MANAJEMEN RISIKO UNTUK PENERAPAN

CLOUD

COMPUTING

MENGGUNAKAN

FRAMEWORK

COSO ERM

DI

PT. RAJAWALI HIYOTO

TESIS

Oleh

5710111063 Sita Dewi Prahastini

PROGRAM STUDI MAGISTER SISTEM INFORMASI

UNIVERSITAS KOMPUTER INDONESIA

BANDUNG

2013

v

DAFTAR ISI

ABSTRAK ... i

ABSTRACT ... ii

KATA PENGANTAR ... iii

DAFTAR ISI ... v

DAFTAR GAMBAR ... viii

DAFTAR TABEL ... ix

Bab I Pendahuluan ... 1

1.1 Latar Belakang ... 1

1.2 Identifikasi Masalah...4

1.3 Tujuan ... 5

1.4 Manfaat Penelitian ... 6

1.5 Batasan Masalah... 6

1.6 Sistematika Penulisan ... 7

Bab II Tinjauan Pustaka ... 8

2.1 Penelitian Terdahulu ... 8

2.1.1 Manajemen Risiko Penerapan Komputasi Awan pada UMKM…..8

2.1.2 Beberapa Kendala Penerapan Cloud Computing di Indonesia...9

2.1.3 Analisis Keamanan Aplikasi Penyimpanan Data Pada Sistem ………..10

vi

2.1.4 “The Benefits and Risks of Cloud Platform”………...11

2.2 Manajemen Risiko ... 12

2.3 Enterprise Risk Management (ERM) ... 15

2.3.1 Pengertian ERM ... 15

2.3.2 Elemen-elemen ERM ... 16

2.4 COSO Framework ... 17

2.4.1 Komponen COSO Framework ... 18

2.4.2 Perbandingan COSO ERM dengan ISO 31000: 2009 ... 23

2.5 Cloud Computing (Komputasi Awan) ... 23

2.5.1 Model Layanan Cloud Computing ... 25

2.5.2 Model Deployment Cloud Computing ... 26

2.5.3 Keuntungan Cloud Computing ... 29

2.6 Manufaktur ... 30

Bab III Objek dan Metodologi Penelitian ... 32

3.1 Obyek Penelitian ... 32

3.1.1 Profil Perusahaan ... 32

3.1.2 Visi dan Misi Perusahaan ... 33

3.1.3 Struktur Organisasi ... 34

3.2 Metodologi Penelitian ... 35

3.2.1 Studi Literatur ... 36

vii

3.2.4 Implementasi Model Manajemen Risiko terkait Penerapan

Cloud Computing ... 38

3.2.5 Rekomendasi Manajemen Risiko ... 40

3.3 Teknik Pengukuran Risiko ... 40

Bab IV Analisis & Perancangan Sistem ... 24

4.1 Implementasi Model COSO ERM Framework... 42

4.2 Lingkungan Internal ... 43

4.3 Penetapan Tujuan (Objective Setting) ... 51

4.4 Identifikasi Kejadian (Event Identification) ... 59

4.5 Penilaian Risiko (Risk Assesment) ... 63

4.6 Respon Risiko (Risk Response) ... 65

4.7 Aktifitas Pengendalian (Control Activities) ... 69

4.8 Informasi dan Komunikasi ... 75

4.9 Pemantauan (Monitoring) ... 76

4.10 Rekomendasi Untuk Penerapan Cloud Computing Pada PTRH ... 77

Bab V Kesimpulan dan Saran ... 81

5.1 Kesimpulan ... 81

5.2 Saran ... 82

Daftar Pustaka ... 83

Lampiran A ... xi

iii

KATA PENGANTAR

Puji serta syukur Penulis panjatkan kehadirat Allah SWT karena atas berkat, rahmat dan karunia-Nya sehingga Penulis dapat menyelesaikan Laporan Tesis yang berjudul, “Manajemen Risiko untuk Penerapan Cloud Computing menggunakan COSO Enterprise Risk Management (ERM) Framework. Pada kesempatan ini Penulis ingin mengucapkan terima kasih serta penghormatan dan penghargaan yang setinggi-tingginya kepada semua pihak yang telah membantu penyusunan laporan tugas akhir ini, khususnya kepada:

1. Bapak Dr. Yeffry Handoko Putra, MT., selaku pembimbing I yang telah memberikan waktu dan bimbingannya dalam penyelesaian tesis ini.

2. Bapak Irfan Maliki, S.T., MT., selaku pembimbing II yang juga memberikan waktu dan saran untuk menyelesaikan tesis ini.

3. Ibu Wartika, S.Kom., MT., selaku penguji sidang tesis. 4. Kakek-ku yang ada di surga, engkaulah motivasi hidupku.

5. Mamah, Bapak, Nenek, adikku Vianadia, adik ciblo Deden dan seluruh keluarga yang telah memberikan dukungan dan doa.

6. Muhammad Arya Aliefya, Thank you for being patient with my stubborn.

7. Bapak Catur Ananto selaku Senior Specialist IT Development PT. Rajawali Hiyoto.

iv

dan semangat K nya.

9. Teman-teman Join Program 4 UGM-ITB yang selalu mendukung dan mendoakan Saya.

10.Teman-teman RU Ajeng, Arini, Anggi, Isur, Lia, Nisa Tasik, Erna, Ervin, Esa, terima kasih telaeh jadi teman paling “wad” semoga cepat sembuh.

11.Mahasiswa-mahasiswi anak didik Saya yang ikut mendoakan dalam penyelesaian tesis ini.

12.Teman-teman SRKFCI, SMKAA, dan seluruh pihak yang tidak bisa Saya sebutkan satu per satu, terimakasih atas semuanya.

Penulis merasa bahwa tesis ini masih jauh dari sempurna, oleh karena itu dengan senang hati dan penuh keterbukaan, penulis mengharapkan saran dan masukan untuk perbaikan tesis ini. Atas perhatian, bantuan, doa serta bimbingannya, penulis mengucapkan terima kasih.

Bandung, Desember 2013

BAB I PENDAHULUAN

1.1Latar Belakang

Teknologi informasi (TI) merupakan perpaduan antara teknologi komputer dan telekomunikasi dengan teknologi lainnya seperti perangkat keras, perangkat lunak, database, teknologi jaringan, dan peralatan telekomunikasi lainnya. Selanjutnya, teknologi informasi dipakai dalam sistem informasi organisasi atau perusahaan untuk menyediakan informasi bagi para pemakai dalam rangka pengambilan keputusan.

PT. Rajawali Hiyoto (PTRH) merupakan perusahaan nasional manufaktur dan distribusi yang bergerak di bidang paint industry dan chemical construction yang berpusat di kawasan industri di Bandung serta sudah memiliki 40 kantor cabang di seluruh Indonesia. PTRH saat ini memiliki sistem informasi yang sudah berjalan untuk mendukung kegiatan oprasional perusahaan baik pada proses manufaktur maupun distribusi produknya. Adanya sistem informasi ini juga memungkinkan perusahaan untuk membuat basis informasi strategis yang dapat menyediakan informasi untuk mendukung strategi bersaing perusahaan. Informasi ini merupakan aset yang sangat berharga dalam meningkatkan efisiensi dan efektifitas perusahaan.

Saat ini PTRH mengkaji beberapa pengembangan teknologi baru yang diharapkan meningkatkan efisiensi dan efektifitas perusahaan dalam menjalankan

aktivitasnya sekaligus menjawab berbagai kendala dan tantangan yang dihadapi perusahaan di masa depan. Beberapa permasalahan yang kerap dihadapi bagian TI PTRH selama ini meliputi :

1. Belum ter-cover-nya kebijakan TI untuk keseluruhan proses bisnis perusahaan.

2. Belum adanya standarisasi yang menyeluruh terhadap komponen sistem informasi.

3. Penambahan jumlah user yang mengakses data dan aplikasi.

4. Umur perangkat yang semakin tua, sehingga berpengaruh pada performansi sistem TI.

5. Kapasitas kebutuhan penyimpanan data yang semakin meningkat. Kemajuan teknologi informasi juga membawa dampak besar pada perkembangan dalam paradigma maupun pada teknologi manufaktur. Beberapa faktor tersebut mendasar mengalami perubahan akibat penggunaan teknologi informasi. Perubahan tersebut antara lain mencakup proses perencanaan, pengendalian aktivitas rutin, struktur organisasi dan situasi kerja. Dalam situasi dimana lingkungan berubah, maka rencana perusahaan juga harus berubah agar tetap bertahan dan keadaan organisasi tetap stabil. Perubahan yang dihadapkan dengan perubahan lingkungan harus responsif jika tidak ingin mengalami penurunan aktivitas yang tidak dapat dihindarkan. Kondisi ini mengharuskan perusahaan untuk selalu melakukan peningkatan yang inovatif disegala aspek agar perusahaan dapat tetap bertahan dalam persaingan yang sangat ketat, bahkan dapat memungkinkan perusahaan dapat menjadi leading company.

Pada banyak kasus perusahaan menghadapi kendala dalam perencanaan investasi pada komponen sistem informasi yang akan digunakan. Keputusan yang tepat dalam hal ini tidak hanya bisa menekan biaya investasi tetapi dapat menaikkan produktifitas dan mengoptimalkan kinerja perusahaan. Bagaimana menetapkan sistem informasi yang optimal selalu menjadi tantangan para manajer TI terlebih pada industri dimana teknologi informasi sebagai bagian pendukung dan bukan merupakan bisnis inti (core business). Disisi lain, hadir TI baru yang lebih inovatif, dinamis, dan memiliki manfaat secara ekonomis dengan proses implementasi yang lebih cepat yaitu Cloud Computing. Cloud Computing merupakan inovasi yang memungkinkan penggunaan TI berdasarkan utilitas secara on-demand. Perkembangan Cloud Computing pada saat ini sudah merupakan bagian integral dalam perencanaan strategis sistem informasi/teknologi informasi (SI/TI) suatu organisasi/perusahaan.

Menurut Chappell (2011), keuntungan menggunakan Cloud diantaranya : 1. Lebih cepat menerapkan aplikasi baru

2. Risiko inovasi bisnis lebih rendah 3. Belanja TI lebih cerdas

4. Skala dan jangkauan global

Pengembangan teknologi informasi yang diharapkan agar lebih efisien, terkontrol dan terbuka untuk pengembangan berikutnya. Simulasi bagaimana komputasi awan akan diimplementasikan diharapkan banyak memberi masukan

pada perusahaan bagaimana proses komputasi awan dapat mengoptimalkan bisnis perusahaan.

Penerapan teknologi informasi yang baru juga senantiasa memunculkan beragam risiko. Perusahaan atau organisasi akan menghadapi beragam peluang dan risiko yang mungkin mempengaruhi secara positif dan negatif terhadap pencapaian tujuan mereka. Komputasi awan (cloud computing) merupakan sebuah trend teknologi yang berdampak pada keseluruhan proses bisnis perusahaan sehingga perlu adanya kajian yang matang sebelum implementasinya. Pernyataan ini diperkuat oleh Mircea dan Andreescu (2011) yang menyatakan bahwa pengambilan keputusan untuk menggunakan cloud computing perlu memperhitungkan risiko terkait implementasi solusi. Oleh karena itu, perlu ada manajemen risiko yang tepat terkait penerapan cloud computing. Berdasakan uraian diatas maka penulis mencoba membahas hal tersebut dalam penelitian dengan judul “Manajemen Risiko untuk Penerapan Cloud Computing menggunakan COSO Enterprise Risk Management (ERM) Framework di PT.

Rajawali Hiyoto”.

1.2Identifikasi Masalah

Adapun identifikasi permasalahan berdasarkan latar belakang yang telah disampaikan sebagai berikut:

1. Penerapan sistem informasi yang optimal menjadi tantangan para manajer TI terlebih pada industri dimana teknologi informasi sebagai bagian pendukung dan bukan merupakan bisnis inti (core business).

2. PT Rajawali Hiyoto menghadapi beberapa permasalahan yang kerap dihadapi bagian TI, seperti peningkatan jumlah user dan peningkatan kapasitas penyimpanan data, performansi sistem informasi serta keamanan data yang akan mempengaruhi bisnis dimasa mendatang.

3. Hadir TI baru yang lebih inovatif, dinamis, dan memiliki manfaat secara ekonomis dengan proses implementasi yang lebih cepat yaitu Cloud Computing, namun penerapan teknologi informasi yang baru ini (Cloud Computing) akan menimbulkan beragam risiko yang mungkin akan terjadi dan akan berpengaruh pada proses bisnis perusahaan.

4. Penerapan teknologi Cloud Computing untuk sistem informasi di PTRH harus dikaji untuk memilih model layanan (SaaS, Paas atau IaaS) dan model deployment yang tepat sesuai dengan kebutuhan sistem di perusahaan.

1.3 Tujuan Penelitian

Tujuan penelitian ini adalah sebagai berikut:

1. Melakukan manajemen risiko terkait penerapan cloud computing menggunakan COSO Framework sebagai alat untuk menganalisis risiko terkait penerapan cloud computing tersebut.

2. Menentukan model layanan dari cloud computing yang tepat sesuai kebutuhan sistem di PTRH.

3. Memilah risiko yang muncul berdasarkan analisis serta merespon risiko yang tepat.

4. Membuat rekomendasi kepada perusahaan dalam penerapan cloud computing berdasarkan hasil manajemen risiko yang dilakukan.

1.4 Manfaat Penelitian

1. Membantu perusahaan terutama untuk manajer TI dalam mengambil keputusan terkait penerapan komputasi awan (cloud computing) sebagai teknologi pendukung sistem informasi di perusahaan tersebut.

2. Membantu perusahaan mempertimbangkan risiko-risiko sesuai manajemen risiko yang dihasilkan.

1.5 Batasan Masalah dan Lingkup Penelitian

Adapun batasan masalah pada penelitian ini adalah sebagai berikut:

1. Membatasi pada sistem informasi dan layanan TI untuk sistem informasi manufaktur dan email.

2. Menggunakan COSO ERM sebagai framework manajemen risiko, terdiri dari delapan komponen yang akan dilakukan untuk menerapkan model COSO ERM pada penerapan cloud computing.

3. Model layanan yang dibahas adalah sesuai model layanan yang akan dipilih setelah dilakukan analisis kebutuhan sistem di PTRH.

1.6 Sistematika Penulisan

Berikut merupakan sistematika penulisan, yaitu: 1. BAB I Pendahuluan

Bab ini berisi mengenai latar belakang penelitian, identifikasi masalah, tujuan penelitian, manfaat penelitian, pembatasan masalah dan lingkup penelitian serta sistematika penulisan.

2. BAB II Tinjauan Pustaka

Berisi tentang penjelasan dasar ilmu yang mendukung pembahasan penelitian ini meliputi: Penelitian terdahulu, Manajemen Risiko, Enterprise Risk Management (ERM), Framework COSO ERM, Cloud Computing dan Manufaktur.

3. BAB III Objek dan Metodologi Penelitian

Berisi profil PT. Rajawali Hiyoto, visi dan misi, struktur organisasi dan metodologi yang digunakan pada penelitian.

4. BAB IV Analisa dan Pembahasan

Berisi tentang Analisa dan Pembahasan penelitian mengenai manajemen risiko dalam penerapan cloud computing sebagai teknologi baru untuk mendukung sistem informasi di PT. Rajawali Hiyoto menggunakan COSO ERM Framework.

5. BAB V Kesimpulan dan Saran

Berisi tentang kesimpulan dari hasil penelitian dan saran untuk mengembangkan penelitian yang telah dilakukan.

BAB II

TINJAUAN PUSTAKA

2.1 Penelitian Terdahulu

2.1.1 Manajemen Risiko Penerapan Komputasi Awan pada UMKM

Berdasakan penelitian yang dilakukan Nurmaya (2011) yang berjudul Manajemen Risiko Penerapan Komputasi Awan pada UMKM dapat disimpulkan sebagai berikut:

1. Penerapan teknologi „cloud computing‟ dengan dukungan infrastruktur jaringan dan layanan informasi dan telekomunikasi di Korea Selatan menunjukkan bahwa teknologi ini dapat memajukan Small Medium Enterprise (SME) di negara tersebut.

2. Kondisi geografis Indonesia yang dikelilingi laut dan terdiri dari pulau-pulau merupakan suatu tantangan tersendiri dalam penyediaan infrastruktur jaringan dan layanan informasi dan telekomunikasi yang baik secara merata.

3. Penerapan komputasi awan dapat menjadi salah satu solusi untuk meningkatkan kesejahteraan masyarakat Indonesia melalui penggunaan teknologi informasi dengan menghilangkan kendala-kendala pada pengadaan infrastuktur, platform, unit kerja penyedia layanan informasi berikut sumberdaya manusia yang mahal pada sisi UMKM.

4. Namun demikian, „cloud computing‟ bukanlah solusi tunggal. Keberhasilan penerapannya untuk mencapai tujuan yang disebutkan dalam makalah ini perlu didukung oleh sejumlah faktor penting yang sebagiannya dapat diidentifikasi, dianalisis, dan disusun langkah penanganannya.

Sebagai kesimpulan dari makalah “MANAJEMEN RISIKO PENERAPAN KOMPUTASI AWAN PADA UMKM” dapat disebutkan bahwa penerapan proses-proses manajemen risiko yang baik pada penerapan komputasi awan untuk UMKM merupakan kunci penting untuk mencapai keberhasilan.

2.1.2 Beberapa Kendala Penerapan Cloud Computing di Indonesia

Berdasarkan hasil penelitian (Enlik, 2013) tentang berbagai kendala Cloud Computing, dapat diambil kesimpulan bahwa Cloud Computing merupakan pilihan yang dapat digunakan untuk menyediakan sumber daya TI serta efektif dan efisien dalam hubungannya dengan pemanfaatan sumber daya TI tersebut. Terlihat bahwa masih terdapat beberapa kendala yang masih erat hubungannya dengan infrastruktur di Indonesia. Solusi yang dapat dilakukan di antaranya dengan melakukan pembenahan untuk beberapa kendala yang terjadi dan belajar untuk memahami dasar-dasar Cloud Computing sebagai langkah awal sebelum memutuskan untuk migrasi menuju Cloud Computing. Dan dari pembahasan yang ada, untuk saat ini Indonesia dapat dinyatakan belum seratus persen siap dalam menerapkan Cloud Computing di

berbagai aspek karena untuk dapat menerapkan Cloud Computing dengan berhasil, ada beberapa kondisi dan faktor keberhasilan yang harus diperhatikan.

2.1.3 Analisis Keamanan Aplikasi Penyimpanan Data Pada Sistem Cloud Computing

Analisis yang dilakukan Oktariani (2011) ini menghasilkan kesimpulan: Cloud computing merupakan model komputasi yang memiliki beragam keuntungan. Namun dibalik itu, privacy data merupakan hal penting dalam sebuah organisasi terutama pengguna Cloud Computing yang harus memperhatikan aspek proteksi data yang disediakan oleh provider. Jika provider mengalami down, data organisasi terancam hilang, tidak dapat diakses, atau dapat direcovery namun tidak utuh. Hal tersebut tentu saja dapat merugikan pihak user, karena itu saran untuk user sebelum memilih provider penyedia layanan adalah :

1. Memastikan reputasi, sejarah dan keberlanjutan provider memiliki pelayanan yang akan tersedia dan data dapat dilacak dalam jangka waktu yang lama. 2. Meyakinkan penanganan dari provider dalam menghadapi kegagalan backup

atau retrieval informasi cukup terjamin.

3. Waktu delay yang mungkin terjadi ketika pengembalian informasi setelah crash atau insiden lainnya.

4. Memastikan tersedianya perlindungan hak milik intelektual dan rahasia dagang atas informasi yang kita simpan pada media penyimpanan cloud.

5. Kinerja provider dalam melakukan backup, respon dan pemulihan insiden harus benarbenar teruji.

Namun ancaman tersebut dapat diantisipasi dengan melakukan beberapa hal seperti berikut:

1. Memastikan telah memilih provider pengada layanan cloud computing yang memiliki standardisasi keamanan, recovery data, maupun backup rutin.

2. Melakukan proses enkripsi data-data penting yang dimiliki dengan menyimpan kunci dekripsinya di luar cloud.

3. Berlangganan service antivirus cloud.

2.1.4 “The Benefits and Risks of Cloud Platform”

Chappell (2011) dalam tulisannya yang berjudul “The Benefits and Risks of Cloud Platform” dapat disimpulkan bahwa penerapan Cloud Platform bagi suatu organisasi dapat menimbulkan keuntungan (Benefits) dan juga risiko (Risks) tergantung sejauh mana organisasi tersebut mempersiapkan penerapannya dan memahami segala keuntungan dan risiko tersebut yang akan mempengaruhi bisnis-nya. Dalam hal ini departemen TI sangat berpengaruh dalam meyakinkan organisasi / perusahaan untuk memutuskan penerapan Cloud Platform.

2.2 Manajemen Risiko

Risiko berhubungan dengan ketidakpastian ini terjadi oleh karena kurang atau tidak tersedianya cukup informasi tentang apa yang akan terjadi. Sesuatu yang tidak pasti (uncertain) dapat berakibat menguntungkan atau merugikan. menurut Wideman, ketidakpastian yang menimbulkan kemungkinan menguntungkan dikenal dengan istilah peluang (Opportunity). sedangkan ketidak pastian yang menimbulkan akibat yang merugikan dikenal dengan istilah risiko (Risk).

Risiko adalah segala sesuatu yang dapat mempengaruhi pencapaian tujuan organisasi. Australian/ NZ Standard 4360 : 1999 mendefinisikan Risk sebagai “The chance of something happening that will have or impact upon objectives” (perubahan dari sesuatuyang terjadi yang akan mempuyai pengaruh terhadap tujuan).

Kata something (sesuatu) menurut definisi risiko diatas dapat menyangkut : Komersil, legal, operasional, teknologi, karyawan, manajemen, manusia, finansial, kejadian alamiah, politik. Sedangkan kata impact (pengaruh) dapat menyangkut : aset, lingkungan, reputasi, komunitas, manusia, penghasilan, biaya, kinerja dan layanan. Dan kata objectives (tujuan) dapat menyangkut : aset, manusia, layanan, komunitas, laba, lingkungan, reputasi.

Dalam bidang investasi, menurut Jones (2004:142), risiko adalah kemungkinan pendapatan yang diterima (actual return) dalam suatu investasi akan berbeda dengan pendapatan yang diharapkan (expected return). Semakin besar

penyimpangan antara hasil sesungguhnya dengan hasil yang diharapkan, berarti semakin besar risiko yang akan ditanggung.

Dapat tidaknya risiko dialihkan kepada pihak lain, dapat dibedakan :

1. Risiko yang dapat dialihkan kepada pihak lain, dengan mempertangguhkan suatu objek yang akan terkena risiko kepada pihak asuransi.

2. Risiko yang tidak dapat dialihkan pada pihak lain. Menurut sumber/penyebab timbulnya risiko dapat dibedakan :

1. Risiko intern yaitu risiko yang berasal dari dalam perusahaan sendiri, seperti kecelakaan kerja, kerusakan aktiva karena karyawan, miss-manajemen dan sebagainya.

2. Risiko ekstern yaitu risiko yang berasal dari luar perusahaan, seperti penipuan, persaingan, fluktuasi harga, perubahan politik.

Manajemen risiko adalah suatu pendekatan terstruktur/metodologi dalam mengelola ketidakpastian yang berkaitan dengan ancaman, suatu rangkaian aktivitas manusia termasuk : penilaian risiko, pengembangan strategi untuk mengelolanya dan mitigasi risiko dengan menggunakan pemberdayaan/pengelolaan sumber daya. Strategi yang dapat diambil antara lain adalah memindahkan risiko kepada pihak lain, menghindari risiko, mengurangi efek negatif risiko, dan menampung sebagian atau semua konsekuensi risiko tertentu. Manajemen risiko tradisional terfokus pada

risiko-kebakaran, kematian, serta tuntutan hukum. Manajemen risiko keuangan, di sisi lain, terfokus pada risiko yang dapat dikelola dengan menggunakan instrumen-instrumen keuangan. (Sadgrove, 2005).

Manajemen Risiko dimulai dari proses identifikasi risiko, penilaian risiko, mitigasi, monitoring dan evaluasi seperti pada Gambar 2.1:

Gambar 2.1 : Elemen Manajemen Risiko sumber: Sadgrove, 2005

Manfaat adanya manajemen risiko pada perusahaan diantaranya adalah :

1. Membantu perusahaan menghindari semaksimal mungkin biaya-biaya yang terpaksa harus dikeluarkan.

2. Membantu manajemen untuk memutuskan apakah risiko yang dihadapi perusahaan akan dihindari atau diambil.

3. Jika penaksiran risiko dilakukan secara akurat maka dapat memaksimalkan keuntungan perusahaan.

Risiko dapat diminimalisir/ditanggulangi beberapa aktivitas :

1. Mengadakan pencegahan dan penanggulangan terhadap kemungkinan terjadinya peristiwa yang menimbulkan kerugian

2. Melakukan retensi artinya mentolerir terjadinya kerugian, dengan membiarkan terjadinya kerugian dan untuk mencegah terganggunya operasi dengan menyediakan dana untuk penanggulangannya.

3. Melakukan pengendalian terhadap risiko, seperti melakukan perdagangan berjangka

4. Mengalihkan/memindahkan risiko kepada pihak lain, yaitu dengan cara mengadakan kontrak pertangguhan (asuransi) dengan perusahaan asuransi terhadap risiko tertentu.

2.3 Enterprise Risk Management (ERM)

2.3.1 Pengertian ERM

Definisi ERM menurut COSO Enterprise Risk Management – Integrated Framework. 2004 adalah :

“suatu proses yang berpengaruh pada sebuah entitas, jajaran direksi, pihak manajemen, dan personel lain yang diaplikasikan pada penetapan strategi perusahaan, didisain untuk mengidentifikasi kejadian yang potensial yang dapat berpengaruh pada

entitas, dan mengelola risiko yang dapat diterima, dan memberikan jaminan keamanan yang beralasan dalam rangka mencapai tujuan perusahaan”.

Prinsip yang melandasi ERM bahwa setiap entitas pada perusahaan seharusnya memberikan suatu nilai bagi stakeholder. Nilai ini sangat tergantung pada keputusan manajemen mulai dari perumusan strategi sampai dengan kegiatan operasional setiap hari.

ERM mendukung penciptaan nilai dengan memudahkan manajemen untuk : 1. Menghadapi kejadian potensial yang menciptakan ketidakpastian.

2. Memberikan respon yang tepat untuk mengurangi risiko yang dapat mempengaruhi hasil.

2.3.2 Elemen-elemen ERM

Elemen-elemen ERM meliputi :

1. Komitmen Chief Executive Officer(CEO) 2. Kebijaksanaan risiko dan misi perusahaan 3. Laporan unit bisnis, dan jajaran eksekutif

4. Pengembangan kerangka kerja (framework) risiko 5. Pengembangan bahasa risiko yang umum

6. Teknik untuk mengidentifikasi risiko

8. Keterkaitan risiko pada pihak-pihak yang sesuai dan bertanggung jawab

9. Keterkaitan risiko dengan fungsi keuangan dan pendanaan

10.Pengintegrasian indentifikasi risiko dan perkiraan risiko ke strategi organisasi

2.4 COSO Framework

Awalnya dibentuk pada tahun 1985, COSO merupakan inisiatif bersama dari lima organisasi sektor swasta dan didedikasikan untuk menyediakan panduan berpikir melalui pengembangan kerangka kerja dan pedoman manajemen risiko perusahaan (ERM), pengendalian internal, dan pencegahan risiko. Organisasi yang mendukung COSO adalah Institute Auditor Internal (IIA), American Association Akuntansi (AAA), American Institute Akuntan Publik (AICPA), Eksekutif Keuangan Internasional (FEI), dan Institut Akuntan Manajemen (IMA).

COSO mendefinisikan Enterprise Risk Management (ERM) sebagai proses yang dipengaruhi oleh unit dewan direksi, manajemen dan personil lainnya, diterapkan pada pengaturan strategi dan di seluruh perusahaan yang dirancang untuk mengidentifikasi peristiwa potensial yang dapat mempengaruhi unit/entitas, dan mengelola risiko untuk tetap berada pada risk appetite-nya, untuk memberikan keyakinan yang memadai mengenai pencapaian tujuan entitas.

Framework COSO ERM merupakan kubus 3-dimensi,selain sisi depan yang terdiri dari 8 komponen, sisi atas merupakan objektif manajemen risiko dan sisi

samping kubus merupakan komponen entitas organisasi seperti yang terlihat pada Gambar 2.2. ERM versi COSO terdiri dari 8 komponen yang saling terkait, yaitu: Lingkungan Internal (Internal Environment), Penetapan Tujuan (Objective Setting), Identifikasi Kejadian (Event Identification), Penilaian Risiko (Risk Assessment), Respon Risiko (Risk Response), Aktivitas Pengendalian (Control Activities), Informasi dan komunikasi (Information and Communication) dan Pemantauan (Monitoring). Framework ini mendefinisikan komponen penting, penyamaan bahasa, dan memberikan arahan dan bimbingan yang jelas bagi enterprise risk management.

Gambar 2.2: Kubus Framework COSO

Sumber: (Committee of Sponsoring Organizations (COSO) of the Treadway Commission. 2012)

2.4.1 Komponen COSO framework

Terdapat delapan komponen COSO framework yaitu : 1. Lingkungan internal (internal environment)

Pada tahapan ini perusahaan menetapkan : a. Strategi bisnis

b. Objektif utama dari bisnis

c. Obektif terkait yang diturunkan ke bawah organisasi dari objktif utama bisnis d. Menugaskan elemen organisasi dan pimpinan yang bertanggung jawab 2. Penetapan Tujuan (objective setting)

a. Menetapkan proses bisnis b. Menentukan risk appetite

3. Identifikasi kejadian (event identification)

a. Kejadian yang dapat memberikan pengaruh negatif yang menggambarkan risiko

b. Termasuk dalam mengidentifikasikan kejadian, baik internal maupun eksternal yang dapat mempengaruhi strategi dan pencapaian objektif

c. Menentukan bagaimana faktor internal dan eksternal bersatu dan berinteraksi mempengaruhi profil risiko

4. Penilaian risiko (assesment)

a. Memperkenankan unit untuk memahami sampai di mana kejadian potensial yang dapat berpengaruh terhadap objektif

- Likelihood (Kemungkinan terjadi) - Impact (Dampak)

c. Menilai dan mengukur risiko terkait dengan objektif 5. Respon risiko (risk response)

a. Identifikasi dan evaluasi kemungkinan respon atas risiko b. Evaluasi pilihan terkait dengan risk appetite dari perusahaan.

c. Pilih dan lakukan respon atas evaluasi dari portofolio risiko dan respon Dalam menentukan respon terhadap risiko terdapat empat alternatif tindakan, yaitu:

1. Menerima Risiko, adalah tindakan perusahaan untuk menerima suatu risiko dengan tidak melakukan tindakan berarti yang memerlukan sumber daya yang besar. Tindakan ini biasanya diterapkan pada risiko-risiko yang tingkat risiko keseluruhan rendah (tidak signifikan) bagi perusahaan, sehingga apabila dilakukan penanganan residual risk menimbulkan biaya yang tidak sebanding dengan keuntungannya.

2. Menghindari Risiko, adalah tindakan perusahaan untuk tidak melakukan usaha tertentu yang mengandung risiko yang tidak diinginkan. Tindakan ini biasanya diterapkan pada risiko-risiko yang tingkat risiko keseluruhannya tidak dapat

diterima oleh perusahaan atau berdampak sangat tinggi bagi perusahaan, dimana penanganannya akan menimbulkan biaya yang sangat tinggi serta tidak efisien. 3. Mengurangi Risiko, adalah tindakan perusahaan dengan menggunakan semua

sumber daya yang dimilikinya berusaha untuk dapat meminimalkan risiko tanpa menghilangkan peluang perusahaan untuk meraih keuntungan (return). Tindakan ini dapat dilakukan terhadap paling tidak salah satu dari kedua faktor, yaitu:

a. Mengurangi kemungkinan terjadinya risiko, biasanya dengan melakukan proses perubahan desain dan engineering, prosedur quality assurance atau audit secara periodik.

b. Mengurangi dampak akibat terjadinya suatu risiko, biasanya diterapkan pada risiko yang berdampak tinggi dan kemungkinannya rendah, antara lain dengan membuat rencana kontinjensi atau rencana evakuasi.

4. Membagi Risiko, adalah tindakan perusahaan untuk memindahkan risiko kepada pihak ketiga yang dapat mengelola risiko antara lain melalui kesepakatan kontrak dengan cloud provider atau asuransi.

6. Aktivitas pengendalian (control activities)

Aktifitas pengendalian merupakan kebijakan dan prosedur yang membantu memastikan bahwa risk response yang dipilih dilaksanakan dengan memadai. Meskipun aktifitas pengendalian umumnya dikenal sebagai strategi untuk mengurangi risiko, namun aktifitas pengendalian tertentu juga dipakai pada strategi

risk response lain. Aktifitas pengendalian dipasangkan di seluruh organisasi, yaitu disetiap tingkatan maupun fungsi dalam organisasi. Aktifitas pengendalian dikelompokkan dalam berbagai ccara dan mencakup areal aktifitas yang mungkin bersifat preventif atau detektif, manual atau terkomputerisasi, serta di tingkatan proses atau manajemen.

7. Komunikasi dan informasi (information and communication)

a. Identifikasi manajemen, mendapatkan dan mengkomunikasikan informasi yang berhubungan dalam bentuk dan jangka waktu yang memungkinan yang bertanggungjawab menjalanakan kewajibannya.

b. Komunikasi berlangsung dalam pengertian luas, mengalir ke bawah, antar dan ke atas oraganisasi.

8. Pengawasan (Monitoring)

Efektifitas dari komponen ERM yang lain dimonitor melalui: a. Aktivitas monitoring terus-menerus

b. Evaluasi terpisah

2.4.2 Perbandingan COSO ERM dengan ISO 31000: 2009

ISO 31000: 2009 dan COSO ERM merupakan dua rujukan praktik terbaik saat ini yang dapat digunakan dalam penerapan manajemen risiko. Dalam praktik penerapan manajemen risiko di perusahaan, penggunaan rujukan tersebut harus disesuaikan dengan kebutuhan perusahaan baik dari konteks internal maupun eksternal. Metode kuantitatif, semi kuantitatif, maupun kualitatif juga harus dipergunakan dalam mengelola risiko dan pemanfaatan peluang yang digunakan dalam rangka membantu pencapaian tujuan perusahaan.

Perbedaan mendasar antara ISO 31000:2009 dan COSO ERM:2004 adalah:

a. COSO ERM tidak memaparkan secara terpisah proses dari kerangka kerja manajemen risiko dan lebih menekankan pada pengembangan pengendalian internal perusahaan sebagai salah satu upaya perusahaan dalam memastikan risiko dapat terkelola dan masuk ke dalam area selera risiko perusahaan.

b. ISO 31000 memaparkan proses manajemen risiko (klausal 5) terpisah dari kerangka kerjanya (klausal 4) dan lebih menekan pada penerapan manajemen risiko sebagai alat penciptaan nilai dari proses bisnis perusahaan.

2.5 Komputasi Awan (Cloud Computing)

Menurut Peter Mell dan Timothy Grance (2012:2) definisi Cloud Computing adalah sebuah model yang memungkinkan untuk ubiquitous (Diamanapun dan kapanpun), nyaman, On demand akses jaringan ke sumber daya komputasi (contoh: jaringan, server, storage, aplikasi, dan layanan) yang dapat dengan cepat dirilis atau ditambahkan. Cloud Computing sebagai suatu layanan teknologi informasi yang dapat dimanfaatkan oleh pengguna dengan berbasis jaringan/internet. Dimana suatu sumber daya, perangkat lunak, informasi dan aplikasi disediakan untuk digunakan oleh komputer lain yang membutuhkan. Cloud computing mempunyai dua kata “Cloud” dan “Computing”. Cloud yang berarti internet itu sendiri dan Computing adalah proses komputasi.

Konsep Cloud computing biasanya dianggap sebagai internet. Karena internet sendiri digambarkan sebagai awan (Cloud) besar (biasanya dalam skema jaringan, internet dilambangkan sebagai awan) yang berisi sekumpulan komputer yang saling terhubung. Cloud computing datang sebagai sebuah evolusi yang mengacu pada konvergensi teknologi dan aplikasi lebih dinamis. Dimana terdapat perubahan besar memiliki implikasi yang menyentuh hampir setiap aspek komputasi. Untuk end user, Komputasi awan menyediakan sarana untuk meningkatkan layanan baru atau mengalokasikan sumber daya komputasi lebih cepat, berdasarkan kebutuhan bisnis.

2.5.1 Model Layanan Cloud Computing

Tiga model layanan dijelaskan oleh NIST (Mell dan Grance, 2009) yang ditawarkan oleh cloud computing, berdasarkan kemampuan yang disediakan yaitu : 1. Cloud Software as a Service (SaaS). Kemampuan yang diberikan kepada

konsumen untuk menggunakan aplikasi penyedia dapat beroperasi pada infrastruktur awan. Aplikasi dapat diakses dari berbagai perangkat klien melalui antarmuka seperti web browser (misalnya, email berbasis web). Konsumen tidak mengelola atau mengendalikan infrastruktur awan yang mendasari termasuk jaringan, server, sistem operasi, penyimpanan, atau bahkan kemampuan aplikasi individu, dengan kemungkinan pengecualian terbatas terhadap pengaturan konfigurasi aplikasi pengguna tertentu.

2. Cloud Platform as a Service (PaaS). Kemampuan yang diberikan kepada konsumen untuk menyebarkan aplikasi yang dibuat konsumen atau diperoleh ke infrastruktur komputasi awan menggunakan bahasa pemrograman dan peralatan yang didukung oleh provider. Konsumen tidak mengelola atau mengendalikan infrastruktur awan yang mendasari termasuk jaringan, server, sistem operasi, atau penyimpanan, namun memiliki kontrol atas aplikasi disebarkan dan memungkinkan aplikasi melakukan hosting konfigurasi.

3. Cloud Infrastructure as a Service (IaaS). Kemampuan yang diberikan kepada konsumen untuk memproses, menyimpan, berjaringan, dan komputasi

sumberdaya lain yang penting, dimana konsumen dapat menyebarkan dan menjalankan perangkat lunak secara bebas , dapat mencakup sistem operasi dan aplikasi. Konsumen tidak mengelola atau mengendalikan infrastruktur awan yang mendasari tetapi memiliki kontrol atas sistem operasi, penyimpanan, aplikasi yang disebarkan, dan mungkin kontrol terbatas komponen jaringan yang pilih (misalnya, firewall host).

2.5.2 Model Deployment Cloud Computing

Menurut NIST (Mell dan Grance, 2009), ada empat deployment model dari cloud computing ini, yaitu:

1. Public Cloud

Public Cloud adalah layanan Cloud Computing yang disediakan untuk masyarakat umum. Pengguna bisa langsung mendaftar ataupun memakai layanan yang ada. Banyak layanan Public Cloud yang gratis, dan ada juga yang perlu membayar untuk bisa menikmati layanannya.

Keuntungan dari Public Cloud pengguna tidak perlu berinvestasi untuk merawat serta membangun infrastruktur, platform, ataupun aplikasi. Pengguna tinggal memakai secara gratis (untuk layanan yang gratis) atau membayar sebanyak pemakaian (pay as you go). Dengan pendekatan ini, kita bisa mengurangi dan merubah biaya Capex (Capital Expenditure) menjadi Opex (Operational Expenditure). Sedangkan kerugiannya sangat tergantung dengan kualitas layanan

internet (koneksi) yang kita pakai. Jika koneksi internet mati, maka tidak ada layanan yang dapat diakses. Untuk itu, perlu dipikirkan secara matang infrastruktur internetnya.

2. Private Cloud

Private Cloud adalah layanan cloud computing yang disediakan untuk memenuhi kebutuhan internal dari organisasi/perusahaan. Pada kasus ini umumnya bagian IT akan berperan sebagai service provider (penyedia layanan) dan bagian atau divisi lain menjadi service consumer. Bagian IT sebagai service provider, harus bertanggung jawab agar layanan bisa berjalan dengan baik sesuai dengan standar kualitas layanan yang telah ditentukan oleh perusahaan, baik infrastruktur, platform, maupun aplikasi yang ada.

Contoh layanan Private Cloud :

a. SaaS: Web Application, Mail Server, Database Server untuk keperluan internal.

b. PaaS: Sistem Operasi, Web Server, Framework serta Database untuk internal c. IaaS: Virtual machine yang bisa di-request sesuai dengan kebutuhan internal Keuntungan dari Private Cloud adalah menghemat bandwidth internet ketika layanan itu hanya diakses dari jaringan internal.Proses bisnis tidak tergantung dengan koneksi internet, akan tetapi tetap saja tergantung dengan koneksi jaringan lokal (intranet). Sedangkan kerugiannya adalah investasi besar, karena perusahaan yang

harus menyiapkan infrastrukturnya serta membutuhkan tenaga kerja untuk merawat dan menjamin layanan berjalan dengan baik

3. Hybrid Cloud

Hybrid Cloud adalah gabungan dari layanan Public Cloud dan Private Cloud yang diimplementasikan oleh suatu organisasi/perusahaan. Dalam Hybrid Cloud ini, kita bisa memilih proses bisnis mana yang bisa dipindahkan ke Public Cloud dan proses bisnis mana yang harus tetap berjalan di Private Cloud.

Keuntungan dari Hybrid Cloud adalah keamanan data terjamin karena data dapat dikelola sendiri dan lebih leluasa untuk memilih mana proses bisnis yang harus tetap berjalan di private cloud dan mana proses bisnis yang bisa dipindahkan ke public cloud dengan tetap menjamin integrasi dari keduanya. Sedangkan kerugiannya untuk aplikasi yang membutuhkan integrasi antara public cloud dan private cloud, investasi dan pengelolaan infrastruktur cloud harus dipikirkan secara matang.

4. Community Cloud

Community Cloud adalah layanan Cloud Computing yang dibangun eksklusif untuk komunitas tertentu, yang consumer-nya berasal dari organisasi yang mempunyai perhatian yang sama atas sesuatu/beberapa hal, misalnya saja standar keamanan, aturan, compliance, dsb. Community Cloud ini bisa dimiliki, dipelihara,

dan dioperasikan oleh satu atau lebih organisasi dari komunitas tersebut, pihak ketiga, ataupun kombinasi dari keduanya.

Keuntungan dari Community Cloud adalah bisa bekerja sama dengan organisasi lain dalam komunitas yang mempunyai kepentingan yang sama. Melakukan hal yang sama bersama-sama tentunya lebih ringan daripada melakukannya sendiri. Sedangkan kerugiannya adalah ketergantungan antar organisasi jika tiap-tiap organisasi tersebut saling berbagi sumber daya.

2.5.3 Keuntungan Cloud Computing

Ada beberapa keuntungan yang dapat dilihat dari perkembangan Cloud Computing menurut Stiawan (2012), seperti:

1. Lebih efisien karena menggunakan anggaran yang rendah untuk sumber daya. 2. Membuat lebih agility, dengan mudah dapat berorientasi pada profit dan

perkembangan yang cepat.

3. Membuat operasional dan manajemen lebih mudah, dimungkinkan karena sistem pribadi atau perusahaan yang terkoneksi dalam satu cloud dapat dimonitor dan diatur dengan mudah.

4. Menjadikan kolaborasi yang terpecaya.

5. Membantu dalam menekan biaya operasi biaya modal pada saat kita meningkatkan reliability dan kritikal sistem informasi yang kita bangun.

2.6 Manufaktur

Manufacturing adalah satu rangkaian kegiatan yang meliputi: desain produk, pemilihan bahan, perencanaan, manufaktur (pembuatan), jaminan kualitas, manajemen, dan penjualan; yang dilakukan dalam satu perusahaan. CIRP (1983)

Manufaktur secara luas adalah proses merubah bahan baku menjadi produk yang meliputi perancangan produk, pemilihan material, tahap-tahap proses di mana produk tersebut dibuat. Manufaktur secara umum adalah suatu aktifitas yang kompleks yang melibatkan barbagai variasi sumberdaya dan aktifitas perancangan produk pembelian, pemasaran, mesin, dan perkakas manufacturing, penjualan, perancangan proses, production control, pengiriman material, support service, dan customer service.

Sistem Informasi Manufaktur adalah suatu sistem barbasis komputer yang bekerja dan hubungannya dengan sistem informasi fungsional lainnya untuk mendukung manajemen perusahaan dalam pemecahan masalah yang berhubungan dengan manufaktur produk perusahaan yang pada dasarnya tetap bertumpu pada input, proses dan output.

Manfaat dari sistem ini adalah mendukung fungsi produksi yang meliputi seluruh kegiatan yang terkait dengan perencanaan dan pengendalian proses untuk memproduksi barang atau jasa,manfaat lainnya yaitu :

1. Hasil produksi perusahaan lebih cepat dan tepat waktu.

3. Arsip lebih terstruktur karena menggunakan sistem database.

4. Sistem informasi manufaktur yang berupa fisik robotik,hasil produksi semakin cepat, tepat dan berkurangnya jumlah sisa bahan yang tidak terpakai.

Ruang lingkup sistem informasi manufaktur terdiri dari sistem perencanaan manufaktur, rencana produksi, rencana tenaga kerja, rencana kebutuhan bahan baku serta sistem pengendalian manufaktur.

BAB III

OBYEK DAN METODOLOGI PENELITIAN

3.1 Obyek Penelitian 3.1.1 Profil Perusahaan

PT. Rajawali Hiyoto (PTRH) merupakan perusahaan yang bergerak dalam bidang manufaktur dan distribusi cat. PTRH senantiasa mengadakan riset terpadu untuk menghasilkan produk cat berkualitas. Riset & pengembangan dilakukan secara berkesinambungan meliputi perbaikan formulasi cat hingga inovasi produk–produk baru yang mengikuti perkembangan teknologi. Sejumlah alat berteknologi terkini selalu digunakan di laboratorium riset dan pengembangan untuk menunjang inovasi yang terus menerus dilakukan oleh PTRH. Melalui produksi sinergi dari sejumlah tenaga ahli yang berpengalaman, tenaga kerja yang terlatih di lapangan, mesin-mesin berteknologi terkini, serta bahan baku yang berkualitas, semuanya menunjang terciptanya system produksi yang baik, terencana, stabil, efektif dan teratur sehingga menghasilkan produk-produk yang bermutu serta terjaga kualitasnya.

Dalam hal pengembangan karyawannya PTRH senantiasa menaruh perhatian yang besar terhadap kemajuan dan pengembangan kemampuan sumber daya manusia karyawannya. Hal tersebut dilakukan melalui sejumlah training internal, seminar dan pelatihan yang menghasilkan sumber daya manusia yang berpengalaman, terlatih dan selalu berorientasi pada kinerja terbaik.

Selain itu, saat ini PTRH merencanakan system informasi yang baru untuk bagian-bagian tertentu yang belum memiliki system informasi dan melakukan pengawasan terhadap system-sistem yang sudah berjalan dan tetap melakukan maintenance terhadap system yang sudah ada. Perencanaan system informasi tersebut lebih ditekankan untuk pengembangan teknologi IT.

Divisi MIS (Management Information System) merupakan divisi yang bertanggung jawab penuh atas pengembangan atau pun maintenance teknologi Informasi perusahaan. Pada saat ini divisi MIS telah banyak memfasilitasi pergerakan system informasi perusahaan, dengan menciptakan perangkat lunak yang dapat digunakan untuk membantu kegiatan operasional perusahaan guna tercapai efektifitas dan efisiensi sistem informasi. Selain itu, divisi MIS telah memiliki manajemen untuk pemeliharaan teknologi informasi perusahaan.

3.1.2 Visi dan Misi Perusahaan

Adapun visi dan misi dari PTRH dari tahun 2010 - sekarang adalah : Visi :

“Menjadi perusahaan yang di kenal baik dalam industri pelapis dan supplier bahan bangunan”.

Misi :

1. Menyediakan produk-produk inovatif dan ramah lingkungan yang mudah diterima, memberikan manfaat dan mudah didapat oleh masyarakat Indonesia

2. Melakukan pengembangan secara berkelanjutan terhadap SDM dan proses bisnis ke arah standar kualitas tinggi

3. Meraih banyak kebahagiaan untuk semua pemangku kepentingan 4. Membangun organisasi yang terkelola dengan baik

3.1.3 Struktur Organisasi

Struktur organisasi bertujuan untuk memberikan gambaran tugas, wewenang dan tanggung jawab dari setiap unit yang ada dalam organisasi. Struktur organisasi PT. Rajawali Hiyoto Gambar 3.1:

3.2 Metodologi Penelitian

Berikut ini merupakan gambaran umum tahapan penelitian yang akan dilakukan berdasarkan kerangka penelitian pada Gambar 3.2:

Gambar 3.2 Kerangka Penelitian

Berdasarkan dalam kerangka penelitian pada Gambar 3.2, maka tahapan dalam penyusunan penelitian adalah sebagai berikut:

Mulai

Mengidentifikasi Masalah (Analisis masalah)

Mempelajari Literatur

Melakukan Studi ke Lapangan

Menghasilkan Rekomendasi Manajemen Risiko Menerapkan Model

Manajemen Risiko

Selesai

Menggunakan COSO ERM Menganalisis Kebutuhan

3.2.1 Mempelajari Literatur

Berkaitan dengan Teori dan Studi kepustakaan yang bertujuan untuk mengetahui konsep-konsep yang berhubungan dengan penelitian yang akan dilakukan. Dalam hal ini berkaitan dengan penerapan Cloud Computing, Manajemen Risiko, Kerangka Kerja COSO ERM dan lain-lain yang berhubungan dengan penelitian ini.

3.2.2 Melakukan studi ke lapangan

Pada tahap ini dilakukan dengan dua cara, yaitu:

a. Pengamatan langsung ke lokasi penelitian (observasi) guna melihat secara langsung hal-hal atau data-data yang berkaitan dengan materi yang dibutuhkan dalam penyusunan penelitian seperti mempelajari dokumentasi, tujuan dan struktur organisasi, business process dan kebijakan teknologi informasi yang ada. b. Wawancara atau tanya jawab dengan pegawai di perusahaan manufaktur yang

berhubungan dengan penelitian yang dalam hal ini Divisi MIS (Management Information System).

3.2.3 Menganalisis Kebutuhan

Dalam menjalankan bisnisnya PTRH telah mengembangkan model sistem informasi dan aplikasi untuk mendukung kegiatan operasional pada proses manufaktur cat. Seiring dengan peningkatan jumlah dan kapasitas produksi serta

untuk meningkatkan layanan pada pelanggan maka model sistem informasi yang ada sekarang dipandang sudah tidak memadai untuk kebutuhan jangka panjang.

Beberapa kebutuhan tersebut dilatar belakangi :

a. Peningkatan jumlah user pengguna sistem informasi.

b. Peningkatan kapasitas sumber daya sistem informasi (upgrade perangkat, upgrade aplikasi, dan sebagainya).

c. Peningkatan ragam layanan informasi (email, internet, e-learning, portal, dan sebagainya).

d. Kebutuhan pengelolaan sumber daya teknologi informasi yang lebih baik. e. Penyesuaian terhadap teknologi baru.

f. Kebutuhan standarisasi teknologi informasi. g. Pengembangan (ekspansi) perusahaan.

Adanya kebutuhan tersebut membuat perusahaan harus memastikan teknologi informasi yang tersedia secara berkala perlu dievaluasi. Hasil evaluasi digunakan departemen TI untuk menjadwalkan proses upgrade perangkat sehingga senantiasa berfungsi dengan optimal. Kadang kala proses upgrade tersebut bersifat minor seperti penggantian komputer client atau bisa juga melibatkan penggantian platform secara total di sisi server maupun client sehingga memerlukan proses migrasi data.

Beberapa alasan utama migrasi data umumnya adalah sebagai berikut : a. Platform lama tidak didukung lagi oleh principal.

c. Pengembangan atau penggantian dengan sistem baru yang mengharuskan pemakaian platform lain.

d. Teknologi yang digunakan sudah kadaluwarsa. e. Meningkatkan efektifitas operasional perusahaan. f. Alasan keamanan data.

g. Pertimbangan dari sisi bisnis dimana penggantian platform dapat menghemat biaya dalam jangka waktu ke depan.

3.2.4 Menerapkan Model Manajemen Risiko terkait Penerapan Cloud Computing

Pada tahap ini akan dilakukan implementasi manajemen risiko sesuai framework yang sudah dipilih yaitu COSO ERM terkait penerapan Cloud Computing. Proses selanjutnya adalah mengevaluasi layanan sistem informasi berbasis cloud termasuk Enterprise Resource Planning (ERP), akses data maupun aplikasi pendukung lainnya.

Kemajuan teknologi dalam virtualisasi sistem, manajemen sumber daya sistem, dan internet telah menyebabkan Cloud Computing sebagai alternatif untuk memenuhi kebutuhan teknologi informasi pada perusahaan, dengan beberapa manfaat sebagai berikut :

a. Pemenuhan sumber daya teknologi secara seketika.

d. Penurunan kebutuhan akan sumber daya dan dukungn personil pada lingkungan internal.

Proses adopsi cloud computing bisa membawa perubahan besar pada perusahaan. Manajemen dapat secara efektif menggunakan kerangka kerja ERM untuk menilai dan mengelola risiko yang terkait. Framework COSO merupakan sebuah landasan yang dapat digunakan untuk membangun implementasi cloud computing. COSO ERM framework digambarkan sebagai kubus, kerangka kerja ini direpresentasikan sebagai jalur dimana setiap komponen ERM (dimulai dengan lingkungan internal) diterapkan untuk memahami keunggulan spesifik dan kekurangan calon solusi yang dapat diberikan kepada perusahaan. Pada setiap tahapan proses ini, akan muncul solusi cloud yang ideal bagi perusahaan, seperti pada Gambar 3.3 dibawah ini:

3.2.5 Menghasilkan Rekomendasi Manajemen Risiko

Langkah terakhir dari penelitian ini setelah implementasi model manajemen risiko menggunakan COSO ERM framework yaitu membuat rekomendasi-rekomendasi terkait penerapan Cloud Computing di PT. Rajawali Hiyoto.

3.3 Teknik Pengukuran Risiko

Penilaian risiko pada dasarnya mengacu pada dua faktor, yaitu: kuantitas risiko dan kualitas risiko. Kuantitas risiko terkait dengan berapa banyak nilai, atau dampak, yang rentan terhadap risiko sedangkan kualitas risiko terkait dengan kemungkinan suatu risiko muncul. Berikut perbandingan teknik pengukuran risiko antara teknik kualitatif dengan kuantitatif pada tabel 3.1 dibawah ini:

Tabel 3.1 Perbandingan Teknik Pengukuran Risiko

Teknik Keuntungan Kerugian

Kualitatif 1. Relatif lebih mudah dan cepat

2. Menyediakan lebih banyak parameter informasi dari sekedar aspek keuangan seperti prospek ancaman seperti kecepatan risiko 3. Mudah dipahami oleh

banyak kalangan

1. Dibatasi oleh skala penilaian tertentu

2. Tidak dapat membedakan tingkat risiko yang berada pada level yang sama

3. Tidak adanya ukuran dalam bentuk numerik 4. Terbatas kemampuannya

untuk analisis cost-benefit Kuantitatif 1. Mengijinkan pemakaian

perhitungan matematis untuk menilai risiko

2. Menyediakan sarana untuk analisis cost-benefit

1. Proses dapat menjadi lebih rumit dan memakan waktu yang lama

2. Terlebih dahulu harus menetapkan standard

3. Menyediakan cara yang lebih baik untuk laporan keuangan

untuk perhitungan risiko 3. Meningkatkan risiko

ketidakpastian untuk risiko abu-abu

4. Tidak diperbolehkan adanya asumsi

Berdasarkan perbandingan di atas maka teknik yang tepat untuk menganalisis risiko pada kasus ini adalah teknik kualitatif.

BAB IV

ANALISA DAN PEMBAHASAN

4.1. Implementasi Model COSO ERM Framework

Berdasarkan kubus COSO ERM Framework terdapat 8 komponen yang akan dilakukan dapat dilihat pada tabel 4.1 berikut ini:

Tabel 4.1 Implementasi Komponen COSO ERM Framework Komponen / Layer Proses

Internal Environment 1. Pemetaan Perusahaan

2. Pemetaan Teknologi Informasi Perusahaan a. Perangkat keras

b. Perangkat lunak c. Jalur komunikasi data 3. Pemetaan User

4. Sistem dan Prosedur Pendukung 5. Rekanan TI

Objective Setting Analisa kebutuhan TI

Forecast dan Perencanaan TI Event Identification Kondisi infrastruktur TI perusahaan

Kendala dan Masalah

Risk Assessment Kemungkinan dan Dampak Implementasi Cloud Computing

Pemetaan Kemungkinan vs Dampak Proses Penilaian

Risk Response Merespon risiko yang sudah dinilai Control Activities Aktifitas pengendalian dari respon risiko Information & Communication Sosialisasi dan Training

Change management

4.2. Lingkungan Internal (Internal Environment)

PTRH merupakan perusahaan yang bergerak pada bidang manufaktur dan distribusi cat. Proses manufaktur cat memproduksi beragam jenis cat yang terbagi atas water base dan oil base. Produk yang dihasilkan mencakup cat tembok, cat kayu, cat batu dan juga memproduksi bahan setengah jadi. Distribusi (pemasaran) cat meliputi seluruh wilayah Indonesia, saat ini PTRH memiliki 41 kantor cabang tersebar di seluruh Indonesia.

Infrastruktur teknologi informasi yang dimiliki PTRH dibedakan berdasarkan fungsinya terdiri dari bagian manufaktur dan distiribusi. Pada bahasan penelitian ini maka infrastruktur yang diperhitungkan hanya yang memiliki fungsi pada proses manufaktur dan aplikasi pendukungnya, dapat dilihat pada tabel 4.2:

Tabel 4.2 Sistem Informasi Manufaktur PTRH

Aplikasi Server Client

Fungsi Jumlah Fungsi Jumlah

Aplikasi Manufaktur Database : SQL Server

Email : Zimbra Aplikasi Perkantoran

Server Manufaktur

2 Komputer Desktop

126

Server Database 1 Printer 25 NAS Server 1 Laptop/netbook 31 Server email

(digabung dengan distribusi)

PTRH mengadopsi sistem ERP untuk mengelola proses manufakturnya. Sistem ERP merupakan sistem informasi berorientasi akuntansi (accounting-oriented information system) untuk mengidentifikasi dan merencanakan sumber-sumber daya lingkup perusahaan yang dibutuhkan guna memenuhi pesanan-pesanan pelanggan (customer orders). Sistem ERP merupakan sistem manajemen manufaktur berorientasi pelanggan (customer oriented manufacturing management system) (APICS, 1998; Dykstra and Cornelison, 1998). ERP merupakan suatu proses perencanaan bisnis terintegrasi beserta eksekusinya guna mencapai fungsi-fungsi dari proses bisnis itu. ERP mengelola operasi dan fungsi-fungsi-fungsi-fungsi pendukung dari industri manufaktur dengan harus memperhatikan sumber-sumber daya kritis dari perusahaan.

ERP berkembang dari Manufacturing Resource Planning (MRP II) dimana MRP II sendiri adalah hasil evolusi dari Material Requirement Planning (MRP) yang berkembang sebelumnya. Fungsi-fungsi perusahaan yang harus dilibatkan dalam suatu proses ERP adalah: perencanaan bisnis (visi, misi, dan perencanaan strategik), peramalan, proses MRP II (master planning, perencanaan produksi, pembelian, manajemen persediaan, pengendalian aktivitas, dan pengukuran kinerja manufakturing), finansial (payroll, penetapan biaya produksi, hutang, piutang, harta tetap, general ledger), sumber daya manusia, sistem informasi, rekayasa, pabrik dan peralatan, dan lain-lain.

Keistimewaan ERP dibandingkan teknologi sistem informasi lainnya terletak pada sifatnya yang terintegrasi, sehingga ERP mampu mengatasi banyak permasalahan yang dihadapi oleh perusahaan. Misalnya, manajemen material, masalah pengendalian mutu, produktivitas karyawan, pelayanan pelanggan, manajemen kas, masalah inventory, dan lain-lain. Sistem ERP memberikan kepada organisasi penggunanya suatu model pengolahan transaksi yang terintegrasi dengan aktivitas di unit lain dalam organisasi, contohnya integrasi antara produksi dengan sumber daya manusia. Dengan mengimplementasikan proses bisnis standar perusahaan dan database tunggal (single database) yang mencakup keseluruhan aktivitas dan lokasi di dalam perusahaan, ERP mampu menyediakan integrasi di antara aktivitas dan lokasi tersebut. Database yang ada dapat mengijinkan setiap departemen dalam perusahaan untuk menyimpan dan mengambil informasi secara real-time. Informasi tersebut harus dapat dipercaya, dapat diakses dan mudah disebarluaskan

Untuk menghadapi persaingan global, perusahaan manufaktur tidak cukup hanya meningkatkan produktivitas proses kerja yang ada di dalam perusahaan saja, tetapi harus meningkatkan efisiensi dan efektifitas seluruh supply chain-nya, mulai dari pemasok melalui berbagai pemrosesan sampai dengan konsumen akhir

Fungsi ERP pada perusahaan adalah :

1. Mengkoordinasikan bisnis perusahaan secara terintegrasi 2. Aplikasi ERP bertujuan untuk :

a. Otomasisasi dan integrasi banyak proses bisnis

b. Membagi database yang umum dan praktek bisnis melalui enterprise c. Menghasilkan informasi yang real-time

d. Memungkinkan perpaduan proses transaksi dan kegiatan perencanaan

Berikut ini merupakan alur proses manufaktur pada PTRH seperti pada Gambar 4.1 berikut ini:

Jumlah user yang mengakses aplikasi manufaktur secara langsung saat ini adalah 115 user yang terdiri atas data entry, data support maupun data analyst. Berbagai kendala dan masalah yang terjadi pada infrastruktur TI dan sistem informasi perusahaan yaitu :

1. Kenaikan jumlah karyawan yang berakibat pada bertambahnya investasi TI untuk karyawan baru tersebut

2. Kenaikan jumlah pengguna sistem informasi manufaktur 3. Kenaikan kuantitas data perusahaan

4. Kenaikan beban aplikasi pada server dan jaringan data

5. Kebutuhan adanya report baru unruk pengembangan perusahaan 6. Berkurangnya performansi server

7. Belum tersedianya backup yang memadai untuk infrastruktur TI 8. Ancaman pada keamanan data perusahaan

9. Masalah pada infrastuktur pendukung : listrik, AC, bangunan, dan seterusnya Kendala dan masalah pada infrastruktur TI tersebut berimbas pada proses manufaktur secara signifikan. Beberapa akibat yang timbul sehubungan hal tersebut diantaranya :

1. Terhambatnya jadwal dan proses produksi 2. Berkurangnya persediaan produksi

3. Tertundanya pasokan barang ke kustomer 4. Kesalahan perhitungan pada proses produksi 5. Terjadinya kebocoran data

6. Turunnya nama baik perusahaan di mata kustomer dan rekanan

Kebutuhan sumber daya infromasi user pada PTRH didukung pula menggunakan aplikasi email. Aplikasi email ini digunakan untuk saling bertukar berita dan data, baik secara internal (antar departemen/divisi) maupun dengan pihak luar (pemasok, kustomer, rekanan kerja). Infrastruktur email PTRH sekarang ini dapar digambarkan sebagai berikut :

1. Server fisik email ditempatkan pada provider data komunikasi sehingga proses pemeliharaan server secara fisik dan teknis dilakukan oleh provider tersebut. Pemeliharaan tersebut meliputi ketersediaan server, performansi server, penanganan virus/spam dan backup data.

2. Pengelolaan aplikasi email secara administratif dilakukan oleh divisi MIS PTRH yang meliputi pembuatan sistem dan prosedur penggunaan email, pembuatan account, manajemen user dan pengelolaan data email.

3. Saat ini terdapat sekitar 300 account email yang digunakan secara aktif. Rata-rata harian setiap user menerima 20 email sehingga lalu lintas email mencapai 6000 email/hari.

Berbagai masalah yang terjadi dengan terganggunya sistem email pada umumnya adalah :

2. Terhambatnya koordinasi operasional perusahaan akibat terlambatnya informasi yang sampai pada user.

3. Terhambatnya pasokan bahan baku dari pemasok

4. Terhambatnya pengiriman barang ke kustomer karena lemahnya koordinasi 5. Terganggunya aktivitas operasional lainnya: keterlambatan produksi,

terbuangnya waktu kerja, dan sebagainya.

Sebagai media penyimpanan data, pihak perusahaan mengaplikasikan infrastruktur NAS (Network Attach Storage) yang pemakaiannya dapat diakses oleh user menggunakan account yang dimiliki. Seperti halnya fungsi server sharing data yang lainnya maka perencanaan dan pengaturan hak akses data perlu didefinisikan dengan jelas sebelumnya. Masalah yang sering terjadi diantaranya adalah duplikasi data, kebocoran data, kapasitas data yang semakin bertambah serta serangan virus.

Infrastruktur jaringan PTRH secara internal dikelola oleh divisi MIS terutama departemen operasional untuk memastikan seluruh perangkat jaringan dan jalur komunikasi berfungsi dengan baik. Saat ini infrastruktur yang tersedia berupa perangkat pengkabelan UTP untuk jaringan lokal dalam ruangan, kabel fiber optic sebagai backbone antar ruangan serta penggunaan wireless untuk kebutuhan mobile. Saat ini PTRH juga memiliki jaringan privat WAN untuk menghubungkan jalur distribusi dengan cabang. Jaringan privat ini menyewa pada provider komunikasi data yang tercantum dalam kesepakatan perjanjian.

Selain divisi MIS sebagai penanggung jawab manajemen informasi dan infrastruktur perusahaan, PTRH dilengkapi juga dengan berbagai departemen yang bertugas untuk membuat, menganalisa serta merevisi sistem dan prosedur yang diperlukan oleh untuk lebih mengoptimalkan fungsi-fungsi kerja perusahaan. Departemen tersebut yaitu :

1. Sales and Marketing System Distribution (SMSD) di bawah divisi Marketing. 2. FAP System di bawah divisi FAP (Finance Accounting System).

3. Supply Chain Management System di bawah divisi Warehouse dan Logistic. 4. Organization and Human Development serta Change Management di bawah

divisi Human Capital.

Secara organisasi perusahaan menyadari bahwa keberlangsungan perusahaan tidak lepas dari pihak eksternal. Untuk bisa mendukung roda perusahaan bekerja

secara maksimal maka perusahaan mengkategorikan pihak luar menurut fungsinya sebagai berikut :

1. Pemasok (supplier) yaitu pihak luar yang berfungsi sebagai penyedia barang untuk keperluan perusahaan.

2. Pelanggan (customer) yaitu pihak luar yang mengorder langsung produk yang dihasilkan perusahaan. Adapun semua pihak yang menggunakan dan akan menggunakan produk perusahaan dikategorikan sebagai market.

3. Penyedia jasa (provider) yaitu pihak luar yang menyediakan jasa untuk digunakan oleh perusahaan secara reguler. Contoh : penyedia jasa telekomunikasi, forwader transportasi dan PLN

4. Outsourcing yaitu pihak luar yang menyediakan barang/jasa yang digunakan perusahaan dalam rangka pekerjaan proyek. Contoh : event organizer

5. Industrial Relationship yaitu pihak luar yang berkaitan dengan hubungan industrial seperti bank, pemerintah, serikat buruh dan sebagainya

4.3. Penetapan Tujuan (Objective Setting)

Mengantisipasi kenaikan kuantitas produksi untuk beberapa tahun ke depan serta mengurangi berbagai kendala dan masalah yang terjadi pada sistem informasi perusahaan maka perusahaan menjajaki kemungkinan migrasi cloud computing dengan pertimbangan sebagai berikut :

1. Perusahaan telah memiliki infrastruktur TI baik perangkat lunak maupun perangkat keras yang memadai terutama di sisi client.

2. Aplikasi utama yang dipakai saat ini merupakan pengembangan team TI internal.

3. Telah memiliki provider jasa komunikasi data yang tetap.

4. Perusahaan telah memiliki team manajemen informasi serta departemen pendukung yang cukup lengkap.

5. Berkembangnya infrastruktur komunikasi data yang pesat di Indonesia. 6. Tumbuhnya beragam cloud provider di Indonesia.

7. Semakin tingginya adopsi perangkat teknologi informasi pada masyarakat. 8. Kebutuhan untuk memudahkan pelayanan pada pelanggan serta monitoring

tidak tergantung kepada waktu dan lokasi.

9. Meminimalisir kebutuhan perangkat terutama di sisi server.

10.Meminimalisir tersebarnya data di berbagai media sehingga sulit dikontrol. 11.Meningkatkan keamanan data dan ketersediaan data (backup).

12.Meminimalkan gangguan virus.

13.Mengalihkan sebagian tanggung jawab pengelolaan TI kepada pihak lain sehingga diharapkan tim MIS lebih fokus pada pengembangan dan analisa.

COSO Framework memberikan beberapa arahan yang terkait dengan implementasi cloud computing ini antara lain :

1. Menetapkan proses bisnis (aplikasi), model serta layanan apa yang seharusnya dimigrasi ke cloud sebagaimana terlihat pada gambar 4.3 di bawah :

Gambar 4.3 Kriteria Pemilihan Cloud Computing

Gambar diatas Menjelaskan bagaimana spesifik kandidat cloud solution berasal dengan memilih di antara berbagai pilihan sehubungan dengan proses bisnis, model deployment, dan model layanan.

Proses ini dilakukan oleh pihak perusahaan secara internal dengan memperhitungkan berbagai masukan dari departemen/divisi yang terkait. Proses pemilihan ini kadang kala memakan waktu yang lama terlebih banyak terjadi ketidaksepakatan di antara internal divisi/departemen dalam perusahaan sehingga akhirnya dilakukan menggunakan pendekatan teoritis yang dilakukan divisi MIS.

Adapun pembagian tugas dan wewenang antara perusahaan dan cloud provider seperti pada Gambar 4.4 dibawah ini:

Gambar 4.4 Tingkat Kontrol Pada Beberapa Layanan Cloud Computing

Bagian paling kiri gambar (on-premises) menjelaskan bahwa perusahaan mempunyai kontrol penuh pada seluruh sumber daya teknologi informasinya sedangkan bagian paling kanan (SaaS) semua komponen tersebut secara teknis berada dalam tanggung jawab cloud provider, sisanya ada pembagian tugas dan wewenang antara perusahaan dengan cloud provider (PaaS dan IaaS).

Proses penentuan kriteria yang tepat untuk cloud provider yang akan digunakan merupakan hal yang kritis karena cloud provider nantinya akan berbagi tanggung jawab dengan pihak perusahaan. Kriteria pemilihan cloud provider harus melibatkan banyak aspek seperti keuangan, teknologi, administrasi, legalitas, sumber

daya manusia sampai pada daya saing cloud provider tersebut di masa depan. Untuk bisa menentukan cloud provider yang tepat, sebelumnya harus dipahami bagaimana pembagian tugas dan tanggung jawab dari berbagai layanan cloud itu sendiri sehingga pada saat kontrak masalah ini dapat lebih jelas.

Beberapa kriteria cloud provider yang dapat diterima oleh PTRH: a. Menyediakan layanan yang dibutuhkan oleh pihak perusahaan. b. Memiliki inftrastruktur TI yang memadai.

c. Memiliki komitmen dukungan teknis dan administrasi (SLA/Sevice Level Agreement) yang dapat diterima perusahaan.

d. Menawarkan biaya yang kompetitif.

e. Memiliki prasarana yang baik. Contoh : lokasi, gedung, dan sebagainya.

f. Memiliki legalitas dan reputasi yang baik.

g. Memiliki komitmen jangka panjang terhadap keberadaan perusahaan tersebut.

2. Menentukan Risk Appetite Perusahaan

Risk Appetite dalam pengertian luas yaitu kemampuan unit / perusahaan dalam menerima nilai risiko atau berapa banyak sebuah perusahaan mau mengambil risiko.

Dari konteks ERM, risk appetite sering didefinisikan sebagai dua suku kata yang bertujuan untuk mendeskripsikan ketika dewan direksi di perusahaan

menganggap diri-nya berada pada suatu spektrum: kesediaan untuk mengambil atau menerima risiko dan ketidaksediaan atau keengganan untuk mengambil risiko. Lebih dalam, risk appetite sering didefinisikan sebagai jumlah risiko yang mau diambil perusahaan untuk mencapai visi atau misinya.

PTRH menetapkan Risk Appetite perusahaannya terkait penerapan cloud computing yaitu :

1. PT Rajawali Hiyoto dapat menerima risiko selama tidak menghentikan proses produksi secara online,

2. Selama budget keuangan yang diperlukan bisa diterima, dan

3. Selama tersedia sumber daya TI yang memadai seperti SDM, jaringan dan lain-lain.

Setelah melakukan beberapa kajian di atas maka diambil keputusan sebagai berikut sesuai tabel 4.3 :

Tabel 4.3 Tabel Tahapan Implementasi cloud di PTRH

Tahap I Tahap II Tahap III

Pemilihan Aset Evaluasi Risiko Pengelolaan Risiko Aplikasi e-mail

Aplikasi manufaktur

Evaluasi aset Konsultasi legal Konsultasi teknis

Model layanan : PaaS

Model deployment : Public Cloud Pemilihan Cloud provider

Dari hasil analisis kebutuhan sistem di PTRH, model layanan PaaS berpotensi menawarkan dampak terbesar atas setiap model lain dari komputasi awan karena

membawa pengembangan perangkat lunak custom ke awan. Pertimbangan memilih PaaS sebagai layanan cloud untuk implementasi cloud computing di PTRH sesuai kajian sebelumnya karena PTRH sudah memiliki aplikasi yang sudah lama digunakan, dan memungkinkan perusahaan akan membutuhkan storage (penyimpanan data) yang besar dan selalu meningkat seiring berkembangnya perusahaan (PTRH) tersebut yang dalam hal ini dipilih public cloud sebagai model deployment-nya. Dalam istilah sederhana, PaaS menyediakan pengembang (konsumen) dengan cara yang lebih mudah untuk membuat dan menyebarkan perangkat lunak pada infrastruktur awan. PaaS menyediakan antarmuka pengguna grafis (GUI), bahasa pemrograman, layanan bersama, antarmuka pemrograman aplikasi (API) dan alat-alat online lainnya untuk pengembangan aplikasi. Menggunakan PaaS dapat menghemat biaya pengembangan perangkat lunak perusahaan terutama dalam hal pembelian platform serta lisensi aplikasi.

Cloud provider yang menyediakan cloud perlu memberikan komitmen jangka panjang pada para pelanggannya karena adanya ketergantungan pada platform serta infrastruktur TI cloud provider untuk setiap pelanggan yang bersifat spesifik. Pelanggan mungkin akan sering memodifikasi aplikasi yang dibuatnya dan hal tersebut membutuhkan platform yang mapan. Jangka waktu yang ideal adalah minimum 10 tahun.

Beberapa keuntungan menggunakan model layanan PaaS adalah :

1. Biaya yang lebih rendah karena pelanggan tidak perlu mengeluarkan biaya awal yang besar untuk investasinya.

2. Jangka waktu implementasi aplikasi yang lebih cepat.

3. Risiko yang lebih rendah, karena PaaS biasanya menggunakan plaform aplikasi yang sudah teruji bertahun-tahun serta didukung banyak komunitas pengembang aplikasi.

4. PaaS menyediakan kemampuan yang unik bagi pengembang untuk membuat dan menyebarkan aplikasi pada cloud serta menyediakan cara untuk menunjukkan hasil yang lebih cepat kepada pengguna akhir. Tingkat kemanan yang lebih tinggi dan interoperabilitas karena adanya standar platform aplikasi, jaminan informasi, respon keamanan, manajemen sistem, keandalan dan dukungan vendor besar.

4.4. Identifikasi Kejadian (Event Identification)

Proses pengelolaan risiko dapat digambarkan seperti bagan berikut ini Gambar 4.5:

Gambar 4.5 Proses Pengelolaan Risiko

Proses di atas terdiri atas 3 bagian utama, yaitu establishing context, risk assessment dan risk treatment, ketiga bagian utama tersebut masing-masing di-monitor dan di-review, serta dikomunikasikan dan dikonsultasikan dengan seluruh stakeholder yang terlibat. Proses penentuan konteks (establishing context) ini mempertimbangkan faktor eksternal dan faktor internal yang akan mempengaruhi jalannya operasional perusahaan.

Proses risk assessment sendiri terbagi atas 3 subproses yaitu risk identification, risk analysis dan risk evaluation. Identifikasi risiko (risk identification) merupakan subproses awal dari proses risk assessment yang bertujuan mengidentifikasi serta membuat daftar risiko yang mungkin terjadi. Selain itu, pada subproses ini juga dilakukan pengidentifikasian mengenai probabilitas terjadinya

risiko, penyebab dan juga dampak yang mungkin ditimbulkan risiko tersebut. Selanjutnya, setelah semua risiko diidentifikasi, dilakukan proses penilaian terhadap masing-masing risiko untuk mengetahui kategori dari masing-masing risiko.

Proses identifikasi kejadian ini dilakukan dengan pendekatan diskusi dan wawancara serta mengkaji dari beberapa penelitian-penelitian terdahulu terkait risiko-risiko yang mungkin terjadi dalam penerapan cloud computing dengan menitikberatkan pada model PaaS yang menghasilkan daftar lengkap risiko yang dituangkan dalam tabel 4.4 dan tabel 4.5 dibawah ini:

Tabel 4.4. Tabel Risiko Cloud Computing PaaS Terkait Cloud Provider Aspek Legalitas Memiliki badan hukum yang resmi

Memiliki ijin usaha sebagai cloud provider di Indonesia

Mempunyai afiliasi dengan perusahaan telekomunikasi yang mapan

Mempunyai afiliasi dengan perusahaan TI yang terpercaya berkaitan lisensi platform cloud computing yang dijalankan

1 2 3 4

Aspek Keuangan Mempunyai infrastruktur yang memadai untuk menyelenggarakan usaha cloud computing (tempat dan sarana usaha)

Memiliki keuangan yang sehat untuk menjalankan usaha cloud computing Memiliki jaminan keberlangsungan usaha dalam jangka waktu yang lama (minimal 10 tahun)

Memberikan tawaran harga yang kompetitif untuk produk dan layanan cloud yang diberikan Memberikan kemudahan dalam transaksi keuangan untuk layanan cloud yang diberikan

5

6 7

8 9 Aspek Teknologi Menguasai teknologi cloud computing untuk

PaaS

Memiliki sumber daya TI (server, storage, jaringan,dsb) yang memadai untuk cloud

10 11

computing PaaS bagi para pelanggan

Didukung oleh perusahaan prinsipal IT yang terpercaya (IBM, HP, Oracle, Vmware, dsb) Menyediakan platform cloud yang dibutuhkan oleh PTRH

Memiliki komitmen yang tinggi dan menjamin ketersediaan layanan cloud yang diberikan Memiliki komitmen yang tinggi dan

kemampuan teknis memadai untuk menangani keamanan data

Memiliki kemampuan untuk menjaga performansi sistem cloud yang dijalankan

12 13 14 15

16 Aspek Operasional Memiliki SOP untuk menjalankan cloud

computing PaaS

Memiliki SLA yang kompetitif untuk melayani pelanggan cloud

Sumber daya cloud mudah diakses dan digunakan

Memiliki sistem backup dan recovery Memiliki sistem pelaporan dan dokumentasi yang baik bagi pelanggan

Sistem penanganan komplain yang profesional 17 18 19 20 21 22

PTRH perlu untuk memasukkan berbagai aspek terhadap cloud provider di atas karena menyadari bahwa menerapkan cloud computing sendiri adalah mengalihkan sebagian tanggung jawab pengelolaan TI perusahaan kepada pihak luar (cloud provider). Tulang punggung infrastruktur TI terbesar di Indonesia sampai saat ini mayoritas sahamnya masih dipegang oleh perusahaan milik pemerintah maupun modal asing yang tentunya sensitif terhadap kondisi perkembangan dunia.

Teknologi Informasi sendiri secara umum sampai saat ini masih terus berkembang sehingga perlu adanya antisipasi sehingga membawa dampak yang menguntungkan perusahaan. Di sisi yang lain masyarakat saat ini menginginkan hal

lebih cepat, mudah dan murah ditandai dengan maraknya pemakaian perangkat pintar yang mereka gunakan. Untuk itu perusahaan memikirkan kemungkinan bagaimana seharusnya konsumen, pemasok serta rekanan dapat lebih mudah berhubungan dengan perusahaan dengan tingkat keamanan yang terjaga.

Tabel 4.5. Tabel Risiko Cloud Computing PaaS Terhadap PTRH Aspek Manajemen

Perusahaan

Penambahan/modifikasi SOP Perubahan Struktur Organisasi Penerapan Change Management

23 24 25 Aspek Keuangan CAPEX (Capital Expenditure) :

Biaya yang dibutuhkan untuk migrasi ke cloud OPEX (Operational Expenditure) :

Biaya yang dikeluarkan secara rutin untuk sumber daya cloud yang dipakai

26

27 Aspek Sumber Daya

Manusia

Penyiapan SDM yang dibutuhkan untuk

implementasi dan operasional cloud computing PaaS pada perusahaan

28

Aspek Teknologi Ketersediaan sumber daya TI perusahaan Kemudahan akses aplikasi cloud menggunakan beragam media (PC, tablet, hp)

Keamanan data user

29 30 31 Aspek Operasional Proses operasional manufaktur

Proses komunikasi dengan pemasok (suplier) Proses komunikasi dengan pelanggan

(kustomer)

Proses dokumentasi dan pelaporan internal Proses audit perusahaan

32 33 34 35 36

Tabel Risiko Cloud Computing PaaS Pada PTRH melihat seberapa besar risiko yang harus dihadapi oleh perusahaan terkait dengan pemakaian cloud. Risiko dinilai dengan melihat kemungkinan dan dampak terhadap proses yang terjadi pada manufaktur PTRH.

78

a. Service legal agreement (SLA): seperti apa SLA yang ditawarkan, apakah sudah sesuai dengan perusahaan harapkan atau tidak. Dari sini perusahaan akan mendapatkan gambaran yang jelas, bagaimana kedepannya hubungan perusahaan dengan provider. Tentunya, provider yang baik adalah yang mampu berkomitmen dengan serius, ini bisa dilihat dari apakah cloud provider tersebut memberlakukan sistem restitusi manakala ada layanan yang tidak dapat terpenuhi sesuai SLA yang telah disepakati. Dengan begitu perusahaan akan merasa nyaman dengan jaminan layanan yang diberikan oleh cloud provider tersebut.

b. Business partner and support: Apabila implementasi cloud sudah dilakukan dan berjalan, bukan berarti perusahaan akan terhindar dari masalah. Terkadang ada beberapa hal yang kerap terjadi apakah itu menyangkut aspek teknis maupun non-teknis. Sinergi antara provider dan tim internal perusahaan sangatlah penting, oleh karena itu perusahaan harus memastikan bahwa cloud provider ini memiliki kemampuan teknis dan kordinasi yang baik dalam memberikan support. Cloud provider yang baik adalah provider yang memiliki keahlian (expertise) dan biasanya didukung oleh business partner yang memang sudah terbukti di bidangnya, sehingga mereka akan lebih piawai / ahli dalam memberikan layanan.

79

c. Experience: Ini adalah faktor yang tak kalah penting. Perusahaan harus ingat, bahwa cloud computing akan menggunakan resource IT yang sangat besar dan membutuhkan support yang reliable dan pengelolaan yg professional. Disinilah perusahaan harus hati-hati dalam memilih provider. Pastikan cloud provider yang perusahaan pilih adalah provider yang memiliki reputasi yang baik, berpengalaman dan memang sudah berkedudukan kuat (well-established).

d. Biling: provider menyediakan mekanisme on-demand, artinya perusahaan hanya perlu membayar sesuai skala kapasitas dan pemakaian perusahaan, dan perhitungannya akan berjalan secara otomatis. Untuk itulah perusahaan perlu memastikan, apakah cloud provider yang akan perusahaan pilih mampu memberikan akses untuk melakukan kontrol terhadap besaran pemakaian perusahaan.

e. Keamanan (security): Tentunya perusahaan tidak menginginkan data perusahaan diakses oleh pihak yang tidak berhak. Untuk itulah, perusahaan harus memastikan cloud provider tersebut memiliki sebuah mekanisme dalam menjaga data perusahaan yang berada dalam infrastruktur cloud. Pastikan platform cloud yang digunakan sudah dilengkapi oleh sistem Secure Multy Tenance (SMT) untuk melindungi privasi data perusahaan selama berada dalam cloud infrastructure. Provider yang baik adalah yang telah mengacu pada standard ISO security, patuh (comply) terhadap control self assesment

80

(CSA), dan diaudit secara rutin. Cloud provider juga harus mampu menyediakan layanan cloud dengan model private cloud. Ini berguna bilamana perusahaan termasuk large enterprise yang sangat sensitif terhadap data security, sehingga membuat perusahaan harus memiliki private cloud yang hanya bisa diakses secara internal dan tidak bisa diakses secara public.

f. Harga (Price): Ini bisa jadi pertimbangan paling akhir, karena secara umum cloud computing sudah membawa dampak efisiensi. Namun perusahaan tetap harus melakukan komparasi harga, dan mendapatkan the best price. Namun harga bisa jadi akan sangat relatif, jadi sebaiknya perusahaan tidak terlalu tergiur pada harga yang sangat murah. Yang terpenting adalah, pastikan perusahaan mendapatkan harga yang rasional dan sesuai dengan budget perusahaan.

4. Perlu dibentuk tim khusus yang anggotanya terdiri dari berbagai departemen untuk proyek implementasi cloud computing ini. Tugas dari tim khusus ini antara lain dari perencanaan, implementasi hingga melakukan change management kepada user.

5. Perlu dilakukan monitoring dan evaluasi secara berkala (periodik) terhadap kinerja cloud provider maupun operasional sistem cloud apabila telah di implementasikan.

BAB V

KESIMPULAN DAN SARAN

5.1 Kesimpulan

Kesimpulan yang dapat diambil berdasarkan pembahasan dari penelitian ini, sebagai berikut:

1. Hasil penerapan model COSO ERM framework untuk cloud computing, model layanan cloud yang tepat diterapkan untuk PTRH adalah model platform as a service (PaaS) dengan pertimbangan utama karena PTRH sudah memiliki sistem informasi manufaktur yang telah lama digunakan dan memungkinkan perusahaan akan membutuhkan penyimpanan data (storage) yang besar dan selalu meningkat seiring berkembangnya perusahaan tersebut maka dalam hal ini public cloud dipilih sebagai model deployment-nya.

2. Penerapan COSO ERM sebagai framework manajemen risiko juga menilai 36 risiko yang telah dipilih berdasarkan pertimbangan hasil wawancara dengan pihak perusahaan (PTRH) dan mengkaji penelitian-penelitian terdahulu terkait cloud computing dan model layanan PaaS. Risiko-risiko tersebut terdiri dari risiko terkait cloud provider (CP) dan risiko terhadap perusahaan/internal (I) yang dikategorikan ke dalam aspek legalitas, aspek keuangan, aspek teknologi, aspek operasional, dan aspek sumber daya manusia.

3. Dari hasil penilaian risiko, risiko yang berada di level I (Extreme) adalah risiko Cloud Provider apabila tidak menyediakan platform cloud yang dibutuhkan oleh perusahaan (PTRH). Hal ini menunjukkan bahwa aspek teknologi yang dimiliki cloud provider menjadi hal yang paling penting terkait dengan implementasi cloud computing PTRH.

5.2 Saran

Berdasarkan model manajemen risiko COSO ERM pada penerapan cloud computing yang telah dilakukan, maka beberapa saran yang dapat disampaikan, yaitu: 1. Model manajemen risiko COSO ERM pada penerapan cloud computing dapat digunakan di berbagai organisasi selain perusahaan manufaktur yang mempunyai keinginan untuk menerapkan cloud computing sebagai teknologi pendukung sistem informasi.

Data Pribadi _{/ Personal Details}

Nama / Name : Sita Dewi Prahastini

Nama dengan gelar / Name with degree : Sita Dewi Prahastini, S.Kom., M.T., M.Kom

Alamat / Address : Jl. Jati Permai F.10 No.15

Komp. Pasir jati – Ujung berung Bandung

Kode Pos / Postal Code : 40616

Email : sita_soka@yahoo.com

Jenis Kelamin / Gender : Perempuan / female

Tanggal Kelahiran / Date of Birth : 25 April 1988

Warga Negara / Nationality : Indonesia / Indonesian