PENGUKURAN RISIKO TEKNOLOGI PERUSAHAAN PADA BILLING SYSTEM DI PT JAS

PENGUKURAN RISIKO TEKNOLOGI PERUSAHAAN PADA BILLING SYSTEM DI PT JAS Alexander, Kristian Wijaya, Adytia, Rudy M. Harahap BINUS Universtity, [email protected], [email protected], [email protected]

ABSTRACT

The purpose of this risk measurement is for identifying risk that can hold the billing process, to make sure of the risk management reability and to give recommendation to reduce the risk level found in the billing process. The research method used in this research are the risk assessment process by ISO 31000 and Structured What If Technique (SWIFT) to help in the risk identifying process. The result found in the research is that the risk management in the company is reliable enough to handle the risk found in the billing process. It can reduce the level of severity and likelihood of the risk with efficiency. But there is still a major problem lies in the authorization process. Trading passwords between managers and their staff still happened eventhough the company already stated the rules on their policy. It is quite a big risk actually, but because it is still monitored, the risk happened to be in the medium level( eventhough the rest of the risk lies in the low level). What can be suggested is that they setup a biometric data reader to help the authorization or login process because it uses an unique type of data. Keywords : Risk Measurement, Billing system, Risk severity level, Risk likelihood level

ABSTRAK

Tujuan dari pengukuran risiko yang dilakukan adalah untuk mengidentifikasi risiko yang dapat mengganggu proses billing, memastikan kehandalan atas manajemen risiko terhadap billing system yang sudah berjalan di perusahaan dan memberikan rekomendasi dan perencanaan untuk mengurangi tingkat terjadinya risiko pada proses billing. Metode penelitian yang dilakukan adalah dengan menggunakan pendekatan ISO 31000 dibantu dengan tools SWIFT untuk membantu dalam proses identifikasi risikonya. Hasil dari analisis menyebutkan bahwa pengendalian yang berjalan sudah dapat meminimalisasi tingkat dampak dan keterjadian atas temuan risiko. Namun masih terjadi penyelewengan terhadap kebijakan tukar menukar password yang merupakan temuan risiko dengan dampak yang cukup besar. Temuan risiko tersebut merupakan satu-satunya risiko yang berada di level medium sedangkan risiko lain berada di level low. Saran yang dapat diberikan untuk menanggapi hal tersebut adalah dengan menyediakan alat pembaca data biometrik seperti fingerprint scan yang akan digunakan untuk membantu dalam proses login atau otorisasi transaksi, karena menggunakan data unik. Kata kunci: Pengukuran risiko, Sistem penagihan, Tingkat dampak risiko, Tingkat keterjadian risiko

Pendahuluan Perkembangan teknologi yang pesat memberikan banyak manfaat dan efisiensi atas investasi dalam bidang TI. Namun risiko tidak pernah hilang dan oleh karena itu dalam melakukan investasi dalam bidang TI membutuhkan perencanaan risiko yang baik untuk meminimalisasi biaya atas pemeliharaannya. Definisi risiko menurut ISO Guide 73 (2009) [3] adalah suatu efek dari ketidakpastian dalam pencapaian suatu tujuan. Dan mereka juga menambahkan bahwa efek tersebut bisa bersifat negatif maupun positif. Penelitian kali ini akan menyinggung mengenai billing system atau sistem penagihan. PT JAS melakukan implementasi TI terhadap billing system mereka untuk meningkatkan kontrol dan meminimalisasi risiko kesalahan dalam proses penagihan. Permasalahan yang ditemukan pada awal mula berjalannya penelitian ini adalah banyaknya transaksi yang masih belum ditagih secara tepat waktu , walau seiring dengan berjalannya penelitian ditemukan risiko yang lebih berbahaya yaitu mengenai aturan peminjaman password. Menurut Kathi Playmouth dan Jody Martin (2009) [4], yang menjadi pertanyaan dalam melakukan implementasi dalam bidang TI adalah “bagaimana cara untuk meningkatkan infrastruktur dalam proses tanpa mengakibatkan naiknya biaya untuk barang / jasa.”

Metode Penelitian Metode-metode yang digunakan selama proses evaluasi ini yaitu : A. B. C. D. E.

Studi kepustakaan Observasi Wawancara Dokumentasi ISO 31000 dengan tool SWIFT

Hal yang pertama kali dilakukan yaitu dengan melakukan studi kepustakaan, yang diawali dengan mendiskusikan data-data apa saja yang dibutuhkan. Data-data tersebut didapat dengan melakukan pencarian buku-buku atau pun karya ilmiah dari perustakaan serta dengan mencari jurnal-jurnal yang sesuai dan dapat mendukung proses evaluasi yang dilakukan. Berikutnya adalah dengan melakukan observasi ke perusahaan terkait yang menjadi objek dari penelitian. Observasi ini dilakukan agar dapat melihat secara langsung kinerja perusahaan tersebut, bertemu langsung dengan pihak-pihak terkait dan memudahkan apabila ingin melakukan komunikasi atau memberikan pertanyaan. Kemudian yang dilakukan yaitu wawancara, dimana beberapa pertanyaan sudah disiapkan sebelumnya untuk di ajukan kepada pihak terkait sebelum memulai wawancara. Pertanyaan tersebut didapat dari diskusi kelompok, risiko-risiko yang ada di dalam perusahaan serta dari data-data yang sudah diperoleh sebelumnya. Tahap berikutnya yang dilakukan yaitu dengan mempelajari dokumen-dokumen yang diberikan oleh perusahaan dimana dokumen tersebut berkaitan dengan sistem informasi yang berjalan diperusahaan, gunanya yaitu agar dapat mengetahui bagaimana sistem yang saat ini digunakan oleh perusahaan. Hal terakhir yang dilakukan yaitu dengan menentukan metodologi apa akan digunakan dalam mengukur risiko yang terkait, lalu diputuskan untuk memakai metode pendekatan ISO 31000 yang dibantu dengan tools Structured What If atau biasa disebut SWIFT. Pemilihan metode SWIFT dikarenakan metode tersebut merupakan bagian pendekatan bertahap dalam metode FMEA agar lebih efisien Metode SWIFT itu sendiri merupakan suatu tehnik untuk mengidentifikasi risiko, sehingga dapat mengetahui risiko-risiko apa saja yang terjadi di dalam perusahaan dan terkait dalam topik skripsi ini. Keberhasilan dalam penggunaan metode SWIFT sangat dipengaruhi oleh pengetahuan pengguna atas sistem dan proses yang dianalisis (Alan J. Card, 2012) [1]. Adapun tahap-tahap yang dilakukan selama menjalankan Risk Management menurut ISO 31000 dapat dilihat pada gambar dibawah ini.

Gambar 1. Risk Management menurut ISO 31000 (ISO IEC/FDIS 31010 – Risk Assessment Technique (2009)) [2]

Penjelasan mengenai tahap-tahap diatas akan dijelaskan sebagai berikut: 1.

Communication and Consultation Analisis risiko yang baik sangat dipengaruhi oleh komunikasi dengan pejabat perusahaan atau pemegang saham. Komunikasi yang baik akan mengarah pada pembuatan perencanaan penanganan dan evaluasi risiko yang lebih baik.

2.

Establishing the Context Mendefinisikan konteks artinya membuat ukuran standar untuk mengelola risiko dan membuat lingkup serta kriteria untuk proses kelanjutannya. Dalam penelitian ini kriteria yang digunakan adalah meningkatkan pengendalian internal untuk mencapai proses penagihan yang berlangsung secara efisien dan tanpa ada laporan keluhan dari pelanggan atas kesalahan pada nvoice yang dikirim.

3.

Risk Identification Melakukan identifikasi risiko dalam penelitian ini dibantu dengan tools Structure What If Technique (SWIFT) dan salah satu tahap dari SWIFT adalah prepare the guidewords. Kata-kata bantu yang digunakan dalam mendefinisikan temuan risiko adalah availabiity, integrity, privacy, credit status, performance, realibility, dan maintenance.

4.

Risk Analysis (Risk Assessment) Analisis risiko menggunakan analisis secara kuantitatif dan kualitatif. Analisis yang digunakan menggunakan matrix 5x5 dan oleh karena itu terdapat 5 kriteria pengukuran untuk data kualitatifnya, yaitu untuk tingkat keterjadiannya adalah Sangat Jarang, Jarang, Sedang, Sering, Sangat Sering, dan untuk tingkat dampaknya adalah Tidak relevan, Tidak Signifikan, Signifikan, Cukup Signifikan, Sangat Signifikan.

5.

Risk Evaluation (Risk Assessment) Evaluasi dilakukan dengan membandingkan antara pengendalian yang sudah dilakukan perusahaan terhadap temuan risiko untuk menemukan risiko yang masih membutuhkan penanganan lebih lanjut atau biasa disebut sebagai open risk. Yang menjadi prioritas untuk ditangani terlebih dahulu adalah temuan risiko yang masuk kedalam kategori open risk tersebut agar perusahaan bisa lebih menjalankan manajemen risikonya dengan lebih efektif dan efisien.

6.

Risk Treatment (Risk Assessment) Penanganan terhadap risiko dilakukan dengan memberikan solusi terutama terhadap risiko yang masuk dalam kategori open risk.

7.

Monitoring and Review Proses monitoring dan tinjauan ulang dilakukan dengan melakukan pengecekan apakah rekomendasi yang disarankan sudah dapat mengatasi risiko dan meminimalisasi dampaknya, dan juga untuk menemukan potensi terjadinya risiko di bagian lain setelah perubahan terhadap manajemen risiko baru sudah mulai berjalan.

Hasil dan Bahasan Dari pengukuran risiko yang dilakukan dengan wawancara dan observasi, maka ditemukan beberapa risiko yang sudah dilakukan analisis kuantitatif terhadap tingkat dampak dan keterjadian yang dapat dilihat pada tabel berikut ini.

Tabel 1. Tabel Penilaian Kuantitatif Risiko Risk #

Risk

Likelihood (L)

Severity (S)

Risk Score (LxS)

A

Data belum diinput kedalam sistem (update)

1

3

3

B

Dokumen pendukung untuk penagihan belum lengkap

2

4

8

C

Target waktu closing billing tidak tercapai

1

2

2

D

Ketidaklengkapan data pada saat transfer data oleh aplikasi

2

2

4

E

Keterlambatan waktu pengiriman invoice ke pelanggan

2

2

4

F

Hutang pelanggan terus bertambah

2

2

4

G

Penyalahgunaan data perusahaan oleh staff

1

2

2

H

Kesalahan penginputan data dalam proses billing

2

2

4

I

Terjadi bencana yang dapat mengancam data-data penting perusahaan

1

5

5

J

Ancaman malware terhadap data perusahaan

2

2

4

K

Aplikasi billing yang malfungsional

3

2

6

L

Saling meminjam password antar user

3

4

12

Analisis kualitatif mengenai data – data pada tabel penilaian risiko diatas akan dijelaskan sebagai berikut. A. Data belum diinput ke sistem Risiko ini jarang sekali ditemukan karena terjadinya transaksi yang pending sangat sedikit dibandingkan dengan jumlah transaksi yang ada dan dampak atas risiko termasuk dalam kategori sedang karena masuknya suatu transaksi ke dalam daftar pending transaction akan dapat menghambat proses billing yang berlangsung. B. Dokumen pendukung untuk penagihan belum lengkap Tingkat keterjadian risiko ini masih jarang karena pihak perusahaan menganggap bahwa terjadinya pending list transaction masing jarang di bandingkan jumlah transaksi yang ada, dan tingkat risiko dari permasalah ini memiliki tingkatan cukup besar karena dalam permasalahan ini jasa sudah berjalan tetapi surat agreement belum ada sehingga terjadi keterlambatan pembayaran Ageing Receivable dan menyulitkan untuk melakukan rekonsiliasi tagihan dan terkadang dapat terjadi penolakan pembayaran transaksi yang sudah melawati tahun buku. C. Target waktu closing billing tidak tercapai Risiko ini sangat jarang terjadi jika waktu closing billing tidak tercapai karena proses billing sudah stabil dan tingkat resiko kecil karena perusahaan sudah dapat mengidentifikasi dan membuat rencana mitigasi dan jika ada keterlambatan billing di satu bulan dapat diperbaiki di bulan berikutnya (timing difference only).

D. Ketidaklengkapan data pada saat transfer data oleh aplikasi Tingkat keterjadian risiko ini jarang karena sudah memiliki langkah yang teratur dari proses sistem yang berjalan dan memiliki dampak risiko yang kecil karena jika risiko ini terjadi tidak memiliki dampak yang besar bagi proses berjalannya billing system serta sudah memiliki mitigasi yang yang teratur. E. Keterlambatan waktu pengiriman invoice ke pelanggan Risiko ini jarang terjadi karena sudah membuat schedule kerja PIC terkait dokumen billing seperti Commercial, Operation, IT, Tax & Billing yang sudah disesuaikan dengan target closing serta Tim IT selalu standby jika ada masalah terkait permasalahan pada aplikasi billing. Dampak dari risiko ini sendiri kecil karena dalam terlambatnya proses pengiriman invoice tidak memiliki dampak besar terhadap proses billing, terkecuali jika invoice mengalami keterlambatan dalam jangka waktu yang lama. F.

Hutang pelanggan terus bertambah Risiko ini jarang terjadi karena perusahaan sudah membuat sebuah prosedur yang telah di terapkan kepada setiap pelanggan dan persyaratan tertulis yang diberikan pada saat proses agreement dan dampak dari risiko ini kecil karena perusahaan sudah menentukan batas kredit yang diberikan sehingga jika kredit pihak pelanggan sudah mendekati batas akan dilakukan Statement of Account yang berisi nomor invoice, jumlah invoice serta tanggal jatuh tempo dan hari overdue dan untuk pelanggan yang tergolong masih baru akan minta deposit atau garansi bank yang dapat di offset dengan tagihan PT JAS ke pelanggan jika ada masalah collection di kemudian hari.

G. Penyalahgunaan data perusahaan oleh staff Risiko ini sangat jarang terjadi karena perusahaan sudah membatasi akeses ke masing-masing aplikasi sehingga staff akan sulit untuk mengakses tanpa otorisasi dan dampak dari risiko ini kecil. H. Kesalahan penginputan data dalam proses billing Risiko ini jarang terjadi karena dilakukan segregation of duties antara bagian yang melakukan penginputan daya, otorisasi data & approval transaksi dan jika kealahan tidak terdeteksi oleh proses review and approval, maka pada akhirnya akan terdeteksi oleh pelanggan melalui mekanisme Credit Note (CN). dampak dari risiko ini kecil karena sudah memiliki urutan prosedur yang dengan secara mudah diidentifikasi permasalahan yang ada.

I.

Terjadi bencana yang dapat mengancam data-data penting perusahaan Risiko terjadinya bencana yang dapat mengancam data-data penting perusahaan sangat jarang terjadi karena bencana terjadi dengan waktu tidak terduga dan dalam risiko ini dapat memberi dampak yang besar bagi perusahaan jika suatu saat terjadi bencana karena perusahaan belum memiliki DRP yang baik dan perusahaan memiliki data center yang menjadi satu lokasi dengan perusahaan.

J.

Ancaman malware terhadap perusahaan Risiko terancamnya malware terhadap data perusahaan jarang terjadi karena perusahaan sudah memasang antivirus di seluruh komputer sehingga dampak dari risiko ini sangat kecil dikarenakan seluruh serangan virus baik dari sisi user dan via network telah dijaga dengan ketat. Pihak perusahaan juga selalu melakukan update secara rutin sehingga selalu menggunakan database antivirus terbaru.

K. Aplikasi billing yang malfungsional Risiko terjadinya malfungsional pada aplikasi billing karena tidak adanya pemeliharaan secara berkala dari pihak consultant dan dampak dari risiko ini termasuk kecil karena jika terjadi kerusakan pada aplikasi, proses masih tetap bisa berjalan dengan menggunakan proses manual. L. Saling meminjam password antar user Terjadinya risko saling meminjam password antara staff sering terjadi karena kurangnya kesadaran akan pentingnya kerahasiaan password pada setiap user yang akan dapat berdampak negatif bagi user dan perusahaan sendiri. Dampak dari risiko ini besar karena tindakan tukar menukar password terjadi pada user dengan level yang berbeda (atasan dan bawahan) sehingga dapat membahayakan data-data penting yang dilihat oleh staff yang tidak memiliki hak akses ke data tersebut.

Data dari tabel tersebut kemudian dimasukkan ke dalam model matriks 5x5 untuk mengilustrasikan besar ancaman atas risiko terhadap proses billing perusahaan sehingga perusahaan mengerti kondisi perusahaan berada di tingkat apa. Matriks risiko tersebut dapat dilihat pada gambar dibawah ini.

Gambar 1. Matriks Penilaian Risiko (www.onsafelines.com (2012)) [5]

Dengan melihat matriks penilaian risiko diatas, maka dapat disimpulkan bahwa keadaan risiko perusahaan belum masuk ke tingkat ancaman tinggi / high. Dengan melakukan analisis terhadap temuan risiko dengan penanganan / manajemen risiko yang sudah berjalan diperusahaaan maka ditemukan risiko yang sudah mendapat pengendalian yang cukup dan ada yang masih belum cukup. Risiko tersebut biasa disebut sebagai open risk.

Tabel 2. Tabel Efektifitas Pengendalian Risiko

No

Temuan Risiko

Pengendalian Internal

Efektifitas Pengendalian

A

Data belum diinput ke sistem

Masuk ke daftar transaksi pending, Proses follow up dengan cepat

Cukup

B

Dokumen pendukung untuk penagihan belum lengkap

Mencari sumber permasalahan dan mengkomunikasikan dengan PIC dan klien yang bersangkutan

Cukup

C

Target waktu closing billing tidak tercapai

Mengirim reminder dan daftar transaksi yang pending, Tim TI yang selalu siap siaga, Memasukkan tagihan yang terlambat ke periode berikutnya

Cukup

D

Ketidaklengkapan data saat transfer data

Proses transfer data dari aplikasi ke jurnal dilengkapi dengan Summary Invoice, Melakukan rekonsiliasi atas nomor dan jumlah invoice secara manual

Cukup

E

Keterlambatan pada waktu pengiriman invoice

Menyesuaikan skedul kerja (Bag. Komersial, Operasi, TI, Pajak & Penagihan) terkait dokumen penagihan dengan target closing billing, Mengirim invoice oleh staff penagihan (area bandara) atau kurir (diluar area bandara)

Cukup

F

Hutang pelanggan terus bertambah

Mengirim Overdue Invoice setiap bulannya, Permintaan Cash Handling untuk mengurangi jumlah tunggakan yang berlebihan

Cukup

G

Penyalahgunaan data perusahaan oleh staff

Akses terbatas di setiap aplikasi, Pemberian hak akses yang terbatas untuk setiap user sesuai dengan fungsi yang dilakukan kesehariannya

Cukup

H

Kesalahan penginputan data dalam proses penagihan

Pembagian kerja dengan bagian penginputan dan bagian pengesahan / otorisasi, Membuat Credit Note (CN) dengan bukti yang mendukung koreksi atas kesalahan penagihan oleh pelanggan

Cukup

I

Terjadi bencana yang mengancam data penting perusahaan

Membeli asuransi kerusakan properti dan interupsi bisnis, backup data secara berkala (di lingkungan operasional juga) dan menggunakan tape backup yang disimpan di bank (Cross Backup Location), memiliki UPS untuk setiap client dan server yang dapat bertahan hingga 30 menit.

Cukup

J

Ancaman malware terhadap data perusahaan

Instalasi Anti Virus disetiap komputer yang selalu up to date dan firewall yang selalu aktif

Cukup

K

Malfungsional pada aplikasi penagihan

Melakukan perubahan proses ke manual hingga masalah terselesaikan, konsultan aplikasi dan tim TI selalu siap dalam melakukan perbaikan aplikasi

Cukup

L

Saling meminjam password antar user

Kebijakan larangan aktivitas pinjam meminjam password

Belum

Simpulan dan Saran Dari hasil pengukuran risiko pada PT JAS yang telah dilakukan ditemukan satu buah risiko yang belum memiliki tindak penanganan yang memadai yaitu masalah pinjam meminjam password antar user. Perusahaan sudah memiliki peraturan tertulis yang jelas mengenai masalah ini namun masih sering terjadi penyelewengan terutama pada saat dimana manajer yang bertugas melakukan otoritas sedang mengambil cuti atau sedang sakit menitipkan password mereka kepada staff / bawahan mereka untuk membantu dalam menyelesaikan proses otorisasi transaksi agar tidak terjadi keterlambatan dalam proses billing. Perusahaan kurang tegas dalam menanggulangi masalah ini karena keyakinan mereka bahwa orang – orang internal mereka dapat menjaga kerahasiaan data perusahaan dengan baik. Untuk dapat lebih melengkapi keamanan atas sistem login atau otorisasi dibutuhkan alat pembaca data biometric seperti fingerprint scan agar tidak sembarang user bisa mendapatkan akses ke aplikasi. Dan juga selain dengan himbauan, perlu adanya prosedur penambahan hak akses sementara terhadap user yang diberikan oleh admin apabila ada keperluan yang penting bagi user tersebut untuk mengakses data diluar otoritasnya, tentunya dengan izin dan sepengetahuan atasannya. Diluar itu manajemen risiko yang berjalan di PT JAS sudah dapat meminimalisasi tingkat dampak dan keterjadian dari temuan risiko yang ada secara penuh dan dengan biaya yang minim. Oleh karena itu dapat disimpulkan bahwa manajemen risiko PT JAS sudah berjalan secara efektif dan efisien.

Referensi [1] Card A.J., Ward J.R., Clarkson P.J. (2012). Beyond FMEA: The Structured What-If Technique (SWIFT). Journal of Healthcare Risk Management. UK: University of Cambridge Engineering Design Centre. 31(4). [2] ISO / IEC (2009). ISO IEC/FDIS 31010 : Risk Management – Risk Assessment Techniques. [3] ISO (2009). ISO Guide 73:2009 : Risk Management – Vocabulary. [4] Plymouth, Kathi., Martin, Jody. (2009). Bill Payment Trends: Major Shifts in Consumer Behavior Require Comprehensive Planning. A First Data White Paper. USA: First Data Corporation. [5] On Safe Lines (2012). Risk Assessment 5 x 5 Risk Matrix. England. http://www.onsafelines.com/risk-assessment-matrix5x5.html

Riwayat Penulis Alexander lahir di kota Jakarta pada 28 September 1991. Menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Komputerisasi Akuntansi pada tahun 2013. Kristian Wijaya lahir di kota Jakarta pada 5 Desember 1990. Menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Komputerisasi Akuntansi pada tahun 2013. Aditya lahir di kota Jakarta pada 24 Januari 1991. Menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Komputerisasi Akuntansi pada tahun 2013.