Audit Tata Kelola Teknologi Informasi Be
Audit Tata Kelola Teknologi Informasi Berbasis Risiko dengan Menggunakan
Framework Risk IT dan COBIT 4.1
Gema Paulina1, Toto Suharto2, Erda Guslinar P3
1, 2, 3
Fakultas Informatika Telkom University
Jalan Telekomunikasi 1, Dayeuh Kolot Bandung 40257 Indonesia
1
gemapaulin@gmail.com
Abstrak
Implementasi teknologi informasi (TI) selain dapat memberikan manfaat juga dapat
menimbulkan risiko yang dapat merugikan dan mempengaruhi proses bisnis atau pekerjaan. Untuk
mengetahui dan memahami sudah sejauh mana Institut Manajemen Telkom (IMT) melakukan tindakantindakan yang dapat mengurangi kerugian yang mungkin muncul sebagai konsekuensi dalam
pemanfaatan TI maka perlu dilakukan audit terhadap tata kelola TI. Audit dengan memperhitungkan
risiko bisnis bertujuan untuk memastikan business assurance bagi perusahaan.
Awalnya dilakukan analisis risiko dengan menggunakan risk IT framework sebagai kerangka
kerja untuk mengidentifikasi risiko TI. Dari hasil identifikasi risiko terdapat 47 risiko yang harus
dimitigasi. Langkah selanjutnya adalah memetakan ke dalam COBIT 4.1, dimana hasilnya ada sebanyak
27 proses yang harus dikontrol yaitu PO1-PO8, PO10, AI1-AI3, AI5-AI7, DS1-DS7, DS9, DS11-DS13.
Proses-proses ini harus dipastikan penerapannya pada IMT agar risiko yang terjadi dapat diminimalisir.
Dari hasil audit yang dilakukan kemudian akan diberikan rekomendasi-rekomendasi sebagai saran
perbaikan pengelolaan TI di IMT.
Kata kunci: audit, COBIT, risiko, risk IT, tata kelola TI.
Abstract
Implementation of information technology (IT) provides benefits to works or business processes, but
can also pose risks. To know and understand, how well Institut Manajemen Telkom (IMT) is doing to
reduce the losses that may arise as a consequence of the use of IT, one must do an audit of IT governance.
Auditing with considering business risk aims to ensure business assurance for enterprise.
To identify IT risks, perform risk analysis using the risk IT framework. From the results of risk
identification there are 47 risks that must be mitigated. The next step is mapped to the COBIT 4.1. There
are 27 processes that need to be controlled, namely PO1 - PO8, PO10, AI1 - AI3, AI5 - AI7, DS1 - DS7,
DS9, DS11 - DS13. IMT should ensure that the practices of these processes are performed so that the
possibility of risk occured can be minimized. From the results of audits performed, IMT will be given the
recommendations as suggestions for improvement of IT management.
Keywords: auditing, COBIT, risk, risk IT, IT Governance.
1.
Pendahuluan
Dewasa ini teknologi informasi (TI)
mengambil
peran
penting
dalam
pengembangan suatu bisnis. Peppard dan
Ward, dalam penelitiannya mengindikasikan
bahwa fungsi TI adalah sebagai kontributor
penambah nilai ke dalam suatu bisnis dimana
faktor bisnis yang mempunyai hubungan baik
dengan faktor TI akan menghasilkan pengaruh
positif keperformansi bisnis suatu perusahaan
[17].
Namun implementasi TI dalam suatu
perusahaan selain dapat memberikan manfaat
juga dapat menimbulkan risiko yang dapat
merugikan dan mempengaruhi proses bisnis
atau pekerjaan. Risiko yang terkait adalah
penggunaan,
kepemilikan,
pengoprasian,
keterlibatan pengaruh dan penerapan TI dalam
perusahaan [7]. Beberapa kejadian risiko TI
yang kerap terjadi di antaranya adalah
kerusakan
atau
kegagalan
operasional
hardware atau software, serangan virus
komputer, kerusakan atau kehilangan data, dan
serangan hacker yang mengganggu jaringan
komputer dan situs web. Kegagalan atau
kesalahan dalam pengembangan proyek SI/ TI
juga dapat dikategorikan sebagai risiko TI
yang harus diantisipasi. Jika risiko-risiko
tersebut tidak dikelola dengan baik maka akan
menimbulkan dampak yang merugikan bagi
perusahaan dalam mencapai tujuannya.
Untuk mengetahui dan memahami sudah
sejauh mana perusahaan melakukan tindakantindakan yang dapat mengurangi kerugian
yang mungkin muncul sebagai konsekuensi
dalam pemanfaatan TI maka perlu dilakukan
audit terhadap tata kelola TI. Auditing
ditujukan
untuk
memastikan
business
assurance
bagi
perusahaan
dengan
memperhitungkan
business
risk
bagi
perusahaan.
Informasi ini akan sangat
berharga bagi perusahaan sebagai bahan untuk
melakukan program perbaikan dan membuat
kebijakan yang terkait dengan proses-proses
manajemen TI-nya.
Studi kasus dalam tugas akhir ini adalah tata
kelola TI di Institut Manajemen Telkom
(IMT). IMT yang memiliki visi menjadi
lembaga pendidikan tinggi dan penelitian
bidang “bisnis & manajemen konvergensi”
yang unggul di asia pada tahun 2021
memanfaatkan TI dalam proses bisnisnya.
Penggunaan TI di IMT dibagi dalam tiga
kategori yaitu kategori pendidikan, resource
management dan marketing information and
strategi.
2.
Landasan Teori
2.1 Risk IT Framework
Risk IT adalah suatu framework yang
didasarkan pada seperangkat prinsipprinsip penuntun untuk pengelolaan yang
efektif dari risk IT Framework pelengkap
COBIT, suatu framework komprehensif
untuk tata kelola dan pengendalian usaha
solusi berbasis IT dan layanan [7].
Risk IT framework terdiri dari tiga domain:
risk governance, risk evaluation, dan risk
response. Masing-masing domain berisi
tiga proses yang memiliki tujuan yang
dicapai dengan melakukan sejumlah
kegiatan.
Gambar 1: Risk IT Framework
2.2 COBIT 4.1
Control Objective for Information and related
Technology (COBIT) adalah suatu panduan
standar praktik manajemen TI [9]. Standar
COBIT dikeluarkan oleh IT Governance
Institute yang merupakan bagian dari ISACA.
COBIT 4.1 memiliki 4 cakupan domain, yaitu:
3.
1.
Perencanaan dan organisasi (plan and
organise)
2.
Pengadaan dan implementasi (acquire and
implement)
3.
Pengantaran dan dukungan (deliver and
support)
4.
Pengawasan dan evaluasi (monitor and
evaluate)
Metodologi dan Implementasi
3.1 Metodologi
Audit teknologi informasi dilakukan melalui
tiga proses utama yaitu menganalisis risikorisiko yang mungkin terjadi dengan risk IT
framewocrk kemudian dilanjutkan dengan
mitigasi risiko dengan memetakan hasil
analisis risiko ke dalam Framework COBIT 4.1
yang kemudian akan diaudit hasilnya dengan
tata kelola yang yang sebenarnya terjadi di
perusahaan. Pengerjaan audit ini akan melalui
proses pengumpulan data berupa kuisoner,
wawancara, observasi serta data-data kertas
kerja audit. Dari Studi literatur yang dilakukan
maka dapat disimpulkan gambaran umum
sistem audit adalah sebagai berikut
Gambar 2: Flowchart proses Audit TI
3.2 Implementasi
Pertama dilakukan pengestimasi frekuensi dan
dampak dari risiko yang ada dengan kuisoner.
Dimana kuisoner dilaksanakan terhadap objek
penilaian yang sesuai. Pemilihan objek
penilaian disesuaikan dengan diagram RACI
untuk proses RR1 pada framework Risk IT
yang dipetakan dengan kondisi struktur
organisasi di IM Telkom. Menilai objek
penilaian dilakukan agar penilaian sesuai
dengan
sasaran
terhadap
unit
yang
bertanggung jawab dengan proses terkait..
4.
risiko
yang
mungkin
terjadi
dapat
diminimalisir. Oleh karena itu dalam audit tata
kelola TI ini digunakan 72 kontrol.
Pengurangan kontrol ini dilakukan karena
penerapan kontrol yang banyak dapat berakibat
ketidakefisienan khususnya dalam biaya.
Selain itu dalam satu risiko dikontrol oleh
beberapa kontrol yang berbeda maka apabila
ada satu kontrol yang dieliminasi karena hanya
muncul pada risiko itu saja, masih ada kontrol
lain yang mendukung pengontrolan risiko
tersebut.
Hasil kuisoner pada penilaian estimasi
frekuensi dan dampak risiko dipetakan dalam
risk map. Risk map digunakan sebagai alat
grafik untuk mengurutkan dan menampilkan
risiko dengan mendefinisikan tingkat frekuensi
dan besarnya risiko. Dari risk map akan
Dari hasil wawancara yang merupakan hasil
terlihat risiko mana yang akan menjadi
audit dapat disimpulkan bahwa kondisi saat ini
prioritas untuk dilakukan mitigasi agar
mengurangi dampak dari risiko yang mungkin
IM Telkom umumnya berada pada level
terjadi.
kematangan tiga. Dimana level target yang
Analisis
diharapkan dalam pengelolaan risiko adalah
Setelah pemetaan risiko terhadap toleransinya
pada level empat yaitu terkelola dan terukur.
maka selanjutnya adalah menganalisis respon
Pemilihan level target ini berdasarkan
terhadap risiko yang ada tersebut. Respon
pertimbangan hasil yang didapat dari audit,
risiko yang diaccept adalah risiko yang apabila
dimana penyebaran nilai kematangannya
terjadi pihak IM Telkom dapat menanggulangi
tersebar diantara level dua sampai empat.
atau menerima dampak yang terjadi, yang pada
Apabila pengelolaan TI telah berada pada level
risk map ditandai dengan warna hijau dan
empat yang merupakan level dimana TI telah
ungu. Untuk respon yang di share/transfer
terkelola dan terukur dengan baik maka risiko
merupakan risiko yang dampaknya dapat
yang mungkin terjadi dapat diminimalisir.
diminimalisir dengan mentransfer atau berbagi
Berikut adalah grafik temuan audit yang
sebagian dari risiko seperti asuransi. Avoid
membandingkan current level dengan target
adalah
tindakan
yang
mengharuskan
level.
menghindari atau keluar dari aktivitas atau
kondisi yang memberikan risiko. Risiko yang
PO1
di reduce/mitigate adalah risiko yang dengan
ME35
PO2
DS13
PO3
prioritas tertinggi yaitu pada toleransi really
DS12
PO4
4
unacceptable risk dan unacceptable risk dan
DS11
PO5
3
risiko tersebut tidak dapat di share ataupun
DS9
PO6
2
tidak di avoid. Berikut adalah tabel dari DS7
1
PO7
Current Level
respon terhadap risiko-risiko tersebut.
0
DS6
PO8
Target Level
PO10
Dari hasil pemetaan risiko yang dimitigasi DS5
AI1
terhadap COBIT 4.1 terdapat 105 kontrol yang DS4
DS3
AI2
sesuai. Setelah berdiskusi dengan pihak yang
DS2
AI3
dijadikan objek penilaian, bagian SISFO IM
DS1 AI7
AI6 AI5
Telkom, yaitu manajernya maka kontrol yang
akan diaudit tata kelolanya adalah kontrol yang
Gambar 3: Perbandingan current level dengan
kemunculannya lebih dari sekali terhadap
target level
risiko yang dimitigasi.
Berikut adalah tabel cuplikan dari rekomendasi
yang diberikan sebagai saran perbaikan
Kontrol yang hanya muncul sekali, yang hanya
pengelolaan TI di IM Telkom:
sesuai dengan satu risiko saja tidak akan
Tabel 1: Rekomendasi
diaudit tata kelolanya. Jika kemunculan
Proses
Rekomendasi
TI
kontrol
tersebut
semakin
sering
1. melakukan proses monitoring pada
mengindikasikan bahwa kontrol tersebut harus
PO1
pelaksanaan strategi TI
diimplementasikan dalam organisasi agar
2. melakukan pengukuran efektivitas
terhadap
proses-proses
yang
dilaksanakan
3. membuat rencana jangka pendek dan
panjang terhadap strategi TI yang
selalu diperbaharui sesuai kebutuhan
lapangan.
4. memperjelas proses penggunaan
sumber daya internal dan eksternal
dalam pengembangan sistem
5.
Kesimpulan dan Saran
Berdasarkan audit yang telah dilakukan di IM
Telkom dapat disimpulkan bahwa:
1.
2.
3.
Tata kelola Risiko di IM Telkom agar
terkelola dengan baik berdasarkan analisis
risiko yang telah dilakukan menggunakan
27 proses pada COBIT 4.1 yaitu PO1PO8, PO10, AI1-AI3, AI5-AI7, DS1-DS7,
DS9, DS11-DS13 serta ME3. Dimana
total kontrol TInya sebanyak 72.
Tata kelola TI untuk penanganan risiko di
IM Telkom masih butuh pengeloalaan
lebih lanjut. Dimana umumnya nilai
kematangan TInya berada pada level tiga
yakni tersedianya proses yang mengatur
pengelolaan
TI.
Namun
untuk
mengoptimalkan tata kelola TI agar
pengananan terhadap risiko lebih optimal
level kematangannya sebaiknya berada
pada poin empat yaitu terkelola dan
terukur.
Secara umum rekomendasi yang dapat
diberikan
sebagai
saran
untuk
pengembangan tata kelola TI di IMT yaitu
membuat metode formal (dokumen proses
yang memanfaatkan metode matematika
sebagai penjejelasannya) atau standar
untuk proses TI yang belum memiliki
standar
formal
(dokumen
yang
menjelaskan setiap proses tata kelola)
serta memastikan atau mengukur seluruh
standar proses TI yang ada telah
dilaksanakan yang didukung dengan file
dokumentasi.
Pada penelitian ini audit yang diterapkan tidak
membahas mengenai risiko keuangan, untuk
penelitian selanjutnya agar hasil lebih optimal,
audit dapat memperhitungkan masalah biaya
dimana dapat menggunakan framework Val
IT.
Daftar Pustaka
[1] Bakshi, Sunil. 2012. Risk it framework
for IT Risk Management: A Case Study
of National Stock Exchange of India
Limited. ISACA.
[2] Bayangkara, IBK. 2008. Audit
Manajemen:
Prosedur
dan
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
[16]
[17]
implementasi.
Jakarta:
Salemba
Empat.
Commonwealth of Australia. 2005.
Risk Analysis Framework.
Dewi, Eva Rosdiana. Audit Sistem
Informasi
Manajemen
Aset
Berdasarkan Perspektif Proses Bisnis
Internal Balanced Scorecard Dan
Standar Cobit 4.1 (Studi Kasus: PT.
Pertamina
(Persero)).
Surabaya:
Sistem informasi, Sekolah Tinggi
Manajemen Komputer & Teknik
Komputer.
Elieson, Brent D. 2006. Construction
of an IT Risk Framework. Seattle:
University of Washington.
Gadia,
Sailesh.
2011.
Cloud
Computing Risk Assessment - A Case
Study. ISACA Journal Volume 4.
ISACA. 2009. The Risk it framework.
ISACA.
2009.
The
Risk
IT
Practitioner Guide.
ISACA. 2013. IT Audit and Assurance
Standards and Guidelines.
Iskandar, Yudi. 2012. Analisis
Penerapan Framework Cobit 4.1
Dalam
Perencanaan
Dan
Implementasi Tata Kelola TI Sebagai
Usulan Pada PT. Total E&P
Indonesia.
Bandung:
Teknik
Informatika,
Institut
Teknologi
Telkom.
ITGI. 2000. COBIT Audit Guidelines.
ITGI.
2003.
Briefing
on
IT
Governance.
ITGI. 2007. COBIT 4.1.
Senft, Sandra dan Gallegos, Frederick.
2009. Information Technology Control
and Audit Third Edition. Auerbach
Publications.
Steuperaert, Dirk. 2010. Risk IT and
COBIT in practice. ISACA.
Svatá, Vlasta dan Fleischmann,
Martin. 2011. IS/IT Risk Management
in
Banking
Industry.
ACTA
OECONOMICA PRAGENSIA.
Ward, John dan Peppard, Joe. 2002.
Strategic Planning for Information
Systems. Inggris: John Wiley & Sons
Ltd.
Framework Risk IT dan COBIT 4.1
Gema Paulina1, Toto Suharto2, Erda Guslinar P3
1, 2, 3
Fakultas Informatika Telkom University
Jalan Telekomunikasi 1, Dayeuh Kolot Bandung 40257 Indonesia
1
gemapaulin@gmail.com
Abstrak
Implementasi teknologi informasi (TI) selain dapat memberikan manfaat juga dapat
menimbulkan risiko yang dapat merugikan dan mempengaruhi proses bisnis atau pekerjaan. Untuk
mengetahui dan memahami sudah sejauh mana Institut Manajemen Telkom (IMT) melakukan tindakantindakan yang dapat mengurangi kerugian yang mungkin muncul sebagai konsekuensi dalam
pemanfaatan TI maka perlu dilakukan audit terhadap tata kelola TI. Audit dengan memperhitungkan
risiko bisnis bertujuan untuk memastikan business assurance bagi perusahaan.
Awalnya dilakukan analisis risiko dengan menggunakan risk IT framework sebagai kerangka
kerja untuk mengidentifikasi risiko TI. Dari hasil identifikasi risiko terdapat 47 risiko yang harus
dimitigasi. Langkah selanjutnya adalah memetakan ke dalam COBIT 4.1, dimana hasilnya ada sebanyak
27 proses yang harus dikontrol yaitu PO1-PO8, PO10, AI1-AI3, AI5-AI7, DS1-DS7, DS9, DS11-DS13.
Proses-proses ini harus dipastikan penerapannya pada IMT agar risiko yang terjadi dapat diminimalisir.
Dari hasil audit yang dilakukan kemudian akan diberikan rekomendasi-rekomendasi sebagai saran
perbaikan pengelolaan TI di IMT.
Kata kunci: audit, COBIT, risiko, risk IT, tata kelola TI.
Abstract
Implementation of information technology (IT) provides benefits to works or business processes, but
can also pose risks. To know and understand, how well Institut Manajemen Telkom (IMT) is doing to
reduce the losses that may arise as a consequence of the use of IT, one must do an audit of IT governance.
Auditing with considering business risk aims to ensure business assurance for enterprise.
To identify IT risks, perform risk analysis using the risk IT framework. From the results of risk
identification there are 47 risks that must be mitigated. The next step is mapped to the COBIT 4.1. There
are 27 processes that need to be controlled, namely PO1 - PO8, PO10, AI1 - AI3, AI5 - AI7, DS1 - DS7,
DS9, DS11 - DS13. IMT should ensure that the practices of these processes are performed so that the
possibility of risk occured can be minimized. From the results of audits performed, IMT will be given the
recommendations as suggestions for improvement of IT management.
Keywords: auditing, COBIT, risk, risk IT, IT Governance.
1.
Pendahuluan
Dewasa ini teknologi informasi (TI)
mengambil
peran
penting
dalam
pengembangan suatu bisnis. Peppard dan
Ward, dalam penelitiannya mengindikasikan
bahwa fungsi TI adalah sebagai kontributor
penambah nilai ke dalam suatu bisnis dimana
faktor bisnis yang mempunyai hubungan baik
dengan faktor TI akan menghasilkan pengaruh
positif keperformansi bisnis suatu perusahaan
[17].
Namun implementasi TI dalam suatu
perusahaan selain dapat memberikan manfaat
juga dapat menimbulkan risiko yang dapat
merugikan dan mempengaruhi proses bisnis
atau pekerjaan. Risiko yang terkait adalah
penggunaan,
kepemilikan,
pengoprasian,
keterlibatan pengaruh dan penerapan TI dalam
perusahaan [7]. Beberapa kejadian risiko TI
yang kerap terjadi di antaranya adalah
kerusakan
atau
kegagalan
operasional
hardware atau software, serangan virus
komputer, kerusakan atau kehilangan data, dan
serangan hacker yang mengganggu jaringan
komputer dan situs web. Kegagalan atau
kesalahan dalam pengembangan proyek SI/ TI
juga dapat dikategorikan sebagai risiko TI
yang harus diantisipasi. Jika risiko-risiko
tersebut tidak dikelola dengan baik maka akan
menimbulkan dampak yang merugikan bagi
perusahaan dalam mencapai tujuannya.
Untuk mengetahui dan memahami sudah
sejauh mana perusahaan melakukan tindakantindakan yang dapat mengurangi kerugian
yang mungkin muncul sebagai konsekuensi
dalam pemanfaatan TI maka perlu dilakukan
audit terhadap tata kelola TI. Auditing
ditujukan
untuk
memastikan
business
assurance
bagi
perusahaan
dengan
memperhitungkan
business
risk
bagi
perusahaan.
Informasi ini akan sangat
berharga bagi perusahaan sebagai bahan untuk
melakukan program perbaikan dan membuat
kebijakan yang terkait dengan proses-proses
manajemen TI-nya.
Studi kasus dalam tugas akhir ini adalah tata
kelola TI di Institut Manajemen Telkom
(IMT). IMT yang memiliki visi menjadi
lembaga pendidikan tinggi dan penelitian
bidang “bisnis & manajemen konvergensi”
yang unggul di asia pada tahun 2021
memanfaatkan TI dalam proses bisnisnya.
Penggunaan TI di IMT dibagi dalam tiga
kategori yaitu kategori pendidikan, resource
management dan marketing information and
strategi.
2.
Landasan Teori
2.1 Risk IT Framework
Risk IT adalah suatu framework yang
didasarkan pada seperangkat prinsipprinsip penuntun untuk pengelolaan yang
efektif dari risk IT Framework pelengkap
COBIT, suatu framework komprehensif
untuk tata kelola dan pengendalian usaha
solusi berbasis IT dan layanan [7].
Risk IT framework terdiri dari tiga domain:
risk governance, risk evaluation, dan risk
response. Masing-masing domain berisi
tiga proses yang memiliki tujuan yang
dicapai dengan melakukan sejumlah
kegiatan.
Gambar 1: Risk IT Framework
2.2 COBIT 4.1
Control Objective for Information and related
Technology (COBIT) adalah suatu panduan
standar praktik manajemen TI [9]. Standar
COBIT dikeluarkan oleh IT Governance
Institute yang merupakan bagian dari ISACA.
COBIT 4.1 memiliki 4 cakupan domain, yaitu:
3.
1.
Perencanaan dan organisasi (plan and
organise)
2.
Pengadaan dan implementasi (acquire and
implement)
3.
Pengantaran dan dukungan (deliver and
support)
4.
Pengawasan dan evaluasi (monitor and
evaluate)
Metodologi dan Implementasi
3.1 Metodologi
Audit teknologi informasi dilakukan melalui
tiga proses utama yaitu menganalisis risikorisiko yang mungkin terjadi dengan risk IT
framewocrk kemudian dilanjutkan dengan
mitigasi risiko dengan memetakan hasil
analisis risiko ke dalam Framework COBIT 4.1
yang kemudian akan diaudit hasilnya dengan
tata kelola yang yang sebenarnya terjadi di
perusahaan. Pengerjaan audit ini akan melalui
proses pengumpulan data berupa kuisoner,
wawancara, observasi serta data-data kertas
kerja audit. Dari Studi literatur yang dilakukan
maka dapat disimpulkan gambaran umum
sistem audit adalah sebagai berikut
Gambar 2: Flowchart proses Audit TI
3.2 Implementasi
Pertama dilakukan pengestimasi frekuensi dan
dampak dari risiko yang ada dengan kuisoner.
Dimana kuisoner dilaksanakan terhadap objek
penilaian yang sesuai. Pemilihan objek
penilaian disesuaikan dengan diagram RACI
untuk proses RR1 pada framework Risk IT
yang dipetakan dengan kondisi struktur
organisasi di IM Telkom. Menilai objek
penilaian dilakukan agar penilaian sesuai
dengan
sasaran
terhadap
unit
yang
bertanggung jawab dengan proses terkait..
4.
risiko
yang
mungkin
terjadi
dapat
diminimalisir. Oleh karena itu dalam audit tata
kelola TI ini digunakan 72 kontrol.
Pengurangan kontrol ini dilakukan karena
penerapan kontrol yang banyak dapat berakibat
ketidakefisienan khususnya dalam biaya.
Selain itu dalam satu risiko dikontrol oleh
beberapa kontrol yang berbeda maka apabila
ada satu kontrol yang dieliminasi karena hanya
muncul pada risiko itu saja, masih ada kontrol
lain yang mendukung pengontrolan risiko
tersebut.
Hasil kuisoner pada penilaian estimasi
frekuensi dan dampak risiko dipetakan dalam
risk map. Risk map digunakan sebagai alat
grafik untuk mengurutkan dan menampilkan
risiko dengan mendefinisikan tingkat frekuensi
dan besarnya risiko. Dari risk map akan
Dari hasil wawancara yang merupakan hasil
terlihat risiko mana yang akan menjadi
audit dapat disimpulkan bahwa kondisi saat ini
prioritas untuk dilakukan mitigasi agar
mengurangi dampak dari risiko yang mungkin
IM Telkom umumnya berada pada level
terjadi.
kematangan tiga. Dimana level target yang
Analisis
diharapkan dalam pengelolaan risiko adalah
Setelah pemetaan risiko terhadap toleransinya
pada level empat yaitu terkelola dan terukur.
maka selanjutnya adalah menganalisis respon
Pemilihan level target ini berdasarkan
terhadap risiko yang ada tersebut. Respon
pertimbangan hasil yang didapat dari audit,
risiko yang diaccept adalah risiko yang apabila
dimana penyebaran nilai kematangannya
terjadi pihak IM Telkom dapat menanggulangi
tersebar diantara level dua sampai empat.
atau menerima dampak yang terjadi, yang pada
Apabila pengelolaan TI telah berada pada level
risk map ditandai dengan warna hijau dan
empat yang merupakan level dimana TI telah
ungu. Untuk respon yang di share/transfer
terkelola dan terukur dengan baik maka risiko
merupakan risiko yang dampaknya dapat
yang mungkin terjadi dapat diminimalisir.
diminimalisir dengan mentransfer atau berbagi
Berikut adalah grafik temuan audit yang
sebagian dari risiko seperti asuransi. Avoid
membandingkan current level dengan target
adalah
tindakan
yang
mengharuskan
level.
menghindari atau keluar dari aktivitas atau
kondisi yang memberikan risiko. Risiko yang
PO1
di reduce/mitigate adalah risiko yang dengan
ME35
PO2
DS13
PO3
prioritas tertinggi yaitu pada toleransi really
DS12
PO4
4
unacceptable risk dan unacceptable risk dan
DS11
PO5
3
risiko tersebut tidak dapat di share ataupun
DS9
PO6
2
tidak di avoid. Berikut adalah tabel dari DS7
1
PO7
Current Level
respon terhadap risiko-risiko tersebut.
0
DS6
PO8
Target Level
PO10
Dari hasil pemetaan risiko yang dimitigasi DS5
AI1
terhadap COBIT 4.1 terdapat 105 kontrol yang DS4
DS3
AI2
sesuai. Setelah berdiskusi dengan pihak yang
DS2
AI3
dijadikan objek penilaian, bagian SISFO IM
DS1 AI7
AI6 AI5
Telkom, yaitu manajernya maka kontrol yang
akan diaudit tata kelolanya adalah kontrol yang
Gambar 3: Perbandingan current level dengan
kemunculannya lebih dari sekali terhadap
target level
risiko yang dimitigasi.
Berikut adalah tabel cuplikan dari rekomendasi
yang diberikan sebagai saran perbaikan
Kontrol yang hanya muncul sekali, yang hanya
pengelolaan TI di IM Telkom:
sesuai dengan satu risiko saja tidak akan
Tabel 1: Rekomendasi
diaudit tata kelolanya. Jika kemunculan
Proses
Rekomendasi
TI
kontrol
tersebut
semakin
sering
1. melakukan proses monitoring pada
mengindikasikan bahwa kontrol tersebut harus
PO1
pelaksanaan strategi TI
diimplementasikan dalam organisasi agar
2. melakukan pengukuran efektivitas
terhadap
proses-proses
yang
dilaksanakan
3. membuat rencana jangka pendek dan
panjang terhadap strategi TI yang
selalu diperbaharui sesuai kebutuhan
lapangan.
4. memperjelas proses penggunaan
sumber daya internal dan eksternal
dalam pengembangan sistem
5.
Kesimpulan dan Saran
Berdasarkan audit yang telah dilakukan di IM
Telkom dapat disimpulkan bahwa:
1.
2.
3.
Tata kelola Risiko di IM Telkom agar
terkelola dengan baik berdasarkan analisis
risiko yang telah dilakukan menggunakan
27 proses pada COBIT 4.1 yaitu PO1PO8, PO10, AI1-AI3, AI5-AI7, DS1-DS7,
DS9, DS11-DS13 serta ME3. Dimana
total kontrol TInya sebanyak 72.
Tata kelola TI untuk penanganan risiko di
IM Telkom masih butuh pengeloalaan
lebih lanjut. Dimana umumnya nilai
kematangan TInya berada pada level tiga
yakni tersedianya proses yang mengatur
pengelolaan
TI.
Namun
untuk
mengoptimalkan tata kelola TI agar
pengananan terhadap risiko lebih optimal
level kematangannya sebaiknya berada
pada poin empat yaitu terkelola dan
terukur.
Secara umum rekomendasi yang dapat
diberikan
sebagai
saran
untuk
pengembangan tata kelola TI di IMT yaitu
membuat metode formal (dokumen proses
yang memanfaatkan metode matematika
sebagai penjejelasannya) atau standar
untuk proses TI yang belum memiliki
standar
formal
(dokumen
yang
menjelaskan setiap proses tata kelola)
serta memastikan atau mengukur seluruh
standar proses TI yang ada telah
dilaksanakan yang didukung dengan file
dokumentasi.
Pada penelitian ini audit yang diterapkan tidak
membahas mengenai risiko keuangan, untuk
penelitian selanjutnya agar hasil lebih optimal,
audit dapat memperhitungkan masalah biaya
dimana dapat menggunakan framework Val
IT.
Daftar Pustaka
[1] Bakshi, Sunil. 2012. Risk it framework
for IT Risk Management: A Case Study
of National Stock Exchange of India
Limited. ISACA.
[2] Bayangkara, IBK. 2008. Audit
Manajemen:
Prosedur
dan
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
[16]
[17]
implementasi.
Jakarta:
Salemba
Empat.
Commonwealth of Australia. 2005.
Risk Analysis Framework.
Dewi, Eva Rosdiana. Audit Sistem
Informasi
Manajemen
Aset
Berdasarkan Perspektif Proses Bisnis
Internal Balanced Scorecard Dan
Standar Cobit 4.1 (Studi Kasus: PT.
Pertamina
(Persero)).
Surabaya:
Sistem informasi, Sekolah Tinggi
Manajemen Komputer & Teknik
Komputer.
Elieson, Brent D. 2006. Construction
of an IT Risk Framework. Seattle:
University of Washington.
Gadia,
Sailesh.
2011.
Cloud
Computing Risk Assessment - A Case
Study. ISACA Journal Volume 4.
ISACA. 2009. The Risk it framework.
ISACA.
2009.
The
Risk
IT
Practitioner Guide.
ISACA. 2013. IT Audit and Assurance
Standards and Guidelines.
Iskandar, Yudi. 2012. Analisis
Penerapan Framework Cobit 4.1
Dalam
Perencanaan
Dan
Implementasi Tata Kelola TI Sebagai
Usulan Pada PT. Total E&P
Indonesia.
Bandung:
Teknik
Informatika,
Institut
Teknologi
Telkom.
ITGI. 2000. COBIT Audit Guidelines.
ITGI.
2003.
Briefing
on
IT
Governance.
ITGI. 2007. COBIT 4.1.
Senft, Sandra dan Gallegos, Frederick.
2009. Information Technology Control
and Audit Third Edition. Auerbach
Publications.
Steuperaert, Dirk. 2010. Risk IT and
COBIT in practice. ISACA.
Svatá, Vlasta dan Fleischmann,
Martin. 2011. IS/IT Risk Management
in
Banking
Industry.
ACTA
OECONOMICA PRAGENSIA.
Ward, John dan Peppard, Joe. 2002.
Strategic Planning for Information
Systems. Inggris: John Wiley & Sons
Ltd.