BAB 1 PENDAHULUAN
1.1
Latar Belakang Teknologi informasi (TI), menurut O’Brien (2007, p6) adalah
hardware, software, telekomunikasi, manajemen database, dan teknologi pemrosesan informasi lainnya yang digunakan dalam sistem informasi berbasis komputer. Banyak perusahaan yang bergerak di bidang usahanya menggunakan hal tersebut diatas sebagai media pendukung didalam melakukan aktivitas bisnisnya sehari hari. Melalui dukungan teknologi informasi maka kegiatan operasional perusahaan yang sifatnya rutin dan nonrutin menjadi dimudahkan. Perusahaan yang menggunakan teknologi informasi akan mendapat keuntungan – keuntungan kompetitif dibandingkan dengan perusahaan yang belum menggunakan teknologi informasi sebagai tulang punggung bisnisnya. (O’Brien, 2005). Ketika dalam dunia teknologi informasi (TI) tidak ada peran kontrol atau pengendalian risiko suatu aset dalam aktivitas ruang lingkup TI, maka disitulah adanya kebutuhan akan suatu manajemen risiko informasi. Dimana manajemen atas risiko secara komprehensif sangat diperlukan, tidak hanya dapat diaplikasikan dalam perusahaan perorangan tetapi juga instansi pemerintah. Menurut Jake Kouns dan Daniel Minoli dalam bukunya yang berjudul “Information Technology
Risk
Management in Enterprise
Environments” menyatakan “Risk assessment and risk management have acquired an important place in corporate environment as well as enterprise management and governance framework.” Maka dapat disimpulkan bahwa penilaian risiko dan manajemen risiko sangat penting dalam suatu lingkungan perusahaan sehingga dapat menghindari kerugian yang akan dialami oleh perusahaan. Hughes (2006, p36), menyatakan bahwa kategori risiko teknologi informasi antara kehilangan informasi potensial dan pemulihannya. Pengukuran risiko TI berguna untuk mengetahui profil TI, analisa terhadap risiko dan juga melakukan respon terhadap risiko sehingga tidak terjadi dampak – dampak yang mungkin muncul dari risiko tersebut. Penerapan teknologi informasi yang didukung dengan sistem pengamanan yang kuat, 1
2 prosedur yang baik, otorisasi yang baik, dan pemeliharaan berkala terhadap sumber daya komputer, sehingga dapat menjamin keamanan aset perusahaan, pemeliharaan integrasi data, dan penggunaan sumber daya yang tepat. Telah dilakukan beberapa survey yang menyatakan bahwa kerugian perusahaan ditimbulkan akibat dari manajemen risiko perusahaan yang tidak efektif. Sehingga manajemen risiko menjadi kebutuhan strategis dan menentukan perbaikan kinerja perusahaan. Risiko yang menurut Gondodiyoto (2009, p174) adalah suatu chances. Perusahaan dapat memperkecil risiko dengan melakukan antisipasi berupa kontrol, namun tidak mungkin dapat sepenuhnya menghindari adanya exposure, bahkan dengan struktur pengendalian maksimal sekalipun. Dalam dunia bisnis pun semakin besar sehingga risiko yang ada tidak dapat dihilangkan tetapi dapat diminimalkan dan dihindari dengan pengendalian dan manajerial risiko yang baik. Perusahaan dituntut untuk menerapkan suatu pengelolaan yang melihat potensi – potensi atau hal – hal apa saja yang harus dilakukan agar risiko yang dapat terjadi sewaktu – waktu dapat diminimalkan sekecil mungkin. Potensi – potensi risiko tersebut dapat dilihat dari berbagai aspek baik itu secara sengaja maupun tidak sengaja, sehingga perusahaan diharapkan untuk mengelola berbagai risiko TI yang lebih baik dikemudian dan mungkin tidak terpikirkan sebelumnya. Menurut Purtell (2007), usaha untuk meminimalisir risiko-risiko yang mungkin terjadi atau untuk mengatasi risiko-risiko yang telah terjadi didalam proses bisnis dapat dilakukan dengan manajemen risiko. Manajemen risiko memiliki peranan yang sangat penting untuk pengambilan keputusan terhadap risiko-risiko yang terjadi, membantu pengaturan risiko TI, membantu perkembangan proses bisnis dan memberikan keuntungan, efisiensi terhadap pengendalian risiko, melakukan penghapusan nilai-nilai sisa, pengurangan terhadap beban, dan manajemen sumber daya yang efektif. Proses analisa risiko dilakukan dengan mengidentifikasi aset dan menentukan
aset
mana
yang
paling
kritis
terhadap
risiko
serta
mengidentifikasi pengendaliannya. Dalam mengidentifikasi aset-aset yang rentan terhadap risiko TI, antara lain server, perangkat keras dan perangkat lunak, serta database dan aplikasi bisnis. Manajemen risiko TI dalam
3 perusahaan dapat membantu menyeimbangkan risiko yang terjadi dengan biaya yang dikeluarkan. PT Pismatex Textile Industry adalah sebuah perusahaan yang bergerak di bidang tekstil, yang didirikan sejak tahun 1972 oleh alm. Ghozi Salim, memulai usahanya dengan pembuatan sarung hingga sekarang berkembang ke pembuatan kain (bahan) dan baju.
Hal ini lah yang
mendorong perusahaan untuk mengembangkan sistem yang berbasis teknologi informasi untuk mempermudah jalannya proses bisnis kedepan. Perusahaan
dewasa
ini
lebih
condong
untuk
menggunakan
pengendalian TI yang lebih efisien dan manajemen kepatuhan atas pengendalian risiko tersebut. Dengan menerapkan pengendalian risiko, perusahaan dapat mengelola maupun mendokumentasikan masalah – masalah yang ada dikemudian secara efektif dan efisien. Oleh karena hal tersebut diatas, maka penelitian akan dilakukan pada PT Pismatex Textile Industry sebagai objek penelitian analisa dan pengendalian risiko teknologi informasi dengan metode FRAP yang menurut Peltier (2005, p159-160), FRAP merupakan bentuk pendekatan analisis risiko kualitatif yang paling banyak digunakan saat ini karena memungkinkan untuk keterlibatan semua pihak. FRAP terdiri dari 3 komponen utama, yaitu PreFRAP Meeting, Frap Session, Post-FRAP Meeting.
1.2
Perumusan Masalah Dalam menjalankan dan mendukung proses bisnisnya, PT Pismatex
Textile Industry telah menggunakan teknologi informasi
agar lebih efektif
dan efisien. Teknologi informasi dirasa sangat diperlukan untuk membantu perusahaan untuk mencapai tujuannya. Namun, dalam penggunaannya terdapat risiko – risiko yang mungkin terjadi dimana perusahaan harus mampu mengelola risiko penggunaan tekhnologi informasi tersebut. Risiko – risiko tersebut yang akan dianalisa oleh penulis melalui pengumpulan data. Dari penjelasan tersebut, menuntun penulis kepada rumusan masalah yang perlu dipecahkan melalui suatu penelitian yang lebih mendalam, yaitu : a.
Risiko – Risiko yang ada pada sistem informasi penjualan PT Pismatex Textile Industry
4 b.
Penggunaan berbagai tabel dan alat pendukung analisa lainnya dalam pengendalian risiko yang ada pada PT Pismatex Textile Industry
1.3
Ruang Lingkup Untuk lebih memperjelas penyusunan skripsi ini, maka diterapkan
pembatasan ruang lingkup pada penelitiannya. Ruang lingkup penelitian diantaranya adalah : a. Penelitian akan dilakukan pada PT Pismatex Textile Industry. b. Penelitian
dilakukan
untuk
melihat
kinerja
operasional
penggunaan sistem informasi penjualan terutama dalam hal implementasi tekhnologi informasi yang mencakup perangkat keras dan perangkat lunak, aplikasi, dan juga sumber daya manusianya. c. Metode atau alat analisa yang digunakan adalah FRAP.
1.4
Tujuan dan Manfaat 1.4.1 Tujuan Tujuan dari penulisan proposal ini adalah : a. Mengidentifikasi
dan
memahami
ancaman
yang
dapat
menimbulkan risiko dari penerapan sistem informasi penjualan pada PT Pismatex Textile Industry b. Memprioritaskan
faktor
risiko
tekhnologi
informasi
yang
ditemukan pada PT Pismatex Textile Industry c. Menentukan bagaimana risiko yang ada pada PT Pismatex Textile Industry agar dapat dikontrol atau dikurangi. 1.4.2 Manfaat Manfaat yang diharapkan dari penulisan proposal ini adalah : a. Dapat membantu PT Pismatex Textile Industry untuk mengelola atau menanggulangi risiko yang akan, sedang dan telah terjadi pada teknologi informasi yang diterapkan. b. Membantu PT Pismatex Textile Industry untuk mengelola dan menanggulangi risiko yang terjadi pada sistem informasi penjualan yang diterapkan.
5 c. Memberikan
beberapa
solusi
alternatif
yang
dapat
dipertimbangkan oleh perusahaan guna menjaga keamanan asetaset yang dimiliki. d. Hasil dari analisa dan pengendalian risiko yang dilakukan, dapat dijadikan sebagai informasi bagi PT Pismatex Textile Industry
1.5
Metodologi Penelitian Metode penelitian pada dasarnya merupakan cara ilmiah yang
dilakukan seorang peneliti untuk mendapatkan data dengan tujuan atau kegunaan tertentu. Sehingga dalam melakukan penyusunan skripsi ini, metode yang digunakan penulis untuk menganalisa risiko sistem informasi menggunakan teknik antara lain : 1. Metode Studi Pustaka : Metode ini dilakukan dengan cara mengumpulkan teori dan informasi dari buku – buku, jurnal, hadil penelitian ilmiah, dan sumber lainnya yang berhubungan dengan manajemen resiko tekhnologi informasi pada perusahaan. 2. Metode Studi Lapangan Untuk memperoleh data yang dibutuhkan, peneliti akan meninjau langsung ke PT Pismatex Textile Industry yang berlokasi di Jl. Raya Bligo, Sapugarut, Buaran, Pekalongan 51157, Jawa Tengah, Indonesia. Studi Lapangan dilakukan dalam 3 cara, yaitu : i. Wawancara Proses wawancara dilakukan dengan melakukan tanya jawab langsung terhadap pihak – pihak yang terkait dengan bagian IT untuk mendapatkan infromasi yang dibutuhkan dalam penelitian. ii. Observasi Peneliti
melakukan
pengamatan
dengan
melakukan
kunjungan langsung ke perusahaan untuk mendapatkan gambaran umum perusahaan yang mencakup aset yang dimiliki oleh perusahaan seperti perangkat lunak, perangkat keras, user serta aplikasi – aplikasi yang digunakan oleh perusahaan. Pengamatan yang dilakukan oleh peneliti lebih
6 ditekankan pada pengelolaan risiko tekhologi informasi pada perusahaan. iii. Kuisioner Untuk mendukung penelitian, digunakan juga metode pengumpulan data menggunakan kuisioner yang diisi oleh pihak karyawan dan pejabat di perusahaan. 3. Metode Analisis Dari tekhnik yang ada untuk menganalisa risiko teknologi informasi, maka kami memutuskan untuk menggunakan pendekatan FRAP dikarenakan
kemungkinan
keterlibatan
semua
pihak,
adanya
brainstorming, dan adanya fasilitator yang dapat memudahkan proses analisa tingkat risiko dalam perusahaan (Pracoyo, 2003), melalui adanya beberapa tahapan di dalam FRAP, yaitu : 1. The Pre FRAP Meeting a. Menjelaskan mengenai proses FRAP dan komponen sistem yang dianalisis b. Menentukan ruang lingkup c.
Menentukan tim-tim yang akan ikut serta dalam proses FRAP
d. Menentukan waktu, ruang, dan berbagai kebutuhan lainnya yang dibutuhkan selama meeting berlangsung e. Persetujuan terhadap efisiensi 2. The FRAP Session a. Logistic : perkenalan anggota FRAP b. Overview : pernyataan ruang lingkup (visual mode) dan persetujuan definisi c. Proses
brainstorming
dilakukan
dengan
memberi
kesempatan kepada tiap anggota tim untu menulis risiko yang mungkin dari sistem yang didiskusikan pada selembar kertas kecil. Setelah 5 menit, fasilitator akan mengumpulkan kertas tersebut dan proses tersebut diulang sampai tidak ada risiko yang dapat teridentifikasi lagi. d. Kemudian fasilitator akan menyortir dan mengumpulkan risiko yang serupa serta menempelkannya pada papan.
7 Sementara anggota tim lainnya diberi kesempatan untuk break selama 10-15 menit. e. Proses dilanjutkan dengan menentukan prioritas dari risiko yang telah diidentifikasikan berdasarkan kriteria dan juga definisi yang telah disepakati pada sesi pre-FRAP Meeting. f. Langkah berikutnya yaitu penentuan kontrol, dimulai dari aset yang mempunyai risiko tinggi. Cara yang dilakukan dapat seperti pada cara penentuan risiko (sample priority matrix) atau dengan cara memberikan daftar kontrol pengamanan yang cocok serta menentukan orang yang berhak atau wajib melakukan kontrol tersebut. 3. The Post FRAP Meeting a. Membuat cross-references sheet yang berisikan masingmasing kontrol dan risiko-risiko apa saja yang dapat berkurang sebagai akibat dari pelaksanaan kontrol tersebut. b. Project leader dan fasilitator akan melihat kontrol mana saja yang sudah diterapkan pada risiko yang ada. c. Project leader dan fasilitator akan bertemu dengan manajer bisnis untuk meninjau ulang dan mengidentifikasi kontrol apa saja yang dapat digunakan untuk mengatasi risiko-risiko yang masih terbuka d. Membuat action plan untuk risiko-risiko yang masih terbuka dan risiko-risiko yang akan diimplementasikan kontrolnya. Project leader, fasilitator dan manajer bisnis menentukan kontrol apa saja yang paling efektif dan menentukan
pihak
mana
saja
yang
akan
mengimplementasikan kontrol tersebut beserta dengan tanggal pelaksanaannya. Setelah risiko tersebut telah dikontrol atau ternyata manajer bisnis telah mengidentifikasi bahwa risiko tersebut dapat diterima maka final report akan dibuat.
8 1.6
Sistematika Penulisan Untuk mempermudah pembahasan dan pemahaman penulisan
skripsi ini, maka penulisan dibagi secara sistematis kedalam lima bab, yang secara garis besar dapat diuraikan sebagai berikut : BAB 1 PENDAHULUAN Bab ini memuat latar belakang penilitian, perumusan masalah, ruang lingkup penelitian, tujuan dan manfaat penelitian, metodologi penelitian, serta sistematika penulisan. BAB 2 LANDASAN TEORI Bab ini menjelaskan berbagai definisi – definisi dan teori – teori umum yang dibutuhkan dalam penulisan skripsi ini. Landasan teori ini memberikan uraian dalam hal definisi, pandangan, tekhnik analisis data, dan teori – teori yang mendukung permasalahan – permasalahan yang akan dibahas. BAB 3 GAMBARAN UMUM SISTEM YANG BERJALAN DI PT PiSMATEX TEXTILE INDUSTRY Bab ini menjelaskan mengenai latar belakang perusahaan, visi dan misi perusahaan, struktur organisasi dan uraian tugas, proses bisnis yang sedang berjalan, serta gambaran tekhnologi informasi yang ada didalam perusahaan yang terdiri dari aset – aset tekhnologi informasi. BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO IT Bab ini akan menjelaskan mengenai pengukuran dan analisis risiko dari penerapan tekhnologi informasi pada PT Pismatex Textile Industry serta ditemukannya berbagai risiko yang ada didalam perusahaan. BAB 5 SIMPULAN DAN SARAN Bab ini akan menyimpulkan keseluruhan dari isi skripsi yang didasarkan pada hasil penelitian terhadap pengukuran dan analisis risiko dari penerapan tekhnologi informasi yang ada di perusahaan serta memberikan saran berupa perbaikan – perbaikan untuk menjaga keamanan aset organisasi.
9
