PENILAIAN RISIKO SISTEM INFORMASI PENJUALAN KREDIT PADA PT MUSTIKA RATU,TBK MENGGUNAKAN METODE FRAAP

Transkripsi

1 PENILAIAN RISIKO SISTEM INFORMASI PENJUALAN KREDIT PADA PT MUSKA RATU,TBK MENGGUNAKAN METODE FRAAP Siti Nurfadhila 1 ; Anisa Nurvianti 2 ; Tia Merlani 3 ; Siti Elda Hiererra 4 Computerized Accoounting Departement, School of Information System, Binus University Jl. KH. Syahdan No.9, Palmerah, Jakarta Barat dhila_dhilaa@yahoo.com; nurvianti@yahoo.co.id; thiamerlani@yahoo.com Abstract The purpose of this research is to conduct a risk assessment on information system of credit sales in PT Mustika Ratu,Tbk and identifying possible risks and recommended control of risks are found, so it can help companies prevent and reduce the impact of risks that may occur. The research methodology used was the literature research and field studies in the form of direct observation to PT Mustika Ratu,Tbk, interviews, questionnaires, study documentation and analysis method that uses the FRAAP approach (Facilitated Risk Analysis and Assessment Process ). The results achieved from this research is the analysis of the data presented in the form of risk analysis, the results of the determination of the level of risk, and recommendations are given as a control measure. Conclusions that can be obtained from information system of credit sales in PT Mustika Ratu,Tbkthere are 29 threats identified and as much as 22 threats already have the control applied in PT Mustika Ratu,Tbk. While as many as 7 threats with a high level of risk identified have not yet controlled. Thus, it is very important for enterprise to improve the control of risk that the company's entire business process can be run better.(s,a,t). Keywords: Risk Assessment, Information System, Credit Sales, FRAAP Abstrak Tujuan penelitian ini adalah untuk melakukan penilaian risiko pada sistem informasi penjualan kredit yang terdapat di PT Mustika Ratu,Tbk dan mengidentifikasi risiko yang mungkin terjadi serta memberikan rekomendasi pengendalian dari risiko yang ditemukan, sehingga dapat membantu perusahaan dalam mencegah dan mengurangi dampak dari risiko yang mungkin terjadi. Metodologi penelitian yang digunakan adalah studi kepustakaan dan studi lapangan yang berupa observasi langsung ke PT Mustika Ratu,Tbk, wawancara, kuisioner, studi dokumentasi serta metode analisa yang menggunakan pendekatan FRAAP (Facilitated Risk Analysis and Assessment Process). Hasil yang dicapai dari penelitian ini berupa analisa data yang disajikan dalam bentuk analisis risiko, hasil penetapan tingkat risiko, dan rekomendasi yang diberikan sebagai tindakan pengendalian. Simpulan yang dapat diperoleh adalah pada sistem informasi penjualan kredit PT Mustika Ratu,Tbk terdapat 29 ancaman yang teridentifikasi dan diantaranya sebanyak 22 ancaman telah memiliki pengendalian yang sudah diterapkan di PT Mustika Ratu,Tbk. Sedangkan sebanyak 7 ancaman dengan tingkat risiko tinggi yang teridentifikasi belum memiliki pengendalian. Dengan demikian

2 sangat penting bagi perusahaan untuk meningkatkan pengendalian terhadap risiko agar seluruh proses bisnis perusahaan dapat berjalan dengan lebih baik.(s,a,t). Kata Kunci: Penilaian Risiko, Sistem Informasi, Penjualan Kredit, FRAAP PENDAHULUAN Mengembangkan teknologi informasi () yang mendukung strategi dan didukung oleh strategi bisnis sangat penting untuk menghasilkan nilai bisnis dalam organisasi saat ini. Dalam menghadapi kondisi bisnis yang berubah dengan cepat dan yang terus berkembang, bagaimanapun, organisasi masih harus belajar bagaimana mengembangkan strategi yang efektif (Smith,2007). Perusahaan dapat tumbuh berhasil dengan mengintegrasikan sistem untuk mitra bisnis dalam upaya menciptakan keunggulan kompetitif dalam dunia bisnis. Sistem terintegrasi dapat dilakukan dengan mengadopsi teknologi e-commerce dan model Bussiness-to-Business yangakan terhubung dengan organisasi mitra bisnis. Dengan sistem yang terintegrasi, manajemen harus lebih sering dilakukan. Jika risiko dapat diidentifikasi dan ditangani, sistem yang terintegrasi dapat melancarkan proses bisnis dalam sebuah perusahaan (Carmen,2009) Dengan adanya suatu manajemen risiko, risiko-risiko yang ada dapat dihilangkan,dikurangi, ataupun ditransfer. Oleh karena itu manajemen risiko di dalam suatu perusahaan amat penting dan dapat menghindari perusahaan dari kerugian-kerugian yang mungkin timbul di masa mendatang yang ebrasal dari risiko-risiko yang tidak dijadikan titik fokus di masa sekarang (Gondodiyoto,2009) Tujuan penelitian adalah menganalisis proses bisnis yang sedang berjalan di PT Mustika Ratu,Tbk yang berkaitan dengan sistem penjualan kredit; melakukan identifikasi risiko yang mungkin terjadi pada sistem penjualan kredit juga memberikan solusi dan rekomendasi dari risiko yang telah ditemukan; memberikan penilaian dan arahan yang berorientasi pada bisnis dengan menggunakan standar FRAAP terhadap kebutuhan kontrol perusahaan. Adapun manfaat penelitian adalah sebagai persiapan atau pencegahan sebelum terjadinya risiko pada sistem yang berjalan; memberikan informasi dan rekomendasi kepada perusahaan mengenai ancaman dan risiko yang ada dalam sistem sehingga diharapkan dapat mengurangi kerugian yang ditimbulkan oleh risiko tersebut; meningkatkan pengendalian terhadap sistem informasi penjualan kredit agar nantinya siklus tersebut tidak bermasalah kembali; memudahkan aktivitas di dalam perusahaan dapat diselesaikan secara cepat, akurat, efisien, dan efektif. METODE PENELIAN Metode Pengumpulan Data Dalam penyusunan artikel ilmiah ini, pengumpulan data dilakukan dengan berbagai cara, yaitu : (1) studi kepustakaan, yaitumelakukan studi mengenai teknik pengumpulan data pada sistem informasi penjualan pada perusahaan dengan menggunakan buku-buku yang sesuai dengan teori FRAAP, literatur-literatur, dan referensi pustaka yang dapat menunjang materi dan masalah yang dibahas dalam penulisan artikel ilmiah ini; (2) studi lapangan, yaitu mengadakan survei atau penelitian secara langsung ke perusahaan mengenai sistem informasi penjualan kredit untuk memperoleh informasi dan permasalahan yang ada sehingga mendapatkan gambaran yang jelas mengenai sistem informasi penjualan kredit pada PT Mustika Ratu,Tbk. Dalam penelitian lapangan ini, kami menggunakan empat cara yaitu: (a) pengamatan, dengan cara meneliti aplikasi dari sistem informasi PT Mustika Ratu,Tbk; (b) wawancara, dengan cara melakukan tanya jawab secara langsung kepada pihak di PT Mustika Ratu, Tbk, antara lain : manajer dan staff BagianModern Trade, Manajer Bagian Ekspor, dan Manajer Bagian ; (c) kuisioner, dengan cara memberikan pertanyaan terstruktur yang berisi daftar pertanyaan sesuai dengan apa yang berhubungan dengan informasi dan sistem aplikasi yang digunakan oleh PT Mustika Ratu,Tbk; (d) studi dokumentasi, dengan cara

3 mengumpulkan dan mempelajari dokumen-dokumen yang terkait dengan objek penelitian dari perusahaan, seperti : formulir-formulir yang digunakan dan print screen dari aplikasi yang diimplementasikan oleh perusahaan, yang dapat dijadikan sebagai temuan atau bukti atas evaluasi yang dilakukan. Metode Analisa Ada berbagai metode dan pendekatan dalam melakukan penilaian risiko salah satunya adalah FRAAP (Facilitated Risk Analysis and Assessment Process). Pendekatan ini digunakan untuk menganalisa berbagai ancaman serta kerentanan pada sistem dan kegiatan operasional, yang dapat menjadi risiko didalam proses bisnis siklus penjualan kredit yang terjadi di PT Mustika Ratu,Tbk. FRAAP merupakan metodologi formal yang dikembangkan melalui pemahaman dalam proses penilaian risiko kualitatif dan dimodifikasi untuk memenuhi kebutuhan bisnis. FRAAP telah dikembangkan sebagai proses yang efisien dan disiplin untuk memastikan bahwa informasi terkait risiko keamanan untuk operasi bisnis dipertimbangkan dan didokumentasikan. Proses ini melibatkan menganalisis satu sistem, platform aplikasi, proses bisnis, atau segmen operasi bisnis pada suatu waktu. Dengan menggunakan FRAAP diharapkan proses analisis risiko dapat dilakukan dalam hitungan hari, bukan mingguan atau bulanan. Dengan demikian analisis risiko bukan merupakan kendala, tetapi proses yang sangat mungkin dilakukan dan juga diperlukan (Peltier,2005). Selama sesi FRAAP, tim mengungkapkan pendapat tentang ancaman yang potensial, vulnerability, dan hasil dari dampak negatif pada integritas data, kerahasiaan, serta ketersediaan aset informasi. Kemudian tim akan menganalisis pengaruh dampak tersebut terhadap operasi bisnis dan secara luas mengkategorikan risiko menurut prioritas levelnya. Tim biasanya tidak mencoba untuk mendapatkan atau mengembangkan angka yang spesifik untuk kemungkinan terjadinya ancaman atau perkiraan kerugian tahunan meskipun data untuk menentukan faktor-faktor tersebut tersedia. Tim bergantung pada pengetahuan umum dari ancaman dan kerentanan yang diperoleh dari pusat respon insiden nasional, asosiasi profesi dan literatur, dan pengalaman mereka sendiri. Setelah mengidentifikasi dan mengkategorikan risiko, tim mengidentifikasi pengendalian yang dapat diimplementasikan untuk mengurangi risiko, berfokus pada pengendalian yang paling efektif dari segi biaya. Tim akan menggunakan titik awal dari 34 kontrol umum yang dirancang untuk mengatasi berbagai jenis risiko. Pada akhirnya, keputusan seperti apa yang dibutuhkan terkait pengendalian terletak pada manajer bisnis yang mempertimbangkan sifat aset-aset informasi dan pentingnya mereka bagi operasi bisnis dan biaya pengendalian. Kesimpulan tim mengenai risiko-risiko apa yang ada, bagaimana prioritasnya, dan pengendalian apa yang yang dibutuhkan, didokumentasikan dan dikirim kepada pimpinan proyek dan manajer bisnis untuk menyelesaikan action plan(peltier,2005). Terdapat tiga tahapan penting dalam proses FRAAP yaitu : pre-fraap meeting, FRAAP session, dan post- FRAAP session. Pre-FRAAP Meeting Pre-FRAAP meeting ini merupakan kunci sukses dalam suatu proyek. Pada tahap ini pertemuan biasanya berlangsung sekitar satu jam dan biasanya dilakukan di kantor klien. Ada 6 komponen utama yang muncul dari sesi ini : (1) hasil penyaringan melakukan penyaringan terhadap aset informasi sesuai kebutuhan dengan melihat tingkat sensitivitas dari aset informasi tersebut; (2) ruang lingkup - pimpinan proyek dan manajer bisnis harus menentukan ruang lingkup pembahasan; (3) model visual - pembuatan diagram proses (gambaran) mengenai pernyataan ruang lingkup; (4) pembentukan tim FRAAP membentuk tim FRAAP yang terdiri atas orang anggota yang berhubungan dengan sistem yang terkait; (5) pertemuan teknis - manager bisnis bertanggung jawab dalam menyediakan ruangan meeting, menyusun jadwal, dan juga menyiapkan bahan-bahan yang dibutuhkan; (6) persetujuan definisi - persetujuan harus berdasarkan pada adanya threat, control,probability dan impact juga menyepakati definisi dari elemen review (integritas, kerahasiaan,ketersediaan). FRAAP Session Pada tahap ini pertemuan biasanya berlangsung selama empat jam. Komponen-komponen yang muncul dari tahap ini diantaranya adalah: (1) identifikasi ancaman - mengidenifikasi risiko yang mungkin terjadi pada sistem bisnis perusahaan; (2) prioritas risiko - menentukan risiko utama dari semua risiko yang mungkin terjadi berdasarkan tingkat kemungkinan (probability) kejadian tersebut

4 dan dampak (impact) dari ancaman tersebut pada perusahaan; (3) memberikan saran pengendalian - memberikan solusi pengendalian untuk meminimalisir risiko dan juga ancaman yang mungkin terjadi. Berikut merupakan Matriks Prioritas dalam menganalisa aksi dan pengendalian yang harus diimplementasikan berdasarkan tipe tinggi atau rendahnya dampak bisnis dan tingkat kemungkinan ancaman yang dapat terjadi pada sistem perusahaan. IMPACT P R O B A B I L I T Y High Medium Low High A B C Medium B B C Low C C D Gambar 1 Matriks Prioritas FRAAP Keterangan: A Tindakan perbaikan harus diimplementasikan B Tindakan perbaikan yang diusulkan C Membutuhkan pemantauan D Tidak ada tindakan yang diperlukan Setelah tingkat risiko telah ditetapkan, maka dilakukan dokumentasi pengendalian apa saja yang perlu diterapkan untuk menanggulangi ancaman-ancaman yang ditemukan. Proses selanjutnya yang dilakukan adalah menentukan pengendalian yang diusulkan (suggested control) atas risiko yang terjadi. Suggested control dilakukan untuk mengurangi tingkat kerentanan pada sistem yang digunakan pada perusahaan. Sehingga risiko yang terjadi di perusahaan dapat berkurang. Selain itu, Suggested control juga dilakukan untuk memberikan saran kepada perusahaan mengenai pengendalian yang perlu ditambahkan. Terdapat 6 poin penting yang dihasilkan dalam FRAAP Session, yaitu : (a) ancaman (threat) teridentifikasi; (b) tingkat risiko (level risk) telah ditetapkan; (c) mendokumentasikan pengendalian yang diusulkan; (d) pengendalian yang sudah ada diidentifikasi; (e) pengendalian terhadap risiko high-level ditetapkan; (f) memilih kelompok atau orang yang bertanggung jawab untuk mengimplementasikan rekomendasi pengendalian yang diusulkan sebelumnya. Post- FRAAP Session Dalam fase ini, FRAAP menghasilkan laporan yang akan menetapkan penilaian risiko apa yang dicapai dan bagaimana manajemen melakukan pemeriksaan menyeluruh yang diperlukan. Selama fase ini fasilitator dan pemilik akan bekerja untuk mengumpulkan rencana aksi penilaian risiko.informasi ini akan dikombinasikan dengan pemeriksaan kontrol biaya, dan laporan akhir yang akan muncul. Post FRAAP Session menghasilkan tiga penyampaian, yaitu : (1) membuat complete action plan - menggabungkan risiko dari risk list dengan pengendalian yang disarankan dari control list, dengan tujuan mengetahui tindakan apa yang dilaksanakan dan oleh siapa dilaksanakan, serta status dari rencana aksi tersebut agar dapat membantu perusahaan dalam melaksanakan penetapan kontrol yang diusulkan; (2) membuat ringkasan laporan manajemen - memberikan gambaran temuan penilaian risiko dan digunakan untuk melengkapi dokumentasi hasil temuan keseluruhan. Laporan ini terdiri dari 6 kunci utama, yaitu : (a) penilaian anggota tim; (b) ringkasan manajemen; (c) metodologi yang digunakan dalam penilaian; (d) kajian temuan dan rencana; (e) dokumentasi temuan; (f) kesimpulan; (3) membuat cross-references sheet - untuk mengidentifikasi pengendalian yang cocok dengan risiko yang teridentifikasi. Tujuan dari Cross Reference Sheet ini adalah untuk menentukan dan mengetahui satu pengendalian dapat memitigasi lebih dari satu risiko, sehingga hal tersebut bisa

5 menjadi bantuan bagi tim FRAAP dan fasilitator dalam menentukan sumber daya terbaik guna menangani risiko-risiko yang telah ditemukan. HASIL DAN PEMBAHASAN Pre-FRAAP Meeting Hasil Penyaringan Pada tahapan ini penulis memeriksa dua kunci elemen, yaitu: sensitivitas dari informasi yang sedang ditangani dan kekritisan misi dari sistem. Tabel 1 Hasil Penyaringan Impat Value Information Classification Level Asset 1 Top Secret Jaringan Virtual Private Network Longest Description Tolerable Outage 24 Jam Apabila jaringan VPN mengalami gangguan maka proses pertukaran data dari pusat ke cabang dan sebaliknya tidak dapat dilakukan. Hal ini akan menyebabkan tidak masuknya data dari pusat ke cabang atau sebaliknya sehingga transaksi penjualan tidak terekam maka akan terjadi kerugian pada aktivitas penjualanperusahaan. Harus diatasi sesegera mungkin (kurang dari 24 jam) agar kerugian perusahaan tidak bertambah. 2 Confidential Database Jam 2 Confidential Data Backup 3 Restricted Aplikasi Navision Jam Database berisi file-file penting yang digunakan oleh perusahaan. Apabila terjadi kebocoran informasi pada database perusahaan maka akan mengurangi keunggulan kompetitif perusahaan dibandingkan dengan kompetitor karena datadata rahasia perusahaan terungkap dan dapat dijadikan serangan bagi kompetitor. Data backup merupakan data yang diambil dari transaksi penjualan perusahaan setiap harinya. Apabila data backup mengalami kebocoran informasi dan mengalami kerusakan maka akan mengurangi keunggulan kompetitif bagi perusahaan atau merusak integritas data perusahaan. 3 5 Hari Penggunaan aplikasi Navision telah dibatasi. Tidak semua pengguna dapat membuka modulmodul yang ada pada aplikasi Navision, pembatasan modul disesuaikan dengan deskripsi tugas masing-masing karyawan 4 Internal Use Standar Operasional Prosedur 6 9 Hari SOP diterapkan untuk seluruh karyawan dalam perusahaan. Fungsi dari SOP tersebut agar dapat dipatuhi dan dijadikan pedoman bagi karyawan dalam melakukan proses bisnis perusahaan. Apabila pihak perusahaan tidak menerapkan SOP tersebut ke pihak karyawan maka akan

6 5 Public Website Perusahaan 10 hari -12 hari terjadi ketidak patuhan atau penyelewengan dalam kinerja karyawan. Website perusahaan merupakan sumber informasi yang dapat diakses oleh masyarakat untuk mengetahui mengenai perusahaan. Ruang Lingkup Dalam hal ini, kami sebagai fasilitator FRAAP menentukan ruang lingkup pembahasan pada sistem informasi penjualan PT Mustika Ratu,Tbk yaitu pada bagian, bagian Sales dan bagian Ekspor. Model Visual Berikut ini adalah gambar model visual dalam tahapan FRAAP yang kami laksanakan (Gambar 2). Gambar 2 Model Visual tahapan FRAAP Pembentukan Tim FRAAP Fasilitator berhak menentukan anggota tim yang dapat mengikuti proses FRAAP Meeting. Hal ini dilakukan agar memudahkan para anggota tim FRAAP Meeting dalam bertukar pikiran terhadap risiko yang mungkin muncul dan kontrol terhadap risiko yang telah ada di dalam PT Mustika Ratu,Tbk. Adapun anggota yang ikut berpartisipasi dalam FRAAP Meeting, antara lain : Assistant Manager IT, Staff IT, Regional Sales Manager, Sales Manager,Account Receivables Manager, Staff Entry Data Processing, dan Fasilitator. Pertemuan Teknis Dalam proses pertemuan teknis ini, karena keterbatasan waktu dari masing-masing bagian maka penulis tidak dapat melakukan pertemuan secara langsung dengan ketiga bagian yang bersangkutan sehingga penulis melakukan penjadwalan pertemuan dengan setiap bagian pada waktu yang berbeda. Pertemuan dilakukan di ruangan masing-masing bagian dan penanggung jawab dalam menentukan penjadwalan pertemuan serta menyiapkan kebutuhan yang diperlukan dalam pertemuan adalah penulis. Mengatur Persetujuan Definisi Dalam tahap Pre-FRAAP Meeting ini dibutuhkan persetujuan terhadap beberapa definisi yang ada pada metode FRAAP. Dimana terdapat lima definisi utama yang perlu dipahami oleh para anggota sebelum melakukan FRAAP, yaitu : (1) threat- kejadian yang berpotensial memiliki dampak negatif terhadap tujuan bisnis atau pernyataan misi dari perusahaan; (2) control - suatu ukuran yang diambil

7 untuk mencegah, mendeteksi, mengurangi, atau pulih dari resiko untuk melindungi proses bisnis atau misi perusahaan; (3) integrity - segala macam informasi tanpa adanya modifikasi yang tidak sah (asli); (4) confidentiality - informasi yang belum mengalami pengungkapan informasi yang tidak sah atau yang tidak diinginkan; (5) availability - aplikasi, sistem, atau sumber daya informasi bisa diakses saat diperlukan. FRAAP Session Melakukan Identifikasi Ancaman & Penetapan Tingkatan Risiko Berdasarkan hasil diskusi dengan anggota tim FRAAP, penulis mengidentifikasi terdapat sebanyak 29 ancaman pada sistem informasi penjualan PT Mustika Ratu,Tbk. Berdasarkan risiko yang ada, maka dalam menentukan tingkatan prioritas suatu risiko, perlu ditentukan matriks dari risiko tersebut, ditinjau dari tingkat kerentanan (vulnerability), serta pengaruhnya terhadap proses bisnis dari sistem informasi penjualan di PT Mustika Ratu,Tbk. Seperti dalam matriks prioritas yang telah diteliti tersebut, tim akan melihat dimana tingkat probabilitas dan tingkat dampak berpotongan, kemudian memasukkan informasi ini kedalam kertas kerja FRAAP untuk dapat mengetahui tingkat risiko seperti dalam Tabel 2. Tabel 2 Identifikasi Ancaman & Penetapan Tingkatan Risiko Nomor Ancaman Ancaman 1 ID dan password dari ex user masih dapat digunakan pada aplikasi Navision 2 Adanya prosedur yang tidak sesuai dengan tahapan proses bisnis yang dilakukan Tinjauan Elemen INT INT Tingkat Risiko : A S & E : D &S : C E : B 3 Kurangnya pengelolaan data dari masing-masing bagian INT D 4 Membuat laporan penjualan yang salah INT B 5 Kurangnya pelatihan terhadap penggunaan sistem aplikasi INT E : B Navision : C 6 Tidak memprosespermintaan secara tepat waktu INT C 7 Aplikasi Navision pada cabang menjadi offline karena gangguan VPN 8 Kesalahan dalam memberikan dokumen penting ke bagian lain INT INT B S : C : D 9 Adanya kesalahan pemesanan yang dilakukan oleh customer INT B 10 Dokumen lama masih tersimpan pada aplikasi dan file INT A 11 Menggunakan sistem yang tidak aman dalam penerimaan PO dari Customer 12 Staf admin tidak puas dengan hak akses yang didapat yang menimbulkan penundaan pekerjaan 13 Pengungkapan informasi sensitif oleh karyawan yang tidak memiliki hak CON CON CON B B C 14 Hanya satu orang yang menyimpan seluruh tape data backup CON B 15 Meletakan catatan mengenai ID dan password di sembarang CON A

8 tempat 16 Komputer tidak memiliki password login CON B 17 Penyedia aplikasi masih memiliki data mengenai kelemahan aplikasi Navision CON C 18 Adanya kebocoran informasi mengenai produk ke kompetitor CON B lain 19 Kurangnya pemeliharaan pada website perusahaan AVA B 20 Adanya kerusakan yang terjadi pada hardware AVA B 21 Adanya gangguan jaringan pada perusahaan layanan provider AVA B komunikasi yang digunakan 22 Website perusahaan belum terlindungi dari serangan hacker AVA B 23 Aplikasi Navision masih belum lengkap AVA B 24 Aplikasi masih kurang mampu dalam menghadapi tingkat AVA B transaksi yang tinggi 25 Koneksi internet yang lambat AVA B 26 Adanya virus pada komputer AVA B 27 Adanya kerusakan yang terjadi pada router AVA B 28 Kapasitas backup yang terbatas AVA C 29 Belum tersedianya fitur mengenai produk di website perusahaan AVA A Memberikan Saran Pengendalian terhadap Risiko Setelah tingkat risiko telah ditetapkan, maka dilakukan dokumentasi pengendalian apa saja yang perlu diterapkan dan dilakukan pada PT Mustika Ratu,Tbk untuk menanggulangi ancamanancaman yang ditemukan. Pengendalian ini berdasarkan kelas pengendalian yang ada dalam buku Peltier (2005:176). Proses selanjutnya yang dilakukan adalah menentukan pengendalian yang diusulkan (sugessted control) atas risiko yang terjadi. Tabel 3 Pengendalian Yang Diusulkan Nomor Ancaman Tingkat Pengendalian yang Diusulkan Ancaman Risiko 1. ID dan password dari mantan pengguna A&D 3,14,15,20,22,27,28 masih dapat digunakan pada aplikasi Navision. 2 Adanya prosedur yang tidak sesuai B&C 5,17,20, 30 dengan tahapan proses bisnis yang dilakukan. 3 Kurangnya pengelolaan data dari D - masing-masing bagian 4 Membuat laporan yang salah B 3,10,17,21,33 5 Kurangnya pelatihan terhadap B&C 11,12, 16, 17,18,21 penggunaan sistem aplikasi Navision 6 Tidak memproses permintaan secara C 3,7,8,17 tepat waktu 7 Aplikasi Navision pada cabang menjadi B 1,2,3,5,16,25,33 offline karena gangguan VPN 8 Kesalahan dalam memberikan dokumen penting ke bagian lain C&D 5,9,18,33,34 9 Adanya kesalahan pemesanan yang dilakukan oleh customer 10 Dokumen lama masih tersimpan pada aplikasi dan file B 7,8 A 9,11,32

9 11 Menggunakan sistem yang tidak aman dalam penerimaan PO dari Customer 12 Staf admin tidak puas dengan hak akses yang didapat yang menimbulkan penundaan pekerjaan 13 Pengungkapan informasi sensitif oleh karyawan yang tidak memiliki hak Hanya satu orang yang menyimpan 14 seluruh tape data backup 15 Meletakan catatan mengenai ID dan password di sembarang tempat B 1,3,4,5,15,16,17,18,25,28, 31 B 20,25 C 14,15,17,22,27,28,34 B 1,3,11,12,13, 24 A 14,15,17,21,22,24,27 16 Komputer tidak memiliki password login B 6,12,14,15,20,22,29, Penyedia aplikasi masih memiliki data C 3,7,8,14,19,24,26 mengenai kelemahan aplikasi Navision 18 Adanya kebocoran informasi mengenai produk ke kompetitor lain 19 Kurangnya pemeliharaan pada website perusahaan 20 Adanya kerusakan yang terjadi pada hardware 21 Adanya gangguan jaringan pada perusahaan layanan provider komunikasi yang digunakan 22 Website perusahaan belum terlindungi dari serangan hacker B 3,10,14,15,17,22,26,27 B 2,3,4,6,14,23,28 B 1,2,4,6,13,14,27,31,33 B 1,7,8,17,29,32 B 3,4,6,14,22,2427, Aplikasi Navision masih belum lengkap B 5,16,19 24 Aplikasi masih kurang mampu dalam menghadapi tingkat transaksi yang tinggi B 1,2,3,5,16,19,22,25,29,34 25 Koneksi internet yang lambat B 5,7,13,20,30,32 26 Adanya virus pada komputer B 2,4, 11,12,13,33 27 Adanya kerusakan yang terjadi pada B 3,6,15,31 router 28 Kapasitas backup yang terbatas C 1,2,3,9,12,11,31,32,33 29 Belum tersedianya fitur mengenai produk di website perusahaan A 5,6,7,10,17,1923,31 Post- FRAAP Session Complete Action Plan Rencana aksi (action plan), berisikan pengendalian mana yang akan dilaksanakan untuk ancaman yang memiliki tingkat risiko tinggi, penentuan tanggal pelaksanaan atau pengimplementasian pengendalian, serta pihak atau bagian,mana yang akan ikut serta dalam pengimplementasian pengendalian yang berguna untuk meminimalisir kumpulan ancaman yang dapat berisiko mengganggu proses bisnis dari sistem informasi penjualan kredit pada PT Mustika Ratu,Tbk. Tabel 4 Complete Action Plan Threat number Risk level Owner selected action Responsible group Due date

10 1 A&D Melakukan update daftar pengguna yang berhak mengakses aplikasi Navision dengan segera agar tidak terjadinya penggunaan hak akses kepada pihak yang tidak berwenang. 15 A Memberikan arahan kepada karyawan agar patuh terhadap kebijakan keamanan mengenai hak akses. 10 A Melakukan penghapusan dokumen lama dan update server backup agar data penjualan yang lama tidak tercampur dengan data penjualan yang baru dan juga memudahkan dalam pencarian data penjualan. Manajer dan Staf Bagian Manajer Sales, Manajer Ekspor, Manajer Manajer dan Staf 3 Maret 7 Maret 24 Maret 28 Maret 31 Maret 4 April 29 A Melakukan pemeliharaan dan mengembangkan fitur baru pada website perusahaanagar customer mengetahui informasi dan produk terbaru dari PT Mustika Ratu,Tbk. 2 B&C Melakukan audit dan memberikan arahan kepada karyawan mengenai prosedur penjualan yang diterapkan agar tidak adanya kesalahan dalam penginputan data penjualan yang dapat merugikan perusahaan. Manajer dan staf 7 April 11 April Manajer Sales, Manajer Ekspor, dan Manajer 14 April 18 April 4 B Melakukan review kinerja karyawan dan memberikan arahan kepada karyawan mengenai pentingnya integritas data agar mengetahui perkembangan kinerja karyawan dan intergritas data penjualan. 5 B&C Melakukan review kinerja karyawan dan memberikan pelatihan penggunaan aplikasi Navision agar tidak terjadi kesalahan dalam penginputan data penjualan. 7 B Melakukan prosedur backup dan pengecekan jaringan VPN agar data perusahaan tidak hilang saat terjadinya ancaman. 9 B Membuat perjanjian awal dengan customer mengenai integritas data agar tidak terjadi lagi kesalahan dalam melakukan transaksi yang sangat merugikan PT Mustika ratu, Tbk. 11 B Melakukan pengendalian akses dan keamanan hubungan jaringan antar sistem agar tidak terjadi modifikasi data penjualan. 12 B Memberikan arahan kepada karyawan agar patuh terhadap kebijakan yang sudah ditetapkan. Manajer Sales, Manajer Ekspor, dan Manajer Manajer dan Staf Manajer dan Staf Manajer dan Staf pada bagian Sales, Ekspor Manajer dan Staf Manajer Sales, Manajer Ekspor, Manajer 21 April 25 April 28 April 2 Meil 5 Mei 9 Mei 12 Mei - 16 Mei 19 Mei - 23 Mei 26 Mei - 30 Mei

11 14 B Melakukan rotasi tugas dan membuat tempat penyimpanan backup yang lebih aman agar tidak terjadi kecurangan datadata perusahaan jika hanya seorang yang memegang tape backup. 16 B Memberikan arahan kepada karyawan mengenai pentingnya keamanan data pada komputer agar tidak terjadi kehilangan data perusahaan yang dapat disalahgunakan oleh pihak yang tidak berwenang. 18 B Melakukan pengendalian akses dan keamanan hubungan jaringan transferdata agar tidak terjadi kebocoran produk PT Mustika Ratu,Tbk. 19 B Melakukan pengendalian dan maintenance website secara berkala agar perusahaan terhindar dari ancaman hacker yang bisa merugikan pihak PT Mustika Ratu,Tbk 20 B Melakukan pengecekan terhadap hardware dan maintenance hardware secara berkala agar pada saat digunakan tidak terjadi kendala yang dapat menghambat proses transkasi penjualan. 21 B Melakukan pengecekan terhadap jaringan internet yang digunakan agar dapat meminimalisir gangguan jaringan di saat transaksi penjualan sedang berjalan. 22 B Melakukan installasi Firewall dan updateantivirus agar website perusahaan terlindungi dari berbagai ancaman. 23 B Melakukan evaluasi pada aplikasi dan mengembangkan aplikasi Navision agar mengetahui perkembangan aplikasi Navision. 24 B Melakukan upgrade aplikasi Navision agar semua transaksi penjualan dapat digunakan dengan efektif dan efisien 27 B Melakukan evaluasi, mengatur arus lalu lintas internet dan menambah kecepatan koneksi internet agar mengetahui. 26 B Melakukan update anti virus agar terhidar dari kehilangan data perusahaan. 27 B Melakukan maintanance terhadap software dan hardware agar jaringan perusahaan tidak down yang dapat menghambat kinerja perusahaan. Manajer dan Staf Manajer dan staf Manajer dan staf Manajer dan staf Manajer dan staf Manajer dan staf Manajer dan staf Manajer dan staf Manajer dan staf Manajer dan staf Manajer dan staf Manajer dan staf 2 Juni - 6 Juni 9 Juni - 13 Juni 16 Juni - 20 Juni 23 Juni 27 Juni 30 Juni - 4 Juli 7 Juli - 11 Juli 14 Juli - 18 Juli 21 Juli - 25 Juli 28 Juli - 1 Agustus 4 Agustus - 8 Agustus 11 Agustus - 15Agustus 18 Agustus - 22 Agustus

12 Cross-Reference Sheet Dalam Cross-Reference Sheet menjelaskan mengenai perhitungan dari setiap pengendalian yang diambil dan dikalkulasikan sesuai dengan tingkatan penggunaan pengendalian. Contoh control number 3 terdapat (13,1) yaitu terdapat 13 ancaman yang menggunakan pengendalian dan paling banyak digunakan hingga menempati peringkat pertama. Tabel 5 Cross-Reference Sheet Control Number of Time, Class Definition Number Selected Rank 1 (7,5) Backup Persyaratan backup akan ditentukan dan dikomunikasikan dengan operasi, termasuk pemberitahuan elektronik di mana backup telah selesai, dapat dikirim ke administrator sistem aplikasi. Operasi akan diminta untuk menguji prosedur backup. 2 (6,6) Rencana Pemulihan Pengembangan, dokumen,dan pengetesan prosedur pemulihan yang dirancang untuk memastikan bahwa aplikasi dan informasi dapat dipulihkan dari risiko, menggunakan prosedur backup yang telah dibuat, dalam kejadian yang dapat merugikan. 3 (13,1) Analisa Risiko Melakukan analisa risiko untuk menentukan tingkat ancaman, dan mengidentifikasi kemungkinan perlindungan dan pengendalian. 4 (5,7) Antivirus (1) Memastikan bahwa administrator LAN menerapkan antivirus sesuai standar perusahaan pada semua komputer. (2) Pelatihan dan kesadaran teknik pencegahan virus akan diterapkan ke dalam program perlindungan informasi organisasi. 5 (8,4) Depensi Antarmuka Sistem yang membutuhkan informasi akan diidentifikasi dan dikomunikasikan dengan proses operasi dalam upaya penekanan dampak atas kesalahan aplikasi. 6 (6,6) Pemeliharaan Persyaratan waktu untuk pemeliharaan teknis akan diteliti dan permintaan untuk penyesuaian akan dikomunikasikan kepada pihak manajemen. 7 (7,5) Service level agreement Menetapkan perjanjian tingkat layanan untuk menetapkan tingkat harapan dari pelanggan dan jaminan dari operasi pendukung yang ada. 8 (4,8) Pemeliharaan Menetapkan perjanjian bagi pemasok & 9 (4,8) Manajemen Perubahan 10 (3,9) Analisis Dampak Bisnis pemeliharaan, untuk memfasilitasi status operasional berkelanjutan dari aplikasi Pengendalian migrasi produksi seperti proses pencarian dan penghapusan data, untuk memastikan penyimpanan data yang bersih. Analisis dampak bisnis formal akan dilakukan untuk menentukan nilai kekritisan relatif dari suatu aset dengan aset lainnya. 11 (5,7) Backup Pelatihan backup bagi sistem administrator akan dilakukan beserta rotasi tugas, untuk memastikan efektifitas dari program pelatihan yang telah dilakukan.

13 12 (5,7) Backup Program kesadaran keamanan bagi karyawan harus diterapkan, diperbarui dan dilaksanakan setiap tahun. 13 (4,8) Rencana Pemulihan Menerapkan mekanisme untuk membatasi akses informasi kepada jaringan tertentu atau terhadap lokasi fisik yang ditetapkan. Contohnya backup yang dibuat, jika terjadinya kemungkinan kehilangan data. 14 (9,3) Analisa Risiko Menerapkan mekanisme otentikasi pengguna (seperti firewall, control dial-in, secure ID) untuk membatasi hak akses bagi yang tidak memiliki kewenangan dalam mengakses suatu informasi didalam sistem. 15 (8,4) Pengendalian Aplikasi 16 (6,6) Pengujian Penerimaan Merancang dan menerapkan pengendalian aplikasi (pemeriksaan data yang masuk, melakukan validasi, indikator alam, menilai password yang invalid) untuk menjamin integritas, kerahasiaan, dan ketersediaan informasi aplikasi. Pengembangan prosedur pengetesan, yang harus dilakukan selama pengembangan aplikasi dijalankan, dan dalam proses modifikasi aplikasi yang diikuti dengan partisipasi dari pengguna. 17 (12,2) Pelatihan Melaksanakan program user (evaluasi kinerja pengguna) yang dirancang untuk mendorong kepatuhan terhadap kebijakan dan prosedur yang ada untuk memastikan pemanfaatan yang tepat dari penggunaan aplikasi. 18 (4,8) Pelatihan Pengembang aplikasi akan memberikan dokumentasi, bimbingan, dan dukungan kepada staf operasi (operasi) dalam mekanisme pelaksanakan untuk memastikan keamanan transfer informasi antara aplikasi. 19 (5,7) Strategi Korektif Tim pengembang akan mengembangkan strategi korektif seperti pemprosesan ulang, merevisi/merubah logika aplikasi, dll. 20 (5,7) Kebijakan Mengembangkan kebijakan dan prosedur untuk membatasi hak akses dan mengoperasikan hak istimewa sesuai dengan kebutuhan bisnis. 21 (3,9) Pelatihan Pengguna pelatihan akan mencakup instruksi dan dokumentasi tentang penggunaan aplikasi secara benar. Contohnya seperti pentingnya menjaga kerahasiaan atas akun pengguna/rekening pemakai, sandi, dan sifat rahasia dan penekanan atas pentingnya kompetitif informasi. 22 (7,5) Review Menerapkan mekanisme untuk memantau, melaporkan, dan kebutuhan atas kegiatan audit diidentifikasi, termasuk pengecekan berkala atas validitas ID pengguna untuk memverifikasi kebutuhan bisnis. 23 (3,9) Klasifikasi Aset Aset yang sedang ditinjau akan diklasifikasikan sesuai dengan kebijakan perusahaan, standar, dan prosedur klasifikasi aset.

14 24 (5,7) Pengendalian Akses 25 (4,8) Dukungan Manajemen Mekanisme untuk melindungi database dari akses yang tidak sah, dan modifikasi yang dilakukan dari luar aplikasi, akan ditentukan dan dilaksanakan. Meminta dukungan manajemen untuk menjamin kerjasama dan koordinasi dari berbagai unit bisnis, untuk memfasilitasi kelancaran transisi ke aplikasi. 26 (2,10) Hak Milik Proses untuk memastikan bahwa aset milik perusahaan dilindungi dan bahwa perusahaan telah memenuhi semua perjanjian lisensi dari pihak ketiga. 27 (8,4) Kesadaran Keamanan 28 (5,7) Pengendalian Akses 29 (6,6) Pengendalian Akses 30 (3,9) Pengendalian Akses 31 (6,6) Pengendalian Akses 32 (5,7) Manajemen Perubahan 33 (7,5) Monitor system logs Menerapkan mekanisme pengendalian akses untuk mencegah akses tidak sah pada informasi. Mekanisme ini akan mencakup kemampuan untuk mendeteksi, logging, dan pelaporan jika ada upaya untuk pelanggaran keamanan informasi ini. Melaksanakan mekanisme enkripsi data untuk mencegah akses yang tidak sah untuk melindungi integritas sebuah kerahasiaan informasi. Mematuhi proses manajemen perubahan yang dirancang untuk memfasilitasi pendekatan terstruktur untuk modifikasi aplikasi, guna memastikan langkah yang tepat dan tindakan pencegahan yang akan diterapkan. Modifikasi darurat harus disertakan dalam proses ini. Prosedur pengendalian yang diterapkan untuk melakukan review proses sistem log oleh pihak ketiga secara independen untuk menganalisa kegiatan sistem update yang dilakukan. Melakukan konsultasi dengan manajemen fasilitas, guna memfasilitasi kegiatan pelaksanaan pengendaliam keamanan fisik yang dirancang untuk melindungi informasi, perangkat lunak, dan perangkat keras yang dibutuhkan sistem. Persyaratan backup akan ditentukan dan dikomunikasikan dengan operasi, termasuk permintaan mengenai notifikasi elektronik backup yang telah diselesaikan, harus dikirim ke administrator sistem aplikasi. Operasi akan diminta untuk menguji prosedur backup. Pengembangan, dokumen, dan pengetesan prosedur pemulihan, yang dirancang untuk memastikan bahwa aplikasi dan informasi dapat dipulihkan dari risiko, dengan menggunakan prosedur backup yang telah dibuat, dalam kejadian yang dapat merugikan.

15 34 (5,7) Keamanan Fisik Melakukan analisa risiko untuk menentukan tingkat ancaman, dan mengidentifikasi dan mengidentifikasi kemungkinan perlindungan atau pengendalian. SIMPULAN DAN SARAN Simpulan yang dapat diperoleh adalah pada sistem informasi penjualan kredit PT Mustika Ratu,Tbk terdapat 29 ancaman yang teridentifikasi dan diantaranya sebanyak 22 ancaman telah memiliki pengendalian yang sudah diterapkan di PT Mustika Ratu,Tbk. Sedangkan sebanyak 7 ancaman dengan tingkat risiko tinggi yang teridentifikasi belum memiliki pengendalian. Dengan demikian sangat penting bagi perusahaan untuk meningkatkan pengendalian terhadap risiko agar seluruh proses bisnis perusahaan dapat berjalan dengan lebih baik. Saran pengendalian yang dapat dilakukan adalah : (1) seharusnya PT Mustika Ratu,Tbk. melakukan update berkala untuk daftar hak akses pengguna, kebijakan pemerintah dan perusahaan serta melakukan server backup; (2) seharusnya PT Mustika Ratu,Tbk. melakukan evaluasi terus menerus terhadap pengendalian keamanan dan melakukan pengembangan aplikasi Navision yang dapat mempermudah karyawan; (3) sebaiknya PT Mustika Ratu,Tbk. memberikan arahan mengenai pentingnya kesadaran keamanan. Untuk menumbuhkan kesadaran karyawan terhadap kemanan dan integritas informasi; (4) sebaiknya PT Mustika Ratu,Tbk. melakukan evaluasi terhadap jaringan internet agar mencegah terjadinya kesalahan dan kegagalan dalam proses bisnis perusahaan; (5) sebaiknya PT Mustika Ratu,Tbk melakukan pengembangan serta pemeliharaan terhadap website agar mempermudah customer untuk mengetahui produk yang ada di dalam perusahaan. REFERENSI Gondodiyoto, Sanyoto. (2009). Pengelolaan Fungsi Audit Sistem Informasi (edisi ke-2). Jakarta: Mitra Wacana Media. Peltier, T. R. (2005). Information security Risk Analysis Second Edition. Washington DC: Taylor & Francis Group. Smith,Heather A. (2007). Developing Information Technology Strategy For Bussiness Value. Journal of Information Technology Management, Volume XVIII, Number Carmen, Radut. (2009). The Enterprise Information System and Risk Management. Management and Marketing, Volume XI, Journal of RIWAYAT PENULIS Siti Nurfadhila,S.Kom lahir di kota Jakarta pada 13 Maret Penulis menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Komputerisasi Akuntansi pada tahun. Anisa Nurvianti,S.Kom lahir di kota Jakarta pada 9 Oktober Penulis menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Komputerisasi Akuntansi pada tahun. Tia Merlani,S.Kom lahir di kota Jakarta pada 15 November Penulis menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Komputerisasi Akuntansi pada tahun.

16 Siti Elda Hiererra, S.Kom, MMSI lahir di kota Jakarta pada 13 Januari Penulis menamatkan pendidikan S2 di Universitas Bina Nusantara dalam bidang Information System pada tahun Saat ini bekerja sebagai Head of Information System Audit Programs di Universitas Bina Nusantara.