BAB 4 EVALUAS I PENGENDALIAN S IS TEM INFORMAS I PENJUALAN PADA S BU PERBERAS AN PT. PERTANI
4.1 Rencana Kerja Evaluasi Proses evaluasi dilakukan terhadap sistem informasi penjualan yang ada di perusahaan. Evaluasi ini diawali dengan membuat sebuah kerangka kerja yang berisi metrik mengenai penjelasan perencanaan yang akan dilakukan untuk memperoleh datadata yang dibutuhkan dengan berbagai teknik yang digunakan.
Aktivitas Melakukan pengajuan proposal ke beberapa perus ahaan untuk dilakukan evaluasi sistem inform asinya. Membuat surat permohonan survei
Hasil Yang Diperoleh Mendapatkan perusahaan yang paling potensial untuk dilakukan proses evaluasi.
Mengkonsultasikan dengan pihak perusahaan mengenai sistem informasi yang cocok untuk dievaluasi. Mengamati dan meminta profile perusahaan dan struktur oganisasi.
Menentukan sistem informasi penjualan sebagai sistem inform asi yang akan dievaluasi.
Menganalisa proses bisnis sistem berjalan yang terdapat di dalam perusahaan Mengamati dan meminta spesifikasi arsitektur sistem inform asi yang digunakan, serta tampilan layar aplikasi yang ada. Membuat dan mengajukan daftar pertanyaan kepada perusahaan terkait dengan business goals yang dievaluasi.
Mendapatkan persetujuan survei dari PT. Pertani
Mendapatkan profil e perusahaan beserta akte notaris, gambar struktur organisasi serta uraian tugas dan fungsi dari tiap-tiap divisi. Memperoleh gambaran sistem berjalan perus ahaan, serta dokumen-dokumen yang terkait. Mengetahui spesi fikasi hardware, software, database, dan network yang digunakan. Serta memperoleh print screen tampilan layar aplikasi yang ada. Mendapatkan jawaban berupa data dan informasi mengenai kondisi perusahaan.
144
Metode Observasi.
Menyerahkan surat pengant ar survei dari universitas kepada staff divisi Sumber Daya Manusia (SDM) Wawancara
Observasi, wawancara
Observasi, wawancara
Observasi, wawancara, dan melakukan login dengan menggunakan ID staf yang bersangkutan Observasi, checklist, kuesioner dan Wawancara.
145 Melakukan perhitungan, analisa, dan evaluasi berdas arkan jawaban dari pertanyaan yang diberikan. Membuat rekomendasi atas temuan-temuan yang dianggap tidak sesuai dengan standar CobIT. Membuat laporan evaluasi.
Penentuan maturity level, hasil perhitungan, analisa dan evaluasi dengan masing-masing bagian yang terkait. Menghasilkan rekomendasi dan masukan yang berguna kepada perusahaan untuk dilakukan perbaikan. Menghasilkan laporan evaluasi beserta temuan dan rekomendasi.
Analisa data, perhitungan maturity level.
Analisa data.
Analisa data.
Tabel 4.1 Tabel Rencana Kerja Evaluasi
4.2 Kriteria Pengukuran Evaluasi Dasar penentuan pengukuran pengendalian sistem informasi penjualan pada SBU Perberasan di PT. Pertani adalah pada hubungan antara tujuan pemanfaatan TI dalam mendukung tujuan bisnis secara keseluruhan. CobIT 4.1 membedakan pengukuran atau penilaian menjadi 4 bagian, yaitu financial perspective, customer perspective, internal perspective, learning and growth perspective. PT. Pertani dalam kegiatan proses bisnisnya selalu memprioritaskan untuk dapat memberikan pelayanan terbaik serta tingkat kepuasan pelanggan akan produk dan pelayanan yang diberikan. Oleh karena itu, metode pengukuran yang sesuai dengan prinsip perusahaan adalah menggunakan customer perspective. Dimana customer perspective ini memiliki beberapa business goals yang harus dicapai. Diantaranya : 1.
Plan and Organise (PO) a.
PO 1 Define a Strategic IT Plan PO1.1 IT Value Management PO1.2 Business-IT Alignment PO1.3 Assessment of Current Capability and Performance PO1.4 IT Strategic Plan
146
PO1.5 IT Tactical Plans PO1.6 IT Portfolio Management b.
PO 2 Define the Information Architecture PO2.1 Enterprise Information Architecture Model PO2.2 Enterprise Data Dictionary and Data Syntax Rules PO2.3 Data Classification Scheme PO2.4 Integrity Management
c.
PO 3 Determine Technological Direction PO3.1 Technological Direction Planning PO3.2 Technological Infrastructure Plan PO3.3 Monitor Future Trends and Regulations PO3.4 Technology Standards PO3.5 IT Architecture Board
d.
PO 4 Define the IT Processes, Organisation, and Relationships PO4.1 IT Process Framework PO4.2 IT Strategy Committee PO4.3 IT Steering Committee PO4.4 Organisational Placement of the IT Function PO4.5 IT Organisational Structure PO4.6 Establishment of Roles and Responsibilities PO4.7 Responsibility for IT Quality Assurance PO4.8 Responsibility for Risk, Security, and Compliance PO4.9 Data and System Ownership PO4.10 Supervision
147
PO4.11 Segregation of Duties PO4.12 IT Staffing PO4.13 Key IT Personnel PO4.14 Contracted Staff Policies and Procedures PO4.15 Relationships e.
PO 6 Communicate Management Aims and Directions PO6.1 IT Policy and Control Environment PO6.2 Enterprise IT Risk and Control Framework PO6.3 IT Policies Management PO6.4 Policy, Standard and Procedures Rollout PO6.5 Communication of IT Objectives and Direction
f.
PO 7 Manage IT Human Resources PO7.1 Personnel Recruitment and Retention PO7.2 Personnel Competencies PO7.3 Staffing of Roles PO7.4 Personnel Training PO7.5 Dependence Upon Individuals PO7.6 Personnel Clearance Procedures PO7.7 Employee Job Performance Evaluation PO7.8 Job Change and Termination
g.
PO 8 Manage Quality PO8.1 Quality Management System PO8.2 IT Standards and Quality Practices PO8.3 Development and Acquisition Standards
148
PO8.4 Customer Focus PO8.5 Continuous Improvement PO8.6 Quality Measurement, Monitoring and Review 2.
Acquire and Implement (AI) a.
AI 1 Identify Automated Solutions AI1.1 Definition and Maintenance of Business Functional and Technical Requirements AI1.2 Risk Analysis Report AI1.3 Feasibility Study and Formulation of Alternative Courses of Action AI1.4 Requirements and Feasibility Decision and Approval
b.
AI 2 Acquire and Maintain Application Software AI2.1 High-Level Design AI2.2 Detailed Design AI2.3 Application Control and Auditability AI2.4 Application Security and Availability AI2.5 Configuration and Implementation of Acquired Application Software AI2.6 Major Upgrades to Existing Systems AI2.7 Development of Application Software AI2.8 Software Quality Assurance AI2.9 Applications Requirements Management AI2.10 Application Software Maintenance
149
c.
AI 3 Acquire and Maintain Technology Infrastructure AI3.1 Technological Infrastructure Acquisition Plan AI3.2 Infrastructure Resource Protection and Availability AI3.3 Infrastructure Maintenance AI3.4 Feasibility Test Environment
d.
AI 4 Enable Operation and Use AI4.1 Planning for Operational Solutions AI4.2 Knowledge Transfer to Business Management AI4.3 Knowledge Transfer to End Users AI4.4 Knowledge Transfer to Operations and Support Staff
e.
AI 5 Procure IT Resources AI5.1 Procurement Control AI5.2 Supplier Contract Management AI5.3 Supplier Selection AI5.4 IT Resources Acquisition
f.
AI 6 Manage Changes AI6.1 Change Standards and Procedures AI6.2 Impact Assessment, Prioritisation and Authorisation AI6.3 Emergency Changes AI6.4 Change Status Tracking and Reporting AI6.5 Change Closure and Documentation
g.
AI 7 Install and Accredit Solutions and Changes AI7.1 Training AI7.2 Test Plan
150
AI7.3 Implementation Plan AI7.4 Test Environment AI7.5 System and Data Conversion AI7.6 Testing of Changes AI7.7 Final Acceptance Test AI7.8 Promotion to Production AI7.9 Post-Implementation Review 3.
Deliver and Support (DS) a.
DS 1 Define and Manage Service Levels DS1.1 Service Level Management Framework DS1.2 Definition of Services DS1.3 Service Level Agreements DS1.4 Operating Level Agreements DS1.5 Monitoring and Reporting of Service Level Achievement DS1.6 Review of Service Level Agreement and Contracts
b.
DS 2 Manage Third-Party Services DS2.1 Identification of All Supplier Relationships DS2.2 Supplier Relationship Management DS2.3 Supplier Risk Management DS2.4 Supplier Performance Monitoring
c.
DS 3 Manage Performance and Capacity DS3.1 Performance and Capacity Planning DS3.2 Current Performance and Capacity DS3.3 Future Performance and Capacity
151
DS3.4 IT Resources Availability DS3.5 Monitoring and Reporting d.
DS 4 Ensure Continuous Service DS4.1 IT Continuity Framework DS4.2 IT Continuity Plans DS4.3 Critical IT Resources DS4.4 Maintenance of the IT Continuity Plan DS4.5 Testing of the IT Continuity Plan DS4.6 IT Continuity Plan Training DS4.7 Distribution of the IT Continuity Plan DS4.8 IT Services Recovery and Resumption DS4.9 Offsite Backup Storage DS4.10 Post-Resumption Review
e.
DS 5 Ensure Systems Security DS5.1 Management of IT Security DS5.2 IT Security Plan DS5.3 Identify Management DS5.4 User Account Management DS5.5 Security Testing, Surveillance and Monitoring DS5.6 Security Incident Definition DS5.7 Protection of Security Technology DS5.8 Cryptographic Key Management DS5.9 Malicious Software Prevention, Detection and Correction DS5.10 Network Security
152
DS5.11 Exchange of Sensitive Data f.
DS 6 Identify and Allocate Costs DS6.1 Definition of Services DS6.2 IT Accounting DS6.3 Cost Modeling and Charging DS6.4 Cost Model Maintenance
g.
DS 7 Educate and Train Users DS7.1 Identification of Education and Training Needs DS7.2 Delivery of Training and Education DS7.3 Evaluation of Training Received
h.
DS 8 Manage Service Desk and Incidents DS8.1 Service Desk DS8.2 Registration of Customer Queries DS8.3 Incident Escalation DS8.4 Incident Closure DS8.5 Reporting and Trend Analysis
i.
DS 10 Manage Problems DS10.1 Identification and Classification of Problems DS10.2 Problem Tracking and Resolution DS10.3 Problem Closure DS10.4 Integration of Configuration, Incident and Problem Management
j.
DS 11 Manage Data DS11.1 Business Requirements for Data Management DS11.2 Storage and Retention Arrangements
153
DS11.3 Media Library Management Systems DS11.4 Disposal DS11.5 Backup and Restoration DS11.6 Security Requirements for Data Management k.
DS 12 Manage the Physical Environment DS12.1 Site Selection and Layout DS12.2 Physical Security Measures DS12.3 Physical Access DS12.4 Protection Against Environmental Factors DS12.5 Physical Facilities Management
l.
DS 13 Manage Operations DS13.1 Operation Procedures and Instructions DS13.2 Job Scheduling DS13.3 IT Infrastructure Monitoring DS13.4 Sensitive Documents and Output Devices DS13.5 Preventive Maintenance for Hardware
4.
Monitoring and Evaluate (M E) a.
M E 1 Monitor and Evaluate IT Performance M E1.1 Monitoring Approach M E1.2 Definition and Collection of Monitoring Data M E1.3 Monitoring Method M E1.4 Performance Assessment M E1.5 Board and Executive Reporting M E1.6 Remedial Actions
154
b.
M E 4 Provide IT Governance M E4.1 Establishment of an IT Governance Framework M E4.2 Strategic Alignment M E4.3 Value Delivery M E4.4 Resource Management M E4.5 Risk Management M E4.6 Performance Measurement M E4.7 Independent Assurance
Adapun kriteria yang terdapat di dalam pengukuran Customer Perspective yang tidak digunakan dalam proses evaluasi pengendalian sistem informasi penjualan pada SBU Perberasan PT. Pertani adalah sebagai berikut: 1. PO05 Manage the IT Investment Dalam proses tersebut tidak digunakan dalam evaluasi, karena dalam evaluasi pengendalian sistem informasi penjualan SBU Perberasan PT. Pertani ini tidak dibahas mengenai biaya yang digunakan dalam investasi TI dan SBU Perberasan cabang Jakarta tidak memiliki wewenang dalam melakukan pengaturan investasi TI. Yang berhak melakukan pengaturan investasi TI adalah PT. Pertani pusat. 2. PO10 Manage Project Proses ini tidak digunakan dalam evaluasi karena SBU Perberasan cabang Jakarta tidak memiliki wewenang dalam pengelolaan proyek TI yang dimiliknya, semua pengembangan proyek TI yang ada sepenuhnya ditangani oleh PT. Pertani pusat.
155
4.3 Pelaksanaan Evaluasi 4.3.1 Checklist Berikut adalah pertanyaan dan hasil dari audit checklist yang kami lakukan : Pertanyaan Ya PO1.1 IT Value Management Apakah pada sistem inform asi di perusahaan sudah terdapat program yang mengindikasikan jika data yang diinput kurang atau salah? PO1.2 Business-IT Alignment Apakah antara proses bisnis dan IT telah terintegrasi dengan baik satu sama lain? PO1.3 Assessment of Current Capability and Performance Apakah terdapat pengevaluasian performa sistem untuk mendapatkan solusi dan layanan terkini? PO1.4 IT Strategy Plan Apakah perus ahaaan telah memiliki perencanaan strategis terkait dengan sistem yang ada sekarang? PO1.5 IT Tactical Plans Apakah perus ahaan telah memiliki perencanaan taktis TI yang menjelaskan kebutuhan TI, penggunaan sumber daya TI dan pengaturan perolehan keuntungan? PO1.6 Portfolio Management Apakah sistem yang sudah ada telah menjamin bahwa tujuan program mendukung pencapai an hasil yang diharapkan perus ahaan? PO2.1 Enterprise Information Architecture Model Apakah perus ahaan mempunyai gambaran model proses bisnis perusahaan khususnya proses penjualan, agar dapat digunakan dalam pengembangan aplikasi selanjutnya? PO2.2 Enterprise Data Dictionary and Data Syntax Rules Apakah perus ahaan telah melakukan pengelompokkan data dal am sistem dan aplikasi yang memudahkan pengguna sistem untuk mengolah data? PO2.3 Data Classification Scheme Apakah perus ahaan mempunyai skema pembagian data-data berdasarkan sensitifitas dan tingkat kepentingan data yang digunakan sebagai kontrol akses sistem informasi penjualan perusahaan? (misalnya data tingkatan pegawai untuk membatasi akses terhadap sistem) PO 2.4 Integrity Management Apakah telah terdapat pengelolaan untuk menetapkan prosedur dalam menjamin integritas dan konsistensi data yang ada? PO 3.1 Technological Direction Planning Apakah perus ahaan telah melakukan analisa, pemilihan dan penggunaan teknologi yang berpotensi mendukung proses bisnis perusahaan? PO3.2 Technology Infrastructure Plan Apakah perus ahaan memiliki perencanaan infrastruktur teknologi yang berkesinambungan dengan perencanaan strat egis dan taktis TI? PO3.3 Monitor Future Trends and Regulations Apakah perus ahaan secara berkala telah memonitor perkembangan sektor teknologi dan sektor bisnis lainnya?
Jawaban Tidak
9 9 9 9 9
9
9
9 9
9
9 9 9
156 PO3.4 Technology Standards Apakah perus ahaan memiliki standar aturan dalam penggunaan teknologinya? PO3.5 IT Architecture Board Apakah perus ahaan telah memiliki dewan arsitektur TI untuk memberikan garis besar arsitektur dan saran untuk aplikasinya? PO4.1 IT Process Framework Apakah perus ahaan memiliki kerangka kerja proses sistem informasi penjualan yang terhubung dengan sistem manajemen kualitas dalam pengukuran kinerja, kualitas sasaran, dan perencanaan? PO4.2 IT Strategy Committee Apakah perus ahaan telah membentuk tim komite strategi TI yang bertugas untuk memastikan implementasi TI sudah sesuai ketentuan perusahaan? PO4.3 IT Steering Committee Apakah perus ahaan telah memiliki komite pelaksana TI yang mengamati jalannya proses sistem bisnis yang berjalan di perusahaan? PO4.4 Organisational Placement of The IT Function Apakah perus ahaan telah menetapkan komite TI pada struktur organisasi internal perusahaan? PO4.5 IT Organisational Structure Apakah perus ahaan telah memiliki struktur Organisasional TI yang menggambarkan kebutuhan bisnis perusahaan? PO4.6 Roles and Responsibilities Apakah sudah ada pembagi an peran dan tanggung jawab bagi masing-masing bagian untuk membatasi wewenang masing-masing? PO4.7 Responsibility for IT Quality Assurance Apakah perus ahaan sudah mengatur tanggung jawab performa untuk menjamin kualitas dari fungsi TI? PO4.8 Responsibility for Risk, Security and Compliance Apakah perus ahaan telah memberikan tanggung jawab kepada setiap pengguna sistem mengenai resiko TI dan menjaga keamanan informasi di dalam sistem maupun keamanan fisik sistem, serta didukung oleh staff maintance TI yang ada dalam perusahaan? PO4.9 Data and System Ownership Apakah perus ahaan telah menyediakan prosedur, alat dan tanggung jawab dalam hal kepemilikan sistem, data dan informasi? PO4.10 Supervision Apakah perus ahaan telah melaksanakan pelatihan pengawasan yang memadai dalam fungsi TI untuk menjamin tanggung jawabnya telah dijalankan dengan baik? PO4.11 Segregation of Duties Apakah perus ahaan telah melakukan pembagian tugas dan tanggung jawab, dimana setiap karyawan hanya melakukan tugas dan tanggung jawab yang relevan terhadap pekerjaan dan posisi mereka? PO4.12 IT Staffing Apakah proses penerimaan staf di perusahaan telah memiliki standar khusus, dalam hal ini terkait dengan bidang yang menyangkut penggunaan teknologi inform asi? PO4.13 Key IT Personnel Apakah di perusahaan terdapat pengendalian yang mengawasi pegawai dalam mengerjakan tugas dan tanggung jawab untuk mencegah satu individu mengerjakan pekerj aan yang banyak dan penting?
9 9
9
9 9 9 9 9 9 9
9 9
9
9
9
157 PO4.14 Contracted Staff Policies and Procedures Apakah perus ahaan telah menetapkan kebijakan dan prosedur mengenai kesepakatan kontrak dengan konsultan / karyawan yang mendukung fungsi TI? PO4.15 Relationships Apakah diantara fungsi TI perusahaan dengan bagian-bagian yang lain memiliki komunikasi yang baik dan optimal? PO6.1 IT Policy and Control Environment Apakah perus ahaan memiliki kebijakan dan pengendalian IT yang sesuai dengan dasar manajemen dan operasional perusahaan? PO6.2 Enterprise IT Risk and Control Framework Apakah perus ahaan telah memiliki kerangka kerja yang berfungsi untuk pendekat an terhadap masalah, resiko dan pengendalian IT? PO6.3 IT Policies Management Apakah perus ahaan telah melakukan pengembangan dan mempertahankan serangkaian kebijakan untuk mendukung strategi TI? PO6.4 Policy, Standards and Procedures Rollout Apakah perus ahaan telah memberikan penjelas an rincian kebijakan, standar dan prosedur TI yang digunakan untuk semua staf terkait? PO6.5 Communication of IT Objectives and Direction Apakah semua bagian, baik dari pengguna hingga manajemen tingkat atas telah mengetahui dan memahami nilai dan tujuan dari IT yang diterapkan? PO7.1 Personnel Recruitment and Retention Apakah proses penerimaan staf pada perusahaan telah berj alan dengan baik dan staf yang diterima memiliki keahlian yang dibutuhkan untuk membantu pencapaian tujuan perusahaan? PO7.2 Personnel Competencies Apakah perus ahaan telah memastikan dengan rutin bahwa karyawan telah memiliki kompetensi untuk memenuhi peran mereka berdasarkan pendidikan, pelatihan dan pengalaman mereka? PO7.3 Staffing of Roles Apakah perus ahaan telah melakukan pengawasan kes esuaian kinerja karyawan TI terhadap kebijakan dan prosedur manaj emen TI? PO7.4 Personnel Training Apakah perus ahaan telah memberikan pelatihan kepada karyawan untuk mempertahankan pengetahuan, keterampilan dan penget ahuan mereka? PO7.5 Dependence Upon Individuals Apakah terdapat pertukaran penget ahuan atau informasi di antara para staff sehingga tidak ada pekerjaan yang dilakukan hanya oleh satu individu? PO7.6 Personnel Clearance Procedures Apakah perus ahaan telah menetapkan persyaratan mengenai latar belakang pendidikan / kompetensi dalam penerimaan karyawan staf/development? PO7.7 Employee Job Performance Evaluation Apakah ada pengevaluasian terhadap perform a kerja dari karyawan yang dilakukan berkala? PO7.8 Job Change and Termination Jika terjadi penghapusan atau pemindahan pekerjaan, terdapat pengaturan kembali tanggung jawab agar fungsi yang ada tetap dapat dijalankan? PO8.1 Quality Management System Apakah perus ahaan telah memiliki sistem manajemen kualitas yang bertanggung jawab dal am mengawasi, mengukur dan meningkatkan keefektifan kualitas TI yang dihasilkan?
9 9
9 9 9 9 9
9
9
9 9 9 9 9 9
9
158 PO8.2 IT Standards and Quality Practices Apakah pihak perusahaan telah memiliki standar dan prosedur yang mengatur mengenai pemeliharaan kualitas TI agar sesuai dengan tujuan organisasi? PO8.3 Development and Acquisition Standards Apakah disaat pengembangan sistem yang baru, perusahaan telah menet apkan standar-standar yang harus terpenuhi? Misalnya standar software pemrograman yang digunakan, standar penamaan, dll? PO8.4 Customer Focus Apakah kebutuhan pelanggan telah diterapkan sebagai dasar untuk pencapaian manajemen kualitas? PO8.5 Continuous Improvement Apakah perus ahaan telah membuat perencanaan peningkatan kualitas yang dilakukan untuk perkembangan selanjutnya? PO8.6 Quality Measurement, Monitoring and Review Apakah perus ahaan telah melakukan pengukuran, pengawasan dan tinjauan kualitas untuk melakukan tindakan pemeliharaan, perbaikan dan pencegahan yang efekti f?
9 9
9 9 9
Pertanyaan Ya AI1.1 Definition and Maintenance of Business Functional and Technical Requirements Apakah perus ahaan telah melakukan pengidenti fikasian, prioritas dan persetujuan fungsi bisnis dan persyaratan bisnis yang diperlukan untuk mencapai hasil yang TI yang diharapkan? AI1.2 Risk Analysis Report Apakah perus ahaan telah melakukan analisis terhadap dokumen dan resiko-resiko yang terkait dengan persyaratan bisnis dan rancangan solusinya? AI1.3 Feasibility Study and Formulation of Alternative Courses of Action Apakah sudah dilakukan studi kelayakan yang memeriksa kemungkinan pengimplementasian kebutuhan perus ahaan? AI1.4 Requirements and Feasibility Decision and Approval Apakah ada rencana akuisisi (penggantian) infrastuktur teknologi yang memenuhi persyaratan fungsional dan teknis bisnis? AI2.1 High-Level Design Apakah perus ahaan telah melakukan pengadaan pembuat an rancangan spesifikasi lebih tinggi yang disetujui oleh manajemen? AI2.2 Detailed Design Apakah rancangan software aplikasi dibuat secara terperinci? AI2.3 Application Control and Auditability Apakah terdapat implementasi pengendalian aplikasi otomatis untuk mencapai proses yang akurat, lengkap, tepat waktu, dan dapat diperiksa? AI2.4 Application Security and Availability Apakah letak ketersediaan aplikasi persyarat an sebagai respon terhadap resiko sudah aman? AI2.5 Configuration and Implementation of Acquired Application Software Apakah perus ahaan telah melakukan perubahan besar terhadap sistem yang mengakibatkan perubahan terhadap fungsionalitas sistem? AI2.6 Major Upgrades to Existing Systems Apakah perus ahaan telah mengembangkan fungsi otomatis aplikasi sesuai dengan spesi fikasi rancangan, jaminan kualitas dan standar persetujuan oleh pihak ketiga?
Jawaban Tidak
9
9
9 9
9 9 9 9 9 9
159 AI2.7 Development of Application Software Apakah fungsi otomatis software aplikasi dikembangkan sesuai spesifikasi rancangan, jaminan kualitas, dan standar persetujuan oleh pihak ketiga? AI2.8 Software Quality Assurance Apakah ada pengembangan, sumber daya, dan pelaksanaan rencana jaminan kualitas software untuk menghasilkan kualitas perusahaan yang dibutuhkan perusahaan? AI2.9 Applications Requirements Management Apakah selama pengembangan dan pelaks anaan, aplikasi telah sesuai kebutuhan dan mampu menerima perubahan melalui proses yang berjalan? AI2.10 Application Software Maintenance Apakah ada pengembangan strategi dan rencana untuk pemeliharaan aplikasi software? AI3.1 Technological Infrastructure Acquisition Plan Apakah perus ahaan telah membangun sebuah perencanaan untuk perancangan, implementasi dan pemeliharaan infrastruktur teknologi agar sesuai dengan kebutuhan proses bisnis? AI3.2 Infrastructure Resource Protection and Availability Apakah perus ahaan mempunyai prosedur yang terkait perlindungan dan pengawasan terhadap infrastruktur hardware, software, dan networking untuk memastikan ketersediaan, keamanan, integritas? AI3.3 Infrastructure Maintenance Apakah perus ahaan telah melakukan pengembangan strategi dan rencana untuk pemeliharaan infrastruktur serta memastikan segala perubahan agar tetap sejalan dengan kegiat an proses bisnis perusahaan? AI3.4 Feasibility Test Environment Apakah perus ahaan telah menetapkan lingkungan pengembangan dan uji sistem perusahaan guna mendukung aktivitas bisnis yang efektif dan efisi en? AI4.1 Planning for Operational Solutions Apakah perus ahaan telah melakukan perencanaan untuk mengidentifikasi dan mendokumentasikan semua aspek teknis, operasional dan penggunaan sehingga semua yang mengoperasikan, user, dan pemeliharan solusi otomatis dapat melaksanakan tanggung jawabnya? AI4.2 Knowledge Transfer to Business Management Apakah perus ahaan telah memberikan penget ahuan penuh kepada manajemen bisnis tentang penggunaan aplikasinya? AI4.3 Knowledge Transfer to End Users Apakah perus ahaan telah melakukan pemberi an pengetahuan terhadap end user dalam menggunakan sistem secara efekti f dan efisien dalam mendukung proses bisnis? AI4.4 Knowledge Transfer to Operations and Support Staff Apakah ada training pada staf operasi dan teknis untuk mendukung dan memelihara sistem secara efekti f dan efisien? AI5.1 Procurement Control Apakah perus ahaan telah memiliki prosedur pengendalian dan pengembangan dalam pemenuhan sumber daya TI (hardware, software, infrastruktur) yang dibutuhkan? AI5.2 Supplier Contract Management Apakah ada kebijakan dan prosedur mengenai kesepakatan kontrak dengan konsultan yang mendukung fungsi TI?
9 9
9 9
9
9
9
9
9
9 9
9
9
9
160 AI5.3 Supplier Selection Apakah perus ahaan telah melakukan pemilihan supplier yang terbaik dan tepat berdasarkan pada kebutuhan persyaratan yang ditetapkan? AI5.4 IT Resources Acquisition Apakah terdapat perlindungan terhadap manajem en perusahaan terkait dengan hak-hak dan kewajiban semua pihak dalam setiap perjanjian kontrak untuk penggantian perangkat lunak, pengembangan sumber daya IT, dan infrastruktur sistem? AI6.1 Change Standards and Procedures Apakah ada pros edur atau standar yang disusun untuk menangani permintaan perubahan aplikasi, prosedur, proses, sistem, dan platform yang ada? AI6.2 Impact Assessment, Prioritisation and Authorisation Apakah perus ahaan telah melakukan penilaian secara terstruktur terhadap perubahan sistem yang dikategorikan dan diprioritasi untuk menentukan dampak yang akan mempengaruhi sistem operasional dan fungsional sistem? AI6.3 Emergency Changes Apakah ada penetapan proses untuk menentukan, menguji, mendokumentasikan, menilai, dan mensahkan perubahan darurat yang tidak mengikuti prosedur perubahan yang telah ditetapkan? AI6.4 Change Status Tracking and Reporting Apakah telah dilakukan penelusuran dan membuat laporan perubahan yang ditolak, disetujui, dan yang sedang dalam proses, serta memastikan bahwa perubahan yang disetujui telah dilaksanakan sesuai rencana? AI6.5 Change Closure and Documentation Apakah saat perubahan diimplementasikan, perusahaan memperbaharui sistem yang terkait, dokumentasi pengguna, dan prosedur sesuai perubahan? AI7.1 Training Apakah perus ahaan telah melakukan pelatihan terhadap pengguna/staff department yang bersangkutan dan kelompok operasi fungsi TI sebagai bagian dari pengembangan proyek, implementasi atau modifikasi TI? AI7.2 Test Plan Apakah perus ahaan memiliki prosedur yang mengatur rencana pengujian sistem TI agar hasil yang diperoleh sesuai dengan tujuan perusahaan? AI7.3 Implementation Plan Apakah perus ahaan telah menetapkan rencana implementasi maupun penundaan atau penerapan solusi perubahan TI? AI7.4 Test Environment Apakah perus ahaan telah melakukan pengujian di dalam lingkungan perusahaan sebagai gambaran bahwa lingkungan operasi yang direncanakan berhubungan dengan keamanan, pengendalian internal, kegiatan operasi, beban kerja? AI7.5 System and Data Conversion Apakah perus ahaan telah memiliki perencanaan pengalihan data dan sistem serta perpindahan infrastruktur sistem dengan tujuan untuk mengembangkan bisnis? AI7.6 Testing of Changes Apakah terdapat prosedur pengendalian internal yang menjaga pros es berjalannya perpindahan sistem lama ke sistem baru untuk menjaga stabilitas proses bisnis berjalan? AI7.7 Final Acceptance Test Apakah manajem en perusahaan mengevaluasi hasil pengujian terhadap perubahan sistem dan memperbaiki kesalahan yang teridenti fikasi?
9 9
9 9
9
9
9
9
9 9 9
9
9
9
161 AI7.8 Promotion to Production Apakah setelah pengujian terdapat pengendalian perubahan sistem ke proses operasi untuk menjaga sistem agar tetap berjalan sesuai rencana implementasi? AI7.9 Post-implementation Review Apakah perus ahaan telah melakukan peninjauan kembali setelah implementasi sistem dilakukan sesuai dengan prosedur yang ditetapkan?
9 9
Pertanyaan Ya DS1.1 Service Level Management Framework Apakah fasilitas sudah memenuhi kebutuhan antara pelanggan dan partner perusahaan? DS1.2 Definition of Services Apakah persyarat an bisnis sudah diimplementasikan dalam melayani pelanggan? DS1.3 Service Level Agreements Apakah perus ahaan menentukan dan menyepakati service level agreement pada tiap bagian TI dalam perusahaan? DS1.4 Operating Level Agreements Apakah pers etujuan operasional sudah memenuhi kepuasan pelanggan? DS1.5 Monitoring and Reporting of Service Level Achievements Apakah sudah dilakukan pengawasan dan pelaporan atas kinerja perusahaan? DS1.6 Review of Service Level Agreements and Contracts Apakah perus ahaan telah memiliki evaluasi kontrak dengan penyedia layanan internal atau eksternal secara rutin yang dilakukan? DS2.1 Identification of All Supplier Relationship Apakah perus ahaan telah mempunyai aturan klasifikasi atau pengelompokkan terhadap para supplier/pihak ketiga (berdasarkan jenis produk, signifikasi dan kritikalitas supplier)? DS2.2 Supplier Relationship Management Apakah perus ahaan telah menjalin hubungan yang baik dengan pelanggan dan penyalur serta apakah perus ahaan telah memastikan kualitas hubungan berdas arkan pada kepercayaan dan kejelas an? DS2.3 Supplier Risk Management Apakah perus ahaan sudah mengantisipasi resiko pengantaran barang ke pelanggan? DS2.4 Supplier Performance Monitoring Apakah perus ahaan memiliki criteria standar pengawas an untuk memastikan persyaratan yang harus terpenuhi oleh supplier dalam jalinan kerjasama yang baik sesuai perjanjian bisnis yang disepakati? DS3.1 Performance and Capacity Planning Apakah perus ahaan sudah merencanakan kinerja dan kapasitas perus ahaan? DS3.2 Current Capacity and Performance Apakah kinerja dan kapasitas perusahaan saat ini sudah memadai? DS3.3 Future Capacity and Performance Apakah perus ahaan sudah melakukan antisipasi untuk kinerja dan kapasitas di masa mendatang? DS3.4 IT Resources Availability Apakah perus ahaan telah memastikan dan mengatasi ketersediaan performansi dan kapasitas sumber daya TI yang tidak memadai?
Jawaban Tidak
9 9 9 9 9 9
9
9
9 9
9 9 9 9
162 DS3.5 Monitoring and Reporting Apakah perus ahaan melakukan pengawasan terus menerus terhadap kinerja dan kapasitas sumber daya? DS4.1 IT Continuity Framework Apakah perus ahaan telah melakukan pengembangan rencana kerja untuk kelangsungan TI yang mendukung manajemen bisnis perusahaan? DS4.2 IT Continuity Plans Apakah perus ahaan telah melakukan pengembangan terhadap rencana keberlanjutan TI untuk mengurangi dampak yang besar pada fungsi dan proses bisnis? DS4.3 Critical IT Resources Apakah perus ahaan telah memusatkan perhatian pada item-item sumber daya TI yang kritis untuk memastikan rencana kelangsungan TI dan menetapkan prioritas dalam situasi pemulihan sumber daya TI? DS4.4 Maintenance of the IT Continuity Plan Apakah perus ahaan telah melaksanakan prosedur perubahan untuk memastikan rencana keberlanjutan TI tentang tetap diperbaharui dan sesuai persyaratan bisnis yang ditetapkan? DS4.5 Testing of the IT Continuity Plan Apakah perus ahaan telah melakukan pengujian terhadap rencana kelangsungan TI secara rutin untuk memastikan sistem TI dapat digunakan dengan efekti f dan relevan? DS4.6 IT Continuity Plan Training Apakah perus ahaan telah memberikan pelatihan rutin kepada semua user mengenai prosedur, peran dan tanggung jawabnnya dalam beberapa kasus insiden? DS4.7 Distribution of the IT Continuity Plan Apakah perus ahaan telah menentukan strategi distribusi rencana kelangsungan TI secara teratur dan memastikan strategi tersebut telah terdistribusi dengan benar dan aman untuk menetapkan wewenang pihak-pihak yang terkait dengan sistem? DS4.8 IT Services Recovery and Resumption Apakah ada pros edur pemulihan dalam informasi teknologi perusahaan? DS4.9 Offsite Backup Storage Apakah tersedi a media untuk menyimpan data-data di luar kantor? DS4.10 Post-Resumption Review Apakah manajem en perusahaan sudah menciptakan prosedur sesuai perencanaan? DS5.1 Management of IT Security Apakah perus ahaan sudah mengelola keamanan informasi teknologi di tingkat tertinggi? DS5.2 IT Security Plan Apakah perus ahaan telah memastikan rencana keam anan sistem yang diimplementasikan sesuai dengan kebijakan, prosedur keamanan, dan infrastruktur TI? DS5.3 Identify Management Apakah perus ahaan telah memastikan identitas pengguna dan hak akses pengguna melalui mekanisme keotentikan yang disetujui oleh pemilik sistem? DS5.4 User Account Management Apakah perus ahaan telah menetapkan pengaturan yang tepat terhadap prosedur manajemen user yang terkait dengan hak akses user?
9
9 9
9
9
9
9
9
9 9 9
9 9
9
9
163 DS5.5 Security Testing, Surveillance and Monitoring Apakah perus ahaan telah melakukan pengawasan implementasi keamanan TI secara rutin disertai dengan penanganan secara dini terhadap aktivitas yang tidak tepat pada perusahaan? DS5.6 Security Incident Definition Apakah perus ahaan telah melakukan perundingan khusus untuk menentukan dan mendeskripsikan dengan jelas karakteristik potensi terjadinya insiden keamanan? DS5.7 Protection of Security Technology Apakah perus ahaan telah memiliki teknologi yang tahan terhadap masalah kerusakan, dan tidak menyingkap dokumentasi keamanan yang tidak perlu? DS5.8 Cryptographic Key Management Apakah perusahaan telah menentapkan kebijakan dan prosedur terhadap pengarsipan kunci-kunci kriptografi sistem untuk memastikan perlindungan dari kerusakan dan ancam ana lain? DS5.9 Malicious Software Prevention, Detection and Correction Apakah perus ahaan telah menempatkan upaya-upaya preventif, detektif dan korektif untuk melindungi sistem dan teknologi informasi dari virus komputer? DS5.10 Network Security Apakah perus ahaan telah menggunakan teknik keamanan dan prosedur manajemen untuk menguasai akses dan mengontrol aliran informasi untuk jaringan kerja? DS5.11 Exchange of Sensitive Data Apakah pertukaran dat a-data perusahaan telah melalui jaringan khusus yang aman? DS6.1 Definition of Services Apakah perus ahaan sudah melakukan identifikasi biaya inform asi teknologi? DS6.2 IT Accounting Apakah perus ahaan telah melakukan penghitungan dan pelaporan estimasi biaya yang akan dikeluarkan? DS6.3 Cost Modeling and Charging Apakah perus ahaan sudah menggunakan struktur penetapan biaya pada inform asi teknologi? DS6.4 Cost Model Maintenance Apakah perus ahaan secara teratur meninjau kelayakan biaya pada informasi teknologi? DS7.1 Identification of Education and Training Needs Apakah perus ahaan telah melakukan penetapan untuk setiap kelompok karyawan yang disesuaikan dengan kebutuhan strat egi bisnis, implementasi infrastruktur dan perangkat-perangakat TI lainnya? DS7.2 Delivery of Training and Education Apakah perus ahaan sudah mengelompokkan para karyawan menurut skill dan potensinya? DS7.3 Evaluation of Training Received Apakah perus ahaan telah melalukan evaluasi tehadap isi pendidikan dan pelatihan untuk relevansi, kualitas, keefekti fan pemeliharaan penget ahuan, biaya untuk menjadi masukan bagi kegiatan pelatihan? DS8.1 Service Desk Apakah perus ahaan telah melakukan pertemuan secara rutin antara user dengan staf TI untuk mencatat, membicarakan keluhan yang dilaporkan,
9
9
9 9
9 9
9
9 9
9 9
9
9 9
9
164 permintaan layanan dan inform asi, serta dilakukan pengawas an berdas arkan untuk mememudahkan klasifikasi dan prioritisasi semua masalah? DS8.2 Registration of Customer Queries Apakah perus ahaan sudah menerapkan sistem untuk melakukan pencarian data pelanggan? DS8.3 Incident Escalation Apakah perus ahaan sudah mengantisipasi kejadian-kejadian sesuai dengan prosedur? DS8.4 Incident Closure Apakah perus ahaan telah melakukan pengukuran kepuasan pengguna akhir dengan kualitas layanan dan layanan TI? DS8.5 Reporting and Trend Analysis Apakah perus ahaan sudah melakukan pelaporan atas kegiatan pelayanan? DS10.1 Identification and Classification of Problems Apakah perus ahaan sudah melakukan identifikasi dan klasifikasi terhadap masalah? DS10.2 Problem Tracking and Resolution Apakah perus ahaan telah memiliki fasilitas proses audit yang sudah memadai untuk memudahkan penelusuran, penganalisaan, dan penentuan penyebab akar semua masalah? DS10.3 Problem Closure Apakah sistem perusahaan sudah menerapkan prosedur pendekatan masal ah? DS10.4 Integration of Configuration, Incident and Problem Management Apakah perus ahaan sudah diintegrasi dengan proses-pros es penyelesai an masalah? DS11.1 Business Requirements for Data Management Apakah sistem informasi perus ahaan sudah memveri fikasi data yang diterima dan di proses? DS11.2 Storage and Retention Arrangements Apakah perus ahaan sudah menerapkan prosedur yang efekti f dan efisien untuk penyimpanan data? DS11.3 Media Library Management Systems Apakah perus ahaan telah mempunyai prosedur untuk menjaga perlengkapan pada media penyimpanan yang disimpan dan diarsipkan untuk menjaga daya guna dan terintegritasan media tersebut? DS11.4 Disposal Apakah perus ahaan sudah menerapkan prosedur untuk memastikan perlindungan data? DS11.5 Backup and Restoration Apakah perus ahaan telah menentukan dan mengimplementasikan prosedur untuk cadangan dan restorasi sistem, aplikasi, data dan dokumentasi yang sejalan dengan persyaratan bisnis? DS11.6 Security Requirements for Data Management Apakah perus ahaan sudah menerapkan prosedur keamanan dalam manaj emen data? DS12.1 Site Selection and Layout Apakah perus ahaan telah menentukan dan memilih keamanan perlengkapan TI untuk mendukung strategi TI yang terhubung dengan strategi bisnis? DS12.2 Physical Security Measures Apakah perus ahaan telah melakukan pengukuran terhadap keamanan lingkungan untuk mencegah, mendeteksi dan mengurangi resiko-resiko yang
9 9 9 9
9 9
9 9
9 9 9
9 9
9
9 9
165 berhubungan dengan pencuri an, bencana alam, terror, vandalisme (aksi coratcoret), atau ledakan? DS12.3 Physical Access Apakah perus ahaan telah memiliki prosedur batasan akses bedasarkan kebutuhan bisnisnya terhadap staf, klien, dan pihak ketiga lainnya? DS12.4 Protection Against Environmental Factors Apakah perus ahaan sudah menerapkan langkah-langkah untuk perlindungan sistem terhadap faktor-faktor luar? DS12.5 Physical Facilities Management Apakah perus ahaan sudah mengelola fasilitas dan peralatan komunikasi dengan baik? DS13.1 Operation Procedures and Instructions Apakah perus ahaan telah menetukan, mengimplementasikan, memelihara prosedur untuk operasi TI, dan telah memastikan bahwa anggota staf operasi mengerti semua tugas operasi mereka? DS13.2 Job Scheduling Apakah perus ahaan sudah mengatur penjadwal an pekerj aan karyawan? DS13.3 IT Infrastructure Monitoring Apakah perus ahaan sudah menerapkan prosedur untuk memantau infrastruktur sistem informasi? DS13.4 Sensitive Documents and Output Devices Apakah perus ahaan sudah menetapkan perlindungan dat a yang sesuai? DS13.5 Preventive Maintenance for Hardware Apakah perus ahaan sudah menerapkan prosedur untuk menjamin pemeliharaan infrastruktur sistem informasi?
9 9 9
9
9 9 9 9
Pertanyaan Ya ME1.1 Monitoring Approach Apakah ada langkah-langkah untuk pengawasan, pengukuran, dan tinjauan kualitas untuk melakukan tindakan perbaikan dan pencegahan yang tepat? ME1.2 Definition and Collection of Monitoring Data Apakah perus ahaan telah melakukan proses pengawasan terhadap penyimpanan dan pengambilan data sehingga memberikan laporan yang akurat dan tepat waktu? ME1.3 Monitoring Method Apakah perus ahaan telah memiliki metode pengawasan terhadap kinerja yang mencat at target, pencapai an TI, dan yang sesuai dengan sistem pengawasan perus ahaan? ME1.4 Performance Assessment Apakah perus ahaan secara berkala meninjau performansi terhadap sas aran, menganalisa penyebab setiap penyimpangan dan mengawali tindakan perbaikan untuk mengatasi masalah yang ada? ME1.5 Board and Executive Reporting Apakah perus ahaan telah membuat laporan kontribusi TI mengenai tujuan yang tercapai, penggunaan sumber daya, dan rekomendasi untuk pembaharuan maupun perbaikan? ME1.6 Remedial Actions Apakah perus ahaan telah melakukan identifikasi dan tindakan perbaikan berdas arkan pada pengawasan, penilaian dan pelaporan kinerja? ME4.1 Establishment of an IT Governance Framework Apakah perus ahaan telah menyusun kerangka IT yang digunakan untuk
Jawaban Tidak
9 9
9
9
9
9
9
166 menyesuaikan IT dengan proses bisnis perusahaan? ME4.2 Strategic Alignment Apakah para manajemen tingkat atas telah memahami mengenai permas alahan tentang IT, seperti peran dan kegunaan IT tersebut? ME4.3 Value Delivery Apakah penggunaan IT di dalam perusahaan telah memberikan nilai lebih pada proses bisnis perusahaan? ME4.4 Resource Management Apakah sumber daya manajemen yang ada telah cukup membantu meningkatkan penggunaan IT? ME4.5 Risk Management Apakah perus ahaan telah memiliki manajemen resiko yang dibentuk perusahaan untuk menentukan resiko yang mungkin timbul dalam penggunaan TI pada proses bisnis? ME4.6 Performance Measurement Apakah perus ahaan telah melakukan pengukuran kinerja TI yang dilakukan oleh manajemen perusahaan dan memberikan laporan yang rutin kepada manajemen senior? ME4.7 Independent Assurance Apakah sistem IT di perusahaan telah sesuai dengan kebijakan perusahaan, hukum dan standar yang ada?
9 9 9 9
9
9
Tabel 4.2 Checklist
4.3.2 Analisa Temuan dan Rekomendasi Berikut adalah temuan dan rekomendasi hasil evaluasi : Plan and Organise PO 1 Define a strategic IT Plan and direction
Kriteria
Temuan
Rekomendasi
PO 1.1 PO 1.2 PO 1.3 PO 1.4 PO 1.5 PO 1.6
Dalam hal ini perusahaan telah mengidentifikasi sert a membuat perencanaan tentang strategi penerapan TI yang akan dilakukan dalam mendukung proses bisnis. Tiap perencanaan harus diikuti dengan proposal yang menggambarkan segala detail hal terkait
PO 2 Define the information architecture
PO 2.1 PO 2.2 PO 2.3 PO 2.4
Dalam hal ini perusahaan memang sudah memiliki gambaran/ arsitektur model dari sistem yang akan diterapkan sert a telah melakukan pengelompokkan data sesuai dengan tingkat sensitifitasnya, akan tetapi kami temukan bahwa tidak adanya pembat asan ruang
Hal ini menggambarkan perusahaan sudah cukup baik dalam mengawali sebuah keinginan akan kebutuhan sistem yang akan diterapkan, dimana perusahaan telah membuat perencanaan terlebih dahulu sebelum mengimplementasikan dan ini harus dipertahankan terus oleh perusahaan Perusahaan harus lebih memperhatikan perancangan arsitektur model dalam sistem aplikasi yang akan diterapkan, perusahaan diharapkan melakukan identifikasi lebih mendalam mengenai pengendalian aplikasi sehingga kelemahan
Metodologi Ceklist, wawancara
Ceklist, Observasi
167 lingkup atas hak akses masuk yang membuat aplikasi menjadi sangat mudah dimanipulasi oleh pihak yang tidak bertanggung jawab
PO 3 Determine technological direction
PO 3.1 PO 3.2 PO 3.3 PO 3.4 PO 3.5
Perusahaan telah memiliki dewan TI yang menganalisa, memonitor arah penerapan teknologi yang dapat diterapkan pada perusahaan dan dapat mendukung proses bisnis perusahaan
PO 4 Define IT processes, organization and relationship
PO 4.1 PO 4.2 PO 4.3 PO 4.4 PO 4.5 PO 4.6 PO 4.7 PO 4.8 PO 4.9 PO 4.10 PO 4.11 PO 4.12 PO 4.13 PO 4.14 PO 4.15
Dalam proses bisnis berjalan perus ahaan sudah mengidentifikasi dan memiliki kerangka proses kerja TI untuk mendukung perencanaan strategis pada seluruh bagian perusahaan. Termasuk dalam hal pembagian pembatas an tanggung jawab dan wewenang. Tetapi terlihat dalam aktifitasnya, manajemen kurang efekti f dalam melakukan pengawasan kinerja pegawainya, hal itu disebabkan karena tidak adanya pengawas an secara berkala dal am penilaian kualitas kinerja
PO 6.1 PO 6.2 PO 6.3 PO 6.4 PO 6.5
Perusahaan dirasa sudah menyadari arti penting dari mengkomunikasikan segala kebijakan dan pengendalian TI terhadap manajemen. Hal ini terlihat dari pemahaman pegawai yang sudah mengerti nilai-nilai manfaat diterapkannya sebuah sistem teknologi untuk dapat mendukung
PO 6 Communicate management aim and direction
seperti ini tidak terjadi dan meminimalisir kemungkinan adanya kelemahan kontrol pada aplikasi yang dapat berakibat fat al. Ruang lingkup atas hak akses harus dibatasi sesuai dengan tanggung jawab dan tugas pegawai. Perusahaan telah menerapkan teknologi yang cukup baik, sehingga yang perlu dilakukan oleh perusahaan adal ah untuk tetap terus menjaga stabilitas sistem dengan meningkatkan proses pengawasan serta analisa akan kebutuhan baru proses bisnis Kerangka proses kerja TI dapat dilanjutkan oleh perusahaan, tetapi akan lebih baik bila perusahaan selalu melakukan evaluasi untuk memperbaiki atau menambahkan kekurangan yang ada agar dapat berkembang sejalan dengan proses bisnis perusahaan
Ceklist
Ceklist, Wawancara
Peningkatan dalam proses pengawasan perlu dilakukan oleh manajemen, pengawasan dibuat terstruktur menggunakan scorecard dan rutin dilakukan untuk mendapatkan hasil yang optimal Informasi berkaitan proses bisnis atau perusahaan harus terus dikomunikasikan kepada manajemen agar tidak adanya ketidaktahuan terhadap tujuan dan pencapaian organisasi. Oleh karena itu kejelasan, keakuratan, ketersediaan inform asi harus
Wawancara, Observasi, Ceklist
168 kegiatan proses berjal an perusahaan. Perusahaan telah memiliki kerangka kerja dalam pendekat an terhadap masalah, resiko dan pengendalian TI serta melakukan pengembangan dan mempertahankan serangkaian kebijakan untuk mendukung startegi TI, tetapi kelemahan yang terjadi adalah tiap proses pengembangan tidak terdokumentasi secara teratur/rutin
PO 7 Manage IT human resources
PO 7.1 PO 7.2 PO 7.3 PO 7.4 PO 7.5 PO 7.6 PO 7.7 PO 7.8
Perusahaan telah memiliki prosedur yang cukup baik dalam mengatur sumber daya manusia perusahaan. Prosedur berkaitan dengan penerimaan pegawai yang harus memiliki kompetensi dan syarat pendidikan memenuhi kebutuhan dari perusahaan. Manajemen juga telah melakukan pelatihan terhadap SDM perusahaan dalam proses pengingkatan pengetahuan, keterampilan dan keahlian penggunaan sistem Manajemen belum melakukan evaluasi secara berkala terhadap kinerj a dari pegawai.
dimaksimalkan Perlunya pemahaman akan pentingnya dokumentasi atas suatu pengembangan dan perubahaan, karena dokumentasi yang teratur/rutin dapat memudahkan manajemen dalam menelusuri jejak masalah untuk pembelajaran atau inform asi kedepannya. Oleh karena itu perusahaan perlu melakukan dokumentasi secara rutin bila adanya perubahan dalam dokumentasi ( blueprint) awal/lama Pengelolaan SDM perusahaan akan lebih baik bila terus di analisa dan disesuaikan dengan keadaaan perus ahaan. Sehingga seperti penerimaan pegawai terus mengalami peningkatan yang memberi masukan positif bagi perusahaan untuk dapat mengembangkan usaha kearah yang lebih baik. (peningkatan syarat penerimaan) Pelatihan dilakukan secara rutin dan tidak hanya ketika adanya suatu penerapan sistem baru saja. Pelatihan juga sebaiknya selain dilakukan oleh staf TI juga dibawakan dari sumber-sumber external Manajemen perlu membenahi prosedur evaluasi atau penilaian terhadap kinerj a pegawai, penilaian harus dilakukan secara periodik (min 4 kali per tahun) untuk mengetahui kelemahan yang ada pada SDM
Wawancara, Ceklist
169 perusahaan, dibantu dengan dokumentasi dalam scorecard . Perusahaan dapat mempertahankan kondisi ini dalam proses bisnis berjalan. Tetapi diharapkan untuk menjamin bahwa kualitas terjaga dengan baik. Perlu dibentuknya suatu tim independen yang menilai secara periodik (minimal 2 kali per tahun) atas keberlangsungan sistem proses bisnis
PO 8 Manage Quality
PO 8.1 PO 8.2 PO 8.3 PO 8.4 PO 8.5 PO 8.6
Perusahaan menyadari perlunya suatu pengendalian terhadap kualitas kerja dan TI dengan merumuskan standar-standar acuan dalam suatu pencapai an kualitas yang baik. Pemeliharaan dan pengawasan dilakukan perusahaan terhadap bagian-bagi an sensifiti f pada perusahaan dan hal ini terus dikembangkan oleh perusahaan dalam pencapaian hasil yang maksimal.
Acquire and Impmentle AI 1 Identify automated solutions
Kriteria
Temuan
Rekomendasi Pertahankan dan tingkatkan standar studi kelayakan pada tiap pemenuhan akan kebutuhan dari perusahaan, agar jaminan keberhasilan dari penerapan dan pemenuhan sistem menjadi tinggi
AI 2 Acquire and maintain application software
AI 2.1 AI 2.2 AI 2.3 AI 2.4 AI 2.5 AI 2.6 AI 2.7 AI 2.8 AI 2.9 AI 2.10
Identi fikasi terhadap resikoresiko persyaratan bisnis dan rancangan solusi telah dilakukan dalam pencapaian implementasi sistem yang sesuai dengan tujuan perusahaan. Hal tersebut dengan telah dilakukannya studi kelayakan dalam setiap rancangan dalam pencapaian TI yang diharapkan. Perusahaan sudah memahami bahwa sebuah implementasi sistem pasti memerlukan suatu perawatan dan penambahan/perbaikan selama proses bisnis berjalan, oleh karena itu perawatan terhadap aplikasi dilakukan oleh staf TI terhadap aplikasi yang digunakan
AI 1.1 AI 1.2 AI 1.3 AI 1.4
Diketahui bahwa proses perubahaan atau perbaikan aplikasi tergolong cukup lama dari masalah ditemukan hingga masalah dapat diselesaikan,
Perawat an terhadap sistem aplikasi proses bisnis harus dilakukan secara rutin (minimal 3 bulan sekali) dan segala perubahan atau perbaikan didokumentasi untuk memudahkan dalam penelusuran Perlunya penerimaan staf TI tambahan yang berkompeten dan sesuai dengan kebutuhan, sehingga waktu pengerjaan perbaikan bisa lebih diminimalisir Pada saat update aplikasi
Wawancara, Ceklist
Ceklist
170 dikarenakan SDM yang tidak memadai untuk menangani seluruh cabang yang ada Perbedaan penyebutan primary key – secondary key ( form at ) AI 3 Acquire and maintain technology infrastructure
AI 3.1 AI 3.2 AI 3.3 AI 3.4
Perusahaan dalam mengakuisisi infrastruktur telah membuat sebuah perencanaan untuk perancangan, implementasi dan pemeliharaan infrastruktur teknologi agar sesuai dengan kebutuhan proses bisnis. Tetapi pada kenyataannya proses perawatan terhadap infrastruktur tidak efekti f dan rutin dilakukan oleh staf TI, karena staf TI tidak tersebar secara menyeluruh kesetiap cabang dan proses perawatan menjadi tidak tepat waktu
AI 4 Enable operation and use
AI 4.1 AI 4.2 AI 4.3 AI 4.4
Perusahaan telah mendefinisikan akan kebutuhan operasional termasuk mendokumentasikan, sehingga pengguna dapat dengan mudah mengoperasikan sistem sesuai dengan semestinya.
AI 5 Procure IT resources
AI 5.1 AI 5.2 AI 5.3 AI 5.4
Dalam proses akuisisi kebutuhan akan TI, perusahaan sudah membuat prosedur yang harus dilakukan. Terdapatnya kriteria-kriteria dalam pemilihan vendor, adanya perjanjian berupa kontrak yang menjamin perlindungan atas hak dan kewajiban berbagai pihak dan pengendalian atas kerjasam a
dilakukan perubahan pada format aplikasi yang berbeda penyebutan primary key dan secondary key-nya pada form penjualan tunai dan penjualan kredit (nomor faktur dirubah dengan nomor DO) Perencanaan yang dibuat oleh manajemen sudah cukup baik, tetapi hal tersebut belum didukung dengan realisasi pada kenyataan. Perusahaan lebih baik melakukan pelatihan-pel atihan terhadap pegawai disetiap cabang yang memiliki kemampuan dibidang TI, sehingga dapat difungsikan sebagai staf yang melakukan perawatan terhadap infrastruktur
Hal yang perlu dilakukan adalah dengan sel alu mengevaluasi dan analisa akan perkembangan proses bisnis, agar kegiatan operasional dapat sejalan dengan tujuan organisasi Tiap perkembangan dan perubahaan harus didokumentasikan dalam blueprint agar inform asi dapat diperoleh dengan mudah Prosedur yang telah diberlakukan sudah cukup baik, dalam proses berjalan bisnis perusahaan akan lebih baik selalu menganalisa prosedur agar terus sejalan dengan perkembangan bisnis
Wawancara, Ceklist
Ceklist, Wawancara
Ceklist, Wawancara
171 AI 6 Manage Changes
AI 6.1 AI 6.2 AI 6.3 AI 6.4 AI 6.5
Perusahaan sudah memiliki kebijakan dan prosedur dalam menangani permintaan perubahaan pada proses bisnis dan sistem, tetapi belum dilakukannya penilaian secara terstruktur mengenai dampak perubahan terhadap sistem operasi dan fungsional sistem. Tidak adanya penetapan proses untuk menentukan, menguji, mendokumentasi dan mensahkan perubahan darurat yang terjadi pada sistem
AI 7 Install and accredit solutions and changes
AI 7.1 AI 7.2 AI 7.3 AI 7.4 AI 7.5 AI 7.6 AI 7.7 AI 7.8 AI 7.9
Perusahaan sudah memiliki standar yang mengatur mengenai pengujian, perencanaan, pengendalian proses penerapan solusi yang diikuti dengan evaluasi hasil dari perubahan.
Proses implementasi sistem baru atau perubahan besar diterapkan secara paral el, sehingga tidak begitu menggangu kegiatan proses bisnis berjalan
Dalam hal ini perusahaan dianjurkan untuk mendefinisikan secara terstruktur atau formal akan resiko dari solusi yang akan diterapkan, sehingga segala informasi menjadi jelas dan kelemahan dapat diminimalisir Manajemen harus mempunyai tim penilai yang memiliki kompetensi cukup baik untuk dapat memberikan penilaian dan saran terhadap perubahan yang bersi fat darurat, diharapkan dapat mengambil keputusan pengalihan sementara agar sistem/proses bisnis tetap bisa berjalan dan solusi yang efekti f di jadikan standar prosedur perusahaan Tiap kebijakan dan standar yang telah dibentuk, diharapkan selalu dijalankan dengan baik pada kenyataannya. Sehingga efekti fitas sistem itu benar dapat tercapai.
Metode ini dirasa memang cukup baik digunakan dalam konversi sistem pada suatu perusahaan. Karena resiko yang lebih kecil dibanding dengan metode lainnya, akan tetapi perusahaan harus dengan cermat mengidentifikasi tiap resiko dan memastikan bahwa konversi sistem berjalan sesuai perencanaan, bila tidak maka akan muncul beban biaya yang besar untuk menangani 2 (dua) sistem yang sama-sama berjalan akibat mundurnya jadwal penyelesai an.
Ceklist, Wawancara
Ceklist, Wawancara
172 Deliver and Support DS 1 Define and manage service levels
Kriteria
Temuan
Rekomendasi
DS DS DS DS DS DS
1.1 1.2 1.3 1.4 1.5 1.6
Perusahaan telah menyadari akan pentingnya nilai kepuasaan yang diterima oleh pelanggan atau partner kerja. Dalam hal ini perusahaan sudah mengembangkan suatu service level agreement sebagai bentuk penanaman kualitas pada perusahaan dalam melaksanakan kinerja proses bisnis yang baik.
DS DS DS DS
2.1 2.2 2.3 2.4
Perusahaan selalu mengedepankan hubungan kerja yang baik dengan para rekanan bisnis ( Supplier, Pelanggan dan Vendor TI ) dan jalinan kerja sama selalu diawasi untuk memastikan tidak adanya permasal ahan yang dapat menimbulkan kerugian bagi berbagai pihak
DS DS DS DS DS
3.1 3.2 3.3 3.4 3.5
Perencanaan telah dilakukan perusahaan untuk mengatur dan mengawasi kinerja serta kemampuan sistem, akan tetapi proses pengawasan tidak dilakukan manajemen secara berkala (bila hanya terdapat keluhan).
Perusahaan harus mengidentifikasikan berbagai faktor-faktor yang menjadi titik kunci dalam pencapaian kepuasan berbagai pihak. Hasil identifikasi ini dibuat dan dirancang untuk menghasilkan suatu bentuk service level agreement yang lebih terstruktur dan dijadikan target bagi perusahaan untuk bisa membawa perusahaan kearah yang lebih baik. Hal seperti ini sudah seharusnya dipert ahankan oleh perusahaan. Karena aktivitas seperti ini dapat menjaga aliran proses bisnis tetap bergerak maju dalam mencapai tujuan organiasi dan dengan didukung pencapaian terhadap ser vice level agreement yang efekti f melalui evaluasi-evaluasi hubungan kerja. Kegiatan pengaturan dan pengawasan harus lebih ditingkatkan, peningkatan perform a tidak hanya ketika belum munculnya keluhan dari pengguna. Manajemen harus memiliki kriteria batasan yang dijadikan acuan penilaian performa dan kemampuan sistem dalam menjalankan proses bisnis
DS 2 Manage thirdparty services
DS 3 Manage performance and capacity
Kurang memadainya kapasitas sumber daya TI dalam penyelesai an suatu masalah, karena cabang perusahaan tersebar diseluruh Indonesia yang membuat beban kerja menjadi besar. Tidak efekti fnya jaringan sistem perusahaan, karena cabang tidak secara langsung terhubung (realtime) dengan server yang berada dipusat
Perusahaan harus membuat perencanaan penambahan SDM dan atau menempatkannya ke wilayah-wilayah yang cukup strategis serta seringnya timbul permasal ahaan. Kebutuhan akan aliran data dan informasi yang cepat, akurat, terpercaya
Ceklist
Ceklist, Wawancara
Ceklist, Wawancara, Observasi
173
DS 4 Ensure continuous service
DS DS DS DS DS DS DS DS DS DS
4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10
DS 5 Ensure systems security
DS DS DS DS DS DS DS DS DS DS DS
5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8 5.9 5.10 5.11
DS 6 Identify and allocate costs
DS DS DS DS
6.1 6.2 6.3 6.4
Pengembangan sistem inform asi penjualan sudah di rancang secara berkelanjutan untuk memastikan keberlangsungan proses bisnis. Kelemahan yang muncul ketika adanya ancaman atau resiko bencana alam, dimana perusahaan tidak memiliki solusi perencanaan darurat yang terdokumentasi, sehingga penyelesai an masalah tidak cepat teratasi. Perusahaan belum mengupayakan tingkat keamanan sistem semaksimal mungkin, terdapat beberapa indikasi kelemahan pada keamanan dan integritas data. Contoh : tidak adanya penetapan batas ruang lingkup terhadap hak aks es aplikasi sistem, belum adanya jaringan khusus (VPN) yang menjadi jalur aliran data pribadi antar cabang pusat, komputer user tidak diproteksi menggunakan password, penggunaan antivirus yang tidak terupdate secara otomatis pada komputer user, tidak adanya kebijakan penggantian password secara rutin pada user. Perusahaan telah melakukan identifikasi atas biaya informasi teknologi dan melakukan perhitungan
dituntut dengan adanya koneksi jaringan yang saling terintegrasi satu sama lain. Oleh karena itu ada baiknya perus ahaan mengimplemtasikan jaringan terkoneksi langsung kesetiap cabang yang ada, agar data dan inform asi dapat langsung diterima atau dikirim seketika Manajemen sebaiknya mengidentifikasikan segala kemungkinan resiko diluar hal teknis dan membuat solusi penyelesai an darurat yang terdokumentasi, untuk memudahkan penanggulangan pertama pada bencana. Serta dilakukannya pelatihanpelatihan dalam menghadapi situasi darurat
Ceklist, Wawancara
Peningkatan keamanan sistem perlu dilakukan, perusahaan harus membuat suatu perencanaan dan penilaian kembali akan proses sistem berjalan (memperhitungkan masalah biaya, resiko, kebutuhan, kelangsungan sistem). Perubahan harus dilakukan oleh perusahaan dari tingkat masalah terkecil hingga besar, pengawasan terhadap sistem harus ditingkatkan terus agar bila adanya indikasi kelemahan pada sistem dengan cepat terdeteksi dan dilakukannya penanggulangan.
Ceklist, Wawancara, Observasi
Pengelolaan biaya atas pemenuhan kebutuhan TI perusahaan sudah dilakukan dengan baik,
Ceklist, Wawancara
174 serta estimasi atas segala biaya yang akan dikeluarkan berdasarkan struktur penetapan biaya yang telah ditetapkan perusahaan.
DS 7 Educate and train users
DS 7.1 DS 7.2 DS 7.3
Prosedur dan standar pelatihan sudah dibentuk oleh perusahaan. Kegiatan pelatihan pun dilakukan ketika adanya penerapan sistem TI dan bila adanya masalah pada cabang. Tidak ada jadwal rutin adanya pelatihan untuk menambah wawasan, pengetahuan, ketrampilan pegawai.
DS 8 Manage service des k and incidents
DS DS DS DS DS
8.1 8.2 8.3 8.4 8.5
Dalam hal ini perusahaan sudah menerapkan prosedur untuk mengatur pelayanan front offi ce. Perusahaan dalam menilai tingkat layanan telah melakukan suatu pengukuran terhadap kepuasaan pelanggan yang dilakukan melalui penyebaran kuesioner sebagai alat ukur.
akan tetapi agar pengalokasian dana lebih efisien, perusahaan perlu melakukan analisa secara cermat atas kelayakan biaya alokasi TI (berdasarkan faktor perhitungan biaya, tingkat pengembelian, resiko, serta manfaat yang dapat diperoleh) Perusahaan harus dapat menganalisa kebutuhan akan pelatihan pada pegawai, salah satunya dengan adanya evaluasi kualitas kerja pegawai secara rutin (minimal 4 kali per tahun). Diluar itu diharapkan perusahaan membuat suatu perencanaan pelatihan secara berkala dalam meningkatkan kompetensi pegawai Perusahaan diharapkan mengadakan survey terhadap pel anggan secara berkala (min 6 bulan sekali), karena informasi akan kepuas an pelanggan sangat berguna dan berpengaruh terhadap keberlangsungan dan perkembangan sistem agar menjadi lebih efekti f dan efisien
Ceklist, Wawancara
Ceklist, Wawancara
Peningkatan kualitas layanan front office pun diperhatikan, salah satunya dengan mudahnya bagi user untuk dapat menghubungi staf TI langsung dalam memberikan informasi, keluhan, permintaan pelayanan DS 10 Manage problems
DS DS DS DS
10.1 10.2 10.3 10.4
Identi fikasi dan klasifikasi terhadap masal ah telah dirancang oleh perus ahaan. Permasalahan biasanya akan di analisa dan audit untuk mengetahui solusi yang dapat diambil dan sebagai informasi / data baru bagi perusahaan.
Perusahaan telah mengembangkan pengelolaan terhadap masalah cukup baik, dan hal tersebut selayaknya terus ditingkatkan. Staf TI perlu merencanakan dan
Ceklist, Observasi, Wawancara
175 Penyelesaian permasal ahaan belum dirancang terintegrasi dengan sistem, tidak adanya fasilitas/fitur “ bantuan / help” yang memudahkan user untuk mengatasi masalah secara cepat
DS 11 Manage data
DS DS DS DS DS DS
11.1 11.2 11.3 11.4 11.5 11.6
Perusahaan telah mengatur prosedur dalam mengelola data dan informasi perusahaan, terdapatnya proses veri fikasi terhadap data yang akan diterima dan diproses, perlindungan data dengan mengompres data ke dalam .zip dan diberi proteksi password sebelum dikirim ke pusat, adanya proses backup otomatis untuk mengantisipasi terjadinya masalah dan data telah diklasifikasikan kedalam kategori-kategori tertentu
DS 12 Manage the physical environment
DS DS DS DS DS
12.1 12.2 12.3 12.4 12.5
Perusahaan sudah memiliki prosedur dan standar yang mengatur keamanan dari infrastruktur TI, tetapi belum optimal. Kelemahan ditemukan seperti tidak ada generator set, tidak adanya pelindungan tambahan keamanan seperti CCTV, tidak adanya alat pendeteksi asap, hanya terdapat alat pemadam kebakaran beberapa unit dan perlindungan penjaga keamanan yang mengawasi lingkungan perusahaan.
merancang fitur batuan seperti ini, diharapkan dengan adanya fitur seperti ini akan membantu user untuk mencoba menyelesaikan masal ah sendiri terlebih dahulu dan beban kerja staf TI akan sedikit berkurang serta bisa lebih fokus terhadap pengembangan sistem kedepan Perusahaan sudah cukup baik dalam mengelola data yang ada. Dalam hal ini perusahaan dapat terus mempertahankan dan ditingkatkan untuk menjaga integritas dan ketersedi aan data
Untuk dapat mengoptimalkan tingkat keamanan perusahaan, sebaiknya perus ahaan menambakan beberapa fasilitas keamanan seperti CCTV sebagai pendukung barang bukti bila adanya gangguan keamanan, memasang alat pendeteksi asap bila terjadi kebakaran, serta didukung dengan generator set sebagai cadangan ketika aliran listrik mati.
Wawancara, Ceklist, Observasi
Ceklist, Observasi, Wawancara
Perusahaan sebaiknya mengasuransikan as et-as et yang dinilai berharga DS 13 Manage operations
DS DS DS DS DS
13.1 13.2 13.3 13.4 13.5
Pengelolaan lingkungan operasi telah dilakukan dan dikembangkan oleh perusahaan. Adanya pemeliharaan terhadap operasi TI dan telah
Pengaturan terhadap lingkungan operasi sudah cukup baik dilakukan oleh perusahaan, hal tersebut perlu ditingkatkan dan di evaluasi secara berkala
Ceklist, Wawancara
176 dilakukannya pelatihan dan penjelasan terhadap anggota staf operasi agar dengan pasti mengetahui semua tanggung jawab dan tugas operasinya, hal ini didukung dengan adanya penjadwal an pekerjaan pegawai dan demi pencapaian operasi yang baik dilakukannya pengawasan terhadap infrastruktur TI walaupun tidak secara berkala (terkadang hanya ketika adanya masal ah)
untuk menjaga efekti fitas kegiatan operasi. Pengawasan dan monitor sudah menjadi masalah yang cukup banyak ditemui karena tidak dilakukan secara berkala dan hal ini lebih baik diperhatikan kembali oleh perusahaan untuk menjaga dari kejadian yang tidak diinginkan. Pengawasan lebih baik dilakukan minimal 4 kali per tahun.
Monitoring and Evaluate ME 1 Monitor and evaluate IT processes
Kriteria
Temuan
Rekomendasi
ME 1.1 ME 1.2 ME 1.3 ME 1.4 ME 1.5 ME 1.6
Perlunya dibentuk format atau pemilihan metode yang terstruktur dalam pengawasan dan evaluasi terhadap sistem secara rutin atau penggunaan alat bantu scorecard. Diharapkan manajemen akan dengan pasti mengetahui keadaan proses bisnis pada kenyataan dengan pelaporan yang memadai. Karena hal ini akan membantu perusahaan dalam mengambil keputusan pengembangan dan penerapan sistem
Ceklist, Wawancara
ME 4 Provide IT Governance
ME 4.1 ME 4.2 ME 4.3 ME 4.4 ME 4.5 ME 4.6 ME 4.7
Kegiatan perus ahaan dalam pengawasan, pengukuran dan peninjauan atas kualitas kinerja sistem masih belum optimal. Perusahaan memang sudah melakukan pengawasan dan evaluasi sistem, tetapi hal tersebut belum dilakukan secara rutin untuk mengetahui dengan pasti tiap permasal ahan, tingkat perform a TI dan kualitas kinerja yang didukung dengan pelaporan kepada manajemen secara berkala. Oleh karena itu seolah-olah pengawasan dan evaluasi dilakukan tetapi tidak terstruktur dengan baik Telah terdapatnya penyusunan kerangka kerja TI yang disesuikan dengan proses bisnis perusahaan, sehingga tiap ingin dilakukan implementasi sistem akan dipastikan bahwa benar dapat mendukung kegiatan proses bisnis.
Prosedur dalam pemenuhan kesesuian TI dengan proses bisnis sudah cukup baik dilakukan perusahaan. Hal tersebut juga didukung oleh manajemen tingkat atas yang menyadari tujuan serta manfaat diterapkannya sebuah TI dalam mendukung proses bisnis. Perusahaan sebaiknya terus meningkatkan penyeleksian kerangka kerja TI yang diusulkan untuk mendapatkan hasil
Ceklist, Observasi
Manajemen tingkat atas sudah menyadari arti penting dari dukungan TI dalam kegiatan proses bisnis perusahaan.
177 Perusahaan telah menyadari akan pentingnya kebijakan yang sesuai dengan hukum dan aturan yang berlaku.
yang optimal serta tidak lepas dari peran perusahaan dalam mematuhi aturan dan hukum yang berlaku
Tabel 4.3 Analisa Temuan dan Rekomendasi
178
4.4 Laporan Hasil Evaluasi
LAPORAN HASIL EVALUASI PENGENDALIAN SISTEM INFORMASI PENJUALAN PADA PT. PERTANI (SBU PERBERASAN)
Kepada
: PT. Pertani (SBU Perberasan)
Perihal
: Laporan Hasil Evaluasi Pengendalian Sistem Informasi Penjualan
Periode
: September 2010-Januari 2011
Oleh : Erren Bustami Kleriawan Restina Kumala S ari
Januari 2011
179
1. Tujuan Evaluasi terhadap PT. Pertani (SBU Perberasan) ditujukan sebagai sebuah metode untuk mengetahui sejauh mana pengendalian telah diterapkan pada sistem informas i penjualan perusahaan dan untuk memberikan saran serta rekomendasi atas temuantemuan kelemahan yang teridentifikasi dalam proses sistem informasi penjualan. 2. Ruang Lingkup 1. Evaluasi yang dilakukan pada sistem informasi penjualan di SBU Perberasan PT. Pertani cabang Jakarta berdasarkan standar CobIT 4.1 dan empat domain didalamnya yaitu Plan and Organize, Acquire and Implement, Deliver and support, Monitor and Evaluate. 2. Evaluasi pengendalian sistem informasi penjualan dilakukan dengan menggunakan Customer perspective. 3. Metodologi M etode yang digunakan dalam melakukan evaluasi ini adalah dengan melakukan studi dokumentasi, observasi, wawancara, kuesioner, dan checklist berdasarkan pada pertanyaan yang sudah disusun sebelumnya. 4. Hasil Evaluasi A.
Hasil Evaluasi Pengendalian Sistem Informasi 1.
PO 2 - Define the Information Architecture Temuan : Perusahaan sudah memiliki model arsitektur dari sistem yang akan diterapkan, akan tetapi tidak adanya rancangan pembatasan ruang lingkup atas hak akses pada aplikasi penjualan.
180
Rekomendasi : Sebaiknya
perusahaan
melakukan
perubahan
pada
aplikasi,
yaitu
diberikannya batasan ruang lingkup atas hak akses berdasarkan tanggung jawab dan tugas pegawai. Pembatasan ruang lingkup dapat dilakukan seperti berikut : Usulan Batasan Ruang Lingkup Hak Akses Aktor Bagian Penjualan
Bagian Bagian Bagian Bagian
Gudang Pengiriman Penagihan Akuntansi
a) b) c) d) e) f) g) h) i) j) k) l)
Batas ruang lingkup aplikasi Order Penjualan Penjualan Tunai Penjualan Kredit Surat Pengembalian Penjualan Barang Buku Harian Penjualan Laporan Order Barang Laporan Pengembalian Barang Laporan Pengiriman Barang Laporan Penjualan Per Pelanggan Laporan Penjualan/ Pelanggan/ Produk Laporan Penjualan Per Salesman Rekapitulasi Faktur/DO dan SPA Penjualan
Delivery Order Faktur Penjualan -
Tabel 4.4 Usulan Batasan Ruang Lingkup Hak Akses 2.
PO 4 – Define IT Processes, Organization and Relationship Temuan : Kerangka kerja proses TI sudah diarahkan untuk dapat mendukung perencanaan strategis perusahaan, tetapi terlihat pada kenyataanya bahwa manajemen kurang efektif melakukan pengawasan dan penilaian kualitas kinerja yang dilakukan secara tidak rutin. Rekomendasi : Pengawasan terhadap kualitas kinerja perlu ditingkatkan dan dirancang lebih terstruktur serta dilakukan evaluasi secara berkala minimal 4x dalam setahun
181
oleh perusahaan. Penilaian dapat dilakukan dengan menggunakan alat bantu scorecard. Penilaian yang terstruktur dapat menggunakan alat bantu seperti berikut : Scorecard Penilaian atas Kinerja Pegawai Krite ria 1
2
3
4
5
Bulan 6 7
TO TAL 8
9
10
11
12
¾ Ke andalan 1. Penyelesaian Tugas
2. ¾ 1. 2. 3. 4. 5. 6. 7. ¾ 1. 2.
Kerja sama Sikap Kejujuran Kesopanan Loyalitas Kreativitas Inisiatif T anggung jawa b Kepemimpinan Disiplin Kehadiran Kerapihan
Tabel 4.5 Scorecard Penilaian atas Kinerja Pegawai Keterangan : -
Nilai pada tiap kriteria di isi dari 1 – 10 sesuai penilaian kinerja pegawai Total diperoleh dengan menambahkan nilai score bulan ke-1 hingga ke-12 dan dibagi jumlah bulan.
3. PO 6 - Communicate Management Aim and Direction Temuan : Tiap proses pengembangan sistem belum dilakukannya dokumentasi akan perubahaan yang terjadi secara rutin. Hal ini menyebabkan susahnya menelusuri bukti implementasi dan jejak masalah. Rekomendasi : Dokumentasi ( blueprint lama) harus selalu ter-update ketika adanya perubahan atau pengembangan pada sistem informasi penjualan.
182
4. PO 7 - Manage IT Human Resources Temuan : Prosedur dalam merekrut sumber daya manusia TI perusahaan sudah cukup baik, hanya pengelolaan pelatihan pegawai yang terkesan belum efektif dilakukan secara rutin oleh perusahaan. Selain hal tersebut, evaluasi kinerja pegawai juga belum dilakukan secara terstruktur. Rekomendasi : Perusahaan sebaiknya membuat perencanaan pelatihan yang lebih baik, dibentuknya jadwal pelatihan secara berkala (min 1x dalam setahun)kepada para pegawai, sehingga kompetensi dan ketrampilan pegawai terasah dengan baik. 5. AI 2 - Acquire and Maintain Application Software Temuan : Kurang memadainya jumlah sumber daya manusia TI yang menangani sistem diseluruh cabang perusahaan, sehingga masalah menjadi sedikit terlambat penyelesaiannya. Rekomendasi : Sebaiknya perusahaan melakukan perekrutan pegawai baru menjadi staf TI perusahaan, dikarenakan jumlah cabang yang terbagi ke berbagai daerah menjadi kendala untuk dapat menyelesaikan suatu permasalahan dengan cepat. 6. AI 3 - Acquire and Maintain Technology Infrastructu re Temuan :
183
Perawatan terhadap infrastruktur tidak dilakukan secara berkala oleh staf TI perusahaan, akibat kurangnya pegawai TI yang dapat menangani perawatan secara teratur dan tepat waktu. Rekomendasi : Perlunya
dilakukannya
pelatihan
kepada
pegawai
yang
memiliki
kemampuan dasar dibidang TI pada setiap cabang, untuk dapat membantu melakukan perawatan rutin pada infrastruktur TI yang ada. 7. AI 6 - Manage Changes Temuan : Perusahaan belum memiliki penetapan standar prosedur untuk menguji, menentukan, mendokumentasikan dan mensahkan perubahan darurat yang terjadi pada sistem dan infrastruktur TI. Rekomendasi : M anajemen sebaiknya membentuk tim penilai yang memiliki kompetensi cukup baik untuk dapat memberikan saran dan rekomendasi atas perubahan yang bersifat darurat. Hasil akhir dari penilaian kemudian didokumentasikan sebagai standar perubahan darurat. 8. DS 3 - Manage Performance and Capacity Temuan : a. Perawatan atas perfoma sistem tidak dilakukan secara efektif, kurangnya pengawasan secara berkala dan terkesan perawatan terjadi ketika munculnya masalah yang dilaporkan oleh user kepada staf TI. b. Beban kerja staf TI menjadi besar karena kurangnya dukungan SDM dan wilayah kerja yang luas.
184
c. Tidak efektifnya kinerja jaringan sistem yang digunakan perusahaan, karena cabang tidak terhubung secara langsung (realtime) dengan server pusat. Rekomendasi : a. M anajemen sebaiknya merancang kriteria batasan yang dijadikan sebagai indikator penilaian performa sistem agar secara dini diketahui kemungkinan terjadinya masalah. b. Perusahaan perlu melakukan penempatan staf TI ke wilayah yang strategis atau sering terjadinya keluhan pada sistem. c. Sebaiknya perusahaan membuat perencanaan membangun jaringan koneksi yang terintegrasi antar setiap cabang dengan pusat. Sehingga setiap data dan informasi yang terdapat di cabang atau pusat dapat secara langsung (realtime) diperoleh. 9. DS 5 - Ensure Systems Security Temuan : Upaya menjaga keamanan sistem dirasa masih belum maksimal, terdapat indikasi bahwa keamanan masih memiliki kelemahan-kelemahan dalam pencapaian melindungi intergitas data. a. Antivirus tidak ter-update secara otomatis b. Tidak ada kebijakan penggantian password secara berkala c. Komputer user tidak diproteksi dengan password d. Ruang lingkup atas hak akses tidak ada
185
Rekomendasi : Perusahaan harus membuat suatu perencanaan dan penilaian kembali atas sistem keamanan yang telah diterapkan. Perubahan harus dilakukan oleh perusahaan dari tingkat masalah terkecil hingga besar, pengawasan terhadap sistem harus ditingkatkan terus agar bila adanya indikasi kelemahan pada sistem dengan cepat terdeteksi dan dilakukannya penanggulangan agar tidak terjadi masalah besar. Serta indikasi kelemahan yang telah tercantum dengan segera diperbaiki. 10. DS 7 - Educate and Train Users Temuan : Pelatihan telah dilakukan oleh perusahaan pada pegawai baru, ketika diterapkannya sistem baru dan bila adanya masalah pada cabang. Akan tetapi, hal tersebut belum optimal sebab pelatihan yang dilakukan belum secara terjadwal/berkala untuk para pegawai Rekomendasi : Sebaiknya perusahaan melakukan evaluasi akan kebutuhan dari pelatihan terhadap pegawai dan pelatihan dioptimalkan dengan adanya kegiatan secara rutin untuk meningkatkan kompetensi dan kemampuan pegawai. Pelatihan sebaiknya minimal dilakukan oleh perusahaan sebanyak 1 kali dalam setahun. 11. DS 12 - Manage the Physical Environment Temuan :
186
Terdapat
indikasi
kelemahan
pada
perlindungan
infrastruktur
TI
diperusahaan, perusahaan belum optimal dalam menjaga keamanan infrastruktur yang berasal dari ancaman faktor luar serta bencana. Rekomendasi : Sebaiknya perusahaan membuat kebijakan baru yaitu dengan menggunakan peralatan atau perangkat tambahan untuk dapat membantu menjaga keamanan infrasturktur TI perusahaan, seperti penggunaan kamera CCTV, alat pendeteksi asap, alat pemadam kebakaran, mengasuransikan aset-aset berharga perusahaan. 12. ME 1 - Monitor and Evaluate IT Processes Temuan : Perusahaan dalam pengawasan, pengukuran dan peninjauan atas kualitas kinerja sistem masih belum optimal. Perusahaan memang sudah melakukan pengawasan dan evaluasi sistem, tetapi hal tersebut belum dilakukan secara rutin untuk mengetahui dengan pasti tiap permasalahan, tingkat performa TI dan kualitas kinerja yang didukung dengan pelaporan kepada manajemen secara berkala. Oleh karena itu seolah-olah pengawasan dan evaluasi dilakukan tetapi tidak terstruktur dengan baik Rekomendasi : Perusahaan perlu mengevaluasi kembali akan prosedur pengawasan dan evaluasi performa TI yang telah berjalan, karena prosedur yang telah ada tersebut tidak dapat memenuhi kriteria evaluasi atau pengawasan yang efektif. Pengawasan dan evaluasi harus dilakukan secara berkala dengan
187
penggunaan metode yang sudah terstruktur, agar isi hasil dari laporan benarbenar dapat dipertanggung jawabkan. Pengawasan dan evaluasi
Berdasarkan hasil evaluasi yang telah dilakukan, M aka dapat diambil kesimpulan antara lain : a.
Perusahaan memang sudah memiliki perencanaan, perancangaan dan kerangka kerja dalam implementasi sistem TI untuk mendukung rencana strategis perusahaan, akan tetapi proses tersebut belum berjalan dengan efektif dan efisien. Belum optimalnya kinerja sistem yang dikarenakan masih ditemukannya indikasi kelemahan-kelemahan dalam aktivitas sistem proses bisnis berjalan.
b.
M anajemen perusahaan telah menyadari akan tujuan dan manfaat dari penerapaan TI dalam mendukung proses bisnis perusahaan. Oleh karena itu sudah dibangunnya infrastruktur dan sistem TI yang diarahkan dalam pencapaian tujuan bisnis. namun perusahaan harus mengevaluasi dan menganalisa kembali sistem yang sudah ada dan dikembangkan lebih optimal lagi agar infrastruktur dan sistem tersebut dapat menghasilkan nilai tambah bagi kegiatan operasi perusahaan dalam memenangkan persaingan bisnis dengan kompetitor. Jakarta, Januari 2011 Tim Evaluasi
