144  

BAB 4

EVALUASI PENGENDALIAN SISTEM INFORMASI PENJUALAN

PADA SBU PERBERASAN PT. PERTANI

4.1 Rencana Kerja Evaluasi

Proses evaluasi dilakukan terhadap sistem informasi penjualan yang ada di

perusahaan. Evaluasi ini diawali dengan membuat sebuah kerangka kerja yang berisi

metrik mengenai penjelasan perencanaan yang akan dilakukan untuk memperoleh data-

data yang dibutuhkan dengan berbagai teknik yang digunakan.

Aktivitas Hasil Yang Diperoleh Metode Melakukan pengajuan proposal ke beberapa perusahaan untuk dilakukan evaluasi sistem informasinya.

Mendapatkan perusahaan yang paling potensial untuk dilakukan proses evaluasi.

Observasi.

Membuat surat permohonan survei

Mendapatkan persetujuan survei dari PT. Pertani

Menyerahkan surat pengantar survei dari universitas kepada staff divisi Sumber Daya Manusia (SDM)

Mengkonsultasikan dengan pihak perusahaan mengenai sistem informasi yang cocok untuk dievaluasi.

Menentukan sistem informasi penjualan sebagai sistem informasi yang akan dievaluasi.

Wawancara

Mengamati dan meminta profile perusahaan dan struktur oganisasi.

Mendapatkan profil e perusahaan beserta akte notaris, gambar struktur organisasi serta uraian tugas dan fungsi dari tiap-tiap divisi.

Observasi, wawancara

Menganalisa proses bisnis sistem berjalan yang terdapat di dalam perusahaan

Memperoleh gambaran sistem berjalan perusahaan, serta dokumen-dokumen yang terkait.

Observasi, wawancara

Mengamati dan meminta spesifikasi arsitektur sistem informasi yang digunakan, serta tampilan layar aplikasi yang ada.

Mengetahui spesi fikasi hardware, software, database, dan network yang digunakan. Serta memperoleh print screen tampilan layar aplikasi yang ada.

Observasi, wawancara, dan melakukan login dengan menggunakan ID staf yang bersangkutan

Membuat dan mengajukan daftar pertanyaan kepada perusahaan terkait dengan business goals yang dievaluasi.

Mendapatkan jawaban berupa data dan informasi mengenai kondisi perusahaan.

Observasi, checklist, kuesioner dan Wawancara.

145  

Melakukan perhitungan, analisa, dan evaluasi berdasarkan jawaban dari pertanyaan yang diberikan.

Penentuan maturity level, hasil perhitungan, analisa dan evaluasi dengan masing-masing bagian yang terkait.

Analisa data, perhitungan maturity level.

Membuat rekomendasi atas temuan-temuan yang dianggap tidak sesuai dengan standar CobIT.

Menghasilkan rekomendasi dan masukan yang berguna kepada perusahaan untuk dilakukan perbaikan.

Analisa data.

Membuat laporan evaluasi. Menghasilkan laporan evaluasi beserta temuan dan rekomendasi.

Analisa data.

Tabel 4.1 Tabel Rencana Kerja Evaluasi

4.2 Kriteria Pengukuran Evaluasi

Dasar penentuan pengukuran pengendalian sistem informasi penjualan pada SBU

Perberasan di PT. Pertani adalah pada hubungan antara tujuan pemanfaatan TI dalam

mendukung tujuan bisnis secara keseluruhan. CobIT 4.1 membedakan pengukuran atau

penilaian menjadi 4 bagian, yaitu financial perspective, customer perspective, internal

perspective, learning and growth perspective.

PT. Pertani dalam kegiatan proses bisnisnya selalu memprioritaskan untuk dapat

memberikan pelayanan terbaik serta tingkat kepuasan pelanggan akan produk dan

pelayanan yang diberikan. Oleh karena itu, metode pengukuran yang sesuai dengan

prinsip perusahaan adalah menggunakan customer perspective. Dimana customer

perspective ini memiliki beberapa business goals yang harus dicapai. Diantaranya :

1. Plan and Organise (PO)

a. PO 1 Define a Strategic IT Plan

PO1.1 IT Value Management

PO1.2 Business-IT Alignment

PO1.3 Assessment of Current Capability and Performance

PO1.4 IT Strategic Plan

146  

PO1.5 IT Tactical Plans

PO1.6 IT Portfolio Management

b. PO 2 Define the Information Architecture

PO2.1 Enterprise Information Architecture Model

PO2.2 Enterprise Data Dictionary and Data Syntax Rules

PO2.3 Data Classification Scheme

PO2.4 Integrity Management

c. PO 3 Determine Technological Direction

PO3.1 Technological Direction Planning

PO3.2 Technological Infrastructure Plan

PO3.3 Monitor Future Trends and Regulations

PO3.4 Technology Standards

PO3.5 IT Architecture Board

d. PO 4 Define the IT Processes, Organisation, and Relationships

PO4.1 IT Process Framework

PO4.2 IT Strategy Committee

PO4.3 IT Steering Committee

PO4.4 Organisational Placement of the IT Function

PO4.5 IT Organisational Structure

PO4.6 Establishment of Roles and Responsibilities

PO4.7 Responsibility for IT Quality Assurance

PO4.8 Responsibility for Risk, Security, and Compliance

PO4.9 Data and System Ownership

PO4.10 Supervision

147  

PO4.11 Segregation of Duties

PO4.12 IT Staffing

PO4.13 Key IT Personnel

PO4.14 Contracted Staff Policies and Procedures

PO4.15 Relationships

e. PO 6 Communicate Management Aims and Directions

PO6.1 IT Policy and Control Environment

PO6.2 Enterprise IT Risk and Control Framework

PO6.3 IT Policies Management

PO6.4 Policy, Standard and Procedures Rollout

PO6.5 Communication of IT Objectives and Direction

f. PO 7 Manage IT Human Resources

PO7.1 Personnel Recruitment and Retention

PO7.2 Personnel Competencies

PO7.3 Staffing of Roles

PO7.4 Personnel Training

PO7.5 Dependence Upon Individuals

PO7.6 Personnel Clearance Procedures

PO7.7 Employee Job Performance Evaluation

PO7.8 Job Change and Termination

g. PO 8 Manage Quality

PO8.1 Quality Management System

PO8.2 IT Standards and Quality Practices

PO8.3 Development and Acquisition Standards

148  

PO8.4 Customer Focus

PO8.5 Continuous Improvement

PO8.6 Quality Measurement, Monitoring and Review

2. Acquire and Implement (AI)

a. AI 1 Identify Automated Solutions

AI1.1 Definition and Maintenance of Business Functional and

Technical Requirements

AI1.2 Risk Analysis Report

AI1.3 Feasibility Study and Formulation of Alternative Courses of

Action

AI1.4 Requirements and Feasibility Decision and Approval

b. AI 2 Acquire and Maintain Application Software

AI2.1 High-Level Design

AI2.2 Detailed Design

AI2.3 Application Control and Auditability

AI2.4 Application Security and Availability

AI2.5 Configuration and Implementation of Acquired Application

Software

AI2.6 Major Upgrades to Existing Systems

AI2.7 Development of Application Software

AI2.8 Software Quality Assurance

AI2.9 Applications Requirements Management

AI2.10 Application Software Maintenance

149  

c. AI 3 Acquire and Maintain Technology Infrastructure

AI3.1 Technological Infrastructure Acquisition Plan

AI3.2 Infrastructure Resource Protection and Availability

AI3.3 Infrastructure Maintenance

AI3.4 Feasibility Test Environment

d. AI 4 Enable Operation and Use

AI4.1 Planning for Operational Solutions

AI4.2 Knowledge Transfer to Business Management

AI4.3 Knowledge Transfer to End Users

AI4.4 Knowledge Transfer to Operations and Support Staff

e. AI 5 Procure IT Resources

AI5.1 Procurement Control

AI5.2 Supplier Contract Management

AI5.3 Supplier Selection

AI5.4 IT Resources Acquisition

f. AI 6 Manage Changes

AI6.1 Change Standards and Procedures

AI6.2 Impact Assessment, Prioritisation and Authorisation

AI6.3 Emergency Changes

AI6.4 Change Status Tracking and Reporting

AI6.5 Change Closure and Documentation

g. AI 7 Install and Accredit Solutions and Changes

AI7.1 Training

AI7.2 Test Plan

150  

AI7.3 Implementation Plan

AI7.4 Test Environment

AI7.5 System and Data Conversion

AI7.6 Testing of Changes

AI7.7 Final Acceptance Test

AI7.8 Promotion to Production

AI7.9 Post-Implementation Review

3. Deliver and Support (DS)

a. DS 1 Define and Manage Service Levels

DS1.1 Service Level Management Framework

DS1.2 Definition of Services

DS1.3 Service Level Agreements

DS1.4 Operating Level Agreements

DS1.5 Monitoring and Reporting of Service Level Achievement

DS1.6 Review of Service Level Agreement and Contracts

b. DS 2 Manage Third-Party Services

DS2.1 Identification of All Supplier Relationships

DS2.2 Supplier Relationship Management

DS2.3 Supplier Risk Management

DS2.4 Supplier Performance Monitoring

c. DS 3 Manage Performance and Capacity

DS3.1 Performance and Capacity Planning

DS3.2 Current Performance and Capacity

DS3.3 Future Performance and Capacity

151  

DS3.4 IT Resources Availability

DS3.5 Monitoring and Reporting

d. DS 4 Ensure Continuous Service

DS4.1 IT Continuity Framework

DS4.2 IT Continuity Plans

DS4.3 Critical IT Resources

DS4.4 Maintenance of the IT Continuity Plan

DS4.5 Testing of the IT Continuity Plan

DS4.6 IT Continuity Plan Training

DS4.7 Distribution of the IT Continuity Plan

DS4.8 IT Services Recovery and Resumption

DS4.9 Offsite Backup Storage

DS4.10 Post-Resumption Review

e. DS 5 Ensure Systems Security

DS5.1 Management of IT Security

DS5.2 IT Security Plan

DS5.3 Identify Management

DS5.4 User Account Management

DS5.5 Security Testing, Surveillance and Monitoring

DS5.6 Security Incident Definition

DS5.7 Protection of Security Technology

DS5.8 Cryptographic Key Management

DS5.9 Malicious Software Prevention, Detection and Correction

DS5.10 Network Security

152  

DS5.11 Exchange of Sensitive Data

f. DS 6 Identify and Allocate Costs

DS6.1 Definition of Services

DS6.2 IT Accounting

DS6.3 Cost Modeling and Charging

DS6.4 Cost Model Maintenance

g. DS 7 Educate and Train Users

DS7.1 Identification of Education and Training Needs

DS7.2 Delivery of Training and Education

DS7.3 Evaluation of Training Received

h. DS 8 Manage Service Desk and Incidents

DS8.1 Service Desk

DS8.2 Registration of Customer Queries

DS8.3 Incident Escalation

DS8.4 Incident Closure

DS8.5 Reporting and Trend Analysis

i. DS 10 Manage Problems

DS10.1 Identification and Classification of Problems

DS10.2 Problem Tracking and Resolution

DS10.3 Problem Closure

DS10.4 Integration of Configuration, Incident and Problem Management

j. DS 11 Manage Data

DS11.1 Business Requirements for Data Management

DS11.2 Storage and Retention Arrangements

153  

DS11.3 Media Library Management Systems

DS11.4 Disposal

DS11.5 Backup and Restoration

DS11.6 Security Requirements for Data Management

k. DS 12 Manage the Physical Environment

DS12.1 Site Selection and Layout

DS12.2 Physical Security Measures

DS12.3 Physical Access

DS12.4 Protection Against Environmental Factors

DS12.5 Physical Facilities Management

l. DS 13 Manage Operations

DS13.1 Operation Procedures and Instructions

DS13.2 Job Scheduling

DS13.3 IT Infrastructure Monitoring

DS13.4 Sensitive Documents and Output Devices

DS13.5 Preventive Maintenance for Hardware

4. Monitoring and Evaluate (ME)

a. ME 1 Monitor and Evaluate IT Performance

ME1.1 Monitoring Approach

ME1.2 Definition and Collection of Monitoring Data

ME1.3 Monitoring Method

ME1.4 Performance Assessment

ME1.5 Board and Executive Reporting

ME1.6 Remedial Actions

154  

b. ME 4 Provide IT Governance

ME4.1 Establishment of an IT Governance Framework

ME4.2 Strategic Alignment

ME4.3 Value Delivery

ME4.4 Resource Management

ME4.5 Risk Management

ME4.6 Performance Measurement

ME4.7 Independent Assurance

 

Adapun kriteria yang terdapat di dalam pengukuran Customer Perspective yang tidak

digunakan dalam proses evaluasi pengendalian sistem informasi penjualan pada SBU

Perberasan PT. Pertani adalah sebagai berikut:

1. PO05 Manage the IT Investment

Dalam proses tersebut tidak digunakan dalam evaluasi, karena dalam evaluasi

pengendalian sistem informasi penjualan SBU Perberasan PT. Pertani ini tidak

dibahas mengenai biaya yang digunakan dalam investasi TI dan SBU Perberasan

cabang Jakarta tidak memiliki wewenang dalam melakukan pengaturan investasi

TI. Yang berhak melakukan pengaturan investasi TI adalah PT. Pertani pusat.

2. PO10 Manage Project

Proses ini tidak digunakan dalam evaluasi karena SBU Perberasan cabang

Jakarta tidak memiliki wewenang dalam pengelolaan proyek TI yang dimiliknya,

semua pengembangan proyek TI yang ada sepenuhnya ditangani oleh PT. Pertani

pusat.

155  

4.3 Pelaksanaan Evaluasi

4.3.1 Checklist

Berikut adalah pertanyaan dan hasil dari audit checklist yang kami lakukan : 

Pertanyaan Jawaban Ya Tidak

PO1.1 IT Value Management Apakah pada sistem informasi di perusahaan sudah terdapat program yang mengindikasikan jika data yang diinput kurang atau salah?

PO1.2 Business-IT Alignment Apakah antara proses bisnis dan IT telah terintegrasi dengan baik satu sama lain?

PO1.3 Assessment of Current Capability and Performance Apakah terdapat pengevaluasian performa sistem untuk mendapatkan solusi dan layanan terkini?

PO1.4 IT Strategy Plan Apakah perusahaaan telah memiliki perencanaan strategis terkait dengan sistem yang ada sekarang?

PO1.5 IT Tactical Plans Apakah perusahaan telah memiliki perencanaan taktis TI yang menjelaskan kebutuhan TI, penggunaan sumber daya TI dan pengaturan perolehan keuntungan?

PO1.6 Portfolio Management Apakah sistem yang sudah ada telah menjamin bahwa tujuan program mendukung pencapai an hasil yang diharapkan perusahaan?

PO2.1 Enterprise Information Architecture Model Apakah perusahaan mempunyai gambaran model proses bisnis perusahaan khususnya proses penjualan, agar dapat digunakan dalam pengembangan aplikasi selanjutnya?

PO2.2 Enterprise Data Dictionary and Data Syntax Rules Apakah perusahaan telah melakukan pengelompokkan data dal am sistem dan aplikasi yang memudahkan pengguna sistem untuk mengolah data?

PO2.3 Data Classification Scheme Apakah perusahaan mempunyai skema pembagian data-data berdasarkan sensitifitas dan tingkat kepentingan data yang digunakan sebagai kontrol akses sistem informasi penjualan perusahaan? (misalnya data tingkatan pegawai untuk membatasi akses terhadap sistem)

PO 2.4 Integrity Management Apakah telah terdapat pengelolaan untuk menetapkan prosedur dalam menjamin integritas dan konsistensi data yang ada?

PO 3.1 Technological Direction Planning Apakah perusahaan telah melakukan analisa, pemilihan dan penggunaan teknologi yang berpotensi mendukung proses bisnis perusahaan?

PO3.2 Technology Infrastructure Plan Apakah perusahaan memiliki perencanaan infrastruktur teknologi yang berkesinambungan dengan perencanaan strat egis dan taktis TI?

PO3.3 Monitor Future Trends and Regulations Apakah perusahaan secara berkala telah memonitor perkembangan sektor teknologi dan sektor bisnis lainnya?

156  

PO3.4 Technology Standards Apakah perusahaan memiliki standar aturan dalam penggunaan teknologinya? PO3.5 IT Architecture Board Apakah perusahaan telah memiliki dewan arsitektur TI untuk memberikan garis besar arsitektur dan saran untuk aplikasinya?

PO4.1 IT Process Framework Apakah perusahaan memiliki kerangka kerja proses sistem informasi penjualan yang terhubung dengan sistem manajemen kualitas dalam pengukuran kinerja, kualitas sasaran, dan perencanaan?

PO4.2 IT Strategy Committee Apakah perusahaan telah membentuk tim komite strategi TI yang bertugas untuk memastikan implementasi TI sudah sesuai ketentuan perusahaan?

PO4.3 IT Steering Committee Apakah perusahaan telah memiliki komite pelaksana TI yang mengamati jalannya proses sistem bisnis yang berjalan di perusahaan?

PO4.4 Organisational Placement of The IT Function Apakah perusahaan telah menetapkan komite TI pada struktur organisasi internal perusahaan?

PO4.5 IT Organisational Structure Apakah perusahaan telah memiliki struktur Organisasional TI yang menggambarkan kebutuhan bisnis perusahaan?

PO4.6 Roles and Responsibilities Apakah sudah ada pembagian peran dan tanggung jawab bagi masing-masing bagian untuk membatasi wewenang masing-masing?

PO4.7 Responsibility for IT Quality Assurance Apakah perusahaan sudah mengatur tanggung jawab performa untuk menjamin kualitas dari fungsi TI?

PO4.8 Responsibility for Risk, Security and Compliance Apakah perusahaan telah memberikan tanggung jawab kepada setiap pengguna sistem mengenai resiko TI dan menjaga keamanan informasi di dalam sistem maupun keamanan fisik sistem, serta didukung oleh staff maintance TI yang ada dalam perusahaan?

PO4.9 Data and System Ownership Apakah perusahaan telah menyediakan prosedur, alat dan tanggung jawab dalam hal kepemilikan sistem, data dan informasi? 

PO4.10 Supervision Apakah perusahaan telah melaksanakan pelatihan pengawasan yang memadai dalam fungsi TI untuk menjamin tanggung jawabnya telah dijalankan dengan baik? 

PO4.11 Segregation of Duties

Apakah perusahaan telah melakukan pembagian tugas dan tanggung jawab, dimana setiap karyawan hanya melakukan tugas dan tanggung jawab yang relevan terhadap pekerjaan dan posisi mereka?

PO4.12 IT Staffing Apakah proses penerimaan staf di perusahaan telah memiliki standar khusus, dalam hal ini terkait dengan bidang yang menyangkut penggunaan teknologi informasi?

PO4.13 Key IT Personnel Apakah di perusahaan terdapat pengendalian yang mengawasi pegawai dalam mengerjakan tugas dan tanggung jawab untuk mencegah satu individu mengerjakan pekerj aan yang banyak dan penting?

157  

PO4.14 Contracted Staff Policies and Procedures Apakah perusahaan telah menetapkan kebijakan dan prosedur mengenai kesepakatan kontrak dengan konsultan / karyawan yang mendukung fungsi TI?

PO4.15 Relationships Apakah diantara fungsi TI perusahaan dengan bagian-bagian yang lain memiliki komunikasi yang baik dan optimal?

PO6.1 IT Policy and Control Environment Apakah perusahaan memiliki kebijakan dan pengendalian IT yang sesuai dengan dasar manajemen dan operasional perusahaan?

PO6.2 Enterprise IT Risk and Control Framework Apakah perusahaan telah memiliki kerangka kerja yang berfungsi untuk pendekat an terhadap masalah, resiko dan pengendalian IT?

PO6.3 IT Policies Management Apakah perusahaan telah melakukan pengembangan dan mempertahankan serangkaian kebijakan untuk mendukung strategi TI?

PO6.4 Policy, Standards and Procedures Rollout Apakah perusahaan telah memberikan penjelasan rincian kebijakan, standar dan prosedur TI yang digunakan untuk semua staf terkait?

PO6.5 Communication of IT Objectives and Direction Apakah semua bagian, baik dari pengguna hingga manajemen tingkat atas telah mengetahui dan memahami nilai dan tujuan dari IT yang diterapkan?

PO7.1 Personnel Recruitment and Retention Apakah proses penerimaan staf pada perusahaan telah berj alan dengan baik dan staf yang diterima memiliki keahlian yang dibutuhkan untuk membantu pencapaian tujuan perusahaan?

PO7.2 Personnel Competencies Apakah perusahaan telah memastikan dengan rutin bahwa karyawan telah memiliki kompetensi untuk memenuhi peran mereka berdasarkan pendidikan, pelatihan dan pengalaman mereka?

PO7.3 Staffing of Roles Apakah perusahaan telah melakukan pengawasan kesesuaian kinerja karyawan TI terhadap kebijakan dan prosedur manajemen TI?

PO7.4 Personnel Training Apakah perusahaan telah memberikan pelatihan kepada karyawan untuk mempertahankan pengetahuan, keterampilan dan pengetahuan mereka?

PO7.5 Dependence Upon Individuals Apakah terdapat pertukaran pengetahuan atau informasi di antara para staff sehingga tidak ada pekerjaan yang dilakukan hanya oleh satu individu?

PO7.6 Personnel Clearance Procedures Apakah perusahaan telah menetapkan persyaratan mengenai latar belakang pendidikan / kompetensi dalam penerimaan karyawan staf/development?

PO7.7 Employee Job Performance Evaluation Apakah ada pengevaluasian terhadap performa kerja dari karyawan yang dilakukan berkala?

PO7.8 Job Change and Termination Jika terjadi penghapusan atau pemindahan pekerjaan, terdapat pengaturan kembali tanggung jawab agar fungsi yang ada tetap dapat dijalankan?

PO8.1 Quality Management System Apakah perusahaan telah memiliki sistem manajemen kualitas yang bertanggung jawab dal am mengawasi, mengukur dan meningkatkan keefektifan kualitas TI yang dihasilkan?

158  

PO8.2 IT Standards and Quality Practices Apakah pihak perusahaan telah memiliki standar dan prosedur yang mengatur mengenai pemeliharaan kualitas TI agar sesuai dengan tujuan organisasi?

PO8.3 Development and Acquisition Standards Apakah disaat pengembangan sistem yang baru, perusahaan telah menet apkan standar-standar yang harus terpenuhi? Misalnya standar software pemrograman yang digunakan, standar penamaan, dll?

PO8.4 Customer Focus Apakah kebutuhan pelanggan telah diterapkan sebagai dasar untuk pencapaian manajemen kualitas?

PO8.5 Continuous Improvement Apakah perusahaan telah membuat perencanaan peningkatan kualitas yang dilakukan untuk perkembangan selanjutnya?

PO8.6 Quality Measurement, Monitoring and Review Apakah perusahaan telah melakukan pengukuran, pengawasan dan tinjauan kualitas untuk melakukan tindakan pemeliharaan, perbaikan dan pencegahan yang efekti f?

Pertanyaan Jawaban

Ya Tidak AI1.1 Definition and Maintenance of Business Functional and Technical Requirements

Apakah perusahaan telah melakukan pengidenti fikasian, prioritas dan persetujuan fungsi bisnis dan persyaratan bisnis yang diperlukan untuk mencapai hasil yang TI yang diharapkan?

AI1.2 Risk Analysis Report Apakah perusahaan telah melakukan analisis terhadap dokumen dan resiko-resiko yang terkait dengan persyaratan bisnis dan rancangan solusinya? 

AI1.3 Feasibility Study and Formulation of Alternative Courses of Action Apakah sudah dilakukan studi kelayakan yang memeriksa kemungkinan pengimplementasian kebutuhan perusahaan?

AI1.4 Requirements and Feasibility Decision and Approval Apakah ada rencana akuisisi (penggantian) infrastuktur teknologi yang memenuhi persyaratan fungsional dan teknis bisnis?

AI2.1 High-Level Design Apakah perusahaan telah melakukan pengadaan pembuatan rancangan spesifikasi lebih tinggi yang disetujui oleh manajemen?

AI2.2 Detailed Design Apakah rancangan software aplikasi dibuat secara terperinci? AI2.3 Application Control and Auditability Apakah terdapat implementasi pengendalian aplikasi otomatis untuk mencapai proses yang akurat, lengkap, tepat waktu, dan dapat diperiksa?

AI2.4 Application Security and Availability Apakah letak ketersediaan aplikasi persyarat an sebagai respon terhadap resiko sudah aman?

AI2.5 Configuration and Implementation of Acquired Application Software Apakah perusahaan telah melakukan perubahan besar terhadap sistem yang mengakibatkan perubahan terhadap fungsionalitas sistem?

AI2.6 Major Upgrades to Existing Systems Apakah perusahaan telah mengembangkan fungsi otomatis aplikasi sesuai dengan spesi fikasi rancangan, jaminan kualitas dan standar persetujuan oleh pihak ketiga? 

159  

AI2.7 Development of Application Software Apakah fungsi otomatis software aplikasi dikembangkan sesuai spesifikasi rancangan, jaminan kualitas, dan standar persetujuan oleh pihak ketiga?

AI2.8 Software Quality Assurance Apakah ada pengembangan, sumber daya, dan pelaksanaan rencana jaminan kualitas software untuk menghasilkan kualitas perusahaan yang dibutuhkan perusahaan?

AI2.9 Applications Requirements Management Apakah selama pengembangan dan pelaks anaan, aplikasi telah sesuai kebutuhan dan mampu menerima perubahan melalui proses yang berjalan?

AI2.10 Application Software Maintenance Apakah ada pengembangan strategi dan rencana untuk pemeliharaan aplikasi software?

AI3.1 Technological Infrastructure Acquisition Plan Apakah perusahaan telah membangun sebuah perencanaan untuk perancangan, implementasi dan pemeliharaan infrastruktur teknologi agar sesuai dengan kebutuhan proses bisnis?

AI3.2 Infrastructure Resource Protection and Availability Apakah perusahaan mempunyai prosedur yang terkait perlindungan dan pengawasan terhadap infrastruktur hardware, software, dan networking untuk memastikan ketersediaan, keamanan, integritas?

AI3.3 Infrastructure Maintenance Apakah perusahaan telah melakukan pengembangan strategi dan rencana untuk pemeliharaan infrastruktur serta memastikan segala perubahan agar tetap sejalan dengan kegiat an proses bisnis perusahaan?

AI3.4 Feasibility Test Environment Apakah perusahaan telah menetapkan lingkungan pengembangan dan uji sistem perusahaan guna mendukung aktivitas bisnis yang efektif dan efisi en?

AI4.1 Planning for Operational Solutions Apakah perusahaan telah melakukan perencanaan untuk mengidentifikasi dan mendokumentasikan semua aspek teknis, operasional dan penggunaan sehingga semua yang mengoperasikan, user, dan pemeliharan solusi otomatis dapat melaksanakan tanggung jawabnya?

AI4.2 Knowledge Transfer to Business Management Apakah perusahaan telah memberikan pengetahuan penuh kepada manajemen bisnis tentang penggunaan aplikasinya?

AI4.3 Knowledge Transfer to End Users Apakah perusahaan telah melakukan pemberi an pengetahuan terhadap end user dalam menggunakan sistem secara efekti f dan efisien dalam mendukung proses bisnis?

AI4.4 Knowledge Transfer to Operations and Support Staff Apakah ada training pada staf operasi dan teknis untuk mendukung dan memelihara sistem secara efekti f dan efisien?

AI5.1 Procurement Control Apakah perusahaan telah memiliki prosedur pengendalian dan pengembangan dalam pemenuhan sumber daya TI (hardware, software, infrastruktur) yang dibutuhkan?

AI5.2 Supplier Contract Management Apakah ada kebijakan dan prosedur mengenai kesepakatan kontrak dengan konsultan yang mendukung fungsi TI?

160  

AI5.3 Supplier Selection Apakah perusahaan telah melakukan pemilihan supplier yang terbaik dan tepat berdasarkan pada kebutuhan persyaratan yang ditetapkan?  

AI5.4 IT Resources Acquisition Apakah terdapat perlindungan terhadap manajemen perusahaan terkait dengan hak-hak dan kewajiban semua pihak dalam setiap perjanjian kontrak untuk penggantian perangkat lunak, pengembangan sumber daya IT, dan infrastruktur sistem?

AI6.1 Change Standards and Procedures Apakah ada prosedur atau standar yang disusun untuk menangani permintaan perubahan aplikasi, prosedur, proses, sistem, dan platform yang ada?

AI6.2 Impact Assessment, Prioritisation and Authorisation Apakah perusahaan telah melakukan penilaian secara terstruktur terhadap perubahan sistem yang dikategorikan dan diprioritasi untuk menentukan dampak yang akan mempengaruhi sistem operasional dan fungsional sistem?

AI6.3 Emergency Changes Apakah ada penetapan proses untuk menentukan, menguji, mendokumentasikan, menilai, dan mensahkan perubahan darurat yang tidak mengikuti prosedur perubahan yang telah ditetapkan?

AI6.4 Change Status Tracking and Reporting Apakah telah dilakukan penelusuran dan membuat laporan perubahan yang ditolak, disetujui, dan yang sedang dalam proses, serta memastikan bahwa perubahan yang disetujui telah dilaksanakan sesuai rencana?

AI6.5 Change Closure and Documentation Apakah saat perubahan diimplementasikan, perusahaan memperbaharui sistem yang terkait, dokumentasi pengguna, dan prosedur sesuai perubahan?

AI7.1 Training Apakah perusahaan telah melakukan pelatihan terhadap pengguna/staff department yang bersangkutan dan kelompok operasi fungsi TI sebagai bagian dari pengembangan proyek, implementasi atau modifikasi TI?

AI7.2 Test Plan Apakah perusahaan memiliki prosedur yang mengatur rencana pengujian sistem TI agar hasil yang diperoleh sesuai dengan tujuan perusahaan?

AI7.3 Implementation Plan Apakah perusahaan telah menetapkan rencana implementasi maupun penundaan atau penerapan solusi perubahan TI?

AI7.4 Test Environment Apakah perusahaan telah melakukan pengujian di dalam lingkungan perusahaan sebagai gambaran bahwa lingkungan operasi yang direncanakan berhubungan dengan keamanan, pengendalian internal, kegiatan operasi, beban kerja?

AI7.5 System and Data Conversion Apakah perusahaan telah memiliki perencanaan pengalihan data dan sistem serta perpindahan infrastruktur sistem dengan tujuan untuk mengembangkan bisnis?

AI7.6 Testing of Changes Apakah terdapat prosedur pengendalian internal yang menjaga proses berjalannya perpindahan sistem lama ke sistem baru untuk menjaga stabilitas proses bisnis berjalan?

AI7.7 Final Acceptance Test Apakah manajemen perusahaan mengevaluasi hasil pengujian terhadap perubahan sistem dan memperbaiki kesalahan yang teridenti fikasi?

161  

AI7.8 Promotion to Production Apakah setelah pengujian terdapat pengendalian perubahan sistem ke proses operasi untuk menjaga sistem agar tetap berjalan sesuai rencana implementasi?

AI7.9 Post-implementation Review Apakah perusahaan telah melakukan peninjauan kembali setelah implementasi sistem dilakukan sesuai dengan prosedur yang ditetapkan?

Pertanyaan Jawaban

Ya Tidak DS1.1 Service Level Management Framework Apakah fasilitas sudah memenuhi kebutuhan antara pelanggan dan partner perusahaan?

DS1.2 Definition of Services Apakah persyarat an bisnis sudah diimplementasikan dalam melayani pelanggan?

DS1.3 Service Level Agreements Apakah perusahaan menentukan dan menyepakati service level agreement pada tiap bagian TI dalam perusahaan?

DS1.4 Operating Level Agreements Apakah persetujuan operasional sudah memenuhi kepuasan pelanggan? DS1.5 Monitoring and Reporting of Service Level Achievements Apakah sudah dilakukan pengawasan dan pelaporan atas kinerja perusahaan? DS1.6 Review of Service Level Agreements and Contracts Apakah perusahaan telah memiliki evaluasi kontrak dengan penyedia layanan internal atau eksternal secara rutin yang dilakukan? 

DS2.1 Identification of All Supplier Relationship Apakah perusahaan telah mempunyai aturan klasifikasi atau pengelompokkan terhadap para supplier/pihak ketiga (berdasarkan jenis produk, signifikasi dan kritikalitas supplier)?

DS2.2 Supplier Relationship Management Apakah perusahaan telah menjalin hubungan yang baik dengan pelanggan dan penyalur serta apakah perusahaan telah memastikan kualitas hubungan berdasarkan pada kepercayaan dan kejelasan?

DS2.3 Supplier Risk Management Apakah perusahaan sudah mengantisipasi resiko pengantaran barang ke pelanggan?

DS2.4 Supplier Performance Monitoring Apakah perusahaan memiliki criteria standar pengawasan untuk memastikan persyaratan yang harus terpenuhi oleh supplier dalam jalinan kerjasama yang baik sesuai perjanjian bisnis yang disepakati?

DS3.1 Performance and Capacity Planning Apakah perusahaan sudah merencanakan kinerja dan kapasitas perusahaan? DS3.2 Current Capacity and Performance Apakah kinerja dan kapasitas perusahaan saat ini sudah memadai? DS3.3 Future Capacity and Performance Apakah perusahaan sudah melakukan antisipasi untuk kinerja dan kapasitas di masa mendatang?

DS3.4 IT Resources Availability Apakah perusahaan telah memastikan dan mengatasi ketersediaan performansi dan kapasitas sumber daya TI yang tidak memadai?

162  

DS3.5 Monitoring and Reporting Apakah perusahaan melakukan pengawasan terus menerus terhadap kinerja dan kapasitas sumber daya?

DS4.1 IT Continuity Framework Apakah perusahaan telah melakukan pengembangan rencana kerja untuk kelangsungan TI yang mendukung manajemen bisnis perusahaan?

DS4.2 IT Continuity Plans Apakah perusahaan telah melakukan pengembangan terhadap rencana keberlanjutan TI untuk mengurangi dampak yang besar pada fungsi dan proses bisnis?

DS4.3 Critical IT Resources Apakah perusahaan telah memusatkan perhatian pada item-item sumber daya TI yang kritis untuk memastikan rencana kelangsungan TI dan menetapkan prioritas dalam situasi pemulihan sumber daya TI?

DS4.4 Maintenance of the IT Continuity Plan Apakah perusahaan telah melaksanakan prosedur perubahan untuk memastikan rencana keberlanjutan TI tentang tetap diperbaharui dan sesuai persyaratan bisnis yang ditetapkan?

DS4.5 Testing of the IT Continuity Plan Apakah perusahaan telah melakukan pengujian terhadap rencana kelangsungan TI secara rutin untuk memastikan sistem TI dapat digunakan dengan efekti f dan relevan?

DS4.6 IT Continuity Plan Training Apakah perusahaan telah memberikan pelatihan rutin kepada semua user mengenai prosedur, peran dan tanggung jawabnnya dalam beberapa kasus insiden?

DS4.7 Distribution of the IT Continuity Plan Apakah perusahaan telah menentukan strategi distribusi rencana kelangsungan TI secara teratur dan memastikan strategi tersebut telah terdistribusi dengan benar dan aman untuk menetapkan wewenang pihak-pihak yang terkait dengan sistem?

DS4.8 IT Services Recovery and Resumption Apakah ada prosedur pemulihan dalam informasi teknologi perusahaan? DS4.9 Offsite Backup Storage Apakah tersedi a media untuk menyimpan data-data di luar kantor? DS4.10 Post-Resumption Review Apakah manajemen perusahaan sudah menciptakan prosedur sesuai perencanaan?

DS5.1 Management of IT Security Apakah perusahaan sudah mengelola keamanan informasi teknologi di tingkat tertinggi?

DS5.2 IT Security Plan Apakah perusahaan telah memastikan rencana keamanan sistem yang diimplementasikan sesuai dengan kebijakan, prosedur keamanan, dan infrastruktur TI?

DS5.3 Identify Management Apakah perusahaan telah memastikan identitas pengguna dan hak akses pengguna melalui mekanisme keotentikan yang disetujui oleh pemilik sistem? 

DS5.4 User Account Management Apakah perusahaan telah menetapkan pengaturan yang tepat terhadap prosedur manajemen user yang terkait dengan hak akses user?

163  

DS5.5 Security Testing, Surveillance and Monitoring Apakah perusahaan telah melakukan pengawasan implementasi keamanan TI secara rutin disertai dengan penanganan secara dini terhadap aktivitas yang tidak tepat pada perusahaan?

DS5.6 Security Incident Definition Apakah perusahaan telah melakukan perundingan khusus untuk menentukan dan mendeskripsikan dengan jelas karakteristik potensi terjadinya insiden keamanan?  

DS5.7 Protection of Security Technology Apakah perusahaan telah memiliki teknologi yang tahan terhadap masalah kerusakan, dan tidak menyingkap dokumentasi keamanan yang tidak perlu?

DS5.8 Cryptographic Key Management Apakah perusahaan telah menentapkan kebijakan dan prosedur terhadap pengarsipan kunci-kunci kriptografi sistem untuk memastikan perlindungan dari kerusakan dan ancamana lain?

DS5.9 Malicious Software Prevention, Detection and Correction Apakah perusahaan telah menempatkan upaya-upaya preventif, detektif dan korektif untuk melindungi sistem dan teknologi informasi dari virus komputer?

DS5.10 Network Security Apakah perusahaan telah menggunakan teknik keamanan dan prosedur manajemen untuk menguasai akses dan mengontrol aliran informasi untuk jaringan kerja?

DS5.11 Exchange of Sensitive Data Apakah pertukaran dat a-data perusahaan telah melalui jaringan khusus yang aman?

DS6.1 Definition of Services Apakah perusahaan sudah melakukan identifikasi biaya informasi teknologi? DS6.2 IT Accounting Apakah perusahaan telah melakukan penghitungan dan pelaporan estimasi biaya yang akan dikeluarkan?

DS6.3 Cost Modeling and Charging Apakah perusahaan sudah menggunakan struktur penetapan biaya pada informasi teknologi?

DS6.4 Cost Model Maintenance Apakah perusahaan secara teratur meninjau kelayakan biaya pada informasi teknologi?

DS7.1 Identification of Education and Training Needs Apakah perusahaan telah melakukan penetapan untuk setiap kelompok karyawan yang disesuaikan dengan kebutuhan strat egi bisnis, implementasi infrastruktur dan perangkat-perangakat TI lainnya?

DS7.2 Delivery of Training and Education Apakah perusahaan sudah mengelompokkan para karyawan menurut skill dan potensinya?

DS7.3 Evaluation of Training Received Apakah perusahaan telah melalukan evaluasi tehadap isi pendidikan dan pelatihan untuk relevansi, kualitas, keefekti fan pemeliharaan pengetahuan, biaya untuk menjadi masukan bagi kegiatan pelatihan?

DS8.1 Service Desk Apakah perusahaan telah melakukan pertemuan secara rutin antara user dengan staf TI untuk mencatat, membicarakan keluhan yang dilaporkan,

164  

permintaan layanan dan informasi, serta dilakukan pengawasan berdasarkan untuk mememudahkan klasifikasi dan prioritisasi semua masalah? DS8.2 Registration of Customer Queries Apakah perusahaan sudah menerapkan sistem untuk melakukan pencarian data pelanggan?

DS8.3 Incident Escalation Apakah perusahaan sudah mengantisipasi kejadian-kejadian sesuai dengan prosedur?

DS8.4 Incident Closure Apakah perusahaan telah melakukan pengukuran kepuasan pengguna akhir dengan kualitas layanan dan layanan TI? 

DS8.5 Reporting and Trend Analysis Apakah perusahaan sudah melakukan pelaporan atas kegiatan pelayanan? DS10.1 Identification and Classification of Problems Apakah perusahaan sudah melakukan identifikasi dan klasifikasi terhadap masalah?

DS10.2 Problem Tracking and Resolution Apakah perusahaan telah memiliki fasilitas proses audit yang sudah memadai untuk memudahkan penelusuran, penganalisaan, dan penentuan penyebab akar semua masalah?

DS10.3 Problem Closure Apakah sistem perusahaan sudah menerapkan prosedur pendekatan masal ah? DS10.4 Integration of Configuration, Incident and Problem Management Apakah perusahaan sudah diintegrasi dengan proses-proses penyelesai an masalah?

DS11.1 Business Requirements for Data Management Apakah sistem informasi perusahaan sudah memveri fikasi data yang diterima dan di proses?

DS11.2 Storage and Retention Arrangements Apakah perusahaan sudah menerapkan prosedur yang efekti f dan efisien untuk penyimpanan data?

DS11.3 Media Library Management Systems Apakah perusahaan telah mempunyai prosedur untuk menjaga perlengkapan pada media penyimpanan yang disimpan dan diarsipkan untuk menjaga daya guna dan terintegritasan media tersebut?

DS11.4 Disposal Apakah perusahaan sudah menerapkan prosedur untuk memastikan perlindungan data?

DS11.5 Backup and Restoration Apakah perusahaan telah menentukan dan mengimplementasikan prosedur untuk cadangan dan restorasi sistem, aplikasi, data dan dokumentasi yang sejalan dengan persyaratan bisnis?

DS11.6 Security Requirements for Data Management Apakah perusahaan sudah menerapkan prosedur keamanan dalam manajemen data?

DS12.1 Site Selection and Layout Apakah perusahaan telah menentukan dan memilih keamanan perlengkapan TI untuk mendukung strategi TI yang terhubung dengan strategi bisnis?

DS12.2 Physical Security Measures Apakah perusahaan telah melakukan pengukuran terhadap keamanan lingkungan untuk mencegah, mendeteksi dan mengurangi resiko-resiko yang

165  

berhubungan dengan pencuri an, bencana alam, terror, vandalisme (aksi corat-coret), atau ledakan? DS12.3 Physical Access Apakah perusahaan telah memiliki prosedur batasan akses bedasarkan kebutuhan bisnisnya terhadap staf, klien, dan pihak ketiga lainnya?

DS12.4 Protection Against Environmental Factors Apakah perusahaan sudah menerapkan langkah-langkah untuk perlindungan sistem terhadap faktor-faktor luar?

DS12.5 Physical Facilities Management Apakah perusahaan sudah mengelola fasilitas dan peralatan komunikasi dengan baik?

DS13.1 Operation Procedures and Instructions Apakah perusahaan telah menetukan, mengimplementasikan, memelihara prosedur untuk operasi TI, dan telah memastikan bahwa anggota staf operasi mengerti semua tugas operasi mereka?

DS13.2 Job Scheduling Apakah perusahaan sudah mengatur penjadwalan pekerj aan karyawan? DS13.3 IT Infrastructure Monitoring Apakah perusahaan sudah menerapkan prosedur untuk memantau infrastruktur sistem informasi?

DS13.4 Sensitive Documents and Output Devices Apakah perusahaan sudah menetapkan perlindungan dat a yang sesuai? DS13.5 Preventive Maintenance for Hardware Apakah perusahaan sudah menerapkan prosedur untuk menjamin pemeliharaan infrastruktur sistem informasi?

Pertanyaan Jawaban

Ya Tidak ME1.1 Monitoring Approach Apakah ada langkah-langkah untuk pengawasan, pengukuran, dan tinjauan kualitas untuk melakukan tindakan perbaikan dan pencegahan yang tepat?

ME1.2 Definition and Collection of Monitoring Data Apakah perusahaan telah melakukan proses pengawasan terhadap penyimpanan dan pengambilan data sehingga memberikan laporan yang akurat dan tepat waktu?

ME1.3 Monitoring Method Apakah perusahaan telah memiliki metode pengawasan terhadap kinerja yang mencat at target, pencapai an TI, dan yang sesuai dengan sistem pengawasan perusahaan?  

ME1.4 Performance Assessment Apakah perusahaan secara berkala meninjau performansi terhadap sasaran, menganalisa penyebab setiap penyimpangan dan mengawali tindakan perbaikan untuk mengatasi masalah yang ada?

ME1.5 Board and Executive Reporting Apakah perusahaan telah membuat laporan kontribusi TI mengenai tujuan yang tercapai, penggunaan sumber daya, dan rekomendasi untuk pembaharuan maupun perbaikan?

ME1.6 Remedial Actions Apakah perusahaan telah melakukan identifikasi dan tindakan perbaikan berdasarkan pada pengawasan, penilaian dan pelaporan kinerja?

ME4.1 Establishment of an IT Governance Framework Apakah perusahaan telah menyusun kerangka IT yang digunakan untuk

166  

menyesuaikan IT dengan proses bisnis perusahaan? ME4.2 Strategic Alignment Apakah para manajemen tingkat atas telah memahami mengenai permasalahan tentang IT, seperti peran dan kegunaan IT tersebut?

ME4.3 Value Delivery Apakah penggunaan IT di dalam perusahaan telah memberikan nilai lebih pada proses bisnis perusahaan?

ME4.4 Resource Management Apakah sumber daya manajemen yang ada telah cukup membantu meningkatkan penggunaan IT?

ME4.5 Risk Management Apakah perusahaan telah memiliki manajemen resiko yang dibentuk perusahaan untuk menentukan resiko yang mungkin timbul dalam penggunaan TI pada proses bisnis?

ME4.6 Performance Measurement Apakah perusahaan telah melakukan pengukuran kinerja TI yang dilakukan oleh manajemen perusahaan dan memberikan laporan yang rutin kepada manajemen senior?

ME4.7 Independent Assurance Apakah sistem IT di perusahaan telah sesuai dengan kebijakan perusahaan, hukum dan standar yang ada?

Tabel 4.2 Checklist

4.3.2 Analisa Temuan dan Rekomendasi

Berikut adalah temuan dan rekomendasi hasil evaluasi :

Plan and Organise

Kriteria Temuan Rekomendasi Metodologi

PO 1 Define a strategic IT Plan and direction

PO 1.1 PO 1.2 PO 1.3 PO 1.4 PO 1.5 PO 1.6

Dalam hal ini perusahaan telah mengidentifikasi sert a membuat perencanaan tentang strategi penerapan TI yang akan dilakukan dalam mendukung proses bisnis. Tiap perencanaan harus diikuti dengan proposal yang menggambarkan segala detail hal terkait

Hal ini menggambarkan perusahaan sudah cukup baik dalam mengawali sebuah keinginan akan kebutuhan sistem yang akan diterapkan, dimana perusahaan telah membuat perencanaan terlebih dahulu sebelum mengimplementasikan dan ini harus dipertahankan terus oleh perusahaan

Ceklist, wawancara

PO 2 Define the information architecture

PO 2.1 PO 2.2 PO 2.3 PO 2.4

Dalam hal ini perusahaan memang sudah memiliki gambaran/arsitektur model dari sistem yang akan diterapkan sert a telah melakukan pengelompokkan data sesuai dengan tingkat sensitifitasnya, akan tetapi kami temukan bahwa tidak adanya pembatasan ruang

Perusahaan harus lebih memperhatikan perancangan arsitektur model dalam sistem aplikasi yang akan diterapkan, perusahaan diharapkan melakukan identifikasi lebih mendalam mengenai pengendalian aplikasi sehingga kelemahan

Ceklist, Observasi

167  

lingkup atas hak akses masuk yang membuat aplikasi menjadi sangat mudah dimanipulasi oleh pihak yang tidak bertanggung jawab

seperti ini tidak terjadi dan meminimalisir kemungkinan adanya kelemahan kontrol pada aplikasi yang dapat berakibat fat al. Ruang lingkup atas hak akses harus dibatasi sesuai dengan tanggung jawab dan tugas pegawai.

PO 3 Determine technological direction

PO 3.1 PO 3.2 PO 3.3 PO 3.4 PO 3.5

Perusahaan telah memiliki dewan TI yang menganalisa, memonitor arah penerapan teknologi yang dapat diterapkan pada perusahaan dan dapat mendukung proses bisnis perusahaan

Perusahaan telah menerapkan teknologi yang cukup baik, sehingga yang perlu dilakukan oleh perusahaan adal ah untuk tetap terus menjaga stabilitas sistem dengan meningkatkan proses pengawasan serta analisa akan kebutuhan baru proses bisnis

Ceklist

PO 4 Define IT processes, organization and relationship

PO 4.1 PO 4.2 PO 4.3 PO 4.4 PO 4.5 PO 4.6 PO 4.7 PO 4.8 PO 4.9 PO 4.10 PO 4.11 PO 4.12 PO 4.13 PO 4.14 PO 4.15

Dalam proses bisnis berjalan perusahaan sudah mengidentifikasi dan memiliki kerangka proses kerja TI untuk mendukung perencanaan strategis pada seluruh bagian perusahaan. Termasuk dalam hal pembagian pembatasan tanggung jawab dan wewenang. Tetapi terlihat dalam aktifitasnya, manajemen kurang efekti f dalam melakukan pengawasan kinerja pegawainya, hal itu disebabkan karena tidak adanya pengawasan secara berkala dal am penilaian kualitas kinerja

Kerangka proses kerja TI dapat dilanjutkan oleh perusahaan, tetapi akan lebih baik bila perusahaan selalu melakukan evaluasi untuk memperbaiki atau menambahkan kekurangan yang ada agar dapat berkembang sejalan dengan proses bisnis perusahaan Peningkatan dalam proses pengawasan perlu dilakukan oleh manajemen, pengawasan dibuat terstruktur menggunakan scorecard dan rutin dilakukan untuk mendapatkan hasil yang optimal

Ceklist, Wawancara

PO 6 Communicate management aim and direction

PO 6.1 PO 6.2 PO 6.3 PO 6.4 PO 6.5

Perusahaan dirasa sudah menyadari arti penting dari mengkomunikasikan segala kebijakan dan pengendalian TI terhadap manajemen. Hal ini terlihat dari pemahaman pegawai yang sudah mengerti nilai-nilai manfaat diterapkannya sebuah sistem teknologi untuk dapat mendukung

Informasi berkaitan proses bisnis atau perusahaan harus terus dikomunikasikan kepada manajemen agar tidak adanya ketidaktahuan terhadap tujuan dan pencapaian organisasi. Oleh karena itu kejelasan, keakuratan, ketersediaan informasi harus

Wawancara, Observasi, Ceklist

168  

kegiatan proses berjal an perusahaan. Perusahaan telah memiliki kerangka kerja dalam pendekatan terhadap masalah, resiko dan pengendalian TI serta melakukan pengembangan dan mempertahankan serangkaian kebijakan untuk mendukung startegi TI, tetapi kelemahan yang terjadi adalah tiap proses pengembangan tidak terdokumentasi secara teratur/rutin

dimaksimalkan Perlunya pemahaman akan pentingnya dokumentasi atas suatu pengembangan dan perubahaan, karena dokumentasi yang teratur/rutin dapat memudahkan manajemen dalam menelusuri jejak masalah untuk pembelajaran atau informasi kedepannya. Oleh karena itu perusahaan perlu melakukan dokumentasi secara rutin bila adanya perubahan dalam dokumentasi ( blueprint) awal/lama

PO 7 Manage IT human resources

PO 7.1 PO 7.2 PO 7.3 PO 7.4 PO 7.5 PO 7.6 PO 7.7 PO 7.8

Perusahaan telah memiliki prosedur yang cukup baik dalam mengatur sumber daya manusia perusahaan. Prosedur berkaitan dengan penerimaan pegawai yang harus memiliki kompetensi dan syarat pendidikan memenuhi kebutuhan dari perusahaan. Manajemen juga telah melakukan pelatihan terhadap SDM perusahaan dalam proses pengingkatan pengetahuan, keterampilan dan keahlian penggunaan sistem Manajemen belum melakukan evaluasi secara berkala terhadap kinerj a dari pegawai.

Pengelolaan SDM perusahaan akan lebih baik bila terus di analisa dan disesuaikan dengan keadaaan perusahaan. Sehingga seperti penerimaan pegawai terus mengalami peningkatan yang memberi masukan positif bagi perusahaan untuk dapat mengembangkan usaha kearah yang lebih baik. (peningkatan syarat penerimaan) Pelatihan dilakukan secara rutin dan tidak hanya ketika adanya suatu penerapan sistem baru saja. Pelatihan juga sebaiknya selain dilakukan oleh staf TI juga dibawakan dari sumber-sumber external Manajemen perlu membenahi prosedur evaluasi atau penilaian terhadap kinerj a pegawai, penilaian harus dilakukan secara periodik (min 4 kali per tahun) untuk mengetahui kelemahan yang ada pada SDM

Wawancara, Ceklist

169  

perusahaan, dibantu dengan dokumentasi dalam scorecard .

PO 8 Manage Quality

PO 8.1 PO 8.2 PO 8.3 PO 8.4 PO 8.5 PO 8.6

Perusahaan menyadari perlunya suatu pengendalian terhadap kualitas kerja dan TI dengan merumuskan standar-standar acuan dalam suatu pencapai an kualitas yang baik. Pemeliharaan dan pengawasan dilakukan perusahaan terhadap bagian-bagian sensifiti f pada perusahaan dan hal ini terus dikembangkan oleh perusahaan dalam pencapaian hasil yang maksimal.

Perusahaan dapat mempertahankan kondisi ini dalam proses bisnis berjalan. Tetapi diharapkan untuk menjamin bahwa kualitas terjaga dengan baik. Perlu dibentuknya suatu tim independen yang menilai secara periodik (minimal 2 kali per tahun) atas keberlangsungan sistem proses bisnis

Wawancara, Ceklist

Acquire and Impmentle

Kriteria Temuan Rekomendasi

AI 1 Identify automated solutions

AI 1.1 AI 1.2 AI 1.3 AI 1.4

Identi fikasi terhadap resiko-resiko persyaratan bisnis dan rancangan solusi telah dilakukan dalam pencapaian implementasi sistem yang sesuai dengan tujuan perusahaan. Hal tersebut dengan telah dilakukannya studi kelayakan dalam setiap rancangan dalam pencapaian TI yang diharapkan.

Pertahankan dan tingkatkan standar studi kelayakan pada tiap pemenuhan akan kebutuhan dari perusahaan, agar jaminan keberhasilan dari penerapan dan pemenuhan sistem menjadi tinggi

Ceklist

AI 2 Acquire and maintain application software

AI 2.1 AI 2.2 AI 2.3 AI 2.4 AI 2.5 AI 2.6 AI 2.7 AI 2.8 AI 2.9 AI 2.10

Perusahaan sudah memahami bahwa sebuah implementasi sistem pasti memerlukan suatu perawatan dan penambahan/perbaikan selama proses bisnis berjalan, oleh karena itu perawatan terhadap aplikasi dilakukan oleh staf TI terhadap aplikasi yang digunakan Diketahui bahwa proses perubahaan atau perbaikan aplikasi tergolong cukup lama dari masalah ditemukan hingga masalah dapat diselesaikan,

Perawatan terhadap sistem aplikasi proses bisnis harus dilakukan secara rutin (minimal 3 bulan sekali) dan segala perubahan atau perbaikan didokumentasi untuk memudahkan dalam penelusuran Perlunya penerimaan staf TI tambahan yang berkompeten dan sesuai dengan kebutuhan, sehingga waktu pengerjaan perbaikan bisa lebih diminimalisir Pada saat update aplikasi

170  

dikarenakan SDM yang tidak memadai untuk menangani seluruh cabang yang ada Perbedaan penyebutan primary key – secondary key ( format )

dilakukan perubahan pada format aplikasi yang berbeda penyebutan primary key dan secondary key-nya pada form penjualan tunai dan penjualan kredit (nomor faktur dirubah dengan nomor DO)

AI 3 Acquire and maintain technology infrastructure

AI 3.1 AI 3.2 AI 3.3 AI 3.4

Perusahaan dalam mengakuisisi infrastruktur telah membuat sebuah perencanaan untuk perancangan, implementasi dan pemeliharaan infrastruktur teknologi agar sesuai dengan kebutuhan proses bisnis. Tetapi pada kenyataannya proses perawatan terhadap infrastruktur tidak efekti f dan rutin dilakukan oleh staf TI, karena staf TI tidak tersebar secara menyeluruh kesetiap cabang dan proses perawatan menjadi tidak tepat waktu

Perencanaan yang dibuat oleh manajemen sudah cukup baik, tetapi hal tersebut belum didukung dengan realisasi pada kenyataan. Perusahaan lebih baik melakukan pelatihan-pel atihan terhadap pegawai disetiap cabang yang memiliki kemampuan dibidang TI, sehingga dapat difungsikan sebagai staf yang melakukan perawatan terhadap infrastruktur

Wawancara, Ceklist

AI 4 Enable operation and use

AI 4.1 AI 4.2 AI 4.3 AI 4.4

Perusahaan telah mendefinisikan akan kebutuhan operasional termasuk mendokumentasikan, sehingga pengguna dapat dengan mudah mengoperasikan sistem sesuai dengan semestinya.

Hal yang perlu dilakukan adalah dengan sel alu mengevaluasi dan analisa akan perkembangan proses bisnis, agar kegiatan operasional dapat sejalan dengan tujuan organisasi Tiap perkembangan dan perubahaan harus didokumentasikan dalam blueprint agar informasi dapat diperoleh dengan mudah

Ceklist, Wawancara

AI 5 Procure IT resources

AI 5.1 AI 5.2 AI 5.3 AI 5.4

Dalam proses akuisisi kebutuhan akan TI, perusahaan sudah membuat prosedur yang harus dilakukan. Terdapatnya kriteria-kriteria dalam pemilihan vendor, adanya perjanjian berupa kontrak yang menjamin perlindungan atas hak dan kewajiban berbagai pihak dan pengendalian atas kerjasama

Prosedur yang telah diberlakukan sudah cukup baik, dalam proses berjalan bisnis perusahaan akan lebih baik selalu menganalisa prosedur agar terus sejalan dengan perkembangan bisnis

Ceklist, Wawancara

171  

AI 6 Manage Changes

AI 6.1 AI 6.2 AI 6.3 AI 6.4 AI 6.5

Perusahaan sudah memiliki kebijakan dan prosedur dalam menangani permintaan perubahaan pada proses bisnis dan sistem, tetapi belum dilakukannya penilaian secara terstruktur mengenai dampak perubahan terhadap sistem operasi dan fungsional sistem. Tidak adanya penetapan proses untuk menentukan, menguji, mendokumentasi dan mensahkan perubahan darurat yang terjadi pada sistem

Dalam hal ini perusahaan dianjurkan untuk mendefinisikan secara terstruktur atau formal akan resiko dari solusi yang akan diterapkan, sehingga segala informasi menjadi jelas dan kelemahan dapat diminimalisir Manajemen harus mempunyai tim penilai yang memiliki kompetensi cukup baik untuk dapat memberikan penilaian dan saran terhadap perubahan yang bersi fat darurat, diharapkan dapat mengambil keputusan pengalihan sementara agar sistem/proses bisnis tetap bisa berjalan dan solusi yang efekti f di jadikan standar prosedur perusahaan

Ceklist, Wawancara

AI 7 Install and accredit solutions and changes

AI 7.1 AI 7.2 AI 7.3 AI 7.4 AI 7.5 AI 7.6 AI 7.7 AI 7.8 AI 7.9

Perusahaan sudah memiliki standar yang mengatur mengenai pengujian, perencanaan, pengendalian proses penerapan solusi yang diikuti dengan evaluasi hasil dari perubahan. Proses implementasi sistem baru atau perubahan besar diterapkan secara paral el, sehingga tidak begitu menggangu kegiatan proses bisnis berjalan

Tiap kebijakan dan standar yang telah dibentuk, diharapkan selalu dijalankan dengan baik pada kenyataannya. Sehingga efekti fitas sistem itu benar dapat tercapai. Metode ini dirasa memang cukup baik digunakan dalam konversi sistem pada suatu perusahaan. Karena resiko yang lebih kecil dibanding dengan metode lainnya, akan tetapi perusahaan harus dengan cermat mengidentifikasi tiap resiko dan memastikan bahwa konversi sistem berjalan sesuai perencanaan, bila tidak maka akan muncul beban biaya yang besar untuk menangani 2 (dua) sistem yang sama-sama berjalan akibat mundurnya jadwal penyelesai an.

Ceklist, Wawancara

172  

Deliver and Support

Kriteria Temuan Rekomendasi

DS 1 Define and manage service levels

DS 1.1 DS 1.2 DS 1.3 DS 1.4 DS 1.5 DS 1.6

Perusahaan telah menyadari akan pentingnya nilai kepuasaan yang diterima oleh pelanggan atau partner kerja. Dalam hal ini perusahaan sudah mengembangkan suatu service level agreement sebagai bentuk penanaman kualitas pada perusahaan dalam melaksanakan kinerja proses bisnis yang baik.

Perusahaan harus mengidentifikasikan berbagai faktor-faktor yang menjadi titik kunci dalam pencapaian kepuasan berbagai pihak. Hasil identifikasi ini dibuat dan dirancang untuk menghasilkan suatu bentuk service level agreement yang lebih terstruktur dan dijadikan target bagi perusahaan untuk bisa membawa perusahaan kearah yang lebih baik.

Ceklist

DS 2 Manage third-party services

DS 2.1 DS 2.2 DS 2.3 DS 2.4

Perusahaan selalu mengedepankan hubungan kerja yang baik dengan para rekanan bisnis ( Supplier, Pelanggan dan Vendor TI ) dan jalinan kerja sama selalu diawasi untuk memastikan tidak adanya permasal ahan yang dapat menimbulkan kerugian bagi berbagai pihak

Hal seperti ini sudah seharusnya dipert ahankan oleh perusahaan. Karena aktivitas seperti ini dapat menjaga aliran proses bisnis tetap bergerak maju dalam mencapai tujuan organiasi dan dengan didukung pencapaian terhadap service level agreement yang efekti f melalui evaluasi-evaluasi hubungan kerja.

Ceklist, Wawancara

DS 3 Manage performance and capacity

DS 3.1 DS 3.2 DS 3.3 DS 3.4 DS 3.5

Perencanaan telah dilakukan perusahaan untuk mengatur dan mengawasi kinerja serta kemampuan sistem, akan tetapi proses pengawasan tidak dilakukan manajemen secara berkala (bila hanya terdapat keluhan). Kurang memadainya kapasitas sumber daya TI dalam penyelesai an suatu masalah, karena cabang perusahaan tersebar diseluruh Indonesia yang membuat beban kerja menjadi besar. Tidak efekti fnya jaringan sistem perusahaan, karena cabang tidak secara langsung terhubung (realtime) dengan server yang berada dipusat

Kegiatan pengaturan dan pengawasan harus lebih ditingkatkan, peningkatan performa tidak hanya ketika belum munculnya keluhan dari pengguna. Manajemen harus memiliki kriteria batasan yang dijadikan acuan penilaian performa dan kemampuan sistem dalam menjalankan proses bisnis Perusahaan harus membuat perencanaan penambahan SDM dan atau menempatkannya ke wilayah-wilayah yang cukup strategis serta seringnya timbul permasal ahaan. Kebutuhan akan aliran data dan informasi yang cepat, akurat, terpercaya

Ceklist, Wawancara, Observasi

173  

dituntut dengan adanya koneksi jaringan yang saling terintegrasi satu sama lain. Oleh karena itu ada baiknya perusahaan mengimplemtasikan jaringan terkoneksi langsung kesetiap cabang yang ada, agar data dan informasi dapat langsung diterima atau dikirim seketika

DS 4 Ensure continuous service

DS 4.1 DS 4.2 DS 4.3 DS 4.4 DS 4.5 DS 4.6 DS 4.7 DS 4.8 DS 4.9 DS 4.10

Pengembangan sistem informasi penjualan sudah di rancang secara berkelanjutan untuk memastikan keberlangsungan proses bisnis. Kelemahan yang muncul ketika adanya ancaman atau resiko bencana alam, dimana perusahaan tidak memiliki solusi perencanaan darurat yang terdokumentasi, sehingga penyelesai an masalah tidak cepat teratasi.

Manajemen sebaiknya mengidentifikasikan segala kemungkinan resiko diluar hal teknis dan membuat solusi penyelesai an darurat yang terdokumentasi, untuk memudahkan penanggulangan pertama pada bencana. Serta dilakukannya pelatihan-pelatihan dalam menghadapi situasi darurat

Ceklist, Wawancara

DS 5 Ensure systems security

DS 5.1 DS 5.2 DS 5.3 DS 5.4 DS 5.5 DS 5.6 DS 5.7 DS 5.8 DS 5.9 DS 5.10 DS 5.11

Perusahaan belum mengupayakan tingkat keamanan sistem semaksimal mungkin, terdapat beberapa indikasi kelemahan pada keamanan dan integritas data. Contoh : tidak adanya penetapan batas ruang lingkup terhadap hak akses aplikasi sistem, belum adanya jaringan khusus (VPN) yang menjadi jalur aliran data pribadi antar cabang - pusat, komputer user tidak diproteksi menggunakan password, penggunaan antivirus yang tidak ter-update secara otomatis pada komputer user, tidak adanya kebijakan penggantian password secara rutin pada user.

Peningkatan keamanan sistem perlu dilakukan, perusahaan harus membuat suatu perencanaan dan penilaian kembali akan proses sistem berjalan (memperhitungkan masalah biaya, resiko, kebutuhan, kelangsungan sistem). Perubahan harus dilakukan oleh perusahaan dari tingkat masalah terkecil hingga besar, pengawasan terhadap sistem harus ditingkatkan terus agar bila adanya indikasi kelemahan pada sistem dengan cepat terdeteksi dan dilakukannya penanggulangan.

Ceklist, Wawancara, Observasi

DS 6 Identify and allocate costs

DS 6.1 DS 6.2 DS 6.3 DS 6.4

Perusahaan telah melakukan identifikasi atas biaya informasi teknologi dan melakukan perhitungan

Pengelolaan biaya atas pemenuhan kebutuhan TI perusahaan sudah dilakukan dengan baik,

Ceklist, Wawancara

174  

serta estimasi atas segala biaya yang akan dikeluarkan berdasarkan struktur penetapan biaya yang telah ditetapkan perusahaan.

akan tetapi agar pengalokasian dana lebih efisien, perusahaan perlu melakukan analisa secara cermat atas kelayakan biaya alokasi TI (berdasarkan faktor perhitungan biaya, tingkat pengembelian, resiko, serta manfaat yang dapat diperoleh)

DS 7 Educate and train users

DS 7.1 DS 7.2 DS 7.3

Prosedur dan standar pelatihan sudah dibentuk oleh perusahaan. Kegiatan pelatihan pun dilakukan ketika adanya penerapan sistem TI dan bila adanya masalah pada cabang. Tidak ada jadwal rutin adanya pelatihan untuk menambah wawasan, pengetahuan, ketrampilan pegawai.

Perusahaan harus dapat menganalisa kebutuhan akan pelatihan pada pegawai, salah satunya dengan adanya evaluasi kualitas kerja pegawai secara rutin (minimal 4 kali per tahun). Diluar itu diharapkan perusahaan membuat suatu perencanaan pelatihan secara berkala dalam meningkatkan kompetensi pegawai

Ceklist, Wawancara

DS 8 Manage service desk and incidents

DS 8.1 DS 8.2 DS 8.3 DS 8.4 DS 8.5

Dalam hal ini perusahaan sudah menerapkan prosedur untuk mengatur pelayanan front offi ce. Perusahaan dalam menilai tingkat layanan telah melakukan suatu pengukuran terhadap kepuasaan pelanggan yang dilakukan melalui penyebaran kuesioner sebagai alat ukur. Peningkatan kualitas layanan front office pun diperhatikan, salah satunya dengan mudahnya bagi user untuk dapat menghubungi staf TI langsung dalam memberikan informasi, keluhan, permintaan pelayanan

Perusahaan diharapkan mengadakan survey terhadap pel anggan secara berkala (min 6 bulan sekali), karena informasi akan kepuasan pelanggan sangat berguna dan berpengaruh terhadap keberlangsungan dan perkembangan sistem agar menjadi lebih efekti f dan efisien

Ceklist, Wawancara

DS 10 Manage problems

DS 10.1 DS 10.2 DS 10.3 DS 10.4

Identi fikasi dan klasifikasi terhadap masal ah telah dirancang oleh perusahaan. Permasalahan biasanya akan di analisa dan audit untuk mengetahui solusi yang dapat diambil dan sebagai informasi / data baru bagi perusahaan.

Perusahaan telah mengembangkan pengelolaan terhadap masalah cukup baik, dan hal tersebut selayaknya terus ditingkatkan. Staf TI perlu merencanakan dan

Ceklist, Observasi, Wawancara

175  

Penyelesaian permasal ahaan belum dirancang terintegrasi dengan sistem, tidak adanya fasilitas/fitur “ bantuan / help” yang memudahkan user untuk mengatasi masalah secara cepat

merancang fitur batuan seperti ini, diharapkan dengan adanya fitur seperti ini akan membantu user untuk mencoba menyelesaikan masal ah sendiri terlebih dahulu dan beban kerja staf TI akan sedikit berkurang serta bisa lebih fokus terhadap pengembangan sistem kedepan

DS 11 Manage data

DS 11.1 DS 11.2 DS 11.3 DS 11.4 DS 11.5 DS 11.6

Perusahaan telah mengatur prosedur dalam mengelola data dan informasi perusahaan, terdapatnya proses veri fikasi terhadap data yang akan diterima dan diproses, perlindungan data dengan mengompres data ke dalam .zip dan diberi proteksi password sebelum dikirim ke pusat, adanya proses backup otomatis untuk mengantisipasi terjadinya masalah dan data telah diklasifikasikan kedalam kategori-kategori tertentu

Perusahaan sudah cukup baik dalam mengelola data yang ada. Dalam hal ini perusahaan dapat terus mempertahankan dan ditingkatkan untuk menjaga integritas dan ketersedi aan data

Wawancara, Ceklist, Observasi

DS 12 Manage the physical environment

DS 12.1 DS 12.2 DS 12.3 DS 12.4 DS 12.5

Perusahaan sudah memiliki prosedur dan standar yang mengatur keamanan dari infrastruktur TI, tetapi belum optimal. Kelemahan ditemukan seperti tidak ada generator set, tidak adanya pelindungan tambahan keamanan seperti CCTV, tidak adanya alat pendeteksi asap, hanya terdapat alat pemadam kebakaran beberapa unit dan perlindungan penjaga keamanan yang mengawasi lingkungan perusahaan.

Untuk dapat mengoptimalkan tingkat keamanan perusahaan, sebaiknya perusahaan menambakan beberapa fasilitas keamanan seperti CCTV sebagai pendukung barang bukti bila adanya gangguan keamanan, memasang alat pendeteksi asap bila terjadi kebakaran, serta didukung dengan generator set sebagai cadangan ketika aliran listrik mati. Perusahaan sebaiknya mengasuransikan aset-aset yang dinilai berharga

Ceklist, Observasi, Wawancara

DS 13 Manage operations

DS 13.1 DS 13.2 DS 13.3 DS 13.4 DS 13.5

Pengelolaan lingkungan operasi telah dilakukan dan dikembangkan oleh perusahaan. Adanya pemeliharaan terhadap operasi TI dan telah

Pengaturan terhadap lingkungan operasi sudah cukup baik dilakukan oleh perusahaan, hal tersebut perlu ditingkatkan dan di evaluasi secara berkala

Ceklist, Wawancara

176  

dilakukannya pelatihan dan penjelasan terhadap anggota staf operasi agar dengan pasti mengetahui semua tanggung jawab dan tugas operasinya, hal ini didukung dengan adanya penjadwalan pekerjaan pegawai dan demi pencapaian operasi yang baik dilakukannya pengawasan terhadap infrastruktur TI walaupun tidak secara berkala (terkadang hanya ketika adanya masal ah)

untuk menjaga efekti fitas kegiatan operasi. Pengawasan dan monitor sudah menjadi masalah yang cukup banyak ditemui karena tidak dilakukan secara berkala dan hal ini lebih baik diperhatikan kembali oleh perusahaan untuk menjaga dari kejadian yang tidak diinginkan. Pengawasan lebih baik dilakukan minimal 4 kali per tahun.

Monitoring and Evaluate

Kriteria Temuan Rekomendasi

ME 1 Monitor and evaluate IT processes

ME 1.1 ME 1.2 ME 1.3 ME 1.4 ME 1.5 ME 1.6

Kegiatan perusahaan dalam pengawasan, pengukuran dan peninjauan atas kualitas kinerja sistem masih belum optimal. Perusahaan memang sudah melakukan pengawasan dan evaluasi sistem, tetapi hal tersebut belum dilakukan secara rutin untuk mengetahui dengan pasti tiap permasal ahan, tingkat performa TI dan kualitas kinerja yang didukung dengan pelaporan kepada manajemen secara berkala. Oleh karena itu seolah-olah pengawasan dan evaluasi dilakukan tetapi tidak terstruktur dengan baik

Perlunya dibentuk format atau pemilihan metode yang terstruktur dalam pengawasan dan evaluasi terhadap sistem secara rutin atau penggunaan alat bantu scorecard. Diharapkan manajemen akan dengan pasti mengetahui keadaan proses bisnis pada kenyataan dengan pelaporan yang memadai. Karena hal ini akan membantu perusahaan dalam mengambil keputusan pengembangan dan penerapan sistem

Ceklist, Wawancara

ME 4 Provide IT Governance

ME 4.1 ME 4.2 ME 4.3 ME 4.4 ME 4.5 ME 4.6 ME 4.7

Telah terdapatnya penyusunan kerangka kerja TI yang disesuikan dengan proses bisnis perusahaan, sehingga tiap ingin dilakukan implementasi sistem akan dipastikan bahwa benar dapat mendukung kegiatan proses bisnis. Manajemen tingkat atas sudah menyadari arti penting dari dukungan TI dalam kegiatan proses bisnis perusahaan.

Prosedur dalam pemenuhan kesesuian TI dengan proses bisnis sudah cukup baik dilakukan perusahaan. Hal tersebut juga didukung oleh manajemen tingkat atas yang menyadari tujuan serta manfaat diterapkannya sebuah TI dalam mendukung proses bisnis. Perusahaan sebaiknya terus meningkatkan penyeleksian kerangka kerja TI yang diusulkan untuk mendapatkan hasil

Ceklist, Observasi

177  

Perusahaan telah menyadari akan pentingnya kebijakan yang sesuai dengan hukum dan aturan yang berlaku.

yang optimal serta tidak lepas dari peran perusahaan dalam mematuhi aturan dan hukum yang berlaku

Tabel 4.3 Analisa Temuan dan Rekomendasi

178  

4.4 Laporan Hasil Evaluasi

LAPORAN HASIL EVALUASI PENGENDALIAN

SISTEM INFORMASI PENJUALAN

PADA PT. PERTANI (SBU PERBERASAN)

Kepada : PT. Pertani (SBU Perberasan)

Perihal : Laporan Hasil Evaluasi Pengendalian

Sistem Informasi Penjualan

Periode : September 2010-Januari 2011

Oleh :

Erren Bustami Kleriawan

Restina Kumala Sari

Januari 2011

179  

1. Tujuan

Evaluasi terhadap PT. Pertani (SBU Perberasan) ditujukan sebagai sebuah metode

untuk mengetahui sejauh mana pengendalian telah diterapkan pada sistem informas i

penjualan perusahaan dan untuk memberikan saran serta rekomendasi atas temuan-

temuan kelemahan yang teridentifikasi dalam proses sistem informasi penjualan.

2. Ruang Lingkup

1. Evaluasi yang dilakukan pada sistem informasi penjualan di SBU Perberasan

PT. Pertani cabang Jakarta berdasarkan standar CobIT 4.1 dan empat domain

didalamnya yaitu Plan and Organize, Acquire and Implement, Deliver and

support, Monitor and Evaluate.

2. Evaluasi pengendalian sistem informasi penjualan dilakukan dengan

menggunakan Customer perspective.

3. Metodologi

Metode yang digunakan dalam melakukan evaluasi ini adalah dengan melakukan

studi dokumentasi, observasi, wawancara, kuesioner, dan checklist berdasarkan

pada pertanyaan yang sudah disusun sebelumnya.

4. Hasil Evaluasi

A. Hasil Evaluasi Pengendalian Sistem Informasi

1. PO 2 - Define the Information Architecture

Temuan :

Perusahaan sudah memiliki model arsitektur dari sistem yang akan

diterapkan, akan tetapi tidak adanya rancangan pembatasan ruang lingkup

atas hak akses pada aplikasi penjualan.

180  

Rekomendasi :

Sebaiknya perusahaan melakukan perubahan pada aplikasi, yaitu

diberikannya batasan ruang lingkup atas hak akses berdasarkan tanggung

jawab dan tugas pegawai. Pembatasan ruang lingkup dapat dilakukan seperti

berikut :

Usulan Batasan Ruang Lingkup Hak Akses

Aktor Batas ruang lingkup aplikasi Bagian Penjualan a) Order Penjualan

b) Penjualan Tunai c) Penjualan Kredit d) Surat Pengembalian Penjualan Barang e) Buku Harian Penjualan f) Laporan Order Barang g) Laporan Pengembalian Barang h) Laporan Pengiriman Barang i) Laporan Penjualan Per Pelanggan j) Laporan Penjualan/ Pelanggan/ Produk k) Laporan Penjualan Per Salesman l) Rekapitulasi Faktur/DO dan SPA Penjualan

Bagian Gudang Delivery Order Bagian Pengiriman - Bagian Penagihan Faktur Penjualan Bagian Akuntansi -

Tabel 4.4 Usulan Batasan Ruang Lingkup Hak Akses

2. PO 4 – Define IT Processes, Organization and Relationship

Temuan :

Kerangka kerja proses TI sudah diarahkan untuk dapat mendukung

perencanaan strategis perusahaan, tetapi terlihat pada kenyataanya bahwa

manajemen kurang efektif melakukan pengawasan dan penilaian kualitas

kinerja yang dilakukan secara tidak rutin.

Rekomendasi :

Pengawasan terhadap kualitas kinerja perlu ditingkatkan dan dirancang lebih

terstruktur serta dilakukan evaluasi secara berkala minimal 4x dalam setahun

181  

oleh perusahaan. Penilaian dapat dilakukan dengan menggunakan alat bantu

scorecard. Penilaian yang terstruktur dapat menggunakan alat bantu seperti

berikut :

Scorecard Penilaian atas Kinerja Pegawai

Kriteria Bulan TO TAL 1 2 3 4 5 6 7 8 9 10 11 12

Keandalan 1. Penyelesaian Tugas 2. Kerja sama

Sikap 1. Kejujuran 2. Kesopanan 3. Loyalitas 4. Kreativitas 5. Inisiatif 6. Tanggung jawab 7. Kepemimpinan

Disiplin 1. Kehadiran 2. Kerapihan

Tabel 4.5 Scorecard Penilaian atas Kinerja Pegawai

Keterangan :

- Nilai pada tiap kriteria di isi dari 1 – 10 sesuai penilaian kinerja pegawai - Total diperoleh dengan menambahkan nilai score bulan ke-1 hingga ke-12 dan dibagi

jumlah bulan.

3. PO 6 - Communicate Management Aim and Direction

Temuan :

Tiap proses pengembangan sistem belum dilakukannya dokumentasi akan

perubahaan yang terjadi secara rutin. Hal ini menyebabkan susahnya

menelusuri bukti implementasi dan jejak masalah.

Rekomendasi :

Dokumentasi ( blueprint lama) harus selalu ter-update ketika adanya

perubahan atau pengembangan pada sistem informasi penjualan.

182  

4. PO 7 - Manage IT Human Resources

Temuan :

Prosedur dalam merekrut sumber daya manusia TI perusahaan sudah cukup

baik, hanya pengelolaan pelatihan pegawai yang terkesan belum efektif

dilakukan secara rutin oleh perusahaan. Selain hal tersebut, evaluasi kinerja

pegawai juga belum dilakukan secara terstruktur.

Rekomendasi :

Perusahaan sebaiknya membuat perencanaan pelatihan yang lebih baik,

dibentuknya jadwal pelatihan secara berkala (min 1x dalam setahun)kepada

para pegawai, sehingga kompetensi dan ketrampilan pegawai terasah dengan

baik.

5. AI 2 - Acquire and Maintain Application Software

Temuan :

Kurang memadainya jumlah sumber daya manusia TI yang menangani

sistem diseluruh cabang perusahaan, sehingga masalah menjadi sedikit

terlambat penyelesaiannya.

Rekomendasi :

Sebaiknya perusahaan melakukan perekrutan pegawai baru menjadi staf TI

perusahaan, dikarenakan jumlah cabang yang terbagi ke berbagai daerah

menjadi kendala untuk dapat menyelesaikan suatu permasalahan dengan

cepat.

6. AI 3 - Acquire and Maintain Technology Infrastructure

Temuan :

183  

Perawatan terhadap infrastruktur tidak dilakukan secara berkala oleh staf TI

perusahaan, akibat kurangnya pegawai TI yang dapat menangani perawatan

secara teratur dan tepat waktu.

Rekomendasi :

Perlunya dilakukannya pelatihan kepada pegawai yang memiliki

kemampuan dasar dibidang TI pada setiap cabang, untuk dapat membantu

melakukan perawatan rutin pada infrastruktur TI yang ada.

7. AI 6 - Manage Changes

Temuan :

Perusahaan belum memiliki penetapan standar prosedur untuk menguji,

menentukan, mendokumentasikan dan mensahkan perubahan darurat yang

terjadi pada sistem dan infrastruktur TI.

Rekomendasi :

Manajemen sebaiknya membentuk tim penilai yang memiliki kompetensi

cukup baik untuk dapat memberikan saran dan rekomendasi atas perubahan

yang bersifat darurat. Hasil akhir dari penilaian kemudian didokumentasikan

sebagai standar perubahan darurat.

8. DS 3 - Manage Performance and Capacity

Temuan :

a. Perawatan atas perfoma sistem tidak dilakukan secara efektif, kurangnya

pengawasan secara berkala dan terkesan perawatan terjadi ketika

munculnya masalah yang dilaporkan oleh user kepada staf TI.

b. Beban kerja staf TI menjadi besar karena kurangnya dukungan SDM

dan wilayah kerja yang luas.

184  

c. Tidak efektifnya kinerja jaringan sistem yang digunakan perusahaan,

karena cabang tidak terhubung secara langsung (realtime) dengan server

pusat.

Rekomendasi :

a. Manajemen sebaiknya merancang kriteria batasan yang dijadikan

sebagai indikator penilaian performa sistem agar secara dini diketahui

kemungkinan terjadinya masalah.

b. Perusahaan perlu melakukan penempatan staf TI ke wilayah yang

strategis atau sering terjadinya keluhan pada sistem.

c. Sebaiknya perusahaan membuat perencanaan membangun jaringan

koneksi yang terintegrasi antar setiap cabang dengan pusat. Sehingga

setiap data dan informasi yang terdapat di cabang atau pusat dapat

secara langsung (realtime) diperoleh.

9. DS 5 - Ensure Systems Security

Temuan :

Upaya menjaga keamanan sistem dirasa masih belum maksimal, terdapat

indikasi bahwa keamanan masih memiliki kelemahan-kelemahan dalam

pencapaian melindungi intergitas data.

a. Antivirus tidak ter-update secara otomatis

b. Tidak ada kebijakan penggantian password secara berkala

c. Komputer user tidak diproteksi dengan password

d. Ruang lingkup atas hak akses tidak ada

185  

Rekomendasi :

Perusahaan harus membuat suatu perencanaan dan penilaian kembali atas

sistem keamanan yang telah diterapkan. Perubahan harus dilakukan oleh

perusahaan dari tingkat masalah terkecil hingga besar, pengawasan terhadap

sistem harus ditingkatkan terus agar bila adanya indikasi kelemahan pada

sistem dengan cepat terdeteksi dan dilakukannya penanggulangan agar tidak

terjadi masalah besar. Serta indikasi kelemahan yang telah tercantum dengan

segera diperbaiki.

10. DS 7 - Educate and Train Users

Temuan :

Pelatihan telah dilakukan oleh perusahaan pada pegawai baru, ketika

diterapkannya sistem baru dan bila adanya masalah pada cabang. Akan

tetapi, hal tersebut belum optimal sebab pelatihan yang dilakukan belum

secara terjadwal/berkala untuk para pegawai

Rekomendasi :

Sebaiknya perusahaan melakukan evaluasi akan kebutuhan dari pelatihan

terhadap pegawai dan pelatihan dioptimalkan dengan adanya kegiatan secara

rutin untuk meningkatkan kompetensi dan kemampuan pegawai. Pelatihan

sebaiknya minimal dilakukan oleh perusahaan sebanyak 1 kali dalam

setahun.

11. DS 12 - Manage the Physical Environment

Temuan :

186  

Terdapat indikasi kelemahan pada perlindungan infrastruktur TI

diperusahaan, perusahaan belum optimal dalam menjaga keamanan

infrastruktur yang berasal dari ancaman faktor luar serta bencana.

Rekomendasi :

Sebaiknya perusahaan membuat kebijakan baru yaitu dengan menggunakan

peralatan atau perangkat tambahan untuk dapat membantu menjaga

keamanan infrasturktur TI perusahaan, seperti penggunaan kamera CCTV,

alat pendeteksi asap, alat pemadam kebakaran, mengasuransikan aset-aset

berharga perusahaan.

12. ME 1 - Monitor and Evaluate IT Processes

Temuan :

Perusahaan dalam pengawasan, pengukuran dan peninjauan atas kualitas

kinerja sistem masih belum optimal. Perusahaan memang sudah melakukan

pengawasan dan evaluasi sistem, tetapi hal tersebut belum dilakukan secara

rutin untuk mengetahui dengan pasti tiap permasalahan, tingkat performa TI

dan kualitas kinerja yang didukung dengan pelaporan kepada manajemen

secara berkala. Oleh karena itu seolah-olah pengawasan dan evaluasi

dilakukan tetapi tidak terstruktur dengan baik

Rekomendasi :

Perusahaan perlu mengevaluasi kembali akan prosedur pengawasan dan

evaluasi performa TI yang telah berjalan, karena prosedur yang telah ada

tersebut tidak dapat memenuhi kriteria evaluasi atau pengawasan yang

efektif. Pengawasan dan evaluasi harus dilakukan secara berkala dengan

187  

penggunaan metode yang sudah terstruktur, agar isi hasil dari laporan benar-

benar dapat dipertanggung jawabkan. Pengawasan dan evaluasi

Berdasarkan hasil evaluasi yang telah dilakukan, Maka dapat diambil kesimpulan antara

lain :

a. Perusahaan memang sudah memiliki perencanaan, perancangaan dan

kerangka kerja dalam implementasi sistem TI untuk mendukung rencana

strategis perusahaan, akan tetapi proses tersebut belum berjalan dengan

efektif dan efisien. Belum optimalnya kinerja sistem yang dikarenakan

masih ditemukannya indikasi kelemahan-kelemahan dalam aktivitas

sistem proses bisnis berjalan.

b. Manajemen perusahaan telah menyadari akan tujuan dan manfaat dari

penerapaan TI dalam mendukung proses bisnis perusahaan. Oleh karena

itu sudah dibangunnya infrastruktur dan sistem TI yang diarahkan dalam

pencapaian tujuan bisnis. namun perusahaan harus mengevaluasi dan

menganalisa kembali sistem yang sudah ada dan dikembangkan lebih

optimal lagi agar infrastruktur dan sistem tersebut dapat menghasilkan

nilai tambah bagi kegiatan operasi perusahaan dalam memenangkan

persaingan bisnis dengan kompetitor.

Jakarta, Januari 2011

Tim Evaluasi