ABSTRAK

Teknologi informasi telah lama digunakan dalam proses bisnis di PT Pos Indonesia dan diharapkan mampu memberikan nilai tambah guna pencapaian tujuan instansi. Penerapan teknologi informasi juga mengandung risiko yang dapat mengganggu proses bisnis itu sendiri sehingga menyebabkan kerugian bagi instansi. Karenanya instansi harus memahami dan mengantisipasi setiap potensi risiko yang dapat terjadi. Penerapan manajemen risiko teknologi informasi yang baik bertujuan mengurangi dampak negatif risiko yang mungkin muncul. Untuk mengetahui sejauh mana penerapan tata kelola risiko yang berhubungan dengan teknologi informasi maka perlu dilakukan evaluasi. Penelitian akan menggunakan framework Risk IT dengan domain Risk Governance sebagai standar manajemen risiko teknologi informasi yang dikeluarkan oleh ISACA untuk mengevaluasi tata kelola manajemen risiko teknologi informasi pada PT Pos Indonesia. Proses evaluasi akan mengacu pada model kematangan yang telah didefinisikan oleh framework Risk IT untuk mengukur tingkat kematangan kondisi tata kelola manajemen risiko teknologi informasi pada PT Pos Indonesia. Hasil tingkat kematangan pada domain Risk Governance yang diperoleh akan menunjukkan derajat kualitas pelaksanaan tata kelola manajemen risiko teknologi informasi di PT Pos Indonesia khususnya yang ada pada bagian direktorat teknologi dan jasa keuangan di sistem pos remittance dan dapat digunakan sebagai bahan untuk melakukan perbaikan-perbaikan pada aspek yang dinilai kurang di PT Pos Indonesia. Kata kunci : Manajemen Risiko TI, Risk Governance, Framework Risk IT

ABSTRACT

Information technology has long been used in business processes at the PT Pos Indonesia and are expected to provide added value to the achievement of enterprise goals. In addition to its benefits, the application of information technology also contains risks that may affect the business process itself, causing losses for the enterprise. Therefore, enterprise must understand and anticipate any potential risks that may occur. Application of good information technology risk management aim to reduce the negative impacts of risk that may arise. To find out the extent to which enterprise manage the risks associated with information technology it needs to be evaluated. The research will use the Risk IT framework with Risk Governance domain approach as an information technology risk management standards issued by ISACA to evaluate the implementation of risk management governance at the PT Pos Indonesia. The evaluation process will be based on a maturity model that has been defined by the Risk IT framework to measure the maturity level of information technology risk management governance conditions at the PT Pos Indonesia. The maturity level results would indicate the quality degrees of implementation of information technology risk management governance at the PT Pos Indonesia especially at the technology and financial services division with pos remittance system and can be used as an ingredient to make improvements in aspects that were considered less at the PT Pos Indonesia. Keywords : IT Risk Management, Risk Governance, Risk IT Framework

DAFTAR ISI

PRAKATA ... i

ABSTRAK ... iii

ABSTRACT ... iv

DAFTAR ISI ... v

DAFTAR GAMBAR ...vii

DAFTAR TABEL ... viii

DAFTAR LAMPIRAN ... ix

BAB I PENDAHULUAN ... 1

1.1 Latar Belakang ... 1

1.2 Rumusan Masalah ... 2

1.3 Tujuan Pembahasan ... 2

1.4 Ruang Lingkup Kajian ... 2

1.6 Sistematika Penyajian ... 3

BAB II KAJIAN TEORI ... 5

2.1 Konsep Sistem Informasi dan Teknologi Informasi ... 5

2.2 Konsep Risiko ... 6

2.3 Konsep Manajemen Risiko ... 8

2.4 Konsep Manajemen Risiko Teknologi Informasi ... 8

2.5 Risk IT Framework ... 11

2.5 Model Kematangan (Maturity Models) ... 23

BAB III ANALISIS DAN EVALUASI ... 37

3.1 Sejarah PT Pos Indonesia ... 37

3.1.1 Visi dan Misi Perusahaan... 38

3.1.2 Struktur Organisasi ... 39

3.2 Penjelasan Sistem Informasi ... 41

3.3 Proses Bisnis Pos Remittance ... 42

3.3.1 Flowmap WeselPos Instan (Kirim) ... 44

3.3.2 Flowmap WeselPos Instan (Bayar) ... 46

3.3.3 Flowmap WeselPos Prima (Kirim) ... 48

3.3.4 Flowmap WeselPos Prima (Bayar) ... 50

3.3.5 Proses WeselPos Kemitraan Operation ... 53

3.4 Risk IT Framework ... 54

3.4.1 Hasil Analisis Domain Risk Governance ... 54

3.4.3 Model Kematangan Risk Governance ... 66

BAB IV SIMPULAN DAN SARAN ... 72

4.1 Simpulan ... 72

4.2 Saran ... 73

DAFTAR PUSTAKA ... 74

DAFTAR GAMBAR

Gambar 1 IT Risk dalam Hirarki Risiko ... 10

Gambar 2 Risk IT Framework ... 12

Gambar 3 Risk IT Framework Process Model Overview ... 14

Gambar 4 Struktur Organisasi PT Pos Indonesia ... 39

Gambar 5 Struktur Organisasi Direktorat Teknologi dan Jasa Keuangan... 40

Gambar 6 Infrastruktur Aplikasi Layanan di Bagian Jasa Keuangan ... 41

Gambar 7 Proses Bisnis Secara Umum Pos Remittance ... 44

Gambar 8 Flowmap WeselPos Instan (Kirim) ... 46

Gambar 9 Flowmap WeselPos Instan (Bayar) ... 48

Gambar 10 Flowmap WeselPos Prima (Kirim) ... 50

Gambar 11 Flowmap WeselPos Prima (Bayar) ... 52

Gambar 12 Proses WeselPos Kemitraan Operation ... 53

DAFTAR TABEL

Tabel I. Model Kematangan Risk Governance Bagian I ... 27

Tabel II. Model Kematangan Risk Governance Bagian II ... 33

Tabel III. Kejadian Pos Remittance ... 62

Tabel IV. Kebijakan Keamanan ... 64

Tabel V. Maturity Level Proses RG1 ... 66

Tabel VI. Maturity Level Proses RG2 ... 68

DAFTAR LAMPIRAN

Lampiran A Executive Summary ... A.1 Lampiran B Struktur Organisasi Manajemen Risiko dan GCG ... B.1 Lampiran C Tugas dan Wewenang Divisi Manajemen Risiko dan GCG ... C.1 Lampiran D Toleransi Risiko ... D.1 Lampiran E Kebijakan Risiko TI... E.1 Lampiran F Pedoman Penerapan Manajemen Risiko ... F.1 Lampiran G Materi Pelatihan RSPOS... G.1 Lampiran H Gambar Campaign ... H.1 Lampiran I Screenshoot Website Monitoring Case and Complain Handling ... I.1 Lampiran J Screenshoot Website Monitoring Networking Pos ... J.1 Lampiran K Struktur Organisasi dan Pengelolaan Teknologi Informasi ... K.1 Lampiran L Penanganan Keamanan Informasi... L.1 Lampiran M Petunjuk Teknis Pos Remittance ... M.1 Lampiran N Petunjuk Pelaksanaan Pos Remittance ... N.1 Lampiran O Wawancara ... O.1

1

BAB I

PENDAHULUAN

1.1 Latar Belakang

Dunia teknologi dari tahun ke tahun semakin memperlihatkan kemajuan

perkembangannya yang sangat pesat. Hal ini mendorong setiap orang atau

organisasi untuk dapat mengikutinya seiring dengan berjalannya waktu.

Suatu informasi juga mempunyai dampak yang cukup besar terhadap

perkembangan instansi / perusahaan itu sendiri.

PT Pos Indonesia merupakan salah satu perusahaan jasa yang

menjalankan bisnis di layanan pengiriman dokumen dan barang serta misi

sosial demi memenuhi kebutuhan masyarakat Indonesia. Pos Indonesia

berupaya untuk meningkatkan mutu pelayanan yang berorientasi pada

kepuasan pelanggan dengan memperhatikan efisiensi dan efektifitas sumber

daya, serta kemampuan meningkatkan laba usaha melalui pemanfaatan ilmu

pengetahuan dan teknologi.

Dalam menjalankan bisnisnya teknologi informasi telah berperan sangat

baik karena mampu memberikan nilai tambah guna pencapaian tujuan

instansi, PT Pos Indonesia menyadari tentang risiko-risiko yang mungkin

terjadi terhadap teknologi informasi yang bisa menyebabkan kegagalan

dalam menjalankan fungsi sistem informasi sehingga bisa menyebabkan

kerugian-kerugian bagi perusahaan. Jika risiko-risiko tersebut tidak dikelola

dengan baik maka akan menimbulkan dampak yang merugikan bagi

perusahaan dalam mencapai tujuannya. Berdasarkan risiko-risiko yang

mungkin terjadi tersebut, maka PT Pos Indonesia ingin menganalisis

bagaimana

penerapan

manajemen

risiko

yang

ada

agar

dapat

melaksanakan tindakan yang dapat dilakukan untuk mengendalikan dan

meminimalkan risiko-risiko tersebut. Analisis yang digunakan dalam laporan

ini adalah dengan Risk IT framework domain Risk Governance yang

menyediakan panduan lengkap untuk mengontrol bisnis berbasis teknologi

informasi berdasarkan solusi sehingga dapat membantu memberikan

pandangan yang akurat tentang keadaan teknologi informasi terkait tata

2

Universitas Kristen Maranatha

kelola risiko yang ada pada divisi teknologi dan jasa keuangan di PT Pos

Indonesia sistem aplikasi pos remittance.

1.2 Rumusan Masalah

Berdasarkan pada latar belakang masalah yang diatas, maka

permasalahan pokok yang akan dibahas dalam penelitian Tugas Akhir ini

adalah :

1. Bagaimana kondisi penerapan manajemen risiko teknologi informasi di PT

Pos Indonesia berdasarkan pada Risk IT framework domain Risk

Governance?

2. Berapa ukuran tingkat kematangan berdasarkan model kematangan pada

Risk IT framework domain Risk Governance?

1.3 Tujuan Pembahasan

Tujuan dilakukannya manajemen risiko menggunakan Risk IT framework

dalam tugas akhir ini antara lain:

1. Mengetahui kondisi penerapan manajemen risiko teknologi informasi yang

sedang berjalan di PT POS Indonesia sesuai Risk IT framework domain

Risk Governance.

2. Mengukur tingkat kematangan tentang sejauh mana penerapan tata kelola

manajemen risiko yang ada agar dapat membantu memahami untuk

menilai tata kelola risiko yang ada di organisasi.

1.4 Ruang Lingkup Kajian

Ruang lingkup sistem yang akan dirancang pada tugas akhir ini adalah

sebagai berikut :

1. Analisis yang dilakukan hanya pada bidang teknologi informasi di PT Pos

Indonesia pada divisi teknologi dan jasa keuangan di sistem aplikasi Pos

Remittance.

2. Penelitian yang dikerjakan adalah dengan menggunakan Risk IT

3

Universitas Kristen Maranatha

1.5 Sumber Data

Tahap pengumpulan data untuk mengidentifikasi masalah dalam

penelitian dan penulisan Tugas Akhir diperoleh dari :

1. Observasi

Tahap dimana diusahakan untuk mengumpulkan data-data dengan

melakukan pengamatan pada organisasi bersangkutan agar lebih

terinci dalam mendefinisikan masalah.

2. Wawancara

Tahap dimana diusahakan untuk mengumpulkan data-data dengan

melakukan wawancara pada pihak-pihak di organisasi bersangkutan

agar lebih terinci dalam mendefinisikan masalah.

3. Studi Kepustakaan

Pengumpulan data dengan cara membaca dan mempelajari

buku-buku pedoman yang sesuai dengan permasalahan dan topik yang

dibahas.

1.6 Sistematika Penyajian

Sistematika dalam penulisan laporan yaitu:

BAB I PENDAHULUAN

Bab ini mengemukakan tentang gambaran keseluruhan mengenai latar

belakang, rumusan masalah, tujuan pembahasan, ruang lingkup kajian,

sumber data, dansistematika penulisan.

BAB II KAJIAN TEORI

Bab ini berisi tentang teori-teori dasar yang akan digunakan dalam

proses penyusunan laporan tugas akhir, dalam kasus ini akan

dikemukakan mengenai manajemen risiko, dan penjelasan mengenai

Risk IT Framework yang akan digunakan selama masa penelitian di

4

Universitas Kristen Maranatha

BAB III ANALISIS DAN EVALUASI

Bab ini berisi tentang profil perusahaan, dan mengenai pokok

permasalahan yang terdapat dalam ruang lingkup masalah sebagai

jawaban dari rumusan masalah yang ditulis sebelumnya.

BAB IV SIMPULAN DAN SARAN

Bab ini membahas tentang simpulan dari hasil penelitian dan saran untuk

penelitian selanjutnya.

72

BAB IV SIMPULAN DAN SARAN

4.1 Simpulan

Berdasarkan hasil dari analisis dari Risk IT Framework domain Risk

Governance didapatkan jawaban dari rumusan masalah yaitu sebagai

berikut:

1. Praktek manajemen risiko TI telah disampaikan dalam PT Pos

Indonesia, tetapi dalam penyesuaian risiko belum secara optimal

dilakukan dimana belum adanya laporan khusus untuk pengukuran

keberhasilan dilakukannya manajemen risiko TI, bagian risiko TI yang

ada tidak secara rutin melaporkan kejadian yang terjadi kepada

komite manajemen risiko perusahaan, diskusi mengenai risiko TI yang

ada pun dilakukan apabila kejadian sudah terjadi, dan juga dimana

pelatihan hanya berdasarkan isu-isu risiko yang terkait pada saat itu

dan kegiatan monitoring hanya tercatat pada sistem.

2. Maturity level untuk setiap proses di domain Risk Governance dari

rata-rata maturity level dari key activities adalah:

a. Proses RG1 pada level 2 dimana sudah adanya kesadaran

perusahaan dalam mendiskusikan dan menyampaikan risiko TI di

perusahaan namun toleransi risiko yang dibahas masih hanya

berdasarkan pada perkembangan teknologi, kebutuhan, dan

ketrampilan yang dibutuhkan di perusahaan saat ini dan belum

adanya perencanaan secara teratur untuk kegiatan komunikasi

yang membahas risiko TI di perusahaan.

b. Proses RG2 pada level 2 dimana sudah adanya bagian yang

menangani risiko TI di perusahaan dan komite manajemen risiko

perusahaan yang menyediakan pedoman manajemen risiko dan

sumber-sumber untuk menangani risiko TI namun risiko TI masih

difokuskan pada isu-isu risiko yang ada pada perusahaan dan

bagian risiko TI yang ada masih belum sepenuhnya bergerak

73

Universitas Kristen Maranatha

bersama dengan komite manajemen risiko yang ada di

perusahaan.

c. Proses RG3 pada level 3 dimana sejauh ini PT Pos Indonesia

sudah mempertimbangkan efek-efek dari risiko TI dan menentukan

tindakan-tindakan yang harus dilakukan dalam menyikapi risiko TI

namun untuk diskusi dalam melakukan analisis risiko masih

diserahkan ke bagian TI di perusahaan dan pertimbangan risiko

yang ada masih berdasarkan isu-isu risiko yang ada serta hanya

pada yang paling sering terjadi di perusahaan.

4.2 Saran

Berdasarkan hasil analisis yang telah dilakukan terhadap tata kelola

manajemen risiko PT Pos Indonesia maka saran yang diberikan penulis

untuk penelitian selanjutnya adalah untuk melakukan analisis dan

pengukuran model kematangan terhadap penerapan manajemen risiko

berdasarkan domain Risk Evaluation untuk memastikan bahwa hubungan

risiko TI dengan peluang-peluang yang ada telah diidentifikasi, dianalisis dan

ditampilkan dalam terminologi bisnis dan domain Risk Response untuk

memastikan bahwa persoalan risiko TI, peluang dan kejadian-kejadian telah

disampaikan dalam kebijakan perusahaan.

74

Universitas Kristen Maranatha

DAFTAR PUSTAKA

Gondodiyoto, S. (2007). Audit Sistem Informasi dan Pendekatan Cobit. Jakarta: Mitra Wacana Media.

ISACA. (2009). The Risk IT Framework. Diakses pada 15 April 2013, tersedia online di

http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/The-Risk-IT-Framework.aspx

McLeod Jr, Raymond., & Schell, George P. (2008). Sistem Informasi Manajemen (Edisi 10). Jakarta: Salemba Empat.

Pramana, T. (2011). Manajemen Risiko Bisnis. Jawa Timur: Sinar Ilmu Publishing. PT Pos Indonesia. Diakses pada 2 Mei 2013, tersedia online di http://www.posindonesia.co.id/

The ISO 27000 Directory 2007. (2007). The ISO27001 Certification Process. Diakses pada 2 Mei 2013, tersedia online di http://www.27000.org/ismsprocess.htm

2

Universitas Kristen Maranatha kelola risiko yang ada pada divisi teknologi dan jasa keuangan di PT Pos Indonesia sistem aplikasi pos remittance.

1.2 Rumusan Masalah

Berdasarkan pada latar belakang masalah yang diatas, maka permasalahan pokok yang akan dibahas dalam penelitian Tugas Akhir ini adalah :

1. Bagaimana kondisi penerapan manajemen risiko teknologi informasi di PT Pos Indonesia berdasarkan pada Risk IT framework domain Risk

Governance?

2. Berapa ukuran tingkat kematangan berdasarkan model kematangan pada

Risk IT framework domain Risk Governance?

1.3 Tujuan Pembahasan

Tujuan dilakukannya manajemen risiko menggunakan Risk IT framework dalam tugas akhir ini antara lain:

1. Mengetahui kondisi penerapan manajemen risiko teknologi informasi yang sedang berjalan di PT POS Indonesia sesuai Risk IT framework domain

Risk Governance.

2. Mengukur tingkat kematangan tentang sejauh mana penerapan tata kelola manajemen risiko yang ada agar dapat membantu memahami untuk menilai tata kelola risiko yang ada di organisasi.

1.4 Ruang Lingkup Kajian

Ruang lingkup sistem yang akan dirancang pada tugas akhir ini adalah sebagai berikut :

1. Analisis yang dilakukan hanya pada bidang teknologi informasi di PT Pos Indonesia pada divisi teknologi dan jasa keuangan di sistem aplikasi Pos

Remittance.

2. Penelitian yang dikerjakan adalah dengan menggunakan Risk IT

Universitas Kristen Maranatha

1.5 Sumber Data

Tahap pengumpulan data untuk mengidentifikasi masalah dalam penelitian dan penulisan Tugas Akhir diperoleh dari :

1. Observasi

Tahap dimana diusahakan untuk mengumpulkan data-data dengan melakukan pengamatan pada organisasi bersangkutan agar lebih terinci dalam mendefinisikan masalah.

2. Wawancara

Tahap dimana diusahakan untuk mengumpulkan data-data dengan melakukan wawancara pada pihak-pihak di organisasi bersangkutan agar lebih terinci dalam mendefinisikan masalah.

3. Studi Kepustakaan

Pengumpulan data dengan cara membaca dan mempelajari buku-buku pedoman yang sesuai dengan permasalahan dan topik yang dibahas.

1.6 Sistematika Penyajian

Sistematika dalam penulisan laporan yaitu: BAB I PENDAHULUAN

Bab ini mengemukakan tentang gambaran keseluruhan mengenai latar belakang, rumusan masalah, tujuan pembahasan, ruang lingkup kajian, sumber data, dansistematika penulisan.

BAB II KAJIAN TEORI

Bab ini berisi tentang teori-teori dasar yang akan digunakan dalam proses penyusunan laporan tugas akhir, dalam kasus ini akan dikemukakan mengenai manajemen risiko, dan penjelasan mengenai

Risk IT Framework yang akan digunakan selama masa penelitian di

4

Universitas Kristen Maranatha BAB III ANALISIS DAN EVALUASI

Bab ini berisi tentang profil perusahaan, dan mengenai pokok permasalahan yang terdapat dalam ruang lingkup masalah sebagai jawaban dari rumusan masalah yang ditulis sebelumnya.

BAB IV SIMPULAN DAN SARAN

Bab ini membahas tentang simpulan dari hasil penelitian dan saran untuk penelitian selanjutnya.

72

4.1 Simpulan

Berdasarkan hasil dari analisis dari Risk IT Framework domain Risk

Governance didapatkan jawaban dari rumusan masalah yaitu sebagai

berikut:

1. Praktek manajemen risiko TI telah disampaikan dalam PT Pos Indonesia, tetapi dalam penyesuaian risiko belum secara optimal dilakukan dimana belum adanya laporan khusus untuk pengukuran keberhasilan dilakukannya manajemen risiko TI, bagian risiko TI yang ada tidak secara rutin melaporkan kejadian yang terjadi kepada komite manajemen risiko perusahaan, diskusi mengenai risiko TI yang ada pun dilakukan apabila kejadian sudah terjadi, dan juga dimana pelatihan hanya berdasarkan isu-isu risiko yang terkait pada saat itu dan kegiatan monitoring hanya tercatat pada sistem.

2. Maturity level untuk setiap proses di domain Risk Governance dari rata-rata maturity level dari key activities adalah:

a. Proses RG1 pada level 2 dimana sudah adanya kesadaran perusahaan dalam mendiskusikan dan menyampaikan risiko TI di perusahaan namun toleransi risiko yang dibahas masih hanya berdasarkan pada perkembangan teknologi, kebutuhan, dan ketrampilan yang dibutuhkan di perusahaan saat ini dan belum adanya perencanaan secara teratur untuk kegiatan komunikasi yang membahas risiko TI di perusahaan.

b. Proses RG2 pada level 2 dimana sudah adanya bagian yang menangani risiko TI di perusahaan dan komite manajemen risiko perusahaan yang menyediakan pedoman manajemen risiko dan sumber-sumber untuk menangani risiko TI namun risiko TI masih difokuskan pada isu-isu risiko yang ada pada perusahaan dan bagian risiko TI yang ada masih belum sepenuhnya bergerak

73

Universitas Kristen Maranatha bersama dengan komite manajemen risiko yang ada di perusahaan.

c. Proses RG3 pada level 3 dimana sejauh ini PT Pos Indonesia sudah mempertimbangkan efek-efek dari risiko TI dan menentukan tindakan-tindakan yang harus dilakukan dalam menyikapi risiko TI namun untuk diskusi dalam melakukan analisis risiko masih diserahkan ke bagian TI di perusahaan dan pertimbangan risiko yang ada masih berdasarkan isu-isu risiko yang ada serta hanya pada yang paling sering terjadi di perusahaan.

4.2 Saran

Berdasarkan hasil analisis yang telah dilakukan terhadap tata kelola manajemen risiko PT Pos Indonesia maka saran yang diberikan penulis untuk penelitian selanjutnya adalah untuk melakukan analisis dan pengukuran model kematangan terhadap penerapan manajemen risiko berdasarkan domain Risk Evaluation untuk memastikan bahwa hubungan risiko TI dengan peluang-peluang yang ada telah diidentifikasi, dianalisis dan ditampilkan dalam terminologi bisnis dan domain Risk Response untuk memastikan bahwa persoalan risiko TI, peluang dan kejadian-kejadian telah disampaikan dalam kebijakan perusahaan.

74

Universitas Kristen Maranatha Gondodiyoto, S. (2007). Audit Sistem Informasi dan Pendekatan Cobit. Jakarta: Mitra Wacana Media.

ISACA. (2009). The Risk IT Framework. Diakses pada 15 April 2013, tersedia online di

http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/The-Risk-IT-Framework.aspx

McLeod Jr, Raymond., & Schell, George P. (2008). Sistem Informasi Manajemen (Edisi 10). Jakarta: Salemba Empat.

Pramana, T. (2011). Manajemen Risiko Bisnis. Jawa Timur: Sinar Ilmu Publishing.

PT Pos Indonesia. Diakses pada 2 Mei 2013, tersedia online di

http://www.posindonesia.co.id/

The ISO 27000 Directory 2007. (2007). The ISO27001 Certification Process. Diakses pada 2 Mei 2013, tersedia online di http://www.27000.org/ismsprocess.htm