ABSTRAK

PT. Bank Perkreditan Rakyat XXX merupakan sebuah bank yang telah berusia lebih dari 20 tahun dan terus berkembang dalam memberikan pelayanan jasa-jasa keuangan yang kompetitif kepada masyarakat. Dalam memberikan pelayanan jasa keuangan. Pada saat ini PT. BPR membutuhkan suatu kerangka kerja Risk IT untuk mengetahui bagaimana cara mengelola risiko pada infrastruktur dan sistem informasi, mengidentifikasi kebijakan – kebijakan yang diambil untuk merespon risiko, serta bagaimana memonitoring risiko yang ada pada PT. BPR. Penelitian ini dibuat dengan menggunakan teori framework Risk IT. Terdapat 3 domain dalam teori kerangka kerja Risk IT ini yaitu : Risk Governance, Risk Evaluation, Risk Response. Dengan demikian penelitian ini diharapkan dapat membantu PT. BPR untuk mengetahui bagaimana cara mengelola risiko pada infrastruktur dan sistem informasi, mengidentifikasi kebijakan – kebijakan yang diambil untuk merespon risiko, serta bagaimana memonitoring risiko yang ada pada PT. BPR

Kata Kunci: PT. BPR, Framework Risk IT, Risk Governance, Risk Evaluation, Risk Response.

ABSTRACT

(PT. Bank Perkreditan Rakyat XXX is a bank that has been established for over 20 years and continues to grow in providing services provision competitive finance to the public. In providing services finance. At this time PT. BPR requires a framework of the IT Risk for knowing how to manage risk in the infrastructure and information systems, identify policies that taken to respond the risk, as well as how to monitor the risks that exist in PT. BPR. This research made by using the theory of IT Risk framework. There are 3 domains in IT Risk framework theory: Risk Governance, Risk Evaluation, Risk Response. Thus this research is expected to help the PT. BPR to find out how to manage risks on the infrastructure and information systems, identify policies that taken to respond risk, and how to monitoring the risks that exist in PT. BPR.

Keywords: PT. BPR, IT Risk Framework, Risk Governance, Risk Evaluation, Risk Response.

DAFTAR ISI

LEMBAR PENGESAHAN ... i

PERNYATAAN ORISINALITAS LAPORAN PENELITIAN ... ii

PERNYATAAN PUBLIKASI LAPORAN PENELITIAN ... iii

PRAKATA ... iv

ABSTRAK ... vi

ABSTRACT ... vii

DAFTAR ISI ... viii

DAFTAR GAMBAR ... xi

DAFTAR TABEL ... xii

DAFTAR LAMPIRAN ... xiii

DAFTAR SINGKATAN ... xiv

BAB 1. PENDAHULUAN ... 1

1.1 Latar Belakang Masalah ... 1

1.2 Rumusan Masalah ... 2

1.3 Tujuan Pembahasan ... 2

1.4 Ruang Lingkup Kajian ... 2

1.5 Sumber Data ... 3

1.6 Sistematika Penyajian ... 3

BAB 2. KAJIAN TEORI ... 4

2.1 Pengertian Umum ... 4

2.1.1 Pengertian Sistem ... 4

2.1.2 Pengertian Informasi ... 4

2.1.3 Pengertian Sistem Informasi ... 5

2.1.4 Pengertian Flowchart ... 5

2.1.5 Resiko Teknologi Informasi ... 6

2.2.3 Manfaat dan Hasil ... 12

2.2.4 Prinsip – Prinsip dari Risk IT ... 13

2.2.5 Respon Risiko dan Prioritas ... 14

2.2.6 Skenario Risiko ... 19

2.3 Domain dalam Framework Risk IT ... 24

2.3.1 Risk Governance [7] ... 25

2.3.2 Risk Evaluation [7] ... 31

2.3.3 Risk Response [7] ... 36

2.4 Maturity Models (Model Kematangan) [7] ... 42

2.4.1 Model Kematangan Domain Risk Governance. [7, p. 60] ... 42

2.4.2 Model Kematangan Domain Risk Evaluation [7, p. 77] ... 46

2.4.3 Model Kematangan Domain Risk Response [7, p. 93] ... 48

2.5 Panduan Pelaksanaan Kerangka kerja Risk IT. ... 52

BAB 3. ANALISIS DAN EVALUASI ... 54

3.1 Profil Organisasi [9] ... 54

3.1.1 Visi dan Misi Perusahaan ... 54

3.1.2 Struktur Organisasi PT. BPR XXX [9] ... 55

3.2 Langkah-Langkah Analisis Kerangka Kerja Risk IT ... 56

3.2.1 Risk Governance ... 56

3.2.2 Risk Evaluation ... 58

3.2.3 Risk Response ... 60

3.3 Analisis Kerangka Kerja Risk IT Domain Risk Governance ... 63

3.3.1 RG1 Establish and Maintain a Common Risk View. ... 63

3.3.2 RG2 Integrate With ERM ... 69

3.3.3 RG3 Make Risk – Aware Business Decisions ... 73

3.3.4 Maturity Models Domain Risk Governance ... 79

3.4 Analisis Kerangka Kerja Risk IT Domain Risk Evaluation ... 84

3.4.1 RE1 Collect Data ... 84

3.4.2 RE2 Analyse Risk ... 90

3.4.3 RE3 Maintain Risk Profile ... 99

3.4.4 Maturity Models Domain Risk Evaluation ... 107

3.5.1 RR1 Articulate Risk ... 111

3.5.2 RR2 Manage Risk ... 113

3.5.3 RR3 React to Events ... 117

3.5.4 Maturity Models Domain Risk Response ... 125

BAB 4. SIMPULAN DAN SARAN ... 130

4.1 Simpulan ... 130

4.2 Saran ... 131

DAFTAR GAMBAR

Gambar 2.1 Hirarki Resiko Teknologi Informasi ... 6

Gambar 2.2 Prinsip-prinsip Framework Risk IT ... 14

Gambar 2.3 Komponen Skenario Teknologi Informasi ... 19

Gambar 2.4 Tabel Kerangka Kerja Risk IT ... 24

DAFTAR TABEL

Tabel 2.1 Peran dan Manfaat Risk IT Framework... 10

Tabel 2.2 Tabel Risk Scenario ... 23

Tabel 2.3 Panduan Pelaksanaan Kerangka Kerja Risk IT ... 52

Tabel 3.1 Tabel Risk History pada PT. BPR ... 76

Tabel 3.2 Tabel Prioritas Terhadap Kebijakan Penanganan Risiko TI ... 77

Tabel 3.3 Tabel Maturity Models Proses RG1 ... 79

Tabel 3.4 Tabel Maturity Models Proses RG2 ... 81

Tabel 3.5 Tabel Maturity models Proses RG3 ... 82

Tabel 3.6 Tabel Data Lingkungan Operasi PT. BPR ... 84

Tabel 3.7 Tabel Model Pengumpulan Data Risk History ... 85

Tabel 3.8 Tabel Kegagalan IT Pada PT. BPR ... 87

Tabel 3.9 Tabel Kebijakan Risiko ... 88

Tabel 3.10 Risk Scenario Kesalahan Input Data ... 93

Tabel 3.11 Risk Scenario Peraturan yang kurang baik dan tidak merata ... 94

Tabel 3.12 Risk Scenario Keadaan suku bunga bank rendah ... 95

Tabel 3.13 Tabel Prioritas Untuk Penanganan Risiko ... 102

Tabel 3.14 Tabel Maturity Models pada proses RE1 ... 107

Tabel 3.15 Tabel Maturity Models dari Proses RE3 ... 109

Tabel 3.16 Tabel Kebijakan terhadap risiko TI pada PT. BPR... 118

Tabel 3.17 Tabel Pengkategorian risiko ... 120

Tabel 3.18 Tabel Maturity Models pada proses RR1 ... 125

Tabel 3.19 Tabel Maturity Models pada proses RR2 ... 126

DAFTAR LAMPIRAN

LAMPIRAN A. Hasil wawancara ... 137 LAMPIRAN B. Bukti Dokumen dan sertifikat ... 151 LAMPIRAN C. Foto Perangkat It dan screenshot aplikasi ... 159

DAFTAR SINGKATAN

No Singkatan Keterangan

1 IT Information Technology

2 RG Risk Governance

3 RE Risk Evaluation

4 RR Risk Response

5 IBS Integrate Banking System

6 SPI Satuan Pengawasan Internal

7 OJK Otoritas Jasa Keuangan

BAB 1.

PENDAHULUAN

1.1 Latar Belakang Masalah

Penggunaan teknologi informasi pada saat ini sudah tidak dapat dipisahkan lagi dari kehidupan sehari-hari, hal ini dikarenakan perkembangan teknologi dari tahun ke tahun semakin memperlihatkan kemajuan yang sangat pesat. Hal ini juga yang mendorong dunia perbankan untuk menggunakan teknologi dalam kegiatan sehari-hari maupun dalam kegiatan bisnisnya. Penggunaan teknologi di dunia perbankan dapat membantu dalam meningkatkan efisiensi kegiatan operasional dan mutu pelayanan bank kepada nasabahnya.

PT. Bank Perkreditan Rakyat XXX merupakan sebuah bank yang telah berusia lebih dari 20 tahun dan terus berkembang dalam memberikan pelayanan jasa-jasa keuangan yang kompetitif kepada masyarakat. Dalam memberikan pelayanan jasa keuangan, PT. BPR XXX juga memanfaatkan teknologi informasi dalam melakukan kegiatan operasionalnya yang diharapkan dapat meningkatkan kecepatan dan keakuratan transaksinya. Penggunaan teknologi informasi tersebut dapat menimbulkan beragam risiko, misalnya risiko operasional, reputasi, strategis dan lain-lainnya. Apabila risiko tidak dikelola dengan baik maka risiko itu dapat menyebabkan sesuatu dampak yang fatal bagi perusahaan.

Menyadari akan dampak yang mungkin ditimbulkan oleh risiko maka PT. BPR XXX membutuhkan suatu kerangka kerja yang dapat memanajemen risiko didalam implementasi sistem informasi dengan baik. Manajemen risiko tersebut diharapkan mampu meminimalisir terjadinya risiko dan mengelolah risiko dengan baik. Dalam hal ini PT. BPR XXX menggunakan kerangka kerja Risk IT dengan domain Risk Governance, Risk Evaluation dan Risk Response untuk dapat memanajemen risiko dengan baik.

2

1.2 Rumusan Masalah

Berdasarkan latar belakang yang telah dijelaskan seperti diatas, berikut ini adalah rumusan masalah yang didapat, yaitu:

1. Bagaimana pengelolaan risiko pada infrastruktur dan sistem informasi yang ada pada PT. BPR XXX?

2. Bagaimana mengindentifikasi kebijakan – kebijakan yang diambil PT. BPR XXX dalam merespon risiko – risiko yang terjadi?

3. Bagaimana tindakan yang diambil PT. BPR XXX dalam memonitoring risiko yang ada?

1.3 Tujuan Pembahasan

Berdasarkan rumusan masalah diatas, maka diperoleh tujuan pembahasan, yaitu:

1. Melakukan analisis Risk IT untuk mengetahui pengelolaan risiko pada infrastruktur dan sistem informasi yang ada di PT. BPR XXX. 2. Melakukan analisis Risk IT untuk mengetahui kebijakan –

kebijakan yang diambil PT. BPR XXX dalam merespon risiko yang terjadi.

3. Melakukan analisis Risk IT untuk mengetahui tindakan yang diambil PT. BPR XXX dalam memonitoring risiko yang ada.

1.4 Ruang Lingkup Kajian

Ruang lingkup kerangka kerja Risk IT yang diterapkan pada tugas akhir ini adalah sebagai berikut :

1. Analisis yang dilakukan hanya pada instansi PT. BPR XXX.

2. Analisis kerangka kerja Risk IT pada penelitian ini menggunakan domain Risk Governance, Risk Response dan Risk Evaluation.

3

1.5 Sumber Data

Adapun data-data yang digunakan untuk menyusun laporan ini adalah sebagai berikut:

1. Data Primer

Data Primer merupakan data yang didapat langsung dari Bank BPR yang diperoleh dengan melakukan wawancara dan observasi.

2. Data Sekunder

Data Sekunder merupakan data yang didapat dari bidang studi yang telah ditempuh, buku, internet dan sumber-sumber lainnya untuk mendukung pembuatan laporan ini.

1.6 Sistematika Penyajian

Sistematika penyajian yang digunakan dalam laporan ini adalah sebagai berikut:

1. BAB 1. PENDAHULUAN

Bab ini berisi tentang pendahuluan yang terdiri dari latar belakang, rumusan masalah, tujuan pembahasan, ruang lingkup kajian, dan sumber data.

2. BAB 2. KAJIAN TEORI

Bab ini menguaraikan tentang teori-teori yang digunakan oleh penulis dalam melakukan penelitian.

3. BAB 3. ANALISIS DAN EVALUASI

Bab ini membahas mengenai proses yang dilakukan untuk dalam mengimplementasikan kerangka kerja Risk IT dengan domain Risk Governance, Risk Response dan Risk Evaluation pada Bank BPR.

4. BAB 4. SIMPULAN DAN SARAN

Pada Bab ini akan dibahas mengenai kesimpulan dan saran dari hasil implementasi penelitian yang telah dilakukan

BAB 4.

SIMPULAN DAN SARAN

4.1 Simpulan

Berdasarkan hasil analisis yang dilakukan pada PT. BPR dengan menggunakan kerangka kerja risk IT, maka dapat disimpulkan bahwa :

1. PT. BPR sudah memiliki tindakan yang kongkrit dalam mengelola risiko yang ada, tindakan tersebut dilakukan dengan mencatat setiap risiko – risiko yang terjadi baik dari segi infrastruktur yang ada maupun dari segi sistem informasi yang digunakan. PT. BPR sendiri juga telah memiliki sistem informasi yang dapat membantu melayani kegiatan bisnis yang ada pada PT. BPR, selain itu sistem informasi tersebut juga memiliki sistem Log File yang dapat mencatat setiap kesalahan - kesalahan yang terjadi ketika menggunakan sistem informasi tersebut. Setiap risiko – risiko yang terjadi akan dicatat pada risk register dan akan dianlisis guna memperoleh mencari solusi dari risiko tersebut. Risk register tersebut tertuang pada Laporan Perencanaan Rencana Kerja dan Anggaran.

2. PT. BPR telah memiliki prosedur terhadap kebijakan – kebijakan yang diambil dalam merespon risiko. Pengambilan kebijakan terhadap risiko akan dilakukan berdasarkan diskusi dewan direksi pada PT. BPR. Secara umum kebijakan yang diambil PT. BPR terhadap risiko yang terjadi yaitu : PT. BPR akan mengeluarkan uang lebih untuk menutupi (mengcover) risiko yang akan terjadi, agar risiko yang akan terjadi menjadi seminimal mungkin sehingga dampak yang mungkin terjadi tidak akan membahayakan kegiatan bisnis PT. BPR. Dengan kata lain, kebijakan yang biasanya diambil PT. BPR dalam merespon risiko cenderung untuk mengurangi risiko (Risk Reduction / mitigation). 3. Monitoring terhadap risiko yang dilakukan PT. BPR sudah dilakukan

131

pengawasan terhadap semua divisi yang ada di PT. BPR. Selain itu Otoritas Jasa Keuangan (OJK) dan Bank Indonesia juga memberikan pengawasan terhadap PT. BPR baik mengenai keadaan keuangan maupun keadaan secara keseluruhan. Laporan yang dihasilkan dari pengawasan oleh OJK dan Bank Indonesia tersebut akan digunakan untuk melakukan perbaikan terhadap risiko – risiko yang ada, sehingga dapat lebih meningkatkan kinerja PT. BPR sendiri. Untuk mendukung pengawasan dan pengukuran kualitas kinerja, PT. BPR menggunakan Finger Print untuk mencegah adanya risiko kecurangan dalam pengabsenan oleh pegawai, serta PT. BPR menggunakan Balance Scorecard untuk mengukur dan memantau kualitas kinerja pada PT. BPR

4.2 Saran

Saran yang dapat diberikan berdasarkan hasil analisis Risk IT yang dilakukan pada PT. BPR yaitu : hasil analisis ini dapat digunakan sebagai referensi atau acuan dalam melakukan analisis terhadap risiko – risiko yang belum teridentifikasi karena hasil analisis ini sudah dapat memaparkan cara untuk mengidentifikasi risiko, memberikan kebijakan – kebijakan terhadap risiko, serta memaparkan kontrol terhadap risiko – risiko yang terjadi.

Penulis juga memberikan saran kepada PT. BPR terkait analisis Risk IT berdasarkan domain dan proses yang ada pada framework Risk IT itu sendiri.

• Domain Risk Governance

1. RG1 Establish and Maintain a Common Risk View.

Berdasarkan hasil analisis yang dilakukan, rata - rata Maturity model pada proses ini berada pada level 2 Repeatable, maka saran yang dapat digunakan sebagai acuan untuk mencapai level 3 Defined adalah :

a. Perlu dilakukannya IT Risk Assessment terhadap seluruh bagian yang ada pada PT. BPR

132

b. Perlu adanya pemimpin yang terlibat langsung dalam proses manajemen risiko IT.

c. Perlu adanya alat yang memungkinkan PT. BPR untuk memiliki portofolio manajemen risiko, alur kerja manajemen risiko, otomatiasai IT dan pemantauan kegiatan operasional. d. Perlu adanya dokumentasi yang terstruktur dari proses

manajemen risiko yang dilakukan. 2. RG2 Integrate With ERM

Berdasarkan hasil analisis yang dilakukan, rata - rata Maturity model pada proses ini berada pada level 2 Repeatable, maka saran yang dapat digunakan sebagai acuan untuk mencapai level 3 Defined adalah :

a. Perlu membentuk tim dalam manajemen risiko agar penanganan terhadap risiko bisa lebih terstruktur dan jelas. b. Penanganan risiko itu sendiri tidak difokuskan pada bagian

operasional dan bisnis saja, tetapi difokuskan pada semua bagian dalam PT. BPR

c. Perlu adanya peranan pemimpin dan bagian risk management dalam perusahaan untuk terlibat dalam manajemen risiko.

3. RG3 Make Risk – Aware Business Decisions

Berdasarkan hasil analisis yang dilakukan, rata - rata Maturity model pada proses ini berada pada level 2 Repeatable, maka saran yang dapat digunakan sebagai acuan untuk mencapai level 3 Defined adalah :

a. Perlu adanya pelatihan kepada para pembuat keputusan dalam memulai pendekatan analisis risiko.

b. Perlu adanya prosedur yang terstruktur dalam pengambilan keputusan terkait risiko IT.

133

d. Perlu adanya alat yang memungkinkan PT. BPR untuk memiliki portofolio manajemen risiko, alur kerja manajemen risiko, otomatiasai IT dan pemantauan kegiatan operasional. e. Penanganan terhadap risiko seharusnya difokuskan kepada

semua risiko, bukan terhadap risiko yang sering terjadi.

• Domain Risk Evaluation 1. RE1 Collect Data

Berdasarkan hasil analisis yang dilakukan, rata - rata Maturity model pada proses ini berada pada level 2 Repeatable, maka saran yang dapat digunakan sebagai acuan untuk mencapai level 3 Defined adalah :

a. Pengumpulan data terkait risiko harus dilakukan terhadap semua lingkungan PT. BPR, bukan hanya pada lingkungan operasi saja

b. Penanganan terhadap risiko harus memiliki prosedur yang jelas agar setiap risiko memiliki penanganan jelas dan merata.

c. Perlu adanya petunjuk teknis yang dapat diakses kapan saja dari penggunaan aplikasi yang digunakan.

2. RE2 Analyse Risk

Pada proses ini tidak ada level maturity yang diberikan terhadap perusahaan, maka saran yang dapat diberikan agar perusahaan memiliki level maturity adalah :

a. PT. BPR perlu melakukan analisis terhadap faktor risiko baru yang belum teridentifikasi dalam perusahaan.

b. Perlu adanya keterampilan dan kompetensi untuk merespon risiko yang ada maupun risiko baru yang mungkin terjadi

134

3. RE3 Maintain Risk Profile

Berdasarkan hasil analisis yang dilakukan, rata - rata Maturity model pada proses ini berada pada level 2 Repeatable, maka saran yang dapat digunakan sebagai acuan untuk mencapai level 3 Defined adalah :

a. Perlu adanya kesadaran untuk mengembangkan indikator risiko TI yang ada.

b. Penanganan terhadap risiko harus memiliki prosedur yang jelas agar setiap risiko memiliki penanganan jelas dan merata.

c. Perlu adanya dokumentasi untuk semua area risiko dalam perusahaan.

• Domain Risk Response 1. RR1 Articulate Risk

Berdasarkan hasil analisis yang dilakukan, rata - rata Maturity model pada proses ini berada pada level 2 Repeatable, maka saran yang dapat digunakan sebagai acuan untuk mencapai level 3 Defined adalah :

a. Perlu dilakukannya pelatihan secara rutin terhadap pegawai mengenai keterampilan untuk semua bidang manajemen risiko agar keterampilan dalam manajemen risiko semakin berkembang.

b. Perlu adanya tanggungjawab dan akuntabilitas yang sudah terdefinisi serta proses yang telah diidentifikasi.

c. Perlu adanya alat yang memungkinkan PT. BPR untuk memiliki portofolio manajemen risiko, alur kerja manajemen risiko, otomatisasi IT dan pemantauan kegiatan operasional.

135

saran yang dapat digunakan sebagai acuan untuk mencapai level 3 Defined adalah :

a. Perlu adanya pengkomunikasian kepada pegawai-pegawai yang berkeja di PT. BPR mengenai pemantauan risiko. b. Perlu adanya alat yang memungkinkan PT. BPR untuk

memiliki portofolio manajemen risiko, alur kerja manajemen risiko, otomatisasi IT dan pemantauan kegiatan operasional. c. Perlu dilakukannya pelatihan secara rutin terhadap pegawai

mengenai keterampilan untuk semua bidang manajemen risiko agar keterampilan dalam manajemen risiko semakin berkembang.

3. RR3 React to Events

Berdasarkan hasil analisis yang dilakukan, rata - rata Maturity model pada proses ini berada pada level 2 Repeatable, maka saran yang dapat digunakan sebagai acuan untuk mencapai level 3 Defined adalah :

a. Perlu adanya identifikasi terhadap faktor risiko baru yang mungkin terjadi, agar ketika risiko tersebut terjadi PT. BPR dapat menyimpulkan tindakan apa yang akan diambil.

b. Perlu adanya ketetapan mengenai pemilihan respon risiko, agar setiap risiko memiliki penanganan yang baik.

c. Perlu adanya tanggungjawab dan akuntabilitas yang sudah terdefinisi serta proses yang telah diidentifikasi.

DAFTAR PUSTAKA

[1] Fathansyah, Basis Data, Bandung: Informatika, 2002.

[2] J. Raymond Mcleod, Management Information System A Study Of Computer-Base Information System, 6 th ed., Prentice-Hall, 1992.

[3] J. M. Hartono, Analisis dan Desain Sistem Informasi, Yogyakarta, Central Java: Andi, 2005.

[4] Witarto, Memahami Sistem Informasi, 2004.

[5] G. M. Scott, Prinsip-Prinsip Sistem Informasi Manajemen, 2001.

[6] A.-B. Ladjamuddin. B, Rekayasa Perangkat Lunak, III ed., Yogyakarta: GRAHA ILMU, 2006, p. 225.

[7] ISACA, The Risk IT Framework, United States of America: Rolling Meadows, IL 60008 USA, 2009.

[8] http://www.bprdla.com/. [Online].

pengawasan terhadap semua divisi yang ada di PT. BPR. Selain itu Otoritas Jasa Keuangan (OJK) dan Bank Indonesia juga memberikan pengawasan terhadap PT. BPR baik mengenai keadaan keuangan maupun keadaan secara keseluruhan. Laporan yang dihasilkan dari pengawasan oleh OJK dan Bank Indonesia tersebut akan digunakan untuk melakukan perbaikan terhadap risiko – risiko yang ada, sehingga dapat lebih meningkatkan kinerja PT. BPR sendiri. Untuk mendukung pengawasan dan pengukuran kualitas kinerja, PT. BPR menggunakan Finger Print untuk mencegah adanya risiko kecurangan dalam pengabsenan oleh pegawai, serta PT. BPR menggunakan

Balance Scorecard untuk mengukur dan memantau kualitas kinerja

pada PT. BPR

4.2 Saran

Saran yang dapat diberikan berdasarkan hasil analisis Risk IT yang dilakukan pada PT. BPR yaitu : hasil analisis ini dapat digunakan sebagai referensi atau acuan dalam melakukan analisis terhadap risiko – risiko yang belum teridentifikasi karena hasil analisis ini sudah dapat memaparkan cara untuk mengidentifikasi risiko, memberikan kebijakan – kebijakan terhadap risiko, serta memaparkan kontrol terhadap risiko – risiko yang terjadi.

Penulis juga memberikan saran kepada PT. BPR terkait analisis Risk

IT berdasarkan domain dan proses yang ada pada framework Risk IT itu

sendiri.

• Domain Risk Governance

1. RG1 Establish and Maintain a Common Risk View.

Berdasarkan hasil analisis yang dilakukan, rata - rata Maturity

model pada proses ini berada pada level 2 Repeatable, maka

saran yang dapat digunakan sebagai acuan untuk mencapai level 3 Defined adalah :

a. Perlu dilakukannya IT Risk Assessment terhadap seluruh bagian yang ada pada PT. BPR

b. Perlu adanya pemimpin yang terlibat langsung dalam proses manajemen risiko IT.

c. Perlu adanya alat yang memungkinkan PT. BPR untuk memiliki portofolio manajemen risiko, alur kerja manajemen risiko, otomatiasai IT dan pemantauan kegiatan operasional. d. Perlu adanya dokumentasi yang terstruktur dari proses

manajemen risiko yang dilakukan.

2. RG2 Integrate With ERM

Berdasarkan hasil analisis yang dilakukan, rata - rata Maturity

model pada proses ini berada pada level 2 Repeatable, maka

saran yang dapat digunakan sebagai acuan untuk mencapai level 3 Defined adalah :

a. Perlu membentuk tim dalam manajemen risiko agar penanganan terhadap risiko bisa lebih terstruktur dan jelas. b. Penanganan risiko itu sendiri tidak difokuskan pada bagian

operasional dan bisnis saja, tetapi difokuskan pada semua bagian dalam PT. BPR

c. Perlu adanya peranan pemimpin dan bagian risk

management dalam perusahaan untuk terlibat dalam

manajemen risiko.

3. RG3 Make Risk – Aware Business Decisions

Berdasarkan hasil analisis yang dilakukan, rata - rata Maturity

model pada proses ini berada pada level 2 Repeatable, maka

saran yang dapat digunakan sebagai acuan untuk mencapai level 3 Defined adalah :

a. Perlu adanya pelatihan kepada para pembuat keputusan dalam memulai pendekatan analisis risiko.

b. Perlu adanya prosedur yang terstruktur dalam pengambilan keputusan terkait risiko IT.

d. Perlu adanya alat yang memungkinkan PT. BPR untuk memiliki portofolio manajemen risiko, alur kerja manajemen risiko, otomatiasai IT dan pemantauan kegiatan operasional. e. Penanganan terhadap risiko seharusnya difokuskan kepada

semua risiko, bukan terhadap risiko yang sering terjadi.

• Domain Risk Evaluation

1. RE1 Collect Data

Berdasarkan hasil analisis yang dilakukan, rata - rata Maturity

model pada proses ini berada pada level 2 Repeatable, maka

saran yang dapat digunakan sebagai acuan untuk mencapai level 3 Defined adalah :

a. Pengumpulan data terkait risiko harus dilakukan terhadap semua lingkungan PT. BPR, bukan hanya pada lingkungan operasi saja

b. Penanganan terhadap risiko harus memiliki prosedur yang jelas agar setiap risiko memiliki penanganan jelas dan merata.

c. Perlu adanya petunjuk teknis yang dapat diakses kapan saja dari penggunaan aplikasi yang digunakan.

2. RE2 Analyse Risk

Pada proses ini tidak ada level maturity yang diberikan terhadap perusahaan, maka saran yang dapat diberikan agar perusahaan memiliki level maturity adalah :

a. PT. BPR perlu melakukan analisis terhadap faktor risiko baru yang belum teridentifikasi dalam perusahaan.

b. Perlu adanya keterampilan dan kompetensi untuk merespon risiko yang ada maupun risiko baru yang mungkin terjadi

3. RE3 Maintain Risk Profile

Berdasarkan hasil analisis yang dilakukan, rata - rata Maturity

model pada proses ini berada pada level 2 Repeatable, maka

saran yang dapat digunakan sebagai acuan untuk mencapai level 3 Defined adalah :

a. Perlu adanya kesadaran untuk mengembangkan indikator risiko TI yang ada.

b. Penanganan terhadap risiko harus memiliki prosedur yang jelas agar setiap risiko memiliki penanganan jelas dan merata.

c. Perlu adanya dokumentasi untuk semua area risiko dalam perusahaan.

• Domain Risk Response

1. RR1 Articulate Risk

Berdasarkan hasil analisis yang dilakukan, rata - rata Maturity

model pada proses ini berada pada level 2 Repeatable, maka

saran yang dapat digunakan sebagai acuan untuk mencapai level 3 Defined adalah :

a. Perlu dilakukannya pelatihan secara rutin terhadap pegawai mengenai keterampilan untuk semua bidang manajemen risiko agar keterampilan dalam manajemen risiko semakin berkembang.

b. Perlu adanya tanggungjawab dan akuntabilitas yang sudah terdefinisi serta proses yang telah diidentifikasi.

c. Perlu adanya alat yang memungkinkan PT. BPR untuk memiliki portofolio manajemen risiko, alur kerja manajemen risiko, otomatisasi IT dan pemantauan kegiatan operasional.

saran yang dapat digunakan sebagai acuan untuk mencapai level 3 Defined adalah :

a. Perlu adanya pengkomunikasian kepada pegawai-pegawai yang berkeja di PT. BPR mengenai pemantauan risiko. b. Perlu adanya alat yang memungkinkan PT. BPR untuk

memiliki portofolio manajemen risiko, alur kerja manajemen risiko, otomatisasi IT dan pemantauan kegiatan operasional. c. Perlu dilakukannya pelatihan secara rutin terhadap pegawai

mengenai keterampilan untuk semua bidang manajemen risiko agar keterampilan dalam manajemen risiko semakin berkembang.

3. RR3 React to Events

Berdasarkan hasil analisis yang dilakukan, rata - rata Maturity

model pada proses ini berada pada level 2 Repeatable, maka

saran yang dapat digunakan sebagai acuan untuk mencapai level 3 Defined adalah :

a. Perlu adanya identifikasi terhadap faktor risiko baru yang mungkin terjadi, agar ketika risiko tersebut terjadi PT. BPR dapat menyimpulkan tindakan apa yang akan diambil.

b. Perlu adanya ketetapan mengenai pemilihan respon risiko, agar setiap risiko memiliki penanganan yang baik.

c. Perlu adanya tanggungjawab dan akuntabilitas yang sudah terdefinisi serta proses yang telah diidentifikasi.

DAFTAR PUSTAKA

[1] Fathansyah, Basis Data, Bandung: Informatika, 2002.

[2] J. Raymond Mcleod, Management Information System A Study Of Computer-Base Information System, 6 th ed., Prentice-Hall, 1992.

[3] J. M. Hartono, Analisis dan Desain Sistem Informasi, Yogyakarta, Central Java: Andi, 2005.

[4] Witarto, Memahami Sistem Informasi, 2004.

[5] G. M. Scott, Prinsip-Prinsip Sistem Informasi Manajemen, 2001.

[6] A.-B. Ladjamuddin. B, Rekayasa Perangkat Lunak, III ed., Yogyakarta: GRAHA ILMU, 2006, p. 225.

[7] ISACA, The Risk IT Framework, United States of America: Rolling Meadows, IL 60008 USA, 2009.

[8] http://www.bprdla.com/. [Online].