Vol. 2, No. 12, Desember 2018, hlm. 6828-6836 http://j-ptiik.ub.ac.id

Penilaian Kapabilitas Manajemen Risiko Teknologi Informasi

Menggunakan Kerangka Cobit 5

  

(Studi Kasus: Daerah Operasional (DAOP) XX)

_{1 2 3} Nadya Mardiana Rahmania , Suprapto , Andi Reza Perdanakusuma

  Program Studi Sistem Informasi, Fakultas Ilmu Komputer, Universitas Brawijaya _{1 andireza@gmail.com}

  

Abstrak

Daerah Operasinal atau disingkat dengan DAOP XX Surabaya atau DAOP XX adalah salah

satu daerah operasi perkeretaapian Indonesia, di bawah lingkungan PT Kereta Api Indonesia

(Persero) yang berada di bawah Direksi PT Kereta Api Indonesia.DAOP XX memiliki unit

yang bergerak dalam teknologi informasi yaitu unit sistem informasi. Berkembang dengan

baiknya teknologi pada DAOP XX membuat hampir seluruh proses bisnisnya

terkomputerisasi dan terstandarisasi oleh ISO, namun dalam praktiknya masih terdapat

beberapa kendala dalam manajemen pengelolaan infrastruktur,pencegahan dan pengendalian

risiko.Untuk itu diperlukan penilaian kapabilitas manajemen risiko dengan menggunakan

kerangka kerja COBIT 5. Dalam penilaianya dipilih 3 subdomain yaitu subdomain EDM03

(Ensure Risk Optimisastion), APO12(Manage Risk) dan DSS02 (Manage Service Request and

Incident ). Penilaiaan kapabilitas yang dilakukan melalui 3 jenis pengumpulan data yaitu,

kuesioner, wawancara dan observasi. Dari hasil penilaian yang dilakukan, disimpulkan bahwa

nilai kapabilitas dari masing-masing subdomain adalah 2 dengan nilai kesenjangan (gap)

sebesar 1.Rekomendasi diberikan untuk ketiga subdomain agar mencapai target level.

Terdapat 6 rekomendasi untuk subdomain EDM03, 6 rekomendasi untuk subdomain APO12

dan 3 rekomendasi untuk subdomain DSS02.

  Kata kunci: COBIT 5, tingkat kapabilitas, analisis gap, manajemen risiko

Abstract

Operation Area VIII Surabaya or abbreviated as DAOP XX or DAOP XX is one of the

Indonesian railways operating areas, under the environment of PT Kereta Api Indonesia

(Persero) under the Board of Directors of PT Kereta Api Indonesia.DAOP XX has a unit

engaged in information technology namely the information system unit. The well-developed

technology in DAOP XX makes almost all of its business processes computerized and

standardized by ISO, but in practice there are still some obstacles in infrastructure

management, risk prevention and control. Therefore, It was necessary to a pssess risk

management capabilities using the COBIT 5 framework. In the assessment 3 subdomain were

selected. These were EDM03 (Ensure Risk Optimisation), APO12 (Manage Risk) and DSS02

(Manage Service Request and Incident). Capability assesment was done through 3 types of

data retrieval ie, questionnaires, interviews and observation. From the results of the

assessment, it was concluded that the capability value of each subdomain was 2 with the gap

value of 1. The recommendation was given to the three subdomains in order to reach the

target level. There were 6 recommendations for the EDM03 subdomain.There were further 6

recommendations for the APO12 subdomain and 3 recommendations for the DSS02 subdomain.

  Key Word: COBIT 5, capability level, gap analysis, risk management Fakultas Ilmu Komputer Universitas Brawijaya

  

6828

1. PENDAHULUAN

  Penggunaan COBIT 5 untuk menilai kapabilitas manajemen risiko sebelumnya sudah pernah dilakukan oleh M.Habibullah pada Perum Jasa Tirta Malang. Dari penelitian menurut Arif(2018) bisa disimpulkan bahwa kemampuan Perum Jasa Tirta I Malang dalam menjalankan proses Ensure Risk Optimitation(EDM03) dan Manage Risk (APO12), masing-masing domain memiliki level 2. Kemudian gap yang terbentuk antara nilai capability level saat ini dan yang ingin dicapai adalah 1.

  risiko ,mengidentifikasi dan mengelola

  risk appetite atau kapabilitas menerima

  mengetahui kemampuan mendefinisikan

  optimization (EDM03) adalah perusahaan

  Menurut ISACA (2013), ensure risk

  dibuat oleh ISACA untuk tata kelola dan manajemen TI. Ini dirancang untuk menjadi alat pendukung bagi para manajer dan memungkinkan menjembatani kesenjangan penting antara masalah teknis, risiko bisnis, dan persyaratan pengendalian.

  Objectives for Information and Related Technology . Ini adalah framework yang

  COBIT 5 menurut ISACA (2012) dalam bukunya COBIT 5 Framework adalah sebuah panduan tentang tata kelola perusahaan dan manajemen TeknoIogi Informasi.adalah singkatan dari Control

  Menurut buku The Basics of IT Audit (2014) Manajemen risiko adalah suatu usaha dalam pengendalian potensi kehilangan, kerusakan, hasil yang tidak diinginkan dari objektifitas yang telah ditentukan dan juga membahas tujuan strategis dan operasional untuk organisasi.

  Teknologi Informasinya menurut Lucas(2000) dalam buku Abdul Kadir(2003)menyatakan bahwa teknologi informasi adalah segala bentuk teknologi yang di terapkan untuk memproses dan mengirimkan informasi dalam bentuk elektronis.

  Daerah Operasinal atau disingkat dengan Daop XX adalah salah satu daerah operasi perkeretaapian Indonesia, di bawah lingkungan (Persero) yang berada di bawah Direksi PT Kereta Api Indonesia.DAOP

  XX memiliki unit yang bergerak dalam teknologi informasi yaitu unit sistem informasi.

  Risk Optimisation) , APO12 (Manage Risk),

  pada COBIT 5 dengan fokus subdomain EDM03 (Ensure

  Assessment Model (PAM)

  Berdasarkan permasalahan yang ada dan mengingat vitalnya teknologi informasi pada seluruh kegiatan perusahaan. Teknologi informasi harus terbebas dari risiko-risiko yang menghambat pencapaian objektifitas perusahaan (Arief, 2018). Maka diperlukan penilaian kapabilitas manajemen risiko unit sistem informasi DAOP XX saat ini. Penilain kapabilitas yang akan dilakukan dengan menggunakan Process

  Yang ketiga adalah kurang optimalnya proses penilaian dan pengawasan risiko oleh manajer. Yang keempat adalah belum optimalnya proses komunikasi kepada stakeholder dan yang kelima adalah perlunya peninjauan ulang kebijakan dan SOP terkait keamanan data. Masalah- masalah diatas menyebabkan timbulnya masalah dalam proses bisnis/kegiatan keseharian.

  System (PIDS) dan Closed Circuit Television (CCTV) yang tidak diperbaharui.

  Walaupun sudah menggunakan ISO 9001:2015, 27001:2013 maupun terlaksananya proses manajemen risiko namun dalam hasil wawancara pendahuluan yang dilakukan oleh penulis, ditemukan terdapat beberapa kendala yang berdampak banyak pada kegiatan pelaksanaan pengendalian risiko setiap harinya. Yang pertama adalah Tugas Pokok dan Fungsi (TUPOKSI) yang tidak lengkap menyebabkan keambiguitasan pendelegasian tugas. Yang kedua adalah SOP terkait Passanger Information Data

  XX juga menggunakan ISO 27001:2013 tentang keamanan informasi yang dua ISO tersebut memiliki keterkaitan tentang pengendalian risiko melalui klausul maupun sub klausulnya. Selain itu DAOP XX dalam usaha tentang pengendalian risiko bisa dibuktika dengan adanya dokumen analisis risiko, risk profile,risk register dll .

  2 tahun.Selain itu DAOP

  Unit Sistem Informasi DAOP XX dalam usahanya melakukan pengendalian risiko bisa dibuktikan dengan pengunaan dan terverifikasi perusahan dengan iso, yaitu ISO 9001:2015 tentang jaminan mutu yang sudah diterapkan selama

  DSS02 (Manage Service Request and Incident). dampak dari risiko IT terhadap nilai-nilai pada perusahaan,mengurangi kegagalan dan

  2.

  yang terakhir adalah secara efektif dan METODOLOGI efisien dalam mengelola risiko

  IT Gambar 1 merupakan alur kerja yang perusahaan yang kritikal. Dan manage risk dilakukan selama penelitian.

  (APO12) menurut ISACA (2013)adalah

  identifikasi terus menerus, penilaian dan pengurangan risiko yang berkaitan dengan

  IT dalam tingkat toleransi yang ditetapkan oleh manajemen eksekutif perusahaan. Manajemen risiko perusahaan yang berkaitan dengan IT harus terintegrasi dengan ERM (Enterprise Risk Management ) secara keseluruhan. Sedangkan Manage Service Request and

  Incident menurut ISACA (2013) dalah

  usaha perusahaan dalam memberikan respon yang tepat waktu dan efektif terhadap permintaan pengguna dan resolusi semua jenis insiden.

  Self Assesment menurut ISACA (2013)

  adalah sebuah proses penilaian untuk menilai kapabilitas manajemen suatu perusahaan. Self Assesment memiliki 5 proses yaitu yang pertama adalah decide on

  process to asses scoping. Dalam proses ini

  terdapat pendefinisian proses apa saja yang akan dilakukan penilaian, Yang kedua adalah determine level 1 capability, dalam proses ini terjadi ditentukan apakah pada level 1 proses yang dilakuan sesuai dengan kriteria yang ditentukan. Yang ketiga adalah determine whether capability level

  2 to 5 fort the selected process are being achieved, dalam proses ini berguna untuk

  mengecek kapabilitas dari proses yang dipilih pada level 2 sampai 5 sesui dengan

  Gambar 1.Diagram Alur Penelitian kriteria yang ditentukan oleh COBIT 5.

  Proses yang keempat adalh record and Penelitian dimulai dengan mencari objek penelitian..Pada tahap ini dilakukan kegiatan-

  summarise the capability levels yaitu kegiatan seperti menentukan objek penelitian.

  meringkas hasil penilaian dari penilaian level sampai level 5 yang telah dilakukan. Menentukan objek penelitian terdiri dari proses menemukan perusahaaan dan menggali masalah

  Dan proses terakhir adalah develop an beserta merumuskannya. Selanjutnya adalah

  improvement plan of action , yaitu

  wawancara pendahuluan penulis melakukan memberikan rekomendasi yang tepat. wawancara pendahuluan untuk mengetahui

  Tujuan dari penelitian ini adalah untuk gambaran umum dari perusahaan. Tahap ketiga menerapkan process assessment model adalah pendefinisian masalah, data yang didapat pada COBIT 5. Seperti mengetahui base dari proses wawancara pendahuluan. Kemudian

  practice, work product, generic practice dan generic work product, process penulis akan melakukan analisis pendefinisian

  masalah, statement-stament masalah dari

  capability level dan gap analysis serta

  narasumber yang akan dirasa krusial kemudian memberikan rekomendasi untuk meningkatkan existing level menjadi dijabarakan pada latar belakang dan perumasan masalah,

  targeted level.

  6 Chief information Officer

  pada Unit Sistem Informasi. Pada Tabel 1 merupakan pemetaan RACI

  Business Process Owner

  3 APO12 ( Manage Risk)

  3 Enterprise Risk Commite

  3 Chief Financial Officer

  3 Board

  Optimisation) Chief Executive Officer

  Tabel 1 Pemetaan RACI Chart Management Practice R A C I EDM03 (Ensure Risk

  chart yang jumlah perhitunganya dominasi peran pada setiap komponennya.

  6 DSS02 (Manage Service Reuest and Incident)

  4 Project Manajemen Office

  Head IT Operation

  4 Service Manager

  3 Information Security Manager

  2 Chief Risk Oficer

  Pada tahap keenam adaalah dilakukan pembuatan kuesioner, pembuatan pertanyaan wawancara dan data yang perlukan di observasi. Pembuatan kueisoner itu sendiri berpedoman pada Self Assesment Cobit 5.. Tahap selanjutnya adalah pengumpulan data. Pada tahap ini melakukan pengumpulan data

  Tahap kelima penganalisaan RACI chart yaitu responden yang dapat membantu penulis dalam pengumpulan data, responden itu sendiri ditentukan dengan membandingkan kesamaan tugas pokok dan fungsi yang ada di DAOP XX.

  yang kan membantu penulis selama penelitian ini. Hasil dari tahap ini adalah pemilihan topik penelitian, framework penelitian beserta doman dan subdomain dan metodologi penelitian.

  thesis

  Tahap keempat setelah melakuakan pendefinisian masalah adalah kajian pustaka, yaitu kumpulan refrensi berupa jurnal,paper,

  4 Chief Executive Officer

• – data yang diperlukan untuk penilaian capability manajemen risiko. Data diambil baik data primer maupun sekunder. Tahap kedelapan adalah analisa capability level. Pada tahap ini dilakukan penentuan level kapabilitas manajemen risiko berdasarkan subdomain EDM03, APO12, DSS02 dan capability level saat ini yang didapat dari hasil kuisioner.

• – Manager Keuangan
• – usulan darn rekomendasi dari hasil analisa melalui wawancara,kuisioner dan observasi. Dan tahap kesepuluh adalah kesimpulan. Kesimpulan yang dipeperanh memuat bagaimana kondisi manajemen risiko berdasarkan COBIT 5 subdomain EDM03 (Ensure Risk Optimisation), APO12 (Manage Risk) dan DSS02 (Manage
• – rekomendasi untuk mencapai target yang diharapkan.

  responsible, accountable, consulted dan informed

  jawab dengan Fri Atista manajer keuangan dan pada peran I memiliki tugas dan tanggung tanggung jawab dengan Manager SI, Bapak Apriyono. Sehingga responden untuk subdomain EDM03 adalah Bapak Apriyono selaku Manajer SI.

  Officer memiliki tugas dan tanggung tanggung

  dan tanggung tanggung jawab dengan Direktur Utama DAOP XX. Pada peran C. Chief Financial Officer memiliki tugas dan tanggung tanggung jawab dengan Fri Atista manajer keuangan. Pada peran C. Chief Financial

  Officer . Pada peran A. Board memiliki tugas

  Berdasarkan Tabel 2 pada peran R. Manajer Sistem Informasi memiliki tugas dan tanggung tanggung jawab dengan Chief Excecutife

  Apriyono- Manager Sistem Informasi

  (I) Value Managemen t Office

  Finacial Officer Fri Aristati

  Utama (C) Chief

  Apriyono- Manager Sistem Informasi (A) Board Edi Sukmono- Direktur

  (R) Chief Excecutife Officer

  5 Tabel 2 Pemetaan Responden EDM03 Pera n Managemet Practice Jabatan Responden pada DAOP VIII

  Tahap kesembilan adalah analisa gap. Pada tahap ini dilakukan Analisa GAP dari hasil kuesioner capability level yang diberikan dan target perusahaan. Tahap yang kesepuluh adalah rekomendasi. Pada tahap ini dilakukan rencana progam dan usulan

  Service Request and Incident) . saat ini, kondisi

  yang diharapkan sebagai acuan rekomendasi dan strategi peningkatan dan rekomendasi

3. HASIL

3.1. Pemetan RACI Chart

  Pemetaan RACI Chart dilakukan untuk mengetahui pihak yang berperan sebagai

  Tabel 3 RACI Chart APO12

  5 EDM03

  Tabel 5 Hasil Nilai Kapabilitas subdomain EDM03 Proses Capability Level

  Process Name Target ed

  Level

  1

  2

  3

  4

  3

  work practice (gwp), generic practice (gp)

  3.3. Hasil Pengumpulan Data dan Penilaian Kapabilitas subdomain APO12

  APO12 adalah subdomain tentang optimasi risiko. Dalam kegiatan pengumpulan data yang peneliti lakukan, peneliti melakukan tiga jenis pengumpulan data yaitu observasi wawancara. Respondenya adalah Bapak Apriyono selaku Manager Sistem Informasi .Dalam pengumpulan data disimpukan bahwa pengendalian risiko dalam praktinya sudah dilakukan dengan cukup baik dibuktikan dengan terdapatnya dokumen SOP Manajemen Risiko,dokumen risk register, risk profile, risk

  treatment plan dan sistem MORGAN (Monitor dan gangguan) .

  Setelah itu dari hasil kuesioner yang didapatkan dari perhitungan pencapaian generic

  Pera n Managemet Practice Jabatan Responden pada DAOP VIII (R) Business Process Owners

  Apriyono- Manager Sistem Informasi (A) Chief Information Officer

  Apriyono- Manager Sistem Informasi (C) Progamme and Project

  Management Office Mardiyanto dan Dwi Hartanto -Assistan Manager I dan Assistan Manager II

  base practice dan work product didapatkan bahwa nilai kapabilitas domain EDM03 mencapai level 2.Tabel 5 adalah tabel hasil kapabilitas subdomain EDM03

  Setelah itu dari hasil kuesioner yang didapatkan dari perhitungan pencapaian generic

  Berdasarkan Tabel 3 pada peran R. Manajer Sistem Informasi memiliki tugas dan tanggung tanggung jawab dengan Business Process

  (C) Information Security Management

  Owner. Pada peran A. Chief Information Officer memiliki tugas dan tanggung tanggung

  jawab dengan Manajer Sistem Informasi. Pada peran C. Programme and Project management memiliki tugas dan tanggung tanggung jawab dengan Bapak Mardiyanto dan Dwi Hartanto sebagai Assistan Manager. Pada peran I. Chief

  Executive Officer memiliki tugas dan tanggung

  tanggung jawab dengan Bapak Apriyono manajer sistem informasi Sehingga responden untuk subdomain APO12 adalah Bapak Apriyono selaku Manajer SI.

  Tabel 4 RACI Chart DSS02 Peran Managemet Practice Jabatan Responden pada DAOP VIII (R) Head IT Operation

  Mardiyanto dan Dwi Hartanto -Assistan Manager I dan Assistan Manager II

  (A) Service Manager Apriyono- Manager Sistem Informasi

  Mardiyanto dan Dwi Hartanto -Assistan Manager I dan Assistan Manager II

  EDM03 adalah subdomain tentang optimasi risiko. Dalam kegiatan pengumpulan data yang peneliti lakukan, peneliti melakukan tiga jenis pengumpulan data yaitu observasi wawancara. Respondenya adalah Bapak Apriyono selaku manajer Sistem Informasi. Dalam pengumpulan data disimpukan bahwa pengendalian optimasi risiko dalam praktiknya sudah dilakukan dengan cukup baik dibuktikan dengan terdapatnya dokumen SOP Manajemen Risiko,dokumen laporan bulanan, dokumen sasaran mutu dan analisis manjemen risiko, peta komunikasi dan matriks komptensi.

  (I) Chief Risk Officer Apriyono- Manager Sistem Informasi

  Berdasarkan Tabel 4 pada peran R.Assistant Manager I dan II yang di duduki oleh Bapak Mardiyanto dan Bapak Dwi Hartanto memiliki tugas dan tanggung tanggung jawab dengan

  Head

  IT. Pada peran A. Service Manager memiliki tugas dan tanggung tanggung jawab dengan Manajer Sistem Informasi. Pada peran

  C. Information Securit Manager memiliki tugas dan tanggung tanggung jawab dengan Bapak Mardiyanto dan Dwi Hartanto sebagai Assistan Manager. Pada peran I. Chief Risk

  Officer memiliki tugas dan tanggung tanggung

  jawab dengan Bapak Apriyono manajer sistem informasi. Sehingga responden untuk subdomain DSS02 adalah Bapak Dwi Hartanto selaku assistant Manager Support II.

  3.2. Hasil Pengumpulan Data dan Penilaian Kapabilitas subdomain EDM03

  (I) Chief Executife Office Apriyono- Manager Sistem Informasi

  work practice

5 APO12

3.4. Hasil Pengumpulan Data dan Penilaian Kapabilitas subdomain DSS02

5 DSS02

  2

  1 Masalah utama dari Unit SI DAOP XX adalah bahwa kurangnya sumber daya manusia yang berdampak pada mengalaminya kewalahan pegawai dan pencapaian objektifitas perusahaan yang tidak seusai dengan TUPOKSI (Tugas Pokok dan Fungsi). Contoh Masalah : Staff

  IT Support I harus mengcover pekerjaan Staff IT Support II

  2 Kurang tersedianya back up/ cadangan infrastruktur membuat proses bisnis menjadi terganggu akibat infrastruktur rusak yan sedang di perbaiki tidak mempunyai pengganti sehingga proses bisnis akan dialihkan secara manual.

  3 Pedoman, sop dan kebijakan yang terpusat di Bandung mengakibatkan ada beberapa proses bisnis yang berada di daerah operasi yang sebenarnya sudah memiliki SOP tapi akibat tidak ada pembaharuan mengakibatkan tidak bisa dipakai. Seperti pada CCTV dan PIDS (Passanger Information Display System). Sehingga apabila ada troubleshooting maupun incident, akan menjadi terbengkalai.

  4 Dengan menggunakan bantuan pekerja magang DAOP XX menciptakan web sistem internal bernama IT8 yang membantu dalam hal pelaporan.

  4. PEMBAHASAN

  4.1. Analisis GAP Level Pengisian kueisioner menghasilkan nilai kapabilitas pada setiap subdomain, selanjutnya dilakukan perhitungan nilai kesenjangan (gap) dari level target yang diharapkan perusahaan.

  Tabel 9 Analisis Gap Keseluruhan Nama Subdomain Level saat ini Level target Gap EDM03 Ensure Risk Optimitation

  1 APO12 Manage Risk

  3

  Dari hasil yang didapatkan , terdapat temuan lapangan pada DAOP XX. Temua dibagi menjadi dua yaitu temuan negative dan temuan positif yang akan di jelaskan pada Tabel 8

  2

  3

  1 DSS02 Manage Service Request and Incident

  2

  3

  1 Tabel 9 merupakan analisis GAP subdomain

  secara keseluruhan. Pada subdomain EDM03

  Tabel 8 Temuan Lapangan No Temuan Lapangan

  3

  (gwp), generic practice (gp)

  3

  base practice dan work product didapatkan

  bahwa nilai kapabilitas subdomain APO12 mencapai level 2.Tabel 6 adalah tabel hasil

  capability subdomain APO12 Tabel 6 Hasil Nilai Kapabilitas subdomain APO12 Proses Capability Level

  Process Name Target ed

  Level

  1

  2

  3

  4

  DSS02 adalah subdomain tentang manajemen permintaan dan layanan. Dalam kegiatan pengumpulan data yang peneliti lakukan, peneliti melakukan tiga jenis pengumpulan data yaitu observasi wawancara. Respondenya adalah Bapak Dwi Hartanto selaku assistant manager

  4

  II . Dalam

  pengumpulan data disimpukan bahwa pengendalian optimasi risiko dalam praktinya sudah dilakukan dengan cukup baik dibuktikan dengan terdapatnya dokumen prosedur klasifikasi masalah dan insiden, intruksi kerja, form berita acara, form BA Instalasi dan format form master pada IT Governance.

  Setelah itu dari hasil kuesioner yang didapatkan dari perhitungan pencapaian generic work practice (gwp), generic practice (gp) base practice dan work product didapatkan bahwa nilai kapabilitas domain DSS02 mencapai level

  2.Tabel 7 adalah tabel hasil capability subdomain DSS02

  Tabel 7 Hasil Nilai Kapabilitas subdomain DSS02 Proses Capability Level

  Process Name Targe ted

  Level

  1

  2

  3

3.5 Temuan Lapangan

  (Ensure Risk Optimisation) level yang dicapai saat ini adalah 2, sedangkan level target yang diharakan perusahaan adalah pada level 3. Pada subdomain APO12 (Manage Risk) level yang dicapai saat ini adalah 2, sedangkan level target yang diharakan perusahaan adalah pada level 3. Pada subdomain DSS02 (Manager

  Tolerance ).

  dicapai saai ini adalah 2, sedangkan level target yang diharapkan perusahaan adalah pada level

  3.

  Service Request and Incident) level yang

4.2. Rekomendasi

  Rekomendasi yang pertama yaitu pembuatan penambahan TUPOKSI Struktur Organisasi. Dalam COSO (2009) dalam pengendalian internal tak kalah penting adalah bahwa diperlukan pembebanan wewenang dan tanggung jawab di setiap tingkatan di mana setiap individu dan tim diberikan wewenang dan didorong untuk menggunakan insiatif untuk memfokuskan berbagai isu dan menyelesaikan masalah-masalah, sebatas apa yang menjadi tanggung jawabnya dan juga standar atau kriteria sumber daya manusia dengan jelas. Rekomendasi yang kedua adalah perlunya evaluasi sumberdaya infrastruktur dan manusia. Kurangnya sumber daya manusa dan back up infrastruktur membuat kegiatan akan terganggu apabila terjadi suatu insiden dan tidak cukup sumberdaya untuk mengcovernya.

  Rekomendasi ketiga adalah pengoptimalan proses pengawasan risiko (risk oversight) dan asesmen risiko(risk assessment). Menurut (Leo.J,22) Pengawasan risiko adalah proses pengawasan dewan tehadap kerangka manajemen risiko dan menurut Leo.J.Susilo(2017)dalam pengendalian internal COSO, risk assessment merupakan bagian yang terpenting dalam sebuah manajemen risiko. Pengawasan dan penilain risiko ini akan membantu kegiatan dalam pencapain objektifitas akan tetap on-track.Rekomendasi yang keempat adalah pembaharuan SOP PIDS dan CCTV. Dikarenakan SOPnya tidak terjadi pembaharuan akibat berubahnya struktur organisasi dan kurangnya sosialisasi sehingga SOP tidak bisa digunakan. Permintaan pembaharuan SOP pada PIDS dan CCTV kepada KAI Pusat perlu dilakukan sehingga ketika terdaat suatu masalah maupun insiden berkitan dengan CCTV dan PIDS bisa langsung teratasi dengan baik karena SOP jelas. Rekomendasi kelima adalah penambahan peluan menerima risiko yang lebih besar. Rekomendasi yang terakhir adalah penambahan dokumen terkait tingkat toleransi risiko (Risk

  Rekomendasi subdomain EDM03

  Rekomendasi Subdomain APO12 Rekomendasi yang pertama adalah. penambahan risk management effectiveness criteria atau kriteria efektifitas pengendalian

  Setelah dilakukan penilaian kapabilitas manajemen risiko, peneliti mencoba memberikan rekomendasi, berikut rekomendasi rekomendasi atau upaya perbaikan yang dapat dilakukan untuk pencapaian level target.

  Governance, Risk Management and Compliance , kriteria ini mengukur seberapa

  jauh efektifitas pengendalian risiko dalam mengurangi tingkat risiko.Rekomendasi yang kedua adalah peninjauan proses communication

  risk atau komunikasi risiko. Rekomendasi

  ketiga yaitu penambahan dokumen terkait analisi dampak bisnis Dokumen ini kedepannya agar unit SI DAOP XX dapat menganalisa dampak bisnis terkait gangguan fungus bisnis yang dihadapi oleh unit SI DAOP XX. rekomendasi keempat Dokumen ini kedepannya agar unit SI DAOP XX dapat mengevaluasi ancaman - ancaman potensial yang akan dihadapi oleh unit SI DAOP XX sebagai upaya preventif . Rekomendasi kelima adalah dokumen terkait data lingkungan operasi yang berkaitan dengan risiko. Kedepannya dokumen ini akan berfungsi memetakan peluang risiko di setiap lingkungan operasi.Rekomendasi keenam adalah penambahan dokumen terkait peluang untuk menerima risiko yang lebih besar

  . Dokumen ini kedepannya agar unit SI DAOP

  XX dapat mengevaluasi ancaman - ancaman potensial yang akan dihadapi oleh unit SI DAOP XX sebagai upaya preventif.

  Rekomendasi subdomain DSS02

  Rekomendasi yang pertama adalah peninjauan kebijakan dan SOP terkait keamanan data. Mengingat pentingnya nilai sebuah data dan informasi dan hasil dari observasi bahwa terdapat kasus-kasus kehilangan data akibat komputer rusak, perlu

  risiko. Menurut Leo.J(2007) dalam bukunya ada peninjuan kembali kebijakan keamanan data yang ada. Rekomendasi yang kedua adalah penambahan dokumen tentang Operation Level

  Agreement

  Saran

  Rekomendasi ketiga adalah penambahan dokumen tentang pemantauan penyelesaian masalah . Dokumen ini kedepannya agar unit SI DAOP XX dapat melakukan pemantauan penyeselaian masalah dengan dokumen yang terukur.

  5. Kesimpulan 1.

  Hasil dari penilaian kapabilitas manajemen risiko pada ketiga subdomain tersebut sebagai berikut: Tingkat kemampuan atau capability level pada EDM03 yaitu tentang mengoptimisasi manajemen risiko berada pada level 2 yaitu managed process. Tingkat kemampuan atau capability level pada APO12 yaitu tentang pengelolaan manajemen risiko berada pada level 2 yaitu managed process. Tingkat kemampuan atau capability level pada DSS02 yaitu tentang pengelolaan manajemen layananan dan permintaan berada pada level 2 yaitu managed process.

  2. Tingkat kesenjangan level pada subdomain EDM03, APO12 dan DSS02 berada pada bernilai 1 dengan masing-masing level target sebesar 3.

  3. Setelah mengetahui hasil dari evaluasi yang menyatakan bahwa capability level unit SI DAOP XX berada pada level 2 untuk subdomain EDM03, APO12 dan DSS02 harapan instansi ingin meningkatkan nilai

  capabilit y level pada setiap prosesnya yaitu

  menjadi level 3. Untuk mencapai capability level yang diinginkan, maka diberikan rekomendasi yang dibagi setiap subdomain sebagai berikut:

  dapat melakukan eveluasi manajemen sumber daya dan keamanan informasi teknologi informasi menggunakan lebih dari satu sub domain pada setiap domain EDM (Evaluate, Direct and Monitor), APO (Align, Plan and Organise), BAI (Build, Acquire and Implement), DSS (Deliver, Service and Support) dan ditambah dengan domain MEA (Monitor, Evalute and Assess) pada framework COBIT 5.

  Penelitian ini hanya berfokus kepada penilaian level kapabilitas dan memberikan rekomendasi untuk mencapai level yang diharapkan pada Manajemen Risiko. Saran yang diberikan penulis dalam penelitian selanjutnya adalah penelitian selanjutnya

  . Dokumen ini kedepannya agar unit SI DAOP XX dapat mendefinisikan dengan baik jenis layanan-layanan yang ada.

  management effectiveness criteria atau

  kriteria efektifitas pengendalian risiko, pengoptimalan communication risk atau komunikasi risiko, penambahan dokumen terkait analisis dampak bisnis, penambahan dokumen terkait evaluasi ancaman yang potensial, penambahan dokumen terkait data lingkungan operasi yang berkaitan dengan risiko dan penambahan dokumen terkait peluang untuk menerima risiko yang lebih besar.Untuk subdomain DSSO2 rekomendasi yang diberikan peninjauan kebijakan dan SOP terkait keamanan data, penambahan dokumen tentang OLA dan yang terakhir adalah penambahan dokumen tentang pemantauan penyelesaian masalah.

DAFTAR PUSTAKA

  assessment) dan pengawasan risiko (Risk Oversight ) , pembaharuan SOP PIDS dan pp. 46-62. 2016. Penilaian tingkat Kapabilitas Proses Cascarino, R. E., 2007. Auditor's Guide to IT Tata Kelola Teknologi Informasi dengan

  Untuk subdomain EDM03 rekomendasi yang pertama adalah penambahan TUPOKSI Struktur Organisasi dan pendelegasian tugas yang jelas, evaluasi sumber daya infrastruktur dan manuisa, pengoptimalan proses asesmen risiko ( risk

  Advisera Expert Solution Ltd, 2016.Clause by clause explanation of ISO 27001. [Online]

  Available at: https://info.adviseracom/ [Diakses 22 Juni 2018]. Arief, M. H., 2018. Evaluasi Manajemen Risiko

  Teknologi Informasi Menggunakan Kerangka Kerja COBIT 5 (Studi Kasus Pada Perum Jasa Tirta I Malang). Malang: Universitas Brawijaya Malang.

  Bachri, B. S., 2010. Meyakinkan Validitas Data Melalui Triangulasi pada Penelitian Kualitatif. Teknologi Pendidikan, 10(1),

  CCTV, penambahan dokumen terkait peluang menerima risiko yang lebih besar dan penambahan dokumen terkait tingkat toleransi risiko (Risk Tolerance). Sedangkan untuk subdomain APO12 rekomendasi yang diberikan adalah penambahan risk

  

Auditing . 2nd penyunt. Canada: John COBIT 5 pada Domain EDM (Studi Kasus

Wiley & Sons, Inc,. Hoboken, New Jersey. di PT. Nusa Halmahera Minerals).

  Dyahloka, A., 2016. Evaluasi Manajemen Konferensi Nasional Teknologi Informasi Risiko E-Procurement Menggunakan dan Komunikasi (KNASTIK 2016).

  COBIT 5 IT Risk (Studi Kasus Yogyakarta, 19 November 2016. PT.Pertamina(PERSERO)). Malang: Susilo, L. J., 2017.Governance, Risk Management Universitas Brawijaya Malang. and Compiance . Jakarta : PT.Grasindo

  Gantz, S., ,2014.The Basic of IT Audit. United Wibowo, A. S., Selo., Adipta, D., 2016. Kombinasi

  

State of America :Elesevier. Framework COBIT 5, ITIL Dan ISO/IEC

  ISACA., 2012a. COBIT 5: A Business 27002 Untuk Model Tata Kelola Teknologi

  

Framework for the Governance and Informaasi di Perguruan Tinggi. Seminar

Management of Enterprise IT. Rolling Nasional Teknologin Informasi dan Meadows: ISACA Komunikasi (SENTIKA 2016) Yogyakarta, 8- ISACA., 2012b. COBIT 5: Enabling Processes.

  19 Maret 2016.

  

Rolling Meadows: ISACA Qudos Management., 2014.Clauses of the new ISO

  ISACA., 2013B. Self-Assessment Guide : 9001:2015 Standard. Brisbane :Qudos Using Cobit5. USA: Rolling Meadows. Management Pty.Ltd [Online] Available at:

  ISACA., 2013. Process Assessment Model https://qudos-software.com/ [Diakses 22 Juni (PAM): Using COBIT 5. USA: Rolling 2018].

  Meadows

  ISACA., 2013. The Risk IT Practitioner Guide: Using COBIT 5. USA: Rolling Meadows

  Indah, Dwi Rosa, Harlili & Mgs. Afriyan Firdaus., 2014. Risk Management for

  Enterprise Resource Planning Post Implmentation Using COBIT 5 for Risk.In: International Conrence on Computer Science and Engineering,2014. Bandung: Bandung Institute of Technology.

  Kadir, A.,2003.Pengenalan Sistem Informasi.Yogyakarta: Andi. Khrisna, A., &Harlili., 2014. Risk Management

  Framework with COBIT 5 And Risk Management Framework for Cloud Computing Integration.In: International Conefrence of Advanced Informatics:Concept, Theory and Application,2014. Bandung: Bandung Institute of Technology.

  Kasiyan, 2015. Kesalahan Implementasi Teknik Triangulasi pada Uji Validitas Data Skripsi Mahasiswa Jurusan Pendidikan Seni Rupa FBS UNY. 13(1), pp. 1-13.

  Moleong.L. J., 2014. Metodologi Penelitian Kualitatif.Bandung: PT. Remaja Rosda Karya

  Oktavia, T.2011. Peran Serta Strategi Sistem Informasi Terhadap Keberhasilan Penerapan Teknologi Informasi Perusahaan.Jakarta Barat : Universitas Bina Nusantara

  Purnomo, H., Fauziati, S., Winarno, W. W.,