vi Universitas Kristen Maranatha

ABSTRAK

Kantor Pemerintahan Kota Cimahi adalah salah satu organisasi kepemerintahan yang sudah memanfaatkan Teknologi Informasi. Dalam penerapan Teknologi informasi di kantor Pemerintahan Kota Cimahi tidak lepas dari risiko – risiko yang dapat menyebabkan hilangnya suatu data atau kerusakan infrastruktur. Untuk meminimalisir risiko IT, maka perlu penerapan manajemen risiko IT yang baik untuk mengumpulkan, mengidentifikasi dan mendokumentasikan risiko – risiko apa saja yang dapat terjadi, kemudian menentukan bentuk mitigasi yang perlu dilakukan untuk menghindari risiko risiko yang ada. Tugas akhir ini akan membahas penilaian tata kelola manajemen risiko IT pada Kantor pemerintahan Kota Cimahi menggunakan

Framework COBIT 5 APO12 Manage Risk. Penilaian ini dapat digunakan sebagai bahan evaluasi bagi Kantor Pemerintahan Kota Cimahi dan dapat digunakan sebagai masukan untuk di masa datang. Tugas akhir ini dilakukan dengan menggungakan metode interview dan observasi yang mengacu pada proses – proses yang ada dalam

APO12 Manage Risk. Secara keseluruhan, Tata Kelola manajemen risiko di Kantor Pemerintahan Kota Cimahi memperoleh level 2.

vii Universitas Kristen Maranatha

ABSTRACT

Government office of Cimahi is one of governmental organizations that has been using the Information of Technology. Information of Technology which is used by Government office of Cimahi definitely cannot be seperated from any risks such as data loss or damage of infrastructure . To minimize those risks, we need to use a good IT risk management for accumulating, identifying, and documenting the risks – what risks that could be happened, then decide the type of mitigation that might be needed to avoid the risks. This research examines the assessment of IT risk management governance at Government office of Cimahi using Framework COBIT 5 APO12 Manage Risk. This assessment can be used as an evaluation for Government office of Cimahi and as suggestion for future. This research uses interview and observation method that refer to the processes in APO12 Manage Risk.

Overall, the assessment of IT risk management governance at Government office of Cimahi get level two.

viii Universitas Kristen Maranatha

DAFTAR ISI

LEMBAR PENGESAHAN ... i

PERNYATAAN ORISINALITAS LAPORAN PENELITIAN... ii

PERNYATAAN PUBLIKASI LAPORAN PENELITIAN ... iii

PRAKATA ... iv

ABSTRAK ... vi

ABSTRACT ... vii

DAFTAR ISI ... viii

DAFTAR GAMBAR ... x

DAFTAR TABEL ... xi

DAFTAR LAMPIRAN ... xii

DAFTAR SINGKATAN ... xiii

DAFTAR ISTILAH ... xiv

BAB 1. PENDAHULUAN ... 1

1.1 Latar Belakang Masalah ... 1

1.2 Rumusan Masalah ... 2

1.3 Tujuan Pembahasan ... 2

1.4 Ruang Lingkup Kajian... 2

1.5 Sumber Data ... 2

BAB 2. KAJIAN TEORI ... 4

2.1 Definisi Audit SI ... 4

2.2 Ruang Kerja Auditor ... 4

2.3 Risiko ... 5

2.4 Jenis Gangguan Terhadap Sistem Informasi ... 5

2.5 Jenis Pengelolaan Gangguan ... 6

2.6 Definisi Manajemen Risiko ... 7

2.7 COBIT 5 ... 7

2.8 COBIT 5 –Principle dan Enabler ... 7

2.8.1 Rating Scale ... 12

2.8.2 Input and Output ... 13

ix Universitas Kristen Maranatha

2.8.4 Phase yang Terdapat di Dalam COBIT5 ... 18

BAB 3. ANALISIS DAN EVALUASI ... 26

3.1 Phase A – Penentuan Plan Assessment / Assurance Initiative ... 26

3.1.1 Determine The Stakeholder of The Assurance ... 26

3.1.2 Determine The Assurance Objectives Based on Assessment of The External and Internal Context ... 26

3.1.3 Determine The Enablers In Scope And The Instance of The Enablers In Scope ... 29

3.2 Phase B – Memahami enabler, Set Kriteria Penilaian dan Lakukan Assessment ... 33

3.2.1 Assess Enterprise Goals and IT – Related Goals ... 33

3.2.2 Assess the Process ... 35

3.2.3 Understand and Assess The Principle, Policies and Framework 52 3.2.4 Understand and Assess The Organisational Structures ... 54

3.2.5 Understand and Assess Information Item ... 57

3.2.6 Understand and Assess the Services, Infrastructure and Aplications ... 59

BAB 4. KESIMPULAN DAN SARAN ... 62

4.1 Phase C – Menyampaikan Hasil Penilaian ... 62

4.1.1 Communicate The Work Performed and Findings ... 62

4.2 Saran ... 63

x Universitas Kristen Maranatha

DAFTAR GAMBAR

Gambar 2.1 Framework COBIT5 ... 10

Gambar 3.1 Struktur Organisasi Kantor Pemerintahan Kota Cimahi ... 30

Gambar 3.2 Struktur Organisasi KAPPDE ... 31

Gambar 3.3 RACI chart APO12 ... 41

xi Universitas Kristen Maranatha

DAFTAR TABEL

Tabel 2.1 Manage Risk ... 16

Tabel 3.1 Enterprise Goals ... 34

Tabel 3.2 IT-Related Risk ... 34

Tabel 3.3 Perbandingan RACI chart COBIT5 dengan RACI chart pemkot Cimahi ... 43

Tabel 3.4 Capability Level ... 47

Tabel 3.5 Work Product ... 51

Tabel 3.6 Principle and policies gols ... 53

Tabel 3.7 Good practice Criteria ... 54

Tabel 3.8 Good practice organisational structure ... 56

Tabel 3.9 Life cycle element organisational structure... 57

Tabel 3.10 Information Item ... 58

Tabel 3.11 Quality dimension information item ... 59

Tabel 3.12 Criteria goal layanan IT, infrastruktur dan aplikasi ... 61

xii Universitas Kristen Maranatha

DAFTAR LAMPIRAN

LAMPIRAN A. Kebijakan manajemen risiko IT ... 64 LAMPIRAN B. SOP tata kelola data center ... 65 LAMPIRAN C. Kebijakan inventarisasi aset IT, klasifikasi informasi dan

penanganan media ... 66 LAMPIRAN D. Rencana pembangunan jangka menengah daerah ... 67 LAMPIRAN E. Infrastruktur ... 68

xiii Universitas Kristen Maranatha

DAFTAR SINGKATAN

Singkatan Arti

COBIT Control Objectives For Informastion

& Related Technology

APO Align, Plan and Organize

ISO International Organization For

Standardization

ERM Enterprise Risk Management

PeGi Pemeringkatan E-government

Indonesia

SOP Standard Operation Procedure

IT Information Technology

IDS Intrusion Detection System

IPS Intrusion Preverence System

RPJMD Rencana Program Jangka

xiv Universitas Kristen Maranatha

DAFTAR ISTILAH

Manage Mengelola

Risk Risiko

Backup Duplikasi Data

Backup Center Fasilitas Untuk Melakukan Duplikasi

Framework Kerangka Kerja

Software Perangkat Lunak

Hardware Perangkat Keras

Komprehensif Mencakup Semua Hal Yang

Diperlukan

Stakeholder Pemegang Saham

Collect data Mengoleksi Data

Analyse risk Analisis Risiko

Maintain a risk profile Mengelola Sebuah Profil Risiko

Articulate risk Risiko

Define a risk management action portofolio

Menentukan Portofolio Tindakan Manajemen Risiko

1 Universitas Kristen Maranatha

BAB 1. PENDAHULUAN

1.1 Latar Belakang Masalah

Perkembangan teknologi informasi saat ini sangat berpengaruh terhadap kemajuan suatu organisasi. Kemudahan dalam mendapatkan, mengumpulkan, dan pengolahan data menjadi salah satu alasan bagi suatu organisasi dalam menerapkan teknologi informasi. Selain itu, teknologi informasi juga digunakan untuk membantu sebuah organisasi dalam melakukan pencapaian terhadap tujuan dan memudahkan pelaksanaan proses bisnis dari organisasi tersebut. Namun, penerapan teknologi informasi juga dapat merugikan dan menimbulkan risiko jika tidak dilakukan pengendalian yang tepat.

Kantor pemerintahan Kota Cimahi merupakan salah satu dari banyaknya organisasi yang memanfaatkan perkembangan teknologi informasi. Pemanfaatan teknologi informasi berdampak baik dan buruk bagi sebuah organisasi, dampak baiknya adalah kemudahan dalam menjalankan proses bisnis dan pengelolaan data, kemudian dampak buruk dari pemanfaatan teknologi informasi adalah akan memungkinkan timbulnya risiko. Penyalah gunaan hak akses, kehilangan asset atau data yang disebabkan oleh bencana alam, dan serangan virus yang dapat mengganggu sistem aplikasi yang digunakan adalah beberapa contoh risiko yang dapat terjadi. Maka dari itu perlu dilakukan audit manage risk untuk melakukan pendefinisian risiko sehingga dapat segera dikendalikan.

Melakukan audit manage risk sangat perlu dilakukan. Risiko-risiko yang tidak dikelola dengan baik dapat menghalangi tercapainya tujuan sebuah organisasi. Dengan melakukan audit manage risk, diharapkan dapat membantu kantor pemerintahan Kota Cimahi dalam mendefinisikan,menilai dan mengurangi risiko IT.

COBIT 5 adalah alat pengendalian untuk sistem informasi atau

sekumpulan dokumentasi best practice untuk IT governance untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan

Universitas Kristen Maranatha teknis. Maka, penggunaan COBIT 5 pada domain Align, Plan, and Organise proses APO12 Manage Risk dirasa cukup tepat untuk melakukan audit

manage risk terhadap bagian IT pada kantor pemerintahan Kota Cimahi.

1.2 Rumusan Masalah

Rumusan masalah dari penelitian adalah bagaimana melakukan penilaian capabillity level manajemen risiko IT pada instansi/kantor pemerintahan kota Cimahi?

1.3 Tujuan Pembahasan

Tujuan pembahasan dari penelitian ini adalah menentukan capabillity

level manajemen risiko IT pada instansi/kantor pemerintahan Kota Cimahi.

1.4 Ruang Lingkup Kajian

Untuk menghindari penyimpangan pembahasan pokok bahasan maka tugas akhir ini penulis hanya membahas mengenai bagaimana Kantor Pemkot Cimahi menerapkan manajemen risiko dalam tata kelola IT. Penelitian ini menggunakan COBIT 5 sebagai framework dan menggunakan proses APO12 sebagai pedoman dalam pengerjaan penelitian.

1.5 Sumber Data

Tahap pengumpulan data untuk mengidentifikasi masalah data laporan Tugas Akhir diperoleh dari :

1. Observasi dan Wawancara

Yaitu tahap pengumpulan data – data terkait APO12 dengan cara berkomunikasi dan melakukan pengamatan secara langsung di Kantor Pemkot Cimahi.

2. Studi Kepustakaan

Yaitu dengan cara pengumpulan data dengan membaca dan mempelajari buku pedoman yang sesuai dengan topik pembahasan. 3. Studi Internet

Universitas Kristen Maranatha Yaitu dengan cara melakukan browsing untuk melakukan pengamatan pada situs yang terkait dengan topik bahasan.

4. Diskusi dan Konsultasi

Yaitu metode yang dilakukan dengan cara berdiskusi dengan pembimbing ekternal/internal untuk memberikan saran.

62 Universitas Kristen Maranatha

BAB 4. KESIMPULAN DAN SARAN

4.1 Phase C

–

Menyampaikan Hasil Penilaian

Pada phase c, akan dibahas mengenai penyampaian hasil dari penilaian yang dilakukan di KAPPDE.

4.1.1 Communicate The Work Performed and Findings

Berikut adalah kesimpulan penilaian dari Proses APO12 Manage Risk. 1. Current Condition

A. KAPPDE sudah memiliki kebijakan terkait dengan pengelolaan risiko IT. Namun kebijakan itu tidak diimplementasikan secara maksimal. Banyak proses yang sudah ditentukan di dalam kebijakan yang belum dilakukan.

B. Penilian work product hanya 5%. Work product yang tersedia hanya kebijakan manajemen risiko dari keseluruhan work product yang telah ditentukan oleh COBIT5.

C. PA (process attribute) tidak mencapai level dua. Hal ini karena penilaian level satu tidak lebih dari 85%, hanya mendapatkan nilai 63.75%.

2. Implication

A. Keadaan ini mengakibatkan KAPPDE belum memiliki dokumen - dokumen yang sudah ditentukan didalam kebijakan manajemen risiko terkait pengelolaan risiko. Risk profile, risk register dan klasifikasi risiko adalah dokumen terkait risiko yang belum dibuat oleh KAPPDE. Hal ini akan berdampak terhadap terhambatnya proses pengelolaan risiko yang ada di KAPPDE.

Universitas Kristen Maranatha 3. Recommendation

KAPPDE sebaiknya mengimplementasikan kebijakan manjemen risiko secara maksimal agar tidak menghambat pemanfaatan TI pada Kantor Pemerintahan Kota Cimahi. Selain itu, pemkot sebaiknya membuat dokumen kajian, profil dan melakukan klasifikasi risiko agar risiko dapat dikelola dengan baik agar dapat mencapai level dua pada penilaian capability level.

4.2 Saran

Untuk pengembangan selanjutnya, diharapkan dilakukan penelitian pada proses APO13 Manage Security.

72 Universitas Kristen Maranatha

DAFTAR PUSTAKA

[1] S. C. Production and L. Andhi, "Internal Auditor dengan Microsoft Excel 2007", Jakarta: PT Elex Media Komputindo, 2010.

[2] J. A. (Thomson) and T. Singleton, Audit dan Assurance Teknologi Informasi 1 (ed.2), Jakarta: Salemba Empat, 2007.

[3] S. D. Gantz, "The Basics of IT Audit", Waltham: Elsevier Inc, 2014. [4] F. Basyaib, "Manajemen Risiko", Jakarta: PT Grasindo, 2007.

[5] H. Siahaan, "Manajemen Risiko Pada Perusahaan dan Birokrasi", Jakarta: PT Gramedia, 2007.

[6] M. Prof.Dr.Jogiyanto HM, "Sistem Teknologi Informasi", Yogyakarta: ANDI Yogyakarta, 2005.

[7] J. A.O'Brien and G. M.Marakas, "Management Information Systems", New York: McGraw-Hill/Irwin, 2011.

[8] COBIT5, ISACA, 2013.

[9] IEC/ISO, Cobit 5 Process Assesment Model, ISACA, 2013. [10] Enabling Processes, ISACA, 2013.

1 Universitas Kristen Maranatha

BAB 1. PENDAHULUAN

1.1 Latar Belakang Masalah

Perkembangan teknologi informasi saat ini sangat berpengaruh terhadap kemajuan suatu organisasi. Kemudahan dalam mendapatkan, mengumpulkan, dan pengolahan data menjadi salah satu alasan bagi suatu organisasi dalam menerapkan teknologi informasi. Selain itu, teknologi informasi juga digunakan untuk membantu sebuah organisasi dalam melakukan pencapaian terhadap tujuan dan memudahkan pelaksanaan proses bisnis dari organisasi tersebut. Namun, penerapan teknologi informasi juga dapat merugikan dan menimbulkan risiko jika tidak dilakukan pengendalian yang tepat.

Kantor pemerintahan Kota Cimahi merupakan salah satu dari banyaknya organisasi yang memanfaatkan perkembangan teknologi informasi. Pemanfaatan teknologi informasi berdampak baik dan buruk bagi sebuah organisasi, dampak baiknya adalah kemudahan dalam menjalankan proses bisnis dan pengelolaan data, kemudian dampak buruk dari pemanfaatan teknologi informasi adalah akan memungkinkan timbulnya risiko. Penyalah gunaan hak akses, kehilangan asset atau data yang disebabkan oleh bencana alam, dan serangan virus yang dapat mengganggu sistem aplikasi yang digunakan adalah beberapa contoh risiko yang dapat terjadi. Maka dari itu perlu dilakukan audit manage risk untuk melakukan pendefinisian risiko sehingga dapat segera dikendalikan.

Melakukan audit manage risk sangat perlu dilakukan. Risiko-risiko yang tidak dikelola dengan baik dapat menghalangi tercapainya tujuan sebuah organisasi. Dengan melakukan audit manage risk, diharapkan dapat membantu kantor pemerintahan Kota Cimahi dalam mendefinisikan,menilai dan mengurangi risiko IT.

COBIT 5 adalah alat pengendalian untuk sistem informasi atau sekumpulan dokumentasi best practice untuk IT governance untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan

Universitas Kristen Maranatha teknis. Maka, penggunaan COBIT 5 pada domain Align, Plan, and Organise

proses APO12 Manage Risk dirasa cukup tepat untuk melakukan audit

manage risk terhadap bagian IT pada kantor pemerintahan Kota Cimahi.

1.2 Rumusan Masalah

Rumusan masalah dari penelitian adalah bagaimana melakukan penilaian capabillity level manajemen risiko IT pada instansi/kantor pemerintahan kota Cimahi?

1.3 Tujuan Pembahasan

Tujuan pembahasan dari penelitian ini adalah menentukan capabillity level manajemen risiko IT pada instansi/kantor pemerintahan Kota Cimahi.

1.4 Ruang Lingkup Kajian

Untuk menghindari penyimpangan pembahasan pokok bahasan maka tugas akhir ini penulis hanya membahas mengenai bagaimana Kantor Pemkot Cimahi menerapkan manajemen risiko dalam tata kelola IT. Penelitian ini menggunakan COBIT 5 sebagai framework dan menggunakan proses APO12 sebagai pedoman dalam pengerjaan penelitian.

1.5 Sumber Data

Tahap pengumpulan data untuk mengidentifikasi masalah data laporan Tugas Akhir diperoleh dari :

1. Observasi dan Wawancara

Yaitu tahap pengumpulan data – data terkait APO12 dengan cara berkomunikasi dan melakukan pengamatan secara langsung di Kantor Pemkot Cimahi.

2. Studi Kepustakaan

Yaitu dengan cara pengumpulan data dengan membaca dan mempelajari buku pedoman yang sesuai dengan topik pembahasan. 3. Studi Internet

Universitas Kristen Maranatha Yaitu dengan cara melakukan browsing untuk melakukan pengamatan pada situs yang terkait dengan topik bahasan.

4. Diskusi dan Konsultasi

Yaitu metode yang dilakukan dengan cara berdiskusi dengan pembimbing ekternal/internal untuk memberikan saran.

62 Universitas Kristen Maranatha

BAB 4. KESIMPULAN DAN SARAN

4.1 Phase C

–

Menyampaikan Hasil Penilaian

Pada phase c, akan dibahas mengenai penyampaian hasil dari penilaian yang dilakukan di KAPPDE.

4.1.1 Communicate The Work Performed and Findings

Berikut adalah kesimpulan penilaian dari Proses APO12 Manage Risk.

1. Current Condition

A. KAPPDE sudah memiliki kebijakan terkait dengan pengelolaan risiko IT. Namun kebijakan itu tidak diimplementasikan secara maksimal. Banyak proses yang sudah ditentukan di dalam kebijakan yang belum dilakukan.

B. Penilian work product hanya 5%. Work product yang tersedia hanya kebijakan manajemen risiko dari keseluruhan work product yang telah ditentukan oleh COBIT5.

C. PA (process attribute) tidak mencapai level dua. Hal ini karena penilaian level satu tidak lebih dari 85%, hanya mendapatkan nilai 63.75%.

2. Implication

A. Keadaan ini mengakibatkan KAPPDE belum memiliki dokumen - dokumen yang sudah ditentukan didalam kebijakan manajemen risiko terkait pengelolaan risiko. Risk profile, risk register dan klasifikasi risiko adalah dokumen terkait risiko yang belum dibuat oleh KAPPDE. Hal ini akan berdampak terhadap terhambatnya proses pengelolaan risiko yang ada di KAPPDE.

Universitas Kristen Maranatha

3. Recommendation

KAPPDE sebaiknya mengimplementasikan kebijakan manjemen risiko secara maksimal agar tidak menghambat pemanfaatan TI pada Kantor Pemerintahan Kota Cimahi. Selain itu, pemkot sebaiknya membuat dokumen kajian, profil dan melakukan klasifikasi risiko agar risiko dapat dikelola dengan baik agar dapat mencapai level dua pada penilaian capability level.

4.2 Saran

Untuk pengembangan selanjutnya, diharapkan dilakukan penelitian pada proses APO13 Manage Security.

72 Universitas Kristen Maranatha

DAFTAR PUSTAKA

[1] S. C. Production and L. Andhi, "Internal Auditor dengan Microsoft Excel 2007", Jakarta: PT Elex Media Komputindo, 2010.

[2] J. A. (Thomson) and T. Singleton, Audit dan Assurance Teknologi Informasi 1 (ed.2), Jakarta: Salemba Empat, 2007.

[3] S. D. Gantz, "The Basics of IT Audit", Waltham: Elsevier Inc, 2014. [4] F. Basyaib, "Manajemen Risiko", Jakarta: PT Grasindo, 2007.

[5] H. Siahaan, "Manajemen Risiko Pada Perusahaan dan Birokrasi", Jakarta: PT Gramedia, 2007.

[6] M. Prof.Dr.Jogiyanto HM, "Sistem Teknologi Informasi", Yogyakarta: ANDI Yogyakarta, 2005.

[7] J. A.O'Brien and G. M.Marakas, "Management Information Systems", New York: McGraw-Hill/Irwin, 2011.

[8] COBIT5, ISACA, 2013.

[9] IEC/ISO, Cobit 5 Process Assesment Model, ISACA, 2013. [10] Enabling Processes, ISACA, 2013.