UNIVERSITAS INDONESIA
IDENTIFIKASI RISIKO DAN KONTROL TEKNOLOGI INFORMASI BERDASARKAN COBIT 5 DAN SARBANES-OXLEY: STUDI KASUS PT. XYZ TBK.
KARYA AKHIR
ALIDA WIDIANTI 1006832934
FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
UNIVERSITAS INDONESIA
IDENTIFIKASI RISIKO DAN KONTROL TEKNOLOGI INFORMASI BERDASARKAN COBIT 5 DAN SARBANES-OXLEY: STUDI KASUS PT. XYZ TBK.
KARYA AKHIR Diajukan sebagai salah satu syarat untuk memperoleh gelar Magister Teknologi Informasi
ALIDA WIDIANTI 1006832934
FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
KATA PENGANTAR
Puji syukur dipanjatkan kepada Allah SWT, karena atas berkah dan rahmatNya, saya dapat menyelesaikan Karya Akhir yang dibuat dalam rangka memenuhi salah satu syarat untuk mencapai gelar Magister Teknologi Informasi pada Program Studi Magister Teknologi Informasi, Fakultas Ilmu Komputer - Universitas Indonesia. Saya menyadari bahwa tanpa bantuan dari berbagai pihak, dari masa studi sampai pada penyusunan karya akhir ini, tidak mungkin bagi saya untuk menyelesaikannya. Oleh karena itu, saya mengucapkan terima kasih kepada: (1) Pak Budi Yuwono, selaku dosen pembimbing yang telah menyediakan waktu, tenaga, dan pikiran untuk mengarahkan saya dalam penyusunan karya akhir ini; (2) Pihak Perusahaan XYZ, terutama Pak Venerdi Faizal dan Pak Iwan Fadillah yang telah membantu perolehan data yang diperlukan; (3) Orang tua, mertua dan keluarga saya yang telah memberikan dukungan moral serta pengertian ketika menjadi prioritas kesekian selama masa studi dan pengerjaan karya akhir ini; (4) Calon anak saya, yang belum ditentukan namanya, yang mendampingi saya di dalam perut sejak sebelum pembuatan proposal sampai Insya Allah setelah wisuda nanti, semoga jatuh bangun pengerjaan karya akhir ini memberikan yang terbaik untukmu. (5) Terakhir, tapi yang paling signifikan, suami saya, Ilham Aji Pratomo, sahabat terbaik, penasihat, dan penyemangat yang selalu mendampingi saya saat suka dan duka studi dan pengerjaan karya akhir ini. Akhir kata, saya berharap Allah SWT berkenan membalas segala kebaikan semua pihak yang telah membantu. Semoga karya akhir ini membawa manfaat bagi pengembangan ilmu dan penerapannya di dunia kerja.
Jakarta, 22 Desember 2012 Penulis
iv
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
ABSTRAK
Nama : Alida Widianti Program Studi : Teknologi Informasi Judul : Identifikasi Risiko dan Kontrol Teknologi Informasi Berdasarkan COBIT 5 dan Sarbanes Oxley: Studi Kasus PT. XYZ Tbk.
TI dinilai dapat membantu perusahaan untuk mendukung strategi bisnisnya untuk mencapai keunggulan kompetitif. IT juga memiliki peran yang sangat penting dalam meningkatkan tata kelola perusahaan secara keseluruhan. PT. XYZ Tbk (XYZ), sebuah perusahaan yang bergerak di bidang telekomunikasi, dan mencatatkan sahamnya di New York Stock Exchange (NYSE), berkewajiban untuk mematuhi Sarbanes-Oxley Act mengenai pengendalian internal dalam pelaporan keuangan. Khusus untuk IT – SOX Compliance, perusahaan mengacu pada kerangka kerja COBIT (Control Objectives for Information and related Technology). Pada tahun 2012, COBIT 5 yang merupakan COBIT versi terbaru diluncurkan sehingga mengakibatkan munculnya perbedaan antara risiko dan kontrol yang digunakan perusahaan dengan COBIT versi terbaru tersebut. Oleh karena itu, perusahaan perlu menerapkan COBIT versi terbaru dalam penentuan proses TI dan identifikasi risiko dan kontrol untuk diterapkan perusahaan. Dari penelitian ini, didapat kesimpulan bahwa terdapat 16 proses dalam COBIT 5 yang relevan terhadap penerapan Sarbanes-Oxley Act dan 7 proses diantaranya belum sepenuhnya diterapkan oleh perusahaan. Risiko dan rincian kontrol yang perlu diterapkan juga dijelaskan dalam penelitian ini.
Kata Kunci: Tata Kelola Teknologi Informasi, COBIT, Sarbanes-Oxley
vi
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
ABSTRACT
Name Study Program Title
: Alida Widianti : Teknologi Informasi : Information Technology Risk and Control Identification Based on COBIT 5 and Sarbanes Oxley: Case Study PT. XYZ Tbk.
IT is considered to help companies to support their business strategy to achieve competitive advantage. IT also has a very important role in enhancing the overall corporate governance. PT. XYZ Tbk. (XYZ), a company engaged in telecommunications business, and listed on the New York Stock Exchange (NYSE), is obliged to comply with the Sarbanes-Oxley Act regarding internal controls in financial reporting. For its IT SOX Compliance, the company refers to the framework COBIT (Control Objectives for Information and related Technology). In 2012, the latest version of COBIT, COBIT 5, was released, resulting in the difference between risk and controls used by the company's with the latest version of COBIT. Therefore, companies need to reassess the latest version of COBIT in the determination current applicable processes and the identification of risks and controls to be applied to the company. This study concluded that there are 16 processes in COBIT 5, which are relevant to the application of the Sarbanes-Oxley Act and 7 of them have not been fully implemented by the company. Risk and control the details that need to be applied also described in this study.
Keywords: IT Governance, COBIT, Sarbanes-Oxley
vii
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
DAFTAR ISI
HALAMAN PERNYATAAN ORISINALITAS.................................................... ii HALAMAN PENGESAHAN................................................................................ iii KATA PENGANTAR ........................................................................................... iv PERNYATAAN PERSETUJUAN PUBLIKASI ..................................................... KARYA AKHIR UNTUK KEPENTINGAN AKADEMIS .................................. v ABSTRAK ............................................................................................................. vi ABSTRACT .......................................................................................................... vii DAFTAR ISI ........................................................................................................ viii DAFTAR GAMBAR .............................................................................................. x DAFTAR TABEL .................................................................................................. xi BAB 1 ..................................................................................................................... 1 PENDAHULUAN .................................................................................................. 1 1.1. Latar Belakang.............................................................................................. 1 1.2. Permasalahan Penelitian ............................................................................... 3 1.3. Pertanyaan Penelitian ................................................................................... 4 1.4. Batasan Penelitian ........................................................................................ 4 1.5. Tujuan Penelitian .......................................................................................... 4 BAB 2 ..................................................................................................................... 5 LANDASAN TEORI .............................................................................................. 5 2.1. IT Governance .............................................................................................. 5 2.2. COBIT (Control Objectives for Information and related Technology) ....... 6 2.2.1 COBIT 4.1 .............................................................................................. 7 2.2.2 COBIT 5 ................................................................................................. 9 2.3. IT SOX Compliance .................................................................................... 12 2.4. COBIT dalam IT SOX Compliance ............................................................ 14 BAB 3 ................................................................................................................... 16 METODOLOGI PENELITIAN ............................................................................ 16 3.1. Pengumpulan Data ..................................................................................... 17 3.2. Teknik Analisa Data ................................................................................... 17 3.2.1 Pemetaan antara Proses COBIT 4.1 dengan PCAOB Control Activities ....................................................................................................................... 18 3.2.2 Pemetaan antara Proses COBIT 4.1 dengan Proses COBIT 5.............. 18 3.2.3 Pemetaan antara Proses PCAOB Control Activities dengan Proses COBIT 5 ........................................................................................................ 18 3.2.4 Gap Analysis ......................................................................................... 18 3.2.5 Identifikasi Risiko ................................................................................. 19 3.2.6 Identifikasi Kontrol ............................................................................... 19 BAB 4 ................................................................................................................... 20 HASIL PENELITIAN DAN PEMBAHASAN .................................................... 20 4.1. Profil PT. XYZ Tbk.................................................................................... 20 4.1.1 Profil Umum ......................................................................................... 20 4.1.3 Profil Tata Kelola Teknologi Informasi ............................................... 23 4.2. Pemetaan antara Proses COBIT 4.1 dengan Proses PCAOB Control Activities ............................................................................................................ 23 4.3. Pemetaan antara Proses COBIT 4.1 dengan Proses COBIT 5 ................... 25 viii
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
4.4. Pemetaan antara Proses PCAOB Control Activities dengan Proses COBIT 5 ........................................................................................................................... 26 4.5. Gap Analysis............................................................................................... 44 4.6. Identifikasi Risiko ...................................................................................... 56 4.7. Identifikasi Kontrol .................................................................................... 57 4.7.1 Identifikasi Aktivitas ............................................................................ 57 4.7.2 Identifikasi Peran dan Tanggung Jawab ............................................... 62 BAB 5 ................................................................................................................... 71 PENUTUP ............................................................................................................. 71 5.1. Kesimpulan ............................................................................................. 71 5.2. Saran ....................................................................................................... 73 DAFTAR PUSTAKA ........................................................................................... 74 LAMPIRAN 1 Pemetaan Control Objective COBIT 4.1 dengan Management Practice COBIT 5 ................................................................................................. 76 LAMPIRAN 2 Dokumen Pendukung Gap Analysis ............................................. 85
ix
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
DAFTAR GAMBAR
Gambar 2.1 Kerangka Kerja COBIT 4.1 ................................................................ 8 Gambar 2.2 Kerangka Kerja COBIT 5 ................................................................. 11 Gambar 3.1 Tahapan Penelitian ............................................................................ 16 Gambar 3.2 Kerangka Pemikiran Penelitian ......................................................... 16 Gambar 4.1 Struktur Organisasi Perusahaan XYZ ............................................... 21 Gambar 4.2 Struktur Organisasi TI XYZ.............................................................. 22
x
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
DAFTAR TABEL
Tabel 4.1 Pemetaan Proses COBIT 4.1 Terhadap PCAOB Control Activities ..... 24 Tabel 4.2 Pemetaan antara Proses PCAOB Control Activities dengan Proses COBIT 5 ................................................................................................................ 27 Tabel 4.3 Management Practice yang Relevan Dengan SOX .............................. 33 Tabel 4.4 Status Penerapan Management Practice ............................................... 45 Tabel 4.5 Rangkuman Status Penarapan ............................................................... 55 Tabel 4.6 Risiko Terkait........................................................................................ 56 Tabel 4.7 Aktivitas Terkait ................................................................................... 57 Tabel 4.8 Pembagian Peran Berdasarkan COBIT 5 .............................................. 63 Tabel 4.9 Penanggung Jawab Pelaksana di Perusahaan........................................ 64 Tabel 4.10 Penanggung Jawab Utama di Perusahaan ........................................... 66 Tabel 4.11 Pihak yang Perlu Dimintai Pendapat .................................................. 67 Tabel 4.12 Pihak yang Perlu Mengetahui Keputusan ........................................... 69
xi
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
BAB 1 PENDAHULUAN
1.1. Latar Belakang Teknologi Informasi (TI) dinilai dapat membantu perusahaan untuk mendukung strategi bisnisnya dengan mendukung proses bisnis dan operasional, mendukung proses pengambilan keputusan manajemen dan mendukung strategi bisnis untuk mencapai keunggulan kompetitif. Setelah kasus Enron pada tahun 2001, tata kelola perusahaan dianggap semakin penting, dan TI memiliki peran yang sangat penting dalam meningkatkan tata kelola perusahaan secara keseluruhan. Terdapat beberapa hal yang menjadi faktor pendorong dibutuhkannya tata kelola TI dalam perusahaan, sebagai berikut (IMPACT, 2005): x
Kurangnya akuntabilitas dan kejelasan tanggung jawab layanan dan proyek TI.
x
Perbedaan antara persepsi kebutuhan bisnis oleh departemen TI dan persepsi layanan yang dapat diberikan oleh departemen TI kepada bisnis perusahaan.
x
Organisasi dan pihak manajemen tingkat atas perlu mendapatkan pemahaman atas nilai tambah yang dihasilkan dari penggunaan TI dan alasan yang mendasari pembangunan infrastruktur TI sehubungan dengan tujuan bisnis perusahaan.
x
Kesadaran bahwa TI adalah suatu sistem yang kompleks dan kondisi yang unik sehingga kebutuhan untuk menerapkan manajemen dan kontrol yang baik menjadi lebih besar.
Dengan penerapan tata kelola yang baik, beberapa manfaat yang dapat diperoleh perusahaan adalah sebagai berikut: x
Transparansi dan Akuntabilitas o Peningkatan transparansi biaya, proses dan portfolio TI o Akuntabilitas pengambilan keputusan yang jelas.
1
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
2
x
Return on Investment (ROI) / Stakeholder Value o Peningkatan pemahaman mengenai keseluruhan biaya TI dan hubungannya dengan ROI. o Menggabungkan
pemotongan
biaya
untuk
menjadi
alasan
investasi. o Stakeholder dapat melihat risiko maupun keuntungan yang berhubungan dengan TI. o Meningkatkan kontribusi pada stakeholder. o Peningkatan reputasi dan citra perusahaan. x
Peluang dan Kemitraan o Jalan untuk peluang yang sebelumnya tidak diperhatikan sebelumnya. o Posisi TI sebagai partner bisnis dan kemitraan yang dimiliki.. o Pendekatan yang konsisten untuk menanggulangi risiko. o Kemungkinan partisipasi TI dalam strategi bisnis yang dapat terlihat dari strategi TI dan juga sebaliknya. o Peningkatan respon terhadap peluang dan tantangan pasar.
x
Performance Improvement o Identifikasi yang jelas mengenai suatu layanan atau proyek TI terhadap nilai tambah di kemudian hari. o Peningkatan transparansi sehingga meningkatkan standar kinerja. o Peningkatan kinerja dapat mengarah pada pencapaian ‘best practice’. o Terhindar dari pengeluaran yang tidak diperlukan karena setiap pengeluaran dicocokan dengan tujuan bisnis.
x
External Compliance o Memungkinkan suatu pendekatan terpadu untuk memenuhi hukum dan peraturan yang berlaku.
Sehubungan dengan tata kelola perusahaan, PT XYZ Tbk. (XYZ) meyakini bahwa penerapan tata kelola perusahaan yang baik adalah kunci untuk meningkatkan pertumbuhan serta menjamin keberlanjutan bisnis. Selain itu, sebagai perusahaan publik yang mencatatkan sahamnya di Bursa Efek Indonesia Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
3
(BEI) dan New York Stock Exchange (NYSE), XYZ juga mempunyai kewajiban untuk mematuhi peraturan pasar modal Indonesia dan di Amerika Serikat, termasuk Pasal 404 dari US Sarbanes-Oxley Act mengenai pengendalian internal dalam pelaporan keuangan. Sarbanes-Oxley Act mensyaratkan organisasi untuk memilih dan menerapkan kerangka kontrol internal yang sesuai, sehingga organisasi membutuhkan panduan untuk menangani komponen TI yang berkaitan dengan pelaporan keuangan secara keseluruhan. Khusus untuk IT – SOX Compliance, perusahaan mengacu pada kerangka kerja COBIT (Control Objectives for Information and related Technology). COBIT merupakan kerangka kerja yang ditetapkan untuk membantu menyediakan suatu alat bantu untuk mengembangkan sistem yang lebih baik pada tata kelola TI dalam suatu organisasi. Pada dasarnya, struktur COBIT menawarkan best practice untuk menilai proses bisnis suatu organisasi. Selanjutnya organisasi tersebut dapat mengidentifikasi, memperbaiki atau memodifikasi setiap kelemahan dalam berbagai aspek TI yang terkait. Penggunaan COBIT dapat membantu bisnis menuju kepatuhan terhadap peraturan karena kerangka kerja tersebut secara sistematis
menguraikan
langkah-langkah
yang
perlu
dilakukan
untuk
menyesuaikan dengan peraturan perundang-undangan. 1.2. Permasalahan Penelitian Pada tahun 2012, IT Governance Institute (ITGI) meluncurkan versi terbaru dari kerangka kerja COBIT, yaitu COBIT 5. Sebelumnya, perusahaan menggunakan COBIT 4.1, yang dijembatani dengan Control Objectives for Sarbanes-Oxley sebagai dasar penentuan proses TI yang dapat diterapkan di perusahaan. Proses TI tersebut digunakan sebagai dasar identifikasi risiko dan kontrol yang seharusnya diterapkan oleh perusahaan untuk mencapai tata kelola TI yang baik. Peluncuran COBIT versi terbaru mengakibatkan munculnya perbedaan antara risiko dan kontrol yang digunakan perusahaan dengan COBIT 5. Oleh karena itu, perusahaan merasa perlu menerapkan COBIT 5 dalam penentuan proses TI dan identifikasi risiko dan kontrol untuk diterapkan perusahaan.
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
4
1.3. Pertanyaan Penelitian x
Proses TI apa saja yang dapat diterapkan pada PT. XYZ Tbk. berdasarkan COBIT 5?
x
Bagaimana kondisi implementasi proses-proses tersebut saat ini di perusahaan?
x
Risiko apa saja yang terkait dengan proses TI tersebut yang terdapat pada PT. XYZ Tbk?
x
Kontrol apa yang harus diterapkan untuk menanggulangi risiko TI tersebut?
1.4. Batasan Penelitian Penelitian ini dibatasi oleh hal – hal berikut: x
Studi kasus pada PT. XYZ Tbk untuk kondisi proses TI dalam 1 tahun terakhir.
x
Penggunaan COBIT 5 sebagai acuan dalam atribut proses TI dan identifikasi risiko dan kontrol terkait.
1.5. Tujuan Penelitian Dari latar belakang, permasalahan dan pertanyaan penelitian yang telah dijelaskan sebelumnya, penulis menyusun penelitian ini untuk mencapai beberapa tujuan berikut: x
Mengetahui proses TI yang dapat diterapkan pada perusahaan berdasarkan COBIT 5.
x
Mengetahui status penerapan proses TI tersebut di perusahaan.
x
Identifikasi risiko yang terkait dengan proses TI tersebut.
x
Identifikasi aktivitas dan pembagian tanggung jawab di perusahaan untuk menanggulangi risiko TI tersebut.
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
BAB 2 LANDASAN TEORI
2.1. IT Governance Definisi IT Governance atau Tata Kelola TI menurut IT Governance Institute (2011) adalah sebagai berikut: “ IT governance is an integral part of enterprise governance and consists of the leadership and organizational structures and processes that ensure that the organization's IT sustains and extends the organization's strategies and objectives. “ Dari definisi tersebut, tata kelola TI merupakan bagian yang tidak terpisahkan dari tata kelola perusahaan secara keseluruhan. Tata kelola TI terdiri dari struktur organisasi dan kepemimpinan TI, serta proses yang memastikan bagian TI perusahaan dapat mendukung dan mengembangkan strategi dan tujuan perusahaan. Untuk menerapkan tata kelola TI pada suatu organisasi atau perusahaan, tersedia beberapa kerangka kerja yang dapat digunakan, antara lain: x
COBIT (Control Objectives for Information and related Technology), fokus pada manajemen risiko TI.
x
IT Infrastructure Library (ITIL) dan ISO 20000 dengan fokus pada manajemen layanan TI.
x
ISO 17799 / ISO 27001 dengan fokus pada keamanan informasi.
Menurut IT Governance Institute (2011), tujuan dari penerapan tata kelola TI adalah untuk memastikan bahwa kinerja TI telah memenuhi tujuan sebagai berikut: x
TI selaras dengan perusahaan dan dapat merealisasikan manfaat yang dijanjikan.
x
TI menjadi enabler perusahaan dengan memanfaatkan peluang dan memaksimalkan manfaat yang dihasilkan.
x
Sumber daya TI digunakan secara bertanggung jawab.
x
Risiko yang berkaitan dengan TI dikelola dengan tepat. 5
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
6
2.2. COBIT (Control Objectives for Information and related Technology) COBIT merupakan kerangka kerja yang disusun pertama kali oleh IT Governance Institute (ITGI) dan Information Systems Audit and Control Association (ISACA) pada tahun 1992. Kerangka kerja ini mengalami beberapa kali revisi sampai versi terakhir, COBIT 5 yang dikeluarkan pada tahun 2012. COBIT menyediakan panduan praktik pada domain dan kerangka kerja proses dan menyajikan aktivitas-aktivitasnya secara terstruktur. Praktik-praktik tersebut merepresentasikan kesepakatan para ahli dan diharapkan akan membantu mengoptimalkan investasi TI, memastikan kualitas pelayanan dan memberikan pengukuran untuk menilai saat terjadi hal-hal yang salah. COBIT adalah suatu kerangka kerja dan pendukung yang memungkinkan manajemen menjembatani kesenjangan antara kebutuhan kontrol, masalah teknis dan risiko bisnis, juga untuk mengkomunikasikan tingkat kontrol kepada para stakeholder. COBIT memungkinkan pengembangkan kebijakan yang jelas dan praktik yang baik untuk kontrol TI di seluruh perusahaan. Oleh karena itu, COBIT menjadi pemersatu praktik TI yang baik dan memayungi tata kelola TI untuk membantu memahami dan mengelola risiko dan manfaat yang terkait dengan TI. Struktur proses pada COBIT dengan pendekatan tingkat tinggi dan berorientasi bisnis memberikan pandangan yang menyeluruh dari TI dan keputusan yang harus dibuat mengenai TI. Manfaat dari penerapan COBIT sebagai kerangka tata kelola TI antara lain: x
Keselarasan yang baik berdasarkan fokus terhadap bisnis perusahaan.
x
Suatu pandangan yang dapat dimengerti oleh manajemen mengenai apa yang dilakukan oleh TI.
x
Kepemilikan dan tanggung jawab yang jelas dengan berorientasi pada proses.
x
Penerimaan general dengan pihak ketiga dan regulator.
x
Pemahaman bersama antara seluruh stakeholder berdasarkan bahasa yang umum.
x
Pemenuhan persyaratan The Committee of Sponsoring Organizations of the Treadway Commission (COSO) untuk lingkungan pengendalian TI.
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
7
2.2.1 COBIT 4.1 Kerangka kerja COBIT 4.1 terdiri dari empat domain sebagai berikut: x
Plan and Organise Domain ini mencakup strategi dan memperhatikan identifikasi kontribusi TI terhadap pencapaian dan tujuan bisnis. Realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola. Organisasi dan infrastruktur teknologi yang baik harus diterapkan. Domain ini biasanya membahas hal-hal berikut: o Apakah TI dan strategi bisnis telah diselaraskan? o Apakah perusahaan mencapai hasil optimal dari penggunaan sumber dayanya? o Apakah setiap orang di organisasi memahami tujuan TI? o Apakah risiko TI dimengerti dan telah dikelola? o Apakah kualitas TI telah sesuai dengan kebutuhan bisnis?
x
Acquire and Implement Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh dari pihak lain, serta diimplementasikan dan diintegrasikan ke dalam proses bisnis. Selain itu, perubahan dan pemeliharaan sistem yang ada tercakup dalam domain ini untuk memastikan bahwa solusi terus memenuhi tujuan bisnis. Domain ini biasanya membahas hal-hal berikut: o Apakah proyek baru akan memberikan solusi yang memenuhi kebutuhan bisnis? o Apakah proyek baru akan selesai tepat waktu dan sesuai anggaran? o Apakah
sistem
baru
bekerja
dengan
baik
ketika
diimplementasikan? o Apakah perubahan dapat dilakukan tanpa mengganggu operasi bisnis saat ini?
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
8
Gambar 2.1 Kerangka Kerja COBIT 4.1 (COBIT 4.1)
x
Deliver and Support Domain ini berkaitan dengan penyampaian layanan yang dibutuhkan, yang mencakup pelayanan, pengelolaan keamanan dan kontinuitas, layanan dukungan bagi pengguna, dan pengelolaan data dan fasilitas operasional. Domain ini biasanya membahas hal-hal berikut:
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
9 o Apakah layanan TI yang disampaikan sesuai dengan prioritas bisnis? o Apakah biaya TI telah optimal? o Apakah tenaga kerja dapat menggunakan sistem TI secara produktif dan aman? o Apakah telah tersedia kerahasiaan yang memadai, integritas dan ketersediaan atas keamanan informasi? x
Monitor and Evaluate Semua proses TI perlu dinilai secara teratur dari waktu ke waktu untuk memastikan kualitasnya dan untuk mematuhi persyaratan kontrol. Domain ini mencakup manajemen kinerja, monitoring atas pengendalian internal, serta kepatuhan terhadap peraturan dan tata kelola. Domain ini biasanya membahas hal-hal manajemen berikut: o Apakah kinerja TI telah diukur untuk mendeteksi masalah sebelum terlambat? o Apakah manajemen memastikan bahwa kontrol internal berjalan secara efektif dan efisien? o Dapatkah kinerja TI dihubungkan kembali ke tujuan bisnis? o Apakah telah tersedia kontrol yang memadai atas kerahasiaan, integritas dan ketersediaan atas keamanan informasi?
Diagram kerangka kerja COBIT 4.1. dapat dilihat pada Gambar 2.1. 2.2.2 COBIT 5 Kerangka kerja COBIT 5 terdiri dari lima prinsip dalam mencapai tata kelola TI, sebagai berikut: x
Meeting Stakeholder Needs Suatu perusahaan dibangun untuk menciptakan nilai bagi para stakeholder dengan menyeimbangkan manfaat dan optimasi dari risiko dan sumber daya yang dimanfaatkan. COBIT 5 bertujuan untuk mendukung penciptaan nilai bisnis melalui penggunaan TI. COBIT 5 juga dapat disesuaikan dengan setiap tujuan perusahaan yang berbedabeda.
x
Covering the Enterprise End-to-end Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
10
COBIT 5 mengintegrasikan tata kelola TI dalam tata kelola perusahaan dengan mencakup seluruh fungsi. Tidak hanya fokus terhadap fungsi TI, melainkan menganggap informasi dan teknologi sebagai aset yang perlu diperlakukan seperti aset-aset penting lain di perusahaan. x
Applying a Single, Integrated Framework COBIT 5 selaras dengan standar dan kerangka kerja lain yang relevan untuk mencapai tata kelola TI yang baik.
x
Enabling a Holistic Approach Tata kelola TI yang efektif dan efisien membutuhkan pendekatan yang menyeluruh dan mencakup seluruh komponen yang terkait. COBIT 5 mendefinisikan kumpulan enabler yang dimaksudkan setiap hal yang dapat membantu pencapaian tujuan perusahaan.
x
Separating Governance From Management COBIT 5 memperjelas perbedaan governance dan management. Kedua disiplin tersebut mencakup aktivitas yang berbeda. Governance ditujukan untuk memastikan bahwa kebutuhan stakeholder, kondisi yang ada, dan pilihan yang tersedia dievaluasi untuk menyeimbangkan tujuan yang akan dicapai, dan melakukan monitoring terhadap kinerja dan kesesuaian pencapaian terhadap tujuan tersebut. Sedangkan management diartikan untuk merencanakan aktivitas yang selaras dengan tujuan yang ditentukan pada proses governance.
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
11
Gambar 2.2 Kerangka Kerja COBIT 5 (COBIT 5, A Business Framework for the Governance and Management of Enterprise IT)
Proses model COBIT 5 membagi proses TI menjadi dua domain utama, yaitu: x
Governance Mengandung 5 proses governance dan di setiap prosesnya mendefinisikan praktik Evaluate, Direct and Monitor (EDM).
x
Management Mengandung empat domain yang mencakup proses TI secara end-toend. Domain tersebut merupakan evolusi dari domain dan proses COBIT 4.1, yaitu: o Align, Plan and Organise (APO) o Build, Acquire and Implement (BAI) o Deliver, Service and Support (DSS) o
Monitor, Evaluate and Assess (MEA)
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
12
2.3. IT SOX Compliance Spears (2009) menyatakan bahwa penetapan Sarbanes-Oxley (SOX) pada tahun 2002 telah meningkatkan kesadaran untuk mengelola risiko keamanan sehingga meningkatkan kualitas pengelolaan risiko perusahaan. Hal ini dapat dilihat dari semakin banyaknya kontrol akses yang efektif, dan dibangunnya aplikasi untuk mendukung keamanan informasi tersebut. Kepatuhan pada kebutuhan SOX juga dinilai sebagai kesempatan bagi perusahaan untuk meningkatkan investasi untuk mendukung keamanan informasi. Menurut Adaikkappan (2009), audit TI dapat berkontribusi dalam perjalanan keamanan informasi dari suatu perusahaan dengan menggunakan pendekatan proaktif dalam menganalisa dan mengaudit keamanan informasi. Seluruh kontrol kunci yang teridentifikasi harus diperiksa untuk memberikan level kepastian yang sesuai bagi petinggi perusahaan dan audit committee. Peraturan SOX terdiri dari beberapa bagian yang dirancang untuk meningkatkan kualitas dan integritas dari laporan keuangan perusahaan. Salah satu bagian tersebut berdampak langsung pada kontrol IT, yaitu bagian 404, Management Assessment of Internal Controls. Bagian 404 mewajibkan perusahaan untuk memasukkan hal – hal berikut dalam laporan keuangan tahunan: x
Kewajiban manajemen untuk memiliki kontrol internal yang cukup dalam proses pembuatan laporan keuangan.
x
Kerangka kerja yang digunakan sebagai kriteria penilaian efektifitas kontrol internal dalam proses pembuatan laporan keuangan.
x
Penilaian manajemen atas efektifitas dari internal kontrol dalam proses pembuatan laporan keuangan dan mengungkapkan kelemahan yang material.
Untuk memenuhi ketentuan tersebut, auditor independen harus memastikan penilaian manajemen atas efektifitas kontrol internal atas laporan keuangan. Oleh karena itu, perusahaan harus memastikan bahwa kontrol TI berjalan dengan baik. Menurut Chaudhuri et al (2009), TI adalah layanan yang terintegrasi dalam audit keuangan. Untuk menghindari ketidakterhubungan dengan tujuan bisnis secara keseluruhan, perusahaan perlu memiliki kontrol TI yang baik dalam kontrol Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
13
internalnya. Kontrol harus berjalan untuk memastikan akurasi, kelengkapan, validitas dan keamanan suatu transaksi. Secara umum, kontrol pengamanan harus terdapat pada input, proses dan output suatu transaksi. Perusahaan yang terdaftar pada New York Stock Exchange (NYSE) dan harus memenuhi ketentuan Sarbanes-Oxley Act mungkin merasa kesulitan dalam mengidentifikasi tangible value dari kontrol aplikasi, tetapi seringkali terbukti bahwa kontrol aplikasi berperan penting dalam efisiensi dan efektivitas suatu perusahaan untuk memenuhi peraturan SOX tersebut. Kontrol aplikasi membutuhkan biaya lebih murah dalam proses auditnya karena suatu kontrol aplikasi yang telah berjalan dengan baik memerlukan pemeriksaan dengan frekuensi lebih sedikit, Dengan mengurangi kemungkinan human error, perusahaan juga dapat meningkatkan kualitas control environment secara keseluruhan. Penggunaan kontrol aplikasi menurunkan biaya dari pemeriksaan tahunan dengan menggantikan pemeriksaan manual yang lambat, penuh kemungkinan kesalahan dan kebutuhan untuk pemeriksaan dengan jumlah sampel yang banyak dengan proses observasi aplikasi secara lebih efisien. Tetapi keuntungan terbesar dari otomasi kontrol adalah dengan menurunkan inherent risk pada proses bisnis secara keseluruhan. Mehta (2009) menyatakan bahwa cara yang paling tepat untuk menentukan ruang lingkup dan kedalaman pemeriksaan dengan melakukan risk assessment dengan menitikberatkan risiko yang berkaitan dengan kebutuhan SOX, seperti integritas data dan kesalahan penyajian laporan keuangan, secara khususnya terkait dengan IT General Control (ITGC) pada sistem terkait. Dengan menggunakan pendekatan tersebut yang menitikberatkan pada parameter kritikal dari sudut pandang SOX ITGC, auditor dapat menghemat banyak waktu, usaha, beban kerja, dan juga uang. Risk assessment yang dilakukan secara benar dapat digunakan perusahaan sebagai dasar untuk meyakinkan bahwa seluruh sistem telah divalidasi dan diperiksa sesuai dengan aturan SOX. Hal ini akan mengurangi kemungkinan defisiensi yang signifikan. Jika ruang lingkup ITGC sudah memadai, jumlah prosedur manual
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
14
yang harus dilakukan juga akan berkurang, sehingga akan menurunkan biaya secara keseluruhan. SOX
menimbulkan
kesempatan
yang
baik
kepada
auditor
TI
untuk
menanggulangi risiko dengan merekomendasikan cara untuk meningkatkan tata kelola TI yang sudah diterapkan dan memastikan bahwa program SOX - TI terintegrasi dalam budaya perusahaan. Rozek (2008) menyatakan bahwa terdapat lebih dari satu proses yang dibutuhkan untuk menjawab kebutuhan SOX - TI. Dengan memiliki proses yang berbasiskan pada tata kelola, perusahaan dapat mengurangi waktu dan biaya yang harus dikeluarkan dan kesulitan yang dialami dalam proses remediasi. Proses yang telah berulang kali dilakukan juga dapat meningkatkan
kepercayaan
terhadap
arsitektur
kontrol
perusahaan
dan
meningkatkan kesadaran atas kontrol dalam perusahaan secara keseluruhan. Hal itu juga memungkinkan dilakukannya program monitoring kontrol secara berkelanjutan. Hasil penelitian Grant dan Miller (2008) menyatakan bahwa perusahaan dapat meningkatkan kualitas laporan keuangan secara keseluruhan dan menurunkan jumlah eror secara signifikan dengan mengurangi defisiensi pada kontrol IT. Penelitian tersebut juga menyatakan bahwa perusahaan yang memiliki defisiensi pada kontrol TI mengeluarkan biaya audit yang lebih tinggi. Hasil penelitian Velichety et al. (2007) menyatakan bahwa kontrol internal dapat membantu manajemen untuk mencapai tujuan bisnis perusahaan. Penelitian tersebut juga menyatakan bahwa standarisasi proses TI dan kesiapan manajemen untuk mengotomasi kontrol TI berkontribusi aktif dalam kesuksesan implementasi SOX. Perusahaan juga mendapat keuntungan yang signifikan dari investasi yang dilakukan untuk mencapai kepatuhan SOX tersebut. Beberapa industri juga mendapatkan keuntungan yang spesifik dan lebih luas dari investasi atas Sarbanes-Oxley. 2.4. COBIT dalam IT SOX Compliance Secara umum menurut SANS (2005), kerangka kerja COSO Internal Control – Integrated Framework (Control Framework) merupakan kerangka kerja yang diakui sebagai standar kontrol internal organisasi untuk mengimplementasi dan Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
15
mengevaluasi kontrol internal untuk memenuhi peraturan SOX, PCAOB (Public Company Accounting Oversight Board, organisasi pemerintahan pengawas implementasi SOX) Standard 2, dan SEC (US Securities and Exchange Commission). Oleh karena itu, mayoritas perusahaan menggunakan kerangka kerja tersebut untuk memenuhi regulasi SOX. COSO membahas mengenai bagaimana risiko seharusnya diidentifikasi dan kontrol untuk menanggulangi risiko tersebut. Hal tersebut mengacu pada kontrol manual dan otomatis. Untuk kontrol otomatis, hal tersebut perlu didukung oleh ITGC yang tepat. Pada kebanyakan perusahaan dengan ukuran apapun, terjadi perpindahan data antara grup-grup yang berbeda dan antara berbagai aplikasi TI yang digunakan, sejak dari transaksi yang dilakukan, sampai kepada laporan yang harus disahkan oleh pemimpin perusahaan. Oleh karena itu, harus dilakukan pemeriksaan atas akurasi data dan hal tersebut membutuhkan keyakinan bahwa seluruh prosedur dan kontrol yang dilakukan sudah dilakukan dengan benar. Banyak pengamat yang menunjukkan bahwa COSO saja tidak cukup untuk mengidentifikasi, mendokumentasikan, dan mengevaluasi kontrol-kontrol TI yang diperlukan untuk mematuhi regulasi SOX. Kerangka kerja COBIT dirancang untuk mengatasi masalah tersebut. COBIT merupakan interpretasi dari COSO dilihat dari sudut pandang TI. ITGI secara khusus mengemukakan bahwa prioritas pertama perusahaan adalah dapat menunjukkan bahwa terdapat kontrol TI yang kuat terhadap mekanisme pelaporan keuangan. COBIT merupakan pendekatan yang menyeluruh untuk mengelola risiko dan kontrol teknologi informasi dan COBIT dapat diadopsi sebagai panduan untuk upaya kepatuhan Sarbanes-Oxley.
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
BAB 3 METODOLOGI PENELITIAN Secara umum, metodologi yang digunakan dalam penelitian ini adalah kualitatif dengan studi kasus. Tahapan penelitian digambarkan pada Gambar 3.1 berikut:
Gambar 3.1 Tahapan Penelitian
Kerangka pemikiran penelitian ini dapat dilihat pada Gambar 3.2 berikut:
Gambar 3.2 Kerangka Pemikiran Penelitian
16
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
17
3.1. Pengumpulan Data Penelitian ini menggunakan beberapa jenis data, yaitu: x
Data primer mengenai kondisi yang terkait dengan studi kasus akan dikumpulkan dengan cara wawancara terhadap pihak utama terkait tata kelola teknologi informasi di perusahaan. Wawancara dilakukan dengan pertanyaan yang semi terstruktur untuk mendapatkan informasi yang rinci, tetapi tetap berada pada koridor penelitian. Data primer dibutuhkan untuk menjelaskan kondisi atas setiap proses TI yang berlaku di perusahaan, dan status penerapan proses-proses tersebut.
x
Data sekunder mengenai kerangka kerja dan teori yang digunakan, atribut pengukuran, dan best practice yang dijadikan tujuan akan dikumpulkan dengan studi literatur terhadap jurnal-jurnal nasional dan internasional, dokumentasi dan panduan kerangka kerja, maupun penelitian sejenis yang pernah dilakukan sebelumnya. Data sekunder yang akan digunakan adalah COBIT 4.1, COBIT 5 Enabling Process, dan IT Control Objectives for Sarbanes-Oxley (The Role of IT in the Design and Implementation of Internal Control over Financial Reporting) 2nd Edition.
3.2. Teknik Analisa Data Penelitian ini menggunakan teknik analisa kualitatif untuk mendapatkan pengertian secara mendalam dan keseluruhan atas proses TI yang terjadi dalam perusahaan studi kasus. Sesuai dengan kerangka penelitian, analisa data yang akan dilakukan adalah sebagai berikut: x
Analisa pemetaan proses COBIT 4.1 dengan PCAOB IT General Controls
x
Analisa pemetaan proses COBIT 4.1 dengan proses COBIT 5
x
Pemetaan antara proses COBIT for SOX dengan proses COBIT 5
x
Gap Analysis
x
Identifikasi Risiko
x
Identifikasi Kontrol Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
18
3.2.1 Pemetaan antara Proses COBIT 4.1 dengan PCAOB Control Activities Pada tahap ini, penulis melakukan analisa singkat mengenai proses mana saja pada COBIT 4.1 yang selaras dengan PCAOB Control Activities. Analisa akan dilakukan dengan mengacu pada dokumen IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting, 2nd Edition dan akan menghasilkan proses COBIT 4.1 yang digunakan dalam relevan dengan penerapan SOX. 3.2.2 Pemetaan antara Proses COBIT 4.1 dengan Proses COBIT 5 Pada tahap ini, penulis akan melakukan analisa pemetaan antara proses COBIT 4.1 dengan proses COBIT 5. COBIT 4.1 memiliki 34 proses TI, sedangkan COBIT 5 memiliki 37 proses TI. Asumsi yang digunakan adalah setiap proses COBIT 4.1 terdapat juga dalam COBIT 5, dengan nama proses yang mungkin berbeda. Analisa akan menghasilkan proses pada COBIT 5 yang merupakan pasangan dari proses COBIT 4.1. Pemetaan dilakukan dengan mengacu pada dokumen COBIT 5: Enabling Process dan pada dokumen tersebut pemetaan dilakukan satu level lebih detail yaitu pada level Management Practice. Pemetaan ini perlu dilakukan untuk menjembatani pemetaan antara proses COBIT 5 dengan PCAOB Control Activities. 3.2.3 Pemetaan antara Proses PCAOB Control Activities dengan Proses COBIT 5 Pada tahap ini, penulis akan melakukan pemetaan silang antara hasil pemetaan pada 3.2.1 dengan 3.2.2. Dari pemetaan silang tersebut, akan menghasilkan Management Practice COBIT 5 yang relevan dengan penerapan SOX di perusahaan. 3.2.4 Gap Analysis Pada tahap ini, penulis akan melakukan analisa terhadap status penerapan setiap proses yang dihasilkan pada 3.2.3 di perusahaan berdasarkan best practice yang pada COBIT 5 disebut sebagai Management Practice. Output
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
19
dari proses ini adalah identifikasi Management Practice yang telah diterapkan dan yang belum sepenuhnya diterapkan. 3.2.5 Identifikasi Risiko Untuk setiap proses yang dianggap belum sepenuhnya diterapkan, dilakukan identifikasi risiko terkait proses tersebut. Identifikasi risiko dilakukan dengan mengacu kepada profil risiko perusahaan. Output dari proses ini adalah daftar risiko di perusahaan terkait dengan setiap proses TI yang berlaku sesuai dengan tujuan penyajian laporan keuangan. 3.2.6 Identifikasi Kontrol Dari setiap risiko yang teridentifikasi, dilakukan identifikasi kontrol yang diperlukan untuk menanggulangi risiko-risiko tersebut. Output dari proses ini adalah rincian kontrol dan aktivitas terkait penerapan proses yang juga menanggulangi risiko yang teridentifikasi.
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
BAB 4 HASIL PENELITIAN DAN PEMBAHASAN
Bab ini menjelaskan tentang hasil yang diperoleh dari penelitian. Selanjutnya dijelaskan analisis yang dilakukan terhadap hasil penelitian sesuai dengan tujuan di awal. Tahapan analisis dijelaskan menurut metode yang digunakan dalam penelitian. 4.1. Profil PT. XYZ Tbk. 4.1.1 Profil Umum PT. XYZ Tbk, (XYZ), merupakan suatu perusahaan di bidang telekomunikasi di Indonesia yang fokus pada tiga jenis usaha utama yaitu: x
Jasa Seluler
x
Jasa Multimedia, Komunikasi Data dan Internet
x
Jasa Komunikasi Tetap
Visi XYZ adalah menjadi pilihan utama pelanggan untuk seluruh kebutuhan informasi dan komunikasi. Untuk mencapai visi tersebut, perusahaan memiliki beberapa misi, yaitu: x
Menyediakan dan mengembangkan produk, layanan dan solusi inovatif yang berkualitas untuk memberikan nilai lebih bagi para pelanggan.
x
Meningkatkan shareholders value secara terus menerus.
x
Mewujudkan kualitas kehidupan yang lebih baik bagi stakeholder.
Jumlah karyawan yang mendukung operasional perusahaan mencapai 3,800 karyawan tetap dan sekitar 600 karyawan outsource. Struktur organisasi perusahaan dapat dilihat pada Gambar 4.1 berikut.
20
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
21
Gambar 4.1 Struktur Organisasi Perusahaan XYZ
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
22
4.1.2 Profil Teknologi Informasi Teknologi informasi perusahaan dikelola oleh dua Group utama yaitu Group IT Planning dan Group IT Operation, keduanya berada di bawah Direktorat Teknologi (Director & Chief Technology Officer). Struktur organisasi dalam kedua Group tersebut dijelaskan pada Gambar 4.2 berikut.
Gambar 4.2 Struktur Organisasi TI XYZ
Tanggung jawab utama dari Group IT Planning adalah mengembangkan dan mengelola strategi dan arsitektur TI, mengembangkan solusi TI berdasarkan kebutuhan bisnis, mengelola proyek pengembangan sistem atau aplikasi yang akan diserahkan ke pengguna bisnis, dan melakukan evaluasi dan analisa kinerja sistem TI yang ada untuk memastikannya selalu bekerja dengan baik. Sedangkan tanggung jawab utama dari Group IT Operation adalah mengelola kualitas sistem sesuai dengan tingkat layanan yang diperlukan oleh perusahaan, pengguna bisnis dan pelanggan, berkoordinasi dengan pihak internal dan ketiga untuk pemecahan masalah, permintaan pengguna akses, dan pelaporan, mengelola kontrak pemeliharaan dengan menjalankan review atas kinerja pihak ketiga. Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
23
4.1.3 Profil Tata Kelola Teknologi Informasi Pihak utama yang mendukung Tata Kelola Teknologi Informasi di XYZ terimplementasi dengan baik sampai level operasional adalah Internal Audit Group (IAG) dan Risk Management Group (RMG). IAG bertanggung jawab untuk memberikan rekomendasi audit independen dan jaminan atas kelayakan dan efektifitas proses-proses manajemen risiko, pengendalian internal dan tata kelola perusahaan untuk memberikan nilai tambah dan meningkatkan operasional perusahaan. Sedangkan RMG bertugas untuk membantu President Director & Chief Executive Officer (CEO) dan Director & Chief Financial Officer (CFO) dalam mengelola kepatuhan perusahaan terhadap regulasi SOX, menyusun kontrol internal, serta mengembangkan dan mendokumentasikan proses identifikasi risiko kesalahan penyajian laporan keuangan. Selain itu, RMG dan IAG melakukan uji efektifitas terhadap rancangan dan implementasi faktor-faktor kunci atas penanggulangan risiko kesalahan penyajian laporan keuangan. Proses dan dokumentasi kepatuhan SOX terakhir telah dilakukan atas posisi per tanggal 31 Desember 2011 dan tidak terdapat kelemahan material dalam Internal Control over Financial Reporting (ICOFR). 4.2. Pemetaan antara Proses COBIT 4.1 dengan Proses PCAOB Control Activities ITGI (2006) memetakan proses TI pada COBIT 4.1 dengan standar audit PCAOB yang digunakan sebagai dasar Sarbanes-Oxley dalam publikasinya yang berjudul IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting, 2nd Edition. PCAOB Control Activities mencakup empat aktivitas kontrol teknologi informasi yang digunakan dalam penerapan SOX, yaitu Program Development, Program Changes, Computer Operations dan Access to Programs and Data. Pada pemetaan tersebut, dihasilkan 12 dari 34 proses pada COBIT 4.1 yang relevan dengan penerapan SOX, seperti yang tertera pada Tabel 4.1.
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
24
Tabel 4.1 Pemetaan Proses COBIT 4.1 Terhadap PCAOB Control Activities
Program Development
Program Changes
Computer Operations
Access to Programs and Data
PCAOB Control Activities
PO1 Define a Strategic IT Plan
8
8
8
8
PO2 Define the Information Architecture
8
8
8
8
PO3 Determine Technological Direction
8
8
8
8
Relationships
8
8
8
8
PO5 Manage the IT Investment
8
8
8
8
Direction
8
8
8
8
PO7 Manage IT Human Resources
8
8
8
8
PO8 Manage Quality
8
8
8
8
PO9 Assess and Manage IT Risks
8
8
8
8
PO10 Manage Projects
8
8
8
8
AI1 Identify Automated Solutions
8
8
8
8
AI2 Acquire and Maintain Application Software
9
9
9
9
Infrastructure
9
9
9
8
AI4 Enable Operation and Use
9
9
9
9
AI5 Procure IT Resources
8
8
8
8
AI6 Manage Changes
8
9
8
9
AI7 Install and Accredit Solutions and Changes
9
9
9
9
DS1 Define and Manage Service Levels
9
9
9
9
DS2 Manage Third-party Services
9
9
9
9
DS3 Manage Performance and Capacity
8
8
8
8
Proses COBIT 4.1
PO4 Define the IT Processes, Organisation and
PO6 Communicate Management Aims and
AI3 Acquire and Maintain Technology
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
25
Program Development
Program Changes
Computer Operations
Access to Programs and Data
PCAOB Control Activities
DS4 Ensure Continuous Service
8
8
8
8
DS5 Ensure Systems Security
8
8
9
9
DS6 Identify and Allocate Costs
8
8
8
8
DS7 Educate and Train Users
8
8
8
8
DS8 Manage Service Desk and Incidents
8
8
9
8
DS9 Manage the Configuration
8
8
9
9
DS10 Manage Problems
8
8
9
8
DS11 Manage Data
8
8
9
9
DS12 Manage the Physical Environment
8
8
9
9
DS13 Manage Operations
8
8
9
9
ME1 Monitor and Evaluate IT Performance
8
8
8
8
ME2 Monitor and Evaluate Internal Control
8
8
8
8
Requirements
8
8
8
8
ME4 Provide IT Governance
8
8
8
8
Proses COBIT 4.1
ME3 Ensure Compliance With External
4.3. Pemetaan antara Proses COBIT 4.1 dengan Proses COBIT 5 Pada saat ISACA menerbitkan COBIT 5, ISACA menerbitkan beberapa dokumen pendukung yang salah satunya adalah COBIT 5 Enabling Process. Pada dokumen tersebut bagian Lampiran A, terdapat pemetaan antara Control Objective yang terdapat pada COBIT 4.1 dengan Management Practice di COBIT 5. Pemetaan untuk keseluruhan Control Objectives dapat dilihat pada Lampiran 1.
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
26
4.4. Pemetaan antara Proses PCAOB Control Activities dengan Proses COBIT 5 Dari hasil kedua pemetaan pada bagian 4.2 dan 4.3, dilakukan pemetaan silang untuk mendapatkan Management Practice dalam COBIT 5 yang relevan dalam kepatuhan penerapan SOX, seperti yang terlihat pada Tabel 4.2.
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Ya Ya Ya Ya Ya Ya Ya Ya Ya Ya Ya
BAI03.05 BAI03.01-03; BAI03.05 BAI03.03; BAI03.05 BAI03.10 BAI03.03-04 BAI03.06 BAI03.09 BAI03.10 BAI03.04 BAI03.03; DSS02.03 BAI03.10 BAI03.07-08
AI2.3 Application Control and Auditability
AI2.4 Application Security and Availability
AI2.5 Configuration and Implementation of Acquired Application Software
AI2.6 Major Upgrades to Existing System
AI2.7 Development of Application Software
AI2.8 Software Quality Assurance
AI2.9 Applications Requirements Management
AI2.10 Application Software Maintenance
AI3.1 Technological Infrastructure Acquisition Plan
AI3.2 Infrastructure Resource Protection and Availability
AI3.3 Infrastructure Maintenance
AI3.4 Feasibility Test Environment
Universitas Indonesia
Ya
Ya
BAI03.02
AI2.2 Detailed Design
Ya
Control Activities
COBIT 5 BAI03.01
Termasuk PCAOB
Management Practice
AI2.1 High-level Design
COBIT 4.1 Control Objective
Tabel 4.2 Pemetaan antara Proses PCAOB Control Activities dengan Proses COBIT 5
27
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Ya Ya Ya Ya Ya Ya Ya Ya Ya Ya Ya Ya Ya
BAI08.01-04 BAI08.01-04 BAI06.01-04 BAI06.01 BAI06.02 BAI06.03 BAI06.04 BAI05.05 BAI07.01; BAI07.03 BAI07.01 BAI07.04 BAI07.02 BAI07.05 BAI07.05
AI4.3 Knowledge Transfer to End Users
AI4.4 Knowledge Transfer to Operations and Support Staff
AI6.1 Change Standards and Procedures
AI6.2 Impact Assessment, Prioritisation and Authorisation
AI6.3 Emergency Changes
AI6.4 Change Status Tracking and Reporting
AI6.5 Change Closure and Documentation
AI7.1 Training
AI7.2 Test Plan
AI7.3 Implementation Plan
AI7.4 Test Environment
AI7.5 System and Data Conversion
AI7.6 Testing of Changes
AI7.7 Final Acceptance Test
Universitas Indonesia
Ya
Ya
BAI08.01-04
AI4.2 Knowledge Transfer to Business Management
Ya
Control Activities
COBIT 5 BAI05.05
Termasuk PCAOB
Management Practice
AI4.1 Planning for Operational Solutions
COBIT 4.1 Control Objective
28
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Ya Ya Ya Ya Ya Ya Ya Ya Ya Ya Ya Ya
APO09.01-06 APO09.01-03 APO09.04 APO09.04 APO09.05 APO09.06 APO10.01 APO10.03 APO10.04 APO10.05 APO13.01; APO13.03 APO13.02 DSS05.04
DS1.1 Service Level Management Framework
DS1.2 Definition of Services
DS1.3 Service Level Agreements
DS1.4 Operating Level Agreements
DS1.5 Monitoring and Reporting of Service Level Achievements
DS1.6 Review of Service Level Agreements and Contracts
DS2.1 Identification of All Supplier Relationships
DS2.2 Supplier Relationship Management
DS2.3 Supplier Risk Management
DS2.4 Supplier Performance Monitoring
DS5.1 Management of IT Security
DS5.2 IT Security Plan
DS5.3 Identity Management
Universitas Indonesia
Ya
Ya
BAI07.08
AI7.9 Post-implementation Review
Ya
Control Activities
COBIT 5 BAI07.06
Termasuk PCAOB
Management Practice
AI7.8 Promotion to Production
COBIT 4.1 Control Objective
29
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Ya Ya Ya Ya
DSS05.05 DSS05.03 DSS05.01 DSS05.02 DSS05.02 Deleted—ITIL 3 does not
DS5.7 Protection of Security Technology
DS5.8 Cryptographic Key Management
DS5.9 Malicious Software Prevention, Detection and Correction
DS5.10 Network Security
DS5.11 Exchange of Sensitive Data
DS8.1 Service Desk
Ya Ya Ya
DSS02.04 DSS02.05-06 DSS02.07
DS8.3 Incident Escalation
DS8.4 Incident Closure
DS8.5 Reporting and Trend Analysis
Universitas Indonesia
Ya
DSS02.01-03
Ya
Ya
DS8.2 Registration of Customer Queries
process.
refer to Service Desk as a
Ya
DSS02.01
DS5.6 Security Incident Definition
Ya
DSS05.07
DS5.5 Security Testing, Surveillance and Monitoring
Ya
Control Activities
COBIT 5 DSS05.04
Termasuk PCAOB
Management Practice
DS5.4 User Account Management
COBIT 4.1 Control Objective
30
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Ya Ya Ya Ya Ya Ya Ya Ya Ya
DSS03.02 DSS03.03-04 DSS03.05 DSS01.01 DSS04.08; DSS06.04 DSS04.08 DSS05.08 DSS04.08 DSS01.01; DSS05.08;
DS10.2 Problem Tracking and Resolution
DS10.3 Problem Closure
DS10.4 Integration of Configuration, Incident and Problem Management
DS11.1 Business Requirements for Data Management
DS11.2 Storage and Retention Arrangements
DS11.3 Media Library Management System
DS11.4 Disposal
DS11.5 Backup and Restoration
DS11.6 Security Requirements for Data Management
Universitas Indonesia
Ya
DSS03.01
DS10.1 Identification and Classification of Problems
DSS06.05
Ya
BAI10.04-05; DSS02.05
DS9.3 Configuration Integrity Review
Ya
BAI10.03
DSS02.01
Ya
Control Activities
COBIT 5 BAI10.01-02; BAI10.04;
Termasuk PCAOB
Management Practice
DS9.2 Identification and Maintenance of Configuration Items
DS9.1 Configuration Repository and Baseline
COBIT 4.1 Control Objective
31
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Ya Ya Ya Ya Ya Ya Ya
DSS05.05 DSS01.04 DSS01.05 DSS01.01 DSS01.01 DSS01.03 DSS05.06 BAI09.02
DS12.3 Physical Access
DS12.4 Protection Against Environmental Factors
DS12.5 Physical Facilities Management
DS13.1 Operations Procedures and Instructions
DS13.2 Job Scheduling
DS13.3 IT Infrastructure Monitoring
DS13.4 Sensitive Documents and Output Devices
DS13.5 Preventive Maintenance for Hardware
sehingga relevan juga terhadap penerapan SOX di perusahaan, seperti terlihat pada Tabel 4.3.
Universitas Indonesia
Dari hasil pemetaan silang tersebut, teridentifikasi Management Practice COBIT 5 yang relevan terhadap PCAOB Control Activities
Ya
Ya
DSS05.05
DS12.2 Physical Security Measures
Ya
Control Activities
COBIT 5 DSS01.04-05; DSS05.05
Termasuk PCAOB
Management Practice
DS12.1 Site Selection and Layout
COBIT 4.1 Control Objective
32
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
APO10.01
APO09.05
APO09.04
APO09.03
Catalogue IT-enabled Define and maintain one or more service catalogues for relevant target groups. Publish and maintain live
APO09.02
operational agreements. Monitor service levels, report on achievements and identify trends. Provide the appropriate management information to aid performance management. Conduct periodic reviews of the service agreements and revise when needed.
service agreements.
Monitor and report
service levels.
Review service
and contracts.
alternative suppliers and contracts. Universitas Indonesia
supplier relationships Establish supplier and contract evaluation criteria and evaluate the overall portfolio of existing and
Identify and evaluate
contracts. Identify suppliers and associated contracts and categorise them into type, significance and criticality.
Define and prepare service agreements based on the options in the service catalogues. Include internal
Define and prepare
agreements and
IT-enabled services in the service catalogues.
services.
options.
compare them with the current service portfolio to identify new or changed services or service level
business processes. Discuss and agree on potential services and service levels with the business, and
Analyse business requirements and the way in which IT-enabled services and service levels support
Identify IT services.
APO09.01
Management Practice
Tabel 4.3 Management Practice yang Relevan Dengan SOX
33
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
APO13.02
APO13.01
APO10.05
APO10.04
APO10.03
contracts and service delivery. Ensure that new or changed contracts conform to enterprise standards and legal and regulatory requirements. Deal with contractual disputes.
relationships and
contracts.
for money, and address identified issues.
performance and
business requirements and enterprise security management.
implementing security improvements are based on approved business cases and implemented as an
risk treatment plan.
operation.
Universitas Indonesia
integral part of services and solutions development, then operated as an integral part of business
aligned with the enterprise strategy and enterprise architecture. Ensure that recommendations for
information security
Define and manage an Maintain an information security plan that describes how information security risk is to be managed and
(ISMS).
management system
an information security management for information, enabling secure technology and business processes that are aligned with
Establish and maintain Establish and maintain an ISMS that provides a standard, formal and continuous approach to security
compliance.
Periodically review the overall performance of suppliers, compliance to contract requirements, and value
Monitor supplier
service delivery.
Manage supplier risk. Identify and manage risk relating to suppliers’ ability to continually provide secure, efficient and effective
Formalise and manage the supplier relationship for each supplier. Manage, maintain and monitor
Manage supplier
34
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
BAI03.03
BAI03.02
BAI03.01
APO13.03
development techniques. Ensure alignment with the IT strategy and enterprise architecture. Reassess and
solutions.
or rapid agile development techniques, addressing all components (business processes and related
solution components.
methods and documentation standards, quality assurance (QA) requirements, and approval standards.
components.
Universitas Indonesia
infrastructure services, services and technology products, and partners/suppliers are addressed.
Ensure that all control requirements in the business processes, supporting IT applications and
Develop solution components progressively in accordance with detailed designs following development
Develop solution
and OLAs.
products, and partners/suppliers). Ensure that the detailed design includes internal and external SLAs
automated and manual controls, supporting IT applications, infrastructure services and technology
Develop, document and elaborate detailed designs progressively using agreed-on and appropriate phased
Design detailed
solution evolves. Ensure that stakeholders actively participate in the design and approve each version.
update the designs when significant issues occur during detailed design or building phases or as the
Develop and document high-level designs using agreed-on and appropriate phased or rapid agile
improvement.
Correct non-conformities to prevent recurrence. Promote a culture of security and continual
improvement. Collect and analyse data about the ISMS, and improve the effectiveness of the ISMS.
Design high-level
ISMS.
Monitor and review the Maintain and regularly communicate the need for, and benefits of, continuous information security
35
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
designs, architecture principles and standards, and the enterprise’s overall procurement and contract
components.
requirements definition and the enterprise’s quality policies and procedures. Establish a test plan and required environments to test the individual and integrated solution components, including the business processes and supporting services, applications and infrastructure. Execute testing continually during development, including control testing, in accordance with the defined test plan and development practices in the appropriate environment. Engage business process owners and
assurance (QA).
Prepare for solution
testing.
Execute solution
testing.
BAI03.09
BAI03.08
BAI03.07
Develop, resource and execute a QA plan aligned with the QMS to obtain the quality specified in the
Perform quality
BAI03.06
life cycle and manage the approval of changes to requirements.
requirements.
Universitas Indonesia
Track the status of individual requirements (including all rejected requirements) throughout the project
Manage changes to
end users in the test team. Identify, log and prioritise errors and issues identified during testing.
reflect the new solutions.
software, to protect resources and ensure availability and data integrity. Update the services catalogue to
and auditability measures during configuration, and during integration of hardware and infrastructural
Install and configure solutions and integrate with business process activities. Implement control, security
Build solutions.
requirements are identified and addressed by the supplier.
procedures, QA requirements, and approval standards. Ensure that all legal and contractual
Procure solution components based on the acquisition plan in accordance with requirements and detailed
Procure solution
BAI03.05
BAI03.04
36
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
BAI07.01
BAI06.04
BAI06.03
BAI06.02
BAI06.01
Enable operation and Plan and implement all technical, operational and usage aspects such that all those who are involved in
BAI05.05
Evaluate all requests for change to determine the impact on business processes and IT services, and to
Evaluate, prioritise
Carefully manage emergency changes to minimise further incidents and make sure the change is controlled and takes place securely. Verify that emergency changes are appropriately assessed and
Manage emergency
changes.
approved and in-process changes, and complete changes. Make certain that approved changes are
change status.
procedures affected by the change. Establish an implementation plan that covers system and data conversion, acceptance testing criteria, communication, training, release preparation, promotion to production, early production support, a
the changes.
Establish an
implementation plan.
Universitas Indonesia
fallback/backout plan, and a post-implementation review. Obtain approval from relevant parties.
Whenever changes are implemented, update accordingly the solution and user documentation and the
Close and document
implemented as planned.
Maintain a tracking and reporting system to document rejected changes, communicate the status of
Track and report
authorised after the change.
Ensure that changes are logged, prioritised, categorised, assessed, authorised, planned and scheduled.
requests.
and authorise change assess whether change will adversely affect the operational environment and introduce unacceptable risk.
the future state environment can exercise their responsibility.
use.
periodic reviews against business needs and operational requirements.
Develop and execute a plan for the maintenance of solution and infrastructure components. Include
Maintain solutions.
BAI03.10
37
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
BAI07.08
BAI07.06
BAI07.05
BAI07.04
BAI07.03
BAI07.02 development methods, including audit trails and a recovery plan should the migration fail.
operations environment, performance and capacity, security, internal controls, operational practices,
environment.
operational environment.
tests.
Conduct a post-implementation review to confirm outcome and results, identify lessons learned, and
customer). Universitas Indonesia
service against the predicted performance and outcomes (i.e., the service expected by the user or
implementation review. develop an action plan. Evaluate and check the actual performance and outcomes of the new or changed
Perform a post-
fallback/backout plan. Manage releases of solution components.
results. If significant problems occur, revert back to the original environment based on the
and manage releases. pilot implementation or in parallel with the old solution for a defined period and compare behaviour and
Promote to production Promote the accepted solution to the business and operations. Where appropriate, run the solution as a
Test changes independently in accordance with the defined test plan prior to migration to the live
Perform acceptance
data quality and privacy requirements, and workloads.
Define and establish a secure test environment representative of the planned business process and IT
Establish a test
exit criteria. Ensure that the plan is approved by relevant parties.
Plan acceptance tests. Establish a test plan based on enterprisewide standards that define roles, responsibilities, and entry and
conversion.
system and data
Plan business process, Prepare for business process, IT service data and infrastructure migration as part of the enterprise’s
38
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
BAI10.01
BAI09.02
BAI08.04
BAI08.03
BAI08.02
BAI08.01
Identify, validate and classify diverse sources of internal and external information required to enable
between information elements and enable use of information. Identify owners and define and implement levels of access to knowledge resources.
contextualise
information into
can be used to address different needs (e.g., problem solving, learning, strategic planning and decision
knowledge.
Universitas Indonesia
manage services effectively and to provide a single reliable description of the assets in a service.
a configuration model. configuration items (Cis) and the relationships amongst them. Include the Cis considered necessary to
Establish and maintain Establish and maintain a logical model of the services, assets and infrastructure and how to record
and availability to support business needs.
Manage critical assets. Identify assets that are critical in providing service capability and take steps to maximise their reliability
making).
Propagate available knowledge resources to relevant stakeholders and communicate how these resources
Use and share
knowledge.
Organise information based on classification criteria. Identify and create meaningful relationships
Organise and
sources of information. effective use and operation of business processes and IT services.
Identify and classify
culture.
a knowledge-sharing
Nurture and facilitate Devise and implement a scheme to nurture and facilitate a knowledge-sharing culture.
39
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
DSS01.03
DSS01.01
BAI10.05
BAI10.04
BAI10.03
BAI10.02
Universitas Indonesia
logs to enable the reconstruction, review and examination of the time sequences of operations and the
infrastructure.
other activities surrounding or supporting operations.
Monitor the IT infrastructure and related events. Store sufficient chronological information in operations
Monitor IT
procedures.
Perform operational
repository. Maintain and perform operational procedures and operational tasks reliably and consistently.
desired target.
integrity of the
configuration
Periodically review the configuration repository and verify completeness and correctness against the
Define and produce configuration reports on status changes of configuration items.
Maintain an up-to-date repository of configuration items by populating with changes.
baselines.
Verify and review
configuration reports.
Produce status and
configuration items.
Maintain and control
baseline.
repository and
a configuration
Establish and maintain Establish and maintain a configuration management repository and create controlled configuration
40
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Manage facilities, including power and communications equipment, in line with laws and regulations,
Manage facilities.
Define incident and
DSS01.05
DSS02.01
DSS02.06
DSS02.05
DSS02.04
DSS02.03
DSS02.02
Identify, record and classify service requests and incidents, and assign a priority according to business
Define incident and service request classification schemes and models.
Select the appropriate request procedures and verify that the service requests fulfil defined request
and incidents. Universitas Indonesia
the IT-related service
from incidents.
Close service requests Verify satisfactory incident resolution and/or request fulfilment, and close.
Document, apply and test the identified solutions or workarounds and perform recovery actions to restore
Identify and record incident symptoms, determine possible causes, and allocate for resolution.
Resolve and recover
and allocate incidents.
Investigate, diagnose
fulfil service requests. criteria. Obtain approval, if required, and fulfil the requests.
Verify, approve and
incidents.
prioritise requests and criticality and service agreements.
Record, classify and
classification schemes.
service request
devices to monitor and control the environment.
environment.
technical and business requirements, vendor specifications, and health and safety guidelines.
Maintain measures for protection against environmental factors. Install specialised equipment and
DSS01.04
Manage the
41
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Define and implement criteria and procedures to report problems identified, including problem classification, categorisation and prioritisation. Investigate and diagnose problems using relevant subject management experts to assess and analyse root causes. As soon as the root causes of problems are identified, create known-error records and an appropriate
Identify and initiate sustainable solutions addressing the root cause, raising change requests via the established change management process if required to resolve errors. Ensure that the personnel affected
Identify and classify
problems.
Investigate and
diagnose problems.
Raise known errors.
Resolve and close
problems.
DSS03.03
DSS03.04
DSS05.01
DSS04.08
DSS03.05
DSS03.02
DSS03.01
Collect and analyse operational data (especially incident and change records) to identify emerging trends
are aware of the actions taken and the plans developed to prevent future incidents from occurring.
Implement and maintain preventive, detective and corrective measures in place (especially up-to-date security patches and virus control) across the enterprise to protect information systems and technology
Protect against
malware.
Universitas Indonesia
after a disruption.
resumption review.
from malware (e.g., viruses, worms, spyware, spam).
Assess the adequacy of the BCP following the successful resumption of business processes and services
Conduct post-
problem management. that may indicate problems. Log problem records to enable assessment.
Perform proactive
continual improvement.
produce reports.
workaround, and identify potential solutions.
Regularly track, analyse and report incident and request fulfilment trends to provide information for
DSS02.07
Track status and
42
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
DSS05.07
DSS05.06
DSS05.05
DSS05.04
DSS05.03
DSS05.02 connectivity.
Ensure that endpoints (e.g., laptop, desktop, server, and other mobile and network devices or software) are secured at a level that is equal to or greater than the defined security requirements of the information
connectivity security.
Manage endpoint
security.
Define and implement procedures to grant, limit and revoke access to premises, buildings and areas according to business needs, including emergencies. Access to premises, buildings and areas should be
Manage physical
access to IT assets.
Establish appropriate physical safeguards, accounting practices and inventory management over
including staff, temporary staff, clients, vendors, visitors or any other third party.
events are integrated with general event monitoring and incident management.
infrastructure for
Universitas Indonesia
Using intrusion detection tools, monitor the infrastructure for unauthorised access and ensure that any
Monitor the
security-related events.
tokens.
devices.
documents and output sensitive IT assets, such as special forms, negotiable instruments, special-purpose printers or security
Manage sensitive
co-ordinate with business units that manage their own access rights within business processes.
and logical access.
justified, authorised, logged and monitored. This should apply to all persons entering the premises,
Ensure that all users have information access rights in accordance with their business requirements and
Manage user identity
processed, stored or transmitted.
Use security measures and related management procedures to protect information over all methods of
Manage network and
43
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
business process errors and exceptions and the execution of defined corrective actions. This provides
exceptions.
accountabilities.
Universitas Indonesia
status penerapan setiap Management Practice beserta keterangan pendukung dan dokumen yang relevan tertera pada Tabel 4.4.
penerapan diyakinkan dengan observasi dokumen ataupun proses yang relevan berdasarkan penjelasan dari pihak yang diwawancara. Hasil
dilakukan secara bersamaan dengan kedua pihak tersebut dan langsung mengacu kepada daftar Management Practice di bagian 4.4. Status
teknologi informasi di perusahaan, yaitu Division Head IT Audit dari IAG dan Division Head IT & Network Risk dari RMG. Wawancara
di perusahaan. Pada proses Gap Analysis, pengambilan data dilakukan dengan cara wawancara dengan pihak utama yang terkait tata kelola
Hasil pemetaan pada bagian 4.4 berupa Management Practice yang relevan terhadap penerapan SOX kemudian dinilai status penerapannya
defined objectives.
assurance that information that drives the business is reliable and has been processed in accordance with
Information events and This enables traceability of the information through its life cycle and related processes. This provides
Ensure traceability of Ensure that business information can be traced to the originating business event and accountable parties.
assurance of the accuracy and integrity of the business information process.
Manage business process exceptions and errors and facilitate their correction. Include escalation of
Manage errors and
4.5. Gap Analysis
DSS06.05
DSS06.04
44
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Pada setiap akhir periode layanan, pengguna diwajibkan untuk membuat laporan pencapaian SLA sebagai dasar pembayaran. Termasuk dalam review vendor yang dilakukan Selain itu, setiap 3 bulan sekali, Group Procurement setiap 3 bulan. meminta pencapaian keseluruhan dengan kriteria Termasuk dalam review vendor yang dilakukan tertentu setiap vendor dan jenis pekerjaan yang setiap 3 bulan. dilakukan kepada pengguna. Hasil evaluasi tersebut Layanan dari vendor dilaksanakan setelah kontrak didokumentasikan dalam Laporan Evaluasi antara kedua belah pihak diterbitkan. Pada akhir Performansi Rekanan Per 3 Bulan. periode layanan, dilakukan penilaian layanan Laporan Evaluasi Performansi Rekanan tersebut sebelum dilakukan pembayaran. disampaikan pada pihak-pihak terkait sebagai dasar Termasuk dalam review vendor yang dilakukan proses pengadaan sejenis selanjutnya. setiap 3 bulan. Termasuk dalam review vendor yang dilakukan setiap 3 bulan.
V V V
V V
APO09.05 – Review service agreements and contracts.
APO10.01 – Identify and evaluate supplier relationships and contracts.
APO10.03 – Manage supplier relationships and contracts.
APO10.04 – Manage supplier risk.
APO10.05 – Monitor supplier
N/A
Universitas Indonesia
Review vendor difasilitasi oleh Group Procurement setiap 3 bulan.
V
APO09.04 – Monitor and report service levels.
performance and compliance.
Belum terdapat katalog layanan TI.
X
APO09.03- Define and prepare service agreements.
N/A
Belum terdapat katalog layanan TI.
X
APO09.02 – Catalogue IT-enabled services.
N/A
Dokumen Terkait
Belum terdapat katalog layanan TI.
Keterangan
X
Status Penerapan
APO09.01- Identify IT services.
Management Practice
Tabel 4.4 Status Penerapan Management Practice
45
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Dilakukan oleh Internal Audit dan akan Pada tahun 2012, Internal Audit melakukan review atas dilanjutkan oleh Forum Keamanan Informasi yang kebijakan baru dan aspek-aspek yang terkait. baru dibentuk. Ringkasan dari hasil review dapat dilihat pada Lampiran 2 APO13.03. Terdapat dalam dokumentasi Arsitektur TI perusahaan. Terdapat dalam dokumentasi Arsitektur TI perusahaan. Tertera dalam Perencanaan TI dan Jaringan.
V
V V V
APO13.03 – Monitor and review the ISMS.
BAI03.01 – Design high-level solutions.
BAI03.02 – Design detailed solution components.
BAI03.03 – Develop solution components.
Universitas Indonesia
Perencanaan solusi didokumentasikan dalam XYZ IT Master Plan yang mengandung rencana solusi TI perusahaan selama 3 tahun ke depan.
Terkait mitigasi risiko keamanan informasi dijelaskan pada bagian Compliance, Exceptions, and Enforcement (Enforcement and Violation Handling). Detail kebijakan pada bagian tersebut dapat dilihat pada Lampiran 2 APO13.02.
Terdapat Kebijakan Keamanan Informasi yang mengacu kepada seri ISO 27000.
V
APO13.01 – Establish and maintain an information security management system (ISMS).
Pada bulan November 2011, dilakukan pembaruan terhadap kebijakan keamanan informasi perusahaan dengan mengacu pada ISO 27000. Daftar isi dari kebijakan ini dapat dilihat pada Lampiran 2 APO13.01.
Dokumen Terkait
APO13.02 – Define and manage an information security risk treatment plan.
Keterangan Terdapat Kebijakan Keamanan Informasi yang mengacu kepada seri ISO 27000.
Status Penerapan V
Management Practice
46
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Dokumen Terkait
Contoh template System Integration Test (SIT) Plan dan User Acceptance Testing (UAT) Plan terdapat pada Lampiran 2 BAI03.07.
Fungsi Quality Assurance sudah dijalankan, namun belum terdokumentasi secara formal. Termasuk dalam dokumentasi proyek / System Development Life Cycle (SDLC). Termasuk dalam dokumentasi proyek / SDLC. Termasuk dalam dokumentasi proyek / SDLC.
X V V V
BAI03.06 – Perform quality assurance (QA).
BAI03.07 – Prepare for solution testing.
BAI03.08 – Execute solution testing.
BAI03.09 – Manage changes to requirements.
Universitas Indonesia
Contoh Change Request Log untuk salah satu aplikasi dapat dilihat pada Lampiran 2 BAI03.09.
N/A
Pengguna bisnis dilibatkan dalam penyusunan kebutuhan bisnis dalam pengembangan solusi untuk memastikan keselarasan solusi dengan proses bisnis. Melibatkan RMG dan IAG dalam implementasi kontrol dan keamanan sistem.
Contoh template Business Requirement Specifications, yang disusun bersama-sama pengguna bisnis terdapat pada Lampiran 2 BAI03.05.
Contoh Project Initiation Documents, Shopping Cart, Untuk setiap solusi yang diputuskan untuk diperoleh dari pihak eksternal, alur proses dimulai dan Purchase Order terdapat pada Lampiran 2 BAI03.04. dari Project Initiation Documents (yang mengandung Business Case), kemudian Shopping Cart yang disetujui secara berjenjang, baru kemudian melibatkan Group Procurement untuk proses pengadaan.
Keterangan
V
V
Status Penerapan
BAI03.05 – Build solutions.
BAI03.04 – Procure solution components.
Management Practice
47
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Contoh Technology Change Request Form dengan prioritas kategori Emergency terdapat pada Lampiran 2 BAI06.01. Contoh Change Request Log untuk salah satu aplikasi dapat dilihat pada Lampiran 2 BAI03.09.
Dilakukan oleh Group IT Planning, didokumentasikan dalam Technology Change Request Form. Dilakukan oleh Group IT Planning.
Dilaporkan dalam laporan bulanan Group IT Planning. Termasuk dalam dokumentasi proyek / SDLC.
V
V
V
V
BAI06.01 – Evaluate, prioritise and authorise change requests.
BAI06.02 – Manage emergency changes.
BAI06.03 – Track and report change status.
BAI06.04 – Close and document the changes.
Universitas Indonesia
Kewajiban pembuatan User Documentation (End User Manual) dan System Documentation (Installation Guide, Operation Support Manual, Technical Documentation) terdapat pada Kebijakan SDLC yang dapat dilihat pada Lampiran 2 BAI06.04.
Contoh Technology Change Request Form terdapat pada Lampiran 2 BAI06.01.
Dukungan teknis dilakukan oleh Group IT Operation.
V
BAI03.10 – Maintain solutions.
BAI05.05 – Enable operation and use.
Dokumen Terkait Pemeliharaan sistem yang dilakukan oleh Group IT Operation misalnya mencakup pemeliharaan hak akses pengguna, monitor job schedule dan pemecahan masalah.
Keterangan Pemeliharaan sistem dilakukan oleh Group IT Operation.
Penerapan
Status
V
Management Practice
48
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013 Terdapat dalam dokumentasi proyek / SDLC. Terdapat dalam dokumentasi proyek / SDLC. Terdapat dalam dokumentasi proyek / SDLC. Terdapat dalam dokumentasi proyek / SDLC.
Tergantung pada setiap proyek karena tidak semua Contoh template Post Implementation Review (PIR) proyek melibatkan proses post implementation terdapat pada Lampiran 2 BAI07.08. review. Knowledge sharing seringkali dilakukan kepada IT Materi presentasi terkait perubahan proses pada Operation Group maupun kepada IAG dan RMG. aplikasi billing yang baru dari Divisi Billing Support (Group IT Operation) kepada IAG dan RMG. Belum terdapat klasifikasi informasi secara formal. N/A
V V V V V
V
X
BAI07.03 – Plan acceptance tests.
BAI07.04 – Establish a test environment.
BAI07.05 – Perform acceptance tests.
BAI07.06 – Promote to production and manage releases.
BAI07.08 – Perform a postimplementation review.
BAI08.01 – Nurture and facilitate a knowledge-sharing culture.
BAI08.02 – Identify and classify sources of information.
Universitas Indonesia
Contoh template Hand Over Checklist terdapat pada Lampiran 2 BAI07.06.
Contoh template User Acceptance Testing (UAT) Plan terdapat pada Lampiran 2 BAI03.07.
Contoh template Data Migration/Conversion Plan (Strategy) terdapat pada Lampiran 2 BAI07.02.
Terdapat dalam dokumentasi proyek / SDLC.
BAI07.01 – Establish an implementation plan.
V
Information Technology Policy and Procedure – System Development Life Cycle (SDLC). Daftar isi dari kebijakan ini dapat dilihat pada Lampiran 2 BAI07.01.
Dokumen Terkait
BAI07.02 – Plan business process, system and data conversion.
Keterangan Diatur pada kebijakan dan prosedur pengelolaan perubahan.
Penerapan
Status
V
Management Practice
49
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013 N/A
Belum dilakukan. Belum dilakukan. Belum dilakukan. Terdapat review yang dilakukan atas konfigurasi sistem, tetapi belum terdapat repositori.
Masih terdapat operasional yang dilakukan secara N/A ad-hoc. Belum semua sistem memiliki kemampuan penyimpanan log yang memadai.
X X X X X X
BAI10.02 – Establish and maintain a configuration repository and baseline.
BAI10.03 – Maintain and control configuration items.
BAI10.04 – Produce status and configuration reports.
BAI10.05 – Verify and review integrity of the configuration repository.
DSS01.01 – Perform operational procedures.
DSS01.03 – Monitor IT infrastructure.
N/A
N/A
N/A
N/A
Universitas Indonesia
N/A
Belum dilakukan.
X
BAI10.01 – Establish and maintain a configuration model.
N/A
Belum terdapat klasifikasi aset secara formal.
X
BAI09.02 – Manage critical assets.
N/A
Dokumen Terkait
Knowledge sharing seringkali dilakukan kepada IT Materi presentasi terkait perubahan proses pada Operation Group maupun kepada IAG dan RMG. aplikasi billing yang baru dari Divisi Billing Support (Group IT Operation) kepada IAG dan RMG
Belum diterapkan.
Keterangan
V
X
Penerapan
Status
BAI08.04 – Use and share knowledge.
BAI08.03 – Organise and contextualise information into knowledge.
Management Practice
50
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Menggunakan fungsi helpdesk dan dibantu dengan Pencatatan Incident Request di Aplikasi Remedy penggunaan aplikasi helpdesk.
Menggunakan fungsi helpdesk, solusi untuk setiap Pencatatan Incident Request di Aplikasi Remedy masalah didokumentasikan. Pencatatan Incident Request di Aplikasi Remedy
Menggunakan fungsi helpdesk, masalah dialokasikan pada divisi terkait jika masalah tersebut tidak dapat diselesaikan oleh helpdesk.
V V
V V
DSS02.03 – Verify, approve and fulfil service requests.
DSS02.04 – Investigate, diagnose and allocate incidents.
DSS02.05 – Resolve and recover from incidents.
DSS02.06 – Close service requests and incidents.
Setiap masalah yang sudah diselesaikan dikonfirmasikan terlebih dahulu pada pengguna.
Menggunakan fungsi helpdesk dan dibantu dengan Pencatatan Incident Request di Aplikasi Remedy penggunaan aplikasi helpdesk.
V
DSS02.02 – Record, classify and prioritise requests and incidents.
Universitas Indonesia
Pencatatan Incident Request di Aplikasi Remedy
Menggunakan fungsi helpdesk dan dibantu dengan Pencatatan Incident Request di Aplikasi Remedy penggunaan aplikasi helpdesk.
V
DSS02.01 – Define incident and service request classification schemes.
Standard Operating Procedures Facilities Management
Dikelola oleh Group Properties and Facilities Management.
Information Security Policy, November 2011, Bab 5. Physical and Environmental Security yang terdiri dari sub bab Secure Areas dan Equipment Security. Daftar isi dari kebijakan ini dapat dilihat pada Lampiran 2 APO13.01.
Dokumen Terkait
Termasuk dalam Kebijakan Keamanan Informasi
Keterangan
V
V
Penerapan
Status
DSS01.05- Manage facilities.
DSS01.04 – Manage the environment.
Management Practice
51
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Menggunakan fungsi helpdesk dan dibantu dengan Pencatatan Incident Request di Aplikasi Remedy penggunaan aplikasi helpdesk. Menggunakan fungsi helpdesk dan dibantu dengan Pencatatan Incident Request di Aplikasi Remedy penggunaan aplikasi helpdesk. Menggunakan fungsi helpdesk dan dibantu dengan Pencatatan Incident Request di Aplikasi Remedy penggunaan aplikasi helpdesk. Menggunakan fungsi helpdesk dan dibantu dengan Pencatatan Incident Request di Aplikasi Remedy penggunaan aplikasi helpdesk. Business Continuity Management belum diimplementasikan. Diatur dalam Standar Keamanan Informasi.
V V V V X V
DSS03.02 – Investigate and diagnose problems.
DSS03.03 – Raise known errors.
DSS03.04 – Resolve and close problems.
DSS03.05 – Perform proactive problem management.
DSS04.08 – Conduct post-resumption review.
DSS05.01 – Protect against malware.
Universitas Indonesia
Standar Keamanan Informasi: Virus Handling yang dimaksudkan untuk mengatur langkah-langkah pencegahan, pendeteksian, dan penanggulangan serangan virus.
N/A
Menggunakan fungsi helpdesk dan dibantu dengan Pencatatan Incident Request di Aplikasi Remedy penggunaan aplikasi helpdesk.
DSS02.07 – Track status and produce reports.
V
Dokumen Terkait
DSS03.01 – Identify and classify problems.
Keterangan
Menggunakan fungsi helpdesk dan dibantu dengan Laporan bulanan Divisi IT Security, Helpdesk & penggunaan aplikasi helpdesk. Desktop yang mencakup informasi Aplikasi, Waktu kejadian masalah, Waktu eskalasi, Penyebab, Solusi, Penanggung Jawab dan Status Masalah.
Penerapan
Status
V
Management Practice
52
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013 Diatur dalam Standar Keamanan Informasi
Diatur dalam Standar Keamanan Informasi
Termasuk dalam Kebijakan Keamanan Informasi
V
V
DSS05.04 – Manage user identity and logical access.
DSS05.05 – Manage physical access to IT assets.
Diatur dalam Standar Keamanan Informasi
Keterangan
V
V
Penerapan
Status
DSS05.03 – Manage endpoint security.
DSS05.02 – Manage network and connectivity security.
Management Practice
Universitas Indonesia
Information Security Policy, November 2011, Bab 5. Physical and Environmental Security yang terdiri dari sub bab Secure Areas dan Equipment Security. Daftar isi dari kebijakan ini dapat dilihat pada Lampiran 2 APO13.01.
Standar Keamanan Informasi: User Access Management yang dimaksudkan untuk melindungi dan menjaga kerahasiaan, integritas, dan ketersediaan sumberdaya informasi perusahaan terhadap akses yang tidak memiliki otorisasi, tidak memiliki kepentingan bisnis, tidak memiliki catatan aktifitas akses, dan akses yang tidak terpantau ataupun terkontrol terhadap penyalahgunaan kewenangan yang diberikan terhadap pengguna.
Standar Keamanan Informasi: Network and Internet yang dimaksudkan untuk mengatur penyediaan dan penggunaan sistem akses jaringan informasi dan internet yang dikelola unit kerja/fungsi Teknologi Informasi (TI).
Dokumen Terkait
53
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013 Diatur dalam Standar Keamanan Informasi
V
DSS06.05 – Ensure traceability of Information events and accountabilities.
V: Sudah diterapkan di perusahaan
X: Belum diterapkan di perusahaan
Keterangan Status Penerapan:
Diatur dalam Standar Keamanan Informasi
Termasuk dalam Kebijakan Keamanan Informasi
Diatur dalam Standar Keamanan Informasi
Keterangan
V
V
V
Penerapan
Status
DSS06.04 – Manage errors and exceptions.
for security-related events.
DSS05.07 – Monitor the infrastructure
DSS05.06 – Manage sensitive documents and output devices.
Management Practice
Universitas Indonesia
Standar Keamanan Informasi: Operational Control for Business Application yang dimaksudkan untuk menginformasikan ketentuan pemasukan data, pemrosesan data, dan pelaporan aplikasi bisnis.
Information Security Policy, November 2011, Bab 9. Information Security Incident Management yang terdiri dari sub bab Reporting Information Security Events and Weaknesses dan Management of Information Security Incidents and Improvements. Daftar isi dari kebijakan ini dapat dilihat pada Lampiran 2 APO13.01.
Standar Keamanan Informasi: Information Security and Confidentiality yang ditetapkan untuk melindungi perusahaan dari penggunaan yang mengakibatkan resiko, termasuk serangan virus, kebocoran pada sistem jaringan dan layanan, serta isu-isu hukum.
Dokumen Terkait
54
55
Analisis tersebut menghasilkan rangkuman status penerapan setiap proses TI pada Tabel 4.5 sebagai berikut: Tabel 4.5 Rangkuman Status Penarapan
Proses TI APO09 Manage Service Agreements
Status Penerapan Sebagian diterapkan
APO10 Manage Suppliers
Sudah diterapkan
APO13 Manage Security
Sudah diterapkan
BAI03 Manage Solutions Identification and Build
Sebagian diterapkan
BAI05 Manage Organisational Change Enablement
Sudah diterapkan
BAI06 Manage Changes
Sudah diterapkan
BAI07 Manage Change Acceptance and
Sudah diterapkan
Transactioning BAI08 Manage Knowledge
Sebagian diterapkan
BAI09 Manage Assets
Belum diterapkan
BAI10 Manage Configuration
Belum diterapkan
DSS01 Manage Operations
Sebagian diterapkan
DSS02 Manage Service Requests and Incidents
Sudah diterapkan
DSS03 Manage Problems
Sudah diterapkan
DSS04 Manage Continuity
Belum diterapkan
DSS05 Manage Security Services
Sudah diterapkan
DSS06 Manage Business Process Controls
Sudah diterapkan
Keterangan Rangkuman Status Penerapan: x
Belum diterapkan: Seluruh Management Practice yang ada pada proses tersebut belum diterapkan
x
Sebagian diterapkan: Terdapat Management Practice pada proses tersebut yang sudah diterapkan dan terdapat Management Practice yang belum diterapkan
x
Sudah diterapkan: Seluruh Management Practice pada proses tersebut sudah diterapkan Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
56
4.6. Identifikasi Risiko Dari hasil analisis 4.5, terlihat bahwa belum semua proses TI dipatuhi oleh perusahaan, sehingga perlu dilakukan identifikasi risiko untuk proses-proses yang belum dipatuhi sepenuhnya oleh perusahaan. Identifikasi risiko dilakukan berdasarkan profil risiko perusahaan yang didapatkan dari wawancara terhadap kedua narasumber dari pihak tata kelola TI perusahaan. Dari hasil wawancara, dihasilkan risiko terkait proses-proses TI yang belum sepenuhnya mematuhi Management Practice pada COBIT 5 yang dapat dilihat pada Tabel 4.6. Tabel 4.6 Risiko Terkait
Proses TI
Risiko Terkait
APO09 Manage Service
Gagalnya TI memenuhi kebutuhan bisnis maupun
Agreements
perjanjian dengan pihak pengguna bisnis.
BAI03 Manage Solutions
Kegagalan dalam penerapan keamanan aset untuk
Identification and Build
menghindari kebocoran data dan data yang tidak akurat.
BAI08 Manage Knowledge
Kekurangan keunggulan kompetitif.
BAI09 Manage Assets
x Kegagalan dalam penerapan keamanan aset untuk menghindari kebocoran data dan data yang tidak akurat. x Pengelolaan yang tidak sesuai terhadap aset yang dimiliki perusahaan.
BAI10 Manage
Kegagalan dalam penerapan keamanan aset untuk
Configuration
menghindari kebocoran data dan data yang tidak akurat.
DSS01 Manage Operations
x Produktivitas bisnis yang rendah. x Proses bisnis yang tidak efisien.
DSS04 Manage Continuity
Kegagalan untuk beroperasi sepenuhnya karena terjadinya bencana alam maupun bencana yang disebabkan manusia, seperti gempa bumi, terorisme, kebakaran dan banjir.
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
57
4.7. Identifikasi Kontrol Untuk setiap Management Practice yang belum diterapkan, dilakukan identifikasi kontrol yang diperlukan. Kontrol dijelaskan dalam dua aspek, yaitu aktivitas yang perlu dilakukan dan pembagian tanggung jawab sebagai panduan dalam penerapan Management Practice tersebut. 4.7.1 Identifikasi Aktivitas Sebagai panduan bagi perusahaan dalam menerapkan Management Practice yang relevan dan selama ini belum diterapkan, terdapat rincian aktivitas yang telah disediakan COBIT 5. Rincian aktivitas tersebut dapat dilihat pada Tabel 4.7. Tabel 4.7 Aktivitas Terkait
Management Practice APO09.01Identify IT services.
APO09.02 – Catalogue IT-enabled services.
Aktivitas 1. Menilai tingkat layanan TI saat ini untuk mengidentifikasi perbedaan antara layanan yang tersedia dengan aktivitas bisnis yang didukung olehnya. Mengidentifikasi perbaikan yang dapat dilakukan terhadap layanan maupun tingkat layanan yang tersedia. 2. Melakukan analisis dan estimasi atas kemungkinan permintaan pada masa yang akan datang dan menyesuaikannya dengan kapasitas layanan TI saat ini. 3. Melakukan analisis proses bisnis untuk mengidentifikasi kebutuhan terhadap layanan TI yang baru ataupun perbaikan terhadap layanan TI yang ada. 4. Membandingkan kebutuhan yang teridentifikasi dengan layanan yang ada saat ini. Jika memungkinkan, gunakan layanan yang sudah tersedia untuk memenuhi kebutuhan bisnis. 5. Jika memungkinkan, mencocokkan kebutuhan layanan dan membuat standarisasi layanan untuk mencapai efisiensi secara keseluruhan. 6. Melakukan review portfolio layanan TI dengan portfolio bisnis untuk mengidentifikasi layanan yang sudah tidak diperlukan. 1. Mempublikasikan katalog layanan TI dan tingkat layanan yang tersedia pada portfolio layanan. 2. Memastikan secara terus menerus bahwa portfolio layanan selalu lengkap dan mutakhir. 3. Menginformasikan pada manajemen atas setiap perubahan yang terjadi pada katalog layanan. Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
58
APO09.03Define and prepare service agreements.
BAI03.06 – Perform quality assurance (QA).
BAI08.02 – Identify and classify sources of information.
1. Melakukan analisis kebutuhan atas perjanjian layanan yang baru ataupun yang mengalami perubahan dari manajemen bisnis untuk memastikan bahwa kebutuhan tersebut dapat dipenuhi. Mempertimbangkan aspek-aspek terkait waktu layanan, tingkat ketersediaan, kinerja, kapasitas, keamanan, keberlanjutan, kepatuhan dan masalah peraturan, tingkat kegunaan, dan batasan-batasan lain. 2. Menyiapkan perjanjian layanan pelanggan berdasarkan layanan yang relevan dari katalog yang ada. 3. Menentukan dan menyepakati perjanjian layanan pelanggan, jika memungkinkan. 4. Bekerja sama dengan vendor untuk memastikan bahwa kontrak komersial mengacu pada perjanjian layanan pelanggan. 5. Memfinalisasi perjanjian layanan pelanggan dengan manajemen bisnis. 1. Menentukan rencana QA dan praktiknya, misalnya kriteria kualitas, proses validasi dan verifikasi, bagaimana kualitas akan dinilai, kualifikasi yang diperlukan untuk melakukan review, dan peran dan tanggung jawab untuk pencapaian kualitas. 2. Memantau kualitas solusi berdasarkan kebutuhan proyek, kebijakan perusahaan, kepatuhan terhadap metodologi pengembangan, prosedur manajemen mutu dan kriteria penerimaan. 3. Menerapkan metode yang sesuai. Melaporkan hasil proses monitor dan pengujian kepada tim pengembang dan manajemen TI. 4. Memantau semua pengecualian kualitas dan melakukan tindakan korektif. Mengelola semua hasil review, pengecualian dan koreksi. Mengulangi proses QA bila dibutuhkan. 1. Melakukan identifikasi pengguna yang berpotensi memiliki pengetahuan, termasuk informasi mengenai pihak yang butuh berkontribusi dan menyetujui pengetahuan tersebut. Mendapatkan kebutuhan pengetahuan dan sumbernya. 2. Mempertimbangkan tipe dokumen maupun struktur informasi yang digunakan. 3. Melakukan klasifikasi sumber informasi berdasarkan skema tertentu. 4. Mengumpulkan dan melakukan validasi informasi berdasarkan beberapa kriteria, seperti relevansi, tingkat kepentingan, integritas, akurasi, konsistensi, kerahasiaan, dan tingkat kepercayaan.
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
59
1. Melakukan identifikasi atribut yang digunakan bersama, mencocokan sumber informasi, dan menciptakan hubungan Organise and antar informasi. contextualise 2. Menciptakan tampilan untuk set data yang berhubungan dengan mempertimbangkan pihak-pihak yang terkait dan information kebutuhan organisasi. 3. Merancang dan mengimplementasikan suatu skema untuk into mengelola pengetahuan yang belum terstruktur. knowledge. 4. Mempublikasikan pengetahuan agar dapat diakses oleh pihak terkait berdasarkan tanggung jawab dan mekanisme aksesnya. 1. Melakukan identifikasi aset yang penting dalam penyediaan BAI09.02 – layanan. Manage 2. Melakukan monitor atas kinerja dari aset tersebut dengan memeriksa tren masalah dan melakukan perbaikan jika critical dibutuhkan. assets. 3. Mempertimbangkan risiko dari kegagalan atau kebutuhan penggantian setiap aset penting secara reguler. 4. Menjaga ketahanan aset penting dengan menerapkan pemeliharaan preventif rutin, pemantauan kinerja, dan jika diperlukan memberikan alternatif atau aset tambahan untuk meminimalkan kemungkinan kegagalan. 5. Menetapkan rencana pemeliharaan preventif untuk semua perangkat keras, mempertimbangkan analisa cost-benefit, rekomendasi vendor, risiko pemadaman, personil yang berkualitas dan faktor lain yang relevan. 6. Menetapkan perjanjian pemeliharaan yang melibatkan akses pihak ketiga ke fasilitas TI. Menetapkan kontrak layanan formal mengandung atau mengacu pada semua kondisi keamanan yang diperlukan, termasuk prosedur otorisasi akses, untuk memastikan kepatuhan dengan kebijakan keamanan organisasi dan standar. 7. Berkomunikasi dengan pelanggan dan pengguna yang terkena dampak yang diperkirakan (misalnya pembatasan kinerja) dari kegiatan pemeliharaan. 8. Memastikan layanan akses remote dan profil pengguna (atau alat lain yang digunakan untuk pemeliharaan atau diagnosis) yang aktif hanya bila diperlukan. 9. Mengikutsertakan perkiraan downtime dan jadwal kegiatan pemeliharaan dalam jadwal produksi secara keseluruhan untuk meminimalkan dampak negatif terhadap proses bisnis. 1. Menentukan dan menyetujui ruang lingkup dan tingkat detail BAI10.01 – untuk manajemen konfigurasi (layanan, aset, dan infrastruktur Establish and yang mana saja yang termasuk di dalamnya). 2. Menetapkan dan memelihara logical model untuk manajemen maintain a konfigurasi, termasuk informasi mengenai jenis item configuration konfigurasi, atribut item konfigurasi, jenis hubungan, atribut hubungan dan kode status yang digunakan. model. BAI08.03 –
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
60
1. Mengidentifikasi dan mengklasifikasikan item konfigurasi dan membuat repositori. Establish and 2. Membuat, melakukan review dan menyetujui baseline konfigurasi aplikasi, layanan atau infrastruktur secara formal. maintain a BAI10.02 –
configuration repository and baseline. BAI10.03 – Maintain and control configuration items.
BAI10.04 – Produce status and configuration reports.
BAI10.05 – Verify and review integrity of the configuration repository.
1. Mengidentifikasi perubahan pada item konfigurasi secara berkala. 2. Melakukan review terhadap perubahan yang diusulkan untuk item konfigurasi terhadap baseline untuk memastikan kelengkapan dan keakuratan. 3. Memperbarui rincian konfigurasi untuk perubahan item konfigurasi yang disetujui. 4. Membuat, melakukan review dan menyetujui perubahan baseline konfigurasi secara formal. 1. Mengidentifikasi perubahan status item konfigurasi terhadap baseline. 2. Mencocokkan perubahan konfigurasi dengan permintaan perubahan yang disetujui untuk mengidentifikasi perubahan yang tidak sah. Melaporkan perubahan tidak sah kepada bagian Change Management. 3. Mengidentifikasi persyaratan pelaporan dari semua stakeholder, termasuk konten, frekuensi dan media. Menghasilkan laporan sesuai dengan persyaratan yang teridentifikasi. 1. Melakukan verifikasi item konfigurasi secara periodik terhadap konfigurasi repositori dengan membandingkan konfigurasi fisik dan logis dan menggunakan alat yang tepat jika diperlukan. 2. Melaporkan dan meninjau semua penyimpangan untuk dikoreksi atau tindakan untuk menyingkirkan aset yang tidak sah. 3. Melakukan verifikasi secara periodik terhadap semua item konfigurasi secara fisik, sebagaimana didefinisikan dalam repositori. Melaporkan setiap penyimpangan kepada manajemen. 4. Menetapkan dan meninjau target secara periodik untuk kelengkapan repositori konfigurasi berdasarkan kebutuhan bisnis. 5. Membandingkan tingkat kelengkapan dan akurasi terhadap target secara periodik dan mengambil tindakan perbaikan, jika diperlukan, untuk meningkatkan kualitas data repositori.
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
61
1. Mengembangkan dan memelihara prosedur operasional dan kegiatan terkait untuk mendukung semua layanan yang Perform diberikan. 2. Menjaga jadwal kegiatan operasional, melakukan kegiatan, dan operational mengelola kinerja dan throughput dari kegiatan yang procedures. dijadwalkan. 3. Melakukan verifikasi bahwa semua data telah diterima dan diproses sepenuhnya, akurat, dan pada waktu yang tepat. Memberikan output sesuai dengan kebutuhan perusahaan. Pastikan bahwa pengguna menerima output yang tepat dengan cara yang aman dan tepat waktu. 4. Memastikan bahwa standar keamanan yang berlaku terpenuhi untuk seluruh proses data dengan cara yang memenuhi tujuan perusahaan, kebijakan keamanan perusahaan dan persyaratan undang-undang 5. Menjadwalkan, mengambil dan mencatat backup sesuai dengan kebijakan dan prosedur. 1. Menyimpan log kejadian dan mengidentifikasi informasi yang DSS01.03 – dicatat berdasarkan pertimbangan risiko dan kinerja. Monitor IT 2. Mengidentifikasi dan memelihara daftar aset infrastruktur yang perlu dipantau berdasarkan kepentingan layanan dan hubungan contextualize. antara item konfigurasi dan layanan yang bergantung pada mereka. 3. Mendefinisikan dan menerapkan aturan yang mengidentifikasi dan mencatat pelanggaran dan kejadian. Menemukan keseimbangan antara menyimpan peristiwa minor dan peristiwa penting sehingga log kejadian tidak dipenuhi dengan informasi yang tidak perlu. 4. Menghasilkan log kejadian dan menyimpannya untuk jangka waktu tertentu untuk membantu penyelidikan masa depan. 5. Menetapkan prosedur untuk memantau log kejadian dan melakukan tinjauan rutin. 6. Memastikan bahwa catatan insiden diciptakan pada waktu yang tepat saat proses pemantauan mengidentifikasi penyimpangan dari batas yang ditetapkan. 1. Menilai kesesuaian terhadap Business Continuity Plan yang DSS04.08 – telah didokumentasikan. Conduct post2. Menentukan efektivitas dari perencanaan, kemampuan kontinuitas, peran dan tanggung jawab, keterampilan dan resumption kompetensi, ketahanan terhadap insiden, infrastruktur teknis, review. dan struktur organisasi. 3. Mengidentifikasi kelemahan atau kelalaian dalam rencana dan kemampuan dan membuat rekomendasi untuk perbaikan. 4. Memperoleh persetujuan manajemen untuk setiap perubahan rencana dan menerapkan perubahan tersebut melalui suatu kontrol perubahan. DSS01.01 –
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
62
4.7.2 Identifikasi Peran dan Tanggung Jawab Untuk menerapkan setiap aktivitas pada Management Practice yang belum diterapkan, COBIT 5 dalam dokumen COBIT 5 Enabling Process memberikan panduan pembagian peran dan tanggung jawab untuk setiap pihak yang dinilai terlibat dalam setiap Management Practice. Panduan peran dan tanggung jawab dibagi menjadi beberapa jenis peran, yaitu Responsible, Accountable, Consult, dan Inform, yang biasanya disingkat dengan RACI. Penjelasan dari masing-masing peran tersebut adalah sebagai berikut: x
Responsible: Pihak yang secara langsung menangani pelaksanaan proses.
x
Accountable: Pihak yang paling bertanggung jawab atas pelaksanaan proses dan berhak mengambil keputusan terhadap suatu proses.
x
Consult: Pihak yang perlu dimintai pendapat terhadap proses tersebut.
x
Inform: Pihak yang perlu mengetahui keputusan atas proses tersebut.
Tabel 4.8 menggambarkan pembagian peran dari COBIT 5 untuk setiap Management Process yang belum diterapkan di perusahaan.
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
63
Management Practice
CEO CFO COO Business Executives Business Process Owners Strategy Executive Committee Steeringg Committee Project Management Office Chief Risk Officer Head Human Resources Compliance Audit CIO Head Architect Head Development Head IT Operations Head IT Administration Service Manager Information Security Manager Business Continuity Manager
Tabel 4.8 Pembagian Peran Berdasarkan COBIT 5
APO09.01- Identify IT C R R services. APO09.02 – Catalogue ITI enabled services. APO09.03- Define and R prepare service agreements. BAI03.06 – Perform quality I assurance (QA). BAI08.02 – Identify and A classify sources of information. BAI08.03 – Organise and contextualise information into knowledge. BAI09.02 – Manage C I critical assets. BAI10.01 – Establish and maintain a configuration model. BAI10.02 – Establish and maintain a configuration repository and baseline. BAI10.03 – Maintain and control configuration items. BAI10.04 – Produce status and configuration reports. BAI10.05 – Verify and review integrity of the configuration repository. DSS01.01 – Perform operational procedures. DSS01.03 – Monitor IT I infrastructure. DSS04.08 – Conduct postC resumption review.
R
C
I
I I R I C C C A
I
I
I
I
I I R I C C C A
I
I
C
C
C C R
C
C
R
A R
C
C
C
C
C
C
C R R A
C C I C R C
C
R
C C C R
R R
C
C I I A
R R R
C
C C
R R A R C
C
R
C C C I A R R
C R A R R
A C R R R C
I
I I C C A R I
I
R
C
I
R
I
C I
R R A
R
A
C
C
C A
C
C
R C C R R
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
A
64
Dari panduan yang disediakan COBIT 5, titik berat peran diberikan kepada pihak yang Responsible sebagai pelaksana utama dari aktivitas-aktivitas yang teridentifikasi dalam penerapan Management Practice karena penerapan proses COBIT 5 tersebut berpengaruh secara signifikan terhadap beban kerja posisi yang terkait. Setiap pihak yang memiliki peran Responsible dipetakan pada posisi yang saat ini ada di perusahaan, seperti yang tertera pada Tabel 4.9. Tabel 4.9 Penanggung Jawab Pelaksana di Perusahaan
Peran Posisi di berdasarkan Tanggung Jawab Pelaksana Perusahaan COBIT 5 COO Director & CCO APO09.01- Identify IT services. Director & CWIO Business Group Head APO09.01- Identify IT services. Executives Business Owners APO09.03- Define and prepare service agreements. Business Process Owners
Division Head APO09.01- Identify IT services. Business Owners BAI03.06 – Perform quality assurance (QA) BAI08.02 – Identify and classify sources of information. DSS04.08 – Conduct post-resumption review.
Project Group President BAI03.06 – Perform quality assurance (QA) Management Director Office Office Audit
Internal Audit Group
BAI10.05 – Verify and review integrity of the configuration repository.
CIO
Director & Chief APO09.01- Identify IT services. Technology APO09.02 – Catalogue IT-enabled services. Officer APO09.03- Define and prepare service agreements. BAI08.02 – Identify and classify sources of information. DSS04.08 – Conduct post-resumption review.
Head Architect Division Head IT BAI09.02 – Manage critical assets. Architecture & BAI10.05 – Verify and review integrity of the Strategy configuration repository.
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
65
Peran Posisi di berdasarkan Perusahaan COBIT 5 Head Group Head IT Development Planning
Tanggung Jawab Pelaksana
BAI03.06 – Perform quality assurance (QA) BAI08.02 – Identify and classify sources of information. BAI08.03 – Organise and contextualize information into knowledge. BAI09.02 – Manage critical assets. BAI10.02 – Establish and maintain a configuration repository and baseline. BAI10.03 – Maintain and control configuration items. BAI10.05 – Verify and review integrity of the configuration repository. Head IT Group Head IT APO09.03- Define and prepare service Operations Operation agreements. BAI08.02 – Identify and classify sources of information. BAI08.03 – Organise and contextualize information into knowledge. BAI10.03 – Maintain and control configuration items. DSS04.08 – Conduct post-resumption review. Head IT Division Head IT APO09.03- Define and prepare service Administration Operation agreements. BAI08.03 – Organise and contextualize information into knowledge. BAI09.02 – Manage critical assets. BAI10.01 – Establish and maintain a configuration model. BAI10.02 – Establish and maintain a configuration repository and baseline. BAI10.03 – Maintain and control configuration items. BAI10.04 – Produce status and configuration reports. DSS04.08 – Conduct post-resumption review. Service Division Head IT BAI08.02 – Identify and classify sources of Manager Security, information. Helpdesk & BAI10.01 – Establish and maintain a Desktop configuration model. BAI10.02 – Establish and maintain a configuration repository and baseline. BAI10.05 – Verify and review integrity of the configuration repository. Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
66
Selain penanggung jawab pelaksana, peran pihak yang Accountable juga penting karena pengambilan keputusan berada pada tangan pihak tersebut. Setiap pihak yang memiliki peran Accountable dipetakan pada posisi yang saat ini ada di perusahaan, seperti yang tertera pada Tabel 4.10. Tabel 4.10 Penanggung Jawab Utama di Perusahaan
Peran berdasarkan COBIT 5 Business Executives Steeringg Committee CIO
Head IT Operations
Service Manager
Business Continuity Manager
Posisi di Perusahaan Group Head Business Owners Group President Director Office Director & Chief Technology Officer Group Head IT Operation
Division Head IT Security, Helpdesk & Desktop Group President Director Office
Tanggung Jawab Utama BAI08.02 – Identify and classify sources of information. BAI03.06 – Perform quality assurance (QA) BAI08.03 – Organise and contextualize information into knowledge. BAI10.03 – Maintain and control configuration items. BAI09.02 – Manage critical assets. BAI10.01 – Establish and maintain a configuration model. BAI10.02 – Establish and maintain a configuration repository and baseline. BAI10.04 – Produce status and configuration reports. BAI10.05 – Verify and review integrity of the configuration repository. DSS01.01 – Perform operational procedures. DSS01.03 – Monitor IT infrastructure. APO09.01- Identify IT services. APO09.02 – Catalogue IT-enabled services. APO09.03- Define and prepare service agreements. DSS04.08 – Conduct post-resumption review.
Sebagai pelengkap, dijabarkan juga pihak yang perlu dimintai pendapat dan pihak yang perlu mengetahui keputusan atas setiap proses seperti yang tertera pada Tabel 4.11 dan Tabel 4.12.
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
67
Tabel 4.11 Pihak yang Perlu Dimintai Pendapat
Peran berdasarkan COBIT 5 CEO CFO Business Executives Business Process Owners
Posisi di Perusahaan President Director & CEO Director & CFO Group Head Business Owners Division Head Business Owners
Pihak yang Perlu Dimintai Pendapat APO09.01- Identify IT services. BAI09.02 – Manage critical assets. DSS04.08 – Conduct post-resumption review.
APO09.03- Define and prepare service agreements. BAI08.03 – Organise and contextualise information into knowledge. BAI09.02 – Manage critical assets. BAI10.01 – Establish and maintain a configuration model. DSS01.03 – Monitor IT infrastructure. Group President APO09.01- Identify IT services. Director Office
Strategy Executive Committee Project Group President Management Director Office Office Chief Risk Group Head Risk Officer Management
APO09.03- Define and prepare service agreements. APO09.03- Define and prepare service agreements.
Head Human Group Head BAI08.02 – Identify and classify sources of Resources Human Resources information. BAI08.03 – Organise and contextualise information into knowledge. Compliance Regulatory Group APO09.03- Define and prepare service agreements. BAI03.06 – Perform quality assurance (QA). BAI08.02 – Identify and classify sources of information. BAI09.02 – Manage critical assets. Audit Internal Audit APO09.03- Define and prepare service Group agreements. BAI03.06 – Perform quality assurance (QA). BAI08.02 – Identify and classify sources of information. BAI09.02 – Manage critical assets. BAI10.01 – Establish and maintain a configuration model. DSS01.03 – Monitor IT infrastructure. Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
68
Peran berdasarkan COBIT 5 CIO Head Architect
Head Development
Head IT Operations
Posisi di Perusahaan
Pihak yang Perlu Dimintai Pendapat
Director & CTO BAI10.01 – Establish and maintain a configuration model. Division Head IT BAI03.06 – Perform quality assurance (QA). Architecture & BAI10.01 – Establish and maintain a Strategy configuration model. BAI10.02 – Establish and maintain a configuration repository and baseline. BAI10.03 – Maintain and control configuration items. BAI10.04 – Produce status and configuration reports. DSS04.08 – Conduct post-resumption review. Group Head IT APO09.01- Identify IT services. Planning APO09.02 – Catalogue IT-enabled services. APO09.03- Define and prepare service agreements. BAI10.04 – Produce status and configuration reports. DSS01.03 – Monitor IT infrastructure. DSS04.08 – Conduct post-resumption review. Group Head IT APO09.01- Identify IT services. Operation APO09.02 – Catalogue IT-enabled services. BAI03.06 – Perform quality assurance (QA).
Head IT Division Head IT Administration Operation Service Division Head IT Manager Security, Helpdesk & Desktop
Information Security Manager
Business Continuity Manager
APO09.01- Identify IT services. APO09.02 – Catalogue IT-enabled services. BAI03.06 – Perform quality assurance (QA). BAI09.02 – Manage critical assets. BAI10.03 – Maintain and control configuration items. DSS01.01 – Perform operational procedures. DSS01.03 – Monitor IT infrastructure. Manager IT APO09.03- Define and prepare service Security agreements. BAI03.06 – Perform quality assurance (QA). BAI09.02 – Manage critical assets. DSS01.01 – Perform operational procedures. DSS01.03 – Monitor IT infrastructure. Group President APO09.03- Define and prepare service Director Office agreements. BAI03.06 – Perform quality assurance (QA). BAI09.02 – Manage critical assets. DSS01.01 – Perform operational procedures. Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
69
Tabel 4.12 Pihak yang Perlu Mengetahui Keputusan
Peran berdasarkan COBIT 5 COO
Posisi di Perusahaan
Pihak yang Perlu Mengetahui Keputusan
Director & CCO DSS01.03 – Monitor IT infrastructure. Director & CWIO Business Group Head APO09.02 – Catalogue IT-enabled services. Executives Business Owners BAI03.06 – Perform quality assurance (QA). BAI09.02 – Manage critical assets. Business Division Head APO09.02 – Catalogue IT-enabled services. Process Business Owners BAI10.04 – Produce status and configuration Owners reports. BAI10.05 – Verify and review integrity of the configuration repository. Project Group President APO09.01- Identify IT services. Management Director Office APO09.02 – Catalogue IT-enabled services. Office Chief Risk Group Head Risk DSS01.03 – Monitor IT infrastructure. Officer Management DSS04.08 – Conduct post-resumption review. Compliance Regulatory Group APO09.01- Identify IT services. APO09.02 – Catalogue IT-enabled services. BAI08.03 – Organise and contextualise information into knowledge. Audit Internal Audit APO09.01- Identify IT services. Group APO09.02 – Catalogue IT-enabled services. BAI08.03 – Organise and contextualise information into knowledge. BAI10.04 – Produce status and configuration reports. CIO Director & CTO BAI03.06 – Perform quality assurance (QA). BAI10.04 – Produce status and configuration reports. DSS01.03 – Monitor IT infrastructure. Head Architect Division Head IT APO09.01- Identify IT services. Architecture & APO09.02 – Catalogue IT-enabled services. Strategy Head Group Head IT BAI10.01 – Establish and maintain a Development Planning configuration model. Service Division Head IT BAI10.04 – Produce status and configuration Manager Security, Helpdesk reports. & Desktop
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
70
Peran berdasarkan COBIT 5 Information Security Manager Business Continuity Manager
Posisi di Perusahaan Manager IT Security
Pihak yang Perlu Dimintai Pendapat APO09.01- Identify IT services. APO09.02 – Catalogue IT-enabled services.
Group President APO09.01- Identify IT services. Director Office APO09.02 – Catalogue IT-enabled services.
Dengan panduan rincian aktivitas dan pembagian peran dan tanggung jawab tersebut, diharapkan perusahaan dapat segera menerapkan Management Practice yang sampai saat ini belum diterapkan.
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
BAB 5 PENUTUP
Pada bab ini dijelaskan mengenai kesimpulan yang dihasilkan berdasarkan tujuan penelitian yang ditentukan pada awal penelitian. Pada bab ini dijelaskan mengenai kesimpulan yang didapat setelah melakukan tahapan analisa beserta saran untuk penelitian yang dapat dilakukan lebih lanjut. 5.1. Kesimpulan Setelah seluruh tahapan analisa dilakukan, dihasilkan kesimpulan sebagai berikut: a. Terdapat 16 proses di COBIT 5 yang relevan dengan penerapan SOX, yaitu sebagai berikut: 1. APO09 Manage Service Agreements 2. APO10 Manage Suppliers 3. APO13 Manage Security 4. BAI03 Manage Solutions Identification and Build 5. BAI05 Manage Organisational Change Enablement 6. BAI06 Manage Changes 7. BAI07 Manage Change Acceptance and Transactioning 8. BAI08 Manage Knowledge 9. BAI09 Manage Assets 10. BAI10 Manage Configuration 11. DSS01 Manage Operations 12. DSS02 Manage Service Requests and Incidents 13. DSS03 Manage Problems 14. DSS04 Manage Continuity 15. DSS05 Manage Security Services 16. DSS06 Manage Business Process Controls
71
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
72
b. Status penerapan keenambelas proses COBIT 5 yang relevan dengan penerapan SOX tersebut dapat dirangkum seperti terlihat pada Tabel 5.1. Tabel 5.1 Rangkuman Status Penerapan
Proses TI APO09 Manage Service Agreements
Status Penerapan Sebagian diterapkan
APO10 Manage Suppliers
Sudah diterapkan
APO13 Manage Security
Sudah diterapkan
BAI03 Manage Solutions Identification and
Sebagian diterapkan
Build BAI05 Manage Organisational Change
Sudah diterapkan
Enablement BAI06 Manage Changes
Sudah diterapkan
BAI07 Manage Change Acceptance and
Sudah diterapkan
Transactioning BAI08 Manage Knowledge
Sebagian diterapkan
BAI09 Manage Assets
Belum diterapkan
BAI10 Manage Configuration
Belum diterapkan
DSS01 Manage Operations DSS02 Manage Service Requests and
Sebagian diterapkan Sudah diterapkan
Incidents DSS03 Manage Problems
Sudah diterapkan
DSS04 Manage Continuity
Belum diterapkan
DSS05 Manage Security Services
Sudah diterapkan
DSS06 Manage Business Process Controls
Sudah diterapkan
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
73
c. Dari proses-proses yang belum seluruhnya diterapkan, teridentifikasi risiko sebagai berikut: x
Gagalnya TI memenuhi kebutuhan bisnis maupun perjanjian dengan pihak pengguna bisnis.
x
Kekurangan keunggulan kompetitif.
x
Kegagalan dalam penerapan keamanan sistem untuk menghindari kebocoran data dan data yang tidak akurat.
x
Pengelolaan yang tidak sesuai terhadap aset yang dimiliki perusahaan.
x
Produktivitas bisnis yang rendah.
x
Proses bisnis yang tidak efisien.
x
Kegagalan untuk beroperasi sepenuhnya karena terjadinya bencana alam maupun bencana yang disebabkan manusia, seperti gempa bumi, terorisme, kebakaran dan banjir.
d. COBIT 5 juga memberikan panduan rincian aktivitas dan pembagian tanggung jawab dalam penerapan proses-proses yang belum sepenuhnya diterapkan oleh perusahaan. Penelitian menitikberatkan pihak yang Responsible sebagai pelaksana utama dari aktivitas-aktivitas yang teridentifikasi dalam penerapan proses dan juga pihak yang Accountable karena pengambilan keputusan berada pada pihak tersebut. 5.2. Saran Jika dilakukan penelitian sejenis, maka beberapa hal yang dapat dipertimbangkan adalah: a. Proses identifikasi risiko dapat dilakukan lebih awal, misalnya sebagai paduan dalam proses pemilihan proses COBIT 5 yang relevan diterapkan di perusahaan. b. Penilaian status penerapan proses COBIT 5 dapat dilakukan sampai ke level aktivitas, input dan output, tidak hanya sampai level Management Practice saja.
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
DAFTAR PUSTAKA Adaikkappan, Alagammai (2009). Application Security Controls: An Audit Perspective. ISACA Journal, 1(6), 1 – 7. Chaudhuri, A., Chaudhuri, D., Davis, Robert E. (2009). Managing SarbanesOxley Section 404 Compliance in ERP Systems Using Information Security Control Reports. ISACA Journal. 1(6). 1 – 7. Grant, Gerry H., Miller, Karen C. (2008). Improving Financial Reporting Through Effective IT Controls: Evidence from the SOX 404 Audit. American Accounting Association – Auditing Section – 2008 Midyear Conference, 1 – 44. Diakses di http://aaahq.org/audit/midyear/08midyear/papers/01_Grant_ImprovingFinancialR eporting.pdf. IMPACT (2005). IT Governance – Developing a successful governance strategy. A
Best
Practice
Guide
for
decision
makers
in
IT.
Diakses
pada
http://www.isaca.org/Certification/CGEIT-Certified-in-the-Governance-ofEnterprise-IT/Prepare-for-the-Exam/Study-Materials/Documents/Developing-aSuccessful-Governance-Strategy.pdf. ISACA (2012). COBIT 5: A Business Framework for the Governance and Management of Enterprise IT. ISACA (2012). COBIT 5: Enabling Process. IT Governance Institute (2003). Board Briefing on IT Governance, 2nd Edition. IT Governance Institute (2006). IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting, 2nd Edition. IT Governance Institute (2007). COBIT 4.1. IT Governance Institute (2011). Purpose of IT Governance. Diakses di http://www.itgi.org/template_ITGI9bfe.html?Section=Purpose&Template=/Conte ntManagement/HTMLDisplay.cfm&ContentID=19659 . 74
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
75
Mehta, Arvind (2010). An Approach Toward Sarbanes-Oxley ITGC Risk Assessment. ISACA Journal, 1(5), 15 – 18. Rozek, Paul (2008). Solving the Puzzle of IT for Sarbanes-Oxley: IT’s Role in Sarbanes-Oxley Compliance. Information Systems Control Journal, 1(5), 1 – 3. SANS (2005). Sarbanes-Oxley Information Technology Compliance Audit. Diakses
di
http://www.sans.org/reading_room/whitepapers/auditing/sarbanes-
oxley-information-technology-compliance-audit_1624. Velichety, S.,Park, J., Jung, S., Lee, S., Tanriverdi, H. (2004). Company Perspectives on Business Value of IT Investments in Sarbanes-Oxley Compliance. Information Systems Control Journal, 1(3), 1 – 4.
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
LAMPIRAN 1 Pemetaan Control Objective COBIT 4.1 dengan Management Practice COBIT 5
Management Practice
Control Objective COBIT 4.1 AC1
COBIT 5
Source Data Preparation and Authorisation
DSS06.02; DSS06.03; BAI03.02; BAI03.03; BAI03.05; BAI03.07
AC2
Source Data Collection and Entry
DSS06.02
AC3
Accuracy, Completeness and Authenticity Checks
DSS06.02
AC4
Processing Integrity and Validity
DSS06.02
AC5
Output Review, Reconciliation and Error Handling
DSS06.02
AC6
Transaction Authentication and Integrity
DSS06.02
PO1.1
IT Value Management
EDM02
PO1.2
Business-IT Alignment
APO02.01
PO1.3
Assessment of Current Capability and Performance APO02.02
PO1.4
IT Strategic Plan
APO02.03-05
PO1.5
IT Tactical Plans
APO02.05
PO1.6
IT Portfolio Management
APO05.05
PO2.1
Enterprise Information Architecture Model
APO03.02
PO2.2
Enterprise Data Dictionary and Data Syntax Rules
APO03.02
PO2.3
Data Classification Scheme
APO03.02
PO2.4
Integrity Management
APO01.06
PO3.1
Technological Direction Planning
APO02.03; APO04.03
PO3.2
Technical Infrastructure Plan
APO02.03-05; APO04.03-05
PO3.3
Monitor Future Trends and Regulations
EDM01.01; APO04.03
PO3.4
Technology Standards
APO03.05
PO3.5
IT Architecture Board
APO01.01
PO4.1
IT Process Framework
APO01.03; APO01.07 76
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
77
PO4.2
IT Strategy Committee
APO01.01
PO4.3
IT Steering Committee
APO01.01
PO4.4
Organisational Placement of the IT Function
APO01.05
PO4.5
IT Organisational Structure
APO01.01
PO4.6
Establishment of Roles and Responsibilities
APO01.02
PO4.7
Responsibility for IT Quality Assurance
APO11.01
PO4.8
Responsibility for Risk, Security and Compliance
Deleted—these specific roles are no longer explicitly specified as a practice
PO4.9
Data and System Ownership
APO01.06
PO4.10
Supervision
APO01.02
PO4.11
Segregation of Duties
APO01.02; DSS08.02
PO4.12
IT Staffing
APO07.01
PO4.13
Key IT Personnel
APO07.02
PO4.14
Contracted Staff Policies and Procedures
APO07.06
PO4.15
Relationships
APO01.01
PO5.1
Financial Management Framework
APO06.01
PO5.2
Prioritisation Within IT Budget
APO06.02
PO5.3
IT Budgeting
APO06.03
PO5.4
Cost Management
APO06.04-05
PO5.5
Benefit Management
APO05.06
PO6.1
IT Policy and Control Environment
APO01.03
PO6.2
Enterprise IT Risk and Control Framework
EDM03.02; APO01.03
PO6.3
IT Policies Management
APO01.03; APO01.08
PO6.4
Policy, Standards and Procedures Rollout
APO01.03; APO01.08
PO6.5
Communication of IT Objectives and Direction
APO01.04
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
78
PO7.1
Personnel Recruitment and Retention
APO07.01; APO07.05
PO7.2
Personnel Competencies
APO07.03
PO7.3
Staffing of Roles
APO01.02; APO07.01
PO7.4
Personnel Training
APO07.03
PO7.5
Dependence Upon Individuals
APO07.02
PO7.6
Personnel Clearance Procedures
APO07.01; APO07.06
PO7.7
Employee Job Performance Evaluation
APO07.04
PO7.8
Job Change and Termination
APO07.01
PO8.1
Quality Management System
APO11.01
PO8.2
IT Standards and Quality Practices
APO11.02
PO8.3
Development and Acquisition Standards
APO11.02; APO11.05
PO8.4
Customer Focus
APO11.03
PO8.5
Continuous Improvement
APO11.06
PO8.6
Quality Measurement, Monitoring and Review
APO11.04
PO9.1
IT Risk Management Framework
EDM03.02; APO01.03
PO9.2
Establishment of Risk Context
APO12.03
PO9.3
Event Identification
APO12.01; APO12.03
PO9.4
Risk Assessment
APO12.02; APO12.04
PO9.5
Risk Response
APO12.06
PO9.6
Maintenance and Monitoring of a Risk Action Plan
APO12.04-05
PO10.1
Programme Management Framework
BAI01.01
PO10.2
Project Management Framework
BAI01.01
PO10.3
Project Management Approach
BAI01.01
PO10.4
Stakeholder Commitment
BAI01.03
PO10.5
Project Scope Statement
BAI01.07
PO10.6
Project Phase Initiation
BAI01.07
PO10.7
Integrated Project Plan
BAI01.08 Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
79
PO10.8
Project Resources
BAI01.08
PO10.9
Project Risk Management
BAI01.10
PO10.10 Project Quality Plan
BAI01.09
PO10.11 Project Change Control
BAI01.11
PO10.12 Project Planning and Assurance Methods
BAI01.08
PO10.13 Project Performance Measurement, Reporting and
BAI01.06; BAI01.11
Monitoring PO10.14 Project Closure AI1.1
BAI01.13
Definition and Maintenance of Business Functional BAI02.1 and Technical Requirements
AI1.2
Risk Analysis Report
BAI02.03
AI1.3
Feasibility Study and Formulation of Alternative
BAI02.02
Courses of Action AI1.4
Requirements and Feasibility Decision and
BAI02.04
Approval AI2.1
High-level Design
BAI03.01
AI2.2
Detailed Design
BAI03.02
AI2.3
Application Control and Auditability
BAI03.05
AI2.4
Application Security and Availability
BAI03.01-03; BAI03.05
AI2.5
Configuration and Implementation of Acquired
BAI03.03; BAI03.05
Application Software AI2.6
Major Upgrades to Existing System
BAI03.10
AI2.7
Development of Application Software
BAI03.03-04
AI2.8
Software Quality Assurance
BAI03.06
AI2.9
Applications Requirements Management
BAI03.09
AI2.10
Application Software Maintenance
BAI03.10
AI3.1
Technological Infrastructure Acquisition Plan
BAI03.04
AI3.2
Infrastructure Resource Protection and Availability BAI03.03; DSS02.03
AI3.3
Infrastructure Maintenance
BAI03.10
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
80
AI3.4
Feasibility Test Environment
BAI03.07-08
AI4.1
Planning for Operational Solutions
BAI05.05
AI4.2
Knowledge Transfer to Business Management
BAI08.01-04
AI4.3
Knowledge Transfer to End Users
BAI08.01-04
AI4.4
Knowledge Transfer to Operations and Support
BAI08.01-04
Staff AI5.1
Procurement Control
BAI03.04
AI5.2
Supplier Contract Management
APO10.01; APO10.03
AI5.3
Supplier Selection
APO10.02
AI5.4
IT Resources Acquisition
APO10.03
AI6.1
Change Standards and Procedures
BAI06.01-04
AI6.2
Impact Assessment, Prioritisation and
BAI06.01
Authorisation AI6.3
Emergency Changes
BAI06.02
AI6.4
Change Status Tracking and Reporting
BAI06.03
AI6.5
Change Closure and Documentation
BAI06.04
AI7.1
Training
BAI05.05
AI7.2
Test Plan
BAI07.01; BAI07.03
AI7.3
Implementation Plan
BAI07.01
AI7.4
Test Environment
BAI07.04
AI7.5
System and Data Conversion
BAI07.02
AI7.6
Testing of Changes
BAI07.05
AI7.7
Final Acceptance Test
BAI07.05
AI7.8
Promotion to Production
BAI07.06
AI7.9
Post-implementation Review
BAI07.08
DS1.1
Service Level Management Framework
APO09.01-06
DS1.2
Definition of Services
APO09.01-03
DS1.3
Service Level Agreements
APO09.04
DS1.4
Operating Level Agreements
APO09.04
DS1.5
Monitoring and Reporting of Service Level
APO09.05
Achievements Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
81
DS1.6
Review of Service Level Agreements and Contracts
APO09.06
DS2.1
Identification of All Supplier Relationships
APO10.01
DS2.2
Supplier Relationship Management
APO10.03
DS2.3
Supplier Risk Management
APO10.04
DS2.4
Supplier Performance Monitoring
APO10.05
DS3.1
Performance and Capacity Planning
BAI04.03
DS3.2
Current Performance and Capacity
BAI04.01-02
DS3.3
Future Performance and Capacity
BAI04.01
DS3.4
IT Resources Availability
BAI04.05
DS3.5
Monitoring and Reporting
BAI04.04
DS4.1
IT Continuity Framework
DSS04.01-02
DS4.2
IT Continuity Plans
DSS04.03
DS4.3
Critical IT Resources
DSS04.04
DS4.4
Maintenance of the IT Continuity Plan
DSS04.02; DSS04.06
DS4.5
Testing of the IT Continuity Plan
DSS04.05
DS4.6
IT Continuity Plan Training
DSS04.07
DS4.7
Distribution of the IT Continuity Plan
DSS04.03
DS4.8
IT Services Recovery and Resumption
DSS04.04
DS4.9
Offsite Backup Storage
DSS04.08
DS4.10
Post-resumption Review
DSS04.09
DS5.1
Management of IT Security
APO13.01; APO13.03
DS5.2
IT Security Plan
APO13.02
DS5.3
Identity Management
DSS05.04
DS5.4
User Account Management
DSS05.04
DS5.5
Security Testing, Surveillance and Monitoring
DSS05.07
DS5.6
Security Incident Definition
DSS02.01
DS5.7
Protection of Security Technology
DSS05.05
DS5.8
Cryptographic Key Management
DSS05.03
DS5.9
Malicious Software Prevention, Detection and
DSS05.01
Correction DS5.10
Network Security
DSS05.02 Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
82
DS5.11
Exchange of Sensitive Data
DSS05.02
DS6.1
Definition of Services
APO06.04
DS6.2
IT Accounting
APO06.01
DS6.3
Cost Modelling and Charging
APO06.04
DS6.4
Cost Model Maintenance
APO06.04
DS7.1
Identification of Education and Training Needs
APO07.03
DS7.2
Delivery of Training and Education
APO07.03
DS7.3
Evaluation of Training Received
APO07.03
DS8.1
Service Desk
Deleted—ITIL 3 does not refer to Service Desk as a process.
DS8.2
Registration of Customer Queries
DSS02.01-03
DS8.3
Incident Escalation
DSS02.04
DS8.4
Incident Closure
DSS02.05-06
DS8.5
Reporting and Trend Analysis
DSS02.07
DS9.1
Configuration Repository and Baseline
BAI10.01-02; BAI10.04; DSS02.01
DS9.2
Identification and Maintenance of Configuration
BAI10.03
Items DS9.3
Configuration Integrity Review
BAI10.04-05; DSS02.05
DS10.1
Identification and Classification of Problems
DSS03.01
DS10.2
Problem Tracking and Resolution
DSS03.02
DS10.3
Problem Closure
DSS03.03-04
DS10.4
Integration of Configuration, Incident and Problem DSS03.05 Management
DS11.1
Business Requirements for Data Management
DSS01.01
DS11.2
Storage and Retention Arrangements
DSS04.08; DSS06.04
DS11.3
Media Library Management System
DSS04.08
DS11.4
Disposal
DSS05.08
DS11.5
Backup and Restoration
DSS04.08 Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
83
DS11.6
Security Requirements for Data Management
DSS01.01; DSS05.08; DSS06.05
DS12.1
Site Selection and Layout
DSS01.04-05; DSS05.05
DS12.2
Physical Security Measures
DSS05.05
DS12.3
Physical Access
DSS05.05
DS12.4
Protection Against Environmental Factors
DSS01.04
DS12.5
Physical Facilities Management
DSS01.05
DS13.1
Operations Procedures and Instructions
DSS01.01
DS13.2
Job Scheduling
DSS01.01
DS13.3
IT Infrastructure Monitoring
DSS01.03
DS13.4
Sensitive Documents and Output Devices
DSS05.06
DS13.5
Preventive Maintenance for Hardware
BAI09.02
ME1.1
Monitoring Approach
MEA01.01
ME1.2
Definition and Collection of Monitoring Data
MEA01.02-03
ME1.3
Monitoring Method
MEA01.03
ME1.4
Performance Assessment
MEA01.04
ME1.5
Board and Executive Reporting
MEA01.04
ME1.6
Remedial Actions
MEA01.05
ME2.1
Monitoring of Internal Control Framework
MEA02.01-02
ME2.2
Supervisory Review
MEA02.01
ME2.3
Control Exceptions
MEA02.04
ME2.4
Control Self-assessment
MEA02.03
ME2.5
Assurance of Internal Control
MEA02.06-08
ME2.6
Internal Control at Third Parties
MEA02.01
ME2.7
Remedial Actions
MEA02.04
ME3.1
Identification of External Legal, Regulatory and
MEA03.1
Contractual Compliance Requirements ME3.2
Optimisation of Response to External
MEA03.02
Requirements ME3.3
Evaluation of Compliance With External
MEA03.03 Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
84
Requirements ME3.4
Positive Assurance of Compliance
MEA03.04
ME3.5
Integrated Reporting
MEA03.04
ME4.1
Establishment of an IT Governance Framework
EDM01
ME4.2
Strategic Alignment
Deleted
ME4.3
Value Delivery
EDM02
ME4.4
Resource Management
EDM04
ME4.5
Risk Management
EDM03
ME4.6
Performance Measurement
EDM01.03; EDM02.03; EDM03.03; EDM04.03
ME4.7
Independent Assurance
MEA02.05-07; MEA02-08
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
85
LAMPIRAN 2 Dokumen Pendukung Gap Analysis
Universitas Indonesia
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013
Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013