Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Team project ©2017 Dony Pratidana S. Hum | Bima Agus Setyawan S. IIP
Hak cipta dan penggunaan kembali:
Lisensi ini mengizinkan setiap orang untuk menggubah, memperbaiki, dan membuat ciptaan turunan bukan untuk kepentingan komersial, selama anda mencantumkan nama penulis dan melisensikan ciptaan turunan dengan syarat yang serupa dengan ciptaan asli.
Copyright and reuse:
This license lets you remix, tweak, and build upon work non-commercially, as long as you credit the origin creator and license it on your new creations under the identical terms.
EVALUASI MANAJEMEN RISIKO TEKNOLOGI
INFORMASI MENGGUNAKAN COBIT 5 IT RISK
(STUDI KASUS : PT MARGA MANDALASAKTI)
SKRIPSI
Diajukan Guna Memenuhi Persyaratan Memperoleh
Gelar Sarjana Komputer (S.Kom.)
Nur Adhyakti Rizky
13110310071
PROGRAM STUDI SISTEM INFORMASI
FAKULTAS TEKNIK DAN INFORMATIKA
UNIVERSITAS MULTIMEDIA NUSANTARA
TANGERANG
2019
Evaluasi Manajemen Resiko..., Nur Adhyakti Rizky, FTI UMN, 2019
i
Evaluasi Manajemen Resiko..., Nur Adhyakti Rizky, FTI UMN, 2019
ii
Evaluasi Manajemen Resiko..., Nur Adhyakti Rizky, FTI UMN, 2019
iii
EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI
MENGGUNAKAN FRAMEWORK COBIT 5.0 IT RISK
(STUDI KASUS : PT MARGA MANDALASAKTI)
ABSTRAK
Oleh: Nur Adhyakti Rizky
PT Marga Mandalasakti merupakan perusahaan Badan Usaha Milik
Negara (BUMN). Berdasarkan Peraturan Menteri Komunikasi dan Informatika
NOMOR: 41/PER/MEN.KOMINFO/11/2007 tentang panduan umum tata kelola
teknologi informasi dan komunikasi nasional (IT Governance) menyatakan bahwa
dalam rangka mendukung tujuan perusahaan diperlukan rencana pengelolaan
teknologi informasi dan komunikasi yang baik (good governance). PT Marga
Mandalasakti didapati belum melakukan Tata Kelola TI maka perusahaan harus
dilakukan Tata Kelola TI menggunakan framework COBIT 5.0 untuk
meningkatkan efisiensi dan efektivitas teknologi informasi serta pendekatan yang
meningkatkan nilai (value) dari penerapan teknologi informasi.
Metode yang digunakan untuk melakukan tata kelola TI perusahaan yakni
menggunakan kerangka COBIT 5.0 dengan tahapan planning, field work,
reporting dan follow up. Dalam tahapan penelitian terdapat 3 (tiga) buah teknik
pengumpulan data yang digunakan untuk memperoleh data yang dibutuhkan
yaitu: observasi, wawancara dan kuesioner. Setelah mendapatkan hasil dari
wawancara dan kuesioner maka dimasukkan ke dalam PAM (Process Assessment
Model) untuk menentukkan nilai kapabilitas setiap domain atau proses yang telah
terpilih berada ditingkat persentase tertinggi maka proses tersebut dapat
dilanjutkan ke level berikutnya. Level berikutnya adalah memberikan
rekomendasi berdasarkan hasil akhir dari nilai kapabilitas setiap domain.
Hasil dari audit tata kelola TI dengan menggunakan framework COBIT
5.0 didapati nilai capability level pada proses domain EDM03 dan APO12 yaitu
berada pada level 3 (Established Process) pada persentase 82.3% merupakan
pencapaian yang baik. Meskipun target yang diinginkan oleh perusahaan adalah
pada level 4. Dengan adanya rekomendasi perusahaan dapat meningkatkan nilai
perusahaan untuk mencapai level 4.
Kata kunci: Audit Tata Kelola, BUMN, COBIT 5.0, Domain, Penilaian
Kapabilitas.
Evaluasi Manajemen Resiko..., Nur Adhyakti Rizky, FTI UMN, 2019
iv
EVALUATION OF INFORMATION TECHNOLOGY RISK
MANAGEMENT USING COBIT 5.0 FRAMEWORK IT RISK
(CASE STUDY : PT MARGA MANDALASAKTI)
ABSTRACT
From: Nur Adhyakti Rizky
PT Marga Mandalasakti is a state-owned enterprise (BUMN). Based on
the Regulation of the Minister of Communication and Information NUMBER: 41
/PER/MEN.KOMINFO/11/2007 concerning general guidelines on information
technology communication and national communication (IT Governance) states
that in order to support the company's objectives a plan for managing good
information and communication technology (good governance). PT Marga
Mandalasakti was found to have not done IT Governance, so the company had to
do IT Governance using the COBIT 5.0 framework to improve the efficiency and
effectiveness of information technology and approaches that increase the (value)
of the application of information technology.
The method used to manage corporate IT using the COBIT 5.0 framework
with the stages of planning, field work, reporting and follow-up. In the research
stage there are 3 (three) data collection techniques used to obtain the required
data that is observation, interview and questionnaire. After getting the results of
interviews and questionnaires then it is entered into the PAM (Process
Assessment Model) to determine the capability value of each domain
The result of the IT Governance Audit using the COBIT 5.0 framework be
found the value of capability level in the EDM03 and APO12 domain processes
which is at level 3 (Established Process) at a percentage of 82.3% is a good
achievement. Although the target desired by the company is at level 4. With the
company recommendations can increase the company of value to reach level 4.
Keywords: Governance Audit, BUMN, COBIT 5.0, Domain, Capability
assessment.
Evaluasi Manajemen Resiko..., Nur Adhyakti Rizky, FTI UMN, 2019
v
KATA PENGANTAR
Puji dan Syukur kepada Allah SWT sehingga laporan skripsi dengan judul
“Evaluasi Manajemen Risiko Teknologi Informasi Menggunakan Framework
COBIT 5 IT Risk (Studi Kasus : PT Marga Mandalasakti” dapat selesai tepat
pada waktunya. Skripsi ini penulis ajukan kepada Program Sastra 1, Program
Studi Sistem Informasi, Fakultas Teknologi Informasi dan Komunikasi,
Universitas Multimedia Nusantara.
Dengan berakhirnya proses penulisan skripsi ini, penulis ingin mengucapkan
terima kasih kepada PT Marga Mandalasakti yang telah memberikan izin untuk
melakukan pengambilan data yang digunakan sebagai skripsi yang saat ini
telah selesai dibuat.
Penulis juga ingin mengucapkan terima kasih kepada:
1. Orang tua yang tidak pernah lelah untuk memberikan dukungan dan
doa dalam keadaan apapun.
2. Keluarga yang selalu mendukung dan menyemangati penulis agar
segera menyelesaikan penyusunan skripsi ini.
3. Wella, S.Kom., M.MSI. selaku dosen pembimbing yang membimbing
dan memberikan masukan kepada penulis.
4. Ririn Ikana Desanti, S.Kom., M.Kom selaku ketua program studi sistem
informasi
Evaluasi Manajemen Resiko..., Nur Adhyakti Rizky, FTI UMN, 2019
vi
5. Pihak PT Marga Mandalasakti lainnya yang juga membantu dalam
menyelesaikan skripsi memberikan informasi – informasi dan data yang
dibutuhkan untuk penelitian.
6. Partner, sahabat, dan teman-teman yaitu Faysal Wirandy S, S.Tr. Par,
Maigita M.S, Elizabeth Angelika.S,I.Kom, Septian Mochamad
Sholikhin, S.Kom, Stefani dan teman-teman Geng Tua yang tidak dapat
disebutkan satu – persatu yang telah memberikan dukungan dan
semangat bagi penyusunan skripsi ini.
Penulis menyadari masih banyak kekurangan dalam penyusunan skripsi
ini. Harapannya semoga skripsi ini dapat memberikan informasi dan
inspirasi yang bermanfaat bagi para pembaca.
Tangerang Selatan, 23 September 2019
Nur Adhyakti Rizky
Evaluasi Manajemen Resiko..., Nur Adhyakti Rizky, FTI UMN, 2019
vii
DAFTAR ISI
PERNYATAAN ....................................................................................................... i
HALAMAN PERSETUJUAN ................................................................................ ii
ABSTRAK ............................................................................................................. iii
ABSTRACT ............................................................................................................. iv
KATA PENGANTAR ............................................................................................ v
DAFTAR ISI ......................................................................................................... vii
DAFTAR GAMBAR .............................................................................................. x
DAFTAR TABEL .................................................................................................. xi
DAFTAR RUMUS .............................................................................................. xiii
DAFTAR LAMPIRAN ........................................................................................ xiv
BAB I PENDAHULUAN ....................................................................................... 1
1.1 Latar Belakang ......................................................................................... 1
1.2 Rumusan Masalah .................................................................................... 3
1.3 Batasan Masalah ....................................................................................... 3
1.4 Tujuan Penelitian ...................................................................................... 3
1.5 Manfaat Penelitian .................................................................................... 4
1.6 Sistematika Penulisan ............................................................................... 4
BAB II LANDASAN TEORI ................................................................................. 6
2.1 Definisi Audit Sistem Informasi ............................................................... 6
2.1.1 Tujuan Audit Sistem Informasi ................................................................ 6
2.1.2 Tahapan-Tahapan Audit Sistem Informasi ............................................... 7
2.2 IT Governance (Tata Kelola TI) ............................................................. 12
2.2.1 Definisi Tata Kelola TI ........................................................................... 12
2.2.2 Pentingnya Tata Kelola TI...................................................................... 12
2.3 COBIT 5.0 .............................................................................................. 13
2.3.1 COBIT 5.0 Principle ............................................................................... 14
2.3.2 Proses COBIT 5.0 ................................................................................... 17
Evaluasi Manajemen Resiko..., Nur Adhyakti Rizky, FTI UMN, 2019
viii
2.3.3 Tahapan-tahapan COBIT 5.0 ................................................................. 18
2.4 Domain COBIT 5.0 ................................................................................ 19
2.4.1 Evaluate, Direct, Monitor (EDM) .......................................................... 20
2.4.2 Align, Plan and Organise (APO) ........................................................... 20
2.4.3 Build, Acquire and Implement (BAI) ..................................................... 22
2.4.4 Deliver, Service, and Support (DSS) ...................................................... 23
2.4.5 Monitor, Evaluate and Assess (MEA) .................................................... 24
2.4.6 Capability level ....................................................................................... 25
2.5 Teknik Pengumpulan Data ..................................................................... 29
2.6 ITIL ........................................................................................................ 30
2.6 Penelitian Terdahulu ............................................................................... 31
BAB III METODOLOGI PENELITIAN.............................................................. 34
3.1 Objek Penelitian ..................................................................................... 34
3.1.1 Struktur Bisnis ........................................................................................ 39
3.1.2 Struktur Organisasi ................................................................................. 40
3.1.3 Visi dan Misi .......................................................................................... 43
3.2 Variable Penelitian ................................................................................. 44
3.3 Metode Penelitian ................................................................................... 44
3.3.1 Proses Pengerjaan COBIT 5.0 ................................................................ 45
3.3.2 Tahapan Audit ........................................................................................ 47
3.4 Perbandingan Antara COBIT 5 dengan ITIL ......................................... 49
3.5 Teknik Pengumpulan Data ..................................................................... 49
3.6 Teknik Analisis Data .............................................................................. 53
3.6.1 Capability Level ..................................................................................... 54
3.7 Kerangka Teori Penelitian ...................................................................... 59
BAB IV HASIL DAN PEMBAHASAN .............................................................. 60
4.1 Planning .................................................................................................. 60
4.1.1 Kerangka Teori Penelitian ...................................................................... 61
4.2 Penilaian Risiko ...................................................................................... 61
4.3 Mengumpulkan Bukti ............................................................................. 62
4.3.1 Proses Wawancara dan Assesment ......................................................... 64
Evaluasi Manajemen Resiko..., Nur Adhyakti Rizky, FTI UMN, 2019
ix
4.3.2 Hasil Kuesioner ...................................................................................... 64
4.3.3 Hasil Wawancara .................................................................................... 96
4.3.4 Hasil Observasi Dokumen ...................................................................... 99
4.4 Kesimpulan ........................................................................................... 100
4.5 Temuan dan Dampak ............................................................................ 100
4.5.1 Temuan dan Dampak pada EDM03 ..................................................... 100
4.5.2 Temuan dan Dampak pada APO12 ...................................................... 103
4.6 Following Up ........................................................................................ 105
BAB V KESIMPULAN DAN SARAN .............................................................. 108
5.1 Kesimpulan ........................................................................................... 108
5.2 Saran ..................................................................................................... 109
DAFTAR PUSTAKA ......................................................................................... 111
LAMPIRAN ........................................................................................................ 113
Evaluasi Manajemen Resiko..., Nur Adhyakti Rizky, FTI UMN, 2019
x
DAFTAR GAMBAR
Gambar 2.1 COBIT 5.0 Principle ......................................................................... 14
Gambar 2.2 Stakeholder Needs ............................................................................. 15
Gambar 2.3 Business Needs .................................................................................. 16
Gambar 2.4 COBIT 5.0 Process ............................................................................ 17
Gambar 3.1 Logo Perusahaan ............................................................................... 38
Gambar 3.2 Struktur Bisnis Perusahaan................................................................ 39
Gambar 3.3 Struktur Organisasi PT Marga Mandalasakti .................................... 40
Gambar 3.4 Tahapan Audit ................................................................................... 47
Gambar 3.5 Proses Kapabilitas Level ................................................................... 55
Gambar 3.6 Process Assessment Model ............................................................... 56
Gambar 3.7 Capability Level ................................................................................ 57
Gambar 3.8 kerangka teori penelitian ................................................................... 59
Gambar 4.1 Fishbone Domain EDM03 Temuan 1 ............................................. 102
Gambar 4.2 Fishbone Domain EDM03 Temuan 2 ............................................. 102
Gambar 4.3 Fishbone Domain EDM03 Temuan 3 ............................................. 103
Gambar 4.4 Fishbone Domain APO12 Temuan 1 .............................................. 104
Gambar 4.5 Fishbone Domain APO12 Temuan 2 .............................................. 105
Evaluasi Manajemen Resiko..., Nur Adhyakti Rizky, FTI UMN, 2019
xi
DAFTAR TABEL
Tabel 2.1 Evaluate, Direct, and Monitor (EDM) .................................................. 20
Tabel 2.2 Align, Plan, and Organise (APO) ......................................................... 21
Tabel 2.3 Build, Acquire, and Implement (BAI).................................................... 22
Tabel 2.4 Deliver, Service, and Support (DSS) ..................................................... 24
Tabel 2.5 Monitor, Evaluate and Assess (MEA) ................................................... 25
Tabel 2.6 Tingkatan capability level ..................................................................... 26
Tabel 2.7 Penelitian Terdahulu ............................................................................. 31
Tabel 3.1 Proses Pengerjaan COBIT 5.0 .............................................................. 45
Tabel 3.2 Perbandingan Antara COBIT 5 dengan ITIL ........................................ 49
Tabel 3.3 Jumlah Pertanyaan Level 3 ................................................................... 50
Tabel 3.4 Kuesioner Level 3 EDM03 ................................................................... 51
Tabel 3.5 Aktivitas Domain EDM03 .................................................................... 57
Tabel 3.6 Contoh Kuesioner EDM03.01.............................................................. 57
Tabel 4.1 Jumlah Pertanyaan Proses COBIT 5.0 .................................................. 63
Tabel 4.2 Contoh kuesioner EDM03.01 Level 1 .................................................. 65
Tabel 4.3 Kuesioner Domain EDM03.01 Proses Level 1 ..................................... 66
Tabel 4.4 Kuesioner Domain EDM03.02 Proses Level 1 .................................... 67
Tabel 4.5 Kuesioner Domain EDM03.03 Proses Level 1 ..................................... 68
Tabel 4.6 Hasil Kuesioner EDM03 Level 1 ......................................................... 69
Tabel 4.7 Hasil Akhir Perhitungan EDM03 level 1 .............................................. 69
Tabel 4.8 Kuesioner Domain EDM03 Aktivitas PA 2.1 Proses Level 2 .............. 70
Tabel 4.9 Kuesioner Domain EDM03 Aktivitas PA 2.2 Proses Level 2 .............. 72
Tabel 4.10 Hasil Kuesioner EDM03 level 2 ......................................................... 74
Tabel 4.11 Hasil Perhitungan EDM03 Level 2 ..................................................... 74
Tabel 4.12 Kuesioner Domain EDM03 Aktivitas PA 3.1 Proses Level 3 ............ 75
Tabel 4.13 Kuesioner Domain EDM03 Aktivitas PA 3.2 Proses Level 3 ............ 77
Tabel 4.14 Hasil Kuesioner EDM03 level 3 ......................................................... 79
Tabel 4.15 Hasil Perhitungan EDM03 Level 3 ..................................................... 79
Tabel 4.16 Kuesioner Domain APO12.01 Proses Level 1 .................................... 80
Tabel 4.17 Kuesioner Domain APO12.02 Proses Level 1 .................................... 81
Tabel 4.18 Kuesioner Domain APO12.03 Proses Level 1 .................................... 82
Tabel 4.19 Kuesioner Domain APO12.04 Proses Level 1 .................................... 83
Tabel 4.20 Kuesioner Domain APO12.05 Proses Level 1 .................................... 84
Tabel 4.21 Kuesioner Domain APO12.06 Proses Level 1 .................................... 85
Tabel 4.22 Hasil Kuesioner APO12 level 1 .......................................................... 87
Tabel 4.23 Hasil Perhitungan APO12 level 1 ....................................................... 87
Tabel 4.24 Kuesioner Domain APO12 Aktivitas PA 2.1 Proses Level 2 ........... 88
Evaluasi Manajemen Resiko..., Nur Adhyakti Rizky, FTI UMN, 2019
xii
Tabel 4.25 Kuesioner Domain APO12 Aktivitas PA2.2 Proses Level 2 ............. 89
Tabel 4.26 Hasil Kuesioner APO12 level 2 .......................................................... 91
Tabel 4.27 Hasil Perhitungan APO12 Level 2 ...................................................... 91
Tabel 4.28 Kuesioner Domain APO12 Aktivitas PA 3.1 Proses Level 3 ............. 92
Tabel 4.29 Kuesioner Domain APO12 Aktivitas PA 3.2 Proses Level 3 ............. 93
Tabel 4.30 Hasil Kuesioner APO12 level 3 .......................................................... 94
Tabel 4.31 Hasil Perhitungan APO12 Level 3 ...................................................... 95
Tabel 4.32 Hasil Perhitungan Naik Ke Level 2 .................................................... 95
Tabel 4.33 Hasil Perhitungan Naik Ke Level 3 .................................................... 96
Tabel 4.34 Hasil perhitungan Tidak Naik Ke Level 4 .......................................... 96
Tabel 4.35 List Pertanyaan Audit Manajemen Risiko TI untuk Perusahaan ....... 97
Tabel 4.36 List Pertanyaan Mengenai Ensure Risk Optimation ........................... 98
Tabel 4.37 List Pertanyaan Mengenai Align, Plan and Organize......................... 98
Tabel 4.38 Dokumen-Dokumen PT Marga Mandalasakti .................................... 99
Tabel 4.39 Temuan, Dampak dan Rekomendasi EDM03................................... 100
Tabel 4.40 Temuan dan Dampak domain APO12 .............................................. 103
Tabel 4.41 Rekomendasi EDM03 untuk mencapai Level 4 ............................... 106
Tabel 4.42 Rekomendasi APO12 untuk mencapai Level 4 ................................ 107
Tabel 4.43 List Pertanyaan Mengenai Ensure Risk Optimation ......................... 117
Tabel 4.44 List Pertanyaan Mengenai Align, Plan and Organize....................... 118
Evaluasi Manajemen Resiko..., Nur Adhyakti Rizky, FTI UMN, 2019
xiii
DAFTAR RUMUS
Rumus 1 Rumus Hasil Perhitungan Domain EDM03 dan APO12 Pada Level 1 . 28
Rumus 2 Rumus hasil perhitungan total aktivitas setiap responden domain
EDM01 dan APO12 pada level 1 .................................................................. 28
Rumus 3 Rumus hasil perhitungan total akhir setiap responden proses domain
EDM01 dan APO12 pada level 1 .................................................................. 28
Rumus 4 Rumus hasil perhitungan Proses PA2.1 – PA2.2 pada level 2 dan 3 ..... 28
Rumus 5 Rumus hasil perhitungan keseluruhan proses PA2.1 – PA2.2 pada level
2 dan 3 ............................................................................................................ 29
Rumus 6 Rumus hasil perhitungan akhir Proses PA2.1 – PA2.2 pada level 2 dan 3
....................................................................................................................... 29
Evaluasi Manajemen Resiko..., Nur Adhyakti Rizky, FTI UMN, 2019
xiv
DAFTAR LAMPIRAN
Lampiran 1 Flowchart Proses Manajemen Risiko .............................................. 113
Lampiran 2 Skenario risiko yang terdokumentasi berdasarkan fungsi bisnis ..... 114
Lampiran 3 List pertanyaan Audit Manajemen Risiko TI untuk PT Marga
Mandalasakti umum ..................................................................................... 115
Lampiran 4 EDM03.01 Evaluasi Manajemen Risiko Responden 1 ................... 119
Lampiran 5 EDM03.02 Manajemen Risiko Langsung Responden 1 ................. 119
Lampiran 6 EDM03.03 Monitor Risk Management Responden 1 ..................... 120
Lampiran 7 APO12.01 Collect Data Responden 1 ............................................. 121
Lampiran 8 APO12.02 analyse Risk Responden 1 ............................................. 122
Lampiran 9 APO12.03 Maintain a risk profile Responden 1 ............................. 123
Lampiran 10 APO12.04 Articulate risk Responden 1 ........................................ 124
Lampiran 11 APO12.05 Define a risk management action profile Responden 1 125
Lampiran 12 APO12.06 Respond to risk Responden 1 ...................................... 125
Evaluasi Manajemen Resiko..., Nur Adhyakti Rizky, FTI UMN, 2019