ABSTRAK

PT. X adalah salah satu BUMN di Indonesia yang bergerak pada bidang perlistrikan. Untuk mengamanan datanya PT. X membangun sebuah backup center. dalam backup center di PT. X tidak lepas dari risiko risiko yang akan muncul dalam penerapannya. Untuk mengatasi risiko - risiko yang mungkin terjadi pada backup center pada PT. X maka dibutuhkan penerapan manajemen risiko pada backup center itu sendiri yang dapat mengidentifikasikan, menangani ,mendokumentasikan risiko risiko yang mungkin terjadi atau telah terjadi. Pada tugas akhir ini akan dibahas tentang penilaian Tata Kelola manajemen risiko backup center di PT X. Yang diukur dengan menggunakan GAP (Kesenjangan) di dalam Framework COBIT 5. Hal ini dibutuhkan sebagai sebuah kontrol yang bisa memberikan evaluasi terhadap Tata Kelola Manajemen risiko backup center di PT X, tetapi bisa juga dapat memberikan masukan terhadap pengelolaan manajemen risiko backup center di masa yang akan datang. Pembuatan Tugas Akhir ini menggunakan metode wawancara dan observasi yang bersifat kualitatif untuk menilai proses-proses APO12 yang ada di COBIT 5 yang berdasarkan GAP). Secara keseluruhan, Tata Kelola manajemen risiko di PT. X memperoleh level 3 (Established).

ABSTRACT

PT. X is one of Indonesia's state-owned enterprises engaged in the business of electricity. To secure data PT. X build a backup center. The backup center at PT . X is not free from the risk in it’s implementaion. To overcome the possible risks to the backup center PT. X then takes the application of risk management at the backup center itself is able to identify , handle , document risks or risks that may occur has occurred. this project will be discuss risk management assessment Governance backup center in PT. X. The measured using the GAP in the COBIT Framework 5 .This is needed as a control that can provide an evaluation of the risk management of the backup center in PT. X, but can also provide input to the risk backup center in the future. his final project compiled the result of interviews and observations to assess qualitative APO12 processes that exist in COBIT 5 is based on GAP. Base on the audit performed,the risk management Governance at PT. X is currently at level 3 ( Established ).

DAFTAR ISI

LEMBAR PENGESAHAN ...i

PERNYATAAN ORISINALITAS LAPORAN PENELITIAN ... ii

PERNYATAAN PUBLIKASI LAPORAN PENELITIAN ... iii

PRAKATA ... iv

ABSTRAK ... vi

ABSTRACT... vii

DAFTAR ISI ... viii

DAFTAR GAMBAR ... x

DAFTAR TABEL ... xi

DAFTAR LAMPIRAN ... xii

DAFTAR SINGKATAN... xiii

DAFTAR ISTILAH ... xiv

BAB 1. PENDAHULUAN ...1

1.1 Latar Belakang Masalah ... 1

1.2 Rumusan Masalah... 2

1.3 Tujuan Pembahasan... 2

1.4 Ruang Lingkup Kajian... 2

1.5 Sumber Data ... 2

1.6 Sistematika Penyajian ... 3

BAB 2. KAJIAN TEORI ...5

2.1 Pengertian Audit Sistem Informasi ... 5

2.1.1 Tujuan audit sistem informasi... 6

2.1.2 Faktor-faktor yang mendorong pentingnya kontrol dan audit sistem informasi... 7

2.2 Pengertian Risiko ... 7

2.2.1 Risiko Terhadap Keamanan... 9

2.3 Kategori Risiko Teknologi Informasi ... 10

2.4 Pengertian Manajemen Risiko ... 11

2.5 IT Governance ... 14

2.5.1 Tujuan IT Governance... 14

2.5.2 Area Fokus IT Governance ... 15

2.6 COBIT 5... 16

2.6.1 Capability Dimension... 18

2.6.2 Assessment Indicators ... 20

2.6.3 Rating Scales ... 21

2.7 Proses APO12 – Manage Risk ... 22

2.7.1 APO12.1 Collect Data ... 23

2.7.2 APO12.2 Analyse Risk ... 24

2.7.3 APO12.3 Maintain a Risk Profile ... 25

2.7.4 APO12.4 Articulate Risk... 26

2.7.5 APO12.5 Define a Risk Management Action Portofolio... 27

2.7.6 APO12.6 Repond to Risk ... 27

BAB 3. ANALISIS ...29

3.1 Profil PT. X ... 29

3.2 Visi, Misi dan Motto Perusahaan ... 30

3.3 Struktur Organisasi Perusahaan... 32

3.4 Stuktur Organisasi divisi Teknologi Informasi ... 34

3.5 Job Description Divisi Teknologi Informasi ... 35

3.6 Proses Backup di PT.X... 46

3.7 Proses APO12 Manage Risk Pada COBIT 5... 48

BAB 4. SIMPULAN DAN SARAN ...74

4.1 Simpulan... 74

4.2 Saran ... 74

DAFTAR GAMBAR

Gambar 2.1 Gambar Pemetaan Domain dan Proses di COBIT 5...18

Gambar 2.2 Capability Levels and Process Attributes ...19

Gambar 2.3 Assessment Indicators ...21

Gambar 2.4 Rating Scales...22

Gambar 3.1 Stuktur Organisasi PT. X...32

Gambar 3.2 Struktur Organisasi Divisi Teknologi Informasi PT. X...34

Gambar 3.3 Metode Standby Database...46

Gambar 3.4 Metode Replication ...47

DAFTAR TABEL

Tabel 3.1 Assessment Data Collection ...48

Tabel 3.2 Hasil Perhitungan Rating Pada Proses APO12 ...69

Tabel 3.3 Hasil Analisis GAP Pada Proses APO12 ...69

Tabel 3.4 Process Atribute Rating Pada Proses APO12 ...71

DAFTAR LAMPIRAN

LAMPIRAN A. Lampiran Process Atribute Rating Pada Proses APO12 ...1

LAMPIRAN B. Lampiran Assessment Data Collection ...2

LAMPIRAN C. Lampiran Standar Uraian Jabatan pada PT. X ...8

LAMPIRAN D. Lampiran JOB DESKRIPSI BERDASARKAN KEPUTUSAN GENERAL MANAGER PT. X...9

LAMPIRAN E. Lampiran kajian risiko pengamanan hardware dan software10 LAMPIRAN F. Lampiran kajian risiko pengamanan data ...19

LAMPIRAN G. Lampiran kajian risiko pengamanan ruang server ...28

LAMPIRAN H. Lampiran tentang Backup center DJBB ...37

DAFTAR SINGKATAN

Singkatan Arti

APO Align, Plan Dan Organize

COBIT Control Objectives For Information & Related Technology

IT Information Technology

PT Perseroan Terbatas

SOP Standard Operation Procedure

ISO International Organization For Standardization

IEC International Electrotechnical Commission

ERM Enterprise Risk Management

SK Surat Keputusan

DAFTAR ISTILAH

Backup Duplikasi Data

Backup center Fasilitas Untuk Melakukan Backup

It governance Tata Kelola

Manage risk Manajemen Risiko

Framework Kerangka Kerja

Conformance Kesesuaian

Confidentiality Kerahasiaan

Integrity Integritas

Availability Ketersediaan

Compliance Kepatuhan

Performance Kinerja

Effectiveness Efektifitas

Efficiency Efisiensi

Reliability Kehandalan

Software Perangkat Lunak

Hardware Perangkat Keras

File File

Data Integrity Integritas Data

User Pengguna

Cost/ benefit Untung / Rugi

Total loss of data Kehilangan Data Menyeluruh

Total loss of hardware Kehilangan Peranfkat Lunak Menyeluruh

Risk Risiko

Possibility Kemungkinan

Uncertainty Ketidakpastian

Stabilizer Alat Penstabil

Power supply Perangkat Keras Yang Berfungsi Untuk Menyuplai Tegangan

Update Perbaharuan

Hacking Kegiatan Memasuki System Melalui System Operasional Yg Lain,Yg Dijalankan Oleh Hacker

Password Sandi

Komprehensif Mencakup Semua Hal Yang Diperlukan

Strategic alignment Keselarasan Strategis

Value delivery Penyampaian Nilai

Resources management Manajemen Sumber Daya

Risk management Manajemen Risiko

Performance measurement

Pengukuran Performa

Stakeholder Pemegang Saham

Collect data Mengoleksi Data

Analyse risk Analisis Risiko

Maintain a risk profile Mengelola Sebuah Profil Risiko

Articulate risk Risiko

Define a risk management action portofolio

Menentukan Portofolio Tindakan Manajemen Risiko

memaksimalkan diri melalui peluang-peluang yang ada

BAB 1.

PENDAHULUAN

Pada bab ini akan membahas tentang latar belakang dari penelitian, rumusan masalah, tujuan pembahasan, ruang lingkup kajian, sumber data, dan sistematis penyajian penelitian.

1.1 Latar Belakang Masalah

Seiring berjalannya waktu dan pesatnya perkembangan Teknologi Informasi yang terjadi di sekarang ini khususnya di Indonesia, teknologi sudah tidak menjadi barang yang aneh, bahkan sangat diperlukan untuk mendukung kinerja suatu organisasi atau pun perusahaan. Karena teknologi informasi dipercaya dapat membantu meningkatkan efektifitas dan efisiensi proses bisnis organisasi atau pun perusahaan itu sendiri, tak terkecuali dengan PT. X.

Tetapi setiap pengelolaan teknologi informasi kemungkinan terdapat beberapa risiko yang akan menyebabkan asset atau data tersebut hilang atau rusak. Maka dari ini dibutuhan sebuah metode untuk melihat risiko - risiko yang kemungkinan terjadi pada sebuah teknologi informasi.

Penelitian ini mengangkat kasus pada PT. X dimana saat ini sedang melakukan tata kelola Backup center teknologi informasi PT. X sudah menerapkan teknologi informasi sebagai salah satu cara untuk mencapai tujuan atau proses bisnis agar investasi yang telah dikeluarkan sebanding dengan tujuan yang akan di capai oleh PT. X. Oleh karena itu, penegakan atau implementasi IT Governance pada proses APO12 (Manage Risk) berdasarkan COBIT 5 menjadi suatu kebutuhan yang mendasar. Selama ini PT. X terus melakukan pengembangan di dalam

2

kelola Backup center pada PT. X dengan menggunakan COBIT

framework 5 .

1.2 Rumusan Masalah

Berdasarkan latar belakang diatas maka penulis mendapatkan rumusan masalah yaitu:

1. Apakah PT. X sudah menerapkan manajemen risiko dalam tata kelola Backup center?

2. Bagaimana mengimplementasikan APO12 pada framework COBIT 5 dalam tata Kelola Backup center ?

1.3 Tujuan Pembahasan

Adapun tujuan dari penelitian ini yaitu :

1. Mengetahui kondisi penerapan manajemen risiko tata kelola Backup

center pada PT. X?

2. Mengimplementasikan IT Governance APO12 (Manage Risk) dalam tata kelola Backup center pada PT. X dengan COBIT 5 framework sebagai pedoman.

1.4 Ruang Lingkup Kajian

Untuk menghindari penyimpangan pembahasan pokok bahasan maka dalam tugas akhir ini penulis hanya akan membahas tentang bagaimana PT. X menerapkan manajemen risiko dalam tata kelola

Backup center. Penelitian ini hanya menggunakan COBIT 5 sebagai framework dan menggunakan proses APO12 sebagai pedoman dalam

pengerjakan penelitian tersebut.

1.5 Sumber Data

Tahap pengumpulan data untuk mengindentifikasi masalah dalam laporan Tugas Akhir diperoleh dari :

3

1. Observasi dan Wawancara

Yaitu tahap dimana diusahakan untuk mengumpulkan data-data dengan melakukan pengamatan dan berkomunikasi dengan PT. X agar lebih terinci dalam mendefinisikan masalah.

2. Studi Kepustakaan

Yaitu pengumpulan data dengan cara membaca dan mempelajari buku-buku pedoman yang sesuai dengan permasalahan dan topik yang dibahas.

3. Studi Internet

Yaitu dengan melakukan browsing dan pengamatan pada situs-situs yang terkait dengan topik yang dibahas.

4. Diskusi dan Konsultasi

Yaitu metode yang dilakukan dengan cara berdiskusi dengan pembimbing eksternal/internal maupun pihak-pihak luar yang dapat memberikan saran tentang Tugas Akhir yang akan dibuat.

1.6 Sistematika Penyajian

Penulis telah menyusun sistematika penyajian dalam penyusunan laporan Tugas Akhir ini yang berguna untuk mempermudah memahami laporan. Adapun sistematika penulisan adalah sebagai berikut:

BAB 1 PENDAHULUAN

Bab ini akan menguraikan mengenai latar belakang masalah, rumusan masalah, tujuan pembahasan, ruang lingkup kajian, sumber data, sistematika penyajian, dan waktu dan tempat.

4

akan digunakan untuk menjadi referensi dalam penyusunan penelitian ini.

BAB 3 ANALISIS

Bab ini berisi analisis yang akan akan menguraikan tentang bagaimana menerapkan manajemen risiko dalam tata kelola

Backup center pada PT. X.

BAB 4 SIMPULAN

Bab ini memuat tentang kesimpulan dan saran maupun rekomendasi atas penelitian yang telah penulis lakukan di PT. X

74

BAB 4.

SIMPULAN DAN SARAN

Pada bab ini akan membahas tentang kesimpulan dari hasil penelitian dan saran untuk mengembangkan penelitian.

4.1 Simpulan

Berdasarkan hasil analisis yang dilakukan pada PT. X, dapat disimpulkan bahwa :

1. Penerapan manajemen risiko secara umum sudah berjalan, tetapi pada implementasinya pada PT. X belum mempunyai dokumen – dokumen dan SOP (standard operational procedure) yang mengatur secara rinci tentang penerapan manajemen risiko.

2. Dari hasil analisis yang diperoleh bahwa di PT. X dalam pengimplementasian APO12 sesuai dengan framework COBIT 5 berada pada level 3 (Established process). Dimana pengimplementasian APO12 yang sesuai dengan framework COBIT 5 sudah berjalan. tetapi, belum terdapat dokumen -dokumen yang mengatur tentang kebijakan didalam manajemen risiko dalam tata kelola backup center.

4.2 Saran

Untuk melakukan pengembangan dalam penelitian yang berjudul “IMPLEMENTASI MANAJEMEN RISIKO MENGGUNAKAN FRAMEWORK COBIT 5 DALAM TATA KELOLA BACKUP CENTER PADA PT. X” diharapkan kedepannya bukan hanya pada proses APO (align, plan, and organise) namun dapat diintregasikan dengan proses EDM (evaluate, direct and monitor) khususnya pada EDM03 (ensure risk optimisation) agar

75

DAFTAR PUSTAKA

[1] R. A. Weber, Information Systems Control and Audit, Prentice Hall, 1998.

[2] S.Gondodiyoto, Pengelolaan Fungsi Audit Sistem Informasi, Mitra Wacana Media, 2009.

[3] M. H. Arthur Williams dan Richard, Risk Management Insurance, McGraw-Hill/Irwin; 8 edition , 1997.

[4] T. M. V. Emmet J. Vaughan, Fundamentals of Risk and Insurance, Wiley; 10 edition, 2007.

[5] H. Darmawi, Manajemen Risiko, Bumi Aksara, 2006 . [6] G. Hughes, Five Step to IT risk Management, 2006.

[7] P. Bramantyo Djohanputro, Manajemen Risiko Korporat, PPM, 2008. [8] G. A. S. Richard Hudson Clough, Construction contracting, Wiley, 2007. [9] I. Fahmi, Manajemen Risiko: Teori, Kasus, dan Solusi, Alfabeta, 2010 . [10] S. D. H. Wim Van Grembergen, Business Strategy and Applications in

Enterprise IT Governance, IGI Global; 1 edition , 2012.

[11] I. G. Institute, COBIT 4.1 Framework Control Objectives, Management Guidelines, Maturity Models, IT Governance Institute, 2007.

[12] Isaca, Cobit 5, Isaca, 2012.

[13] Isaca, COBIT 5: Enabling Processes, 2012: Isaca .

[14] Isaca, COBIT Process Assessment Model (PAM): Using COBIT 5, Isaca, 2013.

[15] Tim Penyusun Uraian Jabatan Dari Divisi Pengembangan Organisasi, Standar Uraian Jabatan PT PLN (Persero) Distribusi Jawa - Bali, Jakarta: PT PLN (Persero), 2012.

1

Pada bab ini akan membahas tentang latar belakang dari penelitian, rumusan masalah, tujuan pembahasan, ruang lingkup kajian, sumber data, dan sistematis penyajian penelitian.

1.1 Latar Belakang Masalah

Seiring berjalannya waktu dan pesatnya perkembangan Teknologi Informasi yang terjadi di sekarang ini khususnya di Indonesia, teknologi sudah tidak menjadi barang yang aneh, bahkan sangat diperlukan untuk mendukung kinerja suatu organisasi atau pun perusahaan. Karena teknologi informasi dipercaya dapat membantu meningkatkan efektifitas dan efisiensi proses bisnis organisasi atau pun perusahaan itu sendiri, tak terkecuali dengan PT. X.

Tetapi setiap pengelolaan teknologi informasi kemungkinan terdapat beberapa risiko yang akan menyebabkan asset atau data tersebut hilang atau rusak. Maka dari ini dibutuhan sebuah metode untuk melihat risiko - risiko yang kemungkinan terjadi pada sebuah teknologi informasi.

Penelitian ini mengangkat kasus pada PT. X dimana saat ini sedang melakukan tata kelola Backup center teknologi informasi PT. X sudah menerapkan teknologi informasi sebagai salah satu cara untuk mencapai tujuan atau proses bisnis agar investasi yang telah dikeluarkan sebanding dengan tujuan yang akan di capai oleh PT. X. Oleh karena itu, penegakan atau implementasi IT Governance pada proses APO12 (Manage Risk) berdasarkan COBIT 5 menjadi suatu kebutuhan yang mendasar. Selama ini PT. X terus melakukan pengembangan di dalam pengelolaan IT nya, namun hal tersebut belum menjamin bahwa perusahaan sudah benar-benar menerapkan manajemen risiko pada teknologi informasi nya dengan baik dan benar. Atas dasar tersebut, penulis ingin mengimplementasikan APO12 (Manage Risk) dalam tata

kelola Backup center pada PT. X dengan menggunakan COBIT framework 5 .

1.2 Rumusan Masalah

Berdasarkan latar belakang diatas maka penulis mendapatkan rumusan masalah yaitu:

1. Apakah PT. X sudah menerapkan manajemen risiko dalam tata kelola Backup center?

2. Bagaimana mengimplementasikan APO12 pada framework COBIT 5 dalam tata Kelola Backup center ?

1.3 Tujuan Pembahasan

Adapun tujuan dari penelitian ini yaitu :

1. Mengetahui kondisi penerapan manajemen risiko tata kelola Backup center pada PT. X?

2. Mengimplementasikan IT Governance APO12 (Manage Risk) dalam tata kelola Backup center pada PT. X dengan COBIT 5 framework sebagai pedoman.

1.4 Ruang Lingkup Kajian

Untuk menghindari penyimpangan pembahasan pokok bahasan maka dalam tugas akhir ini penulis hanya akan membahas tentang bagaimana PT. X menerapkan manajemen risiko dalam tata kelola Backup center. Penelitian ini hanya menggunakan COBIT 5 sebagai framework dan menggunakan proses APO12 sebagai pedoman dalam pengerjakan penelitian tersebut.

1.5 Sumber Data

Tahap pengumpulan data untuk mengindentifikasi masalah dalam laporan Tugas Akhir diperoleh dari :

1. Observasi dan Wawancara

Yaitu tahap dimana diusahakan untuk mengumpulkan data-data dengan melakukan pengamatan dan berkomunikasi dengan PT. X agar lebih terinci dalam mendefinisikan masalah.

2. Studi Kepustakaan

Yaitu pengumpulan data dengan cara membaca dan mempelajari buku-buku pedoman yang sesuai dengan permasalahan dan topik yang dibahas.

3. Studi Internet

Yaitu dengan melakukan browsing dan pengamatan pada situs-situs yang terkait dengan topik yang dibahas.

4. Diskusi dan Konsultasi

Yaitu metode yang dilakukan dengan cara berdiskusi dengan pembimbing eksternal/internal maupun pihak-pihak luar yang dapat memberikan saran tentang Tugas Akhir yang akan dibuat.

1.6 Sistematika Penyajian

Penulis telah menyusun sistematika penyajian dalam penyusunan laporan Tugas Akhir ini yang berguna untuk mempermudah memahami laporan. Adapun sistematika penulisan adalah sebagai berikut:

BAB 1 PENDAHULUAN

Bab ini akan menguraikan mengenai latar belakang masalah, rumusan masalah, tujuan pembahasan, ruang lingkup kajian, sumber data, sistematika penyajian, dan waktu dan tempat.

BAB 2 KAJIAN TEORI

Bab ini akan membahas tentang teori-teori yang akan mendukung penelitian. Yaitu definisi dan penjelasan pustaka-pustaka yang

akan digunakan untuk menjadi referensi dalam penyusunan penelitian ini.

BAB 3 ANALISIS

Bab ini berisi analisis yang akan akan menguraikan tentang bagaimana menerapkan manajemen risiko dalam tata kelola Backup center pada PT. X.

BAB 4 SIMPULAN

Bab ini memuat tentang kesimpulan dan saran maupun rekomendasi atas penelitian yang telah penulis lakukan di PT. X

BAB 4.

SIMPULAN DAN SARAN

Pada bab ini akan membahas tentang kesimpulan dari hasil penelitian dan saran untuk mengembangkan penelitian.

4.1 Simpulan

Berdasarkan hasil analisis yang dilakukan pada PT. X, dapat disimpulkan bahwa :

1. Penerapan manajemen risiko secara umum sudah berjalan, tetapi pada implementasinya pada PT. X belum mempunyai dokumen – dokumen dan SOP (standard operational procedure) yang mengatur secara rinci tentang penerapan manajemen risiko.

2. Dari hasil analisis yang diperoleh bahwa di PT. X dalam pengimplementasian APO12 sesuai dengan framework COBIT 5 berada pada level 3 (Established process). Dimana pengimplementasian APO12 yang sesuai dengan framework COBIT 5 sudah berjalan. tetapi, belum terdapat dokumen -dokumen yang mengatur tentang kebijakan didalam manajemen risiko dalam tata kelola backup center.

4.2 Saran

Untuk melakukan pengembangan dalam penelitian yang berjudul “IMPLEMENTASI MANAJEMEN RISIKO MENGGUNAKAN FRAMEWORK COBIT 5 DALAM TATA KELOLA BACKUP CENTER PADA PT. X” diharapkan kedepannya bukan hanya pada proses APO (align, plan, and organise) namun dapat diintregasikan dengan proses EDM (evaluate, direct and monitor) khususnya pada EDM03 (ensure risk optimisation) agar mengoptimalkan penerapan manajemen risiko pada PT. X.

DAFTAR PUSTAKA

[1] R. A. Weber, Information Systems Control and Audit, Prentice Hall, 1998.

[2] S.Gondodiyoto, Pengelolaan Fungsi Audit Sistem Informasi, Mitra Wacana Media, 2009.

[3] M. H. Arthur Williams dan Richard, Risk Management Insurance, McGraw-Hill/Irwin; 8 edition , 1997.

[4] T. M. V. Emmet J. Vaughan, Fundamentals of Risk and Insurance, Wiley; 10 edition, 2007.

[5] H. Darmawi, Manajemen Risiko, Bumi Aksara, 2006 . [6] G. Hughes, Five Step to IT risk Management, 2006.

[7] P. Bramantyo Djohanputro, Manajemen Risiko Korporat, PPM, 2008. [8] G. A. S. Richard Hudson Clough, Construction contracting, Wiley, 2007. [9] I. Fahmi, Manajemen Risiko: Teori, Kasus, dan Solusi, Alfabeta, 2010 . [10] S. D. H. Wim Van Grembergen, Business Strategy and Applications in

Enterprise IT Governance, IGI Global; 1 edition , 2012.

[11] I. G. Institute, COBIT 4.1 Framework Control Objectives, Management Guidelines, Maturity Models, IT Governance Institute, 2007.

[12] Isaca, Cobit 5, Isaca, 2012.

[13] Isaca, COBIT 5: Enabling Processes, 2012: Isaca .

[14] Isaca, COBIT Process Assessment Model (PAM): Using COBIT 5, Isaca, 2013.

[15] Tim Penyusun Uraian Jabatan Dari Divisi Pengembangan Organisasi, Standar Uraian Jabatan PT PLN (Persero) Distribusi Jawa - Bali, Jakarta: PT PLN (Persero), 2012.