MODEL PENILAIAN RISIKO PENGGUNAAN TEKNOLOGI INFORMASI (STUDI KASUS : PUSAT INFORMASI PENGAWASAN BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN)

Transkripsi

1 MODEL PENILAIAN RISIKO PENGGUNAAN TEKNOLOGI INFORMASI (STUDI KASUS : PUSAT INFORMASI PENGAWASAN BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN) Mohammad Fahmi Kurniawan dan Joko Lianto Buliali Program Studi Magister Manajemen Teknologi Bidang Keahlian Manajemen Teknologi Informasi Program Pascasarjana Institut Teknologi Sepuluh Nopember Penulis adalan pegawai pada BPKP Perwakilan Provinsi Jawa Timur m.fahmi@bpkp.go.id ABSTRAK Pusat Informasi Pengawasan (Pusinfowas) adalah eselon II BPKP yang tugas pokoknya melaksanakan kegiatan pengelolaan data dan informasi pengawasan serta pengembangan sistem informasi dan jaringan. Tugas pokok tersebut merupakan usaha Pusinfowas untuk memberikan value bagi stakeholders dengan memanfaatkan sumber daya teknologi informasi (TI). Ketergantungan te rhadap TI ini memaksa Pusinfowas untuk mengeliminasi atau menghilangkan semua bentuk gangguan/kelemahan yang pernah atau akan terjadi dengan melakukan penilaian risiko. Penelitian ini bertujuan untuk menghasilkan daftar peringkat risiko penggunaan TI beserta sebab-sebab yang dominan. Untuk mencapai tujuan tersebut, penelitian ini dimulai dari proses pemetaan sasaran TI menurut ITGI berdasarkan sasaran TI menurut BPKP, identifikasi proses-proses TI yang terkait, identifikasi risiko, analisis pemicu dan dampak, analisis pengendalian dan yang terakhir proses evaluasi risiko. Teknik pairwise comparison yang biasa dipakai dalam metode pengambilan keputusan Analytic Hierarchy Process (AHP), digunakan untuk menentukan tingkat kemungkinan dan dampak masing-masing risiko dengan memanfaatkan semua risiko sebagai elemen keputusan. Berdasarkan perkalian tingkat kemungkinan dan dampak, maka dihasilkan daftar peringkat risiko. Hasil penelitian telah menghasilkan sasaran TI menurut ITGI yaitu Optimalisasi Penggunaan Informasi. Sasaran tersebut dicapai melalui proses Pendefinisian Arsitektur Informasi (PO2) dan proses Pengelolaan Data (DS). Risiko untuk masing -masing proses telah diidentifikasi, dan setelah dilakukan analisis pengendalian kemudian dilakukan pengukuran tingkat kemungkinan dan dampak sehingga menghasilkan daftar prioritas risiko. Prioritas tinggi risiko proses PO2 mencakup Risiko Definisi Informasi dan Risiko Ketersediaan Data. Prioritas tinggi risiko proses DS mencakup Risiko Kualitas Data Input dan Risiko Data Kritis. Risiko-risiko tersebut selanjutnya menjadi dasar alokasi sumber daya untuk penanganan yang efektif. Kata kunci: Pusinfowas, identifikasi risiko, analisis risiko, evaluasi risiko, pairwise comparison, prioritas risiko. PENDAHULUAN

2 Pada suatu organisasi penggunaan TI untuk menghasilkan value bagi stakeholders bukannya tanpa risiko. Ibarat uang logam, salah satu sisinya adalah value dan sisi lainnya adalah risiko. Risiko melekat dan pasti ada pada setiap organisasi apapun bentuknya, sehingga setiap organisasi wajib untuk memastikan bahwa setiap usahanya untuk menciptakan value selalu diiringi dengan usahanya untuk mengurangi atau menghilangkan risiko. Tujuan dibentuknya Pusinfowas adalah untuk kepentingan pengambilan keputusan stakeholders dan pengelolaan manajemen. Demi mencapai tujuannya ini, sejak tahun 2006 Pusinfowas telah menginvestasikan anggaran yang cukup besar untuk membeli peralatan TI sebagai media atau alat otomatisasi dan integrasi data aktivitas pengawasan. Sejak saat itu pula, BPKP semakin lama semakin mengurangi aktivitas fisik ekstraksi data pengawasan dan membuatnya semakin bergantung kepada sumber daya TI. Untuk menjaga bahwa sumber daya TI benar-benar beroperasi dan bermanfaat dalam mencapai tujuan, maka perlu suatu proses asesmen untuk mengeliminasi risiko. Terkait permasalahan di atas, tujuan penelitian ini adalah menghasilkan daftar peringkat risiko penggunaan TI. Daftar peringkat risiko ini bermanfaat bagi Pusinfowas sebagai dasar atau bahan masukan untuk menentukan prioritas rencana tindak penanganan suatu risiko beserta alokasi sumber daya yang diperlukan. Definisi risiko Definisi risiko adalah events with a negative impact represent risks, which can prevent value creation or erode existing value (COSO, 2004). Definisi risiko lainnya adalah the net negative impact of the exercise of a vulnerability, considering both the probability and the impact of occurrence (NIST, 2002). Definisi risiko menurut ISO 3000 adalah as the effect of uncertainty on objectives. Berdasarkan ketiga definisi tersebut, pada dasarnya risiko adalah terhambatnya penciptaan nilai atau penurunan nilai yang ada karena sesuatu terjadi, dengan mempertimbangkan probabilitas dan dampak. Risk Assessment ISO mendefinisikan risk assessment adalah sub proses manajemen risiko yang berisi aktivitas identifikasi risiko, analisis dan evaluasi risiko. Definisi yang sama dari COSO bahwa risk assessment adalah proses identifikasi dan penilaian peristiwa yang mungkin terjadi dan mempengaruhi tujuan. Identifikasi risiko merupakan proses mencari, menemukan dan mendefinisikan risiko yang mempengaruhi tujuan organisasi. Identifikasi risiko dapat dilakukan antara lain dengan menggunakan data historis, kajian teoritis, pendapat ahli, maupun analisis keinginan stakeholder s. Analisis risiko merupakan proses mengembangkan pemahaman yang utuh tentang suatu risiko terkait sebab dan sumber risiko, tingkat kemungkinan terjadinya risiko serta dampak. Sebagai metodenya, penentuan tingkat kemungkinan dan dampak dapat menggunakan salah satu metode dari metode kualitatif, semi kuantitatif atau kuantitatif. Evaluasi risiko bertujuan memudahkan mengambil keputusan risiko-risiko yang perlu mendapatkan prioritas penanganan. Langkah-langkah proses evaluasi risiko adalah mendapatkan pemahaman final berupa kombinasi besarnya kemungkinan dan besarnya

3 dampak yang dituangkan dalam bentuk tingkat risiko, kemudian menentukan prioritas risiko berdasarkan tingkat risiko. Risiko yang mempunyai tingkat risiko terbesar merupakan prioritas utama penanganan risiko. Sasaran, Proses TI dan Control Objectives Untuk memastikan bahwa investasinya dipergunakan menuju ke arah pencapaian sasaran strategis, maka organisasi menetapkan sasaran TI. The IT Governance Institute (selanjutnya disebut ITGI) dalam dokumen Control Objective for Information and Related Technology versi 4. (selanjutnya disebut COBIT) menguraikan 28 sasaran TI, beserta proses-proses TI yang terkait dari keseluruhan jumlah proses TI sebanyak 34 proses.. Masing-masing proses TI dilengkapi dengan control objectives agar pengelolaanya dapat dikatakan baik dan efektif. Keterkaitan sasaran TI, proses TI dan control objectives dijelaskan pada gambar. Gambar Hubungan Sasaran TI, Proses TI dan control objectives (ITGI, 2007)) Pairwise Comparison Pairwise comparison atau perbandingan berpasangan, merupakan teknik perbandingan yang biasa dipakai dalam metode pengambilan keputusan AHP. Pairwise comparison ini memanfaatkan bilangan/skala, yang mencerminkan tingkat preferensi/kepentingan suatu perbandingan elemen keputusan dalam kontribusinya terhadap pencapaian suatu tujuan. (Ciptomulyono, 2003). Bilangan skala ditunjukkan pada tabel. Tabel Skala Saaty untuk bobot numerik AHP Skala Skala Kualitatif dan Definisi Numerik Elemen yang satu dinilai sama penting dibandingkan elemen yang lain 3 Elemen yang satu dinilai sedikit lebih penting dibandingkan elemen yang lain 5 Elemen yang satu dinilai cukup penting dibandingkan elemen yang lain 7 Elemen yang satu dinilai sangat penting dibandingkan elemen yang lain 9 Elemen yang satu dinilai mutlak lebih penting dibandingkan elemen yang lain Sumber : Ciptomulyono, 2003

4 Opini kelompok ditetapkan dengan menghitung rata-rata geometri seluruh opini responden (Julianto Hadi, 20), kemudian setiap perbandingan elemen keputusan dimasukkan dalam suatu matrik perbandingan untuk menentukan bobot setiap elemen terhadap pencapaian tujuan. Saaty menyarankan sebaiknya CRI dibawah 0 % (0,) untuk menunjukkan bahwa value judgement yang diberikan dapat diterima, dan kalau sebaliknya memerlukan revisi atau peninjauan kembali (Ciptomulyono, 2003).

5 METODE PENELITIAN Metodologi penelitian ini mengacu pada proses manajemen risiko menurut ISO HASIL PENELITIAN Gambar 2 Bagan Arus Metodologi Penelitian Sasaran TI BPKP Untuk memenuhi kebutuhan para stakeholders, TI diposisikan sebagai enabler dalam enam sasaran penerapan TI di BPKP, yaitu:. Management; sebagai sarana untuk mengelola kegiatan pengawasan. 2. Decision support; sebagai sarana penyedia informasi untuk pengambilan keputusan. 3. Intelligence; sebagai sarana untuk mendeteksi secara dini potensi-potensi masalah dalam program kerja pemerintah. 4. Knowledge creation; sebagai sarana untuk menciptakan pemahaman baru dan mendiseminasikannya kepada semua stakeholders. 5. Collaboration; sebagai sarana pertukaran informasi dan pengetahuan. 6. Integration; sebagai sarana untuk mengkonsolidasikan data dan informasi pengawasan seluruh instansi pengawasan internal. 4. Kebijakan Pengendalian TI 4.2 Setelah data komponen TI diperoleh, tahap berikutnya adalah mendapatkan kebijakan dan prosedur pengendalian sistem dan teknologi informasi yang diimplementasikan di BPKP. Kebijakan pengamanan sistem informasi diatur melalui melalui SK Kepala

6 BPKP Nomor Kep-35/K/IP/2005 tentang Kebijakan Pengamanan Sistem Informasi di Lingkungan BPKP. Hal-hal yang diatur dalam kebijakan ini meliputi: 4.3 Pengamanan perangkat keras, meliputi pengamanan perangkat keras sejak saat pengadaan, instalasi, penggunaan, penyimpanan termasuk penyimpanan barang habis pakai serta dokumentasi. 4.4 Pengamanan lokasi, meliputi pengaturan keamanan lokasi termasuk didalamnya lokasi data. 4.5 Pengamanan perangkat lunak komersil dan pengembangan sendiri. Pengamanan perangkat lunak komersil dimulai sejak tahap pengadaan sampai dengan pemeliharaan dan dokumentasi. Pengamanan perangkat lunak pengembangan sendiri meliputi pengendalian kode, pengembangan, pelatihan dan pembuatan manual. 4.6 Pengamanan sumber daya manusia, meliputi pengamanan data dan dokumentasi kepegawaian, pengaturan keamanan pasca berhentinya pegawai dan pelatihan sumber daya manusia. 4.7 Pengamanan data dan informasi, meliputi pengendalian akses sistem informasi, pengklasifikasian data dan informasi, dan pengolahan informasi dan dokumen. 4.8 Pengamanan tindakan hukum, meliputi tindakan pencegahan kejahatan komputer dan monitoring kepatuhan terhadap hukum 4.9 Penanganan tindakan keamanan, meliputi pengaturan mekanisme pelaporan dan penanganan pelanggaran Pemetaan Sasaran TI ITGI dan Proses TI yang Terlibat Langkah yang dilakukan pada tahap ini adalah memetakan 6 sasaran TI BPKP terhadap 28 sasaran TI ITGI. Kecenderungan tertinggi responden menunjukkan bahwa sasaran TI ITGI paling erat kaitannya dengan sasaran TI BPKP adalah sasaran TI Optimalisasi Penggunaan Informasi. Dari tabel generik dokumen COBIT, ITGI menguraikan bahwa sasaran Optimalisasi Penggunaan Informasi ini dicapai dengan 2 (dua) proses TI yaitu Pendefinisian Arsitektur Informasi (PO2) dan Pengelolaan data (DS).

7 Hasil Identifikasi Risiko Proses PO2 Daftar risiko proses PO2 yang mungkin akan mempengaruhi sasaran Optimalisasi Penggunaan Informasi. Risiko-risiko tersebut adalah: R.PO2.. Risiko Definisi Informasi R.PO2.2. Risiko ketersediaan data R.PO2.2.R.PO2.3. Risiko inkonsistensi pengembangan aplikasi R.PO2.3.R.PO2.4. Risiko inkonsistensi data R.PO2.5. Risiko duplikasi data R.PO2.6. Risiko evaluasi arsitektur informasi R.PO2.7. Risiko ketersediaan kamus data R.PO2.8. Risiko ketersediaan pedoman sintax data R.PO2.9. Risiko elemen data tidak kompatibel R.PO2.4.R.PO2.0. Risiko inefisiensi rencana investasi TI R.PO2.. Risiko ketersediaan skema klasifikasi data R.PO2.2. Risiko keamanan data R.PO2.3. Risiko integritas data yang disimpan R.PO2.4. Risiko ketersediaan prosedur pengelolaan integritas R.PO2.5.R.PO2.5. Risiko akumulasi data tidak bermanfaat R.PO2.6. Risiko maintenance kelayakan arsitektur informasi 4.9. Risiko ini berkaitan dengan arsitektur informasi yang sulit untuk diimplementasikan. Kesulitan ini mungkin disebabkan antara lain belum adanya kesepakatan dengan pihak eksternal BPKP selaku pemilik data input, kesepakatan dengan stakeholders sebagai pengguna informasi, belum ada evaluasi progress capaian arsitektur informasi, dll. R.PO2.7. Risiko kamus data tidak tersedia Kamus data ini merupakan media komunikasi bagi analis sistem dan programmer terkait data apa yang diperlukan dalam suatu sistem untuk menghasilkan informasi. Kamus data mencakup pula data tentang definisi, kepemilikan data serta data tentang elemen data. Sampai saat ini BPKP belum mempunyai kamus data. R.PO2.8. Risiko pedoman sintax data tidak tersedia Secara sederhana, pedoman sintax adalah pedoman yang berisi prinsip dan aturan untuk mengkonstruksikan berbagai macam data sehingga mempunyai makna/maksud tertentu. Sampai saat ini BPKP belum mempunyai pedoman sintax data. R.PO2.9. Risiko duplikasi data Risiko ini berkaitan dengan terciptanya data yang sama oleh pihak yang berbeda. Seharusnya data hanya di-create satu kali oleh data owner namun bisa disharing pemanfaatannya. Duplikasi data juga terjadi pada informasi umum penugasan antara aplikasi penyusunan rencana pengawasan dengan aplikasi pengelolaan data hasil pengawasan. R.PO2.0. Risiko penciptaan elemen data tidak kompatibel Keberadaan skema dan klasifikasi data diharapkan menjadi panduan pengembangan aplikasi sehingga seluruh data yang dibutuhkan benar-benar Formatted: Add space between paragraphs of the same style, Line spacing: single, Tab stops:.75 cm, Left Formatted: Add space between paragraphs of the same style, Line spacing: single, Tab stops:.75 cm, Left Formatted: Add space between paragraphs of the same style, Line spacing: single, Tab stops: 2 cm, Left Formatted: Add space between paragraphs of the same style, Line spacing: single, Tab stops: 2 cm, Left Formatted: Indent: Left: 0 cm, Hanging: 0.63 cm, Add space between paragraphs of the same style, Line spacing: single, Outline numbered + Level: 2 + Numbering Style:, 2, 3, + Start at: + Alignment: Left + Aligned at: 0 cm + Indent at: 0.63 cm, Tab stops:.75 cm, Left Formatted: Font: Bold, Not Italic Formatted: Font: Bold, Not Italic Formatted: Indent: Left: 0 cm, Hanging: 0.63 cm, Add space between paragraphs of the same style, Line spacing: single, Outline numbered + Level: 2 + Numbering Style:, 2, 3, + Start at: + Alignment: Left + Aligned at: 0 cm + Indent at: 0.63 cm, Tab stops:.75 cm, Left Formatted: Indent: Left: 0 cm, Hanging: 0.63 cm, Add space between paragraphs of the same style, Line spacing: single, Outline numbered + Level: 2 + Numbering Style:, 2, 3, + Start at: + Alignment: Left + Aligned at: 0 cm + Indent at: 0.63 cm, Tab stops:.75 cm, Left Formatted: Indent: Left: 0 cm, Hanging: 0.63 cm, Add space between paragraphs of the same style, Line spacing: single, Outline numbered + Level: 2 + Numbering Style:, 2, 3, + Start at: + Alignment: Left + Aligned at: 0 cm + Indent at: 0.63 cm, Tab stops:.75 cm, Left Formatted: Indent: Left: 0 cm, Hanging: 0.63 cm, Add space between paragraphs of the same style, Line spacing: single, Outline numbered + Level: 2 + Numbering Style:, 2, 3, + Start at: + Alignment: Left + Aligned at: 0 cm + Indent at: 0.63 cm, Tab stops: 2 cm, Left

8 digunakan untuk menghasilkan informasi. Selanjutnya, kamus data harus bisa mencegah penciptaan elemen data yang tidak kompatibel, yaitu elemen dari suatu data yang tidak mengikuti pengaturan dalam kamus data. Contoh: Tipe data untuk ID number seharusnya number ternyata dibuat teks. R.PO2.. Risiko kelayakan (kualitas) kamus data Risiko ini muncul karena kamus data yang tersedia tidak disesuaikan dengan perubahan rancangan atau implementasi arsitektur informasi, sehingga kamus data tidak bisa dijadikan acuan dalam pengembangan sistem R.PO2.2. Risiko skema klasifikasi data tidak tersedia Skema klasifikasi data adalah rencana penggolongan data berdasarkan tingkat kekritisan dan sensitivitas, mencakup kepemilikan data, rencana pengamanan selama siklus hidup data, dan prosedur pemusnahan. BPKP sampai saat ini belum menetapkan klasifikasi data berikut rencana pengamanannya. R.PO2.3. Risiko ketersediaan data Risiko ini berkaitan dengan ketiadaan akuntabilitas data dari para pemilik data, baik sumber data eksternal maupun internal. Selama ini BPKP belum dengan mudah memperoleh data, terutama data yang bersumber dari pihak eskternal. R.PO2.4. Risiko keamanan data Risiko yang berkaitan dengan insiden kegagalan pengamanan data selama siklus hidup data dari pembuatan sampai pemusnahan (mis: pengendalian akses, pengendalian arsip dan enkripsi) dari pihak-pihak yang tidak berkepentingan. Risiko ini berkaitan pula dengan pelanggaran keamanan data input dari pencurian, penghilangan, penyebaran, atau modifikasi. Di antara data-data yang dikelola BPKP, yang selama ini dianggap kritis bagi pihak eksternal adalah data hasil pengawasan. Terbatas pada data elektronik pengawasan, BPKP masih melakukan pengolahan secara stand alone di masing-masing perwakilan sesuai SOP yang ditetapkan Pusinfowas. Secara berkala unit perwakilan melakukan pengiriman data untuk digabung oleh Pusinfowas sebagai laporan nasional. R.PO2.5. Risiko ketersediaan prosedur pengelolaan integritas Prosedur pengelolaan integritas harus disusun berdasarkan kriteria integritas suatu data yang telah ditetapkan terlebih dulu. Prosedur ini wajib mengacu kepada arsitektur informasi, kamus data dan skema yang telah ditetapkan sebelumnya. Prosedur pengelolaan integritas mencakup prosedur pengelolaan data selama siklus data (input, process, output, migrasi, ekstraksi, dan archiving). Terbatas pada data perencanaan dan hasil pengawasan yang telah dikelola, BPKP telah membuat SOP pengelolaan data. R.PO2.6. Risiko data yang disimpan tidak akurat dan tidak lengkap Risiko ini merupakan kejadian bahwa data-data yang telah disimpan dalam bentuk elektronik tidak akurat dan tidak lengkap, untuk diproses sebagai informasi. Selama ini hasil pengolahan data realisasi pengawasan dan data hasil pengawasan yang sudah tersimpan secara elektronik belum mampu memenuhi kebutuhan informasi stakeholders. Identifikasi Risiko Proses DS Formatted: Indent: Left: 0 cm, Hanging: 0.63 cm, Add space between paragraphs of the same style, Line spacing: single, Outline numbered + Level: 2 + Numbering Style:, 2, 3, + Start at: + Alignment: Left + Aligned at: 0 cm + Indent at: 0.63 cm, Tab stops: 2 cm, Left Formatted: Indent: Left: 0 cm, Hanging: 0.63 cm, Add space between paragraphs of the same style, Line spacing: single, Outline numbered + Level: 2 + Numbering Style:, 2, 3, + Start at: + Alignment: Left + Aligned at: 0 cm + Indent at: 0.63 cm, Tab stops: 2 cm, Left Formatted: Indent: Left: 0 cm, Hanging: 0.63 cm, Add space between paragraphs of the same style, Line spacing: single, Outline numbered + Level: 2 + Numbering Style:, 2, 3, + Start at: + Alignment: Left + Aligned at: 0 cm + Indent at: 0.63 cm, Tab stops: 2 cm, Left Formatted: Indent: Left: 0 cm, Hanging: 0.63 cm, Add space between paragraphs of the same style, Line spacing: single, Outline numbered + Level: 2 + Numbering Style:, 2, 3, + Start at: + Alignment: Left + Aligned at: 0 cm + Indent at: 0.63 cm, Tab stops: 2 cm, Left Formatted: Indent: Left: 0 cm, Hanging: 0.63 cm, Add space between paragraphs of the same style, Line spacing: single, Outline numbered + Level: 2 + Numbering Style:, 2, 3, + Start at: + Alignment: Left + Aligned at: 0 cm + Indent at: 0.63 cm, Tab stops: 2 cm, Left

9 Daftar risiko pada proses DS yang mungkin akan mempengaruhi sasaran Optimalisasi Penggunaan Informasi. Risiko-risiko tersebut adalah: R.DS.. Risiko kualitas data input (lengkap, akurat, tepat waktu, sah) R.DS.2. Risiko keamanan data R.DS.3. Risiko kualitas output Risiko ini berkaitan dengan kegagalan proses menghasilkan suatu output yang sesuai dengan harapan pengguna, meskipun data input telah sesuai harapan. R.DS.4. Risiko distribusi output Risiko ini berkaitan dengan kesalahan distribusi output kepada pihak yang tidak berkepentingan. Hal ini bisa disebabkan belum adanya pendefinisian alur data dan informasi dalam urutan proses bisnis. Selain itu risiko ini bisa ditimbulkan karena belum adanya kebijakan protokol informasi yang mengatur hak akses dan klasifikasi informasi berdasarkan user R.DS.5.R.DS.3. Risiko kegagalan penarikan data R.DS.6.R.DS.4. Risiko kerusakan media penyimpan data R.DS.7.R.DS.5. Risiko penarikan data status musnah R.DS.8.R.DS.6. Risiko penarikan software status musnah R.DS.9.R.DS.7. Risiko ketersediaan prosedur backup dan restorasi R.DS.0.R.DS.8. Risiko data kritis tidak di-backup R.DS..R.DS.9. Risiko kegagalan proses backup R.DS.2.R.DS.0. Risiko kegagalan recovery data backup data R.DS.3.R.DS.. Risiko kegagalan proses restorasi datation R.DS.4.R.DS.2. Risiko kemudahan akses data atas backup data 4.0 Hubungan antar Risiko Proses PO2 4. Setelah diperoleh daftar risiko yang valid, langkah selanjutnya adalah melakukan analisis hubungan antar risiko yang digambarkan dalam bentuk pohon risiko. Tujuan analisis hubungan risiko untuk memisahkan risiko-risiko dari daftar risiko yang telah divalidasi menjadi risiko-risiko yang merupakan risiko sebenarnya dan risiko-risiko yang merupakan faktor pemicu terjadinya risiko lain. Selanjutnya, analisis hubungan ini akan menghasilkan daftar risiko yang akan dianalisis tingkat kemungkinan dan dampaknya. 4.2 Pohon risiko atas proses PO2 yang disepakati oleh para respondenobyek pengawasan dijelaskan pada gambar... berikut: Gambar... menjelaskan bahwa risiko..., risiko... sebenarnya merupakan pemicu terjadinya risiko lainnya. Risiko-risiko yang berperan sebagai pemicu merupakan unsur pengendalian yang perlu disempurnakan. Risiko-risiko yang dipengaruhi risiko pemicu merupakan risiko yang akan dianalisis tingkat kemungkinan dan dampak. Pohon risiko atas proses DS yang disepakati oleh obyek pengawasan dijelaskan pada gambar... berikut: 4.3 Gambar... menjelaskan bahwa risiko..., risiko... sebenarnya merupakan pemicu terjadinya risiko lainnya. Risiko-risiko yang berperan sebagai pemicu merupakan unsur pengendalian yang perlu disempurnakan. Risiko-risiko yang Formatted: Add space between paragraphs of the same style, Line spacing: single, Tab stops: 2 cm, Left Formatted: Font: Bold, English (United States) Formatted: Indent: Left: 0 cm, Hanging: 0.63 cm, Space After: 0 pt, Add space between paragraphs of the same style, Line spacing: single, Outline numbered + Level: + Numbering Style:, 2, 3, + Start at: + Alignment: Left + Aligned at: 0 cm + Indent at: 0.63 cm Formatted: Font: Bold, English (United States) Formatted: Indent: Left: 0 cm, Hanging: 0.63 cm, Space After: 0 pt, Add space between paragraphs of the same style, Line spacing: single, Outline numbered + Level: + Numbering Style:, 2, 3, + Start at: + Alignment: Left + Aligned at: 0 cm + Indent at: 0.63 cm

10 dipengaruhi risiko pemicu merupakan risiko yang akan dianalisis tingkat kemungkinan dan dampak. Analisis Pengendalian Proses PO2 Analisis dokumen arsitektur informasi dan analisis fakta pengendalian dengan menggunakan kriteria control objectives dari ITGI menghasilkan kegambar peta ketersediaan data, portofolio aplikasi dan portofolio infrastruktur TI simpulan terdapat beberapa kelemahan pengendalian: KP.PO2.. Arsitektur informasi belum didefinisikan pada level operasional KP.PO2.2. Evaluasi terhadap arsitektur informasi belum dilakukan KP.PO2.3. Kamus data dan pedoman sintak belum disusun KP.PO2.4. Skema klasifikasi data belum dibuat KP.PO2.5. Kriteria integritas dan konsistensi data belum didefinisikan pada sebagian besar data yang direncanakan dikelola. KP.PO2.6. Prosedur untuk menjamin integritas dan konsistensi data selama siklus data belum ditetapkan pada sebagian besar jenis data yang direncanakan. Formatted: Font: Bold Formatted: Normal, Space Before: 6 pt, No bullets or numbering, Tab stops: Not at.25 cm Formatted: Font: Calibri, pt, English (United States) Formatted: Indent: Left: 0 cm, Hanging: 2 cm, Add space between paragraphs of the same style, Line spacing: single, Outline numbered + Level: + Numbering Style:, 2, 3, + Start at: + Alignment: Left + Aligned at: 0 cm + Indent at: 0.63 cm, Tab stops: 2 cm, Left Formatted: Space After: 0 pt, Add space between paragraphs of the same style, Line spacing: single, No bullets or numbering

11 ... Analisis Pengelolaan DataPengendalian Proses DSdi Pusinfowas Analisis dokumen arsitektur informasi dan analisis fakta pengendalian menghasilkan simpulan tentang kelemahan pengendalian, yaitu: KP.DS.. Substansi data yang direkam belum mencakup semua jenis laporan hasil pengawasan. KP.DS.2. Penerapan prosedur perekaman dan reviu berjenjang hasil rekam data audit belum berjalan optimal dan dijalankan dengan konsisten KP.DS.3. Prosedur Penyimpanan dan Penguasaan data belum mencakup semua database yang dihasilkan dari pengawasan BPKP. KP.DS.4. Prosedur pengelolaan infrastruktur media penyimpanan belum disusun. KP.DS.5. Prosedur pemusnahan data dan hardware yang menjamin keamanan data belum disusun KP.DS.6. Prosedur backup dan restorasi telah ditetapkan dan diterapkan pada data hasil pengawasan, meskipun masih dirasakan belum optimal. KP.DS.7. Skema dan prosedur keamanan pengelolaan setiap jenis data berdasarkan tingkat sensitifitas, yang mencakup pula struktur dan direktori, wewenang akses direktori, wewenang perubahan terhadap logika data, dan distribusi laporan pengelolaan belum didefinisikan...2 Hubungan Kelemahan Pengendalian dengan Risiko pada Proses PO2 3.2 Dari simpulan pengendalian diketahui beberapa risiko yang diidentifikasi merupakansama dengan kelemahan pengendalian, diurai pada tabel 2: Tabel 2 Kesamaan Risiko dengan Kelemahan Pengendalian Proses PO2 Nomor Risiko Nomor Simpulan Pengendalian R.PO2.6 KP.PO2.2 R.PO2.7 KP.PO2.3 R.PO2.8 KP.PO2.3 R.PO2. KP.PO2.4 R.PO2.4 KP.PO2.6 Risiko yang sama dengan kelemahan pengendalian tidak dinilai tingkat kemungkinan dan dampaknya. 2.. Hubungan Kelemahan Pengendalian dengan Risiko pada Proses DS dan PO Dari simpulan pengendalian diketahui beberapa nama risiko yang diidentifikasi sama dengan kelemahan pengendalian dan risiko pada proses PO2, dirinci pada tabel 3: Tabel 3 Kesamaan Risiko dengan Kelemahan Pengendalian Proses DS Nomor Risiko Nomor Simpulan Pengendalian atau R.PO2 R.DS.7 KP.DS.6 R.DS.2 R.PO Pengaruh Kelemahan Pengendalian terhadap Pemicu dan Dampak Risiko Formatted: Default Paragraph Font, Font: (Default) Times New Roman, 2 pt, Bold, Font color: Auto, Check spelling and grammar Formatted: Font: Times New Roman, 2 pt, English (United States) Formatted: List Paragraph, Justified, Space Before: 6 pt, No bullets or numbering, Tab stops: Not at.25 cm Formatted: Indent: Left: 0 cm, Hanging: 2.25 cm, Add space between paragraphs of the same style, Line spacing: single, Outline numbered + Level: + Numbering Style:, 2, 3, + Start at: + Alignment: Left + Aligned at: 0 cm + Indent at: 0.63 cm, Tab stops: 2.25 cm, Left Formatted: Font: Times New Roman, 2 pt Formatted: Font: Times New Roman, 2 pt Formatted: Font: Times New Roman, 2 pt Formatted: Normal, Space Before: 6 pt, No bullets or numbering, Tab stops: Not at.25 cm Formatted: Indent: First line:.27 cm, Space After: 0 pt, Add space between paragraphs of the same style, Line spacing: single, No bullets or numbering Formatted: Add space between paragraphs of the same style, Line spacing: single Formatted Table Formatted: Justified, Add space between paragraphs of the same style Formatted: Add space between paragraphs of the same style, Line spacing: single Formatted: Add space between paragraphs of the same style, Line spacing: single Formatted: Add space between paragraphs of the same style, Line spacing: single Formatted: Add space between paragraphs of the same style, Line spacing: single Formatted Table Formatted: Normal, Space Before: 6 pt, No bullets or numbering, Tab stops: Not at.25 cm Formatted: Indent: First line:.27 cm, Space After: 0 pt, Add space between paragraphs of the same style, Line spacing: single, No bullets or numbering Formatted Table Formatted: Font: pt, Indonesian Formatted: Font: pt, English (United States) Formatted: Left, Add space between paragraphs of the same style Formatted Table

12 4.5 Pusinfowas BPKP 4.6 N 4.7 Nama 4.8 Pemicu risikokelemahan Pengendalian o Risiko 4.9 (manusia/proses/teknologi) Risiko 4.22 A Dst Risiko 4.27 B Dst dst Risiko yang sama dengan kelemahan pengendalian ataupun sama dengan risiko pada proses PO2 tidak dinilai tingkat kemungkinan dan dampaknya. Analisis dan Tabel 3.3 Formulir Penilaian Pengendalian Evaluasi Risiko Proses PO2 Pada penelitian ini, metode yang digunakan untuk menilai tingkat kemungkinan dan dampak risiko adalah kualitatif, karena proses PO2 bersifat strategis, dan Pusinfowas tidak mempunyai catatan pelaksanaan proses DS. Penilaian tingkat kemungkinan oleh setiap responden berdasarkan fakta kelemahan pengendalian, dan penilaian tingkat dampak berdasarkan persepsi responden tentang seberapa besar risiko berpengaruh terhadap tidak tercapainya sasaran. Tabel 3.2 Formulir Pemicu dan Dampak RisiOpini kelompok untuk setiap perbandingan kemungkinan terjadinya risiko pada proses PO2 dan dampak risiko yang terjadi dijelaskan pada lampiran. Pada tabel 5, tingkat kemungkinan dan dampak setiap risiko kemudian dihitung dengan cara menentukan bobot masing-masing elemen. Tingkat risiko merupakan perkalian tingkat kemungkinan dan tingkat dampak, dan selanjutnya prioritas risiko diurutkan dari tingkat risiko tertinggi. Tabel 5 Analisis dan Evaluasi Risiko pada Proses PO2 R.PO.xx Tingkat kemungkinan Tingkat Dampak Tingkat Risiko Prioritas Risiko 0,273 0,20 0, ,258 0,209 0, , 0,34 0, ,059 0,088 0, ,069 0,090 0, ,067 0,053 0, ,046 0,084 0, ,03 0,037 0, ,047 0,049 0, ,039 0,055 0,002 9 Dari tabel 9 terlihat Risiko Definisi Informasi dan Risiko Ketersediaan Data merupakan risiko yang perlu segera mendapat perhatian dari Pusinfowas, sebelum risiko-risiko yang Formatted: Indonesian Formatted: Left, Indent: Left: cm, Hanging: 0.63 cm, Space After: 0 pt, Add space between paragraphs of the same style, Line spacing: single, Outline numbered + Level: + Numbering Style:, 2, 3, + Start at: + Alignment: Left + Aligned at: 0 cm + Indent at: 0.63 cm Formatted: Font: Bold

13 Formatted... [] Formatted... [2] Formatted... [3] Formatted... [5] Formatted... [7] berkaitan dengan operasionalisasi arsitektur informasi seperti risiko inkonsistensi pengembangan aplikasi, risiko duplikasi data dan risiko elemen data tidak kompatibel terjadi. Pusinfowas perlu untuk () mengkomunikasikan definisi informasi kepada stakeholders BPKP dan selanjutnya mendefinisikannya pada level operasional BPKP sebagai dasar perubahan proses bisnis, serta (2) m enetapkan skema klasifikasi data dan mendefinisikan mekanisme akuntabilitas data, terutama data dari pihak eksternal. Evaluasi Risiko Proses DS Opini kelompok untuk setiap perbandingan kemungkinan terjadinya risiko pada proses DS dan dampak risiko yang terjadi dijelaskan pada lampiran 2. Dengan cara perhitungan yang sama, tingkat kemungkinan, tingkat dampak, tingkat risiko dan prioritas risiko proses DS disajikan pada tabel 6. Tabel 6 Analisis dan Evaluasi Risiko pada Proses DS R.DS.xx Tingkat kemungkinan Tingkat Dampak Tingkat Risiko Prioritas Risiko 0,248 0,95 0, ,096 0,096 0, ,082 0,099 0, ,033 0,042 0,004 9 R.DS.xx Tingkat kemungkinan Tingkat Dampak Tingkat Risiko Prioritas Risiko 6 0,027 0,032 0, ,83 0,53 0, , 0,4 0, ,095 0,090 0, ,052 0,07 0, ,073 0,08 0, Dari tabel 0 terlihat Risiko Kualitas Data Input dan Risiko Data Kritis merupakan risikorisiko yang paling mempengaruhi proses DS, sehingga Pusinfowas perlu mendefinisikan substansi data internal yang akan direkam untuk semua jenis hasil pengawasan, dan mengidentifikasi data berdasarkan tingkat kekritisannya untuk selanjutnya menetapkan langkah pengelolaan keamanan. Tahap evaluasi risiko merupakan tahap untuk menentukan tingkat kemungkinan (likelihood) dan dampak (impact) sehingga kombinasi keduanya menghasilkan tingkat risiko setiap risiko. Pengukuran tingkat kemungkinan maupun dampak risiko memanfaatkan risiko-risiko yang telah diidentifikasi sebagai elemen keputusan. Formulir pada tabel 3.4 akan digunakan untuk memperbandingkan tingkat kemungkinan maupun dampak antar risiko : PUSINFOWAS BPKP Pembandingan Kemungkinan / Dampak Risiko Risiko Risiko Risiko Risiko 2 Risiko Risiko 3 Risiko Risiko 2 Risiko Risiko 3 Formatted... [9] Formatted... [] Formatted... [3] Formatted... [5] Formatted... [7] Formatted... [9] Formatted... [20] Formatted... [4] Formatted... [6] Formatted... [8] Formatted... [0] Formatted... [2] Formatted... [4] Formatted... [6] Formatted... [8] Formatted... [2] Formatted... [22] Formatted... [24] Formatted... [26] Formatted... [28] Formatted... [30] Formatted... [32] Formatted... [34] Formatted... [36] Formatted... [38] Formatted... [39] Formatted... [23] Formatted... [25] Formatted... [27] Formatted... [29] Formatted... [3] Formatted... [33] Formatted... [35] Formatted... [37] Formatted... [40] Formatted... [4] Formatted... [43] Formatted... [45] Formatted... [47] Formatted... [49] Formatted... [5] Formatted... [53] Formatted... [55] Formatted... [57] Formatted... [58] Formatted... [42] Formatted... [44] Formatted... [46] Formatted... [48] Formatted... [50] Formatted... [52] Formatted... [54] Formatted... [56] Formatted... [59] Formatted... [60]

14 .dst dst Tabel 3.4 Formulir pembandingan kemungkinan / dampak setiap risikojadwal Penelitian Tesis ini direncanakan selesai dalam waktu 3 bulan dengan jadwal kegiatan sebagai berikut: No. Kegiatan Pengumpulan data umum 2 Identifikasi sasaran TI COBIT 3 Identifikasi proses TI terkait 4 Identifikasi Risiko 5 Analisis Pemicu dan Dampak 6 Analisis Pengendalian 7 Evaluasi Risiko KE Bulan Ke Bulan Ke 2 Bulan Ke Formatted: Formatted:, Left Formatted:, Left Formatted:, Left Formatted:, Left Formatted:, Left Formatted:, Left Formatted:, Left Formatted:, Left Formatted:, Left Formatted: Formatted: Formatted: Formatted: Formatted: Formatted: Formatted: Formatted: Formatted:

15 SIMPULAN Formatted: Left Dari hasil pemetaan menunjukkan bahwa sasaran TI menurut ITGI yang menunjukkan keterkaitan paling erat dengan sasaran strategis TI BPKP adalah Optimalisasi Penggunaan Informasi. Sasaran ini dicapai dengan 2 (dua) proses utama TI yaitu proses PO2 dan proses DS. Pada proses PO2 teridentifkasi risiko sebanyak 5 risiko, dan pada proses DS teridentifikasi risiko sebanyak 2 risiko. Setelah melalui proses analisis dan evaluasi, risiko-risiko yang paling mempengaruhi keberhasilan proses PO2 adalah risiko definisi informasi dan risiko ketersediaan data. Pada proses DS, risiko-risiko yang paling mempengaruhi keberhasilan proses yaitu risiko kualitas data input dan risiko data kritis. SARAN ) Sebagai jaminan tercapainya sasaran TI, Pusinfowas perlu menguraikan rencana kegiatan dan alokasi sumber daya melalui mekanisme penganggaran yang ada dalam rangka pelaksanaan rencana penanganan risiko yang efektif. 2) Melakukan identifikasi risiko untuk sasaran TI lain yang diprioritaskan terutama fleksibilitas dan kecepatan fasilitas TI terhadap perubahan BPKP, jaminan keselarasan dengan strategi BPKP, serta jaminan transaksi bisnis dan pertukaran informasi yang terotomatisasi dan terpercaya. DAFTAR PUSTAKA Formatted: Space Before: 0 pt, After: 0 pt, Add space between paragraphs of the same style, Line spacing: single Formatted:, Left, Outline numbered + Level: 2 + Numbering Style:, 2, 3, + Start at: + Alignment: Left + Aligned at: 0 cm + Indent at: 0.63 cm Formatted: Justified, Indent: Left: 0.06 cm Badan Pengawasan Keuangan dan Pembangunan (2008), Arsitektur Pengembangan Sistem Informasi BPKP. Ciptomulyono (2003), Model Multi Criteria Decision Making (MCDM) dan Teknometrik untuk Pengukuran dan Manajemen Teknologi di Sektor Industri Hadi, Untung Julianto (20), Perancangan Model Tata Kelola Pengorganisasian Kecepatan dan Fleksibilitas Layanan Teknologi Informasi pada Rumah Sakit Jiwa Menur Surabaya Information Systems Audit and Control Association (2003), IS Auditing Guideline:System Development Life Cycle Review, document G23 Loudon, K.C dan Loudon, J.P, (2002), Management Information Systems: Managing The Digital Firm, Edisi 7. National Institute of standar and Technology (2002), Risk Management Guide for Informations Technology System, Special Publication Nugroho, Caesar (2008), Operational Risk Management on The Information Technology Uses (case study: Bank Ekspor Indonesia) Peraturan Pemerintah Nomor 60 tahun 2009 tentang Sistem Pengendalian Intern Pemerintah Formatted: Font: Not Bold Formatted: Justified, Indent: Left: 0 cm, Hanging:.27 cm, Space After: 0 pt, Line spacing: single

16 Risk Management Instititute (2002), A Risk Management Standard. The Committee of Sponsoring Organization of The Treadway Commission (2004), The Enterprise Risk Management-Integrated Framework. The IT Governance Institute (2004), Control Objectives for Information and related Technology (COBIT), versi 4. The International Standar Organization (2009), Risk Management Guidelines, ISO/FDIS 3000 Principles and

17 Lampiran SASARAN TEKNOLOGI INFORMASI MENURUT COBIT 4.

18

19 Lampiran 2 PROSES-PROSES TEKNOLOGI INFORMASI MENURUT COBIT 4.

20

21 Prosiding Seminar Nasional Manajemen Teknologi XVI Program Studi MMT-ITS, Surabaya 4 Juli 202 ISBN : C-2-2

22 Prosiding Seminar Nasional Manajemen Teknologi XVI Program Studi MMT-ITS, Surabaya 4 Juli 202 OPINI KELOMPOK PROSES PO2 TINGKAT KEMUNGKINAN DAN DAMPAK Lampiran. Proses PO2 Tingkat Kemungkinan R.PO.xx ,26 4,07 5,29 4,57 4,7 5,7 6,57 4,86 4,57 2 4,07 4,86 4,86 4,57 5,57 6,43 4,7 4,43 3 2,55 2,36 2,39 2,62 3,55 2,48 2,48 4,3,20,5 2,2,8,56 5,70,95 2,89 2,09,9 9 2,44 3,,79 2,4 0 2,05,84,23 2 0,99, 3 2,82 5 Inconsistency ratio yang dihitung sebesar 0,04 2. Tingkat Dampak R.PO.xx ,0,98 2,7 2,69 4,7 2,43 4,36 3,2 2,85 2 2,7 2,93 2,8 4,79 2,57 4,50 3,36 2,89 3,93,79 4,,62 3,43 2,55 2,4 4,2 3,3 0,90 2,57,82,23 5 3,46,05 2,7,96,44 9,7 2,27,40,27 0 3,00 2,39,54 2,2 0,73 3,57 5 Inconsistency ratio yang dihitung melalui EC 2000 sebesar 0,03 ISBN : C-2-3

23 Prosiding Seminar Nasional Manajemen Teknologi XVI Program Studi MMT-ITS, Surabaya 4 Juli 202 OPINI KELOMPOK PROSES DS TINGKAT KEMUNGKINAN DAN DAMPAK Lampiran 2. Tingkat Kemungkinan R.DS.xx ,43 3,95 5,4 5,67,83 2,76 3,9 4,05 2,64 3,62 2,93 3,00 0,56,8,20,8,06 4 2,69 2,57 0,72,00,0,76 0,76 5,52 0,8 0,26 0,30 0,82 0,27 6 0,8 0,22 0,22 0,46 0,30 8 2,29 2,7 3,86 3,39 9,43 2,62 2,49 0 2,9 2,4,33 2 Inconsistency ratio yang dihitung sebesar 0,03 2. Tingkat Dampak R.DS.xx ,4 2,2 4,33 4,48,75,89,76 2,07,46 3,0 3,05 3,06 0,87 0,98 0,98,03 0,76 4 3,02 2,93 0,88 0,90 0,94,2,05 5,89 0,30 0,33 0,5 0,73 0,32 6 0,24 0,28 0,36 0,35 0,3 8,7 2,4 3,07,84 9,57,93,22 0,50 0,84 0,57 2 Inconsistency ratio yang dihitung melalui EC 2000 sebesar 0,0 ISBN : C-2-4

24 Page 3: [] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [2] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [3] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [4] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [5] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [6] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [7] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [8] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [9] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [0] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [2] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [3] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [4] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [5] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [6] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [7] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [8] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [9] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [20] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [2] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00

25 Page 3: [22] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [23] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [24] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [25] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [26] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [27] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [28] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [29] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [30] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [3] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [32] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [33] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [34] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [35] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [36] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [37] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [38] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [39] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [40] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [4] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left

26 Page 3: [42] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [43] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [44] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [45] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [46] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [47] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [48] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [49] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [50] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [5] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [52] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [53] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [54] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [55] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [56] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [57] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [58] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [59] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [60] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [6] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [62] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00

27 , Left Page 3: [63] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [64] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [65] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [66] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [67] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [68] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [69] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [70] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [7] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [72] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [73] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [74] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [75] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [76] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [77] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [78] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [79] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [80] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [8] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [82] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00

28 Page 3: [83] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [84] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [85] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [86] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [87] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [88] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [89] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [90] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [9] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [92] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [93] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [94] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00 Page 3: [95] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00, Left Page 3: [96] Formatted Mohammad Fahmi Kurniawan 08/05/202 09:25:00