Penilaian Kapabilitas Manajemen Risiko Teknologi Informasi Menggunakan Kerangka Cobit 5 (Studi Kasus: Daerah Operasional (DAOP) XX)
Vol. 2, No. 12, Desember 2018, hlm. 6828-6836 http://j-ptiik.ub.ac.id
Penilaian Kapabilitas Manajemen Risiko Teknologi Informasi
Menggunakan Kerangka Cobit 5
(Studi Kasus: Daerah Operasional (DAOP) XX)
1 2 3 Nadya Mardiana Rahmania , Suprapto , Andi Reza PerdanakusumaProgram Studi Sistem Informasi, Fakultas Ilmu Komputer, Universitas Brawijaya 1 andireza@gmail.com
Abstrak
Daerah Operasinal atau disingkat dengan DAOP XX Surabaya atau DAOP XX adalah salah
satu daerah operasi perkeretaapian Indonesia, di bawah lingkungan PT Kereta Api Indonesia
(Persero) yang berada di bawah Direksi PT Kereta Api Indonesia.DAOP XX memiliki unit
yang bergerak dalam teknologi informasi yaitu unit sistem informasi. Berkembang dengan
baiknya teknologi pada DAOP XX membuat hampir seluruh proses bisnisnya
terkomputerisasi dan terstandarisasi oleh ISO, namun dalam praktiknya masih terdapat
beberapa kendala dalam manajemen pengelolaan infrastruktur,pencegahan dan pengendalian
risiko.Untuk itu diperlukan penilaian kapabilitas manajemen risiko dengan menggunakan
kerangka kerja COBIT 5. Dalam penilaianya dipilih 3 subdomain yaitu subdomain EDM03
(Ensure Risk Optimisastion), APO12(Manage Risk) dan DSS02 (Manage Service Request and
Incident ). Penilaiaan kapabilitas yang dilakukan melalui 3 jenis pengumpulan data yaitu,
kuesioner, wawancara dan observasi. Dari hasil penilaian yang dilakukan, disimpulkan bahwa
nilai kapabilitas dari masing-masing subdomain adalah 2 dengan nilai kesenjangan (gap)
sebesar 1.Rekomendasi diberikan untuk ketiga subdomain agar mencapai target level.
Terdapat 6 rekomendasi untuk subdomain EDM03, 6 rekomendasi untuk subdomain APO12
dan 3 rekomendasi untuk subdomain DSS02.Kata kunci: COBIT 5, tingkat kapabilitas, analisis gap, manajemen risiko
Abstract
Operation Area VIII Surabaya or abbreviated as DAOP XX or DAOP XX is one of the
Indonesian railways operating areas, under the environment of PT Kereta Api Indonesia
(Persero) under the Board of Directors of PT Kereta Api Indonesia.DAOP XX has a unit
engaged in information technology namely the information system unit. The well-developed
technology in DAOP XX makes almost all of its business processes computerized and
standardized by ISO, but in practice there are still some obstacles in infrastructure
management, risk prevention and control. Therefore, It was necessary to a pssess risk
management capabilities using the COBIT 5 framework. In the assessment 3 subdomain were
selected. These were EDM03 (Ensure Risk Optimisation), APO12 (Manage Risk) and DSS02
(Manage Service Request and Incident). Capability assesment was done through 3 types of
data retrieval ie, questionnaires, interviews and observation. From the results of the
assessment, it was concluded that the capability value of each subdomain was 2 with the gap
value of 1. The recommendation was given to the three subdomains in order to reach the
target level. There were 6 recommendations for the EDM03 subdomain.There were further 6
recommendations for the APO12 subdomain and 3 recommendations for the DSS02 subdomain.Key Word: COBIT 5, capability level, gap analysis, risk management Fakultas Ilmu Komputer Universitas Brawijaya
6828
1. PENDAHULUAN
Penggunaan COBIT 5 untuk menilai kapabilitas manajemen risiko sebelumnya sudah pernah dilakukan oleh M.Habibullah pada Perum Jasa Tirta Malang. Dari penelitian menurut Arif(2018) bisa disimpulkan bahwa kemampuan Perum Jasa Tirta I Malang dalam menjalankan proses Ensure Risk Optimitation(EDM03) dan Manage Risk (APO12), masing-masing domain memiliki level 2. Kemudian gap yang terbentuk antara nilai capability level saat ini dan yang ingin dicapai adalah 1.
risiko ,mengidentifikasi dan mengelola
risk appetite atau kapabilitas menerima
mengetahui kemampuan mendefinisikan
optimization (EDM03) adalah perusahaan
Menurut ISACA (2013), ensure risk
dibuat oleh ISACA untuk tata kelola dan manajemen TI. Ini dirancang untuk menjadi alat pendukung bagi para manajer dan memungkinkan menjembatani kesenjangan penting antara masalah teknis, risiko bisnis, dan persyaratan pengendalian.
Objectives for Information and Related Technology . Ini adalah framework yang
COBIT 5 menurut ISACA (2012) dalam bukunya COBIT 5 Framework adalah sebuah panduan tentang tata kelola perusahaan dan manajemen TeknoIogi Informasi.adalah singkatan dari Control
Menurut buku The Basics of IT Audit (2014) Manajemen risiko adalah suatu usaha dalam pengendalian potensi kehilangan, kerusakan, hasil yang tidak diinginkan dari objektifitas yang telah ditentukan dan juga membahas tujuan strategis dan operasional untuk organisasi.
Teknologi Informasinya menurut Lucas(2000) dalam buku Abdul Kadir(2003)menyatakan bahwa teknologi informasi adalah segala bentuk teknologi yang di terapkan untuk memproses dan mengirimkan informasi dalam bentuk elektronis.
Daerah Operasinal atau disingkat dengan Daop XX adalah salah satu daerah operasi perkeretaapian Indonesia, di bawah lingkungan (Persero) yang berada di bawah Direksi PT Kereta Api Indonesia.DAOP
XX memiliki unit yang bergerak dalam teknologi informasi yaitu unit sistem informasi.
Risk Optimisation) , APO12 (Manage Risk),
pada COBIT 5 dengan fokus subdomain EDM03 (Ensure
Assessment Model (PAM)
Berdasarkan permasalahan yang ada dan mengingat vitalnya teknologi informasi pada seluruh kegiatan perusahaan. Teknologi informasi harus terbebas dari risiko-risiko yang menghambat pencapaian objektifitas perusahaan (Arief, 2018). Maka diperlukan penilaian kapabilitas manajemen risiko unit sistem informasi DAOP XX saat ini. Penilain kapabilitas yang akan dilakukan dengan menggunakan Process
Yang ketiga adalah kurang optimalnya proses penilaian dan pengawasan risiko oleh manajer. Yang keempat adalah belum optimalnya proses komunikasi kepada stakeholder dan yang kelima adalah perlunya peninjauan ulang kebijakan dan SOP terkait keamanan data. Masalah- masalah diatas menyebabkan timbulnya masalah dalam proses bisnis/kegiatan keseharian.
System (PIDS) dan Closed Circuit Television (CCTV) yang tidak diperbaharui.
Walaupun sudah menggunakan ISO 9001:2015, 27001:2013 maupun terlaksananya proses manajemen risiko namun dalam hasil wawancara pendahuluan yang dilakukan oleh penulis, ditemukan terdapat beberapa kendala yang berdampak banyak pada kegiatan pelaksanaan pengendalian risiko setiap harinya. Yang pertama adalah Tugas Pokok dan Fungsi (TUPOKSI) yang tidak lengkap menyebabkan keambiguitasan pendelegasian tugas. Yang kedua adalah SOP terkait Passanger Information Data
XX juga menggunakan ISO 27001:2013 tentang keamanan informasi yang dua ISO tersebut memiliki keterkaitan tentang pengendalian risiko melalui klausul maupun sub klausulnya. Selain itu DAOP XX dalam usaha tentang pengendalian risiko bisa dibuktika dengan adanya dokumen analisis risiko, risk profile,risk register dll .
2 tahun.Selain itu DAOP
Unit Sistem Informasi DAOP XX dalam usahanya melakukan pengendalian risiko bisa dibuktikan dengan pengunaan dan terverifikasi perusahan dengan iso, yaitu ISO 9001:2015 tentang jaminan mutu yang sudah diterapkan selama
DSS02 (Manage Service Request and Incident). dampak dari risiko IT terhadap nilai-nilai pada perusahaan,mengurangi kegagalan dan
2.
yang terakhir adalah secara efektif dan METODOLOGI efisien dalam mengelola risiko
IT Gambar 1 merupakan alur kerja yang perusahaan yang kritikal. Dan manage risk dilakukan selama penelitian.
(APO12) menurut ISACA (2013)adalah
identifikasi terus menerus, penilaian dan pengurangan risiko yang berkaitan dengan
IT dalam tingkat toleransi yang ditetapkan oleh manajemen eksekutif perusahaan. Manajemen risiko perusahaan yang berkaitan dengan IT harus terintegrasi dengan ERM (Enterprise Risk Management ) secara keseluruhan. Sedangkan Manage Service Request and
Incident menurut ISACA (2013) dalah
usaha perusahaan dalam memberikan respon yang tepat waktu dan efektif terhadap permintaan pengguna dan resolusi semua jenis insiden.
Self Assesment menurut ISACA (2013)
adalah sebuah proses penilaian untuk menilai kapabilitas manajemen suatu perusahaan. Self Assesment memiliki 5 proses yaitu yang pertama adalah decide on
process to asses scoping. Dalam proses ini
terdapat pendefinisian proses apa saja yang akan dilakukan penilaian, Yang kedua adalah determine level 1 capability, dalam proses ini terjadi ditentukan apakah pada level 1 proses yang dilakuan sesuai dengan kriteria yang ditentukan. Yang ketiga adalah determine whether capability level
2 to 5 fort the selected process are being achieved, dalam proses ini berguna untuk
mengecek kapabilitas dari proses yang dipilih pada level 2 sampai 5 sesui dengan
Gambar 1.Diagram Alur Penelitian kriteria yang ditentukan oleh COBIT 5.
Proses yang keempat adalh record and Penelitian dimulai dengan mencari objek penelitian..Pada tahap ini dilakukan kegiatan-
summarise the capability levels yaitu kegiatan seperti menentukan objek penelitian.
meringkas hasil penilaian dari penilaian level sampai level 5 yang telah dilakukan. Menentukan objek penelitian terdiri dari proses menemukan perusahaaan dan menggali masalah
Dan proses terakhir adalah develop an beserta merumuskannya. Selanjutnya adalah
improvement plan of action , yaitu
wawancara pendahuluan penulis melakukan memberikan rekomendasi yang tepat. wawancara pendahuluan untuk mengetahui
Tujuan dari penelitian ini adalah untuk gambaran umum dari perusahaan. Tahap ketiga menerapkan process assessment model adalah pendefinisian masalah, data yang didapat pada COBIT 5. Seperti mengetahui base dari proses wawancara pendahuluan. Kemudian
practice, work product, generic practice dan generic work product, process penulis akan melakukan analisis pendefinisian
masalah, statement-stament masalah dari
capability level dan gap analysis serta
narasumber yang akan dirasa krusial kemudian memberikan rekomendasi untuk meningkatkan existing level menjadi dijabarakan pada latar belakang dan perumasan masalah,
targeted level.
6 Chief information Officer
pada Unit Sistem Informasi. Pada Tabel 1 merupakan pemetaan RACI
Business Process Owner
3 APO12 ( Manage Risk)
3 Enterprise Risk Commite
3 Chief Financial Officer
3 Board
Optimisation) Chief Executive Officer
Tabel 1 Pemetaan RACI Chart Management Practice R A C I EDM03 (Ensure Risk
chart yang jumlah perhitunganya dominasi peran pada setiap komponennya.
6 DSS02 (Manage Service Reuest and Incident)
4 Project Manajemen Office
Head IT Operation
4 Service Manager
3 Information Security Manager
2 Chief Risk Oficer
Pada tahap keenam adaalah dilakukan pembuatan kuesioner, pembuatan pertanyaan wawancara dan data yang perlukan di observasi. Pembuatan kueisoner itu sendiri berpedoman pada Self Assesment Cobit 5.. Tahap selanjutnya adalah pengumpulan data. Pada tahap ini melakukan pengumpulan data
Tahap kelima penganalisaan RACI chart yaitu responden yang dapat membantu penulis dalam pengumpulan data, responden itu sendiri ditentukan dengan membandingkan kesamaan tugas pokok dan fungsi yang ada di DAOP XX.
yang kan membantu penulis selama penelitian ini. Hasil dari tahap ini adalah pemilihan topik penelitian, framework penelitian beserta doman dan subdomain dan metodologi penelitian.
thesis
Tahap keempat setelah melakuakan pendefinisian masalah adalah kajian pustaka, yaitu kumpulan refrensi berupa jurnal,paper,
4 Chief Executive Officer
- – data yang diperlukan untuk penilaian capability manajemen risiko. Data diambil baik data primer maupun sekunder. Tahap kedelapan adalah analisa capability level. Pada tahap ini dilakukan penentuan level kapabilitas manajemen risiko berdasarkan subdomain EDM03, APO12, DSS02 dan capability level saat ini yang didapat dari hasil kuisioner.
- – Manager Keuangan
- – usulan darn rekomendasi dari hasil analisa melalui wawancara,kuisioner dan observasi. Dan tahap kesepuluh adalah kesimpulan. Kesimpulan yang dipeperanh memuat bagaimana kondisi manajemen risiko berdasarkan COBIT 5 subdomain EDM03 (Ensure Risk Optimisation), APO12 (Manage Risk) dan DSS02 (Manage
- – rekomendasi untuk mencapai target yang diharapkan.
responsible, accountable, consulted dan informed
jawab dengan Fri Atista manajer keuangan dan pada peran I memiliki tugas dan tanggung tanggung jawab dengan Manager SI, Bapak Apriyono. Sehingga responden untuk subdomain EDM03 adalah Bapak Apriyono selaku Manajer SI.
Officer memiliki tugas dan tanggung tanggung
dan tanggung tanggung jawab dengan Direktur Utama DAOP XX. Pada peran C. Chief Financial Officer memiliki tugas dan tanggung tanggung jawab dengan Fri Atista manajer keuangan. Pada peran C. Chief Financial
Officer . Pada peran A. Board memiliki tugas
Berdasarkan Tabel 2 pada peran R. Manajer Sistem Informasi memiliki tugas dan tanggung tanggung jawab dengan Chief Excecutife
Apriyono- Manager Sistem Informasi
(I) Value Managemen t Office
Finacial Officer Fri Aristati
Utama (C) Chief
Apriyono- Manager Sistem Informasi (A) Board Edi Sukmono- Direktur
(R) Chief Excecutife Officer
5 Tabel 2 Pemetaan Responden EDM03 Pera n Managemet Practice Jabatan Responden pada DAOP VIII
Tahap kesembilan adalah analisa gap. Pada tahap ini dilakukan Analisa GAP dari hasil kuesioner capability level yang diberikan dan target perusahaan. Tahap yang kesepuluh adalah rekomendasi. Pada tahap ini dilakukan rencana progam dan usulan
Service Request and Incident) . saat ini, kondisi
yang diharapkan sebagai acuan rekomendasi dan strategi peningkatan dan rekomendasi
3. HASIL
3.1. Pemetan RACI Chart
Pemetaan RACI Chart dilakukan untuk mengetahui pihak yang berperan sebagai
Tabel 3 RACI Chart APO12
5 EDM03
Tabel 5 Hasil Nilai Kapabilitas subdomain EDM03 Proses Capability Level
Process Name Target ed
Level
1
2
3
4
3
work practice (gwp), generic practice (gp)
3.3. Hasil Pengumpulan Data dan Penilaian Kapabilitas subdomain APO12
APO12 adalah subdomain tentang optimasi risiko. Dalam kegiatan pengumpulan data yang peneliti lakukan, peneliti melakukan tiga jenis pengumpulan data yaitu observasi wawancara. Respondenya adalah Bapak Apriyono selaku Manager Sistem Informasi .Dalam pengumpulan data disimpukan bahwa pengendalian risiko dalam praktinya sudah dilakukan dengan cukup baik dibuktikan dengan terdapatnya dokumen SOP Manajemen Risiko,dokumen risk register, risk profile, risk
treatment plan dan sistem MORGAN (Monitor dan gangguan) .
Setelah itu dari hasil kuesioner yang didapatkan dari perhitungan pencapaian generic
Pera n Managemet Practice Jabatan Responden pada DAOP VIII (R) Business Process Owners
Apriyono- Manager Sistem Informasi (A) Chief Information Officer
Apriyono- Manager Sistem Informasi (C) Progamme and Project
Management Office Mardiyanto dan Dwi Hartanto -Assistan Manager I dan Assistan Manager II
base practice dan work product didapatkan bahwa nilai kapabilitas domain EDM03 mencapai level 2.Tabel 5 adalah tabel hasil kapabilitas subdomain EDM03
Setelah itu dari hasil kuesioner yang didapatkan dari perhitungan pencapaian generic
Berdasarkan Tabel 3 pada peran R. Manajer Sistem Informasi memiliki tugas dan tanggung tanggung jawab dengan Business Process
(C) Information Security Management
Owner. Pada peran A. Chief Information Officer memiliki tugas dan tanggung tanggung
jawab dengan Manajer Sistem Informasi. Pada peran C. Programme and Project management memiliki tugas dan tanggung tanggung jawab dengan Bapak Mardiyanto dan Dwi Hartanto sebagai Assistan Manager. Pada peran I. Chief
Executive Officer memiliki tugas dan tanggung
tanggung jawab dengan Bapak Apriyono manajer sistem informasi Sehingga responden untuk subdomain APO12 adalah Bapak Apriyono selaku Manajer SI.
Tabel 4 RACI Chart DSS02 Peran Managemet Practice Jabatan Responden pada DAOP VIII (R) Head IT Operation
Mardiyanto dan Dwi Hartanto -Assistan Manager I dan Assistan Manager II
(A) Service Manager Apriyono- Manager Sistem Informasi
Mardiyanto dan Dwi Hartanto -Assistan Manager I dan Assistan Manager II
EDM03 adalah subdomain tentang optimasi risiko. Dalam kegiatan pengumpulan data yang peneliti lakukan, peneliti melakukan tiga jenis pengumpulan data yaitu observasi wawancara. Respondenya adalah Bapak Apriyono selaku manajer Sistem Informasi. Dalam pengumpulan data disimpukan bahwa pengendalian optimasi risiko dalam praktiknya sudah dilakukan dengan cukup baik dibuktikan dengan terdapatnya dokumen SOP Manajemen Risiko,dokumen laporan bulanan, dokumen sasaran mutu dan analisis manjemen risiko, peta komunikasi dan matriks komptensi.
(I) Chief Risk Officer Apriyono- Manager Sistem Informasi
Berdasarkan Tabel 4 pada peran R.Assistant Manager I dan II yang di duduki oleh Bapak Mardiyanto dan Bapak Dwi Hartanto memiliki tugas dan tanggung tanggung jawab dengan
Head
IT. Pada peran A. Service Manager memiliki tugas dan tanggung tanggung jawab dengan Manajer Sistem Informasi. Pada peran
C. Information Securit Manager memiliki tugas dan tanggung tanggung jawab dengan Bapak Mardiyanto dan Dwi Hartanto sebagai Assistan Manager. Pada peran I. Chief Risk
Officer memiliki tugas dan tanggung tanggung
jawab dengan Bapak Apriyono manajer sistem informasi. Sehingga responden untuk subdomain DSS02 adalah Bapak Dwi Hartanto selaku assistant Manager Support II.
3.2. Hasil Pengumpulan Data dan Penilaian Kapabilitas subdomain EDM03
(I) Chief Executife Office Apriyono- Manager Sistem Informasi
work practice
5 APO12
3.4. Hasil Pengumpulan Data dan Penilaian Kapabilitas subdomain DSS02
5 DSS02
2
1 Masalah utama dari Unit SI DAOP XX adalah bahwa kurangnya sumber daya manusia yang berdampak pada mengalaminya kewalahan pegawai dan pencapaian objektifitas perusahaan yang tidak seusai dengan TUPOKSI (Tugas Pokok dan Fungsi). Contoh Masalah : Staff
IT Support I harus mengcover pekerjaan Staff IT Support II
2 Kurang tersedianya back up/ cadangan infrastruktur membuat proses bisnis menjadi terganggu akibat infrastruktur rusak yan sedang di perbaiki tidak mempunyai pengganti sehingga proses bisnis akan dialihkan secara manual.
3 Pedoman, sop dan kebijakan yang terpusat di Bandung mengakibatkan ada beberapa proses bisnis yang berada di daerah operasi yang sebenarnya sudah memiliki SOP tapi akibat tidak ada pembaharuan mengakibatkan tidak bisa dipakai. Seperti pada CCTV dan PIDS (Passanger Information Display System). Sehingga apabila ada troubleshooting maupun incident, akan menjadi terbengkalai.
4 Dengan menggunakan bantuan pekerja magang DAOP XX menciptakan web sistem internal bernama IT8 yang membantu dalam hal pelaporan.
4. PEMBAHASAN
4.1. Analisis GAP Level Pengisian kueisioner menghasilkan nilai kapabilitas pada setiap subdomain, selanjutnya dilakukan perhitungan nilai kesenjangan (gap) dari level target yang diharapkan perusahaan.
Tabel 9 Analisis Gap Keseluruhan Nama Subdomain Level saat ini Level target Gap EDM03 Ensure Risk Optimitation
1 APO12 Manage Risk
3
Dari hasil yang didapatkan , terdapat temuan lapangan pada DAOP XX. Temua dibagi menjadi dua yaitu temuan negative dan temuan positif yang akan di jelaskan pada Tabel 8
2
3
1 DSS02 Manage Service Request and Incident
2
3
1 Tabel 9 merupakan analisis GAP subdomain
secara keseluruhan. Pada subdomain EDM03
Tabel 8 Temuan Lapangan No Temuan Lapangan
3
(gwp), generic practice (gp)
3
base practice dan work product didapatkan
bahwa nilai kapabilitas subdomain APO12 mencapai level 2.Tabel 6 adalah tabel hasil
capability subdomain APO12 Tabel 6 Hasil Nilai Kapabilitas subdomain APO12 Proses Capability Level
Process Name Target ed
Level
1
2
3
4
DSS02 adalah subdomain tentang manajemen permintaan dan layanan. Dalam kegiatan pengumpulan data yang peneliti lakukan, peneliti melakukan tiga jenis pengumpulan data yaitu observasi wawancara. Respondenya adalah Bapak Dwi Hartanto selaku assistant manager
4
II . Dalam
pengumpulan data disimpukan bahwa pengendalian optimasi risiko dalam praktinya sudah dilakukan dengan cukup baik dibuktikan dengan terdapatnya dokumen prosedur klasifikasi masalah dan insiden, intruksi kerja, form berita acara, form BA Instalasi dan format form master pada IT Governance.
Setelah itu dari hasil kuesioner yang didapatkan dari perhitungan pencapaian generic work practice (gwp), generic practice (gp) base practice dan work product didapatkan bahwa nilai kapabilitas domain DSS02 mencapai level
2.Tabel 7 adalah tabel hasil capability subdomain DSS02
Tabel 7 Hasil Nilai Kapabilitas subdomain DSS02 Proses Capability Level
Process Name Targe ted
Level
1
2
3
3.5 Temuan Lapangan
(Ensure Risk Optimisation) level yang dicapai saat ini adalah 2, sedangkan level target yang diharakan perusahaan adalah pada level 3. Pada subdomain APO12 (Manage Risk) level yang dicapai saat ini adalah 2, sedangkan level target yang diharakan perusahaan adalah pada level 3. Pada subdomain DSS02 (Manager
Tolerance ).
dicapai saai ini adalah 2, sedangkan level target yang diharapkan perusahaan adalah pada level
3.
Service Request and Incident) level yang
4.2. Rekomendasi
Rekomendasi yang pertama yaitu pembuatan penambahan TUPOKSI Struktur Organisasi. Dalam COSO (2009) dalam pengendalian internal tak kalah penting adalah bahwa diperlukan pembebanan wewenang dan tanggung jawab di setiap tingkatan di mana setiap individu dan tim diberikan wewenang dan didorong untuk menggunakan insiatif untuk memfokuskan berbagai isu dan menyelesaikan masalah-masalah, sebatas apa yang menjadi tanggung jawabnya dan juga standar atau kriteria sumber daya manusia dengan jelas. Rekomendasi yang kedua adalah perlunya evaluasi sumberdaya infrastruktur dan manusia. Kurangnya sumber daya manusa dan back up infrastruktur membuat kegiatan akan terganggu apabila terjadi suatu insiden dan tidak cukup sumberdaya untuk mengcovernya.
Rekomendasi ketiga adalah pengoptimalan proses pengawasan risiko (risk oversight) dan asesmen risiko(risk assessment). Menurut (Leo.J,22) Pengawasan risiko adalah proses pengawasan dewan tehadap kerangka manajemen risiko dan menurut Leo.J.Susilo(2017)dalam pengendalian internal COSO, risk assessment merupakan bagian yang terpenting dalam sebuah manajemen risiko. Pengawasan dan penilain risiko ini akan membantu kegiatan dalam pencapain objektifitas akan tetap on-track.Rekomendasi yang keempat adalah pembaharuan SOP PIDS dan CCTV. Dikarenakan SOPnya tidak terjadi pembaharuan akibat berubahnya struktur organisasi dan kurangnya sosialisasi sehingga SOP tidak bisa digunakan. Permintaan pembaharuan SOP pada PIDS dan CCTV kepada KAI Pusat perlu dilakukan sehingga ketika terdaat suatu masalah maupun insiden berkitan dengan CCTV dan PIDS bisa langsung teratasi dengan baik karena SOP jelas. Rekomendasi kelima adalah penambahan peluan menerima risiko yang lebih besar. Rekomendasi yang terakhir adalah penambahan dokumen terkait tingkat toleransi risiko (Risk
Rekomendasi subdomain EDM03
Rekomendasi Subdomain APO12 Rekomendasi yang pertama adalah. penambahan risk management effectiveness criteria atau kriteria efektifitas pengendalian
Setelah dilakukan penilaian kapabilitas manajemen risiko, peneliti mencoba memberikan rekomendasi, berikut rekomendasi rekomendasi atau upaya perbaikan yang dapat dilakukan untuk pencapaian level target.
Governance, Risk Management and Compliance , kriteria ini mengukur seberapa
jauh efektifitas pengendalian risiko dalam mengurangi tingkat risiko.Rekomendasi yang kedua adalah peninjauan proses communication
risk atau komunikasi risiko. Rekomendasi
ketiga yaitu penambahan dokumen terkait analisi dampak bisnis Dokumen ini kedepannya agar unit SI DAOP XX dapat menganalisa dampak bisnis terkait gangguan fungus bisnis yang dihadapi oleh unit SI DAOP XX. rekomendasi keempat Dokumen ini kedepannya agar unit SI DAOP XX dapat mengevaluasi ancaman - ancaman potensial yang akan dihadapi oleh unit SI DAOP XX sebagai upaya preventif . Rekomendasi kelima adalah dokumen terkait data lingkungan operasi yang berkaitan dengan risiko. Kedepannya dokumen ini akan berfungsi memetakan peluang risiko di setiap lingkungan operasi.Rekomendasi keenam adalah penambahan dokumen terkait peluang untuk menerima risiko yang lebih besar
. Dokumen ini kedepannya agar unit SI DAOP
XX dapat mengevaluasi ancaman - ancaman potensial yang akan dihadapi oleh unit SI DAOP XX sebagai upaya preventif.
Rekomendasi subdomain DSS02
Rekomendasi yang pertama adalah peninjauan kebijakan dan SOP terkait keamanan data. Mengingat pentingnya nilai sebuah data dan informasi dan hasil dari observasi bahwa terdapat kasus-kasus kehilangan data akibat komputer rusak, perlu
risiko. Menurut Leo.J(2007) dalam bukunya ada peninjuan kembali kebijakan keamanan data yang ada. Rekomendasi yang kedua adalah penambahan dokumen tentang Operation Level
Agreement
Saran
Rekomendasi ketiga adalah penambahan dokumen tentang pemantauan penyelesaian masalah . Dokumen ini kedepannya agar unit SI DAOP XX dapat melakukan pemantauan penyeselaian masalah dengan dokumen yang terukur.
5. Kesimpulan 1.
Hasil dari penilaian kapabilitas manajemen risiko pada ketiga subdomain tersebut sebagai berikut: Tingkat kemampuan atau capability level pada EDM03 yaitu tentang mengoptimisasi manajemen risiko berada pada level 2 yaitu managed process. Tingkat kemampuan atau capability level pada APO12 yaitu tentang pengelolaan manajemen risiko berada pada level 2 yaitu managed process. Tingkat kemampuan atau capability level pada DSS02 yaitu tentang pengelolaan manajemen layananan dan permintaan berada pada level 2 yaitu managed process.
2. Tingkat kesenjangan level pada subdomain EDM03, APO12 dan DSS02 berada pada bernilai 1 dengan masing-masing level target sebesar 3.
3. Setelah mengetahui hasil dari evaluasi yang menyatakan bahwa capability level unit SI DAOP XX berada pada level 2 untuk subdomain EDM03, APO12 dan DSS02 harapan instansi ingin meningkatkan nilai
capabilit y level pada setiap prosesnya yaitu
menjadi level 3. Untuk mencapai capability level yang diinginkan, maka diberikan rekomendasi yang dibagi setiap subdomain sebagai berikut:
dapat melakukan eveluasi manajemen sumber daya dan keamanan informasi teknologi informasi menggunakan lebih dari satu sub domain pada setiap domain EDM (Evaluate, Direct and Monitor), APO (Align, Plan and Organise), BAI (Build, Acquire and Implement), DSS (Deliver, Service and Support) dan ditambah dengan domain MEA (Monitor, Evalute and Assess) pada framework COBIT 5.
Penelitian ini hanya berfokus kepada penilaian level kapabilitas dan memberikan rekomendasi untuk mencapai level yang diharapkan pada Manajemen Risiko. Saran yang diberikan penulis dalam penelitian selanjutnya adalah penelitian selanjutnya
. Dokumen ini kedepannya agar unit SI DAOP XX dapat mendefinisikan dengan baik jenis layanan-layanan yang ada.
management effectiveness criteria atau
kriteria efektifitas pengendalian risiko, pengoptimalan communication risk atau komunikasi risiko, penambahan dokumen terkait analisis dampak bisnis, penambahan dokumen terkait evaluasi ancaman yang potensial, penambahan dokumen terkait data lingkungan operasi yang berkaitan dengan risiko dan penambahan dokumen terkait peluang untuk menerima risiko yang lebih besar.Untuk subdomain DSSO2 rekomendasi yang diberikan peninjauan kebijakan dan SOP terkait keamanan data, penambahan dokumen tentang OLA dan yang terakhir adalah penambahan dokumen tentang pemantauan penyelesaian masalah.
DAFTAR PUSTAKA
assessment) dan pengawasan risiko (Risk Oversight ) , pembaharuan SOP PIDS dan pp. 46-62. 2016. Penilaian tingkat Kapabilitas Proses Cascarino, R. E., 2007. Auditor's Guide to IT Tata Kelola Teknologi Informasi dengan
Untuk subdomain EDM03 rekomendasi yang pertama adalah penambahan TUPOKSI Struktur Organisasi dan pendelegasian tugas yang jelas, evaluasi sumber daya infrastruktur dan manuisa, pengoptimalan proses asesmen risiko ( risk
Advisera Expert Solution Ltd, 2016.Clause by clause explanation of ISO 27001. [Online]
Available at: https://info.adviseracom/ [Diakses 22 Juni 2018]. Arief, M. H., 2018. Evaluasi Manajemen Risiko
Teknologi Informasi Menggunakan Kerangka Kerja COBIT 5 (Studi Kasus Pada Perum Jasa Tirta I Malang). Malang: Universitas Brawijaya Malang.
Bachri, B. S., 2010. Meyakinkan Validitas Data Melalui Triangulasi pada Penelitian Kualitatif. Teknologi Pendidikan, 10(1),
CCTV, penambahan dokumen terkait peluang menerima risiko yang lebih besar dan penambahan dokumen terkait tingkat toleransi risiko (Risk Tolerance). Sedangkan untuk subdomain APO12 rekomendasi yang diberikan adalah penambahan risk
Auditing . 2nd penyunt. Canada: John COBIT 5 pada Domain EDM (Studi Kasus
Wiley & Sons, Inc,. Hoboken, New Jersey. di PT. Nusa Halmahera Minerals).Dyahloka, A., 2016. Evaluasi Manajemen Konferensi Nasional Teknologi Informasi Risiko E-Procurement Menggunakan dan Komunikasi (KNASTIK 2016).
COBIT 5 IT Risk (Studi Kasus Yogyakarta, 19 November 2016. PT.Pertamina(PERSERO)). Malang: Susilo, L. J., 2017.Governance, Risk Management Universitas Brawijaya Malang. and Compiance . Jakarta : PT.Grasindo
Gantz, S., ,2014.The Basic of IT Audit. United Wibowo, A. S., Selo., Adipta, D., 2016. Kombinasi
State of America :Elesevier. Framework COBIT 5, ITIL Dan ISO/IEC
ISACA., 2012a. COBIT 5: A Business 27002 Untuk Model Tata Kelola Teknologi
Framework for the Governance and Informaasi di Perguruan Tinggi. Seminar
Management of Enterprise IT. Rolling Nasional Teknologin Informasi dan Meadows: ISACA Komunikasi (SENTIKA 2016) Yogyakarta, 8- ISACA., 2012b. COBIT 5: Enabling Processes.19 Maret 2016.
Rolling Meadows: ISACA Qudos Management., 2014.Clauses of the new ISO
ISACA., 2013B. Self-Assessment Guide : 9001:2015 Standard. Brisbane :Qudos Using Cobit5. USA: Rolling Meadows. Management Pty.Ltd [Online] Available at:
ISACA., 2013. Process Assessment Model https://qudos-software.com/ [Diakses 22 Juni (PAM): Using COBIT 5. USA: Rolling 2018].
Meadows
ISACA., 2013. The Risk IT Practitioner Guide: Using COBIT 5. USA: Rolling Meadows
Indah, Dwi Rosa, Harlili & Mgs. Afriyan Firdaus., 2014. Risk Management for
Enterprise Resource Planning Post Implmentation Using COBIT 5 for Risk.In: International Conrence on Computer Science and Engineering,2014. Bandung: Bandung Institute of Technology.
Kadir, A.,2003.Pengenalan Sistem Informasi.Yogyakarta: Andi. Khrisna, A., &Harlili., 2014. Risk Management
Framework with COBIT 5 And Risk Management Framework for Cloud Computing Integration.In: International Conefrence of Advanced Informatics:Concept, Theory and Application,2014. Bandung: Bandung Institute of Technology.
Kasiyan, 2015. Kesalahan Implementasi Teknik Triangulasi pada Uji Validitas Data Skripsi Mahasiswa Jurusan Pendidikan Seni Rupa FBS UNY. 13(1), pp. 1-13.
Moleong.L. J., 2014. Metodologi Penelitian Kualitatif.Bandung: PT. Remaja Rosda Karya
Oktavia, T.2011. Peran Serta Strategi Sistem Informasi Terhadap Keberhasilan Penerapan Teknologi Informasi Perusahaan.Jakarta Barat : Universitas Bina Nusantara
Purnomo, H., Fauziati, S., Winarno, W. W.,