii
No
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
1
Sejauh mana PT. Solusi Integrasi
Teknologi mengkategorikan
permintaan perubahan dalam
proses pelacakan (misal, ditolak,
disetujui tetapi belum dimulai,
disetujui dan dalam proses, dan
ditutup).
2
Sejauh mana PT. Solusi Integrasi
Teknologi menerapkan laporan
status perubahan dengan metrik
kinerja untuk memungkinkan
tinjauan manajemen dan
pemantauan status detail
perubahan dan keadaan
keseluruhan (misalnya, analisis
usia permintaan perubahan).
Pastikan bahwa laporan status
membentuk jejak audit sehingga
perubahan selanjutnya dapat
dilacak
awal untuk disposisi akhirnya.
3
Sejauh mana PT. Solusi Integrasi
Teknologi memantau perubahan
terbuka untuk memastikan bahwa
semua perubahan yang disetujui
ditutup tepat waktu, bergantung
pada prioritas.
4
Sejauh mana PT. Solusi Integrasi
Teknologi menjaga sistem
pelacakan dan pelaporan untuk
semua permintaan perubahan.
BAI06.04 (Menutup dan mendokumentasikan perubahan)
lix
No
Aktifitas Proses
Kondisi Saat Ini (As
Is)
Kondisi Yang
Diharapkan (To Be)
0 1 2 3 4 5 0 1 2 3 4 5
1
Sejauh mana PT. Solusi Integrasi
Teknologi menyertakan perubahan
pada dokumentasi (misalnya,
bisnis dan prosedur operasional TI,
kelangsungan bisnis dan
dokumentasi pemulihan bencana,
informasi konfigurasi,
dokumentasi aplikasi, layar
bantuan, dan materi pelatihan)
dalam prosedur manajemen
perubahan sebagai satu kesatuan
bagian dari perubahan.
2
Sejauh mana PT. Solusi Integrasi
Teknologi menentukan periode
retensi yang sesuai untuk
dokumentasi perubahan dan sistem
sebelum dan sesudah perubahan
dan dokumentasi pengguna.
3
Sejauh mana PT. Solusi Integrasi
Teknologi subjek dokumentasi ke
tingkat tinjauan yang sama dengan
perubahan aktual.
Tanda tangan
(………………)
lx
Lampiran 3 – Evidence Work Product
Dokumen KPI Operasional Nomor 007/SOP.OPS/SIT/07/21
lxi
SOP Prosedur Insiden Divisi IT Nomor 005/SOP.OPS/SIT/06/21
SOP Prosedur Keamanan SI Divisi IT Nomor 006/SOP.OPS/SIT/06/21
lxii
SOP Prosedur Pemeliharaan Rutin Divisi IT Nomor 004/SOP.OPS/SIT/06/21
SOP Prosedur Manajemen Perubahan Divisi IT Nomor 008/SOP.OPS/SIT/07/21
lxiii
List Risiko 2017-2020 Berdasarkan hasil wawancara 11 November 2020
Dokumen Risiko PT Solusi Integrasi Teknologi
lxiv
Report Work PT Solusi Integrasi Teknologi
lxv