bab 4 evaluasi pengendalian sistem informasi …thesis.binus.ac.id/doc/bab4/2011-1-00397-ka...
TRANSCRIPT
144
BAB 4
EVALUASI PENGENDALIAN SISTEM INFORMASI PENJUALAN
PADA SBU PERBERASAN PT. PERTANI
4.1 Rencana Kerja Evaluasi
Proses evaluasi dilakukan terhadap sistem informasi penjualan yang ada di
perusahaan. Evaluasi ini diawali dengan membuat sebuah kerangka kerja yang berisi
metrik mengenai penjelasan perencanaan yang akan dilakukan untuk memperoleh data-
data yang dibutuhkan dengan berbagai teknik yang digunakan.
Aktivitas Hasil Yang Diperoleh Metode Melakukan pengajuan proposal ke beberapa perusahaan untuk dilakukan evaluasi sistem informasinya.
Mendapatkan perusahaan yang paling potensial untuk dilakukan proses evaluasi.
Observasi.
Membuat surat permohonan survei
Mendapatkan persetujuan survei dari PT. Pertani
Menyerahkan surat pengantar survei dari universitas kepada staff divisi Sumber Daya Manusia (SDM)
Mengkonsultasikan dengan pihak perusahaan mengenai sistem informasi yang cocok untuk dievaluasi.
Menentukan sistem informasi penjualan sebagai sistem informasi yang akan dievaluasi.
Wawancara
Mengamati dan meminta profile perusahaan dan struktur oganisasi.
Mendapatkan profil e perusahaan beserta akte notaris, gambar struktur organisasi serta uraian tugas dan fungsi dari tiap-tiap divisi.
Observasi, wawancara
Menganalisa proses bisnis sistem berjalan yang terdapat di dalam perusahaan
Memperoleh gambaran sistem berjalan perusahaan, serta dokumen-dokumen yang terkait.
Observasi, wawancara
Mengamati dan meminta spesifikasi arsitektur sistem informasi yang digunakan, serta tampilan layar aplikasi yang ada.
Mengetahui spesi fikasi hardware, software, database, dan network yang digunakan. Serta memperoleh print screen tampilan layar aplikasi yang ada.
Observasi, wawancara, dan melakukan login dengan menggunakan ID staf yang bersangkutan
Membuat dan mengajukan daftar pertanyaan kepada perusahaan terkait dengan business goals yang dievaluasi.
Mendapatkan jawaban berupa data dan informasi mengenai kondisi perusahaan.
Observasi, checklist, kuesioner dan Wawancara.
145
Melakukan perhitungan, analisa, dan evaluasi berdasarkan jawaban dari pertanyaan yang diberikan.
Penentuan maturity level, hasil perhitungan, analisa dan evaluasi dengan masing-masing bagian yang terkait.
Analisa data, perhitungan maturity level.
Membuat rekomendasi atas temuan-temuan yang dianggap tidak sesuai dengan standar CobIT.
Menghasilkan rekomendasi dan masukan yang berguna kepada perusahaan untuk dilakukan perbaikan.
Analisa data.
Membuat laporan evaluasi. Menghasilkan laporan evaluasi beserta temuan dan rekomendasi.
Analisa data.
Tabel 4.1 Tabel Rencana Kerja Evaluasi
4.2 Kriteria Pengukuran Evaluasi
Dasar penentuan pengukuran pengendalian sistem informasi penjualan pada SBU
Perberasan di PT. Pertani adalah pada hubungan antara tujuan pemanfaatan TI dalam
mendukung tujuan bisnis secara keseluruhan. CobIT 4.1 membedakan pengukuran atau
penilaian menjadi 4 bagian, yaitu financial perspective, customer perspective, internal
perspective, learning and growth perspective.
PT. Pertani dalam kegiatan proses bisnisnya selalu memprioritaskan untuk dapat
memberikan pelayanan terbaik serta tingkat kepuasan pelanggan akan produk dan
pelayanan yang diberikan. Oleh karena itu, metode pengukuran yang sesuai dengan
prinsip perusahaan adalah menggunakan customer perspective. Dimana customer
perspective ini memiliki beberapa business goals yang harus dicapai. Diantaranya :
1. Plan and Organise (PO)
a. PO 1 Define a Strategic IT Plan
PO1.1 IT Value Management
PO1.2 Business-IT Alignment
PO1.3 Assessment of Current Capability and Performance
PO1.4 IT Strategic Plan
146
PO1.5 IT Tactical Plans
PO1.6 IT Portfolio Management
b. PO 2 Define the Information Architecture
PO2.1 Enterprise Information Architecture Model
PO2.2 Enterprise Data Dictionary and Data Syntax Rules
PO2.3 Data Classification Scheme
PO2.4 Integrity Management
c. PO 3 Determine Technological Direction
PO3.1 Technological Direction Planning
PO3.2 Technological Infrastructure Plan
PO3.3 Monitor Future Trends and Regulations
PO3.4 Technology Standards
PO3.5 IT Architecture Board
d. PO 4 Define the IT Processes, Organisation, and Relationships
PO4.1 IT Process Framework
PO4.2 IT Strategy Committee
PO4.3 IT Steering Committee
PO4.4 Organisational Placement of the IT Function
PO4.5 IT Organisational Structure
PO4.6 Establishment of Roles and Responsibilities
PO4.7 Responsibility for IT Quality Assurance
PO4.8 Responsibility for Risk, Security, and Compliance
PO4.9 Data and System Ownership
PO4.10 Supervision
147
PO4.11 Segregation of Duties
PO4.12 IT Staffing
PO4.13 Key IT Personnel
PO4.14 Contracted Staff Policies and Procedures
PO4.15 Relationships
e. PO 6 Communicate Management Aims and Directions
PO6.1 IT Policy and Control Environment
PO6.2 Enterprise IT Risk and Control Framework
PO6.3 IT Policies Management
PO6.4 Policy, Standard and Procedures Rollout
PO6.5 Communication of IT Objectives and Direction
f. PO 7 Manage IT Human Resources
PO7.1 Personnel Recruitment and Retention
PO7.2 Personnel Competencies
PO7.3 Staffing of Roles
PO7.4 Personnel Training
PO7.5 Dependence Upon Individuals
PO7.6 Personnel Clearance Procedures
PO7.7 Employee Job Performance Evaluation
PO7.8 Job Change and Termination
g. PO 8 Manage Quality
PO8.1 Quality Management System
PO8.2 IT Standards and Quality Practices
PO8.3 Development and Acquisition Standards
148
PO8.4 Customer Focus
PO8.5 Continuous Improvement
PO8.6 Quality Measurement, Monitoring and Review
2. Acquire and Implement (AI)
a. AI 1 Identify Automated Solutions
AI1.1 Definition and Maintenance of Business Functional and
Technical Requirements
AI1.2 Risk Analysis Report
AI1.3 Feasibility Study and Formulation of Alternative Courses of
Action
AI1.4 Requirements and Feasibility Decision and Approval
b. AI 2 Acquire and Maintain Application Software
AI2.1 High-Level Design
AI2.2 Detailed Design
AI2.3 Application Control and Auditability
AI2.4 Application Security and Availability
AI2.5 Configuration and Implementation of Acquired Application
Software
AI2.6 Major Upgrades to Existing Systems
AI2.7 Development of Application Software
AI2.8 Software Quality Assurance
AI2.9 Applications Requirements Management
AI2.10 Application Software Maintenance
149
c. AI 3 Acquire and Maintain Technology Infrastructure
AI3.1 Technological Infrastructure Acquisition Plan
AI3.2 Infrastructure Resource Protection and Availability
AI3.3 Infrastructure Maintenance
AI3.4 Feasibility Test Environment
d. AI 4 Enable Operation and Use
AI4.1 Planning for Operational Solutions
AI4.2 Knowledge Transfer to Business Management
AI4.3 Knowledge Transfer to End Users
AI4.4 Knowledge Transfer to Operations and Support Staff
e. AI 5 Procure IT Resources
AI5.1 Procurement Control
AI5.2 Supplier Contract Management
AI5.3 Supplier Selection
AI5.4 IT Resources Acquisition
f. AI 6 Manage Changes
AI6.1 Change Standards and Procedures
AI6.2 Impact Assessment, Prioritisation and Authorisation
AI6.3 Emergency Changes
AI6.4 Change Status Tracking and Reporting
AI6.5 Change Closure and Documentation
g. AI 7 Install and Accredit Solutions and Changes
AI7.1 Training
AI7.2 Test Plan
150
AI7.3 Implementation Plan
AI7.4 Test Environment
AI7.5 System and Data Conversion
AI7.6 Testing of Changes
AI7.7 Final Acceptance Test
AI7.8 Promotion to Production
AI7.9 Post-Implementation Review
3. Deliver and Support (DS)
a. DS 1 Define and Manage Service Levels
DS1.1 Service Level Management Framework
DS1.2 Definition of Services
DS1.3 Service Level Agreements
DS1.4 Operating Level Agreements
DS1.5 Monitoring and Reporting of Service Level Achievement
DS1.6 Review of Service Level Agreement and Contracts
b. DS 2 Manage Third-Party Services
DS2.1 Identification of All Supplier Relationships
DS2.2 Supplier Relationship Management
DS2.3 Supplier Risk Management
DS2.4 Supplier Performance Monitoring
c. DS 3 Manage Performance and Capacity
DS3.1 Performance and Capacity Planning
DS3.2 Current Performance and Capacity
DS3.3 Future Performance and Capacity
151
DS3.4 IT Resources Availability
DS3.5 Monitoring and Reporting
d. DS 4 Ensure Continuous Service
DS4.1 IT Continuity Framework
DS4.2 IT Continuity Plans
DS4.3 Critical IT Resources
DS4.4 Maintenance of the IT Continuity Plan
DS4.5 Testing of the IT Continuity Plan
DS4.6 IT Continuity Plan Training
DS4.7 Distribution of the IT Continuity Plan
DS4.8 IT Services Recovery and Resumption
DS4.9 Offsite Backup Storage
DS4.10 Post-Resumption Review
e. DS 5 Ensure Systems Security
DS5.1 Management of IT Security
DS5.2 IT Security Plan
DS5.3 Identify Management
DS5.4 User Account Management
DS5.5 Security Testing, Surveillance and Monitoring
DS5.6 Security Incident Definition
DS5.7 Protection of Security Technology
DS5.8 Cryptographic Key Management
DS5.9 Malicious Software Prevention, Detection and Correction
DS5.10 Network Security
152
DS5.11 Exchange of Sensitive Data
f. DS 6 Identify and Allocate Costs
DS6.1 Definition of Services
DS6.2 IT Accounting
DS6.3 Cost Modeling and Charging
DS6.4 Cost Model Maintenance
g. DS 7 Educate and Train Users
DS7.1 Identification of Education and Training Needs
DS7.2 Delivery of Training and Education
DS7.3 Evaluation of Training Received
h. DS 8 Manage Service Desk and Incidents
DS8.1 Service Desk
DS8.2 Registration of Customer Queries
DS8.3 Incident Escalation
DS8.4 Incident Closure
DS8.5 Reporting and Trend Analysis
i. DS 10 Manage Problems
DS10.1 Identification and Classification of Problems
DS10.2 Problem Tracking and Resolution
DS10.3 Problem Closure
DS10.4 Integration of Configuration, Incident and Problem Management
j. DS 11 Manage Data
DS11.1 Business Requirements for Data Management
DS11.2 Storage and Retention Arrangements
153
DS11.3 Media Library Management Systems
DS11.4 Disposal
DS11.5 Backup and Restoration
DS11.6 Security Requirements for Data Management
k. DS 12 Manage the Physical Environment
DS12.1 Site Selection and Layout
DS12.2 Physical Security Measures
DS12.3 Physical Access
DS12.4 Protection Against Environmental Factors
DS12.5 Physical Facilities Management
l. DS 13 Manage Operations
DS13.1 Operation Procedures and Instructions
DS13.2 Job Scheduling
DS13.3 IT Infrastructure Monitoring
DS13.4 Sensitive Documents and Output Devices
DS13.5 Preventive Maintenance for Hardware
4. Monitoring and Evaluate (ME)
a. ME 1 Monitor and Evaluate IT Performance
ME1.1 Monitoring Approach
ME1.2 Definition and Collection of Monitoring Data
ME1.3 Monitoring Method
ME1.4 Performance Assessment
ME1.5 Board and Executive Reporting
ME1.6 Remedial Actions
154
b. ME 4 Provide IT Governance
ME4.1 Establishment of an IT Governance Framework
ME4.2 Strategic Alignment
ME4.3 Value Delivery
ME4.4 Resource Management
ME4.5 Risk Management
ME4.6 Performance Measurement
ME4.7 Independent Assurance
Adapun kriteria yang terdapat di dalam pengukuran Customer Perspective yang tidak
digunakan dalam proses evaluasi pengendalian sistem informasi penjualan pada SBU
Perberasan PT. Pertani adalah sebagai berikut:
1. PO05 Manage the IT Investment
Dalam proses tersebut tidak digunakan dalam evaluasi, karena dalam evaluasi
pengendalian sistem informasi penjualan SBU Perberasan PT. Pertani ini tidak
dibahas mengenai biaya yang digunakan dalam investasi TI dan SBU Perberasan
cabang Jakarta tidak memiliki wewenang dalam melakukan pengaturan investasi
TI. Yang berhak melakukan pengaturan investasi TI adalah PT. Pertani pusat.
2. PO10 Manage Project
Proses ini tidak digunakan dalam evaluasi karena SBU Perberasan cabang
Jakarta tidak memiliki wewenang dalam pengelolaan proyek TI yang dimiliknya,
semua pengembangan proyek TI yang ada sepenuhnya ditangani oleh PT. Pertani
pusat.
155
4.3 Pelaksanaan Evaluasi
4.3.1 Checklist
Berikut adalah pertanyaan dan hasil dari audit checklist yang kami lakukan :
Pertanyaan Jawaban Ya Tidak
PO1.1 IT Value Management Apakah pada sistem informasi di perusahaan sudah terdapat program yang mengindikasikan jika data yang diinput kurang atau salah?
PO1.2 Business-IT Alignment Apakah antara proses bisnis dan IT telah terintegrasi dengan baik satu sama lain?
PO1.3 Assessment of Current Capability and Performance Apakah terdapat pengevaluasian performa sistem untuk mendapatkan solusi dan layanan terkini?
PO1.4 IT Strategy Plan Apakah perusahaaan telah memiliki perencanaan strategis terkait dengan sistem yang ada sekarang?
PO1.5 IT Tactical Plans Apakah perusahaan telah memiliki perencanaan taktis TI yang menjelaskan kebutuhan TI, penggunaan sumber daya TI dan pengaturan perolehan keuntungan?
PO1.6 Portfolio Management Apakah sistem yang sudah ada telah menjamin bahwa tujuan program mendukung pencapai an hasil yang diharapkan perusahaan?
PO2.1 Enterprise Information Architecture Model Apakah perusahaan mempunyai gambaran model proses bisnis perusahaan khususnya proses penjualan, agar dapat digunakan dalam pengembangan aplikasi selanjutnya?
PO2.2 Enterprise Data Dictionary and Data Syntax Rules Apakah perusahaan telah melakukan pengelompokkan data dal am sistem dan aplikasi yang memudahkan pengguna sistem untuk mengolah data?
PO2.3 Data Classification Scheme Apakah perusahaan mempunyai skema pembagian data-data berdasarkan sensitifitas dan tingkat kepentingan data yang digunakan sebagai kontrol akses sistem informasi penjualan perusahaan? (misalnya data tingkatan pegawai untuk membatasi akses terhadap sistem)
PO 2.4 Integrity Management Apakah telah terdapat pengelolaan untuk menetapkan prosedur dalam menjamin integritas dan konsistensi data yang ada?
PO 3.1 Technological Direction Planning Apakah perusahaan telah melakukan analisa, pemilihan dan penggunaan teknologi yang berpotensi mendukung proses bisnis perusahaan?
PO3.2 Technology Infrastructure Plan Apakah perusahaan memiliki perencanaan infrastruktur teknologi yang berkesinambungan dengan perencanaan strat egis dan taktis TI?
PO3.3 Monitor Future Trends and Regulations Apakah perusahaan secara berkala telah memonitor perkembangan sektor teknologi dan sektor bisnis lainnya?
156
PO3.4 Technology Standards Apakah perusahaan memiliki standar aturan dalam penggunaan teknologinya? PO3.5 IT Architecture Board Apakah perusahaan telah memiliki dewan arsitektur TI untuk memberikan garis besar arsitektur dan saran untuk aplikasinya?
PO4.1 IT Process Framework Apakah perusahaan memiliki kerangka kerja proses sistem informasi penjualan yang terhubung dengan sistem manajemen kualitas dalam pengukuran kinerja, kualitas sasaran, dan perencanaan?
PO4.2 IT Strategy Committee Apakah perusahaan telah membentuk tim komite strategi TI yang bertugas untuk memastikan implementasi TI sudah sesuai ketentuan perusahaan?
PO4.3 IT Steering Committee Apakah perusahaan telah memiliki komite pelaksana TI yang mengamati jalannya proses sistem bisnis yang berjalan di perusahaan?
PO4.4 Organisational Placement of The IT Function Apakah perusahaan telah menetapkan komite TI pada struktur organisasi internal perusahaan?
PO4.5 IT Organisational Structure Apakah perusahaan telah memiliki struktur Organisasional TI yang menggambarkan kebutuhan bisnis perusahaan?
PO4.6 Roles and Responsibilities Apakah sudah ada pembagian peran dan tanggung jawab bagi masing-masing bagian untuk membatasi wewenang masing-masing?
PO4.7 Responsibility for IT Quality Assurance Apakah perusahaan sudah mengatur tanggung jawab performa untuk menjamin kualitas dari fungsi TI?
PO4.8 Responsibility for Risk, Security and Compliance Apakah perusahaan telah memberikan tanggung jawab kepada setiap pengguna sistem mengenai resiko TI dan menjaga keamanan informasi di dalam sistem maupun keamanan fisik sistem, serta didukung oleh staff maintance TI yang ada dalam perusahaan?
PO4.9 Data and System Ownership Apakah perusahaan telah menyediakan prosedur, alat dan tanggung jawab dalam hal kepemilikan sistem, data dan informasi?
PO4.10 Supervision Apakah perusahaan telah melaksanakan pelatihan pengawasan yang memadai dalam fungsi TI untuk menjamin tanggung jawabnya telah dijalankan dengan baik?
PO4.11 Segregation of Duties
Apakah perusahaan telah melakukan pembagian tugas dan tanggung jawab, dimana setiap karyawan hanya melakukan tugas dan tanggung jawab yang relevan terhadap pekerjaan dan posisi mereka?
PO4.12 IT Staffing Apakah proses penerimaan staf di perusahaan telah memiliki standar khusus, dalam hal ini terkait dengan bidang yang menyangkut penggunaan teknologi informasi?
PO4.13 Key IT Personnel Apakah di perusahaan terdapat pengendalian yang mengawasi pegawai dalam mengerjakan tugas dan tanggung jawab untuk mencegah satu individu mengerjakan pekerj aan yang banyak dan penting?
157
PO4.14 Contracted Staff Policies and Procedures Apakah perusahaan telah menetapkan kebijakan dan prosedur mengenai kesepakatan kontrak dengan konsultan / karyawan yang mendukung fungsi TI?
PO4.15 Relationships Apakah diantara fungsi TI perusahaan dengan bagian-bagian yang lain memiliki komunikasi yang baik dan optimal?
PO6.1 IT Policy and Control Environment Apakah perusahaan memiliki kebijakan dan pengendalian IT yang sesuai dengan dasar manajemen dan operasional perusahaan?
PO6.2 Enterprise IT Risk and Control Framework Apakah perusahaan telah memiliki kerangka kerja yang berfungsi untuk pendekat an terhadap masalah, resiko dan pengendalian IT?
PO6.3 IT Policies Management Apakah perusahaan telah melakukan pengembangan dan mempertahankan serangkaian kebijakan untuk mendukung strategi TI?
PO6.4 Policy, Standards and Procedures Rollout Apakah perusahaan telah memberikan penjelasan rincian kebijakan, standar dan prosedur TI yang digunakan untuk semua staf terkait?
PO6.5 Communication of IT Objectives and Direction Apakah semua bagian, baik dari pengguna hingga manajemen tingkat atas telah mengetahui dan memahami nilai dan tujuan dari IT yang diterapkan?
PO7.1 Personnel Recruitment and Retention Apakah proses penerimaan staf pada perusahaan telah berj alan dengan baik dan staf yang diterima memiliki keahlian yang dibutuhkan untuk membantu pencapaian tujuan perusahaan?
PO7.2 Personnel Competencies Apakah perusahaan telah memastikan dengan rutin bahwa karyawan telah memiliki kompetensi untuk memenuhi peran mereka berdasarkan pendidikan, pelatihan dan pengalaman mereka?
PO7.3 Staffing of Roles Apakah perusahaan telah melakukan pengawasan kesesuaian kinerja karyawan TI terhadap kebijakan dan prosedur manajemen TI?
PO7.4 Personnel Training Apakah perusahaan telah memberikan pelatihan kepada karyawan untuk mempertahankan pengetahuan, keterampilan dan pengetahuan mereka?
PO7.5 Dependence Upon Individuals Apakah terdapat pertukaran pengetahuan atau informasi di antara para staff sehingga tidak ada pekerjaan yang dilakukan hanya oleh satu individu?
PO7.6 Personnel Clearance Procedures Apakah perusahaan telah menetapkan persyaratan mengenai latar belakang pendidikan / kompetensi dalam penerimaan karyawan staf/development?
PO7.7 Employee Job Performance Evaluation Apakah ada pengevaluasian terhadap performa kerja dari karyawan yang dilakukan berkala?
PO7.8 Job Change and Termination Jika terjadi penghapusan atau pemindahan pekerjaan, terdapat pengaturan kembali tanggung jawab agar fungsi yang ada tetap dapat dijalankan?
PO8.1 Quality Management System Apakah perusahaan telah memiliki sistem manajemen kualitas yang bertanggung jawab dal am mengawasi, mengukur dan meningkatkan keefektifan kualitas TI yang dihasilkan?
158
PO8.2 IT Standards and Quality Practices Apakah pihak perusahaan telah memiliki standar dan prosedur yang mengatur mengenai pemeliharaan kualitas TI agar sesuai dengan tujuan organisasi?
PO8.3 Development and Acquisition Standards Apakah disaat pengembangan sistem yang baru, perusahaan telah menet apkan standar-standar yang harus terpenuhi? Misalnya standar software pemrograman yang digunakan, standar penamaan, dll?
PO8.4 Customer Focus Apakah kebutuhan pelanggan telah diterapkan sebagai dasar untuk pencapaian manajemen kualitas?
PO8.5 Continuous Improvement Apakah perusahaan telah membuat perencanaan peningkatan kualitas yang dilakukan untuk perkembangan selanjutnya?
PO8.6 Quality Measurement, Monitoring and Review Apakah perusahaan telah melakukan pengukuran, pengawasan dan tinjauan kualitas untuk melakukan tindakan pemeliharaan, perbaikan dan pencegahan yang efekti f?
Pertanyaan Jawaban
Ya Tidak AI1.1 Definition and Maintenance of Business Functional and Technical Requirements
Apakah perusahaan telah melakukan pengidenti fikasian, prioritas dan persetujuan fungsi bisnis dan persyaratan bisnis yang diperlukan untuk mencapai hasil yang TI yang diharapkan?
AI1.2 Risk Analysis Report Apakah perusahaan telah melakukan analisis terhadap dokumen dan resiko-resiko yang terkait dengan persyaratan bisnis dan rancangan solusinya?
AI1.3 Feasibility Study and Formulation of Alternative Courses of Action Apakah sudah dilakukan studi kelayakan yang memeriksa kemungkinan pengimplementasian kebutuhan perusahaan?
AI1.4 Requirements and Feasibility Decision and Approval Apakah ada rencana akuisisi (penggantian) infrastuktur teknologi yang memenuhi persyaratan fungsional dan teknis bisnis?
AI2.1 High-Level Design Apakah perusahaan telah melakukan pengadaan pembuatan rancangan spesifikasi lebih tinggi yang disetujui oleh manajemen?
AI2.2 Detailed Design Apakah rancangan software aplikasi dibuat secara terperinci? AI2.3 Application Control and Auditability Apakah terdapat implementasi pengendalian aplikasi otomatis untuk mencapai proses yang akurat, lengkap, tepat waktu, dan dapat diperiksa?
AI2.4 Application Security and Availability Apakah letak ketersediaan aplikasi persyarat an sebagai respon terhadap resiko sudah aman?
AI2.5 Configuration and Implementation of Acquired Application Software Apakah perusahaan telah melakukan perubahan besar terhadap sistem yang mengakibatkan perubahan terhadap fungsionalitas sistem?
AI2.6 Major Upgrades to Existing Systems Apakah perusahaan telah mengembangkan fungsi otomatis aplikasi sesuai dengan spesi fikasi rancangan, jaminan kualitas dan standar persetujuan oleh pihak ketiga?
159
AI2.7 Development of Application Software Apakah fungsi otomatis software aplikasi dikembangkan sesuai spesifikasi rancangan, jaminan kualitas, dan standar persetujuan oleh pihak ketiga?
AI2.8 Software Quality Assurance Apakah ada pengembangan, sumber daya, dan pelaksanaan rencana jaminan kualitas software untuk menghasilkan kualitas perusahaan yang dibutuhkan perusahaan?
AI2.9 Applications Requirements Management Apakah selama pengembangan dan pelaks anaan, aplikasi telah sesuai kebutuhan dan mampu menerima perubahan melalui proses yang berjalan?
AI2.10 Application Software Maintenance Apakah ada pengembangan strategi dan rencana untuk pemeliharaan aplikasi software?
AI3.1 Technological Infrastructure Acquisition Plan Apakah perusahaan telah membangun sebuah perencanaan untuk perancangan, implementasi dan pemeliharaan infrastruktur teknologi agar sesuai dengan kebutuhan proses bisnis?
AI3.2 Infrastructure Resource Protection and Availability Apakah perusahaan mempunyai prosedur yang terkait perlindungan dan pengawasan terhadap infrastruktur hardware, software, dan networking untuk memastikan ketersediaan, keamanan, integritas?
AI3.3 Infrastructure Maintenance Apakah perusahaan telah melakukan pengembangan strategi dan rencana untuk pemeliharaan infrastruktur serta memastikan segala perubahan agar tetap sejalan dengan kegiat an proses bisnis perusahaan?
AI3.4 Feasibility Test Environment Apakah perusahaan telah menetapkan lingkungan pengembangan dan uji sistem perusahaan guna mendukung aktivitas bisnis yang efektif dan efisi en?
AI4.1 Planning for Operational Solutions Apakah perusahaan telah melakukan perencanaan untuk mengidentifikasi dan mendokumentasikan semua aspek teknis, operasional dan penggunaan sehingga semua yang mengoperasikan, user, dan pemeliharan solusi otomatis dapat melaksanakan tanggung jawabnya?
AI4.2 Knowledge Transfer to Business Management Apakah perusahaan telah memberikan pengetahuan penuh kepada manajemen bisnis tentang penggunaan aplikasinya?
AI4.3 Knowledge Transfer to End Users Apakah perusahaan telah melakukan pemberi an pengetahuan terhadap end user dalam menggunakan sistem secara efekti f dan efisien dalam mendukung proses bisnis?
AI4.4 Knowledge Transfer to Operations and Support Staff Apakah ada training pada staf operasi dan teknis untuk mendukung dan memelihara sistem secara efekti f dan efisien?
AI5.1 Procurement Control Apakah perusahaan telah memiliki prosedur pengendalian dan pengembangan dalam pemenuhan sumber daya TI (hardware, software, infrastruktur) yang dibutuhkan?
AI5.2 Supplier Contract Management Apakah ada kebijakan dan prosedur mengenai kesepakatan kontrak dengan konsultan yang mendukung fungsi TI?
160
AI5.3 Supplier Selection Apakah perusahaan telah melakukan pemilihan supplier yang terbaik dan tepat berdasarkan pada kebutuhan persyaratan yang ditetapkan?
AI5.4 IT Resources Acquisition Apakah terdapat perlindungan terhadap manajemen perusahaan terkait dengan hak-hak dan kewajiban semua pihak dalam setiap perjanjian kontrak untuk penggantian perangkat lunak, pengembangan sumber daya IT, dan infrastruktur sistem?
AI6.1 Change Standards and Procedures Apakah ada prosedur atau standar yang disusun untuk menangani permintaan perubahan aplikasi, prosedur, proses, sistem, dan platform yang ada?
AI6.2 Impact Assessment, Prioritisation and Authorisation Apakah perusahaan telah melakukan penilaian secara terstruktur terhadap perubahan sistem yang dikategorikan dan diprioritasi untuk menentukan dampak yang akan mempengaruhi sistem operasional dan fungsional sistem?
AI6.3 Emergency Changes Apakah ada penetapan proses untuk menentukan, menguji, mendokumentasikan, menilai, dan mensahkan perubahan darurat yang tidak mengikuti prosedur perubahan yang telah ditetapkan?
AI6.4 Change Status Tracking and Reporting Apakah telah dilakukan penelusuran dan membuat laporan perubahan yang ditolak, disetujui, dan yang sedang dalam proses, serta memastikan bahwa perubahan yang disetujui telah dilaksanakan sesuai rencana?
AI6.5 Change Closure and Documentation Apakah saat perubahan diimplementasikan, perusahaan memperbaharui sistem yang terkait, dokumentasi pengguna, dan prosedur sesuai perubahan?
AI7.1 Training Apakah perusahaan telah melakukan pelatihan terhadap pengguna/staff department yang bersangkutan dan kelompok operasi fungsi TI sebagai bagian dari pengembangan proyek, implementasi atau modifikasi TI?
AI7.2 Test Plan Apakah perusahaan memiliki prosedur yang mengatur rencana pengujian sistem TI agar hasil yang diperoleh sesuai dengan tujuan perusahaan?
AI7.3 Implementation Plan Apakah perusahaan telah menetapkan rencana implementasi maupun penundaan atau penerapan solusi perubahan TI?
AI7.4 Test Environment Apakah perusahaan telah melakukan pengujian di dalam lingkungan perusahaan sebagai gambaran bahwa lingkungan operasi yang direncanakan berhubungan dengan keamanan, pengendalian internal, kegiatan operasi, beban kerja?
AI7.5 System and Data Conversion Apakah perusahaan telah memiliki perencanaan pengalihan data dan sistem serta perpindahan infrastruktur sistem dengan tujuan untuk mengembangkan bisnis?
AI7.6 Testing of Changes Apakah terdapat prosedur pengendalian internal yang menjaga proses berjalannya perpindahan sistem lama ke sistem baru untuk menjaga stabilitas proses bisnis berjalan?
AI7.7 Final Acceptance Test Apakah manajemen perusahaan mengevaluasi hasil pengujian terhadap perubahan sistem dan memperbaiki kesalahan yang teridenti fikasi?
161
AI7.8 Promotion to Production Apakah setelah pengujian terdapat pengendalian perubahan sistem ke proses operasi untuk menjaga sistem agar tetap berjalan sesuai rencana implementasi?
AI7.9 Post-implementation Review Apakah perusahaan telah melakukan peninjauan kembali setelah implementasi sistem dilakukan sesuai dengan prosedur yang ditetapkan?
Pertanyaan Jawaban
Ya Tidak DS1.1 Service Level Management Framework Apakah fasilitas sudah memenuhi kebutuhan antara pelanggan dan partner perusahaan?
DS1.2 Definition of Services Apakah persyarat an bisnis sudah diimplementasikan dalam melayani pelanggan?
DS1.3 Service Level Agreements Apakah perusahaan menentukan dan menyepakati service level agreement pada tiap bagian TI dalam perusahaan?
DS1.4 Operating Level Agreements Apakah persetujuan operasional sudah memenuhi kepuasan pelanggan? DS1.5 Monitoring and Reporting of Service Level Achievements Apakah sudah dilakukan pengawasan dan pelaporan atas kinerja perusahaan? DS1.6 Review of Service Level Agreements and Contracts Apakah perusahaan telah memiliki evaluasi kontrak dengan penyedia layanan internal atau eksternal secara rutin yang dilakukan?
DS2.1 Identification of All Supplier Relationship Apakah perusahaan telah mempunyai aturan klasifikasi atau pengelompokkan terhadap para supplier/pihak ketiga (berdasarkan jenis produk, signifikasi dan kritikalitas supplier)?
DS2.2 Supplier Relationship Management Apakah perusahaan telah menjalin hubungan yang baik dengan pelanggan dan penyalur serta apakah perusahaan telah memastikan kualitas hubungan berdasarkan pada kepercayaan dan kejelasan?
DS2.3 Supplier Risk Management Apakah perusahaan sudah mengantisipasi resiko pengantaran barang ke pelanggan?
DS2.4 Supplier Performance Monitoring Apakah perusahaan memiliki criteria standar pengawasan untuk memastikan persyaratan yang harus terpenuhi oleh supplier dalam jalinan kerjasama yang baik sesuai perjanjian bisnis yang disepakati?
DS3.1 Performance and Capacity Planning Apakah perusahaan sudah merencanakan kinerja dan kapasitas perusahaan? DS3.2 Current Capacity and Performance Apakah kinerja dan kapasitas perusahaan saat ini sudah memadai? DS3.3 Future Capacity and Performance Apakah perusahaan sudah melakukan antisipasi untuk kinerja dan kapasitas di masa mendatang?
DS3.4 IT Resources Availability Apakah perusahaan telah memastikan dan mengatasi ketersediaan performansi dan kapasitas sumber daya TI yang tidak memadai?
162
DS3.5 Monitoring and Reporting Apakah perusahaan melakukan pengawasan terus menerus terhadap kinerja dan kapasitas sumber daya?
DS4.1 IT Continuity Framework Apakah perusahaan telah melakukan pengembangan rencana kerja untuk kelangsungan TI yang mendukung manajemen bisnis perusahaan?
DS4.2 IT Continuity Plans Apakah perusahaan telah melakukan pengembangan terhadap rencana keberlanjutan TI untuk mengurangi dampak yang besar pada fungsi dan proses bisnis?
DS4.3 Critical IT Resources Apakah perusahaan telah memusatkan perhatian pada item-item sumber daya TI yang kritis untuk memastikan rencana kelangsungan TI dan menetapkan prioritas dalam situasi pemulihan sumber daya TI?
DS4.4 Maintenance of the IT Continuity Plan Apakah perusahaan telah melaksanakan prosedur perubahan untuk memastikan rencana keberlanjutan TI tentang tetap diperbaharui dan sesuai persyaratan bisnis yang ditetapkan?
DS4.5 Testing of the IT Continuity Plan Apakah perusahaan telah melakukan pengujian terhadap rencana kelangsungan TI secara rutin untuk memastikan sistem TI dapat digunakan dengan efekti f dan relevan?
DS4.6 IT Continuity Plan Training Apakah perusahaan telah memberikan pelatihan rutin kepada semua user mengenai prosedur, peran dan tanggung jawabnnya dalam beberapa kasus insiden?
DS4.7 Distribution of the IT Continuity Plan Apakah perusahaan telah menentukan strategi distribusi rencana kelangsungan TI secara teratur dan memastikan strategi tersebut telah terdistribusi dengan benar dan aman untuk menetapkan wewenang pihak-pihak yang terkait dengan sistem?
DS4.8 IT Services Recovery and Resumption Apakah ada prosedur pemulihan dalam informasi teknologi perusahaan? DS4.9 Offsite Backup Storage Apakah tersedi a media untuk menyimpan data-data di luar kantor? DS4.10 Post-Resumption Review Apakah manajemen perusahaan sudah menciptakan prosedur sesuai perencanaan?
DS5.1 Management of IT Security Apakah perusahaan sudah mengelola keamanan informasi teknologi di tingkat tertinggi?
DS5.2 IT Security Plan Apakah perusahaan telah memastikan rencana keamanan sistem yang diimplementasikan sesuai dengan kebijakan, prosedur keamanan, dan infrastruktur TI?
DS5.3 Identify Management Apakah perusahaan telah memastikan identitas pengguna dan hak akses pengguna melalui mekanisme keotentikan yang disetujui oleh pemilik sistem?
DS5.4 User Account Management Apakah perusahaan telah menetapkan pengaturan yang tepat terhadap prosedur manajemen user yang terkait dengan hak akses user?
163
DS5.5 Security Testing, Surveillance and Monitoring Apakah perusahaan telah melakukan pengawasan implementasi keamanan TI secara rutin disertai dengan penanganan secara dini terhadap aktivitas yang tidak tepat pada perusahaan?
DS5.6 Security Incident Definition Apakah perusahaan telah melakukan perundingan khusus untuk menentukan dan mendeskripsikan dengan jelas karakteristik potensi terjadinya insiden keamanan?
DS5.7 Protection of Security Technology Apakah perusahaan telah memiliki teknologi yang tahan terhadap masalah kerusakan, dan tidak menyingkap dokumentasi keamanan yang tidak perlu?
DS5.8 Cryptographic Key Management Apakah perusahaan telah menentapkan kebijakan dan prosedur terhadap pengarsipan kunci-kunci kriptografi sistem untuk memastikan perlindungan dari kerusakan dan ancamana lain?
DS5.9 Malicious Software Prevention, Detection and Correction Apakah perusahaan telah menempatkan upaya-upaya preventif, detektif dan korektif untuk melindungi sistem dan teknologi informasi dari virus komputer?
DS5.10 Network Security Apakah perusahaan telah menggunakan teknik keamanan dan prosedur manajemen untuk menguasai akses dan mengontrol aliran informasi untuk jaringan kerja?
DS5.11 Exchange of Sensitive Data Apakah pertukaran dat a-data perusahaan telah melalui jaringan khusus yang aman?
DS6.1 Definition of Services Apakah perusahaan sudah melakukan identifikasi biaya informasi teknologi? DS6.2 IT Accounting Apakah perusahaan telah melakukan penghitungan dan pelaporan estimasi biaya yang akan dikeluarkan?
DS6.3 Cost Modeling and Charging Apakah perusahaan sudah menggunakan struktur penetapan biaya pada informasi teknologi?
DS6.4 Cost Model Maintenance Apakah perusahaan secara teratur meninjau kelayakan biaya pada informasi teknologi?
DS7.1 Identification of Education and Training Needs Apakah perusahaan telah melakukan penetapan untuk setiap kelompok karyawan yang disesuaikan dengan kebutuhan strat egi bisnis, implementasi infrastruktur dan perangkat-perangakat TI lainnya?
DS7.2 Delivery of Training and Education Apakah perusahaan sudah mengelompokkan para karyawan menurut skill dan potensinya?
DS7.3 Evaluation of Training Received Apakah perusahaan telah melalukan evaluasi tehadap isi pendidikan dan pelatihan untuk relevansi, kualitas, keefekti fan pemeliharaan pengetahuan, biaya untuk menjadi masukan bagi kegiatan pelatihan?
DS8.1 Service Desk Apakah perusahaan telah melakukan pertemuan secara rutin antara user dengan staf TI untuk mencatat, membicarakan keluhan yang dilaporkan,
164
permintaan layanan dan informasi, serta dilakukan pengawasan berdasarkan untuk mememudahkan klasifikasi dan prioritisasi semua masalah? DS8.2 Registration of Customer Queries Apakah perusahaan sudah menerapkan sistem untuk melakukan pencarian data pelanggan?
DS8.3 Incident Escalation Apakah perusahaan sudah mengantisipasi kejadian-kejadian sesuai dengan prosedur?
DS8.4 Incident Closure Apakah perusahaan telah melakukan pengukuran kepuasan pengguna akhir dengan kualitas layanan dan layanan TI?
DS8.5 Reporting and Trend Analysis Apakah perusahaan sudah melakukan pelaporan atas kegiatan pelayanan? DS10.1 Identification and Classification of Problems Apakah perusahaan sudah melakukan identifikasi dan klasifikasi terhadap masalah?
DS10.2 Problem Tracking and Resolution Apakah perusahaan telah memiliki fasilitas proses audit yang sudah memadai untuk memudahkan penelusuran, penganalisaan, dan penentuan penyebab akar semua masalah?
DS10.3 Problem Closure Apakah sistem perusahaan sudah menerapkan prosedur pendekatan masal ah? DS10.4 Integration of Configuration, Incident and Problem Management Apakah perusahaan sudah diintegrasi dengan proses-proses penyelesai an masalah?
DS11.1 Business Requirements for Data Management Apakah sistem informasi perusahaan sudah memveri fikasi data yang diterima dan di proses?
DS11.2 Storage and Retention Arrangements Apakah perusahaan sudah menerapkan prosedur yang efekti f dan efisien untuk penyimpanan data?
DS11.3 Media Library Management Systems Apakah perusahaan telah mempunyai prosedur untuk menjaga perlengkapan pada media penyimpanan yang disimpan dan diarsipkan untuk menjaga daya guna dan terintegritasan media tersebut?
DS11.4 Disposal Apakah perusahaan sudah menerapkan prosedur untuk memastikan perlindungan data?
DS11.5 Backup and Restoration Apakah perusahaan telah menentukan dan mengimplementasikan prosedur untuk cadangan dan restorasi sistem, aplikasi, data dan dokumentasi yang sejalan dengan persyaratan bisnis?
DS11.6 Security Requirements for Data Management Apakah perusahaan sudah menerapkan prosedur keamanan dalam manajemen data?
DS12.1 Site Selection and Layout Apakah perusahaan telah menentukan dan memilih keamanan perlengkapan TI untuk mendukung strategi TI yang terhubung dengan strategi bisnis?
DS12.2 Physical Security Measures Apakah perusahaan telah melakukan pengukuran terhadap keamanan lingkungan untuk mencegah, mendeteksi dan mengurangi resiko-resiko yang
165
berhubungan dengan pencuri an, bencana alam, terror, vandalisme (aksi corat-coret), atau ledakan? DS12.3 Physical Access Apakah perusahaan telah memiliki prosedur batasan akses bedasarkan kebutuhan bisnisnya terhadap staf, klien, dan pihak ketiga lainnya?
DS12.4 Protection Against Environmental Factors Apakah perusahaan sudah menerapkan langkah-langkah untuk perlindungan sistem terhadap faktor-faktor luar?
DS12.5 Physical Facilities Management Apakah perusahaan sudah mengelola fasilitas dan peralatan komunikasi dengan baik?
DS13.1 Operation Procedures and Instructions Apakah perusahaan telah menetukan, mengimplementasikan, memelihara prosedur untuk operasi TI, dan telah memastikan bahwa anggota staf operasi mengerti semua tugas operasi mereka?
DS13.2 Job Scheduling Apakah perusahaan sudah mengatur penjadwalan pekerj aan karyawan? DS13.3 IT Infrastructure Monitoring Apakah perusahaan sudah menerapkan prosedur untuk memantau infrastruktur sistem informasi?
DS13.4 Sensitive Documents and Output Devices Apakah perusahaan sudah menetapkan perlindungan dat a yang sesuai? DS13.5 Preventive Maintenance for Hardware Apakah perusahaan sudah menerapkan prosedur untuk menjamin pemeliharaan infrastruktur sistem informasi?
Pertanyaan Jawaban
Ya Tidak ME1.1 Monitoring Approach Apakah ada langkah-langkah untuk pengawasan, pengukuran, dan tinjauan kualitas untuk melakukan tindakan perbaikan dan pencegahan yang tepat?
ME1.2 Definition and Collection of Monitoring Data Apakah perusahaan telah melakukan proses pengawasan terhadap penyimpanan dan pengambilan data sehingga memberikan laporan yang akurat dan tepat waktu?
ME1.3 Monitoring Method Apakah perusahaan telah memiliki metode pengawasan terhadap kinerja yang mencat at target, pencapai an TI, dan yang sesuai dengan sistem pengawasan perusahaan?
ME1.4 Performance Assessment Apakah perusahaan secara berkala meninjau performansi terhadap sasaran, menganalisa penyebab setiap penyimpangan dan mengawali tindakan perbaikan untuk mengatasi masalah yang ada?
ME1.5 Board and Executive Reporting Apakah perusahaan telah membuat laporan kontribusi TI mengenai tujuan yang tercapai, penggunaan sumber daya, dan rekomendasi untuk pembaharuan maupun perbaikan?
ME1.6 Remedial Actions Apakah perusahaan telah melakukan identifikasi dan tindakan perbaikan berdasarkan pada pengawasan, penilaian dan pelaporan kinerja?
ME4.1 Establishment of an IT Governance Framework Apakah perusahaan telah menyusun kerangka IT yang digunakan untuk
166
menyesuaikan IT dengan proses bisnis perusahaan? ME4.2 Strategic Alignment Apakah para manajemen tingkat atas telah memahami mengenai permasalahan tentang IT, seperti peran dan kegunaan IT tersebut?
ME4.3 Value Delivery Apakah penggunaan IT di dalam perusahaan telah memberikan nilai lebih pada proses bisnis perusahaan?
ME4.4 Resource Management Apakah sumber daya manajemen yang ada telah cukup membantu meningkatkan penggunaan IT?
ME4.5 Risk Management Apakah perusahaan telah memiliki manajemen resiko yang dibentuk perusahaan untuk menentukan resiko yang mungkin timbul dalam penggunaan TI pada proses bisnis?
ME4.6 Performance Measurement Apakah perusahaan telah melakukan pengukuran kinerja TI yang dilakukan oleh manajemen perusahaan dan memberikan laporan yang rutin kepada manajemen senior?
ME4.7 Independent Assurance Apakah sistem IT di perusahaan telah sesuai dengan kebijakan perusahaan, hukum dan standar yang ada?
Tabel 4.2 Checklist
4.3.2 Analisa Temuan dan Rekomendasi
Berikut adalah temuan dan rekomendasi hasil evaluasi :
Plan and Organise
Kriteria Temuan Rekomendasi Metodologi
PO 1 Define a strategic IT Plan and direction
PO 1.1 PO 1.2 PO 1.3 PO 1.4 PO 1.5 PO 1.6
Dalam hal ini perusahaan telah mengidentifikasi sert a membuat perencanaan tentang strategi penerapan TI yang akan dilakukan dalam mendukung proses bisnis. Tiap perencanaan harus diikuti dengan proposal yang menggambarkan segala detail hal terkait
Hal ini menggambarkan perusahaan sudah cukup baik dalam mengawali sebuah keinginan akan kebutuhan sistem yang akan diterapkan, dimana perusahaan telah membuat perencanaan terlebih dahulu sebelum mengimplementasikan dan ini harus dipertahankan terus oleh perusahaan
Ceklist, wawancara
PO 2 Define the information architecture
PO 2.1 PO 2.2 PO 2.3 PO 2.4
Dalam hal ini perusahaan memang sudah memiliki gambaran/arsitektur model dari sistem yang akan diterapkan sert a telah melakukan pengelompokkan data sesuai dengan tingkat sensitifitasnya, akan tetapi kami temukan bahwa tidak adanya pembatasan ruang
Perusahaan harus lebih memperhatikan perancangan arsitektur model dalam sistem aplikasi yang akan diterapkan, perusahaan diharapkan melakukan identifikasi lebih mendalam mengenai pengendalian aplikasi sehingga kelemahan
Ceklist, Observasi
167
lingkup atas hak akses masuk yang membuat aplikasi menjadi sangat mudah dimanipulasi oleh pihak yang tidak bertanggung jawab
seperti ini tidak terjadi dan meminimalisir kemungkinan adanya kelemahan kontrol pada aplikasi yang dapat berakibat fat al. Ruang lingkup atas hak akses harus dibatasi sesuai dengan tanggung jawab dan tugas pegawai.
PO 3 Determine technological direction
PO 3.1 PO 3.2 PO 3.3 PO 3.4 PO 3.5
Perusahaan telah memiliki dewan TI yang menganalisa, memonitor arah penerapan teknologi yang dapat diterapkan pada perusahaan dan dapat mendukung proses bisnis perusahaan
Perusahaan telah menerapkan teknologi yang cukup baik, sehingga yang perlu dilakukan oleh perusahaan adal ah untuk tetap terus menjaga stabilitas sistem dengan meningkatkan proses pengawasan serta analisa akan kebutuhan baru proses bisnis
Ceklist
PO 4 Define IT processes, organization and relationship
PO 4.1 PO 4.2 PO 4.3 PO 4.4 PO 4.5 PO 4.6 PO 4.7 PO 4.8 PO 4.9 PO 4.10 PO 4.11 PO 4.12 PO 4.13 PO 4.14 PO 4.15
Dalam proses bisnis berjalan perusahaan sudah mengidentifikasi dan memiliki kerangka proses kerja TI untuk mendukung perencanaan strategis pada seluruh bagian perusahaan. Termasuk dalam hal pembagian pembatasan tanggung jawab dan wewenang. Tetapi terlihat dalam aktifitasnya, manajemen kurang efekti f dalam melakukan pengawasan kinerja pegawainya, hal itu disebabkan karena tidak adanya pengawasan secara berkala dal am penilaian kualitas kinerja
Kerangka proses kerja TI dapat dilanjutkan oleh perusahaan, tetapi akan lebih baik bila perusahaan selalu melakukan evaluasi untuk memperbaiki atau menambahkan kekurangan yang ada agar dapat berkembang sejalan dengan proses bisnis perusahaan Peningkatan dalam proses pengawasan perlu dilakukan oleh manajemen, pengawasan dibuat terstruktur menggunakan scorecard dan rutin dilakukan untuk mendapatkan hasil yang optimal
Ceklist, Wawancara
PO 6 Communicate management aim and direction
PO 6.1 PO 6.2 PO 6.3 PO 6.4 PO 6.5
Perusahaan dirasa sudah menyadari arti penting dari mengkomunikasikan segala kebijakan dan pengendalian TI terhadap manajemen. Hal ini terlihat dari pemahaman pegawai yang sudah mengerti nilai-nilai manfaat diterapkannya sebuah sistem teknologi untuk dapat mendukung
Informasi berkaitan proses bisnis atau perusahaan harus terus dikomunikasikan kepada manajemen agar tidak adanya ketidaktahuan terhadap tujuan dan pencapaian organisasi. Oleh karena itu kejelasan, keakuratan, ketersediaan informasi harus
Wawancara, Observasi, Ceklist
168
kegiatan proses berjal an perusahaan. Perusahaan telah memiliki kerangka kerja dalam pendekatan terhadap masalah, resiko dan pengendalian TI serta melakukan pengembangan dan mempertahankan serangkaian kebijakan untuk mendukung startegi TI, tetapi kelemahan yang terjadi adalah tiap proses pengembangan tidak terdokumentasi secara teratur/rutin
dimaksimalkan Perlunya pemahaman akan pentingnya dokumentasi atas suatu pengembangan dan perubahaan, karena dokumentasi yang teratur/rutin dapat memudahkan manajemen dalam menelusuri jejak masalah untuk pembelajaran atau informasi kedepannya. Oleh karena itu perusahaan perlu melakukan dokumentasi secara rutin bila adanya perubahan dalam dokumentasi ( blueprint) awal/lama
PO 7 Manage IT human resources
PO 7.1 PO 7.2 PO 7.3 PO 7.4 PO 7.5 PO 7.6 PO 7.7 PO 7.8
Perusahaan telah memiliki prosedur yang cukup baik dalam mengatur sumber daya manusia perusahaan. Prosedur berkaitan dengan penerimaan pegawai yang harus memiliki kompetensi dan syarat pendidikan memenuhi kebutuhan dari perusahaan. Manajemen juga telah melakukan pelatihan terhadap SDM perusahaan dalam proses pengingkatan pengetahuan, keterampilan dan keahlian penggunaan sistem Manajemen belum melakukan evaluasi secara berkala terhadap kinerj a dari pegawai.
Pengelolaan SDM perusahaan akan lebih baik bila terus di analisa dan disesuaikan dengan keadaaan perusahaan. Sehingga seperti penerimaan pegawai terus mengalami peningkatan yang memberi masukan positif bagi perusahaan untuk dapat mengembangkan usaha kearah yang lebih baik. (peningkatan syarat penerimaan) Pelatihan dilakukan secara rutin dan tidak hanya ketika adanya suatu penerapan sistem baru saja. Pelatihan juga sebaiknya selain dilakukan oleh staf TI juga dibawakan dari sumber-sumber external Manajemen perlu membenahi prosedur evaluasi atau penilaian terhadap kinerj a pegawai, penilaian harus dilakukan secara periodik (min 4 kali per tahun) untuk mengetahui kelemahan yang ada pada SDM
Wawancara, Ceklist
169
perusahaan, dibantu dengan dokumentasi dalam scorecard .
PO 8 Manage Quality
PO 8.1 PO 8.2 PO 8.3 PO 8.4 PO 8.5 PO 8.6
Perusahaan menyadari perlunya suatu pengendalian terhadap kualitas kerja dan TI dengan merumuskan standar-standar acuan dalam suatu pencapai an kualitas yang baik. Pemeliharaan dan pengawasan dilakukan perusahaan terhadap bagian-bagian sensifiti f pada perusahaan dan hal ini terus dikembangkan oleh perusahaan dalam pencapaian hasil yang maksimal.
Perusahaan dapat mempertahankan kondisi ini dalam proses bisnis berjalan. Tetapi diharapkan untuk menjamin bahwa kualitas terjaga dengan baik. Perlu dibentuknya suatu tim independen yang menilai secara periodik (minimal 2 kali per tahun) atas keberlangsungan sistem proses bisnis
Wawancara, Ceklist
Acquire and Impmentle
Kriteria Temuan Rekomendasi
AI 1 Identify automated solutions
AI 1.1 AI 1.2 AI 1.3 AI 1.4
Identi fikasi terhadap resiko-resiko persyaratan bisnis dan rancangan solusi telah dilakukan dalam pencapaian implementasi sistem yang sesuai dengan tujuan perusahaan. Hal tersebut dengan telah dilakukannya studi kelayakan dalam setiap rancangan dalam pencapaian TI yang diharapkan.
Pertahankan dan tingkatkan standar studi kelayakan pada tiap pemenuhan akan kebutuhan dari perusahaan, agar jaminan keberhasilan dari penerapan dan pemenuhan sistem menjadi tinggi
Ceklist
AI 2 Acquire and maintain application software
AI 2.1 AI 2.2 AI 2.3 AI 2.4 AI 2.5 AI 2.6 AI 2.7 AI 2.8 AI 2.9 AI 2.10
Perusahaan sudah memahami bahwa sebuah implementasi sistem pasti memerlukan suatu perawatan dan penambahan/perbaikan selama proses bisnis berjalan, oleh karena itu perawatan terhadap aplikasi dilakukan oleh staf TI terhadap aplikasi yang digunakan Diketahui bahwa proses perubahaan atau perbaikan aplikasi tergolong cukup lama dari masalah ditemukan hingga masalah dapat diselesaikan,
Perawatan terhadap sistem aplikasi proses bisnis harus dilakukan secara rutin (minimal 3 bulan sekali) dan segala perubahan atau perbaikan didokumentasi untuk memudahkan dalam penelusuran Perlunya penerimaan staf TI tambahan yang berkompeten dan sesuai dengan kebutuhan, sehingga waktu pengerjaan perbaikan bisa lebih diminimalisir Pada saat update aplikasi
170
dikarenakan SDM yang tidak memadai untuk menangani seluruh cabang yang ada Perbedaan penyebutan primary key – secondary key ( format )
dilakukan perubahan pada format aplikasi yang berbeda penyebutan primary key dan secondary key-nya pada form penjualan tunai dan penjualan kredit (nomor faktur dirubah dengan nomor DO)
AI 3 Acquire and maintain technology infrastructure
AI 3.1 AI 3.2 AI 3.3 AI 3.4
Perusahaan dalam mengakuisisi infrastruktur telah membuat sebuah perencanaan untuk perancangan, implementasi dan pemeliharaan infrastruktur teknologi agar sesuai dengan kebutuhan proses bisnis. Tetapi pada kenyataannya proses perawatan terhadap infrastruktur tidak efekti f dan rutin dilakukan oleh staf TI, karena staf TI tidak tersebar secara menyeluruh kesetiap cabang dan proses perawatan menjadi tidak tepat waktu
Perencanaan yang dibuat oleh manajemen sudah cukup baik, tetapi hal tersebut belum didukung dengan realisasi pada kenyataan. Perusahaan lebih baik melakukan pelatihan-pel atihan terhadap pegawai disetiap cabang yang memiliki kemampuan dibidang TI, sehingga dapat difungsikan sebagai staf yang melakukan perawatan terhadap infrastruktur
Wawancara, Ceklist
AI 4 Enable operation and use
AI 4.1 AI 4.2 AI 4.3 AI 4.4
Perusahaan telah mendefinisikan akan kebutuhan operasional termasuk mendokumentasikan, sehingga pengguna dapat dengan mudah mengoperasikan sistem sesuai dengan semestinya.
Hal yang perlu dilakukan adalah dengan sel alu mengevaluasi dan analisa akan perkembangan proses bisnis, agar kegiatan operasional dapat sejalan dengan tujuan organisasi Tiap perkembangan dan perubahaan harus didokumentasikan dalam blueprint agar informasi dapat diperoleh dengan mudah
Ceklist, Wawancara
AI 5 Procure IT resources
AI 5.1 AI 5.2 AI 5.3 AI 5.4
Dalam proses akuisisi kebutuhan akan TI, perusahaan sudah membuat prosedur yang harus dilakukan. Terdapatnya kriteria-kriteria dalam pemilihan vendor, adanya perjanjian berupa kontrak yang menjamin perlindungan atas hak dan kewajiban berbagai pihak dan pengendalian atas kerjasama
Prosedur yang telah diberlakukan sudah cukup baik, dalam proses berjalan bisnis perusahaan akan lebih baik selalu menganalisa prosedur agar terus sejalan dengan perkembangan bisnis
Ceklist, Wawancara
171
AI 6 Manage Changes
AI 6.1 AI 6.2 AI 6.3 AI 6.4 AI 6.5
Perusahaan sudah memiliki kebijakan dan prosedur dalam menangani permintaan perubahaan pada proses bisnis dan sistem, tetapi belum dilakukannya penilaian secara terstruktur mengenai dampak perubahan terhadap sistem operasi dan fungsional sistem. Tidak adanya penetapan proses untuk menentukan, menguji, mendokumentasi dan mensahkan perubahan darurat yang terjadi pada sistem
Dalam hal ini perusahaan dianjurkan untuk mendefinisikan secara terstruktur atau formal akan resiko dari solusi yang akan diterapkan, sehingga segala informasi menjadi jelas dan kelemahan dapat diminimalisir Manajemen harus mempunyai tim penilai yang memiliki kompetensi cukup baik untuk dapat memberikan penilaian dan saran terhadap perubahan yang bersi fat darurat, diharapkan dapat mengambil keputusan pengalihan sementara agar sistem/proses bisnis tetap bisa berjalan dan solusi yang efekti f di jadikan standar prosedur perusahaan
Ceklist, Wawancara
AI 7 Install and accredit solutions and changes
AI 7.1 AI 7.2 AI 7.3 AI 7.4 AI 7.5 AI 7.6 AI 7.7 AI 7.8 AI 7.9
Perusahaan sudah memiliki standar yang mengatur mengenai pengujian, perencanaan, pengendalian proses penerapan solusi yang diikuti dengan evaluasi hasil dari perubahan. Proses implementasi sistem baru atau perubahan besar diterapkan secara paral el, sehingga tidak begitu menggangu kegiatan proses bisnis berjalan
Tiap kebijakan dan standar yang telah dibentuk, diharapkan selalu dijalankan dengan baik pada kenyataannya. Sehingga efekti fitas sistem itu benar dapat tercapai. Metode ini dirasa memang cukup baik digunakan dalam konversi sistem pada suatu perusahaan. Karena resiko yang lebih kecil dibanding dengan metode lainnya, akan tetapi perusahaan harus dengan cermat mengidentifikasi tiap resiko dan memastikan bahwa konversi sistem berjalan sesuai perencanaan, bila tidak maka akan muncul beban biaya yang besar untuk menangani 2 (dua) sistem yang sama-sama berjalan akibat mundurnya jadwal penyelesai an.
Ceklist, Wawancara
172
Deliver and Support
Kriteria Temuan Rekomendasi
DS 1 Define and manage service levels
DS 1.1 DS 1.2 DS 1.3 DS 1.4 DS 1.5 DS 1.6
Perusahaan telah menyadari akan pentingnya nilai kepuasaan yang diterima oleh pelanggan atau partner kerja. Dalam hal ini perusahaan sudah mengembangkan suatu service level agreement sebagai bentuk penanaman kualitas pada perusahaan dalam melaksanakan kinerja proses bisnis yang baik.
Perusahaan harus mengidentifikasikan berbagai faktor-faktor yang menjadi titik kunci dalam pencapaian kepuasan berbagai pihak. Hasil identifikasi ini dibuat dan dirancang untuk menghasilkan suatu bentuk service level agreement yang lebih terstruktur dan dijadikan target bagi perusahaan untuk bisa membawa perusahaan kearah yang lebih baik.
Ceklist
DS 2 Manage third-party services
DS 2.1 DS 2.2 DS 2.3 DS 2.4
Perusahaan selalu mengedepankan hubungan kerja yang baik dengan para rekanan bisnis ( Supplier, Pelanggan dan Vendor TI ) dan jalinan kerja sama selalu diawasi untuk memastikan tidak adanya permasal ahan yang dapat menimbulkan kerugian bagi berbagai pihak
Hal seperti ini sudah seharusnya dipert ahankan oleh perusahaan. Karena aktivitas seperti ini dapat menjaga aliran proses bisnis tetap bergerak maju dalam mencapai tujuan organiasi dan dengan didukung pencapaian terhadap service level agreement yang efekti f melalui evaluasi-evaluasi hubungan kerja.
Ceklist, Wawancara
DS 3 Manage performance and capacity
DS 3.1 DS 3.2 DS 3.3 DS 3.4 DS 3.5
Perencanaan telah dilakukan perusahaan untuk mengatur dan mengawasi kinerja serta kemampuan sistem, akan tetapi proses pengawasan tidak dilakukan manajemen secara berkala (bila hanya terdapat keluhan). Kurang memadainya kapasitas sumber daya TI dalam penyelesai an suatu masalah, karena cabang perusahaan tersebar diseluruh Indonesia yang membuat beban kerja menjadi besar. Tidak efekti fnya jaringan sistem perusahaan, karena cabang tidak secara langsung terhubung (realtime) dengan server yang berada dipusat
Kegiatan pengaturan dan pengawasan harus lebih ditingkatkan, peningkatan performa tidak hanya ketika belum munculnya keluhan dari pengguna. Manajemen harus memiliki kriteria batasan yang dijadikan acuan penilaian performa dan kemampuan sistem dalam menjalankan proses bisnis Perusahaan harus membuat perencanaan penambahan SDM dan atau menempatkannya ke wilayah-wilayah yang cukup strategis serta seringnya timbul permasal ahaan. Kebutuhan akan aliran data dan informasi yang cepat, akurat, terpercaya
Ceklist, Wawancara, Observasi
173
dituntut dengan adanya koneksi jaringan yang saling terintegrasi satu sama lain. Oleh karena itu ada baiknya perusahaan mengimplemtasikan jaringan terkoneksi langsung kesetiap cabang yang ada, agar data dan informasi dapat langsung diterima atau dikirim seketika
DS 4 Ensure continuous service
DS 4.1 DS 4.2 DS 4.3 DS 4.4 DS 4.5 DS 4.6 DS 4.7 DS 4.8 DS 4.9 DS 4.10
Pengembangan sistem informasi penjualan sudah di rancang secara berkelanjutan untuk memastikan keberlangsungan proses bisnis. Kelemahan yang muncul ketika adanya ancaman atau resiko bencana alam, dimana perusahaan tidak memiliki solusi perencanaan darurat yang terdokumentasi, sehingga penyelesai an masalah tidak cepat teratasi.
Manajemen sebaiknya mengidentifikasikan segala kemungkinan resiko diluar hal teknis dan membuat solusi penyelesai an darurat yang terdokumentasi, untuk memudahkan penanggulangan pertama pada bencana. Serta dilakukannya pelatihan-pelatihan dalam menghadapi situasi darurat
Ceklist, Wawancara
DS 5 Ensure systems security
DS 5.1 DS 5.2 DS 5.3 DS 5.4 DS 5.5 DS 5.6 DS 5.7 DS 5.8 DS 5.9 DS 5.10 DS 5.11
Perusahaan belum mengupayakan tingkat keamanan sistem semaksimal mungkin, terdapat beberapa indikasi kelemahan pada keamanan dan integritas data. Contoh : tidak adanya penetapan batas ruang lingkup terhadap hak akses aplikasi sistem, belum adanya jaringan khusus (VPN) yang menjadi jalur aliran data pribadi antar cabang - pusat, komputer user tidak diproteksi menggunakan password, penggunaan antivirus yang tidak ter-update secara otomatis pada komputer user, tidak adanya kebijakan penggantian password secara rutin pada user.
Peningkatan keamanan sistem perlu dilakukan, perusahaan harus membuat suatu perencanaan dan penilaian kembali akan proses sistem berjalan (memperhitungkan masalah biaya, resiko, kebutuhan, kelangsungan sistem). Perubahan harus dilakukan oleh perusahaan dari tingkat masalah terkecil hingga besar, pengawasan terhadap sistem harus ditingkatkan terus agar bila adanya indikasi kelemahan pada sistem dengan cepat terdeteksi dan dilakukannya penanggulangan.
Ceklist, Wawancara, Observasi
DS 6 Identify and allocate costs
DS 6.1 DS 6.2 DS 6.3 DS 6.4
Perusahaan telah melakukan identifikasi atas biaya informasi teknologi dan melakukan perhitungan
Pengelolaan biaya atas pemenuhan kebutuhan TI perusahaan sudah dilakukan dengan baik,
Ceklist, Wawancara
174
serta estimasi atas segala biaya yang akan dikeluarkan berdasarkan struktur penetapan biaya yang telah ditetapkan perusahaan.
akan tetapi agar pengalokasian dana lebih efisien, perusahaan perlu melakukan analisa secara cermat atas kelayakan biaya alokasi TI (berdasarkan faktor perhitungan biaya, tingkat pengembelian, resiko, serta manfaat yang dapat diperoleh)
DS 7 Educate and train users
DS 7.1 DS 7.2 DS 7.3
Prosedur dan standar pelatihan sudah dibentuk oleh perusahaan. Kegiatan pelatihan pun dilakukan ketika adanya penerapan sistem TI dan bila adanya masalah pada cabang. Tidak ada jadwal rutin adanya pelatihan untuk menambah wawasan, pengetahuan, ketrampilan pegawai.
Perusahaan harus dapat menganalisa kebutuhan akan pelatihan pada pegawai, salah satunya dengan adanya evaluasi kualitas kerja pegawai secara rutin (minimal 4 kali per tahun). Diluar itu diharapkan perusahaan membuat suatu perencanaan pelatihan secara berkala dalam meningkatkan kompetensi pegawai
Ceklist, Wawancara
DS 8 Manage service desk and incidents
DS 8.1 DS 8.2 DS 8.3 DS 8.4 DS 8.5
Dalam hal ini perusahaan sudah menerapkan prosedur untuk mengatur pelayanan front offi ce. Perusahaan dalam menilai tingkat layanan telah melakukan suatu pengukuran terhadap kepuasaan pelanggan yang dilakukan melalui penyebaran kuesioner sebagai alat ukur. Peningkatan kualitas layanan front office pun diperhatikan, salah satunya dengan mudahnya bagi user untuk dapat menghubungi staf TI langsung dalam memberikan informasi, keluhan, permintaan pelayanan
Perusahaan diharapkan mengadakan survey terhadap pel anggan secara berkala (min 6 bulan sekali), karena informasi akan kepuasan pelanggan sangat berguna dan berpengaruh terhadap keberlangsungan dan perkembangan sistem agar menjadi lebih efekti f dan efisien
Ceklist, Wawancara
DS 10 Manage problems
DS 10.1 DS 10.2 DS 10.3 DS 10.4
Identi fikasi dan klasifikasi terhadap masal ah telah dirancang oleh perusahaan. Permasalahan biasanya akan di analisa dan audit untuk mengetahui solusi yang dapat diambil dan sebagai informasi / data baru bagi perusahaan.
Perusahaan telah mengembangkan pengelolaan terhadap masalah cukup baik, dan hal tersebut selayaknya terus ditingkatkan. Staf TI perlu merencanakan dan
Ceklist, Observasi, Wawancara
175
Penyelesaian permasal ahaan belum dirancang terintegrasi dengan sistem, tidak adanya fasilitas/fitur “ bantuan / help” yang memudahkan user untuk mengatasi masalah secara cepat
merancang fitur batuan seperti ini, diharapkan dengan adanya fitur seperti ini akan membantu user untuk mencoba menyelesaikan masal ah sendiri terlebih dahulu dan beban kerja staf TI akan sedikit berkurang serta bisa lebih fokus terhadap pengembangan sistem kedepan
DS 11 Manage data
DS 11.1 DS 11.2 DS 11.3 DS 11.4 DS 11.5 DS 11.6
Perusahaan telah mengatur prosedur dalam mengelola data dan informasi perusahaan, terdapatnya proses veri fikasi terhadap data yang akan diterima dan diproses, perlindungan data dengan mengompres data ke dalam .zip dan diberi proteksi password sebelum dikirim ke pusat, adanya proses backup otomatis untuk mengantisipasi terjadinya masalah dan data telah diklasifikasikan kedalam kategori-kategori tertentu
Perusahaan sudah cukup baik dalam mengelola data yang ada. Dalam hal ini perusahaan dapat terus mempertahankan dan ditingkatkan untuk menjaga integritas dan ketersedi aan data
Wawancara, Ceklist, Observasi
DS 12 Manage the physical environment
DS 12.1 DS 12.2 DS 12.3 DS 12.4 DS 12.5
Perusahaan sudah memiliki prosedur dan standar yang mengatur keamanan dari infrastruktur TI, tetapi belum optimal. Kelemahan ditemukan seperti tidak ada generator set, tidak adanya pelindungan tambahan keamanan seperti CCTV, tidak adanya alat pendeteksi asap, hanya terdapat alat pemadam kebakaran beberapa unit dan perlindungan penjaga keamanan yang mengawasi lingkungan perusahaan.
Untuk dapat mengoptimalkan tingkat keamanan perusahaan, sebaiknya perusahaan menambakan beberapa fasilitas keamanan seperti CCTV sebagai pendukung barang bukti bila adanya gangguan keamanan, memasang alat pendeteksi asap bila terjadi kebakaran, serta didukung dengan generator set sebagai cadangan ketika aliran listrik mati. Perusahaan sebaiknya mengasuransikan aset-aset yang dinilai berharga
Ceklist, Observasi, Wawancara
DS 13 Manage operations
DS 13.1 DS 13.2 DS 13.3 DS 13.4 DS 13.5
Pengelolaan lingkungan operasi telah dilakukan dan dikembangkan oleh perusahaan. Adanya pemeliharaan terhadap operasi TI dan telah
Pengaturan terhadap lingkungan operasi sudah cukup baik dilakukan oleh perusahaan, hal tersebut perlu ditingkatkan dan di evaluasi secara berkala
Ceklist, Wawancara
176
dilakukannya pelatihan dan penjelasan terhadap anggota staf operasi agar dengan pasti mengetahui semua tanggung jawab dan tugas operasinya, hal ini didukung dengan adanya penjadwalan pekerjaan pegawai dan demi pencapaian operasi yang baik dilakukannya pengawasan terhadap infrastruktur TI walaupun tidak secara berkala (terkadang hanya ketika adanya masal ah)
untuk menjaga efekti fitas kegiatan operasi. Pengawasan dan monitor sudah menjadi masalah yang cukup banyak ditemui karena tidak dilakukan secara berkala dan hal ini lebih baik diperhatikan kembali oleh perusahaan untuk menjaga dari kejadian yang tidak diinginkan. Pengawasan lebih baik dilakukan minimal 4 kali per tahun.
Monitoring and Evaluate
Kriteria Temuan Rekomendasi
ME 1 Monitor and evaluate IT processes
ME 1.1 ME 1.2 ME 1.3 ME 1.4 ME 1.5 ME 1.6
Kegiatan perusahaan dalam pengawasan, pengukuran dan peninjauan atas kualitas kinerja sistem masih belum optimal. Perusahaan memang sudah melakukan pengawasan dan evaluasi sistem, tetapi hal tersebut belum dilakukan secara rutin untuk mengetahui dengan pasti tiap permasal ahan, tingkat performa TI dan kualitas kinerja yang didukung dengan pelaporan kepada manajemen secara berkala. Oleh karena itu seolah-olah pengawasan dan evaluasi dilakukan tetapi tidak terstruktur dengan baik
Perlunya dibentuk format atau pemilihan metode yang terstruktur dalam pengawasan dan evaluasi terhadap sistem secara rutin atau penggunaan alat bantu scorecard. Diharapkan manajemen akan dengan pasti mengetahui keadaan proses bisnis pada kenyataan dengan pelaporan yang memadai. Karena hal ini akan membantu perusahaan dalam mengambil keputusan pengembangan dan penerapan sistem
Ceklist, Wawancara
ME 4 Provide IT Governance
ME 4.1 ME 4.2 ME 4.3 ME 4.4 ME 4.5 ME 4.6 ME 4.7
Telah terdapatnya penyusunan kerangka kerja TI yang disesuikan dengan proses bisnis perusahaan, sehingga tiap ingin dilakukan implementasi sistem akan dipastikan bahwa benar dapat mendukung kegiatan proses bisnis. Manajemen tingkat atas sudah menyadari arti penting dari dukungan TI dalam kegiatan proses bisnis perusahaan.
Prosedur dalam pemenuhan kesesuian TI dengan proses bisnis sudah cukup baik dilakukan perusahaan. Hal tersebut juga didukung oleh manajemen tingkat atas yang menyadari tujuan serta manfaat diterapkannya sebuah TI dalam mendukung proses bisnis. Perusahaan sebaiknya terus meningkatkan penyeleksian kerangka kerja TI yang diusulkan untuk mendapatkan hasil
Ceklist, Observasi
177
Perusahaan telah menyadari akan pentingnya kebijakan yang sesuai dengan hukum dan aturan yang berlaku.
yang optimal serta tidak lepas dari peran perusahaan dalam mematuhi aturan dan hukum yang berlaku
Tabel 4.3 Analisa Temuan dan Rekomendasi
178
4.4 Laporan Hasil Evaluasi
LAPORAN HASIL EVALUASI PENGENDALIAN
SISTEM INFORMASI PENJUALAN
PADA PT. PERTANI (SBU PERBERASAN)
Kepada : PT. Pertani (SBU Perberasan)
Perihal : Laporan Hasil Evaluasi Pengendalian
Sistem Informasi Penjualan
Periode : September 2010-Januari 2011
Oleh :
Erren Bustami Kleriawan
Restina Kumala Sari
Januari 2011
179
1. Tujuan
Evaluasi terhadap PT. Pertani (SBU Perberasan) ditujukan sebagai sebuah metode
untuk mengetahui sejauh mana pengendalian telah diterapkan pada sistem informas i
penjualan perusahaan dan untuk memberikan saran serta rekomendasi atas temuan-
temuan kelemahan yang teridentifikasi dalam proses sistem informasi penjualan.
2. Ruang Lingkup
1. Evaluasi yang dilakukan pada sistem informasi penjualan di SBU Perberasan
PT. Pertani cabang Jakarta berdasarkan standar CobIT 4.1 dan empat domain
didalamnya yaitu Plan and Organize, Acquire and Implement, Deliver and
support, Monitor and Evaluate.
2. Evaluasi pengendalian sistem informasi penjualan dilakukan dengan
menggunakan Customer perspective.
3. Metodologi
Metode yang digunakan dalam melakukan evaluasi ini adalah dengan melakukan
studi dokumentasi, observasi, wawancara, kuesioner, dan checklist berdasarkan
pada pertanyaan yang sudah disusun sebelumnya.
4. Hasil Evaluasi
A. Hasil Evaluasi Pengendalian Sistem Informasi
1. PO 2 - Define the Information Architecture
Temuan :
Perusahaan sudah memiliki model arsitektur dari sistem yang akan
diterapkan, akan tetapi tidak adanya rancangan pembatasan ruang lingkup
atas hak akses pada aplikasi penjualan.
180
Rekomendasi :
Sebaiknya perusahaan melakukan perubahan pada aplikasi, yaitu
diberikannya batasan ruang lingkup atas hak akses berdasarkan tanggung
jawab dan tugas pegawai. Pembatasan ruang lingkup dapat dilakukan seperti
berikut :
Usulan Batasan Ruang Lingkup Hak Akses
Aktor Batas ruang lingkup aplikasi Bagian Penjualan a) Order Penjualan
b) Penjualan Tunai c) Penjualan Kredit d) Surat Pengembalian Penjualan Barang e) Buku Harian Penjualan f) Laporan Order Barang g) Laporan Pengembalian Barang h) Laporan Pengiriman Barang i) Laporan Penjualan Per Pelanggan j) Laporan Penjualan/ Pelanggan/ Produk k) Laporan Penjualan Per Salesman l) Rekapitulasi Faktur/DO dan SPA Penjualan
Bagian Gudang Delivery Order Bagian Pengiriman - Bagian Penagihan Faktur Penjualan Bagian Akuntansi -
Tabel 4.4 Usulan Batasan Ruang Lingkup Hak Akses
2. PO 4 – Define IT Processes, Organization and Relationship
Temuan :
Kerangka kerja proses TI sudah diarahkan untuk dapat mendukung
perencanaan strategis perusahaan, tetapi terlihat pada kenyataanya bahwa
manajemen kurang efektif melakukan pengawasan dan penilaian kualitas
kinerja yang dilakukan secara tidak rutin.
Rekomendasi :
Pengawasan terhadap kualitas kinerja perlu ditingkatkan dan dirancang lebih
terstruktur serta dilakukan evaluasi secara berkala minimal 4x dalam setahun
181
oleh perusahaan. Penilaian dapat dilakukan dengan menggunakan alat bantu
scorecard. Penilaian yang terstruktur dapat menggunakan alat bantu seperti
berikut :
Scorecard Penilaian atas Kinerja Pegawai
Kriteria Bulan TO TAL 1 2 3 4 5 6 7 8 9 10 11 12
Keandalan 1. Penyelesaian Tugas 2. Kerja sama
Sikap 1. Kejujuran 2. Kesopanan 3. Loyalitas 4. Kreativitas 5. Inisiatif 6. Tanggung jawab 7. Kepemimpinan
Disiplin 1. Kehadiran 2. Kerapihan
Tabel 4.5 Scorecard Penilaian atas Kinerja Pegawai
Keterangan :
- Nilai pada tiap kriteria di isi dari 1 – 10 sesuai penilaian kinerja pegawai - Total diperoleh dengan menambahkan nilai score bulan ke-1 hingga ke-12 dan dibagi
jumlah bulan.
3. PO 6 - Communicate Management Aim and Direction
Temuan :
Tiap proses pengembangan sistem belum dilakukannya dokumentasi akan
perubahaan yang terjadi secara rutin. Hal ini menyebabkan susahnya
menelusuri bukti implementasi dan jejak masalah.
Rekomendasi :
Dokumentasi ( blueprint lama) harus selalu ter-update ketika adanya
perubahan atau pengembangan pada sistem informasi penjualan.
182
4. PO 7 - Manage IT Human Resources
Temuan :
Prosedur dalam merekrut sumber daya manusia TI perusahaan sudah cukup
baik, hanya pengelolaan pelatihan pegawai yang terkesan belum efektif
dilakukan secara rutin oleh perusahaan. Selain hal tersebut, evaluasi kinerja
pegawai juga belum dilakukan secara terstruktur.
Rekomendasi :
Perusahaan sebaiknya membuat perencanaan pelatihan yang lebih baik,
dibentuknya jadwal pelatihan secara berkala (min 1x dalam setahun)kepada
para pegawai, sehingga kompetensi dan ketrampilan pegawai terasah dengan
baik.
5. AI 2 - Acquire and Maintain Application Software
Temuan :
Kurang memadainya jumlah sumber daya manusia TI yang menangani
sistem diseluruh cabang perusahaan, sehingga masalah menjadi sedikit
terlambat penyelesaiannya.
Rekomendasi :
Sebaiknya perusahaan melakukan perekrutan pegawai baru menjadi staf TI
perusahaan, dikarenakan jumlah cabang yang terbagi ke berbagai daerah
menjadi kendala untuk dapat menyelesaikan suatu permasalahan dengan
cepat.
6. AI 3 - Acquire and Maintain Technology Infrastructure
Temuan :
183
Perawatan terhadap infrastruktur tidak dilakukan secara berkala oleh staf TI
perusahaan, akibat kurangnya pegawai TI yang dapat menangani perawatan
secara teratur dan tepat waktu.
Rekomendasi :
Perlunya dilakukannya pelatihan kepada pegawai yang memiliki
kemampuan dasar dibidang TI pada setiap cabang, untuk dapat membantu
melakukan perawatan rutin pada infrastruktur TI yang ada.
7. AI 6 - Manage Changes
Temuan :
Perusahaan belum memiliki penetapan standar prosedur untuk menguji,
menentukan, mendokumentasikan dan mensahkan perubahan darurat yang
terjadi pada sistem dan infrastruktur TI.
Rekomendasi :
Manajemen sebaiknya membentuk tim penilai yang memiliki kompetensi
cukup baik untuk dapat memberikan saran dan rekomendasi atas perubahan
yang bersifat darurat. Hasil akhir dari penilaian kemudian didokumentasikan
sebagai standar perubahan darurat.
8. DS 3 - Manage Performance and Capacity
Temuan :
a. Perawatan atas perfoma sistem tidak dilakukan secara efektif, kurangnya
pengawasan secara berkala dan terkesan perawatan terjadi ketika
munculnya masalah yang dilaporkan oleh user kepada staf TI.
b. Beban kerja staf TI menjadi besar karena kurangnya dukungan SDM
dan wilayah kerja yang luas.
184
c. Tidak efektifnya kinerja jaringan sistem yang digunakan perusahaan,
karena cabang tidak terhubung secara langsung (realtime) dengan server
pusat.
Rekomendasi :
a. Manajemen sebaiknya merancang kriteria batasan yang dijadikan
sebagai indikator penilaian performa sistem agar secara dini diketahui
kemungkinan terjadinya masalah.
b. Perusahaan perlu melakukan penempatan staf TI ke wilayah yang
strategis atau sering terjadinya keluhan pada sistem.
c. Sebaiknya perusahaan membuat perencanaan membangun jaringan
koneksi yang terintegrasi antar setiap cabang dengan pusat. Sehingga
setiap data dan informasi yang terdapat di cabang atau pusat dapat
secara langsung (realtime) diperoleh.
9. DS 5 - Ensure Systems Security
Temuan :
Upaya menjaga keamanan sistem dirasa masih belum maksimal, terdapat
indikasi bahwa keamanan masih memiliki kelemahan-kelemahan dalam
pencapaian melindungi intergitas data.
a. Antivirus tidak ter-update secara otomatis
b. Tidak ada kebijakan penggantian password secara berkala
c. Komputer user tidak diproteksi dengan password
d. Ruang lingkup atas hak akses tidak ada
185
Rekomendasi :
Perusahaan harus membuat suatu perencanaan dan penilaian kembali atas
sistem keamanan yang telah diterapkan. Perubahan harus dilakukan oleh
perusahaan dari tingkat masalah terkecil hingga besar, pengawasan terhadap
sistem harus ditingkatkan terus agar bila adanya indikasi kelemahan pada
sistem dengan cepat terdeteksi dan dilakukannya penanggulangan agar tidak
terjadi masalah besar. Serta indikasi kelemahan yang telah tercantum dengan
segera diperbaiki.
10. DS 7 - Educate and Train Users
Temuan :
Pelatihan telah dilakukan oleh perusahaan pada pegawai baru, ketika
diterapkannya sistem baru dan bila adanya masalah pada cabang. Akan
tetapi, hal tersebut belum optimal sebab pelatihan yang dilakukan belum
secara terjadwal/berkala untuk para pegawai
Rekomendasi :
Sebaiknya perusahaan melakukan evaluasi akan kebutuhan dari pelatihan
terhadap pegawai dan pelatihan dioptimalkan dengan adanya kegiatan secara
rutin untuk meningkatkan kompetensi dan kemampuan pegawai. Pelatihan
sebaiknya minimal dilakukan oleh perusahaan sebanyak 1 kali dalam
setahun.
11. DS 12 - Manage the Physical Environment
Temuan :
186
Terdapat indikasi kelemahan pada perlindungan infrastruktur TI
diperusahaan, perusahaan belum optimal dalam menjaga keamanan
infrastruktur yang berasal dari ancaman faktor luar serta bencana.
Rekomendasi :
Sebaiknya perusahaan membuat kebijakan baru yaitu dengan menggunakan
peralatan atau perangkat tambahan untuk dapat membantu menjaga
keamanan infrasturktur TI perusahaan, seperti penggunaan kamera CCTV,
alat pendeteksi asap, alat pemadam kebakaran, mengasuransikan aset-aset
berharga perusahaan.
12. ME 1 - Monitor and Evaluate IT Processes
Temuan :
Perusahaan dalam pengawasan, pengukuran dan peninjauan atas kualitas
kinerja sistem masih belum optimal. Perusahaan memang sudah melakukan
pengawasan dan evaluasi sistem, tetapi hal tersebut belum dilakukan secara
rutin untuk mengetahui dengan pasti tiap permasalahan, tingkat performa TI
dan kualitas kinerja yang didukung dengan pelaporan kepada manajemen
secara berkala. Oleh karena itu seolah-olah pengawasan dan evaluasi
dilakukan tetapi tidak terstruktur dengan baik
Rekomendasi :
Perusahaan perlu mengevaluasi kembali akan prosedur pengawasan dan
evaluasi performa TI yang telah berjalan, karena prosedur yang telah ada
tersebut tidak dapat memenuhi kriteria evaluasi atau pengawasan yang
efektif. Pengawasan dan evaluasi harus dilakukan secara berkala dengan
187
penggunaan metode yang sudah terstruktur, agar isi hasil dari laporan benar-
benar dapat dipertanggung jawabkan. Pengawasan dan evaluasi
Berdasarkan hasil evaluasi yang telah dilakukan, Maka dapat diambil kesimpulan antara
lain :
a. Perusahaan memang sudah memiliki perencanaan, perancangaan dan
kerangka kerja dalam implementasi sistem TI untuk mendukung rencana
strategis perusahaan, akan tetapi proses tersebut belum berjalan dengan
efektif dan efisien. Belum optimalnya kinerja sistem yang dikarenakan
masih ditemukannya indikasi kelemahan-kelemahan dalam aktivitas
sistem proses bisnis berjalan.
b. Manajemen perusahaan telah menyadari akan tujuan dan manfaat dari
penerapaan TI dalam mendukung proses bisnis perusahaan. Oleh karena
itu sudah dibangunnya infrastruktur dan sistem TI yang diarahkan dalam
pencapaian tujuan bisnis. namun perusahaan harus mengevaluasi dan
menganalisa kembali sistem yang sudah ada dan dikembangkan lebih
optimal lagi agar infrastruktur dan sistem tersebut dapat menghasilkan
nilai tambah bagi kegiatan operasi perusahaan dalam memenangkan
persaingan bisnis dengan kompetitor.
Jakarta, Januari 2011
Tim Evaluasi